信息安全题库.docx

信息安全题库.docx

《信息安全题库.docx》由会员分享，可在线阅读，更多相关《信息安全题库.docx（327页珍藏版）》请在冰豆网上搜索。

信息安全题库

国家信息安全等级保护培训试卷

单选题：

1._______国家首次以行政法规形式明确了“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”等具体制度、任务和职责分工。

A:

1994年B:

1995年C：

1996年D：

2003年

2.信息系统运营、使用单位按照《信息安全等级保护管理办法》的要求部署开展技术测评工作。

对第三级信息系统_______开展一次技术测评。

A:

每半年B：

每一年C:

每两年D：

每三年

3.《管理办法》提出了对不同级别信息系统的监督管理要求，对于第三级信息系统属于_______。

A：

监督保护级B：

指导保护级C：

强制保护级D:

自主保护级E：

专控保护级

4.某信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

那么该信息系统属于_______。

A：

第一级B：

第二级C：

第三级D：

第四级

5.某信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，但不对国家安全造成损害。

那么该信息系统属于_______信息系统。

A：

第一级B：

第二级C：

第三级D：

第四级

6.确定对客体的侵害程度中，工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。

那么可以确定对客体的侵害程度是_______。

A：

无损害B：

一般损害C：

严重损害D：

特别严重损害

7.某单位的信息系统的业务信息安全保护等级三级，系统服务安全保护等级为一级，那么该信息系统安全保护等级为____。

A：

一级B：

二级C：

三级D：

四级

8.《信息安全等级保护管理办法》规定第______级以上信息系统应当优先选择使用我国自主研发的信息安全产品。

A：

一B：

二C：

三D：

四

9.______是等级保护工作的牵头部门。

A公安机关B国家保密工作部门C国家密码管理部门D工业和信息化部门

10.公安机关和国家保密工作部门职责划分以信息系统是否涉及国家秘密为边界，涉及国家秘密的信息系统分级保护由_____负责。

A公安机关B国家保密工作部门C国家密码管理部门D单位主管部门

11.信息系统安全等级保护定级工作要坚持_______、专家评审、主管部门审批、公安机关审核的原则。

A：

自主定级B:

强制定级C：

随意定级D：

指导定级

12.信息安全等级保护标准体系中基础标准是_____。

A《计算机信息系统安全保护等级划分准则》GB17859

B《信息系统通用安全技术要求》

C《信息系统安全设计要求》

D《信息系统安全工程管理要求》

13信息系统运营使用单位最终确定信息系统等级后，应出具_______。

A：

《信息系统情况调查表》B:

《信息系统安全等级保护定级细则》

C：

《信息系统安全等级保护定级通知》D：

《信息系统安全等级保护定级报告》

14.《计算机信息系统安全保护等级划分准则》明确了信息系统安全保护能力的等级划分，第三级级别的信息系统应具有的安全保护能力是_______。

A:

应具有能够对抗来自个人的、拥有很少资源（如利用公开获取的工具等）的威胁发起的恶意攻击、

B:

应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（个别人员能力、公开可获或特定开发的工具等）以及其他相当危害程度（无意失误、设备故障等）威胁的能力

C:

应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、

D:

应具有能够对抗来自敌对组织的、拥有丰富资源的威胁源发起的恶意攻击。

15.确定信息系统安全保护等级的一般流程，排序正确的是________.（）

①确定业务信息安全受到破坏时所侵害的客体；

②确定定级对象的安全保护等级

③评定业务信息安全被破坏对客体的侵害程度；

④确定业务信息安全保护等级；

⑤确定作为定级对象的信息系统；

⑥确定系统服务安全受到破坏时所侵害的客体；

⑦确定系统服务安全保护等级；

⑧评定系统服务安全被破坏对客体的侵害程度；

A:

①②③④⑧⑥⑦⑤B:

⑤③①④⑦⑧⑥②

C:

⑤①③④⑥⑧⑦②D:

⑤②①③④⑥⑧⑦

16.《信息安全等级保护基本要求》中的技术要求主要包过网络安全、主机安全、应用安全、_______5个层面。

A:

物理安全、人员安全B物理安全、数据安全及备份恢复

C安全管理制度、人员安全D安全管理制度、数据安全及备份恢复

17.隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案，跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向________备案。

A:

当地的县级以上公安机关B:

当地的市级以上公安机关C:

北京市公安局D：

公安部

18.新建系统在规划设计阶段应________，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。

（）

A确定等级B进行测评C进行备案D进行整改

19.地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。

这类信息系统一般定为________。

A一级B二级C三级D四级

20.“县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统”属于第_____级信息系统。

A一B二C三D四E五

多选题（至少有两个选项）

1.《信息系统安全等级保护基本要求》提出了各级信息系统应当具备的安全保护能力，并从_____和____两方面提出了相应的措施。

（）

A产品B管理C应用D技术

2.根据《信息安全等级保护定级指南》，定级对象应具有如下三个基本特征：

__________。

A具有唯一确定的安全责任单位B整个网络

C具有信息系统的基本要素。

D承载单一或相对独立的业务应用。

3.开展安全管理制度建设的内容包括_____。

A落实信息安全责任制B落实人员安全管理制度C落实系统建设管理制度D落实系统运维管理制度

4..以下说法正确的是：

（）

A《信息安全等级保护基本要求》是信息系统安全建设整改的基本目标

B《信息系统等级保护安全设计技术要求》是实现基本目标的方法和途径之一

C《信息安全等级保护基本要求》中不包含安全设计和工程实施等内容

D在系统安全建设整改中，可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。

5.关于第三级信息系统,以下说法正确的是：

（）

A：

一般适用于县级某些单位中的重要信息系统；

B:

一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；

C:

一般适用于跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；

D：

一般适用于中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。

6.侵害社会秩序的事项包括以下哪几个方面？

（）

A影响国家机关社会管理和公共服务的工作秩序；

B影响各种类型的经济活动秩序；

C影响公众在法律约束和道德规范下的正常生活秩序

D影响各行业的科研、生产秩序；

7.信息系统安全等级保护实施过程中，运营、使用单位的职责包括：

（）

A：

确定其信息系统的安全保护等级，有主管部门的，应当报其主管部门审核批准；

B：

根据已经确定的安全保护等级，到公安机关办理备案手续；

C：

定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；

D开展信息系统安全建设或者整改工作；制定、落实各项安全管理制度;

8.以下哪些系统受破坏时，侵害客体可能是国家安全。

（）

A：

重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统

B：

广播、电视、网络等重要新闻媒体的发布或播出系统

C：

处理国家对外活动信息的信息系统

D：

电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统

9.信息安全等级保护工作的主要内容包括（）

A：

对信息系统分等级进行安全保护和监管

B：

信息安全产品分等级使用管理

C：

信息安全事件分等级响应、处置

D：

信息安全系统分安全人员进行培训

10.对于定级不准的，公安机关应向备案单位发整改通知，并建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。

备案单位仍然坚持原定等级的情况;以下内容正确的是：

（）

A:

公安机关可以受理其备案

B:

公安机关不可以受理其备案

C:

公安机关应当书面告知备案单位承担由此引发的责任和后果

D:

公安机关经上级公安机关同意后，同时应通报备案单位上级主管部门

判断题？

？

？

？

答案呢

1.根据《管理办法》和《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》要求，第三级（含）以上信息系统备案单位必须按期开展等级测评。

2.按照“谁受理备案、谁负责检查”的原则，对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统，由部、省、市级公安机关分别对所受理备案的信息系统进行检查。

3.对第四级信息系统的运营使用单位信息安全等级保护工作每年检查一次。

4.对于未按《管理办法》规定开展等级测评已责令其限期改正，逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责任的主管人员和其他直接责任人员予以处理。

5.信息系统运营、使用单位有主管部门的，主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。

6.第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成严重损害。

7.同类信息系统的安全保护等级应随着部、省、市行政级别的降低而降低。

8.各部委统一定级的信息系统在各地的分支系统（包括终端连接、安装上级系统运行的没有数据库的分系统），如是上级主管部门定级的，不用到当地公安网络安全保卫部门备案。

9.第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写《信息系统安全等级保护备案表》。

10.对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

11.公安机关检查时，发现信息系统安全保护等级定级不准确的，应当通知其运营使用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》。

12.等级测评的结果将是国家信息安全监督管理部门依法行政管理的技术依据。

因此等级测评活动是一项政策性很强和技术专业化的信息安全服务。

13.由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体侵害程度可能会有所不同，在定级过程中，需要分别分析这两种危害。

14.在信息系统的运行过程中，当运行状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据标准重新定级。

15.备案单位备案时应提交《信息系统安全等级保护备案表》（一式两份），不必提交《信息系统安全等级保护备案表》电子文档。

16.某单位隶属于中央，办公地点在广西，该单位的信息系统属于全国统一联网运行的分支系统，应当向当地市级以上公安机关备案。

17.第二级以上信息系统备案时需提交《备案表》中的表一、二、三。

此外，第三级以上信息系统备案单位应在系统整改、测评完成后30日内，向受理备案的公安机关网安部门补充提交《备案表》表四及其有关附件材料。

18.确定定级对象中，应避免将某个单一的系统组件，如一个服务器、一个终端、一个网络设备等作为定级对象。

19.《基本要求》中的安全技术要求中的物理安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。

20.定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

信息技术安全试题

一、判断题

1.根据IS013335标准，信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。

 正确

2.信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。

 错误  

3.只要投资充足，技术措施完备，就能够保证百分之百的信息安全。

 错误

4.我国在2006年提出的《2006～2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。

 正确

5.2003年7月国家信息化领导小组第三次会议发布的27号文件，是指导我国信息安全保障工作和加快推进信息化的纲领性文献。

 正确

6.在我国，严重的网络犯罪行为也不需要接受刑法的相关处罚。

 错误

7.安全管理的合规性，主要是指在有章可循的基础之上，确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。

 正确

8.Windows2000／xp系统提供了口令安全策略，以对帐户口令安全进行保护。

 正确

9.信息安全等同于网络安全。

 错误

10.GB17859与目前等级保护所规定的安全等级的含义不同，GB17859中等级划分为现在的等级保护奠定了基础。

 正确 

11.口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信息，进而非法获得系统和资源访问权限。

正确

12.PKI系统所有的安全操作都是通过数字证书来实现的。

 正确 

13.PKI系统使用了非对称算法、对称算法和散列算法。

 正确

14.一个完整的信息安全保障体系，应当包括安全策略（Policy）、保护（Protection）、检测（Detection）、响应（Reaction）、恢复Restoration）五个主要环节。

 正确  

15.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制，同样依赖于底层的物理、网络和系统等层面的安全状况。

 正确 

16.实现信息安全的途径要借助两方面的控制措施：

技术措施和管理措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有局限性的错误观点。

正确

17.按照BS7799标准，信息安全管理应当是一个持续改进的周期性过程。

 正确

18.虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。

 正确   

19.一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。

错误

20.定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。

 正确  

21.网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。

 正确

22.网络边统，在内网和外网之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作用。

 错误

23.防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。

 正确

24.我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。

错误

25.信息技术基础设施库（ITIL），是由英国发布的关于IT服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。

正确

26.美国国家标准技术协会NIST发布的《SP800-30》中详细阐述了IT系统风险管理内容。

 正确

27.防火墙在静态包过滤技术的基础上，通过会话状态检测技术将数据包的过滤处理效率大幅提高。

 正确

28.通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。

正确

29.脆弱性分析技术，也被通俗地称为漏洞扫描技术。

该技术是检测远程或本地系统安全脆弱性的一种安全技术。

 正确

二．单项选择题

30.下列关于信息的说法____是错误的。

D

A 信息是人类社会发展的重要支柱        B 信息本身是无形的        

C 信息具有价值，需要保护        D 信息可以以独立形态存在

31.信息安全经历了三个发展阶段，以下____不属于这三个发展阶段。

B

A 通信保密阶段        B 加密机阶段        C 信息安全阶段        D 安全保障阶段

32.信息安全在通信保密阶段对信息安全的关注局限在____安全属性。

C

A 不可否认性        B 可用性        C 保密性        D 完整性

33.信息安全在通信保密阶段中主要应用于____领域。

A

A 军事        B 商业        C 科研        D 教育

34.信息安全阶段将研究领域扩展到三个基本属性，下列____不属于这三个基本属性。

C

A 保密性        B 完整性        C 不可否认性        D 可用性

35.安全保障阶段中将信息安全体系归结为四个主要环节，下列____是正确的。

D

A 策略、保护、响应、恢复        B 加密、认证、保护、检测        

C 策略、网络攻防、密码学、备份        D 保护、检测、响应、恢复

36.下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。

A

A 杀毒软件        B 数字证书认证        C 防火墙        D 数据库加密

37.根据ISO的信息安全定义，下列选项中____是信息安全三个基本属性之一。

B

A 真实性        B 可用性        C 可审计性        D 可靠性

38.为了数据传输时不发生数据截获和信息泄密，采取了加密机制。

这种做法体现了信息安全的____属性。

A

A 保密性        B 完整性        C 可靠性        D 可用性

39.定期对系统和数据进行备份，在发生灾难时进行恢复。

该机制是为了满足信息安全的____属性。

D

A 真实性        B 完整性        C 不可否认性        D 可用性

40.数据在存储过程中发生了非法访问行为，这破坏了信息安全的____属性。

A

A 保密性        B 完整性        C 不可否认性        D 可用性  

41.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的___属性。

B  A 保密性        B 完整性        C 不可否认性        D 可用性

42.PDR安全模型属于____类型。

A

A 时间模型        B 作用模型        C 结构模型        D 关系模型

43.《信息安全国家学说》是____的信息安全基本纲领性文件。

C

A 法国        B 美国        C 俄罗斯        D 英国

44.下列的____犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。

A

A 窃取国家秘密        B 非法侵入计算机信息系统        

C 破坏计算机信息系统        D 利用计算机实施金融诈骗 

45.我国刑法____规定了非法侵入计算机信息系统罪。

B

A 第284条        B 第285条        C 第286条        D 第287条

46.信息安全领域内最关键和最薄弱的环节是____。

D

A 技术        B 策略        C 管理制度        D 人

47.信息安全管理领域权威的标准是____。

B

A ISO15408        B ISO17799／IS027001        C IS09001        D ISO14001

48.IS017799／IS027001最初是由____提出的国家标准。

C

A 美国        B 澳大利亚        C 英国        D 中国

49.IS017799的内容结构按照____进行组织。

C

A 管理原则        B 管理框架        C 管理域一控制目标一控制措施        D 管理制度

50.____对于信息安全管理负有责任。

D

A 高级管理层        B 安全管理员        C IT管理员        D 所有与信息系统有关人员

52.《计算机信息系统安全保护条例》是由中华人民共和国____第147号发布的。

A

A 国务院令        B 全国人民代表大会令        C 公安部令        D 国家安全部令

53.《互联网上网服务营业场所管理条例》规定，____负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。

B

A 人民法院        B 公安机关        C 工商行政管理部门        D 国家安全部门 

54.计算机病毒最本质的特性是____。

C

A 寄生性        B 潜伏性        C 破坏性        D 攻击性

55.____安全策略是得到大部分需求的支持并同时能够保护企业的利益。

A

A 有效的        B 合法的        C 实际的        D 成熟的

56.在PDR安全模型中最核心的组件是____。

A

A 策略        B 保护措施        C 检测措施        D 响应措施

57.制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的设施，在发生灾难后，这些设施的__。

B

A 恢复预算是多少        B 恢复时间是多长C 恢复人员有几个        D 恢复设备有多少 

58.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为____。

A

A 可接受使用策略AUP        B 安全方针        C 适用性声明        D 操作规范

59.防止静态信息被非授权访问和防止动态信息被截取解密是____。

D

A 数据完整性        B 数据可用性        C 数据可靠性        D 数据保密性

60.用户身份鉴别是通过____完成的。

A

A 口令验证        B 审计策略        C 存取控制        D 查询功能

61.故意输入计算机病