信息安全管理练习题.docx

信息安全管理练习题.docx

《信息安全管理练习题.docx》由会员分享，可在线阅读，更多相关《信息安全管理练习题.docx（35页珍藏版）》请在冰豆网上搜索。

信息安全管理练习题

信息安全管理练习题-2014

判断题：

1.信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。

（为

注释：

在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction）、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。

2.一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公

安机关报案，并配合公安机关的取证和调查。

（％

注释：

应在24小时内报案

3.我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（％

注释：

共3种计算机犯罪，但只有2种新的犯罪类型。

单选题：

1.信息安全经历了三个发展阶段，以下（B）不属于这三个发展阶段。

A.通信保密阶段B.加密机阶段C.信息安全阶段D.安全保障阶段

2.信息安全阶段将研究领域扩展到三个基本属性，下列（C）不属于这三个基本属性。

A.保密性B.完整性C.不可否认性D.可用性

3.下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。

A.杀毒软件B.数字证书认证C.防火墙D.数据库加密

4.《信息安全国家学说》是（C）的信息安全基本纲领性文件。

A.法国B.美国C.俄罗斯D.英国

注：

美国在2003年公布了《确保网络空间安全的国家战略》。

5.信息安全领域内最关键和最薄弱的环节是（D）。

A.技术B.策略C.管理制度D.人

6.信息安全管理领域权威的标准是（B）。

A.ISO15408B.ISO17799/ISO27001（英）C.ISO9001D.ISO14001

7.《计算机信息系统安全保护条例》是由中华人民共和国（A）第147号发布的。

A.国务院令B.全国人民代表大会令C.公安部令D.国家安全部令

8.在PDR安全模型中最核心的组件是（A）。

A.策略B.保护措施C.检测措施D.响应措施

9.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（A）0

A.可接受使用策略AUPB.安全方针C.适用性声明D.操作规范

10.互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少

保存（C）天记录备份的功能。

A.10B.30C.60D.90

11.下列不属于防火墙核心技术的是（D）

A.（静态/动态）包过滤技术B.NAT技术C.应用代理技术D.日志

审计

12.应用代理防火墙的主要优点是（B）

A.加密强度更高B.安全控制更细化、更灵活C.安全服务的透明性更

好D.服务对象更广泛

13.对于远程访问型VPN来说，（A）产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。

A.IPSecVPNB.SSLVPNC.MPLSVPND.L2TPVPN

注：

IPSec协议是一个应用广泛，开放的VPN安全协议，目前已经成为最流行的VPN解决方案。

在IPSec框架当中还有一个必不可少的要素：

Internet安全关联和密钥管理协议一一IKE（或者叫ISAKMP/Oakley），它提供自动建立安全关联和管理密钥的功能。

14.1999年,我国发布的第一个信息安全等级保护的国家标准GB17859-1999，

提出将信息系统的安全等级划分为（D）个等级，并提出每个级别的安全功

能要求。

A.7B.8C.6D.5

注：

该标准参考了美国的TCSEC标准，分自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。

15.公钥密码基础设施PKI解决了信息系统中的（A）问题。

A.身份信任B.权限管理C.安全审计D.加密

注：

PKI（PublicKeyInfrastructure,公钥密码基础设施），所管理的基本元素是数字证书。

16.最终提交给普通终端用户，并且要求其签署和遵守的安全策略是（C）。

A.口令策略B.保密协议C.可接受使用策略AUPD.责任追究制度

知识点：

1.《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。

2.安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。

3.1994年2月18日国务院发布《计算机信息系统安全保护条例》。

4.安全审计跟踪是安全审计系统检测并追踪安全事件的过程。

5.环境安全策略应当是简单而全面。

6.安全管理是企业信息安全的核心。

7.信息安全策略和制定和维护中，最重要是要保证其明确性和相对稳定性。

8.许多与PKI相关的协议标准等都是在X.509基础上发展起来的。

9.避免对系统非法访问的主要方法是访问控制。

10.灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。

11.RSA是最常用的公钥密码算法。

12.在信息安全管理进行安全教育和培训，可以有效解决人员安全意识薄弱。

13.我国正式公布电子签名法，数字签名机制用于实现抗否认。

14.在安全评估过程中，采取渗透性测试手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

15.病毒网关在内外网络边界处提供更加主动和积极的病毒保护。

16.信息安全评测系统CC是国际标准。

17.安全保护能力有4级：

1级—能够对抗个人、一般的自然灾难等；2级—对抗小型组织；3级-对抗大型的、有组织的团体，较为严重的自然灾害，能够恢

复大部分功能；4级-能够对抗敌对组织、严重的自然灾害，能够迅速恢复所有功能。

18.信息系统安全等级分5级：

1—自主保护级；2—指导保护级；3—监督保护级；4—强制保护级；5—专控保护级。

19.信息系统安全等级保护措施：

自主保护、同步建设、重点保护、适当调整。

20.对信息系统实施等级保护的过程有5步：

系统定级、安全规则、安全实施、安全运行和系统终止。

21.定量评估常用公式：

SLE（单次资产损失的总值）=AV（信息资产的估价）疋F（造成资产损失的程序）。

22.SSL主要提供三方面的服务，即认证用户和服务器、加密数据以隐藏被传送的数据、维护数据的完整性。

23.信息安全策略必须具备确定性、全面性和有效性。

24.网络入侵检测系统，既可以对外部黑客的攻击行为进行检测，也可以发现内部攻击者的操作行为，通常部署在网络交换机的监听端口、内网和外网的边界。

25.技术类安全分3类：

业务信息安全类（S类）、业务服务保证类（A类）、通用安全保护类（G类）。

其中S类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改；A类关注的是保护系统连续正常的运行等；G类两者都有所关注。

26.如果信息系统只承载一项业务，可以直接为该信息系统确定安全等级，不必

划分业务子系统。

27.信息系统生命周期包括5个阶段：

启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。

而安全等级保护实施的过程与之相对应，分别是系统定级、安全规划设计、安全实施、安全运行维护和系统终止。

一、选择题（每题1分，共10分）

（）1.信息安全中的可用性是指

a）信息不能被未授权的个人，实体或者过程利用或知悉的特性

b）保护资产的准确和完整的特性

c）根据授权实体的要求可访问和利用的特性

d）以上都不对

（）2•审核证据是指

a）与审核准则有关的，能够证实的记录、事实陈述或其他信息

b）在审核过程中收集到的所有记录、事实陈述或其他信息

c）一组方针、程序或要求

d）以上都不对

（）3.属于系统威胁。

a）不稳定的电力供应

b）硬件维护失误

c）软件缺乏审计记录

d）口令管理机制薄弱

（）4•管理体系是指

a）建立方针和目标并实现这些目标的体系

b）相互关联和相互作用的一组要素

c）指挥和控制组织的协调的活动

d）以上都不对

（）5.信息安全管理实用规则ISO/IECI7799属于标准？

a）词汇类标准

b）要求类标准

c）指南类标准

d）以上都不对

（）6•在信息安全管理体系阶段应测量控制措施的有效性？

a）建立

b）实施和运行

c）监视和评审

d）保持和改进

（）7•风险评价是指

a）系统地使用信息来识别风险来源和估计风险

b）将估计的风险与给定的风险准则加以比较以确定风险严重性的过程

c）指导和控制一个组织相关风险的协调活动

d）以上都不对

（）8•可使用来保护电子消息的保密性和完整性

a）密码技术

b）通信技术

c）控制技术

d）自动化技术

（）9•现状不符合文件是指

a）标准要求的没有写到

b）写到的没有做到

c）做到的没有达到目标

d）以上都不对

（）10•以下属于计算机病毒感染事件的纠正措施的是

a）对计算机病毒事件进行响应和处理

b）将感染病毒的计算机从网络中隔离

c）对相关责任人进行处罚

d）以上都不是

二、判断题（每题1分，共10分）

你认为正确的在（）中划错误的划“x”

（）1•客户资料不属于组织的信息资产。

（）2•组织的安全要求全部来源于风险评估。

（）3•通过使用资源和管理，将输入转化为输出的任意活动，称为过程。

（）4.组织必须首先从ISO/IEC27001附录A的控制措施列表中选取控制措施。

（）5.风险分析和风险评价的整个过程称为风险评估。

（）6.控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响。

（）7.资产责任人”，要求与信息处理设施有关的所有资产都应由指定人员承担责任。

（）8.网站信息由于属于公共可用信息，因此无须实施安全保密措施。

（）9.审核范围必须与受审核方信息安全管理体系范围一致。

（）10.当组织信息安全管理体系的基础发生重大变化而增加的一次审核称为监督审核。

三、填空题（每题1分，共5分）

指出IS027001:

2005标准中适用于下述情景的某项条款，请将条款号填在横线上。

1.信息安全管理部的员工根据风险评估的结果，正在选择适当的控制措施。

”适用于这一情况的条款是一一

2.某公司规定无论离职或调职，员工的原有系统访问权一律撤销。

”适用

于这一情况的条款是

3.某公司在其机房内贴了一张行为准则，员工在机房内工作时必须遵守。

”适用于这一情况的条款是一一

4.公司重要服务器的操作记录中没有任何管理员操作的记录。

”适用于这一情况的条款是一一

5.某公司的信息系统中使用了密码手段来保障其信息安全，但该公司的相关

工作人员对我国密码方面的法律法规一无所知。

”

适用于这一情况的条款是

四、问答题（1—3题每题5分，共15分；4.5题每题15分，共30分；共45分）

1.什么是信息安全？

组织的信息安全要求分为哪几类？

并简要说明。

2.ISO/IEC27001:

2005附录A所列出的控制措施中，哪些条款体现了管理

者作用”，至少举出3条控制措施，并简要说明。

3.审核组进入审核现场后，通常会有哪些会议？

各有什么作用？

会议主持人一般由谁担任？

4.如果某软件开发公司涉及软件外包业务，请列出在软件外包的过程中所涉及的风险，并

从ISO/IEC27001:

2005附录A控制措施列表中选择适当的控制措施，作简要说明。