信息安全等级测评师模拟测试2管理初级Word文件下载.docx
《信息安全等级测评师模拟测试2管理初级Word文件下载.docx》由会员分享,可在线阅读,更多相关《信息安全等级测评师模拟测试2管理初级Word文件下载.docx(7页珍藏版)》请在冰豆网上搜索。
小型个体、私营企业中的信息系统。
中小学中的信息系统。
B、适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;
重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;
跨省或全国联网运行重要信息系统在省、地市的分支系统;
各部委官方网站;
跨省(市)联接的信息网络等。
C、适用于重要领域、重要部门三级信息系统中的部分重要系统。
例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。
D、地市级以上国家机关、企业、事业单位内部一般的信息系统。
例如小的局域网,非涉及秘密、敏感信息的办公系统等。
5、安全测评报告由()报地级以上市公安机关公共信息网络安全检查部门?
A、安全服务机构。
B、县级公安机关公共信息网络安全监察部门。
C、测评机构。
D、计算机信息系统运营、使用单位。
6、安全规划设计基本过程包括()、安全总体设计、安全建设规划?
A、项目调研。
B、概要设计。
C、需求分析。
D、产品设计。
7、信息系统为支撑其所承载业务而提供的程序化过程,称为()。
A、客体。
B、客观方面。
C、等级保护对象。
D、系统服务。
8、等保三级中安全管理机构包括()、个控制点?
A、3。
B、4。
C、5。
D、6。
9、运营、使用单位应当参照《信息安全技术信息系统安全管理要求》GB/T20269-2006、《信息安全技术信息系统安全工程管理要求》()管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
A、测评准则。
B、基本要求。
C、定级指南。
D、实施指南。
10、环境管理、资产管理、介质管理都属于安全管理部分的()管理。
A、人员管理。
B、安全管理机构。
C、安全管理制度。
D、系统运维管理。
11、系统建设管理中要求,对新建系统首先要进行(),在进行方案设计。
A、定级。
B、规划。
D、测评。
12、申请单位认为安全测评报告的合法性和真实性存在重大问题的,可以向()公共信息网络安全监察部门提出申诉,提交异议申诉书及有关证明材料。
A、本单位所在地公安机关。
B、地级以上市公安机关。
C、省公安厅。
D、公安部。
13、等级保护测评的执行主体最好选择?
A、独立的第三方测评服务机构。
B、具有相关资质的、独立的第三方测评服务机构。
C、从事系统集成和信息安全产品开发等安全服务机构。
D、具有相关资质的、从事系统集成和信息安全产品开发等安全服务机构。
14、从系统结构上来看,入侵检测系统可以不包括?
A、数据源。
B、分析引擎。
C、审计。
D、响应。
15、安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的核心标准是?
A、《计算机信息安全保护等级划分准则》。
B、《信息系统安全等级保护基本要求》。
C、《中华人民共和国计算机信息系统安全保护条例》。
D、《信息安全等级保护管理办法》。
16、通过()对安全现状评估产生的结果,说明了系统安全保护方面与等级保护基本要求之间的差距,这种差距是对系统进一步安全改造的依据。
B、备案。
C、等级测评。
D、安全建设整改。
17、企业盗版是指?
A、制造和销售看似合法软件产品,其实是仿冒的软件产品。
B、企业XX在其内部计算机系统中使用的软件。
C、Internet的站点上发布广告,出售假冒软件或汇编软件或允许下载的软件产品。
D、在计算机上预装XX的计算机软件。
18、从系统服务安全角度反映的信息系统安全保护等级称?
A、安全等级保护。
B、信息系统等级保护。
C、系统服务安全保护等级。
D、业务信息安全保护等级。
19、首次以国家行政法规形式确立了信息安全等级保护制度的法律地位的政策文件是?
B、《信息系统安全等级保护基本要求》。
D、《信息安全等级保护管理办法》。
20、鉴别的定义是?
A、将两个不同的主体区别开来。
B、将一个身份绑定到一个主体上。
C、防止非法用户使用系统及合法用户对系统资源的非法使用。
D、对计算机系统实体进行访问控制。
二、多选题(25分)
1、以下对信息系统安全建设整改工作的复杂性和艰巨性说法正确的是?
A、政策性和技术性很强。
B、涉及范围广。
C、信息系统安全加固改造,需要国家在经费上予以支持。
D、跨省全国联网的大系统结构复杂运行实时保障性高、数据重要,加固改造周期长。
2、下列访问控制属于按层面划分的为?
A、自主访问控制。
B、物理访问控制。
C、主机访问控制。
D、强制访问控制。
3、跟据ISO定义,信息安全的目标就是保证信息资产的三个基本安全属性,包括()。
A、不可否认性。
B、保密性。
C、完整性。
D、可用性。
4、经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,须()。
A、委托单位应当根据测评报告的建议,完善计算机信息系统安全建设。
B、重新提出安全测评委托。
C、另行委托其他测评机构进行测评。
D、自行进行安全测评。
5、根据《信息安全等圾保护管理办法》,安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件的安全专用产品()。
A、产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格。
B、产品的核心技术、关键部件具有我国自主知识产权。
C、产品研制、生产单位及其主要业务、技术人员无犯罪记录。
D、产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能。
E、对国家安全、社会秩序、公共利益不构成危害。
6、《信息安全等级促护管理办法》中要求第三圾以上信息系统应当选择符合下列条件()的等级保护测评机构进行测评。
A、在中华人民共和国境内注册成立。
B、由中国公民投资、中国法人投资或者国家投资的企事业单位。
C、具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。
D、工作人员仅限于中国公民。
7、《信息安全等级保护管理办法》中要求从事信息系统安全等级测评的机构,应当履行下列()义务。
A、遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果。
B、保守在测评活动中知悉的国家秘密、商业秘密和个人隐私。
C、防范测评风险。
D、对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任.并负责。
8、计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列瓷料的主要有?
A、安全测评委托书。
B、定级报告。
C、计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。
D、安全策略文档。
9、对三级及以上信息系统的人员配备包括如下()内容。
A、应配备一定数量的系统管理员、网络管理员、安全管理员等。
B、应配备专职安全管理员,不可兼任。
C、关键事务岗位应配备多人共同管理。
D、应配备系统审计虽,加强对管理员工作的监督。
10、三级信息系统的测试验收包括如下()内容。
A、应委托公正的第三方测试单位对系统进行安全性测试,并出县安全性测试报告。
B、在测试验收前应根据设计方案或合同要求等制订测试验收方室,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。
C、应指定或授权专门的部门负责系统测试验收的管理.并按照管理规定的要求完成系统测试验收工作。
D、应组织相关部门和相关人员对系统测试殓收报告进行审定,并签字确认。
11、三级信息系统的等级测评包括如下()内容。
A、在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等圾保护标准要求的及时整改。
B、应在系统发生变更时及时对系统进行等圾测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。
C、应选择具有国家相关技术资质相安全资质的测评单位进行等圾测评。
D、应指定或授权专门的部门或人员负责等级测评的管理。
12、信息安全等级保护测评工作原则,主要包括()
A、规范性原则。
B、整体性原则。
C、最小影响原则。
D、保密性原则。
13、等级测评实施过程中可能存在的风险,主要有()
A、验证测试影响系统正常运行。
B、工具测试影响系统正常运行。
C、敏感信息泄露,D、受到恶意攻击。
三、填空题(15分)
1、等级保护测评准则的作用,主要有()、()、()、()
2、通过组织开展信息安全等级保护的哪三项重点工作,()、()、()、落实等级保护制度的各项要求?
3、安全建设整改工作的主要特点?
()、()、()、()
4、说明信息安全等级保护基本要求中二级系统的控制类有多少?
()与三级系统的控制类差异多少?
()另外二级系统中管理要求的控制类有多少?
()与三级系统中管理要求的控制类差异多少?
四、判断题(10分)
1、信息系统等级保护的第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
2、在进行信息安全测试中,我们一般不需要自己动手进行测试。
3、根据《信息安全等圾保护管理办法》,第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监罾、检查。
4、根据《信息安全等圾保护管理办法》,信息系统的运营、使用单位应当根据本办法和有关标准,确定信息系统的安全保护等圾并报公安机关审核批准。
5、根据《信息安全等级保护管理办法》,信息系统的运营、使用单位应当根据已确定的安全保护等级,依照本办法和有关技术标准,使用符台国家有关规定,满足信息系统安全保护等级需求的信息技术产品,进行信息系统建设。
6、根据《信息安全等级保护管理办法》,第十五条已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内由其运营、使用单位到所在地设区的市圾以上公安机关办理备案手续。
7、根据《信息安全等级保护管理办法》,公安机关应当掌握信息系统运营、使用单位的备案情况,发现不符合本办法及有关标准的,应建议其予以纠正。
8、根据《信息安全等级保护管理办法》,公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。
9、第二级信息系统是指具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;
系统遭到损害后,具有恢复系统主要功能的能力。
10、安全管理要求主要包括确定安全策略,落实信息安全责任制,建立安全组织机构,加强人员管理、系统建设和运行维护的安全管理等。
11、第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查.属于监督保护圾。
12、等圾保护的政策文件主要涵盖了等级保护制度、定级、备案、等级测评、安全建设、监督检重等工作的各个环节,构成了比较完备政策体系。
13、《管理办法》中信息系统重要程度的等级的概念,是信息安全等级保护工作中的系统定级和备案、安全建设整改、等级测评和监督检查等工作的依据。
14、信息安全等级保护体现了“谁主管、谁负责,谁使用、谁负责,谁运营、谁负责”的信息安全责任制。
15、依据GB/T22239-2008,三级信息系统应对“系统管理数据”、“鉴别信息”和“重要业务数据”实现存储保密性。
16、公安部、国家保密局、国家密码管理局、原国务院信息办共同印发的《信息安全等级保护管理办法》即43号文。
17、在应用系统现场等级测评活动中,不需要对应用系统的安全功能进行验证。
18、对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要实现告知被测系统相关人员。
19、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为降低安全事件的发生。
20、安全技术要求主要包括身份鉴别、访问控制、安全审计、完整性、保密性、恶意代码防范、密码技术应用等技术,以及物理环境和设施安全保护要求。
五、简答题(30分)
1、在主机评测前期调研活动中,收集信息的内容?
在选择主机测评对象时应注意哪些要点?
2、通过开展信息系统安全建设整改工作要达到哪几个方面的目标?
3、三级信息系统中网络安全的结构安全有哪些小项?
升级会员 