信息系统运行维护及网络安全攻防竞赛笔试.docx
《信息系统运行维护及网络安全攻防竞赛笔试.docx》由会员分享,可在线阅读,更多相关《信息系统运行维护及网络安全攻防竞赛笔试.docx(13页珍藏版)》请在冰豆网上搜索。
信息系统运行维护及网络安全攻防竞赛笔试
信息系统运行维护及网络安全攻防竞赛(笔试)
1、对于涉密信息系统实行分级保护,确定涉密信息系统安全等级,主要考虑的因素包括涉密信息的涉密等级、涉密信息系统的重要性、到破坏后对国计民生造成的危害性和涉密信息系统必须达到的安全保护水平。
[判断题]*
对(正确答案)
错
2、完整性是指保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性。
[判断题]*
对(正确答案)
错
3、新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地市级以上公安机关办理备案手续。
[判断题]*
对
错(正确答案)
4、设备设施故障是指信息系统自身故障而导致的信息安全事件。
因市政供电线路意外中断而导致信息系统无法正常工作,鉴于市政供电线路不属于信息系统保护范围,因此该事件分类不属于设备设施故障。
[判断题]*
对
错(正确答案)
5、公司办公区域内信息外网办公计算机应通过本单位统一互联网出口接入互联网;严禁将公司办公区域内信息外网办公计算机作为无线共享网络节点,为其它网络设备提供接入互联网服务,如通过随身Wifi等为手机等移动设备提供接入互联网服务。
[判断题]*
对(正确答案)
错
6、《国家电网公司应用软件通用安全要求》中规定,应用软件部署后,应该对操作系统、数据库等基础系统进行针对性的加固,在保证应用软件正常运行的情况下,关闭存在风险的无关服务和端口。
[判断题]*
对(正确答案)
错
7、涉及二级与三级系统间共用的网络设备、安全设备,采用“就低不就高”的原则,按二级要求进行防护。
[判断题]*
对
错(正确答案)
8、严禁通过互联网远程运维方式进行设备和系统的维护工作,内网远程运维要履行审批程序,并对各项操作进行监控、记录和审计。
[判断题]*
对(正确答案)
错
9、信息系统运行机构应建立账号休眠、激活和注销制度,定期对临时、长期不使用的账号进行清理,业务应用账号清理需经业务主管部门同意后方可执行。
[判断题]*
对(正确答案)
错
10、根据《信息安全等级保护管理办法》,信息系统的运营、使用单位应当根据本办法和有关标准,确定信息系统的安全保护等级并报公安机关审核批准。
[判断题]*
对
错(正确答案)
11、如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。
[判断题]*
对(正确答案)
错
12、2004年,公安部、国家保密局、国家密码管理局、国信办联合印发《关于信息安全等级保护工作的实施意见》。
[判断题]*
对(正确答案)
错
13、《信息系统安全等级保护基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:
类、项和控制点。
[判断题]*
对
错(正确答案)
14、《计算机信息系统安全保护等级划分准则》科学地确定和划分了信息系统的安全等级,对信息系统的安全等级划分作出了规范化规定和描述,为各单位开展、实施系统等级保护提供了一个通用标准。
[判断题]*
对
错(正确答案)
15、《计算机信息网络国际联网安全保护管理办法》是我国第一部全面调整互联网络安全的行政法规,不仅对我国互联网的初期发展起到了重要的保障作用,而且为后续有关信息网络安全的法规、规章的出台起到了重要的指导作用。
[判断题]*
对(正确答案)
错
16、《互联网安全保护技术措施规定》规定了互联网安全保护技术措施负责落实的责任主体是各级公安机关公共信息网络安全监察部门。
[判断题]*
对
错(正确答案)
17、信息网络是影响现代社会正常运行和发展的极其重要的基础设施(信息高速公路),不法分子对信息网络的攻击一旦得逞,不可能导致成千上万台计算机瘫痪,大量企事业单位和政府部门的工作不能正常进行。
[判断题]*
对
错(正确答案)
18、为提高安全性,用户应设置负责密码,密码一般应设置为8位以上,密码应由大写字母、小写字母、数字、特殊字符中的任意三种组合而成。
[判断题]*
对(正确答案)
错
19、严禁对未通过安全测评或未履行上线流程的测试系统开放外部访问权限。
[判断题]*
对(正确答案)
错
20、各级系统安全保护要求中的安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
[判断题]*
对(正确答案)
错
21、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?
()[单选题]*
A.提高信息技术产品的国产化率(正确答案)
B.保证信息安全资金投入
C.加快信息安全人才培养
D.重视信息安全应急处理工作
22、以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?
()[单选题]*
A.强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程
B.强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标
C.以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心(正确答案)
D.通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征
23、以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?
()[单选题]*
A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全
B.通过技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心(正确答案)
C.是一种通过客观证据向信息系统评估者提供主观信心的活动
D.是主观和客观综合评估的结果
24、信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容:
()[单选题]*
A.说明信息安全对组织的重要程度
B.介绍需要符合的法律法规要求
C.信息安全技术产品的选型范围(正确答案)
D.信息安全管理责任的定义
25、ISO27002中描述的11个信息安全管理控制领域不包括:
()[单选题]*
A.信息安全组织
B.资产管理
C.内容安全(正确答案)
D.人力资源安全
26、下面有关我国信息安全管理体制的说法错误的是:
()[单选题]*
A.目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面
B.我国的信息安全保障工作综合利用法律、管理和技术的手段(正确答案)
C.我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针
D.我国对于信息安全责任的原则是谁主管、谁负责;谁经营、谁负责
27、等级保护定级阶段主要包括哪两个步骤?
()[单选题]*
A.系统识别与描述、等级确定(正确答案)
B.系统描述、等级确定
C.系统识别、系统描述
D.系统识别与描述、等级分级
28、依据国家标准GB/T20274《信息系统安全保障评估框架》.在信息系统安全目标中,评估对象包括哪些内容?
()[单选题]*
A.信息系统管理体系、技术体系、业务体系
B.信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程
C.信息系统安全管理、信息系统安全技术和信息系统安全工程(正确答案)
D.信息系统组织机构、管理制度、资产
29、下列哪项不是《信息安全等级保护管理办法》(公通字[2007]43号)规定的内容:
()[单选题]*
A.国家信息安全等级保护坚持自主定级、自主保护的原则
B.国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查
C.跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级
D.涉及国家秘密的信息系统不进行分等级保护(正确答案)
30、根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?
()[单选题]*
A.威胁、脆弱性
B.系统价值、风险
C.信息安全、系统服务安全
D.受侵害的客体、对客体造成侵害的程度业务(正确答案)
31、全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求,“加快信息安全人才培养,增强全民信息安全意识”的指导精神,是以下哪一个国家政策文件提出的?
()[单选题]*
A.《国家信息化领导小组关于加强信息安全保障工作的意见》(正确答案)
B.《信息安全等级保护管理办法》
C.《中华人民共和国计算机信息系统安全保护条例》
D.《关于加强政府信息系统安全和保密管理工作的通知》
32、我国信息系统安全等级保护工作环节依次是:
()[单选题]*
A.定级-检查-建设整改-等级测评-备案
B.等级测评-建设整改-监督检查
C.定级-备案-建设整改-等级测评-监督检查(正确答案)
D.定级-等级测评-备案-建设整改-监督检查
33、以下哪一项不是《信息安全事件分级分类指南》中信息安全事件分级需要参考的三个重要因素之一?
()[单选题]*
A.信息系统的重要程度
B.信息系统的用户数量(正确答案)
C.事件造成的系统损失
D.事件造成的社会影响
34、信息安全管理体系是基于()的方法,来建立、实施、运作、监视、评审、保持和改进信息安全。
[单选题]*
A.信息安全
B.业务系统(正确答案)
C.信息系统防护
D.安全风险
35、信息系统安全保护等级为3级的系统,应当()年进行一次等级测评。
[单选题]*
A.0.5
B.1(正确答案)
C.2
D.3
36、信息技术安全评估通用标准(cc)标准主要包括哪几个部分?
()[单选题]*
A.通用评估方法、安全功能要求、安全保证要求
B.简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南
C.简介和一般模型、安全功能要求、安全保证要求(正确答案)
D.简介和一般模型、安全要求、PP和ST产生指南
37、依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是:
()[单选题]*
A.信息系统安全保障目的
B.环境安全保障目的
C.信息系统安全保障目的和环境安全保障目的
D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的(正确答案)
38、《电力行业信息系统安全等级保护基本要求》的保护强度()GB/T22239-2008《信息系统安全等级保护基本要求》中的保护强度。
[单选题]*
A.高于(正确答案)
B.低于
C.等同
D.以上均措
39、《国家电网公司信息安全风险评估管理暂行办法》中规定,风险评估工作的周期是()年。
[单选题]*
A.1~2
B.2~3(正确答案)
C.3~4
D.4~5
40、《国家电网公司信息系统安全管理办法》中要求对操作系统和数据库系统特权用户访问权限分离,对访问权限一致的用户进行分组,访问控制力度应达到主体为()级。
[单选题]*
A.用户(正确答案)
B.功能
C.文件
D.数据表
41、国家电网公司信息安全技术督查工作坚持“()”的方针。
[单选题]*
A.督查与整改并重
B.安全第一、预防为主、综合治理(正确答案)
C.统一督查、统一领导、力求实效
D.统一领导、力求实效
42、安全事故调查应坚持()的原则,及时、准确地查清事故经过、原因和损失,查明事故性质,认定事故责任,总结事故教训,提出整改措施,并对事故责任者提出处理意见,做到“四不放过”。
[单选题]*
A.实事求是、尊重科学(正确答案)
B.依据国家法规
C.行业规定
D.相关程序
43、以下对信息安全问题产生的根源描述最准确的是:
()[单选题]*
A.信息安全问题是由于信息技术的不断发展造成的
B.信息安全问题是由于黑客组织和犯罪集团追求名和利造成的
C.信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的
D.信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏(正确答案)
44、关于信息安全等级保护政策,下列说法错误的是?
()[单选题]*
A.非涉密计算机信息系统实行等级保护,涉密计算机信息系统实行分级保护
B.信息安全等级保护实行“自主定级,自主保护”的原则
C.信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督
D.对三级以上信息系统实行备案要求,由公安机关颁发本案证明(正确答案)
45、关于《计算机信息系统安全保护条例》,以下错误的是:
()[单选题]*
A.计算机信息系统实行安全等级保护制度。
B.计算机信息系统使用单位应当建立健全安全管理制度。
C.计算机信息系统实行性能测试和安全测评制度。
(正确答案)
D.公安部主管全国计算机信息系统安全保护工作(含安全监督职权)。
46、下列哪一些对信息安全漏洞的描述是错误的?
()[单选题]*
A.漏洞是存在于信息系统的某种缺陷
B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)
C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。
D.漏洞都是人为故意引入的一种信息系统的弱点(正确答案)
47、以下关于信息安全法治建设的意义,说法错误的是:
()[单选题]*
A.信息安全法律环境是信息安全保障体系中的必要环节
B.是否可以抵抗大部分风险
C.是否建立了具有自适应能力的信息安全模型
D.是否已经将风险控制在可接受的范围内(正确答案)
48、《测评要求》、《测评过程指南》和()是开展用户系统等级测评的主要依据。
[单选题]*
A.《信息系统安全等级保护实施指南》
B.《信息系统安全保护等级定级指南》
C.《信息系统安全等级保护基本要求》(正确答案)
D.《信息系统安全等级保护管理办法》
49、在需要保护的信息资产中,()是最重要的。
[单选题]*
A.环境
B.硬件
C.数据(正确答案)
D.软件
50、在安全评估过程中,采取()手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
[单选题]*
A.问卷调查
B.人员访谈
C.渗透性测试(正确答案)
D.手工检查
升级会员 