信息安全管理考试真题.docx

1、信息安全管理考试真题信息安全管理考试真题LT一、判断题 (本题共45道题，每题4分，共45分。 请认真阅读题目，然后在对的题目后面打V,在 错误的题目后面打X)1.口令认证机制的安全性弱点，可以使得攻 击者破解合法用户帐户信：息，进而非法获得系 统和资源访问权限。(V)2.PKI系统所有的安全操作都是通过数字证 书来实现的。(丁)3.PKI系统使用了非对称算法.对称算法和散 列算法。(V)4.一个完整的信息安全保障体系，应当包括 安全策略(Policy)保护(Protection)检测(Detection)、响应(Reaction)、恢复 (Restoration)五个主要环节。(V)5.信息

2、安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制，同样依赖于底 层的物理、网络和系统等层面的安全状况。(V)6.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施，从这里就能看出技 术和管理并重的基本思想，重技术轻管理，或者 重管理轻技术，都是不科学，并且有局限性的错误观点。（V）1.按照BS 7799标准，信息安全管理应当是一个持续改进的周期性过程。（V）&虽然在安全评估过程中采取定量评估能获 得准确的分析结果，但是由于参数确定较为困 难，往往实际评估多采取定性评估，或者定性和 定量评估相结合的方法。（V）9.一旦发现计算机违法犯罪案件，信息系统 所有者应当在2天内迅速

3、向当地公安机关报案, 并配合公安机关的取证和调查。（X）10.定性安全风险评估结果中，级别较高的安 全风险应当优先采取控制措施予以应对。（V）11.网络边界保护中主要采用防火墙系统，为 了保证其有效发挥作用，应当避免在内网和外网 之间存在不经过防火墙控制的其他通信连接。(V)12.网络边界保护中主要采用防火墙系统，在 内网和外网之间存在不经过防火墙控制的其他 通信连接，不会影响到防火墙的有效保护作用。 （X）13.防火墙虽然是网络层重要的安全机制，但 是它对于计算机病毒缺乏保护能力。（丁）14.我国刑法中有关计算机犯罪的规定，定义 了 3种新的犯罪类型。（x ）15.信息技术基础设施库（ITI

4、L），是由英国发 布的关于IT服务管理最佳实践的建议和指导方 针，旨在解决IT服务质量不佳的情况。（V）二、选择题 （本题共25道题，每题1分，共25分。 请认真阅读题目，且每个题目只有一个正确答 案，并将答案填写在题目相应位置。）1.防止静态信息被非授权访问和防止动态信息被截取解密是_D 。A.数据完整性 B.数据可用性 C数据可靠性 D.数据保密性2.用户身份鉴别是通过 _A_完成的。A. 口令验证 B.审计策略 C.存取控制 D.查询功能3.故意输入计算机病毒以及其他有害数据， 危害计算机信息系统安全的个人，由公安机关处 以 _B_。A. 3年以下有期徒刑或拘役 B.警告或者处以5000

5、元以下的罚款C. 5年以上7年以下有期徒刑 D.警告或者15000元以下的罚款4.网络数据备份的实现主要需要考虑的问题 不包括 A 。A.架设高速局域网 B.分析应用环境C.选择备份硬件设备 D.选择备份管理软件5.计算机信息系统安全保护条例规定， 对计算机信息系统中发生的案件，有关使用单位 应当在 C 向当地县级以上人民政府公安 机关报告。A.8小时内 B.12 小 时 内C.24 小 时 内D.48小时内6.公安部网络违法案件举报网站的网址是_C 。A.www. netpolice.c n B.C. http:/www.cyberpolice.c n D.www.110.c n7.对于违反

6、信息安全法律、法规行为的行政处罚中， A 是较轻的处罚方式。A.警告 B.罚款 C.没收违法所得D.吊销许可证8.对于违法行为的罚款处罚，属于行政处罚 中的_C_。A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚9.对于违法行为的通报批评处罚，属于行政 处罚中的_B_。A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚10 1994年2月国务院发布的计算机信息系 统安全保护条例赋予_C 对计算机信息系 统的安全保护工作行使监督管理职权。A.信息产业部 B.全国人大 C.公安机关 D.国家工商总局11计算机信息网络国际联网安全保护管理 办法规定，互联单位、接入单位、使用计算机 信息网络国际联网

7、的法人和其他组织 （包括跨省、自治区、直辖市联网的单位和所属的分支机 构），应当自网络正式联通之日起 _D 日内,到所在地的省、自治区、直辖市人民政府公安机 关指定的受理机关办理备案手续。B.10D.3012.互联网服务提供者和联网使用单位落实 的记录留存技术措施，应当具有至少保存_C_ 天记录备份的功能。A.10 B.30 C.60D.9013.对网络层数据包进行过滤和控制的信息安全技术机制是_A 。A.防火墙 B.IDS C.SnifferD.IPSec14.针对操作系统安全漏洞的蠕虫病毒根治 的技术措施是 B_。A.防火墙隔离 B.安装安全补丁程序C.专用病毒查杀工具 D.部署网络入侵检

8、测系统15.下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是 A 。A.防火墙隔离 B.安装安全补丁程序C.专用病毒查杀工具 D.部署网络入侵检测系统16.下列不属于网络蠕虫病毒的是 CA.冲击波 B. SQL SLAMMER C.CIH D.振荡波17 传统的文件型病毒以计算机操作系统作 为攻击对象，而现在越来越多的网络蠕虫病毒将 攻击范围扩大到了 A 等重要网络资源。A.网络带宽 B.数据包 C.防火墙D.L INUX18.对于远程访问型 VPN来说， A 产 品经常与防火墙及NAT机制存在兼容性问题， 导致安全隧道建立失败。A. IPSee VPN B. SSL VPNC.M

9、PLS VPND.L2TP VPN19.1999年，我国发布的第一个信息安全等 级保护的国家标准GB 17859 1999，提出将信 息系统的安全等级划分为D_个等级，并提 出每个级别的安全功能要求。A.7 B.8 C.6 D.520.等级保护标准 GB 17859主要是参考了_B 而提出。A.欧洲 ITSEC B.美国 TCSECC.CC D.BS 779921.我国在1999年发布的国家标准_C_ 为信息安全等级保护奠定了基础。A. GB 177998 B. GB 15408 C.GB 17859 D. GB 1443022.信息安全登记保护的5个级别中， B是最高级别，属于关系到国计民生

10、的最 关键信息系统的保护。A.强制保护级 B.专控保护级 C.监督保护级 D.指导保护级 E.自主保护级23.信息系统安全等级保护实施指南将 A 作为实施等级保护的第一项重要内容。A.安全定级 B.安全评估 C.安全规划 D.安全实施24._C_是进行等级确定和等级保护管 理的最终对象。A.业务系统 B.功能模块 C.信息系统 D.网络系统25.当信息系统中包含多个业务子系统时，对 每个业务子系统进行安全等级确定，最终信息系 统的安全等级应当由_B 所确定。A.业务子系统的安全等级平均值 B.业务子系统的最高安全等级C.业务子系统的最低安全等级 D.以上说法都错误三、多选题 (本题共15道题，

11、每题2分，共30分。 请认真阅读题目，且每个题目至少有两个答案， 并将答案填写在题目相应位置。)1.在局域网中计算机病毒的防范策略有 。(ADE)A.仅保护工作站 B.保护通信系统C.保护打印机D.仅保护服务器 E.完全保护工作站和服务器2.在互联网上的计算机病毒呈现出的特点是 。(ABCD)A.与互联网更加紧密地结合，利用一切可以 利用的方式进行传播B.具有多种特征，破坏性大大增强C.扩散性极强，也更注重隐蔽性和欺骗性D.针对系统漏洞进行传播和破坏3.一个安全的网络系统具有的特点是 。(ABCE)A.保持各种数据的机密B.保持所有信息、数据及系统中各种程序的完整性和准确性C.保证合法访问者的

12、访问和接受正常的服务D.保证网络在任何时刻都有很高的传输速度E.保证各方面的工作符合法律、规则、许可 证、合同等标准4.任何信息安全系统中都存在脆弱点，它可以存在于 。(ABCDE)A.使用过程中 B.网络中 C.管理过程中D.计算机系统中 E.计算机操作系统中5. 是建立有效的计算机病毒防御体系所需要的技术措施。(ABCDE)A.杀毒软件 B.补丁管理系统 C.防火墙D.网络入侵检测 E.漏洞扫描6.信息系统安全保护法律规范的作用主要有 。(ABCDE)A.教育作用 B.指引作用 C.评价作用D.预测作用 E.强制作用7.根据采用的技术，入侵检测系统有以下分类： 。(BC)A.正常检测 B.

13、异常检测 C.特征检测D.固定检测 E.重点检测8.在安全评估过程中，安全威胁的来源包括 。(ABCDE)A.外部黑客 B.内部人员 C.信息技术本身D.物理环境 E.自然界9.安全评估过程中，经常采用的评估方法包括 。 (ABCDE)A.调查问卷 B.人员访谈 C.工具检测D.手工审核 E.渗透性测试10.根据ISO定义，信息安全的保护对象是信息资产，典型的信息资产包括 。(BC)A.硬件 B.软件 C.人员D.数据 E.环境11.根据ISO定义，信息安全的目标就是保证 信息资产的三个基本安全属性，包括_。(BCD)A.不可否认性 B.保密性 C.D.可用性 E.可靠性12.治安管理处罚法规

14、定， 行为，处5 日以下拘留；情节较重的，处 5日以上10日以 下拘留。(ABCD)A.违反国家规定，侵入计算机信息系统，造 成危害的B.违反国家规定，对计算机信息系统功能进 行删除、修改、增加、干扰，造成计算机信息系 统不能正常运行的C.违反国家规定，对计算机信息系统中存储、 处理、传输的数据和应用程序进行删除、修改、 增加的D.故意制作、传播计算机病毒等破坏性程序， 影响计算机信息系统正常运行的13.网络蠕虫病毒越来越多地借助网络作为传播途径，包括 。(ABCDE)A.互联网浏览 B.文件下载 C.电子邮件D.实时聊天工具 E.局域网文件共享14.在信息安全管理中进行安全教育与培训， 应当

15、区分培训对象的层次和培训内容，主要包括 (ABE)A.高级管理层 B.关键技术岗位人员 C.第三方人员户15.网络入侵检测系统，既可以对外部黑客的 攻击行为进行检测，也可以发现内部攻击者的操 作行为，通常部署在 。（BC）A.关键服务器主机 B.网络交换机的监听端口C.内网和外网的边界 D.桌面系统 E.以上都正确四、简答题 （本题共5道题，14题，每题5分，第 5小题10分，共30分。）1.简述安全策略体系所包含的内容。答：一个合理的信息安全策略体系可以包括三 个不同层次的策略文档：（1） 总体安全策略，阐述了指导性的战略纲 领性文件，阐明了企业对于信息安全的看法和立 场、信息安全的目标和战略、信息安全所涉及的 范围、管理组织构架和责任认定以及对于信息资 产的管理办法等内容；（2） 针对特定问