信息安全管理考试真题

打√，在错误的题目后面打×）

1。 口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信:息，进而非法获得系统和资源访问权限.(√)

2。 PKI系统所有的安全操作都是通过数字证书来实现的。（√） 3. PKI系统使用了非对称算法．对称算法和散列算法.（√）

4。 一个完整的信息安全保障体系,应当包括安全策略（Policy)、保护（Protection）、检测(Detection)、响应（Reaction)、恢复（Restoration）五个主要环节.（√）

5。 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。(√)

6。 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有局限性的错误观点.(√)

7. 按照BS 7799标准，信息安全管理应当是一个持续改进的周期性过程。(√） 8。 虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难,往往实际评估多采取定性评估，或者定性和定量评估相结合的方法.（√）

9. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地机关报案，并配合机关的取证和调查.（×）

10。 定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。（√)

11. 网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用，应当避免在内网和之间存在不经过防火墙控制的其他通信连接。（√)

12. 网络边界保护中主要采用防火墙系统，在内网和之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。(×）

13。 防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力（.√) 14. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。（×） 15. 信息技术基础设施库(ITIL），是由英国发布的关于IT服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。（√)

二、选择题（本题共25道题,每题1分，共25分.请认真阅读题目，且每个题目只有一个

正确答案，并将答案填写在题目相应位置。）

1. 防止静态信息被非授权访问和防止动态信息被截取解密是__D____。 A。数据完整性 B.数据可用性 C.数据可靠性 D。数据保密性

2。 用户身份鉴别是通过___A___完成的. A.口令验证 B。审计策略 C。存取控制 D。查询功能

3. 故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人,由机关处以___B___。

A。 3年以下有期徒刑或拘役 B。 警告或者处以5000元以下的罚款

C。 5年以上7年以下有期徒刑 D。 警告或者15000元以下的罚款

4。 网络数据备份的实现主要需要考虑的问题不包括__A____。 A。架设高速局域网 B。分析应用环境 C。选择备份硬件设备 D。选择

备份管理软件

5。 《计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件,有关使用单位应当在___C___向当地县级以上机关报告.

A。8小时内 B。12小时内 C.24小时内 D。48小时内

6。 网络违法案件举报网站的网址是__C____。 A。 www。netpolice。cn B。 www。gongan.cn C。 http：//www。cyberpolice。cn D。 www。110。cn

7。 对于违反信息安全法律、法规行为的行政处罚中，__A____是较轻的处罚方式. A.警告 B.罚款 C。没收违法所得 D.吊销许可证

8。 对于违法行为的罚款处罚,属于行政处罚中的___C___. A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚

9. 对于违法行为的通报批评处罚，属于行政处罚中的___B___。 A。人身自由罚 B。声誉罚 C。财产罚 D.资格罚

10 1994年2月发布的《计算机信息系统安全保护条例》赋予__C____对计算机信息系统的安全保护工作行使监督管理职权。

A。信息产业部 B。全国 C.机关 D。国家工商总局

11。 《计算机信息网络国际联网安全保护管理办法》规定，互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构)，应当自网络正式联通之日起__D____日内，到所在地的省、自治区、直辖市机关指定的受理机关办理备案手续。

A。7 B。10 C。15 D.30 12。 互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存__C__天记录备份的功能。

A.10 B。30 C.60 D.90 13。 对网络层数据包进行过滤和控制的信息安全技术机制是_A_____。 A.防火墙 B.IDS C。Sniffer D。IPSec 14。 针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____B__. A。 防火墙隔离 B。 安装安全补丁程序 C。 专用病毒查杀工具 D. 部署网络入侵检测系统

15。 下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是__A____. A。 防火墙隔离 B。 安装安全补丁程序 C. 专用病毒查杀工具 D。 部署网络入侵检测系统 16。 下列不属于网络蠕虫病毒的是__C____. A. 冲击波 B. SQL SLAMMER C。 CIH D. 振荡波 17。 传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了__A____等重要网络资源。

A。网络带宽 B。数据包 C。防火墙 D。LINUX 18。 对于远程访问型VPN来说,__A____产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。

B. SSL VPN C. MPLS VPN

D。 L2TP VPN

19。 1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859—1999，提出将信息系统的安全等级划分为___D___个等级，并提出每个级别的安全功能要求.

A。7 B。8 C。6 D.5 20。 等级保护标准GB l7859主要是参考了__B____而提出。 A.欧洲ITSEC B。美国TCSEC C。CC D.BS 7799

21。 我国在1999年发布的国家标准___C___为信息安全等级保护奠定了基础。 A。 GB l77998 B. GB l08 C。 GB l7859 D。 GB l4430

22。 信息安全登记保护的5个级别中,___B___是最高级别，属于关系到国计民生的最关键信息系统的保护。

A.强制保护级 B.专控保护级 C.监督保护级 D。指导保护级 E.自主保护级

23。 《信息系统安全等级保护实施指南》将___A___作为实施等级保护的第一项重要内容。

A.安全定级 B。安全评估 C.安全规划 D。安全实施

24。 ___C___是进行等级确定和等级保护管理的最终对象。 A。业务系统 B。功能模块 C。信息系统 D。网络系统

25。 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由__B____所确定。

A. 业务子系统的安全等级平均值 B。 业务子系统的最高安全等级 C。 业务子系统的最低安全等级 D。 以上说法都错误

A。 IPSee VPN

三、多选题(本题共15道题,每题2分，共30分。请认真阅读题目，且每个题目至少有两

个答案,并将答案填写在题目相应位置.）

1。 在局域网中计算机病毒的防范策略有______。(ADE) A。仅保护工作站 B.保护通信系统 C。保护打印机 D.仅保护服务器 E.完全保护工作站和服务器 2。 在互联网上的计算机病毒呈现出的特点是______.(ABCD)

A。 与互联网更加紧密地结合，利用一切可以利用的方式进行传播 B. 具有多种特征，破坏性大大增强

C。 扩散性极强，也更注重隐蔽性和欺骗性 D. 针对系统漏洞进行传播和破坏

3。 一个安全的网络系统具有的特点是______。（ABCE） A. 保持各种数据的机密

B。 保持所有信息、数据及系统中各种程序的完整性和准确性 C. 保证合法访问者的访问和接受正常的服务 D。 保证网络在任何时刻都有很高的传输速度

E. 保证各方面的工作符合法律、规则、许可证、合同等标准 4. 任何信息安全系统中都存在脆弱点，它可以存在于______。（ABCDE） A。使用过程中 B。网络中 C。管理过程中

D.计算机系统中 E。计算机操作系统中 5. ______是建立有效的计算机病毒防御体系所需要的技术措施。（ABCDE) A。杀毒软件 B。补丁管理系统 C。防火墙 D.网络入侵检测 E。漏洞扫描 6. 信息系统安全保律规范的作用主要有______。(ABCDE) A.教育作用 B。指引作用 C.评价作用 D。预测作用 E.强制作用 7。 根据采用的技术,入侵检测系统有以下分类：______。(BC） A。正常检测 B.异常检测 C。特征检测 D。固定检测 E。重点检测 8。 在安全评估过程中，安全威胁的来源包括______。(ABCDE） A.外部黑客 B。内部人员 C.信息技术本身 D.物理环境 E.自然界 9. 安全评估过程中,经常采用的评估方法包括______.(ABCDE） A。调查问卷 B。人员访谈 C。工具检测 D.手工审核 E。渗透性测试

10。 根据ISO定义，信息安全的保护对象是信息资产，典型的信息资产包括______。（BC）

A.硬件 B。软件 C.人员 D.数据 E。环境 11。 根据ISO定义，信息安全的目标就是保证信息资产的三个基本安全属性,包括__。(BCD）

A.不可否认性 B.保密性 C.完整性 D.可用性 E。可靠性

12。 治安管理处罚法规定，______行为，处5日以下拘留；情节较重的，处5日以上10日以下拘留。（ABCD）

A。 违反国家规定，侵入计算机信息系统，造成危害的

B。 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的

C。 违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的

D。 故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的 13。 网络蠕虫病毒越来越多地借助网络作为传播途径，包括______。（ABCDE） A.互联网浏览 B。文件下载 C。电子邮件 D。实时聊天工具 E。局域网文件共享

14。 在信息安全管理中进行安全教育与培训，应当区分培训对象的层次和培训内容，主要包括__（ABE)

A。高级管理层 B。关键技术岗位人员 C.第三方人员 D。外部人员 E。普通计算机用户

15. 网络入侵检测系统，既可以对外部黑客的攻击行为进行检测，也可以发现内部攻击者的操作行为，通常部署在______。（BC)

A。 关键服务器主机 B. 网络交换机的监听端口 C. 内网和的边界 D. 桌面系统 E。 以上都正确

四、简答题（本题共5道题,1~4题，每题5分，第5小题10分,共30分.）

1。 简述安全策略体系所包含的内容。

答：一个合理的信息安全策略体系可以包括三个不同层次的策略文档：

(1）总体安全策略，阐述了指导性的战略纲领性文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容；

（2)针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容，例如，针对Internet访问操作、计算机和网络病毒

防治、口令的使用和管理等特定问题，制定有针对性的安全策略；

（3）针对特定系统的具体策略,更为具体和细化，阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等。

2. 简述我国信息安全等级保护的级别划分.

答： (1）第一级为自我保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其它组织的合法权益产生损害，但不损害、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。

（2）第二级为指导保护级.其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成轻微损害，但不损害;本级系统依照国家管理规范和技术标准进行自主保护，必要时,信息安全监管职能部门对其进行指导。

(3）第三级为监管保护级。其主要对象为涉及、社会秩序和公共利益的主要信息系统,器业务信息安全性或业务服务保证性受到破坏后，会对、社会秩序和公共利益造成较大损害;本机系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。

(4)第四级为强制保护级。其主要对象为涉及、社会秩序和公共利益的主要信息系统，其业务信息安全性或业务服务保证性受到破坏后,会对、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查.

（5）第五级为专控保护级。其主要对象为涉及、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。

3. 简述信息安全脆弱性的分类及其内容。

答：信息安全脆弱性的分类及其内容如下所示； 脆弱性分类： 一、技术脆弱性

1、物理安全：物理设备的访问控制、电力供应等

2、网络安全:基础网络构架、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等

3、系统安全：应用软件安全漏洞、软件安全功能、数据防护等 4、应用安全：应用软件安全漏洞、软件安全功能、数据防护等 二、管理脆弱性

安全管理：安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性

4。 简述至少4种信息系统所面临的安全威胁。 答：信息系统所面临的常见安全威胁如下所示：

软硬件故障:由于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响.

物理环境威胁：断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害。

无作为或操作失误：由于应该执行而没有执行相应的操作，或无意的执行了错误的操作,对系统造成影响.

管理不到位：安全管理无法落实,不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行。

恶意代码和病毒:具有自我复制、自我传播能力，对信息系统构成破坏的程序代码。 越权或滥用：通过采用一些,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权，做出破坏信息系统的行为.

黑客攻击技术：利用黑客工具和技术,例如,侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。

物理攻击：物理接触、物理破坏、盗窃。 泄密:机密信息泄露给他人。

篡改：非法修改信息，破坏信息的完整性.

抵赖：不承认收到的信息和所作的操作和交易。 5. 请谈谈参加本次培训的体会与提高。 （发挥题目，请各抒己见）