信息安全管理考试真题

1、精选文库9一、判断题（本题共15 道题，每题1 分，共 15 分。请认真阅读题目，然后在对的题目后面打，在错误的题目后面打X）1. 口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信：息，进而非法获得系统和资源访问权限。（，）2. PKI系统所有的安全操作都是通过数字证书来实现的。（，）3. PKI系统使用了非对称算法.对称算法和散列算法。（，）4. 一个完整的信息安全保障体系，应当包括安全策略（Policy） 、保护 （Protection） 、检测（Detection）、响应（Reaction）、恢复（Restoration）五个主要环节。（，）5. 信息安全的层次化特点决定了应用

2、系统的安全不仅取决于应用层安全机制，同样依赖于底层的物理、网络和系统等层面的安全状况。（，）6. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有 局限性的错误观点。（，）7. 按照BS 7799标准，信息安全管理应当是一个持续改进的周期性过程。（，）8. 虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。（，）9. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2 天内迅速向当地公安机关报案，并配合

3、公安机关的取证和调查。（X ）10. 定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。（，）11. 网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。（V）12. 网络边界保护中主要采用防火墙系统，在内网和外网之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作用。（x ）13. 防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。（，）14. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。（X）15. 信息技术基础设施库（ITIL） ， 是由英国发布的关于IT

4、 服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。（，）二、选择题（本题共25 道题，每题1 分，共 25 分。请认真阅读题目，且每个题目只有一个正确答案，并将答案填写在题目相应位置。）1. 防止静态信息被非授权访问和防止动态信息被截取解密是_D 。A. 数据完整性B. 数据可用性C. 数据可靠性D. 数 据保密性2. 用户身份鉴别是通过_A_ 完成的。A. 口令验证B. 审计策略C. 存取控制D. 查 询功能3. 故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人，由公安机关处以_B_ 。A. 3 年以下有期徒刑或拘役B. 警告或者处以5000 元以下的 备份

5、管理软件罚款C. 5 年以上 7 年以下有期徒刑4. 网络数据备份的实现主要需要考虑的问题不包括A. 架设高速局域网B. 分析应用环境D. 警告或者15000 元以下的罚款_A 。C. 选择备份硬件设备D. 选 择5 .计算机信息系统安全保护条例规定，对计算机信息系统中发生的案件，有关使 用单位应当在 C 向当地县级以上人民政府公安机关报告。A.8小时内B.12小时内C.24小时内D.48小时内6 .公安部网络违法案件举报网站的网址是_C 。B. A. C. D. 7 .对于违反信息安全法律、法规行为的行政处罚中，A是较轻的处罚方式。A.警告B.罚款C.没收违法所得D.吊销许可证8 .对于违法

6、行为的罚款处罚，属于行政处罚中的C。A.人身自由罚B.声誉罚C.财产罚D.资格罚9 .对于违法行为的通报批评处罚，属于行政处罚中的B。A.人身自由罚B.声誉罚C.财产罚D.资格赋予_C 对计算机10 1994年2月国务院发布的 计算机信息系统安全保护条例信息系统的安全保护工作行使监督管理职权。A.信息产业部 工商总局B.全国人大C.公安机关D.国家11.计算机信息网络国际联网安全保护管理办法规定，互联单位、接入单位、使用 计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起 _D 日内，到所在地的省、自治区、直辖市 人民政府公安

7、机关指定的受理机关办理备案手续。A.7B.10C.15D.3012.互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存C天记录备份的功能。A.10B.30C.60D.9013 .对网络层数据包进行过滤和控制的信息安全技术机制是_A。A.防火墙B.IDSC.Sniffer D.IPSec14 .针对操作系统安全漏洞的蠕虫病毒根治的技术措施是 B_。A.防火墙隔离B.安装安全补丁程序C.专用病毒查杀工具D.部署网络入侵检测系统15 .下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是_AA.防火墙隔离C.专用病毒查杀工具B.安装安全补丁程序D.部署网络入侵检测系统16

8、.下列不属于网络蠕虫病毒的是_C。A.冲击波B. SQL SLAMMER C. CIHD.振荡波17 .传统的文件型病毒以计算机操作系统作为攻击对象, 毒将攻击范围扩大到了A 等重要网络资源。A.网络带宽B.数据包C.防火墙而现在越来越多的网络蠕虫病D.LINUX18 .对于远程访问型 VPN来说， A产品经常与防火墙及 NAT机制存在兼容性问题，导致安全隧道建立失败。A. IPSee VPNB. SSL VPNC.MPLSVPND. L2TP VPN19 . 1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859 1999,提出将信息系统的安全等级划分为D一个等级，并提出每个

9、级别的安全功能要求。A.7B.8C.6D.520 .等级保护标准 GB 17859主要是参考了 _B 而提出。A.欧洲 ITSECB.美国 TCSECC.CCD.BS779921 .我国在1999年发布的国家标准C为信息安全等级保护奠定了基础。A. GB l77998B. GB l5408C. GB l7859D. GBl443022 .信息安全登记保护的 5个级别中，B是最高级别，属于关系到国计民生的最 关键信息系统的保护。A.强制保护级B.专控保护级C.监督保护级D.指导保护级 E.自主保护级23 .信息系统安全等级保护实施指南将 A 作为实施等级保护的第一项重要内A.安全定级实施B.安全

10、评估C.安全规划D.安全24 . C是进行等级确定和等级保护管理的最终对象。A.业务系统B.功能模块系统25.当信息系统中包含多个业务子系统时， 信息系统的安全等级应当由 _B 所确定。A.业务子系统的安全等级平均值C.信息系统D.网络对每个业务子系统进行安全等级确定， 最终B.业务子系统的最高安全等级C.业务子系统的最低安全等级D.以上说法都错误三、多选题(本题共15道题，每题2分，共30分。请认真阅读题目，且每个题目至少有两个答案，并将答案填写在题目相应位置。)1 .在局域网中计算机病毒的防范策略有 。(ADE)A.仅保护工作站B.保护通信系统C.保护打印机D.仅保护服务器E.完全保护工作

11、站和服务器2 .在互联网上的计算机病毒呈现出的特点是 。(ABCD)A.与互联网更加紧密地结合，利用一切可以利用的方式进行传播8 .具有多种特征，破坏性大大增强C.扩散性极强，也更注重隐蔽性和欺骗性D.针对系统漏洞进行传播和破坏3 . 一个安全的网络系统具有的特点是 。 (ABCE)A.保持各种数据的机密B.保持所有信息、数据及系统中各种程序的完整性和准确性C.保证合法访问者的访问和接受正常的服务D.保证网络在任何时刻都有很高的传输速度E.保证各方面的工作符合法律、规则、许可证、合同等标准4 .任何信息安全系统中都存在月弱点，它可以存在于 。 (ABCDE)A.使用过程中B.网络中C.管理过程

12、中D.计算机系统中E.计算机操作系统中5 .是建立有效的计算机病毒防御体系所需要的技术措施。(ABCDE)A.杀毒软件B.补丁管理系统C.防火墙E.漏洞扫描 。 (ABCDE)C.评价作用E.强制作用。 (BC)C.特征检测E.重点检测 。 (ABCDE)C.信息技术本身E.自然界。 (ABCDE)C.工具检测E.渗透性测试D.网络入侵检测6 .信息系统安全保护法律规范的作用主要有A.教育作用B.指引作用D.预测作用7 .根据采用的技术，入侵检测系统有以下分类:A.正常检测B.异常检测D.固定检测8 .在安全评估过程中，安全威胁的来源包括A.外部黑客B.内部人员D.物理环境9 .安全评估过程中

13、，经常采用的评估方法包括A.调查问卷B.人员访谈D.手工审核10 .根据ISO定义，信息安全的保护对象是信息资产，典型的信息资产包括 。 (BC)A.硬件B.软件C.人员D.数据E.环境11 .根据ISO定义，信息安全的目标就是保证信息资产的三个基本安全属性，包括 _。 (BCD)A.不可否认性B.保密性C.完整性D.可用性E.可靠性12 .治安管理处罚法规定， 行为，处5日以下拘留；情节较重的，处 5日以上 10日以下拘留。(ABCD)A.违反国家规定，侵入计算机信息系统，造成危害的13 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机 信息系统不能正常运行的C.违反

14、国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、 修改、增加的D.故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的14 .网络蠕虫病毒越来越多地借助网络作为传播途径，包括 。 (ABCDE)A.互联网浏览B.文件下载C.电子邮件D.实时聊天工具E.局域网文件共享15 .在信息安全管理中进行安全教育与培训，应当区分培训对象的层次和培训内容，主要包括_(ABE)A.高级管理层B.关键技术岗位人员C.第三方人员D.外部人员E.普通计算机用户16 .网络入侵检测系统， 既可以对外部黑客的攻击行为进行检测，也可以发现内部攻击者的操作行为，通常部署在 。(BC)A.

15、关键服务器主机B.网络交换机的监听端口C.内网和外网的边界 D.桌面系统E.以上都正确四、简答题(本题共5道题，14题，每题5分，第5小题10分，共30分。)1 .简述安全策略体系所包含的内容。答：一个合理的信息安全策略体系可以包括三个不同层次的策略文档：(1)总体安全策略，阐述了指导性的战略纲领性文件，阐明了企业对于信息安全的看 法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容；(2)针对特定问题的具体策略，阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容，例如，针对 Internet访问操作、计算机

16、和网络病毒防治、口令的使用和管理等特定问题，制定有针对性的安全策略；(3)针对特定系统的具体策略，更为具体和细化，阐明了特定系统与信息安全有关的 使用和维护规则等内容，如防火墙配置策略、电子邮件安全策略等。2 .简述我国信息安全等级保护的级别划分。答：(1)第一级为自我保护级。其主要对象为一般的信息系统，其业务信息安全性或业 务服务保证性受到破坏后，会对公民、法人和其它组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。(2)第二级为指导保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服 务保证性受到破坏后， 会对社会秩序和公

17、共利益造成轻微损害，但不损害国家安全； 本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。(3)第三级为监管保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信 息系统，器业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本机系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。(4)第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信 息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和

18、技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。(5)第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信 息系统的核心子系统， 其业务信息安全性或业务服务保证性受到破坏后，会对国家安全社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护， 国家指定专门部门、专门机构进行专门监督、检查。3 .简述信息安全脆弱性的分类及其内容。答：信息安全脆弱性的分类及其内容如下所示；脆弱性分类：一、技术脆弱性1、物理安全：物理设备的访问控制、电力供应等2、网络安全：基础网络构架、网络传输加密、访问控制、网络设备安全漏洞、设备 配置安全等3、系统安全：应用软件安全漏洞、软件安全功能、数据防护等4、应用安全：应用软件安