信息安全管理教程试题

二、单项选择题以下关于信息的说法 是错误的。D.信息可以以独立形态存在信息是人类社会进展的重要支柱 B.D.信息可以以独立形态存在C.信息具有价值，需要保护信息安全经受了三个进展阶段，以下 不属于这三个进展阶段。B.加密机阶段A.通信保密阶段 C.信息安全阶段 D.B.加密机阶段C.保密性信息安全在通信保密阶段对信息安全的关注局限在 C.保密性A.不行否认性 B.可用性信息安全在通信保密阶段中主要应用于 领域。

D.完整性A.军事B.商业 C.科研 D.A.军事信息安全阶段将争论领域扩展到三个根本属性，以下 不属于这三个根本属性。C.不行否认性A.保密性 B.完整性 D.C.不行否认性安全保障阶段中将信息安全体系归结为四个主要环节，以下 是正确的。D.保护、检测、响应、恢复策略、保护、响应、恢复 B.D.保护、检测、响应、恢复C.策略、网络攻防、密码学、备份A.杀毒软件下面所列的 A.杀毒软件B.数字证书认证 C.防火墙 D.数据库加密依据IS0的信息安全定义，以下选项中 是信息安全三个根本属性之一。B.可用性真实性 C.可审计性 D.B.可用性为了数据传输时不发生数据截获和信息泄密实行了加密机制这种做法表达了信息安全的 属性。A.保密性完整性 C.牢靠性 D.A.保密性D.可用性定期对系统和数据进展备份在发生灾难时进展恢复该机制是为了满足信息安全的 D.可用性真实性 B.完整性 C.不行否认性A.保密性数据在存储过程中发生了非法访问行为，这破坏了信息安全的 A.保密性完整性 C.不行否认性 D.可用性网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的 属性。B.完整性A.B.完整性PDR安全模型属于 类型。

C.不行否认性 D.可用性A.时间模型B.作用模型 C.构造模型 D.A.时间模型《信息安全国家学说》是 的信息安全根本纲领性文件。C.俄罗斯法国 B.美国 D.C.俄罗斯A.窃取国家隐秘以下的A.窃取国家隐秘非法侵入计算机信息系统破坏计算机信息系统D.利用计算机实施金融诈骗我国刑法 规定了非法侵入计算机信息系统罪。B.285条A.第284条 C.第286条 D.第B.285条D.人信息安全领域内最关键和最薄弱的环节是 D.人A.技术 B.策略 C.治理制度信息安全治理领域权威的标准是 。B.IS017799／IS027001A.IS015408 C.B.IS017799／IS027001C.英国IS017799／IS027001最初是由 提出的国家标准。A.美国 B.C.英国IS017799的内容构造依据 进展组织。

D.中国C.治理域-把握目标-把握措施C.治理域-把握目标-把握措施D.治理制度 对于信息安全治理负有责任。D.全部与信息系统有关人员高级治理层 B.D.全部与信息系统有关人员C.IT治理员对于提高人员安全意识和安全操作技能来说，以下所列的安全治理最有效的。B.教育与培训安全检查 C.责任追究 D.B.教育与培训A.国务院令《计算机信息系统安全保护条例》是由中华人民共和国 第l47A.国务院令全国人民代表大会令公安部令 D.国家安全部令B.公安机关《互联网上网效劳营业场所治理条例规定， B.公安机关A.人民法院C.工商行政治理部门 D.国家安全部门计算机病毒最本质的特性是 。B.埋伏性寄生性 C.破坏性 D.B.埋伏性A.有效的 A.有效的合法的 C.实际的 D.成熟的A.策略心的组件是 A.策略B.保护措施 C.检测措施 D.响应措施制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的设施，在发生灾难后，这些设施的 。B.恢复时间是多长恢复预算是多少 C.恢复人员有几个 D.B.恢复时间是多长A.可承受使用策略AUP在完成了大局部策略的编制工作后，需要对其进展总结和提炼，产生的成果文档被称A.可承受使用策略AUP安全方针 C.适用性声明 D.操作标准对保护数据来说，功能完善、使用灵敏的 必不行少。B.备份软件A.系统软件 C.数据库软件 D.B.备份软件D.数据保密性防止静态信息被非授权访问和防止动态信息被截取解密是 D.数据保密性数据完整性 B.数据可用性 C.数据牢靠性A.口令验证用户身份鉴别是通过 A.口令验证审计策略 C.存取把握 D.查询功能有意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人，由公安机关处以B.5000B.5000元以下的罚款A.3年以下有期徒刑或拘役C.5年以上7年以下有期徒刑 D.警告或者15000元以下的罚款A.架设高速局域网网络数据备份的实现主要需要考虑的问题不包括 A.架设高速局域网B.分析应用环境 C.选择备份硬件设备 D.选择备份治理软件《计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件，有关使用单位应当在 向当地县级以上人民政府公安机关报告。C.24小时内A.8小时内 B.12C.24小时内公安部网络违法案件举报网站的网址是 。“:///“ B.“:///“C.“:///“://D.“://110.cn/“110.cnC.“:///“://

D.48小时内A.警告对于违反信息安全法律、法规行为的行政惩罚中， A.警告罚款 C.没收违法所得 D.撤消许可证对于违法行为的罚款惩罚，属于行政惩罚中的 。C.财产罚A.人身自由罚 B.C.财产罚对于违法行为的通报批判惩罚，属于行政惩罚中的 。

D.资格罚B.声誉罚A.人身自由罚 C.财产罚 D.B.声誉罚1994年2月国务院公布的《计算机信息系统安全保护条例》赐予 对计算机信息系统的安全保护工作行使监视治理职权。C.公安机关信息产业部 B.全国人大 D.C.公安机关《计算机信息网络国际联网安全保护治理方法》规定，互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构)，应当自网络正式联通之日起 日内到所在地的省自治区直辖市人民政府公安机关指定的受理机关办理备案手续。D.30A.7 B.10 C.15D.30互联网效劳供给者和联网使用单位落实的记录留存技术措施，应当具有至少保存天记录备份的功能。C.60A.10 B.30C.60对网络层数据包进展过滤和把握的信息安全技术机制是 。

D.90A.防火墙A.防火墙以下不属于防火墙核心技术的是 。D.日志审计A.(静态/动态)包过滤技术 B.NATD.日志审计C.应用代理技术B.安全把握更细化、更灵敏应用代理防火墙的主要优点是B.安全把握更细化、更灵敏A.加密强度更高C.安全效劳的透亮性更好 D.效劳对象更广泛A.治理安全治理中常常会承受“权限分别”的方法，防止单个人员权限过高，消灭内部人员的违法犯罪行为，“权限分别”属于 A.治理B.检测 C.响应 D.运行安全治理中承受的“职位轮换”或者“强制休假”方法是为了觉察特定的岗位人员是否存在违规操作行为，属于 把握措施。B.检测治理 C.响应 D.B.检测A.行为监控以下选项中不属于人员安全治理措施的是 A.行为监控安全培训 C.人员离岗 D.背景/技能审查《计算机病毒防治治理方法》规定， 主管全国的计算机病毒防治治理工作。C.公安部公共信息网络安全监察A.信息产业部 B.C.公安部公共信息网络安全监察D.国务院信息化建设领导小组计算机病毒的实时监控属于 类的技术措施。B.检测A.保护 C.响应 D.B.检测B.安装安全补丁程序针对操作系统安全漏洞的蠕虫病毒根治的技术措施是B.安装安全补丁程序A.防火墙隔离C.专用病毒查杀工具 D.部署网络入侵检测系统A.防火墙隔离以下能够有效地防范未知的病毒对信息系统造成破坏的安全措施是A.防火墙隔离B.安装安全补丁程序C.专用病毒查杀工具 D.部署网络入侵检测系统以下不属于网络蠕虫病毒的是 。C.CIH冲击波 B.SQLSLAMMER D.C.CIHA.网络带宽传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了 A.网络带宽数据包 C.防火墙 D.LINUXD.可预见性 D.可预见性A.传染性 B.破坏性 C.埋伏性关于灾难恢复打算错误的说法是 。C.建立框架性指导原则，不必关注于细节应考虑各种意外状况 B.C.建立框架性指导原则，不必关注于细节D.正式公布前，要进展争论和评审对于远程访问型VPN来说产品常常与防火墙及NAT机制存在兼容性问题导致安全隧道建立失败。A.IPSeeVPNSSLVPN C.MPLSVPN D.A.IPSeeVPND.51999年，我国公布的第一个信息安全等级保护的国家标准GB17859—1999，提出将信息系统的安全等级划分为 个等级，并提出每个级别的安全功能要求。D.5A.7 B.8 C.6等级保护标准GBl7859主要是参考了 而提出。B.美国TCSECA.欧洲ITSEC C.CC D.BSB.美国TCSEC我国在1999年公布的国家标准 为信息安全等级保护奠定了根底。C.GBl7859A.GBl77998 B.GBl5408 D.C.GBl7859B.专控保护级信息安全登记保护的5个级别中是最高级别属于关系到国计民生的最关键信息系统的B.专控保护级强制保护级自主保护级

C.监视保护级 D.指导保护级A.安全定级《信息系统安全等级保护实施指南》将 A.安全定级B.安全评估 C.安全规划 D.安全实施 是进展等级确定和等级保护治理的最终对象。C.信息系统A.业务系统 B.功能模块 D.C.信息系统B.业务子系统的最高安全等级当信息系统中包含多个业务子系统时，对每个业务子系统进展安全等级确定，最终信息系统的安全等级应当由B.业务子系统的最高安全等级A.业务子系统的安全等级平均值C.业务子系统的最低安全等级 D.以上说法都错误以下关于风险的说法， 是错误的。C.导致风险的外因是普遍存在的安全脆弱性A.风险是客观存在的 B.C.导致风险的外因是普遍存在的安全脆弱性D.风险是指一种可能性B.任何措施都无法完全去除风险以下关于风险的说法，B.任何措施都无法完全去除风险A.可以实行适当措施，完全去除风险C.风险是对安全大事确实定描述 D.风险是固有的，无法被把握A.风险识别和评估风险治理的首要任务是 A.风险识别和评估B.风险转嫁 C.风险把握 D.承受风险关于资产价值的评估， 说法是正确的。D.资产的价值与其重要性亲热相关A.资产的价值指选购费用 B.D.资产的价值与其重要性亲热相关C.资产价值的定量评估要比定性评估简洁简洁实行适当的安全把握措施，可以对风险起到 作用。C.减缓A.促进 B.增加 D.C.减缓当实行了安全把握措施后，剩余风险 可承受风险的时候，说明风险治理是有效的。A.等于 B.大于B.外因安全威逼是产生安全大事的 B.外因A.内因安全脆弱性是产生安全大事的 。

D.不等于C.小于C.根本缘由 D.C.小于A.内因B.外因 C.根本缘由 D.A.内因以下关于用户口令说法错误的选项是 。C.简洁口令安全性足够高，不需要定期修改A.口令不能设置为空 B.C.简洁口令安全性足够高，不需要定期修改D.口令认证是最常见的认证机制在使用简洁度不高的口令时，简洁产生弱令的安全脆弱性，被攻击者利用，从而破解用户帐户，以下 具有最好的口令简洁度。B.Wm.$*F2m5@A.morrison C.27776394 D.B.Wm.$*F2m5@依据通常的口令使用策略，口令修改操作的周期应为 天。A.60B.90 C.30 D.120A.60B.防止攻击者非法获得访问和操作权限对口令进展安全性治理和使用，最终是为了B.防止攻击者非法获得访问和操作权限A.口令不被攻击者非法获得C.保证用户帐户的安全性 D.标准用户操作行为D.动态口令认证机制人们设计了 D.动态口令认证机制A.统一身份治理 B.指纹认证 C.数字证书认证PKI是 。PrivateKeyInfrastructure B.PublicKeyInstituteC.PublicKeyInfrastructureD.C.PublicKeyInfrastructureA.身份信任公钥密码根底设施PKI解决了信息系统中的 A.身份信任权限治理 C.安全审计 D.加密PKI所治理的根本元素是 。C.数字证书A.密钥 B.用户身份 D.C.数字证书最终提交给一般终端用户，并且要求其签署和遵守的安全策略是 。C.可承受使用策略A.口令策略 B.C.可承受使用策略以下关于信息安全策略维护的说法， 是错误的。A.安全策略的维护应当由特地的部门完成

D.责任追究制度B.B.安全策略制定完成并公布之后，不需要再对其进展修改C.应当定期对安全策略进展审查和修订D.维护工作应当周期性进展链路加密技术是在OSI协议层次的其次层，数据链路层对数据进展加密保护，其处理的对象是C.数据帧 C.数据帧A.比特流 B.IP数据包防火墙最主要被部署在 位置。

D.应用数据A.网络边界B.骨干线路 C.重要效劳器 D.A.网络边界以下关于防火墙的错误说法是 。D.部署防火墙，就解决了网络安全问题A.防火墙工作在网络层 B.对IPD.部署防火墙，就解决了网络安全问题C.重要的边界保护机制IPSec协议工作在 层次。B.网络层A.数据链路层 C.应用层 D.B.网络层IPSec协议中涉及到密钥治理的重要协议是 。A.IKEB.AH C.ESP D.SSLA.IKE信息安全治理中， 负责保证安全治理策略与制度符合更高层法律法规的要求，不发生冲突和冲突。B.合规性治理A.B.合规性治理以下 机制不属于应用层安全。A.数字签名 B.应用代理

C.人员治理 D.制度治理C.主机入侵检测D.C.主机入侵检测保证用户和进程完成自己的工作而又没有从事其他操作可能，这样能够使失误出错或蓄意攻击造成的危害降低，这通常被称为 。B.授权最小化原则A.适度安全原则 C.分权原则 D.B.授权最小化原则C.特别检测入侵检测技术可以分为误用检测和 C.特别检测A.病毒检测 B.具体检测

D.漏洞检测安全审计是一种很常见的安全把握措施，它在信息安全保障体系中，属于 措施。B.检测A.B.检测 不属于必需的灾前预防性措施。

C.响应 D.恢复D.不连续电源，至少应给效劳器等关键设备配备A.防火设施 B.数据备份 C.D.不连续电源，至少应给效劳器等关键设备配备对于人员治理的描述错误的选项是 。B.安全授权不是人员治理的手段A.B.安全授权不是人员治理的手段C.安全教育是人员治理的有力手段 D.人员治理时，安全审查是必需的依据《计算机信息系统国际联网保密治理规定，涉及国家隐秘的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必需实行 。B.物理隔离规律隔离 C.安装防火墙 D.VLANB.物理隔离安全评估技术承受 这一工具它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。A.安全扫描器安全扫描仪 C.自动扫描器 D.A.安全扫描器 最好地描述了数字证书。A.A.等同于在网络上证明个人和公司身份的身份证扫瞄器的一标准特性，它使得黑客不能得知用户的身份网站要求用户使用用户名和密码登陆的安全机制伴随在线交易证明购置的收据依据BS7799的规定，建立的信息安全治理体系ISMS的最重要特征是 。B.文档化A.全面性 C.先进性 D.B.文档化依据BS7799的规定对信息系统的安全治理不能只局限于对其运行期间的治理维护而要将治理措施扩展到信息系统生命周期的其他阶段，BS7799中与此有关的一个重要方面就是 。C.信息系统猎取、开发与维护A.访问把握 B.C.信息系统猎取、开发与维护D.组织与人员假设一个信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对社会秩序和公共利益造成确定损害，但不损害国家安全；本级系统依照国家治理标准和技术标准进展自主保护，必要时，信息安全监管职能部门对其进展指导。那么该信息系统属于等级保护中的 。C.指导保护级A.强制保护级 B.监视保护级 D.C.指导保护级D.自主保护级假设一个信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家治理标准和技术标准进展自主保护。那么其在等级保护中属于 D.自主保护级A.强制保护级 B.监视保护级 C.指导保护级假设一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家治理标准和技术标准进展自主保护，信息安全监管职能部门对其进展监视、检查。这应当属于等级保护的 。B.监视保护级强制保护级 C.指导保护级 D.B.监视保护级假设一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严峻损害；本级系统依照国家治理标准和技术标准进展自主保护，信息安全监管职能部门对其进展强制监视、检查。这应当属于等级保护的 。A.强制保护级监视保护级 C.指导保护级 D.A.强制保护级A.专控保护级假设一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务效劳保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害；本级系统依照国家治理标准和技术标准进展自主保护，国家指定特地部门、特地机构进展特地监督、检查。这应当属于等级保护的 A.专控保护级B.监视保护级 C.指导保护级 D.自主保护级GBl7859借鉴了TCSEC标准，这个TCSEC是 国家标准。C.美国A.英国 B.C.美国B.实现代价最低，安全性最低关于口令认证机制，以下说法正确的选项是B.实现代价最低，安全性最低A.实现代价最低，安全性最高

D.俄罗斯C.实现代价最高，安全性最高 D.实现代价最高，安全性最低A.保护依据BS7799的规定，访问把握机制在信息安全保障体系中属于 A.保护B.检测 C.响应 D.恢复C.验证一个用户身份认证的含义是 C.验证一个用户A.注册一个用户 B.标识一个用户口令机制通常用于 。

D.授权一个用户A.认证B.标识 C.注册 D.A.认证对日志数据进展审计检查，属于 类把握措施。B.检测预防 C.威慑 D.B.检测A.系统整体《信息系统安全等级保护测评准则》将测评分为安全把握测评和 A.系统整体人员 C.组织 D.网络B.依据风险治理的看法，资产 价值， 脆弱任，被安全威逼 ，B.A.C.导致存在具有利用 D.利用导致存在具有依据定量风险评估的方法，以下表达式正确的选项是 。B.ALE=AV×EF C.ALE=SLE×EF D.B.防范通过它的恶意连接防火墙能够B.防范通过它的恶意连接A.防范恶意的知情者C.防范的网络安全问题 D.完全防止传送已被病毒感染的软件和文件以下四项中不属于计算机病毒特征的是 。C.免疫性A.埋伏性 B.C.免疫性关于入侵检测技术，以下描述错误的选项是 。

D.破坏性A.A.入侵检测系统不对系统或网络造成任何影响审计数据或系统日志信息是入侵检测系统的一项主要信息来源入侵检测信息的统计分析有利于检测到未知的入侵和更为简洁的入侵基于网络的入侵检测系统无法检查加密的数据流安全扫描可以 。弥补由于认证机制薄弱带来的问题弥补由于协议本身而产生的问题C.C.弥补防火墙对内网安全威逼检测缺乏的问题D.扫描检测全部的数据包攻击，分析全部的数据流下述关于安全扫描和安全扫描系统的描述错误的选项是 。B.安全扫描系统可用于治理和维护信息安全设备的安全A.B.安全扫描系统可用于治理和维护信息安全设备的安全C.安全扫描系统对防火墙在某些安全功能上的缺乏不具有弥补性D.安全扫描系统是把双刃剑关于安全审计目的描述错误的选项是 。D.实现对安全大事的应急响应A.识别和分析未经授权的动作或攻击 B.D.实现对安全大事的应急响应C.将动作归结到为其负责的实体安全审计跟踪是 。A.A.安全审计系统检测并追踪安全大事的过程安全审计系统收集易于安全审计的数据人利用日志信息进展安全大事分析和追溯的过程对计算机系统中的某种行为的详尽跟踪和观看D.保密审查批准依据《计算机信息系统国际联网保密治理规定》的规定，凡向国际联网的站点供给或公布信息，必需经过 D.保密审查批准A.内容过滤处理 B.单位领导同意 C.备案制度依据《计算机信息系统国际联网保密治理规定》的规定，上网信息的保密治理坚持 的原则。C.“谁上网谁负责”国家公安部门负责 B.国家保密部门负责C.“谁上网谁负责”依据《计算机信息系统国际联网保密治理规定》的规定，保密审批实行部门治理，有关单位应A.领导责任制当依据国家保密法规，建立健全上网信息保密审批A.领导责任制专人负责制 C.民主集中制 D.职能部门监管责任制A.完整性网络信息未经授权不能进展转变的特性是 A.完整性B.可用性 C.牢靠性 D.保密性D.保密性确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性D.保密性A.完整性 B.可用性 C.牢靠性确保授权用户或者实体对于信息及资源的正常使用不会被特别拒绝，允许其牢靠而且准时地访问信息及资源的特性是 。B.可用性A.完整性 C.牢靠性 D.B.可用性 国务院公布《计算机信息系统安全保护条例B.1994218日A.1990年2月18日 C.2023年2月18日 D.2023B.1994218日C.网络蠕虫在目前的信息网络中， C.网络蠕虫A.引导型 B.文件型

D.木马型在IS0/IECl7799中，防止恶意软件的目的就是为了保护软件和信息的 。B.完整性安全性 C.稳定性 D.B.完整性在生成系统帐号时，系统治理员应当安排给合法用户一个 ，用户在第一次登录时应更改口令。A.唯一的口令登录的位置 C.使用的说明 D.A.唯一的口令关于防火墙和VPN的使用，下面说法不正确的选项是 。B.配置VPN网关防火墙的一种方法是把它们串行放置，防火墙在广域网一侧，VPNB.配置VPN网关防火墙的一种方法是把它们串行放置，防火墙在广域网一侧，VPN在局域网一侧C.VPN网关防火墙的一种方法是把它们串行放置，防火墙在局域网一侧，VPN在广域网一侧D.VPN网关防火墙的一种方法是把它们并行放置，两者要相互依靠D.简洁而全面环境安全策略应当 D.简洁而全面A.具体而具体 B.简洁而专业 C.深入而清楚《计算机信息系统安全保护条例》规定，计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的 的安全。C.计算机信息系统计算机 B.计算机软件系统 D.C.计算机信息系统A.许可证制度《计算机信息系统安全保护条例规定国家对计算机信息系统安全专用产品的销售实行A.许可证制度3C认证 C.IS09000认证 D.专卖制度《互联网上网效劳营业场所治理条例》规定，互联网上网效劳营业场所经营单。可以接纳未成年人进入营业场所C.C.不得接纳未成年人进入营业场所D.可以在白天接纳未成年人进入营业场所 是一种架构在公用通信根底设施上的专用数据通信网络，利用IPSec等阿络层安全协议和建立在PKI上的加密与签名技术来获得私有性。C.VPNA.SET B.DDN D.PKIXC.VPNB.海关申报《计算机信息系统安全保护条例》规定，运输、携带、邮寄计算机信息媒体进出境的，应当照实向B.海关申报A.国家安全机关申报C.国家质量检验监视局申报 D.公安机关申报《计算机信息系统安全保护条例》规定，有意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以 的罚款、对单位处以 的罚款。A.5000元以下15000元以下B.A.5000元以下15000元以下C.2023元以下10000元以下 D.2023元10000元计算机犯罪是指行为人通过 所实施的危害 安全以及其他严峻危害社会的并应当处以刑罚的行为。A.A.计算机操作计算机信息系统计算机操作应用信息系统 D.数据库操作治理信息系统策略应当清楚，无须借助过多的特别一通用需求文档描述，并且还要有具体。C.实施打算治理支持 B.技术细节 D.C.实施打算A.恢复整个系统系统备份与一般数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便快速 A.恢复整个系统恢复全部数据 C.恢复全部程序 D.恢复网络设置D.全局安全策略在一个企业网中，防火墙应当是 D.全局安全策略安全技术 B.安全设置 C.局部安全策略A.明确性信息安全策略的制定和维护中，最重要是要保证其 A.明确性细致性 C.标准性 D.开放性 是企业信息安全的核心。C.安全治理安全教育 B.安全措施 D.C.安全治理计算机病毒编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码是 计算机病毒计算机系统 C.计算机玩耍 D.计算机程序很多与PKI相关的协议标准(如PKIX、S/MIME、SSL、TLS、IPSec)等都是在 根底上进展起来的。B.X．509A.X．500 C.X．519 D.XB.X．509D.数字证书 是PKI体系中最根本的元素，PKI系统全部的安全操作都是通过该机制来实现的。D.数字证书A.数据传输泄密基于密码技术的访问把握是防止 A.数据传输泄密B.数据传输丧失 C.数据交换失败 D.数据备份失败避开对系统非法访问的主要方法是 。C.访问把握A.加强治理 B.C.访问把握对保护数据来说，功能完善、使用灵敏的 必不行少。

D.访问安排权限B.备份软件系统软件 C.数据库软件 D.B.备份软件信息安全PDR模型中，假设满足 ，说明系统是安全的。A.Pt>Dt+RtDt>Pt+Rt C.Dt D.PtA.Pt>Dt+Rt在一个信息安全保障体系中，最重要的核心组成局部为 。B.安全策略A.技术体系 C.治理体系 D.B.安全策略国家信息化领导小组在《关于加强信息安全保障工作的意见》中，针对下一时期的信息安全保障工作提出了 项要求。C.9A.7 B.8C.9《确保网络空间安全的国家战略》是 公布的国家战略。英国 B.法国 C.德国

D.10D.美国A.公安部《计算机信息系统安全保护条例》规定，D.美国A.公安部国务院信息办 C.信息产业部 D.国务院以下 不属于物理安全把握措施。C.口令A.门锁 B.C.口令灾难恢复打算或者业务连续性打算关注的是信息资产的 属性。

围墙A.可用性B.真实性 C.完整性 D.A.可用性B.VirtualPrivateB.VirtualPrivateNetworkA.VisualPrivateNetworkC.VirtualPublicNetwork D.VisualPublicNetworkC.可用性部署VPN产品，不能实现对 C.可用性A.完整性 B.真实性 是最常用的公钥密码算法。

D.保密性A.RSAB.DSA C.椭圆曲线 D.量子密码A.RSAPKI的主要理论根底是 。B.公钥密码算法A.对称密码算法 C.量子密码 D.B.公钥密码算法PKI中进展数字证书治理的核心组成模块是 。B.证书中心CAA.B.证书中心CA信息安全中的木桶原理，是指 。

C.名目效劳器 D.证书作废列表A.A.整体安全水平由安全级别最低的局部所打算整体安全水平由安全级别最高的局部所打算整体安全水平由各组成局部的安全级别平均值所打算以上都不对关于信息安全的说法错误的选项是 。C.实行充分措施，可以实现确定安全包括技术和治理两个主要方面 B.C.实行充分措施，可以实现确定安全D.保密性、完整性和可用性是信息安全的目标PDR模型是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P代表A.保护检测响应 、D代表 、R代表 A.保护检测响应策略检测响应 C.策略检测恢复 D.保护检测恢复《计算机信息系统安全保护条例》规定，任何组织或者个人违反条例的规定，给国家、集体或者他人财产造成损失的，应当依法担当 。B.民事责任A.刑事责任 C.违约责任 D.B.民事责任C.安全教育和培训在信息安全治理中进展 C.安全教育和培训A.内容监控 B.责任追查和惩罚关于信息安全，以下说法中正确的选项是 。

D.访问把握C.信息安全应当技术与治理并重A.信息安全等同于网络安全 B.C.信息安全应当技术与治理并重D.治理措施在信息安全中不重要在PPDRR安全模型中， 是属于安全大事发生后的补救措施。B.恢复A.保护 C.响应 D.B.恢复依据权限治理的原则，一个计算机操作员不应当具备访问 的权限。C.应用程序源代码A.操作指南文档 B.C.应用程序源代码网络蠕虫病毒以网络带宽资源为攻击对象，主要破坏网络的 。

D.安全指南A.可用性B.完整性 C.保密性 D.A.可用性D.全部计算机用户要实现有效的计算机和网络病毒防治， D.全部计算机用户A.高级治理层 B.部门经理 C.系统治理员统计数据说明，网络和信息系统最大的人为安全威逼来自于 。B.内部人员A.恶意竞争对手 C.互联网黑客 D.B.内部人员双机热备是一种典型的事先预防和保护措施，用于保证关键设备和效劳的 属性。B.可用性A.保密性 C.完整性 D.B.可用性在安全评估过程中，实行 手段，可以模拟黑客入侵过程，检测系统安全脆弱性。C.渗透性测试A.问卷调查 B.C.渗透性测试我国正式公布了电子签名法，数字签名机制用于实现 需求。

D.手工检查A.抗否认B.保密性 C.完整性 D.A.抗否认在需要保护的信息资产中， 是最重要的。C.数据A.环境 B.硬件 D.C.数据 手段，可以有效应对较大范围的安全大事的不艮影啊，保证关键效劳和数据的可用性。B.异地备份A.定期备份 C.人工备份 D.B.异地备份C.RAID 能够有效降低磁盘机械损坏给关键数据造成的损失。A.热插拔 B.SCSIC.RAID

D.FAST—ATA相对于现有杀毒软件在终端系统中供给保护不同， 在内外网络边界处供给更加主动和乐观的病毒保护。B.病毒网关A.B.病毒网关B.国际信息安全评测标准CC是 B.国际A.美国

C.IPS D.IDSC.英国 D.澳大利亚A.4《信息系统安全等级保护根本要求》中，对不同级别的信息系统应具备的根本安全保护力气进展了要求，共划分为 级。A.4B.5 C.6 D.7四、解答题简述信息安全进展所历经的三个主要阶段以及它们各自的特点。答：信息安全进展历经了三个主要阶段：通信保密阶段，在这个阶段中，关注的是通信内容的保密性属性，保密等同于信息安全。信息安全阶段，人们觉察，在原来所关注的保密性属性之外，还有其他方面的属性也应当是信息安全所关注的，这其中最主要的是完整性和可用性属性，由此构成了支撑信息安全体系的三要素。安全保障阶段，所谓安全保障，就是在统一安全策略的指导下，安全大事的事先预防〔保护事发处理〔检测Delection和响应Restoration〕四个主要环节相互协作，构成一个完整的保障体系。PDR安全模型的原理。答：PDR模型之所以著名，是由于它是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P代表保护，R代表响应，该模型中使用了三个时间参数；Pt,有效保护时间，是指信息系统的安全把握措施所能发挥保护作用的时间；Dt，检测时间，是指安全检测机制能够有效觉察攻击、破坏行为所需的时间；Rt，响应时间，是指安全响应机制作出反响和处理所需的时间。PDR模型用以下时间关系表达式来说明信息系统是否安全：Pt＞Dt+Rt，系统安全，即在安全机制针对攻击、破坏行为作出了成功的检测和响应时，安全控制措施照旧在发挥有效的保护作用，攻击和破坏行为未给信息系统造成损失。Pt＜Dt+Rt，系统部安全，即信息系统的安全把握措施的有效保护作用，在正确的检测和响应作出之前就已经失效，破坏和攻击行为已经给信息系统造成了实质性破坏和影响。简述ISO信息安全模型定义及其含义。答：ISO信息安全定义：信息安全是为数据处理系统建立和承受的技术和治理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的缘由遭到破坏、更改和泄露。它包括三方面含义：信息安全的保护对象是信息资产，典型的信息资产包括了计算机硬件、软件和数据。信息安全的目标就是保证信息资产的三个根本安全属性，保密性、完整性和可用性三个根本属性是信息安全的最终目标。事先信息安全目标的途径要借助两方面的把握措施，即技术措施和治理措施。简述信息安全的三个根本属性。答：信息安全包括了保密性、完整性和可用性三个根本属性：保密性——Confidentiality,确保星系在存储、使用、传输过程中不会泄露给非授权的用户或者实体。完整性——Integrity,信息进展不恰当的篡改；保证信息的内外全都性。可用性——Availability允许其可能而且准时地访问信息及资源。简述我国刑法对网络犯罪的相关规定。答：我国刑法关于网络犯罪的三个特地条款，分别规定了非法侵入计算机信息系统罪〔第285条；破坏计算机信息系统罪〔第286条或者其他犯罪〔第287条第一节。简述BS7799的内容构成以及与ISO国际标准的关系。答：BS7799ISO国际标准化组织承受成为ISO/IEC17799:2023标准的局部，是信息安全治理实施细则CodeofPracticeforInformationSecurityManagement，主要供负责11133〔最正确实践。其次局部，被ISO国际标准化组织承受成为ISO/IEC27001:2023，是建立信息安全治理体系〔ISMS〕的一套标准〔SpecificationforInformationSecurityManagementSystems〕,其中具体说明白建立、实施和维护信息安全治理体系的要求，可用来指导相关人员运用ISO/IEC17799:2023，其最终目的在于建立适合企业需要的信息安全治理体系ISM。简述ISO/IEC17799:202311项分类内容。答：BS7799-1信息安全治理实施细则〔ISO/IEC17799:2023〕11个11个方面包括：安全策略SecurityPolic；组织信息安全OrganizingInformationSecurit；资产治理AssetManagemen；人力资源安全HumanResorucesSecurit；物理与环境安全PhysicalandEnvironmentalSecurit；通信与操作治理CommunicationandOperationManagemen；访问把握AccessContro；〔InformationSystemsAcquisition,DevelopmentandMaintenanc；信息安全大事治理InformationSecurityIncidentManagemen；业务连续性治理BusinessContinuityManagemen；符合性Complianc。简述安全筹划体系所包含的内容。答：一个合理的信息安全策略体系可以包括三个不同层次的策略文档：总体安全策略，阐述了指导性的战略纲领性文件，说明白企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、治理组织构架和责任认定以及对于信息资产的治理方法等内容；针对特定问题的具体策略，阐述了企业对于特定安全问题的声明、立场、使用方法、强制要求、角色、责任认定等内容，例如，针对Internet访问操作、计算机和网络病毒防治、口令的使用和治理等特定问题，制定有针对性的安全策略；针对特定系统的具体策略，更为具体和细化，说明白特定系统与信息安全有关的使用和维护规章等内容，如防火墙配置策略、电子邮件安全策略等。简述至少六种安全问题的策略。1〕物理安全策略2〕网络安全策略3〕数据加密策略〔4〕数据备份策略〔5〕病毒防护〔〕系统安全策略7〕身份认证及授权策略〕灾难恢复策略〕〔1〕〔12〕〔13〕〔14〕伙伴、客户关系策略1〕复查审计策略。试编写一个简洁的口令治理策略。1〕全部活动账号都必需有口令保护。生成账号时，系统治理员应安排给合法用户一个唯一的口令，用户在第一次登录时应当更改口令。8个字符。口令必需同时含有字母和非字母字符。必需定期用监控工具检查口令的强度和长度是否合格。口令不能和用户名或者登录名一样。60天更改一次。制止重用口令。12个历史口令。口令不能通过明文电子邮件传输。全部供给商的默认口令必需更改。用户应在不同的系统中使用不同的口令。当疑心口令泄露时必需予以更改。应当把握登录尝试的频率。简述可承受使用策略AUP的内容。答：AUP通常包含以下主要内容：概述，描述什么是AUP，企业、组织公布AUP的目的，制定AUP的原则以及一些必要的法律声明等。安全策略说明，说明制定AUP所依据的信息安全策略，提示用户信息安全策略的更改会影响到AUP的修订，并且告知用户从哪里可以获得具体的信息安全策略文档。术语说明，将AUP中涉及的术语名词，以及AUP签署生效的有效时间进展说明。用户责任，对信息安全策略中所涉及到用户的信息安全责任内容，应当进展总结和提炼，以简洁明白的语言进展阐述，使得用户充分了解自己对于企业、组织信息安全所担当的责任和义务。简述入侵检测系统IDS所实行的两种主要方法。答：(1)(主要是IP层)，一旦觉察数据包特征与某个签名相匹配，则认为是一次入侵。(2)特别检测：指依据使用者的行为或资源使用状况来推断是否入侵，而不以来具体行为是否出想来检测，所以也被称为基于行为的检测。特别检测利用统计或特征分析的方法来检测系统的特别行为。首先定义检测假设，任何对系统的入侵和误操作都会导致系统特别，这样对入侵的检测就可以归结到对系统异常的检测。简述我们信息安全保护等级的含义。答：信息安全等级保护是指：对国家隐秘信息、法人或其它组织及公民的专有信息以及公开信息的存储、传输和处理这些信息的信息系统分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级治理；对信息系统中发生的信息安全大事依据等级进展响应和处置等。简述我国信息安全等级保护的级别划分。答：(1)第一级为自我保护级。其主要对象为一般的信息系统，其业务信息安全性或业务效劳保证性受级系统依照国家治理标准和技术标准进展自主保护。其次级为指导保护级。其主要对象为一般的信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对社会秩序和公共利益造成略微损害，但不损害国家安全；本级系统依照国家治理标准和技术标准进展自主保护，必要时，信息安全监管职能部门对其进展指导。第三级为监管保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统，器业务信息安全性或业务效劳保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本机系统依照国家治理标准和技术标准进展自主保护，信息安全监管职能部门对其进展监视、检查。第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统，其业务信息安全性或业务效劳保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严峻损害；本级系统依照国家治理标准和技术标准进展自主保护，信息安全监管职能部门对其进展强制监视、检查。第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务效劳保证性受到破坏后，会对国家安全社会秩序和公共利益造成特别严重损害；本级系统依照国家治理标准和技术标准进展自主保护，国家指定特地部门、特地机构进展特地监督、检查。简述信息安全等级保护的实施过程。安全实施阶段、安全运行维护阶段和系统终止阶段。具体如下：安全定级→安全规划设计→安全实施→安全运行维护→系统终止安全运行维护-局部调整-安全实施安全运行维护-重大变化-安全定级简述信息安全风险的计算过程。答：风险计算的过程是：对信息资产进展识别，并对资产赋值；对威逼进展分析，并对威逼发生的可能性赋值；识别信息资产的脆弱性，并对脆弱性的严峻程度进展赋值；(4)依据威逼和脆弱性计算安全大事发生的可能性；(5)结合信息资产的重要性和该资产发生安全大事的可能性计算信息资产的风险值。简述信息安全脆弱性的分类及其内容。答：信息安全脆弱性的分类及其内容如下所示；脆弱性分类：一、技术脆弱性1、物理安全：物理设备的访问把握、电力供给等2、网络安全：根底网络构架、网络传输加密、访问把握、网络设备安全漏洞、设备配置安全等3、系统安全：应用软件安全漏洞、软件安全功能、数据防护等4、应用安全：应用软件安全漏洞、软件安全功能、数据防护等二、治理脆弱性安全治理：安全策略、组织安全、资产分类与把握、人员安全、物理与环境安全、通信与操作治理、访问把握、系统开发与维护、业务连续性、符合性〔公安网监部门〕相协作。答：单位、组织的信息安全治理工作与公安机关公共信息网络安全监察部门之间的协作主要表达在以下方面：单位、组织的信息安全治理，必需遵循信息安全法律、法规对于安全治理职责、备案、制止行为、安全治理制度和安全技术机制要求等方面的内容规定。法律、法规赐予公安机关公共信息网络安全监察部门对信息安全的监管职责，各单位、组织必需承受和协作公安机关公共信息网络安全监察部门的监视和检查。在发生信息安全案件后，单位、组织应当准时向公安机关公共信息网络安全监察部门报案，并在取证和调查等环节赐予亲热协作。简述计算机病毒的分类方法。答：对于计算机病毒的分类，目前常见的分