“信息安全管理与评估”测试题

信息安全理与评估”测试题（4）“信息安全管理与评估”测试题四第一部分：安全标准知识（50分）（注意：以下题目为不定项选择题，每题分值2%，将答案填写到答题卡上，成绩以答题卡为准）对资产清单的管理，不同安全等级应有选择地满足要求，一般资产清单，应编制并维护与信息系统相关的资产清单，至少包括哪些内容：（）信息资产软件资产有形资产应用业务相关资产资源资产服务业务连续性管理在满足第一级的管理要求的基础上，本级要求是什么：（）备份与恢复要求安全事件处理要求应急处理要求保护事件处理要求机构和人员管理在满足第一级的管理要求的基础上，本级要求为：（）组织机构应建立管理信息安全工作的职能部门B人员管理要求C.教育和培训要求D机构调整要求运行维护管理要求，应（）实行系统运行的制度化管理对运行状况监控要求监视服务器系统性能设备外出维修应审批，磁盘数据必须删除外部维修人员进入机房应经过审批并专人陪同对外部服务方访问进行制度化管理生存周期管理在满足第一级的管理要求的基础上，本级要求是：（）启动周期管理规划和立项管理建设过程管理系统启用和终止管理政策和制度要求在满足第二级的管理要求的基础上，本级要求是：（）总体安全管理策略安全管理规章制度策略与制度文档管理总体规划规章策略下列哪个是计算机信息系统安全等级保护操作系统技术要求：（）GA/T390-2002GA/T387-2002GA/T388-2002GA/T389-20028.SS0DB缩略语适用于哪个标准：（）SSODB安全功能数据库管理系统安全子系统SSODB安全策略安全功能策略用户鉴别分为：（）基本鉴别—次性使用鉴别多机制鉴别D分位鉴别GRANT语句的字符集的相关操作：（）SELECTEXECUTEUNDERUSAGE数据库管理系统的安全审计应：（）建立独立的安全审计系统定义与数据库安全相关的审计事件设置专门的安全审计员提供适用于数据库系统的安全审计设置、分析和查阅的工具数据操作的完整性约束为：（）用户定义基本表时应定义主键和外键对于候选键，应由用户指明其唯一性对于外键，用户应指明被引用关系和引用行为对于主键，应由用户指明特定性在GB/T20273—2006中，从哪些方面实现SSODB的资源利用：（）通过一定措施确保当系统出现某些确定的故障时，SSF也能维持正常运行采取适当的策略，按有限服务优先级提供主体使用SSC内某个资源子集的优先级，进行SSODB资源的管理和分配在SSODB失败或中断后，应确保其以最小的损害得到恢复，并按照失败保护中所描述的内容，实现对SSF出现失败时的处理按资源分配中最大限额的要求，进行SSODB资源的管理和分配，确保用户和主体不会独占某种受控资源。在GB/T20273—2006中，从哪些方面实现SSODB的生存周期支持：（）按开发者定义生存周期模型进行SSODB开发文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态所有软件应提供安全安装默认值，使安全机制有效地发挥安全作用所有发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞在GB/T20273—2006中设计和实现数据库管理系统的自主访问控制功能要求是：（）允许命名用户以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问自主访问控制的粒度应是用户级和表级和/或记录、字段级安全审计功能的设计应与用户标识与鉴别、自主访问控制等安全功能的设计紧密结合在对数据进行访问操作时，检查以库结构形式存储在数据库中的用户数据是否出现完整性错误在GB/T20273—2006中对在SSODB内传输的SSF数据进行哪些安全保护：（）实现SSODB内SSF数据传输的基本保护SSODB内SSF数据复制的一致性保护实现SSODB内SSF数据传输的完全保护SSODB内SSF数据复制的分段性保护在软件配置管理系统中，包含的工具规程有：（）从源码产生出系统新版本鉴定新生成的系统版本保护源码免遭未授权修改保护新生成的系统版本以文档形式提供对SSODB安全地进行分发的过程,文档中所描述的内容应包括：（）提供分发的过程安全启动和操作的过程建立日志的过程维护操作的过程关于推理控制可用于推理的信息类型有：（）模式元数据统计数据派生数据数据的存在性数据库管理系统的安全性主要体现在：（）保密性完整性一致性可用性安全保证分别对每一个安全保护等级的（）进行描述SSOOS自身安全SSOS资源管理SSOOS设计和实现SSOOS安全管理生存周期管理原则是：（）计划阶段实施阶段运行维护阶段生存周期结束阶段安全需求分析原则，包括：（）结合实际依据标准分层分析动态反馈安全风险分析与评估分析过程，包括：（）资源识别和分析威胁识别和分析脆弱性识别和分析风险分析和评估分析信息安全是指信息的：（）保密性C.可用性D持续性26功能测试包括：（）分段功能测试B一般功能测试顺序的功能测试总体功能测试测试范围包括：（）范围的证据范围分析严格的范围分析充分的范围证据根据生命周期模IA的标准化、可测性，以及对相符性不断提高的要求，生命周期定义包括:（）A开发者定义的生命周期模型B标准生命周期模型不可测量的生命周期模型D可测量的生命周期模型根据缺陷纠正的范围不断扩大和缺陷纠正策略的严格性程度不断提高，缺陷纠正分为：（）分段缺陷纠正基本缺陷纠正缺陷报告D有组织缺陷纠正根据模块的数量和复杂性要求，TSF内部结构分为：（）模块化层次化复杂度最小化D资源化根据完备性和所提供的实现表示的结构，实现表示分为（）TSF子集实现TSF完全实现TSF的结构化实现TSF的资源化实现根据所要求的形式化程度和所提供的接口说明的详细程度，高层设计分为:（）描述性高层设计要求安全加强的高层设计半形式化高层设计D形式化高层设计根据要求的形式化程度和所提供的TSF夕陪B接口的详细程度，功能设计分为:（）非形式化功能设计完全定义的夕部接口半形式化功能设计形式化功能设计.配置管理范围对CM范围的要求包括以下内容（）TCB配置管理范围问题跟踪配置管理范围开发工具配置管理范围资源配置管理范围CM自动化分为：（）部分CM自动化完全CM自动化C•阶段CM自动化D分段CM自动化在用户的静止期超过规定的值时通过以哪些方式锁定该用户的交互式会话:（）在显示设备上清除或涂抹使当前的内容不可读取消会话解锁之外的所有用户数据的存取/显示的任何活动在会话解锁之前再次鉴别要求TSF支持由可信信道的各种功能列表原发的经可信信道的通信TCB访问控制包括（）可选属性范围限定多重并发会话限定TCB访问标记D会话锁定TCB访问历史TCB会话建立资源分配的控制方法分为（）最大限额B最低限额最小和最大限额D最小限额故障容错分为（）降级故障容错升级故障容错受限故障容错不受限故障容错状态同步协议包括（）简单的不可信回执B简单的可信回执C.相互的可信回执D相互的不可信回执可信恢复包括:（）手动恢复B启动恢复无过分丢失的自动恢复D功能恢复TSF数据在TCB内的分离部分间传输时应受到保护，包括（）内部TSF数据传输的基本保护TSF数据间断性保护TSF数据传输分离TSF数据完整性保护抗原发抵赖分为:（）选择性原发证明完全性原发证明强制性原发证明非强制性原发证明计算机信息系统的应急计划和应急反应在应急情况作出反应的应急计划应（）具有各种安全措施设置正常备份机制健全安全管理机构建立处理流程图行中断后能在不减弱保护的情况下恢复计算机信息系统的运行故障恢复包括:（）手动恢复B•自动恢复无过分丢失的自动恢复灾难性恢复安全审计事件存储应具有怎样的创建并维护安全的审计踪迹记录的能力（）受保护的审计踪迹存储审计数据的可用性确保审计数据可能丢失情况下的措施D防止审计数据丢失等级化信息系统安全设计的2级安全域主要包括（）一个具有1、2、3级安全的混合安全计算域中的2级安全计算域一个具有2、3级安全的混合安全计算域中的2级安全计算域一个具有2级安全的单一安全计算域具有2级安全的安全用户域和安全网络域等级化信息系统安全设计的3级安全域主要包括（）一个具有2、3级安全的混合安全计算域中的3级安全计算域一个具有3级安全的单一安全计算域和相应安全等级的安全用户域具有3级安全的安全用户域和安全网络域一个具有1、2、3级安全的混合安全计算域中的3级安全计算域系统安全设计，有哪些方法和步骤（）数据分类数据分布数据叠加划分安全域确定系统安全等级信息系统安全设计从信息系统安全设计过程来看，信息系统安全设计各相关因素的相互关系可以更详细的描述为：（）风险分析安全需求和安全目标安全措施安全保护第二部分：信息安全等级保护知识（50分）（注意：以下题目为不定项选择题，每题分值2%，将答案填写到答题卡上，成绩以答题卡为准）对“信息安全风险要素及属性之间存在的关系”描述错误的是（）A业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小B•资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产风险是由威胁引发的，资产面临的威胁越多则风险越大，但不可能演变成为安全事件AS/NZS4360:1999《风险管理指南》是由（）开发的风险管理标准A澳大利亚和新西兰美国英国D德国风险处置的方法有（）回避风险降低风险转嫁风险扌妾受风险不属于信息安全风险评估原则的是（）A可控制原则完整性原则最小影响原贝9信息分析原贝9E•保密原则5.SSE-CMM模型将信息系统安全工程分为（）风险评估工程实施C•可信度评估操作实践安全工程过程不包括（）A检则过程风险过程工程过程保证过程我国信息安全风险评估标准是（）CAO/AIMD-99-139GB/T20984-2007NISTSP800-30GB/T19716-2005下列选项对于风险评估与管理工具的分类描述正确的是（）A基于信息安全标准的风险评估与管理工具基于知识的风险评估与管理工具基于模型的风险评估与管理工具基于信息的风险评估与管理工具脆弱性也称为（）风险的存在B黑客攻击潜在危机D漏洞脆弱性扫描工具的研发分为哪些类型（）A基于网络的扫描器基于主机的扫描器分布式网络扫描器D数据库脆弱性扫描器对于流光（Fluxay）工具功能说法正确的是（）系统脆弱性扫描工具抓包工具渗透测试工具系统安全扫描工具极光专用安全系统主要功能模块包括（）A扫描核心模块B漏洞知识库C.扫描结果库D汇总数据信息安全风险评估实施流程包括的环节有（）评估准备阶段资产、威胁、脆弱性的识别和赋值已采取的安全措施的确认D风险识别和分析信息安全的基本要求包括（）可用性C.可操作性D松耦合性机密性信息安全风险评估意义具体体现在（）加强风险评估工作是信息安全工作的客观需要风险评估是信息安全建设和管理的关键环节风险评估是需求主导和突出重点原则的具体体现风险评估是分析确定风险的过程通过风险评估可以建设绝对安全的信息系统美国以网络为对象的信息安全保护阶段的标志性成果包括（）电磁泄漏（即TEMPEST）对抗标准彩虹系列信息技术安全通用评估标准（CC）SP800-37访问控制BLP模型参与制定CC标准的国家有（）美国加拿大英国、法国、德国、荷兰日本中国下列关于BS7799标准表达正确的是（）BS7799标准是由英国标准协会（BSI）制定的信息安全管理标准BS7799主要偏重安全技术测评BS7799-1通过国际化标准机构认可，正是成为国际标准ISO17799，这是通过ISO表决最快的一个标准BS7799标准基于风险管理的思想，指导机构建立信息安全管理体系ISMSBS7799-1《信息安全管理实施细则》是机构建立并实施信息安全管理体系的一个指导性的准则信息安全风险评评估相关标准包括（）BS7799标准SP800-37信息技术安全通用评估准则（CC）AS/NZS4360ISO/IEC13335信息安全风险评估的依据包括的政策法规有（）领导的指令国际标准国家标准行业通用标准信息安全风险评估的角色包括（）主管机关信息系统所有者信息系统承建者D信息安全风险评估服务技术支持方信息系统的关联机构主管机关在信息安全风险评估中的责任包括（）负责制定信息安全风险评估的政策、法规和标准组织实施信息系统自评估工作对国家重要信息系统和基础信息网络风险评估的实施进行宏观的督促、检查和指导领导和组织信息安全风险评估工作依据对信息系统建设方案的风险评估结果，修正安全方案对信息安全风险评估服务技术支持方，下列表述正确的是（）信息安全风险评估服务技术支持方的评估活动应经过上级主管机关认可和授权，并具有一定的安全资质服务技术支持方负责改善信息安全防护措施，控制安全风险服务技术支持方应具有专业安全技术工作人员，熟悉风险评估工作机制和相关技术服务技术支持方需判断安全防护措施的有效性及实现了这些措施后系统中存在的参与风险，给出调整建议属于ISO17799中通信和操作管理主题规定的控制要点有（）A操作程序和责任安全区域用户访问管理系统规划和验收网络管理信息安全风险评估实施流程包括的环节有（）评估准备阶段资产、威胁、脆弱性的识别和赋值已采取的安全措施的确认D风险识别和分析在信息安全风险评估准备阶段，机构应做好的工作有（）确定风险评估的目标确定风险评估范围建立适当的组织结构D建立系统性的风险评估方法获得最高管理者对风险评估策划的批准以下关于资产和资产价值表述正确的是（）资产可能有多重形式存在，有形的、无形的，有硬件、有软件，有文档、有代码，也有服务、企业形象等资产具有很强的时间特性，它的价值和安全属性都会随时间的推移发生变化资产赋值应注意以资产的账面价格来衡量资产对于机构业务的安全重要性决定资产价值的主要方面在实际项目中，具体的资产分类方法可以依据环境，由评估者来灵活把握威胁的可能性赋值需要考虑的因素有（）资产的吸引力资产转化成报酬的容易程度威胁的技术力量D脆弱性被利用的难易程度过去的安全事件报告或记录，统计各种发生过的威胁和其发生的频率关于脆弱性表述错误的是（）脆弱性是资产本身存在的，可以被威胁利用、引起资产或商业目标的损害脆弱性评估就是漏洞扫描如果没有相应的威胁发生，单纯的脆弱性并不会对资产造成损害起不到应有作用的或没有正确实施的安全保护措施本身就可能是脆弱性脆弱性识别可以有很多种方法一个好的漏洞扫描工具应包括的特性有（）最新的漏洞检测库，为此工具开发上应各有不同的办法监控新发现的漏洞扫描工具必须准确并使误报率减少到最小扫描器有某种可升级的后端，能够存储多个扫描结果并提供趋势分析的手段包括清晰的且准确地提供弥补发现问题的信息对于残余风险，机构应该（）确保残余风险降到最低对于不可接受范围内的风险，应在选择适当的控制措施后，对残余风险进行再评价不断调整或增加控制措施以减低残余风险描述残余风险都是不可接受的必要时可接受残余风险描述整体风险评估关注的焦点主要集中在（）检查与安全相关的机构实践，标识当前安全实践的优点和弱点包括对系统进行技术分析、对政策进行评审，以及对物理安全进行审查使用软件工具分析基础结构及其全部组件检查IT的基础结构，以确定技术上的弱点帮助决策制定者综合平衡风险以选择成本效益对策关于定性评估和定量评估以下表述正确的是（）在定性评估时并不使用具体的数据，而是指定期望值定量风险分析方法要求特别关注资产的价值和威胁的量化数据定量分析方法是最广泛使用的风险分析方式定量分析方法存在一个问题，就是数据的不可靠和不精确定性分析中风险的等级就是风险值，应赋予明确的含义关于CORAS工程，下列表述正确的是（）该工程指在开发一个基于面向对象建模技术的风险评估框架该工程特别指出使用UML建模技术CORAS是同用的，并不为风险评估提供方法学CORAS开发了具体的技术规范来进行安全风险评估/doc/5d18401221.html,准则和CORAS方法都使用了半形式化和形式化规范关于故障树分析方法下列正确的是（）故障树分析是一种top-down方法故障树分析方法可以分为定性和定量两种方式故障树的定量分析就是通过求故障树的最小割集，得到顶事件的全部故障模式故障树方法主要用于分析大型复杂系统的可靠性及安全性不管是故障树的定性还是定量分析方式，首先都需要建造故障树概率风险评估（PRA）和动态风险概率评估（DPRA）的主要分析步骤包括（）识别系统中存在的事件，找出风险源对各风险源考察其在系统安全中的地位，及相互逻辑关系，给出系统的风险源树标识各风险源后果大小及风险概率对风险源通过逻辑及数学方法进行组合，最后得到系统风险的度量分析风险模式的危害度下列对风险分析方法属于定性分析方法的有（）事件树分析（ETA）风险评审技术德尔斐法D动态概率风险评估（DPRA）风险模式影响及危害性分析（RMECA）AHP方法的基本步骤包括（）系统分解，建立层次结构模型识别系统中存在的事件，找出风险源构造判断矩阵D通过单层次计算进行安全性判断层次总排序，完成综合判断信息安全基本属性不包括（）机密性可用性封装性项目规划阶段所涉及的安全需求包括（）明确安全总体方针明确项目范围提交明确的安全需求文档对实现的可能性进行充分分析、论证对安全总体方针文档的内容应审查的方面包括（）是否已经制定并发布了能够反映机构安全管理意图的信息安全文件风险管理过程的执行是否有机构保障是否有专人按照特定的过程定期进行反复与评审D风险管理的范围是否明确设计阶段的主要需求不包括（