1、信息技术 竞赛测试 试题 答卷人 _ 部门 _ 职务 _ 考题说明: .考题总数 200题,其中填空题 10道,单选题 100道,多选题 65道,判断题 20道,简答题 5道。 考试时间: 2小时 一、 填空题 1 . 中国石化的信息系统安全等级保护坚持 _ 、 _ 的原则。 参考答案: 1.自主定级 2.自主保护 2 . 带分布式奇偶位的条带是目前应用最广的一种磁盘阵列模式,数据与校验位分布在不同的磁盘上,是指哪种 RAID方式 _ 。 参考答案: 1.RAID5 3 . 网路中的服务器主要有 _ 和 _ 两个主要通讯协议,都使用端口号来识别高层的服务。 参考答案: 1.UDP 2.TCP
2、4 . 中国石化电子邮件系统每个用户电子邮箱容量为 _ ,每封邮件大小限制为 _ 。 参考答案: 1.300M2.30M 5. 根据中华人民共和国刑法第二百八十六条,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处 _ 年以下有期徒刑或拘役;后果特别严重的,处 _ 年以上有期徒刑。 参考答案: 1.五 2.五 6. 信息安全是 _ 和 _ 的结合体,是一个整体的系统工程。 参考答案: 1.技术 2.管理 7 . PKI/CA能为网上业务系统,特别是在 电子政务 和电子商务业务中参与网上业务的各方的相互信任提供安全机制,为网上业务过程中
3、身份认证和访问控制、信息保密性、信息 _ 性和业务操作的 _ 等安全需求提供可靠保障 参考答案: 1.完整 2.抗抵赖 8 . 在某个攻击中,由于系统用户或系统管理员主动泄露,使得攻击者可以访问系统资源的行为被称作 _ 。 参考答案: 1.社会工程 9 . 信息系统安全等级保护基本要求从第 _ 级开始明确提出了建立信息安全管理制度体系的要求?( ) 参 考答案: 1.3 10. 在信息系统安全中,风险由 _ 、 _ 因素共同构成的? 参考答案: 1.威胁 2.脆弱性 二 、 单选题 1 . 以下关于 VPN说法正确的是: A . VPN指的是用户自己租用线路,和公共网络完全隔离开,安全的通道
4、B . VPN是用户通过公用网络建立的临时的安全的通道 C . VPN不能做到信息验证和身份验证 D . VPN只能提供身份认证、不能提供加密数据的功能 参考答案: B 2 . 关于 Unix版本的描述中 ,错误的是 ( ) A . IBM的 Unix是 Xenix B . SUN的 Unix是 Solaris C . 伯克利的 Unix是 UnixBSD D . HP的 Unix是 HP-UX 参考答案: A ( IBM的是 AIX) 3 . 在使用 RAID0+1方式工作时,至少需要 ( )块硬盘。 A . 1块 B . 2块 C . 3块 D . 4块 参考答案: D 4 . SQL S
5、erver系统中的所有系统级信息存储于哪个数据库( )。 A . master B . model C . tempdb D .msdb 参考答案: A 5. 在 ORACLE系统中,启动数据库的步骤( )。 A . 启动例程、装载数据库、打开数据库 B . 启动例程、打开数据库、装载数据库 C . 装载数据库、启动例程、打开数据库 D . 打开数据库、启动例程、装载数据库 参考答案: A 6 . 虚拟磁带库( Virtual Tape Library, VTL)是指()。 A . 多个磁带机组成的 B . 多个磁带库组成的 C . 将磁盘仿真成磁带设备,从而在不改变原有磁带备份架构的前提下,
6、以磁盘取代磁带,达到缩短备份窗口,提高备份效率,缩短还原时间的目的 D . 虚拟磁带库的基础是磁带 参考答案: C 7 . 以下哪一个是在所有的 WINDOWS2003和 WIN7系统中都存在的日志是? A . 目录服务日志 B . 文件复制日志 C . 应用服务日志 D . DNS服务日志 参考答案: C 8 . 在一台系统为 Windows Server 2003 的 DHCP 客户机,运行哪个命令可以更新其 IP 地址租约( )。 A . ipconfig /all B . ipconfig /renew C . ipconfig /release D . dhcp /renew 参考答
7、案: B 9 . 哪个目录存放着 Linux的源代码( )。 A . /etc B . /usr/src C . /usr D . /home 参考答案: B 10 . 特洛伊木马攻击的危胁类型属于 A . 授权侵犯威胁 B . 植入威胁 C . 渗入威胁 D . 破坏威胁 参考答案: B 11 . 在 windows操作系统中,欲限制用户无效登录的次数,应当: A . 在 “本地安全设置 ”中对 “密码策略 ”进行设置 B . 在 “本地安全设置 ”中对 “账户锁定策略 ”进行设置 C . 在 “本地安全设置 ”中对 “审核策略 “进行设置 D . 在 “本地安全设置 ”中对 “用户权利指派
8、 ”进行设置 参考答案: B 12. 安全基线由( )定期进行审查,根据审视结果修订,并颁发执行。 A . 中国石化信息化管理部 B . 各企业信息部门 C . 外聘专家 D . 支持单位 参考答案: A 13 . 以下哪一项是防范 SQL注入攻击最有效的手段? A . 删除存在的注入点的网页 B . 对数据库系统的管理权限进行严格的控制 C . 通过网络防火墙严格限制 internet用户对 web服务器的访问 D . 对 web用户输入的数据进行严格的过滤 参考答案: D 14 . OSI安全体系结构定义了五大类安全服务,下面哪项不属于安全服务 A . 鉴别 B . 加密 C . 数据库完
9、整性 D . 抗抵赖性 参考答案: B (五类安全服务包括认证(鉴别)服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。 ) 15. 根据信息安全等级保护管理办法,( )负责信息安全等级保护工作的监督、检查、指导。 A . 国家保密工作部门 B . 公安机关 C . 国家密码管理部门 D . 国务院信息化工作办公室及地方信息化领导小组办事机构 参考答案: B 16 . 信息安全等级保护管理办法规定,信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第( )级信息系统应当依据特殊安全需求进行自查。 A . 二 B . 三 C .
10、四 D . 五 参考答案: D 17 . 信息安全管理体系( ISMS)是一个怎样的体系,下面描述不正确的是 A . ISMS是一个遵循 PDCA模式的动态发展的体系 B . ISMS是一个文件化、系统化的体系 C . ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定 D . ISMS应该是一步到位的,应该解决所有的信息安全问题 参考答案: D 18 . 风险评估的基本过程是什么? A . 识别并评估重要的信息资产,识别各种可能的威胁和严重的弱点,最终确定风险 B . 通过以往发生的信息安全事件,找到风险所在 C . 风险评估就是对照安全检查单,查看相关的管理和技术措施是否到
11、位 D . 风险评估并没有规律可循,完全取决于评估者的经验所在 参考答案: A 19 . 有关信息系统的设计、开发、 实施、运行和维护过程中的安全问题,以下描述错误的是 A . 信息系统的开发设计,应该越早考虑系统的安全需求越好 B . 信息系统的设计、开发、实施、运行和维护过程中的安全问题,不仅仅要考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统 C . 信息系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理 D . 运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险 参考答案: C 20 . 实施 ISMS内审时,确定 ISMS的控制目标、控制措施、过程和
12、程序应该要符合相关要求,以下哪个不是? A . 约定的标准及相关法律的要求 B . 已识别的安全需求 C . 控制措施有效实施和维护 D . ISO13335风险评估方法 参考答案: D 21 . 系统管理员属于 A . 决策层 B . 管理层 C . 执行层 D . 既可以划为管理层,又可以划为执行层 参考答案: C 22. 下面关于定性风险评估方法的说法正确的是 A . 通过将资产价值和风险等量化为财务价值和方式来进行计算的一种方法 B . 采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性 C . 在后果和可能性分析中采用数值,并采用从各种各样的来源中得到的数据
13、 D . 定性风险分析提供了较好的成本效益分析 参考答案: B 22 . 为防止 PingofDeath, ICMP报文的数据长度必须小于( )。 A . 65507 B . 65550 C . 65535 D . 65527 参考答案: A 23 . 保护轮廓( PP)是下面哪一方提出的安全要求? A . 评估方 B . 开发方 C . 用户方 D . 制定标准方 参考答案: C 24 . 业务系统如何退出更为安全 。 A . 直接关闭 IE B . 直接关机 C . “退出 ”业务系统 D . 强行关闭进程 参考答案: C 25 . 下列哪一种模型运用在 JAVA安全模型中: A . 白盒
14、模型 B . 黑盒模型 C . 沙箱模型 D . 灰盒模型 参考答案: C 26 . “如果一条链路发生故障,那么只有和该链路相连的终端才会影响 ”,这一说法是适合于以下哪一种拓扑结构的网络的? A . 星型 B . 树型 C . 环型 D . 复合型 参考答案: A 27 . 信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中不包含的内容: A . 说明信息安全对组织的重要程度 B . 介绍需要符合的法律法规要求 C . 信息安全技术产品的选型范围 D . 信息安全管理责任的定义 参考答案: C 28 . 在一个局域网的环境中,其 内在的安全威胁包括主动
15、威胁和被动威胁。以下哪 一项属于被动威胁? A . 报文服务拒绝 B . 假冒 C . 数据流分析 D . 报文服务更改 参考答案: C 29 . 负责授权访问业务系统的职责应该属于: A . 数据拥有者 B . 安全管理员 C . IT安全经理 D . 请求者的直接上司 参考答案: A 30 . 有关定性风险评估和定量风险评估的区别,以下描述不正确的是 A . 定性风险评估比较主观,而定量风险评估更客观 B . 定性风险评估容易实施,定量风险评估往往数据准确性很难保证 C . 定性风险评估更成熟,定量风险评估还停留在理论阶段 D . 定性风险评估和定量风险评估没有本质区别,可以通用 参考答案
16、: D 31 . 信息安全管理体系要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以( )为基础选择控制目标和措施等一系列活动来建立信息安全管理体系 A . 等级保护 B . 应急处理 C . 风险评估 D. 风险管理 参考答案: C 32 . ( )对信息安全等级保护的密码实行分类分级管理。 A . 公安机关 B . 国家保密局 C . 国家密码管理部门 D . 国家安全局 参考答案: C 33 . 涉密信息系统建设使用单位应当选择具有( )的单位承担或者参与涉密信息系统的设计与实施。 A . 涉密集成资质 B . 取得国家信息安全产品认证机构颁发的认证证书 C . 产
17、品的核心技术、关键部件具有我国自主知识产权 D . 在中华人民共和国境内具有独立的法人资格 参考答案: A 34 . 信息安全等级保护管理办法规定,新建第二级以上信息系统,应当在投入运行后 30日内,由其运营、使用单位到( )办理备案手续。 A . 地方信息化领导小组 B . 上级主管部门 C . 所在地设区的区级以上公安机关 D . 所在地设区的市级以上公安机关 参考答案: D 35. 以下关于 “最小特权 ”安全管理原则理解正确的是: A . 组织机构内的敏感岗位不能由一个人长期负责 B . 对重要的工作进行分解,分配给不同人员完成 C . 一个人有且仅有其执行岗位所足够的许可和权限 D
18、. 防止员工由一个岗位变动到另一个岗位,累积越来越多的权限 参考答案: C 36 . 下面哪一种攻击 方式最曾用于破解口令? A . 哄骗( spoofing) B . 字典攻击( dictionary attack) C . 拒绝服务( DOS) D . WinNuk 参考答案: B 37 . 确保网络空间安全的国家战略是哪个国家发布的国家战略? A . 英国 B . 法国 C . 德国 D . 美国 参考答案: D 38 . 被以下哪种 病毒感染后,会使计算机产生下列现象:系统资源被大量占用,有时弹出 RPC服务终止的对话框,并且系统反复重启,不能收发邮件,不能正常复制文件。无法正常浏览网
19、页,复制粘贴等操作手到严重影响, DNS和 IIS服务遭到非法拒绝等。 A . 高波变种 3T B . 冲击波 C . 震荡波 D . 尼姆达病毒 参考答案: B 39 . 开发人员认为系统架构设计不合理,需要讨论调整后,再次进入编码阶段。开发团队可能采取的开发方法为 A . 瀑布模型 B . 净室模型 C . XP模型 D . 迭代模型 参考答案: A 40 . ISO27004是指以下哪个标准 A . 信息安全管理体系要求 B . 信息安全管理实用规则 C . 信息安全管理度量 D . ISMS实施指南 参考答案: C 41 . 银行柜员的访问控制策略实施以下的哪一种? A . 基于角色的
20、策略。 B . 基于身份的策略。 C . 基于用户的策略。 D . 基于规则政策。 参考答案: A 42 . 在选择外部供货生产商时,评价标准按照重要性的排列顺序是: 1.供货商誉信息系统部门的接近程度 2.供货商雇员的态度 3.供货商的信誉、专业知识、技术 4.供货商的财政状况和管理情况 A . 4,3,1,2 B . 3,4,2,1 C . 3,2,4,1, D . 1,2,3,4 参考答案: B 43 . 多层楼房中,最适合做数据中心的位置是: A . 一楼 B . 地下室 C . 顶楼 D . 除以上外的任何楼层 参考答案: D 44 . 从分析方式上入侵检测技术可以分为: A . 基
21、于标志检测技术,基于状态检测技术 B . 基于异常检测技术,基于流量检测技术 C . 基于误用检测技术,基于异常检测技术 D . 基于标志检测技术,基于误用检测技术 参考答案: A 45 . 关于 ICMP协议的数据传输,请选择正确的描述。 A . 使用 udp通信 B . 使用 tcp通信 C . 使用 IP通信 D . 使用 ftp通信 参考答案: C 46 . PPDR模型不包括 A . 策略 B . 检查 C . 相应 D . 加密 参考答案: D 47 . UDP协议和 TCP协议对应于 ISO模型的哪一层? A . 链路层 B . 传输层 C . 会话层 D . 表示层 参考答案:
22、 B 48 . 攻击者以很高的发包速率发送大量的数据包使得网络超载,由于超载,路由器为了负载均衡开始丢弃合法的数据包,这样路由器越开越忙,网速越来越慢。基于 ICMP请求 /应答包的攻击是: A . SYN攻击 B . SMURF攻击 C . Death of Ping攻击 D . Fraggle攻击 参考答案: B 49 . ( )级(含)以上信息系统,由总部或各企事业单位向所在地设区的市级以上公安机关办理备案手续。 A . B . A C . D . B 参考答案: B 50 . ISMS内部审核的最主要目的是 A . 检查信息安全控制措施的执行情况 B . 检查系统安全漏洞 C . 检查
23、信息安全管理体系的有效性 D . 检查人员安全意识 参考答案: A 51 . 以下哪项是对系统工程过程中 “概念与需求定义 ”阶段的信息安全工作的正确描述? A . 应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑 B . 应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品 C . 应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实 D . 应详细规定系统验收测试中有关系统安全性测试的内容 参考答案: A 52 . 我国信息安全标准化技术委员会( TC260)目前下属 6个工作组,
24、其中负责信息安全管理的小组是: A . WG1 B . WG7 C . WG3 D . WG5 参考答案: B 53 . 以下哪一项不是 GB/T20274信 息安全保障评估框架给出的信息安全保障模型具备的特点? A . 强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程 B . 强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标 C . 以安全风险和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心 D . 通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、
25、工程和人员保障要素,从而使信息系统安全保障实现信息安全 的安全特征 参考答案: C 54 . 我国规定商用密码产品的研发、制造、销售和使用采取专控管理,必须经过审批,所依据的是: A . 商用密码管理条例 B . 中华人民共和国计算机信息系统安全保护条例 C . 计算机信息系统国际互联网保密管理规定 D . 中华人共和国保密法 参考答案: A 55 . 2000年 12月 28日,全国人民代表大会常务委员会发布( ),标志着我国信息安全法律体系建设进入了一个新的阶段。 A . 关于维护互联网安全的决定 B . 中华人民共和国计算机信息系统安全保护条例 C . 全国人大常委会关于维护互联网安全的
26、决定 D . 商用密码管理条例 参考答案: A 56 . 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照依照刑法第( )条第一款规定处罚。 A . 284 B . 285 C . 286 D . 287 参考答案: C 57 . 以下哪些不是网络类资产: A . 网络设备 B . 基础服务平台 C . 网络安全设备 D . 主干线路 参考答案: B 58 . 下列哪一个是国家推荐标准 A . GB/T18020-1999 B . SJ/T30003-93 C . ISO/IEC15408 D . GA243-2000 参考答案: A 59 . 无论是哪一种 web服务器,都会受到 HTTP协议本身安全问题的困扰,这样的信息系统安全漏洞属于: A . 设计型漏洞 B . 开发型漏洞 C . 运行型漏洞 D . 以上都不是 参考答案: A