1、判断题信息安全定义3. 只要投资充足,技术措施完备,就能够保证百分之百的信息安全。27. 信息在使用中不仅不会被消耗掉,还可以加以复制。43. 防止静态信息被非授权访问和防止动态信息被截取解密是_。A:数据完整性 B:数据可用性 C:数据可靠性 D:数据保密性69. 在 ISOIEC 17799 中,防止恶意软件的目的就是为了保护软件和信息的 _。A:安全性 B:完整性 C:稳定性 D:有效性78. 关于信息安全,下列说法中正确的是_。A:信息安全等同于网络安全 B:信息安全由技术措施实现C:信息安全应当技术与管理并重 D:管理措施在信息安全中不重要41. 信息安全在通信保密阶段中主要应用于_
2、领域。A:军事 B: 商业 C:科研 D:教育69. 确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是_。A:完整性 B:可用性 C:可靠性 D:保密性管理学14. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。36. 网络和信息系统的关节岗位人选不得出现在其他关键岗位兼职的情况。66. 下述关于安全扫描和安全扫描系统的描述错误的是_。A:安全扫描在企业部署安全策略中处于非常重要的地位 B:安全扫描系统可用于管理和维护信息安全设备的安全C:安全扫描系
3、统对防火墙在某些安全功能上的不足不具有弥补性D:安全扫描系统是把双刃剑71. 策略应该清晰,无须借助过多的特殊一通用需求文档描述,并且还要有具体的_。A:管理支持 B:技术细节 C:补充内容 D:实施计划47. 在 PDR 安全模型中最核心的组件是_。A:策略 B:保护措施 C:检测措施 D:响应措施79. 在 PPDRR 安全模型中,_是属于安全事件发生后的补救措施。A:保护 B:恢复 C:响应 D:检测44. 信息安全领域内最关键和最薄弱的环节是_。A:技术 B:策略 C:管理制度 D:人58. 下列关于信息安全策略维护的说法,_是错误的。A:安全策略的维护应当由专门的部门完成B:安全策略
4、制定完成并发布之后,不需要再对其进行修改 C:应当定期对安全策略进行审查和修订 D:维护工作应当周期性进行66. 对日志数据进行审计检查,属于_类控制措施。A:预防 B:检测 C:威慑 D:修正74. 信息安全中的木桶原理,是指_。A:整体安全水平由安全级别最低的部分所决定B:整体安全水平由安全级别最高的部分所决定C:整体安全水平由各组成部分的安全级别平均值所决定D:以上都不对76. 根据权限管理的原则,个计算机操作员不应当具备访问_的权限。A:操作指南文档 B:计算机控制台 C:应用程序源代码 D:安全指南物理37. 二类故障:包括电源等系统故障。38. 二类故障:空调、通风、发电机、门禁、
5、照明等系统故障。45. 设备放置应考虑到便于维护和相对的安全区域内。70. 环境安全策略应该_。A:详细而具体 B:复杂而专业 C:深入而清晰 D:简单而全面网络13. 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。19. 网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。 20. 防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。24. 防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。29. 防火墙属于
6、网络安全的范畴,是网络安全保护中最基本的安全机制,只能在内部网络的边界处提供动态包过滤、应用安全代理等安全服务。57. IPSec 协议中涉及到密钥管理的重要协议是_。A:IKE B:AH C:ESP D:SSL58. 入侵检测技术可以分为误用检测和_两大类。A:病毒检测 B:详细检测 C:异常检测 D: 漏洞检测72. 在一个企业网中,防火墙应该是_的一部分,构建防火墙时首先要考虑其保护的范围。A:安全技术 B:安全设置 C:局部安全策略 D:全局安全策略59. 防火墙最主要被部署在_位置。A:网络边界 B:骨干线路 C:重要服务器 D:桌面终端主机31. 主机和系统是信息系统威胁的主要目标
7、之一。 33. 强制执行策略:没有强制性的用户安全策略就没有任何价值。应用39. 定时清理 IE 浏览器的临时文件夹,并不能防止部分敏感内容的泄露。41. 应用和业务安全管理不属于信息安全管理制度。 数据1. 根据 ISO 13335 标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。44. 网络数据备份的实现主要需要考虑的问题不包括_。A:架设高速局域网 B:分析应用环境 C:选择备份硬件设备 D:选择备份管理软件70. 系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速_。A:恢复整个系统 B:恢
8、复所有数据 C:恢复全部程序 D:恢复网络设置78. _能够有效降低磁盘机械损坏给关键数据造成的损失。A:热插拔 B:SCSI C:RAID D:FAST-ATA病毒和木马45. 针对操作系统安全漏洞的蠕虫病毒根治的技术措施是_。A:防火墙隔离 B:安装安全补丁程序 C:专用病毒查杀工具 D:部署网络入侵检测系统46. 计算机病毒最本质的特性是_。A:寄生性 B:潜伏性 C:破坏性 D:攻击性48. 计算机病毒防治管理办法规定,_主管全国的计算机病毒防治管理工作。A:信息产业部 B:国家病毒防范管理中心 C:公安部公共信息网络安全监察 D:国务院信息化建设领导小组49 计算机病毒的实时监控属于
9、_类的技术措施。A:保护 B:检测 C:响应 D:恢复50. 下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是_。A:防火墙隔离 B:安装安全补丁程序 C:专用病毒查杀工具 D:部署网络入侵检测系统51. 下列不属于网络蠕虫病毒的是_。A:冲击波 B:SQLSLAMMER C:CIH D:振荡波业务连续性和应急响应46. 凡信息网络发生的事件、事故和案件,均应按规定由有关使用单位在 48 小时内向当地县级以上公安局观报告。46. 关于灾难恢复计划错误的说法是_。A:应考虑各种意外情况 B:制定详细的应对处理办法 C:建立框架性指导原则,不必关注于细节 D:正式发布前,要进行讨论和评
10、审74. 灾难恢复计划或者业务连续性计划关注的是信息资产的_属性。A:可用性 B:真实性 C:完整性 D:保密性信息安全保障体系4. 我国在 2006 年提出的20062020 年国家信息化发展战略将“建设国家信息安全保障体系”作为 9 大战略发展方向之一。5. 2003 年 7 月国家信息化领导小组第三次会议发布的 27 号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。 15. 按照 BS 7799 标准,信息安全管理应当是一个持续改进的周期性过程。 30. 方针和策略是信息安全保证工作的整体性指导和要求。安全方针和策略不需要有相应的制定、审核和改进过程。 42. IS0 1
11、7799IS0 27001 最初是由_提出的国家标准。A:美国 B:澳大利亚 C:英国 D:中国59. 根据 BS 7799 的规定,建立的信息安全管理体系 ISMS 的最重要特征是_A:全面性 B:文档化 C:先进性 D:制度化67. 关于安全审计目的描述错误的是_。A:识别和分析未经授权的动作或攻击 B:记录用户活动和系统管理C:将动作归结到为其负责的实体 D:实现对安全事件的应急响应60. 安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于_措施A:保护 B:检测 C:响应 D:恢复80. 信息安全评测标准 CC 是_标准。A:美国 B:国际 C:英国 D:澳大利亚42.
12、下面所列的_安全机制不属于信息安全保障体系中的事先保护环节。A:杀毒软件 B:数字证书认证 C:防火墙 D:数据库加密79. 相对于现有杀毒软件在终端系统中提供保护不同,_在内外网络边界处提供更加主动和积极的病毒保护。A:防火墙 B:病毒网关 C:IPS D:IDS等级保护8. GB 17859 与目前等级保护所规定的安全等级的含义不同,GB 17859 中等级划分为现在的等级保护奠定了基础。34. 信息系统的安全保护等级由各业务子系统的最高等级决定。47. 信息系统安全等级划分第五级为自主保护级。48. 我国在 1999 年发布的国家标准_为信息安全等级保护奠定了基础。A:GB 17799
13、B:GB 15408 C:GB 17859 D:GB 1443049. 信息安全等级保护的 5 个级别中,_是最高级别,属于关系到国计民生的最关键信息系统的保护。A:强制保护级 B:专控保护级 C:监督保护级 D:指导保护级 E:自主保护级50. _是进行等级确定和等级保护管理的最终对象。A:业务系统 B:功能模块 C:信息系统 D:网络系统51. 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由_所确定。A:业务子系统的安全等级平均值 B:业务子系统的最高安全等级 C:业务子系统的最低安全等级 D:以上说法都错误60. 根据 BS 7799 的
14、规定,对信息系统的安全管理不能只局限于对其运行期间的管理维护,而要将管理措施扩展到信息系统生命周期的其他阶段,BS7799 中与此有关的一个重要方面就是_。A:访问控制 B:业务连续性 C:信息系统获取、开发与维护 D:组织与人员61. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的_。A:强制保护级 B:监督保护级 C:指导保护级 D:自主保护级63. 如果一个信息系统,其业务信息安全性或业务服务保证性受
15、到破坏后,会对公民法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于_。A:强制保护级 B:监督保护级 C:指导保护级 D:自主保护级80. 信息系统安全等级保护基本要求中,对不同级别的信息系统应具备的基本安全保护能力进行了要求,共划分为_级。A:4 B:5 C:6 D:7风险管理16. 虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。18. 定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对
16、。25. 通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。26. 脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。52. 下列关于风险的说法,_是错误的。A:风险是客观存在的 B:导致风险的外因是普遍存在的安全威胁C:导致风险的外因是普遍存在的安全脆弱性 D:风险是指一种可能性53. 风险管理的首要任务是_。A:风险识别和评估 B:风险转嫁 C:风险控制 D:接受风险54. 安全威胁是产生安全事件的_。A:内因 B:外因 C:根本原因 D:不相关因素55. 安全脆弱性是产生安全事件的_。A:内因 B:外因 C:根本原因
17、D:不相关因素54. 关于资产价值的评估,_说法是正确的。A:资产的价值指采购费用 B:资产的价值无法估计C:资产价值的定量评估要比定性评估简单容易 D:资产的价值与其重要性密切相关67. 根据风险管理的看法,资产具有价值,存在脆弱性,被安全威胁_,_风险。A:存在 利用 B:利用 导致 C:导致 存在 D:存在 具有合规6. 在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。12. 一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection) 、检测(Detection)、响应(Reaction)、恢复(Restoration) 五个主要环节。17. 一旦发
18、现计算机违法犯罪案件,信息系统所有者应当在 2 天内迅速向当地公安机关报案,并配合公安机关的取证和调查。 N21. 我国刑法中有关计算机犯罪的规定,定义了 3 种新的犯罪类型。22. 信息技术基础设施库(ITIL),是由英国发布的关于 IT 服务管理最佳实践的建议和指导方针,旨在解决 IT 服务质量不佳的情况。23. 美国国家标准技术协会 NIST 发布的SP 800-30中详细阐述了 IT 系统风险管理内容。42. 安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。68. 根据计算机信息系统国际联网保密管理规定的规定,凡向国际
19、联网的站点提供或发布信息,必须经过_。A:内容过滤处理 B:单位领导同意 C:备案制度 D:保密审查批准45. 计算机信息系统安全保护条例是由中华人民共和国_第 147 号发布的。A:国务院令 B:全国人民代表大会令 C:公安部令 D:国家安全部令61. 根据计算机信息系统国际联网保密管理规定 ,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行_。A:逻辑隔离 B:物理隔离 C:安装防火墙 D:VLAN 划分64. GB l7859 借鉴了 TCSEC 标准,这个 TCSEC 是_国家标准。A:英国 B:意大利 C:美国 D:俄罗斯73. 确保网络空
20、间安全的国家战略是_发布的国家战略。A:英国 B:法国 C:德国 D:美国认证7. windows2000XP 系统提供了口令安全策略,以对帐户口令安全进行保护。9. 口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。10. PKI 系统所有的安全操作都是通过数字证书来实现的。 11. PKI 系统使用了非对称算法、对称算法和散列算法。 28. 口令管理方式、口令设置规则、口令适应规则等属于口令管理策略。56. 在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列_具有最好的口令复杂度。A:morrison B:
21、Wm.$*F2m5 C:27776394 D:wangjingl97762. 关于口令认证机制,下列说法正确的是_。A:实现代价最低,安全性最高 B:实现代价最低,安全性最低C:实现代价最高,安全性最高 D:实现代价最高,安全性最低63. 身份认证的含义是_。A:注册一个用户 B:标识一个用户 C:验证一个用户 D:授权一个用户64. 口令机制通常用于_ 。A:认证 B:标识 C:注册 D:授权73. 基于密码技术的访问控制是防止_的主要防护手段。A:数据传输泄密 B:数据传输丢失 C:数据交换失败 D:数据备份失败75. _是最常用的公钥密码算法。A:RSA B:DSA C:椭圆曲线 D:量
22、子密码76. PKI 的主要理论基础是_。A:对称密码算法 B:公钥密码算法 C:量子密码 D:摘要算法56. PKI 是_。A:Private Key lnfrastructure B:Public Key lnstitute C:Public Key lnfrastructure D:Private Key lnstitute57. PKI 所管理的基本元素是_。A:密钥 B:用户身份 C:数字证书 D:数字签名77. PKI 中进行数字证书管理的核心组成模块是_ 。A:注册中心 RA B:证书中心 CA C:目录服务器 D:证书作废列表77. 我国正式公布了电子签名法,数字签名机制用于实
23、现_需求。A:抗否认 B:保密性 C:完整性 D:可用性多选题81. 在互联网上的计算机病毒呈现出的特点是_。A:与因特网更加紧密地结合,利用一切可以利用的方式进行传播B:所有的病毒都具有混合型特征,破坏性大大增强 C:因为其扩散极快,不再追求隐蔽性,而更加注重欺骗性D:利用系统漏洞传播病毒 E:利用软件复制传播病毒82. 在刑法中,_规定了与信息安全有关的违法行为和处罚依据。A:第 285 条 B:第 286 条 C:第 280 条 D:第 287 条83. _可能给网络和信息系统带来风险,导致安全事件。A:计算机病毒 B:网络入侵 C:软硬件故障 D:人员误操作 E:不可抗灾难事件84.
24、_安全措施可以有效降低软硬件故障给网络和信息系统所造成的风险。A:双机热备 B:多机集群 C:磁盘阵列 D:系统和数据备份 E:安全审计85. 目前,我国在对信息系统进行安全等级保护时,划分了 5 个级别,包括_。A:专控保护级 B:强制保护级 C:监督保护级 D:指导保护级 E:自主保护级 86. 下列_因素,会对最终的风险评估结果产生影响。A:管理制度 B:资产价值 C:威胁 D:脆弱性 E:安全措施87. 下列_因素与资产价值评估有关。A:购买资产发生的费用 B:软硬件费用 C:运行维护资产所需成本D:资产被破坏所造成的损失 E:人工费用 A,C,D88. 安全控制措施可以分为_。A:管
25、理类 B:技术类 C:人员类 D:操作类 E:检测类89. 信息安全技术根据信息系统自身的层次化特点,也被划分了不同的层次,这些层次包括_。A:物理层安全 B:人员安全 C:网络层安全 D:系统层安全 E:应用层安全 90. 在 BS 7799 中,访问控制涉及到信息系统的各个层面,其中主要包括_。A:物理访问控制 B:网络访问控制 C:人员访问控制 D:系统访问控制 E:应用访问控制91. 关于入侵检测和入侵检测系统,下述正确的选项是_。A:入侵检测收集信息应在网络的不同关键点进行B:入侵检测的信息分析具有实时性 C:基于网络的入侵检测系统的精确性不及基于主机的入侵检测系统的精确性高D:分布
26、式入侵检测系统既能检测网络的入侵行为又能检测主机的入侵行为E:入侵检测系统的主要功能是对发生的入侵事件进行应急响应处理92. 计算机信息网络国际联网安全保护管理办法规定,任何单位和个人不得制作、复制、发布、传播的信息内容有_。A:损害国家荣誉和利益的信息B:个人通信地址C:个人文学作品D:淫秽、色情信息E:侮辱或者诽谤他人,侵害他人合法权益的信息93. 基于角色对用户组进行访问控制的方式有以下作用:_。A:使用户分类化B:用户的可管理性得到加强C:简化了权限管理,避免直接在用户和数据之间进行授权和取消D:有利于合理划分职责E:防止权力滥用 C,D,E94. 有多种情况能够泄漏口令,这些途径包括
27、_。A:猜测和发现口令B:口令设置过于复杂C:将口令告诉别人D:电子监控 E:访问口令文件 95. 在局域网中计算机病毒的防范策略有_。A:仅保护工作站B:保护通信系统C:保护打印机D:仅保护服务器E:完全保护工作站和服务器 A,D,E96. 根据 IS0 定义,信息安全的保护对象是信息资产,典型的信息资产包括 _。A:硬件 B:软件 C:人员 D:数据 E:环境 B,C97. 治安管理处罚法规定,_行为,处 5 日以下拘留;情节较重的,处 5 日以上 10 日以下拘留。A:违反国家规定,侵入计算机信息系统,造成危害的B:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的C:违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的
