信息安全等級測評師模擬測試-技術(shù)初級

1、、單選題（20 分）1、以下關于信息系統(tǒng)安全建設整改工作方中說琺中不正確的是？ （）A、突出重要系統(tǒng)，涉及所有等級，試點示范，行業(yè)推廣，國家強制執(zhí)行。B、利用信息安全等圾保護綜合工作平臺使等級保護工作常態(tài)化。C、管理制度建設和技術(shù)措施建設同步或分步實施。D、加快改造，缺什么補什么，也可以進總體安全建設整改規(guī)劃。2、以下關于定級工作說法不正確的是？（ ）A、確定定級對象過程中，定級對象是指以下內(nèi)容：起支撐、傳輸作用的信 息網(wǎng)絡（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）以及用于生產(chǎn)、調(diào)度、管理、 指揮、作業(yè)、控制、辦公等目的的各類業(yè)務系統(tǒng)。B、確定信息系統(tǒng)安全保護等級僅僅是指確定信息系統(tǒng)屬于五個等級中的哪

2、 一個。C、在定級工作中同類信息系統(tǒng)的安全保護等級不能隨著部、省、市行政級 別的降低而降低。D、新建系統(tǒng)在規(guī)劃設計階段應確定等級，按照信息系統(tǒng)等級，同步規(guī)劃、 同步設計、同步實施安全保護技術(shù)措施和管理措施。3、測評單位開展工作的政策依據(jù)是？ （ ）A、公通字2004 66 號。B、公信安2008 736。C、公信安2010 303 號D、發(fā)改高技2008 2071。4、中關于登陸程序的配置文件默認的為？（ ）A、B、c、D、5、安全測評報告由（）報地級以上市公安機關公共信息網(wǎng)絡安全檢查部門？A、安全服務機構(gòu)。B、縣級公安機關公共信息網(wǎng)絡安全監(jiān)察部門。 C、測評 機構(gòu)。D、計算機信息系統(tǒng)運營、使

3、用單位。6安全規(guī)劃設計基本過程包括（_）、安全總體設計、安全建設規(guī)劃？A、項目調(diào)研。B、概要設計。C、需求分析。D、產(chǎn)品設計。7、信息系統(tǒng)為支撐其所承載業(yè)務而提供的程序化過程，稱為（_）。A、客體。B、客觀方面。C、等級保護對象。D、系統(tǒng)服務。8、發(fā)現(xiàn)入侵的最簡單最直接的方法是去看（）和（）？（）A、審計記錄、系統(tǒng)文件。B、系統(tǒng)記錄、安全審計文件。C、系統(tǒng)記錄、系統(tǒng)文件。D、審計記錄、安全審計文件。9、在安全評估過程中，采?。ǎ┦侄危梢阅M黑客入侵過程，檢測系統(tǒng) 安全脆弱性？A、問卷調(diào)查。B、人員訪談。C、滲透性測試。D、手工檢查。10、 安全操作系統(tǒng)的核心內(nèi)容是？（ ）A、防病毒。B、加密

4、。C、解密。D、訪問控制。11、 系統(tǒng)建設管理中要求，對新建系統(tǒng)首先要進行（_），在進行方案設計。A、定級。B、規(guī)劃。C、需求分析。D、測評。12、 操作系統(tǒng)中，本地登錄權(quán)限對（）用戶組不開放。A、B、C、D、13、 等級保護測評的執(zhí)行主體最好選擇？（ ）A、獨立的第三方測評服務機構(gòu)。B、具有相關資質(zhì)的、獨立的第三方測評服務機構(gòu)。C、從事系統(tǒng)集成和信息安全產(chǎn)品開發(fā)等安全服務機構(gòu)。D、具有相關資質(zhì)的、從事系統(tǒng)集成和信息安全產(chǎn)品開發(fā)等安全服務機構(gòu)。14、 從系統(tǒng)結(jié)構(gòu)上來看，入侵檢測系統(tǒng)可以不包括？（ ）A、數(shù)據(jù)源。B、分析引擎。C、審計。D、響應。15、的配置通過什么協(xié)議備份？（ ）A、B、C、D

5、、16、 通過（）對安全現(xiàn)狀評估產(chǎn)生的結(jié)果，說明了系統(tǒng)安全保護方面與等級保護基本要求之間的差距，這種差距是對系統(tǒng)進一步安全改造的依據(jù)。A、定級。B、備案。C、等級測評。D、安全建設整改。17、哪項不是開展主機工具測試所必須了解的信息？（）A、操作系統(tǒng)B、應用軟件C、地址D、物理位置18、從系統(tǒng)服務安全角度反映的信息系統(tǒng)安全保護等級稱？ （）A、安全等級保護。B、信息系統(tǒng)等級保護。C、系統(tǒng)服務安全保護等級。D、業(yè)務信息安全保護等級。19、 應用安全包括身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、 通信保密性和（）A、抗抵賴、軟件容錯、資源控制。B、不可否認性、軟件容錯、資源控制。C、

6、抗抵賴、軟件刪除、資源控制。D、抗抵賴、軟件容錯、系統(tǒng)控制。20、 鑒別的定義是？（ ）A、將兩個不同的主體區(qū)別開來。 B、將一個身份綁定到一個主體上。 C、 防止非法用戶使用系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用。D、對計算機系統(tǒng)實體進行訪問控制。、多選題（26分）1、以下對信息系統(tǒng)安全建設整改工作的復雜性和艱巨性說法正確的是？（）A、政策性和技術(shù)性很強。B、涉及范圍廣。C、信息系統(tǒng)安全加固改造，需要國家在經(jīng)費上予以支持。D、跨省全國聯(lián)網(wǎng)的大系統(tǒng)結(jié)構(gòu)復雜運行實時保障性高、 數(shù)據(jù)重要，加固改造周期長2、下列訪問控制屬于按層面劃分的為？（ ）A、自主訪問控制。B、物理訪問控制。C、主機訪問控制。D、

7、強制訪問控 制。3、系統(tǒng)中的審計日志包括（）。A、系統(tǒng)日志。B、安全日志。C、應用程序日志。D、用戶日志。4、經(jīng)測評，計算機信息系統(tǒng)安全狀況未達到國家有關規(guī)定和標準的要求的，須（）。A、委托單位應當根據(jù)測評報告的建議，完善計算機信息系統(tǒng)安全建設。B、重新提出安全測評委托。C、另行委托其他測評機構(gòu)進行測評。D、自行進行安全測評。5、系統(tǒng)中的密碼信息保存在，或文件中，信息包含的內(nèi)容有（ ）。A、最近使用過的密碼。B、用戶可以再次改變密碼必須經(jīng)過的最小周期。C、密碼最近的改變時間。D、密碼有效的最大天數(shù)一這三條部是在文件里記錄的。6信息安全等級促護管理辦法中要求第三圾以上信息系統(tǒng)應當選擇符合下列條件

8、（）的等級保護測評機構(gòu)進行測評。A、在中華人民共和國境內(nèi)注冊成立。B、由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位。C、具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度。D、工作人員僅限于中國公民。7、常見的數(shù)據(jù)備份有哪些形式？（）A、完全備份。B、差異備份。C、增量備份。D、日志備份。8、計算機信息系統(tǒng)運營、使用單位委托安全測評機構(gòu)測評，應當提交下列瓷料的主要有？ （ ）A、安全測評委托書。B、定級報告。C、計算機信息系統(tǒng)應用需求、系統(tǒng)結(jié)構(gòu)拓撲及說明、系統(tǒng)安全組織結(jié)構(gòu) 和管理制度、安全保護設施設計實施方案或者改建實施方案、系統(tǒng)軟 件硬件和信息安全產(chǎn)品清單。D、

9、安全策略文檔。9、下列屬于安全產(chǎn)品的有（ ）A、網(wǎng)閘。B、交換機。C、防火墻。D、和。E路由器。F、堡壘機。10、三級信息系統(tǒng)的測試驗收包括如下（）內(nèi)容。A、應委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出縣安全 性測試報告。B、在測試驗收前應根據(jù)設計方案或合同要求等制訂測試驗收方室，在 測試驗收過程中應詳細記錄測試驗收結(jié)果，并形成測試驗收報告。C、應指定或授權(quán)專門的部門負責系統(tǒng)測試驗收的管理.并按照管理規(guī) 定的要求完成系統(tǒng)測試驗收工作。D、應組織相關部門和相關人員對系統(tǒng)測試殮收報告進行審定，并簽字 確認。11、三級信息系統(tǒng)的等級測評包括如下（）內(nèi)容。A、在系統(tǒng)運行過程中，應至少每年對系統(tǒng)

10、進行一次等級測評，發(fā)現(xiàn)不符 合相應等圾保護標準要求的及時整改。B、應在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等圾測評，發(fā)現(xiàn)級別發(fā)生變化 的及時調(diào)整級別并進行安全改造，發(fā)現(xiàn)不符合相應等級保護標準要 求的及時整改。C、應選擇具有國家相關技術(shù)資質(zhì)相安全資質(zhì)的測評單位進行等圾測評。D、應指定或授權(quán)專門的部門或人員負責等級測評的管理。12、信息安全等級保護測評工作原則，主要包括（）A、規(guī)范性原則。B、整體性原則。C、最小影響原則。D、保密性原則。13、 等級測評實施過程中可能存在的風險，主要有（ ）A、驗證測試影響系統(tǒng)正常運行。B、工具測試影響系統(tǒng)正常運行。C、敏感 信息泄露，D、受到惡意攻擊。三、填空題（20分

11、）1、等級保護測評準則的作用，主要有（）、（ ）、（ ）、（ ）2、通過組織開展信息安全等級保護的哪三項重點工作，（ ）、（ ）、（）、落實等級保護制度的各項要求？3、安全建設整改工作的主要特點？（、（ ）、（ ）、（ ）4、說明信息安全等級保護基本要求中二級系統(tǒng)的要求項有多少？ （）與三級系統(tǒng)的要求項差異多少？ （）另外二級系統(tǒng)中技術(shù)要求的要求項有多少？ （ 、與三級系統(tǒng)中技術(shù)要求的要求項差異多少？（）四、判斷題（20分）1、信息系統(tǒng)等級保護的第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。（ ）2、在進行信息安全測試中，我們一般不需要自己動手進行測試

12、。（）3、根據(jù)信息安全等圾保護管理辦法，第三級信息系統(tǒng)運營、使用單位應當 依據(jù)國家管理規(guī)范和技術(shù)標準進行保護，國家有關信息安全職能部門對其 信息安全等級保護工作進行強制監(jiān)罾、檢查。（）4、是一個支持單用戶、多進程、多線程，實時性較好的功能強大而穩(wěn)定的操作系統(tǒng)。（）5、根據(jù)信息安全等級保護管理辦法，信息系統(tǒng)的運營、使用單位應當根據(jù) 已確定的安全保護等級，依照本辦法和有關技術(shù)標準，使用符臺國家有關規(guī) 定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，進行信息系統(tǒng)建設。（）6系統(tǒng)的文件是不能被普通用戶讀取的，只有超級用戶才有權(quán)讀取。（）7、根據(jù)信息安全等級保護管理辦法，公安機關應當掌握信息系統(tǒng)運營、使

13、 用單位的備案情況，發(fā)現(xiàn)不符合本辦法及有關標準的，應建議其予以糾正。（）8、根據(jù)信息安全等級保護管理辦法，公安機關檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關管理規(guī)范和技術(shù)標準的，應當向運營、使用單位發(fā)出整改通知。（）9、在數(shù)據(jù)庫系統(tǒng)中，查看標簽創(chuàng)建情況：* 。（）10、訪問控制是安全防范和保護的主要策略，它不僅應用于網(wǎng)絡層面.同樣也適用于主機層面。（）11、第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進 行監(jiān)督、檢查屬于監(jiān)督保護圾。（）12、 等圾保護的政策文件主要涵蓋了等級保護制度、 定級、備案、等

14、級測評、安 全建設、監(jiān)督檢重等工作的各個環(huán)節(jié)，構(gòu)成了比較完備政策體系。（）13、管理辦法中信息系統(tǒng)重要程度的等級的概念，是信息安全等級保護工作 中的系統(tǒng)定級和備案、安全建設整改、等級測評和監(jiān)督檢查等工作的依據(jù)。（）14、 考慮到經(jīng)濟成本，在機房安裝過錄像監(jiān)控之后，可不再布置報警系統(tǒng)。（）15、依據(jù)22239-2008，三級信息系統(tǒng)應對“系統(tǒng)管理數(shù)據(jù)”、“鑒別信息”和“重要業(yè)務數(shù)據(jù)”實現(xiàn)存儲保密性。（）16、 公安部、國家保密局、國家密碼管理局、原國務院信息辦共同印發(fā)的 信息 安全等級保護管理辦法即43號文。（）17、在應用系統(tǒng)現(xiàn)場等級測評活動中，不需要對應用系統(tǒng)的安全功能進行驗證。（）18、對于測試過程可能造成的對目標系統(tǒng)的網(wǎng)絡流量及主機性能等方面的影響， 要實現(xiàn)告知被測系統(tǒng)相關人員。（_）19、審計日志