信息安全管理試題集

信息安全管理－試題集判斷題：1.信息安全保障階段中，安全策略是核心，對事先保護、事發(fā)檢測和響應、事后恢復起到了統(tǒng)一指導作用。（×）注釋：在統(tǒng)一安全策略的指導下，安全事件的事先預防（保護），事發(fā)處理（檢測Detection和響應Reaction)、事后恢復（恢復Restoration）四個主要環(huán)節(jié)相互配合，構(gòu)成一個完整的保障體系，在這里安全策略只是指導作用，而非核心。2.一旦發(fā)現(xiàn)計算機違法犯罪案件，信息系統(tǒng)所有者應當在2天內(nèi)迅速向當?shù)毓矙C關(guān)報案，并配合公安機關(guān)的取證和調(diào)查。（×）注釋：應在24小時內(nèi)報案3.我國刑法中有關(guān)計算機犯罪的規(guī)定，定義了3種新的犯罪類型（×）注釋：共3種計算機犯罪，但只有2種新的犯罪類型。單選題：1.信息安全經(jīng)歷了三個發(fā)展階段，以下(B)不屬于這三個發(fā)展階段。A.通信保密階段B.加密機階段C.信息安全階段D.安全保障階段2.信息安全階段將研究領(lǐng)域擴展到三個基本屬性，下列（C）不屬于這三個基本屬性。A.保密性B.完整性C.不可否認性D.可用性3.下面所列的（A）安全機制不屬于信息安全保障體系中的事先保護環(huán)節(jié)。A.殺毒軟件B.數(shù)字證書認證C.防火墻D.數(shù)據(jù)庫加密4.《信息安全國家學說》是（C）的信息安全基本綱領(lǐng)性文件。A.法國B.美國C.俄羅斯D.英國注：美國在2003年公布了《確保網(wǎng)絡(luò)空間安全的國家戰(zhàn)略》。5.信息安全領(lǐng)域內(nèi)最關(guān)鍵和最薄弱的環(huán)節(jié)是（D）。A.技術(shù)B.策略C.管理制度D.人6.信息安全管理領(lǐng)域權(quán)威的標準是（B）。A.ISO15408B.ISO17799/ISO27001(英）C.ISO9001D.ISO140017.《計算機信息系統(tǒng)安全保護條例》是由中華人民共和國（A)第147號發(fā)布的。A.國務(wù)院令B.全國人民代表大會令C.公安部令D.國家安全部令8.在PDR安全模型中最核心的組件是（A）。A.策略B.保護措施C.檢測措施D.響應措施9.在完成了大部分策略的編制工作后，需要對其進行總結(jié)和提煉，產(chǎn)生的結(jié)果文檔被稱為（A)。A.可接受使用策略AUPB.安全方針C.適用性聲明D.操作規(guī)范10.互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位落實的記錄留存技術(shù)措施，應當具有至少保存（C）天記錄備份的功能。A.10B.30C.60D.9011.下列不屬于防火墻核心技術(shù)的是（D）A.（靜態(tài)/動態(tài))包過濾技術(shù)B.NAT技術(shù)C.應用代理技術(shù)D.日志審計12.應用代理防火墻的主要優(yōu)點是（B)A.加密強度更高B.安全控制更細化、更靈活C.安全服務(wù)的透明性更好D.服務(wù)對象更廣泛13.對于遠程訪問型VPN來說，（A）產(chǎn)品經(jīng)常與防火墻及NAT機制存在兼容性問題，導致安全隧道建立失敗。A.IPSecVPNB.SSLVPNC.MPLSVPND.L2TPVPN注：IPSec協(xié)議是一個應用廣泛，開放的VPN安全協(xié)議，目前已經(jīng)成為最流行的VPN解決方案。在IPSec框架當中還有一個必不可少的要素:Internet安全關(guān)聯(lián)和密鑰管理協(xié)議——IKE(或者叫ISAKMP/Oakley)，它提供自動建立安全關(guān)聯(lián)和管理密鑰的功能。14.1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB17859-1999，提出將信息系統(tǒng)的安全等級劃分為（D）個等級，并提出每個級別的安全功能要求。A.7B.8C.6D.5注：該標準參考了美國的TCSEC標準，分自主保護級、指導保護級、監(jiān)督保護級、強制保護級、?？乇Ｗo級。15.公鑰密碼基礎(chǔ)設(shè)施PKI解決了信息系統(tǒng)中的（A）問題。A.身份信任B.權(quán)限管理C.安全審計D.加密注：PKI（PublicKeyInfrastructure,公鑰密碼基礎(chǔ)設(shè)施)，所管理的基本元素是數(shù)字證書。16.最終提交給普通終端用戶，并且要求其簽署和遵守的安全策略是（C）。A.口令策略B.保密協(xié)議C.可接受使用策略AUPD.責任追究制度知識點：1.《信息系統(tǒng)安全等級保護測評準則》將測評分為安全控制測試和系統(tǒng)整體測試兩個方面。2.安全掃描可以彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題。3.1994年2月18日國務(wù)院發(fā)布《計算機信息系統(tǒng)安全保護條例》。4.安全審計跟蹤是安全審計系統(tǒng)檢測并追蹤安全事件的過程。5.環(huán)境安全策略應當是簡單而全面。6.安全管理是企業(yè)信息安全的核心。7.信息安全策略和制定和維護中，最重要是要保證其明確性和相對穩(wěn)定性。8.許多與PKI相關(guān)的協(xié)議標準等都是在X.509基礎(chǔ)上發(fā)展起來的。9.避免對系統(tǒng)非法訪問的主要方法是訪問控制。10.災難恢復計劃或者業(yè)務(wù)連續(xù)性計劃關(guān)注的是信息資產(chǎn)的可用性屬性。11.RSA是最常用的公鑰密碼算法。12.在信息安全管理進行安全教育和培訓，可以有效解決人員安全意識薄弱。13.我國正式公布電子簽名法，數(shù)字簽名機制用于實現(xiàn)抗否認。14.在安全評估過程中，采取滲透性測試手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性。15.病毒網(wǎng)關(guān)在內(nèi)外網(wǎng)絡(luò)邊界處提供更加主動和積極的病毒保護。16.信息安全評測系統(tǒng)CC是國際標準。17.安全保護能力有4級：1級－能夠?qū)箓€人、一般的自然災難等；2級－對抗小型組織；3級－對抗大型的、有組織的團體，較為嚴重的自然災害，能夠恢復大部分功能；4級－能夠?qū)箶硨M織、嚴重的自然災害，能夠迅速恢復所有功能。18.信息系統(tǒng)安全等級分5級：1－自主保護級；2－指導保護級；3－監(jiān)督保護級；4－強制保護級；5－?？乇Ｗo級。19.信息系統(tǒng)安全等級保護措施：自主保護、同步建設(shè)、重點保護、適當調(diào)整。20.對信息系統(tǒng)實施等級保護的過程有5步：系統(tǒng)定級、安全規(guī)則、安全實施、安全運行和系統(tǒng)終止。21.定量評估常用公式：SLE（單次資產(chǎn)損失的總值）＝AV（信息資產(chǎn)的估價）×EF（造成資產(chǎn)損失的程序）。22.SSL主要提供三方面的服務(wù)，即認證用戶和服務(wù)器、加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)、維護數(shù)據(jù)的完整性。23.信息安全策略必須具備確定性、全面性和有效性。24.網(wǎng)絡(luò)入侵檢測系統(tǒng)，既可以對外部黑客的攻擊行為進行檢測，也可以發(fā)現(xiàn)內(nèi)部攻擊者的操作行為，通常部署在網(wǎng)絡(luò)交換機的監(jiān)聽端口、內(nèi)網(wǎng)和外網(wǎng)的邊界。25.技術(shù)類安全分3類：業(yè)務(wù)信息安全類（S類）、業(yè)務(wù)服務(wù)保證類（A類）、通用安全保護類（G類）。其中S類關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改；A類關(guān)注的是保護系統(tǒng)連續(xù)正常的運行等；G類兩者都有所關(guān)注