信息安全管理教程试题.doc

二、单选题 1. 下列关于信息的说法_是错误的。A. 信息是人类社会发展的重要支柱 B. 信息本身是无形的 C. 信息具有价值，需要保护 D. 信息可以以独立形态存在 2. 信息安全经历了三个发展阶段，以下_不属于这三个发展阶段。A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段3. 信息安全在通信保密阶段对信息安全的关注局限在_安全属性。A.不可否认性 B.可用性 C.保密性 D.完整性 4. 信息安全在通信保密阶段中主要应用于_领域。A.军事 B.商业 C.科研 D.教育 5. 信息安全阶段将研究领域扩展到三个基本属性，下列_不属于这三个基本属性。A.保密性 B.完整性 C.不可否认性 D.可用性 6. 安全保障阶段中将信息安全体系归结为四个主要环节，下列_是正确的。A. 策略、保护、响应、恢复 B. 加密、认证、保护、检测 C. 策略、网络攻防、密码学、备份 D. 保护、检测、响应、恢复 7. 下面所列的_安全机制不属于信息安全保障体系中的事先保护环节。A.杀毒软件 B.数字证书认证 C.防火墙 D.数据库加密 8. 根据IS0的信息安全定义，下列选项中_是信息安全三个基本属性之一。A.真实性 B.可用性 C.可审计性 D.可靠性 9. 为了数据传输时不发生数据截获和信息泄密，采取了加密机制。这种做法体现了信息安全的_属性。A.保密性 B.完整性 C.可靠性 D.可用性 10. 定期对系统和数据进行备份，在发生灾难时进行恢复。该机制是为了满足信息安全的_属性。A.真实性 B.完整性 C.不可否认性 D.可用性 11. 数据在存储过程中发生了非法访问行为，这破坏了信息安全的_属性。A.保密性 B.完整性 C.不可否认性 D.可用性 12. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的_属性。A.保密性 B.完整性 C.不可否认性 D.可用性 13. PDR安全模型属于_类型。A.时间模型 B.作用模型 C.结构模型 D.关系模型 14. 信息安全国家学说是_的信息安全基本纲领性文件。A.法国 B.美国 C.俄罗斯 D.英国 15. 下列的_犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。A. 窃取国家秘密 B. 非法侵入计算机信息系统 C. 破坏计算机信息系统 D. 利用计算机实施金融诈骗 16. 我国刑法_规定了非法侵入计算机信息系统罪。A.第284条 B.第285条 C.第286条 D.第287条 17. 信息安全领域内最关键和最薄弱的环节是_。A.技术 B.策略 C.管理制度 D.人 18. 信息安全管理领域权威的标准是_。A. IS015408 B. IS017799IS027001 C. IS09001 D. IS014001 19. IS017799IS027001最初是由_提出的国家标准。A.美国 B.澳大利亚 C.英国 D.中国 20. IS017799的内容结构按照_进行组织。A. 管理原则 B. 管理框架 C. 管理域-控制目标-控制措施 D. 管理制度 21. _对于信息安全管理负有责任。A. 高级管理层 B. 安全管理员 C. IT管理员 D. 所有与信息系统有关人员 22. 对于提高人员安全意识和安全操作技能来说，以下所列的安全管理最有效的是_。A.安全检查 B.教育与培训 C.责任追究 D.制度约束 23. 计算机信息系统安全保护条例是由中华人民共和国_第l47号发布的。A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 24. 互联网上网服务营业场所管理条例规定，_负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。A.人民法院 B.公安机关 C.工商行政管理部门 D.国家安全部门 25. 计算机病毒最本质的特性是_。A.寄生性 B.潜伏性 C.破坏性 D.攻击性 26. _安全策略是得到大部分需求的支持并同时能够保护企业的利益。A.有效的 B.合法的 C.实际的 D.成熟的 27. 在PDR安全模型中最核心的组件是_。A.策略 B.保护措施 C.检测措施 D.响应措施 28. 制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的设施，在发生灾难后，这些设施的_。A.恢复预算是多少 B.恢复时间是多长 C.恢复人员有几个 D.恢复设备有多少 29. 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为_。A. 可接受使用策略AUPB. 安全方针 C. 适用性声明 D. 操作规范 30. 对保护数据来说，功能完善、使用灵活的_必不可少。A.系统软件 B.备份软件 C.数据库软件 D.网络软件 31. 防止静态信息被非授权访问和防止动态信息被截取解密是_。A.数据完整性 B.数据可用性 C.数据可靠性 D.数据保密性 32. 用户身份鉴别是通过_完成的。A.口令验证 B.审计策略 C.存取控制 D.查询功能 33. 故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人，由公安机关处以_。A. 3年以下有期徒刑或拘役 B. 警告或者处以5000元以下的罚款 C. 5年以上7年以下有期徒刑 D. 警告或者15000元以下的罚款 34. 网络数据备份的实现主要需要考虑的问题不包括_。A.架设高速局域网 B.分析应用环境 C.选择备份硬件设备 D.选择备份管理软件 35. 计算机信息系统安全保护条例规定，对计算机信息系统中发生的案件，有关使用单位应当在_向当地县级以上人民政府公安机关报告。A.8小时内 B.12小时内 C.24小时内 D.48小时内 36. 公安部网络违法案件举报网站的网址是_。A. www.netpolice.cn B. www.gongan.cn C. http:/www.cyberpolice.cnD. www.110.cn 37. 对于违反信息安全法律、法规行为的行政处罚中，_是较轻的处罚方式。A.警告 B.罚款 C.没收违法所得 D.吊销许可证 38. 对于违法行为的罚款处罚，属于行政处罚中的_。A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚 39. 对于违法行为的通报批评处罚，属于行政处罚中的_。A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚 40. 1994年2月国务院发布的计算机信息系统安全保护条例赋予_对计算机信息系统的安全保护工作行使监督管理职权。A.信息产业部 B.全国人大 C.公安机关 D.国家工商总局 41. 计算机信息网络国际联网安全保护管理办法规定，互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构)，应当自网络正式联通之日起_日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。A.7 B.10 C.15 D.30 42. 互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存天记录备份的功能。A.10 B.30 C.60 D.90 43. 对网络层数据包进行过滤和控制的信息安全技术机制是_。A.防火墙 B.IDS C.Sniffer D.IPSec 44. 下列不属于防火墙核心技术的是_。A. (静态/动态)包过滤技术 B. NAT技术 C. 应用代理技术 D. 日志审计 45. 应用代理防火墙的主要优点是_。A. 加密强度更高 B. 安全控制更细化、更灵活 C. 安全服务的透明性更好 D. 服务对象更广泛 46. 安全管理中经常会采用“权限分离”的办法，防止单个人员权限过高，出现内部人员的违法犯罪行为，“权限分离”属于_控制措施。A.管理B.检测 C.响应 D.运行 47. 安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为，属于_控制措施。A.管理 B.检测 C.响应 D.运行 48. 下列选项中不属于人员安全管理措施的是_。A.行为监控 B.安全培训 C.人员离岗 D.背景/技能审查 49. 计算机病毒防治管理办法规定，_主管全国的计算机病毒防治管理工作。A. 信息产业部 B. 国家病毒防范管理中心 C. 公安部公共信息网络安全监察 D. 国务院信息化建设领导小组 50. 计算机病毒的实时监控属于_类的技术措施。A.保护 B.检测 C.响应 D.恢复 51. 针对操作系统安全漏洞的蠕虫病毒根治的技术措施是_。A. 防火墙隔离 B. 安装安全补丁程序 C. 专用病毒查杀工具 D. 部署网络入侵检测系统 52. 下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是_。A. 防火墙隔离 B. 安装安全补丁程序 C. 专用病毒查杀工具 D. 部署网络入侵检测系统 53. 下列不属于网络蠕虫病毒的是_。A. 冲击波 B. SQL SLAMMER C. CIH D. 振荡波 54. 传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了_等重要网络资源。A.网络带宽 B.数据包 C.防火墙 D.LINUX 55. _不是计算机病毒所具有的特点。A.传染性 B.破坏性 C.潜伏性 D.可预见性 56. 关于灾难恢复计划错误的说法是_。A. 应考虑各种意外情况 B. 制定详细的应对处理办法 C. 建立框架性指导原则，不必关注于细节 D. 正式发布前，要进行讨论和评审 57. 对于远程访问型VPN来说，_产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。A. IPSee VPN B. SSL VPN C. MPLS VPN D. L2TP VPN 58. 1999年，我国发布的第一个信息安全等级保护的国家标准GB 178591999，提出将信息系统的安全等级划分为_个等级，并提出每个级别的安全功能要求。A.7 B.8 C.6 D.5 59. 等级保护标准GB l7859主要是参考了_而提出。A.欧洲ITSEC B.美国TCSEC C.CC D.BS 7799 60. 我国在1999年发布的国家标准_为信息安全等级保护奠定了基础。A. GB l77998 B. GB l5408 C. GB l7859 D. GB l4430 61. 信息安全登记保护的5个级别中，_是最高级别，属于关系到国计民生的最关键信息系统的保护。A.强制保护级 B.专控保护级 C.监督保护级 D.指导保护级 E.自主保护级 62. 信息系统安全等级保护实施指南将_作为实施等级保护的第一项重要内容。A.安全定级 B.安全评估 C.安全规划 D.安全实施 63. _是进行等级确定和等级保护管理的最终对象。A.业务系统 B.功能模块 C.信息系统 D.网络系统 64. 当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系统的安全等级应当由_所确定。A. 业务子系统的安全等级平均值 B. 业务子系统的最高安全等级 C. 业务子系统的最低安全等级 D. 以上说法都错误 65. 下列关于风险的说法，_是错误的。A. 风险是客观存在的 B. 导致风险的外因是普遍存在的安全威胁 C. 导致风险的外因是普遍存在的安全脆弱性 D. 风险是指一种可能性 66. 下列关于风险的说法，_是正确的。A. 可以采取适当措施，完全清除风险 B. 任何措施都无法完全清除风险 C. 风险是对安全事件的确定描述 D. 风险是固有的，无法被控制 67. 风险管理的首要任务是_。A.风险识别和评估 B.风险转嫁 C.风险控制 D.接受风险 68. 关于资产价值的评估，_说法是正确的。A. 资产的价值指采购费用 B. 资产的价值无法估计 C. 资产价值的定量评估要比定性评估简单容易 D. 资产的价值与其重要性密切相关 69. 采取适当的安全控制措施，可以对风险起到_作用。A.促进 B.增加 C.减缓 D.清楚 70. 当采取了安全控制措施后，剩余风险_可接受风险的时候，说明风险管理是有效的。A.等于 B.大于 C.小于 D.不等于 71. 安全威胁是产生安全事件的_。A.内因 B.外因 C.根本原因 D.不相关因素 72. 安全脆弱性是产生安全事件的_。A.内因 B.外因 C.根本原因 D.不相关因素 73. 下列关于用户口令说法错误的是_。A. 口令不能设置为空 B. 口令长度越长，安全性越高 C. 复杂口令安全性足够高，不需要定期修改 D. 口令认证是最常见的认证机制 74. 在使用复杂度不高的口令时，容易产生弱令的安全脆弱性，被攻击者利用，从而破解用户帐户，下列_具有最好的口令复杂度。A. morrison B. Wm.$*F2m5 C. 27776394 D. wangjing1977 75. 按照通常的口令使用策略，口令修改操作的周期应为_天。A.60 B.90 C.30 D.120 76. 对口令进行安全性管理和使用，最终是为了_。A. 口令不被攻击者非法获得 B. 防止攻击者非法获得访问和操作权限 C. 保证用户帐户的安全性 D. 规范用户操作行为 77. 人们设计了_，以改善口令认证自身安全性不足的问题。A.统一身份管理 B.指纹认证 C.数字证书认证 D.动态口令认证机制 78. PKI是_。A. Private Key Infrastructure B. Public Key Institute C. Public Key Infrastructure D. Private Key Institute 79. 公钥密码基础设施PKI解决了信息系统中的_问题。A.身份信任 B.权限管理 C.安全审计 D.加密 80. PKI所管理的基本元素是_。A.密钥 B.用户身份C.数字证书 D.数字签名 81. 最终提交给普通终端用户，并且要求其签署和遵守的安全策略是_。A.口令策略 B.保密协议 C.可接受使用策略 D.责任追究制度 82. 下列关于信息安全策略维护的说法，_是错误的。A. 安全策略的维护应当由专门的部门完成 B. 安全策略制定完成并发布之后，不需要再对其进行修改C. 应当定期对安全策略进行审查和修订 D. 维护工作应当周期性进行 83. 链路加密技术是在OSI协议层次的第二层，数据链路层对数据进行加密保护，其处理的对象是_。A.比特流 B.IP数据包 C.数据帧 D.应用数据 84. 防火墙最主要被部署在_位置。A.网络边界 B.骨干线路 C.重要服务器 D.桌面终端 85. 下列关于防火墙的错误说法是_。A. 防火墙工作在网络层 B. 对IP数据包进行分析和过滤 C. 重要的边界保护机制 D. 部署防火墙，就解决了网络安全问题 86. IPSec协议工作在_层次。A.数据链路层 B.网络层 C.应用层 D.传输层 87. IPSec协议中涉及到密钥管理的重要协议是_。A.IKE B.AH C.ESP D.SSL 88. 信息安全管理中，_负责保证安全管理策略与制度符合更高层法律、法规的要求，不发生矛盾和冲突。A.组织管理 B.合规性管理 C.人员管理 D.制度管理 89. 下列_机制不属于应用层安全。A.数字签名 B.应用代理 C.主机入侵检测 D.应用审计 90. 保证用户和进程完成自己的工作而又没有从事其他操作可能，这样能够使失误出错或蓄意袭击造成的危害降低，这通常被称为_。A.适度安全原则 B.授权最小化原则 C.分权原则 D.木桶原则 91. 入侵检测技术可以分为误用检测和_两大类。A.病毒检测 B.详细检测 C.异常检测 D.漏洞检测 92. 安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于_措施。A.保护 B.检测 C.响应 D.恢复 93. _不属于必需的灾前预防性措施。A. 防火设施 B. 数据备份 C. 配置冗余设备 D. 不间断电源，至少应给服务器等关键设备配备 94. 对于人员管理的描述错误的是_。A. 人员管理是安全管理的重要环节 B. 安全授权不是人员管理的手段 C. 安全教育是人员管理的有力手段 D. 人员管理时，安全审查是必须的 95. 根据计算机信息系统国际联网保密管理规定，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行_。A.逻辑隔离 B.物理隔离 C.安装防火墙 D.VLAN划分 96. 安全评估技术采用_这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。A.安全扫描器 B.安全扫描仪 C.自动扫描器 D.自动扫描仪 97. _最好地描述了数字证书。A. 等同于在网络上证明个人和公司身份的身份证 B. 浏览器的一标准特性，它使得黑客不能得知用户的身份 C. 网站要求用户使用用户名和密码登陆的安全机制 D. 伴随在线交易证明购买的收据 98. 根据BS 7799的规定，建立的信息安全管理体系ISMS的最重要特征是_。A.全面性 B.文档化 C.先进性 D.制度化 99. 根据BS 7799的规定，对信息系统的安全管理不能只局限于对其运行期间的管理维护，而要将管理措施扩展到信息系统生命周期的其他阶段，BS 7799中与此有关的一个重要方面就是_。A. 访问控制 B. 业务连续性 C. 信息系统获取、开发与维护 D. 组织与人员 100. 如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的_。A.强制保护级 B.监督保护级 C.指导保护级 D.自主保护级 101. 如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于_。A.强制保护级 B.监督保护级 C.指导保护级 D.自主保护级102. 如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的_。A.强制保护级 B.监督保护级 C.指导保护级 D.自主保护级 103. 如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的_。A.强制保护级 B.监督保护级 C.指导保护级 D.自主保护级 104. 如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的_。A.专控保护级 B.监督保护级 C.指导保护级 D.自主保护级 105. GB l7859借鉴了TCSEC标准，这个TCSEC是_国家标准。A.英国 B.意大利 C.美国 D.俄罗斯 106. 关于口令认证机制，下列说法正确的是_。A. 实现代价最低，安全性最高 B. 实现代价最低，安全性最低 C. 实现代价最高，安全性最高 D. 实现代价最高，安全性最低 107. 根据BS 7799的规定，访问控制机制在信息安全保障体系中属于_环节。A.保护 B.检测 C.响应 D.恢复 108. 身份认证的含义是_。A.注册一个用户 B.标识一个用户 C.验证一个用户D.授权一个用户 109. 口令机制通常用于_。A.认证 B.标识 C.注册 D.授权 110. 对日志数据进行审计检查，属于_类控制措施。A.预防 B.检测 C.威慑 D.修正 111. 信息系统安全等级保护测评准则将测评分为安全控制测评和_测评两方面。A.系统整体 B.人员 C.组织 D.网络 112. 根据风险管理的看法，资产_价值，_脆弱任，被安全威胁_，_风险。A. 存在 利用 导致 具有 B. 具有 存在 利用 导致 C. 导致 存在 具有 利用 D. 利用 导致 存在 具有 113. 根据定量风险评估的方法，下列表达式正确的是_。A. SLE=AVEF B. ALE=AVEF C. ALE=SLEEF D. ALE=SLEAV 114. 防火墙能够_。A. 防范恶意的知情者 B. 防范通过它的恶意连接 C. 防备新的网络安全问题 D. 完全防止传送已被病毒感染的软件和文件 115. 下列四项中不属于计算机病毒特征的是_。A.潜伏性 B.传染性 C.免疫性 D.破坏性 116. 关于入侵检测技术，下列描述错误的是_。A. 入侵检测系统不对系统或网络造成任何影响 B. 审计数据或系统日志信息是入侵检测系统的一项主要信息来源 C. 入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵 D. 基于网络的入侵检测系统无法检查加密的数据流 117. 安全扫描可以_。A. 弥补由于认证机制薄弱带来的问题 B. 弥补由于协议本身而产生的问题 C. 弥补防火墙对内网安全威胁检测不足的问题 D. 扫描检测所有的数据包攻击，分析所有的数据流 118. 下述关于安全扫描和安全扫描系统的描述错误的是_。A. 安全扫描在企业部署安全策略中处于非常重要的地位 B. 安全扫描系统可用于管理和维护信息安全设备的安全 C. 安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性 D. 安全扫描系统是把双刃剑 119. 关于安全审计目的描述错误的是_。A. 识别和分析未经授权的动作或攻击 B. 记录用户活动和系统管理 C. 将动作归结到为其负责的实体 D. 实现对安全事件的应急响应 120. 安全审计跟踪是_。A. 安全审计系统检测并追踪安全事件的过程 B. 安全审计系统收集易于安全审计的数据 C. 人利用日志信息进行安全事件分析和追溯的过程 D. 对计算机系统中的某种行为的详尽跟踪和观察 121. 根据计算机信息系统国际联网保密管理规定的规定，凡向国际联网的站点提供或发布信息，必须经过_。A.内容过滤处理 B.单位领导同意 C.备案制度 D.保密审查批准 122. 根据计算机信息系统国际联网保密管理规定的规定，上网信息的保密管理坚持_的原则。A.国家公安部门负责 B.国家保密部门负责 C.“谁上网谁负责”D.用户自觉 123. 根据计算机信息系统国际联网保密管理规定的规定，保密审批实行部门管理，有关单位应当根据国家保密法规，建立健全上网信息保密审批_。A. 领导责任制 B. 专人负责制 C. 民主集中制 D. 职能部门监管责任制 124. 网络信息未经授权不能进行改变的特性是_。A.完整性 B.可用性 C.可靠性 D.保密性 125. 确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是_。A.完整性 B.可用性 C.可靠性 D.保密性 126. 确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝，允许其可靠而且及时地访问信息及资源的特性是_。A.完整性 B.可用性 C.可靠性 D.保密性 127. _国务院发布计算机信息系统安全保护条例。A. 1990年2月18日 B. 1994年2月18日 C. 2000年2月18日 D. 2004年2月18日 128. 在目前的信息网络中，_病毒是最主要的病毒类型。A.引导型 B.文件型 C.网络蠕虫 D.木马型 129. 在IS0/IEC l7799中，防止恶意软件的目的就是为了保护软件和信息的_。A.安全性 B.完整性 C.稳定性 D.有效性 130. 在生成系统帐号时，系统管理员应该分配给合法用户一个_，用户在第一次登录时应更改口令。A.唯一的口令 B.登录的位置 C.使用的说明 D.系统的规则 131. 关于防火墙和VPN的使用，下面说法不正确的是_。A. 配置VPN网关防火墙的一种方法是把它们并行放置，两者独立 B. 配置VPN网关防火墙的一种方法是把它们串行放置，防火墙在广域网一侧，VPN在局域网一侧 C. 配置VPN网关防火墙的一种方法是把它们串行放置，防火墙在局域网一侧，VPN在广域网一侧 D. 配置VPN网关防火墙的一种方法是把它们并行放置，两者要互相依赖 132. 环境安全策略应该_。A.详细而具体 B.复杂而专业 C.深入而清晰 D.简单而全面 133. 计算机信息系统安全保护条例规定，计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的_的安全。A.计算机 B.计算机软件系统 C.计算机信息系统 D.计算机操作人员 134. 计算机信息系统安全保护条例规定，国家对计算机信息系统安全专用产品的销售实行_。A. 许可证制度 B. 3C认证 C. IS0 9000认证 D. 专卖制度 135. 互联网上网服务营业场所管理条例规定，互联网上网服务营业场所经营单位_。A. 可以接纳未成年人进入营业场所 B. 可以在成年人陪同下，接纳未成年人进入营业场所 C. 不得接纳未成年人进入营业场所 D. 可以在白天接纳未成年人进入营业场所 136. _是一种架构在公用通信基础设施上的专用数据通信网络，利用IPSec等阿络层安全协议和建立在PKI上的加密与签名技术来获得私有性。A.SET B.DDN C.VPN D.PKIX 137. 计算机信息系统安全保护条例规定，运输、携带、邮寄计算机信息媒体进出境的，应当如实向_。A. 国家安全机关申报 B. 海关申报 C. 国家质量检验监督局申报 D. 公安机关申报 138. 计算机信息系统安全保护条例规定，故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以_的罚款、对单位处以_的罚款。A. 5000元以下 15000元以下 B. 5000元 15000元 C. 2000元以下 10000元以下 D. 2000元 10000元 139. 计算机犯罪，是指行为人通过_所实施的危害_安全以及其他严重危害社会的并应当处以刑罚的行为。A. 计算机操作 计算机信息系统 B. 数据库操作 计算机信息系统 C. 计算机操作 应用信息系统 D. 数据库操作 管理信息系统 140. 策略应该清晰，无须借助过多的特殊一通用需求文档描述，并且还要有具体的_。A.管理支持 B.技术细节 C.实施计划 D.补充内容 141. 系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速_。A.恢复整个系统 B.恢复所有数据 C.恢复全部程序 D.恢复网络设置 142. 在一个企业网中，防火墙应该是_的一部分，构建防火墙时首先要考虑其保护的范围。A.安全技术 B.安全设置 C.局部安全策略 D.全局安全策略 143. 信息安全策略的制定和维护中，最重要是要保证其_和相对稳定性。A.明确性 B.细致性 C.标准性 D.开放性 144. _是企业信息安全的核心。A.安全教育 B.安全措施 C.安全管理 D.安全设施 145. 编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码是_。A.计算机病毒 B.计算机系统 C.计算机游戏 D.计算机程序 146. 许多与PKI相关的协议标准(如PKIX、S/MIME、SSL、TLS、IPSec)等都是在_基础上发展起来的。A.X500 B.X509 C.X519 D.X505 147. _是PKI体系中最基本的元素，PKI系统所有的安全操作都是通过该机制来实现的。A.SSL B.IARA C.RA D.数字证书 148. 基于密码技术的访问控制是防止_的主要防护手段。A.数据传输泄密 B.数据传输丢失 C.数据交换失败 D.数据备份失败 149. 避免对系统非法访问的主要方法是_。A.加强管理 B.身份认证 C.访问控制 D.访问分配权限 150. 对保护数据来说，功能完善、使用灵活的_必不可少。A.系统软件 B.备份软件 C.数据库软件 D.网络软件 151. 信息安全PDR模型中，如果满足_，说明系统是安全的。A.PtDt+Rt B.DtPt+Rt C.DtD.Pt 152. 在一个信息安全保障体系中，最重要的核心组成部分为_。A.技术体系 B.安全策略 C.管理体系 D.教育与培训 153. 国家信息化领导小组在关于加强信息安全保障工作的意见中，针对下一时期的信息安全保障工作提出了_项要求。A.7 B.8 C.9 D.10 154. 确保网络空间安全的国家战略是_发布的国家战略。A.英国 B.法国 C.德国 D.美国 155. 计算机信息系统安全保护条例规定，_主管全国计算机信息系统安全保护工作。A.公安部 B.国务院信息办 C.信息产业部 D.国务院 156. 下列_不属于物理安全控制措施。A.门锁 B.警卫 C.口令 D.围墙 157. 灾难恢复计划或者业务连续性计划关注的是信息资产的_属性。A.可用性 B.真实性 C.完整性 D.保密性 158. VPN是_的简称。A. Visual Private Network B. Virtual Private Network C. Virtual Public Network D. Visual Public Network 159. 部署VPN产品，不能实现对_属性的需求。A.完整性 B.真实性 C.可用性 D.保密性 160. _是最常用的公钥密码算法。A.RSA B.DSA C.椭圆曲线 D.量子密码 161. PKI的主要理论基础是_。A.对称密码算法 B.公钥密码算法 C.量子密码 D.摘要算法 162. PKI中进行数字证书管理的核心组成模块是_。A.注册中心RA B.证书中心CA C.目录服务器 D.证书作废列表 163. 信息安全中的木桶原理，是指_。A. 整体安全水平由安全级别最低的部分所决定 B. 整体安全水平由安全级别最高的部分所决定 C. 整体安全水平由各组成部分的安全级别平均值所决定 D. 以上都不对 164. 关于信息安全的说法错误的是_。A. 包括技术和管理两个主要方面 B. 策略是信息安全的基础 C. 采取充分措施，可以实现绝对安全 D. 保密性、完整性和可用性是信息安全的目标 165. PDR模型是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P代表_、D代表_、R代表_。A.保护 检测 响应 B.策略 检测 响应 C.策略 检测 恢复 D.保护 检测 恢复 166. 计算机信息系统安全保护条例规定，任何组织或者个人违反条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担_。A.刑事责任 B.民事责任 C.违约责任 D.其他责任 167. 在信息安全管理中进行_，可以有效解决人员安全意识薄弱问题。A.内容监控 B.责任追查和惩处 C.安全教育和培训 D.访问控制 168. 关于信息安全，下列说法中正确的是_。A. 信息安全等同于网络安全 B. 信息安全由技术措施实现 C. 信息安全应当技术与管理并重 D. 管理措施在信息安全中不重要 169. 在PPDRR安全模型中，_是属于安全事件发生后的补救措施。A.保护 B.恢复 C.响应 D.检测 170. 根据权限管理的原则，一个计算机操作员不应当具备访问_的权限。A.操作指南文档 B.计算机控制台 C.应用程序源代码 D.安全指南 171. 网络蠕虫病毒以网络带宽资源为攻击对象，主要破坏网络的_。A.可用性 B.完整性 C.保密性 D.可靠性 172. 要实现有效的计算机和网络病毒防治，_应承担责任。A.高级管理层 B.部门经理 C.系统管理员 D.所有计算机用户 173. 统计数据表明，网络和信息系统最大的人为安全威胁来自于_。A.恶意竞争对手 B.内部人员 C.互联网黑客 D.第三方人员 174. 双机热备是一种典型的事先预防和保护措施，用于保证关键设备和服务的_属性。A.保密性 B.可用性 C.完整性 D.真实性 175. 在安全评估过程中，采取_手段，可以模拟黑客入侵过程，检测系统安全脆弱性。A.问卷调查 B.人员访谈 C.渗透性测试 D.手工检查 176. 我国正式公布了电子签名法，数字签名机制用于实现_需求。A.抗否认 B.保密性 C.完整性 D.可用性 177. 在需要保护的信息资产中，_是最重要的。A.环境 B.硬件 C.数据 D.软件 178. _手段，可以有效应对较大范围的安全事件的不艮影啊，保证关键服务和数据的可用性。A.定期备份 B.异地备份 C.人工备份 D.本地备份 179. _能够有效降低磁盘机械损坏给关键数据造成的损失。A.热插拔 B.SCSI C.RAID D.FASTATA 180. 相对于现有杀毒软件在终端系统中提供保护不同，_在内外网络边界处提供更加主动和积极的病毒保护。A.防火墙 B.病毒网关 C.IPS D.IDS 181. 信息安全评测标准CC是_标准。A.美国 B.国际 C.英国 D.澳大利亚 182. 信息系统安全等级保护基本要求中，对不同级别的信息系统应具备的基本安全保护能力进行了要求，共划分为_级。A.4 B.5 C.6 D.7 四、解答题 3. 简述信息安全发展所历经的三个主要阶段以及它们各自的特点。答：信息安全发展历经了三个主要阶段： （1）通信保密阶段，在这个阶段中，关注的是通信内容的保密性属性，保密等同于信息安全。 （2）信息安全阶段，人们发现，在原来所关注的保密性属性之外，还有其他方面的属性也应当是信息安全所关注的，这其中最主要的是完整性和可用性属性，由此构成了支撑信息安全体系的三要素。 （3）安全保障阶段，所谓安全保障，就是在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Delection和响应Restoration）四个主要环节相互配合，构成一个完整的保障体系。 4. 简述PDR安全模型的原理。答：PDR模型之所以著名，是因为它是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P代表保护，R代表响应，该模型中使用了三个时间参数； （1）Pt,有效保护时间，是指信息系统的安全控制措施所能发挥保护作用的时间； （2）Dt，检测时间，是指安全检测机制能够有效发现攻击、破坏行为所需的时间； （3）Rt，响应时间，是指安全响应机制作出反应和处理所需的时间。 PDR模型用下列时间关系表达式来说明信息系统是否安全： （1）PtDt+Rt，系统安全，即在安全机制针对攻击、破坏行为作出了成功的检测和响应时，安全控制措施依然在发挥有效的保护作用，攻击和破坏行为未给信息系统造成损失。 （2）PtDt+Rt，系统部安全，即信息系统的安全控制措施的有效保护作用，在正确的检测和响应作出之前就已经失效，破坏和攻击行为已经给信息系统造成了实质性破坏和影响。 5. 简述ISO信息安全模型定义及其含义。答：ISO信息安全定义：信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。它包括三方面含义： （1）信息安全的保护对象是信息资产，典型的信息资产包括了计算机硬件、软件和数据。 （2）信息安全的目标就是保证信息资产的三个基本安全属性，保密性、完整性和可用性三个基本属性是信息安全的最终目标。 （3）事先信息安全目标的途径要借助两方面的控制措施，即技术措施和管理措施。 6. 简述信息安全的三个基本属性。答：信息安全包括了保密性、完整性和可用性三个基本属性： （1）保密性Confidentiality,确保星系在存储、使用、传输过程中不会泄露给非授权的用户或者实体。 （2）完整性Integrity,确保信息在存储、使用、传输过程中不被非授权用户篡改；防止授权用户对信息进行不恰当的篡改；保证信息的内外一致性。 （3）可用性Availability，确保授权用户或者实体对于信息及资源的正确使用不会被异常拒绝，允许其可能而且及时地访问信息及资源。 7. 简述我国刑法对网络犯罪的相关规定。答：我国刑法关于网络犯罪的三个专门条款，分别规定了非法侵入计算机信息系统罪（第285条）；破坏计算机信息系统罪（第286条）；利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪（第287条），并将其一并归入分则第六章“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”。 8. 简述 BS 7799 的内容构成以及与ISO国际标准的关系。答：BS 7799分两个部分，第一部分，被ISO国际标准化组织采纳成为ISO/IEC 17799:2005 标准的部分，是信息安全管理实施细则（Code of Practice for Information Security Management），主要供负责信息安全系统开发的人员参考使用，其主要内容分为11个方面，定义了133项安全控制措施（最佳实践）。第二部分，被ISO国际标准化组织采纳成为ISO/IEC 27001:2005，是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems）,其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员运用ISO/IEC 17799:2005，其最终目的在于建立适合企业需要的信息安全管理体系（ISMS）。 9. 简述 ISO/IEC 17799:2005中关于控制措施的11项分类内容。答：BS7799-1信息安全管理实施细则（ISO/IEC 17799:2005）将信息安全管理的内容划分为11个主要方面，这11个方面包括： （1）安全策略（Security Policy）； （2）组织信息安全（Organizing Information Security）； （3）资产管理（Asset Management）； （4）人力资源安全（Human Resoruces Security）； （5）物理与环境安全（Physical and Environmental Security）； （6）通信与操作管理（Communication and Operation Management）； （7）访问控制（Access Control）； （8）信息系统获取、开发与维护（Information Systems Acquisition,Development and Maintenance）； （9）信息安全事件管理（Information Security Incident Management）； （10）业务连续性管理（Business Continuity Management）； （11）符合性（Compliance）。 10. 简述安全策划体系所包含的内容。答：一个合理的信息安全策略体系可以包括三个不同层次的策略文档： （1）总体安全策略，阐述了指导性的战略纲领性文件，阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容； （2）针对特定问题的具体策略，阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容，例如，针对Internet访问操作、计算机和网络病毒 防治、口令的使用和管理等特定问题，制定有针对性的安全策略； （3）针对特定系统的具体策略，更为具体和细化，阐明了特定系统与信息安全有关的使用和维护规则等内容，如防火墙配置策略、电子邮件安全策略等。 11. 简述至少六种安全问题的策略。答：（1）物理安全策略；（2）网络安全策略；（3）数据加密策略；（4）数据备份策略；（5）病毒防护策略；（6）系统安全策略；（7）身份认证及授权策略；（8）灾难恢复策略；（9）事故处理、紧急响应策略； （10）安全教育策略；（11）口令安全策略；（12）补丁管理策略；（13）系统变更控制策略；（14）商业伙伴、客户关系策略；（15）复查审计策略。 12. 试编写一个简单的口令管理策略。答：（1）所有活动账号都必须有口令保护。 （2）生成账号时，系统管理员应分配给合法用户一个唯一的口令，用户在第一次登录时应该更改口令。 （3）口令必须至少要含有8个字符。 （4）口令必须同时含有字母和非字母字符。 （5）必须定期用监控工具检查口令的强度和长度是否合格。 （6）口令不能和用户名或者登录名相同。 （7）口令必须至少60天更改一次。 （8）禁止重用口令。 （9）必须保存至少12个历史口令。 （10）口令不能通过明文电子邮件传输。 （11）所有供应商的默认口令必须更改。 （12）用户应在不同的系统中使用不同的口令。 （13）当怀疑口令泄露时必须予以更改。 （14）应该控制登录尝试的频率。 13. 简述可接受使用策略AUP的内容。答：AUP通常包含以下主要内容： (1)概述，描述什么是AUP，企业、组织发布AUP的目的，制定AUP的原则以及一些必要的法律声明等。 (2)安全策略说明，说明制定AUP所依据的信息安全策略，提示用户信息安全策略的更改会影响到AUP的修订，并且告诉用户从哪里可以获得详细的信息安全策略文档。 (3)术语说明，将AUP中涉及的术语名词，以及AUP签署生效的有效时间进行说明。 (4)用户责任，对信息安全策略中所涉及到用户的信息安全责任内容，应当进行总结和提炼，以简单明了的语言进行阐述，使得用户充分了解自己对于企业、组织信息安全所承担的责任和义务。 14. 简述入侵检测系统IDS所采取的两种主要方法。答： (1)误用检测：通过对比已知攻击手段及系统漏洞的