信息安全管理试题及答案_电信信息安全管理题库

信息安全管理试题及答案由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“电信信息安全管理题库”。

信息安全管理－试题集

判断题：

1.信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×）注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。2.一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×）

注释：应在24小时内报案

3.我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×）注释：共3种计算机犯罪，但只有2种新的犯罪类型。

单选题：

1.信息安全经历了三个发展阶段，以下(B)不属于这三个发展阶段。

A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段

2.信息安全阶段将研究领域扩展到三个基本属性，下列（C）不属于这三个基本属性。A.保密性 B.完整性

C.不可否认性

D.可用性

3.下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。A.杀毒软件

B.数字证书认证

C.防火墙

D.数据库加密 4.《信息安全国家学说》是（C）的信息安全基本纲领性文件。A.法国

B.美国

C.俄罗斯

D.英国

注：美国在2003年公布了《确保网络空间安全的国家战略》。5.信息安全领域内最关键和最薄弱的环节是（D）。

A.技术

B.策略

C.管理制度

D.人 6.信息安全管理领域权威的标准是（B）。

A.ISO 15408 B.ISO 17799/ISO 27001(英）C.ISO 9001 D.ISO 14001 7.《计算机信息系统安全保护条例》是由中华人民共和国（A)第147号发布的。A.国务院令 B.全国人民代表大会令 C.公安部令

D.国家安全部令

8.在PDR安全模型中最核心的组件是（A）。

A.策略

B.保护措施

C.检测措施

D.响应措施

9.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（A)。

A.可接受使用策略AUP B.安全方针

C.适用性声明

D.操作规范

10.互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存（C）天记录备份的功能。A.10 B.30 C.60 D.90 11.下列不属于防火墙核心技术的是（D）

A.（静态/动态)包过滤技术

B.NAT技术

C.应用代理技术 D.日志审计 12.应用代理防火墙的主要优点是（B)A.加密强度更高

B.安全控制更细化、更灵活

C.安全服务的透明性更好

D.服务对象更广泛

13.对于远程访问型VPN来说，（A）产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。

A.IPSec VPN B.SSL VPN C.MPLS VPN D.L2TP VPN 注：IPSec协议是一个应用广泛，开放的VPN安全协议，目前已经成为最流行的VPN解决方案。在IPSec框架当中还有一个必不可少的要素: Internet安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley)，它提供自动建立安全关联和管理密钥的功能。14.1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859-1999，提出将信息系统的安全等级划分为（D）个等级，并提出每个级别的安全功能要求。A.7 B.8 C.6 D.5 注：该标准参考了美国的TCSEC标准，分自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。

15.公钥密码基础设施PKI解决了信息系统中的（A）问题。

A.身份信任 B.权限管理 C.安全审计 D.加密 注：PKI（Public Key Infrastructure,公钥密码基础设施)，所管理的基本元素是数字证书。16.最终提交给普通终端用户，并且要求其签署和遵守的安全策略是（C）。A.口令策略 B.保密协议 C.可接受使用策略AUP D.责任追究制度

知识点：

1.《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。2.安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。3.1994年2月18日国务院发布《计算机信息系统安全保护条例》。4.安全审计跟踪是安全审计系统检测并追踪安全事件的过程。5.环境安全策略应当是简单而全面。6.安全管理是企业信息安全的核心。

7.信息安全策略和制定和维护中，最重要是要保证其明确性和相对稳定性。8.许多与PKI相关的协议标准等都是在X.509基础上发展起来的。9.避免对系统非法访问的主要方法是访问控制。

10.灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。11.RSA是最常用的公钥密码算法。

12.在信息安全管理进行安全教育和培训，可以有效解决人员安全意识薄弱。13.我国正式公布电子签名法，数字签名机制用于实现抗否认。

14.在安全评估过程中，采取渗透性测试手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

15.病毒网关在内外网络边界处提供更加主动和积极的病毒保护。

16.信息安全评测系统CC是国际标准。17.安全保护能力有4级：1级－能够对抗个人、一般的自然灾难等；2级－对抗小型组织；3级－对抗大型的、有组织的团体，较为严重的自然灾害，能够恢复大部分功能；4级－能够对抗敌对组织、严重的自然灾害，能够迅速恢复所有功能。

18.信息系统安全等级分5级：1－自主保护级；2－指导保护级；3－监督保护级；4－强制保护级；5－专控保护级。

19.信息系统安全等级保护措施：自主保护、同步建设、重点保护、适当调整。20.对信息系统实施等级保护的过程有5步：系统定级、安全规则、安全实施、安全运行和系统终止。

21.定量评估常用公式：SLE（单次资产损失的总值）＝AV（信息资产的估价）×EF（造成资产损失的程序）。22.SSL主要提供三方面的服务，即认证用户和服务器、加密数据以隐藏被传送的数据、维护数据的完整性。

23.信息安全策略必须具备确定性、全面性和有效性。

24.网络入侵检测系统，既可以对外部黑客的攻击行为进行检测，也可以发现内部攻击者的操作行为，通常部署在网络交换机的监听端口、内网和外网的边界。

25.技术类安全分3类：业务信息安全类（S类）、业务服务保证类（A类）、通用安全保护类（G类）。其中S类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改；A类关注的是保护系统连续正常的运行等；G类两者都有所关注。26.如果信息系统只承载一项业务，可以直接为该信息系统确定安全等级，不必划分业务子系统。

27.信息系统生命周期包括5个阶段：启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。而安全等级保护实施的过程与之相对应，分别是系统定级、安全规划设计、安全实施、安全运行维护和系统终止。