信息安全管理教程试题库

一、判断题1.根据IS013335标准，信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。(√)2.信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。3.只要投资充足，技术措施完备，就能够保证百分之百的信息安全。4.我国在2006年提出的(2006—2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。(√)5.2003年7月国家信息化领导小组第三次会议发布的27号文件，是指导我国信息安全保障工作和加快推进信息化的纲领性文献。(√)6.在我国，严重的网络犯罪行为也不需要接受刑法的相关处罚。7.安全管理的合规性，主要是指在有章可循的基础之上，确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。(√)8.Windows2000/xp系统提供了口令安全策略，以对帐户口令安全进行保护。(√)9.信息安全等同于网络安全。10.GBl7859与目前等级保护所规定的安全等级的含义不同，GBl7859中等级划分为现在的等级保护奠定了基础。(√)11.口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信：息，进而非法获得系统和资源访问权限。(√)12.PKI系统所有的安全操作都是通过数字证书来实现的。(√)13.PKI系统使用了非对称算法．对称算法和散列算法。(√)14.一个完整的信息安全保障体系，应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√)15.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制，同样依赖于底层的物理、网络和系统等层面的安全状况。(√)16.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有局限性的错误观点。(√)17.按照BS7799标准，信息安全管理应当是一个持续改进的周期性过程。(√)18.虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。(√)19.一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。20.定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。(√)21.网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√)22.网络边界保护中主要采用防火墙系统，在内网和外网之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作用。23.防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。(√)24.我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。25.信息技术基础设施库(ITIL)，是由英国发布的关于IT服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。(√)26.美国国家标准技术协会NIST发布的《SP800—30》中详细阐述了IT系统风险管理内容。(√)27.防火墙在静态包过滤技术的基础上，通过会话状态检测技术将数据包的过滤处理效率大幅提高。(√)28.通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。(√)29.脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。(√)二、单选题1.下列关于信息的说法______是错误的。A.信息是人类社会发展的重要支柱B.信息本身是无形的C.信息具有价值，需要保护D.信息可以以独立形态存在2.信息安全经历了三个发展阶段，以下______不属于这三个发展阶段。A.通信保密阶段B.加密机阶段C.信息安全阶段D.安全保障阶段3.信息安全在通信保密阶段对信息安全的关注局限在______安全属性。A.不可否认性B.可用性C.保密性D.完整性4.信息安全在通信保密阶段中主要应用于______领域。A.军事B.商业C.科研D.教育5.信息安全阶段将研究领域扩展到三个基本属性，下列______不属于这三个基本属性。A.保密性B.完整性C.不可否认性D.可用性6.安全保障阶段中将信息安全体系归结为四个主要环节，下列______是正确的。A.策略、保护、响应、恢复B.加密、认证、保护、检测C.策略、网络攻防、密码学、备份D.保护、检测、响应、恢复7.下面所列的______安全机制不属于信息安全保障体系中的事先保护环节。A.杀毒软件B.数字证书认证C.防火墙D.数据库加密8.根据IS0的信息安全定义，下列选项中______是信息安全三个基本属性之一。A.真实性B.可用性C.可审计性D.可靠性9.为了数据传输时不发生数据截获和信息泄密，采取了加密机制。这种做法体现了信息安全的______属性。A.保密性B.完整性C.可靠性D.可用性10.定期对系统和数据进行备份，在发生灾难时进行恢复。该机制是为了满足信息安全的______属性。A.真实性B.完整性C.不可否认性D.可用性11.数据在存储过程中发生了非法访问行为，这破坏了信息安全的______属性。A.保密性B.完整性C.不可否认性D.可用性12.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的______属性。A.保密性B.完整性C.不可否认性D.可用性13.PDR安全模型属于______类型。A.时间模型B.作用模型C.结构模型D.关系模型14.《信息安全国家学说》是______的信息安全基本纲领性文件。A.法国B.美国C.俄罗斯D.英国15.下列的______犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。A.窃取国家秘密B.非法侵入计算机信息系统C.破坏计算机信息系统D.利用计算机实施金融诈骗16.我国刑法______规定了非法侵入计算机信息系统罪。A.第284条B.第285条C.第286条D.第287条17.信息安全领域内最关键和最薄弱的环节是______。A.技术B.策略C.管理制度D.人18.信息安全管理领域权威的标准是______。A.IS015408B.IS017799／IS027001C.IS09001D.IS01400119.IS017799／IS027001最初是由______提出的国家标准。A.美国B.澳大利亚C.英国D.中国20.IS017799的内容结构按照______进行组织。A.管理原则B.管理框架C.管理域-控制目标-控制措施D.管理制度21.______对于信息安全管理负有责任。A.高级管理层B.安全管理员C.IT管理员D.所有与信息系统有关人员22.对于提高人员安全意识和安全操作技能来说，以下所列的安全管理最有效的是______。A.安全检查B.教育与培训C.责任追究D.制度约束23.《计算机信息系统安全保护条例》是由中华人民共和国______第l47号发布的。A.国务院令B.全国人民代表大会令C.公安部令D.国家安全部令24.《互联网上网服务营业场所管理条例》规定，______负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。A.人民法院B.公安机关C.工商行政管理部门D.国家安全部门25.计算机病毒最本质的特性是______。A.寄生性B.潜伏性C.破坏性D.攻击性26.______安全策略是得到大部分需求的支持并同时能够保护企业的利益。A.有效的B.合法的C.实际的D.成熟的27.在PDR安全模型中最核心的组件是______。A.策略B.保护措施C.检测措施D.响应措施28.制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的设施，在发生灾难后，这些设施的______。A.恢复预算是多少B.恢复时间是多长C.恢复人员有几个D.恢复设备有多少29.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为______。A.可接受使用策略AUPB.安全方针C.适用性声明D.操作规范30.对保护数据来说，功能完善、使用灵活的______必不可少。A.系统软件B.备份软件C.数据库软件D.网络软件31.防止静态信息被非授权访问和防止动态信息被截取解密是______。A.数据完整性B.数据可用性C.数据可靠性D.数据保密性32.用户身份鉴别是通过______完成的。A.口令验证B.审计策略C.存取控制D.查询功能33.故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人，由公安机关处以______。A.3年以下有期徒刑或拘役B.警告或者处以5000元以下的罚款C.5年以上7年以下有期徒刑D.警告或者15000元以下的罚款34.网络数据备份的实现主要需要考虑的问题不包括______。A.架设高速局域网B.分析应用环境C.选择备份硬件设备D.选择备份管理软件35.《计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件，有关使用单位应当在______向当地县级以上人民政府公安机关报告。A.8小时内B.12小时内C.24小时内D.48小时内36.公安部网络违法案件举报网站的网址是______。A.对于违反信息安全法律、法规行为的行政处罚中，______是较轻的处罚方式。A.警告B.罚款C.没收违法所得D.吊销许可证38.对于违法行为的罚款处罚，属于行政处罚中的______。A.人身自由罚B.声誉罚C.财产罚D.资格罚39.对于违法行为的通报批评处罚，属于行政处罚中的______。A.人身自由罚B.声誉罚C.财产罚D.资格罚40.1994年2月国务院发布的《计算机信息系统安全保护条例》赋予______对计算机信息系统的安全保护工作行使监督管理职权。A.信息产业部B.全国人大C.公安机关D.国家工商总局41.《计算机信息网络国际联网安全保护管理办法》规定，互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构)，应当自网络正式联通之日起______日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。A.7B.10C.15D.3042.互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存天记录备份的功能。A.10B.30C.60D.9043.对网络层数据包进行过滤和控制的信息安全技术机制是______。A.防火墙B.IDSC.SnifferD.IPSec44.下列不属于防火墙核心技术的是______。A.(静态/动态)包过滤技术B.NAT技术C.应用代理技术D.日志审计45.应用代理防火墙的主要优点是______。A.加密强度更高B.安全控制更细化、更灵活C.安全服务的透明性更好D.服务对象更广泛46.安全管理中经常会采用“权限分离”的办法，防止单个人员权限过高，出现内部人员的违法犯罪行为，“权限分离”属于______控制措施。A.管理B.检测C.响应D.运行47.安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为，属于______控制措施。A.管理B.检测C.响应D.运行48.下列选项中不属于人员安全管理措施的是______。A.行为监控B.安全培训C.人员离岗D.背景/技能审查49.《计算机病毒防治管理办法》规定，______主管全国的计算机病毒防治管理工作。A.信息产业部B.国家病毒防范管理中心C.公安部公共信息网络安全监察D.国务院信息化建设领导小组50.计算机病毒的实时监控属于______类的技术措施。A.保护B.检测C.响应D.恢复51.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是______。A.防火墙隔离B.安装安全补丁程