CISP信息安全管理习题
1.根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。模拟该流程。文档《风险分析报告》应属于哪个阶段的输出成果()。
A 风险评估
B 风险处理
C 批准监督
D 监控审查
2.
某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估“准备”阶段输出的文档。
A 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容
B 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容
C 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
D 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容
3.规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,按照规范的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()
A 《风险评估方案》
B 《重要保护的资产清单》
C 《风险计算报告》
D 《风险程度等级列表》
4.定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF)是x,年度发生率(AnnuaIixed Rato of Occurrence,ARO)
为0.1,而小王计算的年度预期损失(AnnuaIixed Loss Rrpectancy,ALE)值为5万元人民币。由此x值应该是()
5.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是()A 定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量
B 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
C 定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关
D 定性风险分析更具有主观性,而定量风险分析更具客观性
6.某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP 服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式()
A 风险降低
B 风险规避
C 风险转移
D 风险接受
7.残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是()
A 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险
B 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件
C 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标
9.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?
A:部门经理
B:高级管理层
C:信息资产所有者
D:最终用户
10.以下对信息安全风险管理理解最准确的说法是:
A:了解风险
B:转移风险
C:了解风险并控制风险
D:了解风险并转移风险
11.在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:
A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施
B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施
C:完整性、可用性、机密性、不可抵赖性
D:以上都不正确
12.以下哪一项不是信息安全风险分析过程中所要完成的工作:
A:识别用户
B:识别脆弱性
C:评估资产价值
D:计算机安全事件发生的可能性
13.王工是某单位系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2;其中资产A1面临两个主要威胁:威胁T1和威胁T2;而资产A2面临一个主要威胁:威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2:威胁T2可以
利用资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7.根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值()
A 2
B 3
C 5
D 6
14.A:内部计算机处理
B:系统输入输出
C:通讯和网络
D:外部计算机处理
15.《信息安全技术信息安全风险评估规范GB/T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:
A:规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。
B:设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性,提出安全功能需求。
C:实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别,并对系统建成后的安全功能进行验证。
D:运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估,评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。
16.
以下关于项目的含义,理解错误的是()
A 项目是为达到特定的目的,使用一定资源,在确定的期间内,为特定发起人而提供特定的产品,服务或成果而进行的一次性努力
B 项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定
C 项目资源指完成项目所需要的人、财、物等
D 项目目标要遵守SWART原则,即项目的目标要求具体(Specific)、可测量(Measurehle),需相关方的一致同意(Agree.to)、现实(Rcalistic)、有一定的时限(Time-oriented)
17.“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案()。
A:评估对象(TOE)
B:保护轮廓(PP)
C:安全目标(ST)
D:评估保证级(EAL)
18.
关于信息安全管理体系,国际上有标准《Information technology Security techniques Information security management systems Requirements》
(ISO/IEC 27001:2013),而我国发布了《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2008),请问,这两个标准的关系是()。
A:IDT(等同采用),此国家标准等同于该国际标准,仅有或没有编辑性修改B:EQV(等效采用),此国家标准等效于该国际标准,技术上只有很小差异C:NEQ(非等效采用)此国家标准不等效于该国际标准
D:没有采用与否的关系,两者之间版本不同,不应直接比较
19.关于标准,下面哪项理解是错误的()。
A:标准是在一定范围内为了获得最佳秩序,经协商一致制定并由公认机构批准,共同重复使用的一种规范性文件,标准是标准化活动的重要成果
B:国际标准是由国际标准化组织通过并公开发布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突时,应以国际标准条款为准
C:行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准,同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准
D:地方标准由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止
20.关于信息安全管理体系的作用,下面理解错误的是()。
A:对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B:对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入
C:对外而言,有助于使各利益相关方对组织充满信心
D:对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任
21.以下哪些是需要在信息安全策略中进行描述的:
A:组织信息系统安全架构
B:信息安全工作的基本原则
C:组织信息安全技术参数
D:组织信息安全实施手段
22.下列哪些内容应包含在信息系统战略计划中?
A:已规划的硬件采购的规范
B:将来业务目标的分析
C:开发项目的目标日期
D:信息系统不同的年度预算目标
23.
ISO27002中描述的11个信息安全管理的控制领域不包括:
A:信息安全组织
B:资产管理
C:内容安全
D:人力资源安全
24.
SSE-CMM将工程过程区域分为三类,即风险过程、工程过程、和保证过程,下面对于保证过程的说法错误的是:
A:保证是指安全需求得到满足的可信任程度
B:信任程度来自于对安全工程过程结果质量的判断
C:自验证与证实安全的主要手段包括观察、论证、分析和测试
D:PA“建立保证论据”为PA“验证与证实安全”提供了证据支持
25.
根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。
A:保证过程
B:风险过程
C:工程和保证过程
D:安全工程过程
26.
SSE-CMM工程过程区域中的风险过程包含哪些过程区域:
A:评估威胁、评估脆弱性、评估影响
B:评估威胁、评估脆弱性、评估安全风险
C:评估威胁、评估脆弱性、评估影响、评估安全风险
D:评估威胁、评估脆弱性、评估影响、验证和证实安全
27.一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?
A:2级——计划和跟踪
B:3级——充分定义
C:4级——量化控制
D:5级——持续改进
28.在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是:
A:分析系统的体系结构
B:分析系统的安全环境
C:制定风险管理计划
D:调查系统的技术特性
29.下面有关能力成熟度模型的说法错误的是:
A:能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类
B:使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域
C:使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域
D:SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型
30.
下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:
A:风险过程
B:保证过程
C:工程过程
D:评估过程
31.信息安全管理体系描述不正确的是:
A:是一个组织整体管理体系的组成部分
B:是有范围和边界的
C:是风险评估的手段
D:其基本过程应遵循PDCA循环
32.对戴明环"PDCA"方法的描述不正确的是:
A:“PDCA”的含义是P-计划,D-实施,C-检查,A-改进
B:“PDCA”循环又叫"戴明"环
C:“PDCA"循环是只能用于信息安全管理体系有效进行的工作程序
D:“PDCA”循环是可用于任何一项活动有效进行的工作程序
33.下述选项中对于"风险管理"的描述不正确的是:
A:风险管理是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通。
B:风险管理的目的是了解风险并采取措施处置风险并将风险消除。
C:风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。
D:在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。
34.以下关于可信计算说法错误的是:
A:可信的主要目的是要建立起主动防御的信息安全保障体系
B:可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算机的概念
C:可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信
D:可信计算平台出现后会取代传统的安全防护体系和方法
35.
风险是需要保护的( )发生损失的可能性,它是( )和( )综合结果。
A:资产,攻击目标,威胁事件
B:设备,威胁,漏洞
C:资产,威胁,脆弱性
D:以上都不对
36.以下列哪种处置方法属于转移风险?
A:部署综合安全审计系统
B:对网络行为进行实时监控
C:制订完善的制度体系
D:聘用第三方专业公司提供维护外包服务
37.对操作系统打补丁和系统升级是以下哪种风险控制措施?
A:降低风险
B:规避风险
C:转移风险
D:接受风险
38.以下哪一项可认为是具有一定合理性的风险?
A:总风险
B:最小化风险
C:可接受风险
D:残余风险
39.在风险管理工作中“监控审查”的目的,一是:________二是_________。A:保证风险管理过程的有效性,保证风险管理成本的有效性
B:保证风险管理结果的有效性,保证风险管理成本的有效性
C:保证风险管理过程的有效性,保证风险管理活动的决定得到认可
D:保证风险管理结果的有效性,保证风险管理活动的决定得到认可
40.风险管理四个步骤的正确顺序是:
A:背景建立、风险评估、风险处理、批准监督
B:背景建立、风险评估、审核批准、风险控制
C:风险评估、对象确立、审核批准、风险控制
D:风险评估、风险控制、对象确立、审核批准
41.在风险管理的过程中,"建立背景"(即"对象确立")的过程是哪四个活动? A:风险管理准备、信息系统调查、信息系统分析、信息安全分析
B:风险管理准备、信息系统分析、信息安全分析、风险政策的制定
C:风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析
D:确定对象、分析对象、审核对象、总结对象
42.
下列对风险分析方法的描述正确的是:
A:定量分析比定性分析方法使用的工具更多
B:定性分析比定量分析方法使用的工具更多
C:同一组织只能使用一种方法进行评估
D:符合组织要求的风险评估方法就是最优方法
43.
在一个有充分控制的信息处理计算中心中,下面哪一项可以由同一个人执行?
A:安全管理和变更管理
B:计算机操作和系统开发
C:系统开发和变更管理
D:系统开发和系统维护
44.以下关于“最小特权”安全管理原则理解正确的是:
A:组织机构内的敏感岗位不能由一个人长期负责
B:对重要的工作进行分解,分配给不同人员完成
C:一个人有且仅有其执行岗位所足够的许可和权限
D:防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
45.以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?
A:组织机构内的敏感岗位不能由一个人长期负责
B:对重要的工作进行分解,分配给不同人员完成
C:一个人有且仅有其执行岗位所足够的许可和权限
D:防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
46.在构建一个单位的内部安全管理组织体系的时候,以下哪一项不是必需考虑的内容?
A:高级管理层承诺对安全工作的支持
B:要求雇员们遵从安全策略的指示
C:在第三方协议中强调安全
D:清晰地定义部门的岗位的职责
47.风险管理中使用的控制措施,不包括以下哪种类型?
A:预防性控制措施
B:管理性控制措施
C:检查性控制措施
D:纠正性控制措施
48.风险管理中的控制措施不包括以下哪一方面?
A:行政
B:道德
C:技术
D:管理
49.风险评估不包括以下哪个活动?
A:中断引入风险的活动
B:识别资产
C:识别威胁
D:分析风险
50.在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施
B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施
C:完整性、可用性、机密性、不可抵赖性
D:以上都不正确
51.以下哪一项不是信息安全风险分析过程中所要完成的工作:
A:识别用户
B:识别脆弱性
C:评估资产价值
D:计算机安全事件发生的可能性
52.
关于外包的论述不正确的是:
A:企业经营管理中的诸多操作服务都可以外包
B:通过业务外包,企业也把相应的风险承担者转移给了外包商,企业从此不必对外包业务负任何直接或间接的责任
C:虽然业务可以外包,但是对与外包业务的可能的不良后果,企业仍然承担责任
D:过多的外包业务可能产生额外的操作风险或其他隐患
53.
以下对PDCA循环解释不正确的是:
A:处理
B:实施
C:检查
D:行动
以下工作哪个不是计算机取证准备阶段的工作
A:获得授权
B:准备工具
C:介质准备
D:保护数据
以下关于ISO/IEC27001标准说法不正确的是:
A:本标准可被内部和外部相关方用于一致性评估,审核的重点就是组织信息安全的现状,对布属的信息安全控制是好的还是坏的做出评判
B:本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS
C:目前国际标准化组织推出的四个管理体系标准:质量管理体系,职业健康安全管理体系、环境管理体系、信息安全管理体系,都采用了相同的方法,即PDCA 模型
D:本标准注重监视和评审,因为监视和评审是持续改进的基础,如果缺乏对执行情况和有效性的测量,改进就成了“无的放矢”
平行模拟法是指
A.开发一个模拟系统,将被审计单位真实数据放入模拟系统中运行,观察其输出是否与被审计单位信息系统相一致
B.在信息系统中建立虚拟实体,然后将有关数据与真实运行数据一起输入信息系统中处理,将虚拟实体的运行结果与预期进行比较
C.将已处理过的真实数据在相同的信息系统或程序副本上再处理一次,将二次结果与以前结果进行比较
D.以上都不对
下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:
A:设置网络连接时限
B:记录并分析系统错误日志
C:记录并分析用户和管理员操作日志
D:启用时钟同步
下列安全控制措施的分类中,哪个分类是正确的(P-预防性的,D-检测性的以及C-纠正性的控制):1.网络防火墙2.RAID级别33.银行账单的监督复审4.分配计算机用户标识5.交易日志
A:P,P,C,D,and C
B:D,C,C,D,and D
C:P,C,D,P,and D
D:P,D,P,P,and C
风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的?
A:风险分析准备的内容是识别风险的影响和可能性
B:风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度
C:风险分析的内容是识别风险的影响和可能性
D:风险结果判定的内容是发生系统存在的威胁、脆弱性和控制措施
你来到服务器机房隔壁的一间办公室,发现窗户坏了。由于这不是你的办公室,你要求在这里办公的员工请维修工来把窗户修好。你离开后,没有再过问这扇窗户的事情。这件事的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响?
A:如果窗户被修好,威胁真正出现的可能性会增加
B:如果窗户被修好,威胁真正出现的可能性会保持不变
C:如果窗户没有被修好,威胁真正出现的可能性会下降
D:如果窗户没有被修好,威胁真正出现的可能性会增加
计算机应急响应小组的简称是?
A:CERT
B:FIRST
C:SANA
D:CEAT
在金融交易的电子数据交换(EDI)通信过程中,对金额字段计算校验和是为确保
A.完整性
B.实性
C.授权
D.不可否认性
数据输入、处理和输出控制审计属于下列哪一项审计的范畴
A.应用控制审计
B.一般控制审计
C.项目管理审计
D.以上都不对
选择审计流程时,信息安全审计师应运用自己的专业性判断,以确保
A.收集充分的证据
B.所有识别出的重大缺陷在合理的期限内均得以纠正
C.识别出所有严重漏洞
D.将审计成本控制在最低水平
执行计算机取证调查时,对于收集到证据,IS审计师最应关注的是
A.证据的分析
B.证据的评估
C.证据的保存
D.证据的泄露
下列哪种说法针对审计证据可靠性的说法是错误的
A.间接获取的审计证据比直接获取的审计证据更可靠
B. 从被审计单位直接观察测试获取的审计证据比经被审计单位加工处理后提交的审计证据更可靠
C.原件形式的审计证据比复制件形式的审计证据更可靠
D.以上都不对
在以下那种情况下,组织应当对公众和媒体告知其信息系统中发生的信息安全事件?
A 当信息安全事件的负面影响扩展到本组织以外时
B 只要发生了安全事件就应当公告
C 只有公众的生命财产安全受到巨大危害时才公告
D 当信息安全事件平息后
信息安全管理体系(information Securlty Management System. 简称ISMS)要求建立过程体系,该过程体系是在如下()基础上构建的。
A:IATF(Information Assurance Technical Framework)
B:P2DR(Policy,Protection,Detection,Response)
C:PDCERF(Preparation,Detection,Containment,Eradication,Recovery,Follow-up)
D:PDCA(Plan,Do,Check,Act)
关于风险要素识别阶段工作内容叙述错误的是:
A:资产识别是指对需要保护的资产和系统等进行识别和分类
B:威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
C:脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估
D:确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台
企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户。这种广泛的访问最有可能是因为:
A: 经常性地修改会计期间的需要
B: 需要向关闭的会计期间过入分录
C: 缺乏适当的职责分工政策和步骤
D: 需要创建和修改科目表及其分配
许多组织强制要求雇员休假一周或更长时间,以便:
A: 确保雇员维持生产质量,从而生产力更高
B: 减少雇员从事不当或非法行为的机会
C: 为其他雇员提供交叉培训
D: 消除当某个雇员一次休假一天造成的潜在的混乱
文档体系建设是信息安全管理体系(ISMS)建设的直接体现,下列说法不正确的是:
A:组织内的信息安全方针文件.信息安全规章制度文件.信息安全相关操作规范文件等文档是组织的工作标准,也是ISMS审核的依据
B:组织内的业务系统日志文件.风险评估报告等文档是对上一级文件的执行和记录,对这些记录不需要保护和控制
C:组织在每份文件的首页,加上文件修订跟踪表,以显示每一版本的版本号.发布日期.编写人.审批人.主要修订等内容
D:层次化的文档是ISMS建设的直接体现,文档体系应当依据风险评估的结果建立
信息安全风险的三要素是指:
A:资产、威胁、脆弱性
B:资产、使命、威胁
C:使命、威胁、脆弱性
D:威胁、脆弱性、使命
下列哪个领域经常面临微型计算机迅速发展带来的风险?1、备份和恢复。2、应用程序开发成本。3、记录的批量更新。4、访问的安全。5、违反版权法。
A:4、2、2
B: 2、3、4
C: 3、4、5
D: 1、4、5
如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于:
A:项目需求定义阶段
B:项目可行性研究阶段
C:项目详细设计阶段
D:项目编程阶段
某银行信息系统为了满足业务发展的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素?
A:信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准
B:信息系统所承载该银行业务正常运行的安全需求
C:消除或降低该银行信息系统面临的所有安全风险
D:该银行整体安全策略
某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施?
A:由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
B:为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险
C:日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志
D:只允许特定的IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间
在契约性协议包含源代码第三方保存契约(escrow)的目的是:
A:保证在供应商不存在时源代码仍然有效
B:允许定制软件以满足特定的业务需求
C:审核源代码以保证控制的充分性
D:保证供应商已遵从法律要求
为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时下面哪一项是最好的方法?
A:进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码
B:进行离职谈话,禁止员工账号,更改密码
C:让员工签署跨边界协议
D:列出员工在解聘前需要注意的所有责任
下面哪种方法产生的密码是最难记忆的?
A:将用户的生日倒转或是重排
B:将用户的年薪倒转或是重排
C:将用户配偶的名字倒转或是重排
D:用户随机给出的字母
在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则?A:标准(Standard)
B:安全策略(Security policy)
C:方针(Guideline)
D:流程(Procedure)
软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。以下哪一项是这种情况面临的最主要风险?
A:软件中止和黑客入侵
B:远程监控和远程维护
C:软件中止和远程监控
D:远程维护和黑客入侵
以下哪一项计算机安全程序的组成部分是其它组成部分的基础?
A:制度和措施
B:漏洞分析
C:意外事故处理计划
D:采购计划
信息安全管理试题集
信息安全管理-试题集 判断题: 1.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2.一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3.我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题:
1.信息安全经历了三个发展阶段,以下(B)不属于这三个发展阶段。 A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段 2.信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。 A.保密性 B.完整性 C.不可否认性 D.可用性 3.下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。 A.杀毒软件 B.数字证书认证 C.防火墙 D.数据库加密 4.《信息安全国家学说》是( C )的信息安全基本纲领性文件。 A.法国 B.美国 C.俄罗斯 D.英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5.信息安全领域内最关键和最薄弱的环节是( D )。 A.技术 B.策略 C.管理制度 D.人
6.信息安全管理领域权威的标准是( B )。 A.ISO15408 B.ISO17799/ISO27001(英) C.ISO9001 D.ISO14001 7.《计算机信息系统安全保护条例》是由中华人民共和国(A)第147号发布的。 A.国务院令 B.全国人民代表大会令 C.公安部令 D.国家安全部令 8.在PDR安全模型中最核心的组件是( A )。 A.策略 B.保护措施 C.检测措施 D.响应措施 9.在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为( A )。 A.可接受使用策略AUP B.安全方针 C.适用性声明 D.操作规范 10.互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存( C )天记录备份的功能。 A.10 B.30 C.60 D.90 11.下列不属于防火墙核心技术的是( D )
信息安全管理体系审核员 真题
ISMS 201409/11 一、简答 1、内审不符合项完成了30/35,审核员给开了不符合,是否正确你怎么审核 [参考]不正确。应作如下审核: (1)询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解内审不符合项的纠正措施实施情况,分析对不符合的原因确定是否充分, 所实施的纠正措施是否有效; (2)所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。 (3)评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反之可采取适当的控制措施即可。 综上,如果所有纠正措施符合风险要求,与相关影响相适宜,则纠正措 施适宜。 2、在人力资源部查看网管培训记录,负责人说证书在本人手里,培训是外包的, 成绩从那里要,要来后一看都合格,就结束了审核,对吗 [参考]不对。 应按照标准GB/T 22080-2008条款培训、意识和能力的要求进行如下审核:(1)询问相关人员,了解是否有网管岗位说明书或相关职责、角色的文件(2)查阅网管职责相关文件,文件中如何规定网管的岗位要求,这些要求基于教育、培训、经验、技术和应用能力方面的评价要求,以及相关的培 训规程及评价方法; (3)查阅网管培训记录,是否符合岗位能力要求和培训规程的规定要求
(4)了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价,是否保持记录 (5)如果岗位能力经评价不能满足要求时,组织是否按规定要求采取适当的措施,以保证岗位人员的能力要求。 二、案例分析 1、查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防;笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不安全的。 A 组织场所外的设备安全应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险 2、某公司操作系统升级都直接设置为系统自动升级,没出过什么事,因为买的都 是正版。 A 操作系统变更后应用的技术评审当操作系统发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。 3、创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。 A 第三方服务的变更管理应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的评估。 4、查某公司信息安全事件处理时,有好几份处理报告的原因都是感染计算机病毒,负责人说我们严格的杀毒软件下载应用规程,不知道为什么没有效,估计其
信息安全管理试题集
信息安全管理试题集
信息安全管理-试题集 判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D.
安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是( C )的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是( D )。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是( B )。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国(A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是( A )。
最新信息安全管理考试真题
一、判断题(本题共15道题,每题1分,共15分。请认真阅读题目,然后在对的题目后面打√,在错误的题目后面打×) 1. 口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信:息,进而非法获得系统和资源访问权限。(√) 2. PKI系统所有的安全操作都是通过数字证书来实现的。(√) 3. PKI系统使用了非对称算法.对称算法和散列算法。(√) 4. 一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√) 5. 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。(√) 6. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。(√) 7. 按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。(√) 8. 虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。(√) 9. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 10. 定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。(√) 11. 网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√) 12. 网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。(×) 13. 防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。(√) 14. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。(×) 15. 信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。(√) 二、选择题(本题共25道题,每题1分,共25分。请认真阅读题目,且每个题目只有一个正确答案,并将答案填写在题目相应位置。) 1. 防止静态信息被非授权访问和防止动态信息被截取解密是__D____。 A.数据完整性 B.数据可用性 C.数据可靠性 D.数据保密性 2. 用户身份鉴别是通过___A___完成的。 A.口令验证 B.审计策略 C.存取控制 D.查询功能 3. 故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以___B___。 A. 3年以下有期徒刑或拘役 B. 警告或者处以5000元以下的罚款 C. 5年以上7年以下有期徒刑 D. 警告或者15000元以下的罚款 4. 网络数据备份的实现主要需要考虑的问题不包括__A____。 A.架设高速局域网 B.分析应用环境 C.选择备份硬件设备 D.选择
信息安全管理练习题
-2014 信息安全管理练习题判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是( C )的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是( D )。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是( B )。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国( A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是( A )。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为( A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范 应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施,
信息安全管理练习题
信息安全管理练习题-2014 判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列(C)不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的(A)安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是(C)的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是(D)。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是(B)。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国(A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是(A)。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为(A)。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范
企业信息安全管理中文题库
案例研究#1 高山滑雪高山滑雪众议院众议院概况经营滑雪胜地,提供住宿,餐饮,娱乐等为客户提供服务。该公司最近收购了4 Contoso的度假胜地从有限公司物理位置该公司的主要办事处设在丹佛。公司有10个度假胜地,在北美,其中3个在加拿大。被收购的四个新度假村位于欧洲。每个度假村有90至160个用户以下计划的变化。变化的计划将在未来3个月: 该公司将在维也纳开设分支机构。维也纳办事处将支持美国四大欧洲度假胜地以同样的方式说,丹佛的办公室目前支持朝鲜。 在北美的所有服务器将更新到Windows Server 2003。 所有客户端电脑将升级到Windows XP专业版。服务器 在4.0域的成员和客户端计算机在Windows NT升级,将在NT域迁移到Active Directory 中。 一个新的文件名为Server1的服务器将安装和配置。它将运行Windows Server 2003。 每个度假村将作为度假等未经验证的用户,一些客户亭安装。 为了保持市场竞争力的高档,该公司将无线互联网连接提供给客户参观的胜地。业务流程信息技术(IT)部门是位于丹佛的办公室。IT部门经营公司的网站,数据库和电子邮件服务器。IT部门还管理丹佛办公室客户的电脑。IT人员前往度假胜地进行重大升级,新安装,故障排除和先进的美国北的服务器在该度假村位于英寸每个度假村都至少有一个桌面支持技术人员,以支持客户端计算机。根据他们的经验,有些技术人员有可能被诉诸行政服务器的权利。欧洲度假村有一个共同的财务部。人力资源(人事)部门保持一个Web应用程序命名https://www.360docs.net/doc/d514303814.html,,提供个性化的信息保密每名雇员。该应用程序具有以下特点: 它使用https://www.360docs.net/doc/d514303814.html,和https://www.360docs.net/doc/d514303814.html,。70 - 298领先的IT测试和认证的方式工具, 这是在丹佛举行的一个Web服务器办公室。 员工可以访问应用程序从家里或工作。 保留部门的公共网站维护一个名为https://www.360docs.net/doc/d514303814.html,。该网站具有以下特点: 它使用https://www.360docs.net/doc/d514303814.html,和https://www.360docs.net/doc/d514303814.html,。 它是从互联网上查阅的任何地方。 这个网站还包括该公司对每一个静态内容的手段。目录服务使用Active Directory域命名为北美https://www.360docs.net/doc/d514303814.html,。丹佛IT部门管理的领域。 该https://www.360docs.net/doc/d514303814.html,域仍将是林的根域。欧洲金融部门具有Windows NT 4.0域命名CONTOSODOM。每个欧洲城包含一个域控制器运行Windows NT Server 4.0的所有员工都和连接用户帐户在Active Directory或在Windows NT 4.0域。现有的网络基础设施的地点是在展会上展出的网络图。
信息技术与信息安全 题库及答案
2014广西信息技术与信息安全公需科目题库(一) 1.(2分) 特别适用于实时和多任务的应用领域的计算机是(D)。 A. 巨型机 B. 大型机 C. 微型机 D. 嵌入式计算机 2.(2分) 负责对计算机系统的资源进行管理的核心是(C)。 A. 中央处理器 B. 存储设备 C. 操作系统 D. 终端设备 3.(2分) 2013年12月4日国家工信部正式向中国移动、中国联通、中国电信发放了(C)4G牌照。 A. WCDMA B. WiMax C. TD-LTE D. FDD-LTE 4.(2分) 以下关于盗版软件的说法,错误的是(A)。 A. 若出现问题可以找开发商负责赔偿损失 B. 使用盗版软件是违法的 C. 成为计算机病毒的重要来源和传播途径之一 D. 可能会包含不健康的内容 5.(2分) 涉密信息系统工程监理工作应由(A)的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 具有涉密工程监理资质的单位 C. 保密行政管理部门 D. 涉密信息系统工程建设不需要监理 6.(2分) 以下关于智能建筑的描述,错误的是(B)。 A. 智能建筑强调用户体验,具有内生发展动力。 B. 随着建筑智能化的广泛开展,我国智能建筑市场已接近饱和。 C. 建筑智能化已成为发展趋势。 D. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 7.(2分) 网页恶意代码通常利用(C)来实现植入并进行攻击。 A. 口令攻击 B. U盘工具 C. IE浏览器的漏洞 D. 拒绝服务攻击 8.(2分) 信息系统在什么阶段要评估风险?(D) A. 只在运行维护阶段进行风险评估,以识别系统面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得以实现。 B. 只在规划设计阶段进行风险评估,以确定信息系统的安全目标。 C. 只在建设验收阶段进行风险评估,以确定系统的安全目标达到与否。 D. 信息系统在其生命周期的各阶段都要进行风险评估。 9.(2分) 下面不能防范电子邮件攻击的是(D)。
自考信息安全概论习题及答案
信息安全概论习题及答案 第1章概论 1.谈谈你对信息的理解. 答:信息是事物运动的状态和状态变化的方式。 2.什么是信息技术? 答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。 本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。 也有人认为信息技术简单地说就是3C:Computer+Communication+Control。 3.信息安全的基本属性主要表现在哪几个方面? 答:(1)完整性(Integrity) (2)保密性(Confidentiality) (3)可用性(Availability) (4)不可否认性(Non-repudiation) (5)可控性(Controllability) 4.信息安全的威胁主要有哪些? 答: (1)信息泄露 (2)破坏信息的完整性 (3)拒绝服务 (4)非法使用 (非授权访问) (5)窃听 (6)业务流分 析 (7)假冒 (8)旁路控制 (9)授权侵犯
(10)特洛伊木马 (11)陷阱门 (12)抵赖 (13)重放 (14)计算机病 毒 (15)人员不慎 (16)媒体废弃 (17)物理侵入 (18)窃取 (19)业务欺骗 等 5.怎样实现信息安全? 答:信息安全主要通过以下三个方面: A 信息安全技术:信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等; B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的。安全管理包括:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。 C 信息安全相关的法律。法律可以使人们了解在信息安全的管理和应用中什么是违法行为,自觉遵守法律而不进行违法活动。法律在保护信息安全中具有重要作用对于发生的违法行为,只能依靠法律进行惩处,法律是保护信息安全的最终手段。同时,通过法律的威慑力,还可以使攻击者产生畏惧心理,达到惩一警百、遏制犯罪的效果。 第2章信息保密技术 1.为了实现信息的安全,古典密码体制和现代密码体制所依赖的要素有何不同?
信息安全管理教程试题库
1. 根据IS013335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。(√) 2. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。 3. 只要投资充足,技术措施完备,就能够保证百分之百的信息安全。 4. 我国在2006年提出的(2006—2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。(√) 5. 2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。(√) 6. 在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。 7. 安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。(√) 8. Windows2000/xp系统提供了口令安全策略,以对XX口令安全进行保护。(√) 9. 信息安全等同于网络安全。 10. GB l7859与目前等级保护所规定的安全等级的含义不同,GB l7859中等级划分为现在的等级保护奠定了基础。(√) 11. 口令认证机制的安全性弱点,可以使得攻击者破解合法用户XX信:息,进而非法获得系统和资源访问权限。(√) 12. PKI系统所有的安全操作都是通过数字证书来实现的。(√) 13. PKI系统使用了非对称算法.对称算法和散列算法。(√) 14. 一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√) 15. 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。(√) 16. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。(√) 17. 按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。(√) 18. 虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。(√) 19. 一旦发现计算机XX犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。 20. 定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。(√) 21. 网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√) 22. 网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。 23. 防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。(√) 24. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。 25. 信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。(√) 26. 美国国家标准技术协会NIST发布的《SP 800—30》中详细阐述了IT系统风险管理内容。(√) 27. 防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。(√) 28. 通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。(√) 29. 脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。(√)
网络信息安全管理考试题和答案
成都网络信息安全管理考试答案 1.信息安全的主要属性有保密性、完整性、可用性。【对】 错 对√ 2.信息安全管理体系由若干信息安全管理类组成。【对】 错 对√ 3.集中监控的网状部署结构的节点监控中心之间的通讯需要与管理中心协调调度方可进行。【错】 错√ 对 4.为了安全起见,网络安全员与报警处置中心联系的只使用网络这条唯一通道。【错】 错√ 对 5.黑色星期四"是因有人通过BELL实验室与Internet连接的有漏洞的机器上放置了一个蠕虫程序而引起网 络灾难得名的。【错】 错√ 对 6.信息战的军事目标是指一个国家军队的网络系统、信息系统、数据资源。【错】 错√ 对 7.网络物理隔离是指两个网络间链路层、网络层在任何时刻都不能直接通讯。【错】 错√ 对 8.对 二、单选题:(共8小题,共32分) 1.关于实现信息安全过程的描述,以下哪一项论述不正确。【 D】 A.信息安全的实现是一个大的过程,其中包含许多小的可细分过程 B.组织应该是别信息安全实现中的每一个过程
C.对每一个分解后的信息安全的过程实施监控和测量 D.信息安全的实现是一个技术的过程√ 2. 建立和实施信息安全管理体系的重要原则是。【D】 A.领导重视 B.全员参与 C.持续改进 D.以上各项都是√ 3. 组织在建立和实施信息安全管理体系的过程中,领导重视可以。【D】 A.指明方向和目标 B.提供组织保障 C.提供资源保障 D.以上各项都是√ 4. 你认为建立信息安全管理体系时,首先因该:【B】 A.风险评估 B.建立信息安全方针和目标√ C.风险管理 D.制定安全策略 5.《计算机信息系统安全专用产品检测和销售许可证管理办法》是由那个部门颁布的:【B】 A.保密局 B.公安部√
信息安全管理试题及答案
信息安全管理一试题集 判断题: 1.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(X ) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection 和响应Reaction).事后恢复(恢复Restoration )四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而日骸心。 2.—旦发现计算机违法扌瞬案件,信息系统所有者应当在2天内迅速向当地公安机关报案, 并配合公安机关的取证和调查。(X ) 注釋:应在24小时内报案 3.我国刑法中有关计算机犯罪的规走,走义了3种新的30罪类型(x ) 注释:共3种计算机才。罪,但只有2种新的3(2罪类型。 单选题: 1?信息安全经历了三个发展阶段,以下(B )不属于这三个发展阶段。 A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段 2.信息安全阶段将研究领域扩展到三个基本属性,下列(C )不属于这三个基本属性。 A.保密性 B.完整性 C.不可否认性 D.可用性 3.下面所列的(A )安全机制不属于信息安全保瞳体系中的事先保护环节。 A.杀毒软件 B.数字证书认证 C.防火墙 D. 姻库加密
4.《信息安全国家学说》是(C )的信息安全基本纲领性文件。 A.法国 B.美国 C.俄罗斯 D.英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5?信息安全领域内最关键和最薄^的环节是(D X A.技术 B.策略 C.管理制度 D.人 6?信息安全管理领域权威的标准是(B \ A. ISO 15408 B.ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7.《计算机信息系统安全保护条例》是由中华人民共和国(A )第147号发布的。 A.国务院令 B.全国人民代表大会令 C.公安部令 D.国家安全部令 8.在PDR安全模型中最核心的组件是(A ' A.策略 B.保护措施 C.检测措施 D.响应措施 9.在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为 (A )。 A.可接受使用策略AUP B.安全方针 C.适用性声明 D.操作规范 10.互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存 (C )天记录备份的功能。 A. 10 B. 30 C. 60 D.90 11.下列不属于防火墙核心技术的是(D ) A.(静态/动态)包过滤技术 B. NAT技术 C.应用俺技术 D.日志审计 12.应用代理防火墙的主要优点是(B ) A.加密强度更高 B.安全控制更细化、更灵活 C.安全服务■的透明性更好 D.服务对象更广泛13?对于远程访问型VPN来说,(A )产品经常与防火墙及NAT机制存在兼容性
网络信息安全管理考试题和答案
网络信息安全管理考试答案 1.信息安全的主要属性有性、完整性、可用性。【对】 错 对√ 2.信息安全管理体系由若干信息安全管理类组成。【对】 错 对√ 3.集中监控的网状部署结构的节点监控中心之间的通讯需要与管理中心协调调度方可进行。【错】 错√ 对 4.为了安全起见,网络安全员与报警处置中心联系的只使用网络这条唯一通道。【错】 错√ 对 5.黑色星期四"是因有人通过BELL实验室与Internet连接的有漏洞的机器上放置了一个蠕虫程序而引起网 络灾难得名的。【错】 错√ 对 6.信息战的军事目标是指一个国家军队的网络系统、信息系统、数据资源。【错】 错√ 对 7.网络物理隔离是指两个网络间链路层、网络层在任何时刻都不能直接通讯。【错】 错√ 对 8.对 二、单选题:(共8小题,共32分) 1.关于实现信息安全过程的描述,以下哪一项论述不正确。【 D】 A.信息安全的实现是一个大的过程,其中包含许多小的可细分过程 B.组织应该是别信息安全实现中的每一个过程
C.对每一个分解后的信息安全的过程实施监控和测量 D.信息安全的实现是一个技术的过程√ 2. 建立和实施信息安全管理体系的重要原则是。【D】 A.领导重视 B.全员参与 C.持续改进 D.以上各项都是√ 3. 组织在建立和实施信息安全管理体系的过程中,领导重视可以。【D】 A.指明方向和目标 B.提供组织保障 C.提供资源保障 D.以上各项都是√ 4. 你认为建立信息安全管理体系时,首先因该:【B】 A.风险评估 B.建立信息安全方针和目标√ C.风险管理 D.制定安全策略 5.《计算机信息系统安全专用产品检测和销售许可证管理办法》是由那个部门颁布的:【B】A.局 B.公安部√ C.密码办
信息安全管理习题及答案
精心整理 精心整理 信息安全管理-试题集 判断题: 1.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection 和响应Reaction)、事后恢复(恢复Restoration )四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2.一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取 3.1.A.2.A.3.A. 4.A. 5.A. 6. 7.A. 8.在A. 9.A.10. A.10 B.30 C.60 D.90 11.下列不属于防火墙核心技术的是( D ) A.(静态/动态)包过滤技术 B.NAT 技术 C.应用代理技术 D.日志审计 12.应用代理防火墙的主要优点是( B) A.加密强度更高 B.安全控制更细化、更灵活 C.安全服务的透明性更好 D.服务对象更广泛 13.对于远程访问型VPN 来说,( A )产品经常与防火墙及NAT 机制存在兼容性问题,导致安全隧道建立失败。 A.IPSecVPN B.SSLVPN C.MPLSVPN D.L2TPVPN 注:IPSec 协议是一个应用广泛,开放的VPN 安全协议,目前已经成为最流行的VPN 解决方案。在IPSec 框架当中还有一个必不可少的要素:Internet 安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley),它提供自动建立安全关联和管理密钥的功能。
精心整理 精心整理 14.1999年,我国发布的第一个信息安全等级保护的国家标准GB17859-1999,提出将信息系统的安全等级划分为( D )个等级,并提出每个级别的安全功能要求。 A.7 B.8 C.6 D.5 注:该标准参考了美国的TCSEC 标准,分自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。 15.公钥密码基础设施PKI 解决了信息系统中的( A )问题。 A.身份信任 B.权限管理 C.安全审计 D.加密 注:PKI (PublicKeyInfrastructure,公钥密码基础设施),所管理的基本元素是数字证书。 16.最终提交给普通终端用户,并且要求其签署和遵守的安全策略是( C )。 A.口令策略 B.保密协议 C.可接受使用策略AUP D.责任追究制度 知识点: 1.《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。 2.4.5.6.7.8.9.10.12.1 3.1 4.1 5.1 6.1 7.1 8.级。 19.20.21. 23.信息安全策略必须具备确定性、全面性和有效性。 24.网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在网络交换机的监听端口、内网和外网的边界。 25.技术类安全分3类:业务信息安全类(S 类)、业务服务保证类(A 类)、通用安全保护类(G 类)。其中S 类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;A 类关注的是保护系统连续正常的运行等;G 类两者都有所关注。 26.如果信息系统只承载一项业务,可以直接为该信息系统确定安全等级,不必划分业务子系统。 27.信息系统生命周期包括5个阶段:启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。而安全等级保护实施的过程与之相对应,分别是系统定级、安全规划设计、安全实施、安全运行维护和系统终止。
信息安全考试题库(附答案)
考试内容: 信息安全的要素、威胁、Hash函数的相关概念、计算机病毒特性及理解方面的要点 1,信息安全的基本概念(安全的定义信息技术安全概述网络攻击的形式等 ) 2,信息保密技术(古典加密对称加密非对称加密 RAS划重点两种密码体制和其代表方法) 3,信息认证技术(信息摘要函数,数字签名,身份认证技术 ) 4,密钥管理技术(概念基础密钥管理知识密钥管理系统) 5,访问控制技术(模型、基本要素、相关要素实现机制) 访问级别审计之类的不考 6,网络攻击和防范(主要网络攻击技术:计算机病毒技术) 防火墙之类的不考 考试形式: 闭卷考试 1,判断(讲过的知识点的灵活运用)10分 2,填空(关键知识点)20分 3,简答(基本,核心的部分言简意赅的说清楚就好)40分 4,计算(要求详细过程,主要是实验内容对实验之外的内容也要关注)30分 信息保密 注意实验和平时作业 习题: Q1、常见信息安全威胁(至少列出十种) 信息破坏、破坏信息完整性、拒绝服务、非法使用(非授权访问)、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员不慎、媒体废弃、物理入侵、窃取、业务欺骗 Q2、衡量密码体制安全性的方法? 1、计算安全性:度量破译密码体制所需计算上的努力 2、可证明安全性:通过规约的方式为密码安全性提供证据,如果使用某种具体方法破译一个密码体制,就有可能有效的解决一个公认困难的数学问题 类比: NP完全问题的规约
3 无条件安全性:假设攻击者具有无限的计算资源和计算能力时,密码体制仍然安全 Q3、以p=5,q=7为例,简述RSA算法的加密和解密过程 // 自选密钥Eg:n=p*q=35 f(n)=(p-1)(q-1)=24 若gcd(e,f(n))=1 则取 e=5 由d=e-1modf(n) 可取d=5 加密:若明文为Z,m值为26,则m e=265=11881376,密文c=m e mod n=31 解密:密文为31,则c d=315=28629151 解密m=c d mod n=26 即Z Q4:满足什么条件的Hash函数是安全的? 如果对于原像问题、第二原像问题、碰撞问题这三个问题都是难解的,则认为该Hash函数是安全的。 Q5:列出针对Hash函数的主要攻击类型。 生日攻击、穷举攻击、中途相遇攻击 Q6:简述身份信息认证系统的构成 被验证身份者、验证者、攻击者、可信任的机构作为仲裁或调解机构 Q7:密钥可以分为哪些类型 数据加密密钥和密钥加密密钥 密钥加密密钥又分为主密钥和初级密钥、二级密钥 Q8:简述密钥保护的基本原则 1、密钥永远不可以以明文的形式出现在密码装置之外。 2、密码装置是一种保密工具,即可以是硬件,也可以是软件。 Q9:什么是访问控制?它包括哪几个要素 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制是在身份认证的基础上,根据身份对提出的资源访问请求加以控制,是针对越权使用资源的现象进行防御的措施。访问控制是网络安全防范和保护的主要策略,它可以限制对关键资源的访问,防止非法用户或合法用户的不慎操作所造成的破坏。 要素是:主体、客体、访问策略 Q10:自主访问控制和强制访问控制有什么区别? 1、自主访问控制(Discretionary Access Control)是一种最为普遍
信息安全管理体系ISMS2016年6月考题
2016信息安全管理体系(ISMS)审核知识试卷 2016年6月 一、单选题 1、密码就是一种用于保护数据保密性的密码学技术、由()方法及相应运行过程。 A、加密算法和密钥生成 B、加密算法、解密算法、密钥生成 C、解密算法、密钥生成 D、加密算法、解密算法 2、计算机安全保护等级的第三级是()保护等级 A、用户自主 B、安全标记 C、系统审计 D、结构化 3、隐蔽信道是指允许进程以()系统安全策略的方式传输信息的通信信道 A、补强 B、有益 C、保护 D、危害 4、 5、 6、ISMS关键成功因素之一是用于评价信息安全 A、测量 B、报告 C、传递 D、评价 7、防止恶语和移动代码是保护软件和信息的() A、完整性 B、保密性 C、可用性 D、以上全部 8、以下强健口令的是() A、a8mom9y5fub33 B、1234 C、Cnas D、Password 9、开发、测试和()设施应分离、以减少未授权访问或改变运行系统的风险 A、系统 B、终端 C、配置 D、运行 10、设备、()或软件在授权之前不应带出组织场所 A、手机 B、文件 C、信息 D、以上全部
11、包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件已被删 除或安全地写覆盖 A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息 12、雇员、承包方人员和()的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员 C、第三方人员 D、IT经理 13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在()合同 中。 A、雇员 B、承包方人员 C、第三方人员 D、A+B+C 14、ISMS文件的多少和详细程度取决于() A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全,设备、信息和软件在()之前不应带出组织 A、使用 B、授权 C、检查合格 D、识别出薄弱环节 16、对于所有拟定的纠正和预防措施,在实施前应先通过()过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B 17、组织机构在应建立起评审ISMS时,应考虑() A、风险评估的结果 B、管理方案 C、法律、法规和其它要素 D、A+C 18、ISMS管理评审的输出应包括: A、可能影响ISMS的任何变更 B、以往风险评估没有充分强调的薄弱点或威胁 C、风险评估和风险处理计划的更新 D、改进的建议 19、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题。 A、内容监控 B、安全教育和培训 C、责任追查和惩处 D、访问控制 20、经过风险处理后遗留的风险是() A、重大风险 B、有条件的接受风险 C、不可接受的风险 D、残余风险 21、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反 或防护措施的失效,或是和安全关联的一个先前未知的状态。 A、信息安全事态 B、信息安全事件 C、信息安全事故 D、信息安全故障 22、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应 用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。 A、恢复全部程序 B、回复网络设置 C、回复所有数据 D、恢复整个系统 23、不属于计算机病毒防治的策略的是()。