1、判斷題1 .根據ISO13335標準，信息是通過在數據上施加某些約定而賦予這些數據的特殊含義。Y2 .信息安全保障階段中，安全策略是核心，對事先保護、事發(fā)檢測和響應、事后恢復起到了統一指導作用。N3 .只要投資充足，技術措施完備，就能夠保證百分之百的信息安全。N4 .我國在2006年提出的20062020年國家信息化發(fā)展戰(zhàn)略將建設國家信息安全保障體系”作為9大戰(zhàn)略發(fā)展方向之一。Y5 .2003年7月國家信息化領導小組第三次會議發(fā)布的27號文件，是指導我國信息安全保障工作和加快推進信息化的綱領性文獻。Y6 .在我國，嚴重的網絡犯罪行為也不需要接受刑法的相關處罰。N7 .windows2000/X

2、P系統提供了口令安全策略，以對帳戶口令安全進行保護。Y8 .GB17859與目前等級保護所規(guī)定的安全等級的含義不同,GB17859中等級劃分為現在的等級保護奠定了基礎。Y9 .口令認證機制的安全性弱點，可以使得攻擊者破解合法用戶帳戶信息，進而非法獲得系統和資源訪問權限。Y10 .PKI系統所有的安全操作都是通過數字證書來實現的。Y11 .PKI系統使用了非對稱算法、對稱算法和散列算法。Y12 .一個完整的信息安全保障體系，應當包括安全策略(Policy)、保護(Protection)、檢測(Detection)、響應(Reaction)、恢復(Restoration)五個主要環(huán)節(jié)。Y13 .信

3、息安全的層次化特點決定了應用系統的安全不僅取決于應用層安全機制，同樣依賴于底層的物理、網絡和系統等層面的安全狀況。Y14 .實現信息安全的途徑要借助兩方面的控制措施、技術措施和管理措施，從這里就能看出技術和管理并重的基本思想，重技術輕管理，或者重管理輕技術，都是不科學，并且有局限性的錯誤觀點。Y15 .按照BS7799標準，信息安全管理應當是一個持續(xù)改進的周期性過程。Y16 .雖然在安全評估過程中采取定量評估能獲得準確的分析結果，但是由于參數確定較為困難，往往實際評估多采取定性評估，或者定性和定量評估相結合的方法。Y17 .一旦發(fā)現計算機違法犯罪案件，信息系統所有者應當在2天內迅速向當地公安機

4、關報案,并配合公安機關的取證和調查。N18 .定性安全風險評估結果中，級別較高的安全風險應當優(yōu)先采取控制措施予以應對。Y19 .網絡邊界保護中主要采用防火墻系統，在內網和外網之間存在不經過防火墻控制的其他通信連接，不會影響到防火墻的有效保護作用。N20 .防火墻雖然是網絡層重要的安全機制，但是它對于計算機病毒缺乏保護能力。Y21 .我國刑法中有關計算機犯罪的規(guī)定，定義了3種新的犯罪類型。N22 .信息技術基礎設施庫(ITIL),是由英國發(fā)布的關于IT服務管理最佳實踐的建議和指導方針，旨在解決IT服務質量不佳的情況。Y23 .美國國家標準技術協會NIST發(fā)布的SP800-3。中詳細闡述了IT系統

5、風險管理內容。Y24 .防火墻在靜態(tài)包過濾技術的基礎上，通過會話狀態(tài)檢測技術將數據包的過濾處理效率大幅提高。Y25 .通常在風險評估的實踐中，綜合利用基線評估和詳細評估的優(yōu)點，將二者結合起來。Y26 .脆弱性分析技術，也被通俗地稱為漏洞掃描技術。該技術是檢測遠程或本地系統安全脆弱性的一種安全技術。Y27 .信息在使用中不僅不會被消耗掉，還可以加以復制。Y28 .口令管理方式、口令設置規(guī)則、口令適應規(guī)則等屬于口令管理策略。Y29 .防火墻屬于網絡安全的范疇，是網絡安全保護中最基本的安全機制，只能在內部網絡的邊界處提供動態(tài)包過濾、應用安全代理等安全服務。N30 .方針和策略是信息安全保證工作的整體

6、性指導和要求。安全方針和策略不需要有相應的制定、審核和改進過程。N31 .主機和系統是信息系統威脅的主要目標之一。Y32 .口令至少要含有6個字符。N33 .強制執(zhí)行策略：沒有強制性的用戶安全策略就沒有任何價值。Y34 .信息系統的安全保護等級由各業(yè)務子系統的最高等級決定。Y35 .業(yè)務子系統的安全保護等級由業(yè)務信息安全性等級和業(yè)務服務保證性等級較低者決定。N36 .網絡和信息系統的關節(jié)崗位人選不得出現在其他關鍵崗位兼職的情況。Y37 .二類故障：包括電源等系統故障。N38 .二類故障：空調、通風、發(fā)電機、門禁、照明等系統故障。Y39 .定時清理IE瀏覽器的臨時文件夾，并不能防止部分敏感內容的

7、泄露。N40 .任何單位和個人不得制作計算機病毒。Y41 .應用和業(yè)務安全管理不屬于信息安全管理制度。N42 .安全管理的合規(guī)性，主要是指在有章可循的基礎之上，確保信息安全工作符合國家法律、法規(guī)、行業(yè)標準、機構內部的方針和規(guī)定。Y43 .信息安全等同于網絡安全。N44 .信息安全包括了保密性和完整性兩個基本屬性N45 .設備放置應考慮到便于維護金和相對的安全區(qū)域內。Y46 .凡信息網絡發(fā)生的事件、事故和案件，均應按規(guī)定由有關使用單位在48小時內向當地縣級以上公安局觀報告。N47 .信息系統安全等級劃分第五級為自主保護級單選題41 .全國人民代表大會常務委員會關于維護互聯網安全的決定規(guī)定，利用互

8、聯網實施違法行為，尚不構成犯罪的，對直接負責的主管人員和其他直接責任人員，依法給予行政處分或者。A:紀律處分B:民事處分C:刑事處分A42 .IS01779然IS027001最初是由提出的國家標準。A:美國B:澳大利亞C:英國D:中國C43 .防止靜態(tài)信息被非授權訪問和防止動態(tài)信息被截取解密是。A:數據完整性B:數據可用性C:數據可靠性D:數據保密性D44 .網絡數據備份的實現主要需要考慮的問題不包括。A:架設高速局域網B:分析應用環(huán)境C:選擇備份硬件設備D:選擇備份管理軟件A45 .針對操作系統安全漏洞的蠕蟲病毒根治的技術措施是。A:防火墻隔離B:安裝安全補丁程序C:專用病毒查殺工具D:部署

9、網絡入侵檢測系統B46 .關于災難恢復計劃錯誤的說法是。A:應考慮各種意外情況B:制定詳細的應對處理辦法C:建立框架性指導原則，不必關注于細節(jié)D:正式發(fā)布前，要進行討論和評審C47 .1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB17859-1999,提出將信息系統的安全等級劃分為個等級，并提出每個級別的安全功能要求。A:7B:8C:6D:5D48 .我國在1999年發(fā)布的國家標準為信息安全等級保護奠定了基礎。A:GB17799B:GB15408C:GB17859D:GB14430C49 .信息安全等級保護的5個級別中，是最高級別，屬于關系到國計民生的最關鍵信息系統的保護。A:強制

10、保護級B:專控保護級C:監(jiān)督保護級D:指導保護級E:自主保護級B50 .是進行等級確定和等級保護管理的最終對象。A:業(yè)務系統B:功能模塊C:信息系統D:網絡系統C51 .當信息系統中包含多個業(yè)務子系統時，對每個業(yè)務子系統進行安全等級確定，最終信息系統的安全等級應當由所確定。A:業(yè)務子系統的安全等級平均值B:業(yè)務子系統的最高安全等級C:業(yè)務子系統的最低安全等級D:以上說法都錯誤B52 .下列關于風險的說法，是錯誤的。A:風險是客觀存在的B:導致風險的外因是普遍存在的安全威脅C:導致風險的外因是普遍存在的安全脆弱性D:風險是指一種可能性C53 .風險管理的首要任務是。A:風險識別和評估B:風險轉嫁

11、C:風險控制D:接受風險A54 .安全威脅是產生安全事件的。A:內因B:外因C:根本原因D:不相關因素B55 .安全脆弱性是產生安全事件的。A:內因B:外因C:根本原因D:不相關因素A56 .在使用復雜度不高的口令時，容易產生弱口令的安全脆弱性，被攻擊者利用，從而破解用戶帳戶，下列具有最好的口令復雜度。A:morrisonB:Wm.$*F2m5C:27776394D:wangjingl977B57 .IPSec協議中涉及到密鑰管理的重要協議是。A:IKEB:AHC:ESPD:SSLA58 .入侵檢測技術可以分為誤用檢測和網大類。A:病毒檢測B:詳細檢測C:異常檢測D:漏洞檢測C59 .根據BS

12、7799的規(guī)定，建立的信息安全管理體系ISMS的最重要特征是A:全面性B:文檔化C:先進性D:制度化B60 .根據BS7799的規(guī)定，對信息系統的安全管理不能只局限于對其運行期間的管理維護，而要將管理措施擴展到信息系統生命周期的其他階段，BS7799中與此有關的一個重要方面就是0A:訪問控制B:業(yè)務連續(xù)性C:信息系統獲取、開發(fā)與維護D:組織與人員C61 .如果一個信息系統，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對社會秩序和公共利益造成一定損害，但不損害國家安全；本級系統依照國家管理規(guī)范和技術標準進行自主保護，必要時，信息安全監(jiān)管職能部門對其進行指導。那么該信息系統屬于等級保護中的0A:

13、強制保護級B:監(jiān)督保護級C:指導保護級D:自主保護級C63 .如果一個信息系統，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對公民法人和其他組織的合法權益產生損害，但不損害國家安全、社會秩序和公共利益；本級系統依照國家管理規(guī)范和技術標準進行自主保護。那么其在等級保護中屬于。A:強制保護級B:監(jiān)督保護級C:指導保護級D:自主保護級D62 .關于口令認證機制，下列說法正確的是。A:實現代價最低，安全性最高B:實現代價最低，安全性最低C:實現代價最高，安全性最高D:實現代價最高，安全性最低B63 .身份認證的含義是。A:注冊一個用戶B:標識一個用戶C:驗證一個用戶D:授權一個用戶C64 .口令機制

14、通常用于。A:認證B:標識C:注冊D:授權A65 .下列四項中不屬于計算機病毒特征的是。A:潛伏性B:傳染性C:免疫性D:破壞性C66 .計算機病毒最本質的特性是。A:寄生性B:潛伏性C:破壞性D:攻擊性B66.下述關于安全掃描和安全掃描系統的描述錯誤的是oA:安全掃描在企業(yè)部署安全策略中處于非常重要的地位B:安全掃描系統可用于管理和維護信息安全設備的安全C:安全掃描系統對防火墻在某些安全功能上的不足不具有彌補性D:安全掃描系統是把雙刃劍B60.安全審計是一種很常見的安全控制措施，它在信息安全保障體系中，屬于措施A:保護B:檢測C:響應D:恢復B67 .關于安全審計目的描述錯誤的是。A:識別和

15、分析未經授權的動作或攻擊B:記錄用戶活動和系統管理C:將動作歸結到為其負責的實體D:實現對安全事件的應急響應D68 .根據計算機信息系統國際聯網保密管理規(guī)定的規(guī)定，凡向國際聯網的站點提供或發(fā)布信息，必須經過0A:內容過濾處理B:單位領導同意C:備案制度D:保密審查批準D69 .在ISO/IEC17799中，防止惡意軟件的目的就是為了保護軟件和信息的。A:安全性B:完整性C:穩(wěn)定性D:有效性B70 .環(huán)境安全策略應該。A:詳細而具體B:復雜而專業(yè)C:深入而清晰D:簡單而全面D71 .策略應該清晰，無須借助過多的特殊一通用需求文檔描述，并且還要有具體的cA:管理支持B:技術細節(jié)C:補充內容D:實施

16、計劃D72 .在一個企業(yè)網中，防火墻應該是的一部分，構建防火墻時首先要考慮其保護的范圍A:安全技術B:安全設置C:局部安全策略D:全局安全策略D73 .基于密碼技術的訪問控制是防止的主要防護手段。A:數據傳輸泄密B:數據傳輸丟失C:數據交換失敗D:數據備份失敗A74 .災難恢復計劃或者業(yè)務連續(xù)性計劃關注的是信息資產的屬性。A:可用性B:真實性C:完整性D:保密性A75 .是最常用的公鑰密碼算法。A:RSAB:DSAC:橢圓曲線D:量子密碼A76 .PKI的主要理論基礎是oA:對稱密碼算法B:公鑰密碼算法C:量子密碼D:摘要算法BB:PublicKeylnstituteD:PrivateKeyl

17、nstitute56. PKI是0A:PrivateKeyInfrastructureC:PublicKeylnfrastructure57. PKI所管理的基本元素是。A:密鑰B:用戶身份C:數字證書D:數字簽名C77 .PKI中進行數字證書管理的核心組成模塊是。A:注冊中心RAB:證書中心CAC:目錄服務器D:證書作廢列表B78 .關于信息安全，下列說法中正確的是。A:信息安全等同于網絡安全B:信息安全由技術措施實現C:信息安全應當技術與管理并重D:管理措施在信息安全中不重要C47.在PDR安全模型中最核心的組件是。A:策略B:保護措施C:檢測措施D:響應措施A79 .在PPDRR安全模型

18、中，是屬于安全事件發(fā)生后的補救措施。A:保護B:恢復C:響應D:檢測B80 .信息安全評測標準CC是標準。A:美國B:國際C:英國D:澳大利亞B41 .信息安全在通信保密階段中主要應用于領域。A:軍事B:商業(yè)C:科研D:教育A42 .下面所列的安全機制不屬于信息安全保障體系中的事先保護環(huán)節(jié)。A:殺毒軟件B:數字證書認證C:防火墻D:數據庫加密A43 .信息安全國家學說是的信息安全基本綱領性文件。A:法國B:美國C:俄羅斯D:英國C44 .信息安全領域內最關鍵和最薄弱的環(huán)節(jié)是oA:技術B:策略C:管理制度D:人D45 .計算機信息系統安全保護條例是由中華人民共和國第147號發(fā)布的。A:國務院令B

19、:全國人民代表大會令C:公安部令D:國家安全部令A48.計算機病毒防治管理辦法規(guī)定，主管全國的計算機病毒防治管理工作。A:信息產業(yè)部B:國家病毒防范管理中心C:公安部公共信息網絡安全監(jiān)察D:國務院信息化建設領導小組C49計算機病毒的實時監(jiān)控屬于類的技術措施。A:保護B:檢測C:響應D:恢復B50 .下列能夠有效地防御未知的新病毒對信息系統造成破壞的安全措施是。A:防火墻隔離B:安裝安全補丁程序C:專用病毒查殺工具D:部署網絡入侵檢測系統A51 .下列不屬于網絡蠕蟲病毒的是。A:沖擊波B:SQLSLAMMERC:CIHD:振蕩波C54 .關于資產價值的評估，說法是正確的。A:資產的價值指采購費用

20、B:資產的價值無法估計C:資產價值的定量評估要比定性評估簡單容易D:資產的價值與其重要性密切相關D58 .下列關于信息安全策略維護的說法，是錯誤的。A:安全策略的維護應當由專門的部門完成B:安全策略制定完成并發(fā)布之后，不需要再對其進行修改C:應當定期對安全策略進行審查和修訂D:維護工作應當周期性進行B59 .防火墻最主要被部署在位置。A:網絡邊界B:骨干線路C:重要服務器D:桌面終端A61.根據計算機信息系統國際聯網保密管理規(guī)定，涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其他公共信息網絡相連接，必須實行。A:邏輯隔離B:物理隔離C:安裝防火墻D:VLAN劃分B64.GBl78

21、59借鑒了TCSEC標準，這個TCSEC是國家標準。A:英國B:意大利C:美國D:俄羅斯C66 .對日志數據進行審計檢查，屬于類控制措施。A:預防B:檢測C:威懾D:修正B67 .根據風險管理的看法，資產具有價值，存在脆弱性，被安全威脅,風險。A:存在利用B:利用導致C:導致存在D:存在具有B69 .確保信息在存儲、使用、傳輸過程中不會泄露給非授權的用戶或者實體的特性是A:完整性B:可用性C:可靠性D:保密性D70 .系統備份與普通數據備份的不同在于，它不僅備份系統中的數據，還備份系統中安裝的應用程序、數據庫系統、用戶設置、系統參數等信息，以便迅速。A:恢復整個系統B:恢復所有數據C:恢復全部

22、程序D:恢復網絡設置A71 .編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼是0A:計算機病毒B:計算機系統C:計算機游戲D:計算機程序A73 .確保網絡空間安全的國家戰(zhàn)略是發(fā)布的國家戰(zhàn)略A:英國B:法國C:德國D:美國D74 .信息安全中的木桶原理，是指。A:整體安全水平由安全級別最低的部分所決定B:整體安全水平由安全級別最高的部分所決定C:整體安全水平由各組成部分的安全級別平均值所決定D:以上都不對A76 .根據權限管理的原則，一個計算機操作員不應當具備訪問的權限。A:操作指南文檔B:計算機控制臺C:應用程序源代碼D:安全指

23、南C77 .我國正式公布了電子簽名法，數字簽名機制用于實現而求A:抗否認B:保密性C:完整性D:可用性A78 .能夠有效降低磁盤機械損壞給關鍵數據造成的損失。A:熱插拔B:SCSIC:RAIDD:FAST-ATAC在內外網絡邊界處提供更加主動79 .相對于現有殺毒軟件在終端系統中提供保護不同,和積極的病毒保護。A:防火墻B:病毒網關C:IPSD:IDSB80 .信息系統安全等級保護基本要求中，對不同級別的信息系統應具備的基本安全保護能力進行了要求，共劃分為級。A:4B:5C:6D:7A多選題81 .在互聯網上的計算機病毒呈現出的特點是oA:與因特網更加緊密地結合，利用一切可以利用的方式進行傳播

24、B:所有的病毒都具有混合型特征，破壞性大大增強C:因為其擴散極快，不再追求隱蔽性，而更加注重欺騙性D:利用系統漏洞傳播病毒E:利用軟件復制傳播病毒A,B,C,D82 .在刑法中，規(guī)定了與信息安全有關的違法行為和處罰依據。A:第285條B:第286條C:第280條D:第287條A,B,D83 .可能給網絡和信息系統帶來風險，導致安全事件。A:計算機病毒B:網絡入侵C:軟硬件故障D:人員誤操作E:不可抗災難事件A,B,C,D,E84 .安全措施可以有效降低軟硬件故障給網絡和信息系統所造成的風險。A:雙機熱備B:多機集群C:磁盤陣列D:系統和數據備份E:安全審計A,B,C,D85 .目前，我國在對信

25、息系統進行安全等級保護時，劃分了5個級別，包括oA:?？乇Ｗo級B:強制保護級C:監(jiān)督保護級D:指導保護級E:自主保護級A,B,C,D,E86 .下列因素，會對最終的風險評估結果產生影響。A:管理制度B:資產價值C:威脅D:脆弱性E:安全措施B,C,D,E87 .下列因素與資產價值評估有關。A:購買資產發(fā)生的費用B:軟硬件費用C:運行維護資產所需成本D:資產被破壞所造成的損失E:人工費用A,C,D88 .安全控制措施可以分為。A:管理類B:技術類C:人員類D:操作類E:檢測類A,B,D89 .信息安全技術根據信息系統自身的層次化特點，也被劃分了不同的層次，這些層次包括0A:物理層安全B:人員安全

26、C:網絡層安全D:系統層安全E:應用層安全A,C,D,E90 .在BS7799中，訪問控制涉及到信息系統的各個層面，其中主要包括。A:物理訪問控制B:網絡訪問控制C:人員訪問控制D:系統訪問控制E:應用訪問控制A,B,D,E91 .關于入侵檢測和入侵檢測系統，下述正確的選項是oA:入侵檢測收集信息應在網絡的不同關鍵點進行B:入侵檢測的信息分析具有實時性C:基于網絡的入侵檢測系統的精確性不及基于主機的入侵檢測系統的精確性高D:分布式入侵檢測系統既能檢測網絡的入侵行為，又能檢測主機的入侵行為E:入侵檢測系統的主要功能是對發(fā)生白入侵事件進行應急響應處理A,B,C,E92 .計算機信息網絡國際聯網安全

27、保護管理辦法規(guī)定，任何單位和個人不得制作、復制、發(fā)布、傳播的信息內容有。A:損害國家榮譽和利益的信息B:個人通信地址C:個人文學作品D:淫穢、色情信息E:侮辱或者誹謗他人，侵害他人合法權益的信息A,D,E93 .基于角色對用戶組進行訪問控制的方式有以下作用：。A:使用戶分類化B:用戶的可管理性得到加強C:簡化了權限管理，避免直接在用戶和數據之間進行授權和取消D:有利于合理劃分職責E:防止權力濫用C,D,E94 .有多種情況能夠泄漏口令，這些途徑包括oA:猜測和發(fā)現口令B:口令設置過于復雜C:將口令告訴別人D:電子監(jiān)控E:訪問口令文件A,C,D,E95 .在局域網中計算機病毒的防范策略有。A:僅

28、保護工作站B:保護通信系統C:保護打印機D:僅保護服務器E:完全保護工作站和服務器A,D,E96 .根據IS0定義，信息安全的保護對象是信息資產，典型的信息資產包括。A:硬件B:軟彳C:人員D:數據E:環(huán)境B,C97 .治安管理處罰法規(guī)定，行為，處5日以下拘留；情節(jié)較重的，處5日以上10日以下拘留。A:違反國家規(guī)定，侵入計算機信息系統，造成危害的B:違反國家規(guī)定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行的C:違反國家規(guī)定，對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的D:故意制作、傳播計算機病毒等破壞性程序，影口向計算機信息系統正

29、常運行的A,B,C,D98 .網絡入侵檢測系統，既可以對外部黑客的攻擊行為進行檢測，也可以發(fā)現內部攻擊者的操作行為，通常部署在。A:關鍵服務器主機B:網絡交換機的監(jiān)聽端口C:內網和外網的邊界D:桌面系統E:以上都正確B,C99 .IPSec是網絡層典型的安全協議，能夠為IP數據包提供安全服務。A:保密性B:完整性C:不可否認性D:可審計性E:真實性A,B,E100 .信息安全策略必須具備屬性。A:確定性B:正確性C:全面性D:細致性E:有效性A,C,E83 .與計算機有關的違法案件，要,以界定是屬于行政違法案件，還是刑事違法案件。A:根據違法行為的情節(jié)和所造成的后果進行界定B:根據違法行為的類別進行界定C:根據違法行為人的身份進行界定D:根據違法行為所違反的法律規(guī)范來界定A,B,D84 .互聯網服務提供者和聯網使用單位應當落實的互聯網安全保護技術措施包括。A:防范計算機病毒、網絡入侵和攻擊破壞等危害網絡安全事項或者行為的技術措施B:重要數據庫和系統主要設備的冗災備份措施C:記錄并留存用戶登錄和退