当前位置：文档库 › 信息安全管理体系内审员考试试题

信息安全管理体系内审员考试试题

一、单项选择题（每题1 分，共15 分）从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（）中。

1．ISO/IEC 27001 从的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。a）客户安全要求b）组织整体业务风险c）信息安全法律法规d）以上都不对2．组织声称符合ISO/IEC 27001 时，的要求可删减a）第4 章b）第5 章c）第7 章d）附录A 3．审核准则是指

a）一组方针、程序或要求b）一组能够证实的记录、事实陈述或其他信息

c）一组约束审核行为的规范d）以上都不对

4．审核计划

a）应由受审核方确认，可适当调整b）一经确定，不能改动c）受审核方可随意改动d）以上都不对

（）5．以下哪一种描述不适合信息安全管理体系？

a）是指国家对各重要信息系统实施信息安全管理的行政管理结构

b）是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的

c）建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要素

d）包括信息安全管理机构、体系文件及相关资源等要素

（）6．信息安全管理体系要求ISO/IEC27001 属于标准？a）词汇类标准b）指南类标准c）要求类标准d）相关类标准

（）7．现场跟踪验证a）只适用于一般不符合项b）只适用于严重不符合项c）只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d）以上都不对

（）8．负责审核计划、协调审核活动并在审核活动中领导审核活动？a）审核小组成员b）信息安全经理c）审核小组组长d）以上都不是（）

9．下面哪一个不是信息安全管理体系审核的依据？a）ISO/IEC27001 b）ISMS 文件c）信息安全专家建议d）相关法律法规

（）10．审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为a）第一方审核b）第二方审核c）第三方审核d）以上都不对

（）11．组织通过信息安全管理体系认证则a）表明组织已不存在不符合项b）表明体系具备保护组织信息资产的能力c）表明组织已达到了其信息安全目标d）以上都不对

（）12．对于ISMS 审核组而言，以下哪一种要求不是必须的？a）信息安全的理解b）从业务角度对风险评估和风险管理的理解

c）被审核活动的技术知识d）以上都不对（）13．信息安全管理体系认证a）应审核ISMS 范围内的所有部门和所有人员b）指导受审核方改进的过程c）寻找不符合项的过程d）可为受审核方提供控制措施的实施建议（）14．下列哪个要素可以不作为ISMS 审核时间判断的依据？a）ISMS 的复杂度b）高层管理者对信息安全问题的重视程度c）ISMS 范围内执行的业务的类型d）适用于认证的标准和法规（）15．在认证过程中，“根据审核报告，确定纠正措施”是的职责。a）审核组长b）审核组c）受审核方d）以上都不对

二、多项选择题（每题2 分，共10 分）从以下每题的答案中选择一个或多个你认为合适的，并将答案代号填入（）中。

（）1．ISMS 第1 阶段审核的目的是a）获取对组织信息安全管理体系的了解和认识b）了解客户组织的审核准备状态c）为计划 2 阶段审核提供重点d）确认组织的信息安全管理体系符合标准或规范性文件的所有要求

（）2．按照审核的先后顺序划分，审核包括

a）第一阶段审核b）第二阶段审核c）监督审核d）再认证审核

（）3．审核方案和审核计划的区别包括a）范围不同b）制定者不同c）实施者不同d）内容不同（）4．以下属于审核组长的职责。a）确定审核的需要和目的b）组织编制现场审核有关的工作文件c）主持首末次会议和审核组会议d）代表审核方与受审核方领导进行沟通（）5．审核计划中应涵盖a）本次及其后续审核的时间安排b）审核准则c）审核组成员及分工d）审核的日程安排三、判断题（每题1

分，共10 分）下列各题中，你认为正确的在（）中划“√”，错误的划“×”。（）1．纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。（）2．因信息安全问题在任何组织中都可能存在，所以组织在实施ISMS 时，不能删减标准中任何安全控制措施的条款。（）3．信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）4．记录可提供符合信息安全管理体系要求和有效运行的证据。（）5．资产越重要，其安全风险值就越大。（）6．信息安全管理体系审核组内必须有一名技术专家，提供信息安全的专门知识。（）7．审核证据是指与审核有关的，并且能够证实的记录、事实陈述或其他信息。（）8．审核报告的内容必须与末次会议的内容基本一致。（）9．现场审核过程中，受审核方为审核组配备的向导可参与审核的全过程，但不能对受审核人员的回答做出澄清或提供帮助。（）10．审核组长在末次会议中应该对受审核方是否通过认证给出结论。四、简答题（每题5 分，共15 分）1．管理者在信息安全管理体系的建立和实施过程中起到关键的作用，请指出ISO27001：2005 中哪些条款体现了“管理者的作用”，至少举出2 个条款并简要说明。

五、阐述题（每题10 分，共20 分）1．如何依据ISO/IEC 27001:2005 审核A.8.3，组织应确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。

2．在某公司人事部，审核员向人力资源部负责人了解培训情况时得知，公司负责网络安全 6 的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成绩及证书，该负责人说，证书他们自己保存，我们替他们保存反而不方便。培训成绩在培训机构，你们要看的话，我打电话联系，让他们发过来。审核员同意，并查阅了发过来的成绩，由于成绩合格，审核员表示满意，并结束了培训的审核。这样的审核是否符合要求？为什么？如果请您去审核，您会怎么做？

六、案例分析题（每题6 分，共30 分）请根据所述情况判断：如能判断有不符合项，请写出不符合ISO27001：2005 标准的条款号、内容和严重程度，并写出不符合事实，如提供的证据不能足以判断有不符合项时，请写出进一步审核的思路。判分标准：不符合和内容2 分，不符合事实描述2 分，不符合的严重程度 2 分。1．审核员在某公司机房查阅Web 服务器日志时发现，该服务器经常重启，管理人员说，这台服务器在刚买回来时，还没有问题，但最近几天经常死机，我们跟服务器提供商联系，但一直找不到对此负责的人。2．某公司的体系文件中包含《信息安全事件管理程序》，审核员在询问某员工在信息安全7 事件管理中的职责时，该员工说：“我们没有发生过信息安全事件，所以也没有人让我们去看这个程序，更不知道有什么职责了。”3．审核员在某公司的体系文件中看到了对技术脆弱性的控制要求，询问信息安全管理部长该控制措施的实施情况时，部长回答，我们已经制定了实施策略，但由于资金一直没有到位，所以还没有购买系统审计软件。4．某公司在内部审核时，针对不同部门，组成审核组。在对技术开发部进行审核时，由信8 息安全部经理任审核组长，技术开发部副经理和运营部副经理任组员，因为他们两个对技术部的工作流程、业务和人员等最为了解。5．创新公司的网络接入服务由互联网专业提供商提供，为了防止网络安全问题，他们签订了服务提供协议，规定了必要的安全安排、服务水准等事宜。互联网专业提供商为提高服务级别，采用了新的技术，并通知了创新公司，创新公司认为既然是新技术，肯定比原来的要好，没有采取任何行动。但由于互联网专业提供商的技术兼容问题，出现了网络中断，导致了创新公司的业务中断。

信息安全试题及答案45094

信息安全试题（1/共3）一、单项选择题（每小题2分，共20分） 1．信息安全的基本属性是＿＿＿。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A，B，C都是 2．假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于＿＿＿。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3．密码学的目的是＿＿＿。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4．A方有一对密钥（K A公开，K A秘密），B方有一对密钥（K B公开，K B秘密），A方向B方发送数字签名M，对信息 M加密为：M’= K B公开（K A秘密（M））。B方收到密文的解密方案是＿＿＿。 A. K B公开（K A秘密（M’）） B. K A公开（K A公开（M’）） C. K A公开（K B秘密（M’）） D. K B秘密（K A秘密（M’）） 5．数字签名要预先使用单向Hash函数进行处理的原因是＿＿＿。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是＿＿。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7．防火墙用于将Internet和内部网络隔离＿＿＿。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8．PKI支持的服务不包括＿＿＿。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9．设哈希函数H有128个可能的输出(即输出长度为128位)，如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5，则k约等于＿＿。 A．2128 B．264 C．232 D．2256

信息安全技术试题答案全面

信息安全技术试题及答案信息安全网络基础：一、判断题 1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 4. 计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 8. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√ 9. 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 11. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 12. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 容灾与数据备份一、判断题 2. 数据备份按数据类型划分可以分成系统数据备份和用户数据备份。√ 3. 对目前大量的数据备份来说，磁带是应用得最广的介质。√ 7. 数据越重要，容灾等级越高。√ 8. 容灾项目的实施过程是周而复始的。√ 二、单选题 1. 代表了当灾难发生后，数据的恢复程度的指标是 2. 代表了当灾难发生后，数据的恢复时间的指标是 3. 容灾的目的和实质是 A. 数据备份 B.心理安慰 C. 保持信息系统的业务持续性 D.系统的有益补充 4. 容灾项目实施过程的分析阶段，需要进行 A. 灾难分析 B. 业务环境分析 C. 当前业务状况分析 D. 以上均正确 5. 目前对于大量数据存储来说，容量大、成本低、技术成熟、广泛使用的介质是一一一。 A.磁盘 B. 磁带 c. 光盘 D. 自软盘 6. 下列叙述不属于完全备份机制特点描述的是一一一。 A. 每次备份的数据量较大 B. 每次备份所需的时间也就校长 C. 不能进行得太频繁 D. 需要存储空间小

A. 灾难预测 B.灾难演习 C. 风险分析 D.业务影响分析 8、IBM TSM Fastback 是一款什么软件（） A、防病毒产品； B、入侵防护产品； C、上网行为管理产品； D、数据存储备份产品 9、IBM TSM Fastback产品使用的什么技术（ ) A、磁盘快照； B、文件拷贝； C、ISCSI技术； D、磁盘共享 12、IBM TSM Fastback产品DR（远程容灾）功能备份的是什么（） A、应用系统； B、本地备份的数据； C、文件系统； D、数据库三、多选题 1. 信息系统的容灾方案通常要考虑的要点有一一。 A. 灾难的类型 B. 恢复时间 C. 恢复程度 D. 实用技术 E 成本 2. 系统数据备份包括的对象有一一一。 A. 配置文件 B.日志文件 C. 用户文档 D.系统设备文件 3. 容灾等级越高，则一一一。 A. 业务恢复时间越短 C. 所需要成本越高 B. 所需人员越多 D. 保护的数据越重要 4、数据安全备份有几种策略（） A、全备份； B、增量备份； C、差异备份； D、手工备份 5、建立Disaster Recovery（容灾系统）的前提是什么（）多选 A、自然灾害（地震、火灾，水灾...)； B、人为灾害（错误操作、黑客攻击、病毒发作...) C、技术风险（设备失效、软件错误、电力失效...） 6、IBM TSM Fastback 可以支持数据库系统包括（）多选 A、M S SQL； B、Oracle； C、DB2； D、MY SQL 7、IBM TSM Fastback 可以支持的存储介质包括（） A、磁带介质； B、磁盘介质； C、磁带库； D、磁盘柜基础安全技术系统安全一、判断题防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机，但该防火墙不能检测或清除已经感染计算机的病毒和蠕虫√ 8. 数据库管理员拥有数据库的一切权限。√ 9. 完全备份就是对全部数据库数据进行备份。√ 二、单选题系统的用户帐号有两种基本类型，分别是全局帐号和

信息安全管理试题集

信息安全管理－试题集判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×）注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×）注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×）注释：共3种计算机犯罪，但只有2种新的犯罪类型。单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D.

安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。

信息安全管理体系审核员注册准则

中国认证认可协会信息安全管理体系审核员注册准则第1版文件编号：CCAA－141 发布日期：2012年6月19日 ?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则类别本准则为中国认证认可协会（CCAA）人员注册规范类文件。本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。本准则经CCAA批准发布。批准编制：CCAA日期：2012年5月10日批准：CCAA日期：2012年6月19日实施：CCAA 日期：2012年6月19日信息所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下：地址：北京市朝阳区朝外大街甲10号中认大厦13层邮编：100020 https://www.wendangku.net/doc/b11745406.html, email：pcc@https://www.wendangku.net/doc/b11745406.html, 版权 ?版权2012-中国认证认可协会

前言中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

《网络信息安全》试题D与答案

《网络信息安全》试题 D 一、填空题(20 空× 1 分=20分) 1. 根据攻击者是否直接改变网络的服务，攻击可以分为___被动攻击_____和_ 主动攻击_______。 2. 当ping 一台计算机时，如果TTL 值小于128，则该操作系统的类型一般是____windows____。 3. 密钥相同时加密变换与解密变换的复合变换是____恒等变换____。 4. 密码学的两个组成部分是___密码编码学_____和____密码分析学____。 5. 破解单字母替换密码常用的方法是____频率分析法____。 6. 同一内部网的不同组织机构间再建立一层防火墙，称为___内部防火墙_____。 7. 在内部网络和外部网络之间建立一个被隔离的子网，该子网称为非军事区。 8. IDS 是____ Intrusion Detection System ____ 的简写。 9. IDS 的两个指标：___漏报率_____和__误报率______。 10. 根据采用的检测技术，IDS 可分为____异常检测____与___误用检测_____。 11. 蜜网是由___蜜罐主机____、____防火墙____、____IDS____等组成。 12. IPSec将两个新包头增加到IP包，这两个报头是___AH_____与____ESP____。 13. PKI 的体系结构一般为____树状____结构。二、选择题(20 空× 1 分=20分) 1. 用户收到了一封可疑的电子邮件，要求用户提供银行账户及密码，这属于何种攻击手段___B____。 A. 缓存溢出攻击 B. 钓鱼攻击 C. 暗门攻击 D. DDOS 攻击 2. 下列不属于系统安全技术的是__B_____。 A. 防火墙 B. 加密狗 C. 认证 D. 防病毒 3. DES 是一种以块为单位进行加密，一个数据块的大小是____B___。 A. 32 位 B. 64 位 C. 128 位 D. 256 位 4. 有一主机专门被用作内部网和外部网的分界线。该主机里有两块网卡，分别连接到两个网络。防火墙内外的系统都可以与这台主机通信，但防火墙两边的系统不能直接通信，这是___C____防火墙。 A. 屏蔽主机式体系结构 B. 筛选路由式体系结构 C. 双宿网关式体系结构 D. 屏蔽子网式体系结构 5. __B____是通过偷窃或分析手段来达到计算机信息攻击目的的，它不会导致对系统中所含信息的任何改动，而且系统的操作和状态也不被改变。 A. 主动攻击 B. 被动攻击 C. 黑客攻击 D. 蠕虫病毒 6. 关于安全审计目的描述错误的是__D______。 A. 识别和分析未经授权的动作或攻击 B. 记录用户活动和系统管理

信息安全技术试题答案A

信息安全技术教程习题及答案第一章概述一、判断题 1。信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2。计算机场地可以选择在公共区域人流量比较大的地方。× 3。计算机场地可以选择在化工厂生产车间附近.× 4。计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。× 6。只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。× 7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。√ 8. 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播.√ 9。屏蔽室的拼接、焊接工艺对电磁防护没有影响.× 10. 由于传输的内容不同，电力线可以与网络线同槽铺设。× 11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√ 12。新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 13.TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√ 14. 机房内的环境对粉尘含量没有要求.× 15. 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。√ 16。有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 17. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 二、单选题 1. 以下不符合防静电要求的是 A。穿合适的防静电衣服和防静电鞋 B. 在机房内直接更衣梳理 C。用表面光滑平整的办公家具 D. 经常用湿拖布拖地 2。布置电子信息系统信号线缆的路由走向时,以下做法错误的是 A. 可以随意弯折 B. 转弯时,弯曲半径应大于导线直径的 10 倍 C。尽量直线、平整 D. 尽量减小由线缆自身形成的感应环路面积 3。对电磁兼容性 (Electromagnetic Compatibility，简称 EMC）标准的描述正确的是 A. 同一个国家的是恒定不变的 B. 不是强制的 C。各个国家不相同 D. 以上均错误 4。物理安全的管理应做到 A. 所有相关人员都必须进行相应的培训，明确个人工作职责 B。制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况 C。在重要场所的迸出口安装监视器，并对进出情况进行录像

信息安全管理练习题

信息安全管理练习题-2014 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×）注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×）注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×）注释：共3种计算机犯罪，但只有2种新的犯罪类型。单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（C）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（C）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（D）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（B）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（A）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施

信息安全技术题库及答案(全部)最新版本

防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。正确基于网络的漏洞扫描器由组成。abcde A、漏洞数据库模块 B、用户配置控制台模块 C、扫描引擎模块 D、当前活动的扫找知识库模块 E、结果存储器和报告生成工具基于内容的过滤技术包括。A、内容分级审查B、关键字过滤技术C、启发式内容过滤技？？加密技术是信息安全技术的核心。对完全备份就是全部数据库数据进行备份。正确纸介质资料废弃应用啐纸机粉啐或焚毁。正确权限管理是安全管理机制中的一种。正确信息安全技术教程习题及答案第一章概述一、判断题 1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2. 计算机场地可以选择在公共区域人流量比较大的地方。× 3. 计算机场地可以选择在化工厂生产车间附近。× 4. 计算机场地在正常情况下温度保持在18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。× 6. 只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。× 7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。√ 8. 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。√ 9. 屏蔽室的拼接、焊接工艺对电磁防护没有影响。× 10. 由于传输的内容不同，电力线可以与网络线同槽铺设。× 11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√ 12. 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记,以防更换和方便查找赃物。√ 13.TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√ 14. 机房内的环境对粉尘含量没有要求。× 15. 防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。√

信息安全技术试题答案

信息安全技术教程习题及答案信息安全试题（1/共3）一、单项选择题（每小题2分，共20分） 1．信息安全的基本属性是＿＿＿。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A，B，C都是 2．假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于＿＿＿。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3．密码学的目的是＿＿＿。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4．A方有一对密钥（K A公开，K A秘密），B方有一对密钥（K B公开，K B秘密），A方向B方发送数字签名M，对信息M加密为：M’= K B 公开（K A秘密（M））。B方收到密文的解密方案是＿＿＿。 A. K B公开（K A秘密（M’）） B. K A公开（K A公开（M’）） C. K A公开（K B秘密（M’）） D. K B秘密（K A秘密（M’）） 5．数字签名要预先使用单向Hash函数进行处理的原因是＿＿＿。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是＿＿。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7．防火墙用于将Internet和内部网络隔离＿＿＿。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8．PKI支持的服务不包括＿＿＿。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9．设哈希函数H有128个可能的输出(即输出长度为128位)，如果H的k个随机输入中至少有两个产生相同输出的概率大于，则k约等于＿＿。 A．2128 B．264 C．232 D．2256

网络与信息安全习题集及答案

《网络与信息安全》综合练习题一．选择题 1．以下对网络安全管理的描述中，正确的是（）。 A）安全管理不需要对重要网络资源的访问进行监视。 B）安全管理不需要验证用户的访问权限和优先级。 C）安全管理的操作依赖于设备的类型。 D）安全管理的目标是保证重要的信息不被未授权的用户访问。 2．以下有关网络管理功能的描述中，错误的是（）。 A）配置管理是掌握和控制网络的配置信息。 B）故障管理是对网络中的故障进行定位。 C）性能管理是监视和调整工作参数，改善网络性能。 D）安全管理是使网络性能维持在较好水平。 3．有些计算机系统的安全性不高，不对用户进行验证，这类系统的安全级别是（）。 A）D1 B）A1 C）C1 D）C2 4．Windows NT操作系统能够达到的最高安全级别是（）。 A）C1 B）C2 C）D1 D）D2 5．下面操作系统能够达到C2安全级别的是（）。 Ⅰ.Windows 3.x Ⅱ.Apple System 7.x Ⅲ.Windows NT Ⅳ.NetWare3.x A）Ⅰ和Ⅲ B）Ⅱ和Ⅲ C）Ⅱ和Ⅳ D）Ⅲ和Ⅳ 6．计算机系统处理敏感信息需要的最低安全级别是（）。 A）D1 B）C1 C）C2 D）B1 7．计算机系统具有不同的安全级别，其中Windows 98的安全等级是（）。 A）B1 B）C1 C）C2 D）D1 8.计算机系统具有不同的安全等级，其中Windows NT的安全等级是（）。 A）B1 B）C1 C）C2 D）D1 9.网络安全的基本目标是实现信息的机密性、合法性、完整性和_________。 10．网络安全的基本目标是保证信息的机密性、可用性、合法性和________________。11．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意添加和修改。

2019年计算机等级考试三级信息安全技术模拟试题精选

2019年计算机等级考试三级信息安全技术模拟试题精选 (总分：87.00，做题时间：90分钟) 一、单项选择题 (总题数：87，分数：87.00) 1.代表了当灾难发生后，数据的恢复程度的指标是（分数：1.00） A.RPO √ B.RTO C.NRO D.SDO 解析： 2.代表了当灾难发生后，数据的恢复时间的指标是（分数：1.00） A.RPO B.RTO √ C.NRO D.SD0 解析： 3.我国《重要信息系统灾难恢复指南》将灾难恢复分成了（）级。（分数：1.00） A.五 B.六√ C.七 D.八解析： 4.容灾的目的和实质是（分数：1.00）

A.数据备份 B.心理安慰 C.保持信息系统的业务持续性√ D.系统的有益补充解析： 5.目前对于大量数据存储来说，容量大、成本低、技术成熟、广泛使用的介质是（分数：1.00） A.磁盘 B.磁带√ C.光盘 D.自软盘解析： 6.下列叙述不属于完全备份机制特点描述的是（分数：1.00） A.每次备份的数据量较大 B.每次备份所需的时间也就校长 C.不能进行得太频繁 D.需要存储空间小√ 解析： 7.下面不属于容灾内容的是（分数：1.00） A.灾难预测√ B.灾难演习 C.风险分析 D.业务影响分析解析： 8.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的（）属性。（分数：1.00）

A.保密性 B.完整性√ C.不可否认性 D.可用性解析： 9.PDR安全模型属于（）类型。（分数：1.00） A.时间模型√ B.作用模型 C.结构模型 D.关系模型解析： 10.《信息安全国家学说》是（）的信息安全基本纲领性文件。（分数：1.00） A.法国 B.美国 C.俄罗斯√ D.英国解析： 11.下列的（）犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。（分数：1.00） A.窃取国家秘密√ B.非法侵入计算机信息系统 C.破坏计算机信息系统 D.利用计算机实施金融诈骗解析： 12.我国刑法（）规定了非法侵入计算机信息系统罪。（分数：1.00） A.第284条

信息安全管理练习题

-2014 信息安全管理练习题判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×）注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×）注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×）注释：共3种计算机犯罪，但只有2种新的犯罪类型。单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（ A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（ A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施，

信息安全管理体系审核检查表

信息安全管理体系审核指南标准要求的强制性ISMS文件

审核重点第二阶段审核： a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何： ●定义风险评估方法(参见4.2.1 c) ●识别安全风险(参见4.2.1 d)) ●分析和评价安全风险(参见4.2.1 e) ●识别和评价风险处理选择措施(参见的4.2.1 f) ●选择风险处理所需的控制目标和控制措施(参见4.2.1 g)) ●确保管理者正式批准所有残余风险(参见4.2.1 h) ●确保在ISMS实施和运行之前，获得管理者授权(参见的4.2.1 i)) ●准备适用性声明(参见4.2.1 j) b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位)，至少包括： ●ISMS监视与评审(依照4.2.3监视与评审ISMS”条款) ●控制措施有效性的测量(依照 4.3.1 g) ●内部ISMS审核(依照第6章“内部ISMS审核”) ●管理评审(依照第7章“ISMS的管理评审”) ●ISMS改进(依照第8章“ISMS改进”)。 c) 检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位)，依照条款包括： ●4.2.3监视与评审ISMS ●第7章“ISMS的管理评审”。 d) 检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位)，依照条款包括： ●4.2.3监视与评审ISMS ●5 管理职责 ●7 ISMS的管理评审 e) 检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何连带关系 (也参见本文第8章“过程要求的符合性审核”)。监督审核： a) 上次审核发现的纠正/预防措施分析与执行情况； b) 内审与管理评审的实施情况； c) 管理体系的变更情况； d) 信息资产的变更与相应的风险评估和处理情况； e) 信息安全事故的处理和记录等。再认证审核： a) 检验组织的ISMS是否持续地全面地符合ISO/IEC 27001:2005的要求。 b) 评审在这个认证周期中ISMS的实施与继续维护的情况，包括： ●检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、维护和改进； ●评审ISMS文件和定期审核(包括内部审核和监督审核)的结果； ●检查ISMS如何应对组织的业务与运行的变化； ●检验管理者对维护ISMS有效性的承诺情况。

信息安全期末考试题库及答案

题库一、选择 1. 密码学的目的是（C）。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 2. 从攻击方式区分攻击类型，可分为被动攻击和主动攻击。被动攻击难以（C），然而（C）这些攻击是可行的；主动攻击难以（C），然而（C）这些攻击是可行的。 A. 阻止,检测,阻止,检测 B. 检测,阻止,检测,阻止 C. 检测,阻止,阻止,检测 D. 上面3项都不是 3. 数据保密性安全服务的基础是（D）。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 4. 数字签名要预先使用单向Hash函数进行处理的原因是（C）。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 5. 基于通信双方共同拥有的但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是（C）。 A. 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证 6. 为了简化管理，通常对访问者（A），以避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C. 按访问时间排序，删除长期没有访问的用户 D. 不作任何限制 7. PKI管理对象不包括（A）。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 8. 下面不属于PKI组成部分的是（D）。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 9. IKE协商的第一阶段可以采用（C）。 A. 主模式、快速模式 B. 快速模式、积极模式 C. 主模式、积极模式 D. 新组模式 10．AH协议和ESP协议有（A）种工作模式。 A. 二 B. 三 C. 四 D. 五 11. （C）属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 12. 包过滤型防火墙原理上是基于（C）进行分析的技术。

信息安全复习题(含答案)

信息安全复习题一、多选题 1. 在互联网上的计算机病毒呈现出的特点是____。ABCD A 与因特网更加紧密地结合，利用一切可以利用的方式进行传播 B 所有的病毒都具有混合型特征，破坏性大大增强 C 因为其扩散极快，不再追求隐蔽性，而更加注重欺骗性 D 利用系统漏洞传播病毒 E 利用软件复制传播病毒 2. 全国人民代表大会常务委员会《关于维护互联网安全的决定》规定，利用互联网实施违法行为，尚不构成犯罪的，对直接负责的主管人员和其他直接责任人员，依法给予____或者____。AB A 行政处分 B 纪律处分 C 民事处分 D 刑事处分 3. 《计算机信息网络国际联网安全保护管理办法》规定，任何单位和个人不得从事下列危害计算机信息网络安全的活动____。ABCD A 故意制作、传播计算机病毒等破坏性程序的 B 未经允许，对计算机信息网络功能进行删除、修改或者增加的 C 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的 D 未经允许，进入计算机信息网络或者使用计算机信息网络资源的 4. 用于实时的入侵检测信息分析的技术手段有____。AD A 模式匹配 B 完整性分析 C 可靠性分析 D 统计分析 E 可用性分析 214. 《互联网上网服务营业场所管理条例》规定，____负责互联网上网服务营业场所经营许可审批和服务质量监督。ABC A 省电信管理机构 B 自治区电信管理机构 C 直辖市电信管理机构

D 自治县电信管理机构 E 省信息安全管理机构 5. 《互联网信息服务管理办法》规定，互联网信息服务提供者不得制作、复制、发布、传播的信息内容有。ADE A 损害国家荣誉和利益的信息 B 个人通信地址 C 个人文学作品 D 散布淫秽、色情信息 E 侮辱或者诽谤他人，侵害他人合法权益的信息 6. 《计算机信息系统安全保护条例》规定，____由公安机关处以警告或者停机整顿。ABCDE A 违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的 B 违反计算机信息系统国际联网备案制度的 C 有危害计算机信息系统安全的其他行为的 D 不按照规定时间报告计算机信息系统中发生的案件的 E 接到公安机关要求改进安全状况的通知后，在限期内拒不改进的 7. 与计算机有关的违法案件，要____，以界定是属于行政违法案件，还是刑事违法案件。ABD A 根据违法行为的情节和所造成的后果进行界定 B 根据违法行为的类别进行界定 C 根据违法行为人的身份进行界定 D 根据违法行为所违反的法律规范来界定 8. 对于违法行为的行政处罚具有的特点是____。ABCD A 行政处罚的实施主体是公安机关 B 行政处罚的对象是行政违法的公民、法人或其他组织 C 必须有确定的行政违法行为才能进行行政处罚 D 行政处罚具有行政强制性 9.___是行政处罚的主要类别。ABCDE A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚 E 责令作为与不作为罚 10. 互联网服务提供者和联网使用单位应当落实的互联网安全保护技术措施包括____ ABCD A 防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施 B 重要数据库和系统主要设备的冗灾备份措施

信息安全管理体系ISMS真题-案例分析及参考答案

ISMS信息安全技术真题案例分析参考答案试题一（25分）阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】某市电力公司准备在其市区及各县实施远程无线抄表系统，代替人工抄表。经过考察，电力公司指定了国外的S公司作为远程无线抄表系统的无线模块提供商，并选定本市F智能电气公司作为项目总包单位，负责购买相应的无线模块，开发与目前电力运营系统的接口，进行全面的项目管理和系统集成工作。F公司的杨经理是该项目的项目经理。在初步了解用户的需求后，F公司立即着手系统的开发与集成工作。5个月后，整套系统安装完成，通过初步调试后就交付用户使用。但从系统运行之日起，不断有问题暴露，电力公司要求F公司负责解决。可其中很多问题，比如数据实时采集时间过长、无线传输时数据丢失，甚至有关技术指标不符合国家电表标准等等，均涉及到无线模块。于是杨经理同S公司联系并要求解决相关技术问题，而此时S公司因内部原因退出中国大陆市场。因此，系统不得不面临改造。【问题1】（6分）请用300字以内文字指出F公司在项目执行过程中有何不妥。【问题2】（9分）风险识别是风险管理的重要活动。请简要说明风险识别的主要内容并指出选用S公司无线模块产品存在哪些风险？【问题3】（10分）请用400字以内文字说明项目经理应采取哪些办法解决上述案例中的问题。参考答案： [问题一] 请用300字以内文字指出F公司项目执行过程中有何不妥。答案： 1. 没有建立完善的项目管理体系或制定合理的项目管理计划并遵照执行。 2. 需求开发与需求管理不规范，没有严格进行需求定义与验证，也没有形成书面的《系统需求规格说明书》。 3. 缺乏全面的质量管理，缺少完整的测试计划和测试活动，没有系统的验收标准或验收流程不规范。 4. 整个开发过程缺乏用户参与，比如进行阶段式的验收，阶段性成果的签字确认。 5. 缺乏对分包商（S公司）的监督管理，尤其是对S公司无线模块产品的质量管理 6. 没有了解或咨询国家或行业的相关标准、技术规范。 7. 没有对项目进行可行性分析。 [问题二] 风险识别是风险管理的重要活动。请简要说明风险识别的主要内容并指出选用S 公司无线模块存在哪些风险？答案：风险识别是确定何种风险可能会对项目产生影响，并将这些风险的特征形成文件。

信息安全期末考试题库及答案

信息安全期末考试题库及答案 Newly compiled on November 23, 2020

C. 共享密钥认证 D. 口令认证 6. 为了简化管理，通常对访问者（A），以避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C. 按访问时间排序，删除长期没有访问的用户 D. 不作任何限制 7. PKI管理对象不包括（A）。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 8. 下面不属于PKI组成部分的是（D）。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 9. IKE协商的第一阶段可以采用（C）。 A. 主模式、快速模式 B. 快速模式、积极模式 C. 主模式、积极模式 D. 新组模式 10．AH协议和ESP协议有（A）种工作模式。 A. 二 B. 三 C. 四 D. 五 11. （C）属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 12. 包过滤型防火墙原理上是基于（C）进行分析的技术。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层

信息安全管理体系内审员考试试题

信息安全试题及答案45094

信息安全技术试题答案全面

信息安全管理试题集

信息安全管理体系审核员注册准则

《网络信息安全》试题D与答案

信息安全技术试题答案A

信息安全管理练习题

信息安全技术题库及答案(全部)最新版本

信息安全技术试题答案

网络与信息安全习题集 及答案

2019年计算机等级考试三级信息安全技术模拟试题精选

信息安全管理练习题

信息安全管理体系审核检查表

信息安全期末考试题库及答案

最新信息安全技术试题答案D

信息安全复习题(含答案)

信息安全管理体系ISMS真题-案例分析及参考答案

信息安全期末考试题库及答案

网络与信息安全习题集及答案