信息安全管理体系习题
信息安全管理体系培训
习
题
汇
编
目录
练习题一单项选择题 (1)
练习题二多项选择题 (19)
练习题三判断题 (27)
练习题四案例分析题 (29)
ISMS 测验一 (35)
ISMS 测验二 (49)
ISMS测验三 (52)
练习题一参考答案 (60)
练习题二参考答案 (61)
练习题三参考答案 (61)
练习题四参考答案 (62)
ISMS测验一参考答案 (63)
ISMS测验二参考答案 (64)
ISMS测验三参考答案 (64)
练习题一单项选择题
从下面各题选项中选出一个最恰当的答案,并将相应字母填在下表相应位置中。
1、ISMS文件的多少和详细程度取于D
(A)组织的规模和活动的类型(B)过程及其相互作用的复杂程度
(C)人员的能力(D) A+B+C
2、对于所釘拟定的纠正和预防措施,在实施前应通过(B )过程进行评审。
(A)薄弱环节识别(B)风险分析
(C)管理方案(D)A+C (E) A+B
3、组织机构在建立和评审ISMS时,应考虑(E )
(A)风险评估的结果(B)管理方案
(C)法律、法规和其它要求(D)A+B (E) A+C
4、ISMS管理评审的输出应包括(C )
(A)可能影响ISMS的任何变更
(B)以往风险评估没有充分强调的脆弱点或威胁
C)风险评估和风险处理计划的更新
(D)改进的建议
5、在信息安全管理中进行(B ),可以有效解决人员安全意识薄弱问题。
(A)内容监控(B)安全教育和培训
(C)责任追查和惩处(D)访问控制
6、经过风险处理后遗留的风险是( D )
(A)重大风险(B)有条件的接受风险
(C)不可接受的风险(D)残余风险
7、( A )是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。
(A)信息安全事态(B)信息安全事件
(C)信息安全事故(D)信息安全故障
8、系统备份与普通数据备份的不同在于,它不仅备份系统屮的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速(D)。
(A)恢复全部程序(B)恢复网络设置
(C)恢复所有数据(D)恢复整个系统
9、不属于计算机病毒防治的策略的是(D )
(A)确认您手头常备一张真正“干净”的引导盘
(B)及时、可靠升级反病毒产品
(C)新购置的计算机软件也要进行病毒检测
(D)整理磁盘
10、抵御电子邮箱入侵措施中,不正确的是( D)
(A)不用生日做密码(B)不要使用少于5位的密码
(C)不要使用纯数字(D)自己做服务器
1
11、不属于常见的危险密码是(D)
(A)跟用户名相同的密码(B)使用生日作为密码
(C)只有4位数的密码(D)10位的综合型密码
12、在每天下午5点使计算机结束时断开终端的连接属于(A)
(A)外部终端的物理安全(B)通信线的物理安全
(C)窃听数据(D)网络地址欺骗
13、不属于WEB服务器的安全措施的是(D)
(A)保证注册帐户的时效性(B)删除死帐户
(C )强制用户使用不易被破解的密码(D)所有用户使用一次性密码
14、1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859-1999,提出将信息系统的安全等级划分为(D)个等级,并提出每个级别的安全功能要求。
(A) 7 (B) 8 (C) 6 (D) 5
15、文件初审是评价受审方ISMS文件的描述与审核准则的(D )
(A)充分性和适宜性(B)有效性和符合性
(C)适宜性、充分性和有效性(D)以上都不对
16、在认证审核时,一阶段帝核是(C)
(A)是了解受审方ISMS是否正常运行的过程(B)是必须进行的
(C)不是必须的过程(D)以上都不准确
17、末次会议包括(D)
(A)请受审核方确认不符合报告、并签字(B)向审核方递交审核报告
(C)双方就审核发现的不同意见进行讨论(D)以上都不准确
18、审核组长在末次会议上宣布的审核结论是依据(E)得出的。
( A)审核目的( B)不符合项的严重程度
(C)所有的审核发现(D) A+B (E) A+B+C
19、将收集到的审核证据对照(C)进行评价的结果是审核发现。
(A)GB/T 22080标准(B)法律、法规要求
(C)审核准则(D)信息安全管理体系文件
20、审核准则有关的并且能够证实的记录、事实陈述或其他信息称为(B)
(A)信息安全信息(B)审核证据
(C)检验记录(D)信息源
21、现场审核吋间应该包括(B)
(A)文件评审时间(B)首、末次会议的时间
(C)编写审核报告的时间(D)午餐时间
22、在第三方认证审核时,(C)不是审核员的职责。
(A)实施审核(B)确定不合格项
(C)对发现的不合格项采取纠正措施
(D)验证受审核方所采取纠正措施的有效性
23、审核的工作文件包括(D)。
(A)检杳表(B)审核抽样计划
(C)信息记录表格(D) a+b+c
24、在市核中发现了正在使用的某个文件,这是(B)。
(A)审核准则(B)审核发现
(C)审核证据(D)車核结论
25、下列说法不正确的是(C)。
(A)审核组可以由一名或多名审核员组成
(B)至少配备一名经认可具有专业能力的成员
(C)实习审核员可在技术专家指导下承担审核任务
(D)审核组长通常由高级审核员担任
26、现场审核的结束是指(A)。
(A)末次会议结束(B)对不符合项纠正措施进行验证后
(C)发了经批准的审核报告时(D)监督审核结束
27、信息安全管理体系中提到的“资产责任人”是指:(C)
(A)对资产拥有财产权的人。(B)使用资产的人。
(C)有权限变更资产安全属性的人。(D)资产所在部门负责人。
28、组织应给予信息以适当级别的保护,是指:(B)
(A)应实施尽可能先进的保护措施以确保其保密性。
(B)应按信息对于组织业务的关键性给予充分和必要的保护。
(C)应确保信息对于组织内的所有员工可用。
(D)以上都对。
29、认证审核时,审核组应:(A)
(A)在审核前将审核计划提交受审核方确认。
(B)在审核结朿时将帘核计划提交受屯核方确认。
(C)随着审核的进展与受审核方共同确认审核计划。
(D)将审核计划提交审核委托方批准即可。
30、考虑设备安全是为了:(D )
(A)防止设备丢失、损坏带来的财产损失。
(B)有序保障设备维修时的备件供应。
(C)及时对设备进行升级和更新换代。
(D)控制资产的丢失、损坏、失窃、危及资产安全以及组织活动中断的风险。
31、信息处理设施的变更管理不包括:(D)
(A)信息处理设施用途的变更。
(B)信息处理设施故障部件的更换。
(C)信息处理设施软件的升级。
(D)以上都不对。
32、定期备份和测试信息是指:(C)
(A)每次备份完成吋对备份结果进行检査,以确保备份效采。
(B)对系统测试记录进行定期备份。
(C)定期备份,定期对备份数据的完整性和可用性进行测试。
(D)定期检查备份存储介质的容量。
33、一个组织或安全域内所有信息处理设施」;;已设精确时钟源同步是为了:(B
(A)便于针对使用信息处理设施的人员计算工时
(B)便于探测未经授权的信息处理活动的发生
(C)确保信息处理的及时性得到控制
(D)人员异地工作时统一作息时间。
34、第三方认证审核时,对于审核提出的不符合项,审核组应:(B )
(A)与受审核方共同评审不符合项以确认不符合的条款。
(B)与受审核方共同评审不符合项以确认不符合事实的准确性。
(C)与受审核方共同评审不符合以确认不符合的性质。
(D)以上都对。
35、为防止对网络服务的未授权访问,组织应:(A)
(A)制定安全策略,确保用户应仅能访问已获专门授权使用的服务。
(B)禁止内部人员访问互联网。
(C)禁止外部人员访问组织局域网。
(D)以上都对。
36、组织应进行安全需求分析,规定对安全控制的要求,由( D)
(A)组织需建立新的信息系统时;
(B)组织的原有信息系统扩容或升级时;
(C)组织向顾客交付软件系统时;
(D)A+B
37、确定资产的可用性要求须依据:(A )
(A)授权实体的需求。(B)信息系统的实际性能水平。
(C)组织可支付的经济成本。(D)最高管理者的决定。
38、残余风险是:(C)
(A)低于可接受风险水平的风险。(B)高于可接受风险水平的风险。
(C)经过风险处置后剩余的风险。(D)未经处置的风险。
39、国家对于经背性互联网信息服务实施:(B)
(A)备案制度。(B)许可制度。
(C)行政监管制度。(D)备案与行政监管相结合的管理制度。
40、网络路由控制应遵从:(C)
(A)端到端连接最短路径策略;
(B)信息系统应用的最佳效率策略;
(C)确保计算机连接和信息留不违反业务应用的访问控制策略;
(D)A+B+C0
41、认证审核初审时,可以不进行第一阶段现场审核的条件之一是:(B)
(A)审核组考虑时间效率可用一个阶段审核完成所有的审核准则要求。
(B)审核组长己充分了解受审核方的信息安全管理过程。
(C)受审核方认为一个阶段的审核能完成全部的审核要求。
(D)不允许第一阶段不进行现场审核的情况。
42、对于第三方服务提供方,以下描述正确的是:(B)
(A)为了监视和评审第三方提供的服务,第三方人员提供服务时应有人员全程陪同。
(B)应定期度量和评价第三方遵从商定的安全策略和服务水平的程度。
(C)第三方服务提供方应有符合ITIL的流程。
(D)第三方服务的变更须向组织呈报以备案。
43、为了确保布缆安全,以下正确的做法是:(D)
(A)使用同一电缆管道铺设电源电缆和通信电缆。
(B)网络电缆采用明线架设,以便于探查故障和维修。
(C)配线盘应尽量放置在公共可访问区域,以便于应急管理。
(D)使用配线标记和设备标记,编制配线列表。
44、针对获证组织扩大范围的审核,以下说法正确的是:(AC)
(A)可以和监督审核?起进行。(B)是监督审核的形式之一。
(C)一种特殊审核。(D)以上都对。
45、对于针对信息系统的软件包,以下说法正确的是:(B )
(A)组织应具有有能力的人员,以便随吋对软件包进行适出性修改。
(B)应尽量劝阻对软件包实施变更,以规避变更的风险。
(C)软件包不必作为配置项进行管理。
(D)软件包的安装必须由其开发商实施安装。
46、以下不属于信息安全事态或事件的是:(D)
(A)服务、设备或设施的丢失(B)系统故障或超负载
(C)物理安全要求的违规(D)安全策略变更的临时通知
47、以下可认定为审核范围变更的事项是:(D)
(A)受审核组织增加一个制造场所。(B)受审核组织职能单元和人员规模增加。
(C)受审核组织业务过程增加。(D) 以上全部。
48、在认证审核时,审核组在现场有权限自行决定变更的事项包括:(C)
(A)帘核准则(B)审核人日数
(C)审核路线(D)应受审核的业务过程
49、审核员的检查表应:(B )
(A)事先提交受审核方评审确认。
(B)基于审核准则事先编制。
(C)针对不同的受审核组织应统一格式和内容。
(D)由审核组长负责编制审核组使用的检查表。
50、以下属于信息安全管理体系审核发现的是(C )
(A)审核员看到的物理入口控制方式
(B)审核员看到的信息系统资源阈值
(C)审核员看到的移动介质的使用与安全策略的符合性
(D)审核员看到的项目质量保证活动与CMMI规程的符合性
51、审核组中的技术专家是:(A)
(A)为审核组提供文化、法律、技术等方面知识咨询的人员。
(B)特別负责对受审核方的专业技术过程进行审核的人员。
(C)审核期间为受审核方提供技术咨询的人员。
(D)从专业的角度对审核员的审核进行观察评价的人员。
52、审核人日数的计算方式是审核天数乘以:(C )
(A)审核组中审核员+实习审核员+技术专家+观察员的总人数
(B)审核组中审核员+实习审核员的总人数
(C)审核组中审核员的总人数
(D)审核组屮审核员+实审核员+技术专家的总人数
53、信息安全管理体系初次认证审核时,第一阶段审核应:(D )
(A)对受审核方信息安企管理体系的策划进行审核和评价,对应GB/T22080-2008的4.2.1条要求。
(B)对受审核方信息安全管理体系的内部审核及管理评审的有效性进行审核和评价。
(C)对受审核方信息安全管理体系文件的符合性、适宜性和有效性进行审核和评价。
(D)对受审核方信息安全管理体系文件进行审核和符合性评价。
54、按照“PDCA”思路进行审核,是指:( A)
(A)按照受审核区域的信息安全管理活动的"PDCA"过程进行审核。
(B)按照认证机构的“PDCA”流程进行审核。
(C)按照认可规范中规定的“PDCA”流程进行审核。
(D)以上都对。
55、关于审核结论,以下说法正确的是:(D)
(A)审核组综合了所有审核证据进行合理推断的结果。
(B)审核组综合了所有审核证据与受审核方充分协商的结果。
(C)审核组权衡了不符合的审核发现的数量及严重程度后得出的结果。
(D)审核组考虑了审核目的和所有审核发现后得出的审核结果。
56、第三方认证审核时确定审核范围的程序是:( B)
(A)组织提出、与审核组协商、认证机构确认、认证合同规定
(B)组织申请、认证机构评审、认证合同规定、审核组确认
(C)组织提出、与咨询机构协商、认证机构确认
(D)认证机构提出、与组织协商、审核组确认、认证合同规定
57、审核报告是:(C)
(A)受审核方的资产。(B)审核委托方和受审核方的共同资产。
(C)审核委托方的资产。(D)审核组和审核委托方的资产。
58、认证审核前,审核组长须与受审核方确认审核的可行性,特别应考虑:(A)
(A)核实组织申请认证范围内需接受审核的组织结构、场所分布等基本信息。
(B)注总审核的程序性安排事先应对受审核组织保密。
(C)注意审核拟访问的文件、记录、场所等事先应对受审核组织保密。
(D)要求受审核组织做好准备向审核组开放所有信息的访问权。
59、信息安全管理体系认证审核时,为了获取审核证据,应考虑的信息源为:(D )
(A)受审核方的办公自动化系统管理与维护相关的过程和活动。
(B)受审核方场所内已确定为涉及国家秘密的相关过程和活动。
(C)受审核方的核心财务系统的管理与维护相关的过程和活动。
(D)受审核方中请认证范_内的业务过程和活动。
60、认证审核时,审核组拟抽査的样本应:(B)
(A)山受审核方熟悉的人员事先选取,做好准备。
(B)由审核组明确总体并在受控状态下独立抽样。
(C)由审核组和受审核方人员协商抽样。
(D)由受审核方安排的向导实施抽样。
61、认证审核期间,当审核证据表明审核目的不能实现时,审核组应(D )
(A)—起讨论,决定后续措施。(B)审核组长权衡,决定后续措施。
(C)由受审核方决定后续措施。(D)报告审核委托方并说明理由,确定后续措施。
62、认证审核时,对于审核组提出的不符合审核准则的审核发现,以下说法正确的是(B)
(A)受审核方负责采取纠正措施,纠正措施的实施是审核活动的一部分。
(B)审核组须验证纠正措施的有效性,纠正措施的实施不是审核活动的一部分。
(C)审核组须就不符合项的原因分析提出建议,确定纠正措施是否正确。
(D)采取纠正措施是受审核方的职责,审核组什么都不做。
63、信息安全管理体系认证过程包含了:(D)
(A)现场审核首次会议开始到末次会议结束的所有活动。
(B)从审核准备到审核报告提交期间的所有活动。
(C)一次初审以及至少2次监督审核的所有活动。
(D)从受理认证到证书到期期间所有的审核以及认证服务和管理活动。
64、第三方认证时的监督审核不一定是对整个体系的审核,以下说法正确的是:(D)
(A)组织获得认证范围内的职能区域可以抽查,但标准条款不可以抽查。
(B)组织获得认证范围内的业务过程可以抽沓,但职能区域不可以抽杳。
(C)组织获得认证范围内的业务过程和职能区域都不可以抽查,仅标准条款可以抽杳。
(D)标准条款可以抽查,但针对内审和管理评审以及持续改进方面的审核不可缺少。
65、设立信息安全管理体系认证机构,须得到以下哪个机构的批准,方可在中国境内从事认证活动:( B )
(A)中国合格评定国家认可委员会
(B)屮国国家认证认可监督管理委员会
(C)中国认证认可协会
(D)工商注册管理部门
66、国家信息安全等级保护采取(A)
(A)自主定级、自主保护的原则。
(B)国家保密部门定级、自主保护的原则。
(C)公安部门定级、自主保护的原则。
(D)国家保密部门定级、公安部门监督保护的原则。
67、信息安全管埋体系是指:(C)
(A)信息系统设施(B)防火墙
(C)组织建立信息安全方针和目标并实现这些目标的体系
(D)网络维护人员的工作的集合
68、信息安全管理体系可以:(D)
(A)帮助组织实现信息安全目标(B)提供持续改进的框架
(C)向组织和顾客提供信任(D) a+b+c
69、系统的识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为:(D)
(A)管理的系统方法(B)信息安全管理体系方法
(C)过程方法(D)以事实为基础的决策方法
70、下列措施中,哪些是风险管理的内容:(D)
(A)识别风险(B)风险优先级评价
(C)风险化解(D)以上都是
71、与审核准则有关的并且能够证实的记录、事实陈述或其它信息称为:(A)
(A)审核证据(B)安全信息
(C)记录(D) a+b+c
72、选择的控制目标和控制措施、以及选择的原因应记录在下列那个文件中:(C)
(A)安全方针(B)风险评估报告
(C)适用性声明(D)风险处置计划
73、风险处置计划应该包含:(D
(A)管理措施(B)资源需求
(B)职责分配(D) a+b+c
74、实施第三方信息安全管理体系审核,主要是为了:(D)
(A)发现尽可能多的不符合项
(B)检测信息安全产品质量的符合性
(C)建立互利的供方关系
(D)证实组织的信息安全管理体系符合已确定的审核准则的程度要求
75、文件在信息安全管理体系中是一个必须的耍素,文件有助于:(CD)
(A)审核员进行文件审查(B)评价体系的有效性
(C)确保可追溯性(D) b+c
76、ISO/IEC 27001 是(AD)
(A)以信息安全为主题的管理标准(B)与信息安全相关的技术性标准
(C)编制业务连续性计划的指南(D)以上都不是
77、网页防篡改技术的0的是保护网页发布信息的:(B)
A)保密性(B)完整性
C)可用性(D)以上全部
78、标准GB/T22080中"物理安全周边”指的是:(D )
(A)组织的建筑物边界(B)计算机机房出入口
(C)组织的前台接待处(D)含有信息和信息处理设施的区域周边
79、标准GB/T22080中所措资产的价值取决于:(B)
A)资产的价格(B)资产对于业务的敏感程度
C)资产的折损率(D)以上全部
80、对一段时间内发生的信息安全事件类型、频次、处理成本的统计分析(A )
A)属于事件管理(B)属于问题管理
C)属于变更管理(D)属于配置管理
81、在组织的整体业务连续性管理过程中应考虑( A).
(A)信息安全的需求(B)问题管理的需求
(C)变更管理的需求(D)配置管理的需求
82、下面哪一种安全技术是鉴别用户身份的最好方法:(B )
A)智能卡(B)生物测量技术
(C)挑战-响应令牌(D)用户身份识别码和口令
83、最佳的提供本地服务器上的处理工资数据的访问控制是:(C)
(A)记录每次访问的信息
(B)对敏感的交易事务使用单独的密码/口令
(C)使用软件来约束授权用户的访问
(D)限制只有营业时间内才允许系统访问
84、当计划对组织的远程办公系统进行加密吋,应该首先冋答下面哪一个问题?(D)
(A)什么样的数据属于机密信息
(B)员工需要访问什么样的系统和数据
(C)需要什么样类型的访问
(D)系统和数据具有什么样的敏感程度
85、下面哪一种属于网络上的被动攻击(CD)
(A)消息总改(B)伪装
(C)拒绝服务(D)流量分析
86、虚拟专用网(VPN)提供以下哪一种功能?(B)
(A)对网络嗅探器隐藏信息(B)强制实施安全策略
(C)检测到网络错误和用户对网络资源的滥用(D)制定访问规则
87、在本地服务器上不启动动态主机配置协议(DHCP),可以:(A)
(A)降低未授权访问网络资源的风险(B)不适用于小型网络
(C)能自动分配IP地址(D)增加无线加密协议(WEP)相关的风险
练习题二多项选择题
从下面各题选项中选出两个或两个以上最恰当的答案,并将答案填在下表相应位置中。
1、在信息安全事件管理中,(AC)是所有员工应该完成的活动。
(A)报告安全方面的漏洞或弱点(B)对漏洞进行修补
(C)发现并报告安全事件(D)发现立即处理安全事件
2、信息系统安全保护法律规范的基本原则是(ACD
(A)谁主管谁负责的原则(B)全面管理的原则
(C)预防为主的原则(D)风险管理的原则
3、以下说法正确的是(AC )
(A)信息网络的物理安全要从环境安全和设备安全两个角度来考虑。
(B)计算机场地可以选择在化工厂生产车间附近。
(C)计算机场地在正常情况下温度保持在18~28摄氏度。
(D)机房供电线路和动力、照明用电可以用同一线路。
4、标准GB/T22080中“支持性设施”指的是:(ABCD )
(A)UPS电源(B)电力设施(C)空调系统(D)消防设施
5、信息安全的符合性检查包括:( ABC)
(A)法律法规符合性(B)技术标准符合性
(C)安全策略符合性(D)内部审核活动
6、基于风险的考虑,组织应予以管理的第三方服务的变更包括(ACD
(A)服务级别的变更(B)第三方后台服务流程的变更
(C)服务定义的变更(D)服务提供人员的变更
7、( ABCD )是建立有效的计算机病毒防御体系所需要的技术措施。
(A)防火墙(B)补丁管理系统(C)网络入侵检测(D)杀毒软件(E)漏洞扫描
8、审核范围的确定应考虑:( BCD)。
(A)组织的管理权限(B)组织的活动领域
(C)组织的现场区域(D)覆盖的时期
9、审核原则是审核员从事审核活动应遵循的基本要求,以下什么是审核员应遵循的原则(ABCD)
(A)道德行为(B)保守机密(C)公正表达(D)职业素如(E)独立性
10、根据国家发布的<认证及认证培训咨询人员管埋办法>规定,以下哪些人员不得在一个认证机构从事认证活动(ABCD)。
(A)已经在另外一个认证机构从事认证活动的人员
(B)国家公务员
(C)从事认证咨询活动的人员
(D)已经与认证咨询机构签订合同的认证咨询人员
11、信息安全管理体系认证审核的范围即(CD)。
(A)组织的全部经营管理范围。
(B)组织的全部信息安全管理范围。
(C)组织根据其业务、组织、位置、资产和技术等方面的特性确定信息安企管理体系范围。
(D)组织承诺按照GB/T 22080标准要求建立、实施和保持信息安全管理体系的范围。
12、为防止业务中断,保护关键业务过程免受信息系统失误或灾难的影响,应(ABD)。
(A)定义恢复的优先顺序;
(B)定义恢复时间指标;
(C)按事件管理流程进行处置;
(D)针对业务中断进行风险评估。
13、信息安全管理体系认证是:(ABC)。
(A)与信息安全管理体系有关的规定要求得到满足的证实活动。
(B)对信息系统是否满足有关的规定要求的评价。
(C)信息安全管理体系认证是合格评定活动的一种。
(D)是信息安全风险管理的实施活动。
14、以下符合“责任分割”原则的做法是:(BCD)。
(A)不同职级人员工作区域隔离。
(B)保持安全审核人员的独立性。
(C)授权者、操作者和监视者三者责任分离。
(D)事件报告人员与事件处理人员职责分离。
15、访问信息系统的用户注册的管理是:(AB)。
(A)对用户访问信息系统和服务的授权的管理。
(B)对用户予以注册时须同时考虑与访问控制策略的一致性。
(C)当I(D)资源充裕时可允许用户使用多个I(D)
(D)用户在组织内变换丁.作岗位吋不必重新评审其所用I(D)的访问权。
16、对于用户访问信息系统使用的口令,以下说法正确的是:(CD)。
(A)口令必须定期更换。
(B)同一工作组的成员可以共享口令。
(C)如果使用生物识别技术,可替代口令。
(D)如果使用智能卡鉴别技术,可替代U令。
17、可以通过使用适宜的加密技术实现的安全目标包括:(ABCD)。
(A)信息的保密性(B)信息的完整性
(C)信息的真实性(D)信息的抗抵赖性
18、信息安全管理体系审核的抽样过程是:( ACD)。
(A)调查性质的抽样。(B)验收性质的抽样。
(C)通过对样本的评价来推断总体。(D)有弃真的风险和取伪的风险。19、关于商用密码技术和产品,以下说法正确的是:(BCD)。
(A)任何组织不得随意进口密码产品,但可以出口商用密码产品。
(B)商用密码技术属于国家秘密。
(C)商用密码是对不涉及国家秘密的内容进行加密保护的产品。
(D)商用密码产品的用户不得转让其使用的商用密码产品。
20、可被视为可靠的电子签名须同时符合以下条件:(ABCD)。
(A)电子签名制作数据用于电子签名时,属于电子签名人专有。
(B)签署时电子签名制作数据仅由电子签名人控制。
(C)签署后对电子签名的任何改动能够被发现。
(D)签署后对数据电文内容和形式的任何改的那个能够被发现。
21、降低风险的处置措施可以是(AB)
(A)降低某项威胁发生的可能性(B)降低某项威胁导致的后果严重程度
(C)杜绝某项威胁的发生的可能性(D)杜绝威胁导致的后果
22、以下说法正确的是:(ABD)
(A)应考虑组织架构与业务目标的变化对风险评估结果进行再评审。
(B)应考虑以往未充分识别的威胁对风险评估结果进行再评审。
(C)制造部增加的生产场所对信息安全风险无影响。
(D)安全计划应适时更新。
23、信息系统审计需考虑:(AB)
(A)信息系统审计的控制措施(B)信息系统审计工具的保护
(C)技术符含性核查(D)知识产权
24、从安全的角度来看,能提前做好安全防范准备的组织,对安全事件的处理不恰当的是( ABD )
(A)较高的成本,较小的事件,较慢的恢复
(B)中等成本,中等的事件,屮等速度的恢复
(C)较低的成本,较小的事件,较快的恢复
(D)较高的成本,较大的事件,较快的恢复
25、使用电子通信设施进行信息交换的规程和控制宜考虑(ABCD)
(A)电子通信设施可接受使用的策略或指南
(B)检测和防止可能通过使用电子通信传输的恶意代码的规程
(C)维护数据的授权接受者的正式记录
(D)密码技术的使用
26、应用结束时终止活动的会话,除非采—种合造的锁定机制保证其安全,符合信息安全的(ABCD)措施(A)使用网络服务的策略(B)清空桌雨和屏幕策略
(C)无人值守的用P设备(D)使用密码的控制策略
27、在网络访问控制中,对外部连接的用户鉴别时,宜考虑:( ABD )
(A)回拨规程
(B)硬件令牌或询问
(C)使用回拨调制解调器控制措施,可以使用呼叫转发的网络服务
(D)基于密码技术的方法
28、关于口令管理系统,描述正确的有:( ABC)
(A)口令是确认用户具有访问计算机服务的授权的主要手段之一
(B)维护用户以前使用的口令的记录,并防止重复使用
(C)分开存储口令文件和应用系统数据
(D)不允许用户变更自己的口令
29、开发和支持过程中的安全,包括:( ABCD )
(A)变更控制规程(B)操作系统变更后应用的技术评审
(C)对程序源代码的访问控制(D)软件包变更的限制
30、对技术符合性进行核查,若使用渗透测试或脆弱性评估时:(ABC )
(A)测试宜预先计划,并形成文件(B)需要专业技术专家执行
(C)计划可重复执行(D)可以代替风险评估
31、在业务连续性管理过程中的关键要素包括:(BD)
(A)确保人员的安全、信息处理设施和组织财产得到保护
(B)定期测试和更新已有的计划和过程
(C)调整或增加访问控制措施
(D)识别关键业务过程中涉及的所有资产
32、对程序源代码访问控制的目的包括:(ABCD)
(A)避免无意识的变更(B)以减少潜在的计算机程序的破坏
(C)以防引入非授权功能(D)维护所有软件更新的版本控制
33、应用系统的设计与实施宜确保导致完整性损坏的处理故障的风险减至最小,要考虑的特定范围包括:(ABCD)
(A)确认系统生成的输入数据
(B)使用添加、修改和删除功能,以实现数据变更
(C)使用适当的规程恢复故障,以确保数据的正确处理
(D)防范利用缓冲区超出/益处进行的攻击
34、与信息处理或通信系统的问题有关的用户或系统程序所报告的故障进行处置,处置规则包括:(ABC)(A)评审纠正措施,以及所采取措施给予了充分的授权
(B)评审故障日志,以确保故障已得到令人满意的解决
(C)如果具有出错记录的系统功能,宜确保该功能处于开启状态
(D)评审纠正措施,以确保没有损害控制措施
练习题四案例分析题
请对以下场景进行分析,写出不符合标准条款的编号及内容,并写出不符合事实。
1、审査某知名网站的总部时,审核员来到公司陈列室发现任何客户可以随意进入,并且该陈列室中有5 台演示用的台式电脑可以连接外网和内网,现场有参观人员正在上网查询该公司网站的资料。
A11.4.6
2、市核员在审核公司设备和网络操作机房时发现,作为公司资料和数据的中心,中心有程序文件(GX28) 规定必须对进出机房人员进行控制,除授权工作人员可凭磁卡进出外,其余人员进出均须办理准入和登记手续。现场发现未经授权的人员张XX进出机器和网络操作机房,却没有任何登记记录,工作人员解释说是供应商正在调试网络设备。
A9.1.2
3、审核员扫描XX公司的网络,发现在用软件只有很少的计算机打了补丁程序,并且运行的操作系统上的多数软件是网络下载,多数是免费版本,现场管理人员认为下载的软件都是从知名网站上下载的,不会有问题。
4.2.1D3
4、xx银行在2008年一季度发生了10起开通网上转帐客户的资金损失事故,最后银行承认密码系统设计太简单,并赔偿客户损失。但在2008年4~5月又发生7起类似事故,系统管理说:“我们目前也没有办法,只能赔款了”。
A13.2.2
5、审核员在现场审核吋发现公司存有一份软件淸单,当询问淸单上所列的软件足否都是通过正规途径购买的软件,管理员回答有的是到正规商店,有的是通过网络购买的。
A10.2.1
6、审核员来到某软件开发公司进行审核时,来到计算机机房时发现,公司的服务器、数据库均在内,中心内部设置有前、后两个门,前门有门禁系统,只有授权人员凭门卡能进入,而后门则锁住了,当询问谁有钥匙,机房主管回答:前门口保安有。当来到前门门岗时,发现钥匙挂在保安办公室的钥匙箱内,而该钥匙箱没有锁,保安主管说:有需要的时候任何人可以打开取钥匙且不用办理登记手续。
A9.1.2
7、审核员在公司的资产登记表中发现,公司于年初将一批2003年购置的电脑特价处理给员工,这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理,该系统管理员说:“由于当时新进了许多新的电脑设备,需要安装调试,没空处理老的电脑,再说这些都是卖给自己员工的,他们本身就接触到这些信息。”
A9.2.6
8、审核员发现某软件开发公司在暑假期间聘请了三位大学生来做软件测试,但在人事部门未找到相关的保密协议,也未见有关要求的培训记录,人事经理解释说:“他们在测试期间没有接触到软件的核心机密信息,所以不需要签保密协议,也不需要进行ISMS的培训。“
A8.2.2
9、审核员在审核过程中发现,公司的系统用户账户中有多个账号的用户名的主人是一些己经离开公司的人员,且此类账户拥有较高级别的访问权限,系统管理员介绍说:“由于公司耍求所有的员工必须按耍求登录自己的账户,这样对一些分公司来出差的人员很不方便,因此用这些老账户让他们使用,便于他们登录使用公司的网络资源,反正都是公司的员工,不会出问题的。”
A8.3.3
10、审查技术部门在完成软件开发源代码任务并递交客户后,按公司要求应定时销毁在具体开发人员PC 机内的该项目源代码,以防止源代码的泄露,但是该部门却提供不出该源代码被销毁的证据。
4.3.3
11、在某软件开发企业,质景保证部负责对软件开发成果物进行测试,该部门测试人员使用名为“Bugfree”的系统记录测试发现的问题,然后由开发人员针对测试人员提出的问题,确定软件修改方案,修改后重新提交测试,通过后由测试人员给出“最终测试通过”的结论。软件开发人员的修改方案以及修改后重新测试的信息也分别在该"Bugfree”系统中予以记录。审核员请开发人员演示上述过程时发现,开发人员也可以登录测试问题记录的页面,且能够修改测试记录信息。当审核员问为什么会这样,该开发人员回答说,有时候开发人员与测试人员就软件问题的判定有争议,因此允许开发人员修改测试问题记录,否则会影响开发人员的绩效考核。
A11.6.1
12、审核员在某公司审核时,按计划到公司的计算机机房现场查看。审核员看到系统管理员王某正忙着安装、调试邮件服务器。丨T部主任解释说,公司在现写字楼的租赁已到期,已决定迁至另一街区的某写字楼。王某因下班路上路过新地址,于是在前一天下班时就将邮件服务器拆除,顺便带到新写字楼,并将电源接通。但今天发现,公司各业务部门搬家的时间表不一致,有几个业务部门仍在现写字楼办公,但因邮件服务器已搬走,无法与境外客户联络,对此这几个部门今天有不少抱怨。为弥补这一情况,系统管理员只好又将邮件服务器拆除装回原机房。
A10.1.2
13、某公司主营业务为工业设备代理销售。审核员在审核销售部时发现,公司的全部销售业务以及与顾客的关系管理数据的维护均依赖网络及信息系统完成,当问及这些系统的维护和管理时,公司管理者代表解释说,公司维护IT系统的工作全由沈某一人担任,称沈某人非常正直可靠,所有的IT系统维护和监控项目均由其1人完成,从未出过信息安全事故。审核员请来沈某询问,沈某确认其工作职责包括对各业务线小组人员的权限设
置、系统运行监视、系统维护和升级、以及系统安全策略符合性审核等所有的内容。
A10.1.3
14、某公司是定向为顾客开发软件的企业。审核组在公司平台业务开发部审核时,抽查到公司正在为顾客开发的“数据管理平台”项目,该项目的系统设计文件由公司高级系统架构师完成,平台开发部主任说:这份系统设计文件因涉及到顾客"数据管理平台”的结构设计,非常敏感,公司要求开发人员只可读、不可修改,且不可以在公司其他部门传阅。开发人员向审核员演示其对该设计文件的访问权限为只读、可打印,但审核员在平台业务部工作区未看到有打印机。开发人员解释说,平台业务开发部和处于该楼层的其他几个部门共用一台网络打印机,并带审核员去查看。审核员发现,为了方便各部门使用,这台打印机放置在该楼层的“公共休息区”内。
A7.1.3
15、某公司为国家相关部门指定的敏感票据印刷企业。审核员在现场巡查时发现,公司制版车间的一张办公桌上散放着工作号为111字9、10、11号的三份《票据生产通知单》,通知单中分别详细列出了三种票据的制版工艺要求。审核员问道这是谁的办公桌时,车间主任回答说,这是制版工艺师的办公桌,他今天请假了,没来上班。审核员观察到,制版车间与其他车间共处一个较大的生产厂房内,在上班时间各车间是互通的。
A11.3.3
ISMS测验一
一、单项选择题(从下面各题选项中选出一个最怡当的答案,并将相应字母填在下表相应位置中。每题1分,共30分。)
1、信息安全管理体系中提到的"资产责任人"是指:(C )
(A)对资产拥有财产权的人。
(B)使用资产的人。
(C)有权限变更资产安全属性的人。
(D)资产所在部门负责人。
2、组织应给予信息以适当级别的保护,是指:(B )
(A )应实施尽可能先进的保护措施以确保其保密性。
(B )应按信息对于组织业务的关键性给予充分和必要的保护。
(C )应确保信息对于组织内的所有员工可用。
(D)以上都对。
3、考虑设备安全是为了:(D )
(A)防止设备丟失、损坏带来的财产损失。
(B)有序保障设雛修时的备件供应。
(C )及时对设备进研级和更新换代。
(D)控制资产的丟失、损坏、失窃、危及资产安全以及组织活动中断的风险。
4、信息处理设施的变更管理不包括:(D )
(A)信息处理设施用途的变更。
(B)信息处理设施故障部件的更换。
(C)信息处理臟软件的升级。
(D)以上都不对。
5、定期备份和测试信息是指:(C )
(A )每次备份完成时对备份结果进行检査,以确保备份效果。
(B )对系统测试记录进行定期备份。
(C )定期备份,定期对备份麵的完整性和可用性进行测试。
(D)定期检査备份存储介质的容量。
6、一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了:( B)
(A)便于针对使用信息处理设施的人员计算工时
(B )便于探测未经授权的信息处理活动的发生
(C )确保信息处理的及时性得到控制
(D)人员异地工作时统一作息时间。
7、为防止对网络服务的未授权访问,组织应(A )
(A)制定安全策略,确保用户应仅能访问已获专门授权使用的服务。
(B)禁止内部人员访问互联网。
(C)禁止外部人员访问组织局域网。
(D)以上都对。
8、组织应进行安全需求分析,规定对安全控制的要求,当:( D)
(A)组织需建立新的信息系统时;(B)组织的原有信息系统扩容或升级时;
(C)组织向顾客交付软件系统时;(D)A+B
9、确定资产的可用性要求须依据:( A)
(A)授权实体的需求。(B)信息系统的实际性能水平。
(C)组织可支付的经济成本。(D)最高管理者的决定。
10、残余风险是:( C)
(A)低于可接受风险水平的风险。(B)高于可接受风险水平的风险。
(C)经过风险处置后剩余的风险。(D)未经处置的风险。
11、对计算机病毒和危害社会公共安全的有害数据的防治研究工作由:(B)
(A)工业和信息化部归口難。(B)公安部归口管理。
(C)国家互联网信息办公室归口管理。(D)信息安全产品研制企业自行管理。
12、网络路由控制应遵从:(C )
(A)端到端连接最短路径策略;(B)信息系统应用的最佳效率策略;
(C)确保计算机连接和信息流不违反业务应用的访问控制策略, (D)A+B+C
13、对于第三方服务提供方,以下描述正确的是:(B )
(A)为了监视和评审第三方提供的服务,第三方人员提供服务时应有人员全程陪同
(B)应定期度量和评价第三方遵从商定的安全策略和服务水平的程度。
(C)第三方服务提供方应有符合ITIL的流程。
(D)第三方服务的变更须向组织呈报以备案。
14、为了确保布缆安全,以下正确的做法是:(D )
(A)使用同一电缆管道铺设电源电缆和通信电缆。
(B)网络电缆采用明线架设,以便于探査故障和维修。
(C)配线盘应尽量放置在公共可访问区域,以便于应急管理。
(D)使用配线标记和设备标记,编制配线列表。
15、对于针对信息系统的软件包,以下说法正确的是:(B)
(A)组织应具有有能力的人员,以便随时对软件包进行适用性修改。
(B)应尽量劝阻对软件包实施变更,以规避变更的风险。
(C)软件包不必作为配置项进行管理。
(D)软件包的安装必须由其开发商实施安装。
16、以下不属于信息安全事态或事件的是:(D)
(A)服务、设备或设施的丟失(B)系统故障或超负载
(C)物理安全要求的违规(D)安全策略变更的临时通知
17、设立信息安全管理体系认证机构,须得到以下哪个机构的批准,方可在中国境内从事认证活动(A ) (A)中国合格评定国家认可委员会(B)中国国家认证认可监督管理委员会
(C)中国认证认可协会(D)工商注册管理部门
18、国家信息安全等级保护采取。( A)
(A)自主定级、自主保护的原则。
(B)国家保密部门定级、自主保护的原则。
(C)公安部门定级、自主保护的原则。
(D)国家保密部门定级、公安部门监督保护的原则。
19、信息安全管理中,关于脆弱性,以下说法正确的是:(B)
(A)组织使用的开源软件不须考虑其技术脆弱性。
(B)软件开发人员为方便维护留的后门是脆弱性的一种。
(C)识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施。
(D)使信息系统与网络物理隔离可社绝其脆弱性被威胁利用的机会。
20、信息安全管理中,对于安全违规人员的正式纪律处理过程中必不可少的活动是(C )(A)警告与罚款。(B)就违规的详情向所有人员通报。
(C)评估违规对业务造成的影响。(D)责成违规人员修复造成的损害。
21、信息安全管理中,关于撤销访问权,不包括以下哪种情况:(D )
(A)员工离职时。(B)组织内项目人员调换到不同的项目组时。
(C)顾客或第三方人员结束访问时。(D)以上都不对。
22、依据GB/T22080,信息系统在开发时应考虑信息安全要求,这包括:( C)
(A)管理人员应提醒使用者在使用应用系统时注意确认输入输出_。
(B)质量人员介入验证输入输出数据。
(C)应用系统在设计时考虑对输入数据、内部处理和输出数据进行确认的措施。
(D)在用户须知中增加“提醒”或"警告"内容。
23、监视和评审ISMS,应考虑:(C)
(A)统计和评估已造成不良后果的安全违规和事件,不包括未造成不良后果的事件。
(B)针对网络安全事件,不包括管理性安全措施执行情况。
(C)迅速识别试图的和得逞的安全违规事件,包括技术符合性事件和管理性安全措施执行情况。(D)针对管理性安全措施执行情况,不包括技术符合性事件。
24、依据GB/T22080 ,业务连续性管理活动不包括:( D )
(A)针对业务中断进行风险评估。(B)定义恢复的优先顺序。
(C)定义恢复时间指标。(D)按事件管理流程进行处置。
25、以下不属于"责任分割"原则范畴的做法是:(A)
(A)不同职级人员工作区域隔离。
(B)保持安全审核人员的独立性。
(C)授权者、操作者和监视者三者责任分离。
(D)事件报告人员与事件处理人员职责分离。
26、访问信息系统的用户注册的管理不正确的做法是:(C)
(A)对用户访问信息系统和服务的授权的管理。
(B)对用户予以注册时须同时考虑与访问控制策略的一致性。
(C)当ID资源充裕时可允许用户使用多个ID.
(D)用户在组织内变换工作岗位时须重新评审其所用ID的访问权。
27、对于用户访问信息系统使用的口令,以下说法正确的是:(C )
(A)口令必酿期更换。(B)同一工作组的成员可以共享口令。
(C)如果使用生物识别技术,可替代口令。(D)以上全部。
28、关于保密性,以下说法正确的是:(A )
(A)规定被授权的个人和实体,同时规定访问时间和访问范围以及访问类型。
(B)职级越高可访问信息范围越大。
(C)默认情况下IT系统维护人员可以任何类型访问所有信息。
(D)顾客对信息的访问权按顾客需求而定。
29、关于商用密码技术和产品,以下说法不正确的是:( A)
(A)任何组织不得随意进口密码产品,但可以出口商用密码产品。
2019信息网络安全专业技术人员继续教育(信息安全技术)习题与答案
信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。(对) 2.对称密码体制的特征是 :加密密钥和解密密钥完全相同 ,或者一个密钥很容易从另ー个密钥中导出。(对) 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信 困难的问题。(错) 4.公钥密码体制算法用一个密钥进行加密 ,!而用另一个不同但是有关的密钥进行解密。(对) 5.公钥密码体制有两种基本的模型 :一种是加密模型 ,另一种是解密模型(错) 6.Rabin 体制是基于大整数因子分解问题的 ,是公钥系统最具典型意义的方法。(错) 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道 的限制 ,可实现数字签名和认证的优点。(错) 8.国密算法包括SM2,SM3和 SM4. (对)
9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。(对) 10.Hash 函数的输人可以是任意大小的消息,其输出是一个长度随输 入变化的消息摘要。(错) 11.数字签名要求签名只能由签名者自己产生。(对) 12、自主访问控制 (DAC)是基于对客体安全级别与主体安全级别的比 较来进行访问控制的。(错) 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行 访问控制,而不是基于主体的身份。(对) 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的,有两个不同密钥 D.是对称的,使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )
信息安全管理体系审核员注册准则
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.wendangku.net/doc/c113626911.html, email:pcc@https://www.wendangku.net/doc/c113626911.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
信息安全技术题库及答案(全部)最新版本
防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。 正确 基于网络的漏洞扫描器由组成。abcde A、漏洞数据库模块 B、用户配置控制台模块 C、扫描引擎模块 D、当前活动的扫找知识库模块 E、结果存储器和报告生成工具 基于内容的过滤技术包括。A、内容分级审查B、关键字过滤技术C、启发式内容过滤技?? 加密技术是信息安全技术的核心。对 完全备份就是全部数据库数据进行备份。正确 纸介质资料废弃应用啐纸机粉啐或焚毁。正确 权限管理是安全管理机制中的一种。正确 信息安全技术教程习题及答案 第一章概述 一、判断题 1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2. 计算机场地可以选择在公共区域人流量比较大的地方。× 3. 计算机场地可以选择在化工厂生产车间附近。× 4. 计算机场地在正常情况下温度保持在18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。× 6. 只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。× 7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。√ 8. 屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播。√ 9. 屏蔽室的拼接、焊接工艺对电磁防护没有影响。× 10. 由于传输的内容不同,电力线可以与网络线同槽铺设。× 11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√ 12. 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记,以防更换和方便查找赃物。√ 13.TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器 等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√ 14. 机房内的环境对粉尘含量没有要求。× 15. 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。√
2020最新网络与信息安全技术题库及答案
2020最新网络与信息安全技术题库及答案 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘(M))。B方收到密文的解密方案是___。 密 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’))5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础
B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。 A.2128B.264 C.232 D.2256 10.Bell-LaPadula模型的出发点是维护系统的___,而Biba模型与Bell-LaPadula模型完全对立,它修正了Bell-LaPadula模型所忽略的信息的___问题。它们存在共同的缺点:直接绑定主体与客体,授权工作困难。 A.保密性可用性B.可用性保密性 C.保密性完整性D.完整性保密性 二、填空题(每空2分,共40分)
信息安全管理体系认证实施规则
信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心
目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A:审核时间 (11)
1.适用范围 本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息: 1)认证服务项目; 2)认证工作程序; 3)认证依据; 4)证书有效期; 5)认证收费标准。 7.认证程序 7.1.初次认证
信息安全技术题库及答案(全)
1 连云港专业技术继续教育—网络信息安全总题库及答案 1282 信息网络的物理安全要从环境安全和设备安全两个角度来考虑. A 正确 B 错误 1283 计算机场地可以选择在公共区域人流量比较大的地方。 A 正确 B 错误 1284 计算机场地可以选择在化工厂生产车间附近。 A 正确 B 错误 1285 计算机场地在正常情况下温度保持在18~28摄氏度。 A 正确 B 错误 1286 机房供电线路和动力、照明用电可以用同一线路。 A 正确 B 错误 1287 只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。 A 正确 B 错误 1288 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。 A 正确 B 错误 1289 屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播。 A 正确 B 错误 1290 屏蔽室的拼接、焊接工艺对电磁防护没有影响。 A 正确 B 错误 1291 由于传输的内容不同,电力线可以与网络线同槽铺设。 A 正确 B 错误 1292 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通。地线做电气连通。 A 正确 B 错误 1293 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记,以防更换和方便查找赃物。 A 正确 B 错误
2 1294 TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施,从而达到减少计算机信息泄露的最终目的。 A 正确 B 错误 1295 机房内的环境对粉尘含量没有要求。 A 正确 B 错误 1296 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。 A 正确 B 错误 1297 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。 A 正确 B 错误 1298 纸介质资料废弃应用碎纸机粉碎或焚毁。 A 正确 B 错误 1299 以下不符合防静电要求的是____。 A 穿合适的防静电衣服和防静电鞋 B 在机房内直接更衣梳理 C 用表面光滑平整的办公家具 D 经常用湿拖布拖地 1300 布置电子信息系统信号线缆的路由走向时,以下做法错误的是____。 A 可以随意弯折 B 转弯时,弯曲半径应大于导线直径的10倍 C 尽量直线、平整 D 尽量减小由线缆自身形成的感应环路面积 1301 对电磁兼容性(Electromagnetic Compatibility ,简称EMC)标准的描述正确的是____。 A 同一个国家的是恒定不变的 B 不是强制的 C 各个国家不相同 D 以上均错误 1302 物理安全的管理应做到____。 A 所有相关人员都必须进行相应的培训,明确个人工作职责 B 制定严格的值班和考勤制度,安排人员定期检查各种设备的运行情况 C 在重要场所的进出口安装监视器,并对进出情况进行录像 D 以上均 正确 1303 场地安全要考虑的因素有____。 A 场地选址 B 场地防火 C 场地防水防潮 D 场地温度控制 E 场地电源供应 1304 火灾自动报警、自动灭火系统部署应注意____。 A 避开可能招致电磁干扰的区域或设备 B 具有不间断的专用消防电源 C 留备用电源 D 具有自动
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
信息安全题库
F o r p e r s on a l u s e o nl y i n s t ud y a n d r e se a r c h;n ot f o r co m me r c i a l u se 1. ______用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。 ICMP协议本身的特点决定了它非常容易被利用,用于攻击网络上的路由器和主机。答案:I C M P协议(I n t e r n e t控制消息协议) 2. SNMP默认使用的端口号是_____.答案:161端口 3. 安全责任分配的基本原则是( )。答案:谁主管,谁负责 4. 每一个安全域总体上可以体现为( )、()、()三个层面答案:(接口层)、(核心层)、(系统层) 5. 一般情况下,防火墙是关闭远程管理功能的,但如果必须进行远程管理,则应该采用()或者()的登录方式。答案:(SSH)(HTTPS) 6. 常见网络应用协议有FTP、HTTP、TELNET、SMTP等,分别对应的TCP端口号是:()()()()。答案:(21)(80)(23)(25) 7. 在做信息安全评估过程中,安全风险分析有两种方法分别是:()和()。 答案:(定性分析)(定量分析) 8. 123文件的属性为–rw-r---rwx,请用一条命令将其改为755,并为其设置SUID属性。 答案:chmod 4755 123 9. 在Linux下,若想实现和FPORT列出相同结果的命令是什么?答案:Netstat -nap 10. 安全的HTTP,使用SSL,端口的类型是?答案:443 11. 《互联网安全保护技术措施规定》,2005年由中华人民共和国公安部第82号令发布,2006年_月_日施行答案:3月1日 12. 互联网服务提供者和联网使用单位依照记录留存技术措施,应当具有至少保存__天记录备份的功能答案:六十天 13. 计算机网络系统中,数据加密的三种方式是:_____、_____、_____ 答案:链路加密、接点加密、端对端加密 14. TCP协议能够提供_______的、面向连接的、全双工的数据流传输服务。答案:可靠。
信息安全管理体系认证合同范本
信息安全管理体系认证合同 1 甲方: 乙方:中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请,通过对甲方信息安全管理体系的审核,确认甲方的信息安全管理体系是否符合所选定的标准,从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准:ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动: 2.2.2 删减说明: 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点): 注:如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行,现场审核时间计划于年月进行,最终审核时间由双方具体商定。 2.5 认证证书有效期为三年,甲方获得认证注册资格后,在有效期,乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次,以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况,将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。
3 费用 3.1审核费用: □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费: 3.2 初访/预审费用¥元(整)。 3.3 证书副本费用:中文副本元(50元/);英文副本,元(50元/); 加印分、子证书套元(3000元/套)。 3.4 以上费用共计:¥(整)。 上述3.1和3.2费用自合同生效之日起10日先交纳30%,其余费用在现场审核后15日一次付清。3.5 监督审核费(在组织体系不发生重大变化的情况下)包括: □监督审核费(每次)¥元□年金(每年)2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因(不符合标准要求,严重不符合等)而导致的不能注册时,由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉,如对处理结果持有异议,可向乙方的管理委员会直至中国合格评定国家认可委员会(CNAS)提出申诉/投诉。 4.1.2 通过认证后,甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。
信息安全题库(最完整的)
信息安全培训题库 单选题 1.UNIX中,可以使用下面哪一个代替Telnet,因为它能完成同样的事情并且 更安全? A.RHOST B.SSH C.FTP D.RLOGON B 2.root是UNIX系统中最为特殊的一个账户,它具有最大的系统权限:下面说 法错误的是: A.应严格限制使用root特权的人数。 B.不要作为root或以自己的登录户头运行其他用户的程序,首先用su命令进 入用户的户头。 C.决不要把当前工作目录排在PATH路径表的前边,那样容易招引特洛伊木马。 当系统管理员用su命令进入root时,他的PATH将会改变,就让PATH保持这样,以避免特洛伊木马的侵入。 D.不同的机器采用相同的root口令。 D 3.下列那种说法是错误的? A.Windows 2000 server系统的系统日志是默认打开的。 B.Windows 2000 server系统的应用程序日志是默认打开的。 C.Windows 2000 server系统的安全日志是默认打开的。 D.Windows 2000 server系统的审核机制是默认关闭的。 D
4.no ip bootp server 命令的目的是: A.禁止代理ARP B.禁止作为启动服务器 C.禁止远程配置 D.禁止IP源路由 B 5.一般网络设备上的SNMP默认可写团体字符串是: A.PUBLIC B.CISCO C.DEFAULT D.PRIV ATE D 6.在以下OSI七层模型中,synflooding攻击发生在哪层: A.数据链路层 B.网络层 C.传输层 D.应用层 C 7.对局域网的安全管理包括: A.良好的网络拓扑规划 B.对网络设备进行基本安全配置 C.合理的划分VLAN D.All of above D 8.ARP欺骗工作在: A.数据链路层 B.网络层 C.传输层 D.应用层 A 9.路由器的Login Banner信息中不应包括: A.该路由器的名字 B.该路由器的型号
信息安全题库及答案
精选考试类文档,如果需要,请下载,希望能帮助到你们! 信息安全题库及答案 一、选择题: 1. 关于防火墙的描述不正确的是: A、防火墙不能防止内部攻击。 B、如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用。 C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。 D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。 答案:C 2. 对影响业务的故障,有应急预案的要求在__之内完成预案的启动; A、10分钟; B、15分钟; C、20分钟; D、30分钟。 答案:D 3. 为了保证系统的安全,防止从远端以root用户登录到本机,请问以下那个方法正确: A、注销/etc/default/login文件中console=/dev/console; B、保留/etc/default/login文件中console=/dev/console C、在文件/etc/hosts.equiv中删除远端主机名; D、在文件/.rhosts中删除远端主机名 答案:B 4. 对影响业务的故障,有应急预案的要求在__之内完成预案的
启动; A、10分钟; B、15分钟; C、20分钟; D、30分钟。 答案:D 5. SQL Server默认的通讯端口为(),为提高安全性建议将其修改为其他端口: A、TCP1434 B、TCP 1521 C、TCP 1433 D、TCP 1522 答案:C 6. 什么方式能够从远程绕过防火墙去入侵一个网络? A、IP services B、Active ports C、Identified network topology D、Modem banks 答案:D 7. 下列那一种攻击方式不属于拒绝服务攻击: A、L0phtCrack B、Synflood C、Smurf D、Ping of Death 答案:A
连云港继续教育《信息安全技术试题答案》
信息安全技术试题及答案 信息安全网络基础: 一、判断题 1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2. 计算机场地可以选择在公共区域人流量比较大的地方。× 3. 计算机场地可以选择在化工厂生产车间附近。× 4. 计算机场地在正常情况下温度保持在18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。× 6. 只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。× 7. 由于传输的内容不同,电力线可以与网络线同槽铺设。× 8. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线 做电气连通.√ 9. 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记,以防更换和方便查找赃物。√ 10. 机房内的环境对粉尘含量没有要求。× 11. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 12. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 容灾与数据备份 一、判断题 1. 灾难恢复和容灾具有不同的含义。× 2. 数据备份按数据类型划分可以分成系统数据备份和用户数据备份。√ 3. 对目前大量的数据备份来说,磁带是应用得最广的介质。√ 4. 增量备份是备份从上次完全备份后更新的全部数据文件。× 5. 容灾等级通用的国际标准SHARE 78 将容灾分成了六级。× 6. 容灾就是数据备份。× 7. 数据越重要,容灾等级越高。√ 8. 容灾项目的实施过程是周而复始的。√ 9. 如果系统在一段时间内没有出现问题,就可以不用再进行容灾了。× 二、单选题 1. 代表了当灾难发生后,数据的恢复程度的指标是 A.RPO B.RTO C.NRO D.SDO 2. 代表了当灾难发生后,数据的恢复时间的指标是 A.RPO B.RTO C.NRO D.SD0 3. 容灾的目的和实质是 A. 数据备份 B.心理安慰 C. 保持信息系统的业务持续性 D.系统的有益补充
如何建立信息安全管理体系.doc
如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS(Information Securitry Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它基于业务风险方法,用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合,涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型,按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点: 1.引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承
诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。 6.建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制成本与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的,欲速则不达,每家组织都是不同的,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤: 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围
信息技术与信息安全 题库及答案
2014广西信息技术与信息安全公需科目题库(一) 1.(2分) 特别适用于实时和多任务的应用领域的计算机是(D)。 A. 巨型机 B. 大型机 C. 微型机 D. 嵌入式计算机 2.(2分) 负责对计算机系统的资源进行管理的核心是(C)。 A. 中央处理器 B. 存储设备 C. 操作系统 D. 终端设备 3.(2分) 2013年12月4日国家工信部正式向中国移动、中国联通、中国电信发放了(C)4G牌照。 A. WCDMA B. WiMax C. TD-LTE D. FDD-LTE 4.(2分) 以下关于盗版软件的说法,错误的是(A)。 A. 若出现问题可以找开发商负责赔偿损失 B. 使用盗版软件是违法的 C. 成为计算机病毒的重要来源和传播途径之一 D. 可能会包含不健康的内容 5.(2分) 涉密信息系统工程监理工作应由(A)的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 具有涉密工程监理资质的单位 C. 保密行政管理部门 D. 涉密信息系统工程建设不需要监理 6.(2分) 以下关于智能建筑的描述,错误的是(B)。 A. 智能建筑强调用户体验,具有内生发展动力。 B. 随着建筑智能化的广泛开展,我国智能建筑市场已接近饱和。 C. 建筑智能化已成为发展趋势。 D. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 7.(2分) 网页恶意代码通常利用(C)来实现植入并进行攻击。 A. 口令攻击 B. U盘工具 C. IE浏览器的漏洞 D. 拒绝服务攻击 8.(2分) 信息系统在什么阶段要评估风险?(D) A. 只在运行维护阶段进行风险评估,以识别系统面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得以实现。 B. 只在规划设计阶段进行风险评估,以确定信息系统的安全目标。 C. 只在建设验收阶段进行风险评估,以确定系统的安全目标达到与否。 D. 信息系统在其生命周期的各阶段都要进行风险评估。 9.(2分) 下面不能防范电子邮件攻击的是(D)。
信息安全技术题库及答案(全)
连云港专业技术继续教育—网络信息安全总题库及答案 1282 信息网络的物理安全要从环境安全和设备安全两个角度来考虑. A 正确 B 错误 1283 计算机场地可以选择在公共区域人流量比较大的地方。 A 正确 B 错误 1284 计算机场地可以选择在化工厂生产车间附近。 A 正确 B 错误 1285 计算机场地在正常情况下温度保持在18~28摄氏度。 A 正确 B 错误 1286 机房供电线路和动力、照明用电可以用同一线路。 A 正确 B 错误 1287 只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。 A 正确 B 错误 1288 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。 A 正确 B 错误 1289 屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播。 A 正确 B 错误 1290 屏蔽室的拼接、焊接工艺对电磁防护没有影响。 A 正确 B 错误 1291 由于传输的内容不同,电力线可以与网络线同槽铺设。 A 正确 B 错误 1292 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通。地线做电气连通。 A 正确 B 错误 1293 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记,以防更换和方便查找
赃物。 A 正确 B 错误 1294 TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施,从而达到减少计算机信息泄露的最终目的。 A 正确 B 错误 1295 机房内的环境对粉尘含量没有要求。 A 正确 B 错误 1296 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。 A 正确 B 错误 1297 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。 A 正确 B 错误 1298 纸介质资料废弃应用碎纸机粉碎或焚毁。 A 正确 B 错误 1299 以下不符合防静电要求的是____。 A 穿合适的防静电衣服和防静电鞋 B 在机房内直接更衣梳理 C 用表面光滑平整的办公家具 D 经常用湿拖布拖地 1300 布置电子信息系统信号线缆的路由走向时,以下做法错误的是____。 A 可以随意弯折 B 转弯时,弯曲半径应大于导线直径的10倍 C 尽量直线、平整 D 尽量减小由线缆自身形成的感应环路面积 1301 对电磁兼容性(Electromagnetic Compatibility ,简称EMC)标准的描述正确的是____。 A 同一个国家的是恒定不变的B 不是强制的 C 各个国家不相同 D 以上均错误 1302 物理安全的管理应做到____。 A 所有相关人员都必须进行相应的培训,明确个人工作职责 B 制定严格的值班和考勤制度,安排人员定期检查各种设备的运行情况 C 在重要场所的进出口安装监视器,并对进出情况进行录像 D 以上均正确 1303 场地安全要考虑的因素有____。 A 场地选址 B 场地防火 C 场地防水防潮 D 场地温度控制 E 场地电源供应 1304 火灾自动报警、自动灭火系统部署应注意____。
信息安全管理体系认证的基本知识(通用版)
信息安全管理体系认证的基本 知识(通用版) Enterprises should establish and improve various safety production rules and regulations in accordance with national safety production laws and regulations. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0261
信息安全管理体系认证的基本知识(通用 版) 一、ISO27001认证的概况 ISO27001认证,即“信息安全管理体系”,是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证,即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。 信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益最大化。 二、ISO27001认证适用范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 三、ISO27001认证证书的有效期 ISO27001信息安全管理体系的认证证书有效期是三年。 期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。 四、信息安全管理体系认证的作用 1.符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
信息安全管理体系建设
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
信息安全复习题带答案
精心整理 密码学的目的是。【C 】 A .研究数据加密 B .研究数据解密 C .研究数据保密 D .研究信息安全 注:密码学是以研究数据保密为目的的。答案A 和c 是密码学研究的两个方面,密码学是信息安全的一个分支。密码学以研究数据保密为目的,必然要有高度机密性,鉴别是指消息的接收者应 【C 】 A .PrivateKeyInfrastructure B .PublicKeyInstitute C .PublicKeyInfrastructure 公钥基础设施 D .PrivateKeyInstitute 防火墙最主要被部署在____位置。 【A 】 A .网络边界 B .骨干线路 C .重要服务器 D .桌面终端 下列____机制不属于应用层安全。 【C 】 A .数字签名 B .应用代理 C .主机入侵检测 D .应用审计 ___最好地描述了数字证书。 【A 】 A .等同于在网络上证明个人和公司身份的身份证 B .浏览器的一标准特性,它使得黑客不能得知用户的身份 C .网站要求用户使用用户名和密码登陆的安全机制 D .伴随在线交易证明购买的收据 属于关系到国【A 】 1999年,我国发布的第一个信息安全等级保护的国家标准GB17859—1999,提出将信息系统的安全等级划分为____个等级,并提出每个级别的安全功能要求。 【D 】 A?7B?8 C?6D?5 IPSec 协议工作在____层次。 【B 】
A.数据链路层 B.网络层 C.应用层D 传输层 下面所列的__A__安全机制不属于信息安全保障体系中的事先保护环节。【】 A?杀毒软件B?数字证书认证 C?防火墙D?数据库加密 从安全属性对各种网络攻击进行分类,阻断攻击是针对的攻击。【B 】 A.机密性 B.可用性 D.数据在途中被攻击者篡改或破坏 计算机病毒最本质的特性是____。【C 】 A?寄生性B?潜伏性 C?破坏性D?攻击性 防止静态信息被非授权访问和防止动态信息被截取解密是____。【D 】 A?数据完整性B?数据可用性 C?数据可靠性D?数据保密性 注:“截获”——机密性 “转账”——完整性 “阻断”——可用性 “访问”——保密性 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是。【C 】 A.公钥认证B.零知识认证 C.共享密钥认证D.口令认证 ____】 【A 】 利用计算机强【C 】 C.数字签名机制和路由控制机制D.访问控制机制和路由控制机制 PKI 的主要组成不包括。【B 】 A.证书授权CA B.SSL C.注册授权RA D.证书存储库CR 一般而言,Internet 防火墙建立在一个网络的。【C 】 A.内部子网之间传送信息的中枢 B.每个子网的内部 C.内部网络与外部网络的交叉点
2019网络与信息安全技术题库及答案
2019网络与信息安全技术题库及答案 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。B方收到密文的解密方案是___。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’)) 5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。 A.2128B.264 C.232 D.2256 10.Bell-LaPadula模型的出发点是维护系统的___,而Biba模型与Bell-LaPadula模型完全对立,它修正了Bell-LaPadula模型所忽略的信息的___问题。它们存在共同的缺点:直接绑定主体与客体,授权工作困难。 A.保密性可用性 B.可用性保密性 C.保密性完整性 D.完整性保密性 二、填空题(每空2分,共40分)
- 信息安全管理体系建设
- 企业内部信息安全管理体系
- ISO27001信息安全管理体系全套程序文件
- 最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)
- 2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
- 2019年最新ISO27001 信息安全管理体系全套程序文件
- ISO27001:2013信息安全管理体系 全套程序 01文件控制程序
- 信息安全管理体系建设
- 2019最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
- 信息安全管理体系ppt课件
- 信息安全管理体系
- ISO27001:2013信息安全管理体系全套程序30各部门信息安全管理职责
- 2018最新ISO27001信息安全管理体系全套程序文件
- ISO20000-2018内部审核全套资料(2019年最新版)
- 信息安全管理体系介绍
- ISO27001-2013信息安全管理体系要求.
- 【信息系统监视和测量管理程序】2018年最新ISO IEC 27001 2013 版信息安全管理体系资料(内含全套表格)
- 信息安全管理体系及重点制度介绍讲解
- 信息安全管理体系(ISO27001ISO20000)所需条件和资料
- 最新ISO27001:2013信息安全管理体系一整套程序文件(共41个程序184页)