2016信息安全管理与评估赛项样题

“信息安全管理与评估”项目竞赛样题

题目： XX公司网络系统安全评估及安全整改

内容目录

一、竞赛任务 (2)

二、竞赛时间 (2)

三、任务要求与技术参数 (3)

第一阶段：网络搭建、风险评估与网络改造 (3)

任务一：网络搭建 (3)

任务二：系统安全管理 (6)

任务三：系统安全评估与整改 (9)

第二阶段：网络渗透与防护 (10)

任务四：网络渗透与防护 (10)

任务五：撰写《信息安全管理与评估竞赛工作报告》 (11)

四、技术文件等电子文档提交要求 (11)

五、评分标准.................................... 错误！未定义书签。

六、附件 (13)

附件一：《网络审计报告》模板 (14)

附件二《系统风险评估报告》模板 (18)

附件三《系统整改方案》模板 (22)

2012年全国职业院校技能大赛高职组

“信息安全管理与评估”项目竞赛样题

题目： XX公司网络系统安全评估及安全整改

一、竞赛任务

根据应用需求对XX公司进行基础网络的搭建和网络的安全管理，并能对网络系统进行安全评估和安全改造；完成网络系统的渗透测试和系统加固，并撰写网络安全工作报告。具体任务内容如下：

1.根据网络功能需求，完成XX公司基础网络的搭建与配置

2.完成XX公司WINDOWS服务器和相关应用服务的配置

3.完成XX公司LINUX服务器和相关应用服务的配置

4.完成XX公司网络的安全加固

5.按照等级保护标准对XX公司网络安全进行定级

6.按照等级保护标准对XX公司网络进行审计和风险评估，并完成审计和评估报告

7.按照等级保护标准要求对XX公司网络进行整改，并完成整改方案

8.完成对服务器的渗透测试和系统加固

9.撰写《信息安全管理与评估竞赛工作报告》（简称《竞赛工作报告》）

二、竞赛时间

竞赛时间共为6小时。

三、任务要求与技术参数

第一阶段：网络搭建、风险评估与网络改造

本阶段需要完成三个任务：任务一：网络搭建；任务二：系统安全管理；任务三：系统审计、评估与整改。

任务一：网络搭建

（一）任务描述

XX公司总部设在北京，并在广州开设分公司。现要求对其基础网络进行搭建，并在内、外网服务器上部署相应服务及安全策略。

（二）功能需求与技术参数

1.拓扑图如下：

外网服务器1

PC 1

PC 2

PC 3

外网服务器2

3

4

3

4 6

1 2 1 2

5

北京总公司广州分公司

Internet

北京总公司机房

内网服务器DCFW 2DCFW 1

DCRS

DCR

拓扑说明：

北京总公司：三层交换机1台，防火墙1台，内网服务器和外网服务器1台，内网主机2台。

广州分公司：路由器1台，防火墙1台，外网服务器1台，内网主机1台。

功能需求：

（1）北京总公司与广州分公司内网都运行RIPv2

（2）公司两防火墙外网全部运行OSPF

（3）公司两个出口防火墙上要配置IPSEC VPN

2. IP地址规划表

地址表中的X代表本参赛队的工位号，如：工位6的工位号为6，DCR的1接口ip地址为：10.6.0.1。

（三）任务要求

注意：任务一完成后需要提交所有设备配置文件，并存放到“提交专用U盘”中的“任务一”目录下。其中路由器、三层交换机设备要求提供config配置文件，而防火墙及PC 需要提交截图存入WORD文档，并在截图中加以说明。

任务二：系统安全管理

子任务1：内网服务器管理

（一）任务描述

在北京总公司内网部署了一台WIN2003服务器，安装光盘已经放在内网服务器的光驱中，要求为公司内部提供服务。

（二）功能需求与技术参数

1.北京总公司目前行政管理结构如下：总经理室两人，分别是程美、徐雪；外联部两人，分别是郭伟、田贤；产品部三人，分别是李方、陈靓、王波。

功能需求：

（1）根据需求管理网络用户及组；

（2）部署文件服务，并严格控制用户权限；

（3）部署网站服务；

（4）部署系统策略，增强系统安全性。

2. 服务器信息

系统版本：Windows 2003

（三）任务要求

注意：子任务1任务内容的操作结果请截图并整理到“内网服务器管理.doc”文档中，并保存至“提交专用U盘”的“任务二”目录下。

子任务2：外网服务器1管理

（一）任务描述

北京总公司在外网托管了一台linux服务器，安装光盘已经做成了AS5.ISO的镜像文件，存放在root的宿主目录下。现要求使该服务器为广域网用户提供FTP服务和网站服务。

（二）功能需求与技术参数

1.功能需求

（1）部署FTP服务，为广域网用户提供下载资源;

（2）部署WEB网站服务，用于公司外部公司产品及方案宣传;

（3）部署系统策略，增强系统安全性

2.服务器信息

系统版本：AS5

（三）任务要求

注意：子任务2任务内容的操作结果请截图并整理到“外网服务器1管理.doc”文档中，并保存至“提交专用U盘”的“任务二”目录下。

任务三：系统安全评估与整改

子任务1：网络系统审计

（一）任务描述

对XX公司整个网络系统进行审计，并根据模板填写电子版《网络审计报告》。

（二）技术参数

关于此任务的模板，见附件一（该附件的电子模板存放在选手参赛PC中）。

子任务2：网络系统评估

（一）任务描述

在完成对XX公司整个网络系统审计的基础上，对服务器进行评估，并根据模板填写电子版《系统风险评估报告》。

（二）技术参数

关于此任务的模板，见附件二（该附件的电子模板存放在选手参赛PC中）。

子任务3：网络系统整改方案

（一）任务描述

对XX公司整个网络系统进行整改设计，提高网络系统安全性，并根据模板填写电子版《系统整改方案》。

（二）技术参数

关于此任务的模板，见附件三（该附件的电子模板存放在选手参赛PC中）。

注意：任务三需要完成“网络审计报告”、“系统风险评估报告”和“系统整改方案”，并保存至“提交专用U盘”中的“任务三”目录中，任务三所有附件的电子模板存放在选手参赛PC中。

第二阶段：网络渗透与防护

任务四：网络渗透与防护

(一)任务描述

在1个小时时间对其他参赛队的“外网服务器2”进行渗透测试，同时加固本参赛队“外网服务器2”的安全，防止被其他参赛队渗透。

（二）技术参数

服务器信息（比赛时以纸质形式提供）

系统版本：Windows 2003

（三）任务要求

加固本参赛队“外网服务器2”安全，同时对其他参赛队的服务器进行渗透测试，如果成功渗透了一台WEB服务器，则按照评分标准得分，渗透的目标服务器越多，得分越高。成功渗透的标准如下：

1)上传webshell文件“put.asp”到目标服务器；

2)从本地访问http://渗透外网服务器2的IP/上传的webshell；

3)根据webshell页面提示完成确认。

渗透测试所需要安全攻防工具可以在自己的参赛PC机中找到。

任务五：撰写《信息安全管理与评估竞赛工作报告》

任务要求：依据大赛提供的“《信息安全管理与评估竞赛工作报告》撰写要求和规范”，完成《信息安全管理与评估赛项工作报告》的撰写。

注意：任务五需要完成《信息安全管理与评估竞赛工作报告》，并保存至“提交专用U 盘”中的“任务五”目录中。

四、技术文件等电子文档提交要求

1.将竞赛所需要提交的所有电子文档保存至“提交专用U盘”中，在该U盘根目录

下新建“赛项名称-工位号”文件夹，在此文件夹下再建立四个子文件夹，分别命

名为“任务一”、“任务二”、“任务三”和“任务五”。

2.正确保存所有参赛用设备的配置文件（startup-config），如：配置截图，效果截

图等，要按照题目要求进行截图，并生成word文件进行保存，文件名称要求符合

下表要求。如设备配置文件没有成功保存，此设备相关配置记零分。

3.所有提交给裁判的电子文档应按下述规则或任务书要求命名。

五、评分标准

六、附件

附件一：《网络审计报告》模板

附件二《系统风险评估报告》模板

(一)任务描述

为了满足公司信息系统的稳定、安全运行需求，就需要利用系统风险评估措施，查找并修复网络系统所存在的安全漏洞和风险隐患，同时开展系统平台的性能及渗透测试，分析确认当前系统的运行稳定性，最后根据得到的结果实施针对性的加固和调整，实现提升信息系统安全稳定。

（二）技术规范：

步骤一：请按照等级保护的要求，对该公司完成等级定级。

根据我国公安系统的等级保护要求，该公司符合信息安全等级为级，相应的等级评定依据是：

步骤二：写出对应的相关的风险评估的依据标准（至少罗列5个评估参考依据）

1.__________________________________________________

2.__________________________________________________

3.__________________________________________________

4.__________________________________________________

5.__________________________________________________

步骤三：根据以上资料，完成以下风险评估报告的撰写。

(一)评估范围（主机操作系统、业务用途、IP地址）

(二)Windows主机评估

（利用nessus工具进行风险扫描，工具已安装，用户名和密码为admin，将结果填入下表中）

风险扫描结果（请填写中文说明，风险扫描结果表如不够，请自行复制）

?评估结果：

本次针对windows主机的风险评估共计发现，威胁风险的有个，严重风险的有个，高风险的有个，中风险的个，低风险的个，忽略风险的有个。整体来看该服务器未做任何的安全策略设置和端口限制及访问控制，好多高危端口都是启用状态，默认共享也均为开启状态，存在很大的安全风险，容易被病毒、木马利用，容易被攻击者攻击，对服务器的安全危害极大。

(三)Linux主机评估

（利用nessus工具进行风险扫描，工具已安装，用户名和密码为admin，将结果填入下表中）

?风险扫描结果（请填写中文说明，风险扫描结果表如不够，请自行复制）

2016年信息技术与信息安全公需科目考试(86分)

1.关于渗透测试，下面哪个说法是不正确的（）？（单选 题2分） A.渗透测试过程包括了对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。 B.渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试，是一个渐进的并且逐步深入的过程。 C.渗透测试是通过模拟恶意黑客的攻击方法，来评估信息系统安全的一种评估方法。 D.执行情况良好的渗透测试无法证明不充分的安全可能导致重大损失，对于网络安全组织价值不大。 2.如果使用大量的连接请求攻击计算机，使得所有可用的系统资源都被消耗殆尽，最终计算机无法对正常的服务请求进行处理，这种攻击手段属于（）。（单选题2分） A.口令破解 B.拒绝服务攻击 C.IP欺骗 D.网络监听 3.发生信息安全紧急事件时，可采取（）措施。（单选题2 分） A.事件分析 B.以上采取的措施都对

C.抑制、消除和恢复 D.切断不稳定因素 4.关于U盾，下面说法不正确的是（）？（单选题2分） A.内置微型智能卡处理器 B.使用动态口令来保证交易安全 C.提供数字签名和数字认证的服务 D.是办理网上银行业务的高级安全工具 5.风险分析阶段的主要工作就是（）。（单选题2分） A.判断安全事件造成的损失对单位组织的影响 B.完成风险的分析和计算，综合安全事件所作用的信息资产价值及脆弱性的严重程度，判断安全事件造成的损失对单位组织的影响，即安全风险 C.完成风险的分析 D.完成风险的分析和计算 6.C类地址适用于（）。（单选题2分） A.大型网络 B.以上答案都不对 C.小型网络 D.中型网络 7.禁止涉密计算机连接互联网主要为了防止涉密计算机（）， 进而造成涉密信息被窃取。（单选题2分） A.感染蠕虫病毒

信息安全管理试题集

信息安全管理－试题集 判断题： 1.信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2.一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3.我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题：

1.信息安全经历了三个发展阶段，以下(B)不属于这三个发展阶段。 A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段 2.信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A.保密性 B.完整性 C.不可否认性 D.可用性 3.下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A.杀毒软件 B.数字证书认证 C.防火墙 D.数据库加密 4.《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A.法国 B.美国 C.俄罗斯 D.英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5.信息安全领域内最关键和最薄弱的环节是（ D ）。 A.技术 B.策略 C.管理制度 D.人

6.信息安全管理领域权威的标准是（ B ）。 A.ISO15408 B.ISO17799/ISO27001(英） C.ISO9001 D.ISO14001 7.《计算机信息系统安全保护条例》是由中华人民共和国（A)第147号发布的。 A.国务院令 B.全国人民代表大会令 C.公安部令 D.国家安全部令 8.在PDR安全模型中最核心的组件是（ A ）。 A.策略 B.保护措施 C.检测措施 D.响应措施 9.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（ A )。 A.可接受使用策略AUP B.安全方针 C.适用性声明 D.操作规范 10.互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存（ C ）天记录备份的功能。 A.10 B.30 C.60 D.90 11.下列不属于防火墙核心技术的是（ D ）

信息安全管理体系审核员 真题

ISMS 201409/11 一、简答 1、内审不符合项完成了30/35，审核员给开了不符合，是否正确你怎么审核 [参考]不正确。应作如下审核： （1）询问相关人员或查阅相关资料（不符合项整改计划或验证记录），了解内审不符合项的纠正措施实施情况，分析对不符合的原因确定是否充分， 所实施的纠正措施是否有效； （2）所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。 （3）评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的控制措施即可。 综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措 施适宜。 2、在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是外包的， 成绩从那里要，要来后一看都合格，就结束了审核，对吗 [参考]不对。 应按照标准GB/T 22080-2008条款培训、意识和能力的要求进行如下审核：（1）询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文件（2）查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要求基于教育、培训、经验、技术和应用能力方面的评价要求，以及相关的培 训规程及评价方法； （3）查阅网管培训记录，是否符合岗位能力要求和培训规程的规定要求

（4）了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价，是否保持记录 （5）如果岗位能力经评价不能满足要求时，组织是否按规定要求采取适当的措施，以保证岗位人员的能力要求。 二、案例分析 1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。 A 组织场所外的设备安全应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险 2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事，因为买的都 是正版。 A 操作系统变更后应用的技术评审当操作系统发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。 3、创新公司委托专业互联网运营商提供网络运营，供应商为了提升服务级别，采用了新技术，也通知了创新公司，但创新认为新技术肯定更好，就没采取任何措施，后来因为软件不兼容造成断网了。 A 第三方服务的变更管理应管理服务提供的变更，包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的评估。 4、查某公司信息安全事件处理时，有好几份处理报告的原因都是感染计算机病毒，负责人说我们严格的杀毒软件下载应用规程，不知道为什么没有效，估计其

信息安全风险识别与评价管理程序

信息安全风险识别与评 价管理程序 文件编码（GHTU-UITID-GGBKT-POIU-WUUI-8968）

通过风险评估，采取有效措施，降低威胁事件发生的可能性，或者减少威胁事件造成的影响，从而将风险消减到可接受的水平。 二、范围： 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任： 管理者代表 信息中心执行信息安全风险的识别与评价；审核并批准重大信息安全风险，并负责编制《信息资产风险评估准则》，执行信息安全风险调查与评价，提出重大信息安全风险报告。 各部门 协助信息中心的调查，参与讨论重大信息安全风险的管理办法。 四、内容： 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。 在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。

信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 信息分类定义： a)“国家秘密事项”：《中华人民共和国保守国家秘密法》中指定的秘密事； b)“企业秘密事项”：不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害，或者由于业务上的需要仅限有关人员知道的商业秘密事项； c)“敏感信息事项”：为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项； d)“一般事项”：秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项； e)“公开事项”：其他可以完全公开的事项。 信息分类不适用时，可不填写。

(完整word版)2016信息安全概论考查试题

湖南科技大学2016 - 2017 学年信息安全概论考试试题 一、名词解释(15分，每个3分) 信息隐藏：也称数据隐藏，信息伪装。主要研究如何将某一机密信息隐藏于另一公开信息的载体中，然后会通过公开载体的信息传输来传递机密信息。 宏病毒：使用宏语言编写的一种脚本病毒程序，可以在一些数据处理系统中运行，存在于字处理文档、数据表格、数据库和演示文档等数据文件中，利用宏语言的功能将自己复制并繁殖到其他数据文档里。 入侵检测：通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。 花指令：是指利用反汇编时单纯根据机器指令字来决定反汇编结果的漏洞，在不影响程序正确性的前提下，添加的一些干扰反汇编和设置陷阱的代码指令，对程序代码做变形处理。缓冲区溢出攻击：指程序运行过程中放入缓冲区的数据过多时，会产生缓冲区溢出。黑客如成功利用缓冲溢出漏洞，可以获得对远程计算机的控制，以本地系统权限执行任意危害性指令。 二、判断题（对的打√，错的打×，每题1分，共10分） 1. 基于账户名／口令认证是最常用的最常用的认证方式（√） 2. 当用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这属于钓鱼攻击（√） 3. ＲＳＡ算法的安全性归结于离散对数问题（×） 4. 量子不可克隆定理、不确定性原理,构成了量子密码的安全性理论基础（√） 5. 访问控制的安全策略是指在某个安全区域内用语所有与安全相关活动的一套控制规则（√） 6. 反弹连接是木马规避防火墙的技术，适合动态IP入侵（×） 7. 驱动程序只能在核心态下运行（×） 8. 混沌系统生成的混沌序列具有周期性和伪随机性的特征（×） 9. 最小特权思想是指系统不应给用户超过执行任务所需特权以外的特权（√） 10. 冲击波蠕虫病毒采用UPX压缩技术，利用RPC漏洞进行快速传播（√） 三、选择题（30分，每题2分） (1) 按照密钥类型，加密算法可以分为（D ）。 A. 序列算法和分组算法 B. 序列算法和公钥密码算法 C. 公钥密码算法和分组算法 D. 公钥密码算法和对称密码算法 (2) 以下关于CA认证中心说法正确的是（C ）。 A. CA认证是使用对称密钥机制的认证方法 B. CA认证中心只负责签名，不负责证书的产生 C. CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份 D. CA认证中心不用保持中立，可以随便找一个用户来做为CA认证中心 (3) Web从Web服务器方面和浏览器方面受到的威胁主要来自（ D ）。 A. 浏览器和Web服务器的通信方面存在漏洞 B. Web服务器的安全漏洞 C. 服务器端脚本的安全漏洞 D. 以上全是

信息安全管理试题集

信息安全管理试题集

信息安全管理－试题集 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D.

安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。

信息安全管理体系ISMS2016年6月考题

2016信息安全管理体系（ISMS）审核知识试卷 2016年6月 1、单选题 1、密码就是一种用于保护数据保密性的密码学技术、由（）方法 及相应运行过程。 A、加密算法和密钥生成 B、加密算法、解密算法、密钥生成 C、解密算法、密钥生成 D、加密算法、解密算法 2、计算机安全保护等级的第三级是（）保护等级 A、用户自主 B、安全标记 C、系统审计 D、结构化 3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的 通信信道 A、补强 B、有益 C、保护 D、危害 4、 5、 6、ISMS关键成功因素之一是用于评价信息安全 A、测量 B、报告 C、传递 D、评价 7、防止恶语和移动代码是保护软件和信息的（） A、完整性 B、保密性 C、可用性 D、以上全部 8、以下强健口令的是（） A、a8mom9y5fub33 B、1234 C、Cnas D、Password

9、开发、测试和（）设施应分离、以减少未授权访问或改变运行 系统的风险 A、系统 B、终端 C、配置 D、运行 10、设备、（）或软件在授权之前不应带出组织场所 A、手机 B、文件 C、信息 D、以上全部 11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前， （）和注册软件已被删除或安全地写覆盖 A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息 12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员 C、第三方人员 D、IT经理 13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的 内容应包含在（）合同中。 A、雇员 B、承包方人员 C、第三方人员 D、A+B+C 14、ISMS文件的多少和详细程度取决于（） A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织 A、使用 B、授权 C、检查合格 D、识别出薄弱环节 16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B 17、组织机构在应建立起评审ISMS时，应考虑（） A、风险评估的结果 B、管理方案 C、法律、法规和其它要素 D、A+C

最新信息安全管理考试真题

一、判断题（本题共15道题，每题1分，共15分。请认真阅读题目，然后在对的题目后面打√，在错误的题目后面打×） 1. 口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信：息，进而非法获得系统和资源访问权限。(√) 2. PKI系统所有的安全操作都是通过数字证书来实现的。(√) 3. PKI系统使用了非对称算法．对称算法和散列算法。(√) 4. 一个完整的信息安全保障体系，应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√) 5. 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制，同样依赖于底层的物理、网络和系统等层面的安全状况。(√) 6. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有局限性的错误观点。(√) 7. 按照BS 7799标准，信息安全管理应当是一个持续改进的周期性过程。(√) 8. 虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。(√) 9. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。(×) 10. 定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。(√) 11. 网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√) 12. 网络边界保护中主要采用防火墙系统，在内网和外网之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作用。(×) 13. 防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。(√) 14. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。(×) 15. 信息技术基础设施库(ITIL)，是由英国发布的关于IT服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。(√) 二、选择题（本题共25道题，每题1分，共25分。请认真阅读题目，且每个题目只有一个正确答案，并将答案填写在题目相应位置。） 1. 防止静态信息被非授权访问和防止动态信息被截取解密是__D____。 A.数据完整性 B.数据可用性 C.数据可靠性 D.数据保密性 2. 用户身份鉴别是通过___A___完成的。 A.口令验证 B.审计策略 C.存取控制 D.查询功能 3. 故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人，由公安机关处以___B___。 A. 3年以下有期徒刑或拘役 B. 警告或者处以5000元以下的罚款 C. 5年以上7年以下有期徒刑 D. 警告或者15000元以下的罚款 4. 网络数据备份的实现主要需要考虑的问题不包括__A____。 A.架设高速局域网 B.分析应用环境 C.选择备份硬件设备 D.选择

信息安全管理练习题

-2014 信息安全管理练习题判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（ A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（ A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范 应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施，

信息安全管理制度附件：信息安全风险评估管理程序

本程序，作为《WX-WI-IT-001 信息安全管理流程A0版》的附件，随制度发行，并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风险等级，识别和评价供处理风险的可选措施，选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义（无） 4.0职责 4.1各部门负责部门内部资产的识别，确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价值。 6.1.2资产分类 根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产（A）赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析，选 择对资产机密性、完整性和可用性最为重要（分值最高）的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级，分别代表资产重要性

的高低。等级数值越大，资产价值越高。 1）机密性赋值 根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产 2）完整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产 3）可用性赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。

3分以上为重要资产，重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源，根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和（或）有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级，分别代表威胁出现的频率的高低。等级数值越大，威胁出现

2016下半年信息安全工程师简答题真题加答案

阅读下列说明和图，回答问题1至问题4，将解答填入答题纸的对应栏内。 【说明】 研究密码编码的科学称为密码编码学，研究密码破译的科学称为密码分析学，密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。 【问题1】（9分） 密码学的安全目标至少包括哪三个方面？具体内涵是什么？ （1）保密性：保密性是确保信息仅被合法用户访问，而不被地露给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。 （2）完整性：完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 （3）可用性：可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。 【问题2】（3分） 对下列违规安全事件，指出各个事件分别违反了安全目标中的哪些项？ (1)小明抄袭了小丽的家庭作业。 (2)小明私自修改了自己的成绩。 (3)小李窃取了小刘的学位证号码、登陆口令信息，并通过学位信息系统更改了小刘的学位信息记录和登陆口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。 （1）保密性 （2）完整性 （3）可用性 【问题3】（3分） 现代密码体制的安全性通常取决于密钥的安全，为了保证密钥的安全，密钥管理包括哪些技术问题？ 答：密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。

信息安全管理练习题

信息安全管理练习题-2014 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（C）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（C）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（D）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（B）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（A）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（A)。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范

信息安全风险评估项目流程

信息安全风险评估项目流程 一、售前方案阶段 1.1、工作说明 技术部配合项目销售经理（以下简称销售）根据客户需求制定项目解决方案，客户认可后，销售与客户签订合同协议，同时向技术部派发项目工单（项目实施使用） 1.2、输出文档 《XXX项目XXX解决方案》 输出文档（电子版、纸质版）交付销售助理保管，电子版抄送技术部助理。 1.3、注意事项 ?销售需派发内部工单（售前技术支持） ?输出文档均一式三份（下同） 二、派发项目工单 2.1、工作说明 销售谈下项目后向技术部派发项目工单，技术部成立项目小

组，指定项目实施经理和实施人员。 三、项目启动会议 3.1、工作说明 ?销售和项目经理与甲方召开项目启动会议，确定各自接口负 责人。 ?要求甲方按合同范围提供《资产表》，确定扫描评估范围、 人工评估范围和渗透测试范围。 ?请甲方给所有资产赋值（双方确认资产赋值） ?请甲方指定安全评估调查（访谈）人员 3.2、输出文档 《XXX项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用 3.3、注意事项 ?资产数量正负不超过15%；给资产编排序号，以方便事后 检查。 ?给人工评估资产做标记，以方便事后检查。 ?资产值是评估报告的重要数据。

?销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以 便项目小组分析制定项目计划使用。 四、项目前期准备 4.1、工作说明 ?准备项目实施PPT，人工评估原始文档（对象评估文档）， 扫描工具、渗透测试工具、保密协议和授权书 ?项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档 《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字

企业信息安全管理中文题库

案例研究＃1 高山滑雪高山滑雪众议院众议院概况经营滑雪胜地，提供住宿，餐饮，娱乐等为客户提供服务。该公司最近收购了4 Contoso的度假胜地从有限公司物理位置该公司的主要办事处设在丹佛。公司有10个度假胜地，在北美，其中3个在加拿大。被收购的四个新度假村位于欧洲。每个度假村有90至160个用户以下计划的变化。变化的计划将在未来3个月： 该公司将在维也纳开设分支机构。维也纳办事处将支持美国四大欧洲度假胜地以同样的方式说，丹佛的办公室目前支持朝鲜。 在北美的所有服务器将更新到Windows Server 2003。 所有客户端电脑将升级到Windows XP专业版。服务器 在4.0域的成员和客户端计算机在Windows NT升级，将在NT域迁移到Active Directory 中。 一个新的文件名为Server1的服务器将安装和配置。它将运行Windows Server 2003。 每个度假村将作为度假等未经验证的用户，一些客户亭安装。 为了保持市场竞争力的高档，该公司将无线互联网连接提供给客户参观的胜地。业务流程信息技术（IT）部门是位于丹佛的办公室。IT部门经营公司的网站，数据库和电子邮件服务器。IT部门还管理丹佛办公室客户的电脑。IT人员前往度假胜地进行重大升级，新安装，故障排除和先进的美国北的服务器在该度假村位于英寸每个度假村都至少有一个桌面支持技术人员，以支持客户端计算机。根据他们的经验，有些技术人员有可能被诉诸行政服务器的权利。欧洲度假村有一个共同的财务部。人力资源（人事）部门保持一个Web应用程序命名https://www.wendangku.net/doc/483479475.html,，提供个性化的信息保密每名雇员。该应用程序具有以下特点： 它使用https://www.wendangku.net/doc/483479475.html,和https://www.wendangku.net/doc/483479475.html,。70 - 298领先的IT测试和认证的方式工具， 这是在丹佛举行的一个Web服务器办公室。 员工可以访问应用程序从家里或工作。 保留部门的公共网站维护一个名为https://www.wendangku.net/doc/483479475.html,。该网站具有以下特点： 它使用https://www.wendangku.net/doc/483479475.html,和https://www.wendangku.net/doc/483479475.html,。 它是从互联网上查阅的任何地方。 这个网站还包括该公司对每一个静态内容的手段。目录服务使用Active Directory域命名为北美https://www.wendangku.net/doc/483479475.html,。丹佛IT部门管理的领域。 该https://www.wendangku.net/doc/483479475.html,域仍将是林的根域。欧洲金融部门具有Windows NT 4.0域命名CONTOSODOM。每个欧洲城包含一个域控制器运行Windows NT Server 4.0的所有员工都和连接用户帐户在Active Directory或在Windows NT 4.0域。现有的网络基础设施的地点是在展会上展出的网络图。

2016年下半年信息安全工程师真题及答案(下午)

2016年下半年信息安全工程师真题及答案（下午） 试题一（共20分）阅读下列说明和图，回答问题1至问题4，将解答填入答题纸的对应栏内。 【说明】 研究密码编码的科学称为密码编码学，研究密码破译的科学称为密码分析学，密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。 【问题 1】（ 9 分） 密码学的安全目标至少包括哪三个方面？具体内涵是什么？ （ 1）保密性：保密性是确保信息仅被合法用户访问，而不被地露给非授权的用户、实体 或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。 （ 2）完整性：完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。 信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 （ 3）可用性：可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。 信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。 【问题 2】（ 3 分） 对下列违规安全事件，指出各个事件分别违反了安全目标中的哪些项？ (1)小明抄袭了小丽的家庭作业。(2)小明私自修改了自己的成绩。 （3）小李窃取了小刘的学位证号码、登陆口令信息，并通过学位信息系统更改了小刘的 学位信息记录和登陆口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。 （ 1）保密性 （ 2）完整性 （ 3）可用性 【问题 3】（ 3 分） 现代密码体制的安全性通常取决于密钥的安全，为了保证密钥的安全，密钥管理包括哪些技术问题？ 答：密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。 【问题4】（5分）在图1-1给出的加密过程中，Mi，z=1，2，表示明文分组，Ci，f=1，2，表示密文分组，Z表示初始序列，K 表示密钥，E表示分组加密过程。该分组加密过程属于哪种工作模式？这种分组密码的工作模式有什么缺点？明密文链接模式。 缺点：当Mi或Ci中发生一位错误时，自此以后的密文全都发生错误，即具有错误传播无界的特性，不利于磁盘文件加密。并且要求数据的长度是密码分组长度的整数否后一个数据块将是短块，这时需要特殊处理。 试题二（共 10 分） 阅读下列说明和图，回答问题 1 至问题 2，将解答填入答题纸的对应栏内。 【说明】 访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许用户对资源的访问。图 2-1 给出了某系统对客体 traceroute.mpg 实施的访问控制规则。

信息技术与信息安全 题库及答案

2014广西信息技术与信息安全公需科目题库（一） 1.(2分) 特别适用于实时和多任务的应用领域的计算机是（D）。 A. 巨型机 B. 大型机 C. 微型机 D. 嵌入式计算机 2.(2分) 负责对计算机系统的资源进行管理的核心是（C）。 A. 中央处理器 B. 存储设备 C. 操作系统 D. 终端设备 3.(2分) 2013年12月4日国家工信部正式向中国移动、中国联通、中国电信发放了（C）4G牌照。 A. WCDMA B. WiMax C. TD-LTE D. FDD-LTE 4.(2分) 以下关于盗版软件的说法，错误的是（A）。 A. 若出现问题可以找开发商负责赔偿损失 B. 使用盗版软件是违法的 C. 成为计算机病毒的重要来源和传播途径之一 D. 可能会包含不健康的内容 5.(2分) 涉密信息系统工程监理工作应由（A）的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 具有涉密工程监理资质的单位 C. 保密行政管理部门 D. 涉密信息系统工程建设不需要监理 6.(2分) 以下关于智能建筑的描述，错误的是（B）。 A. 智能建筑强调用户体验，具有内生发展动力。 B. 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。 C. 建筑智能化已成为发展趋势。 D. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 7.(2分) 网页恶意代码通常利用（C）来实现植入并进行攻击。 A. 口令攻击 B. U盘工具 C. IE浏览器的漏洞 D. 拒绝服务攻击 8.(2分) 信息系统在什么阶段要评估风险？（D） A. 只在运行维护阶段进行风险评估，以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。 B. 只在规划设计阶段进行风险评估，以确定信息系统的安全目标。 C. 只在建设验收阶段进行风险评估，以确定系统的安全目标达到与否。 D. 信息系统在其生命周期的各阶段都要进行风险评估。 9.(2分) 下面不能防范电子邮件攻击的是（D）。

GBT22080：2016信息安全风险评估报告

编号：JL-LHXR-007 信息安全风险评估报告 编制：风险评估小组 审核： 批准：

一、项目综述 1 项目名称： 公司信息安全管理体系认证项目风险评估。 2项目概况： 在科技日益发展的今天，信息系统已经成支撑公司业务的重要平台，信息系统的安全与公司安全直接相关。为提高本公司的信息安全管理水平，保障公司生产、经营、服务和日常管理活动，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的事故，公司开展贯彻《信息技术-安全技术-信息安全管理体系-要求》标准的工作，建立本公司文件化的信息安全管理体系。 3 信息安全方针： 一）信息安全管理机制 1．公司采用系统的方法，按照信息安全标准建立信息安全管理体系，全面保护本公司的信息安全。 二）信息安全管理组织 1．公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求，提供信息安全资源。 2．公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。 3．在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系的有效运行。 4．与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。 三）人员安全 1．信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。 2．对本公司的相关方，要明确安全要求和安全职责。 3．定期对全体员工进行信息安全相关教育，包括技能、职责和意识等以提高安全意识。4．全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。

2016年信息安全工程师考试习题及答案

考试必赢 2016 年信息安全工程师考试习题复习 一、单项选择题 1 ?信息安全的基本属性是_____ 。 A. 保密性 B.完整性 C.可用性、可控 性、可靠 性 D.A, B, C都是 答案：D 2．假设使用一种加密算法,它的加密方法很简单：将每一个字 母加5,即a加密成f。这种算法的密钥就是5,那么它属于。 A. 对称加密技术 B.分组密码技术 C. 公钥加密 技术 D.单向函数密码技术 答案：A 3.密码学的目的是。 A. 研究数据加密 B.研究数据解密 C. 研究数据 保密 D.研究信息安全 答案：C 4. A方有一对密钥（KA公开，KA秘密），B方有一对密钥（KB 公开，KB秘密），A方向B方发送数字签名M对信息M加密为：M =KB公开（K A秘密（M ）。B方收到密文的解密方案是_______ A.KB公开（KA秘密（M ）） B. KA公开（KA公开（M ））

C. KA公开（KB秘密（M ）） D. KB秘密（KA秘密（M ）） 答案：C 5．数字签名要预先使用单向Hash 函数进行处理的原因是 A. 多一道加密工序使密文更难破译 B .提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文答案：C 6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述 不正确的是 ___ 。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制答案：B 7. 防火墙用于将In ternet和内部网络隔离_______ 。 A. 是防止In ternet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施答案：B 8. ________________________ PKI支持的服务不包括。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务答案：D 9. 设哈希函数H有128个可能的输出（即输出长度为128位）,如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5 ,则k约等于 A . 2128 B. 264 C. 232 D. 2256 答案：B 10. Bell-LaPadula模型的出发点是维护系统的______ ，而Bib a 模型与Bell-LaPadula 模型完全对立，它修正了Bell-LaPadula 模型所忽略的信息的 _____ 问题。它们存在共同的缺点：直接绑定主体与客体，授权工作困难。 A.保密性可用性 B.可用性保密 性 C.保密性完整性 D.完整性保密性 答案：C 二、填空题