信息安全管理复习资料【习题版】

最新推荐文章于 2024-07-22 15:16:51 发布

有为肥宅

最新推荐文章于 2024-07-22 15:16:51 发布

阅读量392

点赞数

分类专栏：复习资料文章标签：安全

本文链接：https://blog.csdn.net/liu_xin233/article/details/134904339

版权

复习资料专栏收录该内容

17 篇文章 5 订阅

订阅专栏

一、判断题

信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×）
信息安全策略的制定和维护中，最重要的是要保证其明确性和相对稳定性。（√）
信息安全评测系统 CC 是国内标准。（×）
采用渗透性测试来检测系统安全脆弱性，是安全评估过程中的常用手段。(√)
资产责任人”是指有权限变更资产安全属性的人。 (√)
所有员工应该发现并报告安全方面的漏洞或弱点以及安全事件。（√）
灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。（√）
进行信息安全管理教育和培训，可以有效解决人员安全意识薄弱。（√）
《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。（√）
安全审计跟踪是审计安全事件并追踪系统安全检测的过程。（×）
安全风险评估过程中由于参数确定较为困难，实际往往多采取定性评估，或者定性和定量评估相结合的方法。（√）
信息设备到期报废、淘汰处置或改为他用时，应当清除存储在设备中的信息。（√）
所有员工应该发现并报告安全方面的漏洞或弱点以及安全事件。（√）
信息安全领域内最关键和最薄弱的环节是技术和管理制度。（×）
灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。（√）
系统备份是备份系统程序、应用程序、参数配置以及数据，以便迅速恢复系统运行。（√）
保护关键业务过程免受信息系统失误或灾难的影响，应定义恢复的优先顺序和时间指标。（√）
信息系统安全定级应由业务信息安全和系统服务安全两方面确定。（√）
安全事件监控是指基于合规性或审计目的来跟踪和记录安全数据，实时监控和分析安全事件的发生和可能。（×）
注入式攻击的根源在于程序命令和WEB用户请求数据不分。（√）
SET协议是一个PKI框架的在线交易安全通信协议。（√）
网络安全威胁分为物理威胁、软件威胁和信息威胁。（√）
网络攻击的难点是漏洞挖掘和权限获取。（×）
ISO17799 的合规性定义除了符合法律要求、安全策略和技术规范检查，还包括系统审查相关事项。（×）
一旦发现计算机违法犯罪案件，信息系统所有者应当在 2 天内迅速向当地公安机关报案，并配合公安机关的取证和调查。 （×）
我国刑法中有关计算机犯罪的规定，定义了 3 种新的犯罪类型。（×）
虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。（√）
《网络安全法》是 2017 年 1 月 1 日起正式施行。（×）（2017年6月1日施行）

二、单选题

1、信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。

A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段

2、信息安全管理领域权威的标准是（B）。

A.ISO 15408 B. ISO 17799/ISO 27001(英） C.ISO 9001 D. ISO14001

3、风险评估主要包括以下哪几个方面的评估？（B）

A. 资产、威胁、弱点 B. 资产及价值、威胁、弱点、已有控制措施

C. 资产及价值、威胁、弱点 D.资产、威胁、弱点、已有控制措施

4、信息安全管理体系是 PDCA 动态持续改进的一个循环体。下面理解不正确的是（A）。

A.推动PDCA循环，关键在P这个计划阶段

B.组织中的每个部分或个人，均可以 PDCA 循环，大环套小环，一层一层地解决问题。

C.每通过一次 PDCA 循环，都要进行总结，提出新目标，再进行第二次 PDCA 循环。

D.按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。

3、在策略生命周期中，以下哪个是正确的：(D)

A.需求分析、制定、发布、推行、审核、废除

B.制定、发布、推行、审核、修订、废除

C.需求分析、制定、发布、推行、审核、修订

D.需求分析、制定、发布、推行、审核、修订、废除

4、涉及国家秘密的计算机信息系统，必须 ( C ) 。

A. 实行逻辑隔离 B. 实行单向隔离 C. 实行物理隔离 D. 以上都不是

5、电源是计算机网络系统的命脉，计算机机房后备电源应选择(D)。

A. 蓄电池 B. 发电机 C. 干电池 D. UPS

6、区域安全管理中下面哪个描述是错误的？（C）

A.安全区域保护可采用围墙和门控，警卫、智能锁、电子监视和警报系统都是适当措施。

B.隔离送货区域、装载区域、信息处理设施，控制授权访问。

C.敏感信息处理设施的位置标示引人注目，安装监控。

D.来访人员进入需要审批并记录。

7、窃听技术是在窃听活动中使用的窃听设备和窃听方法的总称。不用中继技术窃听距离最远的技术是(A)。

A. 谐波无线窃听 B. 微波窃听 C. 激光窃听

D. 电话窃听 E. 定向麦克风 F. 外墙音频放大器

8、对于信息安全管理中的人力资源安全，以下理解不正确的是（B）

A.上岗前要对担任敏感和重要岗位的人员要考察其以往的违法违规记录

B.雇佣中要有及时有效的惩戒措施

C.出了事故后要有针对性地进行信息安全意识教育和技能培训

D.离职人员要撤销其访问权限

9、信息安全的符合性检查不包括（D）

A. 法律法规符合性 B. 技术标准符合性

C.安全策略符合性 D.内部审核活动

10、信息安全领域内最关键和最薄弱的环节是（D）。

A. 技术 B. 策略 C. 管理制度 D. 人

11、业务连续性管理 (BCM) 的原则是预防为先，恢复为后，其中预防的目的是(C)。

A. 减少威胁的可能性 B. 保护企业的弱点区域

C.减少灾难发生的可能性 D.防御危险的发生并降低其影响

12、当某个软件包的最新版本被安装到某个台式机时，它可能会影响其它软件包。哪个流程负责检查和判断其他软件包是否有必要测试或者重新安装？(A)

A. 发布管理 B. IT 服务持续性管理 C. 问题管理 D. 变更管理

13、1999 年我国发布的信息安全等级保护国家标准 GB 17859-1999 考了美国的 TCSEC 标准，将信息系统的安全等级划分为（C）个等级。

A.7 B.6 C.5 D. 4

14、在建立信息安全管理体系时，首先应该做的事情是（B）

A. 风险评估 B. 建立信息安全方针和目标 C. 风险管理 D. 制定安全策略

15、风险评估过程中的预防性控制措施是（D）。

A. 强制访问控制 B. 告警 C. 审核活动 D. 入侵监测方法

16、在策略生命周期中，以下哪个是正确的（D）

A.需求分析、制定、发布、推行、审核、废除

B.制定、发布、推行、审核、修订、废除

C.需求分析、制定、发布、推行、审核、修订

D.需求分析、制定、发布、推行、审核、修订、废除

17、信息安全的符合性检查不包括（D）

A.法律法规符合性

B.技术标准符合性

C.安全策略符合性

D.内部审核活动

18、物理安全包括（A）

A.设备安全、介质安全、系统安全、环境安全

B.设备安全、系统安全、环境安全、人员安全

C.设备安全、介质安全、环境安全、人员安全

D.设备安全、网络安全、环境安全、系统安全

19、计算机机房装修材料应符合 GB 50016《建筑设计防火规范》，选择（D）

A. 吸音、难燃、非燃材料 B. 防潮、防起尘材料

C. 抗静电材料、防辐射材料 D. 以上都是

20、区域安全管理中下面错误的描述是（C）

A.安全区域保护可采用围墙和门控，警卫、智能锁、电子监视和警报系统都是适当措施。

B.隔离送货区域、装载区域、信息处理设施，控制授权访问。

C.敏感信息处理设施的位置标示引人注目，安装监控。

D.来访人员进入需要审批并记录。

21、对于信息安全管理中的人力资源安全，以下理解不正确的是（C）

A.上岗前要对担任敏感和重要岗位的人员要考察其以往的违法违规记录；

B.离职人员要撤销其访问权限；

C.雇佣中要有及时有效的惩戒措施；

D.出了事故后要有针对性地进行信息安全意识教育和技能培训。

22、应急响应是组织为应对各种意外事件的发生所做的准备和采取的措施，方法顺序（A）

A.准备、检测、抑制、根除、恢复、跟踪

B.准备、跟踪、检测、抑制、根除、恢复

C.准备、检测、跟踪、抑制、恢复、根除

D.准备、抑制、根除、恢复、检测、跟踪

23、自主访问控制 DAC 和强制访问控制 MAC 的描述错误的是（D）

A.DAC 允许合法用户以用户或组的身份访问策略规定的客体；

B.DAC 允许用户自主授权自己拥有的客体的访问权限给其他用户；

C.MAC 中的主体和客体都有带偏序关系的安全等级标记；

D.MAC 是一种多级访问控制策略，客体的访问权限由操作系统决定。

24、信息安全等级保护工作的主要内容包括五个方面 (B)

A.策略、管理制度、技术、设备、测评

B.定级、备案、测评、建设整改、检查

C.定级、策略、设备、测评、检查

D.策略、定级、备案、测评、建设整改

25、信息系统安全等保定级时考察的受侵害客体是(D)

A. 公民、法人和其他组织的合法权益 B. 社会秩序、公共利益

C. 国家安全 D. 以上都是

26、人员安全管理原则不包括（C）

A. 多人负责 B. 任期有限 C. 授权管理 D. 职责分离

27、下面哪个是组织的信息资产？（C）

A. 家具 B. 场地 C. 电子邮件 D. 都是

28、下面哪个不是信息资产的保护措施？（B）

A. 编制资产清单 B. 分类标记 C. 指定责任人 D. 清查盘点

29、英国 ITIL 的核心模块是服务管理，下面哪个不属于服务提供管理流程？（C）

A. 服务级别管理 . 可用性管理 C. 发布管理 D. 服务财务管理

30、当某个软件包的最新版本被安装到某个台式机时，它可能会影响其它软件包。哪个流程负责检查和判断其它软件包是否有必要测试或者重新安装？（A）

A. 发布管理 B. IT 服务持续性管理 C. 问题管理 D. 变更管理

31、ITIL 安全事件监控的主要工作不包括（A）

A. 日志审计 B. 关联分析 C. 安全事件知识库 D.建立统一管理平台

32、安全审计流程不包括（C）

A. 事件采集 B. 事件分析 C. 事件监控 D. 事件响应

33、下面哪项不是网络威胁的原因（B）

A. 信息数字化网络化价值化 B. 信息安全存储 C. 信息访问控制失败 D. 威胁有动机，攻击技术易获得

34、网络攻击的技术目标不是（D）

A. 获得超级用户权限 B. 破坏网络信息的完整性、可用性

C. 改变网络运行的可控性 D. 挑战技术能力

35、按攻击方式，攻击类型可分为被动攻击和主动攻击，被动攻击难以（），然而（）这些攻击是可行的；主动攻击难以（），然而（）这些攻击是可行的。（C）

A. 检测，阻止，检测，阻止

B. 阻止，检测，检测，阻止

C. 检测，阻止，阻止，检测

D. 阻止，检测，阻止，检测

36、关于口令攻击的说法错误的是（D）

A. 口令破解包括字典破解、穷举破解、组合破解、彩虹表破解、猜测破解；

B. 口令套取包括权威逼取、友情索取、利诱骗取、窥视、盗取；

C. 撞库攻击是假设大量系统用户使用相同的密码注册，过程包括拖库、洗库和撞库；

D. 口令屏蔽包括SQL注入、URL注入、重放攻击、堆栈溢出攻击、欺骗攻击。

37、计算机信息系统安全等级保护的等级是由 (B) 确定

A. 计算机信息系统面临的风险

B. 计算机信息系统资源的经济和社会价值及其面临的风险

C. 计算机信息系统价值

D. 以上都不是

38、最终提交给普通终端用户，并且要求其签署和遵守的安全策略是（C）

A. 口令策略 B. 保密协议 C. 可接受使用策略 D. 责任追究制度

39、在完成大部分策略编制工作后，需对其进行总结和提炼，产生的成果文档称为(A)

A.可接受使用策略AUP B.安全方针 C.适用性声明 D.操作规范

40、（D）属于系统威胁。

A.不稳定的电力供应 B.硬件维护失误 C.软件缺乏审计记录 D.口令管理机制薄弱

41、风险评价是指（B）

A. 系统地使用信息来识别风险来源和评估风险

B. 将估算的风险与给定的风险准则加以比较以确定风险严重性的过程

C. 指导和控制一个组织相关风险的协调活动

D. 以上都对

42、在信息系统安全中,资产所具备的风险由以下哪两种因素共同构成的(C)

A.攻击和脆弱性 B.威胁和攻击 C.威胁和脆弱性 D.威胁和破坏

43、移动存储介质的管理和使用应防止（ABCD）

A. 信息失效 B. 病毒危害 C. 公私混用 D. 遗失、被盗

44、计算机机房应安装 (D)

A. 门禁、影像监控系统 B. 温度、湿度监控系统

C. 防火、防水、防潮系统 D. 以上都是

45、窃照装置也越来越多样化、微型化，下面（ABCD）属于窃照装置。

A. 可伸缩光学窥镜 B. 电视窥视录像机

C. 微光电视录像机 D. 光纤窥视系统

三、问答题

1、什么是信息安全管理体系 ISMS？建立 ISMS 分哪几步骤？

（1）信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体系。（2）建立 ISMS 的步骤：1-信息安全管理体系的策划与准备；2-信息安全管理体系文件的编制；3-建立信息安全管理框架；4-信息安全管理体系的运行；5-信息安全管理体系的审核与评审

2、简述信息安全风险的七大要素，并画图说明要素之间的相互关系。

（1）信息安全风险的七大要素：资产、威胁、脆弱性、影响、风险、安全措施和安全需求。

① 资产：是任何对组织有价值的东西；

② 威胁：可能导致信息安全事故和组织信息资产损失的活动，是利用脆弱性造成的后果；

③ 脆弱性：与信息资产有关的弱点或安全隐患，本身并不对资产构成危害，但是在一定条件得到满足时，会被威胁利用来危害信息资产；

④ 影响：是风险事件发生，对资产造成的后果，使一定资产或信息系统的机密性、完整性、可用性、不可否认、可审计性、真实性和可靠性遭到破坏。

⑤ 风险：是一定威胁利用资产脆弱性造成组织损失或破坏的潜在程度。

⑥ 安全措施：可以降低威胁利用脆弱性导致安全事件发生的可能性；

⑦ 安全需求：为了保护信息系统和数据的安全，需要满足的基本要求或目标。这些要素是为了应对不同的威胁和风险而提出的，以确保信息的保密性、完整性、可用性和可信度。

（2）要素之间的相互关系：

3、信息系统安全等保测评的目的是什么？如何确定其安全等级？试画出安全等级矩阵表

（1）目的：

① 掌握信息系统安全状况；

② 排查系统安全隐患和薄弱环节；

③ 明确信息系统安全建设整改需求；

④ 衡量信息系统安全保护措施是否符合等级保护基本要求；

⑤ 检验是否具备相应等级的安全保护能力。

（2）确定其安全等级

（3）安全等级矩阵表

4、简述信息安全管理中人员安全管理的三大基本原则，并进行相应的解释。

（1）多人负责原则，即每一项与安全有关的活动，都必须有两人或更多人在场；

（2）任期有限原则，任何人最好不要长期担任与安全有关的职务，以保持该职务具有竞争性和流动性；

（3）职责分离原则，出于对安全的考虑，科技开发、生产运行和业务操作都应当职责分离。

5、信息系统生命周期包括哪 5 个阶段？信息系统安全等级分哪几级？与系统生命周期对应的安全等级保护实施过程是什么？

（1）信息系统生命周期包括 5 个阶段：启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。

（2）信息系统安全等级分 5 级：1－自主保护级，2－指导保护级，3－监督保护级，4－强制保护级，5－专控保护级。

（3）与信息系统生命周期对应的等级保护实施过程有5步：系统定级、安全规则、安全实施、安全运行维护和系统终止。

6、试述网络安全防范的三种模型。

（1）边界保护模型（Perimeter Security Model）：这种模型将网络的安全边界设定为网络的入口和出口，对进出网络的数据流进行过滤和检查，以防止未经授权的访问和攻击。它主要包括防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）等安全设备。

（2）层次防御模型（Layered Security Model）：这种模型将网络划分为多个层次，每个层次都有不同的安全策略和保护措施。这种模型将安全任务划分为多个较小的部分，每个部分都可以独立管理和控制。例如，可以分别对网络层、应用层和数据层进行防御。

（3）动态防御模型（Dynamic Security Model）：这种模型强调对网络安全的持续监控和适应，它可以根据网络的使用情况和威胁的变化来动态调整安全策略和防御措施。这种模型通常使用安全信息和事件管理（SIEM）系统、端点安全解决方案、行为分析等技术来实现。

四、综合分析题

1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。请从信息安全管理上分析。

组织场所外的设备安全，应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险。

① 笔记本带出办公室，有丢失、被非法访问风险；采取随身锁的安全措施；

② 在家里使用，有感染病毒、泄露单位重要文件信息的风险；采取隔离家庭网络或防火墙、杀毒防护措施；

③ 染毒的笔记本带回办公室，有交叉感染办公室台式电脑的风险，有交叉拷贝数据文件被泄露的风险；采取严格的杀毒与隔离措施。

④ 如果工作有较高等级涉密信息，严禁将电脑带出办公室，并严管 U 盘使用，避免“摆渡”APT攻击。

⑤ 定期对单位进行信息安全管理培训，增强领导和员工的信息安全意识。