信息安全法律法规与标准练习题


第1题(单选题)

1994年我国颁布的第一个与信息安全有关的法规是什么?

A:国际互联网管理备案规定

B:计算机病毒防治管理办法

C:网吧管理规定

D:中华人民共和国计算机信息系统安全保护条例

第2题()

第3题(单选题)

《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)是我国在信息系统安全保护方面最早制定的一部行政法规,也是我国信息系统安全保护最基本的一部法规,它的主要内容是()

A:提出健全安全防护和管理,加强政府和涉密信息系统安全管理,要保障核设施、航空航天、先进制造等重要领域工业控制系统安全,要强化信息资源和个人信息保护

B:明确了信息安全风险评估工作的基本内容和原则、工作要求和工作安排。信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实践”的原则开展

C:规定了信息安全等级保护制度、计算机机房安全保护制度、国际互联网备案制度、信息媒体出入境申报制度、信息安全管理负责制度等,说明了相关安全监督和法律责任方面的具体事项

D:讲求政府信息系统安全和保密管理工作提出了四点要求:加强组织领导,明确安全责任;强化教育培训,提高安全意识和防护技能:建立健全安全管理制度,完善安全措施和手段;做好信息安全检查工作,依法追究责任

第4题(单选题)

我国信息安全法律体系经过二十多年的发展,现行的法律法规及规章中,与信息安全有关的已有近百部。在文件形式上,分为法律、行政法规和部门规章,及规范性文件三个层面。以下文件属于我国法律层面的是()。

A: 《关于加强信息安全保障工作的意见》

B:《中华人民共和国计算机信息网络国际联网管理暂行规定》

C:《计算机信息系统安全专用产品检测和销售许可证管理办法》

D: 《全国人大常委会关于维护互联网安全的决定》

第5题(单选题)

下面关于各项涉及我国法律法规的描述中,错误的是()。

A:《信息安全法》是我国第一部维护信息安全、预防信息犯罪的基本法律

B:《宪法》中有部分条款涉及信息安全,并对保护公民权益作出了规定

C:《刑法》中有部分条款涉及信息安全和计算机犯罪行为,为相关犯罪行为的处罚规定提供了依据

D:《保守国家秘密法》是我国保守国家秘密、维护国家安全和利益的重要法律保障,同时明确了泄密的法律责任认定,是查处泄密违法行为有据可依、有章可循

第6题(单选题)

我国信息安全法律体系,主要由法律、行政法规、部门规章和规范性文件等部分组成,以下属于部门规章和规范性文件的是()。

A:《全国人大常委会关于维护互联网安全的决定》

B:《中华人民共和国计算机信息网络国际联网管理暂行规定》

C:《计算机信息系统安全专用产品检测和销售许可证管理办法》

D:《关于加强信息安全保障工作的意见》

第7题(单选题)

以下关于我国信息安全政策和法律法规的说法错误的是:

A:中办发【2003】27号文提出“加快信息安全人员培养,增强全民信息安全意识”

B:2008年4月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》

C:2007年我国四部委联合发布了《信息安全等级保护管理办法》

D:2006年5月全国人大常委会审议通过了《中国人民共和国信息安全法》

第8题(单选题)

<p>2003年以来,我国高度重视信息安全保障工作。先后制定并发布了多个文件,从政策层面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件 ( )</p>

A 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)

B 《国家网络安全综合计划(CNCI)》(国令【2008】54号)

C 《国家信息安全战略报告》(国信【2005】2号)

D 《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发【2012】23号)

第9题(单选题)

<p>关于信息安全保障技术框架(Information Assurance Technical Framework,IATF),下面描述错误的是( )</p>

A IATF最初由美国国家安全局(NSA)发布,后来由国际标准化组织(ISO)转化为国际标准,供各个国家信息系统建设参考使用

B IATF是一个通用框架,可以用到多种应用场景中,通过对复杂信息系统进行解构和描述,然后再以此框架讨论信息系统的安全保护问题

C IATF提出了深度防御的战略思想,并提供一个框架进行多层保护,以此防范信息系统面临的各种威胁

D 强调人、技术和操作是深度防御的三个主要层面,也就是说讨论人在技术支持下运行维护的信息安全保障问题

第10题(单选题)

<p>目前,信息系统面临外部攻击者的恶意攻击威胁,从威胁能力和掌握资源分,这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分,则下面选项中属于组织威胁的是 ( )</p>

A 喜欢恶作剧、实现自我挑战的娱乐型黑客

B 实施犯罪、获取非法经济利益网络犯罪团伙

C 搜集政治、军事、经济等情报信息的情报机构

D 巩固战略优势,执行军事任务、进行目标破坏的信息作战部队

第11题()

第12题(单选题)

<p>国务院信息化工作办公室于2004年9月份下发了《关于做好重要信息系统灾难备份工作的通知》该文件中指出了我国灾备工作原则,下面哪项不属于该工作原则 ( )</p>

A 统筹规划

B 分级建设

C 资源共享

D 平战结合

第13题(单选题)

<p>以下系统工程说法错误的是 ( )</p>

A 系统工程是基本理论的技术实现

B 系统工程是一种对所有系统都具有普遍意义的科学方法

C 系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法

D 系统工程是一种方法论

第14题(单选题)

<p>在某网络机房建设项目中,在施工前,以下哪一些不属于监理需要审核的内容 ( )</p>

A 审核实施投资计划

B 审核实施进度计划

C 审核工程实施人员

D 企业资质

第15题(单选题)

<p>以下关于项目的含义,理解错误的是 ( )</p>

A 项目是为达到特定的目的,使用一定资源,在确定的期间内,为特定发起人而提供特定的产品,服务或成果而进行的一次性努力

B 项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定

C 项目资源指完成项目所需要的人、财、物等

D 项目目标要遵守SWART原则,即项目的目标要求具体(Specific)、可测量(Measurehle),需相关方的一致同意(Agree.to)、现实(Rcalistic)、有一定的时限(Time-oriented)

第16题(单选题)

<p>有关系统工程的特点,以下错误的是 ( )</p>

A 系统工程研究问题一般采用先决定具体政策,后进入详细设计的程序

B 系统工程的基本特点,是需要把研究对象结构为多个组成部分分别提交研究

C 系统工程研究强调多学科协作,根据研究问题涉及到的学科和专业范围,组成一个知识结构合理的专家体系

D 系统工程研究是以系统思想为指导,采取的理论和方法是综合集成各学科、各领域的理论和方法

第17题(单选题)

<p>以下哪一项是数据完整性得到保护的例子?</p>

A:某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作

B:在提款过程中ATM终端发生故障,银行业务系统及时对该用户的帐户余额进行了充正操作

C:某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作

D:李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看

第18题(单选题)

GB/T 18336《信息技术安全性评估准则》是测评标准类中的重要标准,该标准定义了保护轮廓(Protection Profile,PP)和安全目标(Security Target,ST)的评估准则,提出了评估保证级(eva luation Assurance Level,EAL),其评估保证级共分为()个递增的评估保证等级。

A:4

B:5

C:6

D:7

第19题(单选题)

“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案()。

A:评估对象(TOE)

B:保护轮廓(PP)

C:安全目标(ST)

D:评估保证级(EAL)

第20题(单选题)

<p>关于信息安全管理体系,国际上有标准《Information technology Security techniques Information security management systems Requirements》(ISO/IEC 27001:2013),而我国发布了《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2008),请问,这两个标准的关系是()。</p>

A:IDT(等同采用),此国家标准等同于该国际标准,仅有或没有编辑性修改

B:EQV(等效采用),此国家标准等效于该国际标准,技术上只有很小差异

C:NEQ(非等效采用)此国家标准不等效于该国际标准

D:没有采用与否的关系,两者之间版本不同,不应直接比较

第21题(单选题)

<p>2005年,RFC 4301(Request for Comments 4301:Security Architecture fot the Internet Protocol)发布,用以取代原先的RPC2401,该标准建议规定了IPsec系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务,请问此类RPC系列标准建议是由哪个组织发布的()。</p>

A:国际标准化组织(International Organization for Standardization,ISO)

B:国际电工委员会(International Electrotechnical Commission ,IEC)

C:国际电信联盟远程通信标准化组织(ITU Telecommunication Standardiza-tion Sector,ITU-T)

D:Internet工程任务组(InternetEngineering Task Force,IETF)

第22题(单选题)

关于标准,下面哪项理解是错误的()。

A:标准是在一定范围内为了获得最佳秩序,经协商一致制定并由公认机构批准,共同重复使用的一种规范性文件,标准是标准化活动的重要成果

B:国际标准是由国际标准化组织通过并公开发布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突时,应以国际标准条款为准

C:行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准,同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准

D:地方标准由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止

第23题(单选题)

根据信息安全风险要素之间的关系,下图中空白处应该填写()。<img src="app/core/styles/exam_title/1_20161123141104_JTgwJTgwJTgwJTgwMQ==.png">

A:资产

B:安全事件

C:脆弱性

D:安全措施

第24题(单选题)

关于信息安全管理体系的作用,下面理解错误的是()。

A:对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查

B:对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入

C:对外而言,有助于使各利益相关方对组织充满信心

D:对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任

第25题(单选题)

<p>信息安全是国家安全的重要组成部分,综合研究当前世界各国信息安全保障工作,下面总结错误的是()。</p>

A:各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点

B:各国普遍重视战略规划工作,逐步发布网络安全战略、政策评估报告、推进计划等文件

C:各国普遍加强国际交流与对话,均同意建立一致的安全保障系统,强化各国安全系统互通

D:各国普遍积极推动信息安全立法和标准规范建设,重视应急响应、安全管理和安全测评

第26题(单选题)

《信息安全保障技术框架》(Information Assurance Technical Framework,IATF)是由下面哪个国家发布的()。

A:中国

B:美国

C:俄罗斯

D:欧盟

第27题(单选题)

从历史演进来看,信息安全的发展经历了多个阶段,其中,有一个阶段的特点是:网络信息系统逐步形成,信息安全注重保护信息在存储、处理和传输过程中免受非授权的访问,开始使用防火墙、防病毒、PKI和VPN等安全产品,这个阶段是()。

A:通信安全阶段 主要是防窃密

B:计算机安全阶段 主要是针对计算机本身的安全

C:信息系统安全阶段 网络安全

D:信息安全保障阶段 综合保障

第28题(单选题)

在设计信息系统安全保障方案时,以下哪个做法是错误的:

A:要充分切合信息安全需求并且实际可行

B:要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本

C:要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求

D:要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍

第29题(单选题)

业务连续性计划使用下列哪种测试方法是合适的?

A: 试运行

B: 纸面

C: 单元

D: 系统

第30题()

第31题(单选题)

信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作:

A:明确业务对信息安全的要求

B:识别来自法律法规的安全要求

C:论证安全要求是否正确完整

D:通过测试证明系统的功能和性能可以满足安全要求

第32题(单选题)

RFC系列标准是由( )发布的:

A:国际标准化组织(ISO)

B:国际电工委员会(IEC)

C:国际贸易中心(ITC)

D:互联网工程任务组IETF

第33题(单选题)

以下哪些是需要在信息安全策略中进行描述的:

A:组织信息系统安全架构

B:信息安全工作的基本原则

C:组织信息安全技术参数

D:组织信息安全实施手段

第34题(单选题)

假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备

A:是多余的,因为它们完成了同样的功能,但要求更多的开销

B:是必须的,可以为预防控制的功效提供检测

C:是可选的,可以实现深度防御

D:在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制的功能已经足够

第35题(单选题)

风险分析的关键要素是:

A:审计计划

B:控制

C:脆弱点

D:责任

第36题(单选题)

<p>下列对于信息安全保障深度防御模型的说法错误的是:</p>

A:信息安全外部环境:信息安全保障是组织机构安全,国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策.法律法规和标准的外部环境制约下

B:信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统

C:信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分

D:信息安全技术方案:“从外而内,自下而上,形成边界到端的防护能力”

第37题(单选题)

以下哪一项不是信息安全管理工作必须遵循的原则?

A:风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中

B:风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作

C:由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低

D:在系统正式运行后,应注重残余风险的管理,以提高快速反应能力

第38题(单选题)

以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:

A:出入的原因

B:出入的时间

C:出入口的位置

D:是否成功进入

第39题(单选题)

下列哪些内容应包含在信息系统战略计划中?

A:已规划的硬件采购的规范

B:将来业务目标的分析

C:开发项目的目标日期

D:信息系统不同的年度预算目标

第40题(单选题)

<p>ISO27002中描述的11个信息安全管理的控制领域不包括:</p>

A:信息安全组织

B:资产管理

C:内容安全

D:人力资源安全

第41题(单选题)

<p>SSE-CMM将工程过程区域分为三类,即风险过程、工程过程、和保证过程,下面对于保证过程的说法错误的是:</p>

A:保证是指安全需求得到满足的可信任程度

B:信任程度来自于对安全工程过程结果质量的判断

C:自验证与证实安全的主要手段包括观察、论证、分析和测试

D:PA“建立保证论据”为PA“验证与证实安全”提供了证据支持

第42题(单选题)

<p>根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。</p>

A:保证过程

B:风险过程

C:工程和保证过程

D:安全工程过程

第43题(单选题)

<p>SSE-CMM工程过程区域中的风险过程包含哪些过程区域:</p>

A:评估威胁、评估脆弱性、评估影响

B:评估威胁、评估脆弱性、评估安全风险

C:评估威胁、评估脆弱性、评估影响、评估安全风险

D:评估威胁、评估脆弱性、评估影响、验证和证实安全

第44题(单选题)

一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?

A:2级——计划和跟踪

B:3级——充分定义

C:4级——量化控制

D:5级——持续改进

第45题()

第46题(单选题)

风险评估方法的选定在PDCA循环中的哪个阶段完成?

A:实施和运行

B:保持和改进

C:建立

D:监视和评审

第47题(单选题)

在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是:

A:分析系统的体系结构

B:分析系统的安全环境

C:制定风险管理计划

D:调查系统的技术特性

第48题(单选题)

下面有关能力成熟度模型的说法错误的是:

A:能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类

B:使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域

C:使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域

D:SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型

第49题(单选题)

<p>金女士经常通过计算机网络购物,从安全角度看,下面哪项是不好的操作习惯( )?</p>

A:使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件.应用软件进行升级

B:为计算机安装具有良好声誉的安全防范软件,包括病毒查杀.安全检查和安全加固方面的软件

C:在IE的配置中,设置只能下载和安装经过签名的.安全的ActiveX控件

D:在使用网络浏览器时,设置不在计算机中保留网络历史记录和表单数据

第50题(单选题)

<p>下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:</p>

A:风险过程

B:保证过程

C:工程过程

D:评估过程

第51题(单选题)

<p>建立数据所有权关系的任务应当是下列哪一种人的责任?</p>

A:职能部门用户

B:内部审计人员

C:数据处理人员

D:外部审计人员

第52题(单选题)

能涵盖损失的最好的保险单类型是:

A:基本保险单

B:扩展保险单

C:特殊的涵盖所有风险的保险单

D:与风险类型相称的保险

第53题(单选题)

<p>P2DR模型不包括:</p>

A:策略

B:检测

C:响应

D:加密

第54题(单选题)

信息安全管理体系描述不正确的是:

A:是一个组织整体管理体系的组成部分

B:是有范围和边界的

C:是风险评估的手段

D:其基本过程应遵循PDCA循环

第55题(单选题)

<p>软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的政策和实际行为是矛盾的?</p>

A:员工的教育和培训

B:远距离工作(Telecommuting)与禁止员工携带工作软件回家

C:自动日志和审计软件

D:政策的发布与政策的强制执行

第56题(单选题)

对戴明环"PDCA"方法的描述不正确的是:

A:“PDCA”的含义是P-计划,D-实施,C-检查,A-改进

B:“PDCA”循环又叫"戴明"环

C:“PDCA"循环是只能用于信息安全管理体系有效进行的工作程序

D:“PDCA”循环是可用于任何一项活动有效进行的工作程序

第57题(单选题)

下述选项中对于"风险管理"的描述不正确的是:

A:风险管理是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通。

B:风险管理的目的是了解风险并采取措施处置风险并将风险消除。

C:风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。

D:在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。

第58题(单选题)

以下关于可信计算说法错误的是:

A:可信的主要目的是要建立起主动防御的信息安全保障体系

B:可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算机的概念

C:可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信

D:可信计算平台出现后会取代传统的安全防护体系和方法

第59题(单选题)

<p>风险是需要保护的( )发生损失的可能性,它是( )和( )综合结果。</p>

A:资产,攻击目标,威胁事件

B:设备,威胁,漏洞

C:资产,威胁,脆弱性

D:以上都不对

第60题(单选题)

下面威胁中不属于抵赖行为的是:

A:发信者事后否认曾经发送过某条消息

B:收信者事后否认曾经接收过某条消息

C:发信者事后否认曾经发送过某条消息的内容

D:收信者接收消息后更改某部分内容

第61题(单选题)

以下哪一种判断信息系统是否安全的方式是最合理的?

A:是否已经通过部署安全控制措施消灭了风险

B:是否可以抵抗大部分风险

C:是否建立了具有自适应能力的信息安全模型

D:是否已经将风险控制在可接受的范围内

第62题(单选题)

以下列哪种处置方法属于转移风险?

A:部署综合安全审计系统

B:对网络行为进行实时监控

C:制订完善的制度体系

D:聘用第三方专业公司提供维护外包服务

第63题(单选题)

对操作系统打补丁和系统升级是以下哪种风险控制措施?

A:降低风险

B:规避风险

C:转移风险

D:接受风险

第64题(单选题)

以下哪一项可认为是具有一定合理性的风险?

A:总风险

B:最小化风险

C:可接受风险

D:残余风险

第65题(单选题)

在风险管理工作中“监控审查”的目的,一是:________二是_________。

A:保证风险管理过程的有效性,保证风险管理成本的有效性

B:保证风险管理结果的有效性,保证风险管理成本的有效性

C:保证风险管理过程的有效性,保证风险管理活动的决定得到认可

D:保证风险管理结果的有效性,保证风险管理活动的决定得到认可

第66题(单选题)

风险管理四个步骤的正确顺序是:

A:背景建立、风险评估、风险处理、批准监督

B:背景建立、风险评估、审核批准、风险控制

C:风险评估、对象确立、审核批准、风险控制

D:风险评估、风险控制、对象确立、审核批准

第67题(单选题)

在风险管理的过程中,"建立背景"(即"对象确立")的过程是哪四个活动?

A:风险管理准备、信息系统调查、信息系统分析、信息安全分析

B:风险管理准备、信息系统分析、信息安全分析、风险政策的制定

C:风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析

D:确定对象、分析对象、审核对象、总结对象

第68题(单选题)

<p>下列对风险分析方法的描述正确的是:</p>

A:定量分析比定性分析方法使用的工具更多

B:定性分析比定量分析方法使用的工具更多

C:同一组织只能使用一种方法进行评估

D:符合组织要求的风险评估方法就是最优方法

第69题(单选题)

某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?

A:部门经理

B:高级管理层

C:信息资产所有者

D:最终用户

第70题(单选题)

<p>在一个有充分控制的信息处理计算中心中,下面哪一项可以由同一个人执行?</p>

A:安全管理和变更管理

B:计算机操作和系统开发

C:系统开发和变更管理

D:系统开发和系统维护

第71题(单选题)

以下关于“最小特权”安全管理原则理解正确的是:

A:组织机构内的敏感岗位不能由一个人长期负责

B:对重要的工作进行分解,分配给不同人员完成

C:一个人有且仅有其执行岗位所足够的许可和权限

D:防止员工由一个岗位变动到另一个岗位,累积越来越多的权限

第72题(单选题)

根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:

A:系统级演练、业务级演练、应用级演练

B:系统级演练、应用级演练、业务级演练

C:业务级演练、应用级演练、系统级演练

D:业务级演练、系统级演练、应用级演练

第73题(单选题)

以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?

A:组织机构内的敏感岗位不能由一个人长期负责

B:对重要的工作进行分解,分配给不同人员完成

C:一个人有且仅有其执行岗位所足够的许可和权限

D:防止员工由一个岗位变动到另一个岗位,累积越来越多的权限

第74题(单选题)

在构建一个单位的内部安全管理组织体系的时候,以下哪一项不是必需考虑的内容?

A:高级管理层承诺对安全工作的支持

B:要求雇员们遵从安全策略的指示

C:在第三方协议中强调安全

D:清晰地定义部门的岗位的职责

第75题(单选题)

灾难发生后,系统和数据必须恢复到灾难发生前的

A:时间要求

B:时间点要求

C:数据状态

D:运行状态

第76题(单选题)

当发现信息系统被攻击时,以下哪一项是首先应该做的?

A:切断所有可能导致入侵的通信线路

B:采取措施遏制攻击行为

C:判断哪些系统和数据遭到了破坏

D:与有关部门联系

第77题(单选题)

应急方法学定义了安全事件处理的流程,这个流程的顺序是:

A:准备-遏制-检测-根除-恢复-跟进

B:准备-检测-遏制-恢复-根除-跟进

C:准备-检测-遏制-根除-恢复-跟进

D:准备-遏制-根除-检测-恢复-跟进

第78题(单选题)

以下哪种情形下最适合使用同步数据备份策略?

A:对灾难的承受能力高

B:恢复时间目标(RTO)长

C:恢复点目标(RPO)短

D:恢复点目标(RPO)长

第79题(单选题)

<p>当备份一个应用程序系统的数据时,以下哪一项是应该首先考虑的关键性问题?</p>

A:什么时候进行备份?

B:在哪里进行备份?

C:怎样存储备份?

D:需要备份哪些数据?

第80题(单选题)

以下关于直接附加存储(Direct Attached Storage,DAS)说法错误的是:

A:DAS能够在服务器物理位置比较分散的情况下实现大容量存储,是一种常用的数据存储方法

B:DAS实现了操作系统与数据的分离,存取性能较高并且实施简单

C:DAS的缺点在于对服务器依赖性强,当服务器发生故障时,连接在服务器上的存储设备中的数据不能被存取

D:较网络附加存储(Network Attached Storage,NAS),DAS节省硬盘空间,数据非常集中,便于对数据进行管理和备份

第81题(单选题)

2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是:

A:电子签名——是指数据电文中以电子形式所含.所附用于识别签名人身份并表明签名人认可其中内容的数据

B:电子签名适用于民事活动中的合同或者其他文件.单证等文书

C:电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务

D:电子签名制作数据用于电子签名时,属于电子签名人和电子认证服务提供者共有

第82题()

第83题(单选题)

<p>SSE-CMM,即系统安全工程能力成熟度模型,它的六个级别,其中计划和跟踪级着重于_______。</p>

A:规范化地裁剪组织层面的过程定义

B:项目层面定义、计划和执行问题

C:测量

D:一个组织或项目执行了包含基本实施的过程

第84题(单选题)

某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是Windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:

A:在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中

B:严格设置Web日志权限,只有系统权限才能进行读和写等操作

C:对日志属性进行调整,加大日志文件大小,延长日志覆盖时间,设置记录更多信息等

D:使用独立的分区用于存储日志,并且保留足够大的日志空间

第85题(单选题)

以下对信息安全风险管理理解最准确的说法是:

A:了解风险

B:转移风险

C:了解风险并控制风险

D:了解风险并转移风险

第86题(单选题)

风险管理中使用的控制措施,不包括以下哪种类型?

A:预防性控制措施

B:管理性控制措施

C:检查性控制措施

D:纠正性控制措施

第87题(单选题)

风险管理中的控制措施不包括以下哪一方面?

A:行政

B:道德

C:技术

D:管理

第88题(单选题)

风险评估不包括以下哪个活动?

A:中断引入风险的活动

B:识别资产

C:识别威胁

D:分析风险

第89题(单选题)

在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:

A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C:完整性、可用性、机密性、不可抵赖性

D:以上都不正确

第90题(单选题)

以下哪一项不是信息安全风险分析过程中所要完成的工作:

A:识别用户

B:识别脆弱性

C:评估资产价值

D:计算机安全事件发生的可能性

第91题(单选题)

<p>以下关于ISO/IEC27001所应用的过程方法主要特点说法错误的是:</p>

A:理解组织的信息安全要求和建立信息安全方针与目标的标准

B:从组织整体业务风险的角度管理组织的信息安全风险

C:监视和评审ISMS的执行情况和有效性

D:基于主观测量的持续改进

第92题(单选题)

<p>关于外包的论述不正确的是:</p>

A:企业经营管理中的诸多操作服务都可以外包

B:通过业务外包,企业也把相应的风险承担者转移给了外包商,企业从此不必对外包业务负任何直接或间接的责任

C:虽然业务可以外包,但是对与外包业务的可能的不良后果,企业仍然承担责任

D:过多的外包业务可能产生额外的操作风险或其他隐患

第93题(单选题)

以下哪一项措施可最有效地支持24/7可用性?

A: 日常备份

B: 异地存储

C: 镜像

D: 定期测试

第94题(单选题)

企业最终决定直接采购商业化的软件包,而不是开发。那么,传统的软件开发生产周期(SDLC)中设计和开发阶段,就被置换为:

A:挑选和配置阶段

B:可行性研究和需求定义阶段

C:实施和测试阶段

D:(无,不需要置换)

第95题()

第96题(单选题)

<p>按照SSE-CMM,能力级别第三级是指:</p>

A:定量控制

B:计划和跟踪

C:持续改进

D:充分定义

第97题(单选题)

<p>以下对PDCA循环解释不正确的是:</p>

A:处理

B:实施

C:检查

D:行动

第98题(单选题)

<p>在SSE-CMM中对工程过程能力的评价分为三个层次,由宏观到微观依次是:</p>

A:能力级别-公共特征(CF)-通用实践(GP)

B:能力级别-通用实践-(GP)-公共特征(CF)

C:通用实践-(GP)-能力级别-公共特征(CF)

D:公共特征(CF)-能力级别-通用实践-(CP)

第99题(单选题)

<p>根据SSE-CMM,安全工程过程能力由低到高划分为:</p>

A:未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别

B:基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别

C:基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别

D:未实施、基本实施、计划跟踪、充分定义4个级别

第100题(单选题)

<p>下列哪项不是SSE-CMM模型中工程过程的过程区域?</p>

A:明确安全需求

B:评估影响

C:提供安全输入

D:协调安全

第101题(多选题)

《网络安全法》规定:关键信息基础设施的运营者应当履行下列安全保护义务:

A.设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查

B.定期对从业人员进行网络安全教育、技术培训和技能考核

C.对重要系统和数据库进行容灾备份

D.制定网络安全事件应急预案,并定期进行演练

第102题(多选题)

《网络安全法》规定:网络运营者应履行以下安全保护义务:

A.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任

B.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施

C.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月

D.采取数据分类、重要数据备份和加密等措施

第103题(多选题)

<p>《网络安全法》规定:建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的( )。</p>

A.完整性

B.保密性

C.可用性

D.可复制性

第104题(多选题)

<p>《网络安全法》规定:遵循( )的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。</p>

A.积极利用

B.科学发展

C.依法管理

D.确保安全

第105题(多选题)

为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任

A:侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统

B:故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害

C:违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行

D:非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密

第106题(多选题)

习近平在中央网络安全和信息化领导小组第一次会议上旗帜鲜明的提出了?

A:没有网络安全就没有现代化

B:没有信息化就没有国家安全

C:没有网络安全就没有国家安全

D:没有信息化就没有现代化

第107题(多选题)

以下安全标准属于ISO7498-2规定的是( )?

A:数据完整性

B:Windows NT属于C2级

C:不可否认性

D:系统访问控制

第108题(判断题)

<p>《网络安全法》规定:经被收集人同意收集的个人信息,可以向他人或其他机构提供或出售。</p>

A.正确

B.错误

第109题(判断题)

<p>《网络安全法》规定:国家网信部门应当统筹协调有关部门,对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。</p>

A.正确

B.错误

第110题(判断题)

<p>《网络安全法》规定:建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、分步建设。</p>

A.正确

B.错误

第111题(判断题)

<p>《网络安全法》规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。</p>

A.正确

B.错误

第112题(判断题)

<p>《网络安全法》规定:国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。</p>

A.正确

B.错误

第113题(判断题)

<p>《网络安全法》规定:网络运营者可以拒绝为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。</p>

A.正确

B.错误

第114题(判断题)

<p>《网络安全法》规定:明知他人从事危害网络安全的活动的,不能参与,但可以为其提供技术支持、广告推广、支付结算等帮助。</p>

A.正确

B.错误

第115题(判断题)

<p>《网络安全法》规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。</p>

A.正确

B.错误

第116题(判断题)

<p>《网络安全法》规定:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,无需用户提供真实身份信息。</p>

A.正确

B.错误

第117题(判断题)

<p>《网络安全法》规定:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。</p>

A.正确

B.错误

第118题(判断题)

<p>《网络安全法》规定:网络产品、服务具有收集用户信息功能的,其提供者不需向用户明示并取得同意。</p>

A.正确

B.错误

第119题(判断题)

<p>《网络安全法》规定:国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。</p>

A.正确

B.错误

第120题(判断题)

<p>《网络安全法》规定:国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。</p>

A.正确

B.错误

第121题(判断题)

<p>《网络安全法》规定:国家限制开发网络数据安全保护和利用技术,限制公共数据资源开放。</p>

A.正确

B.错误

第122题(判断题)

<p>《网络安全法》规定:国家禁止网络安全社会化服务体系建设,禁止有关企业、机构开展网络安全认证、检测和风险评估等安全服务。</p>

A.正确

B.错误

第123题(判断题)

<p>《网络安全法》规定:任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。</p>

A.正确

B.错误