工控安全练习题


第1题(单选题)

近年来针对工控系统的攻击行为出现大幅增长的关键原因是?

A:攻击者的计算机及网络技术水平在不断提高

B:工控系统管理者的信息安全防护意识淡薄

C:工控系统逐步广泛采用了通用技术标准与互联网技术

D:攻击工控系统可获得巨大的经济利益

第2题(单选题)

系统定级、安全方案设计、产品采购等是__________部分要求

A.系统建设管理

B.系统运维

C.数据安全

D.主机安全

第3题(单选题)

安全等级保护基本要求为技术要求和管理要求,其中技术要求包括物理安全、网络安全、主机系统安全、应用安全和_______

A.整体安全

B.数据安全

C.操作系统安全

D.数据库安全

第4题(单选题)

从业务信息安全角度反映的信息系统安全保护等级称______

A.安全等级

B.信息系统等级保护

C.系统服务安全保护等级

D.业务信息安全保护等级

第5题(单选题)

信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全,在等保定义中应定义为第几级______

A.第一级

B.第二级

C.第三极

D.第四级

E.第五级

第6题(单选题)

当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由__________所确定

A.业务子系统的安全等级平均值

B.业务子系统的最高安全等级

C.业务子系统的最低安全等级

D.以上说法都错误

第7题(单选题)

信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定

A.经济价值 经济损失

B.重要程度 危害程度

C.经济价值 危害程度

D.重要程度 经济损失

第8题(单选题)

安全事件最终等级确定由______拟定,并报公司信息化建设及网络与信息安全领导小组审批。

A.公司信息中心

B.公司信息管理部

C.公司安全监管部

D.公司应急办

第9题(单选题)

________组织开展公司特别重大级信息安全事件、重大级信息安全事件的应急演练

A.分子公司信息中心

B.分子公司信息部

C.公司信息部

D.公司信息中心

第10题(单选题)

原则上要求各单位较大信息安全事件、一般信息安全事件的应急演练每年至少开展次数为_____

A.一次

B.两次

C.三次

D.四次

第11题(单选题)

公司信息安全事件按照其严重程度和影响范围分为四级,由高到低依次为______

A.特别重要、重要、较重要和一般

B.特别重大事件、重大事件、较大事件和一般事件

C.特别紧急、紧急、加急和一般

D.红色、橙色、黄色和蓝色

第12题(单选题)

______是分子公司下属各单位信息安全事件管理工作的实施部门

A.分子公司信息管理及运行部门

B.分子公司下属各单位安全监管部门

C.分子公司下属各单位信息管理及运行部门

D.分子公司安全监管部门

第13题(单选题)

______是公司信息安全事件管理工作的协助实施部门

A.公司安全监管部

B.公司信息部

C.公司信息中心

D.分子公司信息中心

第14题(单选题)

______是公司信息安全事件管理工作的牵头部门和归口管理部门

A.公司信息部

B.公司信息中心

C.分子公司信息部

D.分子公司信息中心

第15题(单选题)

安全策略:一个组织关于实现信息安全的___

A.实施细则

B.实施方案

C.基本指导规则

D.管理规范

第16题(单选题)

数据库安全防护策略应满足__中数据库基线技术有关要求

A.《电力行业信息系统安全等级保护基本要求》

B.《南方电网IT主流设备安全基线技术规范》

C.《中国南方电网有限责任公司信息安全防护管理办法》

D.《主机安全防护管理作业指导书》

第17题(单选题)

物理环境安全策略包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、电力供应和电磁防护等方面,防护策略应满足_______中信息系统相应安全等级物理安全和《电子计算机机房设计规范》有关要求

A.《电力行业信息系统安全等级保护基本要求》

B.《中国南方电网有限责任公司信息安全等级保护管理办法》

C.《中国南方电网有限责任公司安全防护管理办法》

D.《中国南方电网有限责任公司信息机房建设技术规范》

第18题(单选题)

信息安全自查 _____ 开展一次,专项检查根据上级部门要求开展

A.每年

B.每季度

C.每月

D.每周

第19题(单选题)

各分子公司发现可能影响全网的信息安全风险和信息安全事件时,应及时上报_____

A.公司信息部安运处

B.公司安全监管部

C.公司系统运行部

D.公司领导

第20题(单选题)

系统建设单位应确定其信息安全保护等级,并根据其确定的等级编制_____

A.系统安全设计方案

B.系统风险评估报告

C.信息系统安全等级保护定级报告

D.信息系统安全等级保护备案证明

第21题(单选题)

_____ 是公司信息安全督查管理工作的牵头部门

A.公司信息中心

B.公司安全监管部

C.公司应急办

D.公司信息部

第22题(单选题)

_____ 是公司信息安全督查管理工作的决策机构,负责对信息安全督查工作中相关考核意见的审批

A.公司信息化建设及网络与信息安全工作小组

B.公司信息化建设及网络与信息安全领导小组

C.公司信息部

D.公司信息中心

第23题(单选题)

<p>对于调度机构、变电站、发电厂涉网部分电力监控系统广域网络边界防火墙的安全策略及路由,其配置和变更必须报请相应( )审核,经批准后方可实施。</p>

A.业务部门

B.物资部门

C.运行维护部门

D.调度机构

第24题(单选题)

<p>网络拓扑、网络参数、网络路由、网络安全过滤规则的变更应当得到( )的批准,由网络管理员具体负责实施或监督实施。</p>

A.业务部门负责人

B.物资部门负责人

C.运行维护部门负责人

D.调度部门负责人

第25题(单选题)

<p>机房安全监控记录保存期至少为( )。</p>

A.一年

B.半年

C.三个月

D.一个月

第26题(单选题)

<p>《网络安全法》规定:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险( )至少进行一次检测评估。</p>

A.每两年

B.每年

C.每半年

D.第三个月

第27题(单选题)

<p>《网络安全法》规定:国家实施网络( ),支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。</p>

A.单向身份认证战略

B.双向身份认证战略

C.可信身份战略

D.隐蔽身份战略

第28题(单选题)

《网络安全法》规定:国家实行网络安全等级保护制度。

A.分类保护

B.等级保护

C.自主保护

D.强制保护

第29题(单选题)

<p>《网络安全法》规定:国家( )负责统筹协调网络安全工作和相关监督管理工作。</p>

A.网信部门

B.工信部门

C.电信主管部门

D.公安部门

第30题(单选题)

<p>就网络安全与信息化发展之间的关系,《网络安全法》规定:国家坚持( )。</p>

A.以网络安全为主,信息化发展为辅

B.以信息化发展为主,网络安全为辅

C.网络安全与信息化发展并重

D.先进行信息化建设,再进行网络安全建设

第31题(单选题)

《网络安全法》的适用范围是( )。

A.在中华人民共和国境内建设、运营、维护和使用网络

B.网络安全的监督管理

C.在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理

D.以上都不对

第32题(单选题)

按照我国信息安全等级保护的有关政策和标准,有些信息系统只需要自主定级、自主向公安机关备案即可,可以不需要上级或主管部门来测评和检查。此类信息系统应属于()

A 零级系统

B 一级系统

C 二级系统

D 三级系统

第33题(单选题)

我国标准《信息技术安全性评估准则》(GB/T 18336)对信息产品安全的测评认证由低到高划分了若干级别,其中最低级别主要是面向个人及简单商用环境,需要保护的信息价值较低,该级别是()。

A EAL1

B EAL3

C EAL5

D EAL7

第34题(单选题)

<p>应急响应是信息安全事件管理的重要内容。基于应急响应工作的特点和事件的不规则性,事先制定事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负影响降到最低。应急响应方法和过程并不是唯一的。一种被广为接受的应急响应方法是将应急响应管理过程分为以下阶段。为准备&mdash;&mdash;检测&mdash;&mdash;遏制&mdash;&mdash;解除&mdash;&mdash;恢复。请问下列说法有关于信息安全应急响应管理过程错误的是:</p>

A 确定重要资产和风险,实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤

B 在检测阶段,首先进行检测、报告及信息收集

C 遏制阶段可能会因为事件的类别和级别不同而完全不同,常见的遏制措施有:完全关闭所有系统、拔掉网络

D 应按照应急响应计划中制定的业务恢复优化顺序和恢复步骤。依次恢复相关的系统

第35题(单选题)

自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致由该组织申报()。

A 全国通信标准化技术委员会TC485

B 全国信息安全标准化技术委员会TC260

C 中国通信标准化协会CCSA

D 网络与信息安全技术工作委员会

第36题(单选题)

信息安全组织的管理涉及内部组织和外部各方两个控制目标,为了实现控制外部各方的目标。应该包括下列哪些选项()。

A 信息安全的管理承诺、信息安全协调、信息安全职责的分配

B 信息处理设施的授权过程、保密性协议,与政府部门的联系

C 与特定利益集团的联系,信息安全的独立审判

D 与外部各方相关风险的识别、处理外部各方协议中安全问题

第37题(单选题)

根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。模拟该流程。文档《风险分析报告》应属于哪个阶段的输出成果()。

A 风险评估

B 风险处理

C 批准监督

D 监控审查

第38题(单选题)

若一个组织声称自己的ISMS符合ISO/IBC 27001或GB/T22080标准要求,其信息安全控制措施通常需要在符合性方面实施常规控制。符合性常规控制这一领域不包括以下哪项控制目标( )

A 符合法律要求

B 符合安全策略和标准以及技术符合性

C 信息系统审核考虑

D 访问控制的业务要求、用户访问管理

第39题(单选题)

信息安全管理体系(Information Security Management System,ISMS)的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述错误的是( )

A 内部审核和管理评审都很重要,都是促进ISMS持续改进的重要动力,也都应当按照一定的周期实施

B内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议的形式进行

C 内部审核的实施主体由组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构

D 组织的信息安全方针、信息安全目标和有关ISMS文件等,在内部审核中作为审核准则使用,但在管理评审中,这些文件是被审对象

第40题(单选题)

若一个组织声称自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求,其信息安全控制措施通常需要在人力资源安全方面实施常规控制,人力资源安全划分为3个控制阶段,不包括哪一项( )

A 任用之前

B 任用中

C 任用终止或变化

D 任用后

第41题(单选题)

关于信息安全管理,下面理解片面的是()。

A 信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要依据

B 信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的

C 再信息安全建设中,技术是基础,管理是拔高,即有效的管理以来于良好的技术基础

D 坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一

第42题(单选题)

对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响,信息系统的重要程度对信息系统进行划分,不属于正确划分级别的是:

A 特别重要信息系统

B 重要信息系统

C 一般信息系统

D 关键信息系统

第43题(单选题)

CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性?

A 结果的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化

B表达方式的通用性,即给出通用的表达方式

C 独立性,它强调将安全的功能和保证分离

D 实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中

第44题(单选题)

以下哪一项不是我国信息安全保障工作的主要目标

A 保障和促进信息化发展

B 维护企业与公民的合法权益

C 构建高效的信息传播渠道

D 保护互联网知识产权

第45题(单选题)

<p>某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估&ldquo;准备&rdquo;阶段输出的文档。</p>

A 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容

B 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容

C 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容

D 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容

第46题(单选题)

以下关于信息安全法治建设的意义,说法错误的是:

A 信息安全法律环境是信息安全保障体系中的必要环节

B 明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动

C 信息安全主要是技术问题,技术漏洞是信息犯罪的根源

D 信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系

第47题(单选题)

<p>安全域是由一组具有相同安全保护需求并相互信任的系统组成的逻辑区域,下面哪项描述是错误的 ( )</p>

A 安全域划分主要以业务需求、功能需求和安全需求为依据,和网络、设备的物理部署位置无关

B 安全域划分能把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题

C 以安全域为基础,可以确定该区域的信息系统安全保护等级和防护手段,从而使统一安全域内的资产实施统一的保护

D 安全域边界是安全事件发生时的抑制点,以安全域为基础,可以对网络和系统进行安全检查和评估,因此安全域划分和保护也是网络防攻击的有效防护方式

第48题(单选题)

<p>为了进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》(公通字){2004}66号),对等级保护工作的开展提供宏观指导和约束。明确了等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等。关于该文件,下面理解正确的是 ( )</p>

A 该文件是一个由部委发布的政策性文件,不属于法律文件

B 该文件适用于2004年的等级保护工作。其内容不能约束到2005年及之后的工作

C 该文件是一个总体性指导文件,规定了所有信息系统都要纳入等级保护定级范围

D 该文件适用范围为发文的这四个部门,不适用于其他部门和企业等单位

第49题(单选题)

在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误的理解是 ( )

A 如果该组织在执行某个特定的过程区域时具备某一个特定级别的部分公共特征时,则这个组织在这个过程区域的能力成熟度未达到此级

B 如果该组织某个过程区域(Process Areas,PA)具备了“定义标准过程”、“执行已定义的过程”两个公共特征,则过程区域的能力成熟度级别达到3级“充分定义级”

C 如果某个过程区域(Process Areas,PA)包含4个基本实施(Base Practices,BP),执行此PA时执行了3个BP,则此过程区域的能力成熟度级别为0

D 组织在不同的过程区域的能力成熟度可能处于不同的级别上

第50题(单选题)

为保障信息系统的安全,某经营公共服务系统的公司准备并编制一份针对性的信息安全保障方案,并将编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求报告。关于此项工作,下面说法错误的是 ( )

A 信息安全需求是安全方案设计和安全措施的依据

B 信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化、结构化的语言来描述信息系统安全保障需求

C 信息安全需求应当基于信息安全风险评估结果、业务需求和有关政策法规和标准的合规性要求得到

D 信息安全需求来自于该公众服务信息系统的功能设计方案

第51题(单选题)

关于信息安全保障技术框架(IATF),以下说法不正确的是 ( )

A 分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本

B IATF从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施

C 允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性

D IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制

第52题()

第53题(单选题)

关于信息安全事件管理和应急响应,以下说法错误是 ( )

A 应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施

B 应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段

C 对信息安全事件的分级主要参考信息系统的重要程度,系统损失和社会影响三方面因素

D 根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别;特别重大事件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)

第54题(单选题)

PDCERF方法是信息安全应急响应工作中常用的一种方法,它将应急响应分为六个阶段。其中主要执行如下工作时应在哪一个阶段,关闭信息系统、和/或修改防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登陆账号等是 ( )

A 准备阶段

B 遏制阶段

C 根除阶段

D 检测阶段

第55题(单选题)

应急响应是信息安全事件管理的重要内容之一,关于应急响应工作,下面描述错误的是 ( )

A 信息安全应急响应,通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施,既包括预防性的措施,也包括事件发生后的应对措施

B 应急响应工作有其鲜明的特点,具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性,以及需要广泛的协调与合作

C 应急响应是组织在处置应对突发/重大信息安全事件时的工作,其主要包括两部分工作,安全事件发生时正确指挥、事件发生后全面总结

D 应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病毒事件有关,基于该事件,人们更加重视安全事件的应急处置和整体协调的重要性

第56题(单选题)

GB/T22080-2008 《信息技术 安全技术 信息安全管理体系 要求》指出,建立信息安全管理体系应参照PDCA模型进行,即信息安全管理体系应包括建立ISMS,实施和运行ISKS、监视和评审ISMS、保持和改进ISKS等过程,并在这些过程中应实施若干活动,请选出以下描述错误的选项 ( )

A “制定ISMS方针”是建立ISMS阶段工作内容

B “实施培训和意识教育计划”是实施和运行ISMS阶段工作内容

C “进行有效性测量”是监视和评审ISMS阶段工作内容

D “实施内部审核”是保持和改进ISMS阶段工作内容

第57题(单选题)

小李在学习信息安全管理体系(Information Security Managceont Systcm,ISMS)的有关知识后,按照自己的理解画了一张图来描述安全管理过程,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项 ( ) <p><img alt="" src="http://www.powerun.org.cn/cepoexam/files/attach/files/content/20170605/14966551772031.jpg" style="width: 518px; height: 257px;" /></p>

A 监控和反馈ISMS

B 实施和运行ISMS

C 执行和检查ISMS

D 沟通和咨询ISMS

第58题(单选题)

<p>在风险管理中,残余风险是指在实施了新的或增强的安全措施后,还剩下的风险,关于残余风险,下面描述错误的是 ( )</p>

A 风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的批准,这也是风险管理中的一个重要过程

B 管理层确认接受残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解组织所面临的风险,并理解在风险一旦变为现实后

C 接受残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制地提高安全保护措施的强度,对安全保护多少的选择要考虑成本和技术等因素的限制

D 如果残余风险没有降低到可接受的级别,则只能被动地选择接受风险,面对风险不采取进一步的处理措施,接受风险可能带来的结果

第59题(单选题)

信息安全管理体系(Information Security Management System,简称ISMS)的实施和运行ISMS阶段,是ISMS过程模型的实施阶段,下面给出了一些备选的活动,选项( )描述了在此阶段组织应进行的活动 1制定风险处理计划;2实施风险处理计划;3发放有效性测量程序;4实施培训和意识教育计划;5管理ISMS的运行;6管理ISMS的资源;7行检测事态和响应事件的程序;8实施内部审核;9实施风险再评估

A 123456

B 1234567

C 12345678

D 123456789

第60题(单选题)

随着信息安全涉及的范围越来越广,各个组织对信息安全管理的需求越来越迫切,越来越多的组织开始尝试使用参考ISO27001介绍的ISMS来实施信息安全管理体系,提高组织的信息安全管理能力。关于ISMS,下面描述错误的是 ( )

A 在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS建设指明方向并提供总体纲领,明确总体要求

B 组织的管理层应确保ISMS目标和相应的计划得以制定,信息安全管理目标应明确、可度量,风险管理计划应具体,具备可行性

C 组织的信息安全目标,信息安全方针和要求应传达到全组织范围内,应包括全体员工,同时,也应传达到客户、合作伙伴和供应商等外部各方

D 组织的管理层应全面了解组织所面临的信息安全风险,决定风险可接受级别和风险可接受准则,并确认接受相关残余风险

第61题(单选题)

层次化的文档是信息安全管理体系(<span style="font-family: arial, 宋体, sans-serif; font-size: 12px;">Information Security Management System</span>,ISMS)建设的直接体现,也是ISMS建设的成果之一,通常将ISMS的文档结构规划为4层金字塔结构,那么,以下哪个选项应放入到四级文件中 ( )

A 《数字证书签发系统运维日志》

B 《人力资源管理规定》

C 《病毒防范指南》

D 《单位信息安全方针》

第62题()

第63题(单选题)

<p>在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功实施非常重要,但是以下选项中不属于管理者应有职责的是 ( )</p>

A 制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求

B 确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量,计划应具体、可实施

C 向组织传达满足信息安全的重要性,传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性

D 建立健全信息安全制度,明确信息安全风险管理作用,实施信息安全风险评估过程,确保信息安全风险评估技术选择合理、计算正确

第64题(单选题)

风险分析是风险评估工作中的一个重要内容,CIVT 20184-2007在资料性附录中给出了一种矩阵规定计算信息安全风险大小,其中风险计算矩阵如下图所示,请为图中括号空白处选择合适的内容 ( ) <p><img alt="" src="http://www.powerun.org.cn/cepoexam/files/attach/files/content/20170605/14966549931037.jpg" style="width: 560px; height: 217px;" /></p>

A 安全资产价值大小等级

B 脆弱性严重程度等级

C 安全风险隐患严重等级

D 安全事件造成损失大小

第65题(单选题)

规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,<span style="line-height: 20.8px;">按照规范</span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果 ( )

A 《风险评估方案》

B 《重要保护的资产清单》

C 《风险计算报告》

D 《风险程度等级列表》

第66题(单选题)

定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF)是x,年度发生率(AnnuaIixed Rato of Occurrence,ARO)为0.1,而小王计算的年度预期损失(AnnuaIixed Loss Rrpectancy,ALE)值为5万元人民币。由此x值应该是 ( )

A 2.5%

B 25%

C 5%

D 50%

第67题(单选题)

不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是 ( )

A 定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量

B 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析

C 定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关

D 定性风险分析更具有主观性,而定量风险分析更具客观性

第68题(单选题)

某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式 ( )

A 风险降低

B 风险规避

C 风险转移

D 风险接受

第69题(单选题)

在信息安全风险管理过程中,背景建立是实施工作的第一步,下面哪项理解是错误的 ( )

A 背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使命,信息系统的业务目标和特性

B 背景建立阶段应识别需要保护的资产,面临的威胁以及存在的风险性,同时确认已有的安全措施,形成需要保护的资产清单

C 背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性,形成信息系统的描述报告

D 背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求报告

第70题(单选题)

残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是 ( )

A 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险

B 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件

C 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果

D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标

第71题(单选题)

美国国家标准与技术研究院(Nationa Institute of Standards and Technology,NIST)隶属美国商务部,NIST发布的很多关于计算机安全的指南文档,下面哪个文档是由NIST发布的 ( )

A ISO27001《Information technology-Security techniques-Information securitymanagement systems-Requirements》

B L 509《Information technology-Open Systeas Information-The Directory:Authentication Frameiork》

C SP 800-37 《Guide for Applying the Risk Management Framcwork to Federal Infarmation Systems》

D RFC2402 《IP Authentication Header》

第72题(单选题)

ISO27002(Inforantlcn Lechnoloey-Security techniques-Code Ofpractice for information nccurity management)是重要的信息安全管理标准之一,下图是关于其演进变化示意图,图中括号空白处应填写 ( )。 BS 7799 &rarr; BS 7799.1 &rarr; ( )&rarr; ISO 27002

A BS 7799.1.3

B ISO 17799

C AS/NZS 4630

D NIST SP 800-37

第73题(单选题)

小王在学习信息安全管理体系相关知识之后,对于建立信息安全管理体系,自己总结了下面四条要求,其中理解不正确的是 ( )

A 信息安全管理体系的建立应参照国际国内有关标准实施,因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同和重复使用的规则

B 信息安全管理体系的建立应基于最新的信息安全技术,因为这是国家有关信息安全的法律和发法规方面的要求,这体现以预防控制为主的思想

C 信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变的,不可能建设永远安全的系统

D 信息安全管理体系应体现科学性和全国特点,因为要对信息安全管理涉及的方方面面实施较为均衡的管理,避免遗漏某些方面导致组织的整体信息安全水平过程

第74题(单选题)

<p>关于信息安全管理体系(Informatlon Securlty Managemcnt Systeas,ISMS),下面描述错误的是 ( )</p>

A 信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系,包括组织架构、方针、活动、职责及相关实施要素

B 管理体系(Managcment Systens)是为达到组织目标的策略、程序、指南和相关资源的框架,信息安全管理体系是管理体系思想和方法在信息安全领域的应用

C 概念上,信息安全管理体系有广义和狭义之分,狭义的信息安全管理体系是指按照ISO27001标准定义的管理体系,它是一个组织整体管理体系的组成部分

D 同其他管理体系一样,信息安全管理体系也要建立信息安全管理组织机构、健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容

第75题(单选题)

<p>关于我国信息安全保障的基本原则,下列说法中不正确的是 ( )</p>

A 要于国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行作法,坚持管理与技术并重

B 信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方

C 在信息安全保障建设的各项工作中,既要统筹规划,又要突出重点

D 在信息安全保障工作中,要充分发挥国家、企业和个人的积极性,不能忽视任何一方的作用

第76题(单选题)

<p>在信息安全保障工作中,人才是非常重要的因素,近年来,我国一直高度重视我国信息安全人才队伍的培养和建设。在以下关于我国关于人才培养工作的描述中,错误的是 ( )</p>

A 在《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)中,针对信息安全人才建设与培养工作提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神

B 2015年,为加快网络空间安全高层次人才培养,经报国务院学位委员会批准,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,这对于我国网络信息安全人才成体系化、规模化、系统化培养起到积极的推动作用

C 经过十余年的发展,我国信息安全人才培养已经成熟和体系化,每年培养的信息安全从业人员的数量较多,基本能同社会实际需求相匹配,同时,高校信息安全专业毕业人才的综合能力要求高、知识更全面,因而社会化培养应重点放在非安全专业人才培养上

D 除正规大学教育外,我国信息安全非学历教育已基本形成了以各种认证为核心,辅以各种职业技能培训的信息安全人才培训体系,包括“注册信息安全专业人员(CISP)”资质认证和一些大型企业的信息安全资质认证

第77题(单选题)

<p>2003年以来,我国高度重视信息安全保障工作。先后制定并发布了多个文件,从政策层面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件 ( )</p>

A 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)

B 《国家网络安全综合计划(CNCI)》(国令【2008】54号)

C 《国家信息安全战略报告》(国信【2005】2号)

D 《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发【2012】23号)

第78题(单选题)

<p>关于信息安全保障技术框架(Information Assurance Technical Framework,IATF),下面描述错误的是( )</p>

A IATF最初由美国国家安全局(NSA)发布,后来由国际标准化组织(ISO)转化为国际标准,供各个国家信息系统建设参考使用

B IATF是一个通用框架,可以用到多种应用场景中,通过对复杂信息系统进行解构和描述,然后再以此框架讨论信息系统的安全保护问题

C IATF提出了深度防御的战略思想,并提供一个框架进行多层保护,以此防范信息系统面临的各种威胁

D 强调人、技术和操作是深度防御的三个主要层面,也就是说讨论人在技术支持下运行维护的信息安全保障问题

第79题()

第80题(单选题)

GB/T 18336《信息技术安全性评估准则》是测评标准类中的重要标准,该标准定义了保护轮廓(Protection Profile,PP)和安全目标(Security Target,ST)的评估准则,提出了评估保证级(eva luation Assurance Level,EAL),其评估保证级共分为()个递增的评估保证等级。

A:4

B:5

C:6

D:7

第81题(单选题)

“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案()。

A:评估对象(TOE)

B:保护轮廓(PP)

C:安全目标(ST)

D:评估保证级(EAL)

第82题(单选题)

<p>关于信息安全管理体系,国际上有标准《Information technology Security techniques Information security management systems Requirements》(ISO/IEC 27001:2013),而我国发布了《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2008),请问,这两个标准的关系是()。</p>

A:IDT(等同采用),此国家标准等同于该国际标准,仅有或没有编辑性修改

B:EQV(等效采用),此国家标准等效于该国际标准,技术上只有很小差异

C:NEQ(非等效采用)此国家标准不等效于该国际标准

D:没有采用与否的关系,两者之间版本不同,不应直接比较

第83题(单选题)

<p>2005年,RFC 4301(Request for Comments 4301:Security Architecture fot the Internet Protocol)发布,用以取代原先的RPC2401,该标准建议规定了IPsec系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务,请问此类RPC系列标准建议是由哪个组织发布的()。</p>

A:国际标准化组织(International Organization for Standardization,ISO)

B:国际电工委员会(International Electrotechnical Commission ,IEC)

C:国际电信联盟远程通信标准化组织(ITU Telecommunication Standardiza-tion Sector,ITU-T)

D:Internet工程任务组(InternetEngineering Task Force,IETF)

第84题(单选题)

根据信息安全风险要素之间的关系,下图中空白处应该填写()。<img src="app/core/styles/exam_title/1_20161123141104_JTgwJTgwJTgwJTgwMQ==.png">

A:资产

B:安全事件

C:脆弱性

D:安全措施

第85题(单选题)

关于信息安全管理体系的作用,下面理解错误的是()。

A:对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查

B:对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入

C:对外而言,有助于使各利益相关方对组织充满信心

D:对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任

第86题(单选题)

<p>信息安全是国家安全的重要组成部分,综合研究当前世界各国信息安全保障工作,下面总结错误的是()。</p>

A:各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点

B:各国普遍重视战略规划工作,逐步发布网络安全战略、政策评估报告、推进计划等文件

C:各国普遍加强国际交流与对话,均同意建立一致的安全保障系统,强化各国安全系统互通

D:各国普遍积极推动信息安全立法和标准规范建设,重视应急响应、安全管理和安全测评

第87题(单选题)

《信息安全保障技术框架》(Information Assurance Technical Framework,IATF)是由下面哪个国家发布的()。

A:中国

B:美国

C:俄罗斯

D:欧盟

第88题(单选题)

从历史演进来看,信息安全的发展经历了多个阶段,其中,有一个阶段的特点是:网络信息系统逐步形成,信息安全注重保护信息在存储、处理和传输过程中免受非授权的访问,开始使用防火墙、防病毒、PKI和VPN等安全产品,这个阶段是()。

A:通信安全阶段 主要是防窃密

B:计算机安全阶段 主要是针对计算机本身的安全

C:信息系统安全阶段 网络安全

D:信息安全保障阶段 综合保障

第89题(单选题)

目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评。关于信息安全产品测评的意义,下列说法中不正确的是:

A:有助于建立和实施信息安全产品的市场准入制度

B:对用户采购信息安全产品,设计、建设、使用和管理安全的信息系统提供科学公正的专业指导

C:对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督

D:打破市场垄断,为信息安全产业发展创造一个良好的竞争环境

第90题(单选题)

在某次信息安全应急响应过程中,小王正在实施如下措施:消除世界形势阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介质等。请问,按照PDCERF应急响应方法,这些工作应处于以下哪个阶段()。

A:准备阶段

B:检测阶段

C:遏制阶段

D:根除阶段

第91题(单选题)

以下哪项制度或标准被作为我国的一项基础制度加以执行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全,()。

A:信息安全管理体系(ISMS)

B:信息安全等级保护

C:NIST SP800

D:ISO 270000系列

第92题(单选题)

在国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1-2006)中描述了信息系统安全保障模型,下面对这个模型理解错误的是()。

A:该模型强调保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏,从而达到实现组织机构使命的目的

B:该模型是一个强调持续发展的动态安全模型,即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程

C:该模型强调综合保障的观念,即信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障来实施和实现信息系统的安全保障目标

D:模型将风险和策略作为信息系统安全保障的基础和核心,基于IATF模型改进,在其基础上增加了人员要素,强调信息安全的自主性

第93题(单选题)

P2DR模型是一个用于描述网络动态安全的模型,这个模型经常使用图形的形式所示,请问图中空白处应填写是()<img src="app/core/styles/exam_title/501_20160825100828_MTExMTEx.jpg">

A:执行(do)

B:检测(detection)

C:数据(data)

D:持续(duration)

第94题(单选题)

信息安全工程监理是信息系统工程监理的重要组成部分,信息安全工程监理适用的信息化工程中,以下选项最合适的是:

A:通用布缆系统工程

B:电子设备机房系统工程

C:计算机网络系统工程

D:以上都适用

第95题(单选题)

在设计信息系统安全保障方案时,以下哪个做法是错误的:

A:要充分切合信息安全需求并且实际可行

B:要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本

C:要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求

D:要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍

第96题(单选题)

信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作:

A:明确业务对信息安全的要求

B:识别来自法律法规的安全要求

C:论证安全要求是否正确完整

D:通过测试证明系统的功能和性能可以满足安全要求

第97题(单选题)

以下哪些是需要在信息安全策略中进行描述的:

A:组织信息系统安全架构

B:信息安全工作的基本原则

C:组织信息安全技术参数

D:组织信息安全实施手段

第98题(单选题)

以下哪一项不是信息安全管理工作必须遵循的原则?

A:风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中

B:风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作

C:由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低

D:在系统正式运行后,应注重残余风险的管理,以提高快速反应能力

第99题(单选题)

<p>ISO27002中描述的11个信息安全管理的控制领域不包括:</p>

A:信息安全组织

B:资产管理

C:内容安全

D:人力资源安全

第100题(单选题)

<p>根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。</p>

A:保证过程

B:风险过程

C:工程和保证过程

D:安全工程过程