管理体系练习题


第1题(单选题)

系统定级、安全方案设计、产品采购等是__________部分要求

A.系统建设管理

B.系统运维

C.数据安全

D.主机安全

第2题(单选题)

安全等级保护基本要求为技术要求和管理要求,其中技术要求包括物理安全、网络安全、主机系统安全、应用安全和_______

A.整体安全

B.数据安全

C.操作系统安全

D.数据库安全

第3题(单选题)

从业务信息安全角度反映的信息系统安全保护等级称______

A.安全等级

B.信息系统等级保护

C.系统服务安全保护等级

D.业务信息安全保护等级

第4题(单选题)

信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全,在等保定义中应定义为第几级______

A.第一级

B.第二级

C.第三极

D.第四级

E.第五级

第5题(单选题)

当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由__________所确定

A.业务子系统的安全等级平均值

B.业务子系统的最高安全等级

C.业务子系统的最低安全等级

D.以上说法都错误

第6题(单选题)

信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定

A.经济价值 经济损失

B.重要程度 危害程度

C.经济价值 危害程度

D.重要程度 经济损失

第7题()

第8题(单选题)

物理环境安全策略包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、电力供应和电磁防护等方面,防护策略应满足_______中信息系统相应安全等级物理安全和《电子计算机机房设计规范》有关要求

A.《电力行业信息系统安全等级保护基本要求》

B.《中国南方电网有限责任公司信息安全等级保护管理办法》

C.《中国南方电网有限责任公司安全防护管理办法》

D.《中国南方电网有限责任公司信息机房建设技术规范》

第9题(单选题)

系统建设单位应确定其信息安全保护等级,并根据其确定的等级编制_____

A.系统安全设计方案

B.系统风险评估报告

C.信息系统安全等级保护定级报告

D.信息系统安全等级保护备案证明

第10题(单选题)

<p>针对互联网网站系统的应用程序、系统数据、配置数据及审计日志等宜定期进行备份,( )至少进行一次完全备份,并每年至少开展一次备份恢复演练。</p>

A.每天

B.每周

C.每月

D.每年

第11题(单选题)

<p>对于重要网站的操作系统管理员账号的口令,长度不宜短于( )字符。</p>

A. 8个

B.10个

C.12个

D.14个

第12题(单选题)

<p>服务器、数据库系统时钟应与( )保持同步。</p>

A. OA系统

B.日志服务器

C.时钟服务器

D.监控服务器

第13题(单选题)

<p>补丁加载后的( )内,必须对系统性能和事件进行密切的监控,确保补丁加载后不影响系统的性能和正常运行。</p>

A.三天

B.一周

C.二周

D.三周

第14题(单选题)

<p>对于调度机构、变电站、发电厂涉网部分电力监控系统广域网络边界防火墙的安全策略及路由,其配置和变更必须报请相应( )审核,经批准后方可实施。</p>

A.业务部门

B.物资部门

C.运行维护部门

D.调度机构

第15题(单选题)

<p>电力监控系统生产控制大区与管理信息大区的互联边界应部署( )。</p>

A.防火墙

B.VPN

C.IDS

D.电力专用隔离装置

第16题(单选题)

<p>系统升级前,应进行( )。</p>

A.全备份

B.增量备份

C.差分备份

D.异地备份

第17题(单选题)

<p>动力电缆和信号电缆必须隔离铺设,( )及以上系统的重要设备(SCADA服务器、前置机、通信机)应放置于电磁屏蔽机柜内。</p>

A.二级

B.三级

C.四级

D.五级

第18题(单选题)

<p>( )系统应部署两道电子门禁系统。</p>

A.二级

B.三级

C.四级

D.五级

第19题(单选题)

按照我国信息安全等级保护的有关政策和标准,有些信息系统只需要自主定级、自主向公安机关备案即可,可以不需要上级或主管部门来测评和检查。此类信息系统应属于()

A 零级系统

B 一级系统

C 二级系统

D 三级系统

第20题(单选题)

对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响,信息系统的重要程度对信息系统进行划分,不属于正确划分级别的是:

A 特别重要信息系统

B 重要信息系统

C 一般信息系统

D 关键信息系统

第21题(单选题)

CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性?

A 结果的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化

B表达方式的通用性,即给出通用的表达方式

C 独立性,它强调将安全的功能和保证分离

D 实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中

第22题(单选题)

<p>安全域是由一组具有相同安全保护需求并相互信任的系统组成的逻辑区域,下面哪项描述是错误的 ( )</p>

A 安全域划分主要以业务需求、功能需求和安全需求为依据,和网络、设备的物理部署位置无关

B 安全域划分能把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题

C 以安全域为基础,可以确定该区域的信息系统安全保护等级和防护手段,从而使统一安全域内的资产实施统一的保护

D 安全域边界是安全事件发生时的抑制点,以安全域为基础,可以对网络和系统进行安全检查和评估,因此安全域划分和保护也是网络防攻击的有效防护方式

第23题(单选题)

在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误的理解是 ( )

A 如果该组织在执行某个特定的过程区域时具备某一个特定级别的部分公共特征时,则这个组织在这个过程区域的能力成熟度未达到此级

B 如果该组织某个过程区域(Process Areas,PA)具备了“定义标准过程”、“执行已定义的过程”两个公共特征,则过程区域的能力成熟度级别达到3级“充分定义级”

C 如果某个过程区域(Process Areas,PA)包含4个基本实施(Base Practices,BP),执行此PA时执行了3个BP,则此过程区域的能力成熟度级别为0

D 组织在不同的过程区域的能力成熟度可能处于不同的级别上

第24题(单选题)

某项目的主要内容为建造A类机房,监理单位需要根据《电子信息系统机房设计规范》(GB50174-2008)的相关要求,对承建单位的施工设计方案进行审核,以下关于监理单位给出的审核意见错误的是 ( )

A 在异地建立备份机房,设计时应与主要机房等级相同

B 由于高端小型机发热量大,因此采用活动地板下送风,上回风的方式

C 因机房属于A级主机房,因此设计方案中应考虑配备柴油发电机,当市电发生故障时,所配备的柴油发电机应能承担全部负荷的需要

D A级主机房应设置自动喷水灭火系统

第25题(单选题)

为保障信息系统的安全,某经营公共服务系统的公司准备并编制一份针对性的信息安全保障方案,并将编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求报告。关于此项工作,下面说法错误的是 ( )

A 信息安全需求是安全方案设计和安全措施的依据

B 信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化、结构化的语言来描述信息系统安全保障需求

C 信息安全需求应当基于信息安全风险评估结果、业务需求和有关政策法规和标准的合规性要求得到

D 信息安全需求来自于该公众服务信息系统的功能设计方案

第26题(单选题)

恢复时间目标(RTO)和恢复点目标(RPO)是信息系统灾难恢复中的重要概念,关于这两个值能否为零,正确的选项是 ( )

A RTO可以为O,RPO也可以为O

B RTO可以为O,RPO不可以为O

C RTO不可以为O, 但RPO可以为O

D RTO不可以为O, RPO也不可以为O

第27题(单选题)

PDCERF方法是信息安全应急响应工作中常用的一种方法,它将应急响应分为六个阶段。其中主要执行如下工作时应在哪一个阶段,关闭信息系统、和/或修改防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登陆账号等是 ( )

A 准备阶段

B 遏制阶段

C 根除阶段

D 检测阶段

第28题(单选题)

王工是某单位系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2;其中资产A1面临两个主要威胁:威胁T1和威胁T2;而资产A2面临一个主要威胁:威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2:威胁T2可以利用资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7.根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值 ( )

A 2

B 3

C 5

D 6

第29题(单选题)

小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司可以放弃这个功能模块的方式来处理该风险,请问这种风险处置的方法是 ( )

A 降低风险

B 规避风险

C 转移风险

D 放弃风险

第30题(单选题)

<p>目前,信息系统面临外部攻击者的恶意攻击威胁,从威胁能力和掌握资源分,这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分,则下面选项中属于组织威胁的是 ( )</p>

A 喜欢恶作剧、实现自我挑战的娱乐型黑客

B 实施犯罪、获取非法经济利益网络犯罪团伙

C 搜集政治、军事、经济等情报信息的情报机构

D 巩固战略优势,执行军事任务、进行目标破坏的信息作战部队

第31题()

第32题(单选题)

<p>国务院信息化工作办公室于2004年9月份下发了《关于做好重要信息系统灾难备份工作的通知》该文件中指出了我国灾备工作原则,下面哪项不属于该工作原则 ( )</p>

A 统筹规划

B 分级建设

C 资源共享

D 平战结合

第33题(单选题)

<p>以下系统工程说法错误的是 ( )</p>

A 系统工程是基本理论的技术实现

B 系统工程是一种对所有系统都具有普遍意义的科学方法

C 系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法

D 系统工程是一种方法论

第34题(单选题)

<p>有关系统工程的特点,以下错误的是 ( )</p>

A 系统工程研究问题一般采用先决定具体政策,后进入详细设计的程序

B 系统工程的基本特点,是需要把研究对象结构为多个组成部分分别提交研究

C 系统工程研究强调多学科协作,根据研究问题涉及到的学科和专业范围,组成一个知识结构合理的专家体系

D 系统工程研究是以系统思想为指导,采取的理论和方法是综合集成各学科、各领域的理论和方法

第35题(单选题)

“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案()。

A:评估对象(TOE)

B:保护轮廓(PP)

C:安全目标(ST)

D:评估保证级(EAL)

第36题(单选题)

<p>2005年,RFC 4301(Request for Comments 4301:Security Architecture fot the Internet Protocol)发布,用以取代原先的RPC2401,该标准建议规定了IPsec系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务,请问此类RPC系列标准建议是由哪个组织发布的()。</p>

A:国际标准化组织(International Organization for Standardization,ISO)

B:国际电工委员会(International Electrotechnical Commission ,IEC)

C:国际电信联盟远程通信标准化组织(ITU Telecommunication Standardiza-tion Sector,ITU-T)

D:Internet工程任务组(InternetEngineering Task Force,IETF)

第37题(单选题)

从历史演进来看,信息安全的发展经历了多个阶段,其中,有一个阶段的特点是:网络信息系统逐步形成,信息安全注重保护信息在存储、处理和传输过程中免受非授权的访问,开始使用防火墙、防病毒、PKI和VPN等安全产品,这个阶段是()。

A:通信安全阶段 主要是防窃密

B:计算机安全阶段 主要是针对计算机本身的安全

C:信息系统安全阶段 网络安全

D:信息安全保障阶段 综合保障

第38题(单选题)

在某次信息安全应急响应过程中,小王正在实施如下措施:消除世界形势阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介质等。请问,按照PDCERF应急响应方法,这些工作应处于以下哪个阶段()。

A:准备阶段

B:检测阶段

C:遏制阶段

D:根除阶段

第39题(单选题)

以下哪项制度或标准被作为我国的一项基础制度加以执行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全,()。

A:信息安全管理体系(ISMS)

B:信息安全等级保护

C:NIST SP800

D:ISO 270000系列

第40题(单选题)

我国标准《信息系统灾难恢复规范》(GB/T20988-2007)指出,依据具备的灾难恢复资源程度的不同,灾难恢复能力又分为6个等级,其中,要求&ldquo;数据零丢失和远程集群支持&rdquo;的能力等级是()。

A:第0级

B:第1级

C:第3级

D:第6级

第41题(单选题)

在国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1-2006)中描述了信息系统安全保障模型,下面对这个模型理解错误的是()。

A:该模型强调保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏,从而达到实现组织机构使命的目的

B:该模型是一个强调持续发展的动态安全模型,即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程

C:该模型强调综合保障的观念,即信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障来实施和实现信息系统的安全保障目标

D:模型将风险和策略作为信息系统安全保障的基础和核心,基于IATF模型改进,在其基础上增加了人员要素,强调信息安全的自主性

第42题(单选题)

信息安全工程监理是信息系统工程监理的重要组成部分,信息安全工程监理适用的信息化工程中,以下选项最合适的是:

A:通用布缆系统工程

B:电子设备机房系统工程

C:计算机网络系统工程

D:以上都适用

第43题(单选题)

在设计信息系统安全保障方案时,以下哪个做法是错误的:

A:要充分切合信息安全需求并且实际可行

B:要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本

C:要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求

D:要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍

第44题()

第45题(单选题)

信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作:

A:明确业务对信息安全的要求

B:识别来自法律法规的安全要求

C:论证安全要求是否正确完整

D:通过测试证明系统的功能和性能可以满足安全要求

第46题(单选题)

假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备

A:是多余的,因为它们完成了同样的功能,但要求更多的开销

B:是必须的,可以为预防控制的功效提供检测

C:是可选的,可以实现深度防御

D:在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制的功能已经足够

第47题(单选题)

以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:

A:出入的原因

B:出入的时间

C:出入口的位置

D:是否成功进入

第48题(单选题)

下列哪些内容应包含在信息系统战略计划中?

A:已规划的硬件采购的规范

B:将来业务目标的分析

C:开发项目的目标日期

D:信息系统不同的年度预算目标

第49题(单选题)

一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?

A:2级——计划和跟踪

B:3级——充分定义

C:4级——量化控制

D:5级——持续改进

第50题(单选题)

<p>下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:</p>

A:风险过程

B:保证过程

C:工程过程

D:评估过程

第51题(单选题)

以下哪一种判断信息系统是否安全的方式是最合理的?

A:是否已经通过部署安全控制措施消灭了风险

B:是否可以抵抗大部分风险

C:是否建立了具有自适应能力的信息安全模型

D:是否已经将风险控制在可接受的范围内

第52题(单选题)

对操作系统打补丁和系统升级是以下哪种风险控制措施?

A:降低风险

B:规避风险

C:转移风险

D:接受风险

第53题(单选题)

灾难发生后,系统和数据必须恢复到灾难发生前的

A:时间要求

B:时间点要求

C:数据状态

D:运行状态

第54题(单选题)

当发现信息系统被攻击时,以下哪一项是首先应该做的?

A:切断所有可能导致入侵的通信线路

B:采取措施遏制攻击行为

C:判断哪些系统和数据遭到了破坏

D:与有关部门联系

第55题(单选题)

<p>当备份一个应用程序系统的数据时,以下哪一项是应该首先考虑的关键性问题?</p>

A:什么时候进行备份?

B:在哪里进行备份?

C:怎样存储备份?

D:需要备份哪些数据?

第56题(单选题)

<p>SSE-CMM,即系统安全工程能力成熟度模型,它的六个级别,其中计划和跟踪级着重于_______。</p>

A:规范化地裁剪组织层面的过程定义

B:项目层面定义、计划和执行问题

C:测量

D:一个组织或项目执行了包含基本实施的过程

第57题(单选题)

某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是Windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:

A:在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中

B:严格设置Web日志权限,只有系统权限才能进行读和写等操作

C:对日志属性进行调整,加大日志文件大小,延长日志覆盖时间,设置记录更多信息等

D:使用独立的分区用于存储日志,并且保留足够大的日志空间

第58题()

第59题(单选题)

<p>系统安全工程不包含以下哪个过程类:</p>

A:工程过程类

B:组织过程类

C:管理过程类

D:项目过程类

第60题(单选题)

ISSE(信息系统安全工程)是美国发布的IATF3.0版本中提出的设计和实施信息系统________。

A:安全工程方法

B:安全工程框架

C:安全工程体系结构

D:安全工程标准

第61题(单选题)

PDR模型和P2DR模型采用了动态循环的机制实现系统保护、检测和响应。这种模型的特点理解错误的是:

A:模型已入了动态时间基线,符合信息安全发展理念

B:模型强调持续的保护和响应,符合相对安全理念

C:模型是基于人为的管理和控制而运行的

D:模型引入了多层防御机制,符合安全的“木桶原理”

第62题(单选题)

从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该:

A:内部实现

B:外部采购实现

C:合作实现

D:多来源合作实现

第63题(单选题)

通常情况下,以下哪一种数据的更新变化频率最高,对备份系统的数据备份频率要求也最高?

A:业务应用数据

B:临时数据

C:基础数据

D:系统数据

第64题(单选题)

在进行灾难恢复需求分析的过程中,进行哪项工作可以帮助充分了解技术系统对业务重要性?

A:业务影响分析(BIA)

B:确定灾难恢复目标

C:制定灾难恢复策略

D:制定灾难恢复预案

第65题(单选题)

信息系统安全保护等级为3级的系统,应当( )年进行一次等级测评。

A:0.5

B:1

C:2

D:3

第66题(单选题)

某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求?

A: 建立一个与供应商相联的内部客户机用及服务器网络以提升效率

B: 将其外包给一家专业的自动化支付和账务收发处理公司

C: 与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI系统

D: 重组现有流程并重新设计现有系统

第67题(单选题)

系统工程霍尔三维结构模型从时间维、逻辑维、( )三个坐标对系统工程进行程序化。

A:阶段维

B:进程维

C:知识维

D:工作步骤维

第68题(单选题)

某网站为了开发的便利,SA连接数据库,由于网站脚本中被发现存在SQL注入漏洞,导致攻击者利用内置存储过程xp_cmdshell删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反了以下哪项原则:

A:权限分离原则

B:最小特权原则

C:保护最薄弱环节的原则

D:纵深防御的原则

第69题(单选题)

<p>信息系统生命周期阶段正确的划分是:</p>

A:设计、实施、运维、废弃

B:规划、实施、运维、废弃

C:规划、设计、实施、运维、废弃

D:设计、实施、运行

第70题(单选题)

在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段?

A:背景建立

B:风险评估

C:风险处理

D:批准监督

第71题(单选题)

对入侵检测系统的测试评估包括功能测试和性能测试。请指出下列哪项属于性能测试指标。

A:攻击识别能力

B:自身抵抗攻击能力

C:报警机制

D:IDS引擎的吞吐量

第72题(单选题)

随着( )的增加,信息系统的安全风险降低。

A:威胁

B:脆弱性

C:资产的重要度

D:控制措施

第73题(单选题)

信息系统的业务特性应该从哪里获取?

A:机构的使命

B:机构的战略背景和战略目标

C:机构的业务内容和业务流程

D:机构的组织结构和管理制度

第74题(单选题)

<p>&ldquo;在没有足够安全保障的信息系统中,不处理特别敏感的信息&rdquo;,属于什么风险处置策略?</p>

A:规避风险

B:转移风险

C:接受风险

D:减低风险

第75题(单选题)

以下哪项不是信息系统安全工程中发掘信息保护需求的任务?

A:确定信息安全法律和法规的要求

B:判断信息对机构任务的关系和重要性

C:建设系统的愿景描述

D:确定威胁的类别.判断影响

第76题(单选题)

<p>在以下哪种情况下,组织应当对公众和媒体告知其信息系统中发生的信息安全事件?</p>

A:当信息安全事件的负面影响扩展到本组织以外时

B:只要发生了安全事件就应当公告

C:只有公众的生命财产安全受到巨大危害时才公告

D:当信息安全事件平息后

第77题(单选题)

信息系统保护轮廓(ISPP)中TOE描述应遵循的顺序为_______。

A:信息系统概述——使命描述——信息系统详细描述

B:信息系统描述——信息系统环境描述——使命描述

C:使命描述——信息系统概述——信息系统详细描述

D:使命描述——现有安全技术措施描述——现有安全管理措施描述

第78题(单选题)

美国的关键信息基础设施(critical Information Infrastructure,CII)包括商用设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括:

A:这些行业都关系到国计民生,对经济运行和国家安全影响深远

B:这些行业都是信息化应用广泛的领域

C:这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出

D:这些行业发生信息安全事件,会造成广泛而严重的损失

第79题(单选题)

小王是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识,小王的主要观点包括:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果;(3)背景建立包括:风险管理准备.信息系统调查.信息系统分析和信息安全分析;(4)背景建立的阶段性成果包括:风险管理计划书,信息系统的描述报告,信息系统的分析报告,信息系统的安全要求报告。请问小王的所述论点中错误的是哪项:

A:第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象

B:第二个观点,背景建立的依据是国家.地区域行业的相关政策、法律、法规和标准

C:第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字

D:第四个观点,背景建立的阶段性成果中不包括有风险管理计划书

第80题(单选题)

软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。以下哪一项是这种情况面临的最主要风险?

A:软件中止和黑客入侵

B:远程监控和远程维护

C:软件中止和远程监控

D:远程维护和黑客入侵

第81题(单选题)

<p>从风险分析的观点来看,计算机系统的最主要弱点是:</p>

A:内部计算机处理

B:系统输入输出

C:通讯和网络

D:外部计算机处理

第82题(单选题)

某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:

A:项目计划书

B:质量控制计划

C:评审报告

D:需求说明书

第83题(单选题)

<p>在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别的?</p>

A:C2

B:C1

C:B2

D:B1

第84题(单选题)

某银行信息系统为了满足业务发展的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素?

A:信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准

B:信息系统所承载该银行业务正常运行的安全需求

C:消除或降低该银行信息系统面临的所有安全风险

D:该银行整体安全策略

第85题(单选题)

小张在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:1.风险评估工作形式包括:自评估和检查评估;2.自评估是指信息系统拥有.运营或使用单位发起的对本单位信息系统进行风险评估;3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;4.对信息系统的风险评估方式只能是&ldquo;自评估&rdquo;和&ldquo;检查评估&rdquo;中的一个,非此即彼,请问小张的所述论点中错误的是哪项:

A:第一个观点

B:第二个观点

C:第三个观点

D:第四个观点

第86题(单选题)

在某个信息系统实施案例中,A单位(甲方)允许B公司(乙方)在甲方的测试天南地北中开发和部署业务系统,同时为防范风险,A单位在和B公司签订合同中,制定有关条款,明确了如果由于B公司操作原因引起的设备损坏,则B公司需按价赔偿。可以看出,该赔偿条款应用了风险管理中( )的风险处置措施。

A:降低风险

B:规避风险

C:转移风险

D:拒绝风险

第87题(单选题)

信息安全测评是指依据相关标准,从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估,以下关于信息安全测评说法不正确的是:

A:信息产品安全评估是测评机构对产品的安全性做出的独立评价,增强用户对己评估产品安全的信任

B:目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型

C:信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价。

D:信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,提出有针对性的安全防护策略和整改措施

第88题(单选题)

以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?

A:应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑

B:应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品

C:应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实

D:应详细规定系统验收测试中有关系统安全性测试的内容

第89题(单选题)

在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的:

A:测试系统应使用不低于生产系统的访问控制措施

B:为测试系统中的数据部署完善的备份与恢复措施

C:在测试完成后立即清除测试系统中的所有敏感数据

D:部署审计措施,记录生产数据的拷贝和使用

第90题(单选题)

一家公司在实施一套新的C/S结构的企业资源管理(ERP)系统。分支机构传送客户订单到一个中心生产设备,下列哪项最好地保证了订单准确的输入和相应的生产了产品?

A: 在ERP系统中记录所有的客户订单

B: 验证生产的产品和客户订单的内容

C: 在订单传输过程中使用hash运算

D:(产品主管)在生产前批准订单

第91题(单选题)

<p>在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标:</p>

A:防止出现数据范围以外的值

B:防止出现错误的数据处理顺序

C:防止缓冲区溢出攻击

D:防止代码注入攻击

第92题(单选题)

从系统工程的角度来处理信息安全问题,以下说法错误的是:

A:系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。

B:系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。

C:系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。

D:系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的.成熟的.可测量的先进学科。

第93题(单选题)

为了保护系统日志可靠有效,以下哪一项不是日志必需具备的特征:

A:统一而精确的时间

B:全面覆盖系统资产

C:包括访问源、访问日志和访问活动等重要信息

D:可以让系统的所有用户方便的读取

第94题(单选题)

系统安全工程-能力成熟度模型(Systems Security Engineoring-Capability maturity model,SSE-CMM)定义的包含评估威胁.评估脆弱牲.评估影响和评估安全风险的基本过程领域是:

A:风险过程

B:工程过程

C:保证过程

D:评估过程

第95题(单选题)

某政府机构拟建设一机房,在工程安全监理单位参与下制定了招标文件,项目分二期,一期目标为年底前实现系统上线运营,二期目标为次年上半年完成运行系统风险的处理,招标文件经管理层审批后发布。就此工程项目而言,以下正确的是:

A:此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施,具有合理性和可行性

B:在工程安全监理的参与下,确保了此招标文件的合理性

C:工程规划不符合信息安全工程的基本原则

D:招标文件经管理层审批,表明工程目标符合业务发展规划

第96题(单选题)

对系统工程(Systems Engineering,SE)的理解,以下错误的是:

A:系统工程偏重于对工程的组织与经营管理进行研究

B:系统工程不属于技术实现,而是一种方法论

C:系统工程不是一种对所有系统都具有普遍意义的科学方法

D:系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法

第97题(单选题)

系统工程的模型之一霍尔三维结构模型由时间维,逻辑维和知识维组成,有关此模型,错误的是:

A:霍尔三维结构体系形象地描述了系统工程研究的框架

B:时间维表示系统工程活动从开始到结束按时间顺序排列的全过程

C:逻辑维的七个步骤与时间维的七个阶段严格对应,即时间维第一阶段应执行逻辑维步骤的活动,时间维第二阶段应执行逻辑维第二步骤的活动

D:知识维利率可能需要运用的工程,医学,建筑,商业,法律,管理,社会科学和艺术等多种知识和技能

第98题(单选题)

以下哪一项不是信息系统集成项目的特点:

A:信息系统集成项目要以满足客户和用户的需求为根本出发点。

B:系统集成就是选择最好的产品和技术,开发相应的软件和硬件,将其集成到信息系统的过程。

C:信息系统集成项目的指导方法是“总体规划,分步实施”。

D:信息系统集成包含技术,管理和商务等方面,是一项综合性的系统工程。

第99题(单选题)

依据国家标准《信息安全技术信息系统灾难恢复规范》(GB/T20988),需要备用场地但不要求部署备用数据处理设备的是灾难恢复等级的第几级?

A:2

B:3

C:4

D:5

第100题(单选题)

依据国家标准《信息安全技术信息系统灾难恢复范围》(GB/T20988),灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理;其中灾难恢复策略实现不包括以下哪一项?

A:分析业务功能

B:选择和建设灾难备份中心

C:实现灾备系统技术方案

D:实现灾备系统技术支持和维护能力