“信息安全管理与评估”测试题（4）

“信息安全管理与评估”测试题（4）
“信息安全管理与评估”测试题四
第一部分：安全标准知识（50分）
（注意：以下题目为不定项选择题，每题分值2%，将答案填写到答题卡上，成绩以答题卡为准）
1. 对资产清单的管理，不同安全等级应有选择地满足要求，一般资产清单，应编制并维护与信息系统相关的资产清单，至少包括哪些内容：（）
A. 信息资产
B. 软件资产
C. 有形资产
D. 应用业务相关资产
E. 资源资产
F. 服务
2. 业务连续性管理在满足第一级的管理要求的基础上，本级要求是什么：（）
A. 备份与恢复要求
B. 安全事件处理要求
C. 应急处理要求
D.保护事件处理要求
3. 机构和人员管理在满足第一级的管理要求的基础上，本级要求为：（）
A.组织机构应建立管理信息安全工作的职能部门
B 人员管理要求
C.教育和培训要求
D.机构调整要求
4. 运行维护管理要求，应（）
A. 实行系统运行的制度化管理
B. 对运行状况监控要求监视服务器系统性能
C. 设备外出维修应审批，磁盘数据必须删除
D. 外部维修人员进入机房应经过审批并专人陪同
E. 对外部服务方访问进行制度化管理
5. 生存周期管理在满足第一级的管理要求的基础上，本级要求是：（）
A. 启动周期管理
B. 规划和立项管理
C. 建设过程管理
D. 系统启用和终止管理
6.政策和制度要求在满足第二级的管理要求的基础上，本级要求是：（）
A. 总体安全管理策略
B. 安全管理规章制度
C. 策略与制度文档管理
D. 总体规划规章策略
7.下列哪个是计算机信息系统安全等级保护操作系统技术要求：（）
A. GA/T 390-2002
B. GA/T 387-2002
C. GA/T 388-2002
D. GA/T 389-2002
8.SSODB缩略语适用于哪个标准：（）
A. SSODB安全功能
B. 数据库管理系统安全子系统
C. SSODB安全策略
D. 安全功能策略
9.用户鉴别分为：（）
A.基本鉴别
B.一次性使用鉴别
C.多机制鉴别
D.分位鉴别
10. GRANT语句的字符集的相关操作：（）
A. SELECT
B. EXECUTE
C. UNDER
D. USAGE
11. 数据库管理系统的安全审计应：（）
A. 建立独立的安全审计系统
B. 定义与数据库安全相关的审计事件
C. 设置专门的安全审计员
D. 提供适用于数据库系统的安全审计设置、分析和查阅的工具
12. 数据操作的完整性约束为：（）
A. 用户定义基本表时应定义主键和外键
B. 对于候选键，应由用户指明其唯一性
C. 对于外键，用户应指明被引用关系和引用行为
D. 对于主键，应由用户指明特定性
13. 在GB/T20273—2006中，从哪些方面实现SSODB的资源利用：（）
A. 通过一定措施确保当系统出现某些确定的故障时，SSF也能维持正常运行
B. 采取适当的策略，按有限服务优先级提供主体使用SSC内某个资源子集的优先级，进行SSODB资源的管理和分配
C. 在SSODB失败或中断后，应确保其以最小的损害得到恢复，并按照失败保护中所描述的内容，实现对SSF出现失败时的处理
D. 按资源分配中最大限额的要求，进行SSODB资源的管理和分配，确保用户和主体不会独占某种受控资源。

14. 在GB/T20273—2006中，从哪些方面实现SSODB的生存周期支持：（）
A. 按开发者定义生存周期模型进行SSODB开发
B. 文档应详细阐述安全启动和操作的过程，详细说明安全功能在
启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态
C. 所有软件应提供安全安装默认值，使安全机制有效地发挥安全作用
D. 所有发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞
15. 在GB/T20273—2006中设计和实现数据库管理系统的自主访问控制功能要求是：（）
A. 允许命名用户以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问
B. 自主访问控制的粒度应是用户级和表级和/或记录、字段级
C. 安全审计功能的设计应与用户标识与鉴别、自主访问控制等安全功能的设计紧密结合
D. 在对数据进行访问操作时，检查以库结构形式存储在数据库中的用户数据是否出现完整性错误
16. 在GB/T20273—2006中对在SSODB内传输的SSF数据进行哪些安全保护：（）
A.实现SSODB内SSF数据传输的基本保护
B.SSODB内SSF数据复制的一致性保护
C.实现SSODB内SSF数据传输的完全保护
D. SSODB内SSF数据复制的分段性保护
17. 在软件配置管理系统中，包含的工具规程有：（）
从源码产生出系统新版本
鉴定新生成的系统版本
保护源码免遭未授权修改
保护新生成的系统版本
18. 以文档形式提供对SSODB安全地进行分发的过程, 文档中所描述的内容应包括：（）
A. 提供分发的过程
B. 安全启动和操作的过程
C. 建立日志的过程
D.维护操作的过程
19. 关于推理控制可用于推理的信息类型有：（）
A. 模式元数据
B. 统计数据
C. 派生数据
D. 数据的存在性
20. 数据库管理系统的安全性主要体现在：（）
A. 保密性
B. 完整性
C. 一致性
D. 可用性
21. 安全保证分别对每一个安全保护等级的( ) 进行描述
A. SSOOS自身安全
B.SSOS资源管理
C. SSOOS设计和实现
D. SSOOS安全管理
22. 生存周期管理原则是：（）
A. 计划阶段
B. 实施阶段
C. 运行维护阶段
D. 生存周期结束阶段
23. 安全需求分析原则，包括：（）
A. 结合实际
B. 依据标准
C. 分层分析
D. 动态反馈
24. 安全风险分析与评估分析过程，包括：（）
A. 资源识别和分析
B. 威胁识别和分析
C. 脆弱性识别和分析
D. 风险分析和评估分析
25.信息安全是指信息的：（）
A.保密性
B.完整性
C.可用性
D.持续性
26 功能测试包括：（）
A.分段功能测试
B 一般功能测试
C.顺序的功能测试
D.总体功能测试
27.测试范围包括：（）
A. 范围的证据
B. 范围分析
C. 严格的范围分析
D. 充分的范围证据
28.根据生命周期模IA的标准化、可测性，以及对相符性不断提高的要求，生命周期定义包括: （）
A 开发者定义的生命周期模型
B 标准生命周期模型
C.不可测量的生命周期模型
D.可测量的生命周期模型
29. 根据缺陷纠正的范围不断扩大和缺陷纠正策略的严格性程度不断提高，缺陷纠正分为：（）
A.分段缺陷纠正
B. 基本缺陷纠正
C.缺陷报告
D.有组织缺陷纠正
30. 根据模块的数量和复杂性要求，TSF内部结构分为：（）
A.模块化
B.层次化
C.复杂度最小化
D.资源化
31.根据完备性和所提供的实现表示的结构，实现表示分为（）
A.TS F子集实现
B.TS F完全实现
C.TS F的结构化实现
D.TSF的资源化实现
32.根据所要求的形式化程度和所提供的接口说明的详细程度，高层设计分为: （）
A.描述性高层设计要求
B.安全加强的高层设计
C.半形式化高层设计
D.形式化高层设计
33.根据要求的形式化程度和所提供的TSF外部接口的详细程度，功能设计分为: （）
A. 非形式化功能设计
B. 完全定义的外部接口
C. 半形式化功能设计
D. 形式化功能设计
34．配置管理范围对 CM 范围的要求包括以下内容（）
A.TCB配置管理范围
B.问题跟踪配置管理范围
C.开发工具配置管理范围
D.资源配置管理范围
35 CM自动化分为: （）
A.部分CM 自动化
B.完全CM 自动化
C.阶段CM自动化
D.分段CM自动化
36.在用户的静止期超过规定的值时通过以哪些方式锁定该用户的交互式会话: （）
A. 在显示设备上清除或涂抹使当前的内容不可读
B. 取消会话解锁之外的所有用户数据的存取/显示的任何活动
C. 在会话解锁之前再次鉴别
D. 要求TSF支持由可信信道的各种功能列表原发的经可信信道的通信
37.TCB访问控制包括（）
A.可选属性范围限定
B.多重并发会话限定
C.TCB访问标记
D.会话锁定
E.TCB访问历史
F.TCB会话建立
38.资源分配的控制方法分为（）
A.最大限额
B.最低限额
C.最小和最大限额
D.最小限额
39.故障容错分为（）
A.降级故障容错
B.升级故障容错
C.受限故障容错
D.不受限故障容错
40.状态同步协议包括（）
A.简单的不可信回执
B.简单的可信回执
C.相互的可信回执
D.相互的不可信回执
41.可信恢复包括: （）
A.手动恢复
B.自动恢复
C.无过分丢失的自动恢复
D.功能恢复
42.TSF数据在TCB内的分离部分间传输时应受到保护，包括: （）
A.内部TSF数据传输的基本保护
B.TSF数据间断性保护
C.TSF数据传输分离
D.TSF数据完整性保护
43.抗原发抵赖分为: （）
A.选择性原发证明
B.完全性原发证明
C.强制性原发证明
D.非强制性原发证明
44. 计算机信息系统的应急计划和应急反应在应急情况作出反应的应急计划应（）
A.具有各种安全措施
B.设置正常备份机制
C.健全安全管理机构
D.建立处理流程图
45.行中断后能在不减弱保护的情况下恢复计算机信息系统的运行。

故障恢复包括: （）
A.手动恢复
B.自动恢复
C.无过分丢失的自动恢复
D.灾难性恢复
46.安全审计事件存储应具有怎样的创建并维护安全的审计踪迹记录的能力（）
A.受保护的审计踪迹存储
B.审计数据的可用性确保
C.审计数据可能丢失情况下的措施
D.防止审计数据丢失
47. 等级化信息系统安全设计的2级安全域主要包括（）
A. 一个具有1、2、3级安全的混合安全计算域中的2级安全计算域
B. 一个具有2、3级安全的混合安全计算域中的2级安全计算域
C. 一个具有2级安全的单一安全计算域
D. 具有2级安全的安全用户域和安全网络域
48. 等级化信息系统安全设计的3级安全域主要包括（）
A. 一个具有2、3级安全的混合安全计算域中的3级安全计算域
B. 一个具有3级安全的单一安全计算域和相应安全等级的安全用户域
C. 具有3级安全的安全用户域和安全网络域
D. 一个具有1、2、3级安全的混合安全计算域中的3级安全计算域
49. 系统安全设计，有哪些方法和步骤（）
A. 数据分类
B. 数据分布
C. 数据叠加
D. 划分安全域
E. 确定系统安全等级
F. 信息系统安全设计
50. 从信息系统安全设计过程来看，信息系统安全设计各相关因素的相互关系可以更详细的描述为：（）
A.风险分析
B.安全需求和安全目标
C.安全措施
D.安全保护
第二部分：信息安全等级保护知识（50分）
（注意：以下题目为不定项选择题，每题分值2%，将答案填写到答题卡上，成绩以答题卡为准）
1.对“信息安全风险要素及属性之间存在的关系”描述错误的是（）
A业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小
B.资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大
C.脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产
D.风险是由威胁引发的，资产面临的威胁越多则风险越大，但不可能演变成为安全事件
2.AS/NZS 4360:1999《风险管理指南》是由（）开发的风险管理标准
A澳大利亚和新西兰
B.美国
C.英国
D.德国
3.风险处置的方法有（）
A.回避风险
B.降低风险
C.转嫁风险
D.接受风险
4.不属于信息安全风险评估原则的是（）
A可控制原则
B.完整性原则
C.最小影响原则
D.信息分析原则
E.保密原则
5.SSE-CMM模型将信息系统安全工程分为（）
A.风险评估
B.工程实施
C.可信度评估
D.操作实践
6.安全工程过程不包括（）
A.检测过程
B.风险过程
C.工程过程
D.保证过程
7.我国信息安全风险评估标准是（）
A.CAO/AIMD-99-139
B.GB/T 20984-2007
C.NIST SP800-30
D.GB/T 19716-2005
8.下列选项对于风险评估与管理工具的分类描述正确的是（）A基于信息安全标准的风险评估与管理工具
B.基于知识的风险评估与管理工具
C.基于模型的风险评估与管理工具
D.基于信息的风险评估与管理工具
9.脆弱性也称为（）
A.风险的存在
B黑客攻击
C.潜在危机
D.漏洞
10.脆弱性扫描工具的研发分为哪些类型（）
A基于网络的扫描器
B.基于主机的扫描器
C.分布式网络扫描器
D.数据库脆弱性扫描器
11.对于流光（Fluxay）工具功能说法正确的是（）
A.系统脆弱性扫描工具
B.抓包工具
C.渗透测试工具
D.系统安全扫描工具
12.极光专用安全系统主要功能模块包括（）
A.扫描核心模块
B.漏洞知识库
C.扫描结果库
D.汇总数据
13.信息安全风险评估实施流程包括的环节有（）
A.评估准备阶段
B.资产、威胁、脆弱性的识别和赋值
C.已采取的安全措施的确认
D.风险识别和分析
14.信息安全的基本要求包括（）
A.可用性
B.完整性
C.可操作性
D.松耦合性
E.机密性
15.信息安全风险评估意义具体体现在（）
A.加强风险评估工作是信息安全工作的客观需要
B.风险评估是信息安全建设和管理的关键环节
C.风险评估是需求主导和突出重点原则的具体体现
D.风险评估是分析确定风险的过程
E.通过风险评估可以建设绝对安全的信息系统
16.美国以网络为对象的信息安全保护阶段的标志性成果包括（）
A.电磁泄漏（即TEMPEST）对抗标准
B.彩虹系列
C.信息技术安全通用评估标准(CC)
D.SP 800-37
E.访问控制BLP模型
17.参与制定CC标准的国家有（）
A.美国
B.加拿大
C.英国、法国、德国、荷兰
D.日本
E.中国
18.下列关于BS7799标准表达正确的是（）
A.BS7799标准是由英国标准协会（BSI）制定的信息安全管理标准
B.BS7799主要偏重安全技术测评
C. BS7799-1通过国际化标准机构认可，正是成为国际标准ISO17799，这是通过ISO表决最快的一个标准
D.BS7799标准基于风险管理的思想，指导机构建立信息安全管理体系ISMS
E.BS7799-1《信息安全管理实施细则》是机构建立并实施信息安全管理体系的一个指导性的准则
19.信息安全风险评评估相关标准包括（）
A.BS7799标准
B.SP 800-37
C.信息技术安全通用评估准则（CC）
D.AS/NZS4360
E.ISO/IEC 13335
20.信息安全风险评估的依据包括的政策法规有（）
A.领导的指令
B.国际标准
C.国家标准
D.行业通用标准
21.信息安全风险评估的角色包括（）
A.主管机关
B.信息系统所有者
C.信息系统承建者
D.信息安全风险评估服务技术支持方
E.信息系统的关联机构
22.主管机关在信息安全风险评估中的责任包括（）
A.负责制定信息安全风险评估的政策、法规和标准
B.组织实施信息系统自评估工作
C.对国家重要信息系统和基础信息网络风险评估的实施进行宏观的督促、检查和指导
D.领导和组织信息安全风险评估工作
E.依据对信息系统建设方案的风险评估结果，修正安全方案
23.对信息安全风险评估服务技术支持方，下列表述正确的是（）
A.信息安全风险评估服务技术支持方的评估活动应经过上级主管机关认可和授权，并具有一定的安全资质
B. 服务技术支持方负责改善信息安全防护措施，控制安全风险
C. 服务技术支持方应具有专业安全技术工作人员，熟悉风险评估工作机制和相关技术
D.服务技术支持方需判断安全防护措施的有效性及实现了这些措施后系统中存在的参与风险，给出调整建议
24.属于ISO17799中通信和操作管理主题规定的控制要点有（）
A操作程序和责任
B.安全区域
C.用户访问管理
D.系统规划和验收
E.网络管理
25.信息安全风险评估实施流程包括的环节有（）
A.评估准备阶段
B.资产、威胁、脆弱性的识别和赋值
C.已采取的安全措施的确认
D.风险识别和分析
26.在信息安全风险评估准备阶段，机构应做好的工作有（）
A.确定风险评估的目标
B.确定风险评估范围
C.建立适当的组织结构
D.建立系统性的风险评估方法
E.获得最高管理者对风险评估策划的批准
27.以下关于资产和资产价值表述正确的是（）
A.资产可能有多重形式存在，有形的、无形的，有硬件、有软件，有文档、有代码，也有服务、企业形象等
B.资产具有很强的时间特性，它的价值和安全属性都会随时间的推移发生变化
C.资产赋值应注意以资产的账面价格来衡量
D.资产对于机构业务的安全重要性决定资产价值的主要方面
E.在实际项目中，具体的资产分类方法可以依据环境，由评估者来灵活把握
28.威胁的可能性赋值需要考虑的因素有（）
A.资产的吸引力
B.资产转化成报酬的容易程度
C.威胁的技术力量
D.脆弱性被利用的难易程度
E.过去的安全事件报告或记录，统计各种发生过的威胁和其发生的频率
29.关于脆弱性表述错误的是（）
A.脆弱性是资产本身存在的，可以被威胁利用、引起资产或商业目标的损害
B.脆弱性评估就是漏洞扫描
C.如果没有相应的威胁发生，单纯的脆弱性并不会对资产造成损害
D.起不到应有作用的或没有正确实施的安全保护措施本身就可能是脆弱性
E.脆弱性识别可以有很多种方法
30. 一个好的漏洞扫描工具应包括的特性有（）
A.最新的漏洞检测库，为此工具开发上应各有不同的办法监控新发现的漏洞
B.扫描工具必须准确并使误报率减少到最小
C.扫描器有某种可升级的后端，能够存储多个扫描结果并提供趋势分析的手段
D.包括清晰的且准确地提供弥补发现问题的信息
31.对于残余风险，机构应该（）
A.确保残余风险降到最低
B.对于不可接受范围内的风险，应在选择适当的控制措施后，对残余风险进行再评价
C.不断调整或增加控制措施以减低残余风险描述
D.残余风险都是不可接受的
E.必要时可接受残余风险描述
32.整体风险评估关注的焦点主要集中在（）
A.检查与安全相关的机构实践，标识当前安全实践的优点和弱点
B.包括对系统进行技术分析、对政策进行评审，以及对物理安全进行审查
C.使用软件工具分析基础结构及其全部组件
D.检查IT的基础结构，以确定技术上的弱点
E.帮助决策制定者综合平衡风险以选择成本效益对策
33.关于定性评估和定量评估以下表述正确的是（）
A.在定性评估时并不使用具体的数据，而是指定期望值
B.定量风险分析方法要求特别关注资产的价值和威胁的量化数据
C.定量分析方法是最广泛使用的风险分析方式
D.定量分析方法存在一个问题，就是数据的不可靠和不精确
E.定性分析中风险的等级就是风险值，应赋予明确的含义
34.关于CORAS工程，下列表述正确的是（）
A.该工程指在开发一个基于面向对象建模技术的风险评估框架
B.该工程特别指出使用UML建模技术
C.CORAS是同用的，并不为风险评估提供方法学
D. CORAS开发了具体的技术规范来进行安全风险评估
/doc/5d18401221.html,准则和CORAS方法都使用了半形式化和形式化规范
35.关于故障树分析方法下列正确的是（）
A.故障树分析是一种top-down方法
B.故障树分析方法可以分为定性和定量两种方式
C.故障树的定量分析就是通过求故障树的最小割集，得到顶事件的全部故障模式
D.故障树方法主要用于分析大型复杂系统的可靠性及安全性
E.不管是故障树的定性还是定量分析方式，首先都需要建造故障树
36.概率风险评估（PRA）和动态风险概率评估（DPRA）的主要分析步骤包括（）
A.识别系统中存在的事件，找出风险源
B.对各风险源考察其在系统安全中的地位，及相互逻辑关系，给出系统的风险源树
C.标识各风险源后果大小及风险概率
D.对风险源通过逻辑及数学方法进行组合，最后得到系统风险的度量
E.分析风险模式的危害度
37.下列对风险分析方法属于定性分析方法的有（）
A.事件树分析（ETA）
B.风险评审技术
C.德尔斐法
D.动态概率风险评估（DPRA）
E.风险模式影响及危害性分析（RMECA）
38.AHP方法的基本步骤包括（）
A.系统分解，建立层次结构模型
B.识别系统中存在的事件，找出风险源
C.构造判断矩阵
D.通过单层次计算进行安全性判断
E.层次总排序，完成综合判断
39.信息安全基本属性不包括（）
A.机密性
B.可用性
C.封装性
D.完整性
40.项目规划阶段所涉及的安全需求包括（）
A.明确安全总体方针
B.明确项目范围
C.提交明确的安全需求文档
D.对实现的可能性进行充分分析、论证
41.对安全总体方针文档的内容应审查的方面包括（）
A.是否已经制定并发布了能够反映机构安全管理意图的信息安全文件
B.风险管理过程的执行是否有机构保障
C.是否有专人按照特定的过程定期进行反复与评审
D.风险管理的范围是否明确
42.设计阶段的主要需求不包括（）
A.对用以实现安全系统的各类技术进行有效性评估
B.对用于实施方案的产品需满足安全保护等级的要求
C.确保采购的设备、软件和其他系统组件满足已定义的安全要求
D.对自开发的软件要在设计阶段就充分考虑安全风险
43.为管理安全技术选择过程中可能引入的安全风险，机构需要采取的措施有（）
A.参考现有国内外安全标准
B.参考过内外公认安全实践
C.参考行业标准
D.专家委员会决策
44.实施阶段的风险管理过程与活动包括（）
A.检查与配置
B.安全测试
C.人员培训
D.授权系统运行
45.运行维护阶段的安全需求包括（）
A.在信息系统未发生更改的情况下，维持系统正常运行，进行日常的安全操作及安全管理
B.在信息系统及其运行环境发生变化的情况，进行风险评估并针对风险制定控制措施
C.定期进行风险再评估工作，维持系统的持续安全
D.定期进行信息系统的重新审批工作，确保系统授权的时间有效性
46.运行维护阶段的风险管理活动包括（）
A.安全运行和管理
B.变更管理
C.风险再评估
D.定期重新审批
47.废弃阶段的信息安全风险管理主要活动和内容包括（）
A.确定废弃对象
B.废弃对象的风险分析
C.废弃过程的风险控制
D.废弃后的评审
48.沟通与咨询包括（）
A.与决策层沟通，以得到他们的理解和批准
B.与管理层和执行层沟通，以得到他们的理解和协作
C.与支持层沟通，以得到他们的了解和支持
D.与用户层沟通，以得到他们的了解和配合
E.为所有层面的相关人员提供咨询和培训等，以提高他们的安全
意识、知识和技能
49.以下关于沟通与咨询方式的表述正确的是（）
A.沟通与咨询的双方角色不同，所采取的方式有所不同
B.表态适用于管理层对支持层和管理层对用户层
C.指导和检查指机构上级对下级工作的指导和检查，用以保证工作质量和效率
D.宣传和介绍适用于决策层对支持层和执行层对支持层
50.监控与审查包括（）
A.监控过程有效性，包括流程是否完整和有效地被执行
B.监控成本有效性，包括执行成本与所得效果相比是否合理
C.审查结果有效性，包括输出结果是否因信息系统自身或环境的变化而过时
D.监控与审查的过程应贯穿于信息安全风险管理的对象确立、风险分析、风险控制和审核批准这四个基本步骤。