信息安全

（试卷说明：本试卷共三大题，满分100分，及格60分）

一、判断题（共10小题，每小题1分）

1．根据《信息安全等级保护管理办法》，信息系统的运营．使用单位应当根据本办法和有关标准，确定信息系统的安全保护等级并报公安机关审核批准。( )

2．根据《信息安全等级保护管理办法》，第十五条已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营．使用单位到所在地设区的市级以上公安机关办理备案手续( √ )

3．根据《信息安全等级保护管理办法》，公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营．使用单位发出整改通知(√ )

4．信息系统运营．使用单位应当依照相关规定和标准和行业指导意见自主确定信息系统的安全保护等级。即使有主管部门的，也不必经主管部门审核批准。（）

5．根据《信息安全等级保护管理办法》，第三级信息系统运营．使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。( )

6．GB 17859与目前等级保护所规定的安全等级的含义不同，GB 17859中等级划分为现在的等级保护奠定了基础。（√）

7．定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。（√）

8．脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。（）

9．虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。（√）

10．根据《信息安全等级保护管理办法》，公安机关应当掌握信息系统运营．使用单位的备案情况，发现不符合本办法及有关标准的，应建议其予以纠正。( )

二、单选题（共30小题，每小题1分）

1．对拟确定为（d ）以上信息系统的，运营．使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级

B．第二级

C．第三级

D．第四级

2．信息系统建设完成后，（a ）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。

A．二级以上

B．三级以上

C．四级以上

3．1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859 — 1999，提出将信息系统的安全等级划分为__d____个等级，并提出每个级别的安全功能要求。

A．7

B．8

C．6

D．5

4．信息安全等级保护的5个级别中，__b____是最高级别，属于关系到国计民生的最关键信息系统的保护。

A．强制保护级

B．专控保护级

C．监督保护级

D．指导保护级

E．自主保护级

5．关于资产价值的评估，__d____说法是正确的。

A．资产的价值指采购费用

B．资产的价值无法估计

C．资产价值的定量评估要比定性评估简单容易

D．资产的价值与其重要性密切相关

6．根据等级保护相关管理文件，信息系统的安全保护等级分为几个级别：（ c ）

A．3

B．4

C．5

D．6

7．受法律保护的．等级保护对象受到破坏时所侵害的社会关系，如国家安全．社会秩序．公共利益以及公民．法人或其他组织的合法权益,称为（a）

A．客体

B．客观方面

C．等级保护对象

D．系统服务

8．信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害,在等保定义中应定义为第几级（ d ）

A．第一级

B．第二级

C．第三级

D．第四级

E．第五级

9．信息系统受到破坏后，会对公民．法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全,在等保定义中应定义为第几级（ b ）

A．第一级

B．第二级

C．第三级

E．第五级

10．对社会秩序．公共利益造成特别严重损害，定义为几级（d ）

A．第一级

B．第二级

C．第三级

D．第四级

E．第五级

11．确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全（ a ）

A．国家安全

B．社会秩序或公众利益

C．公民．法人和其他组织的合法权益

12．物理层面安全要求包括物理位置、物理访问控制、防盗窃和防破坏等，其中不是物理安全范围的是什么？d

A．防静电 B．防火 C．防水和防潮 D．防攻击

13．应用安全包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性和___a__。

A．抗抵赖．软件容错．资源控制

B．不可否认性．软件容错．资源控制

C．抗抵赖．软件删除．资源控制

D．抗抵赖．软件容错．系统控制

14．基本要求的选择和使用中，定级结果为S3A2，保护类型应该是 c 。

A． S3A2G1 B ．S3A2G2 C．S3A2G3 D．S3A2G4

15．系统定级、安全方案设计、产品采购等是__a____部分要求。

A．系统建设管理 B．系统运维 C．数据安全 D．主机安全

四级系统中，物理安全要求共有____c____项

A．8 B．9 C．10 D．11

16．信息安全等级保护测评方法，以下哪种表述最完整：（ d ）。

A．访谈 B．检查 C测试 D．访谈．检查和测试

17．根据《信息安全等级保护管理办法》，应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。（ d ）A．公安机关

B．国家保密工作部门

C．国家密码管理部门

D．信息系统的主管部门

18．如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于___c___。

A．强制保护级

B．监督保护级