信息系统安全评测与风险评估试题及答案.doc

信息安全测评与风险评估第二版课后题信息安全测评与风险评估是当今社会中非常重要的一环，随着数字化时代的到来，信息安全的重要性愈发凸显。

为了更好地保护信息安全，进行信息安全测评与风险评估显得尤为重要。

在本篇文章中，我将对信息安全测评与风险评估第二版课后题进行全面的评估和分析，帮助您更深入地理解这一重要的主题。

1. 信息安全测评信息安全测评是指对信息系统的安全性进行全面的评估和测试。

通过信息安全测评，可以发现信息系统中存在的安全漏洞和问题，为后续的安全防护和处理提供依据。

信息安全测评的重点包括对系统的物理安全、网络安全、数据安全、应用系统安全等方面的评估。

在进行信息安全测评时，需要充分考虑系统的特点和实际运行环境，采用科学的方法和工具进行评估，以保证评估的全面和准确。

2. 风险评估风险评估是指对系统中存在的各种风险进行分析和评估，确定风险的发生概率和影响程度，并采取相应的措施进行风险管理。

风险评估的主要内容包括对系统中的各种威胁和弱点进行排查和分析，确定系统面临的风险类型和级别，评估风险的可能性和影响，并提出相应的风险处理建议。

通过风险评估，可以有效地识别和管理系统中存在的各种风险，保障信息系统的安全和稳定运行。

3. 信息安全测评与风险评估第二版课后题信息安全测评与风险评估第二版课后题是一本权威的书籍，对信息安全测评与风险评估的相关知识进行了深入讲解和分析。

通过学习这本书籍，可以全面了解信息安全测评与风险评估的理论和实践，提高对信息安全的认识和理解。

在书籍的课后题中，涵盖了丰富的案例和实践内容，通过对这些课后题的学习和分析，可以更好地掌握信息安全测评与风险评估的方法和技巧，为实际工作提供参考和借鉴。

4. 个人观点和理解在进行信息安全测评与风险评估时，需要充分考虑系统的实际情况和特点，采用科学的方法和工具进行评估和分析。

还需要不断学习和积累相关知识，提高对信息安全的认识和理解，不断完善和优化信息安全管理体系，全面保障信息系统的安全和稳定运行。

信息安全风险评估题信息安全风险评估是指对组织或系统可能面临的信息安全威胁进行分析和评估的过程。

以下是一个关于信息安全风险评估的练习题：1. 请解释信息安全风险评估的目的和重要性。

2. 什么是信息安全风险评估的步骤？3. 请列举并解释常见的信息安全威胁类型。

4. 请说明信息安全风险评估的工具和方法。

5. 请描述信息安全风险评估报告的主要组成部分。

6. 如何进行信息安全风险评估的风险值评估和分类？7. 请解释信息安全风险评估和风险管理的区别。

8. 在信息安全风险评估过程中，如何确定和评估风险事件的概率和影响？9. 请解释信息安全风险评估的准则和标准。

10. 信息安全风险评估应该由谁来执行？为什么？答案：1. 信息安全风险评估的目的是识别和评估可能威胁组织或系统的风险，从而采取适当的措施来保护信息资产。

这是确保组织的信息安全和业务连续性的重要步骤。

2. 信息安全风险评估的步骤包括确定评估范围、收集和分析相关信息、识别潜在风险、评估风险的概率和影响、制定风险管理策略、编制评估报告等。

3. 常见的信息安全威胁类型包括恶意软件、网络攻击、数据泄露、内部威胁、物理入侵等。

4. 信息安全风险评估的工具和方法包括问卷调查、安全扫描工具、威胁建模、漏洞分析等。

5. 信息安全风险评估报告的主要组成部分包括背景介绍、风险识别和评估结果、风险管理建议等。

6. 风险值评估和分类可以通过计算风险的概率和影响值并进行排序分类来完成。

7. 信息安全风险评估是评估威胁和风险的过程，而风险管理是指制定和实施措施来管理和减轻威胁和风险的过程。

8. 在信息安全风险评估过程中，可以使用历史数据、统计分析和专家判断等方法来评估风险事件的概率和影响。

9. 信息安全风险评估的准则和标准包括ISO 27005、NIST SP 800-30等。

10. 信息安全风险评估应该由专业的信息安全团队或专家来执行，因为他们具备相关的知识和技能，能够更准确地评估和识别风险，并提出有效的解决方案。

信息安全风险评估判断题1. 什么是信息安全风险评估？信息安全风险评估是指对组织或个人的信息系统进行全面的风险评估和判断，目的是发现和评估信息系统中的潜在安全风险，从而采取相应的措施来降低或消除这些风险。

信息安全风险评估主要包括确定资产、评估威胁、计算风险、制定应对策略等步骤。

2. 信息安全风险评估的目的是什么？信息安全风险评估的主要目的是为了帮助组织或个人了解其信息系统存在的安全风险，并采取相应的措施来防范和减轻这些风险的影响。

通过评估和判断信息系统的安全风险，可以为系统的安全性提供科学依据，帮助组织或个人优化信息安全管理，提高系统安全性。

3. 信息安全风险评估的步骤有哪些？常见的信息安全风险评估步骤包括：步骤1：确定资产首先，需要明确要评估的信息系统的资产，包括硬件设备、软件应用、数据流程、网络连接等。

步骤2：评估威胁接下来，对系统可能遭受的各种安全威胁进行评估，包括网络攻击、病毒感染、数据泄露等。

步骤3：计算风险根据资产的重要性和威胁的严重程度，对信息系统的风险进行计算和评估，确定可能造成的损失和影响。

步骤4：制定应对策略最后，根据评估结果制定相应的风险应对策略，包括安全控制措施、应急预案、培训教育等，以降低或消除风险的影响。

4. 信息安全风险评估的价值和意义是什么？信息安全风险评估的价值和意义有以下几个方面：提高安全性通过信息安全风险评估，可以及时发现和评估系统中存在的安全风险，从而可以采取相应的措施来提高系统的安全性，减少可能的安全事故。

降低损失通过信息安全风险评估，可以评估风险对组织或个人的潜在损失，及时采取预防措施来降低损失的可能性和影响。

优化管理信息安全风险评估可以帮助组织或个人了解信息系统中的安全状况，优化信息安全管理，并根据评估结果制定相应的安全策略和控制措施。

合规要求对于一些行业和组织，信息安全风险评估是合规要求的一部分，具备了一定的法律和法规约束力。

5. 信息安全风险评估的注意事项有哪些？在进行信息安全风险评估时，需要注意以下事项：全面性评估过程应该尽可能全面，考虑到系统中各个方面的潜在风险并给出评估结果。

信息安全等级测评师测试一、单选题（16分）中卫科技1、下列命令中错误的是。

（c）A、PASS_MAX_DAYS 30 #登录密码有效期30天B、PASS_MIN_DAYS 2 #登录密码最短修改时间2天C、FALL_DELAY 10 #登录错误时等待10分钟D、FALLLOG_ENAB YES #登录错误记录到日志2、Windows操作系统可以通过配置来对登录进行限制。

（C ）A、系统环境变量B、通过ip地址C、账户锁定策略D、读写保护3、Windows安装完成后，默认情况下会产生两个账号，分别是管理员账号和。

（ C ）administrator和guest两个A、本地账号B、域账号C、来宾账号D、局部账号4、有编辑/etc/passad文件能力的攻击者可以通过把UID变为就可以作为特权用户。

（ B ）应该是/etc/passwd文件，题目写错了。

A、-1B、0C、 1D、 25、敏感标记是由的安全管理员进行设置的，通过对设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。

（ C ）A、强制性重要信息资源B、强认证一般信息资源C、强认证重要信息资源D、强制性一般信息资源6、发现入侵的最简单最直接的方法是去看和。

（B ）A、审计记录系统文件B、系统记录安全审计文件C、系统记录系统文件D、审计记录安全审计文件7.windows和linux操作系统用户密码最长使用期限推荐配置为（C ）A．30天60天 B. 60天90天C. 70天90天D. 50天70天8．Windows操作系统中，本地登录权限对用户组不开放。

( D ) A．Guest B.Administartors ers D.Everyone二、多选题（27分）1、下列Linux说法中正确的是。

（ B C ）A、对于配置文件权限值不能大于664 ----应该是644 - rw - r- - r - -最好是600.B、使用“ls-l文件名”命令，查看重要文件和目录权限设置是否合理C、对于可执行文件的权限值不能大于755D、dr-xr--rw-；用数字表示为523----应该是5462、对于账户的管理合理的是。

【最新资料，WORD文档，可编辑修改】信息系统安全评测与风险评估试题姓名分数GB/T20269 信息系统安全管理要求GB/T20270 网络基础安全技术要求GB/T20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。

1. 信息安全风险评估的目的是什么？A. 提高网络速度B. 确保信息系统的安全C. 增加用户数量D. 降低硬件成本2. 风险评估中的“风险”是指什么？A. 潜在的威胁B. 已知的漏洞C. 潜在的威胁利用漏洞导致的不良后果的可能性D. 安全措施的成本3. 在进行风险评估时，首先需要做什么？A. 实施安全措施B. 识别资产C. 购买保险D. 培训员工4. 风险评估中的“资产”包括哪些？A. 硬件设备B. 软件应用C. 数据信息D. 以上都是5. 风险评估中的“威胁”是指什么？A. 可能导致资产损失的事件B. 安全措施的不足C. 资产的价值D. 风险评估的过程6. 风险评估中的“漏洞”是指什么？A. 资产的弱点B. 威胁的来源C. 安全措施的强度D. 风险评估的结果7. 风险评估中的“控制措施”是指什么？A. 防止威胁的措施B. 减少漏洞的措施C. 降低风险发生的可能性和影响的措施D. 增加资产价值的措施8. 风险评估中的“风险分析”包括哪些步骤？A. 识别资产、威胁和漏洞B. 评估威胁的可能性和漏洞的严重性C. 计算风险等级D. 以上都是9. 风险评估中的“风险评价”是指什么？A. 确定风险是否可接受B. 计算风险的成本C. 识别新的威胁D. 实施新的控制措施10. 风险评估中的“风险处理”包括哪些选项？A. 接受风险B. 转移风险C. 减轻风险D. 以上都是11. 风险评估中的“风险监控”是指什么？A. 定期检查资产B. 定期更新威胁列表C. 定期评估风险和控制措施的有效性D. 定期购买新的安全设备12. 风险评估中的“风险沟通”是指什么？A. 向管理层报告风险评估结果B. 向员工传达安全政策C. 向客户解释安全措施D. 以上都是13. 风险评估中的“风险管理”是指什么？A. 识别和评估风险B. 选择和实施控制措施C. 监控和审查风险D. 以上都是14. 风险评估中的“风险矩阵”是什么工具？A. 用于识别资产的工具B. 用于评估威胁的工具C. 用于分析和可视化风险的工具D. 用于实施控制措施的工具15. 风险评估中的“风险登记册”是什么？A. 记录资产的清单B. 记录威胁的清单C. 记录漏洞的清单D. 记录所有风险和相关信息的文档16. 风险评估中的“风险评估报告”应包括哪些内容？A. 风险评估的方法和过程B. 风险评估的结果C. 风险处理建议D. 以上都是17. 风险评估中的“风险评估方法”有哪些？A. 定性评估B. 定量评估C. 混合评估D. 以上都是18. 风险评估中的“定性评估”是指什么？A. 使用数值来评估风险B. 使用描述性语言来评估风险C. 使用图表来评估风险D. 使用模型来评估风险19. 风险评估中的“定量评估”是指什么？A. 使用数值来评估风险B. 使用描述性语言来评估风险C. 使用图表来评估风险D. 使用模型来评估风险20. 风险评估中的“混合评估”是指什么？A. 结合定性和定量方法来评估风险B. 只使用定性方法来评估风险C. 只使用定量方法来评估风险D. 不使用任何评估方法21. 风险评估中的“风险等级”是如何确定的？A. 根据资产的价值B. 根据威胁的可能性和漏洞的严重性C. 根据控制措施的有效性D. 根据风险评估的成本22. 风险评估中的“风险优先级”是如何确定的？A. 根据资产的价值B. 根据威胁的可能性和漏洞的严重性C. 根据控制措施的有效性D. 根据风险评估的成本23. 风险评估中的“风险接受”是指什么？A. 接受所有风险B. 接受部分风险C. 不接受任何风险D. 以上都不是24. 风险评估中的“风险转移”是指什么？A. 将风险转移到其他资产B. 将风险转移到其他组织C. 将风险转移到其他时间D. 以上都不是25. 风险评估中的“风险减轻”是指什么？A. 减少资产的价值B. 减少威胁的可能性C. 减少漏洞的严重性D. 以上都是26. 风险评估中的“风险避免”是指什么？A. 避免所有风险B. 避免部分风险C. 不避免任何风险D. 以上都不是27. 风险评估中的“风险控制措施”有哪些？A. 技术控制B. 管理控制C. 物理控制D. 以上都是28. 风险评估中的“技术控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是29. 风险评估中的“管理控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是30. 风险评估中的“物理控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是31. 风险评估中的“风险评估工具”有哪些？A. 风险矩阵B. 风险登记册C. 风险评估报告D. 以上都是32. 风险评估中的“风险评估软件”有哪些？A. 风险管理软件B. 风险分析软件C. 风险评价软件D. 以上都是33. 风险评估中的“风险评估模型”有哪些？A. 定性模型B. 定量模型C. 混合模型D. 以上都是34. 风险评估中的“风险评估标准”有哪些？A. ISO 27001B. NIST SP 800-30C. COBITD. 以上都是35. 风险评估中的“风险评估流程”包括哪些步骤？A. 风险识别B. 风险分析C. 风险评价D. 以上都是36. 风险评估中的“风险识别”是指什么？A. 识别资产B. 识别威胁C. 识别漏洞D. 以上都是37. 风险评估中的“风险分析”是指什么？A. 分析资产的价值B. 分析威胁的可能性和漏洞的严重性C. 分析控制措施的有效性D. 以上都是38. 风险评估中的“风险评价”是指什么？A. 评价风险是否可接受B. 评价风险的成本C. 评价风险的优先级D. 以上都是39. 风险评估中的“风险处理”是指什么？A. 处理所有风险B. 处理部分风险C. 不处理任何风险D. 以上都不是40. 风险评估中的“风险监控”是指什么？A. 监控资产B. 监控威胁C. 监控漏洞D. 以上都是41. 风险评估中的“风险沟通”是指什么？A. 沟通风险评估结果B. 沟通安全政策C. 沟通安全措施D. 以上都是42. 风险评估中的“风险管理”是指什么？A. 管理风险识别B. 管理风险分析C. 管理风险评价D. 以上都是43. 风险评估中的“风险矩阵”是什么工具？A. 用于识别资产的工具B. 用于评估威胁的工具C. 用于分析和可视化风险的工具D. 用于实施控制措施的工具44. 风险评估中的“风险登记册”是什么？A. 记录资产的清单B. 记录威胁的清单C. 记录漏洞的清单D. 记录所有风险和相关信息的文档45. 风险评估中的“风险评估报告”应包括哪些内容？A. 风险评估的方法和过程B. 风险评估的结果C. 风险处理建议D. 以上都是46. 风险评估中的“风险评估方法”有哪些？A. 定性评估B. 定量评估C. 混合评估D. 以上都是47. 风险评估中的“定性评估”是指什么？A. 使用数值来评估风险B. 使用描述性语言来评估风险C. 使用图表来评估风险D. 使用模型来评估风险48. 风险评估中的“定量评估”是指什么？A. 使用数值来评估风险B. 使用描述性语言来评估风险C. 使用图表来评估风险D. 使用模型来评估风险49. 风险评估中的“混合评估”是指什么？A. 结合定性和定量方法来评估风险B. 只使用定性方法来评估风险C. 只使用定量方法来评估风险D. 不使用任何评估方法50. 风险评估中的“风险等级”是如何确定的？A. 根据资产的价值B. 根据威胁的可能性和漏洞的严重性C. 根据控制措施的有效性D. 根据风险评估的成本51. 风险评估中的“风险优先级”是如何确定的？A. 根据资产的价值B. 根据威胁的可能性和漏洞的严重性C. 根据控制措施的有效性D. 根据风险评估的成本52. 风险评估中的“风险接受”是指什么？A. 接受所有风险B. 接受部分风险C. 不接受任何风险D. 以上都不是53. 风险评估中的“风险转移”是指什么？A. 将风险转移到其他资产B. 将风险转移到其他组织C. 将风险转移到其他时间D. 以上都不是54. 风险评估中的“风险减轻”是指什么？A. 减少资产的价值B. 减少威胁的可能性C. 减少漏洞的严重性D. 以上都是55. 风险评估中的“风险避免”是指什么？A. 避免所有风险B. 避免部分风险C. 不避免任何风险D. 以上都不是56. 风险评估中的“风险控制措施”有哪些？A. 技术控制B. 管理控制C. 物理控制D. 以上都是57. 风险评估中的“技术控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是58. 风险评估中的“管理控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是59. 风险评估中的“物理控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是60. 风险评估中的“风险评估工具”有哪些？A. 风险矩阵B. 风险登记册C. 风险评估报告D. 以上都是1. B2. C3. B4. D5. A6. A7. C8. D9. A10. D11. C12. D13. D14. C15. D16. D17. D18. B19. A20. A21. B22. B23. B24. B25. D26. B27. D28. A29. B30. C31. D32. D33. D34. D35. D36. D37. B38. D39. B40. D41. D42. D43. C44. D45. D46. D47. B48. A49. A51. B52. B53. B54. D55. B56. D57. A58. B59. C60. D。

2021年5月ISMS信息安全管理体系基础考试真题参考答案一、单项选择题1、信息安全风险评估的基本要素包括（B）。

（A）资产、可能性、影响（B）资产、脆弱性、威胁（C）可能性、资产、脆弱性（D）脆弱性、威胁、后果2、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（A）。

（A）ISO/IECJTC1SC27（B）ISO/IECJTC1SC40（C）ISO/IECTC27（D）ISO/IECTC403、当操作系统发生变更时，应对业务的关键应用进行（B），以确保对组织的运行和安全没有负面影响。

（A）隔离和迁移（B）评审和测试（C）评审和隔离（D）验证和确认4、下列关于DMZ区的说法错误的是（C）。

（A）DMZ可以访问内部网络（B）通常DMZ包含允许来自互联网的通信可进行的设备，如WEB服务器、FTP服务器、SMTP服务器和DNS服务器（C）内部网络可以无限制地访问外部网络以及DMZ（D）有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作5、信息安全管理中，关于脆弱性，以下说法正确的是：（B）。

（A）组织使用的开源软件不须考虑其技术脆弱性（B）软件开发人员为方便维护留的后门是脆弱性的一种（C）识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施（D）使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会6、公司A在内审时发现部分员工计算机开机密码少于六位，公司文件规定员工计算机密码必须六位及以上，那么下列选项中哪一项不是针对该问题的纠正措施？（A）（A）要求员工立刻改正（B）对员工进行优质口令设置方法的培训（C）通过域控进行强制管理（D）对所有员工进行意识教育7、下列哪个不是《中华人民共和国密码法》中密码的分类？（C）（A）核心密码（B）普通密码（C）国家密码（D）商用密码8、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

对秘密级、机密级信息系统每（D）至少进行一次保密检查或者系统测评。

信息安全等级测评师模拟试题（三）一、判断（10×1=10）1、三级信息系统应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时时自动退出等措施。

（√）2、口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信息，进而非法获得系统和资源访问权限。

(√)3、只要投资充足，技术措施完备，就能够保证百分之百的信息安全。

（×）4、特权用户设置口令时，应当使用enablepassword命令设定具有管理员权限的口令。

（×）5、Windows2000/xp系统提供了口令安全策略，以对帐户口令安全进行保护。

(√)6、脆弱性分析技术，也被通俗地称为漏洞扫描技术。

该技术是检测远程或本地系统安全脆弱性的一种安全技术。

(√)7、结构安全是网络安全检查的重点，网络结构的安全关系到整体的安全。

（√）8、一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。

（×）9、不同vlan内的用户可以直接进行通信。

（×）10、三级系统应能够对非授权设备私自连到内部网络的行为进行检查并准确定位.(×)二、单项选择题（15×2=30）1、我国在1999年发布的国家标准（）为信息安全等级保护奠定了基础。

A．GB17799B.GB15408C.GB17859D.GB144302、安全保障阶段中将信息安全体系归结为四个主要环节，下列______是正确的。

A.策略、保护、响应、恢复B.加密、认证、保护、检测C.策略、网络攻防、备份D保护、检测、响应、恢复3、为了数据传输时不发生数据截获和信息泄密，采取了加密机制。

这种做法体现了信息安全的______属性。

A.保密性B.完整性C.可靠性D.可用性信4、在使用复杂度不高的口令时，容易产生弱口令的安全脆弱性，被攻击者利用，从而破解用户帐户，下列（）具有最好的口令复杂度。

CISP试题及答案-五套题1.人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于：A.为了更好的完成组织机构的使命B.针对信息系统的攻击方式发生重大变化C.风险控制技术得到革命性的发展D.除了保密性，信息的完整性和可用性也引起了人们的关注2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指：A. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息安全特征和范畴的说法错误的是：A. 信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题，他随着信息技术的发展普及，以及产业基础，用户认识、投入产出而发展C. 信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术系统分为：A. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分5. 关于信息安全策略的说法中，下面说法正确的是：A. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前，无法确定信息安全策略6. 下列对于信息安全保障深度防御模型的说法错误的是：A. 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。

信息安全管理试题及答案试题一：1. 什么是信息安全风险评估？请列出评估的步骤。

答：信息安全风险评估是指对信息系统及其相关资源所面临的威胁和风险进行评估和分析的过程。

其步骤如下：步骤一：确定需要评估的范围，包括信息系统、相关资源以及与其相关联的外部环境。

步骤二：识别潜在的威胁和风险，包括通过对威胁情报的搜集和分析，以及对系统进行漏洞扫描等手段。

步骤三：评估威胁的概率和影响程度，根据威胁的可能性和对系统的影响程度对风险进行定量或定性的评估。

步骤四：分析和评估现有的安全控制措施，确定它们对于降低风险的有效性。

步骤五：根据评估结果，为每个风险确定相应的风险级别，并制定相应的风险应对策略。

2. 请简述信息安全管理的PDCA循环。

答：PDCA循环是指计划（Plan）、实施（Do）、检查（Check）和行动（Action）四个阶段的循环过程。

计划阶段：制定信息安全管理计划，包括确定目标、制定策略和制定安全措施等。

实施阶段：根据制定的计划，进行安全控制措施的实施和操作。

检查阶段：对实施的安全控制措施进行监控和评估，包括检查安全策略的合规性、检查安全控制措施的有效性等。

行动阶段：根据检查的结果，进行问题的整改和纠正，包括制定改进计划、修订策略和完善控制措施等。

3. 请解释下列术语的含义：信息资产、风险、漏洞、脆弱性。

答：信息资产是指信息系统和其相关资源，包括数据、应用程序、硬件设备和网络设备等。

风险是指可能导致信息资产受损或遭受威胁的潜在事件或行为。

漏洞是指信息系统中存在的功能缺陷、配置错误或设计不完善等问题，可能被攻击者利用以进行非法活动的安全弱点。

脆弱性是指信息系统、应用程序或网络中存在的易受攻击，或存在潜在威胁的弱点或缺陷。

试题二：1. 请列举常见的物理安全控制措施。

答：常见的物理安全控制措施包括：- 门禁系统：使用门禁卡、密码、指纹识别等技术手段，限制只有授权人员可以进入特定区域。

- 安全摄像监控：安装摄像头对重要区域进行监控，记录和回放可能的安全事件。

信息安全考试试题附答案信息安全考试试题附答案国家信息安全水平考试是由中国信息安全测评中心实施培养国家网络空间安全人才的项目。

下面是店铺精心整理的信息安全考试试题附答案，欢迎大家分享。

一、选择题试题1：入侵检测系统使用入侵检测技术对网络和系统进行监视，并根据监视结果采取不同的处理，最大限度降低可能的入侵危害。

以下关于入侵检测系统的叙述，不正确的是()。

A、入侵检测系统可以弥补安全防御系统的漏洞和缺陷B、入侵检测系统很难检测到未知的攻击行为C、基于主机的入侵检测系统可以精确地判断入侵事件D、基于网络的入侵检测系统主要用于实时监控网络关键路径的信息试题参考答案：A试题2：默认情况下，Windows 2000有3个日志文件：应用程序日志文件、安全日志文件以及()。

A、目录服务日志文件B、DNS服务器日志文件C、系统日志文件D、文件复制服务日志文件试题参考答案：C试题3：当保护组织的信息系统时，在网络防火墙被破坏以后，通常的下一道防线是下列哪一项?()A.个人防火墙B.防病毒软件C.入侵检测系统D.虚拟局域网设置试题参考答案：C试题4：以下关于备份站点的说法哪项是正确的()A.应与原业务系统具有同样的物理访问控制措施B.应容易被找到以便于在灾难发生时以备紧急情况的需要C.应部署在离原业务系统所在地较近的地方D.不需要具有和原业务系统相同的环境监控等级试题参考答案：A试题5：以下哪项不属于造成信息安全问题的自然环境因素?()A.纵火。

B.地震。

C.极端天气。

D.洪水。

试题参考答案：A试题6：项目经理欲提高信息系统安全性，他首先要做的工作是()A.考虑安全开发需要什么样的资源与预算B.考虑安全开发在开发生命周期各阶段应开展哪些工作C.对开发团队进行信息安全培训D.购买一定的安全工具，如代码扫描工具等试题参考答案：B试题7：下面对于cookie的说法错误的是：()A、cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法，而是用session验证方法试题参考答案：C试题8：分片攻击问题发生在：()A、数据包被发送时B、数据包在传输过程中C、数据包被接收时D、数据包中的数据进行重组时试题参考答案：D试题9：在信息安全风险管理体系中分哪五个层面?()A、决策层、管理层、执行层、支持层、用户层B、决策层、管理层、建设层、维护层、用户层C、管理层、建设层、运行层、支持层、用户层D、决策层、管理层、执行层、监控层、用户层试题参考答案：D试题10：依据国家标准《信息安全技术信息系统灾难恢复范围》(GB/T20988)，灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理;其中灾难恢复策略实现不包括以下哪一项?()A.分析业务功能B.选择和建设灾难备份中心C.实现灾备系统技术方案D.实现灾备系统技术支持和维护能力试题参考答案：A计算机四级考试信息安全工程师复冲刺题1、驻留在多个网络设备上的程序在短时间内同时产生大量的请求消息冲击某Web服务器，导致该服务器不堪重负，无法正常响应其他合法用户的请求，这属于。

信息系统安全评测与风险评估试题及答案信息系统安全评测与风险评估试题姓名分数/p-41729651.html GB/T19716-2005GB/T20269 信息系统安全管理要求GB/T20270 网络基础安全技术要求GB/T20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。

信息系统安全评测与风险评估试题姓名分数一：填空题（ 36 分）1. 信息安全评测实质上包含着丰富的思想内涵，严肃的（），谨慎的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满联合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完好性，数据（）性和数据的（）与恢复三个环节来考虑。

3.财产分类的方法许多，大概概括为 2 种，一种是“自然形态” ，即依据系统构成成分和服务内容来分类，如分红“数据，软件（），服务（），其余”六大类，还能够依据“信息形态”将财产分为“信息，（）和（）三大类。

4.财产辨别包含财产分类和（）两个环节。

5.威迫的辨别能够分为要点辨别和（）6．柔弱性辨别分为柔弱性发现（）柔弱性考证和（）7.风险的三个因素是财产（）和（）8. 应急响应计划应包含准则，（）预防和预警体制（）（）和附件 6 个基本因素。

二：问答题：（64 分）1.什么是安全域？当前中国区分安全域的方法大概有哪些？（10 分）2. 数据安全评测是主要应用哪三种方法进行评测？你怎样理解？（10分）3.国家标准中把主机评测分为哪八个环节？你怎样理解？（10 分）4.什么是财产和财产价值？什么是威迫和威迫辨别？什么是柔弱性？（14 分）5.什么是风险评估？怎样进行风险计算？（20分）答案一：填空题答案：1.科学精神工作作风2.保密性备份3.硬件人员信息载体和信息环境4.财产赋值5.全面辨别6.柔弱性分类柔弱性赋值7.柔弱性威迫8.角色及职责应急响应流程二：问答题答案：1. 安全域是将一个大型信息系统中拥有某种相像性的子系统齐集在一同。

目前，中国区分安全域的方法大概概括有财产价值相像性安全域，业务应用相像性安全域，安全需求相像性安全域和安全威迫相像性安全域。

2.国家标准中要求信息安全评测工程师使用“访谈” ，“检查”和“测试”这三种方法进行评测。

访谈：指评测人员经过与信息系统相关人员进行沟通，议论等活动，获得凭证以证明信息系统安全等级保护举措能否有效的一种方法。

第七章风险评估一、单项选择题1、下列有关内部控制的相关表述中，注册会计师不认可的是（）。

A、内部控制中人工成分和自动化成分的组合，因被审计单位使用信息技术的性质和复杂程度而异B、人工系统的控制可能包括对交易的批准和复核，编制调节表并对调节项目进行跟进?C、被审计单位可能采用自动化程序生成、记录、处理和报告交易，在这种情况下以电子文档取代纸质文件?D、信息系统中的控制全部是自动化控制?2、下列有关了解内部控制的相关表述中，注册会计师不认可的是（）。

A、询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用?B、除非存在某些可以使得控制得到一贯运行的自动化控制，否则注册会计师对控制的了解并不足以测试控制运行的有效性?C、获取某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行?D、任何情况下，对内部控制的了解均不能替代控制测试?3、注册会计师在了解的以下事项中，属于行业状况的是（）。

A、生产经营的季节性和周期性?B、国家的特殊监管要求?C、与被审计单位相关的税务法规是否发生变化?D、是否存在新出台的法律法规?4、下列有关了解内部控制的相关说法中，注册会计师认可的是（）。

A、注册会计师应该了解被审计单位所有的内部控制?B、注册会计师应当了解被审计单位是否已建立风险评估过程，如果被审计单位已建立风险评估过程，注册会计师应当了解风险评估过程及其结果?C、内部控制包括下列要素：控制环境、风险应对过程、与财务报告相关的信息系统和沟通、控制活动、对控制的监督?D、在了解被审计单位控制活动时，注册会计师无须了解被审计单位如何应对信息技术导致的风险5、财务报表层次的重大错报风险很可能源于（）。

A、薄弱的控制环境?B、控制活动执行不力?C、对控制的监督无效?D、风险评估过程有缺陷?6、以下有关了解被审计单位内部控制的各项中，不正确的是（）。

信息化系统安全评估考试
信息化系统安全评估是一项重要的工作，它通过对信息化系统进行全面的安全性评估，发现系统中存在的潜在安全隐患和风险，并提供相应的安全建议和措施，以保障系统的安全可靠运行。

信息化系统安全评估考试主要包括以下几个方面内容：
首先，要对信息化系统的基本架构、组成部分和关键技术进行评估。

评估应包括对系统的硬件设备、操作系统、网络结构、数据库以及各种应用软件的安全性进行检查和评估，查明系统中的漏洞和弱点，确定可能存在的安全风险。

其次，要对系统的安全策略和安全管理措施进行评估。

评估应包括对系统的访问控制策略、身份验证机制、安全审计机制以及备份和恢复策略等的合理性和有效性进行检查和评估，确保系统在面对各种攻击和威胁时能够保证数据的机密性、完整性和可用性。

另外，要对系统的安全事件响应机制进行评估。

评估应包括对系统的入侵检测与响应系统、安全事件收集与分析系统以及应急响应机制等的设计和实施情况进行检查和评估，确保系统能够及时发现和应对各类安全事件，减少安全事故造成的损失。

最后，还要对系统的安全培训与教育机制进行评估。

评估应包括对系统管理人员和用户的安全意识培训、安全操作培训以及安全监督与管理等方面进行检查和评估，确保系统使用人员具
有足够的安全知识和技能，能够正确处理系统安全问题和风险。

通过信息化系统安全评估考试，可以全面了解系统的安全现状，发现和解决安全隐患和风险，提高系统的安全性和可靠性。

同时，也可以提高系统管理人员和用户的安全意识和技能，加强系统的安全培训和教育，为信息化系统的安全运行提供有力保障。

信息系统审计与风险管理试卷（答案见尾页）一、选择题1. 信息系统审计的主要目的是什么？A. 评估系统的性能和效率B. 识别和预防计算机犯罪C. 确保系统的安全性D. 提高系统的可靠性2. 在信息系统审计中，风险评估通常包括哪些步骤？A. 识别风险B. 分析风险C. 评估风险D. 排除风险3. 以下哪个不是信息系统审计中的关键风险因素？A. 数据丢失B. 不安全的接口C. 缺乏有效的备份和恢复策略D. 过度依赖自动化4. 在进行信息系统审计时，审计师需要了解组织的业务流程。

这主要是为了：A. 评估业务流程的合规性B. 识别潜在的安全风险C. 了解组织的资源分配D. 评估组织的财务健康状况5. 风险管理计划应该包括哪些内容？A. 风险识别方法B. 风险评估过程C. 风险缓解措施D. 风险监控机制6. 在信息系统审计中，审计师需要验证系统的访问控制是否足够强大。

这主要是为了：A. 防止数据泄露B. 确保数据的完整性C. 监控用户的活动D. 限制对敏感数据的访问7. 下列哪个工具不是信息系统审计师常用的风险评估工具？A. 漏洞扫描器B. 渗透测试C. 数据库审计工具D. 系统配置检查8. 在信息系统审计中，审计师需要关注的数据隐私方面主要包括哪些？A. 个人身份信息（PII）B. 信用卡号码C. 企业秘密D. 医疗记录9. 在进行风险评估时，审计师需要考虑的因素包括：A. 攻击的可能性B. 攻击的影响C. 风险缓解策略的有效性D. 审计师的专业判断10. 在信息系统审计中，审计师需要确保系统的配置符合组织的安全政策。

这主要是为了：A. 遵守法律法规的要求B. 提高系统的性能C. 防止未授权的访问D. 减少系统的维护成本11. 在信息系统审计中，以下哪个选项不是常见的审计工具？A. 漏洞扫描器B. 渗透测试C. 数据库审计工具D. 系统配置检查12. 在进行风险评估时，信息系统审计师应该首先考虑以下哪个因素？A. 数据泄露的风险B. 系统的可用性C. 安全漏洞的严重性D. 法律和合规要求13. 以下哪个选项是信息系统审计师在审计过程中可能遇到的风险？A. 计算机病毒B. 不充分的备份策略C. 人为错误D. 系统故障14. 在信息系统审计中，审计师需要确保系统的访问控制有效。