信息安全等级测评师考点巩固（题库版）.docx

《信息安全等级测评师考点巩固（题库版）.docx》由会员分享，可在线阅读，更多相关《信息安全等级测评师考点巩固（题库版）.docx（37页珍藏版）》请在优知文库上搜索。

1、信息安全等级测评师考点巩固（题库版）1、单选信息系统安全保护等级，可以理解为对信息系统实施安全保护的O的等级。A、重要性B、系统安全C、强度D、安全正确答案：C2、判断题第二级信息系统是指具有（江南博哥）抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。正确答案：错3、单选?对测评机构不能从事的活动下列说法正确的是OO（1）影响被测评信息系统正常运行，危害被测评信息系统安全：（2）泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密；（3）与客户进行沟通后隐瞒测评过程中发现的安全问题，维护客户关系；（4）按规定格式出具等级测评报告：（

2、5）非授权占有、使用等级测评相关资料及数据文件（6）分包或转包等级测评项目：（7）信息安全产品开发、销售和信息系统安全集成：（8）限定被测评单位购买、使用指定的信息安全产品，以达到最佳安全水平。A.、B.、C.、D.、(2)、(4)、(2)、(3)、(2)、(3)、(2)、(5)、(5)、(8)o(5)、(7)o(4)、(8)。(6)、(7)o正确答案：D4、多选三级及以上信息系统的物理访问控制应满足以下（）要求。A、机房出入口应安排专人值守，控制、鉴别和记录进入的人员。B、需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。C、应对机房划分区域进行管理，区域和区域之间设置物理隔

3、离装置，在重要区域前设置交付或安装等过渡区域。D、重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。正确答案：A,B,C,D5、多选三级信息系统的人员录用应满足以下要求（）.A、应指定或授权专门的部门或人员负责人员录用。B、应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审杳，对其所具有的技术技能进行考核。C、应签署保密协议。D、可从所有人员中选拔从事关键岗位的人员，并签署岗位安全协议。正确答案：A,B,C6、单选防火墙的位置一般为OOA.内外网连接的关口位置B.内网敏感部门的出口位置C.非军事区（DMZ）的两侧D.以上都对正确答案：D7、单选WinC1。WS操作系统

4、中，本地登录权限对O用户组不开放。A.GuestB.AdministartorsC. UsersD. Everyone正确答案：D8、问答题访问控制表和访问能力表布.何区别？正确答案：访问控制表是基于访问控制矩阵中列的自主访问控制，它在一个客体上附加一个主体明晰表，来表示各个主体对这个客体的访问权限。而访问控制表是基于行的自主访问控制。访问能力表不能实现完备的自主访问控制，而访问控制表是可以实现的。9、单选计算机应用模式发展过程包括OA、主机计算，集群计算，分布式计算B、主机计算，分布式C/S计算，互联网计算C、单机计算，多机计算，集中计算D、嵌入式计算，桌面计算，服务器计算正确答案：B10、

5、单选对公民、法人和其他组织的合法权益造成特别严重损害，定义为凡级（）。A、第一级B、第二级C、第三级D、第四级E、第五级正确答案：B11、单选电磁防护是O层面的要求。络机统理网主系物、ABCD正确答案：D12、填不题基于网络的入侵检测系统的信息源是O。正确答案：网络中的数据包13、判断题新建信息系统要在规划设订阶段确定安全等级，按照等级要求同步进行安全建设，建成后经等级测评符合要求的，方可投入使用正确答案：对14.判断题特权用户设置口令时，应当使用enab1.epassword命令设定具有管理员权限的口令。正确答案：错15、单选WindoWS安装完成后，默认情况下会产生两个账号，分别是管理员账

6、号和（）.A、本地账号B、域账号C、来宾账号D、局部账号正确答案：C16、单选哪项不是开展主机工具测试所必须了解的信息。A.操作系统B.应用C.ipD.物理位置正确答案：D17、问答题PGP的密钥如何管理？正确答案：1）私有密钥的保存（1）用户选择一个口令短语用于加密私钥。（2）当系统用RSA生成一个新的公钥/私钥对时，要求用户输入口令，使用SHA-I对该口令生成一个160位的散列码，然后销毁口令。（3）系统用散列码中，128位作为密码用CASTT28加密私钥，然后销毁这个散列码，并将加密后的私钥存储到私钥环中0（4）当用户要访问私钥环中的私钥时必须提供口令。PGP将取出加密后的私钥，生成散列

7、码，解密私钥。2）公钥密钥管理（1）直接获取公钥，如通过软盘拷贝。（2）通过电话验证公钥的合法性。（3）从双方都信任的第三方获取公钥。（4）从一个信任的CA中心得到公钥。18、判断题WindOwS2000/XP系统提供了口令安全策略，以对帐户口令安全进行保护。正确答案：对19、多选通过组织开展信息安全等级保护的哪三项重点工作，落实等级保护制度的各项要求。OA、安全管理制度建设B、安全评估工作C、技术措施建设D、等级测评正确答案：A,C,D20、问答题三级信息系统中，网络安全中的设备安全有哪些检查项？正确答案：A.应时登录网络设备的用户进行号份鉴别；B.应对网络设备的管理员登录地址进行限制；C.

8、网络设备用户的标识应唯一；【）.主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；E.身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换：F.应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施：g）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听：h）应实现设备特权用户的权限分离。21、问答题WindOWSNT采用什么访问控制模型如何体现？正确答案：WindoWSNT采用自主访问控制模型。体现在当用户登录时，本地安全授权机构为用户创建个访问令牌，以后用户的所有程序都将拥有访问令牌的拷贝，作为

9、该进程的访问令牌。这就相当于用户将权限传递给了这些进程。此外，在为共享资源创建的安全描述符中包括一个对该共享资源的自主访问控制表，当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用户/进程的访问令牌中的安全标识与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。这些都可以说明WindOWST采用的是自主访问控制模型。22、填空题安全建设整改以O为驱动，采用的安全技术措施、以及配套的安全管理措施等均应满足信息系统的基本安全需求为目的。正确答案：安全需求23、单选以下哪一项不属于侵害社会秩序的事项O.A、影响国家经济竞争力和科技实力B、影响各种类型的经济活动秩序C、

10、影响各行业的科研、生产秩序D、影响公众在法律约束和道德规范下的正常生活秩序等正确答案:A24、问*题简述什么是数字签名。正确答案：数字签名就是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串，该字母数字串被成为该消息的消息鉴别码或消息摘要，这就是通过单向哈希函数实现的数字签名；在公钥体制签名的时候用户用自J的私钥对原始数据的哈希摘要进行加密所得的数据，然后信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与用自己收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改，这样就保证了数据传输的不可否认性。这

11、是公钥签名技术。25、问答题基本要求中，刻于三级信息系统，网络安全层面应采取哪些安全技术措施？画出图并进行描述（不考虑安全加固）.正确答案：网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢熨。输储份传存备26、多选数据安全是指对信息系统中业务数据的哪几方面进行安全保护。OA、B、C、D、应用正确答案：A,B,C27、单选信息安全等级保护工作的首要环节和关键环节是OOA、评审B、安全测评C、定级D、整改正确答案：C28、填空题（）是按照信息系统重要程度划分等级的技术标准，应用于等级保护工作中信息系统定级活动。正确答案：定级指南29、判断

12、题地方测评机构只能上在本地开展测评，不能燃去外地测评。正确答案：错30、单选以下关于等级保护的地位和作用的说法中不正确的是OoA.是国家信息安全保障工作的基本制度、基本国策。B.是开展信息安全工作的基本方法。C.是提高国家综合竞争力的主要手段。D.是促进信息化、维护国家信息安全的根本保障。正确答案：C31、多选根据广东省公安厅关于计算机信息系统安全保护的实施办法，关于公安机关的进行安全检查的要求，下列表述正确的是OOA.对第三级计算机信息系统每年至少检查一次B.对第四级计算机信息系统每半年至少检查一次C.对第五级计算机信息系统，应当会同国家指定的专门部门进行检查【）.对其他计算机信息系统应当不

13、定期开展检查正确答案：A,B,C,D32、多选信息安全等级保护管理办法中要求从事信息系统安全等级测评的机构，应当履行下列O义务。A、遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果。B、保守在测评活动中知悉的国家秘密、商业秘密和个人隐私。C、防范测评风险。D、对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律贲任，并负贲检查落实。正确答案：A,B,C,D33、单选人员管理主要是对人员的录用、人员的离岗、（）、安全意识教育和培训、第三方人员访问管理5个方面。A、人员教育B、人员裁减C、人员考核【）、人员审核正确答案：

14、C34、单选应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能是几级要求。OAx一级B、二级C、三级D、四级正确答案：B35、问答题安全技术要求中的网络安全是指什么？正确答案：网络安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。具体关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备臼身保护和网络的网

15、络管理等方面。36、单选IinUX主机中关于以下说法不正确的是OA. BASS_MAX_DAYS90是指登陆密码有效期为90天。B. PASSARN_AGE7是指登陆密码过期7天前提示修改。C. EA1.1._DE1.AY10是指错误登陆限制为10次。D. SYS1.OG_SG_ENAByes当限定超级用于组管理日志时使用。正确答案：C37、单速物理层面安全要求包括物理位置、物理访问控制、防盗窃和防破坏等，其中不是物理安全范围的是什么？OA、防静电B、防火C、防水和防潮D、防攻击正确答案：D38、判断题根据信息安全等级保护管理办法，信息系统的运营、使用单位应当根据本办法和有关标准，确定信息系统的安全保护等级并报公安机关审核批准。正确答案：错39、问答题CC如何描述安全功能和安全保障？正确答案：这一部分为用户和开发者提供了一系列