《信息安全等级测评师考试题三.docx》由会员分享,可在线阅读,更多相关《信息安全等级测评师考试题三.docx(35页珍藏版)》请在优知文库上搜索。
1、信息安全等级测评师考试题三1、多选主机安全是指对信息系统涉及到的哪方面进行主机系统安全保护。OA、服务器B、入侵检测C、工作站D、准入控制正确答案:A,C2、单选信息安全等级(江南博哥)保护测评方法,以下哪种表述最完整OOA、访谈B、检查C、测试D、访谈、检查和测试正确答案:D3、问答题C级安全和B级安全的主要区别是什么?正确答案:C等为自主保护级,B等为强制保护级,这一级比C级的安全功能有大幅提高。4、问答题身份认证的信息主要有哪几类?并每项列举不少于2个的事例。正确答案:身份认证的信息可分为以下几类:用户知道的信息,如个人标识、1.令等。用户所持有的证件,如门卡、智能卡、硬件令牌等。用户所
2、特有的特征,指纹、虹膜、视网膜扫描结果等。5、单选信息安全等级保护工作直接作用的具体的信息和信息系统称为OoA、客体B、客观方面C、等级保护对象D、系统服务正确答案:C6、单选应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能是几级要求。OA、一级B、二级C、三级Dx四级正确答案:B7、单选安全规划设计基本过程包括()、安全总体设计、安全建设规划。A项目调研B.概要设计C.需求分析D.产品设计正确答案:C8、多选下列属于对称加密的是OoA、rsaBxec
3、cCx3desD、aes正确答案:C,D9、多选等级保护测评准则的作用,主要有()。A、指导系统运营使用单位进行自查B、指导评估机构进行检测评估C、监管职能部门参照进行监督检查D、规范测评内容和行为正确答案:A,B,C,D10、单选配置如下两条访问控制列表:access-1.ist1permit1.110.10.10.0.255.255access-1.ist2Pern1.it1.O.110.100.1000.0.255.255访问控制列表1和2,所控制的地址范围关系是()OA.1和2的范围相同8.1 的范围在2的范围内C2的范围在1的范围内D.1和2的范围没有包含关系正确答案:A11、单选在
4、信息系统的运行过程中,安全保护等级是否需要随着信息系统所处理的信息和业务状态的变化进行适当的变更。OA、需要B、不需要正确答案:A12、单选系统定级、安全方案设计、产品采购等是O部分要求。A、系统建设管理B、系统运维C、数据安全Dx主机安全正确答案:A13、问答题简述SS1.协议建立安全连接的过程。正确答案:分四个阶段:一,建立安全能力,包括协议版本、会话ID、密文族、压缩方法和初始随机数。这个阶段将开始逻辑连接并且建立和这个连接相关联的安全能力;二,服务器鉴别和密钥交换;三,客户鉴别和密钥交换;四,结束,这个阶段完成安全连接的建立。14、问答题AES算法采用什么结构?与DES算法结构有何区别
5、?正确答案:AES算法采用SP网络结构,轮变换是由三个不同的可逆一致变换组成,称之为层。不同层的选择建立在宽轨迹策略的应用基础上每层都有它自己的函数。这三层分别是线性混合层,非线性层和密钥加层。而DES采用的是FeiSte1.网络结构,中间状态的部分比特不加改变简单转珞到下一轮的其他位珞。15、单选等级保护的政策文件中,就备案工作作出相关规定的文件是()A、关于信息安全等级保护工作的实施意见B、关于加强国家电子政务工程建设项目信息安全风险评估工作的通知C、关于开展信息系统等级保护安全建设整改工作的指导意见D、信息安全等级保护备案实施细则正确答案:D16、名词解释对称密码正确答案:密码系统从原理
6、上分为两大类,即单密钥系统和双密钥系统,单密钥系统又称为对称密码系统或秘密密钥密码系统,单密钥系统的加密密钥和解密密钥或者相同,或者实质上等同,即易于从个密钥得出另一个.17、问答题基本要求中,刻于三级信息系统,网络安全层面应采取哪些安全技术措施?画出图并进行描述(不考虑安全加固).正确答案:网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢熨。18、多选三级信息系统的管理制度包括如下()内容。A、应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;B、应对安全管理活动中的各类管理内容建立安全管理
7、制度:C、应对要求管理人员或操作人员执行的日常管理操作建立操作规程;D、应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。正确答案:A,B,C19、多选信息系统定级为三级的特点是OOA.对国家安全造成严重损害B.对社会秩序和公共利益造成严重损害C.对公民、法人和组织的合法权益造成特别严重损害D基本要求中增加了异地备份正确答案:B,D20、判断题三级信息系统应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时时自动退出等措施。正确答案:对21、单选首次以国家行政法规形式确立了信息安全等级保护制度的法律地位的政策文件是O(.A、计算机信息安全保护等级划
8、分准则B、信息系统安全等级保护基本要求C、中华人民共和国计算机信息系统安全保护条例D、信息安全等级保护管理办法正确答案:C22、单选WindOWS安装完成后,.默认情况卜.会产生两个账号,分别是管理员账号和()。A、本地账号B、域账号C、来宾账号D、局部账号正确答案:C23、单选技术类安全要求按其保护的测重点不同,将依据三类控制点进行分类,其中S类代表是业务信息安全类,A类代表是什么?OA、通用安全保护等级B、业务服务保证类(应为系统服务保证类)C、用户服务保证类D业务安全保证类正确答案:B24、问答题入侵行为的目的主要是哪些?正确答案:入侵者的目的各不相同,分为善意的和恶意的。大体来说入侵者
9、在入侵一个系统者时会想达到以下种或者几种目的:执行进程,获取文件和数据,获取超级用户权限,进行非授权操作,使系统拒绝服务,篡改信息,批露信息。25、问答题简述GB17859的主要思想。正确答案:建立了安全等级保护制度,实施安全等级管理的重要基础性标准,将计算机信息系统划分为五个等级,通过规范的,科学的,公证的评定和监督管理,为计算机信息系统安全等级保护管理法规的制定提供了研制技术支持,同时为安全系统的建设和管理提供技术指导。26、多选信息收集一般要包括OA、网络设备B、安全设备Cx主机D、网络拓扑结构正确答案:A,B,C,D27、问答题简述不同网络协议层常用的安全协议。正确答案:安全协议本质上
10、是关于某种应用的一系列规定,在OS1.不同的协议层上有不同协议。表现在:(1)应用层安全协议:安全Shen(SHH),它通常替代TE1.NET协议、RSH协议来使用。SET,即安全电子交易是电子商务中用于安全支付最典型的代表协议。S-HTTP,是一个非常完整的实现,但由于缺乏厂商支持,该协议现在已经几乎不在使用。PGP,主要用于安全邮件,其一大特点是源代码免费使用、完全公开。S/M1ME,是在MIME规范中加入了获得安全性的一种方法,提供了用户和论证方的形式化定义,支持邮件的签名和加密。(2)传输层安全协议:SS1.,它工作在传输层,独立于上层应用,为应用提供一个安全的点一点通信隧道。PCT,
11、与SS1.有很多相似之处,现在已经同SS1.合并为T1.S,只是习惯上仍然把T1.S称为SS1.协议。(3)网络层安全协议:包括IP验证头(AH)协议、IP封装安全载荷协议(ESP)和Inten1.et密钥管理协议(IKMP)28、单选下列有关SQ1.Server2000中,master数据库的说法不正确的是O。A、用户数据库可以重命名,master数据库不能重命名B、master数据库记录SQ1.SerVer的所有系统信息Cxmaster数据库在安装SQ1.SerVer的过程中F1.动安装D、不可以重建master数据库。正确答案:D29、单症可信计算机系统评估准则中安全等级分为O0A、高级
12、,中级和低级B、S,C,B和A四类C、最安全,安全和不安全D、D,C,B和A四类正确答案:D30、填空题美国国防部发布的可信计算机系统评估标准(TCSEC)定义了O个等级。正确答案:七31、问答题如何逃避缓冲区溢出检测?正确答案:一些NIDS检测远程缓冲溢出的主要方式是通过监测数据载荷里是否包含“/bin/sh”或是否含有大量的M)P。针对这种识别方法,某些溢出程序的NoP考虑用“eb02”代替。另外,目前出现了一种多形态代码技术,使攻击者能潜在的改变代码结构来欺骗许多MDS,但它不会破坏最初的攻击程序。经过伪装的溢出程序,每次攻击所采用的Shc1.1.codc都不相同,这样降低了被检测的可能
13、。有些WDS能依据长度、可打印字符判断这种入侵,但会造成大量的错报。32、多选根据广东省公安厅关于计算机信息系统安全保护的实施办法,信息安全等级测评机构申请备案OOA.一般应当向地级以上市公安机关公共信息网络安全监察部门提出申请B.承担省直和中央驻粤单位信息安全等级测评工作的机构,直接向省公安厅公共信息网络安全监察部门提出申请C. 一般应当向公安部公共信息网络安全监察部门提出申请D.一般应当向县级以上市公安机关公共信息网络安全监察部门提出申请正确答案:A,B33、填空题符合复杂性要求的听indowsXP帐号密码的最短长度为O正确答案:634、判诵题地方测评机构只能上在本地开展测评,不能够去外地
14、测评。正确答案:错35、单选对国家安全造成一般损害,定义为儿级OcA、第一级B、第二级C、第三级D、第四级E、第五级正确答案:C36、多选下列访问控制屈于按层面划分的为O0A.自主访问控制B.物理访问控制C.主机访问控制D.强制访问控制正确答案:B,C37、单选一般来说,二级信息系统,适用于OcA.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。B适用于地市级以上国家机关、企业、事业单位内部重要的信息系统:重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统:跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站:跨省(市
15、)联接的信息网络等。C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。正确答案:D38、多选下列1.inUX说法中正确的是OOA、对于配置文件权限值不能大于664应该是644-rw-r-r最好是600.B、使用“IsT文件名”命令,查看重要文件和目录权限设置是否合理C、对于可执行文件的权限值不能大于755D、dr-rrw-;用数字表示为523应该是546正确答案:B,C39、问答题说明密钥的分类和作用。正确答案:从网络应用来看,密钥一般分为以下几类:基本密钥,会话密钥,密钥加密密钥和主机密钥等。(1)基本密钥:基本密钥又称初始密钥,是由用户选定或由系统分
免费区 