信息安全系统等级测评师模拟测试3管理系统初级.docx

1、信息安全系统等级测评师模拟测试3管理系统初级一、 单选题（20分）1、 以下关于信息系统安全建设整改工作方中说珐中不正确的是？（ ）A、突出重要系统，涉及所有等级，试点示，行业推广。B、利用信息安全等圾保护测评工作使等级保护工作常态化。C、管理制度建设和技术措施建设同步或分步实施。D、加快改造，缺什么补什么，也可以进总体安全建设整改规划。2、 测评要求和哪一个文件是对用户系统测评的依据？（ ）A、信息系统安全等级保护实施指南。B、信息系统安全保护等级定级指南。C、信息系统安全等级保护基本要求。D、信息系统安全等级保护管理办法。3、 测评单位开展工作的政策依据是？（ ）A、公通字2004 66号

2、。B、公信安2008 736。C、公信安2010 303号。D、发改高技2008 2071。4、 安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、（ ）、安全检查和持续改进、监督检查？A、安全事件处置和应急预案。B、安全服务。C、网络评估。D、安全加固。5、 以下关于信息安全等级保护标准体系说法不正确的？（ ）A、 基础标准：GB 178591999计算机信息系统安全保护等级划分准则, 在此基础上制定出技术类、管理类、产品类标准。B、 安全要求：GB/T222392008信息安全技术信息系统安全等级保护基本要求一信息系统安全等级保护的行业规。C、 系统定级：GBT183

3、362008信息安全技术信息系统安全评估准则信息系统安全等级保护行业定级评估。D、 方法指导：信息系统安全等级保护实施指南、信息系统等级保护安 全设计技术要求。E、 现状分析：信息系统安全等级保护测评要求、信息系统安全等级保 护测评过程指南。6、 安全规划设计基本过程包括（ ）、安全总体设计、安全建设规划？A、项目调研。B、概要设计。C、需求分析。D、产品设计。7、 信息系统为支撑其所承载业务而提供的程序化过程，称为（ ）。A、客体。B、客观方面。C、等级保护对象。D、系统服务。8、 等保三级中人员安全管理包括（ ）个要求项？A、11。B、14。C、16。D、20。9、 运营、使用单位应当参照

4、信息安全技术信息系统安全管理要求GB/T20269-2006、信息安全技术信息系统安全工程管理要求（ ）管理规，制定并落实符合本系统安全保护等级要求的安全管理制度。A、测评准则。B、基本要求。C、定级指南。D、实施指南。10、 下列说法中不正确的是？（ ）A、 定级/备案是信息安全等级保护的首要环节。B、 等级测评是评价安全保护现状的关键。C、 建设整改是等级保护工作落实的关键。D、 监督检查是使信息系统保护能力不断提高的保障。11、 系统建设管理中要求，对新建系统首先要进行（ ），在进行方案设计。A、定级。B、规划。C、需求分析。D、测评。12、 申请单位认为安全测评报告的合法性和真实性存在

5、重大问题的，可以向（ ）公共信息网络安全监察部门提出申诉，提交异议申诉书及有关证明材料。A、本单位所在地公安机关。 B、地级以上市公安机关。C、省公安厅。 D、公安部。13、 等级保护测评的执行主体最好选择？（ ）A、独立的第三方测评服务机构。B、具有相关资质的、独立的第三方测评服务机构。C、从事系统集成和信息安全产品开发等安全服务机构。D、具有相关资质的、从事系统集成和信息安全产品开发等安全服务机构。14、 从系统结构上来看，入侵检测系统可以不包括？（ ）A、数据源。 B、分析引擎。C、审计。 D、响应。15、 安全建设整改无论是安全管理建设整改还是安全技术建设整改，使用的核心标准是？（ ）

6、A、计算机信息安全保护等级划分准则。B、信息系统安全等级保护基本要求。C、中华人民国计算机信息系统安全保护条例。D、信息安全等级保护管理办法。16、 通过（ ）对安全现状评估产生的结果，说明了系统安全保护方面与等级保护基本要求之间的差距，这种差距是对系统进一步安全改造的依据。A、定级。 B、备案。C、等级测评。 D、安全建设整改。17、 企业盗版是指？（ ）A、制造和销售看似合法软件产品，其实是仿冒的软件产品。B、企业XX在其部计算机系统中使用的软件。C、Internet的站点上发布广告，出售假冒软件或汇编软件或允许下载的软件产品。D、在计算机上预装XX的计算机软件。18、 从系统服务安全角度

7、反映的信息系统安全保护等级称？（ ）A、安全等级保护。 B、信息系统等级保护。C、系统服务安全保护等级。 D、业务信息安全保护等级。19、 首次以国家行政法规形式确立了信息安全等级保护制度的法律地位的政策文件是？（ ）A、计算机信息安全保护等级划分准则。 B、信息系统安全等级保护基本要求。C、中华人民国计算机信息系统安全保护条例。 D、信息安全等级保护管理办法。20、 鉴别的定义是？（ ）A、将两个不同的主体区别开来。 B、将一个身份绑定到一个主体上。C、防止非法用户使用系统及合法用户对系统资源的非法使用。 D、对计算机系统实体进行访问控制。二、 多选题（26分）1、 以下对信息系统安全建设整

8、改工作的复杂性和艰巨性说确的是？（ ）A、 政策性和技术性很强。B、 涉及围广。C、 信息系统安全加固改造，需要国家在经费上予以支持。D、 跨省全国联网的大系统结构复杂运行实时保障性高、数据重要，加固改造周期长。2、 下列访问控制属于按层面划分的为？（ ）A、自主访问控制。B、物理访问控制。C、主机访问控制。D、强制访问控制。3、 跟据ISO定义，信息安全的目标就是保证信息资产的三个基本安全属性，包括（ ）。A、不可否认性。B、性。C、完整性。D、可用性。4、 经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求的，须（ ）。A、 委托单位应当根据测评报告的建议，完善计算机信息系统安全

9、建设。B、 重新提出安全测评委托。C、 另行委托其他测评机构进行测评。D、 自行进行安全测评。5、 根据信息安全等圾保护管理办法，安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件的安全专用产品（ ）。A、 产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民国境具有独立的法人资格。B、 产品的核心技术、关键部件具有我国自主知识产权。C、 产品研制、生产单位及其主要业务、技术人员无犯罪记录。D、 产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能。E、 对国家安全、社会秩序、公共利益不构成危害。6、 信息安全等级促护管理办法中要求第三圾以上信

10、息系统应当选择符合下列条件（ ）的等级保护测评机构进行测评。A、 在中华人民国境注册成立。B、 由中国公民投资、中国法人投资或者国家投资的企事业单位。C、 具有完备的管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。D、 工作人员仅限于中国公民。7、 信息安全等级保护管理办法中要求从事信息系统安全等级测评的机构，应当履行下列（ ）义务。A、 遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果。B、 保守在测评活动中知悉的国家秘密、商业秘密和个人隐私。C、 防测评风险。D、 对测评人员进行安全教育，与其签订安全责任书，规定应当履行的安全义务和承担的

11、法律责任并负责。8、 计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列瓷料的主要有？（ ）A、 安全测评委托书。B、 定级报告。C、 计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。D、 安全策略文档。9、 对三级及以上信息系统的人员配备包括如下（ ）容。A、应配备一定数量的系统管理员、网络管理员、安全管理员等。B、应配备专职安全管理员，不可兼任。C、关键事务岗位应配备多人共同管理。D、应配备系统审计虽，加强对管理员工作的监督。10、 三级信息系统的测试验收包括如下（ ）容。A、 应

12、委托公正的第三方测试单位对系统进行安全性测试，并出县安全性测试报告。B、 在测试验收前应根据设计方案或合同要求等制订测试验收方室，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告。C、 应指定或授权专门的部门负责系统测试验收的管理并按照管理规定的要求完成系统测试验收工作。D、 应组织相关部门和相关人员对系统测试殓收报告进行审定，并签字确认。11、 三级信息系统的等级测评包括如下（ ）容。A、 在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等圾保护标准要求的及时整改。B、 应在系统发生变更时及时对系统进行等圾测评，发现级别发生变化的及时调整级别并进行安全改造，发现不

13、符合相应等级保护标准要求的及时整改。C、 应选择具有国家相关技术资质相安全资质的测评单位进行等圾测评。D、 应指定或授权专门的部门或人员负责等级测评的管理。12、 信息安全等级保护测评工作原则，主要包括（ ）A、规性原则。B、整体性原则。C、最小影响原则。D、性原则。13、 等级测评实施过程中可能存在的风险，主要有（ ）A、验证测试影响系统正常运行。B、工具测试影响系统正常运行。C、敏感信息泄露，D、受到恶意攻击。三、 填空题（16分）1、 针对信息的性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分哪五级？（ ）、（ ）、（ ）、（ ）、（

14、 ）。2、 通过组织开展信息安全等级保护的哪三项重点工作，（ ）、（ ）、（ ）、落实等级保护制度的各项要求？3、 安全建设整改工作的主要特点？（ ）、（ ）、（ ）、（ ）4、 说明信息安全等级保护基本要求中二级系统中管理要求的控制类有多少？（ ）与三级系统中管理要求的控制类差异多少？（ ）另外二级系统中管理要求的系统运维管理要求项有多少？（ ）与三级系统中管理要求的系统运维管理要求项差异多少？（ ）四、 判断题（10分）1、 信息系统等级保护的第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。（ ）2、 在进行信息安全测试中，我们一般不需要自己动手进行

15、测试。（ ）3、 根据信息安全等圾保护管理办法，第三级信息系统运营、使用单位应当依据国家管理规和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监罾、检查。（ ）4、 根据信息安全等圾保护管理办法，信息系统的运营、使用单位应当根据本办法和有关标准，确定信息系统的安全保护等圾并报公安机关审核批准。（ ）5、 根据信息安全等级保护管理办法，信息系统的运营、使用单位应当根据已确定的安全保护等级，依照本办法和有关技术标准，使用符台国家有关规定，满足信息系统安全保护等级需求的信息技术产品，进行信息系统建设。（ ）6、 根据信息安全等级保护管理办法，第十五条已运营（运行）的第二级

16、以上信息系统，应当在安全保护等级确定后30日由其运营、使用单位到所在地设区的市圾以上公安机关办理备案手续。（ ）7、 根据信息安全等级保护管理办法，公安机关应当掌握信息系统运营、使用单位的备案情况，发现不符合本办法及有关标准的，应建议其予以纠正。（ ）8、 根据信息安全等级保护管理办法，公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规和技术标准的，应当向运营、使用单位发出整改通知。（ ）9、 第二级信息系统是指具有抵御一般性攻击的能力，防常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。（ ）10、 安全管理要求主要包括确定安全策略，落实信息安

17、全责任制，建立安全组织机构，加强人员管理、系统建设和运行维护的安全管理等。（ ）11、 第二级信息系统运营、使用单位应当依据国家有关管理规和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查属于监督保护圾。（ ）12、 等圾保护的政策文件主要涵盖了等级保护制度、定级、备案、等级测评、安全建设、监督检重等工作的各个环节，构成了比较完备政策体系。（ ）13、 管理办法息系统重要程度的等级的概念，是信息安全等级保护工作中的系统定级和备案、安全建设整改、等级测评和监督检查等工作的依据。（ ）14、 信息安全等级保护体现了“谁主管、谁负责，谁使用、谁负责，谁运营、谁负

18、责”的信息安全责任制。（ ）15、 依据GB/T22239-2008，三级信息系统应对“系统管理数据”、“鉴别信息”和“重要业务数据”实现存储性。（ ）16、 公安部、国家局、国家密码管理局、原国务院信息办共同印发的信息安全等级保护管理办法即43号文。（ ）17、 在应用系统现场等级测评活动中，不需要对应用系统的安全功能进行验证。（ ）18、 对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响，要实现告知被测系统相关人员。（ ）19、 审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为降低安全事件的发生。（ ）20、 安全技术要求主要包括身份鉴别、访问控制、安全审计、完整性、性、恶意代码防、密码技术应用等技术，以及物理环境和设施安全保护要求。（ ）五、 简答题（28分）1、 在主机评测前期调研活动中，收集信息的容？在选择主机测评对象时应注意哪些要点？2、 通过开展信息系统安全建设整改工作要达到哪几个方面的目标？3、 身份认证的信息主要有哪几类？并每项列举不少于2个的事例。六、 加分题（10分）简述出管理要求中系统建设管理层面的控制点