信息安全等級測評師模擬測試

一、單選題（20分）1、 以下關(guān)于信息系統(tǒng)安全建設(shè)整改工作方中說琺中不正確的是？（—）A、突出重要系統(tǒng)，涉及所有等級，試點(diǎn)示范，行業(yè)推廣，國家強(qiáng)制執(zhí)行.B、利用信息安全等圾保護(hù)綜合工作平臺使等級保護(hù)工作常態(tài)化。C、 管理制度建設(shè)和技術(shù)措施建設(shè)同步或分步實(shí)施。D、 加快改造，缺什么補(bǔ)什么，也可以進(jìn)總體安全建設(shè)整改規(guī)劃。2、 以下關(guān)于定級工作說法不正確的是？（—）A、 確定定級對象過程中，定級對象是指以下內(nèi)容:起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）以及用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制、辦公等目的的各類業(yè)務(wù)系統(tǒng)。B、 確定信息系統(tǒng)安全保護(hù)等級僅僅是指確定信息系統(tǒng)屬于五個等級中的哪一個.C、 在定級工作中同類信息系統(tǒng)的安全保護(hù)等級不能隨著部、省、市行政級別的降低而降低。D、 新建系統(tǒng)在規(guī)劃設(shè)計(jì)階段應(yīng)確定等級，按照信息系統(tǒng)等級，同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施安全保護(hù)技術(shù)措施和管理措施。3、 測評單位開展工作的政策依據(jù)是？（—）A、公通字[2004]66號。B、公信安[2008]736。C、公信安[2010]303號。D、發(fā)改高技[2008]2071.4、 一般來說，二級信息系統(tǒng),適用于？（—）A、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中不重要的信息系統(tǒng).小型個體、私營企業(yè)中的信息系統(tǒng)。中小學(xué)中的信息系統(tǒng)B、適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)重要領(lǐng)域、重要部門跨省、跨市或全國（?。┞?lián)網(wǎng)運(yùn)行的信息系統(tǒng);跨省或全國聯(lián)網(wǎng)運(yùn)行重要信息系統(tǒng)在省、地市的分支系統(tǒng)；各部委官方網(wǎng)站;跨?。ㄊ校┞?lián)接的信息網(wǎng)絡(luò)等。C、 適用于重要領(lǐng)域、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng).例如全國鐵路、民航、電力等調(diào)度系統(tǒng)，銀行、證券、保險(xiǎn)、稅務(wù)、海關(guān)等部門中的核心系統(tǒng)。D、 地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如小的局域網(wǎng)，非涉及秘密、敏感信息的辦公系統(tǒng)等。5、 安全測評報(bào)告由（—）報(bào)地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全檢查部門?A、安全服務(wù)機(jī)構(gòu)°B、縣級公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。C、測評機(jī)構(gòu)。D、計(jì)算機(jī)信息系統(tǒng)運(yùn)營、使用單位。6、 安全規(guī)劃設(shè)計(jì)基本過程包括（—）、安全總體設(shè)計(jì)、安全建設(shè)規(guī)劃？A、項(xiàng)目調(diào)研。B、概要設(shè)計(jì)。C、需求分析。D、產(chǎn)品設(shè)計(jì)。7、 信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過程，稱為（—）。A、客體.B、客觀方面.C、等級保護(hù)對象。D、系統(tǒng)服務(wù).8、 等保三級中安全管理機(jī)構(gòu)包括（—、個控制點(diǎn)？A、3.B、4。C、5。D、6.9、 運(yùn)營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T20269—2006、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（—）管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。A、測評準(zhǔn)則。B、基本要求。C、定級指南。D、實(shí)施指南。10、 環(huán)境管理、資產(chǎn)管理、介質(zhì)管理都屬于安全管理部分的（—）管理。A、人員管理。B、安全管理機(jī)構(gòu).C、安全管理制度.D、系統(tǒng)運(yùn)維管理.11、 系統(tǒng)建設(shè)管理中要求，對新建系統(tǒng)首先要進(jìn)行（—，在進(jìn)行方案設(shè)計(jì)。A、定級.B、規(guī)劃。C、需求分析.D、測評。12、 申請單位認(rèn)為安全測評報(bào)告的合法性和真實(shí)性存在重大問題的，可以向（）公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申訴，提交異議申訴書及有關(guān)證明材料。A、本單位所在地公安機(jī)關(guān)。B、地級以上市公安機(jī)關(guān).C、省公安廳.D、公安部。13、 等級保護(hù)測評的執(zhí)行主體最好選擇？（—）A、 獨(dú)立的第三方測評服務(wù)機(jī)構(gòu)。B、 具有相關(guān)資質(zhì)的、獨(dú)立的第三方測評服務(wù)機(jī)構(gòu)。C、 從事系統(tǒng)集成和信息安全產(chǎn)品開發(fā)等安全服務(wù)機(jī)構(gòu)。D、 具有相關(guān)資質(zhì)的、從事系統(tǒng)集成和信息安全產(chǎn)品開發(fā)等安全服務(wù)機(jī)構(gòu).14、 從系統(tǒng)結(jié)構(gòu)上來看,入侵檢測系統(tǒng)可以不包括？（—）A、數(shù)據(jù)源。B、分析引擎。C、審計(jì).D、響應(yīng)。15、 安全建設(shè)整改無論是安全管理建設(shè)整改還是安全技術(shù)建設(shè)整改，使用的核心標(biāo)準(zhǔn)是？（）A、 《計(jì)算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則》。B、 《信息系統(tǒng)安全等級保護(hù)基本要求》。C、 《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》.D、《信息安全等級保護(hù)管理辦法》。16、 通過—）對安全現(xiàn)狀評估產(chǎn)生的結(jié)果，說明了系統(tǒng)安全保護(hù)方面與等級保護(hù)基本要求之間的差距，這種差距是對系統(tǒng)進(jìn)一步安全改造的依據(jù)。A、定級。B、備案.C、等級測評。D、安全建設(shè)整改。17、 企業(yè)盜版是指？（—）A、 制造和銷售看似合法軟件產(chǎn)品，其實(shí)是仿冒的軟件產(chǎn)品。B、 企業(yè)未經(jīng)授權(quán)在其內(nèi)部計(jì)算機(jī)系統(tǒng)中使用的軟件。C、 Internet的站點(diǎn)上發(fā)布廣告，出售假冒軟件或匯編軟件或允許下載的軟件產(chǎn)品.D、 在計(jì)算機(jī)上預(yù)裝未經(jīng)授權(quán)的計(jì)算機(jī)軟件.18、 從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱？（—）A、安全等級保護(hù)。B、信息系統(tǒng)等級保護(hù)。C、系統(tǒng)服務(wù)安全保護(hù)等級。D、業(yè)務(wù)信息安全保護(hù)等級。19、 首次以國家行政法規(guī)形式確立了信息安全等級保護(hù)制度的法律地位的政策文件是？（）A、《計(jì)算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則》.B、《信息系統(tǒng)安全等級保護(hù)基本要求》。C、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》.D、《信息安全等級保護(hù)管理辦法》.20、 鑒別的定義是?）A、將兩個不同的主體區(qū)別開來。B、將一個身份綁定到一個主體上。C、防止非法用戶使用系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用。D、對計(jì)算機(jī)系統(tǒng)實(shí)體進(jìn)行訪問控制。二、多選題（25分）1、 以下對信息系統(tǒng)安全建設(shè)整改工作的復(fù)雜性和艱巨性說法正確的是？（）A、 政策性和技術(shù)性很強(qiáng).B、 涉及范圍廣。C、 信息系統(tǒng)安全加固改造，需要國家在經(jīng)費(fèi)上予以支持。D、 跨省全國聯(lián)網(wǎng)的大系統(tǒng)結(jié)構(gòu)復(fù)雜運(yùn)行實(shí)時保障性高、數(shù)據(jù)重要，加固改造周期長。2、 下列訪問控制屬于按層面劃分的為？（）入、自主訪問控制。B、物理訪問控制。C、主機(jī)訪問控制。D、強(qiáng)制訪問控制.3、 跟據(jù)ISO定義，信息安全的目標(biāo)就是保證信息資產(chǎn)的三個基本安全屬性，包括）。A、不可否認(rèn)性。B、保密性。C、完整性。D、可用性.4、 經(jīng)測評，計(jì)算機(jī)信息系統(tǒng)安全狀況未達(dá)到國家有關(guān)規(guī)定和標(biāo)準(zhǔn)的要求的，須（）。A、 委托單位應(yīng)當(dāng)根據(jù)測評報(bào)告的建議，完善計(jì)算機(jī)信息系統(tǒng)安全建設(shè).B、 重新提出安全測評委托.C、 另行委托其他測評機(jī)構(gòu)進(jìn)行測評。D、 自行進(jìn)行安全測評。5、 根據(jù)《信息安全等圾保護(hù)管理辦法》，安全保護(hù)等級為第三級以上的計(jì)算機(jī)信息系統(tǒng)應(yīng)當(dāng)選用符合下列條件的安全專用產(chǎn)品（）。A、 產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨(dú)立的法人資格.B、 產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán).C、 產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄。D、 產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能.E、 對國家安全、社會秩序、公共利益不構(gòu)成危害.6、 《信息安全等級促護(hù)管理辦法》中要求第三圾以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件（ ）的等級保護(hù)測評機(jī)構(gòu)進(jìn)行測評。A、 在中華人民共和國境內(nèi)注冊成立.B、 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位.C、 具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度。D、 工作人員僅限于中國公民。7、 《信息安全等級保護(hù)管理辦法》中要求從事信息系統(tǒng)安全等級測評的機(jī)構(gòu),應(yīng)當(dāng)履行下列（義務(wù)。A、 遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果。B、 保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私。C、 防范測評風(fēng)險(xiǎn)。D、 對測評人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任.并負(fù)責(zé).8、 計(jì)算機(jī)信息系統(tǒng)運(yùn)營、使用單位委托安全測評機(jī)構(gòu)測評，應(yīng)當(dāng)提交下列瓷料的主要有？（）A、 安全測評委托書。B、 定級報(bào)告.C、 計(jì)算機(jī)信息系統(tǒng)應(yīng)用需求、系統(tǒng)結(jié)構(gòu)拓?fù)浼罢f明、系統(tǒng)安全組織結(jié)構(gòu)和管理制度、安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單。D、 安全策略文檔。9、 對三級及以上信息系統(tǒng)的人員配備包括如下（內(nèi)容。A、 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。B、 應(yīng)配備專職安全管理員，不可兼任。C、 關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。D、 應(yīng)配備系統(tǒng)審計(jì)雖，加強(qiáng)對管理員工作的監(jiān)督。10、 三級信息系統(tǒng)的測試驗(yàn)收包括如下（）內(nèi)容.A、 應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試,并出縣安全性測試報(bào)告。B、 在測試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方室，在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試驗(yàn)收結(jié)果，并形成測試驗(yàn)收報(bào)告。C、 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗(yàn)收的管理.并按照管理規(guī)定的要求完成系統(tǒng)測試驗(yàn)收工作。D、 應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試殮收報(bào)告進(jìn)行審定，并簽字確認(rèn)。11、 三級信息系統(tǒng)的等級測評包括如下（）內(nèi)容。A、 在系統(tǒng)運(yùn)行過程中，應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等圾保護(hù)標(biāo)準(zhǔn)要求的及時整改。B、 應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等圾測評,發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改。C、 應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)相安全資質(zhì)的測評單位進(jìn)行等圾測評。D、 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。12、 信息安全等級保護(hù)測評工作原則，主要包括（）A、規(guī)范性原則.B、整體性原則。C、最小影響原則。D、保密性原則.13、 等級測評實(shí)施過程中可能存在的風(fēng)險(xiǎn)，主要有（）A、驗(yàn)證測試影響系統(tǒng)正常運(yùn)行。日、工具測試影響系統(tǒng)正常運(yùn)行。C、敏感信息泄露,D、受到惡意攻擊。三、填空題（15分）TOC\o"1-5"\h\z1、 等級保護(hù)測評準(zhǔn)則的作用，主要有（ ）、（ ）、（ ）、（ ）2、 通過組織開展信息安全等級保護(hù)的哪三項(xiàng)重點(diǎn)工作，（ ）、（ ）、（ ）、落實(shí)等級保護(hù)制度的各項(xiàng)要求？3、 安全建設(shè)整改工作的主要特點(diǎn)？（ ）、（ ）、（ ）、（ ）4、 說明信息安全等級保護(hù)基本要求中二級系統(tǒng)的控制類有多少？（）與三級系統(tǒng)的控制類差異多少？（）另外二級系統(tǒng)中管理要求的控制類有多少？（）與三級系統(tǒng)中管理要求的控制類差異多少？（ ）四、判斷題（10分）1、 信息系統(tǒng)等級保護(hù)的第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害.（—）2、 在進(jìn)行信息安全測試中，我們一般不需要自己動手進(jìn)行測試。（—）3、 根據(jù)《信息安全等圾保護(hù)管理辦法》，第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)，國家有關(guān)信息安全職能部門對其信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)罾、檢查。（—）4、 根據(jù)《信息安全等圾保護(hù)管理辦法》，信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)本辦法和有關(guān)標(biāo)準(zhǔn)，確定信息系統(tǒng)的安全保護(hù)等圾并報(bào)公安機(jī)關(guān)審核批準(zhǔn)。（_）5、 根據(jù)《信息安全等級保護(hù)管理辦法》，信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)已確定的安全保護(hù)等級，依照本辦法和有關(guān)技術(shù)標(biāo)準(zhǔn),使用符臺國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品,進(jìn)行信息系統(tǒng)建設(shè)。（—）6、 根據(jù)《信息安全等級保護(hù)管理辦法》，第十五條已運(yùn)營（運(yùn)行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市圾以上公安機(jī)關(guān)辦理備案手續(xù)。（—）7、 根據(jù)《信息安全等級保護(hù)管理辦法》，公安機(jī)關(guān)應(yīng)當(dāng)掌握信息系統(tǒng)運(yùn)營、使用單位的備案情況，發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)建議其予以糾正。（—）8、 根據(jù)《信息安全等級保護(hù)管理辦法》，公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知.—）9、 第二級信息系統(tǒng)是指具有抵御一般性攻擊的能力，防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)主要功能的能力。（—）10、 安全管理要求主要包括確定安全策略，落實(shí)信息安全責(zé)任制,建立安全組織機(jī)構(gòu)，加強(qiáng)人員管理、系統(tǒng)建設(shè)和運(yùn)行維護(hù)的安全管理等。（—）11、 第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查.屬于監(jiān)督保護(hù)圾。（—）12、 等圾保護(hù)的政策文件主要涵