一、单选题(20分)
1、以下关于信息系统安全建设整改工作方中说珐中不正确的是?() A、突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。B、利用信息安全等圾保护综合工作平台使等级保护工作常态化。 C、管理制度建设和技术措施建设同步或分步实施。
D、加快改造,缺什么补什么,也可以进总体安全建设整改规划。
2、以下关于定级工作说法不正确的是?()
A、确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
B、确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。
C、在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。
D、新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
3、测评单位开展工作的政策依据是?()
A、公通字[2004] 66号。B、公信安[2008] 736。C、公信安[2010] 303号。D、发改高技[2008] 2071。
4、linux中关于登陆程序的配置文件默认的为?() A、B、Jetc/pam.d/system-auth /etc/login.defs C、D、
5、/etc/shadow /etc/pawd 安全测评报告由()报地级以上市公安机关公共信息网络安全检查部门? A、安全服务机构。B、县级公安机关公共信息网络安全监察部门。C、测评机构。D、计算机信息系统运营、使用单位。
6、安全规划设计基本过程包括()、安全总体设计、安全建设规划? A、项目调研。B、概要设计。C、需求分析。D、产品设计。
7、信息系统为支撑其所承载业务而提供的程序化过程,称为()。 A、客体。B、客观方面。C、等级保护对象。D、系统服务。
8、发现入侵的最简单最直接的方法是去看()和()?() A、B、C、D、审计记录、系统文件。 系统记录、安全审计文件。 系统记录、系统文件。 审计记录、安全审计文件。
9、在安全评估过程中,采取()手段,可以模拟黑客入侵过程,检测系统安全脆弱性?
A、问卷调查。B、人员访谈。C、渗透性测试。D、手工检查。
10、安全操作系统的核心内容是?()
A、防病毒。B、加密。C、解密。D、访问控制。
11、系统建设管理中要求,对新建系统首先要进行(),在进行方案设计。
A、定级。B、规划。C、需求分析。D、测评。
12、Windows操作系统中,本地登录权限对(
)用户组不开放。 A、B、C、D、Guest Administartors Users Everyone
13、等级保护测评的执行主体最好选择?()
A、独立的第三方测评服务机构。
B、具有相关资质的、独立的第三方测评服务机构。 C、从事系统集成和信息安全产品开发等安全服务机构。
D、具有相关资质的、从事系统集成和信息安全产品开发等安全服务机构。
14、从系统结构上来看,入侵检测系统可以不包括?()
A、数据源。 B、分析引擎。C、审计。 D、响应。
15、CISCO的配置通过什么协议备份?()
A、ftp B、tftp C、telnet D、SSh
16、通过()对安全现状评估产生的结果,说明了系统安全保护方面与等级保护基本要求之间的差距,这种差距是对系统进一步安全改造的依据。 A、定级。 B、备案。C、等级测评。 D、安全建设整改。
17、哪项不是开展主机工具测试所必须了解的信息?()
A、操作系统 B、应用软件 C、IP地址 D、物理位置
18、从系统服务安全角度反映的信息系统安全保护等级称?()
A、安全等级保护。 B、信息系统等级保护。C、系统服务安全保护等级。 D、业务信息安全保护等级。
19、应用安全包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性和() A、B、C、D、抗抵赖、软件容错、资源控制。 不可否认性、软件容错、资源控制。 抗抵赖、软件删除、资源控制。 抗抵赖、软件容错、系统控制。
20、鉴别的定义是?()
A、将两个不同的主体区别开来。 B、将一个身份绑定到一个主体上。C、防止非法用户使用系统及合法用户对系统资源的非法使用。 D、对计算机系统实体进行访问控制。
二、多选题(26分)
1、以下对信息系统安全建设整改工作的复杂性和艰巨性说法正确的是?() A、B、C、D、政策性和技术性很强。 涉及范围广。
信息系统安全加固改造,需要国家在经费上予以支持。
跨省全国联网的大系统结构复杂运行实时保障性高、数据重要,加固改造周期长。
2、下列访问控制属于按层面划分的为?()
A、自主访问控制。B、物理访问控制。C、主机访问控制。D、强制访问控制。
3、Windows系统中的审计日志包括()。
A、系统日志。B、安全日志。C、应用程序日志。D、用户日志。
4、经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,须()。 A、B、C、D、委托单位应当根据测评报告的建议,完善计算机信息系统安全建设。 重新提出安全测评委托。
另行委托其他测评机构进行测评。 自行进行安全测评。
5、unix/linux系统中的密码信息保存在,etc/pawd或/etc/shadow文件中,信息包含的内容有()。 A、B、C、D、最近使用过的密码。
用户可以再次改变密码必须经过的最小周期。 密码最近的改变时间。
密码有效的最大天数…一这三条部是在shadow文件里记录的。
6、《信息安全等级促护管理办法》中要求第三圾以上信息系统应当选择符合下列条件()的等级保护测评机构进行测评。 A、B、C、在中华人民共和国境内注册成立。
由中国公民投资、中国法人投资或者国家投资的企事业单位。 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。 D、
7、工作人员仅限于中国公民。
常见的数据备份有哪些形式?() A、B、C、D、完全备份。 差异备份。 增量备份。 日志备份。
8、计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列瓷料的主要有?() A、B、C、安全测评委托书。 定级报告。
计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。 D、安全策略文档。
9、下列属于安全产品的有()
A、网闸。B、交换机。C、防火墙。D、IDS和IPS。E、路由器。F、堡垒机。
10、三级信息系统的测试验收包括如下()内容。
A、应委托公正的第三方测试单位对系统进行安全性测试,并出县安全性测试报告。 B、在测试验收前应根据设计方案或合同要求等制订测试验收方室,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。 C、应指定或授权专门的部门负责系统测试验收的管理.并按照管理规定的要求完成系统测试验收工作。 D、应组织相关部门和相关人员对系统测试殓收报告进行审定,并签字确认。
11、三级信息系统的等级测评包括如下()内容。
A、在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等圾保护标准要求的及时整改。 B、应在系统发生变更时及时对系统进行等圾测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。 C、D、应选择具有国家相关技术资质相安全资质的测评单位进行等圾测评。 应指定或授权专门的部门或人员负责等级测评的管理。
12、信息安全等级保护测评工作原则,主要包括()
A、规范性原则。B、整体性原则。C、最小影响原则。D、保密性原则。
13、等级测评实施过程中可能存在的风险,主要有()
A、验证测试影响系统正常运行。B、工具测试影响系统正常运行。C、敏感信息泄露,D、受到恶意攻击。
三、填空题(20分)
1、
2、等级保护测评准则的作用,主要有()、()、()、()
通过组织开展信息安全等级保护的哪三项重点工作,()、()、()、落实等级保护制度的各项要求?
3、
4、安全建设整改工作的主要特点?()、()、()、()
说明信息安全等级保护基本要求中二级系统的要求项有多少?()与三级系统的要求项差异多少?()另外二级系统中技术要求的要求项有多少?()与三级系统中技术要求的要求项差异多少?()
四、判断题(20分)
1、信息系统等级保护的第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。()
2、
3、在进行信息安全测试中,我们一般不需要自己动手进行测试。() 根据《信息安全等圾保护管理办法》,第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监罾、检查。()
4、Linux是一个支持单用户、多进程、多线程,实时性较好的功能强大而稳定的操作系统。()
5、根据《信息安全等级保护管理办法》,信息系统的运营、使用单位应当根据已确定的安全保护等级,依照本办法和有关技术标准,使用符台国家有关规定,满足信息系统安全保护等级需求的信息技术产品,进行信息系统建设。()
6、Linux系统的shadow文件是不能被普通用户读取的,只有超级用户才有权读取。()
7、根据《信息安全等级保护管理办法》,公安机关应当掌握信息系统运营、使用单位的备案情况,发现不符合本办法及有关标准的,应建议其予以纠正。()
8、根据《信息安全等级保护管理办法》,公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。()
9、在Oracle数据库系统中,查看标签创建情况:select * from dba_sa_labels。()
10、访问控制是安全防范和保护的主要策略,它不仅应用于网络层面.同样也适用于主机层面。()
11、第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查.属于监督保护圾。()
12、等圾保护的政策文件主要涵盖了等级保护制度、定级、备案、等级测评、安全建设、监督检重等工作的各个环节,构成了比较完备政策体系。()
13、《管理办法》中信息系统重要程度的等级的概念,是信息安全等级保护工作中的系统定级和备案、安全建设整改、等级测评和监督检查等工作的依据。()
14、考虑到经济成本,在机房安装过录像监控之后,可不再布置报警系统。()
15、依据GB/T22239-2008,三级信息系统应对“系统管理数据”、“鉴别信息”和“重要业务数据”实现存储保密性。()
16、公安部、国家保密局、国家密码管理局、原国务院信息办共同印发的《信息安全等级保护管理办法》即43号文。()
17、在应用系统现场等级测评活动中,不需要对应用系统的安全功能进行验证。()
18、对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要实现告知被测系统相关人员。()
19、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为降低安全事件的发生。()
20、安全技术要求主要包括身份鉴别、访问控制、安全审计、完整性、保密性、恶意代码防范、密码技术应用等技术,以及物理环境和设施安全保护要求。()
五、简答题(30分)
1、《基本要求》中,对于三级信息系统,网络安全层面应采取哪些安全技术措施?画出图并进行描述
2、在主机评测前期调研活动中,收集信息的内容?在选择主机测评对象时应注意哪些要点?
3、
回答工具测试接入点的原则及注意事项?
