精心整理
CISP信息安全保障章节练习一
一、单选题。(共40题,共100分,每题2.5分)
1.我国信息安全保障工作先后经历了启动、逐步展开和积极推进,以及深化落实三个阶段,以下关于我国信息安全保障各阶段说法不正确的是:
a、2001年,国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障工作正式启动
b、2003年7月,国家信息化领导小组制定出台了《关于加强信息信息安全保障工作的意见》(中办发27号文件),明确了“积极防御、综合防范”的国家信息安全保障工作方针 c、2003年,中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段
d、在深化落实阶段,信息安全法律法规、标准化,信息安全基础设施建设,以及信息安全等级保护和风险评估取得了新进展 最佳答案是:c 2.以下哪一项不是我国信息安全保障工作的主要目标: a、保障和促进信息化发展b、维护企业与公民的合法权益 c、构建高效的信息传播渠道 d、保护互联网知识产权 最佳答案是:c 3.虚拟专用网(VPN)提供以下哪一种功能? a、对网络嗅探器隐藏信息b、强制实施安全政策c、检测到网络错误和用户对网络资源的滥用 d、制定访问规则 最佳答案是:a 4.为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是() a、信息安全需求是安全方案设计和安全措施实施的依据 b、信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化,结构化的语言来描述信息系统安全保障需求 c、信息安全需求应当基于信息安全风险评估结果,业务需求和有关政策法规和标准的合规性要求得到
d、信息安全需求来自于该公众服务信息系统的功能设计方案 最佳答案是:d 5.我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法错误的是() a、加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准。
b、重视信息安全应急处理工作,确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展。
c、推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性。
d、实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人才队伍。 最佳答案是:b
6.信息安全保障是网络时代各国维护国家安全和利益的首要任务,以下哪个国家最早将网络安全上长升为国家安全战略,并制定相关战略计划。
精心整理
a、中国b、俄罗斯c、美国d、英国 最佳答案是:c
7.下列关于信息系统生命周期中安全需求说法不准确的是: a、明确安全总体方针,确保安全总体方针源自业务期望 b、描述所涉及系统的安全现状,提交明确的安全需求文档 c、向相关组织和领导人宣贯风险评估准则
d、对系统规划中安全实现的可能性进行充分分析和论证 最佳答案是:c
8.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是: a、确保采购定制的设备.软件和其他系统组件满足已定义的安全要求 b、确保整个系统已按照领导要求进行了部署和配置
c、确保系统使用人员已具备使用系统安全功能和安全特性的能力 d、确保信息系统的使用已得到授权 最佳答案是:b 9.下列选项中,哪个不是我国信息安全保障工作的主要内容: a、加强信息安全标准化工作,积极采用“等同采用.修改采用.制定”等多种方式,尽快建立和完善我国信息安全标准体系 b、建立国家信息安全研究中心,加快建立国家急需的信息安全技术体系,实现国家信息安全自主可控目标 c、建设和完善信息安全基础设施,提供国家信息安全保障能力支撑 d、加快信息安全学科建设和信息安全人才培养 最佳答案是:b 10.我国信息安全保障建设包括信息安全组织与管理体制.基础设施.技术体系等方面,以下关于信息安全保障建设主要工作内容说法不正确的是: a、健全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障 b、建设信息安全基础设施,提供国家信息安全保障能力支撑 c、建立信息安全技术体系,实现国家信息化发展的自主创新 d、建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养 最佳答案是:c 11.以下哪一项不是我国信息安全保障的原则: a、立足国情,以我为主,坚持以技术为主 b、正确处理安全与发展的关系,以安全保发展,在发展中求安全 c、统筹规划,突出重点,强化基础性工作 d、明确国家.企业.个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系
最佳答案是:a 12.信息安全保障技术框架(InformationAssuranceTechnicalFramework,IATF)由美国国家安全局(NSA)发布,最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南,其中,提出需要防护的三类“焦点区域”是:
a、网络和基础设施区域边界重要服务器 b、网络和基础设施区域边界计算环境 c、网络机房环境网络接口计算环境 d、网络机房环境网络接口重要服务器 最佳答案是:b
13.关于信息安全保障的概念,下面说法错误的是:
a、信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念
b、信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段
精心整理
c、在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全
d、信息安全保障把信息安全从技术扩展到管理,通过技术.管理和工程等措施的综合融合,形成对信息.信息系统及业务使命的保障 最佳答案是:c
14.关于信息安全保障技术框架(IATF),以下说法不正确的是:
a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
b、IATF从人.技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
c、允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性
d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制 最佳答案是:d
15.下面关于信息系统安全保障模型的说法不正确的是: a、国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心 b、模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化 c、信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全 d、信息系统安全保障主要是确保信息系统的保密性.完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入 最佳答案是:d 16.在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是: a、测量单位是基本实施(BasePractices,BP) b、测量单位是通用实施(GenericPractices,GP) c、测量单位是过程区域(ProcessAreas,PA) d、测量单位是公共特征(CommonFeatures,CF) 最佳答案是:d 17.下面关于信息系统安全保障的说法不正确的是: a、信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关
b、信息系统安全保障要素包括信息的完整性.可用性和保密性 c、信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障 d、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命 最佳答案是:b 18.关于我国加强信息安全保障工作的主要原则,以下说法错误的是: a、立足国情,以我为主,坚持技术与管理并重 b、正确处理安全和发展的关系,以安全保发展,在发展中求安全 c、统筹规划,突出重点,强化基础工作
d、全面提高信息安全防护能力,保护公众利益,维护国家安全 最佳答案是:d
19.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失,在以下软件安全开发策略中,不符合软件安全保障思想的是:
a、在软件立项时考虑到软件安全相关费用,经费中预留了安全测试.安全评审相关费用,确保安全经费得到落实
b、在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足