职业技能大赛信息安全信息安全等级保护知识考试试题.docx

2012广东省技能大赛高职组第一阶段赛题第二部分：信息安全等级保护知识（50分）（注意：以下题目为不定项选择题，每题分值2%，将答案填写到答题卡上，成绩以答题卡为准）1.对于残余风险，机构应该（ ）a.确保残余风险降到最低b.对于不可接受范围内的风险，应在选择适当的控制措施后，对残余风险进行再评价c.不断调整或增加控制措施以减低残余风险描述d.残余风险都是不可接受的e.必要时可接受残余风险描述 2.整体风险评估关注的焦点主要集中在（ ）a.检查与安全相关的机构实践，标识当前安全实践的优点和弱点b.包括对系统进行技术分析、对政策进行评审，以及对物理安全进行审查c.使用软件工具分析基础结构及其全部组件d.检查it的基础结构，以确定技术上的弱点e.帮助决策制定者综合平衡风险以选择成本效益对策 3.关于定性评估和定量评估以下表述正确的是（ ）a.在定性评估时并不使用具体的数据，而是指定期望值 b.定量风险分析方法要求特别关注资产的价值和威胁的量化数据c.定量分析方法是最广泛使用的风险分析方式d.定量分析方法存在一个问题，就是数据的不可靠和不精确e.定性分析中风险的等级就是风险值，应赋予明确的含义 4.关于coras工程，下列表述正确的是（ ）a.该工程指在开发一个基于面向对象建模技术的风险评估框架b.该工程特别指出使用uml建模技术c.coras是同用的，并不为风险评估提供方法学d. coras开发了具体的技术规范来进行安全风险评估e.cc准则和coras方法都使用了半形式化和形式化规范5.关于故障树分析方法下列正确的是（ ）a.故障树分析是一种top-down方法b.故障树分析方法可以分为定性和定量两种方式c.故障树的定量分析就是通过求故障树的最小割集，得到顶事件的全部故障模式d.故障树方法主要用于分析大型复杂系统的可靠性及安全性e.不管是故障树的定性还是定量分析方式，首先都需要建造故障树 6.概率风险评估（pra）和动态风险概率评估（dpra）的主要分析步骤包括（ ）a.识别系统中存在的事件，找出风险源b.对各风险源考察其在系统安全中的地位，及相互逻辑关系，给出系统的风险源树c.标识各风险源后果大小及风险概率d.对风险源通过逻辑及数学方法进行组合，最后得到系统风险的度量e.分析风险模式的危害度 7.下列对风险分析方法属于定性分析方法的有（ ）a.事件树分析（eta）b.风险评审技术c.德尔斐法d.动态概率风险评估（dpra）e.风险模式影响及危害性分析（rmeca）8.ahp方法的基本步骤包括（ ）a.系统分解，建立层次结构模型b.识别系统中存在的事件，找出风险源c.构造判断矩阵d.通过单层次计算进行安全性判断e.层次总排序，完成综合判断9.信息安全基本属性不包括（ ）a.机密性b.可用性c.封装性d.完整性10.项目规划阶段所涉及的安全需求包括（ ）a.明确安全总体方针b.明确项目范围c.提交明确的安全需求文档d.对实现的可能性进行充分分析、论证11.对安全总体方针文档的内容应审查的方面包括（ ）a.是否已经制定并发布了能够反映机构安全管理意图的信息安全文件b.风险管理过程的执行是否有机构保障c.是否有专人按照特定的过程定期进行反复与评审d.风险管理的范围是否明确12.设计阶段的主要需求不包括（ ）a.对用以实现安全系统的各类技术进行有效性评估b.对用于实施方案的产品需满足安全保护等级的要求c.确保采购的设备、软件和其他系统组件满足已定义的安全要求d.对自开发的软件要在设计阶段就充分考虑安全风险13.为管理安全技术选择过程中可能引入的安全风险，机构需要采取的措施有（ ）a.参考现有国内外安全标准b.参考过内外公认安全实践c.参考行业标准d.专家委员会决策14.实施阶段的风险管理过程与活动包括（ ）a.检查与配置b.安全测试c.人员培训d.授权系统运行15.运行维护阶段的安全需求包括（ ）a.在信息系统未发生更改的情况下，维持系统正常运行，进行日常的安全操作及安全管理b.在信息系统及其运行环境发生变化的情况，进行风险评估并针对风险制定控制措施c.定期进行风险再评估工作，维持系统的持续安全d.定期进行信息系统的重新审批工作，确保系统授权的时间有效性16.运行维护阶段的风险管理活动包括（ ）a.安全运行和管理b.变更管理c.风险再评估d.定期重新审批17.废弃阶段的信息安全风险管理主要活动和内容包括（ ）a.确定废弃对象b.废弃对象的风险分析c.废弃过程的风险控制d.废弃后的评审18.沟通与咨询包括（ ）a.与决策层沟通，以得到他们的理解和批准b.与管理层和执行层沟通，以得到他们的理解和协作c.与支持层沟通，以得到他们的了解和支持d.与用户层沟通，以得到他们的了解和配合e.为所有层面的相关人员提供咨询和培训等，以提高他们的安全意识、知识和技能19.以下关于沟通与咨询方式的表述正确的是（ ）a.沟通与咨询的双方角色不同，所采取的方式有所不同b.表态适用于管理层对支持层和管理层对用户层c.指导和检查指机构上级对下级工作的指导和检查，用以保证工作质量和效率d.宣传和介绍适用于决策层对支持层和执行层对支持层20.监控与审查包括（ ）a.监控过程有效性，包括流程是否完整和有效地被执行b.监控成本有效性，包括执行成本与所得效果相比是否合理c.审查结果有效性，包括输出结果是否因信息系统自身或环境的变化而过时d.监控与审查的过程应贯穿于信息安全风险管理的对象确立、风险分析、风险控制和审核批准这四个基本步骤21.监控与审查过程的输出文档主要包括（ ）a.对象确立的监控与审查记录b.风险分析的监控与审查记录c.风险控制的监控与审查记录d.审核批准的监控与审查记录22审核批准的过程主要包括的阶段是（ ）a.审核申请b.审核处理c.批准申请d.批准处理e.持续监督23.审核处理阶段的工作流程和内容包括（ ）a.审查审核材料b.提交审核申请c.测试审核对象d.整改审核对象e.做出审核结论24.批准处理阶段的输出文档包括（ ）a.审核申请书b.审查结果报告c.批准申请书d.批准决定书25.在下列文档中，不属于持续监督阶段的输出文档是（ ）a.批准申请书b.审核到期通知书c.审查结果报告d.批准到期通知书e.环境变化因素的描述报告26.风险控制的过程包括哪些阶段（ ）a.现存风险判断b.控制目标确立c.风险等级评价d.控制措施选择e.控制措施实施27.在下列要素中，属于ppdrr模型中”policy”部分的风险控制需求的有（ ）a.系统安全管理守则b.身份认证c.数据加密d.应急响应计划e.网络安全管理守则28.控制目标确立阶段的输出文档包括（ ）a.信息系统的分析报告b.风险接受等级划分表c.风险控制需求分析报告d.风险控制目标列表e.风险控制实施计划书29.对象确立过程包括的阶段有（ ）a.风险管理准备b.信息系统调查c.信息系统分析d.信息安全分析e.风险评估30.信息系统调查阶段的工作流程和内容包括（ ）a.调查信息系统的业务目标b.调查信息系统的业务特性c.调查信息系统的管理特性d.调查信息系统的技术特性e.形成信息系统的描述报告31.对象确立过程的输出文档包括（ ）a.风险管理计划书b.信息系统的描述报告c.信息系统的分析报告d.信息系统的安全要求报告e.风险分析报告32.下列要素属于信息载体的有（ ）a.存储介质b.通信介质c.国家法律d.系统软件e.网络协议及其软件33.下列要素属于信息环境的有（ ）a.数据库系统b.抗电磁干扰设施c.行政法规d.组织机构e.通信协议及其软件34.目前的漏洞扫描工具主要可分为的类型有（ ）a.基于网络的扫描器b.基于主机的扫描器c.战争拨号器（wardialer）d.数据库漏洞扫描e.分布式网络扫描器35.信息的安全属性包括（ ）a. 保密性b. 完整性c. 可用性d. 可控性e. 不可否认性36.信息安全保护对象中信息载体包括（ ）a. 物理平台b. 资源平台c. 系统平台d. 应用平台37.在iso/iec13335-1中it安全有几方面的含义（ ）a.3b.4c.5d.638.下列哪些属于iso/iec13335 it安全管理的内容（ ）a.配置管理b.变更管理c.制定安全策略d.安全意识39.cc将toe的安全保障分为7级，其中第四级为（ ）a.结构测试b.系统设计、测试和复查级c.形式化验证的设计和测试级d.半形式化设计和测试级40.通信与运行管理包括几个执行目标（ ）a.5b.6c.7d.841.信息收集方式包括哪些（ ）a.调查问卷b.现场面谈c.文档检查d.使用自动扫描工具42.信息安全风险评估的原则包括（ ）a.可控性原则b.完整性原则c.最小影响原则d.保密原则43.安全工程是一个包括（ ）的完整过程a.概念、设计b.实现、测试c.部署、运行d.维护、推出44.风险评估与管理工具主要分为哪3类（ ）a.基于信息安全标准的风险评估与管理工具b.基于知识的风险评估与管理工具c.基于系统的风险评估与管理工具d.基于模型的风险评估与管理工具45.cramm的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程主要包括（ ）a.定义研究范围和边界，识别和评价资产b.评估风险，即对威胁和弱点进行评估c.选择和推荐适当的对策d.针对系统采取防护措施，计算和评估防护措施带来的收益成本46.目前对脆弱性扫描工具的研发主要分为哪几种类型（ ）a.基于网络的扫描器b.基于主机的扫描器c.分布式网络扫描器d.数据库脆弱性扫描器47.极光专用安全系统平台具有很高的安全性和稳定性，主要功能模块有（ ）a.扫描核心模块b.数据同步模块c