职业技能大赛信息安全信息安全等级保护知识考试试题.docx

此文档收集于网络，如有侵权，请联系网站删除2012广东省技能大赛高职组第一阶段赛题第二部分：信息安全等级保护知识（50分）（注意：以下题目为不定项选择题，每题分值2%，将答案填写到答题卡上，成绩以答题卡为准）1.对于残余风险，机构应该（ ）A.确保残余风险降到最低B.对于不可接受范围内的风险，应在选择适当的控制措施后，对残余风险进行再评价C.不断调整或增加控制措施以减低残余风险描述D.残余风险都是不可接受的E.必要时可接受残余风险描述 2.整体风险评估关注的焦点主要集中在（ ）A.检查与安全相关的机构实践，标识当前安全实践的优点和弱点B.包括对系统进行技术分析、对政策进行评审，以及对物理安全进行审查C.使用软件工具分析基础结构及其全部组件D.检查IT的基础结构，以确定技术上的弱点E.帮助决策制定者综合平衡风险以选择成本效益对策 3.关于定性评估和定量评估以下表述正确的是（ ）A.在定性评估时并不使用具体的数据，而是指定期望值 B.定量风险分析方法要求特别关注资产的价值和威胁的量化数据C.定量分析方法是最广泛使用的风险分析方式D.定量分析方法存在一个问题，就是数据的不可靠和不精确E.定性分析中风险的等级就是风险值，应赋予明确的含义 4.关于CORAS工程，下列表述正确的是（ ）A.该工程指在开发一个基于面向对象建模技术的风险评估框架B.该工程特别指出使用UML建模技术C.CORAS是同用的，并不为风险评估提供方法学D. CORAS开发了具体的技术规范来进行安全风险评估E.CC准则和CORAS方法都使用了半形式化和形式化规范5.关于故障树分析方法下列正确的是（ ）A.故障树分析是一种top-down方法B.故障树分析方法可以分为定性和定量两种方式C.故障树的定量分析就是通过求故障树的最小割集，得到顶事件的全部故障模式D.故障树方法主要用于分析大型复杂系统的可靠性及安全性E.不管是故障树的定性还是定量分析方式，首先都需要建造故障树 6.概率风险评估（PRA）和动态风险概率评估（DPRA）的主要分析步骤包括（ ）A.识别系统中存在的事件，找出风险源B.对各风险源考察其在系统安全中的地位，及相互逻辑关系，给出系统的风险源树C.标识各风险源后果大小及风险概率D.对风险源通过逻辑及数学方法进行组合，最后得到系统风险的度量E.分析风险模式的危害度 7.下列对风险分析方法属于定性分析方法的有（ ）A.事件树分析（ETA）B.风险评审技术C.德尔斐法D.动态概率风险评估（DPRA）E.风险模式影响及危害性分析（RMECA）8.AHP方法的基本步骤包括（ ）A.系统分解，建立层次结构模型B.识别系统中存在的事件，找出风险源C.构造判断矩阵D.通过单层次计算进行安全性判断E.层次总排序，完成综合判断9.信息安全基本属性不包括（ ）A.机密性B.可用性C.封装性D.完整性10.项目规划阶段所涉及的安全需求包括（ ）A.明确安全总体方针B.明确项目范围C.提交明确的安全需求文档D.对实现的可能性进行充分分析、论证11.对安全总体方针文档的内容应审查的方面包括（ ）A.是否已经制定并发布了能够反映机构安全管理意图的信息安全文件B.风险管理过程的执行是否有机构保障C.是否有专人按照特定的过程定期进行反复与评审D.风险管理的范围是否明确12.设计阶段的主要需求不包括（ ）A.对用以实现安全系统的各类技术进行有效性评估B.对用于实施方案的产品需满足安全保护等级的要求C.确保采购的设备、软件和其他系统组件满足已定义的安全要求D.对自开发的软件要在设计阶段就充分考虑安全风险13.为管理安全技术选择过程中可能引入的安全风险，机构需要采取的措施有（ ）A.参考现有国内外安全标准B.参考过内外公认安全实践C.参考行业标准D.专家委员会决策14.实施阶段的风险管理过程与活动包括（ ）A.检查与配置B.安全测试C.人员培训D.授权系统运行15.运行维护阶段的安全需求包括（ ）A.在信息系统未发生更改的情况下，维持系统正常运行，进行日常的安全操作及安全管理B.在信息系统及其运行环境发生变化的情况，进行风险评估并针对风险制定控制措施C.定期进行风险再评估工作，维持系统的持续安全D.定期进行信息系统的重新审批工作，确保系统授权的时间有效性16.运行维护阶段的风险管理活动包括（ ）A.安全运行和管理B.变更管理C.风险再评估D.定期重新审批17.废弃阶段的信息安全风险管理主要活动和内容包括（ ）A.确定废弃对象B.废弃对象的风险分析C.废弃过程的风险控制D.废弃后的评审18.沟通与咨询包括（ ）A.与决策层沟通，以得到他们的理解和批准B.与管理层和执行层沟通，以得到他们的理解和协作C.与支持层沟通，以得到他们的了解和支持D.与用户层沟通，以得到他们的了解和配合E.为所有层面的相关人员提供咨询和培训等，以提高他们的安全意识、知识和技能19.以下关于沟通与咨询方式的表述正确的是（ ）A.沟通与咨询的双方角色不同，所采取的方式有所不同B.表态适用于管理层对支持层和管理层对用户层C.指导和检查指机构上级对下级工作的指导和检查，用以保证工作质量和效率D.宣传和介绍适用于决策层对支持层和执行层对支持层20.监控与审查包括（ ）A.监控过程有效性，包括流程是否完整和有效地被执行B.监控成本有效性，包括执行成本与所得效果相比是否合理C.审查结果有效性，包括输出结果是否因信息系统自身或环境的变化而过时D.监控与审查的过程应贯穿于信息安全风险管理的对象确立、风险分析、风险控制和审核批准这四个基本步骤21.监控与审查过程的输出文档主要包括（ ）A.对象确立的监控与审查记录B.风险分析的监控与审查记录C.风险控制的监控与审查记录D.审核批准的监控与审查记录22审核批准的过程主要包括的阶段是（ ）A.审核申请B.审核处理C.批准申请D.批准处理E.持续监督23.审核处理阶段的工作流程和内容包括（ ）A.审查审核材料B.提交审核申请C.测试审核对象D.整改审核对象E.做出审核结论24.批准处理阶段的输出文档包括（ ）A.审核申请书B.审查结果报告C.批准申请书D.批准决定书25.在下列文档中，不属于持续监督阶段的输出文档是（ ）A.批准申请书B.审核到期通知书C.审查结果报告D.批准到期通知书E.环境变化因素的描述报告26.风险控制的过程包括哪些阶段（ ）A.现存风险判断B.控制目标确立C.风险等级评价D.控制措施选择E.控制措施实施27.在下列要素中，属于PPDRR模型中”Policy”部分的风险控制需求的有（ ）A.系统安全管理守则B.身份认证C.数据加密D.应急响应计划E.网络安全管理守则28.控制目标确立阶段的输出文档包括（ ）A.信息系统的分析报告B.风险接受等级划分表C.风险控制需求分析报告D.风险控制目标列表E.风险控制实施计划书29.对象确立过程包括的阶段有（ ）A.风险管理准备B.信息系统调查C.信息系统分析D.信息安全分析E.风险评估30.信息系统调查阶段的工作流程和内容包括（ ）A.调查信息系统的业务目标B.调查信息系统的业务特性C.调查信息系统的管理特性D.调查信息系统的技术特性E.形成信息系统的描述报告31.对象确立过程的输出文档包括（ ）A.风险管理计划书B.信息系统的描述报告C.信息系统的分析报告D.信息系统的安全要求报告E.风险分析报告32.下列要素属于信息载体的有（ ）A.存储介质B.通信介质C.国家法律D.系统软件E.网络协议及其软件33.下列要素属于信息环境的有（ ）A.数据库系统B.抗电磁干扰设施C.行政法规D.组织机构E.通信协议及其软件34.目前的漏洞扫描工具主要可分为的类型有（ ）A.基于网络的扫描器B.基于主机的扫描器C.战争拨号器（wardialer）D.数据库漏洞扫描E.分布式网络扫描器35.信息的安全属性包括（ ）A. 保密性B. 完整性C. 可用性D. 可控性E. 不可否认性36.信息安全保护对象中信息载体包括（ ）A. 物理平台B. 资源平台C. 系统平台D. 应用平台37.在ISO/IEC13335-1中IT安全有几方面的含义（ ）A.3B.4C.5D.638.下列哪些属于ISO/IEC13335 IT安全管理的内容（ ）A.配置管理B.变更管理C.制定安全策略D.安全意识39.CC将TOE的安全保障分为7级，其中第四级为（ ）A.结构测试B.系统设计、测试和复查级C.形式化验证的设计和测试级D.半形式化设计和测试级40.通信与运行管理包括几个执行目标（ ）A.5B.6C.7D.841.信息收集方式包括哪些（ ）A.调查问卷B.现场面谈C.文档检查D.使用自动扫描工具42.信息安全风险评估的原则包括（ ）A.可控性原则B.完整性原则C.最小影响原则D.保密原则43.安全工程是一个包括（ ）的完整过程A.概念、设计B.实现、测试C.部署、运行D.维护、推出44.风险评估与管理工具主要分为哪3类（ ）A.基于信息安全标准的风险评估与管理工具B.基于知识的风险评估与管理工具C.基于系统的风险评估与管理工具D.基于模型的风险评估与管理工具45.CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程主要包括（ ）A.定义研究范围和边界，识别和评价资产B.评估风险，即对威胁和弱点进行评估C.选择和推荐适当的对策D.针对系统采取防护措施，计算和评估防护措施带来的收益成本46.目前对脆弱性扫描工具的研发主要分为哪几种类型（ ）A.基于网络的扫描器B.基于主机的扫描器C.分布式网络扫描器D.数据库脆弱性扫描器47.极光专用安全系统平台具有很高的安全性和稳定性，主要功能模块有（ ）A.扫描核心模块B.数据同步模块C.升级模