信息安全知识

信息安全知识一、单项选题1.以下哪些方法不属于现场工作安全评价的一般方法？批准；面试；c .检查；d评价。答：从人民银行信息系统信息安全等级保护测评指南(试行)开始，安全评估的现场工作一般采用三种方式：面谈、检查和评估。2.安全管理评价中安全管理体系(G3)的评价方法是什么？面试、考试和评估；面试和评估；面试和检查；检查和评估。答：丙，从人民银行信息系统信息安全等级保护测评指南(试行)开始。3.中国人民银行总行局域网不包括吗？核心领域；隔离区；生产区管理区；服务网络接入交换机。答：从人民银行信息系统信息安全等级保护实施指引(试行)开始，总行局域网分为核心区、工作区、生产区管理区、服务网络接入交换机和外联区。4.什么不属于入侵防御？答：应该能够检测重要服务器的入侵，记录入侵的源IP、攻击类型、攻击目的、攻击时间，并在发生严重入侵事件时发出警报；b应能检测重要程序的完整性，并有措施在检测到完整性被破坏后恢复完整性，或在检测到完整性即将被破坏时提前阻止它；操作系统应遵循最小安装原则，只安装所需的组件和应用程序，并通过设置升级服务器等方式及时更新系统补丁。应该支持反恶意代码的统一管理。回答：D，从人民银行信息系统信息安全等级保护实施指引(试行)。5.信息安全技术信息系统安全等级保护基本要求 (GB/T 22239-2008)(以下简称基本要求)是具有不同安全保护级别的信息系统应具备的基本安全保护能力的安全要求。请问基本要求中有多少安全保护级别？a3级。(b)四级；c-5；D-6。答：C，从人民银行信息系统信息安全等级保护实施指引(试行): 2.1.1，图2信息系统安全等级保护基本要求框架和规定是5级标准。6.人民银行信息系统安全等级保护实施指引基于国家级保护要求的原则和中国人民银行的现状，形成了一个技术和管理并重、以基本要求为基础、以设计要求为基本手段的信息安全总体框架。两个人指的是由技术和管理系统组合而成的安全系统。这两个需求是指由技术和管理需求组合而成的安全需求，其中五个是以下五个相对的方面？人员安全、管理安全、系统安全、主机安全、数据安全；物理安全、逻辑安全、网络安全、主机安全、人员安全；物理安全、网络安全、主机安全、应用安全、数据安全；逻辑安全、网络安全、主机安全、应用安全、数据安全；答：C，第人民银行信息系统信息安全等级保护实施指引(试行)章：3.1中的两个要求是指技术要求和管理要求相结合形成的保证要求。技术要求涵盖物理安全、网络安全、主机安全、应用安全和数据安全这五项要求。管理要求涉及五个方面：安全管理体系、安全管理组织、人员安全管理、系统建设管理和系统运行维护管理。7.在二级保护要求中，要求操作系统和数据库系统的管理用户标识具有不易被欺诈使用的特点。密码应该混合多少个数字或更多的字母、数字、符号等。定期更换吗？A 4位；B 8位；C 12位；D 16位；答：B、从人民银行信息系统信息安全等级保护实施指引(试行):4.1.1.3章节起，操作系统和数据库系统的管理用户标识应具有不易被盗用的特点，密码应超过8位数字，由字母、数字、符号等组成。混合并定期更换。8.在网络安全管理要求的三级保护要求中，提出：应指定专人管理网络，由岗位A和岗位B(兼职)网络管理员负责日常监控，检查网络安全运行状况，定期检查网络日志，管理网络资源及其配置信息，建立和完善网络安全运行和维护答：丙、从人民银行信息系统信息安全等级保护实施指引(试行):4.2.2.5分会起，应指定专人管理网络，设岗位甲和岗位乙(兼职)网络管理员。网络管理员负责日常监控，检查网络的安全运行状态，定期检查网络日志，管理网络资源及其配置信息，建立健全网络安全运行维护档案，及时发现和解决网络异常情况。博客应妥善保存至少3个月。9.在三级保护要求的系统运行和维护管理要求中，建议系统管理员、数据库管理员、网络管理员和业务操作员必须至少每隔几个月设置和更换一次密码。一个月；B 2个月；C 3个月；D 6个月；答：C，从人民银行信息系统信息安全等级保护实施指引(试行):4.2.2.5章开始，系统管理员、数据库管理员、网络管理员和业务操作人员必须设置密码和密码，至少每3个月更改一次。密码的强度和密码应该满足不同的安全要求。10.在四级保护要求的备份和恢复要求中，建议建立远程灾难备份中心，配备灾难恢复所需的通信线路、网络设备和数据处理设备，提供业务应用的实时无缝切换；应提供远程实时备份功能，并利用通信网络将数据实时备份到灾难备份中心。应该使用冗余技术来设计网络拓扑，以避免单点网络故障。应提供主要网络设备、通信线路和数据处理系统的硬件冗余，以确保系统的高可用性。冗余通信线路的选择应遵循不同运营商和主通信线路不同物理路径的原则。应提供本地数据备份和恢复功能。应至少每隔几天进行一次完整数据备份和文本数据备份。一天；B 2天；C 7天；D 30天；答：答：从人民银行信息系统信息安全等级保护实施指引(试行):4.3.1.5章节开始，应提供本地数据备份和恢复功能，每天至少进行一次全数据备份和文本数据备份，备份介质应存放在场外。11.第三级安全审核不包括以下哪一项(_ _ _)(难度：高)应该提供一个安全审计功能，覆盖每个用户来审计应用系统的重要安全事件；b应确保审计过程不能单独中断，审计记录不能被删除、修改或覆盖；审核记录的内容至少应包括事件的日期、类型和结果；d .应为基尼系数审计记录数据系统提供统计、查询、分析和生成审计报告的功能；答：丙、从人民银行信息系统信息安全等级保护实施指引(试行)保护要求、三级要求和技术要求12.中国人民银行在其软件开发评级评估项目中不包括以下哪一项(_ _ _)(难度：高)应制定软件开发管理系统和代码编写安全规范，明确说明开发过程的控制方法和人员的晋升和废除标准，要求开发人员根据规范编写代码，不得在程序中设置后门或恶意代码程序；b应确保开发环境与实际操作环境在物理上分离，开发和测试不应在生产环境中进行，应确保开发人员和测试人员分离，开发人员不能同时担任系统管理员或业务操作员，并确保测试数据和测试结果得到控制；应确保测试人员提供并保存软件设计的相关文件和说明；d应确保程序资源库的修改、更新和发布得到授权和批准。答：C来源于三级信息系统的人民银行信息系统信息安全等级保护测评指南(试行)现场评价、单元评价和单元评价。13.在基本要求的选择和使用中，评分结果为S3A2，保护类型应为(_ _ _)(难度：中等)a3 a2 G1B S3A2G2c3a 2g 3D S3A2G4答：C来源于人民银行信息系统信息安全等级保护实施指引(试行)金融行业安全要求的选择和使用说明14.信息系统安全等级保护评估，主要包括几个方面的内容？(低)a1；B2；C3；D 4答：B来自人民银行信息系统信息安全等级保护测评指南(试行):16.下列哪些要求不属于同等保护的第二级要求的范围？(高)在具有防震、防风和防雨能力的建筑物中，应选择计算机房和办公空间。B室应配备气体灭火设备和火灾自动报警系统，对计算机设备影响不大；重要设备应采取必要的接地防静电措施；d应限制最大网络流量和并发网络连接的数量；回答：D，从人民银行信息系统信息安全等级保护实施指引(试行)17.安全技术评估包括：物理安全、网络安全、主机系统安全、和。(高)应用安全和数据安全；管理安全和数据安全；应用安全和信息安全；商业安全和数据安全答：答来自人民银行信息系统信息安全等级保护实施指引(试行)18.在第三级信息安全保护网络安全中，结构安全应保证主要网络设备的业务处理能力有冗余空间，以满足业务高峰时期的需要。(难度：中等)A.10B.5C.3D.1答：D，来自中国人民银行信息系统信息安全等级保护实施指南(试行)。pdf。19.信息安全三级保护中的身份认证应该对同一用户采用多种或多种组合认证技术来实现用户身份认证？(难度：中等)A.1B.2。C.3D.4答：B、中国人民银行信息系统信息安全等级保护实施指南(试行)。pdf。20.第三级信息安全保护中的数据备份和存储方法应该是多冗余的，以确保数据冗余，周期至少为几周。(难度：低)A.1B.2。C.3D.4答：一、中国人民银行信息系统信息安全等级保护实施指南(试行)。pdf。第二，判断问题1.安全控制评估是信息系统整体安全评估的基础。答：从人民银行信息系统信息安全等级保护测评指南(试行)开始2.安全技术评估包括四个层次的安全控制评估：物理安全、网络安全、主机系统安全和数据安全答：从人民银行信息系统信息安全等级保护测评指南(试行)开始，安全技术评估包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层次的安全控制评估3.中国人民银行信息系统三级信息安全保护要求信息系统的系统管理员、数据库管理员、网络管理员和业务操作人员设置密码，密码至少每6个月更换一次。密码的强度应满足不同的安全要求。(难度：低)答：从人民银行信息系统信息安全等级保护测评指南(试行)防护要求、三级要求和管理要求，应该是三个月4.在信息系统四级保护中，应定期检查备份数据的有效性。检查间隔不得超过60天。每次采样的数据量不得少于10%。备份数据应存储在不同的地方。(难度：中等)答：从人民银行信息系统信息安全等级保护实施指引(试行)现场评价、单元评价和单元评价四个层次的信息系统。应该不会超过30天。5.三级保护对信息安全管理人员实施归档管理。信息安全管理人员的配置和变动应及时报上级科技部门备案。(难度：低)答：T，从人民银行信息系统信息安全等级保护测评指南(试行)现场评价、单元评价、单元评价三级信息系统。6.敏感数据是指一旦泄露可能给用户或人民银行造成损失的数据。(低)答：从人民银行信息系统信息安全等级保护测评指南(试行)开始7.评价对象是指实施评价所涉及的信息系统的组成部分，是客观存在的文件、机制或设备，不包括所涉及的人员。(中间)答：从人民银行信息系统信息安全等级保护实施指引(试行)开始。8.评估准备的主要任务是掌握被测系统的细节，准备评估工具，准备评估计划的准备。(中间)答：从人民银行信息系统信息安全等级保护测评指南(试行)开始9.安全控制评价的描述应按工作单元法组织。工作单位分为安全技术评价和安全组织评价两大类(高)答：F来源于人民银行信息系统信息安全等级保护测评指南(试行):工作单位分为两类：安全技术评价和安全管理评价。10.信息11.在三级信息安全等级保护的系统运行过程中，每年至少对系统进行一次评估，发现不符合相应等级保护标准的要求时，应及时整改？(难度：低)答：中国人民银行信息系统信息安全等级保护实施指南(试行)。pdf。12.在第三级信息安全保护中，应对系统相关人员进行应急预案培训。应急预案的培训应至少每年举行一次？(难度：高)答：中国人民银行信息系统信息安全等级保护实施指南(试行)。pdf。13.安全策略主要指信息系统安全管理的行动指南、路线、工作方法、指导原则或程序。(中间)答：T来自人民银行信息系统信息安全等级保护测评指南(试行) 1.314.请判断句子是否正确：将评价指标和评价方法与信息系统的具体评价对象相结合，构成一个可以具体评价的工作单元。(高)答：T来自人民银行信息系统信息安全等级保护实施指引(试行) 4.415.机房的出入口应能控制、识别和记录进入机房的人员，属于物理门禁(G2)。(中间)答：从人民银行信息系统信息安全等级保护测评指南(试行) 5.1.1.1.1开始16.评价对象类型的选择