信息安全知识40

1、信息安全知识一、单选题1. 下列不属于安全测评现场工作一般方法的是？A 审批； B 访谈； C 检查； D 评测。答案：A，出自人民银行信息系统信息安全等级保护测评指南(试行)安全测评现场工作一般采用访谈、检查和测评等三类方法。2. 安全管理测评中安全管理制度(G3)的评测方式是？A 访谈，检查，测评； B 访谈，测评； C 访谈，检查； D 检查，测评。答案：C，出自人民银行信息系统信息安全等级保护测评指南(试行)。3. 中国人民银行的总行局域网内部不包括？A 核心区； B 隔离区； C 生产区管理区； D 业务网接入交换机。答案：B，出自人民银行信息系统信息安全等级保护实施指引(试行)总行

2、局域网内部分为核心区、工作区、生产区管理区、业务网接入交换机和外联区。4. 不属于入侵防范的内容的有？A 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；B 应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施或在检测到完整性即将受到破坏时进行事前阻断；C 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新；D 应支持防恶意代码的统一管理。答案：D，出自人民银行信息系统信息安全等级保护实施指引(试行)。5. 信息安全技术信息系统安全等

3、级保护基本要求(GB/T 22239-2008)(以下简称基本要求)是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，请问基本要求中将安全保护等级划分为几级？A 三级； B 四级； C 五级； D 六级。 答案：C，出自人民银行信息系统信息安全等级保护实施指引(试行)：2.1.1章节，图2信息系统安全等级保护基本要求框架和规定中为五级标准。6. 人民银行信息系统安全等级保护实施指引以国家等级保护要求为原则，同时以人民银行现状为基础，形成了兼顾技术与管理、以基本要求为根本、以设计要求为基本方法的信息安全保障总体框架，两个体系指由技术体系和管理体系综合形成的保障体系，两项要求

4、指由技术要求和管理要求综合形成的保障要求，其中技术要求为下列哪五个反面？A 人员安全、管理安全、制度安全、主机安全、数据安全；B 物理安全、逻辑安全、网络安全、主机安全、人员安全；C 物理安全、网络安全、主机安全、应用安全、数据安全；D 逻辑安全、网络安全、主机安全、应用安全、数据安全；答案：C ，出自人民银行信息系统信息安全等级保护实施指引(试行)：3.1章两项要求指由技术要求和管理要求综合形成的保障要求，技术要求涉及物理安全、网络安全、主机安全、应用安全、数据安全五方面要求；管理要求涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五方面要求。7. 在等级保护二级要求

5、中，要求操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应在多少位以上并由字母、数字、符号等混合组成并定期更换？A 4位；B 8位；C 12位；D 16位；答案：B，出自人民银行信息系统信息安全等级保护实施指引(试行)：4.1.1.3章节，操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应在8位以上并由字母、数字、符号等混合组成并定期更换。8. 在等级保护三级要求的网络安全管理要求中提出：应指定专人对网络进行管理，配备A、B 岗专（兼）职网络管理员，网络管理员负责日常监测工作，检查网络安全运行状况，定期检查网络日志，管理网络资源及其配置信息，建立健全网络安全运行

6、维护档案，及时发现和解决网络异常情况。网络日志应至少妥善保存多少个月？A 1个月；B 2个月；C 3个月；D 6个月；答案：C，出自人民银行信息系统信息安全等级保护实施指引(试行)：4.2.2.5章节，应指定专人对网络进行管理，配备A、B 岗专（兼）职网络管理员，网络管理员负责日常监测工作，检查网络安全运行状况，定期检查网络日志，管理网络资源及其配置信息，建立健全网络安全运行维护档案，及时发现和解决网络异常情况。网络日志应至少妥善保存3 个月9. 在等级保护三级要求的系统运维管理要求中提出：系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码，至少每多少个月更换一次？A 1个月；

7、B 2个月；C 3个月；D 6个月；答案：C，出自人民银行信息系统信息安全等级保护实施指引(试行)：4.2.2.5章节，系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码，至少每3个月更换一次，口令密码的强度应满足不同安全性要求；10. 在等级保护四级要求的备份和恢复要求中提出：应建立异地灾难备份中心，配备灾难恢复所需的通信线路、网络设备和数据处理设备，提供业务应用的实时无缝切换； 应提供异地实时备份功能，利用通信网络将数据实时备份至灾难备份中心； 应采用冗余技术设计网络拓扑结构，避免存在网络单点故障；应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性冗余

8、通讯线路的选择应遵照与主用通讯线路不同运营商和不同物理路径的原则，应提供本地数据备份与恢复功能，完全数据备份和文本数据备份至少每多少天一次？A 1天；B 2天；C 7天；D 30天；答案：A，出自人民银行信息系统信息安全等级保护实施指引(试行)：4.3.1.5章节，应提供本地数据备份与恢复功能，完全数据备份和文本数据备份至少每天一次，备份介质场外存放。11. 等保三级的安全审计不包括下列的哪一项（_）（难易程度：高）A 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；B 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；C 审计记录的内容至少应包括事件的日期、类型、

9、结果等；D 应提供对审计记录数据基尼系那个统计、查询、分析及生成审计报表的功能；答案：C， 出自人民银行信息系统信息安全等级保护实施指引(试行)保护要求、三级要求、技术要求12. 人民银行自行软件开发的等级保护测评项不包括下列的哪项（_）（难易程度：高）A 应制定软件开发管理制度和代码编写安全规范，明确说明开发过程的控制方法和人员兴废准则，要求开发人员参照规范编写代码，不得在程序中设置后门或恶意代码程序；B 应确保开发环境与实际运行环境物理分开，开发、测试不得在生产环境中进行，应确保开发人员和测试人员分离，开发人员不能兼任系统管理员或业务操作人员，确保测试数据和测试结果受到控制；C 应确保提供

10、软件设计的相关文档和使用指南，并由测试人员负责保管；D 应确保对程序资源库的修改、更新、发布进行授权和批准答案：C 出自人民银行信息系统信息安全等级保护测评指南(试行) 现场测评、单元测评、第三级信息系统单元测评13. 基本要求的选择和使用中，定级结果为S3A2，保护类型应该是（_）（难易程度：中）A S3A2G1B S3A2G2C S3A2G3D S3A2G4答案：C 出自人民银行信息系统信息安全等级保护实施指引(试行) 金融行业安全要求的选择和使用说明14. 信息系统安全等级保护状况测评评估，主要包括几个方面的内容？（低）A 1 ； B 2； C 3 ； D 4 答案：B 出自人民银行信息

11、系统信息安全等级保护测评指南(试行)：安全控制测评、系统整体测评。15. 人民银行网络由办公网、业务网和互联网组成，_为涉密网，人民银行的三网均为单独的网络系统，彼此物理隔离。（中）A 办公网、业务网 B 办公网 C 业务网 D 业务网、互联网答案：B ，出自 人民银行信息系统信息安全等级保护实施指引(试行)16. 下面哪项要求不是等保二级要求的范围？（高）A 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； B机房应设置对计算机设备影响小的气体灭火设备和火灾自动报警系统；C 关键设备应采用必要的接地防静电措施；D应限制网络最大流量数及网络并发连接数；答案：D， 出自人民银行信息系统

12、信息安全等级保护实施指引(试行)17. 安全技术测评包括：物理安全、网络安全、主机系统安全、_和_。（高）A 应用安全和数据安全； B管理安全和数据安全； C应用安全和信息安全； D业务安全和数据安全答案：A 出自 人民银行信息系统信息安全等级保护测评指南(试行)18. 信息安全等级保护三级中网络安全中，结构安全应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要的多少倍以上？(难易程度：中) A.10； B.5； C.3； D.1答案：D，出自人民银行信息系统信息安全等级保护实施指引(试行).pdf。19. 信息安全等级保护三级中身份鉴别应对同一用户采用几种或几种以上组合的鉴别技

13、术实现用户身份鉴别？(难易程度：中) A.1； B.2； C.3； D.4答案：B，出自人民银行信息系统信息安全等级保护实施指引(试行).pdf。20. 信息安全等级保护三级中数据备份存放方式应以多冗余方式，至少保证以几个星期为周期的数据冗余？(难易程度：低)A.1； B.2； C.3； D.4答案：A，出自人民银行信息系统信息安全等级保护实施指引(试行).pdf。 二、判断题1. 安全控制测评是信息系统整体安全测评的基础。答案：T，出自人民银行信息系统信息安全等级保护测评指南(试行)2. 安全技术测评包括：物理安全、网络安全、主机系统安全和数据安全等四个层面上的安全控制测评答案：F，出自人民

14、银行信息系统信息安全等级保护测评指南(试行)安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评3. 人民银行信息系统信息安全等级保护三级要求信息系统的系统管理员、数据库管理员、网络管理员、业务操作人员均需设置口令密码，至少每6个月更换一次，口令密码的强度应满足不同安全性要求。（难易程度：低）答案：F，出自人民银行信息系统信息安全等级保护实施指引(试行)保护要求、三级要求、管理要求,应该是三个月4. 信息系统等级保护四级中，定期对备份数据的有效性进行检查，检查时间间隔不超过60天，每次抽检数据量不低于10%，备份数据要实行异地保存。（难易程度：中）答

15、案：F，出自人民银行信息系统信息安全等级保护测评指南(试行) 现场测评、单元测评、第四级信息系统单元测评。应该是不超过30天。5. 等级保护三级对信息安全管理人员应实行备案管理，信息安全管理人员的配备和变更情况，应及时报上一级科技部门备案。（难易程度：低）答案：T，出自人民银行信息系统信息安全等级保护测评指南(试行) 现场测评、单元测评、第三级信息系统单元测评6. 敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据。（低）答案：T， 出自人民银行信息系统信息安全等级保护实施指引(试行)7. 测评对象是指测评实施过程中涉及到的信息系统的构成成分，是客观存在的文档、机制或者设备等，不包括涉及

16、的人员。（中）答案：F ，出自人民银行信息系统信息安全等级保护测评指南(试行)。8. 测评准备的主要任务是掌握被测系统的详细情况，准备测评工具，为编制测评方案做好准备。（中）答案：T ，出自人民银行信息系统信息安全等级保护测评指南(试行)9. 对安全控制测评的描述，使用工作单元方式组织。工作单元分为安全技术测评和安全组织测评两大类（高）答案：F 出自人民银行信息系统信息安全等级保护测评指南(试行)：工作单元分为安全技术测评和安全管理测评两大类。10. 信息系统安全等级保护状况测评评估，应包括安全控制测评、系统整体测评两个方面的内容？(难易程度：中) 答案：T，出自人民银行信息系统信息安全等级保

17、护实施指引(试行).pdf11. 信息安全等级保护三级中在系统运行过程中，应至少每年对系统进行1次等级测评，发现不符合相应等级保护标准要求的及时整改？(难易程度：低)答案：T，出自人民银行信息系统信息安全等级保护实施指引(试行).pdf。12. 信息安全等级保护三级中，应对系统相关的人员进行应急预案培训，应急预案的培训应至少一年举办一次？(难易程度：高)答案：T，出自人民银行信息系统信息安全等级保护实施指引(试行).pdf。13. 安全策略主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。（中）答案：T 出自人民银行信息系统信息安全等级保护实施指引(试行) 1.314.

18、请判断该句是否正确：把测评指标和测评方式结合到信息系统的具体测评对象上，就构成了可以具体测评的工作单元。（高）答案：T 出自人民银行信息系统信息安全等级保护测评指南(试行) 4.415. 机房出入口应能控制、鉴别和记录进入的人员属于物理访问控制（G2）。（中）答案：T 出自人民银行信息系统信息安全等级保护测评指南(试行) 5.1.1.1.116. 测评对象种类的选择需要在基本覆盖和数量上进行抽样，不需要重点抽查设备和设施。（低）答案：F 出自人民银行信息系统信息安全等级保护测评指南(试行) 4.117. 人民银行重要的非涉密信息系统是由一级系统、二级系统、三级系统、四级系统组成，是否正确？（难易程度：中）答案：F， 出自人民银行信息系统信息安全等级保护实施指引(试行)：编制说明18. 信息系统安全等级保护基本技