信息安全等级测评师模拟测试(2)-技术初级

1、单 选题（ 20 分）1 以下关于信息系统安全建设整改工作方中说珐中不正确的是？（）A、突出重要系统，涉及所有等级，试点示范，行业推广，国家强制执行。B 利用信息安全等圾保护综合工作平台使等级保护工作常态化。C、管理制度建设和技术措施建设同步或分步实施。D 加快改造，缺什么补什么，也可以进总体安全建设整改规划。2 以下关于定级工作说法不正确的是？（）A、确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网内网外网网管系统）以及用于生产调度管理指挥作业控制办公等目的的各类业务系统。B 确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。C、在定级工作中同

2、类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。D 新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划同步设计同步实施安全保护技术措施和管理措施。3 测评单位开展工作的政策依据是？（）A 公通字 2004 66 号。 B 公信安 2008 736 。 C 公信安 2010 303 号。D、发改高技2008 2071。4 linux 中关于登陆程序的配置文件默认的为？（）A Jetc/pam.d/system-authB /etc/login.defsC /etc/shadowD /etc/passwd5 安全测评报告由（）报地级以上市公安机关公共信息网络安全检查部门？

3、A、安全服务机构。B、县级公安机关公共信息网络安全监察部门。 C、测评机构。D、计算机信息系统运营、使用单位。6 安全规划设计基本过程包括（） 安全总体设计安全建设规划？A、项目调研。B、概要设计。C、需求分析。D、产品设计。7 信息系统为支撑其所承载业务而提供的程序化过程，称为（） 。A、客体。B、客观方面。C、等级保护对象。D、系统服务。8 发现入侵的最简单最直接的方法是去看（）和 （）？（）A审计记录系统文件。B系统记录安全审计文件。C系统记录系统文件。D审计记录安全审计文件。9 在安全评估过程中，采取（）手段，可以模拟黑客入侵过程，检测系统安全脆弱性？A、问卷调查。B、人员访谈。C、渗

4、透性测试。D、手工检查。10 安全操作系统的核心内容是？（）A、防病毒。B、加密。C、解密。D、访问控制。11 系统建设管理中要求，对新建系统首先要进行（），在进行方案设计。A、定级。B、规划。C、需求分析。D、测评。12 Windows 操作系统中，本地登录权限对（ ）用户组不开放。AGuestBAdministartorsCUsersDEveryone13 等级保护测评的执行主体最好选择？（）A、独立的第三方测评服务机构。B 具有相关资质的独立的第三方测评服务机构。C、从事系统集成和信息安全产品开发等安全服务机构。D 具有相关资质的从事系统集成和信息安全产品开发等安全服务机构。14 从系统

5、结构上来看，入侵检测系统可以不包括？（）A、数据源。B、分析引擎。C、审计。D、响应。15 CISCO 的配置通过什么协议备份？（）A ftpB tftpC telnetD SSh16 通过（）对安全现状评估产生的结果，说明了系统安全保护方面与等级保护基本要求之间的差距，这种差距是对系统进一步安全改造的依据。A、定级。B、备案。C、等级测评。D、安全建设整改。17 哪项不是开展主机工具测试所必须了解的信息？（）A、操作系统B 应用软件C 、 IP 地址D 、物理位置18 、 从系统服务安全角度反映的信息系统安全保护等级称？（）A、安全等级保护。 B、信息系统等级保护。C、系统服务安全保护等级。

6、D 、业务信息安全保护等级。19 、 应用安全包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性和（）A 、抗抵赖、软件容错、资源控制。B 、不可否认性、软件容错、资源控制。C 、抗抵赖、软件删除、资源控制。D 、抗抵赖、软件容错、系统控制。20 、 鉴别的定义是？（）A、将两个不同的主体区别开来。 B、将一个身份绑定到一个主体上。C、防止非法用户使用系统及合法用户对系统资源的非法使用。 D 、对计算机系统实体进行访问控制。多 选题（ 26 分）1 、 以下对信息系统安全建设整改工作的复杂性和艰巨性说法正确的是？（）A 、政策性和技术性很强。B 、涉及范围广。C 、信息系统

7、安全加固改造，需要国家在经费上予以支持。D 、跨省全国联网的大系统结构复杂运行实时保障性高、数据重要，加周改造周期长2 下列访问控制属于按层面划分的为？（）A、自主访问控制。B、物理访问控制。C、主机访问控制。D、强制访问控 制。3 Windows 系统中的审计日志包括（）。A、系统日志。B、安全日志。C、应用程序日志。D、用户日志。4 经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求的，须（） 。A委托单位应当根据测评报告的建议，完善计算机信息系统安全建设。B重新提出安全测评委托。C另行委托其他测评机构进行测评。D自行进行安全测评。5、 unix/linux系统中的密码信息保存在

8、，etc/passwd或/etc/shadow 文件中， 信息包含的内容有（） 。A最近使用过的密码。B用户可以再次改变密码必须经过的最小周期。C密码最近的改变时间。D、密码有效的最大天数一这三条部是在 shadow文件里记录的。6 信息安全等级促护管理办法中要求第三圾以上信息系统应当选择符合下列条件（）的等级保护测评机构进行测评。A在中华人民共和国境内注册成立。B由中国公民投资中国法人投资或者国家投资的企事业单位。C具有完备的保密管理项目管理质量管理人员管理和培训教育等安全管理制度。D工作人员仅限于中国公民。7 常见的数据备份有哪些形式? （）A完全备份。B差异备份。C增量备份。D日志备份。

9、8 计算机信息系统运营使用单位委托安全测评机构测评，应当提交下列瓷料的主要有？（）A安全测评委托书。B定级报告。C计算机信息系统应用需求系统结构拓扑及说明系统安全组织结构和管理制度安全保护设施设计实施方案或者改建实施方案系统软件硬件和信息安全产品清单。D 安全策略文档。9 下列属于安全产品的有（）A、网闸。B、交换机。C、防火墙。D、IDS和IPS。E、路由器。F、堡垒机。10 三级信息系统的测试验收包括如下（）内容。A 应委托公正的第三方测试单位对系统进行安全性测试，并出县安全性测试报告。在测试验收前应根据设计方案或合同要求等制订测试验收方室，在 测试验收过程中应详细记录测试验收结果，并形成

10、测试验收报告。C 、应指定或授权专门的部门负责系统测试验收的管理并按照管理规定的要求完成系统测试验收工作。D 、应组织相关部门和相关人员对系统测试殓收报告进行审定，并签字确认。11 、 三级信息系统的等级测评包括如下（）内容。A 、在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等圾保护标准要求的及时整改。B 、应在系统发生变更时及时对系统进行等圾测评，发现级别发生变化的及时调整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改。C 、应选择具有国家相关技术资质相安全资质的测评单位进行等圾测评。D 、应指定或授权专门的部门或人员负责等级测评的管理。12 、 信息安全

11、等级保护测评工作原则，主要包括（）A、规范性原则。B、整体性原则。C、最小影响原则。D、保密性原则。13 、 等级测评实施过程中可能存在的风险，主要有（）A、验证测试影响系统正常运行。B、工具测试影响系统正常运行。C、敏感信息泄露，D 、受到恶意攻击。三、 填 空题（ 20 分）1 、 等级保护测评准则的作用，主要有（） 、 （） 、 （） 、 （）2 、 通过组织开展信息安全等级保护的哪三项重点工作， （） 、 （） 、 （） 、落实等 级保护制度的各项要求？3、安全建设整改工作的主要特点？（） 、 （） 、 （） 、 （）4 、 说明信息安全等级保护基本要求中二级系统的要求项有多少？（）与

12、三级系统的要求项差异多少？（）另外二级系统中技术要求的要求项有多少？（）与三级系统中技术要求的要求项差异多少？（）判 断题（ 20 分）1 、信息系统等级保护的第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 （）2 、在进行信息安全测试中，我们一般不需要自己动手进行测试。 （）3 、 根据信息安全等圾保护管理办法 ，第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监罾、检查。 （）4 、Linux 是一个支持单用户、多进程、多线程，实时性较好的功能强大而稳定的操作系统。 （）5

13、 、根据信息安全等级保护管理办法 ，信息系统的运营、使用单位应当根据已确定的安全保护等级，依照本办法和有关技术标准，使用符台国家有关规定，满足信息系统安全保护等级需求的信息技术产品，进行信息系统建设。 （）6 、 Linux 系统的 shadow 文件是不能被普通用户读取的， 只有超级用户才有权读取。 （）7 、 根据信息安全等级保护管理办法 ，公安机关应当掌握信息系统运营、使用单位的备案情况，发现不符合本办法及有关标准的，应建议其予以纠正。8 根据信息安全等级保护管理办法 ，公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营使用单位发出整改通知。

14、（）9 在 Oracle 数据库系统中， 查看标签创建情况： select * from dba_sa_labels 。（）10 访问控制是安全防范和保护的主要策略，它不仅应用于网络层面同样也适用于主机层面。 （）11 第二级信息系统运营使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督检查属于监督保护圾。 （）12 等圾保护的政策文件主要涵盖了等级保护制度定级备案等级测评安全建设监督检重等工作的各个环节，构成了比较完备政策体系。 （）13 管理办法中信息系统重要程度的等级的概念，是信息安全等级保护工作中的系统定级和备案安全建设整改等级测评和监督检查等工作的依据。 （）14 考虑到经济成本，在机房安装过录像监控之后，可不再布置报警系统。 （）15 依据GB/T22239-2008 ，三级信息系统应对“系统管理数据”“鉴别信息”和“重要业务数据”实现存储保密性。 （）16 公安部国家保密局国家密码管理局原国务院信息办共同印发的信息安全等级保护管理办法即 43 号文。 （）17 在应用系统现场等级测评活动中，不需要对应用系统的安全功能进行验证。()18 、 对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响，要实现告知被测系统相关人员。 （）19 、审计日