CISP官方信息安全保障章节练习一

1、C I S P 信 息 安 全 保 障 章 节 练 习 一、单选题。 （共 40题,共 100 分,每题 2.5 分）1. 我国信息安全保障工作先后经历了启动、逐步展开和积极推进，以及深化落实三个阶段， 以下关于我国信息安全保障各阶段说法不正确的是：a、2001 年，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障 工作正式启动b、 2003年7月，国家信息化领导小组制定出台了关于加强信息信息安全保障工作的意见（中办发 27 号文件），明确了“积极防御、综合防范”的国家信息安全保障工作方针c、2003 年，中办发 27 号文件的发布标志着我国信息安全保障进入深化落实阶段d、

2、在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全 等级保护和风险评估取得了新进展最佳答案是 :c2. 以下哪一项不是我国信息安全保障工作的主要目标：a、保障和促进信息化发展 b、维护企业与公民的合法权益C、构建高效的信息传播渠道d、保护互联网知识产权最佳答案是 :C3. 虚拟专用网（VPN）提供以下哪一种功能？a、对网络嗅探器隐藏信息 b、强制实施安全政策 C、检测到网络错误和用户对网络资源的滥 用d 、制定访问规则最佳答案是 :a4. 为保障信息系统的安全， 某经营公众服务系统的公司准备并编制一份针对性的信息安全保 障方案， 并严格编制任务交给了小王， 为此， 小

3、王决定首先编制出一份信息安全需求描述报 告，关于此项工作，下面说法错误的是（）a、信息安全需求是安全方案设计和安全措施实施的依据b、信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语 言来描述信息系统安全保障需求C、信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到d、信息安全需求来自于该公众服务信息系统的功能设计方案最佳答案是 :d5. 我国党和政府一直重视信息安全工作，我国信息安全保障工作也取得了明显成效，关于我 国信息安全实践工作，下面说法错误的是（）a、加强信息安全标准化建设，成立了“全国信息安全标准化技术委员会”制订和发布

4、了大 批信息安全技术，管理等方面的标准。b、重视信息安全应急处理工作，确定由国家密码管理局牵头成立“国家网络应急中心”推 动了应急处理和信息通报技术合作工作进展。C、推进信息安全等级保护工作，研究制定了多个有关信息安全等级保护的规范和标准，重 点保障了关系国定安全，经济命脉和社会稳定等方面重要信息系统的安全性。d、实施了信息安全风险评估工作，探索了风险评估工作的基本规律和方法，检验并修改完 善了有关标准，培养和锻炼了人才队伍。最佳答案是 :b以下哪个国家最早将网络6. 信息安全保障是网络时代各国维护国家安全和利益的首要任务， 安全上长升为国家安全战略，并制定相关战略计划。a、中国b、俄罗斯c、

5、美国d、英国 最佳答案是 :c7. 下列关于信息系统生命周期中安全需求说法不准确的是：a、明确安全总体方针，确保安全总体方针源自业务期望b、描述所涉及系统的安全现状，提交明确的安全需求文档C、向相关组织和领导人宣贯风险评估准则d、对系统规划中安全实现的可能性进行充分分析和论证 最佳答案是 :c8. 下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是：a、确保采购定制的设备.软件和其他系统组件满足已定义的安全要求b、确保整个系统已按照领导要求进行了部署和配置C、确保系统使用人员已具备使用系统安全功能和安全特性的能力d、确保信息系统的使用已得到授权 最佳答案是 :b9. 下列选项中，

6、哪个不是我国信息安全保障工作的主要内容：a、 加强信息安全标准化工作，积极采用“等同采用.修改采用.制定”等多种方式，尽快建立 和完善我国信息安全标准体系b、建立国家信息安全研究中心，加快建立国家急需的信息安全技术体系，实现国家信息安 全自主可控目标C、建设和完善信息安全基础设施，提供国家信息安全保障能力支撑 d、加快信息安全学科建设和信息安全人才培养 最佳答案是 :b.基础设施 .技术体系等方面， 以下关10. 我国信息安全保障建设包括信息安全组织与管理体制 于信息安全保障建设主要工作内容说法不正确的是：a、健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障b、建设信息安全基础设

7、施，提供国家信息安全保障能力支撑C、建立信息安全技术体系，实现国家信息化发展的自主创新d、建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养 最佳答案是 :C11. 以下哪一项不是我国信息安全保障的原则：a、立足国情，以我为主，坚持以技术为主b、正确处理安全与发展的关系，以安全保发展，在发展中求安全C、统筹规划，突出重点，强化基础性工作d、明确国家.企业.个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系最佳答案是 :a12. 信息安全保障技术框架 (InformationAssuranceTechnicalFramework，lATF)由美国国家安全局 (N

8、SA)发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中， 提出需要防护的三类“焦点区域”是：a、网络和基础设施区域边界重要服务器b、网络和基础设施区域边界计算环境C、网络机房环境网络接口计算环境 d、网络机房环境网络接口重要服务器 最佳答案是 :b13. 关于信息安全保障的概念，下面说法错误的是：a、信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念b、 信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段C、在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全d、信息安全保障把信息安全从技术扩展到管理，通过技术.管理

9、和工程等措施的综合融合，形成对信息 .信息系统及业务使命的保障最佳答案是 :C14. 关于信息安全保障技术框架 (IATF，以下说法不正确的是：a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本b、IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无 法破坏整个信息基础设施C、允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性 d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制 最佳答案是 :d15. 下面关于信息系统安全保障模型的说法不正确的是：a、 国家标准信息系统安全保障评估框架第

10、一部分：简介和一般模型(GB/T20274. 1-2006) 中的信息系统安全保障模型将风险和策略作为基础和核心b、模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操 作时，可根据具体环境和要求进行改动和细化C、信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全d、信息系统安全保障主要是确保信息系统的保密性.完整性和可用性，单位对信息系统运行-能力成熟度模型(SSE-CMM对一个组织的安全工程能力成熟度进行维护和使用的人员在能力和培训方面不需要投入 最佳答案是 :d16. 在使用系统安全工程 测量时，正确的理解是：(BasePractices，BP

11、) (GenericPractices，GP) (ProcessAreas，PA) (CommonFeatures，CF)a、测量单位是基本实施b、测量单位是通用实施 C、测量单位是过程区域 d、测量单位是公共特征 最佳答案是 :d17. 下面关于信息系统安全保障的说法不正确的是：a、 信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周 期密切相关b、 信息系统安全保障要素包括信息的完整性.可用性和保密性 C、信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障 d、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使 命 最佳答案

12、是 :b18. 关于我国加强信息安全保障工作的主要原则，以下说法错误的是：a、立足国情，以我为主，坚持技术与管理并重b、正确处理安全和发展的关系，以安全保发展，在发展中求安全c、统筹规划，突出重点，强化基础工作d、全面提高信息安全防护能力，保护公众利益，维护国家安全最佳答案是 :d.安全评审相关费用，确19. 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下 实现软件安全最优防护， 避免防范不足带来的直接损失， 也需要关注过度防范造成的间接损 失，在以下软件安全开发策略中，不符合软件安全保障思想的是：a、在软件立项时考虑到软件安全相关费用，经费中预留了安全测试保安全

13、经费得到落实b、在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设 计中存在的安全不足包括源代码分析 .模糊测试 .渗透测试， 未经以C、确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发 人员编写出安全的代码d、在软件上线前对软件进行全面安全性测试，上测试的软件不允许上线运行最佳答案是 :d20. 依据国家标准GB/T20274信息系统安全保障评估框架，安全环境指的是：a、组织机构内部相关的组织、业务、管理策略b、所有的信息系统安全相关的运行环境，如已知的物理部署、自然条件、建筑物等C、国家的法律法规、行业的政策、制度规范等d 、以上都是最

14、佳答案是 :d21. 质量保证小组通常负责：a、确保从系统处理收到的输出是完整的b、监督计算机处理任务的执行C、确保程序、程序的更改以及存档符合制定的标准d、设计流程来保护数据，以免被意外泄露、更改或破坏最佳答案是 :C22. 关于信息安全保障的说法中，下面说法正确的是：a、信息安全保障工作的核心是技术b、信息安全保障工作的核心是管理C、信息安全保障工作的核心是标准法规d、以上说法均不正确最佳答案是 :d23. 信息安全保障强调安全是动态的安全，意味着：a、信息安全是一个不确定性的概念b 、信息安全是一个主观的概念C、信息安全必须覆盖信息系统整个生命周期，随着安全风险的变化有针对性地进行调整d

15、、信息安全只能保证信息系统在有限物理范围内的安全，无法保证整个信息系统的安全 最佳答案是 :C24. 信息系统安全保障要求包括哪些内容？a、信息系统安全技术架构能力成熟度要求、信息系统安全管理能力成熟度要求、信息系统 安全工程能力成熟度要求b、信息系统技术安全保障要求、信息系统管理安全保障要求、信息系统安全工程安全保障要求c、系统技术保障技术要求、信息系统管理保障控制需求、信息系统工程保障控制需求d、系统安全保障目的、环境安全保障目的 最佳答案是 :b25. 信息安全保障的最终目标是：a、掌控系统的风险，制定正确的策略b、确保系统的保密性.完整性和可用性C、是系统的技术.管理.工程过程和人员等

16、安全保障质量达到要求d、保障信息系统实现组织机构的使命 最佳答案是 :d26. 关于信息保障技术框架（IATF）,下列说法错误的是：a、IATF强调深度防御，关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施 等多个领域的安全保障b、IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作C、IATF强调从技术、管理和人等多个角度来保障信息系统的安全d、IATF强调的是以安全监测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全 最佳答案是 :d27. 以下那种信息安全工作实践应用了信息安全保障的核心原理和思想？a、以ISMS运行为核心，采用技术和管理手段对建设好的系

17、统进行维护b、以IATF为基础，涉及包括防毒、入侵检测、加密、审计在内的安全防护体系C、以CIA为核心，对计算机网络进行安全加固、检测和评估d、在系统生命周期内，以人为本，按照技管并重的原则，通过安全工程过程来构建安全体 系最佳答案是 :d28. 信息安全保障是一种立体保障，在运行时的安全工作不包括：a、安全评估b、产品选购C、备份与灾难恢复 d、监控 最佳答案是 :b29. 以下关于信息安全保障说法中哪一项不正确？a、信息安全保障是为了支撑业务高效稳定的运行b、以安全促发展，在发展中求安全C、信息安全保障不是持续性开展的活动d、信息安全保障的实现，需要将信息安全技术与管理相结合 最佳答案是

18、:C30. 信息安全保障要素不包括以下哪一项？a、技术b、工程C、组织d、管理 最佳答案是 :C31. 各国在信息安全保障组织架构有两种主要形式，一种是由一个部门集中管理国家信息安 全相关工作，另一种是多个部门分别管理，同时加强协调工作。下列各国中，哪一个国家是 采取多部门协调的做法 :a、德国b、法国C、美国d、以上国家都不是最佳答案是 :d32. 依据GB/T24364-2009信息安全技术信息安全应急响应计划规范，应急响应方法论的响应过程的第二步是：a、准备b、确认C、遏制d、根除 最佳答案是 :b33. 以下对确定信息系统的安全保护等级理解正确的是:a、信息系统的安全保护等级是信息系统

19、的客观属性b、确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施C、确定信息系统的安全保护等级时应考虑风险评估的结果d、确定信息系统的安全保护等级时应仅考虑业务信息的安全性最佳答案是 :a34. 关于信息安全保障管理体系建设所需要重点考虑的因素，下列说法错误的是:a、国家、上级机关的相关政策法规要求b、 组织的业务使命 C、信息系统面临的风险 d、项目的经费预算最佳答案是 :d35. 关于信息安全保障，下列说法正确的是:a、信息安全保障是一个客观到主观的过程，即通过采取技术、管理、工程等手段，对信息 资源的保密性、完整性、可用性提供保护，从而给信息系统所有者以信心b、信息安全保障的需求是由信息安全策略所决定的，是自上而下的一个过程，在这个过程 中，决策者的能力和决心非常重要C、信息系统安全并不追求万无一失，而是要根据资金预算，做到量力而行d、以上说法都正确最佳答案是 :a36. 在灾难发生期间，下列哪一种应用系统应当首先被恢复？a、总账系统b、供应链系统C、固定资产系统d、客户需求