2019信息网络安全专业技术人员继续教育(信息安全技术)习题与答案

2019信息网络安全专业技术人员继续教育(信息安全技术)习题与答案

姓名：__________考号：__________一、单选题(共10题)1.关于信息安全风险评估，以下哪种说法是正确的？()A.信息安全风险评估是信息安全工作的最后一步B.信息安全风险评估只关注技术层面C.信息安全风险评估的目的是为了确定信息安全防护措施D.信息安全风险评估不需要考虑业务影响2.以下哪个选项不是常用的网络安全防护技术？()A.防火墙B.入侵检测系统C.网络隔离D.加密技术3.在信息安全管理体系中，以下哪个不是信息安全管理体系（ISMS）的基本要素？()A.领导与承诺B.策划C.运营D.人力资源管理4.以下哪个不是信息安全事件处理流程的步骤？()A.事件识别B.事件评估C.事件响应D.事件恢复5.以下哪个选项不是网络安全威胁的类型？()A.网络攻击B.网络钓鱼C.硬件故障D.系统漏洞6.以下哪个选项不是密码学的基本原则？()A.机密性B.完整性C.可用性D.可逆性7.以下哪个选项不是信息安全法律法规的要求？()A.保障信息安全B.保障公民个人信息安全C.保障企业商业秘密D.保障网络基础设施安全8.以下哪个选项不是信息安全审计的目标？()A.确保信息安全策略得到有效执行B.识别信息安全风险C.评估信息安全性能D.提高信息安全意识9.以下哪个选项不是信息安全风险评估的方法？()A.威胁评估B.脆弱性评估C.漏洞评估D.风险评估10.以下哪个选项不是信息安全事件分类的类型？()A.网络攻击事件B.系统故障事件C.数据泄露事件D.事故处理事件二、多选题(共5题)11.以下哪些是信息安全风险评估的步骤？()A.确定评估目标和范围B.收集和分析信息C.识别和评估威胁D.评估脆弱性E.评估影响F.制定风险缓解措施12.以下哪些属于网络攻击的类型？()A.拒绝服务攻击（DoS）B.网络钓鱼C.端口扫描D.恶意软件攻击E.网络嗅探13.以下哪些是信息安全管理体系（ISMS）的核心要素？()A.领导与承诺B.政策与方针C.目标与规划D.支持性过程E.监控、评审和改进14.以下哪些是密码学的基本功能？()A.机密性保护B.完整性保护C.可用性保护D.身份认证E.防止抵赖15.以下哪些是信息安全事件处理的关键步骤？()A.事件识别B.事件评估C.事件响应D.事件报告E.事件恢复三、填空题(共5题)16.信息安全风险评估中，风险是指威胁利用脆弱性可能造成的损害。17.根据ISO/IEC27001标准，信息安全管理体系（ISMS）的四个基本过程包括：18.在网络安全防护中，入侵检测系统（IDS）主要用于检测和防范19.数字签名技术可以实现以下哪些功能？20.在信息安全事件处理过程中，首先应该进行的步骤是四、判断题(共5题)21.信息安全风险评估的目的在于确定所有可能的风险。()A.正确B.错误22.SSL/TLS协议只能用于加密传输数据，不能提供数据完整性保护。()A.正确B.错误23.信息安全管理体系（ISMS）的建立需要遵循ISO/IEC27001标准。()A.正确B.错误24.恶意软件攻击通常会导致计算机系统崩溃。()A.正确B.错误25.信息安全审计的目的是检查和验证组织是否遵循了所有的信息安全政策和程序。()A.正确B.错误五、简单题(共5题)26.请简述信息安全风险评估的主要步骤。27.什么是网络钓鱼？请举例说明。28.什么是信息安全管理体系（ISMS）？它在组织中扮演什么角色？29.请列举至少三种常见的恶意软件类型及其特点。30.什么是加密？请说明其基本原理。

2019信息网络安全专业技术人员继续教育(信息安全技术)习题与答案一、单选题(共10题)1.【答案】C【解析】信息安全风险评估的目的是为了全面了解组织面临的信息安全威胁和脆弱性，并据此确定合理的防护措施。2.【答案】C【解析】网络隔离是一种物理隔离技术，通常不是网络安全防护技术的一部分。3.【答案】D【解析】信息安全管理体系（ISMS）的基本要素包括领导与承诺、策划、支持、运行、监控、评审和改进，不包括人力资源管理。4.【答案】B【解析】信息安全事件处理流程的步骤通常包括事件识别、事件响应和事件恢复，事件评估不是独立的步骤。5.【答案】C【解析】硬件故障通常不是网络安全威胁的类型，而是物理或设备层面的故障。6.【答案】D【解析】密码学的基本原则包括机密性、完整性和可用性，可逆性不是密码学的基本原则。7.【答案】D【解析】虽然保障网络基础设施安全也是信息安全的一部分，但它不是单独的法律法规要求。8.【答案】D【解析】信息安全审计的目标包括确保信息安全策略得到有效执行、识别信息安全风险和评估信息安全性能，提高信息安全意识不是审计的直接目标。9.【答案】D【解析】风险评估是信息安全风险评估的最终目标，而不是一个具体的方法。10.【答案】D【解析】信息安全事件分类通常包括网络攻击事件、系统故障事件和数据泄露事件，事故处理事件不是独立的分类类型。二、多选题(共5题)11.【答案】ABCDEF【解析】信息安全风险评估的步骤通常包括确定评估目标和范围、收集和分析信息、识别和评估威胁、评估脆弱性、评估影响以及制定风险缓解措施。12.【答案】ABCDE【解析】网络攻击的类型包括拒绝服务攻击（DoS）、网络钓鱼、端口扫描、恶意软件攻击和网络嗅探等。13.【答案】ABCDE【解析】信息安全管理体系（ISMS）的核心要素包括领导与承诺、政策与方针、目标与规划、支持性过程以及监控、评审和改进。14.【答案】ABDE【解析】密码学的基本功能包括机密性保护、完整性保护、身份认证和防止抵赖。15.【答案】ABCDE【解析】信息安全事件处理的关键步骤包括事件识别、事件评估、事件响应、事件报告和事件恢复。三、填空题(共5题)16.【答案】损害【解析】在信息安全风险评估中，风险通常指的是由于威胁利用脆弱性可能导致的损失或损害，包括信息泄露、系统瘫痪等。17.【答案】策划、实施、运行、监控和评审、改进【解析】根据ISO/IEC27001标准，信息安全管理体系（ISMS）的四个基本过程包括策划、实施、运行、监控和评审以及改进。18.【答案】恶意入侵行为【解析】入侵检测系统（IDS）是一种网络安全技术，主要用于检测和防范恶意入侵行为，包括未经授权的访问、异常流量等。19.【答案】身份认证、数据完整性、不可否认性【解析】数字签名技术可以实现身份认证、数据完整性和不可否认性等功能，确保信息在传输过程中的安全性和可靠性。20.【答案】事件识别【解析】在信息安全事件处理过程中，首先应该进行的步骤是事件识别，即及时发现并确认发生了信息安全事件。四、判断题(共5题)21.【答案】错误【解析】信息安全风险评估的目的在于识别和评估组织面临的主要风险，而不是确定所有可能的风险。22.【答案】错误【解析】SSL/TLS协议不仅能够加密传输数据，还能够提供数据完整性保护，防止数据在传输过程中被篡改。23.【答案】正确【解析】信息安全管理体系（ISMS）的建立确实需要遵循ISO/IEC27001标准，该标准为建立、实施和维护信息安全管理体系提供了指导。24.【答案】正确【解析】恶意软件攻击，如病毒、木马等，可能会破坏系统文件或导致系统资源耗尽，从而引起计算机系统崩溃。25.【答案】正确【解析】信息安全审计的目的是检查和验证组织的信息安全政策和程序是否得到正确执行，以确保信息安全目标的实现。五、简答题(共5题)26.【答案】信息安全风险评估的主要步骤包括：确定评估目标和范围、收集和分析信息、识别和评估威胁、评估脆弱性、评估影响以及制定风险缓解措施。【解析】信息安全风险评估是一个系统性的过程，包括多个步骤，目的是为了全面了解组织面临的信息安全风险，并采取相应的措施来降低风险。27.【答案】网络钓鱼是一种网络攻击手段，攻击者通过伪装成合法机构或个人，诱导用户点击恶意链接或提供个人信息，从而获取敏感数据。例如，攻击者可能发送一封声称来自银行的通知邮件，要求用户点击链接进行账户验证，链接实际指向一个伪造的银行登录页面，用于窃取用户的登录凭证。【解析】网络钓鱼是信息安全领域常见的一种攻击方式，其目的是欺骗用户泄露敏感信息，了解其工作原理有助于采取相应的防范措施。28.【答案】信息安全管理体系（ISMS）是一套组织内部建立、实施、维护和持续改进的信息安全政策、程序和流程的集合。它在组织中扮演着确保信息安全目标得到实现的关键角色，通过系统地管理信息安全和相关风险，帮助组织保护其信息和资产。【解析】信息安全管理体系（ISMS）是组织信息安全工作的基础，通过建立一套完整的体系，可以帮助组织有效地管理信息安全风险，提高整体的信息安全水平。29.【答案】常见的恶意软件类型包括：病毒、木马、蠕虫和间谍软件。病毒能够自我复制并破坏计算机系统；木马隐藏在正常程序中，用于窃取信息或控制系统；蠕虫通过网络传播，不需要用户交互即可感染其他计算机；间谍软件