【项目管理中级】第17章 信息系统安全管理

【项目管理中级】第17章信息系统安全管理

姓名：［填空题］*

1、2020年11月第69题：关于信息系统岗位人员管理的要求不正确的是（）

［单选题］*

A.业务开发人员和系统维护人员不能任安全管理员系统管理员

B.对安全管理员系统管理员等重要岗位进行统一管理不可一人多岗而笞案）

C.系统管理员数据管理员网络管理员不能相互兼任岗位或工作

D.关键卤位在处理重要事务或操作时应保证二人同时在场

答案解析：对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务

开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统

一管理；允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任;关键岗

位人员应定期接受安全培训I,加强安全意识和风险防范意识。

2、2020年11月第68题：保障信息系统完整性的方法不包括（）［单选题］*

A.物理加密（正确答案）

B.数字签名

C.奇偶校验法

D.安全协议

答案解析：物理加密属于保密性,不是完整性。

3、2019年11月第68题：（）技术不能保障应用系统的完整性。［单选题］*

A.奇偶校验法

B.数字签名

C物理加密「「二:

D.密码校验

答案解析：中级教材第二版P520:保障应用系统完整性的主要方法如下。（1）协议：

通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和

被修改的字段。（2）纠错编码方法：由此完成检错和纠错功能。最简单和常用的纠错

编码方法是奇偶校验法。（3）密码校险和方法:它是抗篡改和传输失败的重要手段。

⑷数字签名：保障信息的真实性。（5）公证:请求系统管理或中介机构证明信息的真

实性。

4、2019年11月第69题：关于信息系统岗位人员管理的要求，不正确的是：

（）o［单选题］*

A.安全管理员和系统管理员不能由一人兼任川不彳「不）

B.业务开发人员不能兼任安全管理员、系统管理员

C.系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作

D.关键岗位在处理重要事务或操作口寸,应保证二人同时在场

答案解析：中级教材第二版P534:对信息系统岗位人员的管理，应根据其关键程度

建立相应的管理要求：1.对安全管理员、系统管理员、数据库管理员、网络管理

员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗

位人员进行统一管理；允许一人多岗，但业务应用操作人员不能由其他关键岗位人员

兼任;关键岗位人员应定期接受安全培训I,加强安全意识和风险防范意识。A是错误

的。2兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理

员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工

作;必要时关键闵位人员应采取定期轮卤制度B是正确的。3.权限分散要求:在上述

基础上，应坚持关键岗位“权限分散、不得交又覆盖”的原则，系统管理员、数据库管

理员、网络管理员不能相互兼任岗位或工作。C是正确的。4.多人共管要求:在上

述基础上,关键闵位人员处理重要事务或操作时,应保持二人同时在场,关键事务应

多人共管。D是正确的。

5、2016年5月第24题：计算机网络安全是指利外管理和技术措施，保证在一个

网络环境里，信息的（）受到保护。［单选题］*

A.完整性、可靠性及可用性

B.机密性、完整性及可用性（心的洛％）

C.可用性、完整性及兼容性

D.可用性、完整性及冗余性

答案解析：安全属性主要是完整性、保密性和可用性和不可抵赖性。

6、2016年5月第25题：系统运行的安全检查是安全管理中的一项重要工作，旨

在预防事故、发现隐患、指导整改。在进行系统运行安全检查时，不恰当的做法是:

（）o［单选题］*

A.定期对系统进行恶意弋码检查，包括病毒、木马、隐蔽通道等

B.检查应用系统的配置是否合理和适当

C.检查应用系统的用户双限分配是否遵循易用性原则△）

D.检查应用系统的可用性，包括系统的中断时间、正常服务时间、恢复时间等

答案解析：系统运行安全检查和记录的范围如下：（1）应用系统的访问控制检查，

包括物理和逻辑访问控制，是否按照规定的策略和程序进行访问权限的增加、变更

和取消，用户权限的分配是否遵循〃最小特权〃原则。（2）应用系统的日志检查，包

括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。（3）应用系

统可用性检查，包括系统中断时间、系统正常服务时间和系统恢复时间等。（4）应

用系统能力检查，包括系统资源消耗情况、系统交易速度和系统吞吐量等。（E）应

用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略和程

序进行访问和使用。（6）应用系统维护检查。维护性问题是否在规定的时间内解

决，是否正确地解决问题，解决问题的过程是否有效等。（7）应用系统的配置检

So检查应用系统的配置是否合理和适当，各配置组件是否发挥其应有的功能。（8）

恶意代码的检查。是否存在恶意代码，如病毒、木马、隐蔽通道导致应用系统数据

的丢失、损坏、非法修改、信息泄露等0C是不恰当的.应是检查〃用户权限的分

配是否遵循〃最小特权〃原则，0

7、2017年5月第68题：数字签名技术属于信息系统安全管理中保证信息（）技

术。［单选题］*

A.保密性

B.可用性

C完整性（「确答案）

D.可靠性

10、2018年5月第70题：应用系统运行中涉及的安全和保密层次包括系统级安

全、资源访问安全、数据域安全等。以下描述不正确的是：（）。［单选题］*

A.按粒度从大到小排序为系统级安全、资源访问安全、数据域安全

B.系统级安全是应用系统的第一道防线

C.功能性安全会对程序流程产生影响

D.数据域安全可以细分为文本级数据域安全和字段级数据域安全了与之）

答案解析：数据域安全包括两个层次，其一，是行级数据域安全，即用户可以访

问哪些业务记录，一般以用户所在单位为条件进行过滤;其二，是字段级数据域安

全，即用户可以访问业务记录的哪些字段。D是错误的。

11、2018年11月第69题：在信息系统安全技术体系中，安全审计属于（）［单

选题］*

A.物理安全

B.网络安全

C.数据安全

D.运行安全（正碓*"

答案解析：中级教材第二版P525,运行安全包括安全审计。

12、2018年11月第70题：根据《信息安全等级保护管理方法》规定，信息系统

受到破坏后，会对社会秩序和公众利益造成严重损害，或者对国家安全造成损害，

则该信息系统的安全保批等级为（）［单选题］*

A.一级

B.二级

C.三级（正确答案）

D.四级

答案解析：中级教材第二版P541-542。第一级，信息系统受到破坏后，会对公

民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利

益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严

重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息

系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损

害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，

或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成

特别严重损害。

13、2019年5月第69题：应用系统运行中涉及的安全和保密层次包括系统级安

全、资源访问安全、功能性安全和数据域安全，其中粒度最小的层次是（）［单选

题］*

A.系统级安全

B.资源访问安全

C.功能性安全

D.数据域安全川，

答案解析：参见中级教材第二版P537,应用系统运行中涉及的安全和保密层次包

括系统级安全、资源访问安全、功能性安全和数据域安全。这4个层次的安全，按

粒度从大到小的排序是：系统级安全、资源访问安全、功能性安全、数据域安全。

14、2019年5月第70题：关于信息系统岗位人员安全管理的描述，不正确的是

（）［单选题］*

A.业务应用操作人员不能由系统管理员

B.业务开发人员不能兼任系统管理员

c.系统管理员可以兼任数据库管理员二）

D.关键岗位人员处理重要事务或操作时，应保持二人同时在场

答案解析：对信息系统肉位人员的管理，应根据其关键程度建立相应的管理要

求。（1）对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发

人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管

理；允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任；关键岗位

人员应定期接受安全培训，加强安全意识和风险防范意识。（2）兼职和轮岗要

求：业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据

库管理员、网络管理员和重要业务应用操作人员等岗位或工作；必要时关键岗位人

员应采取定期轮岗制度。C是错误的。（3）权限分散要求：在上述基础上，应坚

持关键岗位〃权限分散、不得交叉覆盖〃的原则，系统管理员、数据库管理员、网络

管理员不能相互兼任岗位或工作。（4）多人共管要求：在上述基础上，关键岗位人

员处理重要事务或操作时，应保持二人同时在场，关键事务应多人共管。（5）全

面控制要求：在上述基础上，应采取对内部人员全面控制的安全保证措施，对所有

岗位工作人员实施全面安全管理。

15、2014年11月第26题：代理服务器防火墙主要使用代理技术来阻断内部网络

和外部网络之间的通信，达到隐蔽内部网络的目的。以下关于代理服务器防火墙的

叙述中，（）是不正确的。［单选题］*

A.仅〃可以信赖的〃代理服务才允许通过

B.由于已经设立代理，因此任何外部服务都可以访问可咯案）

C.允许内部主机使用代理服务器访问Internet

D.不允许外部主机连接到内部安全网络

答案解析：B选项不对。在代理服务器防火墙上往往会设置一些禁止访问的外部服

务器，而不是能够访问任何外部服务。

16、2015年5月第23题：不同安全等级的安全管理机构应该建立自己的信息系统

安全组织机构管理体系。在该体系中，最低级别的安全管理要求是（）［单选题］

A.建立信息安全保密管理部门

B.成立安全领导小组

C.建立安全职务部门

D.配备安全管理人员（1B彳W）

答案解析：在组织机构中需建立安全管理机构，不同安全等级的安全管理机构可

按下列顺序逐步建立自己的信息系统安全组织机构管理体系。（1）配备安全管理人

员：管理层中应有一人分管信息系统安全工作，并为信息系统的安全管理配备专职

或兼职的安全管理人员。（2）建立安全职能部门：在《1）的基础上，应建立管理信息

系统安全工作的职能部门，或者明确制定一个职能部门监管信息安全工作，作为该

部门的关键职责之一。：3）成立安全领导小组:在⑵的基础上，应在管理层成立信

息系统安全管理委员会或信息系统安全领导小组，对覆盖全国或跨她区的组织机

构，应在总部和下级单位建立各级信息系统安全领导小组，在基层至少要有一位专

职的安全管理人员负责信息系统安全工作。（4）主要负责人出任领导:在（3）的基础

上，应由组织机构的主要负责人出任信息系统安全领导小组负责人；（5）建立信息安

全保密管理部门：在（4）的基础上，应建立信息系统安全保密监督管理的职能部门，

或对原有保密部门明确信息安全保密管理责任，加强对信息系统安全管理重要过程

和管理人员的保密监督管理。

17、2015年5月第24题：信息安全的级别划分为不同的维度，在下列划分中，正

确的是（）［单选题］*

A.系统运行安全和保密有5个层次，包括设备级安全、系统级安全、资源访问安

全、功能性安全和数据安全。

B.机房分为4个级别:A级、B级、C级、D级

C.根据系统处理数据的重要性，系统可靠性分A级和B级

D.根据系统处理数据划分系统保密等级为绝密、机密和秘密3条）

答案解析：应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安

全、功能性安全和数据域安全。四个，A是错误的c机房应分为A,B,C三级，B

是错误的。系统可靠性分A级和B级、C级,C是错误的。根据系统处理数据划分

系统保密等级为绝密、机密和秘密，D正确。

18、32015年5月第25题：下列属于对称密钥加密算法的是（）［单选题］*

A.RSA加密体制

B.DES加密体制11—

C.BCC加密体制

D.Elgamal加密体制

答案解析：常见的对称密钥算法有:SDB1（国家密码办公室批准的国内算法，仅硬

件中存在）、IDEA,RC4.DES、3DES、Kerberos等。

19、2015年5月第26题：针对应用程序或工具在使用过程中可能出现计算，传输

数据的泄露和失窃，通过其他安全工具或策略来消除隐患属于安全保护措施中的

（）［单选题］求

A.应用安全（正

B.物理安全

C.介质安全

D.数据安全

答案解析：应用安全，即保障应用程序使用过程和结果的安全。其是针对应用程

序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过其他安全工具

或策略来消除隐患。

20、2015年11月第22题：某公司财务管理数据只能提供给授权用户，通过采取

安全管理措施确保不能被未授权的个人、实体或过程利用或知悉，以确保数据的

()［单选题］*

A.保密性5，一

B.完整性

C.可用性

D.稳定性

答案解析：保密性。是指〃信息不被泄漏给未授权的个人、实体和过程或不被其使

用的特性。〃简单地说，就是确保所传输的数据只被其预定的接收者读取。保密性

的破坏有多种可能，例如，信息的故意泄露或松懈的安全管理。数据的保密性可以

通过下列技术来实现:网络安全协议、网络认证服务、数据加密服务。

21、2015年11月第23题：访问控制是信息安全管理的重要内容之一，以下关于

访问控制规则的叙述中，()是不正确的［单选题］*

A.应确保授权用户对信息系统的正常访问

B.防止对操作系统的未授权访问

C.防止对外部网络未经授权进行访问，对内部网络的访问则没有限制。答不)

D.访问对应用系统中的信息未经授权进行访问

答案解析：访问控制按照事先确定的规则决定主体对客体的访问是否合法。当一

主体试图非法使用一个未经授权的资源时，访问控制将拒绝这一企图，并将这一事

件报告给审计跟踪系统，审计跟踪系统将给出报警并记录日志档案。包括内、外部

访问。C是错误的。

22、2015年11月第24题：依据（2007）43号《信息安全等级保护管理办法》，我

国对信息系统的安全保担等级分为（）级［单选题］*

A.三

B.五（正确答案）

C.四

D.二

答案解析：计算机系统安全保护能力的5个等级:用户自主保护级、系统审计保护

级、安全标记保护级、结构化保护级、访问验证保护级。

23、2015年11月第26题：为保障数据的存储和运输安全，防止信息泄露，需要

对一些数据进行加密。由于对称密码算法（），所以特别适合对大量的数据进行

加密。［单选题］*

A.比非对称密码算法更安全

B.比非对称密码算法密切更长

C.C.比非对称密码算法效率更高（「确答案）

D.还能同时用于身份认证

答案解析：对称密码算法相对于非对称加、解密快算法效率更高，所以可以用于

大量数据加密。对称非对称密钥对比：1.对称:加密、解密都使用用同一个密钥。优

点:加、解密快;密钥管理简单;适合一对一传输;缺点:加密强度不高;不适宜一对多

加密传输。常见算法有:SDBI,IDEA,RC4,DES,3DES,Kerberos.2.非对称:加密

用〃公钥〃，解密用〃私钥〃优点：安全性高，体制安全;密钥量小;算法灵活性好。缺

点:加、解密速度慢（相对）；密钥管理复杂（需要第三方认证中心）。常见算法有:RSA

ECCo

24、2016年5月第22题：堡垒主机是一台完全暴露给外网的主机，在维护内网安

全方面发挥着非常大的作用。以下关于堡垒主机的叙述中，不正确的是：（）。

［单选题］*

A.堡垒主机具有输入输出审计功能

B.需要设置防火墙以保于堡垒主机（正」？工）

C.堡垒主机能配置网关服务

D.堡垒主机一般配置两块网卡

答案解析：堡垒主机是一台完全暴露给外网攻击的主机。它没有任何防火墙或者

包过滤路由器设备保护。堡垒主机执行的任务对于整个网络安全系统至关重要。事

实上，防火墙和包过滤路由器也可以被看作堡垒主机。由于堡垒主机完全暴露在外

网安全威胁之下，需要做许多工作来设计和配置堡垒主机，使它遭到外网攻击成功

的风险性减至最低。其池类型的堡垒主机包括:Web,Mail,DNS,FTP服务器。一些网

络管理员会用堡垒主机做牺牲品来换取网络的安全。这些主机吸引入侵者的注意

力，耗费攻击真正网络主机的时间并且使追踪入侵企图变得更加容易。

25、2012年11月第26题：根据《信息安全技术信息系统安全通用性技术要求

GB/T27201-2006》，信息系统安全的技术体系包括（）：［单选题］*

A.物理安全、运行安全、数据安全（正前答

B.物理安全、网络安全、运行安全

C.人类安全、资源安全、过程安全

D.方法安全、过程安全、工具安全

答案解析：在GB/T20271-2006《信息安全技术信息系统通用安全技术要求》中信

息系统安全技术体系有：（1）物理安全⑵运行安全⑶数据安全。

26、2012年11月第29题：按照系统安全等级中的可靠性等级由高到低分别为

（）oL单选题」*

A.绝密、机密、秘密

B.军用、商用、民用

C.A级、B级、C级（正确答案）

D.使用级、修改级、控制级

答案解析：安全等级可分为保密等级和可靠性等级两种，系统的保密等级与可靠

性等级可以不同。保密等级应按有关规定划为绝密、机密和秘密。可靠性等级可分

为三级，对可靠性要求最高的为A级，系统运行所要求的最低限度可靠性为C级，

介于中间的为B级。

27、2013年5月第20题：应用系统运行的安全管理中心，数据域安全是其中非常

重要的内容数据域安全包括（）［单选题］*

A.行级数据域安全,字段级数据域安全（止的咯，案）

B.系统性数据域安全，功能性数据域安全

C.数据资源安全，应用性数据安全

D.组织级数据域安全，访问性数据域安全

答案解析：数据域安全包括两个层次，其一是行级数据域安全，即用户可以访问

哪些业务记录，一般以用户所在单位为条件进行过滤;其二是字段级数据域安全，

即用户可以访问业务记录的哪些字段。

28、2013年11月第24题：某公司系统安全管理员在建立公司的〃安全管理体系〃

时，根据GB/T20269-2006《信息安全技术信息系统安全管理要求》，对当前公司

的安全风险进行了分析和评估•他分析了常见病毒对计算机系统、数据文件等的破

坏程度及感染特点，制定了相应的防病毒措施。这一做法符合（）的要求。［单

选题］*

A.资产识别和评估

B.威胁识别和分析析尚笞生）

C.脆弱性识别和分析

D.等保识别和分析

答案解析：题干中〃他分析了常见病毒对计算机系统、数据文件等的破坏程度及感

染特点〃，这是威胁识别和分析。威胁、脆弱性:威胁可看成从系统外部对系统产生

的作用，而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系统内部

的薄弱点。脆弱性是客观存在的，脆弱性本身没有实际的伤害，但威胁可以利用脆

弱性发挥作用。

29、2013年11月第25题：信息安全策略应该全面地保护信息系统整体的安全，

网络安全体系设计是逻辑设计工作的重要内容之一，可从物理线路安全、网络安

全、系统安全、应用安全等方面来进行安全体系的设计与规划。其中，数据库的容

灾属于（）的内容［单选题］*

A.物理线路安全与网络安全

B.网络安全与系统安全

C.物理线路安全与系统安全

D.系统安全与应用安全什―：）

答案解析：数据库容灾，即在异地部署一个一模一样的数据库，一个数据库所处

的地理位置发生自然灾害了导致当前数据库发生灾难，另一个数据库会立马顶替工

作°这是属于系统安全与应用安全。

30、2013年11月第26题：以下不属于物理访问控制要点的是（）［单选题］*

A.硬件设施在合理范围内是否能防止强制入侵

B.计算机设备的钥匙是否有良好的控制

C.计算机设备电源供应是否能适当控制在合理的规格范围内j答3）

D.计算机设备在搬动时是否需要设备授权同行证明

答案解析：一般而言，物理访问管理包括：1硬件设施在合理范围内是否能防止强

制入侵;2计算机设备的钥匙是否有良好的控制以降低未授权者进入的风险;3职能

终端是否上锁或有安全保护，以防止电路板、芯片或计算机被搬移:4计算机设备

在搬动时是否需要设备授权通行的证明。不包括C

31、2013年11月第27题：MD5常用于数据（）保护［单选题］*

A.校验

B.完整川•:确答案）

C.机密

D.可靠

答案解析：MD5即Message-DigestAlgorithm5（信息一摘要算法5）,用于确保信

息传输完整一致。是计算机广泛使用的杂凑算法之一（又译摘要算法、哈希算法），

主流编程语言普遍已有MD5实现。MD5算法具有以下特点：1、压缩性:任意长度的

数据，算出的MD5值长度都是固定的。2、容易计算:从原数据计算出MD5值很容

易。3、抗修改性:对原数据进行任何改动，哪怕只修改1个字节，所得到的MD5值

都有很大区别。4、强抗碰撞：已知原数据和其MD5值，想找到一个具有相同MD5值

的数据（即伪造数据）是非常困难的。

32、2014年5月第27题：具有保密资质的公司中一名涉密的负责信息系统安全的

安全管理员提出了离职申请，公司采取的以下安全控制措施中，（）可能存在安

全隐患.［单选题］*

A.立即终止其对安全系统的所有访问权限

B.收回所有相关的证件、徽章、密钥、访问控制标志、提供的专用设备等

C.离职员工办理完人事交接，继续工作一个月后离岗（正确答案）

D.和离职人员签订调离后的保密要求及协议

答案解析：人事交接都办完了，人应离开。还让继续工作一个月，存在安全隐患

33、2014年5月第29题：依据GB/T20271-2006《信息系统安全技术信息系统通

用安全技术要求》中的规定，（）不属于信息系统安全技术体系包含的内容。

［单选题］*

A.物理安全

B.运行安全

C.人员安全（正确答案）

I）.数据安全

答案解析：GB/T20271-2006《信息系统安全技术信息系统通用安全技术要求》中

信息系统安全技术体系包含物理安全、运行安全、数据安全

34、2014年11月第25题：以下关于入侵检测设备的叙述中，（）是不正确的。

［单选题］*

A.不产生网络流量

B.使用在尽可能靠近攻击源的地方

C.使用在尽可能接近受保护资源的地方

［）.必须跨接在链路上彳

答案解析：不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链

路上，无须网络流量流经它便可以工作。D是错误的。入侵检测设备不产生网络流

量。在如今的网络拓扑中，己经很难找到以前的HUB式的共享介质冲突域的网络，

绝大部分的网络区域都己经全面升级到交换式的网络结构。因此，IDS在交换式网

络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些

位置通常是:服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；

重点保护网段的局域网交换机上。ABC是正确的。有些参考答案选B,应是不对

的。

35、2010年11月第34题：某公司接到通知，上级领导要在下午对该公司机房进

行安全检查，为此公司做了如下安排:①了解检查组人员数量及姓名，为其准备访

客证件②安排专人陪同检查人员对机房安全进行检查③为了体现检查的公正，下午

为领导安排了一个小时的自由查看时间④根据检查要求，在机房内临时设置一处吸

烟区，明确规定检查期间机房内其他区域严禁烟火上述安排符合《GB/T20269-

2006信息安全技术信息系统安全管理要求》的做法是（）。［单选题］*

A.③④

B.②③

C.①②（正确答案）

D.②④

答案解析：机房未经允许人员不准进入;获准进入机房的来访人员，其活动范围应

受限制，并有接待人员陪同。③是错误的。机房内严禁烟火，④是错误的。

36、2011年5月第25题：信息安全的级别划分有不同的维度，以下级别划分正确

的是（）。［单选题］*

A.系统运行安全和保密有5个层次，包括设备级安全、系统级安全、资源访问安

全、功能性安全和数据安全

B.机房分为4个级别:A级、B级、C级、D级

C.根据系统处理数据划分系统保密等级为绝密、机密和秘密*「主）

D.根据系统处理数据的重要性，系统可靠性分A级和B级

答案解析：应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安

全、功能性安全和数据域安全。是四个级别。A错误。电子信息系统机房根据使用

性质、管理要求及其在经济和社会中的重要性划分为A,B,C三级，B错误。安全等

级可分为保密等级和可靠性等级两和J系统的保密等级与可靠性等级可以不同。保

密等级应按有关规定划为绝密、机密和秘密【C正确】。可靠性等级可分为三级，

对可靠性要求屈高的为A级，系统运行所要求的最低限度可靠性为C级，介于中间

的为B级【D错误】

37、2011年5月第26题：系统运行安全的关键是管理，下列关于日常安全管理的

做法，不正确的是()。［单选题］*

A.系统开发人员和系统操作人员应职责分离

B.信息化部门领导安全管理组织，一年进行一次安全检查(正确答案)

C.用户权限设定应遵循〃最小特权〃原则

D.在数据转储、维护时要有专职安全人员进行监督

答案解析：选项B不正确。安全管理组织的领导应是单位主要领导人来领导。参

见中级第一版P450倒数第三行。其他正确。

38、2011年5月第27题：在某次针对数据库的信息安全风险评估中，发现其中对

财务核心数据的逻辑访问密码长期不变。基于以上现象，下列说法正确的是

()o［单选题］*

A.该数据不会对计算机阂成威胁，因此没有脆弱性

B.密码和授权长期不变是安全漏洞，属于该数据的脆弱性.二也仰利

C.密码和授权长期不变是安全漏洞，属于对该数据的威胁

D.风险评估针对设施和软件，不针对数据

答案解析：选项B是正确的。系统的风险可以看做是威肋、利用了脆弱性而引起

的。常见的脆弱性有:〃密码和授权长期不变〃、〃错误的选择和使用密码〃。

39、2011年11月第24题：完整性是信息系统未经授权不能进行改变的特性，它

要求保持信息的原样。下列方法中，不能用来保证应用系统完整性的措施是

()o［单选题］*

A.安全协议

B.纠错编码

C.数字签名

D.信息加密（i「二

答案解析：保障应用系统完整性的主要方法如下:①协议:通过各种安全协议可以

有效地检测出被复制的信息被删除的字段、失效的字段和被修改的字段。②纠错编

码方法：由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法③

密码校验和方法:它是抗篡改和传输失败的重要手段。④数字签名：保障信息的真实

性。⑤公证:请求系统管理或中介机构证明信息的真实性。不包括信息加密，信息

加密是保密性。

40、2011年11月第25题：在信息系统安全技术体系中，环境安全主要指中心机

房的安全保护。以下不属于该体系环境安全内容的是（）。［单选题］*

A.设备防盗器（」"丫冷案）

B.接地和防雷击

C.机房控制

D.防电磁泄漏

答案解析：设备防盗器是设备安全，不是环境安全。1、环境安全，主要指中心机

房的安全保护，包括:。机房场地选择。。机房内部安全防护。。机房防火。。机房

供、配电。。机房空调、降温。。机房防水与防潮。。机房防静电。。机房接地与防

雷击。。机房电磁防护。2、设备安全。。设备的防盗和防毁。。设备的安全可用

41、2011年11月第26题：物理安全是整个信息系统安全的前提，以下安全防护

措施中不属于物理安全范畴的是（）。［单选题］*

A.安装烟感、温感报警系统，禁止工作人员在主机房内吸烟或者使用火源

B.要求工作人员在主机房内工作时必须穿着防静电工装和防静电鞋，并定期喷涂防

静电剂

C.为工作人员建立生物特征信息库，并在主机房入口安装指纹识别系统，禁止未经

授权人员进入主机房

D.对因被解雇、退休、辞职或其他原因离开信息系统岗位的人员，收回所有相关证

件、徽章、密匙和访问控制标记等（KY?

答案解析：选项D属于"人员安全管理〃，不属于物理安全。

42、2012年5月第26题：系统运行安全和保护的层次按照粒度从粗到细排序为

（）o［单选题］求

A.系统级安全，资源访问安全，数据域安全，功能性安全

B.系统级安全，资源访问安全，功能性安全，数据域安全（

C.资源访问安全，系统级安全，数据域安全，功能性安全

D.资源访问安全，系统级安全，功能性安全，数据域安全

答案解析：应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安

全、功能性安全和数据域安全。这4个层次的安全，按粒度从粗到细的排序是:系

统级安全、资源访问安全、功能性安全、数据域安全。

43、2012年5月第27题：以下不属于主动式攻击策略的是（）。［单选题］*

A.中断

B.篡改

C.伪造

D.窃听（正确答.

答案解析：主动攻击是更改信息和拒绝用户使用资源的攻击。它包括中断、伪

造、篡改，即攻击信息来源的真实性、信息传输的完整性和系统服务的可用性。被

动攻击是指信息的截获，对信息的保密性进行攻击，即通过窃听网络上传输的信息

并对其进行业务流分析，从而获得有价值的情报，但它并不修改信息的内容。它的

目标是获得正在传送的信息，其特点是偷听或监视信息的传递。

44、2012年11月第25题：在信息系统安全管理中，业务流控制，路由选择控制

和审计跟踪等技术主要用于提高信息系统的（）。［单选题］*

A.保密性

B.可用性性确答案）

C.完整性

D.不可抵赖性

答案解析：信息系统安全属性可用性是应用系统信息可被授权实体访问并按需求

使用的特性。即信息服务在需要时，允许授权用户或实体使用的特性，或者是网络

部分曼损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是应用

系统面向用户的安全性能。应用系统最基本的功能是向用户提供服务，而用户的需

求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整

个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制

（对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非

法访问。包括自主访问控制和强制访问控制）、业务流控制（利用均分负荷方法，防

止业务流量过度集中而引起网络阻塞）、路由选择控制（选择那些稳定可靠的子网、

中继线或链路等）、审计跟踪（把应用系统中发生的所有安全事件情况存储在安全审

计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信息主

要包括事件类型、被管信息等级、事件时间、事件信息、事件回答以及事件统计等

方面的信息）。

45、2010年11月第33题：应用系统运行中涉及的安全和保密层次包括系统级安

全、资源访问安全、功能性安全和数据域安全。以下关于这四个层次安全的，错误

的是（）。【疑问题】［单选题］*

A.按粒度从粗到细排序为系统级安全、资源访问安全、功能性安全、数据域安全

B.系统级安全是应用系统的第一道防线

C.所有的应用系统都会涉及资源访问安全问题（

D.数据域安全可以细分为记录级数据域安全和字段级数据域安全

答案解析：应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安

全、功能性安全和数据域安全。这4个层次的安全，按粒度从粗到细的排序是:系

统级安全、资源访问安全、功能性安全、数据域安全。程序资源访问控制安全的粒

度大小界于系统级安全和功能性安全两者之间，是最常见的应用系统安全问题，几

乎所有的应用系统都会涉及这个安全问题。A是正确的。其次答案C看起来也是对

的，难道是考〃几乎所有〃和〃所有〃的语义差别？本题做为疑问题。供大家了解。

46、2010年5月第27题：基于用户名和口令的用户入网访问控制可分为（）三

个步骤。［单选题］*

A.用户名的识别与验证、用户U令的识别与验证、用户账号的默认限制检查（正确

答案）

B.用户名的识别与验证、用户口令的识别与验证、用户权限的识别与控制

C.用户身份识别与验证、用户口令的识别与验证、用户权限的识别与控制

D.用户账号的默认限制检查、用户口令的识别与验证、用户权限的识别与控制

答案解析：用户的入网方问控制可分为三个步骤:用户名的识别与验证、用户口令

的识别与验证、用户帐号的默认限制检查。用户对网络资源的访问权限可以用一个

访问控制表来描述，网络系统管理员应当为用户指定适当的访问权限，这些访问权

限控制着用户对服务器等网络资源的访问。

4