《信息安全标准与法律法规》参考题

《信息安全标准与法律法规》参考题

一、填空题（每空1分，共10分）

1.我国的立法组织有国务院、全国和各地区人大

2.美国的立法、行政、司法分别由国会、总统、法院掌管。

3.我国司法组织中的两大系统：人民法院、人民检察院。

4.信息安全工作的风险主要来自信息系统中存在的脆弱点。

5.《中华人民XX国计算机信息系统安全保护条例》中明确了我国计算机信息系统安全保护

工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息

系统的安全。

6.公安机关在信息安全等级保护工作中的职责是监督、检查、指导。

7.互联网信息服务分为经营性互联网信息服务和非经营性互联网信息服务两类。

8.信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件。

9.安全专用产品在进入市场销售之前必须申领《计算机信息系统安全专用产品销售许可证》。

10.我国的标准分为：国家标准、行业标准、地方标准、企业标准四个级别。

11.计算机信息系统保护应采取的各项通用技术要求包括安全功能技术要求和安全保证技术

要求两个方面。

二、选择题(每题1分，共30分)

1．有一信息系统其适用X围为涉与国家安全、社会秩序和公共利益，其损害会对国家安全、

社会秩序和公共利益造成损害，则该信息系统的安全等级为：C

A第一级B第二级C第三级D第四级E第五级

2.以下不属于信息安全的基本属性的是E

A完整性B可用性C可控性DXX性E安全性

3.以下哪项不属于信息安全的三大支柱：BE

A信息安全技术B黑客诱骗技术C信息安全法律法规

D信息安全标准E信息安全管理制度

4．以下哪个是我国的最高立法组织：A

A全国人大与其常委会B国务院C区人大D人民法院

5.美国最高立法机关是：C

A参议院B众议院C美国国会D法院

6.我国的执法组织包括：

A人民法院B人民检察院C公安部D安全部E工商行政管理局F税务局

7.我国在信息系统安全保护方面最早制定的一部法规，也是最基本的一部法规是：A

A《中华人民XX国计算机信息系统安全保护条例》

B《计算机信息网络国际联网安全保护管理办法》

C《信息安全等级保护管理办法》

D《计算机信息系统安全保护等级划分准则》

8.以下哪个选项属于《中华人民XX国计算机信息系统安全保护条例》适用的X围：CD

A未联网的微型计算机

B军队的计算机

C中华人民XX国境内的计算机

D任何组织和个人

9.在信息系统安全保护的五个等级中，下面那些级别的适用X围为一般的信息系统。AB

A第一级B第二级C第三级D第四级E第五级

10.在信息系统安全保护的五个等级中，下面那些级别的适用X围为涉与国家安全、社会秩

序和公共利益。CD

A第一级B第二级C第三级D第四级E第五级

11.以下哪些网络属于经营性互联网络：AB

A中国公用计算机互联网

B中国金桥信息网

C中国教育和科研计算机网

D中国科学技术网

12.以下哪些网络属于为公益性互联网络：CD

A中国公用计算机互联网

B中国金桥信息网

C中国教育和科研计算机网

D中国科学技术网

13.以下哪些网络不能经营国际互联网络业务：ABC

A专业计算机信息网络

B企业计算机信息网络

C通过专线进行国际联网的计算机信息网络

D中华人们XX国境内的计算机互联网络

14.以下哪些不属于互联网上网服务营业场所：AB

A用于学校图书馆资料查询的计算机场所B联通营业厅里缴费的计算机场所C学校外面的网

吧D茶餐厅里的电脑休闲室

15.直辖市、省会城市和计划单列市的每一互联网上网服务营业场所的计算机设备台数不得

少于多少台。D

A50B30C40D60

16.直辖市、省会城市和计划单列市的每一互联网上网服务营业场所的计算机每台占地面积

不得少于多少平方米。C

A1平方米B1.5平方米C2平方米D2.5平方米

17.《互联网上网服务营业场所管理条例》中规定：中小学校园周围多少米X围内不能设立

互联网上网服务营业场所？B

A100米B200米C150米D400米

18.互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册

资本、网络地址或者终止经营活动的，应当向下面那个部门办理变更登记或者注销登记？C

A文化行政部门B公安机关C工商行政管理部门D街道办

19.互联网上网服务营业场所经营单位和上网消费者不得利用互联网上网服务营业场所制

作、下载、复制、查阅、发布、传播或者以其他方式使用含有如下的那些内容：BCDE

A可兰经B煽动XX独立C发布他人裸照D公布对他人造成伤害的个人隐私E法律、法规

禁止的内容F宣传佛教

20.互联网上网服务营业场所每日营业时间限于：A

A8时至24时B全天24小时C9时至24时D10时至24时

21.互联网上网服务营业场所经营单位的以下哪种行为是违反《互联网上网服务营业场所管

理条例》的。ADE

A接纳10岁小学生进入营业场所的B在规定时间内营业C经营网络游戏D停止实施经营

管理技术措施E没有对上网消费者的身份进行核对

22.互联网电子服务提供者应当记录经其电子服务器发送或者接收的互联网电子的如下哪些

内容：AB

A发送或者接收时间

B发送者和接收者的互联网电子地址与IP地址

C发送者的个人详细信息

D接受者的家庭情况信息

23.发送包含商业广告内容的互联网电子时，要求在互联网电子标题信息前部注明什么字

样？CD

A“AE”B“DA”C“AD”D“广告”

24.传播计算机病毒的行为包括：ABC

A故意输入计算机病毒，危害计算机信息系统安全；

B向他人提供含有计算机病毒的文件、软件、媒体；

C销售、出租、附赠含有计算机病毒的媒体；

D进行计算机病毒的开发和研究

25.“熊猫烧香”病毒属于那种类型病毒：D

A木马病毒B幽灵病毒C非破坏性病毒D蠕虫病毒

26.以下哪些描述是正确的。ABDE

A重点单位是组织中的一部分

B一个组织中的重点单位可以是一个，也可以是多个

C一个组织中的要害部位只能有一个

D要害部位属于重点单位

E掌管信息系统的单位或部门就是重点单位

27.以下哪些单位属于重点单位：ABCE

A信息系统控制管理中心

B数据存储中心

C系统电源管理部门

D安全制度制定部门

E运行系统的主机

28.以下哪些描述是错误的：AC

A地方标准由国务院有关行政主管部门负责制定和审批，并报国务院标准化行政主管部门备

案

B国家标准由国务院标准化行政主管部门负责组织制定和审批

C企业标准由省级政府标准化行政主管部门负责制定和审批，并报国务院标准化行政主管部

门和国务院有关行政主管部门备案

D行业标准由国务院有关行政主管部门负责制定和审批，并报国务院标准化行政主管部门备

案

29.以下哪些标准属于强制性国家标准：AB

AGB17859-1999

BGB9361-88S

CGB/T4000-1996

DGB/T28001-2007

30.《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)属于：C

A中华人民XX国强制性国家标准

B中华人民XX国推荐性国家标准

C公共安全行业标准

D中华人民XX国国家标准化指导性技术文件

31.以下哪些选项不属于计算机信息系统安全保护能力划分的等级：F

A用户自主保护级B系统审计保护级B安全标记保护级C结构化保护级E访问验证保护级

F监督保护级

32.计算机信息系统保护应采取的各项通用技术要求中属于安全功能技术要求的是：AD

A物理安全BTCB自身安全保护CTCB设计与实现D信息安全

三、简答题（每题5分，共25分）

1、什么是有害数据？它与计算机病毒有何区别？

有害数据的定义：

是指计算机信息系统与其存储介质中存在、出现的，以计算机程序、图像、文字、

声音等多种形式表示的，含有攻击人民XX专政、社会主义制度、攻击党和国家领导

人，破坏民族团结等危害国家安全内容；

含有宣扬封建迷信、淫秽XX、凶杀、XX犯罪等危害社会治安秩序内容；

危害计算机信息系统运行和功能发挥，应用软件、数据可靠性、完整性和XX性，用

于XX活动的计算机程序。

计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机

使用，并能自我复制的一组计算机指令或者程序代码。

两者关系：计算机病毒属于有害数据，有害数据不一定是计算机病毒。

2、什么是信息安全？

保护信息系统的硬件、软件与相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改与

泄露，保证信息系统能够连续、可靠、正常地运行。

3、《中华人民XX国刑法》中关于计算机犯罪的规定有哪些条款？请简单陈述各条款内容。

刑法第285条:违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息

系统的，处三年以下有期徒刑或拘役。

刑法第286条:违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成

计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重

的，处五年以上有期徒刑。

刑法第287条:利用计算机实施金融、盗窃、贪污、挪用公款、窃取国家秘密或者其他

犯罪的，依照本法有关规定定罪处罚。

4、什么是计算机信息系统？

指由计算机与其相关的和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行

采集、加工、存储、传输、检索等处理的人机系统。

5、什么是TCB？

计算机信息系统可信计算基是计算机系统内保护装置的总体，包括硬件、固件、软件和负责

执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附

加用户服务。

6.什么是信息？

我们认为，所谓信息（Information），“就是客观世界中各种事物的变化和特征的最新反

映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。”

7.简述我国的立法程序

四大步骤：

法律方案提出；法律草案的审议；法律草案的表决和通过；法律的公布。

8.什么是计算机犯罪?

行为人利用计算机实施危害计算机信息系统安全和其他严重危害社会的犯罪行为。

9.风险管理的主要工作。

主动寻系统的脆弱点，识别出威胁，采取有效的主动防御；

当威胁出现或受到攻击后，对系统所遭受的损失与时进行评估，制定防X措施，避免风

险再次发生；

研究制定风险应对策略，从容应对各种可能发生的风险。

四、论述题20分

1、根据如下的系统简述，请应用信息系统安全保护等级定级指南的知识给系统确定等

级，表1至表4为参考表。(要求:详细写明步骤与各个类型赋值与定级的缘由)

系统简述：奥运网络主要包括6个奥运网络和信息系统：

1.奥组委办公外网：承载自动化办公、场馆管理、电子、物流等业务；

2.奥组委内部办公局域网：承载着财务管理、人事管理等业务；

3.奥运票务：负责提供票务申请、信息填写

4.票务管理系统：存储处理通过各种方式申请、购买奥运票务的个人数据；

5.奥运官方：门户和后台数据处理系统

6.竞赛网：承担赛事安排、计时、成绩统计等。

表1业务信息安全性等级矩阵表

信息系统所属类型

业务信息类型

1

1

2

3

表2业务服务保证性取值矩阵表

业务依赖程度

信息系统服务X围

1

1

2

3

表3调节因子赋值表

赋值描述调节因子k

1

2

3

2

2

3

4

3

3

4

4

1

2

3

2

2

3

4

3

2

3

4

信息系统无法提供服务或无法提供有效服务会造成国家安1.0k0.8

全利益损失

信息系统无法提供服务或无法提供有效服务会造成较大X0.8k0.5

围的公共利益损失

信息系统无法提供服务或无法提供有效服务会造成局部利0.5k0

益损失

表4调节后的业务服务保证性等级

2、

3、

假设你在某高校校园网络管理中心兼职，现领导要求你为学生宿舍上网的计算机用

户制定相应的行为规X，请结合所学信息安全管理制度制定该规X。10分

请陈述在《关于维护互联网安全的决定》中，如何界定XX犯罪行为，并分析以下案

例中曾智峰、杨医男是否构成犯罪，其依据为何？5分

案例：曾智峰于2004年5月31日受聘入职腾讯公司，后被安排到公司安全

中心负责系统监控工作。2005年3月初，曾智峰通过购买号在淘宝网上与杨

医男互相认识，二人合谋通过窃取他人号出售获利。2005年3月至7月间，

由杨医男将随机选定的他人的号（主要为5、6位数的）通过互联网发给曾智

峰。曾智峰本人并无查询用户密码保护资料的权限，便私下破解了腾讯公司

离职员工柳某使用过但尚未注销的“ioioliu”XX的密码（该XX拥有查看用

户原始注册信息，包括证件、等信息的权限）。曾智峰利用该XX进入本公司的

计算机后台系统，根据杨医男提供的号查询该的密码保护资料，即证件和，

然后将查询到的资料发回给杨医男，由杨医男将号密码保护问题答案破解，

并将号的原密码更改后将号出售给他人，造成用户无法使用原注册的

号。经查，二人共计修改密码并卖出号约130个，获利61650元，其中，曾

智峰分得39100元，杨医男分得22550元。

基于以下四点进行界定：

1.为了保障互联网运行安全

2.为了维护国家安全和社会稳定

3.为了维护社会主义市场经济秩序和社会管理秩序

4.为了保护个人、法人和其他组织的人生财产等合法权利

根据界定第四点判断其二人已经构成犯罪。