全国信息网络安全专业技术人员继续教育培训教材

全国信息网络安全专业技术人员继续教育培训教材

信息安全管理教程习题及答案

一、判断题

1．根据ISO 13335标准，信息是通过在数据上施加某些约定而赋予这

些数据的特殊含义。(√)

( 课本1)

2．信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和

响应、事后恢复起到了统一指导作用。(×)

( 课本4 )

(注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection

和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的

保障体系，在这里安全策略只是指导作用，而非核心。 )

3．只要投资充足，技术措施完备，就能够保证百分之百的信息安全。

(×)

4．我国在2006年提出的《2006～2020年国家信息化发展战略》将“建

设国家信息安全保障体系”作为9大战略发展方向之一。(√)

( 课

本8)

5．2003年7月国家信息化领导小组第三次会议发布的27号文件，是

指导我国信息安全保障工作和加快推进信息化的纲领性文献。(√)

(注释：2003年7月22日，国家信息化领导小组第三次会议在北京召开。中共中央政治局常

委、国务院总理、国家信息化领导小组组长主持会议并作重要讲话。2003年9月中央

办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中

办发［2003]27号)中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社

会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的

管理办法和技术指南。” )

6．在我国，严重的网络犯罪行为也不需要接受刑法的相关处罚。

(×)

( 课本18 )

7．安全管理的合规性，主要是指在有章可循的基础之上，确保信息安

全工作符合国家法律、法规、行业标准、机构内部的方针和规定。

(√)

( 课本32 )

8．windows2000／XP系统提供了口令安全策略，以对帐户口令安全进

行保护。(√)

9．信息安全等同于网络安全。(×)

(注释：ISO国际标准化组织对于信息安全给出了精确的定义，这个定义的描述是：信息安全

是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因

偶然和恶意的原因遭到破坏、更改和泄露)

10．GB 17859与目前等级保护所规定的安全等级的含义不同，GB 17859

中等级划分为现在的等级保护奠定了基础。(√)

( 课本76)

(注:1999年，公安部正式发布信息系统安全等级保护的国家标准GB17859—1999，将计算机

信息系统的安全级别明确划分为五级,这五级由高至低依次为：访问验证保护级、结构化保护

级、安全标记保护级、系统审计保护级、用户自主保护级。

根据《信息系统安全等级保护实施指南》的规定，信息系统可分为五个安全等级，分别是：

第1级自主保护级 ；第2级指导保护级 ；第3级监督保护级 ；第4级强制保护级 ；第5

级专控保护级。国家对不同级别的信息和信息系统实行不同强度的监管政策。)

11．口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户

信息，进而非法获得系统和资源访问权限。(√)

12．PKI系统所有的安全操作都是通过数字证书来实现的。(√)

(注：PKI技术(Public Key Infrastructure z公钥基础设施，课本73)

13．PKI系统使用了非对称算法、对称算法和散列算法。(√)

( 课本73)

14．一个完整的信息安全保障体系，应当包括安全策略(Policy)、保

护(Protection)、检测(Detection)、响应(Reaction)、恢复

(Restoration)五个主要环节。(√) (PPDRR模型)

( 课本5)

15．信息安全的层次化特点决定了应用系统的安全不仅取决于应用层

安全机制，同样依赖于底层的物理、网络和系统等层面的安全状况。

(√)

( 课本29)

16．实现信息安全的途径要借助两方面的控制措施、技术措施和管理

措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，

或者重管理轻技术，都是不科学，并且有局限性的错误观点。(√)

17．按照BS 7799标准，信息安全管理应当是一个持续改进的周期性

过程。(√)

18．虽然在安全评估过程中采取定量评估能获得准确的分析结果，但

是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性

和定量评估相结合的方法。(√)

19．一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅

速向当地公安机关报案，并配合公安机关的取证和调查。(×)

(注：

应在24小时内报案 )

20．定性安全风险评估结果中，级别较高的安全风险应当优先采取控

制措施予以应对。(√)

21．网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，

应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。

(√)

22．网络边界保护中主要采用防火墙系统，在内网和外网之间存在不

经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作

用。 (×)

23．防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺

乏保护能力。(√)

(注：防火墙是设置在不同网络或网络安全域之间的一道屏障。它可以通过检测、限制更改跨

越防火墙的数据流，尽可能地对外部屏蔽网络内部的消息、结构和运行情况，以此来实现网

络的安全保护。 防火墙不能阻止病毒，但能有效的防止网络攻击。 )

24．我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。

(×)

(注： 刑法有关计算机犯罪的规定，总体上可以分为两大类： 一类是纯粹的计算机犯罪，即

刑法第285条、第286条单列的两种计算机犯罪独立罪名；另一类不是纯粹的计算机犯罪，

而是隐含于其他犯罪罪名中的计算机犯罪形式。例如，刑法第287条规定：“利用计算机实

施金融、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定

罪处罚。”之所以要区分这两种类别，是因为第二类犯罪与传统犯罪之间并无本质区别，只

是在犯罪工具使用上有所不同而已，因此不需要为其单列罪名，而第一类犯罪不仅在具体手

段和侵犯客体方面与传统犯罪存在差别，而且有其特殊性，传统犯罪各罪名已无法包括这些

犯罪形式，因此为其单列罪名。)

25．信息技术基础设施库(ITIL)，是由英国发布的关于IT服务管理最

佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。(√)

( 注:ITIL是 Information Technology Infrastructure Library 的简称，是由英国政府中

央计算机与电信管理中心制订的，由英国商务部于1980年发布，已成为IT服务管理领域的

标准，也是地地道道的西方产物，所以在中国遇到的最大推广瓶颈就是中西方的文化差异。)

26．美国国家标准技术协会IST发布的《SP 800-30》中详细阐述了

IT系统风险管理内容。(√)

( 注:SP 800-30是《信息技术系统风险管理的指南》本指南为制定有效的风险管理项目提供

了基础信息，包括评估和消减IT系统风险所需的定义和实务指导)

27．防火墙在静态包过滤技术的基础上，通过会话状态检测技术将数

据包的过滤处理效率大幅提高。(√)

28．通常在风险评估的实践中，综合利用基线评估和详细评估的优点，

将二者结合起来。(√)

( 课本96)

29．脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测

远程或本地系统安全脆弱性的一种安全技术。(√)

( 课本68)

二、单选题

1.下列关于信息的说法 ____是错误的。

A 信息是人类社会发展的重要支柱 B 信息本身是无形的

C 信息具有价值，需要保护 D 信息可以以独立形态存在

2.信息安全经历了三个发展阶段，以下____不属于这三个发展阶段。

A 通信保密阶段 B 加密机阶段 C 信息安全阶段 D 安全保

障阶段

3.信息安全在通信保密阶段对信息安全的关注局限在____安全属性。

A 不可否认性 B 可用性 C 保密性 D 完整性

4.信息安全在通信保密阶段中主要应用于____领域。

A 军事 B 商业 C 科研 D 教育

5.信息安全阶段将研究领域扩展到三个基本属性，下列____不属于这

三个基本属性。

A 保密性 B 完整性 C 不可否认性 D 可用性

6.安全保障阶段中将信息安全体系归结为四个主要环节，下列____是

正确的。

A 策略、保护、响应、恢复 B 加密、认证、保护、检测

C 策略、网络攻防、密码学、备份 D 保护、检测、响应、恢复

7.下面所列的____安全机制不属于信息安全保障体系中的事先保护环

节。

A 杀毒软件 B 数字证书认证 C 防火墙 D 数据库

加密

8.根据ISO的信息安全定义，下列选项中____是信息安全三个基本属

性之一。

A 真实性 B 可用性 C 可审计性 D 可靠性

9.为了数据传输时不发生数据截获和信息泄密，采取了加密机制。这

种做法体现了信息安全的____属性。

A 保密性 B 完整性 C 可靠性 D 可用性

10.定期对系统和数据进行备份，在发生灾难时进行恢复。该机制是为

了满足信息安全的____属性。

A 真实性 B 完整性 C 不可否认性 D 可用性

11.数据在存储过程中发生了非法访问行为，这破坏了信息安全的____

属性。

A 保密性 B 完整性 C 不可否认性 D 可用性

12.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改

的行为，这破坏了信息安全的____属性。

A 保密性 B 完整性 C 不可否认性 D 可用性

13.PDR安全模型属于____类型。

A 时间模型 B 作用模型 C 结构模型 D 关系模

型

14.《信息安全国家学说》是____的信息安全基本纲领性文件。

A 法国 B 美国 C 俄罗斯 D 英国

15.下列的____犯罪行为不属于我国刑法规定的与计算机有关的犯罪

行为。

A 窃取国家秘密 B 非法侵入计算机信息系统 C 破坏计

算机信息系统 D 利用计算机实施金融

16.我国刑法____规定了非法侵入计算机信息系统罪。

A 第284条 B 第285条 C 第286条 D 第287条

(第285条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统

的，处三年以下有期徒刑或者拘役。)

17.信息安全领域内最关键和最薄弱的环节是____。

A 技术 B 策略 C 管理制度 D 人

18.信息安全管理领域权威的标准是____。

A ISO 15408 B ISO 17799／IS0 27001 C IS0

9001 D ISO

14001

19.S0 17799／IS0 27001最初是由____提出的国家标准。

A 美国 B 澳大利亚 C 英国 D 中国

20.IS0 17799的内容结构按照____进行组织。

A 管理原则 B 管理框架 C 管理域一控制目标一控制

措施 D 管理制度

21.____对于信息安全管理负有责任。

A 高级管理层 B 安全管理员 C IT管理员 D 所有

与信息系统有关人员

22.对于提高人员安全意识和安全操作技能来说，以下所列的安全管理

最有效的是____。

A安全检查 B教育与培训 C责任追究 D制度约束

23.《计算机信息系统安全保护条例》是由中华人民共和国____第147

号发布的。

A 国务院令 B 全国人民代表大会令 C 公安部令 D 国家安全

部令

(注：147号国务院令 总理1994年2月18日 签发)

24.《互联网上网服务营业场所管理条例》规定，____负责互联网上网

服务营业场所安全审核和对违反网络安全管理规定行为的查处。

A 人民法院 B 公安机关 C 工商行政管理部

门 D 门

25.计算机病毒最本质的特性是____。

A 寄生性 B 潜伏性 C 破坏性 D 攻击性

26.____安全策略是得到大部分需求的支持并同时能够保护企业的利

益。

A 有效的 B 合法的 C 实际的 D 成熟

的

27.在PDR安全模型中最核心的组件是____。

A 策略 B 保护措施 C 检测措施 D 响应措施

28.制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的

设施，在发生灾难后，这些设施的____。

A 恢复预算是多少 B 恢复时间是多长 C 恢复人员有几

个 D 恢复设备有多少

29.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产

生的成果文档被称为___.

A 可接受使用策略AUP B 安全方针 C 适用性声明 D 操

作规范

30.对保护数据来说，功能完善、使用灵活的---必不可少。

A．系统软件 B．备份软件 C．数据库软件 D．网络软件

31.防止静态信息被非授权访问和防止动态信息被截取解密是____。

A 数据完整性 B 数据可用性 C 数据可靠性 D 数

据保密性

32.用户身份鉴别是通过____完成的。

A 口令验证 B 审计策略 C 存取控制 D 查询功

能

33.故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全

的个人，由公安机关处以。

A 3年以下有期徒刑或拘役 B 警告或者处以5000元

以下的

C 5年以上7年以下有期徒刑 D 警告或者15000元以下

的

34.网络数据备份的实现主要需要考虑的问题不包括____。

A 架设高速局域网 B 分析应用环境 C 选择备份硬件设

备 D 选择备份管理软件

35.《计算机信息系统安全保护条例》规定，对计算机信息系统中发生

的案件，有关使用单位应当在____向当地县级以上人民政府公安机关

报告。

A 8小时内 B 12小时内 C 24小时内 D 48小时

内

36.公安部网络违法案件举报网站的网址是____。

A B

C D

37.对于违反信息安全法律、法规行为的行政处罚中，____是较轻的处

罚方式。

A 警告 B C 没收违法所得 D 吊销许可

证

38.对于违法行为的处罚，属于行政处罚中的____。

A 人身自由罚 B 声誉罚 C 财产罚 D 资格

罚

39.对于违法行为的通报批评处罚，属于行政处罚中的____。

A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚

40.1994年2月国务院发布的《计算机信息系统安全保护条例》赋予

____对计算机信息系统的安全保护工作行使监督管理职权。

A 信息产业部 B 全国人大 C 公安机关 D 国家工

商总局

41.《计算机信息网络国际联网安全保护管理办法》规定，互联单位、

接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨

省、自治区、直辖市联网的单位和所属的分支机构)，应当自网络正式

联通之日起____日内，到所在地的省、自治区、直辖市人民政府公安

机关指定的受理机关办理备案手续。

A 7 B 10 C 15 D 30

42.互联网服务提供者和联网使用单位落实的记录留存技术措施，应当

具有至少保存____天记录备份的功能。

A 10 天 B 30天 C 60天 D 90天

43.对网络层数据包进行过滤和控制的信息安全技术机制是____。

A 防火墙 B IDS C Sniffer D IPSec

44.下列不属于防火墙核心技术的是____。

A (静态／动态)包过滤技术 B AT技术

（etwor Address

Translation，可译为网络地址转换或网络地址翻译）

C 应用代理技术 D 日志审计

45.应用代理防火墙的主要优点是____。

A 加密强度更高 B 安全控制更细化、更灵活

C 安全服务的透明性更好 D 服务对象更广泛

46.安全管理中经常会采用“权限分离”的办法，防止单个人员权限过

高，出现内部人员的违法犯罪行为，“权限分离”属于____控制措施。

A 管理 B 检测 C 响应 D 运行

47.安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现

特定的岗位人员是否存在违规操作行为，属于____控制措施。

A 管理 B 检测 C 响应 D 运行

48.下列选项中不属于人员安全管理措施的是____。

A 行为监控 B 安全培训 C 人员离岗 D 背景／技

能审查

49.计算机病毒防治管理办法》规定，____主管全国的计算机病毒防治

管理工作。

A 信息产业部 B 国家病毒防范管理中

心

C 公安部公共信息网络安全监察 D 国务院信息化建设领导

小组

50.计算机病毒的实时监控属于____类的技术措施。

A 保护 B 检测 C 响应 D 恢复

51.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____。

A 防火墙隔离 B 安装安全补丁程序

C 专用病毒查杀工具 D 部署网络入侵检测系统

52.下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措

施是____。

A 防火墙隔离 B 安装安全补丁程序 C 专用病毒查杀工

具 D 部署网络入侵检测系统

53.下列不属于网络蠕虫病毒的是____。

A 冲击波 B SQLSLAMMER C CIH D 振荡波

54.传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越

多的网络蠕虫病毒将攻击范围扩大到了____等重要网络资源。

A 网络带宽 B 数据包 C 防火墙 D LIUX

55.不是计算机病毒所具有的特点____。

A 传染性 B 破坏性 C 潜伏性 D 可预见性

56.关于灾难恢复计划错误的说法是____。

A 应考虑各种意外情况 B 制定详细的应对处理办法

C 建立框架性指导原则，不必关注于细节 D 正式发布前，

要进行讨论和评审

57.对于远程访问型VP来说，____产品经常与防火墙及AT机制存在

兼容性问题，导致安全隧道建立失败。

A IPSec VP B SSL VP C MPLS VP D L2TP

VP

58.1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859

—1999，提出将信息系统的安全等级划分为____个等级，并提出每个

级别的安全功能要求。

（计算机信息系统安全保护等级划分准则）

A 7 B 8 C 6 D 5

59.等级保护标准GB l7859主要是参考了____而提出。

A 欧洲ITSEC B 美国TCSEC C CC D BS 7799

60.我国在1999年发布的国家标准____为信息安全等级保护奠定了基

础。

A GB 17799 B GB 15408 C GB 17859 D GB

14430

61.信息安全等级保护的5个级别中，____是最高级别，属于关系到国

计民生的最关键信息系统的保护。

A 强制保护级 B 专控保护级 C 监督保护级 D 指导

保护级 E 自主保护级

62.《信息系统安全等级保护实施指南》将____作为实施等级保护的第

一项重要内容。

A 安全定级 B 安全评估 C 安全规划 D 安全实

施

63.____是进行等级确定和等级保护管理的最终对象。

A 业务系统 B 功能模块 C 信息系统 D 网络系

统

64.当信息系统中包含多个业务子系统时，对每个业务子系统进行安全

等级确定，最终信息系统的安全等级应当由____所确定。

A 业务子系统的安全等级平均值 B 业务子系统的最高安全等

级

C 业务子系统的最低安全等级 D 以上说法都错误

65.下列关于风险的说法，____是错误的。

A 风险是客观存在的 B 导致风险的外因是普遍存在的安全威

胁

C 导致风险的外因是普遍存在的安全脆弱性 D 风险是指一种

可能性

66.下列关于风险的说法，____是正确的。

A 可以采取适当措施，完全清除风险 B 任何措施都无法完全清

除风险

C 风险是对安全事件的确定描述 D 风险是固有的，无法被控

制

67.风险管理的首要任务是____。

A 风险识别和评估 B 风险转嫁 C 风险控制 D 接

受风险

68.关于资产价值的评估，____说法是正确的。

A 资产的价值指采购费用 B 资产的价值无法估计

C 资产价值的定量评估要比定性评估简单容易 D 资产的价值与

其重要性密切相关

69.采取适当的安全控制措施，可以对风险起到____作用。

A 促进 B 增加 C 减缓 D 清除

70.当采取了安全控制措施后，剩余风险____可接受风险的时候，说明

风险管理是有效的。

A 等于 B 大于 C 小于 D 不等于

71.安全威胁是产生安全事件的____。

A 内因 B 外因 C 根本原因 D 不相关因素

72.安全脆弱性是产生安全事件的____。

A 内因 B 外因 C 根本原因 D 不相关因素

73.下列关于用户口令说法错误的是____。

A 口令不能设置为空 B 口令长度越长，安全性越高

C 复杂口令安全性足够高，不需要定期修改 D 口令认证是最常

见的认证机制

74.在使用复杂度不高的口令时，容易产生弱口令的安全脆弱性，被攻

击者利用，从而破解用户帐户，下列____具有最好的口令复杂度。

A morrison B Wm.$*F2m5@ C 27776394 D wangjin

gl977

75.按照通常的口令使用策略，口令修改操作的周期应为____天。

A 60 B 90 C 30 D 120

76.对口令进行安全性管理和使用，最终是为了____。

A 口令不被攻击者非法获得 B 防止攻击者非法获得访问和操

作权限

C 保证用户帐户的安全性 D 规范用户操作行为

77.人们设计了____，以改善口令认证自身安全性不足的问题。

A 统一身份管理 B 指纹认证 C 数字证书认证 D动态

口令认证机制

78.PKI是____。

A Private Key lnfrastructure B Public Key lnstitute

C Public Key lnfrastructure D Private Key lnstitute

（Public Key Infrastructure 是利用公钥理论和技术建立的提供安全服务的基础设

施）

79.公钥密码基础设施PKI解决了信息系统中的____问题。

A 身份信任 B 权限管理 C 安全审计 D 加密

80.PKI所管理的基本元素是____。

A 密钥 B 用户身份 C 数字证书 D 数字签名

81.最终提交给普通终端用户，并且要求其签署和遵守的安全策略是

____。

A 口令策略 B 保密协议 C 可接受使用策略 D 责任

追究制度

82.下列关于信息安全策略维护的说法，____是错误的。

A 安全策略的维护应当由专门的部门完成

B 安全策略制定完成并发布之后，不需要再对其进行修改

C 应当定期对安全策略进行审查和修订

D 维护工作应当周期性进行

83.链路加密技术是在OSI协议层次的第二层，数据链路层对数据进行

加密保护，其处理的对象是____。

（OSI是一个开放性的通行系统互连参考模型，

OSI模型有7层结构，从上到下分别是 7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2

数据链路层 1 物理层 ）

A 比特流 B IP数据包 C 数据帧 D 应用数据

84.防火墙最主要被部署在____位置。

A 网络边界 B 骨干线路 C 重要服务器 D 桌

面终端

85.下列关于防火墙的错误说法是____。

A 防火墙工作在网络层 B 对IP数据包进行分析和过滤

C 重要的边界保护机制 D 部署防火墙，就解决了网络安全问

题

86.IPSec协议工作在____层次。

A 数据链路层 B 网络层 C 应用层 D 传输层

（注：

IPSec是ITERET工程任务组(IETF)为IP安全推荐的一个协议。通过相应的隧道技术，可

实现VP IPSec有两种模式：隧道模式和传输模式）

87.IPSec协议中涉及到密钥管理的重要协议是____。

A IKE B AH C ESP D SSL

88.信息安全管理中，____负责保证安全管理策略与制度符合更高层法

律、法规的要求，不发生矛盾和冲突。

A 组织管理 B 合规性管理 C 人员管理 D 制度管

理

89.下列____机制不属于应用层安全。

A 数字签名 B 应用代理 C 主机入侵检测 D 应用

审计

90.保证用户和进程完成自己的工作而又没有从事其他操作可能，这样

能够使失误出错或蓄意袭击造成的危害降低，这通常被称为____。

A 适度安全原则 B 授权最小化原则 C 分权原

则 D 木桶原则

91.入侵检测技术可以分为误用检测和____两大类。

A 病毒检测 B 详细检测 C 异常检测 D 漏洞检

测

92.安全审计是一种很常见的安全控制措施，它在信息安全保障体系

中，属于____措施。

A 保护 B 检测 C 响应 D 恢复

93.____不属于必需的灾前预防性措施。

A 防火设施 B 数据备份

C 配置冗余设备 D 不间断电源，至少应给服务器等关键设备配

备

94.对于人员管理的描述错误的是____。

A 人员管理是安全管理的重要环节 B 安全授权不是人员管理

的手段

C 安全教育是人员管理的有力手段 D 人员管理时，安全审查是

必须的

95.根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的

计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网

络相连接，必须实行____。

A 逻辑隔离 B 物理隔离 C 安装防火墙 D VLA划

分

96.安全评估技术采用____这一工具，它是一种能够自动检测远程或本

地主机和网络安全性弱点的程序。

A 安全扫描器 B 安全扫描仪 C 自动扫描器 D 自

动扫描仪

97.____最好地描述了数字证书。

A 等同于在网络上证明个人和公司身份的身份证

B 浏览器的一标准特性，它使得黑客不能得知用户的身份

C 网站要求用户使用用户名和密码登陆的安全机制

D 伴随在线交易证明购买的收据

98.根据BS 7799的规定，建立的信息安全管理体系ISMS的最重要特

征是____。

A 全面性 B 文档化 C 先进性 D 制度化

99.根据BS 7799的规定，对信息系统的安全管理不能只局限于对其运

行期间的管理维护，而要将管理措施扩展到信息系统生命周期的其他

阶段，BS7799中与此有关的一个重要方面就是____。

A 访问控制 B 业务连续性

C 信息系统获取、开发与维护 D 组织与人员

100.如果一个信息系统，其业务信息安全性或业务服务保证性受到破

坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全；

本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息

安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的

____。

A 强制保护级 B 监督保护级 C 指导保护级 D 自

主保护级

101.如果一个信息系统，其业务信息安全性或业务服务保证性受到破

坏后，会对公民法人和其他组织的合法权益产生损害，但不损害国家

安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准

进行自主保护。那么其在等级保护中属于____。

A 强制保护级 B 监督保护级 C 指导保护级 D 自

主保护级

102.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共

利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏

后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依

照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对

其进行监督、检查。这应当属于等级保护的____。

B 监督保护级 C 指导保护级 D 自主保护级 A 强

制保护级

103.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共

利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏

后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依

照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对

其进行强制监督、检查。这应当属于等级保护的____。

A 强制保护级 B 监督保护级 C 指导保护级 D 自

主保护级

104.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共

利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保

证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重

损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指

定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的

____。

A 专控保护级 B 监督保护级 C 指导保护级 D 自

主保护级

105.GB l7859借鉴了TCSEC标准，这个TCSEC是____国家标准。

A 英国 B 意大利 C 美国 D 俄罗斯

106.关于口令认证机制，下列说法正确的是____。

A 实现代价最低，安全性最高 B 实现代价最低，安全性最

低

C 实现代价最高，安全性最高 D 实现代价最高，安全性最

低

107.根据BS 7799的规定，访问控制机制在信息安全保障体系中属于

____环节。

A 保护 B 检测 C 响应 D 恢复

108.身份认证的含义是____。

A 注册一个用户 B 标识一个用户C 验证一个用户 D 授权一个

用户

109.口令机制通常用于____ 。

A 认证 B 标识 C 注册 D 授权

110.对日志数据进行审计检查，属于____类控制措施。

A 预防 B 检测 C 威慑 D 修正

111.《信息系统安全等级保护测评准则》将测评分为安全控制测评和

____测评两方面。

A 系统整体 B 人员 C 组织 D 网络

112.根据风险管理的看法，资产____价值，____脆弱性，被安全威胁

____，____风险。

A 存在 利用 导致 具有 B 具有 存在 利用 导致

C 导致 存在 具有 利用 D 利用 导致 存在 具有

113.根据定量风险评估的方法，下列表达式正确的是____。

A SLE=AV x EF B ALE=AV x EF C ALE=SLE x

EF D ALE=SLE x AV

114.防火墙能够____。

A 防范恶意的知情者 B 防范通过它的恶意连接

C 防备新的网络安全问题 D 完全防止传送已被病毒感染的软件和

文件

115.下列四项中不属于计算机病毒特征的是____。

A 潜伏性 B 传染性 C 免疫性 D 破坏性

116.关于入侵检测技术，下列描述错误的是____。

A 入侵检测系统不对系统或网络造成任何影响

B 审计数据或系统日志信息是入侵检测系统的一项主要信息来

源

C 入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的

入侵 D 基于网络的入侵检测系统无法检查加密的数据流

117.安全扫描可以____。

A 弥补由于认证机制薄弱带来的问题

B 弥补由于协议本身而产生的问题

C 弥补防火墙对内网安全威胁检测不足的问题

D 扫描检测所有的数据包攻击，分析所有的数据流

118.下述关于安全扫描和安全扫描系统的描述错误的是____。

A 安全扫描在企业部署安全策略中处于非常重要的地位

B 安全扫描系统可用于管理和维护信息安全设备的安全

C 安全扫描系统对防火墙在某些安全功能上的不足不具有弥补

性

D 安全扫描系统是把双刃剑

119.关于安全审计目的描述错误的是____。

A 识别和分析未经授权的动作或攻击

B 记录用户活动和系统管理 C 将动作归结到为其负责的实体

D 实现对安全事件的应急响应

120.安全审计跟踪是____。

A 安全审计系统检测并追踪安全事件的过程

B 安全审计系统收集易于安全审计的数据

C 人利用日志信息进行安全事件分析和追溯的过程

D 对计算机系统中的某种行为的详尽跟踪和观察

121.根据《计算机信息系统国际联网保密管理规定》的规定，凡向国

际联网的站点提供或发布信息，必须经过____。

A 内容过滤处理 B 单位领导同意 C 备案制

度 D 保密审查批准

122.根据《计算机信息系统国际联网保密管理规定》的规定，上网信

息的保密管理坚持____的原则。

A 国家公安部门负责 B 国家保密部门负责 C “谁上网谁

负责” D 用户自觉

123.根据《计算机信息系统国际联网保密管理规定》的规定，保密审

批实行部门管理，有关单位应当根据国家保密法规，建立健全上网信

息保密审批____。

A 领导责任制 B 专人负责制 C 民主集中制 D 职

能部门监管责任制

124.网络信息未经授权不能进行改变的特性是____。

A 完整性 B 可用性 C 可靠性 D 保密性

125.确保信息在存储、使用、传输过程中不会泄露给非授权的用户或

者实体的特性是____。

A 完整性 B 可用性 C 可靠性 D 保密性

126.确保授权用户或者实体对于信息及资源的正常使用不会被异常拒

绝，允许其可靠而且及时地访问信息及资源的特性是____。

A 完整性 B 可用性 C 可靠性 D 保密性

127.____国务院发布《计算机信息系统安全保护条例》。

A 1990年2月18日 B 1994年2月18日 C 2000年2月

18日 D 2004年2月18日

128.在目前的信息网络中，____病毒是最主要的病毒类型。

A 引导型 B 文件型 C 网络蠕虫 D 木马型

129.在ISO／IEC 17799中，防止恶意软件的目的就是为了保护软件和

信息的____。

A 安全性 B 完整性 C 稳定性 D 有效性

130.在生成系统帐号时，系统管理员应该分配给合法用户一个____，

用户在第一次登录时应更改口令。

A 唯一的口令 B 登录的位置 C 使用的说明 D 系

统的规则

131.关于防火墙和VP的使用，下面说法不正确的是____。

A 配置VP网关防火墙的一种方法是把它们并行放置，两者独立

B 配置VP网关防火墙的一种方法是把它们串行放置，防火墙在广域

网一侧，VP在局域网一侧

C 配置VP网关防火墙的一种方法是把它们串行放置，防火墙在局域

网一侧，VP在广域网一侧

D 配置VP网关防火墙的一种方法是把它们并行放置，两者要互相依

赖

132.环境安全策略应该____。

A 详细而具体 B 复杂而专业 C 深入而清晰 D 简

单而全面

133.《计算机信息系统安全保护条例》规定，计算机信息系统的安全

保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术

等重要领域的____的安全。

A 计算机 B 计算机软件系统

C 计算机信息系统 D 计算机操作人员

134.《计算机信息系统安全保护条例》规定，国家对计算机信息系统

安全专用产品的销售实行____。

A 许可证制度 B 3C认证 C IS09000认证 D 专卖

制度

135.《互联网上网服务营业场所管理条例》规定，互联网上网服务营

业场所经营单位____。

A 可以接纳未成年人进入营业场所

B 可以在成年人陪同下，接纳未成年人进入营业场所

C 不得接纳未成年人进入营业场所

D 可以在白天接纳未成年人进入营业场所

136.____是一种架构在公用通信基础设施上的专用数据通信网络，利

用IPSec等网络层安全协议和建立在PKI的加密与签名技术来获得私

有性。

A SET B DD C VP D PKIX

137.《计算机信息系统安全保护条例》规定，运输、携带、邮寄计算

机信息媒体进出境的，应当如实向____。

A 国家安全机关申报 B 海关申报 C 国家质量检验监督局

申报 D 公安机关申报

138.《计算机信息系统安全保护条例》规定，故意输入计算机病毒以

及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算

机信息系统安全专用产品的，由公安机关处以警告或者对个人处以

____的、对单位处以____的。

A 5000元以下 15000元以下 B 5000元 15000元

C 2000元以下 10000元以下 D 2000元 10000元

139.计算机犯罪，是指行为人通过____所实施的危害____安全以及其

他严重危害社会的并应当处以刑罚的行为。

A 计算机操作 计算机信息系统 B 数据库操作计算机信息系统

C 计算机操作 应用信息系统 D 数据库操作管理信息系

统

140.策略应该清晰，无须借助过多的特殊一通用需求文档描述，并且

还要有具体的____。

A 管理支持 C 实施计划 D 补充内容 B 技术细

节

141.系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，

还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等

信息，以便迅速____。

A 恢复整个系统 B 恢复所有数据 C 恢复全部程

序 D 恢复网络设置

142.在一个企业网中，防火墙应该是____的一部分，构建防火墙时首

先要考虑其保护的范围。

A 安全技术 B 安全设置 C 局部安全策略 D 全局

安全策略

143.信息安全策略的制定和维护中，最重要是要保证其____和相对稳

定性。

A 明确性 B 细致性 C 标准性 D 开放性

144.____是企业信息安全的核心。

A 安全教育 B 安全措施 C 安全管理 D 安全设

施

145.编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，

影响计算机使用，并能自我复制的一组计算机指令或者程序代码是

____。

A 计算机病毒 B 计算机系统 C 计算机游戏 D 计

算机程序

146.许多与PKI相关的协议标准(如PKIX、S／MIME、SSL、TLS、IPSec)

等都是在____基础上发展起来的。

A X.500 B X.509 C X.519 D X.505

147.____是PKI体系中最基本的元素，PKI系统所有的安全操作都是

通过该机制采实现的。

A SSL B IARA C RA D 数字证书

148.基于密码技术的访问控制是防止____的主要防护手段。

A 数据传输泄密 B 数据传输丢失 C 数据交换失

败 D 数据备份失败

149.避免对系统非法访问的主要方法是____。

A 加强管理 B 身份认证 C 访问控制 D 访问分配

权限

150.对保护数据来说，功能完善、使用灵活的____必不可少。

A 系统软件 B 备份软件 C 数据库软件 D 网络软

件

151.信息安全PDR模型中，如果满足____，说明系统是安全的。

A Pt>Dt+Rt B Dt>Pt+Rt C Dt< font> D Pt

152.在一个信息安全保障体系中，最重要的核心组成部分为____。

A 技术体系 B 安全策略 C 管理体系 D 教育与培

训

153.国家信息化领导小组在《关于加强信息安全保障工作的意见》中，

针对下一时期的信息安全保障工作提出了____项要求。

A 7 B 6 C 9 D 10

154.《确保网络空间安全的国家战略》是____发布的国家战略。

A 英国 B 法国 C 德国 D 美国

155.《计算机信息系统安全保护条例》规定，____主管全国计算机信

息系统安全保护工作。

A 公安部 B 国务院信息办 C 信息产业部 D 国务

院

156.下列____不属于物理安全控制措施。

A 门锁 B 警卫 C 口令 D 围墙

157.灾难恢复计划或者业务连续性计划关注的是信息资产的____属

性。

A 可用性 B 真实性 C 完整性 D 保密性

158.VP是____的简称。

A Visual Private etwork B Virtual Private etWork

C Virtual Public etwork D Visual Public etwork

159.部署VP产品，不能实现对____属性的需求。

A 完整性 B 真实性 C 可用性 D 保密性

160.____是最常用的公钥密码算法。

A RSA B DSA C 椭圆曲线 D 量子密码

161.PKI的主要理论基础是____。

A 对称密码算法 B 公钥密码算法 C 量子密

码 D 摘要算法

162.PKI中进行数字证书管理的核心组成模块是____ 。

A 注册中心RA B 证书中心CA C 目录服务器 D 证书

作废列表

163.信息安全中的木桶原理，是指____。

A 整体安全水平由安全级别最低的部分所决定

B 整体安全水平由安全级别最高的部分所决定

C 整体安全水平由各组成部分的安全级别平均值所决定

D 以上都不对

164.关于信息安全的说法错误的是____。

A 包括技术和管理两个主要方面 B 策略是信息安全的基

础

C 采取充分措施，可以实现绝对安全

D 保密性、完整性和可用性是信息安全的目标

165.PDR模型是第一个从时间关系描述一个信息系统是否安全的模

型，PDR模型中的P代表____、D代表____、R代表____。

A 保护 检测 响应 B 策略 检测 响应 C 策略 检测 恢

复 D 保护检测 恢复

166.《计算机信息系统安全保护条例》规定，任何组织或者个人违反

条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担

____。

A 刑事责任 B 民事责任 C 违约责任 D 其他责

任

167.在信息安全管理中进行____，可以有效解决人员安全意识薄弱问

题。

A 内容监控 B 责任追查和惩处 C 安全教育和培训 D 访

问控制

168.关于信息安全，下列说法中正确的是____。

A 信息安全等同于网络安全 B 信息安全由技术措施实现

C 信息安全应当技术与管理并重 D 管理措施在信息安全中不

重要

169.在PPDRR安全模型中，____是属于安全事件发生后的补救措施。

A 保护 B 恢复 C 响应 D 检测

170.根据权限管理的原则，—个计算机操作员不应当具备访问____的

权限。

A 操作指南文档 B 计算机控制台 C 应用程序源代码 D 安

全指南

171.网络蠕虫病毒以网络带宽资源为攻击对象，主要破坏网络的____。

A可用性 B完整性 C保密性 D可靠性

172.要实现有效的计算机和网络病毒防治，____应承担责任。

A 高级管理层 B 部门经理 C 系统管理员 D 所有计

算机用户

173.统计数据表明，网络和信息系统最大的人为安全威胁来自于____。

A 恶意竞争对手 B 内部人员 C 互联网黑客 D 第

三方人员

174.双机热备是一种典型的事先预防和保护措施，用于保证关键设备

和服务的____属性。

A 保密性 B 可用性 C 完整性 D 真实性

175.在安全评估过程中，采取____手段，可以模拟黑客入侵过程，检

测系统安全脆弱。

A 问卷调查 B 人员访谈 C 渗透性测试 D 手工检

查

176.我国正式公布了电子签名法，数字签名机制用于实现____需求。

A 抗否认 B 保密性 C 完整性 D 可用性

177.在需要保护的信息资产中，____是最重要的。

A 环境 B 硬件 C 数据 D 软件

178.____手段，可以有效应对较大范围的安全事件的不良影响，保证

关键服务和数据的可用性。

A 定期备份 B 异地备份 C 人工备份 D 本地备

份

179.____能够有效降低磁盘机械损坏给关键数据造成的损失。

A 热插拔 B SCSI C RAID D FAST-ATA

180.相对于现有杀毒软件在终端系统中提供保护不同，____在内外网

络边界处提供更加主动和积极的病毒保护。

A 防火墙 B 病毒网关 C IPS D IDS

181.信息安全评测标准CC是____标准。

A 美国 B 国际 C 英国 D 澳大利亚

182.《信息系统安全等级保护基本要求》中，对不同级别的信息系统

应具备的基本安全保护能力进行了要求，共划分为____级。

A 4 B 5 C 6 D 7

三、多选题

1.在互联网上的计算机病毒呈现出的特点是____。

A 与因特网更加紧密地结合，利用一切可以利用的方式进行传播

B 所有的病毒都具有混合型特征，破坏性大大增强

C 因为其扩散极快，不再追求隐蔽性，而更加注重欺骗性

D 利用系统漏洞传播病毒

E 利用软件复制传播病毒

2.全国人民代表大会常务委员会《关于维护互联网安全的决定》规定，

利用互联网实施违法行为，尚不构成犯罪的，对直接负责的主管人员

和其他直接责任人员，依法给予____或者____。

A 行政处分 B 纪律处分 C 民事处分 D 刑事处

分

3.《计算机信息网络国际联网安全保护管理办法》规定，任何单位和

个人不得从事下列危害计算机信息网络安全的活动____。

A 故意制作、传播计算机病毒等破坏性程序的

B 未经允许，对计算机信息网络功能进行删除、修改或者增加的

C 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用

程序进行删除、修改或者增加的

D 未经允许，进入计算机信息网络或者使用计算机信息网络资源

的

4.用于实时的入侵检测信息分析的技术手段有____。

A 模式匹配 B 完整性分析 C 可靠性分析 D 统计

分析 E 可用性分析

5.《互联网上网服务营业场所管理条例》规定，____负责互联网上网

服务营业场所经营许可审批和服务质量监督。

A 省电信管理机构 B 自治区电信管理机构

C 直辖市电信管理机构 D 自治县电信管理机构 E 省信