企业信息安全解决方案习题答案

企业信息安全解决方案习题答案

1根据IS0 13335标准，信息是通过在数据上施加某些约定而赋予这些数据

的特殊含义。

A 正确B 错误

2信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、

事后恢复起到了统一指导作用。

A 正确B 错误

3只要投资充足，技术措施完备，就能够保证百分之百的信息安全。

A 正确B 错误

4我国在2006年提出的《2006～2020年国家信息化发展战略》将“建设国

家信息安全保障体系”作为9大战略发展方向之一。

A 正确B 错误

52003年7月国家信息化领导小组第三次会议发布的27号文件，是指导我

国信息安全保障工作和加快推进信息化的纲领性文献。

A 正确B 错误

6在我国，严重的网络犯罪行为也不需要接受刑法的相关处罚。

A 正确B 错误

7安全管理的合规性，主要是指在有章可循的基础之上，确保信息安全工作

符合国家法律、法规、行业标准、机构内部的方针和规定。

A 正确B 错误

8

9Windows 2000／xp系统提供了口令安全策略，以对帐户口令安全进行保

护。

1 / 13

信息安全等同于网络安全。

A 正确B 错误

A 正确B 错误

10GB 17859与目前等级保护所规定的安全等级的含义不同，GB 17859中等

级划分为现在的等级保护奠定了基础。

A 正确B 错误

11口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信息，

进而非法获得系统和资源访问权限。

A 正确B 错误

12PKI系统所有的安全操作都是通过数字证书来实现的。

A 正确B 错误

13PKI系统使用了非对称算法、对称算法和散列算法。

A 正确B 错误

14

一个完整的信息安全保障体系，应当包括安全策略(Policy)、保护

(Protection)、检测(Detection)、响应(Reaction)、恢复Restoration)五个主要环

节。

A 正确B 错误

15信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机

制，同样依赖于底层的物理、网络和系统等层面的安全状况。

A 正确B 错误

2 / 13

16实现信息安全的途径要借助两方面的控制措施：技术措施和管理措施，

从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技

术，都是不科学，并且有局限性的错误观点。

A 正确B 错误

17按照BS 7799标准，信息安全管理应当是一个持续改进的周期性过程。

A 正确B 错误

18虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于

参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结

合的方法。

A 正确B 错误

19一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当

地公安机关报案，并配合公安机关的取证和调查。

A 正确B 错误

20定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施

予以应对。

A 正确B 错误

21网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当

避免在内网和外网之间存在不经过防火墙控制的其他通信连接。

A 正确B 错误

22网络边统，在内网和外网之间存在不经过防火墙控制的其他通信连接，

不会影响到防火墙的有效保护作用。

A 正确B 错误

23防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护

能力。

3 / 13

A 正确B 错误

24我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。

A 正确B 错误

25信息技术基础设施库(ITIL)，是由英国发布的关于IT服务管理最佳实践的

建议和指导方针，旨在解决IT服务质量不佳的情况。

A 正确B 错误

26美国国家标准技术协会IST发布的《SP 800-30》中详细阐述了IT系统

风险管理内容。

A 正确B 错误

27防火墙在静态包过滤技术的基础上，通过会话状态检测技术将数据包的

过滤处理效率大幅提高。

A 正确B 错误

28通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二

者结合起来。

A 正确B 错误

29脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或

本地系统安全脆弱性的一种安全技术。

A 正确B 错误

30下列关于信息的说法____是错误的。

A 信息是人类社会发展的重要支柱B 信息本身是无形的C 信息具有价值，

需要保护D 信息可以以独立形态存在

31信息安全经历了三个发展阶段，以下____不属于这三个发展阶段。

4 / 13

A 通信保密阶段B 加密机阶段C 信息安全阶段D 安全保障阶段32信息安

全在通信保密阶段对信息安全的关注局限在____安全属性。

A 不可否认性B 可用性C 保密性D 完整性

33信息安全在通信保密阶段中主要应用于____领域。

A 军事B 商业C 科研D 教育

34信息安全阶段将研究领域扩展到三个基本属性，下列____不属于这三个

基本属性。

A 保密性B 完整性C 不可否认性D 可用性

35安全保障阶段中将信息安全体系归结为四个主要环节，下列____是正确

的。

A 策略、保护、响应、恢复B 加密、认证、保护、检测C 策略、网络攻

防、密码学、备份D 保护、检测、响应、恢复

36下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。

A 杀毒软件B 数字证书认证C 防火墙D 数据库加密

37根据ISO的信息安全定义，下列选项中____是信息安全三个基本属性之

一。

A 真实性B 可用性C 可审计性D 可靠性

38为了数据传输时不发生数据截获和信息泄密，采取了加密机制。这种做

法体现了信息安全的____属性。

A 保密性B 完整性C 可靠性D 可用性

39定期对系统和数据进行备份，在发生灾难时进行恢复。该机制是为了满

足信息安全的____属性。

A 真实性B 完整性C 不可否认性D 可用性

5 / 13

40数据在存储过程中发生了非法访问行为，这破坏了信息安全的____属

性。

A 保密性B 完整性C 不可否认性D 可用性

41网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行

为，这破坏了信息安全的____属性。

A 保密性B 完整性C 不可否认性D 可用性

42PDR安全模型属于____类型。

A 时间模型B 作用模型C 结构模型D 关系模型

43《信息安全国家学说》是____的信息安全基本纲领性文件。

A xxB xxC xxD xx

44下列的____犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。

A 窃取国家秘密B 非法侵入计算机信息系统C 破坏计算机信息系统D 利

用计算机实施金融

45我国刑法____规定了非法侵入计算机信息系统罪。

A 第284条B 第285条C 第286条D 第287条

46信息安全领域内最关键和最薄弱的环节是____。

A 技术B 策略C 管理制度D 人

47信息安全管理领域权威的标准是____。

A ISO 15408B ISO 17799／IS0 27001C IS0 9001D ISO 1400148IS0 17799／IS0

27001最初是由____提出的国家标准。

A xxB xxC xxD xx

49IS0 17799的内容结构按照____进行组织。

6 / 13

A 管理原则B 管理框架C 管理域一控制目标一控制措施D 管理制度

50____对于信息安全管理负有责任。

A 高级管理层B 安全管理员C IT管理员D 所有与信息系统有关人员

51《计算机信息系统安全保护条例》是由中华人民共和国____第147号发

布的。

A 国务院令B 全国人民代表大会令C 公安部令D 令52《互联

网上网服务营业场所管理条例》规定，____负责互联网上网服务营业场所安全

审核和对违反网络安全管理规定行为的查处。

A 人民法院B 公安机关C 工商行政管理部门D 门53计算机病

毒最本质的特性是____。

A 寄生性B 潜伏性C 破坏性D 攻击性

54____安全策略是得到大部分需求的支持并同时能够保护企业的利益。

A 有效的B 合法的C 实际的D 成熟的

55在PDR安全模型中最核心的组件是____。

A 策略B 保护措施C 检测措施D 响应措施

56制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的设

施，在发生灾难后，这些设施的____。

A 恢复预算是多少B 恢复时间是多长C 恢复人员有几个D 恢复设备有多

少

57在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的

成果文档被称为____。

A 可接受使用策略AUPB 安全方针C 适用性声明D 操作规范58防止静态

信息被非授权访问和防止动态信息被截取解密是____。

7 / 13

A 数据完整性B 数据可用性C 数据可靠性D 数据保密性

59用户身份鉴别是通过____完成的。A 口令验证B 审计策略C 存取控制D

查询功能

601故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个

人，由公安机关处以____。

A 3年以下有期徒刑或拘役B 警告或者处以5000元以下的C 5年以上

7年以下有期徒刑D 警告或者15000元以下的

61网络数据备份的实现主要需要考虑的问题不包括____。

A 架设高速局域网B 分析应用环境C 选择备份硬件设备D 选择备份管理

软件

62《计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案

件，有关使用单位应当在____向当地县级以上人民政府公安机关报告。

A 8小时内B 12小时内C 24小时内D 48小时内

63公安部网络违法案件举报网站的网址是____。

A B C D

64对于违反信息安全法律、法规行为的行政处罚中，____是较轻的处罚方

式。

A 警告B C 没收违法所得D 吊销许可证

65对于违法行为的处罚，属于行政处罚中的____。

A 人身自由罚B 声誉罚C 财产罚D 资格罚

66对于违法行为的通报批评处罚，属于行政处罚中的____。

A 人身自由罚B 声誉罚C 财产罚D 资格罚

8 / 13

671994年2月国务院发布的《计算机信息系统安全保护条例》赋予____对

计算机信息系统的安全保护工作行使监督管理职权。

A 信息产业部B 全国人大C 公安机关D 国家工商总局

68《计算机信息网络国际联网安全保护管理办法》规定，互联单位、接入

单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直

辖市联网的单位和所属的分支机构)，应当自网络正式联通之日起____日内，到

所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手

续。

A 7B 10C 15D 30

69互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有

至少保存____天记录备份的功能。

A 10B 30C 60D 90

70对网络层数据包进行过滤和控制的信息安全技术机制是____。

A 防火墙B IDSC SnifferD IPSec

71下列不属于防火墙核心技术的是____。

A (静态／动态)包过滤技术B AT技术C 应用代理技术D 日志审计

72应用代理防火墙的主要优点是____。

A 加密强度更高B 安全控制更细化、更灵活C 安全服务的透明性更好D

服务对象更广泛

73安全管理中经常会采用“权限分离”的办法，防止单个人员权限过高，出

现内部人员的违法犯罪行为，“权限分离”属于____控制措施。

A 管理B 检测C 响应D 运行

74安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗

位人员是否存在违规操作行为，属于____控制措施。

9 / 13

A 管理B 检测C 响应D 运行

75下列选项中不属于人员安全管理措施的是____。

A 行为监控B 安全培训C 人员离岗D 背景／技能审查

76《计算机病毒防治管理办法》规定，____主管全国的计算机病毒防治管

理工作。

A 信息产业部B 国家病毒防范管理中心C 公安部公共信息网络安全监察D

国务院信息化建设领导小组

77计算机病毒的实时监控属于____类的技术措施。

A 保护B 检测C 响应D 恢复

78针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____。

A 防火墙隔离B 安装安全补丁程序C 专用病毒查杀工具D 部署网络入侵

检测系统

79下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是

____。

A 防火墙隔离B 安装安全补丁程序C 专用病毒查杀工具D 部署网络入侵

检测系统

80下列不属于网络蠕虫病毒的是____。

A 冲击波B SQLSLAMMERC CIHD 振荡波

81传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的

网络蠕虫病毒将攻击范围扩大到了____等重要网络资源。

A 网络带宽B 数据包C 防火墙D LIUX

82不是计算机病毒所具有的特点____。

A 传染性B 破坏性C 潜伏性D 可预见性

10 / 13

83关于灾难恢复计划错误的说法是____。

A 应考虑各种意外情况B 制定详细的应对处理办法C 建立框架性指导原

则，不必关注于细节D 正式发布前，要进行讨论和评审

84对于远程访问型VP来说，____产品经常与防火墙及AT机制存在兼容

性问题，导致安全隧道建立失败。

A IPSec VPB SSL VPC MPLS VPD L2TP VP

851999年，我国发布的第一个信息安全等级保护的国家标准GB 17859—

1999，提出将信息系统的安全等级划分为____个等级，并提出每个级别的安全

功能要求。

A 7B 8C 6D 5

86等级保护标准GB l7859主要是参考了____而提出。A 欧洲ITSECB 美国

TCSECC CCD BS 7799

87我国在1999年发布的国家标准____为信息安全等级保护奠定了基础。

A GB 17799B GB 15408C GB 17859D GB 14430

88信息安全等级保护的5个级别中，____是最高级别，属于关系到国计民

生的最关键信息系统的保护。

A 强制保护级B 专控保护级C 监督保护级D 指导保护级E 自主保护级

89《信息系统安全等级保护实施指南》将____作为实施等级保护的第一项

重要内容。

A 安全定级B 安全评估C 安全规划D 安全实施

90____是进行等级确定和等级保护管理的最终对象。

A 业务系统B 功能模块C 信息系统D 网络系统

91当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级

确定，最终信息系统的安全等级应当由____所确定。

11 / 13

A 业务子系统的安全等级平均值B 业务子系统的最高安全等级C 业务子系

统的最低安全等级D 以上说法都错误

92下列关于风险的说法，____是错误的。

A 风险是客观存在的B 导致风险的外因是普遍存在的安全威胁C 导致风险

的外因是普遍存在的安全脆弱性D 风险是指一种可能性

93下列关于风险的说法，____是正确的。

A 可以采取适当措施，完全清除风险B 任何措施都无法完全清除风险C 风

险是对安全事件的确定描述D 风险是固有的，无法被控制

94风险管理的首要任务是____。

A 风险识别和评估B 风险转嫁C 风险控制D 接受风险

95关于资产价值的评估，____说法是正确的。

A 资产的价值指采购费用B 资产的价值无法估计C 资产价值的定量评估要

比定性评估简单容易D 资产的价值与其重要性密切相关

96采取适当的安全控制措施，可以对风险起到____作用。

A 促进B 增加C 减缓D 清除

97当采取了安全控制措施后，剩余风险____可接受风险的时候，说明风险

管理是有效的。

A 等于B 大于C 小于D 不等于

98安全威胁是产生安全事件的____。

A 内因B 外因C 根本原因D 不相关因素

99安全脆弱性是产生安全事件的____。

A 内因B 外因C 根本原因D 不相关因素

12 / 13

100下列关于用户口令说法错误的是____。

A 口令不能设置为空B 口令长度越长，安全性越高

C 复杂口令安全性足够高，不需要定期修改D 口令认证是最常见的认证机

制

13 / 13