企业信息安全解决方案习题答案

1

根据IS0 13335标准，信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。

A 正确 B 错误 2

信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。

A 正确 B 错误 3

只要投资充足，技术措施完备，就能够保证百分之百的信息安全。

A 正确 B 错误 4

我国在2006年提出的《2006～2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。

A 正确 B 错误

5

2003年7月国家信息化领导小组第三次会议发布的27号文件，是指导我国信息安全保障工作和加快推进信息化的纲领性文献。

A 正确 B 错误 6

在我国，严重的网络犯罪行为也不需要接受刑法的相关处罚。

A 正确 B 错误 7

安全管理的合规性，主要是指在有章可循的基础之上，确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。

A 正确 B 错误 8 9

Windows 2000／xp系统提供了口令安全策略，以对帐户口令安全进行保护。 信息安全等同于网络安全。

A 正确 B 错误 A 正确 B 错误

10 GB 17859与目前等级保护所规定的安全等级的含义不同，GB 17859中等级划分为现在的

等级保护奠定了基础。

A 正确 B 错误

11 口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信息，进而非法获得系统

和资源访问权限。

A 正确 B 错误

12 PKI系统所有的安全操作都是通过数字证书来实现的。 A 正确 B 错误

13 PKI系统使用了非对称算法、对称算法和散列算法。 A 正确 B 错误 14

一个完整的信息安全保障体系，应当包括安全策略(Policy)、保护(Protection)、检测

(Detection)、响应(Reaction)、恢复Restoration)五个主要环节。

A 正确 B 错误

15 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制，同样依赖于底

层的物理、网络和系统等层面的安全状况。

A 正确 B 错误

16 实现信息安全的途径要借助两方面的控制措施：技术措施和管理措施，从这里就能看出技

术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有局限性的错误观点。

A 正确 B 错误

17 按照BS 7799标准，信息安全管理应当是一个持续改进的周期性过程。 A 正确 B 错误

18 虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，

往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。

A 正确 B 错误

19 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地机关报案，

并配合机关的取证和调查。

A 正确 B 错误

20 定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。 A 正确 B 错误

21 网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和

之间存在不经过防火墙控制的其他通信连接。

A 正确 B 错误

22 网络边统，在内网和之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙

的有效保护作用。

A 正确 B 错误

23 防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。 A 正确 B 错误

24 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。 A 正确 B 错误

25 信息技术基础设施库(ITIL)，是由英国发布的关于IT服务管理最佳实践的建议和指导方针，

旨在解决IT服务质量不佳的情况。

A 正确 B 错误

26 美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT系统风险管理内容。 A 正确 B 错误

27 防火墙在静态包过滤技术的基础上，通过会话状态检测技术将数据包的过滤处理效率大幅

提高。

A 正确 B 错误

28 通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。 A 正确 B 错误

29 脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱

性的一种安全技术。

A 正确 B 错误

30 下列关于信息的说法 ____是错误的。

A 信息是人类社会发展的重要支柱 B 信息本身是无形的 C 信息具有价值，需

要保护 D 信息可以以形态存在

31 信息安全经历了三个发展阶段，以下____不属于这三个发展阶段。

A 通信保密阶段 B 加密机阶段 C 信息安全阶段 D 安全保障阶段 32 信息安全在通信保密阶段对信息安全的关注局限在____安全属性。 A 不可否认性 B 可用性 C 保密性 D 完整性 33 信息安全在通信保密阶段中主要应用于____领域。 A 军事 B 商业 C 科研 D 教育

34 信息安全阶段将研究领域扩展到三个基本属性，下列____不属于这三个基本属性。 A 保密性 B 完整性 C 不可否认性 D 可用性

35 安全保障阶段中将信息安全体系归结为四个主要环节，下列____是正确的。

A 策略、保护、响应、恢复 B 加密、认证、保护、检测 C 策略、网络攻防、

密码学、备份 D 保护、检测、响应、恢复

36 下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。 A 杀毒软件 B 数字证书认证 C 防火墙 D 数据库加密 37 根据ISO的信息安全定义，下列选项中____是信息安全三个基本属性之一。 A 真实性 B 可用性 C 可审计性 D 可靠性

38 为了数据传输时不发生数据截获和信息泄密，采取了加密机制。这种做法体现了信息安全

的____属性。

A 保密性 B 完整性 C 可靠性 D 可用性

39 定期对系统和数据进行备份，在发生灾难时进行恢复。该机制是为了满足信息安全的____

属性。

A 真实性 B 完整性 C 不可否认性 D 可用性 40 数据在存储过程中发生了非法访问行为，这破坏了信息安全的____属性。 A 保密性 B 完整性 C 不可否认性 D 可用性

41 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安

全的____属性。

A 保密性 B 完整性 C 不可否认性 D 可用性 42 PDR安全模型属于____类型。

A 时间模型 B 作用模型 C 结构模型 D 关系模型

43 《信息安全国家学说》是____的信息安全基本纲领性文件。 A 法国 B 美国 C 俄罗斯 D 英国

44 下列的____犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。 A 窃取国家秘密 B 非法侵入计算机信息系统 C 破坏计算机信息系

统 D 利用计算机实施金融诈骗

45 我国刑法____规定了非法侵入计算机信息系统罪。

A 第284条 B 第285条 C 第286条 D 第287条 46 信息安全领域内最关键和最薄弱的环节是____。 A 技术 B 策略 C 管理制度 D 人 47 信息安全管理领域权威的标准是____。

A ISO 15408 B ISO 17799／IS0 27001 C IS0 9001 D ISO 14001 48 IS0 17799／IS0 27001最初是由____提出的国家标准。 A 美国 B 澳大利亚 C 英国 D 中国 49 IS0 17799的内容结构按照____进行组织。

A 管理原则 B 管理框架 C 管理域一控制目标一控制措施 D 管理制

度

50 ____对于信息安全管理负有责任。

A 高级管理层 B 安全管理员 C IT管理员 D 所有与信息系统有关人

员

51 《计算机信息系统安全保护条例》是由中华人民共和国____第147号发布的。 A 令 B 全国人民代表大会令 C 令 D 部令

52 《互联网上网服务营业场所管理条例》规定，____负责互联网上网服务营业场所安全审核

和对违反网络安全管理规定行为的查处。

A 人民 B 机关 C 工商行政管理部门 D 部门 53 计算机病毒最本质的特性是____。

A 寄生性 B 潜伏性 C 破坏性 D 攻击性 54 ____安全策略是得到大部分需求的支持并同时能够保护企业的利益。 A 有效的 B 合法的 C 实际的 D 成熟的 55 在PDR安全模型中最核心的组件是____。

A 策略 B 保护措施 C 检测措施 D 响应措施

56 制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的设施，在发生灾难后，

这些设施的____。

A 恢复预算是多少 B 恢复时间是多长 C 恢复人员有几个 D 恢复设备

有多少

57 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为

____。

A 可接受使用策略AUP B 安全方针 C 适用性声明 D 操作规范 58 防止静态信息被非授权访问和防止动态信息被截取解密是____。

A 数据完整性 B 数据可用性 C 数据可靠性 D 数据保密性 59 用户身份鉴别是通过____完成的。

A 口令验证 B 审计策略 C 存取控制 D 查询功能

601 故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人，由机关处

以____。

A 3年以下有期徒刑或拘役 B 警告或者处以5000元以下的罚款 C 5年以上7

年以下有期徒刑 D 警告或者15000元以下的罚款

61 网络数据备份的实现主要需要考虑的问题不包括____。

A 架设高速局域网 B 分析应用环境 C 选择备份硬件设备 D 选择备份

管理软件

62 《计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件，有关使用单位

应当在____向当地县级以上机关报告。

A 8小时内 B 12小时内 C 24小时内 D 48小时内 63 网络违法案件举报网站的网址是____。 A B C D

对于违反信息安全法律、法规行为的行政处罚中，____是较轻的处罚方式。 A 警告 B 罚款 C 没收违法所得 D 吊销许可证 65 对于违法行为的罚款处罚，属于行政处罚中的____。

A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚 66 对于违法行为的通报批评处罚，属于行政处罚中的____。 A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚

67 1994年2月发布的《计算机信息系统安全保护条例》赋予____对计算机信息系统的

安全保护工作行使监督管理职权。

A 信息产业部 B 全国 C 机关 D 国家工商总局

68 《计算机信息网络国际联网安全保护管理办法》规定，互联单位、接入单位、使用计算机

信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构)，应当自网络正式联通之日起____日内，到所在地的省、自治区、直辖市机关指定的受理机关办理备案手续。

A 7 B 10 C 15 D 30

69 互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存____天记

录备份的功能。

A 10 B 30 C 60 D 90

70 对网络层数据包进行过滤和控制的信息安全技术机制是____。 A 防火墙 B IDS C Sniffer D IPSec 71 下列不属于防火墙核心技术的是____。

A (静态／动态)包过滤技术 B NAT技术 C 应用代理技术 D 日志审

计

72 应用代理防火墙的主要优点是____。

A 加密强度更高 B 安全控制更细化、更灵活 C 安全服务的透明性更

好 D 服务对象更广泛

73 安全管理中经常会采用“权限分离”的办法，防止单个人员权限过高，出现内部人员的违法犯

罪行为，“权限分离”属于____控制措施。

A 管理 B 检测 C 响应 D 运行

74 安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规

操作行为，属于____控制措施。

A 管理 B 检测 C 响应 D 运行 75 下列选项中不属于人员安全管理措施的是____。

A 行为监控 B 安全培训 C 人员离岗 D 背景／技能审查 76 《计算机病毒防治管理办法》规定，____主管全国的计算机病毒防治管理工作。 A 信息产业部 B 国家病毒防范管理中心 C 公共信息网络安全监

察 D 信息化建设领导小组

77 计算机病毒的实时监控属于____类的技术措施。 A 保护 B 检测 C 响应 D 恢复 78 针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____。

A 防火墙隔离 B 安装安全补丁程序 C 专用病毒查杀工具 D 部署网络

入侵检测系统

79 下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是____。

A 防火墙隔离 B 安装安全补丁程序 C 专用病毒查杀工具 D 部署网络

入侵检测系统

80 下列不属于网络蠕虫病毒的是____。

A 冲击波 B SQLSLAMMER C CIH D 振荡波

81 传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻

击范围扩大到了____等重要网络资源。

A 网络带宽 B 数据包 C 防火墙 D LINUX 82 不是计算机病毒所具有的特点____。

A 传染性 B 破坏性 C 潜伏性 D 可预见性 83 关于灾难恢复计划错误的说法是____。

A 应考虑各种意外情况 B 制定详细的应对处理办法 C 建立框架性指导原则，

不必关注于细节 D 正式发布前，要进行讨论和评审

84 对于远程访问型VPN来说，____产品经常与防火墙及NAT机制存在兼容性问题，导致安

全隧道建立失败。

A IPSec VPN B SSL VPN C MPLS VPN D L2TP VPN

85 1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859—1999，提出将信息

系统的安全等级划分为____个等级，并提出每个级别的安全功能要求。

A 7 B 8 C 6 D 5

86 等级保护标准GB l7859主要是参考了____而提出。

A 欧洲ITSEC B 美国TCSEC C CC D BS 7799 87 我国在1999年发布的国家标准____为信息安全等级保护奠定了基础。 A GB 17799 B GB 15408 C GB 17859 D GB 14430

88 信息安全等级保护的5个级别中，____是最高级别，属于关系到国计民生的最关键信息系

统的保护。

A 强制保护级 B 专控保护级 C 监督保护级 D 指导保护级 E 自

主保护级

《信息系统安全等级保护实施指南》将____作为实施等级保护的第一项重要内容。 A 安全定级 B 安全评估 C 安全规划 D 安全实施 90 ____是进行等级确定和等级保护管理的最终对象。

A 业务系统 B 功能模块 C 信息系统 D 网络系统

91 当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系

统的安全等级应当由____所确定。

A 业务子系统的安全等级平均值 B 业务子系统的最高安全等级 C 业务子系

统的最低安全等级 D 以上说法都错误

92 下列关于风险的说法，____是错误的。

A 风险是客观存在的 B 导致风险的外因是普遍存在的安全威胁 C 导致风险

的外因是普遍存在的安全脆弱性 D 风险是指一种可能性

93 下列关于风险的说法，____是正确的。

A 可以采取适当措施，完全清除风险 B 任何措施都无法完全清除风险 C 风险

是对安全事件的确定描述 D 风险是固有的，无法被控制

94 风险管理的首要任务是____。

A 风险识别和评估 B 风险转嫁 C 风险控制 D 接受风险 95 关于资产价值的评估，____说法是正确的。

A 资产的价值指采购费用 B 资产的价值无法估计 C 资产价值的定量评估要

比定性评估简单容易 D 资产的价值与其重要性密切相关

96 采取适当的安全控制措施，可以对风险起到____作用。 A 促进 B 增加 C 减缓 D 清除

97 当采取了安全控制措施后，剩余风险____可接受风险的时候，说明风险管理是有效的。 A 等于 B 大于 C 小于 D 不等于 98 安全威胁是产生安全事件的____。

A 内因 B 外因 C 根本原因 D 不相关因素 99 安全脆弱性是产生安全事件的____。

A 内因 B 外因 C 根本原因 D 不相关因素

100 下列关于用户口令说法错误的是____。

A 口令不能设置为空 B 口令长度越长，安全性越高

C 复杂口令安全性足够高，不需要定期修改 D 口令认证是最常见的认证机制