信息安全管理试题汇总
声明
来自信息安全管理往年试卷, 是比较整理汇总后重复率高的题目
同时查看了老师出题来源的那几个文件,选取了老师标记过的上下试题, 希望能有所帮助
有难度的题目给出了详细解释
by rick 关注 永雏塔菲喵 hnust请假生成器项目github
知识点
-
《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。
-
安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。
-
1994年2月18日国务院发布《计算机信息系统安全保护条例》。
-
安全审计跟踪是安全审计系统检测并追踪安全事件的过程。
-
环境安全策略应当是简单而全面。
-
安全管理是企业信息安全的核心。
-
信息安全策略和制定和维护中,最重要是要保证其明确性和相对稳定性。
-
许多与PKI相关的协议标准等都是在X.509基础上发展起来的。
-
避免对系统非法访问的主要方法是访问控制。
-
灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。
-
RS是最常用的公钥密码算法。
-
在信息安全管理进行安全教育和培训,可以有效解决人员安全意识薄弱。
-
我国正式公布电子签名法,数字签名机制用于实现抗否认。
-
在安全评估过程中,采取渗透性测试手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
-
病毒网关在内外网络边界处提供更加主动和积极的病毒保护。
-
信息安全评测系统是国际标准。
-
安全保护能力有4级:1级-能够对抗个人、一般的自然灾难等;2级-对抗小型组织;3级-对抗大型的、有组织的团体,较为严重的自然灾害,能够恢复大部分功能;4级-能够对抗敌对组织、严重的自然灾害,能够迅速恢复所有功能。
-
信息系统安全等级分5级:1-自主保护级;2-指导保护级;3-监督保护级;4-强制保护级;5-专控保护级。
-
信息系统安全等级保护措施:自主保护、同步建设、重点保护、适当调整。
-
对信息系统实施等级保护的过程有5步:系统定级、安全规则、安全实施、安全运行和系统终止。
-
定量评估常用公式:SLE(单次资产损失的总值)=V(信息资产的估价)×EF(造成资产损失的程序)。
-
SSL主要提供三方面的服务,即认证用户和服务器、加密数据以隐藏被传送的数据、维护数据的完整性。
-
信息安全策略必须具备确定性、全面性和有效性。
-
网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在网络交换机的监听端口、内网和外网的边界。
-
技术类安全分3类:业务信息安全类(S类)、业务服务保证类(类)、通用安全保护类(G类)。其中S类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;类关注的是保护系统连续正常的运行等;G类两者都有所关注。
-
如果信息系统只承载一项业务,可以直接为该信息系统确定安全等级,不必划分业务子系统。
-
信息系统生命周期包括5个阶段:启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。而安全等级保护实施的过程与之相对应,分别是系统定级、安全规划设计、安全实施、安全运行维护和系统终止。
-
-
信息安全模型 PDDR 策略是模型的核心 安全策略的控制和指导下,及时的检测和响应就是安全
判断题
-
信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到
了统一指导作用。(x )在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 PPDR 是核心
-
信息安全策略的制定和维护中,最重要的是要保证其明确性和相对稳定性。( √)
-
安全风险评估过程中由于参数确定较为困难,实际往往多采取定性评估,或者定性和定
量评估相结合的方法。 (√ ) -
所有员工应该发现并报告安全方面的漏洞或弱点以及安全事件。( √)
-
灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。( √)
业务连续性计划(BCP)和灾难恢复计划(DRP) 一般DRP是BCP的一部分
-
客户资料不属于组织的信息资产。 (x )
-
组织的安全要求全部来源于风险评估。 (x)
-
通过使用资源和管理,将输入转化为输出的任意活动,称为过程。 (√ )
-
组织必须首先从ISO/IE27001附录的控制措施列表中选取控制措施。 (√ )
-
风险分析和风险评价的整个过程称为风险评估。 (√ )
-
控制措施可以降低安全事件发生的可能性,但不能降低安全事件的潜在影响。 (√ )
-
“资产责任人”,要求与信息处理设施有关的所有资产都应由指定人员承担责任。 (x )
-
网站信息由于属于公共可用信息,因此无须实施安全保密措施。 (x )
-
审核范围必须与受审核方信息安全管理体系范围一致。 (x )
-
当组织信息安全管理体系的基础发生重大变化而增加的一次审核称为监督审核。 (√ )
-
组织使用的开源软件不须考虑其技术脆弱性。 (x )
-
对于安全违规人员的正式纪律处理过程包括违规对业务造成的影响的评价。(√ )
-
只有在员工离职时,才需要撤销其访问权。 (x )
选择题
-
在建立信息安全管理体系时,首先应该做的事情是( B)。
A. 风险评估 B. 建立信息安全方针和目标
C. 风险管理 D. 制定安全策略
在建立一个信息安全管理体系时,首先要建立的是一个合理规范的管理框架。根据 ISO/IEC 27001 从信息系统的所有层面进行整体安全建设,并从信息系统出发,通过建立资产清单,进行风险分析,选择控制目标与措施等相关步骤,建立整个信息安全管理体系。
确定 ISMS 安全方针 信息安全方针的目标是为信息安全提供管理指导和支持
确定 ISMS 范围
定义风险评估的系统性方法
实施 ISMS 风险评估 是对安全控制的效果进行评价的主要方法
ISMS的策划与准备
ISMS的文件编制
建立ISM框架
ISMS的运行
ISMS的审核与评审
-
信息安全管理体系是 PDCA 动态持续改进的一个循环体。下面理解不正确的是( )。
A. 推动 PDCA 循环,关键在 P 这个计划阶段。
B. 组织中的每个部分或个人,均可以 PDCA 循环,大环套小环,一层一层地解决问题。
C. 每通过一次 PDCA 循环,都要进行总结,提出新目标,再进行第二次 PDCA 循环。
D. 按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环。戴明环
– P(Plan)——计划,确定方针、目标和活动计划;
– D(Do)——实施,实现计划中的内容;
– C(Check)——检查,检查并总结执行计划的结果;
– A(Action)——处置,对检查总结的结果进行处理 改进 A是一个循环的关键,一旦A出现问题,那么就不再能够循环。
-
在策略生命周期中,以下哪个是正确的:( D)
A. 需求分析、制定、发布、推行、审核、废除
B. 制定、发布、推行、审核、修订、废除
C. 需求分析、制定、发布、推行、审核、修订
D. 需求分析、制定、发布、推行、审核、修订、废除 -
窃听技术是在窃听活动中使用的窃听设备和窃听方法的总称。不用中继技术窃听距离最
远的技术是( E)。
A. 定向麦克风 B. 微波窃听 C. 激光窃听
D. 电话窃听 E. 谐波无线窃听 F. 外墙音频放大器 -
区域安全管理中下面错误的描述是( C)
A. 安全区域保护可采用围墙和门控,警卫、智能锁、电子监视和警报系统都是适当措施。
B. 隔离送货区域、装载区域、信息处理设施,控制授权访问。
C. 敏感信息处理设施的位置标示引人注目,安装监控。
D. 来访人员进入需要审批并记录。 -
信息安全的符合性检查不包括( d)
A. 法律法规符合性 B. 技术标准符合性
C. 安全策略符合性 D. 内部审核活动信息安全符合性管理策略目的是为了增强自我约束能力,确保信息安全管理体系符合国家信息安全相关的法律法规、标准要求。
-
对于信息安全管理中的人力资源安全,以下理解不正确的是( C)。
A. 上岗前要对担任敏感和重要岗位的人员要考察其以往的违法违规记录;
B. 离职人员要撤销其访问权限;
C. 雇佣中要有及时有效的惩戒措施;• 惩戒之前应有一个安全违规的验证过程。
• 惩戒过程应确保正确公平的对待被怀疑安全违规的雇员。
• 正式惩戒过程应规定一个分级响应,要考虑诸如违
规的性质、重要性及对业务的影响等因素。
• 对于严重的明知故犯情况,应立即免职、删除访问
权限和特权,如果需要可直接带离现场。 D. 出了事故后要有针对性地进行信息安全意识教育和技能培训。
-
业务连续性管理 (BCM) 的原则是预防为先,恢复为后,其中预防的目的是( C)。
A. 减少威胁的可能性 B. 保护企业的弱点区域
C. 减少灾难发生的可能性 D. 防御危险的发生并降低其影响 -
计算机机房装修材料应符合 GB 50016《建筑设计防火规范》,选择( D)。
A. 吸音、难燃、非燃材料 B. 防潮、防起尘材料
C. 抗静电材料、防辐射材料 D. 以上都是 -
下列不属于防火墙核心技术的是( D )
A. (静态/动态)包过滤技术 B. NAT技术 C. 应用代理技术 D. 日志审计
-
应用代理防火墙的主要优点是( B )
A. 加密强度更高 B. 安全控制更细化、更灵活 C. 安全服务的透明性更好 D. 服务对象更广泛
-
对于远程访问型VPN来说,( A )产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A. IPSec VPN B. SSL VPN C. MPLS VPN D. L2TP VPN
注:IPSec协议是一个应用广泛,开放的VPN安全协议,目前已经成为最流行的VPN解决方案。在IPSec框架当中还有一个必不可少的要素: Internet安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley),它提供自动建立安全关联和管理密钥的功能。
-
1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859-1999,提出将信息系统的安全等级划分为( D )个等级,并提出每个级别的安全功能要求。
A. 7 B. 8 C. 6 D. 5 > 注:该标准参考了美国的TCSEC标准,分自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。 -
信息安全管理实用规则ISO/IECl7799属于__B___标准?
a) 词汇类标准
b) 要求类标准 c) 指南类标准 d) 以上都不对 -
在信息安全管理体系C阶段应测量控制措施的有效性?
a) 建立 b)实施和运行 c)监视和评审 d)保持和改进 -
风险评价是指B
a) 系统地使用信息来识别风险来源和估计风险
b) 将估计的风险与给定的风险准则加以比较以确定风险严重性的过程
c) 指导和控制一个组织相关风险的协调活动
d) 以上都不对 -
依据GB/T 22080 ,信息的标记应表明:( B )
(A)相关供应商信息、日期、资产序列号。
(B)其敏感性和关键性的类别和等级。
(C)所属部门和批准人。
(D)信息的性质,如软件、文档。
-
为防止业务中断,保护关键业务过程免受信息系统失误或灾难的影响,应( ABD )。
(A)定义恢复的优先顺序;
(B)定义恢复时间指标;
(C)
按事件管理流程进行处置;(D)针对业务中断进行风险评估。
-
信息安全管理体系认证审核的范围即( CD )。
(A)组织的全部经营管理范围。
(B)组织的全部信息安全管理范围。
(C)组织根据其业务、组织、位置、资产和技术等方面的特性确定信息安企管理体系范围。
(D)组织承诺按照GB/T 22080标准要求建立、实施和保持信息安全管理体系的范围。
-
信息安全管理体系认证是:( ABC )。
(A)与信息安全管理体系有关的规定要求得到满足的证实活动。
(B)对信息系统是否满足有关的规定要求的评价。
(C)信息安全管理体系认证是合格评定活动的一种。
(D)
是信息安全风险管理的实施活动。 -
信息安全的符合性检查包括:( ABC )
(A)法律法规符合性 (B)技术标准符合性
(C)安全策略符合性 (D)内部审核活动
-
标准GB/T22080中“支持性设施”指的是:( ABCD )
(A)UPS电源 (B)电力设施 (C)空调系统 (D)消防设施
-
国家信息安全等级保护采取( A )
(A)自主定级、自主保护的原则。
(B)国家保密部门定级、自主保护的原则。
(C)公安部门定级、自主保护的原则。
(D)国家保密部门定级、公安部门监督保护的原则。
-
信息安全管理体系认证审核时,为了获取审核证据,应考虑的信息源为:( D )
(A)受审核方的办公自动化系统管理与维护相关的过程和活动。
(B)受审核方场所内已确定为涉及国家秘密的相关过程和活动。
(C)受审核方的核心财务系统的管理与维护相关的过程和活动。
(D)==受审核方中请认证范_内的业务过程和活动。==
-
残余风险是:( C )
(A)低于可接受风险水平的风险。 (B)高于可接受风险水平的风险。
(C)经过风险处置后剩余的风险。 (D)未经处置的风险
-
认证审核初审时,可以不进行第一阶段现场审核的条件之一是:( B )、
(A)审核组考虑时间效率可用一个阶段审核完成所有的审核准则要求。
(B)==审核组长己充分了解受审核方的信息安全管理过程。==
(C)受审核方认为一个阶段的审核能完成全部的审核要求。
(D)不允许第一阶段不进行现场审核的情况。
-
SMS管理评审的输出应包括( D )
(A)可能影响ISMS的任何变更
(B)以往风险评估没有充分强调的脆弱点或威胁
C)风险评估和风险处理计划的更新
(D)==改进的建议==
问答题
-
什么是信息安全管理体系 ISMS?建立 ISMS 分哪几步骤?(8’)
信息安全管理体系(Information Security Management System,ISMS)是组织
在整体或特定范围内建立的信息安全方针和目标,以及完整这些目标所用的方法和手段
所构成的体系。建立 ISMS 的步骤:
1-信息安全管理体系的策划与准备;
2-信息安全管理体系文件的编制;
3-建立信息安全管理框架;
4-信息安全管理体系的运行;
5-信息安全管理体系的审核
-
请列举信息安全风险的七大要素,并详细说明这七大风险要素之间的相互关系。
信息安全风险的七大要素包括资产、威胁、脆弱点、风险、影响、安全措施和安全需
求。它们之间的关系如下:资产:是任何对组织有价值的东西;
威胁:可能导致信息安全事故和组织信息资产损失的活动,是利用脆弱性造成的后果;
脆弱性:与信息资产有关的弱点或安全隐患,本身并不对资产构成危害,但是在一定条
件得到满足时,会被威胁利用来危害信息资产;
安全措施:可以降低威胁利用脆弱性导致安全事件发生的可能性;
安全风险:是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可
能性。
-
ISO27001 所关注的 11 大领域是什么
信息安全 11 大管理领域:
安全方针/策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通信和运
作管理、访问控制、信息系统开发与维护、信息安全事件管理、业务连续性管理、法律
法规符合性。 -
信息系统生命周期包括哪 5 个阶段?信息系统安全等级分哪几级?与系统生命周期对应
的安全等级保护实施过程是什么?(10’)信息系统生命周期包括 5 个阶段:启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。
信息系统安全等级分 5 级:1-自主保护级,2-指导保护级,3-监督保护级,4-强制
保护级,5-专控保护级。
信息系统安全等级保护措施:自主保护、同步建设、重点保护、适当调整。与信息系统
生命周期对应的等级保护实施过程有 5 步:系统定级、安全规则、安全实施、安全运行
维护和系统终止。 -
简述信息安全管理中人员安全管理的三大基本原则,并进行相应的解释。
(1) 多人负责原则,即每一项与安全有关的活动,都必须有两人或更多人在场;
(2) 任期有限原则,任何人最好不要长期担任与安全有关的职务,以保持该职务具有竞争
性和流动性;
(3) 职责分离原则,出于对安全的考虑,科技开发、生产运行和业务操作都应当职责分离。 -
信息安全的等级保护,流程图和出生表,(五级)ISMS、等级保护和风险评估三者的关系
案例分析
-
请就手机 APP 的下载、安装和使用过程,以及共享充电、公共 WIFI 的使用谈谈如何进行信息安全管理。【手机如何判断和防止窃密窃照? 与手机相关,如何安全使用app】
-
异常数据使用情况:
监控手机的数据使用情况。如果你注意到未经授权的应用程序大量使用数据,这可能是窃密活动的迹象。
-
电池耗尽速度:
异常的电池耗尽速度可能表明某些应用程序在后台运行,可能是用于监视或窃取信息。
-
应用权限变更:
定期审查应用程序的权限,特别是如果你注意到某个应用程序在未经明示的情况下请求额外的权限,这可能是一个警告信号。
-
网络活动监控:
使用网络监控工具检查手机的网络活动。不寻常的数据传输活动可能表明潜在的窃密行为。
-
-
查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防;
笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不安全的。请从信息安
全管理上分析。主要观点:组织场所外的设备安全,应对组织场所的设备采取安全措施,要考虑工作在组
织场所以外的不同风险。- 笔记本带出办公室,有丢失、被非法访问风险;采取随身锁的安全措施;
- 在家里使用,有感染病毒、泄露单位重要文件信息的风险;采取隔离家庭网络或防火
墙、杀毒防护措施; - 染毒的笔记本带回办公室,有交叉感染办公室台式电脑的风险,有交叉拷贝数据文件
被泄露的风险;采取严格的杀毒与隔离措施。
-
某公司操作系统升级都直接设置为系统自动升级,没出过什么事,因为买的都是正版。
主要观点:A 12.5.2 操作系统变更后应用的技术评审 当操作系统发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
-
创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。
主要观点:A 10.2.3 第三方服务的变更管理 应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的评估。
-
假设您是某企业的 CIO,请就本单位的人员使用、升迁或离职、新员工招聘谈谈如何进行信息安全管理。
- 对于内部工作人员,采取分级授权访问控制措施,对于敏感数据和文件进行分级管理;
- 员工升迁后,将收回设备、系统 ID 并根据级别重新授权;
- 员工离职后,收回设备或由技术主管销毁设备上的信息,收回系统 ID 及其访问权限;
- 新员工入职:对员工进行信息安全培训,对应级别进行访问授权。
Comments NOTHING