信息系统管理工程师试题-系统工程师面试题

一 : 系统工程师面试题

工程项目部系统工程师面试题

总分70分;时间30分钟;

姓名:应聘岗位:

1.请描述“路由器”与“交换机”的区别,如:工作原理,工作在七层协议中哪一层,并举例说明在现实中应用。(15分)

二者的工作层次不同,最初的的交换机是工作在OSI/RM开放体系结构的数据链路层,也就是第二层,而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层(数据链路层),所以它的工作原理比较简单,而路由器工作在OSI的第三层(网络层),可以得到更多的协议信息,路由器可以做出更加智能的转发决策。

二者的据转发所依据的对象不同,交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经 固化到了网卡中去,一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。

传统的交换机只能分割冲突域,不能分割广播域;而路由器可以分割广播域,由交换机连接的网段仍属于同一个广播域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。

路由器提供了防火墙的服务,而交换机则没有,路由器仅仅转发特定地址的数据包,不传送不支持路由协议的数据包传送和未知目标网络数据包的传送,从而可以防止广播风暴。

综上所述,交换机一般用于LAN-WAN的连接,交换机归于网桥,是数据链路层的设备,有些交换机也可实现第三层的交换。路由器用于WAN-WAN之间的连接,可以解决异性网络之间转发分组,作用于网络层。他 们只是从一条线路上接受输入分组,然后向另一条线路转发。这两条线路可能分属于不同的网络,并采用不同协议。相比较而言,路由器的功能较交换机要强大,但速度相对也慢,价格昂贵,第三层交换机既有交换机线速转发报文能力,又有路由器良好的控制功能,因此得以广泛应用。

2.一台服务器IP地址为192.168.0.100,客户端工作站IP地址为192.168.0.99。

2.1客户端工作站无法访问服务器,简述所有可能问题原因,及如何进行排错(10分)。

客户端无法获取有效IP地址

当出现一种网络应用故障时,如无法接入Internet,要尝试使用其他网络应用,如查找网络中的其他电脑,或使用局域网中的Web测览等。即可判断是连通性故障,然后继续下面操作。

查看网卡的指示灯是否正常。正常情况下,在不传送数据时,网卡的指示灯闪烁较慢,传送数据时,闪烁较快。无论是不亮,还是长亮不灭,都表明有故障存在。如果网卡的指示灯不正常,需关掉电脑更换网卡。对于HUB的指示灯,凡是插有网线的端口,指示灯都亮。由于是HUB,所以,指示灯的作用只能指示该端口是否连接有终端设备,不能显示通信状态。

使用Ping命令,Ping本地的IP地址或计算机名(如zw179)。检查网卡和IP网络协议是否安装完好。如果能Ping通,说明该电脑的网卡和网络协议设置都没有问题。应当检查网线和HUB及HUB的接口状态,如果无法Ping通,只能说明TCP/IP协议有问题。

如果确定网卡和协议都没有问题的情况下,网络还是不通,可初步断定是HUB和双绞线的问颖。为了进一步进行确认,可再换一台计算机用同样的方法进行判断。如果其他计算机与本机连接正常,则故障一定是先前的那台计算机和HUB的接口上。

如呆确定Hub有故障,应首先检查HUB的指示灯是否正常,如果先前那台电脑与HUB连接的接口灯不亮说明该HUB的接口有故障(HUB的指示灯表明插有网线的端口,指示灯亮,指示灯不能显示通信状态)。

如果HUB没有问题,则检查电脑到HUB的那一段双绞线和所安装的网卡是否有故障。判断双绞线是否有问题可以通过 "双绞线测试仪"或用2块万用表分别由两个人往双绞线的两端测试。主要测试双绞线的1、2和3、6四条线 (其中1、2线用于发送,3、6线用于接收)。如果发现有一根不通就要重新制作。

2.2如果使用“Ping”命令,如何不间断测试,测试数据包大小为“6500”(5分)。

ping -t -l 6500 192.168.0.100

3.SQL SERVER数据库知识:数据库DB1中有Table1和Table2两张数据表,请写出以下操作SQL语句 Table1

Table2

3.1查询出Table1中,Address包含“Street”的数据。(2分)

SELECT * FROM Table1 WHERE LIKE ‘_ _ _%Street’ESCAPE’’

3.2查询出Table2表中不重复的“LastName”记录。(2分)

SELECT * FROM Table2 WHERE

3.3统计出Table2表中“Year”大于等于“1980”的数据共有多少条。(2分)

SELECT COUNT(*) FROM Table2 WHELE Year>=1980

3.4查询出Table1表中“Address”和“City”数据,其在Table2表中“Year”为“1970”和“1980”。(4分)

SELECT Address, City FROM Table1, Table2 WHELE Year=1970 OR Rear=1980

3.5关联Table2表,将“Year”为“1970”和“1975”的条目对应的Table1表数据“City”更新为“Shanghai”。(5分)

3.6使用什么命令可以判断数据库表是否有死锁(5分)。 sp_lock

select convert (smallint, req_spid) As spid,

rsc_dbid As dbid,db.name as DBName,

rsc_objid As ObjId,object_name(rsc_objid) as ObjectName, rsc_indid As IndId,

substring (v.name, 1, 4) As Type,

substring (rsc_text, 1, 16) as Resource,

substring (u.name, 1, 8) As Mode,

substring (x.name, 1, 5) As Status

from master.dbo.syslockinfo,

master.dbo.spt_values v,

master.dbo.spt_values x,

master.dbo.spt_values u,

master.dbo.sysdatabases db

where master.dbo.syslockinfo.rsc_type = v.number and v.type = 'LR'

and master.dbo.syslockinfo.req_status = x.number and x.type = 'LS'

and master.dbo.syslockinfo.req_mode + 1 = u.number and u.type = 'L' and db.dbid=rsc_dbid and rsc_objid>0 order by spid

4.公司在保客户打电话给你报修报告工作站不能操作。

4.1你接到电话以后,如何答复客户?(10)。

问询客户工作站不能操作的具体情况,并且在电话中指导客户对工作站一些简单的操作,叫客户留下电话和地址,并且和客户讲我们在某某时间去维修

4.2根据客户报修,请判断问题可能原因及解决办法,如果了解信息不足,需要向客户询问哪些问题以帮助排查问题(10)。

针对工作站无法打开问题的处理意见:

由于以前试过一些解决办法问题没有解决,建议重新安装服务器和工作站软件,详细的操作步骤、方法及注意事项如下:

服务器安装:

1、 重新安装服务器操作系统,或者另外找一台计算机(操作系统为Windows Xp就可以,不一定要服务器操作系统)。

如果不重装系统,原机器上安装有监测系统的服务器软件,则需要先卸载监测系统的服务器软件,重启系统。

2、 运行安装程序,,

,选择安装路径,默认即可。

,默认设置,选择“继续”。安装过程中会出现几

次版本冲突,选择“是”。。最终提示

,服务器安装成功。

3、 覆盖升级。将文件夹打开,将文件夹中全部文件复制到服务器安装

文件夹D:kj95server中。

4、 参数设置。在服务器安装文件夹D:kj95server中打开,进行路径设置

,其中主控来源路径设置:主控机机器名或者IP地址kj95;本地数据存盘路径:D:kj95server;其他转换选择:选择人员监测投入转换。设置完成“确定”。此时,D:kj95server文件夹中会自动生成几个文件夹

5、 局域网访问。在运行中复制刚才设置的主控数据来源路径如zengyonghuakj95,点击确定。

,如果能打开KJ95文件夹说明局域网连接正常;如果

提示错误或找不到计算机,

说明局域网连接或

设置有问题;如果提示要求输入用户名和密码,那么每次运行程序之前都要先访问一次主控机,输入用户名和

密码,这样服务器软件才能正常运行。

6、 拷贝主控机的数据文件,将主控机中的以下几个文件夹全部复制到服务器D:kj95server中

原来几个自动生成的

文件夹是空的,全部覆盖。

7、 共享D:kj95server。设置共享方式,,

把使用简单文件共享前面的勾去掉。打开D盘

,,打开

权限,允许中全选。,打开安全选项,

,将Everyone的权限“允许”全部选中。如果在“组

或用户名称”中没有Everyone,则选择添加

,再按照上图设置。将Everyone的权

限“允许”全部选中。

8、 开放guest用户。

查看guest,是不是有红叉,如果有,将账户已停用前面的勾去掉。

9、 运行服务器程序,提示覆盖数

据库。

二 : 72信息安全管理教程试题库

1. 根据IS013335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 (√)

2. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。

3. 只要投资充足,技术措施完备,就能够保证百分之百的信息安全。

4. 我国在2006年提出的(2006—2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。(√)

5. 2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。(√)

6. 在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。

7. 安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。(√)

8. Windows2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。(√)

9. 信息安全等同于网络安全。

10. GB l7859与目前等级保护所规定的安全等级的含义不同,GB l7859中等级划分为现在的等级保护奠定了基础。(√)

11. 口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信:息,进而非法获得系统和资源访问权限。(√)

12. PKI系统所有的安全操作都是通过数字证书来实现的。(√)

13. PKI系统使用了非对称算法.对称算法和散列算法。(√)

14. 一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√)

15. 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。(√)

16. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。(√)

17. 按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。(√)

18. 虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。(√)

19. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。

20. 定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。(√)

21. 网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√)

22. 网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。

23. 防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。(√)

24. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。

25. 信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。(√)

26. 美国国家标准技术协会NIST发布的《SP 800—30》中详细阐述了IT系统风险管理内容。(√)

27. 防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。(√)

28. 通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。(√)

29. 脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。(√)

1. 下列关于信息的说法______是错误的。

A. 信息是人类社会发展的重要支柱 B. 信息本身是无形的

C. 信息具有价值,需要保护 D. 信息可以以独立形态存在

2. 信息安全经历了三个发展阶段,以下______不属于这三个发展阶段。

A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段

3. 信息安全在通信保密阶段对信息安全的关注局限在______安全属性。

A.不可否认性 B.可用性 C.保密性 D.完整性 4. 信息安全在通信保密阶段中主要应用于______领域。

A.军事 B.商业 C.科研 D.教育 5. 信息安全阶段将研究领域扩展到三个基本属性,下列______不属于这三个基本属性。

A.保密性 B.完整性 C.不可否认性 D.可用性

6. 安全保障阶段中将信息安全体系归结为四个主要环节,下列______是正确的。

A. 策略、保护、响应、恢复 B. 加密、认证、保护、检测

C. 策略、网络攻防、密码学、备份 D. 保护、检测、响应、恢复 7. 下面所列的______安全机制不属于信息安全保障体系中的事先保护环节。

A.杀毒软件 B.数字证书认证 C.防火墙 D.数据库加密

8. 根据IS0的信息安全定义,下列选项中______是信息安全三个基本属性之一。

A.真实性 B.可用性 C.可审计性 D.可靠性

9. 为了数据传输时不发生数据截获和信息泄密,采取了加密机制。这种做法体现了信息安全的______属性。

A.保密性 B.完整性 C.可靠性 D.可用性

10. 定期对系统和数据进行备份,在发生灾难时进行恢复。该机制是为了满足信息安全的______属性。

A.真实性 B.完整性 C.不可否认性 D.可用性 11. 数据在存储过程中发生了非法访问行为,这破坏了信息安全的______属性。

A.保密性 B.完整性 C.不可否认性 D.可用性 12. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的______属性。

A.保密性 B.完整性 C.不可否认性 D.可用性 13. PDR安全模型属于______类型。

A.时间模型 B.作用模型 C.结构模型 D.关系模型 14. 《信息安全国家学说》是______的信息安全基本纲领性文件。

A.法国 B.美国 C.俄罗斯 D.英国 15. 下列的______犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。

A. 窃取国家秘密 B. 非法侵入计算机信息系统

C. 破坏计算机信息系统 D. 利用计算机实施金融诈骗 16. 我国刑法______规定了非法侵入计算机信息系统罪。

A.第284条 B.第285条 C.第286条 D.第287条 17. 信息安全领域内最关键和最薄弱的环节是______。

A.技术 B.策略 C.管理制度 D.人 18. 信息安全管理领域权威的标准是______。

A. IS015408 B. IS017799/IS027001 C. IS09001 D. IS014001

19. IS017799/IS027001最初是由______提出的国家标准。

A.美国 B.澳大利亚 C.英国 D.中国

20. IS017799的内容结构按照______进行组织。

A. 管理原则 B. 管理框架

C. 管理域-控制目标-控制措施 D. 管理制度

21. ______对于信息安全管理负有责任。

A. 高级管理层 B. 安全管理员

C. IT管理员 D. 所有与信息系统有关人员 22. 对于提高人员安全意识和安全操作技能来说,以下所列的安全管理最有效的是______。

A.安全检查 B.教育与培训 C.责任追究 D.制度约束 23. 《计算机信息系统安全保护条例》是由中华人民共和国______第l47号发布的。

A. 国务院令 B. 全国人民代表大会令

C. 公安部令 D. 国家安全部令 24. 《互联网上网服务营业场所管理条例》规定,______负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。

A.人民法院 B.公安机关

C.工商行政管理部门 D.国家安全部门

25. 计算机病毒最本质的特性是______。

A.寄生性 B.潜伏性 C.破坏性 D.攻击性

26. ______安全策略是得到大部分需求的支持并同时能够保护企业的利益。

A.有效的 B.合法的 C.实际的 D.成熟的 27. 在PDR安全模型中最核心的组件是______。

A.策略 B.保护措施 C.检测措施 D.响应措施

28. 制定灾难恢复策略,最重要的是要知道哪些是商务工作中最重要的设施,在发生灾难后,这些设施的______。

A.恢复预算是多少 B.恢复时间是多长 C.恢复人员有几个 D.恢复设备有多少

29. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的成果文档被称为______。

A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范

30. 对保护数据来说,功能完善、使用灵活的______必不可少。

A.系统软件 B.备份软件 C.数据库软件 D.网络软件

31. 防止静态信息被非授权访问和防止动态信息被截取解密是______。

A.数据完整性 B.数据可用性 C.数据可靠性 D.数据保密性

32. 用户身份鉴别是通过______完成的。

A.口令验证 B.审计策略 C.存取控制 D.查询功能

33. 故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以______。

A. 3年以下有期徒刑或拘役 B. 警告或者处以5000元以下的罚款

C. 5年以上7年以下有期徒刑 D. 警告或者15000元以下的罚款

34. 网络数据备份的实现主要需要考虑的问题不包括______。

A.架设高速局域网 B.分析应用环境 C.选择备份硬件设备 D.选择备份管理软件

35. 《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在______向当地县级以上人民政府公安机关报告。

A.8小时内 B.12小时内 C.24小时内 D.48小时内

36. 公安部网络违法案件举报网站的网址是______。

B.

D. www.110.cn

37. 对于违反信息安全法律、法规行为的行政处罚中,______是较轻的处罚方式。

A.警告 B.罚款 C.没收违法所得 D.吊销许可证

38. 对于违法行为的罚款处罚,属于行政处罚中的______。

A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚

39. 对于违法行为的通报批评处罚,属于行政处罚中的______。

A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚

40. 1994年2月国务院发布的《计算机信息系统安全保护条例》赋予______对计算机信息系统的安全保护工作行使监督管理职权。

A.信息产业部 B.全国人大 C.公安机关 D.国家工商总局

41. 《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起______日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。

A.7 B.10 C.15 D.30 42. 互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存天记录备份的功能。

A.10 B.30 C.60 D.90 43. 对网络层数据包进行过滤和控制的信息安全技术机制是______。

A.防火墙 B.IDS C.Sniffer D.IPSec

44. 下列不属于防火墙核心技术的是______。

A. (静态/动态)包过滤技术 B. NAT技术

C. 应用代理技术 D. 日志审计 45. 应用代理防火墙的主要优点是______。

A. 加密强度更高 B. 安全控制更细化、更灵活

C. 安全服务的透明性更好 D. 服务对象更广泛

46. 安全管理中经常会采用“权限分离”的办法,防止单个人员权限过高,出现内部人员的违法犯罪行为,“权限分离”属于______控制措施。

A.管理 B.检测 C.响应 D.运行

47. 安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为,属于______控制措施。

A.管理 B.检测 C.响应 D.运行 48. 下列选项中不属于人员安全管理措施的是______。

A.行为监控 B.安全培训 C.人员离岗 D.背景/技能审查

49. 《计算机病毒防治管理办法》规定,______主管全国的计算机病毒防治管理工作。 A. 信息产业部 B. 国家病毒防范管理中心

C. 公安部公共信息网络安全监察 D. 国务院信息化建设领导小组

50. 计算机病毒的实时监控属于______类的技术措施。

A.保护 B.检测 C.响应 D.恢复

51. 针对操作系统安全漏洞的蠕虫病毒根治的技术措施是______。

A. 防火墙隔离 B. 安装安全补丁程序

C. 专用病毒查杀工具 D. 部署网络入侵检测系统

52. 下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是______。

A. 防火墙隔离 B. 安装安全补丁程序

C. 专用病毒查杀工具 D. 部署网络入侵检测系统

53. 下列不属于网络蠕虫病毒的是______。

A. 冲击波 B. SQL SLAMMER C. CIH D. 振荡波

54. 传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了______等重要网络资源。

A.网络带宽 B.数据包 C.防火墙 D.LINUX

55. ______不是计算机病毒所具有的特点。

A.传染性 B.破坏性 C.潜伏性 D.可预见性

56. 关于灾难恢复计划错误的说法是______。 A. 应考虑各种意外情况 B. 制定详细的应对处理办法

C. 建立框架性指导原则,不必关注于细节 D. 正式发布前,要进行讨论和评审

57. 对于远程访问型VPN来说,______产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。

A. IPSee VPN B. SSL VPN C. MPLS VPN D. L2TP VPN

58. 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859—1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。

A.7 B.8 C.6 D.5

59. 等级保护标准GB l7859主要是参考了______而提出。

A.欧洲ITSEC B.美国TCSEC C.CC D.BS 7799

60. 我国在1999年发布的国家标准______为信息安全等级保护奠定了基础。

A. GB l77998 B. GB l5408 C. GB l7859 D. GB l4430 61. 信息安全登记保护的5个级别中,______是最高级别,属于关系到国计民生的最关键信息系统的保护。

A.强制保护级 B.专控保护级 C.监督保护级 D.指导保护级 E.自主保护级

62. 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。

A.安全定级 B.安全评估 C.安全规划 D.安全实施

63. ______是进行等级确定和等级保护管理的最终对象。

A.业务系统 B.功能模块 C.信息系统 D.网络系统

64. 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由______所确定。

A. 业务子系统的安全等级平均值 B. 业务子系统的最高安全等级

C. 业务子系统的最低安全等级 D. 以上说法都错误

65. 下列关于风险的说法,______是错误的。 A. 风险是客观存在的 B. 导致风险的外因是普遍存在的安全威胁

C. 导致风险的外因是普遍存在的安全脆弱性 D. 风险是指一种可能性

66. 下列关于风险的说法,______是正确的。

A. 可以采取适当措施,完全清除风险 B. 任何措施都无法完全清除风险

C. 风险是对安全事件的确定描述 D. 风险是固有的,无法被控制

67. 风险管理的首要任务是______。

A.风险识别和评估 B.风险转嫁 C.风险控制 D.接受风险

68. 关于资产价值的评估,______说法是正确的。

A. 资产的价值指采购费用 B. 资产的价值无法估计

C. 资产价值的定量评估要比定性评估简单容易 D. 资产的价值与其重要性密切相关

69. 采取适当的安全控制措施,可以对风险起到______作用。

A.促进 B.增加 C.减缓 D.清楚

70. 当采取了安全控制措施后,剩余风险______可接受风险的时候,说明风险管理是有效的。

A.等于 B.大于 C.小于 D.不等于

71. 安全威胁是产生安全事件的______。

A.内因 B.外因 C.根本原因 D.不相关因素

72. 安全脆弱性是产生安全事件的______。

A.内因 B.外因 C.根本原因 D.不相关因素

73. 下列关于用户口令说法错误的是______。

72信息安全管理教程试题库_信息安全管理

A. 口令不能设置为空 B. 口令长度越长,安全性越高

C. 复杂口令安全性足够高,不需要定期修改 D. 口令认证是最常见的认证机制

74. 在使用复杂度不高的口令时,容易产生弱令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列______具有最好的口令复杂度。

A. morrison B. Wm.$*F2m5@ C. 27776394 D. wangjing1977

75. 按照通常的口令使用策略,口令修改操作的周期应为______天。

A.60 B.90 C.30 D.120

76. 对口令进行安全性管理和使用,最终是为了______。

A. 口令不被攻击者非法获得 B. 防止攻击者非法获得访问和操作权限

C. 保证用户帐户的安全性 D. 规范用户操作行为

77. 人们设计了______,以改善口令认证自身安全性不足的问题。

A.统一身份管理 B.指纹认证 C.数字证书认证 D.动态口令认证机制 78. PKI是______。

A. Private Key Infrastructure B. Public Key Institute

C. Public Key Infrastructure D. Private Key Institute

79. 公钥密码基础设施PKI解决了信息系统中的______问题。

A.身份信任 B.权限管理 C.安全审计 D.加密

80. PKI所管理的基本元素是______。

A.密钥 B.用户身份 C.数字证书 D.数字签名

81. 最终提交给普通终端用户,并且要求其签署和遵守的安全策略是______。

A.口令策略 B.保密协议 C.可接受使用策略 D.责任追究制度

82. 下列关于信息安全策略维护的说法,______是错误的。

A. 安全策略的维护应当由专门的部门完成

B. 安全策略制定完成并发布之后,不需要再对其进行修改

C. 应当定期对安全策略进行审查和修订

D. 维护工作应当周期性进行

83. 链路加密技术是在OSI协议层次的第二层,数据链路层对数据进行加密保护,其处理的对象是______。

A.比特流 B.IP数据包 C.数据帧 D.应用数据

84. 防火墙最主要被部署在______位置。

A.网络边界 B.骨干线路 C.重要服务器 D.桌面终端

85. 下列关于防火墙的错误说法是______。

A. 防火墙工作在网络层 B. 对IP数据包进行分析和过滤

C. 重要的边界保护机制 D. 部署防火墙,就解决了网络安全问题

86. IPSec协议工作在______层次。

A.数据链路层 B.网络层 C.应用层 D.传输层

87. IPSec协议中涉及到密钥管理的重要协议是______。

A.IKE B.AH C.ESP D.SSL

88. 信息安全管理中,______负责保证安全管理策略与制度符合更高层法律、法规的要求,不发生矛盾和冲突。

A.组织管理 B.合规性管理 C.人员管理 D.制度管理

89. 下列______机制不属于应用层安全。

A.数字签名 B.应用代理 C.主机入侵检测 D.应用审计

90. 保证用户和进程完成自己的工作而又没有从事其他操作可能,这样能够使失误出错或蓄意袭击造成的危害降低,这通常被称为______。

A.适度安全原则 B.授权最小化原则 C.分权原则 D.木桶原则

91. 入侵检测技术可以分为误用检测和______两大类。

A.病毒检测 B.详细检测 C.异常检测 D.漏洞检测

92. 安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于______措施。

A.保护 B.检测 C.响应 D.恢复

93. ______不属于必需的灾前预防性措施。 A. 防火设施 B. 数据备份 C. 配置冗余设备

D. 不间断电源,至少应给服务器等关键设备配备

94. 对于人员管理的描述错误的是______。

A. 人员管理是安全管理的重要环节 B. 安全授权不是人员管理的手段

C. 安全教育是人员管理的有力手段 D. 人员管理时,安全审查是必须的

95. 根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行______。

A.逻辑隔离 B.物理隔离 C.安装防火墙 D.VLAN划分

96. 安全评估技术采用______这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。

A.安全扫描器 B.安全扫描仪 C.自动扫描器 D.自动扫描仪

97. ______最好地描述了数字证书。

A. 等同于在网络上证明个人和公司身份的身份证

B. 浏览器的一标准特性,它使得黑客不能得知用户的身份

C. 网站要求用户使用用户名和密码登陆的安全机制

D. 伴随在线交易证明购买的收据

98. 根据BS 7799的规定,建立的信息安全管理体系ISMS的最重要特征是______。

A.全面性 B.文档化 C.先进性 D.制度化

99. 根据BS 7799的规定,对信息系统的安全管理不能只局限于对其运行期间的管理维护,而要将管理措施扩展到信息系统生命周期的其他阶段,BS 7799中与此有关的一个重要方面就是______。

A. 访问控制 B. 业务连续性

C. 信息系统获取、开发与维护 D. 组织与人员

100. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的______。

A.强制保护级 B.监督保护级 C.指导保护级 D.自主保护级

101. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于______。

A.强制保护级 B.监督保护级 C.指导保护级 D.自主保护级

102. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的______。

A.强制保护级 B.监督保护级 C.指导保护级 D.自主保护级

103. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的______。

A.强制保护级 B.监督保护级 C.指导保护级 D.自主保护级

104. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子

系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的______。

A.专控保护级 B.监督保护级 C.指导保护级 D.自主保护级

105. GB l7859借鉴了TCSEC标准,这个TCSEC是______国家标准。

A.英国 B.意大利 C.美国 D.俄罗斯

106. 关于口令认证机制,下列说法正确的是______。

A. 实现代价最低,安全性最高 B. 实现代价最低,安全性最低

C. 实现代价最高,安全性最高 D. 实现代价最高,安全性最低 107. 根据BS 7799的规定,访问控制机制在信息安全保障体系中属于______环节。

A.保护 B.检测 C.响应 D.恢复

108. 身份认证的含义是______。

A.注册一个用户 B.标识一个用户 C.验证一个用户 D.授权一个用户 109. 口令机制通常用于______。

A.认证 B.标识 C.注册 D.授权

110. 对日志数据进行审计检查,属于______类控制措施。

A.预防 B.检测 C.威慑 D.修正

111. 《信息系统安全等级保护测评准则》将测评分为安全控制测评和______测评两方面。

A.系统整体 B.人员 C.组织 D.网络

112. 根据风险管理的看法,资产______价值,______脆弱任,被安全威胁______,______风险。

A. 存在 利用 导致 具有 B. 具有 存在 利用 导致

C. 导致 存在 具有 利用 D. 利用 导致 存在 具有

113. 根据定量风险评估的方法,下列表达式正确的是______。

A. SLE=AV×EF B. ALE=AV×EF C. ALE=SLE×EF D. ALE=SLE×AV 114. 防火墙能够______。

A. 防范恶意的知情者 B. 防范通过它的恶意连接

C. 防备新的网络安全问题 D. 完全防止传送已被病毒感染的软件和文件 115. 下列四项中不属于计算机病毒特征的是______。

A.潜伏性 B.传染性 C.免疫性 D.破坏性

116. 关于入侵检测技术,下列描述错误的是______。

A. 入侵检测系统不对系统或网络造成任何影响

B. 审计数据或系统日志信息是入侵检测系统的一项主要信息来源

C. 入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵

D. 基于网络的入侵检测系统无法检查加密的数据流

117. 安全扫描可以______。

A. 弥补由于认证机制薄弱带来的问题

B. 弥补由于协议本身而产生的问题

C. 弥补防火墙对内网安全威胁检测不足的问题

D. 扫描检测所有的数据包攻击,分析所有的数据流

118. 下述关于安全扫描和安全扫描系统的描述错误的是______。

A. 安全扫描在企业部署安全策略中处于非常重要的地位

B. 安全扫描系统可用于管理和维护信息安全设备的安全

C. 安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性

D. 安全扫描系统是把双刃剑

119. 关于安全审计目的描述错误的是______。

A. 识别和分析未经授权的动作或攻击 B. 记录用户活动和系统管理

C. 将动作归结到为其负责的实体 D. 实现对安全事件的应急响应 120. 安全审计跟踪是______。

A. 安全审计系统检测并追踪安全事件的过程

B. 安全审计系统收集易于安全审计的数据

C. 人利用日志信息进行安全事件分析和追溯的过程

D. 对计算机系统中的某种行为的详尽跟踪和观察

121. 根据《计算机信息系统国际联网保密管理规定》的规定,凡向国际联网的站点提供或发布信息,必须经过______。

A.内容过滤处理 B.单位领导同意 C.备案制度 D.保密审查批准

122. 根据《计算机信息系统国际联网保密管理规定》的规定,上网信息的保密管理坚持______的原则。 A.国家公安部门负责 B.国家保密部门负责

C.“谁上网谁负责” D.用户自觉

123. 根据《计算机信息系统国际联网保密管理规定》的规定,保密审批实行部门管理,有关单位应当根据国家保密法规,建立健全上网信息保密审批______。

A. 领导责任制 B. 专人负责制 C. 民主集中制 D. 职能部门监管责任制 124. 网络信息未经授权不能进行改变的特性是______。

A.完整性 B.可用性 C.可靠性 D.保密性

125. 确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是______。

A.完整性 B.可用性 C.可靠性 D.保密性

126. 确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝,允许其可靠而且及时地访问信息及资源的特性是______。

A.完整性 B.可用性 C.可靠性 D.保密性

127. ______国务院发布《计算机信息系统安全保护条例》。

A. 1990年2月18日 B. 1994年2月18日 C. 2000年2月18日 D. 2004年2月18日 128. 在目前的信息网络中,______病毒是最主要的病毒类型。

A.引导型 B.文件型 C.网络蠕虫 D.木马型

129. 在IS0/IEC l7799中,防止恶意软件的目的就是为了保护软件和信息的______。

A.安全性 B.完整性 C.稳定性 D.有效性

130. 在生成系统帐号时,系统管理员应该分配给合法用户一个______,用户在第一次登录时应更改口令。

A.唯一的口令 B.登录的位置 C.使用的说明 D.系统的规则

131. 关于防火墙和VPN的使用,下面说法不正确的是______。

A. 配置VPN网关防火墙的一种方法是把它们并行放置,两者独立

B. 配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在广域网一侧,VPN在局域网一侧

C. 配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在局域网一侧,VPN在广域网一侧

D. 配置VPN网关防火墙的一种方法是把它们并行放置,两者要互相依赖

132. 环境安全策略应该______。

A.详细而具体 B.复杂而专业 C.深入而清晰 D.简单而全面

133. 《计算机信息系统安全保护条例》规定,计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的______的安全。

A.计算机 B.计算机软件系统 C.计算机信息系统 D.计算机操作人员 134. 《计算机信息系统安全保护条例》规定,国家对计算机信息系统安全专用产品的销售实行______。

A. 许可证制度 B. 3C认证 C. IS0 9000认证 D. 专卖制度

135. 《互联网上网服务营业场所管理条例》规定,互联网上网服务营业场所经营单位______。

A. 可以接纳未成年人进入营业场所

B. 可以在成年人陪同下,接纳未成年人进入营业场所

C. 不得接纳未成年人进入营业场所

D. 可以在白天接纳未成年人进入营业场所

136. ______是一种架构在公用通信基础设施上的专用数据通信网络,利用IPSec等阿络层安全协议和建立在PKI上的加密与签名技术来获得私有性。

A.SET B.DDN C.VPN D.PKIX

137. 《计算机信息系统安全保护条例》规定,运输、携带、邮寄计算机信息媒体进出境的,应当如实向______。

A. 国家安全机关申报 B. 海关申报

C. 国家质量检验监督局申报 D. 公安机关申报

138. 《计算机信息系统安全保护条例》规定,故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以______的罚款、对单位处以______的罚款。

A. 5000元以下 15000元以下 B. 5000元 15000元

C. 2000元以下 10000元以下 D. 2000元 10000元

139. 计算机犯罪,是指行为人通过______所实施的危害______安全以及其他严重危害社会的并应当处以刑罚的行为。

A. 计算机操作 计算机信息系统 B. 数据库操作 计算机信息系统

C. 计算机操作 应用信息系统 D. 数据库操作 管理信息系统 140. 策略应该清晰,无须借助过多的特殊一通用需求文档描述,并且还要有具体的______。

A.管理支持 B.技术细节 C.实施计划 D.补充内容

141. 系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速______。

A.恢复整个系统 B.恢复所有数据 C.恢复全部程序 D.恢复网络设置 142. 在一个企业网中,防火墙应该是______的一部分,构建防火墙时首先要考虑其保护的范围。

A.安全技术 B.安全设置 C.局部安全策略 D.全局安全策略 143. 信息安全策略的制定和维护中,最重要是要保证其______和相对稳定性。

A.明确性 B.细致性 C.标准性 D.开放性

144. ______是企业信息安全的核心。

A.安全教育 B.安全措施 C.安全管理 D.安全设施

145. 编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码是______。

A.计算机病毒 B.计算机系统 C.计算机游戏 D.计算机程序

146. 许多与PKI相关的协议标准(如PKIX、S/MIME、SSL、TLS、IPSec)等都是在______基础上发展起来的。

A.X.500 B.X.509 C.X.519 D.X.505

147. ______是PKI体系中最基本的元素,PKI系统所有的安全操作都是通过该机制来实现的。

A.SSL B.IARA C.RA D.数字证书 148. 基于密码技术的访问控制是防止______的主要防护手段。

A.数据传输泄密 B.数据传输丢失 C.数据交换失败 D.数据备份失败 149. 避免对系统非法访问的主要方法是______。

A.加强管理 B.身份认证 C.访问控制 D.访问分配权限 150. 对保护数据来说,功能完善、使用灵活的______必不可少。

A.系统软件 B.备份软件 C.数据库软件 D.网络软件 151. 信息安全PDR模型中,如果满足______,说明系统是安全的。

A.Pt>Dt+Rt B.Dt>Pt+Rt C.Dt D.Pt

72信息安全管理教程试题库_信息安全管理

152. 在一个信息安全保障体系中,最重要的核心组成部分为______。

A.技术体系 B.安全策略 C.管理体系 D.教育与培训

153. 国家信息化领导小组在《关于加强信息安全保障工作的意见》中,针对下一时期的信息安全保障工作提出了______项要求。

A.7 B.8 C.9 D.10

154. 《确保网络空间安全的国家战略》是______发布的国家战略。

A.英国 B.法国 C.德国 D.美国 155. 《计算机信息系统安全保护条例》规定,______主管全国计算机信息系统安全保护工作。

A.公安部 B.国务院信息办 C.信息产业部 D.国务院 156. 下列______不属于物理安全控制措施。

A.门锁 B.警卫 C.口令 D.围墙 157. 灾难恢复计划或者业务连续性计划关注的是信息资产的______属性。

A.可用性 B.真实性 C.完整性 D.保密性 158. VPN是______的简称。

A. Visual Private Network B. Virtual Private Network

C. Virtual Public Network D. Visual Public Network

159. 部署VPN产品,不能实现对______属性的需求。

A.完整性 B.真实性 C.可用性 D.保密性

160. ______是最常用的公钥密码算法。

A.RSA B.DSA C.椭圆曲线 D.量子密码 161. PKI的主要理论基础是______。

A.对称密码算法 B.公钥密码算法 C.量子密码 D.摘要算法 162. PKI中进行数字证书管理的核心组成模块是______。

A.注册中心RA B.证书中心CA C.目录服务器 D.证书作废列表 163. 信息安全中的木桶原理,是指______。

A. 整体安全水平由安全级别最低的部分所决定

B. 整体安全水平由安全级别最高的部分所决定

C. 整体安全水平由各组成部分的安全级别平均值所决定

D. 以上都不对

164. 关于信息安全的说法错误的是______。 A. 包括技术和管理两个主要方面 B. 策略是信息安全的基础

C. 采取充分措施,可以实现绝对安全 D. 保密性、完整性和可用性是信息安全的目标 165. PDR模型是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的P代表______、D代表______、R代表______。

A.保护 检测 响应 B.策略 检测 响应 C.策略 检测 恢复 D.保护 检测 恢复 166. 《计算机信息系统安全保护条例》规定,任何组织或者个人违反条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担______。

A.刑事责任 B.民事责任 C.违约责任 D.其他责任 167. 在信息安全管理中进行______,可以有效解决人员安全意识薄弱问题。

A.内容监控 B.责任追查和惩处 C.安全教育和培训 D.访问控制 168. 关于信息安全,下列说法中正确的是______。

A. 信息安全等同于网络安全 B. 信息安全由技术措施实现

C. 信息安全应当技术与管理并重 D. 管理措施在信息安全中不重要

169. 在PPDRR安全模型中,______是属于安全事件发生后的补救措施。

A.保护 B.恢复 C.响应 D.检测

170. 根据权限管理的原则,一个计算机操作员不应当具备访问______的权限。

A.操作指南文档 B.计算机控制台 C.应用程序源代码 D.安全指南 171. 网络蠕虫病毒以网络带宽资源为攻击对象,主要破坏网络的______。

A.可用性 B.完整性 C.保密性 D.可靠性 172. 要实现有效的计算机和网络病毒防治,______应承担责任。

A.高级管理层 B.部门经理 C.系统管理员 D.所有计算机用户 173. 统计数据表明,网络和信息系统最大的人为安全威胁来自于______。

A.恶意竞争对手 B.内部人员 C.互联网黑客 D.第三方人员 174. 双机热备是一种典型的事先预防和保护措施,用于保证关键设备和服务的______属性。

A.保密性 B.可用性 C.完整性 D.真实性 175. 在安全评估过程中,采取______手段,可以模拟黑客入侵过程,检测系统安全脆弱性。

A.问卷调查 B.人员访谈 C.渗透性测试 D.手工检查 176. 我国正式公布了电子签名法,数字签名机制用于实现______需求。

A.抗否认 B.保密性 C.完整性 D.可用性 177. 在需要保护的信息资产中,______是最重要的。

A.环境 B.硬件 C.数据 D.软件

178. ______手段,可以有效应对较大范围的安全事件的不艮影啊,保证关键服务和数据的可用性。

A.定期备份 B.异地备份 C.人工备份 D.本地备份 179. ______能够有效降低磁盘机械损坏给关键数据造成的损失。

A.热插拔 B.SCSI C.RAID D.FAST—ATA

180. 相对于现有杀毒软件在终端系统中提供保护不同,______在内外网络边界处提供更加主动和积极的病毒保护。

A.防火墙 B.病毒网关 C.IPS D.IDS

181. 信息安全评测标准CC是______标准。

A.美国 B.国际 C.英国 D.澳大利亚

182. 《信息系统安全等级保护基本要求》中,对不同级别的信息系统应具备的基本安全保护能力进行了要求,共划分为______级。

A.4 B.5 C.6 D.7

三、多选题

1. 在互联网上的计算机病毒呈现出的特点是 。

A. 与因特网更加紧密地结合,利用一切可以利用的方式进行传播

B. 所有的病毒都具有混合型特征,破坏性大大增强

C. 因为其扩散极快,不再追求隐蔽性,而更加注重欺骗性

D. 利用系统漏洞传播病毒

E. 利用软件复制传播病毒

2. 全国人民代表大会常务委员会《关于维护互联网安全的决定》规定,利用互联网实施违法行为,尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员,依法给予__A__或者___B _。

A.行政处分 B.纪律处分 C.民事处分 D.刑事处分

3. 《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不得从事下列危害计算机信息网络安全的活动:(ABCD)。

A. 故意制作、传播计算机病毒等破坏性程序的

B. 未经允许,对计算机信息网络功能进行删除、修改或者增加的

C. 未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的

D. 未经允许,进入计算机信息网络或者使用计算机信息网络资源的

4. 用于实时的入侵检测信息分析的技术手段有______。(AD)

A.模式匹配 B.完整性分析 C.可靠性分析 D.统计分析

E.可用性分析

5. 《互联网上网服务营业场所管理条例》规定,______负责互联网上网服务营业场所经营许可审批和服务质量监督。(ABC)

A. 省电信管理机构 B. 自治区电信管理机构

C. 直辖市电信管理机构 D. 自治县电信管理机构

E. 省信息安全管理机构

6. 《互联网信息服务管理办法》规定,互联网信息服务提供者不得制作、复制、发布、传播的信息内容有______。(ADE)

A. 损害国家荣誉和利益的信息 B. 个人通信地址

C. 个人文学作品 D. 散布淫秽、色情信息

E. 侮辱或者诽谤他人,侵害他人合法权益的信息

7. 《计算机信息系统安全保护条例》规定,______由公安机关处以警告或者停机整顿。(ABCDE)

A. 违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的

B. 违反计算机信息系统国际联网备案制度的

C. 有危害计算机信息系统安全的其他行为的

D. 不按照规定时间报告计算机信息系统中发生的案件的

E. 接到公安机关要求改进安全状况的通知后,在限期内拒不改进的

8. 与计算机有关的违法案件,要______,以界定是属于行政违法案件,还是刑事违法案件。(ABD)

A. 根据违法行为的情节和所造成的后果进行界定

B. 根据违法行为的类别进行界定

C. 根据违法行为人的身份进行界定

D. 根据违法行为所违反的法律规范来界定

9. 对于违法行为的行政处罚具有的特点是______。(ABCD)

A. 行政处罚的实施主体是公安机关

B. 行政处罚的对象是行政违法的公民、法人或其他组织

C. 必须有确定的行政违法行为才能进行行政处罚

D. 行政处罚具有行政强制性

10. ______是行政处罚的主要类别。(ABCDE)

A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚

E.责令作为与不作为罚

11. 互联网服务提供者和联网使用单位应当落实的互联网安全保护技术措施包括______。(ABCD)

A. 防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施

B. 重要数据库和系统主要设备的冗灾备份措施

C. 记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的技术措施

D. 法律、法规和规章规定应当落实的其他安全保护技术措施

12. 在刑法中,______规定了与信息安全有关的违法行为和处罚依据。(ABD)

A.第285条 B.第286条 C.第280条 D.第287条

13. ______可能给网络和信息系统带来风险,导致安全事件。(ABCDE)

A.计算机病毒 B.网络入侵 C.软硬件故障

D.人员误操作 E.不可抗灾难事件

14. ______安全措施可以有效降低软硬件故障给网络和信息系统所造成的风险。(ABCD)

A.双机热备 B.多机集群 C.磁盘阵列

D.系统和数据备份 E.安全审计

15. 典型的数据备份策略包括______。(ABD)

A.完全备份 B.增量备份 C.选择性备份

D.差异备份 E.手工备份

16. 我国信息安全等级保护的内容包括______。(ABD)

A. 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护

B. 对信息系统中使用的信息安全产品实行按等级管理

C. 对信息安全从业人员实行按等级管理

D. 对信息系统中发生的信息安全事件按照等级进行响应和处置

E. 对信息安全违反行为实行按等级惩处

17. 目前,我国在对信息系统进行安全等级保护时,划分了5个级别,包括______。(ABCDE)

A.专控保护级 B.强制保护级 C.监督保护级

D.指导保护级 E.自主保护级

18. 下列______因素,会对最终的风险评估结果产生影响。(BCDE)

A.管理制度 B.资产价值 C.威胁

D.脆弱性 E.安全措施

19. 下列______因素与资产价值评估有关。(ACD)

A. 购买资产发生的费用 B. 软硬件费用 C. 运行维护资产所需成本

D. 资产被破坏所造成的损失 E. 人工费用

20. 安全控制措施可以分为______。(ABD)

A.管理类 B.技术类 C.人员类

D.操作类 E.检测类

21. 安全脆弱性,是指安全性漏洞,广泛存在于______。(ABC)

A.协议设计过程 B.系统实现过程 C.运行维护过程

D.安全评估过程 E.审计检查过程

22. 信息安全技术根据信息系统自身的层次化特点,也被划分了不同的层次,这些层次包括_。(ACDE)

A.物理层安全 B.人员安全 C.网络层安全

D.系统层安全 E.应用层安全

23. 物理层安全的主要内容包括______。(ABD)

A.环境安全 B.设备安全 C.线路安全

D.介质安全 E.人员安全

24. 根据BS 7799的规定,信息安全管理体系ISMS的建立和维护,也要按照PDCA的管理模型周期性进行,主要包含______环节。(BCDE)

A.策略Policy B.建立Plan C.实施Do

D.检查Check E.维护改进Act

25. 在BS 7799中,访问控制涉及到信息系统的各个层面,其中主要包括______。(ABDE)

A.物理访问控制 B.网络访问控制 C.人员访问控制

D.系统访问控制 E.应用访问控制

26. 英国国家标准BS 7799,经国际标准化组织采纳为国家标准______。(AD)

A. IS0 17799 B. IS0 15408 C. IS0 13335

D. IS0 27001 E. IS0 24088

27. 计算机信息系统安全的三个相辅相成、互补互通的有机组成部分是______。(ABD)

A.安全策略 B.安全法规 C.安全技术 D.安全管理

28. 为正确获得口令并对其进行妥善保护,应认真考虑的原则和方法有______。(ABCD)

A. 口令/帐号加密 B. 定期更换口令

C. 限制对口令文件的访问 D. 设置复杂的、具有一定位数的口令

29. 关于入侵检测和入侵检测系统,下述正确的选项是______。(ABCE)

A. 入侵检测收集信息应在网络的不同关键点进行

B. 入侵检测的信息分析具有实时性

C. 基于网络的入侵检测系统的精确性不及基于主机的入侵检测系统的精确性高

D. 分布式入侵检测系统既能检测网络的入侵行为,又能检测主机的入侵行为

E. 入侵检测系统的主要功能是对发生的入侵事件进行应急响应处理

30. 目前广泛使用的主要安全技术包括______。(ABCDE)

A.防火墙 B.入侵检测 C.PKI

D.VPN E.病毒查杀

31. 《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不得制作、复制、发布、传播的信息内容有______。(ADE)

A. 损害国家荣誉和利益的信息 B. 个人通信地址

C. 个人文学作品 D. 淫秽、色情信息

E. 侮辱或者诽谤他人,侵害他人合法权益的信息

32. 基于角色对用户组进行访问控制的方式有以下作用:______。(CDE)

A. 使用户分类化 B. 用户的可管理性得到加强

C. 简化了权限管理,避免直接在用户和数据之间进行授权和取消

D. 有利于合理划分职责 E. 防止权力滥用

33. 在网络中身份认证时可以采用的鉴别方法有______。(ABD)

A. 采用用户本身特征进行鉴别 B. 采用用户所知道的事进行鉴别

C. 采用第三方介绍方法进行鉴别 D. 使用用户拥有的物品进行鉴别

E. 使用第三方拥有的物品进行鉴别

34. 在IS0/IEC l7799标准中,信息安全特指保护 。(ABD)

A.信息的保密性 B.信息的完整性 C.信息的流动性 D.信息的可用性

35. PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的__的总和。(ABCDE)

A.硬件 B.软件 C.人员

D.策略 E.规程

36. SSL主要提供三方面的服务,即______。(BDE)

A. 数字签名 B. 认证用户和服务器 C. 网络传输

D. 加密数据以隐藏被传送的数据 E. 维护数据的完整性

37. 经典密码学主要包括两个既对立又统一的分支,即______。(AC)

A.密码编码学 B.密钥密码学 C.密码分析学

D.序列密码 E.古典密码

38. 全国人民代表大会常务委员会《关于维护互联网安全的决定》规定,为了维护社会主义市场经济秩序和社会管理秩序,______行为,构成犯罪的,依照刑法有关规定追究刑事责任。(ABCDE)

A. 利用互联网销售伪劣产品或者对商品、服务作虚假宣传

B. 利用互联网侵犯他人知识产权

C. 利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息

D. 利用互联网损害他人商业信誉和商品声誉

E. 在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片

39. 有多种情况能够泄漏口令,这些途径包括______。 (ACDE)

A.猜测和发现口令 B.口令设置过于复杂 C.将口令告诉别人

D.电子监控 E.访问口令文件

40. 信息系统常见的危险有______。(ABCD)

A. 软硬件设计故障导致网络瘫痪 B. 黑客入侵

C. 敏感信息泄露 D. 信息删除 E. 电子邮件发送

41. 对于计算机系统,由环境因素所产生的安全隐患包括______。(ABCD)

72信息安全管理教程试题库_信息安全管理

A. 恶劣的温度、湿度、灰尘、地震、风灾、火灾等

B. 强电、磁场等 C. 雷电 D. 人为的破坏

42. 在局域网中计算机病毒的防范策略有______。(ADE)

A.仅保护工作站 B.保护通信系统 C.保护打印机

D.仅保护服务器 E.完全保护工作站和服务器

43. 在互联网上的计算机病毒呈现出的特点是______。(ABCD)

A. 与互联网更加紧密地结合,利用一切可以利用的方式进行传播

B. 具有多种特征,破坏性大大增强

C. 扩散性极强,也更注重隐蔽性和欺骗性

D. 针对系统漏洞进行传播和破坏

44. 一个安全的网络系统具有的特点是______。(ABCE)

A. 保持各种数据的机密

B. 保持所有信息、数据及系统中各种程序的完整性和准确性

C. 保证合法访问者的访问和接受正常的服务

D. 保证网络在任何时刻都有很高的传输速度

E. 保证各方面的工作符合法律、规则、许可证、合同等标准

45. 任何信息安全系统中都存在脆弱点,它可以存在于______。(ABCDE)

A.使用过程中 B.网络中 C.管理过程中

D.计算机系统中 E.计算机操作系统中

46. ______是建立有效的计算机病毒防御体系所需要的技术措施。(ABCDE)

A.杀毒软件 B.补丁管理系统 C.防火墙

D.网络入侵检测 E.漏洞扫描

47. 信息系统安全保护法律规范的作用主要有______。(ABCDE)

A.教育作用 B.指引作用 C.评价作用

D.预测作用 E.强制作用

48. 根据采用的技术,入侵检测系统有以下分类:______。(BC)

A.正常检测 B.异常检测 C.特征检测

D.固定检测 E.重点检测

49. 在安全评估过程中,安全威胁的来源包括______。(ABCDE)

A.外部黑客 B.内部人员 C.信息技术本身

D.物理环境 E.自然界

50. 安全评估过程中,经常采用的评估方法包括______。(ABCDE)

A.调查问卷 B.人员访谈 C.工具检测

D.手工审核 E.渗透性测试

51. 根据ISO定义,信息安全的保护对象是信息资产,典型的信息资产包括______。(BC)

A.硬件 B.软件 C.人员

D.数据 E.环境

52. 根据ISO定义,信息安全的目标就是保证信息资产的三个基本安全属性,包括__。(BCD)

A.不可否认性 B.保密性 C.完整性

D.可用性 E.可靠性

53. 治安管理处罚法规定,______行为,处5日以下拘留;情节较重的,处5日以上10日以下拘留。(ABCD)

A. 违反国家规定,侵入计算机信息系统,造成危害的

B. 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的

C. 违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加

D. 故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的

54. 网络蠕虫病毒越来越多地借助网络作为传播途径,包括______。(ABCDE)

A.互联网浏览 B.文件下载 C.电子邮件

D.实时聊天工具 E.局域网文件共享

55. 在信息安全管理中进行安全教育与培训,应当区分培训对象的层次和培训内容,主要包括__(ABE)

A.高级管理层 B.关键技术岗位人员 C.第三方人员

D.外部人员 E.普通计算机用户

56. 网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在______。(BC)

A. 关键服务器主机 B. 网络交换机的监听端口

C. 内网和外网的边界 D. 桌面系统 E. 以上都正确

57. IPSec是网络层典型的安全协议,能够为IP数据包提供______安全服务。(ABE)

A.保密性 B.完整性 C.不可否认性

D.可审计性 E.真实性

58. 信息安全策略必须具备______属性。(ACE)

A.确定性 B.正确性 C.全面性

D.细致性 E.有效性

59. 涉密安全管理包括______。(BCDE)

A.涉密设备管理 B.涉密信息管理 C.涉密人员管理

D.涉密场所管理 E.涉密媒体管理

四、解答题

1. 简述如何确定一个信息系统的安全保护等级。

答:为确定信息系统的安全保护等级,首先要确定信息系统内各业务子系统在“信息系统所属类型”、“业务信息类型”、“业务系统服务范围”和“业务依赖程度”四个定级要素方面的复制,然后分别由四个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级,再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全宝华等级,最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。

2. 信息安全技术机制通常被划分为几个层次。试在每个层次中列举两种主要的安全机制。

答:信息安全技术机制通常可以划分为四个层次,每一层次中典型的安全机制如下所示:

(1)物理层安全,如视频监控、门禁系统;

(2)网络等安全,如防火墙、IPSecVPN;

(3)系统层安全,如杀毒软件,主机入侵检测系统;

(4)应用层安全,如用户身份认证、应用层加密。

3. 简述信息安全发展所历经的三个主要阶段以及它们各自的特点。

答:信息安全发展历经了三个主要阶段:

(1)通信保密阶段,在这个阶段中,关注的是通信内容的保密性属性,保密等同于信息安全。

(2)信息安全阶段,人们发现,在原来所关注的保密性属性之外,还有其他方面的属性也应当是信息安全所关注的,这其中最主要的是完整性和可用性属性,由此构成了支撑信息安全体系的三要素。

(3)安全保障阶段,所谓安全保障,就是在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Delection和响应Restoration)四个主要环节相互配合,构成一个完整的保障体系。

4. 简述PDR安全模型的原理。

答:PDR模型之所以著名,是因为它是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的P代表保护,R代表响应,该模型中使用了三个时间参数;

(1)Pt,有效保护时间,是指信息系统的安全控制措施所能发挥保护作用的时间;

(2)Dt,检测时间,是指安全检测机制能够有效发现攻击、破坏行为所需的时间;

(3)Rt,响应时间,是指安全响应机制作出反应和处理所需的时间。

PDR模型用下列时间关系表达式来说明信息系统是否安全:

(1)Pt>Dt+Rt,系统安全,即在安全机制针对攻击、破坏行为作出了成功的检测和响应时,安全控制措施依然在发挥有效的保护作用,攻击和破坏行为未给信息系统造成损失。

(2)Pt<Dt+Rt,系统部安全,即信息系统的安全控制措施的有效保护作用,在正确的检测和响应作出之前就已经失效,破坏和攻击行为已经给信息系统造成了实质性破坏和影响。

5. 简述ISO信息安全模型定义及其含义。

答:ISO信息安全定义:信息安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。它包括三方面含义:

(1)信息安全的保护对象是信息资产,典型的信息资产包括了计算机硬件、软件和数据。

(2)信息安全的目标就是保证信息资产的三个基本安全属性,保密性、完整性和可用性三个基本属性是信息安全的最终目标。

(3)事先信息安全目标的途径要借助两方面的控制措施,即技术措施和管理措施。

6. 简述信息安全的三个基本属性。

答:信息安全包括了保密性、完整性和可用性三个基本属性:

(1)保密性——Confidentiality,确保星系在存储、使用、传输过程中不会泄露给非授权的用户或者实体。

(2)完整性——Integrity,确保信息在存储、使用、传输过程中不被非授权用户篡改;防止授权用户对信息进行不恰当的篡改;保证信息的内外一致性。

(3)可用性——Availability,确保授权用户或者实体对于信息及资源的正确使用不会被异常拒绝,允许其可能而且及时地访问信息及资源。

7. 简述我国刑法对网络犯罪的相关规定。

答:我国刑法关于网络犯罪的三个专门条款,分别规定了非法侵入计算机信息系统罪(第285条);破坏计算机信息系统罪(第286条);利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪(第287条),并将其一并归入分则第六章“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”。

8. 简述 BS 7799 的内容构成以及与ISO国际标准的关系。

答:BS 7799分两个部分,第一部分,被ISO国际标准化组织采纳成为ISO/IEC 17799:2005 标准的部分,是信息安全管理实施细则(Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员参考使用,其主要内容分为11个方面,定义了133项安全控制措施(最佳实践)。第二部分,被ISO国际标准化组织采纳成为ISO/IEC 27001:2005,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员运用ISO/IEC 17799:2005,其最终目的在于建立适合企业需要的信息安全管理体系(ISMS)。

9. 简述 ISO/IEC 17799:2005中关于控制措施的11项分类内容。

答:BS7799-1信息安全管理实施细则(ISO/IEC 17799:2005)将信息安全管理的内容划分为11个主要方面,这11个方面包括:

(1)安全策略(Security Policy);

(2)组织信息安全(Organizing Information Security);

(3)资产管理(Asset Management);

(4)人力资源安全(Human Resoruces Security);

(5)物理与环境安全(Physical and Environmental Security);

(6)通信与操作管理(Communication and Operation Management);

(7)访问控制(Access Control);

(8)信息系统获取、开发与维护(Information Systems Acquisition,Development and Maintenance);

(9)信息安全事件管理(Information Security Incident Management);

(10)业务连续性管理(Business Continuity Management);

(11)符合性(Compliance)。

10. 简述安全策划体系所包含的内容。

答:一个合理的信息安全策略体系可以包括三个不同层次的策略文档:

(1)总体安全策略,阐述了指导性的战略纲领性文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容;

(2)针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容,例如,针对Internet访问操作、计算机和网络病毒

防治、口令的使用和管理等特定问题,制定有针对性的安全策略;

(3)针对特定系统的具体策略,更为具体和细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等。

11. 简述至少六种安全问题的策略。

答:(1)物理安全策略;(2)网络安全策略;(3)数据加密策略;(4)数据备份策略;(5)病毒防护策略;(6)系统安全策略;(7)身份认证及授权策略;(8)灾难恢复策略;(9)事故处理、紧急响应策略;

(10)安全教育策略;(11)口令安全策略;(12)补丁管理策略;(13)系统变更控制策略;(14)商业伙伴、客户关系策略;(15)复查审计策略。

12. 试编写一个简单的口令管理策略。

答:(1)所有活动账号都必须有口令保护。

(2)生成账号时,系统管理员应分配给合法用户一个唯一的口令,用户在第一次登录时应该更改口令。

(3)口令必须至少要含有8个字符。

(4)口令必须同时含有字母和非字母字符。

(5)必须定期用监控工具检查口令的强度和长度是否合格。

(6)口令不能和用户名或者登录名相同。

(7)口令必须至少60天更改一次。

(8)禁止重用口令。

(9)必须保存至少12个历史口令。

(10)口令不能通过明文电子邮件传输。

(11)所有供应商的默认口令必须更改。

(12)用户应在不同的系统中使用不同的口令。

(13)当怀疑口令泄露时必须予以更改。

(14)应该控制登录尝试的频率。

13. 简述可接受使用策略AUP的内容。

答:AUP通常包含以下主要内容:

(1)概述,描述什么是AUP,企业、组织发布AUP的目的,制定AUP的原则以及一些必要的法律声明等。

(2)安全策略说明,说明制定AUP所依据的信息安全策略,提示用户信息安全策略的更改会影响到AUP的修订,并且告诉用户从哪里可以获得详细的信息安全策略文档。

(3)术语说明,将AUP中涉及的术语名词,以及AUP签署生效的有效时间进行说明。

(4)用户责任,对信息安全策略中所涉及到用户的信息安全责任内容,应当进行总结和提炼,以简单明了的语言进行阐述,使得用户充分了解自己对于企业、组织信息安全所承担的责任和义务。

14. 简述入侵检测系统IDS所采取的两种主要方法。

答: (1)误用检测:通过对比已知攻击手段及系统漏洞的签名特征来判断系统中是否有入侵行为发生。具体地说,根据静态的、预先定好的签名集合来过滤网络中的数据流(主要是IP层),一旦发现数据包特征与某个签名相匹配,则认为是一次入侵。

(2)异常检测:指根据使用者的行为或资源使用状况来判断是否入侵,而不以来具体行为是否出想来

检测,所以也被称为基于行为的检测。异常检测利用统计或特征分析的方法来检测系统的异常行为。首先定义检测假设,任何对系统的入侵和误操作都会导致系统异常,这样对入侵的检测就可以归结到对系统异常的检测。

15. 简述我们信息安全保护等级的含义。

答:信息安全等级保护是指:

(1)对国家秘密信息、法人或其它组织及公民的专有信息以及公开信息的存储、传输和处理这些信息的信息系统分等级实行安全保护;

(2)对信息系统中使用的信息安全产品实行按等级管理;

(3)对信息系统中发生的信息安全事件按照等级进行响应和处置等。

16. 简述我国信息安全等级保护的级别划分。

答: (1)第一级为自我保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其它组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。

(2)第二级为指导保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。

(3)第三级为监管保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,器业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本机系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。

(4)第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。

(5)第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。

17. 简述信息安全等级保护的实施过程。

答:对信息系统实施安全等级保护的过程划分为五个阶段,即系统安全定级阶段、安全规划设计阶段、安全实施阶段、安全运行维护阶段和系统终止阶段。

具体如下:

安全定级→安全规划设计→安全实施→安全运行维护→系统终止

安全运行维护-局部调整-安全实施

安全运行维护-重大变化-安全定级

18. 简述信息安全风险的计算过程。

答:风险计算的过程是:

(1)对信息资产进行识别,并对资产赋值;

(2)对威胁进行分析,并对威胁发生的可能性赋值;

(3)识别信息资产的脆弱性,并对脆弱性的严重程度进行赋值;

(4)根据威胁和脆弱性计算安全事件发生的可能性;

(5)结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。

19. 一个公司投资50万美元建立一个网络运营中心,经过评估,最大的风险是发生火灾,每次火灾大概造成45%的资产损失,经过统计,该地区每5年发生一次火灾,试通过定量分析的方法,计算风险造成的损失。

答: 资产价值 AV=50 万美元

暴露因子 EF=45%

单一损失期望 SLE=AV×EF=22.5万美元

72信息安全管理教程试题库_信息安全管理

年度发生率ARO=20%

年度损失期望 ALE=SLE×ARO=4.5万美元

20. 简述信息安全脆弱性的分类及其内容。

答:信息安全脆弱性的分类及其内容如下所示;

脆弱性分类:

一、技术脆弱性

1、物理安全:物理设备的访问控制、电力供应等

2、网络安全:基础网络构架、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等

3、系统安全:应用软件安全漏洞、软件安全功能、数据防护等

4、应用安全:应用软件安全漏洞、软件安全功能、数据防护等

二、管理脆弱性

安全管理:安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性

21. 简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门(公安网监部门)相配合。

答: 单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面:

(1)单位、组织的信息安全管理,必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。

(2)法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责,各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。

(3)在发生信息安全案件后,单位、组织应当及时向公安机关公共信息网络安全监察部门报案,并在取证和调查等环节给予密切配合。

22. 简述计算机病毒的分类方法。

答:对于计算机病毒的分类,目前常见的分类方式有以下几种:

(1)根据破坏程度进行分类,可以分为良性计算机病毒和恶性计算机病毒两类。

(2)根据系统软件环境的类型进行分类,可以分为DOS病毒、Windows病毒、UNIX病毒以及其他操作系统病毒。

(3)根据宿主类型进行分类,可以分为有宿主的计算机病毒和无宿主的计算机病毒两类。其中,有宿主的计算机病毒又包括了引导性病毒、文件型病毒、宏病毒等,而无宿主的计算机病毒则以网络蠕虫类病毒为典型代表。

23. 建立一个有效的计算机病毒防治体系应当包括哪些主要内容。

答: 建立一个有效的计算机病毒防治体系,应当包含以下主要方面:

(1)编写明确的计算机病毒防治策略。

(2)建立计算机病毒防治核心技术机制,包括网络版杀毒系统和安全补丁管理平台。

(3)建立计算机病毒防治辅助技术机制,包括防火墙、网络入侵检测、系统和数据备份。

(4)建立计算机病毒防治配套管理规范,包括日常维护规范和应急响应计划。

(5)対所有计算机信息系统用户提供教育和培训。

24. 简述至少5种与信息安全违法行为有关的处罚方式。

答:(1)警告;(2)通报批评;(3)罚款;(4)拘留;(5)没收违法所得;(6)吊销许可证;(7)责令停机整顿;(8)责令停止联网。

25. 简述3种向公安机关报告网络犯罪案件的途径。

答: 公安机关作为管辖部门,为了保证计算机案件的及时受理,建立了畅通的报警渠道。发现案件的使用单位和个人,可以通过以下渠道报案,公安机关应在24小时之内迅速完成案件的受理。

(1)直接向所辖地区的派出所报案,由派出所予以受理。

(2)通过统一报警电话110,向公安机关报案。

(3)通过所在地公安机关在互联网上设立的报警网站报案。公安部互联网违法案件举报网站为hppt://www.cyberpolice.cn。

26. 简述除杀毒软件之外的至少3种安全技术机制,能够辅助有效地计算机病毒防治。

答: (1)安全补丁管理平台。安装安全补丁之后的系统软件,将弥补原来所存在的安全漏洞,达到安全加固的效果。加固后的系统,对于跟该安全漏洞有关的蠕虫病毒攻击都具备彻底的免疫能力。因此,安全补丁的管理可以从根本上减低计算机病毒所造成的安全风险。

(2)防火墙。防火墙可以实现理想的屏蔽和隔离保护,即便系统内部有安全漏洞,外部网络环境中有计算机病毒,由于防火墙的保护,禁止了两个因素相结合的途径,系统也不会被计算机病毒感染和破坏。

(3)网络入侵检测。当网络中爆发蠕虫病毒事件之后,整个网络的通信性能都会受到非常显著的影响。网络入侵检测系统除了对典型的网络攻击和入侵行为进行检测之外,还包含了対蠕虫病毒流量的分析和检测能力,它所提供的事件报警和分析日志,能够为快速定位事件原因和排除故障提供重要的支持能力。

(4)系统和数据备份。对于重要系统软件和业务数据的备份处理,不仅是重要的,而且是必须的,只有持防患于未然的态度,才能真正实现未雨绸缪。

27. 简述计算机病毒定义及其含义。

答: 《计算机信息系统安全保护条例》第28条第1款明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”由此可以看出,计算机病毒具有以下几个基本要素:

(1)计算机病毒是人为故意编制的程序代码或计算机指令。

(2)计算机病毒的破坏是针对计算机功能、数据,它对计算机的正常使用具有影响性。

(3)计算机病毒具有自我复制能力,这种自我复制能力具有传播性。

28. 简述至少4种信息系统所面临的安全威胁。

答:信息系统所面临的常见安全威胁如下所示:

软硬件故障:由于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响。

物理环境威胁:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害。

无作为或操作失误:由于应该执行而没有执行相应的操作,或无意的执行了错误的操作,对系统造成影响。

管理不到位:安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。

恶意代码和病毒:具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。

越权或滥用:通过采用一些,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为。

黑客攻击技术:利用黑客工具和技术,例如,侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。

物理攻击:物理接触、物理破坏、盗窃。

泄密:机密信息泄露给他人。

篡改:非法修改信息,破坏信息的完整性。

抵赖:不承认收到的信息和所作的操作和交易。

29. 简述防火墙所具有的局限性。

答:防火墙产品虽然是网络安全的主要机制,但是也存在一定的局限性;例如无法阻止内部主机之间的攻击行为;无法防止“旁路”通道的出现及其引起的安全隐患;无法阻止病毒侵袭;可能构成内、外网之间潜在的信息处理瓶颈。

30. 简述物理安全的技术层面的主要内容。

答:物理安全的技术层面主要包括三个方面:环境安全、设备安全和媒体安全。

(1)环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;

(2)设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;

(3)媒体安全:包括媒体数据的安全及媒体本身的安全。

互联网信息内容安全管理教程 - 习题库

一、判断题

对1. 中华人民共和国公民的通信自由和通信秘密受法律的保护。

对2. 在计算机程序或图像、文字中含有色情、凶杀等内容的信息,其目的是用于违法活动的,可认为是计算机有害数据。

对3. 机关、团体、企业、事业单位违反治安管理的,处罚直接责任人员;单位主管人员指使的,同时处罚该主管人员。

对4. 用于违法活动的计算机病毒、木马、间谍软件属于计算机有害数据。

对5. 利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。

对6. 制定《中华人民共和国计算机信息网络国际联网管理暂行规定》是为了加强对计算机信息网络国际联网的管理,保障国际计算机信息交流的健康发展。

对7. 接入网络必须通过互联网络进行国际联网。

对8. 国家对国际联网实行统筹规划、统一标准、分级管理、促进发展的原则。

错9. 公安部信息管理小组负责协调、解决有关国际联网工作中的重大问题。

错10. 单位和个人的计算机信息网络直接进行国际联网时,可以自由选择信道进行国际联网。

对11. 任何单位和个人不得自行建立或者使用其他信道进行国际联网。

错12. 接入单位拟从事国际联网非经营活动的,不必批准即可接入互联网络进行国际联网。

对13. 未取得国际联网经营许可证的,接人单位不得从事国际联网经营业务。

错14. 从事国际联网经营活动和非经营活动的接入单位在不符合条件时,其国际联网经营许可证由发证机关吊销。

错15. 国家秘密信息在与国际网络联网的计算机信息系统中存储、处理、传递需经批准。

对16. 国际出入口信道提供单位、互联单位和接人单位,应当建立相应的网络管理中心,依照法律和国家有关规定加强对本单位及其用户的管理,做好网络信息安全管理工作,确保为用户提供良好、安全的服务。

对17. 国际出入口信道,是指国际联网所使用的物理信道。

对18. 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》中的个人用户一定具有联网帐号。

错19. 企业计算机信息网络,是指为企业服务的专用计算机信息网络。

对20. 国家对国际联网的建设布局、资源利用进行统筹规划。

错21. 企业计算机信息网络,是指为行业服务的专用计算机信息网络。

错22. 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》规定的企业计算机信息网络,是指企业内部和外部相连接的计算机信息网络。

错23. 国际联网实行分级管理,即对互联单位、接入单位、用户、国际出入口信道逐级管理。

错24. 在中国已建立的四个互联网络中,两个经营性互联网络不应享受同等的资费政策和技术支撑条件。

对25. 在中国已建立的四个互联网络中,两个公益性互联网络所使用信道的资费应当享受优惠政策。

错26. 企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络可不受限制地经营国际互联网络业务。

错27. 经营性接入单位凭经营许可证向提供电信服务的企业办理所需通信线路手续。提供电信服务的企业应当在半年内为接入单位提供通信线路和相关服务。

对28. 用户向接入单位申请国际联网时,应当提供有效身份证明或者其他证明文件。

对29. 计算机系统运行管理部门必须设有安全组织或安全负责人。

对30. 国际出入口信道提供单位与互联单位应当签订相应的协议,严格履行各自的责任和义务。

对31. 用户有权获得接入单位提供的各项服务;有义务交纳费用。

对32. 计算机病毒疫情,是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。

对33. 根据《全国人民代表大会常务委员会关于维护互联网安全的决定》的规定,对由计算机病毒所造成的系统瘫痪、数据破坏等重大事故,应及时向公安机关报告。

对34. 企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络,只限于内部使用。

错35. 进行国际联网的专业计算机信息网络可经营国际互联网络业务。

对36. 制定《中华人民共和国计算机信息系统安全保护条例》是为了促进我国计算机的应用和发展,保障社会主义现代化建设的顺利进行。

错37. 公安部、国家安全部、国家保密局、国务院是计算机信息系统安全保护工作的主管部门。

错38. 除从事国家安全事务的人员外,任何组织和个人都不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动。

对39. 任何单位和个人不得向社会发布虚假的计算机病毒疫情。

对40. 对计算机病毒的认定工作,由公安部公共信息网络安全监察部门批准的机构承担。

对41. 计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。

对42. 监督、检查、指导计算机信息系统安全保护工作是公安机关对计算机信息系统安全保护工作中的监督职权之一。

错43. 查处危害计算机信息系统安全的违法犯罪案件不是公安机关对计算机信息系统安全保护工作的监督职权。

对44. 公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。

对45. 违反计算机信息系统安全等级保护制度及计算机信息系统国际联网备案制度,危害计算机信息系统安全的其他行为的,由公安机关处以警告或者停机整顿。

对46. 不按规定时间报告计算机信息系统中发生的案件的行为违反了《中华人民共和国计算机信息系统安全保护条例》的规定,由公安机关作出处理。

对47. 任何组织或者个人违反《中华人民共和国计算机信息系统安全保护条例》的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。

对48. 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

错49. 计算机信息系统安全专用产品,是指计算机的软、硬件产品。

对50. 公安机关公共信息网络安全监察部门应当掌握互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。

对51. 制定《计算机信息网络国际联网安全保护管理办法》的目的是为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定。

错52. 和中华人民共和国境内的计算机信息网络相连的所有国际网络的安全保护管理,都适用《计算机信息网络国际联网安全保护管理办法》。

对53. 任何单位和个人不得利用国际联网侵害公民的合法权益,不得从事违法犯罪活动。

对54. 利用国际互联网公然污辱他人或者捏造事实诽谤他人的应按国家法律进行处罚。

对55. 任何单位和个人不得从事危害计算机信息网络安全的活动。

72信息安全管理教程试题库_信息安全管理

错56. 任何单位和个人都可以无条件进入计算机信息网络或者使用计算机信息网络资源。

错57. 已经联网的用户可以对计算机信息网络功能进行删除、修改或者增加。

错58. 已经联网的用户有对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的权利。

错59. 除公安机关外,任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。

对60. 使用国际联网的用户的通信自由和通信秘密受法律保护。

错61. 任何单位和个人都可以利用国际联网查阅用户的通信秘密。

对62. 国际出入口信道提供单位、互联单位的主管部门或者主管单位,应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。

错63. 互联单位、接人单位及使用计算机信息网络国际联网的法人,对委托发布信息的单位和个人进行登记后,就可以为其发布其要发布的信息。

对64. 互联单位、接人单位及使用计算机信息网络国际联网的法人和其他组织当发现本网络中有危害国家利益的内容的地址、目录时,应当按照国家规定把它删除。

对65. 用户在接人单位办理入网手续时,应当填写用户备案表。

错66. 使用公用帐号的注册者应当加强对公用帐号的管理。用户帐号可以转借、转让。

错67. 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,可以不出证明就给予特批。

对68. 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位的计算机信息网络与国际联网,应当采取相应的安全保护措施。

错69. 县级公安局可以不设负责国际联网的安全保护管理工作的机构。

错70. 省、自治区、直辖市公安厅(局)应当有相应机构负责国际联网的安全保护管理工作,但地(市)、县(市)公安局则不必如此。

对71. 督促互联单位、接人单位及有关用户建立健全安全保护管理制度是公安机关公共信息网络安全监察部门的职责。

对72. 公安机关公共信息网络安全监察部门在组织安全检查时,有关单位应当派人参加。

对73. 公安机关公共信息网络安全监察部门对在安全检查中发现的问题,应当提出改进意见,作出详细记录,存档备查。

对74. 经营国际联网业务的单位,有违法行为时,公安机关可以向原发证、审批机构提出吊销其经营许可证或者取消其联网资格的建议。

错75. 经营国际联网业务的单位,有违法行为时,公安机关可以吊销其经营许可证或者取消其联网资格。

对76. 与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理,参照《计算机信息网络国际联网安全保护管理办法》执行。

对77. 计算机信息网络国际联网,是指中华人民共和国境内的计算机信息网络为实现信息的国际交流,同外国的计算机信息网络相连接。

二、单选题

B 1. 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,构成( )。

A. 非法侵入计算机信息系统罪

B. 破坏计算机信息系统罪

C. 扰乱无线电通信管理秩序罪

D. 删除、修改、增加计算机信息系统数据和应用程序罪

A 2. 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,( )的,应依法处5年以下有期徒刑或者拘役。

A.后果严重 B.产生危害

C.造成系统失常 D.信息丢失

B 3. 在计算机信息系统中,以计算机文字表示的,含有危害国家安全内容的信息,是属于( )。

A.计算机破坏性信息 B.计算机有害数据

C.计算机病毒 D.计算机污染

D4. ( ),是指直接进行国际联网的计算机信息网络。

A.国际联网 B.接入网络

C.企业网 D.互联网络

C 5. ( ),是指通过接人互联网络进行国际联网的计算机信息网络。

A. 国际联网

B. INTERNET网

C. 接入网络

D. 广域网

C 6. 新建互联网络,必须报经( )批准。

A.地方公安机关 B.地方人民政府

C.国务院 D.全国人大常委会

D 7. 接入单位从事国际联网经营活动的和从事非经营活动的相比,还应具备( )。

A. 法人资格

B. 健全的安全保密制度

C. 计算机网络管理的能力

D. 为用户提供长期服务的能力

A 8. 用户使用的计算机或者计算机信息网络,需要接人接入网络的,应当征得( )的同意,并办理登记手续。

A. 接入单位

B. 国际联网经营管理单位

C. 国际联网资格审批机关

D. 国务院信息化领导小组

B 9. 国际出入口信道提供单位、互联单位和接入单位,应当建立相应的( )中心。

A.信息 B.网络管理

C.用户管理 D.网络信息

B 10. 中华人民共和国境内的计算机信息网络进行国际联网,应当依照( )办理。

A. 《中华人民共和国计算机信息系统安全保护条例》

B. 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》

C. 《中国公用计算机互联网国际联网管理办法》

D. 《中国互联网络域名注册暂行管理办法》

B 11. 中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络,以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相连接,这称为( )。

A.接入网络 B.国际联网

C.国际出入口信道 D.接通网络

D 12. 接入网络,是指通过接入互联网络进行国际联网的计算机信息网络;接人网络可以是( )连接的网络。

A.单一 B.一级

C.必须一级 D.多级

D 13. 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》中的个人用户,是指具有( )的个人。

A. 一般网络用户资格

B. 中华人民共和国的正式公民

C. 法人资格

D. 联网帐号

C 14. 用户,是指通过( )进行国际联网的个人、法人和其他组织。

A.电信网 B.互联网络

C.接入网络 D.国际出入口信道

C 15. ( ),是指为行业服务的专用计算机信息网络。

A. 企业计算机信息网络

B. 互联网络

C. 专业计算机信息网络

D. 行业计算机信息网络

A 16. ( )对国际联网的建设布局、资源利用进行统筹规划。

A. 国家

B. 公安部

C. 互联单位主管单位

D. 国际互联网管理中心

C 17. 国际联网采用( )制定的技术标准、安全标准、资费政策,以利于提高服务质量和水平。

A.企业统一 B.单位统一

C.国家统一 D.省统一

B 18. 对从事国际联网经营活动的接人单位实行( )。

A. 审批制度

B. 国际联网经营许可证制度

C. 特惠制度

D. 登记制度

C 19. 互联单位主管部门对经营性接入单位实行( )制度。

A.月检 B.半年检

C.年检 D.周检

D 20. 经营性接入单位凭经营许可证到( )办理登记注册手续。

A. 公安机关

B. 省级主管部门

C. 互联单位主管部门

D. 国家工商行政管理机关

D 21. 经营性接人单位凭经营许可证向提供电信服务的企业办理所需通信线路手续。提供电信服务的企业应当在( )个工作日内为接入单位提供通信线路和相关服务。

A.60 B.20

C.10 D.30

C 22. 接入单位申请书、用户登记表的格式由( )按照《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》的要求统一制定。

A.人事部 B.国家安全部

C.互联单位主管部门 D.公安部

D 23. 国际出入口信道提供单位、互联单位和接人单位必须建立网络管理中心,健全管理制度,做好网络信息( )工作。

A.信息管理 B.用户管理

C.连接管理 D.安全管理

C 24. 企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络,只限于( )使用。

A.企业 B.外部

C.内部 D.专人

C 25. 进行国际联网的( )不得经营国际互联网络业务。

A. 企业计算机信息网络

B. 个人用户

C. 专业计算机信息网络

D. 通过专线进行国际联网的计算机信息网络

A 26. 个人使用的计算机不是通过接入网络进行国际联网,而是以其他方式进行国际联网的,公安机关可

( )。

A. 处5000元以下罚款

B. 处l5 000元以下罚款

C. 处l000元以下罚款

D. 处20 000元以下罚款

C 27. 为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,我国制定了( )。

A. 《中华人民共和国计算机软件保护条例》

B. 《中华人民共和国国家安全法》

C. 《中华人民共和国计算机信息系统安全保护条例》

D. 《中华人民共和国标准化法》

A 28. 为了保护( )的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,我国制定了《中华人民共和国计算机信息系统安全保护条例》。

72信息安全管理教程试题库_信息安全管理

A.计算机信息系统 B.计算机操作人员

C.计算机数据 D.计算机行业

A 29. 《中华人民共和国计算机信息系统安全保护条例》是于1994年2月18日由中华人民共和国( )第147号发布的。

A.国务院令 B.公安部令

C.中国科学院令 D.国家安全部令

B 30. 计算机信息系统,是指由( )及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

A.计算机硬件 B.计算机

C.计算机软件 D.计算机网络

D 31. 计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对( )进行采集、加工、存储、传输、检索等处理的人机系统。

A.程序 B.计算机

C.计算机软件 D.信息

A 32. ( ),是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

A.计算机信息系统 B.社会信息系统

C.医疗保险系统 D.网络系统

A 33. 计算机信息系统的安全保护,应当保障( ),运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。

A. 计算机及其相关的和配套的设备、设施(含网络)的安全

B. 计算机的安全

C. 计算机硬件的系统安全

D. 计算机操作人员的安全

A 34. 中华人民共和国境内的计算机信息系统的安全保护,适用( )。

A. 《中华人民共和国计算机信息系统安全保护条例》

B. 《中华人民共和国计算机信息网络国际联网管理暂行规定》

C. 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》

D. 《中华人民共和国计算机软件保护条例》

C 35. ( )是全国计算机信息系统安全保护工作的主管部门。

A.国家安全部 B.国家保密局

C.公安部 D.教育部

D 36. ( ),不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。

A. 除计算机专业技术人员外的任何人

B. 除从事国家安全工作人员外的任何人

C. 除未满l8周岁未成年人外的任何人

D. 任何组织或者个人

C 37. 计算机信息系统的( ),应当遵守法律、行政法规和国家其他有关规定。

A.建设 B.应用

C.建设和应用 D.运行

D 38. 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由( )会同有关部门制定。

A.司法部 B.公安部

C.国家安全部 D.中国科学院

C 39. 我国计算机信息系统实行( )保护。

A.责任制 B.主任值班制

C.安全等级 D.专职人员资格

D 40. ( )主管全国的计算机病毒防治管理工作。

A. 信息产业部

B. 国家安全部

C. 国家保密局

D. 公安部公共信息网络安全监察部门

B 41. 从事计算机病毒防治产品生产的单位,应当及时向公安部公共信息网络安全监察部门批准的计算机病毒防治产品检测机构提交( )。

A.产品样本 B.病毒样本

C.产品说明 D.经营许可证

D 42. 任何单位和个人在从计算机信息网络上下载程序、数据或者购置、维修、借人计算机设备时,应当进行( )。

A.计算机安全检测 B.计算机保密检查

C.计算机防泄漏检查 D.计算机病毒检测

C 43. 对计算机信息系统中发生的案件,有关使用单位应当在( )小时内向当地县级以上人民政府公安机关

报告。

A.1 B.12

C.24 D.48

A 44. 对计算机信息系统中发生的案件,有关使用单位应当在24小时内向( )以上人民政府公安机关报告。

A.当地县级 B.省级

C.公安部 D.国家安全部

B 45. 对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上( )报告。

A.人民政府办公室 B.人民政府公安机关

C.邮电局 D.教育局

A 46. 对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由( )管理。

A.公安部 B.司法部

C.国务院 D.国家保密局

C 47. 《中华人民共和国计算机信息系统安全保护条例》中规定,对计算机病毒和( )的其他有害数据的防治研究工作,由公安部归口管理。

A.盗版软件 B.刑事犯罪

C.危害社会公共安全 D.危害计算机系统

B 48. 国家对计算机信息系统安全专用产品的销售( )。

A. 由行业主管部门负责

B. 实行许可证制度

C. 与其他产品一样,可以任意进行

D. 国家不作规定

B 49. 国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由( )会同有关部门制定。

A.司法部 B.公安部

C.中国科学院 D.信息产业部

C 50. 国家对计算机信息系统安全专用产品的( )实行许可证制度。具体办法由公安部会同有关部门制定。

A.使用 B.开发

C.销售 D.管理

B 51. 公安机关发现影响计算机信息系统安全的隐患时,( )。

A. 上报上级部门

B. 应当及时通知使用单位采取安全保护措施

C. 强制停止计算机系统的运行

D. 情况不严重,可以不作处理

D 52. 公安部在紧急情况下,可以就涉及计算机信息系统安全的( )事项发布专项通令。

A.偶发 B.一般

C.所有 D.特定

A 53. ( )在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。

A.公安部 B.国家安全部

C.中国科学院 D.司法部

B 54. 公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项( )。

A.通告 B.通令

C.通知 D.通报

D 55. 违反《中华人民共和国计算机信息系统安全保护条例》的规定,构成违反治安管理行为的,依照( )的有关规定处罚;构成犯罪的,依法追究刑事责任。

A. 《中华人民共和国宪法》

B. 《中华人民共和国刑法》

C. 《中华人民共和国人民警察法》

D. 《中华人民共和国治安管理处罚法》

C 56. 违反《中华人民共和国计算机信息系统安全保护条例》的规定,构成( )的,依照《中华人民共和国治安管理处罚法》的有关规定处罚。

A. 犯罪

B. 违反《中华人民共和国刑法》

C. 违反治安管理行为

D. 违反计算机安全行为

A 57. 任何组织或者个人违反《中华人民共和国计算机信息系统安全保护条例》的规定,给国家、集体或者他人财产造成损失的,应当依法( )。

A.承担民事责任 B.承担经济责任

C.接受刑事处罚 D.接受经济处罚

C 58. ( )违反《中华人民共和国计算机信息系统安全保护条例》的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。

A. 计算机操作人员

B. 计算机管理人员

C. 任何组织或者个人

D. 除从事国家安全的专业人员外任何人

D 59. ( ),是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

A.计算机文件 B.计算机系统文件

C.计算机应用软件 D.计算机病毒

B 60. 公安机关公共信息网络安全监察部门应当保护计算机信息网络国际联网的( ),维护从事国际联网业务的单位和个人的合法权益和公众利益。

A.技术规范 B.公共安全

C.网络秘密 D.管理条例

A 61. 公安机关公共信息网络安全监察部门应当保护( )的公共安全,维护从事国际联网业务的单位和个人的合法权益和公众利益。

A. 计算机信息网络国际联网

B. 计算机系统

C. 广域网

D. 局域网

C 62. 公安机关公共信息网络安全监察部门应当保护计算机信息网络国际联网的公共安全,维护( )单位和个人的合法权益和公众利益。

A. 从事计算机业务的

B. 从事网络业务的

C. 从事国际联网业务的

D. 从事计算机信息工作的

A 63. 使用公用帐号的注册者应当加强对公用帐号的管理,建立帐号使用( )制度。

A.登记 B.备案

C.申请 D.收费

A 64. 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,应当出具( )的审批证明。

A.其行政主管部门 B.其单位本身

C.公安机关 D.互联网络主管部门

D 65. 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位的计算机信息网络与( ),应当采取相应的安全保护措施。

A.任何单位 B.外单位

C.国内联网 D.国际联网

72信息安全管理教程试题库_信息安全管理

C 66. 省、自治区、直辖市公安厅(局),地(市)、县(市)公安局,应当有相应机构负责国际联网的( )工作。

A.用户管理 B.技术规范

C.安全保护管理 D.审批管理

A 67. 公安机关公共信息网络安全监察部门发现含有损害国家机关信誉等内容的地址、目录或者服务器时,应当( )关闭或者删除。

A.通知有关单位 B.立即

C.报上级机关 D.申请

C 68. 未经允许使用计算机信息网络资源的个人,公安机关可以处( )的罚款。

A. 1000元以下

B. 1500元以下

C. 5000元以下

D. 15 000元以下

D 69. 经营国际互联网业务的单位,有违法行为时,( )可以吊销其经营许可证或者取消其联网资格。

A. 公安机关

B. 互联网络管理部门

C. 公安机关公共信息网络安全监察部门

D. 原发证、审批机构

B 70. 《互联网信息服务管理办法》规范互联网信息服务活动,促进互联网信息服务( )发展。

A.市场健康 B.健康有序

C.管理有序 D.竞争有序

A 71. 《互联网信息服务管理办法》对经营性和非经营性互联网信息服务实行以下制度:( )。

A. 对经营性互联网信息服务实行许可制度,对非经营性互联网信息服务实行备案制度

B. 对经营性和非经营性互联网信息服务均实行许可制度

C. 对经营性和非经营性互联网信息服务均实行备案制度信息服务实行许可制度

D. 对经营性互联网信息服务实行备案制度,对非经营性互联网信息服务实行许可制度

B 72. 电子公告服务提供者应当记录在电子公告服务系统中发布的信息内容及其发布时间、互联网地址或者域名。记录备份应当保存( ),并在国家有关机关依法查询时,予以提供。

A.90日 B.60日

C.30日 D.10日

C 73. ( )负责全国互联网站从事登载新闻业务的管理工作。

A.文化部 B.教育部

C.国务院新闻办公室 D.信息产业部

B 74. 互联网站申请从事登载新闻业务,应当填写并提交( )统一制发的《互联网站从事登载新闻业务申请表》。

A.文化部 B.国务院新闻办公室

C.教育部 D.信息产业部

A 75. 互联网站链接境外新闻网站,登载境外新闻媒体和互联网站发布的新闻,必须另行报( )批准。

A.国务院新闻办公室 B.文化部

C.教育部 D.信息产业部

C 76. 《计算机信息系统国际联网保密管理规定》是( )发布的。

A.国家安全部 B.公安部

C.国家保密局 D.信息产业部

A 77. 涉及国家秘密的计算机信息系统,( )地与国际互联网或其他公共信息网络相连接,必须实行物理隔离。

A.不得直接或间接 B.不得直接

C.不得间接 D.不得直接和间接

B 78. ( )主管全国计算机信息系统国际联网的保密工作。

A. 信息产业部

B. 国家保密局(国家保密工作部门)

C. 国家安全部

D. 公安部

三、多选题

CD1. 对违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,应处( )。

A.5年以下有期徒刑 B.拘留

C.3年以下有期徒刑 D.拘役

ABCD2. ( ),依照《中华人民共和国刑法》的规定构成犯罪的,依法追究刑事责任;尚不够刑事处罚,应当给予治安管理处罚的,依照治安管理处罚法给予处罚。

A.扰乱公共秩序 B.妨害公共安全

C.侵犯公民人身权利 D.侵犯公私财产

ABD3. 违反治安管理行为的处罚分为下列三种:( )。

A.警告 B.罚款

C.劳教 D.行政拘留

ABCD 4. 全国人民代表大会常务委员会制定《关于维护互联网安全的决定》的主要目的是:( )。

A. 为了兴利除弊

B. 促进我国互联网的健康发展

C. 维护国家安全和社会公共利益

D. 保护个人、法人和其他组织的合法权益

ABC5. 为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

( )。

A. 侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统

B. 故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害

C. 违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行

D. 利用互联网侵犯他人合法权益

ABCD 6. 为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:( )。

A. 利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一

B. 通过互联网窃取、泄露国家秘密、情报或者军事秘密

C. 利用互联网煽动民族仇恨、民族歧视,破坏民族团结

D. 利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施

ABCD 7. 为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:( )。

A. 利用互联网销售伪劣产品或者对商品、服务作虚假宣传

B. 利用互联网损害他人商业信誉和商品声誉、利用互联网侵犯他人知识产权

C. 利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息

D. 在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、影像、图片

ACD8. 为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:( )。

A. 利用互联网侮辱他人或者捏造事实诽谤他人

B. 利用互联网实施违法行为,违反社会秩序

C. 非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密

D. 利用互联网进行盗窃、诈骗、敲诈勒索

CD9. 利用互联网实施违法行为,尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员,依法给予( )。

A.刑事处分 B.民事处分

C.行政处分 D.纪律处分

AB10. 有关主管部门要加强对互联网的( )的宣传教育,依法实施有效的监督管理,防范和制止利用互联网进行的各种违法活动,为互联网的健康发展创造良好的社会环境。

A.运行安全 B.信息安全

C.操作安全 D.实施安全

ABC11. 依法严厉打击利用互联网实施的各种犯罪活动的国家机关是:( )。

A. 公安机关

B. 国家安全机关

C. 人民检察院、人民法院

D. 信息产业部

ABCD 12. 计算机有害数据,是指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图像、文字、声音等多种形式表示的,含有( )等信息。

A. 攻击人民民主专政、社会主义制度

B. 攻击党和国家领导人,破坏民族团结等危害国家安全内容

C. 宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容

D. 危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性,用于违法活动的计算机程序(含计算机病毒)

BC13. ( )应当负责本单位及其用户有关国际联网的技术培训和管理教育工作。

A.信息中心 B.互联单位

C.接入单位 D.信息产业部

ABCD 14. 中国互联网络信息中心提供( )。

A.互联网络地址 B.域名

C.网络资源目录管理 D.有关的信息服务

CD15. 经营性互联网络包括( )。

A. 中国教育和科研计算机网

B. 中国科学技术网

C. 中国公用计算机互联网

D. 中国金桥信息网

BD16. 已建立的( )为公益性互联网络。

A. 中国公用计算机互联网

B. 中国教育和科研计算机网

C. 中国金桥信息网

D. 中国科学技术网

ABCD 17. 新建互联网络可行性报告的主要内容应当包括( )。

A. 网络服务性质和范围

B. 网络技术方案

C. 经济分析

D. 管理办法和安全措施

ABCD 18. 安全组织或安全负责人职责包括( )。

A. 保障本部门计算机系统的安全运行

B. 制定安全管理的方案和规章制度

C. 负责系统工作人员的安全教育和管理

D. 向安全监督机关和上一级主管部门报告本系统的安全情况

ABC19. 单位和个人自行建立或使用其他信道进行国际联网的,公安机关可给予如下处罚:( )。

A. 责令停止联网

B. 处l5 000元以下罚款

C. 有违法所得的,没收违法所得

D. 给予警告处分

ABD20. 进行国际联网的专业计算机信息网络在经营国际互联网络业务时,公安机关可以根据实际情况给予如下处罚:( )。

A. 警告

B. 处l5 000元以下罚款

C. 记过

D. 有违法所得的,没收违法所得

ACD21. 企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络,在公开使用时,由公安机关根据实际情况给予如下处罚:( )。

A. 警告

B. 记过

C. 处l5 000元以下罚款

D. 有违法所得的,没收违法所得

ABC22. 计算机信息系统的安全保护,应当保障( )。

A. 计算机及其相关的和配套的设备、设施(含网络)的安全

B. 计算机运行环境的安全

72信息安全管理教程试题库_信息安全管理

C. 计算机信息的安全

D. 计算机操作人员的安全

ABD23. 计算机信息系统的安全保护工作的重点是:( )。

A. 维护国家事务的计算机信息系统的安全

B. 维护经济建设的计算机信息系统的安全

C. 维护一般科学技术领域的安全

D. 维护国防建设的计算机信息系统的安全

BD24. 计算机信息系统的建设和应用,应当遵守( )和国家其他有关规定。

A.企业标准 B.法律

C.行业标准 D.行政法规

ABCD 25. 任何单位和个人不得有下列传播计算机病毒的行为:( )。

A. 故意输入计算机病毒,危害计算机信息系统安全

B. 向他人提供含有计算机病毒的文件、软件、媒体

C. 销售、出租、附赠含有计算机病毒的媒体

D. 其他传播计算机病毒的行为

ABD26. 计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责:( )。

A. 建立本单位的计算机病毒防治管理制度;采取计算机病毒安全技术防治措施

B. 对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训;及时检测、清除计算机信息系统中的计算机病毒,并备有检测、清除的记录

C. 对含有计算机病毒的文件进行研究

D. 使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场

ACD27. 公安机关对计算机信息系统安全保护工作行使以下监督职权:( )。

A. 监督、检查、指导计算机信息系统安全保护工作

B. 负责计算机产品的销售工作

C. 查处危害计算机信息系统安全的违法犯罪案件

D. 履行计算机信息系统安全保护工作的其他监督职责

ABCD 28. 下列行为中,( )将由公安机关处以警告或停机整顿。

A. 违反计算机信息系统安全等级保护制度,危害计算机信息系统安全

B. 违反计算机信息系统国际联网备案制度

C. 不按规定时间报告计算机信息系统中发生的案件

D. 有危害计算机信息系统安全的其他行为

BC29. 运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照( )和( )以及其他有关法律、法规的规定处理。

A. 《中华人民共和国治安管理处罚法》

B. 《中华人民共和国海关法》

C. 《中华人民共和国计算机信息系统安全保护条例》

D. 《中华人民共和国国家安全法》

BCD30. 对于违反《中华人民共和国计算机信息系统安全保护条例》的单位和个人,公安机关可对其给予如下处罚:( )。

A. 不作处罚

B. 警告

C. 处以罚款

D. 有违法所得的,没收非法所得

BD31. 违反《中华人民共和国计算机信息系统安全保护条例》的当事人,如对公安机关作出的具体行政行为不服( )。

A. 可以不予理会

B. 可以依法申请行政复议

C. 继续进行自己的行为,以维护自己的权益,同时依法提起诉讼、

D. 可以依法提起行政诉讼

BC32. 计算机病毒,是指编制或者在计算机程序中插入的( ),影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

A. 危害计算机操作人员健康

B. 破坏计算机功能

C. 毁坏数据

D. 危害机房环境安全

AD33. 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组( )。

A. 计算机指令

B. 数据

C. 寄存在计算机内的一种微生物

D. 程序代码

ABC34. 计算机病毒,是指能够( )的一组计算机指令或程序代码。

A. 破坏计算机功能

B. 毁坏数据

C. 自我复制

D. 危害计算机操作人员健康

ABCD 35. 下列行为中,( )是《计算机信息网络国际联网安全保护管理办法》所不允许利用国际联网进行的活动。

A. 危害国家安全的行为

B. 泄露国家秘密的行为

C. 侵犯国家的、社会的、集体的利益的行为

D. 侵犯公民的合法权益的行为

ABCD 36. 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:( )。

A. 煽动抗拒、破坏宪法和法律、行政法规实施的;煽动颠覆国家政权,推翻社会主义制度的

B. 煽动分裂国家、破坏国家统一的;煽动民族仇恨、民族歧视,破坏民族团结的

C. 捏造或者歪曲事实,散布谣言,扰乱社会秩序的;公然侮辱他人或者捏造事实诽谤他人的;损害国家机关信誉的

D. 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;其他违反宪法和法律、行政法规的

ABCD 37. 下列属于危害计算机信息网络安全的有:( )。

A. 未经允许,进入计算机信息网络或者使用计算机信息网络资源的

B. 未经允许,对计算机信息网络功能进行删除、修改或者增加的

C. 故意制作、传播计算机病毒等破坏性程序的;其他危害计算机信息网络安全的

D. 未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改、或者增加的

ABCD 38. 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行的安全保护职责有:( )。

A. 负责本网络的安全保护管理工作,建立健全安全保护管理制度;负责对本网络用户的安全教育和培训

B. 落实安全保护技术措施,保障本网络的运行安全和信息安全;建立计算机信息网络电子公告系统的用户登记和信息管理制度

C. 对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核

D. 按照国家有关规定,删除本网络中含有计算机信息网络国际联网安全保护管理办法第五条内容的地址、目录或者关闭服务器

ABCD 39. 涉及( )等重要领域的单位办理备案手续时,应当出具其行政主管部门的审批证明。

A.国家事务 B.经济建设

C.国防建设 D.尖端科学技术

ABC40. ( ),应当有相应机构负责国际联网的安全保护管理工作。

A. 省、自治区、直辖市公安厅(局)

B. 地(市)公安局

D. 乡派出所

ABCD 41. 公安机关公共信息网络安全监察部门应当完成的工作有:( )。

A. 掌握互联单位、接入单位和用户的备案情况

B. 建立备案档案

C. 进行备案统计

D. 按照国家有关规定逐级上报

ABCD 42. 违反法律、行政法规,在计算机信息网络上传播煽动分裂国家、破坏祖国统一的,故意制作、传播计算机病毒等破坏性程序的单位,由公安机关给予如下处罚:( )。

A. 警告

B. 有违法所得的,没收违法所得

C. 可以并处15 000元以下罚款

D. 情节严重的,可以给予6个月以内停止联网、停机整顿

ABCD 43. 有下列行为之一的:( ),由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得。

A. 未建立安全保护管理制度的;未对网络用户进行安全教育和培训的

B. 未采取安全技术保护措施的;未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的

C. 未建立电子公告系统的用户登记和信息管理制度的;未建立公用帐号使用登记制度的;对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的

D. 未按照国家有关规定,删除网络地址、目录或者关闭服务器的;转借、转让用户帐号的

BC44. 接人单位、互联单位,不履行备案职责的,由公安机关给予( )的处罚。

A. 处以5000元罚款

B. 警告

C. 停机整顿(不超过6个月)

D. 追究刑事责任

AB45. 电信,是指利用有线、无线的( ),传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。

A.电磁系统 B.光电系统

C.电信系统 D.信息系统

AB46. 互联网信息服务提供者应当在其网站主页的显著位置标明其( )。

A. 经营许可证编号

B. 备案编号

C. 记录提供的信息内容及其发布时间

D. 互联网地址或者域名

ABCD 47. 互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:( )。

A. 反对宪法所确定的基本原则的;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的

B. 煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的

C. 散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的

D. 侮辱或者诽谤他人,侵害他人合法权益的;含有法律、行政法规禁止的其他内容的

ABC48. ( )等有关主管部门,在各自职责范围内依法对互联网信息内容实施监督管理。

A. 新闻、出版、教育

B. 卫生、药品监督管理

C. 工商行政管理和公安、国家安全

D. 人民检察院和人民法院

ABCD 49. 制定《互联网电子公告服务管理规定》的主要目的是:( )。

A. 为了加强对互联网电子公告服务的管理

B. 规范电子公告信息发布行为

C. 维护国家安全和社会稳定

D. 保障公民、法人和其他组织的合法权益

ABCD 50. 任何人不得在电子公告服务系统中发布含有下列内容之一的信息:( )。

A. 反对宪法所确定的基本原则的;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的

B. 损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的

C. 散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的

D. 侮辱或者诽谤他人,侵害他人合法权益的;含有法律、行政法规禁止的其他内容的

ABCD 51. 互联网站登载的新闻不得含有下列内容:( )。

A. 违反宪法所确定的基本原则;危害国家安全,泄露国家秘密,煽动颠覆国家政权,破坏国家统一

B. 损害国家荣誉和利益;煽动民族仇恨、民族歧视,破坏民族团结;破坏国家宗教政策,宣扬邪教,宣扬封建迷信

C. 散布谣言,编造和传播假新闻,扰乱社会秩序,破坏社会稳定;散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪

D. 侮辱或者诽谤他人,侵害他人合法权益;法律、法规禁止的其他内容

ABC52. ( )发现国家秘密泄露或可能泄露情况时,应当立即向保密工作部门或机构报告。

A.互联单位 B.接入单位

C.用户 D.使用者

72信息安全管理教程试题库_信息安全管理

四、问答题

1. 简述有害数据的含义。

答:有害数据,是指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图像、文字、声音等多种形式表示的,含有攻击人民民主专政、社会主义制度,攻击党和国家领导人,破坏民族团结等危害国家安全内容的信息,含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息,以及危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性,用于违法活动的计算机程序(含计算机病毒)。

2. 简述计算机病毒的含义。

答:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

3. 什么是互联网上网服务营业场所?

答:互联网上网服务营业场所,是指通过计算机等装置向公众提供互联网上网服务的网吧、电脑休闲室等营业性场所。

4. 什么是经营性互联网信息服务和非经营性互联网信息服务?

答:经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动;非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。

5. 简述淫秽物品的范围。

答:淫秽物品,是指具体描写性行为或露骨宣扬色情淫荡形象的录像带、录音带、影片、电视片、幻灯片、照片、图画、书籍、报刊、抄本,印有这类图照的玩具、用品,以及淫药、淫具,具体描绘性行为或者露骨宣扬色情的诲淫性的视频文件、音频文件、电子刊物、图片、文章、短信息等互联网、移动通讯终端电子信息和声讯台语音信息。

有关人体生理、医学知识的电子信息和声讯台语音信息不是淫秽物品。包含色情内容的有艺术价值的电子文学、艺术作品不视为淫秽物品。

6. 简述淫秽信息的含义。

答:淫秽信息,是指在整体上宣扬淫秽行为,具有下列内容之一,挑动人们性欲,导致普通人腐化、堕落,而又没有艺术或科学价值的文字、图片、音频、视频等信息内容,包括:(1)淫亵性地具体描写性行为、性交及其心理感受;(2)宣扬色情淫荡形象;(3)淫亵性地描述或者传授性技巧;(4)具体描写乱伦、强奸及其他性犯罪的手段、过程或者细节,可能诱发犯罪的;(5)具体描写少年儿童的性行为;(6)淫亵性地具体描写同性恋的性行为或者其他性变态行为,以及具体描写与性变态有关的暴力、虐待、侮辱行为;(7)其他令普通人不能容忍的对性行为淫亵性描写。

7. 简述色情信息的含义。

答:色情信息,是指在整体上不是淫秽的,但其中有部分内容属于淫秽信息,对普通人特别是未成年人的身心健康有毒害,缺乏艺术价值或者科学价值的文字、图片、音频、视频等信息内容。

8. 简述不道德网络行为的类型。

答:不道德网络行为的类型包括:(1)有意地造成网络交通混乱或擅自闯入网络及其相连的系统;(2)商业性地或欺骗性地利用大学计算机资源;(3)偷窃资料、设备或智力成果;(4)未经许可接近他人的文件;

(5)在公共用户场合做出引起混乱或造成破坏的行为;(6)伪造电子函件信息。

9. 创建和谐网络文明服务的要求有哪些?

答:创建和谐网络文明服务的要求有:(1)提倡正确导向,反对不良网风;(2)提倡遵纪守法,反对违规违纪;(3)提倡客观真实,反对虚假新闻;(4)提倡先进文化,反对愚昧落后; (5)提倡格调高雅,反对低级媚俗;(6)提倡公平守信,反对恶性竞争;(7)提倡科技创新,反对墨守成规;(8)提倡团结协作,反对损人利己。

10. 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行哪些安全保护职责? 答:互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:(1)负责本网络的安全保护管理工作,建立健全安全保护管理制度;(2)落实安全保护技术措施,保障本网络的运行安全和信息安全;(3)负责对本网络用户的安全教育和培训;(4)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照《计算机信息网络国际联网安全保护管理办法》第5条进行审核;(5)建立计算机信息网络电子公告系统的用户登记和信息管理制度;(6)发现有《计算机信息网络国际联网安全保护管理办法》第4条、第5条、第6条、第7条所列情形之一的,应当保留有关原始记录,并在24小时内向当地公安机关报告;(7)按照国家有关规定,删除本网络中含有《计算机信息网络国际联网安全保护管理办法》第5条内容的地址、目录或者关闭服务器。

11. 简述公安部网络违法案件举报网站受理的举报范围。

答:公安部网络违法案件举报网站受理的举报范围包括: (1)进行邪教组织活动、煽动危害国家安全;

(2)散播谣言、侮辱、捏造事实,扰乱社会秩序;(3)传播淫秽色情信息,组织淫秽色情表演,赌博、诈骗、敲诈勒索; (4)侵犯他人通信自由、通信秘密;(5)网络入侵、攻击等破坏活动;(6)擅自删除、修改、增加他人数据;(7)其他网络违法犯罪活动。

12. 简述互联网安全保护技术措施的含义。

答:互联网安全保护技术措施,是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。

13. 互联网服务提供者和联网使用单位应当落实哪几项互联网安全保护技术措施?

答:互联网服务提供者和联网使用单位应当落实以下四项互联网安全保护技术措施: (1)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施; (2)重要数据库和系统主要设备的冗灾备份措施;(3)记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的技术措施; (4)法律、法规和规章规定应当落实的其他安全保护技术措施。

14. 提供互联网接人服务的单位除落实《互联网安全保护技术措施规定》第7条规定的互联网安全保护技

术措施外,还应当落实具有哪些功能的安全保护技术措施?

答:提供互联网接入服务的单位除落实本规定第7条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施: (1)记录并留存用户注册信息;(2)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系;(3)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。

15. 提供互联网信息服务的单位除落实《互联网安全保护技术措施规定》第7条规定的互联网安全保护技术措施外,还应当落实具有哪些功能的安全保护技术措施?

答:提供互联网信息服务的单位除落实本规定第7条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:(1)在公共信息服务中发现、停止传输违法信息,并保留相关记录;(2)提供新闻、出版以及电子公告等服务的,能够记录并留存发布的信息内容及发布时间;(3)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;(4)开办电子公告服务的,具有用户注册信息和发布信息审计功能;(5)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。

三 : 信息系统管理工程师考试大纲

一、考试说明
1、考试要求:
(1)熟悉计算机系统以及各主要设备的性能,并理解其基本工作原理;
(2)掌握操作系统基础知识以及常用操作系统的安装、配置与维护;
(3)理解数据库基本原理,熟悉常用数据库管理系统的安装、配置与维护;
(4)理解计算机网络的基本原理,并熟悉相关设备的安装、配置与维护;
(5)熟悉信息化和信息系统基础知识;
(6)了解信息系统开发的基本过程与方法;
(7)掌握信息系统的管理与维护知识、工具与方法;
(8)掌握常用信息技术标准、信息安全以及有关法律、法规的基础知识;
(9)正确阅读和理解信息技术相关领域的英文资料。
2、通过本考试的合格人员能对信息系统的功能与性能、日常应用、相关资源、运营成本、安全等进行监控、管理与评估,并为用户提供技术支持;能对信息系统运行过程中出现的问题采取必要的措施或对系统提出改进建议;能建立服务质量标准,并对服务的结果进行评估;能参与信息系统的开发,代表用户和系统管理者对系统的分析设计提出评价意见,对运行测试和新旧系统的转换进行规划和实施;具有工程师的实际工作能力和业务水平,能指导信息系统运行管理员安全、高效地管理信息系统的运行。
3、本考试设置的科目包括:
(1)信息系统基础知识,考试时间为150分钟,笔试,选择题;
(2)信息系统管理(应用技术),考试时间为150分钟,笔试,问答题。
二、考试范围
考试科目1:信息系统基础知识
1.计算机科学基础
1.1 数制及其转换
●二进制、十进制和十六进制等常用数制及其相互转换
1.2 数据表示
●数的表示:原码、补码、反码,整数和实数的机内表示方法,精度与溢出
●非数值表示:字符和汉字的机内表示,声音和图像的机内表示
●校验方法和校验编码
1.3 算术运算和逻辑运算
●计算机中二进制数的运算方法
●逻辑代数基本运算
1.4 数据结构与算法基本概念
2.计算机系统知识
2.1 计算机硬件知识
2.1.1 计算机系统组成和主要设备的基本工作原理
●CPU和存储器的组成、性能和基本工作原理
●I/0接口的功能、类型和特性
●常用I/0设备的性能和基本工作原理
●CISC/RISC、流水线操作、多处理机、并行处理基本概念
2.1.2 存储系统
●高速缓存、主存类型
●虚拟存储器基本工作原理,多级存储体系
●RAID类型和特性
●存储介质特性及容量计算
2.2 计算机软件知识
2.2.1 操作系统知识
●操作系统的类型、特征和功能
●中断控制、进程、线程的基本概念
●处理机管理(状态转换、同步与互斥、分时、抢占、死锁)
●存储管理(主存保护、动态连接分配、分页、虚存)
●设备管理(I/0控制、假脱机)
●文件管理(文件目录、文件的结构和组织、存取方法、存取控制、恢复处理、共享和安全)
●作业管理
●汉字处理,人机界面
●操作系统的配置
2.2.2 程序设计语言和语言处理程序基础知识
●汇编、编译、解释系统的基础知识和基本工作原理
●程序设计语言的基本成分:数据、运算、控制和传输,过程调用的实现机制
●各类程序设计语言的主要特点和适用情况
2.3 系统配置和方法
2.3.1 系统配置技术
●C/S系统、B/S系统、多层系统、分布式系统
●系统配置方法(双份、双重、热备份、容错和群集)
●处理模式(集中式、分布式、批处理、实时处理和Web计算)
●事物管理(并发控制、独占控制、故障恢复、回滚、前滚)
2.3.2 系统性能
●性能指标和性能设计,性能计算、性能测试和性能评估
2.3.3系统可靠性
●可靠性指标与设计,可靠性计算与评估
2.4 计算机应用基础知识
●信息管理、数据处理、辅助设计、科学计算、人工智能、远程通信服务等基础知识
●多媒体应用基础知识
3.计算机网络知识
3.1 协议和侍输
●网络体系结构(网络拓扑、0SI/RM、基本的网络和通信协议)
●TCP/IP协议基础
●传输介质、传输技术、传输方法、传输控制
3.2 局域网和广域网
●LAN拓扑、存取控制、LAN的组网、LAN间连接、LAN-WAN连接
●互联网基础知识及其应用
●网络性能分析(传输速度、线路利用率、线路容量)和性能评估
●网络有关的法律、法规要点
●网络安全(加密解密、授权、防火墙、安全协议)
●远程传输服务
3.3 常用网络设备和各类通信设备
3.4 网络管理与网络软件基础知识
●网络管理(运行管理、配置管理、安全管理、故障管理、性能管理、计费管理)
●网络软件(网络操作系统、驱动程序、网络管理系统、网络管理工具)
4.数据库基础知识
4.1 数据库系统基本概念
4.2 数据库系统体系结构
●集中式数据库系统、Client/Server数据库系统、分布式数据库系统
4.3 关系数据库标准语言(SQL)
●SQL的功能与特点
●用SQL进行数据定义(表、视图、索引、约束)
●用SQL进行数据操作(数据检索、数据插入删除/更新、触发控制)
●安全控制和授权
●应用程序中的API、嵌入SQL
4.4 数据库的管理与控制
●数据库管理系统的功能和特征
●数据库事务管理、数据库备份与恢复技术、并发控制
4.5 数据挖掘和数据仓库基本知识
5.信息系统开发和运行管理知识
5.1 信息化、信息系统与信息系统开发基本知识
●信息化、信息系统、信息工程概念
●信息系统结构与中间件技术
●知识产权、信息系统、互联网相关的法律、法规
●信息系统开发各阶段的目标和任务
●信息系统开发工具、开发环境、开发方法概念
●信息系统开发项目管理基本知识
5.2 系统分析设计基础知识
●系统分析的目的和任务
●结构化分析设计方法和工具
●系统规格说明书
●系统总体结构设计、详细设计
●系统设计说明书
●面向对象分析设计与统一建模语言(UML)
5.3 系统实施基础知识
●系统实施的主要任务
●结构化程序设计、面向对象程序设计、可视化程序设计
●程序设计语言的选择,程序设计风格
●系统测试的目的、类型和方法
●测试设计和管理
●系统转换知识
5.4 系统运行管理知识
●系统(计算机系统、数据库系统、计算机网络系统)运行管理
●系统运行管理各类人员的职责
●系统的成本管理、用户管理、安全管理、性能管理
●系统运行操作(系统控制操作、数据I/O管理、操作手册)
●资源管理(硬件资源管理、软件资源管理、数据资源管理、网络资源管理、相关设备和设施管理、文档管理)
●系统故障管理(处理步骤、监视、恢复过程、预防措施)
●分布式系统管理
●系统运行管理工具(自动化操作工具、监视工具、诊断工具)
●系统运行管理的标准化
5.5 系统维护知识
●系统维护的内容(软件维护、硬件维护、数据维护)
●系统维护的类型(完善性维护、适应性维护、纠错性维护、预防性维护)
●系统维护方法(日常检查、定期检查、预防维护、事后维护、远程维护)
●按合同维护
●系统维护工作的特点
●系统的可维护性(可理解性、可测试性、可修改性)
●系统维护的组织管理
5.6 系统评价基础知识
●系统的技术评价(目标评价、功能评价、性能评价、运行方式评价)
●系统成本的构成
●系统经济效益的评价(性能效益、节省成本效益)及其评价方法
6.信息安全知识
●信息安全基本概念
●计算机病毒防治,计算机犯罪的防范,网络入侵手段及其防范
●容灾
●加密与解密机制,认证(数字签名、身份认证)
●信息系统的安全保护,安生管理措施
●私有信息保护
●可用性保障(备份与恢复、改用空闲的线路和通信控制设备)
7.标准化知识
●标准化的概念(标准化的意义、标准化的发展、标准化机构)
●标准的层次(国际标准、国家标准、行业标准、企业标准)
●代码标准、文件格式标准、安全标准、软件开发规范和文档标准基础知识
8.专业英语
●正确阅读并理解相关领域的英文资料
考试科目2:信息系统管理(应用技术)
1.系统管理计划
1.1 确认系统管理要求
●管理级的系统管理要求(长期信息化战略、系统管理所要求的重要事项、用于管理的重要计算机资源)
●用户作业级的系统管理要求(管理范围、管理策略、管理对象、管理方法、管理计划、管理预算)
1.2 明确向用户提供的系统与服务、服务等级与责任范围
1.3 确定成本计算与服务计量办法
1.4 制订系统运行规章制度
1.5 制订长期与短期的系统管理计划
●面向用户的系统管理计划(服务时间、可用性、提供的信息量、响应速度、培训、服务台、分布式现场支持)
●建立系统管理组织与系统运行管理体制
●面向运行的系统管理计划(运行管理、人员管理、成本管理、用户管理、资源管理、故障管理、性能管理、维护管理、安全管理)
2.系统管理
2.1 系统运行
●各类应用系统的运行管理
●运行计划的制订与调整
●运行操作过程的标准化
●消耗品管理、数据输入输出管理、存档与交付管理
●系统运行管理报告
2.2 用户管理
●用户注册管理及其管理方法
●用户管理报告
2.3 操作管理
●系统操作指南(系统运行体制、操作员工作范围、操作规章制度、系统运行操作手册)
●作业管理(作业调度管理、作业处理情况检查、作业处理结果检查)
●作业运行的分析改进
●操作员组的管理(划分工作职责、作业交付规则提高操作质量)
2.4 计费管理
●计费系统(成本核算与事后支付系统,应付费资源,计费系统的选择)
●计费数据的收集、收集计费数据的工具
●计费单位与计算方法
●事后付费与事前付费的差别以及各种措施
2.5 成本管理
●系统运行成本(初始成本项与运行成本项)
●系统运行费预算和决算
●系统运行成本的管理(预算与决算的差别分析,降低成本的方法)
●用户方成本
2.6 人员管理
●职责系统
●职工教育与培训
●外包管理
2.7 分布式站点的管理
●分布式系统常见的问题
●分布式系统的运行管理
2.8 采用运行管理系统
●系统运行管理中的问题与措施
●运行支持系统、远程运行系统、自动运行系统、无人系统操作
●分布式系统中运行管理系统的使用
2.9 系统管理标准
2.9.1 建立系统管理标准
●划定系统管理标准的范围,确定系统运行标准项目
●运行操作过程标准、工作负载标准
●对监视运行状态的管理
●系统更新管理
2.9.2 分布式系统操作过程的标准化
2.9.3 标准的修订
3.资源管理
3.1 硬件管理
●识别待管理的硬件
●硬件资源管理、硬件配置管理、硬件资源维护
3.2 软件管理
●识别待管理的程序与文档
●软件开发阶段的管理、软件运行阶段的管理、软件更新管理
●程序库管理、软件包发行管理、文档管理
●软件资源的合法使用与保护
3.3 数据管理
●数据生命周期和数据资源管理
●数据管理(数据管理员、数据维护、数据库管理系统、分布式数据库管理)
●企业级数据管理(数据标准化、数据字典、数据目录、信息系统目录)
●数据库审计支持
3.4 网络资源管理
●待管理项目的识别(通信线路、通信服务、网络设备、网络软件)
●网络资源管理(登记管理的准备、资产管理、命名规则和标准)
●配置管理(网络设备配置图与连接图、地址管理、更新管理)
●网络资源维护
●网络管理(网络运行监视、网络故障管理、网络安全管理、网络性能管理)
●网络审计支持
3.5 相关设施和设备的管理
●电源设备管理、空凋设备管理、楼宇管理、应急设备管理、分布式现场的设备管理
4.故障管理
4.1 故障监视
●设置待监视项目、监视的内容和方法
4.2 故障的调查
●收集故障信息、隔离故障、确定故障位置、调查故障原因
4.3 恢复处理
●恢复作业的准备、恢复处理的形式
●主机故障的恢复、数据库故障的恢复、网络故障的恢复、相关设备故障的恢复、作业非正常情况的恢复
●故障处理及恢复涉及的有关人员
4.4 故障记录与防再现措施
●故障的记录与报告、故障原因分析
●评估与改进故障处理过程、审查类似设备与软件、处理故障工作流程的标准化
4.5分布式系统的故障管理
●分布式系统的故障间题、故障监视、故障分析、故障恢复
●分布式系统中防止故障再现
5.安全管理
5.1 安全管理措施
5.1.1 安全管理措施的制订
●安全策略、应急计划、安全管理体系
●安全管理的项目(威胁的识别、待保护项目)
●风险管理(风险分析、风险评估、保险)
5.1.2 物理安全措施的执行设备与相关设施的安生管理、防灾管理)
5.1.3 技术安全措施的执行(系统安全措施、数据安全性措施)
5.1.4 安全管理制度的执行
●运行管理(信息中心出入管理、终端管理、信息管理)
●防犯罪管理(篡改数据/程序、黑客、窃听、非法数据泄露)
5.1.5 信息系统安全有关的标准与法律法规
5.2 安全管理的实施
●运行管理手册、用户手册、安全性检查洁单
●分析研究登录数据、安全性审计支持
●分布式系统现场的安全性
●安全性强度测试
6.性能管理
6.1 信息系统的性能评价
6.1.1 性能评价标准与方法
●性能评价项目与目的
●评价标准
●性能监视与评价方法
6.1.2 性能分析与评价
●性能评价的时机,获取性能评价数据
●性能下降原因分析,改进性能的建议
6.2 系统性能管理
6.2.1 系统性能评估
●系统性能评估项目(电源、CPU处理速度、主存容量、Cache容量、磁盘容量、磁盘存取速度、通信线路速度)
●当前系统负载、预计系统负载
6.2.2 系统性能改进
●性能扩充的模拟(模拟工具、极限性能计算、增加选件)
●改进系统的建议
●系统用户培训
6.3 分布式的性能管理
●分布式系统性能及其评价标准
●分布式系统性能管理的因素(服务器与客户端的平衡考虑)
7.系统维护
7.1 制订系统维护计划
●系统维护的需求(设置系统维护项目以及相应的维护级别)
●系统维护计划(维护预算、维护需求、维护管理体制、维护承诺、维护人员职责、维护时间间隔、设备更换)
●系统维护的实施形式(每日检查、定期维护、预防性维护、事后维护)
7.2 系统维护的实施
7.2.1 维护工作流程
7.2.2 软件维护
●各类软件(公司开发的软件,合同开发的软件,市场购买的软件)的维护
●软件维护的合同,系统集成与维护的合同
7.2.3 硬件维护(硬件维护的合同,硬件备件及其保存)
8.系统转换
8.1 制订系统转换规划
8.2 设计新系统运行体制
8.3 系统转换的试验
●分析系统转换的影响、选择可用的系统、选择验证项目、设置评价标准、转换系统的准备
●转换实验
●转换实验结果的评价及转换工作量评估
8.4 系统运行的试验
●临时(并行)运行的试验与评价、正常运行的试验与评价
8.5 执行系统转换
8.5.1 制订系统转换实施计划
●确定转换项目(软件、数据库、文件、网络、服务器、磁盘设备)
●起草作业运行的临时规则
●确定转换方法(立即转换、逐步转换、平台切换)
●确定转换工作步骤和转换工具
●撰写转换工作实施计划和系统转换人员计划
8.5.2 系统转换的实施
8.5.3 系统转换的评估
9.开发环境管理
●开发环境的配置、开发环境的管理、分布式系统中开发环境的管理
10.与运行营理有关的系统评价
10.1 评价项目
●评价的目的
●评价的时机(系统规划时、系统设计时、系统转换时、系统运行时)
●设置评价项目(硬件、软件、网络、数据库、运行)
10.2 各个评价项目的评价标准
●性能(事务处理响应时间、作业周转时间、吞吐量、故障恢复时间、控制台响应时间)
●系统运行质量(功能评价,稳定性评价、可用性评价、可维护性评价)
●系统运行的经济效益(运行成本、系统质量与经济效益的平衡)
10.3 系统改进建议
●修改或重建系统的建议,改进系统开发方案的建议
10.4 分布式系统的评价
11.对系统用户的支持
●对用户提供的支持(支持的范围、向用户提供的服务、服务结果的记录、对用户的培训、服务台)
●处理用户的新需求(标识用户的新需求、对系统改进需求进行管理)
●对潜在用户的咨询服务
三、题型举例
(一) 选择题
●在数据处理部门中,防止数据被篡改的较好措施是__(1)__。
A.系统管理、程序设计、操作岗位应合并
B.系统管理、程序设计、操作岗位应分开
C.所有的数据操作都由软件包实现
D.所有的数据操作都应得到负责人的批准
(二) 问答题
某企业建立了管理信息系统,系统管理工程师起草了对系统用户进行技术支持的方案。请问该方案应包括哪些方面的技术支持?


2.6 计算机应用基础知识
●信息管理、数据处理、辅助设计、自动控制、科学计算、人工智能、远程通信服务概念
●多媒体应用基础知识
3.信息和信息系统的基本知识
●信息系统的概念与特征
●信息的概念
●信息系统的概念和类型
●信息系统的处理形式:集中、分散、批处理、实时处理、Web型计算
●常见信息系统
●信息系统开发各阶段的目标和任务
●信息系统项目管理常识
●软件质量常识
●知识产权:著作权法、专利法、计算机软件保护条例要点
●保密法、信息系统安全保护条例
●网络礼仪
●远程教育、电子商务、电子政务常识
●企业信息资源管理常识
4.信息系统运行管理基础知识
●系统运行管理的目标和任务
●系统运行管理有关人员及其职责
●系统运行管理规章制度
●系统运行管理有关文档及其主要内容
●系统常见故障、常见安全问题的处理方法
●系统备份与恢复方法
●系统维护的基本概念
●系统维护工作的内容和类型
●系统维护工作的特点
●系统的可维护性
●系统维护的组织与管理
●系统评价基本概念
5.信息安全基础知识
●信息安全基本概念,安全危害的种类
●信息安全策略(防护、备份、冗余)
●常用的安全协议(SET、SSL)
●访间控制(口令、存取权限),防火墙,入侵检测
●加密与解密基本知识
●认证(数字签名、身份认证)
●计算机病毒的防治、计算机犯罪的防范
●私有信息的保护
●防灾,环境安全
●信息安全规章制度
6.信息化基础知识
●标准化基本概念和标准化机构
●国际标准、国家标准、行业标准、企业标准基本概念
●代码标准、文件格式标准、安全标准、软件开发规范和文档标准化基础知识
7.计算机房及信息系统支撑体系基础知识
●供电系统(UPS、多路供电、配送电系统等)
●空凋系统(机房空气质量、温度、湿度)
●地线系统
●防雷系统
●消防、门禁、监控及报警系统
8.专业英语
●正确阅读和理解计算机使用中常见的简单英文

考试科目2:信息系统运行管理(应用技术)
1.系统运行管理员对信息系统开发的支持
1.1 对系统分析设计的支持
●耐用户需求说明书的数据格式提出意见
●对软件外部规格中的操作界面提出意见
1.2 对系统测试的支持
●参与测试数据的准备及测试用例设计
●参与测试实施:出错曲线、收敛性、嵌入错误的方法、错误控制图
●参与测试结果的检查验收与报告
1.3 系统转换
●系统升级
●系统转换的任务
●系统转换的方式
●系统转换过程中的文档管理(文档的一致性、文档更新手续)
●系统转换过程中的系统操作(作业调度、数据输入输出控制、操作手册)
●系统转换的实施(准备投入运行、试运行、版本管理)
2.系统安装与配置
2.1 计算机环境设置
2.2 安装、连掺和配置局域网
2.3 企业内部网与互联网连接
2.4 安装常用操作系统
●操作系统的安装过程
●操作系统参数的配置
●外部设备的安装及参数配置(驱动程序的安装)
●网络操作系统参数的配置
2.5 办公软件、电子邮件系统、数据库管理系统、常用工具软件的安装与配置
2.6 为操作系统、数据库系统、电子邮件系统添加用户、修改用户参数、删陈用户、执行权限管理
3.信息系统运行管理和维护
3.1 日常操作
●理解并执行信息系统运行操作流程
●按业务要求进行日常数据处理与数据校验
●按操作规范对系统中的各个输入输出设备进行日常操作
●按操作手册处理常见问题
●撰写系统运行日志
●报告系统异常情况
●网站的运行维护
3.2 信息设备的管理
●硬件资源管理
●软件资源管理(软件库管理、版本管理)
●网络资源管理
●文档管理(手册、电子文档、运行日志的管理)
●文档的管理制度以及修改手续、文档的安生保护
3.3 数据的管理与保护
●文件管理:文件组织、目录管理
●数据的保护管理:并发控制、独占控制、故障恢复、灾后恢复、前滚事务、后滚事务、备份与恢复
●存取管理(存取权限、密码)
●数据资源管理
3.4 资源使用状况管理
●动态监视信息系统资源使用情况
●对存储介质、文档、软件的管理
●对用户的管理
●电源管理
3.5 故障的监控与处理
●故障的种类
●故障的预防策略:系统操作顺序、系统监控与维护方式、防灾对策、UPS、双重处理
●常见故障的处理:系统故障管理(故障处理措施、恢复处理过程)、紧急情况处理(紧急情况的区分、紧急处理、备份措施、恢复操作)
●故障的记录与报告
3.6 系统维护
●软件维护、硬件维护、按合同维护
3.7 安全管理
●对域、工作组、用户组以及用户进行管理
●安全策略与用户角色管理
●文件卷的安全管理
●系统备份、信息备份的策略与技术
●安全危害的预防:加密与解密(公钥、密钥)、认证(数字签名、身份认证、用验证)、存取管理(存取权限、密码)、机密信息管理(进入退出控制、防止泄露措施)、防火墙、安全协议(SSL、SET)、计算机病毒预防、安全措施、防闯入、信息备份
●安全危害的对策:查杀计算机病毒、审计跟踪、计算机非法存取对策、查IP地址及位置、故障隔离、故障恢复、数据恢复
4.常用软件的使用
4.1 常用操作系统的使用
4.2 常用办公软件的使用
●文字处理软件的使用
●电子表格软件的使用
●绘图工具软件的使用
●电子邮件系统的使用
●文稿演示软件的使用
4.3 常用数据库管理系统的使用
三、题型举例
(一) 选择题
●系统运行日志的记录中,不包括_____。
A.信息服务的数量和质量
B.系统维护情况
C.系统所采用的技术
D.系统故障情况
(二) 问答题
录入大量的数据时经常会发生错误,而数据的错误对企业的效益和形象有严重的影响,为此,应采取必要的数据校验措施。请根据您的经验,列举3种常用的校验措施,并分别说明这些措施适用的情况。

下页更精彩: 1 2 3 4 5 下一页
上一篇: 小妹听我说-小妹听我说简谱 下一篇: 我们在一起-汶川,我们在一起

优秀文章