信息安全管理.doc

信息安全管理 第三章 信息安全等级保护与风险评估 自测题 判断题： 1. GB 17859与目前等级保护所规定的安全等级的含义不同，GB 17859中等级划分为现在的等级保护奠定了基础。 A.正确 B.错误 2. 虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。 A.正确 B.错误 3. 定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。 A.正确 B.错误 4. 通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。 A.正确 B.错误 5. 脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。 A.正确 B.错误 单选题： 1. 1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859 — 1999，提出将信息系统的安全等级划分为______个等级，并提出每个级别的安全功能要求。 A.7 B.8 C.6 D.5 2. 等级保护标准GB 17859主要是参考了______而提出。 A.欧洲ITSEC B.美国TCSEC C.CC D.BS 7799 3. 我国在1999年发布的国家标准______为信息安全等级保护奠定了基础。 A.GB 17799 B.GB 15408 C.GB 17859 D.GB 14430 4. 信息安全等级保护的5个级别中，______是最高级别，属于关系到国计民生的最关键信息系统的保护。 A.强制保护级 B.专控保护级 C.监督保护级 D.指导保护级 E.自主保护级 5. 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。 A.安全定级 B.安全评估 C.安全规划 D.安全实施 6. ______是进行等级确定和等级保护管理的最终对象。 A.业务系统 B.功能模块 C.信息系统 D.网络系统 7. 当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系统的安全等级应当由______所确定。 A.业务子系统的安全等级平均值 B.业务子系统的最高安全等级 C.业务子系统的最低安全等级 D.以上说法都错误 8. 下列关于风险的说法，______是错误的。 A.风险是客观存在的 B.导致风险的外因是普遍存在的安全威胁 C.导致风险的外因是普遍存在的安全脆弱性 D.风险是指一种可能性 9. 下列关于风险的说法，______是正确的。 A.可以采取适当措施，完全清除风险 B.任何措施都无法完全清除风险 C.风险是对安全事件的确定描述 D.风险是固有的，无法被控制 10. 风险管理的首要任务是______。 A.风险识别和评估 B.风险转嫁 C.风险控制 D.接受风险 11. 关于资产价值的评估，______说法是正确的。 A.资产的价值指采购费用 B.资产的价值无法估计 C.资产价值的定量评估要比定性评估简单容易 D.资产的价值与其重要性密切相关 12. 采取适当的安全控制措施，可以对风险起到______作用。 A.促进 B.增加 C.减缓 D.清楚 13. 当采取了安全控制措施后，剩余风险______可接受风险的时候，说明风险管理是有效的。 A.等于 B.大于 C.小于 D.不等于 14. 安全威胁是产生安全事件的______。 A.内因 B.外因 C.根本原因 D.不相关因素 15. 安全脆弱性是产生安全事件的______。 A.内因 B.外因 C.根本原因 D.不相关因素 16. 下列关于用户口令说法错误的是______。 A.口令不能设置为空 B.口令长度越长，安全性越高 C.复杂口令安全性足够高，不需要定期修改 D.口令认证是最常见的认证机制 17. 安全评估技术采用______这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。 A.安全扫描器 B.安全扫描仪 C.自动扫描器 D.自动扫描仪 18. 如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对