20124CISP北京试题.docVIP

1 以下关于信息系统安全保障是主观和客观 结合说法错误的是: A 通过在技术\管理\工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心 B 信息系统保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等，以全向面保障信息系统安全。 C 是一种通过客观证据向信息系统所有者提供主观提供主观信心的活动。 D 是主观和客观综合评估的结果 D 2.《GB/T 20274 信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指： A 对抗级 B 防护级 C 能力级 D 监管级 C 3 下面对于信息安全特征和范畴的说法错误的是： A 信息安全是一个系统性的问题，不仅是考虑信息系统本身的技术问题，还要考虑人员、管理、政策等众多因素 B 信息安全是一个动态的问题，他随着信息技术的发展普及，以及产业基础，用户认识、投入产出而发展 C 信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的 D 信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点 C 4 美国国防部的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术系统系统分为： A 内网和外网两个部分 B 本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分 D 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安全防护措施六个部分 B 5 依据国家标准GB/T20274 《信息系统安全保障评估框架》，信息系统安全目标（ISST）是从信息系统安全保障 的角度来描述的信息系统安全保障方案。 A 建设者 B 所有者 C 评估者 D 制定者 A 6 关于信息安全策略的说法中，下面说法正确的是： A 信息安全策略的制定是以信息系统的规模为基础 B 信息安全策略的制定是以信息系统的网络拓 C 信息安全策略是以信息系统风险管理为基础 D 在信息系统尚未完成之前，无法确定信息安全策略 C 7 以下对PPDR模型的解释错误的是： A 该模型提出以安全策略为核心，防护、检测和恢复组成一个完整的、动态的循环 B 该模型的一个重要贡献是加进了时间因素，而且对如何实现系统安全和评价安全状态给出了可操作的描述 C 该模型提出的公式1：PtDt+Rt，代表防护时间大于检测时间加响应时间 D 该模型提出的公式2：Et=Dt+Rt，代表当防护时间为0时，系统的暴露时间等于检测时间加响应时间 D 8 下列对于信息安全保障深度防御模型的说法错误的是： A 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。 B 信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统 C 信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系无关紧要。 D 信息安全技术方案：“从外而内、自下而上、形成端到端的防护能力”。 C 9 下面有关我国信息安全管理体制的说法错误的是： A 目前我国的信息安全保障工作是相关部门和司其职、相互配合、齐抓共管的局面 B 我国的信息安全保障工作综合利用法律、管理和技术的手段 C 我国的安全管理应坚持及时检测、快速响应、综合治理的方针 D 我国对于信息安全责任的原则是谁主管、谁负责，谁经营、谁负责 B 10 全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求，“加快信息安全人才培养，增强全民信息安全意识”的精神，是以下哪一个国家政策文件提出的？ A 《国家信息化领导小组关于加强信息安全保障工作的意见》 B 《信息安全等级保护管理办法》 C 《中华人民共和国计算机信息系统安全保护条例》 D 《关于加强政府信息系统安全和保密管理工作的通知》 A 11 一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案？ A 公安部公共信息安全监察局及其各地相应部门 B 国家计算机网络与信息安全管理中心 C 互联网安全协会 D 信息安产业商会 A 12下列哪个不是《商用密码管理条例》规定的内容： A国家密码管理委员会及其办公室（简称密码管理机构）主管全国的商用密码管理工作 B 商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理 C 商用密码产品由国家密码管理机构许可的单位销售 D 个人可以使用经国家密码管理机构认可之外的商用密码