2022年第一章信息安全管理概述.docx

精选学习资料 - - - - - - - - - 第一章 信息安全治理概述一、判定题1. 依据 ISO 13335 标准,信息是通过在数据上施加某些商定而赐予这些数 据的特别含义；2. 信息安全保证阶段中,安全策略是核心,对事先爱护、事发检测和响 应、事后复原起到了统一指导作用；3. 只要投资充分,技术措施完备,就能够保证百分之百的信息安全；4. 我国在 2006 年提出的 20062022 年国家信息化进展战略将“ 建设国家信息安全保证体系” 作为 9 大战略进展方向之一；5.2003 年 7 月国家信息化领导小组第三次会议发布的27 号文件,是指导我国信息安全保证工作和加快推动信息化的纲领性文献；6. 在我国,严峻的网络犯罪行为也不需要接受刑法的相关惩罚；7. 信息安全等同于网络安全；8. 一个完整的信息安全保证体系,应当包括安全策略（Policy ）、爱护（ Protection） 、 检 测 （ Detection） 、 响 应 （ Reaction ） 、 恢 复（Restoration）五个主要环节；9. 实现信息安全的途径要借助两方面的掌握措施、技术措施和治理措 施,从这里就能看出技术和治理并重的基本思想,重技术轻治理,或者重治理轻技术,都是不科学,并且有局限性的错误观点；二、单项题 1. 以下关于信息的说法 是错误的；A. 信息是人类社会进展的重要支柱 B. 信息本身是无形的 C.信息具有价值,需要爱护 D.信息可以以独立形状存在1 / 16 名师归纳总结 - - - - - - -第 1 页,共 16 页精选学习资料 - - - - - - - - - 2. 信息安全经受了三个进展阶段,以下 不属于这三个发展阶段；A. 通信保密阶段 B. 加密机阶段 C.信息安全阶段 D.安全保证阶段 3. 信息安全在通信保密阶段对信息安全的关注局限在 安全属性；A. 不行否认性 B. 可用性 C.保密性 D.完整性 4. 信息安全在通信保密阶段中主要应用于 领域；A. 军事 B. 商业 C.科研 D.训练 5. 信 息 安 全 阶 段 将 研 究 领 域 扩 展 到 三 个 基 本 属 性 , 下列 不属于这三个基本属性；A. 保密性 B. 完整性 C.不行否认性 D.可用性 6. 安 全 保 障 阶 段 中 将 信 息 安 全 体 系 归 结 为 四 个 主 要 环 节 , 下 是正确的；列 A. 策略、爱护、响应、复原 B. 加密、认证、爱护、检测 C.策略、网络攻防、密码学、备份 D.爱护、检测、响应、复原2 / 16 名师归纳总结 - - - - - - -第 2 页,共 16 页精选学习资料 - - - - - - - - - 7. 依据 ISO 的信息安全定义,以下选项中 是信息安全三个基本属性之一；A. 真实性 B. 可用性 C.可审计性 D.牢靠性8. 为了数据传输时不发生数据截获和信息泄密,实行了加密机制；这种做 法表达了信息安全的 属性；A. 保密性 B. 完整性 C.牢靠性 D.可用性 9. 定期对系统和数据进行备份,在发生灾难时进行复原；该机制是为了 满意信息安全的 属性；A. 真实性 B. 完整性 C.不行否认性 D.可用性 10. 数 据 在 存 储 过 程 中 发 生 了 非 法 访 问 行 为 , 这 破 坏 了 信 息 安 全 属性；的 A. 保密性 B. 完整性 C.不行否认性 D.可用性 11. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的 行为,这破坏了信息安全的 属性；A. 保密性 B. 完整性 C.不行否认性 3 / 16 名师归纳总结 - - - - - - -第 3 页,共 16 页精选学习资料 - - - - - - - - - D.可用性 12.PDR安全模型属于 类型；A. 时间模型 B. 作用模型 C.结构模型 D.关系模型13. 信息安全国家学说是 件；A. 法国 B. 美国 C.俄罗斯 D.英国的信息安全基本纲领性文14. 以下的 犯罪行为不属于我国刑法规定的与运算机有关的犯罪行为；A. 窃取国家隐秘 B. 非法侵入运算机信息系统 C.破坏运算机信息系统 D.利用运算机实施金融诈骗15. 我国刑法 规定了非法侵入运算机信息系统罪；A. 第 284 条 B. 第 285 条 C.第 286 条 D.第 287 条 16. 计 算 机 信 息 系 统 安 全 保 护 条 例 是 由 中 华 人 民 共 和 国 第 147 号发布的；A. 国务院令 B. 全国人民代表大会令C.公安部令 D.国家安全部令4 / 16 名师归纳总结 - - - - - - -第 4 页,共 16 页精选学习资料 - - - - - - - - - 17. 互联网上网服务营业场所治理条例规定,负责互联网上网服务营业场所安全审核和对违反网络安全治理规定行为的查 处；A. 人民法院 B. 公安机关 C.工商行政治理部门 D.国家安全部门 18. 在 PDR安全模型中最核心的组件是；A. 策略 B. 爱护措施 C.检测措施 D.响应措施 19. 运算机信息网络国际联网安全爱护治理方法规定,互联单位、接入单位、使用运算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构）,应当自网络正式联通之 日起 续；A.7 B.10 C.15 D.30 20. 互联网服务供应者和联网使用单位落实的记录留存技术措施,应当 具有至少储存 天记录备份的功能；A.10 B.30 C.60 D.90 21. 网络信息未经授权不能进行转变的特性是；A. 完整性 B. 可用性 C.牢靠性 5 / 16 名师归纳总结 - - - - - - -第 5 页,共 16 页精选学习资料 - - - - - - - - - D.保密性 22. 确保信息在储备、使用、传输过程中不会泄露给非授权的用户或者 实体的特性是；A. 完整性 B. 可用性 C.牢靠性 D.保密性 23. 确保授权用户或者实体对于信息及资源的正常使用不会被反常拒 绝,答应其牢靠而且准时地拜访信息及资源的特性是；A. 完整性 B. 可用性 C.牢靠性 D.保密性 国务院发布运算机信息系统安全爱护条例；24. A. 1990 年 2 月 18 日 B. 1994 年 2 月 18 日 C.2000 年 2 月 18 日 D.2004 年 2 月 18 日 25. 运算机信息系统安全爱护条例规定,国家对运算机信息系统安 全专用产品的销售实行；A. 许可证制度 B.3C 认证 C.ISO 9000 认证 D.专卖制度 26. 互联网上网服务营业场所治理条例规定,互联网上网服务营业 场所经营单位；A. 可以接纳未成年人进入营业场所 B. 可以在成年人伴随下,接纳未成年人进入营业场所 C.不得接纳未成年人进入营业场所 D.可以在白天接纳未成年人进入营业场所 6 / 16 名师归纳总结 - - - - - - -第 6 页,共 16 页精选学习资料 - - - - - - - - - 27. 运算机信息系统安全爱护条例规定,运输、携带、邮寄运算机 信息媒体进出境的,应当照实向；A. 国家安全机关申报 B. 海关申报 C.国家质量检验监督局申报 D.公安机关申报28. 运算机信息系统安全爱护条例规定, 有意输入运算机病毒以及其他有害数据危害运算机信息系统安全的,或者未经许可出售运算机信息系统 安 全 专 用 产 品 的 , 由 公 安 机 关 处 以 警 告 或 者 对 个 人 处以的罚款、对单位处以的罚款；A.5000 元以下 15000 元以下,说明系统是安全B.5000 元 15000 元C.2000 元以下 10000 元以下D.2000 元 10000 元29. 信息安全PDR 模型中,假如满意的；A.Pt>Dt+Rt B.Dt>Pt+RtC.Dt<Pt+Rt D.Pt<Dt+Rt 30. 国家信息化领导小组在关于加强信息安全保证工作的看法中,针对下一时期的信息安全保证工作提出了 项要求；A.7 B.8 C.9 D.10 31. 确保网络空间安全的国家战略是 发布的国家战略；A. 英国 B. 法国 7 / 16 名师归纳总结 - - - - - - -第 7 页,共 16 页精选学习资料 - - - - - - - - - C.德国 D.美国 32. 信息安全中的木桶原理,是指；A. 整体安全水平由安全级别最低的部分所打算 B. 整体安全水平由安全级别最高的部分所打算 C.整体安全水平由各组成部分的安全级别平均值所打算 D.以上都不对 33. 关于信息安全的说法错误选项；A. 包括技术和治理两个主要方面 B. 策略是信息安全的基础 C.实行充分措施,可以实现肯定安全 D.保密性、完整性和可用性是信息安全的目标 34. PDR 模型是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的P 代表、 D 代表、 R 代表；A. 爱护检测响应B. 策略检测响应C.策略检测复原D.爱护检测复原35. 运算机信息系统安全爱护条例规定,任何组织或者个人违反条 例 的 规 定 , 给 国 家 、 集 体 或 者 他 人 财 产 造 成 损 失 的 , 应 当 依 法 承担；A. 刑事责任 B. 民事责任 C.违约责任 D.其他责任 36. 关于信息安全,以下说法中正确选项；A. 信息安全等同于网络安全 B. 信息安全由技术措施实现 C.信息安全应当技术与治理并重 8 / 16 名师归纳总结 - - - - - - -第 8 页,共 16 页精选学习资料 - - - - - - - - - D.治理措施在信息安全中不重要37. 在 PPDRR安全模型中,救措施；A. 爱护 B. 复原 C.响应 D.检测是属于安全大事发生后的补38. 我 国 正 式 公 布 了 电 子 签 名 法 , 数 字 签 名 机 制 用 于 实现 需求；A. 抗否认 B. 保密性 C.完整性 D.可用性 39. 在需要爱护的信息资产中,是最重要的；A. 环境 B. 硬件 C.数据 D.软件三、多项题1. 全国人民代表大会常务委员会关于爱护互联网安全的打算规定,利用互联网实施违法行为,尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员,依法赐予或者；A. 行政处分 B. 纪律处分 C.民事处分 D.刑事处分 2. 运算机信息网络国际联网安全爱护治理方法规定,任何单位和个人不得从事以下危害运算机信息网络安全的活动：；A. 有意制作、传播运算机病毒等破坏性程序的 B. 未经答应,对运算机信息网络功能进行删除、修改或者增加的 9 / 16 名师归纳总结 - - - - - - -第 9 页,共 16 页精选学习资料 - - - - - - - - - C.未经答应,对运算机信息网络中储备、处理或者传输的数据和应用程 序进行删除、修改或者增加的 D.未经答应,进入运算机信息网络或者使用运算机信息网络资源的 3. 互联网上网服务营业场所治理条例规定,负责互 联网上网服务营业场所经营许可审批和服务质量监督；A. 省电信治理机构 B. 自治区电信治理机构 C.直辖市电信治理机构 D.自治县电信治理机构 E. 省信息安全治理机构 4. 互联网信息服务治理方法规定,互联网信息服务供应者不得制 作、复制、发布、传播的信息内容有；A. 损害国家荣誉和利益的信息 B. 个人通信地址 C.个人文学作品 D.散布淫秽、色情信息 E. 羞辱或者诽谤他人,侵害他人合法权益的信息 5. 运算机信息系统安全爱护条例规定,由公安机关处以警告或者停机整顿；A. 违反运算机信息系统安全等级爱护制度,危害运算机信息系统安全的 B. 违反运算机信息系统国际联网备案制度的 C.有危害运算机信息系统安全的其他行为的 D.不依据规定时间报告运算机信息系统中发生的案件的 E. 接到公安机关要求改进安全状况的通知后,在限期内拒不改进的 6. 互联网服务供应者和联网使用单位应当落实的互联网安全爱护技术措；施包括 A. 防范运算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施 B. 重要数据库和系统主要设备的冗灾备份措施10 / 16 名师归纳总结 - - - - - - -第 10 页,共 16 页精选学习资料 - - - - - - - - - C.记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域 名、系统爱护日志的技术措施 D.法律、法规和规章规定应当落实的其他安全爱护技术措施 7. 运算机信息系统安全的三个相辅相成、互补互通的有机组成部分 是；A. 安全策略 B. 安全法规 C.安全技术 D.安全治理 8. 运算机信息网络国际联网安全爱护治理方法规定,任何单位和个 人不得制作、复制、发布、传播的信息内容有；A. 损害国家荣誉和利益的信息 B. 个人通信地址 C.个人文学作品 D.淫秽、色情信息 E. 羞辱或者诽谤他人,侵害他人合法权益的信息 9. 全国人民代表大会常务委员会关于爱护互联网安全的打算规定,为了爱护社会主义市场经济秩序和社会治理秩序,行为,构成犯罪的,依照刑法有关规定追究刑事责任；A. 利用互联网销售伪劣产品或者对商品、服务作虚假宣扬 B. 利用互联网侵害他人学问产权 C.利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的 虚假信息 D.利用互联网损害他人商业信誉和商品声誉 E. 在互联网上建立淫秽网站、网页,供应淫秽站点链接服务,或者传播 淫秽书刊、影片、音像、图片 10. 信息系统常见的危急有；A. 软硬件设计故障导致网络瘫痪 B. 黑客入侵 C.敏锐信息泄露 11 / 16 名师归纳总结 - - - - - - -第 11 页,共 16 页精选学习资料 - - - - - - - - - D.信息删除 E. 电子邮件发送 11. 信息系统安全爱护法律规范的作用主要有；A. 训练作用 B. 指引作用 C.评判作用 D.猜测作用 E. 强制作用 12. 依据 ISO 定义,信息安全的爱护对象是信息资产,典型的信息资产 包括；A. 硬件 B. 软件 C.人员 D.数据 E. 环境 13. 依据 ISO 定义,信息安全的目标就是保证信息资产的三个基本安全 属性,包括；A. 不行否认性 B. 保密性 C.完整性 D.可用性 E. 牢靠性14. 治安治理惩罚法规定,行为,处5 日以下拘留；情节较重的,处5 日以上 10 日以下拘留；A. 违反国家规定,侵入运算机信息系统,造成危害的 B. 违反国家规定,对运算机信息系统功能进行删除、修改、增加、干 扰,造成运算机信息系统不能正常运行的C.违反国家规定,对运算机信息系统中储备、处理、传输的数据和应用 程序进行删除、修改、增加的12 / 16 名师归纳总结 - - - - - - -第 12 页,共 16 页精选学习资料 - - - - - - - - - D.有意制作、传播运算机病毒等破坏性程序,影响运算机信息系统正常运行的四、问答题1. 简述信息安全进展所历经的三个主要阶段以及它们各自的特点；2. 简述 PDR安全模型的原理；3. 简述 ISO 信息安全定义及其含义；4. 简述信息安全的三个基本属性；5. 简述我国刑法对网络犯罪的相关规定；答案一、判 断 题1.对2.错3.错9. 对4.对 5. 对 8. 对6. 错 7. 错二、单选 题4.A 5.C 27.1.D 2.B 3.C 6.D 7.B 11.B 12.A 8.A 9.D 10.A 13.C 14.A 18.A 19.D 15.B 16.A 17.B 20.C 21.A 25.A 26.C 22.D 23.B 24.B B 28.A 13 / 16 名师归纳总结 - - - - - - -第 13 页,共 16 页精选学习资料 - - - - - - - - - 29.A 30.C 31.D 32.A 33.C 34.A 35.B 39.C 4.A36.C 37.B 38.A 三、多选 题3.ABC 1.AB 2.ABCD DE 5.ABCDE8.ADE 9.AB6.ABCD 7.ABD CDE 10.ABCD 13.BCD 14.ABCD 11.ABCDE 12.ABD 四、问答 题1. 简述信息安全进展所历经的三个主要阶段以及它们各自的特点；答：信息安全进展历经了三个主要阶段：（1）通信保密阶段,在这个阶段中,关注的是通信内容的保密性属性,保密等同于信息安全；（2）信息安全阶段,人们发觉,在原先所关注的保密性属性之外,仍有 其他方面的属性也应当是信息安全所关注的,这其中最主要的是完整性和 可用性属性,由此构成了支撑信息安全体系的三要素；（3）安全保证阶段,所谓安全保证,就是在统一安全策略的指导下,安 全 事 件 的 事 先 预 防 （ 保 护 ） , 事 发 处 理 （ 检 测 Detection 和 响 应 Reaction ）,事后复原（复原 Restoration）四个主要环节相互协作,构 成一个完整的保证体系；2. 简述 PDR安全模型的原理；答： PDR模型之所以闻名,是由于它是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的 P 代表爱护、 D代表检测、 R代表响应,该模型中使用了三个时间参数：（1） Pt ,有效爱护时间,是指信息系统的安全掌握措施所能有效发挥保 护作用的时间；（2） Dt,检测时间,是指安全检测机制能够有效发觉攻击、破坏行为所 需的时间；（3） Rt,响应时间,是指安全响应机制作出反应和处理所需的时间；14 / 16 名师归纳总结 - - - - - - -第 14 页,共 16 页精选学习资料 - - - - - - - - - PDR模型用以下时间关系表达式来说明信息系统是否安全：（1） Pt>Dt+Rt ,系统安全,即在安全机制针对攻击、破坏行为作出了成 功的检测和响应时,安全掌握措施依旧在发挥有效的爱护作用,攻击和破坏行为未给信息系统造成缺失；（2） Pt<Dt+Rt ,系统担心全,即信息系统的安全掌握措施的有效爱护作 用,在正确的检测和响应作出之前就已经失效,破坏和攻击行为已经给信 息系统造成了实质性破坏和影响；3. 简述 ISO 信息安全定义及其含义；答： ISO 信息安全定义：信息安全是为数据处理系统建立和采纳的技术和 治理的安全爱护,爱护运算机硬件、软件和数据不因偶然和恶意的缘由遭 到破坏、更换和泄露；它包括三方面含义：（1）信息安全的爱护对象是信息资产,典型的信息资产包括了运算机硬 件、软件和数据；（2）信息安全的目标就是保证信息资产的三个基本安全属性,保密性、完整性和可用性三个基本属性是信息安全的最终目标；（3）实现信息安全目标的途径要借助两方面的掌握措施,即技术措施和 治理措施；4. 简述信息安全的三个基本属性；答：信息安全包括了保密性、完整性和可用性三个基本属性：（1）保密性 Confidentiality,确保信息在储备、使用、传输过程中不会泄露给非授权的用户或者实体；（2）完整性 Integrity,确保信息在储备、使用、传输过程中不被非授权用户篡改；防止授权用户对信息进行不恰当的篡改；保证信息的内外 一样性；（3）可用性Availability,确保授权用户或者实体对于信息及资源的正常使用不会被反常拒绝,答应其牢靠而且准时地拜访信息及资源；5. 简述我国刑法对网络犯罪的相关规定；15 / 16 名师归纳总结 - - - - - - -第 15 页,共 16 页精选学习资料 - - - - - - - - - 答：我国刑法关于网络犯罪的三个特地条款,分别规定了非法侵入运算机信息系统罪（第285 条）；破坏运算机信息系统罪（第286 条）；利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家隐秘或者其他犯罪（第 287 条）,并将其一并归入分就第六章“ 妨害社会治理秩序罪” 第一节“ 扰乱公共秩序罪” ；16 / 16 名师归纳总结 - - - - - - -第 16 页,共 16 页