一、单选题（20分）1、《基本要求》中管理要求中，下面那一个不是其中的内容？（）A、安全管理机构。

B、安全管理制度。

C、人员安全管理。

D、病毒安全管理。

2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能是几级要求？（）A、一级。

B、二级。

C、三级。

D、四级。

3、三级系统基本要求中管理要求控制类共有（）项？A、32。

B、36。

C、37。

D、38。

4、《测评要求》和哪一个文件是对用户系统测评的依据？A、《信息系统安全等级保护实施指南》。

B、《信息系统安全保护等级定级指南》。

C、《信息系统安全等级保护基本要求》。

D、《信息系统安全等级保护管理办法》。

5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、（）、安全检查和持续改进、监督检查？A、安全事件处置和应急预案。

B、安全服务。

C、网络评估。

D、安全加固。

6、如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。

这应当属于等级保护的什么级别？（）A、强制保护级。

B、监督保护级。

C、指导保护级。

D、自主保护级。

7、《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项重要内容？A、安全定级。

B、安全评估。

C、安全规划。

D、安全实施。

8、人员管理主要是对人员的录用、人员的离岗、（）、安全意识教育和培训、第三方人员访问管理5各方面。

A、人员教育。

B、人员裁减。

C、人员考核。

D、人员审核。

9、根据《信息安全等级保护管理办法》，由以下哪个部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作？A、公安机关。

B、国家保密工作部门。

C、国家密码管理部门。

D、信息系统的主管部门。

10、计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。

（）A、经济价值经济损失。

B、重要程度危害程度。

C、经济价值危害程度。

D、重要程度经济损失。

11、新建_______信息系统，应当在投入运行后_______，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

（）A、第一级以上30日内。

B、第二级以上60日内。

C、第一级以上60日内。

D、第二级以上30日内。

12、等级保护标准GB 17859主要是参考了哪个文件而制定的？（）A、欧洲ITSEC。

B、美国TCSEC。

C、GB/T20984。

D、GB/T28828。

13、下列说法中不正确的是？（）A. 定级/备案是信息安全等级保护的首要环节。

B. 等级测评是评价安全保护现状的关键。

C. 建设整改是等级保护工作落实的关键。

D. 监督检查是使信息系统保护能力不断提高的保障。

14、以下关于定级工作说法不正确的是？（）A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。

B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。

C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。

D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。

15、以下哪一项不属于侵害社会秩序的事项？（）A、影响国家经济竞争力和科技实力。

B、影响各种类型的经济活动秩序。

C、影响各行业的科研、生产秩序。

D、影响公众在法律约束和道德规范下的正常生活秩序等。

16、受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益,称为？（）A、客体。

B、客观方面。

C、等级保护对象。

D、系统服务。

17、技术类安全要求按其保护的测重点不同，将依据三类控制点进行分类，其中S类代表是业务信息安全类，A类代表是什么？（）A、通用安全保护等级。

B、系统服务安全类。

C、用户服务保证类。

D、业务安全保证类。

18、安全管理制度主要包括：管理制度、制定和发布、（）三个控制点？A、评审和修订。

B、评审。

C、修订。

D、变更。

19、公司的网络管理员在配置操作系统为Windows Server 2003，由于系统非常重要需设置安全密码。

下面哪种密码比较安全？（）A.xiaoli123B.138********C.bcdefGhijklmD.cbFlO +^9L2i20、环境管理、资产管理、介质管理都属于安全管理部分的哪项管理？（）A、安全管理制度。

B、安全管理机构。

C、人员管理。

D、系统运维管理。

二、多选题（30分）1、根据《关于信息安全等级保护的实施意见》，信息系统安全等级保护应当遵循什么原则？（）A、明确责任，共同保护。

B、依照标准，自行保护。

C、同步建设，动态调整。

D、指导监督，保护重点。

2、以下属于信息安全等级保护工作流程的是？（）A、定级。

B、备案。

C、等级测评。

D、安全建设整改。

3、主机安全是指对信息系统涉及到的哪方面进行主机系统安全保护？（）A、服务器。

B、入侵检测。

C、工作站。

D、准入控制。

4、《信息系统安全等级测评报告》的结论为下列哪几种？（）A、符合。

B、基本符合。

C、部分符合。

D、不符合。

5、下列属于开展安全管理制度建设的内容是？（）A、落实信息安全责任制。

B、落实人员安全管理制度。

C、落实系统建设管理制度。

D、落实系统运维管理制度。

6、三级信息系统的人员录用应满足以下要求。

（）A、应指定或授权专门的部门或人员负责人员录用。

B、应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核。

C、应签署保密协议。

D、可从所有人员中选拔从事关键岗位的人员，并签署岗位安全协议。

7、物理安全是指对信息系统所涉及到的下列哪几个方面要求进行物理安全保护？（）A、主机房。

B、辅助机房。

C、办公环境。

D、网络边界。

8、通过组织开展信息安全等级保护的哪三项重点工作，落实等级保护制度的各项要求？（）A、安全管理制度建设。

B、安全评估工作。

C、技术措施建设。

D、等级测评。

9、三级及以上信息系统的网络安全审计应满足一下哪几个要求？、（）A、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

B、审计记录应包括：事件的日期和时间、用户、时间类型、时间是否成功及其他与审计先关的信息。

C、应能够根据记录数据进行分析，并生成审计报表。

D、应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

10、根据定级指南，信息系统安全包括哪几个方面的安全？（）A、业务信息安全。

B、系统服务安全。

C、系统运维安全。

D、系统建设安全。

11、信息系统安全实施阶段的主要活动包括等级保护管理实施、等级保护安全测评以及？（）A、安全方案详细设计。

B、系统定级核定。

C、安全需求分析。

D、等级保护技术实施。

12、属于通信安全的威胁中被动攻击的主要手段是？（）A、截获。

B、窃听。

C、分析。

D、假冒身份。

13、在信息安全等级保护工作中，哪些部门是信息安全职能部门？（）A、公安机关。

B、国家保密工作部门。

C、国家密码管理部门。

D、工业和信息化部门。

14、作为定级对象的信息系统应具有如下基本特征。

（）A、具有唯一确定的安全责任单位。

B、具有信息系统的基本要素。

C、承载单一或相对独立的业务应用。

D、单位具有独立的法人。

15、办公网络中计算机的逻辑组织形式可以有两种，工作组和域。

下列关于工作组的叙述中正确的是？A、工作组中的每台计算机都在本地存储账户。

B、本计算机的账户可以登录到其它计算机上。

C、工作组中的计算机的数量最好不要超过10台。

D、工作组中的操作系统必须一样。

三、判断题（20分）1、所有等级的信息系统，一般都由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写《信息系统安全等级保护备案表》。

（）2、信息安全是非传统安全，信息安全本质是信息对抗、技术对抗、国家综合实力的对抗。

（）3、在网络设备测评中网络设备应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。

（）4、在信息安全等级保护的SAG组合中没有S1A4G4这个组合。

（）5、在信息安全等级测评中，《基本要求》是信息系统安全保护的基本“标尺”或达标线，满足《基本要求》意味着信息系统具有相应等级的保护能力，达到了很好的安全状态。

（）6、经过安全建设整改工作后，三级信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力。

（）7、在信息安全等级保护中，第三级信息系统和第四级信息系统都具有强制性。

（）8、考虑到操作方便性和人员复用性，用户角色和权限不一定到最小权限。

（）9、在等级测评过程中，应对信息系统的用户采取两种或两种以上的组合技术对用户身份进行鉴别。

（）10、地方测评机构只能上在本地开展测评，不能够去外地测评。

（）11、系统定级、安全方案设计、产品采购等是系统建设管理的要求。

（）12、计算机安全需要机密性，完整性和先进性。

（）13、等级保护的政策文件中，就备案工作作出相关规定的文件是《信息安全等级保护备案实施细则》。

（）14、从安全保护能力角度，根据安全功能的实现情况，将计算机信息系统安全保护能力划分为五个级别，即：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问安全保护级。

（）15、对于包含多个子系统的信息系统，应当根据各子系统的重要程度分别确定保护等级。

（）16、信息安全等级保护体现了“谁主管、谁负责，谁使用、谁负责，谁运营、谁负责”的信息安全责任制。

（）17、基于网络的入侵检测系统的信息源是网络中的数据包。

（）18、信息系统运营、使用单位应当依照相关规定和标准和行业指导意见自主确定信息系统的安全保护等级。

即使有主管部门的，也不必经主管部门审核批准。

（）19、安全技术要求主要包括身份鉴别、访问控制、安全审计、完整性、保密性、恶意代码防范、密码技术应用等技术，以及物理环境和设施安全保护要求。

（）20、安全管理要求主要包括确定安全策略，落实信息安全责任制，建立安全组织机构，加强人员管理、系统建设和运行维护的安全管理等。