精心整理
CISP 信息安全保障章节练习一
一、单选题。

(共40题,共100分,每题2.5分)
1.我国信息安全保障工作先后经历了启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是：
a 、2001年，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动
b 、2003年7月，国家信息化领导小组制定出台了《关于加强信息信息安全保障工作的意见》（中办发27号文件），明确了“积极防御、综合防范”的国家信息安全保障工作方针
c 、2003年，中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段
d 2.a c d 3.a d 4.案，关于此a b c 得到
d 5.a 安全技术，管理等方面的标准。

b 、重视信息安全应急处理工作，确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展。

c 、推进信息安全等级保护工作，研究制定了多个有关信息安全等级保护的规范和标准，重点保障了关系国定安全，经济命脉和社会稳定等方面重要信息系统的安全性。

d 、实施了信息安全风险评估工作，探索了风险评估工作的基本规律和方法，检验并修改完善了有关标准，培养和锻炼了人才队伍。

最佳答案是:b
6.信息安全保障是网络时代各国维护国家安全和利益的首要任务，以下哪个国家最早将网络安全上长升为国家安全战略，并制定相关战略计划。

a、中国
b、俄罗斯
c、美国
d、英国
最佳答案是:c
7.下列关于信息系统生命周期中安全需求说法不准确的是：
a、明确安全总体方针，确保安全总体方针源自业务期望
b、描述所涉及系统的安全现状，提交明确的安全需求文档
c、向相关组织和领导人宣贯风险评估准则
d、对系统规划中安全实现的可能性进行充分分析和论证
最佳答案是:c
8.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是：
a、确保采购定制的设备.软件和其他系统组件满足已定义的安全要求
b、确保整个系统已按照领导要求进行了部署和配置
c
d
9.
a
b
c
d
10.
a
b
c
d
11.
a
b
c
d、
12.(NSA)发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是：
a、网络和基础设施区域边界重要服务器
b、网络和基础设施区域边界计算环境
c、网络机房环境网络接口计算环境
d、网络机房环境网络接口重要服务器
最佳答案是:b
13.关于信息安全保障的概念，下面说法错误的是：
a、信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念
b、信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段
c、在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全
d、信息安全保障把信息安全从技术扩展到管理，通过技术.管理和工程等措施的综合融合，形成对信息.信息系统及业务使命的保障
最佳答案是:c
14.关于信息安全保障技术框架(IATF)，以下说法不正确的是：
a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
b、IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施
c、允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性
d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
最佳答案是:d
15.下面关于信息系统安全保障模型的说法不正确的是：
a中
b
c
d
16.
a
b
c
d
17.
a
相关
b
c
d
18.
a
b
c、统筹规划，突出重点，强化基础工作
d、全面提高信息安全防护能力，保护公众利益，维护国家安全
最佳答案是:d
19.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是：
a、在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实
b、在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足
c、确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编
写出安全的代码
d、在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行
最佳答案是:d
20.依据国家标准GB/T20274《信息系统安全保障评估框架》，安全环境指的是：
a、组织机构内部相关的组织、业务、管理策略
b、所有的信息系统安全相关的运行环境，如已知的物理部署、自然条件、建筑物等
c、国家的法律法规、行业的政策、制度规范等
d、以上都是
最佳答案是:d
21.质量保证小组通常负责：
a
b
c
d
22.
a
b
c
d
23.
a
b
c
d
24.
a
b
c
d
25.
a、掌控系统的风险，制定正确的策略
b、确保系统的保密性.完整性和可用性
c、是系统的技术.管理.工程过程和人员等安全保障质量达到要求
d、保障信息系统实现组织机构的使命
最佳答案是:d
26.关于信息保障技术框架（IATF），下列说法错误的是：
a、IATF强调深度防御，关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障
b、IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作
c、IATF强调从技术、管理和人等多个角度来保障信息系统的安全
d、IATF强调的是以安全监测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全
最佳答案是:d
27.以下那种信息安全工作实践应用了信息安全保障的核心原理和思想？
a、以ISMS运行为核心，采用技术和管理手段对建设好的系统进行维护
b、以IATF为基础，涉及包括防毒、入侵检测、加密、审计在内的安全防护体系
c、以CIA为核心，对计算机网络进行安全加固、检测和评估
d、在系统生命周期内，以人为本，按照技管并重的原则，通过安全工程过程来构建安全体系
最佳答案是:d
28.信息安全保障是一种立体保障，在运行时的安全工作不包括：
a、安全评估
b、产品选购
c、备份与灾难恢复
d、监控
最佳答案是:b
29.以下关于信息安全保障说法中哪一项不正确？
a
b
c
d
30.
a、技术
31.
a、德国
32.依据
a、准备
33.
a
b
c
d
34.
a
b、组织的业务使命
c、信息系统面临的风险
d、项目的经费预算
最佳答案是:d
35.关于信息安全保障，下列说法正确的是:
a、信息安全保障是一个客观到主观的过程，即通过采取技术、管理、工程等手段，对信息资源的保密性、完整性、可用性提供保护，从而给信息系统所有者以信心
b、信息安全保障的需求是由信息安全策略所决定的，是自上而下的一个过程，在这个过程中，决策者的能力和决心非常重要
c、信息系统安全并不追求万无一失，而是要根据资金预算，做到量力而行
d、以上说法都正确
最佳答案是:a
36.在灾难发生期间，下列哪一种应用系统应当首先被恢复？
a、总账系统
b、供应链系统
c、固定资产系统
d、客户需求处理系统
最佳答案是:d
37.与PDR模型相比，P2DR模型多了哪一个环节？
a、防护
b、检测
c、反应
d、策略
最佳答案是:d
38.以下关于信息系统安全保障是主观和客观的结合说法最准确的是：
a、信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全
b、通过技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心
c、是一种通过客观证据向信息系统评估者提供主观信心的活动
d
39.
a
b
c
d
40.
一？
a
b。