当前位置:
文档之家› 2019年上半年信息安全工程师真题+答案解析上午选择+下午案例完整版
2019年上半年信息安全工程师真题+答案解析上午选择+下午案例完整版
6、研究密码破译的科学称为密码分析学。密码分析学中,根据密码 分析者可利用的数据资源,可将攻击密码的类型分为四种,其中适于 攻击公开密钥密码体制,特别是攻击其数字签名的是 ( )。
A. 仅知密文攻击 B. 已知明文攻击 C. 选择密文攻击 D. 选择明文攻击 答案: C 在密码分析中,选择密文攻击指的是一种攻击方式。攻击者掌握对 解密机的访问权限,可构造任意密文所对应的明文。在此种攻击模型 中,密码分析者事先任意搜集一定数量的密文,让这些密文透过被攻 击的加密算法解密,透过未知的密钥获得解密后的明文。
5、等级保护制度已经被列入国务院《关于加强信息安全保障工作的 意见》之中。以下关于我国信息安全等级保护内容描述不正确的是 ( )。
A. 对国家秘密信息、法人和其他组织及公民的专有信息以及公开 信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
B. 对信息系统中使用的信息安全产品实行按等级管理 C. 对信息系统中发生的信息安全事件按照等级进行响应和处置
A. 强化员工的信息安全意识,规范组织信息安全行为 B. 对组织内关键信息资产的安全态势进行动态监测 C. 促使管理层坚持贯彻信息安全保障体系 D. 通过体系认证就表明体系符合标准,证明组织有能力保障重要 信息 答案: B BS7799 标准是英国标准协会 (BSI)制定的信息安全管理体系标准。 它包括两部分,其第一部分《信息安全管理实施指南》于 2001 年 2 月被国 际标准化组织(1S0) 采纳为国际标准 ISOIIEC17799,并于 2005 年 6 月 15 日发布了最新版本。我国也于 2004 年完成该标准 的转化工作。这一部分主要提供了信息安全管理的 一些通常做法, 用于指导企业信息安全管理体系的建设。第二部分 BS7799-2 《信息 安全管理体系规范和应用指南》是一个认证标准,描述了信息安全管 理体系各个方面需要达到的一些要求,可以以此为标准对机构的信息 安全管理体系进行考核和认证。 ISOIIEC 17799 的目的是"为信息安全 管理提供建议,旨在为一个机构提供用来制定安全标准、实施有效的 安全管理时的通用要素,并得以使跨机构的交易得到互信"。 机构实 施 BS7799 的目的是按照先进的信息安全管理标准建立完整的信息
伍
D. 对信息安全从业人员实行按等级管理,对信息安全违法行为实 行按等级惩处 答案: D 信息安全等级保护,是对信息和信息载体按照重要性等级分级别进 行保护的一种工作,信息系统的安全保护等级应当根据信息系统在国 家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对 国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权 益的危害程度等因素确定。
壱
2019 年上半年信息安全工程师真题+ 答案解析上午选择+下午案例完整版
上午选择 2019 年 5 月 25 日考试
1、《中华人民共和国网络安全法》第五十八条明确规定,因维护国 家安全和社会公共秩序,处置重大突发社会安全事件的需要,经( ) 决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
A. 8 字节 B. 16 字节 C. 32 字节 D. 64 字节 答案: C
弐
3、BS7799 标准是英国标准协会制定的信息安全管理体系标准,它包 括两个部分:《信息安全管理实施指南》和《信息安全管理体系规范 和应用指南》。依据该标准可以组织建立、实施与保持信息安全管理 体系,但不能实现( )。
4、为了达到信息安全的目标,各种信息安全技术的使用必须遵守一 些基本原则,其中在信息系统中,应该对所有权限进行适当地划分, 使每个授权主体只能拥有其中的一部分权限,使它们之间相互制约、 相互监督,共同保证信息系统安全的是 ( )。
A. 最小化原则 B. 安全隔离原则 C. 纵深防御原则 D. 分权制衡原则 答案: D 1、最小化原则。 受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的 安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。 仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的知情 权一定要加以限制,是在“满足工作需要”前提下的一种限的、系统的、全员参与的、制度化的、以预 防为主的信息安全管理方式, 用最低的成本,获得较高的信息安全 水平,从根本上保证业务的连续性。 BS7799 作为信息安全管理领域 的一个权威标准,是全球业界一致公认的辅助信息 安全治理手段, 该标准的最大意义在于可以为管理层提供一套可量体裁衣的信息安 全管理要项、一套与技术负责人或组织高层进行沟通的共同语言,以 及保护信息资产的制度框架。
六
7、基于 MD4 和 MD5 设计的 S/Key 口令是一种一次性口令生成方案, 它可以对访问者的身份与设备进行综合验证,该方案可以对抗( )。
A. 国务院 B. 国家网信部门 C. 省级以上人民政府 D. 网络服务提供商 答案: A
2、2018 年 10 月,含有我国 SM3 杂凑算法的 IS0/IEC10118-3: 2018《信 息安全技术杂凑函数第 3 部分:专用杂凑函数》由国际标准化组织 (ISO)发布,SM3 算法正式成为国际标准。SM3 的杂凑值长度为( )。
四
可以将最小化原则细分为知所必须和用所必须的原则。 2、分权制衡原则。 在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只 能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保 证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和 制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。 3、安全隔离原则。 隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。 信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的 安全策略,在可控和安全的前提下实施主体对客体的访问。 在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实 施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、 谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保 护原则、多级保护原则、深度保护原则和信息流向原则等。