上海海盾信息网络安全技术培训中心第1章基本要求1.1 信息安全基本知识1.1.1 信息安全的基本概念1.1.1.1 信息安全的定义判断题信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

（√）单选题信息安全是一门涉及（A）、计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

（A）通信技术（B）管理学（C）经济学（D）系统学信息安全的特征主要包括保密性、（B）、可用性、真实性、可靠性、可控性。

（A）安全性（B）完整性（C）不可见性（D）隐蔽性信息安全的三个最基本要素CIA是保密性、完整性、（C）的简称。

（A）真实性（B）可靠性（C）可用性（D）可控性1.1.1.2 信息安全的评估准则判断题可信计算系统评估准则（TCSEC），是全球公认的第一个计算机信息系统评估标准。

（√）单选题世界各国在TCSEC基础上建立了评估准则，包括ITSEC、CTCPEC、FC等，其中FC是（D）制定的评估准则。

（A）法国（B）加拿大（C）日本（D）美国（C）标准作为评估信息技术产品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。

（A）ITSEC（B）FC（C）CC（D）ISOBS7799信息安全管理标准是（B）制定的。

（A）美国（B）英国（C）日本（D）加拿大1.1.1.3 安全威胁判断题信息窃取是指未经授权的攻击者非法访问信息系统，窃取信息的情况，一般可以通过在不安全的传输通道上截取正在传输的信息或者利用密码分析工具破解口令等实现。

（√）单选题信息窃取常用的方法包括（A）、口令破解等。

（A）信息流监视（B）欺骗（C）信息破译（D）主动攻击以下哪一项不属于信息欺骗的范畴（D）。

（A）会话劫持（B）IP欺骗（C）重放攻击（D）社交工程常见的安全威胁和攻击不包括（D）。

（A）信息窃取（B）信息欺骗（C）恶意攻击（D）恶意抵赖1.2 信息安全体系结构1.2.1 信息安全体系结构规划方法1.2.1.1 信息安全基本要素判断题信息安全的基本三要素是保密性，完整性和可靠性。

（√）上海海盾信息网络安全技术培训中心上海海盾信息网络安全技术培训中心单选题下列元素中，（A）属于信息安全的基本三要素。

（A）保密性（B）稳定性（C）简便性（D）事务性下列元素中，（B）属于信息安全的基本三要素。

（A）可变性（B）完整性（C）简单性（D）事务性下列元素中，（C）属于信息安全的基本三要素。

（A）可恢复性（B）可访问性（C）可靠性（D）事务性1.2.1.2 信息安全的需求来源判断题一般来讲，组织的信息安全需求主要来自法律法规和合同条约的要求，组织的原则、目标和规定，以及风险评估的结果。

（√）单选题下列因素中，（A）属于一个组织信息安全需求的主要来源之一。

（A）法律法规和合同条约的要求（B）领导的个人意志（C）能够获取的信息安全产品（D）信息安全防护设备的类型下列因素中，（B）属于一个组织信息安全需求的主要来源之一。

（A）领导的个人意志（B）组织的原则、目标和规定（C）组织的盈利状况和财务报表（D）各个信息安全产品供应商下列因素中，（C）属于一个组织信息安全需求的主要来源之一。

（A）领导的个人意志（B）董事会的人员组成（C）风险评估的结果（D）各个信息安全产品供应商1.2.1.3 P2DR2安全模型的定义判断题P2DR2安全模型包含安全策略、防护、检测、响应、恢复这五个环节。

（√）单选题（A）不属于P2DR2安全模型五个环节的一部分。

（A）渗透测试（B）安全策略（C）防护（D）检测（B）不属于P2DR2安全模型五个环节的一部分。

（A）防护（B）反击（C）检测（D）响应（D）不属于P2DR2安全模型五个环节的一部分。

（A）恢复（B）响应（C）安全策略（D）设备采购1.2.1.4 P2DR2安全模型的基本思想判断题P2DR2安全模型对于安全的要求用数学公式可以表示为“Pt>Dt+Rt”。

（√）单选题在P2DR2安全模型中，“Pt”代表（A）。

（A）攻击成功所需时间（B）系统检测到攻击行为所需时间（C）系统做出响应所需时间（D）安全体系建设所需时间在P2DR2安全模型中，“Dt”代表（B）。

（A）攻击成功所需时间（B）系统检测到攻击行为所需时间（C）系统做出响应所需时间（D）安全体系建设所需时间在P2DR2安全模型中，“Rt”代表（C）。

（A）攻击成功所需时间（B）系统检测到攻击行为所需时间（C）系统做出响应所需时间（D）安全体系建设所需时间1.3 信息安全法律法规1.3.1 我国信息安全法律法规上海海盾信息网络安全技术培训中心上海海盾信息网络安全技术培训中心1.3.1.1 我国的信息安全标准判断题我国尚未出台计算机病毒防治方面的管理办法。

（×）单选题与等级保护工作相关的文件不包括以下哪一个（D）。

（A）《国家信息化领导小组关于加强信息安全保障工作的意见》（B）《关于信息安全等级保护工作的实施意见》（C）《信息安全等级保护管理办法》（D）《电子签名法》《中华人民共和国计算机信息系统安全保护条例》是哪一年颁布的（B）。

（A）1993（B）1994（C）1999（D）2003《信息安全等级保护管理办法》用文件号简称为（C）。

（A）66号文（B）147号文（C）43号文（D）303号文1.3.1.2 《中华人民共和国计算机信息系统安全保护条例》：第四章法律责任判断题运输、携带、邮寄计算机信息媒体进出境，不如实向公安机关申报的，由公安机关依照《中华人民共和国海关法》和《中华人民共和国计算机信息系统安全保护条例》以及其他有关法律、法规的规定处理。

（×）单选题计算机机房不符合国家标准和国家其他有关规定的，或者在计算机机房附近施工危害计算机信息系统安全的，由（B）会同有关单位进行处理。

（A）工商（B）公安机关（C）信息部（D）工程部任何组织或者个人违反《中华人民共和国计算机信息系统安全保护条例》的规定，给国家、集体或者他人财产造成损失的，应当依法承担（C）。

（A）刑事责任（B）行政责任（C）民事责任（D）财务责任执行《中华人民共和国计算机信息系统安全保护条例》的国家公务员利用职权，索取、收受贿赂或者有其他违法、失职行为，构成犯罪的，依法追究（D）。

（A）行政责任（B）民事责任（C）职权责任（D）刑事责任1.3.1.3 《计算机信息网络国际联网安全保护管理办法》：第四章法律责任判断题违反《计算机信息网络国际联网安全保护管理办法》情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。

（√）单选题互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织，应当自网络正式联通之日起（B）日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。

（A）10（B）30（C）60（D）90《计算机信息网络国际联网安全保护管理办法》规定，用户在接入单位办理入网手续时，应当填写（C）。

（A）用户申请表（B）用户自查表（C）用户备案表（D）入网情况表以下哪一项不属于违反《计算机信息网络国际联网安全保护管理办法》处罚的是（C）。

（A）取消联网资格（B）吊销经营许可证（C）五万元罚款（D）6个月以内的停机整顿1.3.1.4 《信息安全等级保护管理办法》：第六章法律责任判断题信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的30个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的30个工作日内通知备案单位予以纠正。

（×）上海海盾信息网络安全技术培训中心上海海盾信息网络安全技术培训中心单选题根据等级保护管理办法，（A）的信息系统不需要到公安机关办理备案手续。

（A）第一级（B）第二级（C）第三级（D）第四级公安机关每半年至少检查一次的信息系统是第（D）信息系统。

（A）一级（B）二级（C）三级（D）四级第三级以上信息系统应当谨慎选择等级保护测评机构进行测评，以下不符合条件的是（A）。

（A）在香港注册成立的公司（B）中国公民投资的企业（C）从事相关检测评估工作两年以上，无违法记录（D）工作人员仅限于中国公民1.3.2 信息安全国际标准1.3.2.1 《国际标准ISO/IEC 17799》：前言信息安全的定义判断题信息是重要的商业资产，信息的保密性、完整性和有效性对于保持竞争力非常关键，因此信息安全的主要任务是保证信息的保密性、完整性和有效性。

（√）单选题信息安全的主要任务是保证信息的保密性、完整性和（C）。

（A）有序性（B）安全性（C）有效性（D）独立性信息安全的主要任务是保证信息的保密性、（A）和有效性。

（A）完整性（B）有序性（C）安全性（D）独立性“确保信息只能够由得到授权的人访问”，这句话指的是信息的哪种属性（B）。

（A）有效性（B）保密性（C）完整性（D）有限性1.3.2.2 《国际标准ISO/IEC 17799》：第三章安全策略判断题信息安全策略的目标是为信息安全提供管理指导和支持。

（√）单选题信息安全策略文档不必包含以下内容（D）。

（A）管理意图（B）信息安全的目标、范围（C）报告安全事故的一般性责任和特殊性责任（D）风险评估的结果信息安全策略文档不必包含以下内容（A）。

（A）风险评估的结果（B）信息安全的定义（C）管理意图（D）报告安全事故的一般性责任和特殊性责任在对安全策略的维护过程中，应该定期检查以下几个方面，其中不包括（C）。

（A）安全策略的效率（B）对业务效率的影响（C）策略的必要性（D）技术变革带来的影响1.3.2.3 《国际标准ISO/IEC 17799》：第四章组织的安全判断题信息安全是一项由所有管理层成员共同承担的运营责任，因此应当考虑建立一个管理论坛，该论坛应当通过适当的承诺责任和足够的资源配置来提高组织内部的安全性。

（√）单选题关于组织内信息安全管理论坛的作用，不正确的说法是（C）。

（A）检查并批准信息安全策略（B）监测信息安全事故（C）防止所有安全事故（D）支持重要的创新信息安全责任的分配过程中，要注意的几点不包括（D）。

（A）负责每项资产或者安全过程的管理者都应当得到批准（B）管理者的责任细节应该记录在案（C）应当清楚地定义并记录授权等级（D）指定总负责人负责每项信息资产的日常安全应当保持与（B）、管理机构、信息服务提供商和电信运营商的适当联络，以确保在发生安上海海盾信息网络安全技术培训中心上海海盾信息网络安全技术培训中心全事故时能够及时采取适当措施并能够及时通知。