信息安全等級(jí)測(cè)評(píng)師模擬試卷2014.5(答案)

姓名：__________考號(hào)：__________一、單選題(共10題)1.信息系統(tǒng)的安全等級(jí)劃分中，哪個(gè)等級(jí)代表了系統(tǒng)遭受攻擊時(shí)不會(huì)對(duì)國(guó)家安全和社會(huì)秩序造成嚴(yán)重危害？()A.第一級(jí)B.第二級(jí)C.第三級(jí)D.第四級(jí)2.以下哪個(gè)選項(xiàng)不屬于信息安全的基本要素？()A.機(jī)密性B.完整性C.可用性D.可靠性3.在密碼學(xué)中，下列哪種加密算法屬于對(duì)稱(chēng)加密？()A.RSAB.DESC.SHA-256D.MD54.以下哪種攻擊方式屬于主動(dòng)攻擊？()A.中間人攻擊B.拒絕服務(wù)攻擊C.釣魚(yú)攻擊D.社會(huì)工程5.以下哪個(gè)組織發(fā)布了ISO/IEC27001標(biāo)準(zhǔn)？()A.美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)（ANSI）B.國(guó)際標(biāo)準(zhǔn)化組織（ISO）C.國(guó)際電氣工程師協(xié)會(huì)（IEEE）D.國(guó)際電信聯(lián)盟（ITU）6.在信息安全風(fēng)險(xiǎn)評(píng)估中，以下哪個(gè)步驟不屬于風(fēng)險(xiǎn)評(píng)估的流程？()A.風(fēng)險(xiǎn)識(shí)別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)評(píng)價(jià)D.風(fēng)險(xiǎn)控制7.以下哪個(gè)選項(xiàng)不是信息安全事件分類(lèi)的一種？()A.網(wǎng)絡(luò)攻擊B.系統(tǒng)故障C.數(shù)據(jù)泄露D.自然災(zāi)害8.在密碼學(xué)中，公鑰加密算法的特點(diǎn)是什么？()A.加密和解密使用相同的密鑰B.加密和解密使用不同的密鑰C.加密速度快，解密慢D.解密速度快，加密慢9.以下哪種協(xié)議用于在網(wǎng)絡(luò)上進(jìn)行身份驗(yàn)證和授權(quán)？()A.HTTPSB.SSHC.SMTPD.FTP10.在信息安全管理體系中，以下哪個(gè)標(biāo)準(zhǔn)是最為基礎(chǔ)和廣泛采用的？()A.ISO/IEC27001B.ISO/IEC27005C.ISO/IEC27006D.ISO/IEC27004二、多選題(共5題)11.以下哪些屬于信息安全技術(shù)防護(hù)措施？()A.數(shù)據(jù)加密B.訪(fǎng)問(wèn)控制C.入侵檢測(cè)系統(tǒng)D.物理安全E.數(shù)據(jù)備份12.在信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中，以下哪些是風(fēng)險(xiǎn)識(shí)別的步驟？()A.確定資產(chǎn)價(jià)值B.識(shí)別威脅C.識(shí)別漏洞D.評(píng)估影響E.確定風(fēng)險(xiǎn)暴露13.以下哪些屬于信息安全事件的分類(lèi)？()A.網(wǎng)絡(luò)攻擊B.系統(tǒng)故障C.數(shù)據(jù)泄露D.硬件故障E.自然災(zāi)害14.在信息安全管理體系中，ISO/IEC27001標(biāo)準(zhǔn)要求組織建立和維護(hù)哪些方面的信息安全管理體系？()A.信息安全政策B.信息安全組織結(jié)構(gòu)C.信息安全風(fēng)險(xiǎn)評(píng)估D.信息安全控制措施E.信息安全培訓(xùn)與意識(shí)提升15.以下哪些是常見(jiàn)的網(wǎng)絡(luò)攻擊手段？()A.拒絕服務(wù)攻擊（DoS）B.中間人攻擊（MITM）C.惡意軟件攻擊D.SQL注入攻擊E.社會(huì)工程攻擊三、填空題(共5題)16.信息安全等級(jí)保護(hù)制度中，信息系統(tǒng)的安全等級(jí)從高到低依次為：核心級(jí)、重要級(jí)、______級(jí)、______級(jí)。17.信息系統(tǒng)的安全等級(jí)測(cè)評(píng)主要包括______測(cè)評(píng)和______測(cè)評(píng)。18.在信息安全風(fēng)險(xiǎn)評(píng)估中，風(fēng)險(xiǎn)的定義為：______。19.信息安全管理體系標(biāo)準(zhǔn)ISO/IEC27001的核心要求是建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)______。20.在密碼學(xué)中，公鑰加密算法中，公鑰用于______，私鑰用于______。四、判斷題(共5題)21.信息安全等級(jí)保護(hù)制度要求，信息系統(tǒng)安全等級(jí)的確定應(yīng)由信息安全測(cè)評(píng)機(jī)構(gòu)進(jìn)行。()A.正確B.錯(cuò)誤22.在信息系統(tǒng)中，操作系統(tǒng)漏洞通常比應(yīng)用軟件漏洞更難被攻擊者利用。()A.正確B.錯(cuò)誤23.信息加密技術(shù)可以完全保證信息在傳輸過(guò)程中的安全性。()A.正確B.錯(cuò)誤24.安全審計(jì)通常包括對(duì)系統(tǒng)日志的審查和監(jiān)控，以及對(duì)系統(tǒng)配置的檢查。()A.正確B.錯(cuò)誤25.在信息安全風(fēng)險(xiǎn)評(píng)估中，風(fēng)險(xiǎn)的概率可以通過(guò)歷史數(shù)據(jù)分析得到。()A.正確B.錯(cuò)誤五、簡(jiǎn)單題(共5題)26.請(qǐng)簡(jiǎn)述信息安全等級(jí)保護(hù)制度的主要內(nèi)容。27.什么是信息安全風(fēng)險(xiǎn)評(píng)估？請(qǐng)簡(jiǎn)述其目的和基本步驟。28.請(qǐng)解釋什么是安全審計(jì)，并說(shuō)明其在信息安全中的作用。29.請(qǐng)列舉三種常見(jiàn)的網(wǎng)絡(luò)攻擊手段，并簡(jiǎn)要說(shuō)明其攻擊原理。30.請(qǐng)簡(jiǎn)述信息安全管理體系ISO/IEC27001的主要內(nèi)容和實(shí)施步驟。

信息安全等級(jí)測(cè)評(píng)師模擬試卷2014.5(答案)一、單選題(共10題)1.【答案】C【解析】第三級(jí)安全等級(jí)代表了系統(tǒng)遭受攻擊時(shí)不會(huì)對(duì)國(guó)家安全和社會(huì)秩序造成嚴(yán)重危害。2.【答案】D【解析】信息安全的基本要素包括機(jī)密性、完整性和可用性，而可靠性不是信息安全的基本要素。3.【答案】B【解析】DES是一種對(duì)稱(chēng)加密算法，而RSA、SHA-256和MD5都是非對(duì)稱(chēng)加密或哈希算法。4.【答案】B【解析】拒絕服務(wù)攻擊（DoS）屬于主動(dòng)攻擊，它通過(guò)發(fā)送大量請(qǐng)求使系統(tǒng)癱瘓。5.【答案】B【解析】ISO/IEC27001標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)化組織（ISO）發(fā)布的。6.【答案】D【解析】風(fēng)險(xiǎn)評(píng)估的流程包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)，風(fēng)險(xiǎn)控制是風(fēng)險(xiǎn)評(píng)估的結(jié)果應(yīng)用階段。7.【答案】D【解析】信息安全事件通常分為網(wǎng)絡(luò)攻擊、系統(tǒng)故障和數(shù)據(jù)泄露等，自然災(zāi)害不屬于信息安全事件分類(lèi)。8.【答案】B【解析】公鑰加密算法使用一對(duì)密鑰，加密和解密使用不同的密鑰。9.【答案】B【解析】SSH（安全外殼協(xié)議）用于在網(wǎng)絡(luò)上進(jìn)行身份驗(yàn)證和授權(quán)，確保網(wǎng)絡(luò)通信的安全性。10.【答案】A【解析】ISO/IEC27001是最為基礎(chǔ)和廣泛采用的信息安全管理體系標(biāo)準(zhǔn)。二、多選題(共5題)11.【答案】ABCDE【解析】信息安全技術(shù)防護(hù)措施包括數(shù)據(jù)加密、訪(fǎng)問(wèn)控制、入侵檢測(cè)系統(tǒng)、物理安全以及數(shù)據(jù)備份等，這些措施有助于提高信息安全水平。12.【答案】BCE【解析】風(fēng)險(xiǎn)識(shí)別的步驟包括識(shí)別威脅、識(shí)別漏洞和確定風(fēng)險(xiǎn)暴露。確定資產(chǎn)價(jià)值和評(píng)估影響屬于風(fēng)險(xiǎn)評(píng)估的其他步驟。13.【答案】ACE【解析】信息安全事件的分類(lèi)包括網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露和自然災(zāi)害。系統(tǒng)故障和硬件故障通常被視為故障或事故，不屬于事件分類(lèi)。14.【答案】ABCDE【解析】ISO/IEC27001標(biāo)準(zhǔn)要求組織建立和維護(hù)信息安全政策、組織結(jié)構(gòu)、風(fēng)險(xiǎn)評(píng)估、控制措施以及培訓(xùn)與意識(shí)提升等方面的信息安全管理體系。15.【答案】ABCDE【解析】常見(jiàn)的網(wǎng)絡(luò)攻擊手段包括拒絕服務(wù)攻擊（DoS）、中間人攻擊（MITM）、惡意軟件攻擊、SQL注入攻擊以及社會(huì)工程攻擊等，這些攻擊手段威脅著信息安全。三、填空題(共5題)16.【答案】一、二【解析】信息安全等級(jí)保護(hù)制度中，信息系統(tǒng)的安全等級(jí)從高到低依次為：核心級(jí)、重要級(jí)、一等級(jí)、二等級(jí)。17.【答案】安全、管理【解析】信息系統(tǒng)的安全等級(jí)測(cè)評(píng)主要包括安全測(cè)評(píng)和管理測(cè)評(píng)，以確保信息系統(tǒng)符合相應(yīng)的安全等級(jí)要求。18.【答案】風(fēng)險(xiǎn)=威脅×漏洞×暴露度【解析】風(fēng)險(xiǎn)的定義是風(fēng)險(xiǎn)=威脅×漏洞×暴露度，這三個(gè)因素共同決定了風(fēng)險(xiǎn)的大小。19.【答案】信息安全管理體系【解析】ISO/IEC27001標(biāo)準(zhǔn)的核心要求是建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系，以保護(hù)組織的信息資產(chǎn)。20.【答案】加密、解密【解析】在公鑰加密算法中，公鑰用于加密信息，私鑰用于解密信息，確保通信的安全性。四、判斷題(共5題)21.【答案】錯(cuò)誤【解析】信息安全等級(jí)保護(hù)制度要求，信息系統(tǒng)安全等級(jí)的確定應(yīng)由信息系統(tǒng)運(yùn)營(yíng)、使用單位按照國(guó)家有關(guān)標(biāo)準(zhǔn)進(jìn)行，信息安全測(cè)評(píng)機(jī)構(gòu)負(fù)責(zé)進(jìn)行安全測(cè)評(píng)。22.【答案】錯(cuò)誤【解析】實(shí)際上，應(yīng)用軟件漏洞往往比操作系統(tǒng)漏洞更容易被攻擊者利用，因?yàn)閼?yīng)用軟件的使用范圍更廣，且用戶(hù)對(duì)其安全配置了解較少。23.【答案】錯(cuò)誤【解析】雖然信息加密技術(shù)可以增強(qiáng)信息安全，但并不能完全保證信息在傳輸過(guò)程中的安全性，還需要考慮其他安全措施，如訪(fǎng)問(wèn)控制、安全審計(jì)等。24.【答案】正確【解析】安全審計(jì)確實(shí)包括對(duì)系統(tǒng)日志的審查和監(jiān)控，以及對(duì)系統(tǒng)配置的檢查，以識(shí)別和評(píng)估潛在的安全威脅。25.【答案】正確【解析】在信息安全風(fēng)險(xiǎn)評(píng)估中，風(fēng)險(xiǎn)的概率可以通過(guò)歷史數(shù)據(jù)分析得到，這是一種常見(jiàn)的風(fēng)險(xiǎn)評(píng)估方法，有助于更準(zhǔn)確地評(píng)估風(fēng)險(xiǎn)。五、簡(jiǎn)答題(共5題)26.【答案】信息安全等級(jí)保護(hù)制度的主要內(nèi)容包括：明確信息系統(tǒng)的安全等級(jí)劃分標(biāo)準(zhǔn)；要求信息系統(tǒng)運(yùn)營(yíng)、使用單位按照安全等級(jí)保護(hù)要求，采取相應(yīng)的安全保護(hù)措施；建立信息安全等級(jí)保護(hù)測(cè)評(píng)體系，對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng)；加強(qiáng)信息安全監(jiān)督管理，確保信息安全等級(jí)保護(hù)制度的有效實(shí)施?！窘馕觥啃畔踩燃?jí)保護(hù)制度旨在通過(guò)明確信息系統(tǒng)安全等級(jí)劃分、要求采取安全保護(hù)措施、建立測(cè)評(píng)體系和加強(qiáng)監(jiān)督管理，確保信息系統(tǒng)安全，防范信息安全風(fēng)險(xiǎn)。27.【答案】信息安全風(fēng)險(xiǎn)評(píng)估是指對(duì)信息系統(tǒng)可能面臨的安全威脅、漏洞和風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)估的過(guò)程。其目的是確定信息系統(tǒng)面臨的風(fēng)險(xiǎn)，為制定和實(shí)施信息安全措施提供依據(jù)。基本步驟包括：風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)處理?！窘馕觥啃畔踩L(fēng)險(xiǎn)評(píng)估是信息安全管理體系的重要組成部分，通過(guò)系統(tǒng)的方法識(shí)別和評(píng)估信息系統(tǒng)面臨的風(fēng)險(xiǎn)，有助于提高信息系統(tǒng)的安全防護(hù)能力。28.【答案】安全審計(jì)是指對(duì)信息系統(tǒng)進(jìn)行安全性和合規(guī)性的審查和監(jiān)控，以識(shí)別潛在的安全威脅和違規(guī)行為。其在信息安全中的作用包括：確保信息系統(tǒng)安全策略和措施的執(zhí)行；發(fā)現(xiàn)和糾正安全漏洞；提高信息系統(tǒng)的安全防護(hù)能力；為信息安全事件提供證據(jù)?！窘馕觥堪踩珜徲?jì)是信息安全管理體系的重要組成部分，通過(guò)定期審查和監(jiān)控，有助于確保信息系統(tǒng)的安全性和合規(guī)性，及時(shí)發(fā)現(xiàn)和解決安全問(wèn)題。29.【答案】常見(jiàn)的網(wǎng)絡(luò)攻擊手段包括：拒絕服務(wù)攻擊（DoS）、分布式拒絕服務(wù)攻擊（DDoS）、釣魚(yú)攻擊。

1.拒絕服務(wù)攻擊（DoS）：通過(guò)發(fā)送大量請(qǐng)求占用系統(tǒng)資源，使合法用戶(hù)無(wú)法訪(fǎng)問(wèn)系統(tǒng)。

2.分布式拒絕服務(wù)攻擊（DDoS）：利用大量受控制的僵尸網(wǎng)絡(luò)發(fā)起攻擊，攻擊力更