信息系统项目管理师章节题目 第22章 信息系统安全管理.docx

1、信息系统项目管理师章节题目 第22章 信息系统安全管理2013年5月试题11-命-技-N.GJ.21.p000-5.00-信息安全攻击者通过搭线或在电磁波辐射范围内安装截收装置等方式获得机密信息，或通过对信息流量和流向、通信频率和长度等参数的分析推导出有用信息的威胁称为（11 ）。A. 破坏B. 抵赖C. 截取D. 窃取分析：计算机信息安全： 窃取：通过数据窃听的手段获得敏感信息。攻击者通过搭线窃听或电子辐射探测等手段截获机密信息，或通过信息流量的变化、流向的变化以及通信总量等参数分析出有用信息。 截取：非法用户通过特殊手段首先获得信息，再将此信息发送给真实接收者。参考答案：D试题13-喜-技

2、-G.ZJ.30.p628-5.00-安全审计下面有关安全审计的说法错误的是（13）。A. 安全审计需要用到数据挖掘和数据仓库技术B. 安全审计产品只包括主机类、网络类及数据库类C. 安全审计的作用包括帮助分析安全事故发生的原因D. 安全审计是主体对客体进行访问和使用情况进行记录和审查分析：高级教程p628：概括地讲，安全审计是采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控和管理，在必要时通过多种途径向管理员发出警告或自动采取排错措施，能对历史数据进行分析、处理和追踪。安全审计属于安全管理类产品。在管理类产品中，各类安全审计系统可在日常运行、维护中提供对网络安全的主动分析及综

3、合审计。安全审计产品主要包括主机类、网络类及数据库类和应用系统级的审计产品。答案B中的“只包括”太绝对！所以，此题是送分题。参考答案：B 试题14-命-技-Y.GJ.24.p538-5.00-信息安全系统信息安全保障系统可以用一个宏观的三维空间来表示，第一维是OSI网络参考模型，第二维是安全机制，第三维是安全服务。该安全空间的五个要素分别是（14）。A. 应用层、传输层、网络层、数据链路层和物理层B. 基础设施安全、平台安全、数据安全、通信安全和应用安全C. 对等实体服务、访问控制服务、数据保密服务、数据完整性服务和物理安全服务D. 认证、权限、完整、加密和不可否认分析：高级教程p538：由X

4、、Y、Z三个轴形成的空间就是信息系统的“安全空间”，随着网络逐层扩展，这个空间不仅范围逐步加大，安全的内涵也就更丰富，达到具有认证、权限、完整、加密和不可否认五大要素。也叫做“安全空间”的五大“属性”。参考答案：D试题16-喜-技-N.GJ.00.p000-5.00-信息安全网络入侵检测系统和防火墙是两种典型信息系统安全防御技术，下面关于入侵检测系统和防火墙的说法正确的是（16）。A. 防火墙是入侵检测系统之后的又一道防线，防火墙可以及时发现入侵检测系统没有发现的入侵行为B. 入侵检测系统通常是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作C. 入侵检测系统可以允

5、许内部的一些主机被外部访问，而防火墙没有这些功能，只是监视和分析系统的活动D. 防火墙必须和安全审计系统联合使用才能达到应用目的，而入侵检测系统是一个独立的系统，不需要依赖防火墙和安全审计系统分析：入侵检测（IDS）：我们做一个形象的比喻：假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有

6、跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：（1）尽可能靠近攻击源（2）尽可能靠近受保护资源这些位置通常是： 服务器区域的交换机上 Internet接入路由器之后的第一台交换机上 重点保护网段的局域网交换机上防火墙：所谓防火墙指的是一个由软件和硬件设备组合而

7、成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度

8、，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。参考答案：B试题18-命-技-N.GJ.27.p588-5.00-信息安全下面的无线网络加密方法中，（18）的安全性高。A. MAC地址过滤B. WEPC. WPAD. WPA2分析：WEP、WPA、WPA2：WEP：有线等效加密（Wired Equivalent Privacy），又称无线加密协议（Wireless Encryption Protoco

9、l），简称WEP，是个保护无线网络（Wi-Fi）信息安全的体制。因为无线网络是用无线电把讯息传播出去，它特别容易被窃听。WEP 的设计是要提供和传统有线的局域网路相当的机密性，而依此命名的。不过密码分析学家已经找出 WEP 好几个弱点，因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰，又在2004年由完整的 IEEE 802.11i 标准（又称为 WPA2）所取代。WEP 虽然有些弱点，但也足以吓阻非专业人士的窥探了。WPA和WPA2：WPA 全名为 Wi-Fi Protected Access，有WPA 和 WPA2两个标准，是一种保护无线电脑网路（Wi-F

10、i）安全的系统，它是应研究者在前一代的系统有线等效加密（WEP）中找到的几个严重的弱点而产生的。WPA 实作了 IEEE 802.11i 标准的大部分，是在 802.11i 完备之前替代 WEP 的过渡方案。WPA 的设计可以用在所有的无线网卡上，但未必能用在第一代的无线取用点上。WPA2 实作了完整的标准，但不能用在某些古老的网卡上。这两个都提供优良的保全能力，但也都有两个明显的问题： WPA或WPA2 一定要启动并且被选来代替 WEP 才有用，但是大部分的安装指引都把 WEP 列为第一选择。 在使用家中和小型办公室最可能选用的“个人”模式时，为了保全的完整性，所需的密语一定要比已经叫用户设

11、定的六到八个字元的密码还长。参考答案：D试题19-悲-技-N.ZJ.17.p000-6.02-机房标准根据电子信息系统机房设计规范GB50174-2008，下面的电子信息机房的设计方案不妥当的是（19）。A. 主机房净高根据机柜高度及通风要求确定，设置为3.0MB. 主机房采用了耐火等级为二级的建筑材料C. 主机房用于搬运设备的通道净宽设为2.0MD. B级电子信息系统机房的主机方中设置了两个外窗分析：标准原文：6.1.3 主机房净高应根据机柜高度及通风要求确定，且不宜小于2.6m。6.3.2 电子信息系统机房的耐火等级不应低于二级。6.2.3 电子信息系统机房内通道的宽度及门的尺寸应满足设备

12、和材料运输要求，建筑的入口至主机房应设通道，通道净宽不应小于1.5m。6.4.6 A 级B 级电子信息系统机房的主机房不宜设置外窗。当主机房设有外窗时，应采用双层固定窗，并应有良好的气密性，不间断电源系统的电池室设有外窗时，应避免阳光直射。参考答案：D13下试题15-悲-技-Y.ZJ.17.p431-5.00-信息安全以下针对信息系统安全的说法中，（15）是错误的。A、信息系统安全的侧重点随着信息系统使用者的需求不同而发生变化 B、信息系统安全属性包含：保密性、完整性、可用性与不可抵赖性 C、应用系统常用的保密技术有：最小授权原则、防暴露、信息加密、数字签名与公证 D、完整性是一种面向信息的安

13、全性能，可用性是面向用户的安全性能分析：应用系统常用的保密技术如下。最小授权原则：对信息的访问权限仅授权给需要从事业务的用户使用。防暴露：防止有用信息以各种途径暴露或传播出去。信息加密：用加密算法对信息进行加密处理，非法用户无法对信息进行解密从而无法读懂有效信息。物理保密：利用各种物理方法，如限制、隔离、掩蔽和控制等措施，保护信息不被泄露。参考答案：C试题16-喜-技-Y.GJ.27.p578-5.00-信息安全（16）不是对称加密算法的优点。A. 加/解密速度快B. 密钥管理简单C. 加密算法复杂、加密强度高D. 适宜一对一的信息加密传输过程分析：对称密钥算法优点：加/解密速度快、密钥管理简

14、单、适宜一对一的信息加密传输 对称密钥算法缺点：加密算法简单，密钥长度有限（56比特/128比特），加密强度不高、密钥分发困难，不适宜一对多的加密信息传输。根据常识，排除法即可！参考答案：C试题17-命-技-N.ZJ.00.p000-5.00-信息安全入侵是指没有经过授权就非法获得系统的访问权限或相关授权的行为，其中攻击者利用默认密码进入系统内部属于（17）入侵方式。A. 旁路控制 B. 假冒 C. 口令破译 D. 合法用户的非授权访问分析：默认密码也是密码！使用默认密码也是猜出来的，猜也是密码破译的过程！参考高级教程p533。冒充： 冒充领导发布命令、调阅密件。 冒充主机欺骗合法主机和合法用

15、户。 冒充网络控制程序套取或修改使用权限、密码和密钥等信息，越权使用网络设备和资源。 接管合法用户，欺骗系统，占用合法用户的资源。参考答案：C试题18-喜-技-Y.GJ.27.p583-5.00-信息安全我国实行密码等级管理制度，各密码等级为：商用密码，普用密码，绝密密码和军用密码。其中商用密码等级的使用范围为（18）A. 政府、党政部门 B. 国内企业、事业单位C. 中央和机要部门 D. 军队分析：我国实行密码分级管理制度，密码等级及适用范围如下： （1）商用密码国内企业、事业单位 （2）普用密码政府、党政部门 （3）绝密密码中央和机要部门 （4）军用密码军队送分题！参考答案：B14上试题1

16、5-悲-技-Y.GJ.30.p627-5.00-信息安全计算机信息系统安全保护等级划分准则规定了计算机系统安全保护能力的5个等级。其中，按照（15）的顺序从左到右安全能力逐渐增强。A.系统审计保护级、结构化保护级、安全标记保护级B.用户自主保护级、访问验证保护级、安全标记保护级C.访问验证保护级、系统审计保护级、安全标记保护级D.用户自主保护级、系统审计保护级、安全标记保护级分析：本标准规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。参考答案：D试题16-喜-技-Y.GJ.24.p

17、542-5.00-信息安全试题17-喜-技-Y.GJ.24.p542-5.00-信息安全OSI安全体系结构定义了五种安全服务，其中（16）用于识别对象的身份并对身份证实。（17）用于防止对资源的非授权访问，确保只有经过授权的实体才能访问受保护的资源（16） A.安全认证服务 B.访问控制安全服务 C.数据保密性安全服务 D.数据完整性安全服务（17） A.安全认证服务 B.访问控制安全服务 C.数据保密性安全服务 D.数据完整性安全服务分析：OSI安全体系结构的五类安全服务以及八类安全机制：参考答案：（16）A、（17）B试题23-喜-技-Y.GJ.27.p587-5.00-信息安全（23）是

18、WLAN常用的上网认证方式 A.WEP认证 B.SIM认证 C.宽带拨号认证 D. PPoE认证分析：WEP是Wired Equivalent Privacy的简称，有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。参考答案：A14下试题16-命-技-Y.GJ.24.p538-5.00-信息安全构建信息安全系统需要一个宏观的三维空间，如下图所示，请根据改图指出X轴是指（）A、安全防范体系 B、管理安全C、安全机制 D、安全策略分析：信息安全保障系统可以用一个宏观的三维空间来表示，Y轴是OSI网络参考模型，信息安全系统的许多技术、技巧都是

19、在网络的各个层面上实施的。X轴是“安全机制”，Z轴是“安全服务”。参考答案：C试题17-命-技-Y.GJ.29.p616-5.00-信息安全某信息系统采用了基于角色的访问机制，其角色的权限是由（）决定的。A、用户自己 B、系统管理员C、主体 D、业务要求分析：参考答案：B试题18-命-技-N.GJ.24.p000-5.00-信息安全以下关于入侵检测系统功能的叙述中，（）是不正确的。A、保护内部网络免受非法用户的侵入B、评估系统关键资源和数据文件的完整性C、识别已知的攻击行为D、统计分析异常行为分析：入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、

20、安全日志、审计入侵检测数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。参考答案：A15

21、年上试题15-命-技-Y.GJ.25.p565-5.00-信息安全15、信息系统安全风险评估是通过数字化的资产评估准则完成的，它通常会覆盖人员安全、人员信息、公共秩序等方面的各个要素，以下不会被覆盖的要素是（）。A、立法及规章未确定的义务B、金融损失或对业务活动的干扰C、信誉的损害D、商业及经济的利益分析：风险评估评估是通过数字的资产评估准则完成的，它覆盖了以下几点：人员安全；人员信息；立法及规章所确定的义务；法律的强制性；商业及经济的利益；金融损失或对业务活动的干扰；公共秩序；业务政策及操作；信誉的损害。参考答案：A试题17-命-技-Y.GJ.29.p615-5.00-信息安全17、访问控制

22、是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用的安全措施，以下关于访问控制的叙述中，（）是不正确的。A、访问控制包括2个重要的过程：鉴别和授权B、访问控制机制分为2种：强制访问控制（MAC）和自主访问控制（DAC）C、RBAC基于角色的访问控制对比DAC的先进之处在于用户可以自主的将访问的权限授给其它用户D、RBAC不是基于多级安全需求的，因为基于RBAC的系统中主要关心的是保护信息的完整性，即“谁可以对什么信息执行何种动作”分析：基于角色的访问控制用户不能自主地将访问权限授给别的用户，这是RBAC与DAC的根本区别所在。参考答案：C15年下试题12-命-技-Y.ZJ

23、.17.p432-5.00-信息安全12、信息的（ ）要求采用的安全技术保证信息接收者能够验证在传送过程中信息没有被修改，并能防范入侵者用假信息代替合法信息 A、隐蔽性 B、机密性 C、完整性 D、可靠性分析：2完整性完整性是信息XX不能进行改变的特性。即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。阅读理解即可。参考答案：C试题16-悲-技-Y.GJ.26.p571-5.00-信息安全16、根据信息安全等级保护管理办法中的规定，信息系统的安全保护等级应当根据信息系统的国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后，对国

24、家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危险程度等因素确定。其中安全标记保护级处于（ ） A、第二级 B、第三级 C、第四级 D、第五级分析：需要处理好的关系5全等级保护的概念第一级为用户自主保护级，适用于普通内联网用户；第二级为系统审计保护级，适用于通过内联网或国际网进行商务活动、要保密的非重要单位；第三级为安全标记保护级，适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位；第四级为结构化保护级，适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位

25、机构和国防建设等部门；第五级为访问验证保护级，适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。参考答案：B试题17-悲-技-Y.GJ.27.p588-5.00-信息安全17、以下关于WLAN安全机制的叙述中，（ ）是正确的 A、WPA是为建立无线网络安全环境提供的第一个安全机制 B、WEP和IPSec协议一样，其目标都是通过加密无线电波来提供安全保护 C、WEP2的初始化向量（IV）空间64位 D、WPA提供了比WEP更为安全的无线局域网接入方案分析：WLAN安全机制至于WPA的身份认证系统，则为WLAN提供了更加安全的接入保护。参考答案：D试题18-命-技-N.GJ.26.p

26、000-5.00-信息安全18、在信息系统安全建设中，（ ）确立全方位的防御体系，一般会告诉用户应有的责任，组织规定的网络访问、服务访问、本地和远地的用户认证拨入和拨出、磁盘数据加密、病毒防护措施，以及雇员培训等，并保证所有可能受到攻击的地方必须以同样安全级别加以保护 A、安全策略 B、防火墙 C、安全体系 D、系统安全分析：安全策略的概念与内容什么叫“安全策略”？计算机信息应用系统的“安全策略”就是指：人们为保护因为使用计算机信息应用系统可能招致的对单位资产造成损失而进行保护的各种措施、手段，以及建立的各种管理制度、法规等。参考答案：A试题28-悲-技-N.GJ.30.p000-5.00-信

27、息安全28、一般而言，网络安全审计从审计级别上可分为（ ）、应用级审计和用户级审计三种级别 A、组织级审计 B、物理审计 C、系统级审计 D、单元级审计分析：XX百科“网络安全审计”：网络安全审计的类型网络安全审计从审计级别上可分为3种类型：系统级审计、应用级审计和用户级审计。 1）系统级审计系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息，如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件，也无法提供足够的细节信息。2）应用级审计应用级审计主要

28、针对的是应用程序的活动信息，如打开和关闭数据文件，读取、编辑、删除记录或字段的等特定操作，以及打印报告等。3）用户级审计用户级审计主要是审计用户的操作活动信息，如用户直接启动的所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等信息。参考答案：C2016年上试题16-命-技-Y.GJ.24.p543-5.00-信息安全16、在信息系统安全保护中，信息安全策略控制用户对文件、数据库表等客体的访问属于（）安全管理A、安全审计 B、入侵检测C、访问控制 D、人员行为分析：3. 访问控制技术访问控制按照事先确定的规则决定主体对客体的访问是否合法。当一主体试图非法使用一个XX的资源时，访问控制将

29、拒绝这一企图，并将这一事件报告给审计跟踪系统，审计跟踪系统将给出报警并记录日志档案。参考答案：C试题17-悲-技-N.GJ.00.p000-5.00-信息安全17、IDS发现网络接口收到来自特定IP地址的大量无效的非正常生成的数据包，使服务器过于繁忙以至于不能应答请求，IDS会将本次攻击方式定义为（）A、拒绝服务攻击 B、地址欺骗攻击C、会话劫持 D、信号包探测程序攻击分析：拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问

30、题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接。参考答案：A试题18-命-技-N.GJ.26.p000-5.00-信息安全18、通过收集和分析计算机系统或网络的关键节点信息，以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的技术被称为（）A. 系统检测 B. 系统分析C. 系统审计 D. 入侵检测分析：XX百科：入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进