信息安全工程师-选择题（一）

选择题

1.《中华人民共和国网络安全法》第五十八条明确规定，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经( )决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

A  国务院          B  国家网信部门          C  省级以上人民政府          D  网络服务提供商

2.2018年10月，含有我国SM3杂凑算法的IS0/IEC10118-3: 2018《信息安全技术杂凑函数第3部分：专用杂凑函数》由国际标准化组织(ISO)发布，SM3算法正式成为国际标准。SM3的杂凑值长度为( )。

A  8字节         B  16字节         C  32字节         D  64字节

3.BS7799标准是英国标准协会制定的信息安全管理体系标准，它包括两个部分：《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。依据该标准可以组织建立、实施与保持信息安全管理体系，但不能实现(   )。

A 强化员工的信息安全意识，规范组织信息安全行为

B 对组织内关键信息资产的安全态势进行动态监测

C 促使管理层坚持贯彻信息安全保障体系

D 通过体系认证就表明体系符合标准，证明组织有能力保障重要信息

4.为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本原则，其中在信息系统中，应该对所有权限进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使它们之间相互制约、相互监督，共同保证信息系统安全的是 (   )。

A   最小化原则        B   安全隔离原则        C   纵深防御原则        D   分权制衡原则

5.等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。以下关于我国信息安全等级保护内容描述不正确的是(   )。

A 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护

B 对信息系统中使用的信息安全产品实行按等级管理

C 对信息系统中发生的信息安全事件按照等级进行响应和处置

D 对信息安全从业人员实行按等级管理，对信息安全违法行为实行按等级惩处

6.研究密码破译的科学称为密码分析学。密码分析学中，根据密码分析者可利用的数据资源，可将攻击密码的类型分为四种，其中适于攻击公开密钥密码体制，特别是攻击其数字签名的是 (   )。

A  仅知密文攻击        B  已知明文攻击        C  选择密文攻击        D  选择明文攻击

7.基于MD4和MD5设计的S/Key口令是一种一次性口令生成方案，它可以对访问者的身份与设备进行综合验证，该方案可以对抗(   )。

A  网络钓鱼        B  数学分析攻击        C  重放攻击        D  穷举攻击

8.对于提高人员安全意识和安全操作技能来说，以下所列的安全管理方法最有效的是 (   )。

A  安全检查        B  安全教育和安全培训        C  安全责任追究        D  安全制度约束

9.访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。信息系统访问控制的基本要素不包括(   )。

A  主体        B  客体        C  授权访问        D  身份认证

10.下面对国家秘密定级和范围的描述中，不符合《中华人民共和国保守国家秘密法》要求的是(     )。

A 对是否属于国家和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案

B 各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围

C 国家秘密及其密级的具体范围，由国家行政管理部门分别会同外交、公安、国家安全和其他中央有关机关规定

D 对是否属于国家和属于何种密级不明确的事项，由国家保密行政管理部门，或省、自治区、直辖市的保密行政管理部门确定

答案解析

答案：A、C、B、D、D、C、C、B、D、A

1.正确答案：A        第五十八条 因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

2.正确答案：C        国家密码管理局编制的商用算法，用于密码应用中的数字签名和验证、消息认证码的生成与验证以及随机数的生成，可满足多种密码应用的安全需求。 算法描述 对长度为l(l< 2^64) 比特的消息m，SM3杂凑算法经过填充和迭代压缩，生成杂凑值，杂凑值长度为256比特。

3.正确答案：B        BS7799 标准是英国标准协会 (BSI)制定的信息安全管理体系标准。它包括两部分，其第一部分《信息安全管理实施指南》于 2001 年 2 月被国 际标准化组织(1S0) 采纳为国际标准 ISOIIEC17799，并于 2005 年 6 月 15 日发布了最新版本。我国也于 2004 年完成该标准的转化工作。这一部分主要提供了信息安全管理的 一些通常做法，用于指导企业信息安全管理体系的建设。第二部分 BS7799-2 《信息安全管理体系规范和应用指南》是一个认证标准，描述了信息安全管理体系各个方面需要达到的一些要求，可以以此为标准对机构的信息安全管理体系进行考核和认证。 ISOIIEC 17799 的目的是"为信息安全管理提供建议，旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信"。 机构实施 BS7799 的目的是按照先进的信息安全管理标准建立完整的信息安全管理体系，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式， 用最低的成本，获得较高的信息安全水平，从根本上保证业务的连续性。 BS7799 作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息 安全治理手段，该标准的最大意义在于可以为管理层提供一套可量体裁衣的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言，以及保护信息资产的制度框架。

4.正确答案：D        信息安全的三个最基本原则：
（1）、最小化原则。
受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要。仅被授予其访问信息的适当权限，称为最小化原则。敏感信息的知情权一定要加以限制，是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须和用所必须的原则。
（2）、分权制衡原则。
在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。如果—个授权主体分配的权限过大，无人监督和制约，就隐含了“滥用权力”、“一言九鼎”的安全隐患。
（3）、安全隔离原则。
隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。
在这些基本原则的基础上，人们在生产实践过程中还总结出的一些实施原则，他们是基本原则的具体体现和扩展。包括：整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

5.正确答案：D        信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

6.正确答案：C        在密码分析中，选择密文攻击指的是一种攻击方式。攻击者掌握对解密机的访问权限，可构造任意密文所对应的明文。在此种攻击模型中，密码分析者事先任意搜集一定数量的密文，让这些密文透过被攻击的加密算法解密，透过未知的密钥获得解密后的明文。

7.正确答案：C        重放攻击(Replay Attacks)又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。 S/key口令是一种一次性口令生成方案，可以对抗重放攻击。

8.正确答案：B        实际上C的追责和D的日常约束才是能够贯彻执行的驱动力，但此处说的是“提高”

9.正确答案：D        访问控制模型是一种从访问控制的角度出发，描述安全系统，建立安全模型的方法。 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即：主体、客体和控制策略。 主体（Subject）：是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。主体可以是用户或其它任何代理用户行为的实体（例如进程、作业和程序）。我们这里规定实体（Entity）表示一个计算机资源（物理设备、数据文件、内存或进程）或一个合法用户。 主体（Subject）：是可以对其它实体施加动作的主动实体，简记为S。有时我们也称为用户（User）或访问者（被授权使用计算机的人员），记为U。主体的含义是广泛的，可以是用户所在的组织（以后我们称为用户组）、用户本身，也可是用户使用的计算机终端、卡机、手持终端（无线）等，甚至可以是应用服务程序程序或进程。 客体（Object）：是接受其他实体访问的被动实体, 简记为O。客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体。

10.正确答案：A        国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定。各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级。对是否属于国家秘密和属于何种密级不明确的事项，产生该事项的机关、单位无相应确定密级权的，应当及时拟定密级，并在拟定密级后的十日内依照下列规定申请确定密级：(一)属于主管业务方面的事项，逐级报至国家保密工作部门审定的有权确定该事项密级的上级机关；(二)其他方面的事项，逐级报至有权确定该事项密级的保密工作部门。