63期
一、判断
1、测试过程中出现的异常情况,让对方恢复即可不需要及时记录(X )
2、习近平总书记说“没有信息安全,就没有国家安全;没有信息化,就没有现代化”(√)
二、单选
1、管理测评的方法是什么()
A访谈和核查
2、“应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制 ”,属于哪个控制点?
A 外包开发 B … C … D 软件自行开发
3、哪个密码安全强度最高()
4、
三、多选
1、数据备份的方式有哪些()
A.完全备份
B.增量备份
C.差额备份
D.日志备份
E.按需备份
2、“防雷击”控制点中,防感应雷的测评依据有哪些(A、C)
A.电源线
B.建筑物
C.信号线
D.防静电地板
3、哪四个部门联合发布《信息安全等级保护管理条例》
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室
4工控系统功能层次划分(ABC)第四层是企业资源层
A、现场设备层 B、现场控制层 C、过程监控层 D、 企业网络层
5、哪个网络边界入侵防范的要求()
A、防止从内部发起的攻击 B、防止从外部发起的攻击 C、 对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析 D、
就这么多,
四、简答题
[if !supportLists]1、[endif]管理测评和技术测评的区别、联系,举例说明 15分
二者既有区别又有联系,既相互独立又相互关联。
区别:安全技术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现;安全管理主要通过控制与测评对象相关各类人员的活动,采取文档化管理体系,从政策、制度、规范、流程以及记录等方面做出规定实现。
联系:
测评时:1、在测评安全运维管理-应划分不同的管理员角色进行网络和系统的运维,明确各个角色的责任和权限这一项时,先通过访谈管理人员得到肯定结果,再通过安全技术进行测试来验证访谈结果,最终得到准确的结果记录。
运维时:1、单位需要建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新等运维技术操作进行规范。2、在运维过程中,通过技术手段无法规避残余风险时,可通过制定安全管理制度对相关风险进行控制。
[if !supportLists]2、[endif]等级保护测评三级中适用于服务器的安全子类,安全计算环境中安全审计的内容是什么,相比于二级,多出来的是哪条?15分
自己看基本要求去。
[if !supportLists]3、[endif]简述等级保护测评中网络设备怎么测评? 10分
看网络设备安全计算环境内容,详细测评点得问网络层面的同事。
53期
判断题:
1.安全管理现场测评中依据测评指导书进行,以控制点和要求项为主线进行( )
2.测试过程中出现的异常情况,让对方恢复即可不需要及时记录( )
3.成立指导和管理网络安全工作的委员会和指导小组,其最高领导必须是单位主管部门担任( )
4.对基本要求中控制点的要求项测评称为单项测评( )
5.云客户应该本地保存其业务数据备份( )
6.RIP是基于链路状态算法的路由协议,OSPF是基于距离矢量算法的路由协议( )
7.三级测评中,某单位将网络安全管理员设置为关键岗位,王亮担任网络安全管理员,则单位不仅要与他签订保密协议,还应签订岗位责任协议( )
8.某机房在顶楼,某测评师将物理位置选择判为不符合,在等级测评过程中建议将机房物理迁移( )
9.三级测评中,某单位未开启审计也没有日志备份,测评师判定为不适用( )
10.防止用户接入区终端的非法访问,主要通过防火墙防止外部发起的攻击行为( )
单项选择题:
1、安全管理测评方法有()
A、访谈和核查 B、访谈 C、访谈、检查和测试 D、核查
2、安全计算环境安全审计“b) 审计记录应包括事件的日期和时间、用户、事件是否成功及其他与审计相关的信息“。
A、事件内容 B、事件类型 C、.... D、…
3、安全审计记录包含什么(不太记得了)
4、审计记录错误的()
A、 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
B、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
C、审计记录本地备份
5、计算机系统可信根设备的是()
A、TPM芯片
B、可信BIOS
C、可信操作系统
D、可信应用程序
6、人员离岗,三级多出来的要求()
A 应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
B 应办理严格的调离手续,并承诺调离后的保密义务后方可离开。
C ……
D ……
7、SSH、Telnet默认端口分别为()
D、22和23
8、最大业务高峰期使用CPU最大不超过 () ?
A、20% B、50%
C、70% D、90%
9、在( ) 较高的业务系统,在没有任何防护措施下判高风险。
A 可用性 B 有效性 C
… D 实时性
10、以下为系统用户权限分离的是:
A 系统管理员,审计管理员
B 系统管理员 用户管理员 操作管理员
C 超级管理员 用户管理员 系统管理员
D 系统管理员 安全管理员
11、“应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制 ”,属于哪个控制点?
A 外包开发 B … C … D 软件自行开发
12、关于云计算定级错误的是()
A 应保证云计算平台不承载高于其安全保护等级的业务应用系统;
B …
C 云计算平台和相关的辅助服务系统可以划为一个定级对象进行定级。
D 任何情况下,云计算平台与所承载的业务应用系统,不能划为一个定级对象进行定级。
13、工控系统和企业其他系统之间划分区域,应采用()
A单向技术隔离手段
14、在Linux中密码文件存在()
A、etc/password
15、虚拟机迁移时访问控制策略应()
A、应保证当虚拟机迁移时,访问控制策略随其迁移;
多选题
1.访问控制的三要素()
A.主体 B.客体 C.文件 D.操作
2.工控三级系统中,对控制设备管理要求有哪些()
A.关闭或拆除多余的软盘驱动
B.关闭或拆除多余的光盘驱动
C.关闭或拆除多余的USB 接口
D.关闭或拆除多余串行口或多余网口
3.在安全管理的各类管理活动中,各类管理包括哪些()
A.环境和物理 B.人员和机构 C.安全运维 D.安全建设
4.对于需要对系统重新测评下列说法正确的是()
A.重要业务功能变更
B.等级保护变更
C.公司法人变更
D.定级部门变更
5.数据备份的方式有哪些()
A.完全备份
B.增量备份
C.差额备份
D.日志备份
E.按需备份
6.哪些措施能提高云账号安全性()
A.配置强密码。
B.定期更换或修改密码。
C.分配用户最小权限。
D.系统管理、用户管理、资源管理交由一个管理员管理。
E.设置限制登录失败次数。
7.“防雷击”控制点中,防感应雷的测评依据有哪些()
A.电源线
B.建筑物
C.信号线
D.防静电地板
8《网络安全等级保护基本要求》中,安全类的划分有()
[if !supportLists]A. [endif]业务信息安全(简称S)
B.系统服务安全(简称A)
C.其他安全(简称G)
D.敏感标记安全(简称M)
E.特殊安全(简称T)
9、对软件开发下列说法正确的是()
A.三级系统要必须自行开发软件。
B.开发环境与实际运行环境物理分开。
C.制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
D.制定代码编写安全规范,要求开发人员参照规范编写代码。
10、网络架构的硬件冗余有()
A.关键网络设备
B.关键计算设备
C.通信线路
D.网络拓扑
简答题
1、请简述安全管理测评和安全技术测评的区别与联系,并举例说明。(15分)
二者既有区别又有联系,既相互独立又相互关联。
区别:安全技术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现;安全管理主要通过控制与测评对象相关各类人员的活动,采取文档化管理体系,从政策、制度、规范、流程以及记录等方面做出规定实现。
联系:
测评时:1、在测评安全运维管理-应划分不同的管理员角色进行网络和系统的运维,明确各个角色的责任和权限这一项时,先通过访谈管理人员得到肯定结果,再通过安全技术进行测试来验证访谈结果,最终得到准确的结果记录。
运维时:1、单位需要建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新等运维技术操作进行规范。2、在运维过程中,通过技术手段无法规避残余风险时,可通过制定安全管理制度对相关风险进行控制。
2、请写出定级阶段、建设整改阶段、等级测评阶段所用到的标准。(10分)
基础类
《计算机信息系统安全保护等级划分细则》GB 17859-1999
《网络安全等级保护实施指南》GB/T 25058-2010
系统定级环节
《网络安全等级保护定级指南》GB/T 22240-2008
建设整改环节
《网络安全等级保护基本要求》GB/T 22239-2019
《网络安全等级保护实施指南》GB/T 25058-2008
等级测评环节
《网络安全等级保护测评要求》GB/T 28448-2019
《网络安全等级保护测评过程指南》GB/T 28449-2018
三、给一个网络场景,各处网络架构的优化建议
给你网络场景,让你去写优化建议,题目:某公司的网络拓扑结构,防火墙设备全部是传统防火墙,两台核心交换机独立运行,公司内部只有一个网段,且随着业务的增加,经常出现网络阻塞、资源占用过高、设备负荷过高等情况,在只允许增加或者替换一台设备的情况下,给出优化建议。(至少写出3条)(15分)
59期
以下是我从考试中背下的题目:
三、不定项选择题
1.下列关于链路状态算法的说法正确的是(BC)
A. 链路状态是对路由的描述
B. 链路状态是对网络拓扑结构的描述
C. 链路状态算法本身不会产生自环路由
D. OSPF 和 RIP 都使用链路状态算法
简答题:
[if !supportLists]1、[endif]安全管理制度要求中定期或不定期地对安全管理制度体系进行评审和修订,请说明你对定期或不定期的理解,并说明在实际现场测评管理中该怎么做?
答:定期或不定期的理解:
怎么做:访谈安全主管,了解对安全管理制度文件体系、具体安全管理制度定期进行评审、修订和维护情况,不定期对安全管理制度修订和维护情况,包括评审和修订时机、周期、流程、记录,负责维护的个人或部门等。查看安全管理制度文件体系的评审记录、安全管理制度评审记录和修订记录等。
2、数据应采取哪些措施对数据进行备份与恢复?
答:a) 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;
b) 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;
c) 应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;
d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
3
、等级测评中,应从哪些方面对网络整体架构进行分析?
答:应从结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护、数据备份和恢复这几个方面对网络整体架构进行分析。(具体分析我也不了解,嘻嘻)
下面是我在备考期间在网上查找到的一些试题,感觉还是蛮有用的,因为我在考试的过程中发现有些试题网上都有,只是我不记得了。我觉得试题能流传到网上,说明这些题目应该也是以往的考试中出现过的,所以我觉得对往后的考试还是有帮助的。
等级保护测评考试(简答题部分)
[if !supportLists]1、[endif]基本要求中,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?
答:三级比二级增加的要求项有:①应提供对重要信息资源设置敏感标记的功能;②应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。
2、在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?(10分)
答:至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
3、主机常见评测的问题?
答:①检测用户的安全防范意识,检查主机的管理文档。②网络服务的配置。③安装有漏洞的软件包。④缺省配置。⑤不打补丁或补丁不全。⑥网络安全敏感信息的泄露。7缺乏安全防范体系。⑧信息资产不明,缺乏分类的处理。⑨安全管理信息单一,缺乏单一的分析和管理平台。
4、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?
答:①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
②工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。对于测试过程中出现的异常情况要及时记录,需要被测方人员确认被测系统状态正常并签字后离场。
5、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?
答:①巨型、大型、中型、小型、微型计算机和单片机。②目前运行在主机上的主流操作系统有:windows、linux、sun solaris、ibm aix、hp-ux等等。③结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。④应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录应包括:事件的日期和时间、用户、时间类型、事件是否成功及其他与审计相关的信息。应能够根据记录数据进行分析,并生成审计报表。应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
6、工具测试接入点原则及注意事项?
答:工具测试的首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。①由低级别系统向高级别系统探测。②同一系统同等重要程度功能区域之间要相互探测。③由较低重要程度区域向较高重要程度区域探测。④由外联接口向系统内部探测⑤跨网络隔离设备要分段探测。
注意事项:①工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。(测试条件包括被测网络设备、主机、安全设备等是否都在正常运行),测试时间段是否为可测试时间段等等。②接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。③对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响,要实现告知被测系统相关人员。④对于测试过程中的关键步骤、重要证据要及时利用抓图等取证。⑤对于测试过程中出现的异常情况要及时记录。⑥测试结束后,需要被测方人员确认被测系统状态正常并签字后退场。
7、《基本要求》中,对于三级信息系统,网络安全层面应采取哪些安全技术措施?画出示例图并进行描述(不考虑安全加固)。(20分)
答:网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复八个方面的安全。(具体再画图描述)
8、网络安全的网络设备防护的内容是什么?(12分)
①应对登录网络设备的用户进行身份鉴别;
②应对网络设备管理员的登录地址进行限制;
③网络设备用户的标识应唯一;
④主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
⑤身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
⑥应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络连接超时自动退出等措施;
⑦当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
⑧应实现设备特权用户的权限分离。
9、入侵检测系统分为哪几种,各有什么特点?
答:主机型入侵检测系统(HIDS),网络型入侵检测系统(NIDS)。
HIDS一般部署在下述四种情况下:①网络带宽高太高无法进行网络监控;②网络带宽太低不能承受网络IDS的开销;③网络环境是高度交换且交换机上没有镜像端口;④不需要广泛的入侵检。HIDS往往以系统日志、应用程序日志作为数据源;检测主机上的命令序列比检测网络流更简单,系统的复杂性也少得多,所以主机检测系统误报率比网络入侵检测系统的误报率要低;他除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的忙点,入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力。如果服务器上没有配置日志功能,则必须重新配置,这将给运行中的业务系统带来不可预见的性能影响。
NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于他不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理,从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统,便可以检测整个网络的情况,比较容易实现。由于现在网络的日趋复杂和高速网络的普及,这种结构正接受者越来越大的挑战。
10、入侵威胁有哪几种?入侵行为有哪几种?造成入侵威胁的入侵行为主要是哪两种,各自的含义是什么?
答:入侵威胁可分为:①外部渗透。②内部渗透。③不法行为。
入侵行为可分为:①物理入侵;②系统入侵;③远程入侵;
主要入侵行为:①系统入侵;②远程入侵。系统入侵是指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。远程入侵是指入侵者通过网络渗透到一个系统中。
11、简单介绍可采取哪些措施进行有效地控制攻击事件和恶意代码?
答:①安装并合理配置主机防火墙。②安装并合理配置网络防火墙。③安装并合理配置IDS/IPS.④严格控制外来介质的使用。⑤防御和查杀结合、整体防御、防管结合、多层防御。⑥设置安全管理平台、补丁升级平台、防病毒平台等对防毒的系统进行升级、漏洞进行及时安装补丁,病毒库定时更新。⑦定期检查网络设备和安全设备的日志审计,发现可疑对象可及时进行做出相应处理。⑧为了有效防止地址攻击和拒绝服务攻击可采取在会话处于非活跃一定时间或会话结束后终止网络连接。⑨为了有效防止黑客入侵,可对网络设备的管理员登陆地址进行限制和对其具有拨号功能用户的数量进行限制,远程拨号的用户也许它就是一个黑客。⑩采取双因子认证和信息加密可增强系统的安全性。
12、ARP地址欺骗的分类、原理是什么?可采取什么措施进行有效控制?
答:一种是对网络设备ARP表的欺骗,其原理是截获网关数据。它通知网络设备一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在网络设备中,结果网络设备的所有数据只能发给错误的MAC地址,造成正常PC无法收到信息。
另一种是对内网PC的网关欺骗。其原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的途径上网。
措施:在网络设备中把所有PC的IP-MAC输入到一个静态表中,一、这叫IP-MAC绑定;二、在内网所有PC上设置网关的静态ARP信息,这叫PC IP-MAC绑定。一般要求两个工作都要做,成为双向绑定。
13、采取什么措施可以帮助检测到入侵行为?
答:部署IPS/IDS,使用主机防火墙(软件)、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。
14、访问控制的三要素是什么?按访问控制策略划分,可分为哪几类?按层面划分,可分为哪几类?
答:访问控制的三要素是:主体、客体、操作;
按访问控制策略划分可分为:①自主访问控制②强制访问控制③基于角色的访问控制
按层面划分可分为:①网络访问控制②主机访问控制③应用访问控制④物理访问控制
15、安全审计按对象不同,可分为哪些类?各类审计的内容又是什么?
答:系统级审计、应用级审计、用户级审计。
①系统级审计:要求至少能够记录登陆结果、登陆标识、登陆尝试的日期和时间、退出的日期和时间、所使用的设备、登陆后运行的内容、修改配置文件的请求等。
②应用级审计:跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。
③用户级审计:跟踪通常记录用户直接启动所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。
16、身份认证的信息主要有哪几类?并每项列举不少于2个的事例。
答:身份认证的信息可分为以下几类:1)用户知道的信息,如个人标识、口令等。2)用户所持有的证件,如门卡、智能卡、硬件令牌等。3)用户所特有的特征,指纹、虹膜、视网膜扫描结果等。
17、数字证书的含义、分类和主要用途,所采用的密码体制?
答:①数字证书是由认证中心生成并经认证中心数字签名的,标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。②从证书用途来看,数字证书可分为签名证书和加密证书。③签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。⑤数字证书采用非对称秘钥体制,即利用一对互相匹配的私钥/公钥进行加密、解密。其中私钥用于进行解密和签名,公钥用于加密和验证签名。
18、试解释SQL注入攻击的原理,以及它产生的不利影响。
答:SQL注入攻击的原理是从客户端提交特殊的代码,WEB应用程序如果没有做严格的检查就将其命令发送给数据库,从数据库返回的信息中,攻击者可以获得程序及服务器的信息,从而进一步获得其他资料。SQL注入攻击可以获取WEB应用程序和数据库系统的信息,还可以通过SQL注入攻击窃取敏感数据,篡改数据,破坏数据,甚至以数据库系统为桥梁进一步入侵服务器操作系统,从而带来更为巨大的破坏。
19、信息安全等级保护的五个标准步骤是什么?信息安全等级保护的定义是什么?信息安全等级保护五个等级是怎么样定义的?
答:①定级、备案、建设整改、等级测评、监督和检查。
②分等级实行安全保护、对安全产品实行按等级管理、对安全事件按等级响应、处置。
一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,但不损害国家安全、社会秩序和公共利益。
二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或对社会秩序和公共利益造成损害,但不损害国家利益。
三级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或对国家利益造成损害。
四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或对国家造成严重损害。
五级:信息系统受到破坏后,会对国家利造成特别严重损害。
[if !supportLists]20、[endif]在应用安全测评中,如何理解安全审计的“a)应该覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计”?
答:此项要求应用系统必须对应用系统所有用户的重要操作(如用户登录和重要业务操作等)进行审计,并且对系统异常等事件进行审计。
三、判断题
1.根据《信息安全等级保护管理办法》,第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。(×)
2.根据《信息安全等级保护管理办法》,国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导(√)
3.根据《信息安全等级保护管理办法》,信息系统的运营、使用单位应当根据本办法和有关标准,确定信息系统的安全保护等级并报公安机关审核批准。(×)
4.根据《信息安全等级保护管理办法》,信息系统的运营、使用单位应当根据已确定的安全保护等级,依照本办法和有关技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,进行信息系统建设。(√)
5.根据《信息安全等级保护管理办法》,第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续(√)
6.根据《信息安全等级保护管理办法》,公安机关应当掌握信息系统运营、使用单位的备案情况,发现不符合本办法及有关标准的,应建议其予以纠正。(×)
7.根据《信息安全等级保护管理办法》,公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知(√)
8.信息系统运营、使用单位应当依照相关规定和标准和行业指导意见自主确定信息系统的安全保护等级。即使有主管部门的,也不必经主管部门审核批准。(×)
二、实施指南
一、单选题:
1. 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 — 1999,提出将信息系统的安全等级划分为___D___个等级,并提出每个级别的安全功能要求。
A.7 B.8
C.6 D.5
2. 等级保护标准GB 17859主要是参考了___B___而提出。
A.欧洲ITSEC
B.美国TCSEC
C.CC
D.BS 7799
3. 信息安全等级保护的5个级别中,__B____是最高级别,属于关系到国计民生的最关键信息系统的保护。
A.强制保护级
B.专控保护级
C.监督保护级
D.指导保护级
E.自主保护级
4. 《信息系统安全等级保护实施指南》将___A___作为实施等级保护的第一项重要内容。
A.安全定级
B.安全评估
C.安全规划
D.安全实施
5. __C____是进行等级确定和等级保护管理的最终对象。
A.业务系统
B.功能模块
C.信息系统
D.网络系统
6. 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由___B___所确定。
A.业务子系统的安全等级平均值
B.业务子系统的最高安全等级
C.业务子系统的最低安全等级
D.以上说法都错误
7. 关于资产价值的评估,____D__说法是正确的。
A.资产的价值指采购费用
B.资产的价值无法估计
C.资产价值的定量评估要比定性评估简单容易
D.资产的价值与其重要性密切相关
8. 安全威胁是产生安全事件的__B____。
A.内因
B.外因
C.根本原因
D.不相关因素
9. 安全脆弱性是产生安全事件的__A____。
A.内因 B.外因
C.根本原因 D.不相关因素
10. 下列关于用户口令说法错误的是____C__。
A.口令不能设置为空
B.口令长度越长,安全性越高
C.复杂口令安全性足够高,不需要定期修改
D.口令认证是最常见的认证机制
11. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的___C___。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
12. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于___D___。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
13. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的_B_____。
A.强制保护级 B.监督保护级
C.指导保护级 D.自主保护级
14. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的__A____。
A.强制保护级 B.监督保护级
C.指导保护级 D.自主保护级
15. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的___A___。
A.专控保护级
B.监督保护级
C.指导保护级
D.自主保护级
16. 在安全评估过程中,采取____C__手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
A.问卷调查
B.人员访谈
C.渗透性测试
D.手工检查
17. 在需要保护的信息资产中,____C__是最重要的。
A.环境
B.硬件
C.数据
D.软件
18. GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础。(A)
A.正确
B.错误
19. 虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。(A)
A.正确
B.错误
20. 定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。 (A)
A.正确
B.错误
21. 通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。(A)
A.正确
B.错误
22. 脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。(A)
A.正确
B.错误
23. 信息系统安全等级保护实施的基本过程包括系统定级、 、安全实施、安全运维、系统终止。(B)
A.风险评估 B.安全规划
C.安全加固 D.安全应急
24. 安全规划设计基本过程包括 、安全总体设计、安全建设规划。(C)
A.项目调研
B.概要设计
C.需求分析
D.产品设计
25. 信息系统安全实施阶段的主要活动包括 、等级保护管理实施、等级保护技术实施、等级保护安全测评。(A)
A.安全方案详细设计
B.系统定级核定
C.安全需求分析
D.产品设计
26. 安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、 A
、安全检查和持续改进、监督检查。
A.安全事件处置和应急预案
B.安全服务
C.网络评估
D.安全加固
27. 简述等级保护实施过程的基本原则包括, A ,同步建设原则,重点保护原则,适当调整原则。
A.自主保护原则
B.整体保护原则
C.一致性原则
D.稳定性原则
二、多选题:
28. 《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不得从事下列危害计算机信息网络安全的活动:_ABCD_____。
A.故意制作、传播计算机病毒等破坏性程序的
B.未经允许,对计算机信息网络功能进行删除、修改或者增加的
C.未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的
D.未经允许,进入计算机信息网络或者使用计算机信息网络资源的
29. 我国信息安全等级保护的内容包括_ABCD_____。
A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
B.对信息系统中使用的信息安全产品实行按等级管理
C.对信息安全从业人员实行按等级管理
D.对信息系统中发生的信息安全事件按照等级进行响应和处置
E.对信息安全违反行为实行按等级惩处
30. 目前,我国在对信息系统进行安全等级保护时,划分了5个级别,包括_ABCDEA_____。
A.专控保护级
B.强制保护级
C.监督保护级
D.指导保护级
E.自主保护级
定级指南
1、根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别:(c)
A.3 B.4
C.5 D.6
2、等级保护对象受到破坏时所侵害的客体包括的三个方面为:(a b c)
A. 公民、法人和其他组织的合法权益 B. 社会秩序、公共利益
C. 国家安全 D.个人利益
3、等级保护对象受到破坏后对客体造成侵害的程度归结为哪三种(b c d)
A. 造成轻微损害
B. 造成一般损害
C. 造成严重损害
D. 造成特别严重损害
4、根据定级指南,信息系统安全包括哪两个方面的安全:(a b)
A、业务信息安全
B、系统服务安全
C、系统运维安全
D、系统建设安全
5、作为定级对象的信息系统应具有如下基本特征:(a b c)
A、具有唯一确定的安全责任单位
B、具有信息系统的基本要素
C、承载单一或相对独立的业务应用
D、单位具有独立的法人
6、以下哪一项不属于侵害国家安全的事项(d)
A、影响国家政权稳固和国防实力
B、影响国家统一、民族团结和社会安定
C、影响国家对外活动中的政治、经济利益
D、影响各种类型的经济活动秩序
7、以下哪一项不属于侵害社会秩序的事项(a)
A、影响国家经济竞争力和科技实力
B、影响各种类型的经济活动秩序
C、影响各行业的科研、生产秩序
D、影响公众在法律约束和道德规范下的正常生活秩序等
8、以下哪一项不属于影响公共利益的事项(d)
A、影响社会成员使用公共设施
B、影响社会成员获取公开信息资源
C、影响社会成员接受公共服务等方面
D、影响国家重要的安全保卫工作
9、信息安全和系统服务安全受到破坏后,可能产生以下危害后果(a b c d)
A、影响行使工作职能
B.导致业务能力下降
C.引起法律纠纷
D.导致财产损失
10、进行等级保护定义的最后一个环节是:(b)
A、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较低者决定
B、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定
C、信息系统的安全保护等级由业务信息安全保护等级决定
D、信息系统的安全保护等级由系统服务安全保护等级决定
11、信息安全等级保护工作直接作用的具体的信息和信息系统称为(c)
A、客体
B、客观方面
C、等级保护对象
D、系统服务
12、受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益,称为(a)
A、客体
B、客观方面
C、等级保护对象
D、系统服务
13、对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等,称为(b)
A、客体
B、客观方面
C、等级保护对象
D、系统服务
14、信息系统为支撑其所承载业务而提供的程序化过程,称为(d)
A、客体 B、客观方面
C、等级保护对象 D、系统服务
15、信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害,在等保定义中应定义为第几级(d)
A、第一级
B、第二级
C、第三级
D、第四级
E、第五级
16、信息系统受到破坏后,会对国家安全造成特别严重损害,在等保定义中应定义为第几级(e)
A、第一级
B、第二级
C、第三级
D、第四级
E、第五级
等级保护测评真题汇总 (判断选择部分)
一、判断题
1、CSMA/CD 访问方法的缺点是冲突会降低网络性能 (√)
2、包过滤型防火墙是最传统的最基本的防火墙,可以工作在网络层,对数据包的源地址, 源端口等进行过滤。 (√)
3、网络嗅探是指攻击者使用工具软件在网络接口上合法获取他人数据。 (×)
4、文件权限读写和执行的三种标志符号一次是r-w-x-。 (√)
5、每个LInux/UNIX 系统中都有一个特权用户,就是root 用户。 (×)
6、在Linux 系统中,通常通过文件/etc/login.defs 和/etc/default/useradd,对口令生命期进行综合配置,但是这些设置仅仅在新用户账户创建时候适用,使用chang 命令可以修改已存 在的账户的口令周期。 (√)
7、依据GB/T 22239-2008,三级信息系统应对 “系统管理数据”、“鉴别信息”和“重要业 务数据”实现存储保密性。 (√)
8、在应用系统现场等级测评活动中,不需要对应用系统的安全功能进行验证。 (×)
9、在Sybase 中,如果不存在sybsecurity库,则说明未安装审计工具。 (√)
10、对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要实现告知 被测系统相关人员。 (√)
11、按三级要求,并对重要数据、鉴别信息等实现存储保密性。 (√)
12、oracle 数据库不能对密码进行复杂度进行设置。 (×)
13、给主机动态分配IP 的协议是ARP协议。 (×) (是DHCP )
14、二级中,应根据会话状态信息数为数据流提供明确的允许或拒绝访问能力,控制粒度为 网段级。 (√,三级的控制粒度是端口级)
15、三级中,在应用层面要求对主体和客体进行安全标记。(√,三级要求强制访问控制)
16、三级中,MS sql server 的审核级别应为 “无”。 (×,是“全部”)
17、三级应用系统中,要求 “应采用验证码技术保证通信中数据的完整性”。 (×,这是二 级要求,三级要求利用密码技术)
18、三级系统网络安全中,要求对非法接入行为进行检测,准确定位。 (×,同时要求能够进行有效阻断)
19、包过滤防火墙是最基本最传统的防火墙,它可以运行在应用层,…. (×,包过滤防火墙只运行在网络层和传输层)
20、windows 中的power
users组默认具有对事件日志的删除权限。 (×,power users 组即超级用户组只具备部分管理员权限)
21、与windows不同的是,Linux/unix中不存在预置账户。(×,Linux/unix 中存在预置账 户)
22、公安部、国家保密局、国家密码管理局、原国务院信息办共同印发的《信息安全等级保 护管理办法》即43号文。 (√)
23、三级信息系统应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时时自动退出等措施。(√)
24、口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。(√)
25、只要投资充足,技术措施完备,就能够保证百分之百的信息安全。(×)
26、特权用户设置口令时,应当使用enable
password命令设定具有管理员权限的口令。(×)
27、Windows2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。(√)
28、脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。(√)
29、结构安全是网络安全检查的重点,网络结构的安全关系到整体的安全。(√)
30、一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×)
31、不同vlan内的用户可以直接进行通信。(×)
32、三级系统应能够对非授权设备私自连到内部网络的行为进行检查并准确定位.(×)
二、单选题
1、与10.110.12.29 mask 255.255.255.224 属于同一网段的主机IP 地址是 (B)
A、10.110.12.0
B、10.110.12.30
C、10.110.12.31
D、10.110.12.32
2、查看路由器上所有保存在flash 中的配置数据应在特权模式下输入命令:(A)
A、show running-config
B、show buffers
C、show starup-config
D、show memory
3、路由器命令 “Router (config)#access-list 1 permit 192.168.1.1”的含义是: (B)
A、不允许源地址为192.168.1.1的分组通过,如果分组不匹配,则结束;
B、允许源地址为192.168.1.1的分组通,如果分组不匹配,则检查下一条语句;
C、不允许目的地址为192.168.1.1的分组通过,如果分组不匹配,则结束;
D、允许目的地址为192.168.1.1的分组通过,如果分组不匹配,则检查下一条语句。
4、配置如下两条访问控制列表:
access-list 1 permit 10.110.10.1
0.0.255.255
access-list 2 permit 10.110.100.100
0.0.255.255
访问控制列表1 和2,所控制的地址范围关系是:(A)
A、1 和2 的范围相同
B、1 的范围在2 之内
C、2 的范围在1 之内
D、1 和2 没有包含关系
5、网络隔离技术的目标是确保把有害的攻击隔离,在保证可信网络内部信息不外泄的前提 下,完成网络间数据的安全交换,下列隔离技术中,安全性最好的是:(D)
A、多重安全网关
B、防火墙
C、VLAN 隔离
D、物理隔离
6、Windows 系统默认Terminal
Services 服务所开发的端口为: (D)
A、21
B、22
C、443
D、3389
7、在命令模式下,如何查看Windows系统所开发的服务端口:(B)
A、netstat
B、netstat -an
C、nbtstat
D、nbtstat -an
8、某人在操作系统中的账号名为LEO,他离职一年后,某账号虽然已经禁用,但是依然保留在系统中,类似于LEO的账号属于以下哪种类型:(A)
A、过期账户 B、多余账户
C、共享账户 D、以上都不是
9、在linux系统中要禁止root用户远程登录访问编辑/etc/security/user 文件,在root相中指定FALSE作为(B)的值?
A、login
B、rlogin
C、logintimes
D、loginretries
10、OSPF使用什么来计算到目的的网络的开销?(A)
A、带宽
B、带宽和跳数
C、可靠性
D、负载和可靠性
11、依据GB/T 22239-2008,三级信息系统在应用安全层面上对通讯完整性的要求是(C)
A、应采用约定通信会话方式的方法保证通信过程中数据的完整性;
B、应采用校验码技术保证通信过程中数据的完整性;
C、应采用密码技术保证通信过程中数据的完整性;
D、第三级信息系统在应用层面上没有对通信完整性的要求。
三、多选题
1、在路由器中,如果去往同一目的地有多条路由,则决定最佳路由的因素有(AC)
A. 路由的优先级B. 路由的发布者
C. 路由的 metirc 值D. 路由的生存时间
2、下列关于链路状态算法的说法正确的是(BC)
A. 链路状态是对路由的描述B. 链路状态是对网络拓扑结构的描述
C. 链路状态算法本身不会产生自环路由D.
OSPF 和 RIP 都使用链路状态算法
3、配置访问控制列表必须执行的操作(ABCD)
A.记录时间段B.设置日志主机
C. 定义访问控制列表D.在应用上启用访问控制列表
4、三级入侵检测要求中,要求网络入侵检测功能应能够(ABD)
A.监视B.报警C.阻断D.记录
5、核心交换机的设备选型应该考虑(ABCD)
A.高速数据交换B.高可靠性
C.可管理性D.可以进行访问控制策略设置
6、可以有效阻止或发现入侵行为的有(ABC)
A.部署 IDS 设备B. 主机防火墙
C. 网络防火墙D. 日志检查和分析
7、拒绝服务可能造成(B)
A. 提升权限B. 导致系统服务不可用
C. 进行挂马D. 植入病毒
8、下列哪些不满足系统最小安装原则(AB)
A.WEB 服务器开启了 MSN、迅雷等应用程序
B.DHCP 服务器只开启了 dhcp client 服务
C.SMTP 服务器只开启了smtp、pop 服务
D.文件服务器只安装了FTP 服务
10、对于大型企业信息系统,补丁升级的理想的安全机制是(AB)
A.安装 Microsoft SUS 服务器
B.把用户计算机设置自动更新
C.管理员统一下载安装
D.用户自己下载安装补丁