职业技术大赛信息安全信息安全品级保护知识考试试题

2012广东省技术大赛高职组第一阶段赛题第二部份信息安全品级保护知识（50分）（注意以下题目为不定项选择题，每题分值,将答案填写到答题卡上，成绩以答题卡为准）2%.对于残余风险，机构应该（）

1.确保残余风险降到最低A对于不可接受范围内的风险，应在选择适当的控制办法后，对残余风险进行再评价B..不断调整或增加控制办法以减低残余风险描述C.残余风险都是不可接受的D必要时可接受残余风险描述E..整体风险评估关注的核心主要集中在（）2检查与安全相关的机构实践，标识当前安全实践的长处和弱点A.包括对系统进行技术分析、对政策进行评审，和对物理安全进行审查B.利用软件工具分析基础结构及其全数组件C..检查的基础结构，以肯定技术上的弱点D IT.帮忙决策制定者综合平衡风险以选择本钱效益对策E.关于定性评估和定量评估以下表述正确的是（）3在定性评估时并非利用具体的数据，而是指按期望值A.定量风险分析方式要求特别关注资产的价值和要挟的量化数据B..定量分析方式是最普遍利用的风险分析方式C定量分析方式存在一个问题，就是数据的不靠得住和不精准D.定性分析中风险的品级就是风险值，应给予明确的含义E..下列要素属于信息环境的有（）33数据库系统A.抗电磁干扰设施B.彳亍政法规C组织机构D..通信协议及其软件E.目前的漏洞扫描工具主要可分为的类型有（）

34.基于网络的扫描器A基于主机的扫描器B.战争拨号器（）C.wardialer数据库漏洞扫描D.散布式网络扫描器E..信息的安全属性包括（）35保密性A.完整性B.可用性C.可控性D.不可否定性E..信息安全保护对象中信息载体包括（）36物理平台A.资源平台B.系统平台C.应用平台D.在正中安全有几方面的含义（）37£0/C13335-1ITA.3B.4C.5D.

6.下列哪些属于正安全管理的内容（）38£0/C13335IT配置管理A变更管理B.制定安全策略C.安全意识D.将的安全保障分为级，其中第四级为（）

39.CC T0E7结构测试A.系统设计、测试和复查级B.形式化验证的设计和测试级C.半形式化设计和测试级D..通信与运行管理包括几个执行目标（）40A.5B.6C.7D.

8.信息搜集方式包括哪些（）

41.调查问卷A现场面谈B..文档检查C利用自动扫描工具D..信息安全风险评估的原则包括（）42可控性原则A.完整性原则B.最小影响原则C.保密原则D..安全工程是一个包括（）的完整进程43概念、设计A.实现、测试B.部署、运行C.保护、推出D..风险评估与管理工具主要分为哪类（）443基于信息安全标准的风险评估与管理工具A.基于知识的风险评估与管理工具B..基于系统的风险评估与管理工具C.基于模型的风险评估与管理工具D的安全模型数据库基于著名的“资产/要挟/弱点模型，评估进程主要包括（）

45.CRAMM概念研究范围和边界，识别和评价资产A.评估风险，即对要挟和弱点进行评估B..选择和推荐适当的对策C针对系统采取防护办法，计算和评估防护办法带来的收益本钱D..目前对脆弱性扫描工具的研发主要分为哪几种类型（）46基于网络的扫描器A.基于主机的扫描器B.散布式网络扫描器C.数据库脆弱性扫描器D..极光专用安全系统平台具有很高的安全性和稳定性，主要功能模块有（）47扫描核心模块A.数据同步模块B..升级模块C界面模块D.Web.渗透测试分为（）

48.隐秘测试A显性测试B..白盒测试c.黑盒测试D.在概念相对价值时，需要考虑（）

49.组织在公众形象和名誉上的损失A信息资产因为受损而对商务造成的直接损失B..信息资产受损对其他部门的业务造成的影响C其他损失，例如保险费用的增加D..进行系统调研业务特性有（）50业务不可中断性低A.业务保密性要求低51人员业务素质要求高C.业务大体不涉及现金流动D..关于工程，下列表述正确的是（）4CORAS该工程指在开发一个基于面向对象建模技术的风险评估框架A.该工程特别指出利用建模技术B.UML是同用的，并非为风险评估提供方式学C.CORAS开发了具体的技术规范来进行安全风险评估D.CORAS准则和方式都利用了半形式化和形式化规范E.CC CORAS.关于故障树分析方式下列正确的是（）5故障树分析是一种方式A.top-down.故障树分析方式可以分为定性和定量两种方式B故障树的定量分析就是通过求故障树的最小割集，取得顶事件的全数故障模式C.故障树方式主要用于分析大型复杂系统的靠得住性及安全性D..无论是故障树的定性仍是定量分析方式，首先都需要建造故障树E.概率风险评估（）和动态风险概率评估（）的主要分析步骤包括（）6PRA DPRA识别系统中存在的事件，找出风险源A.对各风险源考察其在系统安全中的地位，及彼此逻辑关系，给出系统的风险源树B.标识各风险源后果大小及风险概率C对风险源通过逻辑及数学方式进行组合，最后取得系统风险的气宇D.分析风险模式的危害度E..下列对风险分析方式属于定性分析方式的有（）

7.事件树分析（）A ETA风险评审技术

8.德尔斐法C.动态概率风险评估（）D DPRA风险模式影响及危害性分析（）E.RMECA方式的大体步骤包括（）

9.AHP系统分解，成立层次结构模型A.识别系统中存在的事件，找出风险源10构造判断矩阵C通过单层次计算进行安全性判断D..层次总排序，完成综合判断E信息安全大体属性不包括（）11机密性A.可用性B.封装性C.完整性D..项目计划阶段所涉及的安全需求包括（）12明确安全整体方针A.明确项目范围B.提交明确的安全需求文档C.对实现的可能性进行充分分析、论证D.对安全整体方针文档的内容应审杳的方面包括（）11是不是已经制定并发布了能够反映机构安全管理用意的信息安全文件A.风险管理进程的执行是不是有机构保障B..是不是有专人依照特定的进程按期进行反复与评审C风险管理的范围是不是明确D..设计阶段的主要需求不包括（）12对用以实现安全系统的各类技术进行有效性评估A.对用于实施方案的产品需知足安全保护品级的要求B.确保采购的设备、软件和其他系统组件知足已概念的安全要求C.对自开发的软件要在设计阶段就充分考虑安全风险D..为管理安全技术选择进程中可能引入的安全风险，机构需要采取的办法有（）13参考现有国内外安全标准A.参考过内外公认安全实践B.参考行业标准C.专家委员会决策D..实施阶段的风险管理进程与活动包括（）14检查与配置A.安全测试B..人员培训|C授权系统运行D..运行保护阶段的安全需求包括（）

15.在信息系统未发生更改的情况下，维持系统正常运行，进行日常的安全操作及安全管理A在信息系统及其运行环境发生转变的情况，进行风险评估并针对风险制定控制办法B.按期进行风险再评估工作，维持系统的持续安全C.按期进行信息系统的从头审批工作，确保系统授权的时间有效性D..运行保护阶段的风险管理活动包括（）

16.安全运行和管理A变更管理B.风险再评估C.按期从头审批D..废弃阶段的信息安全风险管理主要活动和内容包括（）17肯定废弃对象A.废弃对象的风险分析B.废弃进程的风险控制C.废弃后的评审D..沟通与咨询包括（）18与决策层沟通，以取得他们的理解和批准A.与管理层和执行层沟通，以取得他们的理解和协作B.与支持层沟通，以取得他们的了解和支持C.与用户层沟通，以取得他们的了解和配合D.为所有层面的相关人员提供咨询和培训等，以提高他们的安全意识、知识和技术E..以下关于沟通与咨询方式的表述正确的是（）19沟通与咨询的两边角色不同，所采取的方式有所不同A.表态适用于管理层对支持层和管理层对用户层B.指导和检杳指机构上级对下级工作的指导和检杳,用以保证工作质量和效率C宣传和介绍适用于决策层对支持层和执行层对支持层D..监控与审杳包括（）20监控进程有效性，包括流程是不是完整和有效地被执行A..监控本钱有效性，包括执行本钱与所得效果相较是不是合理B审查结果有效性，包括输出结果是不是因信息系统自身或环境的转变而过时C..监控与审查的进程应贯穿于信息安全风险管理的对象确立、风险分析、风险控制和审核批准这四个大体D步骤.监控与审查进程的输出文档主要包括（）

21.《对象确立的监控与审查记录》A《风险分析的监控与审查记录》B..《风险控制的监控与审查记录》C《审核批准的监控与审查记录》D.审核批准的进程主要包括的阶段是（）

22.审核申请A.审核处置B..批准申请C.批准处置D持续监督E..审核处置阶段的工作流程和内容包括（）23审查审核材料A.提交审核申请B.测试审查对象C.整改审查对象D.做出审核结论E..批准处置阶段的输出文档包括（）24《审核申请书》A.《审查结果报告》B..《批准申请书》C.《批准决定书》D.在下列文档中，不属于持续监督阶段的输出文档是（）25《批准申请书》A.《审核到期通知书》B..《审查结果报告》C《批准到期通知书》D.《环境转变因素的描述报告》E..风险控制的进程包括哪些阶段（）26现存风险判断A.控制目标确立B.风险品级评价C.控制办法选择D.控制办法实施E..在下列要素中，属于模型中部份的风险控制需求的有（）27PPDRR Policy.系统安全管理守则A.身份认证B数据加密C.应急响应计划D..网络安全管理守则E控制目标确立阶段的输出文档包括（）

28.《信息系统的分析报告》A《风险接受品级划分表》B.《风险控制需求分析报告》C.《风险控制目标列表》D.《风险控制实施计划书》E..对象确立进程包括的阶段有（）29风险管理准备A.信息系统调查B.信息系统分析C信息安全分析D.风险评估E.信息系统调查阶段的工作流程和内容包括（）

30..调查信息系统的业务目标A调查信息系统的业务特性B..调查信息系统的管理特性C调查信息系统的技术特性D..形成《信息系统的描述报告》E.对象确立进程的输出文档包括（）31《风险管理计划书》A.《信息系统的描述报告》B..《信息系统的分析报告》C.《信息系统的安全要求报告》D《风险分析报告》E..下列要素属于信息载体的有（）32存储介质A.通信介质B.国家法律C.系统软件D..网络协议及其软件E。