第一篇:2016年税务系统网络信息安全知识测试
一、判断对错(每题2分,答错不扣分,共计30分)1.违反法律、违反道德、破坏信息安全的可严重侵犯公民隐私和影响中国社会稳定的信息,均可称为不良信息。
2.在我国凡是违背社会主义精神文明建设的要求,违背中华民族优良文化传统习惯以及违背社会公德的各类信息就是网络不良信息。3.网上的安全审计主要是对系统中的各类活动进行跟踪记录,为以后安全事件的追踪、漏洞的分析提供一些原始证据。
4.随着国际信息安全领域的事件频繁发生,无论是高层领导或是专家或是普通民众对信息安全问题都高度重视。
5.对于信息安全危险的分类,从危险的来源来分,可分为内部的危险和外部的危险。
6.以云计算、物联网等为代表的新一轮信息技术革命,正在成为全球后金融时代社会和经济发展共同关注的重点。
7.“安全”一词是指将服务与资源的脆弱性降到最低限度。8.目前我国重要的信息系统和工业控制系统是自主生产的,不会产生对外依赖。
9.对于从美国出口到我国的设备,美国安全局会提前有意植入一些后门或者植入一些微软件。
10.我国信息技术产品的国产化程度非常低,很多重要信息系统还是由外国厂家提供,网络防护十分薄弱。
11.用户在处理废弃硬盘时,只要将电脑硬盘内的数据格式化就可以了,数据就不可能被恢复了。12.浏览器缓存和上网历史记录能完整还原用户访问互联网的详细信息,并反映用户的使用习惯、隐私等。因此应当定期清理这些信息以避免他人获得并造成隐私泄密。
13.大数据的特点是数据量巨大,是指数据存储量已经从TB级别升至PB级别。
14.信息系统建设完成后,运营、使用单位或者其主管部门应当选择具有信息系统安全等级保护测评资质的测评机构,定期对信息系统安全等级状况开展等级测评。
15.机密性、完整性和可用性是评价信息资产的三个安全属性。
二、单项选择(每题3分,共计30分)
1.内部人员对系统产生误操作,滥用权力,个别系统里的人内外勾结,这是属于安全威胁来源的()方面。
A.内部方面
B.外部方面
C.人为方面
D.意外方面
2.2014年,中央成立网络安全与信息化领导小组,并由()同志亲自担任组长。
A.李克强
B.刘云山
C.习近平 D.张德江
3.计算机水平高超的电脑专家,他们可以侵入到你正常的系统,不经授权修改你的程序,修改你的系统,这类统称为()。
A.漏洞
B.病毒
C.黑客
D.间谍
4.()被广泛认为是继报纸、电台、电视之后的第四媒体。
A.互联网
B.电话
C.广播
D.手机
5.最近,国务院下发的5号文件明确提出加快推进()的应用,给我们的安全问题提出了新的严峻挑战。
A.云计算
B.大数据
C.物联网
D.互联网
6.中央网络安全和信息化领导小组要求把我国建设成为()。
A.技术强国
B.信息强国
C.科技强国 D.网络强国
7.下列属于网络诈骗的方式的是()。
A.中奖诈骗
B.钓鱼诈骗
C.QQ视频诈骗
D.以上都是
8.网络社会的本质变化是()。
A.信息碎片化
B.网络碎片化
C.跨越时空的碎片化
D.生活的碎片化
9.由于遭遇()的入侵,伊朗的核计划至少推迟了两年多。
A.特洛伊木马
B.蠕虫病毒
C.震网病毒
D.逻辑炸弹
10.计算机病毒是()A.一种芯片
B.具有远程控制计算机功能的一段程序 C.一种生物病毒
D.具有破坏计算机功能或毁坏数据的一组程序代码
三、多项选择题(每题4分,共计40分)2.安全使用邮箱应该做到的有()
A.对于隐私或重要的文件可以加密之后再发送 B.为邮箱的用户账号设置高强度的口令 C.区分工作邮箱和生活邮箱
D.不要查看来源不明和内容不明的邮件,应直接删除 3.以下关于盗版软件的说法,错误的是()。A.若出现问题可以找开发商负责赔偿损失 B.使用盗版软件不违反法律
C.成为计算机病毒的重要来源和传播途径之一 D.可能会包含不健康的内容
4.信息安全是一个不断攻防演练的过程,一个不断发展的过程,遵循PDCA模型,其中,PDCA是指()。
A.Plan B.Act C.Check D.Aim E.Do 5.根据涉密网络系统的分级保护原则,涉密网络的分级有哪些?()A.秘密 B.内部 C.机密 D.绝密
6.税务系统信息安全体系建设的主要内容有()A.建设统一、完善的网络安全防护系统
B.建立全网统一的基于PKI的网络信任系统及其安全基础设施。C.基于网络安全防护系统和安全基础设施,构建统一的安全支撑平台和应用支撑平台。
D.基于安全支撑平台和应用支撑平台,建设涵盖各类税收业务的安全应用系统。
E.建设一体化的信息安全管理系统和服务于安全管理系统的安全管理平台。
7.税务系统信息安全体系的构成()A.一个决策领导层
B.四个安全系统(安全管理系统、网络防护系统、安全基础设施系统、安全应用系统)
C.三个安全平台(安全支撑平台、应用支撑平台、安全管理平台)D.金税三期核心征管系统
8.税务系统信息安全体系的实施原则()A.统筹规划、分步实施 B.联合共建、互联互通 C.安全保密、先进可靠 D.经济实用、灵活方便 E.统一标准、统一规范 9.税务系统网络与信息安全防护体系建设经历过以下()阶段 A.首期 B.二期 C.三期 D.四期
10.税务系统网络与信息安全建设第三期的内容有()
A.采用网络准入控制系统阻止不符合安全要求的计算机终端接入数据中心局域网
B.在网络中部署安全性检查与补丁分发系统,对接入数据中心局域网的计算机终端进行安全检查和修复,提高接入终端的安全性 C.采用数据库安全审计系统对数据库应用的所有操作实施安全性审计
D.在因特网接口部署上网行为监控系统,对访问互联网的行为安全进行监控,对网络流量和带宽实施管理。
2015网络和信息安全宣传考试答案
一、判断对错30
√×√√√
√√×√√
×√√√√
二、单项选择30 ACCAA DDCCD
三、多项选择题40 1ABCD 2ABCD 3AB 4ABCE 5ACD 6ABCDE 7ABC 8ABCDE 9ABC 10ABCD
第二篇:2015年税务系统网络信息安全知识测试试题
一、判断对错(每题2分,答错不扣分,共计30分)1.违反法律、违反道德、破坏信息安全的可严重侵犯公民隐私和影响中国社会稳定的信息,均可称为不良信息。
2.在我国凡是违背社会主义精神文明建设的要求,违背中华民族优良文化传统习惯以及违背社会公德的各类信息就是网络不良信息。3.网上的安全审计主要是对系统中的各类活动进行跟踪记录,为以后安全事件的追踪、漏洞的分析提供一些原始证据。
4.随着国际信息安全领域的事件频繁发生,无论是高层领导或是专家或是普通民众对信息安全问题都高度重视。
5.对于信息安全危险的分类,从危险的来源来分,可分为内部的危险和外部的危险。
6.以云计算、物联网等为代表的新一轮信息技术革命,正在成为全球后金融时代社会和经济发展共同关注的重点。
7.“安全”一词是指将服务与资源的脆弱性降到最低限度。8.目前我国重要的信息系统和工业控制系统是自主生产的,不会产生对外依赖。
9.对于从美国出口到我国的设备,美国安全局会提前有意植入一些后门或者植入一些微软件。
10.我国信息技术产品的国产化程度非常低,很多重要信息系统还是由外国厂家提供,网络防护十分薄弱。
11.用户在处理废弃硬盘时,只要将电脑硬盘内的数据格式化就可以了,数据就不可能被恢复了。12.浏览器缓存和上网历史记录能完整还原用户访问互联网的详细信息,并反映用户的使用习惯、隐私等。因此应当定期清理这些信息以避免他人获得并造成隐私泄密。
13.大数据的特点是数据量巨大,是指数据存储量已经从TB级别升至PB级别。
14.信息系统建设完成后,运营、使用单位或者其主管部门应当选择具有信息系统安全等级保护测评资质的测评机构,定期对信息系统安全等级状况开展等级测评。
15.机密性、完整性和可用性是评价信息资产的三个安全属性。
二、单项选择(每题3分,共计30分)
1.内部人员对系统产生误操作,滥用权力,个别系统里的人内外勾结,这是属于安全威胁来源的()方面。
A.内部方面
B.外部方面
C.人为方面
D.意外方面
2.2014年,中央成立网络安全与信息化领导小组,并由()同志亲自担任组长。
A.李克强
B.刘云山
C.习近平 D.张德江
3.计算机水平高超的电脑专家,他们可以侵入到你正常的系统,不经授权修改你的程序,修改你的系统,这类统称为()。
A.漏洞
B.病毒
C.黑客
D.间谍
4.()被广泛认为是继报纸、电台、电视之后的第四媒体。
A.互联网
B.电话
C.广播
D.手机
5.最近,国务院下发的5号文件明确提出加快推进()的应用,给我们的安全问题提出了新的严峻挑战。
A.云计算
B.大数据
C.物联网
D.互联网
6.中央网络安全和信息化领导小组要求把我国建设成为()。
A.技术强国
B.信息强国
C.科技强国 D.网络强国
7.下列属于网络诈骗的方式的是()。
A.中奖诈骗
B.钓鱼诈骗
C.QQ视频诈骗
D.以上都是
8.网络社会的本质变化是()。
A.信息碎片化
B.网络碎片化
C.跨越时空的碎片化
D.生活的碎片化
9.由于遭遇()的入侵,伊朗的核计划至少推迟了两年多。
A.特洛伊木马
B.蠕虫病毒
C.震网病毒
D.逻辑炸弹
10.计算机病毒是()A.一种芯片
B.具有远程控制计算机功能的一段程序 C.一种生物病毒
D.具有破坏计算机功能或毁坏数据的一组程序代码
三、多项选择题(每题4分,共计40分)1.信息安全面临哪些威胁?()A.信息间谍 B.网络黑客 C.信息系统的脆弱性 D.计算机病毒
2.安全使用邮箱应该做到的有()
A.对于隐私或重要的文件可以加密之后再发送 B.为邮箱的用户账号设置高强度的口令 C.区分工作邮箱和生活邮箱
D.不要查看来源不明和内容不明的邮件,应直接删除 3.以下关于盗版软件的说法,错误的是()。A.若出现问题可以找开发商负责赔偿损失 B.使用盗版软件不违反法律
C.成为计算机病毒的重要来源和传播途径之一 D.可能会包含不健康的内容
4.信息安全是一个不断攻防演练的过程,一个不断发展的过程,遵循PDCA模型,其中,PDCA是指()。
A.Plan B.Act C.Check D.Aim E.Do 5.根据涉密网络系统的分级保护原则,涉密网络的分级有哪些?()A.秘密 B.内部 C.机密 D.绝密
6.税务系统信息安全体系建设的主要内容有()A.建设统一、完善的网络安全防护系统
B.建立全网统一的基于PKI的网络信任系统及其安全基础设施。C.基于网络安全防护系统和安全基础设施,构建统一的安全支撑平台和应用支撑平台。
D.基于安全支撑平台和应用支撑平台,建设涵盖各类税收业务的安全应用系统。
E.建设一体化的信息安全管理系统和服务于安全管理系统的安全管理平台。
7.税务系统信息安全体系的构成()A.一个决策领导层
B.四个安全系统(安全管理系统、网络防护系统、安全基础设施系统、安全应用系统)
C.三个安全平台(安全支撑平台、应用支撑平台、安全管理平台)D.金税三期核心征管系统
8.税务系统信息安全体系的实施原则()A.统筹规划、分步实施 B.联合共建、互联互通 C.安全保密、先进可靠 D.经济实用、灵活方便 E.统一标准、统一规范
9.税务系统网络与信息安全防护体系建设经历过以下()阶段 A.首期 B.二期 C.三期 D.四期
10.税务系统网络与信息安全建设第三期的内容有()
A.采用网络准入控制系统阻止不符合安全要求的计算机终端接入数据中心局域网
B.在网络中部署安全性检查与补丁分发系统,对接入数据中心局域网的计算机终端进行安全检查和修复,提高接入终端的安全性 C.采用数据库安全审计系统对数据库应用的所有操作实施安全性审计
D.在因特网接口部署上网行为监控系统,对访问互联网的行为安全进行监控,对网络流量和带宽实施管理。
2015网络和信息安全宣传考试答案
一、判断对错30
√×√√√
√√×√√
×√√√√
二、单项选择30 ACCAA DDCCD
三、多项选择题40 1ABCD 2ABCD 3AB 4ABCE 5ACD 6ABCDE 7ABC 8ABCDE 9ABC 10ABCD
第三篇:网络信息安全 渗透测试
网络信息安全--课程结业报告
重庆交通大学
课程结业报告
班 级:
学 号:
姓 名:
实验项目名称:
实验项目性质:
实验所属课程:
实验室(中心):
指 导 教 师 :
实验完成时间:
渗透测试
设计性
网络信息安全
软件实验室
2016 年 6 月 30 日
一、概述
网络渗透测试就是利用所有的手段进行测试,发现和挖掘系统中存在的漏洞,然后撰写渗透测试报告,将其提供给客户;客户根据渗透人员提供的渗透测试报告对系统存在漏洞和问题的地方进行修复和修补。渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。渗透测试与其它评估方法不同,通常的评估方法是根据已知信息资源或其它被评估对象,去发现所有相关的安全问题。渗透测试是根据已知可利用的安全漏洞,去发现是否存在相应的信息资源。
应网络信息安全课程结课要求,于2016年5月至2016年7月期间,在MobaXterm和kail平台进行了活动主机和活动端口扫描以及漏洞扫描,最后汇总得到了该分析报告。
二、实验目的
①熟悉kali平台和MobaXterm; ②熟悉信息收集的基本方法和技巧;
③了解kali平台下活动主机和端口扫描的方法; ④了解漏洞扫描的过程;
三、渗透测试范围
此次渗透测试的对象为:10.1.74.114---Metasploitable2 Linux。
四、本次分析工具介绍
本次测试主要用到了MobaXterm、Nmap、Nessus和kali.MobaXterm是远程计算的终极工具箱。本次在MobaXterm上运行了10.1.74.111(用户名和密码是root:toor)和10.1.74.114(渗透对象,用户名和密码:msfadmin:msfadmin)。
如果在虚拟机里运行kali,首先需要安装好虚拟机,然后下载安装好渗透环境kail,然后下载安装渗透对象(Metasploitable2 Linux)。
Kali Linux预装了许多渗透测试软件,包括nmap(端口扫描器)、Wireshark(数据
包分析器)、John the Ripper(密码破解器),以及Aircrack-ng(一套用于对无线局域网进行渗透测试的软件).本次测试尝试了Metasploit,但技术不成熟,不知道哪里出错,没有成功。
图1运行Metasploit结果图
图2 运行Metasploit结果图
图3 运行Metasploit结果图3 在漏洞扫描时,因为教学网上说Kali中内置了OpenVAS的,所以打算用这个工具
作为扫描工具的,可是在我使用的kali平台里并没有这个内置的工具。
图4 没有内置OpenVAS的kali
本次实验还是使用了nmap的图形化扫描工具zenmap。Nmap是目前为止使用最广的端口扫描工具之一,软件提供一些非常实用的功能。比如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。
除了以上工具,本次还用了Nessus,这个工具是目前全世界最多人使用的系统漏洞扫描与分析软件。
五、实验主要内容及原理
1、信息收集—扫描活动主机
可以使用一些命令来进行局域网内的活动主机的扫描。常用的命令有 fping、nping、netenum、netdiscover 等。
本次渗透测试选用了netdiscover来获取LAN 中活动主机及其MAC。
2、信息收集—扫描目标主机活动端口
信息收集有两种方式,一种是命令行方式,一种是图形化界面方式。常用的命令是 namp,使用语法:nmap 参数 目标主机IP 地址。图形界面工具是zenmap。
3、信息收集—扫描漏洞
Nessus是使用比较多的系统漏洞扫描与分析软件。
六、实验过程简述
1、信息收集-扫描活动主机
实验步骤:在MobaXterm下进行命令行形式进行活动主机的扫描:
fping:扫描指定范围内的活动主机(fping-s-r 1-g 202.202.240.1 202.202.240.254);
nping:对防火墙过滤ICMP或主机不对ICMP响应的情况,则可不使用ICMP,直接定制TCP包发出运行nping-c1--tcp-p 80--flags syn 202.202.240.6;
netenum:速度超快的活动主机扫描器(运行netenum 202.202.240.0/24 10)(10代表超时时间,越长越准确)
netdiscover:获取LAN中活动主机及其MAC等信息(运行netdiscover即可); 也在虚拟机里进行了netdiscover扫描。
2、信息收集—扫描目标主机活动端口
实验步骤:在MobaXterm中输入下列的命令即可完成目标主机活动端口的扫描: TCP连接扫描: nmap-sT-p--PN 202.202.240.6 SYN 扫描: nmap-sS-p--PN 202.202.240.6 Xmas 扫描:nmap-sX-p--PN 202.202.240.6 Null 扫描:nmap-sN-p--PN 202.202.240.6
3、信息收集—扫描漏洞
实验步骤:Nessus是目前全世界最多人使用的系统漏洞扫描与分析软件。以下为安装及配置步骤:
下载Nessus软件进行注册,选择家庭版,注册号将发送到邮箱 使用命令dpkg-i Nessus-6.3.7-debian6_amd64.deb 命令进行安装
运行命令 /opt/nessus/bin/nessus-fetch--register(你得到的注册号)进行注册及更新模块
运行命令/opt/nessus/sbin/nessus-adduser添加用户并设为管理员(需记住,后面登录要使用)
运行命令/etc/init.d/nessusdsta启动nessus服务
打开浏览器,输入https://127.0.0.1:8834登录Nessus即可(先定策略,再扫描)
七、实验结果及分析
1、信息收集-扫描活动主机
图5使用fping扫描活动主机结果1
图6使用fping扫描活动主机结果2
通过运行fping-s-r 1-g 202.202.240.1 202.202.240.254来扫描IP地址从
202.202.240.1 到202.202.240.254的活动主机,(-s)打印出最后的结果;(-r 1)重复次数为1,默认情况下为3;(-g)生成目标列表,指定目标列表的起始和结束IP,此次起始IP为202.202.240.1,结束IP为202.202.240.254。共扫描254个目标,其中74个存活,176个不可达,没有不知的IP地址。
图7使用nping扫描活动主机结果
图8使用netenum扫描结果
使用来进行netenum扫描,显示的是202.202.240.0/24这个网段的活动主机,显示的结果。
图9netdiscover扫描结果
从上面的图中可以看出,netdiscover会显示出活动主机的IP地址、MAC地址等信息。
2、信息收集—扫描目标主机活动端口
图10 nmap扫描结果1
图11 nmap扫描结果2
图12 nmap扫描结果3
图13 nmap扫描结果4 上图是使用nmap扫描目标主机活动端口的结果,本次实验是扫描202.202.240.6的活动端口,从结果中可以看出使用TCP连接扫描和SYN扫描结果80端口是开启的,Xmas和Null扫描运行不出结果,可能是扫描的时间不够,活动端口扫描不是快速完成的。扫描结果会显示活动的端口号以及提供的服务。
下面是在虚拟机的kali平台里使用zenmap对10.1.74.114进行端口扫描的结果。由于扫描结果太多,所以只对部分进行了截图分析。
图14zenmap扫描结果
使用zenmap对活动端口进行扫描比使用命令行简单,得到的结果比输入命令得到的结果更加详细。
3、信息收集—扫描漏洞
图15Nessus扫描漏洞结果1 从扫描结果看出10.1.74.111有3个高危漏洞,18个中危漏洞,5个低危漏洞。下图为扫描10.1.74.111的部分具体漏洞图。
图16Nessus扫描结果2
八、心得体会
通过本次网络信息安全课程的学习,对渗透过程有了一定的了解,其基本步骤可总结为首先进行信息收集,可以收集的信息有活动主机、端口等等,然后扫描主机的漏洞,并对漏洞加以利用,从而达到攻击的目的。
这次设计对各个模块有了浅显的认识,深入程度还有待提高。
第四篇:税务系统网络与信息安全管理岗位及其职责
税务系统网络与信息安全管理岗位及其职责
《税务系统网络与信息安全管理岗位及其职责》
编制说明
《税务系统网络与信息安全管理岗位及其职责》是税务系统网络与信息安全管理体系框架中的文档之一,这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写,目的是为了初步建立税务系统网络与信息安全管理岗位,明确安全管理人员的职责。
但由于各级税务系统(总局、省局、地市局、区县级局)具有不同的特点,没有一种模式适用所有的组织,而且由于人员的限制,特别是地市局及区县级局中人员的限制,通常没有特定的专职人员来担任本文档中描述的众多安全管理角色。因此,本文档的适用范围确定在总局、各省局、各地市局,对区县级局不适用,各区县级局可由其上级地市局根据具体情况做相应要求。
本《税务系统网络与信息安全管理岗位及其职责》文档共包括二章内容,第一章为管理角色与职责,描述了税务系统网络与信息安全管理组织架构,以及主要的信息安全管理角色与职责;第二章为管理岗位及设置原则,示例列出信息技术部门中主要信息安全管理岗位,并描述了税务系统网络与信息安全管理岗位设置原则。
税务系统网络与信息安全管理岗位及其职责
税务系统网络与信息安全管理岗位及其职
责
(试行稿)
国家税务总局信息中心 二〇〇四年十月
税务系统网络与信息安全管理岗位及其职责
目录
一、税务系统网络与信息安全管理角色与职责.....................................1 1.1 信息安全领导小组.....................................................1 1.2 信息安全管理部门.....................................................2 1.3 具体执行管理角色.....................................................3 安全管理员............................................................3 主机系统管理员........................................................3 网络管理员............................................................4 数据库管理员..........................................................4 应用管理员............................................................4 安全审计员............................................................5 病毒防护员............................................................5 密钥管理员(包括证书管理员、证书操作员)..............................5 资产管理员............................................................5 安全保卫员(机房安全员)..............................................5 安全协调人员..........................................................5 人事管理人员..........................................................5 安全法律顾问..........................................................6
二、税务系统网络与信息安全管理岗位及设置原则.................................6 2.1 信息安全管理岗位.....................................................6 安全管理员岗位........................................................6 网络系统管理员岗位....................................................6 应用管理员岗位........................................................6 2.2 安全岗位设置原则.....................................................7 多人负责原则..........................................................7 任期有限原则..........................................................7 职责分离原则..........................................................7 工作分开原则..........................................................7 权限随岗原则..........................................................7
税务系统网络与信息安全管理岗位及其职责
一、税务系统网络与信息安全管理角色与职责
为有效实施信息安全管理,保障和实施税务系统的信息安全,在税务系统内部应该建立自己的信息安全管理组织架构。
信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。根据税务系统编制体系现状以及人员结构,信息安全管理组织架构纵向涵盖总局、省局、地市局三级,总局对省局、省局对地市局在信息化建设与安全管理运行方面,应起到指导与监管的作用。在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。因此,总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。
1.1 信息安全领导小组
信息安全是全国税务系统工作人员必须共用承担的责任,一般来说,各级税务系统首先应建立信息安全领导小组。信息安全领导小组是各级税务系统网络与信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构,负责本单位信息安全工作的宏观管理。
总局信息安全领导小组负责全国税务系统网络与信息安全总体规划与决策,并领导总局信息系统安全建设、运行、维护和管理等工作;省局信息安全领导小组负责组织落实上层决策,制定本省决策,并领导本省信息安全工作;地市局信息安全领导小组负责落实上层决策,制定本地市决策,并领导本地市信息安全工作。各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅,并结合与信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是:
1. 总局信息安全领导小组负责领导制定全国税务系统网络与信息安全建设的总体规划并审议监督各省级安全工作规划的制定与实施;负责制定总局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略;负责领导制定总局与信息系统安全相关的规章制度;负责总局信息系统安全管理层以上的人员权限授予工作;负责审阅总局信息安全
第1页
税务系统网络与信息安全管理岗位及其职责
工作报告;负责全国税务系统重大安全事故查处与汇报工作。
2. 省局信息安全领导小组负责领导落实全国税务系统安全建设的总体规划,制定本省建设规划并监督各地市级安全工作规划的制定与实施;在全国税务系统网络与信息安全总体方针的指导下,负责组织制定本省信息系统安全策略并审批地方局上报的信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本省信息系统安全管理层以上的人员权限授予工作;负责审阅省局信息安全工作报告;负责本省重大安全事故查处与汇报工作。
3. 地市局信息安全领导小组负责领导落实本省信息系统安全建设规划,制定地市局级安全规划;在全国税务系统网络与信息安全总体方针以及省级相关策略文件的指导下,负责组织制定审批本地市信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本地市信息系统安全管理层以上的人员权限授予工作;负责审阅地市局信息安全工作报告;负责本地市重大安全事故查处与汇报工作。
1.2 信息安全管理部门
在信息安全领导小组的基础上,各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成,例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。
信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。
为明确安全职责,应在相关管理部门中指定对信息安全负责的主管,这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案,并监督安全策略的落实。
第2页
税务系统网络与信息安全管理岗位及其职责
1.3 具体执行管理角色
对于信息系统建设和运行维护的具体执行,应该有相应的安全管理岗位,但由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,不宜在本文档中直接定义具体的安全岗位,而只是定义了相应的安全角色和职责,各具体机构根据实际情况设置相应安全岗位,具体的安全角色和职责的描述如下。安全管理员
负责对安全产品购置提供建议,负责组织制定各种安全产品策略与配置规则,负责跟踪安全产品投产后的使用情况;
负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据库管理员和应用管理员等)及普通用户与安全相关的工作;
负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告;
根据本机构的信息安全需求,定期提出本机构的信息安全改进意见,并上报信息安全管理部门主管;
定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范;
负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度;
负责参与安全事故调查。主机系统管理员
负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制; 协助安全管理员制定主机操作系统的安全配置规则,并落实执行; 负责主机设备的日常管理与维护,保持系统处于良好的运行状态; 为安全审计员提供完整、准确的主机系统运行活动的日志记录; 在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
第3页
税务系统网络与信息安全管理岗位及其职责
编制主机设备的维修、报损、报废计划,报主管领导审核; 网络管理员
负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞; 协助安全管理员制定网络设备安全配置规则,并落实执行;
为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志;
在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
编制网络设备的维修、报损、报废等计划,报主管领导审核; 数据库管理员
对数据库系统进行安全配置,修补已发现的漏洞;
负责数据库系统的用户账号管理,对系统中所有的用户进行登记备案;对数据库系统的用户、口令的安全性进行管理;对数据库系统登录用户进行监测和分析;
负责业务数据及系统其它重要数据的备份与备份数据管理工作; 为安全审计员提供完整、准确的数据库系统运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报; 在发生安全问题导致数据损坏或丢失时,进行数据的恢复;
根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。应用管理员
对业务应用系统进行安全配置;督促软件开发商提供补丁来修补已发现的漏洞;
对业务应用系统的用户、口令的安全性进行管理;对业务应用系统的登录用户进行监测和分析;
负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照备份方案按时完成,并恢复所需数据;
实施系统软件版本管理,应用软件备份和恢复管理。
第4页
税务系统网络与信息安全管理岗位及其职责
安全审计员
负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报;
负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。
病毒防护员
协助安全管理员制定病毒防范操作规程; 负责执行和监督整个系统全面的杀毒工作;
定时升级网络杀毒软件的病毒库,监督个人杀毒软件的升级工作; 实时监控重要业务系统和数据的安全,杜绝非法开放的病毒入侵途径,降低病毒侵害的影响;
及时报告上级部门病毒入侵和感染情况,提供感染频率高和严重性强的病毒的有效解决方案。
密钥管理员(包括证书管理员、证书操作员)
负责税务系统交易、传输、认证密钥的管理以及加密机的操作。资产管理员
负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。安全保卫员(机房安全员)
负责制定和执行适当的物理安全控制;
主要负责非技术性的、常规的安全工作,如信息处理场地的保卫,办公室安全,验证出人信息中心的手续和多项规章制度的落实。
安全协调人员
负责安全项目、安全问题、安全事件、安全工作的组织协调。人事管理人员
协助安全主管确定某个职位是否需要进行安全背景调查;
第5页
税务系统网络与信息安全管理岗位及其职责
还可能负责为员工离开本单位时提供与安全相关的离职规程。安全法律顾问
负责本单位与外单位签署安全服务合同的法律咨询工作。
二、税务系统网络与信息安全管理岗位及设置原则
2.1 信息安全管理岗位
根据税务系统网络与信息安全管理角色与职责,相应地,税务系统组织机构内需要设置信息安全管理岗位,由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,所以本文档中仅列出信息技术部门中的主要信息安全管理岗位,总局、各省局及各地市局应根据本文档结合本机构的具体情况指导本机构内的岗位分工和各岗位安全职责,从而进行具体的设置。安全管理员岗位
安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,同时,根据具体需要,可以兼任病毒管理员和密钥管理员的角色。也可以根据具体情况,设置多个安全管理员岗位。网络系统管理员岗位
网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合,同时,根据具体需要,可以兼任资产管理员的角色。也可以根据具体情况,设置多个网络系统管理员岗位。应用管理员岗位
应用管理员岗位可以是数据库管理员角色和应用管理员角色的组合。也可以根据具体情况,设置多个应用管理员岗位。
对于其他的安全角色需要设置的岗位,可以由相关安全职能部门的人员兼任,也可以单独设置岗位。
第6页
税务系统网络与信息安全管理岗位及其职责
2.2 安全岗位设置原则
为确保税务信息系统的安全,必须加强人事安全管理,提高安全管理人员的技术水平和安全意识,同时在人员岗位的设置方面要遵循以下原则。多人负责原则
对一些有较高密级的与安全有关的活动,都必须有两人或多人在场。工作人员必须由系统主管领导指派,且忠诚可靠,能胜任工作;工作人员应该认真记录签署工作情况,以证明安全工作已得到保障。
上述所指与安全有关的活动包括:硬件和软件的维护;系统软件的设计、实现和维护;处理保密信息;系统用媒介的发放与回收;访问控制用证件的发放与回收;重要程序和数据的删除和销毁等。任期有限原则
决不能由一人长期担任安全管理职务。对一些重要安全岗位的工作人员应该不定期循环任职,强制实行轮换、休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
非经系统主管领导批准,任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。安全工作人员活动所涉及的范围应是受到限制的,不能越权限访问。工作分开原则
权力不能过于集中在某个人或某些人手里,在信息安全工作中,有的工作不能由一个人担任,工作分开便于相互制约。出于对安全的考虑,下面每组内的两项信息处理工作应该由不同的人员来负责:对计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制;访问证件的管理与其它工作;计算机操作与信息系统使用媒介的保管等。权限随岗原则
权限随岗原则。根据岗位变动情况及时调整相应的授权,做到:在岗有权、离岗失权。
第7页
第五篇:网络信息安全测试模拟试题 归类
判断题
信息安全定义
3.只要投资充足,技术措施完备,就能够保证百分之百的信息安全。27.信息在使用中不仅不会被消耗掉,还可以加以复制。
43.防止静态信息被非授权访问和防止动态信息被截取解密是____。A:数据完整性
B:数据可用性
C:数据可靠性
D:数据保密性
69.在ISO/IEC 17799中,防止恶意软件的目的就是为了保护软件和信息的____。
A:安全性
B:完整性
C:稳定性
D:有效性 78.关于信息安全,下列说法中正确的是____。
A:信息安全等同于网络安全
B:信息安全由技术措施实现 C:信息安全应当技术与管理并重
D:管理措施在信息安全中不重要 41.信息安全在通信保密阶段中主要应用于____领域。
A:军事
B: 商业
C:科研
D:教育
69.确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是____。A:完整性
B:可用性
C:可靠性
D:保密性
管理学
14.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。
36.网络和信息系统的关节岗位人选不得出现在其他关键岗位兼职的情况。66.下述关于安全扫描和安全扫描系统的描述错误的是____。A:安全扫描在企业部署安全策略中处于非常重要的地位
B:安全扫描系统可用于管理和维护信息安全设备的安全
C:安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性 D:安全扫描系统是把双刃剑
71.策略应该清晰,无须借助过多的特殊一通用需求文档描述,并且还要有具体的____。A:管理支持
B:技术细节
C:补充内容
D:实施计划 47.在PDR安全模型中最核心的组件是____。
A:策略
B:保护措施
C:检测措施
D:响应措施
79.在PPDRR安全模型中,____是属于安全事件发生后的补救措施。
A:保护
B:恢复
C:响应
D:检测 44.信息安全领域内最关键和最薄弱的环节是____。A:技术
B:策略
C:管理制度
D:人
58.下列关于信息安全策略维护的说法,____是错误的。A:安全策略的维护应当由专门的部门完成
B:安全策略制定完成并发布之后,不需要再对其进行修改
C:应当定期对安全策略进行审查和修订
D:维护工作应当周期性进行
66.对日志数据进行审计检查,属于____类控制措施。
A:预防
B:检测
C:威慑
D:修正 74.信息安全中的木桶原理,是指____。
A:整体安全水平由安全级别最低的部分所决定 B:整体安全水平由安全级别最高的部分所决定 C:整体安全水平由各组成部分的安全级别平均值所决定 D:以上都不对
76.根据权限管理的原则,—个计算机操作员不应当具备访问____的权限。
A:操作指南文档
B:计算机控制台
C:应用程序源代码
D:安全指南
物理
37.二类故障:包括电源等系统故障。
38.二类故障:空调、通风、发电机、门禁、照明等系统故障。45.设备放置应考虑到便于维护和相对的安全区域内。70.环境安全策略应该____。
网络
13.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。
19.网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。
20.防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。
A:详细而具体
B:复杂而专业
C:深入而清晰
D:简单而全面
24.防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。
29.防火墙属于网络安全的范畴,是网络安全保护中最基本的安全机制,只能在内部网络的边界处提供动态包过滤、应用安全代理等安全服务。57.IPSec协议中涉及到密钥管理的重要协议是____。A:IKE
B:AH
C:ESP
D:SSL 58.入侵检测技术可以分为误用检测和____两大类。
A:病毒检测
B:详细检测
C:异常检测
D: 漏洞检测
72.在一个企业网中,防火墙应该是____的一部分,构建防火墙时首先要考虑其保护的范围。A:安全技术
B:安全设置
C:局部安全策略
D:全局安全策略 59.防火墙最主要被部署在____位置。
A:网络边界
B:骨干线路
C:重要服务器
D:桌面终端
主机
31.主机和系统是信息系统威胁的主要目标之一。
33.强制执行策略:没有强制性的用户安全策略就没有任何价值。
应用
39.定时清理IE浏览器的临时文件夹,并不能防止部分敏感内容的泄露。41.应用和业务安全管理不属于信息安全管理制度。
数据
1.根据ISO 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。44.网络数据备份的实现主要需要考虑的问题不包括____。
A:架设高速局域网
B:分析应用环境
C:选择备份硬件设备
D:选择备份管理软件
70.系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速____。
A:恢复整个系统
B:恢复所有数据
C:恢复全部程序
D:恢复网络设置 78.____能够有效降低磁盘机械损坏给关键数据造成的损失。A:热插拔
B:SCSI
C:RAID
D:FAST-ATA
病毒和木马
45.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____。
A:防火墙隔离
B:安装安全补丁程序
C:专用病毒查杀工具
D:部署网络入侵检测系统
46.计算机病毒最本质的特性是____。
A:寄生性
B:潜伏性
C:破坏性
D:攻击性
48.《计算机病毒防治管理办法》规定,____主管全国的计算机病毒防治管理工作。A:信息产业部
B:国家病毒防范管理中心
C:公安部公共信息网络安全监察
D:国务院信息化建设领导小组 49 计算机病毒的实时监控属于____类的技术措施。A:保护
B:检测
C:响应
D:恢复
50.下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是____。A:防火墙隔离
B:安装安全补丁程序
C:专用病毒查杀工具
D:部署网络入侵检测系统 51.下列不属于网络蠕虫病毒的是____。
业务连续性和应急响应
46.凡信息网络发生的事件、事故和案件,均应按规定由有关使用单位在48小时内向当地县级以上公安局观报告。
46.关于灾难恢复计划错误的说法是____。
A:应考虑各种意外情况
B:制定详细的应对处理办法
C:建立框架性指导原则,不必关注于细节
D:正式发布前,要进行讨论和评审 74.灾难恢复计划或者业务连续性计划关注的是信息资产的____属性。
A:可用性
B:真实性
C:完整性
D:保密性
信息安全保障体系
4.我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。
5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。
15.按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。
30.方针和策略是信息安全保证工作的整体性指导和要求。安全方针和策略不需要有相应的A:冲击波
B:SQLSLAMMER
C:CIH
D:振荡波
制定、审核和改进过程。
42.IS0 17799/IS0 27001最初是由____提出的国家标准。
A:美国
B:澳大利亚
C:英国
D:中国
59.根据BS 7799的规定,建立的信息安全管理体系ISMS的最重要特征是____ A:全面性
B:文档化
C:先进性
D:制度化 67.关于安全审计目的描述错误的是____。
A:识别和分析未经授权的动作或攻击
B:记录用户活动和系统管理 C:将动作归结到为其负责的实体
D:实现对安全事件的应急响应
60.安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于____措施
A:保护
B:检测
C:响应
D:恢复 80.信息安全评测标准CC是____标准。
A:美国
B:国际
C:英国
D:澳大利亚
42.下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。
A:杀毒软件
B:数字证书认证
C:防火墙
D:数据库加密
79.相对于现有杀毒软件在终端系统中提供保护不同,____在内外网络边界处提供更加主动和积极的病毒保护。
等级保护
8.GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础。
34.信息系统的安全保护等级由各业务子系统的最高等级决定。47.信息系统安全等级划分第五级为自主保护级。
48.我国在1999年发布的国家标准____为信息安全等级保护奠定了基础。
A:GB 17799
B:GB 15408
C:GB 17859
D:GB 14430 49.信息安全等级保护的5个级别中,____是最高级别,属于关系到国计民生的最关键信息系统的保护。
A:强制保护级
B:专控保护级
C:监督保护级
D:指导保护级
E:自主保护级 50.____是进行等级确定和等级保护管理的最终对象。
A:业务系统
B:功能模块
C:信息系统
D:网络系统
51.当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由____所确定。
A:业务子系统的安全等级平均值
B:业务子系统的最高安全等级
C:业务子系统的最低安全等级
D:以上说法都错误
60.根据BS 7799的规定,对信息系统的安全管理不能只局限于对其运行期间的管理维护,而要将管理措施扩展到信息系统生命周期的其他阶段,BS7799中与此有关的一个重要方面就
A:防火墙
B:病毒网关
C:IPS
D:IDS 是____。
A:访问控制
B:业务连续性
C:信息系统获取、开发与维护
D:组织与人员 61.如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的____。
A:强制保护级
B:监督保护级
C:指导保护级
D:自主保护级
63.如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于____。
A:强制保护级
B:监督保护级
C:指导保护级
D:自主保护级
80.《信息系统安全等级保护基本要求》中,对不同级别的信息系统应具备的基本安全保护能力进行了要求,共划分为____级。
风险管理
16.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。
18.定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。25.通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。26.脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。
52.下列关于风险的说法,____是错误的。
A:风险是客观存在的B:导致风险的外因是普遍存在的安全威胁 C:导致风险的外因是普遍存在的安全脆弱性
D:风险是指一种可能性 53.风险管理的首要任务是____。
A:风险识别和评估
B:风险转嫁
C:风险控制
D:接受风险 54.安全威胁是产生安全事件的____。
A:内因
B:外因
C:根本原因
D:不相关因素 55.安全脆弱性是产生安全事件的____。
A:内因
B:外因
C:根本原因
D:不相关因素 54.关于资产价值的评估,____说法是正确的。
A:资产的价值指采购费用
B:资产的价值无法估计
C:资产价值的定量评估要比定性评估简单容易
D:资产的价值与其重要性密切相关 67.根据风险管理的看法,资产具有价值,存在脆弱性,被安全威胁____,____风险。
A:4
B:5
C:6
D:7 A:存在 利用
B:利用 导致
C:导致 存在 D:存在 具有
合规
6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。
12.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。
17.一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。N 21.我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。
22.信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。
23.美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT系统风险管理内容。42.安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。
68.根据《计算机信息系统国际联网保密管理规定》的规定,凡向国际联网的站点提供或发布信息,必须经过____。
A:内容过滤处理
B:单位领导同意
C:备案制度
D:保密审查批准 45.《计算机信息系统安全保护条例》是由中华人民共和国____第147号发布的。
A:国务院令
B:全国人民代表大会令
C:公安部令
D:国家安全部令
61.根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行____。A:逻辑隔离
B:物理隔离
C:安装防火墙
D:VLAN划分 64.GB l7859借鉴了TCSEC标准,这个TCSEC是____国家标准。
A:英国
B:意大利
C:美国
D:俄罗斯
73.《确保网络空间安全的国家战略》是____发布的国家战略。A:英国
B:法国
C:德国
D:美国
认证
7.windows2000/XP系统提供了口令安全策略,以对帐户口令安全进行保护。
9.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。
10.PKI系统所有的安全操作都是通过数字证书来实现的。
11.PKI系统使用了非对称算法、对称算法和散列算法。
28.口令管理方式、口令设置规则、口令适应规则等属于口令管理策略。
56.在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解
用户帐户,下列____具有最好的口令复杂度。
A:morrison
B:Wm.$*F2m5@
C:27776394
D:wangjingl977 62.关于口令认证机制,下列说法正确的是____。
A:实现代价最低,安全性最高
B:实现代价最低,安全性最低 C:实现代价最高,安全性最高
D:实现代价最高,安全性最低 63.身份认证的含义是____。
A:注册一个用户
B:标识一个用户
C:验证一个用户
D:授权一个用户 64.口令机制通常用于____。
A:认证
B:标识
C:注册
D:授权
73.基于密码技术的访问控制是防止____的主要防护手段。
A:数据传输泄密
B:数据传输丢失
C:数据交换失败
D:数据备份失败 75.____是最常用的公钥密码算法。
A:RSA
B:DSA
C:椭圆曲线
D:量子密码 76.PKI的主要理论基础是____。56.PKI是____。
A:对称密码算法
B:公钥密码算法
C:量子密码
D:摘要算法 A:Private Key lnfrastructure
B:Public Key lnstitute C:Public Key lnfrastructure
D:Private Key lnstitute 57.PKI所管理的基本元素是____。
A:密钥
B:用户身份
C:数字证书
D:数字签名 77.PKI中进行数字证书管理的核心组成模块是____。
A:注册中心RA
B:证书中心CA
C:目录服务器
D:证书作废列表 77.我国正式公布了电子签名法,数字签名机制用于实现____需求。A:抗否认
B:保密性
C:完整性
D:可用性
多选题
81.在互联网上的计算机病毒呈现出的特点是____。B:所有的病毒都具有混合型特征,破坏性大大增强
C:因为其扩散极快,不再追求隐蔽性,而更加注重欺骗性 D:利用系统漏洞传播病毒E:利用软件复制传播病毒
82.在刑法中,____规定了与信息安全有关的违法行为和处罚依据。A:第285条
B:第286条
C:第280条
D:第287条
83.____可能给网络和信息系统带来风险,导致安全事件。
A:与因特网更加紧密地结合,利用一切可以利用的方式进行传播
A:计算机病毒
B:网络入侵
C:软硬件故障
D:人员误操作
E:不可抗灾难事件
84.____安全措施可以有效降低软硬件故障给网络和信息系统所造成的风险。
85.目前,我国在对信息系统进行安全等级保护时,划分了5个级别,包括____。
A:专控保护级
B:强制保护级
C:监督保护级
D:指导保护级
E:自主保护级
86.下列____因素,会对最终的风险评估结果产生影响。
87.下列____因素与资产价值评估有关。
A:购买资产发生的费用
B:软硬件费用
C:运行维护资产所需成本 D:资产被破坏所造成的损失
E:人工费用
A,C,D
88.安全控制措施可以分为____。
A:管理类
B:技术类
C:人员类
D:操作类
E:检测类
89.信息安全技术根据信息系统自身的层次化特点,也被划分了不同的层次,这些层次包括____。
A:物理层安全
B:人员安全
C:网络层安全
D:系统层安全
E:应用层安全
90.在BS 7799中,访问控制涉及到信息系统的各个层面,其中主要包括____。
A:物理访问控制
B:网络访问控制
C:人员访问控制
D:系统访问控制
E:应用访问控制
91.关于入侵检测和入侵检测系统,下述正确的选项是____。A:入侵检测收集信息应在网络的不同关键点进行 B:入侵检测的信息分析具有实时性
C:基于网络的入侵检测系统的精确性不及基于主机的入侵检测系统的精确性高 D:分布式入侵检测系统既能检测网络的入侵行为又能检测主机的入侵行为 E:入侵检测系统的主要功能是对发生的入侵事件进行应急响应处理
92.《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不得制作、复制、发布、传播的信息内容有____。A:损害国家荣誉和利益的信息
A:管理制度
B:资产价值
C:威胁
D:脆弱性
E:安全措施
A:双机热备
B:多机集群
C:磁盘阵列
D:系统和数据备份
E:安全审计 B:个人通信地址 C:个人文学作品 D:淫秽、色情信息
E:侮辱或者诽谤他人,侵害他人合法权益的信息
93.基于角色对用户组进行访问控制的方式有以下作用:____。A:使用户分类化
B:用户的可管理性得到加强
C:简化了权限管理,避免直接在用户和数据之间进行授权和取消 D:有利于合理划分职责 E:防止权力滥用
C,D,E
94.有多种情况能够泄漏口令,这些途径包括____。A:猜测和发现口令 B:口令设置过于复杂 C:将口令告诉别人 D:电子监控
E:访问口令文件
95.在局域网中计算机病毒的防范策略有____。A:仅保护工作站 B:保护通信系统 C:保护打印机 D:仅保护服务器
E:完全保护工作站和服务器
A,D,E
96.根据IS0定义,信息安全的保护对象是信息资产,典型的信息资产包括____。
A:硬件
B:软件
C:人员
D:数据
E:环境
B,C
97.治安管理处罚法规定,____行为,处5日以下拘留;情节较重的,处5日以上10日以下拘留。
A:违反国家规定,侵入计算机信息系统,造成危害的
B:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的
C:违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的
D:故意制作、传播计算机病毒等破坏性程序,影口向计算机信息系统正常运行的 A,B,C,D
98.网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在____。
A:关键服务器主机
B:网络交换机的监听端口
C:内网和外网的边界
D:桌面系统
E:以上都正确
B,C
99.IPSec是网络层典型的安全协议,能够为IP数据包提供____安全服务。
A:保密性
B:完整性
C:不可否认性
D:可审计性
E:真实性
A,B,E
100.信息安全策略必须具备____属性。
A:确定性
B:正确性
C:全面性
D:细致性
E:有效性
83.与计算机有关的违法案件,要____,以界定是属于行政违法案件,还是刑事违法案件。A:根据违法行为的情节和所造成的后果进行界定 B:根据违法行为的类别进行界定 C:根据违法行为人的身份进行界定 D:根据违法行为所违反的法律规范来界定
84.互联网服务提供者和联网使用单位应当落实的互联网安全保护技术措施包括____。
A:防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施 B:重要数据库和系统主要设备的冗灾备份措施
C:记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的技术措施
D:法律、法规和规章规定应当落实的其他安全保护技术措施
A,B,C,D
85.典型的数据备份策略包括____。
86.我国信息安全等级保护的内容包括____。些信息的信息系统分等级实行安全保护
A:对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这
A:完全备份
B:增量备份
C:选择性备份
D:差异备份
E:手工备份
A,B,D
A,B,D
A,C,E B:对信息系统中使用的信息安全产品实行按等级管理 C:对信息安全从业人员实行按等级管理
D:对信息系统中发生的信息安全事件按照等级进行响应和处置E:对信息安全违反行为实行按等级惩处
89.物理层安全的主要内容包括____。
A:环境安全
B:设备安全
C:线路安全
D:介质安全
E:人员安全
A,B,D
90.计算机信息系统安全的三个相辅相成、互补互通的有机组成部分是____。A:安全策略
B:安全法规
C:安全技术
D:安全管理
A,B,D
93.PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的____的总和。A:硬件
B:软件
C:人员
D:策略
E:规程
A,B,C,D,E
94.全国人民代表大会常务委员会《关于维护互联网安全的决定》规定,为了维护社会主义市场经济秩序和社会管理秩序,____行为,构成犯罪的,依照刑法有关规定追究刑事责任。A:利用互联网销售伪劣产品或者对商品、服务作虚假宣传 B:利用互联网侵犯他人知识产权
C:利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息
D:利用互联网损害他人商业信誉和商品声誉
E:在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片
96.____是建立有效的计算机病毒防御体系所需要的技术措施。
A:杀毒软件
B:补丁管理系统
C:防火墙
D:网络入侵检测
E:漏洞扫描 A,B,C,D,E
97.在安全评估过程中,安全威胁的来源包括____。
98.在信息安全管理中进行安全教育与培训,应当区分培训对象的层次和培训内容,主要包括____。
A:高级管理层
B:关键技术岗位人员
C:第三方人员
D:外部人员
E:普通计算机用户
A,B,E
100.涉密安全管理包括____。
A:外部黑客
B:内部人员
C:信息技术本身
D:物理环境
E:自然界
A,B,C,D,E A,B,C,D,E
A,B,D A:涉密设备管理
B:涉密信息管理
C:涉密人员管理
D:涉密场所管理
E:涉密媒体管理 B,C,D,E