中电运行CISE模拟考卷二

1

为保障信息系统的安全，某经营公众服务的公司准备并编制一份针对性的信息安全保障方案，并将编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（ ）

A．信息安全需求报告应依据该公众服务信息系统的功能设计方案为主要内容来撰写

B．信息安全需求描述报告是设计和撰写信息安全保障方案的前提和依据

C．信息安全需求描述报告应当基于信息安全风险评估结果和有关政法法规和标准的合规性要求编写 D．信息安全需求描述报告的主体内容可以按照技术方面需求.管理方面需求和工程方面需求等分类展开编写 2

软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是：

A．在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实

B．在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足

C．确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码

D．在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行 3

在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测

量时，正确的理解是：

A．测量单位是基本实施(Base Practices，BP)

B．测量单位是通用实施(Generic Practices，GP)

C．测量单位是过程区域(Process Areas，PA)

D．测量单位是公共特征(Common Features，CF) 4

下面关于信息系统安全保障模型的说法不正确的是： A．国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》(GB／T 20274．1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心

B．模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化

C．信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全 D．信息系统安全保障主要是确保信息系统的保密性.完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入 5

关于信息安全保障技术框架(IATF)，以下说法不正确的是：

A．分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本

B．IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施

C．允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性

D．IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制

6

信息安全保障技术框架(Information Assurance Technical Framework，IATF)由美国国家安全局(NSA)发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是：

A．网络和基础设施区域边界重要服务器

B．网络和基础设施区域边界计算环境

C．网络机房环境 网络接口计算环境

D．网络机房环境 网络接口重要服务器 7

以下哪一项不是我国信息安全保障的原则：

A．立足国情，以我为主，坚持以技术为主

B．正确处理安全与发展的关系，以安全保发展，在发展中求安全

C．统筹规划，突出重点，强化基础性工作

D．明确国家.企业.个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系 8

我国信息安全保障建设包括信息安全组织与管理体制.基础设施.技术体系等方面，以下关于信息安全保障建设主要工作内容说法不正确的是：

A．健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障

B．建设信息安全基础设施，提供国家信息安全保障能力支撑

C．建立信息安全技术体系，实现国家信息化发展的自主创新

D．建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养

9

下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是：

A．确保采购定制的设备.软件和其他系统组件满足已定义的安全要求

B．确保整个系统已按照领导要求进行了部署和配置

C．确保系统使用人员已具备使用系统安全功能和安全特性的能力

D．确保信息系统的使用已得到授权 10

信息安全保障是网络时代各国维护国家安全和利益的首要任务，以下哪个国家最早将网络安全上长升为国家安全战略，并制定相关战略计划。

A．中国

B．俄罗斯

C．美国

D．英国 11

我国党和政府一直重视信息安全工作，我国信息安全保障工作也取得了明显成效，关于我国信息安全实践工作，下面说法错误的是（ ）

A．加强信息安全标准化建设，成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术，管理等方面的标准。

B．重视信息安全应急处理工作，确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展。

C．推进信息安全等级保护工作，研究制定了多个有关信息安全等级保护的规范和标准，重点保障了关系国定安全，经济命脉和社会稳定等方面重要信息系统的安全性。