信息安全工程 信息系统安全工程过程共46页

信息安全等级保护管理办法(新版)Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production.( 安全管理 )单位：______________________姓名：______________________日期：______________________编号：AQ-SN-0657信息安全等级保护管理办法(新版)第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

SSE-CMMSSE-CMM的内涵SSE-CMM为Systems security engineering Capability maturity model的缩写。

中文名称为系统安全工程能力成熟模型。

SSE-CMM是一个过程参考模型。

SSE-CMM的目的不是规定组织使用的具体过程,更不必说具体的方法。

而是希望准备使用SSE-CMM的组织利用其现有的过程——那些以其他任何信息技术安全指导文件为基础的过程。

本标准的范围包括：涉及整个生存周期的安全产品或可信系统的系统安全工程活动：概念定义、需求分析、设计、开发、集成、安装、运行、维护以及最终退役；对产品开发商、安全系统开发和集成商,以及提供计算机安全服务和计算机安全工程组织的要求；适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。

SSE-CMM（系统安全工程能力成熟模型）简介过去人们在开发安全系统过程中往往只重视产品或系统本身的标准化问题，但却忽视了开发过程本身的标准化问题。

如何提高开发过程的能力，如何使过程本身标准化、规范化，越来越引起人们的重视。

为了改变这种状况，一个不同于以往的概念逐渐被接受，即一个系统或产品的性能取决于其过程能力［1］。

系统安全工程能力成熟模型（SSE-CMM）的构想是在1993 年4月由美国国家安全局（NSA）提出来的。

在美国国家安全局、美国国防部、加拿大通信安全局的号召和推动下，汇聚了超过60 个厂家，集中了大量的人力、物力和财力对该构想进行了开发实施，并于1996 年10 月出版了SSE-CMM模型的第一个版本，1997 年4 月出版了评定方法SSAM 的第一个版本；1999 年4 月发布了SSECMM和SSAM 的2.0 版本［2］。

SSE-CMM模型通过“过程能力”这一指标来对工程队伍的能力进行评估。

“过程能力”是通过执行这一过程，所得到的结果之质量的变化范围。

其变化的范围越小，执行该过程的队伍越“成熟”。

注册信息安全专业人员（CISP）知识体系大纲发布日期：2009年5月1日版本：1.2中国信息安全测评中心©版权2009—中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件，请与中国信息安全测评中心信息系统测评服务部接洽。

在中国信息安全测评中心网址：上可获取本文件。

版权©版权2008—中国信息安全测评中心联系信息关于中国信息安全测评中心（CNITSEC）信息安全人员培训相关的更多信息，请与中国信息安全测评中心（CNITSEC）联系：联系方式：中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电话】【传真】(010)【电子邮件】目录目录.................................................................................................................. I I 图表. (IV)注册信息安全专业人员（CISP）知识体系介绍 (1)第1 章注册信息安全专业人员（CISP）知识体系概述 (2)1.1 CISP资质证书介绍 (2)1.2 CISP知识体系介绍 (2)1.2.1 概述 (2)1.2.2 CISP知识体系框架结构介绍 (4)1.2.3 CISP（CISE/CISO/CISA）考试的知识体系结构介绍 (6)第2 章知识类：信息安全体系和模型 (8)2.1 概述 (8)2.2 原理说明 (9)2.2.1 概述 (9)2.2.2 知识体：安全体系 (9)2.2.3 知识体：信息安全模型 (11)2.3 知识体系大纲 (12)2.3.1 BD（知识体）：信息安全体系 (12)2.3.2 BD（知识体）：信息安全模型 (12)第3 章知识类：信息安全技术 (14)3.1 概述 (14)3.2 原理说明 (14)3.2.1 概述 (14)3.2.2 知识体：信息安全技术机制 (15)3.2.3 知识体：信息和通信技术（ICT）安全 (16)3.2.4 知识体：信息安全实践 (17)3.3 知识体系大纲 (18)3.3.1 BD（知识体）：信息安全技术机制 (18)3.3.2 BD（知识体）：信息和通信技术（ICT）安全 (19)3.3.3 BD（知识体）：信息安全实践 (21)第4 章知识类：信息安全管理 (23)4.1 概述 (23)4.2 原理说明 (23)4.2.1 概述 (23)4.2.2 知识体：安全管理体系 (24)4.2.3 知识体：关键安全管理过程 (24)4.3 知识体系大纲 (25)4.3.1 BD（知识体）：安全管理基础 (25)4.3.2 BD（知识体）：关键安全管理过程 (26)第5 章知识类：信息安全工程 (28)5.1 概述 (28)5.2 原理说明 (28)5.2.1 概述 (28)5.2.2 知识体：安全工程基础 (29)5.2.3 知识体：安全工程过程和实践 (29)5.2.4 知识体：项目管理过程和实践 (30)5.3 知识体系大纲 (30)5.3.1 BD（知识体）：安全工程基础 (30)5.3.2 BD（知识体）：安全工程过程和实践 (30)5.3.3 BD（知识体）：项目管理过程和实践 (30)第6 章知识类：信息安全标准和法律法规 (31)6.1 概述 (31)6.2 原理说明 (31)6.3 知识体系大纲 (32)6.3.1 BD（知识体）：概述 (32)6.3.2 BD（知识体）：信息系统相关标准 (32)6.3.3 BD（知识体）：道德规范 (32)6.3.4 BD（知识体）：信息安全标准 (32)6.3.5 BD（知识体）：信息安全法律法规 (33)图表图表1-1：CISP知识体系的组件模块结构 (4)图表1-2：CISP知识体系结构框架 (6)图表2-1：信息安全体系和模型知识类（PT）的知识体系结构概述 (8)图表2-2：信息安全体系和模型知识类（PT）的知识体系结构详细描述 (9)图表2-3：知识体-安全体系原理：信息安全保障模型 (10)图表2-4：知识体：安全模型原理说明 (11)图表3-1：信息安全技术知识类（PT）的知识体系结构概述 (14)图表3-2：知识体：信息安全技术机制原理说明 (16)图表3-3：知识体：信息和通信技术（ICT）安全原理说明 (17)图表3-4：知识体：信息安全实践原理说明 (18)图表4-1：信息安全管理知识类（PT）的知识体系结构概述 (23)图表4-2：知识体：安全管理体系说明 (24)图表4-3：知识体：关键安全管理过程原理说明 (25)图表5-1：信息安全工程知识类（PT）的知识体系结构概述 (28)图表5-2：信息系统安全工程标准背景 (29)图表6-1：信息安全标准和法律法规知识类（PT）的知识体系结构概述 (31)注册信息安全专业人员（CISP）知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员（CISP）考试大纲的结构和内容。

xx有限公司记录编号005创建日期2015年8月16日信息系统安全风险评估报告文档密级更改记录时间更改内容更改人项目名称：XXX风险评估报告被评估公司单位：XXX有限公司参与评估部门：XXXX委员会一、风险评估项目概述1.1工程项目概况1.1.1建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间201X年8月5日项目试运行时间2015年1-6月1.2风险评估实施单位基本情况评估单位名称XXX有限公司二、风险评估活动概述2.1风险评估工作组织管理描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。

2.2风险评估工作过程本次评估供耗时2天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。

1.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有：序号法律、法规及其他要求名称颁布时间实施时间颁布部门全国人大常委会关于维护互联12000.12.282000.12.28全国人大常委会网安全的决定中华人民共和国计算机信息系21994.02.181994.02.18国务院第147号令统安全保护条例中华人民共和国计算机信息网31996.02.011996.02.01国务院第195号令络国际联网管理暂行规定中华人民共和国计算机软件保42001.12.202002.01.01国务院第339号令护条例中华人民共和国信息网络传播52006.05.102006.07.01国务院第468号令权保护条例中华人民共和国计算机信息网国务院信息化工作领导61998.03.061998.03.06络国际联网管理暂行规定实施小组办法计算机信息网络国际联网安全71997.12.161997.12.30公安部第33号令保护管理办法计算机信息系统安全专用产品81997.06.281997.12.12公安部第32号令检测和销售许可证管理办法9计算机病毒防治管理办法2000.03.302000.04.26公安部第51号令10恶意软件定义2007．06.272007．06.27中国互联网协会11抵制恶意软件自律公约2007．06.272007．06.27中国互联网协会计算机信息系统保密管理暂行121998.2.261998.02.26国家保密局规定计算机信息系统国际联网保密132000.01.012000.01.01国家保密局管理规定中华人民共和国工业和14软件产品管理办法2000.10.082000.10.08信息化部互联网等信息系统网络传播视152004.06.152004.10.11国家广播电影电视总局听节目管理办法16互联网电子公告服务管理规定2000.10.082000.10.08信息产业部信息系统工程监理工程师资格172003年颁布2003.03.26信息产业部管理办法信息系统工程监理单位资质管182003.03.262003.04.01信息产业部理办法19电子认证服务管理办法2009.02.042009.03.31信息产业部关于印发《国家电子信息产业基中华人民共和国信息产202008.03.042008.03.04地和产业园认定管理办法（试业部行）》的通知21计算机软件著作权登记收费项1992.03.161992.04.01机电部计算机软件登记办目和标准公室22中国互联网络域名管理办法2004.11.052004.12.20信息产业部全国人民代表大会常务委23中华人民共和国专利法2010.01.092010.02.01员24中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请的规定2010.08.272010.10.01国家知识产权局26中华人民共和国著作权法2010.02.262010.02.26全国人大常委会中华人民共和国著作权法实施272002.08.022002.9.15国务院第359号令条例28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令中华人民共和国保守国家秘密312010.04.292010.10.01全国人大常委会法32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会中华人民共和国商用密码管理331999.10.071999.10.07国务院第273号令条例34消防监督检查规定2009.4.302009.5.1公安部第107号中华人民共和国公安部35仓库防火安全管理规则1990.03.221994.04.10令第6号36地质灾害防治条例2003.11.242004.03.01国务院3９4号国家电力监管委员会第2 37《电力安全生产监管办法》2004.03.092004.03.09号华人民共和国主席令第二38中华人民共和国劳动法2007.06.292008.1.1十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放2001.10.262001.01.01劳动和社会保障部中华人民共和国企业劳动争议411993.06.111993.08.01国务院处理条例1.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限制条件。

信息系统代码安全测评与监理信息系统安全测评是保障信息系统安全工程质量的必要技术措施之一。

通过安全测评，检查系统的设计、集成、安全策略的整体规划和设计、安全管理的具体实施、安全监控的各种策略以及日常操作安全和安全应急响应等各个方面，降低系统的安全风险。

信息系统安全测评在监理中的作用对信息系统安全工程而言，由于其复杂度和专业化程度很高，对它的效果评价就显得尤为重要。

在这方面，北京市率先以政府令的形式提出了“投资200万元以上的重大信息化工程建设项目必须通过系统安全测评，否则不得投入使用”。

在工程验收阶段，信息系统安全测评的作用是为安全监理提供必要的信息系统安全性评价依据。

信息系统安全专业测评机构出具的安全测评报告有助于监理单位及时发现信息系统中存在的安全缺陷和安全隐患，以便监理单位及时和信息系统承建单位协调，按照系统安全目标提出整改意见，以期系统按照标准达到预期的、满足建设单位需求的和国家有关规范的安全指标。

信息安全测评标准近几年，随着人类对信息网络设施依赖程度的提高和信息安全形势的日益严峻，世界各国都在加紧出台信息安全评估标准。

目前，国外主要的信息安全标准包括：（1）美国TCSEC（可信计算机系统评估准则）：该标准是美国国防部于1985年制定的，为计算机安全产品的测评提供了测试和方法，指导信息安全产品的制造和应用。

它将安全分为4个方面（安全政策、可核查性、安全保证和文档）和7个安全级别（从低到高依次为D、C1、C2、B1、B2、B3和A级）。

（2）欧洲ITSEC（信息技术安全评估准则）：1991年，西欧四国（英、法、德、荷）提出了信息技术安全评价准则（ITSEC），ITSEC首次提出了信息安全的保密性、完整性、可用性概念，把可信计算机的概念提高到可信信息技术的高度上。

它定义了从E0级（不满足品质）到E6级（形式化验证）的7个安全等级和10种安全功能。

（3）美国联邦准则FC（信息技术安全性评价联邦准则）：1993年，美国发布了“信息技术安全性评价联邦准则”（FC）。

X市X税务X网络安全应知应会试题一、单项题1.《中华人民共和国网络安全法》施行时间（B）。

A.2016年11月7日B.2017年6月1日C.2016 年12 月31 日D.2017年1月1日2.所有网络产品、服务应当符合相关（A）的强制性要求。

A国家标准B行业标准C企业标准D法律3.“网络空间主权”是我国（A）首次提出的概念。

A.《国家安全法》B.《网络安全法》C.《宪法》D.《刑法》4.国家（B）负责统筹协调网络安全工作和相关监督管理工作。

A.公安部门B.网信部门C.工业和信息化部门D.通讯管理部门5.《网络安全法》规定，网络运营者应当制定(A),及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

A.网络安全事件应急预案B.网络安全事件补救措施C.网络安全事件应急演练方案D.网站安全规章制度6.关键信息基础设施的运营者应当自行或者委托网络安全服务机构(B)对其网络的安全性和可能存在的风险检测评估。

A.至少半年一次B.至少一年一次C.至少两年一次D.至少每年两次7.计算机病毒是一种(A )，它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，随同文件一起蔓延。

A.计算机程序B.数据C.临时文件D.应用软件8.在网络安全领域中，我们常说的“钓鱼网站”是指（A ），它一般通过电子邮件、短信传播，不法分子通过它来窃取用户提交的银行账号、密码等私密信息，严重危害公众利益。

A.假冒网站B.钓鱼游戏网站C.病毒网站D.钓鱼论坛9.税务人员在使用移动存储介质前，（D）。

A.直接使用B.不得使用移动存储介质C.只能使用品牌的移动存储介质D.首先要对其进行病毒查杀，以避免病毒通过移动存储介质进行传播。

10.下列哪个措施是正确的（D）。

A.离开个人办公室时，终端计算机可以不锁定B.信息系统的账户和密码应妥善保存在桌面上C.领导带人参观机房不需要登记D.设备进出机房应建立台账11.以下哪种行为会造成违规外联（C）。

信息安全工程师岗位要求
信息安全工程师是负责企业或组织的信息系统和数据安全的专业人员。

随着互联网的普及和信息化进程的加快，信息安全问题成为企业发展过程
中最关键和最重要的问题之一、在这样的背景下，信息安全工程师的岗位
也日益受到重视。

以下是信息安全工程师岗位的主要要求。

1.学历和专业背景要求：
2.基本技能和知识要求：
信息安全工程师需要具备扎实的计算机基础知识和编程技能，熟悉各
类操作系统、网络协议和网络安全技术。

对于信息安全常见的攻击手段和
防御策略有深入的理解和应用能力。

同时，了解数据库、网站和系统安全
策略和安全加固方法。

3.安全技术和工具的掌握：
信息安全工程师需要熟练掌握各种常用的安全技术和工具，包括但不
限于防火墙、入侵检测和防御系统、安全审计和监控系统、加密和解密技术、安全认证和访问控制技术等。

能够根据企业或组织的实际情况选择和
应用适当的安全技术和工具。

4.漏洞分析和漏洞利用的能力：
5.安全策略的制定和执行：
6.监控和应急响应能力：
7.团队合作和沟通能力：
8.持续学习和不断更新知识：
信息安全领域的技术和攻击手段在不断发展和更新，信息安全工程师需要具备持续学习的意识和能力，保持对新技术和新方法的学习和掌握，不断提升自己的技术水平和知识储备。

总之，信息安全工程师需要具备广泛的基础知识和技能，同时还需要具备较高的安全意识和责任感，能够保护企业或组织的信息系统和数据安全。

这是一个重要而挑战性的岗位，需要持续学习和不断提升自己的能力来适应和应对不断变化的安全威胁。

铁路建设项目管理信息系统V2.0 Railway Construction Project Management Information System实施指导手册之五投资管理铁道部信息技术中心2007年3月目录第一章理论概述在批准的投资限额内完成工程项目建设是工程项目管理的目标之一。

所谓投资管理，就是采用科学的方法，在与质量、进度、安全、环保目标协调的基础上，为保证工程建设顺利实施和提高投资效益、资金使用效率，确保实现投资目标而进行的一系列管理活动。

投资管理的主要内容是确定投资目标、进行项目投资的计划管理、统计管理和概算对照等。

计划管理的功能是依据上级下达的投资计划和工程的进度要求，合理安排工程进度和投资计划，综合平衡各种资源配置，以保证建设项目总体目标和阶段目标的实现。

支持建设单位进行计划的编报、下达、调整和对执行情况进行检查、监督和考核。

统计管理的功能是按照铁道部的现行规定和项目的实际情况，支持建设单位规范、及时、准确地进行项目投资方面的统计工作。

包括规范项目的统计范围、指标体系、统计口径和计算方法，及时、准确地统计、分析和反映建设规模、投资结构、工程进展、投资效果等方面的情况和问题。

充分发挥投资管理在工程项目建设中的支持和监督作用。

概算对照的功能是为建设单位提供招标概算、鉴修概算与合同进行收支分析，支持建设单位及时把握验工计价及支付情况、掌握资金流动和投资控制情况。

投资管理的依据是：（1）国家和相关部委颁布的有关建设、投资、财务、计划、统计和审计等方面的法律、法规和相关规定。

（2）建设项目的总体目标和阶段目标，上级下达的项目投资总额、年度投资计划，以及工程进度计划等。

（3）铁道部和地方政府、项目投资人和建设单位及其上级单位的报表需求。

第二章系统介绍2.1 系统设计原理（1）工程建设投资计划管理工作应遵循“统筹安排，静态控制，动态管理，各负其责”的原则，对计划的编报、下达、调整和对执行情况进行检查监督和考核。

《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）（“第九条计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”）计算机信息系统安全保护等级划分准则（GB 17859-1999）（“第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级”）国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）关于信息安全等级保护工作的实施意见（公通字[2004]66号）信息安全等级保护管理办法（公通字[2007]43号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安[2009]1429号）中华人民共和国网络安全法（2017年6月1日发布）十大重要标准计算机信息系统安全等级保护划分准则（GB 17859-1999）（基础类标准）信息系统安全等级保护实施指南（GB/T 25058-2010）（基础类标准）信息系统安全保护等级定级指南（GB/T 22240-2008）（应用类定级标准）信息系统安全等级保护基本要求（GB/T 22239-2008）（应用类建设标准）信息系统通用安全技术要求（GB/T 20271-2006）（应用类建设标准）信息系统等级保护安全设计技术要求（GB/T 25070-2010）（应用类建设标准）信息系统安全等级保护测评要求（GB/T 28448-2012）（应用类测评标准）信息系统安全等级保护测评过程指南（GB/T 28449-2012）（应用类测评标准）信息系统安全管理要求（GB/T 20269-2006）（应用类管理标准）信息系统安全工程管理要求（GB/T 20282-2006）（应用类管理标准）其它相关标准GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/T 20985-2007 信息安全技术信息安全事件管理指南GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南GB/T 20988-2007 信息安全技术信息系统灾难恢复规范信息系统安全等级保护三、二级评测内容等级保护自上而下分别为：类、控制点和项。

网络安全考试卷31.系统安全工程不包含以下哪个过程类：答案：（）.A、工程过程类B、组织过程类C、管理过程类(正确答案)D、项目过程类2.下列哪一项是虚拟专用网络（VPN）的安全功能？答案：（）.A、验证，访问控制和密码B、隧道，防火墙和拨号C、加密，鉴别和密钥管理(正确答案)D、压缩，解密和密码3.下述选项中对于“风险管理”的描述正确的是：答案：（）.A、安全必须是完美无缺、面面俱到的B、最完备的信息安全策略就是最优的风险管理对策C、在应对信息安全风险时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍(正确答案)D、防范不足就会造成损失E、防范过多就可以避免损失4.信息安全管理者需要完成方方面面的繁杂工作，这些日常工作根本的目标是：答案：（）.A、避免系统软硬件的损伤B、监视系统用户和维护人员的行为C、保护组织的信息资产(正确答案)D、给入侵行为制造障碍，并在发生入侵后及时发现、准确记录5.一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的规范的定义？答案：（）.A、2级——计划和跟踪B、3级——充分定义(正确答案)C、4级——量化控制D、5级——持续改进6.在某个攻击中，由于系统用户或系统管理员主动泄露，使得攻击者可以访问系统资源的行为被称作：答案：（）.A、社会工程(正确答案)B、非法窃取C、电子欺骗D、电子窃听7.以下关于windows SAM（安全账号管理器）的说法错误的是：答案：（）.A、安全账号管理器（SAM）具体表现就是%SystemRoot%system32configsamB、安全账号管理器（SAM）存储的账号信息是存储在注册表中C、安全账号管理器（SAM）存储的账号信息对administrator和system是可读和可写的(正确答案)D、安全账号管理器（SAM）是windows的用户数据库，系统远程通过Security Accounts Manager服务进行访问和操作8.在UNIX系统中输入命令“ls -al test”显示如下“-rwxr-xr-x 3 rool root 1024 Sep 13 11 58 test”对它的含义解释错误的是：答案：（）.A、这是一个文件，而不是目录B、文件的拥有者可以对这个文件进行读、写和执行的操作C、文件所属组的成员有可以读它，也可以执行它D、其它所有用户只可以执行它(正确答案)9.在PDCA模型中，ACT（处置）环节的信息安全管理活动是：答案：（）.A、建立环境B、实施风险处理计划C、持续的监视与评审风险D、持续改进信息安全管理过程(正确答案)10.Windows系统下，哪项不是有效进行共享安全的防护措施？答案：（）.A、使用net share 127.0.0.1 /delete 命令，删除系统中的等管理共享，并重启系统(正确答案)B、确保所有的共享都有高强度的密码防护C、禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值D、安装软件防火墙阻止外部对共享目录的连接11.我国信息安全标准化技术委员会（TC260）目前下属6个工作组，其中负责信息安全管理的小组是：答案：（）.A、WG 1B、WG 7(正确答案)C、WG 3D、WG 512.以下哪个攻击步骤是IP欺骗（IP Spoof）系列攻击中最关键和难度最高的？答案：（）.A、对被冒充的主机进行拒绝服务攻击，使其无法对目标主机进行响应B、与目标主机进行会话，猜测目标主机的序号规则(正确答案)C、冒充受信主机想目标主机发送数据包，欺骗目标主机D、向目标主机发送指令，进行会话操作13.触犯新刑法285条规定的非法侵入计算机系统罪可判处答案：（）.A、三年以下有期徒刑或拘役(正确答案)B、1000元罚款C、三年以上五年以下有期徒刑D、10000元罚款14.ISO27002、ITIL和COBIT在IT管理内容上各有优势、但侧重点不同，其各自重点分别在于：答案：（）.A、IT安全控制、IT过程管理和IT控制和度量评价(正确答案)B、IT过程管理、IT安全控制和IT控制和度量评价C、IT控制和度量评价、IT安全控制和IT安全控制D、IT过程管理、IT控制和度量评价、IT安全控制15.下列哪一项不是信息安全漏洞的载体？答案：（）.A、网络协议B、操作系统C、应用系统D、业务数据(正确答案)16.下面哪一项是对IDS的正确描述？答案：（）.A、基于特征（Signature-based）的系统可以检测新的攻击类型B、基于特征（Signature-based）的系统比基于行为（behavior-based）的系统产生更多的误报C、基于行为（behavior-based）的系统维护状态数据库来与数据包和攻击相匹配D、基于行为（behavior-based）的系统比基于特征（Signature-based）的系统有更高的误报(正确答案)17.下面对访问控制技术描述最准确的是：答案：（）.A、保证系统资源的可靠性B、实现系统资源的可追查性C、防止对系统资源的非授权访问(正确答案)D、保证系统资源的可信性18.以下关于CC标准说法错误的是：答案：（）.A、通过评估有助于增强用户对于IT产品的安全信息B、促进IT产品和系统的安全性C、消除重复的评估D、详细描述了安全评估方法学(正确答案)19.下列哪一项与数据库的安全有直接关系？答案：（）.A、访问控制的粒度(正确答案)B、数据库的大小C、关系表中属性的数量D、关系表中元组的数量20.以下哪一项不是应用层防火墙的特点？答案：（）.A、更有效的阻止应用层攻击B、工作在OSI模型的第七层C、速度快且对用户透明(正确答案)D、比较容易进行审计21.WPA2 包含下列哪个协议标准的所有安全特性？答案：（）.A、IEEE 802.11（ B ）.B、IEEE 802.11（ C ）.C、IEEED、IEEE 802.11i(正确答案)22.时间戳的引入主要是为了防止数据的答案：（）.A、死锁B、丢失C、重放(正确答案)D、拥塞23.根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中确立安全的置信度,并且把这样的置信度传递给顾客答案：（）.A、保证过程(正确答案)B、风险过程C、工程和保证过程D、安全工程过程24.下面对PDCA模型的解释不正确的是：答案：（）.A、通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动B、是一种可以应用于信息安全管理活动持续改进的有效实践方法C、也被称为“戴明环”D、适用于对组织整体活动的优化，不适合单个的过程以及个人(正确答案)25.以下哪项是对抗ARP欺骗有效的手段？答案：（）.A、使用静态的ARP缓存(正确答案)B、在网络上阻止ARP报文的发送C、安装杀毒软件并更新到最新的病毒库D、使用Linux系统提高安全26.下面对于信息安全事件分级的说法正确的是？答案：（）.A、对信息安全事件的分级可以参考信息系统的重要程度、系统遭受的损失大小和应急成本三个要素B、判断信息系统和重要程度主要考虑其用户的数量C、根据信息安全事件的分级考虑要是，将信息安全事件划分为：特别重大事件、重大事件、较大事件和一般事件四个级别(正确答案)D、信息安全事件分级可以完全由用户自行完成27.以下关于Linux 超级权限的说明，不正确的是：答案：（）.A、一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户来操作完成B、普通用户可以通过su和sudo来获得系统的超级权限C、对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才能进行(正确答案)D、root是系统的超级用户，无论是否为文件和程序的所有者都具有访问权限28.信息安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项安全策略文档中不包含的内容：答案：（）.A、说明信息安全对组织的重要程度B、介绍需要符合的法律法规要求C、信息安全技术产品的选型范围(正确答案)D、信息安全管理责任的定义29.以下哪个不是SDL的思想之一？答案：（）.A、SDL是持续改进的过程，通过持续改进和优化以适用各种安全变化，追求最优效果B、SDL要将安全思想和意识嵌入到软件团队和企业文化中C、SDL要实现安全的可度量性D、SDL是对传统软件开发过程的重要补充，用于完善传统软件开发中的不足(正确答案)30.组成IPSec的主要安全协议不包括以下哪一项？答案：（）.A、ESPB、DSS(正确答案)C、IKED、AH31.依据国家标准GB/T20274《信息系统安全保障评估框架》，在信息系统安全目标中，评估对象包括哪些内容？答案：（）.A、信息系统管理体系、技术体系、业务体系B、信息系统整体、信息系统安全管理，信息系统安全技术和信息系统安全工程(正确答案)C、信息系统安全管理、信息系统安全技术和信息系统安全工程D、信息系统组织机构、管理制度、资产32.以下关于“最小特权”安全管理原则理解正确的是：答案：（）.A、组织机构内的敏感岗位不能由一个人长期负责B、对重要的工作进行分解，分配给不同人员完成C、一个人有且仅有其执行岗位所足够的许可和权限(正确答案)D、防止员工由一个岗位变动到另一个岗位，累积越来越多的权限33.下面哪一项不是IDS的主要功能：答案：（）.A、监控和分析用户和系统活动B、统一分析异常活动模式C、对被破坏的数据进行修复(正确答案)D、识别活动模式以反映已知攻击34.ISSE《信息系统安全工程》是美国发布的IATF3.0版本中提出的设计和实施信息系统。