信息安全测试项列表

信息安全知识在线测试1.CIA指信息安全的三大要素，其中C、I、A依次代表（）保密性、完整性、可用性(正确答案)可控性、完整性、可用性保密性、即时性、可用性以上都不正确2.保证信息不被篡改，使信息能正确生成、存储以及传输，体现了信息安全的哪个性质？完整性(正确答案)即时性可控性保密性3.从信息系统安全角度处理信息安全问题，设备安全已然成为人们关注的重点，以下属于设备安全的要求的是稳定性可靠性可用性以上都是(正确答案)4.恶意程序事件是指蓄意制造、传播有害程序，或是因受到有害程序性的影响而导致的信息安全事件，下列选项中不属于恶意程序事件的是后门攻击事件(正确答案)计算机病毒事件蠕虫事件特洛伊木马事件5.规避技术是指能够绕过信息安全设备进行入侵，攻击或植入恶意软件到目标网络或系统而不被发现的技术。

关于规避技术，以下描述中不正确的是（）向目标主机发送的IP包中填充错误的字段值可以探测目标主机和网络设备构造的数据包长度只需要超过目标系统所在路由器的PMTU就可以探测内部路由器(正确答案)反向映射探测用于探测被过滤设备或防火墙保护的网络和主机规避技术利用被探测主机产生的ICMP错误报文来进行复杂的主机探测6.基于闭环控制的动态信息安全理论模型在1995年开始逐渐形成并得到了迅速发展，以下不属于信息系统安全运营模型的是（）PDRR模型WPDRRC模型PPDR模型SWOT模型(正确答案)7.密码学作为信息安全的关键技术，其安全目标主要包括三个非常重要的方面：保密性、完整性和可用性。

（）是确保信息仅被合法用户访问，二不被泄露给非授权的用户、实体或过程，或供其利用的特性。

保密性(正确答案)完整性可用性以上都不是8.密码学作为信息安全的关键技术，其安全目标主要包括三个非常重要的方面：保密性、完整性和可用性。

（）是指所有资源只能由授权方式以授权的方式进行修改，即信息未经授权不能进行改变的特性。

保密性完整性(正确答案)可用性以上都不是9.人员管理是信息安全管理体系的重要组成部分，下列关于人员管理的描述中错误的是（C）人员管理应该全面提升管理人员的业务素质、职业道德、思想素质等网络安全管理人员在通过法律意识的审查后，还需要进行适合的安全教育培训安全教育培训对象包含网络管理人员、研发人员等，不包括用户、管理者(正确答案)安全意识教育和安全技术教育都属于安全教育培训内容10.网络环境下的信息安全体系是保证信息安全的关键。

信息安全意识小测试第一篇：信息安全意识小测试信息安全意识小测试部门__________工号___________姓名____________日期___________一、单选题1.下列哪一项不属于信息资产的安全属性：（）A.机密性B.完整性C.有效性D.真实性2.信息安全“完整性”的意思是：（）A.数据在需要的时候应该可以被访问到C.数据只应被合适的人访问到B.数据包在传输时，不要立即关闭系统D.数据真实准确和不被未授权篡改3.如下哪个密码符合公司的要求？（）A.~!@#$%^&B.1qaz2wsxC.mypasswordD.s2&xU76nE.ilovey ouyBwHrU4.为什么需要定期修改密码？（）A.遵循公司的安全政策C.降低电脑受损的几率B.确保不会忘掉密码D.减少他人猜测到密码的机会5.当您准备登陆电脑系统时，有人在您的旁边看着您，您将如何：（）A.不理会对方，相信对方是友善和正直的B.友好的提示对方避让一下，不要看您的机密，如果不行，就用身体或其它物体进行遮挡C.凶狠地示意对方走开，并报告安全中心这人可疑。

D.在键盘上故意假输入一些字符，以防止被偷看二、连连看，将左右两边相匹配的内容用“—”线连接起来网络钓鱼应该得以保护，防止外泄客户的联系方式应该关闭电脑、退出登录或锁定屏幕不再有用的机密文档是一种企图获取用户帐户信息的骗局在离开座位之前应该通过碎纸机粉碎后进行回收三、您认为下列情况对信息安全的理解或行为是“正确”还是“错误”？1.信息安全是一个纯粹的有关技术的话题，只有计算机安全技术人员才能够处理任何保障数据和计算机安全的相关事宜。

_________2.进入部门内部打扫卫生的清洁工文化水平不高，所以他们把我们废弃的纸面文件拿走也看不懂，不会影响我们的安全。

___________3.小张担心电脑故障，把公司业务敏感数据备份到了自己的U盘上，U盘也经常借给熟人使用。

信息系统安全等级保护测评表单-三级技术类
控制敏感标记是否以默认方式生成或由安全员建立、维护和管理；
g) 应检查主要应用系统，查看是否依据安全策略严格控制用户对有敏感标
应用系统和数据
信息保护d) 应测试主要应用系统，用某用户登录系统并进行操作后，在该用户退出后用另一用户登录，试图操作（读取、修改或删除等）其他用户产生的文件、目录和数据库记录等资源，查看操作是否成功，验证系统提供的剩余
7.1.4应用安全所需的最小权限，特权用户的权限是否分离，权限之间是否相互制约；
施有哪些；
b) 应检查主要应用系统，查看是否限制单个帐户的多重并发会话；系统是
.4
c) 应检查设计/验收文档，查看其是否有关于释放或重新分配系统内文件
保密性业务数据是否采用加密或其他有效措施实现传输保密性，是否采用加密或其他有效措施实现存储保密性；
e) 应检查主要主机操作系统、主要网络设备操作系统、主要数据库管理系统和主要应用系统，查看其管理数据、鉴别信息和重要业务数据是否采用加密或其他有效措施实现传输和存储保密性；
息和重要业务数据是否采用加密或其他有效措施实现传输保密性，是否采.2。

序号标准号中文名称英文名称发布日期实施日期1GB/T 17900-1999网络代理服务器的安全技术要求Securitytechnicalrequirements forproxyserver1999-11-112000-5-12GB 17859-1999计算机信息系统安全保护等级划分准则Classifiedcriteriaforsecurityprotectionofcomputerinformation system1999-9-132001-01013GB/T 20008-2005信息安全技术 操作系统安全评估准则Information securitytechnology--Operatingsystemssecurityevaluationcriteria2005-11-112006-5-14GB/T 20009-2005信息安全技术 数据库管理系统安全评估准则Information securitytechnology-- Databasemanagementsystemssecurityevaluationcriteria2005-11-112006-5-15GB/T 20010-2005信息安全技术 包过滤防火墙评估准则Information securitytechnology-- Packetfilteringfirewallsevaluationcriteria2005-11-112006-5-16GB/T 20011-2005信息安全技术 路由器安全评估准则Information securitytechnology-- Routerssecurityevaluationcriteria2005-11-112006-5-17GB/T 20270-2006信息安全技术 网络基础安全技术要求Information securitytechnologyBasissecuritytechniquesrequirement fornetwork2006-5-312006-12-18GB/T 20271-2006信息安全技术 信息系统通用安全技术要求Information securitytechnologyCommonsecuritytechniquesrequirement forinformation system2006-5-312006-12-19GB/T 20272-2006信息安全技术 操作系统安全技术要求Information securitytechnologySecuritytechniquesrequirement foroperatingsystem2006-5-312006-12-110GB/T 20273-2006信息安全技术 数据库管理系统安全技术要求Information securitytechnologySecuritytechniquesrequirement fordatabasemanagementsystem2006-05-312006-12-111GB/T 20274.1-2006信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型Information securitytechnologyEvaluationframeworkforinformation systemssecurityassurancePart 1:Introduction andgeneralmodel2006-5-312006-12-112GB/T 20275-2006信息安全技术 入侵检测系统技术要求和测试评价方法Information securitytechnologyTechniquesrequirements andtestingandevaluationapproachesforintrusiondetectionsystem2006-5-312006-12-113GB/T 20276-2006信息安全技术 智能卡嵌入式软件安全技术要求（EAL4增强级）Information securitytechnologySecurityrequirements forsmartcardembeddedsoftware(EAL4+)2006-5-312006-12-114GB/T 20277-2006信息安全技术 网络和终端设备隔离部件测试评价方法Information securitytechnologyTestingandevaluationtechniquesofseparationcomponentsof networkandterminalequipment2006-5-312006-12-115GB/T 20278-2006信息安全技术 网络脆弱性扫描产品技术要求Information securitytechnologyTechniquerequirement fornetworkvulnerabilityscanners2006-5-312006-12-116GB/T 20279-2006信息安全技术 网络和终端设备隔离部件安全技术要求Information securitytechnologySecuritytechniquesrequirements ofseparationcomponentsof networkandterminalequipment2006-5-312006-12-117GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法Information securitytechnologyTestingandevaluationapproachesfornetworkvulnerabilityscanners2006-5-312006-12-118GB/T 20281-2006信息安全技术 防火墙技术要求和测试评价方法Information securitytechnologyTechniquerequirements andtestingandevaluationapproachesforfirewallproducts2006-5-312006-12-119GB/Z 20283-2006信息安全技术 保护轮廓和安全目标的产生指南Information securitytechnology- Guidefor theproductionof PPs andSTs2006-5-312006-12-120GB/T 18018-2007信息安全技术 路由器安全技术要求Information securitytechnology-Technicalrequirements forroutersecurity2007-6-132007-12-121GB/T 20945-2007信息安全技术 信息系统安全审计产品技术要求和评价方法Information securitytechnology-Technicalrequirements,testingandevaluationapproachesforinformation systemsecurityauditproducts2007-6-132007-12-122GB/T 20979-2007信息安全技术 虹膜识别系统技术要求Information securitytechnology-Technicalrquirements for irisidentificationsystem2007-6-182007-11-123GB/T 20983-2007信息安全技术 网上银行系统信息安全保障评估准则Information securitytechnology-Evaluationcriteriafor onlinebankinginformation systemssecurityassurance2007-6-142007-11-124GB/T 20987-2007信息安全技术 网上证券交易系统信息安全保障评估准则Information securitytechnology-EvaluationCriteriafor onlinestocktradinginformation systemssecurityassurance2007-6-142007-11-125GB/T 21028-2007信息安全技术 服务器安全技术要求Information securitytechnology- Securitytechniquesrequirement forserver2007-6-292007-12-126GB/T 21050-2007信息安全技术 网络交换机安全技术要求（评估保证级3）Information securitytechniques- Securityrequirements fornetworkswitch(EAL3)2007-8-242008-1-127GB/T 21052-2007信息安全技术 信息安全等级保护信息系统物理安全技术要求Information securitytechnology- Physicalsecuritytechnicalrequirement forinformation system2007-8-232008-1-128GB/T 21053-2007信息安全技术 PKI系统安全等级保护技术要求Information securitytechniques- Publickeyinfrastructure -Technologyrequirement forsecurityclassificationprotectionof PKIsystem2007-8-232008-1-129GB/T 21054-2007信息安全技术 PKI系统安全等级保护评估准则Information securitytechniques- Publickeyinfrastructure -Evaluationcriteriaforsecurityclassificationprotectionof PKIsystem2007-8-232008-1-130GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求Information securitytechnology- Baselineforclassifiedprotectionofinformation systemsecurity2008-6-192008-11-131GB/T 22240-2008信息安全技术 信息系统安全保护等级定级指南Information securitytechnology-Classification guideforclassifiedprotectionofinformation systemsecurity2008-6-192008-11-132GB/T 18336.1-2008信息技术 安全技术 信息技术安全性评估准则 第1部分: 简介和一般模型Informationtechnology- Securitytechniques-Evaluationcriteriafor ITsecurity -Part 1:Introduction andgeneralmodel2008-06-262008-11-133GB/T 18336.2-2008信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求Informationtechnology- Securitytechniques-Evaluationcriteriafor ITsecurity -Part 2:Securityfunctionalrequirements2008-6-262008-11-134GB/T 18336.3-2008信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求InformationTechnology- SecurityTechniques-Evaluationcriteriafor ITsecurity -Part 3:Securityassurancerequirements2008-06-262008-11-135GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分: 简介和一般模型Informationtechnology--Securitytechniques--Evaluationcriteriafor ITsecurity--Part1:Introduction andgeneralmodel2001-3-82001-12-136GB/T 18336.2-2001 信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求Informationtechnology--Securitytechniques--Evaluationcriteriafor ITsecurity--Part2:Securityfunctionalrequirements2001-3-82001-12-137GB/T 18336.3-2001 信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求Informationtechnology--Securitytechnology--Evaluationcriteriafor ITsecurity--Part3:Securityassurancerequirements2001-3-82001-12-1标准状态状态说明中标分类专业类型有效L80有效L09有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80失效已被GB/T 18336.1-2008替换L80失效已被GB/T 18336.1-2008替换L80失效已被GB/T 18336.1-2008替换L70摘要发布文件备注获取方式本标准规定了网络代理服务器的安全技术要求，并作为网络代理服务器的安全技术检测依据本标准规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

《信息安全》课程考试试卷（A卷）专业软件工程、计算机科学与技术、网络工程一、判断题（每小题2 分，共10分，对的打“”，错的打“”）题号12345答案二、选择题（每小题2分，共20分）题号12345678910 答案D C C B B B D C A D1、在身份认证方法中，下列哪种方法是“你是谁”的认证方式。

（ D ）A 口令B U盾C ATM卡D 指纹2、PKI是__ __。

（C ）A．Private Key Infrastructure B．Public Key InstituteC．Public Key Infrastructure D．Private Key Institute3、包过滤防火墙是指在网络模型当中的哪一层对数据包进行检查。

（C ）A 应用层B 传输层C 网络层D 数据链路层4、从安全属性对各种网络攻击进行分类，阻断攻击是针对的攻击。

（ B ）A. 机密性B. 可用性C. 完整性D. 真实性5、IPSec协议工作在____层次。

（ B ）A. 数据链路层B. 网络层C. 应用层 D 传输层5、内存保护是操作系统安全必须解决的基本问题之一，请阐述内存保护中最常用的两种方法“分段”和“分页”的优缺点答案：分段的优点：任何段都可以被置于任意的内存位置——只要内存空间足够大，可以容纳即可；段可以移动到内存中的不同位置，也可以方便的移进和移出内存；操作系统完全能够起到仲裁作用（因为所有的地址引用都必须通过操作系统）；缺点：段的尺寸是变长的；主要带来两个方面的问题：对于动态内存分配的段，操作系统必须保持对动态段尺寸的跟踪；内存碎片也是个潜在的问题（因为当通过整理压缩内存以便更好地利用可用的内存空间时，段表就会发生变化）。

分页的优点：固定长度解决了内存碎片和尺寸变长带来的问题；缺点：页没有逻辑上的统一，这使得要决定将适当的访问控制应用到给定的页上时，难度挺大。

四、设计题（20分）下图中我们给出了基于对称密钥的双向认证协议，其中Alice和Bob表示协议的双方，R A表示Alice发给Bob的随机数，R B表示Bob发给Alice的随机数，K表示Alice和Bob之间共享的对称密钥，E(R A,K)、E(R B,K)表示使用对称密钥K对随机数R A、R B进行加密。

物理安全物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。

主要涉及对象为主机房与灾备机房。

在内容上，物理安全层面测评实施过程涉及10个测评单元，具体如表1所示：表1物理安全单元测评实施内容网络安全网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的的网络安全保障情况。

主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。

在内容上，网络安全层面测评实施过程涉及7个测评单元，具体如表2所示：表2 网络安全单元测评实施内容主机系统安全主机系统安全测评将通过访谈、配置检查和工具测试的方式测评主机系统安全保障情况。

在内容上，主机系统安全层面测评实施过程涉及6个测评单元，具体如表3所示。

表3主机系统安全单元测评实施内容应用安全应用安全测评将通过访谈、配置检查和工具测试的方式测评应用安全保障情况。

在内容上，应用安全层面测评实施过程应用安全涉及9个测评单元，具体如表4所示。

表4 应用安全单元测评实施内容数据安全数据安全测评将通过访谈、配置检查和工具测试的方式测评数据安全保障情况。

在内容上，应用安全层面测评实施过程数据安全涉及3个测评单元，具体如表5所示。

表5 数据安全单元测评实施内容管理部分安全管理部分为全局性问题，涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。

其中，安全管理制度测评实施过程涉及3个测评单元，安全管理机构测评实施过程涉及5个测评单元，人员安全管理测评实施过程涉及5个测评单元，系统建设管理测评实施过程涉及11个测评单元，系统运维管理测评实施过程涉及13个测评单元等。

A安全管理制度安全管理制度方面的测评对象主要为安全主管人员、安全管理人员，具体如表6所示。

表6 安全管理制度单元测评实施内容安全管理机构安全管理机构方面的测评对象主要为安全主管人员、安全管理人员，具体如表7所示。

表7 安全管理机构单元测评实施内容人员安全管理安全管理机构方面的测评对象主要为安全主管人员、安全管理人员，具体如表8所示。