2015《信息安全管理与评估》全国大赛考题

全国职业院校技能大赛信息安全管理与评估信息安全管理与评估是当今社会中非常重要的一项技能。

全国职业院校技能大赛为了培养优秀的信息安全管理专业人才，将此项技能列为比赛项目之一。

以下是信息安全管理与评估的相关内容。

信息安全管理是一项系统性的工作，其主要目的是保护信息系统中的数据、软件和硬件安全。

信息安全管理在现代社会中起着至关重要的作用。

它不仅能保护个人隐私和商业机密，还能保证政府机构、科研机构和各种组织机构的信息安全。

信息安全评估是评估信息系统和网络安全问题的过程。

信息安全评估通常包括三个方面：风险评估、安全检查和安全整改。

风险评估是通过分析系统存在的威胁和漏洞的潜在影响来确定安全等级和控制措施。

安全检查是检查系统是否存在漏洞和安全隐患的方法。

安全整改是解决信息安全问题的过程。

了解信息安全管理与评估的基本概念是参加比赛的关键。

此外，选手们需要了解信息安全管理和评估的主要技术。

例如，安全管理系统、应急响应计划、网络防护、加密和虚拟专用网络。

还需要掌握一些基本的安全工具，如端口扫描器、漏洞扫描器、攻击模拟器和入侵检测系统。

在比赛中，选手需要运用自己的技能和知识来防范和应对各种网络攻击。

此外，还需要解决网络安全问题，并找到最佳解决方案。

选手们还需要能够在有限的时间内快速定位并修复安全漏洞。

在以上的基础上，选手们还需要具备团队合作精神和沟通能力，因为信息安全管理和评估是一个团队工作。

选手们需要相互配合、协作，才能完成整个系统的安全管理和评估工作。

总之，信息安全管理与评估是一项非常重要的技能，在日益发展的信息化社会中至关重要。

通过参加全国职业院校技能大赛，在实际操作中提升自己的技能和水平，将有助于选手们打下坚实的信息安全管理与评估基础，成为优秀的信息安全管理专业人才。

1、信息安全工作具有投资收益的要求，以下关于信息安全与设备A 信息安全的投入很容易测算其产生收益的B 信息安全为业务发展提供基础安全保障& C信息安全与网络信息系统有着密切关系D 信息安全的投入是不能测算其产生收益的2、不同信息安全发展阶段，信息安全具有不同的特征，A 具有高度复杂性和不能控制的特点&SOCB 具有保护对象全生命周期安全要求的特征C 具有多层次和多角度的体系化防御要求的特征D 具有动态发展变化的特征3、关于信息安全策略的说法中，下面说法正确的是：A 信息安全策略的制定是以信息系统的规模为基础B 信息安全策略的制定是以信息系统的玩过拓扑结构为基础C 信息安全策略的制定是以信息系统风险管理为基础&D 在信息系统尚未建设完成之前，无法确定信息安全策略4、对信息技术保障框架的内涵和特点（IATF）理解不正确的是：A 基友PDCA思想构建攻防一体化安全体系&B 对信息系统进行多层防护C IATF 面熟了保护领域的安全需求和相应的可选择措施D 它体现了分层，深度，强健性的防御特点5、一下哪种信息安全工作实践，应用到了信息安全保障的核心原理和思想A 以ISMS运行为核心，采用技术和管理手段对建设好的系统进行维护B 以IATF为基础，设计包括防毒，入侵检测，加密，审计在内的安全防护体系C 以CIA为核心，对计算机网络进行安全加固，检测和评估D 在系统生命周期内，以人为本，按照技管并重的原则，通过安全工程来构建安全体系& 6、常用的混合加密（Hybrid Encryption）方案指的是：A 使用对称加密进行通信数据加密，使用公钥加密进行会话秘钥协商&B 使用公钥加密进行通信数据加密，使用对称加密进行会话加密协商C 少量数据使用公钥加密，大量数据则使用对称加密D大量数据使用公钥加密，少量数据则使用对称加密7、8、以下关于代替密码的说法正确的是：A 明文根据密钥被不同的密文字母代替&B 明文字母不变，仅仅是位置根据密钥发生改变C 明文和密钥的每个bit异或D 明文根据密钥作了移位9、为什么在数字签名中含有信息摘要？A 防止发送方否认发送过信息B 加密明文C 提供解密密码D 可以确认发送内容是否在途中被他人修改&10、Alice有一个消息M通过密钥K2生成一个密文E（K2，M）然后用K1生成一个MAC为C（K1，E(K2，M)），Alice将密文和MAC发送给Bob，Bob用密钥K1和密文生成一个MAC 并和Alice的MAC比较，假如相同再用K2解密Alice发送的密文，这个过程可以提供什么安全服务？A 仅提供数字签名B 仅提供保密性C 仅提供不可否认性D 保密性和消息完整性&CISA:审计：11、PKI/Ca技术不能解决信息传输中的（）问题A 完整性B 不可抵赖性C 可用性&D 身份认证12、LDAP作用是什么？A 提供证书的保存，修改，删除和获取的能力&B 证书的撤销列表，也称“证书黑名单”C 数字证书注册批准D 生成数字证书13、下面对于SSL工作过程的说法错误的是A 加密过程使用的加密算法是握手协议确定的B 通信双方的身份是通过记录协议实现的&C 警告协议用于指示在什么时候发生了错误D 通信双方的身份认证需要借助于PKI/CA14、以下对访问许可描述不正确的是：A 访问许可定义了改变访问模式的能力或向其它主题传送这种能力的能力B 有主型访问许可是对每个客体设置一个拥有者，拥有者对其客体具有全部控制权权C 等级型访问控制许可通常按照组织机构的人员结构关系来设置主题对客体的控制权D 有主型访问许可是对每个客体设置一个拥有者，但拥有者不是唯一有权修改客体访问控制权的主体&15、以下哪一项不是BLP模型的主要任务：A 定义使得系统获得“安全”的状态B 检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态”C 检查系统的初始状态是否为“安全状态”D 选择系统的终止状态&16、ISO 7498-2开放系统安全互联体系架构模型中，业务流程填充机制能实现的典型安全服务是（）A 访问控制B 数据完整性C 数据保密性&D 身份鉴别17、一下对KERBEROS协议过程说法正确的是：A 协议可以分为两个步骤：一是用户身份鉴别，二是获取请求服务B 协议可以分为两个步骤：一是获得票据许可票据，二是获得请求服务C 协议可以分为三个步骤：一是用户身份鉴别，二是获得票据许可票据，三是获得服务许可票据D协议可以分为三个步骤：一是获得票据许可票据用户身份鉴别，二是获得服务许可票&据，三是获得服务18、以下对RADIUS协议说法正确的是：A 它是一种B/S结构的协议B 它是一项通用的认证计费协议&C 它使用TCP通信D 它的基本组件包括认证、授权和加密19、令牌（Tokens），智能卡及生物检测设备同时用于识别和鉴别，依据的是以下哪个原则？A 多因素鉴别原则&B 双因素鉴别原则C 强制性鉴别原则D 自主性鉴别原则20、以下对于非集中访问控制中“域”说法正确的是：A 每个域的访问控制与其他域的访问控制相互关联B 跨域访问不一定需要建立信任关系C 域中的信任必须是双向的D 域是一个共享同一安全策略的主体和客体的集合&21、下面哪一项是内存卡（memory cards）和智能卡（smart cards）之间最大的区别是：A 内存卡有微处理器和集成电路用于处理数据，而智能卡有词条用来保护信息B 智能卡有微处理器和集成电路用于处理数据，而内存卡有词条用来保护信息&C 内存啦比智能卡更能防篡改D 内存卡开发，制造和维护起来更便宜22、总部和分支机构通讯的VPN解决方案比较适合使用哪种体系结构的VPNA 网关到网关&B 主机到网关:远程C 主机到主机:合作伙伴D 主机到网闸23、以下哪一项是IPSEC协议体系中的AH协议不能提供的安全服务A 数据来源认证B 数据完整性验证C 数据机密性&ESPD 防报文回放攻击功能24、下面对WAPI描述不正确的是：A 安全机制由WPI两部分组成B WAI实现对用户身份的鉴别C WPI实现对传输的数据加密D WAI实现对传输的数据加密&25、划分VLAN主要解决什么问题？A 隔离广播&B 解决安全性C 隔离故障域D 解决带宽问题26、如图1所示，主机A向主机B发出的数据采用AH或ESP的传输模式对流量进行保护时，主机A和主机B的IP地址应该在下列哪个范围？A 10.0.0.0~10.255.255.255B 172.16.0.0~172.31.255.255C 192.168.0.0~192.168.255。

图中DCRS的11-15接口；DCWAF的0、1接口；DCST的0-4接口已经连接完毕，不需要学生进行连接，比赛途中不得其进行改动，不得使DCST重启、关机、断电，否则扣除考试分值。

2.IP地址规划地址表中的X代表本组组编号，如：一组组编号为6，DCR的1接口ip192.6.0.1DCR 3接口192.X.0.1/24（6）同时限制PCC的IP下载速度为1M，并限制PCC的会话数为100条。

(10%)（7）网络内有一台网站服务器，通过waf，进行网页防篡改设置。

(10%)（8）同时在waf上进行目录遍历防护措施。

(10%)（9）当PCB想要访问PCA时，必须通过DCR-DCFW1-DCRS这条线路。

(15%)（10）当PCB通过DCFW1时，设置WEB认证，PCB必须通过web认证后才能够访问PCA。

(10%)（11）网络内运行OSPF动态路由协议，使其全网互通。

(10%)第二部分系统加固(300分)（注意：本阶段将答案填写至“系统加固.doc”文档中，并保存至“提交专用U盘”中的“系统加固”目录中，该文件电子模板在参赛机中）1. 加固系统（60%）（1）要求设置交互式登陆不需要按CTRL+ALT+DEL（6%）截图说明：（2）要求用户设置安全策略，不允许SAM帐户的匿名枚举（6%）截图说明：（3）要求用户设置安全策略，不允许SAM帐户的和共享的匿名枚举（6%）截图说明：（4）停止并禁用Task Schedule服务（6%）截图说明：（5）停止并禁用Remote Registry服务（6%）截图说明：（6）停止并禁用Print spooler服务（6%）截图说明：（7）开启审核对象访问，成功与失败（6%）截图说明：（8）开启审核目录服务访问，成功与失败（6%）截图说明：（9）开启审核特权使用，成功与失败（6%）截图说明：（10）开启审核系统事件，成功与失败（6%）截图说明：2.加固WEB服务(40%)（注意：本阶段填写并提交电子版《加固WEB服务》，该文件电子模板在参赛机中）（1）将网站移植到E分区截图说明：（2）将原有网站停止，建立新的站点test，并能够正常浏览截图说明：（3）更改IIS日志路径到E:\weblogfile目录下截图说明：（4）通过“TCP/IP”筛选，限制只开放80、3389端口截图说明：第三部分：安全评估(300分)（注意：本阶段将答案填写至相关文档中，并保存至“提交专用U盘”中的“安全评估”目录中，该文件电子模板在参赛机中）作为一名成熟的安全工程师，在工作过程中发现你所控制的服务器问题非常大，为了能够让上级重视这个问题，你必须向上级反映。

职业院校技能大赛高职组信息安全管理与评估竞赛试题信息安全管理与评估竞赛试题第一部分：选择题1.下列哪项内容不属于信息安全管理中的基本要素？A.风险评估B.安全意识培养C.物理安全D.防病毒软件2.下列哪项操作不会增强信息系统的安全性？A.设置防火墙B.定期更新操作系统C.加强员工安全意识D.购买更多软件工具3.下列哪项操作不是常见的鉴别网络攻击的方法？A.黑名单阻止攻击B.系统安全日志记录C.文件权限管理D.源地址验证4.下列哪项不是数据库管理中的安全性问题？A.数据冗余B.授权管理C.加密算法选择D.数据备份与恢复5.关于虚拟化技术，下列说法正确的是？A.虚拟化技术无法提高系统的可靠性B.虚拟化技术可以提高系统的效率C.虚拟化技术只适用于小型网络环境D.虚拟化技术会使系统的安全性降低第二部分：填空题1.信息安全威胁的种类主要包括：_________、木马、病毒等。

2.常见的社会工程学攻击手段包括____________、伪装信件、钓鱼等。

3.信息安全管理中的“CIA”三个字母分别代表__________、保密性、完整性、可用性。

4.评估网络风险时，需要对风险的__________、风险等级、实施方案等进行评估。

5.防范内部威胁的方法包括加强_________、构建有效的监控机制等。

第三部分：问答题1.简述信息安全管理中的“风险评估”和“风险管理”概念，以及它们在信息安全管理体系中的作用。

2.简述虚拟化技术的概念、工作原理以及在信息系统安全领域中的应用。

3.现代信息系统中常常存在着大量的安全漏洞，为了防范这些安全漏洞，我们可以采取哪些常用的安全措施？第四部分：实操题1.编写一个简单的Python脚本，实现以下功能：从一个文本文件中读取若干行字符串，对这些字符串进行加密处理，然后将结果重新写回同一个文本文件中。

2.请设计一个基于Web的系统，该系统可以实现用户的注册、登录、注销等功能，并且可以根据用户权限不同，显示不同的信息和功能模块。

页眉内容1.2.错误2.做好数据的完整性是系统安全性的唯一要求。

错误3.当在网络空间中围绕某一业务在某些用户群在一些网络地址大家互相信任正确4.互联网发展到今天，安全已经超越了技术范畴，安全决定成败，安全是核心正确5.虽然互联网和电话网、电视网的结合，但是安全管理系统的完善使得互联网错误6.2014正确7.中国互联网协会是自愿结合形成的行业性的、全国性的、营利性组织。

错误8.西方文化价值生活方式的消极因素也渗透到网络空间，对我国进行了强化的正确9.信息安全技术的创新不断催生出新技术、新产品和新应用，信息安全基础共正确10.我国会从国外进口一些基础设施和信息系统，错误11.在产业技术实力方面，我们要避开跟随，创立自己的独特的体系，这样才可能摆脱他国的控制。

正确12.我国应该针对重要信息系统或关键资源，建立灾难备份系统。

建设国家根域名战备应急备份系统，研究各种网络攻防对抗技术。

正确13.目前，13%的重要系统如果没有境外技术支持和运维服务，系统就无法正常运行。

正确14.信息安全人才培养机制尚不健全，尚未形成高校、企业的联合培养机制，培训体系不健全，大多技术人员缺乏深入研究能力。

正确15.自从1994年正式接入国际互联网以来，我国互联网从无到有、从小到大，逐步进入了互联网时代.正确16.2014年香港占中活动，严重影响了香港的繁荣稳定，对内地的安全和稳定也造成了很大的冲击。

正确17.网络关键信息技术设施的安全防护非常薄弱，很多重要信息系统缺乏十分有效的安全防护手段，并未建立应有的应急处置机制。

正确18.完善我国的信息安全保障体系建设是一个持续渐进的过程，不可能一蹴而就，要在国家信息安全战略的指导下慢慢推进。

正确19.网络安全和信息化对一个国家很多领域都是牵一发而动全身，一定要因事而谋，应势而动，顺势而为。

正确20.成立中央网络安全和信息化领导小组，体现了我们党对网络安全强有力的领导和更加高度的关注。

正确21.网络空间既要提倡自由，也要倡导秩序。

信息安全管理员大赛模拟试题(含答案)一、选择题（每题2分，共20分）1. 以下哪项不是信息安全的主要目标？A. 保密性B. 完整性C. 可用性D. 可靠性答案：D2. 信息安全中的“三要素”不包括以下哪项？A. 身份认证B. 访问控制C. 数据加密D. 信息审计答案：D3. 以下哪种加密算法是非对称加密算法？B. RSAC. AESD. 3DES答案：B4. 在网络攻击中，以下哪种攻击方式属于拒绝服务攻击（DoS）？A. SQL注入B. DDoSC. 木马D. 拒绝服务攻击（DoS）答案：D5. 以下哪个不是我国信息安全等级保护制度中的安全等级？A. 第一级B. 第二级C. 第三级D. 第五级6. 信息安全事件应急预案主要包括以下哪几个阶段？A. 预警、响应、处置、恢复B. 预警、响应、处置、总结C. 预警、响应、处置、评估D. 预警、响应、处置、改进答案：A7. 以下哪项不是我国《网络安全法》规定的信息安全防护措施？A. 安全防护技术措施B. 安全防护组织措施C. 安全防护管理制度D. 安全防护宣传教育答案：D8. 在以下哪种情况下，系统管理员无需向用户告知？A. 系统升级B. 系统维护C. 系统故障D. 用户密码泄露答案：D9. 以下哪项不是网络钓鱼攻击的主要手段？A. 发送虚假邮件B. 假冒官方网站C. 恶意软件D. 信息加密答案：D10. 信息安全管理员在处理信息安全事件时，以下哪个步骤不是必须的？A. 确认事件类型B. 确定事件级别C. 上报事件D. 自行处理事件答案：D二、填空题（每题2分，共20分）1. 信息安全主要包括________、________、________三个方面。

答案：保密性、完整性、可用性2. 常见的信息安全攻击手段有________、________、________。

答案：拒绝服务攻击（DoS）、网络钓鱼、SQL注入3. 信息安全等级保护制度中的安全等级分为________、________、________、________、________五个等级。

信息安全大赛测验试卷（一）试卷信息安全大赛测验试卷(一)(满分125分，考试时间：40分钟)一、单选题(每小题2分，共50分)1. IP 地址132.119.100.200 的子网掩码是255.255.255.240，哪么它所在子网的广播地址是( )。

A. 132.119.100.207B. 132.119.100.255C. 132.119.100.193D. 132.119.100.2232. 在运行了RIP 的MSR 路由器上看到如下路由信息：display ip routing-table 6.6.6.6Routing Table : PublicSummary Count : 2Destination/Mask Proto Pre Cost NextHop Interface6.6.6.0/24 RIP 100 1 100.1.1.1 GE0/06.0.0.0/8 Static 60 0 100.1.1.1 GE0/0此时路由器收到一个目的地址为6.6.6.6 的数据包，那么( )。

A. 该数据包将优先匹配路由表中的RIP 路由，因为其掩码最长B. 该数据包将优先匹配路由表中RIP 路由，因为其优先级高C. 该数据包将优先匹配路由表中的静态路由，因为其花费Cost 小D. 该数据包将优先匹配路由表中的静态路由，因为其掩码最短3. 下面关于OSI 参考模型的说法正确的是。

（）A. 传输层的数据称为帧（Frame）B. 网络层的数据称为段（Segment）C. 数据链路层的数据称为数据包（Packet）D. 物理层的数据称为比特（Bit）4. 802.11b 协议在2.4GHz 频段定义了14 个信道，相邻的信道之间在频谱上存在交叠。

为了最大程度地利用频段资源，可以使用如下哪组信道来进行无线覆盖？（）A. 1、5、9B. 1、6、11C. 2、6、10D. 3、6、95. ping 实际上是基于( )协议开发的应用程序。

选择题在信息安全管理中，以下哪一项是风险评估的主要目的？A. 确定系统的脆弱性B. 量化潜在威胁的可能性与影响C. 设计安全控制措施D. 识别并优先处理最重要的风险（正确答案）关于ISO/IEC 27001标准，以下哪一项描述最准确？A. 它是一个具体的安全技术实现指南B. 它为信息安全管理系统（ISMS）提供了实施和认证的框架（正确答案）C. 它专注于网络安全防御措施D. 它仅适用于大型企业在进行安全审计时，以下哪项活动是最先进行的？A. 审查安全策略的有效性B. 确定审计的范围和目标（正确答案）C. 分析审计数据D. 编写审计报告在密码学中，以下哪一项技术用于确保消息的完整性和验证发送者的身份？A. 加密B. 解密C. 数字签名（正确答案）D. 密钥交换关于零日漏洞，以下哪项描述是正确的？A. 已知且已被修复的漏洞B. 未知且尚未有补丁的漏洞（正确答案）C. 对系统无害的低危漏洞D. 只能通过内部人员泄露的漏洞在实施访问控制策略时，以下哪一项原则要求每个用户只能拥有完成其工作所需的最小权限？A. 最小特权原则（正确答案）B. 职责分离原则C. 需求分析原则D. 深度防御原则下列哪一项是渗透测试与漏洞扫描的主要区别？A. 渗透测试侧重于发现漏洞，而漏洞扫描侧重于验证漏洞B. 漏洞扫描自动化程度高，而渗透测试需要人工参与（正确答案）C. 渗透测试仅针对已知漏洞，漏洞扫描则包括未知漏洞D. 渗透测试报告更详细，漏洞扫描报告则较简略在信息安全事件管理中，以下哪一步是首要且至关重要的？A. 事件分析与根源查找B. 事件记录与报告C. 事件响应与恢复D. 事件检测与识别（正确答案）。