信息系统安全评测与风险评估试题及答案.doc

信息安全测评与风险评估第二版课后题信息安全测评与风险评估是当今社会中非常重要的一环，随着数字化时代的到来，信息安全的重要性愈发凸显。

为了更好地保护信息安全，进行信息安全测评与风险评估显得尤为重要。

在本篇文章中，我将对信息安全测评与风险评估第二版课后题进行全面的评估和分析，帮助您更深入地理解这一重要的主题。

1. 信息安全测评信息安全测评是指对信息系统的安全性进行全面的评估和测试。

通过信息安全测评，可以发现信息系统中存在的安全漏洞和问题，为后续的安全防护和处理提供依据。

信息安全测评的重点包括对系统的物理安全、网络安全、数据安全、应用系统安全等方面的评估。

在进行信息安全测评时，需要充分考虑系统的特点和实际运行环境，采用科学的方法和工具进行评估，以保证评估的全面和准确。

2. 风险评估风险评估是指对系统中存在的各种风险进行分析和评估，确定风险的发生概率和影响程度，并采取相应的措施进行风险管理。

风险评估的主要内容包括对系统中的各种威胁和弱点进行排查和分析，确定系统面临的风险类型和级别，评估风险的可能性和影响，并提出相应的风险处理建议。

通过风险评估，可以有效地识别和管理系统中存在的各种风险，保障信息系统的安全和稳定运行。

3. 信息安全测评与风险评估第二版课后题信息安全测评与风险评估第二版课后题是一本权威的书籍，对信息安全测评与风险评估的相关知识进行了深入讲解和分析。

通过学习这本书籍，可以全面了解信息安全测评与风险评估的理论和实践，提高对信息安全的认识和理解。

在书籍的课后题中，涵盖了丰富的案例和实践内容，通过对这些课后题的学习和分析，可以更好地掌握信息安全测评与风险评估的方法和技巧，为实际工作提供参考和借鉴。

4. 个人观点和理解在进行信息安全测评与风险评估时，需要充分考虑系统的实际情况和特点，采用科学的方法和工具进行评估和分析。

还需要不断学习和积累相关知识，提高对信息安全的认识和理解，不断完善和优化信息安全管理体系，全面保障信息系统的安全和稳定运行。

信息安全风险评估题信息安全风险评估是指对组织或系统可能面临的信息安全威胁进行分析和评估的过程。

以下是一个关于信息安全风险评估的练习题：1. 请解释信息安全风险评估的目的和重要性。

2. 什么是信息安全风险评估的步骤？3. 请列举并解释常见的信息安全威胁类型。

4. 请说明信息安全风险评估的工具和方法。

5. 请描述信息安全风险评估报告的主要组成部分。

6. 如何进行信息安全风险评估的风险值评估和分类？7. 请解释信息安全风险评估和风险管理的区别。

8. 在信息安全风险评估过程中，如何确定和评估风险事件的概率和影响？9. 请解释信息安全风险评估的准则和标准。

10. 信息安全风险评估应该由谁来执行？为什么？答案：1. 信息安全风险评估的目的是识别和评估可能威胁组织或系统的风险，从而采取适当的措施来保护信息资产。

这是确保组织的信息安全和业务连续性的重要步骤。

2. 信息安全风险评估的步骤包括确定评估范围、收集和分析相关信息、识别潜在风险、评估风险的概率和影响、制定风险管理策略、编制评估报告等。

3. 常见的信息安全威胁类型包括恶意软件、网络攻击、数据泄露、内部威胁、物理入侵等。

4. 信息安全风险评估的工具和方法包括问卷调查、安全扫描工具、威胁建模、漏洞分析等。

5. 信息安全风险评估报告的主要组成部分包括背景介绍、风险识别和评估结果、风险管理建议等。

6. 风险值评估和分类可以通过计算风险的概率和影响值并进行排序分类来完成。

7. 信息安全风险评估是评估威胁和风险的过程，而风险管理是指制定和实施措施来管理和减轻威胁和风险的过程。

8. 在信息安全风险评估过程中，可以使用历史数据、统计分析和专家判断等方法来评估风险事件的概率和影响。

9. 信息安全风险评估的准则和标准包括ISO 27005、NIST SP 800-30等。

10. 信息安全风险评估应该由专业的信息安全团队或专家来执行，因为他们具备相关的知识和技能，能够更准确地评估和识别风险，并提出有效的解决方案。

信息安全风险评估判断题1. 什么是信息安全风险评估？信息安全风险评估是指对组织或个人的信息系统进行全面的风险评估和判断，目的是发现和评估信息系统中的潜在安全风险，从而采取相应的措施来降低或消除这些风险。

信息安全风险评估主要包括确定资产、评估威胁、计算风险、制定应对策略等步骤。

2. 信息安全风险评估的目的是什么？信息安全风险评估的主要目的是为了帮助组织或个人了解其信息系统存在的安全风险，并采取相应的措施来防范和减轻这些风险的影响。

通过评估和判断信息系统的安全风险，可以为系统的安全性提供科学依据，帮助组织或个人优化信息安全管理，提高系统安全性。

3. 信息安全风险评估的步骤有哪些？常见的信息安全风险评估步骤包括：步骤1：确定资产首先，需要明确要评估的信息系统的资产，包括硬件设备、软件应用、数据流程、网络连接等。

步骤2：评估威胁接下来，对系统可能遭受的各种安全威胁进行评估，包括网络攻击、病毒感染、数据泄露等。

步骤3：计算风险根据资产的重要性和威胁的严重程度，对信息系统的风险进行计算和评估，确定可能造成的损失和影响。

步骤4：制定应对策略最后，根据评估结果制定相应的风险应对策略，包括安全控制措施、应急预案、培训教育等，以降低或消除风险的影响。

4. 信息安全风险评估的价值和意义是什么？信息安全风险评估的价值和意义有以下几个方面：提高安全性通过信息安全风险评估，可以及时发现和评估系统中存在的安全风险，从而可以采取相应的措施来提高系统的安全性，减少可能的安全事故。

降低损失通过信息安全风险评估，可以评估风险对组织或个人的潜在损失，及时采取预防措施来降低损失的可能性和影响。

优化管理信息安全风险评估可以帮助组织或个人了解信息系统中的安全状况，优化信息安全管理，并根据评估结果制定相应的安全策略和控制措施。

合规要求对于一些行业和组织，信息安全风险评估是合规要求的一部分，具备了一定的法律和法规约束力。

5. 信息安全风险评估的注意事项有哪些？在进行信息安全风险评估时，需要注意以下事项：全面性评估过程应该尽可能全面，考虑到系统中各个方面的潜在风险并给出评估结果。

信息安全等级测评师测试一、单选题（16分）中卫科技1、下列命令中错误的是。

（c）A、PASS_MAX_DAYS 30 #登录密码有效期30天B、PASS_MIN_DAYS 2 #登录密码最短修改时间2天C、FALL_DELAY 10 #登录错误时等待10分钟D、FALLLOG_ENAB YES #登录错误记录到日志2、Windows操作系统可以通过配置来对登录进行限制。

（C ）A、系统环境变量B、通过ip地址C、账户锁定策略D、读写保护3、Windows安装完成后，默认情况下会产生两个账号，分别是管理员账号和。

（ C ）administrator和guest两个A、本地账号B、域账号C、来宾账号D、局部账号4、有编辑/etc/passad文件能力的攻击者可以通过把UID变为就可以作为特权用户。

（ B ）应该是/etc/passwd文件，题目写错了。

A、-1B、0C、 1D、 25、敏感标记是由的安全管理员进行设置的，通过对设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。

（ C ）A、强制性重要信息资源B、强认证一般信息资源C、强认证重要信息资源D、强制性一般信息资源6、发现入侵的最简单最直接的方法是去看和。

（B ）A、审计记录系统文件B、系统记录安全审计文件C、系统记录系统文件D、审计记录安全审计文件7.windows和linux操作系统用户密码最长使用期限推荐配置为（C ）A．30天60天 B. 60天90天C. 70天90天D. 50天70天8．Windows操作系统中，本地登录权限对用户组不开放。

( D ) A．Guest B.Administartors ers D.Everyone二、多选题（27分）1、下列Linux说法中正确的是。

（ B C ）A、对于配置文件权限值不能大于664 ----应该是644 - rw - r- - r - -最好是600.B、使用“ls-l文件名”命令，查看重要文件和目录权限设置是否合理C、对于可执行文件的权限值不能大于755D、dr-xr--rw-；用数字表示为523----应该是5462、对于账户的管理合理的是。

【最新资料，WORD文档，可编辑修改】信息系统安全评测与风险评估试题姓名分数GB/T20269 信息系统安全管理要求GB/T20270 网络基础安全技术要求GB/T20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。

1. 信息安全风险评估的目的是什么？A. 提高网络速度B. 确保信息系统的安全C. 增加用户数量D. 降低硬件成本2. 风险评估中的“风险”是指什么？A. 潜在的威胁B. 已知的漏洞C. 潜在的威胁利用漏洞导致的不良后果的可能性D. 安全措施的成本3. 在进行风险评估时，首先需要做什么？A. 实施安全措施B. 识别资产C. 购买保险D. 培训员工4. 风险评估中的“资产”包括哪些？A. 硬件设备B. 软件应用C. 数据信息D. 以上都是5. 风险评估中的“威胁”是指什么？A. 可能导致资产损失的事件B. 安全措施的不足C. 资产的价值D. 风险评估的过程6. 风险评估中的“漏洞”是指什么？A. 资产的弱点B. 威胁的来源C. 安全措施的强度D. 风险评估的结果7. 风险评估中的“控制措施”是指什么？A. 防止威胁的措施B. 减少漏洞的措施C. 降低风险发生的可能性和影响的措施D. 增加资产价值的措施8. 风险评估中的“风险分析”包括哪些步骤？A. 识别资产、威胁和漏洞B. 评估威胁的可能性和漏洞的严重性C. 计算风险等级D. 以上都是9. 风险评估中的“风险评价”是指什么？A. 确定风险是否可接受B. 计算风险的成本C. 识别新的威胁D. 实施新的控制措施10. 风险评估中的“风险处理”包括哪些选项？A. 接受风险B. 转移风险C. 减轻风险D. 以上都是11. 风险评估中的“风险监控”是指什么？A. 定期检查资产B. 定期更新威胁列表C. 定期评估风险和控制措施的有效性D. 定期购买新的安全设备12. 风险评估中的“风险沟通”是指什么？A. 向管理层报告风险评估结果B. 向员工传达安全政策C. 向客户解释安全措施D. 以上都是13. 风险评估中的“风险管理”是指什么？A. 识别和评估风险B. 选择和实施控制措施C. 监控和审查风险D. 以上都是14. 风险评估中的“风险矩阵”是什么工具？A. 用于识别资产的工具B. 用于评估威胁的工具C. 用于分析和可视化风险的工具D. 用于实施控制措施的工具15. 风险评估中的“风险登记册”是什么？A. 记录资产的清单B. 记录威胁的清单C. 记录漏洞的清单D. 记录所有风险和相关信息的文档16. 风险评估中的“风险评估报告”应包括哪些内容？A. 风险评估的方法和过程B. 风险评估的结果C. 风险处理建议D. 以上都是17. 风险评估中的“风险评估方法”有哪些？A. 定性评估B. 定量评估C. 混合评估D. 以上都是18. 风险评估中的“定性评估”是指什么？A. 使用数值来评估风险B. 使用描述性语言来评估风险C. 使用图表来评估风险D. 使用模型来评估风险19. 风险评估中的“定量评估”是指什么？A. 使用数值来评估风险B. 使用描述性语言来评估风险C. 使用图表来评估风险D. 使用模型来评估风险20. 风险评估中的“混合评估”是指什么？A. 结合定性和定量方法来评估风险B. 只使用定性方法来评估风险C. 只使用定量方法来评估风险D. 不使用任何评估方法21. 风险评估中的“风险等级”是如何确定的？A. 根据资产的价值B. 根据威胁的可能性和漏洞的严重性C. 根据控制措施的有效性D. 根据风险评估的成本22. 风险评估中的“风险优先级”是如何确定的？A. 根据资产的价值B. 根据威胁的可能性和漏洞的严重性C. 根据控制措施的有效性D. 根据风险评估的成本23. 风险评估中的“风险接受”是指什么？A. 接受所有风险B. 接受部分风险C. 不接受任何风险D. 以上都不是24. 风险评估中的“风险转移”是指什么？A. 将风险转移到其他资产B. 将风险转移到其他组织C. 将风险转移到其他时间D. 以上都不是25. 风险评估中的“风险减轻”是指什么？A. 减少资产的价值B. 减少威胁的可能性C. 减少漏洞的严重性D. 以上都是26. 风险评估中的“风险避免”是指什么？A. 避免所有风险B. 避免部分风险C. 不避免任何风险D. 以上都不是27. 风险评估中的“风险控制措施”有哪些？A. 技术控制B. 管理控制C. 物理控制D. 以上都是28. 风险评估中的“技术控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是29. 风险评估中的“管理控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是30. 风险评估中的“物理控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是31. 风险评估中的“风险评估工具”有哪些？A. 风险矩阵B. 风险登记册C. 风险评估报告D. 以上都是32. 风险评估中的“风险评估软件”有哪些？A. 风险管理软件B. 风险分析软件C. 风险评价软件D. 以上都是33. 风险评估中的“风险评估模型”有哪些？A. 定性模型B. 定量模型C. 混合模型D. 以上都是34. 风险评估中的“风险评估标准”有哪些？A. ISO 27001B. NIST SP 800-30C. COBITD. 以上都是35. 风险评估中的“风险评估流程”包括哪些步骤？A. 风险识别B. 风险分析C. 风险评价D. 以上都是36. 风险评估中的“风险识别”是指什么？A. 识别资产B. 识别威胁C. 识别漏洞D. 以上都是37. 风险评估中的“风险分析”是指什么？A. 分析资产的价值B. 分析威胁的可能性和漏洞的严重性C. 分析控制措施的有效性D. 以上都是38. 风险评估中的“风险评价”是指什么？A. 评价风险是否可接受B. 评价风险的成本C. 评价风险的优先级D. 以上都是39. 风险评估中的“风险处理”是指什么？A. 处理所有风险B. 处理部分风险C. 不处理任何风险D. 以上都不是40. 风险评估中的“风险监控”是指什么？A. 监控资产B. 监控威胁C. 监控漏洞D. 以上都是41. 风险评估中的“风险沟通”是指什么？A. 沟通风险评估结果B. 沟通安全政策C. 沟通安全措施D. 以上都是42. 风险评估中的“风险管理”是指什么？A. 管理风险识别B. 管理风险分析C. 管理风险评价D. 以上都是43. 风险评估中的“风险矩阵”是什么工具？A. 用于识别资产的工具B. 用于评估威胁的工具C. 用于分析和可视化风险的工具D. 用于实施控制措施的工具44. 风险评估中的“风险登记册”是什么？A. 记录资产的清单B. 记录威胁的清单C. 记录漏洞的清单D. 记录所有风险和相关信息的文档45. 风险评估中的“风险评估报告”应包括哪些内容？A. 风险评估的方法和过程B. 风险评估的结果C. 风险处理建议D. 以上都是46. 风险评估中的“风险评估方法”有哪些？A. 定性评估B. 定量评估C. 混合评估D. 以上都是47. 风险评估中的“定性评估”是指什么？A. 使用数值来评估风险B. 使用描述性语言来评估风险C. 使用图表来评估风险D. 使用模型来评估风险48. 风险评估中的“定量评估”是指什么？A. 使用数值来评估风险B. 使用描述性语言来评估风险C. 使用图表来评估风险D. 使用模型来评估风险49. 风险评估中的“混合评估”是指什么？A. 结合定性和定量方法来评估风险B. 只使用定性方法来评估风险C. 只使用定量方法来评估风险D. 不使用任何评估方法50. 风险评估中的“风险等级”是如何确定的？A. 根据资产的价值B. 根据威胁的可能性和漏洞的严重性C. 根据控制措施的有效性D. 根据风险评估的成本51. 风险评估中的“风险优先级”是如何确定的？A. 根据资产的价值B. 根据威胁的可能性和漏洞的严重性C. 根据控制措施的有效性D. 根据风险评估的成本52. 风险评估中的“风险接受”是指什么？A. 接受所有风险B. 接受部分风险C. 不接受任何风险D. 以上都不是53. 风险评估中的“风险转移”是指什么？A. 将风险转移到其他资产B. 将风险转移到其他组织C. 将风险转移到其他时间D. 以上都不是54. 风险评估中的“风险减轻”是指什么？A. 减少资产的价值B. 减少威胁的可能性C. 减少漏洞的严重性D. 以上都是55. 风险评估中的“风险避免”是指什么？A. 避免所有风险B. 避免部分风险C. 不避免任何风险D. 以上都不是56. 风险评估中的“风险控制措施”有哪些？A. 技术控制B. 管理控制C. 物理控制D. 以上都是57. 风险评估中的“技术控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是58. 风险评估中的“管理控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是59. 风险评估中的“物理控制”是指什么？A. 使用技术手段来控制风险B. 使用管理手段来控制风险C. 使用物理手段来控制风险D. 以上都不是60. 风险评估中的“风险评估工具”有哪些？A. 风险矩阵B. 风险登记册C. 风险评估报告D. 以上都是1. B2. C3. B4. D5. A6. A7. C8. D9. A10. D11. C12. D13. D14. C15. D16. D17. D18. B19. A20. A21. B22. B23. B24. B25. D26. B27. D28. A29. B30. C31. D32. D33. D34. D35. D36. D37. B38. D39. B40. D41. D42. D43. C44. D45. D46. D47. B48. A49. A51. B52. B53. B54. D55. B56. D57. A58. B59. C60. D。

2021年5月ISMS信息安全管理体系基础考试真题参考答案一、单项选择题1、信息安全风险评估的基本要素包括（B）。

（A）资产、可能性、影响（B）资产、脆弱性、威胁（C）可能性、资产、脆弱性（D）脆弱性、威胁、后果2、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（A）。

（A）ISO/IECJTC1SC27（B）ISO/IECJTC1SC40（C）ISO/IECTC27（D）ISO/IECTC403、当操作系统发生变更时，应对业务的关键应用进行（B），以确保对组织的运行和安全没有负面影响。

（A）隔离和迁移（B）评审和测试（C）评审和隔离（D）验证和确认4、下列关于DMZ区的说法错误的是（C）。

（A）DMZ可以访问内部网络（B）通常DMZ包含允许来自互联网的通信可进行的设备，如WEB服务器、FTP服务器、SMTP服务器和DNS服务器（C）内部网络可以无限制地访问外部网络以及DMZ（D）有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作5、信息安全管理中，关于脆弱性，以下说法正确的是：（B）。

（A）组织使用的开源软件不须考虑其技术脆弱性（B）软件开发人员为方便维护留的后门是脆弱性的一种（C）识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施（D）使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会6、公司A在内审时发现部分员工计算机开机密码少于六位，公司文件规定员工计算机密码必须六位及以上，那么下列选项中哪一项不是针对该问题的纠正措施？（A）（A）要求员工立刻改正（B）对员工进行优质口令设置方法的培训（C）通过域控进行强制管理（D）对所有员工进行意识教育7、下列哪个不是《中华人民共和国密码法》中密码的分类？（C）（A）核心密码（B）普通密码（C）国家密码（D）商用密码8、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

对秘密级、机密级信息系统每（D）至少进行一次保密检查或者系统测评。

信息安全等级测评师模拟试题（三）一、判断（10×1=10）1、三级信息系统应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时时自动退出等措施。

（√）2、口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信息，进而非法获得系统和资源访问权限。

(√)3、只要投资充足，技术措施完备，就能够保证百分之百的信息安全。

（×）4、特权用户设置口令时，应当使用enablepassword命令设定具有管理员权限的口令。

（×）5、Windows2000/xp系统提供了口令安全策略，以对帐户口令安全进行保护。

(√)6、脆弱性分析技术，也被通俗地称为漏洞扫描技术。

该技术是检测远程或本地系统安全脆弱性的一种安全技术。

(√)7、结构安全是网络安全检查的重点，网络结构的安全关系到整体的安全。

（√）8、一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。

（×）9、不同vlan内的用户可以直接进行通信。

（×）10、三级系统应能够对非授权设备私自连到内部网络的行为进行检查并准确定位.(×)二、单项选择题（15×2=30）1、我国在1999年发布的国家标准（）为信息安全等级保护奠定了基础。

A．GB17799B.GB15408C.GB17859D.GB144302、安全保障阶段中将信息安全体系归结为四个主要环节，下列______是正确的。

A.策略、保护、响应、恢复B.加密、认证、保护、检测C.策略、网络攻防、备份D保护、检测、响应、恢复3、为了数据传输时不发生数据截获和信息泄密，采取了加密机制。

这种做法体现了信息安全的______属性。

A.保密性B.完整性C.可靠性D.可用性信4、在使用复杂度不高的口令时，容易产生弱口令的安全脆弱性，被攻击者利用，从而破解用户帐户，下列（）具有最好的口令复杂度。