2012广东省技能大赛高职组第一阶段赛题。
第二部分:信息安全等级保护知识(50分)
注意:以下题目为不定项选择题,每题分值2%,将答案填写到答题卡上,成绩以答题卡为准)
1.对于残余风险,机构应该( )
a.确保残余风险降到最低。
b.对于不可接受范围内的风险,应在选择适当的控制措施后,对残余风险进行再评价。
c.不断调整或增加控制措施以减低残余风险描述。
d.残余风险都是不可接受的。
e.必要时可接受残余风险描述
2.整体风险评估关注的焦点主要集中在( )
a.检查与安全相关的机构实践,标识当前安全实践的优点和弱点。
b.包括对系统进行技术分析、对政策进行评审,以及对物理安全进行审查。
c.使用软件工具分析基础结构及其全部组件。
d.检查it的基础结构,以确定技术上的弱点。
e.帮助决策制定者综合平衡风险以选择成本效益对策
3.关于定性评估和定量评估以下表述正确的是( )
a.在定性评估时并不使用具体的数据,而是指定期望值
b.定量风险分析方法要求特别关注资产的价值和威胁的量化数据。
c.定量分析方法是最广泛使用的风险分析方式。
d.定量分析方法存在一个问题,就是数据的不可靠和不精确。
e.定性分析中风险的等级就是风险值,应赋予明确的含义
4.关于coras工程,下列表述正确的是( )
a.该工程指在开发一个基于面向对象建模技术的风险评估框架。
b.该工程特别指出使用uml建模技术。
是同用的,并不为风险评估提供方法学。
d. coras开发了具体的技术规范来进行安全风险评估。
准则和coras方法都使用了半形式化和形式化规范。
5.关于故障树分析方法下列正确的是( )
a.故障树分析是一种top-down方法。
b.故障树分析方法可以分为定性和定量两种方式。
c.故障树的定量分析就是通过求故障树的最小割集,得到顶事件的全部故障模式。
d.故障树方法主要用于分析大型复杂系统的可靠性及安全性。
e.不管是故障树的定性还是定量分析方式,首先都需要建造故障树
6.概率风险评估(pra)和动态风险概率评估(dpra)的主要分析步骤包括( )
a.识别系统中存在的事件,找出风险源。
b.对各风险源考察其在系统安全中的地位,及相互逻辑关系,给出系统的风险源树。
c.标识各风险源后果大小及风险概率。
d.对风险源通过逻辑及数学方法进行组合,最后得到系统风险的度量。
e.分析风险模式的危害度
7.下列对风险分析方法属于定性分析方法的有( )
a.事件树分析(eta)
b.风险评审技术。
c.德尔斐法。
d.动态概率风险评估(dpra)
e.风险模式影响及危害性分析(rmeca)
方法的基本步骤包括( )
a.系统分解,建立层次结构模型。
b.识别系统中存在的事件,找出风险源。
c.构造判断矩阵。
d.通过单层次计算进行安全性判断。
e.层次总排序,完成综合判断。
9.信息安全基本属性不包括( )
a.机密性。
b.可用性。
c.封装性。
d.完整性。
10.项目规划阶段所涉及的安全需求包括( )
a.明确安全总体方针。
b.明确项目范围。
c.提交明确的安全需求文档。
d.对实现的可能性进行充分分析、论证。
11.对安全总体方针文档的内容应审查的方面包括( )
a.是否已经制定并发布了能够反映机构安全管理意图的信息安全文件。
b.风险管理过程的执行是否有机构保障。
c.是否有专人按照特定的过程定期进行反复与评审。
d.风险管理的范围是否明确。
12.设计阶段的主要需求不包括( )
a.对用以实现安全系统的各类技术进行有效性评估。
b.对用于实施方案的产品需满足安全保护等级的要求。
c.确保采购的设备、软件和其他系统组件满足已定义的安全要求。
d.对自开发的软件要在设计阶段就充分考虑安全风险。
13.为管理安全技术选择过程中可能引入的安全风险,机构需要采取的措施有( )
a.参考现有国内外安全标准。
b.参考过内外公认安全实践。
c.参考行业标准。
d.专家委员会决策。
14.实施阶段的风险管理过程与活动包括( )
a.检查与配置。
b.安全测试。
c.人员培训。
d.授权系统运行。
15.运行维护阶段的安全需求包括( )
a.在信息系统未发生更改的情况下,维持系统正常运行,进行日常的安全操作及安全管理。
b.在信息系统及其运行环境发生变化的情况,进行风险评估并针对风险制定控制措施。
c.定期进行风险再评估工作,维持系统的持续安全。
d.定期进行信息系统的重新审批工作,确保系统授权的时间有效性。
16.运行维护阶段的风险管理活动包括( )
a.安全运行和管理。
b.变更管理。
c.风险再评估。
d.定期重新审批。
17.废弃阶段的信息安全风险管理主要活动和内容包括( )
a.确定废弃对象。
b.废弃对象的风险分析。
c.废弃过程的风险控制。
d.废弃后的评审。
18.沟通与咨询包括( )
a.与决策层沟通,以得到他们的理解和批准。
b.与管理层和执行层沟通,以得到他们的理解和协作。
c.与支持层沟通,以得到他们的了解和支持。
d.与用户层沟通,以得到他们的了解和配合。
e.为所有层面的相关人员提供咨询和培训等,以提高他们的安全意识、知识和技能。
19.以下关于沟通与咨询方式的表述正确的是( )
a.沟通与咨询的双方角色不同,所采取的方式有所不同。
b.表态适用于管理层对支持层和管理层对用户层。
c.指导和检查指机构上级对下级工作的指导和检查,用以保证工作质量和效率。
d.宣传和介绍适用于决策层对支持层和执行层对支持层。
20.监控与审查包括( )
a.监控过程有效性,包括流程是否完整和有效地被执行。
b.监控成本有效性,包括执行成本与所得效果相比是否合理。
c.审查结果有效性,包括输出结果是否因信息系统自身或环境的变化而过时。
d.监控与审查的过程应贯穿于信息安全风险管理的对象确立、风险分析、风险控制和审核批准这四个基本步骤。
21.监控与审查过程的输出文档主要包括( )
a.《对象确立的监控与审查记录》
b.《风险分析的监控与审查记录》
c.《风险控制的监控与审查记录》
d.《审核批准的监控与审查记录》
22.审核批准的过程主要包括的阶段是( )
a.审核申请。
b.审核处理。
c.批准申请。
d.批准处理。
e.持续监督。
23.审核处理阶段的工作流程和内容包括( )
a.审查审核材料。
b.提交审核申请。
c.测试审核对象。
d.整改审核对象。
e.做出审核结论。
24.批准处理阶段的输出文档包括( )
a.《审核申请书》
b.《审查结果报告》
c.《批准申请书》
d.《批准决定书》
25.在下列文档中,不属于持续监督阶段的输出文档是( )
a.《批准申请书》
b.《审核到期通知书》
c.《审查结果报告》
d.《批准到期通知书》
e.《环境变化因素的描述报告》
26.风险控制的过程包括哪些阶段( )
a.现存风险判断。
b.控制目标确立。
c.风险等级评价。
d.控制措施选择。
e.控制措施实施。
27.在下列要素中,属于ppdrr模型中”policy”部分的风险控制需求的有( )
a.系统安全管理守则。
b.身份认证。
c.数据加密。
d.应急响应计划。
e.网络安全管理守则。
28.控制目标确立阶段的输出文档包括( )
a.《信息系统的分析报告》
b.《风险接受等级划分表》
c.《风险控制需求分析报告》
d.《风险控制目标列表》
e.《风险控制实施计划书》
29.对象确立过程包括的阶段有( )
a.风险管理准备。
b.信息系统调查。
c.信息系统分析。
d.信息安全分析。
e.风险评估。
30.信息系统调查阶段的工作流程和内容包括( )
a.调查信息系统的业务目标。
b.调查信息系统的业务特性。
c.调查信息系统的管理特性。
d.调查信息系统的技术特性。
e.形成《信息系统的描述报告》
31.对象确立过程的输出文档包括( )
a.《风险管理计划书》
b.《信息系统的描述报告》
c.《信息系统的分析报告》
d.《信息系统的安全要求报告》
e.《风险分析报告》
32.下列要素属于信息载体的有( )
a.存储介质。
b.通信介质。
c.国家法律。
d.系统软件。
e.网络协议及其软件。
33.下列要素属于信息环境的有( )
a.数据库系统。
b.抗电磁干扰设施。
c.行政法规。
d.组织机构。
e.通信协议及其软件。
34.目前的漏洞扫描工具主要可分为的类型有( )
a.基于网络的扫描器。
b.基于主机的扫描器。
c.战争拨号器(wardialer)
d.数据库漏洞扫描。
e.分布式网络扫描器。
35.信息的安全属性包括( )
a. 保密性。
b. 完整性。
c. 可用性。
d. 可控性。
e. 不可否认性。
36.信息安全保护对象中信息载体包括( )
a. 物理平台。
b. 资源平台。
c. 系统平台。
d. 应用平台。
37.在iso/iec13335-1中it安全有几方面的含义( )
a.3b.4
c.5d.6
38.下列哪些属于iso/iec13335 it安全管理的内容( )
a.配置管理。
b.变更管理。
c.制定安全策略。
d.安全意识。
将toe的安全保障分为7级,其中第四级为( )
a.结构测试。
b.系统设计、测试和复查级。
c.形式化验证的设计和测试级。
d.半形式化设计和测试级。
40.通信与运行管理包括几个执行目标( )
a.5b.6
c.7d.8
41.信息收集方式包括哪些( )
a.调查问卷。
b.现场面谈。
c.文档检查。
d.使用自动扫描工具。
42.信息安全风险评估的原则包括( )
a.可控性原则。
b.完整性原则。
c.最小影响原则。
d.保密原则。
43.安全工程是一个包括( )的完整过程。
a.概念、设计。
b.实现、测试。
c.部署、运行。
d.维护、推出。
44.风险评估与管理工具主要分为哪3类( )
a.基于信息安全标准的风险评估与管理工具。
b.基于知识的风险评估与管理工具。
c.基于系统的风险评估与管理工具。
d.基于模型的风险评估与管理工具。
的安全模型数据库基于著名的“资产/威胁/弱点”模型,评估过程主要包括( )
a.定义研究范围和边界,识别和评价资产。
b.评估风险,即对威胁和弱点进行评估。
c.选择和推荐适当的对策。
d.针对系统采取防护措施,计算和评估防护措施带来的收益成本。
46.目前对脆弱性扫描工具的研发主要分为哪几种类型( )
a.基于网络的扫描器。
b.基于主机的扫描器。
c.分布式网络扫描器。
d.数据库脆弱性扫描器。
47.极光专用安全系统平台具有很高的安全性和稳定性,主要功能模块有( )
a.扫描核心模块。
b.数据同步模块。
c.升级模块。
界面模块。48.渗透测试分为( )
职业技能大赛总结
2013年安徽省职业院校技能大赛 高职组 普通话导游服务比赛总结。一 参赛概述。参赛项目 2013年安徽省职业院校技能大赛 高职组 普通话导游服务比赛。参赛时间 2013年4月1日 2013年4月3日。参赛地点 安徽工商职业学院。参赛人员 指导教师 参赛情况 此次比赛共有36个代表队,70名参赛选手...
职工职业技能大赛总结
2010年10月。为了激发广大职工学技术 钻业务 练硬功的热情,鼓励全矿职工学习和掌握新知识 新技术 新工艺,建设一支高素质的职工队伍,今年4月10日至9月15日我们在全矿范围内深入开展了职工职业技能大赛活动,取得了较好的效果。回顾今年的职工职业技能大赛活动,有如下四个特点 一 组织协调好。矿领导对...
大学生职业技能大赛策划书
一 活动背景。全球金融风暴来袭,各国经济都受到不同程度的影响,中国也不例外。日趋严峻的就业形式,让高校毕业生面临着巨大的就业压力。而机会总是眷顾有准备的人,我们应当不断扎实提升本领,提高自身综合素质,扬起梦想的风帆。在改革开放的新时期,当代中国大学生以成为最活跃的闪光点,不仅在这样的一个时代中轻松愉...