2023年职业技能大赛信息安全信息安全等级保护知识

发布 2023-09-14 01:59:06 阅读 7478

2012广东省技能大赛高职组第一阶段赛题。

第二部分:信息安全等级保护知识(50分)

注意:以下题目为不定项选择题,每题分值2%,将答案填写到答题卡上,成绩以答题卡为准)

1.对于残余风险,机构应该( )

a.确保残余风险降到最低。

b.对于不可接受范围内的风险,应在选择适当的控制措施后,对残余风险进行再评价。

c.不断调整或增加控制措施以减低残余风险描述。

d.残余风险都是不可接受的。

e.必要时可接受残余风险描述

2.整体风险评估关注的焦点主要集中在( )

a.检查与安全相关的机构实践,标识当前安全实践的优点和弱点。

b.包括对系统进行技术分析、对政策进行评审,以及对物理安全进行审查。

c.使用软件工具分析基础结构及其全部组件。

d.检查it的基础结构,以确定技术上的弱点。

e.帮助决策制定者综合平衡风险以选择成本效益对策

3.关于定性评估和定量评估以下表述正确的是( )

a.在定性评估时并不使用具体的数据,而是指定期望值

b.定量风险分析方法要求特别关注资产的价值和威胁的量化数据。

c.定量分析方法是最广泛使用的风险分析方式。

d.定量分析方法存在一个问题,就是数据的不可靠和不精确。

e.定性分析中风险的等级就是风险值,应赋予明确的含义

4.关于coras工程,下列表述正确的是( )

a.该工程指在开发一个基于面向对象建模技术的风险评估框架。

b.该工程特别指出使用uml建模技术。

是同用的,并不为风险评估提供方法学。

d. coras开发了具体的技术规范来进行安全风险评估。

准则和coras方法都使用了半形式化和形式化规范。

5.关于故障树分析方法下列正确的是( )

a.故障树分析是一种top-down方法。

b.故障树分析方法可以分为定性和定量两种方式。

c.故障树的定量分析就是通过求故障树的最小割集,得到顶事件的全部故障模式。

d.故障树方法主要用于分析大型复杂系统的可靠性及安全性。

e.不管是故障树的定性还是定量分析方式,首先都需要建造故障树

6.概率风险评估(pra)和动态风险概率评估(dpra)的主要分析步骤包括( )

a.识别系统中存在的事件,找出风险源。

b.对各风险源考察其在系统安全中的地位,及相互逻辑关系,给出系统的风险源树。

c.标识各风险源后果大小及风险概率。

d.对风险源通过逻辑及数学方法进行组合,最后得到系统风险的度量。

e.分析风险模式的危害度

7.下列对风险分析方法属于定性分析方法的有( )

a.事件树分析(eta)

b.风险评审技术。

c.德尔斐法。

d.动态概率风险评估(dpra)

e.风险模式影响及危害性分析(rmeca)

方法的基本步骤包括( )

a.系统分解,建立层次结构模型。

b.识别系统中存在的事件,找出风险源。

c.构造判断矩阵。

d.通过单层次计算进行安全性判断。

e.层次总排序,完成综合判断。

9.信息安全基本属性不包括( )

a.机密性。

b.可用性。

c.封装性。

d.完整性。

10.项目规划阶段所涉及的安全需求包括( )

a.明确安全总体方针。

b.明确项目范围。

c.提交明确的安全需求文档。

d.对实现的可能性进行充分分析、论证。

11.对安全总体方针文档的内容应审查的方面包括( )

a.是否已经制定并发布了能够反映机构安全管理意图的信息安全文件。

b.风险管理过程的执行是否有机构保障。

c.是否有专人按照特定的过程定期进行反复与评审。

d.风险管理的范围是否明确。

12.设计阶段的主要需求不包括( )

a.对用以实现安全系统的各类技术进行有效性评估。

b.对用于实施方案的产品需满足安全保护等级的要求。

c.确保采购的设备、软件和其他系统组件满足已定义的安全要求。

d.对自开发的软件要在设计阶段就充分考虑安全风险。

13.为管理安全技术选择过程中可能引入的安全风险,机构需要采取的措施有( )

a.参考现有国内外安全标准。

b.参考过内外公认安全实践。

c.参考行业标准。

d.专家委员会决策。

14.实施阶段的风险管理过程与活动包括( )

a.检查与配置。

b.安全测试。

c.人员培训。

d.授权系统运行。

15.运行维护阶段的安全需求包括( )

a.在信息系统未发生更改的情况下,维持系统正常运行,进行日常的安全操作及安全管理。

b.在信息系统及其运行环境发生变化的情况,进行风险评估并针对风险制定控制措施。

c.定期进行风险再评估工作,维持系统的持续安全。

d.定期进行信息系统的重新审批工作,确保系统授权的时间有效性。

16.运行维护阶段的风险管理活动包括( )

a.安全运行和管理。

b.变更管理。

c.风险再评估。

d.定期重新审批。

17.废弃阶段的信息安全风险管理主要活动和内容包括( )

a.确定废弃对象。

b.废弃对象的风险分析。

c.废弃过程的风险控制。

d.废弃后的评审。

18.沟通与咨询包括( )

a.与决策层沟通,以得到他们的理解和批准。

b.与管理层和执行层沟通,以得到他们的理解和协作。

c.与支持层沟通,以得到他们的了解和支持。

d.与用户层沟通,以得到他们的了解和配合。

e.为所有层面的相关人员提供咨询和培训等,以提高他们的安全意识、知识和技能。

19.以下关于沟通与咨询方式的表述正确的是( )

a.沟通与咨询的双方角色不同,所采取的方式有所不同。

b.表态适用于管理层对支持层和管理层对用户层。

c.指导和检查指机构上级对下级工作的指导和检查,用以保证工作质量和效率。

d.宣传和介绍适用于决策层对支持层和执行层对支持层。

20.监控与审查包括( )

a.监控过程有效性,包括流程是否完整和有效地被执行。

b.监控成本有效性,包括执行成本与所得效果相比是否合理。

c.审查结果有效性,包括输出结果是否因信息系统自身或环境的变化而过时。

d.监控与审查的过程应贯穿于信息安全风险管理的对象确立、风险分析、风险控制和审核批准这四个基本步骤。

21.监控与审查过程的输出文档主要包括( )

a.《对象确立的监控与审查记录》

b.《风险分析的监控与审查记录》

c.《风险控制的监控与审查记录》

d.《审核批准的监控与审查记录》

22.审核批准的过程主要包括的阶段是( )

a.审核申请。

b.审核处理。

c.批准申请。

d.批准处理。

e.持续监督。

23.审核处理阶段的工作流程和内容包括( )

a.审查审核材料。

b.提交审核申请。

c.测试审核对象。

d.整改审核对象。

e.做出审核结论。

24.批准处理阶段的输出文档包括( )

a.《审核申请书》

b.《审查结果报告》

c.《批准申请书》

d.《批准决定书》

25.在下列文档中,不属于持续监督阶段的输出文档是( )

a.《批准申请书》

b.《审核到期通知书》

c.《审查结果报告》

d.《批准到期通知书》

e.《环境变化因素的描述报告》

26.风险控制的过程包括哪些阶段( )

a.现存风险判断。

b.控制目标确立。

c.风险等级评价。

d.控制措施选择。

e.控制措施实施。

27.在下列要素中,属于ppdrr模型中”policy”部分的风险控制需求的有( )

a.系统安全管理守则。

b.身份认证。

c.数据加密。

d.应急响应计划。

e.网络安全管理守则。

28.控制目标确立阶段的输出文档包括( )

a.《信息系统的分析报告》

b.《风险接受等级划分表》

c.《风险控制需求分析报告》

d.《风险控制目标列表》

e.《风险控制实施计划书》

29.对象确立过程包括的阶段有( )

a.风险管理准备。

b.信息系统调查。

c.信息系统分析。

d.信息安全分析。

e.风险评估。

30.信息系统调查阶段的工作流程和内容包括( )

a.调查信息系统的业务目标。

b.调查信息系统的业务特性。

c.调查信息系统的管理特性。

d.调查信息系统的技术特性。

e.形成《信息系统的描述报告》

31.对象确立过程的输出文档包括( )

a.《风险管理计划书》

b.《信息系统的描述报告》

c.《信息系统的分析报告》

d.《信息系统的安全要求报告》

e.《风险分析报告》

32.下列要素属于信息载体的有( )

a.存储介质。

b.通信介质。

c.国家法律。

d.系统软件。

e.网络协议及其软件。

33.下列要素属于信息环境的有( )

a.数据库系统。

b.抗电磁干扰设施。

c.行政法规。

d.组织机构。

e.通信协议及其软件。

34.目前的漏洞扫描工具主要可分为的类型有( )

a.基于网络的扫描器。

b.基于主机的扫描器。

c.战争拨号器(wardialer)

d.数据库漏洞扫描。

e.分布式网络扫描器。

35.信息的安全属性包括( )

a. 保密性。

b. 完整性。

c. 可用性。

d. 可控性。

e. 不可否认性。

36.信息安全保护对象中信息载体包括( )

a. 物理平台。

b. 资源平台。

c. 系统平台。

d. 应用平台。

37.在iso/iec13335-1中it安全有几方面的含义( )

a.3b.4

c.5d.6

38.下列哪些属于iso/iec13335 it安全管理的内容( )

a.配置管理。

b.变更管理。

c.制定安全策略。

d.安全意识。

将toe的安全保障分为7级,其中第四级为( )

a.结构测试。

b.系统设计、测试和复查级。

c.形式化验证的设计和测试级。

d.半形式化设计和测试级。

40.通信与运行管理包括几个执行目标( )

a.5b.6

c.7d.8

41.信息收集方式包括哪些( )

a.调查问卷。

b.现场面谈。

c.文档检查。

d.使用自动扫描工具。

42.信息安全风险评估的原则包括( )

a.可控性原则。

b.完整性原则。

c.最小影响原则。

d.保密原则。

43.安全工程是一个包括( )的完整过程。

a.概念、设计。

b.实现、测试。

c.部署、运行。

d.维护、推出。

44.风险评估与管理工具主要分为哪3类( )

a.基于信息安全标准的风险评估与管理工具。

b.基于知识的风险评估与管理工具。

c.基于系统的风险评估与管理工具。

d.基于模型的风险评估与管理工具。

的安全模型数据库基于著名的“资产/威胁/弱点”模型,评估过程主要包括( )

a.定义研究范围和边界,识别和评价资产。

b.评估风险,即对威胁和弱点进行评估。

c.选择和推荐适当的对策。

d.针对系统采取防护措施,计算和评估防护措施带来的收益成本。

46.目前对脆弱性扫描工具的研发主要分为哪几种类型( )

a.基于网络的扫描器。

b.基于主机的扫描器。

c.分布式网络扫描器。

d.数据库脆弱性扫描器。

47.极光专用安全系统平台具有很高的安全性和稳定性,主要功能模块有( )

a.扫描核心模块。

b.数据同步模块。

c.升级模块。

界面模块。48.渗透测试分为( )

职业技能大赛总结

2013年安徽省职业院校技能大赛 高职组 普通话导游服务比赛总结。一 参赛概述。参赛项目 2013年安徽省职业院校技能大赛 高职组 普通话导游服务比赛。参赛时间 2013年4月1日 2013年4月3日。参赛地点 安徽工商职业学院。参赛人员 指导教师 参赛情况 此次比赛共有36个代表队,70名参赛选手...

职工职业技能大赛总结

2010年10月。为了激发广大职工学技术 钻业务 练硬功的热情,鼓励全矿职工学习和掌握新知识 新技术 新工艺,建设一支高素质的职工队伍,今年4月10日至9月15日我们在全矿范围内深入开展了职工职业技能大赛活动,取得了较好的效果。回顾今年的职工职业技能大赛活动,有如下四个特点 一 组织协调好。矿领导对...

大学生职业技能大赛策划书

一 活动背景。全球金融风暴来袭,各国经济都受到不同程度的影响,中国也不例外。日趋严峻的就业形式,让高校毕业生面临着巨大的就业压力。而机会总是眷顾有准备的人,我们应当不断扎实提升本领,提高自身综合素质,扬起梦想的风帆。在改革开放的新时期,当代中国大学生以成为最活跃的闪光点,不仅在这样的一个时代中轻松愉...