2020年CISP每日一练

1、国际标准化组织（International Organization for Standardization）对信息安全的定义为（）

A．保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可能性、可控性和不可否认性

B．信息安全，有时缩写为InfoSec,是防止未经授权的访问、使用、披露、中断、修改、检查、记录或破坏信息的做法。它是一个可以用于任何形式数据（例如电子、物理）的通用术语

C．在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力，这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可能性、真实性、完整性和机密性

D．为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的恶意的原因而受到破坏、更改、泄露

2、关于信息安全保障技术框架（Information Assurance Technical Framework，IATF），下面描述错误的是（）

A．IATF最初由美国国家安全局（NSA）发布，后来由国际标准化组织（ISO）转化为国际标准，供各个国家信息系统建设参考使用

B．IATF是一个通用框架，可以用到多种应用场景中，通过对复杂信息系统进行解构和描述，然后再以此框架讨论信息系统的安全保护问题

C．IATF提出了深度防御的战略思想，并提供一个框架进行多层保护，以此防范信息系统面临的各种威胁

D．强调人、技术和操作是深度防御的三个主要层面，也就是说讨论人在技术支持下运行维护的信息安全保障问题

3、关于信息安全保障技术框架（IATF），以下说法不正确的是：

A．分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本

B．IATF从人、技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施

C．允许在关键区域（例如区域边界）使用高安全级保障解决方案，确保系统安全性

D．IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制

4、2003年以来，我国高度重视信息安全保障工作，先后制定并发布了多个文件，从政策层面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件？

A．《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

B．《国家网络安全综合计划（CNCI）》（国令[2008]54号）

C．《国家信息安全战略报告》（国信[2005]2号）

D．《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）

5、2008年1月2日，美国发布第54号总统令，建立国家网络安全综合计划（Comprehensive National Cybersecurity Initative，CNCI ）。CNCI计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境。从以上内容，我们可以看出以下哪种分析是正确的：

A．CNCI是以风险为核心，三道防线首要的任务是降低其网络所面临的风险

B．从CNCI可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的

C．CNCI的目的是尽快研发并部署新技术和彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补

D．CNCI彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障

6、在信息安全保障工作中，人才是非常重要的因素，近年来，我国一直高度重视我国信息安全人才队伍的培养和建设。在以下关于我国关于人才培养工作的描述中，错误的是？

A．在《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中，针对信息安全人才建设与培养工作提出了“加快新鲜全人才培养，增强全民信息安全意识”的指导精神

B．2015年，为加快网络空间安全高层次人才培养，经报国务院学位委员会批准，国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科，这对于我国网络信息安全人才成体系化、规模化、系统化培养起到积极的推动作用

C．经过十余年的发展，我国信息安全人才培养已经成熟和体系化，每年培养的信息安全从业人员的数量较多，基本能同社会实际需求相匹配；同时，高校信息安全专业毕业人才的综合能力要求高、知识更全面，因而社会化培养应重点放在非安全专业人才培养上

D．除正规大学教育外，我国信息安全人才非学历教育已基本形成了以各种认证为核心，辅以各种职业技能培训的信息安全人才培训体系，包括“注册信息安全专业人员（CISP）”资质认证和一些大型企业的信息安全资质认证

7、下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则？

A．《关于加强政府信息系统安全和保密管理工作的通知》

B．《中华人民共和国计算机信息系统安全保护条例》

C．《国家信息化领导小组关于加强信息安全保障工作的意见》

D．《关于开展信息安全风险评估工作的意见》

8、信息安全保障技术框架（Information Assurance Technical Framework ，IATF）由美国国家安全局（NSA）发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是？

A．网络和基础设施、区域边界、重要服务器

B．网络和基础设施、区域边界、计算环境

C．网络机房环境、网络接口、计算环境

D．网络机房环境、网络接口、重要服务器

9、为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（）

A．信息安全需求是安全方案设计和安全措施实施的依据

B．信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求

C．信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到

D．信息安全需求来自于该公众服务信息系统的功能设计方案

10、从历史演进来看，信息安全的发展经历了多个阶段。其中，有一个阶段的特点是：网络信息系统逐步形成，信息安全注重保护信息在存储、处理和传输过程中免受非授权的访问，开始使用防火墙、防病毒、PKI和VPN等安全产品。这个阶段是？

A．通信安全阶段

B．计算机安全阶段

C．信息系统安全阶段

D．信息安全保障阶段

11、下面关于信息系统安全保障模型的说法不正确的是？

A．国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》（GB/T20274.1-2006）中的信息系统安全保障模型将风险和策略作为基础和核心

B．模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化

C．信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全

D．信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入

12、《信息安全保障技术框架》（Information Assurance Technical Framework，IATF）是由下面哪个国家发布的？

A．中国

B．美国

C．俄罗斯

D．欧盟

13、我国信息安全保障工作先后经历了启动、逐步展开和积极推进，以及深化落实三个阶段，我国信息安全保障各阶段说法不正确的是？

A．2001年，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动

B．2003年7月，国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》（中办发27号文件），明确了“积极防御、综合防范”的国家信息安全保障工作方针

C．2003年，中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段

D．在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展

14、我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面，以下关于信息安全保障建设主要工作内容说法不正确的是？

A．健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障

B．建设信息安全基础设施，提供国家信息安全保障能力支撑

C．建立信息安全技术体系，实现国家信息化发展的自主创新

D．建立信息安全人才培养体系，加快信息安全科学建设和信息安全人才培养

15、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?

A．提高信息技术产品的国产化率

B．保证信息安全资金投入

C．加快信息安全人才培养

D．重视信息安全应急处理工作

*****************************************************************************************

参考答案：

1、D 2、A 3、D 4、B 5、A 6、C 7、C 8、B 9、D、10、C 11、D 12、B 13、C 14、C 15、A

*****************************************************************************************