《中华人民共和国网络安全法》规定,任何组织和个人都有权对网络运营者的网络进行安全防御测试。(×)答案:《中华人民共和国网络安全法》规定,国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁。40信息收集与分析工具包括( )
《中华人民共和国网络安全法》规定,任何组织和个人都有权对网络运营者的网络进行安全防御测试。(×)
答案:《中华人民共和国网络安全法》规定,国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁。
40信息收集与分析工具包括( )
A.
网络设备漏洞扫描器 B.
集成化的漏洞扫描器 C.
专业web扫描软件 D.
数据库漏洞扫描器 E.
BCD)。 F.
部署网络安全设备 G.
减少攻击面修改默认配置设置安全设备应对信息收集BCD)。信息收集目标分析实施攻击打扫战场BC)。非法访问恶意代码脆弱口令破解BCD)。显示器输入与输出设备CPUD:存储器[1]BCD)。防火墙防病毒漏洞扫描入侵检测BCD)。技术保障管理保障人员培训保障法律法规保障BCD)。信息安全[2]是一个系统的安全信息安全是一个动态的安全信息安全是一个无边界的安全信息安全是一个非传统的安全BCD)。目标规则组织人员BC)反映业务目标。安全策略[3]目标活动安全执行BCD)信息安全的途径。实施维护监督改进BCD)。向所有管理者和员工有效地推广安全意识向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准为信息安全管理活动提供资金支持提供适当的培训和教育BCD)。信息安全政治安全经济安全文化安全BCD)。信息信息载体人员公司的形象与名誉C)。不确定性确定性客观性主观性BCD)。行政方法技术方法管理方法法律方法BCD)。资产脆弱性威胁控制措施PDCA循环的内容包括(ABCD)。计划实施检查行动BCD)。分派责任约定信息安全管理的范围对特定的原则、标准和遵守要求进行说明对报告可疑安全事件[4]的过程进行说明BCD)。信息安全的管理承诺信息安全协调信息安全职责的分配信息处理设备的授权过程BCD)。一般事件较大事件重大事件特别重大事件BCD)。目标及需求策略及方案演练与测评维护、审核、更新BCD)。灾难恢复预案运行维护管理能力技术支持能力备用网络系统三判断题1中国既是一个网络大国,也是一个网络强国。×2近年来,中国在互联网领域的竞争力和话语权逐渐增强,但与发达国家相比仍有差距。√3《网络安全法》从草案发布到正式出台,共经历了三次审议、两次公开征求意见和修改。√4《网络安全法》一、二、三审稿直至最终出台稿,在基本结构、基本内容方面没有进行根本性的修改。√5在我国网络安全法律体系中,地方性法规及以上文件占多数。×6《网络安全法》为配套的法规、规章预留了接口。√7《网络安全法》没有确立重要数据跨境传输的相关规则。×8个人信息是指通过网络收集、存储、传输、处理和产生的各种电子数据。×9网络空间[5]主权是国家主权在网络空间的体现和延伸。√10《网络安全法》只能在我国境内适用。×11日均访问量超过1000万人次的党政机关网站、企事业单位网站、新闻网站才属于关键信息基础设施。×12我国在个人信息保护方面最早的立法是2000年的《关于维护互联网安全的决定》。√13个人信息的收集、使用者采用匿名化技术对个人信息进行处理之后,使其无法识别出特定个人且不能复原的,向他人提供这些匿名化的数据无须经过被收集者的同意。√14对于网络安全方面的违法行为,《网络安全法》规定仅追究民事责任和行政责任,不会追究刑事责任。×15与中央政府相对应,地方的网信、电信和公安部门是承担网络安全保护和监管职责的主要部门。√16《网络安全法》对地方政府有关部门的网络安全职责未作具体规定,应当依照国家有关规定确定并执行。√17要求用户提供真实身份信息是网络运营者的一项法定义务。√18数据中心[6]是指一旦遭到破坏、丧失功能或者数据泄露[7]将对国家安全、国计民生、公共利益造成重大影响的重要网络设施和系统。×19个人信息保护的核心原则是经过被收集者的同意。√20个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。√21密码字典是密码破解的关键。√22社会工程学攻击是利用人性弱点(本能反应、贪婪、易于信任等)进行欺骗获取利益的攻击方法。√23服务式攻击就是让被攻击的系统无法正常进行服务的攻击方式。×Ping使用ICMP协议数据包最大为6535。×SmurfFraggle攻击原理是伪造受害者地址向广播地址发送应答请求,要求其他机器响应,形成流量攻击。√Spoofing)是指通过伪造源于可信任地址的数据包以使一台机器认证[8]另一台机器的复杂技术。√SQL注入的防御对象是所有内部传入数据。×28如果计算机后门尚未被入侵,则可以直接上传恶意程序。×Whois是一个标准服务,可以用来查询域名是否被注册以及注册的详细资料。√30信息展示要坚持最小化原则,不必要的信息不要发布。√31端口扫描的原理是通过端口扫描确定主机开放的端口,不同的端口对应运行着的不同的网络服务。√32信息安全是独立的行业。×33在20世纪90年代,系统是可被替代的信息工具。√Shannon发表《保密通信的信息理论》,将信息论方式引入到保密通信当中,使得密码技术上升到密码理论层面。√35双密码体制[9]是密码体制的分水岭[10]。√36计算机时代的安全措施是安全操作系统[11]设计技术。√372009年,美国将网络安全问题上升到国家安全的重要程度。√382003年,《国家信息化领导小组关于加强信息安全保障工作的意见》出台。√39信息安全问题产生的内部原因是脆弱性。√40信息安全保障是要在信息系统的整个生命周期中,对信息系统的风险分析。√41一般意义上来说,数据包括信息,信息是有意义的数据。√42习近平总书记担任中共中央网络安全和信息化领导小组组场以来,我国信息化形势越来越好,国家对于信息化也越来越重视。√43一般认为,整个信息安全管理是风险组织的过程。√44一般认为,未做配置的防火墙没有任何意义。√45信息系统是一个人机交互[12]系统。√46我国信息安全管理遵循“技管并重”的原则。√47安全技术是信息安全管理真正的催化剂。×48我国在党的十六届四中全会上将信息安全作为重要内容提出。√49我国现在实行的是“齐抓共管”的信息安全管理体制。√是我国信息安全管理基础设施之一。√ISCCC)不是我国信息安全管理基础设施之一。×52威胁是可能导致信息安全事故和组织信息资产损失的环境或事件√53脆弱性本身会对资产构成危害。×54风险管理[13]是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。√55良好的风险管理过程是成本与收益的平衡。√PDCA管理过程。√57风险管理源于风险处置。×58所有管理的核心就是整个风险处置的最佳集合。√59信息安全管理强调保护关键性信息资产。√PDCA动态持续改进的一个循环体。√61信息安全管理体系实施过程包括规划和建立、实施和运行、监视和评审、保持与改进。√62信息安全实施细则中,安全方针的目标是为信息安全提供与业务需求和法律法规相一致的管理指示及支持。√63保密性协议在信息安全内部组织人员离职后不需要遵守。×64在信息安全实施细则中,对于人力资源安全来说,在上岗前要明确人员遵守安全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任。√65在信息安全实施细则中,对于人力资源安全来说,在雇佣中要有针对性地进行信息安全意识教育和技能培训。√66确认是验证用户的标识,如登录口令验证、指纹验证、电子证书存储器。×67安全信息系统获取的基本原则包括符合国家、地区及行业的法律法规,符合组织的安全策略与业务目标。√68安全信息系统的实施流程包括需求分析、市场招标、评标、选择供应商、签订合同、系统实施[14]。×69信息安全事件管理与应急响应过程包括准备、确认、遏制、根除、恢复、跟踪。√70我国信息安全事件管理与应急响应实行的是等保四级制度。×