1、信息安全标准与法律法规参考题一、填空题(每空1分,共10分)1.我国的立法组织有 国务院 、 全国和各地区人大2.美国的立法、行政、司法分别由国会、总统、法院掌管。3.我国司法组织中的两大系统:人民法院、人民检察院。4.信息安全工作的风险主要来自信息系统中存在的脆弱点。5.中华人民共和国计算机信息系统安全保护条例中明确了我国计算机信息系统安全保护工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。6.公安机关在信息安全等级保护工作中的职责是监督、检查、指导。7.互联网信息服务分为经营性互联网信息服务和非经营性互联网信息服务两类。8.信息系统安全专用产品是
2、指用于保护计算机信息系统安全的专用硬件和软件。9.安全专用产品在进入市场销售之前必须申领计算机信息系统安全专用产品销售许可证。10.我国的标准分为:国家标准、行业标准、地方标准、企业标准四个级别。11.计算机信息系统保护应采取的各项通用技术要求包括安全功能技术要求和安全保证技术要求两个方面。二、选择题(每题1分,共30分)1有一信息系统其适用范围为涉及国家安全、社会秩序和公共利益,其损害会对国家安全、社会秩序和公共利益造成损害,则该信息系统的安全等级为:CA第一级 B第二级 C第三级 D第四级 E第五级2.以下不属于信息安全的基本属性的是EA完整性 B可用性 C可控性 D保密性 E安全性3.以
3、下哪项不属于信息安全的三大支柱:BEA信息安全技术 B黑客诱骗技术 C信息安全法律法规 D信息安全标准 E信息安全管理制度4以下哪个是我国的最高立法组织:AA全国人大及其常委会 B 国务院C 区人大 D 人民法院5. 美国最高立法机关是:CA参议院B 众议院C美国国会D 法院6. 我国的执法组织包括:A人民法院B人民检察院C公安部D安全部E工商行政管理局F税务局7. 我国在信息系统安全保护方面最早制定的一部法规,也是最基本的一部法规是:AA中华人民共和国计算机信息系统安全保护条例B计算机信息网络国际联网安全保护管理办法C信息安全等级保护管理办法D计算机信息系统安全保护等级划分准则8.以下哪个选
4、项属于中华人民共和国计算机信息系统安全保护条例适用的范围:CDA未联网的微型计算机B军队的计算机C中华人民共和国境内的计算机D任何组织和个人9.在信息系统安全保护的五个等级中,下面那些级别的适用范围为一般的信息系统。ABA第一级B第二级C第三级D第四级E第五级10. 在信息系统安全保护的五个等级中,下面那些级别的适用范围为涉及国家安全、社会秩序和公共利益。CDA第一级B第二级C第三级D第四级E第五级11.以下哪些网络属于经营性互联网络:ABA中国公用计算机互联网B中国金桥信息网C中国教育和科研计算机网D中国科学技术网12.以下哪些网络属于为公益性互联网络:CDA中国公用计算机互联网B中国金桥信
5、息网C中国教育和科研计算机网D中国科学技术网13.以下哪些网络不能经营国际互联网络业务:ABCA专业计算机信息网络B企业计算机信息网络C通过专线进行国际联网的计算机信息网络D中华人们共和国境内的计算机互联网络14.以下哪些不属于互联网上网服务营业场所:ABA用于学校图书馆资料查询的计算机场所B联通营业厅里缴费的计算机场所C学校外面的网吧D茶餐厅里的电脑休闲室15.直辖市、省会城市和计划单列市的每一互联网上网服务营业场所的计算机设备台数不得少于多少台。DA 50 B 30 C 40 D 6016. 直辖市、省会城市和计划单列市的每一互联网上网服务营业场所的计算机每台占地面积不得少于多少平方米。C
6、A 1平方米 B 1.5平方米C 2平方米D 2.5平方米17.互联网上网服务营业场所管理条例中规定:中小学校园周围多少米范围内不能设立互联网上网服务营业场所?BA 100米 B 200米 C 150米 D 400米18. 互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的,应当向下面那个部门办理变更登记或者注销登记?CA文化行政部门B 公安机关 C 工商行政管理部门D 街道办19. 互联网上网服务营业场所经营单位和上网消费者不得利用互联网上网服务营业场所制作、下载、复制、查阅、发布、传播或者以其他方式使用含有如下的那些内容:BCDEA
7、可兰经 B 煽动新疆独立 C 发布他人裸照D 公布对他人造成伤害的个人隐私E 法律、法规禁止的内容F 宣传佛教20. 互联网上网服务营业场所每日营业时间限于:AA 8时至24时 B全天24小时 C 9时至24时 D 10时至24时21. 互联网上网服务营业场所经营单位的以下哪种行为是违反互联网上网服务营业场所管理条例的。ADEA 接纳10岁小学生进入营业场所的B 在规定时间内营业C 经营网络游戏D 停止实施经营管理技术措施 E 没有对上网消费者的身份进行核对22. 互联网电子邮件服务提供者应当记录经其电子邮件服务器发送或者接收的互联网电子邮件的如下哪些内容:ABA发送或者接收时间B 发送者和接
8、收者的互联网电子邮件地址及IP地址C发送者的个人详细信息D 接受者的家庭情况信息23.发送包含商业广告内容的互联网电子邮件时,要求在互联网电子邮件标题信息前部注明什么字样?CDA“AE”B “DA” C “AD” D “广告”24. 传播计算机病毒的行为包括:ABCA 故意输入计算机病毒,危害计算机信息系统安全;B 向他人提供含有计算机病毒的文件、软件、媒体;C 销售、出租、附赠含有计算机病毒的媒体;D 进行计算机病毒的开发和研究25.“熊猫烧香”病毒属于那种类型病毒:DA 木马病毒 B 幽灵病毒C 非破坏性病毒D 蠕虫病毒26.以下哪些描述是正确的。ABDEA重点单位是组织中的一部分B一个组
9、织中的重点单位可以是一个,也可以是多个C一个组织中的要害部位只能有一个D要害部位属于重点单位E掌管信息系统的单位或部门就是重点单位27.以下哪些单位属于重点单位:ABCEA信息系统控制管理中心 B数据存储中心 C 系统电源管理部门 D 安全制度制定部门 E 运行系统的主机28.以下哪些描述是错误的:ACA地方标准由国务院有关行政主管部门负责制定和审批,并报国务院标准化行政主管部门备案B国家标准由国务院标准化行政主管部门负责组织制定和审批C企业标准由省级政府标准化行政主管部门负责制定和审批,并报国务院标准化行政主管部门和国务院有关行政主管部门备案D行业标准由国务院有关行政主管部门负责制定和审批,
10、并报国务院标准化行政主管部门备案29.以下哪些标准属于强制性国家标准:ABA GB17859-1999B GB9361-88SC GB/T4000-1996D GB/T28001-200730.计算机信息系统安全等级保护网络技术要求(GA/T387-2002)属于:CA中华人民共和国强制性国家标准 B 中华人民共和国推荐性国家标准 C公共安全行业标准D中华人民共和国国家标准化指导性技术文件 31.以下哪些选项不属于计算机信息系统安全保护能力划分的等级:FA用户自主保护级 B系统审计保护级 B安全标记保护级 C结构化保护级 E访问验证保护级 F监督保护级32. 计算机信息系统保护应采取的各项通用
11、技术要求中属于安全功能技术要求的是:ADA物理安全B TCB自身安全保护 C TCB设计与实现 D信息安全三、简答题(每题5分,共25分)1、什么是有害数据?它与计算机病毒有何区别?有害数据的定义: 是指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图像、文字、声音等多种形式表示的,含有攻击人民民主专政、社会主义制度、攻击党和国家领导人,破坏民族团结等危害国家安全内容; 含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容; 危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性,用于违法活动的计算机程序。计算机病毒:指编制或者在计算机程序中插入的破坏计算
12、机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。两者关系:计算机病毒属于有害数据,有害数据不一定是计算机病毒。2、什么是信息安全?保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。3、中华人民共和国刑法中关于计算机犯罪的规定有哪些条款?请简单陈述各条款内容。刑法第285条 :违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或拘役。刑法第286条 :违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严
13、重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。刑法第287条 :利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。4、什么是计算机信息系统?指由计算机及其相关的和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。5、什么是TCB?计算机信息系统可信计算基是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。6.什么是信息?我们认为,所谓信息(Information),“就是客
14、观世界中各种事物的变化和特征的最新反映,是客观事物之间联系的表征,也是客观事物状态经过传递后的再现。” 7.简述我国的立法程序四大步骤:法律方案提出;法律草案的审议;法律草案的表决和通过;法律的公布。8. 什么是计算机犯罪?行为人利用计算机实施危害计算机信息系统安全和其他严重危害社会的犯罪行为。9. 风险管理的主要工作。主动寻找系统的脆弱点,识别出威胁,采取有效的主动防御;当威胁出现或受到攻击后,对系统所遭受的损失及时进行评估,制定防范措施,避免风险再次发生;研究制定风险应对策略,从容应对各种可能发生的风险。四、论述题20分1、 根据如下的系统简述,请应用信息系统安全保护等级定级指南的知识给系
15、统确定等级,表1至表4为参考表。(要求:详细写明步骤及各个类型赋值及定级的缘由)系统简述:奥运网络主要包括6个奥运网络和信息系统:1. 奥组委办公外网:承载自动化办公、场馆管理、电子邮件、物流等业务;2. 奥组委内部办公局域网:承载着财务管理、人事管理等业务;3. 奥运票务网站:负责提供票务申请、信息填写4. 票务管理系统:存储处理通过各种方式申请、购买奥运票务的个人数据;5. 奥运官方网站:门户网站和后台数据处理系统6. 竞赛网:承担赛事安排、计时、成绩统计等。表1 业务信息安全性等级矩阵表 业务信息类型信息系统所属类型123112222333344表2 业务服务保证性取值矩阵表信息系统服务
16、范围业务依赖程度123112322343344表3 调节因子赋值表 赋值描述调节因子k信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失1.0 k 0.8信息系统无法提供服务或无法提供有效服务会造成较大范围的公共利益损失0.8 k 0.5 信息系统无法提供服务或无法提供有效服务会造成局部利益损失0.5 k 0 表4 调节后的业务服务保证性等级2、 假设你在某高校校园网络管理中心兼职,现领导要求你为学生宿舍上网的计算机用户制定相应的行为规范,请结合所学信息安全管理制度制定该规范。10分3、 请陈述在关于维护互联网安全的决定中,如何界定违法犯罪行为,并分析以下案例中曾智峰、杨医男是否构成
17、犯罪,其依据为何?5分案例:曾智峰于2004年5月31日受聘入职腾讯公司,后被安排到公司安全中心负责系统监控工作。2005年3月初,曾智峰通过购买QQ号在淘宝网上与杨医男互相认识,二人合谋通过窃取他人QQ号出售获利。2005年3月至7月间,由杨医男将随机选定的他人的QQ号(主要为5、6位数的号码)通过互联网发给曾智峰。曾智峰本人并无查询QQ用户密码保护资料的权限,便私下破解了腾讯公司离职员工柳某使用过但尚未注销的“ioioliu”帐号的密码(该帐号拥有查看QQ用户原始注册信息,包括证件号码、邮箱等信息的权限)。曾智峰利用该帐号进入本公司的计算机后台系统,根据杨医男提供的QQ号查询该号码的密码保
18、护资料,即证件号码和邮箱,然后将查询到的资料发回给杨医男,由杨医男将QQ号密码保护问题答案破解,并将QQ号的原密码更改后将QQ号出售给他人,造成QQ用户无法使用原注册的QQ号。经查,二人共计修改密码并卖出QQ号约130个,获利61650元,其中,曾智峰分得39100元,杨医男分得22550元。基于以下四点进行界定:1. 为了保障互联网运行安全2. 为了维护国家安全和社会稳定3. 为了维护社会主义市场经济秩序和社会管理秩序4. 为了保护个人、法人和其他组织的人生财产等合法权利根据界定第四点判断其二人已经构成犯罪。其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、
19、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的安全生产目标责任书为了进一步落实安全生产责任制,做到“责、权、利”相结合,根据我公司2015年度安全生产目标的内容,现与财务部签订如下安全生产目标:一、目标值:1、全年人身死亡事故为零,重伤事故为零,轻伤人数为零。2、现金安全保管,不发生盗窃事故。3、每月足额提取安全生产费用,保障安全生产投入资金的到位。4、安全培训合格率为100%。二、本单位安全工作上必须做到以下内容: 1、对本单位的安全生产负直接领导责任,必须模范遵守公司的各项安全管理制度,不发布与公司安全管理制度相抵触的指令,严格履行本人的安
20、全职责,确保安全责任制在本单位全面落实,并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施,并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产,始终把安全工作放在首位,当“安全与交货期、质量”发生矛盾时,坚持安全第一的原则。 4、参加生产碰头会时,首先汇报本单位的安全生产情况和安全问题落实情况;在安排本单位生产任务时,必须安排安全工作内容,并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查,做到有检查、有整改,记录全。 7、以身作则,不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任,同时要予以查处。 8、虚心接受员工提出的问题,杜绝不接受或盲目指挥;9、发生事故,应立即报告主管领导,按照“四不放过”的原则召开事故分析会,提出整改措施和对责任者的处理意见,并填写事故登记表,严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育;11、严格执行公司安全生产十六项禁令,保证本单位所有人员不违章作业。 三、 安全奖惩: 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励;对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落
浙ICP备2021020529号-1 | 浙B2-20240490 
