《信息安全标准与法律法规》参考题.doc

1、《信息安全标准与法律法规》参考题 一、填空题（每空1分，共10分） 1.我国的立法组织有 国务院 、 全国和各地区人大 2.美国的立法、行政、司法分别由国会、总统、法院掌管。 3.我国司法组织中的两大系统：人民法院、人民检察院。 4.信息安全工作的风险主要来自信息系统中存在的脆弱点。 5.《中华人民共和国计算机信息系统安全保护条例》中明确了我国计算机信息系统安全保护工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。 6.公安机关在信息安全等级保护工作中的职责是监督、检查、指导。 7.互联网信息服务分为经营性互联网信息服务和非经

2、营性互联网信息服务两类。 8.信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件。 9.安全专用产品在进入市场销售之前必须申领《计算机信息系统安全专用产品销售许可证》。 10.我国的标准分为：国家标准、行业标准、地方标准、企业标准四个级别。 11.计算机信息系统保护应采取的各项通用技术要求包括安全功能技术要求和安全保证技术要求两个方面。 二、选择题(每题1分，共30分) 1．有一信息系统其适用范围为涉及国家安全、社会秩序和公共利益，其损害会对国家安全、社会秩序和公共利益造成损害，则该信息系统的安全等级为：C A第一级 B第二级 C第三级 D第四级 E第五级

3、 2.以下不属于信息安全的基本属性的是E A完整性 B可用性 C可控性 D保密性 E安全性 3.以下哪项不属于信息安全的三大支柱：BE A信息安全技术 B黑客诱骗技术 C信息安全法律法规 D信息安全标准 E信息安全管理制度 4．以下哪个是我国的最高立法组织：A A全国人大及其常委会 B 国务院C 区人大 D 人民法院 5. 美国最高立法机关是：C A参议院B 众议院C美国国会D 法院 6. 我国的执法组织包括： A人民法院B人民检察院C公安部D安全部E工商行政管理局F税务局 7. 我国在信息系统安全保护方面最早制定的一部法规，也是最基本的一部法规是：A A《

4、中华人民共和国计算机信息系统安全保护条例》 B《计算机信息网络国际联网安全保护管理办法》 C《信息安全等级保护管理办法》 D《计算机信息系统安全保护等级划分准则》 8.以下哪个选项属于《中华人民共和国计算机信息系统安全保护条例》适用的范围：CD A未联网的微型计算机 B军队的计算机 C中华人民共和国境内的计算机 D任何组织和个人 9.在信息系统安全保护的五个等级中，下面那些级别的适用范围为一般的信息系统。AB A第一级B第二级C第三级D第四级E第五级 10. 在信息系统安全保护的五个等级中，下面那些级别的适用范围为涉及国家安全、社会秩序和公共利益。CD A第一级B第二级

5、C第三级D第四级E第五级 11.以下哪些网络属于经营性互联网络：AB A中国公用计算机互联网 B中国金桥信息网 C中国教育和科研计算机网 D中国科学技术网 12.以下哪些网络属于为公益性互联网络：CD A中国公用计算机互联网 B中国金桥信息网 C中国教育和科研计算机网 D中国科学技术网 13.以下哪些网络不能经营国际互联网络业务：ABC A专业计算机信息网络 B企业计算机信息网络 C通过专线进行国际联网的计算机信息网络 D中华人们共和国境内的计算机互联网络 14.以下哪些不属于互联网上网服务营业场所：AB A用于学校图书馆资料查询的计算机场所B联通营业厅里缴费

6、的计算机场所C学校外面的网吧D茶餐厅里的电脑休闲室 15.直辖市、省会城市和计划单列市的每一互联网上网服务营业场所的计算机设备台数不得少于多少台。D A 50 B 30 C 40 D 60 16. 直辖市、省会城市和计划单列市的每一互联网上网服务营业场所的计算机每台占地面积不得少于多少平方米。C A 1平方米 B 1.5平方米C 2平方米D 2.5平方米 17.《互联网上网服务营业场所管理条例》中规定：中小学校园周围多少米范围内不能设立互联网上网服务营业场所？B A 100米 B 200米 C 150米 D 400米 18. 互联网上网服务营业场所经营单位变更名称、住

7、所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的，应当向下面那个部门办理变更登记或者注销登记？C A文化行政部门B 公安机关 C 工商行政管理部门D 街道办 19. 互联网上网服务营业场所经营单位和上网消费者不得利用互联网上网服务营业场所制作、下载、复制、查阅、发布、传播或者以其他方式使用含有如下的那些内容：BCDE A可兰经 B 煽动新疆独立 C 发布他人裸照D 公布对他人造成伤害的个人隐私E 法律、法规禁止的内容F 宣传佛教 20. 互联网上网服务营业场所每日营业时间限于：A A 8时至24时 B全天24小时 C 9时至24时 D 10时至24时 21. 互联

8、网上网服务营业场所经营单位的以下哪种行为是违反《互联网上网服务营业场所管理条例》的。ADE A 接纳10岁小学生进入营业场所的B 在规定时间内营业C 经营网络游戏D 停止实施经营管理技术措施 E 没有对上网消费者的身份进行核对 22. 互联网电子邮件服务提供者应当记录经其电子邮件服务器发送或者接收的互联网电子邮件的如下哪些内容： AB A发送或者接收时间 B 发送者和接收者的互联网电子邮件地址及IP地址 C发送者的个人详细信息 D 接受者的家庭情况信息 23.发送包含商业广告内容的互联网电子邮件时，要求在互联网电子邮件标题信息前部注明什么字样？CD A“AE”B “DA” C

9、AD” D “广告” 24. 传播计算机病毒的行为包括：ABC A 故意输入计算机病毒，危害计算机信息系统安全； B 向他人提供含有计算机病毒的文件、软件、媒体； C 销售、出租、附赠含有计算机病毒的媒体； D 进行计算机病毒的开发和研究 25.“熊猫烧香”病毒属于那种类型病毒：D A 木马病毒 B 幽灵病毒C 非破坏性病毒D 蠕虫病毒 26.以下哪些描述是正确的。ABDE A重点单位是组织中的一部分 B一个组织中的重点单位可以是一个，也可以是多个 C一个组织中的要害部位只能有一个 D要害部位属于重点单位 E掌管信息系统的单位或部门就是重点单位 27.以下哪些单位

10、属于重点单位：ABCE A信息系统控制管理中心 B数据存储中心 C 系统电源管理部门 D 安全制度制定部门 E 运行系统的主机 28.以下哪些描述是错误的：AC A地方标准由国务院有关行政主管部门负责制定和审批，并报国务院标准化行政主管部门备案 B国家标准由国务院标准化行政主管部门负责组织制定和审批 C企业标准由省级政府标准化行政主管部门负责制定和审批，并报国务院标准化行政主管部门和国务院有关行政主管部门备案 D行业标准由国务院有关行政主管部门负责制定和审批，并报国务院标准化行政主管部门备案 29.以下哪些标准属于强制性国家标准：AB A GB17859-199

11、9 B GB9361-88S C GB/T4000-1996 D GB/T28001-2007 30.《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)属于：C A中华人民共和国强制性国家标准 B 中华人民共和国推荐性国家标准 C公共安全行业标准 D中华人民共和国国家标准化指导性技术文件 31.以下哪些选项不属于计算机信息系统安全保护能力划分的等级：F A用户自主保护级 B系统审计保护级 B安全标记保护级 C结构化保护级 E访问验证保护级 F监督保护级 32. 计算机信息系统保护应采取的各项通用技术要求中属于安全功能技术要求的是：AD A物理安

12、全B TCB自身安全保护 C TCB设计与实现 D信息安全 三、简答题（每题5分，共25分） 1、什么是有害数据？它与计算机病毒有何区别？ 有害数据的定义： Ÿ 是指计算机信息系统及其存储介质中存在、出现的，以计算机程序、图像、文字、声音等多种形式表示的，含有攻击人民民主专政、社会主义制度、攻击党和国家领导人，破坏民族团结等危害国家安全内容； Ÿ 含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容； Ÿ 危害计算机信息系统运行和功能发挥，应用软件、数据可靠性、完整性和保密性，用于违法活动的计算机程序。 计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏

13、数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 两者关系：计算机病毒属于有害数据，有害数据不一定是计算机病毒。 2、什么是信息安全？ 保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。 3、《中华人民共和国刑法》中关于计算机犯罪的规定有哪些条款？请简单陈述各条款内容。 刑法第285条 :违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或拘役。 刑法第286条 :违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不

14、能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 刑法第287条 :利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。 4、什么是计算机信息系统？ 指由计算机及其相关的和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 5、什么是TCB？ 计算机信息系统可信计算基是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 6.什么是信息？ 我们

15、认为，所谓信息（Information），“就是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。” 7.简述我国的立法程序 四大步骤： 法律方案提出；法律草案的审议；法律草案的表决和通过；法律的公布。 8. 什么是计算机犯罪? 行为人利用计算机实施危害计算机信息系统安全和其他严重危害社会的犯罪行为。 9. 风险管理的主要工作。 主动寻找系统的脆弱点，识别出威胁，采取有效的主动防御； 当威胁出现或受到攻击后，对系统所遭受的损失及时进行评估，制定防范措施，避免风险再次发生； 研究制定风险应对策略，从容应对各种可能发生的风险。

16、 四、论述题20分 1、 根据如下的系统简述，请应用信息系统安全保护等级定级指南的知识给系统确定等级，表1至表4为参考表。(要求:详细写明步骤及各个类型赋值及定级的缘由) 系统简述：奥运网络主要包括6个奥运网络和信息系统： 1. 奥组委办公外网：承载自动化办公、场馆管理、电子邮件、物流等业务； 2. 奥组委内部办公局域网：承载着财务管理、人事管理等业务； 3. 奥运票务网站：负责提供票务申请、信息填写 4. 票务管理系统：存储处理通过各种方式申请、购买奥运票务的个人数据； 5. 奥运官方网站：门户网站和后台数据处理系统 6. 竞赛网：承担赛事安排、计时、成绩统计等。 表

17、1 业务信息安全性等级矩阵表 业务信息类型 信息系统所属类型 1 2 3 1 1 2 2 2 2 3 3 3 3 4 4 表2 业务服务保证性取值矩阵表 信息系统服务范围 业务依赖程度 1 2 3 1 1 2 3 2 2 3 4 3 3 4 4 表3 调节因子赋值表 赋值描述 调节因子k 信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失 1.0 ³ k ³ 0.8 信息系统无法提供服务或无法提供有效服务会造成较大范围的公共利益损失 0.8 > k ³ 0.5 信息系统无法提供服务或无法提

18、供有效服务会造成局部利益损失 0.5 > k ³ 0 表4 调节后的业务服务保证性等级 2、 假设你在某高校校园网络管理中心兼职，现领导要求你为学生宿舍上网的计算机用户制定相应的行为规范，请结合所学信息安全管理制度制定该规范。10分 3、 请陈述在《关于维护互联网安全的决定》中，如何界定违法犯罪行为，并分析以下案例中曾智峰、杨医男是否构成犯罪，其依据为何？5分 案例：曾智峰于2004年5月31日受聘入职腾讯公司，后被安排到公司安全中心负责系统监控工作。2005年3月初，曾智峰通过购买QQ号在淘宝网上与杨医男互相认识，二人合谋通过窃取他人QQ号出售获利。2005年3月至7月间

19、由杨医男将随机选定的他人的QQ号（主要为5、6位数的号码）通过互联网发给曾智峰。曾智峰本人并无查询QQ用户密码保护资料的权限，便私下破解了腾讯公司离职员工柳某使用过但尚未注销的“ioioliu”帐号的密码（该帐号拥有查看QQ用户原始注册信息，包括证件号码、邮箱等信息的权限）。曾智峰利用该帐号进入本公司的计算机后台系统，根据杨医男提供的QQ号查询该号码的密码保护资料，即证件号码和邮箱，然后将查询到的资料发回给杨医男，由杨医男将QQ号密码保护问题答案破解，并将QQ号的原密码更改后将QQ号出售给他人，造成QQ用户无法使用原注册的QQ号。经查，二人共计修改密码并卖出QQ号约130个，获利61650元

20、其中，曾智峰分得39100元，杨医男分得22550元。 基于以下四点进行界定： 1. 为了保障互联网运行安全 2. 为了维护国家安全和社会稳定 3. 为了维护社会主义市场经济秩序和社会管理秩序 4. 为了保护个人、法人和其他组织的人生财产等合法权利 根据界定第四点判断其二人已经构成犯罪。 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 安全生产目标责任书 为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年

21、度安全生产目标的内容，现与财务部签订如下安全生产目标： 一、目标值： 1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。 2、现金安全保管，不发生盗窃事故。 3、每月足额提取安全生产费用，保障安全生产投入资金的到位。 4、安全培训合格率为100%。 二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。

22、 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥； 9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育； 11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落