信息安全等级测评师考试

判断题（10×1=10分）

1、动态路由是网络管理员手工配置的路由信息，也可由路器自动地建立 并且能够根据实际情况的变化适时地进行调整。（×）

2、星型网络拓扑结构中，对中心设备的性能要求比较高。（ √ ） 3、访问控制就是防止未授权用户访问系统资源。（ √ ）

4、考虑到经济成本，在机房安装过录像监控之后，可不再布置报警系统。（ × ） 5、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为，降低安全事件的发生。（ √ ）

6、在三级信息系统中，每个系统默认账户和口令原则上都是要进行修改的（√ ） 7、剩余信息保护是三级系统比二级系统新增内容。（ √ ）

8、权限如果分配不合理，有可能会造成安全事件无从查找。（ √ ） 9、三级信息系统中，为了数据的完整性，我们可以采用CRC的校验码措施（ × ） 10、在进行信息安全测试中，我们一般不需要自己动手进行测试。（ √ ） 二、单项选择题（15×2.5=30分） 1、测评单位开展工作的政策依据是（ C ） A.公通字[2004] 66号 C.公信安[2010] 303号 B.公信安[2008] 736 D发改高技[2008]2071

2、当信息系统受到，破

中卫科技信息安全等级测评师考试

一、判断题（10×1=10分）

1、路由器仅可以对某个端口的访问情况进行屏蔽。（ × ） 2、三级信息系统应采取双因子认证对管理用户身份进行鉴别。（√） 3、ARP地址欺骗分为对网络设备ARP表的欺骗和对内网PC的网关欺骗（ √ ） 4、在windows系统中，重要目录不对everyone用户开放。（ √ ） 5、一个企事业单位的不同vlan之间可直接进行通信，和外网则不可以（×） 6、三级系统的配置文件权限值不能大于644，可执行文件不能大于755（√ ） 7、病毒、木马、蠕虫都属于恶意代码。（√）

8、三级系统的鉴别信息要求至少8位，并有复杂度要求。（ × ） 9、网络设备的某条不合格，则此项标准可直接判断为不合格。（×） 10、 三级系统应避免将重要网段部署在网络边界处且直接连接外部系统（×） 二、单项选择题（15×2=30分）

1、假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段？ （ B ） A、缓冲区溢出 B、地址欺骗 C、拒绝服务 D、暴力攻击

2、你有一个共享文件夹，你将它的NTFS权限设置为s

信息安全等级保护试题集

一、法律法规

一、单选题

1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门

2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门

3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B)

A．经济价值 经济损失 B．重要程度 危害程度 C．经济价值 危害程度 D．重要程度 经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级 B．第二级 C．第三级 D．第四级

5．一般来说，二级信息系统，适用于（D）

A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统

信息安全等级测评师模拟考试

考试形式：闭卷 考试时间：120分钟

一、单选题（每题1.5分，共30分）

1.以下关于等级保护的地位和作用的说法中不正确的是（ C ） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。

D.是促进信息化、维护国家信息安全的根本保障。

2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。

D.加固改造 缺什么补什么 也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（ A ）

A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。

B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。

C.在定级工作中同类信息系统的安全保护等级不

思科 华为 是否存在路由协议认证：show running_config display current_configuration 查看vlan划分情况：show vlan display vlan all

查看acl的命令：show ip access_list display acl config all show running_config display acl config al2 show running_config display current_configuration Show ip arp display arp

查看日志记录情况： show logging display current_configurati

附件1：

信息安全等级保护测评机构

申 请 表

名称： 地址： 日期：

国家信息安全等级保护工作协调小组办公室制

填表说明：（封皮背面）

1、申请表应由申请单位法定代表人签字；委托代表人签字的，应出具有效的委托书。

2、如所填内容超出表格时，可添加附页。

3、测评机构申请单位测评人员基本情况表一人一表。 4、申请表一式二份。同时提供word格式电子版光盘。

测评机构申请单位基本情况表

业 务 范 围 及 主 营 业 务

(近年来从事信息系统安全相关工作的业绩，需要列举已完成项目的范例)

从 事 信 息 系 统 安 全 相 关 工 作 情 况

(等级测评所需的测试实验环境、测评工作平台、专门工具、测试与评估设备及其它服务保障 设施情况；设备类别清单)

设 备 设 施 配 备 情 况

(为加强内部规范管理，适应等级测评业务安全保密要求而采取的人员管理、安全保密管理、 设备使用管理、测评质量控制管理等方面的措施和制度建设情况)

安 全 保 密 管 理 等 制 度 情 况

(技术人才数量、层次、培训、承担重大课题、项目情况)

测 评 技 术 力

信息安全等级保护二级测评控制点

一、技术类测评要求

等级保护二级技术类测评控制点(S2A2G2) 类别 物理位置的选择 序号 测评内容 测评方法 访谈，检查。 物理安全负责人，机房，办公场地， 机房场地设计/验收文档。 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人 员进入机房的审批记录。 访谈，检查。 物理安全负责人，机房维护人员， 资产管理员，机房设施，设备管理 制度文档，通信 线路布线文档，报 警设施的安装测试/验收报告。 访谈，检查。 物理安全负责人，机房维护人员， 结果记录 符合情况 Y N O 机房和办公场地应选择在具有防震、防风和防雨等能力1. 的建筑内。 2. 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 物理访问控制 3. 物理安全 防盗窃和防破坏 4. 应将主要设备放置在机房内。 应将设备或主要部件进行固定，并设置明显的不易除去5. 的标记。 6. 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 7.

http://www.TopSage.com

软件评测师考试历年试题及解答合订本

软件评测师考试大纲（2005年版）

一、考试说明 1. 考试要求

（1）熟悉计算机基础知识；

（2）熟悉操作系统、数据库、中间件、程序设计语言基础知识； （3）熟悉计算机网络基础知识；

（4）熟悉软件工程知识，理解软件开发方法及过程； （5）熟悉软件质量及软件质量管理基础知识； （6）熟悉软件测试标准；

（7）掌握软件测试技术及方法； （8）掌握软件测试项目管理知识；

（9）掌握C语言以及C++或Java语言程序设计技术； （10）了解信息化及信息安全基础知识； （11）熟悉知识产权相关法律、法规；

（12）正确阅读并理解相关领域的英文资料。

2. 通过本考试的合格人员能在掌握软件工程与软件测试知识的基础上，运用软件测试管理办法、软件测试策略、软件测试技术，独立承担软件测试项目；具有工程师的实际工作能力和业务水平。

3. 本考试设置的科目包括:

（1）软件工程与软件测试基础知识，考试时间为150分钟，笔试，选择题； （2）软件测试应用技术，考试时间为150分钟，

注意：等保测评初级管理只考等级保护政策和相关标准应用、安全管理和物理评测。具体见下表：

1 等级保护政策和相关标准应用

2 安全管理和物理测评

2.1 安全管理

2.1.1 安全管理制度

2.1.2 安全管理机构

2.1.3 人员安全管理

2.1.4 系统建设管理

2.1.5 系统运维管理

2.2 物理测评

2.2.1 物理位置的选择

a)机房和办公场地应选具有防震、防风和防雨等能力的建筑内；

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

2.2.2 物理访问控制

a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

b)进入机房的来访人员应经过申请和审批流程，以限制和监控其活动范围；

c)对机房分区进行管理，区域之间设置物理隔离装置，在重要区域前设置交付或过

渡区域；

d)重要区域应配置门禁系统，控制、鉴别和记录进入的人员。

2.2.3 防盗窃和防破坏

a)应将主要设备放在机房内；

b)应将主要设备或主要部件进行固定，并设置明显的不易除去的标志；

c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

d)应对介质分类标识，存储在介质库或档案室中；

e)应利用光、电等技术设置机房放到报警系统；

f)应对机房设置监控报警系统。

2.2.4 防雷击

a)机房建筑应设置

信息安全等级保护

公安部公共信息网络安全监察局

(一)等级保护是什么 (二)等级保护做什么 (三)等级保护如何实施

法律和政策依据《中华人民共和国计算机信息系统安全保护条例》第二章安 中华人民共和国计算机信息系统安全保护条例》 全保护制度部分规定： 全保护制度部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全 计算机信息系统实行安全等级保护。 等级保护的具体办法，由公安部会同有关部门制定。” 等级保护的具体办法，由公安部会同有关部门制定。

《计算机信息系统安全保护等级划分准则》GB17859-1999(技 计算机信息系统安全保护等级划分准则》GB17859-1999 术法规)规定： :国家对信息系统实行五级保护。 国家对信息系统实行五级保护。

《国家信息化领导小组关于加强信息安全保障工作的意见》 国家信息化领导小组关于加强信息安全保障工作的意见》 重点强调：实行信息安全等级保护制度，重点保护基础信息网络和重要信息系 实行信息安全等级保护制度， 统。

一、等级保护是什么(一)等级保护基本概念：信息系统安全等级保护是指对信息安全实行等 等级保护基本概念： 级化保护和等级化管理

根据信息系统应用业务重要程度及其实际安全需求，实 行分级、分类、分