初级等保测评师试题

注意：等保测评初级管理只考等级保护政策和相关标准应用、安全管理和物理评测。具体见下表：

1 等级保护政策和相关标准应用

2 安全管理和物理测评

2.1 安全管理

2.1.1 安全管理制度

2.1.2 安全管理机构

2.1.3 人员安全管理

2.1.4 系统建设管理

2.1.5 系统运维管理

2.2 物理测评

2.2.1 物理位置的选择

a)机房和办公场地应选具有防震、防风和防雨等能力的建筑内；

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

2.2.2 物理访问控制

a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

b)进入机房的来访人员应经过申请和审批流程，以限制和监控其活动范围；

c)对机房分区进行管理，区域之间设置物理隔离装置，在重要区域前设置交付或过

渡区域；

d)重要区域应配置门禁系统，控制、鉴别和记录进入的人员。

2.2.3 防盗窃和防破坏

a)应将主要设备放在机房内；

b)应将主要设备或主要部件进行固定，并设置明显的不易除去的标志；

c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

d)应对介质分类标识，存储在介质库或档案室中；

e)应利用光、电等技术设置机房放到报警系统；

f)应对机房设置监控报警系统。

2.2.4 防雷击

a)机房建筑应设置

判断题（10×1=10分）

1、动态路由是网络管理员手工配置的路由信息，也可由路器自动地建立 并且能够根据实际情况的变化适时地进行调整。（×）

2、星型网络拓扑结构中，对中心设备的性能要求比较高。（ √ ） 3、访问控制就是防止未授权用户访问系统资源。（ √ ）

4、考虑到经济成本，在机房安装过录像监控之后，可不再布置报警系统。（ × ） 5、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为，降低安全事件的发生。（ √ ）

6、在三级信息系统中，每个系统默认账户和口令原则上都是要进行修改的（√ ） 7、剩余信息保护是三级系统比二级系统新增内容。（ √ ）

8、权限如果分配不合理，有可能会造成安全事件无从查找。（ √ ） 9、三级信息系统中，为了数据的完整性，我们可以采用CRC的校验码措施（ × ） 10、在进行信息安全测试中，我们一般不需要自己动手进行测试。（ √ ） 二、单项选择题（15×2.5=30分） 1、测评单位开展工作的政策依据是（ C ） A.公通字[2004] 66号 C.公信安[2010] 303号 B.公信安[2008] 736 D发改高技[2008]2071

2、当信息系统受到，破

信息安全等级测评师模拟考试

考试形式：闭卷 考试时间：120分钟

一、单选题（每题1.5分，共30分）

1.以下关于等级保护的地位和作用的说法中不正确的是（ C ） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。

D.是促进信息化、维护国家信息安全的根本保障。

2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。

D.加固改造 缺什么补什么 也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（ A ）

A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。

B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。

C.在定级工作中同类信息系统的安全保护等级不

http://www.TopSage.com

软件评测师考试历年试题及解答合订本

软件评测师考试大纲（2005年版）

一、考试说明 1. 考试要求

（1）熟悉计算机基础知识；

（2）熟悉操作系统、数据库、中间件、程序设计语言基础知识； （3）熟悉计算机网络基础知识；

（4）熟悉软件工程知识，理解软件开发方法及过程； （5）熟悉软件质量及软件质量管理基础知识； （6）熟悉软件测试标准；

（7）掌握软件测试技术及方法； （8）掌握软件测试项目管理知识；

（9）掌握C语言以及C++或Java语言程序设计技术； （10）了解信息化及信息安全基础知识； （11）熟悉知识产权相关法律、法规；

（12）正确阅读并理解相关领域的英文资料。

2. 通过本考试的合格人员能在掌握软件工程与软件测试知识的基础上，运用软件测试管理办法、软件测试策略、软件测试技术，独立承担软件测试项目；具有工程师的实际工作能力和业务水平。

3. 本考试设置的科目包括:

（1）软件工程与软件测试基础知识，考试时间为150分钟，笔试，选择题； （2）软件测试应用技术，考试时间为150分钟，

等保测评

测评基本内容

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。具体见下图：

测评过程

等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

测评准备测评方法 编号 1 方案编制现场测评报告编制 测试方法 人员访谈 测试方法说明 与被测信息系统相关管理人员进行交流、讨论等活动，获取相关证据，了解相关信息。 检查被测信息系统是否具有GB/T 22239-2008中规定的的制度、策略、操作规程等文档，检查是否有完整的制度执行情况2 文档审查 记录

中卫科技信息安全等级测评师考试

一、判断题（10×1=10分）

1、路由器仅可以对某个端口的访问情况进行屏蔽。（ × ） 2、三级信息系统应采取双因子认证对管理用户身份进行鉴别。（√） 3、ARP地址欺骗分为对网络设备ARP表的欺骗和对内网PC的网关欺骗（ √ ） 4、在windows系统中，重要目录不对everyone用户开放。（ √ ） 5、一个企事业单位的不同vlan之间可直接进行通信，和外网则不可以（×） 6、三级系统的配置文件权限值不能大于644，可执行文件不能大于755（√ ） 7、病毒、木马、蠕虫都属于恶意代码。（√）

8、三级系统的鉴别信息要求至少8位，并有复杂度要求。（ × ） 9、网络设备的某条不合格，则此项标准可直接判断为不合格。（×） 10、 三级系统应避免将重要网段部署在网络边界处且直接连接外部系统（×） 二、单项选择题（15×2=30分）

1、假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段？ （ B ） A、缓冲区溢出 B、地址欺骗 C、拒绝服务 D、暴力攻击

2、你有一个共享文件夹，你将它的NTFS权限设置为s

信息安全等级保护试题集

一、法律法规

一、单选题

1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门

2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门

3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B)

A．经济价值 经济损失 B．重要程度 危害程度 C．经济价值 危害程度 D．重要程度 经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级 B．第二级 C．第三级 D．第四级

5．一般来说，二级信息系统，适用于（D）

A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

湖南省电子产品检测分析所考勤

信息系统安全等级测评方案

编制： 日期：

审核： 日期：

批准： 日期：

1. 概述

1.1项目简介

湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。

分析所考勤管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。

湖南省网络与信息安全测评中心（以下简称测评中心）受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评，现场测评项目组将分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行测评与分析。

本次测评的目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作

1.2测评依据

信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，在对信息系统进行安全技术和安全管理的