CISP官方信息安全保障章节练习一

d、建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养 最佳答案是:c

11.以下哪一项不是我国信息安全保障的原则： a、立足国情，以我为主，坚持以技术为主

b、正确处理安全与发展的关系，以安全保发展，在发展中求安全

c、统筹规划，突出重点，强化基础性工作

d、明确国家.企业.个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系 最佳答案是:a 12.

信

息

安

全

保

障

技

术

框

架

(InformationAssuranceTechnicalFramework，IATF)由美国国家安全局(NSA)发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是：

a、网络和基础设施区域边界重要服务器 b、网络和基础设施区域边界计算环境 c、网络机房环境网络接口计算环境 d、网络机房环境网络接口重要服务器 最佳答案是:b

13.关于信息安全保障的概念，下面说法错误的是：

a、信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念

b、信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段

c、在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全

d、信息安全保障把信息安全从技术扩展到管理，通过技术.管理和工程等措施的综合融合，形成对信息.信息系统及业务使命的保障

最佳答案是:c

14.关于信息安全保障技术框架(IATF)，以下说法不正确的是： a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本

b、IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施

c、允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性

d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制 最佳答案是:d

15.下面关于信息系统安全保障模型的说法不正确的是： a、国家标准《信息系统安全保障评估框架第一部分：简介和一

般模型》(GB／T20274．1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心

b、模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化

c、信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全

d、信息系统安全保障主要是确保信息系统的保密性.完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入 最佳答案是:d

16.在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时，正确的理解是： a、测量单位是基本实施(BasePractices，BP) b、测量单位是通用实施(GenericPractices，GP) c、测量单位是过程区域(ProcessAreas，PA) d、测量单位是公共特征(CommonFeatures，CF) 最佳答案是:d

17.下面关于信息系统安全保障的说法不正确的是：

a、信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关

b、信息系统安全保障要素包括信息的完整性.可用性和保密性

c、信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障

d、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命 最佳答案是:b

18.关于我国加强信息安全保障工作的主要原则，以下说法错误的是：

a、立足国情，以我为主，坚持技术与管理并重

b、正确处理安全和发展的关系，以安全保发展，在发展中求安全

c、统筹规划，突出重点，强化基础工作

d、全面提高信息安全防护能力，保护公众利益，维护国家安全 最佳答案是:d

19.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是： a、在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实

b、在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足

c、确保对软编码人员进行安全培训，使开发人员了解安全编码