D：以上各项都对

25．以下哪个标准是信息安全管理国际标准？【C】

A：ISO9000-2000

B：SSE-CMM

C：ISO17799

D：ISO15408

二、判断题（每小题1分，共计10分）

1、计算机信息系统的安全威胁同时来自内、外两个方面。【V】

2、漏洞是指任何可以造成破坏系统或信息的弱点。【V】

3、安全审计就是日志的记录。【X】

4、对于一个计算机网络来说,依靠防火墙即可以达到对网络内部和外部的安全防护【X】

5、风险评估四要素是资产识别、确定威胁（Threat)、识别脆弱性（Vulnerability)、实施控制方法【V】

6、防范网络攻击最常用的方法是使用防火墙，防火墙能阻止内部攻击，对内部入侵者来说防火墙作用很大【X】

7、在设计系统安全策略时要首先评估可能受到的安全威胁【V】

8、Sumrf攻击是通过将目的地址设置为被攻击者的地址造成的【X】

9、路由协议如果没有认证功能，就可以伪造路由信息，导致路由表混乱，从而使网络瘫痪【V】

10、通常一个三个字符的口令破解需要18秒【V】

三、简答题（本大题共四小题每小题5分共20分）

1.风险评估的目的和内容有哪些？

2.简述一下黑客入侵步骤。

3.TOE评估过程的主要输入内容包括哪些

4.风险管理过程

试卷答案

一、单项选择题(本大题共25小题，每小题2分，共50分)

A A C D A A A C C D ADABB A A C C B A D C D C

二、判断题（每小题1分，共计10分）

VVXXV XVXVV

三、简答题（本大题共四小题每小题5分共20分）

1.风险评估的目的和内容有哪些？

目的：

了解组织的安全现状

分析组织的安全需求

建立信息安全管理体系的要求

制订安全策略和实施安防措施的依据

组织实现信息安全的必要的、重要的步骤

内容：

明确你所审计的企业的性质

阅读一份书面的安全策略

评价已经存在的管理和控制体系实施安全审计

将系统按安全等级进行分类