信息安全工程习题和答案版.docx

1、信息安全工程习题和答案版第一章1、填空题1.信息保障的三大要素是_、_、_2.在bs7799信息安全管理体系中，信息安全的主要目标是信息的_、_、_的保持3.信息安全一般包括_、_、信息安全和_四个方面的内容。4.信息安全管理是通过维护信息的_、_、_等，来管理和保护信息资产的一项体制二、名词解释1.信息安全 2.信息安全管理四、论述 1.我国信息安全管理现状如何？第二章1、填空题1.BS7799信息安全管理领域的一个权威标准，其最大意义就在于它给_一整套可“_”的信息安全管理要领。2.SSE-CMM将安全工程划分为三个基本的安全区域，即_、_、_3.SSE-CMM包含了_个级别，我国的信息和

2、信息系统的安全保护等级共分为_级2、名词解释1.信息安全管理体系ISMS 2.信息安全等级保护 3.信息安全管理体系认证 三、简答 1建立ISMS有什么作用？ 2可以采用哪些模式引入BS7799？ 3我国对于信息和信息系统的安全保护等级是如何划分的？ 4SSE-CMM将安全工程划分为哪些基本的过程区域？每一个区域的含义是什么？ 5.建立信息安全管理体系一般要经过哪些基本步骤？四、论述 1.PDCA分为哪几个阶段？每一个阶段的主要任务是什么？ 2.等级保护的实施分为哪几个阶段？每一个阶段的主要步骤是什么？ 3.试述BS7799的主要内容。第三章一、填空题1.资产管理的主要任务是_、_等2.脆弱性

3、分为_、_、_3.风险评估方法分为_、_、_4.OCTAVE是一种信息安全风险评估方法，它指的是_、_、_5.组织根据_与_的原则识别并选择安全控制措施6.风险接受是一个对残留风险进行_和_的过程2、名词解释 （1）资产的价值 （2）威胁 （3）脆弱性 （4）安全风险 （5）风险评估 （6）风险管理 （7）安全控制 （8）适用性声明三、简答 1.叙述风险评估的基本步骤。 2.资产、威胁与脆弱性之间的关系如何？ 3.信息系统的脆弱性一般包括哪几类？ 4.比较基本风险评估与详细风险评估的优缺点。第四章1、填空题1.人员安全管理包括_、_、_2.对人员的安全审查一般从人员的_、_、_等几个方面进行审

4、查。三、简答 1在我国，信息安全管理组织包含哪些层次？ 2信息安全组织的基本任务是什么？ 3信息安全教育包括哪些方面的内容？第五章一、填空题1.为防止XX的_，预防对信息系统的_和_的破坏和干扰，应当对信息系统所处的环境进行区域划分2.机房安全就是对旋转信息系统的_进行细致周密的计划，对信息系统加以_上的严密保护3.计算机系统的电磁泄漏途径有：_和_4.影响计算机电磁辐射强度的因素有_、_、_5.媒介保护和管理的目的是保护存储在媒介上的_，确保信息不被_、篡改、破坏或_6.基于移动存储介质的安全威胁传播快、危害大，而且有很强的_和_7.信息的存储与处理应当_，以便保护这些信息免于XX的_和_8

5、.根据GB9361-88，计算机机房的安全等级分为_、_和_。9.保证电子文档安全的技术措施有加密技术、_、_和_。二、名词解释 1.物理安全边界三、简答 1信息系统安全界线的划分和执行应考虑哪些原则和管理措施？ 2为了保证信息系统安全，应当从哪些方面来保证环境条件？ 3信息系统在实际应用中采用的防泄露措施主要有哪些？ 4设备安全管理包括哪些方面？ 5对于移动存储介质的管理应当考虑哪些策略？四、论述 1对于信息的存储与处理应当考虑哪些管理措施？第六章1、填空题1.系统可靠性分为_和_2._和_中最大的安全弱点是用户账号3.针对用户账号安全，可采用_、_、_来保护4.系统选购通过_、_等，保证所

6、选购安全性5.程序测试的目的有两个：一是_，二是_6.系统安全验证的方法有_、_二、名词解释1.系统安全性验证 2.破坏性分析4、论述1.系统安全原则包括哪些？分别简述。第七章1、填空题 1.信息安全策略分为_和_两个层次。2.信息安全管理程序包括两部分：一是实施控制目标与控制方式的_另一部分是覆盖信息安全管理体系的_的程序3.系统安全监控与审计是指对系统的_和系统中用户的_进行监视、控制和记录4.安全监控分为_和_两大类5.从实现技术上看，安全审计分为_和_两部分6.审计分析的基本方法有_、_、_7.网络故障管理的基本步骤包括_、_和_8.目前网络测量方法有：_、_和_二、名词解释1.信息安

7、全策略 2.系统安全审计 3.操作权限管理 4.操作监控三、简答1.信息安全策略有哪些相关技术2.叙述系统安全审计的工作原理。 3.操作权限管理有哪些方式？4.操作监控管理的主要内容有哪些？5.故障管理包括哪些内容？故障管理的基本步骤是什么？四、论述1.试述信息安全策略的制定过程第八章1、填空题1.目前入侵检测技术可分为_和_二、名词解释 1.应急响应 2.安全紧急事件三、简答 1.如何理解应急响应在信息安全中的地位和作用？2.应急响应组织分为哪几类？分别简述。四、论述应急响应处置流程通常被划分为哪些阶段？各个阶段的主要任务是什么？案例应用题 1.结合你所学过的知识，谈一谈降低风险的主要途径有

8、哪些？2.系统安全监控的主要内容有哪些？请举例说明系统安全监控有哪些实现方式？3.某设计院有工作人员25人，每人一台计算机，Windows 98对等网络通过一台集线器连接起来，公司没有专门的IT管理员。公司办公室都在二楼，同一楼房内还有多家公司，在一楼入口处赵大爷负责外来人员的登记，但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师，他经常拨号到Internet访问一些设计方面的信息，他的计算机上还安装了代理软件，其他人员可以通过这个代理软件访问Internet。下列情况都是有可能的： 1）小偷顺着一楼的防护栏潜入办公室偷走了 2）

9、保洁公司人员不小心弄脏了准备发给客户的设计方案；错把掉在地上的合同稿当废纸收走了；不小心碰掉了墙角的电源插销 3）某设计师张先生是公司的骨干，他嫌公司提供的设计软件版本太旧，自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭，可是张先生还是喜欢新版本的设计程序，并找到一些办法避免错误发生时丢失文件。 4）后来张先生离开设计院，新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常，没有人理会，最后决定自己重新安装操作系统和应用程序。 5）小李把自己感觉重要的文件备份到陈博士的计算机上，听说Windows2000比较稳定，他决定安装Windows

10、2000，于是他就重新给硬盘分区，成功完成了安装。 6）大家通过陈博士的计算机访问Internet，收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet，陈博士收到几封主题不同的电子邮件，内容竟然包括几个还没有提交的设计稿，可是员工都说没有发过这样的信。 针对上述情况，请从下面所列的安全策略中选择你认为适合的放在相应的位置。 物理安全策略网络安全策略数据加密策略数据备份策略病毒防护策略系统安全策略身份认证及授权策略灾难恢复策略事故处理与紧急响应策略安全教育策略口令管理策略补丁管理策略系统变更控制策略商业伙伴与客户关系策略复查审计策略（例： 1） ）4.某高校信息安

11、全应对策略 某大学师生人数众多，拥有两万多台主机，上网用户也在2万人左右，而且用户数量一直成上升趋势。校园网在为广大师生提供便捷、高效的学习、工作环境的同时，也在宽带管理、计费和安全等方面存在许多问题。具体如下： （1）IP地址及用户账号的盗用。 （2）多人使用同一账号。 （3）网络计费管理功能的单一。 （4）对带宽资源的大量占用导致重要应用无法进行。 （5）访问权限难以控制。 （6）安全问题日益突出。 （7）异常网络事件的审计和追查。（8）多个校区的管理和维护。 针对这些问题，相应的应对策略。 第一章一、填空题1.人员 技术 管理2.机密性 完整性 可用性3.实体安全 运行安全 管理安全4.

12、机密性 完整性 可用性2、名词解释1.信息安全是保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。2.信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。4、论述1.在国家宏观信息安全管理方面，主要有以下几个方面的问题：（1）法律法规问题（2）管理问题（3）国家信息基础设施建设问题 在微观信息安全管理方面的问题主要有以下几方面：缺乏信息安全意识与明确的信息安全方针（2）重视安全技术，轻视安全管理（3）安全管理缺乏系统管理的思想。第

13、二章1、填空题1.管理层 量体裁衣2.风险 工程 保证3.六 五二、名词解释1.信息安全管理体系（ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体系；信息安全管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。2.信息安全等级保护是指根据信息系统在国家安全、经济安全、社会稳定、和保护公共利益等方面的重要程度，结合系统面临的风险、应对风险的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。3.信息安全管理体系认证，是第三方依据程序

14、对产品、过程和服务等符合规定的要求给予书面保证（如合格证书）。认证的基础是标准，认证的方法包括对产品特性的抽样检验和对组织体系的审核与评定，认证的证明方式是认证证书与认证标志。目前，世界上普遍采用的信息安全管理体系认证的标准是在英国标准协会的信息安全管理委员会指导下制定的B57799-2:信息安全管理体系规范。3、简答 1.ISMS的作用 1）强化员工的信息安全意识，规范组织信息安全行为； 2）促使管理层贯彻信息安全保障体系； 3）对组织的关键信息资产进行全面系统的保护，维持竞争优势； 4）在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； 5）使组织的生意伙伴和客户对组织充满信心；

15、 6）如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，可以提高组织的知名度与信任度。. 2.答：组织在实施BS7799时，可以根据需求和实际情况，采用以下几种模式： (1)按照BS7799标准的要求，自我建立和实施组织的安全管理体系，以达到保证信息安全的目的； (2)按照BS7799标准的要求，自我建立和实施组织的安全管理体系，以达到保证信息安全的目的，并且通过BS7799体系认证； (3)通过安全咨询顾问，来建立和实施组织的安全管理体系，以达到保证信息安全的目的； (4)通过安全咨询顾问，来建立和实施组织的安全管理体系，以达到保证信息安全的目的，并且通过BS7799体系认证。

16、 3.信息和信息系统的安全保护等级共分为五级： （1）第一级：自主保护级 （2）第二级：指导保护级 （3）第三级：监督保护级 （4）第四级：强制保护级 （5）第五级：专控保护级 4.SSE-CMM将安全工程划分为3个基本的过程区域，即风险、工程和保证。 风险：安全工程的主要目标是降低风险。风险就是有害事件发生的可能性，个不确定因素发生的可能性依赖于具体情况，这就意味着这种可能性仅能在某种限制下预测。 工程：安全工程与其他项目一样，是一个包括概念、设计、实现、测试、部署、运行、维护和退出的完整过程。 保证：是指安全需求得到满足的信任程度，它是安全工程非常重要的产品， SSE-CMM的信任程度来自

17、于安全工程过程可重复性的结果质量，这种信任的基础是成熟组织比不成熟组织更可能产生出重复结果的事实。 5.建立信息安全管理体系一般要经过下列五个基本步骤： 信息安全管理体系的策划与准备；信息安全管理体系文件的编制；建立信息安全管理框架；信息安全管理体系的运行；信息安全管理体系的审核与评审四、论述 1.答:PDCA循环的四个阶段的具体任务和内容如下。 （1）计划阶段：制定具体工作计划，提出总的目标。具体来讲又分为以下4个步骤：分析目前现状，找出存在的问题；分析产生问题的各种原因以及影响因素；分析并找出管理中的主要问题；制定管理计划，确定管理要点。 本阶段的任务是根据管理中出现的主要问题，制定管理的

18、措施和方案，明确管理的重点。 （2）实施阶段：按照制定的方案去执行。本阶段的任务是在管理工作中全面执行制定的方案。 （3）检查阶段：检查实施计划的结果。本阶段的任务是检查工作，调查效果。 （4）行动阶段：根据调查效果进行处理。对已解决的问题，加以标准化；找出尚未解决的问题，转入下一个循环中去，以便解决。 2.信息安全等级保护的实施过程包括定级阶段、规划与设计阶段和实施、等级评估与改进阶段。 （1）定级阶段，包括两个步骤：系统识别与描述；等级确定 （2）规划与设计阶段，包括三个步骤：a）系统分域保护框架建立b）选择和调整安全措施c）安全规划和方案设计 （3）实施、等级评估与改进阶段，包括三个步骤

19、：a）安全措施的实施b）评估与验收c）运行监控与改进 3.BS7799基本内容包括信息安全政策、信息安全组织、信息资产分类与管理、人员信息安全、物理和环境安全、通信和运营管理、访问控制、信息系统的开发与维护、业务持续性管理、信息安全事件管理和符合性管理十一个方面。第三章一、填空题1.资产责任划分 分类标识2.技术脆弱性 操作脆弱性 管理脆弱性3.基本风险评估 详细风险评估 联合风险评估4.可操作的关键威胁 资产 漏洞评估5.控制费用 风险平衡6.确认 评价二、名词解释 （1）资产的价值：为了明确对资产的保护，所对资产进行的估价。 （2）威胁：威胁是指可能对资产或组织造成损害的事故的潜在原因。

20、（3）脆弱性：所谓脆弱性就是资产的弱点或薄弱点，这些弱点可能被威胁利用造成安全事件的发生，从而对资产造成损害。 （4）安全风险：所谓安全风险，就是特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。 （5）风险评估：即对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。 （6）风险管理：所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。 （7）安全控制：安全控制就是保护组织资产、防止威胁、减少脆弱性、限制安全事件影响的一系列安全实践、过

21、程和机制。 （8）适用性声明：所谓适用性声明，是指对适用于组织需要的目标和控制的评述。三、简答 1.（1）按照组织业务运作流程进行资产识别，并根据估价原则对资产进行估价； （2）根据资产所处的环境进行威胁评估； （3）对应每一威胁，对资产或组织存在的脆弱性进行评估； （4）对已采取的安全机制进行识别和确认； （5）建立风险测量的方法及风险等级评价原则，确定风险的大小与等级。 2.资产、威胁与脆弱性之间的对应关系包括： 一项资产可能存在多个威胁； 威胁的来源可能不只一个，应从人员、环境、资产本身等方面加以考虑； 每一威胁可能利用一个或数个脆弱性。 3.大体可以分为以下几类。 技术脆弱性：系统、程

22、序和设备中存在的漏洞或缺陷，如结构设计问题和编程漏洞等； 操作脆弱性：软件和系统在配置、操作及使用中的缺陷，包括人员日常工作中的不良习惯、审计或备份的缺乏等； 管理脆弱性：策略、程序和规章制度等方面的弱点。 4.基本风险评估有许多优点，主要是： 风险评估所需资源最少，简便易实施； 同样或类似的控制能被许多信息安全管理体系所采用。基本风险评估的缺点包括： 安全基线水平难以设置； 管理与安全相关的变更可能有困难。详细风险评估的优点主要包括： 可以获得一个更精确的对安全风险的认识，从而可以更为精确地识别出反映组织安全要求的安全水平； 可以从详细的风险评估中获得额外信息，使与组织变革相关的安全管理受益

23、。 详细风险评估的缺点主要是，需要花费相当的时间、精力和技术去获得可行的结果。第四章一、填空题1.人员安全审查 人员安全教育 人员安全保密管理2.安全意识 法律意识 安全技能三、简答1.在我国，信息安全管理组织有4个层次：各部委信息安全管理部门、各省信息安全管理部门、各基层信息安全管理部门以及经营单位。其中，直接负责信息系统应用和系统运行业务的单位为系统经营单位，其上级单位为系统管理部门。2.信息安全组织的基本任务是在政府主管部门的管理指导下，由与系统有关的各方面专家，定期或适时进行风险评估，根据本单位的实际情况和需要，确定信息系统的安全等级和管理总体目标，提出相应的对策并监督实施，使得本单位

24、信息系统的安全保护工作能够与信息系统的建设、应用和发展同步前进。 3.教育和培训的具体内容和要求会因培训对象的不同而不同，主要包括法规教育、安全技术教育和安全意识教育等。除了以上教育和培训，组织管理者应根据工作人员所从事的安全岗位不同，提供必要的专业技能培训第五章一、填空题1.访问 基础设施（设备） 业务信息2.空间 物理3.辐射泄漏 传导泄漏4.功率和频率 距离因素 屏蔽状况5.信息 非法窃取 非法使用6.隐蔽性 欺骗性7.规范化 泄漏 误用8.A B C 9.签名技术 身份认证 防火墙。二、名词解释 1.所谓物理安全边界是指在信息系统的实体和环境这一层次上建立某种屏障，例如门禁系统等。三、

25、简答 1.答：信息系统安全界线的划分和执行应考虑如下的原则和管理措施： (1)必须明确界定安全范围； (2)信息处理设施所在的建筑物或场所的周边应当得到妥善的保护，所有入口都应该实施适当的保护，以防止XX者进入； (3)实体和环境保护的范围应当尽可能涵盖信息系统所在的整个环境空间； (4)应按照地方、国内和国际标准建立适当的入侵检测系统，并定期检测； (5)组织管理的信息处理设施应在物理上与第三方管理的设施分开。2.答：保障信息系统安全的环境条件有：(1)温度和湿度；(2)空气含尘浓度；(3)噪声；(4)电磁干扰；(5)振动；(6)静电；(7)接地。3.答：信息系统在实际应用中采用的防电磁泄露

26、措施主要有：（1）选用低辐射设备 （2）利用噪声干扰源 （3）采取屏蔽措施 （4）距离防护 （5）采用微波吸收材料4.答：设备安全管理包括(1)设备选型；(2)设备检测；(3)设备购置与安装；(4)设备登记；(5)设备使用管理；(6)设备维修管理；(7)设备储存管理。 5.答：对于移动存储介质的管理应当考虑的策略有： （1）对从组织取走的任何可重用的介质中的内容，如果不再需要，应使其不可重用； （2）如果需要并可行，对于从组织取走的所有介质应要求授权，所有这种移动的记录应加以保持，以保持审核踪迹； （3）要将所有介质存储在符合制造商说明的安全和保密的环境中； （4）如果存储在介质中的信息使用时

27、间比介质生命周期长，则要将信息存储在别的地方，以避免由于介质老化而导致信息丢失； （5）应考虑对移动存储介质的登记和移动存储使用监控，以减少数据丢失的机会；（6）只应在有业务要求时，才使用移动存储介质。四、论述1.答：对于信息的存储与处理应当考虑以下管理措施：（1）按照所显示的分类级别，处理和标识所有存储介质；（2）对XX的人员进行访问限制；（3）维护一份对得到授权的数据接收者的正式记录；（4）确保输入数据的完整性，并确认出入的数据的有效性；（5）敏感数据应输出到具有相应安全级别的存储介质上；（6）存储介质应存放在符合制造商要求的环境中；（7）数据分发量及范围应尽可能小；（8）清晰地标识数据的

28、所有拷贝，以引起授权接收者的关注；（9）定期复查信息发送表和得到授权的信息接受者的列表。第六章一、填空题1.软件可靠性 硬件可靠性2.系统 网络 3.用户分组管理 单点登录 用户认证4.版本控制 安全检测与验收5.确定程序的正确性 排除程序中的安全隐患6.系统鉴定 破坏性分析二、名词解释 1.系统安全性验证就是对系统的安全性进行测试验证，并评价其安全性所达到的程度的过程。 2.破坏性分析是把一些在系统使用方面具有丰富经验的专家和一些富有设计经验的专家组织起来，对被测试的系统进行安全脆弱性分析，专门查找可能的弱点和缺点。四、论述 1.（1）保护最薄弱的环节：系统最薄弱部分往往就是最易受攻击影响的

29、部分，在进行系统规划时必须重点考虑可能存在的薄弱环节以及对薄弱环节的保护。（2）纵深防御：使用多重防御策略来管理风险，以便在一层防御不够时，另一层防御将会阻止完全的破坏。（3）保护故障：故障的发生是很难避免的，可以避免的是与故障有关的安全性问题。因此必须通过有效的故障管理，确保及时发现故障、分离故障，找出失效的原因，并在可能的情况下解决故障，避免因系统故障而导致系统安全问题的产生。（4）最小特权：指只授予主体执行操作所必需的最小访问权限，同时该访问权限只准许使用所需的最少时间。其目的是防止权限滥用，是保护系统安全最简单和最有效的策略。（5）分隔：将系统分成尽可能多的独立单元，以便将对系统可能造成损害的量降到最低。第七章一、填空题1. 信息安全方针 具体的信息安全策略 2.安全控制程序 管理与动作3.运行状况 行为4.网络安全监控 主机安全监控5.审计数据收集 审计分析6.基于规则库 基于数理统计 基于模式匹配7. 发现问题 分析问题 解决问题