1、信息安全工程习题及答案版第一章一、 填空题1. 信息保障的三大要素是 、 、 2.在bs7799信息安全管理体系中,信息安全的主要目标是信息的 、 、 的保持3信息安全一般包括 、 、信息安全和 四个方面的内容。4信息安全管理是通过维护信息的 、 、 等,来管理和保护信息资产的一项体制二、 名词解释1信息安全 2.信息安全管理四、论述1.我国信息安全管理现状如何?第二章一、填空题1.BS7799信息安全管理领域的一个权威标准,其最大意义就在于它给 一整套可_”的信息安全管理要领。2.SSE-CMM 将安全工程划分为三个基本的安全区域,即 、 、3.SSE-CMM包含了 级别,我国的信息和信息系
2、统的安全保护等级共分为 级二、 名词解释1信息安全管理体系ISMS 2信息安全等级保护 3信息安全管理体系认证三、 简答1 .建立ISMS有什么作用?2.可以采用哪些模式引入 BS7799 ?3.我国对于信息和信息系统的安全保护等级是如何划分的?4.SSE-CMM将安全工程划分为哪些基本的过程区域?每一个区域的含 义是什么?5.建立信息安全管理体系一般要经过哪些基本步骤?四、 论述1.PDCA分为哪几个阶段?每一个阶段的主要任务是什么?2.等级保护的实施分为哪几个阶段?每一个阶段的主要步骤是什么?3.试述BS7799的主要内容。第三章一、填空题1.资产管理的主要任务是 、 等2.脆弱性分为 、
3、 、 3.风险评估方法分为 、 、 4.0CTAVE是一种信息安全风险评估方法, 它指的是 5.组织根据 与 的原则识别并选择安全控制措施6.风险接受是一个对残留风险进行 和 的过程二、 名词解释(1)资产的价值 (2)威胁 (3)脆弱性 (4 )安全风险 (5)风险评估 (6)风险管理 (7 )安全控制 (8)适用性声明三、 简答1.叙述风险评估的基本步骤。2.资产、威胁与脆弱性之间的关系如何?3信息系统的脆弱性一般包括哪几类?4.比较基本风险评估与详细风险评估的优缺点。第四章一、填空题1.人员安全管理包括 、 、 2.对人员的安全审查一般从人员的 、 、 等几个方面进行审查。三、简答1在我
4、国,信息安全管理组织包含哪些层次?2信息安全组织的基本任务是什么?3信息安全教育包括哪些方面的内容?第五章一、填空题1.为防止XX的 ,预防对信息系统的 和 的破坏和干扰,应当对信息系统所处的环境进行区域划分2.机房安全就是对旋转信息系统的 行细致周密的计划,对信息系统加以 的严密保护3.计算机系统的电磁泄漏途径有: 和 4.影响计算机电磁辐射强度的因素有 、 、 5.媒介保护和管理的目的是保护存储在媒介上的 ,确保信息不被 、篡改、破坏或 6.基于移动存储介质的安全威胁传播快、危害大,而且有很强的 和7信息的存储与处理应当 ,以便保护这些信息免于XX的 和8.根据GB9361-88,计算机机
5、房的安全等级分为 、 和 9保证电子文档安全的技术措施有加密技术、 、 和 。二、名词解释1.物理安全边界三、 简答1信息系统安全界线的划分和执行应考虑哪些原则和管理措施?2为了保证信息系统安全,应当从哪些方面来保证环境条件?3信息系统在实际应用中采用的防泄露措施主要有哪些?4设备安全管理包括哪些方面?5对于移动存储介质的管理应当考虑哪些策略?四、 论述1 对于信息的存储与处理应当考虑哪些管理措施?第六章一、 填空题1.系统可靠性分为 和 2. 和 中最大的安全弱点是用户账号3.针对用户账号安全,可采用 、 、 保护4.系统选购通过 、 等,保证所选购安全性5.程序测试的目的有两个:一是 ,二
6、是 6.系统安全验证的方法有 、 二、 名词解释1.系统安全性验证 2.破坏性分析四、论述1.系统安全原则包括哪些?分别简述。第七章一、 填空题1信息安全策略分为 和 个层次。2. 信息安全管理程序包括两部分:一是实施控制目标与控制方式的 另一部分是覆盖信息安全管理体系的 的程序3.系统安全监控与审计是指对系统的 口系统中用户的 行监视、控制和记录4.安全监控分为 和 大类5.从实现技术上看,安全审计分为 和 部分6.审计分析的基本方法有 、 、 7. 网络故障管理的基本步骤包括 、 和 8. 目前网络测量方法有: 、 和 二、 名词解释1.信息安全策略 2.系统安全审计 3.操作权限管理 4
7、.操作监控三、 简答1.信息安全策略有哪些相关技术2.叙述系统安全审计的工作原理。3.操作权限管理有哪些方式?4.操作监控管理的主要内容有哪些?5.故障管理包括哪些内容?故障管理的基本步骤是什么?四、论述1.试述信息安全策略的制定过程第八章一、 填空题1. 目前入侵检测技术可分为 和 二、 名词解释1.应急响应 2.安全紧急事件三、 简答1.如何理解应急响应在信息安全中的地位和作用?2.应急响应组织分为哪几类?分别简述。四、 论述应急响应处置流程通常被划分为哪些阶段?各个阶段的主要任务是什么?案例应用题1.结合你所学过的知识,谈一谈降低风险的主要途径有哪些?2.系统安全监控的主要内容有哪些?请
8、举例说明系统安全监控有哪些实现 方式?3.某设计院有工作人员25人,每人一台计算机,Windows 98对等网络通 过一台集线器连接起来,公司没有专门的IT管理员。公司办公室都在二楼, 同一楼房内还有多家公司,在一楼入口处赵大爷负责外来人员的登记, 但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公 室的清洁工作。总经理陈博士是位老设计师, 他经常拨号到In ternet访问一些 设计方面的信息,他的计算机上还安装了代理软件,其他人员可以通过这个代 理软件访问In ternet。下列情况都是有可能的:1) 小偷顺着一楼的防护栏潜入办公室偷走了2) 保洁公司人员不小心弄脏
9、了准备发给客户的设计方案;错把掉在地上 的合同稿当废纸收走了;不小心碰掉了墙角的电源插销3) 某设计师张先生是公司的骨干,他嫌公司提供的设计软件版本太旧,自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生 莫名其妙的错误导致程序关闭,可是张先生还是喜欢新版本的设计程序, 并找 到一些办法避免错误发生时丢失文件。4) 后来张先生离开设计院,新员工小李使用原来张先生的计算机。小李 抱怨了多次计算机不正常,没有人理会,最后决定自己重新安装操作系统和应 用程序。5) 小李把自己感觉重要的文件备份到陈博士的计算机上,听说Windows2000比较稳定,他决定安装 Windows2000
10、 ,于是他就重新给硬盘分 区,成功完成了安装。6)大家通过陈博士的计算机访问In ternet,收集了很多有用的资料。可 是最近好几台计算机在启动的时候就自动连接上 In ternet,陈博士收到几封主题不同的电子邮件,内容竟然包括几个还没有提交的设计稿, 可是员工都说没有发过这样的信。针对上述情况,请从下面所列的安全策略中选择你认为适合的放在相应 的位置。物理安全策略网络安全策略数据加密策略数据备份策略病毒 防护策略系统安全策略身份认证及授权策略灾难恢复策略事故处理 与紧急响应策略安全教育策略(11)口令管理策略(12)补丁管理策略(13)系统变更 控制策略(14)商业伙伴与客户关系策略(1
11、5)复查审计策略(例:1) (5) )4.某高校信息安全应对策略某大学师生人数众多,拥有两万多台主机,上网用户也在2万人左右,而 且用户数量一直成上升趋势。校园网在为广大师生提供便捷、 高效的学习、工 作环境的同时,也在宽带管理、计费和安全等方面存在许多问题。具体如下:(1)IP地址及用户账号的盗用。(2)多人使用同一账号。(3)网络计费管理功能的单一。(4)对带宽资源的大量占用导致重要应用无法进行(5)访问权限难以控制。(6)安全问题日益突出。(7 )异常网络事件的审计和追查。(8)多个校区的管理和维护。针对这些问题,相应的应对策略。第一章一、填空题1.人员技术 管理2.机密性完整性可用性3
12、.实体安全运行安全管理安全4.机密性完整性可用性二、名词解释1信息安全是保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶 意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行 2信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护 信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程 四、论述1.在国家宏观信息安全管理方面,主要有以下几个方面的问题: (1 )法律法规问题(2)管理问题(3)国家信息基础设施建设问题在微观信息安全管理方面的问题主要有以下几方面:缺乏信息安全意识与明确的信息安全方针(2)重视安全技术,轻视安全管理(3 )
13、安全管理缺乏系 统管理的思想。第二章一、 填空题1.管理层 量体裁衣2.风险 工程 保证3.六 五二、 名词解释1信息安全管理体系(ISMS )是组织在整体或特定范围内建立的信息安全方针和目标,以及完整这些目标所用的方法和手段所构成的体系; 信息安全管理 体系是信息安全管理活动的直接结果,表示为方针、原则、目标、方法、计划、 活动、程序、过程和资源的集合。2信息安全等级保护是指根据信息系统在国家安全、经济安全、社会稳定、和 保护公共利益等方面的重要程度,结合系统面临的风险、应对风险的安全保护 要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保 护措施,以保障信息和信息系统的安
14、全。3信息安全管理体系认证,是第三方依据程序对产品、过程和服务等符合规定 的要求给予书面保证(如合格证书)。认证的基础是标准,认证的方法包括对 产品特性的抽样检验和对组织体系的审核与评定, 认证的证明方式是认证证书 与认证标志。目前,世界上普遍采用的信息安全管理体系认证的标准是在英国 标准协会的信息安全管理委员会指导下制定的 B57799-2:信息安全管理体系规范。三、简答1.1 SMS的作用1) 强化员工的信息安全意识,规范组织信息安全行为;2) 促使管理层贯彻信息安全保障体系;3) 对组织的关键信息资产进行全面系统的保护,维持竞争优势;4) 在信息系统受到侵袭时,确保业务持续开展并将损失降
15、到最低程度;5) 使组织的生意伙伴和客户对组织充满信心;6) 如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,可以提高组织的知名度与信任度。.2.答:组织在实施BS7799时,可以根据需求和实际情况,采用以下几种 模式:按照BS7799标准的要求,自我建立和实施组织的安全管理体系,以 达到保证信息安全的目的;按照BS7799标准的要求,自我建立和实施组织的安全管理体系,以 达到保证信息安全的目的,并且通过 BS7799体系认证;通过安全咨询顾问,来建立和实施组织的安全管理体系,以达到保证 信息安全的目的;(4)通过安全咨询顾问,来建立和实施组织的安全管理体系,以达到保证 信息安
16、全的目的,并且通过 BS7799体系认证。3信息和信息系统的安全保护等级共分为五级:(1)第一级:自主保护级 (2)第二级:指导保护级 (3)第三级:监 督保护级(4)第四级:强制保护级 (5)第五级:专控保护级4.SSE-CMM将安全工程划分为3个基本的过程区域,即风险、工程和保 证。风险:安全工程的主要目标是降低风险。风险就是有害事件发生的可能性, 个不确定因素发生的可能性依赖于具体情况,这就意味着这种可能性仅能在 某种限制下预测。工程:安全工程与其他项目一样,是一个包括概念、设计、实现、测试、 部署、运行、维护和退出的完整过程。保证:是指安全需求得到满足的信任程度,它是安全工程非常重要的
17、产品,SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量, 这种信任的 基础是成熟组织比不成熟组织更可能产生出重复结果的事实。5.建立信息安全管理体系一般要经过下列五个基本步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制; 建立信息安全管理框架;信息安全管理体系的运行;信息安全管理体系的 审核与评审四、论述1答:PDCA循环的四个阶段的具体任务和内容如下。(1 )计划阶段:制定具体工作计划,提出总的目标。具体来讲又分为以 下4个步骤:分析目前现状,找出存在的问题;分析产生问题的各种原因以及 影响因素;分析并找出管理中的主要问题;制定管理计划,确定管理要点。本阶段的任务是
18、根据管理中出现的主要问题, 制定管理的措施和方案,明 确管理的重点。(2) 实施阶段:按照制定的方案去执行。本阶段的任务是在管理工作中 全面执行制定的方案。(3) 检查阶段:检查实施计划的结果。本阶段的任务是检查工作,调查 效果。(4) 行动阶段:根据调查效果进行处理。对已解决的问题,加以标准化; 找出尚未解决的问题,转入下一个循环中去,以便解决。2信息安全等级保护的实施过程包括定级阶段、规划与设计阶段和实施、 等级评估与改进阶段。(1 )定级阶段,包括两个步骤:系统识别与描述;等级确定(2 )规划与设计阶段,包括三个步骤:a)系统分域保护框架建立b)选 择和调整安全措施c)安全规划和方案设计
19、(3)实施、等级评估与改进阶段,包括三个步骤:a)安全措施的实施b) 评估与验收c)运行监控与改进3.BS7799基本内容包括信息安全政策、信息安全组织、信息资产分类与 管理、人员信息安全、物理和环境安全、通信和运营管理、访问控制、信息系 统的开发与维护、业务持续性管理、信息安全事件管理和符合性管理十一个方 面。第三章一、填空题1.资产责任划分分类标识2.技术脆弱性操作脆弱性管理脆弱性3.基本风险评估详细风险评估联合风险评估4.可操作的关键威胁 资产漏洞评估5.控制费用风险平衡6.确认 评价二、 名词解释(1 )资产的价值:为了明确对资产的保护,所对资产进行的估价。(2 )威胁:威胁是指可能对
20、资产或组织造成损害的事故的潜在原因。(3) 脆弱性:所谓脆弱性就是资产的弱点或薄弱点,这些弱点可能被威 胁利用造成安全事件的发生,从而对资产造成损害。(4) 安全风险:所谓安全风险,就是特定的威胁利用资产的一种或多种 脆弱性,导致资产的丢失或损害的潜在可能性, 即特定威胁事件发生的可能性 与后果的结合。(5) 风险评估:即对信息和信息处理设施的威胁、影响(Impact,指安 全事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。(6 )风险管理:所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。(7)安全控制:安全控制就是保护组织资产、防止威胁、减
21、少脆弱性、 限制安全事件影响的一系列安全实践、过程和机制。(8 )适用性声明:所谓适用性声明,是指对适用于组织需要的目标和控 制的评述。三、 简答1.( 1 )按照组织业务运作流程进行资产识别,并根据估价原则对资产进 行估价;(2 )根据资产所处的环境进行威胁评估;(3)对应每一威胁,对资产或组织存在的脆弱性进行评估;(4)对已采取的安全机制进行识别和确认;(5)建立风险测量的方法及风险等级评价原则,确定风险的大小与等 级。2.资产、威胁与脆弱性之间的对应关系包括:一项资产可能存在多个威胁;威胁的来源可能不只一个,应从人员、环境、资产本身等方面加以 考虑;每一威胁可能利用一个或数个脆弱性。3.
22、大体可以分为以下几类。技术脆弱性:系统、程序和设备中存在的漏洞或缺陷,如结构设计问题和 编程漏洞等;操作脆弱性:软件和系统在配置、操作及使用中的缺陷,包括人员日常工 作中的不良习惯、审计或备份的缺乏等;管理脆弱性:策略、程序和规章制度等方面的弱点。4.基本风险评估有许多优点,主要是:风险评估所需资源最少,简便易实施;同样或类似的控制能被许多信息安全管理体系所采用。基本风险评估的缺点包括:安全基线水平难以设置;管理与安全相关的变更可能有困难。详细风险评估的优点主要包括:可以获得一个更精确的对安全风险的认识,从而可以更为精确地识 别出反映组织安全要求的安全水平;可以从详细的风险评估中获得额外信息,
23、使与组织变革相关的安全 管理受益。详细风险评估的缺点主要是,需要花费相当的时间、精力和技术去获得可 行的结果。第四章一、填空题1.人员安全审查 人员安全教育 人员安全保密管理2.安全意识 法律意识 安全技能三、简答1.在我国,信息安全管理组织有4个层次:各部委信息安全管理部门、各省信 息安全管理部门、各基层信息安全管理部门以及经营单位。 其中,直接负责信 息系统应用和系统运行业务的单位为系统经营单位,其上级单位为系统管理部2信息安全组织的基本任务是在政府主管部门的管理指导下, 由与系统有关的 各方面专家,定期或适时进行风险评估,根据本单位的实际情况和需要,确定 信息系统的安全等级和管理总体目标
24、, 提出相应的对策并监督实施,使得本单 位信息系统的安全保护工作能够与信息系统的建设、应用和发展同步前进。3.教育和培训的具体内容和要求会因培训对象的不同而不同, 主要包括法 规教育、安全技术教育和安全意识教育等。 除了以上教育和培训,组织管理者 应根据工作人员所从事的安全岗位不同,提供必要的专业技能培训第五章一、填空题1.访问基础设施(设备) 业务信息2.空间物理3.辐射泄漏传导泄漏4.功率和频率 距离因素 屏蔽状况5信息非法窃取 非法使用6.隐蔽性欺骗性7.规范化泄漏 误用8.A BC9.签名技术 身份认证 防火墙、名词解释1.所谓物理安全边界是指在信息系统的实体和环境这一层次上建立某种
25、屏障,例如门禁系统等。三、简答1答:信息系统安全界线的划分和执行应考虑如下的原则和管理措施:(1) 必须明确界定安全范围;(2) 信息处理设施所在的建筑物或场所的周边应当得到妥善的保护,所有入口都应该实施适当的保护,以防止XX者进入;(3) 实体和环境保护的范围应当尽可能涵盖信息系统所在的整个环境空间;(4) 应按照地方、国内和国际标准建立适当的入侵检测系统,并定期检测;(5) 组织管理的信息处理设施应在物理上与第三方管理的设施分开。2答:保障信息系统安全的环境条件有:(1)温度和湿度;(2)空气含尘浓度;(3)噪声;电磁干扰;(5)振动;静电;(7)接地。3答:信息系统在实际应用中采用的防电
26、磁泄露措施主要有:(1 )选用低辐射设备 (2 )利用噪声干扰源 (3)采取屏蔽措施 (4)距离防护 (5)采用微波吸收材料4答:设备安全管理包括 设备选型;设备检测;设备购置与安装; 设备登记;(5)设备使用管理;(6)设备维修管理;(7)设备储存管理。5答:对于移动存储介质的管理应当考虑的策略有:(1 )对从组织取走的任何可重用的介质中的内容,如果不再需要,应使 其不可重用;(2 )如果需要并可行,对于从组织取走的所有介质应要求授权,所有这 种移动的记录应加以保持,以保持审核踪迹;(3) 要将所有介质存储在符合制造商说明的安全和保密的环境中;(4) 如果存储在介质中的信息使用时间比介质生命
27、周期长,则要将信息 存储在别的地方,以避免由于介质老化而导致信息丢失;(5 )应考虑对移动存储介质的登记和移动存储使用监控,以减少数据丢 失的机会;(6)只应在有业务要求时,才使用移动存储介质。四、论述1答:对于信息的存储与处理应当考虑以下管理措施:(1 )按照所显示的分类级别,处理和标识所有存储介质;(2) 对XX的人员进行访问限制;(3) 维护一份对得到授权的数据接收者的正式记录;(4 )确保输入数据的完整性,并确认出入的数据的有效性;(5) 敏感数据应输出到具有相应安全级别的存储介质上;(6) 存储介质应存放在符合制造商要求的环境中;(7)数据分发量及范围应尽可能小;(8)清晰地标识数据
28、的所有拷贝,以引起授权接收者的关注;(9)定期复查信息发送表和得到授权的信息接受者的列表。第六章一、 填空题1.软件可靠性 硬件可靠性2.系统 网络3.用户分组管理 单点登录 用户认证4版本控制 安全检测与验收5.确定程序的正确性 排除程序中的安全隐患6.系统鉴定 破坏性分析二、 名词解释1.系统安全性验证就是对系统的安全性进行测试验证, 并评价其安全性所达到的程度的过程。2.破坏性分析是把一些在系统使用方面具有丰富经验的专家和一些富有 设计经验的专家组织起来,对被测试的系统进行安全脆弱性分析, 专门查找可 能的弱点和缺点。四、论述1.( 1)保护最薄弱的环节:系统最薄弱部分往往就是最易受攻击
29、影响的部分, 在进行系统规划时必须重点考虑可能存在的薄弱环节以及对薄弱环节的保护。(2)纵深防御:使用多重防御策略来管理风险,以便在一层防御不够时,另 一层防御将会阻止完全的破坏。(3 )保护故障:故障的发生是很难避免的,可以避免的是与故障有关的安全 性问题。因此必须通过有效的故障管理,确保及时发现故障、分离故障,找出 失效的原因,并在可能的情况下解决故障,避免因系统故障而导致系统安全问 题的产生。(4 )最小特权:指只授予主体执行操作所必需的最小访问权限,同时该访问 权限只准许使用所需的最少时间。 其目的是防止权限滥用,是保护系统安全最 简单和最有效的策略。(5)分隔:将系统分成尽可能多的独
30、立单元,以便将对系统可能造成损害的量降到最低。第七章一、填空题1信息安全方针具体的信息安全策略2.安全控制程序管理与动作3.运行状况 行为4网络安全监控主机安全监控5审计数据收集审计分析6.基于规则库基于数理统计基于模式匹配7.发现问题 分析问题 解决问题8.主动测量 被动测量 控制信息监视二、 名词解释1信息安全策略从本质上来说是描述组织具有哪些重要信息资产, 并说明这些信息资产如何被保护的一个计划。2.安全审计是指对安全活动进行识别、记录、存储和分析,以查证是否发生安全事件的一种信息安全技术,它能够为管理人员提供有关追踪安全事件和入侵 行为的有效证据,提高信息系统的安全管理能力。3.操作权限管理是计算机及信息系统安全的重要环节,合理规划和设定信息系 统管理和操作权限在很大程度上能够决定整个信息系统的安全系数。4.操作监控就是通过某种方式对信息系统状态进行监控和调整, 使信息系统能
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 