CISP信息安全管理章节练习一
一、单选题。(共100题,共100分,每题1分)
1. 小李去参加单位组织的信息安全培训后,他把自己对信息安全管理体系(Information Security Management System, ISMS)的理解画了以下一张图,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()。
a、监控和反馈ISMS
b、批准和监督ISMS
c、监视和评审ISMS
d、沟通和资询ISMS
最佳答案是:c
2. 在对安全控制进行分析时,下面哪个描述是不准确的?
a、对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的
b、应确保选择对业务效率影响最小的安全措施
c、选择好实施安全控制的时机和位置,提高安全控制的有效性
d、仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应最佳答案是:b
3. 以下哪一项不是信息安全管理工作必须遵循的原则?
a、风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
c、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低
d、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力
最佳答案是:c
4. 对信息安全风险评估要素理解正确的是:
a、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构
b、应针对构成信息系统的每个资产做风险评价
c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
最佳答案是:a
5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:
a、出入的原因
b、出入的时间
c、出入口的位置
d、是否成功进入
最佳答案是:a
6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容:
a、说明信息安全对组织的重要程度
b、介绍需要符合的法律法规要求
c、信息安全技术产品的选型范围
d、信息安全管理责任的定义
最佳答案是:c
7. 作为信息中心的主任,你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任,这种情况造成了一定的安全风险,这时你应当怎么做?
a、抱怨且无能为力
b、向上级报告该情况,等待增派人手
c、通过部署审计措施和定期审查来降低风险
d、由于增加人力会造成新的人力成本,所以接受该风险
最佳答案是:c
8. 通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证:
a、可靠的产品是有保证的
b、程序员的效率得到了提高
c、安全需求得到了规划、设计
d、预期的软件程序(或流程)得到了遵循
最佳答案是:d
9. 某公司正在对一台关键业务服务器进行风险评估:该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。根据以上信息,该服务器的年度预期损失值(ALE)是多少?
a、1800元
b、62100元
c、140000元
d、6210元
最佳答案是:d
10. 下列哪些内容应包含在信息系统战略计划中?
a、已规划的硬件采购的规范
b、将来业务目标的分析
c、开发项目的目标日期
d、信息系统不同的年度预算目标
最佳答案是:b
11. ISO27002中描述的11个信息安全管理的控制领域不包括:
a、信息安全组织
b、资产管理
c、内容安全
d、人力资源安全
最佳答案是:c
12. SSE-CMM将工程过程区域分为三类,即风险过程、工程过程、和保证过程,下面对于保证过程的说法错误的是:
a、保证是指安全需求得到满足的可信任程度
b、信任程度来自于对安全工程过程结果质量的判断
c、自验证与证实安全的主要手段包括观察、论证、分析和测试
d、PA“建立保证论据”为PA“验证与证实安全”提供了证据支持
最佳答案是:d
13. 根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。
a、保证过程
b、风险过程
c、工程和保证过程
d、安全工程过程
最佳答案是:a
14. SSE-CMM工程过程区域中的风险过程包含哪些过程区域:
a、评估威胁、评估脆弱性、评估影响
b、评估威胁、评估脆弱性、评估安全风险
c、评估威胁、评估脆弱性、评估影响、评估安全风险
d、评估威胁、评估脆弱性、评估影响、验证和证实安全
最佳答案是:c
15. 一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?
a、2级——计划和跟踪
b、3级——充分定义
c、4级——量化控制
d、5级——持续改进
最佳答案是:b
16. 信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作:
a、明确业务对信息安全的要求
b、识别来自法律法规的安全要求
c、论证安全要求是否正确完整
d、通过测试证明系统的功能和性能可以满足安全要求
最佳答案是:d
17. 信息化建设和信息安全建设的关系应该是:
a、信息化建设的结果就是信息安全建设的开始
b、信息化建设和信息安全建设应同步规划、同步实施
c、信息化建设和信息安全建设是交替进行的,无法区分谁先谁后
d、以上说法都正确
最佳答案是:b
18. 下面有关我国信息安全管理体制的说法错误的是?
a、目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面
b、我国的信息安全保障工作综合利用法律、管理和技术的手段
c、我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针
d、我国对于信息安全责任的原则是谁主管、谁负责;谁经营、谁负责
最佳答案是:c
19. 一个信息系统审计师正在为一个医疗机构的两种应用环境-生产和测试进行检查。在一次访谈中,该审计师注意到生产数据被用于测试环境以测试程序改变什么是这种情况下最显著的潜在风险?
a、测试环境可能没有充分的访问控制来确保数据机密性
b、测试环境可能由于使用生产数据而产生不精确的结果
c、测试环境的硬件可能与生产环境的不同
d、测试环境可能没有充足的控制以确保数据精确性
最佳答案是:a
20. 风险评估方法的选定在PDCA循环中的哪个阶段完成?
a、实施和运行
b、保持和改进
c、建立
d、监视和评审
最佳答案是:c
21. 在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是:
a、分析系统的体系结构
b、分析系统的安全环境
c、制定风险管理计划
d、调查系统的技术特性
最佳答案是:c
22. 下面有关能力成熟度模型的说法错误的是:
a、能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类
b、使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域
c、使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域
d、SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型最佳答案是:c
23. 下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:
a、风险过程
b、保证过程
c、工程过程
d、评估过程
最佳答案是:d
24. 关于信息安全发展的几个阶段,下列说法中错误的是:
a、信息安全的发展,是伴随着信息技术的发展,为应对其面临不同的威胁而发展起来的
b、通信安全阶段中,最重要的是通过密码技术保证所传递信息的保密性完整性和可用性
c、信息安全阶段,综合了通信安全阶段和计算机安全阶段的需求
d、信息安全保障阶段,最重要的目标是保障组织机构使命(业务)的正常运行
最佳答案是:b
25. 建立数据所有权关系的任务应当是下列哪一种人的责任?
a、职能部门用户
b、内部审计人员
c、数据处理人员
d、外部审计人员
最佳答案是:a
26. PPDR模型不包括:
a、策略
b、检测
c、响应
d、加密
最佳答案是:d
27. 信息安全管理者需要完成方方面面的繁杂工作,这些日常工作根本的目标是:
a、避免系统软硬件的损伤
b、监视系统用户和维护人员的行为
c、保护组织的信息资产
d、给入侵行为制造障碍,并在发生入侵后及时发现、准确记录
最佳答案是:c
28. 信息安全管理的根本方法是:
a、风险处置
b、应急响应
c、风险管理
d、风险评估
最佳答案是:c
29. 信息安全管理体系描述不正确的是:
a、是一个组织整体管理体系的组成部分
b、是有范围和边界的
c、是风险评估的手段
d、其基本过程应遵循PDCA循环最佳答案是:c
30. 软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的政策和实际行为是矛盾的?
a、员工的教育和培训
b、远距离工作(Telecommuting)与禁止员工携带工作软件回家
c、自动日志和审计软件
d、政策的发布与政策的强制执行
最佳答案是:b
31. 以下对PDCA循环特点描述不正确的是:
a、按顺序进行,周而复始,不断循环
b、组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
c、每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
d、可以由任何一个阶段开始,周而复始,不断循环
最佳答案是:d
32. ISMS过程中,实施信息安全教育应在哪个阶段进行?
a、实施和运行
b、保持和改进
c、建立
d、监视和评审
最佳答案是:a
33. 对戴明环"PDCA"方法的描述不正确的是:
a、“PDCA”的含义是P-计划,D-实施,C-检查,A-改进
b、“PDCA”循环又叫"戴明"环
c、“PDCA"循环是只能用于信息安全管理体系有效进行的工作程序
d、“PDCA”循环是可用于任何一项活动有效进行的工作程序
最佳答案是:c
34. 下述选项中对于"风险管理"的描述不正确的是:
a、风险管理是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通。
b、风险管理的目的是了解风险并采取措施处置风险并将风险消除。
c、风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。
d、在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。
最佳答案是:b
35. 风险是需要保护的( )发生损失的可能性,它是( )和( )综合结果。
a、资产,攻击目标,威胁事件
b、设备,威胁,漏洞
c、资产,威胁,漏洞
d、以上都不对
最佳答案是:c
36. 下面威胁中不属于抵赖行为的是:
a、发信者事后否认曾经发送过某条消息
b、收信者事后否认曾经接收过某条消息
c、发信者事后否认曾经发送过某条消息的内容
d、收信者接收消息后更改某部分内容
最佳答案是:d
37. 以下哪一种判断信息系统是否安全的方式是最合理的?
a、是否已经通过部署安全控制措施消灭了风险
b、是否可以抵抗大部分风险
c、是否建立了具有自适应能力的信息安全模型
d、是否已经将风险控制在可接受的范围内
最佳答案是:d
38. 以下列哪种处置方法属于转移风险?
a、部署综合安全审计系统
b、对网络行为进行实时监控
c、制订完善的制度体系
d、聘用第三方专业公司提供维护外包服务
最佳答案是:d
39. 对操作系统打补丁和系统升级是以下哪种风险控制措施?
a、降低风险
b、规避风险
c、转移风险
d、接受风险
最佳答案是:a
40. 以下哪一项可认为是具有一定合理性的风险?
a、总风险
b、最小化风险
c、可接受风险
d、残余风险
最佳答案是:c
41. 在风险管理工作中“监控审查”的目的,一是:________二是_________。
a、保证风险管理过程的有效性,保证风险管理成本的有效性
b、保证风险管理结果的有效性,保证风险管理成本的有效性
c、保证风险管理过程的有效性,保证风险管理活动的决定得到认可
d、保证风险管理结果的有效性,保证风险管理活动的决定得到认可
最佳答案是:a
42. 风险管理四个步骤的正确顺序是:
a、背景建立、风险评估、风险处理、批准监督
b、背景建立、风险评估、审核批准、风险控制
c、风险评估、对象确立、审核批准、风险控制
d、风险评估、风险控制、对象确立、审核批准
最佳答案是:a
43. 在风险管理的过程中,"建立背景"(即"对象确立")的过程是哪四个活动?
a、风险管理准备、信息系统调查、信息系统分析、信息安全分析
b、风险管理准备、信息系统分析、信息安全分析、风险政策的制定
c、风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析
d、确定对象、分析对象、审核对象、总结对象
最佳答案是:a
44. 下列对风险分析方法的描述正确的是:
a、定量分析比定性分析方法使用的工具更多
b、定性分析比定量分析方法使用的工具更多
c、同一组织只用使用一种方法进行评估
d、符合组织要求的风险评估方法就是最优方法
最佳答案是:d
45. 某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?
a、部门经理
b、高级管理层
c、信息资产所有者
d、最终用户
最佳答案是:c
46. 在一个有充分控制的信息处理计算中心中,下面哪一项可以由同一个人执行?
a、安全管理和变更管理
b、计算机操作和系统开发
c、系统开发和变更管理
d、系统开发和系统维护
最佳答案是:a
47. 以下关于“最小特权”安全管理原则理解正确的是:
a、组织机构内的敏感岗位不能由一个人长期负责
b、对重要的工作进行分解,分配给不同人员完成
c、一个人有且仅有其执行岗位所足够的许可和权限
d、防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
最佳答案是:c
48. 根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:
a、系统级演练、业务级演练、应用级演练
b、系统级演练、应用级演练、业务级演练
c、业务级演练、应用级演练、系统级演练
d、业务级演练、系统级演练、应用级演练
最佳答案是:b
49. 以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?
a、组织机构内的敏感岗位不能由一个人长期负责
b、对重要的工作进行分解,分配给不同人员完成
c、一个人有且仅有其执行岗位所足够的许可和权限
d、防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
最佳答案是:a
50. 在构建一个单位的内部安全管理组织体系的时候,以下哪一项不是必需考虑的内容?
a、高级管理层承诺对安全工作的支持
b、要求雇员们遵从安全策略的指示
c、在第三方协议中强调安全
d、清晰地定义部门的岗位的职责
最佳答案是:c
51. 灾难发生后,系统和数据必须恢复到灾难发生前的
a、时间要求
b、时间点要求
c、数据状态
d、运行状态
最佳答案是:b
52. 当发现信息系统被攻击时,以下哪一项是首先应该做的?
a、切断所有可能导致入侵的通信线路
b、采取措施遏制攻击行为
c、判断哪些系统和数据遭到了破坏
d、与有关部门联系
最佳答案是:d
53. 应急方法学定义了安全事件处理的流程,这个流程的顺序是:
a、准备-遏制-检测-根除-恢复-跟进
b、准备-检测-遏制-恢复-根除-跟进
c、准备-检测-遏制-根除-恢复-跟进
d、准备-遏制-根除-检测-恢复-跟进
最佳答案是:c
54. 以下哪种情形下最适合使用同步数据备份策略?
a、对灾难的承受能力高
b、恢复时间目标(RTO)长
c、恢复点目标(RPO)短
d、恢复点目标(RPO)长
最佳答案是:c
55. 当备份一个应用程序系统的数据时,以下哪一项是应该首先考虑的关键性问题?
a、什么时候进行备份?
b、在哪里进行备份?
c、怎样存储备份?
d、需要各份哪些数据?
最佳答案是:d
56. 有效的IT治理要求组织结构和程序确保
a、组织的战略和目标包括IT战略
b、业务战略来自于IT战略
c、IT治理是独立的,与整体治理相区别
d、IT战略扩大了组织的战略和目标
最佳答案是:d
57. SSE-CMM,即系统安全工程---能力成熟度模型,它的六个级别,其中计划和跟踪级着重于_______。
a、规范化地裁剪组织层面的过程定义
b、项目层面定义、计划和执行问题
c、测量
d、一个组织或项目执行了包含基本实施的过程
58. 以下对信息安全风险管理理解最准确的说法是:
a、了解风险
b、转移风险
c、了解风险并控制风险
d、了解风险并转移风险最佳答案是:c
59. “进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂”是指下面哪种安全服务:
a、数据加密
b、身份认证
c、数据完整性
d、访问控制
最佳答案是:a
60. 以下对于信息安全管理体系说法不正确的是:
a、处理
b、实施
c、检查
d、行动
最佳答案是:a
61. 风险管理中使用的控制措施,不包括以下哪种类型?
a、预防性控制措施
b、管理性控制措施
c、检查性控制措施
d、纠正性控制措施
最佳答案是:b
62. 风险管理中的控制措施不包括以下哪一方面?
a、行政
b、道德
c、技术
d、管理
最佳答案是:b
63. 风险评估不包括以下哪个活动?
a、中断引入风险的活动
b、识别资产
c、识别威胁
d、分析风险
最佳答案是:a
64. 在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:
a、资产及其价值、威胁、脆弱性、现有的和计划的控制措施
b、资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施
c、完整性、可用性、机密性、不可抵赖性
最佳答案是:a
65. 以下哪一项不是信息安全风险分析过程中所要完成的工作:
a、识别用户
b、识别脆弱性
c、评估资产价值
d、计算机安全事件发生的可能性
最佳答案是:a
66. 机构应该把信息系统安全看作:
a、业务中心
b、风险中心
c、业务促进因素
d、业务抑制因素
最佳答案是:c
67. 以下关于ISO/IEC27001所应用的过程方法主要特点说法错误的是:
a、理解组织的信息安全要求和建立信息安全方针与目标的标准
b、从组织整体业务风险的角度管理组织的信息安全风险
c、监视和评审ISMS的执行情况和有效性
d、基于主观测量的持续改进
最佳答案是:d
68. 在检查岗位职责时什么是最重要的评估标准?
a、工作职能中所有要做的工作和需要的培训都有详细的定义
b、职责清晰,每个人都清楚自己在组织中的角色
c、强制休假和岗位轮换被执行
d、绩效得到监控和提升是基于清晰定义的目标
69. 在信息安全管理中进行_______,可以有效解决人员安全意识薄弱问题。
a、内容监控
b、安全教育和培训
c、责任追查和惩处
d、访问控制
最佳答案是:b
70. 以下哪一项最能体现27002管理控制措施中预防控制措施的目的?
a、减少威胁的可能性
b、减少灾难发生的可能性
c、防御风险的发生并降低其影响
最佳答案是:d
71. 关于外包的论述不正确的是:
a、企业经营管理中的诸多操作成服务都可以外包
b、通过业务外包,企业也把相应的风险承担者转移给了外包商,企业从此不必对外包业务负任何直接或间接的责任
c、虽然业务可以外包,但是对与外包业务的可能的不良后果,企业仍然承担责任
d、过多的外包业务可能产生额外的操作风险或其他隐患
最佳答案是:b
72. 以下哪一项措施可最有效地支持24/7可用性?
a、日常备份
b、异地存储
c、镜像
d、定期测试
最佳答案是:c
73. 企业最终决定直接采购商业化的软件包,而不是开发。那么,传统的软件开发生产周期(SDLC)中设计和开发阶段,就被置换为:
a、挑选和配置阶段
b、可行性研究和需求定义阶段
c、实施和测试阶段
d、(无,不需要置换)
最佳答案是:a
74. 下面哪一项为系统安全工程能力成熟度模型提供了评估方法:
a、ISSE
b、SSAM
c、SSR
d、.GEM
最佳答案是:b
75. 按照SSE-CMM,能力级别第三级是指:
a、定量控制
b、计划和跟踪
c、持续改进
d、充分定义
最佳答案是:b
76. 下列哪项不是SSE-CMM模型中工程过程的过程区别?
a、明确安全需求
b、评估影响
c、提供安全输入
d、协调安全
最佳答案是:b
77. 以下对PDCA循环解释不正确的是:
a、处理
b、实施
c、检查
d、行动
最佳答案是:a
78. 在SSE-CMM中对工程过程能力的评价分为三个层次,由宏观到微观依次是:
a、能力级别-公共特征(CF)-通用实践(GP)
b、能力级别-通用实践-(GP)-公共特征(CF)
c、通用实践-(GP)-能力级别-公共特征(CF)
d、公共特征(CF)-能力级别-通用实践-(CP)
最佳答案是:a
79. 根据SSE-CMM,安全工程过程能力由低到高划分为:
a、未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别
b、基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别
c、基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别
d、未实施、基本实施、计划跟踪、充分定义4个级别
最佳答案是:a
80. 下列哪项不是SSE-CMM模型中工程过程的过程区域?
a、明确安全需求
b、评估影响
c、提供安全输入
d、协调安全
最佳答案是:b
81. 系统安全工程不包含以下哪个过程类:
a、工程过程类
b、组织过程类
c、管理过程类
d、项目过程类
最佳答案是:c
82. ISSE(信息系统安全工程)是美国发布的IATF3.0版本中提出的设计和实施信息系统________。
a、安全工程方法
b、安全工程框架
c、安全工程体系结构
d、安全工程标准最佳答案是:a
83. 不同信息安全发展阶段,信息安全具有不同的的特征,在信息安全保障阶段信息安全的基本特征不包括:
a、具有高度复杂性和不能控制的特点
b、具有保护对象全生命周期安全要求的特征
c、具有多层次和多角度的体系化防御要求的特征
d、具有动态发展变化的特征
最佳答案是:a
84. 信息安全工作具有投资收益的要求,以下关于信息安全与业务发展的关系说法最准确的是:
a、信息安全的投入很容易测算其产生收益的
b、信息安全为业务发展提供基础安全保障
c、信息安全与网络信息系统有着密切联系
d、信息安全的投入是不能测算其产生收益的
最佳答案是:b
85. PDR模型和P2DR模型采用了动态循环的机制实现系统保护、检测和响应。这种模型的特点理解错误的是:
a、模型已入了动态时间基线,符合信息安全发展理念
b、模型强调持续的保护和响应,符合相对安全理念
c、模型是基于人为的管理和控制而运行的
d、模型引入了多层防御机制,符合安全的“木桶原理”
最佳答案是:c
86. 从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该:
a、内部实现
b、外部采购实现
c、合作实现
d、多来源合作实现
最佳答案是:a
87. 在许多组织机构中,产生总体安全性问题的主要原因是:
a、缺少安全性管理
b、缺少故障管理
c、缺少风险分析
d、缺少技术控制机制
最佳答案是:a
88. 如果对于程序变动的手工控制收效甚微,以下哪一种方法将是最有效的?
a、自动软件管理
b、书面化制度
c、书面化方案
d、书面化标准
最佳答案是:a
89. 以下哪一项不是《信息安全事件分级分类指南》中信息安全事件分级需要参考的三个重要因素之一?
a、信息系统的重要程度
b、信息系统的用户数量
c、事件造成的系统损失
d、事件造成的社会影响
最佳答案是:b
90. 依照《信息安全事件分级分类指南》中对信息安全事件分类的规定,以下哪一项属于有害程序事件?
a、信息被篡改
b、黄色反动信息传播
c、网络钓鱼
d、木马攻击
最佳答案是:d
91. 在编制一个单位的信息安全响应计划时,以下哪一项的内容是最全面的?
a、角色与职责、预防和预警机制、应急响应流程、应急响应保障措施。
b、角色与职责、预防和预警机制、应急响应流程、应急响应联络措施。
c、应急组织架构、预防和预警机制、应急响应流程、人力保障、技术保障。
d、应急组织架构、事件检测机制、事件预警通报机制、应急响应流程、人力保障、技术保障。
e、
最佳答案是:a
92. 通常情况下,以下哪一种数据的更新变化频率最高,对备份系统的数据备份频率要求也最高?
a、业务应用数据
b、临时数据
c、基础数据
d、系统数据
最佳答案是:a
93. 在进行灾难恢复需求分析的过程中,进行哪项工作可以帮助充分了解技术系统对业务重要性?
a、业务影响分析(BIA)
b、确定灾难恢复目标
c、制定灾难恢复策略
d、制定灾难恢复预案
最佳答案是:a
94. 风险管理的监控与审查不包含:
a、过程质量管理
b、成本效益管理
c、跟踪系统自身或所处环境的变化
d、协调内外部组织机构风险管理活动
最佳答案是:d
95. 衡量残余风险应当考虑的因素为:
a、威胁,风险,资产价值
b、威胁,资产价值,脆弱性
c、单次损失,年度发生率
d、威胁,脆弱性,资产价值,控制措施效果
最佳答案是:d
96. 信息安全管理体系是基于()的方法,来建立、实施、运作、监视、评审、保持和改进信息安全。
a、信息安全
b、业务风险
c、信息系统防护
d、安全风险
最佳答案是:b
97. 信息系统安全保护等级为3级的系统,应当()年进行一次等级测评。
a、0.5
b、1
c、2
d、3
最佳答案是:b
98. 以下对访问许可描述不正确的是:
a、访问许可定义了改变访问模式的能力或向其他主体传送这种能力的能力
b、有主性访问许可是对每个客体设置一个拥有者,拥有者对其客体具有全部控制权限
c、等级型访问控制许可通常按照组织机构人员结构关系来设置主体对客体的控制权
d、有主性访问许可是对每个客体设置一个拥有者,但拥有者不是唯一有权修改客体访问控制表的主体
最佳答案是:d
99. 以下哪个选项不是信息安全需求较为常见的来源?
a、法律法规与合同条约的要求
b、组织的原则、目标和规定
c、风险评估的结果
d、安全架构和安全厂商发布的漏洞、病毒预警
最佳答案是:d
100. 以下哪项不是风险评估阶段应该做的?
a、对ISMS范围内的信息资产进行鉴定和估价
b、对信息资产面对的各种威胁和脆弱性进行评估
c、对已存在的成规划的安全控制措施进行界定。
d、根据评估结果实施相应的安全控制措施
最佳答案是:d
网络与信息安全管理措施 网络与信息安全不仅关系到学校的开展,还将影响到国家的安全、社会的稳定。我校将认真的开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,对有毒有害的信息进行过滤、确保网络与信息安全。 一、网站安全保障措施 1、主控室设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网络正常运行。 2、对计算机病毒、有害电子邮件进行有效的防范措施,防止有害信息对网络系统的干扰和破坏。 3、做好日志的记录。内容包括IP地址,对应的IP地址情况等。 4、关闭网络系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 5、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 6、学校机房按照机房标准建设,内有必备的防静电地板、,定期进行电力、防火、防潮、检查。 二、信息安全保密管理制度 1、信息监控制度: (1)、网络信息必须标明来源;(即有关转载信息都必须
标明转载的地址) (2)、相关责任人定期或不定期检查网络系统安全,实施有效监控,做好安全监督工作; (3)、不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理; A、反对宪法所确定的基本原则的; B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; C、损害国家荣誉和利益的; D、煽动民族仇恨、民族歧视、破坏民族团结的; E、破坏国家宗教政策,宣扬邪教和封建迷信的; F、散布谣言,扰乱社会秩序,破坏社会稳定的; G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; H、侮辱或者诽谤他人,侵害他人合法权益的; 含有法律、行政法规禁止的其他内容的。 2、组织结构: 设置专门的网络安全管理员,并由其上级进行监督、对学校网络系统管理实行责任制,对网络系统的管理人员,以及领导明确各级人员的责任,管理网络系统的正常运行,严格抓管理工作,实行谁管理谁负责。
电力行业网络与信息安全管理办法 第一章总则 第一条为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。 第二条电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。 第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。 第二章监督管理职责 第四条国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。 第五条国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:
(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接; (二)组织制定电力行业网络与信息安全的发展战略和总体规划; (三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施; (四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理; (五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作; (六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作; (七)组织开展电力行业网络与信息安全的技术研发工作; (八)电力行业网络与信息安全监督管理的其它事项。 第三章电力企业职责 第六条电力企业是本单位网络与信息安全的责任主
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
《信息安全原理与技术》试卷(A) 参考答案及评分标准 一、写出下面术语的中文名称(每小题1 分,共10分) Block Cipher 分组密码Ciphertext 密文 Known-Plaintext Attack已知明文攻击Encryption 加密 Non-Repudiation 不可否认性Key Distribution Center 密钥分配中心 Denial of Service 拒绝服务Data Integrity 数据完整性 AES 高级加密标准Authorization 授权 二、选择题(每小题2 分,共20分) ADBCB BCBA 三、计算题(共40分) 1. (6分)如果输入为011001,则查S盒的行是01(十进制1,即S盒的第2行),列1100(12,即S盒的第13列),该处的值是1,那么输出为0001 2. (8分) 由密钥词cipher可构建如下的密钥矩阵: pl ay fa ir ci ph er 则密文为 BS DW RB CA IP HE CF 3. (9分) N=pq 可推出p和q Φ(N)=(p-1)(q-1) ed=1mod Φ(N) ed=1+kΦ(N) 可以求出d 则明文为M=c d mod N = 5 4. (9分) (1). 6, 因为26 mod 11 = 9 (2). K = 36 mod 11= 3
5. (8分) 将明文按照密钥的长度一行一行地写成一个矩阵,然后按照密钥字母对应的数值从小到大,按照列读出即为密文。 n e t w o r k p e r m u t a t i o n c i p h e r h i d e t h e m e s s a g e b y r e a r r a n g i n g t h e l e t t e r o r d e r 按照这个顺序读出上面矩阵的列即是密文: EIEHGRGTRAPESEIEDPTHTAANTEUCIEYNEOTIDSRGLRROREERTE MNHMBAHR 四、分析题(共30分) 1. (12分) (1) 对称密钥分配(或者会话钥分配) (2) A的公钥,临时交互号,会话钥 (3) A对B的认证 (4) B对A的认证 2. (12分) (1) 密钥分配中心,临时交互号,会话钥,A与KDC的共享密钥,B与KDC的共享密钥 (2) 由KDC产生,用来加密数据 (3) 认证,防止重放攻击 (4) 重放攻击,步骤3,在第2,3步加入时间戳(或者临时交换号) 3. (6分) 1000 0000 0010 1001 0000 0111
信息安全管理制度 第一章总则 第一条为了保护医院信息系统安全,促进医院信息系统的应用和发展,保障医院信息工程建设的顺利进行,特制定本规则。 第二条本规则所称的信息系统,是由计算机及其相关配套的设备、设施构成的,按照系统应用目标和规则对医院信息进行采集、加工、存储、传输、检索等处理的人机系统,即现在医院建设和应用中的信息工程,。 第三条信息系统的安全保护,是保障计算机及配套的设备、设施的安全,运行环境的安全,保障信息的安全,保障医院信息管理系统功能的正常发挥,以维护信息系统的安全运行。 第四条信息系统的安全保护,重点是维护信息系统中数据信息和网络上一切设备的安全。 第五条医院信息系统内全部上网运行计算机的安全保护都适用本规则。 第六条信息中心主管全院信息系统的安全保护工作。 第七条任何单位或者个人,不得利用上网计算机从事危害医院利益的活动,不得危害信息系统的安全。 第八条各级各类医院根据本规则,结合医院不同的功能
任务和医院信息系统规模大小,参照以下内容制定适宜于本医院的运行与应用保障制度。 第二章信息安全保护制度 第九条信息系统的建设和应用,应遵守医院信息系统管理规则、医院行政法规和其他有关规定。 第十条信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限以及用户口令密码的划分、设置由信息中心负责制定和实施。 第十一条信息中心机房应当符合国家标准和国家规定。 第十二条在信息系统设施附近营房维修、改造及其他活动,不得危害信息系统的安全。如无法避免而影响信息系统设施安全的作业,须事先通知信息中心,经中心负责人同意并采取保护措施后,方可实施作业。 第十三条信息系统的使用单位和个人,都必须遵守计算机安全使用规则,以及有关的操作规程和规定制度。 第十四条对信息系统中发生的问题,有关使用单位负责人应当立即向信息工程技术人员报告。 第十五条对计算机病毒和危害网络系统安全的其他有害数据信息的防治工作,由计算机中心负责处理。 第十六条对信息系统软件、设备、设施的安装、调试、
网络与信息安全管理组织机构设置及工作职责一、网络与信息安全责任人: 1. 网络与信息安全第一责任人:企业 法定代表人姓名;工作职责为:对机构内的信息安全工作负有领 导责任;联系方式:电话及邮箱。(联系电话应为本人常用、真实 有效的手机号码,可抽测。) 2.网络与信息安全责任人:分管信息安全工作的负责人姓名;工作职责为:对企业内信息安全工作负有直接领导责任。联系方式:电话及邮箱。(联系电话应为本人常用、真实有效的手机号码,可抽测。)(上述两项请全部填写)二、网络与信息安全管理组织机 构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门(如信息安全领导小组、信息安全工作组、信息安全部等),负责本企业网络与信息安全 相关工作;企业网络与信息安全管理组织架构:包括主管部门、相关 配合部门; 2.网络与信息安全管理机构职责(包括但不限于下述内容,要对公 司实际制度建立和管理情况进行简述):( 1)建立健全网络与信息 安全规章制度,以及各项规章制度执行情况监督检查;( 2)开展网 络与信息安全风险监测预警和评估控制、隐患排查整改工作;( 3) 建立健全网络与信息安全事件应急处置和上报制度,以及组 织开展应急演练;( 4)建立健全从业人员网络与信息安全教育培 训以及考核制度;( 5)违法有害信息监测处置制度和技术手段建 设;( 6)建立健全用户信息保护制度。 3.对于申请 IDC/ISP( 开展网站接入业务的)企业,在许可证申请 完成后,开展业务前,企业的 IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接,并且按照《工业和信息化部办 公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法 (试行)》(工信厅网安(2016)135 号)要求,制定本企业 IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全一、网络与信息安全管理人员配备情况及相应资质请按照下表内容在系统管理人员配备情上填写相关文字信息: 况及相应资质网络与信息安全管理人员配备情况表 责任人 第一责任人( 公司法人 /总经理)姓名身份联系归属工作全职/资质证号方式部门内容兼职情况 (手 机)
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。 6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
信息安全专业简介 随着计算机技术与网络通信技术的广泛应用,社会对计算机的依赖越来越大,而计算机系统的安全一旦受到破坏,不仅会导致严重的社会混乱,也会带来巨大的经济损失。因此,信息安全已成为信息科学的热点课题,信息安全专业也受到了社会各界的普遍关注。 信息安全学科是由数学、计算机科学与技术、信息与通信工程和电子科学与技术等学科交叉而成的一门综合性学科。目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全等。 信息安全专业的主干学科为:计算机科学与技术、信息与通信工程、电子科学与技术、数学。相关学科专业包括:计算机科学与技术(080605) 、电子信息科学与技术(071201)、电子信息工程(080603) 、通信工程(080604)等。 信息安全专业的主干课程包括信息安全数学基础、计算机组成原理、操作系统原理、数据库系统原理、计算机网络、数字系统与逻辑设计、通信原理、现代密码学、信息安全理论与技术、信息安全工程、信息安全管理、信息安全标准与法律法规等。 目前信息安全方面的人才还十分稀少,尤其是政府、国防、金融、公安和商业等部门对信息安全人才的需求很大。目前国内从事信息安全的专业人才人数并不多,并且大多分布在高校和研究院所,按照目前信息化发展的状况,社会对信息安全专业的人才需求量达几十万人。要解决供需矛盾,必须加快信息安全人才的培养。 信息安全专业培养具有扎实的数理基础,较好的外语和计算机技术运用能力,掌握信息安全的基本理论与技术、计算机与网络通信及其安全技术以及信息安全法律法规等方面的知识,能运用所学知识与技能去分析和解决相关的实际问题,具有较高的综合业务素质、较强的实践、创新与知识更新能力,可以在政府、国防、金融、公安和商业等部门从事信息安全产品研发、信息系统安全分析与设计、信息安全技术咨询与评估服务、信息安全教育、信息安全管理与执法等工作的高级专业人才。
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。
(二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。 第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。
网络与信息安全管理制度 根据《中华人民共和国计算机信息安全管理条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》和有关法律、法规的规定,为落实网络与信息安全工作,学校通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,坚持“安全第一,预防为主”的方针,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全,努力打造“平安校园网络”,特制定本办法。 一、学校党政领导要加强对学校网络应用的监督、检查,发现问题及时处理。 二、不得利用国际互联网制作、复制、发布和传播下列信息: 1、反对宪法所确定的基本原则的; 2、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; 3、损害国家荣誉和利益的; 4、煽动民族仇恨、民族歧视、破坏民族团结的; 5、破坏国家宗教政策,宣扬邪教和封建迷信的; 6、散布谣言,扰乱社会秩序,破坏社会稳定的; 7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; 8、侮辱或者诽谤他人,侵害他人合法权益的; 9、含有法律、行政法规禁止的其他内容的。 三、学校建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 四、学校建立健全学校网络安全保护管理制度,提高网络安全防范手段,网络管理员经常检查网络安全保护管理以及技术指施的落实情况。网络管理中心在组织安全检查时,对检查中发现的问题,应当提出改进意见,作出详细记录,存档备查。 五、学校网络信息发布的内容需经过学校相关部门的严格审批和登记,并建立相应的信息管理制度。 六、学校网页不得擅自连接境外的新闻网站,不得擅自登载境外新闻媒体和互联网站发布的新闻。 七、根据校园网络运行的实际情况并结合上级部门的有关规定,本办法将适时予以修订。 八、在学生中广泛开展教育活动,提倡师生文明上网,开展健康文明的网络文化活动。
《信息安全》习题参考答案 第1章 1.1 主动攻击和被动攻击是区别是什么? 答:被动攻击时系统的操作和状态不会改变,因此被动攻击主要威胁信息的保密性。主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作,因此主动攻击主要威胁信息的完整性、可用性和真实性。 1.2 列出一些主动攻击和被动攻击的例子。 答:常见的主动攻击:重放、拒绝服务、篡改、伪装等等。 常见的被动攻击:消息内容的泄漏、流量分析等等。 1.3 列出并简单定义安全机制的种类。 答:安全机制是阻止安全攻击及恢复系统的机制,常见的安全机制包括:加密机制:加密是提供数据保护最常用的方法,加密能够提供数据的保密性,并能对其他安全机制起作用或对它们进行补充。 数字签名机制:数字签名主要用来解决通信双方发生否认、伪造、篡改和冒充等问题。 访问控制机制:访问控制机制是按照事先制定的规则确定主体对客体的访问是否合法,防止未经授权的用户非法访问系统资源。 数据完整性机制:用于保证数据单元完整性的各种机制。 认证交换机制:以交换信息的方式来确认对方身份的机制。 流量填充机制:指在数据流中填充一些额外数据,用于防止流量分析的机制。 路由控制机制:发送信息者可以选择特殊安全的线路发送信息。 公证机制:在两个或多个实体间进行通信时,数据的完整性、来源、时间和目的地等内容都由公证机制来保证。 1.4 安全服务模型主要由几个部分组成,它们之间存在什么关系。 答:安全服务是加强数据处理系统和信息传输的安全性的一种服务,是指信息系统为其应用提供的某些功能或者辅助业务。安全服务模型主要由三个部分组成:支撑服务,预防服务和恢复相关的服务。 支撑服务是其他服务的基础,预防服务能够阻止安全漏洞的发生,检测与恢复服务主要是关于安全漏洞的检测,以及采取行动恢复或者降低这些安全漏洞产生的影响。 1.5 说明安全目标、安全要求、安全服务以及安全机制之间的关系。 答:全部安全需求的实现才能达到安全目标,安全需求和安全服务是多对多的关系,不同的安全服务的联合能够实现不同的安全需求,一个安全服务可能是多个安全需求的组成要素。同样,安全机制和安全服务也是多对多的关系,不同的安全机制联合能够完成不同的安全服务,一个安全机制也可能是多个安全服务的构成要素。 1.6 说明在网络安全模型中可信的第三方所起的作用。 答:要保证网络上信息的安全传输,常常依赖可信的第三方,如第三方负责将秘密信息分配给通信双方,或者当通信的双方就关于信息传输的真实性发生争执时,由第三方来仲裁。 第2章
信息安全管理条例 第一章信息安全概述 1.1、公司信息安全管理体系 信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。 信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。 改善信息安全水平的主要手段有: 1)安全方针:为信息安全提供管理指导和支持; 2)安全组织:在公司内管理信息安全; 3)资产分类与管理:对公司的信息资产采取适当的保护措施; 4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的 风险; 5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及
干扰; 6)通讯与运作管理:确保信息处理设施正确和安全运行; 7)访问控制:妥善管理对信息的访问权限; 8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命 周期; 9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方 式; 10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务 过程免受重大故障或灾害的影响; 11)符合法律:避免违反任何刑法和民法、法律法规或者合同义务以 及任何安全要求。 1.2、信息安全建设的原则 1)领导重视,全员参与; 2)信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参 与; 3)技术不是绝对的; 4)信息安全管理遵循“七分管理,三分技术”的管理原则; 5)信息安全事件符合“二、八”原则; 6)20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内 部; 7)管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,
精心整理 精心整理 网络与信息安全管理组织机构设置及工作职责 一、网络与信息安全责任人:1.网络与信息安全第一责任人:企业法定代表人姓名;工作职责为:对机构内的信息安全工作负有领导责任;联系方式:电话及邮箱。(联系电话应为本人常用、真实有效的手机号码,可抽测。) 2.网络与信息安全责任人:分管信息安全工作的负责人姓名;工作职责为:对企业内信息安全工作负有直接领导责任。联系方式:电话及邮箱。(联系电话应为本人常用、真实有效的手机号码,可抽测。)(上述两项请全部填写)二、网络与信息安全管理组织机构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门(如信息安全领导小组、信息安全工作组、信息安全部等),负责本企业网络与信息安全相关工作;企业网络与信息安全管理组织架构:包括主管部门、相关配合部门; 2.网络与信息安全管理机构职责(包括但不限于下述内容,要对公司实际制度建立和管理情况进行简述):(1)建立健全网络与信息安全规章制度,以及各项规章制度执行情况监督检查;(2)开展网络与信息安全风险监测预警和评估控制、隐患排查整改工作;(3)建立健全网络与信息安全事件应急处置和上报制度,以及组织开展应急演练;(4)建立健全从业人员网络与信息安全教育培训以及考核制度;(5)违法有害信息监测处置制度和技术手段建设;(6)建立健全用户信息保护制度。 3.对于申请IDC/ISP(开展网站接入业务的)企业,在许可证申请完成后,开展业务前,企业的IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接,并且按照《工业和信息化部办公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法(试行)》(工信厅网安(2016)135号)要求,制定本企业IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全管理人员配备情况及相应资质 一、网络与信息安全管理人员配备情况及相应资质请按 照下表内容在系统上填写相关文字信息: 网络与信息安全管理人员配备情况表 责任人 姓名 身份证号 联系方式(手机) 归属部门 工作内容 全职/兼职 资质情况 第一责任人(公司法人/
国家安全监管总局办公厅关于印发总局网络运行和信息安全 保密管理办法的通知 【法规类别】国家安全工作网络安全管理 【发文字号】安监总厅[2010]143号 【发布部门】国家安全生产监督管理总局(原国家安全生产监督管理局) 【发布日期】2010.08.04 【实施日期】2010.08.04 【时效性】现行有效 【效力级别】部门规范性文件 国家安全监管总局办公厅关于印发总局网络运行和信息安全保密管理办法的通知 (安监总厅〔2010〕143号) 各省、自治区、直辖市及新疆生产建设兵团安全生产监督管理局,各省级煤矿安全监察机构,总局和煤矿安监局机关各司局、应急指挥中心,各直属事业单位、社团组织: 为进一步规范网络运行,确保信息安全,现将《国家安全监管总局网络运行和信息安全保密管理办法》印发给你们,请遵照执行。 二○一○年八月四日国家安全监管总局网络运行和信息安全保密管理办法
为加强安全生产系统网络信息安全保密管理,保障网络正常运行和信息安全,提高办公效率,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》和国家有关规定,制定本办法。 一、总则 1.本办法所称网络包括各单位使用的内网、国家安全生产监督管理总局(以下简称总局)政务外网和各单位应用的互联网。其中,内网是指各单位内部与互联网物理隔离的局域网;总局政务外网是指全国安全生产系统信息化综合应用的专用广域网络,与互联网逻辑隔离。 2.总局政务外网建设和管理遵循总局统筹规划、统一建设和各省级单位分级管理的原则。 二、组织管理与职责 3.总局保密委员会是全国安全生产系统网络信息安全保密管理的领导机构,负责指导、审查安全生产系统信息安全保密管理工作。 4.总局办公厅是全国安全生产系统信息安全保密工作的日常管理部门,负责信息安全保密管理工作的指导、协调、监督、检查以及对失泄密事件的查处。 5.总局规划科技司负责总局政务外网和总局机关网络信息安全保障项目的规划、立项和建设管理工作。 6.总局通信信息中心是全国安全生产系统信息网络运行与维护的管理部门和信息安全保障能力建设的技术支撑部门,负责按照国家有关涉密、非涉密信息系统技术标准规范,提出总局政务外网和总局机关网络建设的技术需求,负责建设项目的技术管理和建成系统的运维管理。
《信息安全原理与技术》习题参考答案 郭亚军,宋建华,李莉,董慧慧 清华大学出版社 第1章 1.1 主动攻击和被动攻击是区别是什么? 答:被动攻击时系统的操作和状态不会改变,因此被动攻击主要威胁信息的保密性。主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作,因此主动攻击主要威胁信息的完整性、可用性和真实性。 1.2 列出一些主动攻击和被动攻击的例子。 答:常见的主动攻击:重放、拒绝服务、篡改、伪装等等。 常见的被动攻击:消息内容的泄漏、流量分析等等。 1.3 列出并简单定义安全机制的种类。 答:安全机制是阻止安全攻击及恢复系统的机制,常见的安全机制包括:加密机制:加密是提供数据保护最常用的方法,加密能够提供数据的保密性,并能对其他安全机制起作用或对它们进行补充。 数字签名机制:数字签名主要用来解决通信双方发生否认、伪造、篡改和冒充等问题。 访问控制机制:访问控制机制是按照事先制定的规则确定主体对客体的访问是否合法,防止未经授权的用户非法访问系统资源。 数据完整性机制:用于保证数据单元完整性的各种机制。 认证交换机制:以交换信息的方式来确认对方身份的机制。 流量填充机制:指在数据流中填充一些额外数据,用于防止流量分析的机制。 路由控制机制:发送信息者可以选择特殊安全的线路发送信息。 公证机制:在两个或多个实体间进行通信时,数据的完整性、来源、时间和目的地等内容都由公证机制来保证。 1.4 安全服务模型主要由几个部分组成,它们之间存在什么关系。 答:安全服务是加强数据处理系统和信息传输的安全性的一种服务,是指信息系统为其应用提供的某些功能或者辅助业务。安全服务模型主要由三个部分组成:支撑服务,预防服务和恢复相关的服务。 支撑服务是其他服务的基础,预防服务能够阻止安全漏洞的发生,检测与恢复服务主要是关于安全漏洞的检测,以及采取行动恢复或者降低这些安全漏洞产生的影响。 1.5 说明安全目标、安全要求、安全服务以及安全机制之间的关系。 答:见图1.4,全部安全需求的实现才能达到安全目标,安全需求和安全服务是多对多的关系,不同的安全服务的联合能够实现不同的安全需求,一个安全服务可能是多个安全需求的组成要素。同样,安全机制和安全服务也是多对多的关系,不同的安全机制联合能够完成不同的安全服务,一个安全机制也可能是多个安全服务的构成要素。 1.6 说明在网络安全模型中可信的第三方所起的作用。 答:要保证网络上信息的安全传输,常常依赖可信的第三方,如第三方负责将秘密信息分配给通信双方,或者当通信的双方就关于信息传输的真实性发生争执时,由第三方来仲裁。
第一章信息安全管理概述 一、判断题 1.根据ISO 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。 3.只要投资充足,技术措施完备,就能够保证百分之百的信息安全。 4.我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。 5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。 6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。 7.信息安全等同于网络安全。 8.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。
9.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。 二、单选题 1.下列关于信息的说法是错误的。 A.信息是人类社会发展的重要支柱 B.信息本身是无形的 C.信息具有价值,需要保护 D.信息可以以独立形态存在 2.信息安全经历了三个发展阶段,以下不属于这三个发展阶段。 A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段 3.信息安全在通信保密阶段对信息安全的关注局限在安全属性。 A.不可否认性 B.可用性 C.保密性 D.完整性 4.信息安全在通信保密阶段中主要应用于领域。 A.军事 B.商业 C.科研
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络
********** 信息安全管理责任及监督检查机制信息安全管理责任 为了本平台的正常运行和健康发展,落实计算机安全责任,明确计算机安全防患内容,确保计算机安全万无一失,进一步加网络信息技术防范和行政监管力度,实现系统的规范、统一、有序管理,根据《计算机网络安全管理条例》的要求,特签订计算机网络信息安全管理责任状。特制定安全目标责任书: 1、牢固树立“安全就是稳定,安全就是投入,安全就是福利”的思想。严格遵守国家制定的有关计算机信息系统安全的法律、法规,认真贯彻执行《网络安全管理条例》。并建立检查记录。 2、严格计算机电源管理。开机前检查是有自然或人为损坏,防止短路,使用中注意检查有无过载现象。 3、严格计算机硬件管理。不能频繁搬动,不能经常抽插接口,不可卸掉外壳,不能拆装箱内配件。 4、严格计算机软件管理。系统软件和应用软件都在行政部,未经管理员同意,不能随便装卸系统和软件。 5、严禁登录不健康网站,严禁传播不健康信息,严禁工作时间炒股、聊天、游戏、听歌曲看影视。 6、未经许可不可移动、装拆计算机以外的其它供电网络、办公、
照明等配套设备。 7、专机专人,未经管理员允许,不准其他人搬动、装拆、使用。 8、严格计算机清洁卫生,严防酸碱盐油质品腐蚀。 9、正确按安全程序开关闭机器。 10、严格门窗管理。离开时必须关机关灯关电源,必须关窗,锁门防盗。 11、严格防水管理。注意窗、门、房顶渗水。 12、自觉作好相关使用记录,自觉接受安全检查,主动听取安全管理意见,接受行政管理人员登记、检查监督意见。 13、无视纪律,管理疏忽,使用不当,致使硬件和软件损坏,按购买时合同价赔偿,回收使用权或调整岗位,并对所造成的损失,承担一切责任。 信息安全监督检查机制 为保证平台信息网络的安全正常运行,规范管理,特制定监督检查检查机制,各部门和维护网络管理人员必须以高度的责任感认真执行此项制度。 1、公司应当自觉遵守《中华人民共和国计算机信息系统安全保护条例》和有关网络法规,严禁利用计算机从事违法犯罪行为。
银行 信息安全管理办法 第一章总则 第一条为加强*** (下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,
及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。 (四)统计分析和协调处置信息安全事件。 (五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作: (一)负责本行信息安全管理体系的落实。 (二)负责提出本行信息安全保障需求。 (三)负责组织开展本行信息安全检查工作。 第二节技术支持人员
网络安全管理制度(意见) 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条非政府工作人员不允许在本网络内上网查询信息。严禁工作人员访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非政府工作人员操纵电脑,禁止不合法的登录情况出现。 第五条局域网内要采取安全管理措施。每台电脑需装杀毒软件,每周定时查杀病毒和木马,并自动修复系统漏洞。建议使用360杀毒软件或金山卫士(此两款软件均免费)。养成良好的操作习惯,经常备份重要资料。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络服务和破坏网络设备的活动。
第七条局域网应统一规划、建设,未经许可,不得私自将陌生的计算机接入局域网,不得将涉密电脑接入局域网。 第八条不得向其它非本部门工作人员透露内部网登录用户名和密码,做好各个应用系统的用户名和密码的保密工作。 第九条存储介质(包含:U盘、移动硬盘、光盘)在与计算机连接前,确保被计算机内安装有防木马和病毒的软件。如果杀毒软件提示有病毒存在,请做杀毒处理。不得在发现病毒的情况下强行拷贝数据。 第十条在发现某台计算机中毒后,请拔出网线,进行单机杀毒或重装系统,以免造成网络内部感染,导致网络崩溃。
数据、资料和信息的安全管理制度 第一条机房及使用计算机的单位都要设立专人负责文字及磁介质资料的安全管理工作。 第二条各单位要建立资料管理登记簿,详细记录资料的分类、名称、用途、借阅情况等,便于查找和使用。 第三条各项技术资料应集中统一保管,严格借阅制度。 第四条应用系统和操作系统需用磁带、光盘备份。对重要的动态数据应定时清理、备份,并报送有关部门存放。 第五条存放税收业务应用系统及重要信息的磁带光盘严禁外借,确因工作需要,须报请有关领导批准。 第六条对需要长期保存的数据磁带、磁盘,应在一年内进行转储,以防止数据失效造成损失。 第七条对有关电脑文件、数据进行加密处理。为保密需要,应定期或不定期地更换不同保密方法或密码口令。若须查阅保密信息,须经有关领导批准,才能查询、打印有关保密资料。对保密信息应严加看管,不得遗失、私自传播。 第八条及时关注电脑界病毒防治情况和提示,根据要求调整计算机参数或安装防毒软件,避免电脑病毒侵袭。 第九条对于联入局域网的计算机,任何人在未经批准的情况下,不得向局域网内拷入软件或文档。 第十条任何微机需安装软件时,由各单位提出申请,