信息安全工程习题及答案(版)教学内容

  • 格式:doc
  • 大小:62.00 KB
  • 文档页数:32

第一章一、填空题1.信息保障的三大要素是______、______、______2.在bs7799信息安全管理体系中,信息安全的主要目标是信息的______、______、______的保持3.信息安全一般包括______、______、信息安全和______四个方面的内容。

4.信息安全管理是通过维护信息的______、______、______等,来管理和保护信息资产的一项体制二、名词解释1.信息安全2.信息安全管理四、论述1.我国信息安全管理现状如何?第二章一、填空题1.BS7799信息安全管理领域的一个权威标准,其最大意义就在于它给______一整套可“______”的信息安全管理要领。

2.SSE-CMM将安全工程划分为三个基本的安全区域,即______、______、______3.SSE-CMM包含了______个级别,我国的信息和信息系统的安全保护等级共分为______级二、名词解释1.信息安全管理体系ISMS2.信息安全等级保护3.信息安全管理体系认证三、简答1.建立ISMS有什么作用?2.可以采用哪些模式引入BS7799?3.我国对于信息和信息系统的安全保护等级是如何划分的?4.SSE-CMM将安全工程划分为哪些基本的过程区域?每一个区域的含义是什么?5.建立信息安全管理体系一般要经过哪些基本步骤?四、论述1.PDCA分为哪几个阶段?每一个阶段的主要任务是什么?2.等级保护的实施分为哪几个阶段?每一个阶段的主要步骤是什么?3.试述BS7799的主要内容。

第三章一、填空题1.资产管理的主要任务是______、______等2.脆弱性分为______、______、______3.风险评估方法分为______、______、______4.OCTAVE是一种信息安全风险评估方法,它指的是______、______、______5.组织根据______与______的原则识别并选择安全控制措施6.风险接受是一个对残留风险进行______和______的过程二、名词解释(1)资产的价值(2)威胁(3)脆弱性(4)安全风险(5)风险评估(6)风险管理(7)安全控制(8)适用性声明三、简答1.叙述风险评估的基本步骤。

2.资产、威胁与脆弱性之间的关系如何?3.信息系统的脆弱性一般包括哪几类?4.比较基本风险评估与详细风险评估的优缺点。

第四章一、填空题1.人员安全管理包括______、______、______2.对人员的安全审查一般从人员的______、______、______等几个方面进行审查。

三、简答1.在我国,信息安全管理组织包含哪些层次?2.信息安全组织的基本任务是什么?3.信息安全教育包括哪些方面的内容?第五章一、填空题1.为防止未经授权的______,预防对信息系统的______和______的破坏和干扰,应当对信息系统所处的环境进行区域划分2.机房安全就是对旋转信息系统的______进行细致周密的计划,对信息系统加以______上的严密保护3.计算机系统的电磁泄漏途径有:______和______4.影响计算机电磁辐射强度的因素有______、______、______5.媒介保护和管理的目的是保护存储在媒介上的______,确保信息不被______、篡改、破坏或______6.基于移动存储介质的安全威胁传播快、危害大,而且有很强的______和______7.信息的存储与处理应当______,以便保护这些信息免于未经授权的______和______8.根据GB9361-88,计算机机房的安全等级分为______、______和______。

9.保证电子文档安全的技术措施有加密技术、______、______和______。

二、名词解释1.物理安全边界三、简答1.信息系统安全界线的划分和执行应考虑哪些原则和管理措施?2.为了保证信息系统安全,应当从哪些方面来保证环境条件?3.信息系统在实际应用中采用的防泄露措施主要有哪些?4.设备安全管理包括哪些方面?5.对于移动存储介质的管理应当考虑哪些策略?四、论述1.对于信息的存储与处理应当考虑哪些管理措施?第六章一、填空题1.系统可靠性分为______和______2.______和______中最大的安全弱点是用户账号3.针对用户账号安全,可采用______、______、______来保护4.系统选购通过______、______等,保证所选购安全性5.程序测试的目的有两个:一是______,二是______6.系统安全验证的方法有______、______二、名词解释1.系统安全性验证2.破坏性分析四、论述1.系统安全原则包括哪些?分别简述。

第七章一、填空题1.信息安全策略分为______和______两个层次。

2.信息安全管理程序包括两部分:一是实施控制目标与控制方式的______另一部分是覆盖信息安全管理体系的______的程序3.系统安全监控与审计是指对系统的______和系统中用户的______进行监视、控制和记录4.安全监控分为______和______两大类5.从实现技术上看,安全审计分为______和______两部分6.审计分析的基本方法有______、______、______7.网络故障管理的基本步骤包括______、______和______8.目前网络测量方法有:______、______和______二、名词解释1.信息安全策略2.系统安全审计3.操作权限管理4.操作监控三、简答1.信息安全策略有哪些相关技术2.叙述系统安全审计的工作原理。

3.操作权限管理有哪些方式?4.操作监控管理的主要内容有哪些?5.故障管理包括哪些内容?故障管理的基本步骤是什么?四、论述1.试述信息安全策略的制定过程第八章一、填空题1.目前入侵检测技术可分为______和______二、名词解释1.应急响应2.安全紧急事件三、简答1.如何理解应急响应在信息安全中的地位和作用?2.应急响应组织分为哪几类?分别简述。

四、论述应急响应处置流程通常被划分为哪些阶段?各个阶段的主要任务是什么?案例应用题1.结合你所学过的知识,谈一谈降低风险的主要途径有哪些?2.系统安全监控的主要内容有哪些?请举例说明系统安全监控有哪些实现方式?3.某设计院有工作人员25人,每人一台计算机,Windows 98对等网络通过一台集线器连接起来,公司没有专门的IT管理员。

公司办公室都在二楼,同一楼房内还有多家公司,在一楼入口处赵大爷负责外来人员的登记,但是他经常分辨不清楚是不是外来人员。

设计院由市内一家保洁公司负责楼道和办公室的清洁工作。

总经理陈博士是位老设计师,他经常拨号到Internet访问一些设计方面的信息,他的计算机上还安装了代理软件,其他人员可以通过这个代理软件访问Internet。

下列情况都是有可能的:1)小偷顺着一楼的防护栏潜入办公室偷走了……2)保洁公司人员不小心弄脏了准备发给客户的设计方案;错把掉在地上的合同稿当废纸收走了;不小心碰掉了墙角的电源插销……3)某设计师张先生是公司的骨干,他嫌公司提供的设计软件版本太旧,自己安装了盗版的新版本设计程序。

尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭,可是张先生还是喜欢新版本的设计程序,并找到一些办法避免错误发生时丢失文件。

4)后来张先生离开设计院,新员工小李使用原来张先生的计算机。

小李抱怨了多次计算机不正常,没有人理会,最后决定自己重新安装操作系统和应用程序。

5)小李把自己感觉重要的文件备份到陈博士的计算机上,听说Windows2000比较稳定,他决定安装Windows2000,于是他就重新给硬盘分区,成功完成了安装。

6)大家通过陈博士的计算机访问Internet,收集了很多有用的资料。

可是最近好几台计算机在启动的时候就自动连接上Internet,陈博士收到几封主题不同的电子邮件,内容竟然包括几个还没有提交的设计稿,可是员工都说没有发过这样的信。

针对上述情况,请从下面所列的安全策略中选择你认为适合的放在相应的位置。

⑴物理安全策略⑵网络安全策略⑶数据加密策略⑷数据备份策略⑸病毒防护策略⑹系统安全策略⑺身份认证及授权策略⑻灾难恢复策略⑼事故处理与紧急响应策略⑽安全教育策略⑾口令管理策略⑿补丁管理策略⒀系统变更控制策略⒁商业伙伴与客户关系策略⒂复查审计策略(例:1)⑴⑵⑶⑷⑸)4.某高校信息安全应对策略某大学师生人数众多,拥有两万多台主机,上网用户也在2万人左右,而且用户数量一直成上升趋势。

校园网在为广大师生提供便捷、高效的学习、工作环境的同时,也在宽带管理、计费和安全等方面存在许多问题。

具体如下:(1)IP地址及用户账号的盗用。

(2)多人使用同一账号。

(3)网络计费管理功能的单一。

(4)对带宽资源的大量占用导致重要应用无法进行。

(5)访问权限难以控制。

(6)安全问题日益突出。

(7)异常网络事件的审计和追查。

(8)多个校区的管理和维护。

针对这些问题,相应的应对策略。

第一章一、填空题1.人员技术管理2.机密性完整性可用性3.实体安全运行安全管理安全4.机密性完整性可用性二、名词解释1.信息安全是保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。

2.信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。

四、论述1.在国家宏观信息安全管理方面,主要有以下几个方面的问题:(1)法律法规问题(2)管理问题(3)国家信息基础设施建设问题在微观信息安全管理方面的问题主要有以下几方面:缺乏信息安全意识与明确的信息安全方针(2)重视安全技术,轻视安全管理(3)安全管理缺乏系统管理的思想。

第二章一、填空题1.管理层量体裁衣2.风险工程保证3.六五二、名词解释1.信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完整这些目标所用的方法和手段所构成的体系;信息安全管理体系是信息安全管理活动的直接结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

2.信息安全等级保护是指根据信息系统在国家安全、经济安全、社会稳定、和保护公共利益等方面的重要程度,结合系统面临的风险、应对风险的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。

3.信息安全管理体系认证,是第三方依据程序对产品、过程和服务等符合规定的要求给予书面保证(如合格证书)。

认证的基础是标准,认证的方法包括对产品特性的抽样检验和对组织体系的审核与评定,认证的证明方式是认证证书与认证标志。