下载文档原格式
网络攻防培训报告范文一、培训介绍网络攻防培训是为了提升组织内部员工的网络安全意识和技能而进行的一项培训活动。
本次培训主要目的是通过学习网络攻击的原理和常见防御措施,使员工更好地保护组织的网络安全和敏感信息。
二、培训内容1. 网络攻击类型在培训的第一部分,我们主要介绍了网络攻击的类型。
网络攻击可以分为以下几种:- DDOS攻击:分布式拒绝服务攻击,通过占用目标服务器所有的系统资源,从而导致服务无法正常响应。
- 恶意软件:利用病毒、木马、蠕虫等恶意软件来攻击目标网络系统。
- 社会工程学攻击:通过利用人的社交工具和心理弱点,诱导受害者泄露敏感信息。
- SQL注入攻击:通过在网页等用户输入处插入恶意SQL代码,从而对数据库进行非法操作。
- 钓鱼攻击:通过伪造合法网站或邮件,引导用户输入敏感信息,以达到欺骗目的。
2. 网络防御措施在培训的第二部分,我们主要介绍了网络防御的常见措施。
以下是一些重要的网络防御措施:- 防火墙:设置合理的防火墙规则,限制对外部网络的访问。
- 更新补丁:及时安装网络系统和应用软件的最新补丁,修复已知安全漏洞。
- 强密码策略:设定强密码策略,要求员工使用足够复杂的密码,并定期更新。
- 备份和恢复:定期备份重要数据,并测试恢复过程,以防万一出现数据丢失。
- 安全培训:定期进行员工的网络安全培训,提高员工的安全意识。
三、培训效果通过本次网络攻防培训,员工们对网络安全的重要性有了更深入的认识,并掌握了一些基本的网络防御知识和技能。
他们了解了常见的网络攻击类型和防御措施,知道了如何应对突发的网络攻击事件。
另外,通过培训,我们对员工的网络安全意识进行了评估,并收集了相关数据。
根据评估结果,我们可以得出以下结论:1. 员工对网络安全意识的整体水平有所提高,有86%的员工表示意识到网络攻击的风险,并主动采取了相应的防护措施。
2. 培训后,员工能够正确识别常见的网络攻击类型,如DDOS攻击和钓鱼攻击。
网络安全防护技能培训教材第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.1.1 个人信息安全 (4)1.1.2 企业信息安全 (4)1.1.3 国家信息安全 (4)1.2 常见网络安全威胁 (4)1.2.1 恶意软件 (4)1.2.2 网络钓鱼 (4)1.2.3 社交工程 (4)1.2.4 DDoS攻击 (4)1.2.5 数据泄露 (5)1.3 安全策略与防护措施 (5)1.3.1 安全策略 (5)1.3.2 防护措施 (5)第2章密码学基础 (5)2.1 密码学概述 (5)2.2 对称加密算法 (5)2.3 非对称加密算法 (6)2.4 哈希算法与数字签名 (6)第3章网络设备与系统安全 (6)3.1 网络设备的安全配置 (6)3.1.1 基本安全配置原则 (6)3.1.2 路由器安全配置 (7)3.1.3 交换机安全配置 (7)3.1.4 无线设备安全配置 (7)3.2 操作系统的安全防护 (7)3.2.1 操作系统安全概述 (7)3.2.2 常见操作系统安全漏洞 (7)3.2.3 操作系统安全防护策略 (7)3.2.4 主机安全防护 (7)3.3 网络安全设备介绍 (7)3.3.1 防火墙 (7)3.3.2 入侵检测系统(IDS)与入侵防御系统(IPS) (7)3.3.3 虚拟专用网络(VPN) (8)3.3.4 安全审计设备 (8)第4章网络攻防技术 (8)4.1 扫描与探测技术 (8)4.1.1 基本概念 (8)4.1.2 常用扫描技术 (8)4.1.3 常用探测工具 (8)4.2 漏洞分析与利用 (8)4.2.2 漏洞挖掘技术 (8)4.2.3 常用漏洞利用工具 (9)4.3 防御策略与应对措施 (9)4.3.1 防御策略 (9)4.3.2 应对措施 (9)第5章恶意代码与病毒防护 (9)5.1 恶意代码概述 (9)5.1.1 恶意代码的定义 (9)5.1.2 恶意代码的类型及特点 (10)5.2 病毒防护技术 (10)5.2.1 病毒防护原理 (10)5.2.2 常见病毒防护技术 (10)5.3 勒索软件防护策略 (10)5.3.1 勒索软件概述 (10)5.3.2 勒索软件防护策略 (11)第6章防火墙与入侵检测系统 (11)6.1 防火墙原理与配置 (11)6.1.1 防火墙概述 (11)6.1.2 防火墙工作原理 (11)6.1.3 防火墙配置 (11)6.2 入侵检测系统原理与应用 (12)6.2.1 入侵检测系统概述 (12)6.2.2 入侵检测系统工作原理 (12)6.2.3 入侵检测系统应用 (12)6.3 防火墙与入侵检测系统的联动 (12)6.3.1 联动原理 (12)6.3.2 联动配置 (12)第7章虚拟专用网络(VPN) (13)7.1 VPN技术概述 (13)7.1.1 VPN的定义与功能 (13)7.1.2 VPN的分类 (13)7.1.3 VPN的典型应用场景 (13)7.2 VPN加密协议 (13)7.2.1 加密技术在VPN中的应用 (13)7.2.2 常见VPN加密协议 (13)7.2.3 加密协议的选择与配置 (13)7.3 VPN设备的配置与管理 (13)7.3.1 VPN设备选型与部署 (13)7.3.2 VPN设备配置基本步骤 (14)7.3.3 VPN设备管理 (14)7.3.4 VPN设备故障排除 (14)第8章无线网络安全 (14)8.1 无线网络安全概述 (14)8.1.2 威胁类型 (14)8.1.3 安全挑战 (14)8.2 无线网络安全协议 (15)8.2.1 WEP (15)8.2.2 WPA (15)8.2.3 WPA2 (15)8.2.4 WPA3 (15)8.3 无线网络安全防护策略 (15)8.3.1 加强无线接入点安全 (15)8.3.2 强化密码策略 (16)8.3.3 网络隔离与访问控制 (16)8.3.4 安全监控与审计 (16)第9章应用层安全 (16)9.1 Web安全防护 (16)9.1.1 概述 (16)9.1.2 Web攻击手段 (16)9.1.3 Web防护策略 (16)9.1.4 Web应用防火墙 (16)9.1.5 与SSL/TLS (17)9.2 数据库安全 (17)9.2.1 数据库安全概述 (17)9.2.2 数据库访问控制 (17)9.2.3 数据库加密技术 (17)9.2.4 数据库防火墙 (17)9.2.5 数据库安全运维 (17)9.3 邮件安全与防护 (17)9.3.1 邮件安全概述 (17)9.3.2 邮件加密技术 (17)9.3.3 邮件认证与签名 (17)9.3.4 邮件过滤与防护 (17)9.3.5 邮件服务器安全配置 (17)第10章安全审计与应急预案 (17)10.1 安全审计概述 (17)10.1.1 安全审计的定义与作用 (17)10.1.2 安全审计的分类与标准 (18)10.1.3 安全审计的实施步骤 (18)10.2 安全事件应急响应 (18)10.2.1 安全事件概述 (18)10.2.2 安全事件应急响应流程 (18)10.2.3 安全事件应急响应团队建设 (18)10.3 安全预案制定与演练 (18)10.3.1 安全预案概述 (18)10.3.2 安全预案的编制方法 (18)10.3.3 安全预案的演练与评估 (18)第1章网络安全基础概念1.1 网络安全的重要性网络安全作为维护国家、企业和个人信息安全的关键环节,日益受到广泛关注。
国家网络安全知识内容国家网络安全意识内容包括网络安全基础知识、网络风险和威胁、网络安全法律法规、个人防护措施等。
下面将详细介绍。
一、网络安全基础知识1. 网络安全的定义:指在计算机网络中,保护网络中的计算机资源和用户信息不被非法使用、破坏或泄漏的一系列措施。
2. 防火墙:是指设置在网络与外网之间的一道防线,用于过滤和监控网络流量,保护内部网络免受来自外部的不良流量攻击。
3. 漏洞:指系统或软件中存在的错误或缺陷,使得黑客可以利用这些漏洞进行攻击。
4. 密码强度:指密码的复杂程度,包括密码长度、字符种类、组合方式等,强密码可以提高账户的安全性。
5. 信息安全:涉及到保护信息的保密性、完整性和可用性,包括加密、防火墙、访问控制等技术措施。
二、网络风险和威胁1. 病毒和恶意软件:通过电子邮件、下载文件或点击链接等方式传播,会破坏计算机系统、盗取个人信息等。
2. 垃圾邮件和钓鱼网站:通过发送大量的垃圾邮件或设置虚假的网站,诱导用户泄漏个人信息。
3. 社交工程:利用社交网络获取用户的个人信息,通过冒充身份进行欺骗或攻击。
4. DDoS攻击:通过占用大量资源向目标服务器发送请求,导致服务器系统崩溃。
5. 数据泄露:指个人或公司的敏感信息被非法获取并公布或商业利用。
三、网络安全法律法规1. 中国网络安全法:于2016年6月1日实施,主要涉及网络基础设施安全、个人信息保护、网络安全事件报告等方面的规定。
2. 个人信息保护法:保护个人信息的安全和隐私,规定了个人信息的保护、处理和使用等方面的要求。
3. 电子商务法:涉及网络交易的安全、支付方式的安全、商家和消费者的权益保护等内容。
4. 通信保密法:规定了通信内容的保密、网络服务提供者的义务等。
四、个人防护措施1. 定期更新操作系统和软件补丁,及时修复系统漏洞。
2. 使用强密码,定期更改密码,并不同网站使用不同密码。
3. 维护电脑的网络安全软件,及时检测、拦截和清除病毒、木马等恶意软件。
网络安全攻防实战教程第一章:网络安全基础知识网络安全是当今信息时代必不可少的领域,它涵盖了许多方面的知识。
在这一章节中,我们将介绍网络安全的基本概念和术语,包括网络威胁、黑客常用工具、常见漏洞类型等。
了解这些基础知识对于进行网络安全攻防实战是至关重要的。
第二章:入侵检测与防御入侵检测和防御是网络安全的重要组成部分。
在这一章节中,我们将介绍入侵检测的基本原理和技术,包括网络流量和日志分析、入侵检测系统的部署和配置等。
同时,我们还将讨论一些常见的入侵防御技术,如入侵防火墙、入侵防御系统等。
第三章:密码学与身份认证密码学是网络安全的基石,它涉及到加密和解密技术,以及数字签名和身份认证等方面。
在这一章节中,我们将介绍密码学的基本原理和常用算法,包括对称加密和非对称加密等。
此外,我们还将讨论身份认证的概念和方法,如单因素认证和多因素认证等。
第四章:漏洞扫描与修复漏洞扫描是网络安全攻防中的重要环节,它用于检测和识别系统中存在的漏洞。
在这一章节中,我们将介绍漏洞扫描的基本原理和技术,包括端口扫描、漏洞扫描工具等。
同时,我们还将讨论漏洞修复的方法和策略,如修复漏洞的补丁安装和系统配置等。
第五章:网络攻击与防御网络攻击是对网络系统和数据进行非法访问和破坏的行为。
在这一章节中,我们将介绍一些常见的网络攻击类型,如拒绝服务攻击、网络钓鱼和社交工程攻击等。
同时,我们还将讨论一些网络防御技术,如入侵检测和防御系统、防火墙和防病毒软件等。
第六章:网络取证与法律网络取证是在网络安全事件发生后进行的调查和证据收集的过程。
在这一章节中,我们将介绍网络取证的基本原理和常用方法,包括数据恢复和网络日志分析等。
同时,我们还将讨论与网络安全相关的法律和法规,如《计算机信息网络国际联网安全保护管理办法》等。
第七章:实战演练实战演练是提高网络安全攻防能力的最佳方式之一。
在这一章节中,我们将介绍一些实战演练的方法和案例,包括模拟网络攻击和漏洞挖掘等。
学习网络攻防的基础知识和教程推荐网络攻防是信息安全领域中至关重要的一部分,对于网络安全方向的学习者来说,了解和掌握网络攻防的基础知识是必不可少的。
本文将按照类别划分为四个章节,分别介绍网络攻防的基础知识和一些教程推荐。
第一章:网络攻防概述网络攻防是指通过技术手段保护计算机系统和网络免受恶意攻击的一系列措施。
攻击者和防御者之间进行的攻与防的博弈常常围绕以下几个方面展开:网络漏洞与漏洞利用、恶意代码与病毒、入侵检测与防护、网络监控与日志分析等。
第二章:网络攻击与防御技术2.1 网络漏洞与漏洞利用网络漏洞是指网络系统或应用程序中存在的错误或弱点,可能被攻击者利用来入侵系统或获取非法权限。
学习者需要了解常见的漏洞类型,如跨站脚本攻击(XSS)、SQL注入、拒绝服务攻击(DDoS)等,并学习相应的防御措施。
2.2 恶意代码与病毒防御恶意代码(如病毒、木马、蠕虫等)是攻击者用来入侵系统或盗取用户信息的工具。
学习者需要了解恶意代码的传播途径和感染方式,并研究防御恶意代码的方法,如杀毒软件、防火墙配置、安全补丁更新等。
2.3 入侵检测与防护入侵检测与防护是指通过监控系统内外部的网络活动,及时发现和防止入侵行为。
学习者需要熟悉常见的入侵检测技术,如网络流量分析、入侵日志分析等,并学习如何配置和使用入侵检测系统(IDS)和入侵防护系统(IPS)来提高系统安全性。
2.4 网络监控与日志分析网络监控和日志分析是指利用各类监控工具和系统日志来实时监测和分析网络活动,及时发现潜在的安全威胁和异常行为。
学习者需要了解网络监控的基本原理和常见的监控技术,如网络流量分析、入侵检测、安全事件管理等,并学习如何使用相关工具来进行网络监控和日志分析。
第三章:网络攻防教程推荐3.1 OWASP(Open Web Application Security Project)OWASP是一个致力于提供开放式Web应用安全的组织。
他们提供了一系列的在线教程和指南,向学习者介绍了Web应用安全的基本概念、常见漏洞和安全测试方法。
网络攻防知识点总结大全网络攻防是指网络安全领域的一项重要工作,它涉及到网络信息系统的保护,包括网络设备、软件和数据等。
网络攻防知识点涉及到众多方面,包括网络安全基础知识、常见的攻击与防范、网络安全工具与技术、网络监控与应急响应等内容。
以下是网络攻防知识点的总结:一、网络安全基础知识1.1 网络安全概念网络安全是指维护网络系统的可用性、完整性和保密性,保护系统资源免受未经授权的访问、篡改或破坏。
1.2 网络攻击类型网络攻击包括网络入侵、数据篡改、拒绝服务攻击、木马病毒、钓鱼攻击等多种类型。
1.3 黑客攻击手段黑客攻击手段包括漏洞利用、社会工程学、密码破解、拒绝服务攻击等多种方式。
1.4 防火墙原理防火墙是用于过滤网络流量的安全设备,它可以实现流量控制、访问控制、应用层过滤等功能,保护内部网络安全。
1.5 加密技术加密技术是保护网络通信安全的重要手段,包括对称加密、非对称加密、数字证书、SSL/TLS等技术。
1.6 网络安全法律法规网络安全法律法规是指国家对网络安全领域的相关法律规定,包括《中华人民共和国网络安全法》、《国家秘密法》、《计算机信息系统安全保护条例》等。
1.7 网络攻防实践网络攻防实践是指通过模拟攻击与防御的方式,提高网络安全工程师的实战能力,熟悉攻击技术与防御方法。
二、常见的攻击与防范2.1 DDos攻击与防范DDos攻击是一种向目标服务器发送大量伪造请求,使其无法正常对外提供服务的攻击方式,防范方法包括使用DDos防火墙、CDN加速等。
2.2 SQL注入攻击与防范SQL注入攻击是指黑客利用应用程序对数据库的输入进行恶意注入,达到破坏数据库或获取敏感信息的目的,防范方法包括对输入数据进行严格过滤和验证。
2.3 XSS攻击与防范XSS攻击是指黑客通过向网页注入恶意脚本,盗取用户信息或利用用户的浏览器进行攻击,防范方法包括对用户输入进行过滤和转义。
2.4 CSRF攻击与防范CSRF攻击是指黑客利用用户已登录的身份,进行恶意操作,如发起转账、更改密码等,防范方法包括使用Token验证、引入验证码等。
网络安全教育培训内容一、网络安全概述1.1 网络安全定义网络安全是指保护网络系统、网络设备、网络数据和网络用户免受各种威胁和攻击,确保网络正常运行和数据安全的过程。
1.2 网络安全威胁类型- 恶意软件:如病毒、木马、蠕虫等- 网络钓鱼:通过虚假信息诱骗用户泄露敏感信息- 社交工程:利用人性的弱点获取敏感信息- DDoS攻击:通过大量请求使网络服务不可用- 数据泄露:未经授权访问或泄露敏感数据- 等等1.3 网络安全目标- 机密性:确保信息不被未授权访问- 完整性:确保信息未被篡改- 可用性:确保信息和服务在需要时可用二、网络安全基础知识2.1 密码学介绍密码学的基本概念、加密算法(如DES、RSA等)和数字签名。
2.2 网络协议2.3 身份认证介绍身份认证的基本方法,如密码认证、双因素认证等。
三、网络安全实践3.1 操作系统安全- 操作系统设置和配置- 用户权限和文件权限管理- 防火墙和杀毒软件配置3.2 网络安全设备- 路由器和交换机安全配置- 入侵检测和防御系统(IDS/IPS)- 虚拟私人网络(VPN)3.3 应用安全- Web应用安全:如SQL注入、XSS攻击等- 移动应用安全:如Android和iOS安全机制四、网络安全意识4.1 安全惯- 定期更改密码- 不使用简单密码- 不在公共网络环境下处理敏感信息4.2 电子邮件安全- 识别和避免网络钓鱼邮件4.3 社交网络安全- 谨慎发布个人信息- 避免与陌生网友交流敏感信息五、网络安全应急响应5.1 应急响应流程- 发现安全事件:识别和报告安全事件- 分析安全事件:确定事件性质和影响范围- 事件应对:采取措施应对安全事件- 恢复和总结:恢复受影响系统和数据,总结经验教训5.2 安全工具和技术- 入侵检测系统(IDS)- 安全信息与事件管理(SIEM)- 安全审计和监控六、法律法规与合规性- 介绍我国网络安全法律法规体系- 企业和个人在网络安全方面的义务和责任- 网络安全合规性检查和评估七、实战演练- 组织模拟攻击和防御演练- 定期进行网络安全培训和考核- 鼓励员工参与网络安全竞赛和活动通过以上培训内容,希望能提高大家的网络安全意识和技能,共同维护我国网络安全。
CISO2019051、公钥基础设施(Public Key Infrastructure,PKI)引入数字证书的概念,用来表示用户的身份。
下图简要地描述了终端实体(用户)从认证权威机构CA 申请、撤销和更新数字证书的流程。
请为中间框空白处选择合适的选项()。
A.证书库A.证书库B.RAC.OCSPD.CRL 库答案:B 2、在信息安全风险管理过程中,背景建立是实施工作的第一步,下面哪项理解是错误的:BA 、背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使用、信息系统的业务目标和特性;B 、背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单;C 、背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性,形成信息系统的描述报告;D 、背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求报告。
3、ISO9001-2000标准在制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求增进顾客满意。
下图是关于过程方法的示意图,图中括号空白处应填写()A.策略B.管理者终端实体()认证权威机构(CA )C.组织D.活动答案:D4、某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制本单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四条理由中,其中不适合作为理由的一条是()A、应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式B、应急预案是提高应对网络和信息系统突发事件能力,减少突发事件造成的损失和危害,保障信息系统运行平稳、安全、有序、高效的手段C、编制应急预案是国家网络和信息安全法对所有单位的强制要求,因此必须建设D、应急预案是保障单位业务系统信息安全的重要措施D5、某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,提出了四大培训任务和目标,关于这四个培训任务和目标,作为主管领导,以下选项中不合理的是()A.由于网络安全上升到国家安全的高度,因此网络安全须得到足够的重视,因此安排了对集团公司下属公司的总经理(一把手)的网络安全法培训B.对下级单位的网络安全管理岗位人员实施全面安全培训,计划全员通过CISP持证培训以确保人员能力得到保障C.对其他信息化相关人员(网络管理员、软件开发人员)也进行安全基础培训,使相关人员对网络安全有所了解D.对全体员工安排信息安全意识及基础安全知识培训,实现全员信息安全意识教育D6、以下关于威胁建模流程步骤说法不正确的是A.威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁B.评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险C.消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手段来消减威胁。
D.识别威胁是发现组件或进程存在的威胁,它可能是恶意的,威胁就是漏洞。
D7、42、根据Bell-LaPedula模型安全策略,下图中写和读操作正确的是()A.可读可写B.可读不可写C.可写不可读D.不可读不可写答案:B8、小赵是某大学计算机科学与技术专业的毕业生,,在前往一家大型企业应聘时,,面试经理要求他给出该企业信息系统访问控制模型的设计思路。
如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是()A.访问控制列表(ACL)B.能力表(CL)C.BLP模型D.Biba模型A9、信息系统建设完成后,()的信息系统的而运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用A.二级以上B.三级以上C.四级以上D.五级以上B10、从Linux内核2.1版开始,实现了基于权能的特权管理机制,实现了对超级用户的特权分割,打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,提高了操作系统的安全性。
下列选项中,对特权管理机制的理解错误的是():A、普通用户及其shell没有任何权能,而超级用户及其shell在系统启动之初拥有全部权能B、系统管理员可以剥夺和恢复超级用户的某些权能C、进程可以放弃自己的某些权能D、当普通用户的某些操作设计特权操作时,仍然通过setuid实现B11、Linux系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护root账户、使用防火墙和文件权限操作共10个方面来完成。
小张在学习了Linux系统安全的相关知识后,尝试为自己计算机上的Linux系统进行安全配置。
下列选项是他的部分操作,其中不合理的是()A.编辑文件/etc/passwd,检查文件中用户ID,禁用所有ID=0的用户B.编辑文件/etc/ssh/sshd_config,将PermitRootLogin设置为noC.编辑文件/etc/pam.d/system-auth,设置auth required pam_tally.so onerr=fail deny=6unlock_time=300D.编辑文件/etc/profile,设置TMOUT=600A12、残余风险是风险管理中的一个重要概念。
在信息安全风险管理中,关于残余风险描述错误的是()A.残余风险是采取了安全措施后,仍然可能存在的风险;一般来说,是在综合考虑了安全成本与效益后不去控制的风险B.残余风险应受到密切监视,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件C.实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果D.信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小残余风险值作为风险管理效果评估指标A13、对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响,依据信息系统的重要程度对信息进行划分,不属于正确划分级别的是:A.特别重要信息系统B.重要信息系统C.一般信息系统D.关键信息系统D14、为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是()A、信息安全需求是安全方案设计和安全措施实施的依据B、信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化,结构化的语言来描述信息系统安全保障需求C、信息安全需求应当基于信息安全风险评估结果,业务需求和有关政策法规和标准的合规性要求得到D、信息安全需求来自于该公众服务信息系统的功能设计方案D15、为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系统标准,这些标准可以按照等级保护工作的工作阶段大致分类,下面四个标准中,()提出和规定了不同安全保护等级信息系统的最低保护要求,并按照技术和管理两个方面提出了相关基本安全要求:A、GB/T22239-2008《信息系统等级保护安全设计技术要求》B、GB/T2240-2008《信息系统安全保护等级定级指南》C、GB/T25070-2010《信息系统等级保护安全设计技术要求》D、GB/T28449-2012《信息系统安全等级保护测评过程指南》A16、由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()A.要求开发人员采用敏捷开发模型进行开发B.要求所有的开发人员参加软件安全意识培训C.要求规范软件编码,并制定公司的安全编码准则D.要求增加软件安全测试环节,尽早发现软件安全问题A17、老王是一名企业信息化负责人,由于企业员工在浏览网页时总导致病毒感染,系统为解决这一问题寻求信息,安全员给出解决措施信息,安全员给出了四条措施建议,老王根据多年的信息安全管理经验,认为一条措施不太适合推广,你认为是哪条措施:A、采购防病毒网关,并部署在企业互联网出口中,实现对所有浏览网页进行检测,阻止网页中的病毒进入;B、采购并统一部署企业防病毒软件,信息化管理部门统一进行病毒库升级,确保每台计算机都具备有防护和查杀能力;C、制定制度禁止使用微软的IE浏览器上网,统一要求使用Chrome浏览器D、组织对员工进行一次上网行为安全培训,提高企业员工在互联网浏览时的安全意识C18、以下关于项目的含义,理解错误的是:A.项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。
B.项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定。
C.项目资源指完成项目所需要的人、财、物等。
D.项目目标要遵守SMART原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agreeto)、现实(Realistic)、有一定的时限(Timeoriented)B19、对于关键信息基础设施的外延范围,以下哪项是正确的?()A.关键信息基础设施的认定由国家网信部门确定,网络运营者自身及上级主管部门不能认定B.关键信息基础设施与等级保护三级以上系统的范围一致,对于等级保护三级以上系统就应纳入关键信息基础设施保护范围C.关键信息基础设施的具体范围由国务院制定,鼓励网络运营者自愿参照关键信息基础设施保护标准要求开展保护D.关键信息基础设施只限于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务这七个行业,除此以外行业的网络不能认定为关键信息基础设施C20、国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述? A.处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的B.能够局部反应国家防御和治安实力的C.我国独有、不受自然条件因素制约、能体现民族特色的精华,并且社会效益或者经济效益显著的传统工艺D.国际领先,并且对国防建设或者经济建设具有特别重大影响的D21、数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是:A.传输层、网络接口层、互联网络层B.传输层、互联网络层、网络接口层C.互联网络层、传输层、网络接口层D.互联网络层、网络接口层、传输层B22、()第二十三条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照()实行分级保护,()应当按照国家保密标准配备保密设施、设备。
