第一章 信息安全管理概述
一、判断题
1.根据ISO 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。
2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。 3.只要投资充足,技术措施完备,就能够保证百分之百的信息安全。
4.我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。
5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。
6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。 7.信息安全等同于网络安全。
8.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。
9.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。 二、单选题
1.下列关于信息的说法 是错误的。
A.信息是人类社会发展的重要支柱 B.信息本身是无形的 C.信息具有价值,需要保护 D.信息可以以独立形态存在
2.信息安全经历了三个发展阶段,以下 不属于这三个发展阶段。 A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段 3.信息安全在通信保密阶段对信息安全的关注局限在 安全属性。 A.不可否认性 B.可用性 C.保密性 D.完整性
4.信息安全在通信保密阶段中主要应用于 领域。 A.军事 B.商业 C.科研 D.教育
5.信息安全阶段将研究领域扩展到三个基本属性,下列 不属于这三个基本属性。 A.保密性 B.完整性 C.不可否认性 D.可用性
6.安全保障阶段中将信息安全体系归结为四个主要环节,下列 是正确的。
A.策略、保护、响应、恢复 B.加密、认证、保护、检测 C.策略、网络攻防、密码学、备份 D.保护、检测、响应、恢复
7.根据ISO的信息安全定义,下列选项中 是信息安全三个基本属性之一。 A.真实性 B.可用性 C.可审计性 D.可靠性
8.为了数据传输时不发生数据截获和信息泄密,采取了加密机制。这种做法体现了信息安全的 属性。 A.保密性 B.完整性 C.可靠性 D.可用性
9.定期对系统和数据进行备份,在发生灾难时进行恢复。该机制是为了满足信息安全的 属性。 A.真实性 B.完整性 C.不可否认性 D.可用性
10.数据在存储过程中发生了非法访问行为,这破坏了信息安全的 属性。 A.保密性 B.完整性 C.不可否认性 D.可用性
11.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的 属性。 A.保密性 B.完整性 C.不可否认性 D.可用性
12.PDR安全模型属于 类型。 A.时间模型 B.作用模型 C.结构模型 D.关系模型
13.《信息安全国家学说》是 的信息安全基本纲领性文件。 A.法国 B.美国 C.俄罗斯 D.英国 14.下列的 犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。
A.窃取国家秘密 B.非法侵入计算机信息系统 C.破坏计算机信息系统 D.利用计算机实施金融诈骗
15.我国刑法 规定了非法侵入计算机信息系统罪。 A.第284条 B.第285条 C.第286条 D.第287条 16.《计算机信息系统安全保护条例》是由中华人民共和国 第147号发布的。 A.国务院令 B.全国人民代表大会令 C.公安部令 D.国家安全部令
17.《互联网上网服务营业场所管理条例》规定, 负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。 A.人民法院 B.公安机关 C.工商行政管理部门 D.国家安全部门 18.在PDR安全模型中最核心的组件是 。 A.策略 B.保护措施 C.检测措施 D.响应措施
19.《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起 续。 A.7 B.10 C.15 D.30
20.互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存 天记录备份的功能。 A.10 B.30 C.60 D.90
21.网络信息未经授权不能进行改变的特性是 。 A.完整性 B.可用性 C.可靠性 D.保密性 22.确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是 。 A.完整性 B.可用性 C.可靠性 D.保密性
23.确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝,允许其可靠而且及时地访问信息及资源的特性是 。 A.完整性 B.可用性 C.可靠性 D.保密性 24. 国务院发布《计算机信息系统安全保护条例》。
A.1990年2月18日 B.1994年2月18日 C.2000年2月18日 D.2004年2月18日
25.《计算机信息系统安全保护条例》规定,国家对计算机信息系统安全专用产品的销售实行 。 A.许可证制度 B.3C 认证 C.ISO 9000认证 D.专卖制度
26.《互联网上网服务营业场所管理条例》规定,互联网上网服务营业场所经营单位 。 A.可以接纳未成年人进入营业场所 B.可以在成年人陪同下,接纳未成年人进入营业场所 C.不得接纳未成年人进入营业场所 D.可以在白天接纳未成年人进入营业场所
27.《计算机信息系统安全保护条例》规定,运输、携带、邮寄计算机信息媒体进出境的,应当如实向 。 A.国家安全机关申报 B.海关申报 C.国家质量检验监督局申报 D.公安机关申报
28.《计算机信息系统安全保护条例》规定,故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以 的罚款、对单位处以 的罚款。 A.5000元以下 15000元以下 B.5000元 15000元 C.2000元以下 10000元以下 D.2000元 10000元
29.信息安全PDR模型中,如果满足 ,说明系统是安全的。 A.Pt>Dt+Rt B.Dt>Pt+Rt C.Dt 31.《确保网络空间安全的国家战略》是 发布的国家战略。 A.英国 B.法国 C.德国 D.美国 32.信息安全中的木桶原理,是指 。 A.整体安全水平由安全级别最低的部分所决定 B.整体安全水平由安全级别最高的部分所决定 C.整体安全水平由各组成部分的安全级别平均值所决定 D.以上都不对 33.关于信息安全的说法错误的是 。 A.包括技术和管理两个主要方面 B.策略是信息安全的基础 C.采取充分措施,可以实现绝对安全 D.保密性、完整性和可用性是信息安全的目标 34. PDR模型是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的P代表 、D代表 、R代表 。 A.保护 检测 响应 B.策略 检测 响应 C.策略 检测 恢复 D.保护 检测 恢复 35.《计算机信息系统安全保护条例》规定,任何组织或者个人违反条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担 。 A.刑事责任 B.民事责任 C.违约责任 D.其他责任 36.关于信息安全,下列说法中正确的是 。 A.信息安全等同于网络安全 B.信息安全由技术措施实现 C.信息安全应当技术与管理并重 D.管理措施在信息安全中不重要 37.在PPDRR安全模型中, 是属于安全事件发生后的补救措施。 A.保护 B.恢复 C.响应 D.检测 38.我国正式公布了电子签名法,数字签名机制用于实现 需求。 A.抗否认 B.保密性 C.完整性 D.可用性 39.在需要保护的信息资产中, 是最重要的。 A.环境 B.硬件 C.数据 D.软件 三、多选题 1.全国人民代表大会常务委员会《关于维护互联网安全的决定》规定,利用互联网实施违法行为,尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员,依法给予 或者 。 A.行政处分 B.纪律处分 C.民事处分 D.刑事处分 2.《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不得从事下列危害计算机信息网络安全的活动: 。 A.故意制作、传播计算机病毒等破坏性程序的 B.未经允许,对计算机信息网络功能进行删除、修改或者增加的 C.未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的 D.未经允许,进入计算机信息网络或者使用计算机信息网络资源的 3.《互联网上网服务营业场所管理条例》规定, 负责互联网上网服务营业场所经营许可审批和服务质量监督。 A.省电信管理机构 B.自治区电信管理机构 C.直辖市电信管理机构 D.自治县电信管理机构 E.省信息安全管理机构 4.《互联网信息服务管理办法》规定,互联网信息服务提供者不得制作、复制、发布、传播的信息内容有 。 A.损害国家荣誉和利益的信息 B.个人通信地址 C.个人文学作品 D.散布淫秽、色情信息 E.侮辱或者诽谤他人,侵害他人合法权益的信息 5.《计算机信息系统安全保护条例》规定, 由公安机关处以警告或者停机整顿。 A.违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的 B.违反计算机信息系统国际联网备案制度的 C.有危害计算机信息系统安全的其他行为的 D.不按照规定时间报告计算机信息系统中发生的案件的 E.接到公安机关要求改进安全状况的通知后,在限期内拒不改进的 6.互联网服务提供者和联网使用单位应当落实的互联网安全保护技术措施包括 。 A.防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施 B.重要数据库和系统主要设备的冗灾备份措施 C.记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的技术措施 D.法律、法规和规章规定应当落实的其他安全保护技术措施 7.计算机信息系统安全的三个相辅相成、互补互通的有机组成部分是 。 A.安全策略 B.安全法规 C.安全技术 D.安全管理 8.《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不得制作、复制、发布、传播的信息内容有 。 A.损害国家荣誉和利益的信息 B.个人通信地址 C.个人文学作品 D.淫秽、色情信息 E.侮辱或者诽谤他人,侵害他人合法权益的信息 9.全国人民代表大会常务委员会《关于维护互联网安全的决定》规定,为了维护社会主义市场经济秩序和社会管理秩序, 行为,构成犯罪的,依照刑法有关规定追究刑事责任。 A.利用互联网销售伪劣产品或者对商品、服务作虚假宣传 B.利用互联网侵犯他人知识产权 C.利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息 D.利用互联网损害他人商业信誉和商品声誉 E.在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片 10.信息系统常见的危险有 。 A.软硬件设计故障导致网络瘫痪 B.黑客入侵 C.敏感信息泄露 D.信息删除 E.电子邮件发送 11.信息系统安全保护法律规范的作用主要有 。 A.教育作用 B.指引作用 C.评价作用 D.预测作用 E.强制作用 12.根据ISO定义,信息安全的保护对象是信息资产,典型的信息资产包括 。 A.硬件 B.软件 C.人员 D.数据 E.环境 13.根据ISO定义,信息安全的目标就是保证信息资产的三个基本安全属性,包括 。 A.不可否认性 B.保密性 C.完整性 D.可用性 E.可靠性 14.治安管理处罚法规定, 行为,处5日以下拘留;情节较重的,处5日以上10日以下拘留。 A.违反国家规定,侵入计算机信息系统,造成危害的 B.违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的 C.违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的 D.故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的 四、问答题 1.简述信息安全发展所历经的三个主要阶段以及它们各自的特点。 2.简述PDR安全模型的原理。 3.简述ISO信息安全定义及其含义。 4.简述信息安全的三个基本属性。 5.简述我国刑法对网络犯罪的相关规定。 答案 一、判 断 题 1.对 2.错 3.错 4.对 5.对 6.错 7.错 8.对 9.对 二、单 选 题 1.D 2.B 3.C 4.A 5.C 6.D 7.B 8.A 9.D 10.A 11.B 12.A 13.C 14.A 15.B 16.A 17.B 18.A 19.D 20.C 21.A 22.D 23.B 24.B 25.A 26.C 27.B 28.A 29.A 30.C 31.D 32.A 33.C 34.A 35.B 36.C 37.B 38.A 39.C 三、多 选 题 1.AB 2.ABCD 3.ABC 4.ADE 5.ABCDE 6.ABCD 7.ABD 8.ADE 9.ABCDE 10.ABCD 11.ABCDE 12.ABD 13.BCD 14.ABCD 四、问 答 题 1.简述信息安全发展所历经的三个主要阶段以及它们各自的特点。 答:信息安全发展历经了三个主要阶段: (1)通信保密阶段,在这个阶段中,关注的是通信内容的保密性属性,保密等同于信息安全。 (2)信息安全阶段,人们发现,在原来所关注的保密性属性之外,还有其他方面的属性也应当是信息安全所关注的,这其中最主要的是完整性和可用性属性,由此构成了支撑信息安全体系的三要素。 (3)安全保障阶段,所谓安全保障,就是在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction),事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系。 2.简述PDR安全模型的原理。 答:PDR模型之所以著名,是因为它是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的P代表保护、D代表检测、R代表响应,该模型中使用了三个时间参数: (1)Pt,有效保护时间,是指信息系统的安全控制措施所能有效发挥保护作用的时间; (2)Dt,检测时间,是指安全检测机制能够有效发现攻击、破坏行为所需的时间; (3)Rt,响应时间,是指安全响应机制作出反应和处理所需的时间。 PDR模型用下列时间关系表达式来说明信息系统是否安全: (1)Pt>Dt+Rt,系统安全,即在安全机制针对攻击、破坏行为作出了成功的检测和响应时,安全控制措施依然在发挥有效的保护作用,攻击和破坏行为未给信息系统造成损失。 (2)Pt (1)信息安全的保护对象是信息资产,典型的信息资产包括了计算机硬件、软件和数据。 (2)信息安全的目标就是保证信息资产的三个基本安全属性,保密性、完整性和可用性三个基本属性是信息安全的最终目标。 (3)实现信息安全目标的途径要借助两方面的控制措施,即技术措施和管理措施。 4.简述信息安全的三个基本属性。 答:信息安全包括了保密性、完整性和可用性三个基本属性: (1)保密性——Confidentiality,确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体。 (2)完整性——Integrity,确保信息在存储、使用、传输过程中不被非授权用户篡改;防止授权用户对信息进行不恰当的篡改;保证信息的内外一致性。 (3)可用性——Availability,确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝,允许其 可靠而且及时地访问信息及资源。 5.简述我国刑法对网络犯罪的相关规定。 答:我国刑法关于网络犯罪的三个专门条款,分别规定了非法侵入计算机信息系统罪(第285条);破坏计算机信息系统罪(第286条);利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪(第287条),并将其一并归入分则第六章“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”。 第二章 信息安全管理基础 一、判断题 1.Windows2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。 2.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。 3.PKI系统所有的安全操作都是通过数字证书来实现的。 4.PKI系统使用了非对称算法、对称算法和散列算法。 5.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。 6.按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。 7.网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。 8.网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。 9.信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。 10.美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT系统风险管理内容。 11.防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。 12.脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。 二、单选题 1.下面所列的 安全机制不属于信息安全保障体系中的事先保护环节。 A.杀毒软件 B.数字证书认证 C.防火墙 D.数据库加密 2.信息安全管理领域权威的标准是 。 A.ISO 15408 B.ISO 17799/ISO 27001 C.ISO 9001 D.ISO 14001 3.ISO 17799/ISO 27001最初是由 提出的国家标准。 A.美国 B.澳大利亚 C.英国 D.中国 4.ISO 17799的内容结构按照 进行组织。 A.管理原则 B.管理框架 C.管理域—控制目标—控制措施 D.管理制度 5. 对于信息安全管理负有责任。 A.高级管理层 B.安全管理员 C.IT管理员 D.所有与信息系统有关人员 6.对于提高人员安全意识和安全操作技能来说,以下所列的安全管理最有效的是 。 A.安全检查 B.教育与培训 C.责任追究 D.制度约束 7. 安全策略是得到大部分需求的支持并同时能够保护企业的利益。 A.有效的 B.合法的 C.实际的 D.成熟的 8.制定灾难恢复策略,最重要的是要知道哪些是商务工作中最重要的设施,在发生灾难后,这些设施的 。 A.恢复预算是多少 B.恢复时间是多长 C.恢复人员有几个 D.恢复设备有多少 9.防止静态信息被非授权访问和防止动态信息被截取解密是 。 A.数据完整性 B.数据可用性 C.数据可靠性 D.数据保密性 10.用户身份鉴别是通过 完成的。 A.口令验证 B.审计策略 C.存取控制 D.查询功能 11.网络数据备份的实现主要需要考虑的问题不包括 。 A.架设高速局域网 B.分析应用环境 C.选择备份硬件设备 D.选择备份管理软件 12.对网络层数据包进行过滤和控制的信息安全技术机制是 。 A.防火墙 B.IDS C.Sniffer D.IPSec 13.下列不属于防火墙核心技术的是 。 A.(静态/动态)包过滤技术 B.NAT技术 C.应用代理技术 D.日志审计 14.应用代理防火墙的主要优点是 。 A.加密强度更高 B.安全控制更细化、更灵活 C.安全服务的透明性更好 D.服务对象更广泛 15.下列关于用户口令说法错误的是 。 A.口令不能设置为空 B.口令长度越长,安全性越高 C.复杂口令安全性足够高,不需要定期修改 D.口令认证是最常见的认证机制 16.在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列 具有最好的口令复杂度。 A.morrison B.Wm.$*F2m5 C.27776394 D.wangjing1977 17.按照通常的口令使用策略,口令修改操作的周期应为 天。 A.60 B.90 C.30 D.120 18.对口令进行安全性管理和使用,最终是为了 。 A.口令不被攻击者非法获得 B.防止攻击者非法获得访问和操作权限 C.保证用户帐户的安全性 D.规范用户操作行为 19.人们设计了 ,以改善口令认证自身安全性不足的问题。 A.统一身份管理 B.指纹认证 C.数字证书认证 D.动态口令认证机制 20.PKI是 。 A.Private Key Infrastructure B.Public Key Institute C.Public Key Infrastructure D.Private Key Institute 21.公钥密码基础设施PKI解决了信息系统中的 问题。 A.身份信任 B.权限管理 C.安全审计 D.加密 22.PKI所管理的基本元素是 。 A.密钥 B.用户身份 C.数字证书 D.数字签名 23.最终提交给普通终端用户,并且要求其签署和遵守的安全策略是 。 A.口令策略 B.保密协议 C.可接受使用策略 D.责任追究制度 24.下列关于信息安全策略维护的说法, 是错误的。 A.安全策略的维护应当由专门的部门完成 B.安全策略制定完成并发布之后,不需要再对其进行修改 C.应当定期对安全策略进行审查和修订 D.维护工作应当周期性进行 25.链路加密技术是在OSI协议层次的第二层,数据链路层对数据进行加密保护,其处理的对象是 。 A.比特流 B. IP数据包 C.数据帧 D.应用数据 26.入侵检测技术可以分为误用检测和 两大类。 A.病毒检测 B.详细检测 C.异常检测 D.漏洞检测 27.安全评估技术采用 这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。 A.安全扫描器 B.安全扫描仪 C.自动扫描器 D.自动扫描仪 28. 最好地描述了数字证书。 A.等同于在网络上证明个人和公司身份的身份证 B.浏览器的一标准特性,它使得黑客不能得知用户的身份 C.网站要求用户使用用户名和密码登陆的安全机制 D.伴随在线交易证明购买的收据 29.根据BS 7799的规定,建立的信息安全管理体系ISMS的最重要特征是 。 A.全面性 B.文档化 C.先进性 D.制度化 30.根据BS 7799的规定,对信息系统的安全管理不能只局限于对其运行期间的管理维护,而要将管理措施扩展到信息系统生命周期的其他阶段,BS 7799中与此有关的一个重要方面就是 。 A.访问控制 B.业务连续性 C.信息系统获取、开发与维护 D.组织与人员 31.关于口令认证机制,下列说法正确的是 。 A.实现代价最低,安全性最高 B.实现代价最低,安全性最低 C.实现代价最高,安全性最高 D.实现代价最高,安全性最低 32.根据BS 7799的规定,访问控制机制在信息安全保障体系中属于 环节。 A.保护 B.检测 C.响应 D.恢复 33.身份认证的含义是 。 A.注册一个用户 B.标识一个用户 C.验证一个用户 D.授权一个用户 34.口令机制通常用于 。 A.认证 B.标识 C.注册 D.授权 35.对日志数据进行审计检查,属于 类控制措施。 A.预防 B.检测 C.威慑 D.修正 36.关于入侵检测技术,下列描述错误的是 。 A.入侵检测系统不对系统或网络造成任何影响 B.审计数据或系统日志信息是入侵检测系统的一项主要信息来源 C.入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵 D.基于网络的入侵检测系统无法检查加密的数据流 37.安全扫描可以 。 A.弥补由于认证机制薄弱带来的问题 B.弥补由于协议本身而产生的问题 C.弥补防火墙对内网安全威胁检测不足的问题 D.扫描检测所有的数据包攻击,分析所有的数据流 38.下述关于安全扫描和安全扫描系统的描述错误的是 。 A.安全扫描在企业部署安全策略中处于非常重要的地位 B.安全扫描系统可用于管理和维护信息安全设备的安全 C.安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性 D.安全扫描系统是把双刃剑 39.在ISO/IEC 17799中,防止恶意软件的目的就是为了保护软件和信息的 。 A.安全性 B.完整性 C.稳定性 D.有效性 40.在生成系统帐号时,系统管理员应该分配给合法用户一个 ,用户在第一次登录时应更改口令。 A.唯一的口令 B.登录的位置 C.使用的说明 D.系统的规则 41.关于防火墙和VPN的使用,下面说法不正确的是 。 A.配置VPN网关防火墙的一种方法是把它们并行放置,两者独立 B.配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在广域网一侧,VPN在局域网一侧 C.配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在局域网一侧,VPN在广域网一侧 D.配置VPN网关防火墙的一种方法是把它们并行放置,两者要互相依赖 42.环境安全策略应该 。 A.详细而具体 B.复杂而专业 C.深入而清晰 D.简单而全面 43. 是一种架构在公用通信基础设施上的专用数据通信网络,利用IPSec等网络层安全协议和建立在PKI上的加密与签名技术来获得私有性。 A. SET B. DDN C. VPN D. PKIX 44.策略应该清晰,无须借助过多的特殊—通用需求文档描述,并且还要有具体的 。 A. 管理支持 B. 技术细节 C. 实施计划 D. 被充内容 45.在一个企业网中,防火墙应该是 的一部分,构建防火墙时首先要考虑其保护的范围。 A.安全技术 B.安全设置 C.局部安全策略 D.全局安全策略 46.信息安全策略的制定和维护中,最重要是要保证其 和相对稳定性。 A.明确性 B.细致性 C.标准性 D.开放性 47. 是企业信息安全的核心。 A.安全教育 B.安全措施 C.安全管理 D.安全设施 48.许多与PKI相关的协议标准(如PKIX、S/MIME、SSL、TLS、IPSec)等都是在 基础上发展起来的。 A. X.500 B. X.509 C. X.519 D. X.505 49. 是PKI体系中最基本的元素,PKI系统所有的安全操作都是通过该机制来实现的。 A.SSL B.IARA C.RA D.数字证书 50.基于密码技术的访问控制是防止 的主要防护手段。 A.数据传输泄密 B.数据传输丢失 C.数据交换失败 D.数据备份失败 51.避免对系统非法访问的主要方法是 。 A.加强管理 B.身份认证 C.访问控制 D.访问分配权限 52.在一个信息安全保障体系中,最重要的核心组成部分为 。 A.技术体系 B.安全策略 C.管理体系 D.教育与培训 53.下列 不属于物理安全控制措施。 A.门锁 B.警卫 C.口令 D.围墙 54.VPN是 的简称。 A.Visual Private Network B.Virtual Private Network C.Virtual Public Network D.Visual Public Network 55.部署VPN产品,不能实现对 属性的需求。 A.完整性 B.真实性 C.可用性 D.保密性 56. 是最常用的公钥密码算法。 A.RSA B.DSA C.椭圆曲线 D.量子密码 57.PKI的主要理论基础是 A.对称密码算法 B.公钥密码算法 C.量子密码 D.摘要算法 58.PKI中进行数字证书管理的核心组成模块是 。 A.注册中心RA B.证书中心CA C.目录服务器 D.证书作废列表 59. 手段,可以有效应对较大范围的安全事件的不良影响,保证关键服务和数据的可用性。 A.定期备份 B.异地备份 C.人工备份 D.本地备份 60.信息安全评测标准CC是 标准。 A.美国 B.国际 C.英国 D.澳大利亚 三、多选题 1.用于实时的入侵检测信息分析的技术手段有 。 A.模式匹配 B.完整性分析 C.可靠性分析 D.统计分析 E.可用性分析 2.典型的数据备份策略包括 。 A.完全备份 B.增量备份 C.选择性备份 D.差异备份 E.手工备份 3.安全脆弱性,是指安全性漏洞,广泛存在于 。 A.协议设计过程 B.系统实现过程 C.运行维护过程 D.安全评估过程 E.审计检查过程 4.信息安全技术根据信息系统自身的层次化特点,也被划分了不同的层次,这些层次包括 。 A.物理层安全 B.人员安全 C.网络层安全 D.系统层安全 E.应用层安全 5.物理层安全的主要内容包括 。 A.环境安全 B.设备安全 C.线路安全 D.介质安全 E.人员安全 6.根据BS 7799的规定,信息安全管理体系ISMS的建立和维护,也要按照PDCA的管理模型周期性进行,主要包含 环节。 A.策略Policy B.建立Plan C.实施Do D.检查Check E.维护改进Act 7.在BS 7799中,访问控制涉及到信息系统的各个层面,其中主要包括 。 A.物理访问控制 B.网络访问控制 C.人员访问控制 D.系统访问控制 E.应用访问控制 8.英国国家标准BS 7799,经国际标准化组织采纳为国家标准 。 A.ISO 17799 B.ISO 15408 C.ISO 13335 D.ISO 27001 E.ISO 24088 9.为了正确获得口令并对其进行妥善保护,应认真考虑的原则和方法有 。 A.口令/帐号加密 B.定期更换口令 C.限制对口令文件的访问 D.设置复杂的、具有一定位数的口令 10.关于入侵检测和入侵检测系统,下述正确的选项是 。 A.入侵检测收集信息应在网络的不同关键点进行 B.入侵检测的信息分析具有实时性 C.基于网络的入侵检测系统的精确性不及基于主机的入侵检测系统的精确性高 D.分布式入侵检测系统既能检测网络的入侵行为,又能检测主机的入侵行为 E.入侵检测系统的主要功能是对发生的入侵事件进行应急响应处理 11.目前广泛使用的主要安全技术包括 。 A.防火墙 B.入侵检测 C.PKI D.VPN E.病毒查杀 12.基于角色对用户组进行访问控制的方式有以下作用: 。 A.使用户分类化 B.用户的可管理性得到加强 C.简化了权限管理,避免直接在用户和数据之间进行授权和取消 D.有利于合理划分职责 E.防止权力滥用 13.在网络中身份认证时可以采用的鉴别方法有 。 A.采用用户本身特征进行鉴别 B.采用用户所知道的事进行鉴别 C.采用第三方介绍方法进行鉴别 D.使用用户拥有的物品进行鉴别 E.使用第三方拥有的物品进行鉴别 14.在ISO/IEC 17799标准中,信息安全特指保护 。 A.信息的保密性 B.信息的完整性 C.信息的流动性 D.信息的可用性 15.PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的 的总和。 A.硬件 B.软件 C.人员 D.策略 E.规程 16.SSL主要提供三方面的服务,即 。 A.数字签名 B.认证用户和服务器 C.网络传输 D.加密数据以隐藏被传送的数据 E.维护数据的完整性 17.经典密码学主要包括两个既对立又统一的分支,即 。 A.密码编码学 B.密钥密码学 C.密码分析学 D.序列密码 E.古典密码 18.有多种情况能够泄漏口令,这些途径包括 。 A.猜测和发现口令 B.口令设置过于复杂 C.将口令告诉别人 D.电子监控 E.访问口令文件 19.一个安全的网络系统具有的特点是 。 A.保持各种数据的机密 B.保持所有信息、数据及系统中各种程序的完整性和准确性 C.保证合法访问者的访问和接受正常的服务 D.保证网络在任何时刻都有很高的传输速度 E.保证各方面的工作符合法律、规则、许可证、合同等标准 20.任何信息安全系统中都存在脆弱点,它可以存在于 。 A.使用过程中 B.网络中 C.管理过程中 D.计算机系统中 E.计算机操作系统中 21.根据采用的技术,入侵检测系统有以下分类: 。 A.正常检测 B.异常检测 C.特征检测 D.固定检测 E.重点检测 22.在安全评估过程中,安全威胁的来源包括 。 A.外部黑客 B.内部人员 C.信息技术本身 D.物理环境 E.自然界 23.安全评估过程中,经常采用的评估方法包括 。 A.调查问卷 B.人员访谈 C.工具检测 D.手工审核 E.渗透性测试 24.网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在 。 A.关键服务器主机 B.网络交换机的监听端口 C.内网和外网的边界 D.桌面系统 E.以上都正确 25.IPSec是网络层典型的安全协议,能够为IP数据包提供 安全服务。 A.保密性 B.完整性 C.不可否认性 D.可审计性 E.真实性 26.信息安全策略必须具备 属性。 A.确定性 B.正确性 C.全面性 D.细致性 E.有效性 四、问答题 1.信息安全技术机制通常被划分为几个层次。试在每个层次中列举两种主要的安全机制。 2.简述BS 7799的内容构成以及与ISO国际标准的关系。 3.简述ISO/IEC 17799∶2005中关于控制措施的11项分类内容。 4.简述安全策略体系所包含的内容。 5.简述至少六种安全问题的策略。 6.试编写一个简单的口令管理策略。 7.简述可接受使用策略AUP的内容。 8.简述入侵检测系统IDS所采取的两种主要方法。 9.简述防火墙所具有的局限性。 10.简述物理安全的技术层面的主要内容。 答案 一、判 断 题 1.对 2.对 3.对 4.对 5.对 6.对 7.对 8.错 9.对 10.对 11.对 12.对 二、单 选 题 1.A 2.B 3.C 4.C 5.D 6.B 7.A 8.B 9.D 10.A 11.A 12.A 13.D 14.B 15.C 16.B 17.A 18.B 19.D 20.C 21.A 22.C 23.C 24.B 25.C 26.C 27.A 28.A 29.B 30.C 31.B 32.A 33.C 33.A 35.B 36.A 37.C 38.B 39.B 40.A 41.B 42.D 43.C 44.C 45.D 46.A 47.C 48.B 49.D 50.A 51.C 52.B 53.C 54.B 55.C 56.A 57.B 58.B 59.B 60.B 三、多 选 题 1.AD 2.ABD 3.ABC 4.ACDE 5.ABD 6.BCDE 7.ABDE 8.AD 9.ABCD 10.ABCE 11.ABCDE 12.CDE 13.ABD 14.ABD 15.ABCDE 16.BDE 17.AC 18.ACDE 19.ABCE 20.ABCDE 21.BC 22.ABCDE 23.ABCDE 24.BC 25.ABE 26.ACE 四、问 答 题 1.信息安全技术机制通常被划分为几个层次。试在每个层次中列举两种主要的安全机制。 答:信息安全技术机制通常可以划分为四个层次,每一层次中典型的安全机制如下所示: (1)物理层安全,如视频监控、门禁系统; (2)网络层安全,如防火墙、IPSecVPN; (4)系统层安全,如杀毒软件,主机入侵检测系统; (5)应用层安全,如用户身份认证、应用层加密。 2.简述BS 7799的内容构成以及与ISO国际标准的关系。 答:BS 7799分两个部分,第一部分,被ISO国际标准化组织采纳成为ISO/IEC 17799∶2005标准的部分,是信息安全管理实施细则(Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员参考使用,其主要内容分为11个方面,定义了133 项安全控制措施(最佳实践)。第二部分,被ISO国际标准化组织采纳成为ISO/IEC 27001∶2005,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员应用ISO/IEC 17799∶2005,其最终目的在于建立适合企业需要的信息安全管理体系(ISMS)。 3.简述ISO/IEC 17799∶2005中关于控制措施的11项分类内容。 答:BS 7799-1信息安全管理实施细则(ISO/IEC 17799∶2005)将信息安全管理的内容划分为11个主要方面,这11 个方面包括: (1)安全策略(Security Policy); (2)组织信息安全(Organizing Information Security); (3)资产管理(Asset Management); (4)人力资源安全 (Human Resources Security); (5)物理与环境安全(Physical and Environmental Security); (6)通信与操作管理(Communication and Operation Management); (7)访问控制(Access Control); (8)信息系统获取、开发与维护(Information Systems Acquisition, Development and Maintenance); (9)信息安全事件管理(Information Security Incident Management); (10)业务连续性管理(Business Continuity Management); (11)符合性(Compliance)。 4.简述安全策略体系所包含的内容。 答:一个合理的信息安全策略体系可以包括三个不同层次的策略文档: (1) 总体安全策略,阐述指导性的战略纲领性文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容; (2)针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、适用办法、强制要求、角色、责任认定等内容,例如,针对Internet访问操作、计算机和网络病毒防治、口令的使用和管理等特定问题,制定有针对性的安全策略; (3)针对特定系统的具体策略,更为具体和细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等。 5.简述至少六种安全问题的策略。 答:(1)物理安全策略; (2)网络安全策略; (3)数据加密策略; (4)数据备份策略; (5)病毒防护策略; (6)系统安全策略; (7)身份认证及授权策略; (8)灾难恢复策略; (9)事故处理、紧急响应策略; (10)安全教育策略; (11)口令管理策略; (12)补丁管理策略; (13)系统变更控制策略; (14)商业伙伴、客户关系策略; (15)复查审计策略。 6.试编写一个简单的口令管理策略。 答:(1)所有活动帐号都必须有口令保护。 (2)生成帐号时,系统管理员应分配给合法用户一个唯一的口令,用户在第一次登录时应更改口令。 (3)口令必须至少要含有8个字符。 (4)口令必须同时含有字母和非字母字符。 (5)必须定期用监控工具检查口令的强度和长度是否合格。 (6)口令不能和用户名或者登录名相同。 (7)口令必须至少60天更改一次。 (8)禁止重用口令。 (9)必须保存至少12个历史口令。 (10)口令不能通过明文电子邮件传输。 (11)所有供应商的默认口令必须更改。 (12)用户应在不同的系统中使用不同的口令。 (13)当怀疑口令泄漏时必须予以更改。 (14)应该控制登录尝试的频率。 7.简述可接受使用策略AUP的内容。 答:AUP通常包含以下主要内容: (1)概述,描述什么是AUP,企业、组织发布AUP的目的,制定AUP的原则以及一些必要的法律声明等。 (2)安全策略说明,说明制定AUP所依据的信息安全策略,提示用户信息安全策略的更改会影响到AUP的修订,并且告诉用户从哪里可以获得详细的信息安全策略文档。 (3)术语说明,将AUP中涉及的术语名词,以及AUP签署生效的有效时间进行说明。 (4)用户责任,对信息安全策略中所有涉及到用户的信息安全责任内容,应当进行总结和提炼,以简单明了的语言进行阐述,使得用户充分了解自己对于企业、组织信息安全所承担的责任和义务。 8.简述入侵检测系统IDS所采取的两种主要方法。 答:(1)误用检测:通过对比已知攻击手段及系统漏洞的签名特征来判断系统中是否有入侵行为发生。具体地说,根据静态的、预先定好的签名集合来过滤网络中的数据流(主要是IP层),一旦发现数据包特征与某个签名相匹配,则认为是一次入侵。(2)异常检测:指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测,所以也被称为基于行为的检测。异常检测利用统计或特征分析的方法来检测系统的异常行为。首先定义检测假设,任何对系统的入侵和误操作都会导致系统异常,这样对入侵的检测就可以归结到对系统异常的检测。 9.简述防火墙所具有的局限性。 答:防火墙产品虽然是网络安全的主要机制,但是也存在一定的局限性:例如,无法阻止内部主机之间的攻击行为;无法防止“旁路”通道的出现及其引起的安全隐患;无法阻止病毒侵袭;可能构成内、外网之间潜在的信息处理瓶颈。 10.简述物理安全的技术层面的主要内容。 答:物理安全的技术层面主要包括三个方面:环境安全、设备安全和媒体安全。 (1)环境安全:对系统所在环境的安全保护,如区域保护和灾难保护; (2)设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等; (3)媒体安全:包括媒体数据的安全及媒体本身的安全。 第三章 信息安全管理体系 一、判断题 1.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。 2.定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。 3.通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。 二、单选题 1.下列关于风险的说法, 是错误的。 A.风险是客观存在的 B.导致风险的外因是普遍存在的安全威胁 C.导致风险的外因是普遍存在的安全脆弱性 D.风险是指一种可能性 2.下列关于风险的说法, 是正确的。 A.可以采取适当措施,完全清除风险 B.任何措施都无法完全清除风险 C.风险是对安全事件的确定描述 D.风险是固有的,无法被控制 3.风险管理的首要任务是 。 A.风险识别和评估 B.风险转嫁 C.风险控制 D.接受风险 4.关于资产价值的评估, 说法是正确的。 A.资产的价值指采购费用 B.资产的价值无法估计 C.资产价值的定量评估要比定性评估简单容易 D.资产的价值与其重要性密切相关 5.采取适当的安全控制措施,可以对风险起到 作用。 A.促进 B.增加 C.减缓 D.清楚 6.当采取了安全控制措施后,剩余风险 可接受风险的时候,说明风险管理是有效的。 A.等于 B.大于 C.小于 D.不等于 7.安全威胁是产生安全事件的 。 A.内因 B.外因 C.根本原因 D.不相关因素 8.安全脆弱性是产生安全事件的 。 A.内因 B.外因 C.根本原因 D.不相关因素 9.安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于 措施。 A.保护 B.检测 C.响应 D.恢复 10.根据风险管理的看法,资产 价值, 脆弱性,被安全威胁 , 风险。 A.存在 利用 导致 具有 B.具有 存在 利用 导致 C.导致 存在 具有 利用 D.利用 导致 存在 具有 11.根据定量风险评估的方法,下列表达式正确的是 。 A.SLE=AV×EF B.ALE=AV×EF C.ALE=SLE×EF D.ALE=SLE×AV 12.关于安全审计目的描述错误的是 。 A.识别和分析未经授权的动作或攻击 B.记录用户活动和系统管理 C.将动作归结到为其负责的实体 D.实现对安全事件的应急响应 13.安全审计跟踪是 。 A.安全审计系统检测并追踪安全事件的过程 B.安全审计系统收集易于安全审计的数据 C.人利用日志信息进行安全事件分析和追溯的过程 D.对计算机系统中的某种行为的详尽跟踪和观察 14.在安全评估过程中,采取 手段,可以模拟黑客入侵过程,检测系统安全脆弱性。 A.问卷调查 B.人员访谈 C.渗透性测试 D.手工检查 三、多选题 1.下列 因素,会对最终的风险评估结果产生影响。 A.管理制度 B.资产价值 C.威胁 D.脆弱性 E.安全措施 2.下列 因素与资产价值评估有关。 A.购买资产发生的费用 B.软硬件费用 C.运行维护资产所需成本 D.资产被破坏所造成的损失 E.人工费用 3.安全控制措施可以分为 。 A.管理类 B.技术类 C.人员类 D.操作类 E.检测类 4.对于计算机系统,由环境因素所产生的安全隐患包括 。 A.恶劣的温度、湿度、灰尘、地震、风灾、火灾等 B.强电、磁场等 C.雷电 D.人为的破坏 四、问答题 1.简述信息安全风险的计算过程。 2.一个公司投资50万美元建立一个网络运营中心,经过评估,最大的风险是发生火灾,每次火灾大概造成45%的资产损失,经过统计,该地区每5年发生一次火灾,试通过定量分析的方法,计算风险造成的损失。 3.简述信息安全脆弱性的分类及其内容。 答案 一、判 断 题 1.对 2.对 3.对 二、单 选 题 1.C 2.B 3.A 4.D 5.C 6.C 7.B 8.A 9.B 10.B 11.A 12.D 13.A 14.C 三、多 选 题 1.BCDE 2.ACD 3.ABD 4.ABCD 四、问 答 题 1.简述信息安全风险的计算过程。 答:风险计算的过程是: (1)对信息资产进行识别,并对资产赋值; (2)对威胁进行分析,并对威胁发生的可能性赋值; (3)识别信息资产的脆弱性,并对脆弱性的严重程度赋值; (4)根据威胁和脆弱性计算安全事件发生的可能性; (5)结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。 2.一个公司投资50万美元建立一个网络运营中心,经过评估,最大的风险是发生火灾,每次火灾大概造成45%的资产损失,经过统计,该地区每5年发生一次火灾,试通过定量分析的方法,计算风险造成的损失。 答:资产价值AV=50万美元 暴露因子EF=45% 单一损失期望SLE=AV×EF=22.5万美元 年度发生率ARO=20% 年度损失期望ALE=SLE×ARO=4.5万美元 3.简述信息安全脆弱性的分类及其内容。 答:信息安全脆弱性的分类及其内容如下表所示: 脆弱性分类 名称 物理安全 包含内容 物理设备的访问控制、电力供应等 基础网络架构、网络传输加密、访问控制、网络设 技术 脆弱性 网络安全 备安全漏洞、设备配置安全等 系统软件安全漏洞、系统软件配置安全等 应用软件安全漏洞、软件安全功能、数据防护等 安全策略、组织安全、资产分类与控制、人员安全、 系统安全 应用安全 管理 安全管理 脆弱性 统开发与维护、业务连续性、符合性 物理与环境安全、通信与操作管理、访问控制、系 因篇幅问题不能全部显示,请点此查看更多更全内容