计算机系统安全原理与技术 第9章 计算机系统安全风险评估

四45五3六57十4十一34十二47没做“信息安全理论与技术"习题及答案教材:《信息安全概论》段云所，魏仕民，唐礼勇，陈钟，高等教育出版社第一章概述（习题一,p11)1.信息安全的目标是什么?答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性；也有观点认为是机密性、完整性和可用性，即CIA(Confidentiality，Integrity，Availability)。

机密性（Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容，因而不能使用完整性(Integrity）是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。

抗否认性（Non—repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求.可用性(Availability）是指保障信息资源随时可提供服务的特性.即授权用户根据需要可以随时访问所需信息。

2.简述信息安全的学科体系。

解：信息安全是一门交叉学科,涉及多方面的理论和应用知识.除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学.信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。

信息安全研究包括密码研究、安全理论研究；应用技术研究包括安全实现技术、安全平台技术研究；安全管理研究包括安全标准、安全策略、安全测评等.3. 信息安全的理论、技术和应用是什么关系？如何体现？答：信息安全理论为信息安全技术和应用提供理论依据。

信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。

信息安全应用是信息安全理论和技术的具体实践.它们之间的关系通过安全平台和安全管理来体现。

安全理论的研究成果为建设安全平台提供理论依据.安全技术的研究成果直接为平台安全防护和检测提供技术依据.平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全，还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。

注册安全工程师《安全技术》分章节练习注册安全工程师《安全技术》分章节练习为题是一个非常重要且具有挑战性的考试。

安全工程师是保障信息系统安全的专业人员，需要熟悉各种安全技术和工具，并掌握相关的理论知识。

本文将对《安全技术》的章节进行练习和讨论，希望对考生们的备考有所帮助。

第一章：计算机网络安全计算机网络安全是安全工程师的基础。

在这一章中，我们将学习计算机网络的基本原理，以及如何进行网络攻击和防御。

了解网络协议和通信机制对于识别和防止网络攻击至关重要。

此外，还需要对网络设备和安全设备有一定的了解，以保护网络和信息的安全。

第二章：操作系统安全操作系统是计算机系统的核心，也是最容易受到攻击的环节之一。

在这一章中，我们将学习如何保护操作系统的安全，包括访问控制、安全配置、漏洞管理等方面的知识。

安全工程师需要掌握操作系统的工作原理和安全机制，以便及时识别和应对各种安全威胁。

第三章：数据库安全数据库是企业存储和管理大量敏感数据的重要组成部分。

在这一章中，我们将学习如何保护数据库的安全，包括访问控制、数据加密、审计和备份等方面的知识。

了解数据库的安全特性和常见的安全风险是安全工程师处理数据库安全问题的基础。

第四章：应用系统安全应用系统是企业进行业务和信息交流的主要平台。

在这一章中，我们将学习如何保护应用系统的安全，包括身份认证、访问控制、输入验证等方面的知识。

掌握应用系统的工作原理和常见的安全漏洞是安全工程师进行应用系统安全评估和防护的关键。

第五章：物理安全物理安全是信息系统安全的基础。

在这一章中，我们将学习如何保护信息系统的物理环境，包括机房的布置、门禁系统、视频监控等方面的知识。

掌握物理安全的技术和管理方法是安全工程师确保信息系统的可靠性和稳定性的重要保障。

第六章：安全管理与风险评估安全管理和风险评估是安全工程师的核心能力。

在这一章中，我们将学习如何制定和实施信息安全策略，并进行风险评估和管理。

安全工程师需要具备良好的组织和管理能力，能够识别和评估安全风险，并采取相应的措施进行风险控制和应对。

信息安全技术概论习题及答案第一章绪论一、选择题1.信息安全的基本属性是（D）A.机密性B.可用性C.完整性D.前面三项都是二、简答题1．谈谈你对信息的理解.答：信息是事物运动的状态和状态变化的方式。

2．什么是信息技术?答：笼统地说，信息技术是能够延长或扩展人的信息能力的手段和方法。

本书中，信息技术是指在计算机和通信技术支持下，用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息，并且包括提供设备和信息服务两大方面的方法与设备的总称。

也有人认为信息技术简单地说就是3C：Computer＋Communication＋Control。

3．信息安全的基本属性主要表现在哪几个方面?答：（1）完整性（Integrity）（2）保密性（Confidentiality）（3）可用性（Availability）（4）不可否认性（Non-repudiation）（5）可控性（Controllability）4．信息安全的威胁主要有哪些?答：（1）信息泄露（2）破坏信息的完整性（3）拒绝服务（4）非法使用（非授权访问）（5）窃听（6）业务流分析（7）假冒（8）旁路控制（9）授权侵犯（10）特洛伊木马（11）陷阱门（12）抵赖（13）重放（14）计算机病毒（15）人员不慎（16）媒体废弃（17）物理侵入（18）窃取（19）业务欺骗等5．怎样实现信息安全?答：信息安全主要通过以下三个方面：A 信息安全技术：信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等；B 信息安全管理：安全管理是信息安全中具有能动性的组成部分。

大多数安全事件和安全隐患的发生，并非完全是技术上的原因，而往往是由于管理不善而造成的。

安全管理包括：人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。

C 信息安全相关的法律。

第1章计算机网络概述1.1 计算机网络的发展1.2 计算机网络的基本概念1.3 计算机网络的分类1.4 计算机网络的标准化第2章计算机网络体系结构2.1 网络的分层体系结构2.2 OSI/RM开放系统互连参考模型2.3 TCP/IP参考模型2.4 OSI/RM与TCP/IP参考模型的比较第3章物理层3.1 物理层接口与协议3.2 传输介质3.3 数据通信技术3.4 数据编码3.5 数据交换路层第4章数据链路层4.1 数据链路层的功能4.2 差错控制4.3 基本数据链路协议4.4 链路控制规程4.5 因特网的数据链路层协议第5章网络层5.1 通信子网的操作方式和网络层提供的服务5.2 路由选择5.3 拥塞控制5.4 服务质量5.5 网络互连5.6 因特网的互连层协议第6章传输层6.1 传输层基本概念6.2 传输控制协议6.3 用户数据报传输协议第7章应用层7.1 域名系统7.2 电子邮件7.3 万维网7.4 其它服务第8章局域网技术8.1 介质访问控制子层8.2 IEEE802标准与局域网8.3 高速局域网8.4 无线局域网技术8.5 移动Ad Hoc网络8.6 局域网操作系统第9章实用网络技术9.1 分组交换技术9.2 异步传输模式9.3 第三层交换技术9.4 虚拟局域网技术9.5 虚拟专用网VPN9.6 计算机网络管理与安全计算机网络原理自学考试大纲出版前言一、课程性质与设置目的二、课程内容与考核目标第1章计算机网络概述第2章计算机网络体系结构第3章物理层第4章数据链路层第5章网络层第6章传输层第7章应用层第8章局域网技术第9章实用网络技术三、关于大纲的说明与考核实施要求附录题型举例后记。

第九章单项选择题1、国际标准化组织已明确将信息安全定义为“信息的完整性、可用性、保密性和（C）”A.多样性B.实用性C.可靠性D.灵活性2、确保信息不暴露给未经授权的实体的属性指的是（A）A.保密性B. 可用性C. 完整性D. 可靠性3、信息安全包括四大要素；技术、制度、流程和（C）A. 软件B. 计算机C. 人D. 网络4、信息不被偶然或蓄意的删除、修改、伪造、乱序、重放插入等破坏的属性指的是（A）A. 完整性B. 保密性C. 可靠性D. 可用性5、信息安全问题已引起人们的关注，为达到信息安全的目的，可以采取的有效方法是（D）、A. 不使用杀毒软件防范木马、病毒，因为他们不会对信息的安全构成威胁B. 在任何场所使用相同的密码C. 使用个人的出生年月作为密码是安全的D. 密码的设置要复杂一些，并且要定期更换密码6、为保护计算机内的信息安全，采取的措施不对的有（B）A. 对数据做好备份B. 随意从网上下载软件C. 安装防毒软件D. 不打开来历不明的电子邮件7、使用公用计算机时应该（A）A. 不制造、复制危害社会治安的信息B. 可以随意复制任何软件C. 任意设置口令和密码D. 随意删除他人资料8、网络安全不涉及的范围是（A）A. 硬件技术升级B. 防黑客C. 加密D. 防病毒9、信息安全所面临的威胁来自于很多方面，大致可以分为自然威胁和人为威胁。

下列属于人为威胁的是（B）A. 自然灾害B. 软件漏洞C. 电磁辐射和电磁干扰D. 网络设备自然老化10、实现信息安全最基本、最核心的技术是（D）A. 防病毒技术B. 访问控制技术C. 身份认证技术D. 加密技术11、关于信息安全，下列说法正确的是（D）A. 管理措施在信息安全中不重要B. 信息安全由技术措施实现C. 信息安全等同于网络安全D. 信息安全应当技术与管理并重12、下面关于网络信息安全的一些叙述中，不正确的是（C）A. 网络安全的核心是操作系统的安全性，它涉及信息在储存和处理状态下的保护问题B. 网络环境下的信息系统比单机系统复杂，信息安全问题比单机更加难以得到保障C. 电子邮件是个人之间的通信手段，不会传染计算机病毒D. 防火墙是保障单位内部网络不受外部攻击的有效措施之一13、可以划分网络结构，管理和控制内部和外部通讯的网络安全产品为（B）A. 加密机B. 防火墙C. 防病毒软件D. 网关14、下列不属于保护网络安全措施的是（D）A. 防火墙B. 加密技术C. 设定用户权限D. 建立个人主页15、信息安全所面临的威胁来自于很多方面，大致可分为自然威胁和人为威胁。

《网络安全》教学大纲（Network Security）制定单位：信息科学学院（计算机科学与技术系）制定人：孙晓彦审核人：冯国富（课程组长）编写时间：2011年12月15日第一部分课程概述一、基本信息（一）课程属性、学分、学时专业课, 3学分，48学时(理论32+实验16)（二）适用对象计算机科学与技术专业本科生（三）先修课程与知识准备计算机程序设计、数据结构与算法、操作系统、计算机网络等二、课程简介信息网络的大规模全球互联趋势，以及人们的社会与经济活动对计算机网络的依赖性与日俱增，使得计算机网络的安全性成为信息化建设的一个核心问题。

在信息学科的专业教育中开设网络安全课程，旨在让学生们从学习网络技术时就树立建造安全网络的观念，掌握网络安全的基本知识，了解设计和维护安全的网络体系及其应用系统的基本手段和常用方法，为从事信息网络的研究和开发打下良好基础。

本课程较全面的介绍了计算机网络安全的基本理论和关键技术，并对当前常见的网络安全技术的原理和应用进行了详细的讲解。

内容主要包括计算机硬件与环境安全、操作系统安全、计算机网络安全、应用系统安全、应急响应与灾难恢复、计算机系统安全风险评估、计算机安全等级评测与安全管理等内容。

这门课程对于培养具有基本信息安全技术应用能力的工程人员有着重要意义。

The trend that information nets worldwide being connecting to one another, alone with the more and more dependences on computer net by people's social and economical activities, makes the security of the computer net a kernel problem. This course means to bring up the students' notion about the net security in the mean time when they learn the net technology, to let them understand the basic knowledge of net security, and to offer them a chance to understand the common way to design and maintain a secure net system or its application system. By taking the course, it can therefore give the students a good preparation for their research in information net.The course gives a global introduction on the basic theories and kernel technologies of the network security, as well as explanation on the concept andapplication of the commonly used network security technology. The main contents of this course include the following sections: security of computer hardware and environmental, operating system security, computer network security, application security, emergency response and disaster recovery, computer system security risk assessment, computer level of security evaluation and security management and so on.This course has important significance for training the engineering staff with the basic information security technology application ability.三、教学目标本课程主要培养学生理解密码学等网络安全的相关安全原理，掌握计算机系统可能存在的安全问题和普遍采用的安全机制，了解当今主要的网络系统安全设置、安全漏洞、安全协议，并能够胜任一般网络安全的基本技术和操作，提高信息安全防护意识与安全防护能力。

计算机系统管理办法1.目的随着计算机应用工作的不断深入，计算机网络建立的自动控制项目增多，计算机管理工作显得尤为重要，为了保证全厂计算机企业内部网络的正常运行，保证信息传递的准确和安全，为了能安全有效的保护好计算机信息资源，保证计算机的使用寿命，充分发挥计算机的作用，真正起到为生产、管理服务的目的，推进企业现代化的进步和发展，结合公司计算机系统管理精神和本厂实际情况，特制订本管理制度。

2.适用范围适用于公司各车间部门各单位。

3.管理内容与要求3.1基础管理3.1.1全公司计算机类设备（包括计算机主机及配件、打印机、扫描仪、刻录机等相关附件及各类正版软件）均为厂固定资产，由拥有计算机类设备各车间部门进行使用、管理。

各单位主管领导对本单位计算机类设备负直接管理责任。

3.1.2各车间部门应认真、祥实填报计算机类设备档案表（附表一），并报设备部、电仪车间存档。

3.1.3电仪车间负责收集资料，建立建全全厂计算机类设备的基础档案，并建立每台设备的维修、更新档案。

3.1.4随工程或其它项目含带的计算机类设备，必须填报计算机类设备档案表，并上报设备部和电仪车间，经电仪车间核查属实后方可投入使用。

3.2计算机类设备新增申请办法3.2.1各车间部门因工作需要须新增计算机类设备、新增计算机的配置，均需填写申请表（附表二），写明申请理由和用途，并附所需要的设备所要达到的功能或效果。

经主管厂长签字后上报次年自有资金计划，经厂综合平衡后下达计划执行。

3.2.2由于工作急需配备计算机类设备时，由使用单位填写申请表，写明申请理由和用途，并附所需要的设备所要达到的功能或效果，由主管领导审核并经公司总经理批准后报计企部。

由计企部安排资金计划后执行。

3.2.3计算机的配置应根据工作用途确定。

3.2.4各单位不得自行调配计算机类设备。

3.3计算机及网络管理3.3.1计算机病毒造成的损失不可估量，为避免病毒，因此各车间局域网（包括公司内部的其它独立的小型局域网）内、外的计算机不得擅自外挂软驱、光驱等附属设备。

计算机安全计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。

这些计算机资源包括计算机设备、存储介质、软件、计算机输出材料和数据。

一、计算机安全隐患(一)影响计算机系统安全的主要因素(1)系统故障风险：指由于操作失误，硬件、软件、网络本身出现故障，从而导致系统数据丢失甚至瘫痪的风险。

(2)内部人员道德风险：指企业内部人员对信息的非法访问、篡改、泄密和破坏等方面的风险。

从目前应用来看，网络安全的最大风险仍然来自于组织的内部。

(3)系统关联方道德风险：是在Internet环境下特有的计算机安全问题，指关联方非法侵入企业内部网，以剽窃数据和知识产权、破坏数据、搅乱某项特定交易等所产生的风险。

企业的关联方包括客户、供应商、合作伙伴、软件供应商或开发商，也包括银行、保险、税务、审计等部门。

(4)社会道德风险：是在Internet环境下特有的计算机安全问题，指来自社会上的不法分子通过Internet对企业内部网的非法入侵和破坏，这是目前媒体报道最多的风险类型。

黑客攻击和病毒破坏，已成为全球普遍关注的大问题。

(5)计算机病毒：是一种人为蓄意编制的具有自我复制能力并可以制造计算机系统故障的计算机程序。

计算机病毒对计算机系统具有极大的破坏性，是最近十多年来威胁计算机系统安全的主要因素之一。

(二)保证计算机安全的对策保证计算机安全的对策主要体现在以下三个方面。

(1)不断完善计算机安全立法。

1992年，我国颁布了《中华人民共和国计算机信息系统安全保护条例》，1997年在八届人大第五次会议上通过的新刑法中，首次把计算机犯罪纳入了刑事立案体系，增加了惩治计算机犯罪的条款。

2000年1月，国家保密局又颁布了《计算机信息系统国际联网保密管理规定》。

(2)不断创新计算机安全技术。

目前来说，计算机安全技术主要包括防火墙技术、信息加密技术、漏洞扫描技术、入侵检测技术、病毒检测和消除技术。

(3)不断加强计算机系统内部控制与管理。

《信息安全测评与风险评估》教学大纲一、课程性质《信息安全测评与风险评估》是计算机应用专业的核心课程之一，属于必修课程。

通过对本课程的学习，使学生了解信息的泄露、篡改、假冒、重传、黑客如期、非法访问、计算机病毒传播等对信息网络化已构成的重大威胁；掌握应对、解决各种信息安全问题的基本理论、基本方法、基本技术等内容；使学生受到系统科学地分析问题和解决问题的训练，提高运用理论知识解决实际问题的能力，为今后走向工作岗位进行信息安全理论、技术研究，解决与预防信息安全问题打下坚实的基础。

本课程的先行课为计算机操作系统、数据库系统、面向对象程序设计、高级语言程序设计、计算机网络等；后序课程为电子商务等。

二、教学目的信息安全测评与风险评估是解决信息安全问题的主要技术手段。

通过本课程的学习，使学生系统地了解信息安全技术体系，掌握各项信息安全技术的基本原理、方法以及各项技术之间的关系，能够选取适当的安全技术解决应用中的安全问题。

三、教学内容本课程内容包含：信息安全测评思想，主要介绍：信息安全测评的科学精神、信息安全测评的科学方法、信息安全测评的贯标思想、信息安全标准组织；信息安全测评方法，主要介绍：为何测评、何时测评、测评什么、谁来测评、如何准备测评、怎样测评；数据安全测评技术：数据安全测评的诸方面、数据安全测评的实施；主机安全测评技术：主机安全测评的诸方面、主机安全测评的实施；网络安全测评技术：网络安全测评的诸方面、网络安全测评的实施；应用安全测评技术：应用安全测评的诸方面、应用安全测评的实施；资产识别：风险概述、资产识别的诸方面、资产识别案例分析；威胁识别：威胁概述、威胁识别的诸方面、威胁识别案例分析；脆弱性识别：脆弱性概述、脆弱性识别的诸方面、脆弱性识别案例分析；风险分析：风险分析概述、风险计算、风险定级、风险控制、残余风险、风险评估案例分析；应急响应：应急响应概述、应急响应计划、应急响应计划案例分析；法律和法规：计算机犯罪概述、信息安全法律和法规简介；信息安全管理体系：ISMS概述、ISMS主要内容；信息安全测评新领域：信息安全测评新领域概述、工业控制系统安全测评、美国国家网络靶场一览。

《计算机导论》课程教学大纲一、课程性质、目的和任务本课程是计算机学科各专业一门重要的入门性导引类专业基础课程。

该课程教学的目标是认知与导学，其主要任务是全面地简要地介绍该学科的主要内容、计算机的基本知识、硬件和软件的核心及其发展趋势、学科研究和应用中所采用的数学与系统科学方法、计算机在各行各业中的应用以及在学科教育中所涉及的知识体系、教学方法与要求等等。

目的在于让计算机专业的学生们对计算机学科所含概的知识领域有个系统化、逻辑化的概括性了解，明确各主领域的发展规律和内在联系；各主领域存在的基本问题以及求解这些基本问题的方式方法。

在教学中，教师应该以科学的认识论和科学的方法论统领整个课程的教学，采取高级科普的深度定位和通俗流畅的语言，向学生介绍整个学科的概貌，对学生进行整个学科正确的认知与导学，为学生顺利完成大学的学习任务提供必要的专业认识基础，同时，给学生的学习留下大量的疑问和问题，为后续课程的教学留下“伏笔”，真正使导论课程的教学起到初步认知与正确导学的作用，能够引导和帮助学生按照学科专业的特点和要求来开展学习，顺利完成学业。

二、课程教学的基本要求本课程是计算机科学基础理论与应用操作相结合的课程。

课程内容涉及计算机科学的方方面面，但着重讲解的是基本概念而不是数学模型和技术细节，要求做到“广度优先，广而不细”。

课程侧重点在于勾画计算机科学体系的框架，奠定计算机科学知识的基础，为今后深入学习信息专业各专业理论课程做好铺垫；同时，通过本课程的实验学习将使学生掌握一些基本的操作技术，提高感性认识，为今后在各自的专业中对计算机的使用打下厚实的基础。

学完本课程应达到以下基本要求：1．理解和掌握计算机科学的基本概念和基本知识2．理解和掌握计算机的基本结构与工作原理3．了解高级语言与程序设计技术4．了解计算机系统软件与应用软件5．了解计算机网络及其应用6. 了解数据库系统及其应用7．了解新一代计算机体系结构与软件方法学8．掌握计算机操作技能及Word、Excel、Powerpoint的使用9．了解计算机信息安全技术10．了解职业道德与择业三、课程教学基本内容和学时分配第一章绪论重点与难点1．计算机的基本概念。