企业信息安全管理复习纲要

企业信息安全管理复习纲要

填空题（1*20）

1.信息安全基本目标——机密性C、完整性I、可用性A

2.信息安全的成败取决于两个因素——技术和管理

3.从什么方面考虑信息安全——法律法规与合同要求、组织原则目标和业务需要、风险评

估的结果

4.安全管理模型PDCA是指——计划Plan（根据风险评估结果、法律法规要求、组织业务

运作自身需要来确定控制目标与控制措施）、实施Do（实施所选的安全控制措施）、检查Check（依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查）、措施Action（针对检查结果采取应对措施，改进安状况）

5.软件安全问题加剧的三个趋势——互联性、可扩展性、复杂性

6.漏洞分类——软件编写存在bug、跨站脚本、SQL注入

7.数据库的特点——多用户、高可用性、频繁更新、大文件、安全性与可靠性问题复杂

8.数据备份的类型——完全备份、差量备份、增量备份

9.数据库的备份——分为物理备份和逻辑备份两种，其中物理备份包括冷备份和热备份。

10.计算机系统安全级别分类依据——身份认证、访问控制、审计、备份

11.密码学发展大致分为三个阶段——古典密码时期、近代密码时期、现代密码时期

12.一个密码系统（体制）至少由——明文、密文、加密算法和解密算法、密钥五部分组成。

13.密码体制分类——对称密码体制、非对称密码体制

14.密码体制的有条件安全性——计算上的安全、有条件的安全、可证明的安全

15.对称密码算法的分类——序列密码、分组密码

16.分组密码的算法要求——分组长度足够大、密钥量足够大、密码变换足够复杂

17.认证一般分两种情形——身份认证、消息认证

18.访问控制包含3个要素——主体、客体、控制策略。

19.解决网络安全的主要技术——身份认证技术、访问控制技术、密码技术、病毒防治技术、

防火墙技术

选择题（2*5）

1.信息安全管理的关键——技术和产品是基础，管理才是关键（信息安全是个管理过程，

而不是技术过程）

2.不同数据类型的对比

3.风险管理是指导和控制一个组织相关风险的协调活动。

简答题（5*2）

什么是信息安全？什么是信息安全管理？简述信息安全基本目标及信息安全的重要性。

信息安全是指采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。

信息安全的成败取决于两个因素：技术和管理。

信息安全管理（Information Security Management）是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。信息安全管理的核心就是风险管理。

信息安全基本目标——机密性C、完整性I、可用性A（与之相反的是DAD泄露、篡改、破坏）

●保密性（Confidentiality）——确保信息在存储、使用、传输过程中不会泄漏给非授

权用户或实体。

●完整性（Integrity）——确保信息在存储、使用、传输过程中不会被非授权篡改，防

止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。

●可用性（Availability）——确保授权用户或实体对信息及资源的正常使用不会被异常

拒绝，允许其可靠而及时地访问信息及资源。

信息安全的重要性：

⏹信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护

⏹信息安全是国家安全的需要

⏹信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一

⏹信息安全是保护个人隐私与财产的需要

其面临的问题：

◆国家的信息安全法律法规体系建设还不是很完善

◆组织缺乏信息安全意识和明确的信息安全策略

◆对信息安全还持有传统的认识，即重技术，轻管理

◆安全管理缺乏系统管理的思想，还是就事论事式的静态管理

✓怎样实现信息安全?

答：信息安全主要通过以下三个方面：

A 信息安全技术：信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全

数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证

机制等；

B 信息安全管理：安全管理是信息安全中具有能动性的组成部分。大多数安全事件

和安全隐患的发生，并非完全是技术上的原因，而往往是由于管理不善而造成的。

安全管理包括：人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络

管理、密码和密钥管理等。

C 信息安全相关的法律：法律可以使人们了解在信息安全的管理和应用中什么是违

法行为，自觉遵守法律而不进行违法活动。法律在保护信息安全中具有重要作用对

于发生的违法行为，只能依靠法律进行惩处，法律是保护信息安全的最终手段。同

时，通过法律的威慑力，还可以使攻击者产生畏惧心理，达到惩一警百、遏制犯罪

的效果。

软件安全的概念，如何保证软件安全？

软件安全（Software Security）就是使软件在收到恶意攻击的情形下依然能够继续正确运行及确保软件被在授权范围内合法使用的思想。出现软件故障现象的原因是软件存在漏洞。“任何软件，不论它看起来是多么安全，其中都隐藏漏洞”。

软件安全的目的是尽可能消除软件漏洞，确保软件在恶意攻击下仍然正常运行。

保证软件安全的方法和步骤：

方法之一——进行渗透测试：

渗透测试是一种“反向测试”，即安全测试人员直接和深入的探测安全风险以确定系统在遭受攻击时的表现。

渗透测试需要以攻击者的角度来思考问题，属于典型的黑盒测试。

渗透测试就是利用所有的手段进行测试，发现和挖掘系统中存在的漏洞，然后撰写渗透测试报告，将其提供给客户；客户根据渗透人员提供的渗透测试报告对系统存在漏洞和问题的地方进行修复和修补。

问答题（10*4）

数据库安全的概念，数据库安全的相关内容，如何进行数据库备份和恢复？

数据库系统的组成——包括数据库和数据库管理系统。数据库，按一定的方式存取数据；数据库管理系统，为用户及应用程序提供数据访问，并具有对数据库进行管理、维护等多种功能。

数据库的特点——多用户、高可用性、频繁更新、大文件、安全性与可靠性问题复杂数据库安全包括以下四点：

●数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更

改或破坏。

●数据保密是指用户合法地访问到机密数据后能否对这些数据保密。通过制订法律道

德准则和政策法规来保证。

●系统运行安全包括：法律、政策的保护，如用户是否有合法权利，政策是否允许等；

物理控制安全，如机房加锁等；硬件运行安全；操作系统安全，如数据文件是否保

护等；灾害、故障恢复；死锁的避免和解除；电磁信息泄漏防止。

●系统信息安全包括：用户口令字鉴别；用户存取权限控制；数据存取权限、方式控

制；审计跟踪；数据加密。

统计数据库的特点

允许用户查询聚集类型的信息（例如合计、平均值等）