信息安全技术与实践习题答案第7-8章

选择题：

1.A、

2.B、

3.B、

4.C、

5.A

6.D、

7.C、

8.B

填空题：

1.物理安全技术；基础安全技术；应用安全技术；?

2.PDRR（安全生命周期模型）

P：Protection（防护）：采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。

D：Detection（检测）；

R：Response（反应）；

R：Recovery（恢复）。

1、

信息安全管理是指为了实现信息安全目标，从而遵循特定的安全策略，依照规定的程序，运用适当的方法进行规划、组织、指导、协调和控制等活动。信息安全管理和安全技术组成信息安全防护体系，其中安全管理是技术的重要补充。信息安全管理解决宏观问题，它的核心是信息安全风险的管理控制，对象是各类信息资产（包含人员在内），通过对信息资产的风险管理来实现信息系统的安全目标。

2、

（1）根据受保护系统的业务目标和特点来确定风险管理的范围、对象，明确对象的特性和安全需求。

（2）针对已确定的管理对象面临的风险进行识别和分析，综合评估考虑资产所受的威胁和威胁产生的影响。

（3）根据风险评估的结果选择并实施恰当的安全措施，将风险控制在可接受的范围内。风险处理的主要方式有规避、转移、降低和接受。

（4）批准风险评估和风险处理的结果（即风险评估和处理结果应得到高层管理者的批准）并持续监督。

3、

（1）最小化原则，即受保护的敏感信息只能在一定范围内被共享。最小化原则可细分为知所必须原则和用所必须原则。

（2）分权制衡原则，为保证信息系统的安全，通常将系统中的所有权限进行适当划分，使每个授权主体仅拥有部分权限，从而实现他们之间的相互制约和相互监督。

（3）安全隔离原则，将信息的主体与客体分隔开，在安全和可控的前提下，主体依照一定的安全策略对客体实施访问。其中隔离和控制是实现信息安全的基本方法，隔离是控制的基础。

（4）普遍参与原则，为制定出有效的安全机制，组织大都要求员工普遍参与，搜集各级员工的意见，分析存在的问题，通过集思广益的方法来规划安全体系和安全策略。

（5）纵深防御原则，安全体系不是单一安全机制和多种安全服务的堆砌，而是相互支撑的多种安全机制，是具有协议层次和纵向结构层次的完备体系。

（6）防御多样化原则，与纵深防御一样，通过使用大量不同类型和不同等级的系统，以期获得额外的安全保护。

4、

（1）物理安全策略

（2）互联网安全全策略

制定操作计算机和网络所必须遵守的操作规程和职责，包括数据文件处理规则、变更管理规则、错误和意外事件处理规程、问题管理规程、测试评估规程、日常管理活动等。

（3）数据访问控制、加密与备份安全策略

严格控制外来人员对信息系统的访问权限，当外部人员要对机密信息进行访问时，要与他们签署保密协议。对敏感信息进行加密保护，制定密钥交换和管理策略。建立备份信息资产的规程；保护系统信息和相关软件，防止对软件和信息的非授权修改。

（4）病毒防护安全策略

（5）系统安全及授权策略

（6）身份认证策略

（7）灾难恢复及事故处理、紧急响应策略

（8）口令管理策略