信息安全工程习题及答案()

1.物理安全边界
三、简答
1．信息系统安全界线的划分和执行应考虑哪些原则和管理措施？
2．为了保证信息系统安全，应当从哪些方面来保证环境条件？
3．信息系统在实际应用中采用的防泄露措施主要有哪些？
4．设备安全管理包括哪些方面？
5．对于移动存储介质的管理应当考虑哪些策略？
四、论述
1．对于信息的存储与处理应当考虑哪些管理措施？
8.目前网络测量方法有： ______、 ______和______
二、名词解释
1.信息安全策略
2.系统安全审计
3.操作权限管理
4.操作监控
三、简答
1.信息安全策略有哪些相关技术
2.叙述系统安全审计的工作原理。
3.操作权限管理有哪些方式？ 4.操作监控管理的主要内容有哪些？ 5.故障管理包括哪些内容？故障管理的基本步骤是什么？ 四、论述 1.试述信息安全策略的制定过程
一、填空题
1.资产管理的主要任务是 ______、 ______等
2.脆弱性分为 ______、______、______
3.风险评估方法分为 ______、______、 ______ 4.OCTAVE 是一种信息安全风险评估方法， 它指的是 ______、______、______ 5.组织根据 ______与 ______的原则识别并选择安全控制措施 6.风险接受是一个对残留风险进行 ______和______的过程 二、名词解释 （1 ）资产的价值 （2）威胁 （3 ）脆弱性 （4）安全风险 （5 ） 风险评估 （ 6 ）风险管理 （7）安全控制 （8 ）适用性声明 三、简答 1.叙述风险评估的基本步骤。 2.资产、威胁与脆弱性之间的关系如何？ 3.信息系统的脆弱性一般包括哪几类？ 4.比较基本风险评估与详细风险评估的优缺点。
（例： 1 ） ⑴ ⑵ ⑶ ⑷ ⑸
）
4.某高校信息安全应对策略
某大学师生人数众多， 拥有两万多台主机， 上网用户也在 2 万人左右， 而
且用户数量一直成上升趋势。 校园网在为广大师生提供便捷、高效的学习、 工
作环境的同时，也在宽带管理、计费和安全等方面存在许多问题。具体如下：
（1 ）IP 地址及用户账号的盗用。
现方式？ 3.某设计院有工作人员 25 人，每人一台计算机， Windows 98 对等网络
通过一台集线器连接起来，公司没有专门的 IT 管理员。公司办公室都在二楼， 同一楼房内还有多家公司， 在一楼入口处赵大爷负责外来人员的登记， 但是他 经常分辨不清楚是不是外来人员。 设计院由市内一家保洁公司负责楼道和办公 室的清洁工作。总经理陈博士是位老设计师，他经常拨号到 Internet 访问一 些设计方面的信息， 他的计算机上还安装了代理软件， 其他人员可以通过这个 代理软件访问 Internet 。下列情况都是有可能的：
有发过这样的信。
针对上述情况，请从下面所列的安全策略中选择你认为适合的放在相应
的位置。
⑴物理安全策略⑵网络安全策略⑶数据加密策略⑷数据备份策略⑸病毒
防护策略⑹系统安全策略⑺身份认证及授权策略⑻灾难恢复策略⑼事故处理
与紧急响应策略⑽安全教育策略⑾口令管理策略⑿补丁管理策略⒀系统变更
控制策略⒁商业伙伴与客户关系策略⒂复查审计策略
4． SSE-CMM 将安全工程划分为哪些基本的过程区域？每一个区域的含
义是什么？
5.建立信息安全管理体系一般要经过哪些基本步骤？
四、论述
1.PDCA 分为哪几个阶段？每一个阶段的主要任务是什么？
2.等级保护的实施分为哪几个阶段？每一个阶段的主要步骤是什么？
3.试述 BS7799 的主要内容。
第三章
护要求和成本开销等因素， 将其划分成不同的安全保护等级， 采取相应的安全 保护措施，以保障信息和信息系统的安全。
3.信息安全管理体系认证，是第三方依据程序对产品、过程和服务等符合 规定的要求给予书面保证（如合格证书） 。认证的基础是标准，认证的方法包 括对产品特性的抽样检验和对组织体系的审核与评定， 认证的证明方式是认证 证书与认证标志。 目前，世界上普遍采用的信息安全管理体系认证的标准是在 英国标准协会的信息安全管理委员会指导下制定的 B57799-2: 《信息安全管理 体系规范》。 三、简答
第二章 一、填空题
1.管理层 量体裁衣 2.风险 工程 保证 3.六 五 二、名词解释 1.信息安全管理体系（ ISMS ）是组织在整体或特定范围内建立的信息安 全方针和目标， 以及完整这些目标所用的方法和手段所构成的体系； 信息安全 管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、 计划、活动、程序、过程和资源的集合。 2.信息安全等级保护是指根据信息系统在国家安全、 经济安全、社会稳定、 和保护公共利益等方面的重要程度， 结合系统面临的风险、 应对风险的安全保
Windows2000 比较稳定， 他决定安装 Windows2000 ，于是他就重新给硬盘
分区，成功完成了安装。
6）大家通过陈博士的计算机访问 Internet ，收集了很多有用的资料。可
是最近好几台计算机在启动的时候就自动连接上 Internet ，陈博士收到几封主
题不同的电子邮件， 内容竟然包括几个还没有提交的设计稿， 可是员工都说没
和过程。 四、论述 1.在国家宏观信息安全管理方面，主要有以下几个方面的问题： （1）法律法规 问题（ 2 ）管理问题（ 3）国家信息基础设施建设问题
在微观信息安全管理方面的问题主要有以下几方面：缺乏信息安全意识与 明确的信息安全方针（ 2 ）重视安全技术，轻视安全管理（ 3 ）安全管理缺乏 系统管理的思想。
护信息资产的一项体制
二、名词解释
1.信息安全
2.信息安全管理
四、论述
1.我国信息安全管理现状如何？
第二章
一、填空题
1.BS7799 信息安全管理领域的一个权威标准，其最大意义就在于它给
______一整套可“ ______”的信息安全管理要领。
2.SSE-CMM 将安全工程划分为三个基本的安全区域，即 ______、______、
6.系统安全验证的方法有 ______、 ______
二、名词解释
1.系统安全性验证
2. 破坏性分析
四、论述
1.系统安全原则包括哪些？分别简述。
第七章
一、填空题
1.信息安全策略分为 ______和______两个层次。
2.信息安全管理程序包括两部分：一是实施控制目标与控制方式的 ______
另一部分是覆盖信息安全管理体系的 ______的程序
第五章 一、填空题
1.为防止未经授权的 ______，预防对信息系统的 ______和______的破坏和干 扰，应当对信息系统所处的环境进行区域划分
2.机房安全就是对旋转信息系统的 ______进行细致周密的计划，对信息系 统加以 ______上的严密保护
3.计算机系统的电磁泄漏途径有： ______和______ 4.影响计算机电磁辐射强度的因素有 ______、______、______ 5. 媒介保护和管理的目的是保护存储在媒介上的 ______，确保信息不被 ______、篡改、破坏或 ______ 6.基于移动存储介质的安全威胁传播快、危害大，而且有很强的 ______和 ______ 7. 信息的存储与处理应当 ______，以便保护这些信息免于未经授权的 ______和 ______ 8.根据 GB9361-88 ，计算机机房的安全等级分为 ______、______和 ______。 9.保证电子文档安全的技术措施有加密技术、 ______、______和______。 二、名词解释
第六章
一、填空题
1.系统可靠性分为 ______和 ______
2.______和______中最大的安全弱点是用户账号
3.针对用户账号安全，可采用 ______、______、______来保护
4.系统选购通过 ______、______等，保证所选购安全性
5.程序测试的目的有两个：一是 ______，二是 ______
第四章 一、填空题
1.人员安全管理包括 ______、______、 ______ 2.对人员的安全审查一般从人员的 ______、______、______等几个方面进行 审查。 三、简答 1．在我国，信息安全管理组织包含哪些层次？
ห้องสมุดไป่ตู้
2．信息安全组织的基本任务是什么？ 3．信息安全教育包括哪些方面的内容？
第八章 一、填空题
1.目前入侵检测技术可分为 ______和 ______ 二、名词解释
1.应急响应 2. 安全紧急事件 三、简答
1.如何理解应急响应在信息安全中的地位和作用？ 2.应急响应组织分为哪几类？分别简述。 四、论述 应急响应处置流程通常被划分为哪些阶段？各个阶段的主要任务是什 么？
案例应用题 1.结合你所学过的知识，谈一谈降低风险的主要途径有哪些？ 2.系统安全监控的主要内容有哪些？请举例说明系统安全监控有哪些实
1.ISMS 的作用 1）强化员工的信息安全意识，规范组织信息安全行为； 2）促使管理层贯彻信息安全保障体系； 3）对组织的关键信息资产进行全面系统的保护，维持竞争优势； 4）在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； 5）使组织的生意伙伴和客户对组织充满信心； 6）如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信 息，可以提高组织的知名度与信任度。 . 2.答：组织在实施 BS7799 时，可以根据需求和实际情况，采用以下几种 模式：
1）小偷顺着一楼的防护栏潜入办公室偷走了…… 2）保洁公司人员不小心弄脏了准备发给客户的设计方案；错把掉在地上 的合同稿当废纸收走了；不小心碰掉了墙角的电源插销…… 3）某设计师张先生是公司的骨干，他嫌公司提供的设计软件版本太旧， 自己安装了盗版的新版本设计程序。 尽管这个盗版程序使用一段时间就会发生 莫名其妙的错误导致程序关闭， 可是张先生还是喜欢新版本的设计程序， 并找 到一些办法避免错误发生时丢失文件。 4）后来张先生离开设计院，新员工小李使用原来张先生的计算机。小李 抱怨了多次计算机不正常， 没有人理会， 最后决定自己重新安装操作系统和应 用程序。 5）小李把自己感觉重要的文件备份到陈博士的计算机上，听说
第一章
一、填空题
1.信息保障的三大要素是 ______、 ______、______
2.在 bs7799 信息安全管理体系中， 信息安全的主要目标是信息的 ______、
______、 ______的保持
3.信息安全一般包括 ______、______、信息安全和 ______四个方面的内容。
4.信息安全管理是通过维护信息的 ______、______、______等，来管理和保
（2 ）多人使用同一账号。
（3 ）网络计费管理功能的单一。 （4 ）对带宽资源的大量占用导致重要应用无法进行。 （5 ）访问权限难以控制。 （6 ）安全问题日益突出。 （7 ）异常网络事件的审计和追查。 （8 ）多个校区的管理和维护。 针对这些问题，相应的应对策略。
第一章 一、填空题 1.人员 技术 管理 2.机密性 完整性 可用性 3.实体安全 运行安全 管理安全 4.机密性 完整性 可用性 二、名词解释 1.信息安全是保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶 意侵犯而遭受破坏、 更改及泄露， 保证信息系统能够连续、 可靠、正常地运行。 2.信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护 信息资产的一项体制， 是对信息安全保障进行指导、 规范和管理的一系列活动
3.系统安全监控与审计是指对系统的 ______和系统中用户的 ______进行监
视、控制和记录
4.安全监控分为 ______和______两大类
5.从实现技术上看，安全审计分为 ______和______两部分
6.审计分析的基本方法有 ______、 ______、______
7.网络故障管理的基本步骤包括 ______、 ______和______
______
3.SSE-CMM 包含了 ______个级别，我国的信息和信息系统的安全保护等
级共分为 ______级
二、名词解释
1.信息安全管理体系 ISMS 2.信息安全等级保护
3.信息安全管理
体系认证
三、简答
1．建立 ISMS 有什么作用？
2．可以采用哪些模式引入 BS7799 ？
3．我国对于信息和信息系统的安全保护等级是如何划分的？