第一篇：信息安全管理基礎(chǔ)

第二章 信息安全管理基礎(chǔ)

一、判斷題

1.Windows2000/xp系統(tǒng)提供了口令安全策略，以對帳戶口令安全進行保護。

2.口令認證機制的安全性弱點，可以使得攻擊者破解合法用戶帳戶信息，進而非法獲得系統(tǒng)和資源訪問權(quán)限。

3.PKI系統(tǒng)所有的安全操作都是通過數(shù)字證書來實現(xiàn)的。

4.PKI系統(tǒng)使用了非對稱算法、對稱算法和散列算法。

5.信息安全的層次化特點決定了應(yīng)用系統(tǒng)的安全不僅取決于應(yīng)用層安全機制，同樣依賴于底層的物理、網(wǎng)絡(luò)和系統(tǒng)等層面的安全狀況。

6.按照BS 7799標準，信息安全管理應(yīng)當是一個持續(xù)改進的周期性過程。

7.網(wǎng)絡(luò)邊界保護中主要采用防火墻系統(tǒng)，為了保證其有效發(fā)揮作用，應(yīng)當避免在內(nèi)網(wǎng)和外網(wǎng)之間存在不經(jīng)過防火墻控制的其他通信連接。

8.網(wǎng)絡(luò)邊界保護中主要采用防火墻系統(tǒng)，在內(nèi)網(wǎng)和外網(wǎng)之間存在不經(jīng)過防火墻控制的其他通信連接，不會影響到防火墻的有效保護作用。

9.信息技術(shù)基礎(chǔ)設(shè)施庫（ITIL），是由英國發(fā)布的關(guān)于IT服務(wù)管理最佳實踐的建議和指導(dǎo)方針，旨在解決IT服務(wù)質(zhì)量不佳的情況。

10.美國國家標準技術(shù)協(xié)會NIST發(fā)布的《SP 800-30》中詳細闡述了IT系統(tǒng)風(fēng)險管理內(nèi)容。

11.防火墻在靜態(tài)包過濾技術(shù)的基礎(chǔ)上，通過會話狀態(tài)檢測技術(shù)將數(shù)據(jù)包的過濾處理效率大幅提高。

12.脆弱性分析技術(shù)，也被通俗地稱為漏洞掃描技術(shù)。該技術(shù)是檢測遠程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。

二、單選題

1.下面所列的 安全機制不屬于信息安全保障體系中的事先保護環(huán)節(jié)。A.殺毒軟件 B.數(shù)字證書認證 C.防火墻 D.數(shù)據(jù)庫加密

2.信息安全管理領(lǐng)域權(quán)威的標準是。A.ISO 15408

B.ISO 17799/ISO 27001 C.ISO 9001 D.ISO 1400

13.ISO 17799/ISO 27001最初是由 提出的國家標準。A.美國 B.澳大利亞 C.英國 D.中國

4.ISO 17799的內(nèi)容結(jié)構(gòu)按照 進行組織。A.管理原則 B.管理框架

C.管理域—控制目標—控制措施 D.管理制度

5.對于信息安全管理負有責(zé)任。A.高級管理層 B.安全管理員 C.IT管理員

D.所有與信息系統(tǒng)有關(guān)人員

6.對于提高人員安全意識和安全操作技能來說，以下所列的安全管理最有效的是。A.安全檢查 B.教育與培訓(xùn) C.責(zé)任追究 D.制度約束

7.安全策略是得到大部分需求的支持并同時能夠保護企業(yè)的利益。A.有效的 B.合法的 C.實際的 D.成熟的8.制定災(zāi)難恢復(fù)策略，最重要的是要知道哪些是商務(wù)工作中最重要的設(shè)施，在發(fā)生災(zāi)難后，這些設(shè)施的。A.恢復(fù)預(yù)算是多少 B.恢復(fù)時間是多長 C.恢復(fù)人員有幾個 D.恢復(fù)設(shè)備有多少

9.防止靜態(tài)信息被非授權(quán)訪問和防止動態(tài)信息被截取解密是。A.數(shù)據(jù)完整性 B.數(shù)據(jù)可用性 C.數(shù)據(jù)可靠性 D.數(shù)據(jù)保密性

10.用戶身份鑒別是通過 完成的。A.口令驗證

B.審計策略

C.存取控制 D.查詢功能

11.網(wǎng)絡(luò)數(shù)據(jù)備份的實現(xiàn)主要需要考慮的問題不包括。A.架設(shè)高速局域網(wǎng)

B.分析應(yīng)用環(huán)境 C.選擇備份硬件設(shè)備 D.選擇備份管理軟件

12.對網(wǎng)絡(luò)層數(shù)據(jù)包進行過濾和控制的信息安全技術(shù)機制是。A.防火墻 B.IDS C.Sniffer D.IPSec

13.下列不屬于防火墻核心技術(shù)的是。A.（靜態(tài)/動態(tài)）包過濾技術(shù)

B.NAT技術(shù) C.應(yīng)用代理技術(shù) D.日志審計

14.應(yīng)用代理防火墻的主要優(yōu)點是。A.加密強度更高

B.安全控制更細化、更靈活 C.安全服務(wù)的透明性更好 D.服務(wù)對象更廣泛

15.下列關(guān)于用戶口令說法錯誤的是。A.口令不能設(shè)置為空

B.口令長度越長，安全性越高

C.復(fù)雜口令安全性足夠高，不需要定期修改 D.口令認證是最常見的認證機制

16.在使用復(fù)雜度不高的口令時，容易產(chǎn)生弱口令的安全脆弱性，被攻擊者利用，從而破解用戶帳戶，下列 具有最好的口令復(fù)雜度。A.morrison B.Wm.$*F2m5 C.27776394 D.wangjing1977

17.按照通常的口令使用策略，口令修改操作的周期應(yīng)為 天。A.60 B.90 C.30 D.120

18.對口令進行安全性管理和使用，最終是為了。A.口令不被攻擊者非法獲得

B.防止攻擊者非法獲得訪問和操作權(quán)限 C.保證用戶帳戶的安全性 D.規(guī)范用戶操作行為

19.人們設(shè)計了，以改善口令認證自身安全性不足的問題。A.統(tǒng)一身份管理 B.指紋認證 C.數(shù)字證書認證 D.動態(tài)口令認證機制

20.PKI是。

A.Private Key Infrastructure B.Public Key Institute C.Public Key Infrastructure D.Private Key Institute

21.公鑰密碼基礎(chǔ)設(shè)施PKI解決了信息系統(tǒng)中的 問題。A.身份信任 B.權(quán)限管理 C.安全審計 D.加密

22.PKI所管理的基本元素是。A.密鑰 B.用戶身份 C.數(shù)字證書

D.數(shù)字簽名

23.最終提交給普通終端用戶，并且要求其簽署和遵守的安全策略是。A.口令策略 B.保密協(xié)議 C.可接受使用策略 D.責(zé)任追究制度

24.下列關(guān)于信息安全策略維護的說法，是錯誤的。A.安全策略的維護應(yīng)當由專門的部門完成

B.安全策略制定完成并發(fā)布之后，不需要再對其進行修改 C.應(yīng)當定期對安全策略進行審查和修訂 D.維護工作應(yīng)當周期性進行

25.鏈路加密技術(shù)是在OSI協(xié)議層次的第二層，數(shù)據(jù)鏈路層對數(shù)據(jù)進行加密保護，其處理的對象是。A.比特流 B.IP數(shù)據(jù)包 C.數(shù)據(jù)幀 D.應(yīng)用數(shù)據(jù)

26.入侵檢測技術(shù)可以分為誤用檢測和 兩大類。

A.病毒檢測 B.詳細檢測 C.異常檢測 D.漏洞檢測

27.安全評估技術(shù)采用 這一工具，它是一種能夠自動檢測遠程或本地主機和網(wǎng)絡(luò)安全性弱點的程序。A.安全掃描器 B.安全掃描儀 C.自動掃描器 D.自動掃描儀

28.最好地描述了數(shù)字證書。

A.等同于在網(wǎng)絡(luò)上證明個人和公司身份的身份證

B.瀏覽器的一標準特性，它使得黑客不能得知用戶的身份 C.網(wǎng)站要求用戶使用用戶名和密碼登陸的安全機制 D.伴隨在線交易證明購買的收據(jù)

29.根據(jù)BS 7799的規(guī)定，建立的信息安全管理體系ISMS的最重要特征是。A.全面性 B.文檔化 C.先進性 D.制度化

30.根據(jù)BS 7799的規(guī)定，對信息系統(tǒng)的安全管理不能只局限于對其運行期間的管理維護，而要將管理措施擴展到信息系統(tǒng)生命周期的其他階段，BS 7799中與此有關(guān)的一個重要方面就是。A.訪問控制 B.業(yè)務(wù)連續(xù)性

C.信息系統(tǒng)獲取、開發(fā)與維護 D.組織與人員

31.關(guān)于口令認證機制，下列說法正確的是。A.實現(xiàn)代價最低，安全性最高 B.實現(xiàn)代價最低，安全性最低 C.實現(xiàn)代價最高，安全性最高 D.實現(xiàn)代價最高，安全性最低

32.根據(jù)BS 7799的規(guī)定，訪問控制機制在信息安全保障體系中屬于 環(huán)節(jié)。A.保護 B.檢測 C.響應(yīng) D.恢復(fù)

33.身份認證的含義是。A.注冊一個用戶 B.標識一個用戶 C.驗證一個用戶 D.授權(quán)一個用戶

34.口令機制通常用于。A.認證 B.標識 C.注冊 D.授權(quán)

35.對日志數(shù)據(jù)進行審計檢查，屬于 類控制措施。A.預(yù)防 B.檢測 C.威懾 D.修正

36.關(guān)于入侵檢測技術(shù)，下列描述錯誤的是。A.入侵檢測系統(tǒng)不對系統(tǒng)或網(wǎng)絡(luò)造成任何影響

B.審計數(shù)據(jù)或系統(tǒng)日志信息是入侵檢測系統(tǒng)的一項主要信息來源 C.入侵檢測信息的統(tǒng)計分析有利于檢測到未知的入侵和更為復(fù)雜的入侵 D.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)無法檢查加密的數(shù)據(jù)流

37.安全掃描可以。

A.彌補由于認證機制薄弱帶來的問題 B.彌補由于協(xié)議本身而產(chǎn)生的問題

C.彌補防火墻對內(nèi)網(wǎng)安全威脅檢測不足的問題 D.掃描檢測所有的數(shù)據(jù)包攻擊，分析所有的數(shù)據(jù)流

38.下述關(guān)于安全掃描和安全掃描系統(tǒng)的描述錯誤的是。A.安全掃描在企業(yè)部署安全策略中處于非常重要的地位 B.安全掃描系統(tǒng)可用于管理和維護信息安全設(shè)備的安全

C.安全掃描系統(tǒng)對防火墻在某些安全功能上的不足不具有彌補性 D.安全掃描系統(tǒng)是把雙刃劍

39.在ISO/IEC 17799中，防止惡意軟件的目的就是為了保護軟件和信息的。A.安全性

B.完整性

C.穩(wěn)定性

D.有效性

40.在生成系統(tǒng)帳號時，系統(tǒng)管理員應(yīng)該分配給合法用戶一個，用戶在第一次登錄時應(yīng)更改口令。A.唯一的口令

B.登錄的位置

C.使用的說明

D.系統(tǒng)的規(guī)則

41.關(guān)于防火墻和VPN的使用，下面說法不正確的是。A.配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者獨立 B.配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們串行放置，防火墻在廣域網(wǎng)一側(cè)，VPN在局域網(wǎng)一側(cè)

C.配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們串行放置，防火墻在局域網(wǎng)一側(cè)，VPN在廣域網(wǎng)一側(cè) D.配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者要互相依賴

42.環(huán)境安全策略應(yīng)該。A.詳細而具體 B.復(fù)雜而專業(yè) C.深入而清晰 D.簡單而全面

43.是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò)，利用IPSec等網(wǎng)絡(luò)層安全協(xié)議和建立在PKI上的加密與簽名技術(shù)來獲得私有性。A.SET B.DDN C.VPN D.PKIX

44.策略應(yīng)該清晰，無須借助過多的特殊—通用需求文檔描述，并且還要有具體的。

A.管理支持

B.技術(shù)細節(jié)

C.實施計劃

D.被充內(nèi)容

45.在一個企業(yè)網(wǎng)中，防火墻應(yīng)該是 的一部分，構(gòu)建防火墻時首先要考慮其保護的范圍。A.安全技術(shù) B.安全設(shè)置 C.局部安全策略 D.全局安全策略

46.信息安全策略的制定和維護中，最重要是要保證其 和相對穩(wěn)定性。A.明確性 B.細致性 C.標準性 D.開放性

47.是企業(yè)信息安全的核心。A.安全教育 B.安全措施 C.安全管理 D.安全設(shè)施

48.許多與PKI相關(guān)的協(xié)議標準（如PKIX、S/MIME、SSL、TLS、IPSec）等都是在 基礎(chǔ)上發(fā)展起來的。

A.X.500 B.X.509 C.X.519 D.X.505

49.是PKI體系中最基本的元素，PKI系統(tǒng)所有的安全操作都是通過該機制來實現(xiàn)的。

A.SSL B.IARA C.RA D.數(shù)字證書

50.基于密碼技術(shù)的訪問控制是防止 的主要防護手段。A.數(shù)據(jù)傳輸泄密 B.數(shù)據(jù)傳輸丟失 C.數(shù)據(jù)交換失敗 D.數(shù)據(jù)備份失敗

51.避免對系統(tǒng)非法訪問的主要方法是。A.加強管理 B.身份認證 C.訪問控制 D.訪問分配權(quán)限

52.在一個信息安全保障體系中，最重要的核心組成部分為。A.技術(shù)體系 B.安全策略 C.管理體系 D.教育與培訓(xùn)

53.下列 不屬于物理安全控制措施。A.門鎖 B.警衛(wèi) C.口令 D.圍墻

54.VPN是 的簡稱。A.Visual Private Network B.Virtual Private Network C.Virtual Public Network D.Visual Public Network

55.部署VPN產(chǎn)品，不能實現(xiàn)對 屬性的需求。A.完整性 B.真實性 C.可用性 D.保密性

56.是最常用的公鑰密碼算法。A.RSA B.DSA C.橢圓曲線 D.量子密碼

57.PKI的主要理論基礎(chǔ)是。A.對稱密碼算法 B.公鑰密碼算法 C.量子密碼 D.摘要算法

58.PKI中進行數(shù)字證書管理的核心組成模塊是。A.注冊中心RA B.證書中心CA C.目錄服務(wù)器 D.證書作廢列表

59.手段，可以有效應(yīng)對較大范圍的安全事件的不良影響，保證關(guān)鍵服務(wù)和數(shù)據(jù)的可用性。A.定期備份 B.異地備份

C.人工備份 D.本地備份

60.信息安全評測標準CC是 標準。A.美國 B.國際 C.英國 D.澳大利亞

三、多選題

1.用于實時的入侵檢測信息分析的技術(shù)手段有。

A.模式匹配 B.完整性分析

C.可靠性分析

D.統(tǒng)計分析

E.可用性分析

2.典型的數(shù)據(jù)備份策略包括。A.完全備份 B.增量備份 C.選擇性備份 D.差異備份 E.手工備份

3.安全脆弱性，是指安全性漏洞，廣泛存在于。A.協(xié)議設(shè)計過程 B.系統(tǒng)實現(xiàn)過程 C.運行維護過程 D.安全評估過程 E.審計檢查過程

4.信息安全技術(shù)根據(jù)信息系統(tǒng)自身的層次化特點，也被劃分了不同的層次，這些層次包括。A.物理層安全 B.人員安全 C.網(wǎng)絡(luò)層安全 D.系統(tǒng)層安全 E.應(yīng)用層安全

5.物理層安全的主要內(nèi)容包括。A.環(huán)境安全 B.設(shè)備安全 C.線路安全 D.介質(zhì)安全 E.人員安全

6.根據(jù)BS 7799的規(guī)定，信息安全管理體系ISMS的建立和維護，也要按照PDCA的管理模型周期性進行，主要包含 環(huán)節(jié)。A.策略Policy B.建立Plan C.實施Do D.檢查Check E.維護改進Act

7.在BS 7799中，訪問控制涉及到信息系統(tǒng)的各個層面，其中主要包括。A.物理訪問控制 B.網(wǎng)絡(luò)訪問控制 C.人員訪問控制 D.系統(tǒng)訪問控制 E.應(yīng)用訪問控制

8.英國國家標準BS 7799，經(jīng)國際標準化組織采納為國家標準。A.ISO 17799 B.ISO 15408 C.ISO 13335 D.ISO 27001 E.ISO 24088

9.為了正確獲得口令并對其進行妥善保護，應(yīng)認真考慮的原則和方法有。A.口令/帳號加密 B.定期更換口令

C.限制對口令文件的訪問

D.設(shè)置復(fù)雜的、具有一定位數(shù)的口令

10.關(guān)于入侵檢測和入侵檢測系統(tǒng)，下述正確的選項是。A.入侵檢測收集信息應(yīng)在網(wǎng)絡(luò)的不同關(guān)鍵點進行 B.入侵檢測的信息分析具有實時性

C.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的精確性不及基于主機的入侵檢測系統(tǒng)的精確性高

D.分布式入侵檢測系統(tǒng)既能檢測網(wǎng)絡(luò)的入侵行為，又能檢測主機的入侵行為

E.入侵檢測系統(tǒng)的主要功能是對發(fā)生的入侵事件進行應(yīng)急響應(yīng)處理

11.目前廣泛使用的主要安全技術(shù)包括。A.防火墻 B.入侵檢測 C.PKI D.VPN E.病毒查殺

12.基于角色對用戶組進行訪問控制的方式有以下作用：。A.使用戶分類化 B.用戶的可管理性得到加強

C.簡化了權(quán)限管理，避免直接在用戶和數(shù)據(jù)之間進行授權(quán)和取消 D.有利于合理劃分職責(zé) E.防止權(quán)力濫用

13.在網(wǎng)絡(luò)中身份認證時可以采用的鑒別方法有。A.采用用戶本身特征進行鑒別 B.采用用戶所知道的事進行鑒別 C.采用第三方介紹方法進行鑒別 D.使用用戶擁有的物品進行鑒別 E.使用第三方擁有的物品進行鑒別

14.在ISO/IEC 17799標準中，信息安全特指保護。A.信息的保密性 B.信息的完整性 C.信息的流動性 D.信息的可用性

15.PKI是生成、管理、存儲、分發(fā)和吊銷基于公鑰密碼學(xué)的公鑰證書所需要的 的總和。A.硬件 B.軟件 C.人員 D.策略 E.規(guī)程

16.SSL主要提供三方面的服務(wù)，即。

A.數(shù)字簽名

B.認證用戶和服務(wù)器 C.網(wǎng)絡(luò)傳輸 D.加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)

E.維護數(shù)據(jù)的完整性

17.經(jīng)典密碼學(xué)主要包括兩個既對立又統(tǒng)一的分支，即。

A.密碼編碼學(xué)

B.密鑰密碼學(xué)

C.密碼分析學(xué)

D.序列密碼

E.古典密碼

18.有多種情況能夠泄漏口令，這些途徑包括。A.猜測和發(fā)現(xiàn)口令

B.口令設(shè)置過于復(fù)雜 C.將口令告訴別人 D.電子監(jiān)控 E.訪問口令文件

19.一個安全的網(wǎng)絡(luò)系統(tǒng)具有的特點是。A.保持各種數(shù)據(jù)的機密

B.保持所有信息、數(shù)據(jù)及系統(tǒng)中各種程序的完整性和準確性 C.保證合法訪問者的訪問和接受正常的服務(wù) D.保證網(wǎng)絡(luò)在任何時刻都有很高的傳輸速度

E.保證各方面的工作符合法律、規(guī)則、許可證、合同等標準

20.任何信息安全系統(tǒng)中都存在脆弱點，它可以存在于。A.使用過程中 B.網(wǎng)絡(luò)中 C.管理過程中 D.計算機系統(tǒng)中 E.計算機操作系統(tǒng)中

21.根據(jù)采用的技術(shù)，入侵檢測系統(tǒng)有以下分類：。A.正常檢測 B.異常檢測 C.特征檢測 D.固定檢測 E.重點檢測

22.在安全評估過程中，安全威脅的來源包括。A.外部黑客 B.內(nèi)部人員 C.信息技術(shù)本身 D.物理環(huán)境 E.自然界

23.安全評估過程中，經(jīng)常采用的評估方法包括。A.調(diào)查問卷 B.人員訪談

C.工具檢測 D.手工審核 E.滲透性測試

24.網(wǎng)絡(luò)入侵檢測系統(tǒng)，既可以對外部黑客的攻擊行為進行檢測，也可以發(fā)現(xiàn)內(nèi)部攻擊者的操作行為，通常部署在。A.關(guān)鍵服務(wù)器主機 B.網(wǎng)絡(luò)交換機的監(jiān)聽端口 C.內(nèi)網(wǎng)和外網(wǎng)的邊界 D.桌面系統(tǒng) E.以上都正確

25.IPSec是網(wǎng)絡(luò)層典型的安全協(xié)議，能夠為IP數(shù)據(jù)包提供 安全服務(wù)。A.保密性 B.完整性 C.不可否認性 D.可審計性 E.真實性

26.信息安全策略必須具備 屬性。A.確定性 B.正確性 C.全面性 D.細致性 E.有效性

四、問答題

1.信息安全技術(shù)機制通常被劃分為幾個層次。試在每個層次中列舉兩種主要的安全機制。

2.簡述BS 7799的內(nèi)容構(gòu)成以及與ISO國際標準的關(guān)系。

3.簡述ISO/IEC 17799∶2005中關(guān)于控制措施的11項分類內(nèi)容。

4.簡述安全策略體系所包含的內(nèi)容。

5.簡述至少六種安全問題的策略。

6.試編寫一個簡單的口令管理策略。

7.簡述可接受使用策略AUP的內(nèi)容。

8.簡述入侵檢測系統(tǒng)IDS所采取的兩種主要方法。

9.簡述防火墻所具有的局限性。

10.簡述物理安全的技術(shù)層面的主要內(nèi)容。

答案

一、判 斷 題

1.對 2.對 3.對 4.對 5.對 6.對

7.對 8.錯 9.對 10.對 11.對 12.對

二、單 選 題

1.A 2.B 3.C 4.C 5.D 6.B 7.A 8.B 9.D 10.A 11.A 12.A 13.D 14.B 15.C 16.B 17.A 18.B 19.D 20.C 21.A 22.C 23.C 24.B 25.C 26.C 27.A 28.A 29.B 30.C 31.B 32.A 33.C 33.A 35.B 36.A 37.C 38.B 39.B 40.A 41.B 42.D 43.C 44.C 45.D 46.A 47.C 48.B 49.D 50.A 51.C 52.B 53.C 54.B 55.C 56.A 57.B 58.B 59.B 60.B

三、多 選 題

1.AD 2.ABD 3.ABC 4.ACDE 5.ABD 6.BCDE 7.ABDE 8.AD 9.ABCD 10.ABCE 11.ABCDE 12.CDE 13.ABD 14.ABD 15.ABCDE 16.BDE 17.AC 18.ACDE 19.ABCE 20.ABCDE 21.BC 22.ABCDE 23.ABCDE 24.BC 25.ABE 26.ACE

四、問 答 題

1.信息安全技術(shù)機制通常被劃分為幾個層次。試在每個層次中列舉兩種主要的安全機制。

答：信息安全技術(shù)機制通常可以劃分為四個層次，每一層次中典型的安全機制如下所示：

（1）物理層安全，如視頻監(jiān)控、門禁系統(tǒng)；（2）網(wǎng)絡(luò)層安全，如防火墻、IPSecVPN；

（4）系統(tǒng)層安全，如殺毒軟件，主機入侵檢測系統(tǒng)；（5）應(yīng)用層安全，如用戶身份認證、應(yīng)用層加密。

2.簡述BS 7799的內(nèi)容構(gòu)成以及與ISO國際標準的關(guān)系。

答：BS 7799分兩個部分，第一部分，被ISO國際標準化組織采納成為ISO/IEC 17799∶2005標準的部分，是信息安全管理實施細則（Code of Practice for Information Security Management），主要供負責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為11個方面，定義了133 項安全控制措施（最佳實踐）。第二部分，被ISO國際標準化組織采納成為ISO/IEC 27001∶2005，是建立信息安全管理體系（ISMS）的一套規(guī)范（Specification for Information Security Management Systems），其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員應(yīng)用ISO/IEC 17799∶2005，其最終目的在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。

3.簡述ISO/IEC 17799∶2005中關(guān)于控制措施的11項分類內(nèi)容。答：BS 7799-1信息安全管理實施細則（ISO/IEC 17799∶2005）將信息安全管理的內(nèi)容劃分為11個主要方面，這11 個方面包括：（1）安全策略（Security Policy）；

（2）組織信息安全（Organizing Information Security）；（3）資產(chǎn)管理（Asset Management）；

（4）人力資源安全（Human Resources Security）；

（5）物理與環(huán)境安全（Physical and Environmental Security）；（6）通信與操作管理（Communication and Operation Management）；（7）訪問控制（Access Control）；

（8）信息系統(tǒng)獲取、開發(fā)與維護（Information Systems Acquisition, Development and Maintenance）；

（9）信息安全事件管理（Information Security Incident Management）；（10）業(yè)務(wù)連續(xù)性管理（Business Continuity Management）；（11）符合性（Compliance）。

4.簡述安全策略體系所包含的內(nèi)容。

答：一個合理的信息安全策略體系可以包括三個不同層次的策略文檔：（1）總體安全策略，闡述指導(dǎo)性的戰(zhàn)略綱領(lǐng)性文件，闡明了企業(yè)對于信息安全的看法和立場、信息安全的目標和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認定以及對于信息資產(chǎn)的管理辦法等內(nèi)容；

（2）針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強制要求、角色、責(zé)任認定等內(nèi)容，例如，針對Internet訪問操作、計算機和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問題，制定有針對性的安全策略；

（3）針對特定系統(tǒng)的具體策略，更為具體和細化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護規(guī)則等內(nèi)容，如防火墻配置策略、電子郵件安全策略等。

5.簡述至少六種安全問題的策略。答：（1）物理安全策略；（2）網(wǎng)絡(luò)安全策略；（3）數(shù)據(jù)加密策略；（4）數(shù)據(jù)備份策略；（5）病毒防護策略；（6）系統(tǒng)安全策略；（7）身份認證及授權(quán)策略；（8）災(zāi)難恢復(fù)策略；

（9）事故處理、緊急響應(yīng)策略；（10）安全教育策略；（11）口令管理策略；（12）補丁管理策略；（13）系統(tǒng)變更控制策略；（14）商業(yè)伙伴、客戶關(guān)系策略；（15）復(fù)查審計策略。

6.試編寫一個簡單的口令管理策略。答：（1）所有活動帳號都必須有口令保護。

（2）生成帳號時，系統(tǒng)管理員應(yīng)分配給合法用戶一個唯一的口令，用戶在第一次登錄時應(yīng)更改口令。

（3）口令必須至少要含有8個字符。（4）口令必須同時含有字母和非字母字符。

（5）必須定期用監(jiān)控工具檢查口令的強度和長度是否合格。（6）口令不能和用戶名或者登錄名相同。（7）口令必須至少60天更改一次。（8）禁止重用口令。

（9）必須保存至少12個歷史口令。（10）口令不能通過明文電子郵件傳輸。（11）所有供應(yīng)商的默認口令必須更改。（12）用戶應(yīng)在不同的系統(tǒng)中使用不同的口令。（13）當懷疑口令泄漏時必須予以更改。（14）應(yīng)該控制登錄嘗試的頻率。

7.簡述可接受使用策略AUP的內(nèi)容。答：AUP通常包含以下主要內(nèi)容：

（1）概述，描述什么是AUP，企業(yè)、組織發(fā)布AUP的目的，制定AUP的原則以及一些必要的法律聲明等。

（2）安全策略說明，說明制定AUP所依據(jù)的信息安全策略，提示用戶信息安全策略的更改會影響到AUP的修訂，并且告訴用戶從哪里可以獲得詳細的信息安全策略文檔。

（3）術(shù)語說明，將AUP中涉及的術(shù)語名詞，以及AUP簽署生效的有效時間進行說明。

（4）用戶責(zé)任，對信息安全策略中所有涉及到用戶的信息安全責(zé)任內(nèi)容，應(yīng)當進行總結(jié)和提煉，以簡單明了的語言進行闡述，使得用戶充分了解自己對于企業(yè)、組織信息安全所承擔的責(zé)任和義務(wù)。

8.簡述入侵檢測系統(tǒng)IDS所采取的兩種主要方法。

答:（1）誤用檢測：通過對比已知攻擊手段及系統(tǒng)漏洞的簽名特征來判斷系統(tǒng)中是否有入侵行為發(fā)生。具體地說，根據(jù)靜態(tài)的、預(yù)先定好的簽名集合來過濾網(wǎng)絡(luò)中的數(shù)據(jù)流(主要是IP層)，一旦發(fā)現(xiàn)數(shù)據(jù)包特征與某個簽名相匹配，則認為是一次入侵。

（2）異常檢測：指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為基于行為的檢測。異常檢測利用統(tǒng)計或特征分析的方法來檢測系統(tǒng)的異常行為。首先定義檢測假設(shè)，任何對系統(tǒng)的入侵和誤操作都會導(dǎo)致系統(tǒng)異常，這樣對入侵的檢測就可以歸結(jié)到對系統(tǒng)異常的檢測。

9.簡述防火墻所具有的局限性。

答：防火墻產(chǎn)品雖然是網(wǎng)絡(luò)安全的主要機制，但是也存在一定的局限性：例如，無法阻止內(nèi)部主機之間的攻擊行為；無法防止“旁路”通道的出現(xiàn)及其引起的安全隱患；無法阻止病毒侵襲；可能構(gòu)成內(nèi)、外網(wǎng)之間潛在的信息處理瓶頸。

10.簡述物理安全的技術(shù)層面的主要內(nèi)容。

答：物理安全的技術(shù)層面主要包括三個方面：環(huán)境安全、設(shè)備安全和媒體安全。

（1）環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災(zāi)難保護；（2）設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；

（3）媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。

第二篇：安全基礎(chǔ)管理

安全基礎(chǔ)管理

一、安全管理制度

（一）安全文化建設(shè)

1、安全文化實施方案及情況；

2、安全文化組織建設(shè)及理念建設(shè)；

3、安全活動；

4、安全文化手冊及學(xué)習(xí)活動記錄；

（二）安監(jiān)隊伍建設(shè)

1、加強安監(jiān)隊伍建設(shè)實施意見；

2、安全管理制度；

3、安全管理機構(gòu)；

4、安全工作計劃，5、安全考核制度，考核記錄。

（三）安全基礎(chǔ)管理考核

3、安全基礎(chǔ)管理檢查考核；

4、獎懲記錄

（四）報表及材料報送

1、事故隱患排查情況；

2、材料報送；

3、月安全培訓(xùn)統(tǒng)計表；

4、安全工作總結(jié)；

（五）班組安全建設(shè)

1、組織領(lǐng)導(dǎo)機構(gòu)，研究、指導(dǎo)工作；

2、班組安全文化建設(shè)；

3、班組建設(shè)實施方案，職責(zé)、任務(wù)、制度完善；

4、班組激勵機制，安全建設(shè)會議；

5、班組培訓(xùn)，“三違”統(tǒng)計情況；

（六）技術(shù)管理及事故應(yīng)急

1、管理崗位責(zé)任制，技術(shù)資料管理制度；

2、技術(shù)例會制度及執(zhí)行情況；

3、技術(shù)人員培訓(xùn)制度；

4、應(yīng)急救援器材配置和管理情況；

5、事故應(yīng)急預(yù)案和演練情況；

6、事故管理制度和事故臺帳；

二、安全標準化

三、安全生產(chǎn)重點工作

（一）專項治理工作；

（二）安全工作落實控制；

（三）主要機組、特種設(shè)備、聯(lián)鎖裝置管理情況；

（四）規(guī)范作業(yè)票證制度；

（五）安全標準化；

（六）職業(yè)衛(wèi)生健康臺賬、污水處理運行情況；

（七）重大危險源的預(yù)警監(jiān)控情況；

（八）工程建設(shè)“三同時”制度、執(zhí)行情況；

1、安全基礎(chǔ)管理及考核制度；

2、考核體系完善情況；

第三篇：信息安全管理

概述

1、信息安全定義：在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭至破壞、更改和泄露

2、分類：實體安全、運行安全、信息安全、管理安全

3、信息安全保障：人員、技術(shù)、管理

4、管理活動的五個基本要素：

誰來管：管理主體，回答由誰管的問題；

管什么：管理客體，回答管什么的問題；

怎么管：組織的目的要求，回答如何管的問題；

靠什么管：組織環(huán)境或條件，回答在什么情況下管的問題。

管得怎么樣：管理能力和效果，回答管理成效問題。

5、信息安全管理是通過維護信息的機密性、完整性和可用性等，來管理和保護信息資產(chǎn)的一項體制，是對信息安全保障進行指導(dǎo)、規(guī)范和管理的一系列活動和過程。

6、信息安全管理是信息安全保障體系建設(shè)的重要組成部分

7、信息安全管理的內(nèi)容：安全方針和策略；組織安全；資產(chǎn)分類與控制；人員安全；物理與環(huán)境安全；通信、運行與操作安全；訪問控制；

第四篇：信息安全管理協(xié)議書

現(xiàn)依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》（國務(wù)院令第292號）、《非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)管理辦法》（信息產(chǎn)業(yè)部令第33號）、《互聯(lián)網(wǎng)站管理工作細則》（信部電[XX]501號）、《信息產(chǎn)業(yè)部關(guān)于依法打擊網(wǎng)絡(luò)淫穢色情專項行動工作方案的通知》（信部電[XX]231號）、《工業(yè)和信息化部關(guān)于進一步深入整治手機淫穢色情專項行動工作方案》（工信部電管〔XX〕672號文件）、《工為和信息化部關(guān)于進一步落實網(wǎng)站備案信息真實性檢驗工作方案》（工信部電管局函[XX]64號）等有關(guān)規(guī)定，為配合省通信管理局維護互聯(lián)網(wǎng)正常運營秩序、創(chuàng)造良好的互聯(lián)網(wǎng)環(huán)境。金萬邦所有接入服務(wù)的網(wǎng)站主辦者與金萬邦公司簽署本項協(xié)議，遵守如下條款：

第一章 總則

第一條 為規(guī)范互聯(lián)網(wǎng)信息安全，促進互聯(lián)網(wǎng)服務(wù)有序發(fā)展，制定本協(xié)議。

第二條 本協(xié)議所稱互聯(lián)網(wǎng)信息安全，是指新一代數(shù)據(jù)中心提供給網(wǎng)站主辦者的互聯(lián)網(wǎng)接入服務(wù)，包括主機托管、虛擬主機等。

第三條 此協(xié)議遵循文明守法、誠信自律、自覺維護國家利益和公共利益的原則。

第四條 金萬邦負責(zé)本公約的組織實施。

第二章　協(xié)議內(nèi)容

（一）網(wǎng)站主辦者保證自覺遵守國家有關(guān)互聯(lián)網(wǎng)信息服務(wù)的法律、法規(guī)，文明使用網(wǎng)絡(luò)，不傳播色情淫穢信息以及其他違法和不良信息；

（二）網(wǎng)站主辦者保證不危害國家安全，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一的；

（三）網(wǎng)站主辦者保證不損害國家榮譽和利益的；

（四）網(wǎng)站主辦者保證不煽動民族仇恨、民族歧視，破壞民族團結(jié)的；

（五）網(wǎng)站主辦者保證不破壞國家宗教政策，宣揚xx和封建迷信的；

（六）網(wǎng)站主辦者保證不散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的；

（七）網(wǎng)站主辦者保證不散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；

（八）網(wǎng)站主辦者保證對網(wǎng)站內(nèi)容進行有效監(jiān)督和管理，及時刪除違法和不良跟貼信息；

（九）網(wǎng)站主辦者保證不利用互聯(lián)網(wǎng)傳播計算機病毒等惡意程序，不危害他人計算機信息安全。

第五條 違反服務(wù)協(xié)議的，金萬邦應(yīng)及時予以督促改正，有權(quán)直接關(guān)閉相關(guān)違法和不良信息內(nèi)容的網(wǎng)站或停止為其提供服務(wù)，如停止服務(wù)后需行開通，收取開通費100元/次。

第六條 金萬邦要求網(wǎng)站網(wǎng)站主辦者實行實名注冊備案，注冊信息應(yīng)當包括網(wǎng)站主辦者真實姓名、有關(guān)證件、通信地址、聯(lián)系電話、郵箱等。

第三章 附則

第七條 雙方確認在簽署本協(xié)議前已仔細審閱過合同的內(nèi)容，并完全了解本協(xié)議各條款的法律含義。

第八條 作為金萬邦的接入服務(wù)網(wǎng)站主辦者同意遵守上述條款,違反本協(xié)議,承擔相關(guān)責(zé)任.本協(xié)議由網(wǎng)站主辦者簽字蓋章即生效。

第九條 本協(xié)議由金萬邦負責(zé)解釋。

甲方單位名稱(蓋章)： 乙方單位名稱（蓋章）：

日 期： 日 期：

第一章　總則

第一條 為保障網(wǎng)絡(luò)信息資源的安全，促進idc接入服務(wù)有序發(fā)展，制定本協(xié)議。

第二條 本協(xié)議所稱服務(wù)器，是乙方向甲方租賃使用或托管的服務(wù)器資源、自主網(wǎng)絡(luò)空間等。

第三條 此協(xié)議遵循文明守法、誠信自律、自覺維護國家利益和公共利益的原則。

第二章　協(xié)議內(nèi)容

（一）乙方保證自覺遵守國家有關(guān)互聯(lián)網(wǎng)信息服務(wù)的法律、法規(guī)，文明使用網(wǎng)絡(luò)，不傳播色情淫穢信息以及其他違法和不良信息；

（二）乙方保證不傳播侮辱或貶損其他民族、種族、不同宗教信仰和文化傳統(tǒng)的信息；

（三）乙方保證不傳播造謠、誹謗信息以及其他虛假信息，不傳播侵害他人合法權(quán)益的信息；

（四）乙方保證不傳播侵害他人知識產(chǎn)權(quán)的信息；

（五）乙方保證對跟貼內(nèi)容進行有效監(jiān)督和管理，及時刪除違法和不良跟貼信息；

（六）乙方保證不利網(wǎng)絡(luò)資源傳播計算機病毒等惡意程序，不危害他人計算機信息安全。

第三條 乙方申請的信息資源只能供自己使用，不得轉(zhuǎn)讓或出租。由于轉(zhuǎn)讓或出租造成的不良后果，乙方將承擔直接和連帶責(zé)任；

第四條 依據(jù)《非經(jīng)營性互聯(lián)網(wǎng)備案管理辦法》第二十三條規(guī)定，所有網(wǎng)站需先備案后接入，如備案信息不真實，將關(guān)閉網(wǎng)站并注銷備案。乙方承諾并確認：提交的所有備案信息真實有效，當備案信息發(fā)生變化時請及時到備案系統(tǒng)中提交更新信息，如因未及時更新而導(dǎo)致備案信息不準確，甲方有權(quán)依法對接入網(wǎng)站進行關(guān)閉處理。

第五條 甲方應(yīng)保護乙方資料。未經(jīng)乙方充許，不得向第三方提供乙方的相關(guān)資料，法律、法規(guī)另有規(guī)定的除外。

第三章 附則

第六條 雙方確認在簽署本協(xié)議前已仔細審閱過本協(xié)議的內(nèi)容，并完全了解本協(xié)議各條款的法律含義。

第七條 本協(xié)議雙方簽字、蓋章后即生效。

甲 方： 乙 方：

日 期： 日 期：

第五篇：《信息安全基礎(chǔ)》考試復(fù)習(xí)提綱

《信息安全基礎(chǔ)》考試復(fù)習(xí)提綱

一、考試題型：名詞解釋(15-20分)、填空題(20分)、選擇題(45-50分)、簡答題(15-20分)

二、復(fù)習(xí)內(nèi)容：1.仔細閱讀全書，掌握書中的相關(guān)知識的概念與原理。

2.認真完成書中的課后練習(xí)。

3.名詞解釋和簡答題應(yīng)掌握的內(nèi)容如下：（劃線的和加“☆”的是重點）

=======================

名詞解釋： 信息安全、計算機外部安全、計算機內(nèi)部安全、計算機網(wǎng)絡(luò)安全、信息安全威脅、密碼學(xué)、被動攻擊、主動攻擊、序列算法、分組算法、對稱密鑰算法、公開密鑰算法、哈希函數(shù)、消息摘要、數(shù)字簽名、身份識別技術(shù)、零知識身份識別協(xié)議、密鑰的分散管理、信息隱藏、PKI、數(shù)字證書、交互證書對、證書鏈、CA根證書、防火墻、入侵檢測系統(tǒng)、IPSec協(xié)議、SA、SPD、SAD、IKE協(xié)議、虛擬專用網(wǎng)VPN、SSL協(xié)議、操作系統(tǒng)安全、活動目錄、惡意代碼、網(wǎng)絡(luò)蠕蟲

簡答題：

1.信息安全的基本特性有哪些？☆

2.信息安全威脅的種類及含義。☆

3.常見的信息安全技術(shù)及作用?！?/p>

4.信息安全問題根源有哪些？

5.個人特征的身份證明技術(shù)主要包括哪些？

6.請簡述在基于中心的密鑰分發(fā)中，拉模式工作原理。

7.kerbero認證與密鑰分發(fā)的基本思想。

8.信息隱藏的主要研究分支。

9.請簡述CPU卡對讀寫設(shè)備的密鑰認證過程。

10.請簡述對較長報文的數(shù)字簽名過程?！?/p>

11.請簡述CA證書的撤消過程?！?/p>

12.請簡述CA證書的申請和頒發(fā)過程?！?/p>

13.請簡述CA證書的作用與分類。☆

14.請簡述CA證書的驗證過程。☆

15.請簡述CA認證中心的基本功能（9點）。☆

16.防火墻的分類以及常見防火墻系統(tǒng)模型?！?/p>

17.請簡述創(chuàng)建防火墻的步驟。

18.入侵檢測的工作步驟。

19.IPSec策略下節(jié)點（主機和路由器）對流出/流入數(shù)據(jù)包的處理過程。

20．請簡述VPN常見的隧道協(xié)議有哪些？其分別封裝的對象是什么？☆

21.緩沖區(qū)溢出攻擊的防范方法☆

22.拒絕服務(wù)攻擊的一般防范方法?！?/p>

23.簡述window NT操作系統(tǒng)的安全機制?！?/p>

24.了解操作系統(tǒng)的安全評價標準：（TCSEC）。

25.請簡述惡意代碼的大體攻擊過程?！?/p>