信息系統(tǒng)項目管理師核心內(nèi)容-16安全管理

1、1、信息安全二兀組是什么？1. 保密性2. 完整性3. 可用性2、數(shù)據(jù)的保密性一般通過哪些來實現(xiàn)？1. 網(wǎng)絡(luò)安全協(xié)議2. 網(wǎng)絡(luò)認證服務(wù)3. 數(shù)據(jù)加密服務(wù)3、確保數(shù)據(jù)完整性的技術(shù)包括哪些？1. 消息源的不可抵賴2. 防火墻系統(tǒng)3. 通信安全4. 入侵檢測系統(tǒng)4、確?？捎眯缘募夹g(shù)包括哪些？1. 磁盤和系統(tǒng)的容錯及備份2. 可接受的登錄及進程性能3. 可靠的功能性的安全進程和機制5、 在ISO/IEC27001中，信息安全管理的內(nèi)容被概括為哪 11個方面?1. 信息安全方針與策略2. 組織信息完整3. 資產(chǎn)管理4. 人力資源安全5. 物理和環(huán)境安全6. 通信和操作安全7. 訪問控制8. 信息系統(tǒng)的獲

2、取、開發(fā)和保持9. 信息安全事件管理10. 業(yè)務(wù)持續(xù)性管理11. 符合性6什么是業(yè)務(wù)持續(xù)性管理？1. 防止業(yè)務(wù)活動的中斷并確保它們及時恢復(fù)2. 控制損失在可接受范圍3. 管理識別關(guān)鍵業(yè)務(wù)過程并整合其他持續(xù)性服務(wù)。6什么是符合性管理：應(yīng)最大化信息系統(tǒng)審核的有效性，并最小化來自信息系 統(tǒng)審核帶來的干擾。7、應(yīng)用系統(tǒng)常用的保密技術(shù)有哪些？1. 最小授權(quán)原則2. 防爆露3信息加密4. 物理保密8、影響信息完整性的主要因素有哪些？1. 設(shè)備故障2. 誤碼3. 認為攻擊4. 計算機病毒9、保障應(yīng)用系統(tǒng)完整性的主要方法有哪些？1. 協(xié)議2. 糾錯編碼方法3. 密碼校驗4. 數(shù)字簽名5. 公證10、哪個性質(zhì)一

3、般用系統(tǒng)正常使用時間和整個工作時間之比來度量？1. 可用性11、在安全管理體系中，不同安全等級的安全管理機構(gòu)應(yīng)按哪種順序逐步建立自 己的信息安全組織機構(gòu)管理體系？1. 配備安全管理人員2. 建立安全職能部門3. 成立安全領(lǐng)導(dǎo)小組4. 主要負責(zé)人出任領(lǐng)導(dǎo)5. 建立信息安全保密管理部門12、 在信息系統(tǒng)安全管理要素一覽表中，“風(fēng)險管理”類，包括哪些族？ “業(yè)務(wù) 持續(xù)性管理”類包括哪些族？風(fēng)險管理1. 風(fēng)險管理要求和策略2. 風(fēng)險分析和評估3. 風(fēng)險控制4. 基于風(fēng)險的決策5. 風(fēng)險評估的管理業(yè)務(wù)持續(xù)性1. 備份與恢復(fù)2. 安全事件處理3. 應(yīng)急處理13、GB/T20271-2006中，信息系統(tǒng)安全

4、技術(shù)體系是如何描述的？（只答一級標 題）1. 物理安全2. 運行安全3. 數(shù)據(jù)安全14、對于電源，什么叫緊急供電？穩(wěn)壓供電？電源保護？不間斷供電？UPS緊急供電防止電壓波動：穩(wěn)壓器可變電阻、二極管、氣體放電管、濾波器、浪涌濾波器：電源保護不間斷供電：注意不是UPS采用不間斷供電電源，防止電壓波動、電器干擾和 斷電等對計算機系統(tǒng)的不良影響。15、人員進出機房和操作權(quán)限范圍控制包括哪些？1.16、針對電磁兼容，計算機設(shè)備防泄露包括哪些內(nèi)容？17、 對哪些關(guān)鍵崗位人員進行統(tǒng)一管理，允許一人多崗，但業(yè)務(wù)應(yīng)用操作人員不 能由其它關(guān)鍵崗位人員兼任？1. 安全管理員2. 系統(tǒng)管理員3. 數(shù)據(jù)庫管理員4. 網(wǎng)

5、絡(luò)管理員5. 重要業(yè)務(wù)操作人員6. 重要業(yè)務(wù)開發(fā)人員7. 系統(tǒng)維護人員18、業(yè)務(wù)開發(fā)人員和系統(tǒng)維護人員不能兼任或擔(dān)任哪些崗位？1. 安全管理員2. 系統(tǒng)管理員3. 數(shù)據(jù)庫管理員4. 網(wǎng)絡(luò)管理員5. 重要業(yè)務(wù)操作人員19、應(yīng)用系統(tǒng)運行中涉及四個層次的安全，按粒度從粗到細的排序是什么？（記）1. 系統(tǒng)級安全2. 資源訪問3. 功能性安全4. 數(shù)據(jù)域安全20、哪些是系統(tǒng)級安全？1. 敏感系統(tǒng)隔離2. 訪問IP地址段的限制3. 登錄時間段的限制4. 會話時間的限制5. 連接數(shù)的限制6. 特定時間段內(nèi)登錄次數(shù)的限制7. 遠程訪問控制22、什么是資源訪問安全？1. 客戶端：權(quán)限、用戶界面2. 服務(wù)端：UR

6、L程序資源、業(yè)務(wù)服務(wù)類方法的調(diào)用23、什么是功能性安全？1. 審核2. 上傳附件大小24、什么是數(shù)據(jù)域安全？1. 行級數(shù)據(jù)域安全2. 字段級數(shù)據(jù)域安全25、系統(tǒng)運行安全檢查和記錄的范圍有哪些？（并敘述每個的內(nèi)容）1. 應(yīng)用系統(tǒng)的訪問控制檢查：包括物理和邏輯訪問控制，是否按照規(guī)定的策略和 程序進行訪問權(quán)限的增加、變更和取消，用戶權(quán)限的分配是否遵循最小特權(quán)原則。2. 應(yīng)用系統(tǒng)的日志檢查：包括數(shù)據(jù)庫日志、系統(tǒng)訪問日志、系統(tǒng)處理日志、錯誤 日志以及異常日志。3. 應(yīng)用系統(tǒng)可用性檢查：包括系統(tǒng)中斷時間、系統(tǒng)正常服務(wù)時間和系統(tǒng)恢復(fù)時間 等。4. 應(yīng)用系統(tǒng)能力檢查：包括系統(tǒng)資源消耗情況、系統(tǒng)交易速度和系統(tǒng)吞吐量等。5. 應(yīng)用系統(tǒng)的安全操作檢查：對用戶應(yīng)用系統(tǒng)的使用是否按照信息安全的相關(guān)策 略和程序進行訪問和使用。6. 應(yīng)用系統(tǒng)的維護檢測：維護性問題是否在規(guī)定的時間內(nèi)解決， 是否正確地解決 問題，解決問題的過程是否有效等。7. 應(yīng)用系統(tǒng)的配置檢查：檢查應(yīng)用系統(tǒng)的配置是否合理和適當(dāng)，各配置組件是否 發(fā)揮其應(yīng)有的功能。