信息安全工程習(xí)題及復(fù)習(xí)資料

第頁(yè)第一章填空題1.信息保障的三大要素是______,______,______2.在bs7799信息安全管理體系中，信息安全的主要目標(biāo)是信息的______,______,______的保持3.信息安全一般包括______,______,信息安全和______四個(gè)方面的內(nèi)容。4.信息安全管理是通過維護(hù)信息的______,______,______等，來管理和愛護(hù)信息資產(chǎn)的一項(xiàng)體制二,名詞說明1.信息安全2.信息安全管理四,論述1.我國(guó)信息安全管理現(xiàn)狀如何？第二章填空題BS7799信息安全管理領(lǐng)域的一個(gè)權(quán)威標(biāo)準(zhǔn)，其最大意義就在于它給______一整套可“______”的信息安全管理要領(lǐng)。SSE-CMM將安全工程劃分為三個(gè)基本的安全區(qū)域，即______,______,______SSE-CMM包含了______個(gè)級(jí)別，我國(guó)的信息和信息系統(tǒng)的安全愛護(hù)等級(jí)共分為______級(jí)名詞說明1.信息安全管理體系ISMS2.信息安全等級(jí)愛護(hù)3.信息安全管理體系認(rèn)證三,簡(jiǎn)答1．建立ISMS有什么作用？2．可以采納哪些模式引入BS7799？3．我國(guó)對(duì)于信息和信息系統(tǒng)的安全愛護(hù)等級(jí)是如何劃分的？4．SSE-CMM將安全工程劃分為哪些基本的過程區(qū)域？每一個(gè)區(qū)域的含義是什么？5.建立信息安全管理體系一般要經(jīng)過哪些基本步驟？四,論述1.PDCA分為哪幾個(gè)階段？每一個(gè)階段的主要任務(wù)是什么？2.等級(jí)愛護(hù)的實(shí)施分為哪幾個(gè)階段？每一個(gè)階段的主要步驟是什么？3.試述BS7799的主要內(nèi)容。第三章一,填空題1.資產(chǎn)管理的主要任務(wù)是______,______等2.脆弱性分為______,______,______3.風(fēng)險(xiǎn)評(píng)估方法分為______,______,______4.OCTAVE是一種信息安全風(fēng)險(xiǎn)評(píng)估方法，它指的是______,______,______5.組織依據(jù)______及______的原則識(shí)別并選擇安全限制措施6.風(fēng)險(xiǎn)接受是一個(gè)對(duì)殘留風(fēng)險(xiǎn)進(jìn)行______和______的過程名詞說明（1）資產(chǎn)的價(jià)值（2）威脅（3）脆弱性（4）安全風(fēng)險(xiǎn)（5）風(fēng)險(xiǎn)評(píng)估（6）風(fēng)險(xiǎn)管理（7）安全限制（8）適用性聲明三,簡(jiǎn)答1.敘述風(fēng)險(xiǎn)評(píng)估的基本步驟。2.資產(chǎn),威脅及脆弱性之間的關(guān)系如何？3.信息系統(tǒng)的脆弱性一般包括哪幾類？4.比較基本風(fēng)險(xiǎn)評(píng)估及具體風(fēng)險(xiǎn)評(píng)估的優(yōu)缺點(diǎn)。第四章填空題1.人員安全管理包括______,______,______2.對(duì)人員的安全審查一般從人員的______,______,______等幾個(gè)方面進(jìn)行審查。三,簡(jiǎn)答1．在我國(guó)，信息安全管理組織包含哪些層次？2．信息安全組織的基本任務(wù)是什么？3．信息安全教化包括哪些方面的內(nèi)容？第五章一,填空題1.為防止未經(jīng)授權(quán)的______，預(yù)防對(duì)信息系統(tǒng)的______和______的破壞和干擾，應(yīng)當(dāng)對(duì)信息系統(tǒng)所處的環(huán)境進(jìn)行區(qū)域劃分2.機(jī)房安全就是對(duì)旋轉(zhuǎn)信息系統(tǒng)的______進(jìn)行細(xì)致周密的安排，對(duì)信息系統(tǒng)加以______上的嚴(yán)密愛護(hù)3.計(jì)算機(jī)系統(tǒng)的電磁泄漏途徑有：______和______4.影響計(jì)算機(jī)電磁輻射強(qiáng)度的因素有______,______,______5.媒介愛護(hù)和管理的目的是愛護(hù)存儲(chǔ)在媒介上的______，確保信息不被______,篡改,破壞或______6.基于移動(dòng)存儲(chǔ)介質(zhì)的安全威脅傳播快,危害大，而且有很強(qiáng)的______和______7.信息的存儲(chǔ)及處理應(yīng)當(dāng)______，以便愛護(hù)這些信息免于未經(jīng)授權(quán)的______和______8.依據(jù)GB9361-88，計(jì)算機(jī)機(jī)房的安全等級(jí)分為______,______和______。9.保證電子文檔安全的技術(shù)措施有加密技術(shù),______,______和______。二,名詞說明1.物理安全邊界三,簡(jiǎn)答1．信息系統(tǒng)安全界線的劃分和執(zhí)行應(yīng)考慮哪些原則和管理措施？2．為了保證信息系統(tǒng)安全，應(yīng)當(dāng)從哪些方面來保證環(huán)境條件？3．信息系統(tǒng)在實(shí)際應(yīng)用中采納的防泄露措施主要有哪些？4．設(shè)備安全管理包括哪些方面？5．對(duì)于移動(dòng)存儲(chǔ)介質(zhì)的管理應(yīng)當(dāng)考慮哪些策略？四,論述1．對(duì)于信息的存儲(chǔ)及處理應(yīng)當(dāng)考慮哪些管理措施？第六章填空題系統(tǒng)牢靠性分為______和______2.______和______中最大的安全弱點(diǎn)是用戶賬號(hào)3.針對(duì)用戶賬號(hào)安全，可采納______,______,______來愛護(hù)4.系統(tǒng)選購(gòu)?fù)ㄟ^______,______等，保證所選購(gòu)安全性5.程序測(cè)試的目的有兩個(gè)：一是______，二是______6.系統(tǒng)安全驗(yàn)證的方法有______,______二,名詞說明1.系統(tǒng)安全性驗(yàn)證2.破壞性分析論述1.系統(tǒng)安全原則包括哪些？分別簡(jiǎn)述。第七章填空題1.信息安全策略分為______和______兩個(gè)層次。2.信息安全管理程序包括兩部分：一是實(shí)施限制目標(biāo)及限制方式的______另一部分是覆蓋信息安全管理體系的______的程序3.系統(tǒng)安全監(jiān)控及審計(jì)是指對(duì)系統(tǒng)的______和系統(tǒng)中用戶的______進(jìn)行監(jiān)視,限制和記錄4.安全監(jiān)控分為______和______兩大類5.從實(shí)現(xiàn)技術(shù)上看，安全審計(jì)分為______和______兩部分6.審計(jì)分析的基本方法有______,______,______7.網(wǎng)絡(luò)故障管理的基本步驟包括______,______和______8.目前網(wǎng)絡(luò)測(cè)量方法有：______,______和______二,名詞說明1.信息安全策略2.系統(tǒng)安全審計(jì)3.操作權(quán)限管理4.操作監(jiān)控三,簡(jiǎn)答1.信息安全策略有哪些相關(guān)技術(shù)2.敘述系統(tǒng)安全審計(jì)的工作原理。3.操作權(quán)限管理有哪些方式？4.操作監(jiān)控管理的主要內(nèi)容有哪些？5.故障管理包括哪些內(nèi)容？故障管理的基本步驟是什么？四,論述1.試述信息安全策略的制定過程第八章填空題1.目前入侵檢測(cè)技術(shù)可分為______和______二,名詞說明1.應(yīng)急響應(yīng)2.安全緊急事務(wù)三,簡(jiǎn)答1.如何理解應(yīng)急響應(yīng)在信息安全中的地位和作用？2.應(yīng)急響應(yīng)組織分為哪幾類？分別簡(jiǎn)述。四,論述應(yīng)急響應(yīng)處置流程通常被劃分為哪些階段？各個(gè)階段的主要任務(wù)是什么？案例應(yīng)用題1.結(jié)合你所學(xué)過的知識(shí)，談一談降低風(fēng)險(xiǎn)的主要途徑有哪些？2.系統(tǒng)安全監(jiān)控的主要內(nèi)容有哪些？請(qǐng)舉例說明系統(tǒng)安全監(jiān)控有哪些實(shí)現(xiàn)方式？3.某設(shè)計(jì)院有工作人員25人，每人一臺(tái)計(jì)算機(jī)，Windows98對(duì)等網(wǎng)絡(luò)通過一臺(tái)集線器連接起來，公司沒有特地的IT管理員。公司辦公室都在二樓，同一樓房?jī)?nèi)還有多家公司，在一樓入口處趙大爺負(fù)責(zé)外來人員的登記，但是他常常辨別不清晰是不是外來人員。設(shè)計(jì)院由市內(nèi)一家保潔公司負(fù)責(zé)樓道和辦公室的清潔工作?？偨?jīng)理陳博士是位老設(shè)計(jì)師，他常常撥號(hào)到Internet訪問一些設(shè)計(jì)方面的信息，他的計(jì)算機(jī)上還安裝了代理軟件，其他人員可以通過這個(gè)代理軟件訪問Internet。下列狀況都是有可能的：1）小偷順著一樓的防護(hù)欄潛入辦公室偷走了……2）保潔公司人員不當(dāng)心弄臟了打算發(fā)給客戶的設(shè)計(jì)方案；錯(cuò)把掉在地上的合同稿當(dāng)廢紙收走了；不當(dāng)心碰掉了墻角的電源插銷……3）某設(shè)計(jì)師張先生是公司的骨干，他嫌公司供應(yīng)的設(shè)計(jì)軟件版本太舊，自己安裝了盜版的新版本設(shè)計(jì)程序。盡管這個(gè)盜版程序運(yùn)用一段時(shí)間就會(huì)發(fā)生莫名其妙的錯(cuò)誤導(dǎo)致程序關(guān)閉，可是張先生還是喜愛新版本的設(shè)計(jì)程序，并找到一些方法避開錯(cuò)誤發(fā)生時(shí)丟失文件。4）后來張先生離開設(shè)計(jì)院，新員工小李運(yùn)用原來張先生的計(jì)算機(jī)。小李埋怨了多次計(jì)算機(jī)不正常，沒有人理睬，最終確定自己重新安裝操作系統(tǒng)和應(yīng)用程序。5）小李把自己感覺重要的文件備份到陳博士的計(jì)算機(jī)上，聽說Windows2000比較穩(wěn)定，他確定安裝Windows2000，于是他就重新給硬盤分區(qū)，勝利完成了安裝。6）大家通過陳博士的計(jì)算機(jī)訪問Internet，收集了很多有用的資料?？墒亲罱脦着_(tái)計(jì)算機(jī)在啟動(dòng)的時(shí)候就自動(dòng)連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個(gè)還沒有提交的設(shè)計(jì)稿，可是員工都說沒有發(fā)過這樣的信。針對(duì)上述狀況，請(qǐng)從下面所列的安全策略中選擇你認(rèn)為適合的放在相應(yīng)的位置。⑴物理安全策略⑵網(wǎng)絡(luò)安全策略⑶數(shù)據(jù)加密策略⑷數(shù)據(jù)備份策略⑸病毒防護(hù)策略⑹系統(tǒng)安全策略⑺身份認(rèn)證及授權(quán)策略⑻災(zāi)難復(fù)原策略⑼事故處理及緊急響應(yīng)策略⑽安全教化策略⑾口令管理策略⑿補(bǔ)丁管理策略⒀系統(tǒng)變更限制策略⒁商業(yè)伙伴及客戶關(guān)系策略⒂復(fù)查審計(jì)策略（例：1）⑴⑵⑶⑷⑸）4.某高校信息安全應(yīng)對(duì)策略某大學(xué)師生人數(shù)眾多，擁有兩萬多臺(tái)主機(jī)，上網(wǎng)用戶也在2萬人左右，而且用戶數(shù)量始終成上升趨勢(shì)。校園網(wǎng)在為廣闊師生供應(yīng)便捷,高效的學(xué)習(xí),工作環(huán)境的同時(shí)，也在寬帶管理,計(jì)費(fèi)和安全等方面存在很多問題。具體如下：（1）IP地址及用戶賬號(hào)的盜用。（2）多人運(yùn)用同一賬號(hào)。（3）網(wǎng)絡(luò)計(jì)費(fèi)管理功能的單一。（4）對(duì)帶寬資源的大量占用導(dǎo)致重要應(yīng)用無法進(jìn)行。（5）訪問權(quán)限難以限制。（6）安全問題日益突出。（7）異樣網(wǎng)絡(luò)事務(wù)的審計(jì)和追查。（8）多個(gè)校區(qū)的管理和維護(hù)。

針對(duì)這些問題，相應(yīng)的應(yīng)對(duì)策略。第一章一,填空題人員技術(shù)管理機(jī)密性完整性可用性實(shí)體安全運(yùn)行安全管理安全機(jī)密性完整性可用性名詞說明信息安全是愛護(hù)信息系統(tǒng)的硬件,軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换蛘邜阂馇址付庥銎茐?更改及泄露，保證信息系統(tǒng)能夠連續(xù),牢靠,正常地運(yùn)行。信息安全管理是通過維護(hù)信息的機(jī)密性,完整性和可用性等，來管理和愛護(hù)信息資產(chǎn)的一項(xiàng)體制，是對(duì)信息安全保障進(jìn)行指導(dǎo),規(guī)范和管理的一系列活動(dòng)和過程。論述1.在國(guó)家宏觀信息安全管理方面，主要有以下幾個(gè)方面的問題：（1）法律法規(guī)問題（2）管理問題（3）國(guó)家信息基礎(chǔ)設(shè)施建設(shè)問題在微觀信息安全管理方面的問題主要有以下幾方面：缺乏信息安全意識(shí)及明確的信息安全方針（2）重視安全技術(shù)，輕視安全管理（3）安全管理缺乏系統(tǒng)管理的思想。第二章填空題1.管理層量體裁衣2.風(fēng)險(xiǎn)工程保證3.六五二,名詞說明1.信息安全管理體系（ISMS）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完整這些目標(biāo)所用的方法和手段所構(gòu)成的體系；信息安全管理體系是信息安全管理活動(dòng)的直接結(jié)果，表示為方針,原則,目標(biāo),方法,安排,活動(dòng),程序,過程和資源的集合。2.信息安全等級(jí)愛護(hù)是指依據(jù)信息系統(tǒng)在國(guó)家安全,經(jīng)濟(jì)安全,社會(huì)穩(wěn)定,和愛護(hù)公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn),應(yīng)對(duì)風(fēng)險(xiǎn)的安全愛護(hù)要求和成本開銷等因素，將其劃分成不同的安全愛護(hù)等級(jí)，實(shí)行相應(yīng)的安全愛護(hù)措施，以保障信息和信息系統(tǒng)的安全。3.信息安全管理體系認(rèn)證，是第三方依據(jù)程序?qū)Ξa(chǎn)品,過程和服務(wù)等符合規(guī)定的要求賜予書面保證（如合格證書）。認(rèn)證的基礎(chǔ)是標(biāo)準(zhǔn)，認(rèn)證的方法包括對(duì)產(chǎn)品特性的抽樣檢驗(yàn)和對(duì)組織體系的審核及評(píng)定，認(rèn)證的證明方式是認(rèn)證證書及認(rèn)證標(biāo)記。目前，世界上普遍采納的信息安全管理體系認(rèn)證的標(biāo)準(zhǔn)是在英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)的信息安全管理委員會(huì)指導(dǎo)下制定的B57799-2:《信息安全管理體系規(guī)范》。簡(jiǎn)答1.ISMS的作用1）強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；2）促使管理層貫徹信息安全保障體系；3）對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的愛護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；4）在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；5）使組織的生意伙伴和客戶對(duì)組織充溢信念；6）假如通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有實(shí)力保障重要信息，可以提高組織的知名度及信任度。.2.答：組織在實(shí)施BS7799時(shí)，可以依據(jù)需求和實(shí)際狀況，采納以下幾種模式：(1)依據(jù)BS7799標(biāo)準(zhǔn)的要求，自我建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安全的目的；(2)依據(jù)BS7799標(biāo)準(zhǔn)的要求，自我建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安全的目的，并且通過BS7799體系認(rèn)證；(3)通過安全詢問顧問，來建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安全的目的；(4)通過安全詢問顧問，來建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安全的目的，并且通過BS7799體系認(rèn)證。3.信息和信息系統(tǒng)的安全愛護(hù)等級(jí)共分為五級(jí)：（1）第一級(jí)：自主愛護(hù)級(jí)（2）第二級(jí)：指導(dǎo)愛護(hù)級(jí)（3）第三級(jí)：監(jiān)督愛護(hù)級(jí)（4）第四級(jí)：強(qiáng)制愛護(hù)級(jí)（5）第五級(jí)：?？貝圩o(hù)級(jí)4.SSE-CMM將安全工程劃分為3個(gè)基本的過程區(qū)域，即風(fēng)險(xiǎn),工程和保證。風(fēng)險(xiǎn)：安全工程的主要目標(biāo)是降低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)就是有害事務(wù)發(fā)生的可能性，—個(gè)不確定因素發(fā)生的可能性依靠于具體狀況，這就意味著這種可能性僅能在某種限制下預(yù)料。工程：安全工程及其他項(xiàng)目一樣，是一個(gè)包括概念,設(shè)計(jì),實(shí)現(xiàn),測(cè)試,部署,運(yùn)行,維護(hù)和退出的完整過程。保證：是指安全需求得到滿意的信任程度，它是安全工程特別重要的產(chǎn)品，SSE-CMM的信任程度來自于安全工程過程可重復(fù)性的結(jié)果質(zhì)量，這種信任的基礎(chǔ)是成熟組織比不成熟組織更可能產(chǎn)生出重復(fù)結(jié)果的事實(shí)。5.建立信息安全管理體系一般要經(jīng)過下列五個(gè)基本步驟：①信息安全管理體系的策劃及打算；②信息安全管理體系文件的編制；③建立信息安全管理框架；④信息安全管理體系的運(yùn)行；⑤信息安全管理體系的審核及評(píng)審四,論述1.答:PDCA循環(huán)的四個(gè)階段的具體任務(wù)和內(nèi)容如下。（1）安排階段：制定具體工作安排，提出總的目標(biāo)。具體來講又分為以下4個(gè)步驟：分析目前現(xiàn)狀，找出存在的問題；分析產(chǎn)生問題的各種緣由以及影響因素；分析并找出管理中的主要問題；制定管理安排，確定管理要點(diǎn)。本階段的任務(wù)是依據(jù)管理中出現(xiàn)的主要問題，制定管理的措施和方案，明確管理的重點(diǎn)。（2）實(shí)施階段：依據(jù)制定的方案去執(zhí)行。本階段的任務(wù)是在管理工作中全面執(zhí)行制定的方案。（3）檢查階段：檢查實(shí)施安排的結(jié)果。本階段的任務(wù)是檢查工作，調(diào)查效果。（4）行動(dòng)階段：依據(jù)調(diào)查效果進(jìn)行處理。對(duì)已解決的問題，加以標(biāo)準(zhǔn)化；找出尚未解決的問題，轉(zhuǎn)入下一個(gè)循環(huán)中去，以便解決。2.信息安全等級(jí)愛護(hù)的實(shí)施過程包括定級(jí)階段,規(guī)劃及設(shè)計(jì)階段和實(shí)施,等級(jí)評(píng)估及改進(jìn)階段。（1）定級(jí)階段，包括兩個(gè)步驟：系統(tǒng)識(shí)別及描述；等級(jí)確定（2）規(guī)劃及設(shè)計(jì)階段，包括三個(gè)步驟：a）系統(tǒng)分域愛護(hù)框架建立b）選擇和調(diào)整安全措施c）安全規(guī)劃和方案設(shè)計(jì)（3）實(shí)施,等級(jí)評(píng)估及改進(jìn)階段，包括三個(gè)步驟：a）安全措施的實(shí)施b）評(píng)估及驗(yàn)收c）運(yùn)行監(jiān)控及改進(jìn)3.BS7799基本內(nèi)容包括信息安全政策,信息安全組織,信息資產(chǎn)分類及管理,人員信息安全,物理和環(huán)境安全,通信和運(yùn)營(yíng)管理,訪問限制,信息系統(tǒng)的開發(fā)及維護(hù),業(yè)務(wù)持續(xù)性管理,信息安全事務(wù)管理和符合性管理十一個(gè)方面。第三章一,填空題1.資產(chǎn)責(zé)任劃分分類標(biāo)識(shí)2.技術(shù)脆弱性操作脆弱性管理脆弱性3.基本風(fēng)險(xiǎn)評(píng)估具體風(fēng)險(xiǎn)評(píng)估聯(lián)合風(fēng)險(xiǎn)評(píng)估4.可操作的關(guān)鍵威脅資產(chǎn)漏洞評(píng)估5.限制費(fèi)用風(fēng)險(xiǎn)平衡6.確認(rèn)評(píng)價(jià)二,名詞說明（1）資產(chǎn)的價(jià)值：為了明確對(duì)資產(chǎn)的愛護(hù)，所對(duì)資產(chǎn)進(jìn)行的估價(jià)。（2）威脅：威脅是指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在緣由。（3）脆弱性：所謂脆弱性就是資產(chǎn)的弱點(diǎn)或薄弱點(diǎn)，這些弱點(diǎn)可能被威脅利用造成安全事務(wù)的發(fā)生，從而對(duì)資產(chǎn)造成損害。（4）安全風(fēng)險(xiǎn)：所謂安全風(fēng)險(xiǎn)，就是特定的威脅利用資產(chǎn)的一種或多種脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事務(wù)發(fā)生的可能性及后果的結(jié)合。（5）風(fēng)險(xiǎn)評(píng)估：即對(duì)信息和信息處理設(shè)施的威脅,影響（Impact，指安全事務(wù)所帶來的直接和間接損失）和脆弱性及三者發(fā)生的可能性的評(píng)估。（6）風(fēng)險(xiǎn)管理：所謂風(fēng)險(xiǎn)管理就是以可接受的費(fèi)用識(shí)別,限制,降低或消退可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。（7）安全限制：安全限制就是愛護(hù)組織資產(chǎn),防止威脅,減少脆弱性,限制安全事務(wù)影響的一系列安全實(shí)踐,過程和機(jī)制。（8）適用性聲明：所謂適用性聲明，是指對(duì)適用于組織須要的目標(biāo)和限制的評(píng)述。三,簡(jiǎn)答1.（1）依據(jù)組織業(yè)務(wù)運(yùn)作流程進(jìn)行資產(chǎn)識(shí)別，并依據(jù)估價(jià)原則對(duì)資產(chǎn)進(jìn)行估價(jià)；（2）依據(jù)資產(chǎn)所處的環(huán)境進(jìn)行威脅評(píng)估；（3）對(duì)應(yīng)每一威脅，對(duì)資產(chǎn)或組織存在的脆弱性進(jìn)行評(píng)估；（4）對(duì)已實(shí)行的安全機(jī)制進(jìn)行識(shí)別和確認(rèn)；（5）建立風(fēng)險(xiǎn)測(cè)量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則，確定風(fēng)險(xiǎn)的大小及等級(jí)。2.資產(chǎn),威脅及脆弱性之間的對(duì)應(yīng)關(guān)系包括：一項(xiàng)資產(chǎn)可能存在多個(gè)威脅；威脅的來源可能不只一個(gè)，應(yīng)從人員,環(huán)境,資產(chǎn)本身等方面加以考慮；每一威脅可能利用一個(gè)或數(shù)個(gè)脆弱性。3.大體可以分為以下幾類。技術(shù)脆弱性：系統(tǒng),程序和設(shè)備中存在的漏洞或缺陷，如結(jié)構(gòu)設(shè)計(jì)問題和編程漏洞等；操作脆弱性：軟件和系統(tǒng)在配置,操作及運(yùn)用中的缺陷，包括人員日常工作中的不良習(xí)慣,審計(jì)或備份的缺乏等；管理脆弱性：策略,程序和規(guī)章制度等方面的弱點(diǎn)。4.基本風(fēng)險(xiǎn)評(píng)估有很多優(yōu)點(diǎn)，主要是：風(fēng)險(xiǎn)評(píng)估所需資源最少，簡(jiǎn)便易實(shí)施；同樣或類似的限制能被很多信息安全管理體系所采納?；撅L(fēng)險(xiǎn)評(píng)估的缺點(diǎn)包括：安全基線水平難以設(shè)置；管理及安全相關(guān)的變更可能有困難。具體風(fēng)險(xiǎn)評(píng)估的優(yōu)點(diǎn)主要包括：可以獲得一個(gè)更精確的對(duì)安全風(fēng)險(xiǎn)的相識(shí)，從而可以更為精確地識(shí)別出反映組織安全要求的安全水平；可以從具體的風(fēng)險(xiǎn)評(píng)估中獲得額外信息，使及組織變革相關(guān)的安全管理受益。具體風(fēng)險(xiǎn)評(píng)估的缺點(diǎn)主要是，須要花費(fèi)相當(dāng)?shù)臅r(shí)間,精力和技術(shù)去獲得可行的結(jié)果。第四章一,填空題1.人員安全審查人員安全教化人員安全保密管理2.安全意識(shí)法律意識(shí)安全技能三,簡(jiǎn)答1.在我國(guó)，信息安全管理組織有4個(gè)層次：各部委信息安全管理部門,各省信息安全管理部門,各基層信息安全管理部門以及經(jīng)營(yíng)單位。其中，直接負(fù)責(zé)信息系統(tǒng)應(yīng)用和系統(tǒng)運(yùn)行業(yè)務(wù)的單位為系統(tǒng)經(jīng)營(yíng)單位，其上級(jí)單位為系統(tǒng)管理部門。2.信息安全組織的基本任務(wù)是在政府主管部門的管理指導(dǎo)下，由及系統(tǒng)有關(guān)的各方面專家，定期或適時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估，依據(jù)本單位的實(shí)際狀況和須要，確定信息系統(tǒng)的安全等級(jí)和管理總體目標(biāo)，提出相應(yīng)的對(duì)策并監(jiān)督實(shí)施，使得本單位信息系統(tǒng)的安全愛護(hù)工作能夠及信息系統(tǒng)的建設(shè),應(yīng)用和發(fā)展同步前進(jìn)。3.教化和培訓(xùn)的具體內(nèi)容和要求會(huì)因培訓(xùn)對(duì)象的不同而不同，主要包括法規(guī)教化,安全技術(shù)教化和安全意識(shí)教化等。除了以上教化和培訓(xùn)，組織管理者應(yīng)依據(jù)工作人員所從事的安全崗位不同，供應(yīng)必要的專業(yè)技能培訓(xùn)第五章一,填空題1.訪問基礎(chǔ)設(shè)施（設(shè)備）業(yè)務(wù)信息2.空間物理3.輻射泄漏傳導(dǎo)泄漏4.功率和頻率距離因素屏蔽狀況5.信息非法竊取非法運(yùn)用6.隱藏性欺瞞性7.規(guī)范化泄漏誤用8.ABC9.簽名技術(shù)身份認(rèn)證防火墻。二,名詞說明1.所謂物理安全邊界是指在信息系統(tǒng)的實(shí)體和環(huán)境這一層次上建立某種屏障，例如門禁系統(tǒng)等。三,簡(jiǎn)答1.答：信息系統(tǒng)安全界線的劃分和執(zhí)行應(yīng)考慮如下的原則和管理措施：(1)必需明確界定安全范圍；(2)信息處理設(shè)施所在的建筑物或場(chǎng)所的周邊應(yīng)當(dāng)?shù)玫酵桩?dāng)?shù)膼圩o(hù)，全部入口都應(yīng)當(dāng)實(shí)施適當(dāng)?shù)膼圩o(hù)，以防止未經(jīng)授權(quán)者進(jìn)入；(3)實(shí)體和環(huán)境愛護(hù)的范圍應(yīng)當(dāng)盡可能涵蓋信息系統(tǒng)所在的整個(gè)環(huán)境空間；(4)應(yīng)依據(jù)地方,國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測(cè)系統(tǒng)，并定期檢測(cè)；(5)組織管理的信息處理設(shè)施應(yīng)在物理上及第三方管理的設(shè)施分開。2.答：保障信息系統(tǒng)安全的環(huán)境條件有：(1)溫度和濕度；(2)空氣含塵濃度；(3)噪聲；(4)電磁干擾；(5)振動(dòng)；(6)靜電；(7)接地。3.答：信息系統(tǒng)在實(shí)際應(yīng)用中采納的防電磁泄露措施主要有：（1）選用低輻射設(shè)備（2）利用噪聲干擾源（3）實(shí)行屏蔽措施（4）距離防護(hù)（5）采納微波汲取材料4.答：設(shè)備安全管理包括(1)設(shè)備選型；(2)設(shè)備檢測(cè)；(3)設(shè)備購(gòu)置及安裝；(4)設(shè)備登記；(5)設(shè)備運(yùn)用管理；(6)設(shè)備修理管理；(7)設(shè)備儲(chǔ)存管理。5.答：對(duì)于移動(dòng)存儲(chǔ)介質(zhì)的管理應(yīng)當(dāng)考慮的策略有：（1）對(duì)從組織取走的任何可重用的介質(zhì)中的內(nèi)容，假如不再須要，應(yīng)使其不可重用；（2）假如須要并可行，對(duì)于從組織取走的全部介質(zhì)應(yīng)要求授權(quán)，全部這種移動(dòng)的記錄應(yīng)加以保持，以保持審核蹤跡；（3）要將全部介質(zhì)存儲(chǔ)在符合制造商說明的安全和保密的環(huán)境中；（4）假如存儲(chǔ)在介質(zhì)中的信息運(yùn)用時(shí)間比介質(zhì)生命周期長(zhǎng)，則要將信息存儲(chǔ)在別的地方，以避開由于介質(zhì)老化而導(dǎo)致信息丟失；（5）應(yīng)考慮對(duì)移動(dòng)存儲(chǔ)介質(zhì)的登記和移動(dòng)存儲(chǔ)運(yùn)用監(jiān)控，以減少數(shù)據(jù)丟失的機(jī)會(huì)；（6）只應(yīng)在有業(yè)務(wù)要求時(shí)，才運(yùn)用移動(dòng)存儲(chǔ)介質(zhì)。四,論述1.答：對(duì)于信息的存儲(chǔ)及處理應(yīng)當(dāng)考慮以下管理措施：（1）依據(jù)所顯示的分類級(jí)別，處理和標(biāo)識(shí)全部存儲(chǔ)介質(zhì)；（2）對(duì)未經(jīng)授權(quán)的人員進(jìn)行訪問限制；（3）維護(hù)一份對(duì)得到授權(quán)的數(shù)據(jù)接收者的正式記錄；（4）確保輸入數(shù)據(jù)的完整性，并確認(rèn)出入的數(shù)據(jù)的有效性；（5）敏感數(shù)據(jù)應(yīng)輸出到具有相應(yīng)安全級(jí)別的存儲(chǔ)介質(zhì)上；（6）存儲(chǔ)介質(zhì)應(yīng)存放在符合制造商要求的環(huán)境中；（7）數(shù)據(jù)分發(fā)量及范圍應(yīng)盡可能??；（8）清晰地標(biāo)識(shí)數(shù)據(jù)的全部拷貝，以引起授權(quán)接收者的關(guān)注；（9）定期復(fù)查信息發(fā)送表和得到授權(quán)的信息接受者的列表。第六章一,填空題1.軟件牢靠性硬件牢靠性2.系統(tǒng)網(wǎng)絡(luò)3.用戶分組管理單點(diǎn)登錄用戶認(rèn)證4.版本限制安全檢測(cè)及驗(yàn)收5.確定程序的正確性解除程序中的安全隱患6.系統(tǒng)鑒定破壞性分析二,名詞說明1.系統(tǒng)安全性驗(yàn)證就是對(duì)系統(tǒng)的安全性進(jìn)行測(cè)試驗(yàn)證，并評(píng)價(jià)其安全性所達(dá)到的程度的過程。2.破壞性分析是把一些在系統(tǒng)運(yùn)用方面具有豐富閱歷的專家和一些富有設(shè)計(jì)閱歷的專家組織起來，對(duì)被測(cè)試的系統(tǒng)進(jìn)行安全脆弱性分析，特地查找可能的弱點(diǎn)和缺點(diǎn)。四,論述1.（1）愛護(hù)最薄弱的環(huán)節(jié)：系統(tǒng)最薄弱部分往往就是最易受攻擊影響的部分，在進(jìn)行系統(tǒng)規(guī)劃時(shí)必需重點(diǎn)考慮可能存在的薄弱環(huán)節(jié)以及對(duì)薄弱環(huán)節(jié)的愛護(hù)。（2）縱深防衛(wèi)：運(yùn)用多重防衛(wèi)策略來管理風(fēng)險(xiǎn)，以便在一層防衛(wèi)不夠時(shí)，另一層防衛(wèi)將會(huì)阻擋完全的破壞。（3）愛護(hù)故障：故障的發(fā)生是很難避開的，可以避開的是及故障有關(guān)的安全性問題。因此必需通過有效的故障管理，確保及時(shí)發(fā)覺故障,分別故障，找出失效的緣由，并在可能的狀況下解決故障，避開因系統(tǒng)故障而導(dǎo)致系統(tǒng)安全問題的產(chǎn)生。（4）最小特權(quán)：指只授予主體執(zhí)行操作所必需的最小訪問權(quán)限，同時(shí)該訪問權(quán)限只準(zhǔn)許運(yùn)用所需的最少時(shí)間。其目的是防止權(quán)限濫用，是愛護(hù)系統(tǒng)安全最簡(jiǎn)單和最有效的策略。（5）分隔：將系統(tǒng)分成盡可能多的獨(dú)立單元，以便將對(duì)系統(tǒng)可能造成損害的量降到最低。第七章一,填空題1.信息安全方針具體的信息安全策略2.安全限制程序管理及動(dòng)作3.運(yùn)行狀況行為4.網(wǎng)絡(luò)安全監(jiān)控主機(jī)安全監(jiān)控5.審計(jì)數(shù)據(jù)收集審計(jì)分析6.基于規(guī)則庫(kù)基于數(shù)理統(tǒng)計(jì)基于模式匹配7.發(fā)覺問題分析問題解決問題8.主動(dòng)測(cè)量被動(dòng)測(cè)量限制信息監(jiān)視二,名詞說明1.信息安全策略從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被愛護(hù)的一個(gè)安排。2.安全審計(jì)是指對(duì)安全活動(dòng)進(jìn)行識(shí)別,記錄,存儲(chǔ)和分析，以查證是否發(fā)生安全事務(wù)的一種信息安全技術(shù)，它能夠?yàn)楣芾砣藛T供應(yīng)有關(guān)追蹤安全事務(wù)和入侵行為的有效證據(jù)，提高信息系統(tǒng)的安全管理實(shí)力。3.操作權(quán)限管理是計(jì)算機(jī)及信息系統(tǒng)安全的重要環(huán)節(jié)，合理規(guī)劃和設(shè)定信息系統(tǒng)管理和操作權(quán)限在很大程度上能夠確定整個(gè)信息系統(tǒng)的安全系數(shù)。4.操作監(jiān)控就是通過某種方式對(duì)信息系統(tǒng)狀態(tài)進(jìn)行監(jiān)控和調(diào)整，使信息系統(tǒng)能正常,高效地運(yùn)行。三,簡(jiǎn)答1.安全策略統(tǒng)一描述技術(shù),安全策略自動(dòng)翻譯技術(shù),安全策略一樣性驗(yàn)證技術(shù),安全策略發(fā)布及分發(fā)技術(shù),安全策略狀態(tài)監(jiān)控技術(shù)2.系統(tǒng)安全審計(jì)的工作原理典型的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)結(jié)構(gòu)主要由審計(jì)服務(wù)器,審計(jì)代理和數(shù)據(jù)庫(kù)組成。其中，審計(jì)代理實(shí)現(xiàn)對(duì)被審計(jì)主機(jī)的數(shù)據(jù)采集和過濾處理，將最終數(shù)據(jù)提交給本審計(jì)域內(nèi)的審計(jì)服務(wù)器，數(shù)據(jù)存儲(chǔ)于后臺(tái)數(shù)據(jù)庫(kù)。每個(gè)審計(jì)域內(nèi)的服務(wù)器對(duì)各個(gè)代理進(jìn)行統(tǒng)一管理。審計(jì)服務(wù)器通過協(xié)調(diào)各審計(jì)代理實(shí)現(xiàn)協(xié)同工作，實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)功能。3.操作權(quán)限管理可以采納集中式和分布式兩種管理方式。所謂集中式管理就是在整個(gè)信息系統(tǒng)中，由統(tǒng)一的認(rèn)證中心和特地的管理人員對(duì)信息系統(tǒng)資源和系統(tǒng)運(yùn)用權(quán)限進(jìn)行安排和安排。分布式管理就是將信息系統(tǒng)的資源依據(jù)不同的類別進(jìn)行劃分，然后依據(jù)資源類型的不同，由負(fù)責(zé)此類資源管理的部門或人員為不同的用戶劃分不同的操作權(quán)限。4.操作監(jiān)控管理的主要內(nèi)容如下：（1）拓?fù)涔芾恚唬?）故障管理；（3）配置管理；（4）性能管理。（5）服務(wù)級(jí)別管理；（6）幫忙臺(tái)。5.故障管理是對(duì)信息系統(tǒng)和信息網(wǎng)絡(luò)中的問題或故障進(jìn)行定位的過程，它包含以下三個(gè)內(nèi)容：一是發(fā)覺問題；二是分別問題，找出失效的緣由；三是解決問題（如有可能）。故障管理的基本步驟是：（1）故障診斷（2）故障重現(xiàn)（3）故障解除論述1.（1）理解組織業(yè)務(wù)特征（2）得到管理層的明確支持及承諾（3）組建安全策略制定小組（4）確定信息安全整體目標(biāo)（5）確定安全策略范圍（6）風(fēng)險(xiǎn)評(píng)估及選擇安全限制（7）起草擬定安全策略（8）評(píng)估安全策略（9）實(shí)施安全策略（10）政策的持續(xù)改進(jìn)第八章一,填空題1.誤用檢測(cè)異樣檢測(cè)二,名詞說明1.應(yīng)急響應(yīng)通常是指人們?yōu)榱藨?yīng)對(duì)各種緊急事務(wù)的發(fā)生所做的打算以及在事務(wù)發(fā)生后所實(shí)行的措施。2.安全緊急事務(wù)肯定屬于安全事務(wù)范疇。安全事務(wù)是破壞或企圖破壞信息或信息系統(tǒng)CIA屬性的行為事務(wù)?！鞍踩o急事務(wù)”更側(cè)重指那些發(fā)生很突然且會(huì)造成巨大損失的安全事務(wù)，假如不盡快速實(shí)行相應(yīng)補(bǔ)救措施，造成的損失會(huì)進(jìn)一步加重。三,簡(jiǎn)答1.信息安全可以被看作一個(gè)動(dòng)態(tài)的過程，它包括風(fēng)險(xiǎn)分析,安全防護(hù),安全檢測(cè)以及響應(yīng)等四個(gè)階段，通常被稱為以安全策略為中心的安全生命周期P-RPDR安全模型。應(yīng)急響應(yīng)在P-RPDR安全模型中屬于響應(yīng)范疇，它不僅僅是防護(hù)和檢測(cè)措施的必要補(bǔ)充，而且可以發(fā)覺安全策略的漏洞，重新進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，進(jìn)一步指導(dǎo)修訂安全策略，加強(qiáng)防護(hù),檢測(cè)和響應(yīng)措施，將系統(tǒng)調(diào)整到“最安全”的狀態(tài)。2.應(yīng)急響應(yīng)組織是應(yīng)急響應(yīng)工作的主體，目前國(guó)內(nèi)外安全事務(wù)應(yīng)急響應(yīng)組織也許可被劃分為國(guó)內(nèi)或國(guó)際間的應(yīng)急協(xié)調(diào)組織,企業(yè)或政府組織的應(yīng)急響應(yīng)組織,計(jì)算機(jī)軟件廠商供應(yīng)的應(yīng)急響應(yīng)組織和商業(yè)化的應(yīng)急響應(yīng)組織等四大類。（1）國(guó)內(nèi)或國(guó)際間的應(yīng)急響應(yīng)協(xié)調(diào)組織。通常屬于公益性應(yīng)急響應(yīng)組織，一般由政府或社會(huì)公益性組織資助，對(duì)社會(huì)全部用戶供應(yīng)公益性的應(yīng)急響應(yīng)協(xié)調(diào)服務(wù)。如，CERT/CC由美國(guó)國(guó)防部資助，中國(guó)的CCERT和CNCERT/CC。（2）企業(yè)或政府組織的應(yīng)急響應(yīng)組織。其服務(wù)對(duì)象僅限于本組織內(nèi)部的客戶群，可以供應(yīng)現(xiàn)場(chǎng)的事務(wù)處理，分發(fā)安全軟件和漏洞補(bǔ)丁，培訓(xùn)和技術(shù)支持等，另外還可以參及組織安全政策的制定和審查等。如美國(guó)聯(lián)邦的FedCIRC，及CERNET的CCERT等。（3）計(jì)算機(jī)軟件廠商供應(yīng)的應(yīng)急響應(yīng)組織。主要為本公司產(chǎn)品的安全問題供應(yīng)應(yīng)急響應(yīng)服務(wù)，同時(shí)也為公司內(nèi)部的雇員供應(yīng)安全事務(wù)處理和技術(shù)支持。例如SUN,CISCO等公司的應(yīng)急響應(yīng)組織。（4）商業(yè)化的應(yīng)急響應(yīng)組織。面對(duì)全社會(huì)供應(yīng)商業(yè)化的安全救援服務(wù)，其特點(diǎn)在于一般具有高質(zhì)量的服務(wù)保障，在突發(fā)安全事務(wù)發(fā)生時(shí)能夠及時(shí)響應(yīng)，甚至供應(yīng)7×24的服務(wù)和現(xiàn)場(chǎng)事務(wù)處理等。四,論述應(yīng)急響應(yīng)處置流程通常被劃分為打算,檢測(cè),抑制,根除,復(fù)原,報(bào)告及總結(jié)等六個(gè)階段。（1）打算階段。主要工作包括建立合理的防衛(wèi)和限制措施,建立適當(dāng)?shù)牟呗院统绦?獲得必要的資源和組建響應(yīng)隊(duì)伍等。（2）檢測(cè)階段。要做出初步的動(dòng)作和響應(yīng)，依據(jù)獲得的初步材料和分析結(jié)果，估計(jì)事務(wù)的范圍，制訂進(jìn)一步的響應(yīng)戰(zhàn)略，并且保留可能用于司法程序的證據(jù)。（3）抑制階段。目的是限制攻擊的范圍。抑制策略一般包括關(guān)閉全部的系統(tǒng),從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng),修改防火墻和路由器的過濾規(guī)則,封鎖或刪除被攻破的登錄賬號(hào),提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別,設(shè)置陷阱,關(guān)閉服務(wù)以及反擊攻擊者的系統(tǒng)等。（4）根除階段。在事務(wù)被抑制之后，通過對(duì)有關(guān)惡意代碼或行為的分析結(jié)果，找出