员工信息安全管理规定练习题
1.在公司办公区域内,如发现未佩戴胸卡或可疑人员进入,公司员工有责任和权利要求其出示胸牌或有效授权证明,如确认其是非授权进入,需立即向公司()或()汇报。
1.部门负责人
2.公司保安
3.人力资源部
4.公司行政部和部门信息专员
2.在信息系统使用规定中,明文规定员工不得使用()的软件
1.未经公司授权
2.已被授权
3.开源
4.试用版
3.公司禁止使用工作计算机扫描网络、进行网络嗅探,什么情况除外?
1.为了个人电脑安全,搜查同事电脑是否感染病毒
2.该工作属于工作职责范围
3.帮助同事
4.个人具备网管工作能力
4.计算机系统的安全保护是指保障计算机及其相关、配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以( )
1.保证计算机信息系统各项配套设施的正常运作
2.维护计算机信息系统的安全运行
3.降低计算机损耗,保持正常运营
4.保证环境对信息系统的破坏降到最低
5.操作系统TCP/IP配置为( ),非特殊要求不得私自设立IP地址
1.IT管理部指定
2.个人设定
3.自动获取
4.192.168.0.X
6.网上信息发布,以下哪些行为违反公司信息安全管理规定:
1.在个人博客上发布项目信息
2.在公开论坛上私自代表公司发布信息
3.使用私人笔记本电脑在公司上网参与网络赌博
4.以上说法都不对
7.仅有()的员工可以使用公司办公设备
1.经过授权
2.未经过授权
3.所有员工
4.行政部员工
8.操作系统计算机名必须与工作计算机资产标签上的编号保持一致。如因(),需要向IT管理部说明,获得IT管理部同意后方可使用特殊计算机名。
1.个人域帐户名
2.特殊要求不能保持一致
3.考勤打卡号
4.个人邮箱帐号
9.对于远程连接和远程访问控制必须为访问控制的账户设定密码,口令长度应遵循以下哪些规则?
1.口令的长度应不低于4位
2.口令的长度应不低于6位
3.口令应由大小写字母,数字或特殊字符组成
4.口令中只能包含数字
10.员工日常办公信息处理的设备包括( )等
1.复印机
2.传真机
3.碎纸机
4.打印机
11.在员工工作计算机管理规定中,明文规定禁止将机密信息保留在( )
1.共用存储介质
2.公用电脑上
3.个人工作用电脑上
4.申请并批准使用的移动存储介质
12.《员工信息安全管理规定》适用的范围是:( )
1.公司的计算机设备安全
2.员工个人财产和人身安全
3.公司内所有员工,和在公司安全区域内工作的外协人员和客户的计算机信息系统及信息数
据
4.客户的计算机和设备
13.公司的笔记本电脑,仅在()时被授予
1.员工申请时
2.出差时
3.员工因为工作需要
4.员工个人时
14.员工使用信息系统是,需遵照执行以下哪些规定( )
1.如发现能访问授权以外的功能,需及时汇报
给IT管理部
2.不得进行越权操作或冒用他人帐户进行操
作
3.不得故意损毁或破坏信息系统内的数据
4.不得安装或访问未授权的信息系统
15.公司的设备,仅应被使用于()
1.随时
2.公司的业务需要
3.私人事务需要
4.公司及私人业务需要
16.重要口令传送需纸质信封、手机短信等其他方式寄送,口令收到后应如何处理存放口令的原件?
1.放置保险箱中
2.及时销毁口令原件
3.交还到IT管理部
4.交还到行政部
17.在员工下班时,必须关闭计算机,以下那些属于必须关闭的设备( )
1.空调
2.工作计算机主机
3.显示器
4.日光灯
18.公司有权对员工的电子邮件进行必要的审查,其目的是()
1.保护员工的人身安全
2.保护员工的财产安全
3.保护公司的信息安全,保障公司生产经营的
顺利进行
4.保护公司的设备安全,保障公司生产经营的
顺利进行
19.当使用移动介质传递后,如果移动介质中的信息不
再需要使用,应()
1.交给事业部长保存
2.交给行政部保存
3.交给IT管理部保存
4.及时清除内容
20.员工使用公司财物必须按规定办理申请手续,未经批准,不得以任何理由,携带公司物品离开公司。凡携带公司物品进出,都必须()
1.告知部门部长即可
2.告知所参与项目的项目经理即可
3.在IT管理部办理手续
4.在门厅前台办理手续
21.使用的可移动介质,一般不得存储涉密信息,因工作需要必须使用的,需经过( )审批同意后方可使用,使用后要及时消除涉密信息.
1.行政部
2.事业部
3.IT管理部
4.项目经理
22.在使用邮件过程中,用户如发现邮箱中的文档被异
常修改或删除,则必须( )。
1.向事业部长汇报
2.向行政部汇报
3.修改密码
4.及时向IT管理部汇报
23.与公司业务有关的会议、讨论或访谈等活动结束后,对客户或第三方遗留在桌面的资料的处理方式是:
1.放在原地,保持原状态
2.及时销毁
3.先与之沟通后,按其需要进行处理
4.以上做法都不对
24.公司的设备使用者应拒绝()访问工作计算机
1.项目经理
2.普通员工
3.未经授权者
4.事业部长
25.信息系统使用规定中,明文规定禁止员工对计算机
软件进行()
1.非授权的复制
2.非授权的分发
3.非授权的使用
4.非授权的反编译
26.员工在邮箱使用中不得损害国家、公司和他人的利益,如违反国家有关法律,法规和公司有关规定,给国家、公司或他人造成损失,员工要( ).
1.不承担责任
2.承担部分责任
3.承担全部责任
4.视情况而定
27.如非特殊情况下,所有信息处理工作应该在()上
完成
1.提供打印,复印服务的店面设备
2.公司的办公设备
3.家庭设备
4.以上所有设备均可
28.《员工信息安全管理规定》制定的目的是:( )
1.保护公司的信息安全,保障公司生产经营的
顺利进行
2.规范员工行为
3.了解公司福利制度
4.学习先进的科学文化
29.员工在使用电子邮件发送时必须写明()与(),并确保收件地址正确,防止将邮件发送到错误地址造成泄密
1.发送的附件内容
2.发送时间,发件人
3.邮件主题,收件人
4.邮件大小,发送日期
30.未经()许可,禁止打开电脑机箱
1.事业部部长
2.IT管理部
3.项目经理
4.行政部
31.禁止使用( )作为项目的测试数据。
1.用户提供的数据
2.简单数据
3.文件数据及数据库数据
4.个人等真实数据
32.使用公司的设备或公司授权的设备生成的任何信息,知识产权归()所有
1.公司
2.个人
3.制造者
4.项目经理
33.员工禁止使用公司的计算机和网络进行(),违反国家有关法律、法规和公司有关规定,给国家、公司或他人造成损失,员工要承担由此产生的全部责任
1.非授权网络嗅探
2.黑客攻击
3.病毒发布
4.以上答案都正确
34.公司对重要的电子邮件发送时,必须( )。
1.立即与接收方确认是否受到
2.将邮件标记成为紧急邮件,发出即可
3.无特殊要求
4.到行政部备案
35.信息交换手段包括语音、传真,邮寄、(),()和(),()
1.邮件
2.点对点传输
3.FTP
4.文件共享
36.个人工作用机中严禁安装的软件有:
1.代理软件
2.各类点对点传输工具软件(如BT,PP点点通
等)
3.工具类软件
4.开发平台
37.工作计算机应该安装统一的防病毒软件,禁止( )
防病毒软件
1.卸载
2.停止或卸载
3.停止
4.更换
38.对于向客户提供的FTP账号的同时,向客户提供使用方法,明确FTP账号使用的责任与操作方法,对密码的管理要求客户做到()
1.定期修改密码
2.保密密码
3.初次登陆时修改密码
4.无特殊要求
39.初始口令的设置规则包括()
1.不能为空
2.等于公司域帐户名
3.等于计算机名
4.要避免与计算机名或者帐号名相同
40.以下哪些不属于可移动介质()
1.电话
2.U盘
3.笔记本电脑
4.移动硬盘
41.员工收到IT管理部分配的初始口令,必须(),以
防他人盗用。
1.即时修改初始口令
2.将口令修改成为机器域帐户名
3.将口令修改成为机器名
4.以上均可
42.在()生成的任何信息,知识产权归公司所有
1.使用公司的计算机或公司授权的其他设备
2.在职期间
3.8小时以外
4.外派期间内
43.以下那些行为违反员工工作计算机管理规定()
1.每月更换计算机密码
2.修改桌面图片
3.按项目要求安装项目软件
4.私自更改设备配置
44.员工使用的操作系统各类应用软件应按照()发布的补丁升级通报进行安全补丁升级
1.事业部长
2.项目经理
3.行政部
4.IT管理部
45.在访问互联网时,以下哪些行为违反公司信息安全管理规定:
1.控制上网时间,实现有目的的上网浏览
2.转借他人工作用机上网
3.工作时间浏览与工作无关的网页
4.在公司下载大文件
46.员工不得使用未经IT管理部授权的信息系统,如员工因项目需要临时使用特定软件时按()申请
1.《信息安全事件报告流程》
2.《资源申请流程》
3.《业务连续性流程》
4.《机器托管申请流程》
47.与工作无关的上网形式包括()
1.网上闲谈
2.私人之间的通信
3.浏览查找下载和与工作无关的信息
4.拷贝与工作无关的信息
48.以下哪些信息不得明文传送:
1.所有信息
2.绝密信息
3.机密信息
4.附件
49.电脑设备资产标签,禁止随意撕毁,如发现标签脱落应及时告知()重新补贴
1.IT管理部
2.项目经理
3.事业部长
4.行政部
50.使用者将工作计算机归还IT管理部时,( )确认其中的信息已经妥善备份保密信息已被清除。
1.本机器使用人
3.使用者必须上报部门领导
4.IT管理部
3.在防病毒恶意攻击管理规定中,明文规定禁止使用工作计算机制造()
1.应用程序
2.任何形式的恶意代码
3.工具类软件
4.图片
5.如果在非公司办公场所使用办公设备处理公司的信息资产,公司员工应(),以确保信息不被泄漏。
1.应通知IT管理部到现场
2.应通知行政部到现场
3.应视同使用公司内部办公设备处理信息资产
的方式,无额外要求
4.监控信息处理过程
6.用户如发现口令已泄露或怀疑被泄露,应( )
1.报告行政部
2.立即更改口令
3.置之不理
4.将口令重置为初始口令
7.禁止将公司机密信息及项目的任何信息提供给第三方,如有需要,须向()申请。
1.IT管理部
2.行政部
3.培训中心
4.公司高层
10.操作系统必须加入到( ),员工必须使用域账户登录操作系统进行作业,以便接受公司域的安全管理
1.公司域中
2.WORK_GROUP中
3.项目的GROUP中
4.部门的GROUP中
11.员工的邮件帐号,在入职后应由( )统一分配
1.行政部
2.事业部
3.IT管理部
18.紧急邮件发送时,以下哪些方法错误:
1.可以标记成为急件发送
2.可以多次发送
3.按照普通邮件处理即可
4.发送后与收件人确认
24.当可移动媒体存储中的信息资产达到废弃期限时,
应如何处理,以保证原始数据不可获取。
1.将设备物理销毁
2.删除,销毁,或使用特定技术覆盖移动介质
上的信息资产
3.交给行政部保存
4.交给IT管理部保存
25.《规定》所称的信息数据,指的是:
1.个人购买书籍
2.属于公司产权或由第三方授权公司使用的
电子、纸质的所有信息数据
3.因兴趣所致在家里开发的软件
4.个人存储设备内包含的非公司信息
26.在员工工作计算机管理规定中,明文规定禁止使用
工作计算机从事( )
1.学习和下载资料
2.修改本机配置上外网
3.非法和违反公司信息安全管理办法的活动
4.游戏,聊天
27.计算机信息系统的安全保护是指保障(),以维护计算机信息系统的安全运行。
1.关机器电源,整理办公环境
2.计算机及其相关、配套的设备、设施(含网络)
的安全,运行环境的安全,保障信息的安全,保障
计算机功能的正常发挥
3.通知保安锁门后
4.自行锁门离开
29.邮箱空间使用率达到80%以上时,有可能造成收发信件不正常。为节省资源和正常收发邮件,用户应()
1.定期清理过期邮件
2.定期向IT管理部申请增加邮箱空间
3.定期向行政部申请增加邮箱空间
4.定期备份
31.使用者将工作计算机归还IT管理部时,( )确认其
中的信息已经妥善备份保密信息已被清除。
1.本机器使用人
2.项目经理
3.使用者必须上报部门领导
4.IT管理部
32.当员工的工作用机有()时间不使用时,必须到IT管理部办理机器托管手续,托管前须备份好数据,IT管理部会在机器资源紧张时可以征用托管机器
1.1周以上
2.2周以上
3.一个月以上
4.一季度以上
34.下载的数据与信息必须()后才可使用
1.经过行政部授权
2.经过病毒程序扫描
3.经过压缩后
4.无须处理,直接使用
36.员工在工作中对所有涉及的机密信息,要严格按照机密信息的允许范围使用,禁止向()透露,对违反规定者,视其情节给以处罚。
1.未经授权的人
2.未经授权的组织
3.未经授权的人或组织
4.以上说法都不对
37.笔记本电脑使用人应提出()方可领用
1.申请
2.需要的时候
3.无需提出申请
4.申请并获得批准后
38.所有员工对各自工作计算机上网引起的安全事件负
直接责任,发生安全事件必须依据()报告
1.《公司监控设备管理规定》
2.《公司网站管理规定》
3.《信息安全事件管理规定》
4.《员工信息安全管理规定》
40.可移动介质使用部门为直接责任部门,使用人为直接责任人.使用时须做到( )
1.专机专用,专人负责
2.专机专用
3.IT管理部负责
4.专机专用,IT管理部负责
41.公司各个楼层和开发室采用了门卡式门禁系统,员工应注意哪些事项:
1.所有员工进出都需刷卡进出,刷卡进出原则
只允许自己进出并随手关门
2.如发现有人尾随进入,需确认尾随人员胸牌
和身份后方可允许其进入
3.如尾随人员无法出示有效授权证明时,则必
须拒绝其进入
4.以上说法都对
42.所有员工用的工作计算机是都必须由()授权使用。
1.部长,责任人,IT管理部
2.项目经理,IT管理部,IT管理部
3.IT管理部
4.公司高层,责任人,IT管理部
44.以下哪些行为不符合信息交换安全管理规定
1.在需要的时候采取特殊控制措施,保护敏感
数据免遭公开或修改
2.使用FTP服务器交换所有信息
3.在公共场合随意使用手提电话交流与工作
有关的涉密内容
4.
48.当用户首次使用邮件时应(),并应定期修改。
1.修改初始密码
2.IT管理部
3.事业部长
4.项目经理
3.员工离开工位时,应及时锁屏,防止( )
1.电脑被窃
2.突然断电
3.网络故障
4.未经授权的人访问电脑
6.《规定》所称的计算机信息系统,指的是:
1.由计算机及其相关配套设备,设施(含网络)构
成的人机系统。
2.员工个人财产和人身安全
3.按照一定的应用目标和规则对信息进行采集、
加工、存储、传输、检索等处理的人机系统
4.客户的计算机和设备
8.外出的可移动介质必须得到()审批,未经许可,禁
止将公司存储机密信息的可移动介质带出办公区
1.行政部
2.事业部
3.IT管理部
4.项目经理
13.机密信息,可通过什么方式发送?
1.直接发送
2.打印后快递发送
3.FTP传送
4.信息加密后再传送
14.公司员工()必须佩戴胸牌,如果胸牌遗失,损坏,
应及时报告(),重新补办新胸牌
1.出入门时间;行政部
2.在客人访司时间;行政部
3.上班时间;前台工作人员
4.上班期间;行政部
16.可移动介质因使用人员岗位变动、使用期满等原因交回时,原使用人员应如何处理可移动介质内的信息,以便所属部门进行检查、确认并妥善保管。
1.交给IT管理部保存
2.将可移动介质内所有信息清除干净
3.交给事业部长保存
4.交给行政部保存
25.公司各区域的门禁采用单独授权,禁止员工将个人门禁卡借给他人使用,如果员工将门禁卡遗失,需要告知()进行卡的权限注销并补发新卡。
1.部门负责人
2.项目经理
3.行政部
4.公司保安
29.当使用移动介质传递后,如果移动介质中的信息不
再需要使用,应()
1.交给事业部长保存
2.交给行政部保存
3.交给IT管理部保存
4.及时清除内容
30.使用的可移动介质,一般不得存储涉密信息,因工作需要必须使用的,需经过( )审批同意后方可使用,使用后要及时消除涉密信息.
1.行政部
2.事业部
3.IT管理部
4.项目经理
31.当员工离职时,台式机和笔记本电脑应归还
1.部门部长
2.项目经理
3.IT管理部
4.行政部
35.外来人员进入公司办公区域,需在()由接待人员申请临时授权卡,获得允许后方可进入,外来人员在公司办公区域内需由接待人员全程陪同。
1.前台
2.保安
3.行政部
4.人力资源部
41.如员工有特殊网络访问需求,必须()批准。
1.《信息安全事件报告流程》
2.公司领导
3.《业务连续性流程》
4.《机器托管申请流程》
42.外协人员、客户及第三方人员违反信息安全管理规定,依据签订的相关()进行处理。
1.《保密协议》
2.《项目开发章程》
3.《员工手册》
4.事业部长
43.员工使用信息系统是,需遵照执行以下哪些规定( )
1.如发现能访问授权以外的功能,需及时汇报
给IT管理部
2.不得进行越权操作或冒用他人帐户进行操
作
3.不得故意损毁或破坏信息系统内的数据
4.不得安装或访问未授权的信息系统
48.在电子邮件使用规定中,以下哪些行为禁止:
1.匿名发送电子邮件
2.发送与工作无关的邮件
3.非工作需要时,群发邮件
4.及时打开不明来历邮件或附件
49.禁止将存储公司涉密信息的可移动介质外借,禁止
通过可移动介质将涉密信息拷贝在( )上。
1.未经授权的计算机系统
2.外单位电脑
3.提供打印等服务的机构电脑设备
4.公司内部工作用电脑
3.()不定期组织信息安全推进组成员对各部门的软件
和计算机使用符合规定情况进行检查
1.事业部长
2.项目经理
3.行政部
4.IT管理部
4.电子邮件使用过程中,要注意以下哪些行为:
1.确保邮件客户端程序正常,如有损坏应及时予以
修复安装
2.当收到电子邮件时,要确认邮件内容可识别,并
给回复发件人,或电话通知发件人邮件是否已收到
3.如发现包含病毒的邮件,须立即通知系统管理
员,并关闭计算机
4.发送的电子邮件必须明确发件人的联系方式11.员工使用的计算机或信息系统如受到黑客和病毒攻
击时,应立即汇报给,由()统一处理
1.事业部长
2.项目经理
3.行政部
4.IT管理部
16.在电子邮件需使用附件时,需注意以下哪些事项:
1.对于附件数据量超过1M的EMAIL要将附件
压缩后方可发送
2.数据量超过4M时需要向客户确认邮箱容量
能够满足方可发送
3.对于不能满足者可建议用FTP方式
4.以上说法都不对
17.()有责任保管登录电脑的用户名和密码。该账号及密码不得泄露给第二人
1.工作计算机的使用者
2.工作计算机的责任者
3.系统管理员
4.项目经理
19.保密信息通过传真发送时,要确保收件人号码正确,并( )。
1.直接发出即可
2.先发出,后通知收件人接收
3.先通知收件人接收后,然后再发送
4.必须由行政部发送
29.携带包含有机密信息的笔记本电脑外出时,应( )
1.随身携带,妥善保管,注意防盗
2.装在密封箱中带出
3.委托他人携带和保管
4.以上答案都不对
36.员工工作计算机是指()
1.应用于员工一切事物处理的计算机系统,如台
式机、笔记本电脑及其它设备
2.无论家庭或办公室内,所有用于软件学习的电
脑
3.应用于员工日常工作、办公信息处理的计算机
系统,如台式机、笔记本电脑及其它设备
4.所有电子产品
44.以下属于《员工工作计算机管理规定》的有:
1.禁止在工作计算机上安装与工作无关的软
件
2.工作期间佩戴公司员工胸牌
3.未经IT管理部批准禁止使用者启用共享目
录
4.禁止在公司内进行与工作无关的电脑游戏、
影音等活动
46.哪些是利用网络国家明令禁止的利用各项违法活动
1.危害国家安全
2.泄漏国家机密
3.制作、查阅和复制传播有碍社会治安的信
息,淫秽色情信息
4.以上说法都不对
47.利用公共办公设备处理信息时,使用人应( )
1.待使用时再取所需信息介质
2.及时取走被处理信息介质
3.请行政部代为处理
4.请IT管理部代为处理
50.为了保证信息系统安全,员工工作计算机应不定期
进行( )工作
1.安全漏洞扫描
2.病毒检查清除
3.开箱清洗
4.病毒库升级
12.在信息传递过程中,要注意以下哪些事项:
1.注意保护双方的有关知识产权的信息,收发双方
要以双方都认同的语言和软件实现对信息的记录
与阅读
2.发送信息的语言编码应符合接收方的要求,即接
收方可以正确阅读信息
3.密码不可在邮件中传送
4.对敏感或关键信息使用双方的标记方法,确保标
记方式易于理解并且信息得到妥善保护
40.信息系统的帐户和口令由个人保管,遗忘时联系( )
进行口令重置。
1.事业部长
2.项目经理
3.行政部
4.IT管理部
47.当员工违反本规定并给公司带来负面影响者或半年内
累计2次严重过失处罚者,记为重大过失,按()规定的
重大过失进行处罚。
1.公司电脑
2.公司账号
3.个人家用电脑
4.《员工手册》
6.员工禁止使用公司的计算机和网络进行(),违反国家
有关法律、法规和公司有关规定,给国家、公司或他人造
成损失,员工要承担由此产生的全部责任
1.非授权网络嗅探
2.黑客攻击
3.病毒发布
4.以上答案都正确
50.对于远程连接和远程访问控制必须为访问控制的账
户设定密码,口令长度应遵循以下哪些规则?
1.口令的长度应不低于4位
2.口令的长度应不低于6位
3.口令应由大小写字母,数字或特殊字符组成
4.口令中只能包含数字
33.所有员工对各自工作计算机上网引起的安全事件负直接责任,发生安全事件必须依据()报告
1.《公司监控设备管理规定》
2.《公司网站管理规定》
3.《信息安全事件管理规定》
4.《员工信息安全管理规定》
计算机信息安全技术作业习题
计算机信息安全技术作业习题 习题1 1.对计算机信息系统安全构成威胁的主要因素有哪些? 2.从技术角度分析引起计算机信息系统安全问题的根本原因是什么? 3.计算机信息安全研究的主要内容有哪些? 4.什么是TEMPEST技术? 5.什么是信息的完整性、可用性、保密性? 6.安全体系结构ISO7498-2标准包括哪些内容? 7.计算机系统的安全策略内容有哪些? 8.在计算机安全系统中人、制度和技术的关系如何? 9.什么是计算机系统的可靠性?计算机可靠性包含哪些内容? 10.提高计算机系统的可靠性可以采取哪两项措施? 11.容错系统工作过程包括哪些部分?每个部分是如何工作的? 12.容错设计技术有哪些? 13.故障恢复策略有哪两种? 14.什么是恢复块方法、N-版本程序设计和防卫式程序设计? 习题 2 1.请说明研究密码学的意义以及密码学研究的内容。 2.古典代替密码体制和换位密码体制有什么特点? 3. 请比较代替密码中移位密码、单表替代密码和多表替代密码哪种方法安全性好,为 什么? 4.凯撒密码是一种单表代替密码,它的加密方法就是把明文中所有字母都用它右面的 第k个字母代替,并认为z后面又是a。加密函数可以表示为: f (a )= (a + k )Mod n 其中f( a )表示密文字母在字母表中的位置,a表示明文字母在字母表中的位置,k 是密钥,n为字母表中的字符个数。 设有明文security,密钥k=3,密钥字母表如表2.14所示,其中字母表示明文或密文字 符集,数字表示字母在密钥字母表中的位置。 z 2 (1)请写出加密后的密文。 (2)请写出该凯撒密码的解密函数。 (3)请用高级语言编写通用凯撒密码的加密/解密程序。 5.已知仿射密码的加密函数可以表示为: f(a)= (aK1+ K0)mod 26 并知道明文字母e、h对应密文字母是f,w,请计算密钥K1和K0来破译此密码(答案 K1=23,K0=17,还有其它解)。
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
《信息安全技术》习题及答案
精心整理连云港专业技术继续教育—网络信息安全总题库及答 案 信息安全技术试题及答案 1. 2. 3. 4. 5. 6. 7. 8. 9., 10. 11. 12. 1. 2. 3.对目前大量的数据备份来说,磁带是应用得最广的介质。√ 4.增量备份是备份从上次完全备份后更新的全部数据文件。× 5.容灾等级通用的国际标准SHARE78将容灾分成了六级。× 6.容灾就是数据备份。× 7.数据越重要,容灾等级越高。√ 8.容灾项目的实施过程是周而复始的。√ 9.如果系统在一段时间内没有出现问题,就可以不用再进行容灾了。×
二、单选题 1.代表了当灾难发生后,数据的恢复程度的指标是 A.RPO B.RTO C.NRO D.SDO 2.代表了当灾难发生后,数据的恢复时间的指标是 A.RPO B.RTO C.NRO D.SD0 3.容灾的目的和实质是 A.数据备份 B.心理安慰 C.保持信息系统的业务持续性 D.系统的有益补充 4.容灾项目实施过程的分析阶段,需要进行 A. C. 5. 一。 A. 6. A. C. 7. A. 8、 A 9、 A 12、 A 1. A. C. E成本 2.系统数据备份包括的对象有一一一。 A.配置文件 B.日志文件 C.用户文档 D.系统设备文件 3.容灾等级越高,则一一一。 A.业务恢复时间越短C.所需要成本越高 B.所需人员越多D.保护的数据越重要 4、数据安全备份有几种策略() A、全备份; B、增量备份; C、差异备份; D、手工备份 5、建立DisasterRecovery(容灾系统)的前提是什么()多选
A、自然灾害(地震、火灾,水灾...); B、人为灾害(错误操作、黑客攻击、病毒发作...) C、技术风险(设备失效、软件错误、电力失效...) 6、IBMTSMFastback可以支持数据库系统包括()多选 A、MSSQL; B、Oracle; C、DB2; D、MYSQL 7、IBMTSMFastback可以支持的存储介质包括() A、磁带介质; B、磁盘介质; C、磁带库; D、磁盘柜 基础安全技术 系统安全 1.× 2. (如 3. 5. 6. 7. A.本地帐号 B.域帐号 C.来宾帐号 D.局部帐号 3.计算机网络组织结构中有两种基本结构,分别是域和 A.用户组 B.工作组 C.本地组 D.全局组 4.某公司的工作时间是上午8点半至12点,下午1点至5点半,每次系统备份需要一个半小时,下列适合作为系统数据备份的时间是一一一。 A.上午8点 B.中午12点 C.下午3点 D.凌晨1点 5、.FTP(文件传输协议,FileTransferProtocol,简称HP)服务、SMTP(简单邮件传输协议,SimpleMailTransferProtocol,简称SMTP)服务、HTTP(超文本传输协
信息安全管理规定
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
《信息安全技术》复习资料
《信息安全技术》复习资料 一、单项选择题 1、信息安全是信息网络的硬件、软件及系统中的( C)受到保护,不因偶然或恶意的原因而受到破坏、更改或泄露。 A.用户 B.管理制度C.数据 D.设备 2、为了预防计算机病毒,应采取的正确措施是( B )。 A.每天都对计算机硬盘和软件进行格式化B.不用盗版软件和来历不明的软盘C.不同任何人交流 D.不玩任何计算机游戏 3、DDoS攻击破坏了( A )。 A.可用性 B.保密性 C.完整性 D.真实性 4、以下哪个不是数据恢复软件( D )。 A.FinalData B.RecoverMyFiles C.EasyRecovery D.OfficePasswordRemove 5、Windows server 2003系统的安全日志如何设置( C )。 A.事件查看器 B.服务管理器 C.本地安全策略 D.网络适配器里 6、数据备份常用的方式主要有:完全备份、增量备份和( C )。 A.逻辑备份 B.按需备份C.差分备份 D.物理备份 7、数字签名技术是公开密钥算法的一个典型的应用,在发送端,它是采用( B )对要发送的的信息进行数字签名。 A.发送者的公钥B.发送者的私钥 C.接收者的公钥 D.接收者的私钥8、数字签名技术,在接收端,采用( A )进行签名验证。 A.发送者的公钥 B.发送者的私钥 C.接收者的公钥 D.接收者的私钥9、( B )不是防火墙的功能。 A.过滤进出网络的数据包 B.保护存储数据安全 C.封堵某些禁止的访问行为 D.记录通过防火墙的信息内容和活动 10、Windows NT 和Windows 2003系统能设置为在几次无效登录后锁定帐号,这可以防止:( B )。 A.木马B.暴力攻击 C.IP欺骗 D.缓存溢出攻击 11、在以下认证方式中,最常用的认证方式是:( A )。 A.基于账户名/口令认证; B.基于摘要算法认证; C.基于PKI认证; D.基于数据库认证
员工信息安全规范
编号:SM-ZD-46667 员工信息安全规范 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
员工信息安全规范 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1)计算机信息登记与使用维护: 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置; 每位员工有责任保护公司的计算机资源和设备,以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成;
例如某台计算机名为SSSS_100201,SSSS为地区AD 域名,100为地区编号,201代表该地区第201个账户。 2)必须在所有个人计算机上激活下列安全控制: 所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。 3)当员工离开办公室或工作区域时: 必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域; 妥善保管所有包含公司涉密内容的文件,如锁进文件柜。 4)防范计算机病毒和其他有害代码: 每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件; 员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一
信息安全技术试题答案A
信息安全技术教程习题及答案 第一章概述 一、判断题 1。信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2。计算机场地可以选择在公共区域人流量比较大的地方。× 3。计算机场地可以选择在化工厂生产车间附近.× 4。计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。× 6。只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。× 7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。√ 8. 屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播.√ 9。屏蔽室的拼接、焊接工艺对电磁防护没有影响.× 10. 由于传输的内容不同,电力线可以与网络线同槽铺设。× 11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√ 12。新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 13.TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器 等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√ 14. 机房内的环境对粉尘含量没有要求.× 15. 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信 息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。√ 16。有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 17. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 二、单选题 1. 以下不符合防静电要求的是 A。穿合适的防静电衣服和防静电鞋 B. 在机房内直接更衣梳理 C。用表面光滑平整的办公家具 D. 经常用湿拖布拖地 2。布置电子信息系统信号线缆的路由走向时,以下做法错误的是 A. 可以随意弯折 B. 转弯时,弯曲半径应大于导线直径的 10 倍 C。尽量直线、平整 D. 尽量减小由线缆自身形成的感应环路面积 3。对电磁兼容性 (Electromagnetic Compatibility,简称 EMC)标准的描述正确的是 A. 同一个国家的是恒定不变的 B. 不是强制的 C。各个国家不相同 D. 以上均错误 4。物理安全的管理应做到 A. 所有相关人员都必须进行相应的培训,明确个人工作职责 B。制定严格的值班和考勤制度,安排人员定期检查各种设备的运行情况 C。在重要场所的迸出口安装监视器,并对进出情况进行录像
信息安全管理制度19215
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
信息安全技术试题答案(全)
信息安全技术教程习题及答案 信息安全试题(1/共3) 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。B方收到密文的解密方案是___。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’)) 5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务
十八、信息安全管理制度
十八、信息安全管理制度 一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用,未经授权不得使用。 5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
二、网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许,不得擅自修改计算机中与网络有关的设置。 4、未经允许,不得私自添加、删除与医院网络有关的软件。 5、未经允许,不得进入医院网络或者使用医院网络资源。 6、未经允许,不得对医院网络功能进行删除、修改或者增加。 7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。 三、网络硬件的管理 网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造
信息安全技术 重庆大学 练习题库及答案
4、 ____________指保证信息不被非授权访问,即使非授权用户得到信息也无法知晓信息的内容,因而不能使用。 6、 哈希函数是______密码体制,从一个明文到密文的不可逆的映射,只有只有加密过程,没有解密过程。 7、 ________是美国国家标准局公布的第一个数据加密标准。 8、计算机病毒的工作机制有________、__________、__________。 10、古典密码学体制对现代密码学的研究和学习具有十分重要的意义,实现古典密码体制的两种基本方法 ________和________仍是构造现代对称分组密码的核心方式。 12、蠕虫是通过_________进行传播的。
14、当攻击者掌握一些主机的IP地址后,下一步就是要找出目标网段的____________或者子网掩码。 15、 ________漏洞是指由于字符串处理函数(gets,strcpy等)没有对数组的越界加以监视和限制,结果覆盖了 16、 ____________是主体对客体的操作行为集和约束条件集, 简记为KS。 17、密钥管理的主要内容包括密钥的生成、分配、使用、存储、备份、恢复和销毁。密钥生成形式有两种:一种 19、信息安全的基本目标应该是保护信息的机密性、____________、可用性、可控性和不可抵赖性。 20、访问控制对机密性、_______起直接的作用。 21、根据使用密码体制的不同可将数字签名分为基于对称密码体制的数字签名和基于公钥密码体制的数字签名,根据其实现目的的不同,一般又可将其分为___________和___________ 。 22、 RBAC中的基本元素包括:用户、______和权限。 23、 Hash函数是可接受________ 数据输入,并生成________数据输出的函数。
公司信息安全管理办法-XX公司
公司信息安全管理办法 一、目的 为了保护区域的整体利益和长远利益不受侵害,需要加强对公司内部信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,使公司长期、稳定、高效地发展,适应激烈的市场竞争,特制定本管理办法。二、适用范围 本管理办法适用于公司所有员工。 三、职责 由于区域的信息贯穿在区域建设及经营活动的全过程和各个环节,所以信息安全的管理,除了领导重视而且需全员参与,各个项目/部门人员都要严格遵守公司信息管理办法规定的内容。 四、信息分类 区域信息包括但不局限于以下内容 1.公司所有内部系统账号密码安全(如: ERP、NC……等)。 2.公司员工内部沟通QQ群、微信群。 3.公司文件(包括所有电子版文件和纸质版文件。如:内部公文、会议资料、设计图纸、设计方案、合同、管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及标书内容……一切有关于公司利益的文件)。 五、管理要求 公司内部系统账号密码管理要求: 1.公司所有内部系统的个人账号密码不得随意给他人,如出现问题由账号本人负责。 2.员工离职时,人事部应该第一时间发起账号注销流程或通知离职员工所有项目/部门的行政管理人员发起账号注销流程,拒绝出现离职员工还存在能使用公
司内部系统账号密码权限。 公司员工内部沟通QQ群、微信群管理要求: 1.未经群管理人员同意不得随意邀请人进入沟通平台,如需要邀请必需经群管理人员同意。 2.进入QQ群、微信群的员工必需更改群名称,群名称格式为:项目/部门-姓名(如:设计部-张某某)。 3.员工离职时,人事部应该第一时间通知群管理人员将离职员工移出群。 公司文件安全管理规范要求: 1.员工必须具有保密意识,做到不该问的绝对不问,不该说的绝对不说,不该看的绝对不看。 2.严禁在公共场合、公用电话及网络公众平台上交谈、传递保密事项,不准在私人交往中泄露公司秘密。 3.员工发现公司秘密已经泄露或可能泄露时,应立即采取补救措施并及时报告区域项目/部门第一负责人,区域项目/部门第一负责人应立即作出相应处理。 4.区域或区域各项目/部门在开会过程中,如未经会议组织人员同意,不得随意拍照、摄像,包括相机、摄像机、手机等相关设备,一经发现,严厉惩罚当事人。 5.公司文件不得随意给无关人员查阅、复制或借出,特别是具有保密性的文件。 6.对草稿、初稿或过期文件不能随意乱丢,如无保留价值应及时销毁,必须同定稿一样对待,按保密原则和要求管理。 7.具有保密性的文件,区域各项目/部门需要指定人员做好保密工作,不能随意堆放及存放。 XX公司
信息安全技术使用教程第二版课后习题
信息安全技术 使用教程(第版)课后习题 第一章(信息安全概述) 习题一、 1、填空题 (1)信息安全是指秘密信息在产生、传输、使用、和存储的过程中不被泄露或破坏(2)信息安全的4个方面是;保密性、完整性、可用性、和不可否认性。 (3)信息安全主要包括系统安全和数据安全俩个方面。 (4)一个完整的信息安全技术体系结构由物理安全技术、基础安全技术、系统安全技术、网络完全技术及应用安全技术组成。 (5)一个常见的网络安全模型是PDRR模型。 (6)木桶原则是指对信息均衡、全面的进行保护。木桶的最大容积取决于最短的一块木板。 2、思考与解答题: (1)简述信息安全技术面临的威胁。 (2)简述PDRR网络安全模型的工作过程。 第二章(物理安全技术) 习题二 1、填空题 (1)物理安全又称为实体安全、是保护计算机设备、设施(网络及通信线路)免遭地震、火灾、水灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。 (2)物理安全包括环境安全、设备安全电源系统安全和通信线路安全、 (3)计算机的电子元器件、芯片都密封在机箱中,有的芯片工作时表面温非常高,一般电子元器件的工作温度在0---45摄氏度。 (4)在放置计算机的房间内,湿度最好保持在40%--60% 之间,湿度过高或过低对计算机的可靠性与安全性都有影响。 2、思考与解答: (1)为计算机系统提供合适的安全环境的目的是什么。 (2)简述计算机机房的外部环境要求、内部环境要求。 第三章(基础安全技术) 习题三、 1、填空题 (1)一般来说,信息安全主要包括系统安全和数据安全俩个方面。 (2)面膜技术是保障信息安全的核心技术、它以很小的代价,对信息提供一种强有力的安全保护。 (3)加密使用某种方法将文字转换成不能直接阅读的形式的过程。 (4)加密一般分为3类,是对称加密、非对称加密和单向散列函数。 (5)从密码学的发展历程来看,共经历了古典密码、对称密钥密码和公开密钥密码。(6)对称加密算法又称为传统密码算法或单密钥算法,它采用了对称密码编码技术,其特点是文件加密和加密使用相同的密钥。 (7)对称加密算法的安全性依赖于密钥的安全性。
2019信息网络安全专业技术人员继续教育(信息安全技术)习题及答案
信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。(对) 2.对称密码体制的特征是:加密密钥和解密密钥完全相同,或者一个密钥很容易从另ー个密钥中导出。(对) 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信困难的问题。(错) 4.公钥密码体制算法用一个密钥进行加密,!而用另一个不同但是有关的密钥进行解密。(对) 5.公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型(错) 6.Rabin体制是基于大整数因子分解问题的,是公钥系统最具典型意义的方法。(错) 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道的限制,可实现数字签名和认证的优点。(错) 8.国密算法包括 SM2,SM3和SM4. (对)
9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。(对) 10.Hash函数的输人可以是任意大小的消息,其输出是一个长度随输入变化的消息摘要。(错) 11.数字签名要求签名只能由签名者自己产生。(对) 12、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。(错) 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行访问控制,而不是基于主体的身份。(对) 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的,有两个不同密钥 D.是对称的,使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )
员工信息安全管理规定练习题
1.在公司办公区域内,如发现未佩戴胸卡或可疑人员进入,公司员工有责任和权利要求其出示胸牌或有效授权证明,如确认其是非授权进入,需立即向公司()或()汇报。 1.部门负责人 2.公司保安 3.人力资源部 4.公司行政部和部门信息专员 2.在信息系统使用规定中,明文规定员工不得使用()的软件 1.未经公司授权 2.已被授权 3.开源 4.试用版 3.公司禁止使用工作计算机扫描网络、进行网络嗅探,什么情况除外? 1.为了个人电脑安全,搜查同事电脑是否感染病毒 2.该工作属于工作职责范围 3.帮助同事 4.个人具备网管工作能力 4.计算机系统的安全保护是指保障计算机及其相关、配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以( ) 1.保证计算机信息系统各项配套设施的正常运作 2.维护计算机信息系统的安全运行 3.降低计算机损耗,保持正常运营 4.保证环境对信息系统的破坏降到最低 5.操作系统TCP/IP配置为( ),非特殊要求不得私自设立IP地址 1.IT管理部指定 2.个人设定 3.自动获取 4.192.168.0.X 6.网上信息发布,以下哪些行为违反公司信息安全管理规定: 1.在个人博客上发布项目信息 2.在公开论坛上私自代表公司发布信息 3.使用私人笔记本电脑在公司上网参与网络赌博 4.以上说法都不对
7.仅有()的员工可以使用公司办公设备 1.经过授权 2.未经过授权 3.所有员工 4.行政部员工 8.操作系统计算机名必须与工作计算机资产标签上的编号保持一致。如因(),需要向IT管理部说明,获得IT管理部同意后方可使用特殊计算机名。 1.个人域帐户名 2.特殊要求不能保持一致 3.考勤打卡号 4.个人邮箱帐号 9.对于远程连接和远程访问控制必须为访问控制的账户设定密码,口令长度应遵循以下哪些规则? 1.口令的长度应不低于4位 2.口令的长度应不低于6位 3.口令应由大小写字母,数字或特殊字符组成 4.口令中只能包含数字 10.员工日常办公信息处理的设备包括( )等 1.复印机 2.传真机 3.碎纸机 4.打印机 11.在员工工作计算机管理规定中,明文规定禁止将机密信息保留在( ) 1.共用存储介质 2.公用电脑上 3.个人工作用电脑上 4.申请并批准使用的移动存储介质 12.《员工信息安全管理规定》适用的范围是:( ) 1.公司的计算机设备安全 2.员工个人财产和人身安全 3.公司内所有员工,和在公司安全区域内工作的外协人员和客户的计算机信息系统及信息数 据 4.客户的计算机和设备
信息安全管理制度
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
信息安全管理练习题
-2014 信息安全管理练习题判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是( C )的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是( D )。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是( B )。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国( A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是( A )。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为( A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范 应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施,
信息安全管理办法
信息安全管理办法 第一章总则 第一条为保障公司信息安全,切实推行安全管理,积极预防风险,完善控制措施,制定本办法。 第二条本办法适用于公司各职能部门、分公司信息安全管理。 第二章主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。 第四条IT 中心工作职责 1、IT 中心为公司信息安全管理主管部门。 2、负责公司信息安全管理策略制订与落实。 3、负责起草信息安全规章制度,承担信息安全保障建设、 信息安全日常管理职能,提供信息安全技术保障。 4、负责各中心、分公司、专(兼)职信息管理员信息安全 指导、培训。 第五条各中心、分公司 1、指定专人担任专职或兼职信息管理员,负责协助IT 中 心开展信息安全实施工作,并提供部门内部技术支持和网络管理工作。 2、负责落实相关信息安全管理工作在部门内的实施。
3、负责业务操作层的相关信息安全保障。 4、负责做好本部门人员的信息安全教育工作,提高人员的 信息安全意识和技能水平。 第三章机房安全管理 第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。 第四章网络安全管理 第七条公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。 第八条新增网络设备入网时,网络管理员应按照《网络 设备安全配臵检查表》进行检查(见附录A),经信息安全管理员确认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。 第九条网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,信息安全管理员全程参与,确保网络系统安全。 第十条当网络设备配臵发生变更时,须及时对网络设备配臵文件进行备份;网络设备配臵每三个月进行全备份,网络设备配臵文件由网络管理员保管。 第十一条网络管理员应建立网络技术档案,技术文档包括拓扑结构(含分支网络)、网络设备配臵等相关文档,网 络技术文档由网络管理员保管。
信息安全管理制度
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
计算机三级信息安全技术练习题第三套
TCSEC将计算机系统的安全划分为4个等级、7个级别。D类安全等级:D类安全等级只包括D1一个级别。D1的安全等级最低。C类安全等级:该类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力,C类安全等级可划分为C1和C2两类。B类安全等级:B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。A类安全等级:A系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。 《可信计算机评估准则》(TCSEC,也称为橘皮书)将计算机系统的安全划分为()。(四个等级七个级别)除了纵深防御这个核心思想之外,IATF还提出了其他一些信息安全原则,这些原则对指导我们建立信息安全保障体系都具有非常重大的意义。(1)保护多个位置。包括保护网络和基础设施、区域边界、计算环境等。(2)分层防御。如果说上一个原则是横向防御,那么这一原则就是纵向防御,这也是纵深防御思想的一个具体体现。(3)安全强健性。不同的信息对于组织有不同的价值,该信息丢失或破坏所产生的后果对组织也有不同的影响。所以对信息系统内每一个信息安全组件设置的安全强健性(即强度和保障),取决于被保护信息的价值以及所遭受的威胁程度。 IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。(本地计算环境、区域边界、网络及基础设施、支撑性基础设施) 下列关于分组密码工作模式的说法中,错误的是()。 A) ECB模式是分组密码的基本工作模式 B) CBC模式的初始向量需要保密,它必须以密文形式与消息一起传送 C) 与ECB模式一样,CBC模式也要求数据的长度是密码分组长度的整数倍 D) OFB模式将一个分组密码转换为一个序列密码,具有普通序列密码的优缺点 在CBC模式中,每一分组的加密都依赖于所有前面的分组。在处理第一个明文分组时,与一个初始向量(IV)组进行异或运算。IV不需要保密,它可以明文形式与密文一起传送。 下列关于非对称密码的说法中,错误的是()。 A) 基于难解问题设计密码是非对称密码设计的主要思想 B) 公开密钥密码易于实现数字签名 C) 公开密钥密码的优点在于从根本上克服了对称密码密钥分配上的困难 D) 公开密钥密码安全性高,与对称密码相比,更加适合于数据加密 在应用中,通常采用对称密码体制实现数据加密、公钥密码体制实现密钥管理的混合加密机制。 下列方法中,不能用于身份认证的是()。 A) 静态密码B) 动态口令C) USB KEY认证D) AC证书 AC授权证书,表明拥有该证书的用户有相应的权利。静态密码、动态口令和USB KEY认证可以作为身份认证,AC证书不可以。 消息认证:消息加密、消息认证码、哈希函数 身份认证:静态密码方式、动态口令认证、USB Key认证、生物识别技术 下列关于自主访问控制的说法中,错误的是()。 A) 任何访问控制策略最终均可以被模型化为访问矩阵形式 B) 访问矩阵中的每列表示一个主体,每一行则表示一个受保护的客体 C) 系统中访问控制矩阵本身通常不被完整地存储起来,因为矩阵中的许多元素常常为空 D) 自主访问控制模型的实现机制就是通过访问控制矩阵实施,而具体的实现办法,则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作 BLP模型基于强制访问控制系统,以敏感度来划分资源的安全级别。Biba访问控制模型对数据提供了分级别的完整性保证,类似于BLP保密模型,也使用强制访问控制系统。ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他可以访问的区域,必须自动拒绝来自其它与用户的所选区域的利益冲突区域的访问,同时包括了强制访问控制盒自主访问控制的属性。RBAC模型是20世纪90年代研究出来的一种新模型。这种模型的基本概念是把许可权与角色联系在一起,用户通过充当合适角色的成员而获得该角色的许可权。 下列选项中,不属于强制访问控制模型的是()。 A) BLP B) Biba C) Chinese Wall D) RBAC Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机/ 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。