信息系统安全与保密(大作业参考资料)

2014春《信息系统安全》作业1．针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是（D ）防火墙的特点。

A.包过滤型B.应用级网关型C.复合型防火墙D.代理服务型2．强的主机级身份鉴别，基于共享密钥，公钥的身份鉴别，以及有限的用户身份鉴别的VPN协议是（D ）。

A.PPTPB.L2TPC.GRED.IPSec3．防火墙能够B。

A.防范恶意的知情者B.防范通过它的恶意连接C.防备新的网络安全问题D.完全防止传送己被病毒感染的软件和文件4．信息安全的发展大致经历了三个发展阶段，目前是处于( B )阶段。

A.通信安全B.信息保障C.计算机安全D.网络安全5．哪一种系统提供信息或者功能的重建机制（C ）。

A.备份B.保密性C.故障还原D.认证6．下列密码系统分类不正确的是（D ）。

A.非对称型密码体制和对称型密码体制B.单向函数密码体制和双向函数密码体制C.分组密码体制和序列密码体制D.不可逆密码体制和双钥密码体制7．身份认证的主要目标包括：确保交易者是交易者本人、避免与超过权限的交易者进行交易和（B ）。

A.可信性B.访问控制C.完整性D.保密性8．对于现代密码破解，（D ）是最常用的方法。

A.攻破算法B.监听截获C.心理猜测D.暴力破解9．数字信封是用来解决（ C ）。

A.公钥分发问题B.私钥分发问题C.对称密钥分发问题D.时间戳10．第10题目前最安全的身份认证机制是（A ）。

A.一次口令机制B.双因素法C.基于智能卡的用户身份认证D.身份认证的单因素法11．通常使用（D ）协议用来接收E-MAIL。

A.IGMPB.ICMPC.SNMPD.POP12．一个数据包过滤系统被设计成允许你要求服务的数据包进入，而过滤掉不必要的服务。

这属于（ A ）基本原则。

A.最小特权B.阻塞点C.失效保护状态D.防御多样化13．审核之所以重要是因为( B ) 。

A.它们提高生产率B.它们提供过去事件的记录C.它们不受未授权修改的破坏D.它们清除机构的所有职责14．物理安全控制、文件访问控制和文件加密与（B ）相关联。

公司信息系统安全及保密管理制度第一章总则第一条为建设好公司信息化系统，保护公司信息资源，保证公司计算机网络信息系统安全，为公司安全顺利生产运行保驾护航，结合公司实际情况，特制定本制度。

第二条公司信息安全管理体系分为三级：运营改善部为信息安全管理中心，是第一级；各部门为分管单位，是第二级；各终端用户是第三级。

第三条本办法适用于公司各单位和接入公司局域网的相关单位和个人。

第二章职责分工第四条公司运营改善部负责公司范围内的信息安全系统的统一管理，结合总公司的要求组织部署公司信息安全系统并承担日常管理工作。

负责联络和组织安全管理人员、技术专家和安全产品厂家代表解决特殊或紧急情况。

（一）组织制定企业信息化建设规划中有关信息安全的内容。

（二）组织落实公司信息系统安全等级保护和信息安全风险评估等工作。

（三）负责企业专网内各信息系统及用户访问互联网的安全监督、访问控制策略的制定、用户分类及访问权限的审批等。

（四）负责公司各单位接入企业专网的各项信息化软硬件设施、应用系统及安全环境的检查。

（五）根据企业管理的要求，确定要害信息系统及相关设备；负责企业专网系统各项安全策略的制定及权限的审批。

（六）负责检查督促使用公司企业专网的各单位建立信息系统安全管理组织，明确组织的负责人和管理的责任人。

（七）负责组织对公司企业专网范围内的信息系统安全情况进行检查，落实有关信息安全方面的法律法规，督促开展对于信息安全隐患的整改工作。

（八）处理违反公司信息系统安全管理有关规定的事件和行为，配合公安机关及保卫部门查处危害企业网络和信息系统安全的违法犯罪案件。

（九）履行法律、法规、制度规定的其他有关网络信息系统安全保护方面的管理职责。

（十）配合上级单位的全局安全策略的实施工作；并结合公司的实际情况实施安全策略，审批相应的管理权限、制定相应的管理策略。

第五条公司各单位负责本单位信息化设备及系统的信息安全管理工作，职责为：（一）教育职工遵守内网信息系统安全制度的各项规定。

第一作业单选题（总分30.00）1.信息安全的发展历程经历了四个阶段，目前处于（）（2.00分）A. 计算机安全阶段B. 信息技术安全阶段C. 信息保障阶段D. 通信保密阶段2.（）不是信息失真的原因（2.00分）A. 信息在编码、译码和传递过程中受到的干扰B. 信息在理解上的偏差C. 信宿（信箱）接受信息出现偏差D. 信源提供的信息不完全、不准确3.计算机网络安全是指（）。

（2.00分）A. 网络中信息安全B. 网络的财产安全C. 网络中设备设置环境的安全D. 网络使用者的安全4.网络监听是（）（2.00分）A. 监视一个网站的发展方向B. 监视PC系统的运行情况C. 远程观察一个用户的计算机D. 监视网络状态、传输的数据流5.从网上下载Nmap扫描软件后，如果要使用，第一步是（）（2.00分）A. 直接在运行栏输入Nmap即可B. 定位到Nmap所在位置C. 双击该软件即可D. 进入DOS命令窗口6.信息风险主要是指（）（2.00分）A. 信息访问安全B. 信息存储安全C. 信息传输安全D. 以上都对7.能够在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测方式是（）。

（2.00分）A. 基于系统的入侵检测方式B. 基于文件的入侵检测方式C. 基于主机的入侵检测方式D. 基于网络的入侵检测方式8.黑客搭线窃听属于（）风险（2.00分）A. 信息存储安全B. 信息访问安全C. 信息传输安全D. 以上都不正确9.网络攻击发展趋势（）（2.00分）A. 黑客攻击B. 黑客技术与网络病毒日益融合C. 攻击工具日益先进D. 病毒攻击10.DDOS破坏了（）（2.00分）A. 可用性B. 完整性C. 真实性D. 保密性11.目录级安全控制技术中针对用户有8种权限，以下权限不属于其中的有（）（2.00分）A. 删除权限B. 读权限C. 隐藏文件D. 写权限12.（）是用来保证硬件和软件本身的安全的（2.00分）A. 运行安全B. 系统安全C. 实体安全D. 信息安全13.以下（ ）不是保证网络安全的要素（2.00分）A. 数据交换的完整性B. 数据存储的唯一性C. 发送信息的不可否认性D. 信息的保密性14.一般中木马的主机上被安装了木马的（）（2.00分）A. 服务器和客服端B. 客服端C. 服务器端D. 均错15. 在使用破解了系统的管理员密码，使用（）格式可以执行被破解机器上的CMD.EXE 文件（2.00分）A. psexec.exe ip u username -p password cmd.exeB. psexec.exe \\ip -u username -p password cmd.exeC. psexec.exe ip p username -u password cmdD. psexec.exe \\ip -u username -p password cmd多选题（总分50.00）1.关于X-SCAN 说话正确的有（）（5.00分）A. 需要winCap 的支持B. 扫描后能生成报告C. 主要是用于扫描漏洞D. 也能进行弱密码破解2.下面（）属于网络监听软件（5.00分）A. snifferB. wiresharkC. 灰鸽子D. smbcrack3.根据控制手段和具体目的的不同，访问控制技术有（）（5.00分）A. 网络权限控制B. 属性安全控制C. 目录级安全控制D. 入网访问控制4.网络安全防护体系架构包含（）（5.00分）A. 网络安全评估B. 安全防护C. 网络管理D. 网络安全服务5.关于密码破解说法正确的有（）（5.00分）A. 密码破解一般很容易B. 暴力破解密码的成功率高，但效率底C. 破解通俗讲就是计算机猜密码D. 字典式密码破解针对有规律的密码6.使用wireshark 可以轻易监听到局域网内（）的明文密码（5.00分）A. HTTPSB. HTTPC. POPD. FTP7.入侵检测分为两种，分别是（）（5.00分）A. NIDSB. IDSC. HIDSD. FireWall8.目录级安全控制技术中针对用户有8种权限，以下权限属于其中的有（）（5.00分）A. 隐藏文件B. 读权限C. 写权限D. 删除权限9.为了自己的网银密码不被泄漏，以下做法正确的是（）（5.00分）A. 下载防钓鱼软件B. 登录时使用加密方式C. 不在网吧使用D. 让网页记住密码10.访问控制涉及的技术比较广，技术实现产品种类很多，以下属于访问控制产品的是（）（5.00分）A. 防火墙B. 专用访问控制服务器C. 交换机D. 路由器判断题（总分20.00）1. 不上非熟识的网站能减少中毒机率。

您的本次作业分数为：89分单选题1.【第11、12章】通常为保证信息处理对象的认证性采用的手段是(____)。

• A 信息加密和解密• B 信息隐匿• C 数字签名和身份认证技术• D 数字水印•单选题2.【第11、12章】计算机病毒最重要的特征是(____)。

• A 隐蔽性• B 传染性• C 潜伏性• D 表现性•单选题3.【第11、12章】不能防止计算机感染病毒的措施是(____)。

• A 定时备份重要文件• B 经常更新操作系统• C 除非确切知道附件内容，否则不要打开电子邮件附件• D 重要部门的计算机尽量专机专用，与外界隔绝•单选题4.【第11、12章】某病毒利用RPCDCOM缓冲区溢出漏洞进行传播，病毒运行后，在%System%文件夹下生成自身的拷贝nvchip4、exe，添加注册表项，使得自身能够在系统启动时自动运行。

通过以上描述可以判断这种病毒的类型为(____)。

• A 文件型病毒• B 宏病毒• C 网络蠕虫病毒• D 特洛伊木马病毒•单选题5.【第11、12章】计算机病毒的实时监控属于(____)类的技术措施。

• A 保护• B 检测• C 响应• D 恢复•单选题6.【第11、12章】安全扫描可以(____)。

• A 弥补由于认证机制薄弱带来的问题• B 弥补由于协议本身而产生的问题• C 弥补防火墙对内网安全威胁检测不足的问题• D 扫描检测所有的数据包攻击，分析所有的数据流•单选题7.【第11、12章】在目前的信息网络中，(____)病毒是最主要的病毒类型。

• A 引导型• B 文件型• C 网络蠕虫• D 木马型•单选题8.【第11、12章】传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了(____)等重要网络资源。

• A 网络带宽• B 数据包• C 防火墙• D LINUX•单选题9.【第11、12章】相对于现有杀毒软件在终端系统中提供保护不同，(____)在内外网络边界处提供更加主动和积极的病毒保护。

信息系统安全保密制度范文为了保障信息系统的安全和秘密性，维护公司的利益和客户信息的安全，公司制定了以下信息系统安全保密制度：1. 信息系统安全责任1.1 公司全体员工都有责任保护信息系统的安全和保密性。

1.2 公司的信息系统管理员有义务监督和管理信息系统的安全运行，并及时采取措施防止威胁和攻击。

1.3 公司的管理层有权制定并执行信息系统的安全政策和控制措施，并监督员工的遵守情况。

2. 信息系统安全政策2.1 公司将建立适应最新技术和法律法规的信息系统安全政策，并定期进行评估和更新。

2.2 公司将制定和实施安全控制措施，包括限制访问权限、加密敏感数据、备份关键数据等。

2.3 公司将加强网络安全防范，包括建立防火墙、加密通信、监控系统等。

2.4 公司将定期开展安全风险评估和漏洞扫描，修复发现的漏洞和安全风险。

3. 信息系统资产保护3.1 公司将建立信息系统资产清单，并分级和分类保护。

3.2 公司将为信息系统资产配置足够的安全保护设备和软件，并及时更新和修复漏洞。

4. 信息系统用户管理4.1 公司将为员工和外部用户分配不同的账号和权限，严格控制访问权限。

4.2 公司将定期对员工和外部用户的账号进行审计和清理，及时回收离职员工的账号。

5. 信息系统安全事件处理5.1 公司将建立并实施信息系统安全事件处理机制，包括记录和报告安全事件、追踪问题、恢复系统等。

5.2 公司将定期对信息系统安全事件进行演练和测试，提高应急响应的能力。

6. 信息系统安全培训和意识6.1 公司将为员工提供必要的信息系统安全培训，增强其安全意识和技能。

6.2 公司将定期组织信息系统安全意识教育活动，提高员工的安全意识。

7. 信息系统安全监督和追责7.1 公司将建立信息系统安全监督机制，对员工和外部用户的违规行为进行监控和追责。

7.2 公司将对违反信息系统安全规定的员工和外部用户进行纪律处分，并依法处理。

此为公司的信息系统安全保密制度范文，具体规定和措施还需要根据公司实际情况进行制定和完善。

信息安全管理与防范作业指导书第1章信息安全概述 (4)1.1 信息安全的重要性 (4)1.2 信息安全的层次与分类 (4)1.3 信息安全的基本要素 (4)第2章信息安全风险管理 (5)2.1 风险识别 (5)2.1.1 资产识别 (5)2.1.2 威胁识别 (5)2.1.3 脆弱性识别 (5)2.2 风险评估 (5)2.2.1 风险分析 (5)2.2.2 风险量化 (5)2.2.3 风险等级划分 (5)2.3 风险处理与控制 (5)2.3.1 风险规避 (6)2.3.2 风险降低 (6)2.3.3 风险接受 (6)2.3.4 风险转移 (6)2.3.5 风险监控与应对 (6)第3章物理安全防范 (6)3.1 物理安全的重要性 (6)3.2 安全区域规划与管理 (6)3.2.1 安全区域规划 (6)3.2.2 安全区域管理 (7)3.3 设备安全与防护 (7)3.3.1 设备保护 (7)3.3.2 数据保护 (7)3.3.3 环境保护 (7)第4章网络安全防范 (7)4.1 网络安全概述 (7)4.2 防火墙技术 (8)4.2.1 防火墙的定义与作用 (8)4.2.2 防火墙的分类 (8)4.2.3 防火墙的配置与管理 (8)4.3 入侵检测与防御 (8)4.3.1 入侵检测系统（IDS） (8)4.3.2 入侵防御系统（IPS） (8)4.3.3 入侵检测与防御的配置与管理 (8)第5章数据安全防范 (9)5.1 数据加密技术 (9)5.1.1 对称加密技术 (9)5.1.3 混合加密技术 (9)5.2 数据备份与恢复 (9)5.2.1 数据备份策略 (9)5.2.2 备份介质与设备 (10)5.2.3 数据恢复测试 (10)5.3 数据库安全 (10)5.3.1 访问控制 (10)5.3.2 用户认证与授权 (10)5.3.3 数据库审计 (10)5.3.4 数据库防火墙 (10)5.3.5 数据库安全漏洞扫描 (10)第6章系统安全防范 (10)6.1 操作系统安全 (10)6.1.1 基本要求 (10)6.1.2 安全配置 (10)6.1.3 安全防护 (11)6.2 应用系统安全 (11)6.2.1 应用系统开发安全 (11)6.2.2 应用系统部署安全 (11)6.2.3 应用系统运维安全 (11)6.3 安全运维管理 (12)6.3.1 安全运维制度 (12)6.3.2 安全运维流程 (12)6.3.3 安全运维技术手段 (12)6.3.4 安全运维保障 (12)第7章恶意代码防范 (12)7.1 恶意代码概述 (12)7.2 防病毒技术 (13)7.2.1 特征码检测 (13)7.2.2 行为监控 (13)7.2.3 云查杀 (13)7.2.4 主机入侵防御系统（HIDS） (13)7.3 恶意代码防范策略 (13)7.3.1 预防为主 (13)7.3.2 分层防御 (13)7.3.3 快速响应 (13)7.3.4 定期检查与审计 (13)7.3.5 数据备份与恢复 (14)第8章隐私保护与合规性要求 (14)8.1 隐私保护的重要性 (14)8.1.1 维护客户权益 (14)8.1.2 提升企业信誉 (14)8.1.3 符合法律法规要求 (14)8.2 法律法规与合规性要求 (14)8.2.1 《中华人民共和国网络安全法》 (14)8.2.2 《中华人民共和国个人信息保护法》 (14)8.2.3 《信息安全技术个人信息安全规范》 (14)8.2.4 国际隐私保护法规及标准，如GDPR、CCPA等 (14)8.2.5 行业特定法律法规及合规性要求 (14)8.3 隐私保护措施 (14)8.3.1 制定隐私保护政策 (14)8.3.2 设立隐私保护组织架构 (15)8.3.3 开展隐私影响评估 (15)8.3.4 采取技术措施保护隐私 (15)8.3.5 员工培训与监督 (15)8.3.6 用户隐私权益保障 (15)8.3.7 定期审查与评估 (15)第9章应急响应与处理 (15)9.1 应急响应计划 (15)9.1.1 编制目的 (15)9.1.2 适用范围 (15)9.1.3 职责分工 (15)9.1.4 应急响应流程 (15)9.1.5 应急资源保障 (15)9.1.6 培训与演练 (16)9.2 安全事件处理流程 (16)9.2.1 事件报告 (16)9.2.2 事件分类 (16)9.2.3 事件评估 (16)9.2.4 事件处置 (16)9.2.5 事件跟踪 (16)9.2.6 事件记录 (16)9.3 分析与报告 (16)9.3.1 分析 (16)9.3.2 改进措施 (16)9.3.3 报告 (16)9.3.4 通报 (16)第10章信息安全培训与意识提升 (16)10.1 信息安全培训的重要性 (16)10.1.1 提升员工信息安全素养 (16)10.1.2 强化信息安全意识 (17)10.1.3 适应法律法规要求 (17)10.2 培训内容与方法 (17)10.2.1 培训内容 (17)10.2.2 培训方法 (17)10.3 信息安全意识提升策略与实践 (18)10.3.2 实践措施 (18)第1章信息安全概述1.1 信息安全的重要性信息安全是维护国家安全、保障社会稳定、促进经济发展的重要基石。

信息系统安全单选题第1题(1.0) 分信息安全的发展大致经历了三个发展阶段，目前是处于( B )阶段。

A、通信安全B、信息保障C、计算机安全D、网络安全第2题(1.0) 分物理安全控制、文件访问控制和文件加密与____B____相关联。

A、识别机制B、认证机制C、保密机制D、加密机制第3题(1.0) 分国际标准化组织ISO所提出的信息系统安全体系结构中定义了__D__ 种安全服务。

A．8 B．7 C．11 D．5A、11B、8C、7D、5第4题(1.0) 分下列密码系统分类不正确的是__D______。

A、非对称型密码体制和对称型密码体制B、单向函数密码体制和双向函数密码体制C、分组密码体制和序列密码体制D、不可逆密码体制和双钥密码体制第5题(1.0) 分可用性提供_____B______。

A、识别和认证B、对拒绝服务攻击的预防C、对否认服务攻击的预防D、信息的完整性第6题(1.0) 分下列是利用身份认证的双因素法的是___D____。

A、电话卡B、交通卡C、校园饭卡D、银行卡第7题(1.0) 分对于现代密码破解，是最常用的方法__D__。

A、攻破算法B、监听截获C、心理猜测D、暴力破解第8题(1.0) 分以下哪一个最好的描述了数字证书__A__A、等同于在网络上证明个人和公司身份的身份证B、浏览器的一标准特性，它使得黑客不能得知用户的身份C、网站要求用户使用用户名和密码登陆的安全机制D、伴随在线交易证明购买的收据第9题(1.0) 分防止他人对传输的文件进行破坏需要__A_____。

A、数字签名及验证B、对文件进行加密C、身份认证D、时间戳第10题(1.0) 分数字信封是用来解决__C__ 。

A、公钥分发问题B、私钥分发问题C、对称密钥分发问题D、时间戳第11题(1.0) 分在IPSec中，是两个通信实体经过协商建立起来的一种协定，决定用来保护数据包安全的IPSec协议、密码算法、密钥等信息。

__C__A、ESPB、SPIC、SAD、SP第12题(1.0) 分抵御电子邮箱入侵措施中，不正确的是__D__A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器第13题(1.0) 分针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是__C____防火墙的特点。

信息系统安全保密制度范本一、总则为加强信息系统安全保密管理，确保信息系统安全、稳定运行，保护公司重要信息资产，制定本制度。

二、适用范围本制度适用于公司内部所有员工、外部合作伙伴以及与公司进行合作的第三方机构。

三、保密责任1. 公司全体员工都有保密的责任，不得泄露公司的商业机密、技术资料以及客户信息等重要信息。

2. 外部合作伙伴和第三方机构在与公司进行合作时，需要签署保密协议，并遵守公司的保密制度。

3. 公司领导层要严格保护公司的商业机密，不得私自泄露、转让。

四、信息系统访问控制1. 为保证信息系统的安全，公司应制定访问控制策略和权限管理规则，对不同级别的员工进行权限划分。

2. 所有用户需要通过登录账号和密码进行身份认证，禁止共享账号和密码。

3. 管理员应对系统进行定期漏洞扫描和安全检查，及时修补漏洞，确保系统的安全性。

五、密码管理1. 所有用户的密码需要满足一定的复杂度要求，并定期更换密码。

2. 管理员应对用户密码进行加密存储，并采取措施防止密码泄露。

六、系统日志监控1. 公司应建立系统日志记录机制，定期对日志进行监控和分析。

2. 对于异常访问行为和安全事件，应及时采取措施进行处理，并报告相关部门。

七、网络安全保护1. 公司应建立网络安全防护体系，采取各种安全措施，防止网络攻击和入侵。

2. 对外部网络连接进行限制和监控，防止非法访问。

八、违规行为处理1. 对于违反保密制度的行为，公司将采取相应的纪律处分措施，包括警告、记过、记大过等。

2. 对于情节严重的违规行为，公司将追究法律责任。

九、保密意识教育1. 公司应定期开展保密意识教育培训，提高员工的保密意识和风险防范能力。

2. 员工入职时，应进行保密制度培训，明确其保密责任。

本制度自颁布之日起生效，如有相关规定更改，公司将及时修订并通知相关人员。

信息系统安全保密制度范本（2）第一章总则第一条为了规范信息系统的安全保密管理工作，确保信息系统及其数据的安全性、完整性和可用性，保护国家利益和社会公共利益，促进信息系统安全发展，根据有关法律、法规和政策规定，制定本制度。