最新信息安全管理考试真题资料
一、判断题(本题共15道题,每题1分,共15分。请认真阅读题目,然后在对的题目后面打√,在错误的题目后面打×)
1. 口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信:息,进而非法获得系统和资源访问权限。(√)
2. PKI系统所有的安全操作都是通过数字证书来实现的。(√)
3. PKI系统使用了非对称算法.对称算法和散列算法。(√)
4. 一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√)
5. 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。(√)
6. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。(√)
7. 按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。(√)
8. 虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。(√)
9. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×)
10. 定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。(√)
11. 网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√)
12. 网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。(×)
13. 防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。(√)
14. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。(×)
15. 信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。(√)
二、选择题(本题共25道题,每题1分,共25分。请认真阅读题目,且每个题目只有一个正确答案,并将答案填写在题目相应位置。)
1. 防止静态信息被非授权访问和防止动态信息被截取解密是__D____。
A.数据完整性
B.数据可用性
C.数据可靠性
D.数据保密性
2. 用户身份鉴别是通过___A___完成的。
A.口令验证
B.审计策略
C.存取控制
D.查询功能
3. 故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以___B___。
A. 3年以下有期徒刑或拘役
B. 警告或者处以5000元以下的罚款
C. 5年以上7年以下有期徒刑
D. 警告或者15000元以下的罚款
4. 网络数据备份的实现主要需要考虑的问题不包括__A____。
A.架设高速局域网
B.分析应用环境
C.选择备份硬件设备
D.选择
备份管理软件
5. 《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在___C___向当地县级以上人民政府公安机关报告。
A.8小时内
B.12小时内
C.24小时内
D.48小时内
6. 公安部网络违法案件举报网站的网址是__C____。
A. https://www.360docs.net/doc/5611946025.html,
B. https://www.360docs.net/doc/5611946025.html,
C. https://www.360docs.net/doc/5611946025.html,
D. https://www.360docs.net/doc/5611946025.html,
7. 对于违反信息安全法律、法规行为的行政处罚中,__A____是较轻的处罚方式。
A.警告
B.罚款
C.没收违法所得
D.吊销许可证
8. 对于违法行为的罚款处罚,属于行政处罚中的___C___。
A.人身自由罚
B.声誉罚
C.财产罚
D.资格罚
9. 对于违法行为的通报批评处罚,属于行政处罚中的___B___。
A.人身自由罚
B.声誉罚
C.财产罚
D.资格罚
10 1994年2月国务院发布的《计算机信息系统安全保护条例》赋予__C____对计算机信息系统的安全保护工作行使监督管理职权。
A.信息产业部
B.全国人大
C.公安机关
D.国家工商总局
11. 《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起__D____日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
A.7
B.10
C.15
D.30
12. 互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存__C__天记录备份的功能。
A.10
B.30
C.60
D.90
13. 对网络层数据包进行过滤和控制的信息安全技术机制是_A_____。
A.防火墙
B.IDS
C.Sniffer
D.IPSec
14. 针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____B__。
A. 防火墙隔离
B. 安装安全补丁程序
C. 专用病毒查杀工具
D. 部署网络入侵检测系统
15. 下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是__A____。
A. 防火墙隔离
B. 安装安全补丁程序
C. 专用病毒查杀工具
D. 部署网络入侵检测系统
16. 下列不属于网络蠕虫病毒的是__C____。
A. 冲击波
B. SQL SLAMMER
C. CIH
D. 振荡波
17. 传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了__A____等重要网络资源。
A.网络带宽
B.数据包
C.防火墙
D.LINUX
18. 对于远程访问型VPN来说,__A____产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A. IPSee VPN
B. SSL VPN
C. MPLS VPN
D. L2TP VPN
19. 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859—1999,提出将信息系统的安全等级划分为___D___个等级,并提出每个级别的安全功能要求。
A.7
B.8
C.6
D.5
20. 等级保护标准GB l7859主要是参考了__B____而提出。
A.欧洲ITSEC
B.美国TCSEC
https://www.360docs.net/doc/5611946025.html,
D.BS 7799
21. 我国在1999年发布的国家标准___C___为信息安全等级保护奠定了基础。
A. GB l77998
B. GB l5408
C. GB l7859
D. GB l4430
22. 信息安全登记保护的5个级别中,___B___是最高级别,属于关系到国计民生的最关键信息系统的保护。
A.强制保护级
B.专控保护级
C.监督保护级
D.指导保护级
E.自主保护级
23. 《信息系统安全等级保护实施指南》将___A___作为实施等级保护的第一项重要内容。
A.安全定级
B.安全评估
C.安全规划
D.安全实施
24. ___C___是进行等级确定和等级保护管理的最终对象。
A.业务系统
B.功能模块
C.信息系统
D.网络系统
25. 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由__B____所确定。
A. 业务子系统的安全等级平均值
B. 业务子系统的最高安全等级
C. 业务子系统的最低安全等级
D. 以上说法都错误
三、多选题(本题共15道题,每题2分,共30分。请认真阅读题目,且每个题目至少有两个答案,并将答案填写在题目相应位置。)
1. 在局域网中计算机病毒的防范策略有______。(ADE)
A.仅保护工作站
B.保护通信系统
C.保护打印机
D.仅保护服务器
E.完全保护工作站和服务器
2. 在互联网上的计算机病毒呈现出的特点是______。(ABCD)
A. 与互联网更加紧密地结合,利用一切可以利用的方式进行传播
B. 具有多种特征,破坏性大大增强
C. 扩散性极强,也更注重隐蔽性和欺骗性
D. 针对系统漏洞进行传播和破坏
3. 一个安全的网络系统具有的特点是______。(ABCE)
A. 保持各种数据的机密
B. 保持所有信息、数据及系统中各种程序的完整性和准确性
C. 保证合法访问者的访问和接受正常的服务
D. 保证网络在任何时刻都有很高的传输速度
E. 保证各方面的工作符合法律、规则、许可证、合同等标准
4. 任何信息安全系统中都存在脆弱点,它可以存在于______。(ABCDE)
A.使用过程中
B.网络中
C.管理过程中
D.计算机系统中
E.计算机操作系统中
5. ______是建立有效的计算机病毒防御体系所需要的技术措施。(ABCDE)
A.杀毒软件
B.补丁管理系统
C.防火墙
D.网络入侵检测
E.漏洞扫描
6. 信息系统安全保护法律规范的作用主要有______。(ABCDE)
A.教育作用
B.指引作用
C.评价作用
D.预测作用
E.强制作用
7. 根据采用的技术,入侵检测系统有以下分类:______。(BC)
A.正常检测
B.异常检测
C.特征检测
D.固定检测
E.重点检测
8. 在安全评估过程中,安全威胁的来源包括______。(ABCDE)
A.外部黑客
B.内部人员
C.信息技术本身
D.物理环境
E.自然界
9. 安全评估过程中,经常采用的评估方法包括______。(ABCDE)
A.调查问卷
B.人员访谈
C.工具检测
D.手工审核
E.渗透性测试
10. 根据ISO定义,信息安全的保护对象是信息资产,典型的信息资产包括______。(BC)
A.硬件
B.软件
C.人员
D.数据
E.环境
11. 根据ISO定义,信息安全的目标就是保证信息资产的三个基本安全属性,包括__。(BCD)
A.不可否认性
B.保密性
C.完整性
D.可用性
E.可靠性
12. 治安管理处罚法规定,______行为,处5日以下拘留;情节较重的,处5日以上10日以下拘留。(ABCD)
A. 违反国家规定,侵入计算机信息系统,造成危害的
B. 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的
C. 违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的
D. 故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的
13. 网络蠕虫病毒越来越多地借助网络作为传播途径,包括______。(ABCDE)
A.互联网浏览
B.文件下载
C.电子邮件
D.实时聊天工具
E.局域网文件共享
14. 在信息安全管理中进行安全教育与培训,应当区分培训对象的层次和培训内容,主要包括__(ABE)
A.高级管理层
B.关键技术岗位人员
C.第三方人员
D.外部人员
E.普通计算机用户
15. 网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在______。(BC)
A. 关键服务器主机
B. 网络交换机的监听端口
C. 内网和外网的边界
D. 桌面系统
E. 以上都正确
四、简答题(本题共5道题,1~4题,每题5分,第5小题10分,共30分。)
1. 简述安全策略体系所包含的内容。
答:一个合理的信息安全策略体系可以包括三个不同层次的策略文档:
(1)总体安全策略,阐述了指导性的战略纲领性文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容;
(2)针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容,例如,针对Internet访问操作、计算机和网络病毒防治、口令的使用和管理等特定问题,制定有针对性的安全策略;
(3)针对特定系统的具体策略,更为具体和细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等。
2. 简述我国信息安全等级保护的级别划分。
答:(1)第一级为自我保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其它组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。
(2)第二级为指导保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。
(3)第三级为监管保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,器业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本机系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
(4)第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。
(5)第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。
3. 简述信息安全脆弱性的分类及其内容。
答:信息安全脆弱性的分类及其内容如下所示;
脆弱性分类:
一、技术脆弱性
1、物理安全:物理设备的访问控制、电力供应等
2、网络安全:基础网络构架、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等
3、系统安全:应用软件安全漏洞、软件安全功能、数据防护等
4、应用安全:应用软件安全漏洞、软件安全功能、数据防护等
二、管理脆弱性
安全管理:安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性
4. 简述至少4种信息系统所面临的安全威胁。
答:信息系统所面临的常见安全威胁如下所示:
软硬件故障:由于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响。
物理环境威胁:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害。
无作为或操作失误:由于应该执行而没有执行相应的操作,或无意的执行了错误的操作,对系统造成影响。
管理不到位:安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。
恶意代码和病毒:具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。
越权或滥用:通过采用一些,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为。
黑客攻击技术:利用黑客工具和技术,例如,侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。
物理攻击:物理接触、物理破坏、盗窃。
泄密:机密信息泄露给他人。
篡改:非法修改信息,破坏信息的完整性。
抵赖:不承认收到的信息和所作的操作和交易。
5. 请谈谈参加本次培训的体会与提高。
(发挥题目,请各抒己见)
信息安全期末考试题库与答案
题库 一、选择 1. 密码学的目的是(C)。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 2. 从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。 A. 阻止,检测,阻止,检测 B. 检测,阻止,检测,阻止 C. 检测,阻止,阻止,检测 D. 上面3项都不是 3. 数据保密性安全服务的基础是(D)。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 4. 数字签名要预先使用单向Hash函数进行处理的原因是(C)。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验 证签名的运算速度 D. 保证密文能正确还原成明文 5. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是(C)。 A. 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证 6. 为了简化管理,通常对访问者(A),以避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C. 按访问时间排序,删除长期没有访问的用户 D. 不作任何限制 7. PKI管理对象不包括(A)。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 8. 下面不属于PKI组成部分的是(D)。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 9. IKE协商的第一阶段可以采用(C)。 A. 主模式、快速模式 B. 快速模式、积极模式 C. 主模式、积极模式 D. 新组模式 10.AH协议和ESP协议有(A)种工作模式。 A. 二 B. 三 C. 四 D. 五 11. (C)属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 12. 包过滤型防火墙原理上是基于(C)进行分析的技术。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层 13. VPN的加密手段为(C)。 A. 具有加密功能的防火墙 B. 具有加密功能的路由器 C. VPN内的各台主机对各自的信息进行相应的加密 D. 单独的加密设备 14.(B)通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。 A. Access VPN B. Intranet VPN C. Extranet VPN D. Internet VPN 15.(C)通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或感兴趣的
管理信息系统期末考试试题库
管理信息系统试题库 一、单项选择题(每小题2分,共计20分,把你认为正确答案的代码填入括号内) 1.当计算机在管理中的应用主要在于日常业务与事务的处理、定期提供系统的 业务信息时,计算机的应用处于()。 A. 管理信息系统阶段 B. 决策支持系统阶段 C. 电子数据处理阶段 D. 数据综合处理阶段 2.下面关于DSS的描述中正确的是()。 A.DSS是解决结构化和半结构化问题的信息系统 B.DSS中要求有与MIS中相同的数据库及其管理系统 C.DSS不仅支持决策者而且能代替决策者进行决策 D.DSS与决策者的工作方式等社会因素关系密切 3.ES的特点不包括()。 A.掌握丰富的知识,有专家水平的专门知识与经验 B.有通过学习或在运行中增长和扩大知识的能力 C.自动识别例外情况 D.有判别和推理的功能 4.管理系统中计算机应用的基本条件包括科学的管理基础、领导的支持与参与 及()。 A. 报表文件统一 B. 数据代码化 C. 建立组织机构 D. 建立专业人员队伍和培训 5.在因特网中用E-mail发送邮件,实现的实体间联系是()。 A. 1:1 B. 1:n C. n:1 D. m:n 6.为了解决数据的物理独立性,应提供某两种结构之间的映像,这两种结构为 ()。 A. 物理结构与用户结构 B. 逻辑结构与物理结构 C. 逻辑结构与用户结构 D. 概念结构与逻辑结构 7.系统结构化分析和设计的要点是()。
A. 由顶向下 B. 由底向上 C. 集中 D. 分散平等 8.在各种系统开发方法中,系统可重用性、扩充性、维护性最好的开发方法是 ()。 A. 原型法 B. 生命周期法 C. 面向对象的方法 D. 增长法 9.在诺兰模型中,开始对计算机的使用进行规划与控制是在()。 A. 集成阶段 B. 成熟阶段 C. 控制阶段 D. 数据管理阶段 10.企业系统规划法的基本概念是:()地进行系统规划和()地付诸实 施。 A. 自上而下,自下而上 B. 自下而上,自上而下 C. 自上而下,由总到分 D. 由总到分,自上而下 11.从管理系统中计算机应用的功能来看,计算机在管理系统中应用的发展依次 为()。 A. EDP、DSS、MIS、EIS B. DSS、EDP、MIS、EIS C. MIS、EDP、DSS、EIS D. EDP、MIS、DSS、EIS 12.DSS的工作方式主要是()。 A. 人机对话方式 B. 键盘操作方式 C. 交互会话方式 D. 非交互会话方式 13.专家系统有两个核心组成部分,即知识库和()。 A. 数据库 B. 推理机 C. 方法库 D. 决策模型 14.处理功能分析常用的方法有:决策树、决策表和()。 A. 结构化语言 B. 数据字典 C. 数据功能格栅图 D. E-R图 15.在医院,患者与医生的关系是属于()。 A. 1:1 B. 1:n C. n:1 D. m:n 16.系统开发中强调系统的整体性,它采用先确定()模型,再设计() 模型的思路。 A. 实体,用户 B. 用户,实体 C. 逻辑,物理 D. 物理,逻辑
信息安全技术各章节期末试题
信息安全技术各章节期末复习试题 1 信息安全概述 1.1单选题 1.网络安全的特征包含保密性,完整性,(D )四个方面。第9章 A可用性和可靠性 B 可用性和合法性C可用性和有效性D可用性和可控性 3.可以被数据完整性机制防止的攻击方式是(B) A 假冒B抵赖C数据中途窃取D数据中途篡改 4.网络安全是在分布网络环境中对(D )提供安全保护。第9章 A.信息载体 B.信息的处理.传输 C.信息的存储.访问 D.上面3项都是 5.ISO 7498-2从体系结构观点描述了5种安全服务,以下不属于这5种安全服务的是(B )。 A.身份鉴别 B.数据报过滤 C.授权控制 D.数据完整性 6.ISO 7498-2描述了8种特定的安全机制,以下不属于这8种安全机制的是(A )。 A.安全标记机制 B.加密机制 C.数字签名机制 D.访问控制机制 7.用于实现身份鉴别的安全机制是(A)。第10章 A.加密机制和数字签名机制 B.加密机制和访问控制机制 C.数字签名机制和路由控制机制 D.访问控制机制和路由控制机制 8.在ISO/OSI定义的安全体系结构中,没有规定(D )。 A.数据保密性安全服务 B.访问控制安全服务 C.数据完整性安全服务 D.数据可用性安全服务 9.ISO定义的安全体系结构中包含(B )种安全服务。 A.4 B.5 C.6 D.7 10.(D)不属于ISO/OSI安全体系结构的安全机制。 A.通信业务填充机制 B.访问控制机制 C.数字签名机制 D.审计机制 11.ISO安全体系结构中的对象认证服务,使用(B )完成。 A.加密机制 B.数字签名机制 C.访问控制机制 D.数据完整性机制 12.CA属于ISO安全体系结构中定义的(D)。第10章 A.认证交换机制 B.通信业务填充机制 C.路由控制机制 D.公证机制 13.数据保密性安全服务的基础是(D )。第2章 A.数据完整性机制 B.数字签名机制 C.访问控制机制 D.加密机制 14.可以被数据完整性机制防止的攻击方式是(D )。 A.假冒源地址或用户的地址欺骗攻击 B.抵赖做过信息的递交行为 C.数据中途被攻击者窃听获取 D.数据在途中被攻击者篡改或破坏
管理信息系统试题期末考试
一、填空题,请把答案写在括号内(每空2分,共30分) 1、(管理信息系统)就是一种利用计算机硬件与软件、数学模型与数据库管理系统等资源,为组织的运行、管理、分析、计划及决策等职能服务的集成化的计算机应用系统,就是管理人员设施组织目标的有效工具。 2 目前,社会上将办公自动化以英文名称简写为(OA)。 3 知识经济时代的基本生产要素就是( 知识)与(信息)。 4信息的三要素就是 (信源)、(信宿)与(载体)。 5信息从客体传输到主体经过接收、处理、实施各环节反馈到客体,形成一个信息运动的循环称为 (信息循环)。 6 在数据传输中,数据沿通信线路可以向两个方向传递,但不能在两个方向同时传送,属于 (半双向通信方式)。 7 软件模块的独立性往往就是用两个指标来度量的, (内聚)性度量其功能强度的相对指标, (耦合)性则用以度量模块间的相互联系的强度。 8 决策支持系统的英文缩写就是(DDS)。 9 对信息世界中的有关信息经过加工、编码、格式化等具体处理,便进入了(数据世界)。 10 数据交换方式,常用的三种基本方式就是线路交换,(报文交换)与(分组交换)。 12 系统分析阶段就是要解决(“做什么”)的问题。 13 计算机辅助软件工程技术通常简称(CASE)技术。 14 UML 把软件系统开发分成五个阶段:需求分析,(分析),设计,(编程)与测试。 15 (电子商务)就是指利用电子手段进行的商务活动。 16 (误码率)就是衡量数据通信系统正常工作情况下的可靠性度量指标。 17 事物之间相互联系、相互作用的状态的描述称为(信息)。 18 信息资源通常包括信息及其(载体)。 19信息理论的创始人就是(香农)。 20 管理信息的处理应满足的要求就是:及时,(准确),适用,(经济)。 21 (模块)就是这样的一组程序语句,它包括输入、输出、逻辑处理功能,内部信息及其运行环境。
【精品推荐】ISO27001信息安全管理体系全套文件
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
管理信息系统考试题
《管理信息系统》复习题 一、单项选择题 1.当今市场经济和知识经济时代,社会的三大资源是指( ) A.信息、能源和物质 B.信息、生物和能源 C.信息、宇宙和生物 D.信息、宇宙和能源 2.数据资料含有信息量大小的标志是( ) A.数据记录的条数多少 B.消除人们认识的不确定性的大小 C.输出信息表格的复杂程度 D.引起人们注意力的程度 3.描述业务逻辑所使用的流程图叫做( ) A.管理功能图 B.数据流程图 C.业务流程图 D.表格分配图 4.目前所使用的数据库管理系统的结构,大多数为( ) A.层次结构 B.关系结构 C.网状结构 D.链表结构 5.下述对数据文件叙述正确的是( ) A.建立数据文件包括建立文件结构和输入数据两步 B.数据文件是数据项的有序集合 C.数据文件中记录个数是固定不变的 D.数据文件中的数据项数一旦确定下来就不允许改变 6.关于管理信息的叙述,正确的是( ) A.只有用计算机后才能产生管理信息 B.管理信息都是为高层领导提供决策支持的 C.管理信息是管理数据加工的结果 D.管理信息没有时间性 7.管理信息系统是分层次的,最下层的处理是( ) A.从数据库中存取数据 B.进行业务处理 C.从业务处理系统提取数据 D.为领导提供决策支持 8.详细调查和对调查结果的系统化分析是( ) A.原系统逻辑模型设计的前提 B.原系统物理模型设计的前提 C.新系统逻辑模型设计的前提 D.新系统物理模型设计的前提 9.系统设计的任务是( ) A.将原系统的逻辑模型转换为新系统的物理模型 B.将原系统的逻辑模型转换 为物理模型 C.将系统分析阶段的逻辑模型转换为物理模型 D.将系统逻辑模型转换为功 能模型 10.下列对数据字典叙述正确的是( ) A.编制和维护数据字典简单方便 B.编制数据字典的工作量较少
2016.12《移动互联网时代的信息安全与防护》期末考试答案
?《移动互联网时代的信息安全和防护》期末测试(20) 题量: 100 满分:100.0 截止日期:2016-12-11 23:59 一、单选题 1 衡量容灾备份的技术指标不包括()。 ?A、 恢复点目标 ?B、 恢复时间目标 ?C、 安全防护目标 ?D、 降级运行目标 我的答案:C 2 《福尔摩斯探案集之跳舞的小人》中福尔摩斯破解跳舞的小人含义时采用的方法是()。?A、 穷举攻击 ?B、 统计分析 ?C、 数学分析攻击 ?D、
社会工程学攻击 我的答案:B 3 一张快递单上不是隐私信息的是()。 ?A、 快递公司名称 ?B、 收件人姓名、地址 ?C、 收件人电话 ?D、 快递货品内容 我的答案:A 4 关于U盘安全防护的说法,不正确的是()。?A、 U盘之家工具包集成了多款U盘的测试 ?B、 鲁大师可以对硬件的配置进行查询 ?C、 ChipGenius是USB主机的测试工具 ?D、 ChipGenius软件不需要安装 我的答案:C
5 把明文信息变换成不能破解或很难破解的密文技术称为()。?A、 密码学 ?B、 现代密码学 ?C、 密码编码学 ?D、 密码分析学 我的答案:C 6 特殊数字签名算法不包括()。 ?A、 盲签名算法 ?B、 代理签名算法 ?C、 RSA算法 ?D、 群签名算法 我的答案:C 7
伊朗核设施瘫痪事件是因为遭受了什么病毒的攻击?()?A、 埃博拉病毒 ?B、 熊猫烧香 ?C、 震网病毒 ?D、 僵尸病毒 我的答案:C 8 日常所讲的用户密码,严格地讲应该被称为()。?A、 用户信息 ?B、 用户口令 ?C、 用户密令 ?D、 用户设定 我的答案:B 9 第一次出现“Hacker”这一单词是在()。 ?A、
信息安全管理体系iso27基本知识
信息安全管理体系ISO27000认证基本知识 一、什么是信息安全管理体系 信息安全管理体系是在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系。 ISO/LEC27001是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。 二、信息安全的必要性和好处 我国信息安全管理专家沈昌祥介绍,对于我国软件行业,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,80%信息泄露都是由内或内外勾结造成,所以建立信息安全管理体系很有必要。 1、识别信息安全风险,增强安全防范意识; 2、明确安全管理职责,强化风险控制责任; 3、明确安全管理要求,规范从业人员行为; 4、保护关键信息资产,保持业务稳定运营; 5、防止外来病毒侵袭,减小最低损失程度; 6、树立公司对外形象,增加客户合作信心; 7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局 等政府机构的补贴,补贴额度不少于企业建立ISO27001体系的投入费用 (包含咨询认证过程)。 (信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性) 三、建立信息安全体系的主要程序 建立信息安全管理体系一般要经过下列四个基本步骤 ①信息安全管理体系的策划与准备; ②信息安全管理体系文件的编制; ③信息安全管理体系运行; ④信息安全管理体系审核、评审和持续改进。
6.5.1信息安全管理体系
信息安全管理体系 求助编辑百科名片 信息安全管理体系Information Securitry Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。 目录 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准: 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项 PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划: 实施: 检查: 措施: 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1.确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明: A—改进信息安全管理体系 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准: 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项
PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划: 实施: 检查: 措施: 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1.确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明: A—改进信息安全管理体系 展开编辑本段信息安全管理体系 BS 7799-2(见BS7799体系)是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。 编辑本段编写信息安全管理体系文件的主要依据 简述 组织对信息安全管理体系的采用是一个战略决定。因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围,它涉及到组织全体成员和全部过程,需要取得管理者的足够的重视和有力的支持。 1)信息安全管理体系标准: 要求:BS 7799-2:2002 《信息安全管理体系规范》控制方式指南:ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 包括规范和作业指导书等; 4)现有其他相关管理体系文件。 [编辑] 编辑本段编写信息安全管理体系程序文件应遵循的原则 在编写程序文件时应遵循下列原则:程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;程
管理信息系统考试复习
1企业流程重组:企业流程(过程)是指为完成企业目标或任务而进行的一系列跨越时空的逻辑相关的业务活动 2企业系统规划法(BSP):是一种能够帮助规划人员根据企业目标制定出MIS战略规划的结构话方法。通过这种方法可以做到:1.确定出未来信息系统的总体结构,明确系统的子系统组成和开发子系统的先后程序2.对数据进行统一规划、管理和控制,明确各子系统之间的数据交换关系,保证信息的一致性 3数据字典:数据字典是一种用户可以访问的记录数据库和应用程序源数据 的目录,对数据流程图中的各个元素做出了详细的说明。内容主要是对数据流程图中的数据项,数据结构,数据流,处理逻辑,数据存储和外部实体等六个方面进行具体的定义 4关键成功因素发(CSF法):关键成功因素指的是对企业成功起关键作用的因素。CSF法就是通过分析找出使得企业成功的关键因素,然后再围绕这些关键因素来确定系统的需求,并进行规划 5.信息资源的三个基本要素:信息技术,信息生产者,货币 6数据结构:描述了某些数据项之间的关系。一个数据结构可以由若干个数据项组成,也可以由若干个数据结构组成;还可以由若干个数据项和数据结构组成。数据字典中对数据结构的定义:1.数据结构的名称和编号2.简述3.数据结构的组成 7数据流:数据流由一个或一组固定的数据项或数据结构组成。定义数据流时,不仅要说出数据流的名称,组成等,还要指明它的来源、去向和数据流向等。 8外部实体:外部实体的定义包括:外部实体编号、名称、简述及有关数据流的输入和输出 9数据存储:数据存储是数据结构保存的场所。它在数据字典中只描述数据的逻辑存储结构,而不涉及它的物理组织10程序效率:程序效率是指程序能否有效地利用计算机资源 11管理信息是什么系统:一个以人为主导,利用计算机硬件、软件、通讯设备及其他信息处理设备,对信息进行收集、传输、存储、加工、运用、更新和维护,以提高组织作业运行、管理控制、战略计划效率,整体提高组织效率和竞争力的人机系统。 12管理上的可行性:指管理人员对开发应用项目的态度和管理方面的条件。主管领导不支持的项目肯定不行。如果高中层管理人员的抵触情绪很大,就有必要等一等,积极的做工作,创造条件。管理方面的条件主要指管理方法是否科学,相应管理制度改良的时机是否成熟,规章制度是否齐全以及原始数据是否正确等 13数据处理的目的:数据处理的目的可归纳为以下几点:1把数据转换成便于观察分析、传送或进一步处理的形式。2从大量的原始数据申抽取、推导出对人们有价值的信息以作为行动和决策的依据。3科学地保存和管理已经过处理(如校验、整理等)的大量数据,以便人们能方便而充分地利用这些宝贵的信息资源。 14在计算机应用领域中管理信息系统的重要特点表现在:1.数据调用方便,只要按少量键,便可以控制整个系统的运行2大量使用图表形式来显示 整个企业或直到基层的运营情况,并对存在的问题和异常情况及时报警 15模块化设计思想:模块化是一种重要的设计思想。这种思想把一个复杂的系统分解为一些规模较小、功能较简单的,易于建立和修改的部分。 16系统实施:主要内容包括物理系统的实施、程序设计与调试、人员培训、数据准备与录入,系统切换和评价等。系统实施是指将系统设计阶段的结果在计算机上实现,将原来纸面上的、类似于设计图式的新系统方案转换成可执行的应用软件。 17信息主管CIO:是信息管理部门的负责人,承担有关有关信息技术应用,信息资源开发,和利用的领导工作 18信息:信息是关于客观事实的可通信的知识 19数据:数据是记录下来可以被鉴别的符号,它本身并没有意义。数据经过处理仍然是数据,只有经过解释才有意义。20:原型法:与结构化系统开发方法不同,原型法不注重对管理信息系统进行全、系统的调查与分析,而是本着系统开发人员对用户的需求的理解,先快速实现的一个原型系统,然后通过反复修改来实现管理信息系统 21封装:为实现各式各样的数据传送,将被传送的数据结构映射进另一种数据结构的处理方式。也就是应用科学方法论中的分类思想,将近似或相似的一组对象聚合成类,采用各种手段将相似的类组织起来,实现问题空间到解空间的映射。 封装性: 22数据流程:数据流程是数据的采集、输入、处理、加工和输出的全过程。信息原始数据经采集后,输入计算机系统,进行模式或统计运算,或按用户的特殊要求编制某种专门程序来加工处理数据,然后输出结果数据。输出结果一般都应说明或反映某一领域内客观事物自然属性的特性和规律性。 23代码:代码是代表事物名称、属性、状态等的符号,也就是程序员用开发工具所支持的语言写出来的源文件,是一组由字符、符号或信号码元以离散形式表示信息的明确的规则体系 24功能过程分解:功能分解就是一个由抽象到具体、由复杂到简单的过程 25模块化程序设计应注意:1.模块的独立性2.模块划分的大小要适当3.模块的功能要简单4.共享的 功能模块要集中 26管理信息:管理信息是指那些以文字、数据、图表、音像等形式描述的,能够反映组织各种业务活动在空间上的分布状况和时间上的变化程度,并能给组织的管理决策和管理目标的实现有参考价值的数据、情报资料。管理信息都是专门为某种管理目的和管理活动服务的信息。
物联网信息安全期末考试重点
物联网信息安全期末考试重点 一、散的知识 1、物联网可划分成哪几个层次? 感知层、传输层、处理层、应用层 2、物联网人与物、物与物之间通信方式? 综合利用有线和无线两者通信 3、物联网核心基础设施是? 网络,传感器,控制器,物理设备 4、移动通信中断代(1G、2G、3G、4G)指的是? G指的是Generation,也就是“代”的意思,所以1G就是第一代移动通信系统的意思,2G、3G、4G就分别指第二、三、四代移动通信系统。 1G是模拟蜂窝移动通信; 2G是数字通信,以数字语音传输技术为核心; 3G是指支持高速数据传输的蜂窝移动通讯技术; 4G是第四代移动通信系统,也就是广带接入和分布网络技术。 5、公开密码体制WHO、WHEN提出?(33) Diffie和Hellman,1976年 6、安全协议哪些用于应用层?哪些用于传输层? 传输层:IPSEC协议、TLS协议、VPN、安全套接字层协议(SSL)、安全外壳协议(SSH); 应用层:Web安全协议、电子邮件安全协议、门户网站、安全电子交易(SET)。 7、机密性的服务包括哪些? 文件机密性、信息传输机密性、通信流的机密性。 8、防火墙+VPN+入侵检测+访问控制? VPN(Virtual Private NetWork,虚拟专用网络)是一种在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台之上的逻辑网络。 VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密,建立一个虚拟通道,让两者间感觉是在同一个网络上,可以安全且不受拘束地互相存取。 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
管理信息系统试题(期末考试)(B卷答案)
一、填空题,请把答案写在括号内(每空2分,共30分) 1.(管理信息系统)是一种利用计算机硬件和软件、数学模型和数据库管理系统等资源,为组织的运行、管理、分析、计划及决策等职能服务的集成化的计算机应用系统,是管理人员设施组织目标的有效工具。 2 目前,社会上将办公自动化以英文名称简写为(OA)。 3 知识经济时代的基本生产要素是( 知识)与(信息)。 4信息的三要素是(信源)、(信宿)与(载体)。 5信息从客体传输到主体经过接收、处理、实施各环节反馈到客体,形成一个信息运动的循环称为(信息循环)。 6 在数据传输中,数据沿通信线路可以向两个方向传递,但不能在两个方向同时传送,属于(半双向通信方式)。 7 软件模块的独立性往往是用两个指标来度量的,(内聚)性度量其功能强度的相对指标,(耦合)性则用以度量模块间的相互联系的强度。 8 决策支持系统的英文缩写是(DDS)。 9 对信息世界中的有关信息经过加工、编码、格式化等具体处理,便进入了(数据世界)。 10 数据交换方式,常用的三种基本方式是线路交换,(报文交换)和(分组交换)。 12 系统分析阶段是要解决(“做什么”)的问题。 13 计算机辅助软件工程技术通常简称(CASE)技术。 14 UML 把软件系统开发分成五个阶段:需求分析,(分析),设计,(编程)和测试。 15 (电子商务)是指利用电子手段进行的商务活动。 16 (误码率)是衡量数据通信系统正常工作情况下的可靠性度量指标。 17 事物之间相互联系、相互作用的状态的描述称为(信息)。 18 信息资源通常包括信息及其(载体)。 19信息理论的创始人是(香农)。 20 管理信息的处理应满足的要求是:及时,(准确),适用,(经济)。 21 (模块)是这样的一组程序语句,它包括输入、输出、逻辑处理功能,内部信息及其运行环境。 22模块的(聚合)指模块内各个组成之间的凝聚程度。 23 (物流)是指企业中由原材料等资源投入企业,经过形态、性质的变化,转换为产品而输出的运动过程。 24信息模型的主要要素是(实体)。25(数据挖掘)是从大量数据中提取出可信、新颖、有效并能被人理解的模式的高级处理过程。 二单项选择题,请把答案写在括号内(每题2分,共20分) 1.在信息系统开发、运行的整个费用中最大的费用是( B )。 A.用在开发中的硬件费用 B.用在开发中的系统软件及应用软件的开发费用 C.系统调试和转换的费用 D.运行和维护阶段的开支 2.系统设计应包括( D )。 A.系统性、可靠性 B.经济性、灵活性 C.安全性、系统性 D.系统性、灵活性、可靠性、经济性 3.数据流程图的建立是在( C )。 A.系统分析阶段 B.系统设计阶段 C.系统实施阶段 D.系统规划阶段 4.对某些特定对象而形成的文件的集合构成( A )。 A.数据库 B.文件 C.文件系统 D.数据结构 5.( C )属于管理信息系统分析阶段的内容。 A.模块划分,程序设计,人员培训 B.选择计算机设备,输出设计,程序调试 C.可行性分析,需求分析 D.程序设计,设备购买,数据准备与录入 6. 在文件管理系统中,任何文件的存取都要先查(B ) A、索引表 B、主文件目录表 C、关键字 D、文件名 7. 系统设计的原则之一是(C) A 严格遵循可行性分析报告 B 主要考虑技术的先进性 C 体现系统的可扩展性与可变性 D先详细设计后总体设计 8 下列那一个是输出设备(C) A 鼠标 B键盘 C 数/模转换器 D 模/数转换器 9 下列叙述中,错误的是(D ) A 系统软件是应用软件基础上开发的 B 系统软件应提供良好的人机界面 C 系统软件与硬件密切相关 D系统软件与具体应用领域无关 10 通常可用传输速率描述通信线路的数据传输能力,传输速率指的是( C ) A 每秒钟可以传输的中文字符个数 B每秒钟可以传输的字符数 C 每秒钟可以传输的比特数 D每秒钟可以传输的文件数 11 软件的结构化开发过程各阶段都应产生规范的文档,以下那
企业内部信息安全管理体系
企业内部信息安全管理体系 建议书 北京太极英泰信息科技有限公司
目录 1 理昌科技网络现状和安全需求分析: (3) 1.1 概述 (3) 1.2 网络现状: (3) 1.3 安全需求: (3) 2 解决方案: (4) 2.1 总体思路: (4) 2.2 TO-KEY主动反泄密系统: (5) 2.2.1 系统结构: (5) 2.2.2 系统功能: (6) 2.2.3 主要算法: (6) 2.2.4 问题? (7) 2.3 打印机管理....................................... 错误!未定义书签。 2.3.1 打印机管理员碰到的问题....................... 错误!未定义书签。 2.3.2 产品定位..................................... 错误!未定义书签。 2.3.3 产品目标..................................... 错误!未定义书签。 2.3.4 概念—TO-KEY电子钥匙预付费.................. 错误!未定义书签。 2.3.5 功能......................................... 错误!未定义书签。 3 方案实施与成本分析....................................... 错误!未定义书签。
1企业网络现状和安全需求分析: 1.1概述 调查表明:80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说:“目前我国信息安全的最大问题是:安全威胁的假设错误!我们总是假设会受到来自外部的攻击,而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言,其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天,企业不得不面对这样的严峻形势: 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动,以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满,而采取的破坏行为。 而另外一方面,随着计算机的普及和信息化的发展,采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然,企业需要解决这样一个矛盾: 在充分利用信息化所带来的高效益的基础上,保证企业信息资源的安全! 理昌科技作为一家专业从事保险带产品开发和生产的外资企业,公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术,增强核心竞争力。公司在现有网络信息的基础上,提出防泄密的需求。我们根据理昌科技的需求,并结合我们的行业经验,提出了下面的方案。 1.2网络现状: 公司组成局域网,内部人员通过局域网上网,内部具有多个网络应用系统。在内部部署有网络督察(网络行为监控系统)能记录内部人员网络行为。 1.3安全需求: 公司安全的总体需求是:“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企
管理信息系统考试题库
1.用二维表数据来表示实体及实体之间联系的数据模型称为(A) A.实体-联系模型 B.层次模型 C.网状模型 D.关系模型 2.一般认为,管理信息系统是一个复杂的社会系统,它是以( B ) A.计算机硬件为主导的系统 B.人员为主导的系统 C.机构为主导的系统 D.计算机网络为主导的系统3.下列选项中属于关键成功因素法内容的是( C ) A.了解组织结构B.识别职能部门的功能和关系C.分析信息需求D.制定组织目标 4.信息系统规划的准备工作包括进行人员培训,培训的对象包括( C )A.高层管理人员、分析员和规划领导小组成员 B.高层和中层管理人员、规划领导小组成员 C.分析员、程序员和操作员 D.高层、中层和低层管理人员 5.下列选项中,对初步调查叙述正确的是( B ) A.调查目的是从总体上了解系统的结构 B.调查内容主要包括有关组织的整体信息、有关人员的信息及有关工作的信息C.调查分析内容主要为人员状况、组织人员对系统开发的态度 D.初步调查是在可行性分析的基础上进行的 6.改进风险对策的关键是(D ) A.风险识别 B.风险分析 C.风险规划 D.风险监控 7.原型法的主要优点之一是( A ) A.便于满足用户需求 B.开发过程管理规范 C.适于开发规模大、结构复杂的系统 D.开发文档齐全 8.在数据流程图中,系统输出结果的抵达对象是( A ) A.外部实体 B.数据处理 C.数据存储 D.输出设备 9.系统详细调查需要弄清现行系统的基本逻辑功能和( B ) A.组织机构 B.外部环境 C.信息流程 D.基础设施 lO.关系到信息系统能否最大程度发挥作用的关键问题是确定新系统的( A ) A.外部环境 B.管理模式 C.业务流程 D.数据流程图 11. U/C矩阵中,C代表(D) A、使用 B、完成 C、功能 D、创建 12.如果数据流程图呈束状结构,则称它为( B ) A.变换型数据流程图 B.事务型数据流程图 C.顶层数据流程图 D.分层数据流程图 13.某学生的代码(学号)为2009001,这个代码属于( D) A、数字码 B、字符码 C、混合码 D、助记码 14.数据库设计的起点是( A ) A.用户需求分析 B.概念结构设计 C.存储结构设计 D.物理结构设计
信息安全原理与应用期末期末考试题及答案
. 1.密码学的目的是 C 。【】 A.研究数据加密 B.研究数据解密 C.研究数据 D.研究信息安全 2.网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增 加安全设施投资外,还应考虑 D 。【】 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 3破解双方通信获得明文是属于的技术。【 A 】 A. 密码分析还原 B. 协议漏洞渗透 C. 应用漏洞分析与渗透 D. DOS攻击 4窃听是一种攻击,攻击者将自己的系统插入到发送站和接收站 之间。截获是一种攻击,攻击者将自己的系统插入到 发送站和接受站之间。 【 A 】 A. 被动,无须,主动,必须 B. 主动,必须,被动,无须 C. 主动,无须,被动,必须 D. 被动,必须,主动,无须 5以下不是包过滤防火墙主要过滤的信息?【 D 】 A. 源IP地址 B. 目的IP地址 C. TCP源端口和目的端口 D. 时间 6 PKI是__ __。【 C 】 A.Private Key Infrastructure B.Public Key Institute
C.Public Key Infrastructure D.Private Key Institute 7防火墙最主要被部署在___ _位置。【 C 】 . . A.网络边界 B.骨干线路 C.重要服务器 D.桌面终端 8下列__ __机制不属于应用层安全。【 C 】 A.数字签名 B.应用代理 C.主机入侵检测 D.应用审计 9 __ _最好地描述了数字证书。【 A 】 A.等同于在网络上证明个人和公司身份的 B.浏览器的一标准特性,它使 得黑客不能得知用户的身份 C.要求用户使用用户名和密码登陆的安全机制 D.伴随在线交易证明购买的 收据 10下列不属于防火墙核心技术的是____。【 D 】 A (静态/动态)包过滤技术 B NAT技术 C 应用代理技术 D 日志审计 11信息安全等级保护的5个级别中,____是最高级别,属于关系到国计民生的最关键信息系统的保护。【 B 】 A 强制保护级 B 专控保护级 C 监督保护级 D 指导保护级 E 自主保护级 12公钥密码基础设施PKI解决了信息系统中的____问题。【】 A 身份信任 B 权限管理
信息安全技术基础期末考点总结
4.信息安全就是只遭受病毒攻击,这种说法正确吗? 不正确,信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。 信息安全本身包括的范围很大,病毒攻击只是威胁信息安全的一部分原因,即使没有病毒攻击,信息还存在偶然泄露等潜在威胁,所以上述说法不正确。 5.网络安全问题主要是由黑客攻击造成的,这种说法正确吗? 不正确。谈到信息安全或者是网络安全,很多人自然而然地联想到黑客,实际上,黑客只是实施网络攻击或导致信息安全事件的一类主体,很多信息安全事件并非由黑客(包括内部人员或还称不上黑客的人)所为,同时也包括自然环境等因素带来的安全事件。 补充:信息安全事件分类 有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件 设备设施故障、灾害性事件、其它事件 3.信息系统的可靠性和可用性是一个概念吗?它们有什么区别? 不是。 信息安全的可靠性:保证信息系统为合法用户提供稳定、正确的信息服务。 信息安全的可用性:保证信息与信息系统可被授权者在需要的时候能够访问和使用。 区别:可靠性强调提供服务的正确、稳定,可用性强调提供服务访问权、使用权。 5.一个信息系统的可靠性可以从哪些方面度量? 可以从抗毁性、生存性和有效性三个方面度量,提供的服务是否稳定以及稳定的程度,提供的服务是否正确。 7.为什么说信息安全防御应该是动态和可适应的? 信息安全防御包括(1)对系统风险进行人工和自动分析,给出全面细致的风险评估。(2)通过制订、评估、执行等步骤建立安全策略体系(3)在系统实施保护之后根据安全策略对信息系统实施监控和检测(4)对已知一个攻击(入侵)事件发生之后进行响应等操作保障信息安全必须能够适应安全需求、安全威胁以及安全环境的变化,没有一种技术可以完全消除信息系统及网络的安全隐患,系统的安全实际上是理想中的安全策略和实际执行之间的一个平衡。实现有效的信息安全保障,应该构建动态适应的、合理可行的主动防御,而且投资和技术上是可行的,而不应该是出现了问题再处理的被动应对。 4.什么是PKI?“PKI是一个软件系统”这种说法是否正确? PKI是指使用公钥密码技术实施和提供安全服务的、具有普适性的安全基础设施,是信息安全领域核心技术之一。PKI通过权威第三方机构——授权中心CA(Certification Authority)以签发数字证书的形式发布有效实体的公钥。 正确。PKI是一个系统,包括技术、软硬件、人、政策法律、服务的逻辑组件,从实现和应用上看,PKI是支持基于数字证书应用的各个子系统的集合。 5.为什么PKI可以有效解决公钥密码的技术应用? PKI具有可信任的认证机构(授权中心),在公钥密码技术的基础上实现证书的产生、管理、存档、发放、撤销等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范,以及为PKI体系中的各个成员提供全部的安全服务。简单地说,PKI是通过权威机构签发数字证书、管理数字证书,通信实体使用数字证书的方法、过程和系统。 实现了PKI基础服务实现与应用分离,有效解决公钥使用者获得所需的有效的、正确的公钥问题。