第4章信息系统安全管理.docx
- 文档编号:11157391
- 上传时间:2023-02-25
- 格式:DOCX
- 页数:11
- 大小:21.20KB
第4章信息系统安全管理.docx
《第4章信息系统安全管理.docx》由会员分享,可在线阅读,更多相关《第4章信息系统安全管理.docx(11页珍藏版)》请在冰豆网上搜索。
第4章信息系统安全管理
第4章信息系统安全管理
本章考点提示:
信息安令管理:
信息安全含义及目标、信息安全管理的内容。
信息息系统安全:
信息系统安全概念、信息系统安全属性、信息系统安全管理体系(组织机构体系、管理体系、技术体系)。
物理安全管埋:
计算机机房与设施安全(计算机机房、电源、计算机设备、通信线路);技术控制(检査监控系统、人员入/出机房和操作权限控制范围);环境与人身安全;电磁泄漏(计箅机设备防电磁泄露、计算机设备的电磁辐射标准和电磁兼容标准)。
人员安全管理:
安全整治、岗位安全考核与培训、离岗人员安全管理、软件安全检测与验收。
应用系统安令管理:
应用系统安全概念(应用系统的可靠性、应用系统的安全问题、应用系统安个管理的实施);应用软件开发的质量保证;应用系统运行中的安全管理(系统运行安全审核目标、系统运行安全与保密的层次构成、系统运行安全检查记录、系统运行管理制度)应用软件维护安全管理(应用软件维护活动的类别、应用软件维护的安全管理目标、应用软件维护的工作项、应用软件维护执行步骤)。
4.1习题
1、信息系统的安全属性包括(A)保和不可抵赖性。
A.密性、完整性、可用性B.符合性、完整性、可用性
C.保密性、完整性、可靠性D.保密性、可用性、可维护性
2、使用网上银行卡支付系统付款与使用传统信用卡支付系统付款,两者的付款授权方式是不同的,下列论述正确的是(A)。
A.前者使用数字签名进行远程授权,后者在购物现场使用手写签名的方式授权商家扣款
B.前者在购物现场使用手写签名的方式授权商家扣款,后者使用数字签名进行远程授权
C.两者都在使用数字签名进行远程授权
D.两者都在购物现场使用手写签名的方式授权商家扣款
3、电子商务安全要求的4个方面是(C)
A.传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抵赖性
B.存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证
C.传输的安全性、数据的完整性、交易各方的身份认证和交易的不可抵赖性
D.存储的安全性、传输的高效性、数据的完整性和交易的不可氐赖性
4、应用数据完整性机制可以防止(D)
A.假冒源地址或用户地址的欺骗攻击
B.抵赖做过信息的递交行为
C.数据中途被攻击者窃听获取
D.数据在途中被攻击者篡改或破坏
5、应用系统运行中涉及的安全和保密层次包括4层,这4个层次按粒度从粗到细的排列顺序是(C)。
A.数据域安全、功能性安全、资源访问安全、系统级安全
B.数据域安全、资源访问安全、功能性安全、系统级安全
C.系统级安全、资源访问安全、功能性安全、数据域安全
D.系统级安全、功能性安全、资源访问安全、数据域安全
6、为了确保系统运行的安全,针对用户管理,下列做法不妥当的是(D)。
A.建立用户身份识别与验证机制,防止非法用户进入应用系统
B.用户权限的分配应遵循“最小特权”原则
C.用户密码应严格保密,并定时更新
D.为了防止重要密码丟失,把密码记录在纸质介质上
7、以下关于计算机机房与设施安全管理的要求,(A)是不正确的。
A.计算机系统的设备和部件应有明显的标记,并应便于去除或重新标记
B.机房中应定期使用静电消除,以减少静电的产生
C.进入机房的工作人员,应更换不易产生静电的服装
D.禁止携带个人计算机等电子设备进入机房
8、某企业应用系统为保证运行安全,只允许操作人员在规定的工作时间段内登录该系统进行、业务操作,这种安全策略属与(D)层次
A.数据域安全B.功能性安全C.资源访问安全D.系统级安全
9、基于用户名和口今的用户入网访问控制可分为(A)3个步骤。
A.用户名识别与验证、用户口令的识别与验证、用户账户的默认限制检查
B.用户名识别与验证、用户口令的识别与验证、用户权限的识别与控制
C.用户身份识别与验证、用户口令的识别与验证、用户权限的识别与控制
D.用户账号的默认限制检查、用户口令的识别与验证、用户权限的识别与控制
10、关于计算机机房安全保护方案的设计,以下说法错误的是(C)。
A.某机房在设计供电系统时将计算机供电系统与机房照明设备供电系统分开
B.某机房通过各种手段保障计算机系统的供电,使得该机房的设备长期处于7x24小时连续运转状态
C.某公司在设计计算机机房防盗系统时,在机房布置了封闭装置,当潜入者触动装置时,机房可以从内部自动封闭,使盗城无法逃脱
D.某机房采用焊接的方式设置安全防护地和屏蔽地
11、应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。
以下关于这4个层次安全的论述中,错误的是(C)。
A.按粒度从粗到细排序为系统级安全、资源访问安全、功能性安全、数据域安全
B.系统级安全是应用系统的第一道防线
C.所有的应用系统都会涉及资源访问安全问题
D.数据域安全可以细分为记录级数据域安全和字段级数据域安全
12、希赛公司接到通知,上级领导要在下午对该公司机房进行安全检查,为此公司做如下安排:
①了解检查组人员数量及姓名,为其准备访客证件
②安排专人陪同检査人员对机房安企进行检查
③为了休现检查的公正,下午为领导安排了一个小时的自由查看时间
④根椐检查要求,在机房内临时设置一处吸烟区,明确规定检查期间机房内其他区域严禁烟火
上述安排符合《GB/T20269-2006倍息安全技术信息系统安全管理要求》的做法是(C)。
A.③④B.②③C.①②D.②④
13、电子商务发展的核心与关键问题是交易的安全性,目前安全交易中最重要的两个协议是(C)。
A.S-HTTP和STTB.SEPP和SMTP
C.SSL和SETD.SEPP和SSL
14、信息安全的级别划分有不同的维度,以下级别划分正确的是(C)。
A.系统运行安全和保密有5个层次,包括设备级安全、系统级安全、资源访问安全、功能性安全和数据安全
B.机房分为4个级别:
A级、B级、C级、D级
C.根据系统处理数据划分系统保密等级为绝密、机密和秘密
D.根据系统处理数据的重要性,系统可靠性分为A级和B级
15、系统运行安全的关键是管理,下列关于日常安全管理的做法,不正确的是(B)。
A.系统开发人员和系统操作人员应职责分离
B.信息化部门领导安全管理组织,一年进行一次安全检查
C.用户权限设定应遵循“最小特权”原则
D.在数据转储、维护时要有专制安全人员进行监督
16、在某次针对数据库的信息安全风险评估中,发现其中对财务核心数据的逻辑访问密码长期不变。
基于以上现象,下列说法正确的是(B)
A.该数据不会对计算机构成威胁,因此没有脆弱性
B.密码和授权长期不变是安全漏洞,属于该数据的脆弱性
C.密码和授权长期不变是安全漏洞,属于对数据的威胁
D.风险评估针对设施和软件,不针对数据
17、某公司使用包过滤防火墙控制进出公司局域网的数据,在不考虑使用代理服务器的情况下,下面描述错误的是“该防火墙能够(B”。
A.使公司员工只能访问Internet上与其有业务联系的公司的IP地址
B.仅允许HTTP协议通过
C.使员工不能直接访问FTP服务器口号为21的FTP服务
D.仅允许公司中具有某些特定IP地址的计算机可以访问外部网络
18、两个公司希望通过Internet进行安全通信,保证从信息源到目的地之间的数据传输以密文形式出现,而且公司不系统由于在中间节点使用特殊的安全单元增加开支,最合适的加密方式是(C),使用的会话密钥算法应该是(B)
A.链路加密B.节点加密C.端—端加密D.混合加密
A.RSAB.RC-5C.MD5D.ECC
19、使用浏览器上网时,不影响系统和个人信息安全的是(B)
A.浏览包含有病毒的网站
B.浏览显示网页文字的字体大小
C.在网站上输入银行账户、口令等敏感信息
D.下载和安装互联网上的软件或者程序
20、计箅机病毒是(D)。
特洛伊木马一般分为服务器端和客户端,如果攻击主机为A,目标主机为B,则(B)。
(21)A.编制有借误的计算机程序
B.设计不完善的计算机程序
C.已被破坏的计算机程序
D.以危害系统为目的的特殊的计算机程序
A.A为服务器端B为客户端B.A为客户端B为服务器端
C.A既为服务器端又为客户端D.B既为服务器端又为客户端
21、相对于DES算法而言,RSA算法的(A),因此,RSA(D)。
A.加密密钥和解密密钥是不相同的
B.加密密钥和解密密钥是相同的
C.加密速度比DES要高D.解密速度比DES要高
A.更适用于对文件加密B.保密性不如DES
C.可用于对不同长度的消息生成消息摘要
D.可以用于数字签名
22、以下有关防火墙的说法中,错误的是(D)。
A.防火墙可以提供对系统的访问控制
B.防火墙可以实现对企业内部网的集中安全管理
C.防火墙可以隐藏企业网的内部IP地址
D.防火墙可以防止病毒感染程序(或文件)的传播
23、CA安全认证中心可以(A)。
A.用于在电子商务交易中实现身份认证
B.完成数据加密,保护内部关鍵信息
C.支持在线销售和在线谈判,认证用户的订单
D.提供用户接入线路,保证线路的安全性
24、关于网络安全服务的叙述中,(C)是错误的。
A.应提供访问控制服务以防止用户否认已接收的信息
B.应提供认证服务以保证用户身份的真实性
C.应提供数据完整性服务以防止信息在传输过程中被删除
D.应提供保密性服务以防止传输的数据被截获或篡改
25、(B)不属于系统安全的技术。
A.防火墙B.加密狗C.CA认证D.防病毒
26、关于RSA赏法的说法不正确的是(A)。
A.RSA算法是一种对称加密算法B.RSA算法的运算速度比DES慢
C.RSA算法可用于某种数字签名方案
D.RSA的安全性主要基于素因子分解的难度
27、下面关于防火墙的说法,正确的是(A)。
A.防火墙一般由软件及支持该软件运行的硬件系统构成
B.防火墙只能防止XX的信息发送到内网
C.防火墙能准确地检测出攻击来自哪一台计算机
D.防火墙的主要支撑技术是加密技术
28、很多银行网站在用户输入密码时要求使用软键盘,这是为了(A)。
A.防止木马记录键盘输入的密码B.防止密码在传输过程中被窃取
C.保证密码能够加密输入D.验证用户密码的输入过程
29、用户登录了网络系统,越权使用网络信息资源,这属于(B)。
A.身份窃取B.非授权访问C.数据窃取D.破坏网络的完整性
30、对于一个具有容错错能力的系统,(D)是错误的。
A.通过硬件冗余来设计系统,可以提高容错能力
B.在出现一般性故障时,具有容错能力的系统可以继续运行
C.容错能力强的系统具有更高的可靠性
D.容错是指允许系统运行时出现错误的处理结果
31、利用电子邮件引诱用户到伪装网站,以套取用户的个人资料(如信用卡号码),这种欺作行为是(B)。
A.垃圾邮件攻击B.网络钓鱼C.特洛伊木马D.未授权访问
32、(B)被定义为防火墙外部接口与Internet路由器的内部接口之间的网段,起到把敏感的内部网络与其他网络隔离开来,同时又为相关用户提供服务的目的。
A.核心交换区B.非军事化区C.域名访问区D.数据存储区
33、下面关于防火墙功能的说法中,不正确的是(A)。
A.防火墙能有效防范病毒的入侵
B.防火墙能控制对特殊站点的访问
C.防火墙能对进出的数椐包进行过滤
D.防火墙能对部分网络攻击行为进行检测和报警
34、信息安仝风险评估贯穿于信息系统的全生命周期,根据《国家电子政务工程建设项目管理暂行办法》,项目建设单位组织开展信息安全风险评估工作一般是在(D)。
A.可行分析阶段B.设计阶段
C.实施工作完成前D.实施工作完成后
35、入侵检测系统使用入侵检测技术对网络和系统进行监视,并根据监视结果采取不同的处理,最大限度降低可能的入侵危害。
以下关于入侵检测系统的叙述,不正确的是(A)
A.入侵检测系统可以弥补安全防御系统的漏洞和缺陷
B.入侵检测系统很难检测到未知的攻击行为
C.基于主机的入侵系统可以精确地判断入侵事件
D.网络检测入侵检测系统主要用于实时监控网络关键路径的信息
36、某磁盘阵列共有14块硬盘,采用RAID5技术时的磁盘利用率是(D)。
A.50%B.100%C.70%D.93%
37、以下关于防火墙优点的叙述,不恰当的是(B)。
A.防火墙能强化安全策略B.防火墙能防止从LAN内部攻击
C.防火墙能限制暴露用户点D.防火墙能有效记录Internet上的活动
38、以下不属于信息系统安全体系内容的是(B)。
A.技术体系B.设计体系C.组织机构体系D.管理体系
39、以下不属于物理访问控制要点的是(C)。
A.硬件设施在合理范围内是否能防止强制入侵
B.计算机设备的钥匙是否具有良好的控制
C.计算机设备电源供应是否能适当控制在合理的规格范围内
D.计算机设备在搬动时是否需要设备授权通行的证明
40、关于3种备份方式:
完全备份、差量备份和增量备份的联系和区别,说法错误的是(D)。
A.完全备份较之差量备份,所需要的资源和时间较多
B.差量备份比增量备份需要更长的时间
C.差量备份与增量备份混杂使用,可能会造成文件丢失
D.差量备份恢复时间较增量备份短
41、(A)是目前常用的数字签名算法。
A.RSAB.DESC.DSAD.EDI
42、安全制度是信息安全的重要保障,以下关于信息系统安全管理制度说法不正确的是(B)。
A.安全管理制度需要建设单位、监理、承建单位三方人员共同执行
B.安全管理制度需要由监理单位制订,并报建设单位批准后执行
C.安全管理制度包括出入管理、系统升级、人事管理、应急等相关制度
D.安全管理制度的有效执行是系统安全建设成功实施的关键
43、本地主机房的建设设计等级为A级,则异地建设的备份机房等级是(A)。
A.A级B.B级C.C级D.D级
44、还原速度最快的数据备份策略是(D)。
A.完全备份+增量备份+差分备份B.差分备份+增量备份
C.完全备份+增量备份D.完全备份+差分备份
45、信息系统安全管理体系中,数据安全的目标不包括(C)。
A.防止数据丢失B.防止数椐崩溃
C.防止系统之间数据通信的安全脆弱性威胁
D.防止数据被非法访问
46、信息系统安全属性分为3个方面,以下选项不属于安全属性的是(C)。
A.可用性B.保密性C.系统性D.完整性
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 安全管理