信息资源安全管理

1.[识记]应对银行突发的灾难最有效的办法是什么？201104-P154第六章、信息资源安全管理16.应对银行突发灾难的最有效办法，是迅速建立并不断完善金融机构(201104)A.灾难备份和恢复系统B.信息系统C.认证系统D.交易系统2.[识记]信息资源安全管理主要关注信息在开发利用过程中面临的那些问题？(P154)-可用性-保密性(机密性)-认证性(真实性)-一致性(完整性)12、保密性可以保证信息不被窃取，或者窃取者不能()201304A．了解信息的真实含义B．破坏信息C．使用信息D．传送信息25、信息资源安全主要关注信息在开发利用过程中面临的()201307-p154-155A、可用性问题B、机密性问题C、真实性问题D、完整性问题E、可行性问题三、名词解释（本大题共3小题，每小题3分，共9分）20130426、CIO27、信息资源安全管理28、信息分析P154信息资源安全：针对普遍存在的信息资源安全问题，人们利用各种技术方法和组织手段，所进行的有计划的管理活动。26、CIO-P65CIO即ChiefOfOfficer,首席信息官。是专门负责组织信息化建设、实施和运作的管理者，通常是组织决策层的成员。28、信息分析-P113指的是以社会用户的特定需求为依托,以定性和定量研究方法为手段,通过对信息的整理,鉴别,评价,分析,综合等系列化加工过程,形成新的,增值的信息产品,最终为不同层次的科学决策服务的一项具有科研性质的智能活动.3.[识记]信息资源安全管理的主要任务是什么？[P155-201101简答、201107案例](1)采取技术和管理措施，保证信息资源可用.即:使信息和信息系统在任何时候均被合法用户可用.(2)采用数据加密技术，使信息在其处理过程(存储或传输)中，其内容不被非法者所获得.(3)建立有效的责任机制，防止用户否认其行为。(4)建立可审查的机制，实现责任可追究。追踪信息资源的when,who,how-系统日志四、简答题(本大题共5小题,每小题5分,共25分-201104)29.试举例阐释信息社会的特点。30.信息系统的生命周期分为哪几个阶段?31.简述信息存储的基本原则。32.简述信息资源安全管理的主要任务。33.简述企业信息资源管理和政府信息资源管理在目标和手段上存在的不同点。201104-29.试举例阐释信息社会的特点。P20(1)非物质性如信息咨询、代理服务、媒体制作、软件开发等(2)超时空性如电子商务、远程教育、远程医疗等(3)可扩展性如：即时通讯工具QQ/MSN/微信/微博201104-31.31.简述信息存储的基本原则?P107(1)统一性遵循国家标准或国际标准(2)便利性方便用户检索(3)有序性强调存放的规律性(4)先进性强调存储的载体201104-30.信息系统的生命周期分为哪几个阶段?P71(1)系统规划(2)系统分析(3)系统设计(4)系统实施(5)系统运行与维护五、综合分析题(本大题共3小题，每小题12分，共36分)20110736．案例：道德败坏的“冒名顶替”胡泳、范海燕在他们的《网络之王》一书中，记载我国首起电子邮件侵权案。1996年7月9日，北京市海淀区法院开庭审理北大心理系93级研究生X状告同学Z的事件。1996年4月9日，原告X收到美国密歇根大学寄来的同意提供奖学金的电子邮件，她很高兴，当时这封邮件被存在北大计算服务中心服务器同学Z的邮箱中。可是，X等了很久都没有接到密歇根大学的正式录取通知书。于是X托在美国的朋友询问，得到的答复是：4月12日密歇根大学收到以X为名的电子邮件，称X已接受其他学校录取，故不能去该校学习。所以，密歇根大学已把奖学金移给他人。X以从北大计算服务中心服务器取得的电子邮件记录与密歇根大学得到的电子邮件吻合为依据，诉讼同学Z冒名顶替发假邮件，致使自己失去一次出国留学的机会，并蒙受损失，要求Z赔偿和道歉。虽然法庭上Z辩称电子邮件非她所为，但休庭时承认自己出于嫉妒情绪而做错事。最终，法庭调节双方达成协议：Z向X书面道歉并赔偿12000元的经济、精神损失费。而结果是，X最终重新得到了密歇根大学资助，赴美成行；Z尽管得到了丹佛大学奖学金，但因为此起道德败坏事件，推荐人取消推荐而梦断北京。要求：分析如何应用密码学技术和管理方法解决上述案例中的身份验证和电子证据问题。4.[识记]信息系统安全层次分为哪些?P156-201107单(1)法规道德纪律(2)管理制度措施(3)物理实体安全(4)硬件系统安全(5)通信网络安全(6)软件系统安全(7)数据系统安全行为规范实体安全技术安全15.信息系统安全的行为规范管理包括两个层面：国家和(201107)A.企业B.个人C.社会组织D.集体16.类似于网络系统架构的ISO的OSI模型,信息系统安全问题可归纳在一个(201107)A.七层模型中B.五层模型中C.三层模型中D.二层模型中4.[识记]制定安全策略的步骤有哪些?P157-201104多25.制定安全策略的步骤包括()A.理解组织的业务特征B.建立安全管理组织机制C.开发策略实施手段D.确定安全策略的范围E.安全策略评估(1)理解组织业务特征(2)建立安全管理组织体制(3)确定信息资源安全的整体目标(4)确定安全策略的范围(5)安全策略评估(6)安全策略实施5.[识记]实体安全管理的主要内容有哪些?P157-201107简实体安全包含有物理实体安全和硬件系统安全管理两部分内容。具体包括：(1)场地环境安全-场地-空气调节系统-防火管理(2)硬件安全-硬件设备的档案管理-防电磁干扰-防电磁泄露-电源安全(3)介质安全-磁盘、磁带、光盘四、简答题(本大题共5小题，每小题5分，共25分)[201107]29．简述信息、知识、智能三者的关系。30．什么是信息系统维护?信息系统维护包括哪几个方面内容?3l．简述普赖斯曲线和普赖斯指数的含义。32．什么是实体安全管理?实体安全管理包括哪几个方面的内容?33．系统分析员的主要任务有哪些?考试用书201107-29.简述信息、知识、智能三者的关系。P28(1)信息经过加工提炼成知识(2)知识被目的激活成为智能(3)智能是信息最高层次201107-30.什么是信息系统维护?信息系统维护包括哪几个方面内容?P83信息系统维护就是为了使信息系统处于合用状态而采取的一系列措施，目的是纠正错误和改进功能，保证信息系统正常工作。其主要内容：(1)程序的维护；(2)数据的维护；(3)代码的维护；(4)设备的维护201107-31.简述普赖斯曲线和普赖斯指数的含义。P115以科学文献累积量为纵轴，以历史年代为横轴，把各个年代的科学文献量在坐标图上逐点描绘出来，然后以一条光滑曲线连接各点，就十分近似地表征了科学文献量随时间增长的规律。赖普斯提出一个衡量文献老化的数量指标---莱普斯指数：=被引文献数量(小于或等于5年)/被引文献总量x100%201107-33．系统分析员的主要任务有哪些?P63系统分析员的主要任务：(1)通过现行系统的运行环境、作业流程、用户需求情况的调查分析；(2)确定目标系统的功能结构、性能指标、资源配置和编码体系、逻辑模型，以便为系统设计提供科学依据。6.[识记]为避免机房发生火灾造成大的损失，应该采取防火安全策略有哪些？(P158)(1)配备烟火报警装置(2)制定防火管理应急预案(3)设计防火分离区(如防火门、隔离带等)(4)配备灭火器材五、综合分析题（本大题共3小题，每小题12分，共36分）20130434、材料：某航空集团公司拥有一个地域分散、多厂商、多平台、多系统的复杂IT环境。IT系统运行复杂，业务系统故障多，技术人员的被动工作方式难以适应企业IT服务需要。要求：试运用IT服务管理相关知识为该公司出谋划策，使其IT服务向更高层次的主动服务发展。35、结合一个组织的具体情况，说明组织信息化规划的三个层次。36、实体安全主要涉及信息系统的硬件及其运行环境，其安全与否对于网络、软件、数据等安全有着重要影响。试结合机房应用，阐述实体安全应该采取的各种防护策略。7.[识记]网络资源和网络安全管理涉及哪些网络资源?P161-201107(1)主机系统；(2)终端系统；(3)网络互联设备。17.企业网络包括()201107A.内网和公网B.内网、外网和公网C.局域网和广域网D.无线网和有线网8.[识记]主要的网络安全措施和技术有哪些?p161-201107、201204(1)网络分段与VLAN；(2)防火墙技术；(3)VPN-VirtualPrivateNetwork(4)入侵检测(5)病毒防治。25.主要的网络安全措施和技术手段包括(201107)A.防火墙B.入侵检测系统C.电源安全D.反病毒软件E.数据库备份16、网络分段通常被认为是控制广播风暴的一种基本手段。其指导思想就是将非法用户与网络资源(B)201204A、相互认证B、相互隔离C、相互控制D、相互影响18、部署防火墙的系统必须确保(C)201204A、系统不能与外部开通网络连接B、部署VPNC、通过防火墙与系统外部的网络连接D、网络系统可靠16、VLAN技术是一种常用的(201207)p161A.物理分段方法B.局域网方法C.逻辑分段方法D.病毒检测方法三、名词解释(本大题共3小题，每小题3分，共9分)20110726．CIO27．信息系统审计28．入侵检测-P162入侵检测是一种主动安全保护技术。在不影响网络性能的前提下，对网络(特别是内部网络)进行监测，从计算机网络的若干关键点收集信息，通过分析这些信息，发现异常并判断识别是否为恶意攻击。CIO-P65CIO即ChiefOfOfficer,首席信息官。是专门负责组织信息化建设、实施和运作的管理者，通常是组织决策层的成员。信息系统审计-P93指的是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维持数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效使用等方面做出判断的过程。9.[领会]什么是VPN？p162VPN即VirtualPrivateNwtwork虚拟专用网是被定义为通过公共网络(如Internet)建立的专用网络，它通过所谓的”隧道”技术，开辟一条穿过混乱的公共网络的安全、稳定的隧道，实现可信任的网络连接。什么是VPN的隧道技术？举例写出三种重要的隧道协议。隧道协议=乘客协议+封装协议+传输协议（1）乘客协议：用户要传输的数据，被封装的数据，可以是IP、PPP、SLIP等—信（2）封装协议：用于建立、保持和拆卸隧道，如L2F、PPTP、L2TP、GRE等—信封（3）传输协议：乘客协议被封装后应用传输协议—送信方式10.[领会]VPN的优点有哪些？p162(1)经济；(2)结构灵活、管理方便；(3)安全。这是核心通过VPN通信的两台主机必须通过一个安全的通道(tunnel)。这个tunnel是逻辑上的，并不真正存在，因此通过数据的加密和认证使得数据包即使被截获也不容易破译。如何实现这一点，以前的VPN很多的采用SSL等方法对数据进行加密，但是缺点是配置安全策略不够灵活，另外，需要在高层协议上开发大量的代码，唯一的优点就是能够对DOS(服务拒绝)攻击有较好的防御。11.[领会]什么是计算机病毒？p163指的是编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。病毒式营销ViralMarketing病毒营销是由欧莱礼媒体公司（O'ReillyMedia）总裁兼CEO提姆·奥莱理（TimO'Reilly）提出。他是美国IT业界公认的传奇式人物，是开放源码概念的缔造者。所谓“病毒式网络营销”，是通过用户的口碑宣传网络，信息像病毒一样传播和扩散，利用快速复制的方式传向数以千计、数以百万计的受众。也就是说，通过提供有价值的产品或服务，“让大家告诉大家”，通过别人为你宣传，实现“营销杠杆”的作用。核心：是在于找到营销的引爆点，如何找到既迎合目标用户口味又能正面宣传企业的话题是关键，而营销技巧的核心在于如何打动消费者，让企业的