第4章信息系统安全管理

第4章信息系统安全管理本章考点提示：信息安令管理：信息安全含义及目标、信息安全管理的内容。信息息系统安全：信息系统安全概念、信息系统安全属性、信息系统安全管理体系(组织机构体系、管理体系、技术体系）。物理安全管埋：计算机机房与设施安全（计算机机房、电源、计算机设备、通信线路）；技术控制（检査监控系统、人员入/出机房和操作权限控制范围）；环境与人身安全；电磁泄漏（计箅机设备防电磁泄露、计算机设备的电磁辐射标准和电磁兼容标准）。人员安全管理：安全整治、岗位安全考核与培训、离岗人员安全管理、软件安全检测与验收。应用系统安令管理：应用系统安全概念（应用系统的可靠性、应用系统的安全问题、应用系统安个管理的实施）；应用软件开发的质量保证；应用系统运行中的安全管理（系统运行安全审核目标、系统运行安全与保密的层次构成、系统运行安全检查记录、系统运行管理制度）应用软件维护安全管理（应用软件维护活动的类别、应用软件维护的安全管理目标、应用软件维护的工作项、应用软件维护执行步骤）。4.1习题1、信息系统的安全属性包括(A)保和不可抵赖性。A.密性、完整性、可用性B.符合性、完整性、可用性C.保密性、完整性、可靠性D.保密性、可用性、可维护性2、使用网上银行卡支付系统付款与使用传统信用卡支付系统付款，两者的付款授权方式是不同的，下列论述正确的是（A)。A.前者使用数字签名进行远程授权，后者在购物现场使用手写签名的方式授权商家扣款B.前者在购物现场使用手写签名的方式授权商家扣款，后者使用数字签名进行远程授权C.两者都在使用数字签名进行远程授权D.两者都在购物现场使用手写签名的方式授权商家扣款3、电子商务安全要求的4个方面是（C)A.传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抵赖性B.存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证C.传输的安全性、数据的完整性、交易各方的身份认证和交易的不可抵赖性D.存储的安全性、传输的高效性、数据的完整性和交易的不可氐赖性4、应用数据完整性机制可以防止(D)A.假冒源地址或用户地址的欺骗攻击B.抵赖做过信息的递交行为C.数据中途被攻击者窃听获取D.数据在途中被攻击者篡改或破坏5、应用系统运行中涉及的安全和保密层次包括4层，这4个层次按粒度从粗到细的排列顺序是(C)。A.数据域安全、功能性安全、资源访问安全、系统级安全B.数据域安全、资源访问安全、功能性安全、系统级安全C.系统级安全、资源访问安全、功能性安全、数据域安全D.系统级安全、功能性安全、资源访问安全、数据域安全6、为了确保系统运行的安全，针对用户管理，下列做法不妥当的是（D)。A.建立用户身份识别与验证机制，防止非法用户进入应用系统B.用户权限的分配应遵循“最小特权”原则C.用户密码应严格保密，并定时更新D.为了防止重要密码丟失，把密码记录在纸质介质上7、以下关于计算机机房与设施安全管理的要求，(A)是不正确的。A.计算机系统的设备和部件应有明显的标记，并应便于去除或重新标记B.机房中应定期使用静电消除，以减少静电的产生C.进入机房的工作人员，应更换不易产生静电的服装D.禁止携带个人计算机等电子设备进入机房8、某企业应用系统为保证运行安全，只允许操作人员在规定的工作时间段内登录该系统进行、业务操作，这种安全策略属与(D)层次A.数据域安全B.功能性安全C.资源访问安全D.系统级安全9、基于用户名和口今的用户入网访问控制可分为（A)3个步骤。A.用户名识别与验证、用户口令的识别与验证、用户账户的默认限制检查B.用户名识别与验证、用户口令的识别与验证、用户权限的识别与控制C.用户身份识别与验证、用户口令的识别与验证、用户权限的识别与控制D.用户账号的默认限制检查、用户口令的识别与验证、用户权限的识别与控制10、关于计算机机房安全保护方案的设计，以下说法错误的是（C)。A.某机房在设计供电系统时将计算机供电系统与机房照明设备供电系统分开B.某机房通过各种手段保障计算机系统的供电，使得该机房的设备长期处于7x24小时连续运转状态C.某公司在设计计算机机房防盗系统时，在机房布置了封闭装置，当潜入者触动装置时，机房可以从内部自动封闭，使盗城无法逃脱D.某机房采用焊接的方式设置安全防护地和屏蔽地11、应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。以下关于这4个层次安全的论述中，错误的是（C)。A.按粒度从粗到细排序为系统级安全、资源访问安全、功能性安全、数据域安全B.系统级安全是应用系统的第一道防线C.所有的应用系统都会涉及资源访问安全问题D.数据域安全可以细分为记录级数据域安全和字段级数据域安全12、希赛公司接到通知，上级领导要在下午对该公司机房进行安全检查，为此公司做如下安排:①了解检查组人员数量及姓名，为其准备访客证件②安排专人陪同检査人员对机房安企进行检查③为了休现检查的公正，下午为领导安排了一个小时的自由查看时间④根椐检查要求，在机房内临时设置一处吸烟区,明确规定检查期间机房内其他区域严禁烟火上述安排符合《GB/T20269-2006倍息安全技术信息系统安全管理要求》的做法是(C)。A.③④B.②③C.①②D.②④13、电子商务发展的核心与关键问题是交易的安全性，目前安全交易中最重要的两个协议是（C)。A.S-HTTP和STTB.SEPP和SMTPC.SSL和SETD.SEPP和SSL14、信息安全的级别划分有不同的维度，以下级别划分正确的是（C)。A.系统运行安全和保密有5个层次，包括设备级安全、系统级安全、资源访问安全、功能性安全和数据安全B.机房分为4个级别：A级、B级、C级、D级C.根据系统处理数据划分系统保密等级为绝密、机密和秘密D.根据系统处理数据的重要性，系统可靠性分为A级和B级15、系统运行安全的关键是管理，下列关于日常安全管理的做法，不正确的是(B)。A.系统开发人员和系统操作人员应职责分离B.信息化部门领导安全管理组织，一年进行一次安全检查C.用户权限设定应遵循“最小特权”原则D.在数据转储、维护时要有专制安全人员进行监督16、在某次针对数据库的信息安全风险评估中，发现其中对财务核心数据的逻辑访问密码长期不变。基于以上现象，下列说法正确的是（B）A.该数据不会对计算机构成威胁，因此没有脆弱性B.密码和授权长期不变是安全漏洞，属于该数据的脆弱性C.密码和授权长期不变是安全漏洞，属于对数据的威胁D.风险评估针对设施和软件，不针对数据17、某公司使用包过滤防火墙控制进出公司局域网的数据，在不考虑使用代理服务器的情况下，下面描述错误的是“该防火墙能够（B”。A.使公司员工只能访问Internet上与其有业务联系的公司的IP地址B.仅允许HTTP协议通过C.使员工不能直接访问FTP服务器口号为21的FTP服务D.仅允许公司中具有某些特定IP地址的计算机可以访问外部网络18、两个公司希望通过Internet进行安全通信，保证从信息源到目的地之间的数据传输以密文形式出现，而且公司不系统由于在中间节点使用特殊的安全单元增加开支，最合适的加密方式是（C），使用的会话密钥算法应该是（B）A.链路加密B.节点加密C.端—端加密D.混合加密A.RSAB.RC-5C.MD5D.ECC19、使用浏览器上网时，不影响系统和个人信息安全的是（B）A.浏览包含有病毒的网站B.浏览显示网页文字的字体大小C.在网站上输入银行账户、口令等敏感信息D.下载和安装互联网上的软件或者程序20、计箅机病毒是(D)。特洛伊木马一般分为服务器端和客户端，如果攻击主机为A,目标主机为B,则(B)。(21)A.编制有借误的计算机程序B.设计不完善的计算机程序C.已被破坏的计算机程序D.以危害系统为目的的特殊的计算机程序A.A为服务器端B为客户端B.A为客户端B为服务器端C.A既为服务器端又为客户端D.B既为服务器端又为客户端21、相对于DES算法而言，RSA算法的（A),因此，RSA(D)。A.加密密钥和解密密钥是不相同的B.加密密钥和解密密钥是相同的C.加密速度比DES要高D.解密速度比DES要高A.更适用于对文件加密B.保密性不如DESC.可用于对不同长度的消息生成消息摘要D.可以用于数字签名22、以下有关防火墙的说法中，错误的是（D)。A.防火墙可以提供对系统的访问控制B.防火墙可以实现对企业内部网的集中安全管理C.防火墙可以隐藏企业网的内部IP地址D.防火墙可以防止病毒感染程序（或文件）的传播23、CA安全认证中心可以（A)。A.用于在电子商务交易中实现身份认证B.完成数据加密，保护内部关鍵信息C.支持在线销售和在线谈判，认证用户的订单D.提供用户接入线路，保证线路的安全性24、关于网络安全服务的叙述中，(C)是错误的。A.应提供访问控制服务以防止用户否认已接收的信息B.应提供认证服务以保证用户身份的真实性C.应提供数据完整性服务以防止信息在传输过程中被删除D.应提供保密性服务以防止传输的数据被截获或篡改25、(B)不属于系统安全的技术。A.防火墙B.加密狗C.CA认证D.防病毒26、关于RSA赏法的说法不正确的是（A)。A.RSA算法是一种对称加密算法B.RSA算法的运算速度比DES慢C.RSA算法可用于某种数字签名方案D.RSA的安全性主要基于素因子分解的难度27、下面关于防火墙的说法，正确的是（A)。A.防火墙一般由软件及支持该软件运行的硬件系统构成B.防火墙只能防止未经授权的信息发送到内网C.防火墙能准确地检测出攻击来自哪一台计算机D.防火墙的主要支撑技术是加密技术28、很多银行网站在用户输入密码时要求使用软键盘，这是为了（A)。A.防止木马记录键盘输入的密码B.防止密码在传输过程中被窃取C.保证密码能够加密输入D.验证用户密码的输入过程29、用户登录了网络系统，越权使用网络信息资源，这属于(B)。A.身份窃取B.非授权访问C.数据窃取D.破坏网络的完整性30、对于一个具有容错错能力的系统，(D)是错误的。A.通过硬件冗余来设计系统，可以提高容错能力B.在出现一般性故障时，具有容错能力的系统可以继续运行C.容错能力强的系统具有更高的可靠性D.容错是指允许系统运行时出现错误的处理结果31、利用电子邮件引诱用户到伪装网站，以套取用户的个人资料（如信用卡号码），这种欺作行为是（B)。A.垃圾邮件攻击B.网络钓鱼C.特洛伊木马D.未授权访问32、(B)被定义为防火墙外部接口与Internet路由器的内部接口之间的网段，起到把敏感的内部网络与其他网络隔离开来，同时又为相关用户提供服务的目的。A.核心交换区B.非军事化区C.域名访问区D.数据存储区33、下面关于防火墙功能的说法中，不正确的是(A)。A.防火墙能有效防范病毒的入侵B.防火墙能控制对特殊站点的访问C.防火墙能对进出的数椐包进行过滤D.防火墙能对部分网络攻击行为进行检测和报警34、信息安仝风险评估贯穿于信息系统的全生命周期，根据《国家电子政务工程建设项目管理暂行办法》，项目建设单位组织开展信息安全风险评估工作一般是在（D)。A.可行分析阶段B.设计阶段C.实施工作完成前D.实施工作完成后35、入侵检测系统使用入侵检测技术对网络和系统进行监视，并根据监视结果采取不同的处理，最大限度降低可能的入侵危害。以下关于入侵检测系统的叙述，不正确的是(A)A.入侵检测系统可以弥补安全防御系统的漏洞和缺陷B.入侵检测系统很难检测到未知的攻击行为C.基于主机的入侵系统可以精确地判断入侵事件D.网络检测入侵检测系统主要用于实时监控网络关键路径的信息36、某磁盘阵列共有14块硬盘，采用RAID5技术时的磁盘利用率是（D)。A.50%B.100%C.70%D.93%37、以下关于防火墙优点的叙述，不恰当的是（B)。A.防火墙能强化安全策略B.防火墙能防止从LAN内部攻击C.防火墙能限制暴露用户点D.防火墙能有效记录Internet上的活动38、以下不属于信息系统安全体系内容的是（B)。A.技术体系B.设计体系C.组织机构体系D.管理体系39、以下不属于物理访问控制要点的