新建 第二章 信息安全管理基础.doc

第二章 信息安全管理基础一、判断题1.Windows2000/xp系统提供了口令安全策略，以对帐户口令安全进行保护。2.口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信息，进而非法获得系统和资源访问权限。3.PKI系统所有的安全操作都是通过数字证书来实现的。4.PKI系统使用了非对称算法、对称算法和散列算法。5.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制，同样依赖于底层的物理、网络和系统等层面的安全状况。6.按照BS 7799标准，信息安全管理应当是一个持续改进的周期性过程。7.网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。8.网络边界保护中主要采用防火墙系统，在内网和外网之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作用。9.信息技术基础设施库（ITIL），是由英国发布的关于IT服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。10.美国国家标准技术协会NIST发布的SP 800-30中详细阐述了IT系统风险管理内容。11.防火墙在静态包过滤技术的基础上，通过会话状态检测技术将数据包的过滤处理效率大幅提高。12.脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。二、单选题1.下面所列的 安全机制不属于信息安全保障体系中的事先保护环节。A.杀毒软件B.数字证书认证C.防火墙D.数据库加密2.信息安全管理领域权威的标准是 。A.ISO 15408B.ISO 17799/ISO 27001C.ISO 9001D.ISO 140013.ISO 17799/ISO 27001最初是由 提出的国家标准。A.美国B.澳大利亚C.英国D.中国4.ISO 17799的内容结构按照 进行组织。A.管理原则B.管理框架C.管理域控制目标控制措施D.管理制度5. 对于信息安全管理负有责任。A.高级管理层B.安全管理员C.IT管理员D.所有与信息系统有关人员6.对于提高人员安全意识和安全操作技能来说，以下所列的安全管理最有效的是 。A.安全检查B.教育与培训C.责任追究D.制度约束7. 安全策略是得到大部分需求的支持并同时能够保护企业的利益。A.有效的B.合法的C.实际的D.成熟的8.制定灾难恢复策略，最重要的是要知道哪些是商务工作中最重要的设施，在发生灾难后，这些设施的 。A.恢复预算是多少B.恢复时间是多长C.恢复人员有几个D.恢复设备有多少9.防止静态信息被非授权访问和防止动态信息被截取解密是 。A.数据完整性B.数据可用性C.数据可靠性D.数据保密性10.用户身份鉴别是通过 完成的。A.口令验证 B.审计策略 C.存取控制D.查询功能11.网络数据备份的实现主要需要考虑的问题不包括 。A.架设高速局域网 B.分析应用环境 C.选择备份硬件设备D.选择备份管理软件12.对网络层数据包进行过滤和控制的信息安全技术机制是 。A.防火墙B.IDSC.SnifferD.IPSec13.下列不属于防火墙核心技术的是 。A.（静态/动态）包过滤技术 B.NAT技术C.应用代理技术 D.日志审计14.应用代理防火墙的主要优点是 。A.加密强度更高B.安全控制更细化、更灵活C.安全服务的透明性更好D.服务对象更广泛15.下列关于用户口令说法错误的是 。A.口令不能设置为空B.口令长度越长，安全性越高C.复杂口令安全性足够高，不需要定期修改D.口令认证是最常见的认证机制16.在使用复杂度不高的口令时，容易产生弱口令的安全脆弱性，被攻击者利用，从而破解用户帐户，下列 具有最好的口令复杂度。A.morrisonB.Wm.$*F2m5C.27776394D.wangjing197717.按照通常的口令使用策略，口令修改操作的周期应为 天。A.60B.90C.30D.12018.对口令进行安全性管理和使用，最终是为了 。A.口令不被攻击者非法获得 B.防止攻击者非法获得访问和操作权限C.保证用户帐户的安全性D.规范用户操作行为19.人们设计了 ，以改善口令认证自身安全性不足的问题。A.统一身份管理B.指纹认证C.数字证书认证D.动态口令认证机制20.PKI是 。A.Private Key InfrastructureB.Public Key InstituteC.Public Key InfrastructureD.Private Key Institute21.公钥密码基础设施PKI解决了信息系统中的 问题。A.身份信任B.权限管理C.安全审计D.加密22.PKI所管理的基本元素是 。A.密钥B.用户身份C.数字证书 D.数字签名23.最终提交给普通终端用户，并且要求其签署和遵守的安全策略是 。A.口令策略B.保密协议C.可接受使用策略D.责任追究制度24.下列关于信息安全策略维护的说法， 是错误的。A.安全策略的维护应当由专门的部门完成B.安全策略制定完成并发布之后，不需要再对其进行修改C.应当定期对安全策略进行审查和修订D.维护工作应当周期性进行25.链路加密技术是在OSI协议层次的第二层，数据链路层对数据进行加密保护，其处理的对象是 。A.比特流B. IP数据包C.数据帧D.应用数据26.入侵检测技术可以分为误用检测和 两大类。 A.病毒检测B.详细检测C.异常检测D.漏洞检测27.安全评估技术采用 这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。A.安全扫描器B.安全扫描仪C.自动扫描器D.自动扫描仪28. 最好地描述了数字证书。A.等同于在网络上证明个人和公司身份的身份证B.浏览器的一标准特性，它使得黑客不能得知用户的身份C.网站要求用户使用用户名和密码登陆的安全机制D.伴随在线交易证明购买的收据29.根据BS 7799的规定，建立的信息安全管理体系ISMS的最重要特征是 。A.全面性B.文档化C.先进性D.制度化30.根据BS 7799的规定，对信息系统的安全管理不能只局限于对其运行期间的管理维护，而要将管理措施扩展到信息系统生命周期的其他阶段，BS 7799中与此有关的一个重要方面就是 。A.访问控制B.业务连续性C.信息系统获取、开发与维护D.组织与人员31.关于口令认证机制，下列说法正确的是 。A.实现代价最低，安全性最高B.实现代价最低，安全性最低C.实现代价最高，安全性最高D.实现代价最高，安全性最低32.根据BS 7799的规定，访问控制机制在信息安全保障体系中属于 环节。A.保护B.检测C.响应D.恢复33.身份认证的含义是 。A.注册一个用户B.标识一个用户C.验证一个用户D.授权一个用户34.口令机制通常用于 。A.认证B.标识C.注册D.授权35.对日志数据进行审计检查，属于 类控制措施。A.预防B.检测C.威慑D.修正36.关于入侵检测技术，下列描述错误的是 。A.入侵检测系统不对系统或网络造成任何影响B.审计数据或系统日志信息是入侵检测系统的一项主要信息来源C.入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵D.基于网络的入侵检测系统无法检查加密的数据流37.安全扫描可以 。A.弥补由于认证机制薄弱带来的问题B.弥补由于协议本身而产生的问题C.弥补防火墙对内网安全威胁检测不足的问题D.扫描检测所有的数据包攻击，分析所有的数据流38.下述关于安全扫描和安全扫描系统的描述错误的是 。A.安全扫描在企业部署安全策略中处于非常重要的地位B.安全扫描系统可用于管理和维护信息安全设备的安全C.安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性D.安全扫描系统是把双刃剑39.在ISO/IEC 17799中，防止恶意软件的目的就是为了保护软件和信息的 。A.安全性 B.完整性 C.稳定性 D.有效性 40.在生成系统帐号时，系统管理员应该分配给合法用户一个 ，用户在第一次登录时应更改口令。A.唯一的口令 B.登录的位置 C.使用的说明 D.系统的规则 41.关于防火墙和VPN的使用，下面说法不正确的是 。A.配置VPN网关防火墙的一种方法是把它们并行放置，两者独立B.配置VPN网关防火墙的一种方法是把它们串行放置，防火墙在广域网一侧，VPN在局域网一侧C.配置VPN网关防火墙的一种方法是把它们串行放置，防火墙在局域网一侧，VPN在广域网一侧D.配置VPN网关防火墙的一种方法是把它们并行放置，两者要互相依赖42.环境安全策略应该 。A.详细而具体B.复杂而专业C.深入而清晰D.简单而全面43. 是一种架构在公用通信基础设施上的专用数据通信网络，利用IPSec等网络层安全协议和建立在PKI上的加密与签名技术来获得私有性。 A. SET B. DDN C. VPN D. PKIX44.策略应该清晰，无须借助过多的特殊通用需求文档描述，并且还要有具体的 。 A. 管理支持 B. 技术细节 C. 实施计划 D. 被充内容45.在一个企业网中，防火墙应该是 的一部分，构建防火墙时首先要考虑其保护的范围。A.安全技术B.安全设置C.局部安全策略D.全局安全策略46.信息安全策略的制定和维护中，最重要是要保证其 和相对稳定性。A.明确性B.细致性C.标准性D.开放性47. 是企业信息安全的核心。A.安全教育B.安全措施C.安全管理D.安全设施48.许多与PKI相关的协议标准（如PKIX、S/MIME、SSL、TLS、IPSec）等都是在 基础上发展起来的。 A. X.500 B. X.509 C. X.519 D. X.505 49. 是PKI体系中最基本的元素，PKI系统所有的安全操作都是通过该机制来实现的。 A.SSL B.IARA C.RA D.数字证书 50.基于密码技术的访问控制是防止 的主要防护手段。A.数据传输泄密B.数据传输丢失C.数据交换失败D.数据备份失败51.避免对系统非法访问的主要方法是 。A.加强管理B.身份认证C.访问控制D.访问分配权限52.在一个信息安全保障体系中，最重要的核心组成部分为 。A.技术体系B.安全策略C.管理体系D.教育与培训53.下列 不属于物理安全控制措施。A.门锁B.警卫C.口令D.围墙54.VPN是 的简称。A.Visual Private NetworkB.Virtual Private NetworkC.Virtual Public NetworkD.Visual Public Network55.部署VPN产品，不能实现对 属性的需求。A.完整性B.真实性C.可用性D.保密性56. 是最常用的公钥密码算法。A.RSAB.DSAC.椭圆曲线D.量子密码57.PKI的主要理论基础是 。A.对称密码算法B.公钥密码算法C.量子密码D.摘要算法58.PKI中进行数字证书管理的核心组成模块是 。A.注册中心RAB.证书中心CAC.目录服务器D.证书作废列表59. 手段，可以有效应对较大范围的安全事件的不良影响，保证关键服务和数据的可用性。A.定期备份B.异地备份 C.人工备份D.本地备份60.信息安全评测标准CC是 标准。A.美国B.国际C.英国D.澳大利亚三、多选题1.用于实时的入侵检测信息分析的技术手段有 。 A.模式匹配 B.完整性分析 C.可靠性分析 D.统计分析 E.可用性分析 2.典型的数据备份策略包括 。A.完全备份B.增量备份C.选择性备份D.差异备份E.手工备份3.安全脆弱性，是指安全性漏洞，广泛存在于 。A.协议设计过程B.系统实现过程C.运行维护过程D.安全评估过程E.审计检查过程4.信息安全技术根据信息系统自身的层次化特点，也被划分了不同的层次，这些层次包括 。A.物理层安全B.人员安全C.网络层安全D.系统层安全E.应用层安全5.物理层安全的主要内容包括 。A.环境安全B.设备安全C.线路安全D.介质安全E.人员安全6.根据BS 7799的规定，信息安全管理体系ISMS的建立和维护，也要按照PDCA的管理模型周期性进行，主要包含 环节。A.策略PolicyB.建立PlanC.实施DoD.检查CheckE.维护改进Act7.在BS 7799中，访问控制涉及到信息系统的各个层面，其中主要包括 。A.物理访问控制B.网络访问控制C.人员访问控制D.系统访问控制E.应用访问控制8.英国国家标准BS 7799，经国际标准化组织采纳为国家标准 。A.ISO 17799B.ISO 15408C.ISO 13335D.ISO 27001E.ISO 240889.为了正确获得口令并对其进行妥善保护，应认真考虑的原则和方法有 。A.口令/帐号加密B.定期更换口令C.限制对口令文件的访问D.设置复杂的、具有一定位数的口令10.关于入侵检测和入侵检测系统，下述正确的选项是 。A.入侵检测收集信息应在网络的不同关键点进行B.入侵检测的信息分析具有实时性C.基于网络的入侵检测系统的精确性不及基于主机的入侵检测系统的精确性高D.分布式入侵检测系统既能检测网络的入侵行为，又能检测主机的入侵行为E.入侵检测系统的主要功能是对发生的入侵事件进行应急响应处理11.目前广泛使用的主要安全技术包括 。A.防火墙B.入侵检测C.PKID.VPNE.病毒查杀12.基于角色对用户组进行访问控制的方式有以下作用： 。A.使用户分类化B.用户的可管理性得到加强C.简化了权限管理，避免直接在用户和数据之间进行授权和取消D.有利于合理划分职责E.防止权力滥用13.在网络中身份认证时可以采用的鉴别方法有 。A.采用用户本身特征进行鉴别B.采用用户所知道的事进行鉴别C.采用第三方介绍方法进行鉴别D.使用用户拥有的物品进行鉴别E.使用第三方拥有的物品进行鉴别14.在ISO/IEC 17799标准中，信息安全特指保护 。A.信息的保密性B.信息的完整性C.信息的流动性D.信息的可用性15.PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的 的总和。A.硬件B.软件C.人员D.策略E.规程16.SSL主要提供三方面的服务，即 。 A.数字签名B.认证用户和服务器 C.网络传输 D.加密数据以隐藏被传送的数据 E.维护数据的完整性17.经典密码学主要包括两个既对立又统一的分支，即 。 A.密码编码学 B.密钥密码学 C.密码分析学 D.序列密码 E.古典密码 18.有多种情况能够泄漏口令，这些途径包括 。A.猜测和发现口令 B.口令设置过于复杂C.将口令告诉别人D.电子监控E.访问口令文件19.一个安全的网络系统具有的特点是 。A.保持各种数据的机密B.保持所有信息、数据及系统中各种程序的完整性和准确性C.保证合法访问者的访问和接受正常的服务D.保证网络在任何时刻都有很高的传输速度E.保证各方面的工作符合法律、规则、许可证、合同等标准20.任何信息安全系统中都存在脆弱点，它可以存在于 。A.使用过程中B.网络中C.管理过程中D.计算机系统中E.计算机操作系统中21.根据采用的技术，入侵检测系统有以下分类： 。A.正常检测B.异常检测C.特征检测D.固定检测E.重点检测22.在安全评估过程中，安全威胁的来源包括 。A.外部黑客B.内部人员C.信息技术本身D.物理环境E.自然界23.安全评估过程中，经常采用的评估方法包括 。A.调查问卷B.人员访谈 C.工具检测D.手工审核E.渗透性测试24.网络入侵检测系统，既可以对外部黑客的攻击行为进行检测，也可以发现内部攻击者的操作行为，通常部署在 。A.关键服务器主机B.网络交换机的监听端口C.内网和外网的边界D.桌面系统E.以上都正确25.IPSec是网络层典型的安全协议，能够为IP数据包提供 安全服务。A.保密性B.完整性C.不可否认性D.可审计性E.真实性26.信息安全策略必须具备 属性。A.确定性B.正确性C.全面性D.细致性E.有效性四、问答题1.信息安全技术机制通常被划分为几个层次。试在每个层次中列举两种主要的安全机制。2.简述BS 7799的内容构成以及与ISO国际标准的关系。3.简述ISO/IEC 177992005中关于控制措施的11项分类内容。4.简述安全策略体系所包含的内容。5.简述至少六种安全问题的策略。6.试编写一个简单的口令管理策略。7.简述可接受使用策略AUP的内容。8.简述入侵检测系统IDS所采取的两种主要方法。9.简述防火墙所具有的局限性。10.简述物理安全的技术层面的主要内容。答案一、判 断 题1.对 2.对 3.对 4.对 5.对 6.对 7.对 8.错 9.对 10.对 11.对 12.对二、单 选 题1.A 2.B 3.C 4.C 5.D 6.B 7.A 8.B 9.D 10.A 11.A 12.A 13.D 14.B 15.C 16.B 17.A 18.B 19.D 20.C 21.A 22.C 23.C 24.B 25.C 26.C 27.A 28.A 29.B 30.C 31.B 32.A 33.C 33.A 35.B36.A 37.C 38.B 39.B 40.A 41.B 42.D 43.C 44.C 45.D 46.A 47.C 48.B 49.D 50.A 51.C 52.B 53.C 54.B 55.C 56.A 57.B 58.B 59.B 60.B 三、多 选 题1.AD 2.ABD 3.ABC 4.ACDE 5.ABD 6.BCDE 7.ABDE 8.AD 9.ABCD 10.ABCE 11.ABCDE 12.CDE 13.ABD 14.ABD 15.ABCDE 16.BDE 17.AC 18.ACDE 19.ABCE 20.ABCDE 21.BC 22.ABCDE 23.ABCDE 24.BC 25.ABE 26.ACE四、问 答 题1.信息安全技术机制通常被划分为几个层次。试在每个层次中列举两种主要的安全机制。答：信息安全技术机制通常可以划分为四个层次，每一层次中典型的安全机制如下所示：（1）物理层安全，如视频监控、门禁系统；（2）网络层安全，如防火墙、IPSecVPN；（4）系统层安全，如杀毒软件，主机入侵检测系统；（5）应用层安全，如用户身份认证、应用层加密。2.简述BS 7799的内容构成以及与ISO国际标准的关系。答：BS 7799分两个部分，第一部分，被ISO国际标准化组织采纳成为ISO/IEC 177992005标准的部分，是信息安全管理实施细则（Code of Practice for Information Security Management），主要供负责信息安全系统开发的人员参考使用，其主要内容分为11个方面，定义了133 项安全控制措施（最佳实践）。第二部分，被ISO国际标准化组织采纳成为ISO/IEC 270012005，是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员应用ISO/IEC 177992005，其最终目的在于建立适合企业需要的信息安全管理体系（ISMS）。3.简述ISO/IEC 177992005中关于控制措施的11项分类内容。答：BS 7799-1信息安全管理实施细则（ISO/IEC 177992005）将信息安全管理的内容划分为11个主要方面，这11 个方面包括：（1）安全策略（Security Policy）；（2）组织信息安全（Organizing Information Security）；（3）资产管理（Asset Management）；（4）人力资源安全 （Human Resources Security）；（5）物理与环境安全（Physical and Environmental Security）；（6）通信与操作管理（Communication and Operation Management）；（7）访问控制（Access Control）；（8）信息系统获取、开发与维护（Information Systems Acquisition, Development and Maintenance）；（9）信息安全事件管理（Information Security Incident Management）；（10）业务连续性管理（Business Continuity Management）；（11）符合性（Compliance）。4.简述安全策略体系所包含的内容。答：一个合理的信息安全策略体系可以包括三个不同层次的策略文档：（1） 总体安全策略，阐述指导性的战略纲领性文件，阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容；（2）针对特定问题的具体策略，阐述了企业对于特定安全问题的声明、立场、适用办法、强制要求、角色、责任认定等内容，例如，针对Internet访问操作、计算机和网络病毒防治、口令的使用和管理等特定问题，制定有针对性的安全策略；（3）针对特定系统的具体策略，更为具体和细化，阐明了特定系统与信息安全有关的使用和维护规则等内容，如防火墙配置策略、电子邮件安全策略等。5.简述至少六种安全问题的策略。答：（1）物理安全策略；（2）网络安全策略；（3）数据加密策略；（4）数据备份策略；（5）病毒防护策略；（6）系统安全策略；（7）身份认证及授权策略；（8）灾难恢复策略；（9）事故处理、紧急响应策略；（10）安全教育策略；（11）口令管理策略；（12）补丁管理策略；（13）系统变更控制策略；（14）商业伙伴、客户关系策略；（15）复查审计策略。6.试编写一个简单的口令管理策略。答：（1）所有活动帐号都必须有口令保护。（2）生成帐号时，系统管理员应分配给合法用户一个唯一的口令，用户在第一次登录时应更改口令。（3）口令必须至少要含有8个字符。（4）口令必须同时含有字母和非字母字符。（5）必须定期用监控工具检查口令