老师版-单页-18信息系统安全管理

的含义及目标，管理的内容。管理体系。信息系统安全的概念、属性，物理安全，包括计算机机房与设施安全、技术控制、环境与人身安全、电磁泄漏。安全管理，包括安全组织、岗位安全考核与培训、离岗

安全管理。应用系统安全管理P.424了解2

/30信息系统安全和安全体系信息系统安全风险评估安全策略技术控制用户标识与认证安全审计与

检测系统安全应用安全（从24章到329个章节，达139页）P.538了解3

/30◙

管理◙信息系统安全◙物理安全管理◙

安全管理◙应用系统安全管理◙案例分析了解4

/30P.

424的定义及目标国际上的一个公认的

的定义是：“保护信息的

性、完整性、可用性；另外也包括其他属性，如：真实性、可核查性、不可抵赖性和可靠性”。性、完整性和可用性是

最为关注的三个属性，因此这三个特性也经常被称为信息安全三元组，这也是

通常所强调的目标。了解5

/30P.

425的定义及目标真实性一般指对信息的来源进行判断，能对

来源的信息予以鉴别。可核查性指系统实体的行为可以被独一无二地追溯到该实体的特性不可抵赖性指建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。可靠性是指系统在规定的时间和给定的条件下，无故障完成规定功能的概率，通常用MTBF（MeBetween

Failure，平均故障间隔时间）来度量。了解6

/30P.

425的内容管理的在ISO/IEC27000系列标准中，它将内容主要概括为11个方面：方针与策略1组织资产管理控制信息系统的获取、开发和保持事件管理业务持续性管理符合性人力资源安全物理和环境安全通信和操作安全了解7

/30◙

管理◙信息系统安全◙物理安全管理◙

安全管理◙应用系统安全管理◙案例分析了解8

/30P.

431信息系统安全概念信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。信息系统安全是指信息系统及其所、传输和处理的信息的性、完整性和可用性的表征，一般包括：保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，以保障信息系统功能的正常发挥，以信息系统的安全运行。了解9

/30P.

431信息系统安全属性信息系统安全属性主要包括：性完整性可用性不可抵赖性了解10

/30了解11

/30P.

433信息系统安全管理体系信息系统安全管理的主要任务与工作信息系统安全组织机构的建立与管理信息系统安全技术体系的建立与管理◙

管理◙信息系统安全◙物理安全管理◙

安全管理◙应用系统安全管理◙案例分析了解12

/30物理安全管理包括安全区域的管理、设备设施的安全管理、对环境

的防范以及电磁辐射的管理等。1、计算机机房与设施安全2、技术控制3、环境与人身安全4、电磁兼容P.

438了解13

/30◙

管理◙信息系统安全◙物理安全管理◙

安全管理◙应用系统安全管理◙案例分析了解14

/30任何系统的安全管理，都是以

安全安全管理是管理为

的安全管理，安全管理之根本。1、安全组织2、岗位安全考核与培训3、离岗

安全管理P.

445了解15

/30◙

管理◙信息系统安全◙物理安全管理◙

安全管理◙应用系统安全管理◙案例分析了解16

/30P.

446应用系统安全管理的实施①建立应用系统的安全需求管理②严格应用系统的安全检测与验收③加强应用系统的操作安全控制④规范变更控制⑤防止信息泄漏⑥严格

控制⑦信息备份⑧使用了解17

/30P.

448应用系统运行中的安全管理①组织管理层在系统运行安全管理中的职责②系统运行安全的

目标③系统运行安全与

的层次构成④系统运行安全检查与记录⑤系统运行安全管理制度了解18

/30◙

管理◙信息系统安全◙物理安全管理◙

安全管理◙应用系统安全管理◙案例分析19

/30了解（中级用户可以

业务记录的哪些字段。P449)应用系统运行的安全

，数据域安全是其中非常重要的内容，数据域安全包括（20）。A

行级数据域安全，字段级数据域安全B、系统性数据域安全，功能性数据域安全C、数据资源安全，应用性数据安全D、组织级数据域安全，性数据域安全分析：数据域安全包括两个层次，其一是行级数据域安全，即用户可以哪些业务记录，一般以用户所在单位为条件进行过滤；其二是字段级数据域安全，即20

/30了解者通过搭线或在电磁波辐射范围内安装截收装置等方式获得

信息，或通过对信息流量和流向、通信频率和长度等参数的分析推导出有用信息的

称为（11

）。A.

破坏

B.

抵赖

C

截取分析：截收

通过数据D.窃取段获得敏感信息。攻击者通过搭线

或电子辐射探测等截获

信息，或通过信息流量的变化、流向的变化以及通信总量等参数分析出有用信息。（高级

P553)截取：从总体中截取一部分窃取：偷窃,偷取（新华字典）（注意：资料上的参考答案为D是不对的）了解21

/30下面有关安全审计的说法错误的是（13）。A.安全审计需要用到数据挖掘和数据仓库技术B

安全审计产品只包括主机类、网络类及数据库类C.安全审计的作用包括帮助分析安全事故发生的原因D.

安全审计是主体对客体进行

和使用情况进行记录和分析：安全审计产品主要包括主机类、网络类及数据库类和应用系统级的审计产品。（高级P628)特别提示：B中“只包括”等用词太绝对。22

/30了解保障系统可以用一个宏观的三来表示，第一维是OSI网络参考模型，第二维是安全机制，第三维是安全服务。该安全空间的五个要素分别是（14）。应用层、传输层、网络层、数据链路层和物理层基础设施安全、平台安全、数据安全、通信安全和应用安全服务、数据完整性服C.

对等实体服务、

控

务、数据务和物理安全服务D

认证、权限、完整、加密和不可否认分析：由X、Y、Z三个轴形成的空间就是信息系统的“安全空间”，随着网络逐层扩展，这个空间不仅范围逐步加大，安全的内涵也就更丰富，达到具有认证、权限、完整、加密和不可否认五大要素。也叫做“安全空间”的五大“属性”。（高级

P538）23

/30了解项目组对某重要资源实施基于角色的控制。项目经理（PM）为系统管理员。项目成员角色还包括配置管理员（CM）、分析

、设计

、开发和质量保证

（QA），其中CM和QA同时参与多个项目。下面关于该资源访问权限分配的说法正确的是（15）。CM的QA的权限应由PM分配，且应得到QA的批准权限应由PM分配，其不参与项目时应将其权限转给CMC.分析、设计和开发

的

权限应由CM分配，且应得到QA的批准D

PM的

权限由其自己分配，且PM不在时其权限不能转给QA或CM分析：在基于角色的控制中，角色由应用系统的管理员定义，角色成员的增减也只能由应用系统的管理员来执行，即只有应定义和分配角色，而且

规定是强加给用户用系统的管理员的，用户只能接受，不能自主地决定，用户也不能自主地将访问权限传给他人，这是一种非自主型

控制。（高级P615)24

/30了解在如下的描述中，正确的是（

）

。A.

信息系统安全系统包括安全机制、安全服务和安全管理组成。B

信息系统安全系统由安全机制、安全服务和OSI网络参考模型等组成。C．信息系统安全系统由安全平台、安全应用和安全审计组成。D．信息系统安全系统由安全平台、安全应用和防范体系组成。分析：信息系统安全系统由安全机制、安全服务和OSI网络参考模型等三

组成。25

/30了解在如下的描述中，正确的是（

）

。A

保障系统是一个在网络上，集成硬件、设备，以保障其他业务应用信息系统正常运行的信息应用系统，以及与之相关的岗位、

、策略、制度和规程的总和。B.

保障系统是一个保障其他业务应用信息系统正常运行的信息应用系统.C．

保障系统与业务系统的运行无关。D．信息系统保障安全系统由安全平台和防范体系组成。分析：保障系统是一个在网络上，集成硬件、设备，以保障其他业务应用信息系统正常运行的信息应用系统，以及与之相关的岗位、

、策略、制度和规程的总和。26

/30了解《计算机

保护等级划分准则》，确定了5个安全保护等级，其中最高一级是（58）。用户自主保护级结构化保护级验证保护级系统审计保护级分析：中

民《计算机信息系统安全保护等级划分准则》中规定了计算机系统安全保护能力的5个级别：1

、用户自主保护级2、系统审计保护级3、安全标记保护级4、结构化保护级

5、

验证保护级。27

/30了解A.该单位将安全目标定位为“系统

不停机、数据

不丢失、网络

不瘫痪、信息

不泄密”B该单位采用了类似单位的安全风险评估结果来确定本单位的

保护等级C.该单位的安全策略由单位

完成制定，并经过单位的全员

修订D.该单位为减小

的修改、

信息或服务的机会，对特定职责和责任领域的管理和执行功能实施职责合并策略时采用的下述做法中，正某单位在制定确的是

(16)

。28

/30了解根据《电子信息系统机房设计规范GB50174-2008

》，电子信息系统机房应对人流和出

进行安全考虑

，(24)

。以下叙述错误的是A

．建筑的小于1.5m至主机房应设通道，通道净宽不应B．电子信息系统机房宜设门厅