信息安全第一章

第一章信息安全管理概述一、判断题根据ISO13335标准，信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。只要投资充足，技术措施完备，就能够保证百分之百的信息安全。我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。5.2003年7月国家信息化领导小组第三次会议发布的27号文件，是指导我国信息安全保障工作和加快推进信息化的纲领性文献。在我国，严重的网络犯罪行为也不需要接受刑法的相关处罚。信息安全等同于网络安全。一个完整的信息安全保障体系，应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有局限性的错误观点。二、单选题下列关于信息的说法是错误的。信息是人类社会发展的重要支柱信息本身是无形的信息具有价值，需要保护信息可以以独立形态存在信息安全经历了三个发展阶段，以下不属于这三个发展阶段。通信保密阶段加密机阶段信息安全阶段安全保障阶段信息安全在通信保密阶段对信息安全的关注局限在安全属性。不可否认性可用性保密性完整性信息安全在通信保密阶段中主要应用于领域。军事商业科研教育信息安全阶段将研究领域扩展到三个基本属性，下列不属于这三个基本属性。保密性完整性不可否认性可用性安全保障阶段中将信息安全体系归结为四个主要环节，下列是正确的。策略、保护、响应、恢复加密、认证、保护、检测策略、网络攻防、密码学、备份保护、检测、响应、恢复根据ISO的信息安全定义，下列选项中是信息安全三个基本属性之一。真实性可用性可审计性可靠性为了数据传输时不发生数据截获和信息泄密，采取了加密机制。这种做法体现了信息安全的属性。保密性完整性可靠性可用性定期对系统和数据进行备份，在发生灾难时进行恢复。该机制是为了满足信息安全的属性。真实性完整性不可否认性可用性数据在存储过程中发生了非法访问行为，这破坏了信息安全的属性。保密性完整性不可否认性可用性网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的属性。保密性完整性不可否认性可用性PDR安全模型属于类型。时间模型作用模型结构模型关系模型《信息安全国家学说》是的信息安全基本纲领性文件。法国美国俄罗斯英国下列的犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。窃取国家秘密非法侵入计算机信息系统破坏计算机信息系统利用计算机实施金融诈骗我国刑法规定了非法侵入计算机信息系统罪。第284条第285条第286条第287条《计算机信息系统安全保护条例》是由中华人民共和国第147号发布的。国务院令全国人民代表大会令公安部令国家安全部令《互联网上网服务营业场所管理条例》规定，负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。人民法院公安机关工商行政管理部门国家安全部门在PDR安全模型中最核心的组件是。策略保护措施检测措施响应措施《计算机信息网络国际联网安全保护管理办法》规定，互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日TOC\o"1-5"\h\z起续。7101530互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存天记录备份的功能。10306090网络信息未经授权不能进行改变的特性是。完整性可用性可靠性保密性确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是。完整性可用性可靠性保密性确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝，允许其可靠而且及时地访问信息及资源的特性是。完整性可用性可靠性保密性国务院发布《计算机信息系统安全保护条例》。1990年2月18日1994年2月18日2000年2月18日2004年2月18日《计算机信息系统安全保护条例》规定，国家对计算机信息系统安全专用产品的销售实行。许可证制度3C认证ISO9000认证专卖制度《互联网上网服务营业场所管理条例》规定，互联网上网服务营业场所经营单位。可以接纳未成年人进入营业场所可以在成年人陪同下，接纳未成年人进入营业场所不得接纳未成年人进入营业场所可以在白天接纳未成年人进入营业场所《计算机信息系统安全保护条例》规定，运输、携带、邮寄计算机信息媒体进出境的，应当如实向。国家安全机关申报海关申报国家质量检验监督局申报公安机关申报《计算机信息系统安全保护条例》规定，故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以的罚款、对单位处以的罚款。5000元以下15000元以下5000元15000元2000元以下10000元以下2000元10000元信息安全PDR模型中，如果满足，说明系统是安全的。Pt>Dt+RtDt>Pt+RtDt<Pt+RtPt<Dt+Rt国家信息化领导小组在《关于加强信息安全保障工作的意见》中，针对下一时期的信息安全保障工作提出了项要求。TOC\o"1-5"\h\z78910《确保网络空间安全的国家战略》是发布的国家战略。英国法国德国美国信息安全中的木桶原理，是指。整体安全水平由安全级别最低的部分所决定整体安全水平由安全级别最高的部分所决定整体安全水平由各组成部分的安全级别平均值所决定以上都不对关于信息安全的说法错误的是。包括技术和管理两个主要方面策略是信息安全的基础采取充分措施，可以实现绝对安全保密性、完整性和可用性是信息安全的目标PDR模型是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P代表、d代表、R代表。A.保护检测响应B.策略检测响应C.策略检测恢复D.保护检测恢复《计算机信息系统安全保护条例》规定，任何组织或者个人违反条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担。刑事责任民事责任违约责任其他责任关于信息安全，下列说法中正确的是。信息安全等同于网络安全信息安全由技术措施实现信息安全应当技术与管理并重管理措施在信息安全中不重要在PPDRR安全模型中，是属于安全事件发生后的补救措施。保护恢复响应检测我国正式公布了电子签名法，数字签名机制用于实现需求。抗否认保密性完整性可用性在需要保护的信息资产中，是最重要的。环境硬件数据软件三、多选题全国人民代表大会常务委员会《关于维护互联网安全的决定》规定，利用互联网实施违法行为，尚不构成犯罪的，对直接负责的主管人员和其他直接责任人员，依法给予或者。行政处分纪律处分民事处分刑事处分《计算机信息网络国际联网安全保护管理办法》规定，任何单位和个人不得从事下列危害计算机信息网络安全的活动：。故意制作、传播计算机病毒等破坏性程序的未经允许，对计算机信息网络功能进行删除、修改或者增加的未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的未经允许，进入计算机信息网络或者使用计算机信息网络资源的《互联网上网服务营业场所管理条例》规定，负责互联网上网服务营业场所经营许可审批和服务质量监督。省电信管理机构自治区电信管理机构直辖市电信管理机构自治县电信管理机构省信息安全管理机构《互联网信息服务管理办法》规定，互联网信息服务提供者不得制作、复制、发布、传播的信息内容有。损害国家荣誉和利益的信息个人通信地址个人文学作品散布淫秽、色情信息侮辱或者诽谤他人，侵害他人合法权益的信息《计算机信息系统安全保护条例》规定，由公安机关处以警告或者停机整顿。违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的违反计算机信息系统国际联网备案制度的有危害计算机信息系统安全的其他行为的不按照规定时间报告计算机信息系统中发生的案件的接到公安机关要求改进安全状况的通知后，在限期内拒不改进的互联网服务提供者和联网使用单位应当落实的互联网安全保护技术措施包括。防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施重要数据库和系统主要设备的冗灾备份措施记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的技术措施法律、法规和规章规定应当落实的其他安全保护技术措施计算机信息系统安全的三个相辅相成、互补互通的有机组成部分是。安全策略安全法规安全技术安全管理《计算机信息网络国际联网安全保护管理办法》规定，任何单位和个人不得制作、复制、发布、传播的信息内容有。损害国家荣誉和利益的信息个人通信地址个人文学作品淫秽、色情信息侮辱或者诽谤他人，侵害他人合法权益的信息全国人民代表大会常务委员会《关于维护互联网安全的决定》规定，为了维护社会主义市场经济秩序和社会管理秩序，行为，构成犯罪的，依照刑法有关规定追究刑事责任。利用互联网销售伪劣产品或者对商品、服务作虚假宣传利用互联网侵犯他人知识产权利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息利用互联网损害他人商业信誉和商品声誉在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片信息系统常见的危险有。软硬件设计故障导致网络瘫痪黑客入侵敏感信息泄露信息删除电子邮件发送信息系统安全保护法律规范的作用主要有。教育作用指引作用评价作用预测作用强制作用根据ISO定义，信息安全的保护对象是信息资产，典型的信息资产包括。硬件软件人员数据环境根据ISO定义，信息安全的目标就是保证信息资产的三个基本安全属性，包括。不可否认性保密性完整性可用性可靠性治安管理处罚法规定，行为，处5日以下拘留；情节较重的，处5日以上10日以下拘留。违反国家规定，侵入计算机信息系统，造成危害的违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的四、问答题简述信息安全发展所历经的三个主要阶段以及它们各自的特点。简述PDR安全模型的原理。简述ISO信息安全定义及其含义。简述信息安全的三个基本属性。简述我国刑法对网络犯罪的相关规定。

答案一、判断题1.对2.错3.错4.对5.对6.错7.错8.对9.对二、单选题1.D2.B3.C4.A5.C6.D7.B8.A9.D10.A11.B12.A13.C14.A15.B16.A17.B18.A19.D20.C21.A22.D23.B24.B25.A26.C27.B28.A29.A30.C31.D32.A33.C34.A35.B36.C37.B38.A39.C三、多选题1.AB2.ABCD3.ABC4.ADE5.ABCDE6.ABCD7.ABD8.ADE9.ABCDE10.ABCD11.ABCDE12.ABD13.BCD14.ABCD四、问答题简述信息安全发展所历经的三个主要阶段以及它们各自的特点。答：信息安全发展历经了三个主要阶段：（1）通信保密阶段，在这个阶段中，关注的是通信内容的保密性属性，保密等同于信息安全。（2）信息安全阶段，人们发现，在原来所关注的保密性属性之外，还有其他方面的属性也应当是信息安全所关注的，这其中最主要的是完整性和可用性属性，由此构成了支撑信息安全体系的三要素。（3）安全保障阶段，所谓安全保障，就是在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction），事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系。简述PDR安全模型的原理。答：PDR模型之所以著名，是因为它是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P代表保护、D代表检测、R代表响应，该模型中使用了三个时间参数：（1）Pt，有效保护时间，是指信息系统的安全控制措施所能有效发挥保护作用的时间；（2）Dt，检测时间，是指安全检测机制能够有效发现攻击、破坏行为所需的时间；（3）Rt，响应时间，是指安全响应机制作出反应和处理所需的时间。PDR模型用下列时间关系表达式来说明信息系统是否安全：（1）Pt>Dt+Rt，系统安全，即在安全机制针对攻击、破坏行为作出了成功的检测和响应时，安全控制措施依然在发挥有效的保护作用，攻击和破坏行为未给信息系统造成损失。（2）Pt<Dt+Rt，系统不安全，即信息系统的安全控制措施的有效保护作用，在正确的检测和响应作出之前就已经失效，破坏和攻击行为已经给信息系统造成了实质性破坏和影响。简述ISO信息安全定义及其含义。答：ISO信息安全定义：信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。它包括三方面含义：（1）信息安全的保护对象是信息资产，典型的信息资产包括了计算机硬件、软件和数据。（2）信息安全的目标就是保证信息资产的三个基本安全属性，保密性、完整性和可用性三个基本属性是信息安全的最终目标。（3）实现信息安全目标的途径要借助两方面的控制措施，即技术措施和管理措施。简述信息安全的三个基本属性。答：信息安全包括了保密性、完整性和可用性三个基本属性:（1）保密性Confidentiality，确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体。（2）