1.信息安全技术机制通常被划分为几个层次。试在每个层次中列举两种主要的安全机制。
2.简述BS 7799的内容构成以及与ISO国际标准的关系。
3.简述ISO/IEC 17799∶2005中关于控制措施的11项分类内容。 4.简述安全策略体系所包含的内容。 5.简述至少六种安全问题的策略。 6.试编写一个简单的口令管理策略。 7.简述可接受使用策略AUP的内容。
8.简述入侵检测系统IDS所采取的两种主要方法。
9.简述防火墙所具有的局限性。
10.简述物理安全的技术层面的主要内容。
答案
一、判 断 题
1.对 2.对 3.对 对 6.对
4.对 5.
7.对 8.错 9.对 10.对 11.对 12.对
二、单 选 题
1.A 2.B 3.C 4.C 5.D 6.B 7.A
8.B 9.D 10.A 13.D 14.B
15.C 16.B 17.A 0.C 21.A
22.C 23.C 24.B 7.A 28.A
29.B 30.C 31.B 3.A 35.B
36.A 37.C 38.B 1.B 42.D
43.C 44.C 45.D 8.B 49.D
50.A 51.C 52.B 5.C 56.A
57.B 58.B 59.B
三、多 选 题
1.AD 2.ABD 5.ABD 11.A 18.B 32.A 39.B 46.A 53.C 60.B 3.ABC 12.A 19.D 226.C 233.C 340.A 447.C 454.B 5 4.ACDE 25.C
6.BCDE 7.ABDE 8.AD 9.ABCD 10.ABCE
11.ABCDE 12.CDE 13.ABD 14.ABD 15.ABCDE
16.BDE 17.AC 18.ACDE 19.ABCE 20.ABCDE
21.BC 22.ABCDE 23.ABCDE 24.BC 25.ABE 26.ACE
四、问 答 题
1.信息安全技术机制通常被划分为几个层次。试在每个层次中列举两种主要的安全机制。
答:信息安全技术机制通常可以划分为四个层次,每一层次中典型的安全机制如下所示:
(1)物理层安全,如视频监控、门禁系统; (2)网络层安全,如防火墙、IPSecVPN;
(4)系统层安全,如杀毒软件,主机入侵检测系统; (5)应用层安全,如用户身份认证、应用层加密。
2.简述BS 7799的内容构成以及与ISO国际标准的关系。
答:BS 7799分两个部分,第一部分,被ISO国际标准化组织采纳成为ISO/IEC 17799∶2005标准的部分,是信息安全管理实施细则(Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员参考使用,其主要内容分为11个方面,定义了133 项
安全控制措施(最佳实践)。第二部分,被ISO国际标准化组织采纳成为ISO/IEC 27001∶2005,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员应用ISO/IEC 17799∶2005,其最终目的在于建立适合企业需要的信息安全管理体系(ISMS)。
3.简述ISO/IEC 17799∶2005中关于控制措施的11项分类内容。 答:BS 7799-1信息安全管理实施细则(ISO/IEC 17799∶2005)将信息安全管理的内容划分为11个主要方面,这11 个方面包括: (1)安全策略(Security Policy);
(2)组织信息安全(Organizing Information Security); (3)资产管理(Asset Management);
(4)人力资源安全 (Human Resources Security);
(5)物理与环境安全(Physical and Environmental Security); (6)通信与操作管理(Communication and Operation Management); (7)访问控制(Access Control);
(8)信息系统获取、开发与维护(Information Systems Acquisition, Development and Maintenance);
(9)信息安全事件管理(Information Security Incident Management);
(10)业务连续性管理(Business Continuity Management); (11)符合性(Compliance)。
4.简述安全策略体系所包含的内容。
答:一个合理的信息安全策略体系可以包括三个不同层次的策略文档: (1) 总体安全策略,阐述指导性的战略纲领性文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容;
(2)针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、适用办法、强制要求、角色、责任认定等内容,例如,针对Internet访问操作、计算机和网络病毒防治、口令的使用和管理等特定问题,制定有针对性的安全策略;
(3)针对特定系统的具体策略,更为具体和细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等。
5.简述至少六种安全问题的策略。 答:(1)物理安全策略; (2)网络安全策略; (3)数据加密策略; (4)数据备份策略; (5)病毒防护策略; (6)系统安全策略; (7)身份认证及授权策略; (8)灾难恢复策略;
(9)事故处理、紧急响应策略; (10)安全教育策略; (11)口令管理策略; (12)补丁管理策略;
新建 第二章 信息安全管理基础
