信息安全技术继续教育(精选8篇)
信息安全技术继续教育 篇1
全国信息网络安全专业技术人员继续教育培训教材
信息安全管理教程习题及答案
一、判断题
1.根据ISO 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。(√)(课本1)
2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×)(课本4)
(注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。)
3.只要投资充足,技术措施完备,就能够保证百分之百的信息安全。(×)
4.我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。(√)(课本8)
5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。(√)
(注释:2003年7月22日,国家信息化领导小组第三次会议在北京召开。中共中央政治局常委、国务院总理、国家信息化领导小组组长温家宝主持会议并作重要讲话。2003年9月中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”)6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。(×)(课本18)
7.安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。(√)(课本32)
8.windows2000/XP系统提供了口令安全策略,以对帐户口令安全进行保护。(√)
9.信息安全等同于网络安全。(×)
(注释:ISO国际标准化组织对于信息安全给出了精确的定义,这个定义的描述是:信息安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露)
10.GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础。(√)(课本76)
(注:1999年,公安部正式发布信息系统安全等级保护的国家标准GB17859—1999,将计算机信息系统的安全级别明确划分为五级,这五级由高至低依次为:访问验证保护级、结构化保护级、安全标记保护级、系统审计保护级、用户自主保护级。
根据《信息系统安全等级保护实施指南》的规定,信息系统可分为五个安全等级,分别是:第1级自主保护级 ;第2级指导保护级 ;第3级监督保护级 ;第4级强制保护级 ;第5级专控保护级。国家对不同级别的信息和信息系统实行不同强度的监管政策。)
11.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。(√)
12.PKI系统所有的安全操作都是通过数字证书来实现的。(√)
(注:PKI技术(Public Key Infrastructure z公钥基础设施,课本73)13.PKI系统使用了非对称算法、对称算法和散列算法。(√)(课本73)14.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√)(PPDRR模型)(课本5)
15.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。(√)(课本29)
16.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。(√)17.按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。(√)
18.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。(√)
19.一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×)(注:应在24小时内报案)
20.定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。(√)21.网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√)
22.网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。(×)
23.防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。(√)
(注:防火墙是设置在不同网络或网络安全域之间的一道屏障。它可以通过检测、限制更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的消息、结构和运行情况,以此来实现网络的安全保护。防火墙不能阻止病毒,但能有效的防止网络攻击。)
24.我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。(×)
(注: 刑法有关计算机犯罪的规定,总体上可以分为两大类: 一类是纯粹的计算机犯罪,即刑法第285条、第286条单列的两种计算机犯罪独立罪名;另一类不是纯粹的计算机犯罪,而是隐含于其他犯罪罪名中的计算机犯罪形式。例如,刑法第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”之所以要区分这两种类别,是因为第二类犯罪与传统犯罪之间并无本质区别,只是在犯罪工具使用上有所不同而已,因此不需要为其单列罪名,而第一类犯罪不仅在具体手段和侵犯客体方面与传统犯罪存在差别,而且有其特殊性,传统犯罪各罪名已无法包括这些犯罪形式,因此为其单列罪名。)
25.信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。(√)
(注:ITIL是 Information Technology Infrastructure Library 的简称,是由英国政府中央计算机与电信管理中心制订的,由英国商务部于1980年发布,已成为IT服务管理领域的标准,也是地地道道的西方产物,所以在中国遇到的最大推广瓶颈就是中西方的文化差异。)
26.美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT系统风险管理内容。(√)
(注:SP 800-30是《信息技术系统风险管理的指南》本指南为制定有效的风险管理项目提供了基础信息,包括评估和消减IT系统风险所需的定义和实务指导)
27.防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。(√)
28.通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。(√)
(课本96)
29.脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。(√)(课本68)
二、单选题
1.下列关于信息的说法 ____是错误的。
A 信息是人类社会发展的重要支柱 B 信息本身是无形的C 信息具有价值,需要保护 D 信息可以以独立形态存在
2.信息安全经历了三个发展阶段,以下____不属于这三个发展阶段。A 通信保密阶段 B 加密机阶段 C 信息安全阶段 D 安全保障阶段
3.信息安全在通信保密阶段对信息安全的关注局限在____安全属性。A 不可否认性 B 可用性 C 保密性 D 完整性
4.信息安全在通信保密阶段中主要应用于____领域。A 军事 B 商业 C 科研 D 教育
5.信息安全阶段将研究领域扩展到三个基本属性,下列____不属于这三个基本属性。
A 保密性 B 完整性 C 不可否认性 D 可用性
6.安全保障阶段中将信息安全体系归结为四个主要环节,下列____是正确的。
A 策略、保护、响应、恢复 B 加密、认证、保护、检测
C 策略、网络攻防、密码学、备份 D 保护、检测、响应、恢复 7.下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。
A 杀毒软件 B 数字证书认证 C 防火墙 D 数据库加密 8.根据ISO的信息安全定义,下列选项中____是信息安全三个基本属性之一。A 真实性 B 可用性 C 可审计性 D 可靠性
9.为了数据传输时不发生数据截获和信息泄密,采取了加密机制。这种做法体现了信息安全的____属性。
A 保密性 B 完整性 C 可靠性 D 可用性
10.定期对系统和数据进行备份,在发生灾难时进行恢复。该机制是为了满足信息安全的____属性。
A 真实性 B 完整性 C 不可否认性 D 可用性
11.数据在存储过程中发生了非法访问行为,这破坏了信息安全的____属性。
A 保密性 B 完整性 C 不可否认性 D 可用性
12.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的____属性。
A 保密性 B 完整性 C 不可否认性 D 可用性
13.PDR安全模型属于____类型。
A 时间模型 B 作用模型 C 结构模型 D 关系模型
14.《信息安全国家学说》是____的信息安全基本纲领性文件。A 法国 B 美国 C 俄罗斯 D 英国 15.下列的____犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。
A 窃取国家秘密 B 非法侵入计算机信息系统 C 破坏计算机信息系统 D 利用计算机实施金融诈骗
16.我国刑法____规定了非法侵入计算机信息系统罪。A 第284条 B 第285条 C 第286条 D 第287条
(第285条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。)
17.信息安全领域内最关键和最薄弱的环节是____。A 技术 B 策略 C 管理制度 D 人
18.信息安全管理领域权威的标准是____。
A ISO 15408 B ISO 17799/IS0 27001 C IS0 9001 D ISO 14001
19.S0 17799/IS0 27001最初是由____提出的国家标准。A 美国 B 澳大利亚 C 英国 D 中国
20.IS0 17799的内容结构按照____进行组织。
A 管理原则 B 管理框架 C 管理域一控制目标一控制措施 D 管理制度
21.____对于信息安全管理负有责任。
A 高级管理层 B 安全管理员 C IT管理员 D 所有与信息系统有关人员
22.对于提高人员安全意识和安全操作技能来说,以下所列的安全管理最有效的是____。
A安全检查 B教育与培训 C责任追究 D制度约束
23.《计算机信息系统安全保护条例》是由中华人民共和国____第147号发布的。
A 国务院令 B 全国人民代表大会令 C 公安部令 D 国家安全部令
(注:147号国务院令 李鹏总理1994年2月18日 签发)
24.《互联网上网服务营业场所管理条例》规定,____负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。A 人民法院 B 公安机关 C 工商行政管理部门 D 国家安全部门
25.计算机病毒最本质的特性是____。A 寄生性 B 潜伏性 C 破坏性 D 攻击性
26.____安全策略是得到大部分需求的支持并同时能够保护企业的利益。
A 有效的 B 合法的 C 实际的 D 成熟的27.在PDR安全模型中最核心的组件是____。
A 策略 B 保护措施 C 检测措施 D 响应措施
28.制定灾难恢复策略,最重要的是要知道哪些是商务工作中最重要的设施,在发生灾难后,这些设施的____。
A 恢复预算是多少 B 恢复时间是多长 C 恢复人员有几个 D 恢复设备有多少
29.在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的成果文档被称为___.A 可接受使用策略AUP B 安全方针 C 适用性声明 D 操作规范
30.对保护数据来说,功能完善、使用灵活的---必不可少。A.系统软件 B.备份软件 C.数据库软件 D.网络软件
31.防止静态信息被非授权访问和防止动态信息被截取解密是____。A 数据完整性 B 数据可用性 C 数据可靠性 D 数据保密性
32.用户身份鉴别是通过____完成的。
A 口令验证 B 审计策略 C 存取控制 D 查询功能
33.故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以。
A 3年以下有期徒刑或拘役 B 警告或者处以5000元以下的罚款
C 5年以上7年以下有期徒刑 D 警告或者15000元以下的罚款
34.网络数据备份的实现主要需要考虑的问题不包括____。A 架设高速局域网 B 分析应用环境 C 选择备份硬件设备 D 选择备份管理软件
35.《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在____向当地县级以上人民政府公安机关报告。
A 8小时内 B 12小时内 C 24小时内 D 48小时内
36.公安部网络违法案件举报网站的网址是____。A B C http:// D
37.对于违反信息安全法律、法规行为的行政处罚中,____是较轻的处罚方式。
A 警告 B 罚款 C 没收违法所得 D 吊销许可证
38.对于违法行为的罚款处罚,属于行政处罚中的____。A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚
39.对于违法行为的通报批评处罚,属于行政处罚中的____。A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚
40.1994年2月国务院发布的《计算机信息系统安全保护条例》赋予____对计算机信息系统的安全保护工作行使监督管理职权。
A 信息产业部 B 全国人大 C 公安机关 D 国家工商总局
41.《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起____日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。A 7 B 10 C 15 D 30
42.互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存____天记录备份的功能。A 10 天 B 30天 C 60天 D 90天
43.对网络层数据包进行过滤和控制的信息安全技术机制是____。A 防火墙 B IDS C Sniffer D IPSec 44.下列不属于防火墙核心技术的是____。
A(静态/动态)包过滤技术 B NAT技术(Networ Address Translation,可译为网络地址转换或网络地址翻译)
C 应用代理技术 D 日志审计
45.应用代理防火墙的主要优点是____。
A 加密强度更高 B 安全控制更细化、更灵活
C 安全服务的透明性更好 D 服务对象更广泛
46.安全管理中经常会采用“权限分离”的办法,防止单个人员权限过高,出现内部人员的违法犯罪行为,“权限分离”属于____控制措施。A 管理 B 检测 C 响应 D 运行
47.安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为,属于____控制措施。A 管理 B 检测 C 响应 D 运行 48.下列选项中不属于人员安全管理措施的是____。
A 行为监控 B 安全培训 C 人员离岗 D 背景/技能审查
49.计算机病毒防治管理办法》规定,____主管全国的计算机病毒防治管理工作。
A 信息产业部
B 国家病毒防范管理中心
C 公安部公共信息网络安全监察 D 国务院信息化建设领导小组
50.计算机病毒的实时监控属于____类的技术措施。A 保护 B 检测 C 响应 D 恢复
51.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____。A 防火墙隔离 B 安装安全补丁程序
C 专用病毒查杀工具 D 部署网络入侵检测系统
52.下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是____。
A 防火墙隔离 B 安装安全补丁程序 C 专用病毒查杀工具 D 部署网络入侵检测系统
53.下列不属于网络蠕虫病毒的是____。A 冲击波 B SQLSLAMMER C CIH D 振荡波
54.传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了____等重要网络资源。A 网络带宽 B 数据包 C 防火墙 D LINUX 55.不是计算机病毒所具有的特点____。
A 传染性 B 破坏性 C 潜伏性 D 可预见性
56.关于灾难恢复计划错误的说法是____。
A 应考虑各种意外情况 B 制定详细的应对处理办法
C 建立框架性指导原则,不必关注于细节
D 正式发布前,要进行讨论和评审
57.对于远程访问型VPN来说,____产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A IPSec VPN B SSL VPN C MPLS VPN D L2TP VPN
58.1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859—1999,提出将信息系统的安全等级划分为____个等级,并提出每个级别的安全功能要求。(计算机信息系统安全保护等级划分准则)A 7 B 8 C 6 D 5 59.等级保护标准GB l7859主要是参考了____而提出。A 欧洲ITSEC B 美国TCSEC C CC D BS 7799
60.我国在1999年发布的国家标准____为信息安全等级保护奠定了基础。
A GB 17799 B GB 15408 C GB 17859 D GB 14430
61.信息安全等级保护的5个级别中,____是最高级别,属于关系到国计民生的最关键信息系统的保护。
A 强制保护级 B 专控保护级 C 监督保护级 D 指导保护级 E 自主保护级
62.《信息系统安全等级保护实施指南》将____作为实施等级保护的第一项重要内容。
A 安全定级 B 安全评估 C 安全规划 D 安全实施
63.____是进行等级确定和等级保护管理的最终对象。A 业务系统 B 功能模块 C 信息系统 D 网络系统
64.当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由____所确定。
A 业务子系统的安全等级平均值 B 业务子系统的最高安全等级 C 业务子系统的最低安全等级 D 以上说法都错误
65.下列关于风险的说法,____是错误的。
A 风险是客观存在的 B 导致风险的外因是普遍存在的安全威胁 C 导致风险的外因是普遍存在的安全脆弱性 D 风险是指一种可能性
66.下列关于风险的说法,____是正确的。
A 可以采取适当措施,完全清除风险 B 任何措施都无法完全清除风险
C 风险是对安全事件的确定描述 D 风险是固有的,无法被控制
67.风险管理的首要任务是____。
A 风险识别和评估 B 风险转嫁 C 风险控制 D 接受风险
68.关于资产价值的评估,____说法是正确的。A 资产的价值指采购费用 B 资产的价值无法估计
C 资产价值的定量评估要比定性评估简单容易
D 资产的价值与其重要性密切相关
69.采取适当的安全控制措施,可以对风险起到____作用。A 促进 B 增加 C 减缓 D 清除 70.当采取了安全控制措施后,剩余风险____可接受风险的时候,说明风险管理是有效的。
A 等于 B 大于 C 小于 D 不等于
71.安全威胁是产生安全事件的____。
A 内因 B 外因 C 根本原因 D 不相关因素
72.安全脆弱性是产生安全事件的____。
A 内因 B 外因 C 根本原因 D 不相关因素
73.下列关于用户口令说法错误的是____。
A 口令不能设置为空 B 口令长度越长,安全性越高
C 复杂口令安全性足够高,不需要定期修改 D 口令认证是最常见的认证机制
74.在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列____具有最好的口令复杂度。A morrison B Wm.$*F2m5@ C 27776394 D wangjingl977 75.按照通常的口令使用策略,口令修改操作的周期应为____天。A 60 B 90 C 30 D 120
76.对口令进行安全性管理和使用,最终是为了____。A 口令不被攻击者非法获得 B 防止攻击者非法获得访问和操作权限
C 保证用户帐户的安全性 D 规范用户操作行为
77.人们设计了____,以改善口令认证自身安全性不足的问题。A 统一身份管理
B 指纹认证 C 数字证书认证
D动态口令认证机制
78.PKI是____。
A Private Key lnfrastructure B Public Key lnstitute C Public Key lnfrastructure D Private Key lnstitute
(Public Key Infrastructure 是利用公钥理论和技术建立的提供安全服务的基础设施)
79.公钥密码基础设施PKI解决了信息系统中的____问题。A 身份信任 B 权限管理 C 安全审计 D 加密
80.PKI所管理的基本元素是____。
A 密钥 B 用户身份 C 数字证书 D 数字签名
81.最终提交给普通终端用户,并且要求其签署和遵守的安全策略是____。A 口令策略 B 保密协议 C 可接受使用策略 D 责任追究制度
82.下列关于信息安全策略维护的说法,____是错误的。A 安全策略的维护应当由专门的部门完成
B 安全策略制定完成并发布之后,不需要再对其进行修改
C 应当定期对安全策略进行审查和修订
D 维护工作应当周期性进行
83.链路加密技术是在OSI协议层次的第二层,数据链路层对数据进行加密保护,其处理的对象是____。(OSI是一个开放性的通行系统互连参考模型,OSI模型有7层结构,从上到下分别是 7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层)
A 比特流 B IP数据包 C 数据帧 D 应用数据
84.防火墙最主要被部署在____位置。
A 网络边界 B 骨干线路 C 重要服务器 D 桌面终端
85.下列关于防火墙的错误说法是____。
A 防火墙工作在网络层 B 对IP数据包进行分析和过滤
C 重要的边界保护机制 D 部署防火墙,就解决了网络安全问题 86.IPSec协议工作在____层次。
A 数据链路层 B 网络层 C 应用层 D 传输层(注:IPSec是INTERNET工程任务组(IETF)为IP安全推荐的一个协议。通过相应的隧道技术,可实现VPN IPSec有两种模式:隧道模式和传输模式)
87.IPSec协议中涉及到密钥管理的重要协议是____。
A IKE B AH C ESP D SSL
88.信息安全管理中,____负责保证安全管理策略与制度符合更高层法律、法规的要求,不发生矛盾和冲突。
A 组织管理 B 合规性管理 C 人员管理 D 制度管理
89.下列____机制不属于应用层安全。
A 数字签名 B 应用代理 C 主机入侵检测 D 应用审计 90.保证用户和进程完成自己的工作而又没有从事其他操作可能,这样能够使失误出错或蓄意袭击造成的危害降低,这通常被称为____。A 适度安全原则 B 授权最小化原则 C 分权原则 D 木桶原则
91.入侵检测技术可以分为误用检测和____两大类。
A 病毒检测 B 详细检测 C 异常检测 D 漏洞检测
92.安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于____措施。
A 保护 B 检测 C 响应 D 恢复
93.____不属于必需的灾前预防性措施。A 防火设施 B 数据备份
C 配置冗余设备 D 不间断电源,至少应给服务器等关键设备配备
94.对于人员管理的描述错误的是____。
A 人员管理是安全管理的重要环节 B 安全授权不是人员管理的手段
C 安全教育是人员管理的有力手段 D 人员管理时,安全审查是必须的
95.根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行____。
A 逻辑隔离 B 物理隔离 C 安装防火墙 D VLAN划分 96.安全评估技术采用____这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。
A 安全扫描器 B 安全扫描仪 C 自动扫描器 D 自动扫描仪 97.____最好地描述了数字证书。
A 等同于在网络上证明个人和公司身份的身份证
B 浏览器的一标准特性,它使得黑客不能得知用户的身份
C 网站要求用户使用用户名和密码登陆的安全机制
D 伴随在线交易证明购买的收据
98.根据BS 7799的规定,建立的信息安全管理体系ISMS的最重要特征是____。
A 全面性 B 文档化 C 先进性 D 制度化
99.根据BS 7799的规定,对信息系统的安全管理不能只局限于对其运行期间的管理维护,而要将管理措施扩展到信息系统生命周期的其他阶段,BS7799中与此有关的一个重要方面就是____。A 访问控制 B 业务连续性
C 信息系统获取、开发与维护 D 组织与人员
100.如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的____。A 强制保护级 B 监督保护级 C 指导保护级 D 自主保护级
101.如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于____。
A 强制保护级 B 监督保护级 C 指导保护级 D 自主保护级
102.如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的____。
B 监督保护级 C 指导保护级 D 自主保护级 A 强制保护级
103.如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的____。
A 强制保护级 B 监督保护级 C 指导保护级 D 自主保护级
104.如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的____。
A 专控保护级 B 监督保护级 C 指导保护级 D 自主保护级
105.GB l7859借鉴了TCSEC标准,这个TCSEC是____国家标准。A 英国 B 意大利 C 美国 D 俄罗斯
106.关于口令认证机制,下列说法正确的是____。
A 实现代价最低,安全性最高 B 实现代价最低,安全性最低
C 实现代价最高,安全性最高 D 实现代价最高,安全性最低
107.根据BS 7799的规定,访问控制机制在信息安全保障体系中属于____环节。
A 保护 B 检测 C 响应 D 恢复
108.身份认证的含义是____。
A 注册一个用户 B 标识一个用户C 验证一个用户 D 授权一个用户
109.口令机制通常用于____。
A 认证 B 标识 C 注册 D 授权 110.对日志数据进行审计检查,属于____类控制措施。A 预防 B 检测 C 威慑 D 修正
111.《信息系统安全等级保护测评准则》将测评分为安全控制测评和____测评两方面。
A 系统整体 B 人员 C 组织 D 网络
112.根据风险管理的看法,资产____价值,____脆弱性,被安全威胁____,____风险。
A 存在 利用 导致 具有 B 具有 存在 利用 导致
C 导致 存在 具有 利用 D 利用 导致 存在 具有
113.根据定量风险评估的方法,下列表达式正确的是____。
A SLE=AV x EF B ALE=AV x EF C ALE=SLE x EF D ALE=SLE x AV
114.防火墙能够____。
A 防范恶意的知情者 B 防范通过它的恶意连接
C 防备新的网络安全问题 D 完全防止传送已被病毒感染的软件和文件
115.下列四项中不属于计算机病毒特征的是____。A 潜伏性 B 传染性 C 免疫性 D 破坏性
116.关于入侵检测技术,下列描述错误的是____。A 入侵检测系统不对系统或网络造成任何影响
B 审计数据或系统日志信息是入侵检测系统的一项主要信息来源
C 入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵 D 基于网络的入侵检测系统无法检查加密的数据流
117.安全扫描可以____。
A 弥补由于认证机制薄弱带来的问题
B 弥补由于协议本身而产生的问题
C 弥补防火墙对内网安全威胁检测不足的问题
D 扫描检测所有的数据包攻击,分析所有的数据流
118.下述关于安全扫描和安全扫描系统的描述错误的是____。A 安全扫描在企业部署安全策略中处于非常重要的地位
B 安全扫描系统可用于管理和维护信息安全设备的安全
C 安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性
D 安全扫描系统是把双刃剑 119.关于安全审计目的描述错误的是____。A 识别和分析未经授权的动作或攻击
B 记录用户活动和系统管理 C 将动作归结到为其负责的实体
D 实现对安全事件的应急响应
120.安全审计跟踪是____。
A 安全审计系统检测并追踪安全事件的过程
B 安全审计系统收集易于安全审计的数据
C 人利用日志信息进行安全事件分析和追溯的过程
D 对计算机系统中的某种行为的详尽跟踪和观察
121.根据《计算机信息系统国际联网保密管理规定》的规定,凡向国际联网的站点提供或发布信息,必须经过____。
A 内容过滤处理 B 单位领导同意 C 备案制度 D 保密审查批准
122.根据《计算机信息系统国际联网保密管理规定》的规定,上网信息的保密管理坚持____的原则。
A 国家公安部门负责 B 国家保密部门负责 C “谁上网谁负责” D 用户自觉 123.根据《计算机信息系统国际联网保密管理规定》的规定,保密审批实行部门管理,有关单位应当根据国家保密法规,建立健全上网信息保密审批____。
A 领导责任制 B 专人负责制 C 民主集中制 D 职能部门监管责任制
124.网络信息未经授权不能进行改变的特性是____。A 完整性 B 可用性 C 可靠性 D 保密性
125.确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是____。
A 完整性 B 可用性 C 可靠性 D 保密性
126.确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝,允许其可靠而且及时地访问信息及资源的特性是____。A 完整性 B 可用性 C 可靠性 D 保密性
127.____国务院发布《计算机信息系统安全保护条例》。A 1990年2月18日 B 1994年2月18日 C 2000年2月18日 D 2004年2月18日
128.在目前的信息网络中,____病毒是最主要的病毒类型。A 引导型 B 文件型 C 网络蠕虫 D 木马型 129.在ISO/IEC 17799中,防止恶意软件的目的就是为了保护软件和信息的____。
A 安全性 B 完整性 C 稳定性 D 有效性
130.在生成系统帐号时,系统管理员应该分配给合法用户一个____,用户在第一次登录时应更改口令。
A 唯一的口令 B 登录的位置 C 使用的说明 D 系统的规则
131.关于防火墙和VPN的使用,下面说法不正确的是____。
A 配置VPN网关防火墙的一种方法是把它们并行放置,两者独立 B 配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在广域网一侧,VPN在局域网一侧
C 配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在局域网一侧,VPN在广域网一侧
D 配置VPN网关防火墙的一种方法是把它们并行放置,两者要互相依赖
132.环境安全策略应该____。
A 详细而具体 B 复杂而专业 C 深入而清晰 D 简单而全面
133.《计算机信息系统安全保护条例》规定,计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的____的安全。
A 计算机 B 计算机软件系统
C 计算机信息系统 D 计算机操作人员
134.《计算机信息系统安全保护条例》规定,国家对计算机信息系统安全专用产品的销售实行____。
A 许可证制度 B 3C认证 C IS09000认证 D 专卖制度 135.《互联网上网服务营业场所管理条例》规定,互联网上网服务营业场所经营单位____。
A 可以接纳未成年人进入营业场所
B 可以在成年人陪同下,接纳未成年人进入营业场所
C 不得接纳未成年人进入营业场所
D 可以在白天接纳未成年人进入营业场所
136.____是一种架构在公用通信基础设施上的专用数据通信网络,利用IPSec等网络层安全协议和建立在PKI的加密与签名技术来获得私有性。
A SET B DDN C VPN D PKIX
137.《计算机信息系统安全保护条例》规定,运输、携带、邮寄计算机信息媒体进出境的,应当如实向____。A 国家安全机关申报 B 海关申报 C 国家质量检验监督局申报 D 公安机关申报
138.《计算机信息系统安全保护条例》规定,故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以____的罚款、对单位处以____的罚款。
A 5000元以下 15000元以下 B 5000元 15000元
C 2000元以下 10000元以下 D 2000元 10000元
139.计算机犯罪,是指行为人通过____所实施的危害____安全以及其他严重危害社会的并应当处以刑罚的行为。
A 计算机操作 计算机信息系统 B 数据库操作计算机信息系统
C 计算机操作 应用信息系统 D 数据库操作管理信息系统 140.策略应该清晰,无须借助过多的特殊一通用需求文档描述,并且还要有具体的____。
A 管理支持 C 实施计划 D 补充内容 B 技术细节
141.系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速____。A 恢复整个系统 B 恢复所有数据 C 恢复全部程序 D 恢复网络设置
142.在一个企业网中,防火墙应该是____的一部分,构建防火墙时首先要考虑其保护的范围。
A 安全技术 B 安全设置 C 局部安全策略 D 全局安全策略
143.信息安全策略的制定和维护中,最重要是要保证其____和相对稳定性。
A 明确性 B 细致性 C 标准性 D 开放性
144.____是企业信息安全的核心。
A 安全教育 B 安全措施 C 安全管理 D 安全设施
145.编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码是____。
A 计算机病毒 B 计算机系统 C 计算机游戏 D 计算机程序
146.许多与PKI相关的协议标准(如PKIX、S/MIME、SSL、TLS、IPSec)等都是在____基础上发展起来的。
A X.500 B X.509 C X.519 D X.505
147.____是PKI体系中最基本的元素,PKI系统所有的安全操作都是通过该机制采实现的。
A SSL B IARA C RA D 数字证书
148.基于密码技术的访问控制是防止____的主要防护手段。
A 数据传输泄密 B 数据传输丢失 C 数据交换失败 D 数据备份失败
149.避免对系统非法访问的主要方法是____。
A 加强管理 B 身份认证 C 访问控制 D 访问分配权限 150.对保护数据来说,功能完善、使用灵活的____必不可少。A 系统软件 B 备份软件 C 数据库软件 D 网络软件
151.信息安全PDR模型中,如果满足____,说明系统是安全的。A Pt>Dt+Rt B Dt>Pt+Rt C Dt< font> D Pt
152.在一个信息安全保障体系中,最重要的核心组成部分为____。A 技术体系 B 安全策略 C 管理体系 D 教育与培训
153.国家信息化领导小组在《关于加强信息安全保障工作的意见》中,针对下一时期的信息安全保障工作提出了____项要求。A 7 B 6 C 9 D 10
154.《确保网络空间安全的国家战略》是____发布的国家战略。A 英国 B 法国 C 德国 D 美国
155.《计算机信息系统安全保护条例》规定,____主管全国计算机信息系统安全保护工作。
A 公安部 B 国务院信息办 C 信息产业部 D 国务院
156.下列____不属于物理安全控制措施。A 门锁 B 警卫 C 口令 D 围墙
157.灾难恢复计划或者业务连续性计划关注的是信息资产的____属性。
A 可用性 B 真实性 C 完整性 D 保密性
158.VPN是____的简称。
A Visual Private Network B Virtual Private NetWork C Virtual Public Network D Visual Public Network 159.部署VPN产品,不能实现对____属性的需求。A 完整性 B 真实性 C 可用性 D 保密性
160.____是最常用的公钥密码算法。
A RSA B DSA C 椭圆曲线 D 量子密码 161.PKI的主要理论基础是____。
A 对称密码算法 B 公钥密码算法 C 量子密码 D 摘要算法
162.PKI中进行数字证书管理的核心组成模块是____。
A 注册中心RA B 证书中心CA C 目录服务器 D 证书作废列表
163.信息安全中的木桶原理,是指____。
A 整体安全水平由安全级别最低的部分所决定
B 整体安全水平由安全级别最高的部分所决定
C 整体安全水平由各组成部分的安全级别平均值所决定
D 以上都不对
164.关于信息安全的说法错误的是____。
A 包括技术和管理两个主要方面 B 策略是信息安全的基础 C 采取充分措施,可以实现绝对安全
D 保密性、完整性和可用性是信息安全的目标
165.PDR模型是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的P代表____、D代表____、R代表____。A 保护 检测 响应 B 策略 检测 响应 C 策略 检测 恢复 D 保护检测 恢复
166.《计算机信息系统安全保护条例》规定,任何组织或者个人违反条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担____。
A 刑事责任 B 民事责任 C 违约责任 D 其他责任
167.在信息安全管理中进行____,可以有效解决人员安全意识薄弱问题。
A 内容监控 B 责任追查和惩处 C 安全教育和培训 D 访问控制
168.关于信息安全,下列说法中正确的是____。
A 信息安全等同于网络安全 B 信息安全由技术措施实现
C 信息安全应当技术与管理并重 D 管理措施在信息安全中不重要
169.在PPDRR安全模型中,____是属于安全事件发生后的补救措施。A 保护 B 恢复 C 响应 D 检测
170.根据权限管理的原则,—个计算机操作员不应当具备访问____的权限。
A 操作指南文档 B 计算机控制台 C 应用程序源代码 D 安全指南
171.网络蠕虫病毒以网络带宽资源为攻击对象,主要破坏网络的____。A可用性 B完整性 C保密性 D可靠性
172.要实现有效的计算机和网络病毒防治,____应承担责任。A 高级管理层 B 部门经理 C 系统管理员 D 所有计算机用户
173.统计数据表明,网络和信息系统最大的人为安全威胁来自于____。A 恶意竞争对手 B 内部人员 C 互联网黑客 D 第三方人员
174.双机热备是一种典型的事先预防和保护措施,用于保证关键设备和服务的____属性。
A 保密性 B 可用性 C 完整性 D 真实性
175.在安全评估过程中,采取____手段,可以模拟黑客入侵过程,检测系统安全脆弱。
A 问卷调查 B 人员访谈 C 渗透性测试 D 手工检查
176.我国正式公布了电子签名法,数字签名机制用于实现____需求。A 抗否认 B 保密性 C 完整性 D 可用性
177.在需要保护的信息资产中,____是最重要的。A 环境 B 硬件 C 数据 D 软件
178.____手段,可以有效应对较大范围的安全事件的不良影响,保证关键服务和数据的可用性。
A 定期备份 B 异地备份 C 人工备份 D 本地备份
179.____能够有效降低磁盘机械损坏给关键数据造成的损失。A 热插拔 B SCSI C RAID D FAST-ATA
180.相对于现有杀毒软件在终端系统中提供保护不同,____在内外网络边界处提供更加主动和积极的病毒保护。A 防火墙 B 病毒网关 C IPS D IDS 181.信息安全评测标准CC是____标准。A 美国 B 国际 C 英国 D 澳大利亚
182.《信息系统安全等级保护基本要求》中,对不同级别的信息系统应具备的基本安全保护能力进行了要求,共划分为____级。A 4 B 5 C 6 D 7
三、多选题
1.在互联网上的计算机病毒呈现出的特点是____。
A 与因特网更加紧密地结合,利用一切可以利用的方式进行传播 B 所有的病毒都具有混合型特征,破坏性大大增强
C 因为其扩散极快,不再追求隐蔽性,而更加注重欺骗性
D 利用系统漏洞传播病毒
E 利用软件复制传播病毒
2.全国人民代表大会常务委员会《关于维护互联网安全的决定》规定,利用互联网实施违法行为,尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员,依法给予____或者____。
A 行政处分 B 纪律处分 C 民事处分 D 刑事处分
3.《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不得从事下列危害计算机信息网络安全的活动____。A 故意制作、传播计算机病毒等破坏性程序的
B 未经允许,对计算机信息网络功能进行删除、修改或者增加的 C 未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的
D 未经允许,进入计算机信息网络或者使用计算机信息网络资源的 4.用于实时的入侵检测信息分析的技术手段有____。
A 模式匹配 B 完整性分析 C 可靠性分析 D 统计分析 E 可用性分析
5.《互联网上网服务营业场所管理条例》规定,____负责互联网上网服务营业场所经营许可审批和服务质量监督。A 省电信管理机构 B 自治区电信管理机构
C 直辖市电信管理机构 D 自治县电信管理机构 E 省信息安全管理机构
6.《互联网信息服务管理办法》规定,互联网信息服务提供者不得制作、复制、发布、传播的信息内容有____。
A 损害国家荣誉和利益的信息 B 个人通信地址 C 个人文学作品
D 散布淫秽、色情信息 E 侮辱或者诽谤他人,侵害他人合法权益的信息
7.《计算机信息系统安全保护条例》规定,____由公安机关处以警告或者停机整顿。
A 违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的
B 违反计算机信息系统国际联网备案制度的C 有危害计算机信息系统安全的其他行为的 D 不按照规定时间报告计算机信息系统中发生的案件的
E 接到公安机关要求改进安全状况的通知后,在限期内拒不改进的 8.与计算机有关的违法案件,要____,以界定是属于行政违法案件,还是刑事违法案件。
A 根据违法行为的情节和所造成的后果进行界定 B 根据违法行为的类别进行界定 C 根据违法行为人的身份进行界定
D 根据违法行为所违反的法律规范来界定
9.对于违法行为的行政处罚具有的特点是____。A 行政处罚的实施主体是公安机关
B 行政处罚的对象是行政违法的公民、法人或其他组织
C 必须有确定的行政违法行为才能进行行政处罚 D 行政处罚具有行政强制性
10.____是行政处罚的主要类别。
A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚 E 责令作为与不作为罚 11.互联网服务提供者和联网使用单位应当落实的互联网安全保护技术措施包括____。
A 防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施
B 重要数据库和系统主要设备的冗灾备份措施
C 记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的技术措施
D 法律、法规和规章规定应当落实的其他安全保护技术措施
12.在刑法中,____规定了与信息安全有关的违法行为和处罚依据。A 第285条 B 第286条 C 第280条 D 第287条
13.____可能给网络和信息系统带来风险,导致安全事件。A 计算机病毒 B 网络入侵 C 软硬件故障 D 人员误操作 E 不可抗灾难事件
14.____安全措施可以有效降低软硬件故障给网络和信息系统所造成的风险。
A 双机热备 B 多机集群 C 磁盘阵列 D 系统和数据备份 E 安全审计
15.典型的数据备份策略包括____。A 完全备份 B 增量备份 C 选择性备份 D 差异备份 E 手工备份
16.我国信息安全等级保护的内容包括____。
A 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
B 对信息系统中使用的信息安全产品实行按等级管理
C 对信息安全从业人员实行按等级管理
D 对信息系统中发生的信息安全事件按照等级进行响应和处置
E 对信息安全违反行为实行按等级惩处
17.目前,我国在对信息系统进行安全等级保护时,划分了5个级别,包括____。
A 专控保护级 B 强制保护级 C 监督保护级 D 指导保护级 E 自主保护级
18.下列____因素,会对最终的风险评估结果产生影响。
A 管理制度 B 资产价值 C 威胁 D 脆弱性 E 安全措施
19.下列____因素与资产价值评估有关。A 购买资产发生的费用 B 软硬件费用 C 运行维护资产所需成本 D 资产被破坏所造成的损失
E 人工费用
20.安全控制措施可以分为____。
A 管理类 B 技术类 C 人员类 D 操作类 E 检测类
21.安全脆弱性,是指安全性漏洞,广泛存在于____。A 协议设计过程 B 系统实现过程 C 运行维护过程
D 安全评估过程 E 审计检查过程
22.信息安全技术根据信息系统自身的层次化特点,也被划分了不同的层次,这些层次包括____。
A 物理层安全 B 人员安全 C 网络层安全 D 系统层安全 E 应用层安全
23物理层安全的主要内容包括____。
A 环境安全 B 设备安全 C 线路安全 D 介质安全 E 人员安全
24.根据BS 7799的规定,信息安全管理体系ISMS的建立和维护,也要按照PDCA的管理模型周期性进行,主要包含____环节。A 策略Policy B 建立Plan C 实施Do D 检查Check E 维护改进Act
25.在BS 7799中,访问控制涉及到信息系统的各个层面,其中主要包括____。
A 物理访问控制 B 网络访问控制
C 人员访问控制 D 系统访问控制 E 应用访问控制
26.英国国家标准BS 7799,经国际标准化组织采纳为国家标准____。A ISO 17799 B ISO 15408 C ISO 13335 D ISO 27001 E ISO 24088
27.计算机信息系统安全的三个相辅相成、互补互通的有机组成部分是____。
A 安全策略 B 安全法规 C 安全技术 D 安全管理
28.为了正确获得口令并对其进行妥善保护,应认真考虑的原则和方法有____。
A 口令/帐号加密 B 定期更换口令
C 限制对口令文件的访问 D 设置复杂的、具有一定位数的口令 29.关于入侵检测和入侵检测系统,下述正确的选项是____。A 入侵检测收集信息应在网络的不同关键点进行 B 入侵检测的信息分析具有实时性
C 基于网络的入侵检测系统的精确性不及基于主机的入侵检测系统的精确性高
D 分布式入侵检测系统既能检测网络的入侵行为,又能检测主机的入侵行为
E 入侵检测系统的主要功能是对发生的入侵事件进行应急响应处理
30.目前广泛使用的主要安全技术包括____。
A 防火墙 B 入侵检测 C PKI D VPN E 病毒查杀
31.《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不得制作、复制、发布、传播的信息内容有____。A 损害国家荣誉和利益的信息 B 个人通信地址
C 个人文学作品 D 淫秽、色情信息 E 侮辱或者诽谤他人,侵害他人合法权益的信息
32.基于角色对用户组进行访问控制的方式有以下作用:____。A 使用户分类化
B 用户的可管理性得到加强 C 简化了权限管理,避免直接在用户和数据之间进行授权和取消
D 有利于合理划分职责 E 防止权力滥用
33.在网络中身份认证时可以采用的鉴别方法有____。
A 采用用户本身特征进行鉴别 B 采用用户所知道的事进行鉴别
C 采用第三方介绍方法进行鉴别 D 使用用户拥有的物品进行鉴别
E 使用第三方拥有的物品进行鉴别
34.在ISO/IECl7799标准中,信息安全特指保护____。
A 信息的保密性 B 信息的完整性 C 信息的流动性 D 信息的可用性
35.PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的____的总和。
A 硬件 B 软件 C 人员 D 策略 E 规程
36.SSL主要提供三方面的服务,即____。
A 数字签名 B 认证用户和服务器 C 网络传输
D 加密数据以隐藏被传送的数据 E 维护数据的完整性
37.经典密码学主要包括两个既对立又统一的分支,即____。A 密码编码学 B 密钥密码学 C 密码分析学 D 序列密码 E 古典密码
38.全国人民代表大会常务委员会《关于维护互联网安全的决定》规定,为了维护社会主义市场经济秩序和社会管理秩序,____行为,构成犯罪的,依照刑法有关规定追究刑事责任。
A 利用互联网销售伪劣产品或者对商品、服务作虚假宣传
B 利用互联网侵犯他人知识产权
C 利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息
D 利用互联网损害他人商业信誉和商品声誉
E 在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片
39.有多种情况能够泄漏口令,这些途径包括____。
A 猜测和发现口令 B 口令设置过于复杂 C 将口令告诉别人 D 电子监控 E 访问口令文件
40.信息系统常见的危险有____。
A 软硬件设计故障导致网络瘫痪 B 黑客入侵
C 敏感信息泄露 D 信息删除 E 电子邮件发送 41.对于计算机系统,由环境因素所产生的安全隐患包括____。A 恶劣的温度、湿度、灰尘、地震、风灾、火灾等
B 强电、磁场等 C 雷电 D 人为的破坏
42.在局域网中计算机病毒的防范策略有____。
A 仅保护工作站 B 保护通信系统 C 保护打印机
D 仅保护服务器 E 完全保护工作站和服务器
43.在互联网上的计算机病毒呈现出的特点是____。
A与互联网更加紧密地结合,利用一切可以利用的方式进行传播 B具有多种特征,破坏性大大增强 C扩散性极强,也更注重隐蔽性和欺骗性 D针对系统漏洞进行传播和破坏
44.一个安全的网络系统具有的特点是____。A 保持各种数据的机密
B 保持所有信息、数据及系统中各种程序的完整性和准确性 C 保证合法访问者的访问和接受正常的服务
D 保证网络在任何时刻都有很高的传输速度
信息安全技术继续教育 篇2
一、激发认知兴趣,变枯燥为有趣
美国心理学家布鲁纳说:“学习的最好刺激乃是对学习材料的兴趣。”兴趣是孩子学习的基础,是孩子积极主动学习的起点,是获得知识的开始。在教学过程中,我们充分利用多媒体技术把声音、图像、文字、动画、影视等有机地结合起来,创设充满动感和趣味的情境,设计引人入胜的情节,给幼儿一种新鲜的、动态的感官刺激,提高幼儿的关注度,激发其学习兴趣,使其获得正确的安全认知。例如:中班安全活动《小鸭历险记》在课件制作中通过运用多媒体技术将小鸭遇到的各种危险图片进行编辑、组合,配以音响效果,虚拟了小鸭历险的各种自然场景,让幼儿在虚拟的情境中探险,身临其境地根据需要选择工具解决遇到的问题,排除障碍,轻松习得一些简单的自我保护知识。整个活动,幼儿学习兴趣浓厚,活动氛围轻松愉快,教学成效明显。
二、使用多样化的教学手段,变静态为动态
信息技术能将静止的、抽象的内容变成生动形象的音像结合的复合体,将教师难以用语言表达的原理、现象生动而有条理地表现出来,将孩子难以理解的概念、规律直观而又形象地揭示出来,很好地帮助幼儿理解生活中的一些安全隐患。如:把安全教育制作课件,配上优美的音乐、熟悉的卡通人物、动感的画面……运用多媒体技术的特殊功能,将事物重点或细节部分突出放大、慢放画面、循环播放、重要片段反复播放等,从而使幼儿了解事情发生、发展和变化的过程及状态。如:对年幼的孩子来说地震是什么样子、房子怎么会摇摆、倒下,太难想象,演练时他们还会觉得像是玩游戏,而不能认真对待,达不到演练的效果。利用多媒体网络再现地震的画面和不懂自我保护造成的严重后果,让幼儿理解地震对人造成的伤害,从而提高幼儿的认知,使其逐步掌握逃生的方法。
三、捕捉日常瞬间,变无形为有形
有这样一句话:“听过了很快就忘记了,看到了很快就记住了。”因此我们通过手机拍摄捕捉孩子活动的瞬间,变无形为有形,然后让幼儿观看自己活动的情景,帮助其掌握正确的活动方法,提高自我保护能力。如:中班安全教育活动《安安全全玩滑梯》,拍摄了平时幼儿玩滑梯的情景,运用多媒体技术画面的放大、放慢、定格等多种手段,让幼儿通过仔细观察,主动思考、探索、讨论出哪些是正确的玩法,哪些是危险的、不安全的,这样让幼儿真实感知,不但容易理解,而且知识完整、印象深刻,并逐步内化为正确的行为技能,多媒体教技术引入安全教育活动,给活动注入了新的生机和活力。
四、拓宽知识领域,变单一为多样
运用多媒体信息技术,可以搜寻大量为幼儿园安全教育内容服务的网络资料、Flash课件、电视片段等,多渠道向幼儿提供与安全教育内容相关的信息,满足幼儿的好奇心,扩大幼儿的认知范围。如:当幼儿看到电视新闻里小朋友因玩火不慎造成伤害时,都脸色凝重,纷纷议论:“大火好厉害呀,把整个房子都烧了,太可怕了!”“大火把人都烧伤了,该有多疼呀!”看到小朋友在超市追逐玩耍,造成摔伤、夹伤、撞伤等意外伤害时,纷纷指责其行为的不当……运用多媒体让孩子直观地感受到意外的发生就在自己身边,在幼儿理解的基础上,老师进行教育,孩子们很快就能接受,懂得怎样避免伤害,意外发生后该怎么办,自我保护能力也得到提高。
五、解决教育难点,变抽象为具体
结合幼儿的认知特点,运用多媒体技术进行动态演示,把以往教学中无法表现出来的抽象事物和现象变得形象、生动、具体、直观,将安全教学中的重点和难点一一剖析,使抽象难懂的知识变得浅显易懂,让幼儿能够真正理解和掌握。如:幼儿在游戏时会发生互相推挤、叠压等现象,教育后孩子能理解,但往往会记不住。我们用多媒体网络让幼儿观察人体构造的画面,演示各种不当做法对身体造成伤害的过程。在安全教育的过程中有了这样形象的画面,幼儿就会看得更认真,对同样的事就会记的更牢更清楚了,从而给孩子警示作用。孩子喜欢用嘴巴咬东西,经常会误吞、吸入异物,我们设计了电脑动画来模拟演示食物在人体各器官中的流动过程,演示异物进入人体后对胃、肠等器官造成的划、刮等伤害,用动画形式表演器官受伤的痛苦表情。看了这样的画面,孩子定能牢记教训。难以掌握的知识,通过电教媒体,轻而易举地获得了。
信息安全技术继续教育 篇3
关键词 中职学校 信息安全技术 教育现状 有效措施
中图分类号:G71 文献标识码:A
在全球经济一体化的形势下,我国对人才的需求不断地增加,教育事业的发展备受关注。在这种情况下,我国一直致力于加快应试教育向素质教育模式的转型,大力推广素质教育改革的发展,以提高我国教育事业的发展水平,使其能够在日益激烈的市场竞争中占有一席之地。中职教育是素质教育改革中的重要组成部分,必须予以高度重视,不容忽视。在中职教育中信息安全技术课程是较为重要的一门学科,受到教育学者们的广泛关注。为提高中职学校信息安全技术教育水平,则必须转变传统的教学模式,明确中职学校信息安全技术教育的目标,树立全新的教学观念,采用多样化的教学手段,以为学生创造良好的学习环境,充分发挥学生的学习积极性。
1 中职学校信息安全技术教育的相关内容
中职学校信息安全技术教育中的重点内容是计算机教学,力求培养计算机信息安全方面的优秀人才。学习此方向的学生未来主要是从事于一些获取信息,处理信息和有效应用信息等方面的工作,为此必须提高学生的信息安全意识,提升学生的理论知识水平,提高学生的操作能力。根据信息安全技术岗位的职业特点来实施具有针对性的教学,建立健全的中职学校信息安全技术教育体系,重视对学生创新能力的培养,以提高中职学校信息安全技术教育质量。
2 现阶段我国中职学校信息安全技术教育中存在的问题
现阶段,在我国中职学校西悉尼安全技术教育中仍然存在着一定的问题,还有待于进一步完善和结局。其问题主要在于教师并未意识到加强学生实训学习能力的重要性,未能实现素质教育改革的目标,难以提高学生的实践能力。在信息安全技术教学过程中,实训环节较为薄弱,教师只重视对学生理论知识的传授,而忽视了对学生学习技能的培养。另外,中职学校信息安全技术教育中所选择的教材并不合适,在教材中并未突出职业性的特点,缺乏对学生职业方面的讲解,未能提高学生的职业意识,以致于学生日后难以适应社会工作状况。教师团队的素质也有待于进一步提升,教师未能严格要求自己,没有发挥教师的榜样作用。新时期下,我国所制定的信息安全技术教育考核体系已经无法满足当下社会对中职教育的要求,其必须突破传统评价方式的束缚,丰富教学评价方式,以促进信息安全技术教育稳定而长远的发展。
3 提高我国中职学校信息安全技术教育水平的有效措施
(1)重视对学生实践能力的培养,开展高效率的实训教学活动
中职学校不同于其他普通高中院校,其具有一定的职业性,是一种以职业为基础,重视技能的教学。在中职学校的教学过程中教师应当积极开展实训课程,不可只在乎学生对理论知识的理解状况,应当将理论知识作为基础教学,将实训课程作为能力提升内容,以使学生能够将所学的理论知识灵活地应用于实际生活中,培养学生实践能力。理论知识固然重要,但是实训技能更符合中职教育的目标。首先,教师应当适当的调整信息安全技术教育中理论教学和实训课程的比例,应当适当的加大实训课程的次数,所占比例不可低于百分之四十。另外,教师要全面了解学生的学习状况,掌握学生的性格特点,并据此说来制定合适的实训课程教学计划,针对信息安全技术的课程内容来安排教学进度,并列出实训课程一览表。其次,为给学生创造良好的信息安全技术学习条件,学校应当提供信息安全技术教学实训基地,加强对实训课程的管理。计算机信息技术不断地改进,相关软件和硬件都在升级,更新换代的速度十分快,因而学校的实训基地中应当完善计算机设备,优化计算机资源配置,采用先进的计算机软件和硬件设备,以为学生提供良好的实训环境,提高学生的实训学习效率。
(2)选择合适的教材,壮大教师团队
为了保障中职学校信息安全技术的教学质量,教师应当选择合适的教材来进行教学,教材的选择十分重要,其是教师制定教学计划和教学内容的重要依据,是学生获得知识的最佳渠道,为此所选择的教材一定要符合标准要求。在选择教材的时候,一定要选择能够体现出职业技术的内容,既要包括职业基本理论和基本要求的内容,还应当涵盖职业技能等内容。在选择信息安全技术教材的时候要确保其具有综合性和实用性。另外,教师还可以自主进行教材编写工作,根据实际情况来完善教材体系。教师应当以信息安全技术课程的(下转第83页)(上接第81页)特点为依据,结合自己的教学经验来编撰合适的教材,以提高信息安全技术教学水平。
教师是教学过程中的主导者,虽然素质教育改革后更强调的是学生的主动性,但是并未忽视教师的辅导作用,教师的素质也将对教学质量产生一定的影响。为此,必须加强对信息安全技术课程教师的培训和教育,以壮大教师团队,提高教师的整体素质。计算机信息技术发展迅速,无论是人们的生活活动,或是社会的生产活动,都已经开始广泛应用计算机信息技术,而作为人才培养的先导,教师更应当掌握良好的计算机技能,可让教师前往实际部门工作中体验,以培养教师的动手操作能力,让教师在授课的时候能够结合自己的经验来阐述教学内容,从而加深学生对教材内容的理解。
(3)建立健全的教学考核方式
为了提高中职学校信息安全技术教学的有效性,教师应当建立健全的教学考核方式,采用现代化的教学评价方式。在教学考核中教师应当重视对学生综合能力的考核,将笔试考核的方式转化为实际操作考察。因而,可以将中职学校信息安全技术教学的考试模式分为两个部分,一个部分是对学生理论知识的考察,另一个部分则是让学生上机操作,将实习也作为评估学生的一个重要内容。另外,教师还应当鼓励学生去参加计算机信息技术全国性考试,考取与之相关的职业资格证书,并且将其作为评定学生的标准之一。
4 结束语
随着时代的发展、社会的进步,科学技术日新月异,不断地创新和改进,尤其是计算机信息技术已经成为人们生活中不可或缺的组成部分,对人们的生活和社会生产产生了较大的影响。社会对计算机信息技术方面的人才愈发重视,对计算机信息技术教育也越来越关注。为此,中职学校应当加强对信息安全技术教育的管理,以提高学生的学习兴趣,激发学生的学习潜能,从而提高学生的学习效率。在中职信息安全技术教学过程中,教师不仅要重视对学生信息安全理论知识的教授,还应当培养学生基本的信息安全技术能力,提高学生的职业意识,让学生能够尽快地适应未来的工作环境,保障中职学校信息安全技术教育的有效性,从而推动中职学校信息安全技术教育的可持续发展。
参考文献
[1] 李鹏.中职计算机教育中信息安全教学研究[J].科技创新导报,2009,23:241-242.
[2] 林诚,黄英华.中职信息技术教育现状与应对策略[J].广西教育,2012,43:152-153.
[3] 郭婷婷.中职信息技术课程任务驱动教学法的研究[D].山西师范大学,2010.
[4] 滕德虎.以NIT为平台打造中职信息技术教育新模式——繁昌职教中心信息技术专业发展个案研究[J].职业教育(中旬刊),2013,06:17-19.
信息安全技术继续教育 篇4
(三)一、单选题(共 7 小题,每题 5 分)
1、下列哪一项不是新兴的身份认证技术(d)。
A、量子密码认证技术
B、思维认证技术
C、行为认证技术
D、IE技术
2、涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行,报经(b)以上国家保密工作部门(省市国家保密局)审批后,才能投入使用。
A、县级
B、地市级
C、省级
3、在网络信息系统中,通信线路很容易遭到物理破坏,也可能被搭线窃听,甚至被插入、删除信息,这属于(c)。
A、硬件设施的脆弱性
B、软件系统的脆弱性
C、网络通信的脆弱性
4、(a)是指信息不泄露给非授权用户,即使非授权用户获得保密信息也无法知晓信息的内容。
A、保密性
B、完整性
C、可用性
D、不可否认性
5、下列不属于信息系统硬件设施的脆弱性的是(d)。
A、温度、湿度、尘埃、静电等都可以影响计算机系统的正常工作
B、计算机工作时辐射的电磁波会造成信息泄漏
C、存储介质上的信息擦除不净会造成泄密
D、操作系统存在漏洞
6、物理安全中的(c)指对存储介质的安全管理,目的是保护存储在介质中的信息。
A、环境安全
B、设备安全
C、媒体安全
7、用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种网络违法行为(b)。
A、网络非法集资
B、网络钓鱼
C、网络传销
D、网络黑客攻击
1.下面哪些要素可以是密码系统的组成部分()。
正确答案:A..明文 B..明文 C..密码算法 D..密钥
2.下列哪些是常见的身份认证技术的类型()。
正确答案:A.智能卡认证 B.基于USKey的认证 D.短信密码认证
3.目前国际上通行的与网络和信息安全有关的标准,可分成()。
正确答案:A.互操作标准 B.技术与工程标准 C.信息安全管理标准
4.信息系统定级要素()。
正确答案:A.等级保护对象受到破坏时所侵害的客体 B.对客体造成侵害的程度
5.我国信息安全测评认证工作已出具雏形,主要体现在()。
正确答案:A.4、我国信息安全测评认证工作已出具雏形,主要体现在()B.标准体系建设成果较大 C.测评认证体系初具规模 D.测评认证服务步入正轨
6.被称为信息安全的铁三角(简称CIA)的是信息安全的()属性。
正确答案:A.保密性 B.完整性 C.可用性
判断题
-------
1.脆弱性分为技术脆弱性和管理脆弱性。
正确答案:对
3.身份认证技术是系统计算机审查用户身份,确定该用户是否具有对某种资源的访问和使用权限的过程,通过该技术,计算机可以识别用户的数字身份。
正确答案:对
4.信息安全测试主要通过对测评对象按照预定的方法或工具,使其产生特定的行为等活动,查看、分析输出结果,获取证据以证明信息系统安全措施是否有效的一种方法。包括渗透性测试、系统漏洞扫描等。
正确答案:对
5.国际标准化组织(ISO)对信息安全的定义为:为数据处理系统建立和采取的技术上和管理上的安全保护,保护计算机硬件、软件和数据不因偶然或恶意的原因而遭到破坏、更改和泄露。
正确答案:对
7.信息安全测评是检验/测试活动;而信息安全认证则是质量认证活动,更确切地说是产品认证活动。信息安全测评为信息安全认证提供必要的技术依据。
正确答案:对
2、《计算机信息系统安全保护等级划分准则GB 17859-1999》,它将计算机信息系统安全保护能力划分为用户自主保护级、系统审计保护级、安全标记保护级和结构化保护级等四个等级。
对
6、脆弱性(vulnerability)是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节。因其本身不会造成损害,所以脆弱性不是资产的固有属性。
对
信息化建设与信息安全
(三)共 3 大题,总分 100 分,60 分及格
(请于 30 分钟内完成)
一、单选题(共 7 小题,每题 5 分)
1、下列不属于信息系统硬件设施的脆弱性的是(d)。
A、温度、湿度、尘埃、静电等都可以影响计算机系统的正常工作
B、计算机工作时辐射的电磁波会造成信息泄漏
C、存储介质上的信息擦除不净会造成泄密
D、操作系统存在漏洞
2、涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行,报经(b)以上国家保密工作部门(省市国家保密局)审批后,才能投入使用。
A、县级
B、地市级
C、省级
3、物理安全中的(c)指对存储介质的安全管理,目的是保护存储在介质中的信息。
A、环境安全
B、设备安全
C、媒体安全
4、在网络信息系统中,通信线路很容易遭到物理破坏,也可能被搭线窃听,甚至被插入、删除信息,这属于(c)。
A、硬件设施的脆弱性
B、软件系统的脆弱性
C、网络通信的脆弱性
5、下列哪一项不是新兴的身份认证技术(d)。
A、量子密码认证技术
B、思维认证技术
C、行为认证技术
D、IE技术
6、下列哪一项不是从技术角度出发来防范黑客的(a)。
A、国家制定相关法律法规
B、关闭“文件和打印共享”功能
C、隐藏IP地址
D、关闭不必要的端口
7、下述哪个不是入侵检测系统的组成部分(d)。
A、事件报警器
B、事件响应单元
C、事件数据库
D、事件产生器
二、多选题(共 6 小题,每题 5 分)
1、以下属于实现VPN的技术有(abcd)。
A、身份认证技术
B、隧道技术
C、加解密技术
D、虚拟机技术
2、我国信息安全测评认证工作已出具雏形,主要体现在(abcd)。
A、4、我国信息安全测评认证工作已出具雏形,主要体现在()
B、标准体系建设成果较大
C、测评认证体系初具规模
D、测评认证服务步入正轨
3、下述哪些是防火墙的功能(abcd)。
A、管理功能
B、过滤不安全的服务
C、加密支持功能
D、集中式安全防护
4、信息安全的内容包括(abcd)。
A、物理安全
B、运行安全
C、管理安全
D、网络安全
a5、网络犯罪的防范与治理的措施有(abcd)。
A、加强网络技术防范和网络监管
B、加强网络法制建设
C、加强网络法制与道德教育,增强法制观念
D、加强对网络犯罪的打击力度,形成威慑力
6、信息系统定级要素(ab)。
A、等级保护对象受到破坏时所侵害的客体
B、对客体造成侵害的程度
C、等级保护对象的重要程度
D、信息系统中等级保护对象的数量
三、判断题(共 7 小题,每题 5 分)
1、入侵检测的方法可以分为滥用检测和异常检测,前者可能出现错报情况,而后者有时会出现漏报情况。
对
2、国际标准化组织(ISO)对信息安全的定义为:为数据处理系统建立和采取的技术上和管理上的安全保护,保护计算机硬件、软件和数据不因偶然或恶意的原因而遭到破坏、更改和泄露。
对
3、管理安全是保证计算机网络信息系统安全的特殊技术,它包含管理制度和安全策略两方面的内容。
对
4、RSA是基于对称密钥体制设计的一种加密算法。
对
5、不可否认性是指能保证用户在事后无法否认曾对信息进行过的操作行为,是针对通信各方信息真实同一性的安全要求。一般应用数字签名和公证机制来保证不可否认性。对
6、信息系统等级保护工作主要分为:定级、备案、安全建设和整改、信息安全等级测评和监督检查五个环节。其中等级测评是首要环节。
对
7、身份认证技术是系统计算机审查用户身份,确定该用户是否具有对某种资源的访问和使用权限的过程,通过该技术,计算机可以识别用户的数字身份。
信息安全技术继续教育 篇5
编制说明
1.工作简况 1.1.任务来源
根据国家标准化管理委员会2017年下达的国家标准制修订计划,国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团(电信科学技术研究院)主办。
关键信息基础设正常运转,关系国家安全、经济发展、社会稳定,随着关键信息基础设施逐渐向网络化、泛在化、智能化发展,网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视,陆续出台了相关战略、规划、立法以及实施方案等,加大对关键信息基础设施的保护力度。近年来,随着我国网络强国战略的深化和实施,国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出,构建国家关键信息基础设施安全保障体系已迫在眉睫,是当前一项全局性、战略性任务。
2016年4月19日,总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。” 2016年8月12日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号),要求“按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。2016年12月15日,国务院印发《“十三五”国家信息化规划》(国发〔2016〕73号),明确提出要构建关键信息基础设施安全保障体系。2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,要求“建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”2017年7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征集意见。
目前国外主要国家对关键信息基础设施的保护起步较早,已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措,大力加强关键信息基础设施安全建设,不断提升网络安全保障能力。对于我国而言,一方面,我国在引进外国先进技术、加快产业更新换代的同时,部分关键核心技术和设备受制于他国,存在系统受控、信息泄露发 1
现滞后等隐患,也给关键信息基础设施各领域带来许多安全隐患问题。另一方面,我国关键信息基础设施保护工作起步较晚、发展较慢,缺乏针对性、指导性的标准体系,无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的
本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年,项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究:研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料,总结网络安全保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下我国网络安全保障工作面临的挑战,分析我国网络安全保障工作的新需求,对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结;在理论研究和实践调研的基础上,研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月,项目组赶赴电力、民航、电信、中国银行等相关行业(企业)进行调研。3、2015年1月-2015年7月,项目组根据项目要求开展了研讨会,针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月,项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月,项目组进行了广泛研讨,并咨询了专家意见:2015年1月,对研究提出的网络安全保障评价指标体系的初步框架,召开专家咨询会,听取了崔书昆、李守鹏等专家的意见;2015年6月,召开专家会,听取了中国电信基于大数据的网络安全态势评价工作的介绍;2015年7月,召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状,与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月,与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月,与网络安全检查工作进行对接,采用指标体系对相关检查结果进行了统计测算,并撰写评价报告。8、2016年4月-2016年8月,针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结,进一步更新了指标体系。9、2016年9月-2017年2月,与关键信息设施检查办进行对接,对指标体系的实际应
用进行了深入讨论。10、2017年3月,项目组在草案初稿的基础上,召开行业专家会,形成草案修正稿。11、2017年4月,在全国信息安全标准化技术委员会2017年第一次工作组会议周上,项目组申请国家标准制定项目立项。12、2017年6月,“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月,项目组召开专家咨询会,听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月,在全国信息安全标准化技术委员会WG7第二次全体会议上,项目组广泛听取专家意见,形成征求意见稿。1.4.承担单位
起草单位:大唐电信科技产业集团(电信科学技术研究院)
协作单位:国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。
本部分主要起草人:韩晓露 吕欣 李阳 毕钰 郭晓萧等。2.编制原则和主要内容 2.1.编制原则
为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,主要遵循以下原则:
1、综合性原则
关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此,标准设计的首要原则是综合性。
2、科学适用性原则
关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则,把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵。
适用性原则,就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于,最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。
3、导向性原则
评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确 的方向和目标发展,要引导我国关键信息基础设施安全的健康发展。
4、可操作性强原则
可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面。
5、定性定量结合原则
在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上。
6、可比性原则
可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准,是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容
本标准概述了本标准各部分通用的基础性概念,给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下:
前言 引言 1 范围 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义
附录A(规范性附录)指标测量过程 参考文献
本标准主要贡献如下:
1、明确了标准的目标读者及其可能感兴趣的内容
指出标准主要由三个相互关联的部分组成:第1部分包括1-3节,描述了本标准的范围和所使用的术语与定义,对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释;第2部分为第4节,详细描述了关键信息基础设施安全保障指标体系的体系框架和指标;第3部分包括第5节和附录A,给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法,为体系的可操作性提供了保证。
2、给出了关键信息基础设施的概念
关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。
《中华人民共和国网络安全法》规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
《国家网络空间安全战略》规定:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。
3、指出关键信息基础设施安全保障评价围绕三个维度进行
关键信息基础设施安全保障评价围绕三个维度进行,即建设情况、运行能力和安全态势,并依据关键信息基础设施安全保障对象和内容进行分析和分解,一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。
4、给出了指标测量的一般过程
关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度,应用相应的测量方法得出测量值,并通过分析模型将测量值折算成指标值,最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明
a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面,试图使所提出的指标体系与测量过程具有一定的通用性,以便于指标体系的推广和扩展;
b.考虑到指标设计方面应用的可扩展性,在体系建设和测量过程之中,指标体系可以根据实际评价对象的特性做出相应的指标调整,以完善指标体系并得出合理公正的评价。
《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组
信息安全教育培训制度 篇6
为进一步提高农牧厅网络管理人员对网络安全重大意义的认识,增强遵守规章制度和劳动纪律的自觉性,避免网络安全事故的发生,确保各项工作顺利进行,特制订本制度。
一、安全教育培训的目的
网络安全教育和培训不仅能提高各级领导和员工对网络信息安全的认识,增强搞好信息安全责任感和法律意识,提高贯彻执行信息安全法律、法规及各项规章制度的自觉性,而且能使广大员工掌握网络信息安全知识,提高信息安全的事故预防、应急能力,从而有效地防止信息安全事故的发生,为确保网络安全创造条件。
二、培训制度
1、信息安全教育培训计划由信息中心根据工作计划作出安排。
2、成立信息安全教育学习小组,定期组织信息安全教育学习;
3、工作人员每年必须参加不少于15个课时的专业培训。
4、工作人员必须完成布置的学习计划安排,积极主动地参加信息中心组织的信息安全教育学习活动。
5、有选择地参加其它行业和部门举办的专业培训,鼓励参加其它业务交流和学习培训。
6、支持、鼓励工作人员结合业务工作自学。
三、培训内容: 1.计算机安全法律教育
(1)、定期组织本单位工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识,不断提高工作人员的理论水平。
(2)、负责对企业的网络用户进行安全教育和培训。(3)、定期的邀请上级有关部门和人员进行信息安全方面的培训,提高操作员的防范能力。
2.计算机职业道德教育
(1)、工作人员要严格遵守工作规程和工作制度。(2)、不得制造,发布虚假信息,向非业务人员提供有关数据资料。
(3)、不得利用计算机信息系统的漏洞偷窃客户资料,进行诈骗和转移资金。
(4)、不得制造和传播计算机病毒。3.计算机技术教育
(1)、操作员必须在指定计算机或指定终端上进行操作。
(2)、机房管理员,程序维护员,操作员必须实行岗位分离,不得串岗,越岗。
(3)、不得越权运行程序,不得查阅无关参数。(4)、发现操作异常,应立即向机房管理员报告。
三、培训方法:
1.结合专业实际情况,指派有关人员参加学习。2.有计划有针对性,指派人员到外地或外单位进修学习。
3.举办专题讲座或培训班,聘请有关专家进行讲课。4.所有上岗工作人员或换岗工作人员应经过培训考核合格,方能上岗。
信息安全技术继续教育 篇7
本刊讯2009年8月4日至7日, 由《华南金融电脑》杂志社组织的广东省金融系统信息网络安全专业技术人员继续教育培训班在中国农业发展银行肇庆市分行举办。广东省 (广州市) 各地市人民银行、农业发展银行、部分商业银行以及农信联社的52名科技管理者和工程技术人员参加了培训。
此次培训的主要内容为信息安全管理, 包括信息安全相关法律法规、可信计算与安全保护、信息安全等级保护定级指南和基本要求、信息安全管理与监管人员安全管理、计算机病毒基础知识与防范技术等课程。讲师由广东省公安厅网警总队、支队的专家担任。全部学员均通过考试, 并取得“信息网络安全专业技术人员继续教育合格证书”。
信息安全技术刍议 篇8
所谓信息安全,主要是保证信息的可用性、完整性、鉴别性、机密性和非抵赖性,所涉及的领域已从主机的安全发展到网络结构体系的安全,从单一层次的安全发展到多层次的立体安全。
1.信息加密技术
信息加密技术是实施信息保护的主要手段。通过数据加密,可有效保证信息在传输过程中不被泄露和破坏。
信息加密技术分为基于数学的密码技术和非数学的密码技术两种。基于数学的密码技术包括公钥密码、分组密码、流密码、数字签名、密钥管理、身份鉴别、消息认证、密钥共享和PKI技术等。非数学的密码技术包括量子密码、DNA密码等,其中量子密码、DNA密码具有广阔的发展前景。
量子密码是以海森堡“测不准理论”为物理基础,运用量子光学方法通过公开信道(通信光纤)异地产生物理噪声来加密的,可以真正实现一报一密,构成理论上不可破译的密码体制。运用量子加密法时,两个用户之间会各自产生一个私有的随机数字符串,除了发件人和收件人之外,任何人都无法掌握量子的状态,也无法复制量子。若攻击者企图接收并检测发件人的信息(偏振),就会造成量子状态的改变,而这种改变对攻击者而言是不可恢复的。但是,收发双方却能很容易检测出信息是否受到攻击,并设法将其消除。目前,国际学术界正围绕如何克服对量子相干性的干扰破坏、有效的量子受控门和量子逻辑网络设计、量子信息理论体系和量子密码的实用技术等问题展开研究。
近年来,DNA技术为信息加密技术发展带来了新的机遇。DNA分子在酶的作用下,可以通过生物化学反应,从某种基因代码转变成另一种基因代码。把转换前的基因代码作为输入数据,转换后的基因代码作为运算结果,能够进行很多高级逻辑运算和数学运算,而利用生物化学反应过程可以研制新型生物计算机,也可以为密码运算和密码分析提供理论依托。
DNA生物化学反应的优势,是能够并行工作。利用这种特性,可以并行处理解决问题的所有可能方法。以DNA分子链取代硅片存储和处理信息,具有计算速度快、存储量大、体积小等特点,可逐步模拟人脑的功能。有人预言,倘若DNA计算机研制成功,其几十个小时的运算量,就相当于目前全球所有计算机问世以来运算量的总和。
当前,DNA密码编码和密码分析的理论研究主要集中在以下几个领域:DNA的筛选、合成与纯化,繁殖与修饰;DNA有序排列点阵的形成;DNA密码编码变换的实施,编码信息的获取;DNA密码分析的实施,破译信息的获取;DNA芯片与DNA诊断薄膜原型器件的研制,等等。
2.信息伪装技术
信息加密技术可以保证“黑客”无法破译机密信息,却不能防止“黑客”阻碍合法接收者读取机密信息,因为“黑客”可以稳、准、狠地破坏被加密的信息。信息伪装技术则可以在很大程度上弥补这一缺点,使“黑客”感觉不到机密信息的存在,从而达到保护信息安全的目的。有潜在应用价值的信息伪装技术主要有信息隐藏、数字水印、叠像术和潜信道等。
2.1信息隐藏
信息隐藏是信息伪装的主体,以至于人们经常将其与信息伪装当成一回事。形象地说,信息隐藏就是将机密信息隐藏在普通信息之中,且不露任何破绽。信息隐藏的基本原理,是利用人类感官系统对某些细节的不敏感性,对载体作某些微小变动,却不引起观察者的怀疑。
2.2数字水印
数字水印是信息伪装的一个重要分支,也是目前国际学术界研究的热门课题。数字水印是永久镶嵌在宿主数据中的具有可鉴别性的数字信息,且不影响宿主数据的可用性。
2.3叠像术
叠像术是由可视化密码技术发展而来的一种新的信息伪装技术。其思想是把要隐藏的机密信息,通过算法隐藏到两个或多个子密钥图片中。这些图片可以存放在磁盘上,也可以印刷到透明胶片上,而每一张图片上都有随机分布的黑点和白点。由于黑、白点是随机分布的,故持有单张图片的人不论用什么方法,都无法得出任何有用的信息。而如果把所有图片叠加在一起,就可以恢复原有的机密信息。
2.4潜信道
潜信道又名隐信道。顾名思义,就是普通人感觉不到此信道的存在,而系统却可以利用这些感觉不到但真实存在的信道传送(存储)机密信息。
3.认证技术
所谓认证,就是确认接收到的数据确实来自所希望的源端。与认证相关的是非抵赖(non-repudiation)问题,即防止信息的发送者抵赖其发送的信息,或者确认接收者确实收到了发送者所发送的信息。认证与下面提到的访问控制都必须注意的一个问题,就是对以前截获信息流的重放。重放技术容易被非授权的主机使用以欺骗目的主机,而利用时间戳技术可有效防止这种问题的发生。
4.访问控制技术
访问控制技术是通过不同手段和策略实现对网络信息系统访问控制的,其目的是保护网络信息资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,对提出资源访问的请求加以控制。根据控制策略的不同,访问控制技术可分为自主访问控制、强制访问控制和角色访问控制三种形式。
自主访问控制是针对访问资源的用户或应用来设置访问控制权限的,安全性最低,但灵活性比较高。
强制访问控制在自主访问控制的基础上,增加了对网络资源的属性划分,规定了不同属性下的访问权限,可防止用户无意或有意使用自主访问的权利。其安全性比自主访问控制有所提高,但灵活性要差一些。
角色访问控制是通过验证合法访问者的身份,来确定访问者在系统中对哪类信息有什么样的访问权限的,具有便于授权管理、便于赋予最小特权、便于根据工作需要分级、便于任务分担、便于文件分级管理、便于大规模实现等优点,是一种有效而灵活的安全措施。目前已有的防火墙、代理服务器、路由器和专用访问控制服务器,都可以视为实现访问控制的产品。
5.病毒防护技术
互联网的迅速普及为计算机病毒的广泛传播营造了有利环境,而其本身的安全漏洞也为培育新一代病毒——网络病毒,提供了绝佳的条件。
根据传播属性不同,计算机病毒可划分为网络病毒和主机病毒。主机病毒的攻击对象是主机中的各种资源,即通过对主机内存、硬盘、主板及各种文件等资源的破坏,导致主机的不可用;网络病毒不仅具有主机病毒的破坏属性,而且具有更粗的破坏粒度,可通过消耗网络中的各种通信资源,如耗尽路由器、交换机和重要服务器等网络资源的处理能力,导致网络的不可用。对于主机病毒,现在已有很多有效的反病毒程序,而对于网络病毒的研究就不那么多了。
在病毒与反病毒的对抗中,反病毒技术将会在应用防毒和未知杀毒两个方面寻求突破。
【信息安全技术继续教育】推荐阅读:
信息技术安全教育08-24
信息安全技术11-16
信息安全技术网络安全07-06
信息安全技术体系05-15
信息通讯安全技术08-26
信息安全教育08-19
智能电网信息安全技术07-08
网络防护技术信息安全08-11
信息安全保密技术09-02
信息安全技术防护措施09-11