回答下列信息安全方面的问题1至问题2。请简要描述信息安全管理的控制过程;
题目
回答下列信息安全方面的问题1至问题2。
请简要描述信息安全管理的控制过程;
相似考题
参考答案和解析
(1)确认信息安全管理的对象和范围。 (2)分析针对该对象的安全隐患或攻击行为和方式。 (3)划清安全管理等级,落实对应的控制措施。 (4)跟踪检查信息安全落实情况。 (5)持续改进,防漏补缺。 解析:本题考查的是网络图的基本知识。应该从信息安全的对象、范围、规范与控制、检查与改进等方面进行考虑。
更多“回答下列信息安全方面的问题1至问题2。 请简要描述信息安全管理的控制过程; ”相关问题
-
第1题:
阅读以下说明,回答问题 1至问题4 ,将解答填入答题纸的对应栏内。 【说明】 某IT部门的小张在撰写本企业的信息化管理报告时,提到企业信息安全的管理所存在的问题时有如下表述(下面方框内)。 企业销售系统数据库没有配置安全审计策略,数据安全没有保障。 网上销售系统采用的 HTTP 协议,需要升级成 HTTPS 协议,确保在传输过 程中的数据安全。 企业各部门人员进出数据机房存在记录日志不规范的现象,有些记录缺少 人员出入的时间、运维内容、维护结果的登记。 企业仅有一条百兆网络出口线路,当网络线路出现故障时不能保障业务的 连续性。 请分析小张提出的企业信息安全问题,并结合信息安全管理的相关知识回答下列问题。
【问题 1】 (6 分) 请简要说明安全审计对数据安全保障的作用。 【问题 2】 (4 分) (1)HTTPS 协议在传输过程中如何确保数据的安全。 (2)访问 HTTPS 网站与访问 HTTP 网站的区别是什么。 【问题3】(3分) 简要叙述对信息化人员的安全管理包括哪些方面。 【问题 4】(2 分) 为了保障业务的连续性,拟配置两条百兆网络出口线路,请简要说明应该如何配置策略路由。
正确答案:【问题1】(6分)
安全审计的作用如下:
(1)检测对系统的入侵,对潜在的攻击者起到震慑或警告作用。
(2)发现计算机的滥用情况,对于已经发生的系统破坏行为提供有效的追纠证据。
(3)为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。
(4)为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。
【问题2】(4分)
HTTPS通过:
内容加密 建立一个信息安全通道,来保证数据传输的安全;
身份认证 确认网站的真实性
数据完整性 防止内容被第三方冒充或者篡改
来确保数据的安全
HTTPS和HTTP的区别
https协议需要到CA申请证书。
http是超文本传输协议,信息是明文传输;https 则是具有安全性的ssl加密传输协议。
http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
【问题3】(3分)
多人负责的原则:每项与安全有关的活动都必须有两人或多人在场。这些应是由系统主管领导指派的,应忠诚可靠,能胜任此项工作
任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久的
职责分离原则:除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
【问题4】(2分)
使用双主干策略路由,配置策略路由步骤为:
定义路由策略
定义每个路由策略的匹配规则或条件
定义每个规则或条件匹配后的行为
将策略应用到指定的端口上
-
第2题:
请简要回答信息安全的三要素(CIA)。(10分)答案:解析:信息安全的三要素包括:
(1)保密性(Confidentiality):是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。
(2)完整性(Integrity):指在传输、存储信息或数据的过程中,确保信息或数据不被未授权的用户篡改或在篡改后能够被迅速发现。
(3)可用性(Availability):保证合法用户对信息和资源的使用不会被不正当地拒绝。 -
第3题:
阅读下列说明,回答问题1至问题3,将解答写在答题纸的对应栏内。【说明】安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信息类型的安全分类有以下表达形式:{(机密性,影响等级),(完整性,影响等级),(可用性,影响等级)}在上述表达式中,"影响等级"的值可以取为低(L)、中(M)、高(H)三级以及不适用(NA)。【问题1】。(6分)请简要说明机密性、完整性和可用性的含义。【问题2】(6分)对于影响等级"不适用"通常只针对哪个安全要素?【问题3】(3分)如果一个普通人在它的个人Web服务器上管理其公开信息。请问这种公开信息的安全分类是什么?答案:解析:【问题1】解析:1、保密性保密性是确保信息仅被合法用户访问,而不被地露给非授权的用户、实体或过程,或供其利用的特性。即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。这里的"访问"是指不仅可以读,还能浏览、打印或简单了解一些特殊资源是否存在。常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、数据加密(在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)、物理保密(利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被地露)等。2、完整性完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信患的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有:设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码〉、人为攻击、计算机病毒等。3、可用性可用性是指所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用的特性。信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是信息系统面向用户的安全性能。信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制(对用户的权限进行控制,只能访问相应权限的资源,防止或限制经隐蔽通道的非法访问)。【问题2】解析:"不适用"通常只针对机密性【问题3】解析:{(机密性,NA),(完整性,M),(可用性,M)} -
第4题:
阅读以下说明,回答问题1至问题3,将解答填入答题纸的对应栏内。 【说明】 随着互联网的发展,黑客攻击、计算机病毒的破坏以及企业对信息管理、使用不当造成信息泄露问题普遍受到关注。尤其是信息泄露问题,使得相关企业承担很大的舆论压力和侵权责任,面临严重的信任危机及经济损失。 为了规范信息在采集、使用、保存、分发的安全管理,企业在信息系统的规划、建设、运行维护、管理等方面都应采取一定的措施。请结合信息泄露产生的原因和特点,以及信息在保存、使用中应遵循的原则回答下面的问题。
【问题1】 (6分) 简要回答企业避免信息泄露可以采取的安全措施有哪些? 【问题2】(6分) (1)为什么说重视软件的完整性可以有效遏制黑客和病毒的泛滥。 (2)采用何种技术方法来保证软件的完整性,请对该方法的工作原理简要说明。 【问题3】(3分) (1)我国哪一部新修订的法律明确禁止经营者泄露消费者信息的行为? (2)经营者在收集使用消费者的个人信息时应当注意哪些问题?
正确答案:【问题1】
措施一:严控计算机外设端口,监控、审计所有计算机的操作行为,封锁信息外泄途径。
措施二:所有重要信息集中存储,终端不留密,信息使用权限细分
措施三:通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用,划分介质使用范围与责任人。
措施四:监控本地上网行为,监控员工的上网行为,避免信息从本地被转移。
措施五:建立基于硬件级别的防护体系,避免众多安全防护产品基于操作系统的脆弱性。
措施六:制定合适的制度,对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度,从头脑中杜绝信息泄漏
主动控制风险而不是被动地响应事件,以提高整个信息安全系统的有效性和可管理性
以上仅供参考,不同的人对信息系统安全理解肯会不相同,只要从信息系统如下四个方面作答,即可:
(1)风险识别、评估、控制
(2)法规、机构、人员安全管理
(3)技术管理
(4)网络及场地管理
【问题2】
黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接,当用户安装该软件时,同时也就安装了木马和病毒或者访问存在安全威胁的网站。
可以采用PKI 中数字签名的方式
1:密钥成对出现,分为:公钥和私钥,公钥对外公开,私有只有持有者拥有
2:私钥加密必须用公钥解密
3:软件发布者用自己的私钥加密,然后将软件发布,用户可以用过其公开的公钥来验证软件的完整性,由于私钥只有持有者拥有,其签名是无法伪造的。
【问题3】
新修订的《消费者权益保护法》
收集、使用信息必须合法、必要
公开相关收集使用规定,收集、使用信息及发送商业信息必须取得消费者同意
不得泄露、出售或非法向他人提供消费者个人信息
保障个人信息安全、受损时及时采取补救措施
-
第5题:
阅读以下说明,回答问题1至问题4,将解答填入答题纸的对应栏内。【说明】某IT部门的小张在撰写本企业的信息化管理报告时,提到企业信息安全的管理所存在的问题时有如下表述(下面方框内)。
请分析小张提出的企业信息安全问题,并结合信息安全管理的相关知识回答下列问题。
【问题1】(6分)请简要说明安全审计对数据安全保障的作用。【问题2】(4分)(1)HTTPS协议在传输过程中如何确保数据的安全。 (2)访问HTTPS网站与访问HTTP网站的区别是什么。【问题3】(3分)简要叙述对信息化人员的安全管理包括哪些方面。【问题4】(2分)为了保障业务的连续性,拟配置两条百兆网络出口线路,请简要说明应该如何配置策略路由。答案:解析:【问题1】安全审计的作用如下:?(1)检测对系统的入侵,对潜在的攻击者起到震慑或警告作用。?(2)发现计算机的滥用情况,对于已经发生的系统破坏行为提供有效的追纠证据。?(3)为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。?(4)为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。【问题2】HTTPS通过:?内容加密?建立一个信息安全通道,来保证数据传输的安全;?身份认证?确认网站的真实性?数据完整性?防止内容被第三方冒充或者篡改?来确保数据的安全?HTTPS和HTTP的区别?https协议需要到CA申请证书。?http是超文本传输协议,信息是明文传输;https?则是具有安全性的ssl加密传输协议。?http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。?http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。【问题3】多人负责的原则:每项与安全有关的活动都必须有两人或多人在场。这些应是由系统主管领导指派的,应忠诚可靠,能胜任此项工作?任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久的?职责分离原则:除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。【问题4】
使用双主干策略路由,配置策略路由步骤为:?定义路由策略?定义每个路由策略的匹配规则或条件?定义每个规则或条件匹配后的行为?将策略应用到指定的端口上