簡述信息系統安全的5個基本要素-tft每日頭條

簡述信息系統安全的5個基本要素?一、信息安全管理（一）信息安全含義及目标，我來為大家科普一下關于簡述信息系統安全的5個基本要素?以下内容希望對你有幫助!

簡述信息系統安全的5個基本要素

一、信息安全管理

（一）信息安全含義及目标

1、信息安全屬性包括（1）保密性，是指“信息不被洩露給未授權的個人、實體和過程或不被其使用的特性”，可以通過下列技術來實現：網絡安全協議、身份認證服務、數據加密。（2）完整性，是指“保護資産的正确和完整的特性”，确保數據完整性的技術包括：CA認證、數字簽名、防火牆系統、傳輸安全（通信安全）、入侵檢測系統。（3）可用性，是指“需要時，授權實體可以訪問和使用的特性”，确保可用性的技術包括磁盤和系統的容錯、可接受的登錄及進程性能，可靠的功能性的安全進程和機制，數據冗餘及備份。（4）其他屬性及目标。包括1）真實性，一般是指對信息的來源進行判斷，能對僞造來源的信息予以鑒别；2）可核查性，是指系統實體的行為可以被獨一無二地追溯到該實體的特性；3）不可抵賴性，是指建立有效的責任機制，防止用戶否定其行為；4）可靠性，是指系統在規定的時間和給定的條件下，無故障地完成規定功能的概率，通常用平均故障間隔時間來度量。

點擊下面鍊接：領取6G軟考備考資料包

軟考培訓_軟考考試認證_軟考考試時間-51CTO學堂

包括軟考16本電子版官方教材&36本輔導教材 27套官方真題沖刺卷 21套必考知識點彙總

（二）信息安全管理的内容

2、信息安全的内容主要為（1）信息安全方針與策略（2）組織信息安全（3）人力資源安全（4）資産管理（5）訪問控制（6）密碼（7）物理和環境安全（8）運行安全（9）通信安全（10）信息系統的獲取、開發和保持（11）供應商關系（12）信息安全事件管理（13）業務持續性管理（14）符合性。

二、信息系統安全

（一）信息系統安全概念

3、信息系統安全的側重點會随着信息系統使用者的需求不同而發生變化。個人用戶最為關心的信息系統安全問題是如何保證涉及個人隐私的問題。企業用戶看重的是如何保證涉及商業利益的數據的安全。從網絡運行和管理者角度說，最為關心的信息系統安全問題是如何保護和控制其他人對本地網絡信息進行訪問、讀寫等操作。對安全保密部門和國家行政部門來說，最為關心的信息系統安全問題是如何對非法的、有害的或涉及國家機密的信息進行有效過濾和防堵，避免非法洩露。從社會教育和意識形态角度來說，最為關心的信息系統安全問題則是如何杜絕和控制網絡上的不健康内容。

（二）信息系統安全屬性

4、信息系統安全屬性包括（1）保密性，是應用系統的信息不被洩露給非授權的用戶、實體或過程，或供其利用的特性。應用系統常用的保密技術有1）最小授權原則2）防暴露3）信息加密4）物理加密。（2）完整性，是信息未經授權不能進行改變的特性。完整性與保密性不同，保密性要求信息不被洩露給未授權的人，而完整性則要求信息不緻受到各種原因的破壞。保障應用系統完整性的主要方法有：1）協議2）糾錯編碼方法3）密碼檢驗和方法4）數字簽名5）公證。（3）可用性，是應用系統信息可被授權實體訪問并按需求使用的特性。（4）不可抵賴性，也稱不可否認性，在應用系統的信息交互過程中，确信參與者的真實同一性。

（三）信息系統安全管理體系

5、在組織機構中應建立安全管理機構，不同安全等級的安全管理機構可按下列順序逐步建立自己的信息系統安全組織機構管理體系。（1）配置安全管理人員（2）建立安全職能部門（3）成立安全領導小組（4）主要負責人出任領導（5）建立信息安全保密管理部門。

三、物理安全管理

（一）計算機機房與設施安全

6、機房防靜電包括（1）接地與屏蔽（2）服裝防靜電（3）溫、濕度防靜電（4）地闆防靜電（5）材料防靜電（6）維修MOS電路保護（7）靜電消除要求。

7、機房供電、配電分為（1）分開供電（2）緊急供電（3）備用供電（4）穩壓供電（5）電源保護（6）不間斷供電（7）電器噪聲防護（8）突然事件防護。

（二）技術控制

8、明确機房安全管理的責任人，機房出入應由指定人員負責，未經允許的人員不準進入機房；獲準進入機房的來訪人員，其活動範圍應受限制，并有接待人員陪同；機房鑰匙由專人管理，未經批準，不準任何人私自複制機房鑰匙或服務器開機鑰匙；沒有指定管理人員的明确準許，任何記錄介質、文件材料及各種被保護品均不準帶出機房，與工作無關的物品均不準帶入機房，機房内嚴禁吸煙及帶入火種和水源。所有來訪人員需經過正式批準，登記記錄應妥善保存以備查；獲準進入機房的人員，一般應禁止攜帶個人計算機等電子設備進入機房，其活動範圍和操作行為應受到限制，并有機房接待人員負責和陪同。

（三）環境與人身安全

（四）電磁兼容

四、人員安全管理

（一）安全組織

（二）崗位安全考核與培訓

9、（1）對安全管理員、系統管理員、數據庫管理員、網絡管理員、重要業務開發人員、系統維護人員和重要業務應用操作人員等信息系統關鍵崗位人員進行統一管理；允許一人多崗，但業務應用操作人員不能由其他關鍵崗位人員兼任；關鍵崗位人員應定期接受安全培訓，加強安全意識和風險防範意識。（2）兼職和輪崗要求：業務開發人員和系統維護人員不能兼任或擔負安全管理員、系統管理員、數據庫管理員、網絡管理員和重要業務應用操作人員等崗位或工作；必要時關鍵崗位人員應采取定期輪崗制度。（3）權限分散要求：在上述基礎上，應堅持關鍵崗位“權限分散、不得交叉覆蓋”的原則，系統管理員、數據庫管理員、網絡管理員不能相互兼任崗位或工作。（4）多人共管要求：在上述基礎上，關鍵崗位人員處理重要事務或操作時，應保持二人同時在場，關鍵事務應多人共管。（5）全面控制要求：在上述基礎上，應采取對内部人員全面控制的安全保證措施，對所有崗位工作人員實施全面安全管理。

（三）離崗人員安全管理

五、應用系統安全管理

（一）應用系統安全管理的實施

10、嚴格控制對應用系統的訪問，包括（1）建立訪問控制策略（2）建立正式的授權程序來控制對應用系統和服務的訪問權力的分配，确保授權用戶的訪問，并預防對信息系統的非授權訪問（3）避免未授權用戶的信息訪問和信息處理設施，要讓用戶了解他對維護有效的訪問控制的職責，特别是關于口令的使用和用戶設備的安全的職責（4）如果具有合适的安全設計和控制并且符合組織的安全策略，組織才能授權遠程工作活動。

（二）應用系統運行中的安全管理

11、系統運行安全與保密的層次包括系統級安全、資源訪問安全、功能性安全和數據域安全（按粒度大小排序）。

六、信息安全等級保護

12、《信息系統安全等級保護管理辦法》将信息系統安全保護等級分為以下五級。

（1）信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。（第一級）

（2）信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

（3）信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

（4）信息系統受到破壞後，會對社會秩序和公共利益造成特别嚴重損害，或者對國家安全造成嚴重損害。

（5）信息系統受到破壞後，會對國家安全造成特别嚴重損害。

知識點點撥

1、信息安全屬性：保密性、完整性、可用性、真實性、可核查性、不可抵賴性、可靠性

2、信息系統安全屬性：保密性、完整性、可用性、不可抵賴性

3、保密性：最小授權原則、防暴露、信息加密、物理保密

4、完整性：協議、糾錯編碼方法、密碼校驗和方法、數字檢驗和方法、數字簽名、公證

5、安全管理機構：配置安全管理人員、建立安全職能、成立安全領導小組、主要負責人出任領導、建立信息安全保密管理部門

6、信息系統安全：物理安全、網絡安全、系統安全、應用系統安全、安全功能

7、人員安全措施：對關鍵崗位人員統一管理、允許一人多崗、業務應用操作不能由其他關鍵崗位人員兼任、關鍵崗位人員定期安全培訓，加強安全意識和風險防範意識；系統管理員、數據庫管理員、網絡管理員不能相互兼任崗位或工作。

8、應用系統運行中涉及的安全和保密層次（粒度從大到小）：系統級安全、資源訪問安全、功能性安全、數據域安全

9、應用系統可用性檢查：包括系統中斷時間、系統正常服務時間和系統恢複時間等

10、應用系統能力檢查：包括系統資源消耗情況、系統交易速度和系統吞吐量等

11、信息系統安全保護等級：5級

12、計算機系統安全保護能力的5個等級：用戶自主保護級、系統審計保護級、安全标記保護級、結構化保護級、訪問驗證保護級

選擇題

1. 根據《關于信息安全等級保護改造的實施意見》的規定，信息系統受到破損後，會對社會秩序和公共利益造成較大的損害，或者對國家安全造成損害，該信息系統應實施（）的信息安全保護。

A、第一級

B、第二級

C、第三級

D、第四級

【答案】C

【解析】教材第十七章第六節P541頁。第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益産生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特别嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞後，會對國家安全造成特别嚴重損害。

2.依據GB/T20271-2006《信息系統安全技術信息系統通用安全技術要求》中的規定，（）不屬于信息系統安全技術體系包含的内容。

A、物理安全

B、運行安全

C、人員安全

D、數據安全

【答案】C

【解析】教材第十七章第二節P522頁。GB/T 20271-2006《信息系統安全技術信息系統通用安全技術要求》中信息系統安全技術體系包含物理安全、運行安全、數據安全。

3.下列關于電子信息機房的設計中，（）不符合《電子信息系統機房設計規範GB50174-2008》的要求。

A、機房采用二級、三級耐火等級的建築材料，重要部位采用一級耐火等級的材料

B、機房所以設備的金屬外殼、各類金屬管道、金屬線槽、建築物金屬結構等結構等全部進行點位連接并接地。

C、在機房吊頂上和活動地闆下都設置火災探測器

D、主機房内絕緣體的靜電電位不大于1KV

【答案】A

【解析】《GB 50174-2008電子信息系統機房設計規範》：6.3.2電子信息系統機房的耐火等級不應低于二級，A是不對的。

4.根據《EIA/TIA568A/B商用建築物電信布線标準-1995》，綜合布線系統分為三個等級，其中增強型綜合布線等級要求每個工作區至少有（）個以上信息插座。

A、1

B、2

C、3

D、4

【答案】B

【解析】《EIA/TIA568A/B商用建築物電信布線标準~1995%》，綜合布線系統分為三個等級，它們分别為基本型，増強型，綜合型。其中増強型綜合布線等級要求每個工作區至少有2個以上信息插座。

5. 以下關于入侵檢測設備的叙述中，（）是不正确的。

A、不産生網絡流量

B、使用在盡可能靠近攻擊源的地方

C、使用在盡可能接近受保護資源的地方

D、必須跨接在鍊路上

【答案】D

【解析】該題D選項不正确。IDS是計算機的監視系統，它通過實時監視系統，一旦發現異常情況就發出警告。

IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類：根據信息來源可分為基于主機IDS和基于網絡的IDS，根據檢測方法又可分為異常入侵檢測和誤用入侵檢測。不同于防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鍊路上，無須網絡流量流經它便可以工作。

因此，對IDS的部署，唯一的要求是：IDS應當挂接在所有所關注流量都必須流經的鍊路上。在這裡，"所關注流量"指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。在如今的網絡拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網絡，絕大部分的網絡區域都已經全面升級到交換式的網絡結構。因此，IDS在交換式網絡中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。

6. 某單位在機房建設和管理中采用的下列做法。（）不符合《電子信息系統機房設計規範(GB-50174-2008)》。

A、計算機系統的設備和部件設置了明顯的無法去除的标記，以防更換和查找财物

B、禁止攜帶移動電話、電子記事本等具有移動互聯功能的個人進入機房

C、主機房内設地漏，地漏下加設水封裝置，并有防止水封破壞的措施

D、為機房内設備供水有給排水幹管和引入的支管為明管，以便及時檢修和更換

【答案】D

【解析】教材第十七章第三節P527頁。物理安全管理部分内容。

機房的防水措施應考慮如下幾個方面。

①與主機房無關的給排水管道不得穿過主機房。

②主機房内如設有地漏，地漏下應加設水封裝置，并有防止水封破壞的措施。

③機房内的設備需要用水時，其給排水幹管應暗敷，引入支管宜暗裝。管道穿過主機房牆壁和樓闆處，應設置套管，管道與套管之間應采取可靠的密封措施。

④機房不宜設置在用水設備的下層。

⑤機房房頂和吊頂應有防滲水措施。

⑥裝排水地漏處的樓地面應低于機房内的其他樓地面。

所以D選項不正确。

7. 代理服務器防火牆主要使用代理技術來阻斷内部網絡和外部網絡之間的通信，達到隐蔽内部網絡的目的。以下關于代理服務器防火牆的叙述中，（）是不正确的。

A、僅“可以信賴的”代理服務才允許通過

B、由于已經設立代理，因此任何外部服務都可以訪問

C、允許内部主機使用代理服務器訪問 Internet

D、不允許外部主機連接到内部安全網絡

【答案】B

【解析】B選項不對。在代理服務器防火牆上往往會設置一些禁止訪問的外部服務器，而不是能夠訪問任何外部服務。

8. 不同安全等級的安全管理機構應該建立自己的信息系統安全組織機構管理體系。在該體系中，最低級别的安全管理要求是（）。

A、建立信息安全保密管理部門

B、成立安全領導小組

C、建立安全職務部門

D、配備安全管理人員

【答案】D

【解析】教材第十七章第二節P521頁。在組織機構中需建立安全管理機構，不同安全等級的安全管理機構可按下列順序逐步建立自己的信息系統安全組織機構管理體系。

（1）配備安全管理人員：管理層中應有一人分管信息系統安全工作，并為信息系統的安全管理配備專職或兼職的安全管理人員

（2）建立安全職能部門：在（1）的基礎上，應建立管理信息系統安全工作的職能部門，或者明确制定一個職能部門監管信息安全工作，作為該部門的關鍵職責之一。

（3）成立安全領導小組：在（2）的基礎上，應在管理層成立信息系統安全管理委員會或信息系統安全領導小組，對覆蓋全國或跨她區的組織機構，應在總部和下級單位建立各級信息系統安全領導小組，在基層至少要有一位專職的安全管理人員負責信息系統安全工作

（4）主要負責人出任領導：在（3）的基礎上，應由組織機構的主要負責人出任信息系統安全領導小組負責人：

（5）建立信息安全保密管理部門：在（4）的基礎上，應建立信息系統安全保密監督管理的職能部門，或對原有保密部門明确信息安全保密管理責任，加強對信息系統安全管理重要過程和管理人員的保密監督管理。

9. 信息安全的級别劃分為不同的維度，在下列劃分中，正确的是（）。

A、系統運行安全和保密有5個層次，包括設備級安全、系統級安全、資源訪問安全、功能性安全和數據安全

B、機房分為4個級别：A級、B、C級、D級

C、根據系統處理數據的重要性，系統可靠性分A級和B級

D、根據系統處理數據劃分系統保密等級為絕密、機密和秘密

【答案】D

【解析】根據系統處理數據劃分系統保密等級為絕密、機密和秘密。D選項正确。

A選項不正确，系統運行安全和保密從大到小的 4個層次，分别是系統級安全，資源訪問安全、功能性安全和數據域安全。

B選項不正确。按照我國《電子信息系統機房設計規範》(GB 50174-2008)，數據中心可根據使用性質、管理要求及由于場地設備故障導緻電子信息系統運行中斷在經濟和社會上造成的損失或影響程度，分為A、B、C三級

C選項不正确，可靠性等級可分為三級，對可靠性要求屈高的為A級，系統運行所要求的最低限度可靠性為C級，介于中間的為B級。

10.下列屬于對稱密鑰加密算法的是（）。

A、RSA加密體制

B、DES加密體

C、BCC加密體制

D、 Elgamal加密體制

【答案】B

【解析】常見的對稱密鑰算法有：SDB（國家密碼辦公室批準的國内算法，僅硬件中存在）、IDEA、RC4、DES、3DE5、AES、RC2、Kerberos等。

11.在設計計算機機房時，（）做法是不恰當的。

A、機房設置在20層大樓的18層，該樓層人員流動最少

B、機房設置在大樓偏角上，遠離停車場及運輸通道等公共區域

C、考察機房所在附近區域，避開油庫和其它易燃物

D、為機房設置較完備的中央空調系統，保證機房各區域溫度變化滿足計算機系統要求

【答案】A

【解析】根據《電子計算機機房設計規範》GB50174-93，第2.1.1條電子計算機機房在多層建築或高層建築物内宜設于第二、三層。

12.針對應用程序或工具在使用過程中可能出現計算，傳輸數據的洩落和失竊，通過其他安全工具或策略來消除隐患屬于安全保護措施中的（）。

A、應用安全

B、物理安全

C、介質安全

D、數據安全

【答案】A

【解析】應用安全，即保障應用程序使用過程和結果的安全。其是針對應用程序或工具在使用過程中可能岀現計算、傳輸數據的洩露和失竊，通過其他安全工具或策略來消除隐患。

13.某公司财務管理數據隻能提供給授權用戶，通過采取安全管理措施确保不能被未授權的個人、實體或過程利用或知悉，以确保數據的（）。

A、保密性

B、完整性

C、可用性

D、穩定性

【答案】A

【解析】教材第十七章第二節P520頁。保密性。是指“信息不被洩漏給未授權的個人、實體和過程或不被其使用的特性。”簡單地說，就是确保所傳輸的數據隻被其預定的接收者讀取。保密性的破壞有多種可能，例如，信息的故意洩露或松懈的安全管理。數據的保密性可以通過下列技術來實現：網絡安全協議、網絡認證服務、數據加密服務。

14.訪問控制是信息安全管理的重要内容之一，以下關于訪問控制規則的叙述中，（）是不正确的。

A、應确保授權用戶對信息系統的正常訪問

B、防止對操作系統的未授權訪問

C、防止對外部網絡未經授權進行訪問，對内部網絡的訪問則沒有限制

D、訪問對應用系統中的信息未經授權進行訪問

【答案】C

【解析】C不正确。訪問控制按照事先确定的規則決定主體對客體的訪問是否合法。當主體試圖非法使用一個未經授權的資源時，訪問控制将拒絕這一企圖，并将這一事件報告給審計跟蹤系統，審計跟蹤系統将給出報警并記錄日志檔案。包括内、外部訪問。

15.依據(2007)43号《信息安全等級保護管理辦法》，我國對信息系統的安全保護等級分為（）級。

A、三

B、五

C、四

D、二

【答案】B

【解析】教材第十七章第五節P537頁。計算機系統安全保護能力的5個等級：用戶自主保護級、系統審計保護級、安全标記保護級結構化保護級、訪問驗證保護級。

16.根據《電子計算機機房設計規範》GB50174-93，電子計算機機房應采用四種接地方式。将電氣設備的金屬外殼通過接地裝置與大地直接連接起來是（）。根據《建築物防雷設計規範》（GB 50057-1990），每根引下線的沖擊接地電阻不宜大于（）歐姆。

（1）A、交流工作接地

B、安全工作接地

C、直流工作接地

D、防雷接地

（2）A、3

B、4

C、5

D、10

【答案】B、D

【解析】第（1）小問：電子計算機機房應采用下列四種接地方式：交流工作接地、安全工作接地、直流工作接地和防雷接地。安全保護接地是将電氣設備的金屬外殼或機架通過接地裝置與大地直接連接起來，其目的是防止因絕緣損壞或其他原因使設備金屬外殼帶電而造成觸電的危險。

第（2）小問根據《建築物防雷設計規範》（GB5057-1994），每根引下線的沖擊接地電阻不宜大于10歐姆。

17.根據GB/T11457-2006《信息技術軟件工程術語》的規定，（）是計算機程序中的一個點，在此點檢驗或記錄程序的狀态、狀況或結果。

A、裡程碑

B、基線

C、斷點

D、檢査點

【答案】D

【解析】根據GB/T11457-2006《信息技術軟件工程術語》：檢查點：計算機程序中的一個點，在此點，檢驗或記錄程序的狀态（state）、狀況（status）或結果。

18.為了保護計算機機房及其設備的安全，（）做法是不合适的。

A、機房地闆的阻止應控制在不易産生靜電的範圍

B、機房隔壁為衛生間或水房，一旦發生火災便于取水滅火

C、機房的供電系統應将計算機系統供電與其他供電分開

D、機房設備應具有明顯的且無法去除的标記，以防更換和便于追查

【答案】B

【解析】教材第十七章第三節P530頁。機房隔壁一般不能為衛生間或水房，怕有滲漏水等風險會對機房造成損害。機房的滅火有嚴格的消防規範，不能随便用隔壁衛生間或水房的水。參見《電子計算機機房設計規範》如下：

13.1.2 A級電子信息系統機房的主機房應設置潔淨氣體滅火系統。B級電子信息系統機房的主機房，以及A級和B級機房中的變配電、不間斷電源系統和電池室，宜設置潔淨氣體滅火系統，也可設置高壓細水霧滅火系統。

13.1.3 C級電子信息系統機房以及本規範第13.1.2和第13.1.3條中規定區域以外的其他區域，可設置高壓細水霧滅火系統或自動噴水滅火系統。自動噴水滅火系統宣采用預作用系統。

19.為保障數據的存儲和運輸安全，防止信息洩露，需要對一些數據進行加密。由于對稱密碼算法（）所以特别适合對大量的數據進行加密。

A、比非對稱密碼算法更安全

B、比非對稱密碼算法密鑰更長

C、比非對稱密碼算法效率更高

D、還能同時用于身份認證

【答案】C

【解析】對稱密碼算法相對于非對稱加、解密快算法效率更高，所以可以用于大量數據加密。

對稱非對稱密鑰對比：

（1）對稱：加密、解密都使用用同一個密鑰。

優點：加、解密快：密鑰管理簡單；适合一對一傳輸。

缺點：加密強度不高：不适宜一對多加密傳輸。

常見算法有：SDBI，IDEA，RC4，DES，3DES， Kerberos。

（2）非對稱：加密用“公鑰”，解密用“私鑰”。

優點：安全性高，體制安全；密鑰量小；算法靈活性好。

缺點：加、解密速度慢（相對）：密鑰管理複雜（需要第三方認證中心）。

常見算法有：RSA、ECC。

20.堡壘主機是一台完全暴露給外網的主機，在維護内網安全方面發揮着非常大的作用。以下關于堡壘主機的叙述中，不正确的是：（）。

A、堡壘主機具有輸入輸出審計功能

B、需要設置防火牆以保護堡壘主機

C、堡壘主機能配置剛關服務

D、堡壘主機一般配置兩塊網卡

【答案】B

【解析】堡壘主機是一台完全暴露給外網攻擊的主機。它沒有任何防火牆或者包過濾路由器設備保護堡壘主機執行的任務對于整個網絡安全系統至關重要。事實上，防火牆和包過濾路由器也可以被看作堡壘主機。由于堡壘主機完全暴露在外網安全威脅之下，需要做許多工作來設計和配置堡壘主機，使它遭到外網攻擊成功的風險性減至最低，其他類型的堡壘主機包括：Web， Mail DNS， FTP服務器。一些網絡管理員會用堡壘主機做犧牲品來換取網絡的安全。這些主機吸引入侵者的注意力，耗費攻擊真正網絡主機的時間并且使追蹤入侵企圖變得更加容易。

堡壘主機是網絡中最容易受到侵害的主機，所以堡壘主機也必須是自身保護最完善的主機。一個堡壘主機使用兩塊網卡，每個網卡連接不同的網絡。一塊網卡連接公司的内部網絡用來管理、控制和保護另一塊連接另一個網絡，通常是公網也就是 Internet 。堡壘主機經常配置網關服務。網關服務是一個進程來提供對從公網到私有網絡的特殊協議路由，反之亦然。

趨勢内控堡壘主機具備強大的輸入輸出審計功能，不僅能夠詳細記錄用戶操作的每一條指令，而且能夠将所有的輸出信息全部記錄下來，并且趨勢内控堡壘主機具備審計回放的功能，能夠模拟用戶的在線操作過程，大大豐富了内控審計的功能。趨勢内控堡壘主機能夠在自身記錄審計信息的同時在外部某台計算機上做存儲備份，可以在一定程度上增強審計信息的安全性，保證審計人員有據可查。

21.計算機網絡安全是指利用管理和技術措施，保證在一個網絡環境裡，信息的（）受到保護。

A、完整性、可靠性及可用性

B、機密性、完整性及可用性

C、可用性、完整性及兼容性

D、可用性、完整性及冗餘性

【答案】B

【解析】教材第十七章第一節P514頁。信息安全屬性主要是完整性、保密性和可用性和不可抵賴性等等，信息系統安全屬性是保密性、完整性、可用性、不可抵賴性。

22.系統運行的安全檢查是安全管理中的一項重要工作，旨在預防事故、發現隐患、指導整改。在進行系統運行安全檢查時，不恰當的做法是：（）。

A、定期對系統進行惡意代碼檢查，包括病毒、木馬、隐蔽通道等

B、檢查應用系統的配置是否合理和适當

C、檢査應用系統的用戶權限分配是否遵循易用性原則

D、檢查應用系統的可用性，包括系統的中斷時間、正常服務時間、恢複時間等

【答案】C

【解析】C是不恰當的，應是檢查“用戶權限的分配是否遵循”最小特權”原則”。

系統運行安全檢查和記錄的範圍如下：

（1）應用系統的訪問控制檢查，包括物理和邏輯訪問控制，是否按照規定的策略和程序進行訪問權限的增加、變更和取消，用戶權限的分配是否遵循“最小特權”原則；

（2）應用系統的日志檢查，包括數據庫日志、系統訪問日志、系統處理日志、錯誤日志及異常日志；

（3）應用系統可用性檢查，包括系統中斷時間、系統正常服務時間和系統恢複時間等；

（4）應用系統能力檢査，包括系統資源消耗情況、系統交易速度和系統吞吐量等；

（5）應用系統的安全操作檢查。用戶對應用系統的使用是否按照信息安全的相關策略和程序進行訪問和使用；

（6）應用系統維護檢査。維護性問題是否在規定的時間内解決，是否正确地解決問題，解決問題的過程是否有效等；

（7）應用系統的配置檢查。檢查應用系統的配置是否合理和适當，各配置組件是否發揮其應有的功能；

（8）惡意代碼的檢查。是否存在惡意代碼，如病毒、木馬、隐蔽通道導緻應用系統數據的丢失、損壞、非法修改、信息洩露等。

23.數字簽名技術屬于信息系統安全管理中保證信息（）技術。

A、保密性

B、可用性

C、完整性

D、可靠性

【答案】C

【解析】教材第十七章第二節P520頁。完整性是信息未經授權不能進行改變的特性。即應用系統的信息在存儲或傳輸過程中保持不被偶然或蓄意地删除、修改、僞造、亂序、重放和插入等破壞和丢失的特性。保障應用系統完整性的主要方法如下：

①協議：通過各種安全協議可以有效地檢測出被複制的信息被删除的字段、失效的字段和被修改的字段。

②糾錯編碼方法：由此完成檢錯和糾錯功能。最簡單和常用的糾錯編碼方法是奇偶校驗法。

③密碼校驗和方法：它是抗篡改和傳輸夫敗的重要手段。

④數字簽名：保障信息的真實性。

⑤公證：請求系統管理或中介機構證明信息的真實性。

24.以下不屬于主動式攻擊策略的是（）。

A、中斷

B、篡改

C、僞造

D、竊聽

【答案】D

【解析】主動攻擊是更改信息和拒絕用戶使用資源的攻擊。它包括中斷、僞造、篡改，即攻擊信息來源的真實性、信息傳輸的完整性務的可用性。

被動攻擊是指信息的截獲，對信息的保密性進行攻擊，即通過竊聽網絡上傳輸的信息并對其進行業務流分析，從而獲得有價值的情報，但它并不修改信息的内容。它的目标是獲得正在傳送的信息，其特點是偷聽或監視信息的傳遞。

25.在信息系統安全管理中，業務流控制，路由選擇控制和審計跟蹤等技術主要用于提高信息系統的（）。

A、保密性

B、可用性

C、完整性

D、不可抵賴性

【答案】B

【解析】教材第十七章第二節P520頁。信息系統安全屬性。

可用性是應用系統信息可被授權實體訪問并按需求使用的特性。即信息服務在需要時，允許授權用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。可用性是應用系統面向用戶的安全性能。應用系統最基本的功能是向用戶提供服務，而用戶的需求是随機的、多方面的、有時還有時間要求。可用性一般用系統正常使用時間和整個工作時間之比來度量。

可用性還應該滿足以下要求：身份識别與确認、訪問控制（對用戶的權限進行控制，隻能訪問相應權限的資源，防止或限制經隐蔽通道的非法訪問。包括自主訪問控制和強制訪問控制）、業務流控制（利用均分負荷方法，防止業務流量過度集中而引起網絡阻塞）路由選擇控制（選擇那些穩定可靠的子網、中繼線或鍊路等）、審計跟蹤（把應用系統中發生的所有安全事件情況存儲在安全審計跟蹤之中，以便分析原因，分清責任，及時采取相應的措施。審計跟蹤的信息主要包括事件類型、被管信息等級、事件時間、事件信息、事件回答以及事件統計等方面的信息）。

26.根據《信息安全技術信息通用性技術要求GB/T27201-2006》，信息系統安全的技術體系包括（）。

A、物理安全、運行安全、數據安全

B、物理安全、網絡安全、運行安全

C、人類安全、資源安全、過程安全

D、方法安全、過程安全、工具安全

【答案】A

【解析】教材第十七章第二節P525頁。在GB/T20271-2006《信息安全技術信息系統通用安全技術要求》中信息系統安全技術體系有：（1）物理安全（2）運行安全（3）數據安全。

27.按照系統安全等級中的可靠性等級由高到低分别為（）。

A、絕密、機密、秘密

B、軍用、商用、民用

C、A級、B級、C級

D、使用級、修改級、控制級

【答案】C

【解析】安全等級可分為保密等級和可靠性等級兩種，系統的保密等級與可靠性等級可以不同。保密等級應按有關規定劃為絕密、機密和秘密。可靠性等級可分為三級，對可靠性要求最高的為A級，系統運行所要求的最低限度可靠性為C級，介于中間的為B級。

28.應用系統運行的安全管理中心，數據域安全是其中非常重要的内容數據域安全包括（）。

A、行級數據域安全，字段級數據域安全

B、系統性數據域安全，功能性數據域安全

C、數據資源安全，應用性數據安全

D、組織級數據域安全，訪問性數據域安全

【答案】A

【解析】數據域安全包括兩個層次：

其一是行級數據域安全，即用戶可以訪問哪些業務記錄，一般以用戶所在單位為條件進行過濾；

其二是字段級數據域安全，即用戶可以訪問業務記錄的哪些字段。

29.某公司系統安全管理員在建立公可的“安全管理體系”時，根據GB/T20269-2006《信息安全技術信息系統安全管理要求》，對當前公司的安全風險進行了分析和評估，他分析了常見病毒對計算機系統、數據文件等的破壞程度及感染特點，制定了相應的防病毒措施。這一做法符合（）的要求。

A、資産識别和評估

B、威脅識别和分析

C、脆弱性識别和分析

D、等級保識别和分析

【答案】B

【解析】題幹中“他分析了常見病毒對計算機系統、數據文件等的破壞程度及感染特點”，這是威脅識别和分析。威脅、脆弱性：威脅可看成從系統外部對系統産生的作用，而導緻系統功能及目标受阻的所有現象。而脆弱性則可以看成是系統内部的薄弱點。脆弱性是客觀存在的，脆弱性本身沒有實際的傷害，但威脅可以利用脆弱性發揮作用。

30.信息安全策略應該全面地保護信息系統整體的安全，網絡安全體系設計是邏輯設計工作的重要内容之一，可從物理線路安全、網絡安全、系統安全、應用安全等方面來進行安全體系的設計與規劃，其中，數據庫的容災屬于（）的内容。

A、物理線路安全與網絡安全

B、網絡安全與系統安全

C、物理線路安全與系統安全

D、系統安全與應用安全

【答案】D

【解析】數據庫容災，即在異地部署一個一模一樣的數據庫，一個數據庫所處的地理位置發生自然災害了導緻當前數據庫發生災難，另一個數據庫會立馬頂替工作。這是屬幹系統安全與應用安全。

31.以下不屬于物理訪問控制要點的是（）。

A、硬件設施在合理範圍内是否能防止強制入侵

B、計算機設備的鑰匙是否有良好的控制

C、計算機設備電源供應是否能适當控制在合理的規格範圍内

D、計算機設備在搬動時是否需要設備授權同行證明

【答案】C

【解析】C不包括。

一般而言，物理訪問管理包括：

(1)硬件設施在合理範圍内是否能防止強制入侵；

(2)計算機設備的鑰匙是否有良好的控制以降低未授權者進入的風險；

(3)職能終端是否上鎖或有安全保護，以防止電路闆、芯片或計算機被搬移；

計算機設備在搬動時是否需要設備授權通行的證明。

32.MD5常用于數據（）保護。

A、校驗

B、完整

C、機密

D、可靠

【答案】B

【解析】MD5即Message-Digest Algorithm 5（信息-摘要算法5），用于确保信息傳輸完整一緻。是計算機廣泛使用的雜湊算法之一（又譯摘要算法、哈希算法），主流編程語言普遍已有MD5實現。将數據（如漢字）運算為另一固定長度值，是雜湊算法的基礎原理，MD5的前身有MD2、MD3和MD4。

MD5算法具有以下特點：

(1)壓縮性：無論數據長度是多少，計算出來的MD5值長度相同。

(2)容易計算性：由原數據容易計算出MD5值。

(3)抗修改性：即便修改一個字節，計算出來的MD5值也會巨大差異。

抗碰撞性：知道數據和MD5值，很小概率找到相同MD5值相同的原數據。

33.具有保密資質的公司中一名涉密的負責信息系統安全的安全管理員提出了離職申請，公司采取的以下安全控制措施中，（）可能存在安全隐患。

A、立即終止其對安全系統的所有訪問權限

B、收回所有相關的證件、徽章、密鑰、訪問控制标志、提供的專用設備等

C、離職員工辦理完人事交接，繼續工作一個月後離崗

D、和離職人員簽訂調離後的保密要求及協議

【答案】C

【解析】教材第十七章第四節P534頁。人事交接都辦完了，人應離開。還讓繼續工作一個月，存在安全隐患。

34.應用系統運行中涉及的安全和保密層次包括系統級安全、資源訪問安全、功能性安全和數據域安全。針對應用系統安全管理，首先要考慮（）。

A、系統級安全

B、資源訪問安全

C、功能性安全

D、數據域安全

【答案】A

【解析】教材第十七章第五節P537頁。應用系統運行中涉及的安全和保密層次包括系統級安全、資源訪問安全、功能性安全和數據域安全。這4個層次的安全，按粒度從大到小的系統級安全、資源訪問安全、功能性安全、數據域安全。按排序首先要考慮就是系統級的安全，系統級安全是應用系統的第一道防護大門。

35.關于信息系統崗位人員的安全管理的描述，不正确的是：（）。

A、對安全管理員、系統管理員、重要業務操作人員等關鍵崗位進行統一管理

B、緊急情況下，關鍵崗位人員可獨自處理重要事務或操作

C、人員離崗後，應立即中止其所有訪問權限

D、業務開發人員和系統維護人員不能兼任安全管理員

【答案】B

【解析】教材第十七章第四節P534頁。B是錯誤的。根據多人共管要求；關鍵崗位人員處理重要事務或操作時，應保持二人同時在場，關鍵事務應多人共管。

36.應用系統運行中涉及的安全和保密層次包括系統級安全、資源訪問安全、數據域安全等。以下描述不正确的是：（）。

A、按粒度從大到小排序為系統級安全、資源訪問安全、數據域安全

B、系統級安全是應用系統的第一道防線

C、功能性安全會對程序流程産生影響

D、數據域安全可以細分為文本級數據域安全和字段級數據域安全

【答案】D

【解析】數據域安全包括兩個層次，其一，是行級數據域安全，即用戶可以訪問哪些業務記錄，一般以用戶所在單位為條件進行過濾：其二，是字段級數據域安全，即用戶可以訪問業務記錄的哪些字段。D是錯誤的。

37.在信息系統安全技術體系中，安全審計屬于（）。

A、物理安全

B、網絡安全

C、數據安全

D、運行安全

【答案】D

【解析】教材第十七章第二節P525頁，運行安全有包括安全審計。

38.根據《信息安全等級保護管理方法》規定，信息系統遭到破壞後，會對社會秩序和公衆利益造成嚴重損害，或者對國家安全造成損害，則該信息系統的安全保護等級為（）。

A、一級

B、二級

C、三級

D、四級

【答案】C

【解析】教材第十七章第六節P541-542頁。

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益産生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特别嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞後，會對國家安全遣成特别嚴重損害。

39.用系統運行中涉及的安全和保密層次包括系統級安全、資源訪問安全、功能性安全和數據域安全，其中粒度最小的層次是（）。

A、系統級安全

B、資源訪問安全

C、功能性安全

D、數據域安全

【答案】D

【解析】教材第十七章第五節P537頁。應用系統運行中涉及的安全和保密層次包括系統級安全、資源訪問安全、功能性安全和數據域安全。這4個層次的安全，按粒度從大到小的排序是：系統級安全、資源訪問安全、功能性安全、數據域安全。

40.關于信息系統崗位人員安全管理的描述，不正确的是（）。

A、業務應用操作人員不能由系統管理員兼任

B、業務開發人員不能兼任系統管理員

C、系統管理員可以兼任數據庫管理員

D、關鍵崗位人員處理重要事務和操作時，應保持兩人同時在場

【答案】C

【解析】教材第十七章第四節P534頁。對信息系統崗位人員的管理，應根據其關鍵程度建立相應的管理要求。（1）對安全管理員、系統管理員、數據庫管理員、網絡管理員、重要業務開發人員、系統維護人員和重要業務應用操作人員等信息系統關鍵崗位人員進行統一管理；允許一人多崗，但業務應用操作人員不能由其他關鍵崗位人員兼任：關鍵崗位人員應定期接受安全培訓，加強安全意識和風險防範意識。（2）兼職和輪崗要求：業務開發人員和系統維護人員不能兼任或擔負安全管理員、系統管理員、數據庫管理員、網絡管理員和重要業務應用操作人員等崗位或工作；必要時關鍵崗位人員應采取定期輪崗制度。C是錯誤的。（3）權限分散要求：在上述基礎上，應堅持關鍵崗位“權限分散、不得交叉覆蓋”的原則，系統管理員數據庫管理員、網絡管理員不能相互兼任崗位或工作。（4）多人共管要求：在上述基礎上，關鍵崗位人員處理重要事務或操作時，應保持二人同時在場，關鍵事務應多人共管。（5）全面控制要求：在上述基礎上，應采取對内部人員全面控制的安全保證措施，對所有崗位工作人員實施全面安全管理。

案例分析試題（18分）

系統集成 A 公司承接了某市政府電子政務系統機房升級改造項目，任命小張為項目經理。升級改造工作實施前，小張安排工程師對機房進行了檢查，形成如下 14 條記錄:

（1）機房有機架 30 組

（2）機房内各個區域溫度保持在 25 度左右

（3）機房鋪設普通地闆，配備普通辦公家具

（4）機房照明系統與機房設備統一供電，配備了應急照明裝置

（5）機房配備了 UPS，無穩壓器

（6）機房設置了避雷裝置

（7）機房安裝了防盜報警裝置

（8）機房内配備了滅火器，但沒有煙感報警裝置

（9）機房門口設立門禁系統，無人值守

（10）進入機房人員需要佩戴相應證件

（11）工作人員可以使用個人手機與外界聯系

（12）所有來訪人員需經過正式批準，批準通過後可随意進入機房

（13）來訪人員可以攜帶筆記本電腦進入機房

（14）機房内明确标示禁止吸煙和攜帶火種

【問題 1】（8 分）根據以上檢查記錄，請指出該機房在信息安全管理方面存在的問題，并說明原因（将錯誤編号及原因填寫在答題紙對應表格）。

【問題 2】（4 分）

信息系統安全的屬性包括保密性、完整性、可用性和不可抵賴性。請說明各屬性的含義。

【問題 3】（6 分）請列舉機房防靜電的方式。

參考答案

【問題 1】答：

（2）應該設置在 22±2攝氏度（3）應鋪設防靜電地闆（4）應将計算機供電系統與機房照明設備供電系統分開（5）需要穩壓器（8）需要煙感報警裝置（9）需要有人值守（12）批準通過後也不可随意進入機房，需要有人陪同（13）禁止攜帶個人計算機等電子設備進入機房

【問題 2】答：

1、保密性：信息不被洩露給未授權的個人、實體和過程或不被其使用的特性。

2、完整性：保護資産的正确和完整的特性，就是确保接受到的數據就是發送的數據。數據不應被其改變，這需要某種方法去進行驗證。

3、可用性：需要時，授權實體可以訪問和使用的特性，磁盤和系統的容錯及備份、可接受的登錄及進程性能、可靠的功能性的安全進程和機制可以實現。路由選擇控制和審計跟蹤等技術主要用于提高信息系統的可用性。

4、不可抵賴性：是指建立有效的責任機制，防止用戶否認其行為，這一點在電子商務中是極其重要的，可以通過數字簽名實現。

【問題 3】答：靜電的産生和靜電帶電：靜電主要是物體間相互摩擦，接觸和分離産生的，但也有其他原因産生。機房防靜電的方式：

1、接地 2、計算機機房的相對濕度應符合 GB2887 中的規定。 3、使用靜電消除劑和靜電消除器。4、采用具有穩定的抗靜電性能的活動地闆。 5、工作人員的服裝，最好由不産生靜電的衣料制成，工作人員的鞋，最好由低阻值的材料制成，以免産生靜電。 6、計算機采用 RAS 功能。 7、采用帶地線的靜電控制襯墊。