信息安全工程习题和答案(2012版)

《信息安全工程习题和答案(2012版)》由会员分享，可在线阅读，更多相关《信息安全工程习题和答案(2012版)（15页珍藏版）》请在装配图网上搜索。

1、第一章一、 填空题1.信息保障的三大要素是_、_、_2.在bs7799信息安全管理体系中，信息安全的主要目标是信息的_、_、_的保持3.信息安全一般包括_、_、信息安全和_四个方面的内容。4.信息安全管理是通过维护信息的_、_、_等，来管理和保护信息资产的一项体制二、名词解释1.信息安全 2.信息安全管理四、论述 1.我国信息安全管理现状如何？第二章一、 填空题1. BS7799信息安全管理领域的一个权威标准，其最大意义就在于它给_一整套可“_”的信息安全管理要领。2. SSE-CMM将安全工程划分为三个基本的安全区域，即_、_、_3. SSE-CMM包含了_个级别，我国的信息和信息系统的安全

2、保护等级共分为_级二、 名词解释1.信息安全管理体系ISMS 2.信息安全等级保护 3.信息安全管理体系认证 三、简答 1建立ISMS有什么作用？ 2可以采用哪些模式引入BS7799？ 3我国对于信息和信息系统的安全保护等级是如何划分的？ 4SSE-CMM将安全工程划分为哪些基本的过程区域？每一个区域的含义是什么？ 5.建立信息安全管理体系一般要经过哪些基本步骤？四、论述 1.PDCA分为哪几个阶段？每一个阶段的主要任务是什么？ 2.等级保护的实施分为哪几个阶段？每一个阶段的主要步骤是什么？ 3.试述BS7799的主要内容。第三章一、填空题1.资产管理的主要任务是_、_等2.脆弱性分为_、_、

3、_3.风险评估方法分为_、_、_4.OCTAVE是一种信息安全风险评估方法，它指的是_、_、_5.组织根据_与_的原则识别并选择安全控制措施6.风险接受是一个对残留风险进行_和_的过程二、 名词解释 （1）资产的价值 （2）威胁 （3）脆弱性 （4）安全风险 （5）风险评估 （6）风险管理 （7）安全控制 （8）适用性声明三、简答 1.叙述风险评估的基本步骤。 2.资产、威胁与脆弱性之间的关系如何？ 3.信息系统的脆弱性一般包括哪几类？ 4.比较基本风险评估与详细风险评估的优缺点。第四章一、 填空题1.人员安全管理包括_、_、_2.对人员的安全审查一般从人员的_、_、_等几个方面进行审查。三、

4、简答 1在我国，信息安全管理组织包含哪些层次？ 2信息安全组织的基本任务是什么？ 3信息安全教育包括哪些方面的内容？第五章一、填空题1.为防止未经授权的_，预防对信息系统的_和_的破坏和干扰，应当对信息系统所处的环境进行区域划分2.机房安全就是对旋转信息系统的_进行细致周密的计划，对信息系统加以_上的严密保护3.计算机系统的电磁泄漏途径有：_和_4.影响计算机电磁辐射强度的因素有_、_、_5.媒介保护和管理的目的是保护存储在媒介上的_，确保信息不被_、篡改、破坏或_6.基于移动存储介质的安全威胁传播快、危害大，而且有很强的_和_7.信息的存储与处理应当_，以便保护这些信息免于未经授权的_和_8

5、.根据GB9361-88，计算机机房的安全等级分为_、_和_。9.保证电子文档安全的技术措施有加密技术、_、_和_。二、名词解释 1.物理安全边界三、简答 1信息系统安全界线的划分和执行应考虑哪些原则和管理措施？ 2为了保证信息系统安全，应当从哪些方面来保证环境条件？ 3信息系统在实际应用中采用的防泄露措施主要有哪些？ 4设备安全管理包括哪些方面？ 5对于移动存储介质的管理应当考虑哪些策略？四、论述 1对于信息的存储与处理应当考虑哪些管理措施？第六章一、 填空题1. 系统可靠性分为_和_2._和_中最大的安全弱点是用户账号3.针对用户账号安全，可采用_、_、_来保护4.系统选购通过_、_等，保

6、证所选购安全性5.程序测试的目的有两个：一是_，二是_6.系统安全验证的方法有_、_二、名词解释1.系统安全性验证 2.破坏性分析四、 论述1.系统安全原则包括哪些？分别简述。第七章一、 填空题 1.信息安全策略分为_和_两个层次。2.信息安全管理程序包括两部分：一是实施控制目标与控制方式的_另一部分是覆盖信息安全管理体系的_的程序3.系统安全监控与审计是指对系统的_和系统中用户的_进行监视、控制和记录4.安全监控分为_和_两大类5.从实现技术上看，安全审计分为_和_两部分6.审计分析的基本方法有_、_、_7.网络故障管理的基本步骤包括_、_和_8.目前网络测量方法有：_、_和_二、名词解释1

7、.信息安全策略 2.系统安全审计 3.操作权限管理 4.操作监控三、简答1.信息安全策略有哪些相关技术2.叙述系统安全审计的工作原理。 3.操作权限管理有哪些方式？4.操作监控管理的主要内容有哪些？5.故障管理包括哪些内容？故障管理的基本步骤是什么？四、论述1.试述信息安全策略的制定过程第八章一、 填空题1.目前入侵检测技术可分为_和_二、名词解释 1.应急响应 2.安全紧急事件三、简答 1.如何理解应急响应在信息安全中的地位和作用？2.应急响应组织分为哪几类？分别简述。四、论述应急响应处置流程通常被划分为哪些阶段？各个阶段的主要任务是什么？案例应用题 1.结合你所学过的知识，谈一谈降低风险的

8、主要途径有哪些？2.系统安全监控的主要内容有哪些？请举例说明系统安全监控有哪些实现方式？3.某设计院有工作人员25人，每人一台计算机，Windows 98对等网络通过一台集线器连接起来，公司没有专门的IT管理员。公司办公室都在二楼，同一楼房内还有多家公司，在一楼入口处赵大爷负责外来人员的登记，但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师，他经常拨号到Internet访问一些设计方面的信息，他的计算机上还安装了代理软件，其他人员可以通过这个代理软件访问Internet。下列情况都是有可能的： 1）小偷顺着一楼的防护栏潜入办公室偷

9、走了 2）保洁公司人员不小心弄脏了准备发给客户的设计方案；错把掉在地上的合同稿当废纸收走了；不小心碰掉了墙角的电源插销 3）某设计师张先生是公司的骨干，他嫌公司提供的设计软件版本太旧，自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭，可是张先生还是喜欢新版本的设计程序，并找到一些办法避免错误发生时丢失文件。 4）后来张先生离开设计院，新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常，没有人理会，最后决定自己重新安装操作系统和应用程序。 5）小李把自己感觉重要的文件备份到陈博士的计算机上，听说Windows2000比较稳定，他决定安装Wi

10、ndows2000，于是他就重新给硬盘分区，成功完成了安装。 6）大家通过陈博士的计算机访问Internet，收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet，陈博士收到几封主题不同的电子邮件，内容竟然包括几个还没有提交的设计稿，可是员工都说没有发过这样的信。 针对上述情况，请从下面所列的安全策略中选择你认为适合的放在相应的位置。 物理安全策略网络安全策略数据加密策略数据备份策略病毒防护策略系统安全策略身份认证及授权策略灾难恢复策略事故处理与紧急响应策略安全教育策略口令管理策略补丁管理策略系统变更控制策略商业伙伴与客户关系策略复查审计策略（例： 1） ）4.某

11、高校信息安全应对策略 某大学师生人数众多，拥有两万多台主机，上网用户也在2万人左右，而且用户数量一直成上升趋势。校园网在为广大师生提供便捷、高效的学习、工作环境的同时，也在宽带管理、计费和安全等方面存在许多问题。具体如下： （1）IP地址及用户账号的盗用。 （2）多人使用同一账号。 （3）网络计费管理功能的单一。 （4）对带宽资源的大量占用导致重要应用无法进行。 （5）访问权限难以控制。 （6）安全问题日益突出。 （7）异常网络事件的审计和追查。（8）多个校区的管理和维护。 针对这些问题，相应的应对策略。 第一章一、填空题1. 人员 技术 管理2. 机密性 完整性 可用性3. 实体安全 运行安

12、全 管理安全4. 机密性 完整性 可用性二、 名词解释1. 信息安全是保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。2. 信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。四、 论述1.在国家宏观信息安全管理方面，主要有以下几个方面的问题：（1）法律法规问题（2）管理问题（3）国家信息基础设施建设问题 在微观信息安全管理方面的问题主要有以下几方面：缺乏信息安全意识与明确的信息安全方针（2）重视安全技术，轻视安全管理（3）安全

13、管理缺乏系统管理的思想。第二章一、 填空题1.管理层 量体裁衣2.风险 工程 保证3.六 五二、名词解释1.信息安全管理体系（ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体系；信息安全管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。2.信息安全等级保护是指根据信息系统在国家安全、经济安全、社会稳定、和保护公共利益等方面的重要程度，结合系统面临的风险、应对风险的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。3.信息安全管

14、理体系认证，是第三方依据程序对产品、过程和服务等符合规定的要求给予书面保证（如合格证书）。认证的基础是标准，认证的方法包括对产品特性的抽样检验和对组织体系的审核与评定，认证的证明方式是认证证书与认证标志。目前，世界上普遍采用的信息安全管理体系认证的标准是在英国标准协会的信息安全管理委员会指导下制定的B57799-2:信息安全管理体系规范。三、 简答 1.ISMS的作用 1）强化员工的信息安全意识，规范组织信息安全行为； 2）促使管理层贯彻信息安全保障体系； 3）对组织的关键信息资产进行全面系统的保护，维持竞争优势； 4）在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； 5）使组织的

15、生意伙伴和客户对组织充满信心； 6）如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，可以提高组织的知名度与信任度。. 2.答：组织在实施BS7799时，可以根据需求和实际情况，采用以下几种模式： (1)按照BS7799标准的要求，自我建立和实施组织的安全管理体系，以达到保证信息安全的目的； (2)按照BS7799标准的要求，自我建立和实施组织的安全管理体系，以达到保证信息安全的目的，并且通过BS7799体系认证； (3)通过安全咨询顾问，来建立和实施组织的安全管理体系，以达到保证信息安全的目的； (4)通过安全咨询顾问，来建立和实施组织的安全管理体系，以达到保证信息安全的目的，

16、并且通过BS7799体系认证。 3.信息和信息系统的安全保护等级共分为五级： （1）第一级：自主保护级 （2）第二级：指导保护级 （3）第三级：监督保护级 （4）第四级：强制保护级 （5）第五级：专控保护级 4.SSE-CMM将安全工程划分为3个基本的过程区域，即风险、工程和保证。 风险：安全工程的主要目标是降低风险。风险就是有害事件发生的可能性，个不确定因素发生的可能性依赖于具体情况，这就意味着这种可能性仅能在某种限制下预测。 工程：安全工程与其他项目一样，是一个包括概念、设计、实现、测试、部署、运行、维护和退出的完整过程。 保证：是指安全需求得到满足的信任程度，它是安全工程非常重要的产品，

17、 SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量，这种信任的基础是成熟组织比不成熟组织更可能产生出重复结果的事实。 5.建立信息安全管理体系一般要经过下列五个基本步骤： 信息安全管理体系的策划与准备；信息安全管理体系文件的编制；建立信息安全管理框架；信息安全管理体系的运行；信息安全管理体系的审核与评审四、论述 1.答:PDCA循环的四个阶段的具体任务和内容如下。 （1）计划阶段：制定具体工作计划，提出总的目标。具体来讲又分为以下4个步骤：分析目前现状，找出存在的问题；分析产生问题的各种原因以及影响因素；分析并找出管理中的主要问题；制定管理计划，确定管理要点。 本阶段的任务是根据管

18、理中出现的主要问题，制定管理的措施和方案，明确管理的重点。 （2）实施阶段：按照制定的方案去执行。本阶段的任务是在管理工作中全面执行制定的方案。 （3）检查阶段：检查实施计划的结果。本阶段的任务是检查工作，调查效果。 （4）行动阶段：根据调查效果进行处理。对已解决的问题，加以标准化；找出尚未解决的问题，转入下一个循环中去，以便解决。 2.信息安全等级保护的实施过程包括定级阶段、规划与设计阶段和实施、等级评估与改进阶段。 （1）定级阶段，包括两个步骤：系统识别与描述；等级确定 （2）规划与设计阶段，包括三个步骤：a）系统分域保护框架建立b）选择和调整安全措施c）安全规划和方案设计 （3）实施、等

19、级评估与改进阶段，包括三个步骤：a）安全措施的实施b）评估与验收c）运行监控与改进 3.BS7799基本内容包括信息安全政策、信息安全组织、信息资产分类与管理、人员信息安全、物理和环境安全、通信和运营管理、访问控制、信息系统的开发与维护、业务持续性管理、信息安全事件管理和符合性管理十一个方面。第三章一、填空题1.资产责任划分 分类标识2.技术脆弱性 操作脆弱性 管理脆弱性3.基本风险评估 详细风险评估 联合风险评估4.可操作的关键威胁 资产 漏洞评估5.控制费用 风险平衡6.确认 评价二、名词解释 （1）资产的价值：为了明确对资产的保护，所对资产进行的估价。 （2）威胁：威胁是指可能对资产或组

20、织造成损害的事故的潜在原因。 （3）脆弱性：所谓脆弱性就是资产的弱点或薄弱点，这些弱点可能被威胁利用造成安全事件的发生，从而对资产造成损害。 （4）安全风险：所谓安全风险，就是特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。 （5）风险评估：即对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。 （6）风险管理：所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。 （7）安全控制：安全控制就是保护组织资产、防止威胁、减少脆弱性、限制安

21、全事件影响的一系列安全实践、过程和机制。 （8）适用性声明：所谓适用性声明，是指对适用于组织需要的目标和控制的评述。三、简答 1.（1）按照组织业务运作流程进行资产识别，并根据估价原则对资产进行估价； （2）根据资产所处的环境进行威胁评估； （3）对应每一威胁，对资产或组织存在的脆弱性进行评估； （4）对已采取的安全机制进行识别和确认； （5）建立风险测量的方法及风险等级评价原则，确定风险的大小与等级。 2.资产、威胁与脆弱性之间的对应关系包括：l 一项资产可能存在多个威胁；l 威胁的来源可能不只一个，应从人员、环境、资产本身等方面加以考虑；l 每一威胁可能利用一个或数个脆弱性。 3.大体可以

22、分为以下几类。 技术脆弱性：系统、程序和设备中存在的漏洞或缺陷，如结构设计问题和编程漏洞等； 操作脆弱性：软件和系统在配置、操作及使用中的缺陷，包括人员日常工作中的不良习惯、审计或备份的缺乏等； 管理脆弱性：策略、程序和规章制度等方面的弱点。 4.基本风险评估有许多优点，主要是：l 风险评估所需资源最少，简便易实施；l 同样或类似的控制能被许多信息安全管理体系所采用。基本风险评估的缺点包括：l 安全基线水平难以设置；l 管理与安全相关的变更可能有困难。详细风险评估的优点主要包括：l 可以获得一个更精确的对安全风险的认识，从而可以更为精确地识别出反映组织安全要求的安全水平；l 可以从详细的风险评

23、估中获得额外信息，使与组织变革相关的安全管理受益。 详细风险评估的缺点主要是，需要花费相当的时间、精力和技术去获得可行的结果。第四章一、填空题1.人员安全审查 人员安全教育 人员安全保密管理2.安全意识 法律意识 安全技能三、简答1.在我国，信息安全管理组织有4个层次：各部委信息安全管理部门、各省信息安全管理部门、各基层信息安全管理部门以及经营单位。其中，直接负责信息系统应用和系统运行业务的单位为系统经营单位，其上级单位为系统管理部门。2.信息安全组织的基本任务是在政府主管部门的管理指导下，由与系统有关的各方面专家，定期或适时进行风险评估，根据本单位的实际情况和需要，确定信息系统的安全等级和管

24、理总体目标，提出相应的对策并监督实施，使得本单位信息系统的安全保护工作能够与信息系统的建设、应用和发展同步前进。 3.教育和培训的具体内容和要求会因培训对象的不同而不同，主要包括法规教育、安全技术教育和安全意识教育等。除了以上教育和培训，组织管理者应根据工作人员所从事的安全岗位不同，提供必要的专业技能培训第五章一、填空题1.访问 基础设施（设备） 业务信息2.空间 物理3.辐射泄漏 传导泄漏4.功率和频率 距离因素 屏蔽状况5.信息 非法窃取 非法使用6.隐蔽性 欺骗性7.规范化 泄漏 误用8.A B C 9.签名技术 身份认证 防火墙。二、名词解释 1.所谓物理安全边界是指在信息系统的实体和

25、环境这一层次上建立某种屏障，例如门禁系统等。三、简答 1.答：信息系统安全界线的划分和执行应考虑如下的原则和管理措施： (1)必须明确界定安全范围； (2)信息处理设施所在的建筑物或场所的周边应当得到妥善的保护，所有入口都应该实施适当的保护，以防止未经授权者进入； (3)实体和环境保护的范围应当尽可能涵盖信息系统所在的整个环境空间； (4)应按照地方、国内和国际标准建立适当的入侵检测系统，并定期检测； (5)组织管理的信息处理设施应在物理上与第三方管理的设施分开。2.答：保障信息系统安全的环境条件有：(1)温度和湿度；(2)空气含尘浓度；(3)噪声；(4)电磁干扰；(5)振动；(6)静电；(7

26、)接地。3.答：信息系统在实际应用中采用的防电磁泄露措施主要有：（1）选用低辐射设备 （2）利用噪声干扰源 （3）采取屏蔽措施 （4）距离防护 （5）采用微波吸收材料4.答：设备安全管理包括(1)设备选型；(2)设备检测；(3)设备购置与安装；(4)设备登记；(5)设备使用管理；(6)设备维修管理；(7)设备储存管理。 5.答：对于移动存储介质的管理应当考虑的策略有： （1）对从组织取走的任何可重用的介质中的内容，如果不再需要，应使其不可重用； （2）如果需要并可行，对于从组织取走的所有介质应要求授权，所有这种移动的记录应加以保持，以保持审核踪迹； （3）要将所有介质存储在符合制造商说明的安全

27、和保密的环境中； （4）如果存储在介质中的信息使用时间比介质生命周期长，则要将信息存储在别的地方，以避免由于介质老化而导致信息丢失； （5）应考虑对移动存储介质的登记和移动存储使用监控，以减少数据丢失的机会；（6）只应在有业务要求时，才使用移动存储介质。四、论述1.答：对于信息的存储与处理应当考虑以下管理措施：（1）按照所显示的分类级别，处理和标识所有存储介质；（2）对未经授权的人员进行访问限制；（3）维护一份对得到授权的数据接收者的正式记录；（4）确保输入数据的完整性，并确认出入的数据的有效性；（5）敏感数据应输出到具有相应安全级别的存储介质上；（6）存储介质应存放在符合制造商要求的环境中；

28、（7）数据分发量及范围应尽可能小；（8）清晰地标识数据的所有拷贝，以引起授权接收者的关注；（9）定期复查信息发送表和得到授权的信息接受者的列表。第六章一、填空题1.软件可靠性 硬件可靠性2.系统 网络 3.用户分组管理 单点登录 用户认证4.版本控制 安全检测与验收5.确定程序的正确性 排除程序中的安全隐患6.系统鉴定 破坏性分析二、名词解释 1.系统安全性验证就是对系统的安全性进行测试验证，并评价其安全性所达到的程度的过程。 2.破坏性分析是把一些在系统使用方面具有丰富经验的专家和一些富有设计经验的专家组织起来，对被测试的系统进行安全脆弱性分析，专门查找可能的弱点和缺点。四、论述 1.（1）

29、保护最薄弱的环节：系统最薄弱部分往往就是最易受攻击影响的部分，在进行系统规划时必须重点考虑可能存在的薄弱环节以及对薄弱环节的保护。（2）纵深防御：使用多重防御策略来管理风险，以便在一层防御不够时，另一层防御将会阻止完全的破坏。（3）保护故障：故障的发生是很难避免的，可以避免的是与故障有关的安全性问题。因此必须通过有效的故障管理，确保及时发现故障、分离故障，找出失效的原因，并在可能的情况下解决故障，避免因系统故障而导致系统安全问题的产生。（4）最小特权：指只授予主体执行操作所必需的最小访问权限，同时该访问权限只准许使用所需的最少时间。其目的是防止权限滥用，是保护系统安全最简单和最有效的策略。（5

30、）分隔：将系统分成尽可能多的独立单元，以便将对系统可能造成损害的量降到最低。第七章一、填空题1. 信息安全方针 具体的信息安全策略 2.安全控制程序 管理与动作3.运行状况 行为4.网络安全监控 主机安全监控5.审计数据收集 审计分析6.基于规则库 基于数理统计 基于模式匹配7. 发现问题 分析问题 解决问题 8.主动测量 被动测量 控制信息监视 二、名词解释1.信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。2.安全审计是指对安全活动进行识别、记录、存储和分析，以查证是否发生安全事件的一种信息安全技术，它能够为管理人员提供有关追踪安全事件和入侵

31、行为的有效证据，提高信息系统的安全管理能力。3.操作权限管理是计算机及信息系统安全的重要环节，合理规划和设定信息系统管理和操作权限在很大程度上能够决定整个信息系统的安全系数。4.操作监控就是通过某种方式对信息系统状态进行监控和调整，使信息系统能正常、高效地运行。三、简答 1.安全策略统一描述技术、安全策略自动翻译技术、安全策略一致性验证技术、安全策略发布与分发技术、安全策略状态监控技术2.系统安全审计的工作原理典型的网络安全审计系统结构主要由审计服务器、审计代理和数据库组成。其中，审计代理实现对被审计主机的数据采集和过滤处理，将最终数据提交给本审计域内的审计服务器，数据存储于后台数据库。每个审

32、计域内的服务器对各个代理进行统一管理。审计服务器通过协调各审计代理实现协同工作，实现网络安全审计功能。3.操作权限管理可以采用集中式和分布式两种管理方式。所谓集中式管理就是在整个信息系统中，由统一的认证中心和专门的管理人员对信息系统资源和系统使用权限进行计划和分配。分布式管理就是将信息系统的资源按照不同的类别进行划分，然后根据资源类型的不同，由负责此类资源管理的部门或人员为不同的用户划分不同的操作权限。4.操作监控管理的主要内容如下：（1）拓扑管理；（2）故障管理；（3）配置管理；（4）性能管理。（5）服务级别管理；（6）帮助台。 5.故障管理是对信息系统和信息网络中的问题或故障进行定位的过程

33、，它包含以下三个内容：一是发现问题；二是分离问题，找出失效的原因；三是解决问题（如有可能）。故障管理的基本步骤是：（1）故障诊断（2）故障重现（3）故障排除四、 论述 1.（1）理解组织业务特征 （2）得到管理层的明确支持与承诺 （3）组建安全策略制定小组 （4）确定信息安全整体目标 （5）确定安全策略范围 （6）风险评估与选择安全控制 （7）起草拟定安全策略 （8）评估安全策略 （9）实施安全策略 （10）政策的持续改进第八章一、填空题1.误用检测 异常检测二、名词解释1.应急响应通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。2.安全紧急事件一定属于安全事件范

34、畴。安全事件是破坏或企图破坏信息或信息系统CIA属性的行为事件。“安全紧急事件”更侧重指那些发生很突然且会造成巨大损失的安全事件，如果不尽快速采取相应补救措施，造成的损失会进一步加重。三、简答1.信息安全可以被看作一个动态的过程，它包括风险分析、安全防护、安全检测以及响应等四个阶段，通常被称为以安全策略为中心的安全生命周期P-RPDR安全模型。应急响应在P-RPDR安全模型中属于响应范畴，它不仅仅是防护和检测措施的必要补充，而且可以发现安全策略的漏洞，重新进行安全风险评估，进一步指导修订安全策略，加强防护、检测和响应措施，将系统调整到“最安全”的状态。 2.应急响应组织是应急响应工作的主体，目

35、前国内外安全事件应急响应组织大概可被划分为国内或国际间的应急协调组织、企业或政府组织的应急响应组织、计算机软件厂商提供的应急响应组织和商业化的应急响应组织等四大类。 （1）国内或国际间的应急响应协调组织。通常属于公益性应急响应组织，一般由政府或社会公益性组织资助，对社会所有用户提供公益性的应急响应协调服务。如，CERT/CC由美国国防部资助，中国的CCERT和CNCERT/CC。 （2）企业或政府组织的应急响应组织。其服务对象仅限于本组织内部的客户群，可以提供现场的事件处理，分发安全软件和漏洞补丁，培训和技术支持等，另外还可以参与组织安全政策的制定和审查等。如美国联邦的FedCIRC，及CER

36、NET的CCERT等。 （3）计算机软件厂商提供的应急响应组织。主要为本公司产品的安全问题提供应急响应服务，同时也为公司内部的雇员提供安全事件处理和技术支持。例如SUN、CISCO等公司的应急响应组织。 （4）商业化的应急响应组织。面向全社会提供商业化的安全救援服务，其特点在于一般具有高质量的服务保障，在突发安全事件发生时能够及时响应，甚至提供724的服务和现场事件处理等。四、论述 应急响应处置流程通常被划分为准备、检测、抑制、根除、恢复、报告与总结等六个阶段。 （1）准备阶段。主要工作包括建立合理的防御和控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。 （2）检测阶段。要做出

37、初步的动作和响应，根据获得的初步材料和分析结果，估计事件的范围，制订进一步的响应战略，并且保留可能用于司法程序的证据。 （3）抑制阶段。目的是限制攻击的范围。抑制策略一般包括关闭所有的系统、从网络上断开相关系统、修改防火墙和路由器的过滤规则、封锁或删除被攻破的登录账号、提高系统或网络行为的监控级别、设置陷阱、关闭服务以及反击攻击者的系统等。 （4）根除阶段。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源并彻底清除。 （5）恢复阶段。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。 （6）报告与总结阶段。目标是回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录

38、到文档中。案例应用题1.组织根据控制费用与风险平衡的原则，识别并选择了安全控制措施后，对所选择的安全控制应当严格实施并保持，通过以下途径达到降低风险的目的： 避免风险：将重要的计算机与Internet隔离，使之免受外部网络的攻击； 转移风险：通过购买商业保险将风险转移，或将高风险的信息处理业务外包给第三方； 减少威胁：建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会； 减少脆弱性：经常性地为系统安装补丁，修补系统漏洞，以防止系统脆弱性被利用； 减少威胁可能的影响：例如，建立业务持续性计划，把灾难造成的损失降到最低； 检测意外事件，并做出响应和恢复：例如，使用网络管理系统对网络性能与

39、故障进行监测，及时发现问题并做出反应。 2.安全监控的内容：（1）主机系统监视。（2）网络状态监视。（3）用户操作监视。（4）主机应用监控。（5）主机外设监控。（6）网络连接监控。实现方式：（1）普通监控。普通监控是指根据TCP/IP协议和基于其基础上的应用层协议，连接被监控主机，从而获得主机的状态和性能等信息。（2）基于插件的监控。在受控主机上安装插件。（3）基于代理的分布式监控。基于代理的分布式监控是由监控代理实现的，监控代理分布于不同的地理位置，分别对不同受控主机独立进行实时监测。3.1）2）3）4）5）6）4.某高校信息安全应对策略（1）客户账号与IP地址、MAC地址、NAS设备 地址

40、和NAS端口绑定将客户账号与客户使用的IP地址、 MAC地址、连接的NAS设备地址和NAS端口进行四重绑定，极大的提高了客户行为的唯一性， 有效的防止了IP地址和客户账号盗用现象的发生。 （2）限定账号登录次数对同一账号同时登录次数做出明确的限定，避免了多人次使用同一账号上网的现象。 （3）完善计费管理功能 支持多种计费方式，不同种类用户可以选择不同计费方式。此外，系统还能详细记录计费过程，以供用户打印计费清单、查阅详情。 （4）带宽的限定和业务优先级的设定 对每个客户上下行的带宽上限加以限定，防止个别客户占用过多网络资源。对不同的用户数据设定业务优先级，以保证重要数据能得到更好的服务。 （5

41、）访问区域和访问时间的有效控制将用户可能访问的区域划分为国内、 国外、校园网，并根据不同用户制定不同的访问规则和访问方式，使网络上的色情、暴力、反动 信息远离校园。 （6）内外网IP地址间的NAT功能提供内、外网IPNAT功能，避免了内网IP地址的暴露，为不怀好意者对校园网的攻击增加了难度，减少遭受网 络攻击的可能性。 （7）强大的事件追查功能 丰富的日志信息和便捷的追查工具能 使网络管理员在面对异常事件时，能及时作出反 应，迅速找出幕后“黑手”。 （8）多校区远程管理功能 能同时对位于不同校区的NAS设备提供远程管理功能，在实现统一多个校区资费策略 的同时还大大减少了网络管理员的工作量。15