架构师

您现在的位置是:首页 > 软考笔记 > 系统集成(中)

系统集成(中)

第九章、信息系统项目管理之:信息安全管理

架构师小跟班 2019-11-27系统集成(中)
十四、信息安全管理守考点分析与预测:信息安全在本试中一般会涉及到2-3分,主要是集中在上午考试,关于 信息安全,在标准规范,比如机房工程里也有涉及,而且经常考一些书上没有的知识

十四、信息安全管理

守考点分析与预测:信息安全在本试中一般会涉及到2-3分,主要是集中在上午考试,关于 信息安全,在标准规范,比如机房工程里也有涉及,而且经常考一些书上没有的知识点,希望大 家可以认真学习课本,尽力多涉足相关知识,尽力多得分,这一块是大家考试的难点之一。本章节在本次考试中可能考查的知识点为:安全属性、实现各属性可以采用的方法和技术,计算机机 房安全、物理安全、人员安全的一些措施,大家需要看看,系统运行安全与保密的层次构成(4级), 系统运行安全管理制度等等知识点,希望大家能够重视,关于信息安全的知识,我希望大家都能 够尽力的多涉足一点;

根据下表历年考点分布情况,希望大家掌握如下高频考点:

本章金色考点汇总:

1、信息安全属性及目标

信息安全属性及目标:保密性、完整性、可用性、不可抵赖性(09上21) (09下24) (09下 25) (11 下 24) (12 下 25) (16 上 24)

(1) 保密性是指“信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。(15下22) 应用系统常用的保密技术如下:①最小授权原则②防暴露③信息加密④物理保密

(2) 完整性是信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中保 持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。(18上21)

保障应用系统完整性主要方法如下:①协议②纠错编码方法③密码校验和方法④数字签名⑤ 公证(17上68)

(3)可用性是应用系统信息可被授权实体访问并按需求使用的特性。即信息服务在需要时, 允许授权用户或实体使用的特性,或者是网络部分曼损或需要降级使用时,仍能为授权用户提供 有效服务的特性。

(4)不可抵赖性也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一 性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

2、信息安全技术体系:(1)物理安全(2)运行安全-安全审计(3)数据安全(12下26) (14 上 29) (18 下 69)

应也安全是保障相关业务在计算机网络系统是安全运行,应用安全脆弱性是可能给信息化系 统带来最大损失的致命威胁,主要针对应用程序或工其在使用过程中可能出现计算、传输数据的 泄密和失窃提供安全保护措施。(15上26)

■ 数据安全是保护在存储、操作和处理中的数据。

■ 介质安全主要用来保护存储介质,包括移动硬盘、软盘、U盘、磁带等。

■ 物理安全 侧重于保护建筑物和物理场所的安全。

3、物理安全管理

2. 电源

根据对机房安全保护的不同要求,机房供、配电分为如下几种。(10上24)

② 紧急供电:配置抗电压不足的基本设备、改进设备或更强设备,如基本UPS,改进的UPS、 多级UPS和应急电源(发电机组)等。

④ 稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响。

⑥不间断供电:釆用不间断供电电源,防止电压波动、电器干扰和断电等对计算机系统的不 良影响。

3. 计算机设备

计算机设备的安全保护包括设备的防盗和防毁以及确保设备的安全可用。

(1)设备的防盗和防毁。

根据对设备安全的不同要求,设备的防盗和防毁分为如下几种。

① 设备标记要求:计算机系统的设备和部件应有明显的无法去除的标记,以防更换和方便 査找赃物。(10上25)

② 计算中心防盗。

◊计算中心应安装妨盗报警装置,防止从门窗进入的盗窃行为。

◊ 计算中心应利用光、电、无源红外等技术设置机房报警系统,并由专人值守,防止从门 窗进入的斑窃行为。

◊ 利用闭路电视系统对计算中心的各重要部位进行监视,并有专人值守,防止从门窗进入 的盗窃行为。

(3)机房外部设备防盗;机房外部的设备,应釆取加固防护等措施,必要时安排专人看管, 以防止盗窃和破坏。

人员进出机房和操作权限范围控制:(10下34)

应明确机房安全管理的责任人,机房出入应有指定人员负责,未经允许的人员不准进入机房; 获准进入机房的来访人员,其活动范围应受限制,并有接待人员陪同;机房钥匙由专人管理,未 经批准,不准任何人私自复制机房钥匙或服务器开机钥匙;没有指定管理人员的明确准许,任何 记录介质、文件材料及各种被保护品均不准带岀机房,与工作无关的物品均不准带入机房;机房 内严禁吸烟及带入火种和水源。

应要求所有来访人员经过正式批准,登记记录应妥善保存以备查:获准进入机房的人员,一 般应禁止携带个人计算机等电子设备进入机房,其活动范围和操作行为应受到限制,并有机房接 待人员负责和陪同。

①机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合规定的二级耐火等级;机 房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于二级防火等级。

吊顶上和活动地板下设置火灾自动探测器,通常有两种方式。一种方式是均匀布置,但密度要提高,每个探测器的保护面积为10〜15平方米。另一种方式是在易燃物附近或有可能引起火灾的部 位以及回风口等处设置探测器。

2. 防漏水和水灾

由于计算机系统使用电源,因此水对计算机也是致命的威胁,它可以导致计算机设备短路,从而损害设备。所以,对机房必须采取防水措施。机房的防水措施应考虑如下几个方面。

① 与主机房无关的给排水管道不得穿过主机房。

② 主机房内如设有地漏,地漏下应加设水封装置,并有防止水封破坏的措施。

(3)机房内的设备需要用水时,其给排水干管应暗敷,引入支管宜暗装。管道穿过主机房墙 壁和楼板处,应设置套管,管道与套管之间应采取可靠的密封措施。

④ 机房不宜设置在用水设备的下层。

⑤ 机房房顶和吊顶应有防渗水措施。

⑥ 安装排水地漏处的楼地面应低于机房内的其他楼地面。

机房隔壁不能为卫生间或水房,因为漏水等情况会对机房造成损害,同时机房肯定不能用水来灭火了。(15下25)

3. 防静电

主机房内绝缘体的静电电位不应大于Ikv。

对需要防止电磁泄露的计算机设备应配备电磁干扰设备,在被保护的计算机设备工作时电磁 干扰设备不准关机;必要时可以采用屏蔽机房。屏蔽机房应随时关闭屏蔽门;不得在屏蔽墙上打钉钻孔,不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆;应经常测试屏蔽机房 的泄露情况并进行必要的维护。

■ 主机房、基本工作间应设卤代烷灭火系统

■ 主机房宜采用感烟探测器,可在主机柜、磁盘机和宽行打印机附件安装探测器。空调设备应 考虑在回风口附近安装探测器。

4、人员安全管理

对信息系统岗位人员的管理,应根据其关键程度建立相应的管理要求。(14上27) (18上69)

(1) 对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维 护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理;允许一人多岗,但业务 应用操作人员不能由其他关键岗位人员兼任;关键岗位人员应定期接受安全培训,加强安全意识 和风险防范意识。

(2) 兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理 员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作:必要时关键岗位人员应 采取定期轮岗制度。

(3) 权限分散要求:在上述基础上,应坚持关键岗位“权限分散、不得交叉覆盖''的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作。

(4) 多人共管要求:在上述基础上,关键岗位人员处理重要事务或操作时,应保持二人同时 在场,关键事务应多人共管。

(5) 全面控制要求:在上述基础上,应采取对内部人员全面控制的安全保证措施,对所有岗 位工作人员实施全面安全管理。

对人员高岗的管理,可以根据离岗人员的关键程度,釆取下列控制措施。

(1) 基本要求:立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限; 收回所有相关证件、徽章、密钥和访问控制标记等;收回机构提供的设备等。

(2) 调离后的保密要求:在上述基础上,管理层和信息系统关键岗位人员调离岗位,必须经 单位人事部门严格办理调离手续,承诺其调离后的保密要求。

(3) 离岗的审计要求:在上述基础上,设计组织机构管理层和信息系统关键岗位的人员调离 单位,必须进行离岗安全审查,在规定的脱密期限后,方可调离。

(4) 关键部位人员的离岗要求:在上述基础上,关键部位的信息系统安全管理人员离岗,应 按照机要人员管理办法办理。

5、 系统运行的安全管理中关于用户管理制度的内容包括建立用户身份识别与验证机制,防止 非法用户进入应用系统;对用户及其权限的设定进行严格管理,用户权限的分配遵循“最小特权” 原则;用户密码应严格保密,并及时更新:重要用户密码应密封交安全管理员保管,人员调离时 应及时修改相关密码和口令。(09下27) (11上26) (16上25)

6、 应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。这4个层次的安全,按粒度从粗到细的排序是:系统级安全、资源访问安全、功能性 安全、数据域安全。(09下26) (10上26) (10下33) (17下69)程序资源访问控制安全的粒度 大小界于系统级安全和功能性安全两者之间,是最常见的应用系统安全问题,几乎所有的应用系 统都会涉及这个安全问题。

(1) 系统级安全。

企业应用系统越来越复杂,因此制定得力的系统级安全策略才是从根本上解决问题的基础。 应通过对现行系统安全技术的分析,制定系统级安全策略,策略包括敏感系统的隔离、访问IP地 址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限 制以及远程访问控制等,系统级安全是应用系统的第一道防护大门。

(2) 资源访问安全。

对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界面,仅出 现和其权限相符的菜单和操作按钮:在服务端则对URL程序资源和业务服务类方法的调用进行访 问控制。

(3) 功能性安全。

功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。这些安全限制已经不是入口级的限制,而是程序流程内的限制,在一定程度 上影响程序流程的运行。

(4) 数据域安全。(13上20) (18上70)

数据域安全包括两个层次,其一是行级数据域安全,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤;其二是字段级数据域安全,即用户可以访问业务记录的哪些字段。

7、 企业要加强对应用系统安全运行管理工作的领导,每年至少组织有关部门对系统运行工作 进行一次检査。部门每季度进行一次自査。要加强对所辖范围内应用系统运行工作的监督检查。 检查可采取普查、抽查、专项检查的方式定期或不定期地进行。(11上26)

安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。

8、 根据应用系统所处理数据的秘密性和重要性确定安全等级,并据此采用有关规范和制定相 应管理制度。安全等级可分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可以不 同。保密等级应按有关规定划为绝密、机密和秘密。可靠性等级可分为三级,对可靠性要求最高的为A级,系统运行所要求的最低限度可靠性为C级,介于中间的为B级。(11上25) (12下 29) (15 上 24)

9、《信息安全等级保护管理办法》将信息系统的安全保护等级分为5级。第一级(个人合法 权益造成损害);第二级(个人合法权益严重损害,或社会利益遭到损害);第三级(公共利益造 成严重损害或国家安全造成损害);第四级(公共利益造成特别严重损害国家安全造成严重损害); 第五级(国家安全造成特别严重损害)(17上13) (18下70)

10、计算机系统安全保护能力的五个等级,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。(15下24)

11、典型的加密算法:

对称密钥算优点:加解密速度快;密钥管理简单;适宜一对一的信息加密传输过程。对称密钥 算法缺点:加密算法简单;密钥分发困难。加密和解密用同一个密钥,是对称密钥。(15下26)

非对称密钥算法,公钥加密,私钥解密。优点:加密算法复杂,密钥长度任意;适宜一对多 的信息加密交换。缺点:加解密速度慢;秘钥管理复杂;

本章历年考题和答案解析汇总:

【试题1】-一2009下真题25

1、应用数据完整性机制可以防止(1)。

(1) A.假冒源地址或用户地址的欺骗攻击 B.抵赖做过信息的递交行为

C.数据中途被攻击者窃听获取 D.数据在途中被攻击者篡改或破坏

【答案】D

[解析]P432此题考察的是信息安全,必须掌握,高频考点

数据完整性是指“保证数据的一致性,防止数据被非法用户篡改”。因此D是正确的选项。

【点评】考的不是很多,尽量掌握,简单题,建议得分

【试题2】-一2009下真题26

2、应用系统运行中涉及的安全和保密层次包括4层,这4个层次按粒度从粗到细的排列顺序是一(2)。

(2) A.数据域安全、功能性安全、资源访问安全、系统级安全

B. 数据域安全、资源访问安全、功能性安全、系统级安全

C. 系统级安全、资源访问安全、功能性安全、数据域安全

D. 系统级安全、动能性安全、资源访问安全、数据域安全

【答案】c

[解析]P449 此题考察的是系统安全的问题,必须掌握,高频考点

系统运行安全与保密的层次构成中指出:应用系统运行中涉及的安全和保密层次,按些度 从粗到细的排序是系统级安全、资源访问安全、功能性安全和数据域安全。

【点评】常考,命题的热点,简单题,必须得分

【试题3】-一2009下真题27

3、 为了确保系统运行的安全,针对用户管理,下列做法不妥当的是(3)。

(3) A.建立用户身份识别与验证机制,防止非法用户进入应用系统

B. 用户权限的分配应遵循“最小特权”原则

C. 用户密码应严格保密,并定时更新

D. 为了防止重要密码丢失,把密码记录在纸质介质上

【答案】D

[解析]P451此题考察的是用户管理制度,必须掌握,高频考点

系统运行的安全管理中关于用户管理制度的内容包括建立用户身份识别与验证机制,防止非 法用户进入应用系统:对用户及其权限的设定进行严格管理.用户权限的分配遵循“最小特权” 原则;用户密码应严格保密,并及时更新;重要用户密码应密封交安全管理员保管,人员调离时 应及时修改相关密码和口令。

【点评】常考,命题的热点,简单题,必须得分

【试题4】-一2010上真题24

4、 某机房部署了多级UPS和线路稳压器,这是出于机房供电的(4)需要。

(4) A.分开供电和稳压供电 B.稳压供电和电源保护

C.紧急供电和稳压供电 D.不间断供电和安全供电

【答案】C

[解析]P440 此题考察的是机房供电,必须掌握,高频考点

根据对机房安全保护的不同要求,机房供、配电分为如下几种:

① 分开供电:机房供电系统应将计算机系统供电与其他供电分开,并配备应急照明装置。

② 紧急供电:配置抗电压不足的基本设备、改进设备或更强设备,如基本UPS,改进的UPS、多 级UPS和应急电源(发电机组)等。

③ 备用供电:建立备用的供电系统,以备常用供电系统停电时启用,完成对运行系统必要的保留。

④ 稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响。

⑤ 电源保护:设置电源保护装置,如金属氧化物可变电阻、二极管、气体放电管、滤波器、电 压调整变压器和浪涌滤波器等,防止/减少电源发生故障。

⑥ 不间断供电:采用不间断供电电源,防止电压波动、电器干扰和断电等对计算机系统的不良影响。

⑦ 电器噪声防护:采取有效措施,减少机房中电器噪声干扰,保证计算机系统正常运行。

⑧ 突然事件防护:采取有效措施,防止减少供电中断、异常状态供电(指连续电压过载或低电 压)、电压瞬变、噪声(电磁干扰)以及由于雷击等引起的设备突然失效事件的发生。

根据上述定义,采用UPS和线路稳压器是分别出于机房紧急供电和稳压供电的需要,应选择C。

【点评】常考,命题的热点,简单题,必须得分

【试题5】-一2010上真题25

5、 以下关于计算机机房与设施安全管理的要求,(5)是不正确的。

(5) A.计算机系统的设备和部件应有明显的标记,并应便于去除或重新标记

B. 机房中应定期使用静电消除剂,以减少静电的产生

C. 进入机房的工作人员,应更换不易产生静电的服装

D. 禁止携带个人计算机等电子设备进入机房

【答案】A

[解析]P441此题考察的是机房安全管理,必须掌握,高频考点

对计算机机房的安全保护包括机房场地选择、机房防火、机房空调、降温、机房防水与防潮、 机房防静电、机房接地与防雷、机房电磁防护等。答案选项涉及的相关要求如下:

标记和外观:系统设备和部件应有明显的无法擦去的标记。

服装防静电:人员服装采用不易产生静电的衣料,工作鞋采用低阻值材料制作。

静电消除要求:机房中使用静电消除剂,以进一步减少静电的产生。

机房物品:没有管理人员的明确准许,任何记录介质、文件资料及各种被保护品均不准带出机 房,磁铁、私人电子计算机或电设备等不准带入机房。

分析上述要求和答案选项,答案选项A中“设备和部件应有明显的标记,并应便于去除或重 新标记”的提法与上述“标记和外观'’要求中的“系统设备和部件应有明显的无法擦去的标记” 不符。应选择A。

【点评】常考,命题的热点,简单题,必须得分

【试题6】-一2010上真题26

6、 某企业应用系统为保证运行安全,只允许操作人员在规定的工作时间段内登录该系统进行业务 操作,这种安全策略属于(6)层次。

(6)  A.数据域安全 B.功能性安全C.资源访问安全 D.系统级安全

【答案】D

[解析]P449 此题考察的是安全策略层次,必须掌握,高频考点

应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据 安全。这4个层次的安全,按照粒度从粗到细的排序是系统级安全、资源访问安全、功能性安全、 数据域安全。程序资源访问控制安全的粒度大小界于系统级安全和功能性安全两者之间,是最常 见的应用系统安全问题,几乎所有的应用系统都会涉及这个安全问题。

(1) 系统级安全

企业应用越来越复杂,因此制定得力的系统级安全策略才是从根本上解决问题的基础。通过 对现行安全技术的分析,制定系统级安全策略,策略包括敏感系统的隔离、访问IP地址段的限制、 登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访 问控制等,系统级安全是应用系统的第一级防护大门。

(2) 资源访问安全 (3)功能性安全 (4)数据域安全

数据域安全包括两个层次,其一是行级数据域安全,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤;其二是字段级数据域安全,即用户可以访问业务记录的哪些字段。 不同的应用系统数据域安全的需求存在很大的差别,业务相关性比较高。

根据上述定义,只允许操作人员在规定的工作时间段内登录该系统进行业务操作,属于“系 统级安全”层次。应选择D。

【点评】考过N次了,命题的热点,简单题,必须得分

【试题7】-一2010上真题27

7、 基于用户名和口令的用户入网访问控制可分为(7)三个步骤。

(7) A.用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查

B. 用户名的识别与验证、用户口令的识别与验证、用户权限的识别与控制

C. 用户身份识别与验证、用户口令的识别与验证、用户权限的识别与控制

D. 用户账号的默认限制检查、用户口令的识别与验证、用户权限的识别与控制

【答案】A

[解析]此题考察的是访问控制,尽量掌握,考的不多

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取 网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为 三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。三道关卡中 只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法 访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6 个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用 一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员可以控制和 限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。

因此,基于用户名和口令的用户入网访问控制可分为用户名的识别与验证、用户口令的识别 与验证、用户账号的默认限制检查等三个步骤。应选择A。

【点评】考的不是很多,有点偏,了解下即可,建议得分

【试题8】-一2010下真题32

8、 关于计算机机房安全保护方案的设计,以下说法错误的是(8)。

(8) A.某机房在设计供电系统时将计算机供电系统与机房照明设备供电系统分开

B. 某机房通过各种手段保障计算机系统的供电,使得该机房的设备长期处于7*24小时连 续运转状态

C. 某公司在设计计算机机房防盗系统时,在机房布置了封闭装置,当潜入者触动装置时, 机房可以从内部自动封闭,使盗贼无法逃脱

D. 某机房采用焊接的方式设置安全防护地和屏蔽地

【答案】C

[解析]此题考察的是机房安全保护,必须掌握,高频考点

机房防盗重在防止侵入,一旦有人试图侵入,应及时报警。机房防盗不是捉耗子,机房里的 设备、数据、系统比盗贼更为重要。而一些机房如放置网站服务器的机房、银行的机房等,其中 的设备的确需要7*24小时连续不间断地运行。

【点评】常考,命题的热点,简单题,必须得分

【试题9】-一2010下真题33

9、 应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域 安全。以下关于这四个层次安全的,错误的是(9)。

(9) A.按粒度从粗到细排序为系统级安全、资源访问安全、功能性安全、数据域安全

B. 系统级安全是应用系统的第一道防线

C. 所有的应用系统都会涉及资源访问安全问题

D. 数据域安全可以细分为记录级数据域安全和字段级数据域安全

【答案】C

[解析]P449此题考察的是应用系统的运行层次,必须掌握,高频考点

应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据 域安全。这4个层次的安全,按粒度从粗到细的排序是:系统级安全、资源访问安全、功能性安全、 数据域安全。(可见A是正确的。)程序资源访问控制安全的粒度大小界于系统级安全和功能性安 全两者之间,是最常见的应用系统安全问题,凡乎所有的应用系统都会涉及这个安全问题。

(2)资源访问安全

对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界面,仅出 现和其权限相符的菜单和操作按钮;在服务端则对URL程序资源和业务服务类方法的调用进行访问 控制。可见不是“所有的应用系统都会涉及资源访问安全问题”,C是错误的。

【点评】常考,命题的热点,简单题,必须得分

【试题10】-一2010下真题34

10、 某公司接到通知,上级领导要在下午对该公司机房进行安全检查,为此公司做了如下安排:

① 了解检查组人员数量及姓名,为其准备访客证件

② 安排专人陪同检查人员对机房安全进行检查

③ 为了体现检查的公正,下午为领导安排了一个小时的自由查看时间

④ 根据检查要求,在机房内临时设置一处吸烟区,明确规定检查期间机房内其他区域严禁烟火 上述安排符合《GB/T 20269-2006信息安全技术信息系统安全管理要求》的做法是(10)。

(10) A.③④ B.②③ C.①② D.②④

【答案】C

[解析]此题考察的是安全管理要求,必须掌握,高频考点

在《信息安全技术信息系统安全管理要求)物理安全管理中给出了技术控制方法:

(1)检测监视系统

应建立门禁控制手段,任何进出机房的人员应经过门禁设施的监控和记录,应有防止绕过门 禁设施的手段(可见“(3)为了体现检查的公正,下午为领导安排了一个小时的自由查看时间” 是错误的):门禁系统的电子记录应妥善保存以备查:进入机房的人员应佩戴相应证件(可见“① 了解检查组人员数量及姓名,为其准备访客证件”是正确的):未经批准,禁止任何物理访问:未 经批准,禁止任何人移动计算机相关设备或带离机房。机房所在地应有专设警卫,通道和入口处 应设置视频监控点。24小时值班监视;所有来访人员的登记记录、门禁系统的电子记录以及监视录像记录应妥善保存以备查;禁止携带移动电话、电子记事本等具有移动互联功能的个人物品进入机 房。

(2)人员进出机房和操作权限范围控制

应明确机房安全管理的责任人,机房出入应有指定人员负责,未经允许的人员不准进入机房; 获准进入机房的来访人员,其活动范围应受限制,并有接待人员陪同(可见“②安排专人陪同检 查人员对机房安全进行检查”是正确的);机房钥匙由专人管理,未经批准,不准任何人私自复制 机房钥匙或服务器开机钥匙;没有指定管理人员的明确准许,任何记录介质、文件材料及各种被保 护品均不准带出机房,与工作无关的物品均不准带入机房;机房内严禁吸烟及带入火种和水源(可 见“④根据检查要求,在机房内临时设置一处吸烟区,明确规定检查期间机房内其他区域严禁烟 火”是错误的)。

应要求所有来访人员经过正式批准,登记记录应妥善保存以备查;获准进入机房的人员,一般 应禁止携带个人计算机等电子设备进入机房,其活动范围和操作行为应受到限制,并有机房接待 人员负责和陪同。

【点评】常考,命题的热点,简单题,必须得分

【试题11】-一2011上真题25

11、 信息安全的级别划分有不同的维度,以下级别划分正确的是(11)。

(11) A.系统运行安全和保密有5个层次,包括设备级安全、系统级安全、资源访问安全、功能 性安全和数据安全

B. 机房分为4个级别:A级、B级、C级、D级

C. 根据系统处理数据划分系统保密等级为绝密、机密和秘密

D. 根据系统处理数据的重要性,系统可靠性分A级和B级

【答案】C

[解析]P451 此题考察的是安全方面的知识,必须掌握,高频考点

根据《电子信息系统机房设计规范》(GB 50174-2008 )可知,电子信息系统机房分为三级, 由高到低分别为A级、B级和C级。

应用系统中涉及的安全保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。 安全等级可分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可以不同。保密等级 应按有关规定划为绝密、机密和秘密。可靠性等级可分为三级,对可靠性要求最高的是A级,系 统运行所要求的最低限度可靠性为C级,介于中间的为B级。

综上可知,保密等级应按有关规定划为绝密、机密和秘密,因此选项C的说法是正确的。

【点评】信息安全,常考,简单,必须得分

【试题12】-一2011上真题26

12、 系统运行安全的关键是管理,下列关于日常安全管理的做法,不正确的是(12)。

(12) A.系统开发人员和系统操作人员应职责分离

B. 信息化部门领导安全管理组织,一年进行一次安全检查

C. 用户权限设定应遵循“最小特权”原则

D. 在数据转储、维护时要有专职安全人员进行监督

【答案】B

[解析]P450此题考察的是系统运行安全,必须掌握,高频考点

在系统运行的安全管理组织中,安全组织由单位主要领导人领导,不能隶属于计算机运行或应用 部门。在系统运行操作规程中,对系统开发人员和系统操作人员要进行职责分离。在用户管理制 度中,对用户及其权限的设定应进行严格管理,用户权限的分配必须遵循“最小特权”原则。在 系统运行维护制度中,对系统进行维护时,应采取数据保护措施。如数据转储、涂抹、卸下磁盘 磁带,维护时安全人员必须在场等。选项B是不正确的,应由单位领导牵头负责而不应部门领导。

【点评】信息安全,常考,简单,必须得分

【试题13】-一2011上真题27

13、 在某次针对数据库的信息安全风险评估中,发现其中对财务核心数据的逻辑访问密码长期不 变。基于以上现象,下列说法正确的是(13)。

(13) A.该数据不会对计算机构成威胁,因此没有脆弱性

B. 密码和授权长期不变是安全漏洞,属于该数据的脆弱性

C. 密码和授权长期不变是安全漏洞,属于对该数据的威胁

D. 风险评估针对设施和软件,不针对数据

【答案】B

[解析]此题考察的是安全知识,理解题,必须掌握,高频考点

威胁、脆弱性、影响之间存在着一定的对应关系,威胁可看成从系统外部对系统产生的作用, 而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系统内部的薄弱点。脆弱性是客 观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。假设威胁不存在,系 统本身的脆弱性仍然带来一定的风险。系统本身脆弱性导致的损失,与威胁不一定相关。

密码和授权长期不变是系统内部客观存在的薄弱点,因此属于脆弱性,应选B。

【点评】信息安全,稍微理解分析下不难,尽量得分

【试题14】-一2011下真题24

14、 完整性是信息系统未经授权不能进行改变的特性,它要求保持信息的原样。下列方法中,不 能用来保证应用系统完整性的措施是(14)。

(14)  A.安全协议 B.纠错编码 C.数字签名 D.信息加密

【答案】D

[解析]P432 此题考察的是信息安全,必须掌握,高频考点

完整性是信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中保持不 被偶然或者蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。完整性是一种面 向信息的安全性,它要求保持信息的原样,即信息的正确生成及正确存储和传输。

完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受 到各种原因的破坏。

保障应用系统完整性的主要方法包括:协议、纠错编码、密码教育和方法、数字签名、公证。 由此可知,选项A, B, C均属于保证应用系统完整性的措施,而“信息加密”是保障应用系 统保密性的常用技术。

【点评】常考,命题的热点,简单题,必须得分

【试题15】-一2011下真题25

15、 在信息系统安全技术体系中,环境安全主要指中心机房的安全保护。以下不属于该体系环境 安全内容的是(15)。

(15)  A.设备防盗器 B.接地和防雷击 C.机房控制 D.防电磁泄漏

【答案】A

[解析]P433~438此题考察的是信息安全,必须掌握,高频考点

选项B.C.D属于中心机房的安全保护范畴。选项“A.设备防盗器”属于防备单个设备的被 盗,而不是防止整个机房被盗。

【点评】常考,命题的热点,简单题,必须得分

【试题16】-一2011下真题26

16、 物理安全是整个信息系统安全的前提,以下安全防护措施中不属于物理安全范畴的是(16)。

(16) A.安装烟感、温感报警系统,禁止工作人员在主机房内吸烟或者使用火源

B. 要求工作人员在主机房内工作时必须穿着防静电工装和防静电鞋,并定期喷涂防静电剂

C. 为工作人员建立生物特征信息库,并在主机房入口安装指纹识别系统,禁止未经授权人 员进入主机房

D. 对因被解雇、退休、辞职活其他原因离开信息系统岗位的人员,收回所有相关证件、 徽章、密匙和访问控制标记等

【答案】D

[解析]P438~444 此题考察的是信息安全,必须掌握,高频考点

选项D属于“人员安全管理”,不属于物理安全。

【点评】常考,命题的热点,简单题,必须得分

【试题17】-一2011下真题27

17、 以下各项措施中,不能够有效防止计算机设备发生电磁泄漏的是(17)。

(17) A.配备电磁干扰设备,且在被保护的计算机设备工作时不能关机

B. 设置电磁屏蔽室,将需要重点保护的计算机设备进行隔离

C. 禁止在屏蔽墙上打钉钻孔,除非连接的是带金属加强芯的光缆

D. 信号传输线、公共地线以及电源线上加装滤波器

【答案】C

[解析]P444 此题考察的是信息安全,必须掌握,高频考点

对需要防止电磁泄漏的计算机设备应配备电磁干扰设备,在被保护的计算机设备工作时电磁 干扰设备不能关机;必要时可以采用屏蔽机房。屏蔽机房应随时关闭屏蔽门;不得在屏蔽墙上打钉 钻孔,不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆;应经常测试屏蔽机房的泄 漏情况并进行必要的维护。尽管光缆不会电磁泄漏,但电磁可以通过屏蔽墙上的钻孔泄漏。

【点评】常考,命题的热点,简单题,必须得分

【试题18】-一2012上真题26

18、 系统运行安全和保护的层次按照粒度从粗到细排序为(18)。

(18) A.系统级安全,资源访问安全,数据域安全,功栽性安全

B. 系统级安全,资源访问安全,功能性安全,数据域安全

C. 资源访问安全,系统级安全,数据域安全,功能性安全

D. 资源访问安全,系统级安全,功能性安全,数据域安全

【答案】B

[解析]P449 此题考察的是安全保护层次,必须掌握,高频考点

系统安全与保密层次按粒度由粗到细:系统级安全、资源访问级安全、功能性安全、数据域级安全。

【点评】信息安全 的知识,多次考了,简单,必须得分

【试题19】-一2012上真题27

19、以下不属于主动式攻击策略的是(19)。

(19) A.中断 B.篡改 C.伪造 D.窃听

【答案】D

[解析]此题考察的是威胁,理解题,必须掌握,高频考点

计算机网络上的通信面临以下的四种威胁:

(1) 截获一从网络上窃听他人的通信内容(2)中断一有意中断他人在网络上的通信。

(3) 篡改一故意篡改网络上传送的报文(4)伪造一伪造信息在网络上传送。

通常,网络安全攻击可分为被动攻击和主动攻击两类。被动攻击的特性是对传输过程中的信 息进行窃听和监测,例如流量分析和信息内容泄露等。主动攻击包括对数据流进行中断、篡改或 伪造,主要包括数据伪装、消息重放、消息篡改和分布式拒绝服务等。

【点评】信息安全知识,多次考了,有一定的难度,建议得分

【试题20】-一2012下真题25

20、在信息系统安全管理中,业务流控制,路由选择控制和审计跟踪等技术主要用于提高信息系 统的(20)。

(20) A.保密性 B.可用性 C.完整性 D.不可抵赖性

【答案】B

[解析]P432此题考察的是信息安全,必须掌握,高频考点

在信息系统安全管理中,可用性是应用系统信息可被授权实体访问并按需求使用的特性。用 于提高信息系统的可用性的主要技术有身份识别与确认、访问控制、业务流控制、路由选择控制 和审计跟踪等。

信息加密、物理保密、防暴露、最小授权原则等是应用系统常用的保密技术。

安全协议、数字签名、纠错编码方法、密码校验和方法、公证等是保障应用系统完整性的主 要 方法。

【点评】信息安全知识,书上原话,多次考了,简单,必须得分

【试题21】-一2012下真题26

21、根据《信息安全技术信息系统安全通用性技术要求GB/T 27201-2006》,信息系统安全的技术 体系包括(21)。

(21) A.物理安全、运行安全、数据安全 B.物理安全、网络安全、运行安全

C.人类安全、资源安全、过程安全 D.方法安全、过程安全、工具安全

【答案】A

[解析]P436此题考察的是安全技术体系,必须掌握,高频考点

信息系统安全技术体系有:(1)物理安全(2)运行安全(3)数据安全

【点评】信息安全知识,书上原话,多次考了,简单,必须得分

【试题22】-一2012下真题29

22、 按照系统安全等级中的可靠性等级由高到低分别为(22)。

(22) A.绝密、机密、秘密 B.军用、商用、民用

C. A级、B级、C级 D.使用级、修改级、控制级

【答案】C

[解析]P451此题考察的是安全等级,必须掌握,高频考点

信息系统安全等级可分为保密等级和可靠性等级两种。保密等级应按有关规定划分为绝密、 机密和秘密;可靠性等级可分为A.B. C三级,对可靠性要求最高的为A级,最低为C级。

【点评】信息安全的知识,书上原话,多次考了,简单,必须得分

【试题23】-一2013上真题20

23、 应用系统运行的安全管理中心,数据域安全是其中非常重要的内容数据域安全包括。 

(23) A.行级数据域安全,字段级数据域安全 B.系统性数据域安全,功能性数据域安全

C.数据资源安全,应用性数据安全 D.组织级数据域安全,访问性数据域安全

【答案】A

[解析]P449此题考察的是信息安全知识,必须掌握,高频考点

数据域安全包括两个层次,其一是行级数据域安全,即用户可以访问哪些业务记录,一般以 用户所在单位为条件进行过滤;其二是字段级数据域安全,即用户可以访问业务记录的哪些字段。

【点评】信息安全知识,书上原话,常考的,比较简单,必须得分

【试题24】-一2013下真题24

24、 某公司系统安全管理员在建公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技 术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对 计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符合(24) 的要求。

(24) A.资产识别和评估B.威胁识别和分析 C.脆弱性识别和分析 D.等保识别和分析 【答案】B

[解析]此题考察的是网络存储的基本知识,必须掌握,高频考点

信息系统安全风险分析和评估的管理要求主要包括:资产识别和分析、威胁识别和分析、脆 弱性识别和分析、风险分析和评估要求。根据题干描述的对当前公司的安全风险进行了分析和评 估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒 措施,应选择B。

【点评】信息安全知识,通过分析不难得出,建议得分

【试题25】-一2013下真题25

25、信息安全策略应该全面地保护信息系统整体的安全,网络安全体系设计是逻辑设计工作的重 要内容之一,可从物理线路安全、网络安全、系统安全、应用方面来进行安全体系的设计与规则。其中,数据库的容灾属于(25)的内容。

(25) A.物理线路安全与网络安全    B.网络安全与系统安全

C.物理线路安全与系统安全    D.系统安全与应用安全

【答案】D

【解析]此题考察的是信息安全基本知识,必须掌握,高频考点

网络安全体系设计是逻辑设计工作的重要内容之一,数据库容灾属于系统安全和应用安全考 虑范畴。这个是09年高项考过的内容。数据库容这,即在异地部署一个一模一样的数据库,一个 数据库所处的地理位置发生自燃灾害了导致当前数据库发生灾难,另一个数据库会立马顶替工作。

【点评】书上没有,考积累,以前的高级题,建议得分

【试题26】-一2013下真题26

26、以下不属于物理访问控制要点的是(26)。

(26) A.硬件设施在合理范围内是否能防止强制入侵

B. 计算机设备的钥匙是否具有良好的控制

C. 计算机设备电源供应是否能适当控制在合理的规格范围内

D. 计算机设备在搬动时是否需要设备授权通行的证明

【答案】C

[解析]此题考察的是信息安全基本知识,必须掌握,高频考点

这个是10年监理师考试的题目。物理访问控制是设计用以保护组织防止未授权的访问,并限制只 有经过管理阶层授权的人员才能进入。物理访问控制要点主要包括:

(1) 硬件设施在合理范围内是否能防止强制入侵。

(2) 计算机设备的钥匙是否有良好的控制以降低未授权者进入的危险。

(3) 智能终端是否上锁或有安全保护,以防止电路板、芯片或计算机被搬移。

(4) 计算机设备在搬动时是否需要设备授权通行的证明。

对于应用系统中的数据库应考虑定期定时备份的方式进行容灾保护,这属于应用安全和系统安全 方面的设计内容。

【点评】书上没有,考积累,分析不难得出选项,建议得分

【试题27】-一2013下真题27

27、MD5常用于数据(27)保护。

(27) A.校验 B.完整 C.机密 D.可靠

【答案】B

[解析]此题考察的是信息安全基本知识,必须掌握,高频考点

消息认证又称为完整性校验,能使接收者识别信息源的真伪、信息内容的真伪和消息的时间 戳是否正确。MD5和SHA-1是常用的消息认证算法(或函数)。

【点评】书上没有,考积累,比校偏,可以丢分,但是这个知识点必须掌握

【试题28】-一2014上真题26

28、 在设计计算机机房时,()做法是不恰当的。

(28) A.机房设置在20层大楼的18层,该楼层人员流动最少

B. 机房设置在大楼偏角上,远离停车场及运输通道等公共区域

C. 考察机房所在附近区域,避开油库和其它易燃物

D. 为机房设置较完备的中央空调系统,保证机房各区域温度变化满足计算机系统要求

【答案】A

[解析]此题考察的是机房工程标准,必须掌握,高频考点

第二章机房位置及设备布置

第一节电子计算机机房位置选择

第2.1.1条电子计算机机房在多层建筑或高层建筑物内宜设于第二、三层。

第2.1.2条电子计算机机房位置选择应符合下列要求:

一、 水源充足、电子比较稳定可靠,交通通讯方便,自然环境清洁;

二、 远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的工厂、仓库、 堆场等;

三、 远离强振源和强噪声源;

四、 避开强电磁场干扰。

机房不宜设置在楼上,设备不方便运输,解决漏水、承重、制冷的成本更高。

【点评】之前讲过很多次,属于常规考点,不难,必须得分

【试题29】-一2014上真题27

29、 具有保密资质的公司中一名涉密的负责信息系统安全的安全管理员提出了离职申请,公司采 取的以下安全控制措施中,(29)可能存在安全隐患.

(29) A.立即终止其对安全系统的所有访问权限

B. 收回所有相关的证件、徽章、密钥、访问控制标志、提供的专用设备等

C. 离职员工办理完人事交接,继续工作一个月后离岗

D. 和离职人员签订调离后的保密要求及协议

【答案】C

[解析]此题考察的是信息安全知识,必须掌握,高频考点

继续工作一个月以后离岗,存在较大的安全隐患。

【点评】简单,信息安全的知识,没有学过的根据常识也可以做对

【试题30】-一2014上真题30

30、 依据GB/T20271-2006《信息系统安全技术信息系统通用安全技术要求》中的规定,(30)不 属于信息系统安全技术体系包含的内容。

(30)  A.物理安全 B.运行安全 C.人员安全 D.数据安全

【答案】C

[解析]此题考察的是信息安全知识,必须掌握,高频考点

信息系统安全技术体系包括:物理安全、运行安全、数据安全。人员安全不属于技术体系内容。

【点评】之前考过,原题,不难

【试题31】-一2015上真题23

31、 不同安仝等级的安仝管理机构应该建立自己的信息系统安仝组织机构管理体系。在该体系中, 最低级别的安仝管理要求是()。

A. 建立信息安仝保密管理部门 B.成立安仝领导小组

C.建立安仝职务部门 D.配备安仝管理人员

【答案】D

【试题32】-一2015上真题24

32、 信息安全的级别划分为不同的维度,在下列划分中,正确的是()。

A. 系统运行安全和保密有5个层次,包括设备级安全、系统级安全、资源访问安全、功能性 安全和数据安全

B. 机房分为4个级别:A级、B级、C级、D级

C. 根据系统处理数据的重要性,系统可靠性分A级和B级

D. 根据系统处理数据划分系统保密等级为绝密、机密和秘密

【答案】D

[解析]此题考察的是信息安全知识,必须掌握,常考

应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。(P449)

①系统安全等级管理。(P451)

■ 应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据 域安全。这4个层次的安全,按粒度从粗到细的排序是:系统级安全、资源访问安全、功能 性安全、数据域安全。几乎所有的应用系统都会涉及这个安全问题。

■ 电子信息系统机房应划分为A、B、C三级。设计时应根据机房的使用性质、管理要求及其在 经济和社会中的重要性确定所属级别。

■ 根据系统处理数据划分系统保密等级为绝密、机密和秘密

■ 可靠性等级可分为三级,对可靠性要求屈高的为A级,系统运行所要求的最低限度可靠性为C 级,介于中间的为B级。

■ 【点评】多次考了,简单,必须得分

【试题33】-一2015上真题25

33、 下列属于对称密切加密算法的是()。

A.RSA加密体制 B.DES加密体制 C.BCC加密体制 D.ELGamal加密体制

【答案】B

[解析]此题考察的是加密知识,必须掌握,常考

■ 对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原 始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收 信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方 都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。

■ 具体算法:DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法,IDEA算法。

【点评】尼玛,高级教程和真题考过的知识点,尽量得分

【试题34】-一2015上真题26

34、 针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃,通过其他安全工 具或策略来消除隐患属于安全保护措施中的()。

A. 应用安全 B.物理安全 C.介质安全 D.数据安全

【答案】A

[解析]此题考察的是信息安全,必须掌握,常考

应用安全是保障相关业务在计算机网络系统是安全运行,应用安全脆弱性是可能给信息化系统带 来最大损失的致命威胁,主要针对应用程序或工其在使用过程中可能出现计算、传输数据的泄密 和失窃提供安全保护措施。

■ 数据安全是保护在存储、操作和处理中的数据。

■ 介质安全主要用来保护存储介质,包括移动硬盘、软盘、U盘、磁带等。

■ 物理安全 侧重于保护建筑物和物理场所的安全。

■ 【点评】多次考了,简单,必须得分

【试题35】-一2015下真题22

35、 某公司财务管理数据只能提供给授权用户,通过采取安全管理措施确保不能被未授权的个人、 实体或过程利用或知悉,以确保数据的();

(35) A.保密性 B.完整性 C可用性 D.稳定性

【答案】A

[解析]此题考察的是信息安全的属性,必须掌握,高频考点

网络安全中的保密性是指信息按給定要求不泄漏给非授权的个人、实体或过程。

【点评】送分题,多次考了,简单

【试题36】-一2015下真题23

36、 访问控制是信息安全管理的重要内容之一,以下关于访问控制规则的叙述中,()是不正确的

(36) A.应确保授权用户对信息系统的正常访问

B. 防止对操作系统的未授权访问

C防止对外部网络未经授权进行访问,对内部网络的访问则没有限制

D. 访问对应用系统中的信息未经授权进行访问

【答案】C

[解析]此题考察的是访问控制,必须掌握,高频考点

访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用的安 全措施

【点评】送分题,多次考了,简单

【试题37】-一2015下真题24

37、 依据(2007) 43号《信息安全等级保护管理办法》,我国对信息系统的安全保护等级分为()級

(37) A.三 B.五 C.四 D.二

【答案】B

[解析]此题考察的是安全保护能力的等级,必须掌握,高频考点

计算机系统安全保护能力的5个等级:用户自主保护级、系统审计保护级、安全标记保护级、结 构化保护级、访问验证保护级。

【点评】送分题,多次考了,简单

【试题38】-一2015下真题25

38、 为了保护计算机机房及其设备的安全,()做法是不合适的。

(25) A.机房地板的阻止应控制在不易产生静电的范围

B. 机房隔壁为卫生间或水房,一旦发生火灾便于取水灭火

C机房的供电系统应将计算机系统供电与其他供电分开

D. 机房设备应具有明显的且无法去除的标记,以防更换和便于追查

【答案】B

[解析]此题考察的是机房工程,必须掌握,高频考点

机房隔壁不能为卫生间或水房,因为漏水等情况会对机房造成损害,同时机房肯定不能用水来灭 火了。

【点评】送分题,多次考了,简单

【试题39】-一2015下真题26

39、 为保障数据的存储和运输安全,防止信息泄露,需要对一些数据进行加密。由于对称密码算 法(),所以特别适合对大量的数据进行加密。

(39) A.比非对称密码算法更安全 B.比非对称密码算法密钥更长

C比非对称密码算法效率更高 D.还能同时用于身份认证

【答案】C

[解析]此题考察的是加密算法,必须掌握,高频考点

对称与非对称密码算法都可以用于加密,但是由于对称密码算法加解密效率比非对称算法高很多, 因此常用于对大量数据的加密。

【点评】送分题,多次考了,简单

【试题40】-一2016上真题24

40、 计算机网络安全是指利用管理和技术措施,保证在一个网络环境里,信息的(40)受到保护。

A.完整性、可靠性及可用性 B.机密性、完整性及可用性

C. 可用性、完整性及兼容性 D.可用性、完整性及冗余性

【答案】B

[解析]此题考察的是信息安全属性,必须掌握,高频考点

很简单,应该是机密性、完整性及可用性

【点评】送分题,常考,必须得分

【试题41】-一2016上真题25

41、 系统运行的安全检查是安全管理中的一项重要工作,旨在预防事故、发现隐患、指导整改。 在进行系统运行安全检查时,不恰当的做法是(41)。

A. 定期对系统进行恶意代码检查,包括病毒、木马、隐蔽通道等

B. 检查应用系统的配置是否合理和适当

C. 检查应用系统的用户权限分配是否遵循易用性原则

D. 检查应用系统的可用性,包括系统的中断时间、正常服务时间、恢复时间等

【答案】C

[解析]此题考察的是安全检查,必须掌握,高频考点

用户权限分配是否遵循满足其工作要求的最小性原则

【点评】送分题,常考,必须得分

【试题42】-一2017上真题13

42、 根据《关于信息安全等级保护工作的实施意见》,如信息系统受到破坏后,会对社会秩序和公共 利益造成较大损害,或者对国家安全造成损害,该信息系统应实施()的信息安全保护。

A.第一级 B.第二级 C.第三级 D.第四级

【答案】C

[解析]P541此题考察的是信息安全等级保护,必须掌握,高频考点

《信息安全等级保护管理办法》将信息系统的安全保护等级分为5级。第一级(个人合法权益造 成损害);第二级(个人合法权益严重损害,或社会利益遭到损害);第三级(公共利益造成严重 损害或国家安全造成损害);第四级(公共利益造成特别严重损害国家安全造成严重损害);第五 级(国家安全造成特别严重损害)

【点评】常考,比较简单,必须得分

【试题43】-一2017上真题68

43、 数字签名技术属于信息系统安全管理中保证信息()的技术。

A保密性 B.可用性 C.完整性 D.可靠性

【答案】C

[解析]P512此题考察的是数字签名,必须掌握,高频考点

信息安全属性及目标:保密性、完整性、可用性、不可抵赖性

是指“信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。

应用系统常用的保密技术如下:①最小授权原则②防暴露(3)信息加密④物理保密

(2)完整性是信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中保 持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。

保障应用系统完整性主要方法:①协议②纠错编码方法(3)密码校验和方法④数字签名⑤公证 业丄通匯是应用系统信息可被授权实体访问并按需求使用的特性。即信息服务在需要时, 允许授权用户或实体使用的特性,或者是网络部分曼损或需要降级使用时,仍能为授权用户提供有效服务的特性。

(4) 不可抵赖性也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一 性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

【点评】常考,比较简单,必须得分

【试题44】-一2017下真题22

44、 《中华人民共和国网络安全法》与2017年6月1日起开始施行,()负责统筹协调网络安全工 作和相关监督管理工作。

A.国务院电信主管部门 B.工业和信息化部主管部门 C.公安部门 D.国家网信部门

【答案】D

[解析]此题考察的是网络安全法,必须掌握,高频考点

《网络安全法》第八条提出国家网信部门负责统筹协调网络安全工作和相关监督管理工作。电信 主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内 负责网络安全保护和监督管理工作。

【点评】教材没有的内容,只能根据经验去猜了

【试题45】-一2017下真题69

45、 应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据 域安全。针对应用系统安全管理,首先要考虑()。

A系统级安全 B.资源访问安全 C功能性安全 D.数据域安全

【答案】A

[解析]第二版教程P537此题考察的是信息安全,必须掌握,高频考点

应用系统运行中涉及的安全和保密层次按粒度从大到小的排序是:系统级安全、资源访问安全、 功能性安全、数据域安全。系统级安全是应用系统的第一道防护大门。

【点评】常考,比较简单,必须得分

【试题46】-一2018上真题21

46、 只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改,这体现了信息安全的 ()。

A机密性 B.可用性 C完整性 D.可控性

【答案】C

[解析]P520此题考察的是信息安全的属性,必须掌握,高频考点

一 保密性:信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。

一 完整性:保护资产的正确和完整的特性,就是确保接收到的数据就是发送的数据。数据不应该 被改变,这需要某种方法去进行验证。例如可以用MD5实现。

一 可用性:需要时,授权实体可以访问和使用的特性.磁盘和系统的容错及备份、可接受的登录 及进程性能、可靠的功能性的安全进程和机制可以来实现。路由选择控制和审计跟踪等技术 主要用于提高信息系统的可用性。

一 不可抵赖性:是指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其

重要的。可以通过数字签名实现。

【点评】以前考过,常考,比较简单,必须得分

【试题47】-一2018上真题69

47、 关于信息系统岗位人员的安全管理的描述,不正确的是()。

A. 对安全管理员、系统管理员、重要业务操作人员等关键岗位进行统一管理

B. 紧急情况下,关键岗位人员可独自处理重要事务或操作

C. 人员离岗后,应立即中止其所有访问权限

D. 业务开发人员和系统维护人员不能兼任安全管理员

【答案】B

[解析]P534此题考察的是信息安全岗位人员要求,必须掌握,高频考点 关键岗位人员处理重要事务或操作时,应保持2人同时在场,关键事务应多人共管。

【点评】以前考过,常考,比较简单,必须得分

【试题48】-一2018上真题70

48、 应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、数据域安全等。 以下描述不正确的是()。

A按粒度从大到小排序为系统级安全、资源访问安全、数据域安全

B.系统级安全是应用系统的第一道防线

C功能性安全会对程序流程产生影响

D. 数据域安全可以细分为文行级数据域安全和字段级数据域安全

【答案】D

[解析]P538此题考察的是信息安全和保密层次,必须掌握,高频考点

数据域安全可以细分为行级数据域安全和字段级数据域安全

【点评】以前考过,常考,比较简单,必须得分

【试题49】-一2018下真题69

49、 在信息系统安全技术体系中,安全审计属于()

A.物理安全 B,网络安全 C,数据安全 D,运行安全

【答案】D

【解析】P525,此题考察的是安全审计,必须掌握,高频考点 运行安全包括安全审计。

【点评】多次考了,太简单了,送分题

【试题50】-一2018下真题70

•根据《信息安全等级保护管理办法》规定,信息系统受到破坏后,会对社会秩序和公共利益造成 严重损害,或者对国家安全造成损害,则该信息系统的安全保护等级为(50)

A. 一级 B.二级 C.三级 D.四级

【答案】C

【解析】P541-542。此题考察的是安全保护等级,必须掌握,高频考点

• 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害 国家安全、社会秩序和公共利益。

• 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者 对社会秩序和公共利益造成损害,但不损害国家安全。

• 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造 成损害。

• 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安 全造成严重损害。

• 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

【点评】多次考了,太简单了,送分题


文章评论