违法和不良信息举报 联系客服
免费注册 登录

回答下列信息安全方面的问题1至问题2。 请简要描述信息安全管理的控制过程;

题目

回答下列信息安全方面的问题1至问题2。

请简要描述信息安全管理的控制过程;

如果没有搜索结果或未解决您的问题,请直接 联系老师 获取答案。
相似问题和答案

第1题:

阅读下列说明,回答问题1至问题3,将解答写在答题纸的对应栏内。【说明】安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信息类型的安全分类有以下表达形式:{(机密性,影响等级),(完整性,影响等级),(可用性,影响等级)}在上述表达式中,"影响等级"的值可以取为低(L)、中(M)、高(H)三级以及不适用(NA)。【问题1】。(6分)请简要说明机密性、完整性和可用性的含义。【问题2】(6分)对于影响等级"不适用"通常只针对哪个安全要素?【问题3】(3分)如果一个普通人在它的个人Web服务器上管理其公开信息。请问这种公开信息的安全分类是什么?


答案:
解析:
【问题1】解析:1、保密性保密性是确保信息仅被合法用户访问,而不被地露给非授权的用户、实体或过程,或供其利用的特性。即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。这里的"访问"是指不仅可以读,还能浏览、打印或简单了解一些特殊资源是否存在。常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、数据加密(在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)、物理保密(利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被地露)等。2、完整性完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信患的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有:设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码〉、人为攻击、计算机病毒等。3、可用性可用性是指所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用的特性。信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是信息系统面向用户的安全性能。信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制(对用户的权限进行控制,只能访问相应权限的资源,防止或限制经隐蔽通道的非法访问)。【问题2】解析:"不适用"通常只针对机密性【问题3】解析:{(机密性,NA),(完整性,M),(可用性,M)}

第2题:

阅读以下说明,回答问题1至问题4,将解答填入答题纸的对应栏内。【说明】某IT部门的小张在撰写本企业的信息化管理报告时,提到企业信息安全的管理所存在的问题时有如下表述(下面方框内)。



请分析小张提出的企业信息安全问题,并结合信息安全管理的相关知识回答下列问题。
【问题1】(6分)请简要说明安全审计对数据安全保障的作用。【问题2】(4分)(1)HTTPS协议在传输过程中如何确保数据的安全。 (2)访问HTTPS网站与访问HTTP网站的区别是什么。【问题3】(3分)简要叙述对信息化人员的安全管理包括哪些方面。【问题4】(2分)为了保障业务的连续性,拟配置两条百兆网络出口线路,请简要说明应该如何配置策略路由。


答案:
解析:
【问题1】安全审计的作用如下:?(1)检测对系统的入侵,对潜在的攻击者起到震慑或警告作用。?(2)发现计算机的滥用情况,对于已经发生的系统破坏行为提供有效的追纠证据。?(3)为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。?(4)为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。【问题2】HTTPS通过:?内容加密?建立一个信息安全通道,来保证数据传输的安全;?身份认证?确认网站的真实性?数据完整性?防止内容被第三方冒充或者篡改?来确保数据的安全?HTTPS和HTTP的区别?https协议需要到CA申请证书。?http是超文本传输协议,信息是明文传输;https?则是具有安全性的ssl加密传输协议。?http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。?http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。【问题3】多人负责的原则:每项与安全有关的活动都必须有两人或多人在场。这些应是由系统主管领导指派的,应忠诚可靠,能胜任此项工作?任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久的?职责分离原则:除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。【问题4】
使用双主干策略路由,配置策略路由步骤为:?定义路由策略?定义每个路由策略的匹配规则或条件?定义每个规则或条件匹配后的行为?将策略应用到指定的端口上

第3题:

请简要回答信息安全的三要素(CIA)。(10分)


答案:
解析:
信息安全的三要素包括:
(1)保密性(Confidentiality):是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。
(2)完整性(Integrity):指在传输、存储信息或数据的过程中,确保信息或数据不被未授权的用户篡改或在篡改后能够被迅速发现。
(3)可用性(Availability):保证合法用户对信息和资源的使用不会被不正当地拒绝。

第4题:

阅读以下说明,回答问题1至问题3,将解答填入答题纸的对应栏内。 【说明】 随着互联网的发展,黑客攻击、计算机病毒的破坏以及企业对信息管理、使用不当造成信息泄露问题普遍受到关注。尤其是信息泄露问题,使得相关企业承担很大的舆论压力和侵权责任,面临严重的信任危机及经济损失。 为了规范信息在采集、使用、保存、分发的安全管理,企业在信息系统的规划、建设、运行维护、管理等方面都应采取一定的措施。请结合信息泄露产生的原因和特点,以及信息在保存、使用中应遵循的原则回答下面的问题。

【问题1】 (6分) 简要回答企业避免信息泄露可以采取的安全措施有哪些? 【问题2】(6分) (1)为什么说重视软件的完整性可以有效遏制黑客和病毒的泛滥。 (2)采用何种技术方法来保证软件的完整性,请对该方法的工作原理简要说明。 【问题3】(3分) (1)我国哪一部新修订的法律明确禁止经营者泄露消费者信息的行为? (2)经营者在收集使用消费者的个人信息时应当注意哪些问题?


正确答案:【问题1】
措施一:严控计算机外设端口,监控、审计所有计算机的操作行为,封锁信息外泄途径。
措施二:所有重要信息集中存储,终端不留密,信息使用权限细分
措施三:通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用,划分介质使用范围与责任人。
措施四:监控本地上网行为,监控员工的上网行为,避免信息从本地被转移。
措施五:建立基于硬件级别的防护体系,避免众多安全防护产品基于操作系统的脆弱性。
措施六:制定合适的制度,对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度,从头脑中杜绝信息泄漏
主动控制风险而不是被动地响应事件,以提高整个信息安全系统的有效性和可管理性
以上仅供参考,不同的人对信息系统安全理解肯会不相同,只要从信息系统如下四个方面作答,即可:
(1)风险识别、评估、控制
(2)法规、机构、人员安全管理
(3)技术管理
(4)网络及场地管理

【问题2】
黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接,当用户安装该软件时,同时也就安装了木马和病毒或者访问存在安全威胁的网站。
可以采用PKI 中数字签名的方式
1:密钥成对出现,分为:公钥和私钥,公钥对外公开,私有只有持有者拥有
2:私钥加密必须用公钥解密
3:软件发布者用自己的私钥加密,然后将软件发布,用户可以用过其公开的公钥来验证软件的完整性,由于私钥只有持有者拥有,其签名是无法伪造的。
【问题3】
新修订的《消费者权益保护法》

收集、使用信息必须合法、必要
公开相关收集使用规定,收集、使用信息及发送商业信息必须取得消费者同意
不得泄露、出售或非法向他人提供消费者个人信息
保障个人信息安全、受损时及时采取补救措施

第5题:

阅读以下说明,回答问题 1至问题4 ,将解答填入答题纸的对应栏内。 【说明】 某IT部门的小张在撰写本企业的信息化管理报告时,提到企业信息安全的管理所存在的问题时有如下表述(下面方框内)。 企业销售系统数据库没有配置安全审计策略,数据安全没有保障。 网上销售系统采用的 HTTP 协议,需要升级成 HTTPS 协议,确保在传输过 程中的数据安全。 企业各部门人员进出数据机房存在记录日志不规范的现象,有些记录缺少 人员出入的时间、运维内容、维护结果的登记。 企业仅有一条百兆网络出口线路,当网络线路出现故障时不能保障业务的 连续性。 请分析小张提出的企业信息安全问题,并结合信息安全管理的相关知识回答下列问题。

【问题 1】 (6 分) 请简要说明安全审计对数据安全保障的作用。 【问题 2】 (4 分) (1)HTTPS 协议在传输过程中如何确保数据的安全。 (2)访问 HTTPS 网站与访问 HTTP 网站的区别是什么。 【问题3】(3分) 简要叙述对信息化人员的安全管理包括哪些方面。 【问题 4】(2 分) 为了保障业务的连续性,拟配置两条百兆网络出口线路,请简要说明应该如何配置策略路由。


正确答案:【问题1】(6分)
安全审计的作用如下:
(1)检测对系统的入侵,对潜在的攻击者起到震慑或警告作用。
(2)发现计算机的滥用情况,对于已经发生的系统破坏行为提供有效的追纠证据。
(3)为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。
(4)为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。
【问题2】(4分)
HTTPS通过:
内容加密 建立一个信息安全通道,来保证数据传输的安全;
身份认证 确认网站的真实性
数据完整性 防止内容被第三方冒充或者篡改
来确保数据的安全
HTTPS和HTTP的区别
https协议需要到CA申请证书。
http是超文本传输协议,信息是明文传输;https 则是具有安全性的ssl加密传输协议。
http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
【问题3】(3分)
多人负责的原则:每项与安全有关的活动都必须有两人或多人在场。这些应是由系统主管领导指派的,应忠诚可靠,能胜任此项工作
任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久的
职责分离原则:除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
【问题4】(2分)
使用双主干策略路由,配置策略路由步骤为:
定义路由策略
定义每个路由策略的匹配规则或条件
定义每个规则或条件匹配后的行为
将策略应用到指定的端口上

第6题:

阅读下列说明,回答问题1至问题3,将解答写在答题纸的对应栏内。 【说明】 安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信息类型的安全分类有以下表达形式: { (机密性,影响等级), (完整性,影响等级), (可用性,影响等级) } 在上述表达式中,"影响等级"的值可以取为低 (L)、中(M)、高(H) 三级以及不适用 (NA)。

【问题1】。 (6分) 请简要说明机密性、完整性和可用性的含义。 【问题2】(2 分) 对于影响等级"不适用"通常只针对哪个安全要素? 【问题 3 】(3分) 如果一个普通人在它的个人 Web 服务器上管理其公开信息。请问这种公开信息的安全分类是什么?


正确答案:问题一:
(1)机密性:维护对信息访问和公开经授权的限制,包括保护个人隐私和私有的信患。
(2)完整性:防止信息不适当的修改和毁坏,包括保证信患的不可抵赖性和真实性。
(3)可用性:保证信息及时且可靠的访问和使用。
问题二:
“不适用”通常针对机密性。
问题三:
{(机密性,NA),(完整性,M),(可用性,M)}

第7题:

阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。

【说明】

研究密码编码的科学称为密码编码学,研究密码破译的科学称为密码分析学,密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术,在信息安全领域有着广泛的应用。

【问题1】

密码学的安全目标至少包括哪三个方面?具体内涵是什么?

【问题2】

对下列违规安全事件,指出各个事件分别违反了安全目标中的哪些项?

(1)小明抄袭了小丽的家庭作业。

(2)小明私自修改了自己的成绩。

(3)小李窃取了小刘的学位证号码、登录口令信息、并通过学位信息系统更改了小刘的学位信息记录和登陆口令,将系统中小刘的学位信息用一份伪造的信息替代,造成小刘无法访问学位信息系统。

【问题3】

现代密码体制的安全性通常取决于密钥的安全,文了保证密钥的安全,密钥管理包括哪些技术问题?

【问题4】

在图1-1给出的加密过程中,Mi,i=1,2,…,n表示明文分组,Ci,i=1,2,…,n表示密文分组,Z表示初始序列,K表示密钥,E表示分组加密过程。该分组加密过程属于哪种工作模式?这种分组密码的工作模式有什么缺点?


正确答案:
【问题一】(1)保密性:保密性是确保信息仅被合法用户访问,而不被地露给非授权的用户、实体或过程,或供其利用的特性。即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。(2)完整性:完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。(3)可用性:可用性是指所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用的特性。信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。【问题二】(1)保密性(2)完整性(3)可用性【问题三】答:密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。【问题四】明密文链接模式。缺点:当Mi或Ci中发生一位错误时,自此以后的密文全都发生错误,即具有错误传播无界的特性,不利于磁盘文件加密。并且要求数据的长度是密码分组长度的整数倍,否则最后一个数据块将是短块,这时需要特殊处理。

第8题:

() 阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1至问题3。 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,但此时系统的安全性成为一个非常重要的设计需求。【问题1】(8分) 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。【问题2】(7分) 认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。


正确答案:()
【问题1】
  信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等多个方面。
  物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄漏。
  通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
  网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。
  操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如“木马”和“陷阱门”等。
  应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到“木马”的威胁。
  管理系统安全威胁指的是人员管理和各种安全管理制度。
【问题2】
  目前主要的认证方式有三类:
  (1)用户名和口令认证:主要是通过一个客户端与服务器共知的口令(或与口令相关的数据)进行验证。根据处理形式的不同,分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据。
  (2)使用令牌认证:该方式中,进行验证的密钥存储于令牌中,目前的令牌包括安全证书和智能卡等方式。
  (3)生物识别认证:主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据该企业的业务特征,采用令牌认证较为合适。


    本题考查信息系统的安全威胁以及采用的常用方案。
  信息系统面临的安全主要包括信息系统所依赖环境的安全、信息系统自身安全和使用信息系统的人员管理和相关规章制度。
  信息系统所依赖的环境带来的安全威胁有物理环境、通信链路和操作系统。物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄漏。通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如“木马”和“陷阱门”等。
  应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到“木马”的威胁。
  管理系统安全威胁指的是人员管理和各种安全管理制度。所谓的安全措施,是指“三分技术 ,七分管理”。
  在信息系统安全中,认证是必不可少的环节。常见的认证方式有三种:(1)用户名和口令认证;主要是通过一个客户端与服务器共知的口令(或与口令相关的数据)进行验证。根据处理形式的不同,分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据。(2)使用令牌认证:该方式中,进行验证的密钥存储于令牌中,目前的令牌包括安全证书和智能卡等方式。(3)生物识别认证:主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据该企业原有信息系统中的认证方式,并考虑到接入因特网后的用户特征,采用令牌认证的方式较为适合。

第9题:

回答问题1至问题3。

简述多媒体广告的信息框架设计过程。


正确答案:在多媒体设计过程中信息框架设计是一个相当重要的环节是使整个产品结构、逻辑合理的关键。 (1)首先设法把信息组织成可管理的块。把信息划分成部分和子部分可采用以下几种方法: ①按类型分类各分类在任何情况下都适合于内容。 ②按比例量分类比如从便宜到昂贵或从易到难。 ③按空间分类比如地图对地理数据分类非常适合。按这种方法组织信息强调的是空间上的亲近关系不必局限于二维坐标三维空间坐标界面正变得越来越流行。 ④按字母顺序。按字母排列的超文本索引或词汇表是用户用来查找标题和跳至特定部分的一种方便、熟悉的方法。 ⑤按时间。按时间线是一种常用的组织方案适合于历史信息和记述。 (2)列出信息层级关系。首先列出标题题头和副题头按层次进行排列并列出标题之间的联系。层次不应太深一般而言超过三个或四个层级用户跟踪起来就比较困难了。各部分之间的链接将成为用户延续访问信息的路径。部分之间的链接应符合逻辑不应有意想不到的跳动和飞跃。用户应能轻易发现它们并获得最重要的信息。要达到信息、中的任意地点最好使用在三个以内的跳动。 (3)在确定了流程图的每个部分或子部分之后就可以确定它们的任务和目标了。任务和目标将构成导航设计和界面设计的基础。
在多媒体设计过程中,信息框架设计是一个相当重要的环节,是使整个产品结构、逻辑合理的关键。 (1)首先设法把信息组织成可管理的块。把信息划分成部分和子部分可采用以下几种方法: ①按类型分类,各分类在任何情况下都适合于内容。 ②按比例量分类,比如从便宜到昂贵或从易到难。 ③按空间分类,比如地图对地理数据分类非常适合。按这种方法组织信息,强调的是空间上的亲近关系,不必局限于二维坐标,三维空间坐标界面正变得越来越流行。 ④按字母顺序。按字母排列的超文本索引或词汇表是用户用来查找标题和跳至特定部分的一种方便、熟悉的方法。 ⑤按时间。按时间线是一种常用的组织方案,适合于历史信息和记述。 (2)列出信息层级关系。首先列出标题题头和副题头,按层次进行排列,并列出标题之间的联系。层次不应太深,一般而言,超过三个或四个层级,用户跟踪起来就比较困难了。各部分之间的链接将成为用户延续访问信息的路径。部分之间的链接应符合逻辑,不应有意想不到的跳动和飞跃。用户应能轻易发现它们,并获得最重要的信息。要达到信息、中的任意地点,最好使用在三个以内的跳动。 (3)在确定了流程图的每个部分或子部分之后,就可以确定它们的任务和目标了。任务和目标将构成导航设计和界面设计的基础。 解析:本题考查多媒体广告设计这一知识点。

相关内容