信息系统安全管理试题Word下载.docx
《信息系统安全管理试题Word下载.docx》由会员分享,可在线阅读,更多相关《信息系统安全管理试题Word下载.docx(10页珍藏版)》请在冰点文库上搜索。
B.①ISO27000②ISO20000③IEEE802.16
C.①ISO20000②IEEE802.16③ISO27000
D.①IEEE802.16②ISO20000③ISO27000
C
2005年10月,ISO正式发布了ISO27000作为信息安全管理的国际标准。
2005年12月,ISO正式发布了ISO20000作为IT服务管理的国际标准。
2007年10月,ITU接纳计算机网络的无线宽带标准IEEE802.16为手机通信的3G标准。
3、为保障数据的存储和传输安全,需要对一些重要数据进行加密。
由于对称密码算法()
(1),所以特别适合对大量的数据进行加密。
国际数据加密算法IDEA的密钥长度是()2)位。
空白
(1)处应选择()
A.比非对称密码算法更安全
B.比非对称密码算法密钥长度更长
C.比非对称密码算法效率更高
D.还能同时用于身份认证
本题考查有关IDEA算法的基础知识。
对称与非对称密码算法都可以用于加密,但是由于对称密码算法的加解密效率比非对称算法高很多,因此常用于对大量数据的加密。
IDEA算法是在DES的基础上发展出来的,类似于3DES。
发展IDEA的原因是DES算法密钥太短。
IDEA的密钥长度为128位。
4、为保障数据的存储和传输安全,需要对一些重要数据进行加密。
空白
(2)处应选择()A.56B.64C.128D.256
5、以下不属于主动式攻击策略的是()
A.中断
B.篡改
C.伪造
D.窃听
D
信息安全面临的威胁分为主动攻击和被动攻击。
主动攻击是更改信息和拒绝用户使用资源的攻击。
它包括中断、伪造、篡改,即攻击信息来源的真实性、信息传输的完整性和系统服务的可用性。
被动攻击是指信息的截获,对信息的保密性进行攻击,即通过窃听网络上传输的信息并对其进行业务流分析,从而获得有价值的情报,但它并不修改信息的内容。
它的目标是获得正在传送的信息,其特点是偷听或监视信息的传递。
6、系统运行安全和保护的层次按照粒度从粗到细排序为()
A.系统级安全、资源访问安全、数据域安全、功能性安全
B.系统级安全、资源访问安全、功能性安全、数据域安全
C.资源访问安全、系统级安全、数据域安全、功能性安全
D.资源访问安全、系统级安全、功能性安全、数据域安全
B
最细的粒度当然是数据域安全,不是功能性安全。
因此从选项B和D中做进一步选择,很明显"
系统级安全"
应该在"
资源访问安全"
之前。
7、信息安全管理体系是指()
A.网络维护人员的组织体系
B.信息系统的安全设施体系
C.防火墙等设备、设施构建的安全体系
D.组织建立信息安全方针和目标并实现这些目标的体系
信息安全管理体系(InformationSecurityManagementSystem)是组织在整体或特定范围内建立信息安全方针和目标以及完成这些目标所用方法的体系,它由建立信息安全的方针、原则、目标、方法、过程、核查表等要素组成。
建立起信息安全管理体系后,具体的信息安全管理活动以信息安全管理体系为根据来开展。
8、在()中,①代表的技术通过对网络数据的封包和加密传输,在公网上传输私有数据、达到私有网络的安全级别;
②代表的技术把所有传输的数据进行加密,可以代替Telnet,可以为ftp提供一个安全的"
通道"
;
③代表的协议让持有证书的Internet浏览器软件和WWW服务器之间构造安全通道传输数据,该协议运行在TCP/IP层之上、应用层之下。
A.①SSH②VPN③SSL
B.①VPN②SSH③SSL
C.①VPN②SSL③SSH
D.①SSL②VPN③SSH
在信息安全技术体系中,下列几种技术可用于保证传输和应用的安全。
VPN(VirtualPrivateNetwork,虚拟专用网)通过对网络数据的封包和加密传输,在公网上传输私有数据、达到私有网络的安全级别。
采用VPN技术的目的是为了在不安全的信道上实现安全信息传输,保证企业内部信息在Internet上传输时的机密性和完整性,同时对通过Internet进行的数据传输进行确认。
SSH的英文全称是SecureShell,通过使用SSH,可把所有传输的数据进行加密。
"
中间人"
这种攻击方式就不可能得逞了。
能够防止DNS和IP欺骗。
传输的数据经过压缩,可以加快传输的速度。
SSH可以代替TELNET,可以为
FTP、POP、甚至PPP提供一个安全的"
。
SSL是由Netscape开发的一种在持有证书的浏览器软件(比如Internet
Explorer、NetscapeNavigator)和WWW服务器(如Netscape的NetscapeEnterpriseServer等)之间构造的安全通道中传输数据的协议。
9、在()中,①用于防止信息抵赖;
②用于防止信息被窃取;
③用于防止信息被篡改;
④用于防止信息被假冒。
A.①加密技术②数字签名③完整性技术④认证技术
B.①完整性技术②认证技术③加密技术④数字签名
C.①数字签名②完整性技术③认证技术④加密技术
D.①数字签名②加密技术③完整性技术④认证技术
在信息安全技术体系中,数字签名技术用于防止信息抵赖;
加密技术用于防止信息被窃取;
完整性技术用于防止信息被篡改;
认证技术用于防止信息被假冒。
10、比较先进的电子政务网站提供基于()的用户认证机制,用于保障网上办公的信息安全和不可抵赖性。
A.数字证书
B.用户名和密码
C.电子邮件地址
D.SSL
PKI是一个利用非对称密码算法(即公开密钥算法)实现并提供网络安全服务的具有通用性的安全基础设施。
PKI是依据标准利用公钥加密技术为电子商务、电子政务、网上银行和网上证券业的开展,提供一整套安全保证的基础平台。
用户利用PKI基础平台所提供的安全服务,能在网上实现安全地通信。
PKI这种遵循标准的密钥管理平台,能够为所有网上应用,透明地提供加解密和数字签名等密码服务所需要的密钥和证书管理。
因此,也可以将PKI定义为:
创建、颁发、管理和撤销公钥证书所涉及的所有软件、硬件系统,以及所涉及的整个过程安全的策略规范、法律法规以及人员的集合。
其中证书是PKI的核心元素,CA是PKI的核心执行者。
PKI具备以下主要内容:
1.认证机构(CertificateAuthority,CA)。
CA是一种信任机构,CA的主要职责是确认证书持有人的身份。
2.数字证书和证书库。
数字证书是网上实体身份的证明,证明某一实体的身份以及其公钥的合法性,证明该实体与公钥的匹配关系。
3.密钥备份及恢复。
4.密钥和证书的更新。
5.证书历史档案。
6.客户端软件。
7.交叉认证。
8.证书运作声明。
PKI作为安全基础设施,能为不同的用户按不同安全需求提供多种安全服务。
这些服务主要有:
认证、数据完整性、数据保密性、不可否认性、公证及时间戳服务。
电子政务就是指将计算机网络技术应用于政务领域,其主要内容有:
网上信息发布、办公自动化、网上办公、信息资源共享等。
按应用模式也可分为G2C、G2B和G2G。
PKI在电子政务中的应用,主要用于解决身份认证、数据完整性、数据保密性、不可抵赖性等问题。
例如一个保密文件发给谁,某个保密文件哪一级的公务员有权查阅等,这就需要进行身份认证。
与身份认证相关的就是访问控制,即权限控制。
认证是通过证书进行的,访问控制是通过属性证书或访问控制列表(ACL)完成的。
有些文件在网上传输中要加密,保证数据的保密性;
有些文件在网上传输要求不能丢失和被篡改;
特别是一些保密文件的收发必须要有数字签名,以抵抗否认性。
电子政务中的这些安全需求,只有PKI提供的安全服务才能得到保证。
而SSL(SecureSocketLayer,安全套接层)协议是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。
SSL只是一种对计算机之间整个会话进行加密的协议。
11、图17.1是发送者(网上消费者)利用不对称加密算法向接收者(网上商城)传送信息的过程,图17.1中的k1是()
A.接收者的公钥
B.接收者的私钥
C.发送者的公钥
D.发送者的私钥
公钥基础设施(PublicKeyInfrastructure,PKI,即公开密钥基础设施),是以不对称加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。
PK1是软件、加密技术和服务的组合,它使组织能够保护他们的通信和商业事务的安全性。
PKI依赖于己确认的用户和可信任的资源之间的数字证书的交换。
用户能够使用PKI中的证书来确保数据的安全,并管理来自组织内和组织外的用户的身份验证的证书。
PKI提供了一个服务、技术、协议和标准的框架,用户可以使用这个框架来实施和管理一个强大的且可升级的安全系统。
本题就是使用PKI的一种加密传送信息的事例。
回答本题需要清楚数字信封、数字签名和一般信息传送与接收的区别。
本题指的是一般信息传送,发送者利用不对称加密算法向接收者传送信息时,发送者要用接收者的公钥加密,接收者收到信息后,用自己的私钥解密读出信息。
12、()指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,还可帮助分析安全事故产生的原因。
A.安全授权
B.安全管理
C.安全服务
D.安全审计
授权安全是指以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制。
要实现信息的安全,仅有信息安全技术手段还不够,还需要相关法律法规的支持,以及对企业信息安全的管理。
信息安全管理的活动有:
确定信息安全的方针和原则,对企业信息的安全进行系统地规划、组织、实施。
监控企业的信息安全等。
安全服务就是为信息系统中各个层次的安全需要提供安全服务支持。
如数据保密服务、安全对等实体认证服务、访问控制服务,等等。
安全审计是指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。
安全审计是落实系统安全策略的重要机制和手段,通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。
安全审计是信息安全保障系统中的一个重要组成部分。