软考高级信息系统项目管理师—【第22章】信息安全管理PPT课件下载推荐.pptx

软考高级信息系统项目管理师—【第22章】信息安全管理PPT课件下载推荐.pptx

《软考高级信息系统项目管理师—【第22章】信息安全管理PPT课件下载推荐.pptx》由会员分享，可在线阅读，更多相关《软考高级信息系统项目管理师—【第22章】信息安全管理PPT课件下载推荐.pptx（19页珍藏版）》请在冰点文库上搜索。

安全水平由最弱的安全要素决定。

因此各安全要素同等重要，但需强调其中安全管理极为重要,信息安全系统工程能力成熟度模型（ISSE-CMM）用于指导信息安全系统工程的完善和改进，使信息安全系统工程成为个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科。

ISSE将信息安全系统工程实施过程分解为:

工程过程、风险过程和保证过程三个基本的部分,【例1-15下】根据信息安全等级保护管理办法中的规定，信息系统的安全保护等级应当根据信息系统的国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危险程度等因素确定。

其中安全标记保护级处于（）。

A.第二级B.第三级C.第四级D.第五级,【例2-16上】在信息系统安全保护中，依据安全策略控制用户对文件、数据库表等客体的访问属于（）安全管理。

A安全审计B入侵检测C访问控制D人员行为【例3-16下】信息系统访问控制机制中，（）是指对所有主体和客体都分配安全标签用来标识所属的安全级别，然后在访问控制执行时对主体和客体的安全级别进行比较，确定本次访问是否合法的技术或方法。

A.自主访问控制B.强制访问控制C.基于角色的访问控制D.基于组件的访问控制,练一练,【例4-16下】以下关于信息系统审计的叙述中，不正确的是（）。

信息系统审计是安全审计过程的核心部分信息系统审计的目的是评估并提供反馈、保证及建议信息系统审计师须了解规划、执行及完成市计工作的步骤与技术，外并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定信息系统审计的目的可以是收集并评估证据以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标【例5-17上】安全审计（securityaudit）是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法，安全审计的主要作用不包括（）。

对潜在的攻击者起到震慑或警告作用对已发生的系统破坏行为提供有效的追究证据通过提供日志，帮助系统管理员发现入侵行为或潜在漏洞通过性能测试，帮助系统管理员发现性能担缺陷或不足,练一练,【例6-18下】按照信息系统安全策略“七定”要求，系统安全策略首先需要（）。

A.定方案B.定岗C.定目标D.定工作流程【例7-18下】计算机信息系统安全保护等级划分准则将计算机信息系统分为5个安全保护等级。

其中（）适用于中央级国家机关、广播电视部门、重要物资储备单位等部门。

A.系统审计保护级B.安全标记保护级C.结构化保护级D.访问验证保护级【例8-18下】CC（即CommonCritoriaISO/IEC17859）标谁将安全审计功能分为6个部分，其中（）要求审计系统提供控制措施，以防止由于资源的不可用失去审计数据。

A.安全审计数据生成功能C.安全审计事件选择功能,B.安全审计浏览功能D.安全审计事件存储功能,【例9-19下】信息系统安全保护等级的定级要素是（）。

A.等级保护对象和保护客体C.信息安全技术策略和管理策略,B.受侵害的客体和对客体的侵害程度D.受侵害各体的规模和恢复能力,练一练,【例10-19下】

（）在军事和安全部门中应用最多。

A.自主访问控制方式（DAC）C.访问控制列表方式（ACL）,B.强制访问控制方式（MAC）D.基于角色的访问控制方式（PBAC）,【例11-19下】

（）的目标是防止内部机密或敏感信息非法泄露和资产的流失。

A.数字证书B.安全审计C.入侵检测D.访问控制【例12-20下】按照系统安全策略“七定”要求,系统安全策略首先要（）。

A.定员B.定制度C.定方案D.定岗【例13-20下】

（）方式针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。

A.自主访问控制B.基于策略的访问控制C.强制访问控制D.基于角色的访问控制【例14-20下】ISO/IEC17859标准将安全审计功能分为6个部分,其中,（）通过分析系统活动和审计数据,寻找可能的或真正的安全违规操作,可以用于入侵检测或安全违规的自动响应。

A.安全审计事件存储功能B.安全审计数据生成功能C.安全审计分析功能D.安全审计浏览功能,练一练,【例15-21上】工程师小王在检查公司云计算管理平台的网络安全时，需检查虚拟网络边界的（）策略，,查看其是否对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等的控制。

A.访问控制B.属性安全控制C.目录级安全控制D.网络锁定控制【例16-21上】关于权限管理基础设施的描述，不正确的是（）。

A.PMI主要进行授权管理，PKI主要进行身份鉴别认证过程和授权管理是访问控制的两个重要过程图书馆对于进入人员的管理属于自主访问控制权限管理、访问控制框架、策略规别共同构成PMI平台【例17-21上】信息安全系统工程能力成熟度模型中，（）属于充分定义级（LeVEL3级）的公共特性逻辑域。

A.对过程进行标准化，协调内外部的沟通B.量化地确定己定义过程的过程能力C.在执行过程域中，使用文档化的规划、标准或程序D.通过改变组织的标准化过程，从而提高过程效能,练一练,参考答案,