信息安全工程习题和答案.docx

【信息安全工程习题和答案】 信息安全工程是一门涵盖了保护信息资产免受各种威胁的重要学科。在互联网时代，信息安全显得尤为重要，因为数据和信息是企业和个人的宝贵财富。 1. 信息保障的三大要素是保密性、完整性、可用性。保密性确保只有授权的人员才能访问信息，完整性保证信息在传输和存储过程中不被修改或破坏，可用性则确保信息在需要时可以被合法用户访问。 2. 在BS7799信息安全管理体系中，信息安全的主要目标是信息的机密性、完整性和可用性的保持。机密性关乎信息的私密性，防止未授权的访问；完整性确保信息的准确无误，防止篡改；可用性则保证信息和服务在任何时候都能正常运作。 3. 信息安全一般包括安全政策、安全组织、安全技术和操作安全四大方面的内容。安全政策是指导信息安全实践的框架，安全组织负责协调和执行这些政策，安全技术涵盖用于保护信息的各种工具和技术，而操作安全则涉及日常的运行和维护。 4. 信息安全管理是通过维护信息的机密性、完整性和可用性，以及对信息资产的保护来实现的。这通常涉及到风险管理、安全审计、人员培训等多个环节。 SSE-CMM（系统安全工程能力成熟度模型）将安全工程划分为三个基本的安全区域，即工程、保证和组织过程。工程涵盖安全需求的识别和实现，保证关注于验证和确认安全工程的成果，而组织过程则涉及支持安全工程活动的管理和行政功能。SSE-CMM包含了五个级别，我国的信息和信息系统的安全保护等级共分为五级。 OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）是一种信息安全风险评估方法，它关注资产的价值、威胁和脆弱性。这三个因素共同决定了安全风险的大小。 资产、威胁与脆弱性之间的关系表明，一个资产的暴露于某种威胁的程度取决于它的脆弱性。如果资产的脆弱性高，那么面临相同威胁时，风险就会增加。 人员的安全审查通常涉及人员的背景、技能、行为等方面，以确保他们适合参与涉及敏感信息的工作。 信息安全组织在中国通常包括国家级、部门级和企业级等层次。其基本任务是制定并执行信息安全政策，监督安全措施的实施，以及进行风险管理和应急响应。 信息安全教育涵盖基础安全知识培训、法规遵从性教育以及定期的安全意识提升培训，旨在提高员工的信息安全意识和技能。 防止未经授权的访问，预防对信息系统的硬件、软件和数据的破坏和干扰，需要对环境进行区域划分，实施不同级别的访问控制。机房安全包括物理安全和逻辑安全，以确保信息系统的稳定运行。 计算机系统的电磁泄漏可能通过辐射和传导两种途径造成信息泄露。影响辐射强度的因素包括设备的发射特性、距离和障碍物的存在。 媒介保护和管理的目标是保护存储在媒介上的信息，防止泄露、篡改和意外丢失。移动存储介质的安全管理需考虑访问控制、加密和定期审计。 按照GB9361-88，计算机机房的安全等级分为A级、B级和C级。保护电子文档安全的技术措施除了加密技术，还包括访问控制、身份认证和数据备份。 对于移动存储介质的管理，应考虑使用权限管理、加密、设备注册和定期扫描病毒。信息的存储与处理应考虑实施访问控制策略、数据分类和定期审查。 信息安全策略分为策略层和程序层。实施控制目标与控制方式的程序属于程序层，覆盖信息安全管理体系的全面管理程序属于策略层。系统安全监控与审计涉及对系统的行为和用户活动的监控。 安全监控分为实时监控和事后审计，前者用于即时发现异常，后者用于分析和调查已发生的安全事件。 在上述设计院的例子中，存在物理安全、网络安全、系统安全和人员管理等多个方面的风险。针对这些情况，应采取如下的安全策略：物理安全策略（防止小偷入侵）、网络安全策略（防止未授权访问和数据泄露）、数据加密策略（保护敏感信息）、数据备份策略（防止数据丢失）、病毒防护策略（防止病毒感染）、系统安全策略（管理软件更新和安装）、身份认证及授权策略（控制用户访问）、补丁管理策略（及时修复系统漏洞）、系统变更控制策略（跟踪系统改动）、安全教育策略（提高员工安全意识）、口令管理策略（强化密码安全）、复查审计策略（检查安全措施的有效性）。 大学环境中，由于师生数量庞大，信息安全管理更为复杂，需要综合运用以上提到的各种策略，确保教学、科研和个人隐私的安全。