信息安全管理-試題判斷題：信息安全保障階段中，安全策略是核心，對事先保護、事發檢測和響應、事后恢復起到了統一指導作用。（X）注釋：在統一安全策略的指導下，安全事件的事先預防（保護），事發處理（檢測Detection和響應Reaction）、事后恢復（恢復Restoration）四個主要環節相互配合，構成一個完整的保障體系，在這里安全策略只是指導作用，而非核心。一旦發現計算機違法犯罪案件，信息系統所有者應當在2天內迅速向當地公安機矢報案，并配合公安機矢的取證和調查。 （X）注釋：應在24小時內報案3?我國刑法中有矢計算機犯罪的規定，定義了 3種新的犯罪類型（X）注釋：共3種計算機犯罪，但只有2種新的犯罪類型。單選題：.信息安全經歷了三個發展階段，以下（B）不屬于這三個發展階段。A.通信保密階段 B.加密機階段C.信息安全階段 D.安全保障階段.信息安全階段將研究領域擴展到三個基本屬性，下列（C）不屬于這三個基本屬性。A.保密性B.完整性C.不可否認性D.可用性.下面所列的（A）安全機制不屬于信息安全保障體系中的事先保護環節。A.殺毒軟件 B.數字證書認證C.防火墻 D.數據庫加密.《信息安全國家學說》是（C）的信息安全基本綱領性文件。A.法國B.美國C.俄羅斯D.英國注：美國在2003年公布了《確保網絡空間安全的國家戰略》。.信息安全領域內最矢鍵和最薄弱的環節是（D）。A.技術B?策略C.管理制度 D.人.信息安全管理領域權威的標準是（B）oA.IS015408B.IS017799/IS027001（英）C.ISO9001D.ISO140017?《計算機信息系統安全保護條例》是由中華人民共和國（A）第147號發布的。A.國務院令B.全國人民代表大會令 C.公安部令D.國家安全部令.在PDR安全模型中最核心的組件是（A）。A.策略B.保護措施C.檢測措施 D.響應措施.在完成了大部分策略的編制工作后，需要對其進行總結和提煉，產生的結果文檔被稱為（A）。A.可接受使用策略AUPB.安全方針 C.適用性聲明 D.操作規范.互聯網服務提供者和聯網使用單位落實的記錄留存技術措施，應當具有至少保存（C）天記錄備份的功能。A.10B.30C.60D.90?下列不屬于防火墻核心技術的是（D）A.（靜態/動態）包過濾技術 B.NAT技術 C.應用代理技術口.日志審計.應用代理防火墻的主要優點是（B）C.安全服務的透明性更好D.服務A.加密強度更高 B.C.安全服務的透明性更好D.服務.對于遠程訪問型VPN來說，（A）產品經常與防火墻及NAT機制存在兼容性問題，導致安全隧道建立失敗。A」PSecVPNB.SSLVPNC.MPLSVPND±2TPVPN注：IPSec協議是一個應用廣泛，開放的VPN安全協議，目前已經成為最流行的VPN解決方案。在IPSec框架當中還有一個必不可少的要素Internet安全矢聯和密鑰管理協議一一IKE（或者叫ISAKMP/Oakley）,它提供自動建立安全矢聯和管理密鑰的功能。14.1999年，我國發布的第一個信息安全等級保護的國家標準 GB17859-1999，出將信息系統的安全等級劃分為（D）個等級，并提出每個級別的安全功能要求。A.7B.8C.6D.5注：該標準參考了美國的 TCSEC標準，分自主保護級、指導保護級、監督保護級、強制保護級、專控保護級。公鑰密碼基礎設施PKI解決了信息系統中的（A）問題。A.身份信任B.權限管理C.安全審計D?加密注：PK（IPublicKeylnfrastructure, 公鑰密碼基礎設施），所管理的基本元素是數字證書。最終提交給普通終端用戶，并且要求其簽署和遵守的安全策略是（ C）。A.口令策略B.保密協議 C.可接受使用策略AUPD責任追究制度知識點：《信息系統安全等級保護測評準則》將測評分為安全控制測試和系統整體測試兩個方面。安全掃描可以彌補防火墻對內網安全威脅檢測不足的問題。3.1994年2月18日國務院發布《計算機信息系統安全保護條例》。安全審計跟蹤是安全審計系統檢測并追蹤安全事件的過程。環境安全策略應當是簡單而全面。安全管理是企業信息安全的核心。信息安全策略和制定和維護中，最重要是要保證其明確性和相對穩定性。許多與PKI相矢的協議標準等都是在X.509基礎上發展起來的。避免對系統非法訪問的主要方法是訪問控制。災難恢復計劃或者業務連續性計劃尖注的是信息資產的可用性屬性。RSA是最常用的公鑰密碼算法。在信息安全管理進行安全教育和培訓，可以有效解決人員安全意識薄弱。我國正式公布電子簽名法，數字簽名機制用于實現抗否認。在安全評估過程中，采取滲透性測試手段，可以模擬黑客入侵過程，檢測系統安全脆弱性。病毒網矢在內外網絡邊界處提供更加主動和積極的病毒保護。16?信息安全評測系統CC是國際標準。安全保護能力有4級：1級—能夠對抗個人、一般的自然災難等；2級—對抗小型組織；3級-對抗大型的、有組織的團體，較為嚴重的自然災害，能夠恢復大部分功能； 4級-能夠對抗敵對組織、嚴重的自然災害，能夠迅速恢復所有功能。信息系統安全等級分5級：1—自主保護級；2—指導保護級；3—監督保護級；4一強制保護級；5—專控保護級。信息系統安全等級保護措施：自主保護、同步建設、重點保護、適當調整。對信息系統實施等級保護的過程有5步：系統定級、安全規則、安全實施、安全運行和系統終止。定量評估常用公式：SLE（單次資產損失的總值）二AV（信息資產的估價）XEF（造成資產損失的程序）。SSL主要提供三方面的服務，即認證用戶和服務器、加密數據以隱藏被傳送的數據、維護數據的完整性。信息安全策略必須具備確定性、全面性和有效性。網絡入侵檢測系統，既可以對外部黑客的攻擊行為進行檢測，也可以發現內部攻擊者的操作行為，通常部署在網絡交換機的監聽端口、內網和外網的邊界。技術類安全分3類：業務信息安全類（S類）、業務服務保證類（A類）、通用安全保護類（G類）。其中S類矢注的是保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改；A類矢注的是保護系統連續正常的運行等； G類兩者都有所矢注。如果信息