【正文】 indows2000比較穩(wěn)定，他決定安裝Windows2000，于是他就重新給硬盤分區(qū)，成功完成了安裝。 6）大家通過陳博士的計(jì)算機(jī)訪問Internet，收集了很多有用的資料?？墒亲罱脦着_(tái)計(jì)算機(jī)在啟動(dòng)的時(shí)候就自動(dòng)連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個(gè)還沒有提交的設(shè)計(jì)稿，可是員工都說沒有發(fā)過這樣的信。 針對(duì)上述情況，請(qǐng)從下面所列的安全策略中選擇你認(rèn)為適合的放在相應(yīng)的位置。 ⑴物理安全策略⑵網(wǎng)絡(luò)安全策略⑶數(shù)據(jù)加密策略⑷數(shù)據(jù)備份策略⑸病毒防護(hù)策略⑹系統(tǒng)安全策略⑺身份認(rèn)證及授權(quán)策略⑻災(zāi)難恢復(fù)策略⑼事故處理與緊急響應(yīng)策略⑽安全教育策略⑾口令管理策略⑿補(bǔ)丁管理策略⒀系統(tǒng)變更控制策略⒁商業(yè)伙伴與客戶關(guān)系策略⒂復(fù)查審計(jì)策略（例： 1） ⑴ ⑵ ⑶ ⑷ ⑸ ） 某大學(xué)師生人數(shù)眾多，擁有兩萬多臺(tái)主機(jī)，上網(wǎng)用戶也在2萬人左右，而且用戶數(shù)量一直成上升趨勢(shì)。校園網(wǎng)在為廣大師生提供便捷、高效的學(xué)習(xí)、工作環(huán)境的同時(shí)，也在寬帶管理、計(jì)費(fèi)和安全等方面存在許多問題。具體如下： （1）IP地址及用戶賬號(hào)的盜用。 （2）多人使用同一賬號(hào)。 （3）網(wǎng)絡(luò)計(jì)費(fèi)管理功能的單一。 （4）對(duì)帶寬資源的大量占用導(dǎo)致重要應(yīng)用無法進(jìn)行。 （5）訪問權(quán)限難以控制。 （6）安全問題日益突出。 （7）異常網(wǎng)絡(luò)事件的審計(jì)和追查。（8）多個(gè)校區(qū)的管理和維護(hù)。 針對(duì)這些問題，相應(yīng)的應(yīng)對(duì)策略。 第一章一、填空題1. 人員 技術(shù) 管理2. 機(jī)密性 完整性 可用性3. 實(shí)體安全 運(yùn)行安全 管理安全4. 機(jī)密性 完整性 可用性 名詞解釋1. 信息安全是保護(hù)信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换蛘邜阂馇址付馐芷茐?、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。2. 信息安全管理是通過維護(hù)信息的機(jī)密性、完整性和可用性等，來管理和保護(hù)信息資產(chǎn)的一項(xiàng)體制，是對(duì)信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動(dòng)和過程。 論述，主要有以下幾個(gè)方面的問題：（1）法律法規(guī)問題（2）管理問題（3）國家信息基礎(chǔ)設(shè)施建設(shè)問題 在微觀信息安全管理方面的問題主要有以下幾方面：缺乏信息安全意識(shí)與明確的信息安全方針（2）重視安全技術(shù)，輕視安全管理（3）安全管理缺乏系統(tǒng)管理的思想。第二章 填空題 量體裁衣 工程 保證 五二、名詞解釋（ISMS）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完整這些目標(biāo)所用的方法和手段所構(gòu)成的體系；信息安全管理體系是信息安全管理活動(dòng)的直接結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、和保護(hù)公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn)的安全保護(hù)要求和成本開銷等因素，將其劃分成不同的安全保護(hù)等級(jí)，采取相應(yīng)的安全保護(hù)措施，以保障信息和信息系統(tǒng)的安全。，是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程和服務(wù)等符合規(guī)定的要求給予書面保證（如合格證書）。認(rèn)證的基礎(chǔ)是標(biāo)準(zhǔn)，認(rèn)證的方法包括對(duì)產(chǎn)品特性的抽樣檢驗(yàn)和對(duì)組織體系的審核與評(píng)定，認(rèn)證的證明方式是認(rèn)證證書與認(rèn)證標(biāo)志。目前，世界上普遍采用的信息安全管理體系認(rèn)證的標(biāo)準(zhǔn)是在英國標(biāo)準(zhǔn)協(xié)會(huì)的信息安全管理委員會(huì)指導(dǎo)下制定的B577992:《信息安全管理體系規(guī)范》。 簡(jiǎn)答 1）強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為； 2）促使管理層貫徹信息安全保障體系； 3）對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)； 4）在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度； 5）使組織的生意伙伴和客戶對(duì)組織充滿信心； 6）如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，可以提高組織的知名度與信任度。. ：組織在實(shí)施BS7799時(shí)，可以根據(jù)需求和實(shí)際情況，采用以下幾種模式： (1)按照BS7799標(biāo)準(zhǔn)的要求，自我建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安全的目的； (2)按照BS7799標(biāo)準(zhǔn)的要求，自我建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安全的目的，并且通過BS7799體系認(rèn)證； (3)通過安全咨詢顧問，來建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安全的目的； (4)通過安全咨詢顧問，來建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安全的目的，并且通過BS7799體系認(rèn)證。 ： （1）第一級(jí)：自主保護(hù)級(jí) （2）第二級(jí)：指導(dǎo)保護(hù)級(jí) （3）第三級(jí)：監(jiān)督保護(hù)級(jí) （4）第四級(jí)：強(qiáng)制保護(hù)級(jí) （5）第五級(jí)：?？乇Ｗo(hù)級(jí) ，即風(fēng)險(xiǎn)、工程和保證。 風(fēng)險(xiǎn)：安全工程的主要目標(biāo)是降低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)就是有害事件發(fā)生的可能性，—個(gè)不確定因素發(fā)生的可能性依賴于具體情況，這就意味著這種可能性僅能在某種限制下預(yù)測(cè)。 工程：安全工程與其他項(xiàng)目一樣，是一個(gè)包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、部署、運(yùn)行、維護(hù)和退出的完整過程。 保證：是指安全需求得到滿足的信任程度，它是安全工程非常重要的產(chǎn)品， SSECMM的信任程度來自于安全工程過程可重復(fù)性的結(jié)果質(zhì)量，這種信任的基礎(chǔ)是成熟組織比不成熟組織更可能產(chǎn)生出重復(fù)結(jié)果的事實(shí)。 ： ①信息安全管理體系的策劃與準(zhǔn)備；②信息安全管理體系文件的編制；③建立信息安全管理框架；④信息安全管理體系的運(yùn)行；⑤信息安全管理體系的審核與評(píng)審四、論述 :PDCA循環(huán)的四個(gè)階段的具體任務(wù)和內(nèi)容如下。 （1