【導(dǎo)讀】9大戰(zhàn)略發(fā)展方向之一?？焱七M(jìn)信息化的綱領(lǐng)性文獻(xiàn)。業(yè)標(biāo)準(zhǔn)、機(jī)構(gòu)內(nèi)部的方針和規(guī)定。響應(yīng)、恢復(fù)五個(gè)主要環(huán)節(jié)。理、網(wǎng)絡(luò)和系統(tǒng)等層面的安全狀況。實(shí)際評(píng)估多采取定性評(píng)估，或者定性和定量評(píng)估相結(jié)合的方法。公安機(jī)關(guān)的取證和調(diào)查。接，不會(huì)影響到防火墻的有效保護(hù)作用。

　　

【正文】 簡述 PDR 安全模型的原理。 答： PDR 模型之所以著名，是因?yàn)樗堑谝粋€(gè)從時(shí)間關(guān)系描述一個(gè)信息系 統(tǒng)是否安全的模型， PDR模型中的 P 代表保護(hù)， R 代表響應(yīng)，該模型中使用了三個(gè)時(shí)間參數(shù)； （ 1） Pt,有效保護(hù)時(shí)間，是指信息系統(tǒng)的安全控制措施所能發(fā)揮保護(hù)作用的時(shí)間； （ 2） Dt，檢測(cè)時(shí)間，是指安全檢測(cè)機(jī)制能夠有效發(fā)現(xiàn)攻擊、破壞行為所需的時(shí)間； （ 3） Rt，響應(yīng)時(shí)間，是指安全響應(yīng)機(jī)制作出反應(yīng)和處理所需的時(shí)間。 PDR 模型用下列時(shí)間關(guān)系表達(dá)式來說明信息系統(tǒng)是否安全： （ 1） Pt＞ Dt+Rt，系統(tǒng)安全，即在安全機(jī)制針對(duì)攻擊、破壞行為作出了成功的檢測(cè)和響應(yīng)時(shí)，安全控制措施依然在發(fā)揮有效的保護(hù)作用，攻擊和破壞 行為未給信息系統(tǒng)造成損失。 （ 2） Pt＜ Dt+Rt，系統(tǒng)部安全，即信息系統(tǒng)的安全控制措施的有效保護(hù)作用，在正確的檢測(cè)和響應(yīng)作出之前就已經(jīng)失效，破壞和攻擊行為已經(jīng)給信息系統(tǒng)造成了實(shí)質(zhì)性破壞和影響。 5. 簡述 ISO 信息安全模型定義及其含義。 答： ISO 信息安全定義：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。它包括三方面含義： （ 1）信息安全的保護(hù)對(duì)象是信息資產(chǎn)，典型的信息資產(chǎn)包括了計(jì)算機(jī)硬件、軟件和數(shù)據(jù)。 （ 2）信息安 全的目標(biāo)就是保證信息資產(chǎn)的三個(gè)基本安全屬性，保密性、完整性和可用性三個(gè)基本屬性是信息安全的最終目標(biāo)。 （ 3）事先信息安全目標(biāo)的途徑要借助兩方面的控制措施，即技術(shù)措施和管理措施。 6. 簡述信息安全的三個(gè)基本屬性。 答：信息安全包括了保密性、完整性和可用性三個(gè)基本屬性： （ 1）保密性 ——Confidentiality,確保星系在存儲(chǔ)、使用、傳輸過程中不會(huì)泄露給非授權(quán)的用戶或者實(shí)體。 （ 2）完整性 ——Integrity,確保信息在存儲(chǔ)、使用、傳輸過程中不被非授權(quán)用戶篡改；防止授權(quán)用戶對(duì)信息進(jìn)行不恰當(dāng)?shù)拇?改；保證信息的內(nèi)外一致性。 （ 3）可用性 ——Availability，確保授權(quán)用戶或者實(shí)體對(duì)于信息及資源的正確使用不會(huì)被異常拒絕，允許其可能而且及時(shí)地訪問信息及資源。 7. 簡述我國刑法對(duì)網(wǎng)絡(luò)犯罪的相關(guān)規(guī)定。 答：我國刑法關(guān)于網(wǎng)絡(luò)犯罪的三個(gè)專門條款，分別規(guī)定了非法侵入計(jì)算機(jī)信息系統(tǒng)罪（第 285 條）；破壞計(jì)算機(jī)信息系統(tǒng)罪（第 286 條）；利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪（第 287 條），并將其一并歸入分則第六章 “妨害社會(huì)管理秩序罪 ”第一節(jié) “擾亂公共秩序罪 ”。 8. 簡述 BS 7799 的內(nèi)容構(gòu)成以及與 ISO 國際標(biāo)準(zhǔn)的關(guān)系。 答： BS 7799 分兩個(gè)部分，第一部分，被 ISO 國際標(biāo)準(zhǔn)化組織采納成為 ISO/IEC 17799:2020 標(biāo)準(zhǔn)的部分，是信息安全管理實(shí)施細(xì)則（ Code of Practice for Information Security Management），主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為 11 個(gè)方面，定義了 133 項(xiàng)安全控制措施（最佳實(shí)踐）。第二部分，被 ISO 國際標(biāo)準(zhǔn)化組織采納成為 ISO/IEC 27001:2020，是建立信息安全管 理體系（ ISMS）的一套規(guī)范（ Specification for Information Security Management Systems） ,其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員運(yùn)用 ISO/IEC 17799:2020，其最終目的在于建立適合企業(yè)需要的信息安全管理體系（ ISMS）。 9. 簡述 ISO/IEC 17799:2020 中關(guān)于控制措施的 11 項(xiàng)分類內(nèi)容。 答： BS77991 信息安全管理實(shí)施細(xì)則（ ISO/IEC 17799:2020）將信息安全管理的內(nèi)容劃 分為 11 個(gè)主要方面，這 11 個(gè)方面包括： （ 1）安全策略（ Security Policy）； （ 2）組織信息安全（ Organizing Information Security）； （ 3）資產(chǎn)管理（ Asset Management）； （ 4）人力資源安全（ Human Resoruces Security）； （ 5）物理與環(huán)境安全（ Physical and Environmental Security）； （ 6）通信與操作管理（ Communication and Operation Management）； （ 7）訪問控制（ Access Control）； （ 8）信息系統(tǒng)獲取、開發(fā)與維護(hù)（ Information Systems Acquisition,Development and Maintenance）； （ 9）信息安全事件管理（ Information Security Incident Management）； （ 10）業(yè)務(wù)連續(xù)性管理（ Business Continuity Management）； （ 11）符合性（ Compliance）。 10. 簡述安全策劃體系所包含的內(nèi)容。 答 ：一個(gè)合理的信息安全策略體系可以包括三個(gè)不同層次的策略文檔： （ 1）總體安全策略，闡述了指導(dǎo)性的戰(zhàn)略綱領(lǐng)性文件，闡明了企業(yè)對(duì)于信息安全的看法和立場(chǎng)、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認(rèn)定以及對(duì)于信息資產(chǎn)的管理辦法等內(nèi)容； （ 2）針對(duì)特定問題的具體策略，闡述了企業(yè)對(duì)于特定安全問題的聲明、立場(chǎng)、使用辦法、強(qiáng)制要求、角色、責(zé)任認(rèn)定等內(nèi)容，例如，針對(duì) Inter 訪問操作、計(jì)算機(jī)和網(wǎng)絡(luò)病毒 防治、口令的使用和管理等特定問題，制定有針對(duì)性的安全策略； （ 3）針對(duì)特定系統(tǒng)的具體策略 ，更為具體和細(xì)化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護(hù)規(guī)則等內(nèi)容，如防火墻配置策略、電子郵件安全策略等。 11. 簡述至少六種安全問題的策略。 答：（ 1）物理安全策略；（ 2）網(wǎng)絡(luò)安全策略；（ 3）數(shù)據(jù)加密策略；（ 4）數(shù)據(jù)備份策略；（ 5）病毒防護(hù)策略；（ 6）系統(tǒng)安全策略；（ 7）身份認(rèn)證及授權(quán)策略；（ 8）災(zāi)難恢復(fù)策略；（ 9）事故處理、緊急響應(yīng)策略； （ 10）安全教育策略；（ 11）口令安全策略；（ 12）補(bǔ)丁管理策略；（ 13）系統(tǒng)變更控制策略；（ 14）商業(yè)伙伴、客戶關(guān)系策略；（ 15）復(fù)查審計(jì)策略。 12. 試 編寫一個(gè)簡單的口令管理策略。 答：（ 1）所有活動(dòng)賬號(hào)都必須有口令保護(hù)。 （ 2）生成賬號(hào)時(shí)，系統(tǒng)管理員應(yīng)分配給合法用戶一個(gè)唯一的口令，用戶在第一次登錄時(shí)應(yīng)該更改口令。 （ 3）口令必須至少要含有 8 個(gè)字符。 （ 4）口令必須同時(shí)含有字母和非字母字符。 （ 5）必須定期用監(jiān)控工具檢查口令的強(qiáng)度和長度是否合格。 （ 6）口令不能和用戶名或者登錄名相同。 （ 7）口令必須至少 60 天更改一次。 （ 8）禁止重用口令。 （ 9）必須保存至少 12 個(gè)歷史口令。 （ 10）口令不能通過明文電子郵件傳輸。 （ 11）所有供應(yīng)商 的默認(rèn)口令必須更改。 （ 12）用戶應(yīng)在不同的系統(tǒng)中使用不同的口令。 （ 13）當(dāng)懷疑口令泄露時(shí)必須予以更改。 （ 14）應(yīng)該控制登錄嘗試的頻率。 13. 簡述可接受使用策略 AUP 的內(nèi)容。 答： AUP 通常包含以下主要內(nèi)容： (1)概述，描述什么是 AUP，企業(yè)、組織發(fā)布 AUP 的目的，制定 AUP 的原則以及一些必要的法律聲明等。 (2)安全策略說明，說明制定 AUP 所依據(jù)的信息安全策略，提示用戶信息安全策略的更改會(huì)影響到AUP 的修訂，并且告訴用戶從哪里可以獲得詳細(xì)的信息安全策略文檔。 (3)術(shù)語說明， 將 AUP 中涉及的術(shù)語名詞，以及 AUP 簽署生效的有效時(shí)間進(jìn)行說明。 (4)用戶責(zé)任，對(duì)信息安全策略中所涉及到用戶的信息安全責(zé)任內(nèi)容，應(yīng)當(dāng)進(jìn)行總結(jié)和提煉，以簡單明了的語言進(jìn)行闡述，使得用戶充分了解自己對(duì)于企業(yè)、組織信息安全所承擔(dān)的責(zé)任和義務(wù)。 14. 簡述入侵檢測(cè)系統(tǒng) IDS 所采取的兩種主要方法。 答： (1)誤用檢測(cè)：通過對(duì)比已知攻擊手段及系統(tǒng)漏洞的簽名特征來判斷系統(tǒng)中是否有入侵行為發(fā)生。具體地說，根據(jù)靜態(tài)的、預(yù)先定好的簽名集合來過濾網(wǎng)絡(luò)中的數(shù)據(jù)流 (主要是 IP 層 )，一旦發(fā)現(xiàn)數(shù)據(jù)包特征與某個(gè)簽名相匹配，則認(rèn) 為是一次入侵。 (2)異常檢測(cè)：指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不以來具體行為是否出想來檢測(cè)，所以也被稱為基于行為的檢測(cè)。異常檢測(cè)利用統(tǒng)計(jì)或特征分析的方法來檢測(cè)系統(tǒng)的異常行為。首先定義檢測(cè)假設(shè)，任何對(duì)系統(tǒng)的入侵和誤操作都會(huì)導(dǎo)致系統(tǒng)異常，這樣對(duì)入侵的檢測(cè)就可以歸結(jié)到對(duì)系統(tǒng)異常的檢測(cè)。 15. 簡述我們信息安全保護(hù)等級(jí)的含義。 答：信息安全等級(jí)保護(hù)是指： (1)對(duì)國家秘密信息、法人或其它組織及公民的專有信息以及公開信息的存儲(chǔ)、傳輸和處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)； (2)對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理； (3)對(duì)信息系統(tǒng)中發(fā)生的信息安全事件按照等級(jí)進(jìn)行響應(yīng)和處置等。 16. 簡述我國信息安全等級(jí)保護(hù)的級(jí)別劃分。 答： (1)第一級(jí)為自我保護(hù)級(jí)。其主要對(duì)象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)公民、法人和其它組織的合法權(quán)益產(chǎn)生損害，但不損害國家安全、社會(huì)秩序和公共利益；本級(jí)系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。 (2)第二級(jí)為指導(dǎo)保護(hù)級(jí)。其主要對(duì)象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)社會(huì) 秩序和公共利益造成輕微損害，但不損害國家安全；本級(jí)系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，必要時(shí)，信息安全監(jiān)管職能部門對(duì)其進(jìn)行指導(dǎo)。 (3)第三級(jí)為監(jiān)管保護(hù)級(jí)。其主要對(duì)象為涉及國家安全、社會(huì)秩序和公共利益的主要信息系統(tǒng)，器業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序和公共利益造成較大損害；本機(jī)系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對(duì)其進(jìn)行監(jiān)督、檢查。 (4)第四級(jí)為強(qiáng)制保護(hù)級(jí)。其主要對(duì)象為涉及國家安全、社會(huì)秩序和公共利益的主要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害；本級(jí)系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對(duì)其進(jìn)行強(qiáng)制監(jiān)督、檢查。 (5)第五級(jí)為專控保護(hù)級(jí)。其主要對(duì)象為涉及國家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)國家安全社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害；本級(jí)系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù) ，國家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督、檢查。 17. 簡述信息安全等級(jí)保護(hù)的實(shí)施過程。 答：對(duì)信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)的過程劃分為五個(gè)階段，即系統(tǒng)安全定級(jí)階段、安全規(guī)劃設(shè)計(jì)階段、安全實(shí)施階段、安全運(yùn)行維護(hù)階段和系統(tǒng)終止階段。 具體如下： 安全定級(jí) → 安全規(guī)劃設(shè)計(jì) → 安全實(shí)施 → 安全運(yùn)行維護(hù) → 系統(tǒng)終止 安全運(yùn)行維護(hù) 局部調(diào)整 安全實(shí)施 安全運(yùn)行維護(hù) 重大變化 安全定級(jí) 18. 簡述信息安全風(fēng)險(xiǎn)的計(jì)算過程。 答：風(fēng)險(xiǎn)計(jì)算的過程是： (1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)賦值； (2)對(duì)威脅進(jìn)行分析 ，并對(duì)威脅發(fā)生的可能性賦值； (3)識(shí)別信息資產(chǎn)的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行賦值； (4)根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性； (5)結(jié)合信息資產(chǎn)的重要性和該資產(chǎn)發(fā)生安全事件的可能性計(jì)算信息資產(chǎn)的風(fēng)險(xiǎn)值。 19. 一個(gè)公司投資 50 萬美元建立一個(gè)網(wǎng)絡(luò)運(yùn)營中心，經(jīng)過評(píng)估，最大的風(fēng)險(xiǎn)是發(fā)生火災(zāi)，每次火災(zāi)大概造成 45%的資產(chǎn)損失，經(jīng)過統(tǒng)計(jì)，該地區(qū)每 5 年發(fā)生一次火災(zāi)，試通過定量分析的方法，計(jì)算風(fēng)險(xiǎn)造成的損失。 答： 資產(chǎn)價(jià)值 AV=50 萬美元 暴露因子 EF=45% 單一損失期望 SLE=AVEF= 萬美元 年度發(fā)生率 ARO=20% 年度損失期望 ALE=SLEARO= 萬美元 20. 簡述信息安全脆弱性的分類及其內(nèi)容。 答：信息安全脆弱性的分類及其內(nèi)容如下所示； 脆弱性分類： 一、技術(shù)脆弱性 物理安全：物理設(shè)備的訪問控制、電力供應(yīng)等 網(wǎng)絡(luò)安全：基礎(chǔ)網(wǎng)絡(luò)構(gòu)架、網(wǎng)絡(luò)傳輸加密、訪問控制、網(wǎng)絡(luò)設(shè)備安全漏洞、設(shè)備配置安全等 系統(tǒng)安全：應(yīng)用軟件安全漏洞、軟件安全功能、數(shù)據(jù)防護(hù)等 應(yīng)用安全：應(yīng)用軟件安全漏洞、軟件安全功能、數(shù)據(jù)防護(hù)等 二、管理脆弱性 安全管理：安全策略、組織安全、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性、符合性 21. 簡述單位、組織的信息安全管理工作如何與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全檢查部門（公安網(wǎng)監(jiān)部門）相配合。 答： 單位、組織的信息安全管理工作與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門之間的配合主要體現(xiàn)在以下方面： （ 1）單位、組織的信息安全管理，必須遵循信息安全法律、法規(guī)對(duì)于安全管理職責(zé)、備案、禁止行為、安全管理制度和安全技術(shù)機(jī)制要求等方面的內(nèi)容規(guī)定。