标准体系下的信息安全技术发展趋势

《信息安全技术》习题及答案

精心整理连云港专业技术继续教育—网络信息安全总题库及答 案 信息安全技术试题及答案 1. 2. 3. 4. 5. 6. 7. 8. 9., 10. 11. 12. 1. 2. 3.对目前大量的数据备份来说，磁带是应用得最广的介质。√ 4.增量备份是备份从上次完全备份后更新的全部数据文件。× 5.容灾等级通用的国际标准SHARE78将容灾分成了六级。× 6.容灾就是数据备份。× 7.数据越重要，容灾等级越高。√ 8.容灾项目的实施过程是周而复始的。√ 9.如果系统在一段时间内没有出现问题，就可以不用再进行容灾了。×

二、单选题 1.代表了当灾难发生后，数据的恢复程度的指标是 A.RPO B.RTO C.NRO D.SDO 2.代表了当灾难发生后，数据的恢复时间的指标是 A.RPO B.RTO C.NRO D.SD0 3.容灾的目的和实质是 A.数据备份 B.心理安慰 C.保持信息系统的业务持续性 D.系统的有益补充 4.容灾项目实施过程的分析阶段，需要进行 A. C. 5. 一。 A. 6. A. C. 7. A. 8、 A 9、 A 12、 A 1. A. C. E成本 2.系统数据备份包括的对象有一一一。 A.配置文件 B.日志文件 C.用户文档 D.系统设备文件 3.容灾等级越高，则一一一。 A.业务恢复时间越短C.所需要成本越高 B.所需人员越多D.保护的数据越重要 4、数据安全备份有几种策略（） A、全备份； B、增量备份； C、差异备份； D、手工备份 5、建立DisasterRecovery（容灾系统）的前提是什么（）多选

A、自然灾害（地震、火灾，水灾...)； B、人为灾害（错误操作、黑客攻击、病毒发作...) C、技术风险（设备失效、软件错误、电力失效...） 6、IBMTSMFastback可以支持数据库系统包括（）多选 A、MSSQL； B、Oracle； C、DB2； D、MYSQL 7、IBMTSMFastback可以支持的存储介质包括（） A、磁带介质； B、磁盘介质； C、磁带库； D、磁盘柜 基础安全技术 系统安全 1.× 2. (如 3. 5. 6. 7. A.本地帐号 B.域帐号 C.来宾帐号 D.局部帐号 3.计算机网络组织结构中有两种基本结构，分别是域和 A.用户组 B.工作组 C.本地组 D.全局组 4.某公司的工作时间是上午8点半至12点，下午1点至5点半，每次系统备份需要一个半小时，下列适合作为系统数据备份的时间是一一一。 A.上午8点 B.中午12点 C.下午3点 D.凌晨1点 5、.FTP(文件传输协议,FileTransferProtocol,简称HP)服务、SMTP(简单邮件传输协议,SimpleMailTransferProtocol,简称SMTP)服务、HTTP(超文本传输协

信息安全技术保障措施.doc

信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展，还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对有毒有害的信息进行过滤、对用户信息进行保密，确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,并与专业网络安全公司合作，做好安全策略,拒绝外来的恶意攻击，保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，主页维护者、邮箱使用者和对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能，对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。

8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设，内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统，定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息（即“九不准”），一经发现，立即删除。 3、遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定，网站将保存60天内系统运行日志和用户使用日志记录，短信服务系统将保存5个月以内的系统及用户收发短信记录。

论网络与信息安全的重要性以及相关技术的发展前景

论网络与信息安全的重要性以及相关技术 的发展前景 信息技术应用研究计算机光盘软件与应用ComputerCDSoftwareandApplications2011 年第2 期论网络与信息安全的重要性以及相关技术的发展前景陆成长2,钟世红 (1.中国海洋大学,山东青岛266100;2.潍柴动力股份有限公司,山东潍坊261001) 摘要:随着科技的发展,互联网的普及,电子商务的扩展,信息化水平的大幅度提高, 网络与信息安全也越来越受 到重视.本文将立足现实,浅析网络与信息安全的重要性以及相关技术的发展前景. 关奠词:网络;信息;网络与信息安全;重要性;发展前景 中圈分类号：TP309文献标识码:A文章墙号：1007—9599(2011)02-0016—01 TheImportanceofNetwork&Information SecurityandRelatedTechnologyDevelopmentProspects LuChengzhang~.2, ZhongShihong= (1.ChinaOceanUniversity,Qingdao266100,China;2.WeichaiPowerCo.,Ltd.,Weifang26 1001,China) Abstract：Withtechnologydevelopment,popularityoftheImernet,e-commerceexpansion, substantialincreaseinthelevelof informationtechnology,networkandinf~mafionsecuritygetmoreandmoreattention.Thisa rticlebasedOnreality,discussthe importanceofnetworkandinformationsecurityandre~tedtechnologydevelopmentprospe cts. Keywords：Network;Infolmation;Networkandinformationsecurity;Importance;Develop mentprospects 网络与信息安全,除了特指互联网外,还包括固定电话,移动电话,传真机等通信网络

信息安全技术与云运维专业国内培训方案

信息安全技术与云运维专业国内培训方案为了贯彻《教育部财政部关于实施职业院校教师素质提高计划的意见》要求，根据《关于做好2014年度高等职业学校专业骨干教师国家级培训项目申报工作的通知》（教职成司函〔2013〕228号）精神，南京富士通南大软件技术有限公司等3家企业与南京工业职业技术学院协商研讨，共同制订本培训方案。 一、机构背景与培训能力 南京工业职业技术学院是一所具有九十多年办学历程的全日制公办普通高校，为我国首批国家示范性高等职业院校。学院的基本情况可以用“五个一”概括：一是我国第一所专门从事职业教育并以“职业”冠名的学校；二是江苏省第一所获得教育部高职高专人才培养工作水平评估“优秀”的学校；三是“国家示范性高职院校建设计划”首批立项建设和首批通过验收的学校；四是高中后招生录取分数线连续3年江苏省同类院校最高；五是江苏省首批人才强校试点单位。计算机与软件学院信息安全管理专业是我院重点建设专业，代表江苏省参加两届全国职业院校技能大赛“信息安全管理”赛项获二等奖、一等奖，为江苏省最好成绩。 南京工业职业技术学院在师资顶岗培训、学生订单培养、顶岗实习、就业等方面与南京神州数码网络技术有限公司进行了多层面的深度合作，签署了校企合作框架协议、师资培养协议以及学生顶岗实习就业协议等一系列合作协议。学院2位教师具有信息安全管理与评估的工程经验，评估与加固许多企业安全项目。 二、培训能力 南京工业职业技术学院网络信息安全管理专业现有师资队伍中有教授1人，副教授4人，92%研究生以上学历，均为“双师型”教师，教师累计在信息安全领域对企业服务次数达数十次，涉及信息安全评估、信息安全加固等方向，累计到账金额约5万元。另聘请了网监处2名行业专家，及信息安全相关企业的技术人员7人为本专业兼职教师。本专业拥有150平方米校内“网络与信息安全实训中心”，拥有信息安全技术工作室一个，积累行业知识与案例达5G容量。校外有神州数码等十家大中型信息安全服务企业作为实训基地。2012年承担信息安全专业教师培训，完成省级以上高校教师培训50余人次。2012年南京工业职业技术学院与南京富士通南大软件技术有限公司合作，共建南工院云计算中心，中心占地面积130平米。具备了提供云计算技术培训、云计算教学环境构建与运行的能力。 三、培训专业范围 依据南京工业职业技术在信息安全技术领域的专业积累，结合神州数码网络技术有限公司、南京富士通南大软件技术有限公司企业研发与生产领域，本次培训涉及网络安全管理、信息安全监查、安全评估、等级保护评测、云计算平台的构建与运维等知识与实践领域，对引导各职业进行信息安全专业建设、云计算技术普及与推广有促进作用。 四、培训目标 信息安全技术与云运维骨干教师培训班，旨在实现对职业院校信息安全专业骨干教师职业能力的一次强化，通过培训学习，使学员了解信息安全知识与技能体系，用现代职业教育理念与方法承载信息安全领域实战能力；掌握信息安全管理与评估行业主轴；了解和掌握当前云计算技术的主流技术、平台构建和运维管理。通过学习培训，掌握相关专业建设和课程开发能力、教学方法设计能力和实践教学能力；共同探讨新形势下信息安全与云计算技术应用与管理相关专业人才培养模式的创新以及“双师结构”专业教学团队的建设问题。同时扩大职业院校间的交流与合作，发挥国家示范性院校引领和辐射作用。 五、培训内容 本培训内容突出专业领域新理论、前沿技术及关键技能的培养，基于信息安全管理与评估职业领域的发展及对人才技能的需求，以“项目教学、实境训练”为特征的理论、实践相融合作为切入点，引导教学内容和教学方法改革。 主要培训内容如下：

信息安全管理体系研究

信息安全管理体系研究 摘要：随着信息技术的不断应用，信息安全管理已经逐渐成为各企业或各机构管理体系的重要组成部分。了解信息安全对企业发展的重要性，制定科学合理的方案构建完善的信息安全管理体系，是当前企业发展中需要解决的问题之一。 关键词：信息;管理体系;安全 一、概述 信息安全管理是指在信息的使用、存储、传输过程中做好安全保护工作，保持信息的保密性、完整性和可用性。其中，保密性是指保障信息仅能被具有使用权限的人获取或使用;完整性指为信息及其处理方法的准确性和完整性提供保护措施;可用性则指使用权限的人可在需要时获取和使用相关的信息资产。因此，做好信息安全管理体系的研究对于提升信息的安全性具有现实意义。 二、信息安全管理体系 2.1 信息安全管理体系介绍根据网络安全相关统计表明，网络信息安全事故中由于管理问题导致出现安全事故的高达70%以上，因此解决网络信息的安全问题，除从技术层面进行改进外，还应加强网络信息的安全管理力度。信息安全管理体系的建设是一项长期的、系统的、复杂的工程，在建设信息安全管理体系时，应对整个网络系统的各个环节进行综合考虑、规划和构架，并根据各个要素的变化情况对管理体系进行必要的调整，任何环节存在安全缺陷都可能会影响整个体系的安全。 2.2 信息安全管理体系的功能信息安全管理是指导企业对于信息安全风险相互协调的活动，这种指导性活动主要包括信息安全方针的制定、风险评估、安全保障、控制目标及方式选择等。企业要实现对信息资产进行安全、高效、动态的管理，就需要建立科学、完善、标准的信息安全管理体系。因此，一个有效的信息安全管理体系应该具备以下功能：对企业的重要信息资产进行全面的保护，维持企业的竞争优势;使企业能在预防和持续发展的观点上处理突发事件，当信息系统受到非法入侵时，能使相关的业务损失降到最低，并能维持基本的业务开展;使企业的合作伙伴和客户对企业充满信心;能使企业定期对系统进行更新和控制，以应对新的安全威胁。 三、信息安全管理体系的构建 3.1 信息安全管理框架的建立

现行国家信息安全技术标准

现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分：总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号

未来信息安全技术发展四大趋势

未来信息安全技术发展四大趋势 可信化： 这个趋势是指从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。近年来计算机安全问题愈演愈烈，传统安全理念很非常难有所突破，人们试图利用可信计算的理念来解决计算机安全问题，其主要思想是在硬件平台上引入安全芯片，从而将一点（不多的意思）或几个计算平台变为“可信”的计算平台。目前还有很非常多问题需要研究跟探索，就像如基于TCP的访问控制、基于TCP的安全操作系统、基于TCP的安全中间件、基于TCP的安全应用等。 网络化： 由网络应用、普及引发的技术与应用模式的变革，正在进一步推动信息安全关键技术的创新开展，并诱发新技术与应用模式的发现。就像如安全中间件，安全管理与安全监控都是网络化开展的带来的必然的开展方向；网络病毒与垃圾信息防范都是网络化带来的一些安全性问题；网络可生存性；网络信任都是要继续研究的领域…… 标准化： 发达国家地区高度重视标准化的趋势，现在逐步渗透到发展中国家都应重视标准化问题。逐步体现专利标准化、标准专利化的观点。安全技术也要走向国际，也要走向应用。我国政府、产业界、学术界等必将更加高度重视信息安全标准的研究与制定工作的进一步深化与细化，就像如密码算法类标准（加密算法、签名算法、密码算法接口）、安全认证与授权类标准（PKI、PMI、生物认证）、安全评估类标准（安全评估准则、方法、规范）、系统与网络类安全标准（安全体系结构、安全操作系统、安全数据库、安全路由器、可信计算平台）、安全管理类标准（防信息泄漏、质量保证、机房设计）等。 集成化： 即从单一功能信息安全技术与产品，向多种功能融于某一个产品，或者是几个功能相结合的集成化产品，不再以单一的形式发现，否则产品太多了，也

职业安全卫生管理体系标准化的发展趋势

职业安全卫生管理体系标准化的发展趋势 集团公司文件内部编码：（TTT-UUTT-MMYB-URTTY-ITTLTY-

职业安全卫生管理体系标准化的发展趋势职业安全卫生管理体系标准化的发展趋势 尽管职业安全卫生管理体系的标准化与质量、环境管理体系的标准化具有同样的重要性，但在发展进程上却相对落后，至今还没有一个统一的国际标准。职业安全卫生管理体系标准化的发展趋势，受到世界各国的密切关注，鉴于这一共识，世界上很多国家或地区都在积极开展职业安全卫生管理体系的标准化工作。 职业安全卫生管理体系标准化的国际发展趋势 ISO是在1995年上半年正式开展职业安全卫生管理体系标准化工作，世界各国早就认识到职业安全卫生管理体系标准化是一种必然的发展趋势，并着手本国或本地区的职业安全卫生管理体系标准化工作。据不完全统计，世界上已有三十余个国家有相应的职业安全卫生管理体系标准，最为典型的当属澳大利亚，其国家内部有较为完整的标准系列、正规的培训机构和初步完善的国家认证制度。职业安全卫生管理体系标准化，在国际区域范围内发展也较为迅速，亚太地区职业安全卫生组织（APOSHO），在近年来的几次年会上，都组织各成员对此进行研讨，特别是在1998年的第14年会上建议，各成员组织参照ISO14000和APOSHO1000（草案）开发本国的标准。欧、大、亚、非一些国家标准化

组织及认证机构共同参与制定："OccupationalHealthandSafetyAssessmentSeries(OHSAS18000)"，现已颁布了"OccupationalHealthandSafetyManagementSystems-Specification(OHSAS18001)"。国际劳工组织（ILO）也在开展职业安全卫生管理体系标准化工作，在1999年4月第15届世界职业安全卫生大会上，ILO负责人指出，ILO将像贯彻ISO9000和ISO14000进行认证那样，研究进行企业职业安全卫生管理的评价。 职业安全卫生管理体系标准化也迅速被企业所采纳。例如，美国的很多企业现正在引进职业安全卫生管理体系。其主要原因是：在当初考虑引进时，企业往往担心成本上的问题，但是实际引进以后，企业感到该系统能够极大地提高企业自身的功能，逐渐地被企业所接受和理解。另外，职业安全卫生管理体系是组织严密、切实可行的文件形式，它能够和美国目前各企业现存的检审系统（该系统是定期和评价企业的实施程序是否遵守国家和地方州政府的法令、标准）相匹配。在各个企业竞争的条件下，采用职业安全卫生管理体系可以使企业处于有利的位置。 根据国际上职业安全卫生管理体系标准化目前的发展趋势，权威人士认为，ISO、ILO等国际组织会就此问题进一步深入、迅速地开展工作。

信息安全技术 IPSec VPN安全接入基本要求与实施指南(标准状态：现行)

I C S35.040 L80 中华人民共和国国家标准 G B/T32922 2016 信息安全技术I P S e cV P N安全接入 基本要求与实施指南 I n f o r m a t i o n s e c u r i t y t e c h n o l o g y B a s e l i n e a n d i m p l e m e n t a t i o n g u i d e o f I P S e cV P Ns e c u r i n g a c c e s s 2016-08-29发布2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布

目 次 前言Ⅰ 引言Ⅱ 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语2 5 I P S e cV P N 安全接入场景3 5.1 网关到网关的安全接入场景3 5.2 终端到网关的安全接入场景3 6 I P S e cV P N 安全接入基本要求3 6.1 I P S e cV P N 网关技术要求3 6.2 I P S e cV P N 客户端技术要求5 6.3 安全管理要求5 7 实施指南6 7.1 概述6 7.2 需求分析7 7.3 方案设计7 7.4 配置实施7 7.5 测试与备案8 7.6 运行管理8 附录A (资料性附录) 典型应用案例9 附录B (资料性附录) I P v 6过渡技术12 参考文献14 G B /T 32922 2016

G B/T32922 2016 前言 本标准按照G B/T1.1 2009给出的规则起草三 本标准由全国信息安全标准化技术委员会(S A C/T C260)提出并归口三 本标准起草单位:国家信息中心二华为技术有限公司二中安网脉(北京)技术股份有限公司二网神信息技术(北京)股份有限公司二北京天融信科技股份有限公司二迈普通信技术股份有限公司三本标准主要起草人:罗海宁二周民二吕品二冷默二黄敏二徐浩二张锐卿二任献永二徐惠清二邵国安三 Ⅰ

信息安全技术发展现状及发展趋势

信息安全技术发展现状及发展趋势 摘要：随着信息化建设步伐的加快，人们对信息安全的关注程度越来越高。,信息安全的内涵也在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。信息安全涉及数学、物理、网络、通信和计算机诸多学科的知识。与其他学科相比,信息安全的研究更强调自主性和创新性。本文对信息安全技术发展现状和趋势问题作一粗浅分析。 关键词：密码学；信息安全；发展现状 引言 网络发展到今天，对于网络与信息系统的安全概念，尽管越来越被人们认识和重视，但仍还有许多问题还没有解决。这是因为在开放网络环境下，一些安全技术还不完善，许多评判指标还不统一，于是网络与信息安全领域的研究人员和技术人员需要为共同探讨和解决一些敏感而又现实的安全技术问题而努力。 目前，信息安全技术涉及的领域还包括黑客的攻防、网络安全管理、网络安全评估、网络犯罪取证等方面的技术。信息安全不仅关系到个人、企事业单位，还关系到国家安全。21世纪的战争，实际上很大程度上取决于我们在信息对抗方面的能力。 信息安全技术从理论到安全产品，主要以现代密码学的研究为核心，包括安全协议、安全体系结构、信息对抗、安全检测和评估等关键技术。以此为基础，还出现了一大批安全产品。下面就目前信息安全技术的现状及研究的热点问题作一些介绍。 现今信息安全问题面临着前所未有的挑战，常见的安全威胁有：第一，信息泄露。信息被泄露或透露给某个非授权的实体。第二，破坏信息的完整性。数据被非授权地进行增删、修改或破坏而受到损失。第三，拒绝服务。对信息或其他资源的合法访问无条件地阻止。第四，非法使用（非授权访问）。某一资源被某个非授权的人，或以非授权的方式使用。第五，窃听。用各种可能的合法或非法的的信息资源和敏感信息。第六，业务流分析。通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。第七，假冒。通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。第八，旁路控制。攻击者利用系统的安全缺陷或安全性上的脆弱之处获得

信息安全技术课后答案-2

Ch01 1. 对于信息的功能特征，它的____基本功能_____在于维持和强化世界的有序性动态性。 2. 对于信息的功能特征，它的____社会功能____表现为维系社会的生存、促进人类文明的进步和自身的发展。 3. 信息技术主要分为感测与识别技术、__信息传递技术__、信息处理与再生技术、信息的施用技术等四大类。 4. 信息系统是指基于计算机技术和网络通信技术的系统，是人、_____规程_________、数据库、硬件和软 件等各种设备、工具的有机集合。 5. 在信息安全领域，重点关注的是与____信息处理生活周期________相关的各个环节。 6. 信息化社会发展三要素是物质、能源和____信息________。 7. 信息安全的基本目标应该是保护信息的性、____完整性________、可用性、可控性和不可抵赖性。 8. ____性________指保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的容，因 而不能使用。 9. ____完整性________指维护信息的一致性，即在信息生成、传输、存储和使用过程中不应发生人为或非 人为的非授权篡改。 10._____可用性_______指授权用户在需要时能不受其他因素的影响，方便地使用所需信息。这一目标是对 信息系统的总体可靠性要求。 11.____可控性________指信息在整个生命周期都可由合法拥有者加以安全的控制。 12.____不可抵赖性________指保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为。 13.PDRR模型，即“信息保障”模型，作为信息安全的目标，是由信息的____保护____、信息使用中的___ 检测____、信息受影响或攻击时的____响应____和受损后的___恢复____组成的。 14.当前信息安全的整体解决方案是PDRR模型和___安全管理_________的整合应用。 15.DoS破坏了信息的（ C ）。 A. 性 B. 完整性 C. 可用性 D. 可控性 16.用户收到了一封可疑的电子，要求用户提供银行账户及密码，这是属于何种攻击手段？（B） A. 缓冲区溢出 攻击 B. 钓鱼攻击 C. 后门攻击 D. DDoS攻击 17.在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的，这是对（A）的攻击。 A. 可用性 B. 性 C. 完整性 D. 真实性 18.以下哪种形式不是信息的基本形态？D A. 数据 B. 文本 C. 声音和图像 D. 文稿 19.OSI七层模型中，表示层的功能不包括（ C ）。 A. 加密解密 B. 压缩解压缩 C. 差错检验 D. 数据格式转换 20.一般认为，信息化社会的发展要素不包括（ A ）。

全国计算机等级考试三级信息安全技术知识点总结71766

第一章信息安全保障概述 1.1信息安全保障背景 1.什么是信息？ 事物运行的状态和状态变化的方式。 2.信息技术发展的各个阶段？ a.电讯技术的发明 b.计算机技术发展 c.互联网的使用 3.信息技术的消极影响？ 信息泛滥、信息污染、信息犯罪。 4.信息安全发展阶段？ a.信息保密 b.计算机安全 c.信息安全保障 5.信息安全保障的含义？ 运行系统的安全、系统信息的安全6.信息安全的基本属性？

机密性、完整性、可用性、可控性、不可否认性 7信息安全保障体系框架？ 保障因素：技术、管理、工程、人员 安全特征：保密性、完整性、可用性 生命周期：规划组织、开发采购、实施交付、运行维护、废弃8.P2DR模型？ 策略(核心)、防护、监测、响应 9.IATF信息保障的指导性文件？ 核心要素：人员、技术(重点)、操作 10.IATF中4个技术框架焦点域？ a.保护本地计算环境 b.保护区域边界 c.保护网络及基础设施 d.保护支持性基础设施 11.信息安全保障工作的内容？ a.确定安全需要 b.设计实施安全方案

d.实施信息安全监控和维护 12.信息安全评测的流程？ 见课本p19图1.4 受理申请、静态评测、现场评测、风险分析 13.信息监控的流程？ 见课本p20图1.5 受理申请、非现场准备、现场准备、现场监控、综合分析 1.1.1信息技术及其发展阶段 信息技术两个方面：生产：信息技术产业；应用：信息技术扩散 信息技术核心：微电子技术，通信技术，计算机技术，网络技术 第一阶段，电讯技术的发明；第二阶段，计算机技术的发展；第三阶段，互联网的使用 1.1.2信息技术的影响 积极：社会发展，科技进步，人类生活 消极：信息泛滥，信息污染，信息犯罪 1.2信息安全保障基础

网络安全评估指标体系研究.doc

研究报告二网络安全评估标准研究报告 一、研究现状 随着网络技术的发展，计算机病毒、网络入侵与攻击等各种网络安全事件给网络带来的威胁和危害越来越大，需对网络数据流进行特征分析，得出网络入侵、攻击和病毒的行为模式，以采取相应的预防措施。宏观网络的数据流日趋增大，其特征在多方面都有体现。为了系统效率，只需对能体现网络安全事件发生程度与危害的重点特征进行分析，并得出反映网络安全事件的重点特征，形成安全评估指标。 随着信息技术与网络技术的迅猛发展, 信息安全已经成为全球共同关注的话题, 信息安全管理体系逐渐成为确保组织信息安全的基本要求, 同时网络与信息安全标准化工作是信息安全保障体系建设的重要组成部分。网络与信息安全标准研究与制定为管理信息安全设备提供了有效的技术依据, 这对于保证安全设备的正常运行和网络信息系统的运行安全和信息安全具有非常重要的意义。本文将介绍当前网络信息安全标准研究的现状, 并着重介绍几个现阶段国内外较流行的安全标准。 近年来，面对日益严峻的网络安全形式，网络安全技术成为国内外网络安全专家研究的焦点。长期以来，防火墙、入侵检测技术和病毒检测技术被作为网络安全防护的主要手段，但随着安全事件的日益增多，被动防御已经不能满足我们的需要。这种情况下，系统化、自动化的网络安全管理需求逐渐升温，其中，如何实现网络安全信息融合，如何真实、准确的评估对网络系统的安全态势已经成为网络安全领域的一个研究热点。 对网络安全评估主要集中在漏洞的探测和发现上，而对发现的漏洞如何进行安全级别的评估分析还十分有限，大多采用基于专家经验的评估方法，定性地对漏洞的严重性等级进行划分，其评估结果并不随着时间、地点的变化而变化，不能真实地反映系统实际存在的安全隐患状况。再加上现在的漏洞评估产品存在误报、漏报现象，使得安全管理员很难确定到底哪个漏洞对系统的危害性比较大，以便采取措施降低系统的风险水平。因此，我们认为：漏洞的评估应该充分考虑漏洞本身的有关参数及系统的实际运行数据两方面信息，在此基础上，建立一个基于信息融合的网络安全评估分析模型，得到准确的评估结果 2 相关工作 现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSE-CMM ( Systems Security Engineering Capability MaturityModel)等。大部分通用的信息安全标准,如ISO 17799,ISO13335等,其核心思想都是基于风险的安全理念[4-6]。信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅隆大学系统安全工程能力成熟度模型SSE-CMM[4]较早地建立了信息安全保障评价指标体系[5,6]。Rayford B.Vaughn[7]和Nabil Seddigh[8]等人研究了信息安全保障评价的概念和范畴,给出了信息安全保障评价的框架。在国内,国家信息中心[9,10]研究了网络信息

信息安全等级保护标准规范

信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

国际信息安全技术发展趋势及对策建议

构建信息安全体系推广自主可控产品——国际信息安全技术发展趋势及对策建议 中电科技国际贸易有限公司总经理闫立金 “大力发展具有自主知识产权的信息安全技术产品，依靠自主创新，努力做到自主可控，实现我国重要信息安全系统技术和装备的国产化。” 随着信息化技术的不断发展和广泛应用，信息正逐渐成为人类社会发展的重要战略资源。信息安全已成为维护国家安全和社会稳定的重要基石。世界各国对信息安全的重视程度不断提高，发展信息安全技术已成为世界各国信息化建设的重要任务，而信息安全技术水平也成为衡量一个国家综合国力的重要标志之一。 国际信息安全发展趋势 近几年来，国际信息安全领域动作频繁，各国政府、军队、相关企业成为该领域的主角。云计算、云安全、物联网、智慧地球、智能化安全产品、网络战等新概念、新技术和新产品纷纷粉墨登场，国际信息安全领域的发展呈现出一些新特点和新趋势。 技术发展关联性主动性显著加强 信息安全技术向完整、联动、快速响应的防护系统方向发展，采用系统化的思想和方法构建信息系统安全保障体系成为一种趋势，具有复杂性、动态性、可控性等特点。其中，复杂性体现在网络和系统的生存能力方面；动态性体现在主动实时防护能力方面，包括应急响应与数据恢复、病毒与垃圾信息防范、网络监控与安全管理；可控性则体现在网络和系统的自主可控能力方面，包括高安全等级系统、密码与认证授权、逆向分析与可控性等。 2010年，美国政府实施了一项代号为“完美公民”的信息安全防护项目，旨在保护政府重要基础设施或企业免遭黑客侵袭，国家安全局打算从电网、核电站、空中交通管理系统入手，大力部署网络安全的多层防御体系，最终全面介入基础设施；北约紧随其后拟建立3重安全防御体系“数字盾牌”。种种迹象预示着一种全新的信息安全战略即将实施。基础“有效保护”和“大规模报复”的主动防御技术的建立，使信息安全发展正在向主动防御进行根本性转变。正是由于采取了主动防御的安全策略，“美中经济与安全评估委员会”的一份年度报告表示，2010年可能是最近10年来针对计算机网络攻击最少的一年。 产品呈现高效系统集成化趋势 一方面，随着网络和信息技术的迅猛发展，各种信息安全产品必须不断提高其性能，方能满足高速海量数据环境下的信息安全需求；另一方面，随着网络和信息系统日趋复杂化，将信息安全技术依据一定的安全体系进行设计、整合和集成，从而达到综合防范的目的已成为一种必然趋势。因此，信息安全技术作为关键环节已融入信息系统和产品的设计和生产中，成为不可替代的一个独立模块，信息安全产品的集成化趋势日益显著。 产业形态向服务化方向发展

信息安全体系

一．浅谈信息安全五性的理解 所有的信息安全技术都是为了达到一定的安全目标，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。 1.保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具 有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户不能够获取敏感信息。对纸质文档信息，我们只需要保护好文件，不被非授权者接触即可。 而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄漏。 2.完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态， 使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将带来严重的后果。 3.可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在 信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。 4.可控性(Controlability)是指对信息和信息系统实施安全监控管理，防止非法利用信息 和信息系统。 5.不可否认性(Non-repudiation)是指在网络环境中，信息交换的双方不能否认其在交换 过程中发送信息或接收信息的行为。信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制，实现对保密性、完整性和可用性的有效补充，主要强调授权用户只能在授权范围内进行合法的访问，并对其行为进行监督和审查。 二．WPDRRC模型解析 WPDRRC信息安全模型(见图)是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型，它在PDRR模型的前后增加了预警和反击功能。WPDRRC模型有6个环节和3大要素。6个环节包括预警、保护、检测、响应、恢复和反击，它们具有较强的时序性和动态性，能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。3大要素包括人员、策略和技术，人员是核心，策略是桥梁，技术是保证，落实在WPDRRC 6个环节的各个方面，将安全策略变为安全现实。WPDRRC信息安全模型与其他信息安全模型安全防护功能对比如表1所示。

职业健康安全管理体系标准发展趋势

职业健康安全管理体系标准发展趋势 集团公司文件内部编码：（TTT-UUTT-MMYB-URTTY-ITTLTY-

职业健康安全管理体系标准发展趋势 一、职业健康安全管理体系标准的国际发展趋势 ＩＳＯ９０００质量管理体系系列标准是由ＩＳＯ／ＴＣ１７６（国际标准化组织质量管理和质量保证标准化技术委员会）制定的。ＩＳＯ／ＴＣ２０７是国际标准化组织关于环境管理标准化问题的技术委员会。ＩＳＯ／ＴＣ１７６和ＩＳＯ／ＴＣ２０７在制定各自标准的过程中，都涉及到了职业健康安全问题，两个标准化技术委员会均有意涉足职业健康安全管理体系标准化工作，但由于职业健康安全范围广且复杂，远远超出两个技术委员会的工作范围，因而，在ＩＳＯ９０００和ＩＳＯ１４０００系列标准中，均没有包含职业健康安全的内容。在ＩＳＯ９０００和ＩＳＯ１４０００系列标准颁布和成功实施后，世界范围内更为关注的是职业健康安全管理体系标准化进程。? ＩＳＯ正式开展职业健康安全管理体系标准化工作，是在１９９５年上半年，当时成立了由中、美、英、法、德、日、澳、加、瑞士、瑞典以及ＩＬＯ（国际劳工组织）和ＷＨＯ（世界卫生组织）代表组成的特别工作组，并于１９９５年６月１５日召开了第一次特别工作组会议，但会上各方观点不一。ＩＳＯ遂于１９９６年９月５至６日召开了职业健康安全管理体系标准化研讨会，来自４４个国家及ＩＥＣ、ＩＬＯ、ＷＨＯ等６个国际组织的共计３３１名代表与会，讨论是否将职业健康安全管理体系纳入ＩＳＯ的发展标准中，结果会上各方意见分歧较大。?

ＩＳＯ根据此次会议的研讨结果，于１９９７年１月召开的ＴＭＢ（技术管理局）会议上做出决定，ＩＳＯ目前暂不在职业健康安全管理体系领域开展工作。? 尽管ＩＳＯ做出了当前暂不开展职业健康安全管理体系标准制定工作的决定，但世界各国早就认识到职业健康安全管理体系标准化是一种必然的发展趋势，并着手本国或本地区的职业健康安全管理体系标准化工作。据不完全统计，世界上已有３０余个国家有相应的职业健康安全管理体系标准，最为典型的当属澳大利亚，其国家内部有较为完整的标准系列、正规的培训机构和初步完善的国家认证制度。职业健康安全管理体系标准化在国际区域范围内发展也较为迅速，亚太地区职业健康安全组织（ＡＰＯＳＨＯ）在近年来的几次年会上，都组织各成员国对此进行研讨，特别是在１９９８年的第１４次年会上建议，组织各成员国参照ＩＳＯ１４０００和ＡＰＯＳＨＯ１０００（草案）开发本国的标准。欧、大、亚、非一些国家标准化组织及认证机构共同参与制定了：“ＯｃｃｕｐａｔｉｏｎａｌＨｅａｌｔｈａｎｄＳａｆｅｔｙＡｓｓｅｓｓｍｅｎｔＳｅｒｉｅｓ（ＯＨＳＡＳ１８０００）”。国际劳工组织（ＩＬＯ）也在开展职业健康安全管理体系标准化工作，在１９９９年４月第１５届世界职业健康安全大会上，ＩＬＯ负责人指出，ＩＬＯ将像贯彻ＩＳＯ９０００和ＩＳＯ１４０００标准进行认证那样，进行研究企业职业健康安全管理的评价，ＩＬＯ颁布了职业健康安全管理体系指南标准。?