信息安全管理体系认证的基本知识(2020新版)

( 管理体系 )

单位：_________________________

姓名：_________________________

日期：_________________________

精品文档 / Word文档 / 文字可改

信息安全管理体系认证的基本

知识(2020新版)

Safety management system is the general term for safety management methods that keep pace with the times. In different periods, the same enterprise must have different management systems.

信息安全管理体系认证的基本知识(2020

新版)

一、ISO27001认证的概况

ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。

信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益最大化。

二、ISO27001认证适用范围

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

三、ISO27001认证证书的有效期

ISO27001信息安全管理体系的认证证书有效期是三年。

期间每年要接受发证机构的监督审核（也称为：年检或年审），三年证书到期后，要接受认证机构的再认证（也称为复评或换证）。

四、信息安全管理体系认证的作用

1.符合法律法规要求

证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

2.维护企业的声誉、品牌和客户信任

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

3.履行信息安全管理责任

证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。

4.增强员工的意识、责任感和相关技能

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

5.保持业务持续发展和竞争优势

全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。

6.实现风险管理

有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

7.减少损失，降低成本

ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损

失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度。

云博创意设计

MzYunBo Creative Design Co., Ltd.

信息安全资料

填空题： 1、信息安全是指确保信息的保密性、完整性和________。 答案：可用性难度：1 评析：无知识点：信息安全-概述 2、计算机病毒主要特点有破坏性、________、隐蔽性和可触发性。 答案：传染性难度：1 评析：无知识点：信息安全-计算机病毒及其防治-计算机病毒基本知识 3、传统单机病毒主要包括引导型病毒、________型病毒、宏病毒和混合型病毒。 答案：文件难度：1 评析：无知识点：信息安全-计算机病毒及其防治-计算机病毒基本知识 4、现代网络病毒主要包括________病毒和木马病毒。 答案：蠕虫难度：1 评析：无知识点：信息安全-计算机病毒及其防治-计算机病毒基本知识 5、木马病毒一般是通过电子邮件、在线聊天工具和恶意网页等方式进行传播，多数是利用了操作系统中存在的________。 答案：漏洞难度：2 评析：无知识点：信息安全-计算机病毒及其防治-计算机病毒基本知识 6、木马病毒由两部分组成，客户端和服务器端，其中由黑客控制的是________端。 答案：客户难度：2 评析：无知识点：信息安全-计算机病毒及其防治-计算机病毒基本知识 7、木马病毒由两部分组成，客户端和服务器端，其中隐藏在感染了木马的用户计算机上的是________端。 答案：服务器难度：2 评析：无知识点：信息安全-计算机病毒及其防治-计算机病毒基本知识 8、提高计算机系统安全性的常用方法是定期更新操作系统，安装系统的________，也可以用一些杀毒软件进行系统的“漏洞扫描”，并进行相应的安全设置。 答案：补丁程序难度：1 评析：无知识点：信息安全-计算机病毒及其防治-计算机病毒的防治 9、黑客一般使用Telnet、FTP等软件向目标主机申请服务，如果目标主机有应答就说明它开放了这些端口的________。 答案：服务难度：2 评析：无知识点：信息安全-网络安全-黑客攻防 10、启动防火墙以后，通信数据就会根据防火墙设置的访问规则受到限制，只有被________的网络连接和

信息安全基础知识题集

第一部分信息安全基础知识（673题） 一、判断题 1.防火墙的功能是防止网外未经授权以网的访问。（）对 2.入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。（）错 3.PKI（Public Key Infrastructure）体系定义了完整的身份认证、数字签名、权限管 理标准。（）错 4.更新操作系统厂商发布的核心安全补丁之前应当在正式系统中进行测试，并制订详 细的回退方案。（）错 5.发起大规模的DDOS攻击通常要控制大量的中间网络或系统。（）对 6.应采取措施对信息外网办公计算机的互联网访问情况进行记录，记录要可追溯，并 保存六个月以上。（）对 7.入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对 网络进行监测，从而提供对部攻击、外部攻击的实时防护。（）对 8.IPS在IDS的基础上增加了防御功能，且部署方式也相同。（）错 9.根据公安部信息系统实现等级保护的要求，信息系统的安全保护等级分为五级。（） 对 10.防火墙不能防止部网络用户的攻击，传送已感染病毒的软件和文件、数据驱动型的 攻击。（）对 11.安全的口令，长度不得小于8位字符串，要字母和数字或特殊字符的混合，用户名

和口令禁止相同。（）对 12.涉及二级与三级系统间共用的网络设备、安全设备，采用“就低不就高”的原则， 按二级要求进行防护。（）错 13.隔离装置部属在应用服务器与数据库服务器之间，除具备网络强隔离、地址绑定、 访问控制等功能外，还能够对SQL语句进行必要的解析与过滤，抵御SQL注入攻击。（）对 14.安全域是具有相同或相近的安全需求、相互信任的区域或网络实体的集合，一个安 全域可以被划分为安全子域。（）对 15.公钥密码算法有效解决了对称密码算法的密钥分发问题，因此比对称密码算法更优 秀。（）错 16.安全加密技术分为两大类：对称加密技术和非对称加密技术。两者的主要区别是对 称加密算法在加密、解密过程中使用同一个密钥：而非对称加密算法在加密、解密过程中使用两个不同的密钥。（）对 17.ORACLE默认情况下，口令的传输方式是加密。（）错 18.在ORACLE数据库安装补丁时，不需要关闭所有与数据库有关的服务。（）错 19.在信息安全中，主体、客体及控制策略为访问控制三要素。（）对 20.防火墙可以解决来自部网络的攻击。（）错 21.防火墙作为实现网络边界隔离的设备，其部署应以安全域划分及系统边界整合为前 提，综合考虑边界风险的程度来设定。（）对 22.在等级保护监管中，第二级信息系统的运营、使用单位应当依据国家有关管理规和 技术标准进行保护，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督和检查。（）错

信息安全基本知识

信息安全基本知识 安全体系： 安全方针：积极防范、突出重点、科学管理、持续改进 工作要求：归口管理、控制源头、逐级负责、确保安全 运行模式：“策划—实施—检查—改进（PDCA）” 组织机构：信息安全委员会（领导机构）、信息安全管理办公室（执行机构） 技术等级：内部公开、技术Ⅲ级、技术Ⅱ级、技术Ⅰ级（由低到高）；内部文件按项目管控要求定级，外来文件按客户要求定级；流程：项目单位申请—信息安全办公室初审—信息安全委员会审定 管理期限：技术Ⅰ级>=20年，技术Ⅱ级>=10年，技术Ⅲ级>=5年，内部公开>=1年 电脑管理： 系统密码：密码>=8位、修改< 6 个月、自动屏保< 10分钟，不外借不扩散 密码组成：大小字母、特殊符号、数字任意三种以上组合 软件使用：软件用正版，安装杀毒软件并设置为定期杀毒，开启防火墙，U盘和下载的软件使用前先杀毒设备转用：服务器、电脑、存储介质停止使用或转作它用，必须低级格式化 文件控制： 文件管控：设计文件、工艺文件、质量体系类文件已经进入PDM系统管控 文件使用：各部门文控才有权从PDM系统签收、导出、下载、打印、分发，加盖“PDM受控章”为有效版本，其余途径获取均是不受控文件 文件管理：建立好文件接收、分发、使用、回收等台账管理 关岗键位： 定级要求：以项定级、以级定人； 人员等级：技术Ⅲ级岗位、技术Ⅱ级岗位、技术Ⅰ级岗位 部门申请(关键岗位人员审查审批表)--总经办信用审查(信用审查表)--信息安全办公室审查--信息安全委员会批准 信用等级：A优秀、B良好、C一般、D差 保密协议：劳动合同（普通员工），保密协议（关键岗位），专项保密协议（按项目） 离岗离职：清退信息资产，离职审计(《员工离职信息安全审计控制表》) 外网访问：原则上不许可，特殊情况需审批(填写《互联网申请表》，信息安全办公室同意，公司审批) 邮件收发：使用公司邮箱 电脑要求：技术Ⅱ级及以上，不用笔记本电脑，台式机加锁，物理手段禁USB 存储介质：技术Ⅰ、Ⅱ级不许，技术Ⅲ级受控（技术Ⅰ、Ⅱ级禁用移动介质，技术Ⅲ级使用受控介质) 开机密码：技术Ⅰ级>=10位，技术Ⅱ级>=8位, 技术Ⅲ级无要求 系统密码：技术Ⅰ级>=10位，技术Ⅱ级>=8位,技术Ⅲ级>=8位 客户专区： 公司为保护客户权益，划分了专区管理；专区内禁止直接出现客户名称，禁止拍照、录像，禁止非授权人员进入，禁止客户竞争对手参观、进入；进入专区必须佩带身份卡，非授权人员禁止进入 服务器管理： 账号与分类：管理员最多2人，独立账号和密码，密码长度超10位，更改周期小6月，权限清单需备案日常管理：每周查看日志和升级病毒库，定期杀毒，巡查服务器做记录（《服务器巡查记录表》） 故障处理：规划部负责网络与硬件故障，科技管理部负责软件故障；故障恢复需填《服务器恢复记录表》 机房要求： 保持10 ～ 20℃温度，做好非管理员出入登记，定期巡检填写记录（《机房巡检记录表》） 公共盘： 公共盘设立要备案（信息安全管理办公室备案）； 必须设置访问权限，权限设立要信息安全主管、业务主管批准；建立权限清单并备案信息安全办公室

个人信息安全基本知识

个人信息安全基本知识 信息泄露途径我们个人信息安全的对手国际级对手： 国徽事件、棱镜门、大使馆白盒子启示录橙色方框标明大使馆白盒子，疑似监控装置。 美国驻北京大使馆本人信息窃取者信息接收者美国驻莫斯科大使馆美国驻马德里大使馆专业级的对手： 数据库管理人员（有）无意泄露数据。 例如： 1、通过搜索引擎查询的内容，在登陆替他网站时会出现类似内容的广告。 2、思科等厂商路由器被爆存安全后门或泄露个人信息等等。 生活中随处可见的对手： 计算机爱好者与菜鸟之间的对决。 例如：腾讯网快递短信携带木马，糊弄用户下载软件赚广告收益道德层面上的对手： “别有用心”之人。 （与技术无必然联系）一种是“说者无心，听者有意”：有意听取我们的信息之人。 一种是“普遍撒网，重点捕捞”：骚扰电话、垃圾短信、垃圾邮件。 一种是“唯恐天下不乱”者：病毒、木马、恶意软件、网络钓鱼、网络攻击等防不胜防的个人信息泄露场合 1、必然泄露个人信息的场合（1）发布广告（2）信息公告 2、可能泄露信息的场合（1）公共服务机构：出卖客户信息（2）私营服

务单位：会员卡、中介泄露或出卖（3）其他场合：快递、个人简历等 3、即使不泄露个人信息也会被骚扰的场合（1）电子垃圾：如邮件垃圾、垃圾短信、骚扰电话。 （2）生活小广告：假装送包裹、办车险来套你的个人信息。 为什么现实中系统如此脆弱 1、特例常会让看似完善的设计功亏一篑例如：某地民政部门为了解决当地人的养老问题，建了一所养老院，规定全免费入院需同时满足两个条件：一是“六岁以上”，二是“无儿无女”。 很快，该系统就因一位90 岁高龄的老人被拒收而引起民众对该条件是否“完善”的怀疑。 一位90 岁老人有一个儿子，但他那位64 岁的儿子因为无儿无女，已住进了该养老院。 2、设计角度也存在“横看成岭侧成峰”大思想家庄子认为，“箱子为了防偷，就应该系紧些，但当大盗来了，连绳子带箱子抢走背着跑时，他唯恐你系得不紧呢。”一套自以为设计很完善的系统，优势反而因其自身过于完善而产生矛盾，最后陷入不完善状态。 实例 :第二 次世界大战时，曾有一个有经验的电报监听员，即使敌人频繁地更换密码，仍能快速监听并判断移动中的发报员哪个是团部，哪个是师部。这个谜团直到战争结束才得以揭晓。原来，他判断原则根本就不是解密电文，而是发报员每天向外发出电报的流量。很明显，一个师部一天的电报发送量肯定多于一个团部一天的电报发送量。

信息安全三级知识点

信息安全三级知识点 第一章：信息安全保障基础1：信息安全大致发展经历3 个主要阶段：通信保密阶段，计算机安全阶段和信息安全保障阶段2：现代信息安全主要包含两层含义（1）运行系统的安全（2）完整性，机密性，可用性，可控制性，不可否认性。 3：信息安全产生的根源（1）内因：信息系统的复杂性，包括组成网络通信和信息系统的自身缺陷，互联网的开放性（2）外因：人为因素和自然环境的原因4：信息安全保障体系框架（1）生命周期：规划组织，开发采购，实施交付，运行维护，废弃（2）安全特征：保密性，完整性，可用性（3）保障要素：技术，管理，工程，人员5： P2DR 安全模型 Pt Dt+Rt Pt表示系统为了保护安全气目标设置各种保护后的防护时间，或者理解为在这样的保护方式下，黑客攻击安全目标所花费的时间； Dt代表从入侵者开始发动入侵开始，到系统能够检测到入侵行为所花费的时间 Rt代表从发现入侵行为开始，到系统能够做出足够的响应，讲系统调整到正常状态的时间 Et=Dt+Rt （ Pt =0） Dt 和 Rt的和安全目标系统的暴露时间Et， Et越小系统越安全6：信息安全技术框架（ IATF）：核心思想是纵深防御战略，即采用多层次的，纵深的安全措施来保障用户信息及信息系统的安全。核心因素是人员，技术，操作。 7： IATF4 个技术框架焦点域：本地计算环境，区域边界，网络及基础设施，支撑性基础设施。 8：信息系统安全保障工作的内容包括：确保安全需求，设计和实施安全方案，进行信息安全评测和实施信息安全监控与维护。 第二章：信息安全基础技术与原理1：数据加密标准 DES;高级加密标准AES；数字签名标准 DSS；2：对称密钥的优点：加密解密处理速度快，保密度高，缺点：密钥管理和分发复杂，代价高，数字签名困难3:对称密钥体制：分组密码和序列密码常见的分组密码算法： DES,IDEA,AES 公开的序列算法主要有 RC4， SEAL4：攻击密码体制方法（1）

信息安全基础知识培训考试答案

信息安全基础知识培训试题 姓名：部门：成绩： 一、填空题：每空4分共40分 1、电脑要定期更换（密码）、定期（杀毒），对不明邮件不要轻易（打 开）。 2、信息安全的基本特征是（相对性）、（时效性）、（复杂性）、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素，同时也应该清醒的认识到人是信息 安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的，每个网络环境都有一定程度的漏洞和（风险）。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、（网络设备）、系统主机、工作站、PC机、操作 系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题：每题５分共25分 1、信息安全三要素包括（ A B C ） A 机密性 B 完整性 C 可用性 D 安全性 2、信息安全的重要性体现在以下方面（ＡＢC） A 信息安全是国家安全的需要 B 信息安全是组织持续发展的需要

C 信息安全是保护个人隐私与财产的需要 D 信息安全是维护企业形象的需要 “上传下载”的应用存在的风险包括（ＡＢＣ）在工作当中，、3． A 病毒木马传播 B 身份伪造 C 机密泄露 D 网络欺诈 4、客户端安全的必要措施包括（ ABCDE ） A 安全密码 B 安全补丁更新 C 个人防火墙 D 应用程序使 用安全Ｅ防病毒 5、信息安全管理现状已有的措施包括（ ABCD ） A 兼职的安全管理员 B 物理安全保护 C 机房安全管理制度 D资产管理制度 三、判断题：每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。（ X ） 2、为了信息安全，在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。（√） 3、员工缺乏基本的安全意识，缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。（√） 4、超过70%的信息安全事件，如果事先加强管理，都可以得到避免。（√） 5、由于许多信息系统并非在设计时充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要的管理手段来支持。（√） 6、企业需要建造一个全面、均衡的测量体系，用于评估信息安全管理的效用以及改进反馈建议。（√） 7、通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功

电脑个人信息安全管理

个人信息安全管理 几个基本安全概念 管理重于技术 总体而言，就是做好系统、信息和账户的分级管理和备份工作，即使技术能力比较低的人，也能通过管理手段，保障自己的信息安全。 有限度的防护 对安全的要求及所付出的成本是密切相关的，甚至呈几何级数放大。要评估自己的信息重要程度如何，或是说，被窃取或公开后对事业对自己造成的损失如何，再决定自己投入的技术和资金。 鸡蛋不装到一个篮子里 不要把所有的用户账号与同一个邮箱关联，不要把所有的密码记在一个文档里或放在一个地方。避免这个账号或记录密码的地方被入侵，会让所有的账号失控。 避免雪崩效应 如果一个邮箱丢失，别的邮箱或账号都以这个邮箱作备份，那丢一个就丢了其他的，也不要把所有的密码设成一样或同样的规律。 按最坏的情况做准备 经常问自己，如果电脑丢失、系统崩溃、硬盘崩溃或账号失控的情况出现，自己正在进行的工作会不会无法进行？自己的社交关系会不会无法恢复？信息安全管理，要以最坏的情况出现作预案。

把自己当成透明，他们什么都知道 不管什么人，不管做什么样的安全防护，除非不把秘密记录下来及完全不告诉任何人，否则都有泄密的可能。进行信息安全管理，是为行动争取时间，减少自己的恐惧与损失。 安全的几个层面 系统的安全 主要指的是自己使用的电脑的安全性，包括有无足够强度的登录密码，登录密码是否定期更换，有没有及时升级补丁修复漏洞，有没有安装杀毒和防火墙的软件等。当系统安全出现问题时，一则影响工作效率，二则影响资料的安全，后果不仅仅是白辛苦，也会造成不可挽回原损失。 账户的安全 主要指包括邮箱社交平台等网络应用或服务的安全，一旦失控，轻则导致情况上的恐惧，重则导致资料的丢失，还有一项容易被忽略的，就是人际关系损失。想想看，大家如果主邮箱丢失，有多少人的联系方式就没有了？ 虚拟资产的安全 针对虚拟财产是网络钓鱼及木马的主要目的，反而针对民运人士、媒体人及不同信仰人士往往是少数。大家都使用贝宝支付宝，虚拟资产的安全就变得很重要。 人际网络的安全 很多人把人际网络依赖于网上的某个社交应用，如脸书微博等，如果账号被封杀或失控，在此平台上建立的人际网络也会丢失。人际网络不安全，有往往是因沟通不畅引起，让有心之人搅混水有了可乘之机，他们往往是通过单方面提供不对称信息来达到目的的，如，私下告诉你某人如何如何。

网络信息安全基础知识培训

网络信息安全基础知识培训主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容

(一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 １、安装杀毒软件 ２、要对安装的杀毒软件进行定期的升级和查杀３、及时安装系统补丁

４、最好下网并关机 ５、尽量少使用BT下载，同时下载项目不要太多 ６、不要频繁下载安装免费的新软件 ７、玩游戏时，不要使用外挂 ８、不要使用黑客软件 ９、一旦出现了网络故障，首先从自身查起，扫描本机 如何防范电脑病毒 （一）杜绝传染渠道 病毒的传染主要的两种方式：一是网络，二是软盘与光盘 建议： 1、不使用盗版或来历不明的软件，建议不要使用盗版的杀毒软件 2、写保护所有系统盘，绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件，并经常进行升级

4、对外来程序要使用尽可能多的查毒软件进行检查（包括从硬盘、软盘、局域网、Internet、Email中获得的程序），未经检查的可执行文件不能拷入硬盘，更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份，防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒，预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上，接着用杀毒软件检查一遍，再执行安装或打开命令 9、在使用聊天工具（如QQ、MSN）时，对于一些来历不明的连接不要随意点击；来历不明的文件不要轻易接收 （二）平时的积极预防，定期的查毒，杀毒 （三）发现病毒之后的解决办法 1、在解毒之前，要先备份重要的数据文件

信息安全基础知识培训考试答案

信息安全基础知识培训试题 姓名:部门:成绩: 一、填空题:每空4分共40分 1、电脑要定期更换(密码)、定期(杀毒),对不明邮件不要轻易(打开)。 2、信息安全的基本特征是(相对性)、(时效性)、(复杂性)、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素,同时也应该清醒的认识到人是信息安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的,每个网络环境都有一定程度的漏洞和(风险)。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、(网络设备)、 系统主机、工作站、PC机、操作系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题:每题5分共25分 1、信息安全三要素包括( A B C ) A 机密性 B 完整性 C 可用性

D 安全性 2、信息安全的重要性体现在以下方面(AB C) A 信息安全是国家安全的需要 B 信息安全是组织持续发展的需要 C 信息安全是保护个人隐私与财产的需要 D 信息安全是维护企业形象的需要 3、在工作当中,“上传下载”的应用存在的风险包括(ABC) A 病毒木马传播 B 身份伪造 C 机密泄露 D 网络欺诈 4、客户端安全的必要措施包括( ABCDE ) A 安全密码 B 安全补丁更新 C 个人防火墙 D 应用程序使用安全E防病毒 5、信息安全管理现状已有的措施包括( ABCD )

A 兼职的安全管理员 B 物理安全保护 C 机房安全管理制度 D资产管理制度 三、判断题:每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。( X ) 2、为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。(√) 3、员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。(√) 4、超过70%的信息安全事件,如果事先加强管理,都可以得到避免。(√) 5、由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。(√) 6、企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议。(√) 7、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全,称为信息安全管理。( X ) 第 1 页共1 页

信息安全管理体系iso27基本知识

信息安全管理体系ISO27000认证基本知识 一、什么是信息安全管理体系 信息安全管理体系是在组织内部建立信息安全管理目标，以及完成这些目标所用方法的体系。 ISO/LEC27001是建立、实施和维持信息安全管理体系的标准，通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础，选择控制目标与控制方式等活动建立信息安全管理体系。 二、信息安全的必要性和好处 我国信息安全管理专家沈昌祥介绍，对于我国软件行业，病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生，80%信息泄露都是由内或内外勾结造成，所以建立信息安全管理体系很有必要。 1、识别信息安全风险，增强安全防范意识； 2、明确安全管理职责，强化风险控制责任； 3、明确安全管理要求，规范从业人员行为； 4、保护关键信息资产，保持业务稳定运营； 5、防止外来病毒侵袭，减小最低损失程度； 6、树立公司对外形象，增加客户合作信心； 7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局 等政府机构的补贴，补贴额度不少于企业建立ISO27001体系的投入费用 （包含咨询认证过程）。 （信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点，39个控制措施，11个控制域。其中11个控制域包括：1）安全策略2）信息安全的组织3）资产管理4）人力资源安全5）物理和环境安全6）通信和操作管理7）访问控制8）系统采集、开发和维护9）信息安全事故管理10）业务连续性管理11）符合性） 三、建立信息安全体系的主要程序 建立信息安全管理体系一般要经过下列四个基本步骤 ①信息安全管理体系的策划与准备； ②信息安全管理体系文件的编制； ③信息安全管理体系运行； ④信息安全管理体系审核、评审和持续改进。

信息安全基础知识题集电子完整版(错题已修正)

第一部分信息安全基础知识 一、判断题 1.防火墙的功能是防止网外未经授权以内网的访 问。（）对 2.入侵检测系统可以弥补企业安全防御系统中的 安全缺陷和漏洞。（）错 3.PKI（Public Key Infrastructure）体系定义了完整 的身份认证、数字签名、权限管理标准。（）错4.更新操作系统厂商发布的核心安全补丁之前应 当在正式系统中进行测试，并制订详细的回退 方案。（）错 5.发起大规模的DDOS攻击通常要控制大量的中 间网络或系统。（）对 6.应采取措施对信息外网办公计算机的互联网访 问情况进行记录，记录要可追溯，并保存六个 月以上。（）对 7.入侵检测被认为是防火墙之后的第二道安全闸 门，在不影响网络性能的情况下能对网络进行 监测，从而提供对内部攻击、外部攻击的实时 防护。（）对 8.IPS在IDS的基础上增加了防御功能，且部署方 式也相同。（）错 9.根据公安部信息系统实现等级保护的要求，信 息系统的安全保护等级分为五级。（）对 10.防火墙不能防止内部网络用户的攻击，传送已 感染病毒的软件和文件、数据驱动型的攻击。（） 对 11.安全的口令，长度不得小于8位字符串，要求 是字母和数字或特殊字符的混合，用户名和口 令禁止相同。（）对 12.涉及二级与三级系统间共用的网络设备、安全 设备，采用“就低不就高”的原则，按二级要 求进行防护。（）错 13.隔离装置部属在应用服务器与数据库服务器之 间，除具备网络强隔离、地址绑定、访问控制 等功能外，还能够对SQL语句进行必要的解析 与过滤，抵御SQL注入攻击。（）对 14.安全域是具有相同或相近的安全需求、相互信 任的区域或网络实体的集合，一个安全域可以 被划分为安全子域。（）对 15.公钥密码算法有效解决了对称密码算法的密钥 分发问题，因此比对称密码算法更优秀。（）错16.安全加密技术分为两大类：对称加密技术和非 对称加密技术。两者的主要区别是对称加密算 法在加密、解密过程中使用同一个密钥：而非 对称加密算法在加密、解密过程中使用两个不 同的密钥。（）对 17.ORACLE默认情况下，口令的传输方式是加密。 （）错 18.在ORACLE数据库安装补丁时，不需要关闭所有 与数据库有关的服务。（）错 19.在信息安全中，主体、客体及控制策略为访问 控制三要素。（）对 20.防火墙可以解决来自内部网络的攻击。（）错 21.防火墙作为实现网络边界隔离的设备，其部署 应以安全域划分及系统边界整合为前提，综合 考虑边界风险的程度来设定。（）对 22.在等级保护监管中，第二级信息系统的运营、 使用单位应当依据国家有关管理规范和技术标 准进行保护，国家信息安全监管部门对该级信 息系统信息安全等级保护工作进行监督和检查。 （）错 23.针对各等级系统应具有的对抗能力和恢复能力， 公安部给出了各等级的基本安全要求。基本安 全要求包括了基本技术要求和基本管理要求， 基本技术要求主要用于对抗威胁和实现技术能 力，基本管理要求主要为安全技术实现提供组 织、人员、程序等方面的保障。（）对 24.国家电网公司管理信息大区中的内外网间使用 的是逻辑强隔离装置，只允许一个方向的访问。 （）对 25.PDRR安全模型包括保护、检测、相应、恢复四 个环节。（）对 26.互联网出口必须向公司信息通信主管部门进行 说明后方可使用。（）错 27.在个人内网计算机上存放“秘密”标识的文件， 这违反了严禁在信息内网计算机存储、处理国 家秘密信息的规定。（）对 28.最小特权、纵深防御是网络安全的原则之一。（） 对 29.根据国家电网公司信息内、外网隔离要求，不 允许同一台终端同时连接到信息内网和互联网， 在连接信息内网时须切断与因特网的连接，在 连接因特网时须切断与信息内网的连接。（）错30.国家电网公司管理信息大区中的信息内、外网 间使用的是正向隔离装置。（）错 31.通过建立与网络信息安全相关的法律、法规， 使非法分子慑于法律，不敢轻举妄动。（）对

信息安全知识答案

深圳市***********电子有限公司 信息安全知识培训考核（时间:90分钟; 满分:100分）考试日期：年月日工号:姓名: 得分: 一、单项选择题（15×3分＝45分） 1.（ B ）负责信息安全等级保护工作的监督、检查、指导。 A、保密部门 B、公安机关 C、司法部门 D、信息产业部门 2. 三级信息系统安全保护等级监督强度（ B ） A、指导 B、监督检查 C、强制监督检查 D、专门监督检查 3.五级信息系统安全保护等级监督强度（ D ） A、指导 B、监督检查 C、强制监督检查 D、专门监督检查 4.特洛伊木马具有( A )和非授权性的特点。 A、隐藏性 B、稳定性 C、安全性 D、快速性 5.防火墙和防火墙规则集只是( B )的技术体现 A、需求策略 B、安全策略 C、加密策略 D、解密策略 6.应急响应是指一组织为应对意外事件所做的事前准备和( D )。 A、事前防范 B、事后准备 C、事前保护 D、事后措施 7. 灾容备份的等级分为( D )级 A、1 B、2 C、3 D、4 8.在计算机系统中,用户是通过( A )的中间应用层和操作系统相互作用的。 A、不可信 B、可信 C、不稳定 D、稳定 9.互联网信息服务商在发生安全事故或计算机犯罪案例时,应当立即向本单位安全管理责任人报告并采取 妥善措施,保护现场,保留有关原始记录，在( A )小时内向当地公安机关报案,避免危害的扩大。

A、24小时 B、12小时 C、2小时 D、半小时 10.（ D ）共青团组织应当广泛宣传,引导未成年人增强自我保护意识,加强自我管理,自觉远离网吧,配 合文化等部门开展创建“安全放心网吧”活动。 A、关于维护互联网安全的决定 B、电信管理条例 C、互联网上网服务营业场所管理条例 D、全国青少年网络文明公约 11.在社会主义政治文明建设方面,党的十七大报告明确提出要坚定不移发展( C ),全面落实依法治国基 本方略。 A．社会主义法制社会 B．社会主义道德社会 C．社会主义民主政治 D．社会主义文明社会 12.法律的最基本内容就是规定( A )。 A．权利和义务 B．公平 C．民主 D．平等 13.计算机信息系统的建立和应用的目的也是概念中不可缺少的一部分，具体地说是为有关人员和部门提供 信息或者( A ) A．辅助决策等服务 B．对信息进行采集．加工．存储．传输．检索等 C．信息处理 D．保障信息的安全 14. 计算机信息系统的运行和信息处理过程都离不开人，必须由人操作和( B ) A．看管 B．管理 C．维护 D．处理 15.运输．携带．邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照( C )和中华人民共和国计 算机信息系统安全保护条例以及其他有关法律,法规的规定处理。 A 中华人民共和国消防法 B 中华人民共和国国刑法 C 中华人民共和国海关法 D 中华人民共和国治安管理处罚条例 二、多项选择题（5×5分＝25分） 1.风险评估的工具包括（A、C、E ） A、安全管理评价系统 B、系统建设评价系统 C、系统软件评估工具 D、安全机构管理评价系统 E、风险评估辅助工具 2.以下（B、C、D、E）这些控制点是应用安全方面主要涉及的。 A、入侵防范 B、安全标记 C、通信完整性

信息安全管理体系认证的基本知识(通用版)

信息安全管理体系认证的基本 知识(通用版) Enterprises should establish and improve various safety production rules and regulations in accordance with national safety production laws and regulations. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0261

信息安全管理体系认证的基本知识(通用 版) 一、ISO27001认证的概况 ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。 信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益最大化。 二、ISO27001认证适用范围

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 三、ISO27001认证证书的有效期 ISO27001信息安全管理体系的认证证书有效期是三年。 期间每年要接受发证机构的监督审核（也称为：年检或年审），三年证书到期后，要接受认证机构的再认证（也称为复评或换证）。 四、信息安全管理体系认证的作用 1.符合法律法规要求 证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

信息安全基础知识培训试题

信息安全基础知识培训试题 一、填空题：每空4分共40分 1、电脑要定期更换（密码）、定期（杀毒），对不明邮件不要轻易（打开）。 2、信息安全的基本特征是（相对性）、（时效性）、（复杂性）、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素，同时也应该清醒的认识到人是信息安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的，每个网络环境都有一定程度的漏洞和（风险）。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、（网络设备）、系统主机、工作站、PC机、操作系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题：每题５分共25分 1、信息安全三要素包括（ A B C ） A 机密性 B 完整性 C 可用性 D 安全性 2、信息安全的重要性体现在以下方面（ＡＢC） A 信息安全是国家安全的需要 B 信息安全是组织持续发展的需要 C 信息安全是保护个人隐私与财产的需要 D 信息安全是维护企业形象的需要 3、在工作当中，“上传下载”的应用存在的风险包括（ＡＢＣ） A 病毒木马传播 B 身份伪造 C 机密泄露 D 网络欺诈 4、客户端安全的必要措施包括（ABCDE ） A安全密码B安全补丁更新C个人防火墙 D 应用程序使用安全Ｅ防病毒 5、信息安全管理现状已有的措施包括（ABCD ） A 兼职的安全管理员 B 物理安全保护 C 机房安全管理制度D资产管理制度 三、判断题：每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。（X ） 2、为了信息安全，在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。（√） 3、员工缺乏基本的安全意识，缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。（√） 4、超过70%的信息安全事件，如果事先加强管理，都可以得到避免。（√） 5、由于许多信息系统并非在设计时充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要的管理手段来支持。（√） 6、企业需要建造一个全面、均衡的测量体系，用于评估信息安全管理的效用以及改进反馈建议。（√） 7、通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息

信息安全小常识.

信息安全小常识 一、信息、信息化、信息安全概念 信息：任何能够传达有价值内容的资料。 信息化：信息化就是将有价值内容的资料数字化，能够在计算机网络中进行共享，使用和挖掘的过程。 信息安全：防止网络自身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制，确保经过网络传输的信息不被截获、不被破译，也不被篡改，并且能被控制和合法使用。 二、信息安全的内容： 信息安全应该包括了包括物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全等方面。 涉及到个人权益、企业生存、金融风险防范、社会稳定和国家的安全。 三、网络与信息安全的主要威胁 表现 ◆信息网络自身的脆弱性 ◆操作系统、数据库以及通信协议等方面存在安全漏洞 和隐蔽通道等不安全因素

◆软硬件故障和工作人员误操作等人为或偶然事故构成 的威胁 ◆利用计算机实施盗窃、诈骗等违法犯罪活动的威胁 ◆网络攻击和计算机病毒构成的威胁 ◆信息战的威胁 四、信息安全的基本特征 1、机密性：确保信息不被非授权者获得与使用。 2、完整性：信息是真实可信的，其发布者不被冒充，来 源不被伪造，内容不被篡改。 3、可用性：保证信息可被授权人在需要时立即获得并正 常使用。 4、可控性：信息能被信息的所有者或被授权人所控制， 防止被非法利用。 5、抗抵赖性：通信双方不能否认己方曾经签发的信息。 五、需要保护的资源 1、物理资源 物理资源指企业的工作站、服务器、终端、笔记本电脑、路由器、防火墙及其它外围和网络设备。 2、智力资源 智力资源指信息系统的应用程序、数据信息（包括客户信息、认证信息等）、系统软件等等。 3、时间资源

网络与信息安全知识点总结-

1.计算机病毒最本质的特点 破坏性 2.一个密文块损坏会造成连续两个明文块损坏的DES工作模式 密码分组链接CBC 3.为了避免访问控制表过于庞大的方法 ^ 分类组织成组 4.公钥密码算法不会取代对称密码的原因 公钥密码算法复杂，加解密速度慢，不适合加密大量数据 5.入侵检测系统的功能部件 事件生成器，事件分析器，事件数据库，响应单元，目录服务器 6.$ 7.访问控制实现方法 访问控制矩阵，列：访问控制表，行：访问能力表 8.PKI的组成 权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API） 9.公钥密码的两种基本用途 《 数据加密、数字签名 10.SHA-1算法的输出为多少比特的消息摘要 160比特 11.Kerberos的设计目标 解决分布式网络下，用户访问网络使得安全问题，阻止非授权用户获得其无权访问的服务或数据。 12.$ 13.PKI管理对象 证书、密钥、证书撤销列表 14.防火墙的基本技术 包过滤技术，代理服务技术，状态检测技术，自适应代理技术。 15.防止行为抵赖，属于什么的研究范畴 - 数字签名 16.完整的数字签名过程包括哪两个过程 签名过程、验证签名过程 17.用户认证的依据主要包括哪些 用户所知道的东西：如口令、密码； .

用户所拥有的东西：如智能卡、身份证； 用户所具有的生物特征：如指纹、声音、DNA。 18.入侵检测的分类 根据信息来源分为：基于主机的IDS、基于网络的IDS 根据检测方法分为：异常入侵检测、误用入侵检测 19.— 20.访问控制的分类 自主访问控制、强制访问控制、基于角色的访问控制 21.PKI的信任模型哪些 层次模型、交叉模型、混合模型 22.数字签名的分类 ； 按照签名方式：直接数字签名、仲裁数字签名 按照安全性：无条件安全的数字签名、计算上安全的数字签名 按照可签名次数：一次性数字签名、多次性数字签名 23.密码分析攻击分为哪几种，各有什么特点 已知密文攻击、已知明文攻击、选择明文攻击、选择密文攻击 24.： 25.为什么说“消息鉴别无法处理内部矛盾，而数字签名可以” 消息鉴别通过验证消息的完整性和真实性，可以保证不受第三方攻击，但不能处理通信双方内部的相互攻击。数字签名相当于手写签名，可以防止相互欺骗和抵赖。 26.有哪几种访问控制策略各有什么特点、优缺点 1、自主访问控制（由拥有资源的用户自己来决定其他一个或一些主体可以在 什么程度上访问哪些资源） 特点：（1）基于对主体及主体所在组的识别来限制对客体的访问 * （2）比较宽松，主体访问权限具有传递性 缺点：通过继承关系，主体能获得本不应具有的访问权限 2、强制访问控制 为所有主体和客体指定安全级别 不同级别标记了不同重要程度和能力的实体 不同级别的实体对不同级别的客体的访问是在强制的安全策略下实现 访问策略：下读/上写 3、基于角色的访问控制 特点：（1）提供了三种授权管理的控制途径 （2）改变客体的访问权限 |

个人信息安全

个人信息安全 随着互联网应用的普及和人们对互联网的依赖，互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长，同时黑客攻击和大规模的个人信息泄露事件频发，与各种网络攻击大幅增长相伴的，是大量网民个人信息的泄露与财产损失的不断增加。根据公开信息，2011年至今，已有11.27亿用户隐私信息被泄露。包括基本信息、设备信息、账户信息、隐私信息、社会关系信息和网络行为信息等。人为倒卖信息、手机泄露、PC电脑感染、网站漏洞是目前个人信息泄露的四大途径。个人信息泄露危害巨大，除了个人要提高信息保护的意识以外，国家也正在积极推进保护个人信息安全的立法进程。 个人信息主要包括以下类别： 1.基本信息。为了完成大部分网络行为，消费者会根据服务商要求提交包括姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等在内的个人基本信息，有时甚至会包括婚姻、信仰、职业、工作单位、收入等相对隐私的个人基本信息。 2.设备信息。主要是指消费者所使用的各种计算机终端设备(包括移动和固定终端)的基本信息，如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息、操作系统版本等。 3.账户信息。主要包括网银帐号、第三方支付帐号，社交帐号和重要邮箱帐号等。 4.隐私信息。主要包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等。 5.社会关系信息。这主要包括好友关系、家庭成员信息、工作单位信息等。 6.网络行为信息。主要是指上网行为记录，消费者在网络上的各种活动行为，如上网时间、上网地点、输入记录、聊天交友、网站访问行为、网络游戏行为等个人信息。 随着互联网应用的普及和人们对互联网的依赖，互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长，同时黑客攻击和大规模的个人信息泄露事件频发，与各种网络攻击大幅增长相伴的，是大量网民个人信息的泄露与财产损失的不断增加。 《经济参考报》记者日前采访获悉，目前信息安全“黑洞门”已经到触目惊心的地步，网站攻击与漏洞利用正在向批量化、规模化方向发展，用户隐私和权益遭到侵害，特别是一些重要数据甚至流向他国，不仅是个人和企业，信息安全威胁已经上升至国家安全层面。 从补天漏洞响应平台上收录的数据显示，目前该平台已知漏洞就可导致23.6亿条隐私信息泄露，包括个人隐私信息、账号密码、银行卡信息、商业机密信息等。导致大量数据泄露的最主要来源是：互联网网站、游戏以及录入了大量身份信息的政府系统。根据公开信息，2011年至今，已有11.27亿用户隐私信息被泄露。 这个数据意味着，我们几乎每一个上网的人，自己的信息都可能已经在不知不觉中被窃取甚至利用。 如何防止个人信息泄露 1.公共场合WiFi不要随意链接，更不要使用这样的无线网进行网购等活动。如果确实有必要，最后使用自己手机的3G或者4G网络。 2.手机、电脑等都需要安装安全软件，每天至少进行一次对木马程序的扫描，尤其在使用重要账号密码前。每周定期进行一次病毒查杀，并及时更新安全软件。 3.来路不明的软件不要随便安装，在使用智能手机时，不要修改手机中的系统文件，也不要随便参加注册信息获赠品的网络活动。 4.设置高保密强度密码，不同网站最好设置不同的密码。网银、网购的支付密码最好定期更换。 5.尽量不要使用“记住密码”模式，上网后注意个人使用记录。 6.到正规网站购物。查看消息或者浏览视频时，一定要去正规的网站，有时安装了杀毒软件，也不能保证电脑不会感染病毒。尤其是购物的时候，会涉及到网上支付，使用正规且有保障的网站，安全系数更高。 7.不随意打开陌生邮件。不随意接收或打开陌生邮件，打开邮箱，看到陌生人发来的邮件千万不能轻易打开，尤其是看到中奖或者是奖品认领等带有诱惑性信息的内容。