信息安全管理体系ISO27000基本知识
信息安全管理体系ISO27000认证基本知识
一、什么是信息安全管理体系?
信息安全管理体系是在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系。
ISO/LEC27001是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。
二、信息安全的必要性和好处
我国信息安全管理专家沈昌祥介绍,对于我国软件行业,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,80%信息泄露都是由内或内外勾结造成,所以建立信息安全管理体系很有必要。
1、识别信息安全风险,增强安全防范意识;
2、明确安全管理职责,强化风险控制责任;
3、明确安全管理要求,规范从业人员行为;
4、保护关键信息资产,保持业务稳定运营;
5、防止外来病毒侵袭,减小最低损失程度;
6、树立公司对外形象,增加客户合作信心;
7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局
等政府机构的补贴,补贴额度不少于企业建立ISO27001体系的投入费
用(包含咨询认证过程)。
(信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性)
三、建立信息安全体系的主要程序
建立信息安全管理体系一般要经过下列四个基本步骤
①信息安全管理体系的策划与准备;
②信息安全管理体系文件的编制;
③信息安全管理体系运行;
④信息安全管理体系审核、评审和持续改进。
信息安全资料
填空题: 1、信息安全是指确保信息的保密性、完整性和________。 答案:可用性难度:1 评析:无知识点:信息安全-概述 2、计算机病毒主要特点有破坏性、________、隐蔽性和可触发性。 答案:传染性难度:1 评析:无知识点:信息安全-计算机病毒及其防治-计算机病毒基本知识 3、传统单机病毒主要包括引导型病毒、________型病毒、宏病毒和混合型病毒。 答案:文件难度:1 评析:无知识点:信息安全-计算机病毒及其防治-计算机病毒基本知识 4、现代网络病毒主要包括________病毒和木马病毒。 答案:蠕虫难度:1 评析:无知识点:信息安全-计算机病毒及其防治-计算机病毒基本知识 5、木马病毒一般是通过电子邮件、在线聊天工具和恶意网页等方式进行传播,多数是利用了操作系统中存在的________。 答案:漏洞难度:2 评析:无知识点:信息安全-计算机病毒及其防治-计算机病毒基本知识 6、木马病毒由两部分组成,客户端和服务器端,其中由黑客控制的是________端。 答案:客户难度:2 评析:无知识点:信息安全-计算机病毒及其防治-计算机病毒基本知识 7、木马病毒由两部分组成,客户端和服务器端,其中隐藏在感染了木马的用户计算机上的是________端。 答案:服务器难度:2 评析:无知识点:信息安全-计算机病毒及其防治-计算机病毒基本知识 8、提高计算机系统安全性的常用方法是定期更新操作系统,安装系统的________,也可以用一些杀毒软件进行系统的“漏洞扫描”,并进行相应的安全设置。 答案:补丁程序难度:1 评析:无知识点:信息安全-计算机病毒及其防治-计算机病毒的防治 9、黑客一般使用Telnet、FTP等软件向目标主机申请服务,如果目标主机有应答就说明它开放了这些端口的________。 答案:服务难度:2 评析:无知识点:信息安全-网络安全-黑客攻防 10、启动防火墙以后,通信数据就会根据防火墙设置的访问规则受到限制,只有被________的网络连接和
信息安全基本知识
信息安全基本知识 安全体系: 安全方针:积极防范、突出重点、科学管理、持续改进 工作要求:归口管理、控制源头、逐级负责、确保安全 运行模式:“策划—实施—检查—改进(PDCA)” 组织机构:信息安全委员会(领导机构)、信息安全管理办公室(执行机构) 技术等级:内部公开、技术Ⅲ级、技术Ⅱ级、技术Ⅰ级(由低到高);内部文件按项目管控要求定级,外来文件按客户要求定级;流程:项目单位申请—信息安全办公室初审—信息安全委员会审定 管理期限:技术Ⅰ级>=20年,技术Ⅱ级>=10年,技术Ⅲ级>=5年,内部公开>=1年 电脑管理: 系统密码:密码>=8位、修改< 6 个月、自动屏保< 10分钟,不外借不扩散 密码组成:大小字母、特殊符号、数字任意三种以上组合 软件使用:软件用正版,安装杀毒软件并设置为定期杀毒,开启防火墙,U盘和下载的软件使用前先杀毒设备转用:服务器、电脑、存储介质停止使用或转作它用,必须低级格式化 文件控制: 文件管控:设计文件、工艺文件、质量体系类文件已经进入PDM系统管控 文件使用:各部门文控才有权从PDM系统签收、导出、下载、打印、分发,加盖“PDM受控章”为有效版本,其余途径获取均是不受控文件 文件管理:建立好文件接收、分发、使用、回收等台账管理 关岗键位: 定级要求:以项定级、以级定人; 人员等级:技术Ⅲ级岗位、技术Ⅱ级岗位、技术Ⅰ级岗位 部门申请(关键岗位人员审查审批表)--总经办信用审查(信用审查表)--信息安全办公室审查--信息安全委员会批准 信用等级:A优秀、B良好、C一般、D差 保密协议:劳动合同(普通员工),保密协议(关键岗位),专项保密协议(按项目) 离岗离职:清退信息资产,离职审计(《员工离职信息安全审计控制表》) 外网访问:原则上不许可,特殊情况需审批(填写《互联网申请表》,信息安全办公室同意,公司审批) 邮件收发:使用公司邮箱 电脑要求:技术Ⅱ级及以上,不用笔记本电脑,台式机加锁,物理手段禁USB 存储介质:技术Ⅰ、Ⅱ级不许,技术Ⅲ级受控(技术Ⅰ、Ⅱ级禁用移动介质,技术Ⅲ级使用受控介质) 开机密码:技术Ⅰ级>=10位,技术Ⅱ级>=8位, 技术Ⅲ级无要求 系统密码:技术Ⅰ级>=10位,技术Ⅱ级>=8位,技术Ⅲ级>=8位 客户专区: 公司为保护客户权益,划分了专区管理;专区内禁止直接出现客户名称,禁止拍照、录像,禁止非授权人员进入,禁止客户竞争对手参观、进入;进入专区必须佩带身份卡,非授权人员禁止进入 服务器管理: 账号与分类:管理员最多2人,独立账号和密码,密码长度超10位,更改周期小6月,权限清单需备案日常管理:每周查看日志和升级病毒库,定期杀毒,巡查服务器做记录(《服务器巡查记录表》) 故障处理:规划部负责网络与硬件故障,科技管理部负责软件故障;故障恢复需填《服务器恢复记录表》 机房要求: 保持10 ~ 20℃温度,做好非管理员出入登记,定期巡检填写记录(《机房巡检记录表》) 公共盘: 公共盘设立要备案(信息安全管理办公室备案); 必须设置访问权限,权限设立要信息安全主管、业务主管批准;建立权限清单并备案信息安全办公室
新建-第二章-信息安全管理基础
第二章信息安全管理基础 一、判断题 1.Windows2000/xp系统提供了口令安全策略,以对帐户口令安全进行 保护。 2.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息, 进而非法获得系统和资源访问权限。 3.PKI系统所有的安全操作都是通过数字证书来实现的。 4.PKI系统使用了非对称算法、对称算法和散列算法。 5.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机 制,同样依赖于底层的物理、网络和系统等层面的安全状况。 6.按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过 程。 7.网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当 避免在内网和外网之间存在不经过防火墙控制的其他通信连接。 8.网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防 火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。
9.信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。 10.美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT 系统风险管理内容。 11.防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。 12.脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。 二、单选题 1.下面所列的安全机制不属于信息安全保障体系中的事先保护环节。 A.杀毒软件 B.数字证书认证 C.防火墙 D.数据库加密 2.信息安全管理领域权威的标准是。 A.ISO 15408 B.ISO 17799/ISO 27001 C.ISO 9001
信息安全基础知识题集
第一部分信息安全基础知识(673题) 一、判断题 1.防火墙的功能是防止网外未经授权以网的访问。()对 2.入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。()错 3.PKI(Public Key Infrastructure)体系定义了完整的身份认证、数字签名、权限管 理标准。()错 4.更新操作系统厂商发布的核心安全补丁之前应当在正式系统中进行测试,并制订详 细的回退方案。()错 5.发起大规模的DDOS攻击通常要控制大量的中间网络或系统。()对 6.应采取措施对信息外网办公计算机的互联网访问情况进行记录,记录要可追溯,并 保存六个月以上。()对 7.入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对 网络进行监测,从而提供对部攻击、外部攻击的实时防护。()对 8.IPS在IDS的基础上增加了防御功能,且部署方式也相同。()错 9.根据公安部信息系统实现等级保护的要求,信息系统的安全保护等级分为五级。() 对 10.防火墙不能防止部网络用户的攻击,传送已感染病毒的软件和文件、数据驱动型的 攻击。()对 11.安全的口令,长度不得小于8位字符串,要字母和数字或特殊字符的混合,用户名
和口令禁止相同。()对 12.涉及二级与三级系统间共用的网络设备、安全设备,采用“就低不就高”的原则, 按二级要求进行防护。()错 13.隔离装置部属在应用服务器与数据库服务器之间,除具备网络强隔离、地址绑定、 访问控制等功能外,还能够对SQL语句进行必要的解析与过滤,抵御SQL注入攻击。()对 14.安全域是具有相同或相近的安全需求、相互信任的区域或网络实体的集合,一个安 全域可以被划分为安全子域。()对 15.公钥密码算法有效解决了对称密码算法的密钥分发问题,因此比对称密码算法更优 秀。()错 16.安全加密技术分为两大类:对称加密技术和非对称加密技术。两者的主要区别是对 称加密算法在加密、解密过程中使用同一个密钥:而非对称加密算法在加密、解密过程中使用两个不同的密钥。()对 17.ORACLE默认情况下,口令的传输方式是加密。()错 18.在ORACLE数据库安装补丁时,不需要关闭所有与数据库有关的服务。()错 19.在信息安全中,主体、客体及控制策略为访问控制三要素。()对 20.防火墙可以解决来自部网络的攻击。()错 21.防火墙作为实现网络边界隔离的设备,其部署应以安全域划分及系统边界整合为前 提,综合考虑边界风险的程度来设定。()对 22.在等级保护监管中,第二级信息系统的运营、使用单位应当依据国家有关管理规和 技术标准进行保护,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督和检查。()错
网络信息安全基础知识培训
网络信息安全基础知识培训 主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识 包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀 3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂
8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件 2、启动反病毒软件,并对整个硬盘进行扫描 3、发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序 4、某些病毒在Windows状态下无法完全清除,此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除 备注:可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病
银行信息安全管理基础知识
银行信息安全管理基础知识 一、银行信息安全威胁 随着银行信息建设的深入发展,银行全面进入了业务系统整合、数据大集中的新的发展阶段,经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求,但是另一方面不可避免地导致了信息安全风险的集中。银行信息系统存在的信息安全威胁主要包括: 来自互联网的风险、外部机构的风险、不信任网络的风险、机构内部的风险、灾难性风险等五部分。 二、信息安全建设的原则及等级划分 (一)信息安全原则 信息安全是一项结合规划、管理、技术等多种因素的系统工程,是一个持续、动态发展的过程。技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。 信息安全的原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。 ` (二 )信息安全等级介绍 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息,以及存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本安全保护水平等因素,信息系统的安全保护共分为五等级: 第一级为自主保护级 第二级为指导保护级
第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 (二)》 (三)信息安全等级评估 决定信息系统重要性等级时应考虑以下因素: 1、系统所属类型,即信息系统的安全利益主体。 2、信息系统主要处理的业务信息类别。 3、系统服务范围,包括服务对象和服务网络覆盖范围。 4、业务依赖程度,或以手工作业替代信息系统处理业务的程度。 三、信息安全规划内容 (一)) (二)信息安全体系及其特点 信息安全体系包括安全管理体系和安全技术体系,两者是保障信息系统安全不可分割的两个部分,大多数情况下,技术和管理要求互相提供支撑以确保各自功能的正确实现。构建安全管理体系的主要目的是管理信息系统中各种角色的活动。通过文档化的管理体系,从政策、制度、规范、流程以及日志等方面监督、控制各类角色在系统日常运行维护工作中的各种活动。安全管理体系是由安全管理组织、人员安全管理、系统建设管理、系统运维管理和安全审计管理 5个部分组成。 安全技术体系的主要目的是为信息系统提供各种技术安全机制,主要是通过在信息系统中部署软硬件并正确地配置其安全功能来实现。 安全技术体系是由基础设施安全、网络安全、主机安全、应用安全和数据安全5个层面组成。 (三)建立信息安全管理体系(简称 ISMS),具体内容如下: 计划(PLAN):建立ISMS。建立ISMS的政策、目标、过程及相关程序以管理风险及改进信息安全,使结果与组织整体政策和目标相一致。
网络信息安全基础知识培训学习
主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀
3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法
2020信息安全管理制度
信息安全管理制度 1.总则:为了切实有效的保证公司信息系统安全,提高信息系统为公司生产经营的服务能力,特制定信息系统相关管理制度,设定管理部门及专业管理人员对公司整体信息系统进行管理,以保证公司信息系统的正常运行。 2.范围 2.1 计算机网络系统由基础线路、计算机硬件设备、软件及各种终端设备的网络系统配置组成。 2.2 软件包括:PC操作系统、数据库及应用软件、有关专业的网络应用软件等。 2.3 终端机的网络系统配置包括终端机在网络上的名称,IP地址分配,用户登录名称、用户密码、U8设置、OA地址设置及Internet的配置等。 2.4 系统软件是指: 操作系统(如 WINDOWS XP等)软件。 2.5平台软件是指:设计平台工具(如AUTOCAD等)、办公用软件(如OFFICE)等平台软件。 2.6管理软件是指:生产和财务管理用软件(如用友U8软件)。 2.7基础线路是指:联系整个信息系统的所有基础线路,包括公司内部的局域网线路及相关管路。 3.职责 3.1 公司设立信息管理部门,直接隶属于分管生产副总经理,设部门经理一名。 3.2 信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 3.3 负责系统软件的调研、采购、安装、升级、保管工作。 3.4 负责软件有效版本的管理。 3.5 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。 3.6 信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全
运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、生产、设计、采购、销售等)。 3.7 信息管理人员执行企业保密制度,严守企业商业机密。 3.8员工执行计算机安全管理制度,遵守企业保密制度。 3.9系统管理员的密码必须由信息管理部门相关人员掌握。 3.10 负责公司网络系统基础线路的实施及维护。 4.管理 4.1网络系统维护 4.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》〔附录A〕记录各类设备的运行状况及相关事件。 4.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《网络运行日志》〔附录A〕。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》〔附录B〕上。部门负责人要跟踪检查处理结果。 4.1.3 定时对相关服务器数据备份进行检查。(包括对系统的自动备份及季度或年度数据的刻盘备份等) 4.1.4 定时维护OA服务器,及时组织清理邮箱,保证服务器有充足空间,OA系统能够正常运行。 4.1.5 维护Internet 服务器,监控外来访问和对外访问情况,如有安全问题,及时处理。 4.1.6 制定服务器的防病毒措施,及时下载最新的防病毒疫苗,防止服务器受病毒的侵害。 4.2 客户端维护 4.2.1 按照人事部下达的新员工(或外借人员)姓名、分配单位、人员编号为新的计算机用户分配计算机名、IP地址等。
信息安全基础知识培训考试答案
信息安全基础知识培训试题 姓名:部门:成绩: 一、填空题:每空4分共40分 1、电脑要定期更换(密码)、定期(杀毒),对不明邮件不要轻易(打 开)。 2、信息安全的基本特征是(相对性)、(时效性)、(复杂性)、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素,同时也应该清醒的认识到人是信息 安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的,每个网络环境都有一定程度的漏洞和(风险)。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、(网络设备)、系统主机、工作站、PC机、操作 系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题:每题5分共25分 1、信息安全三要素包括( A B C ) A 机密性 B 完整性 C 可用性 D 安全性 2、信息安全的重要性体现在以下方面(ABC) A 信息安全是国家安全的需要 B 信息安全是组织持续发展的需要
C 信息安全是保护个人隐私与财产的需要 D 信息安全是维护企业形象的需要 “上传下载”的应用存在的风险包括(ABC)在工作当中,、3. A 病毒木马传播 B 身份伪造 C 机密泄露 D 网络欺诈 4、客户端安全的必要措施包括( ABCDE ) A 安全密码 B 安全补丁更新 C 个人防火墙 D 应用程序使 用安全E防病毒 5、信息安全管理现状已有的措施包括( ABCD ) A 兼职的安全管理员 B 物理安全保护 C 机房安全管理制度 D资产管理制度 三、判断题:每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。( X ) 2、为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。(√) 3、员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。(√) 4、超过70%的信息安全事件,如果事先加强管理,都可以得到避免。(√) 5、由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。(√) 6、企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议。(√) 7、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功
个人信息安全基本知识
个人信息安全基本知识 信息泄露途径我们个人信息安全的对手国际级对手: 国徽事件、棱镜门、大使馆白盒子启示录橙色方框标明大使馆白盒子,疑似监控装置。 美国驻北京大使馆本人信息窃取者信息接收者美国驻莫斯科大使馆美国驻马德里大使馆专业级的对手: 数据库管理人员(有)无意泄露数据。 例如: 1、通过搜索引擎查询的内容,在登陆替他网站时会出现类似内容的广告。 2、思科等厂商路由器被爆存安全后门或泄露个人信息等等。 生活中随处可见的对手: 计算机爱好者与菜鸟之间的对决。 例如:腾讯网快递短信携带木马,糊弄用户下载软件赚广告收益道德层面上的对手: “别有用心”之人。 (与技术无必然联系)一种是“说者无心,听者有意”:有意听取我们的信息之人。 一种是“普遍撒网,重点捕捞”:骚扰电话、垃圾短信、垃圾邮件。 一种是“唯恐天下不乱”者:病毒、木马、恶意软件、网络钓鱼、网络攻击等防不胜防的个人信息泄露场合 1、必然泄露个人信息的场合(1)发布广告(2)信息公告 2、可能泄露信息的场合(1)公共服务机构:出卖客户信息(2)私营服
务单位:会员卡、中介泄露或出卖(3)其他场合:快递、个人简历等 3、即使不泄露个人信息也会被骚扰的场合(1)电子垃圾:如邮件垃圾、垃圾短信、骚扰电话。 (2)生活小广告:假装送包裹、办车险来套你的个人信息。 为什么现实中系统如此脆弱 1、特例常会让看似完善的设计功亏一篑例如:某地民政部门为了解决当地人的养老问题,建了一所养老院,规定全免费入院需同时满足两个条件:一是“六岁以上”,二是“无儿无女”。 很快,该系统就因一位90 岁高龄的老人被拒收而引起民众对该条件是否“完善”的怀疑。 一位90 岁老人有一个儿子,但他那位64 岁的儿子因为无儿无女,已住进了该养老院。 2、设计角度也存在“横看成岭侧成峰”大思想家庄子认为,“箱子为了防偷,就应该系紧些,但当大盗来了,连绳子带箱子抢走背着跑时,他唯恐你系得不紧呢。”一套自以为设计很完善的系统,优势反而因其自身过于完善而产生矛盾,最后陷入不完善状态。 实例 :第二 次世界大战时,曾有一个有经验的电报监听员,即使敌人频繁地更换密码,仍能快速监听并判断移动中的发报员哪个是团部,哪个是师部。这个谜团直到战争结束才得以揭晓。原来,他判断原则根本就不是解密电文,而是发报员每天向外发出电报的流量。很明显,一个师部一天的电报发送量肯定多于一个团部一天的电报发送量。
信息安全管理体系iso27基本知识
信息安全管理体系ISO27000认证基本知识 一、什么是信息安全管理体系 信息安全管理体系是在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系。 ISO/LEC27001是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。 二、信息安全的必要性和好处 我国信息安全管理专家沈昌祥介绍,对于我国软件行业,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,80%信息泄露都是由内或内外勾结造成,所以建立信息安全管理体系很有必要。 1、识别信息安全风险,增强安全防范意识; 2、明确安全管理职责,强化风险控制责任; 3、明确安全管理要求,规范从业人员行为; 4、保护关键信息资产,保持业务稳定运营; 5、防止外来病毒侵袭,减小最低损失程度; 6、树立公司对外形象,增加客户合作信心; 7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局 等政府机构的补贴,补贴额度不少于企业建立ISO27001体系的投入费用 (包含咨询认证过程)。 (信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性) 三、建立信息安全体系的主要程序 建立信息安全管理体系一般要经过下列四个基本步骤 ①信息安全管理体系的策划与准备; ②信息安全管理体系文件的编制; ③信息安全管理体系运行; ④信息安全管理体系审核、评审和持续改进。
信息安全管理手册范本
信息安全管理手册 (一)发布说明 为了落实国家与XX市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高XXXX信息安全管理水平,维护XXXX电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,编制完成了XXXX信息安全管理体系文件,现予以批准颁布实施。 信息安全管理手册是纲领性文件,是指导XXXX等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。 信息安全管理手册于发布之日起正式实施。 XXXX 局长 _________________ 年月日 (二)授权书 为了贯彻执行ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权XXXX 管理XX市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:
?负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系; ?负责向XXXX主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础; ?负责向XXXX各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识; ?负责XXXX信息安全管理体系对外联络工作。 (三)信息安全要求 1.具体阐述如下: (1)在XXXX信息安全协调小组的领导下,全面贯彻国家和XX市关于信息安全工作的相关指导性文件精神,在XXXX建立可持续改进的信息安全管理体系。 (2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。 (3)通过定期地信息安全宣传、教育与培训,不断提高XXXX所有人员的信息安全意识及能力。 (4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。 (5)贯彻风险管理的理念,定期对“门户”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。 (6)按照PDCA精神,持续改进XXXX信息安全各项工作,保障XXXX电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为XXXX所有企业和社会公众提供安全可靠的电子政务服务。 2.信息安全总体要求 (1)建立XXXX信息化资产(软件、硬件、数据库等)目录。 (2)“门户”信息系统,按照等级保护要求进行建设和运维。各单位自建的网络、和信息系统参照执行。
信息安全三级知识点
信息安全三级知识点 第一章:信息安全保障基础1:信息安全大致发展经历3 个主要阶段:通信保密阶段,计算机安全阶段和信息安全保障阶段2:现代信息安全主要包含两层含义(1)运行系统的安全(2)完整性,机密性,可用性,可控制性,不可否认性。 3:信息安全产生的根源(1)内因:信息系统的复杂性,包括组成网络通信和信息系统的自身缺陷,互联网的开放性(2)外因:人为因素和自然环境的原因4:信息安全保障体系框架(1)生命周期:规划组织,开发采购,实施交付,运行维护,废弃(2)安全特征:保密性,完整性,可用性(3)保障要素:技术,管理,工程,人员5: P2DR 安全模型 Pt Dt+Rt Pt表示系统为了保护安全气目标设置各种保护后的防护时间,或者理解为在这样的保护方式下,黑客攻击安全目标所花费的时间; Dt代表从入侵者开始发动入侵开始,到系统能够检测到入侵行为所花费的时间 Rt代表从发现入侵行为开始,到系统能够做出足够的响应,讲系统调整到正常状态的时间 Et=Dt+Rt ( Pt =0) Dt 和 Rt的和安全目标系统的暴露时间Et, Et越小系统越安全6:信息安全技术框架( IATF):核心思想是纵深防御战略,即采用多层次的,纵深的安全措施来保障用户信息及信息系统的安全。核心因素是人员,技术,操作。 7: IATF4 个技术框架焦点域:本地计算环境,区域边界,网络及基础设施,支撑性基础设施。 8:信息系统安全保障工作的内容包括:确保安全需求,设计和实施安全方案,进行信息安全评测和实施信息安全监控与维护。 第二章:信息安全基础技术与原理1:数据加密标准 DES;高级加密标准AES;数字签名标准 DSS;2:对称密钥的优点:加密解密处理速度快,保密度高,缺点:密钥管理和分发复杂,代价高,数字签名困难3:对称密钥体制:分组密码和序列密码常见的分组密码算法: DES,IDEA,AES 公开的序列算法主要有 RC4, SEAL4:攻击密码体制方法(1)
信息安全基础知识培训试题
信息安全基础知识培训试题 一、 填空题:每空 分共 ?分 、电脑要定期更换(密码 )、定期( 杀毒),对不明邮件不要轻易(打开 )。 、信息安全的基本特征是(相对性)、(时效性)、 (复杂性)、配置相关性、攻击的不确定性。 、 ?人 ?是信息安全中最关键的因素,同时也应该清醒的认识到人是信息安全中最薄弱的环节。 、绝对的?信息安全 ?是不存在的,每个网络环境都有一定程度的漏洞和(风险 )。 、 信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、 (网络设备)、系统主机、工作站、 ?机、操作系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题:每题5分共 ?分 、 信息安全三要素包括( ? ) ? 机密性 完整性 可用性 安全性 、信息安全的重要性体现在以下方面(AB ) ? 信息安全是国家安全的需要 ? 信息安全是组织持续发展的需要 信息安全是保护个人隐私与财产的需要 ? 信息安全是维护企业形象的需要 、 在工作当中,“上传下载”的应用存在的风险包括(ABC) ? 病毒木马传播 身份伪造 机密泄露 网络欺诈
、客户端安全的必要措施包括( ????? ) ?安全密码 安全补丁更新 个人防火墙 应用程序使用安全 E防病毒 、信息安全管理现状已有的措施包括( ???? ) ? 兼职的安全管理员 物理安全保护 机房安全管理制度 资产管理制度 三、判断题:每题 分共 ?分 、电子商务应用不可能存在账号失窃的问题。( ? ) 、为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。( √ ) 、员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。(√) 、超过 ??的信息安全事件,如果事先加强管理,都可以得到避免。(√) 、由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。(√) 、企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议。( √ ) 、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全,称为信息安全管理。( ? )
信息安全基础知识题集电子完整版(错题已修正)
第一部分信息安全基础知识 一、判断题 1.防火墙的功能是防止网外未经授权以内网的访 问。()对 2.入侵检测系统可以弥补企业安全防御系统中的 安全缺陷和漏洞。()错 3.PKI(Public Key Infrastructure)体系定义 了完整的身份认证、数字签名、权限管理标准。 ()错 4.更新操作系统厂商发布的核心安全补丁之前应 当在正式系统中进行测试,并制订详细的回退 方案。()错 5.发起大规模的DDOS攻击通常要控制大量的中间 网络或系统。()对 6.应采取措施对信息外网办公计算机的互联网访 问情况进行记录,记录要可追溯,并保存六个 月以上。()对 7.入侵检测被认为是防火墙之后的第二道安全闸 门,在不影响网络性能的情况下能对网络进行 监测,从而提供对内部攻击、外部攻击的实时 防护。()对 8.IPS在IDS的基础上增加了防御功能,且部署方 式也相同。()错 9.根据公安部信息系统实现等级保护的要求,信 息系统的安全保护等级分为五级。()对 10.防火墙不能防止内部网络用户的攻击,传送已 感染病毒的软件和文件、数据驱动型的攻击。() 对 11.安全的口令,长度不得小于8位字符串,要求 是字母和数字或特殊字符的混合,用户名和口 令禁止相同。()对 12.涉及二级与三级系统间共用的网络设备、安全 设备,采用“就低不就高”的原则,按二级要 求进行防护。()错 13.隔离装置部属在应用服务器与数据库服务器之 间,除具备网络强隔离、地址绑定、访问控制 等功能外,还能够对SQL语句进行必要的解析 与过滤,抵御SQL注入攻击。()对 14.安全域是具有相同或相近的安全需求、相互信 任的区域或网络实体的集合,一个安全域可以 被划分为安全子域。()对 15.公钥密码算法有效解决了对称密码算法的密钥 分发问题,因此比对称密码算法更优秀。()错16.安全加密技术分为两大类:对称加密技术和非 对称加密技术。两者的主要区别是对称加密算 法在加密、解密过程中使用同一个密钥:而非 对称加密算法在加密、解密过程中使用两个不 同的密钥。()对 17.ORACLE默认情况下,口令的传输方式是加密。 ()错 18.在ORACLE数据库安装补丁时,不需要关闭所有 与数据库有关的服务。()错 19.在信息安全中,主体、客体及控制策略为访问 控制三要素。()对 20.防火墙可以解决来自内部网络的攻击。()错 21.防火墙作为实现网络边界隔离的设备,其部署 应以安全域划分及系统边界整合为前提,综合 考虑边界风险的程度来设定。()对 22.在等级保护监管中,第二级信息系统的运营、 使用单位应当依据国家有关管理规范和技术标 准进行保护,国家信息安全监管部门对该级信 息系统信息安全等级保护工作进行监督和检 查。()错 23.针对各等级系统应具有的对抗能力和恢复能 力,公安部给出了各等级的基本安全要求。基 本安全要求包括了基本技术要求和基本管理要 求,基本技术要求主要用于对抗威胁和实现技 术能力,基本管理要求主要为安全技术实现提 供组织、人员、程序等方面的保障。()对 24.国家电网公司管理信息大区中的内外网间使用 的是逻辑强隔离装置,只允许一个方向的访问。 ()对 25.PDRR安全模型包括保护、检测、相应、恢复四 个环节。()对 26.互联网出口必须向公司信息通信主管部门进行 说明后方可使用。()错 27.在个人内网计算机上存放“秘密”标识的文件, 这违反了严禁在信息内网计算机存储、处理国 家秘密信息的规定。()对 28.最小特权、纵深防御是网络安全的原则之一。() 对 29.根据国家电网公司信息内、外网隔离要求,不
信息安全管理体系-自己整理讲课稿
第三章信息安全管理体系 一、判断题 1.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。 2.定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。 3.通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。 二、单选题 1.下列关于风险的说法,是错误的。 A.风险是客观存在的 B.导致风险的外因是普遍存在的安全威胁 C.导致风险的外因是普遍存在的安全脆弱性 D.风险是指一种可能性 2.下列关于风险的说法,是正确的。 A.可以采取适当措施,完全清除风险 B.任何措施都无法完全清除风险 C.风险是对安全事件的确定描述 D.风险是固有的,无法被控制
3.风险管理的首要任务是。 A.风险识别和评估 B.风险转嫁 C.风险控制 D.接受风险 4.关于资产价值的评估,说法是正确的。 A.资产的价值指采购费用 B.资产的价值无法估计 C.资产价值的定量评估要比定性评估简单容易 D.资产的价值与其重要性密切相关 5.采取适当的安全控制措施,可以对风险起到作用。 A.促进 B.增加 C.减缓 D.清楚 6.当采取了安全控制措施后,剩余风险可接受风险的时候,说明风险管理是有效的。 A.等于 B.大于 C.小于 D.不等于 7.安全威胁是产生安全事件的。 A.内因 B.外因 C.根本原因 D.不相关因素
8.安全脆弱性是产生安全事件的。 A.内因 B.外因 C.根本原因 D.不相关因素 9.安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于措施。 A.保护 B.检测 C.响应 D.恢复 10.根据风险管理的看法,资产价值,脆弱性,被安全威胁,风险。 A.存在利用导致具有 B.具有存在利用导致 C.导致存在具有利用 D.利用导致存在具有 11.根据定量风险评估的方法,下列表达式正确的是。 A.SLE=AV×EF B.ALE=AV×EF C.ALE=SLE×EF D.ALE=SLE×AV 12.关于安全审计目的描述错误的是。 A.识别和分析未经授权的动作或攻击 B.记录用户活动和系统管理
电脑个人信息安全管理
个人信息安全管理 几个基本安全概念 管理重于技术 总体而言,就是做好系统、信息和账户的分级管理和备份工作,即使技术能力比较低的人,也能通过管理手段,保障自己的信息安全。 有限度的防护 对安全的要求及所付出的成本是密切相关的,甚至呈几何级数放大。要评估自己的信息重要程度如何,或是说,被窃取或公开后对事业对自己造成的损失如何,再决定自己投入的技术和资金。 鸡蛋不装到一个篮子里 不要把所有的用户账号与同一个邮箱关联,不要把所有的密码记在一个文档里或放在一个地方。避免这个账号或记录密码的地方被入侵,会让所有的账号失控。 避免雪崩效应 如果一个邮箱丢失,别的邮箱或账号都以这个邮箱作备份,那丢一个就丢了其他的,也不要把所有的密码设成一样或同样的规律。 按最坏的情况做准备 经常问自己,如果电脑丢失、系统崩溃、硬盘崩溃或账号失控的情况出现,自己正在进行的工作会不会无法进行?自己的社交关系会不会无法恢复?信息安全管理,要以最坏的情况出现作预案。
把自己当成透明,他们什么都知道 不管什么人,不管做什么样的安全防护,除非不把秘密记录下来及完全不告诉任何人,否则都有泄密的可能。进行信息安全管理,是为行动争取时间,减少自己的恐惧与损失。 安全的几个层面 系统的安全 主要指的是自己使用的电脑的安全性,包括有无足够强度的登录密码,登录密码是否定期更换,有没有及时升级补丁修复漏洞,有没有安装杀毒和防火墙的软件等。当系统安全出现问题时,一则影响工作效率,二则影响资料的安全,后果不仅仅是白辛苦,也会造成不可挽回原损失。 账户的安全 主要指包括邮箱社交平台等网络应用或服务的安全,一旦失控,轻则导致情况上的恐惧,重则导致资料的丢失,还有一项容易被忽略的,就是人际关系损失。想想看,大家如果主邮箱丢失,有多少人的联系方式就没有了? 虚拟资产的安全 针对虚拟财产是网络钓鱼及木马的主要目的,反而针对民运人士、媒体人及不同信仰人士往往是少数。大家都使用贝宝支付宝,虚拟资产的安全就变得很重要。 人际网络的安全 很多人把人际网络依赖于网上的某个社交应用,如脸书微博等,如果账号被封杀或失控,在此平台上建立的人际网络也会丢失。人际网络不安全,有往往是因沟通不畅引起,让有心之人搅混水有了可乘之机,他们往往是通过单方面提供不对称信息来达到目的的,如,私下告诉你某人如何如何。
信息安全管理练习题
信息安全管理练习题-2014 判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是( C )的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是( D )。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是( B )。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国( A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是( A )。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为( A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范