信息安全考试整理
考试内容: 信息安全的要素、威胁、Hash函数的相关概念、计算机病毒特性及理解方面的要点
1,信息安全的基本概念(安全的定义信息技术安全概述网络攻击的形式等 )
2,信息保密技术(古典加密对称加密非对称加密 RAS划重点两种密码体制和其代表方法)
3,信息认证技术(信息摘要函数,数字签名,身份认证技术 )
4,密钥管理技术(概念基础密钥管理知识密钥管理系统)
5,访问控制技术(模型、基本要素、相关要素实现机制) 访问级别审计之类的不考
6,网络攻击和防范(主要网络攻击技术:计算机病毒技术) 防火墙之类的不考
考试形式:
闭卷考试
1,判断(讲过的知识点的灵活运用)10分
2,填空(关键知识点)20分
3,简答(基本,核心的部分言简意赅的说清楚就好)40分
4,计算(要求详细过程,主要是实验内容对实验之外的内容也要关注)30分信息保密
注意实验和平时作业
习题:
Q1、常见信息安全威胁(至少列出十种)
信息破坏、破坏信息完整性、拒绝服务、非法使用(非授权访问)、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员不慎、媒体废弃、物理入侵、窃取、业务欺骗
Q2、衡量密码体制安全性的方法?
1、计算安全性:度量破译密码体制所需计算上的努力
2、可证明安全性:通过规约的方式为密码安全性提供证据,如果使用某种具体方法破译一个密码体制,就有可能有效的解决一个公认困难的数学问题类比: NP完全问题的规约
3 无条件安全性:假设攻击者具有无限的计算资源和计算能力时,密码体制仍然安全
Q3、以p=5,q=7为例,简述RSA算法的加密和解密过程 // 自选密钥
Eg:n=p*q=35
f(n)=(p-1)(q-1)=24
若gcd(e,f(n))=1 则取 e=5
由d=e-1modf(n) 可取d=5
加密:若明文为Z,m值为26,则m e=265=11881376,密文c=m e mod n=31
解密:密文为31,则c d=315=28629151 解密m=c d mod n=26 即Z
Q4:满足什么条件的Hash函数是安全的?
如果对于原像问题、第二原像问题、碰撞问题这三个问题都是难解的,则认为该Hash函数是安全的。
Q5:列出针对Hash函数的主要攻击类型。
生日攻击、穷举攻击、中途相遇攻击
Q6:简述身份信息认证系统的构成
被验证身份者、验证者、攻击者、可信任的机构作为仲裁或调解机构
Q7:密钥可以分为哪些类型
数据加密密钥和密钥加密密钥
密钥加密密钥又分为主密钥和初级密钥、二级密钥
Q8:简述密钥保护的基本原则
1、密钥永远不可以以明文的形式出现在密码装置之外。
2、密码装置是一种保密工具,即可以是硬件,也可以是软件。
Q9:什么是访问控制?它包括哪几个要素
访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制是在身份认证的基础上,根据身份对提出的资源访问请求加以控制,是针对越权使用资源的现象进行防御的措施。访问控制是网络安全防范和保护的主要策略,它可以限制对关键资源的访问,防止非法用户或合法用户的不慎操作所造成的破坏。
要素是:主体、客体、访问策略
Q10:自主访问控制和强制访问控制有什么区别?
1、自主访问控制(Discretionary Access Control)是一种最为普遍的访问控制手段,
其依据是用户的身份和授权,并为系统中的每个用户(或用户组)和客体规定了用户允许对客体进行访问的方式。每个用户对客体进行访问的要求都要经过规定授权的检验,如果授权中允许用户以这种方式访问客体,则访问就可以得到允许,否则就不予许可。
2、强制访问控制的实质是对系统当中所有的客体和所有的主体分配敏感标签(Sensitivity Label)。用户的敏感标签指定了该用户的敏感等级或者信任等级,也被称为安全许可(Clearance);而文件的敏感标签则说明了要访问该文件的用户所必须具备的信任等级。强制访问控制就是利用敏感标签来确定谁可以访问系统中的特定信息的。
3、区别:
自主访问控制的数据存取权限由用户控制,系统无法控制;
强制访问控制安全等级由系统控制,不是用户能直接感知或进行控制的。
自主访问有很大的灵活性,但存在安全隐患,
强制访问提高了安全性但在灵活性上大打折扣。
部分知识点:(个人感觉范围较大建议看ppt)
1、信息的定义
信息:认识主体所感受的或所表达的事物的运动状态和运动状态的变化方式。
(1)信息是普遍存在的。
(2)信息与物质。
(3)信息与能量。
(4)人类认识事物,变革事物必须要有信息。
2、信息的性质:
普遍性、无限性、相对性、转换性、变换性、有序性、动态性、转化性、共享性、可量度性
3、信息技术
信息技术的产生-来源:认识世界,改造世界
信息技术的内涵:能够延长或扩展人的信息能力的手段和方法
信息安全重要性:设计日常生活的各个方面
信息安全研究设计的领域:消息层(完整性、保密性、不可否认性)、网络层(可用性、可控性)
4、信息安全的要素
完整性、保密性、不可否认性、可用性、可控性
5、信息安全的定义
安全的定义:远离危险的状态或特征
信息上安全:关注信息本身的安全,保护信息财产不受损失
6、常见的安全威胁
定义:指人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险
常见威胁:信息破坏、破坏信息完整性、拒绝服务、非法使用(非授权访问)、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员不慎、媒体废弃、物理入侵、窃取、业务欺骗信息系统的威胁:
物理安全角度:对系统所用设备的威胁
通信链路角度:信息传输过程中的威胁
网络安全角度:计算机网络使用中的威胁
操作系统角度:对信息系统工作平台的威胁
应用系统角度:对网络服务或用户业务系统的威胁
管理系统角度:管理人员不慎造成的威胁
应对措施:
1 、安全机制:保护信息安全所采用的手段
2 、一个完整的信息安全系统至少包含
3 类措施
技术方面的安全措施
管理方面的安全措施*
相应的政策法律
7、网络攻击手段
产生原因:
网络本身具有的开放性和共享性
系统客观存在的安全漏洞
网络协议的设计缺陷
发展阶段:
早期-破解口令和利用系统已知漏洞等有限方法
目前-逐步发展成为一门完整的科学
常见的网络攻击工具:安全扫描工具、监听工具、口令破译工具
8、信息安全的实现
安全机制: -保护信息安全所采用的手段
信息安全的内容:
-技术方面的安全措施
-管理方面的安全措施
-相应的政策法律
-国家关于数据通信环境的安全机制法规
9、信息安全的技术措施
信息加密:让有用的信息变为看上去看似无用的乱码,使攻击者无法读懂信息内
容从而保护信息(单钥密码、公钥密码序列密码、分组密码)、
数字签名:数字签名机制决定于两个过程
签名过程-签名过程是利用签名者的私有信息
验证过程-利用公开的规程和信息来确定签名是否是利用私有信息产生的、数据完整性保护、身份鉴别、访问控制、数据备份和灾难恢复、网络控制技术、反病毒技术、安全审计、路由控制技术、其他:(业务填充、公证机制等)
10、信息安全管理
管理目标:保障信息资源安全
管理涉及方面:人事、设备、场地、储存媒体、软件、网络、密码密钥管理管理原则:规范、预防、立足国内、重视实效、系统化、均衡防护、应急和灾难恢复原则
11、网络的安全防范
防范重点:计算机病毒、黑客犯罪
网络安全的体系构建:物理安全、网络安全、操作系统安全、数据安全、管理安全
信息保密技术
12、古典密码
1、移位密码
将26个英文字母依次与0,1,2,…,25对应
密文c=m+k(mod 26)
明文m=c-k(mod 26) (其中k是密钥)
2、仿射密码
密文c=k1*m+k2(mod 26)
明文m=k1-1(c k2) (mod 26)
3、维吉利亚密码
该密码体制有一个参数n。在加解密时同样把英文字母用数字代替进行运算,并按n个字母一组进行变换。明、密文空间及密钥空间都是n长的英文字母串的集合。
加密:设密钥k=(k1, k2, …, k n),明文P=(m1, m2, …, m n),加密函数e k(P)=(c1, c2, …, c n),其中c i=(m i+k i) (mod 26), i=1, 2, …, n。
解密:对密文c=(c1, c2, …, c n),密钥k=(k1, k2, …, k n),解密变换为d k(c)=(m1, m2, …, m n),其中m i=(c i k i) (mod 26), i=1, 2, …, n。
4、置换密码
加密:把明文字符以固定的宽度m(分组长度)水平地(按行)写在一张纸上(如果最后一行不足m,需要补充固定字符),按1,2,…,m的一个置换交换列的位置次序,再按垂直方向(即按列)读出即得密文。
解密:将密文按相同的宽度m垂直在写在纸上,按置换的逆置换交换列的位置次序,然后水平地读出得到明文。置换就是密钥。
13、两种密码体制和其代表方法
对称加密
序列密码
分组密码
数据加密标准-DES
非对称加密
RSA密码算法
Diffie-Hellman密钥交换算法
ElGamal加密算法
14、RSA加密
RSA密码方案是惟一被广泛接受并实现的通用公开密码算法,目前已经成为公钥密码的国际标准。它是第一个既能用于数据加密,也通用数字签名的公开密钥密码算法。
(1)密钥生成
首先选取两个大素数p和q,计算n=pq ,其欧拉函数值为φ(n)=(p-1)(q-1) ,然后随机选择整数e ,满足 gcd(e,φ(n))=1,并计算整数 d= e-1 mod φ(n),则公钥为{e, n},私钥是{d, n}。p, q是秘密参数,需要保密,如不需要保存,可销毁
ps:gcd(e,φ(n))=1 指 e和φ(n)的公因数为1
d= e-1 mod φ(n)->de=1mod φ(n)即d和e的乘积与φ(n)相除余数为1
(2) 加密过程
设接收方的公钥为e,明文m满足0≤m 计算密文c= m e mod n (3) 解密过程 m= c d mod n 信息认证技术 15、信息摘要函数(hash函数) 定义:一个将任意长度的消息序列映射为较短的、固定长度的一个值的函数。 哈希函数安全的条件、常见攻击类型见习题 16、数字签名 签名应该具有的特征:可信、无法被伪造、无法重复使用、文件被签名以后是无法被篡改的、签名具有不可否认性 功能:解决否认、伪造、篡改及冒充等问题 数字签名的实现: (1)用对称加密算法进行数字签名:hash函数(直接数字签名)(单密钥、实现简单性能好、安全性低) (2)非对称加密算法:公钥签名技术(用单向函数对报文变换,得到数字签名。利用私钥进行加密。接收方公钥解密,得到数字签名的明文。用单向函数对报文变换,得到数字签名。比较签名验证身份。加密强度高。第三方认证。)数字签名标准(DSS) 两种特殊签名方式:盲签名、群签名 17、身份认证技术 ○1身份认证目的:对通信中一方的身份进行标识和验证。 ○2方法:验证用户所拥有的可被识别的特征 1、只有主体了解的秘密,如口令、密钥 2、主体携带的物品,如智能卡和令牌卡 3、主体身份特征,如指纹、声音、视网膜 ○3身份认证系统构成:被验证身份者(示证者)、验证者、攻击者、可信任的机构作为仲裁或调解机构。 ○4在网络通信中,身份认证就是用某种方法证明用户身份是合法的。 ○5常见身份认证技术:基于口令的认证技术、双因子身份认证技术、生物特征认证技术、给予零知识证明的识别技术 具体实现: 1、口令技术是目前常用的身份认证技术。 问题:口令泄露。 口令泄露途径:登录时被他人窥视;攻击者从计算机中存放口令的文件中读到;口令被在线攻击猜测出;被离线攻击搜索到。 口令攻击种类:网络数据流窃听、认证消息截取/重放、字典攻击、穷举尝试、窥探、社交工程、垃圾搜索 2、数字证书 3、智能卡:询问/应答、时间同步、事件同步 4、主体特征认证(无法仿冒,贵、不稳定) ○6用密码学方法的身份认证协议比传统的口令认证更安全。 ○7身份认证协议构成:两个通信方,可能还会有一个双方都信任的第三方参与进行。其中一个通信方按照协议的规定向另一方或者第三方发出认证请求,对方按照协议的规定作出响应,当协议顺利执行完毕时双方应该确信对方的身份。 ○8从使用加密的方法分类: 基于对称密钥的身份认证 基于公钥加密的身份认证。 ○9从认证的方向性分类: 相互认证 单向认证 密钥管理技术 18、概念 密钥管理是处理密钥自产生到最终销毁的整个过程中的所有问题,包括系统初始化,密钥的产生、存储、备份/装入、分配、保护、更新、控制、丢失、吊销和销毁等。其中分配和存储是难题。 密钥的管理需要借助于加密、认证、签字、协议、公证等技术。 密钥管理的因素: 理论因素:密文累计到足够量时破解是必然的、 人为因素:、 技术因素:密钥可能是脆弱的、密钥是安全的,但是密钥保护可能是实效的 19、基础密钥管理机制 对称密钥的管理: 加密密钥的管理:加密密钥交换协议 20、密钥管理系统 一个完整得密钥管理系统应该包括: ○1密钥管理、密钥分配、计算机网络密钥分配方法、密钥注入、密钥存储、密钥更换和密钥吊销。 ○4主要密钥包括: 初始密钥:由用户选定或系统分配的,在较长的一段时间内由一个用户专用的秘密密钥。要求它既安全又便于更换。、 会话密钥:两个通信终端用户在一次会话或交换数据时所用的密钥。一般由系统通过密钥交换协议动态产生。它使用的时间很短,从而限制了密码分析者攻击时所能得到的同一密钥加密的密文量。丢失时对系统保密性影响不大。、密钥加密密钥:用于传送会话密钥时采用的密钥、 主密钥:主密钥是对密钥加密密钥进行加密的密钥,存于主机的处理器中密钥的分配: 密钥分配要解决两个问题: (1)密钥的自动分配机制,自动分配密钥以提高系统的效率; (2)应该尽可能减少系统中驻留的密钥量。 根据密钥信息的交换方式,密钥分配可以分成三类: (1)人工密钥分发; (2)基于中心的密钥分发; (3)基于认证的密钥分发。 访问控制技术 21、模型 1、自主访问控制模型 自主访问控制(Discretionary Access Control)是一种最为普遍的访问控制手段,其依据是用户的身份和授权,并为系统中的每个用户(或用户组)和客体规定了用户允许对客体进行访问的方式。每个用户对客体进行访问的要求都要经过规定授权的检验,如果授权中允许用户以这种方式访问客体,则访问就可以得到允许,否则就不予许可。 特点:根据主体的身份和授权来决定访问模式。 缺点:信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 2、强制访问控制模型 强制访问控制的实质是对系统当中所有的客体和所有的主体分配敏感标签(Sensitivity Label)。用户的敏感标签指定了该用户的敏感等级或者信任等级,也被称为安全许可(Clearance);而文件的敏感标签则说明了要访问该文件的用户所必须具备的信任等级。 强制访问控制就是利用敏感标签来确定谁可以访问系统中的特定信息的。 用户的权限和客体的安全属性都是固定的 所谓“强制”就是安全属性由系统管理员人为设置,或由操作系统自动地按照严格的安全策略与规则进行设置,用户和他们的进程不能修改这些属性。 所谓“强制访问控制”是指访问发生前,系统通过比较主体和客体的安全属性来决定主体能否以他所希望的模式访问一个客体。 特点: 1.将主题和客体分级,根据主体和客体的级别标记来决定 访问模式。如,绝密级,机密级,秘密级,无密级。 2.其访问控制关系分为:上读/下写,下读/上写 (完整性)(机密性) 3.通过梯度安全标签实现单向信息流通模式。 缺点:自主式太弱、强制性太强、工作量太大不便管理 3、基于角色的访问控制模型 优点:便于授权管理、角色划分、赋予最小特权、职责分担、目标分级减小管理授权复杂性、降低管理开销,灵活支持企业安全策略、有伸缩性以角色作为访问控制的主体、角色继承、最小权限原则 4、基于任务的访问控制模型 5、基于对象的访问控制模型 22、基本要素 主体、客体、访问策略 23、相关要素实现机制 一般实现机制—— 基于访问控制属性 ——〉访问控制表/矩阵 基于用户和资源分档(“安全标签”) ——〉多级访问控制 常见实现方法—— 访问控制表(ACL) 访问能力表(Capabilities) 授权关系表 网络攻击 24、主要网络攻击技术 缓冲区溢出攻击: 远程控制: 拒绝服务攻击: 口令猜测攻击: 25、计算机病毒技术 计算机病毒的特性: 1、计算机病毒的传染性 计算机病毒一旦进入计算机病得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身插入其中,达到自我繁殖的目的。 是否具传染性:判别一个程序是否为病毒的最重要条件。 2. 计算机病毒的隐蔽性 计算机病毒通常附在正常程序中或磁盘较隐蔽的地方,目的是不让用户发现它的存在。不经过程序代码分析或计算机病毒代码扫描,计算机病毒程序与正常程序是不容易区别开来的。 一是传染的隐蔽性。 二是计算机病毒程序存在的隐蔽性。 3. 计算机病毒的潜伏性 大部分的计算机病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块,在此期间,它就可以对系统和文件进行大肆传染。潜伏性愈好,其在系统中的存在时间就会愈久,计算机病毒的传染范围就会愈大。 4. 可触发性:一种条件的控制 计算机病毒使用的触发条件主要有以下三种。 (1) 利用计算机内的时钟提供的时间作为触发器。这种触发条件被许多计算机病毒采用,触发的时间有的精确到百分之几秒,有的则只区分年份。 (2) 利用计算机病毒体内自带的计数器作为触发器。计算机病毒利用计数器记录某种事件发生的次数,一旦计数器达到某一设定的值,就执行破坏操作。 (3) 利用计算机内执行的某些特定操作作为触发器。特定操作可以是用户按下某种特定的组合键,可以是执行格式化命令,也可以是读写磁盘的某些扇区等。 5. 计算机病毒的破坏性 任何计算机病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响。轻者会降低计算机的工作效率,占用系统资源,重者可导致系统崩溃。这些都取决于计算机病毒编制者的意愿。 6. 计算机病毒的针对性 计算机病毒都是针对某一种或几种计算机和特定的操作系统的。 只有一种计算机病毒几乎是与操作系统无关的,那就是宏病毒,所有能够运行Office文档的地方都有宏病毒的存在。 7. 计算机病毒的衍生性 指计算机病毒编制者或者其他人将某个计算机病毒进行一定的修改后,使其衍生为一种与原先版本不同的计算机病毒。后者可能与原先的计算机病毒有很相似的特征,这时我们称其为原先计算机病毒的一个变种/变体。 8. 计算机病毒的寄生性 指一般的计算机病毒程序都是依附于某个宿主程序中,依赖于宿主程序而生存,并且通过宿主程序的执行而传播的。 蠕虫和特洛伊木马程序则是例外,它们并不是依附于某个程序或文件中,其本身就完全包含有恶意的计算机代码,这也是二者与一般计算机病毒的区别 9. 计算机病毒的不可预见性 计算机病毒的不可预见性体现在以下两个方面: 首先是计算机病毒的侵入、传播和发作是不可预见的。有时即使安装了实时计算机病毒防火墙,也会由于各种原因而不能完全阻隔某些计算机病毒的侵入。 其次不同种类的代码千差万别,病毒的制作技术也不断提高,对未来病毒的预测很困难。 题库 一、选择 1. 密码学的目的是(C)。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 2. 从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。 A. 阻止,检测,阻止,检测 B. 检测,阻止,检测,阻止 C. 检测,阻止,阻止,检测 D. 上面3项都不是 3. 数据保密性安全服务的基础是(D)。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 4. 数字签名要预先使用单向Hash函数进行处理的原因是(C)。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验 证签名的运算速度 D. 保证密文能正确还原成明文 5. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是(C)。 A. 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证 6. 为了简化管理,通常对访问者(A),以避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C. 按访问时间排序,删除长期没有访问的用户 D. 不作任何限制 7. PKI管理对象不包括(A)。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 8. 下面不属于PKI组成部分的是(D)。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 9. IKE协商的第一阶段可以采用(C)。 A. 主模式、快速模式 B. 快速模式、积极模式 C. 主模式、积极模式 D. 新组模式 10.AH协议和ESP协议有(A)种工作模式。 A. 二 B. 三 C. 四 D. 五 11. (C)属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 12. 包过滤型防火墙原理上是基于(C)进行分析的技术。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层 13. VPN的加密手段为(C)。 A. 具有加密功能的防火墙 B. 具有加密功能的路由器 C. VPN内的各台主机对各自的信息进行相应的加密 D. 单独的加密设备 14.(B)通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。 A. Access VPN B. Intranet VPN C. Extranet VPN D. Internet VPN 15.(C)通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或感兴趣的 深圳市***********电子有限公司 信息安全知识培训考核(时间:90分钟; 满分:100分)考试日期:年月日工号:姓名: 得分: 一、单项选择题(15×3分=45分) 1.( B )负责信息安全等级保护工作的监督、检查、指导。 A、保密部门 B、公安机关 C、司法部门 D、信息产业部门 2. 三级信息系统安全保护等级监督强度( B ) A、指导 B、监督检查 C、强制监督检查 D、专门监督检查 3.五级信息系统安全保护等级监督强度( D ) A、指导 B、监督检查 C、强制监督检查 D、专门监督检查 4.特洛伊木马具有( A )和非授权性的特点。 A、隐藏性 B、稳定性 C、安全性 D、快速性 5.防火墙和防火墙规则集只是( B )的技术体现 A、需求策略 B、安全策略 C、加密策略 D、解密策略 6.应急响应是指一组织为应对意外事件所做的事前准备和( D )。 A、事前防范 B、事后准备 C、事前保护 D、事后措施 7. 灾容备份的等级分为( D )级 A、1 B、2 C、3 D、4 8.在计算机系统中,用户是通过( A )的中间应用层和操作系统相互作用的。 A、不可信 B、可信 C、不稳定 D、稳定 9.互联网信息服务商在发生安全事故或计算机犯罪案例时,应当立即向本单位安全管理责任人报告并采取 妥善措施,保护现场,保留有关原始记录,在( A )小时内向当地公安机关报案,避免危害的扩大。 A、24小时 B、12小时 C、2小时 D、半小时 10.( D )共青团组织应当广泛宣传,引导未成年人增强自我保护意识,加强自我管理,自觉远离网吧,配 合文化等部门开展创建“安全放心网吧”活动。 A、关于维护互联网安全的决定 B、电信管理条例 C、互联网上网服务营业场所管理条例 D、全国青少年网络文明公约 11.在社会主义政治文明建设方面,党的十七大报告明确提出要坚定不移发展( C ),全面落实依法治国基 本方略。 A.社会主义法制社会 B.社会主义道德社会 C.社会主义民主政治 D.社会主义文明社会 12.法律的最基本内容就是规定( A )。 A.权利和义务 B.公平 C.民主 D.平等 13.计算机信息系统的建立和应用的目的也是概念中不可缺少的一部分,具体地说是为有关人员和部门提供 信息或者( A ) A.辅助决策等服务 B.对信息进行采集.加工.存储.传输.检索等 C.信息处理 D.保障信息的安全 14. 计算机信息系统的运行和信息处理过程都离不开人,必须由人操作和( B ) A.看管 B.管理 C.维护 D.处理 15.运输.携带.邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照( C )和中华人民共和国计 算机信息系统安全保护条例以及其他有关法律,法规的规定处理。 A 中华人民共和国消防法 B 中华人民共和国国刑法 C 中华人民共和国海关法 D 中华人民共和国治安管理处罚条例 二、多项选择题(5×5分=25分) 1.风险评估的工具包括(A、C、E ) A、安全管理评价系统 B、系统建设评价系统 C、系统软件评估工具 D、安全机构管理评价系统 E、风险评估辅助工具 2.以下(B、C、D、E)这些控制点是应用安全方面主要涉及的。 A、入侵防范 B、安全标记 C、通信完整性 信息安全培训试题 一、单选 1、信息科技风险指在商业银行运用过程中,由于自然因素、(B)、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不可抗力 2、信息科技风险管理的第一责任人是(A)。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A),建立完整的管理组织架构,制订完善的管理制度和流程。 A 信息科技治理 B 信息安全管理 C系统持续性管理 D 突发事件管理 4、所有科技风险事件都可以归于信息系统连续性或(D)出问题的事件。 A 保密性 B 完整性 C 可用性 D 安全性 5、设立或指派一个特定部门负责信息科技(D)管理工作,该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险 6、内部审计部门设立专门的信息科技风险审计岗位,负责(A)进行审计。 A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 B制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等 D 信息科技审计制度和流程的实施,制订和执行信息科技审计计划 等 7、信息科技风险管理策略,包括但不限于下述领域(C)。 A信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全 B信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 C信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。定义每个业务级别的控制内容,包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权(C)为原则、审批和授权、验证和调节。。 A以“最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的(D)等,定期进行更新和公示A信息科技风险管理制度 B 技术标准 C 操作规程 信息安全考试题库 一、填空题 1、网络安全的定义是_______________________________________ (指网络信息系统的安全,其内涵是网络安全体系结构中的安全服务) 2、安全协议的分类:________、_________、_______、________ (认证协议、密钥管理协议、不可否认协议、信息安全交换协议) 3、安全协议的安全性质_________、_______、__________、__________ (认证性、机密性、完整性和不可否认性) 4、IP协议是网络层使用的最主要的通信协议,以下是IP数据包的格式,请填入表格中缺少的元素 对点协议(ppp)是为______________而设计的链路层协议。 (同等单元之间传输数据包) 7、PPP协议的目的主要是用来通过_____________建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共同的解决方案。(拨号或专线方式) 8、连接过程中的主要状态填入下图 1建立2认证3网络4 打开5终止6静止 11、IPsec的设计目标是_______________________________________ (为IPv4和IPv6提供可互操作的,高质量的,基于密码学的安全性传输) IPsec协议【注:AH和ESP】支持的工作模式有()模式和()模式。(传输、隧道) 13、IPsec传输模式的一个缺点是_______________________________(内网中的各个主机只能使用公有IP地址,而不能使用私有IP地址) 14、IPsec隧道模式的一个优点______________________________ (可以保护子网内部的拓扑结构) 计算机信息安全试题 姓名:部门:日期:分数: 一、选择题(可多选)(8*5分) 1.计算机信息安全基本属性不包括( D )。 A:机密性 B:可用性 C:完整性 D:可抵赖性 2.公司重要信息泄漏可能会造成的危害有( ABC )。 A:降低竞争力 B:信誉受损 C:公司倒闭 D:没有损失 3.下列哪种情况对计算机信息安全有利(D )。 A:开着电脑就离开座位 B:随意连接不明网络 C:不安装杀毒防护软件 D:对标有“SPAM”的邮件谨慎打开4.下列哪些情况会对公司的信息安全带来危害( ABCD )。 A:在公司内部使用黑客软件 B:在公司网络中安放路由器等网络设备C:对自己的系统帐号密码保管不善 D:私自建立文件共享服务器5.计算机病毒是一种( A )。 A:程序或者一段指令代码 B:电子元件 C:微生物“病毒体” D:机器部件 6.计算机感染病毒之后,症状可能有( ABCD )。 A:计算机运行变慢 B:OA打不开 C:窃取账户信息 D:勒索 7.计算机发现病毒之后,应该采取的措施( AD )。 A:立即停止工作并报告信息技术部 B:发个邮件先 C:不管 D:用杀毒软件查杀 8.平时使用计算机,需要养成好的习惯,我们应该(ABDE )。 A:离开关机/锁屏 B:定期备份重要资料 C:随意点击不明文件 D:定时杀毒 E:系统使用完毕及时退出 二、判断题(10*3分) 1.我国关于危害计算机信息系统安全犯罪的条例是在《刑法》中而不是《民法》。(√) 2.长离开工作岗位应该关闭计算机。(√) 3.为保护信息安全,电脑密码需经常更换且不要告诉他人。(√) 4.公司内严禁使用盗版软件和破解工具,如有工作需要,应通过公司采购正版软件或使用免费软件。(√) 5.随意接U盘、移动硬盘以及手机等移动设备。(×) 6.不得以任何方式将公司信息(包括网络拓扑、IP地址、帐号、口令等)告知不相关的人员。(√) 7.计算机只要安装了杀毒软件,就不用担心会中病毒。(×) 8.收到不明邮件,特别是邮件主题有“SPAM”标记的邮件,不要随意打开。(√) 9.若计算机感染病毒,只要删除带病毒文件,就能消除所有病毒。(×) 10.当发现计算机病毒时,它们往往已经对计算机系统造成了不同程度的破坏,即使清除了病毒,受到破坏的内容有时也难以恢复。因此,对计算机病毒应该以预防为主。(√) 信息安全试题(1/共3) 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密 ),B方有一对密钥(K B公开 ,K B秘密 ),A方向B方发送数字签名M,对信息 M加密为:M’= K B公开(K A秘密 (M))。B方收到密文的解密方案是___。 A. K B公开(K A秘密 (M’)) B. K A公开 (K A公开 (M’)) C. K A公开(K B秘密 (M’)) D. K B秘密 (K A秘密 (M’)) 5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。 A.2128 B.264 C.232 D.2256 信息安全培训与考核管理规定 第一章总则 第一条为了加强医院信息安全培训与考核工作,特制定本办 法。 第二条本办法适用医院信息安全培训与考核工作。 第二章目的和范围 第三条培训的目的:为提高单位职工普遍的安全意识,使单位职工充分了解信息化安全策略,掌握基本的安全防范方法,确保信息化系统的安全稳定运行。 第四条培训的人员范围: 全院职工: ●信息安全意识培训; ●安全策略、安全制度培训; ●信息化安全相关的法律法规培训; ●防病毒知识培训等。 信息化技术员工(信息化关键岗位技术员工): 计算机病毒及防治知识培训; ●安全攻防知识培训; ●操作系统的安全培训; ●安全运维、安全监控; ●主流安全设备的使用; ●安全管理培训等。: 第三章培训与考核的管理 第五条信息安全培训工作(包括培训需求收集、实施和记录等)由信息管理部门负责;信息管理部门定期向各科室、处属单位收集培训需求,组织培训并做好培训记录。 第六条针对信息化技术员工,提供脱岗培训方式。邀请信息化安全专业机构或者取得一定资质的主流安全设备供应商对信息化技术员工进行脱岗培训,以提高其自身水平。针对非信息化技术人员,提供在岗培训方式。定期或不定期由信息管理部门组织进行安全培训,从而提高安全意识和自我安全防护能力。 第四章培训内容 第七条计算机网络安全知识培训的内容包括但不仅限于:网络的基本安全对策、常见的信息网络安全问题、网络安全隐患、信息系统安全风险管理的方法、计算机信息系统安全事故的查处和管理、计算机犯罪的防范等计算机网络安全保 护的相关知识。另外其它方面: ●计算机的安全使用知识; ●信息安全策略、制度; ●信息化安全的相关法律、法规; ●计算机病毒及防治知识; ●安全攻防知识; ●主流安全设备使用和管理知识等。 第五章培训考核办法 第八条为提高培训效率,量化衡量培训质量,在每次培训后都要对参与培训人员进行考核。考核分为书面考核和应用考核方式。考核成绩不合格者,应限制其使用信息化平台,直至考核合格。 第九条培训记录的保存,为每一位职工建立培训记录表,主要记录以下内容: ●参与了哪些培训; ●培训的时长; ●培训的考核结果; 培训记录表由组织人事科统一管理,作为绩效考核的一部分以及职位晋升的参考依据。 信息安全基础知识培训试题 姓名:部门:成绩: 一、填空题:每空4分共40分 1、电脑要定期更换(密码)、定期(杀毒),对不明邮件不要轻易(打开)。 2、信息安全的基本特征是(相对性)、(时效性)、(复杂性)、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素,同时也应该清醒的认识到人是信息安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的,每个网络环境都有一定程度的漏洞和(风险)。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、(网络设备)、 系统主机、工作站、PC机、操作系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题:每题5分共25分 1、信息安全三要素包括(A B C) A机密性B完整性C可用性D安全性 2、信息安全的重要性体现在以下方面(ABC) A信息安全是国家安全的需要 B信息安全是组织持续发展的需要 C信息安全是保护个人隐私与财产的需要 D信息安全是维护企业形象的需要 3、在工作当中,“上传下载”的应用存在的风险包括(ABC) A病毒木马传播B身份伪造C机密泄露D网络欺诈 4、客户端安全的必要措施包括(ABCDE) A安全密码B安全补丁更新C个人防火墙D应用程序使用安全E防病毒 5、信息安全管理现状已有的措施包括(ABCD) A兼职的安全管理员B物理安全保护C机房安全管理制度D资产管理制度 三、判断题:每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。(X) 2、为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。(√) 3、员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。(√) 4、超过70%的信息安全事件,如果事先加强管理,都可以得到避免。(√) 5、由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。(√) 6、企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议。(√) 7、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全,称为信息安全管理。(X) 第1页共1页 银行业信息安全培训试题 (2) 信息安全培训试题 一、单选 1、信息科技风险指在商业银行运用过程中,由于自然因素、(B)、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不可抗力 2、信息科技风险管理的第一责任人是(A)。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A),建立完整的管理组织架构,制订完善的管理制度和流程。 A 信息科技治理 B 信息安全管理 C系统持续性管理 D 突发事件管理 4、所有科技风险事件都可以归于信息系统连续性或(D)出问题的事件。 A 保密性 B 完整性 C 可用性 D 安全性 5、设立或指派一个特定部门负责信息科技(D)管理工作,该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险 6、内部审计部门设立专门的信息科技风险审计岗位,负责(A)进行审计。 A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 B制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等 D 信息科技审计制度和流程的实施,制订和执行信息科技审计计划 等 7、信息科技风险管理策略,包括但不限于下述领域(C)。 A信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全 B信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 C信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。定义每个业务级别的控制内容,包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权(C)为原则、审批和授权、验证和调节。。 A以“最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的(D)等,定期进行更新和公示A信息科技风险管理制度 B 技术标准 C 操作规程 信息安全技术教程习题及答案 信息安全试题(1/共3) 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密 ),B方有一对密钥(K B公开 ,K B秘密 ),A方向B方发送数字签名M,对信息 M加密为:M’= K B公开(K A秘密 (M))。B方收到密文的解密方案是___。 A. K B公开(K A秘密 (M’)) B. K A公开 (K A公开 (M’)) C. K A公开(K B秘密 (M’)) D. K B秘密 (K A秘密 (M’)) 5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。 A.2128 B.264 2014广西公需科目信息技术与信息安全考试试卷4 考试时间:150分钟总分:100分 1.(2分) GSM是第几代移动通信技术?(B ) A. 第三代 B. 第二代 C. 第一代 D. 第四代 2.(2分) 无线局域网的覆盖半径大约是(A )。 A. 10m~100m B. 5m~50m C. 8m~80m D. 15m~150m 3.(2分) 恶意代码传播速度最快、最广的途径是(C )。 A. 安装系统软件时 B. 通过U盘复制来传播文件时 C. 通过网络来传播文件时 D. 通过光盘复制来传播文件时 4.(2分) 以下关于智能建筑的描述,错误的是(A )。 A. 随着建筑智能化的广泛开展,我国智能建筑市场已接近饱和。 B. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 C. 建筑智能化已成为发展趋势。 D. 智能建筑强调用户体验,具有内生发展动力。 5.(2分) 广义的电子商务是指(B)。 A. 通过互联网在全球范围内进行的商务贸易活动 B. 通过电子手段进行的商业事务活动 C. 通过电子手段进行的支付活动 D. 通过互联网进行的商品订购活动 6.(2分) 证书授权中心(CA)的主要职责是(C)。 A. 颁发和管理数字证书 B. 进行用户身份认证 C. 颁发和管理数字证书以及进行用户身份认证 D. 以上答案都不对 7.(2分) 以下关于编程语言描述错误的是(B)。 A. 高级语言与计算机的硬件结构和指令系统无关,采用人们更易理解的方式编写程序,执行速度相对较慢。 B. 汇编语言适合编写一些对速度和代码长度要求不高的程序。 C. 汇编语言是面向机器的程序设计语言。用助记符代替机器指令的操作码,用地址符号或标号代替指令或操作数的地址,一般采用汇编语言编写控制软件、工具软件。 D. 机器语言编写的程序难以记忆,不便阅读和书写,编写程序难度大。但具有运行速度极快,且占用存储空间少的特点。 8.(2分) 云计算根据服务类型分为(A )。 A. IAAS、PAAS、SAAS B. IAAS、CAAS、SAAS C. IAAS、PAAS、DAAS D. PAAS、CAAS、SAAS 9.(2分) 统一资源定位符是(A )。 A. 互联网上网页和其他资源的地址 B. 以上答案都不对 C. 互联网上设备的物理地址 D. 互联网上设备的位置 10.(2分) 网站的安全协议是https时,该网站浏览时会进行(B)处理。 A. 增加访问标记 B. 加密 C. 身份验证 D. 口令验证 11.(2分) 涉密信息系统工程监理工作应由(D )的单位或组织自身力量承担。 信息安全等级保护培训试题集 一、法律法规 一、单选题 1 ?根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。 A.公安机关 B.国家保密工作部门 C?国家密码管理部门 2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C?国家密码管理部门 D.信息系统的主管部门 3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______ ,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的 _______ 等因素确定。(B) A.经济价值经济损失 B.重要程度危害程度 C?经济价值危害程度 D.重要程度经济损失 4?对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息 安全保护等级专家评审委员会评审。 A.第一级 B.第二级 C.第三级 D.第四级 5.—般来说,二级信息系统,适用于(D) A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。 C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。 D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及 2018年度大数据时代的互联网信息安全100分 ? 1.要安全浏览网页,不应该()(单选题2分)得分:2分 o A.禁止开启ActiveX控件和Java脚本 o B.定期清理浏览器Cookies o C.定期清理浏览器缓存和上网历史记录 o D.在公用计算机上使用“自动登录”和“记住密码”功能 ? 2.赵女士的一个正在国外进修的朋友,晚上用QQ联系赵女士,聊了些近况并谈及国外信用卡的便利,问该女士用的什么信用卡,并好奇地让其发信用卡正反面的照片给他,要比较下国内外信用卡的差别。 该女士有点犹豫,就拨通了朋友的电话,结果朋友说QQ被盗了。那么不法分子为什么要信用卡的正反面照片呢?()(单选题2分)得分:2分 o A.复制该信用卡卡片 o B.收藏不同图案的信用卡图片 o C.可获得卡号、有效期和CVV(末三位数)该三项信息已可以进行网络支付 o D.对比国内外信用卡的区别 ? 3.我国计算机信息系统实行()保护。(单选题2分)得分:2分 o A.主任值班制 o B.责任制 o C.安全等级 o D.专职人员资格 ? 4.注册或者浏览社交类网站时,不恰当的做法是:()(单选题2分)得分:2分 o A.信任他人转载的信息 o B.不要轻易加社交网站好友 o C.充分利用社交网站的安全机制 o D.尽量不要填写过于详细的个人资料 ? 5.我们经常从网站上下载文件、软件,为了确保系统安全,以下哪个处理措施最正确。()(单选题2分)得分:2分 o A.习惯于下载完成自动安装 o B.下载之后先做操作系统备份,如有异常恢复系统 o C.先查杀病毒,再使用 o D.直接打开或使用 ? 6.没有自拍,也没有视频聊天,但电脑摄像头的灯总是亮着,这是什么原因()(单选题2分)得分:2分 o A.电脑坏了 o B.可能中了木马,正在被黑客偷窥 o C.摄像头坏了 o D.本来就该亮着 ?7.位置信息和个人隐私之间的关系,以下说法正确的是()(单选题2分)得分:2分o A.位置隐私太危险,不使用苹果手机,以及所有有位置服务的电子产品 o B.我就是普通人,位置隐私不重要,可随意查看 o C.通过网络搜集别人的位置信息,可以研究行为规律 o D.需要平衡位置服务和隐私的关系,认真学习软件的使用方法,确保位置信息不泄露 ?8.刘同学喜欢玩网络游戏。某天他正玩游戏,突然弹出一个窗口,提示:特大优惠!1元可购买10000元游戏币!点击链接后,在此网站输入银行卡账号和密码,网上支付后发现自己银行卡里的钱都没了。 结合本实例,对发生问题的原因描述正确的是?()(单选题2分)得分:2分 o A.使用网银进行交易 o B.轻信网上的类似“特大优惠”的欺骗链接,并透露了自己的银行卡号、密码等私密信息导致银行卡被盗刷 o C.电脑被植入木马 信息安全等级保护培训 考试试题集 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT 信息安全等级保护培训试题集 一、法律法规 一、单选题 1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A.经济价值经济损失 B.重要程度危害程度 C.经济价值危害程度 D.重要程度经济损失 4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 B.第二级 C.第三级 D.第四级 5.一般来说,二级信息系统,适用于(D) A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。 C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。 D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。 6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A.二级以上 B.三级以上 C.四级以上 D.五级以上 7.安全测评报告由(D)报地级以上市公安机关公共信息网络安全监察部门。 A.安全服务机构 B.县级公安机关公共信息网络安全监察部门 信息安全期末考试题库及 答案 Newly compiled on November 23, 2020 题库 一、选择 1. 密码学的目的是(C)。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 2. 从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。 A. 阻止,检测,阻止,检测 B. 检测,阻止,检测,阻止 C. 检测,阻止,阻止,检测 D. 上面3项都不是 3. 数据保密性安全服务的基础是(D)。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 4. 数字签名要预先使用单向Hash函数进行处理的原因是(C)。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验 证签名的运算速度 D. 保证密文能正确还原成明文 5. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是(C)。 A. 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证 6. 为了简化管理,通常对访问者(A),以避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C. 按访问时间排序,删除长期没有访问的用户 D. 不作任何限制 7. PKI管理对象不包括(A)。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 8. 下面不属于PKI组成部分的是(D)。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 9. IKE协商的第一阶段可以采用(C)。 A. 主模式、快速模式 B. 快速模式、积极模式 C. 主模式、积极模式 D. 新组模式 10.AH协议和ESP协议有(A)种工作模式。 A. 二 B. 三 C. 四 D. 五 11. (C)属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 12. 包过滤型防火墙原理上是基于(C)进行分析的技术。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层 信息安全培训考核管理规范 第一章总则 第一条为加强XX公司信息安全培训管理工作,提高员工安全防护意识和能力,依据有关法律、法规及信息安全标准,特制定本规范。 第二条本办法适用于《XXXX》大数据管理服务中心人员安全培训考核管理工作。 第二章培训、考核管理领导机构和执行机构第三条XX公司领导小组(以下简称领导小组)为《XXXX》信息安全相关人员培训、考核的领导机构。 第四条信息安全人员培训考核执行机构为XX运维部。 第五条信息安全培训考核执行机构的主要职责如下:(一)制定每年信息安全培训计划,联系相关培训部门和讲师,召集各单位和部门培训人员; (二)对培训材料和大纲进行审核,对培训质量进行把控; (三)对参与培训的人员进行考核和记录。 第三章安全知识和技能培训 第六条运维部每年定期对各部门人员进行下列信息安全知识和技能的培训: (一)信息安全法律法规及行业规章制度的培训;(二)信息安全意识培训; (三)信息安全基本技能的培训; (四)对系统建设、运维人员和数据安全从业人员的专项技能培训。 第七条各部门员工应定期进行信息安全法律法规、安全意识和基本技能的培训和考核(至少每年一次),信息安全人员及关键岗位人员还需进行专项技能的培训和考核。 第八条定期派遣信息安全骨干人员参加国家或行业内的信息安全技能培训和资质考试。 第四章安全意识教育 第九条由运维部负责制定人员信息安全意识教育计划,详细规定人员意识教育的内容、方法和过程。 第十条安全意识教育包括信息安全基础知识、各类人员的安全责任和惩戒措施等。 第十一条采用常规宣传、短期培训等方式,每年至少一次对所有人员进行安全意识教育。 第十二条安全意识教育应进行必要的考核(至少每年一次),并将考核结果及日常情况进行记录、保存,作为人员考核的内容之一。 第五章关键岗位人员的培训与考核 第十三条关键岗位的人员,除进行安全意识培训与考核外,还应进行专项技能的培训和考核。第十四条对关键岗位人员应实行定期考查制度,关键岗位人员应定期接受专项安全培训,加强自身安全意识和风险防范意识。 第十五条关键岗位人员考核结果要记录文档,作为人员续用的依据。 第十六条关键岗位备岗人员参考关键岗位人员培训考核规范。 第六章培训与考核备案 第十七条培训与考核的记录文档应备案,记录结果包括培训时间、培训内容、参加人员和考核结果等。 第十八条培训与考核备案文档保存3年以上时间。 第七章附则 第十九条本规范由XX公司总经办负责解释。 1.微信收到“微信团队”的安全提示:“您的微信账号在16:46尝试在另一个设备登录。登录设备:XX品牌XX型号”。这时我们应该怎么做()(单选题2分)得分:2分 A.自己的密码足够复杂,不可能被破解,坚决不修改密码 B.拨打110报警,让警察来解决 C.确认是否是自己的设备登录,如果不是,则尽快修改密码 D.有可能是误报,不用理睬 2.注册或者浏览社交类网站时,不恰当的做法是:()(单选题2分)得分:2分 A.信任他人转载的信息 B.尽量不要填写过于详细的个人资料 C.充分利用社交网站的安全机制 D.不要轻易加社交网站好友 3.不属于常见的危险密码是()(单选题2分)得分:2分 A.10位的综合型密码 B.跟用户名相同的密码 C.只有4位数的密码 D.使用生日作为密码 4.当前网络中的鉴别技术正在快速发展,以前我们主要通过账号密码的方式验证用户身份,现在我们会用到U盾识别、指纹识别、面部识别、虹膜识别等多种鉴别方式。请问下列哪种说法是正确的。()(单选题2分)得分:2分 A.U盾由于具有实体唯一性,被银行广泛使用,使用U盾没有安全风险 B.指纹识别相对传统的密码识别更加安全 C.面部识别依靠每个人的脸型作为鉴别依据,面部识别无法伪造 D.使用多种鉴别方式比单一的鉴别方式相对安全 5.赵女士的一个正在国外进修的朋友,晚上用QQ联系赵女士,聊了些近况并谈及国外信用卡的便利,问该女士用的什么信用卡,并好奇地让其发信用卡正反面的照片给他,要比较下国内外信用卡的差别。该女士有点犹豫,就拨通了朋友的电话,结果朋友说QQ被盗了。那么不法分子为什么要信用卡的正反面照片呢?()(单选题2分)得分:2分 A.对比国内外信用卡的区别 信息安全管理培训考核试题(时间30分钟)您的姓名__________(请用正楷字体填写) 工作单位_____________________________ 一、选择题 1.以下哪个是信息安全管理标准? A. ISO15408 B. ISO14000 C. ISO9000 D. ISO27001/ISO17799 2.以下哪个标准涉及风险评估要求? A. ISO27001/ISO17799 B. ISO14000 C. ISO9000 D. ISO15408 3.ISO17799:2005增加了以下那部分内容? A. 资产管理 B. 信息安全事件管理 C. 人力资源安全 D. 信息系统得获取、开发和维护 4.以下关于信息安全资产的答案哪个是正确的? A. 人员是资产 B. 公司形象是资产 C. 数据是资产 D. A、B、C都是 5.残余风险是风险处理后残留的风险,我们不需要对其进行监控。这种说法是? A. 正确的 B. 错误的 6.为了工作方便和工作效率,在内审时内审员可以审核自己的工作,这种做法是? A.错误的 B. 正确的 7.在策略生命周期中,以下哪个是正确的:( ) A. 需求分析、制定、发布、推行、审核、 废除 B. 制定、发布、推行、审核、修订、废除 C. 需求分析、制定、发布、推行、审核、修订 D. 需求分析、制定、发布、推行、审核、修订、废除 8.与信息资产有关的弱点或安全隐患对资产构成威胁,这种说法是? A.错误的 B. 正确的 9.风险评估主要包括以下哪几个方面的评估? A. 资产、威胁、弱点 B. 资产及价值、威胁、弱点、已有控制措施 C. 资产及价值、威胁、弱点 D. 资产、威胁、弱点、已有控制措施 《 信息安全》课程考试试卷(A 卷) 专业 软件工程、计算机科学与技术、网络工程 一、判断题(每小题2 分,共10分,对的打“”,错的打“ ”) 题号 1 2 3 4 5 答案 二、选择题(每小题2分,共20分) 题号 1 2 3 4 5 6 7 8 9 1 答案 D C C B B B D C A D 1、在身份认证方法中,下列哪种方法是“你是谁”的认证方式。 ( D ) A 口令 B U 盾 C ATM 卡 D 指纹 2、 PKI 是__ __。 ( C ) A .Private Key Infrastructure B .Public Key Institute C .Public Key Infrastructure D .Private Key Institute 3、包过滤防火墙是指在网络模型当中的哪一层对数据包进行检查。 ( C ) A 应用层 B 传输层 C 网络层 D 数据链路层 4、从安全属性对各种网络攻击进行分类,阻断攻击是针对 的攻击。( B ) A. 机密性 B. 可用性 C. 完整性 D. 真实性 5、IPSec 协议工作在____层次。 ( B ) A. 数据链路层 B. 网络层 C. 应用层 D 传输层 6、网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的___属性。 ( B ) 四、设计题(20分) 下图中我们给出了基于对称密钥的双向认证协议,其中Alice和Bob表示协议的双方,R A表示Alice发给Bob的随机数,R B表示Bob发给Alice的随机数,K表示Alice和Bob之间共享的对称密钥,E(R A,K)、E(R B,K)表示使用对称密钥K对随机数R A、R B进行加密。这个协议并不安全,可能遭受类似于我们讨论过的中间米格类型攻击。 a.假设Trudy利用中间米格来攻击该协议,请你描述这个攻击过程(4分),并设计攻击过程的会话协议图;(10分) b.这个协议稍加修改就可以避免中间米格的攻击,请你设计出修改后的会话协议。(6分) 答案: a.这个攻击中,首先Trudy称自己是Alice并发送一个R A给Bob。根据这个协议Bob对R A进行加密,将加密结果以及他自己的R B发回给Trudy。接着Trudy又开启了与Bob的一个新的连接,他再次称自己是Alice并发送一个R B给Bob,根据协议Bob将回复E(R B,K)作为相应,此时Trudy利用E(R B,K)完成第一个连接的建立使得Bob相信她就是Alice;第二个连接让它超时断开。 具体的设计图如下: b.这个协议中我们把用户的身份信息和随机数结合在一起进行加密,就可以防止以上的攻击,因为Trudy不能再使用来自Bob的返回值来进行第三条信息的重放了,具体设计如下:信息安全期末考试题库与答案
信息安全知识答案
信息安全培训试题-1
信息安全考试题库完整
最新企业计算机信息安全培训试题---附答案
信息安全试题及答案45094
信息安全培训与考核管理规定
信息安全基础知识培训考试答案
银行业信息安全培训试题 (2)
信息安全技术试题答案(全)
信息技术与信息安全考试题库及答案(全)
信息安全等级保护培训考试试题集
2018年度大数据时代的互联网信息安全考试题及答案(满分)
信息安全等级保护培训考试试题集
信息安全期末考试题库及答案
信息安全培训考核管理规范
2018年度大数据时代的互联网信息安全考试及答案1
安全管理培训试题及答案汇编
信息安全试卷及答案