的含義及目標，管理的內(nèi)容。管理體系。信息系統(tǒng)安全的概念、屬性，物理安全，包括計算機機房與設(shè)施安全、技術(shù)控制、環(huán)境與人身安全、電磁泄漏。安全管理，包括安全組織、崗位安全考核與培訓、離崗

安全管理。應(yīng)用系統(tǒng)安全管理P.424了解2

/30信息系統(tǒng)安全和安全體系信息系統(tǒng)安全風險評估安全策略技術(shù)控制用戶標識與認證安全審計與

檢測系統(tǒng)安全應(yīng)用安全（從24章到329個章節(jié)，達139頁）P.538了解3

/30?

管理?信息系統(tǒng)安全?物理安全管理?

安全管理?應(yīng)用系統(tǒng)安全管理?案例分析了解4

/30P.

424的定義及目標國際上的一個公認的

的定義是：“保護信息的

性、完整性、可用性；另外也包括其他屬性，如：真實性、可核查性、不可抵賴性和可靠性”。性、完整性和可用性是

最為關(guān)注的三個屬性，因此這三個特性也經(jīng)常被稱為信息安全三元組，這也是

通常所強調(diào)的目標。了解5

/30P.

425的定義及目標真實性一般指對信息的來源進行判斷，能對

來源的信息予以鑒別。可核查性指系統(tǒng)實體的行為可以被獨一無二地追溯到該實體的特性不可抵賴性指建立有效的責任機制，防止用戶否認其行為，這一點在電子商務(wù)中是極其重要的?？煽啃允侵赶到y(tǒng)在規(guī)定的時間和給定的條件下，無故障完成規(guī)定功能的概率，通常用MTBF（MeBetween

Failure，平均故障間隔時間）來度量。了解6

/30P.

425的內(nèi)容管理的在ISO/IEC27000系列標準中，它將內(nèi)容主要概括為11個方面：方針與策略1組織資產(chǎn)管理控制信息系統(tǒng)的獲取、開發(fā)和保持事件管理業(yè)務(wù)持續(xù)性管理符合性人力資源安全物理和環(huán)境安全通信和操作安全了解7

/30?

管理?信息系統(tǒng)安全?物理安全管理?

安全管理?應(yīng)用系統(tǒng)安全管理?案例分析了解8

/30P.

431信息系統(tǒng)安全概念信息系統(tǒng)是指由計算機及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或網(wǎng)絡(luò)。信息系統(tǒng)安全是指信息系統(tǒng)及其所、傳輸和處理的信息的性、完整性和可用性的表征，一般包括：保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，以保障信息系統(tǒng)功能的正常發(fā)揮，以信息系統(tǒng)的安全運行。了解9

/30P.

431信息系統(tǒng)安全屬性信息系統(tǒng)安全屬性主要包括：性完整性可用性不可抵賴性了解10

/30了解11

/30P.

433信息系統(tǒng)安全管理體系信息系統(tǒng)安全管理的主要任務(wù)與工作信息系統(tǒng)安全組織機構(gòu)的建立與管理信息系統(tǒng)安全技術(shù)體系的建立與管理?

管理?信息系統(tǒng)安全?物理安全管理?

安全管理?應(yīng)用系統(tǒng)安全管理?案例分析了解12

/30物理安全管理包括安全區(qū)域的管理、設(shè)備設(shè)施的安全管理、對環(huán)境

的防范以及電磁輻射的管理等。1、計算機機房與設(shè)施安全2、技術(shù)控制3、環(huán)境與人身安全4、電磁兼容P.

438了解13

/30?

管理?信息系統(tǒng)安全?物理安全管理?

安全管理?應(yīng)用系統(tǒng)安全管理?案例分析了解14

/30任何系統(tǒng)的安全管理，都是以

安全安全管理是管理為

的安全管理，安全管理之根本。1、安全組織2、崗位安全考核與培訓3、離崗

安全管理P.

445了解15

/30?

管理?信息系統(tǒng)安全?物理安全管理?

安全管理?應(yīng)用系統(tǒng)安全管理?案例分析了解16

/30P.

446應(yīng)用系統(tǒng)安全管理的實施①建立應(yīng)用系統(tǒng)的安全需求管理②嚴格應(yīng)用系統(tǒng)的安全檢測與驗收③加強應(yīng)用系統(tǒng)的操作安全控制④規(guī)范變更控制⑤防止信息泄漏⑥嚴格

控制⑦信息備份⑧使用了解17

/30P.

448應(yīng)用系統(tǒng)運行中的安全管理①組織管理層在系統(tǒng)運行安全管理中的職責②系統(tǒng)運行安全的

目標③系統(tǒng)運行安全與

的層次構(gòu)成④系統(tǒng)運行安全檢查與記錄⑤系統(tǒng)運行安全管理制度了解18

/30?

管理?信息系統(tǒng)安全?物理安全管理?

安全管理?應(yīng)用系統(tǒng)安全管理?案例分析19

/30了解（中級用戶可以

業(yè)務(wù)記錄的哪些字段。P449)應(yīng)用系統(tǒng)運行的安全

，數(shù)據(jù)域安全是其中非常重要的內(nèi)容，數(shù)據(jù)域安全包括（20）。A

行級數(shù)據(jù)域安全，字段級數(shù)據(jù)域安全B、系統(tǒng)性數(shù)據(jù)域安全，功能性數(shù)據(jù)域安全C、數(shù)據(jù)資源安全，應(yīng)用性數(shù)據(jù)安全D、組織級數(shù)據(jù)域安全，性數(shù)據(jù)域安全分析：數(shù)據(jù)域安全包括兩個層次，其一是行級數(shù)據(jù)域安全，即用戶可以哪些業(yè)務(wù)記錄，一般以用戶所在單位為條件進行過濾；其二是字段級數(shù)據(jù)域安全，即20

/30了解者通過搭線或在電磁波輻射范圍內(nèi)安裝截收裝置等方式獲得

信息，或通過對信息流量和流向、通信頻率和長度等參數(shù)的分析推導出有用信息的

稱為（11

）。A.

破壞

B.

抵賴

C

截取分析：截收

通過數(shù)據(jù)D.竊取段獲得敏感信息。攻擊者通過搭線

或電子輻射探測等截獲

信息，或通過信息流量的變化、流向的變化以及通信總量等參數(shù)分析出有用信息。（高級

P553)截?。簭目傮w中截取一部分竊?。和蹈`,偷?。ㄐ氯A字典）（注意：資料上的參考答案為D是不對的）了解21

/30下面有關(guān)安全審計的說法錯誤的是（13）。A.安全審計需要用到數(shù)據(jù)挖掘和數(shù)據(jù)倉庫技術(shù)B

安全審計產(chǎn)品只包括主機類、網(wǎng)絡(luò)類及數(shù)據(jù)庫類C.安全審計的作用包括幫助分析安全事故發(fā)生的原因D.

安全審計是主體對客體進行

和使用情況進行記錄和分析：安全審計產(chǎn)品主要包括主機類、網(wǎng)絡(luò)類及數(shù)據(jù)庫類和應(yīng)用系統(tǒng)級的審計產(chǎn)品。（高級P628)特別提示：B中“只包括”等用詞太絕對。22

/30了解保障系統(tǒng)可以用一個宏觀的三來表示，第一維是OSI網(wǎng)絡(luò)參考模型，第二維是安全機制，第三維是安全服務(wù)。該安全空間的五個要素分別是（14）。應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層和物理層基礎(chǔ)設(shè)施安全、平臺安全、數(shù)據(jù)安全、通信安全和應(yīng)用安全服務(wù)、數(shù)據(jù)完整性服C.

對等實體服務(wù)、

控

務(wù)、數(shù)據(jù)務(wù)和物理安全服務(wù)D

認證、權(quán)限、完整、加密和不可否認分析：由X、Y、Z三個軸形成的空間就是信息系統(tǒng)的“安全空間”，隨著網(wǎng)絡(luò)逐層擴展，這個空間不僅范圍逐步加大，安全的內(nèi)涵也就更豐富，達到具有認證、權(quán)限、完整、加密和不可否認五大要素。也叫做“安全空間”的五大“屬性”。（高級

P538）23

/30了解項目組對某重要資源實施基于角色的控制。項目經(jīng)理（PM）為系統(tǒng)管理員。項目成員角色還包括配置管理員（CM）、分析

、設(shè)計

、開發(fā)和質(zhì)量保證

（QA），其中CM和QA同時參與多個項目。下面關(guān)于該資源訪問權(quán)限分配的說法正確的是（15）。CM的QA的權(quán)限應(yīng)由PM分配，且應(yīng)得到QA的批準權(quán)限應(yīng)由PM分配，其不參與項目時應(yīng)將其權(quán)限轉(zhuǎn)給CMC.分析、設(shè)計和開發(fā)

的

權(quán)限應(yīng)由CM分配，且應(yīng)得到QA的批準D

PM的

權(quán)限由其自己分配，且PM不在時其權(quán)限不能轉(zhuǎn)給QA或CM分析：在基于角色的控制中，角色由應(yīng)用系統(tǒng)的管理員定義，角色成員的增減也只能由應(yīng)用系統(tǒng)的管理員來執(zhí)行，即只有應(yīng)定義和分配角色，而且

規(guī)定是強加給用戶用系統(tǒng)的管理員的，用戶只能接受，不能自主地決定，用戶也不能自主地將訪問權(quán)限傳給他人，這是一種非自主型

控制。（高級P615)24

/30了解在如下的描述中，正確的是（

）

。A.

信息系統(tǒng)安全系統(tǒng)包括安全機制、安全服務(wù)和安全管理組成。B

信息系統(tǒng)安全系統(tǒng)由安全機制、安全服務(wù)和OSI網(wǎng)絡(luò)參考模型等組成。C．信息系統(tǒng)安全系統(tǒng)由安全平臺、安全應(yīng)用和安全審計組成。D．信息系統(tǒng)安全系統(tǒng)由安全平臺、安全應(yīng)用和防范體系組成。分析：信息系統(tǒng)安全系統(tǒng)由安全機制、安全服務(wù)和OSI網(wǎng)絡(luò)參考模型等三

組成。25

/30了解在如下的描述中，正確的是（

）

。A

保障系統(tǒng)是一個在網(wǎng)絡(luò)上，集成硬件、設(shè)備，以保障其他業(yè)務(wù)應(yīng)用信息系統(tǒng)正常運行的信息應(yīng)用系統(tǒng)，以及與之相關(guān)的崗位、

、策略、制度和規(guī)程的總和。B.

保障系統(tǒng)是一個保障其他業(yè)務(wù)應(yīng)用信息系統(tǒng)正常運行的信息應(yīng)用系統(tǒng).C．

保障系統(tǒng)與業(yè)務(wù)系統(tǒng)的運行無關(guān)。D．信息系統(tǒng)保障安全系統(tǒng)由安全平臺和防范體系組成。分析：保障系統(tǒng)是一個在網(wǎng)絡(luò)上，集成硬件、設(shè)備，以保障其他業(yè)務(wù)應(yīng)用信息系統(tǒng)正常運行的信息應(yīng)用系統(tǒng)，以及與之相關(guān)的崗位、

、策略、制度和規(guī)程的總和。26

/30了解《計算機

保護等級劃分準則》，確定了5個安全保護等級，其中最高一級是（58）。用戶自主保護級結(jié)構(gòu)化保護級驗證保護級系統(tǒng)審計保護級分析：中

民《計算機信息系統(tǒng)安全保護等級劃分準則》中規(guī)定了計算機系統(tǒng)安全保護能力的5個級別：1

、用戶自主保護級2、系統(tǒng)審計保護級3、安全標記保護級4、結(jié)構(gòu)化保護級

5、

驗證保護級。27

/30了解A.該單位將安全目標定位為“系統(tǒng)

不停機、數(shù)據(jù)

不丟失、網(wǎng)絡(luò)

不癱瘓、信息

不泄密”B該單位采用了類似單位的安全風險評估結(jié)果來確定本單位的

保護等級C.該單位的安全策略由單位

完成制定，并經(jīng)過單位的全員

修訂D.該單位為減小

的修改、

信息或服務(wù)的機會，對特定職責和責任領(lǐng)域的管理和執(zhí)行功能實施職責合并策略時采用的下述做法中，正某單位在制定確的是

(16)

。28

/30了解根據(jù)《電子信息系統(tǒng)機房設(shè)計規(guī)范GB50174-2008

》，電子信息系統(tǒng)機房應(yīng)對人流和出

進行安全考慮

，(24)

。以下敘述錯誤的是A

．建筑的小于1.5m至主機房應(yīng)設(shè)通道，通道凈寬不應(yīng)B．電子信息系統(tǒng)機房宜設(shè)門廳