2018安全c考試題及答案姓名：____________________

一、選擇題（每題[5]分，共[20]分）

1.下列哪項不屬于信息安全的基本要素？

A.機密性

B.完整性

C.可用性

D.可追溯性

2.以下哪個不是網(wǎng)絡安全的三要素？

A.隱私

B.可靠性

C.完整性

D.可控性

3.下列哪種加密算法不屬于對稱加密算法？

A.DES

B.RSA

C.AES

D.SHA-256

4.以下哪個不屬于信息安全風險評估的步驟？

A.確定風險

B.分析風險

C.評估風險

D.控制風險

5.以下哪個不是安全漏洞掃描的基本方法？

A.手工掃描

B.自動掃描

C.定期掃描

D.實時掃描

二、填空題（每題[5]分，共[25]分）

1.信息安全主要包括以下幾個方面：_______、_______、_______、_______和_______。

2.以下哪個不屬于信息安全的三大威脅類型？

a.網(wǎng)絡攻擊

b.內(nèi)部威脅

c.系統(tǒng)漏洞

d.自然災害

3.下列哪種協(xié)議主要用于保護電子郵件通信？

a.HTTPS

b.FTPS

c.S/MIME

d.POP3

4.以下哪個不屬于信息安全的基本原則？

a.最低權限原則

b.隔離原則

c.審計原則

d.完美原則

5.以下哪種加密算法適用于數(shù)據(jù)傳輸？

a.DES

b.RSA

c.AES

d.SHA-256

三、簡答題（每題[10]分，共[30]分）

1.簡述信息安全的三大威脅類型。

2.簡述信息安全的三大安全層次。

3.簡述信息安全的三大原則。

四、論述題（每題[20]分，共[40]分）

1.論述信息安全風險評估的重要性及其在實際應用中的意義。

2.論述信息安全管理體系（ISMS）的建立與實施過程，以及其在組織中的作用。

五、應用題（每題[20]分，共[40]分）

1.假設你是一名網(wǎng)絡安全工程師，負責一家公司的網(wǎng)絡安全防護工作。請根據(jù)以下情況，提出相應的安全防護措施：

a.公司內(nèi)部網(wǎng)絡拓撲結構。

b.公司員工數(shù)量及分布。

c.公司主要業(yè)務及數(shù)據(jù)敏感度。

d.公司已采取的安全措施。

2.針對以下場景，設計一個簡單的信息安全培訓方案：

a.培訓對象：公司全體員工。

b.培訓目標：提高員工的信息安全意識，降低人為因素導致的安全風險。

c.培訓內(nèi)容：信息安全基礎知識、常見安全威脅及防護措施、安全操作規(guī)范等。

六、案例分析題（每題[20]分，共[40]分）

1.案例背景：某公司近期遭受了一次網(wǎng)絡攻擊，導致公司內(nèi)部數(shù)據(jù)泄露，給公司造成了嚴重損失。請分析以下問題：

a.攻擊類型及可能的原因。

b.公司在此次攻擊中的安全漏洞。

c.針對此次攻擊，公司應采取哪些補救措施。

2.案例背景：某企業(yè)為了提高員工工作效率，決定引入一套新的辦公自動化系統(tǒng)。請分析以下問題：

a.在引入新系統(tǒng)前，企業(yè)應進行哪些安全評估？

b.新系統(tǒng)上線后，企業(yè)應如何確保系統(tǒng)的安全性？

c.企業(yè)應如何對員工進行新系統(tǒng)的安全培訓？

試卷答案如下：

一、選擇題答案及解析思路：

1.D?？勺匪菪圆粚儆谛畔踩幕疽兀畔踩幕疽匕C密性、完整性、可用性和可控性。

2.D。網(wǎng)絡安全的三要素是隱私、完整性和可靠性。

3.B。RSA屬于非對稱加密算法，而DES、AES和SHA-256都屬于對稱加密算法。

4.D。信息安全風險評估的步驟包括確定風險、分析風險、評估風險和控制風險。

5.D。實時掃描是安全漏洞掃描的一種方法，而手工掃描、自動掃描和定期掃描也是常見的掃描方法。

二、填空題答案及解析思路：

1.物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全。

2.d。自然災害不屬于信息安全的三大威脅類型，其他三項分別是網(wǎng)絡攻擊、內(nèi)部威脅和系統(tǒng)漏洞。

3.c。S/MIME主要用于保護電子郵件通信，而HTTPS、FTPS和POP3雖然與電子郵件通信有關，但主要用于傳輸過程中的加密。

4.d。信息安全的基本原則包括最低權限原則、隔離原則、審計原則和最小化原則，完美原則不是信息安全的基本原則。

5.b。RSA適用于數(shù)據(jù)傳輸，因為它可以用于公鑰加密和數(shù)字簽名。

三、簡答題答案及解析思路：

1.信息安全風險評估的重要性及其在實際應用中的意義：

-識別潛在風險：通過風險評估，可以識別出可能對組織造成威脅的風險。

-優(yōu)先級排序：幫助組織確定哪些風險最需要關注和優(yōu)先處理。

-制定安全策略：為組織制定有效的安全策略提供依據(jù)。

-預算分配：幫助組織合理分配安全預算，確保資金的有效利用。

2.信息安全的三要素：

-隱私：確保信息不被未授權的第三方訪問。

-完整性：確保信息在傳輸和存儲過程中不被篡改。

-可靠性：確保信息和服務在需要時能夠可靠地提供。

3.信息安全的三原則：

-最低權限原則：用戶和系統(tǒng)組件只應擁有完成其任務所需的最低權限。

-隔離原則：將不同的系統(tǒng)和數(shù)據(jù)隔離開，以防止?jié)撛诘墓簟?/p>

-審計原則：對系統(tǒng)活動進行記錄和監(jiān)控，以便在發(fā)生安全事件時進行調(diào)查。

四、論述題答案及解析思路：

1.信息安全風險評估的重要性及其在實際應用中的意義：

-風險評估可以幫助組織識別潛在的安全威脅，從而采取措施降低風險。

-風險評估有助于組織了解安全風險的嚴重程度，以便優(yōu)先處理高風險事件。

-風險評估為組織制定安全策略和預算提供了依據(jù)，確保資源得到有效利用。

2.信息安全管理體系（ISMS）的建立與實施過程，以及其在組織中的作用：

-建立ISMS的過程包括：確定信息安全目標、制定安全策略、實施安全控制、進行安全監(jiān)控和持續(xù)改進。

-ISMS在組織中的作用包括：提高組織的信息安全意識、降低安全風險、提高組織對安全事件的響應能力、增強組織對客戶的信任。

五、應用題答案及解析思路：

1.安全防護措施：

-對內(nèi)部網(wǎng)絡進行分段，限制不同部門之間的訪問。

-對員工進行安全意識培訓，提高他們的安全意識。

-定期進行安全漏洞掃描和滲透測試，及時發(fā)現(xiàn)和修復安全漏洞。

-實施訪問控制策略，確保只有授權用戶才能訪問敏感數(shù)據(jù)。

2.信息安全培訓方案：

-培訓對象：公司全體員工。

-培訓目標：提高員工的信息安全意識，降低人為因素導致的安全風險。

-培訓內(nèi)容：信息安全基礎知識、常見安全威脅及防護措施、安全操作規(guī)范等。

六、案例分析題答案及解析思路：

1.網(wǎng)絡攻擊分析：

-攻擊類型：可能為SQL注入、釣魚攻擊或分布式拒絕服務（DDoS）攻擊。

-安全漏洞：可能包括未修補的系統(tǒng)漏洞、弱密碼或不當配置。

-補救措施：