一、填空题
1.资产管理的主要任务是 ______、 ______等
2.脆弱性分为 ______、______、______
3.风险评估方法分为 ______、______、 ______ 4.OCTAVE 是一种信息安全风险评估方法， 它指的是 ______、______、______ 5.组织根据 ______与 ______的原则识别并选择安全控制措施 6.风险接受是一个对残留风险进行 ______和______的过程 二、名词解释 （1 ）资产的价值 （2）威胁 （3 ）脆弱性 （4）安全风险 （5 ） 风险评估 （ 6 ）风险管理 （7）安全控制 （8 ）适用性声明 三、简答 1.叙述风险评估的基本步骤。 2.资产、威胁与脆弱性之间的关系如何？ 3.信息系统的脆弱性一般包括哪几类？ 4.比较基本风险评估与详细风险评估的优缺点。
护信息资产的一项体制
二、名词解释
1.信息安全
2.信息安全管理
四、论述
1.我国信息安全管理现状如何？
第二章
一、填空题
1.BS7799 信息安全管理领域的一个权威标准，其最大意义就在于它给
______一整套可“ ______”的信息安全管理要领。
2.SSE-CMM 将安全工程划分为三个基本的安全区域，即 ______、______、
6.系统安全验证的方法有 ______、 ______
二、名词解释
1.系统安全性验证
2. 破坏性分析
四、论述
1.系统安全原则包括哪些？分别简述。
第七章
一、填空题
1.信息安全策略分为 ______和______两个层次。
2.信息安全管理程序包括两部分：一是实施控制目标与控制方式的 ______
另一部分是覆盖信息安全管理体系的 ______的程序
3.系统安全监控与审计是指对系统的 ______和系统中用户的 ______进行监
视、控制和记录
4.安全监控分为 ______和______两大类
5.从实现技术上看，安全审计分为 ______和______两部分
6.审计分析的基本方法有 ______、 ______、______
7.网络故障管理的基本步骤包括 ______、 ______和______
第五章 一、填空题
1.为防止未经授权的 ______，预防对信息系统的 ______和______的破坏和干 扰，应当对信息系统所处的环境进行区域划分
2.机房安全就是对旋转信息系统的 ______进行细致周密的计划，对信息系 统加以 ______上的严密保护
3.计算机系统的电磁泄漏途径有： ______和______ 4.影响计算机电磁辐射强度的因素有 ______、______、______ 5. 媒介保护和管理的目的是保护存储在媒介上的 ______，确保信息不被 ______、篡改、破坏或 ______ 6.基于移动存储介质的安全威胁传播快、危害大，而且有很强的 ______和 ______ 7. 信息的存储与处理应当 ______，以便保护这些信息免于未经授权的 ______和 ______ 8.根据 GB9361-88 ，计算机机房的安全等级分为 ______、______和 ______。 9.保证电子文档安全的技术措施有加密技术、 ______、______和______。 二、名词解释
第八章 一、填空题
1.目前入侵检测技术可分为 ______和 ______ 二、名词解释
1.应急响应 2. 安全紧急事件 三、简答
1.如何理解应急响应在信息安全中的地位和作用？ 2.应急响应组织分为哪几类？分别简述。 四、论述 应急响应处置流程通常被划分为哪些阶段？各个阶段的主要任务是什 么？
案例应用题 1.结合你所学过的知识，谈一谈降低风险的主要途径有哪些？ 2.系统安全监控的主要内容有哪些？请举例说明系统安全监控有哪些实
4． SSE-CMM 将安全工程划分为哪些基本的过程区域？每一个区域的含
义是什么？
5.建立信息安全管理体系一般要经过哪些基本步骤？
四、论述
1.PDCA 分为哪几个阶段？每一个阶段的主要任务是什么？
2.等级保护的实施分为哪几个阶段？每一个阶段的主要步骤是什么？
3.试述 BS7799 的主要内容。
第三章
第四章 一、填空题
1.人员安全管理包括 ______、______、 ______ 2.对人员的安全审查一般从人员的 ______、______、______等几个方面进行 审查。 三、简答 1．在我国，信息安全管理组织包含哪些层次？
2．信息安全组织的基本任务是什么？ 3．信息安全教育包括哪些方面的内容？
护要求和成本开销等因素， 将其划分成不同的安全保护等级， 采取相应的安全 保护措施，以保障信息和信息系统的安全。
3.信息安全管理体系认证，是第三方依据程序对产品、过程和服务等符合 规定的要求给予书面保证（如合格证书） 。认证的基础是标准，认证的方法包 括对产品特性的抽样检验和对组织体系的审核与评定， 认证的证明方式是认证 证书与认证标志。 目前，世界上普遍采用的信息安全管理体系认证的标准是在 英国标准协会的信息安全管理委员会指导下制定的 B57799-2: 《信息安全管理 体系规范》。 三、简答
1.ISMS 的作用 1）强化员工的信息安全意识，规范组织信息安全行为； 2）促使管理层贯彻信息安全保障体系； 3）对组织的关键信息资产进行全面系统的保护，维持竞争优势； 4）在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； 5）使组织的生意伙伴和客户对组织充满信心； 6）如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信 息，可以提高组织的知名度与信任度。 . 2.答：组织在实施 BS7799 时，可以根据需求和实际情况，采用以下几种 模式：
和过程。 四、论述 1.在国家宏观信息安全管理方面，主要有以下几个方面的问题： （1）法律法规 问题（ 2 ）管理问题（ 3）国家信息基础设施建设问题
在微观信息安全管理方面的问题主要有以下几方面：缺乏信息安全意识与 明确的信息安全方针（ 2 ）重视安全技术，轻视安全管理（ 3 ）安全管理缺乏 系统管理的思想。
1）小偷顺着一楼的防护栏潜入办公室偷走了…… 2）保洁公司人员不小心弄脏了准备发给客户的设计方案；错把掉在地上 的合同稿当废纸收走了；不小心碰掉了墙角的电源插销…… 3）某设计师张先生是公司的骨干，他嫌公司提供的设计软件版本太旧， 自己安装了盗版的新版本设计程序。 尽管这个盗版程序使用一段时间就会发生 莫名其妙的错误导致程序关闭， 可是张先生还是喜欢新版本的设计程序， 并找 到一些办法避免错误发生时丢失文件。 4）后来张先生离开设计院，新员工小李使用原来张先生的计算机。小李 抱怨了多次计算机不正常， 没有人理会， 最后决定自己重新安装操作系统和应 用程序。 5）小李把自己感觉重要的文件备份到陈博士的计算机上，听说
第六章
一、填空题
1.系统可靠性分为 ______和 ______
2.______和______中最大的安全弱点是用户账号
3.针对用户账号安全，可采用 ______、______、______来保护
4.系统选购通过 ______、______等，保证所选购安全性
5.程序测试的目的有两个：一是 ______，二是 ______
现方式？ 3.某设计院有工作人员 25 人，每人一台计算机， Windows 98 对等网络
通过一台集线器连接起来，公司没有专门的 IT 管理员。公司办公室都在二楼， 同一楼房内还有多家公司， 在一楼入口处赵大爷负责外来人员的登记， 但是他 经常分辨不清楚是不是外来人员。 设计院由市内一家保洁公司负责楼道和办公 室的清洁工作。总经理陈博士是位老设计师，他经常拨号到 Internet 访问一 些设计方面的信息， 他的计算机上还安装了代理软件， 其他人员可以通过这个 代理软件访问 Internet 。下列情况都是有可能的：
（例： 1 ） ⑴ ⑵ ⑶ ⑷ ⑸
）
4.某高校信息安全应对策略
某大学师生人数众多， 拥有两万多台主机， 上网用户也在 2 万人左右， 而
且用户数量一直成上升趋势。 校园网在为广大师生提供便捷、高效的学习、 工
作环境的同时，也在宽带管理、计费和安全等方面存在许多问题。具体如下：
（1 ）IP 地址及用户账号的盗用。
第一章
一、填空题
1.信息保障的三大要素是 ______、 ______、______
2.在 bs7799 信息安全管理体系中， 信息安全的主要目标是信息的 ______、
______、 ______的保持
3.信息安全一般包括 ______、______、信息安全和 ______四个方面的内容。
4.信息安全管理是通过维护信息的 ______、______、______等，来管理和保
有发过这样的信。
针对上述情况，请从下面所列的安全策略中选择你认为适合的放在相应
的位置。
⑴物理安全策略⑵网络安全策略⑶数据加密策略⑷数据备份策略⑸病毒
防护策略⑹系统安全策略⑺身份认证及授权策略⑻灾难恢复策略⑼事故处理
与紧急响应策略⑽安全教育策略⑾口令管理策略⑿补丁管理策略⒀系统变更
控制策略⒁商业伙伴与客户关系策略⒂复查审计策略
第二章 一、填空题
1.管理层 量体裁衣 2.风险 工程 保证 3.六 五 二、名词解释 1.信息安全管理体系（ ISMS ）是组织在整体或特定范围内建立的信息安 全方针和目标， 以及完整这些目标所用的方法和手段所构成的体系； 信息安全 管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、 计划、活动、程序、过程和资源的集合。 2.信息安全等级保护是指根据信息系统在国家安全、 经济安全、社会稳定、 和保护公共利益等方面的重要程度， 结合系统面临的风险、 应对风险的安全保
1.物理安全边界
三、简答
1．信息系统安全界线的划分和执行应考虑哪些原则和管理措施？