北京邮电大学第5章 建设与运维安全-习题.docVIP

第5章 建设与运维安全 一、选择题 深层防御模型将软件系统安全架构划分为7个层次，第2层是（ ） （A）物理层；（B）外部网络层；（C）内部网络层；（D）主机层。 下列哪项不是可能影响评估结果的因素（ ） （A）易用性；（B）人机接口；（C）成本；（D）互操作性。 ISF 安全评估体系的70个安全主题可细分为（ ）个安全问题 （A）179；（B）138；（C）208；（D）332。 当真实数据用于测试时，（ ）方式不适用于保护运行数据 （A）将应用于运行应用系统的访问控制程序应用于测试应用系统； （B）运行信息每次被拷贝到测试应用系统时不需要独立的授权； （C）在测试完成之后，应立即从测试应用系统清除运行信息； （D）应记录运行信息的拷贝和使用日志以提供审核踪迹。 使用密码控制措施可以实现的安全目标不包括：（ ） （A）保密性；（B）完整性/真实性；（C）不可否认性；（D）可控性。 二、简答题 什么是信息资产、列举常见信息资产类别。 列举ITIL服务管理及之间关系。 什么是信息系统审计？ 描述ISF标准体系。 信息安全建设应遵循的基本原则有哪些？ 三、思考题 指出ITIL服务管理的优势，探讨ITIL思想如何引入到信息安全管理。 分析软件系统的深层防御模型的优势。  第5章 建设与运维安全—参考答案 一、选择题： 1、B；2、B；3、A；4、B；5、D。 二、简单题： 什么是信息资产、列举常见信息资产类别。 答：信息可以理解为消息、情报、数据或知识，它可以以多种形式存在。信息资产有： 数据与文档：数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务连续性计划、应急安排 书面文件：合同、指南、企业文件、包含重要业务结果的文件 软件资产：应用软件、系统软件、开发工具和实用程序 物理资产：计算机、通用设备、磁介质（磁盘与磁带）、其他技术设备（供电设备、空调设备）、家具、办公场所 人员：各种角色的定义（系统管理员、网络管理员等） 企业形象与声誉 服务：计算和通讯服务，其他技术服务（供热、照明、电力、空调） 列举ITIL服务管理及之间关系。 答题要点：参照下图描述 图1 ITIL服务管理图 什么是信息系统审计？ 答题要点：信息系统审计就是以企业或政府等组织的信息系统为审计对象，通过现代的审计理论和IT管理理论，从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发，对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价，以确定其是否能够有效可靠地达到组织的战略目标，并为改善和健全组织对信息系统的控制提出建议的过程。 描述ISF标准体系。 答题要点：参照下图描述 图2 ISF标准体系 信息安全建设应遵循的基本原则有哪些？ 答题要点： 整体考虑，统一规划 统筹兼顾，合理保护 集中控制，重点防护 管理先行，技术并重 三、问答题： 指出ITIL服务管理的优势，探讨ITIL思想如何引入到信息安全管理。 要点： 以流程为导向，以客户满意和服务品质为核心 ITIL本质上说来是对IT部门为业务部门提供服务的流程再造，同时组织在运用ITIL提供的流程和最佳实践进行内部的IT服务管理时，不仅可以提供用户满意的服务从而改善了客户体验，还可以确保这个过程符合成本效益原则。 信息安全管理可参照ITIL，将相关业务流程化，并进行管理。 分析软件系统的深层防御模型的优势。 要点：改变原来安全模型中的单层防御架构，在安全系统上建立多层次的纵深的防御体系，即使模型中的某一层被突破，其造成的安全威胁也被控制在有限的范围内。它将原来各自为战的安全产品和安全解决方案有机的组成了一个整体，使安全架构和安全管理更加完整和系统化。 知识点索引 信息资产管理 信息服务管理 信息系统监控 信息系统审计 安全规划 系统安全解决方案 安全工程实施 应用系统安全建设