信息安全标准和法律法规复习知识点.docVIP

知识点复习 1. 根据《信息安全等级保护管理方法》，信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 2. 我国在信息系统安全保护方面《中华人民共和国计算机信息系统安全保护条例》是最早制定的一部法规，也是最基本的一部法规。 3. 二级信息系统，适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 4. 等级保护是国家信息安全保障工作的基本制度、基本国策；是开展信息安全工作的基本方法；是促进信息化、维护国家信息安全的根本保障。 5. 防火墙可以检查进出内部网的通信量；可以使用应用网关技术在应用层上建立协议过滤和转发功能；可以使用过滤技术在网络层对数据包进行选择；可以防范通过它的恶意连接 6. 信息安全等级保护工作直接作用的具体的信息和信息系统称为等级保护对象。 7. 信息系统建设完成后，二级以上的信息系统的运营使用单位应当选择符合国家规定的测 评机构进行测评合格方可投入使用。 9. 安全保障阶段中将信息安全体系归结为保护、检测、响应、恢复四个主要环节。 10. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的完整性属性。 11. 《计算机信息系统安全保护条例》是由中华人民共和国国务院令第147号发布的。 12. 计算机病毒最本质的特性是破坏性。 13. 安全管理中采用的―职位轮换或者―强制休假办法是为了发现特定的岗位人员是否存在违规操作行为，属于检测控制措施。 14. 等级保护标准GB l7859主要是参考了美国TCSEC而提出。 15. 信息安全等级保护的5个级别中，专控保护级是最高级别，属于关系到国计民生的最关键信息系统的保护。 16. 公钥密码基础设施PKI解决了信息系统中的身份信任问题。 17. 数字签名、应用代理、应用审计机制都属于应用层安全。 18. 《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)属于公共安全行业标准。 19. 环境安全策略应该简单而全面。 20. 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地区的市级以上公安机关办理备案手续。 21. 信息安全工作的风险主要来自信息系统中存在的脆弱点。 22. 计算机信息系统保护应采取的各项通用技术要求包括安全功能技术要求和安全保证技术要求两个方面。 23. 密码系统包括以下4个方面：明文空间、密文空间、密钥空间和密码算法。 24. 密码攻击方法有三种：穷举攻击、统计分析攻击、数字分析攻击。 25. 对网络层数据包进行过滤和控制的信息安全技术机制是防火墙。 26. 风险管理的首要任务是风险识别和评估。 27.PKI所管理的基本元素是数字证书。 28.网络安全主要关注的方面包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护七个控制点。 29.安全管理制度包括：管理制度、制定和发布、评审和修订三个控制点。 30. 等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的，它是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。 31. 安全扫描可以弥补防火墙对内网安全威胁检测不足的问题 1994年2月18日国务院发布《计算机信息系统安全保护条例》 在目前的信息网络中，?网络蠕虫病毒是最主要的病毒类型。 《计算机信息系统安全保护条例》规定，计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。 《互联网上网服务营业场所管理条例》规定，互联网上网服务营业场所经营单位不得接纳未成年人进入营业场所 在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。 RSA是最常用的公钥密码算法。OSI模型的二层以上。 48. 基于通信双方共同拥有的但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是共享密钥认证。 49. 传输层保护的网络采用的主要技术是建立在可靠的传输服务基础上的安全套接字层SSL协议。 50. 计算机病毒的5个特征是：主动传染性、破坏性、寄生性、隐蔽性、潜伏性、多态性。 52．数字签名是笔迹签名的模拟，是一种包括防止源点或终点否认的认证技术。 53．1976年，美国两位密码学者Diffe和Hellman在该年度的美国计算机会议上提交了一篇论文，提出了公钥密码体制的新思想，它为解决传统密码中的诸多难题提出了一种新思路。 54．《信息系统安全等级保护测评准则》将测评分为安全控制测评和系统整体测评两方面。是进行等级确定和等级保护管理的最终对象。《信息安全国家学说》