知识点复习
1. 根据《信息安全等级保护管理方法》,信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。
2. 我国在信息系统安全保护方面《中华人民共和国计算机信息系统安全保护条例》是最早制定的一部法规,也是最基本的一部法规。
3. 二级信息系统,适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。
4. 等级保护是国家信息安全保障工作的基本制度、基本国策;是开展信息安全工作的基本方法;是促进信息化、维护国家信息安全的根本保障。
5. 防火墙可以检查进出内部网的通信量;可以使用应用网关技术在应用层上建立协议过滤和转发功能;可以使用过滤技术在网络层对数据包进行选择;可以防范通过它的恶意连接。
6. 信息安全等级保护工作直接作用的具体的信息和信息系统称为等级保护对象。
7. 信息系统建设完成后,二级以上的信息系统的运营使用单位应当选择符合国家规定的测 评机构进行测评合格方可投入使用。
8. 信息安全经历了通信保密阶段、信息安全阶段、安全保障阶段三个发展阶段。 9. 安全保障阶段中将信息安全体系归结为保护、检测、响应、恢复四个主要环节。
10. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的完整性属性。
11. 《计算机信息系统安全保护条例》是由中华人民共和国国务院令第147号发布的。
12. 计算机病毒最本质的特性是破坏性。
13. 安全管理中采用的―职位轮换或者―强制休假办法是为了发现特定的岗位人员是否存在违规操作行为,属于检测控制措施。
14. 等级保护标准GB l7859主要是参考了美国TCSEC而提出。
15. 信息安全等级保护的5个级别中,专控保护级是最高级别,属于关系到国计
民生的最关键信息系统的保护。
16. 公钥密码基础设施PKI解决了信息系统中的身份信任问题。 17. 数字签名、应用代理、应用审计机制都属于应用层安全。
18. 《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)属于公共安全行业标准。
19. 环境安全策略应该简单而全面。
20. 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地区的市级以上公安机关办理备案手续。
21. 信息安全工作的风险主要来自信息系统中存在的脆弱点。
22. 计算机信息系统保护应采取的各项通用技术要求包括安全功能技术要求和安全保证技术要求两个方面。
23. 密码系统包括以下4个方面:明文空间、密文空间、密钥空间和密码算法。 24. 密码攻击方法有三种:穷举攻击、统计分析攻击、数字分析攻击。 25. 对网络层数据包进行过滤和控制的信息安全技术机制是防火墙。 26. 风险管理的首要任务是风险识别和评估。 27.PKI所管理的基本元素是数字证书。
28.网络安全主要关注的方面包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护七个控制点。
29.安全管理制度包括:管理制度、制定和发布、评审和修订三个控制点。 30. 等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的,它是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。
31. 安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。 32. 1994年2月18日国务院发布《计算机信息系统安全保护条例》。 33. 在目前的信息网络中, 网络蠕虫病毒是最主要的病毒类型。
34. 《计算机信息系统安全保护条例》规定,计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
35. 有一信息系统其适用范围为涉及国家安全、社会秩序和公共利益,其损害会
对国家安全、社会秩序和公共利益造成损害,则该信息系统的安全等级为第三级。 36. 《互联网上网服务营业场所管理条例》规定,互联网上网服务营业场所经营单位不得接纳未成年人进入营业场所。
37. 在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。
38. RSA是最常用的公钥密码算法。
39. 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由业务子系统的最高安全等级所确定。 40. 安全威胁是产生安全事件的外因。
41. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利用造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的监督保护级。
42. 在安全评估过程中,采取渗透性测试手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
43. 信息系统安全等级保护实施的基本过程包括系统定级、安全规划、安全实施、安全运维、系统终止。
44. 简述等级保护实施过程的基本原则包括自主保护原则、同步建设原则、重点保护原则、适当调整原则。
45. 进行等级保护定义的最后一个环节是信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。 46. 信息安全评测标准CC是国际标准
47. 网闸的工作原理是工作在OSI模型的二层以上。
48. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是共享密钥认证。
49. 传输层保护的网络采用的主要技术是建立在可靠的传输服务基础上的安全套接字层SSL协议。
50. 计算机病毒的5个特征是:主动传染性、破坏性、寄生性、隐蔽性、潜伏性、
多态性。
52.数字签名是笔迹签名的模拟,是一种包括防止源点或终点否认的认证技术。 53.1976年,美国两位密码学者Diffe和Hellman在该年度的美国计算机会议上提交了一篇论文,提出了公钥密码体制的新思想,它为解决传统密码中的诸多难题提出了一种新思路。
54.《信息系统安全等级保护测评准则》将测评分为安全控制测评和系统整体测评两方面。
55.信息系统是进行等级确定和等级保护管理的最终对象。
56.《中华人民共和国计算机信息系统安全保护条例》中明确了我国计算机信息系统安全保护工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
57.《基本要求》分为技术要求和管理要求,其中技术要求包括物理安全、网络安全、主机系统安全、应用安全和数据安全。
58.《信息安全国家学说》是俄罗斯的信息安全基本纲领性文件。 59.我国刑法第285条规定了非法侵入计算机信息系统罪。
60.公安机关在信息安全等级保护工作中的职责是监督、检查、指导。 61. 根据《信息安全等级保护管理办法》信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。
62. 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
63. 对拟确定为第四级以上信息系统的运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
64. 一般来说二级信息系统适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网非涉及秘密、敏感信息的办公系统等。 65. 信息系统建设完成后二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。
66. 安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共
信息网络安全监察部门。
67.根据《广东省计算机信息系统安全保护条例》规定计算机信息系统的运营、使用单位
没有向地级市以上人民政府公安机关备案的由公安机关处以警告或者停机整顿。 68. 美国的立法、行政、司法分别由国会、总统、法院掌管。 69. 我国司法组织中的两大系统人民法院、人民检察院。
70. 互联网信息服务分为经营性互联网信息服务和非经营性互联网信息服务两类。
71. 信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件。
72. 安全专用产品在进入市场销售之前必须申领《计算机信息系统安全专用产品销售许可证》。
73. 我国的标准分为国家标准、行业标准、地方标准、企业标准四个级别。 74. 计算机信息系统保护应采取的各项通用技术要求包括安全功能技术要求和安全保证技术要求两个方面。
75. 有一信息系统其适用范围为涉及国家安全、社会秩序和公共利益其损害会对国家安全、社会秩序和公共利益造成损害则该信息系统的安全等级为第三级。 76. 安全性不属于信息安全的基本属性。
77. 黑客诱骗技术和信息安全管理制度不属于信息安全的三大支柱。 78. 全国人大及其常委会是我国的最高立法组织。 79. 美国最高立法机关是美国国会。
80. 我国的执法组织包括人民法院、人民检察院、公安部、安全部、工商行政管理局、税务局。
81. 我国在信息系统安全保护方面最早制定的一部法规也是最基本的一部法规是《中华人民共和国计算机信息系统安全保护条例》。
82. 中华人民共和国境内的计算机、任何组织和个人属于《中华人民共和国计算机信息系统安全保护条例》适用的范围。
83. 在信息系统安全保护的五个等级中第一级、第二级适用范围为一般的信息系统;第三级、第四级的适用范围为涉及国家安全、社会秩序和公共利益。