前言

1. ※老師沒畫重點的補充內容
2. ★往年試卷中多次出現或老師提過的，很可能考
3. 該筆記是奔著及格線去的，不是奔著90+
4. 由于沒有聽過課，部分知識點不一定全，答案不一定完全正確

題型

試卷有很多題是原題

1. 判斷題（PPT）
2. 選擇題（PPT）
3. 問答題
   1. 風險
   2. 等級保護流程
   3. 附加題：手機如何判斷和防止竊密竊照？
4. 綜合分析題

復習重點

對著重點看PPT，可以拿80-90分；把給的往年試卷都搞懂，可以拿60-70分

1. 信息安全管理概念、ISMS體系建立過程與步驟
2. 風險與要素、風險評估過程與計算、詳細風險評估概念與流程
3. 環境安全、區域安全、邊界劃定與柵欄建立、人員安全
4. 業務連續性安全
5. 應急響應與恢復
6. 等保概念、流程、目的，定級過程與標準、定級表、流程圖

信息安全管理復習筆記

信息安全※

基本屬性

1. 保密性，是指信息不泄漏給非授權的個人和實體，或供其使用的特性；
2. 完整性，是指信息在存儲、傳輸和提取的過程中保持不被修改延遲、不亂序和不丟失的特性；
3. 可用性，是指信息可被合法用戶訪問并能按要求順序使用的特性。

信息安全管理

概念

信息安全管理是通過維護信息的機密性、完整性和可用性等，來管理和保護信息資產的一項體制，是對信息安全保障進行指導、規范和管理的一系列活動和過程。信息安全管理是信息安全保障體系建設的重要組成部分，對于保護信息資產、降低信息系統安全風險、指導信息安全體系建設具有重要作用。

信息安全管理體系ISMS

定義

信息安全管理體系（Information Security Management System，ISMS）是組織在整體或特定范圍內建立的信息安全方針和目標，以及完整這些目標所用的方法和手段所構成的體系。

建立過程與步驟★

1. ISMS的策劃與準備
2. ISMS的文件編制
3. 建立ISM框架
4. ISMS的運行
5. ISMS的審核與評審

信息安全風險評估

信息安全風險

定義★

信息安全風險是指威脅利用一個或一組資產的脆弱點導致組織受損的潛在性，并以威脅利用脆弱點造成的一系列不期望發生的事件（或稱為安全事件）來體現。

基本要素※

資產、威脅、脆弱點

風險與基本要素的關系※

• 沒有資產，威脅就沒有攻擊或損害的對象
• 沒有威脅，盡管資產很有價值，脆弱點很嚴重，安全事件也不會發生
• 系統沒有脆弱點，威脅就沒有可利用的環節，安全事件也不會發生。

七大要素★

內容

資產、威脅、脆弱點、風險、影響、安全措施和安全需求

資產：是任何對組織有價值的東西；威脅：可能導致信息安全事故和組織信息資產損失的活動，是利用脆弱性造成的后果；脆弱性：與信息資產有關的弱點或安全隱患，本身并不對資產構成危害，但是在一定條件得到滿足時，會被威脅利用來危害信息資產；安全措施：可以降低威脅利用脆弱性導致安全事件發生的可能性；安全風險：是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性。

關系

1. 威脅利用脆弱點將導致風險的產生；
2. 資產具有價值，并對組織業務有一定的影響，資產價值及影響越大則其面臨的風險越大；
3. 安全措施能抵御威脅、減少脆弱點，因而減少安全風險；
4. 風險的存在及對風險的認識導出安全需求，安全需求通過安全措施來滿足或實現。

風險計算

風險可形式化的表示為R=(A, T, V)，其中R表示風險、 A表示資產、T表示威脅、V表示脆弱點。

VR=R(A, T, V)=R(L(A, T, V), F(A, T, V))

• L(A, T, V)、F(A, T, V)分別表示對應安全事件發生的可能性及影響
• 風險可表示為可能性L和影響F的函數，簡單的處理（平均損失）即VR= L(A, T, V)×F(A, T, V)

詳細風險評估★×1

概念

• 詳細風險評估要求對資產、威脅和脆弱點進行詳細識別和評價
• 評估可能引起風險的水平：通過不期望事件的潛在負面業務影響評估及其發生的可能性來完成。
• 根據風險評估的結果來識別和選擇安全措施, 將風險降低到可接受的水平。

流程

1. 風險評估準備階段
2. 資產識別與評估
3. 威脅識別與評估
4. 脆弱點識別與評估
5. 已有安全措施的確認
6. 風險分析
7. 安全措施的選取
8. 風險評估文件和記錄

簡化：風險評估準備、風險識別、風險評價、風險處理

人員安全管理

定義

與組織或企業的業務信息系統相關的人員的安全管理

原則★

• 多人負責原則

  每一項與安全有關的活動，都必須有兩人或更多人在場；

• 任期有限原則

  任何人最好不要長期擔任與安全有關的職務，以保持該職務具有競爭性和流動性；

• 職責分離原則

  出于對安全的考慮，科技開發、生產運行和業務操作都應當職責分離。

環境安全

• 機房安全
• 機房內部設施安全
• 機房區域安全
  • 定義：區域安全是組織的業務場所和信息處理設施的物理區域的安全保護。
  • 安全區域建立：根據風險評估的結果，嚴格進出控制，對重要的信息系統基礎設施進行全面的物理保護。
  • 安全區域：物理安全邊界
  • 安全區域：物理訪問控制
  • 辦公場所和設備保護
  • 外部或環境的威脅防范
  • 安全區域工作
  • 區域隔離
• 機房安全區域測評

業務連續性管理BCM

定義

Business Continuity Management，業務連續性管理是對機構或組織的潛在風險加以評估分析，確定其可能造成的威脅，并建立一個完善的管理機制來防止或減少災難事件給組織帶來的損失。

應急響應

定義

指一個組織為了應對各種意外事件的發生所做的準 備以及在事件發生初期所采取的措施。

應急響應方法學—恢復(Recovery)

定義

在安全事件的根源根除以后，恢復階段定義下一階段的行動。

目標

把所有被攻破的系統和網絡設備徹底 地還原到它們正常的任務狀態。

信息安全等級保護

概念

是對信息和信息載體按照重要性等級分級別進行保護的一種信息安全領域的工作

流程★

1. 定級
2. 備案
3. 安全建設和整改
4. 信息安全等級測評
5. 信息安全檢查。

目的★

• 體現國家管理意志
• 構建國家信息安全保障體系
• 保障信息化發展和維護國家安全

等保建設與整改完全實施流程

定級要素與安保等級關系

十大核心標準

流程圖

易錯題

試卷中沒有涉及到重點中的題目放在此處

判斷題

主要收集試卷中錯誤的言論

1. 信息安全保障階段中，安全策略是==核心==，對事先保護、事發檢測和響應（事發處理）、事后恢復起到了統一指導作用。★x3

   指導作用

2. 一旦發現計算機違法犯罪案件，信息系統所有者應當在==2 天==內迅速向當地公安機關報案， 并配合公安機關的取證和調查。

   24h內

3. 我國刑法中有關計算機犯罪的規定，定義了 ==3 種==新的犯罪類型

   三種計算機犯罪，只有兩種新的犯罪類型

4. 網絡安全法開始實行的時間是2017年6月1日

5. 信息安全評測系統 CC 是==國內==標準。

   國際

6. “資產責任人”是指有權限變更資產安全屬性的人。★x2

7. 《信息系統安全等級保護測評準則》將測評分為安全控制測試和系統整體測試兩個方面。

8. 安全審計跟蹤是 審計 安全事件 并 追蹤 系統安全檢測 的過程。

   安全審計追蹤是 安全審計系統 檢測并追蹤 安全事件 的過程。

9. 組織的安全要求==全部==來源于風險評估

   gpt 3.5：信息安全管理需要綜合考慮各種因素，包括但不限于風險評估，以制定全面有效的安全要求。這些要求應該涵蓋組織的整體安全策略、控制措施、安全意識培訓、安全政策等方面，以確保組織的信息資產得到適當的保護。

10. “資產責任人，要求與信息處理設施有關的所有資產==都==應由指定人員承擔責任。

gpt 3.5：資產責任應當分散到不同的人員和部門，以確保合理的管理和保護。

11. 審核范圍==必須==與受審核方信息安全管理體系范圍一致

    一次具體審核的審核范圍與認證范圍并非一定完全一致。一般初次認證的審核范圍可能大于認證范圍

12. 為了工作方便和工作效率，在內審時內審員==可以==審核自己的工作。

13. 與信息資產有關的弱點或安全隱患對資產構成威脅 ×

14. （學習通作業）網絡攻擊的難點是漏洞挖掘和權限獲取。 ×

15. 信息安全領域內最關鍵和最薄弱的環節是==技術和管理制度==

    人

16. 保護關鍵業務過程免受信息系統失誤或災難的影響，應定義恢復的優先順序和時間指 標。 ×

    定義恢復的優先順序、定義恢復時間指標、針對業務中斷進行風險評估

選擇題

1. 信息安全經歷了三個發展階段，以下(B)不屬于這三個發展階段。★x2

   A. 通信保密階段 B. 加密機階段 C. 信息安全階段 D. 安全保障階段

2. 風險評估過程中的預防性控制措施是（D）。★x2

   A. 強制訪問控制 B. 告警 C. 審核活動 D. 入侵監測方法

3. 在建立信息安全管理體系時，首先應該做的事情是（B）。★x3

   A. 風險評估 B. 建立信息安全方針和目標 C. 風險管理 D. 制定安全策略

4. 信息安全管理體系是 PDCA 動態持續改進的一個循環體。下面理解不正確的是（B）。★x4

   A. 組織中的每個部分或個人，均可以 PDCA 循環，大環套小環，一層一層地解決問題。
   B. 推動 PDCA 循環，關鍵在 P 這個計劃階段。
   C. 每通過一次 PDCA 循環，都要進行總結，提出新目標，再進行第二次 PDCA 循環。
   D. 按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環。

   PDCA：Plan(計劃)、Do(執行)、Check(檢查)和Action(處理)

5. 電源是計算機網絡系統的命脈，計算機機房后備電源應選擇（A）★x2

   A. UPS B. 發電機 C. 蓄電池 D. 干電池

   UPS即不間斷電源(Uninterruptible Power Supply)，是一種含有儲能裝置的不間斷電源。主要用于給部分對電源穩定性要求較高的設備，提供不間斷的電源。

6. 竊聽技術是在竊聽活動中使用的竊聽設備和竊聽方法的總稱。不用中繼技術竊聽距離最遠的技術是(A)。 ★x2

   A. 諧波無線竊聽 B. 微波竊聽 C. 激光竊聽 D. 電話竊聽 E. 定向麥克風 F. 外墻音頻放大

7. 計算機信息系統安全等級保護的等級是由 (B) 確定。

   A. 計算機信息系統面臨的風險
   B. 計算機信息系統資源的經濟和社會價值及其面臨的風險
   C. 計算機信息系統價值
   D. 以上都不是

8. 業務連續性管理 (BCM) 的原則是預防為先，恢復為后，其中預防的目的是?。★x5

A. 減少威脅的可能性
B. 保護企業的弱點區域
C. 減少災難發生的可能性
D. 防御危險的發生并降低其影響

9. 信息安全管理領域權威的標準是（B）。

A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001

10. 在策略生命周期中，以下哪個是正確的：(D) ★x3

A. 需求分析、制定、發布、推行、審核、廢除
B. 制定、發布、推行、審核、修訂、廢除
C. 需求分析、制定、發布、推行、審核、修訂
D. 需求分析、制定、發布、推行、審核、修訂、廢除

11. 區域安全管理中下面哪個描述是錯誤的？（C）★x2

    A. 安全區域保護可采用圍墻和門控，警衛、智能鎖、電子監視和警報系統都是適當措施。
    B. 隔離送貨區域、裝載區域、信息處理設施，控制授權訪問。
    C. 敏感信息處理設施的位置標示==引人注目==，安裝監控。
    D. 來訪人員進入需要審批并記錄。

12. 對于信息安全管理中的人力資源安全，以下理解不正確的是（B）★x3。

    A. 上崗前要對擔任敏感和重要崗位的人員要考察其以往的違法違規記錄
    B. 雇傭中要有==及時有效==的懲戒措施
    C. 出了事故后要有針對性地進行信息安全意識教育和技能培訓
    D. 離職人員要撤銷其訪問權限

13. 信息安全的符合性檢查不包括（D）★x2

    A. 法律法規符合性 B. 技術標準符合性 C. 安全策略符合性 D. 內部審核活動

14. 1999 年我國發布的信息安全等級保護國家標準 GB 17859-1999 考了美國的 TCSEC 標準，將信息系統的安全等級劃分為（5）個等級。

15. 最終提交給普通終端用戶，并且要求其簽署和遵守的安全策略是（C）。

    A. 口令策略 B. 保密協議 C. 可接受使用策略 D. 責任追究制度

16. 在完成大部分策略編制工作后，需對其進行總結和提煉，產生的成果文檔稱為(A)

    A.可接受使用策略AUP B.安全方針 C.適用性聲明 D.操作規范

17. 互聯網服務提供者和聯網使用單位落實的記錄留存技術措施，應當具有至少保存（60）天記錄備份的功能。

18. （D）屬于系統威脅。

    a)不穩定的電力供應 b)硬件維護失誤 c)軟件缺乏審計記錄 d)口令管理機制薄弱

19. 管理體系是指（指揮和控制組織的協調的活動）

20. 風險評價是指（B）

    A.系統地使用信息來識別風險來源和評估風險
    B.將估算的風險與給定的風險準則加以比較以確定風險嚴重性的過程
    C.指導和控制一個組織相關風險的協調活動
    D.以上都對

21. 在信息系統安全中,資產所具備的風險由以下哪兩種因素共同構成的?

    A.攻擊和脆弱性 B.威脅和攻擊 C.威脅和脆弱性 D.威脅和破壞

22. 移動存儲介質的管理和使用應防止（信息失效）

23. （學習通作業）下面哪項不是網絡威脅的原因。（B）

    • A.信息數字化網絡化價值化
    • B.信息安全存儲
    • C.信息訪問控制失敗
    • D.威脅有動機，攻擊技術易獲得

24. （學習通作業）按攻擊方式，攻擊類型可分為被動攻擊和主動攻擊，被動攻擊難以（ ），然而（ ）這些攻擊是可行的；主動攻擊難以（ ），然而（ ）這些攻擊是可行的。（C）

    A. 檢測，阻止，檢測，阻止
    B. 阻止，檢測，檢測，阻止
    C. 檢測，阻止，阻止，檢測
    D. 阻止，檢測，阻止，檢測

25. （學習通作業）關于口令攻擊的說法錯誤的是（D）。
    A. 口令破解包括字典破解、窮舉破解、組合破解、彩虹表破解、猜測破解；
    B. 口令套取包括權威逼取、友情索取、利誘騙取、窺視、盜取；
    C. 撞庫攻擊是假設大量系統用戶使用相同的密碼注冊，過程包括拖庫、洗庫和撞庫；
    D. 口令屏蔽包括SQL注入、URL注入、重放攻擊、堆棧溢出攻擊、欺騙攻擊。

    GPT 3.5：口令屏蔽是一種防范口令攻擊的措施，它涉及一系列技術和策略，如密碼策略、多因素認證、防止暴力破解等，但不包括上述提到的攻擊方式。

26. 通用準則 CC 標準分為三個部分，以下不屬于這三部分的是 。（D）

    A. 簡介和一般模型 B. 安全保證要求 C. 安全功能要求 D. 保密性要求

27. 物理安全包括（A）

    A. 設備安全、介質安全、系統安全、環境安全
    B. 設備安全、系統安全、環境安全、人員安全
    C. 設備安全、介質安全、環境安全、人員安全
    D. 設備安全、網絡安全、環境安全、系統安全

28. 應急響應是組織為應對各種意外事件的發生所做的準備和采取的措施，方法順序（A）

    A. 準備、檢測、抑制、根除、恢復、跟蹤 B. 準備、跟蹤、檢測、抑制、根除、恢復 C. 準備、檢測、跟蹤、抑制、恢復、根除 D. 準備、抑制、根除、恢復、檢測、跟蹤

29. 風險評估主要包括以下哪幾個方面的評估？（B）

    A. 資產、威脅、弱點 B. 資產及價值、威脅、弱點、已有控制措施 C. 資產及價值、威脅、弱點 D. 資產、威脅、弱點、已有控制措施

30. 人員安全管理原則不包括 ? 。

    A. 多人負責 B. 任期有限 C. 授權管理 D. 職責分離

31. 下面哪個不是信息資產的保護措施？（B）

    A. 編制資產清單 B. 分類標記 C. 指定責任人 D. 清查盤點

32. 英國 ITIL 的核心模塊是服務管理，下面哪個不屬于服務提供管理流程？（C）

    A. 服務級別管理 B. 可用性管理 C. 發布管理 D. 服務財務管理

33. 當某個軟件包的最新版本被安裝到某個臺式機時，它可能會影響其它軟件包。哪個流 程負責檢查和判斷其它軟件包是否有必要測試或者重新安裝？ （A）

    A. 發布管理 B. IT 服務持續性管理 C. 問題管理 D. 變更管理

34. ITIL 安全事件監控的主要工作不包括（A）

    A. 日志審計 B. 關聯分析 C. 安全事件知識庫 D.建立統一管理平臺

35. 安全審計流程不包括（C）

    A. 事件采集 B. 事件分析 C. 事件監控 D. 事件響應

36. 信息安全等級保護工作的主要內容包括五個方面（B）。

    A. 策略、管理制度、技術、設備、測評
    B. 定級、備案、測評、建設整改、檢查
    C. 定級、策略、設備、測評、檢查
    D. 策略、定級、備案、測評、建設整改

問答題

1. ISO27001 所關注的 11 大領域是什么？

   信息安全 11 大管理領域： 安全方針/策略、信息安全組織、資產管理、人力資源安全、物理與環境安全、通信和運作管理、訪問控制、信息系統開發與維護、信息安全事件管理、業務連續性管理、法律法規符合性。

2. 信息系統生命周期包括哪 5 個階段？信息系統安全等級分哪幾級？與系統生命周期對應的安全等級保護實施過程是什么？★x2

   信息系統生命周期包括 5 個階段：啟動準備、設計/開發、實施/實現、運行維護和系統終 止階段。 信息系統安全等級分 5 級：1－自主保護級，2－指導保護級，3－監督保護級，4－強制 保護級，5－專控保護級。 信息系統安全等級保護措施：自主保護、同步建設、重點保護、適當調整。與信息系統生命周期對應的等級保護實施過程有 5 步：系統定級、安全規則、安全實施、安全運行維護和系統終止。

3. （學習通作業）試述網絡安全防范的三種模型。

   1. 邊界保護模型（Perimeter Security Model）：這種模型將網絡的安全邊界設定為網絡的入口和出口，對進出網絡的數據流進行過濾和檢查，以防止未經授權的訪問和攻擊。它主要包括防火墻、入侵檢測系統（IDS）和入侵防御系統（IPS）等安全設備。
   2. 層次防御模型（Layered Security Model）：這種模型將網絡劃分為多個層次，每個層次都有不同的安全策略和保護措施。這種模型將安全任務劃分為多個較小的部分，每個部分都可以獨立管理和控制。例如，可以分別對網絡層、應用層和數據層進行防御。
   3. 動態防御模型（Dynamic Security Model）：這種模型強調對網絡安全的持續監控和適應，它可以根據網絡的使用情況和威脅的變化來動態調整安全策略和防御措施。這種模型通常使用安全信息和事件管理（SIEM）系統、端點安全解決方案、行為分析等技術來實現。

綜合分析題

1. 查某公司設備資產，負責人說臺式機放在辦公室，辦公室做了來自環境的威脅的預防；筆記本經常帶入帶出，有時在家工作，領導同意了，在家也沒什么不安全的。請從信息安全管理上分析。

   組織場所外的設備安全，應對組織場所的設備采取安全措施，要考慮工作在組織場所以外的不同風險。 1. 筆記本帶出辦公室，有丟失、被非法訪問風險；采取隨身鎖的安全措施； 2. 在家里使用，有感染病毒、泄露單位重要文件信息的風險；采取隔離家庭網絡或防火墻、殺毒防護措施； 3. 染毒的筆記本帶回辦公室，有交叉感染辦公室臺式電腦的風險，有交叉拷貝數據文 件被泄露的風險；采取嚴格的殺毒與隔離措施。 4. 如果工作有較高等級涉密信息，嚴禁將電腦帶出辦公室，并嚴管 U 盤使用，避免“擺渡”APT 攻擊。 5. 定期對單位進行信息安全管理培訓，增強領導和員工的信息安全意識。

附加題

1. 就手機的使用談談如何進行信息安全管理。（如：APP 的下載、安裝和使用過程，以及共享充電、公共 WIFI、防竊聽竊照、APP權限等）

   GPT 3.5

   1. APP的下載、安裝和使用過程：

      • 從官方應用商店下載APP：盡量避免從第三方來源下載APP，因為官方應用商店會對APP進行安全審核和篩選。

      • 核對APP權限：在下載和安裝APP之前，仔細審查所需的權限列表，并確保APP僅獲得合理必要的權限。

      • 更新APP：定期更新已安裝的APP，因為更新通常包含安全補丁和修復已知漏洞。

   2. 共享充電：

      • 不使用不可信的充電設備：避免使用未知來源或不可信的充電器、充電寶等設備，以防止惡意軟件注入或數據泄露。

      • 使用數據線充電：盡量使用數據線連接到電源插座而非USB接口，因為數據線只傳輸電力而不傳輸數據，可以減少潛在的風險。

   3. 公共WIFI：

      • 謹慎使用公共WIFI：公共WIFI網絡存在安全風險，可能會被黑客竊聽或中間人攻擊。盡量避免在公共WIFI網絡上進行敏感的在線活動，如銀行交易或輸入密碼。

      • 使用VPN加密：如果必須使用公共WIFI，建議使用可靠的VPN（虛擬專用網絡）服務，以加密通信并保護個人數據的安全。

   4. 防竊聽竊照：

      • 定期檢查應用權限：定期審查已安裝的應用程序的權限，限制敏感權限（如麥克風、相機）的使用，以防止未經授權的竊聽和竊照。

      • 物理保護：注意手機的物理安全，避免將手機置于不安全的環境中，以防止他人進行非法竊聽或竊照。

   5. APP權限：

      • 審查APP權限：在安裝APP之前，仔細審查所需的權限列表。只授予合理必要的權限，并關注敏感權限的使用，如通訊錄、位置信息、短信等。

      • 權限管理：定期審查已安裝的APP權限，撤銷不再需要的權限，以減少潛在的數據泄露和濫用風險。

2. 假設您是某企業的 CIO，請就本單位的人員使用、升遷或離職、新員工招聘談談如何進行信息安全管理。

   見課件 PPT 第 4 章（2），課本 106-112 分：內部人員分級授權，升遷、離職人員的授權變更、新員工安全培訓等闡述 對于內部工作人員，采取分級授權訪問控制措施，對于敏感數據和文件進行分級管理；員工升遷后，將收回設備、系統 ID 并根據級別重新授權； 員工離職后，收回設備或由技術主管銷毀設備上的信息，收回系統 ID 及其訪問權限；新員工入職：對員工進行信息安全培訓，對應級別進行訪問授權。