信息安全管理基础word资料23页
第二章信息安全管理基础
一、判断题
1.Windows2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。
2.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。
3.PKI系统所有的安全操作都是通过数字证书来实现的。
4.PKI系统使用了非对称算法、对称算法和散列算法。
5.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。
6.按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。
7.网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。
8.网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。
9.信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。
10.美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT系统风险管理内容。
11.防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。
12.脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。
二、单选题
1.下面所列的安全机制不属于信息安全保障体系中的事先保护环节。
A.杀毒软件
B.数字证书认证
C.防火墙
D.数据库加密
2.信息安全管理领域权威的标准是。
A.ISO 15408
B.ISO 17799/ISO 27001
C.ISO 9001
D.ISO 14001
3.ISO 17799/ISO 27001最初是由提出的国家标准。
A.美国
B.澳大利亚
C.英国
D.中国
4.ISO 17799的内容结构按照进行组织。
A.管理原则
B.管理框架
C.管理域—控制目标—控制措施
D.管理制度
5. 对于信息安全管理负有责任。
A.高级管理层
B.安全管理员
C.IT管理员
D.所有与信息系统有关人员
6.对于提高人员安全意识和安全操作技能来说,以下所列的安全管理最有效的是。
A.安全检查
B.教育与培训
C.责任追究
D.制度约束
7. 安全策略是得到大部分需求的支持并同时能够保护企业的利益。
A.有效的
B.合法的
C.实际的
D.成熟的
8.制定灾难恢复策略,最重要的是要知道哪些是商务工作中最重要的设施,在发生灾难后,这些设施的。
A.恢复预算是多少
B.恢复时间是多长
C.恢复人员有几个
D.恢复设备有多少
9.防止静态信息被非授权访问和防止动态信息被截取解密是。
A.数据完整性
B.数据可用性
C.数据可靠性
D.数据保密性
10.用户身份鉴别是通过完成的。
A.口令验证
B.审计策略
C.存取控制
D.查询功能
11.网络数据备份的实现主要需要考虑的问题不包括。
A.架设高速局域网
B.分析应用环境
C.选择备份硬件设备
D.选择备份管理软件
12.对网络层数据包进行过滤和控制的信息安全技术机制是。
A.防火墙
B.IDS
C.Sniffer
D.IPSec
13.下列不属于防火墙核心技术的是。
A.(静态/动态)包过滤技术
B.NAT技术
C.应用代理技术
D.日志审计
14.应用代理防火墙的主要优点是。
A.加密强度更高
B.安全控制更细化、更灵活
C.安全服务的透明性更好
D.服务对象更广泛
15.下列关于用户口令说法错误的是。
A.口令不能设置为空
B.口令长度越长,安全性越高
C.复杂口令安全性足够高,不需要定期修改
D.口令认证是最常见的认证机制
16.在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列具有最好的口令复杂度。
A.morrison
B.Wm.$*F2m5
C.27776394
D.wangjing1977
17.按照通常的口令使用策略,口令修改操作的周期应为天。
A.60
B.90
C.30
D.120
18.对口令进行安全性管理和使用,最终是为了。
A.口令不被攻击者非法获得
B.防止攻击者非法获得访问和操作权限
C.保证用户帐户的安全性
D.规范用户操作行为
19.人们设计了,以改善口令认证自身安全性不足的问题。
A.统一身份管理
B.指纹认证
C.数字证书认证
D.动态口令认证机制
20.PKI是。
A.Private Key Infrastructure
B.Public Key Institute
C.Public Key Infrastructure
D.Private Key Institute
21.公钥密码基础设施PKI解决了信息系统中的问题。
A.身份信任
B.权限管理
C.安全审计
D.加密
22.PKI所管理的基本元素是。
A.密钥
B.用户身份
C.数字证书
D.数字签名
23.最终提交给普通终端用户,并且要求其签署和遵守的安全策略是。
A.口令策略
B.保密协议
C.可接受使用策略
D.责任追究制度
24.下列关于信息安全策略维护的说法,是错误的。
A.安全策略的维护应当由专门的部门完成
B.安全策略制定完成并发布之后,不需要再对其进行修改
C.应当定期对安全策略进行审查和修订
D.维护工作应当周期性进行
25.链路加密技术是在OSI协议层次的第二层,数据链路层对数据进行加密保护,其处理的对象是。
A.比特流
B. IP数据包
C.数据帧
D.应用数据
26.入侵检测技术可以分为误用检测和两大类。
A.病毒检测
B.详细检测
C.异常检测
D.漏洞检测
27.安全评估技术采用这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。
A.安全扫描器
B.安全扫描仪
C.自动扫描器
D.自动扫描仪
28. 最好地描述了数字证书。
A.等同于在网络上证明个人和公司身份的身份证
B.浏览器的一标准特性,它使得黑客不能得知用户的身份
C.网站要求用户使用用户名和密码登陆的安全机制
D.伴随在线交易证明购买的收据
29.根据BS 7799的规定,建立的信息安全管理体系ISMS的最重要特征是。
A.全面性
B.文档化
C.先进性
30.根据BS 7799的规定,对信息系统的安全管理不能只局限于对其运行期间的管理维护,而要将管理措施扩展到信息系统生命周期的其他阶段,BS 7799中与此有关的一个重要方面就是。
A.访问控制
B.业务连续性
C.信息系统获取、开发与维护
D.组织与人员
31.关于口令认证机制,下列说法正确的是。
A.实现代价最低,安全性最高
B.实现代价最低,安全性最低
C.实现代价最高,安全性最高
D.实现代价最高,安全性最低
32.根据BS 7799的规定,访问控制机制在信息安全保障体系中属于环节。
A.保护
B.检测
C.响应
D.恢复
33.身份认证的含义是。
A.注册一个用户
B.标识一个用户
C.验证一个用户
D.授权一个用户
34.口令机制通常用于。
A.认证
B.标识
C.注册
D.授权
35.对日志数据进行审计检查,属于类控制措施。
B.检测
C.威慑
D.修正
36.关于入侵检测技术,下列描述错误的是。
A.入侵检测系统不对系统或网络造成任何影响
B.审计数据或系统日志信息是入侵检测系统的一项主要信息来源
C.入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵
D.基于网络的入侵检测系统无法检查加密的数据流
37.安全扫描可以。
A.弥补由于认证机制薄弱带来的问题
B.弥补由于协议本身而产生的问题
C.弥补防火墙对内网安全威胁检测不足的问题
D.扫描检测所有的数据包攻击,分析所有的数据流
38.下述关于安全扫描和安全扫描系统的描述错误的是。
A.安全扫描在企业部署安全策略中处于非常重要的地位
B.安全扫描系统可用于管理和维护信息安全设备的安全
C.安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性
D.安全扫描系统是把双刃剑
39.在ISO/IEC 17799中,防止恶意软件的目的就是为了保护软件和信息的。
A.安全性
B.完整性
C.稳定性
D.有效性
40.在生成系统帐号时,系统管理员应该分配给合法用户一个,用户在第一次登录时应更改口令。
A.唯一的口令
B.登录的位置
C.使用的说明
D.系统的规则
41.关于防火墙和VPN的使用,下面说法不正确的是。
A.配置VPN网关防火墙的一种方法是把它们并行放置,两者独立
B.配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在广域网一侧,VPN在局域网一侧
C.配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在局域网一侧,VPN在广域网一侧
D.配置VPN网关防火墙的一种方法是把它们并行放置,两者要互相依赖
42.环境安全策略应该。
A.详细而具体
B.复杂而专业
C.深入而清晰
D.简单而全面
43. 是一种架构在公用通信基础设施上的专用数据通信网络,利用IPSec等网络层安全协议和建立在PKI上的加密与签名技术来获得私有性。
A. SET
B. DDN
C. VPN
D. PKIX
44.策略应该清晰,无须借助过多的特殊—通用需求文档描述,并且还要有具体的。
A. 管理支持
B. 技术细节
C. 实施计划
D. 被充内容
45.在一个企业网中,防火墙应该是的一部分,构建防火墙时首先要考虑其保护的范围。
A.安全技术
B.安全设置
C.局部安全策略
D.全局安全策略
46.信息安全策略的制定和维护中,最重要是要保证其和相对稳定性。
A.明确性
B.细致性
C.标准性
D.开放性
47. 是企业信息安全的核心。
A.安全教育
B.安全措施
C.安全管理
D.安全设施
48.许多与PKI相关的协议标准(如PKIX、S/MIME、SSL、TLS、IPSec)等都是在基础上发展起来的。
A. X.500
B. X.509
C. X.519
D. X.505
49. 是PKI体系中最基本的元素,PKI系统所有的安全操作都是通过该机制来实现的。
A.SSL
B.IARA
C.RA
D.数字证书
50.基于密码技术的访问控制是防止的主要防护手段。
A.数据传输泄密
B.数据传输丢失
C.数据交换失败
D.数据备份失败
51.避免对系统非法访问的主要方法是。
A.加强管理
B.身份认证
C.访问控制
D.访问分配权限
52.在一个信息安全保障体系中,最重要的核心组成部分为。
A.技术体系
B.安全策略
C.管理体系
D.教育与培训
53.下列不属于物理安全控制措施。
A.门锁
B.警卫
C.口令
D.围墙
54.VPN是的简称。
A.Visual Private Network
B.Virtual Private Network
C.Virtual Public Network
D.Visual Public Network
55.部署VPN产品,不能实现对属性的需求。
A.完整性
B.真实性
C.可用性
D.保密性
56. 是最常用的公钥密码算法。
A.RSA
B.DSA
C.椭圆曲线
D.量子密码
57.PKI的主要理论基础是。
A.对称密码算法
B.公钥密码算法
C.量子密码
D.摘要算法
58.PKI中进行数字证书管理的核心组成模块是。
A.注册中心RA
B.证书中心CA
C.目录服务器
D.证书作废列表
59. 手段,可以有效应对较大范围的安全事件的不良影响,保证关键服务和数据的可用性。
A.定期备份
B.异地备份
C.人工备份
D.本地备份
60.信息安全评测标准CC是标准。
A.美国
B.国际
C.英国
D.澳大利亚
三、多选题
1.用于实时的入侵检测信息分析的技术手段有。
A.模式匹配
B.完整性分析
C.可靠性分析
D.统计分析
E.可用性分析
2.典型的数据备份策略包括。
信息安全教育培训制度
深圳艺点金融信息服务有限公司 信息安全教育培训制度 为进一步提高网络管理人员对网络安全重大意义的认识,增强遵守规章制度和劳动纪律的自觉性,避免网络安全事故的发生,确保各项工作顺利进行,特制订本制度。 一、安全教育培训的目的 网络安全教育和培训不仅能提高员工对网络信息安全的认识,增强搞好信息安全责任感和法律意识,提高贯彻执行信息安全法律、法规及各项规章制度的自觉性,而且能使广大员工掌握网络信息安全知识,提高信息安全的事故预防、应急能力,从而有效地防止信息安全事故的发生,为确保网络安全创造条件。 二、培训制度 1.信息安全教育培训计划由信息中心根据年度工作计划作 出安排。 2.成立信息安全教育学习小组,定期组织信息安全教育学习; 3.工作人员每年必须参加不少于15个课时的专业培训。 工作人员必须完成布置的学习计划安排,积极主动地4. 参加信息中心组织的信息安全教育学习活动。
5.有选择地参加其它行业和部门举办的专业培训,鼓励参加其它业务交流和学习培训。 6.支持、鼓励工作人员结合业务工作自学。 三、培训内容: 1.计算机安全法律教育 (1)、定期组织本单位工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识,不断提高工作人员的理论水平。 (2)、负责对全体教师进行安全教育和培训。 (3)、定期的邀请上级有关部门和人员进行信息安全方面的培训,提高操作员的防范能力。 2.计算机职业道德教育 (1)、工作人员要严格遵守工作规程和工作制度。 (2)、不得制造,发布虚假信息,向非业务人员提供有关数据资料。 (3)、不得利用计算机信息系统的漏洞偷窃资料,进行诈骗和转移资金。 (4)、不得制造和传播计算机病毒。 3.计算机技术教育 (1)、操作员必须在指定计算机或指定终端上进行操作。
企业安全管理基础台账(模板)
安全生产管理基础台帐 (年度) 台账种类:企业基本情况 台账编号:(一) 单位名称: 台账清单 一、企业基本情况登记表(表格) 二、企业工商营业执照复印件粘贴处(表格) 三、企业安全生产许可证复印件粘贴处(表格) 四、企业危险化学品使用许可证复印件粘贴处(表格) 五、其他证照复印件粘贴处(表格) 六、企业职工基本情况登记表(表格) 七、企业职工身份证复印件粘贴处(表格) 欢迎阅读
企业基本情况登记表 企业注册名称经济类型企业创办时间 企业所在地址企业职工人数厂区面积(㎡)企业法人代表姓名联系电话专职安全管理人员姓名联系电话安全管理机构负责人联系电话兼职安全管理人员姓名联系电话企业主要生产产品企业年产值 证照情况证件名称发证单位发证日期有效期证件号码生产经营范围企业工商营业执照 安全生产许可证 危化品使用许可证 从 业人员分布情况工种电工电焊工行车工冲压、剪切起重工电梯工锅炉工 厂内车辆 驾驶员 压力容器 操作工 危化操作 工 其他人数 持证情况 注:特种作业人员持证情况详见登记表。 欢迎阅读
企业工商营业执照复印件粘贴处 企业安全生产许可证复印件粘贴处欢迎阅读
企业危险化学品使用许可证复印件粘贴处欢迎阅读
其他证照复印件粘贴处企业职工基本情况登记表 序号姓名出生 年月 籍 贯 学 历 三级安 全教育 情况 工作 年限 现任岗位 从事本 岗位年 限 身份证号码 参与工伤保险或商业性保险情况 备注 是否参与 投保 额度 投保 期限 工伤 保险 商业 保险 企业职工身份证复印件粘贴处 安全生产管理基础台帐 欢迎阅读
(年度) 台账种类:安全生产机构与人员 台账编号:(二) 单位名称: 台账清单 一、安全生产委员会或领导小组设立文件(文本) 二、管理机构及安全管理人员的设置文件(文本) 三、安全生产组织机构登记表(表格) 四、企业负责人及安全管理人员培训证书复印件粘贴处(表格)——说明:经有资质的培训机构培训合格,持有注册安全工程师或注册安全主任资格证书或安全管理人员证书。 安全生产组织机构登记表 安全生产管理机构名称:成立时间:年月日 姓名性别年龄文化程度工作岗位及职务安全管理机构中 有何专长 受过何种安全 培训和教育 证件号码任职时间职务 欢迎阅读
信息安全风险管理程序69382
1目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3职责 3.1研发中心 负责牵头成立信息安全管理委员会。 3.2信息安全管理委员会 负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。 3.3各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4相关文件 《信息安全管理手册》 《GB-T20984-2007信息安全风险评估规范》 《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》 5程序 5.1风险评估前准备 ①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。 ②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。 ③风险评估方法-定性综合风险评估方法 本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。 综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值 ①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。 资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值 ②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上 得出综合结果的过程。 ③确定信息类别 信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。 ④机密性(C)赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的 应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的 达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥可用性(A)赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的 达成的不同程度。
安全生产管理的基本概念(通用版)
When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 安全生产管理的基本概念(通用 版)
安全生产管理的基本概念(通用版)导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一" 的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。 一、劳动保护、职业安全卫生、安全生产等基本概念 1.劳动保护 劳动保护是依靠科学技术和管理,采取技术措施和管理措施,消除生产过程中危及人身安全和健康的不良环境、不安全设备和设施、不安全环境、不安全场所和不安全行为,防止伤亡事故和职业危害,保障劳动者在生产过程中的安全与健康的总称。 2.安全生产 安全生产是为了使生产过程在符合物质条件和工作秩序下进行,防止发生人身伤亡和财产损失等生产事故,消除或控制危险有害因素,保障人身安全与健康,设备和设施免受损坏,环境免遭破坏的总称。 3.职业安全卫生 职业安全卫生是安全生产、劳动保护和职业卫生的统称,它是以保障劳动者在劳动过程中的安全和健康为目的的工作领域,以及在法律法规、技术、设备与设施、组织制度、管理机制、宣传教育等方面
信息安全基本知识
信息安全基本知识 安全体系: 安全方针:积极防范、突出重点、科学管理、持续改进 工作要求:归口管理、控制源头、逐级负责、确保安全 运行模式:“策划—实施—检查—改进(PDCA)” 组织机构:信息安全委员会(领导机构)、信息安全管理办公室(执行机构) 技术等级:内部公开、技术Ⅲ级、技术Ⅱ级、技术Ⅰ级(由低到高);内部文件按项目管控要求定级,外来文件按客户要求定级;流程:项目单位申请—信息安全办公室初审—信息安全委员会审定 管理期限:技术Ⅰ级>=20年,技术Ⅱ级>=10年,技术Ⅲ级>=5年,内部公开>=1年 电脑管理: 系统密码:密码>=8位、修改< 6 个月、自动屏保< 10分钟,不外借不扩散 密码组成:大小字母、特殊符号、数字任意三种以上组合 软件使用:软件用正版,安装杀毒软件并设置为定期杀毒,开启防火墙,U盘和下载的软件使用前先杀毒设备转用:服务器、电脑、存储介质停止使用或转作它用,必须低级格式化 文件控制: 文件管控:设计文件、工艺文件、质量体系类文件已经进入PDM系统管控 文件使用:各部门文控才有权从PDM系统签收、导出、下载、打印、分发,加盖“PDM受控章”为有效版本,其余途径获取均是不受控文件 文件管理:建立好文件接收、分发、使用、回收等台账管理 关岗键位: 定级要求:以项定级、以级定人; 人员等级:技术Ⅲ级岗位、技术Ⅱ级岗位、技术Ⅰ级岗位 部门申请(关键岗位人员审查审批表)--总经办信用审查(信用审查表)--信息安全办公室审查--信息安全委员会批准 信用等级:A优秀、B良好、C一般、D差 保密协议:劳动合同(普通员工),保密协议(关键岗位),专项保密协议(按项目) 离岗离职:清退信息资产,离职审计(《员工离职信息安全审计控制表》) 外网访问:原则上不许可,特殊情况需审批(填写《互联网申请表》,信息安全办公室同意,公司审批) 邮件收发:使用公司邮箱 电脑要求:技术Ⅱ级及以上,不用笔记本电脑,台式机加锁,物理手段禁USB 存储介质:技术Ⅰ、Ⅱ级不许,技术Ⅲ级受控(技术Ⅰ、Ⅱ级禁用移动介质,技术Ⅲ级使用受控介质) 开机密码:技术Ⅰ级>=10位,技术Ⅱ级>=8位, 技术Ⅲ级无要求 系统密码:技术Ⅰ级>=10位,技术Ⅱ级>=8位,技术Ⅲ级>=8位 客户专区: 公司为保护客户权益,划分了专区管理;专区内禁止直接出现客户名称,禁止拍照、录像,禁止非授权人员进入,禁止客户竞争对手参观、进入;进入专区必须佩带身份卡,非授权人员禁止进入 服务器管理: 账号与分类:管理员最多2人,独立账号和密码,密码长度超10位,更改周期小6月,权限清单需备案日常管理:每周查看日志和升级病毒库,定期杀毒,巡查服务器做记录(《服务器巡查记录表》) 故障处理:规划部负责网络与硬件故障,科技管理部负责软件故障;故障恢复需填《服务器恢复记录表》 机房要求: 保持10 ~ 20℃温度,做好非管理员出入登记,定期巡检填写记录(《机房巡检记录表》) 公共盘: 公共盘设立要备案(信息安全管理办公室备案); 必须设置访问权限,权限设立要信息安全主管、业务主管批准;建立权限清单并备案信息安全办公室
信息安全基础知识题集
第一部分信息安全基础知识(673题) 一、判断题 1.防火墙的功能是防止网外未经授权以网的访问。()对 2.入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。()错 3.PKI(Public Key Infrastructure)体系定义了完整的身份认证、数字签名、权限管 理标准。()错 4.更新操作系统厂商发布的核心安全补丁之前应当在正式系统中进行测试,并制订详 细的回退方案。()错 5.发起大规模的DDOS攻击通常要控制大量的中间网络或系统。()对 6.应采取措施对信息外网办公计算机的互联网访问情况进行记录,记录要可追溯,并 保存六个月以上。()对 7.入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对 网络进行监测,从而提供对部攻击、外部攻击的实时防护。()对 8.IPS在IDS的基础上增加了防御功能,且部署方式也相同。()错 9.根据公安部信息系统实现等级保护的要求,信息系统的安全保护等级分为五级。() 对 10.防火墙不能防止部网络用户的攻击,传送已感染病毒的软件和文件、数据驱动型的 攻击。()对 11.安全的口令,长度不得小于8位字符串,要字母和数字或特殊字符的混合,用户名
和口令禁止相同。()对 12.涉及二级与三级系统间共用的网络设备、安全设备,采用“就低不就高”的原则, 按二级要求进行防护。()错 13.隔离装置部属在应用服务器与数据库服务器之间,除具备网络强隔离、地址绑定、 访问控制等功能外,还能够对SQL语句进行必要的解析与过滤,抵御SQL注入攻击。()对 14.安全域是具有相同或相近的安全需求、相互信任的区域或网络实体的集合,一个安 全域可以被划分为安全子域。()对 15.公钥密码算法有效解决了对称密码算法的密钥分发问题,因此比对称密码算法更优 秀。()错 16.安全加密技术分为两大类:对称加密技术和非对称加密技术。两者的主要区别是对 称加密算法在加密、解密过程中使用同一个密钥:而非对称加密算法在加密、解密过程中使用两个不同的密钥。()对 17.ORACLE默认情况下,口令的传输方式是加密。()错 18.在ORACLE数据库安装补丁时,不需要关闭所有与数据库有关的服务。()错 19.在信息安全中,主体、客体及控制策略为访问控制三要素。()对 20.防火墙可以解决来自部网络的攻击。()错 21.防火墙作为实现网络边界隔离的设备,其部署应以安全域划分及系统边界整合为前 提,综合考虑边界风险的程度来设定。()对 22.在等级保护监管中,第二级信息系统的运营、使用单位应当依据国家有关管理规和 技术标准进行保护,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督和检查。()错
网络信息安全基础知识培训
网络信息安全基础知识培训 主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识 包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀 3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂
8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件 2、启动反病毒软件,并对整个硬盘进行扫描 3、发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序 4、某些病毒在Windows状态下无法完全清除,此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除 备注:可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病
(安全生产)安全基础知识
安全基础知识 安全管理科学理论与安全管理技术方法(安全管理的基本概念和原理) 一、安全管理基础 1、什么是安全管理:是指以国家的法律、规定和技术标准为依据,采取各种手段,对企业生产的安全状况, 实施有效制约的一切活动。(内容包括行政管理;技术管理;工业卫生管理; 2、职业安全卫生管理的目的:是企业管理的重要组成部分,它是调整劳动关系的重要内容,是生产经营的重 要保证,是企业获取经济效益的必要条件。 3、安全生产保障的三大对策:工程技术的对策、安全教育的对策、安全管理的对策。工程技术对策就是要尽 量通过采用先进的生产工艺技术,采取有效的安全技术措施,从硬件上达到技术所要求的安全生产科学标准;教育对策就是对企业职工进行全员教育,提高职工的安全知识和技能,提高职工的安全素质,从而防止人因事故;管理对策就是通过强制管理和科学管理使人员、技术、设备和工具、生产环境等各种安全生产要素得到有机的协调。 4、安全生产管理的基本原则:①生产与安全统一的原则,即在安全生产管理中要落实“管生产必须管理安全” 的原则;②三同时原则:新建、改建、扩建的项目,其安全卫生设施和措施要与主体工程同时设计,同时施工,同时投产运营;③五同时原则:企业领导在计划、布置、检查、总结、评比生产的同时,还应计划、布置、检查、总结、评比安全;④三同步原则,企业在考虑经济发展、进行机制改革、技术改造时,安全生产方面要与之同步规划、同步组织实施、同步运作投产;⑤三(四)不放过原则:发生事故后,要做到事故原因没查清,当事人和群众未受到教育,整改措施未落实三不放过。事故责任者没有受到严肃处理不放过 5、安全管理的对象:是安全生产系统(它包括的要素是:生产的人员、生产的设备和环境、生产的动力和能 量,以及管理的信息和资料)“人、机、料、法、环” 6、安全否决权原则:是指安全工作是衡量企业经营管理工作好坏的一项基本内容,该原则要求,在对企业各 项指标考核、评选先进时,必须要首先考虑安全指标的完成情况。安全生产指标具有一票否决的作用。二、安全管理原理(了解) 安全经济学原理:安全的效益可从两方面来评价:安全的“减损效益”(减少人员伤亡、职业病负担、事故经济损失、环境危害等),一般安全的减损价值占GNP(或企业产值)的2.5%(追求目标);第二是安全的增值效益,通过安全对生产的“贡献率”来评价,一般可达到GNP(或企业产值)的2~5%(直接的)。通常安全的投入产出比可达到1∶6。安全经济学原则有:安全生产投入与社会经济状况相统一的原则;发展安全与发展经济比例协调性原则;安全发展的超前性原则;宏观协调与微观协调辩证统一的原则;协调与不协调辩证统一的原则。 有三种基本性质:事故的因果性,事故的偶然性和事故 的再现性。事故展四阶段论:从事故时间特性的角度分 析,事故经历如下四个阶段:事故的孕育阶段——事故 的发展阶段——事故的发生阶段——事故损失阶段。事 故原因体系:如图。 三、安全管理模式与原则(了解) 1、事后型安全管理模式:在事故或灾难发生后进行整 改,以避免同类事故再次发生的一种对策。这种对策模式遵循如下技术步骤:事故或灾难发生——调查原因——分析主要原因——提出整改对策——进行评价——新的对策。 2、预期型安全模式。是一种主动、积极地预防事故或灾难发生的对策。其基本的技术步骤:提出安全或减灾 目标——分析存在的问题——找出主要问题——制定实施方案——落实方案——评价——新的目标。 3、安全管理对策的组织原则:系统整体性原则、计划性原则、效果性原则、单项解决的原则、等同原则、全
网络信息安全基础知识培训学习
主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀
3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法
网络信息安全基础知识培训
网络信息安全基础知识培训主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容
(一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀3、及时安装系统补丁
4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级
4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件
信息安全基础知识培训考试答案
信息安全基础知识培训试题 姓名:部门:成绩: 一、填空题:每空4分共40分 1、电脑要定期更换(密码)、定期(杀毒),对不明邮件不要轻易(打 开)。 2、信息安全的基本特征是(相对性)、(时效性)、(复杂性)、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素,同时也应该清醒的认识到人是信息 安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的,每个网络环境都有一定程度的漏洞和(风险)。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、(网络设备)、系统主机、工作站、PC机、操作 系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题:每题5分共25分 1、信息安全三要素包括( A B C ) A 机密性 B 完整性 C 可用性 D 安全性 2、信息安全的重要性体现在以下方面(ABC) A 信息安全是国家安全的需要 B 信息安全是组织持续发展的需要
C 信息安全是保护个人隐私与财产的需要 D 信息安全是维护企业形象的需要 “上传下载”的应用存在的风险包括(ABC)在工作当中,、3. A 病毒木马传播 B 身份伪造 C 机密泄露 D 网络欺诈 4、客户端安全的必要措施包括( ABCDE ) A 安全密码 B 安全补丁更新 C 个人防火墙 D 应用程序使 用安全E防病毒 5、信息安全管理现状已有的措施包括( ABCD ) A 兼职的安全管理员 B 物理安全保护 C 机房安全管理制度 D资产管理制度 三、判断题:每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。( X ) 2、为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。(√) 3、员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。(√) 4、超过70%的信息安全事件,如果事先加强管理,都可以得到避免。(√) 5、由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。(√) 6、企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议。(√) 7、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功
信息安全风险管理制度
信息安全风险管理办法 北京国都信业科技有限公司 2017年10月
前言 本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。 本制度自实施之日起,立即生效。 本制度由北京国都信业科技有限公司企业信息管理部起草。 本制度由北京国都信业科技有限公司企业信息管理部归口管理。
1目的 为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4职责 信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 5.1信息安全管理内容 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 5.2信息管理岗位设置 为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息
管理人员权限进行分级管理,信息管理关键岗位有设置AB 角。应配备专职安全管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订了保密协议。 5.3信息安全人员管理 5.3.1人员雇佣安全管理 信息管理人员的雇佣符合如下要求: 信息管理人员的专业知识和业务水平达到本公司要求; 详细审核科技人员工作经历,信息管理人员应无不良记录; 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。 5.3.2人员入职安全管理 在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 5.3.3人员安全培训 根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。 5.3.4人员安全考核 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 5.3.5人员离职安全管理 本公司人员离职手续中应该包括如下安全相关的内容:
信息安全基础知识培训考试答案
信息安全基础知识培训试题 姓名:部门:成绩: 一、填空题:每空4分共40分 1、电脑要定期更换(密码)、定期(杀毒),对不明邮件不要轻易(打开)。 2、信息安全的基本特征是(相对性)、(时效性)、(复杂性)、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素,同时也应该清醒的认识到人是信息安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的,每个网络环境都有一定程度的漏洞和(风险)。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、(网络设备)、 系统主机、工作站、PC机、操作系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题:每题5分共25分 1、信息安全三要素包括( A B C ) A 机密性 B 完整性 C 可用性
D 安全性 2、信息安全的重要性体现在以下方面(AB C) A 信息安全是国家安全的需要 B 信息安全是组织持续发展的需要 C 信息安全是保护个人隐私与财产的需要 D 信息安全是维护企业形象的需要 3、在工作当中,“上传下载”的应用存在的风险包括(ABC) A 病毒木马传播 B 身份伪造 C 机密泄露 D 网络欺诈 4、客户端安全的必要措施包括( ABCDE ) A 安全密码 B 安全补丁更新 C 个人防火墙 D 应用程序使用安全E防病毒 5、信息安全管理现状已有的措施包括( ABCD )
A 兼职的安全管理员 B 物理安全保护 C 机房安全管理制度 D资产管理制度 三、判断题:每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。( X ) 2、为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。(√) 3、员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。(√) 4、超过70%的信息安全事件,如果事先加强管理,都可以得到避免。(√) 5、由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。(√) 6、企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议。(√) 7、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全,称为信息安全管理。( X ) 第 1 页共1 页
安全生产基础资料的管理
编号:SY-AQ-00439 ( 安全管理) 单位:_____________________ 审批:_____________________ 日期:_____________________ WORD文档/ A4打印/ 可编辑 安全生产基础资料的管理 Management of safety production basic data
安全生产基础资料的管理 导语:进行安全管理的目的是预防、消灭事故,防止或消除事故伤害,保护劳动者的安全与健康。在安全管理的四项主要内容中,虽然都是为了达到安全管理的目的,但是对生产因素状态的控制,与安全管理目的关系更直接,显得更为突出。 企业的安全生产是企业得以发展的保证。为了加强安全生产管理,夯实安全工作基础,积累数据资料,必须建立安全管理台账,用台账记载安全活动内容,记录生产中存在的隐患和治理隐患的措施,寻找安全生产规律,使之达到标准化、规范化管理。 一、安全台账的种类与分工管理 根据企业的生产特点、各个企业的实际情况建立安全生产管理台账。以天脊煤化工集团有限公司为例,根据原化学工业部的有关要求和企业安全生产管理的状况,建立了27种台账。这27种台账以及分工管理是: 1.事故台账 (1)伤亡事故台账,由安全部门负责。 (2)生产操作事故台账,由生产技术部门负责。 (3)设备事故台账,由机动设备部门负责。
(4)污染事故台账,由环境保护部门负责。 (5)火灾事故台账,由保卫部门或防火部门负责。 2.劳保防护用具(品)、保健发放台账 (1)劳动防护用具(品)发放台账,由供销和安全部门负责。 (2)清凉饮料发放台账,由行政或安全部门负责。 3.安全教育台账(共8种) (1)新员工人厂安全教育台账,由安全部门负责。 (2)外来人员入厂教育台账,由安全部门负责。 (3)违章违纪停工学习台账,由安全部门负责。 (4)安全例会台账,由安全部门负责。 (5)安全作业证发放台账,由安全部门负责。 (6)安全考试台账,由安全部门负责。 (7)特种作业人员安全技术培训与考试台账,由安全部门负责。 (8)干部安全教育台账,由安全部门负责。 4.安全技术措施台账(1种) 安全技术措施台账,由生产技术部门或安全部门负责。
信息安全管理体系iso27基本知识
信息安全管理体系ISO27000认证基本知识 一、什么是信息安全管理体系 信息安全管理体系是在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系。 ISO/LEC27001是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。 二、信息安全的必要性和好处 我国信息安全管理专家沈昌祥介绍,对于我国软件行业,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,80%信息泄露都是由内或内外勾结造成,所以建立信息安全管理体系很有必要。 1、识别信息安全风险,增强安全防范意识; 2、明确安全管理职责,强化风险控制责任; 3、明确安全管理要求,规范从业人员行为; 4、保护关键信息资产,保持业务稳定运营; 5、防止外来病毒侵袭,减小最低损失程度; 6、树立公司对外形象,增加客户合作信心; 7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局 等政府机构的补贴,补贴额度不少于企业建立ISO27001体系的投入费用 (包含咨询认证过程)。 (信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性) 三、建立信息安全体系的主要程序 建立信息安全管理体系一般要经过下列四个基本步骤 ①信息安全管理体系的策划与准备; ②信息安全管理体系文件的编制; ③信息安全管理体系运行; ④信息安全管理体系审核、评审和持续改进。
信息安全三级知识点
信息安全三级知识点 第一章:信息安全保障基础1:信息安全大致发展经历3 个主要阶段:通信保密阶段,计算机安全阶段和信息安全保障阶段2:现代信息安全主要包含两层含义(1)运行系统的安全(2)完整性,机密性,可用性,可控制性,不可否认性。 3:信息安全产生的根源(1)内因:信息系统的复杂性,包括组成网络通信和信息系统的自身缺陷,互联网的开放性(2)外因:人为因素和自然环境的原因4:信息安全保障体系框架(1)生命周期:规划组织,开发采购,实施交付,运行维护,废弃(2)安全特征:保密性,完整性,可用性(3)保障要素:技术,管理,工程,人员5: P2DR 安全模型 Pt Dt+Rt Pt表示系统为了保护安全气目标设置各种保护后的防护时间,或者理解为在这样的保护方式下,黑客攻击安全目标所花费的时间; Dt代表从入侵者开始发动入侵开始,到系统能够检测到入侵行为所花费的时间 Rt代表从发现入侵行为开始,到系统能够做出足够的响应,讲系统调整到正常状态的时间 Et=Dt+Rt ( Pt =0) Dt 和 Rt的和安全目标系统的暴露时间Et, Et越小系统越安全6:信息安全技术框架( IATF):核心思想是纵深防御战略,即采用多层次的,纵深的安全措施来保障用户信息及信息系统的安全。核心因素是人员,技术,操作。 7: IATF4 个技术框架焦点域:本地计算环境,区域边界,网络及基础设施,支撑性基础设施。 8:信息系统安全保障工作的内容包括:确保安全需求,设计和实施安全方案,进行信息安全评测和实施信息安全监控与维护。 第二章:信息安全基础技术与原理1:数据加密标准 DES;高级加密标准AES;数字签名标准 DSS;2:对称密钥的优点:加密解密处理速度快,保密度高,缺点:密钥管理和分发复杂,代价高,数字签名困难3:对称密钥体制:分组密码和序列密码常见的分组密码算法: DES,IDEA,AES 公开的序列算法主要有 RC4, SEAL4:攻击密码体制方法(1)
安全管理基础知识
安全管理基础知识随着科学技术的发展,生产规模的扩大,生产技术的变革和地质条件的复杂化,生产事故的种类和发生频率增大,企业安全管理变得越来越重要。学习安全管理的基础知识,有助于加深对安全管理的认识,更好地掌握安全管理理论、技术和方法,提高安全管理水平,切实做好煤矿安全管理工作。 一、安全管理的定义与分类 (一)管理的概念: 管理是一种现象,一个过程,也是一种约束行为。 管理就是管理者为了达到一定的目的,对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。 (二)安全管理的定义: 安全管理既指对劳动生产过程中的事故和防止事故发生的管理,又包括对生活和生活环境中的安全问题的管理。 安全管理是管理者对安全生产进行计划、组织、指挥、协调和控制的一系列活动,以保护职工的安全与健康,保证企业生产的顺利发展,促进企业提高生产效率。 安全管理是企业管理的重要组成部分。 (三)安全管理的分类:
1、广义安全管理: 泛指一切保护劳动者安全健康,防止国家财产受到损失的管理活动。 从上述可以看出,安全管理不仅要防止生产作业中的人员伤害,也要与危害人员身体健康的一切因素进行斗争;不仅要保护国家和集体财产免遭损失,也要保证作业环境的安全化,实现作业环境和作业过程的本质安全。 2、狭义安全管理: 指针对生产过程和生产环境中具体的危险源而开展的安全管理活动,以防止生产过程或与生产有直接关系的活动中发生意外伤害和财产损失。 二、安全管理的对象与内容 (一)安全管理的对象: 安全管理的对象是煤炭生产系统这个人机环境系统中的各个要素,包括人的系统、物质系统、能量系统、信息系统以及这些系统的协调组合。 1、人的系统: 人员管理是安全管理的核心。因此安全管理必须以人为根本,加强对人的系统的管理和控制。 2、物质系统: 物质系统包括生产作业环境中的机械设备、设施、工具、器件、构筑物、原材料、
信息安全基础知识培训试题
信息安全基础知识培训试题 一、 填空题:每空 分共 ?分 、电脑要定期更换(密码 )、定期( 杀毒),对不明邮件不要轻易(打开 )。 、信息安全的基本特征是(相对性)、(时效性)、 (复杂性)、配置相关性、攻击的不确定性。 、 ?人 ?是信息安全中最关键的因素,同时也应该清醒的认识到人是信息安全中最薄弱的环节。 、绝对的?信息安全 ?是不存在的,每个网络环境都有一定程度的漏洞和(风险 )。 、 信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、 (网络设备)、系统主机、工作站、 ?机、操作系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题:每题5分共 ?分 、 信息安全三要素包括( ? ) ? 机密性 完整性 可用性 安全性 、信息安全的重要性体现在以下方面(AB ) ? 信息安全是国家安全的需要 ? 信息安全是组织持续发展的需要 信息安全是保护个人隐私与财产的需要 ? 信息安全是维护企业形象的需要 、 在工作当中,“上传下载”的应用存在的风险包括(ABC) ? 病毒木马传播 身份伪造 机密泄露 网络欺诈
、客户端安全的必要措施包括( ????? ) ?安全密码 安全补丁更新 个人防火墙 应用程序使用安全 E防病毒 、信息安全管理现状已有的措施包括( ???? ) ? 兼职的安全管理员 物理安全保护 机房安全管理制度 资产管理制度 三、判断题:每题 分共 ?分 、电子商务应用不可能存在账号失窃的问题。( ? ) 、为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。( √ ) 、员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。(√) 、超过 ??的信息安全事件,如果事先加强管理,都可以得到避免。(√) 、由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。(√) 、企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议。( √ ) 、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全,称为信息安全管理。( ? )
安全管理要注重基础管理(通用版)
安全管理要注重基础管理(通 用版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0863
安全管理要注重基础管理(通用版) 抓牢安全基础工作,规范员工安全工作行为,是安全工作长治久安的根本途径。因此,安全管理坚持以人为本,努力使每个员工做到由“要我安全”向“我要安全”转变,由“他律”向“自律”转变。 一是加强安全技能培训。增强三个能力,即有计划地抓好文化知识培训,全面提高员工掌握安全知识和安全技术技能的能力;坚持会议教育、现场教育相结合,抓好安全基础知识、安全技术和典型经验的学习培训,使员工熟记安全知识,精通安全技术、做到准确判别和预测现场安全隐患,提高自我防护和互保能力;切实抓好质量标准、岗位安全职责的贯彻培训,做到上标准岗,干标准活,提高员工规范化管理和标准化操作能力。在具体做法上,在坚持逢
会必讲安全的基础上,组织开展张贴宣传标语、举办安全知识竞赛、组织安全知识考试、举行消防应急演练、进行安全专题讲座等各种形式的安全教育,在对驾驶员的安全教育中做到“两个坚持”:一个是坚持月例会和月教育。同时坚持对驾驶员出车前实行“安全告诫”。交代当次出车注意事项,为驾驶员拧紧“安全阀”。 二是加强现场安全质量管理,尤其是进一步加强小现场管理。小现场安全管理往往是最容易被忽视的地方,但也是发生安全事故的高发区,一些员工在思想上也存在麻痹大意思想,存在习惯性违章作业行为,因此,要把安全管理质量管理的重点放在各个小现场,也就是一线工作岗位上,明确各岗位安全联保互保示意图,确定联保互保对象,细化各岗位的安全职责,精细到每一项工作、每一个岗位都有章可循、有量可计、有质可考,有效防范了各种不安定因素。 三是加强现场安全监督检查。及时发现并消除现场存在的各类安全隐患,是抓好安全生产的关键环节。从干部做起,坚持点面检查相结合,不间断加强干部值班,并加大动态检查力度,不定期对