基于知识价值链的信息安全综合评估模型研究_侯典磊

The Research on Comprehensive Assessment Model of

Information Security Based on Knowledge Value Chain

HOU Dianlei 1

, LIU Hui 2, Wang Pengfei 31. 2. PLA Information Engineering University, Zhengzhou, 450002, China 3. 69313 army, Kashi, 845450, China dianlei321@https://www.wendangku.net/doc/ea12504943.html, Abstract: The comprehensive assessment of information security is the foundation for risk management of information system. The information risks of organization are analyzed and identified by the application of knowledge value chain. The information resources and the information circulation process are explored in the management system. These initial researches on building the index system for assessment and defining the weighting coefficients and analysis the assessment algorithms are concerned with four elements which are information, information source, information receptor and information environment. And then the model of comprehensive assessment of information security is structured for the following risk management study. Keywords: information security; knowledge value chain; comprehensive assessment; model

基于知识价值链的信息安全综合评估模型研究

侯典磊1

，刘 慧2，王鹏飞31.2.信息工程大学信息工程学院，郑州，中国，450002 3.69313部队，喀什，中国，845450 dianlei321@https://www.wendangku.net/doc/ea12504943.html, 【摘 要】信息安全评估是信息系统风险管理的基础。以知识价值链理论分析识别组织的信息安全风险，综合考察信息管理中信息资源和信息流通过程，针对信息安全风险涉及的信息、信息源、信息受体和信息环境四个影响因素，对信息安全评估指标体系建立、权重系数确定、评估算法分析做了初步研究，构建了信息安全综合评估模型，为后续风险管理研究提供了理论依据。 【关键词】信息安全；知识价值链；综合评估；模型； 1 引言 信息情报的获取能力在信息时代成为组织核心竞争力的构建基石，同时以抵御信息威胁、防范信息风险

为目标的信息安全管理研究也受到越来越多关注。目前

信息安全风险管理研究大多还处在基础理论定的性研讨阶段，在信息安全管理框架构建、信息安全管理战略

和信息安全管理应用等方面有所突破[1]。而信息安全风

险评估作为信息安全管理体系建设的基础和依据也广受关注。它是一个考虑信息资源管理各环节，兼顾信息

依存环境和管理过程动态变化因素的信息效能综合评

估问题。这个问题的解决依赖于现代管理理论与知识计量理论、风险预测、决策分析、数理统计等理论相结合，并将会使信息安全风险评估从信息管理系统效能评估，

向信息安全管理主体即信息资源本身的综合评估拓展。本文以知识价值链视角对信息安全风险生成过程和影

响因素进行分析，对信息安全风险评估指标体系、权重

和评估算法做了理论探讨，构建了信息安全风险综合评估模型，为进一步的风险管理理论研究提供了定量分析

基础。 2 信息安全风险的分析识别 信息安全风险的有效识别是风险评估的前提。目前信息安全风险评估理论大多是从组织管理体系层面看待评估问题的。其评估对象是利用信息的管理组织，评估过程借鉴了无形资产评估理论和方法，通过综合考察信息的“替换成本”（即信息损坏后的重构成本）、“不可用成本”（即失效阶段的损失）和“泄密成本”（即重要信息泄露带来的影响）等因素来衡量信息安全风险[1,2]。这些方法可以控制管理系统的安全风险，衡量

系统损失大小，为管理工作提供支持。但由于它是对管理体系末端反馈进行的分析评估，所以信息针对性不强，容易被组织中其他风险（如市场风险、政策风

险等）因素干扰，从而使信息风险评估偏离信息本身，

5091International Conference on Engineering and Business Management (EBM 2010) 978-1-935068-05-1 ? 2010 SciRes.

导致在信息影响上只考虑信息威胁，忽视信息主体对风险的抵御能力，对信息公开后可能产生的正面利益也没有予以全面考虑。 知识价值链是指组织在知识获取、开发、存储、创新以及整合等环节所产生的知识价值流通全过程[3]

。信息安全风险管理过程也是一个知识价值链的管理过程，故有必要在分析识别组织知识价值链基础上，对组织信息安全风险要素进行评估。信息安全风险管理是组织处于某种外在条件下，调控信息从信息源到信息受体流通的活动，抵御信息安全风险的管理过程。从信息资源管理过程角度看待信息安全风险评估问题，评估对象应为信息风险产生的根源即信息资源。其评估过程既要考虑信息资源的本身属性，也要考虑信息公开或泄露后对组织可能产生的正、负影响。根据知识价值链流转过程中信息资源属性和信息流通过程分析，信息安全风险主要涉及信息、信息源、信息受体和信息环境四个方面影响因素[4,5]，如图1所示。 （1）信息本身因素，是信息价值生成的基础，也是风险产生的前提，如果信息没有价值则不存在安全风险问题。包括信息量大小、信息时间属性、信息专业指向。 （2）信息源因素，是信息的发出者，也是信息安全风险的承受者。包括信息源的综合实力、信息敏感性、信息安全管理能力。 （3）信息受体因素，是信息的接受者，也是信息风险的制造者。包括信息受体的综合实力、信息需求、信息获取能力。 （4）信息环境因素，是信息的依存条件，是信息风险产生的外因。包括信息环境的不确定性、信息流通速度、信息源和信息受体的距离。

Figure 1. Influence elements of the risks of information security 图1. 信息安全风险影响因素

3 信息安全风险综合评估模型的构建

信息安全风险综合评估是对组织信息资源的综合利用过程，基本思路是通过合理确定系统信息资源的评价指标体系、权重系数、评估算法构建出信息安全风险综合评估模型，评估组织的信息安全管理能力。

3.1 信息安全风险综合评估指标体系的建立

根据信息安全风险四个影响因素，遵循指标体系确定的系统性、可比性、独立性等原则，建立信息安全风险评估指标体系如图2所示，一级指标为信息、信息源、信息受体和信息环境，进一步细分为信息量、信息成本等12个二级指标。由于风险管理过程主观性较强，构建的定性、定量相结合的综合评估体系，各底层指标并非都是直接可测变量，因此对不可直接测量指标要依据一定的取值标度进行打分[6]，之后再进行标准化和归一化处理即可。

Figure 2. Index system of information security assessment

图2 信息安全风险评估指标体系

3.2 综合评估指标权重系数的确定

指标权重系数合理与否关系到信息安全风险综合评估结果的正确性和可信性。为了尽量增加综合评估的客观性，减少评估者主观因素对评估结果的影响，同时契合信息管理过程现实特点，本文采用综合集成的赋权法[7]，即对专家法和相关系数法确定的两种权重进行乘法集成得到最终的权重系数。其基本过程是：

（1）专家法确定指标权重，每个专家为各指标打分为，则第i 个指标的权重系数可以表示为：。

12, , ... , n m m m 'i w ()'1

/

,1,2,...,n

i i k k w m m i n ∑

===5092

International Conference on Engineering and Business Management (EBM 2010)

978-1-935068-05-1 ? 2010 SciRes.

)（2）相关系数法确定权重，各单项指标间的相关系数，则其权重系数可表示为： (,i r Cov X Y ="i w 1n i i i r r ∑==，()"1/,1,2,...,n

i i k k w r r n ∑==。

（3）权重系数乘法集成，两种权重系数的乘积'"

, 1,

2,...,i i i M w w i n =?=，n

次方根i w =，则权重系数可表示为：i w ()1/,1,2,...,n

i i j k w w w i n ∑===。 3.3 信息安全风险综合评估算法 信息安全风险是在特定信息环境中信息分别为信息源和信息受体所利用而产生的综合影响，即威胁和利益的综合表现。所以分析信息安全风险时不能只考虑其存在威胁的一面，要考虑可能产生的威胁和利益，其数学表达式如式（1）所示： (,)(,,,)I f W L f V S R E == (1) 其中，I 为信息安全风险，V 为其信息本身因素，R 为信息源因素，S 为信息受体因素，E 为信息环境因素，W 为信息被信息受体利用可能造成的威胁，L 为信息被信息源利用可能产生的利益。 评估过程中要先把各影响因素取值进行标准化（同时消除量纲差异）处理，根据公式（1）利用加权系数构造出信息安全风险评估函数，最终计算出信息安全风险评估数值。表达式如（2）式所示， ()

34121a a a a a I E V S V R =??+? (2)

其中分别为四个影响因素的权重系数。公式（2）以威胁和利益的代数和形式体现了信息正、负两方面影响的综合，同时以乘积关系表现各要素之间对安全风险影响的动态非线性关系。 1, 1,2,3,4i a i ≥=5 示例验证 由上述分析过程可以建立信息安全风险综合评估模型。在现实评估过程中，还需要评估者在获取管理系统的相关统计数据基础上，根据算法进一步对模型中的权重赋值或修正，从而使这个理论模型更为完善。 根据 4 结束语 本文运用信息观点，把信息安全风险的产生过程看作是信息资源流转和作用的过程，避免了组织具体形态及制度体系的干扰，直接针对信息安全风险的四个影响因素进行综合评估，并通过建立评估指标体系、确定权重系数和分析评估算法等步骤，构建了信息安全风险的综合评估模型。但评估模型还存在很多值得改进的地方，特别是可以利用结构方程模型引入潜在变量[8]，得到系统中所有指标变量的综合评估指数，研究评估体系的各抽象指标之间的因果关系。这种方法能够完善指标权重确定过程，验证模型指标体系的完善程度，值得在今后的研究中予以借鉴。

References (参考文献)

[1]

WANG Zhengde. YANG Shisong. The Theory of Information Safety Management [M]. Beijing: Military Science Press, 2009 王正德. 杨世松. 信息安全管理论 [M] . 北京: 军事科学出版社, 2009

[2]

LI He. WANG Shuyang. Research on the Model and Methods of Information Security Assessment [J]. China Safety Science Journal, 2007. 17(2): 144-148

李禾. 王述洋. 信息安全评估的模型和方法研究 [J] . 中国安全科学学报, 2007. 17(2): 144-148

[3]

SU Hui. Research on Organizational Knowledge Management Assessment [J]. Library and Information Service, 2007. 51（3）：49-52

苏卉. 组织知识管理评估研究（J ），图书情报工作，2007. 51(3): 49-52

[4]

WU Tingting. A Study on Influencing Factor and Model of Knowledge Transfer in Intelligence Work [D]. Nanjing: Nanjing University of Science & Technology. 2009

吴婷婷. 情报工作中知识转移的影响因素和模式研究 [D]. 南京：南京理工大学. 2009

[5]

ZHOU Guoqiang. LU Wei. ZENG Qingkai. Research and Im-plementation of Model of Information Security Evaluation [J]. Computer Applications and Software. 2007. 24 (11): 5-8

周国强. 陆炜. 曾庆凯. 信息安全评估模型的研究与实现 [J] . 计算机应用与软件, 2007. 24(11): 5-8

[6]

DAI Feng. WU Songtao. LIU Jingxu. Modern Engineering Management [M]. Beijing: National Defense Industry Press, 2007

戴峰, 吴松涛, 刘靖旭 等. 现代管理工程 [M] . 北京：国防工业出版社, 2007

[7]

HAN Zhonggeng. Methods and Applications of Mathematical Modeling[M]. Beijing: Higher Education Press,2005

韩中庚等. 数学建模方法与应用（M ），北京：高等教育出版社，2005

[8]

ZHANG Ying. WANG Huiwen. Application of Structural Equa-tion Model in Synthesis Evaluation Index [J]. Journal of Beijing University of Aeronautics and Astronautics (Social Sciences Edition), 2008. 21(1):10-12

张瑛. 王惠文. 结构方程模型在系统综合评估指数中的应用 [J] . 北京航空航天大学学报(社会科学版), 2008. 21(1):10-12.

5093

International Conference on Engineering and Business Management (EBM 2010) 978-1-935068-05-1 ? 2010 SciRes.

KM知识管理的价值链分析

知识治理的价值链分析 [摘要]本文应用价值链对知识治理运作流程进行深入的分析，从而明确知识治理的环节及其一体化流程，为各企业通过知识治理培养和猎取竞争力。 1 引言 当今时代信息与技术的不断成长，新的经济体系正以史无前例的惊人速度产生信息，并在业务伙伴、职员及顾客间传递，并产生了“信息烟雾”。因此随着信息量的暴涨，企业更迫切需要辨不信息的能力，才能择精去芜精炼信息，并据此采取可预测其结果的行动。企业(Knowledge Management，KM)或许是治疗“信息烟雾”的希望。本文应用价值链对KM进行深入的分析，从而使企业进一步明确KM的一体化运作流程，通过实施KM猎取核心竞争优势。 2 知识治理概述

2.1 知识治理的起因新的经济架构迫使我们重新审视一切商务活动。同时，新的架构也改变了企业经营环境，并带来新的竞争规则。以下三项至关重要的竞争规则：1)易于与业务伙伴合作；2)治理专业人才流淌率；3)分散决策权。整体而言，这三个缘故正是近年来KM趋势的主流。这些竞争规则都要求企业在适当的时机将适当的信息内容交给适当的人。 2．2 知识治理的含义企业知识治理是把知识作为最重要的资源，把知识和知识活动作为企业的财宝和核心，对信息的猎取和传播、知识的学习和运用、知识的创新和传播、知识交流及企业内部知识的分享和共享的结构、知识水平的提高进行治理，发挥企业职员和集体的智慧，在知识创新中谋求企业核心竞争力和企业的可持续进展。从上述定义能够看出，KM的实质确实是对知识价值链进行治理，使组织的知识在运动中不断增值。

然而到目前为止，KM仍停留在观念的时期，只能协助企业诊断病症，而未告诉我们如何采取治疗的行动。 3 知识治理价值链分析 下面利用迈克·波特的价值链模型来分析KM的价值链(如图1)，从而进一步明确知识运作流程的环节，确立企业KM的核心竞争力。 3．1 差不多活动 3．1．1 知识的制造KM是从知识的收集开始

2020年全国网络信息安全技术知识竞赛试题及答案(共100题)

2020年全国网络信息安全技术知识竞赛试题及 答案（共100题） 1. 安全审计跟踪是__B__。 a. 安全审计系统收集易于安全审计的数据 b. 安全审计系统检测并追踪安全事件的过程 c. 对计算机系统中的某种行为的详尽跟踪和观察 d. 人利用日志信息进行安全事件分析和追溯的过程 2. __D____。 a. 事件跟踪 b. 安全审核 c. 应用程序跟踪 d. 故障分析 3. 病毒的运行特征和过程是____C____。 a. 传播、运行、驻留、激活、破坏 b. 入侵、运行、传播、扫描、窃取 c. 设计、传播、潜伏、触发、破坏 d. 复制、撤退、检查、运行、破坏 4. 通常所说的"病毒"是指__C_____。 a. 生物病毒感染 b. 被损坏的程序

c. 特制的具有破坏性的程序 d. 细菌感染 5. 下列行为不属于攻击的是__C_____。 a. 发送带病毒和木马的电子邮件 b. 用字典猜解服务器密码 c. 从FTP服务器下载一个10GB的文件 d. 对一段互联网IP进行扫描 6. 针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术 __A___防火墙 的特点。 a. 代理服务型 b. 应用级网关型 c. 包过滤型 d. 复合型防火墙 7. 中华人民共和国《计算机信息系统安全保护等级划分准则》GB17859-1999 机安全等级划分为___A___。 a. 5级https://www.wendangku.net/doc/ea12504943.html, 14 b. 8级 c. 10级 d. 3级 8. CA属于ISO安全体系结构中定义的___C____。 a. 通信业务填充机制

b. 认证交换机制 c. 公证机制 d. 路由控制机制 9. ____B____。 a. 传染性 b. 破坏性 c. 潜伏性 d. 隐藏性 10. 关于RSA算法下列说法不正确的是__A_____。 a. RSA算法是一种对称加密算法 b. RSA算法可用于某种数字签名方案。 c. RSA算法的运算速度比DES慢。 d. RSA算法的安全性主要基于素因子分解的难度 11. ___C___。 a. 使用专线传输 b. 无线网 c. 数据加密 d. 12. 应用代理防火墙的主要优点是__A__。 a. 安全控制更细化、更灵活 b. 服务对象更广 c. 安全服务的透明性更好

信息安全风险评估模型及其算法研究

信息安全风险评估模型及其算法研究 摘要：在信息科技日益发展，人类社会对信息的依赖性越来越强，信息资产的安全性受到空前的重视，而当前我国的信息安全水平普遍不高，与西方发达国家存在较大差距。在当前信息安全领域，主要的管理手段是奉行着“三分技术，七分管理”的原则。要想提高整体的信息安全水平，必须从一个组织整体的信息安全管理水平着手，而不仅是依赖于防火墙、入侵检测、漏洞扫描等传统信息安全技术手段，而目前信息安全管理的最起始的工作主要是信息安全风险评估，而信息安全风险评估的手段单一化、多元化、难以定量化。以往的信息安全风险评估多从AHP层析分析法、模糊综合评价及灰色理论入手，而较少采用V AR风险定量分析和概率论等数学方法去分析和评估信息安全的风险。以V AR风险定量分析每个风险源的损失额度，以概率论和数理统计的方法去评估每个风险源在整体信息安全的风险比例，从而便于组织合体调配资源，达到资源的最佳配置，降低组织的整体信息安全风险。 关键词：信息安全；风险评估；V AR分析；数理统计 1研究背景及现状 随着信息时代的迅速到来，众多的组织机构将重要信息存放在信息系统中，在业务上也越来越依赖信息系统的安全性、可用性、可恢复性。越来越多的组织机构意识到信息安全的重要性，例如金融、电力、通讯等相关涉及公共利益的组织机构投入巨资进行了信息安全能力的提升。而我国以公安部牵头的信息安全等级保护工作也在如火如荼的进行，对不同行业，不同机构进行分类保护，极大的从制度和法规方面促进了我国信息安全保护水平的提升，从国家宏观层面上积极推进了信息安全工作的开展。针对于国家公安部开展的信息安全等级保护工作，不同行业的信息安全等级易于测量，但对于某一行业具体金融机构的信息安全能力定级上难以定量化，不同金融机构所面对的信息安全风险大小不一，来源不同，极具差异化。小型银行在信息安全领域的花费将和大银行完全相同，将加大中小银行的商业负担，造成不必要的浪费，如何运用数量方法定量的而不是定性的去评估信息安全风险成为信息安全领域一个急需解决的学术问题。 ①国外的研究现状。目前在国外，最为流行的信息安全风险管理手段莫过于由信息系统审计与控制学会ISACA（InformationSystemsAuditandControl Association）在1996年公布的控制框架COBIT 目前已经更新至第四版，主要研究信息安全的风险管理。这个框架共有34个IT的流程，分成四个控制域：PO （Planning&Organization）、AI（Acquisition&Implementation）、DS （Delivery and Support）、ME（Monitor and Evaluate），共包含214个详细控制目标，提供了自我审计标准及最仕实践，能够指导组织有效利用信息资源。管理信息安全相关风险。文章总结了其中与信息安全管理相关的特点：更清晰的岗位责任划分。为了改善对IT流程模型的理解，COBIT4.0为每个IT流程进行了定义，对每个流程及基木输入/输出及与其他流程的关系进行了描述，确定它从哪个流程来，哪个

基于价值链的企业知识管理模型研究

基于价值链的医院文化建设研究 平煤集团公司总医院任文杰 地址：平顶山市矿工中路南1号院邮编：467000 【内容提要】本文在确立价值链管理历史地位和界定价值链科学内涵基础上，从价值链管理与医院文化建设的关系、价值链管理对医院文化建设的作用，价值链管理与医院文化的有机结合等方面的问题，剖析了价值链管理的在医院文化建设中的战略应用，近而在医院价值链管理模中，高度提升医院文化形象，锻造团队凝力，提高医院的知名度、美誉度和社会公信度，使医院在激烈的市场竞争中立于不败之地。 * 引言 * “价值链”是哈佛商学院的迈克·波特在《竞争优势》中首次提出。随着社会经济和科技的发展，价值链理论和实践有了很多新的发展。价值链管理是“一种基于协作的策略，它把跨企业的业务运作连在一起，以期实现市场机会的共同愿景”。价值链管理是当前国际企业管理的重要方向，也是国内企业富有潜力的应用领域。在市场经济时代，价值链方法被越来越多的应用到各个领域，并显示出了其在超越竞争对手方面的决定性优势。价值链管理在医院文化中的应用，也正是基于了价值链管理对医院文化的重塑作用：

即创造一个价值链管理体系，以更好满足和超越受众需要，并将这种需要上升为企业的理念和文化。 一、价值链管理与医院文化建设的关系 医院文化，其实是企业文化的翻版，是医院所创造的精神财富和物质财富、一切经营管理活动和思想精神活动的总和，其目的是变传统的经验管理为先进的文化管理 ,使之更着眼于树立员工的世界观、人生观和价值观，使员工个人的目标与医院的愿景自然地形成一个有机的整体，促进员工日常工作目标和医院战略目标的实现。 医院价值链包括基本活动和辅助活动。基本活动主要包括生产资源的获得，医院的生产运营，服务交付体系的管理，营销和销售的管理，医疗服务的交付。它所考虑的不仅是与生产直接相关的一种或几种因素，而且考虑到了它的各种因素及其相互的协调，相互间的联系及每一因素在整体中的地位与作用。价值链管理的最终目的是使链中各成员像团队般工作，每个成员都为全部过程增加相应的价值——快速反应、更准确的信息、更好的服务等等。价值链以受众的需求为改良企业行为和经营理念的导火索和衡量指标，达成对链中成员的充分的无缝结合，近而形成一种合力，这种合力就是我们所说的团队精神，也是我们所追求的“院人合一”的文化境界。就这点而言，价值链管理与医院文化的目标是一致的。

2018年全国大学生网络安全知识竞赛全套试题含答案

2018年全国大学生网络安全知识竞赛全 套试题含答案 2018年全国大学生网络安全知识竞赛试题（单选题） 1 [单选题] Oracle数据库中要使Proflie中的、资源限制策略生效，必须配置哪个参数？ enqueue_resources为FALSE enqueue_resources为TRUE RESOURCE_LIMIT为TRUE RESOURCE_LIMIT为FALSE 2 [单选题] WAP2.0在安全方面的最大优点是（）使用WPKI机制，因此更加安全 提供端到端安全机制 支持智能卡的WIM规范 支持公钥交换、加密和消息认证码 3 [单选题] SIP电话网络现有安全解决方案中,哪个解决方案在RFC3261中已经不再被建议 HTTP Authentication TLS IPSEC

PGP 4 [单选题] Solaris系统使用什么命令查看已有补丁的列表 uname -an showrev -p oslevel -r swlist -l product PH??_* 5 [单选题] SSL提供哪些协议上的数据安全 HTTP，FTP和TCP/IP SKIP，SNMP和IP UDP，VPN和SONET PPTP，DMI和RC4 6 [单选题] 由于ICMP消息没有目的端口和源端口，而只有消息类型代码。通常可以基于（）来过滤ICMP 数据包。 端口 IP地址 消息类型 状态

7 [单选题] 在unix系统下，BIND的主要配置文件文件名称为 named.ini named.conf bind.ini bind.conf 8 [单选题] 禁止Tomcat以列表方式显示文件需要修改web.xml配置文件，（） false 以上配置样例中的空白处应填写（） list listings type show 9 [单选题] 防火墙截取内网主机与外网通信，由防火墙本身完成与外网主机通信，然后把结果传回给内网主机，这种技术称为（） 内容过滤 地址转换 透明代理

信息安全基础知识题集

第一部分信息安全基础知识（673题） 一、判断题 1.防火墙的功能是防止网外未经授权以网的访问。（）对 2.入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。（）错 3.PKI（Public Key Infrastructure）体系定义了完整的身份认证、数字签名、权限管 理标准。（）错 4.更新操作系统厂商发布的核心安全补丁之前应当在正式系统中进行测试，并制订详 细的回退方案。（）错 5.发起大规模的DDOS攻击通常要控制大量的中间网络或系统。（）对 6.应采取措施对信息外网办公计算机的互联网访问情况进行记录，记录要可追溯，并 保存六个月以上。（）对 7.入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对 网络进行监测，从而提供对部攻击、外部攻击的实时防护。（）对 8.IPS在IDS的基础上增加了防御功能，且部署方式也相同。（）错 9.根据公安部信息系统实现等级保护的要求，信息系统的安全保护等级分为五级。（） 对 10.防火墙不能防止部网络用户的攻击，传送已感染病毒的软件和文件、数据驱动型的 攻击。（）对 11.安全的口令，长度不得小于8位字符串，要字母和数字或特殊字符的混合，用户名

和口令禁止相同。（）对 12.涉及二级与三级系统间共用的网络设备、安全设备，采用“就低不就高”的原则， 按二级要求进行防护。（）错 13.隔离装置部属在应用服务器与数据库服务器之间，除具备网络强隔离、地址绑定、 访问控制等功能外，还能够对SQL语句进行必要的解析与过滤，抵御SQL注入攻击。（）对 14.安全域是具有相同或相近的安全需求、相互信任的区域或网络实体的集合，一个安 全域可以被划分为安全子域。（）对 15.公钥密码算法有效解决了对称密码算法的密钥分发问题，因此比对称密码算法更优 秀。（）错 16.安全加密技术分为两大类：对称加密技术和非对称加密技术。两者的主要区别是对 称加密算法在加密、解密过程中使用同一个密钥：而非对称加密算法在加密、解密过程中使用两个不同的密钥。（）对 17.ORACLE默认情况下，口令的传输方式是加密。（）错 18.在ORACLE数据库安装补丁时，不需要关闭所有与数据库有关的服务。（）错 19.在信息安全中，主体、客体及控制策略为访问控制三要素。（）对 20.防火墙可以解决来自部网络的攻击。（）错 21.防火墙作为实现网络边界隔离的设备，其部署应以安全域划分及系统边界整合为前 提，综合考虑边界风险的程度来设定。（）对 22.在等级保护监管中，第二级信息系统的运营、使用单位应当依据国家有关管理规和 技术标准进行保护，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督和检查。（）错

信息安全-深入分析比较八个信息安全模型

深入分析比较八个信息安全模型 信息安全体系结构的设计并没有严格统一的标准，不同领域不同时期，人们对信息安全的认识都不尽相同，对解决信息安全问题的侧重也有所差别。早期人们对信息安全体系的关注焦点，即以防护技术为主的静态的信息安全体系。随着人们对信息安全认识的深入，其动态性和过程性的发展要求愈显重要。 国际标准化组织（ISO）于1989年对OSI开放系统互联环境的安全性进行了深入研究，在此基础上提出了OSI安全体系结构：ISO 7498-2：1989，该标准被我国等同采用，即《信息处理系统－开放系统互连－基本参考模型－第二部分：安全体系结构GB/T 9387.2-1995》。ISO 7498-2 安全体系结构由5类安全服务（认证、访问控制、数据保密性、数据完整性和抗抵赖性）及用来支持安全服务的8种安全机制（加密机制、数字签名、访问控制机制、数据完整性机制、认证交换、业务流填充、路由控制和公证）构成。ISO 7498-2 安全体系结构针对的是基于OSI 参考模型的网络通信系统，它所定义的安全服务也只是解决网络通信安全性的技术措施，其他信息安全相关领域，包括系统安全、物理安全、人员安全等方面都没有涉及。此外，ISO 7498-2 体系关注的是静态的防护技术，它并没有考虑到信息安全动态性和生命周期性的发展特点，缺乏检测、响应和恢复这些重要的环节，因而无法满足更复杂更全面的信息保障的要求。 P2DR 模型源自美国国际互联网安全系统公司（ISS）提出的自适应网络安全模型ANSM（Adaptive NetworkSe cur ity Mode l）。P2DR 代表的分别是Polic y （策略）、Protection（防护）、Detection（检测）和Response（响应）的首字母。按照P2DR的观点，一个良好的完整的动态安全体系，不仅需要恰当的防护（比如操作系统访问控制、防火墙、加密等），而且需要动态的检测机制（比如入侵检测、漏洞扫描等），在发现问题时还需要及时做出响应，这样的一个体系需要在统一的安全策略指导下进行实施，由此形成一个完备的、闭环的动态自适应安全体系。P2DR模型是建立在基于时间的安全理论基础之上的。该理论的基本思想是：信息安全相关的所有活动，无论是攻击行为、防护行为、检测行为还是响应行为，都要消耗时间，因而可以用时间尺度来衡量一个体系的能力和安全性。 PDRR 模型，或者叫PPDRR（或者P2DR2），与P2DR非常相似，唯一的区别就在于把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR

计算机网络安全知识竞赛试题有答案(word版)

绝密★启用前 计算机网络安全知识竞赛试题有 答案 This article contains a large number of test questions, through the exercise of test questions, to enhance the goal of academic performance. 海量题库模拟真考 Huge of Questions, Simulation Test

计算机网络安全知识竞赛试题有答案 温馨提示：该题库汇集大量内部真题、解析，并根据题型进行分类，具有很强的实用价值；既可以作为考试练习、突击备考使用，也可以在适当整理后当真题试卷使用。 本文档可根据实际情况进行修改、编辑和打印使用。 1. 我国出现第一例计算机病毒的时间(C) A.1968 年 B.1978 年 C.1988 年 D.1998 年 2.国际电信联盟将每年的5月17日确立为世界电信日, 今年已经第38届。今年世界电信日的主题为。A A、让全球网络更安全 B、信息通信技术：实现可持续发展的途径 C、行动起来创建公平的信息社会 3.信息产业部将以世界电信日主题纪念活动为契机, 广泛进行宣传和引导, 进一步增强电信行业和全社会的意识。B A、国家安全 B、网络与信息安全 C、公共安全 4.为了进一步净化网络环境, 倡导网络文明, 信息产业部于2006年2月21日启动了持续到年底的系列活动。A A、阳光绿色网络工程 B、绿色网络行动 C、网络犯罪专项整治 5. 关于网络游戏的经营规则,下列说法错误的(D) A.网络游戏运营企业应当要求网络游戏用户使用有效身份证件进行实名注册

几种信息安全评估模型

1基于安全相似域的风险评估模型 本文从评估实体安全属性的相似性出发,提出安全相似域的概念,并在此基础上建立起一种网络风险评估模型SSD-REM 风险评估模型主要分为评估操作模型和风险分析模型。评估操作模型着重为评估过程建立模型,以指导评估的操作规程,安全评估机构通常都有自己的操作模型以增强评估的可实施性和一致性。风险分析模型可概括为两大类:面向入侵的模型和面向对象的模型。 面向入侵的风险分析模型受技术和规模方面的影响较大,不易规范,但操作性强。面向对象的分析模型规范性强,有利于持续评估的执行,但文档管理工作较多,不便于中小企业的执行。针对上述问题,本文从主机安全特征的相似性及网络主体安全的相关性视角出发,提出基于安全相似域的网络风险评估模型SSD-REM(security-similar-domain based riskevaluation model)。该模型将粗粒度与细粒度评估相结合,既注重宏观上的把握,又不失对网络实体安全状况的个别考察,有助于安全管理员发现保护的重点,提高安全保护策略的针对性和有效性。 SSD-REM模型 SSD-REM模型将静态评估与动态评估相结合,考虑到影响系统安全的三个主要因素,较全面地考察了系统的安全。 定义1评估对象。从风险评估的视角出发, 评估对象是信息系统中信息载体的集合。根据抽象层次的不同,评估对象可分为评估实体、安全相似域和评估网络。 定义2独立风险值。独立风险值是在不考虑评估对象之间相互影响的情形下,对某对象进行评定所得出的风险,记为RS。 定义3综合风险值。综合风险值是在考虑同其发生关联的对象对其安全影响的情况下,对某对象进行评定所得出的风险,记为RI。 独立域风险是在不考虑各评估实体安全关联的情况下,所得相似域的风险。独立网络风险是在不考虑外界威胁及各相似域之间安全关联的情况下,所得的网络风险 评估实体是评估网络的基本组成元素,通常立的主机、服务器等。我们以下面的向量来描述{ID,Ai,RS,RI,P,μ} 式中ID是评估实体标识;Ai为安全相似识;RS为该实体的独立风险值;RI为该实体合风险值;P为该实体的信息保护等级,即信产的重要性度量;属性μ为该实体对其所属的域的隶属

2020年全国青少年网络信息安全知识竞赛题库及答案(共150题)

2020年全国青少年网络信息安全知识竞赛题库及答 案（共150题） 1. 下面为QQ 中毒的症状是（D ） A. QQ 老掉线 B. QQ 空间存在垃圾广告日志 C. 自动给好友发送垃圾消息 D. 以上都是 2. 在防火墙技术中，内网这一概念通常指的是（A ） A. 受信网络 B. 非受信网络 C. 防火墙内的网络 D. 互联网 3. 下面缓冲区溢出的危害是（D ） A. 可能导致shellcode 的执行而非法获取权限，破坏系统的保密性 B. 执行shellcode 后可能进行非法控制，破坏系统的完整性 C. 可能导致拒绝服务攻击，破坏系统的可用性 D. 以上都是 4. 信息安全风险是指人为或自然的利用信息系统及其管理体系中存在的 导致安全事件的发生及其对组织造成的影响（C ） A. 脆弱性、威胁 B. 威胁、弱点 C. 威胁、脆弱性 D. 弱点、威胁 5. 下列说法错误的是（D ） A. 操作系统用户的身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期更新 B. 操作系统登录失败处理功能有：结束会话、限制非法登录次数，当登录连接超时自动退出 C. 操作系统应避免共享用户的情况，每个用户应使用唯一的用户名

登录系统 D. 操作系统可使用容易记忆的用户名，例如使用者姓名全拼、简拼、工号等 6. 造成广泛影响的1988 年Morris 蠕虫事件，就是作为其入侵的最初突破点的。（C ） A. 利用操作系统脆弱性 B. 利用系统后门 C. 利用邮件系统的脆弱性 D. 利用缓冲区溢出的脆弱性 7. 伊朗核设施遭遇过攻击致使影响伊朗核进程（B ） A. 毒区 B. 震网 C. 火焰 D. 蠕虫 8. 黑客攻击苹果的致使全球诸多当红女星的不雅照曝光，云安全问题值得关注。（C ） A. Store B. Watch C. iCloud D. Iphone 9. 乱扫二维码，支付宝的钱被盗，主要是中了（C ） A. 僵尸网络 B. 病毒 C. 木马 D. 蠕虫 10. 专家建议手机等移动终端登录网银、支付宝等APP 应关闭功能，使用3G、4G 数据流进行操作才比较安全。（C ） A. 无线网络 B. 收费Wifi C. 免费Wifi D. 蓝牙 11. 以下对信息安全问题产生的根源描述最准确的一项是（D ） A. 信息安全问题是由于信息技术的不断发展造成的 B. 信息安全问题是由于黑客组织和犯罪集团追求名和利造成的 C. 信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 D. 信息安全问题产生的内因是信息系统的复杂性，外因是对手的威

网络安全知识竞赛试题及答案

网络安全知识竞赛试题及答案 一、单选题 1、网页恶意代码通常利用( C )来实现植入并进行攻击。 A、口令攻击 B、 U盘工具 C、 IE浏览器的漏洞 D、拒绝服务攻击 2、要安全浏览网页，不应该( A )。 A、在他人计算机上使用“自动登录”和“记住密码”功能 B、禁止使用Active(错)控件和Java 脚本 C、定期清理浏览器Cookies D、定期清理浏览器缓存和上网历史记录 3、用户暂时离开时，锁定Windows系统以免其他人非法使用。锁定系统的快捷方式为同时按住( C ) 。 A、 WIN键和Z键 B、 F1键和L键 C、 WIN键和L键 D、 F1键和Z键 4、网站的安全协议是https时，该网站浏览时会进行( D )处理。 A、口令验证 B、增加访问标记 C、身份验证 D、加密 5、为了规范互联网电子邮件服务，依法治理垃圾电子邮件问题，保障互联网电子邮件用户的合法权益，信息产业部于2006年2月20日颁布了，自2006年3月30日开始施行。 ( B ) A、《互联网信息服务管理办法》 B、《互联网电子邮件服务管理办法》 C、《互联网电子公告服务管理规定》 6、为了防范垃圾电子邮件，互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统，电子邮件服务器 ( C )匿名转发功能。

A、使用 B、开启 C、关闭 7、互联网电子邮件服务提供者对用户的( A )和互联网电子邮件地址负有保密的义务。 A、个人注册信息 B、收入信息 C、所在单位的信息 8、任何组织或个人不得利用互联网电子邮件从事传播淫秽色情信息、窃取他人信息或者等违法犯罪活动，否则构成犯罪的，依法追究刑事责任，尚不构成犯罪的，由公安机关等依照有关法律、行zd规的规定予以处罚;电信业务提供者从事上述活动的，并由电信管理机构依据( A )有关行zd 规处罚。 A、故意传播计算机病毒 B、发送商业广告 C、传播公益信息 9、为了鼓励用户对违规电子邮件发送行为进行举报，发动全社会的监督作用，信息产业部委托中国互联网协会设立了互联网电子邮件举报受理中心，其举报电话是010-12321，举报电子邮箱地址为( A )。 A、abuse@anti-spam、cn B、register@china-cic、org C、member@china-cic、org 10、为了依法加强对通信短信息服务和使用行为的监管，信息产业部和有关部门正在联合制定( B )。 A、《通信服务管理办法》 B、《通信短信息服务管理规定》 C、《短信息管理条例》 11、如果您发现自己被手机短信或互联网站上的信息诈骗后，应当及时向( C )报案，以查处诈骗者，挽回经济损失。 A、消费者协会 B、电信监管机构 C、公安机关 12、为了有效抵御网络黑客攻击，可以采用作为安全防御措施。 ( C ) A、绿色上网软件 B、杀病毒软件 C、防火墙 13、按照《互联网电子公告服务管理规定》，任何人不得在互联网上的电子布告牌(BBS)、电子白板、电子论坛、( B )、留言板等电子公告服务系统中发布淫秽、色情、赌博、暴力、恐怖等违法有害信息。 A、网站 B、网络聊天室 C、电子邮箱

知识管理的价值链分析

知识管理的价值链分析 本文应用价值链对知识管理运作流程进行深入的分析，从而明确知识管理的环节及其一体化流程，为各企业通过知识管理培养和获取竞争力。 1 引言 当今时代信息与技术的不断成长，新的经济体系正以史无前例的惊人速度产生信息，并在业务伙伴、员工及顾客间传递，并产生了“信息烟雾”。所以随着信息量的暴涨，企业更迫切需要辨别信息的能力，才能择精去芜精炼信息，并据此采取可预测其结果的行动。企业(Knowledge Management , KM)或许是治疗“信息烟雾”的希望。 本文应用价值链对KM 进行深入的分析，从而使企业进一步明确KM 的一体化运作流程，通过实施KM 获取核心竞争优势。 2 知识管理概述 2.1 知识管理的起因新的经济架构迫使我们重新审视一切商务活动。同时，新的架构也改变了企业经营环境，并带来新的竞争规则。以下三项至关重要的竞争规则：1) 易于与业务伙伴合作；2)管理专业人才流动率；3)分散决策权。整体而言，这三个原因正是近年来KM 趋势的主流。这些竞争规则都要求企业在适当的时机将适当的信息内容交给适当的人。 2．2 知识管理的含义企业知识管理是把知识作为最重要的资源，把知识和知识 活动作为企业的财富和核心，对信息的获取和传播、知识的学习和运用、知识的创新和传播、知识交流及企业内部知识的分享和共享的结构、知识水平的提高进行管理，发挥企业员工和集体的智慧，在知识创新中谋求企业核心竞争力和企业的可持续发展。从上述定义可以看出，KM 的实质就是对知识价值链进行管理，使组织的知识在运动中不断增值。 然而到目前为止，KM 仍停留在观念的阶段，只能协助企业诊断病症，而未告诉我们如何采取治疗的行动。

信息安全知识竞赛试题学习资料

信息安全知识竞赛试 题

信息安全知识竞赛试题 一、单选题 1．使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型? （ A ） A．拒绝服务 B．文件共享 C．BIND漏洞 D．远程过程调用 2．为了防御网络监听，最常用的方法是（ B ）。 A．采用物理传输（非网络） B．信息加密 C．无线网 D．使用专线传输 3．向有限的空间输入超长的字符串是哪一种攻击手段？（ A ） A．缓冲区溢出 B．网络监听 C．拒绝服务 D．IP欺骗 4．主要用于加密机制的协议是（ D）。 A．HTTP B．FTP C．TELNET D．SSL 5．用户收到了一封可疑的电子邮件，要求用户提供银行账户及密码，这是属于何种攻击手段？（ B ） A．缓存溢出攻击 B．钓鱼攻击 C．暗门攻击 D．DDOS攻击6．Windows NT和Windows 2000系统能设置为在几次无效登录后锁定帐号，这可以防止（ B ） A．木马 B．暴力攻击 C．IP欺骗 D．缓存溢出攻击 7．在以下认证方式中，最常用的认证方式是（ A ）。 A．基于账户名/口令认证 B．基于摘要算法认证 C．基于PKI认证 D．基于数据库认证 8．以下哪项不属于防止口令猜测的措施？（ B ）

A．严格限定从一个给定的终端进行非法认证的次数 B．确保口令不在终端上再现 C．防止用户使用太短的口令 D．使用机器产生的口令 9．下列不属于系统安全的技术是（ B ）。 A．防火墙 B．加密狗 C．认证 D．防病毒 10．抵御电子邮箱入侵措施中，不正确的是（ D ）。 A．不用生日做密码 B．不要使用少于5位的密码 C．不要使用纯数字 D．自己做服务器 11．不属于常见的危险密码是（ D ）。 A．跟用户名相同的密码 B．使用生日作为密码 C．只有4位数的密码 D．10位的综合型密码 12．不属于计算机病毒防治的策略的是（ D ）。 A．确认您手头常备一张真正“干净”的引导盘 B．及时、可靠升级反病毒产品 C．新购置的计算机软件也要进行病毒检测 D．整理磁盘 13．针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是（ D ）防火墙的特点。 A．包过滤型 B．应用级网关型 C．复合型 D．代理服务型 14．在每天下午5点使用计算机结束时断开终端的连接属于（ A ）。 A．外部终端的物理安全 B．通信线的物理安全 C．窃听数据 D．网络地址欺骗

信息安全三级知识点

信息安全三级知识点 第一章：信息安全保障基础1：信息安全大致发展经历3 个主要阶段：通信保密阶段，计算机安全阶段和信息安全保障阶段2：现代信息安全主要包含两层含义（1）运行系统的安全（2）完整性，机密性，可用性，可控制性，不可否认性。 3：信息安全产生的根源（1）内因：信息系统的复杂性，包括组成网络通信和信息系统的自身缺陷，互联网的开放性（2）外因：人为因素和自然环境的原因4：信息安全保障体系框架（1）生命周期：规划组织，开发采购，实施交付，运行维护，废弃（2）安全特征：保密性，完整性，可用性（3）保障要素：技术，管理，工程，人员5： P2DR 安全模型 Pt Dt+Rt Pt表示系统为了保护安全气目标设置各种保护后的防护时间，或者理解为在这样的保护方式下，黑客攻击安全目标所花费的时间； Dt代表从入侵者开始发动入侵开始，到系统能够检测到入侵行为所花费的时间 Rt代表从发现入侵行为开始，到系统能够做出足够的响应，讲系统调整到正常状态的时间 Et=Dt+Rt （ Pt =0） Dt 和 Rt的和安全目标系统的暴露时间Et， Et越小系统越安全6：信息安全技术框架（ IATF）：核心思想是纵深防御战略，即采用多层次的，纵深的安全措施来保障用户信息及信息系统的安全。核心因素是人员，技术，操作。 7： IATF4 个技术框架焦点域：本地计算环境，区域边界，网络及基础设施，支撑性基础设施。 8：信息系统安全保障工作的内容包括：确保安全需求，设计和实施安全方案，进行信息安全评测和实施信息安全监控与维护。 第二章：信息安全基础技术与原理1：数据加密标准 DES;高级加密标准AES；数字签名标准 DSS；2：对称密钥的优点：加密解密处理速度快，保密度高，缺点：密钥管理和分发复杂，代价高，数字签名困难3:对称密钥体制：分组密码和序列密码常见的分组密码算法： DES,IDEA,AES 公开的序列算法主要有 RC4， SEAL4：攻击密码体制方法（1）

信息安全知识竞赛测试试题

信息安全知识竞赛试题

————————————————————————————————作者：————————————————————————————————日期： 2

一、单选题（60） 1. 银行发生计算机安全事件后，按照逐级上报程序，由事件发生单位在事件发生____小时内向本系统上级单位报告。（ C ） A．1小时 B.6小时 C.12小时 D.24小时 2、建立健全各级信息安全管理机构，分支机构应设立_____岗位。（A） A. 信息安全管理 B.综合管理 C.保密管理 D.数据管理 3、加大人才培养力度，实行信息安全管理岗位任职资格考试制度，根据人民银行组织制定的银行信息安全管理岗位任职资格培训标准和要求，______年内逐步实现持证上岗。（C） A. 1 B.2 C.3 D.4 4、建立_____，对检查中发现的违规行为，按规定处罚相关责任人，对检查中发现的安全问题和隐患，明确责任部门和责任人，限期整改。（B） A.首问责任制度 B.责任通报制度 C.责任条线制度 D.风险等级制度 5、在开展合规性检查的同时，应综合运用检测工具，明确安全控制目标，加强深度的专项安全检查工作，保证检查工作的_____。( D ) A.重要性、针对性和深入性 B.全面性、深入性和时效性 C.审慎性、广泛性和针对性 D.针对性、深入性和时效性 6、要实施流程化管理，借鉴信息技术基础框架库(ITIL)等国际管理规范，建立标准统一的服务管理流程，严格过程控制和操作规程，完

善_____。( A ) A.内控机制 B.管理机制 C.保密机制 D.服务机制 7、要建立有效的部门间协作机制，严格变更管理，杜绝生产变更的_____。（ C ） A.无序性 B.有序性 C.随意性 D.任意性 8、变更前要进行必要的_____评估，并做好应急准备。( C ) A.数据 B.审计 C.风险 D.价值 9、有停机风险的变更原则上放在业务_____进行。（ B ） A. 高峰期 B.低峰期 C.顶峰期 D.平静期 10、落实岗位责任制，杜绝混岗、_____和一人多岗现象。（ D ） A.无岗 B.空岗 C.监岗 D.代岗 11、要采取主动预防措施，加强日常巡检，_____进行重要设备的深度可用性检查。（ B ） A.不定期 B.定期 C.每日 D.每月 12、关键运行设备应从高可用性要求上升到高_____要求，合理确定淘汰预期.( D ) A.前瞻性 B.重要性 C.时效性 D.可靠性 13、要实施自动化管理，加强系统及网络的_____审计，实现数据中心各项操作的有效稽核。（ B ） A.风险 B.安全 C.保密 D.合规 14、提升操作_____，减少人为误操作，实现管理制度的强制执行。（ A ）

知识管理价值链的设计与应用

知识管理价值链的设计与应用 创业型企业创造价值的过程可以分解为一系列不同但又相互关联的增值活动，这些活动构成了创业型企业的“价值体系”，每项经营管理活动就是这一体系中的一个链条。价值链揭示了价值活动的内容和利润的产生，价值活动分为基本活动和支持性活动：基本活动是涉及产品的物质创造及其销售、转移买方和售后服务的各种活动；支持性活动则提供采购投入、技术、人力资源以及各种公司范围的职能支持活动。利润则由总价值与从事各种价值活动的总成本之差产生。一种产品从其最初的原材料投入到被最终消费者所持有。要经历无数相互联系的作业环节，然而更重要的是在这些价值链环节中，各环节所涉及的知识及其管理就成为创业型企业管理价值链的重要内容，否则某一环节的脱节都会给创业型企业的价值创造带来负面影响。但是从整个价值链环节来看，不同规模创业型企业的价值创造能力不同，因此应该根据自身实力，参与价值链中的一个或少数几个环节。与此相对应，多数创业型企业对应价值链不同环节所具备的知识管理能力也不一样。从竞争角度看，创业型企业更加关心自己核心能力的建设和发展，因此创业型企业对价值链不同环节进行知识管理的能力或所投入的资源就有所侧重，如有的重视研发，有的重视生产，还有的重视物流等。这就决定了创业型企业应针对价值链不同环节，塑造不同的知识管理能力，而非平均投入资源。 显然，对价值创造关键环节进行知识管理，是不断强化创业型企业竞争优势的重要举措。 从行业层面来看，每个行业都有自己相应的价值链，行业内不同规模的创业型企业均处于行业内某一价值链环节中；从创业型企业层面来看，行业内的每个

创业型企业内部也具有相应的价值创造环节，而运营作业链就是对创业型企业内每项价值创造环节的细化和深入。随着价值链分析的逐层深入，价值创造活动的关键节点也逐渐清晰，对关键价值创造环节的知识管理需求也会相应产生。如果没有相应的知识管理与关键活动相对应，创业型企业将无法塑造自己独特的价值优势。从另一个角度来看，如果创业型企业不能清晰地梳理自己的价值环节与具体的运作流程，凭空产生的知识管理体系必将因缺乏具体的指导对象而无法发挥知识管理应有的效能。 知识有三个阶段:在知识管理活动之前、之中、之后。不同的企业有不同的知识获取鼓励方式，包括强行规定提交知识或把绩效考评加入知识计划中。 企业的任何活动，都可以认为是通过输入各种资源(要素)，经过特定的经营活动过程以后，最终输出企业的价值。因此企业的知识价值链可以分为输入元、活动元和输出元三个部分。 （1)企业知识价值链输入元模型 企业的生产经营活动，除了传统理论中提出的物质要素、人力资源要素以外，还有一种重要的输入要素，即知识。知识是企业生产经营活动最关键的输入要素。企业知识价值链的输入元模型。

信息安全知识竞赛试题资料

单选题 1.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型? （A） A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 2.为了防御网络监听，最常用的方法是(B) A、采用物理传输（非网络） B、信息加密 C、无线网 D、使用专线传输 3.向有限的空间输入超长的字符串是哪一种攻击手段？（A） A、缓冲区溢出; B、网络监听; C、拒绝服务 D、IP欺骗 4.主要用于加密机制的协议是(D) A、HTTP B、FTP C、TELNET D、SSL 5.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段？(B) A、缓存溢出攻击; B、钓鱼攻击; C、暗门攻击; D、DDOS攻击 6.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止(B) A、木马; B、暴力攻击; C、IP欺骗; D、缓存溢出攻击 7.在以下认证方式中，最常用的认证方式是：(A) A基于账户名／口令认证;B基于摘要算法认证; C基于PKI认证; D基于数据库认证 8.以下哪项不属于防止口令猜测的措施？(B) A、严格限定从一个给定的终端进行非法认证的次数; B、确保口令不在终端上再现; C、防止用户使用太短的口令; D、使用机器产生的口令 9.下列不属于系统安全的技术是(B) A、防火墙; B、加密狗; C、认证; D、防病毒 10.抵御电子邮箱入侵措施中，不正确的是（D ） A、不用生日做密码 B、不要使用少于5位的密码 C、不要使用纯数字 D、自己做服务器 11.不属于常见的危险密码是（D ） A、跟用户名相同的密码 B、使用生日作为密码 C、只有4位数的密码 D、10位的综合型密码 12.不属于计算机病毒防治的策略的是（D ） A、确认您手头常备一张真正“干净”的引导盘 B、及时、可靠升级反病毒产品 C、新购置的计算机软件也要进行病毒检测 D、整理磁盘 13.针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是（）防火墙的特点。(D)

信息安全基础知识培训考试答案

信息安全基础知识培训试题 姓名：部门：成绩： 一、填空题：每空4分共40分 1、电脑要定期更换（密码）、定期（杀毒），对不明邮件不要轻易（打 开）。 2、信息安全的基本特征是（相对性）、（时效性）、（复杂性）、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素，同时也应该清醒的认识到人是信息 安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的，每个网络环境都有一定程度的漏洞和（风险）。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、（网络设备）、系统主机、工作站、PC机、操作 系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。 二、多选题：每题５分共25分 1、信息安全三要素包括（ A B C ） A 机密性 B 完整性 C 可用性 D 安全性 2、信息安全的重要性体现在以下方面（ＡＢC） A 信息安全是国家安全的需要 B 信息安全是组织持续发展的需要

C 信息安全是保护个人隐私与财产的需要 D 信息安全是维护企业形象的需要 “上传下载”的应用存在的风险包括（ＡＢＣ）在工作当中，、3． A 病毒木马传播 B 身份伪造 C 机密泄露 D 网络欺诈 4、客户端安全的必要措施包括（ ABCDE ） A 安全密码 B 安全补丁更新 C 个人防火墙 D 应用程序使 用安全Ｅ防病毒 5、信息安全管理现状已有的措施包括（ ABCD ） A 兼职的安全管理员 B 物理安全保护 C 机房安全管理制度 D资产管理制度 三、判断题：每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。（ X ） 2、为了信息安全，在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。（√） 3、员工缺乏基本的安全意识，缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。（√） 4、超过70%的信息安全事件，如果事先加强管理，都可以得到避免。（√） 5、由于许多信息系统并非在设计时充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要的管理手段来支持。（√） 6、企业需要建造一个全面、均衡的测量体系，用于评估信息安全管理的效用以及改进反馈建议。（√） 7、通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功