《计算机网络安全教程 教学课件 ppt 作者 978-7-302-26962-5第16章_习题答案》由会员分享,可在线阅读,更多相关《计算机网络安全教程 教学课件 ppt 作者 978-7-302-26962-5第16章_习题答案(4页珍藏版)》请在金锄头文库上搜索。
1、课后练习一、填空1 从网络安全管理过程中所使用的方法来看,分为两种:( )、( )。2 静态的网络安全管理,相对后期的动态管理模式而言,缺少以下几种安全防范的环节:( )、( )、( )。3 PDCA安全管理模型中,四个主要的环节是:( )、( )、( )、( )。4 ISO27000 系列共包括( )个标准,当前已经发布和在研究的有( )个。5 本章介绍的中国相关网络安全法规分别是:( )、( )。二、选择1 ISO 7498-2定义的安全服务包括( )。A. 数据保密性B. 访问控制C. 加密机制D. 认证2 PDCA安全管理模型的四个步骤,包括下面的( )。A. 响应B. 计划 C.恢复
2、D. 检查3 下述选项中,( )是属于动态安全管理模式的环节。A. 响应B. 计划 C.恢复D. 检查4 下述的( )属于网络安全管理原则的范畴:A. 加密B. 访问控制C. 抗抵赖D. 认证5 ISO 27000标准总共有( )个标准,已经发布和在研究的有( )个。A. 6B. 8C. 10D. 7三、简答1 网络安全管理的重要意义是什么?2 简述一下安全管理的内容和分类,并比较其不同。3 安全管理标准可以分为哪几类?简要描述一下ISO 27000系列标准的主要内容。4说一说安全法规制定需要注意哪些问题。5 结合第2章相关安全模型的内容,说明一下PPDR,PDRR和PDCA的特点和不同。课后
3、练习答案一、填空1早期的静态的信息网络安全管理,和后期的动态的信息安全管理2检测、响应和恢复3Plan Do Check Action410 65中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法二、选择1A B D2A B D3A C D4A B5C A三、简答1. 网络信息安全管理作为企业或组织完整的信息管理体系中的一个重要环节,是以网络信息系统为对象的安全管理。对组织的管理者来说,必须认识到信息管理是一个系统工程,它需要对信息系统的各个环节进行统一的综合考虑、规划和架构,并要兼顾组织内外不断发生的变化,任何环节上的安全疏忽都会对系统构成威胁。对网络信息系统的不
4、断增强的依赖性使得信息技术在提供工作效率的同时,也增大了重要的信息受到非法侵扰和破坏的可能性,严重的还会面临资产损失、服务中断的情况。当今的网络信息系统既面临着计算机欺诈、商业情报窃取、阴谋破坏、天灾人祸等安全威胁、又面临着像计算机病毒、黑客非法入侵攻击等破坏,而且随着信息技术的迅速发展和应用的深入,各种安全问题变得越来越错综复杂。自1987年以来,全世界已经发现超过50000种计算机病毒,1999年4月26日,中国台湾散布出来的CIH病毒大爆发,据不完全统计大陆受其影响的PC机总数达36万台之多;2000年5月爆发的“爱虫”病毒给全球用户造成了数以100亿美元计的损失。据2002年统计,黑客
5、事件平均每天发生614次。Internet上已经有几万个黑客网站,并且技术不断更新,各种攻击手段达到上千种之多。即便是戒备森严的美国国防部信息系统也遭受过几十万次的黑客攻击,且成功率高达惊人的63%。历史上还有一些悬而未决的网络犯罪悬案,至今尚无法侦破,具体的情况见第2章的十大网络犯罪案件。然而,对计算机网络系统造成最大损失的风险主要还是来自于内部,国际上统计结果表明,企业信息受到的损失中,70%是由于内部员工的疏忽或有意泄露机密造成的。今天的计算机使用者大多很少接受过专业的学习,每天都在以不安全的方式处理着企业和组织的大量重要信息,而且企业的贸易伙伴、咨询顾问、合作单位等外部人员都以不同的方
6、式使用着企业的信息系统,这些都对企业的网络信息系统构成了潜在的威胁。比如,对企业心存不满的员工,可以黑掉企业网站,偷窃并散布客户敏感信息,为竞争对手提供商业机密,技术核心与商业数据,甚至破坏关键的计算机系统作为对企业的报复行为,使企业蒙受了巨大的损失。在日益成为国家经济运作的重要支柱的数字化、网络化信息社会中,如果没有信息安全,国家的经济体制和社会安全,金融与货币安全,产业与市场安全,战略物资与能源安全,对外贸易与投资安全就不能得到有效保障。2. 信息网络安全管理模型的设计,并没有一个严格统一的标准,不同领域不同时期,人们对信息安全的认识都不尽相同,对解决信息网络安全问题的侧重点也有所不同。从
7、安全管理的发展历程和实施安全管理过程中所使用的方法上,可以分为早期的静态的信息网络安全管理,和后期的动态的信息安全管理。详见16.1.2节。3. 目前国际上制订了大量的有关信息安全的国际标准,主要可分为互操作标准、技术与工程标准、信息安全管理与控制标准。信息安全管理体系(Information security management systems,简称ISMS)(即ISO/IEC27000系列)是目前国际信息安全管理标准研究的重点。ISO27000 系列共包括10个标准,当前已经发布和在研究的有6个,分别为:(1)ISO27000原理与术语Principlesandvocabulary;(2
8、)ISO27001信息安全管理体系要求ISMSRequirements(以BS7799-2为基础);(3)ISO27002信息技术安全技术信息安全管理实践规范(ISO/IEC17799:2005);(4)ISO27003信息安全管理体系风险管理ISMSRiskmanagement;(5)ISO27004信息安全管理体系指标与测量ISMSMetricsandmeasurement;(6)ISO27005信息安全管理体系实施指南ISMSImplementationguidelines。4. 网络犯罪对法学研究产生了深远影响,它不仅仅对法学理论和现行法律体系、法律规定带来了冲击,也为法学理论的全球化
9、和法律规定的趋同及司法协助带来了新的契机。网络立法,是建立和完善法律体系的需要,是调整网络犯罪所引起的社会冲突问题的需要,是保障网络健康发展的需要,是使人们懂得维护自己权益、同网络犯罪作斗争的需要,也是教育人守法、预防犯罪的需要。互联网上的犯罪现象有一个突出的特点就是它的国际化,网络犯罪是一种国际化的犯罪,它危害到了整个世界的网络安全。因此世界各国应该联合起来,进行广泛的合作和研讨,像打击国际恐怖组织一样打击网络犯罪。一方面,国际社会已经制订了相应的制裁网络犯罪的国际公约,世界各发达国家也已经制订了各国的反网络犯罪的法律。另一方面,许多发展中国家却因为网络的不普及,而忽视了相关方面的法律的制定。这一状况给网络罪犯生存的空间。只有全世界都行动起来,让各国法律相互接轨,形成一个严密的国际法律合作体系,才能有效地打击国际网络犯罪。因此,我国从一开始制定相关的网络安全立法,就注重与国际法律体系和惯例接轨,以避免在实际运用中所产生的国际摩擦和冲突。5. 详见16.1.2.2及第2章相关内容。
