計算機網絡安全與信息技術題庫姓名_________________________地址_______________________________學號______________________-------------------------------密-------------------------封----------------------------線--------------------------1.請首先在試卷的標封處填寫您的姓名，身份證號和地址名稱。2.請仔細閱讀各種題目，在規定的位置填寫您的答案。一、選擇題1.計算機網絡安全的五個基本要素包括：

（1）保密性

（2）完整性

（3）可用性

（4）可控性

（5）可審查性

2.以下哪個不是計算機病毒的特征？

（1）傳播性

（2）破壞性

（3）潛伏性

（4）可修復性

3.以下哪個不屬于常見的網絡攻擊方式？

（1）拒絕服務攻擊（DoS）

（2）分布式拒絕服務攻擊（DDoS）

（3）釣魚攻擊

（4）物理攻擊

4.以下哪個不是信息安全等級保護制度中的五個等級？

（1）一級

（2）二級

（3）三級

（4）四級

5.以下哪個不是計算機網絡安全防護技術？

（1）防火墻技術

（2）入侵檢測技術

（3）數據加密技術

（4）物理防護技術

6.以下哪個不是信息安全風險評估的方法？

（1）問卷調查法

（2）訪談法

（3）專家評審法

（4）風險評估模型法

7.以下哪個不是信息安全管理體系ISO/IEC27001的要求？

（1）建立信息安全管理體系

（2）實施信息安全管理體系

（3）持續改進信息安全管理體系

（4）信息安全管理體系認證

8.以下哪個不是計算機網絡安全事件應急響應流程的步驟？

（1）發覺事件

（2）確認事件

（3）評估事件

（4）制定應急響應計劃

答案及解題思路：

1.答案：保密性、完整性、可用性、可控性、可審查性

解題思路：計算機網絡安全的五個基本要素是保密性、完整性、可用性、可控性和可審查性，這些都是網絡安全的核心要求。

2.答案：可修復性

解題思路：計算機病毒的特征包括傳播性、破壞性和潛伏性，但它們通常不具有可修復性，而是需要通過殺毒軟件等工具來清除。

3.答案：物理攻擊

解題思路：常見的網絡攻擊方式包括拒絕服務攻擊（DoS）、分布式拒絕服務攻擊（DDoS）和釣魚攻擊，物理攻擊通常不是通過網絡進行的。

4.答案：四級

解題思路：信息安全等級保護制度中的五個等級依次為一級、二級、三級和四級，四級是最高等級。

5.答案：物理防護技術

解題思路：計算機網絡安全防護技術包括防火墻技術、入侵檢測技術和數據加密技術，物理防護技術通常指物理設施的防護措施。

6.答案：問卷調查法

解題思路：信息安全風險評估的方法包括訪談法、專家評審法和風險評估模型法，問卷調查法雖然可用，但不是最常用或專業的評估方法。

7.答案：信息安全管理體系認證

解題思路：ISO/IEC27001要求包括建立、實施和持續改進信息安全管理體系，但認證不是要求之一，而是可選的驗證過程。

8.答案：制定應急響應計劃

解題思路：計算機網絡安全事件應急響應流程的步驟包括發覺事件、確認事件和評估事件，制定應急響應計劃是后續的具體行動步驟。二、填空題1.計算機網絡安全包括（技術安全）和（管理安全）兩個方面。

2.信息安全等級保護制度將信息安全分為（五）個等級。

3.信息安全風險評估的目的是為了（識別和評估組織面臨的信息安全風險，為風險控制提供依據）。

4.信息安全管理體系ISO/IEC27001的核心內容包括（風險管理）和（持續改進）。

5.計算機網絡安全防護技術主要包括（訪問控制）和（入侵檢測與防御）。

答案及解題思路：

答案：

1.技術安全管理安全

2.五

3.識別和評估組織面臨的信息安全風險，為風險控制提供依據

4.風險管理持續改進

5.訪問控制入侵檢測與防御

解題思路：

1.計算機網絡安全涉及技術和管理兩個層面，技術安全側重于硬件、軟件和網絡的防護，而管理安全則關注于組織內部的安全政策和流程。

2.信息安全等級保護制度根據信息系統的安全保護等級，將信息安全分為五個等級，從低到高依次為：一級保護、二級保護、三級保護、四級保護和五級保護。

3.信息安全風險評估旨在全面識別和評估組織面臨的各種信息安全風險，為制定有效的風險控制措施提供科學依據。

4.ISO/IEC27001是信息安全管理體系的標準，其核心內容包括風險管理，即通過風險評估和管理活動來識別、分析和處理風險，以及持續改進，即不斷優化安全管理體系，提高信息安全水平。

5.訪問控制是通過限制對計算機系統資源的訪問來保護信息安全的技術，而入侵檢測與防御則是通過監控網絡流量和系統行為，及時發覺并阻止未授權的入侵行為。這兩項技術是網絡安全防護的重要組成部分。三、判斷題1.計算機病毒只能通過移動存儲設備傳播。（×）

解題思路：計算機病毒可以通過多種途徑傳播，包括移動存儲設備、網絡、郵件等。因此，該說法過于絕對，錯誤。

2.拒絕服務攻擊（DoS）是指攻擊者通過發送大量合法請求，使得目標系統無法正常提供服務。（√）

解題思路：拒絕服務攻擊（DoS）的目的是通過發送大量合法請求或偽造請求，使目標系統資源耗盡，導致系統無法正常提供服務。因此，該說法正確。

3.信息安全等級保護制度只適用于機構和企業。（×）

解題思路：信息安全等級保護制度適用于所有組織和個人，包括機構、企業、事業單位、社會團體等。因此，該說法過于狹隘，錯誤。

4.信息安全風險評估可以完全消除信息安全風險。（×）

解題思路：信息安全風險評估的目的是識別、評估和降低信息安全風險，但無法完全消除風險。因此，該說法過于絕對，錯誤。

5.信息安全管理體系ISO/IEC27001是強制性的國際標準。（×）

解題思路：信息安全管理體系ISO/IEC27001是一個推薦性國際標準，旨在幫助組織建立、實施、維護和持續改進信息安全管理體系。因此，該說法錯誤。四、簡答題1.簡述計算機網絡安全的基本要素。

答：計算機網絡安全的基本要素包括：

保密性：保證信息僅對授權用戶可見，防止未授權訪問。

完整性：保證數據的準確性、一致性，防止非法篡改。

可用性：保證信息系統和服務在需要時可用，防止非法拒絕服務。

可控性：允許管理員控制和監督信息系統中的所有活動。

可審計性：系統必須能夠記錄所有重要事件，便于審計和調查。

2.簡述計算機病毒的特征。

答：計算機病毒的特征包括：

傳染性：能夠通過網絡或其他介質復制并傳播給其他計算機。

破壞性：可以破壞計算機的數據、軟件甚至硬件。

隱蔽性：在正常使用計算機時不易被發覺。

潛伏性：在系統中長時間存在，不立即表現出來。

多樣性：有多種表現形式，難以預防。

3.簡述常見的網絡攻擊方式。

答：常見的網絡攻擊方式包括：

釣魚攻擊：通過偽造郵件、網站等方式，誘騙用戶輸入個人信息。

DDoS攻擊：分布式拒絕服務攻擊，使網絡服務無法正常運行。

緩沖區溢出：通過注入非法數據導致系統崩潰。

SQL注入：在數據庫查詢中注入惡意代碼，竊取數據或執行其他惡意操作。

中間人攻擊：攔截、竊取和修改傳輸的數據。

4.簡述信息安全等級保護制度的內容。

答：信息安全等級保護制度的內容包括：

確定保護等級：根據信息系統涉及的國家秘密和業務的重要性確定保護等級。

建設與實施：依據保護等級實施安全防護措施。

安全管理：建立健全的信息安全管理制度，進行安全監督和檢查。

安全防護：采取技術和管理措施，保障信息系統的安全。

安全事件響應：建立應急預案，及時應對和處置安全事件。

5.簡述信息安全風險評估的方法。

答：信息安全風險評估的方法包括：

風險識別：識別系統中存在的各種安全風險。

風險分析：評估風險的嚴重程度、可能性以及可能導致的后果。

風險比較：根據風險程度決定哪些風險需要采取防護措施。

風險處理：選擇和實施控制措施來降低或消除風險。

答案及解題思路：

答案：

（已如上所示，各簡答題的答案分別對應上述問題）

解題思路內容：

1.對于計算機網絡安全的基本要素，首先要明確各要素的定義，然后結合實際情況解釋其在保障網絡安全中的作用。

2.計算機病毒的特征需要列舉其主要表現，并簡述其影響。

3.常見的網絡攻擊方式要具體列舉幾種主要類型，并解釋其原理和目的。

4.信息安全等級保護制度的內容需要從多個層面來闡述，包括制度的基本流程和主要內容。

5.信息安全風險評估的方法需要解釋風險評估的基本步驟和關鍵點。五、論述題1.論述計算機網絡安全的重要性。

a.在當今信息化時代，計算機網絡安全的重要性日益凸顯。

b.計算機網絡安全涉及國家安全、經濟穩定、社會發展和人民生活等多個方面。

c.計算機網絡安全的重要性主要體現在以下方面：

保護國家信息安全；

維護社會穩定；

保障人民財產安全；

促進經濟發展。

2.論述信息安全等級保護制度的作用。

a.信息安全等級保護制度是我國信息安全保障體系的重要組成部分。

b.信息安全等級保護制度的作用

規范信息安全管理工作；

提高信息系統安全防護能力；

促進信息安全產業發展；

保障國家信息安全。

3.論述信息安全風險評估的意義。

a.信息安全風險評估是保障信息安全的重要手段。

b.信息安全風險評估的意義

幫助組織識別、評估和應對信息安全風險；

為信息安全決策提供依據；

提高組織信息安全管理的針對性和有效性；

促進信息安全技術的發展。

4.論述信息安全管理體系ISO/IEC27001的實施步驟。

a.信息安全管理體系ISO/IEC27001是一種國際標準，旨在幫助組織建立、實施、維護和持續改進信息安全管理體系。

b.信息安全管理體系ISO/IEC27001的實施步驟

確定信息安全管理體系的需求；

制定信息安全管理體系；

實施信息安全管理體系；

監測和評審信息安全管理體系；

改進信息安全管理體系。

5.論述計算機網絡安全防護技術的應用。

a.計算機網絡安全防護技術是保障信息安全的重要手段。

b.計算機網絡安全防護技術的應用

防火墻技術；

密碼技術；

加密技術；

入侵檢測技術；

安全審計技術。

答案及解題思路：

1.答案：計算機網絡安全的重要性體現在保障國家安全、社會穩定、人民財產安全和經濟發展等方面。

解題思路：闡述信息化時代計算機網絡安全的重要性；列舉計算機網絡安全的重要性方面；總結計算機網絡安全的重要性。

2.答案：信息安全等級保護制度的作用包括規范信息安全管理工作、提高信息系統安全防護能力、促進信息安全產業發展和保障國家信息安全。

解題思路：介紹信息安全等級保護制度；闡述信息安全等級保護制度的作用；總結信息安全等級保護制度的作用。

3.答案：信息安全風險評估的意義在于幫助組織識別、評估和應對信息安全風險，為信息安全決策提供依據，提高組織信息安全管理的針對性和有效性，促進信息安全技術的發展。

解題思路：說明信息安全風險評估的定義；列舉信息安全風險評估的意義；總結信息安全風險評估的意義。

4.答案：信息安全管理體系ISO/IEC27001的實施步驟包括確定信息安全管理體系的需求、制定信息安全管理體系、實施信息安全管理體系、監測和評審信息安全管理體系、改進信息安全管理體系。

解題思路：介紹信息安全管理體系ISO/IEC27001；詳細闡述信息安全管理體系ISO/IEC27001的實施步驟；總結信息安全管理體系ISO/IEC27001的實施步驟。

5.答案：計算機網絡安全防護技術的應用包括防火墻技術、密碼技術、加密技術、入侵檢測技術和安全審計技術。

解題思路：說明計算機網絡安全防護技術的概念；列舉計算機網絡安全防護技術的應用；總結計算機網絡安全防護技術的應用。六、案例分析題1.案例一：某企業遭受釣魚攻擊，導致大量客戶信息泄露。

分析：

1.1釣魚攻擊的原理及常見手段

1.2案例中企業信息泄露的原因分析

1.3客戶信息泄露可能帶來的后果

防范措施：

1.1加強員工網絡安全意識培訓

1.2完善網絡安全防護體系

1.3定期進行安全漏洞掃描和修復

1.4采用加密技術保護敏感數據

1.5強化外部郵件和網站訪問控制

2.案例二：某部門信息系統遭受黑客攻擊，導致重要數據丟失。

分析：

2.1黑客攻擊的手段及目的

2.2攻擊對部門的影響

2.3重要數據丟失可能帶來的后果

應急響應措施：

2.1立即啟動應急預案

2.2切斷受攻擊系統與網絡的連接

2.3對受攻擊系統進行安全檢查和修復

2.4通知相關單位和人員，采取必要的安全措施

2.5恢復丟失數據，評估損失，改進系統安全

答案及解題思路：

1.案例一：

分析：

1.1釣魚攻擊利用社會工程學原理，通過偽裝成可信實體發送郵件或建立假冒網站，誘使用戶或提交敏感信息。

1.2案例中企業可能因員工安全意識不足、安全防護措施不完善、安全漏洞未及時修復等原因導致信息泄露。

1.3客戶信息泄露可能導致客戶信任度下降、企業聲譽受損、法律訴訟等后果。

防范措施：

1.1定期對員工進行網絡安全意識培訓，提高防范釣魚攻擊的能力。

1.2建立完善的網絡安全防護體系，包括防火墻、入侵檢測系統、防病毒軟件等。

1.3定期進行安全漏洞掃描和修復，保證系統安全。

1.4對敏感數據進行加密存儲和傳輸，防止數據泄露。

1.5強化外部郵件和網站訪問控制，限制外部訪問權限。

2.案例二：

分析：

2.1黑客攻擊可能通過漏洞利用、社會工程學、惡意軟件等方式進行，目的可能是竊取數據、破壞系統或獲取經濟利益。

2.2攻擊可能導致信息泄露、服務中斷、經濟損失等嚴重后果。

2.3重要數據丟失可能導致國家安全、社會穩定和公共利益受損。

應急響應措施：

2.1立即啟動應急預案，組織專業團隊進行響應。

2.2切斷受攻擊系統與網絡的連接，防止攻擊擴散。

2.3對受攻擊系統進行全面安全檢查和修復，保證系統安全。

2.4通知相關單位和人員，采取必要的安全措施，防止攻擊再次發生。

2.5恢復丟失數據，評估損失，改進系統安全，防止類似事件再次發生。七、綜合應用題1.設計一個信息安全風險評估報告

（一）風險評估目的

明確組織的風險承受能力和信息安全保護的目標。

為制定有效的信息安全策略和管理措施提供依據。

（二）風險評估方法

問卷調查法：通過調查問卷了解組織的信息系統狀況。

風險評估會議：組織專業人員進行風險評估討論。

資產和威脅識別：確定信息系統中的關鍵資產及潛在的威脅。

風險評估模型：運用風險模型進行量化分析。

合規性檢查：對比組織信息系統的安全措施與相關法規和標準。

（三）風險評估結果

風險評估報告：包括風險評估總結、關鍵發覺、建議措施等。

風險等級分類：根據風險評估結果將風險分為高、中、低等級。

2.設計一個信息安全管理體系ISO/IEC27001的實施計劃

（一）實施步驟

1.領導支持與宣傳：保證高層的支持，對員工進行ISO/IEC27001的宣傳和培訓。

2.范圍界定：明確體系實施的適用范圍和邊界。

3.現狀調查：調查組織現有信息安全管理的狀況。

4.建立組織：成立專門的項目管理團隊，負責體系實施。

5.制定管理計劃：制定詳細的實施計劃，包括時間表、預算等。

6.實施改進