【问题1】(4分)安全管理制度管理、规划和建设为信息安全管理的重要组成部分。一般从安全策略、安全预案、安全检查、安全改进等方面加强安全管理制度建设和规划。其中,____(1)____应定义安全管理机构、等级划分、汇报处置、处置操作、安全演练等内容;____(2)____应该以信息安全的总体目标、管理意图为基础,是指导管理人员行为,保护信息网络安全的指南。【问题2】(11分)某天,网络安全管理员发现w eb服务器访问缓慢,无法正常响应用户请求,通过检查发现,该服务器CPU和内存资源使用率很高、网络带宽占用率很高,进一步查询日志,发现该服务器与外部未知地址有大量的UDP连接和TCP半连接,据此初步判断该服务器受到____(3)____和____(4)____类型的分布式拒绝服务攻击(DDos),可以部署____(5)____设备进行防护。这两种类型的DDos攻击的原理是____(6)____、____(7)____。(3)~(4)备选答案(每个选项仅限选一次):A Ping洪流攻击 B SYN泛洪攻击C Teardrop攻击 D UDP泛洪攻击(5) 备选答案:A 抗DDoS防火墙 B Web防火墙C 入侵检测系统 D 漏洞扫描系统【问题3】(10分)网络管理员使用检测软件对Web服务器进行安全测试,图3-1为测试结果的片段信息,从测试结果可知,该Web系统使用的数据库软件为____(8)____,Web服务器软件为____(9)____,该Web系统存在____(10)____漏洞,针对该漏洞应采取____(11)____、____(12)____等整改措施进行防范。

【问题1】(4分)安全管理制度管理、规划和建设为信息安全管理的重要组成部分。一般从安全策略、安全预案、安全检查、安全改进等方面加强安全管理制度建设和规划。其中,____(1)____应定义安全管理机构、等级划分、汇报处置、处置操作、安全演练等内容;____(2)____应该以信息安全的总体目标、管理意图为基础,是指导管理人员行为,保护信息网络安全的指南。
【问题2】(11分)某天,网络安全管理员发现w eb服务器访问缓慢,无法正常响应用户请求,通过检查发现,该服务器CPU和内存资源使用率很高、网络带宽占用率很高,进一步查询日志,发现该服务器与外部未知地址有大量的UDP连接和TCP半连接,据此初步判断该服务器受到____(3)____和____(4)____类型的分布式拒绝服务攻击(DDos),可以部署____(5)____设备进行防护。这两种类型的DDos攻击的原理是____(6)____、____(7)____。(3)~(4)备选答案(每个选项仅限选一次):A Ping洪流攻击 B SYN泛洪攻击C Teardrop攻击 D UDP泛洪攻击(5) 备选答案:A 抗DDoS防火墙 B Web防火墙C 入侵检测系统 D 漏洞扫描系统
【问题3】(10分)网络管理员使用检测软件对Web服务器进行安全测试,图3-1为测试结果的片段信息,从测试结果可知,该Web系统使用的数据库软件为____(8)____,Web服务器软件为____(9)____,该Web系统存在____(10)____漏洞,针对该漏洞应采取____(11)____、____(12)____等整改措施进行防范。


参考解析

解析:【问题1】(4分)(1)安全管理制度管理
(2)安全规划

【问题2】(11分)(3)B
(4)D (3)~(4)答案可以互换(5)A(6)SYN是TCP三次握手中的第一个数据包,而当服务器返回ACK后,该攻击者就不对其进行再确认,那这个TCP连接就处于挂起状态,也就是所谓的半连接状态,服务器收不到再确认的话,还会重复发送ACK给攻击者。这样会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接,由于每一个都没法完成三次握手,所以最后服务器耗光资源而无法为正常用户提供服务。(7)UDP泛洪攻击者通过向目标主机发送大量的UDP报文,导致目标主机忙于处理这些UDP报文,而无法处理正常的报文请求或响应。

【问题3】(10分)(8)Mysql
(9)Apache
(10)SQL注入(11)部署WAF设备(12)下载SQL通用防注入系统的程序或者防范注入分析器

相关考题:

定义信息安全策略,描述的是信息安全在单位内的重要性,提出管理信息安全的方法,为信息安全管理提供方向和支持。()

● 信息安全策略应该全面地保护信息系统整体的安全,网络安全体系设计是网络逻辑设计工作的重要内容之一,可从物理线路安全、网络安全、系统安全、应用安全等方面来进行安全体系的设计与规划。其中,数据库的容灾属于 (64) 的内容。(64)A. 物理线路安全与网络安全B. 网络安全与系统安全C. 物理线路安全与系统安全D. 系统安全与应用安全

阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。【说明】图3-1为某公司拟建数据中心的简要拓扑图,该数据中心安全规划设计要求符合信息安全等级保护(三级)相关要求。【问题1】(9分)1.在信息安全规划和设计时,一般通过划分安全域实现业务的正常运行和安全的有效保障,结合该公司实际情况,数据中心应该合理地划分为 (1) 、 (2)、 (3) 三个安全域。2.为了实现不同区域的边界防范和隔离,在图3-1的设备①处应部署 (4) 设备,通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护,对攻击进行检测和阻断;在设备②处应部署(5)设备,通过有效的访问控制策略,对数据库区域进行安全防护;在设备③处应部署(6)设备,定期对数据中心内服务器等关键设备进行扫描,及时发现安全漏洞和威胁,可供修复和完善。【问题2】(6分)信息安全管理一般从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行安全管理规划和建设。其中应急预案制定和演练、安全事件处理属于 (7) 方面;人员录用、安全教育和培训属于(8)方面; 制定信息安全方针与策略和日常操作规程属于(9)方面;设立信息安全工作领导小组,明确安全管理职能部门的职责和分工属于(10)方面。【问题3】(4分)随着DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的技术门槛越来越低,使其成为网络安全中最常见、最难防御的攻击之一,其主要目的是让攻击目标无法提供正常服务。请列举常用的DDoS攻击防范方法。【问题4】(6分)随着计算机相关技术的快速发展,简要说明未来十年网络安全的主要应用方向。

图1为某公司拟建数据中心的简要拓扑图,该数据中心安全规划设计要求符合信息安全等级保护(三级)相关要求。【问题1】(6分)1.在信息安全规划和设计时,一般通过划分安全域实现业务的正常运行和安全的有效保障,结合该公司实际情况,数据中心应该合理地划分为 (1) 、 (2)、 (3) 三个安全域。2.为了实现不同区域的边界防范和隔离,在图3-1的设备①处应部署 (4) 设备,通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护,对攻击进行检测和阻断;在设备②处应部署(5)设备,通过有效的访问控制策略,对数据库区域进行安全防护;在设备③处应部署(6)设备,定期对数据中心内服务器等关键设备进行扫描,及时发现安全漏洞和威胁,可供修复和完善。【问题2】(4分)信息安全管理一般从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行安全管理规划和建设。其中应急预案制定和演练、安全事件处理属于 (7) 方面;人员录用、安全教育和培训属于(8)方面; 制定信息安全方针与策略和日常操作规程属于(9)方面;设立信息安全工作领导小组,明确安全管理职能部门的职责和分工属于(10)方面。【问题3】(5分)随着DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的技术门槛越来越低,使其成为网络安全中最常见、最难防御的攻击之一,其主要目的是让攻击目标无法提供正常服务。请列举常用的DDoS攻击防范方法。

三级信息系统的管理制度包括如下()内容。A、应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;B、应对安全管理活动中的各类管理内容建立安全管理制度;C、应对要求管理人员或操作人员执行的日常管理操作建立操作规程;D、应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

《GB/T20269-2006信息安全技术信息系统安全管理要求》中关于安全管理规章制度的要求描述正确的是:()A、基本的安全管理制度应包括网络安全管理规定,系统安全管理规定,数据安全管理规定,防病毒规定,以及机房安全管理规定等;B、基本的安全管理制度应包括网络安全管理规定,系统安全管理规定,数据安全管理规定,防病毒规定,以及相关的操作规程等;C、基本的安全管理制度应包括网络安全管理规定,系统安全管理规定,数据安全管理规定,防病毒规定,机房安全管理规定,以及相关的操作规程等;D、较完整的安全管理制度应在基本的安全管理制度的基础上,增加设备使用管理规定,人员安全管理规定,安全审计管理规定,用户管理规定,信息分类分级管理规定,安全事件报告规定,事故处理规定,应急管理规定和灾难恢复管理规定等;

注册信息安全专业人员(CISP)试题1.《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》中对于三级防护系统中系统建设管理部分的安全方案设计项的要求描述正确的是:()A、应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。B、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的正确性进行论证和审定,才能正式实施。C、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。D、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,才能正式实施。

运营、使用单位应当参照《信息安全技术信息系统安全管理要求》GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》()管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。A、测评准则B、基本要求C、定级指南D、实施指南

信息系统安全建设整改工作规划和工作部署不包括()A、确定信息系统安全等级保护测评方案B、信息系统安全保护现状分析C、确定安全策略,制定安全建设整改方案D、信息系统安全管理建设E、信息系统安全技术建设F、开展信息系统安全自查和等级测评

依据《互联网用户公众账号信息服务管理规定》: 互联网用户公众账号信息服务提供者应当落实()责任,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。A、信息内容安全B、信息内容安全管理C、信息内容安全管理主体

互联网用户公众账号信息服务提供者应当落实()主体责任,配备与服务规模相适应的专业人员和技术能力,设立总编辑等信息内容安全负责人岗位,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。A、应用软件安全管理B、设备与环境的安全管理C、信息内容安全管理D、计算机网络安全管理

各部门和单位应加强全员信息安全教育,应()A、定期开展信息安全相关的技能培训和考核B、组织各类预案的演练C、确保有关人员熟悉信息安全相关法规、管理制度及工作流程D、具备必要的信息安全工作技能

电信网和互联网管理安全等级保护要求中,第2级在安全管理制度上应满足()。A、应制定安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等B、应对安全管理人员或操作人员执行的重要管理操作建立操作规程C、应对安全管理活动中重要的管理内容建立安全管理制度D、应形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系E、应对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动

()是实现安全管理的前提。A、信息安全等级保护B、风险评估C、信息安全策略D、信息安全管理体系

加强网络安全防护基础设施建设,建立健全()制度,强化日常安全检查,制定应急处置预案和措施,确保不发生网络信息安全事件。A、安全使用B、网络安全C、安全管理D、安全检查

城市()基本建立,基础网络和要害信息系统安全可控,重要信息资源安全得到切实保障,居民、企业和政府的信息得到有效保护。A、经济保障体制B、网络安全保障体系C、管理制度D、信息安全制度

在信息安全管理体系中,带有高层目标的信息安全策略是被描述在()A、信息安全管理手册B、信息安全管理制度C、信息安全指南和手册D、信息安全记录文档

我国信息安全等级保护的内容包括()。A、对信息系统中使用的信息安全产品实行按等级管理B、对信息安全从业人员实行按等级管理C、对信息系统中发生的信息安全事件按照等级进行响应和处置D、对信息安全违反行为实行按等级惩处

单选题关键信息基础设施的安全保护义务不包括(  )。A设置专门安全管理机构和安全管理负责人B定期对从业人员进行网络安全教育C制定内部安全管理制度和操作规程D制定网络安全事件应急预案并定期进行演练

单选题互联网用户公众账号信息服务提供者应当落实()主体责任,配备与服务规模相适应的专业人员和技术能力,设立总编辑等信息内容安全负责人岗位,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。A应用软件安全管理B设备与环境的安全管理C信息内容安全管理D计算机网络安全管理

多选题设施运营者将会依法承担相应的网络安全保护义务包括(  )。A关键信息基础设施的建设要求B制定内部安全管理制度和操作规程C关键信息基础设施运营者的安全保护义务D确定网络安全负责人E个人信息和重要数据的本地化要求

单选题在信息安全管理体系中,带有高层目标的信息安全策略是被描述在()A信息安全管理手册B信息安全管理制度C信息安全指南和手册D信息安全记录文档

单选题安全管理制度建设中,()包括建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理制度,制定应急预案并定期开展演练,采取相应的管理技术措施和手段,确保系统运维管理制度有效落实。建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。A落实信息安全责任制B落实人员安全管理制度C落实系统建设管理制度D落实系统运维管理制度

单选题对信息系统实施等级保护的过程中,()通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员的安全技能培训等环节,将安全规划设计阶段的安全方针和策略具体落实到信息系统中去,其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系A系统定级阶段B安全规划设计阶段C安全实施阶段D安全运行维护阶段

单选题加强网络安全防护基础设施建设,建立健全()制度,强化日常安全检查,制定应急处置预案和措施,确保不发生网络信息安全事件。A安全使用B网络安全C安全管理D安全检查

单选题在信息安全等级保护实施过程中,()将介绍运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程;通过运行管理和控制、变更管理和控制、安全状态监控、安全事件处置和应急预案,确保信息系统正常运行A系统定级阶段B安全规划设计阶段C安全实施阶段D安全运行维护阶段

单选题在信息安全等级保护实施过程中,()包括运行管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等几个主要活动A系统定级阶段B安全规划设计阶段C安全实施阶段D安全运行维护阶段