信息安全管理 课后习题答案 免费下载 张红旗 王新昌 杨英杰 唐慧林 人民邮电出版社
第一章
2.什么是信息?什么是信息安全?信息安全的内容包括哪些?
答:信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是
信息设施中存储与处理的数据、程序,可以是打印或书写出来的论文、电子邮件、
设计图纸、业务方案,也可以是显示在胶片等载体或表达在会话中的消息。国际
公认的ISO/IEC IT 安全管理指南(GMITS)对信息(Information)给出如下解释:
信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。
信息安全是保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵
犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。在商
业和经济领域,信息安全主要强调的是消减并控制风险,保持业务操作的连续性,
并将风险造成的损失和影响降低到最低程度。
信息安全一般包括实体安全、运行安全、信息安全和管理安全四个方面的内容。
在信息保障的概念中,信息安全的内容还包括:机密性(Confidentiality)、完整
性(Integrity)、可用性(Availability)、真实性(Authenticity)和有效性(Utility)。
3.什么是信息安全管理?为什么要引入信息安全管理?
答:信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护
信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和
过程。信息安全管理是信息安全保障体系建设的重要组成部分,对于保护信息资
产、降低信息系统安全风险、指导信息安全体系建设具有重要作用。
由于信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性
等更新、更深层次的领域。这些领域内的相关技术和理论都是信息安全所要研究
的领域。实际上,对安全技术和产品的选择运用,只是信息安全实践活动中的一
部分,只是实现安全需求的手段而已。信息安全更广泛的内容,还包括制定完备
的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照
既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底,信息
安全并不是技术过程,而是管理过程。随着信息安全理论与技术的发展,信息保
障的概念得以提出并得到一致认可,而在信息保障的三大要素(人员、技术和管
理)中,管理要素的作用和地位越来越得到重视。
4.叙述信息安全管理的内容。
答:信息安全管理应当涉及信息安全的各个方面,包括制定信息安全政策、风险
评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等
一系列工作。按照信息安全管理国际标准ISO/IEC 17799 的最新版本ISO/IEC
17799:2005,一般通过在以下十一个领域内建立管理控制措施。
(1)安全方针和策略(2)组织安全(3)资产分类与控制((4)人员安全(5)
物理与环境安全(6)通信、运行与操作安全(7)访问控制(8)系统获取、开
发与维护(9)安全事故管理(10)业务持续性(11)符合性。
5.我国信息安全管理现状如何?对此你有什么思考和建议?
答:在威胁多样化的信息化时代,我国信息安全管理的现状不容乐观,这可以从
国家宏观管理与组织微观管理两方面来加以简单论述。
在国家宏观信息安全管理方面,主要有以下几个方面的问题。
(1)法律法规问题(2)管理问题(3)国家信息基础设施建设问题
我国在微观信息安全管理方面存在的问题主要表现为以下几方面。
(1)缺乏信息安全意识与明确的信息安全方针(2)重视安全技术,轻视安全管
理(3)安全管理缺乏系统管理的思想。