信息安全技术与实践习题答案(下) .pdf

1、

自然灾害、硬件故障、软件故障、人为原因、资源不足引起的计划性停机。其中，软件

故障和人为原因是数据失效的主要原因。

2、

备份不仅只是对数据的保护，最终的目的就是为了在系统遇到人为或自然灾害情况下，

能够通过备份内容对系统进行有效的灾难恢复。所以，备份不仅是单纯的数据拷贝，更重要

的是管理。管理包括了备份的可计划性、磁带机的自动化操作、历史记录的保存以及日志记

录等内容。

3、

硬件级备份是指用冗余的硬件来保证系统的连续运行。当主硬件损坏时可利用后备硬件

接替其工作，所以这种方式能有效地防止硬件故障，但其无法防止数据的逻辑损坏。

软件级备份具有安装方便，界面友好，使用灵活；支持跨平台备份，支持文件打开状态

备份；支持多种文件格式的备份，支持备份介质自动加载的自动备份；支持各种策略的备份

方式的特点。

人工级备份的特点是简单和有效，但其恢复数据时较耗时。

4、

还原数据是指用备份数据替代当前数据，以达到修复错误的目的。

恢复数据与还原数据相似，它使用备份文件去覆盖出错的数据，从而达到修复错误的目

的。当数据因误操作而完全丢失时，可借助数据恢复软件来实现找回现有数据的目的。

恢复数据的外延要大于还原数据，还原数据包含在恢复数据之中。

5、

在数据库的使用过程中，由于数据库文件被频繁使用，从而造成数据库的损坏，因此要

进行数据库的定期检测和修复。

选择题：

1.B、2.A、3.C、4.B、5.D6.B、7.A、8.A

填空题：

1.UDP；TCP；端口号；

2.可用性、机密性、完整性、可控性、不可抵赖性。

选择题：

1.A、2.B、3.B、4.C、5.A6.D、7.C、8.B

填空题：

1.物理安全技术；基础安全技术；应用安全技术；?

2.PDRR（安全生命周期模型）

P：Protection（防护）：采用可能采取的手段保障信息的保密性、完整性、可用性、可控性

和不可否认性。

D：Detection（检测）；

R：Response（反应）；

R：Recovery（恢复）。

1、

信息安全管理是指为了实现信息安全目标，从而遵循特定的安全策略，依照规定的程序，运

用适当的方法进行规划、组织、指导、协调和控制等活动。信息安全管理和安全技术组成信

息安全防护体系，其中安全管理是技术的重要补充。信息安全管理解决宏观问题，它的核心

是信息安全风险的管理控制，对象是各类信息资产（包含人员在内），通过对信息资产的风

险管理来实现信息系统的安全目标。

2、

（1）根据受保护系统的业务目标和特点来确定风险管理的范围、对象，明确对象的特性和

安全需求。

（2）针对已确定的管理对象面临的风险进行识别和分析，综合评估考虑资产所受的威胁和

威胁产生的影响。

（3）根据风险评估的结果选择并实施恰当的安全措施，将风险控制在可接受的范围内。风

险处理的主要方式有规避、转移、降低和接受。

（4）批准风险评估和风险处理的结果（即风险评估和处理结果应得到高层管理者的批准）

并持续监督。

3、

（1）最小化原则，即受保护的敏感信息只能在一定范围内被共享。最小化原则可细分为知

所必须原则和用所必须原则。

（2）分权制衡原则，为保证信息系统的安全，通常将系统中的所有权限进行适当划分，使

每个授权主体仅拥有部分权限，从而实现他们之间的相互制约和相互监督。

（3）安全隔离原则，将信息的主体与客体分隔开，在安全和可控的前提下，主体依照一定

的安全策略对客体实施访问。其中隔离和控制是实现信息安全的基本方法，隔离是控制的基

础。

（4）普遍参与原则，为制定出有效的安全机制，组织大都要求员工普遍参与，搜集各级员

工的意见，分析存在的问题，通过集思广益的方法来规划安全体系和安全策略。

（5）纵深防御原则，安全体系不是单一安全机制和多种安全服务的堆砌，而是相互支撑的

多种安全机制，是具有协议层次和纵向结构层次的完备体系。

（6）防御多样化原则，与纵深防御一样，通过使用大量不同类型和不同等级的系统，以期

获得额外的安全保护。

4、

（1）物理安全策略

（2）互联网安全全策略

制定操作计算机和网络所必须遵守的操作规程和职责，包括数据文件处理规则、变更管理规

则、错误和意外事件处理规程、问题管理规程、测试评估规程、日常管理活动等。

（3）数据访问控制、加密与备份安全策略

严格控制外来人员对信息系统的访问权限，当外部人员要对机密信息进行访问时，要与他们

签署保