启点学院 5301 期末复习题

启点学院 5301 期末复习题
判断对错 每题 50-70 字解释
1. All system failures are the result of input errors.所有系统故障都是输入错误的结果。 Week5
p32
Disagree
输入错误属于一种引起系统故障的原因但是
All security breaches are the result of a system failure, not just input errors. Such as operations
error, design error.
2. information system security decision classes of strategic, administrative, and operational are
mutually exclusive.战略，行政和运营的信息系统安全决策类是互斥的。 chapter7
Disagree
战略，行政和运营的信息系统安全决策类是互相促进的。
战略性 IS 安全决策涉及选择确保业务平稳运行的环境。
行政 IS 安全决策涉及创建适当的结构和过程以启用信息处理。
运营 IS 安全决策涉及优化工作模式以提高效率
3. Network security will remain a major concern as long as there is connectivity of some sort with
other systems.只要与其他系统之间存在某种连通性，网络安全仍将是主要问题。 Chapter 5？
agree
网络安全就是为了防范黑客基于网络的入侵来达到窃取信息或者使目标崩溃等竞争攻击目
的所采取的措施。 因此当系统与其他系统之间存在某种连通性， 就代表系统间存在网络， 进
而需要确保网络安全， 对网络安全中看出现的问题进行控制和管理。
4. The SSE-CMM module of security engineering recommends large incremental steps for
achieving rapid improvement in information security processes.安全工程的 SSE-CMM 模块建议
采用较大的增量步骤，以实现信息安全流程的快速改进。
disagree
SSE-CMM 是一个定义系统中实现安全性的要求， 流程的一个模型， 同时还可以定义和评估
流程的成熟度级别。 主要用于过程改进， 能力评估和认证。 但不建议采用较大的增量步骤，
而是 recommends incremental steps for achieving improvement in information security
processes. not rapidly
5. Executive leadership buy-in assures staff buy-in and also ensures funding foe information
systems security program.执行领导层的买入保证了员工的买入，并确保了对信息系统安全计
划的资助。
Disagree
各级组织的 buy-in 是任何组织中信息系统安全计划成功的关键。 执行领导层放入 buy-in 可
以增强员工的 buy-in 的信心和动力， 促进员工 buy-in， 但是不能确保搜有员工都 buy-in。
6. There is a strong correlation between organization culture and organisational performance. 组
织文化和组织绩效之间有很强的相关性。 Week 9 ，
Agree
强大的文化可增强协调和控制能力，改善目标一致性，并增加员工工作量， 最终有提高绩效，
比如华为的企业文是以贡献报酬，凭责任定待遇，鼓励人才充分发挥个人的聪明才智， 进而
提高员工加班的积极性， 提高绩效。 所以说组织文化和组织绩效之间有很强的相关性。
7. The quantity and value of resources allocated for prevention of a possible security breach
solely depend on the likelihood of occurrence of the breach
为防止可能发生的安全漏洞而分配的资源数量和价值仅取决于发生漏洞的可能性
Disagree
还有漏洞的严重程度
8. Confidentiality is the single most important security issue in commercial business organisations
机密性是商业企业组织中最重要的单个安全问题
Disagree
军队更关心机密性， 因为在军事活动中， 信息泄露可能会导致严重的事故， 甚至决定一场战
役的成败。 而商业更关心完整性， 因为企业更关心谁更改信息， 而不是谁阅读信息。
9. The need to know principle is one of the contributing factors which ensures confidentially of
information,
需要了解原则是确保机密信息的重要因素之一，
Agree
confidential 是指保护私有数据，无论其位于何处或在传输过程中
了解原则无论是在军事还是商业中都起到重要的作用， 比如在军队中， 如果军官不了解
confidentially of information 的原理， 可能会向间谍泄漏军事行动， 导致战役的失败。
10. Valuable Information/data should be protected at all times, irrespective of the cost of such
protection
贵重信息/数据应始终受到保护，无论其成本如何
Agree
信息安全是十分重要的， 所以对于贵重的信息和数据应始终收到保护， 但如果成本过高， 保
护该信息的成本如果远高于该信息带来的价值， 可以考虑进行信息安全管理降低对该信息的
保护级别进而降低成本， 使成本低于该信息的价值。 不能因为完全保护的成本过高就放弃保
护。
11. According to ISO/IEC 27002, the purpose of security organisation is______
To establish a vision for information security and direct corporate resources.
To ensure perimeter defense and physically ensure protection of assets.
To develop and create structures and processes for managing security
To reduce human error, misuse and abuse of information by personnel
12. The relationship between effective corporate governance and information systems security is
important because________
It guarantees support from shareholders
It provides funding for information system security
It shows clear responsibilities for information systems security
It provides for the best defensible position if losses due to a security incident are challenged by
shareholders, stakeholders, or the government, as an inadequacy of governance
It provides guidelines for information systems security planning
13. The effectiveness of the security policy is a function of _________
Complexity of technology
Investment in technology
Availability of technology
The level of support is has from executive leadership
Financial support it has from the organisation
14. which one of the following is a key decision of operation IS security?
Costing security initiatives
Structure of information flows
Setting security objectives and goals Structure of resource conversion
Resource acquisition
15. modification threat is said to occur when____________
Hardware, software, or the data is destroyed
Data is accessed and changed in an unauthorised manner
Data can be accessed by the public
When an unauthorised person or application gains access to restricted computer resources
Computer system becomes unavailable for use
16. Security engineering is important because________
It can help in reduction of operational costs
Information is an asset which must be properly deployed to get the maximum benefits out of it
It saves money in the long run
It ensures that engineers don’t need to spend valuable time in managing the environment
It can ensure that firewalls are deployed
17. To create adequate structures and processes to realise adequate information handing is a
part of the ______Information System Security decision.
Administrative
Strategic
Operational
Functional
Organisational
18. Which one of the following controls addresses the detection of a failure?
Application control
Modelling control
Audit control
Testing control
Documentation control
19. In the Bell La-Padula model, the stipulation that a subject cannot access information which is
classified at a higher level than the subject, is called_________
No read down rule
No write down rule
No write up rule
No read up rule
Need to know rule
20. In context of the use of cryptography, it is important to balance information security
with_______.
Cost, management support and the sensitivity of data/communication
Timeliness,management support and the sensitivity of data/communication
Timeliness, management support and the the sensitivity of data/ communication
Cost, timeliness and the sensitivity of data/communication
Cost, timeliness management support, and the sensitivity of data/communication
11.根据 ISO / IEC 27002，安全组织的目的是_C_____
建立信息安全和直接公司资源的愿景。
确保外围防御并从物理上确保资产的保护。
开发和创建用于管理安全性的结构和过程
减少人为错误，人员滥用和滥用信息
12.有效的公司治理与信息系统安全之间的关系很重要，因为__C______
保证股东的支持
它为信息系统安全提供资金
它显示了信息系统安全的明确责任
如果由于安全事件导致的损失受到股东，利益相关者或政府的挑战，因为治理不足，它将提
供最佳的防御地位
它为信息系统安全规划提供指导
13.安全策略的有效性是___C______的函数
技术的复杂性
技术投资
技术可用性
支持水平来自执行领导
组织提供的财务支持
14.以下哪一项是操作安全性的关键决定？ a
成本计算安全措施
信息流的结构
设定安全目标和目标资源转换的结构
资源获取
15，据说当____B________发生改装威胁
硬件，软件或数据被破坏
以未经授权的方式访问和更改数据
数据可以被公众访问
未经授权的人或应用程序访问受限计算机资源时
计算机系统无法使用
16.安全工程很重要，因为____C____
它可以帮助降低运营成本
信息是一项资产，必须对其进行适当部署，以从中获得最大收益
从长远来看，它可以节省金钱
它确保工程师无需花费宝贵的时间来管理环境
它可以确保部署了防火墙
17.创建适当的结构和过程以实现适当的信息处理是______信息系统安全决策的一部分。
行政的
战略
操作
功能性
组织
18.以下控件中的哪个控件可解决故障检测？
应用程序控制
建模控制
审计控制
测试控制
文件控制
19.在 Bell La-Padula 模型中，受试者无法访问比该受试者更高级别分类的信息的规定称为
_________
没有读书规则
没有减记规则
没有写规则
没有阅读规则
需要知道规则
20.在使用密码学的情况下，平衡信息安全与_______很重要。
成本，管理支持和数据/通信的敏感性
及时性，管理支持和数据/通信的敏感性
及时性，管理支持以及数据/通信的敏感性
成本，及时性和数据/通信的敏感性
成本，及时性管理支持以及数据/通信的敏感性
Please provide your answer to following multi-part question in approximately 350 to 400 words.
21.
Part A) list and briefly describe the two dimensions which are used to classify organisational
culture. 4 mark
Part B) Describe the characteristics of organisational culture which can evolve from the different
combinations of these two dimensions.5 mark
Part C) Describe the influences of the organisational cultures identified(in Part B above) on
management of information systems security. 6 mark
A 部分）列出并简要描述了用于对组织文化进行分类的两个维度。 4 分
本课用两个维度(灵活性和适应性—稳定性和控制性；内部导向—外部导向)划分出四个象限，
每种象限代表一种组织文化。
这两个维度中第一个是灵活性和适应性—稳定性和控制， 意思是从上到下， 组织文化从灵活
到稳定， 从适应环境到控制环境。
第二个维度是指内部导向—外部导向， 意思是从左到右， 组织文化发展从基于内部的策略导
向到基于外部环境进行策略调整。
B 部分）描述组织文化的特征，这些特征可以从这两个维度的不同组合演变而来。 5 分
由 part A, 我们知道组织文化可以被两个维度划分为四个特征， 即 Adhocracy， Hierarchy， Clan,
market。 下面来分别详细解释这四个特征
Adhocracy 是在高灵活性维度和外部环境导向维度的结合下产生的一种文化特征。 主要致力
于开发新产品和服务，组织领导具有企业家精神和冒险精神，能提出未来发展愿景，管理的
主要内容就是推动创新，侧重于培育具有适应性、灵活性和创造性的文化氛围。组织结构可
以根据项目与环境的变化随时调整。 一般存在于不确定性和快节奏行业(如软件开发)。
Hierarchy 是指在高稳定性维度和外部环境导向维度的结合下产生的一种文化特征。 主要致
力于企业长远而稳定的发展，尽量规避各种不确定性因素。 Hierarchy 提倡建设安全、稳定
和秩序的企业文化， 使组织成员都习惯于遵守各种制度和规范，并从中找到安全感和归属感。
因此 Hierarchy 组织常常是高度规范和结构化的， 且领导决策时往往偏于保守。 一般存在于
政府部门或者 State-owned enterprise.
Clan 是指高灵活性维度和内部环境导向维度的结合下产生的一种文化特征。 Clan 通常使组
织成员之间有共同的价值观和工作目标，注重员工间的和谐互助关系，努力给员工创造自由
的参与空间。 Clan 类似于家庭组织， 注重员工的长期目标和自我提升。 通常 Clan 为员工提
供民主参与机会和自主权， 激发员工热情。 Clan 型文化组织相信团队力量可以控制外部环境，
进而以内部环境为策略导向。 员工通常有很高的忠诚度与很强的归属感和信任感。
Market 是指高稳定性维度和外部环境导向维度的结合下产生的一种文化特征。 Market 是一
种以业绩为重点的文化， 强调竞争力和生产率。 组织领导都是铁腕的形象，他们要求严格乃
至苛刻，是目标取向与务实的管理者， 因此员工通常没有很高的自主灵活性。 同时 Market
高度重视外部竞争和控制，而不是内部管理， 因此对外部环境高度敏感。
C 部分）描述（上文 B 部分中）确定的组织文化对信息系统安全性管理的影响。 6 分
以上所述的四种文化类型并不是单独存在于所有的组织中。 而是多种并存于企业中， 而且每
个企业的企业文化中都主要有一种或两种类型文化起到主导作用。对信息系统安全性管理而
言，每一种文化强调的内容不同，所展现的文化特征也不同，这直接决定了其在多个领域的
表现和特性。 比如对于 Adhocracy 可以从创新和外部环境的角度进行信息系统安全管理， 对
于 Hierarchy 可以从正式系统和内部环境进行信息系统安全管理， 对于 Clan 可以从 Inform
system 和内部环境进行进行信息系统安全管理。 Market 可以从稳定的标准和外部的竞争进
行进行信息系统安全管理。
22.
Part A) Describe the importance of formal controls in information systems security management.
3 mark
Part B) Describe the role of authority and responsibility structures in managing information
system security in an organisation. 5 mark
Part C)Describe the role of information security strategy and policy in managing information
system security in an organisation, 7 mark
A 部分）描述了形式控制在信息系统安全管理中的重要性。 3 分
formal system 是组织结构整体框架的核心， 而 formal controls 包括了支持型的技术控制，组
织架构的控制，战略方向的控制，还要为员工框定他们的责任和权利等。 因此在信息安全管
理中起到至关重要的作用。 但是还需要注意信息安全管理是一个整体， 需要保持 formal
control, informal control, and technical control 的一致性。 而且需要注意正式控制产生官僚化
会对信息系统安全管理的安全性和完整性造成负面影响
B 部分）描述权限和责任结构在组织中管理信息系统安全中的作用。 5 分
权限是指有权利对某个程序或系统进行操作权力。
责任是指发生事故时， 需要为事故承担的责任。
责任结构定义了权限模式而且权限和责任结构的识别和发展是形式信息系统安全的关键方
面。 因为责任和权限结构可以确定正是控制系统的性能， 提供识别负责代理商的方法， 了解
行为的基本模式， 体现组织成员的角色和报告结构。
当职责和权限结构定义不清或根本不定义时，将导致正式控制系统崩溃。 因为这样信息传递
将会很混乱， 当权限不清时， 无法保证信息的保密性。 当责任不清时， 出了事故无法找到相
关负责人进行问责。 因此明确职责和权限结构至关重要。
C 部分）描述信息安全策略和策略在组织中管理信息系统安全中的作用， 7 分
我们需要根据信息安全中设计好的 policy， 去设计自己项目的战略 strategy。
建立总体信息安全策略和政策
安全策略与政策
•确定如何管理 IS 安全性的管理方面
•建立安全计划
•分配计划管理职责
•设定组织范围的计算机安全目的和目标
•为遵守政策奠定基础
23
Part A) List and describe the categories of control structures which should be addressed in
designing information systems security management. 6 mark
Part B) Describe the formal, technical and informal controls which could be designed based in the
attributes of each of the control structures (in Part A above) to manage information systems
security. 9 mark
A 部分）列出并描述在设计信息系统安全管理时应解决的控制结构类别。 6 分
• Auditing
• Application controls
• Modeling controls
• Documentation control
Auditing
•系统是否正在执行应做的工作？
•它是检查，验证和纠正系统整体功能的最基本的控制结构之一
•记录系统状态
•检查，验证和更正记录的状态
• Application controls
•系统中试图防止发生系统故障的功能集
•准确性解决了执行正确过程逻辑的功能的需求
•完整性解决了对对所有必要数据执行过程逻辑的功能的需求
•安全控制试图防止安全漏洞
•输入控件
•处理控件
•输出控件
•违反可能是有意或无意的
•应用程序控制解决了预防故障的问题
• Modeling controls
•了解和记录系统中其他控制点的工具
•逻辑模型说明由于业务规则而需要的控制
•物理模型说明了实施策略所需的控制措施
• Documentation control
•维持系统完整性的最关键控制
•不幸的是，它是最被忽略的控制措施之一
•文档应与系统本身一起创建
•适当而完整的文档可以使系统更易于理解，最终可以节省资源
B 部分）描述形式，技术和非正式控件，可以根据每个控件结构的属性来设计形式（上述 A
部分），以管理信息系统的安全性。 9 分
formal control 之中主要包括了支持型的技术控制，组织架构的控制，战略方向的控制，还要
为员工框定他们的责任和权利等。
informal control 的核心就是 security awareness 的培养，用持续的教育和培训项目去实现，最
好是构建一个完善合适的 security culture，因为文化体系是可以自我增强的。
技术层面的控制主要是验证（ authentication）和通行（ access）的控制。然后包括防火墙等
控制手段。