啟點(diǎn)學(xué)院 5301 期末復(fù)習(xí)題
判斷對(duì)錯(cuò) 每題 50-70 字解釋
1. All system failures are the result of input errors.所有系統(tǒng)故障都是輸入錯(cuò)誤的結(jié)果。 Week5
p32
Disagree
輸入錯(cuò)誤屬于一種引起系統(tǒng)故障的原因但是
All security breaches are the result of a system failure, not just input errors. Such as operations
error, design error.
2. information system security decision classes of strategic, administrative, and operational are
mutually exclusive.戰(zhàn)略，行政和運(yùn)營(yíng)的信息系統(tǒng)安全決策類是互斥的。 chapter7
Disagree
戰(zhàn)略，行政和運(yùn)營(yíng)的信息系統(tǒng)安全決策類是互相促進(jìn)的。
戰(zhàn)略性 IS 安全決策涉及選擇確保業(yè)務(wù)平穩(wěn)運(yùn)行的環(huán)境。
行政 IS 安全決策涉及創(chuàng)建適當(dāng)?shù)慕Y(jié)構(gòu)和過(guò)程以啟用信息處理。
運(yùn)營(yíng) IS 安全決策涉及優(yōu)化工作模式以提高效率
3. Network security will remain a major concern as long as there is connectivity of some sort with
other systems.只要與其他系統(tǒng)之間存在某種連通性，網(wǎng)絡(luò)安全仍將是主要問(wèn)題。 Chapter 5？
agree
網(wǎng)絡(luò)安全就是為了防范黑客基于網(wǎng)絡(luò)的入侵來(lái)達(dá)到竊取信息或者使目標(biāo)崩潰等競(jìng)爭(zhēng)攻擊目
的所采取的措施。 因此當(dāng)系統(tǒng)與其他系統(tǒng)之間存在某種連通性， 就代表系統(tǒng)間存在網(wǎng)絡(luò)， 進(jìn)
而需要確保網(wǎng)絡(luò)安全， 對(duì)網(wǎng)絡(luò)安全中看出現(xiàn)的問(wèn)題進(jìn)行控制和管理。
4. The SSE-CMM module of security engineering recommends large incremental steps for
achieving rapid improvement in information security processes.安全工程的 SSE-CMM 模塊建議
采用較大的增量步驟，以實(shí)現(xiàn)信息安全流程的快速改進(jìn)。
disagree
SSE-CMM 是一個(gè)定義系統(tǒng)中實(shí)現(xiàn)安全性的要求， 流程的一個(gè)模型， 同時(shí)還可以定義和評(píng)估
流程的成熟度級(jí)別。 主要用于過(guò)程改進(jìn)， 能力評(píng)估和認(rèn)證。 但不建議采用較大的增量步驟，
而是 recommends incremental steps for achieving improvement in information security
processes. not rapidly
5. Executive leadership buy-in assures staff buy-in and also ensures funding foe information
systems security program.執(zhí)行領(lǐng)導(dǎo)層的買入保證了員工的買入，并確保了對(duì)信息系統(tǒng)安全計(jì)
劃的資助。
Disagree
各級(jí)組織的 buy-in 是任何組織中信息系統(tǒng)安全計(jì)劃成功的關(guān)鍵。 執(zhí)行領(lǐng)導(dǎo)層放入 buy-in 可
以增強(qiáng)員工的 buy-in 的信心和動(dòng)力， 促進(jìn)員工 buy-in， 但是不能確保搜有員工都 buy-in。
6. There is a strong correlation between organization culture and organisational performance. 組
織文化和組織績(jī)效之間有很強(qiáng)的相關(guān)性。 Week 9 ，
Agree
強(qiáng)大的文化可增強(qiáng)協(xié)調(diào)和控制能力，改善目標(biāo)一致性，并增加員工工作量， 最終有提高績(jī)效，
比如華為的企業(yè)文是以貢獻(xiàn)報(bào)酬，憑責(zé)任定待遇，鼓勵(lì)人才充分發(fā)揮個(gè)人的聰明才智， 進(jìn)而
提高員工加班的積極性， 提高績(jī)效。 所以說(shuō)組織文化和組織績(jī)效之間有很強(qiáng)的相關(guān)性。
7. The quantity and value of resources allocated for prevention of a possible security breach
solely depend on the likelihood of occurrence of the breach
為防止可能發(fā)生的安全漏洞而分配的資源數(shù)量和價(jià)值僅取決于發(fā)生漏洞的可能性
Disagree
還有漏洞的嚴(yán)重程度
8. Confidentiality is the single most important security issue in commercial business organisations
機(jī)密性是商業(yè)企業(yè)組織中最重要的單個(gè)安全問(wèn)題
Disagree
軍隊(duì)更關(guān)心機(jī)密性， 因?yàn)樵谲娛禄顒?dòng)中， 信息泄露可能會(huì)導(dǎo)致嚴(yán)重的事故， 甚至決定一場(chǎng)戰(zhàn)
役的成敗。 而商業(yè)更關(guān)心完整性， 因?yàn)槠髽I(yè)更關(guān)心誰(shuí)更改信息， 而不是誰(shuí)閱讀信息。
9. The need to know principle is one of the contributing factors which ensures confidentially of
information,
需要了解原則是確保機(jī)密信息的重要因素之一，
Agree
confidential 是指保護(hù)私有數(shù)據(jù)，無(wú)論其位于何處或在傳輸過(guò)程中
了解原則無(wú)論是在軍事還是商業(yè)中都起到重要的作用， 比如在軍隊(duì)中， 如果軍官不了解
confidentially of information 的原理， 可能會(huì)向間諜泄漏軍事行動(dòng)， 導(dǎo)致戰(zhàn)役的失敗。
10. Valuable Information/data should be protected at all times, irrespective of the cost of such
protection
貴重信息/數(shù)據(jù)應(yīng)始終受到保護(hù)，無(wú)論其成本如何
Agree
信息安全是十分重要的， 所以對(duì)于貴重的信息和數(shù)據(jù)應(yīng)始終收到保護(hù)， 但如果成本過(guò)高， 保
護(hù)該信息的成本如果遠(yuǎn)高于該信息帶來(lái)的價(jià)值， 可以考慮進(jìn)行信息安全管理降低對(duì)該信息的
保護(hù)級(jí)別進(jìn)而降低成本， 使成本低于該信息的價(jià)值。 不能因?yàn)橥耆Ｗo(hù)的成本過(guò)高就放棄保
護(hù)。
11. According to ISO/IEC 27002, the purpose of security organisation is______
To establish a vision for information security and direct corporate resources.
To ensure perimeter defense and physically ensure protection of assets.
To develop and create structures and processes for managing security
To reduce human error, misuse and abuse of information by personnel
12. The relationship between effective corporate governance and information systems security is
important because________
It guarantees support from shareholders
It provides funding for information system security
It shows clear responsibilities for information systems security
It provides for the best defensible position if losses due to a security incident are challenged by
shareholders, stakeholders, or the government, as an inadequacy of governance
It provides guidelines for information systems security planning
13. The effectiveness of the security policy is a function of _________
Complexity of technology
Investment in technology
Availability of technology
The level of support is has from executive leadership
Financial support it has from the organisation
14. which one of the following is a key decision of operation IS security?
Costing security initiatives
Structure of information flows
Setting security objectives and goals Structure of resource conversion
Resource acquisition
15. modification threat is said to occur when____________
Hardware, software, or the data is destroyed
Data is accessed and changed in an unauthorised manner
Data can be accessed by the public
When an unauthorised person or application gains access to restricted computer resources
Computer system becomes unavailable for use
16. Security engineering is important because________
It can help in reduction of operational costs
Information is an asset which must be properly deployed to get the maximum benefits out of it
It saves money in the long run
It ensures that engineers don’t need to spend valuable time in managing the environment
It can ensure that firewalls are deployed
17. To create adequate structures and processes to realise adequate information handing is a
part of the ______Information System Security decision.
Administrative
Strategic
Operational
Functional
Organisational
18. Which one of the following controls addresses the detection of a failure?
Application control
Modelling control
Audit control
Testing control
Documentation control
19. In the Bell La-Padula model, the stipulation that a subject cannot access information which is
classified at a higher level than the subject, is called_________
No read down rule
No write down rule
No write up rule
No read up rule
Need to know rule
20. In context of the use of cryptography, it is important to balance information security
with_______.
Cost, management support and the sensitivity of data/communication
Timeliness,management support and the sensitivity of data/communication
Timeliness, management support and the the sensitivity of data/ communication
Cost, timeliness and the sensitivity of data/communication
Cost, timeliness management support, and the sensitivity of data/communication
11.根據(jù) ISO / IEC 27002，安全組織的目的是_C_____
建立信息安全和直接公司資源的愿景。
確保外圍防御并從物理上確保資產(chǎn)的保護(hù)。
開(kāi)發(fā)和創(chuàng)建用于管理安全性的結(jié)構(gòu)和過(guò)程
減少人為錯(cuò)誤，人員濫用和濫用信息
12.有效的公司治理與信息系統(tǒng)安全之間的關(guān)系很重要，因?yàn)?/span>__C______
保證股東的支持
它為信息系統(tǒng)安全提供資金
它顯示了信息系統(tǒng)安全的明確責(zé)任
如果由于安全事件導(dǎo)致的損失受到股東，利益相關(guān)者或政府的挑戰(zhàn)，因?yàn)橹卫聿蛔?，它將?br>供最佳的防御地位
它為信息系統(tǒng)安全規(guī)劃提供指導(dǎo)
13.安全策略的有效性是___C______的函數(shù)
技術(shù)的復(fù)雜性
技術(shù)投資
技術(shù)可用性
支持水平來(lái)自執(zhí)行領(lǐng)導(dǎo)
組織提供的財(cái)務(wù)支持
14.以下哪一項(xiàng)是操作安全性的關(guān)鍵決定？ a
成本計(jì)算安全措施
信息流的結(jié)構(gòu)
設(shè)定安全目標(biāo)和目標(biāo)資源轉(zhuǎn)換的結(jié)構(gòu)
資源獲取
15，據(jù)說(shuō)當(dāng)____B________發(fā)生改裝威脅
硬件，軟件或數(shù)據(jù)被破壞
以未經(jīng)授權(quán)的方式訪問(wèn)和更改數(shù)據(jù)
數(shù)據(jù)可以被公眾訪問(wèn)
未經(jīng)授權(quán)的人或應(yīng)用程序訪問(wèn)受限計(jì)算機(jī)資源時(shí)
計(jì)算機(jī)系統(tǒng)無(wú)法使用
16.安全工程很重要，因?yàn)?/span>____C____
它可以幫助降低運(yùn)營(yíng)成本
信息是一項(xiàng)資產(chǎn)，必須對(duì)其進(jìn)行適當(dāng)部署，以從中獲得最大收益
從長(zhǎng)遠(yuǎn)來(lái)看，它可以節(jié)省金錢
它確保工程師無(wú)需花費(fèi)寶貴的時(shí)間來(lái)管理環(huán)境
它可以確保部署了防火墻
17.創(chuàng)建適當(dāng)?shù)慕Y(jié)構(gòu)和過(guò)程以實(shí)現(xiàn)適當(dāng)?shù)男畔⑻幚硎?/span>______信息系統(tǒng)安全決策的一部分。
行政的
戰(zhàn)略
操作
功能性
組織
18.以下控件中的哪個(gè)控件可解決故障檢測(cè)？
應(yīng)用程序控制
建?？刂?br>審計(jì)控制
測(cè)試控制
文件控制
19.在 Bell La-Padula 模型中，受試者無(wú)法訪問(wèn)比該受試者更高級(jí)別分類的信息的規(guī)定稱為
_________
沒(méi)有讀書(shū)規(guī)則
沒(méi)有減記規(guī)則
沒(méi)有寫(xiě)規(guī)則
沒(méi)有閱讀規(guī)則
需要知道規(guī)則
20.在使用密碼學(xué)的情況下，平衡信息安全與_______很重要。
成本，管理支持和數(shù)據(jù)/通信的敏感性
及時(shí)性，管理支持和數(shù)據(jù)/通信的敏感性
及時(shí)性，管理支持以及數(shù)據(jù)/通信的敏感性
成本，及時(shí)性和數(shù)據(jù)/通信的敏感性
成本，及時(shí)性管理支持以及數(shù)據(jù)/通信的敏感性
Please provide your answer to following multi-part question in approximately 350 to 400 words.
21.
Part A) list and briefly describe the two dimensions which are used to classify organisational
culture. 4 mark
Part B) Describe the characteristics of organisational culture which can evolve from the different
combinations of these two dimensions.5 mark
Part C) Describe the influences of the organisational cultures identified(in Part B above) on
management of information systems security. 6 mark
A 部分）列出并簡(jiǎn)要描述了用于對(duì)組織文化進(jìn)行分類的兩個(gè)維度。 4 分
本課用兩個(gè)維度(靈活性和適應(yīng)性—穩(wěn)定性和控制性；內(nèi)部導(dǎo)向—外部導(dǎo)向)劃分出四個(gè)象限，
每種象限代表一種組織文化。
這兩個(gè)維度中第一個(gè)是靈活性和適應(yīng)性—穩(wěn)定性和控制， 意思是從上到下， 組織文化從靈活
到穩(wěn)定， 從適應(yīng)環(huán)境到控制環(huán)境。
第二個(gè)維度是指內(nèi)部導(dǎo)向—外部導(dǎo)向， 意思是從左到右， 組織文化發(fā)展從基于內(nèi)部的策略導(dǎo)
向到基于外部環(huán)境進(jìn)行策略調(diào)整。
B 部分）描述組織文化的特征，這些特征可以從這兩個(gè)維度的不同組合演變而來(lái)。 5 分
由 part A, 我們知道組織文化可以被兩個(gè)維度劃分為四個(gè)特征， 即 Adhocracy， Hierarchy， Clan,
market。 下面來(lái)分別詳細(xì)解釋這四個(gè)特征
Adhocracy 是在高靈活性維度和外部環(huán)境導(dǎo)向維度的結(jié)合下產(chǎn)生的一種文化特征。 主要致力
于開(kāi)發(fā)新產(chǎn)品和服務(wù)，組織領(lǐng)導(dǎo)具有企業(yè)家精神和冒險(xiǎn)精神，能提出未來(lái)發(fā)展愿景，管理的
主要內(nèi)容就是推動(dòng)創(chuàng)新，側(cè)重于培育具有適應(yīng)性、靈活性和創(chuàng)造性的文化氛圍。組織結(jié)構(gòu)可
以根據(jù)項(xiàng)目與環(huán)境的變化隨時(shí)調(diào)整。 一般存在于不確定性和快節(jié)奏行業(yè)(如軟件開(kāi)發(fā))。
Hierarchy 是指在高穩(wěn)定性維度和外部環(huán)境導(dǎo)向維度的結(jié)合下產(chǎn)生的一種文化特征。 主要致
力于企業(yè)長(zhǎng)遠(yuǎn)而穩(wěn)定的發(fā)展，盡量規(guī)避各種不確定性因素。 Hierarchy 提倡建設(shè)安全、穩(wěn)定
和秩序的企業(yè)文化， 使組織成員都習(xí)慣于遵守各種制度和規(guī)范，并從中找到安全感和歸屬感。
因此 Hierarchy 組織常常是高度規(guī)范和結(jié)構(gòu)化的， 且領(lǐng)導(dǎo)決策時(shí)往往偏于保守。 一般存在于
政府部門或者 State-owned enterprise.
Clan 是指高靈活性維度和內(nèi)部環(huán)境導(dǎo)向維度的結(jié)合下產(chǎn)生的一種文化特征。 Clan 通常使組
織成員之間有共同的價(jià)值觀和工作目標(biāo)，注重員工間的和諧互助關(guān)系，努力給員工創(chuàng)造自由
的參與空間。 Clan 類似于家庭組織， 注重員工的長(zhǎng)期目標(biāo)和自我提升。 通常 Clan 為員工提
供民主參與機(jī)會(huì)和自主權(quán)， 激發(fā)員工熱情。 Clan 型文化組織相信團(tuán)隊(duì)力量可以控制外部環(huán)境，
進(jìn)而以內(nèi)部環(huán)境為策略導(dǎo)向。 員工通常有很高的忠誠(chéng)度與很強(qiáng)的歸屬感和信任感。
Market 是指高穩(wěn)定性維度和外部環(huán)境導(dǎo)向維度的結(jié)合下產(chǎn)生的一種文化特征。 Market 是一
種以業(yè)績(jī)?yōu)橹攸c(diǎn)的文化， 強(qiáng)調(diào)競(jìng)爭(zhēng)力和生產(chǎn)率。 組織領(lǐng)導(dǎo)都是鐵腕的形象，他們要求嚴(yán)格乃
至苛刻，是目標(biāo)取向與務(wù)實(shí)的管理者， 因此員工通常沒(méi)有很高的自主靈活性。 同時(shí) Market
高度重視外部競(jìng)爭(zhēng)和控制，而不是內(nèi)部管理， 因此對(duì)外部環(huán)境高度敏感。
C 部分）描述（上文 B 部分中）確定的組織文化對(duì)信息系統(tǒng)安全性管理的影響。 6 分
以上所述的四種文化類型并不是單獨(dú)存在于所有的組織中。 而是多種并存于企業(yè)中， 而且每
個(gè)企業(yè)的企業(yè)文化中都主要有一種或兩種類型文化起到主導(dǎo)作用。對(duì)信息系統(tǒng)安全性管理而
言，每一種文化強(qiáng)調(diào)的內(nèi)容不同，所展現(xiàn)的文化特征也不同，這直接決定了其在多個(gè)領(lǐng)域的
表現(xiàn)和特性。 比如對(duì)于 Adhocracy 可以從創(chuàng)新和外部環(huán)境的角度進(jìn)行信息系統(tǒng)安全管理， 對(duì)
于 Hierarchy 可以從正式系統(tǒng)和內(nèi)部環(huán)境進(jìn)行信息系統(tǒng)安全管理， 對(duì)于 Clan 可以從 Inform
system 和內(nèi)部環(huán)境進(jìn)行進(jìn)行信息系統(tǒng)安全管理。 Market 可以從穩(wěn)定的標(biāo)準(zhǔn)和外部的競(jìng)爭(zhēng)進(jìn)
行進(jìn)行信息系統(tǒng)安全管理。
22.
Part A) Describe the importance of formal controls in information systems security management.
3 mark
Part B) Describe the role of authority and responsibility structures in managing information
system security in an organisation. 5 mark
Part C)Describe the role of information security strategy and policy in managing information
system security in an organisation, 7 mark
A 部分）描述了形式控制在信息系統(tǒng)安全管理中的重要性。 3 分
formal system 是組織結(jié)構(gòu)整體框架的核心， 而 formal controls 包括了支持型的技術(shù)控制，組
織架構(gòu)的控制，戰(zhàn)略方向的控制，還要為員工框定他們的責(zé)任和權(quán)利等。 因此在信息安全管
理中起到至關(guān)重要的作用。 但是還需要注意信息安全管理是一個(gè)整體， 需要保持 formal
control, informal control, and technical control 的一致性。 而且需要注意正式控制產(chǎn)生官僚化
會(huì)對(duì)信息系統(tǒng)安全管理的安全性和完整性造成負(fù)面影響
B 部分）描述權(quán)限和責(zé)任結(jié)構(gòu)在組織中管理信息系統(tǒng)安全中的作用。 5 分
權(quán)限是指有權(quán)利對(duì)某個(gè)程序或系統(tǒng)進(jìn)行操作權(quán)力。
責(zé)任是指發(fā)生事故時(shí)， 需要為事故承擔(dān)的責(zé)任。
責(zé)任結(jié)構(gòu)定義了權(quán)限模式而且權(quán)限和責(zé)任結(jié)構(gòu)的識(shí)別和發(fā)展是形式信息系統(tǒng)安全的關(guān)鍵方
面。 因?yàn)樨?zé)任和權(quán)限結(jié)構(gòu)可以確定正是控制系統(tǒng)的性能， 提供識(shí)別負(fù)責(zé)代理商的方法， 了解
行為的基本模式， 體現(xiàn)組織成員的角色和報(bào)告結(jié)構(gòu)。
當(dāng)職責(zé)和權(quán)限結(jié)構(gòu)定義不清或根本不定義時(shí)，將導(dǎo)致正式控制系統(tǒng)崩潰。 因?yàn)檫@樣信息傳遞
將會(huì)很混亂， 當(dāng)權(quán)限不清時(shí)， 無(wú)法保證信息的保密性。 當(dāng)責(zé)任不清時(shí)， 出了事故無(wú)法找到相
關(guān)負(fù)責(zé)人進(jìn)行問(wèn)責(zé)。 因此明確職責(zé)和權(quán)限結(jié)構(gòu)至關(guān)重要。
C 部分）描述信息安全策略和策略在組織中管理信息系統(tǒng)安全中的作用， 7 分
我們需要根據(jù)信息安全中設(shè)計(jì)好的 policy， 去設(shè)計(jì)自己項(xiàng)目的戰(zhàn)略 strategy。
建立總體信息安全策略和政策
安全策略與政策
?確定如何管理 IS 安全性的管理方面
?建立安全計(jì)劃
?分配計(jì)劃管理職責(zé)
?設(shè)定組織范圍的計(jì)算機(jī)安全目的和目標(biāo)
?為遵守政策奠定基礎(chǔ)
23
Part A) List and describe the categories of control structures which should be addressed in
designing information systems security management. 6 mark
Part B) Describe the formal, technical and informal controls which could be designed based in the
attributes of each of the control structures (in Part A above) to manage information systems
security. 9 mark
A 部分）列出并描述在設(shè)計(jì)信息系統(tǒng)安全管理時(shí)應(yīng)解決的控制結(jié)構(gòu)類別。 6 分
? Auditing
? Application controls
? Modeling controls
? Documentation control
Auditing
?系統(tǒng)是否正在執(zhí)行應(yīng)做的工作？
?它是檢查，驗(yàn)證和糾正系統(tǒng)整體功能的最基本的控制結(jié)構(gòu)之一
?記錄系統(tǒng)狀態(tài)
?檢查，驗(yàn)證和更正記錄的狀態(tài)
? Application controls
?系統(tǒng)中試圖防止發(fā)生系統(tǒng)故障的功能集
?準(zhǔn)確性解決了執(zhí)行正確過(guò)程邏輯的功能的需求
?完整性解決了對(duì)對(duì)所有必要數(shù)據(jù)執(zhí)行過(guò)程邏輯的功能的需求
?安全控制試圖防止安全漏洞
?輸入控件
?處理控件
?輸出控件
?違反可能是有意或無(wú)意的
?應(yīng)用程序控制解決了預(yù)防故障的問(wèn)題
? Modeling controls
?了解和記錄系統(tǒng)中其他控制點(diǎn)的工具
?邏輯模型說(shuō)明由于業(yè)務(wù)規(guī)則而需要的控制
?物理模型說(shuō)明了實(shí)施策略所需的控制措施
? Documentation control
?維持系統(tǒng)完整性的最關(guān)鍵控制
?不幸的是，它是最被忽略的控制措施之一
?文檔應(yīng)與系統(tǒng)本身一起創(chuàng)建
?適當(dāng)而完整的文檔可以使系統(tǒng)更易于理解，最終可以節(jié)省資源
B 部分）描述形式，技術(shù)和非正式控件，可以根據(jù)每個(gè)控件結(jié)構(gòu)的屬性來(lái)設(shè)計(jì)形式（上述 A
部分），以管理信息系統(tǒng)的安全性。 9 分
formal control 之中主要包括了支持型的技術(shù)控制，組織架構(gòu)的控制，戰(zhàn)略方向的控制，還要
為員工框定他們的責(zé)任和權(quán)利等。
informal control 的核心就是 security awareness 的培養(yǎng)，用持續(xù)的教育和培訓(xùn)項(xiàng)目去實(shí)現(xiàn)，最
好是構(gòu)建一個(gè)完善合適的 security culture，因?yàn)槲幕w系是可以自我增強(qiáng)的。
技術(shù)層面的控制主要是驗(yàn)證（ authentication）和通行（ access）的控制。然后包括防火墻等
控制手段。