ISO27001信息安全管理体系介绍.ppt课件.ppt

1、ISO27001信息安全管理体系介绍页数 1招商银行信息系统内部审计培训招商银行信息系统内部审计培训招商银行信息系统内部审计培训ISO27001ISO27001信息安全管理体系介绍信息安全管理体系介绍20092009年年3 3月月ISO27001信息安全管理体系介绍页数 2招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息安全管理体系介绍页数 3招

2、商银行信息系统内部审计培训几个问题几个问题信息是否是企业的重要资产？信息的泄漏是否会给企业带来重大影响？信息的真实性对企业是否带来重大影响？信息的可用性对企业是否带来重大影响？我们是否清楚知道什么信息对企业是重要的？信息的价值是否在企业内部有一个统一的标准？我们是否知道企业关系信息的所有人我们是否知道企业关系信息的信息流向、状态、存储方式，是否收到足够保护？信息安全事件给企业造成的最大/最坏影响？ISO27001信息安全管理体系介绍页数 4招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息

3、安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息安全管理体系介绍页数 5招商银行信息系统内部审计培训信息资产信息资产信息：数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排（fallback arrangement）、审核跟踪记录（audit trails）、归档信息；软件资产：应用软件、系统软件、开发工具和实用程序；物理资产：计算机设备、通信设备、可移动介质和其他设备；服务：计算和通信服务（例如，网络浏览、域名解析）、公用设施（例如，供暖

4、，照明，能源，空调）；人员，他们的资格、技能和经验；无形资产，如组织的声誉和形象。信息资产类型:ISO27001信息安全管理体系介绍页数 6招商银行信息系统内部审计培训信息资产信息资产电脑数据网络传输传真纸上记录图片数码照片光盘磁带电话交谈人的大脑等信息资产存在方式：ISO27001信息安全管理体系介绍页数 7招商银行信息系统内部审计培训信息资产信息资产产生使用存储传输销毁/抛弃信息资产的生命周期：产生使用存贮传输销毁/抛弃ISO27001信息安全管理体系介绍页数 8招商银行信息系统内部审计培训什么是信息安全什么是信息安全? ? ISO27001 将信息安全定义如下:保证信息的保密性，完整性，

5、可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性保密性可用性保密性：信息不能被未授权的个人，实体或者过程利用或知悉的特性可用性：根据授权实体的要求可访问和利用的特性 完整性：保护资产的准确和完整的特性 ISO27001信息安全管理体系介绍页数 9招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息安全管理体系介绍页数 10招商银行信

6、息系统内部审计培训信息安全管理体系（信息安全管理体系（ISMSISMS）介绍）介绍Information Security Management System(ISMS)信息安全管理体系基于国际标准ISO/IEC27001：信息安全管理体系要求是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员ISO/IEC JTC1/SC27/WG1（国际标准化组织/国际电工委员会 联合技术委员会1/子委员27/工作组1），WG1做为ISMS标准的工作组，负责开发ISMS相关的标准与指南ISO27001信息安全管理体系介绍页数 11招商银行信息系统内部审计培训IS

7、O 27000ISO 27000系列标准系列标准标准序号标准名称发布时间ISO/IEC 27000基础与术语基础与术语起草中，未发布起草中，未发布ISO/IEC 27001ISMS Requirement ISMS要求要求 2005年年10月月ISO/IEC 27002Code of Practice for ISMS实用规则实用规则2007年年4月月ISO/IEC 27003ISMS Implementation Guidance ISMS实施指南实施指南起草中，未发布起草中，未发布ISO/IEC 27004ISMS Metrics and Measurement ISMS的测量的测量起草中

8、，未发布起草中，未发布ISO/IEC 27005Information Security Risk Management 信息安全风险管理信息安全风险管理2008年年6月月ISO/IEC 27006Certification and Registration process审核认证机构要求审核认证机构要求2007年年2月月ISO27001信息安全管理体系介绍页数 12招商银行信息系统内部审计培训ISO 27001 ISO 27001 的历史的历史ISO27001信息安全管理体系介绍页数 13招商银行信息系统内部审计培训等同的国家标准等同的国家标准GB/T 22080-2008 信息技术 安全技

9、术 信息安全管理体系 要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则 我国已将ISO27001和ISO27002系列标准等同转化为国家标准。2008年9月，经国家标准化管理委员会批准，全国信息安全标准化技术委员会发布两个新的国家标准，并于2008年11月1日起实施。ISO27001信息安全管理体系介绍页数 14招商银行信息系统内部审计培训提升竞争力提高合规性满足利益相关方期望实施实施ISMSISMS的好处的好处建立持续改进的信息安全与风险管理有效保护组织的知识产权有效保护客户信息提升组织形象提升内部控制符合国家信息安全管理标准要求保护商业机密遵从法律法规要求更好

10、的IT服务质量保证业务连续性增强自信与客户信任度提升投资回报率ISO 27001ISO27001信息安全管理体系介绍页数 15招商银行信息系统内部审计培训当前获得当前获得ISO27001ISO27001证书的组织分布证书的组织分布(2008(2008年年9 9月月) ) ISO27001信息安全管理体系介绍页数 16招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 I

11、SO27001信息安全管理体系介绍页数 17招商银行信息系统内部审计培训ISO27001ISO27001信息安全管理体系要求信息安全管理体系要求相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act信息安全管理体系（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。 ISO27001

12、信息安全管理体系介绍页数 18招商银行信息系统内部审计培训定义范围和边界定义安全策略定义风险评估方法识别风险识别和评价风险识别和评价风险处理的可选措施为处理风险选择控制目标和控制措施获得管理者对建议的残余风险的批准获得管理者对实施和运行ISMS的授权准备适用性声明（SoA）建立建立ISMSISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMSISO27001信息安全管理体系介绍页数 19招商银行信息系统内部审计培训实施和运行实施和运行ISMSISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行

13、ISMS制定风险处理计划实施风险处理计划 实施培训和意识教育计划管理ISMS的运行 管理ISMS的资源应急响应、事故管理ISO27001信息安全管理体系介绍页数 20招商银行信息系统内部审计培训监视和评审监视和评审ISMSISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS执行监视与评审程序和其它控制措施 ISMS有效性的定期评审 测量控制措施的有效性 定期实施ISMS内部审核 定期进行ISMS管理评审 ISO27001信息安全管理体系介绍页数 21招商银行信息系统内部审计培训保持和改进保持和改进ISMSISMS检查Check建立ISMS

14、保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS实施已识别的ISMS改进措施 采取合适的纠正和预防措施 从安全经验中吸取教训 向所有相关方沟通措施和改进情况 ISO27001信息安全管理体系介绍页数 22招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息安全管理体系介绍页数 23招商银行信息系统内部审计培训风险的概念风险的

15、概念风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言：两种因素造成对其使命的实际影响：一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率上述事件发生之后所带来的影响在ISO/IEC GUIDE73将风险定义为：事件的概率及其结果的组合。ISO27001信息安全管理体系介绍页数 24招商银行信息系统内部审计培训风险管理的目标风险管理的目标风险管理指标识、控制和减少可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。 风险管理被认为是良好管理的一个组成部分。 风险管理的目标：高影响低概率高影响高影响高概率高概率低影响低影响低概率低概率

16、底影响底影响低概率低概率影响概率控制目标控制目标概率ISO27001信息安全管理体系介绍页数 25招商银行信息系统内部审计培训信息安全风险管理一般方法信息安全风险管理一般方法资产识别 威胁识别 分析和评价风险 风险处理计划识别脆弱性当前控制措施分析风险监控、检查与沟通风险监控、检查与沟通ISO27001信息安全管理体系介绍页数 26招商银行信息系统内部审计培训识别威胁识别威胁威胁威胁可多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径几种常见威胁：自然灾害计算机犯罪员工操作失误商业间谍黑客ISO 27001将威胁定义如下：可能导致对系统或组织的损害的不期望事件发生的潜在原因 ISO2

17、7001信息安全管理体系介绍页数 27招商银行信息系统内部审计培训识别脆弱性识别脆弱性脆弱性常被成为漏洞几种常见脆弱性：简单口令员工安全意思淡薄第三方缺乏保密协议变更管理薄弱明文传输信息经验表明：大多数重大的脆弱性通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的，但是进行风险评估时往往过分注重技术脆弱性。ISO 27001将脆弱性定义如下：可能会被一个或多个威胁所利用的资产或一组资产的弱点 ISO27001信息安全管理体系介绍页数 28招商银行信息系统内部审计培训分析当前控制分析当前控制ISO 27002将控制定义如下：管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以

18、是行政、技术、管理、法律等方面的。控制措施也用于防护措施或对策的同义词。本步的目标是对已经实现或规划中的安全防护措施进行分析单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率）ISO27001信息安全管理体系介绍页数 29招商银行信息系统内部审计培训风险的分析与评价风险的分析与评价风险分析：系统地使用信息来识别风险来源和估计风险 风险评价:将估计的风险与给定的风险准则加以比较以确定风险严重性的过程存在定性、定量两种风险分析方法实例：ISO27001信息安全管理体系介绍页数 30招商银行信息系统内部审计培训风险处理策略风险处理策略经过风险评估后识别出来的风险，接着便是制定其对应

19、的风险处理计划. 可能的风险处理计划包括以下四种之一或四种的组合:采取适当的控制措施来降低(reduce) 风险。了解并客观地接受( accept) 风险, 倘若他们清除的符合公司策略并在可接受风险范围之内，或者如果采取控制（control）措施的话，成本太高。通过放弃当前的某些活动来规避(avoid)风险发生。转嫁(transfer)风险至其它组织， 例如保险公司、供应商等。ISO27001信息安全管理体系介绍页数 31招商银行信息系统内部审计培训定义风险接收水平定义风险接收水平风险处理计划完成后的残余风险水平应在可接受风险水平之内初始风险水平（高）可接受的风险水平（Low）残余风险风险级别

20、高中低残余风险风险控制措施风险控制措施ISO27001信息安全管理体系介绍页数 32招商银行信息系统内部审计培训控制措施选择控制措施选择从针对性和实施方式来看，控制措施分三类：管理(Administrative)性: 安全策略,流程, 组织与职责等操作(Operation)性:人员职责, 事故反应, 意识培训,系统开发等等技术(Technical)性: 加密,访问控制,审计等或者从功能上来分,控制措施类型包括：威慑性(Deterrent): 告示、标语预防性(Preventive): 培训，操作手册，加密，身份认证检测性(Detective): CCTV,保安，报警纠正性(Corrective

21、):培训，问责，应急响应，灾备ISO27001信息安全管理体系介绍页数 33招商银行信息系统内部审计培训风险风险成本成本最佳投资点最佳投资点基本原则实施安全控制措施的代价不应该大于要保护的资产的价值选择控制措施时的成本效益分析选择控制措施时的成本效益分析ISO27001信息安全管理体系介绍页数 34招商银行信息系统内部审计培训1234信息安全概述信息安全概述信息安全风险评估信息安全风险评估 ISMSISMS介绍介绍ISO27001ISO27001 信息安全管理体系要求信息安全管理体系要求目录目录5ISO27002 ISO27002 信息安全管理实用规则信息安全管理实用规则 ISO27001信息

22、安全管理体系介绍页数 35招商银行信息系统内部审计培训ISO27002ISO27002信息安全管理体系实用规则信息安全管理体系实用规则一、安全方针（Security Policy）二、组织信息安全（Organizing Information Security）三、资产管理（Asset Management）四、人力资源安全（Human Resource Security）五、物理及环境安全(Physical and Environmental Security) 六、通信与操作管理（Communications and Operations Management）八、系统获取、开发与维护(I

23、nformation System Acquisition, Development and Maintenance)七、访问控制（Access Control）九、信息安全事件管理（Information Security Incident Management）十、业务持续性管理（Business Continuity Management）十一、符合性（Compliance）11个安全域，39个控制目标，133个控制点ISO27001信息安全管理体系介绍页数 36招商银行信息系统内部审计培训控制域控制域1 1：安全方针：安全方针信息安全方针文件信息安全方针文件的评审1.1信息安全方针信息

24、安全方针 依据业务要求和相关法律法规提供管理指导并支持信息安全 ISO27001信息安全管理体系介绍页数 37招商银行信息系统内部审计培训控制域控制域2 2：组织信息安全：组织信息安全信息安全的管理承诺信息安全协调 信息安全职责的分配信息处理设施的授权过程保密性协议2.12.1内部组织内部组织 在组织内管理信息安全 与外部各方相关风险的识别处理与顾客有关的安全问题处理第三方协议中的安全问题2.2组织外部各方组织外部各方保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全 ISO27001信息安全管理体系介绍页数 38招商银行信息系统内部审计培训控制域控制域3 3：资产

25、管理：资产管理资产清单资产责任人资产的合格使用3.13.1资产责任资产责任实现和保持对组织资产的适当保护 分类指南信息的标记和处理3.2资产分类资产分类确保信息受到适当级别的保护 ISO27001信息安全管理体系介绍页数 39招商银行信息系统内部审计培训控制域控制域4 4：人力资源安全：人力资源安全角色和职责背景审查任用条款和条件4.1任用之前任用之前确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险 管理职责信息安全意识、教育和培训 纪律处理过程4.2任用中任用中确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责

26、和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险终止职责资产的归还撤销访问权4.3任用的终止任用的终止或变化或变化确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系 ISO27001信息安全管理体系介绍页数 40招商银行信息系统内部审计培训控制域控制域5 5：物理和环境安全：物理和环境安全物理安全边界 物理入口控制 办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安全5.1安全区域安全区域防止对组织场所和信息的未授权物理访问、损坏和干扰 设备安置和保护支持性设施布缆安全设备维护组织场所外的设备安全设备的安全处

27、置和再利用资产的移动5.2设备安全设备安全防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断 ISO27001信息安全管理体系介绍页数 41招商银行信息系统内部审计培训控制域控制域6 6：通信和操作管理：通信和操作管理文件化的操作程序变更管理责任分割开发、测试和运行设施分离6.16.1操作程序和操作程序和职责职责确保正确、安全的操作信息处理设施 服务交付第三方服务的监视和评审第三方服务的变更管理6.26.2第三方服务第三方服务交付管理交付管理实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准 容量管理系统验收6.36.3系统规划和系统规划和验收验收将系统失效的风险降至最小

28、ISO27001信息安全管理体系介绍页数 42招商银行信息系统内部审计培训控制域控制域6 6：通信和操作管理（续）：通信和操作管理（续）控制恶意代码控制移动代码6.4防范恶意和防范恶意和移动代码移动代码保护软件和信息的完整性 信息备份6.5备份备份保持信息和信息处理设施的完整性及可用性 网络控制网络服务安全6.6网络安全管理网络安全管理确保网络中信息的安全性并保护支持性的基础设施 ISO27001信息安全管理体系介绍页数 43招商银行信息系统内部审计培训控制域控制域6 6：通信和操作管理（续）：通信和操作管理（续）可移动介质的管理介质的处置信息处理程序系统文件安全6.7介质处置介质处置防止资产

29、遭受未授权泄露、修改、移动或销毁以及业务活动的中断 信息交换策略和程序交换协议运输中的物理介质电子消息发送业务信息系统6.8信息的交换信息的交换保持组织内信息和软件交换及与外部组织信息和软件交换的安全 电子商务在线交易公共可用信息6.9电子商务服务电子商务服务确保电子商务服务的安全及其安全使用 ISO27001信息安全管理体系介绍页数 44招商银行信息系统内部审计培训控制域控制域6 6：通信和操作管理（续）：通信和操作管理（续）审计日志监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步6.10监视监视检测未经授权的信息处理活动 ISO27001信息安全管理体系介绍页数 45招商银行

30、信息系统内部审计培训控制域控制域7 7：访问控制：访问控制访问控制策略7.1访问控制的访问控制的业务要求业务要求控制对信息的访问 用户注册特殊权限管理用户口令管理用户访问权的复查7.2用户访问管理用户访问管理确保授权用户访问信息系统，并防止未授权的访问 口令使用无人值守的用户设备清空桌面和屏幕策略7.3用户职责用户职责防止未授权用户对信息和信息处理设施的访问、危害或窃取 ISO27001信息安全管理体系介绍页数 46招商银行信息系统内部审计培训控制域控制域7 7：访问控制（续）：访问控制（续）使用网络服务的策略外部连接的用户鉴别网络上的设备标识远程诊断和配置端口的保护网络隔离网络连接控制网络路

31、由控制7.4网络访问控制网络访问控制防止对网络服务的未授权访问 安全登录程序用户标识和鉴别口令管理系统系统实用工具的使用会话超时联机时间的限定7.5操作系统访操作系统访问控制问控制防止对操作系统的未授权访问 信息访问限制敏感系统隔离7.6应用和信息应用和信息访问控制访问控制防止对应用系统中信息的未授权访问 ISO27001信息安全管理体系介绍页数 47招商银行信息系统内部审计培训控制域控制域7 7：访问控制（续）：访问控制（续）移动计算和通讯远程工作7.7移动计算和移动计算和远程工作远程工作确保使用移动计算和远程工作设施时的信息安全 ISO27001信息安全管理体系介绍页数 48招商银行信息系

32、统内部审计培训控制域控制域8 8：信息系统获取、开发和维护信息系统获取、开发和维护安全要求分析和说明8.1信息系统的信息系统的安全要求安全要求确保安全是信息系统的一个有机组成部分 输入数据验证内部处理的控制消息完整性输出数据验证8.2应用中的正应用中的正确处理确处理防止应用系统中的信息的错误、遗失、未授权的修改及误用 使用密码控制的策略密钥管理8.3密码控制密码控制通过密码方法保护信息的保密性、真实性或完整性 ISO27001信息安全管理体系介绍页数 49招商银行信息系统内部审计培训控制域控制域8 8：信息系统获取、开发和维护（续）：信息系统获取、开发和维护（续）运行软件的控制系统测试数据的保

33、护对程序源代码的访问控制8.4系统文件的系统文件的安全安全确保系统文件的安全 变更控制程序操作系统变更后应用的技术评审软件包变更的限制信息泄露外包软件开发8.5开发和支持开发和支持过程中的安全过程中的安全维护应用系统软件和信息的安全 技术脆弱性的控制8.6技术脆弱性技术脆弱性管理管理降低利用公布的技术脆弱性导致的风险 ISO27001信息安全管理体系介绍页数 50招商银行信息系统内部审计培训控制域控制域9 9：信息安全事件管理：信息安全事件管理报告信息安全事态报告安全弱点9.1报告信息安报告信息安全事态和弱点全事态和弱点确保与信息系统有关的信息安全事态和弱点能够以某种方式传达，以便及时采取纠正

34、措施 职责和程序对信息安全事件的总结证据的收集9.2信息安全事信息安全事件和改进的管理件和改进的管理确保采用一致和有效的方法对信息安全事件进行管理ISO27001信息安全管理体系介绍页数 51招商银行信息系统内部审计培训控制域控制域1010：业务连续性管理：业务连续性管理 业务连续性管理过程中包含的信息安全 业务连续性和风险评估制定和实施包含信息安全的连续性计划业务连续性计划框架测试、维护和再评估业务连续性计划10.1业务连续性业务连续性管理的信息安全管理的信息安全方面方面防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复 ISO27001信息安全管理体系

35、介绍页数 52招商银行信息系统内部审计培训控制域控制域1111：符合性：符合性 可用法律的识别知识产权（IPR）保护组织的记录数据保护和个人信息的隐私防止滥用信息处理设施密码控制措施的规则11.1符合法律要求符合法律要求避免违反任何法律、法令、法规或合同义务，以及任何安全要求 符合安全策略和标准技术符合性检查11.2符合安全策符合安全策略和标准以及技略和标准以及技术符合性术符合性确保系统符合组织的安全策略及标准 信息系统审核控制措施信息系统审核工具的保护11.3信息系统审信息系统审核考虑核考虑将信息系统审核过程的有效性最大化，干扰最小化 本PPT为可编辑版本，您看到以下内容请删除后使用，谢谢您

36、的理解【解析】【解答】（1）氯化钠是由钠离子和氯离子构成的；金刚石是由碳原子构成的；干冰是由二氧化碳分子构成的；（2）质子数为11的是钠元素，钠元素原子的最外层电子数1，在化学反应中容易失去一个电子形成阳离子；（3）化学变化是生成新分子的变化，其实质是分子分解成原子，原子重新组合形成新的分子，故该反应中没有变的是碳原子和氧原子。故答案为：氯化钠；失去；D。【分析】物质有微粒构成，构成物质的微粒有原子、分子、离子是那种，金属、稀有气体由原子构成；常见气体由分子构成；碱和盐由离子构成。在化学变化中，原子种类、质量、数目保持不变。26.用微粒的观点解释下列现象： （1）今年我国要求“公共场所全面禁烟

37、”非吸烟者往往因别人吸烟而造成被动吸烟。 （2）夏天钢轨间的缝隙变小。 【答案】（1）分子是在不断的运动的.（2）夏天温度高，铁原子间的间隔变小. 【考点】物质的微粒性 【解析】【解答】（1）吸烟生成烟雾，烟雾分子因为运动，扩散到空气中，使非吸烟者被动吸入烟雾分子，造成被动吸烟；（2）钢轨由铁原子构成.每两根钢轨间都有一定的间隙，夏天由于气温高，使得钢轨中铁原子的间隔变大，表现为钢轨的体积膨胀，则钢轨间的间隙变小.故答案为：（1）分子是在不断运动的；（2）夏天高温，铁原子间的间隔变小.【分析】微粒观点的主要内容：物质是由分子（或原子构成），分子间有间隔，分子处于永停息的运动状态中.（1）烟雾分

38、子属气体分子，在空气中扩散较快，使非吸烟者被动吸烟；（2）铁原子间有一定的间隔，温度升高，则铁原子间间隔变大，反之则变小，夏天高温状态下，铁原子间间隔变大，使得钢轨体积膨胀，则钢轨间的缝隙变小.【考点】物质的微粒性 【解析】【解答】（1）铁属于金属单质，是由铁原子直接构成；氯化钠是由钠离子和氯离子构成的；二氧化碳是由二氧化碳分子构成的（2）当质子数=核外电子数，为原子，a=2+8=10，该粒子是原子原子序数=质子数=10当a=8时，质子数=8，核外电子数=10，质子数核外电子数，为阴离子。故答案为：原子；离子；分子；10；10；阴离子。【分析】物质有微粒构成，构成物质的微粒有原子、分子、离子是

39、那种，金属、稀有气体由原子构成；常见气体由分子构成；碱和盐由离子构成。当核电荷数等于核外电子数，表示原子，小于时表示阴离子，大于时表示阳离子。25.初中化学学习中，我们初步认识了物质的微观结构。（3）升高温度分子运动速度就加快，只要能说明温度高了运动速度快了的例子都可以，例如阳光下或者温度高衣服干得快，温度高水蒸发的快，糖在热水里比在冷水里溶解的快等；（4）由于注射器装入的药品少，现象明显，又是封闭状态，所以可以控制体积节省药品、可以减少气体挥发造成的污染等故答案为：（1）固体；（2）分子的质量大小或者相对分子质量大小（合理即给分）；（3）阳光下或者温度高衣服干得快，温度高水蒸发的快，糖在热水

40、里比在冷水里溶解的快等；（4）可以控制体积节省药品、可以减少气体挥发造成的污染等【分析】（1）根据实验现象判断氯化铵的状态；（2）根据它们的相对分子质量的区别考虑；（3）根据温度与运动速度的关系考虑；（4）根据注射器的特点考虑【解析】【解答】A、向一定质量的盐酸和氯化钙的混合溶液中逐滴加入碳酸钠溶液至过量的过程中，生成氯化钠的质量不断增大，当碳酸钠与盐酸和氯化钙完全反应时，氯化钠的质量不再增大，A符合题意；B、向稀硫酸中加水，溶液的pH逐渐增大至接近于7，B不符合题意；C、向一定质量的稀硫酸中逐滴加入氢氧化钡溶液至过量的过程中，氢氧化钡不断和硫酸反应生成硫酸钡沉淀和水，溶质的质量减小，质量分数

41、也减小，当氢氧化钡和稀硫酸完全反应时，继续滴加氢氧化钡溶液时，质量分数应该由小变大，C不符合题意；D、加热高锰酸钾时，当温度达到一定程度时，高锰酸钾开始分解生成锰酸钾、二氧化锰和氧气，随着反应的进行，剩余固体的质量不断减少，当高锰酸钾完全反应时，剩余固体的质量不再变化，D符合题意。【解析】【解答】A、可燃物的在着火点是一定的，不会降低，故说法错误，可选；B、爆炸是物质在有限的空间内，发生急剧燃烧，短时间内聚集大量的热，使周围的气体的体积膨胀造成的可见爆炸需要氧气的参与，可使燃烧处于暂时缺氧状态，达到灭火的目的故说法正确，不可选；【解析】【解答】燃烧需要同时满足三个条件：一是要有可燃物，二是可燃

42、物要与氧气接触，三是温度要达到可燃物的着火点；以上三个条件都能满足时，可燃物才能发生燃烧。灭火的原理就是破坏燃烧的条件。根据描述，自动灭火陶瓷砖会喷出氦气和二氧化碳，故灭火的原理是隔绝氧气。【解析】【解答】解：A、从题目中表格知，H2体积分数为10%70%的H2和空气混合气体，点燃时会发生爆炸，故A正确；B、收集的H2能安静燃烧，说明H2的纯度大于等于80%，故B项错误；C、用向下排空气法收集H2 ， 保持试管倒置移近火焰，如果没有听到任何声音，表示收集的H2纯度大于等于80%，故C项错误；D、氢气和空气的混合气体点燃不一定发生爆炸，只有在爆炸极限范围内才会发生爆炸，故D项错误故选A【分析】可

43、燃物质（可燃气体、蒸气和粉尘）与空气（或氧气）在一定的浓度范围内均匀混合，遇着火源可能会发生爆炸，这个浓度范围称为爆炸极限可燃性混合物能够发生爆炸的最低浓度和最高浓度，分别称为爆炸下限和爆炸上限，在低于爆炸下限时不爆炸也不着火，在高于爆炸上限同样不燃不爆因此可燃性气体在点燃前需要先检验气体的纯度，以防发生爆炸【解析】【解答】A、通过实验可以知道烧杯中的白磷没有燃烧，说明烧杯中的白磷虽然温度达到着火点，但没有与氧气接触，所以不能燃烧，从而可以判断烧杯中的热水不仅仅是只起到加热的作用，故A说法正确；B、铜片上白磷燃烧是温度达到了着火点且与氧气接触，满足燃烧的条件，故B说法正确；C、铜片上的红磷没有

44、燃烧是温度过低没有达到其着火点，没有满足燃烧的条件，故C说法正确；D、烧杯中的白磷通入空气（氧气）就会燃烧，出现“水火相容”的奇观，故D说法错误故选D24.能源、环境、安全已成为人们日益关注的问题 （1）三大化石燃料包括煤、_、天然气等；它们都是_（填“可再生”或“不可再生”）能源 （2）控制反应的条件可使燃料充分燃烧燃煤发电时，将煤块粉碎成煤粉的目的是_ （3）天然气主要成分为甲烷，写出甲烷充分燃烧的化学方程式_ 下列有关天然气（或甲烷）的说法正确的是_（填字母）A沼气中的主要成分是甲烷B甲烷气体不会产生温室效应C用天然气代替煤作燃料，有利于减少酸雨形成 You and your frien

45、ds are leaving a concert on a Friday night. When you get outside, your ears are ringing. You have to shout to be heard. 36 So no harm doneright? Not quite. Temporary buzzing may be easy to ignore, but repeated exposure to loud noise will eventually cause serious- and irreversible(无法治愈的)- hearing los

46、s. A new study conducted by researchers at Brigham and Womens Hospital in Boston shows that one in five people between the ages of 12 and 19 are experiencing slight hearing loss, and one in 20 have mild hearing loss. 37 But the good news is that there plenty of ways you can protect your ears from fu

47、rther damage and still listen to the music you love: Ask around.Ask around. Put your earbuds in or your headphones on, and then ask a friend next to you whether or not he or she can hear what youre listening to. 38 Turn it down. Buy noise-canceling headphones. Buy noise-canceling headphones. A pair of earbuds or headphones that fits comfortably will limit outside noise so that you can hear your music better at lower volumes.