全部科目 > 信息系统项目管理师 >
2021年下半年 上午试卷 综合知识
第 54 题
知识点 信息安全审计系统   安全审计   网络攻击   维护   系统运行  
章/节 信息安全审计  
 
 
安全审计的手段主要包括()。
①识别网络各种违规操作②对信息内容和业务流程审计,防止信息非法泄漏③响应并阻断网络攻击行为④对系统运行情况进行日常维护
 
  A.  ①②③
 
  B.  ②③④
 
  C.  ①②④
 
  D.  ①③④
 
 




 
 
相关试题     信息安全审计 

  第18题    2010年下半年  
某高校决定开发网络安全审计系统,希望该系统能够有选择地记录任何通过网络对应用系统进行的操作并对其进行实时与事后分析和处理;具备入侵实时阻断功能,同时不对应用系统本身的正常运行产生任..

  第65题    2019年下半年  
( )的目标是防止内部机密或敏感信息非法泄露和资产的流失。

  第13题    2013年上半年  
下面有关安全审计的说法错误的是(13)。

 
知识点讲解
· 信息安全审计系统
· 安全审计
· 网络攻击
· 维护
· 系统运行
 
        信息安全审计系统
        安全审计概述
        美国国防部1985年发布了可信计算机安全评估准则(TCSEC),计算机系统的安全可信性分为4大类:D、C、B和A。A为最高一类,C分为两个子类,B分为3个子类,共有7级。
        中华人民共和国国家军用标准按处理的信息等级和采取的相应措施,将计算机系统的安全分为4等8级,分别为:
        .D等:最小保护。
        .C等:自主保护。
        C1级:自主安全保护。
        C2级:可控制访问保护。
        .B等:强制保护。
        B1级:有标号的安全保护。
        B2级:结构化保护。
        B3级:安全域。
        .A等:验证保护。
        A1级:验证设计。
        超A1级。
        中华人民共和国国家标准规定了计算机系统安全保护能力的5个等级,分别为:
        .第一级:用户自主保护级。
        .第二级:系统审计保护级。
        .第三级:安全标记保护级。
        .第四级:结构化保护级。
        .第五级:访问验证保护级。
        安全审计是指将主体对客体访问和使用的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。
        安全审计是信息安全保障系统中的一个重要组成部分,具体包括两方面的内容:
        .采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应并进行阻断。
        .对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
        安全审计系统的作用如下:
        .对潜在的攻击者起到震慑作用。
        .对已经发生的系统破坏行为提供追纠证据。
        .提供日志便于及时发现入侵行为和系统漏洞。
        .提供日志便于发现系统性能不足之处。
        网络安全审计的具体内容有:
        .监控网络内部的用户活动。
        .侦查系统中存在的潜在威胁。
        .对日常运行状况的统计和分析。
        .对突发案件和异常事件的事后分析。
        .辅助侦破和取证。
        CC标准将安全审计功能分为6个部分,分别为:
        .安全审计自动响应功能。
        .安全审计自动生成功能。
        .安全审计分析功能。
        .安全审计浏览功能。
        .安全审计事件选择功能。
        .安全审计事件存储功能。
        建立安全审计系统
        安全审计系统的主体建设方案有:
        .利用入侵检测预警系统实现网络与主机信息检测审计。
        .对重要应用系统运行情况的审计。
        .基于网络旁路监控方式安全审计。
        安全审计系统S_Audit简介
        S_Audit网络安全审计系统是国内复旦光华公司自主知识产权的产品,它在设计上采用了分步式审计和多层次审计相结合的方案。
        S_Audit系统由审计中心、审计控制台和审计Agent组成。
        审计中心是对整个审计系统的数据进行集中存储和管理,并进行应急响应的专有软件,它基于数据库平台,采用数据库方式进行审计数据管理和系统控制,并在无人看守的情况下长期运行。
        审计控制台是提供给管理员用于对审计数据进行查阅,对审计系统进行规则设置,实现报警功能的界面软件。
        审计Agent将报警数据和需要记录的数据自动报送到审计中心,并由审计中心进行统一的调度管理。
 
        安全审计
        安全审计是指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。安全审计是落实系统安全策略的重要机制和手段,通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。它是信息安全保障系统中的一个重要组成部分。具体包括两个方面的内容:
        (1)采用网络监控与入侵防范系统,识别网络中各种违规操作与攻击行为,即时响应并进行阻断。
        (2)对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
        CC标准将安全审计功能分为6个部分,分别是安全审计自动响应、安全审计自动生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储。
        (1)安全审计自动响应:定义在被测事件指示出一个潜在的安全攻击时做出的响应,它是管理审计事件的需要,这些需要包括报警或行动。例如包括实时报警的生成、违例进程的终止、中断服务、用户账号的失效等。根据审计事件的不同系统将做出不同的响应。其响应的行动可以做增加、删除、修改等操作。
        (2)安全审计数据生成:记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型,以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。
        (3)安全审计分析:定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。
        (4)安全审计浏览:审计系统能够使授权的用户有效地浏览审计数据,它包括审计浏览、有限审计浏览、可选审计浏览。
        (5)安全审计事件选择:系统管理员能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计。例如,与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性,系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用户的动作。
        (6)安全审计事件存储:审计系统将提供控制措施,以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。
 
        网络攻击
        攻击是指任何的非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到完全破坏、控制服务器。在网络上成功实施的攻击级别依赖于用户采取的安全措施。
        攻击的法律定义是“攻击仅仅发生在入侵行为完全完成而且入侵者已经在目标网络内”。专家的观点则是“可能使一个网络受到破坏的所有行为都被认定为攻击”。
        网络攻击可以分为以下几类:
        (1)被动攻击。攻击者通过监视所有信息流以获得某些秘密。这种攻击可以是基于网络(跟踪通信链路)或基于系统(用秘密抓取数据的特洛伊木马代替系统部件)的。被动攻击是最难被检测到的,故对付这种攻击的重点是预防,主要手段有数据加密等。
        (2)主动攻击。攻击者试图突破网络的安全防线。这种攻击涉及数据流的修改或创建错误流,主要攻击形式有假冒、重放、欺骗、消息纂改和拒绝服务等。这种攻击无法预防但却易于检测,故对付的重点是测而不是防,主要手段有防火墙、入侵检测技术等。
        (3)物理临近攻击。在物理临近攻击中未授权者可物理上接近网络、系统或设备,目的是修改、收集或拒绝访问信息。
        (4)内部人员攻击。内部人员攻击由这些人实施,他们要么被授权在信息安全处理系统的物理范围内,要么对信息安全处理系统具有直接访问权。有恶意的和非恶意的(不小心或无知的用户)两种内部人员攻击。
        (5)分发攻击。分发攻击是指在软件和硬件开发出来之后和安装之前这段时间,或当它从一个地方传到另一个地方时,攻击者恶意修改软/硬件。
 
        维护
        维护阶段是软件生存期中时间最长的阶段。软件一旦交付正式投入运行后便进入软件维护阶段。该阶段的关键任务是通过各种必要的维护活动使系统持久地满足用户的需要。每一项维护活动都应该准确地记录下来,作为正式的文档资料加以保存。
 
        系统运行
               系统管理分类
               IT系统管理工作主要是优化IT部门的各类管理流程,并保证能够按照一定的服务级别,为业务部门(客户)高质量、低成本地提供IT服务。IT系统管理工作可以按照以下两个标准予以分类。
                      按系统类型分类
                      (1)信息系统,企业的信息处理基础平台,直接面向业务部门(客户),包括办公自动化系统、企业资源计划(ERP)、客户关系管理(CRM)、供应链管理(SCM)、数据仓库系统(Date Warehousing)、知识管理平台(KM)等。
                      (2)网络系统,作为企业的基础架构,是其他方面的核心支撑平台。包括企业内部网(Intranet)、IP地址管理、广域网(ISDN、虚拟专用网)、远程拨号系统等。
                      (3)运作系统,作为企业IT运行管理的各类系统,是IT部门的核心管理平台。包括备份/恢复系统、入侵检测、性能监控、安全管理、服务级别管理、帮助服务台、作业调度等。
                      (4)设施及设备,设施及设备管理是为了保证计算机处于适合其连续工作的环境中,并把灾难(人为或自然的)的影响降到最低限度。包括专门用来放置计算机设备的设施或房间。
                      对IT资产(计算机设备、通信设备、个人计算机和局域网设备)的恰当的环境保护;有效的环境控制机制:火灾探测和灭火系统、湿度控制系统、双层地板,隐藏的线路铺设、安全设置水管位置,使其远离敏感设备、以及不间断电源和后备电力供应等。
                      按流程类型分类
                      (1)侧重于IT部门的管理,从而保证能够高质量地为业务部门(客户)提供IT服务。这一部分主要是对公司整个IT活动的管理,包括IT财务管理、服务级别管理、IT资源管理、能力管理、系统安全管理、新系统转换、系统评价等职能。
                      (2)侧重于业务部门的IT支持及日常作业,从而保证业务部门(客户)IT服务的可用性和持续性。这一部分主要是业务部门IT支持服务,包括IT日常作业管理、帮助服务台管理、故障管理及用户支持、性能及可用性保障等。
                      (3)侧重于IT基础设施建设,主要是建设企业的局域网、广域网、Web架构、Internet连接等。
               系统管理规范化
               系统管理的规范化涉及到人员职责、操作流程等方面标准的制定,并进行有效的标准化。企业IT部门除了IT部门组织结构及职责之外,还应该详细制定各类运作管理规章制度,主要包括:日常作业调度手册、系统备份及恢复手册、性能监控及优化手册、输出管理手册、帮助服务台运作手册、常见故障处理方法、终端用户计算机使用制度等与用户息息相关的IT支持作业方面的规范制度。此外,还包括服务级别管理手册、安全管理制度、IT财务管理制度、IT服务计费及成本核算、IT资源及配置管理、新系统转换流程、IT能力规划管理等由IT部门执行的以提供高质量IT服务为目的的管理流程。
               系统运作报告
               系统运行过程中的关键操作、非正常操作、故障、性能监控、安全审计等信息,应该实时或随后形成系统运作报告,并进行分析以改进系统管理水平。
               是否有流程保证对所有不属于标准操作的操作性问题给予记录(在问题管理系统内)、分析和及时处理?
                      系统日常操作日志
                      系统日志应该记录足以形成数据的信息,为关键性的运作提供审核追踪记录,并且保存合理的时间段。利用日志工具定期对日志进行检查,以便监控例外情况并发现非正常的操作、未经授权的活动、作业完成情况、存储状况、CPU、内存利用水平等。
                      性能/能力规划报告
                      企业需要了解其IT能力能否满足其业务需要,因此它需要了解系统性能、能力和成本的历史数据,定期形成月度、年度性能报告,并进行趋势分析和资源限制评估,在此基础之上增加或调整其IT能力。
                      性能监控工具应该主动地监控、测量和报告系统的性能,包括平均响应时间、每日交易数、平均无故障时间、CPU、存储器等的使用状况、网络性能等,从而可以有预见性地响应变化的业务需求。
                      故障管理报告
                      企业应定期产生有关问题的统计数据,这些统计数据包括:事故出现次数、受影响的客户数、解决事故所需时间和成本、业务损失成本等,可以供管理层对反复发生的问题进行根本原因的分析,并寻找改进的机会。
                      另外,对于每次故障处理应该进行数据记录、归类,作为基础,它应包括以下内容。
                      .目录,确定与故障相关联的领域,比如硬件、软件等。
                      .影响度,故障对业务流程的影响程度。
                      .紧迫性,故障需要得到解决的紧急程度。
                      .优先级,综合考虑影响度、紧迫性、风险和可用资源后得出的解决故障的先后顺序。
                      .解决方法,故障解决的流程、处理方法。
                      这样有利于使用知识管理系统来协助解决问题。
                      安全审计日志
                      为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制来实现在跟踪中记录有关安全的信息。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。
                      审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。常见的审计记录可能包括:活动的用户账号和访问特权;用户的活动情况,包括可疑的行为;未授权和未成功的访问企图;敏感命令的运行等。
                      系统运作报告使对IT的整个运行状况的评价得以实现,IT报告应具备涵盖所有IT领域的关键业绩指标,例如风险及问题、财务状况、系统利用率、系统性能、系统故障时间、服务级别执行情况、安全审计等,这也为IT运作绩效的改进提供了基础。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有