免费智能真题库 > 历年试卷 > 电子商务设计师 > 2009年下半年 电子商务设计师 上午试卷 综合知识
  第40题      
  知识点:   安全管理策略   机密性
  关键词:   保密   非授权用户        章/节:   电子商务信息安全威胁与防范       

 
机密性服务必须和(40)配合工作才能提供信息的保密,防止非授权用户访问信息。
 
 
  A.  完整性服务
 
  B.  可用性服务
 
  C.  可审性服务
 
  D.  容错性服务
 
 
 

 
  第11题    2021年上半年  
   80%
在EDI的软件结构中, () 具有接受来自用户接口模块命令和信息的功能。
 
   知识点讲解    
   · 安全管理策略    · 机密性
 
       安全管理策略
        电子商务是一个复杂的系统,涉及很多参与角色和活动环节。因此,电子商务的安全除了靠安全技术保障外,还必须加强监管,建立健全相应的安全管理制度,有相关的法律法规作保障。
        (1)交易安全管理制度。交易安全管理制度主要是为电子商务活动提供安全交易环境,制定相应管理制度和策略,提高信用,规避风险,保证商务活动的公平、公开和公正。
        (2)风险管理与控制机制。通过风险管理与控制机制的建立能够对潜在风险及其发生的可能性进行分析,从而及时有效地实施应对策略来规避风险。风险管理与控制是一个封闭的连续过程。首先是主动检查系统内外工作环境,找出潜在风险。其次是对潜在风险及其发生的可能性进行分析,在此基础上对可分配的资源进行评估,制定评估计划与实施方案,并予以实现。最后利用实现过程中所获得的监控信息对风险管理的计划与控制进行调整。应对风险要考虑成本效益的问题,应当认真研究和制定风险管理与控制机制,正确把握投入的度,以最小的投入,获得最大的效益。
        (3)运行、维护和安全监控管理制度。建立日常的电子商务系统运行、维护和安全监控管理制度,定期检查系统日志,对系统的日常工作情况进行记录与监控。特别要对关系系统安全的重大相关事件、操作状况和运行情况进行记录,以便分析查找发现问题,及时妥善解决问题。
        (4)授权、访问控制策略和责任。授权是指赋予本体(用户、终端、程序等)对客体(数据、程序等)的支配权利,即规定了谁可以对谁进行什么操作。例如,规定某个文件只能由特定人员阅读或修改;人事记录只能由人事部职员进行新增和修改,并且只能由人事部职员、执行经理以及该记录所属于的那个人阅读;在多级安全系统中,只有所持的许可证级别等于或高于相关密级的人员,才有权访问该密级中的信息等。这些安全策略的描述也对各类防护措施提出了要求。在计算机和通信系统中,主要是以一种被称为“访问控制策略”的系统安全策略反映出来的。访问控制策略隶属于系统安全策略,它迫使在计算机系统和网络中自动地执行授权。例如,基于身份的策略,该策略允许或者拒绝执行对明确区分的个体或群体进行访问;基于任务的策略,它是基于身份的策略的一种变形,它给每一个体分配任务,并基于这些任务来使用授权规则;多等级策略,它是基于信息敏感性的等级以及工作人员许可证等级而制定的一般规则的策略。支撑所有安全控制策略的一个根本原则是责任。受到安全策略制约的任何个体在执行任务时,需要对他们的行动负责。
        (5)人员管理制度。人员管理在电子商务安全管理中处于非常重要的地位,管理的对象包括在职人员和离职人员,管理的内容包括无意的操作失误、有意的攻击与破坏、错误的判断等。内部人员对系统攻击的危害性及发现的难度要远远大于外部人员,因此如何防止系统内部人员对电子商务系统有意的攻击与破坏是重中之重。制定严格的管理制度,加强教育和监督,明确职责和权限,严禁越权操作和使用。建立离职人员的审计和监督制度,杜绝因人员的离职给单位造成不必要的损失。建立在职人员个人情况(特别是经济状况、工作业绩、道德品行等)档案,及时了解在职人员的思想和工作状况,防止蓄意破坏情况的发生。另外,还要在人员录用、安全教育、岗前培训等方面制定相应的管理制度,消除安全隐患,杜绝安全漏洞,防患于未然。
        (6)保密制度。建立安全保密制度,加强工作人员的安全教育,提高安全意识。严格执行信息披露制度,保证企业的有价值信息、关键性商务运作信息、客户私人信息以及内部重要信息等不被泄露。
        (7)病毒防范机制。建立病毒的检测与防范机制,通过采用网络防火墙、防病毒软件、控制访问权限等技术和措施,增强安全意识,严格制度管理。认真执行病毒的检测与清理、系统漏洞检查等制度,杜绝安全隐患,防患于未然。
        (8)安全计划、应急机制和灾难恢复机制。任何系统都会受到自然灾害或者是人为灾害的影响,使系统处于不安全或者不稳定的状态。因此,需要制定安全计划、应急机制和灾难恢复措施。评估系统薄弱环节,防止和减少系统风险。制定完善的安全解决方案,在系统出现突发性事故或不安全事故发生的情况下,能够尽快排除故障,恢复系统正常运行,最大限度地减少损失。制定灾难恢复措施,经常对重要数据进行备份。采用数据恢复技术,以便灾难发生时,能够及时恢复与使用数据。
 
       机密性
        安全WAP(Wireless Application Protocol,无线应用协议)应用使用SSL(Secure Sockets Layer,安全套接字层)和WTLS(Wireless Transport Layer Security,无线传输层安全)来保护安全传输的不同部分,其中SSL用来保护应用中的有线连接部分,而WTLS主要用来保护无线连接部分。
        WTLS在操作上类似SSL,但WTLS对RSA和ECC都提供支持。另外,WTLS可以在慢速、资源少的环境下提供安全服务,而SSL只能加重环境的负担。WAP协议栈位于OSI参考模型的第4~7层,对于基于IP的网络,应用UDP协议,而对于非IP网络,应用WDP(Wireless Datagram Protocol,无线数据报协议)协议。WTLS是WAP协议栈中的安全协议,可以用来在无线环境中保护UDP和WDP业务。
   题号导航      2009年下半年 电子商务设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第40题    在手机中做本题