免费智能真题库 > 历年试卷 > 信息处理技术员 > 2012年下半年 信息处理技术员 上午试卷 综合知识
  第32题      
  知识点:   安全策略   完整性   泄露
  关键词:   安全策略   数据完整性   安全   数据   完整性        章/节:   信息安全基本知识       

 
(32) 是一种保护数据的安全策略,该策略使用户只能感知自己将用到的信息,对于其他信息都加以屏蔽和保护,使信息泄露、数据完整性受到损害的可能性最小。
 
 
  A.  知所必需
 
  B.  按名存取
 
  C.  文件属性限制
 
  D.  加密
 
 
 

 
  第33题    2015年下半年  
   66%
(33)不是数字签名的功能。
  第61题    2016年下半年  
   15%
信息系统的安全防护措施中,不包括(61)。
  第34题    2012年下半年  
   59%
(34) 不属于信息污染。
   知识点讲解    
   · 安全策略    · 完整性    · 泄露
 
       安全策略
        安全策略概述
        安全策略是指人们对由于使用计算机业务应用系统而可能导致企业资产损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
        安全策略的核心内容就是“七定”:定方案、定岗、定位、定员、定目标、定制度、定工作流程。
        安全策略具有科学性、严肃性、非二义性和可操作性。
        建立安全策略需要处理好的关系
        1.安全与应用相互依存
        安全与应用既矛盾,又相互依存。没有应用,就不会产生相应的安全需求等问题;不妥善地解决安全问题,就不能更好地开展应用。另外,安全是有代价的,会增加系统建设和运行的费用,会规定对使用的限制,给应用带来一些不便。
        2.风险度的观点
        安全是相对的,是一个风险大小的问题。它是一个动态过程,我们不能一厢情愿地追求所谓绝对安全,而是要将安全风险控制在合理程度或允许的范围内。
        3.适度安全的观点
        安全风险与安全代价相对应,需要经过风险评估后对风险和代价进行均衡,有效控制两者的平衡点,既能保证安全风险的有效控制,又使安全的代价可以接受。
        4.木桶效应观点
        安全就好比木桶的短板,应关注于安全。
        5.安全等级保护
        国家标准《计算机信息安全保护等级划分准则》将计算机信息系统分为以下5个安全保护等级:
        .用户自主保护级:适用于普通内联网用户。
        .系统审计保护级:适用于通过内联网或国际网进行商业活动,需要保密的非重要单位。
        .安全标记保护级:适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
        .结构化保护级:适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
        .访问验证保护级:适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
        建立安全策略的设计原则
        建立安全策略的设计原则是在决策之前需要清理头绪,抓住“关键环节”。
        信息系统安全管理的8个总原则:
        .主要领导人负责原则
        .规范定级原则
        .依法行政原则
        .以人为本原则
        .注重效费比原则
        .全面防范、突出重点原则
        .系统、动态原则
        .特殊的安全管理原则
        信息系统安全管理的10个特殊原则是:
        .分权制衡原则
        .最小特权原则
        .标准化原则
        .失效保护原则
        .普遍参与原则
        .职责分离原则
        .审计独立原则
        .控制社会影响原则
        .保护资源和效率原则
        系统安全方案
        全局性的系统方案直接影响到信息系统安全实施与效果。因此,从信息安全考虑,确定一个有利于信息安全的系统组成方案是十分必要的。与系统安全方案有关的系统组成因素包括:
        .主要硬件设备的选型。
        .操作系统和数据库的选型。
        .网络拓扑结构的选型。
        .数据存储方案和存储设备的选型。
        .安全设备的选型。
        .应用软件开发平台的选型。
        .应用软件系统结构的选型。
        .供货商和集成商的选择。
        .业务运营与安全管理的职责划分。
        .应急处理方案的确定以及人员的落实。
        确定系统安全方案主要包括如下内容:
        .首先确定采用MIS+S、S-MIS或S2-MIS体系架构。
        .确定业务和数据存储方案。
        .确定网络拓扑结构。
        .基础安全设施和主要安全设备的选型。
        .业务应用系统安全级别确定。
        .系统资金和人员投入的档次。
        系统安全策略内容
        安全策略的核心内容为“七定”,安全策略种类包括:
        .机房设备安全管理策略。
        .主机和操作系统管理策略。
        .网络和数据库管理策略。
        .应用和输入输出管理策略。
        .应用开发管理策略。
        .应急事故管理策略。
        .密码和安全设备管理策略。
        .信息审计管理策略等。
 
       完整性
        完整性(Integrity)是指网络信息或系统未经授权不能进行更改的特性。例如,电子邮件在存储或传输过程中保持不被删除、修改、伪造、插入等。完整性也被称为网络信息系统CIA三性之一,其中I代表Integrity。完整性对于金融信息系统、工业控制系统非常重要,可谓“失之毫厘,差之千里”。
 
       泄露
        信息泄漏主要包括:电磁辐射(比如,侦听微机操作过程)、乘机而入(比如,合法用户进入安全进程后半途离开)、痕迹泄露(比如,密码密钥等保管不善,被非法用户获得),等等。
        物理访问控制从根本上保护了物理器件和媒介(磁性媒介及文档媒介)免遭损坏或窃取。为防止泄漏所进行的物理安全管理应当包括一下内容。
        .一套物理安全制度,规定了安全控制标准、常识、必须遵守的规定以及出现违规事件时应采取的措施。
        .在大楼、计算机房、通讯室以及大楼以外其他存放场所中,对设备、数据、媒介和文档进行访问的流程。
        .适宜的物理控制机制,可以包括:安全警卫、身份标志、生物技术检测、摄像头、防盗警报、个人计算机和外围设备标签、条形码和锁等。
        .检查监控制度是否得到遵守,包括定期检查事件汇报和登记表。
        .及时审查违反物理访问规定的事件。
        显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。中华人民共和国保密指南第BMZ2-2001号文件《涉及国家秘密的计算机信息系统安全保密方案设计指南》第8.8条电磁泄露发射防护规定:计算机系统通过电磁泄露发射会造成信息在空间上的扩散,采用专用接收设备可以远距离接收还原信息,造成泄密。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这对重要的政府、军队、金融机构在兴建信息中心时都将成为首要设置的条件。正常的防范措施主要在三个方面。
        (1)对主机房及重要信息存储、收发部门进行屏蔽处理。建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风波导、门的关起等。
        (2)对本地网、局域网传输线路传导辐射的抑制。由于电缆传输辐射信息的不可避免性,现均采用了光缆传输的方式,大多数均在Modem的外接设备处用光电转换接口,用光缆接出屏蔽室外进行传输。
        (3)对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端被分散使用,而不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备(如干扰机)来破坏对对应信息的窃取,个别重要的终端也可考虑采用有窗子的装饰性屏蔽室,此类虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到类似于在普通机房内工作。
   题号导航      2012年下半年 信息处理技术员 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第32题    在手机中做本题