免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2014年上半年 信息系统项目管理师 上午试卷 综合知识
  第16题      
  知识点:   安全策略   安全服务   安全体系   非授权访问   实体   体系结构
  关键词:   OSI   安全服务   对象   实体   OS   安全        章/节:   信息系统安全策略       

 
OSI安全体系结构定义了五种安全服务。其中(16)用于识别对象的身份并对身份证实。(17)用于防止对资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源。
 
 
  A.  安全认证服务
 
  B.  访问控制安全服务
 
  C.  数据保密性安全服务
 
  D.  数据完整性安全服务
 
 
 

 
  第16题    2016年上半年  
   22%
在信息系统安全保护中,依据安全策略控制用户对文件、数据库表等客体的访问属于(16)安全管理。
  第16题    2010年上半年  
   55%
某商业银行在 A 地新增一家机构,根据《计算机信息安全保护等级划分准则》,其新成立机构的信息安全保护等级属于(16)。
  第18题    2016年上半年  
   45%
通过收集和分析计算机系统或网络的关键节点信息,以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的技术被称为(18)..
   知识点讲解    
   · 安全策略    · 安全服务    · 安全体系    · 非授权访问    · 实体    · 体系结构
 
       安全策略
        安全策略概述
        安全策略是指人们对由于使用计算机业务应用系统而可能导致企业资产损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
        安全策略的核心内容就是“七定”:定方案、定岗、定位、定员、定目标、定制度、定工作流程。
        安全策略具有科学性、严肃性、非二义性和可操作性。
        建立安全策略需要处理好的关系
        1.安全与应用相互依存
        安全与应用既矛盾,又相互依存。没有应用,就不会产生相应的安全需求等问题;不妥善地解决安全问题,就不能更好地开展应用。另外,安全是有代价的,会增加系统建设和运行的费用,会规定对使用的限制,给应用带来一些不便。
        2.风险度的观点
        安全是相对的,是一个风险大小的问题。它是一个动态过程,我们不能一厢情愿地追求所谓绝对安全,而是要将安全风险控制在合理程度或允许的范围内。
        3.适度安全的观点
        安全风险与安全代价相对应,需要经过风险评估后对风险和代价进行均衡,有效控制两者的平衡点,既能保证安全风险的有效控制,又使安全的代价可以接受。
        4.木桶效应观点
        安全就好比木桶的短板,应关注于安全。
        5.安全等级保护
        国家标准《计算机信息安全保护等级划分准则》将计算机信息系统分为以下5个安全保护等级:
        .用户自主保护级:适用于普通内联网用户。
        .系统审计保护级:适用于通过内联网或国际网进行商业活动,需要保密的非重要单位。
        .安全标记保护级:适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
        .结构化保护级:适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
        .访问验证保护级:适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
        建立安全策略的设计原则
        建立安全策略的设计原则是在决策之前需要清理头绪,抓住“关键环节”。
        信息系统安全管理的8个总原则:
        .主要领导人负责原则
        .规范定级原则
        .依法行政原则
        .以人为本原则
        .注重效费比原则
        .全面防范、突出重点原则
        .系统、动态原则
        .特殊的安全管理原则
        信息系统安全管理的10个特殊原则是:
        .分权制衡原则
        .最小特权原则
        .标准化原则
        .失效保护原则
        .普遍参与原则
        .职责分离原则
        .审计独立原则
        .控制社会影响原则
        .保护资源和效率原则
        系统安全方案
        全局性的系统方案直接影响到信息系统安全实施与效果。因此,从信息安全考虑,确定一个有利于信息安全的系统组成方案是十分必要的。与系统安全方案有关的系统组成因素包括:
        .主要硬件设备的选型。
        .操作系统和数据库的选型。
        .网络拓扑结构的选型。
        .数据存储方案和存储设备的选型。
        .安全设备的选型。
        .应用软件开发平台的选型。
        .应用软件系统结构的选型。
        .供货商和集成商的选择。
        .业务运营与安全管理的职责划分。
        .应急处理方案的确定以及人员的落实。
        确定系统安全方案主要包括如下内容:
        .首先确定采用MIS+S、S-MIS或S2-MIS体系架构。
        .确定业务和数据存储方案。
        .确定网络拓扑结构。
        .基础安全设施和主要安全设备的选型。
        .业务应用系统安全级别确定。
        .系统资金和人员投入的档次。
        系统安全策略内容
        安全策略的核心内容为“七定”,安全策略种类包括:
        .机房设备安全管理策略。
        .主机和操作系统管理策略。
        .网络和数据库管理策略。
        .应用和输入输出管理策略。
        .应用开发管理策略。
        .应急事故管理策略。
        .密码和安全设备管理策略。
        .信息审计管理策略等。
 
       安全服务
        安全服务是指计算机网络提供的安全防护措施,包括认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。
        (1)认证服务:确保某个实体身份的可靠性,可分为两种类型。一种类型是认证实体本身的身份,确保其真实性,称为实体认证。实体的身份一旦获得确认就可以和访问控制表中的权限关联起来,决定是否有权进行访问。口令认证是实体认证中一种最常见的方式。另一种认证是证明某个信息是否来自于某个特定的实体,这种认证叫做数据源认证。数据签名技术就是一例。
        (2)访问控制:防止对任何资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源。
        (3)数据机密性服务:确保只有经过授权的实体才能理解受保护的信息。在信息安全中主要区分两种机密性服务:数据机密性服务和业务流机密性服务,数据机密性服务主要是采用加密手段使得攻击者即使窃取了加密的数据也很难分析出有用的信息;业务流机密性服务则要使监听者很难从网络流量的变化上分析出敏感信息。
        (4)数据完整性服务:防止对数据未授权的修改和破坏。完整性服务使消息的接收者能够发现消息是否被修改,是否被攻击者用假消息换掉。
        (5)不可否认服务:防止对数据源以及数据提交的否认。它有两种可能:数据发送的不可否认性和数据接收的不可否认性。这两种服务需要比较复杂的基础设施的支持,如数字签名技术。
 
       安全体系
        要构筑计算机系统的安全体系,其措施包括防火墙、入侵检测、病毒和木马扫描、安全扫描、日志审计系统等,另外还要注意制定和执行有关安全管理的制度,保护好私有信息等。
               病毒和木马扫描
               病毒是指一段可执行的程序代码,通过对其他程序进行修改来感染这些程序,使其含有该病毒的一个复制,并且可以在特定的条件下进行破坏。因此在其整个生命周期中包括潜伏、繁殖(也就是复制、感染阶段)、触发和执行4个阶段。
               对于病毒的防护而言,最彻底的方法是不允许其进入系统,但这是很困难的,因此大多数情况下,采用“检测—标识—清除”的策略来应对。在病毒防护的发展史上,共经历了以下几个阶段。
               (1)简单扫描程序:需要病毒的签名来识别病毒。
               (2)启发式扫描程序:不依赖专门的签名,而使用启发式规则来搜索可能被病毒感染的程序。还包括诸如完整性检查等手段。
               (3)行为陷阱:即用一些存储器驻留程序,通过病毒的动作来识别病毒。
               (4)全方位保护:联合以上反病毒技术组织的软件包,包括扫描和行为陷阱。
               特洛伊木马(Trojans)是指一个正常的文件被修改成包含非法程序的文件。特洛伊木马通常包含具有管理权限的指令,它们可以隐藏自己的行踪(没有普通的窗口等提示信息),而在后台运行,并将重要的账号、密码等信息发回给黑客,以便进一步攻击系统。
               木马程序一般由两部分组成,分别是服务端程序和客户端程序。其中服务端程序安装在被控制计算机上,客户端程序安装在控制计算机上,服务端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。
               首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。
               因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。
               反病毒技术的最新发展方向是类属解密和数字免疫系统。与入侵检测技术一样,现在的反病毒技术只能够对已有病毒、已有病毒的部分变种有良好的防护作用,而对于新型病毒还没有有效的解决方式,需要升级特征库。另外,它只是对病毒、黑客程序、间谍软件这些恶意代码有防护作用,其他网络安全问题不属于其关注的领域。
               安全扫描
               安全扫描是指对计算机系统及网络端口进行安全性检查,它通常需要借助一个被称为“扫描器”的软件。扫描器并不是一个直接攻击网络漏洞的程序,它仅仅能够帮助管理员发现目标机的某些内在弱点,一个好的扫描器能够对得到的数据进行分析,帮助管理员查找目标主机的漏洞。它能够自动查找主机或网络,找到运行的服务及其相关属性,并发现这些服务潜在的漏洞。
               因此从上面的描述中,我们可以发现安全扫描技术是一个帮助管理员找到网络隐患的工具,并不能直接解决安全问题,而且对未被业界发现的隐患也无法完全找到。
               日志审计系统
               日志文件是包含关于系统消息的文件,这些消息通常来自于操作系统内核、运行的服务,以及在系统上运行的应用程序。日志文件包括系统日志、安全日志、应用日志等。现在的Windows、UNIX、Linux系统都提供了较完善的日志系统。
               日志审计系统则通过一些特定的、预先定义的规则来发现日志中潜在的问题,它可以用来事后亡羊补牢,也可以用来对网络安全攻击进行取证。显然它是一种被动式、事后的防护或事中跟踪的手段,很难在事前发挥作用。
               安全审计
               安全审计是指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。安全审计是落实系统安全策略的重要机制和手段,通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。它是信息安全保障系统中的一个重要组成部分。具体包括两个方面的内容:
               (1)采用网络监控与入侵防范系统,识别网络中各种违规操作与攻击行为,即时响应并进行阻断。
               (2)对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
               CC标准将安全审计功能分为6个部分,分别是安全审计自动响应、安全审计自动生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储。
               (1)安全审计自动响应:定义在被测事件指示出一个潜在的安全攻击时做出的响应,它是管理审计事件的需要,这些需要包括报警或行动。例如包括实时报警的生成、违例进程的终止、中断服务、用户账号的失效等。根据审计事件的不同系统将做出不同的响应。其响应的行动可以做增加、删除、修改等操作。
               (2)安全审计数据生成:记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型,以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。
               (3)安全审计分析:定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。
               (4)安全审计浏览:审计系统能够使授权的用户有效地浏览审计数据,它包括审计浏览、有限审计浏览、可选审计浏览。
               (5)安全审计事件选择:系统管理员能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计。例如,与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性,系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用户的动作。
               (6)安全审计事件存储:审计系统将提供控制措施,以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。
               个人信息控制
               关于个人信息控制,我们结合网络上窃取个人信息的一些手段和方法来谈谈。
               (1)利用操作系统和应用软件的漏洞。可以说任何的软件内都有可能包含未被清除的错误。这些错误有些仅仅是计算逻辑上的错误,也有些可以被人别有用心地用来进入和攻击系统,此时这些错误就被称为漏洞。解决这些漏洞的途径就是对系统进行修正,及时地对系统进行升级或打上补丁是防范此类问题的一个重要手段。
               (2)网络系统设置。在网络非法入侵事件中,通过共享问题达到入侵目的的案例占到入侵事件中的绝大比例。
               (3)程序的安全性。现在计算机中运行的程序已经不是一般用户可以了解的了,这是个危险的事情。在计算机不清楚自己内部的某个程序是做什么工作的情况下,其中就很可能潜伏着木马程序。
               (4)拦截数据包。数据包探测技术可以检查所有落入其范围的数据包,甚至能够通过设置来搜取所有的数据包。
               (5)假冒正常的商业网站。罪犯给人们发一封好像来自于某站点的电子邮件,并在邮件中提供该网站登录页或者看起来像是登录页的链接。这些窃贼同时建立外观很像此站点的网页,然后在用户链接到该网页登录时捕获所有的用户名和密码。
               (6)用户自身因素。如果说攻击别人是因为别人存在漏洞的话,那么用户自身的问题或许也是网络攻击的一个巨大漏洞。首先是密码泄露问题;其次是在聊天室等公共场所,不要轻易地泄漏自己的信息;再次是观念问题,要从心理上重视计算机安全问题。
               上面说的这些方法还只是可能造成个人信息泄漏诸多情况中的一小部分,要保护好自己的信息不被他人窃取,除了要靠网络技术的不断发展以外,网络用户自己的安全观念也起到了相当重要的作用。
               安全管理制度
               建立严格规范的规章制度,规范网络管理、维护人员的各种行为,对于维护网络安全、保障网络的正常运行,起着至关重要的作用。这些安全规章制度可能包括物理安全管理、机房参观访问制度、机房设施巡检制度、机房施工管理制度、运营值班管理制度、运营安全管理制度、运营故障处理制度、病毒防治制度、口令管理制度等。
               当然,再好的规章制度,如果得不到严格的执行,那也只能是摆设。制定不是目的,只有抓好规章制度的执行,才能发挥其应有的作用。
 
       非授权访问
        网站的认证机制的安全缺陷导致网站服务及信息被非授权访问。攻击者通过口令猜测及“撞库”攻击技术手段,获取网站用户的访问权限。
 
       实体
        从上表中可见,在E-R模型中实体用矩形表示,通常矩形框内写明实体名。实体是现实世界中可以区别于其他对象的“事件”或“物体”。例如,企业中的每个人都是一个实体。每个实体由一组特性(属性)来表示,其中的某一部分属性可以唯一标识实体,如职工号。实体集是具有相同属性的实体集合,例如,学校所有教师具有相同的属性,因此教师的集合可以定义为一个实体集;学生具有相同的属性,因此学生的集合可以定义为另一个实体集。
 
       体系结构
        RPR的体系结构如下图所示。RPR采用了双环结构,由内层的环1和外层的环0组成,每个环都是单方向传送。相邻工作站之间的跨距包含传送方向相反的两条链路。RPR支持多达255个工作站,最大环周长为2000km。
        
        RPR体系结构
   题号导航      2014年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第16题    在手机中做本题