免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2015年上半年 信息系统项目管理师 上午试卷 综合知识
  第16题      
  知识点:   信息安全系统和安全体系   恢复   系统安全   信息系统安全
  关键词:   攻击   数据   网络   信息系统安全   安全   系统安全   信息系统        章/节:   信息安全系统工程       

 
信息系统安全可以分为5个层面的安全要求,包括:物理、网络、主机、应用、数据及备份恢复,“当检测到攻击行为时,记录攻击源IP,攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警”属于()层面的要求。
 
 
  A.  物理
 
  B.  网络
 
  C.  主机
 
  D.  应用
 
 
 

 
  第62题    2021年上半年  
   71%
信息安全系统工程能力成熟度模型(ISSE-CM)中,( )属于充分定义级(Level 3级)的公共特性逻辑域。
  第14题    2024年上半年  
   100%
依据ISSE-CMM中公共特性的成熟度等级定义,()不属于ISSE-CMM的Level2:规划和跟踪级
  第15题    2010年下半年  
   58%
在Windows操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务信息系统宜采用(15)作为信息安全系统架构。
   知识点讲解    
   · 信息安全系统和安全体系    · 恢复    · 系统安全    · 信息系统安全
 
       信息安全系统和安全体系
        信息安全系统三维空间
        信息安全系统的三维空间中,X轴是“安全机制”,Y轴是“OSI网络参考模型”,Z轴是“安全服务”。
        安全空间的5大属性,即安全五要素为认证、权限、完整、加密和不可否认。
        1.OSI网络参考模型
        OSI七层结构从上到下分别为:
        .应用层:向应用程序提供服务。
        .表示层:为不同的用户端提供数据和信息的语法转换内码。
        .会话层:建立和维持会话,并能使会话获得同步。
        .传输层:源端到目的端对数据传送进行控制。
        .网络层:建立网络连接和为上层提供服务。
        .数据链路层:为网络层提供数据传送服务。
        .物理层:定义了所有电子及物理设备的规范,传输透明比特流。
        
        2.安全机制
        安全机制体系包括:
        .基础设施实体安全:机房、场地、设施、动力系统等的安全,灾难预防与恢复。
        .平台安全:操作系统、网络基础设施、通用基础应用程序的漏洞检测与修复以及网络安全产品部署。
        .数据安全:介质与载体安全保护、数据访问控制、数据完整性和可用性、数据监控和审计以及数据存储与备份安全。
        .通信安全:通信线路和网络基础设施的安全、网络协议安全、通信加密软件等。
        .应用安全:业务软件的安全性,业务资源的访问,业务数据的保密性、一致性,业务系统的可靠性、可用性等。
        .运行安全:应急处理机制、网络安全产品运行监测等。
        .管理安全:人员管理、培训管理、应用系统管理、软件管理、设备管理等。
        .授权和审计安全:向用户和应用程序提供权限管理和授权服务以及进行安全方面的审计。
        .安全防范体系:可发挥预警、保护、检测、反应、恢复和反击6项能力。
        3.安全服务
        安全服务包括:
        .对等实体认证服务:用于两个开放系统同等层中的实体建立链接或数据传输时,对对方实体的合法性、真实性进行确认,以防假冒。
        .数据保密服务:可提供链接方式和无链接方式两种数据保密,同时也可对用户可选字段的数据进行保护。
        .数据完整性服务:用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
        .数据源点认证服务:用于确保数据发自真正的源点,防止假冒。
        .禁止否认服务:防止发送方在发送数据后否认自己发送过此数据,接收方在收到数据后否认自己收到过此数据或伪造接收数据,由不得否认发送和不得否认接收两种服务组成。
        .犯罪证据提供服务:审计及使用历史数据进行取证、分析。
        4.安全技术
        安全技术包括:
        .加密技术:确保数据安全性的基本方法。
        .数字签名技术:确保数据真实性的基本方法,数字签名具有解决收发双方纠纷的能力。
        .访问控制技术:按事先确定的规则决定主体对客体的访问是否合法。
        .数据完整性技术:通过纠错编码和差错控制来应对信道干扰,通过报文认证来应对非法入侵者的主动攻击,通过病毒实时监测来应对计算机病毒。
        .认证技术:计算机网络中的认证主要有站点认证、报文认证、用户和进程认证等。多数认证过程采用密码技术和数字签名技术。
        .数据挖掘技术:是及早发现隐患、将犯罪扼杀在萌芽阶段并及时修补不健全的安全防范体系的重要技术。
        信息安全系统架构体系
        信息安全保障系统有3种不同的架构:MIS+S系统、S-MIS系统和S2-MIS系统。
        1.MIS+S系统
        MIS+S系统也称为“初级信息安全保障系统”或“基本信息安全保障系统”。这种系统的特点如下:
        .业务应用系统基本不变。
        .硬件和系统软件通用。
        .安全设备基本不带密码。
        2.S-MIS系统
        S-MIS系统也称为“标准信息安全保障系统”,它是建立在世界公认的PKI/CA标准的信息安全基础设施上的。这种系统的特点如下:
        .硬件和系统软件通用。
        .PKI/CA安全保障系统必须带密码。
        .业务应用系统必须根本改变。业务应用系统是必须按照PKI/CA的标准重新编制的“全新”的安全业务应用信息系统。
        .主要的通用硬件、软件也要通过PKI/CA认证。
        3.S2-MIS系统
        S2-MIS系统也称为“超安全的信息安全保障系统”,它是建立在“绝对”安全的信息安全基础设施上的,不仅使用世界公认的PKI/CA标准,同时硬件和系统软件都使用专有的安全产品。这种系统的特点如下:
        .硬件和系统软件都专用。
        .PKI/CA安全保障系统必须带密码。
        .业务应用系统必须根本改变。
        .主要的通用硬件、软件要通过PKI/CA认证。
        信息安全保障系统定义
        信息安全保障系统是一个在网络上集成各种硬件、软件和密码设备,以保障其他业务应用系统正常运行的专用的信息应用系统,以及与之相关的岗位、人员、策略、制度和规程的总和。
        信息安全保障系统是业务应用信息系统成熟发展到一定阶段的必然结果。信息安全保障系统的核心就是保证信息、数据的安全。
        按照信息安全保障的定义,对MIS+S、S-MIS和S2-MIS体系结构的理解有:
        .MIS+S是一个初步的、低级的信息安全保障系统,它是在已有的业务应用信息系统基础不变的情况下,为防止病毒、黑客等增加一些安全措施和安全防范设备,如防火墙、防病毒、物力隔离卡、网闸、漏洞扫描、黑客防范、动态口令卡和VPN等。这些只能在局部或某个方面提高业务应用信息系统的安全强度,但不能从根本上解决业务应用信息系统的安全问题,尤其不能胜任电子商务、电子政务等实际需要解决的安全问题。
        .S-MIS将业务应用信息系统直接建立在PKI/CA的安全基础设施上,并且主要的硬件和系统软件需要PKI/CA认证。借助PKI/CA安全基础设施,业务应用信息系统能真正“以我为主”、“以安全为主”掌控计算机的硬件、系统软件、人员、数据和应用系统的方方面面。再加上与MIS+S同样的外围安全措施和安全防范设备,获得从里到外的安全保护,因此成为标准的业务应用信息系统的信息安全保障系统。
        .S2-MIS基本与S-MIS相同,只是系统硬件和系统软件都是专用的,从而增加了整个系统的安全强度。
 
       恢复
        数据恢复有3个步骤。
        (1)反向扫描文件日志,查找该事务的更新操作。
        (2)对事务的更新操作执行逆操作。
        (3)继续反向扫描日志文件,查找该事务的其他更新操作,并做同样的处理,直到事务的开始标志。
 
       系统安全
        华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
 
       信息系统安全
               信息系统安全的概念
               信息系统安全指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征,一般包括保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,维护信息系统的安全运行。
               信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化,例如:
               .个人用户最关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。
               .从网络运行和管理者角度说,最关心的信息系统安全问题是如何保护和控制其他人对本地网络信息进行访问、读写等操作。
               .对安全保密部门和国家行政部门来说,最关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。
               .从社会教育和意识形态角度来说,最关心的则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。
               信息系统安全的属性
               信息系统安全的属性主要包括:
               .保密性:是应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性,即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性建立在可用性基础之上,是保障应用系统信息安全的重要手段。应用系统常用的保密技术如下:
               最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
               防暴露:防止有用信息以各种途径暴露或传播出去。
               信息加密:用加密算法对信息进行加密处理,非法用户无法对信息进行解密从而无法读懂有效信息。
               物理保密:利用各种物理方法,如限制、隔离、掩蔽和控制等措施,来保护信息不被泄露。
               .完整性:是信息未经授权不能进行改变的特性,即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。保障应用系统完整性的主要方法如下:
               协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
               纠错编码方法:由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。
               密码校验和方法:是抗篡改和传输失败的重要手段。
               数字签名:用于保障信息的真实性。
               公证:请求系统管理或中介机构证明信息的真实性。
               .可用性:是应用系统信息可被授权实体访问并按需求使用的特性,即信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制、业务流控制、路由选择控制和审计跟踪。
               .不可抵赖性:也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
               信息系统安全管理体系
               信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。
               不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系:
               .配备安全管理人员。
               .建立安全职能部门。
               .成立安全领导小组。
               .主要负责人出任领导。
               .建立信息安全保密管理部门。
               信息系统安全管理体系参见《GB/T 20269~2006信息安全技术信息系统安全管理要求》,该标准把信息系统安全管理分为八大类,每个类分为若干族,针对每个族设置了相应的管理要素。八大类分别为:政策和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务持续性管理、监督和检查管理、生存周期管理。
               信息系统安全技术体系参见《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》,该标准把信息系统安全技术分为:
               .物理安全:包括环境安全、设备安全和记录介质安全。
               .运行安全:包括风险分析、信息系统安全性检测分析、信息系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、信息系统的应急处理、可信计算和可信连接技术。
               .数据安全:包括身份鉴别、用户标识与鉴别、用户主体绑定、抗抵赖、自主访问控制、标记、强制访问控制、数据完整性保护、用户数据保密性保护、数据流控制、可信路径和密码支持。
   题号导航      2015年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第16题    在手机中做本题