免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2008年下半年 信息系统项目管理师 上午试卷 综合知识
  第6题      
  知识点:   信息安全技术基础   安全管理   管理体系   信息安全   信息安全管理   信息安全管理体系
  关键词:   安全管理体系   信息安全管理   安全   安全管理   信息安全        章/节:   信息系统安全技术       

 
信息安全管理体系是指(6) 。
 
 
  A.  网络维护人员的组织体系
 
  B.  信息系统的安全设施体系
 
  C.  防火墙等设备、设施构建的安全体系
 
  D.  组织建立信息安全方针和目标并实现这些目标的体系
 
 
 

 
  第17题    2009年下半年  
   41%
信息安全从社会层面来看,反映在 (17) 这三个方面。
  第17题    2016年上半年  
   31%
IDS发现网络接口收到来自特定IP地址的大量无效的非正常生成的数据包,使服务器过于繁忙以至于不能应答请求,IDS会将本次攻击方式..
  第13题    2022年上半年  
   47%
某公司法人王某花费3000余元从网上购买个人信息计3646条,并将购得的信息分发给员工用以推销业务。当地警方依据()规定,对王某..
   知识点讲解    
   · 信息安全技术基础    · 安全管理    · 管理体系    · 信息安全    · 信息安全管理    · 信息安全管理体系
 
       信息安全技术基础
        密码技术
        密码技术是信息安全的根本,是建立安全空间认证、权限、完整、加密和不可否认5大要素所不可缺少的基石。
        1.术语
        明文:实际传输的数据,可以是任何类型的未加密数据。
        密文:经过加密的数据。
        加密:将普通信息(明文)利用数学算法转换成难以理解的资料(密文)的过程。
        解密:将密文通过算法转换回明文的过程。
        2.对称与不对称加密
        对称密钥算法是加密和解密都使用同一个密钥。
        常见的对称密钥算法有SDBI、IDEA、RC4、DES和3DES等:
        .SDBI:国家密码办公室批准的国内算法,仅硬件中存在。
        .IDEA:国际数据加密算法,明文和密文分组长度是64位,但是密钥长度是128位。
        .DES:明文和密文分组长度为64位,在加密变换过程中,64位密钥中包含了8位的奇偶校验位,所以实际密钥长度为56位。
        .3DES:三重DES,密钥长度为128位,实际为112位(含16位的奇偶校验位)。
        对称密钥算法的优点包括:
        .加/解密速度快。
        .密钥管理简单。
        .适宜一对一的信息加密传输过程。
        对称密钥算法的缺点包括:
        .加密算法简单,密钥长度有限(56位/128位),加密强度不高。
        .密钥分发困难,不适宜一对多的加密信息传输。
        非对称密钥算法是使用两个不同但相关的密钥来执行加密和解密。相关密钥对中用于加密的密钥称为“公钥”,用于解密的密钥称为“私钥”。
        常见的非对称密钥算法有RSA和ECC等。
        .RSA:即基于大数分解,是迄今为止在理论和实践上最为成熟完善的公钥密码算法。
        .ECC:即椭圆曲线,是为了进一步提高RSA算法的安全性提出来的。和RSA相比,ECC算法安全性高,密码体制更安全;密钥量小;算法灵活性好。
        非对称密钥算法的优点有:
        .加密算法复杂,密钥长度任意(1024位/2048位),加密强度很高。
        .适宜一对多的信息加密交换,尤其适宜因特网上信息加密交换。
        非对称密钥算法的缺点有:
        .加/解密速度慢。
        .密钥管理复杂。
        .明文攻击很脆弱,不适用于数据的加密传输。
        3.哈希算法
        哈希算法是将任意长度的信息块(信息类型任意)映射为固定长度的较小二进制值,这个二进制值称为哈希值。哈希值又叫做信息块的信息摘要。哈希算法产生的哈希值,不能用任何方法求得原来的信息块,而且即使原来的信息块有任意小的改变,新的哈希值却有特别大的不同。
        哈希算法在数字签名中可以解决验证签名和用户身份验证、不可抵赖性的问题。
        常见的哈希算法有SDH(国家密码办公室批准的哈希算法)、SHA和MD5等。
        信息摘要(MD)可以被看作是一份长文件的“数字指纹”。对于特定文件而言,信息摘要是唯一的。信息摘要可以被公开,它不会透露相应文件的任何内容。
        4.数据签名与验证
        对某个数据块的签名,就是先计算数据块的哈希值,然后使用私钥加密数据块的HASH值得到数据签名。
        签名的验证是计算数据块的哈希值,然后使用公钥解密数据签名得到另一个HASH值,比较两个HASH值可以判断数据块在签名后是否被改动,获得签名的验证。
        5.数字时间戳技术
        数字时间戳技术是数字签名技术的一个变种应用。数字时间戳服务(DTS)是网上电子商务安全服务项目之一,由专门的单位机构提供电子文件的日期和时间信息的安全保护。
        如果在签名时加上一个时间标记,就是有数字时间戳的数字签名。
        时间戳是一个经加密后形成的凭证文档,包括3个部分:
        .需要时间戳的文件的摘要。
        .DTS收到文件的日期和时间。
        .DTS的数字签名。
        时间戳产生的过程:用户首先将需要加时间戳的文件用HASH算法形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要时的日期时间信息后,再对该文件加密(数字签名),然后送回用户。
        6.利用不对称密钥传送对称密钥
        用不对称密钥加密算法来保护通信能很好地保护数据的安全性。但是由于它的加密和解密的速度都相当慢,因此事实上不对称密钥加密算法更多是用于对称加密密钥的传送。这种方法把不对称密钥加密算法和对称密钥加密算法的优点很好地整合在一起。用不对称密钥的加密算法来保护对称加密密钥的传送,保证了对称加密密钥的安全性。
        7.国家密码和安全产品管理
        我国实行密码分级管理制度,密码等级及适用范围如下:
        .商用密码:适用于国内企事业单位。
        .普用密码:适用于政府、党政部门。
        .绝密密码:适用于中央和机要部门。
        .军用密码:适用于军队。
        虚拟专用网(VPN)和虚拟本地网(VLAN)
        虚拟专用网(或虚拟个人网)和虚拟本地网是在共享的公共网络(通常是因特网)上建立一个临时的、安全的连接。
        VPN和VLAN是对企业内部网的扩展,可以帮助远程用户、公司分支单位机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
        目前有两种VPN,即IPSec VPN和MPLS VPN。与IPSec VPN相比,MPLS VPN有更好的安全性、可管理性、可靠性和可扩展性,支持QoS,非常适合于开展VPN业务。
        无线安全网络(WLAN)
        无线网络有两个主要的组成部件:基站(Station,STA)和网络桥接器(Access Point,AP)。
        WLAN的特色有:
        .安全性:相对于有线网络,可在如下方面提高安全性,包括尽量减少电波覆盖、基于802.1x的设备安全认证、基于128位的WEP加密、不同的数据经由不同的VLAN传输、在网络层建立VPN通道。
        .QoS支持:无线局域网的设备必须能够针对各种应用所对应的不同优先级传输需要,提供对应的服务质量保证。
        .可扩展性:现有基于802.11b的无线网可以提供11M带宽,可升级到支持802.11g或802.11a,而802.11g或802.11a可以提供54M带宽。
        WLAN的安全机制:
        .WEP(Wired Equivalent Protocol,连接对等协议)是802.1标准为建立无线网络安全环境提供的第一个安全机制。WEP不像IPSec一样提供网络安全,而是提供无线网的对等的保密级别,目标是通过加密无线电波来提供安全保证。
        .WPA是Wi-Fi联盟提出的最新无线局域网安全方案。它有两个主要内容:一个是替代WEP,设计更好的加密系统TKIP;另一个是基于802.1x标准的用户身份认证系统。WPA是802.11i解决方案完成前的一个过渡措施。
        .中国标准的WAPI是在IEEE802.11i的基础上发展起来的,完全满足国际标准并有所创新。
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       管理体系
        灾备管理体系主要是指组织机构的各个层面,在日常状态和灾难状态下的各种管理工作,至少包括以下5个方面。
        (1)灾难恢复组织机构。商业银行应结合本行机构设置的具体情况,设立灾难恢复组织机构,包括灾难恢复规划建设、运行维护、应急响应和灾难恢复等各阶段工作所需的人员,有关人员可为专职,也可为兼职,关键岗位的人员应有备份。商业银行可以参考《JR/T0044 2008银行业信息系统灾难恢复管理规范》,设置灾难恢复组织机构,包括决策层、管理层和执行层,各层之间分工明确、职责清晰。
        (2)岗位与培训管理。灾备中心的应急生产岗位应与生产中心对等,只不过可以按照人员复用的原则,由灾备管理人员、开发测试人员或系统运维人员专职或兼职担任。对不同层次、不同部门的岗位,在灾难恢复策略规划、系统建设与运维、预案制定、演练和更新维护等不同阶段,应按照不同的培训目标,安排不同的培训计划。
        (3)灾难恢复预案管理与演练。灾难恢复预案要长期保持有效性,必须在灾难恢复策略发生变化、演练发现问题、生产系统发生变更、人员出现调整等情况下,及时修订维护预案,做好变更管理、版本管理,以及发布管理等,确保合适的人员及时获得最准确、最合适的信息。演练验证灾难恢复预案有效性的最佳手段。演练管理就是要对演练的计划、场景、人员、过程、总结评估和后续完善调整等进行全面管理,通过演练来培养灾难恢复团队面对复杂环境的信心和冷静心态,验证灾难恢复能力,改进灾难恢复流程,发现并纠正灾备体系中的缺陷。
        (4)灾备中心日常运维、灾难响应与重续运行管理。灾备中心应随时做好接替生产中心的准备,因此,必须像生产中心一样,对灾备中心的系统、网络和环境等基础资源进行运行维护,按照备份策略按时完成数据备份,完成灾备系统与生产系统的同步。当灾难发生后,灾难恢复组织机构的各层人员立即响应,在指挥报告、协调、联络、保障等工作机制的保障下,按照灾难恢复流程步骤,一步步地恢复信息系统及其支撑的关键业务功能。在生产系统成功切换到灾备中心运行后,要按照生产中心的规章制度、操作流程、技术规范来管理,保障生产系统安全稳定运行,直至生产中心重建并恢复了生产运行能力。
        (5)外部资源管理。外部资源主要指商业银行的合作伙伴、服务商、设备商和外协人员等。当发生灾难时,可能需要这些外部资源的支持才能完成灾难恢复,比如,从设备供应商紧急采购灾备生产设备,从电信运营服务商紧急租用通信线路,从银联借调交易流水等。因此,需要与这些外部资源建立日常联系或签订协议,并不定期地测试其支持能力,以保证在灾难恢复期间,外部资源可以提供有效的支持。
 
       信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
 
       信息安全管理
               信息安全含义及目标
               国际标准《ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求》中对信息安全的定义为:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。”
               根据定义,信息安全的属性包括:
               .保密性(confidentiality):指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”数据的保密性可以通过网络安全协议、身份认证服务、数据加密技术来实现。
               .完整性(integrity):指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。确保数据完整性的技术包括CA认证、数字签名、防火墙系统、传输安全(通信安全)和入侵检测系统。
               .可用性(availability):指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。确保可用性的技术有磁盘和系统的容错、可接受的登录及进程性能、可靠的功能性的安全进程和机制、数据冗余及备份。
               .其他属性及目标:真实性一般指对信息的来源进行判断,能对伪造来源的信息予以鉴别;可核查性指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性;不可抵赖性指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的;可靠性指系统在规定的时间和给定的条件下,无故障地完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure, MTBF)来度量。
               信息安全管理的内容
               ISO/IEC 27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准,它包括《ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求》《ISO/IEC 27002信息技术-安全技术-信息安全管理体系-实践准则》等系列标准。
               ISO/IEC 27000系列标准将信息安全管理的内容主要概括为如下14个方面:
               .信息安全方针与策略:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。
               .组织信息安全:要建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。信息安全应整合到组织的项目管理方法中,以确保识别并处理了信息安全风险。应确保在使用移动计算和远程工作设施时的信息安全。
               .人力资源安全:要确保员工、合同方和第三方用户了解他们的责任并适合其岗位,从而减少盗窃、滥用或设施误用的风险。组织应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的责任和义务,并能够在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。要确保员工、合同方和第三方用户以一种有序的方式离开组织或变更工作。
               .资产管理:要对组织资产实现并维持适当的保护。所有资产均应有人负责,并有指定的所有者;要确保信息可以得到适当程度的保护;应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度。
               .访问控制:对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。
               .密码:应通过加密手段来保护信息的保密性、真实性或完整性。组织应制定使用密码的策略;应有密钥管理以支持密码技术的使用。
               .物理和环境安全:应防止对组织办公场所和信息的非授权物理访问、破坏和干扰。组织应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断;应保护设备免受物理和环境的威胁;要对设备(包括非公司现场的设备和迁出的设备)进行保护以减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备的安置和处置。
               .运行安全:确保信息处理设施的正确和安全操作,应建立所有信息处理设施的管理和操作的职责与程序。组织应最小化系统失效的风险;应保护软件和信息的完整性;应保持信息和信息处理设施的完整性和可用性;应探测未经授权的信息处理活动;应维护应用系统软件和信息的安全;应减少由利用已发布的技术漏洞带来的风险。涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断。
               .通信安全:应确保网络中的信息和支持性基础设施得到保护;应防止对资产的未授权泄露、修改、移动或损坏,及对业务活动的中断;应维持组织内部或组织与外部组织之间交换信息和软件的安全。
               .信息系统的获取、开发和保持:应确保安全成为信息系统的一部分;应防止应用系统中信息的错误、丢失、未授权的修改或误用。组织应为系统开发全生命周期的开发和集成活动建立安全开发环境,并予以适当保护;应保护在公共网络上应用服务传输的信息,以防止遭受欺诈、合同纠纷以及未经授权的泄露和修改;应确保电子商务的安全及其安全使用。
               .供应商关系:为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件。供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。
               .信息安全事件管理:确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通;应确保使用一致、有效的方法管理信息安全事件;应建立职责和程序以有效地处理报告的信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续改进。需要证据时,证据的收集应符合法律的要求。
               .业务持续性管理:应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。这个过程需要识别关键的业务过程,并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。除了通用的风险评估过程外,业务连续性管理应包括识别和减少风险的控制措施、降低有害事件的影响以及确保业务过程需要的信息能够随时得到。
               .符合性:应避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织安全策略和标准;应最大化信息系统审核的有效性,并最小化来自信息系统审核带来的干扰。
               除以上14个方面的主要内容外,信息安全风险管理也是信息安全管理的重要基础,不管对于哪个方面控制措施的选择和评价,都应基于风险评价的结果进行。随着多学科的应用和相互融合,信息安全管理的内容也更加广泛和深入。
 
       信息安全管理体系
        发达国家经过多年的研究,已形成完善的信息安全管理方法,并用可以普遍采用的标准形式表达出来,即:British Standard 7799信息安全管理体系(ISO/IEC 17799)指出的安全管理的内容:信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等等。面对如此庞大的管理技术体系,企业如何有效地建立自己的信息安全管理体系,从而真正达到信息安全的基本目标呢?从信息安全管理三要素看:计算机网络与信息安全=信息安全技术+信息安全管理体系(技术+人+制度)。在技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用包括建设安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现;在管理层面,则通过构架信息安全管理体系(落实制度和人员培训)来实现。
        British Standard 7799提出的信息管理过程如下。
        确定信息安全管理方针和信息安全管理体系的范围。
        进行风险分析。
        根据风险分析,建立信息安全管理体系(制度和技术体系)。
        建立业务持续计划并实施安全管理体系。
        企业应根据自身的状况组织适合自身业务发展和信息安全需求的信息安全管理框架,并在正常的业务开展过程中具体实施构架,同时建立各种与信息安全管理框架相一致的相关文档、文件,并进行严格管理,对在具体实施的过程中出现的各种信息安全事件和安全状况进行严格的记录,并建立严格的回馈流程和制度。为确保信息系统的安全,必须从管理角度确定应采取的主要控制方法和措施,并将管理要求落实。
               确定信息安全管理方针和信息安全管理体系的范围
               信息安全策略是企业理念及对保护企业关键数据和确保生产设计系统安全运行的寄予的厚望表征,它们通过精心编写、有效交流和实施得力的策略来帮助消除由不当使用系统、软件、电子邮件系统和Internet带来的风险。信息安全政策是组织信息安全的最高方针,应该简单明了、通俗易懂并直指主题,避免将组织内所有层面的安全方针全部揉在一个政策中,使人不知所云。必须形成书面文件,广泛散发到组织内所有员工手中,并要对所有相关员工进行信息安全政策的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。信息安全策略在企业实施网络安全措施中具有主导作用,只有针对自身特点制定合理的安全策略,才能使企业的安全措施行之有效、有据可依,取得预期的效果。良好、合理的安全策略将帮助用户评估网络风险、制定安全目标、确定合理可行的安全级别以及选择和部署安全解决方案。
               进行风险分析
               信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               资产评估是企业制定信息安全策略的前提条件,只有确定企业需要重点保护的资源,才能够制定出相应的切合实际的策略。公司首先要确定对公司目前成功和长期生存至关重要的数据、系统和网络,因为这些元素对企业而言兼具货币价值和内在价值。货币价值指起重要作用的关键、敏感数据设计资料、应用系统和网络,以及如果这些元素无法提供适当的功能,公司将遭受多大的损失。内在价值指各机构必须认真考虑安全问题可能带来的对信誉、声誉和与投资者关系的损害。
               在评估过程,企业要采用能够充分利用结合优秀的传统方法及联网计算的新业务模式,才能获得竞争优势。而且对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各机构必须独立确定所需的安全程度,以及哪种安全能最有效地满足其特殊业务需求。所以,有效的评估方法就是要根据不同企业特殊条件有针对性地进行操作。
               组织在进行信息资产风险评估时,不可有侥幸心理,必须将直接后果和潜在后果一并考虑。对信息安全管理体系范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定,这就是一个风险评估的过程。
               根据风险分析,建立信息安全管理体系(制度和技术体系)
               管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱衡量(如商誉的损失等)。由于信息安全是一个动态的系统工程,组织应时时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
               准备信息安全适用性申明:信息安全适用性申明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备,一方面是为了向组织内的员工申明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
               信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。要实施一个完整信息安全管理体系,至少应包括三类措施。一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施,该方面措施同时包含了技术与社会措施有:实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,主要目的是使信息安全管理体系持续运行。企业要实施一个安全的系统应该三管齐下。其中法律、企业领导层的重视应处于最重要的位置。
               安防制度是安全防护体系的基础。安防制度是这样一份或一套文档:它从整体上规划出在企业内部实施的各项安防控制措施。规章制度不是技术指标,它在企业里起的作用主要有3点。
               明确员工的法律责任;
               对保密信息和无形资产加以保护,使之免于盗窃、误用、非授权公开或修改;
               防止浪费企业的计算机资源。
               写在纸面上的规章制度不过是把公司纲领传达给各个员工的手段。规章制度一定要正式发布,正式发布的规章制度才能作为法律证据。
               规章制度的生命周期(即制度的制定→推行→监督实施)是在制定、推行、和监督实施规章制度时所必须遵循的过程。规章制度的编制工作是以风险评估工作的结论为基础制定出消除、减轻和转移风险所需要的安防控制措施。要用简明易懂的文字来书写它们,不要弄得过于复杂。规章制度的推行阶段说的是企业发布执行规章制度的工作。必须保证对不遵守制度的行为的惩罚与该行为本身相匹配,对每次违反规章制度的行为都要进行惩罚。如果规章制度的推行工作不严格,安防体系将难以实施。监督实施工作需要常抓不懈。这项工作需要长期反复进行,必须要确保它们能够跟上企业的发展和变化。
               规章制度的制定,从全局的角度看,规章制度的制定工作包括以下几个方面:明确关键性的商务资源和政策制度、界定企业中的各个岗位、确定企业各岗位人员的权利和义务。也可以以British Standard 7799信息安全管理体系(ISO/IEC 17799)为蓝本,这套标准把安防制度分为十大部分,内容覆盖信息系统决策和制度制定工作所涉及的一切问题。10个部分及其作用如下。
               (1)商务活动减灾恢复计划。从大多数失误和灾难造成的后果开始恢复企业运转及其关键性业务流程的行动计划。
               (2)系统访问权限控制。
               对信息的访问加以控制。
               防止出现针对信息系统的非授权访问。
               保护网络上的服务切实有效。
               防止出现计算机硬件设备的非授权访问。
               检测有无非授权访问。
               保证人员旅行时或电信线路上的信息安全。
               (3)系统开发和维护。
               确保可以让人们操控的系统上都已建好安全防护措施。
               防止应用系统里出现用户数据的丢失、修改和滥用现象。
               保护信息的保密性。与用户身份的对应性和完整性。
               确保IT项目及其支持性活动以一种受保护的方式来开发进行。
               维护应用系统中的软件和数据的安全性。
               (4)物理和环境的安防考虑。
               防止出现针对企业根基和信息方面的非授权访问、损坏和干扰。
               防止企业资产出现丢失、损坏、不正当使用,防止业务活动出现中断。
               防止信息和信息处理设备的不正当使用和盗窃。
               (5)遵守法律和规定。
               避免违反一切刑事和民事法律。
               避免违反法令性、政策性及合同性义务。
               避免违反安防制度要求。
               保证企业的安防制度符合国际、国内的相关标准。
               最大限度地发挥企业监督机制的效能,减少它带来的不便。
               (6)人为因素的安防考虑。
               减少信息处理设备在人为失误、盗窃、伪造、滥用等方面的风险。
               确保用户明白信息安全方面的威胁和关注重点,在其日常工作过程中懂得使用必要的设备来支持公司的安防制度。
               把安防事故和意外的损失减少到最小,并从这类事件中吸取教训。
               (7)企业组织的安防考虑。
               加强企业内部的信息安防管理。
               对允许第三方访问的企业信息处理设备和信息资产进行安全防护。
               对外包给其他公司信息处理业务所涉及的信息进行安全防护。
               (8)计算机和网络管理。
               确保对信息处理设备的操作是正确和安全的。
               减少系统故障方面的风险。
               保护软件和信息的完整性。
               注意维护在处理和通信过程中的完整性和可用性。
               确保网上信息的安防监控以及相关支持体系的安全防护。
               防止出现损坏企业资产和中断公司业务活动的行为。
               防止企业之间的交流信息被丢失、修改或滥用。
               (9)资产分类和控制。
               对公司资产加以适当的保护措施,确保无形资产都能得到足够级别的保护。
               (10)安防制度。
               提供信息安防方面的管理方针和支持服务。
               严格的信息安防制度必须包括以下几项重点内容。
               必须有明晰信息所有权的条款。
               必须规定员工/用户在保护信息资产方面的责任。
               必须制定出对不遵守制度现象的惩罚措施。
               为避免出现漏洞而给出了以下几条建议。
               在制定信息安防制度时要注意考虑企业文化,许多安防方面的规章制度都是参考制度模板或者以其他企业的规章制度为样板而制定出来的。与企业文化和公司业务活动不相适应的信息安防制度往往会导致发生大范围的不遵守现象。
               规章制度必须有现实意义,必须由管理层明确签发——在正式发布规章制度之前,应该先调查清楚用户对这套制度的接受程度如何,还应该把网络系统和业务流程改造多方面的开支计划安排好。不要低估规章制度宣传工作的作用。要想让员工自觉地遵守规章制度,就必须先把制定规章制度的道理向他们讲清楚。举办学习会,在会上宣布开始执行这套规章制度,并把企业领导签发的通知书下发给每一位员工。发布规章制度的时候,必须写明其监督实施办法,制定出正式执行这套规章制度的时间表。要把例外情况的审批手续和不遵守规章制度现象的汇报手续解释清楚,这是非常重要的。应该给员工发一些提醒他们遵守制度的小物品,甚至可以准备一些自查表好让员工和部门经理能够对制度的遵守情况进行自查。规章制度必须包括适当的监督机制,必须有对不遵守现象的纪律处罚手段,为了保证能够发现和纠正对规章制度的错误理解、保证能够发现和纠正不遵守规章制度的现象,安防制度里必须有相应的监督实施办法,企业应该尽可能采用一些自动化的工具对规章制度的执行情况做定期的检查。如果采用人工方法进行检查,就必须有一个定期的常规检查计划——对恶性事故的原因和责任必须做正式的追查;违反规定的行为要视情节轻重进行处罚;纪律面前,人人平等,事故处理办法里应该说明怎样来调查和收集证据,在什么情况下需要提请司法机关介入。最后,应该定期对遵守、例外、和违反规章制度的情况进行总结并与企业领导进行交流,让他们了解制度的执行情况,支持你的工作。要想制定出一套成功的信息安防制度,其关键在于以下几个问题的答案:员工理解正确使用情况和不正确使用情况之间的区别吗?对明显违反制度的行为,员工会报告吗?对明显违反制度的行为,员工知道应该怎样报告吗?
               以下内容是安防制度里的几个重要组成部分。
               计算机上机管理制度。计算机上机管理制度讨论和定义了公司计算机资源的正确使用办法。应该要求用户在开设账户时阅读和签署这份协议。用户有责任保护保存在计算机里的信息资料,这一点必须在协议里写清楚。用户的个人电子邮件的使用级别也要在协议里写清楚。这项制度要回答以下几个问题。
               用户能否查阅和复制自己有访问权但不属于他们的文件。
               用户能否修改自己有写权限但不属于他们的文件。
               用户能否复制系统配置文件(如etc/passwd和SAM)供个人使用或复制给其他人。
               用户能否使用.rhosts文件。可以设置使用哪几个数据项。
               用户能否共享账户。
               用户账户管理制度。用户账户管理制度给出的是申请和保有系统账户的要求。大公司里的计算机用户经常会在好几个系统上有账户,所以这个制度对它们来说非常重要。用户账户管理制度需要问答以下几个问题。
               谁有权批准开设账户的申请?
               谁(员工、配偶、儿童、公司访客等)被允许使用公司的计算机资源?
               用户能否在一个系统上开设多个账户?
               用户能否共享账户?
               用户都有哪些权利和义务?
               账户都会在什么时候被禁用和归档?
               远程访问管理制度。远程访问管理制度规定了公司内部网络的远程连接办法。这个制度对今天的企业有很重要的意义,因为用户和网络可能分布在广大的地域上。这个制度应该把允许使用的远程访问内部资源的手段都包括进来,比如拨号(SLIP、PPP)、ISDN/帧中继、经过因特网的Telnet访问、有线电视调制解调器/DSL,等等。这项制度需要回答以下几个问题。
               哪些人有权使用远程访问服务?
               公司支持哪几种连接方法(比如只支持宽带调制解调器/DSL或拨号)?
               内部网络上是否允许使用向外拨号的调制解调器?
               远程系统上有没有额外的使用要求——比如强制性的杀毒软件和安防软件?
               员工家庭里的其他成员能否使用公司的网络?
               对被远程访问的数据是否有限制?
               信息保护管理制度。信息保护管理制度规定了用户在处理、保存和传输敏感数据时的正确做法。这个制度的主要目的是要确保受保护信息不会被在非授权的情况下被修改和公开。公司的现有员工都必须签署这份协议,新员工在岗位培训时必须学习这项制度、信息保护管理制度需要问答以下几个问题。
               信息的敏感级别是如何设定的?
               哪些人可以访问到敏感的信息?
               敏感信息是如何保存和传输的?
               哪个级别敏感信息允许在公共打印机上打印出来?
               如何从存储介质上删除敏感信息(碎纸机、硬盘整理、软盘消磁等)?
               防火墙管理制度。防火墙管理制度规定了防火墙硬件和防火墙软件的管理办法,规定了改变防火墙配置时的审批手续,这项制度需要问答以下几个问题。
               哪些人有防火墙系统的访问权?
               如果需要改变防火墙的配置情况,需要向谁提出申请?
               如果需要改变防火墙的配置情况,申请将由谁来批准?
               哪些人可以看到防火墙的配置规则和它的访问清单?
               防火墙配置情况的检查周期是多长时间?
               特殊访问权限管理制度。特殊访问权限管理制度规定了系统特殊账户(根用户账户、系统管理员账户等)的申请和使用办法。这项制度需要回答以下几个问题。
               特殊访问权限需要向谁提出申请?
               特殊访问权限需要由谁来批准?
               特殊访问权限的口令字规则是什么?
               多长时间改变一次口令?
               什么理由或情况会导致用户的特殊访问权限被取消?
               网络连接设备管理制度。网络连接设备管理制度规定了给网络增加新设备的要求,它需要回答以下几个问题。
               哪些人有权在网络上安装设备?
               安装新设备需要由谁来批准?
               安装新设备时应该通知哪些人?
               网络设备的增减情况由谁来记录?
               对网络上新增加的设备有没有安防要求?
               商业伙伴管理制度。商业伙伴管理制度规定了企业的商业伙计公司都应该具备什么样的安防条件。随着电子商务的发展,公司内部网络对商业伙伴、顾客、供应商的开放程度越来越大,商业伙伴管理制度也就越来越重要。这方面的规定在每一份商业伙伴协议里都会有很大的变化,但它至少需要回答以下几个重要的问题。
               是否要求每一个商业伙伴公司都必须有一份书面的安防制度?
               是否要求每一个商业伙伴公司都必须有个防火墙或其他网络边界安防设备?
               通信交流是如何进行的(因特网上的VPN虚拟专用网、租用专线等)?
               如果想访问商业伙伴的信息资源,应该如何提出申请?
               其他重要规定。你可能还需要制定其他几项规章制度,比如说:
               无线网络管理制度——帮助加强无线网络的安全防护措施,内容包括哪些设备可以无线接入、需要采取哪些安防措施,等等;
               实验室管理制度——如果企业里有一个测试实验室,就要用这项制度来保护内部网络免受其影响而降低安全性。最好是让测试实验室另外使用一条完全独立的因特网连接,使它与公司内部的业务网络没有什么连接通路。
               个人数字助理(PDA)管理制度——这项制度明确了是否允许PDA设备连接到公司的内部网络、怎样建立连接、是否允许把PDA软件安装在公司的系统上等问题。这些设备会给你的技术支持部门带来许多支持和混用方面的问题。
               顾客管理制度。有此公司还向顾客、潜在顾客、和商业伙伴们提供其安全防护体系的概括性讨论报告。这有助于展示企业对安防环境的重视和经验。
               信息安全管理系统基本技术框架。面向数据的安全概念是数据的保密性、完整性和可获性,而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。综合考虑就是信息安全管理体系结构中的安全服务功能,而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心,安全标准和系统评估是信息安全的基础。
               信息安全管理系统的安全保障体系可以分为三个层次:一是基本安全环节,这些安全环节是很多系统平台本身就提供的,如操作系统或者数据库;其次是对基本安全要素的增强环节,利用这些增强环节能够对系统起到更可靠的保护作用;再其次是扩充的安全机制,它们提供更强的安全监测和防御能力。
               基本安全环节。用户身份标识和鉴别。计算机信息系统的可信操作在初始执行时,首先要求用户标识自己的身份,并提供证明自己身份的依据,计算机系统对其进行鉴别。
               身份鉴别可以是只对主体进行鉴别,某些情况下,则同时需要对客体进行鉴别。目前在计算机系统中使用的身份鉴别的技术涉及3种因素:你知道什么(秘密的口令)、你拥有什么(令牌或密钥)、你是谁(生理特征)。
               仅以口令作为验证依据是目前大多数商用系统所普遍采用的方法。这种简单的方法会给计算机系统带来明显的风险,包括利用字典的口令破解;冒充合法计算机的登录程序欺骗登录者泄露口令等。
               任何一个单纯的口令系统都无法保证不会被入侵。一些系统使用口令与令牌相结合的方式,这种方式在检查用户口令的同时,验证用户是否持有正确的令牌。令牌是由计算机用户执行或持有的软件或硬件。令牌连续地改变口令,通过与验证方同步获得验证。
               基于生理特征的验证是一项始终处于研究阶段的技术,验证的依据种类繁多,常见的如指纹、视网膜或虹膜、手掌几何学等。这类系统通常十分昂贵,并且出错率和性能还没有被广泛认可。
               访问控制。访问控制分为“自主访问控制”和“强制访问控制”两种。
               自主访问控制(DAC)是商用系统中最常见的一种类型,UNIX和NT操作系统都使用DAC。在基于DAC的系统中,主体的拥有者负责设置访问权限。自主访问控制的一个最大问题是主体权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。
               强制访问控制(DMC)就是系统给每个客体和主体分配了不同的安全属性,而且这些安全属性不像由客体拥有者制定的ACL(访问控制列表)那样轻易被修改。系统通过比较主体和客体的安全属性决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
               审计。审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识,访问权限请求、日期和时间、参考请求结果(成功或失败)。审计记录应以一种确保可信的方式存储。大多数操作系统都提供至少能记录被用户访问的每个文件的审计子系统。
               上面这些安全要素是一个安全系统最基本的和不可缺少的安全机制,这些要素的缺乏意味着系统几乎没有可信赖的安全机制。
               对基本安全环节的增强机制。可以采取一些可行的技术手段以强化基本安全机制的作用,这些手段如下。
               在普通操作系统中通过强化内核,增加强制访问控制能力,分解ROOT权限。
               在网络上设置防火墙,由于防火墙可以在操作系统的外部增加一层防护,因而在商用操作系统安全性较弱的情况下,可以有效增加系统的安全性。
               独立的网络和主机审计系统。
               利用密码技术建立的身份鉴别体系:基于公钥算法和PKI的认证系统。
               扩充的安全机制。这些安全机制采用了更有针对性的技术来提高系统安全的可控性,它们是建立高度安全的信息系统必不可少的。
               (1)安全审核。其基本原理是在系统外部对受保护的系统自动地模拟各种访问动作,通过系统对这些动作的响应评估系统的安全状况。安全审核通过改善系统中的基本安全环节达到增强安全性的目的,典型的产品如网络扫描器。
               (2)实时监控。实时监控系统依据系统积累的关于异常和入侵的知识(一组行为模式),实时监控系统中的事件,并可以在发生危害系统的事件发生时,产生预先定义的动作,终止危害事件的进行或报告异常事件。实时监控由于积累了大量关于入侵系统的知识,并对典型行为敏感,因而又被称为“入侵检测”。它强化了系统中的访问控制(产生动作)和审计机制(记录危险事件)。
               (3)防病毒。防病毒系统利用病毒的已知特征发现病毒,并将其从系统中清除。
               (4)信息加密。包括可信系统内部的加密存储以及跨越不可信系统在可信系统间传输受控信息的机制。通常使用信息加密技术以及建立在加密和通道技术上的VPN系统。
               (5)安全系统的灾难恢复。数据的灾难恢复是保证系统安全可靠不可或缺的基础。如果定期对重要数据进行备份,那么在系统出现故障时,仍然能保证重要数据准确无误。
               以上介绍的这些技术环节,有些是基本的,有些则并不一定都要部署,企业应该根据自身的信息系统的构成、信息系统本身的价值、威胁的主要来源等因素来决定取舍。
               建立业务持续计划并实施安全管理体系
               信息安全管理系统的框架的建设只是第一步。在具体实施信息安全管理系统的过程中,必须充分考虑各种因素,例如,实施的各项费用(例如培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
               在信息安全管理系统建设、实施的过程中,必须建立起各种相关的文档、文件,例如,信息安全管理系统管理范围中所规定的文档内容、对管理框架的总结(包括信息安全政策、管制目标和在适用性申明中所提出的控制措施)、在信息安全管理系统管理范围中规定的管制采取过程、信息安全管理系统管理和具体操作的过程(包括IT服务部门、系统管理员、网络管理员、现场管理员、IT用户以及其他人员的职责描述和相关的活动事项)等。文档可以按各种形式保存,但是必须划分不同的等级或类型。同时,为了今后的信息安全认证工作的顺利进行,文档必须能很容易地被指定的第三方(例如认证审核员)访问和理解。
               组织必须对各种文档进行严格的管理,结合业务和规模的变化,对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全政策需要时,就必须将其废弃。但值得注意的是,某些文档虽然对组织来说可能已经过时,但由于法律或知识产权方面的原因,组织可以将相应文档确认后保留。
               必须对在实施信息安全管理系统的过程中发生的各种与信息安全有关的事件进行全面的纪录。安全事件的纪录为组织进行信息安全政策定义、安全管制措施的选择等的修正提供了现实的依据。安全事件记录必须清晰,明确记录每个相关人员当时的活动。安全事件纪录必须适当保存(可以以书面或电子的形式保存)并进行维护,使得当纪录被破坏、损坏或丢失时容易挽救。
               信息安全管理体系标准(如BS 7799国际信息安全管理标准体系)毕竟仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的信息安全管理系统,才是真正具有挑战性的工作。在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
   题号导航      2008年下半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第6题    在手机中做本题