免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2017年下半年 信息系统项目管理师 上午试卷 综合知识
第18题      
知识点   安全威胁   操作系统的安全   操作系统   完整性   系统的安全
关键词   安全   操作系统   篡改   完整性      分类   信息系统       

 
按照行为方式,可以将针对操作系统安全威胁划分为:切断、截取、篡改、伪造四种。其中( )是对信息完整性的威胁。
 
 
  A.  切断
 
  B.  截取
 
  C.  篡改
 
  D.  伪造
 
 
 

  相关试题     信息系统    更多>  
 
  第1题    2012年下半年  
   31%
某信息系统项目采用原型法开发,以下做法中不正确的是(1)。
  第11题    2019年下半年  
   65%
在某科研企业信息办工作的小王将存储在内网上的涉密数据,偷偷拷贝到个人笔记本电脑上,这属于( )事件。
  第1题    2011年上半年  
   37%
以下对信息系统集成的叙述,不正确的是(1)。
 


   知识点讲解    
   · 安全威胁    · 操作系统的安全    · 操作系统    · 完整性    · 系统的安全
 
       安全威胁
        评估安全威胁的方法主要有以下4种:
        (1)查阅。查阅一些以网络安全为主题的信息资源,包括书籍、技术论文、报刊文章、新闻组以及邮件列表等。
        (2)实验。获知入侵者进入系统的困难性的一种方法是进行自我攻击。
        (3)调查。安全调查所获得的统计数据可以提供给管理者一些有用信息以便做出决断。
        (4)测量。对潜在的威胁进行测量,通常使用陷阱。
        通常使用一些陷阱可以有效地对威胁做出真实的评估而没有将个人和组织暴露的危险,使用陷阱主要有3个方面的好处:
        (1)陷阱提供了真实世界的信息。如果通过适当的设计,入侵者会完全意识不到陷阱的存在。
        (2)精心设计的陷阱能够安全地提供一些测量手段。
        (3)陷阱能够用于延缓将来的攻击。
        一个陷阱主要有3个组成部分,分别是诱饵、触发机关以及圈套。一个好的陷阱应该具备以下特征:
        (1)良好的隐蔽性。网络陷阱对于入侵者来说,必须是不可见的。陷阱对外暴露的部分只有诱饵,只需要确保诱饵的特性不会暴露陷阱的存在。例如,可以使用SCSI分析器、网络协议分析器和日志信息。
        (2)有吸引力的诱饵。诱饵的选择必须与环境相适应,例如,可以把冠以敏感信息的文件或文件夹作为诱饵。
        (3)准确的触发机关。一个好的陷阱应该捕获入侵者而不应该捕获无辜者,触发机关的设置应该使失误率降到最低。设计时必须考虑由于失误所引起的信用问题,这是非常重要的。
        (4)强有力的圈套。一个有效的陷阱必须有足够的能力来抵抗入侵者,这一点是设计好陷阱最为困难的事情。好的陷阱通常具有保留证据的能力。
 
       操作系统的安全
        为了建立安全的操作系统,首先,必须构造操作系统的安全模型(单级安全模型、多级安全模型、系统安全模型等)和实施方法;其次,应该采用诸如隔离、核化(最小特权等)和环结构(开放设计和完全中介)等安全科学的操作系统设计方法;最后,还需要建立和完善操作系统的评估标准、评价方法和测试质量。对付操作系统中常见后门的方法可归纳如下。
        (1)加强程序开发阶段的安全控制,防止有意破坏并改善软件的可靠性。比如,采用先进的软件工程进行对等检查、模块结构、封装和信息隐藏、独立测试和程序正确性证明及配置管理等。
        (2)在程序的使用过程中实行科学的安全控制。比如,利用信息分割限制恶意程序和病毒的扩散;利用审计日志跟踪入侵者和事故状态,促进程序间信息的安全共享。
        (3)制定规范的软件开发标准,加强管理,对相关人员的职责进行有效监督,改善软件的可用性和可维护性。
 
       操作系统
        编写嵌入式软件有两种选择:一是自己编写内核;二是使用现成的操作系统。如果嵌入式软件只需要完成一项非常小的工作,例如在电动玩具、空调中,就不需要一个功能完整的操作系统。但如果系统的规模较大、功能较复杂,那么最好还是使用一个现成的操作系统。可用于嵌入式系统软件开发的操作系统有很多,但关键是如何选择一个适合开发项目的操作系统,可以从以下几点进行考虑:
        (1)操作系统提供的开发工具。有些实时操作系统只支持该系统供应商的开发工具,因此,还必须从操作系统供应商处获得编译器、调试器等;而有的操作系统应用广泛,且有第三方工具可用,因此选择的余地比较大。
        (2)操作系统向硬件接口移植的难度。操作系统到硬件的移植是一个重要的问题,是关系到整个系统能否按期完工的一个关键因素。因此,要选择那些可移植性程度高的操作系统,以避免因移植带来的种种困难。
        (3)操作系统的内存要求,有些操作系统对内存有较大要求。
        (4)操作系统的可剪裁性、实时性能等。
 
       完整性
        完整性(Integrity)是指网络信息或系统未经授权不能进行更改的特性。例如,电子邮件在存储或传输过程中保持不被删除、修改、伪造、插入等。完整性也被称为网络信息系统CIA三性之一,其中I代表Integrity。完整性对于金融信息系统、工业控制系统非常重要,可谓“失之毫厘,差之千里”。
 
       系统的安全
        系统的安全涉及两类不同的问题,一类涉及技术、管理、法律、道德和政治等问题,另一类涉及操作系统的安全机制。随着计算机应用范围扩大,在所有稍具规模的系统中都从多个级别上来保证系统的安全性。一般从4个级别上对文件进行安全性管理:系统级、用户级、目录级和文件级。
        (1)系统级。系统级安全管理的主要任务是不允许未经授权的用户进入系统,从而也防止了他人非法使用系统中各类资源(包括文件)。系统级管理的主要措施有注册与登录。
        (2)用户级。用户级安全管理是通过对所有用户分类和对指定用户分配访问权,不同的用户对不同文件设置不同的存取权限来实现。例如,在UNIX系统中将用户分为文件主、同组用户和其他用户。有的系统将用户分为超级用户、系统操作员和一般用户。
        (3)目录级。目录级安全管理是为了保护系统中各种目录而设计的,它与用户权限无关。为了保证目录的安全,规定只有系统核心才具有写目录的权利。
        (4)文件级。文件级安全管理是通过系统管理员或文件主对文件属性的设置来控制用户对文件的访问。通常可设置以下几种属性:只执行、隐含、只读、读/写、共享、系统。用户对文件的访问,将由用户访问权、目录访问权限及文件属性三者的权限所确定,或者说是有效权限和文件属性的交集。例如对于只读文件,尽管用户的有效权限是读/写,但都不能对只读文件进行修改、更名和删除。对于一个非共享文件,将禁止在同一时间内由多个用户对它们进行访问。


 题号导航      2017年下半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况 
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
↓第18题