免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2022年上半年 信息系统项目管理师 上午试卷 综合知识
  第63题      
  知识点:   信息安全系统和安全体系   系统工程   信息安全
  关键词:   信息安全   安全        章/节:   信息安全系统工程       

 
关于信息安全系统工程的描述,不正确的是:()。
 
 
  A.  是信息系统工程的一部分,符合系统工程的一般原则和规律
 
  B.  应吸纳安全管理的成熟规范
 
  C.  信息安全系统工程成熟度模型用于信息安全系统实施的风险评估
 
  D.  安全工程活动与硬件工程、软件工程、系统工程、测试工程相关
 
 
 

 
  第18题    2014年下半年  
   55%
以下关于入侵检测系统功能的叙述中,()是不正确的。
  第15题    2010年下半年  
   58%
在Windows操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务信息系统宜采用(15)作为信息安全系统架构。
  第18题    2012年下半年  
   58%
关于入侵检测系统(IDS),下面说法不正确的是(18)。
   知识点讲解    
   · 信息安全系统和安全体系    · 系统工程    · 信息安全
 
       信息安全系统和安全体系
        信息安全系统三维空间
        信息安全系统的三维空间中,X轴是“安全机制”,Y轴是“OSI网络参考模型”,Z轴是“安全服务”。
        安全空间的5大属性,即安全五要素为认证、权限、完整、加密和不可否认。
        1.OSI网络参考模型
        OSI七层结构从上到下分别为:
        .应用层:向应用程序提供服务。
        .表示层:为不同的用户端提供数据和信息的语法转换内码。
        .会话层:建立和维持会话,并能使会话获得同步。
        .传输层:源端到目的端对数据传送进行控制。
        .网络层:建立网络连接和为上层提供服务。
        .数据链路层:为网络层提供数据传送服务。
        .物理层:定义了所有电子及物理设备的规范,传输透明比特流。
        
        2.安全机制
        安全机制体系包括:
        .基础设施实体安全:机房、场地、设施、动力系统等的安全,灾难预防与恢复。
        .平台安全:操作系统、网络基础设施、通用基础应用程序的漏洞检测与修复以及网络安全产品部署。
        .数据安全:介质与载体安全保护、数据访问控制、数据完整性和可用性、数据监控和审计以及数据存储与备份安全。
        .通信安全:通信线路和网络基础设施的安全、网络协议安全、通信加密软件等。
        .应用安全:业务软件的安全性,业务资源的访问,业务数据的保密性、一致性,业务系统的可靠性、可用性等。
        .运行安全:应急处理机制、网络安全产品运行监测等。
        .管理安全:人员管理、培训管理、应用系统管理、软件管理、设备管理等。
        .授权和审计安全:向用户和应用程序提供权限管理和授权服务以及进行安全方面的审计。
        .安全防范体系:可发挥预警、保护、检测、反应、恢复和反击6项能力。
        3.安全服务
        安全服务包括:
        .对等实体认证服务:用于两个开放系统同等层中的实体建立链接或数据传输时,对对方实体的合法性、真实性进行确认,以防假冒。
        .数据保密服务:可提供链接方式和无链接方式两种数据保密,同时也可对用户可选字段的数据进行保护。
        .数据完整性服务:用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
        .数据源点认证服务:用于确保数据发自真正的源点,防止假冒。
        .禁止否认服务:防止发送方在发送数据后否认自己发送过此数据,接收方在收到数据后否认自己收到过此数据或伪造接收数据,由不得否认发送和不得否认接收两种服务组成。
        .犯罪证据提供服务:审计及使用历史数据进行取证、分析。
        4.安全技术
        安全技术包括:
        .加密技术:确保数据安全性的基本方法。
        .数字签名技术:确保数据真实性的基本方法,数字签名具有解决收发双方纠纷的能力。
        .访问控制技术:按事先确定的规则决定主体对客体的访问是否合法。
        .数据完整性技术:通过纠错编码和差错控制来应对信道干扰,通过报文认证来应对非法入侵者的主动攻击,通过病毒实时监测来应对计算机病毒。
        .认证技术:计算机网络中的认证主要有站点认证、报文认证、用户和进程认证等。多数认证过程采用密码技术和数字签名技术。
        .数据挖掘技术:是及早发现隐患、将犯罪扼杀在萌芽阶段并及时修补不健全的安全防范体系的重要技术。
        信息安全系统架构体系
        信息安全保障系统有3种不同的架构:MIS+S系统、S-MIS系统和S2-MIS系统。
        1.MIS+S系统
        MIS+S系统也称为“初级信息安全保障系统”或“基本信息安全保障系统”。这种系统的特点如下:
        .业务应用系统基本不变。
        .硬件和系统软件通用。
        .安全设备基本不带密码。
        2.S-MIS系统
        S-MIS系统也称为“标准信息安全保障系统”,它是建立在世界公认的PKI/CA标准的信息安全基础设施上的。这种系统的特点如下:
        .硬件和系统软件通用。
        .PKI/CA安全保障系统必须带密码。
        .业务应用系统必须根本改变。业务应用系统是必须按照PKI/CA的标准重新编制的“全新”的安全业务应用信息系统。
        .主要的通用硬件、软件也要通过PKI/CA认证。
        3.S2-MIS系统
        S2-MIS系统也称为“超安全的信息安全保障系统”,它是建立在“绝对”安全的信息安全基础设施上的,不仅使用世界公认的PKI/CA标准,同时硬件和系统软件都使用专有的安全产品。这种系统的特点如下:
        .硬件和系统软件都专用。
        .PKI/CA安全保障系统必须带密码。
        .业务应用系统必须根本改变。
        .主要的通用硬件、软件要通过PKI/CA认证。
        信息安全保障系统定义
        信息安全保障系统是一个在网络上集成各种硬件、软件和密码设备,以保障其他业务应用系统正常运行的专用的信息应用系统,以及与之相关的岗位、人员、策略、制度和规程的总和。
        信息安全保障系统是业务应用信息系统成熟发展到一定阶段的必然结果。信息安全保障系统的核心就是保证信息、数据的安全。
        按照信息安全保障的定义,对MIS+S、S-MIS和S2-MIS体系结构的理解有:
        .MIS+S是一个初步的、低级的信息安全保障系统,它是在已有的业务应用信息系统基础不变的情况下,为防止病毒、黑客等增加一些安全措施和安全防范设备,如防火墙、防病毒、物力隔离卡、网闸、漏洞扫描、黑客防范、动态口令卡和VPN等。这些只能在局部或某个方面提高业务应用信息系统的安全强度,但不能从根本上解决业务应用信息系统的安全问题,尤其不能胜任电子商务、电子政务等实际需要解决的安全问题。
        .S-MIS将业务应用信息系统直接建立在PKI/CA的安全基础设施上,并且主要的硬件和系统软件需要PKI/CA认证。借助PKI/CA安全基础设施,业务应用信息系统能真正“以我为主”、“以安全为主”掌控计算机的硬件、系统软件、人员、数据和应用系统的方方面面。再加上与MIS+S同样的外围安全措施和安全防范设备,获得从里到外的安全保护,因此成为标准的业务应用信息系统的信息安全保障系统。
        .S2-MIS基本与S-MIS相同,只是系统硬件和系统软件都是专用的,从而增加了整个系统的安全强度。
 
       系统工程
        系统工程是从整体出发合理开发、设计、实施和运用系统科学的工程技术。它根据总体协调的需要,综合应用自然科学和社会科学中有关的思想、理论和方法,利用计算机作为工具,对系统的结构、元素、信息和反馈等进行分析,以达到最优规划、最优设计、最优管理和最优控制的目的。
        霍尔(A.D.Hall)于1969年提出了系统方法的三维结构体系,通常称之为霍尔三维结构,这是系统工程方法论的基础。霍尔三维结构以时间维、逻辑维、知识维组成的立体空间结构来概括地表示出系统工程的各阶段、各步骤以及所涉及的知识范围。也就是说,它将系统工程活动分为前后紧密相连的7个阶段和7个步骤,并同时考虑到为完成各阶段、各步骤所需的各种专业知识,为解决复杂的系统问题提供了一个统一的思想方法。
               逻辑维
               逻辑维是解决问题的逻辑过程。运用系统工程方法解决某一大型工程项目时,一般可分为7个步骤:
               (1)明确问题。通过系统调查,尽量全面地搜集有关的资料和数据,把问题讲清楚。
               (2)系统指标设计。选择具体的评价系统功能的指标,以利于衡量所供选择的系统方案。
               (3)系统方案综合。主要是按照问题的性质和总的功能要求,形成一组可供选择的系统方案,方案是按照问题的性质和总的功能要求,形成一组可供选择的系统方案。
               (4)系统分析。分析系统方案的性能、特点、对预定任务能实现的程度,以及在评价目标体系上的优劣次序。
               (5)系统选择。在一定的约束条件下,从各入选方案中择出最佳方案。
               (6)决策。在分析、评价和优化的基础上作出裁决并选定行动方案。
               (7)实施计划。这是根据最后选定的方案,将系统付诸实施。
               以上7个步骤只是一个大致过程,其先后并无严格要求,而且往往可能要反复多次,才能得到满意的结果。
               时间维
               时间维是系统的工作进程。对于一个具体的工程项目,从制定规划起一直到更新为止,全部过程可分为7个阶段:
               (1)规划阶段。即调研阶段,目的在于谋求活动的规划与战略。
               (2)拟定方案。提出具体的计划方案。
               (3)研制阶段。作出研制方案及生产计划。
               (4)生产阶段。生产出系统的零部件及整个系统,并提出安装计划。
               (5)安装阶段。将系统安装完毕,并完成系统的运行计划。
               (6)运行阶段。系统按照预期的用途开展服务。
               (7)更新阶段。即为了提高系统功能,取消旧系统而代之以新系统,或改进原有系统,使之更加有效地工作。
               知识维
               知识维是完成各阶段、各步骤所需的专业科学知识。系统工程除了要求为完成上述各步骤、各阶段所需的某些共性知识外,还需要其他学科的知识和各种专业技术,霍尔把这些知识分为工程、医药、建筑、商业、法律、管理、社会科学和艺术等。各类系统工程,如军事系统工程、经济系统工程、信息系统工程等,都需要使用其他相应的专业基础知识。
 
       信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
   题号导航      2022年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第63题    在手机中做本题