免费智能真题库 > 历年试卷 > 系统集成项目管理工程师 > 2023年下半年 系统集成项目管理工程师 上午试卷 综合知识 (第四批)
  第29题      
  知识点:   信息安全管理的内容   鉴别
  关键词:   鉴别数据   数据包   数据        章/节:   信息安全管理       

 
()通常用来鉴别数据包的进出。
 
 
  A.  安全审计系统
 
  B.  防火墙
 
  C.  防毒软件
 
  D.  扫描器
 
 
 

 
  第67题    2021年下半年  
   57%
在信息安全管理中,数字签名主要用于确保数据的()。
  第23题    2015年下半年  
   33%
访问控制是信息安全管理的重要内容之一。以下关于访问控制规则的叙述中,(23)是不正确的。
  第26题    2015年下半年  
   43%
为保障数据的存储和传输安全,防止信息泄露,需要对一些重要数据进行加密。对称密码算法(26)。所以特别适合对大量的数据进行加..
   知识点讲解    
   · 信息安全管理的内容    · 鉴别
 
       信息安全管理的内容
        ISO/IEC 27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准,它包括《ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求》《ISO/IEC 27002信息技术-安全技术-信息安全管理体系-实践准则》等系列标准。
        ISO/IEC 27000系列标准将信息安全管理的内容主要概括为如下14个方面:
        .信息安全方针与策略:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。
        .组织信息安全:要建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。信息安全应整合到组织的项目管理方法中,以确保识别并处理了信息安全风险。应确保在使用移动计算和远程工作设施时的信息安全。
        .人力资源安全:要确保员工、合同方和第三方用户了解他们的责任并适合其岗位,从而减少盗窃、滥用或设施误用的风险。组织应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的责任和义务,并能够在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。要确保员工、合同方和第三方用户以一种有序的方式离开组织或变更工作。
        .资产管理:要对组织资产实现并维持适当的保护。所有资产均应有人负责,并有指定的所有者;要确保信息可以得到适当程度的保护;应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度。
        .访问控制:对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。
        .密码:应通过加密手段来保护信息的保密性、真实性或完整性。组织应制定使用密码的策略;应有密钥管理以支持密码技术的使用。
        .物理和环境安全:应防止对组织办公场所和信息的非授权物理访问、破坏和干扰。组织应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断;应保护设备免受物理和环境的威胁;要对设备(包括非公司现场的设备和迁出的设备)进行保护以减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备的安置和处置。
        .运行安全:确保信息处理设施的正确和安全操作,应建立所有信息处理设施的管理和操作的职责与程序。组织应最小化系统失效的风险;应保护软件和信息的完整性;应保持信息和信息处理设施的完整性和可用性;应探测未经授权的信息处理活动;应维护应用系统软件和信息的安全;应减少由利用已发布的技术漏洞带来的风险。涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断。
        .通信安全:应确保网络中的信息和支持性基础设施得到保护;应防止对资产的未授权泄露、修改、移动或损坏,及对业务活动的中断;应维持组织内部或组织与外部组织之间交换信息和软件的安全。
        .信息系统的获取、开发和保持:应确保安全成为信息系统的一部分;应防止应用系统中信息的错误、丢失、未授权的修改或误用。组织应为系统开发全生命周期的开发和集成活动建立安全开发环境,并予以适当保护;应保护在公共网络上应用服务传输的信息,以防止遭受欺诈、合同纠纷以及未经授权的泄露和修改;应确保电子商务的安全及其安全使用。
        .供应商关系:为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件。供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。
        .信息安全事件管理:确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通;应确保使用一致、有效的方法管理信息安全事件;应建立职责和程序以有效地处理报告的信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续改进。需要证据时,证据的收集应符合法律的要求。
        .业务持续性管理:应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。这个过程需要识别关键的业务过程,并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。除了通用的风险评估过程外,业务连续性管理应包括识别和减少风险的控制措施、降低有害事件的影响以及确保业务过程需要的信息能够随时得到。
        .符合性:应避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织安全策略和标准;应最大化信息系统审核的有效性,并最小化来自信息系统审核带来的干扰。
        除以上14个方面的主要内容外,信息安全风险管理也是信息安全管理的重要基础,不管对于哪个方面控制措施的选择和评价,都应基于风险评价的结果进行。随着多学科的应用和相互融合,信息安全管理的内容也更加广泛和深入。
 
       鉴别
        鉴别机制是以交换信息的方式确认实体真实身份的一种安全机制。身份可被鉴别的实体称为主体,主体具有一个或多个与之对应的辨别标识符。可被鉴别的主体有:人类用户;进程;实开放系统;OSI层实体;组织机构。鉴别的基本目的是防止其他实体占用和独立操作被鉴别实体的身份,这类危害被称为“冒充”。
        识别将可辨别标识符与某一主体联系起来,与其他主体区别。有时候,一个主体可以拥有并使用一个或多个辨别标识符。在给定的安全域内可辨别标识符要能够将一个主体与域中的其他主体区分开来。在不同的安全域中发生鉴别时,可以将辨别标识符与安全域标识符连接使用,以区别不同安全域中使用同一可辨别标识符的实体。
        鉴别提供了实体声称其身份的保证,只有在主体和验证者的关系背景下,鉴别才是有意义的。有两种重要的关系背景:①主体由申请者来代表,申请者和验证者之间存在着特定通信关系(实体鉴别);②主体为验证者提供数据项来源。其中,申请者用于描述一类实体,这类实体本身就是用于鉴别的主体或者代表用于鉴别的主体。验证者用于描述一类实体,这类实体本身就是要求被鉴别的实体或者代表要求被鉴别的实体。鉴别信息是指申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。
        鉴别的方法主要有如下5种。
        (1)用拥有的(如IC卡)进行鉴别。
        (2)用所知道的(如密码)进行鉴别。
        (3)用不可改变的特性(如生物学测定的标识特征)进行鉴别。
        (4)相信可靠的第三方建立的鉴别(递推)。
        (5)环境(如主机地址)。
        鉴别分为单向鉴别和双向鉴别。在单项鉴别中,一个实体充当申请者,另一个实体充当验证者;在双向鉴别中,每个实体同时充当申请者和鉴别者,并且两个方向上可以使用相同或者不同的鉴别机制。
        用户在被允许得到访问控制信息之前必须被鉴别,从而允许其在访问控制策略下访问资源,即鉴别服务可以将鉴别结果传送给访问控制服务。
   题号导航      2023年下半年 系统集成项目管理工程师 上午试卷 综合知识 (第四批)   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第29题    在手机中做本题