免费智能真题库 > 历年试卷 > 信息系统监理师 > 2016年下半年 信息系统监理师 上午试卷 综合知识
  第65题      
  知识点:   安全管理概述   安全管理   技术体系   平台安全   数据安全   物理安全   系统安全   系统安全管理   信息系统安全   应用安全
  关键词:   安全管理   数据安全   通信安全   物理安全   信息系统安全   应用安全   安全   数据   通信   系统安全   信息系统        章/节:   安全管理       

 
信息系统安全管理技术体系包括物理安全技术和系统安全技术,其中系统安全技术包括平台安全数据安全、通信安全、应用安全和(65)。
 
 
  A.  账户安全
 
  B.  人员安全
 
  C.  运行安全
 
  D.  设备安全
 
 
 

 
  第63题    2019年上半年  
   44%
关于信息网络系统可用性的描述,不正确的是( )。
  第27题    2014年下半年  
   57%
影响计算机信息安全的因素很多,主要包括(27)。
  第64题    2015年下半年  
   39%
信息安全领域内最关键和最薄弱的环节或因素是( )。
   知识点讲解    
   · 安全管理概述    · 安全管理    · 技术体系    · 平台安全    · 数据安全    · 物理安全    · 系统安全    · 系统安全管理    · 信息系统安全    · 应用安全
 
       安全管理概述
        安全管理有5个层面,分别是物理层面安全、网络层面安全、系统层面安全、应用层面安全和管理层面安全。技术要求的4个方面,则分别是物理安全、运行安全、信息安全、安全管理操作管理与行政管理等。
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       技术体系
        灾备技术体系包括恢复信息系统所需的数据、人员、系统、网络、环境和预案等,其中数据和人员是灾难恢复的前提条件,系统、网络和环境是灾难恢复的技术资源保障,预案是灾难恢复的行动方案。
        (1)数据备份。数据备份是灾难恢复的最基本前提,但银行普遍存在数据总量非常大的情况,所以必须按照成本与风险平衡的原则,对不同数据采取不同的备份策略,包括数据备份范围、备份周期、备份技术、备份介质、备份线路带宽、保存时间等。比如,对核心账务数据要采用实时的远程备份,尽量保证数据的完整性;对经营管理数据采用定期批量备份,容忍少量的数据丢失;对可以通过备份数据生成的其他数据不做备份。
        (2)运行和技术保障。运行和技术保障是灾难恢复的另一前提,因为人是实施灾难恢复工作的主体。灾难恢复后,灾备生产运行需要运行人员来操作,灾备系统的维护管理需要技术保障人员来支持。合理设置灾备组织机构和岗位,对运行和技术保障人员进行生产技能培训,都是灾备体系建设的重点工作内容。
        (3)备用数据处理系统。备用数据处理系统指备用的计算机软硬件及外围设备等。为节约成本,灾备中心的设备资源配置一般会低于生产中心,并且在平时可以用于软件开发和测试,只是在演练或发生灾难时,才进行资源临时调配,暂停开发和测试工作,全力支持灾备生产运行。
        (4)备用网络系统。备用网络系统的关键是要使灾备中心的网络架构能够支持应急生产,比如当生产中心的网络中断时,各分行可以通过参数配置的调整,改连灾备中心。备用网络系统与生产网络系统应该作为一个整体同时规划,否则灾难发生后再向运营商紧急申请线路,或者紧急调整灾备网络架构,将是非常耗时的工作。
        (5)备用基础设施。备用基础设施主要是指灾备机房、办公场地、生活设施等,其中最重要的是灾备机房。一般来说,灾备机房都是提前准备好的,并且一直在使用当中,用于支持开发和测试工作。所以,灾备机房的重点工作就是提前规划好在不同情况下的机房使用策略。
        (6)灾难恢复预案。灾难恢复预案是定义信息系统灾难恢复所需组织、流程、资源等预先制定的行动方案,用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。预案应准确描述灾难恢复组织机构及职责,准确描述灾备基础资源的技术配置和恢复流程。
 
       平台安全
        华为云统一虚拟化平台(UVP),直接运行于物理服务器之上,通过对服务器物理资源的抽象,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。UVP基于硬件辅助虚拟化技术提供虚拟化能力,为虚拟机提供高效的运行环境,并且保证虚拟机运行在合法的空间内,避免虚拟机对UVP或其他虚拟机发起非授权访问。
 
       数据安全
        华为云构建全数据生命周期的安全防护能力。通过自动化敏感数据发现、动态数据脱敏、高性能低成本数据加密、快速异常操作审计、数据安全销毁等多项技术的研究与应用,实现数据在创建、存储、使用、共享、归档、销毁等多个环节的管控,保障云上数据安全。具体的数据安全机制主要有数据隔离、数据加密、数据冗余。
        . 数据隔离。华为云各服务产品和组件实现了隔离机制,避免客户间有意或无意的非授权访问、篡改等行为,降低数据泄露风险。以数据存储为例,华为云的块存储、对象存储、文件存储等服务均将客户数据隔离作为重要特性,服务设计的实现因服务而异。如块存储,数据隔离以卷(云硬盘)为单位进行,每个卷都关联了一个客户标识,挂载该卷的虚拟机也必须具有同样的客户标识,才能完成卷的挂载,确保客户数据隔离。
        . 数据加密。华为云的多个服务采用与数据加密服务(DEW)集成的设计,方便客户管理密钥,客户可以通过简单的加密设置,实现数据的存储加密。DEW已经支持对象存储、云硬盘、云镜像、云数据库和弹性文件存储等多个服务,并且数量还在不断增加,极大地方便了数据加密操作。华为云服务为客户提供控制台和API两种访问方式,均采用加密传输协议构建安全的传输通道,有效地降低数据在网络传输过程中被网络嗅探的风险。
        . 数据冗余。华为云数据存储采用多副本备份和纠删码设计,通过冗余和校验机制来判断数据的损坏并快速进行修复,确保即使一定数量的物理设备发生故障也不会影响业务的运行,使华为云存储服务的可靠性达到业界先进水平。例如对象存储服务的数据持久性高达99.9999999999%(12个9)。
 
       物理安全
        网络安全的层次可以分为物理安全、控制安全、服务安全、协议安全。其中物理安全措施包括环境安全、设施和设备安全(设备管理包括设备的采购、使用、维修和存储管理,并建立详细资产清单;设备安全主要包括设备防盗、防毁、防电磁泄漏、防线路截获、抗电磁干扰及电源保护)、介质安全(对介质及其数据进行安全保护,防止损坏、泄漏和意外失误)。
        计算机系统的物理安全主要采用分层的防御体制和多方面的防御体制相结合。
        一个分层的防御体制通过提供冗余以及扩展的保护等手段在访问控制方面提高了机密性的级别。设计一个分层防御体制需要遵循的3个基本原则是广度、深度和阻碍度。
        (1)广度:单独一种类型的控制往往很难解决所有的脆弱点。
        (2)深度:深度是最重要的因素。
        (3)阻碍度:实施保护时,所控制的花费应该要比所保护对象的价值要低,否则就没有必要。
        物理安全的实施通常包括以下几个方面:
        (1)确认。确定什么需要保护,从而根据如何对其进行识别来制定指导方针。
        (2)标注。使用橡皮印章或其他手段来对敏感文件进行标识。
        (3)安全。基于存在的风险构造物理防御层,通常需要考虑的因素包括周边设施、建筑入口、建筑楼层、办公室装置等。
        (4)跟踪。使用访问列表、列表检查、目录控制、审计日志等方式对访问进行跟踪控制。
        (5)技能。保证人员知道如何进行保护以及保护原因,并制定策略来实施这些保护措施,保护措施应该明确所需要的访问控制以及处理手续。
        当实施物理安全时,必须认识到一些普遍存在的局限性和缺点:
        (1)社会工程学。从社会工程学的角度考虑,绕过一个物理安全控制是可能的。
        (2)密码的泄漏。为了方便经常把密码写在某个地方或者进行邮寄。
        (3)尾随。尾随授权的人进入一所设施。
        (4)环境因素。空气的污染、强烈的阳光、反射以及雾气等都能够影响摄像机的性能或者使传感器产生错误的警报。
        (5)装置可靠性。过冷或者过热可能会影响到装置的可靠性。
        (6)信任度。当虚假的警报或错误的警报过多时,警报系统的信任度就会降低,从而忽略警报。
        (7)用户接受度。当用户感觉安全措施过于困难或者并不安全时,甚至对其造成干扰时,可能会妨碍安全措施的实施,而不管其干涉正确与否。
 
       系统安全
        华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
 
       系统安全管理
        企业生产管理系统在设计过程中需要考虑到系统权限划分功能,每个菜单、每个操作、每个登录人员都需要进行详细的权限划分。
        如果一个对系统都不清楚的人拥有过高的权限,对系统,对数据任意的操作,很可能导致系统崩溃,数据紊乱,造成不可预估的损失。相反,对于管理层来说,没有足够的权限及时查看数据,进行分析总结,那么就会导致信息获取屏障,问题发现不及时,响应迟缓等问题。由此可见,系统权限的设置必不可少,这是软件安全运行的基础条件。
        在权限划分中,采取等级制,明确权限高低、操作范围、信息知晓范围等,从而保证系统信息及运行安全。达到精确控制信息的私密性,独立性。
 
       信息系统安全
               信息系统安全的概念
               信息系统安全指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征,一般包括保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,维护信息系统的安全运行。
               信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化,例如:
               .个人用户最关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。
               .从网络运行和管理者角度说,最关心的信息系统安全问题是如何保护和控制其他人对本地网络信息进行访问、读写等操作。
               .对安全保密部门和国家行政部门来说,最关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。
               .从社会教育和意识形态角度来说,最关心的则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。
               信息系统安全的属性
               信息系统安全的属性主要包括:
               .保密性:是应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性,即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性建立在可用性基础之上,是保障应用系统信息安全的重要手段。应用系统常用的保密技术如下:
               最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
               防暴露:防止有用信息以各种途径暴露或传播出去。
               信息加密:用加密算法对信息进行加密处理,非法用户无法对信息进行解密从而无法读懂有效信息。
               物理保密:利用各种物理方法,如限制、隔离、掩蔽和控制等措施,来保护信息不被泄露。
               .完整性:是信息未经授权不能进行改变的特性,即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。保障应用系统完整性的主要方法如下:
               协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
               纠错编码方法:由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。
               密码校验和方法:是抗篡改和传输失败的重要手段。
               数字签名:用于保障信息的真实性。
               公证:请求系统管理或中介机构证明信息的真实性。
               .可用性:是应用系统信息可被授权实体访问并按需求使用的特性,即信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制、业务流控制、路由选择控制和审计跟踪。
               .不可抵赖性:也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
               信息系统安全管理体系
               信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。
               不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系:
               .配备安全管理人员。
               .建立安全职能部门。
               .成立安全领导小组。
               .主要负责人出任领导。
               .建立信息安全保密管理部门。
               信息系统安全管理体系参见《GB/T 20269~2006信息安全技术信息系统安全管理要求》,该标准把信息系统安全管理分为八大类,每个类分为若干族,针对每个族设置了相应的管理要素。八大类分别为:政策和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务持续性管理、监督和检查管理、生存周期管理。
               信息系统安全技术体系参见《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》,该标准把信息系统安全技术分为:
               .物理安全:包括环境安全、设备安全和记录介质安全。
               .运行安全:包括风险分析、信息系统安全性检测分析、信息系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、信息系统的应急处理、可信计算和可信连接技术。
               .数据安全:包括身份鉴别、用户标识与鉴别、用户主体绑定、抗抵赖、自主访问控制、标记、强制访问控制、数据完整性保护、用户数据保密性保护、数据流控制、可信路径和密码支持。
 
       应用安全
        . 腾讯云Web应用防火墙。解决腾讯云内及云外用户应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及Web业务安全防护问题。通过部署腾讯云网站管家服务,将Web攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯Web业务防护能力,保护组织网站及Web业务安全运营。
        . 腾讯应用级智能网关。基于零信任策略,对企业应用和服务提供集中管控,统一防控和统一审计,保障企业应用和服务更安全、更可靠。
        . 漏洞扫描服务。用于监测网站漏洞的安全服务,提供7×24小时准确、全面的漏洞监测服务,并提供专业的修复建议,从而避免漏洞被黑客利用,影响资产安全。
        . 移动应用安全。涵盖应用加固、安全测评、兼容性测试、盗版监控、崩溃监测、安全组件等服务。
        . 手游安全。具备24小时安全保障能力,支持手游厂商快速应对手游作弊、手游篡改破解等常见的游戏安全问题。
   题号导航      2016年下半年 信息系统监理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第65题    在手机中做本题