免费智能真题库 > 历年试卷 > 信息系统管理工程师 > 2009年下半年 信息系统管理工程师 上午试卷 综合知识
  第54题      
  知识点:   系统用户管理   用户安全审计   用户管理的功能   用户权限管理   安全审计   权限管理   用户管理
  关键词:   安全审计   用户安全   用户管理   用户权限管理   安全   权限管理        章/节:   系统运行管理知识       

 
系统用户管理中,企业用户管理的功能主要包括(54)、用户权限管理、外部用户管理用户安全审计等。
 
 
  A.  用户请求管理
 
  B.  用户数量管理
 
  C.  用户账号管理
 
  D.  用户需求管理
 
 
 

 
  第56题    2011年上半年  
   18%
现在计算机及网络系统中常用的身份认证的方式主要有以下4种,其中(56)是最简单也是最常用的身份认证方法。
  第46题    2012年上半年  
   15%
现在计算机及网络系统中常用的身份认证方式主要有以下四种,其中(46)是一种让用户密码按照时间或使用次数不断变化,每个密码只..
  第47题    2015年上半年  
   42%
现在计算机及网络系统中常用的身份验证方式哪种最为安全实用:(47)。
   知识点讲解    
   · 系统用户管理    · 用户安全审计    · 用户管理的功能    · 用户权限管理    · 安全审计    · 权限管理    · 用户管理
 
       系统用户管理
               统一用户管理
                      为何统一用户管理
                      当前,信息安全已经引起了大家的重视,防火墙、入侵检测、防病毒等安全技术和产品也得到了广泛地了解和应用,这些技术主要侧重于边界的安全及防御,用来抵御外界的入侵。但是,大量的统计数据表明,安全问题往往是从企业内部出现的,特别是用户身份的盗用,往往会造成一些重要数据的泄漏或损坏。因此如何对各种用户的身份进行管理,是一个越来越重要的问题。
                      身份认证是身份管理的基础。在完成了身份认证之后,接下来需要进行身份管理。当前,企业在进行身份管理时所出现的问题主要是:每台设备、每个系统都有不同的账号和密码,管理员管理和维护起来困难,账号管理的效率低、工作量大,有效的密码安全策略也难以贯彻;用户使用起来也困难,需要记忆大量的密码;账号密码的混用、泄露、盗用的情况也比较严重,出了安全问题也难以追查到具体的责任人。解决这些安全问题的途径,这就在整个企业内部实施统一的身份管理解决方案。
                      统一用户管理的收益
                      在许多企业里,某个员工离开原公司后,仍然还能通过原来的账户访问企业内部信息和资源,原来的信箱仍然可以使用。为什么会出现这种现象呢?原因在于,当员工离开公司后,尽管人事部门将其除名,但在IT系统中相应的多个用户授权却没有被及时删除。
                      对于一个内部用户而言,身份识别管理的时间跨度从员工加入公司开始直到这名员工离开公司。进入公司后,新员工最先接触的系统是人力资源系统,然后会获得门卡、办公设备等工具,然后还会获得网络的授权,通过授权访问公司的资源。这些不同的应用系统可能来自于不同的厂商,而身份管理系统可以把这些资源都集中起来。新员工的资料一旦被添加到人力资源管理系统之后,系统就会自动生成各种密码和授权,基于Web的授权也可以在这个流程中一次性完成,而且还会把这名员工在公司里所做的任何访问活动都记录下来。当员工离开时,网管只需将其从人力资源管理系统中删除,身份识别管理系统就会自动地到所有的后台系统中,把与该员工相关的授权全部删除,这是一个非常自动化的过程,也是目前企业所应关注的统一用户管理系统。统一用户管理的收益如下。
                      (1)用户使用更加方便。以前用户在登录不同的系统时,需要使用不同用户名、密码;采用统一认证系统后,用户只需要使用同一个用户名、同一个密码就可以登录所有允许他登录的系统;在使用单点登录系统后,用户可以仅需要输入一次用户名、密码,就能对各个应用系统进行访问。
                      (2)安全控制力度得到加强。管理人员可以集中地对各个系统上的用户进行管理,控制用户的访问范围和权限,并对用户的行为进行审计,使整个系统的安全管理水平得到极大提高。
                      (3)减轻管理人员的负担,提高工作效率。管理人员不需要再像从前一样,必须登录各个系统,才能进行用户账户、密码的管理和维护;而是可以通过一个统一的管理界面集中地完成,效率得到了提高,也减少由于在大量设备上进行操作,出现人为失误的可能。
                      (4)安全性得到提高。以前采用静态密码进行认证的方式,变成了采用静态密码加动态密码的双因素认证方式。用户在进行登录时,除了输入用户名外,还要输入静态密码,以及由密码令牌产生或由短信发送的一次性动态密码。
               用户管理的功能
               企业用户管理的功能主要包括用户账号管理、用户权限管理、外部用户管理、用户安全审计等。
                      用户账号管理
                      用户账号管理主要用于处理用户信息,统一的用户管理可以仅使用一个接口,就可以集中完成账号的创建、以及各个系统上的部署、维护、撤消等工作,从而大大提高其工作效率,减少由于人为操作失误带来的安全风险。
                      用户账号管理的另一个重要方面是用户密码的管理,密码和账号相关联,被用来鉴别用户的身份。密码应该进行明文规定的格式标准,以便推广强密码(例如,密码由数字、字母字符、大小写字母等混合组成,不包含元音字母),并要定期地变更,才能保证其安全性。用户账号管理还可以实现自我服务,管理用户的个人身份信息以及保密合同,从而能够降低管理用户请求的成本,帮助改善用户体验。
                      用户账号管理还应有一套正式流程,当员工被解雇或者转职时,人力资源或用户的管理者能及时地通知IT部门,从而删除那些被解雇的人员或者其职责和/或责任已经变更的用户账号。
                      用户权限管理
                      用户权限管理是确定是否允许用户执行所请求操作的流程。用户授权过程出现在认证之后,它使用与用户相关的属性或权限,控制用户进行的访问和操作。授权通常采用基于角色的访问控制(Role based Access Control,RBAC), RBAC便于组织各种资源上的各种权限,进行灵活精确地权限分配。角色由资源和操作构成,角色通常根据企业内各种职务的需要来制定,从而使管理员能够以一种与企业组织模型相对应的方式,对用户赋予权限,进行访问控制。
                      企业外部用户管理
                      用户管理其中重要的一个方面是关于企业的外包商、供应商、服务商的账号的分配、
                      撤销及权限管理问题。外部用户管理的原则是要求承包商、第三方服务提供商和商业伙伴签订不泄露、机密性或者卖方信誉协议。外部用户管理还应包含使合同解除的外部用户返还所有公司账号的流程、确保分配给顾问和临时雇员的账号在分配期结束时自动终止。
                      用户安全审计
                      审计是安全的一个重要手段,通过审计,安全人员可以了解系统内已经发生或正在发生的事件,对有可能产生危害的安全事件进行及时的响应和处理,根据对历史数据的分析,调整安全部署,同时也可以为一些处理和诉讼提供证据。
                      用户安全审计包括:利用日志工具来检测和报告较差的密码和易猜的密码;定期再检查和重新认证用户对系统(应用软件、数据库、主机系统和网络设备)的访问;利用日志工具检测那些对网络或者关键系统进行的反复的未授权访问;对于所有的系统,主动限制、监测和审核超级用户和/或系统管理员的活动等。
               用户管理的方法
               现在计算机及网络系统中常用的身份认证方式主要有以下几种。
                      用户名/密码方式
                      用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只有用户自己才知道。只要能够正确输入密码,计算机就认为操作者是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上并放在一个自认为安全的地方,这样很容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种极不安全的身份认证方式。
                      IC卡认证
                      IC卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,IC卡由专门的厂商通过专门的设备生产,是不可复制的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份。IC卡认证是基于“what you have”的手段,通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
                      动态密码
                      动态密码技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
                      动态密码技术采用一次一密的方法,有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码,一旦输错就要重新操作,使用起来非常不方便。
                      USB Key认证
                      基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现了对用户身份的认证。
               用户管理报告
               用户安全管理审计主要用于与用户管理相关的数据收集、分析和存档以支持满足安全需要的标准。用户安全管理审计主要是在一个计算环境中抓取、分析、报告、存档和抽取事件和环境的记录。安全审计分析和报告可以是实时的,就像入侵检测系统,也可以是事后的分析。
               用户安全管理审计的主要功能包括如下内容。
               (1)用户安全审计数据的收集,包括抓取关于用户账号使用情况等相关数据。
               (2)保护用户安全审计数据,包括使用时间戳、存储的完整性来防止数据的丢失。
               (3)用户安全审计数据分析,包括检查、异常探测、违规分析、入侵分析。
               常见的用户安全审计报告包括如下内容。
               (1)了解系统通常会发生什么,哪些资源是用户通常要登录访问的,什么时间是用户访问的高峰时段,只有知道自己网络的一些基本信息才可以针对一些异常状况做出有效及时地审核,从而发现问题所在。
               (2)正如上面提到,应该有用户通常登录系统的时段的记录,所以当发现个别用户在一个不寻常的时间登录就需要注意了,当然这不能确切地说明受到攻击,但可以为管理员进一步地审核提供线索。
               (3)登录失败的审核应该特别引起留意,任何入侵通常不会像正常用户那样,顺利地登录系统,一般都会进行多次尝试,因此对于某个账户在一段时间内多次出现登录失败的记录就应该多加留意。
 
       用户安全审计
        审计是安全的一个重要手段,通过审计,安全人员可以了解系统内已经发生或正在发生的事件,对有可能产生危害的安全事件进行及时的响应和处理,根据对历史数据的分析,调整安全部署,同时也可以为一些处理和诉讼提供证据。
        用户安全审计包括:利用日志工具来检测和报告较差的密码和易猜的密码;定期再检查和重新认证用户对系统(应用软件、数据库、主机系统和网络设备)的访问;利用日志工具检测那些对网络或者关键系统进行的反复的未授权访问;对于所有的系统,主动限制、监测和审核超级用户和/或系统管理员的活动等。
 
       用户管理的功能
        企业用户管理的功能主要包括用户账号管理、用户权限管理、外部用户管理、用户安全审计等。
               用户账号管理
               用户账号管理主要用于处理用户信息,统一的用户管理可以仅使用一个接口,就可以集中完成账号的创建、以及各个系统上的部署、维护、撤消等工作,从而大大提高其工作效率,减少由于人为操作失误带来的安全风险。
               用户账号管理的另一个重要方面是用户密码的管理,密码和账号相关联,被用来鉴别用户的身份。密码应该进行明文规定的格式标准,以便推广强密码(例如,密码由数字、字母字符、大小写字母等混合组成,不包含元音字母),并要定期地变更,才能保证其安全性。用户账号管理还可以实现自我服务,管理用户的个人身份信息以及保密合同,从而能够降低管理用户请求的成本,帮助改善用户体验。
               用户账号管理还应有一套正式流程,当员工被解雇或者转职时,人力资源或用户的管理者能及时地通知IT部门,从而删除那些被解雇的人员或者其职责和/或责任已经变更的用户账号。
               用户权限管理
               用户权限管理是确定是否允许用户执行所请求操作的流程。用户授权过程出现在认证之后,它使用与用户相关的属性或权限,控制用户进行的访问和操作。授权通常采用基于角色的访问控制(Role based Access Control,RBAC), RBAC便于组织各种资源上的各种权限,进行灵活精确地权限分配。角色由资源和操作构成,角色通常根据企业内各种职务的需要来制定,从而使管理员能够以一种与企业组织模型相对应的方式,对用户赋予权限,进行访问控制。
               企业外部用户管理
               用户管理其中重要的一个方面是关于企业的外包商、供应商、服务商的账号的分配、
               撤销及权限管理问题。外部用户管理的原则是要求承包商、第三方服务提供商和商业伙伴签订不泄露、机密性或者卖方信誉协议。外部用户管理还应包含使合同解除的外部用户返还所有公司账号的流程、确保分配给顾问和临时雇员的账号在分配期结束时自动终止。
               用户安全审计
               审计是安全的一个重要手段,通过审计,安全人员可以了解系统内已经发生或正在发生的事件,对有可能产生危害的安全事件进行及时的响应和处理,根据对历史数据的分析,调整安全部署,同时也可以为一些处理和诉讼提供证据。
               用户安全审计包括:利用日志工具来检测和报告较差的密码和易猜的密码;定期再检查和重新认证用户对系统(应用软件、数据库、主机系统和网络设备)的访问;利用日志工具检测那些对网络或者关键系统进行的反复的未授权访问;对于所有的系统,主动限制、监测和审核超级用户和/或系统管理员的活动等。
 
       用户权限管理
        用户权限管理是确定是否允许用户执行所请求操作的流程。用户授权过程出现在认证之后,它使用与用户相关的属性或权限,控制用户进行的访问和操作。授权通常采用基于角色的访问控制(Role based Access Control,RBAC), RBAC便于组织各种资源上的各种权限,进行灵活精确地权限分配。角色由资源和操作构成,角色通常根据企业内各种职务的需要来制定,从而使管理员能够以一种与企业组织模型相对应的方式,对用户赋予权限,进行访问控制。
 
       安全审计
        安全审计是指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。安全审计是落实系统安全策略的重要机制和手段,通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。它是信息安全保障系统中的一个重要组成部分。具体包括两个方面的内容:
        (1)采用网络监控与入侵防范系统,识别网络中各种违规操作与攻击行为,即时响应并进行阻断。
        (2)对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
        CC标准将安全审计功能分为6个部分,分别是安全审计自动响应、安全审计自动生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储。
        (1)安全审计自动响应:定义在被测事件指示出一个潜在的安全攻击时做出的响应,它是管理审计事件的需要,这些需要包括报警或行动。例如包括实时报警的生成、违例进程的终止、中断服务、用户账号的失效等。根据审计事件的不同系统将做出不同的响应。其响应的行动可以做增加、删除、修改等操作。
        (2)安全审计数据生成:记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型,以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。
        (3)安全审计分析:定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。
        (4)安全审计浏览:审计系统能够使授权的用户有效地浏览审计数据,它包括审计浏览、有限审计浏览、可选审计浏览。
        (5)安全审计事件选择:系统管理员能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计。例如,与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性,系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用户的动作。
        (6)安全审计事件存储:审计系统将提供控制措施,以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。
 
       权限管理
        权限管理为整体平台及后续管理提供统一的账户管理和授权管理等功能,支持地域、权限、角色和组织的管理。
        支持部门管理:支持多级部门(如处、科)。分配给部门的角色,将被该部门下的所有用户所继承,如下图所示。
        
        业务单位管理
        支持账户管理:对账户能够进行管理维护,包括增加、删除、修改、查询账户信息,如下图所示。
        
        账户管理
        支持角色管理:角色表示一类特定的权限的集合,包括可以进行的操作和可以管理的资源,通过角色管理可以动态地创建、删除和修改角色,形成新的权限集合,以便分配给账户,达到控制账户权限的目的,如下图所示。
        
        角色管理
        支持授权管理:实现细粒度的权限控制,将权限分为操作权限和资源权限两种。操作权限如对表单数据的增加、删除、修改、查询、审核等,资源权限包括被管设备或资源分组、监控视图分组、报表分组等。通过操作权限和资源权限的有机组合及授权,可以实现对用户权限的细颗粒度的控制。
               用户管理
               用户管理包括组织架构管理、账户角色管理,能够根据用户实际管理架构设定整个平台的管理架构。
               授权管理
               
               细粒度的权限控制
               系统将权限分为操作权限和资源权限两种。操作权限如对表单数据的增加、删除、修改、查询、审核等,资源权限包括被管设备或资源分组、监控视图分组、报表分组等。通过操作权限和资源权限的有机组合及授权,可以实现对用户权限的细颗粒度的控制,如上图和下图所示。
               
               对资产资源(操作对象)的操作授权管理
 
       用户管理
        用户(User)是网络系统的主要使用者,使用网络的单位和个人都属于用户范畴。用户的身份决定其在网络系统中的权限,不同身份的用户在网络系统中担任着不同的角色(Role)。
        在网络中必须有严格的用户管理措施,以保证网络的正常使用和运转。系统管理员是网络系统的维护人员,他的重要任务之一就是管理用户,他本人也是用户,但拥有比其他用户更高的权限。
        用户在使用网络系统之前需要注册,即将用户信息提交给网络管理员审阅,通过后即可开通服务。用户在使用网络资源的过程中必须接受管理员的管理和网络管理程序的控制,用户的行为必须遵守既定网络管理规则。
        网络用户管理包括以下内容。
        (1)局域网用户管理:局域网用户的创建、注销和访问权限管理,主域用户资料数据库的维护和管理。
        (2)电子邮件用户管理:电子邮件用户开户审核,用户创建、注销和权限管理,电子邮件用户数据库的维护。
        (3)用户入网设备IP地址管理:局域网用户的IP网络地址分配和技术支持,用户IP地址分配数据库的维护。
        (4)用户Internet访问管理:Internet访问权限管理、传输内容监控和费用分配控制管理,用户流量数据库管理和维护。
        在局域网环境中存在多种网络应用和管理系统,每个系统都含有一套独立的用户身份认证管理系统。为了有效地管理用户信息并利用这些信息提高网络管理效率,需要建立统一的身份认证系统,目前用户信息管理系统大都建立在轻量目录访问协议(Lightweight Directory Access Protocol, LDAP)的基础之上。
   题号导航      2009年下半年 信息系统管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第54题    在手机中做本题