第14章 信息系統(tǒng)的安全管理.doc

【重要知識(shí)點(diǎn)】一、 信息系統(tǒng)安全的含義1、影響信息系統(tǒng)安全的因素：數(shù)據(jù)輸入、輸出、數(shù)據(jù)的存取與備份、源程序、應(yīng)用程序、數(shù)據(jù)庫、操作系統(tǒng)、硬件、通信、電磁輻射、環(huán)境保障系統(tǒng)、組織內(nèi)部人的因素、軟件的非法復(fù)制、“黑客”攻擊、病毒、經(jīng)濟(jì)間諜。2、信息系統(tǒng)安全的定義 信息系統(tǒng)安全管理是一項(xiàng)復(fù)雜的系統(tǒng)工程，它的實(shí)現(xiàn)不僅是純粹的技術(shù)問題，而且需要法律、制度、人的素質(zhì)諸因素的配合。 信息系統(tǒng)安全管理的層次模型：法律法規(guī)道德紀(jì)律、管理細(xì)則和保護(hù)措施、物理實(shí)體安全環(huán)境、硬件系統(tǒng)安全措施、通信網(wǎng)絡(luò)安全措施、軟件系統(tǒng)安全措施、數(shù)據(jù)信息安全。3、信息系統(tǒng)的安全需求：（重點(diǎn)）（1）物理安全：為防范蓄意的和意外的威脅，而對(duì)資源提供物理保障措施。（2）數(shù)據(jù)機(jī)密：使信息不被泄露給非授權(quán)的實(shí)體。（3）數(shù)據(jù)完整：確保數(shù)數(shù)據(jù)沒有遭受非授權(quán)方式所做的篡改或破壞。（4）數(shù)據(jù)可控：得到授權(quán)的實(shí)體可以控制其授權(quán)范圍內(nèi)的信息流向及行為方式。（5）數(shù)據(jù)可用：得到授權(quán)的實(shí)體在有效的時(shí)間內(nèi)能夠訪問和使用其所要求的數(shù)據(jù)。（6）身份鑒別：確保一個(gè)實(shí)體此時(shí)沒有試圖冒充別的實(shí)體，或沒有試圖將先前的連接作非授權(quán)的重演。（7）數(shù)據(jù)鑒別：確保接受到的數(shù)據(jù)出自所要求的來源。（8）防抵賴：避免在一次通信中涉及的那些實(shí)體之一不承認(rèn)參加了該通信的 全部或一部分。（9）審計(jì)與監(jiān)測(cè)：在一定范圍內(nèi)，能夠?qū)σ呀?jīng)或者可能出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。二、信息系統(tǒng)安全的內(nèi)容1、信息系統(tǒng)的安全包括物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用軟件安全、數(shù)據(jù)安全和管理安全。2、物理安全：環(huán)境安全、設(shè)備安全、媒體安全3、網(wǎng)絡(luò)安全：（1）內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng)：防火墻、物理隔離或邏輯隔離。（2）內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制。（3）網(wǎng)絡(luò)安全測(cè)試與審計(jì)（4）網(wǎng)絡(luò)防病毒和網(wǎng)絡(luò)備份： 網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒。4、操作系統(tǒng)安全5、應(yīng)用軟件安全6、數(shù)據(jù)安全：（1）數(shù)據(jù)庫安全，進(jìn)行存取權(quán)限的控制，遵循的原則：最小特權(quán)原則:用戶只擁有完成分配任務(wù)所必需的最少的信息或處理能力，多余的權(quán)限一律不給予?！爸匏琛?。最小泄露原則：最大共享策略：推理控制策略：（2）終端安全：采用數(shù)據(jù)加密技術(shù)、數(shù)據(jù)完整性鑒別技術(shù)及防抵賴技術(shù)來保證。7、管理安全：（1）原則：一個(gè)人負(fù)責(zé)，多人監(jiān)督、任期有限原則、職責(zé)分離原則。三、信息系統(tǒng)安全的分析與應(yīng)對(duì)1、制定安全策略的原則（1）動(dòng)態(tài)原則（2）綜合治理原則（3）適當(dāng)平衡原則（4）以人為本2、信息系統(tǒng)安全技術(shù)（重點(diǎn)）（1）殺毒軟件（2）防火墻：“包過濾”技術(shù)（3）加密技術(shù)信息系統(tǒng)安全的重要技術(shù)手段是加密技術(shù)，加密包括單鑰技術(shù)和雙鑰技術(shù)。雙鑰技術(shù)：有兩個(gè)互補(bǔ)的密鑰：公共密鑰，私人密鑰。（4）驗(yàn)證：身份驗(yàn)證（5）存取控制：（6）安全協(xié)議：（SSL）和（Shttp）【往年試題】2009年1月選擇題14.在信息系統(tǒng)中的安全需求中，_是確保數(shù)據(jù)沒有遭受以非授權(quán)方式所做的篡改或破壞。( C )A.數(shù)據(jù)機(jī)密B.數(shù)據(jù)安全C.數(shù)據(jù)完整D.物理安全填空題10.信息系統(tǒng)安全是一個(gè)系統(tǒng)的概念，它既包括信息系統(tǒng)_物理實(shí)體_的安全，也包括軟件和數(shù)據(jù)的安全；既存在因?yàn)開技術(shù)原因_而引起的安全隱患，也有非技術(shù)原因引起的安全隱患。名詞解釋簡(jiǎn)答題2009年10月選擇題填空題名詞解釋簡(jiǎn)答題2010年1月選擇題15._要求得到授權(quán)的實(shí)體在有效的時(shí)間內(nèi)能夠訪問和使用其所要求的數(shù)據(jù)。( C )A.數(shù)據(jù)機(jī)密B.數(shù)據(jù)完整C.數(shù)據(jù)可控D.數(shù)據(jù)可用填空題10.信息系統(tǒng)安全包括物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用軟件安全、_數(shù)據(jù)安全_和_管理安全_。名詞解釋簡(jiǎn)答題2010年10月選擇題15.在信息系統(tǒng)的安全需求中，_是指確保接受到的數(shù)據(jù)出自所要求的來源。( )A.數(shù)據(jù)可用B.數(shù)據(jù)可控C.數(shù)據(jù)完整D.數(shù)據(jù)鑒別填空題6.信息系統(tǒng)的安全管理是一項(xiàng)復(fù)雜的_系統(tǒng)工程_，它的實(shí)現(xiàn)不僅是純粹的技術(shù)問題，而且還需要_法律_、制度、人的素質(zhì)諸多因素的配合。10.信息系統(tǒng)安全中的加密技術(shù)包括：_單鑰技術(shù)_和_雙鑰技術(shù)_。名詞解釋簡(jiǎn)答題2.簡(jiǎn)述設(shè)計(jì)安全策略時(shí)應(yīng)該考慮哪些原則？動(dòng)態(tài)原則綜合治理原則適當(dāng)平衡原則以人為本2011年1月選擇題8.為了更好地進(jìn)行存取權(quán)限控制，_即用戶只擁有完成分配任務(wù)所必需的最少的信息或處理能力，多余的權(quán)限一律不給予。（ ）A.最小權(quán)限原則B.最小信息原則C.最小泄露原則D.最大共享原則14.在信息系統(tǒng)中，_安全需求，是指得到授權(quán)的實(shí)體可以控制其授權(quán)范圍內(nèi)的信息流向及行為方式。（ A ）A.數(shù)據(jù)可控B.數(shù)據(jù)鑒別C.身份鑒別D.數(shù)據(jù)機(jī)密填空題5.網(wǎng)絡(luò)反病毒技術(shù)包括_預(yù)防病毒_、_檢測(cè)病毒_和消毒等3種技術(shù)。10.信息系統(tǒng)安全主要考慮物理安全、_網(wǎng)絡(luò)安全_、操作系統(tǒng)安全、應(yīng)用軟件安全、_數(shù)據(jù)安全_和管理安全。名詞解釋簡(jiǎn)答題2005年1月一、選擇題3.信息系統(tǒng)安全性技術(shù)措施之一是( )。A.設(shè)備冗余技術(shù) B.負(fù)荷分布技術(shù)C.數(shù)據(jù)保護(hù)與恢復(fù) D.用戶合法身份確認(rèn)二、填空題三、名詞解釋四、簡(jiǎn)答題2005年10月一、選擇題二、填空題三、名詞解釋32數(shù)據(jù)加密四、簡(jiǎn)答題37簡(jiǎn)述信息系統(tǒng)實(shí)體安全性的主要內(nèi)容。2006年1月一、選擇題二、填空題26.在各類系統(tǒng)安全措施中，_安全措施占的比例最多。27.在信息系統(tǒng)項(xiàng)目的網(wǎng)絡(luò)圖中，最長(zhǎng)任務(wù)線所對(duì)應(yīng)的路線稱為_路線。三、名詞解釋四、簡(jiǎn)答題38.簡(jiǎn)述系統(tǒng)可靠性技術(shù)的主要類型。2006年10月一、選擇題二、填空題三、名詞解釋四、簡(jiǎn)答題2007年1月一、選擇題二、填空題三、名詞解釋四、簡(jiǎn)答題2007年10月一、選擇題二、填空題25信息系統(tǒng)的非技術(shù)安全保護(hù)措施包括：行政安全措施、_安全措施和_安全措施。三、名詞解釋四、