第14章 信息系統(tǒng)的安全管理.doc

【重要知識點】一、 信息系統(tǒng)安全的含義1、影響信息系統(tǒng)安全的因素：數(shù)據(jù)輸入、輸出、數(shù)據(jù)的存取與備份、源程序、應用程序、數(shù)據(jù)庫、操作系統(tǒng)、硬件、通信、電磁輻射、環(huán)境保障系統(tǒng)、組織內部人的因素、軟件的非法復制、“黑客”攻擊、病毒、經濟間諜。2、信息系統(tǒng)安全的定義 信息系統(tǒng)安全管理是一項復雜的系統(tǒng)工程，它的實現(xiàn)不僅是純粹的技術問題，而且需要法律、制度、人的素質諸因素的配合。 信息系統(tǒng)安全管理的層次模型：法律法規(guī)道德紀律、管理細則和保護措施、物理實體安全環(huán)境、硬件系統(tǒng)安全措施、通信網絡安全措施、軟件系統(tǒng)安全措施、數(shù)據(jù)信息安全。3、信息系統(tǒng)的安全需求：（重點）（1）物理安全：為防范蓄意的和意外的威脅，而對資源提供物理保障措施。（2）數(shù)據(jù)機密：使信息不被泄露給非授權的實體。（3）數(shù)據(jù)完整：確保數(shù)數(shù)據(jù)沒有遭受非授權方式所做的篡改或破壞。（4）數(shù)據(jù)可控：得到授權的實體可以控制其授權范圍內的信息流向及行為方式。（5）數(shù)據(jù)可用：得到授權的實體在有效的時間內能夠訪問和使用其所要求的數(shù)據(jù)。（6）身份鑒別：確保一個實體此時沒有試圖冒充別的實體，或沒有試圖將先前的連接作非授權的重演。（7）數(shù)據(jù)鑒別：確保接受到的數(shù)據(jù)出自所要求的來源。（8）防抵賴：避免在一次通信中涉及的那些實體之一不承認參加了該通信的 全部或一部分。（9）審計與監(jiān)測：在一定范圍內，能夠對已經或者可能出現(xiàn)的網絡安全問題提供調查的依據(jù)和手段。二、信息系統(tǒng)安全的內容1、信息系統(tǒng)的安全包括物理安全、網絡安全、操作系統(tǒng)安全、應用軟件安全、數(shù)據(jù)安全和管理安全。2、物理安全：環(huán)境安全、設備安全、媒體安全3、網絡安全：（1）內外網隔離及訪問控制系統(tǒng)：防火墻、物理隔離或邏輯隔離。（2）內部網不同網絡安全域的隔離及訪問控制。（3）網絡安全測試與審計（4）網絡防病毒和網絡備份： 網絡反病毒技術包括預防病毒、檢測病毒和消毒。4、操作系統(tǒng)安全5、應用軟件安全6、數(shù)據(jù)安全：（1）數(shù)據(jù)庫安全，進行存取權限的控制，遵循的原則：最小特權原則:用戶只擁有完成分配任務所必需的最少的信息或處理能力，多余的權限一律不給予?！爸匏琛?。最小泄露原則：最大共享策略：推理控制策略：（2）終端安全：采用數(shù)據(jù)加密技術、數(shù)據(jù)完整性鑒別技術及防抵賴技術來保證。7、管理安全：（1）原則：一個人負責，多人監(jiān)督、任期有限原則、職責分離原則。三、信息系統(tǒng)安全的分析與應對1、制定安全策略的原則（1）動態(tài)原則（2）綜合治理原則（3）適當平衡原則（4）以人為本2、信息系統(tǒng)安全技術（重點）（1）殺毒軟件（2）防火墻：“包過濾”技術（3）加密技術信息系統(tǒng)安全的重要技術手段是加密技術，加密包括單鑰技術和雙鑰技術。雙鑰技術：有兩個互補的密鑰：公共密鑰，私人密鑰。（4）驗證：身份驗證（5）存取控制：（6）安全協(xié)議：（SSL）和（Shttp）【往年試題】2009年1月選擇題14.在信息系統(tǒng)中的安全需求中，_是確保數(shù)據(jù)沒有遭受以非授權方式所做的篡改或破壞。( C )A.數(shù)據(jù)機密B.數(shù)據(jù)安全C.數(shù)據(jù)完整D.物理安全填空題10.信息系統(tǒng)安全是一個系統(tǒng)的概念，它既包括信息系統(tǒng)_物理實體_的安全，也包括軟件和數(shù)據(jù)的安全；既存在因為_技術原因_而引起的安全隱患，也有非技術原因引起的安全隱患。名詞解釋簡答題2009年10月選擇題填空題名詞解釋簡答題2010年1月選擇題15._要求得到授權的實體在有效的時間內能夠訪問和使用其所要求的數(shù)據(jù)。( C )A.數(shù)據(jù)機密B.數(shù)據(jù)完整C.數(shù)據(jù)可控D.數(shù)據(jù)可用填空題10.信息系統(tǒng)安全包括物理安全、網絡安全、操作系統(tǒng)安全、應用軟件安全、_數(shù)據(jù)安全_和_管理安全_。名詞解釋簡答題2010年10月選擇題15.在信息系統(tǒng)的安全需求中，_是指確保接受到的數(shù)據(jù)出自所要求的來源。( )A.數(shù)據(jù)可用B.數(shù)據(jù)可控C.數(shù)據(jù)完整D.數(shù)據(jù)鑒別填空題6.信息系統(tǒng)的安全管理是一項復雜的_系統(tǒng)工程_，它的實現(xiàn)不僅是純粹的技術問題，而且還需要_法律_、制度、人的素質諸多因素的配合。10.信息系統(tǒng)安全中的加密技術包括：_單鑰技術_和_雙鑰技術_。名詞解釋簡答題2.簡述設計安全策略時應該考慮哪些原則？動態(tài)原則綜合治理原則適當平衡原則以人為本2011年1月選擇題8.為了更好地進行存取權限控制，_即用戶只擁有完成分配任務所必需的最少的信息或處理能力，多余的權限一律不給予。（ ）A.最小權限原則B.最小信息原則C.最小泄露原則D.最大共享原則14.在信息系統(tǒng)中，_安全需求，是指得到授權的實體可以控制其授權范圍內的信息流向及行為方式。（ A ）A.數(shù)據(jù)可控B.數(shù)據(jù)鑒別C.身份鑒別D.數(shù)據(jù)機密填空題5.網絡反病毒技術包括_預防病毒_、_檢測病毒_和消毒等3種技術。10.信息系統(tǒng)安全主要考慮物理安全、_網絡安全_、操作系統(tǒng)安全、應用軟件安全、_數(shù)據(jù)安全_和管理安全。名詞解釋簡答題2005年1月一、選擇題3.信息系統(tǒng)安全性技術措施之一是( )。A.設備冗余技術 B.負荷分布技術C.數(shù)據(jù)保護與恢復 D.用戶合法身份確認二、填空題三、名詞解釋四、簡答題2005年10月一、選擇題二、填空題三、名詞解釋32數(shù)據(jù)加密四、簡答題37簡述信息系統(tǒng)實體安全性的主要內容。2006年1月一、選擇題二、填空題26.在各類系統(tǒng)安全措施中，_安全措施占的比例最多。27.在信息系統(tǒng)項目的網絡圖中，最長任務線所對應的路線稱為_路線。三、名詞解釋四、簡答題38.簡述系統(tǒng)可靠性技術的主要類型。2006年10月一、選擇題二、填空題三、名詞解釋四、簡答題2007年1月一、選擇題二、填空題三、名詞解釋四、簡答題2007年10月一、選擇題二、填空題25信息系統(tǒng)的非技術安全保護措施包括：行政安全措施、_安全措施和_安全措施。三、名詞解釋四、