管理信息系統(tǒng)案例分析-系統(tǒng)安全_第1頁
管理信息系統(tǒng)案例分析-系統(tǒng)安全_第2頁
管理信息系統(tǒng)案例分析-系統(tǒng)安全_第3頁
管理信息系統(tǒng)案例分析-系統(tǒng)安全_第4頁
管理信息系統(tǒng)案例分析-系統(tǒng)安全_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

管理信息系統(tǒng)案例分析第2部分系統(tǒng)分析師考試案例分析與設計第1頁下六個月試題2計算機網絡與信息安全2第2頁試題某城市計劃建設電子政務系統(tǒng),因為經費、政務應用成熟度、使用人員觀念等多方面原因,計劃采取分階段實施策略來建設電子政務,最先建設急需和主要部分。在安全建設方面,先投入一部分資金保障關鍵部門和關鍵信息安全,之后在總結經驗教訓基礎上分2年逐步完善系統(tǒng)。所以,初步考慮使用防火墻、入侵檢測、病毒掃描、安全掃描、日志審計、網頁防篡改、私自撥號檢測、PKI技術和服務等保障電子政務安全。在一次關于安全方案討論會上,張工認為因為政務網隊安全性要求比較高,所以要建設防火墻、入侵檢測、病毒掃描、安全掃描、日志審計、網頁防篡改、私自撥號檢測系統(tǒng),這么就能夠全方面保護電子政務系統(tǒng)安全。李工則認為張工方案不夠全方面,還應該在張工提出方案基礎上,使用PKI技術,進行認證、機密性、完整性和抗抵賴性保護。3第3頁問題【問題1】請用400字以內文字,從安全性方面,尤其針對張工所列舉建設防火墻、入侵檢測、病毒掃描、安全掃描、日志審計系統(tǒng)進行分析,評論這些辦法能夠處理問題和不能處理問題?!締栴}2】請用300字以內文字,主要從認證、機密性、完整性和抗抵賴性方面,敘述李工提議在安全上有哪些優(yōu)點?!締栴}3】對于復雜系統(tǒng)設計與建設,在不一樣階段都有很多非常主要問題需要注意,現(xiàn)有技術原因阻力,又有非技術原因阻力。請結合工程實際情況,用200字以內文字,簡明說明使用PKI還存在哪些主要非技術原因方面阻力。4第4頁問題1分析電子政府安全運行是一個系統(tǒng)概念,它不但與計算機系統(tǒng)結構相關,還與電子政府運作環(huán)境、人員原因和社會原因相關,詳細來說,應該包含以下部分。(1)硬件安全:是指保護計算機系統(tǒng)硬件安全,確保其本身可靠性。(2)軟件安全:是指保護軟件和數據不被篡改、破壞和非法復制。通常又可分為操作系統(tǒng)安全、數據庫安全、網絡軟件安全和應用軟件安全。(3)運行安全:是指保護系統(tǒng)能夠連續(xù)和正常運行。(4)安全立法:是指利用國家機器,經過網絡與信息安全立法,對電子政務方面犯罪行為進行約束和制裁。5第5頁電子政府安全運行關鍵內容就是網絡上信息安全問題。而在網絡信息安全方面主要特征包含以下5點:(1)保密性:即確保信息不泄露給未經授權用戶或供其使用。(2)完整性:即預防信息被未經授權人篡改,確保真實信息從真實信息源無失真地傳到真實信宿。(3)可用性:確保信息及信息系統(tǒng)確實為授權使用者所用,預防因為計算機病毒或其它人為原因造成網絡和系統(tǒng)無法正常運行而拒絕服務或為敵手所用。(4)可控性:對信息內容及信息系統(tǒng)實施安全監(jiān)控管理,預防非法修改。(5)抗抵賴性:確保信息行為人不能夠否定自己行為。6第6頁而在網絡安全防護方面,主要技術伎倆包含防火墻、入侵檢測、病毒掃描、安全掃描、日志審計、網頁防篡改、私自撥號檢測、PKI技術和服務等。因為防火墻主要用于限制保護網絡和互聯(lián)網之間,或者與其它網絡之間相互進行信息存取、傳遞操作,它處于內部網絡和外部網絡之間。所以存在著網絡應用受到結構性限制、內部安全隱患仍在、效率較低、故障率較高問題,以下所表示:不能防范外部刻意認為攻擊。不能防范內部用戶攻擊。不能預防內部用戶因誤操作而造成口令失密受到攻擊。極難預防病毒或受病毒感染文件傳輸。7第7頁問題1答案(1)防火墻:可用來實現(xiàn)內部網(信任網)與外部不可信任網絡(如因特網)之間或內部網不一樣網絡安全區(qū)域隔離與訪問控制,確保網絡系統(tǒng)及網絡服務可用性。但無法對外部能夠攻擊、內部攻擊、口令失密及病毒采取有效防護。(2)入侵檢測:能夠有效地預防全部已知、來自內外部攻擊入侵,但對數據安全性方面沒有任何幫助。(3)病毒防護:主要使用于檢測、表示、去除系統(tǒng)中病毒程序,對其它方面沒有太多保護辦法。(4)安全掃描:主要適合用于發(fā)覺安全隱患,而不能夠采取防護辦法。(5)日志審計系統(tǒng):能夠在事后、事中發(fā)覺安全問題,并能夠完成取證工作,但無法在事前發(fā)生安全性攻擊。8第8頁問題2分析主要從認證、機密性、完整性和抗抵賴性方面,敘述李工提議在安全上有哪些優(yōu)點。PKI(PublicKeyInfrastructure,公共密鑰基礎設施)是CA安全認證體系基礎,為安全認證體系進行密鑰管理提供了一個平臺,它是一個新網絡安全技術和安全規(guī)范。它能夠為全部網絡應用透明地提供采取加密和數字署名等密碼服務所必須密鑰和證書管理。PKI包含以下認證中心、證書庫、密鑰備份及恢復系統(tǒng)、證書作廢處理系統(tǒng)及客戶證書處理系統(tǒng)五大系統(tǒng)。9第9頁PKI能夠實現(xiàn)CA和證書管理;密鑰備份與恢復;證書、密鑰正確自動更換;交叉認證;加密密鑰和署名密鑰分隔;支持對數字署名不可抵賴性;密鑰歷史管理等更能。PKI技術應用能夠在認證、機密性、完整性和抗抵賴性方面發(fā)揮出主要作用。認證:是指對網絡中信息傳遞雙方進行那個身份確實認。機密性:是指確保信息不泄露給未經授權用戶或供其使用。完整性:是指預防信息被未經授權人篡改,確保真實信息從真實信源無失真地傳到真實信宿??沟仲囆裕菏侵复_保信息行為人不能夠否定自己行為。10第10頁而PKI技術實現(xiàn)以上這些方面功效主要是借助“數字署名”技術,數字署名是維護網絡信息安全一個主要方法和伎倆,在身份認證、數據完整性、抗抵賴性方面都有主要應用,尤其是在大型網絡安全通信中密鑰分配、認證,以及電子商務、電子政務系統(tǒng)中有主要作用。它是經過密碼技術對電子文檔進行電子形式署名,是實現(xiàn)認證主要工具。數字署名是只有信息發(fā)送方才能夠進行署名,是他人無法偽造一段數字串,這段特殊數字串同時也是對對應文件和信息真實性一個證實。11第11頁數字署名是經過Hash函數與公開密鑰算法來實現(xiàn),其原理是:(1)發(fā)送者首先將原文用Hash函數生成128位數字摘要。(2)發(fā)送者用自己私鑰對摘要再加密,形成數字署名,把加密后數字署名附加在要發(fā)送原文后面。(3)發(fā)送者將原文和數字署名同時傳給對方。(4)接收者對收到信息用Hash函數生成新摘要,同時用發(fā)送者公開密鑰對信息摘要解密。(5)將解密后摘要與新摘要對比,如二者一致,則說明傳送過程中信息沒有被破壞或篡改。另外,基于PKI要實現(xiàn)數據保密性,能夠在將“原文+數字署名”所組成信息包用對方公鑰進行加密,這么就能夠確保對方只能使用自己私鑰才能夠解密,從而到達保密性要求。12第12頁問題2答案防火墻、入侵檢測、病毒掃描、安全掃描、日志審計、網頁防篡改、私自撥號檢測系統(tǒng)都不能處理政務網中認證、機密性、完整性和抗抵賴性問題。身份認證能夠處理通信或數據訪問中對對方身份認可,便于訪問控制,授權管理。電子政務還有其它安全需求,機密性預防信息在傳輸、存放過程中被泄露。完整性預防對數據進行未授權創(chuàng)建、修改或破壞,使數據一致性受到損壞??沟仲囆杂欣谪熑巫凡?。13第13頁問題3分析對于復雜系統(tǒng)設計和建設,在不一樣階段都有很多非常主要問題需要注意,現(xiàn)有技術原因阻力,又有非技術原因阻力。而在網絡安全設計與實施方面,一樣也會碰到非技術原因阻力。對于PKI技術來說,其非技術原因阻力主要表達在以下幾個方面。(1)相關法律法規(guī)還不健全:相對國外而言,我國網絡安全法律、法規(guī)與標準制訂起步較晚。即使發(fā)展到當前已經形成了較為完善體系,但依然存在許多缺點和不足。比如,我國還缺乏相關電子政府安全保障關門法規(guī)、政策,以及地方性法規(guī)和政策,難免造成法規(guī)執(zhí)行針對性不強,而《數字署名》法也是剛才出臺。另外,在法規(guī)執(zhí)行方面也還存在一些偽命題,存在著執(zhí)行不力情況。14第14頁(2)使用者操作水平參差不齊:信息技術在我國發(fā)展也顯著晚于發(fā)達國家,大部分人電腦操作還處于相對較低水平,加上PKI所引入數字署名、密鑰管理等方面都需要較為復雜、費解操作。很輕易出現(xiàn)用戶不會用,甚至可能會因沒有妥善保管密鑰、證書而引發(fā)非技術問題。(3)使用者心理接收程度問題:政府大部分公務員都還是比較習慣于紙質材料、親筆簽字習慣,一時無法接收電子式署名形式,這也會給推行PKI及數字署名帶來巨大阻力。15第15頁問題3答案在使用PKI時,還會存在以下幾個方面非技術原因阻力。(1)對全部系統(tǒng)相關設計、開發(fā)、使用、維護、管理等人員進行必要安全教育,使大家認識到信息安全主要性。(2)在系統(tǒng)設計、建設、運行階段都要投入大量資金,需要充分資訊相關領域教授。(3)在系統(tǒng)設計、建設、運行階段,需要對不一樣設計、開發(fā)、使用、管理、維護等人員進行針對性培訓。(4)相關法律與法規(guī)制度建立、執(zhí)行與監(jiān)督。16第16頁上六個月試題5計算機網絡與信息安全17第17頁試題閱讀以下說明,在答題紙上回答下列問題1至問題6。某學校在原校園網基礎上進行網絡改造,網絡方案如圖5-1所表示。其中網管中心位于辦公樓第三層,采取動態(tài)及靜態(tài)結合方式進行IP地址管理和分配。18第18頁圖5-1網絡方案19第19頁問題【問題1】設備選型是網絡方案規(guī)劃設計一個主要方面,請用200字以內文字簡明敘述設備選型基本標準。【問題2】從表5-1中為圖5-1中(1)-(5)處選擇適當設備,將設備名稱寫在答題紙相應位置(每一設備限選一次)。20第20頁表5-1設備類型設備名稱數量性能描述路由器Router11模塊化接入,固定廣域網接口+可選廣域網接口,固定局域網接口:100/1000Base-T/TX交換機Switch11交換容量:1.2T,轉發(fā)性能:285Mpps,可支持接口類型100/1000BaseT、GE、10GE,電源冗余:1+1Switch21交換容量:140G,轉發(fā)性能:100Mpps,可支持接口類型GE,電源冗余:無,20百/千兆自適應Switch32交換容量:100G 轉發(fā)性能:66Mpps,可支持接口類型:FE、GE,電源冗余:無,24千兆光口21第21頁問題1答案設備選型是網絡方案規(guī)劃設計一個主要方面,在為網絡升級選擇網絡設備時,應該遵照以下標準:(1)廠商選擇。全部網絡設備盡可能選取同一廠家產品,這么在設備上可互連性、協(xié)議互操作性、技術支持和價格方面等更有優(yōu)勢。從這個角度來看,產品線齊全、技術人力隊伍力量雄厚、產品市場擁有率高廠商是網絡設備品牌首選。其產品經過更多用戶檢驗,產品成熟度高,而且這些廠商出貨頻繁,生產量大,質保體系完備。作為系統(tǒng)集成商,不應依賴于任何一家產品,應能夠依據需求和費用公正地評價各種產品,選擇最優(yōu)。在指定網絡方案之前,應依據用戶承受能力來確定網絡設備品牌。22第22頁(2)擴展性考慮。在網絡層次結構中,主干設備選擇應預留一定能力,方便未來擴展,而低端設備則夠用即可,因為低端設備更新快,且易于擴展。因為企業(yè)網絡結構復雜,需要交換機能夠接續(xù)全系列接口,比如光口和電口、百兆、千兆赫萬兆端口,以及多模光纖接口和長距離單模光纖接口等。其交換結構也應能依據網絡擴容靈活地擴大容量。其軟件應含有獨立知識產權,應確保其后續(xù)研發(fā)和升級,以確保對未來新業(yè)務支持。(3)依據方案實際需要選型,主要是在參考整體網絡設計要求基礎上,依據網絡實際帶寬性能需求、端口類型和端口密度選型。假如是舊網改造項目,應盡可能保留并延長用戶對原有網絡設備投資,降低在資金投入方面浪費。23第23頁(4)選擇性能價格比高、質量過硬產品。為使資金投入產出到達最大值,能以較低成本、較少人員投入來維持系統(tǒng)運轉,網絡開通后,會運行許多關鍵業(yè)務,因而要求系統(tǒng)含有較高可靠性。全系統(tǒng)可靠性主要表達在網絡設備可靠性,尤其是GBE主干交換機可靠性以及線路可靠性。作為骨干網絡節(jié)點,中心交換機、匯聚交換機和廠區(qū)交換機必須能夠提供完全無阻塞多層交換性能,以確保業(yè)務順暢。24第24頁【問題3】為圖5-1中(6)-(9)處選擇介質,填寫在答題紙對應位置。備選介質(每種介質限選一次):千兆雙絞線 百兆雙絞線雙千兆光纖鏈路 千兆光纖【問題4】請用200字以內文字簡明敘述針對不一樣用戶分別進行動態(tài)和靜態(tài)IP地址配置優(yōu)點,并說明圖中服務器以及用戶采取哪種方式進行IP地址配置。25第25頁IP地址配置方式郵件服務器(1)網管PC(2)學生PC(3)26第26頁問題3分析答案關鍵交換機和匯聚交換機之間需要有較高可靠性,故(6)處應填入雙千兆光纖鏈路;關鍵交換機和樓層交換機之間考慮距離原因,應選擇光纖,故(7)處應填入千兆光纖;服務器群性能要求較網管機性能要高,故(8)處應填入千兆雙絞線。(9)處應填入百兆雙絞線。27第27頁問題4分析答案IP地址管理是用戶管理主要內容,也是構建完整安全架構中不可或缺一部分,應該在網絡設計早期就對網絡各種用戶IP地址分配方式進行統(tǒng)一規(guī)劃。IP地址管理和分配采取動態(tài)及靜態(tài)結合方式。普通用戶IP地址有DHCP服務器動態(tài)分配;服務器、設備管理地址等需要固定IP地址,由網絡管理部門靜態(tài)分配。普通用戶采取動態(tài)獲取IP地址地址分配方式,能夠降低IP地址分配復雜度,同時預防IP地址重合情況發(fā)生。主要用戶以及特殊用戶(比如網管系統(tǒng))能夠配置靜態(tài)IP地址,并在用戶接入網絡設備上靜態(tài)添加用戶IP地址。故郵件服務器和網管PC采取靜態(tài)配置IP地址,配置固定IP地址,與MAC地址相綁定;學生PC采取動態(tài)配置IP地址。28第28頁【問題5】通常有惡意用戶采取地址假冒方式進行盜用IP地址,能夠采取什么策略來預防靜態(tài)IP地址盜用?【問題6】(1)圖5-1中區(qū)域A是什么區(qū)?(請從以下選項中)A.服務B.DMZ區(qū)C.堡壘主D.安全(2)學校網絡中設備或系統(tǒng)有存放學校機密數據服務器、郵件服務器、存放資源代碼PC機、應用網關、存放私人信息PC機、電子商務系統(tǒng)等,這些設備哪些應放在區(qū)域A中,哪些應放在內網中?請簡明說明。29第29頁問題5分析答案可以配置靜態(tài)IP地址并在用戶接入網絡設備上靜態(tài)添加用戶IP地址,而且實現(xiàn)IP+MCA+端口綁定,一方面保證了用戶IP地址固定分配,其次也防止了其他惡意用戶地址假冒。30第30頁

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論