基于用户名和口令的用户入网访问控制可分为（27）三个步骤。

免费智能真题库 > 历年试卷 > 系统集成项目管理工程师 > 2010年上半年系统集成项目管理工程师上午试卷综合知识

第27题

知识点：信息安全管理的内容访问控制入网访问控制

关键词：访问控制章/节：信息安全管理

A. 用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查

B. 用户名的识别与验证、用户口令的识别与验证、用户权限的识别与控制

C. 用户身份识别与验证、用户口令的识别与验证、用户权限的识别与控制

D. 用户账号的默认限制检查、用户口令的识别与验证、用户权限的识别与控制

相关试题：信息安全管理的内容

更多>

第67题 2021年下半年

56%

在信息安全管理中，数字签名主要用于确保数据的（）。

第23题 2015年下半年

33%

访问控制是信息安全管理的重要内容之一。以下关于访问控制规则的叙述中，（23）是不正确的。

第23题 2017年上半年

65%

以下关于计算机病毒与蠕虫的特点比较的叙述中，正确的是:( )。


知识点讲解
· 信息安全管理的内容 · 访问控制 · 入网访问控制

信息安全管理的内容

ISO/IEC 27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准，它包括《ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求》《ISO/IEC 27002信息技术-安全技术-信息安全管理体系-实践准则》等系列标准。

ISO/IEC 27000系列标准将信息安全管理的内容主要概括为如下14个方面：

.信息安全方针与策略：为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略，并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。

.组织信息安全：要建立管理框架，以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。信息安全应整合到组织的项目管理方法中，以确保识别并处理了信息安全风险。应确保在使用移动计算和远程工作设施时的信息安全。

.人力资源安全：要确保员工、合同方和第三方用户了解他们的责任并适合其岗位，从而减少盗窃、滥用或设施误用的风险。组织应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点，以及他们的责任和义务，并能够在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。要确保员工、合同方和第三方用户以一种有序的方式离开组织或变更工作。

.资产管理：要对组织资产实现并维持适当的保护。所有资产均应有人负责，并有指定的所有者；要确保信息可以得到适当程度的保护；应对信息进行分类，以便在信息处理时指明保护的需求、优先级和期望程度。

.访问控制：对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。

.密码：应通过加密手段来保护信息的保密性、真实性或完整性。组织应制定使用密码的策略；应有密钥管理以支持密码技术的使用。

.物理和环境安全：应防止对组织办公场所和信息的非授权物理访问、破坏和干扰。组织应防止资产的丢失、损坏、被盗和破坏，以及对组织业务活动的中断；应保护设备免受物理和环境的威胁；要对设备（包括非公司现场的设备和迁出的设备）进行保护以减少未授权访问信息的风险并防止丢失或损坏，同时要考虑设备的安置和处置。

.运行安全：确保信息处理设施的正确和安全操作，应建立所有信息处理设施的管理和操作的职责与程序。组织应最小化系统失效的风险；应保护软件和信息的完整性；应保持信息和信息处理设施的完整性和可用性；应探测未经授权的信息处理活动；应维护应用系统软件和信息的安全；应减少由利用已发布的技术漏洞带来的风险。涉及运行系统验证的审计要求和活动，应谨慎地加以规划并取得批准，以便最小化业务过程的中断。

.通信安全：应确保网络中的信息和支持性基础设施得到保护；应防止对资产的未授权泄露、修改、移动或损坏，及对业务活动的中断；应维持组织内部或组织与外部组织之间交换信息和软件的安全。

.信息系统的获取、开发和保持：应确保安全成为信息系统的一部分；应防止应用系统中信息的错误、丢失、未授权的修改或误用。组织应为系统开发全生命周期的开发和集成活动建立安全开发环境，并予以适当保护；应保护在公共网络上应用服务传输的信息，以防止遭受欺诈、合同纠纷以及未经授权的泄露和修改；应确保电子商务的安全及其安全使用。

.供应商关系：为降低供应商访问组织资产的相关风险，应与供应商就信息安全要求达成一致，并形成文件。供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施，监视协议执行的一致性，并管理变更，以确保交付的服务满足与第三方商定的所有要求。

.信息安全事件管理：确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通；应确保使用一致、有效的方法管理信息安全事件；应建立职责和程序以有效地处理报告的信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续改进。需要证据时，证据的收集应符合法律的要求。

.业务持续性管理：应防止业务活动的中断，保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。这个过程需要识别关键的业务过程，并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。除了通用的风险评估过程外，业务连续性管理应包括识别和减少风险的控制措施、降低有害事件的影响以及确保业务过程需要的信息能够随时得到。

.符合性：应避免违反法律、法规、规章、合同要求和其他的安全要求；确保系统符合组织安全策略和标准；应最大化信息系统审核的有效性，并最小化来自信息系统审核带来的干扰。

除以上14个方面的主要内容外，信息安全风险管理也是信息安全管理的重要基础，不管对于哪个方面控制措施的选择和评价，都应基于风险评价的结果进行。随着多学科的应用和相互融合，信息安全管理的内容也更加广泛和深入。

访问控制

网络设备的访问可以分为带外（out-of-band）访问和带内（in-band）访问。带外（out-of-band）访问不依赖其他网络，而带内（in-band）访问则要求提供网络支持。网络设备的访问方法主要有控制端口（Console Port）、辅助端口（AUX Port）、VTY、HTTP、TFTP、SNMP。Console、AUX和VTY称为line。每种访问方法都有不同的特征。Console Port属于默认设置访问，要求物理上访问网络设备。AUX Port提供带外访问，可通过终端服务器或调制解调器Modem连接到网络设备，管理员可远程访问。VTY提供终端模式通过网络访问网络设备，通常协议是Telnet或SSH2。VTY的数量一般设置为5个，编号是从0到4。网络设备也支持使用HTTP协议进行Web访问。网络设备使用TFTP（Trivial File Transfer Protocol）上传配置文件。SNMP提供读或读写访问几乎所有的网络设备。

CON端口访问

为了进一步严格控制CON端口的访问，限制特定的主机才能访问路由器，可做如下配置，其指定X.Y.Z.1可以访问路由器：

VTY访问控制

为保护VTY的访问安全，网络设备配置可以指定固定的IP地址才能访问，并且增加时间约束。例如，X.Y.Z.12、X.Y.Z.5可以通过VTY访问路由器，则可以配置如下：

超时限制配置如下：

HTTP访问控制

限制指定IP地址可以访问网络设备。例如，只允许X.Y.Z.15路由器，则可配置如下：

除此之外，强化HTTP认证配置信息如下：

其中，type可以设为enable、local、tacacs或aaa。

SNMP访问控制

为避免攻击者利用Read-only SNMP或Read/Write SNMP对网络设备进行危害操作，网络设备提供了SNMP访问安全控制措施，具体如下：

一是SNMP访问认证。当通过SNMP访问网络设备时，网络设备要求访问者提供社区字符串（community strings）认证，类似口令密码。如下所示，路由器设置SNMP访问社区字符串。

（1）设置只读SNMP访问模式的社区字符串。

（2）设置读／写SNMP访问模式的社区字符串。

二是限制SNMP访问的IP地址。如下所示，只有X.Y.Z.8和X.Y.Z.7的IP地址对路由器进行SNMP只读访问。

三是关闭SNMP访问。如下所示，网络设备配置no snmp-server community命令关闭SNMP访问。

设置管理专网

远程访问路由器一般是通过路由器自身提供的网络服务来实现的，例如Telnet、SNMP、Web服务或拨号服务。虽然远程访问路由器有利于网络管理，但是在远程访问的过程中，远程通信时的信息是明文，因而，攻击者能够监听到远程访问路由器的信息，如路由器的口令。为增强远程访问的安全性，应建立一个专用的网络用于管理设备，如下图所示。

建立专用的网络用于管理路由器示意图

同时，网络设备配置支持SSH访问，并且指定管理机器的IP地址才可以访问网络设备，从而降低网络设备的管理风险，具体方法如下：

（1）将管理主机和路由器之间的全部通信进行加密，使用SSH替换Telnet。

（2）在路由器设置包过滤规则，只允许管理主机远程访问路由器。例如以下路由器配置可以做到：只允许IP地址是X.Y.Z.6的主机有权访问路由器的Telnet服务。

特权分级

针对交换机、路由器潜在的操作安全风险，交换机、路由器提供权限分级机制，每种权限级别对应不同的操作能力。在Cisco网络设备中，将权限分为0～15共16个等级，0为最低等级，15为最高等级。等级越高，操作权限就越多，具体配置如下：

入网访问控制

入网访问控制为网络访问提供了第一层访问控制，限制未经授权的用户访问部分或整个信息系统。用户要访问信息系统，首先要获得授权，然后接受认证。对信息系统进行访问包含三个步骤：第一步，能够使用终端；第二步，进入系统；第三步，访问系统中的具体命令、交易、权限、程序和数据。目前，从市场上可以买到针对计算机、局域网、移动设备和拨号通信网的访问控制软件。访问控制规程要求为每个有效用户分配一个唯一的用户身份标识（UID），使用这个UID对要求访问信息系统用户的真实身份进行验证。可以使用数字证书、智能卡、硬件令牌、手机令牌、签名、语音、指纹及虹膜扫描等生物特征鉴别。

其中，数字证书就是互联网通信中标志通信各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个权威机构——CA机构，又称证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书有两种形式，即文件证书和移动证书USBKEY。其中移动证书USBKEY是一种应用了智能芯片技术的数据加密和数字签名工具，其中存储了每个用户唯一、不可复制的数字证书，在安全性上更胜一筹，是现在电子政务和电子商务领域最流行的身份认证方式。其原理是通过USB接口与计算机相连，用户个人信息存放在存储芯片中，可由系统进行读／写，当需要对用户进行身份认证时，系统提请用户插入USBKEY并读出上面记录的信息，信息经加密处理送往认证服务器，在服务器端完成解密和认证工作，结果返回给用户所请求的应用服务。

生物特征鉴别通过自动验证用户的生理特征或行为特征来识别身份。多数生物学测定系统的工作原理是将一个人的某些特征与预存的资料（在模板中）进行对比，然后根据对比结果进行评价。常见的测定方法如下。

（1）脸部照片。计算机对脸部进行照相并将其与预存的照片进行对比。这种方法能够成功地完成对用户的识别，只是在识别双胞胎时不够准确。

（2）指纹扫描。当用户登录时，可扫描用户的指纹并将其与预存的指纹进行对比，确定是否匹配。

（3）手型识别。这种方法与指纹扫描非常类似，不同之处在于验证人员使用类似于电视的照相机对用户的手进行拍照，然后将手的某些特征（如手指长度和厚度等）与计算机中存储的信息进行对比。

（4）虹膜扫描。这种技术是使用眼睛中有颜色的一部分来确定个人身份的方法，通过对眼睛进行拍照并对照片进行分析来确定用户身份，结果非常准确。

（5）视网膜扫描。这种方法对视网膜上的血管进行扫描，将扫描结果与预存的照片进行对比。

（6）语音扫描。这种方法通过对比用户的语音与计算机中预存的语音来验证用户身份。

（7）签名。将签名与预存的有效签名进行对比。

（8）击键动态。将用户键盘压力和速度与预存的信息进行对比。

（9）还有脸部温度测定等方法。

题号导航 2010年上半年系统集成项目管理工程师上午试卷综合知识

本试卷我的完整做题情况



	第27题在手机中做本题