入侵检测通过对计算机网络或计算机系统中的若干关键点手机信息并进行分析，从中发现网..

免费智能真题库 > 历年试卷 > 信息系统监理师 > 2017年上半年信息系统监理师上午试卷综合知识

第21题

知识点：入侵检测安全策略

关键词：安全策略攻击计算机网络计算机系统入侵检测安全网络章/节：安全管理

入侵检测通过对计算机网络或计算机系统中的若干关键点手机信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。（）不属于入侵检测的主要任务。

A. 监视、分析用户及系统活动，审计系统构造和弱点

B. 统计分析异常行为模式

C. 审计、跟踪管理操作系统，识别用户违反安全策略的行为

D. 提供扩展至用户端、服务器及第二至第七层的网络型攻击防护

相关试题：安全体系

更多>

第22题 2013年下半年

57%

下面关于防火墙的说法中，正确的是（22)。

第21题 2016年下半年

56%

（21）不是网络防火墙的作用。

第64题 2014年下半年

35%

为了系统地、完整地构建信息系统的安全体系框架，信息系统安全体系应当由(64) 共同构建。


知识点讲解
· 入侵检测 · 安全策略

入侵检测

入侵检测是指监视或在可能的情况下，阻止入侵者试图控制自己的系统或网络资源的各种努力。它是用于检测任何损害或企图损害系统的机密性、完整性或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动，采用异常检测或误用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。

入侵检测系统要解决的最基本的两个问题是如何充分并可靠地提取描述行为特征的数据，以及如何根据特征数据，高效并准确地判断行为的性质。由系统的构成来说，通常包括数据源（原始数据）、分析引擎（通过异常检测或误用检测进行分析）和响应（对分析结果采用必要和适当的措施）三个模块。

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

（1）特征检测。假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象，又不会将正常的活动包含进来。

（2）异常检测。假设入侵者活动异常于正常主体的活动，根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品，其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系统产品。

（1）特征检测。对已知的攻击或入侵的方式做出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

（2）统计检测。统计模型常用于异常检测，在统计模型中常用的测量参数包括审计事件的数量、间隔时间及资源消耗情况等。常用的入侵检测5种统计模型为操作模型、方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而穿过入侵检测系统。

（3）专家系统。用专家系统对入侵进行检测，经常针对的是有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

安全策略

安全策略概述

安全策略是指人们对由于使用计算机业务应用系统而可能导致企业资产损失而进行保护的各种措施、手段，以及建立的各种管理制度、法规等。

安全策略的核心内容就是“七定”：定方案、定岗、定位、定员、定目标、定制度、定工作流程。

安全策略具有科学性、严肃性、非二义性和可操作性。

建立安全策略需要处理好的关系

1．安全与应用相互依存

安全与应用既矛盾，又相互依存。没有应用，就不会产生相应的安全需求等问题；不妥善地解决安全问题，就不能更好地开展应用。另外，安全是有代价的，会增加系统建设和运行的费用，会规定对使用的限制，给应用带来一些不便。

2．风险度的观点

安全是相对的，是一个风险大小的问题。它是一个动态过程，我们不能一厢情愿地追求所谓绝对安全，而是要将安全风险控制在合理程度或允许的范围内。

3．适度安全的观点

安全风险与安全代价相对应，需要经过风险评估后对风险和代价进行均衡，有效控制两者的平衡点，既能保证安全风险的有效控制，又使安全的代价可以接受。

4．木桶效应观点

安全就好比木桶的短板，应关注于安全。

5．安全等级保护

国家标准《计算机信息安全保护等级划分准则》将计算机信息系统分为以下5个安全保护等级：

.用户自主保护级：适用于普通内联网用户。

.系统审计保护级：适用于通过内联网或国际网进行商业活动，需要保密的非重要单位。

.安全标记保护级：适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。

.结构化保护级：适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。

.访问验证保护级：适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

建立安全策略的设计原则

建立安全策略的设计原则是在决策之前需要清理头绪，抓住“关键环节”。

信息系统安全管理的8个总原则：

.主要领导人负责原则

.规范定级原则

.依法行政原则

.以人为本原则

.注重效费比原则

.全面防范、突出重点原则

.系统、动态原则

.特殊的安全管理原则

信息系统安全管理的10个特殊原则是：

.分权制衡原则

.最小特权原则

.标准化原则

.失效保护原则

.普遍参与原则

.职责分离原则

.审计独立原则

.控制社会影响原则

.保护资源和效率原则

系统安全方案

全局性的系统方案直接影响到信息系统安全实施与效果。因此，从信息安全考虑，确定一个有利于信息安全的系统组成方案是十分必要的。与系统安全方案有关的系统组成因素包括：

.主要硬件设备的选型。

.操作系统和数据库的选型。

.网络拓扑结构的选型。

.数据存储方案和存储设备的选型。

.安全设备的选型。

.应用软件开发平台的选型。

.应用软件系统结构的选型。

.供货商和集成商的选择。

.业务运营与安全管理的职责划分。

.应急处理方案的确定以及人员的落实。

确定系统安全方案主要包括如下内容：

.首先确定采用MIS+S、S-MIS或S2-MIS体系架构。

.确定业务和数据存储方案。

.确定网络拓扑结构。

.基础安全设施和主要安全设备的选型。

.业务应用系统安全级别确定。

.系统资金和人员投入的档次。

系统安全策略内容

安全策略的核心内容为“七定”，安全策略种类包括：

.机房设备安全管理策略。

.主机和操作系统管理策略。

.网络和数据库管理策略。

.应用和输入输出管理策略。

.应用开发管理策略。

.应急事故管理策略。

.密码和安全设备管理策略。

.信息审计管理策略等。

题号导航 2017年上半年信息系统监理师上午试卷综合知识

本试卷我的完整做题情况



	第21题在手机中做本题