某信息网络系统运行过程中，个别部件老化失效，系统仍然可用，但经常出现卡顿，体现了..

免费智能真题库 > 历年试卷 > 信息系统监理师 > 2020年下半年信息系统监理师上午试卷综合知识

第51题

知识点：安全属性系统安全系统运行信息系统安全

章/节：安全管理

某信息网络系统运行过程中，个别部件老化失效，系统仍然可用，但经常出现卡顿，体现了信息系统安全的（）。

A. 有效性

B. 生存性

C. 抗毁性

D. 保密性

相关试题：信息系统安全的概念和特性

更多>

第64题 2015年下半年

39%

信息安全领域内最关键和最薄弱的环节或因素是（）。

第64题 2010年上半年

55%

以下不属于信息系统安全体系内容的是（64)。

第11题 2016年下半年

28%

在信息安全中，数据完整性指的是（11）。


知识点讲解
· 安全属性 · 系统安全 · 系统运行 · 信息系统安全

安全属性

信息系统安全是指确保以电磁信号为主要形式的在信息网络系统进行通信、处理和使用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中处于动态和静态过程中的保密性、完整性和可用性，以及与人、网络、环境有关的技术安全、结构安全和管理安全的综合。

总的来说，信息系统安全就是要保证信息系统的用户在允许的时间内、从允许的地点、通过允许的方法，对允许范围内的信息进行被允许的处理。完整地构建信息系统的安全体系框架后，信息系统安全体系应当由技术体系、组织结构体系和管理体系共同构建。

信息系统安全属性分为3个方面，分别是可用性、保密性和完整性。任何对于信息可用性、保密性和完整性的破坏与攻击事件都有可能会引起信息安全事故或事件。

可用性是信息系统工程能够在规定条件下和规定的时间内完成规定的功能的特性。

保密性是信息不被泄露给非授权的用户、实体或过程，信息只为授权用户使用的特性。

完整性定义为保护信息及其处理方法的准确性和完整性。信息完整性一方面是指信息在利用、传输、存储等过程中不被删除、修改、伪造、乱序、重放和插入等，另一方面是指信息处理方法的正确性。

系统安全

华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵，保障客户的系统安全。

系统运行

系统管理分类

IT系统管理工作主要是优化IT部门的各类管理流程，并保证能够按照一定的服务级别，为业务部门（客户）高质量、低成本地提供IT服务。IT系统管理工作可以按照以下两个标准予以分类。

按系统类型分类

（1）信息系统，企业的信息处理基础平台，直接面向业务部门（客户），包括办公自动化系统、企业资源计划（ERP）、客户关系管理（CRM）、供应链管理（SCM）、数据仓库系统（Date Warehousing）、知识管理平台（KM）等。

（2）网络系统，作为企业的基础架构，是其他方面的核心支撑平台。包括企业内部网（Intranet）、IP地址管理、广域网（ISDN、虚拟专用网）、远程拨号系统等。

（3）运作系统，作为企业IT运行管理的各类系统，是IT部门的核心管理平台。包括备份／恢复系统、入侵检测、性能监控、安全管理、服务级别管理、帮助服务台、作业调度等。

（4）设施及设备，设施及设备管理是为了保证计算机处于适合其连续工作的环境中，并把灾难（人为或自然的）的影响降到最低限度。包括专门用来放置计算机设备的设施或房间。

对IT资产（计算机设备、通信设备、个人计算机和局域网设备）的恰当的环境保护；有效的环境控制机制：火灾探测和灭火系统、湿度控制系统、双层地板，隐藏的线路铺设、安全设置水管位置，使其远离敏感设备、以及不间断电源和后备电力供应等。

按流程类型分类

（1）侧重于IT部门的管理，从而保证能够高质量地为业务部门（客户）提供IT服务。这一部分主要是对公司整个IT活动的管理，包括IT财务管理、服务级别管理、IT资源管理、能力管理、系统安全管理、新系统转换、系统评价等职能。

（2）侧重于业务部门的IT支持及日常作业，从而保证业务部门（客户）IT服务的可用性和持续性。这一部分主要是业务部门IT支持服务，包括IT日常作业管理、帮助服务台管理、故障管理及用户支持、性能及可用性保障等。

（3）侧重于IT基础设施建设，主要是建设企业的局域网、广域网、Web架构、Internet连接等。

系统管理规范化

系统管理的规范化涉及到人员职责、操作流程等方面标准的制定，并进行有效的标准化。企业IT部门除了IT部门组织结构及职责之外，还应该详细制定各类运作管理规章制度，主要包括：日常作业调度手册、系统备份及恢复手册、性能监控及优化手册、输出管理手册、帮助服务台运作手册、常见故障处理方法、终端用户计算机使用制度等与用户息息相关的IT支持作业方面的规范制度。此外，还包括服务级别管理手册、安全管理制度、IT财务管理制度、IT服务计费及成本核算、IT资源及配置管理、新系统转换流程、IT能力规划管理等由IT部门执行的以提供高质量IT服务为目的的管理流程。

系统运作报告

系统运行过程中的关键操作、非正常操作、故障、性能监控、安全审计等信息，应该实时或随后形成系统运作报告，并进行分析以改进系统管理水平。

是否有流程保证对所有不属于标准操作的操作性问题给予记录（在问题管理系统内）、分析和及时处理？

系统日常操作日志

系统日志应该记录足以形成数据的信息，为关键性的运作提供审核追踪记录，并且保存合理的时间段。利用日志工具定期对日志进行检查，以便监控例外情况并发现非正常的操作、未经授权的活动、作业完成情况、存储状况、CPU、内存利用水平等。

性能／能力规划报告

企业需要了解其IT能力能否满足其业务需要，因此它需要了解系统性能、能力和成本的历史数据，定期形成月度、年度性能报告，并进行趋势分析和资源限制评估，在此基础之上增加或调整其IT能力。

性能监控工具应该主动地监控、测量和报告系统的性能，包括平均响应时间、每日交易数、平均无故障时间、CPU、存储器等的使用状况、网络性能等，从而可以有预见性地响应变化的业务需求。

故障管理报告

企业应定期产生有关问题的统计数据，这些统计数据包括：事故出现次数、受影响的客户数、解决事故所需时间和成本、业务损失成本等，可以供管理层对反复发生的问题进行根本原因的分析，并寻找改进的机会。

另外，对于每次故障处理应该进行数据记录、归类，作为基础，它应包括以下内容。

.目录，确定与故障相关联的领域，比如硬件、软件等。

.影响度，故障对业务流程的影响程度。

.紧迫性，故障需要得到解决的紧急程度。

.优先级，综合考虑影响度、紧迫性、风险和可用资源后得出的解决故障的先后顺序。

.解决方法，故障解决的流程、处理方法。

这样有利于使用知识管理系统来协助解决问题。

安全审计日志

为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件（如网络入侵、内部资料窃取、泄密行为等），并阻断严重的违规行为，就需要安全审计跟踪机制来实现在跟踪中记录有关安全的信息。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。

审计记录应包括以下信息：事件发生的时间和地点；引发事件的用户；事件的类型；事件成功与否。常见的审计记录可能包括：活动的用户账号和访问特权；用户的活动情况，包括可疑的行为；未授权和未成功的访问企图；敏感命令的运行等。

系统运作报告使对IT的整个运行状况的评价得以实现，IT报告应具备涵盖所有IT领域的关键业绩指标，例如风险及问题、财务状况、系统利用率、系统性能、系统故障时间、服务级别执行情况、安全审计等，这也为IT运作绩效的改进提供了基础。

信息系统安全

信息系统安全的概念

信息系统安全指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征，一般包括保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，以保障信息系统功能的正常发挥，维护信息系统的安全运行。

信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化，例如：

.个人用户最关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。

.从网络运行和管理者角度说，最关心的信息系统安全问题是如何保护和控制其他人对本地网络信息进行访问、读写等操作。

.对安全保密部门和国家行政部门来说，最关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵，避免非法泄露。

.从社会教育和意识形态角度来说，最关心的则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。

信息系统安全的属性

信息系统安全的属性主要包括：

.保密性：是应用系统的信息不被泄露给非授权的用户、实体或过程，或供其利用的特性，即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密性建立在可用性基础之上，是保障应用系统信息安全的重要手段。应用系统常用的保密技术如下：

最小授权原则：对信息的访问权限仅授权给需要从事业务的用户使用。

防暴露：防止有用信息以各种途径暴露或传播出去。

信息加密：用加密算法对信息进行加密处理，非法用户无法对信息进行解密从而无法读懂有效信息。

物理保密：利用各种物理方法，如限制、隔离、掩蔽和控制等措施，来保护信息不被泄露。

.完整性：是信息未经授权不能进行改变的特性，即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。保障应用系统完整性的主要方法如下：

协议：通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。

纠错编码方法：由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。

密码校验和方法：是抗篡改和传输失败的重要手段。

数字签名：用于保障信息的真实性。

公证：请求系统管理或中介机构证明信息的真实性。

.可用性：是应用系统信息可被授权实体访问并按需求使用的特性，即信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求：身份识别与确认、访问控制、业务流控制、路由选择控制和审计跟踪。

.不可抵赖性：也称作不可否认性，在应用系统的信息交互过程中，确信参与者的真实同一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息。

信息系统安全管理体系

信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。

不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系：

.配备安全管理人员。

.建立安全职能部门。

.成立安全领导小组。

.主要负责人出任领导。

.建立信息安全保密管理部门。

信息系统安全管理体系参见《GB/T 20269～2006信息安全技术信息系统安全管理要求》，该标准把信息系统安全管理分为八大类，每个类分为若干族，针对每个族设置了相应的管理要素。八大类分别为：政策和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务持续性管理、监督和检查管理、生存周期管理。

信息系统安全技术体系参见《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》，该标准把信息系统安全技术分为：

.物理安全：包括环境安全、设备安全和记录介质安全。

.运行安全：包括风险分析、信息系统安全性检测分析、信息系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、信息系统的应急处理、可信计算和可信连接技术。

.数据安全：包括身份鉴别、用户标识与鉴别、用户主体绑定、抗抵赖、自主访问控制、标记、强制访问控制、数据完整性保护、用户数据保密性保护、数据流控制、可信路径和密码支持。

题号导航 2020年下半年信息系统监理师上午试卷综合知识

本试卷我的完整做题情况



	第51题在手机中做本题