免费智能真题库 > 历年试卷 > 信息系统管理工程师 > 2011年上半年 信息系统管理工程师 上午试卷 综合知识
  第44题      
  知识点:   用户安全审计   用户管理报告   安全审计   数据分析   异常
  关键词:   安全审计   数据分析   用户安全   安全   数据        章/节:   系统运行管理知识       

 
用户安全审计与报告的数据分析包括检查、异常探测、违规分析与(44)。
 
 
  A.  抓取用户账号使用情况
 
  B.  入侵分析
 
  C.  时闻戳的使用
 
  D.  登录失败的审核
 
 
 

 
  第18题    2013年上半年  
   35%
若信息系统的使用人员分为录入人员、处理人员和查询人员3类,则用户权限管理的策略适合采用(18)。
  第46题    2012年上半年  
   15%
现在计算机及网络系统中常用的身份认证方式主要有以下四种,其中(46)是一种让用户密码按照时间或使用次数不断变化,每个密码只..
  第56题    2020年下半年  
   39%
当前,企业对员工及其在企业里账号的管理较广泛使用的是统一用户管理系统。使用统一原理系统的收益有很多,下列选项中的(56)不在..
   知识点讲解    
   · 用户安全审计    · 用户管理报告    · 安全审计    · 数据分析    · 异常
 
       用户安全审计
        审计是安全的一个重要手段,通过审计,安全人员可以了解系统内已经发生或正在发生的事件,对有可能产生危害的安全事件进行及时的响应和处理,根据对历史数据的分析,调整安全部署,同时也可以为一些处理和诉讼提供证据。
        用户安全审计包括:利用日志工具来检测和报告较差的密码和易猜的密码;定期再检查和重新认证用户对系统(应用软件、数据库、主机系统和网络设备)的访问;利用日志工具检测那些对网络或者关键系统进行的反复的未授权访问;对于所有的系统,主动限制、监测和审核超级用户和/或系统管理员的活动等。
 
       用户管理报告
        用户安全管理审计主要用于与用户管理相关的数据收集、分析和存档以支持满足安全需要的标准。用户安全管理审计主要是在一个计算环境中抓取、分析、报告、存档和抽取事件和环境的记录。安全审计分析和报告可以是实时的,就像入侵检测系统,也可以是事后的分析。
        用户安全管理审计的主要功能包括如下内容。
        (1)用户安全审计数据的收集,包括抓取关于用户账号使用情况等相关数据。
        (2)保护用户安全审计数据,包括使用时间戳、存储的完整性来防止数据的丢失。
        (3)用户安全审计数据分析,包括检查、异常探测、违规分析、入侵分析。
        常见的用户安全审计报告包括如下内容。
        (1)了解系统通常会发生什么,哪些资源是用户通常要登录访问的,什么时间是用户访问的高峰时段,只有知道自己网络的一些基本信息才可以针对一些异常状况做出有效及时地审核,从而发现问题所在。
        (2)正如上面提到,应该有用户通常登录系统的时段的记录,所以当发现个别用户在一个不寻常的时间登录就需要注意了,当然这不能确切地说明受到攻击,但可以为管理员进一步地审核提供线索。
        (3)登录失败的审核应该特别引起留意,任何入侵通常不会像正常用户那样,顺利地登录系统,一般都会进行多次尝试,因此对于某个账户在一段时间内多次出现登录失败的记录就应该多加留意。
 
       安全审计
        安全审计是指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。安全审计是落实系统安全策略的重要机制和手段,通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。它是信息安全保障系统中的一个重要组成部分。具体包括两个方面的内容:
        (1)采用网络监控与入侵防范系统,识别网络中各种违规操作与攻击行为,即时响应并进行阻断。
        (2)对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
        CC标准将安全审计功能分为6个部分,分别是安全审计自动响应、安全审计自动生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储。
        (1)安全审计自动响应:定义在被测事件指示出一个潜在的安全攻击时做出的响应,它是管理审计事件的需要,这些需要包括报警或行动。例如包括实时报警的生成、违例进程的终止、中断服务、用户账号的失效等。根据审计事件的不同系统将做出不同的响应。其响应的行动可以做增加、删除、修改等操作。
        (2)安全审计数据生成:记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型,以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。
        (3)安全审计分析:定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。
        (4)安全审计浏览:审计系统能够使授权的用户有效地浏览审计数据,它包括审计浏览、有限审计浏览、可选审计浏览。
        (5)安全审计事件选择:系统管理员能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计。例如,与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性,系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用户的动作。
        (6)安全审计事件存储:审计系统将提供控制措施,以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。
 
       数据分析
        数据分析是大数据处理过程中的重要组成部分,是大数据价值体现的核心环节。经典的机器学习方法是最常见的数据智能分析方法,近年来迅速发展的深度学习在某些领域取得了惊人的效果。在应用开发上,也形成了几种主流的大数据处理框架。
        机器学习中算法很多,也有很多不同种类的分类方法,一般分为监督学习和非监督学习(或无监督学习)。其中,监督学习是指利用一组已知类别的样本调整分类器的参数,使其达到所要求性能的过程,也称为监督训练,是从标记的训练数据来推断一个功能的机器学习任务。根据训练集中的标识是连续的还是离散的,可以将监督学习分为两类:回归和分类。
        回归是研究一个或一组随机变量对一个或一组属性变量的相依关系的统计分析方法。线性回归模型是假设自变量和因变量满足线性关系。Logistic回归一般用于分类问题,而其本质是线性回归模型,只是在回归的连续值结果上加了一层函数映射。
        分类是机器学习中的一个重要问题,其过程也是从训练集中建立因变量和自变量的映射过程,与回归问题不同的是,分类问题中因变量的取值是离散的,根据因变量的取值范围,可将分类问题分为二分类问题、三分类问题和多分类问题。根据分类采用的策略和思路的不同,分类算法大致包括:基于示例的分类方法,如K最近邻(K-Nearest Neighbor,KNN)方法;基于概率模型的分类方法,如朴素贝叶斯、最大期望算法EM等;基于线性模型的分类方法,如SVM;基于决策模型的分类方法,如C4.5、AdaBoost、随机森林等。
        在实际应用中,缺乏足够的先验知识,因此难以人工标注类别或进行人工类别标注的成本太高,学习模型是为了推断出数据的一些内在结构。因此,根据类别未知(没有被标记)的训练样本解决模式识别中的各种问题,称为无监督学习。常见的算法有:关联规则挖掘,是从数据背后发现事物之间可能存在的关联或联系。比如数据挖掘领域著名的“啤酒-尿不湿”的故事。K-means算法,基本思想是两个对象的距离越近,其相似度越大;相似度接近的若干对象组成一个簇;算法的目标是从给定数据集中找到紧凑且独立的簇。
        近年来发展起来的深度学习算法是基于原有的神经网络算法发展起来的,包括BP神经网络、深度神经网络。
        BP神经网络是一种反向传播的前馈神经网络,所谓前馈神经网络就是指各神经元分层排列,每个神经元只与前一层的神经元相连,接收前一层的输出,并输出给下一层。所谓反向传播是指从输出层开始沿着相反的方向来逐层调整参数的过程。BP神经网络由输入层、隐含层和输出层组成。
        深度神经网络主要包括卷积神经网络、循环神经网络等,也包括它们的各种改进模型。
        (1)卷积神经网络(Convolutional Neural Network,CNN)是一种前馈神经网络,其结构包括输入层、卷积层、池化层、全连接层以及输出层等。该算法在图像处理、模式识别等领域取得了非常好的效果。在CNN的发展过程中,最经典的模型是AlexNet,针对不同的应用需要,又产生了全卷积模型(FCN)、残差神经网络模型(ResNet)、DeepFace等模型结构。
        (2)循环神经网络(Recurrent Neural Network,RNN)是一种人工神经网络,在该网络中,除了层间的连接以外,同层各单元之间连接构成了一个有向图序列,允许它显示一个时间序列的动态时间行为。RNN可以使用它们的内部状态来处理输入序列,这使得它们适用于诸如未分割的、连续的手写识别或语音识别等任务。传统的RNN是很难训练的,往往会出现梯度消失或梯度爆炸等情况,因此又出现了多个扩展版本,如BiRNN、LSTM等。
        随着深度学习的快速发展和应用的普及,开始出现了一些深度学习框架。深度学习框架是一种界面、库或工具,可以使用户在无需深入了解底层算法的细节的情况下,能够更容易、更快速地构建深度学习模型。深度学习框架利用预先构建和优化好的组件集合定义模型,为模型的实现提供了一种清晰而简洁的方法。常见的深度学习框架有:Caffe,是一个广泛使用的开源深度学习框架,支持常用的网络模型,比如Lenet、AlexNet、ZFNet、VGGNet、GoogleNet、ResNet等;TensorFlow,是一个使用数据流图进行数值计算的开源软件库,图中的节点表示数学运算,而图边表示节点之间传递的多维数据阵列(又称张量),其为大多数复杂的深度学习模型预先编写好了代码,比如递归神经网络和卷积神经网络,灵活架构使我们能够在一个或多个CPU(以及GPU)上部署深度学习模型;Keras,是一个由Python编写的开源人工神经网络库,可以作为TensorFlow、Microsoft-CNTK和Theano的高阶应用程序接口,进行深度学习模型的设计、调试、评估、应用和可视化,Keras完全模块化并具有可扩展性,并试图简化复杂算法的实现难度。
        随着大数据技术的广泛深入,大数据应用已经形成了庞大的生态系统,很难用一种架构或处理技术覆盖所有应用场景。下文介绍几种当前主流的大数据分布式计算架构。
        Apache Hadoop是用于开发可靠、可伸缩、分布式计算的开源软件,是一套用于在由通用硬件构建的大型集群上运行应用程序的框架。包含的模块有:Hadoop分布式文件系统(HDFS),提供对应用程序数据的高吞吐量访问的分布式文件系统;Hadoop YARN,作业调度和集群资源管理的框架;Hadoop MapReduc,一个用于大型数据集并行处理的基于YARN的系统;Hadoop Ozone,Hadoop的对象存储;Hadoop Submarine,Hadoop的机器学习引擎。
        Apache Spark是加州大学伯克利分校的AMP实验室所开源的类Hadoop MapReduce的通用并行框架。Spark是一个分布式的内存计算框架,是专为大规模数据处理而设计的快速通用的计算引擎。Spark的计算过程保持在内存中,不需要读写HDFS,减少了硬盘读写,提升了计算速度。除了Map和Reduce操作外,Spark还延伸出如filter、flatMap、count、distinct等更丰富的操作。同时通过Spark Streaming支持处理数据流。
        Apache Storm是一个免费的开源分布式实时计算系统,可以可靠地处理无边界的数据流变,可以实现实时处理。Apache Storm速度很快,它是可扩展的,容错的,并且易于设置和操作。Apache Storm应用于实时分析、在线机器学习、连续计算、分布式RPC、ETL等等。Storm的核心是拓扑(Topology),拓扑被提交给集群,由集群中的主控节点分发代码,将任务分配给工作节点执行。
 
       异常
        异常是一种形式的异常控制流,它一部分是由硬件实现的,一部分是由操作系统实现的。因为它们有一部分是由硬件实现的,所以具体细节将随系统的不同而有所不同。然而,对于每个系统而言,基本的思想都是相同的。
        异常(exception)就是控制流中的突变,用来响应处理器状态中的某些变化。异常可以分为四类:中断(interrupt)、陷阱(trap)、故障(fault)和中止(abort)。下表对这些类别的属性做了小结。
        
        异常的类别
        (1)陷阱。陷阱是有意的异常,是执行一条指令的结果。就像中断处理程序一样,陷阱处理程序将控制返回到下一条指令。陷阱最重要的用途是在用户程序和内核之间提供一个像过程一样的接口,叫做系统调用。
        用户程序经常需要向内核请求服务,例如读一个文件、创建一个新的进程、加载一个新的程序或者中止当前进程。为了允许对这些内核服务的受控的访问,处理器提供了一条特殊的syscall指令,当用户程序想要请求服务n时,可以执行这条指令。执行syscall指令会导致一个到异常处理程序的陷阱,这个处理程序对参数解码,并调用适当的内核程序。
        (2)故障。故障由错误情况引起,它可能被故障处理程序修正。当一个故障发生时,处理器将控制转移给故障处理程序。如果处理程序能够修正这个错误情况,它就将控制返回到故障指令,从而重新执行它。否则,处理程序返回到内核中的abort例程,abort例程会中止引起故障的应用程序。
        (3)中止。中止是不可恢复的致命错误造成的结果,典型的是一些硬件错误,例如DRAM或者SRAM位被损坏时发生的奇偶错误。中止处理程序从不将控制返回给应用程序。处理程序将控制返回给一个abort例程,该例程会中止这个应用程序。
   题号导航      2011年上半年 信息系统管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第44题    在手机中做本题