用户安全管理审计的主要功能有用户安全审计数据的收集、保护以及分析，其中（51）包括..

免费智能真题库 > 历年试卷 > 信息系统管理工程师 > 2013年上半年信息系统管理工程师上午试卷综合知识

第51题

知识点：安全管理用户安全审计用户管理报告安全审计异常

关键词：安全管理安全审计数据用户安全安全章/节：系统运行管理知识

用户安全管理审计的主要功能有用户安全审计数据的收集、保护以及分析，其中（51）包括检查、异常探测、违规分析以及入侵分析。

A. 用户安全审计数据分析

B. 用户安全审计数据保护

C. 用户安全审计数据的收集

D. 用户安全审计数据的收集和分析

相关试题：系统用户管理

更多>

第56题 2011年上半年

18%

现在计算机及网络系统中常用的身份认证的方式主要有以下4种，其中（56）是最简单也是最常用的身份认证方法。

第25题 2018年上半年

35%

假设某高校信息統一管理平台的使用人员分为学生、教师和行政管理人员3类.那么用户权限管理的策略适合采用（）。

第47题 2012年上半年

39%

在许多企业里，某个员工离开原公司后，仍然还能通过原来的账户访问企业内部信息和资源，原来的电子信箱仍然可以使用。解决这些安..


知识点讲解
· 安全管理 · 用户安全审计 · 用户管理报告 · 安全审计 · 异常

安全管理

安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生，与其说是技术原因，还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。

安全管理政策法规

信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有：信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有：人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。

信息安全管理的总原则有：规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有：分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。

我国的信息安全管理的基本方针是：兴利除弊，集中监控，分级管理，保障国家安全。

安全机构和人员管理

国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性，而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异，对于不同行业领域来说，信息安全具有不同的涵义和特征，国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。

为保证信息系统的安全，各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色，并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略，具体包括：安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化，以保证安全管理工作具有明确的依据或参照。

信息系统的运行是依靠各级机构的工作人员来具体实施的，安全人员既是信息系统安全的主体，也是系统安全管理的对象。要加强人员管理，才能增强人们的安全意识，增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作，并与安全人员签订保密合同，调离不合格的人员，并做好人员调离的后续工作，承诺调离后的保密任务，收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有：从不单独一个人、限制使用期限、责任分散、最小权限。

技术安全管理

技术安全管理包括如下内容。

（1）软件管理：包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。

（2）设备管理：对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。

（3）介质管理：介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。

（4）涉密信息管理：包括涉密信息等级的划分、密钥管理和密码管理。

（5）技术文档管理：包括技术文档的密级管理和使用管理。

（6）传输线路管理：包括传输线路管理和网路互连管理。传输线路上传送敏感信息时，必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。

（7）安全审计跟踪：为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件（如网络入侵、内部资料窃取、泄密行为等），并阻断严重的违规行为，就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。

（8）公共网络连接管理：是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理，和对单位或部门从网上获得有用信息的管理。

（9）灾难恢复：灾难恢复是对偶然事故的预防计划，包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。

网络管理

网络管理是指通过某种规程和技术对网络进行管理，从而实现：①协调和组织网络资源以使网络的资源得到更有效的利用；②维护网络正常运行；③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织（ISO）在相关标准和建议中定义了网络管理的五种功能，即：

（1）故障管理：对计算机网络中的问题或故障进行定位，主要的活动是检测故障、诊断故障和修复故障。

（2）配置管理：对网络的各种配置参数进行确定、设置、修改、存储和统计，以增强网络管理者对网络配置的控制。

（3）安全管理：网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。

（4）性能管理：性能管理可以测量网络中硬件、软件和媒体的性能，包括整体吞吐量、利用率、错误率和响应时间，帮助管理者了解网络的性能现状。

（5）计费管理：跟踪每个个人和团体用户对网络资源的使用情况，并收取合理的费用。

场地设施安全管理

信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害，以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。

用户安全审计

审计是安全的一个重要手段，通过审计，安全人员可以了解系统内已经发生或正在发生的事件，对有可能产生危害的安全事件进行及时的响应和处理，根据对历史数据的分析，调整安全部署，同时也可以为一些处理和诉讼提供证据。

用户安全审计包括：利用日志工具来检测和报告较差的密码和易猜的密码；定期再检查和重新认证用户对系统（应用软件、数据库、主机系统和网络设备）的访问；利用日志工具检测那些对网络或者关键系统进行的反复的未授权访问；对于所有的系统，主动限制、监测和审核超级用户和／或系统管理员的活动等。

用户管理报告

用户安全管理审计主要用于与用户管理相关的数据收集、分析和存档以支持满足安全需要的标准。用户安全管理审计主要是在一个计算环境中抓取、分析、报告、存档和抽取事件和环境的记录。安全审计分析和报告可以是实时的，就像入侵检测系统，也可以是事后的分析。

用户安全管理审计的主要功能包括如下内容。

（1）用户安全审计数据的收集，包括抓取关于用户账号使用情况等相关数据。

（2）保护用户安全审计数据，包括使用时间戳、存储的完整性来防止数据的丢失。

（3）用户安全审计数据分析，包括检查、异常探测、违规分析、入侵分析。

常见的用户安全审计报告包括如下内容。

（1）了解系统通常会发生什么，哪些资源是用户通常要登录访问的，什么时间是用户访问的高峰时段，只有知道自己网络的一些基本信息才可以针对一些异常状况做出有效及时地审核，从而发现问题所在。

（2）正如上面提到，应该有用户通常登录系统的时段的记录，所以当发现个别用户在一个不寻常的时间登录就需要注意了，当然这不能确切地说明受到攻击，但可以为管理员进一步地审核提供线索。

（3）登录失败的审核应该特别引起留意，任何入侵通常不会像正常用户那样，顺利地登录系统，一般都会进行多次尝试，因此对于某个账户在一段时间内多次出现登录失败的记录就应该多加留意。

安全审计

安全审计是指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，并帮助分析安全事故产生的原因。安全审计是落实系统安全策略的重要机制和手段，通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。它是信息安全保障系统中的一个重要组成部分。具体包括两个方面的内容：

（1）采用网络监控与入侵防范系统，识别网络中各种违规操作与攻击行为，即时响应并进行阻断。

（2）对信息内容和业务流程的审计，可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。

CC标准将安全审计功能分为6个部分，分别是安全审计自动响应、安全审计自动生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储。

（1）安全审计自动响应：定义在被测事件指示出一个潜在的安全攻击时做出的响应，它是管理审计事件的需要，这些需要包括报警或行动。例如包括实时报警的生成、违例进程的终止、中断服务、用户账号的失效等。根据审计事件的不同系统将做出不同的响应。其响应的行动可以做增加、删除、修改等操作。

（2）安全审计数据生成：记录与安全相关的事件的出现，包括鉴别审计层次、列举可被审计的事件类型，以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单，每个可审计事件对应于某个事件级别，如低级、中级、高级。

（3）安全审计分析：定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生，并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。

（4）安全审计浏览：审计系统能够使授权的用户有效地浏览审计数据，它包括审计浏览、有限审计浏览、可选审计浏览。

（5）安全审计事件选择：系统管理员能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审计。例如，与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性，系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用户的动作。

（6）安全审计事件存储：审计系统将提供控制措施，以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。

异常

异常是一种形式的异常控制流，它一部分是由硬件实现的，一部分是由操作系统实现的。因为它们有一部分是由硬件实现的，所以具体细节将随系统的不同而有所不同。然而，对于每个系统而言，基本的思想都是相同的。

异常（exception）就是控制流中的突变，用来响应处理器状态中的某些变化。异常可以分为四类：中断（interrupt）、陷阱（trap）、故障（fault）和中止（abort）。下表对这些类别的属性做了小结。

异常的类别

（1）陷阱。陷阱是有意的异常，是执行一条指令的结果。就像中断处理程序一样，陷阱处理程序将控制返回到下一条指令。陷阱最重要的用途是在用户程序和内核之间提供一个像过程一样的接口，叫做系统调用。

用户程序经常需要向内核请求服务，例如读一个文件、创建一个新的进程、加载一个新的程序或者中止当前进程。为了允许对这些内核服务的受控的访问，处理器提供了一条特殊的syscall指令，当用户程序想要请求服务n时，可以执行这条指令。执行syscall指令会导致一个到异常处理程序的陷阱，这个处理程序对参数解码，并调用适当的内核程序。

（2）故障。故障由错误情况引起，它可能被故障处理程序修正。当一个故障发生时，处理器将控制转移给故障处理程序。如果处理程序能够修正这个错误情况，它就将控制返回到故障指令，从而重新执行它。否则，处理程序返回到内核中的abort例程，abort例程会中止引起故障的应用程序。

（3）中止。中止是不可恢复的致命错误造成的结果，典型的是一些硬件错误，例如DRAM或者SRAM位被损坏时发生的奇偶错误。中止处理程序从不将控制返回给应用程序。处理程序将控制返回给一个abort例程，该例程会中止这个应用程序。

题号导航 2013年上半年信息系统管理工程师上午试卷综合知识

本试卷我的完整做题情况



	第51题在手机中做本题