免费智能真题库 > 历年试卷 > 信息系统管理工程师 > 2020年下半年 信息系统管理工程师 上午试卷 综合知识
  第64题      
  知识点:   安全策略   安全管理   安全管理的执行   系统安全   系统安全管理   信息系统安全
  关键词:   安全策略   安全管理   信息系统安全   执行支持   安全   系统安全   信息系统        章/节:   系统运行管理知识       

 
安全管理的执行是信息系统安全管理的重要一环,再好的安全策略没有具体的执行支持是不可能获得较好的安全效果的。一般情况下,安全管理执行主要包括四方面内容,下列选项中,(64)不属于这四方面的内容。
 
 
  A.  选购好的杀毒软件
 
  B.  安全性管理指南
 
  C.  入侵检测
 
  D.  安全性强度测试
 
 
 

 
  第28题    2011年上半年  
   22%
安全管理中的介质安全属于(28)。
  第24题    2021年下半年  
   24%
以下漏洞扫描检测技术中,()最适合Web信息系统的风险评估工作。
  第63题    2019年上半年  
   23%
信息系统的安全管理中,物理安全主要包括三个方面。下列选项中,( )不属于这三个方面。
   知识点讲解    
   · 安全策略    · 安全管理    · 安全管理的执行    · 系统安全    · 系统安全管理    · 信息系统安全
 
       安全策略
        安全策略的目的是保证信息系统的安全,为网络和信息安全提供管理指导和支持,是组织信息安全的最高方针,描述了一个组织高层的安全目标,并且描述了应该做什么而不是怎么去做。
        实施策略的选择也是很重要的。应当根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海中并落实到实际工作中。确定组织的安全策略是一个组织实现安全管理和技术措施的前提,否则所有的安全措施都将无的放矢。
        安全策略实施是指在组织范围内实施已制定的并得到高层批准的安全策略,使安全策略的条文真正被有效执行。只有坚持执行既定方针、灵活调整实施策略、贯彻落实各项制度、提高员工和客户的安全意识、充分发挥全员的积极性和主动性,信息安全问题才能从根本上得到解决。为了实施安全策略,我们要采取必要的技术手段和各种安全解决方案,比如加密技术、防病毒技术、防火墙技术、入侵检测技术、安全隔离技术等。
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       安全管理的执行
        信息系统安全管理的第一步是安全组织机构的建设,首先确定系统安全管理员(SSA)的角色,并组成安全管理小组或委员会,制定出符合本单位需要的信息安全管理策略,包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。
        执行安全管理要做到如下几点。
        .从管理体制上保证安全策略切实可行,制定安全管理条例,要求每个员工必须遵守。
        .从管理手段上保证安全策略切实可行。
        .从管理成员上保证安全策略切实可行,需要网络管理人员不断提高自己的技术水平,使管理能够得到有效落实。
        .从管理支持上保证安全策略切实可行,可以和国内外大型的安全产品生厂商或者咨询顾问公司建立密切联系。
        制定安全管理制度,实施安全管理的原则如下。
        .多人负责原则。每项与安全有关的活动都必须有两人或多人在场。这些人应是由系统主管领导指派的,应忠诚可靠,能胜任此项工作。
        .任期有限原则。一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。
        .职责分离原则。除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
               安全性管理指南
               安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照,使安全性管理走上科学化、标准化、规范化的道路。可以采取以下方法:
               (1)制定运行管理手册。运行管理手册从人员管理、规章制度、岗位职责等几个方面对安全性管理做出详细规定,使管理人员在工作中的一言一行都有章可依、有据可查,指导管理人员的工作实施。为了不让制度虚设,管理人员应当狠抓落实。
               (2)编写完善、详细的用户手册,使用户可以根据书面的规定来实施操作,在遇到疑问的时候可以找到依据。最好能够设计出简明用户手册和详细用户手册各一份,使受过培训的用户、有一定使用基础的用户和对操作完全陌生的用户能够根据自己的需要进行选择。
               (3)安全性检查清单是进一步的详细信息,为实现安全性而列出了一些推荐做法和最佳实践,使各项设置保持正确。安全性检查清单其实也是一道很好的防火墙,只要配置适当,也可以有效地防止攻击。例如,在这个清单中能够找到的信息可以包括以下实用的主题:在入侵者突破了防火墙的情况下配置IPSec策略;通过限制来隔绝那些可以存取Telnet服务器的用户以达到保护服务器的目的;为服务器的虚拟目录设置适当的存取控制;进行日志记录,并在日志文件(log file)中设置适当的权限;在ASP程序代码中检查窗体输入,以防止恶意输入,等等。
               入侵检测
               为了便于入侵检测的进行,防止系统受到攻击,可以从如下几点来实现:使用目前世界先进的安全技术和产品;设置对文件、目录、打印机和其他资源的访问权限,这样可以防止某些内部的数据丢失;加强密码管理(比如设置其生效期和频繁更改密码等);在网络用户准备登录时,应该对其进行严格的身份认证,可以通过此用户所属的主机以及采取基于一次性密码的用户验证系统(比如SecurID等),检查进入网络的用户是否合法,防止非法用户进入网络;通过对网络文件进行严格的访问控制(可以通过操作系统本身的功能和特殊的软件比如CA的Assess Control等),达到限制用户行为的目的。也就是说,用户只有在得到对某个文件的访问授权之后才能访问该文件。
               系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用情况,一旦有非法入侵者进入系统,能及时发现并采取相应措施,确定和堵塞安全及保密的漏洞。应当建立完善的审计系统和日志管理系统,利用日志和审计功能对系统进行安全监控。管理人员还应当经常做到这么几点:监控当前正在进行的进程,正在登录的用户情况;检查文件的所有者、授权、修改日期情况和文件的特定访问控制属性;检查系统命令安全配置文件、密码文件、核心启动运行文件、任何可执行文件的修改情况;检查用户登录的历史记录和超级用户登录的记录。如发现异常,及时处理。
               进行入侵监测的益处有如下几点。
               .通过检测和记录网络中的安全违规行为,惩罚网络犯罪、防止网络入侵事件的发生。
               .检测其他安全措施未能阻止的攻击或安全违规行为。
               .检测黑客在攻击前的探测行为,预先给管理员发出警报。
               .报告计算机系统或网络中存在的安全威胁。
               .提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补。
               .在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。
               安全性强度测试
               作为保护信息的工具与手段,确定信息系统的安全保障能力是至关重要的。信息系统的安全保障能力级别取决于信息系统所采取安全控制措施的强度和有效性。根据信息系统正在执行的安全策略级别、安全技术保障能力级别、安全组织保障级别、安全运作能力级别可以综合评定特定信息系统的安全保障能力级别。
               为了检验系统的安全保障能力,需要对系统进行安全性强度测试。安全性强度测试主要检测系统在强负荷运行状况下检测效果是否受影响,主要包括大量的外部攻击、大负载、高密度数据流量情况下对检测效果的检测。并根据测试结果来进行分析,得出对系统的安全保障能力的评价。
               安全性审计支持
               为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源来说很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
               因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前以较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
               维护安全性是一个进行中的过程,必须定期检查及访问。维护系统安全性需要非常警惕,因为任何系统默认的安全性配置都会随着时间的逝去而越加趋向公开。所以要定期审计系统的安全性状态(可以通过手工方式也可以通过自动方式)。例如,在加强一个全新安装的系统的安全性之后,可以在5天后执行软件审计命令以确定系统安全性是否已更改(与安全性配置文件所定义的状态不同)。审计安全性的频繁程度取决于环境的紧急程度与安全策略。有些用户每小时、每天或者每月进行一次审计运行操作。而有些用户每小时运行一次最小扫描(仅检查有限数量),每天运行一次完整扫描(进行全部检查)。
               在某些情况下,会发现在加强已部署系统的安全性之前检查其安全性状态是很必要的。例如,如果是在接管之前由他人管理的已部署系统,则应检测系统以了解其状态,如果必要的话可以使它们与其他系统所使用的相同安全性配置文件相兼容。
               此外,还需要审计重要组件以维护已部署系统的安全性状态。如果不定期审计安全性状态,则由于平均信息量或者修改会不知不觉或恶意地更改所需的安全性状态,导致配置随之变化。如果不进行定期检查,则不会发现这些更改并采取相应的纠正措施。这将导致系统的安全性降低,便更容易受到攻击。
               除了定期审计之外,在升级、安装修补程序与其他的重要系统配置发生更改后也需要进行审计。
 
       系统安全
        华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
 
       系统安全管理
        企业生产管理系统在设计过程中需要考虑到系统权限划分功能,每个菜单、每个操作、每个登录人员都需要进行详细的权限划分。
        如果一个对系统都不清楚的人拥有过高的权限,对系统,对数据任意的操作,很可能导致系统崩溃,数据紊乱,造成不可预估的损失。相反,对于管理层来说,没有足够的权限及时查看数据,进行分析总结,那么就会导致信息获取屏障,问题发现不及时,响应迟缓等问题。由此可见,系统权限的设置必不可少,这是软件安全运行的基础条件。
        在权限划分中,采取等级制,明确权限高低、操作范围、信息知晓范围等,从而保证系统信息及运行安全。达到精确控制信息的私密性,独立性。
 
       信息系统安全
               信息系统安全的概念
               信息系统安全指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征,一般包括保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,维护信息系统的安全运行。
               信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化,例如:
               .个人用户最关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。
               .从网络运行和管理者角度说,最关心的信息系统安全问题是如何保护和控制其他人对本地网络信息进行访问、读写等操作。
               .对安全保密部门和国家行政部门来说,最关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。
               .从社会教育和意识形态角度来说,最关心的则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。
               信息系统安全的属性
               信息系统安全的属性主要包括:
               .保密性:是应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性,即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性建立在可用性基础之上,是保障应用系统信息安全的重要手段。应用系统常用的保密技术如下:
               最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
               防暴露:防止有用信息以各种途径暴露或传播出去。
               信息加密:用加密算法对信息进行加密处理,非法用户无法对信息进行解密从而无法读懂有效信息。
               物理保密:利用各种物理方法,如限制、隔离、掩蔽和控制等措施,来保护信息不被泄露。
               .完整性:是信息未经授权不能进行改变的特性,即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。保障应用系统完整性的主要方法如下:
               协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
               纠错编码方法:由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。
               密码校验和方法:是抗篡改和传输失败的重要手段。
               数字签名:用于保障信息的真实性。
               公证:请求系统管理或中介机构证明信息的真实性。
               .可用性:是应用系统信息可被授权实体访问并按需求使用的特性,即信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制、业务流控制、路由选择控制和审计跟踪。
               .不可抵赖性:也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
               信息系统安全管理体系
               信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。
               不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系:
               .配备安全管理人员。
               .建立安全职能部门。
               .成立安全领导小组。
               .主要负责人出任领导。
               .建立信息安全保密管理部门。
               信息系统安全管理体系参见《GB/T 20269~2006信息安全技术信息系统安全管理要求》,该标准把信息系统安全管理分为八大类,每个类分为若干族,针对每个族设置了相应的管理要素。八大类分别为:政策和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务持续性管理、监督和检查管理、生存周期管理。
               信息系统安全技术体系参见《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》,该标准把信息系统安全技术分为:
               .物理安全:包括环境安全、设备安全和记录介质安全。
               .运行安全:包括风险分析、信息系统安全性检测分析、信息系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、信息系统的应急处理、可信计算和可信连接技术。
               .数据安全:包括身份鉴别、用户标识与鉴别、用户主体绑定、抗抵赖、自主访问控制、标记、强制访问控制、数据完整性保护、用户数据保密性保护、数据流控制、可信路径和密码支持。
   题号导航      2020年下半年 信息系统管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第64题    在手机中做本题