全部科目 > 信息安全工程师 >
2019年上半年 上午试卷 综合知识
第 8 题
知识点 安全管理   人员安全   网络安全教育与培训构建内容  
关键词 安全管理   安全  
章/节 网络安全体系框架组成和建设内容  
 
 
对于提高人员安全意识和安全操作技能来说,以下所列的安全管理方法最有效的是 ( )。
 
  A.  安全检查
 
  B.  安全教育和安全培训
 
  C.  安全责任追究
 
  D.  安全制度约束




 
 
相关试题     网络安全体系框架组成和建设内容 

  第10题    2019年上半年  
下面对国家秘密定级和范围的描述中,不符合《中华人民共和国保守国家秘密法》要求的是( )。

  第2题    2024年下半年  
对于提高人员安全意识和安全操作技能来说,以下所列的安全管理方法最有效的是 ( )。

  第30题    2022年下半年  
防火墙是由一些软件、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的数据包,起到网络安全屏障的作用。以下关于防火墙的叙述中错误的是..

 
知识点讲解
· 安全管理
· 人员安全
· 网络安全教育与培训构建内容
 
        安全管理
        . 安全运营中心(Security Operation Center,SOC)。腾讯云原生的统一安全运营与管理平台,提供资产自动化盘点、互联网攻击面测绘、云安全配置风险检查、合规风险评估、流量威胁感知、泄漏监测、日志审计与检索调查、安全编排与自动化响应及安全可视等能力,帮助云上用户实现事前安全预防,事中事件监测与威胁检测,事后响应处置的一站式、可视化、自动化的云上安全运营管理。
        . 安全运营中心(私有云)。以安全检测为核心,以事件关联分析、腾讯威胁情报为重点,以3D可视化为特色,以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险进行深度检测,为企业提供及时的安全告警。适用于多种安全运营管理场景,通过海量数据多维度分析、及时预警,对威胁及时做出智能处置,实现全网安全态势可知、可见、可控的闭环。
        . 密钥管理系统。让用户创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求。
        . 凭据管理系统。提供凭据的创建、检索、更新、删除等全生命周期的管理服务,结合资源级角色授权轻松实现对敏感凭据的统一管理。针对敏感配置、敏感凭据硬编码带来的泄露风险问题,用户或应用程序可通过调用Secrets Manager API来检索凭据,有效避免程序硬编码和明文配置等导致的敏感信息泄密以及权限失控带来的业务风险。
 
        人员安全
        人是网络系统中最薄弱的环节,人员安全的管理目标是降低误操作、偷窃、诈骗或滥用等人为造成的网络安全风险。人员安全通过采取合适的人事管理制度、保密协议、教育培训、业务考核、人员审查、奖惩等多种防范措施,来消除人员方面的安全隐患。下面举例说明人员安全措施,如在人员录用方面应该做到:
        . 是否有令人满意的个人介绍信,由某个组织或个人出具;
        . 对申请人简历的完整性和准确性进行检查;
        . 对申请人声明的学术和专业资格进行证实;
        . 进行独立的身份检查(护照或类似文件)。
        在人员安全的工作安排方面,应遵守以下三个原则。
               多人负责原则
               每一项与安全有关的活动,都必须有两人或多人在场。要求相关人员忠诚可靠,能胜任此项工作,并签署工作情况记录以证明安全工作已得到保障。一般以下各项安全工作应由多人负责处理:
               . 访问控制使用证件的发放与回收;
               . 信息处理系统使用的媒介发放与回收;
               . 处理保密信息;
               . 硬件和软件的维护;
               . 系统软件的设计、实现和修改;
               . 重要程序和数据的删除和销毁等。
               任期有限原则
               一般来讲,任何人不能长期担任与安全有关的职务,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限原则切实可行。
               职责分离原则
               工作人员各司其职,不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面各项工作应当职责分开:
               . 计算机操作与计算机编程;
               . 机密资料的接收和传送;
               . 安全管理和系统管理;
               . 应用程序和系统程序的编制;
               . 访问证件的管理与其他工作;
               . 计算机操作与信息处理系统使用媒介的保管等。
 
        网络安全教育与培训构建内容
        网络安全教育与培训是构建网络安全体系的基础性工作,是网络安全科技创新的源泉。国际上网络信息科技发达的国家都十分注重网络安全教育和培训。美国、加拿大等国家都积极推进和实施“国家网络安全意识月”(NCSAM),以提升全民的网络安全意识和网络安全资源普惠化,并开展Stop.Think.Connect网络安全技能提升活动。《中华人民共和国网络安全法》第三十四条规定,关键信息基础设施的运营者有义务定期对从业人员进行网络安全教育、技术培训和技能考核。此外,第二十条要求,国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。第十九条要求,各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
        一般企事业单位的网络安全教育与培训的工作目标是宣教本机构的网络安全管理规章制度,形成本机构的网络安全文化,提升本机构工作人员的网络安全意识水平及网络安全技能,满足岗位的网络安全能力要求。其主要的工作内容如下:
        . 网络安全信息安全培训师资力量建设;
        . 网络安全信息安全培训教材开发/选购;
        . 网络安全信息安全培训环境建立;
        . 网络安全信息安全意识培训;
        . 网络安全信息安全技能培训。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2025 All Rights Reserved
软考在线版权所有