免费智能真题库 > 历年试卷 > 信息系统管理工程师 > 2015年上半年 信息系统管理工程师 下午试卷 案例
  第4题      
  知识点:   安全管理   泄露   信息管理   计算机病毒   维护   运行维护

 
阅读以下说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
随着互联网的发展,黑客攻击、计算机病毒的破坏以及企业对信息管理、使用不当造成信息泄露问题普遍受到关注。尤其是信息泄露问题,使得相关企业承担很大的舆论压力和侵权责任,面临严重的信任危机及经济损失。
为了规范信息在采集、使用、保存、分发的安全管理,企业在信息系统的规划、建设、运行维护、管理等方面都应采取一定的措施。请结合信息泄露产生的原因和特点,以及信息在保存、使用中应遵循的原则回答下面的问题。
 
问题:4.1   简要回答企业避免信息泄露可以采取的安全措施有哪些?
 
问题:4.2   (1) 为什么说重视软件的完整性可以有效遏制黑客和病毒的泛滥。
(2) 采用何种技术方法来保证软件的完整性,请对该方法的工作原理简要说明。
 
问题:4.3   (1) 我国哪一部新修订的法律明确禁止经营者泄露消费者信息的行为?
(2) 经营者在收集使用消费者的个人信息时应当注意哪些问题?
 
 
 

   知识点讲解    
   · 安全管理    · 泄露    · 信息管理    · 计算机病毒    · 维护    · 运行维护
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       泄露
        信息泄漏主要包括:电磁辐射(比如,侦听微机操作过程)、乘机而入(比如,合法用户进入安全进程后半途离开)、痕迹泄露(比如,密码密钥等保管不善,被非法用户获得),等等。
        物理访问控制从根本上保护了物理器件和媒介(磁性媒介及文档媒介)免遭损坏或窃取。为防止泄漏所进行的物理安全管理应当包括一下内容。
        .一套物理安全制度,规定了安全控制标准、常识、必须遵守的规定以及出现违规事件时应采取的措施。
        .在大楼、计算机房、通讯室以及大楼以外其他存放场所中,对设备、数据、媒介和文档进行访问的流程。
        .适宜的物理控制机制,可以包括:安全警卫、身份标志、生物技术检测、摄像头、防盗警报、个人计算机和外围设备标签、条形码和锁等。
        .检查监控制度是否得到遵守,包括定期检查事件汇报和登记表。
        .及时审查违反物理访问规定的事件。
        显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。中华人民共和国保密指南第BMZ2-2001号文件《涉及国家秘密的计算机信息系统安全保密方案设计指南》第8.8条电磁泄露发射防护规定:计算机系统通过电磁泄露发射会造成信息在空间上的扩散,采用专用接收设备可以远距离接收还原信息,造成泄密。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这对重要的政府、军队、金融机构在兴建信息中心时都将成为首要设置的条件。正常的防范措施主要在三个方面。
        (1)对主机房及重要信息存储、收发部门进行屏蔽处理。建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风波导、门的关起等。
        (2)对本地网、局域网传输线路传导辐射的抑制。由于电缆传输辐射信息的不可避免性,现均采用了光缆传输的方式,大多数均在Modem的外接设备处用光电转换接口,用光缆接出屏蔽室外进行传输。
        (3)对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端被分散使用,而不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备(如干扰机)来破坏对对应信息的窃取,个别重要的终端也可考虑采用有窗子的装饰性屏蔽室,此类虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到类似于在普通机房内工作。
 
       信息管理
        管理信息系统是由人、计算机和管理规则等组成,以采集、加工、维护和使用信息为主要功能的人-机系统。例如金融、财会、经营、管理、教育、科研、医疗、人事、档案、物资等各方面都有大量的信息需要及时分析和处理,以便为决策提供依据。虽然在这方面应用中计算公式并不复杂,但数据量极大,在当今信息爆炸的时代,人工已难以胜任这一重任,计算机则成为信息管理的重要工具。该系统一般以数据库管理系统为核心,以其他软件和网络系统为支撑环境,而用户则通过专门的人机交互界面,进行数据的查询、修改等操作,并实现统计分析、规划、决策等功能。在信息管理方面,我们正经历着从单项事务的电子数据处理,向以数据库为基础的管理信息系统,及以数据库、模型库和方法库为基础的决策支持系统发展的过程,并且呈现出系统集成化、结构分布化、信息多元化、功能智能化等趋势。
 
       计算机病毒
        所谓病毒是指一段可执行的程序代码,它通过对其他程序进行修改,来感染这些程序使其含有该病毒程序的一个复制。病毒可以做其他程序所做的任何事,唯一的区别在于它将自己附在另一个程序上,并且在宿主程序运行时秘密执行。一旦病毒执行时,它可以完成任何功能,例如删除文件和程序等。
        大多数病毒按照一种与特定操作系统有关的,或者在某种情况下,与特定硬件平台有关的方式来完成它们的工作。因此,它们可以被设计成利用特定系统的细节和漏洞工作。
 
       维护
        维护阶段是软件生存期中时间最长的阶段。软件一旦交付正式投入运行后便进入软件维护阶段。该阶段的关键任务是通过各种必要的维护活动使系统持久地满足用户的需要。每一项维护活动都应该准确地记录下来,作为正式的文档资料加以保存。
 
       运行维护
        数据库应用系统经过测试、试运行后即可正式投入运行。运行维护是系统投入使用后,必须不断地对其进行评价、调整与修改,直至系统消亡。
        在任一设计阶段,一旦发现不能满足用户数据需求时,均需返回到前面的适当阶段进行必要的修正。经过如此的迭代求精过程,直到能满足用户需求为止。在进行数据库结构设计时,应考虑满足数据库中数据处理的要求,将数据和功能两方面的需求分析、设计和实现在各个阶段同时进行,相互参照和补充。
        事实上,在数据库设计中,对每一个阶段设计成果都应该通过评审。评审的目的是确认某一阶段的任务是否全部完成,从而避免出现重大的错误或疏漏,保证设计质量。评审后还需要根据评审意见修改所提交的设计成果,有时甚至要回溯到前面的某一阶段,进行部分重新设计乃至全部重新设计,然后再进行评审,直至达到系统的预期目标为止。
   题号导航      2015年上半年 信息系统管理工程师 下午试卷 案例   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
 
第4题    在手机中做本题