第14章 信息系统的安全管理.doc

【重要知识点】一、 信息系统安全的含义1、影响信息系统安全的因素：数据输入、输出、数据的存取与备份、源程序、应用程序、数据库、操作系统、硬件、通信、电磁辐射、环境保障系统、组织内部人的因素、软件的非法复制、“黑客”攻击、病毒、经济间谍。2、信息系统安全的定义 信息系统安全管理是一项复杂的系统工程，它的实现不仅是纯粹的技术问题，而且需要法律、制度、人的素质诸因素的配合。 信息系统安全管理的层次模型：法律法规道德纪律、管理细则和保护措施、物理实体安全环境、硬件系统安全措施、通信网络安全措施、软件系统安全措施、数据信息安全。3、信息系统的安全需求：（重点）（1）物理安全：为防范蓄意的和意外的威胁，而对资源提供物理保障措施。（2）数据机密：使信息不被泄露给非授权的实体。（3）数据完整：确保数数据没有遭受非授权方式所做的篡改或破坏。（4）数据可控：得到授权的实体可以控制其授权范围内的信息流向及行为方式。（5）数据可用：得到授权的实体在有效的时间内能够访问和使用其所要求的数据。（6）身份鉴别：确保一个实体此时没有试图冒充别的实体，或没有试图将先前的连接作非授权的重演。（7）数据鉴别：确保接受到的数据出自所要求的来源。（8）防抵赖：避免在一次通信中涉及的那些实体之一不承认参加了该通信的 全部或一部分。（9）审计与监测：在一定范围内，能够对已经或者可能出现的网络安全问题提供调查的依据和手段。二、信息系统安全的内容1、信息系统的安全包括物理安全、网络安全、操作系统安全、应用软件安全、数据安全和管理安全。2、物理安全：环境安全、设备安全、媒体安全3、网络安全：（1）内外网隔离及访问控制系统：防火墙、物理隔离或逻辑隔离。（2）内部网不同网络安全域的隔离及访问控制。（3）网络安全测试与审计（4）网络防病毒和网络备份： 网络反病毒技术包括预防病毒、检测病毒和消毒。4、操作系统安全5、应用软件安全6、数据安全：（1）数据库安全，进行存取权限的控制，遵循的原则：最小特权原则:用户只拥有完成分配任务所必需的最少的信息或处理能力，多余的权限一律不给予。“知限所需”。最小泄露原则：最大共享策略：推理控制策略：（2）终端安全：采用数据加密技术、数据完整性鉴别技术及防抵赖技术来保证。7、管理安全：（1）原则：一个人负责，多人监督、任期有限原则、职责分离原则。三、信息系统安全的分析与应对1、制定安全策略的原则（1）动态原则（2）综合治理原则（3）适当平衡原则（4）以人为本2、信息系统安全技术（重点）（1）杀毒软件（2）防火墙：“包过滤”技术（3）加密技术信息系统安全的重要技术手段是加密技术，加密包括单钥技术和双钥技术。双钥技术：有两个互补的密钥：公共密钥，私人密钥。（4）验证：身份验证（5）存取控制：（6）安全协议：（SSL）和（Shttp）【往年试题】2009年1月选择题14.在信息系统中的安全需求中，_是确保数据没有遭受以非授权方式所做的篡改或破坏。( C )A.数据机密B.数据安全C.数据完整D.物理安全填空题10.信息系统安全是一个系统的概念，它既包括信息系统_物理实体_的安全，也包括软件和数据的安全；既存在因为_技术原因_而引起的安全隐患，也有非技术原因引起的安全隐患。名词解释简答题2009年10月选择题填空题名词解释简答题2010年1月选择题15._要求得到授权的实体在有效的时间内能够访问和使用其所要求的数据。( C )A.数据机密B.数据完整C.数据可控D.数据可用填空题10.信息系统安全包括物理安全、网络安全、操作系统安全、应用软件安全、_数据安全_和_管理安全_。名词解释简答题2010年10月选择题15.在信息系统的安全需求中，_是指确保接受到的数据出自所要求的来源。( )A.数据可用B.数据可控C.数据完整D.数据鉴别填空题6.信息系统的安全管理是一项复杂的_系统工程_，它的实现不仅是纯粹的技术问题，而且还需要_法律_、制度、人的素质诸多因素的配合。10.信息系统安全中的加密技术包括：_单钥技术_和_双钥技术_。名词解释简答题2.简述设计安全策略时应该考虑哪些原则？动态原则综合治理原则适当平衡原则以人为本2011年1月选择题8.为了更好地进行存取权限控制，_即用户只拥有完成分配任务所必需的最少的信息或处理能力，多余的权限一律不给予。（ ）A.最小权限原则B.最小信息原则C.最小泄露原则D.最大共享原则14.在信息系统中，_安全需求，是指得到授权的实体可以控制其授权范围内的信息流向及行为方式。（ A ）A.数据可控B.数据鉴别C.身份鉴别D.数据机密填空题5.网络反病毒技术包括_预防病毒_、_检测病毒_和消毒等3种技术。10.信息系统安全主要考虑物理安全、_网络安全_、操作系统安全、应用软件安全、_数据安全_和管理安全。名词解释简答题2005年1月一、选择题3.信息系统安全性技术措施之一是( )。A.设备冗余技术 B.负荷分布技术C.数据保护与恢复 D.用户合法身份确认二、填空题三、名词解释四、简答题2005年10月一、选择题二、填空题三、名词解释32数据加密四、简答题37简述信息系统实体安全性的主要内容。2006年1月一、选择题二、填空题26.在各类系统安全措施中，_安全措施占的比例最多。27.在信息系统项目的网络图中，最长任务线所对应的路线称为_路线。三、名词解释四、简答题38.简述系统可靠性技术的主要类型。2006年10月一、选择题二、填空题三、名词解释四、简答题2007年1月一、选择题二、填空题三、名词解释四、简答题2007年10月一、选择题二、填空题25信息系统的非技术安全保护措施包括：行政安全措施、_安全措施和_安全措施。三、名词解释四、