信息资源安全管理.ppt

1 识记 应对银行突发的灾难最有效的办法是什么 201104 P154 第六章 信息资源安全管理 16 应对银行突发灾难的最有效办法 是迅速建立并不断完善金融机构 201104 A 灾难备份和恢复系统B 信息系统C 认证系统D 交易系统 2 识记 信息资源安全管理主要关注信息在开发利用过程中面临的那些问题 P154 可用性 保密性 机密性 认证性 真实性 一致性 完整性 12 保密性可以保证信息不被窃取 或者窃取者不能 201304A 了解信息的真实含义B 破坏信息C 使用信息D 传送信息 25 信息资源安全主要关注信息在开发利用过程中面临的 201307 p154 155A 可用性问题B 机密性问题C 真实性问题D 完整性问题E 可行性问题 三 名词解释 本大题共3小题 每小题3分 共9分 20130426 CIO27 信息资源安全管理28 信息分析 P154信息资源安全 针对普遍存在的信息资源安全问题 人们利用各种技术方法和组织手段 所进行的有计划的管理活动 26 CIO P65CIO即ChiefOfOfficer 首席信息官 是专门负责组织信息化建设 实施和运作的管理者 通常是组织决策层的成员 28 信息分析 P113指的是以社会用户的特定需求为依托 以定性和定量研究方法为手段 通过对信息的整理 鉴别 评价 分析 综合等系列化加工过程 形成新的 增值的信息产品 最终为不同层次的科学决策服务的一项具有科研性质的智能活动 3 识记 信息资源安全管理的主要任务是什么 P155 201101简答 201107案例 1 采取技术和管理措施 保证信息资源可用 即 使信息和信息系统在任何时候均被合法用户可用 2 采用数据加密技术 使信息在其处理过程 存储或传输 中 其内容不被非法者所获得 3 建立有效的责任机制 防止用户否认其行为 4 建立可审查的机制 实现责任可追究 追踪信息资源的when who how 系统日志 四 简答题 本大题共5小题 每小题5分 共25分 201104 29 试举例阐释信息社会的特点 30 信息系统的生命周期分为哪几个阶段 31 简述信息存储的基本原则 32 简述信息资源安全管理的主要任务 33 简述企业信息资源管理和政府信息资源管理在目标和手段上存在的不同点 201104 29 试举例阐释信息社会的特点 P20非物质性如信息咨询 代理服务 媒体制作 软件开发等 2 超时空性如电子商务 远程教育 远程医疗等 3 可扩展性如 即时通讯工具QQ MSN 微信 微博 201104 31 31 简述信息存储的基本原则 P107统一性遵循国家标准或国际标准 2 便利性方便用户检索 3 有序性强调存放的规律性 4 先进性强调存储的载体 201104 30 信息系统的生命周期分为哪几个阶段 P71系统规划 2 系统分析 3 系统设计 4 系统实施 5 系统运行与维护 五 综合分析题 本大题共3小题 每小题12分 共36分 20110736 案例 道德败坏的 冒名顶替 胡泳 范海燕在他们的 网络之王 一书中 记载我国首起电子邮件侵权案 1996年7月9日 北京市海淀区法院开庭审理北大心理系93级研究生X状告同学Z的事件 1996年4月9日 原告X收到美国密歇根大学寄来的同意提供奖学金的电子邮件 她很高兴 当时这封邮件被存在北大计算服务中心服务器同学Z的邮箱中 可是 X等了很久都没有接到密歇根大学的正式录取通知书 于是X托在美国的朋友询问 得到的答复是 4月12日密歇根大学收到以X为名的电子邮件 称X已接受其他学校录取 故不能去该校学习 所以 密歇根大学已把奖学金移给他人 X以从北大计算服务中心服务器取得的电子邮件记录与密歇根大学得到的电子邮件吻合为依据 诉讼同学Z冒名顶替发假邮件 致使自己失去一次出国留学的机会 并蒙受损失 要求Z赔偿和道歉 虽然法庭上Z辩称电子邮件非她所为 但休庭时承认自己出于嫉妒情绪而做错事 最终 法庭调节双方达成协议 Z向X书面道歉并赔偿12000元的经济 精神损失费 而结果是 X最终重新得到了密歇根大学资助 赴美成行 Z尽管得到了丹佛大学奖学金 但因为此起道德败坏事件 推荐人取消推荐而梦断北京 要求 分析如何应用密码学技术和管理方法解决上述案例中的身份验证和电子证据问题 4 识记 信息系统安全层次分为哪些 P156 201107单 1 法规道德纪律 2 管理制度措施 3 物理实体安全 4 硬件系统安全 5 通信网络安全 6 软件系统安全 7 数据系统安全 行为规范 实体安全 技术安全 15 信息系统安全的行为规范管理包括两个层面 国家和 201107 A 企业B 个人C 社会组织D 集体 16 类似于网络系统架构的ISO的OSI模型 信息系统安全问题可归纳在一个 201107 A 七层模型中B 五层模型中C 三层模型中D 二层模型中 4 识记 制定安全策略的步骤有哪些 P157 201104多 25 制定安全策略的步骤包括 A 理解组织的业务特征B 建立安全管理组织机制C 开发策略实施手段D 确定安全策略的范围E 安全策略评估 1 理解组织业务特征 2 建立安全管理组织体制 3 确定信息资源安全的整体目标 4 确定安全策略的范围 5 安全策略评估 6 安全策略实施 5 识记 实体安全管理的主要内容有哪些 P157 201107简 实体安全包含有物理实体安全和硬件系统安全管理两部分内容 具体包括 1 场地环境安全 场地 空气调节系统 防火管理 2 硬件安全 硬件设备的档案管理 防电磁干扰 防电磁泄露 电源安全 3 介质安全 磁盘 磁带 光盘 四 简答题 本大题共5小题 每小题5分 共25分 201107 29 简述信息 知识 智能三者的关系 30 什么是信息系统维护 信息系统维护包括哪几个方面内容 3l 简述普赖斯曲线和普赖斯指数的含义 32 什么是实体安全管理 实体安全管理包括哪几个方面的内容 33 系统分析员的主要任务有哪些 考试用书 201107 29 简述信息 知识 智能三者的关系 P28信息经过加工提炼成知识 2 知识被目的激活成为智能 3 智能是信息最高层次 201107 30 什么是信息系统维护 信息系统维护包括哪几个方面内容 P83信息系统维护就是为了使信息系统处于合用状态而采取的一系列措施 目的是纠正错误和改进功能 保证信息系统正常工作 其主要内容 1 程序的维护 2 数据的维护 3 代码的维护 4 设备的维护 201107 31 简述普赖斯曲线和普赖斯指数的含义 P115以科学文献累积量为纵轴 以历史年代为横轴 把各个年代的科学文献量在坐标图上逐点描绘出来 然后以一条光滑曲线连接各点 就十分近似地表征了科学文献量随时间增长的规律 赖普斯提出一个衡量文献老化的数量指标 莱普斯指数 被引文献数量 小于或等于5年 被引文献总量x100 201107 33 系统分析员的主要任务有哪些 P63系统分析员的主要任务 1 通过现行系统的运行环境 作业流程 用户需求情况的调查分析 2 确定目标系统的功能结构 性能指标 资源配置和编码体系 逻辑模型 以便为系统设计提供科学依据 6 识记 为避免机房发生火灾造成大的损失 应该采取防火安全策略有哪些 P158 1 配备烟火报警装置 2 制定防火管理应急预案 3 设计防火分离区 如防火门 隔离带等 4 配备灭火器材 五 综合分析题 本大题共3小题 每小题12分 共36分 20130434 材料 某航空集团公司拥有一个地域分散 多厂商 多平台 多系统的复杂IT环境 IT系统运行复杂 业务系统故障多 技术人员的被动工作方式难以适应企业IT服务需要 要求 试运用IT服务管理相关知识为该公司出谋划策 使其IT服务向更高层次的主动服务发展 35 结合一个组织的具体情况 说明组织信息化规划的三个层次 36 实体安全主要涉及信息系统的硬件及其运行环境 其安全与否对于网络 软件 数据等安全有着重要影响 试结合机房应用 阐述实体安全应该采取的各种防护策略 7 识记 网络资源和网络安全管理涉及哪些网络资源 P161 201107 1 主机系统 2 终端系统 3 网络互联设备 17 企业网络包括 201107A 内网和公网B 内网 外网和公网C 局域网和广域网D 无线网和有线网 8 识记 主要的网络安全措施和技术有哪些 p161 201107 201204 1 网络分段与VLAN 2 防火墙技术 3 VPN VirtualPrivateNetwork 4 入侵检测 5 病毒防治 25 主要的网络安全措施和技术手段包括 201107 A 防火墙B 入侵检测系统C 电源安全D 反病毒软件E 数据库备份 16 网络分段通常被认为是控制广播风暴的一种基本手段 其指导思想就是将非法用户与网络资源 B 201204A 相互认证B 相互隔离C 相互控制D 相互影响 18 部署防火墙的系统必须确保 C 201204A 系统不能与外部开通网络连接B 部署VPNC 通过防火墙与系统外部的网络连接D 网络系统可靠 16 VLAN技术是一种常用的 201207 p161A 物理分段方法B 局域网方法C 逻辑分段方法D 病毒检测方法 三 名词解释 本大题共3小题 每小题3分 共9分 20110726 CIO27 信息系统审计28 入侵检测 P162 入侵检测是一种主动安全保护技术 在不影响网络性能的前提下 对网络 特别是内部网络 进行监测 从计算机网络的若干关键点收集信息 通过分析这些信息 发现异常并判断识别是否为恶意攻击 CIO P65CIO即ChiefOfOfficer 首席信息官 是专门负责组织信息化建设 实施和运作的管理者 通常是组织决策层的成员 信息系统审计 P93指的是一个通过收集和评价审计证据 对信息系统是否能够保护资产的安全 维持数据的完整 使被审计单位的目标得以有效地实现 使组织的资源得到高效使用等方面做出判断的过程 9 领会 什么是VPN p162 VPN即VirtualPrivateNwtwork虚拟专用网是被定义为通过公共网络 如Internet 建立的专用网络 它通过所谓的 隧道 技术 开辟一条穿过混乱的公共网络的安全 稳定的隧道 实现可信任的网络连接 什么是VPN的隧道技术 举例写出三种重要的隧道协议 隧道协议 乘客协议 封装协议 传输协议 1 乘客协议 用户要传输的数据 被封装的数据 可以是IP PPP SLIP等 信 2 封装协议 用于建立 保持和拆卸隧道 如L2F PPTP L2TP GRE等 信封 3 传输协议 乘客协议被封装后应用传输协议 送信方式 10 领会 VPN的优点有哪些 p162 1 经济 2 结构灵活 管理方便 3 安全 这是核心通过VPN通信的两台主机必须通过一个安全的通道 tunnel 这个tunnel是逻辑上的 并不真正存在 因此通过数据的加密和认证使得数据包即使被截获也不容易破译 如何实现这一点 以前的VPN很多的采用SSL等方法对数据进行加密 但是缺点是配置安全策略不够灵活 另外 需要在高层协议上开发大量的代码 唯一的优点就是能够对DOS 服务拒绝 攻击有较好的防御 11 领会 什么是计算机病毒 p163 指的是编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或程序代码 病毒式营销ViralMarketing病毒营销是由欧莱礼媒体公司 O ReillyMedia 总裁兼CEO提姆 奥莱理 TimO Reilly 提出 他是美国IT业界公认的传奇式人物 是开放源码概念的缔造者 所谓 病毒式网络营销 是通过用户的口碑宣传网络 信息像病毒一样传播和扩散 利用快速复制的方式传向数以千计 数以百万计的受众 也就是说 通过提供有价值的产品或服务 让大家告诉大家 通过别人为你宣传 实现 营销杠杆 的作用 核心 是在于找到营销的引爆点 如何找到既迎合目标用户口味又能正面宣传企业的话题是关键 而营销技巧的核心在于如何打动消费者 让企业的产品或品牌深入到消费者心坎里去 让消费者认识品牌 了解品牌 信任品牌到最后的依赖品牌 典型例子 在2012年春天 在QQ群 微博 论坛上广泛传播着这样一条信息 张艺谋拍的 金陵十三钗 日本拒绝放映 直接封杀 我们就不可以吗 小日本拍的 xx 3D将于2012年5月12日在中国大陆上映 而5月12日又是国难日 不管怎样 这一天都是悲伤的日子 作为中国人 我们无法忘记历史留给我们的伤痛 敢不敢让 xx 5月12日票房为零 扩散至全国 12 识记 计算机病毒的特点有哪些 P163 1 隐蔽性 2 传染性 3 潜伏性 4 破坏性 13 领会 软件应用安全问题的分类有哪些 P164 1 系统软件安全 2 应用软件安全 3 恶意程序及其防治 五 综合分析题 本大题共3小题 每小题12分 共36分 201307 P16336 信息时代 软件是人们工作 学习乃至竞争的重要工具 商品开发成本越来越高 软件已成为组织或个人重要的信息资产 然而 由于信息具有可共享性的特点 使其成为被盗窃 复制而非法使用的重点对象 要求 从管理和技术两个方面说明防止非法使用软件的措施 14 识记 TCSEC TrustComputerSystemEvaluationCriteria 可信计算机系统评审标准有哪些基本要求 P164 1 安全策略 2 标记 3 识别 4 责任 5 保证 6 连续保护 15 识记 计算机系统安全保护能力分为哪五个等级 P165 201207简答 第一级 用户自主保护级第二级 系统审计保护级第三级 安全标记保护级第四级 机构化保护级第五级 访问验证保护级 四 简答题 本大题共5小题 每小题5分 共25分 20120729 CIO应该具备哪些方面的管理知识 30 简述信息系统评价的内涵及其内容 31 什么是多媒体信息检索的技术 32 什么是标准化术语 术语标准化应遵循哪些原则 33 简述 计算机信息系统安全保护等级划分准则 GB17859 1999 规定的计算机系统安全保护能力的五个等级 11 Windows2000的安全级别可以达到 201304A C2B C3C BlD B2 16 识记 安全操作系统设计应该遵循的原则有哪些 P165 201104 1 最小特权 2 经济型 3 开放性 4 以许可为基础 5 公用机构最少 6 有效性 7 完全协调 8 方便性 何为 最小特权 所谓最小特权 LeastPrivilege 指的是 在完成某种操作时所赋予网络中每个主体 用户或进程 必不可少的特权 8 为保障安全 信息系统中的每个用户应尽可能地 201307 p165A 配置最大特权B 配置最小特权C 没有特权D 拥有特权 三 名词解释 本大题共3小题 每小题3分 共9分 20110426 SWOT矩阵法27 标准化管理过程28 最小特权原则 最小特权原则 是指 应限定网络中每个主体所必须的最小特权 确保可能的事故 错误 网络部件的篡改等原因造成的损失最小 26SWOT矩阵法 P47是由波士顿咨询公司提出的 也称为波士顿矩阵 是全面分析组织外部环境和内部资源 寻找满意战略组合的分析工具 外部环境变化会给组织带来机会O和威胁T内部环境具有的优势S和劣势W 27标准化管理过程 P139标准化的信息资源管理过程 或称工作过程 可使信息资源管理工作的全过程按规范化的程序来进行 它是信息资源标准化的重要组成部分 包括学习和贯彻标准 制定标准以及制定工作流程 管理制度等 17 领会 操作系统的职能有哪些 P166 1 文件管理与保护 2 进程管理与控制 3 内存管理与控制 4 输入 输出设备管理与控制 5 审计日志管理 操作系统的安全分为两类 1 硬件系统安全机制 2 软件系统安全机制 18 识别 硬件系统的安全机制有哪些 P166 1 内存保护 2 进程控制 3 输入 输出控制 19 识别 软件系统的安全机制有哪些 P166 1 身份识别与鉴别 2 访问控制 3 最小特权管理 4 安全审计 20 领会 什么是恶意程序 P169 201104 201204 指的是未经授权在用户不知道的情况下 进入用户计算机系统中 影响系统正常工作 甚至危害或破坏系统的计算机程序 三 名词解释 本大题共3小题 每小题3分 共9分 20120726 国家信息化体系27 文献计量学28 恶意程序 17 恶意程序的防治工作包括防护和治理两个方面 应该 B 201204A 充分发挥用户主观能动性B 结合技术 加强管理C 开发防病毒软件D 严惩恶意用户开发者 21 识别 常见的恶意程序有哪些 p169 1 陷门 又称后门 2 逻辑炸弹 3 特洛伊木马 4 病毒 5 蠕虫 T1 是VPN最核心的功能 A 经济B 结构灵活C 安全D 管理方便T2 信息资源安全问题是指信息的 受到威胁A 可用性和权属B 一致性和保密性C 可用性和保密性D 认证性和一致性T3 企业的核心竞争力不包括 A 战略B 资源C 客户D 技术T4 信息资源管理标准化的最基本的方法是 A 简化B 统一C 组合D 综合 1 系统资源不好用乃至不可用 2 信息机密性散失 3 信息认证性被破坏 4 信息一致性散失 22 识记 恶意程序的破坏性的体现有哪些 p170 影响信息系统安全的主要因素分为两大类 自然因素和人为因素 自然因素指因自然力造成的地震 水灾 火灾 风暴 雷击等 自然因素又分为自然灾害和环境干扰 人为因素又分为无意损坏和有意破坏两种 23 识记 试述影响信息系统安全的主要因素 网络系统的安全功能是达到安全目标所需具备的功能和规定 这些功能和规定包括 对象认证 访问控制 数据保密性 数据可审查性 不可抵赖性 24 识记 试论述网络系统的安全功能 软件技术保护的一般方法包括 在主机内或扩充槽里装入特殊的硬件装置 采用特殊标记的磁盘 软件指纹 技术 限制技术 软件加密 反动态跟踪技术 25 识记 试论述软件技术保护的一般方法 主要解决 1 数据 信息 的可用性 2 数据 信息 的机密性 3 数据 信息 的认证性 4 数据 信息 的一致性 26 识记 数据安全管理的主要任务有哪些 P170 201307三 名词解释 本大题共3小题 每小题3分 共9分 26 信息化管理委员会p6527 数据安全管理p17028 数据挖掘p116 27 识记 信息库安全的基本要求有哪些 P170 1 数据库的可用性及易用性 用户界面友好 合法用户可以便捷地访问数据 2 数据库的保密性 用户身份识别 信息保密 访问控制 3 数据库的完整性 物理数据库的完整性 逻辑数据库完整性和数据库属性数据的完整性 4 数据库的可维护性 可审计 备份策略 下面不属于数据库管理系统中主要的安全措施的是 A 用户及其权限管理B 访问控制C 数据加密D 入侵检测 28 识记 数据库模式修改权限包含哪些内容 P171 1 索引权限 允许用户创建 删除索引 2 资源权限 允许用户创建新的关系 3 修改权限 允许用户在关系中增加或删除属性 4 撤销权限 允许用户撤销关系 1 读权限 允许用户读数据 2 插入权限 允许用户插入数据 3 修改权限 允许用户修改数据 但不能删除 4 删除权限 允许用户删除数据 29 识记 数据操作权限有哪些 P171 GrantOnTo 30 识记 数据库管理员直接使用什么SQL语句进行授权 P171 201304四 简答题 本大题共5小题 每小题5分 共25分 29 什么是信息系统的生命周期 其分为哪几个阶段 30 简述普赖斯指数的定义并给出其计算公式 31 按信息效用不同 信息可分为哪四个层次 试分别举例说明 32 数据库管理员可以利用什么语句进行授权 33 简述企业信息资源管理的目的和工作内容 数据加密的本质就是一种数据变换 将数据变为不可识别 不可读 的内容 一般人不可利用 只有掌握变换规律的才能还原利用 31 识记 数据加密的本质是什么 P171 17 密码学家W Diffie与M Hellman在1976年创新性地提出了公钥体制的概念 以期解决 201207 p175A 私钥解密问题B 数字签名问题C 公钥环问题D 密钥管理问题 24 标准的密码学模型包括 201207 p174A 密钥B 加密算法C 解密算法D 密钥分发E 签名 32 识