21【第17章】信息系统安全管理【柯基资源网www.fjha.net】.pdf

系统集成项目管理工程师-21【第17章】信息系统安全管理基础精讲班讲师:朱建军（江山老师）2022年上半年*全国计算机技术与软件专业技术资格(水平)考试历年考点大数据分析序序 安全属性安全属性定义定义保密技术保密技术1保密性保密性信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性最小授权原则、防暴露、信息加密、物理保密、网络安全协议、身份认证服务、数据加密2完整性完整性信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性协议、纠错编码方法、密码校验和方法、数字签名、公证、CA认证、防火墙系统、传输通信安全、入侵检测系统3可用性可用性应用系统信息可被授权实体访问并按需求使用的特性。即信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性磁盘和系统的容错、可接受的登录及进程性能、可靠的功能性的安全进程和机制、数据冗余及备份4不可抵赖不可抵赖性性也称作不可否认性，在应用系统的信息交互过程中，确信参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺保密性、完整性和可用性保密性、完整性和可用性是信息安全最为关注的三个是信息安全最为关注的三个属性属性，这这三个特性称为信息安全三元组三个特性称为信息安全三元组1.信息系统信息系统安全属性安全属性2.物理安全管理物理安全管理3.物理安全管理物理安全管理3.物理安全管理物理安全管理4.人员安全管理人员安全管理4.人员安全管理人员安全管理关键岗位列表关键岗位列表:1.安全管理员安全管理员2.系统管理员系统管理员3.数据库管理员数据库管理员4.网络管理员网络管理员5.重要业务开发人员重要业务开发人员6.系统维护人员系统维护人员7.重要业务应用操作人员重要业务应用操作人员一、谁不能兼谁一、谁不能兼谁:1.业务应用操作业务应用操作人员，谁人员，谁都不能兼都不能兼(理解助记:防范做业务操作，后台自己去改权限审批，风险很大)2.业务开发人员和系统维护业务开发人员和系统维护人员，不能人员，不能兼安全管理员、系统管理员、兼安全管理员、系统管理员、数据库数据库管理员，网络管理管理员，网络管理员员(理解助记:开发和维护人员不能搞管理)3.系统管理员、数据库管理员、网络管理员不能互兼系统管理员、数据库管理员、网络管理员不能互兼(理解助记:系数网管理员之间不能互兼，互兼权力太大了，能决定系统生死)二、谁可以兼谁二、谁可以兼谁:1.业务开发人员和系统维护人员可以互兼业务开发人员和系统维护人员可以互兼(理解助记:开发和维护很可能本来就是同一个人)2.安全管理员可以兼任系统、数据库或网络管理员安全管理员可以兼任系统、数据库或网络管理员(理解助记:安全管理员和其他管理员之间不冲突)以上允许一人多岗;关键岗位必要时应定期轮岗5.应用系统安全管理应用系统安全管理5.应用系统安全管理应用系统安全管理6.信息安全等级保护信息安全等级保护【例1-17上】数字签名技术属于信息系统安全管理中保证信息（）的技术。A.保密性B.可用性C.完整性D.可靠性【例2-17下】应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。针对应用系统安全管理，首先要考虑（）。A.系统级安全B.资源访问安全C.功能性安全D.数据域安全【例3-18上】只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改，这体现了信息安全的（）。A.机密性B.可用性C.完整性D.可控性【例4-18上】关于信息系统岗位人员的安全管理的描述，不正确的是（）。A.对安全管理员、系统管理员、重要业务操作人员等关键岗位进行统一管理B.紧急情况下，关键岗位人员可独自处理重要事务或操作C.人员离岗后，应立即中止其所有访问权限D.业务开发人员和系统维护人员不能兼任安全管理员练一练【例5-18上】应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、数据域安全等。以下描述不正确的是（）。A.按粒度从大到小排序为系统级安全、资源访问安全、数据域安全B.系统级安全是应用系统的第一道防线C.功能性安全会对程序流程产生影响D.数据域安全可以细分为文行级数据域安全和字段级数据域安全【例6-18下】在信息系统安全技术体系中，安全审计属于（）A.物理安全B.网络安全C.数据安全D.运行安全【例7-18下】根据信息安全等级保护管理办法规定，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则该信息系统的安全保护等级为（）A.一级B.二级C.三级D.四级【例8-19上】应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全，其中粒度最小的层次是（）。A.系统级安全B.资源访问安全C.功能性安全D.数据域安全练一练【例9-19上】关于信息系统岗位人员安全管理的描述，不正确的是（）。A.业务应用操作人员不能由系统管理员B.业务开发人员不能兼任系统管理员C.系统管理员可以兼任数据库管理员D.关键问题人员处理重要事务或操作时，应保持二人同时在场【例10-19下】（）技术不能保障应用系统的完整性。A.奇偶校验法B.数字签名C.物理加密D.密码校验【例11-19下】关于信息系统岗位人员管理的要求，不正确的是（）。A.安全管理员和系统管理员不能由一人兼任B.业务开发人员不能兼任安全管理员、系统管理员C.系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作D.关键岗位在处理重要事物或操作时，应保证二人同时在场【例12-20下】保障信息系统完整性的方法不包括（）。A.物理加密B.数字签名C.奇偶校验法D.安全协议练一练【例13-20下】关于信息系统岗位人员管理的要求，不正确的是（）。A.业务开发人员和系统维护人员不能兼任安全管理、系统管理员B.对安全管理员、系统管理员等重要岗位进行统一管理，不可一人多岗C.系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作D.关键岗位在处理重要事务或操作时，应保证二人同时在场【例14-21上】系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作，这遵循了人员安全管理方面的（）。A.兼职和轮岗要求B.权限分散要求C.多人共管要求D.全面控制要求【例15-21下】在信息安全管理中，数字签名主要用于确保数据的（）。A.完整性B.保密性C.可用性D.可靠性【例16-21下】（）不属于机房的静电措施。A.选择静电产生小的家具材料B.控制机房温、湿度C.采用高阻值材料制作工作鞋D.使用静电消除剂练一练参考答案12345678910CACBDDCDCC11121314151617181920AABBAC加入正版课程获得VIP全套增值服务江山老师答疑微信扫一扫加关注抢先学早拿证问题咨询联系江山老师 QQ/微信:51815498 /915446173官方公众号备份公众号微信扫码做题抖音关注我知乎关注我头条关注我喜马拉雅关注我