信息资源管理第五章复习思考题.docVIP

第五章 信息系统的安全管理 复习思考题 1.信息系统哪些环节可能存在不安全因素？ 数据输入部分，数据处理部分，通信线路，软件，输出部分. 信息系统所面临的威胁和攻击有哪些？ 对实体的威胁和攻击 对信息的威胁和攻击 计算机犯罪 计算机病毒包括了对信息系统实体和信息两方面的威胁和攻击。 影响信息系统安全的主要因素包括哪几个方面？ 自然因素 自然灾害，如火灾，水灾，雷电，地震等 环境干扰 人为因素 无意损坏 有意破坏 什么是信息系统安全？可用哪几个方面来描述信息系统安全？ 信息系统安全是指保障计算机及其相关设备的和配套的设备、设施的安全以及运行的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。体现在： 保密性，可控制性，可审查性，抗攻击性。 信息系统采取的安全策略主要包括哪几个方面？ 包含两方面含义：一是防止实体和信息遭受破坏而使系统不能正常工作，二是防止信息被泄露和窃取。 法规保护，行政管理，人员教育，技术措施。 信息系统的安全技术包括哪几个主要方面？ 实体安全，数据安全，软件安全，网络安全，安全管理，病毒防治 为什么说保证数据库的安全非常重要？ 原因有：a,数据库中存放着大量的数据由许多用户共享，而各个用户又有不同的职责和权限。若对数据库的用户不加以限制，使他们得到的不只是一些他们必需的、与权限相适应的数据，而是整个数据库的数据，则对非授权的数据就会形成威胁。 B.在数据库中，由于数据的冗余度小，数据库一旦被更改，原来存储的数值就被破坏。 C.数据库安全涉及到应用软件的安全和数据的安全。 威胁数据库安全的因素有哪些？ 系统内部：数据库、计算机系统、通信网络 人为的：授权者、操作者、系统程序员，应用程序员，终端用户 外部的：自然灾害、有意的袭击 数据库系统的主要安全特点表现在哪几个方面？ A.数据库中的信息众多，作为需要保护的客体也多，其中的各种信息，如文件，记录，字段等，其安全管理要求都不尽相同。 B.数据库中数据的生命周期要长一些，需要长期保护的数据的安全要求自然就更高。 C.在地理上分布较广的开放型网络系统，用户多且分散，敌友混杂。集中的数据信息集的共享访问，使得原本就众多的威胁，变得更加复杂，已经形成对数据库安全的严重挑战。 D.数据库系统中受保护的客体可能具有复杂的逻辑结构，若干复杂的逻辑结构可能映射到同一物理数据客体之上。 E.不同的结构层，如内模式、概念模式和外模式要求有不同的安全保护。 F.数据库安全要涉及数据的语义、语法及数据的物理表示.要防止因模糊，歧义而导致泄露的危害。而数据语法上的疏忽，可能导致数据库安全上的漏洞。 G.数据库中有些数据是敏感数据，需要防范由非敏感数据推导出敏感数据的推理攻击。 数据库的安全技术有哪些？ 口令保护，数据加密，存取控制 数据加密技术中，单密钥体制和双密钥体制的基本原理是什么？ 单密钥体制又叫常规密钥密码体制，其加密密钥ke和解密密钥Kd是相同的。系统的保密性主要取决于密钥的安全性，必须通过安全可靠的途径将密钥送至收端。 双密钥体制又叫公开密钥密码体制，其加密和解密使用不同的密钥，采用双密钥体制的每个用户都有一对选定的密钥，其中加密密钥（即公开密钥）PK是公开信息，并可以像电话号码一样进行注册公布，而解密密钥（即秘密密钥）SK是需要保密的，加密算法E和解密算法D彼此完全不同，根据已选定的E和D，即使已知E的完整描述，也不可能推导出D. 双密钥算法需要几个条件：用加密算法E，加密密钥PK对明文X加密后，再由解密算法D、解密密钥SK解密，即可恢复出明文，可写成DSK（EPK（X））=x. 从公开密钥PK实际上是不能推导出秘密密钥SK的。 用已选定的明文进行分析，不能破译加密算法E。 为什么说软件安全是保证信息系统安全的一个重要内容？ 软件是计算机信息处理系统的核心，也是使用计算机的工具，是重要的系统资源，也是一种特殊的产品。在信息系统安全中，软件具有二重性：软件既是安全保护的对象，是安全控制的措施，同时又是危害安全的途径和手段。 威胁软件安全的主要形式有哪些？ 以软件为手段，获取未经授权或授权以外的信息 以软件为手段，阻碍信息系统的正常运行和其他用户的正常使用 以软件为对象，破坏软件完成指定功能 以软件为对象，复制软件。 在操作系统中采用的安全控制方法主要是什么？ 隔离控制：物理隔离，时间隔离，加密隔离，逻辑隔离 访问控制：自主访问控制，强制访问控制，有限型访问控制，共享/独占型访问控制 在应用软件的开放过程中应遵循什么原则？ 在软件开放过程（任务设计，编程，调试）中控制程序中的不安全因素，使软件减少有意的或无意的差错，容易检查，容易测试 在软件开放初始，结合安全设计，使得安全设计作为系统设计的一部分，避免在系统开