项第1末4章 信息是系统的安全管理.doc

【重要知识点】 信息系统安全的含义 1、影响信息系统安全的因素：数据输入、输出、数据的存取与备份、源程序、应用程序、数据库、操作系统、硬件、通信、电磁辐射、环境保障系统、组织内部人的因素、软件的非法复制、“黑客”攻击、病毒、经济间谍。 2、信息系统安全的定义 信息系统安全管理是一项复杂的系统工程，它的实现不仅是纯粹的技术问题，而且需要法律、制度、人的素质诸因素的配合。 信息系统安全管理的层次模型：法律法规道德纪律、管理细则和保护措施、物理实体安全环境、硬件系统安全措施、通信网络安全措施、软件系统安全措施、数据信息安全。 3、信息系统的安全需求：（重点） （1）物理安全：为防范蓄意的和意外的威胁，而对资源提供物理保障措施。 （2）数据机密：使信息不被泄露给非授权的实体。 （3）数据完整：确保数数据没有遭受非授权方式所做的篡改或破坏。 （4）数据可控：得到授权的实体可以控制其授权范围内的信息流向及行为方式。 （5）数据可用：得到授权的实体在有效的时间内能够访问和使用其所要求的数据。 （6）身份鉴别：确保一个实体此时没有试图冒充别的实体，或没有试图将先前的连接作非授权的重演。 （7）数据鉴别：确保接受到的数据出自所要求的来源。 （8）防抵赖：避免在一次通信中涉及的那些实体之一不承认参加了该通信的 全部或一部分。 （9）审计与监测：在一定范围内，能够对已经或者可能出现的网络安全问题提供调查的依据和手段。 二、信息系统安全的内容 1、信息系统的安全包括物理安全、网络安全、操作系统安全、应用软件安全、数据安全和管理安全。 2、物理安全：环境安全、设备安全、媒体安全 3、网络安全： （1）内外网隔离及访问控制系统：防火墙、物理隔离或逻辑隔离。 （2）内部网不同网络安全域的隔离及访问控制。 （3）网络安全测试与审计 （4）网络防病毒和网络备份： 网络反病毒技术包括预防病毒、检测病毒和消毒。 4、操作系统安全 5、应用软件安全 6、数据安全： （1）数据库安全，进行存取权限的控制，遵循的原则： 最小特权原则:用户只拥有完成分配任务所必需的最少的信息或处理能力，多余的权限一律不给予。“知限所需”。 最小泄露原则： 最大共享策略： 推理控制策略： （2）终端安全：采用数据加密技术、数据完整性鉴别技术及防抵赖技术来保证。 7、管理安全： （1）原则：一个人负责，多人监督、任期有限原则、职责分离原则。 三、信息系统安全的分析与应对 1、制定安全策略的原则 （1）动态原则 （2）综合治理原则 （3）适当平衡原则 （4）以人为本 2、信息系统安全技术（重点） （1）杀毒软件 （2）防火墙：“包过滤”技术 （3）加密技术 信息系统安全的重要技术手段是加密技术，加密包括单钥技术和双钥技术。 双钥技术：有两个互补的密钥：公共密钥，私人密钥。 （4）验证：身份验证 （5）存取控制： （6）安全协议：（SSL）和（Shttp） 【往年试题】 2009年1月 选择题 14.在信息系统中的安全需求中，_______是确保数据没有遭受以非授权方式所做的篡改或破坏。( C ) A.数据机密 B.数据安全 C.数据完整 D.物理安全 填空题 10.信息系统安全是一个系统的概念，它既包括信息系统___物理实体____的安全，也包括软件和数据的安全；既存在因为__技术原因_____而引起的安全隐患，也有非技术原因引起的安全隐患。 名词解释 简答题 2009年10月 选择题 填空题 名词解释 简答题 2010年1月 选择题 15.______要求得到授权的实体在有效的时间内能够访问和使用其所要求的数据。( C ) A.数据机密 B.数据完整 C.数据可控 D.数据可用 填空题 10.信息系统安全包括物理安全、网络安全、操作系统安全、应用软件安全、_数据安全________和___管理安全______。 名词解释 简答题 2010年10月 选择题 15.在信息系统的安全需求中，____是指确保接受到的数据出自所要求的来源。( Ｄ ) A.数据可用 B.数据可控 C.数据完整 D.数据鉴别 填空题 6.信息系统的安全管理是一项复杂的_系统工程__________，它的实现不仅是纯粹的技术问题，而且还需要___法律________、制度、人的素质诸多因素的配合。 10.信息系统安全中的加密技术包括：__单钥技术_________和___双钥技术________。 名词解释 简答题 2.简述设计安全策略时应该考虑哪些原则？ 动态原则 综合治理原则 适当平衡原则 以人为本 2011年1月 选择题 8.为了更好地进行存取权限控制，________即用户只拥有完成分配任务所必需的最少的信息或处理能