信息系统项目管理师重点难点摘要补充2信息安全知识.docx
《信息系统项目管理师重点难点摘要补充2信息安全知识.docx》由会员分享,可在线阅读,更多相关《信息系统项目管理师重点难点摘要补充2信息安全知识.docx(8页珍藏版)》请在冰豆网上搜索。
信息系统项目管理师重点难点摘要补充2信息安全知识
什么是信息安全?
目前国际上公认的一个关于信息安全的定义是:
保护信息的保密性、完整性、可用性,另外,也包括其他属性,如:
真实性、可核查性、不可抵赖性和可靠性。
信息安全属性是什么?
1、保密性:
指信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。
2、完整性:
指保护资产的正确和完整的特性。
3、可用性:
指需要时,授权实体可以访问和使用的特性。
什么是访问控制?
应控制对信息的访问。
对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。
访问控制规则应考虑到信息分发和授权的策略。
应确保授权用户对信息系统的访问,并防止非授权访问。
什么是信息系统安全?
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。
信息系统安全是指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征。
一般包括保障计算机及其相关的和配套的设施、设备的安全,运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,以维护信息系统的安全运行。
信息系统安全属性是什么?
1、保密性:
指应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。
即防止信息泄露给非授权的个人或实体,信息只为授权用户使用的特性。
2、完整性:
指信息XX不能进行改变的特性。
即应用系统的信息在存储或传输过程中保持不被偶然或蓄意破坏地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。
3、可用性:
指应用系统信息可被授权实体访问并按需求使用的特性。
即信息服务在需要时,允许授权用户或实体使用的特性。
4、不可抵赖性:
也称为不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一性。
即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
应用系统常用的保密技术有哪些?
1、最小授权原则:
对信息的访问权限授权给需要从事业务的用户使用
2、防暴露:
防止有用的信息以各种途径暴露或传播出去
3、信息加密:
用加密算法对信息进行加密处理,非法用户无法对信息进行解密,从而无法读懂有效信息
4、物理保密:
利用各种物理方法保护信息不被泄露,如限制、隔离、掩蔽、控制等
保障应用系统完整性的方法有哪些?
1、协议:
通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段
2、纠错编码方法:
由此完成检错和纠错功能。
最简单和常用的纠错编码方法是奇偶校验
3、密码校验和方法:
是抗篡改和传输失败的重要手段
4、数字签名:
保障信息的真实性
5、公证:
请求系统管理或中介机构证明信息的真实性
信息系统安全技术体系:
1、物理安全
(1)环境安全:
主要指中心机房的安全保护
(2)设备安全:
设备的防盗和防毁、设备的安全可用
(3)记录介质安全
2、运行安全
3、数据安全
计算机机房的安全保护包括哪些方面?
主要包括:
1、机房场地选择
2、机房防火
3、机房空调
4、降温
5、机房防水与防潮
6、机房防静电
7、机房接地与防雷击
8、机房电磁防护等
计算机机房场地选择要求:
1、基本要求:
按一般建筑物的要求进行机房场地选择
2、防火要求:
避开易发生火灾和危险程度高的地区、如油库和其他易燃物附近的区域
3、防污染要求:
避开尘埃、有毒气体、腐蚀性气体和盐雾腐蚀等环境污染的区域
4、防潮及防雷要求:
避开低洼、潮湿及落雷区域
5、防震动和噪声要求:
避开强震动源和强噪声源区域
6、防强电场、磁场要求:
避开强电场和强磁场区域
7、防地震、水灾要求:
避开有地震、水灾危害的区域
8、位置要求:
避免在建筑物的高层以及用水设备的下层或隔壁
9、防公众干扰要求:
避免靠近公开区域,如运输通道、餐厅等
系统运行安全审查的目标
系统运行安全审查的目标是什么?
1、保证应用系统运行交接过程均有详尽的安排
2、精心计划以确保运行资源得到最有效的使用
3、对运行日程的变更进行授权
4、监控系统运行以确保其符合标准
5、监控环境和设施的安全,为设备的正常运行保持适当的条件
6、检查操作员日志以识别预定的和实际的活动之间的差异
7、监控系统性能资源情况,以实现计算机资源的最佳使用
8、预测设备或应用系统的容量,以保证当前作业流量的最大化并为未来需求制定战略计划
系统运行安全与保密层次[复制链接]查看:
685回复:
0
1#
字体大小:
tT
发表于2011-04-0119:
53|只看楼主
系统运行安全与保密的层次构成是怎样的?
应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全、数据域安全。
这4个层次的安全,按粒度从粗到细的排序是:
系统级安全、资源访问安全、功能性安全、数据域安全。
程序资源访问控制安全的粒度大小界于系统级安全和功能性安全两者之间,是最常见的应用系统安全问题,几乎所有的应用系统都会涉及这个安全问题。
机房防静电措施有哪些?
接地系统良好与否是衡量一个机房建设质量的关键性问题之一。
因此,接地系统应满足《电子计算机机房设计规则》(GB50174-93)的规定。
主机房地面及工作台面的静电泄漏电阻应符合现行国家标准《计算机机房用活动地板技术条件》的规定。
主机房内绝缘体的静电电位不应大于1KV。
通信线路安全防护分以下几种:
1、确保线路畅通:
采取必要措施,保证通信线路畅通
2、发现线路截获:
采取必要措施,发现线路截获事件并报警
3、及时发现线路截获:
采取必要措施,发现线路截获事件并报警
4、防止线路截获:
采取必要措施,防止线路截获事件发生
曾经考过这样的题:
系统运行安全与保密的层次构成是怎样的?
应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安全、数据域安全。
这4个层次的安全,按粒度从粗到细的排序是:
( )、资源访问安全、( )、数据域安全。
程序资源访问控制安全的粒度大小界于( )和( )两者之间,是最常见的应用系统安全问题,几乎所有的应用系统都会涉及这个安全问题。
这个(系统级安全、资源访问安全、功能性安全、数据域安全)就是按粒度从粗到细排序吧
应用系统常用的保密技术有哪些?
连连看吧:
A B
物理保密 用加密算法对信息进行加密处理,非法用户无法对信息进行解密,从而无法读懂有效信息
防暴露 对信息的访问权限授权给需要从事业务的用户使用
最小授权原则 防止有用的信息以各种途径暴露或传播出去
信息加密 利用各种物理方法保护信息不被泄露,如限制、隔离、掩蔽、控制等
机房防静电措施有哪些?
接地系统良好与否是衡量一个机房建设质量的关键性问题之一。
因此,接地系统应满足《电子计算机机房设计规则》(GB50174-93)的规定。
主机房地面及工作台面的静电泄漏电阻应符合现行国家标准《计算机机房用活动地板技术条件》的规定。
主机房内绝缘体的静电电位不应大于( )KV。
信息系统安全属性是什么?
来看一下吧:
A B
保密性 即指信息XX不能进行改变的特性
不可抵赖性 即信息服务在需要时,允许授权用户或实体使用的特性
可用性 即防止信息泄露给非授权的个人或实体,信息只为授权用户使用的特性
完整性 即所有参与者都不可能否认或抵赖曾经完成的操作和承诺
信息安全属性是什么?
你会连吗?
A B
可用性 指信息不被泄露给未授权的个人、实体和过程或不被其使用的特性
完整性 指需要时,授权实体可以访问和使用的特性
保密性 指保护资产的正确和完整的特性
找找看:
通信线路安全防护分以下几种:
A B
及时发现线路截获 采取必要措施,发现线路截获事件并报警
确保线路畅通 采取必要措施,防止线路截获事件发生
防止线路截获 采取必要措施,保证通信线路畅通
发现线路截获 采取必要措施,发现线路截获事件并报警
息系统的五个安全等级[复制链接]查看:
365回复:
5
1#
字体大小:
tT
发表于2011-05-1718:
38|只看楼主
在1999年3月份的报批稿《信息安全技术信息系统安全等级保护基本要求》里,信息系统划分为以下五个安全等级:
第一级为自主保护级,主要对象为一般的信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序和公共利益。
第二级为指导保护级,主要对象为一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
第三级为监督保护级,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其受到
升级会员 