信息系统项目管理师(2022年)—— 重点内容:信息系统安全管理(20)

关于信息安全的描述,不正确的是:( B)。

A 数据安全属性包括秘密性、完整性、可用性

B 信息的完整性是指信息随时可以正常使用

C 内容安全包括信息内容保密、信息隐私保护等

D 数据安全是静态安全、行为安全是动态安全

解析:信息安全概念:

秘密性(Confidentiality):信息不被未授权者知晓的属性

完整性(Integrity):信息是正确的、真实的、未被篡改的完整无缺的属性。

可用性(Availability)信息可以随时正常使用的属性

信息必须依赖其存储、传输、处理及应用的载体(媒介)而存在,因此针对信息系统,安全可以划分为以下四个层次:设备安全、数据安全、内容安全、行为安全。其中数据安全即传统的信息安全

1)设备安全

    (a)设备的稳定性:设备在一定时间内不出故障的概率。

    (b)设备的可靠性:设备能在一定时间内正常执行任务的概率。

    (c)设备的可用性:设备随时可以正常使用的概率。

2)数据安全

其安全属性包括秘密性、完整性和可用性,如数据泄露、数据篡改等。

3)内容安全

内容安全是信息安全在政治、法律、道德层次上的要求。

    (a)信息内容在政治上是健康的。

    (b)信息内容符合国家的法律法规

    (c)信息内容符合中华民族优良的道德规范。

除此之外,广义的内容安全还包括信息内容保密、知识产权保护、信息隐藏和隐私保护等诸多方面。

4)行为安全

数据安全本质上是一种静态的安全,而行为安全是一种动态安全

    (a)行为的秘密性:行为的过程和结果不能危害数据的秘密性。必要时,行为的过程和结果也应是秘密的。

    (b)行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。

    (c)行为的可控性:当行为的过程出现偏离预期时,能够发现、控制或纠正。行为安全强调的是过程安全,体现在组成信息系统的硬件设备、软件设备和应用系统协调工作的程序(执行序列)符合系统设计的预期,这样才能保证信息系统的“安全可控”。

在某科研企业信息办工作的小王将存储在内网上的涉密数据,偷偷拷贝到个人笔记本电脑上,这属于(数据安全 )事件。解析:很多情况下,即使信息系统设备没有受到损坏,但其数据安全也可能已经受到危害,如数据泄露、数据篡改

---

按照系统安全策略“七定”要求,系统安全策略首先要(C )

A 定员

B 定制度

C 定方案

D 定岗

信息系统安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。按照系统安全策略“七定”要求,系统安全策略首先要解决定方案,其次就是定岗。

PS:案岗位员标度流

---

( A)方式针对每个用户指明能够访问的资源,对于不在指定资源列表的对象不允许访问。

A 自主访问控制

B 基于策略的访问控制

自主访问控制:该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问

---

测试人员 用工具获取系统的传输数据包,查看发送和接收方内容的 一致性 ,验证数据的( 完整性)。

---

项目进入 设计阶段 时,GB/T 22239《 信息安全 技术 网络安全 等级保护基本要求》已经升级版本,而项目需求是按旧版本 策划 的。( B)直接影响项目进度。

A 提高需求评审评率

B 执行项目范围变更

C 与项目干系人沟通

D 重新进行成本估算

造成项目范围变更的主要原因是项目外部环境发生了变化,例如:政府政策的问题。

---

关于 权限管理 基础设施 的描述,不正确的是(C )。

A PMI主要进行授权管理,PKI主要进行身份鉴别

B 认证过程和授权管理是访问控制的两个重要过程

C 图书馆对进入人员的管理属于自主访问控制

D 权限管理。访问控制框架,策略规则共同构成PMI平台

用户不能自主地将访问权限授给别的用户这是基于角色访问控制和自主访问控制的根本区别所在。
基于角色的访问控制中,角色由应用系统的管理员定义。
图书馆对进入人员的管理属于基于角色的范问控制
目前我们使用的访问控制授权方案,主要有以下4种:
( )DAC(Discretionary Access Control)自主访问控制方式:该模型针对每个用户指明能够访问的资源对于不在指定的资源列表中的对象不允许访问。(PS:列表里的资源才能被访问
( )ACL(Access Control List)访问控制列表方式:该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。如果某个用户不在访问控制列表中,则不允许该用户访问这个资源。(PS:列表里的用户才能访问资源

( )MAC(Mandatory Access Control)强制访问控制方式:该模型在军事和安全部门中应用较多,目标具有一个包含等级的安全标签(如:不保密、限制、秘密、机密、绝密) ;访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标。

强制访问控制(Mandatory Access Control,MAC),用于将系统中的信息分密级和类进行管理,以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗地来说,在强制访问控制下,用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该文件。(PS:用户对文件的访问权限,主体对客体!


( )RBAC(Role Based Access Control) 基于角色的访问控制方式:该模型首先定义一些组织内的角色,如局长、科长、职员;再根据管理规定给这些角色分配相应的权限,最后对组织内的每个人根据具体业务和职位分配一个或多个角色。

PMI(Privilege Management Infrastructure):即权限管理基础设施授权管理设施,是以资源管理为核心,将对资源的访问控制权统一交由授权机构进行管理,即由资源的所有者来进行访问控制管理。 PKI(Public Key Infrastructure):公钥基础设施,是以公开密钥技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。 PMI 主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。 PKI 主要进行身份鉴别,证明用户身份,即“你是谁”。

---

信息安全 系统工程 能力成熟度模型 (ISSE-CM)中,( A)属于充分 定义级 (Leve13级)的公共特性逻辑域。

A 对过程进行标准化,协调内外部的沟通(PS: Level3 充分定义级,标准化

B 量化地确定已定义过程的过程能力(PS:Level4 量化控制级,客观管理

C 在执行过程域中,使用文档化的规划、标准或程序(PS:Level2 规划和跟踪级,规范化执行

D 通过改变组织的标准化过程,从而提高过程效能(PS:Level5 持续改进级,改进效能

信息系统安全工程体系结构
Level 3---充分定义级
-----定义标准化
3.1.1:对过程进行标准化过程
3.1.2:对组织的标准化过程族进行裁剪
-----执行已定义的过程
3.2.1:在过程域的实施中使用充分定义的过程
3.2.2:对过程域的适当工作产品进行缺陷评审
3.2.3:通过使用已定义过程的数据管理该过程
-----协调安全实施
3.3.1:协调工程科目内部的沟通

3.3.2:协调组织内不同组间的沟通
3.3.3:协调与外部组间的沟通

Level 1 非正规实施级,执行过程; Level 2 规划和跟踪级,规范化执行,C; Level 3 充分定义级,标准化,A; Level 4 量化控制级,客观管理,B; Level 5 持续改进级,改进效能

---

信息系统安全保护等级的定级要素是( )。

A 等级保护对象和保护客体

B 受侵害的客体和对客体的侵害程度

C 信息安全技术策略和管理策略

D 受侵害客体的规模和恢复能力

信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度
一是 受侵害的客体。等级保护对象受到破坏时所侵害的客体包括公民法人和其他组织的合法权益:社会秩序公共利益;国家安全
二是对客体的侵害程度。对客体的侵害程度由客观方面的不同外在表现综合决定。
信息系统项目管理师(2022年)—— 重点内容:信息系统安全管理(20)_第1张图片

第一级:对用户损害。

第二级:对用户严重损害,对社会损害。

第三级:对社会严重损害,对国家损害。

第四级:对社会特别严重损害,对国家严重损害。

第五级:对国家特别严重损害。

---

(B )的目标是防止内部机密或敏感信息非法泄露和资产的流失。

A 数字证书

B 安全审计

 C入侵监测

D 访问控制

安全审计具体包括两方面的内容。
(1)采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断。
(2)对信息内容和业务流程进行审计可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。

通过安全审计,识别与防止计算机网络系统内的攻击行为追查计算机网络系统内的泄密行为,因此信息安全审计系统被形象地比喻为“黑匣子”和“监护神”。

---

“需要时,授权实体可以访问和使用的特性”指的是信息安全的(C )。

A 保密性

B 完整性

C 可用性

D 可靠性

保密性是指阻止非授权的主体阅读信息,就是说未授权的用户不能够获取敏感信息。

完整性是指防止信息被未经授权地篡改。它是保护信息保持原始的状态,使信息保持其真实性。

可用性是指授权主体在需要信息时能及时得到服务的能力。

可控性是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。

不可否认性:信息交换双方不能否认其行为

---

信息安全从社会层面来看,反映在 (C ) 这三个方面。

A 网络空间的幂结构规律、自主参与规律和冲突规律

B 物理安全 、数据安全和内容安全

C 网络空间中的舆论文化社会行为技术环境

D 机密性、完整性、可用性

---

在X. 509标准 中,数字证书一般不包含( D)。

A 版本号

B 序列号

C 有效期

D 密钥

数字证书与密钥是一个网络的PKI包括的基本构件之一,数字证书有公钥 没有密钥。

---

一个密码系统,通常简称为密码体制。可由五元组(M,C,K,E,D)构成密码体制模型,以下有关叙述中,(C )是不正确的。

A M代表明文空间;C代表密文空间;K代表密钥空间;E代表加密算法;D代表解密算法

B 密钥空间是全体密钥的集合,每一个密钥K均由加密密钥Ke和解密密钥Kd组成,即有K=

C 加密算法是一簇由M到C的加密变换,即有C=(M, Kd)

D 解密算法是一簇由C到M的加密变换,即有M=(C, Kd)

从数学角度讲,加密只是一种从M定义域到C值域的函数,解密正好是加密的反函数。实际上,大多数密码术函数的定义域和值域是相同的(也就是位或字节序列),我们用:
C=E(M)表示加密;M=D(C)表示解密。

---

某商业银行在 A 地新增一家机构,根据《计算机信息安全保护等级划分准则》,其新成立机构的信息安全保护等级属于(D )。

A 用户自主保护级

B 系统审计保护级

C 结构化保护级

D 安全标记保护级

解析:

第一级用户自主保护级普通内联网用户

第二级系统审计保护级通过内联网或国际网进行商务活动,需要保密的非重要单位

第三级安全标记保护级各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位

第四级结构化保护级中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门

第五级访问验证保护级国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位

PS:用户自主内网,系统审计商务,安全标记金融,结构保护机关,访问验证国防。

---

网吧管理员小李发现局域网中有若干台电脑有感染病毒的迹象,这时应首先(C ),以避免病毒的进一步扩散。

A 关闭服务器

B 启动反病毒软件查杀

C 断开有嫌疑计算机的物理网络连接

D 关闭网络交换机

当发现局域网中有若干台电脑有感染病毒迹象时,网吧管理员应该首先立即断开有嫌疑的计算机的物理网络连接,查看病毒的特征,看看这个病毒是最新的病毒,还是现有反病毒软件可以处理的。如果现有反病毒软件能够处理,只是该计算机没有安装反病毒软件或者禁用了反病毒软件,可以立即开始对该计算机进行查杀工作。如果是一种新的未知病毒,那只有求教于反病毒软件厂商和因特网,找到查杀或者防范的措施,并立即在网络中的所有计算机上实施。

---

在构建信息安全管理体系中,应建立起一套动态闭环的管理流程,这套流程指的是( 评估—响应—防护—评估)。

要想获得有效的成果,需要从评估、响应、防护,到再评估。这些都需要企业从高层到具体工作人员的参与和重视,否则只能是流于形式与过程,起不到真正有效的安全控制的目的和作用。

---

在Windows操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务信息系统宜采用(C )作为信息安全系统架构。

A S2-MIS

B MIS+S

C S-MIS

D PMIS

“信息系统安全架构体系〃MIS+S、S-MIS均是使用通用硬件设备和软件开发工具,但S-MIS要求PKA/CA安全保障系统必须带密码。
电子商务平台不适合使用MIS+S,安全级别太低。

---

通过CA安全认证中心获得证书主体的X.509 数字证书后,可以得知 (B )。

A 主体的主机序列号

B 主体的公钥

C 主体的属性证书

D 主体对该证书的数字签名

数字证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性。在使用公钥体制的网络环境中,必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及他与公钥的匹配关系。

信息系统项目管理师(2022年)—— 重点内容:信息系统安全管理(20)_第2张图片

从表中得知,数字证书可以获取的信息有:

主题名称、签证机关名称(CA)、主体的公开秘钥、CA的数字签名、有效期、序列号、用途。 

---

某高校决定开发网络安全审计系统,希望该系统能够有选择地记录任何通过网络对应用系统进行的操作并对其进行实时与事后分析和处理;具备入侵实时阻断功能,同时不对应用系统本身的正常运行产生任何影响,能够对审计数据进行安全的保存;保证记录不被非法删除和篡改。该高校的安全审计系统最适合采用(A )。

A 基于网络旁路监控的审计

B 基于应用系统独立程序的审计

C 基于网络安全入侵检测的预警系统

D 基于应用系统代理的审计

---

小张的U盘中存储有企业的核心数据。针对该U盘,以下有关信息安全风险评估的描述中,不正确的是(B )。

A 风险评估首先要确定资产的重要性,由于该U盘中存储有核心数据,安全性要求高,因此该U盘重要性赋值就高

B 如果公司制定了U盘的安全使用制度,小张的U盘就不具有脆弱性

C 如果小张的计算机在接入U盘时没断网线,木马病毒就构成对该U盘的威胁

D 风险分析要同时考虑资产的重要性、威胁概率和脆弱性严重程度

解析:威胁、脆弱性、影响之间存在着一定的对应关系,威胁可看成从系统外部对系统产生的作用而导致系统功能及目标受阻的所有现象。脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。实际上,系统的风险可以看做是威胁利用了脆弱性而引起的。如果系统不存在脆弱性,那么威胁也不存在,风险也就没有了。

PS:B 选项,如果公司制定了U盘的使用制度,禁止拷贝重要的数据到U盘,那么小张的U盘就不存在风险,也就没有脆弱性。

---

下面有关加密技术的叙述中,(C )是错误的。

A IDEA 是一种对称加密算法

B 公钥加密技术和单向陷门函数密不可分

C IKE 是一种消息摘要算法

D 公钥加密的一个重要应用是数字签名

解析:IKE属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)以及两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式。

---

入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息进行分析,发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件的组合就构成了入侵检测系统。( D)是入侵检侧系统的核心

A 评估主要系统和数据的完整性

B 信息的收集

C 系统审计

D 数据分析

解析:入侵检测技术(IDS)从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。

PS:收集信息的目的就是为了分析,所以核心就是数据分析。

---

信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,根据《信息系统安全等级保护定级指南GB/T22240-2008》,该信息系统的安全保护等级至少应定为( 三)级。

第一级:对用户损害。

第二级:对用户严重损害,对社会损害。

第三级:对社会严重损害,对国家损害。

第四级:对社会特别严重损害,对国家严重损害。

第五级:对国家特别严重损害。

PS:考试的时候不记得,就逆推。最高级是 5 级,对国家造成特别严重损害。然后依次往前推倒。4级是对国家严重损害,3级是对国家损害,2级不损害国家,1级只对个人损害。

---

甲向乙发送其数据签名,要验证该签名,乙可使用( B)对该签名进行解密。

A 甲的私钥

B 甲的公钥

C 乙的私钥

D 乙的公钥

PS:在非对称加密中,公钥和私钥是成对出现的。甲向乙发送,说明甲是用自己的私钥加密的,因此用甲的公钥就可以解密。

---

在安全审计系统中,审计Agent(代理)是直接同被审计网络和系统连接的部分,审计Agent主要可以分为网络监听型Agent、(系统嵌入型Agent )、主动信息获取型Agent

---

攻击者通过搭线或在电磁波辐射范围内安装截收装置等方式获得机密信息,或通过对信息流量和流向、通信频率和长度等参数的分析推导出有用信息的威胁称为(C )。

A 破坏

B 抵赖

C 截取

D 窃取

网络威胁概括起来主要有以下几类:
(1)内部窃密和破坏,有意或无意泄密、更改记录信息;由于管理人员对核心设备的配置资料的不慎管理,致使非授权人员有意无意偷窃机密信息、更改网络配置和记录信息。
(2)截取,攻击者通过安装截收装置等方式,截获机密信息,或通过对信息流的流向、通信频度和长度等参数的分析,推出有用信息。它不破坏传输信息的内容,具有很高的隐蔽性,很难被查觉。
(3 )非法访问非法访问指未经授权使用网络资源或以未授权的方式使用网络资源,它包括:非法用户如黑客进入网络或系统,进行违法操作;合法用户以未授权的方式进行操作。
(4)破坏信息的完整性,攻击可能从三个方面破坏信息的完整性:①篡改,改变信息流的次序、时序,更改信息的内容、形式;②删除,删除某个消息或消息的某些部分;③插入,在消息中插入一呰信息,让接收方读不懂或接收错误的信息。
(5)破坏系统的可用性,使合法用户不能正常访问网络资源;使有严格时间要求的服务不能及时得到响应;攻击系统,摧毁系统。
(6)抵赖,可能出现下列抵赖行为:发信者事后否认曾经发送过某条消息;发信者事后否认曾经发送过某条消息的内容;发信者事后否认曾经接收过某条消息;发信者事后否认曾经接收过某条消息的内容

---

下面有关安全审计的说法错误的是( B)。

A 安全审计需要用到数据挖掘和数据仓库技术

B 安全审计产品指包括主机类、网络类及数据库类

C 安全审计的作用包括帮助分析案情事故发生的原因

D 安全审计是主体对客体进行访问和使用情况进行记录和审查

解析:审计对象包括主机服务器网络数据库管理应用系统

---

信息安全保障系统可以用一个宏观的三维空间来表示,第一维是OSI网络参考模型,第二维是安全机制,第三维是安全服务,该安全空间的五个要素分别是( D)。

A 应用层、传输层、网络层、数据链路层和物理层

B 基础设施安全、平台安全、数据安全、通信安全和应用安全

C 对等实体服务、访问控制服务、数据保密服务、数据完整性服务和物理安全服务

D 认证、权限、完整、加密和不可否认

---

网络入侵检测系统和防火墙是两种典型的信息系统安全防御技术,分别介绍:

①入侵检测系统(简称“IDS”)通常是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。

②防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合。

防火墙需要事先设定规则。

---

以下针对信息系统安全的说法中,(C )是错误的。

A 信息系统安全的侧重点随着信息系统使用者的需求不同而发生变化

B 信息系统安全属性包含:保密性、完整性、可用性与不可抵赖性

C 应用系统常用的保密技术有:最小授权原则、防暴露、信息加密、数字签名与公证

D 完整性是一种面向信息的安全性能,可用性是面向用户的安全性能

解析:信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化。
个人用户最为关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。对安全保密部门和国家行政部门来说,最为关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。从社会教育和意识形态角度来说,最为关心的信息系统安全问题则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。

目前比较成熟的安全技术主要有以下几类:身份识别技术访问控制技术数据加密技术防火墙技术数字签名技术

完整性是一种面向信息的安全性能,可用性是面向用户的安全性能。

---

入侵是指没有经过授权就非法获得系统的访问权限或相关授权的行为,其中攻击者利用默认密码进入系统内部属于( C)入侵方式。

A 旁路控制

B 假冒

C 口令破译

D 合法用户的非授权访问

攻击者利用默认密码进入系统内部,说明入侵者己经破译了口令,属于口令破译入侵方式。

---

我国实行密码分级管理制度,密码等级及适用范围如下:
商用密码:国内企业、事业单位
普用密码:政府、党政部门(PS:政府和党政部门用普通密码,有点意外啊)
绝密密码:中央和重要部门
军用密码:军队

---

信息系统项目管理师(2022年)—— 重点内容:信息系统安全管理(20)_第3张图片

信息系统安全三维空间

X轴:安全机制

Y轴:OSI(开放式系统互连)网络参考模型

Z轴:安全服务

x、y、Z三个轴形成的空间就是信息系统的“安全空间”,这个空间具有五个要素:认证、权限、完整、加密和不可否认

安全机制第一层:基础设施实体安全机房安全场地安全设施安全动力系统安全灾难预防与恢复

第二层:平台安全操作系统、网络设施、应用程序、安全产品;

第三层:数据安全介质和载体安全数据访问。应用层、传输层、网络层、数据链路层和物理层为0SI网络参考模型的不同层次。

---

以下关于入侵检测系统功能的叙述中,(A )是不正确的。

A 保护内部网络免受非法用户的侵入

B 评估系统关键资源和数据文件的完整性

C 识别已知的攻击行为

D 统计分析异常行为

解析:

入侵检测系统的主要功能有:

监测并分析用户和系统的活动

核查系统配置和漏洞

评估系统关键资源和数据文件的完整性

识别已知的攻击行为

统计分析异常行为

操作系统日志管理,并识别违反安全策略的用户活动。

PS:入侵检测系统只做检测,不做防护!

---

信息系统安全风险评估是通过数字化的资产评估准则完成的,它通常会覆盖人员安全、人员信息、公共秩序等方面的各个要素,以下不会被覆盖的要素是( A)。

A 立法及规章未确定的义务

B 金融损失或对业务活动的干扰

C 信誉的损失

D 商业及经济的利益

根据项目管理师教材,信息系统安全风险评估一般覆盖人员安全、人员信息、立法及规章所确定的义务、法律的强制性、商业及经济的利益金融损失或对业务活动的干扰公共秩序、业务政策及操作、信誉的损害

---

信息系统安全可以分为5个层面的安全要求,包括:物理、网络、主机、应用、数据及备份恢复,“当检测到攻击行为时,记录攻击源IP,攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警”属于( 网络)层面的要求。

PS:网络层才会获取到 IP。

---

信息系统项目管理师(2022年)—— 重点内容:信息系统安全管理(20)_第4张图片

---

在信息系统安全建设中,( 安全策略)确立全方位的防御体系,一般会告诉用户应有的责任,组织规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等,并保证所有可能受到攻击的地方都必须以同样安全级别加以保护。 

解析:安全策略的核心内容就是“七定”,定方案,定岗,定位,定员,定目标,定制度,定工作流程(PS:按岗位圆木滞留

---

在信息系统安全保护中,依据安全策略控制用户对文件、数据库表等客体的访问属于( 访问控制)安全管理。

信息安全技术信息系统安全等级保护基本要求:

身份鉴别:应提供专用的登录控制模块对登录用户进行身份标识和鉴别

访问控制:应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问

安全审计:应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计

入侵防范:应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。(在网络层做的事)

---

IDS发现网络接口收到来自特定IP地址的大量无效的非正常生成的数据包,使服务器过于繁忙以至于不能应答请求,IDS会将本次攻击方式定义为(拒绝服务攻击 )。

拒绝服务攻击即攻击者想办法让目标机器停止提供服务。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。

---

通过收集和分析计算机系统或网络的关键节点信息,以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的技术被称为(入侵检测 )。

---

为了保护网络系统的硬件、软件及其系统中的数据,需要相应的网络安全工具。以下安全工具中,( 防火墙)被比喻为网络安全的大门,用来鉴别什么样的数据包可以进入企业内部网。

---

信息系统的安全威胁分成七类,其中不包括(D )。

A 自然事件风险和人为事件风险

B 软件系统风险和软件过程风险

C 项目管理风险和应用风险

D 功能风险和效率风险

解析:信息系统安全包含人为,管理和技术层面的威胁,而选项D的功能与效率风险不属于信息系统的安全威胁。

计算机信息应用系统的安全威胁(风险)有如下3种分类方法:
(1)从风险的性质划分,可以简单地分为静态风险动态风险。静态风险是自然力的不规则作用和人们的错误判断和错误行为导致的风险;动态风险是由于人们欲望的变化、生产方式和生产技术的变化以及企业组织的变化导致的风险。
(2)从风险的结果划分,可以分为纯粹风险投机风险。纯粹风险是当风险发生时,仅仅会造成损害的风险;而投机风险是当风险发生时,可能产生效益也可能造成损失的风险。
(3)从风险源的角度划分,可以划分为自然事件风险人为事件风险软件风险软件过程风险项目管理风险应用风险用户使用风险等。

---

安全审计(security audit)是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法,安全审计的主要作用不包括(D )。

A 对潜在的攻击者起到震慑或警告作用

B 对已发生的系统破坏行为提供有效的追究证据

C 通过提供日志,帮助系统管理员发现入侵行为或潜在漏洞

D 通过性能测试,帮助系统管理员发现性能的缺陷或不足

安全审计作用:
1、对潜在的攻击者起到震慑或警告作用
2、对于已经发生的系统破坏行为提供有效的追究证据
3、为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞
4、为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上不足或需要改进与加强的地方。
不是通过性能测试,而是通过提供统计日志

---

信息系统设备安全是信息系统安全的重要内容,其中设备的( 稳定性)是指设备在一定时间内不出故障的概率。

信息系统设备的安全是信息系统安全的首要问题,设备安全有以下三个特性:
(1)可靠性:设备能在一定时间内正常执行任务的概率;(高并发的可靠也是说服务还能继续跑
(2)稳定性:设备在一定时间内不出故障的概率;(稳如老狗,不出故障。
(3)可用性:设备随时可以正常使用的概率。(随时随地可以使用
信息系统的设备安全是信息系统安全的物质基础,如果失去了这个物质基础,信息系统安全就变成空中楼阁。对信怠设备的任何损坏都将危害信息系统的安全。

---

信息系统安全技术中,关于信息认证、加密、数字签名的描述,正确的是(A )。

A 数字签名具备发送方不能抵赖、接收方不能伪造的能力

B 数字签名允许收发双方互相验证其真实性,不准许第三方验证

C 认证允许收发双方和第三方验证

D 认证中用来鉴别对象真实性的数据是公开的

PS:什么是签名?那就是你的签字,说明这个人是你啊!你还抵赖啥。

B、C 选项的错误应该互换,就对了。也就是:认证只有双方验证,签名允许第三方验证。

---

(D )不属于网页防篡改技术。

A 时间轮询

B 事件触发

C 文件过滤驱动

D 反间谍软件

网页防篡改技术有以下三种:

1)外挂轮询技术:用一个网页读取和检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。

2)核心内嵌技术:将篡改检测模块内嵌在Web服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复。

3)事件触发技术: 利用操作系统的文件系统或驱动程序接口,在网页文件的被修改时进行合法性检查,对于非法操作进行报警和恢复。

4)文件过滤驱动技术:可以将篡改监控程序嵌入到Web服务器中,通过操作系统底层文件过滤驱动接口拦截并分析IRP流,预判写操作的目标文件,一旦发现试图改写受保护的网站目录下的文件即立即进行截断。这种技术最大的优点来自于其与操作系统紧密结合,可以监控任意类型的文件,无论是一个html文件还是一段动态代码,执行准确率高。

---

CC(即Common Critoria ISO/IEC 17859)标准安全审计功能分为6个部分,其中( D)要求审计系统提供控制措施,以防止由于资源的不可用丢失审计数据。

A 安全审计数据生成功能

B 安全审计浏览功能

C 安全审计事件选择功能

D 安全审计事件存储功能

CC标准将安全审计功能分为6个部分:

安全审计自动响应功能(定义在被测事件指示出一个潜在的安全攻击时做出的响应);

安全审计数据自动生成功能(记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型);

安全审计分析功能(定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作);

安全审计浏览功能(授权用户有效的地浏览审计数据);

安全审计事件选择功能(维护、检查或修改审计事件);

安全审计事件存储功能(防止资源不可用丢失审计数据)。

你可能感兴趣的:(软考-信息系统项目管理师,信息系统项目管理,2022上半年)