信息资源安全管理.ppt

1. 识记应对银行突发的灾难最有效的办法是什么？201104-P154第六章、信息资源安全管理 16.应对银行突发灾难的最有效办法，是迅速建立并不断完善金融机构( 201104)A.灾难备份和恢复系统 B.信息系统C.认证系统 D.交易系统 2. 识记信息资源安全管理主要关注信息在开发利用过程中面临的那些问题？( P154) - 可用性 - 保密性(机密性) - 认证性(真实性) - 一致性(完整性)12、保密性可以保证信息不被窃取，或者窃取者不能 ( )201304A了解信息的真实含义 B破坏信息 C使用信息 D传送信息 25、信息资源安全主要关注信息在开发利用过程中面临的( ) 201307-p154-155A、可用性问题 B、机密性问题 C、真实性问题 D、完整性问题 E、可行性问题 三、名词解释（本大题共3小题，每小题3分，共9分）20130426、CIO 27、信息资源安全管理 28、信息分析 P154 信息资源安全： 针对普遍存在的信息资源安全问题，人们利用各种技术方法和组织手段，所进行的有计划的管理活动。 26、CIO-P65 CIO即Chief Of Officer,首席信息官。是专门负责组织信息化建设、实施和运作的管理者，通常是组织决策层的成员。28、信息分析-P113 指的是以社会用户的特定需求为依托,以定性和定量研究方法为手段,通过对信息的整理,鉴别,评价,分析,综合等系列化加工过程,形成新的,增值的信息产品,最终为不同层次的科学决策服务的一项具有科研性质的智能活动. 3. 识记信息资源安全管理的主要任务是什么？P155-201101简答、201107案例(1)采取技术和管理措施，保证信息资源可用.即:使信息和信息系统在任何时候均被合法用户可用.(2)采用数据加密技术，使信息在其处理过程(存储或传输)中，其内容不被非法者所获得.(3)建立有效的责任机制，防止用户否认其行为。(4)建立可审查的机制，实现责任可追究。追踪信息资源的when,who,how-系统日志 四、简答题(本大题共5小题,每小题5分,共25分-201104)29.试举例阐释信息社会的特点。30.信息系统的生命周期分为哪几个阶段?31.简述信息存储的基本原则。32.简述信息资源安全管理的主要任务。33.简述企业信息资源管理和政府信息资源管理在目标和手段上存在的不同点。 201104-29.试举例阐释信息社会的特点。P20(1)非物质性 如信息咨询、代理服务、媒体制作、软件开发等(2) 超时空性 如电子商务、远程教育、远程医疗等(3) 可扩展性 如：即时通讯工具QQ/MSN/微信/微博 201104-31. 31.简述信息存储的基本原则?P107(1)统一性 遵循国家标准或国际标准(2) 便利性 方便用户检索(3) 有序性 强调存放的规律性(4) 先进性 强调存储的载体 201104-30.信息系统的生命周期分为哪几个阶段?P71(1)系统规划(2) 系统分析(3) 系统设计(4) 系统实施(5) 系统运行与维护 五、综合分析题(本大题共3小题，每小题12分，共36分) 20110736案例：道德败坏的“冒名顶替”胡泳、范海燕在他们的网络之王一书中，记载我国首起电子邮件侵权案。1996年7月9日，北京市海淀区法院开庭审理北大心理系93级研究生X状告同学Z的事件。1996年4月9日，原告X收到美国密歇根大学寄来的同意提供奖学金的电子邮件，她很高兴，当时这封邮件被存在北大计算服务中心服务器同学Z的邮箱中。可是，X等了很久都没有接到密歇根大学的正式录取通知书。于是X托在美国的朋友询问，得到的答复是：4月12日密歇根大学收到以X为名的电子邮件，称X已接受其他学校录取，故不能去该校学习。所以，密歇根大学已把奖学金移给他人。X以从北大计算服务中心服务器取得的电子邮件记录与密歇根大学得到的电子邮件吻合为依据，诉讼同学Z冒名顶替发假邮件，致使自己失去一次出国留学的机会，并蒙受损失，要求Z赔偿和道歉。虽然法庭上Z辩称电子邮件非她所为，但休庭时承认自己出于嫉妒情绪而做错事。最终，法庭调节双方达成协议：Z向X书面道歉并赔偿12000元的经济、精神损失费。而结果是，X最终重新得到了密歇根大学资助，赴美成行；Z尽管得到了丹佛大学奖学金， 但因为此起道德败坏事件，推荐人取消推荐而梦断北京。要求：分析如何应用密码学技术和管理方法解决上述案例中的身份验证和电子证据问题。 4. 识记信息系统安全层次分为哪些?P156-201107单(1)法规道德纪律(2)管理制度措施(3)物理实体安全(4)硬件系统安全(5)通信网络安全(6)软件系统安全(7)数据系统安全行为规范实体安全技术安全 15.信息系统安全的行为规范管理包括两个层面：国家和( 201107 )A.企业 B.个人C.社会组织 D.集体16.类似于网络系统架构的ISO的OSI模型,信息系统安全问题可归纳在一个(201107)A.七层模型中 B.五层模型中C.三层模型中 D.二层模型中 4. 识记制定安全策略的步骤有哪些?P157-201104多25.制定安全策略的步骤包括( )A.理解组织的业务特征 B.建立安全管理组织机制C.开发策略实施手段 D.确定安全策略的范围E.安全策略评估(1)理解组织业务特征(2)建立安全管理组织体制(3)确定信息资源安全的整体目标(4)确定安全策略的范围(5)安全策略评估(6)安全策略实施 5. 识记实体安全管理的主要内容有哪些?P157-201107简 实体安全包含有物理实体安全和硬件系统安全管理两部分内容。具体包括：(1) 场地环境安全 - 场地 - 空气调节系统 - 防火管理 (2) 硬件安全 - 硬件设备的档案管理 - 防电磁干扰 - 防电磁泄露 - 电源安全 (3) 介质安全 - 磁盘、磁带、光盘 四、简答题(本大题共5小题，每小题5分，共25分) 20110729简述信息、知识、智能三者的关系。30什么是信息系统维护?信息系统维护包括哪几个方面内容?3l简述普赖斯曲线和普赖斯指数的含义。32什么是实体安全管理?实体安全管理包括哪几个方面的内容?33系统分析员的主要任务有哪些?考试用书 201107-29.简述信息、知识、智能三者的关系。P28(1)信息经过加工提炼成知识(2) 知识被目的激活成为智能(3) 智能是信息最高层次 201107-30.什么是信息系统维护?信息系统维护包括哪几个方面内容?P83 信息系统维护就是为了使信息系统处于合用状态而采取的一系列措施，目的是纠正错误和改进功能，保证信息系统正常工作。其主要内容：(1) 程序的维护；(2) 数据的维护；(3) 代码的维护；(4) 设备的维护 201107-31.简述普赖斯曲线和普赖斯指数的含义。P115 以科学文献累积量为纵轴，以历史年代为横轴，把各个年代的科学文献量在坐标图上逐点描绘出来，然后以一条光滑曲线连接各点，就十分近似地表征了科学文献量随时间增长的规律。 赖普斯提出一个衡量文献老化的数量指标-莱普斯指数： =被引文献数量(小于或等于5年)/被引文献总量 x100% 201107-33系统分析员的主要任务有哪些?P63 系统分析员的主要任务：(1) 通过现行系统的运行环境、作业流程、用户需求情况的调查分析；(2) 确定目标系统的功能结构、性能指标、资源配置和编码体系、逻辑模型，以便为系统设计提供科学依据。 6. 识记为避免机房发生火灾造成大的损失，应该采取防火安全策略有哪些？(P158) (1) 配备烟火报警装置(2) 制定防火管理应急预案(3) 设计防火分离区(如防火门、隔离带等)(4) 配备灭火器材 五、综合分析题（本大题共3小题，每小题12分，共36分）20130434、材料： 某航空集团公司拥有一个地域分散、多厂商、多平台、多系统的复杂IT环境。IT系统运行复杂，业务系统故障多，技术人员的被动工作方式难以适应企业IT服务需要。 要求：试运用IT服务管理相关知识为该公司出谋划策，使其IT服务向更高层次的主动服务发展。 35、结合一个组织的具体情况，说明组织信息化规划的三个层次。 36、实体安全主要涉及信息系统的硬件及其运行环境，其安全与否对于网络、软件、数据等安全有着重要影响。试结合机房应用，阐述实体安全应该采取的各种防护策略。 7. 识记网络资源和网络安全管理涉及哪些网络资源?P161-201107(1)主机系统；(2)终端系统；(3)网络互联设备。17.企业网络包括( )201107A.内网和公网 B.内网、外网和公网C.局域网和广域网 D.无线网和有线网 8.识记 主要的网络安全措施和技术有哪些?p161-201107、201204(1)网络分段与VLAN；(2)防火墙技术；(3)VPN-Virtual Private Network(4)入侵检测(5)病毒防治。25.主要的网络安全措施和技术手段包括( 201107 )A.防火墙 B.入侵检测系统C.电源安全 D.反病毒软件E.数据库备份 16、网络分段通常被认为是控制广播风暴的一种基本手段。其指导思想就是将非法用户与网络资源( B ) 201204A、相互认证 B、相互隔离 C、相互控制 D、相互影响 18、部署防火墙的系统必须确保( C ) 201204A、系统不能与外部开通网络连接 B、部署VPN C、通过防火墙与系统外部的网络连接 D、网络系统可靠 16、VLAN技术是一种常用的(201207)p161 A.物理分段方法 B.局域网方法 C.逻辑分段方法 D.病毒检测方法 三、名词解释(本大题共3小题，每小题3分，共9分) 201107 26CIO27信息系统审计28入侵检测 -P162 入侵检测是一种主动安全保护技术。在不影响网络性能的前提下，对网络(特别是内部网络)进行监测，从计算机网络的若干关键点收集信息，通过分析这些信息，发现异常并判断识别是否为恶意攻击。 CIO-P65 CIO即Chief Of Officer,首席信息官。是专门负责组织信息化建设、实施和运作的管理者，通常是组织决策层的成员。信息系统审计-P93 指的是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维持数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效使用等方面做出判断的过程。 9. 领会什么是VPN？p162VPN即Virtual Private Nwtwork虚拟专用网 是被定义为通过公共网络(如Internet)建立的专用网络，它通过所谓的”隧道”技术，开辟一条穿过混乱的公共网络的安全、稳定的隧道，实现可信任的网络连接。什么是VPN的隧道技术？ 举例写出三种重要的隧道协议。隧道协议=乘客协议+封装协议+传输协议（1）乘客协议：用户要传输的数据，被封装的数据，可以是IP、PPP、SLIP等信（2）封装协议：用于建立、保持和拆卸隧道，如L2F、PPTP、L2TP、GRE等信封 （3）传输协议：乘客协议被封装后应用传输协议送信方式 10. 领会VPN的优点有哪些？p162(1)经济；(2)结构灵活、管理方便；(3)安全。这是核心 通过VPN通信的两台主机必须通过一个安全的通道(tunnel)。这个tunnel是逻辑上的，并不真正存在，因此通过数据的加密和认证使得数据包即使被截获也不容易破译。如何实现这一点，以前的VPN很多的采用SSL等方法对数据进行加密，但是缺点是配置安全策略不够灵活，另外，需要在高层协议上开发大量的代码，唯一的优点就是能够对DOS(服务拒绝)攻击有较好的防御。 11. 领会什么是计算机病毒？p163 指的是编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。病毒式营销Viral Marketing 病毒营销是由欧莱礼媒体公司（OReilly Media）总裁兼CEO提姆奥莱理（Tim OReilly）提出。他是美国IT业界公认的传奇式人物，是开放源码概念的缔造者。 所谓“病毒式网络营销”，是通过用户的口碑宣传网络，信息像病毒一样传播和扩散，利用快速复制的方式传向数以千计、数以百万计的受众。也就是说，通过提供有价值的产品或服务，“让大家告诉大家”，通过别人为你宣传，实现“营销杠杆”的作用。核心：是在于找到营销的引爆点，如何找到既迎合目标用户口味又能正面宣传企业的话题是关键，而营销技巧的核心在于如何打动消费者，让企业的产品或品牌深入到消费者心坎里去，让消费者认识品牌、了解品牌、信任品牌到最后的依赖品牌。 典型例子：在2012年春天，在QQ群、微博、论坛上广泛传播着这样一条信息。张艺谋拍的金陵十三钗日本拒绝放映，直接封杀，我们就不可以吗？小日本拍的xx3D将于2012年5月12日在中国大陆上映。而5月12日又是国难日。不管怎样，这一天都是悲伤的日子，作为中国人，我们无法忘记历史留给我们的伤痛！敢不敢让xx5月12日票房为零？扩散至全国。” 12. 识记计算机病毒的特点有哪些？P163(1)隐蔽性(2)传染性(3)潜伏性(4)破坏性 13. 领会软件应用安全问题的分类有哪些? P164(1)系统软件安全(2)应用软件安全(3)恶意程序及其防治五、综合分析题（本大题共3小题，每小题12分，共36分）201307-P16336、信息时代，软件是人们工作、学习乃至竞争的重要工具，商品开发成本越来越高，软件已成为组织或个人重要的信息资产。然而，由于信息具有可共享性的特点，使其成为被盗窃、复制而非法使用的重点对象。 要求：从管理和技术两个方面说明防止非法使用软件的措施。 14 识记TCSEC(Trust Computer System Evaluation Criteria)可信计算机系统评审标准有哪些基本要求?P164(1)安全策略(2)标记(3)识别(4)责任(5)保证(6)连续保护 15 识记计算机系统安全保护能力分为哪五个等级?P165-201207简答第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：机构化保护级第五级：访问验证保护级四、简答题（本大题共5小题，每小题5分，共25分） 201207 29、CIO应该具备哪些方面的管理知识？ 30、简述信息系统评价的内涵及其内容。 31、什么是多媒体信息检索的技术？ 32、什么是标准化术语？术语标准化应遵循哪些原则？ 33、简述计算机信息系统安全保护等级划分准则（ GB17859-1999）规定的计算机系统安全保护能力的五个等级。 11.Windows2000的安全级别可以达到( )201304 AC2 BC3 CBl DB2 16. 识记安全操作系统设计应该遵循的原则有哪些？P165-201104(1)最小特权；(2)经济型；(3)开放性；(4)以许可为基础(5)公用机构最少(6)有效性(7)完全协调(8)方便性何为“最小特权”？ 所谓最小特权(Least Privilege)，指的是在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权。 8、为保障安全，信息系统中的每个用户应尽可能地( ) 201307-p165 A、配置最大特权 B、配置最小特权 C、没有特权 D、拥有特权 三、名词解释(本大题共3小题，每小题3分，共9分)20110426.SWOT矩阵法27.标准化管理过程28.最小特权原则 最小特权原则，是指应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。 26 SWOT矩阵法 P47 是由波士顿咨询公司提出的，也称为波士顿矩阵，是全面分析组织外部环境和内部资源、寻找满意战略组合的分析工具。 外部环境变化会给组织带来机会O和威胁T 内部环境具有的优势S和劣势W 27 标准化管理过程 P139 标准化的信息资源管理过程(或称工作过程)可使信息资源管理工作的全过程按规范化的程序来进行，它是信息资源标准化的重要组成部分，包括学习和贯彻标准、制定标准以及制定工作流程、管理制度等。 17.领会操作系统的职能有哪些？ P166(1)文件管理与保护(2)进程管理与控制 (3)内存管理与控制 (4)输入/输出设备管理与控制(5)审计日志管理操作系统的安全分为两类：(1)硬件系统安全机制； (2)软件系统安全机制、 18.识别硬件系统的安全机制有哪些？ P166(1)内存保护；(2)进程控制；(3)输入/输出控制 19.识别软件系统的安全机制有哪些？ P166(1)身份识别与鉴别；(2)访问控制；(3)最小特权管理；(4)安全审计 20.领会什么是恶意程序？P169-201104/201204 指的是未经授权在用户不知道的情况下，进入用户计算机系统中，影响系统正常工作，甚至危害或破坏系统的计算机程序。三、名词解释（本大题共3小题，每小题3分，共9分） 201207 26、国家信息化体系 27、文献计量学 28、恶意程序 17、恶意程序的防治工作包括防护和治理两个方面，应该( B ) 201204A、充分发挥用户主观能动性 B、结合技术，加强管理C、开发防病毒软件 D、严惩恶意用户开发者 21.识别常见的恶意程序有哪些?p169(1)陷门，又称后门。(2)逻辑炸弹(3)特洛伊木马(4) 病毒(5)蠕虫 T1: ( )是VPN最核心的功能。 A.经济 B.结构灵活 C.安全 D.管理方便T2: 信息资源安全问题是指信息的( )受到威胁 A.可用性和权属 B.一致性和保密性 C. 可用性和保密性 D. 认证性和一致性T3: 企业的核心竞争力不包括( ) A. 战略 B.资源 C.客户 D.技术T4: 信息资源管理标准化的最基本的方法是( ) A. 简化 B. 统一 C. 组合 D.综合 (1)系统资源不好用乃至不可用；(2)信息机密性散失；(3)信息认证性被破坏；(4)信息一致性散失。22.识记恶意程序的破坏性的体现有哪些？p170 影响信息系统安全的主要因素分为两大类：自然因素和人为因素。 自然因素指因自然力造成的地震、水灾、火灾、风暴、雷击等。自然因素又分为自然灾害和环境干扰。 人为因素又分为无意损坏和有意破坏两种。23. 识记试述影响信息系统安全的主要因素。 网络系统的安全功能是达到安全目标所需具备的功能和规定。这些功能和规定包括：对象认证；访问控制；数据保密性；数据可审查性；不可抵赖性。24. 识记试论述网络系统的安全功能。 软件技术保护的一般方法包括：在主机内或扩充槽里装入特殊的硬件装置采用特殊标记的磁盘；“软件指纹”技术；限制技术；软件加密；反动态跟踪技术。25. 识记试论述软件技术保护的一般方法。 主要解决： (1)数据(信息)的可用性； (2)数据(信息)的机密性； (3)数据(信息)的认证性； (4)数据(信息)的一致性。26. 识记数据安全管理的主要任务有哪些？P170 201307三、名词解释（本大题共3小题，每小题3分，共9分） 26、信息化管理委员会 p6527、数据安全管理 p17028、数据挖掘 p116 27. 识记信息库安全的基本要求有哪些？P170 (1)数据库的可用性及易用性(用户界面友好、合法用户可以便捷地访问数据)； (2)数据库的保密性(用户身份识别、信息保密、访问控制)； (3)数据库的完整性(物理数据库的完整性、逻辑数据库完整性和数据库属性数据的完整性)； (4)数据库的可维护性(可审计、备份策略)。下面不属于数据库管理系统中主要的安全措施的是( ) A、用户及其权限管理B、访问控制C、数据加密D、入侵检测 28. 识记数据库模式修改权限包含哪些内容？P171(1)索引权限：允许用户创建、删除索引(2)资源权限：允许用户创建新的关系(3)修改权限：允许用户在关系中增加或删除属性；(4)撤销权限：允许用户撤销关系。 (1)读权限：允许用户读数据(2)插入权限：允许用户插入数据(3)修改权限：允许用户修改数据，但不能删除(4)删除权限：允许用户删除数据29.识记数据操作权限有哪些？P171 Grant On To 30.识记数据库管理员直接使用什么SQL语句进行授权？P171 201304四、简答题（本大题共5小题，每小题5分，共25分） 29、什么是信息系统的生命周期？其分为哪几个阶段？ 30、简述普赖斯指数的定义并给出其计算公式。 31、按信息效用不同，信息可分为哪四个层次？试分别举例说明。 32、数据库管理员可以利用什么语句进行授权？ 33、简述企业信息资源管理的目的和工作内容。 数据加密的本质就是一种数据变换。 将数据变为不可识别(不可读)的内容，一般人不可利用，只有掌握变换规律的才能还原利用。31. 识记数据加密的本质是什么?P17117、密码学家WDiffie与MHellman在1976年创新性地提出了公钥体制的概念,以期解决(201207)p175 A.私钥解密问题 B.数字签名问题 C.公钥环问题 D.密钥管理问题 24、标准的密码学模型包括（201207）p174 A.密钥 B.加密算法 C.解密算法 D.密钥分发 E.签名 32. 识记解决数据源认证(抗抵赖)的主要技术是什么？P172 数字签名 在数字电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。 201307四、简答题（本大题共5小题，每小题5分，共25分） 29、什么是信息系统资源观？它主要体现在哪些方面？ P7330、什么是知识门户？它的作用是什么？p118 31、按社会组织属性划分，信息资源可分为哪些类型？并对每一类型分别作简要说明。P35 32、为什么RSA加密体系在加（解）密过程中速度远低于对称加密算法？实际应用中人们是如何解决这个问题的？ P176-17733、什么是产业？举例说明哪些产业属于信息产业。 P182 33. 识记什么是PKI？P178-201104PKI即Public Key Infrastructure,公钥基础设施 是一个基于公钥加密技术的安全技术体系，它是硬件产品、软件产品、策略和过程的综合体，其核心任务是创建、管理、存储、分配和吊销用户的数字证书。 17.在公钥体系中，签名时使用( )201104A.发送者公钥 B.发送者私钥C.接收者公钥 D.接收者私钥 34. 识记基于PKI的第三方认证服务系统实体注册机构(RA)接受并确认证书机构(CA)颁发、管理、吊销证书用户证书库作废证书库发放证书调用存储证书吊销批准、发送申请证书 201204综合分析题： 36。什么是公钥基础设施(PKI)?其核心任务是什么?基于PKI的认证服务系统至少由哪几部分组成?请将答案内容(1)(5)填在题图下对应的横线中。 35、数字证书包含有什么内容格式？P179(1)版本号(2)序列号(3)签名算法标示符(4)认证机构即发出该证书机构唯一的CA的x.500名字。(5)有效期限 证书开始生效和证书失效日期和时间(6)主题信息(7)认证机构的数字签名(8)公钥信息包括被证明有效的公钥值和加上使用这个公钥的方法名称 18、独立CA之间可以互联并可交叉认证，从而形成庞大的分级、交叉认证体系，最终实现大型网络的（）p179-201207 A.信息认证模型 B.信息交叉模型 C.信息网络模型 D.信息信任模型恶意程序的特点不包括( )A.破坏性B.传染性C.非法性D. 隐蔽性