试题五(25分)
阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1至问题3。
某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:
(1)合法用户可以安全地使用该系统完成业务;
(2)灵活的用户权限管理;
(3)保护系统数据的安全,不会发生信息泄漏和数据损坏;
(4)防止来自于互联网上各种恶意攻击;
(5)业务系统涉及到各种订单和资金的管理,需要防止授权侵犯;
(6)业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。
该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。
企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是一可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。
【问题1】
信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。
【问题2】
认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。
【问题3】
请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。
A.防火墙不能阻止信息传送
B.员工可建立FTP服务器外传文栏
C.没有设置进入网络的密码系统
D.没有在公司内部部署CA服务器
《密码法》要求在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依法使用核心密码、普通密码进行()、安全认证。
A.加密保护
B.绝对保护
C.严格保护
A.交易的真实性
B.交易的保密性和完整性
C.交易的可撤销性
D.交易的不可抵赖性
为了对计算机信息系统的安全威胁有更全面、更深刻的认识,信息应用系统安全威胁的分类方法一般用(24)三种“综合分类”方法。
A.高、中、低
B.对象的价值、实施的手段、影响(结果)
C.按风险性质、按风险结果、按风险源
D.自然事件、人为事件、系统薄弱环节
论网络工程项目中信息系统的安全
企事业单位信息化能够实现高效率、低成本的运行,越来越受到人们的重视。目前,它已经渗透到企事业单位活动的各个阶段。在传统的企事业单位活动中,所涉及的不同企业或企业内部不同人员在相互交往中往往需要直接见面。但在企事业单位信息化中,更多的是通过计算机网络这一媒介,而不需要直接见面。这就要求在设计和实现企事业单位信息系统时,除了针对具体业务需求进行详细的分析,保证满足具体的业务需求之外,还要加强信息系统安全方面的考虑。
请围绕“网络工程项目中信息系统的安全”论题,依次从以下3个方面进行论述。
1.概要叙述你参与规划、设计的网络工程项目及你所担任的主要工作。
2.结合你的切身实践,深入讨论在该单位信息系统建设中,通常需要着重解决的安全问题。
3.结合你所参与规划、设计的网络工程项目的特点,详细论述你在该单位信息系统建设中,所采用的安全解决方案,并客观地分析、评价你的解决方案。
● 为了对计算机信息系统的安全威胁有更全面、更深刻的认识,信息应用系统安全威胁的分类方法一般用()三种“综合分类”方法。
A.高、中、低
B.对象的价值、实施的手段、影响(结果)
C.按风险性质、按风险结果、按风险源
D.自然事件、人为事件、系统薄弱环节
A.用户名/密码
B.动态密码
C.IC卡
D.USB Key
A.用户名/密码
B.动态密码
C.IC卡
D.USB Key
A.数据B.应用系统C.设备和人员D.基线配置
A.用户名/密码
B.IC卡
C.动态密码
D.USBKey认证