信息系统安全
某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:
①合法用户可以安全地使用该系统完成业务。
②灵活的用户权限管理。
③保护系统数据的安全,不会发生信息泄露和数据损坏。
④防止来自于互联网上的各种恶意攻击。
⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。
⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。
该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。
企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。
信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。
发布日期:2021-10-16
试题解析
系统安全
英文System Safety(注意与security保密性区别开);系统安全是指在系统生命周期内应用系统安全工程和系统安全管理方法,辨识系统中的隐患,并采取有效的控制措施使其危险性最小,从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。系统安全是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系,是系统工程与安全工程结合的完美体现。系统安全的基本原则就是在一个新系统的构思阶段就必须考虑其安全性的问题,制定并执行安全工作规划(系统安全活动),属于事前分析和预先的防护,与传统的事后分析并积累事故经验的思路截然不同。系统安全活动贯穿于生命整个系统生命周期,直到系统报废为止。
- 中文名
-
系统安全
- 解释
-
系统生命周期内应用系统安全工程
- 外文名
-
System Safety
- 目的
-
保护系统安全,降低隐患风险
业务
“业务”更白话一些来说,就是各行业中需要处理的事务,但通常偏向指销售的事务,因为任何公司单位最终仍然是以销售产品、销售服务、销售技术等等为主。“业务”最终的目的是“售出产品,换取利润”。所以通常会把业务员等于销售员,也就是这个原因,业务就是进行或处理商业上相关的活动。业务也是渠道就是指产家与销点之间关系是通过渠道之间建立起来的。而业务员在这中间起了重大的作用。业务员的工作直接影响到产家、销点、消费者这三者之间的关系。
- 中文名
-
业务
- 拼音
-
yè wù
- 外文名
-
Business
- 基本解释
-
个人或某个
扩张
扩张,汉语词语,读音为kuò zhāng,意思是指 “扩大范围、势力”。
- 中文名
-
扩张
- 外文名
-
expand;extend;
- 拼音
-
kuò zhāng
- 释义
-
扩大
正确答案:
信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统及管理等多个方面。
物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄露。
通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。
操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如'木马'和'陷阱门'等。
应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到'木马'的威胁。
管理系统安全威胁指的是人员管理和各种安全管理制度。
解析:
这是一道信息系统安全的试题。对于任何一个系统而言,安全性都是至关重要的,可以说一个系统的安全性如果得不到保障,那么该系统的功能越强大,造成的危害也就越大。
问题1是概念题,信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统及管理等多个方面。
物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄露。
通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。
操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如"木马"和"陷阱门"等。
应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到"木马"的威胁。
管理系统安全威胁指的是人员管理和各种安全管理制度。
问题2考到了认证方式,认证方式是大家平时接触得非常多的一项技术。如最简单的就是用户名/密码方式、持卡方式的IC门卡、生物技术认证方式的指纹、网上银行通常用例的数字证书等。
问题3属于技术应用型的题。给出了一些现象,让考生分析原因,分析缺陷。从描述来看,我们可以很明显得知系统缺乏安全审计的策略。而在安全体系中,审计占有非常重要的地位,安全审计系统可以帮助发现系统入侵和漏洞、帮助发现系统性能上的不足、为一些安全案件提供有效的追究证据。同时缺乏抗抵赖的机制。
题王网让考试变得更简单
扫码关注题王,更多免费功能准备上线!