信息系统安全某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:①合法用户可以安全地使用该系统完成业务。②灵活的用户权限管理。③保护系统数据的安全,不会发生信息泄露和数据损坏。④防止来自于互联网上的各种恶意攻击。⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出

题目

信息系统安全 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: ①合法用户可以安全地使用该系统完成业务。 ②灵活的用户权限管理。 ③保护系统数据的安全,不会发生信息泄露和数据损坏。 ④防止来自于互联网上的各种恶意攻击。 ⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。 ⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。 请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。

相似考题

1.试题五(25分)阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1至问题3。某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:(1)合法用户可以安全地使用该系统完成业务;(2)灵活的用户权限管理;(3)保护系统数据的安全,不会发生信息泄漏和数据损坏;(4)防止来自于互联网上各种恶意攻击;(5)业务系统涉及到各种订单和资金的管理,需要防止授权侵犯;(6)业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是一可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。【问题1】信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。【问题2】认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。【问题3】请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。

2.阅读以下关于信息系统安全性的叙述。某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:(1) 合法用户可以安全地使用该系统完成业务;(2) 灵活的用户权限管理;(3) 保护系统数据的安全,不会发生信息泄漏和数据损坏;(4) 防止来自于互联网上各种恶意攻击;(5) 业务系统涉及到各种订单和资金的管理,需要防止授权侵犯;(6) 业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取;王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。[问题1]信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。[问题2]认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。[问题3]请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。

3.安全性需求中的计算机系统安全需求是指()。A.对于系统中采用的数据库管理系统、其它基础软件和工具软件,应避免系统安全漏洞,降低攻击者入侵系统的可能性。业务应用系统软件应能阻止非授权访问。对于以数据库形式存放的各类信息资源,要重点保护其安全性,加强访问控制以及安全审计B.保护各种主机(服务器、桌面机等)的操作系统的安全。各种主机(服务器、桌面机等)要求能够抵抗各种入侵,防止病毒侵袭,要防止人为原因(如配置和管理不当)造成的系统安全漏洞。避免单点故障,要求对重要设备采取必要的备份措施C.需要对计算机、网络设备、环境和介质采用严格的防护措施,确保其为信息系统的安全运行提供支持,防止由于物理原因造成的信息的丢失和破坏。D.要求保障网络边界安全。要求具有完善的网络管理能力和网络防病毒能力。局域网环境、与外界连接的边界区域等要具有防止和抵抗外来入侵的能力。

4.() 阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1至问题3。 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,但此时系统的安全性成为一个非常重要的设计需求。【问题1】(8分) 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。【问题2】(7分) 认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。

更多“信息系统安全 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: ①合法用户可以安全地使用该系统完成业务。 ②灵活的用户权限管理。 ③保护系统数据的安全,不会发生信息泄露和数据损坏。 ④防止来自于互联网上的各种恶意攻击。 ⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。 ⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接”相关问题

  • 第1题:

    共用题干
    某电信企业建设的电信运营支撑系统包括四个子系统:营业系统、计费系统、网络管理系统和客户服务系统。某日,一个用户接到该企业系统自动发出的费用催缴通知,但该用户发现费用金额异常,通过拨打客服电话向该电信企业进行了投诉。客服人员对客户信息进行了记录,并按客户要求查询其使用记录,对账单进行核对,经过一段时间的调查,确认计费有误后,修改了计费数据,对客户进行了回访并解释了原因。

    在核对用户使用记录和账单时,需要调用的数据包括()。
    A:用户业务种类
    B:用户使用记录
    C:用户使用业务的费率
    D:用户的终端型号

    答案:A,B,C
    解析:
    本题考查电信运营支撑系统。计费账务系统中的综合账务功能,包括账单管理、欠账等方面。本题中系统可以自动发出费用催缴通知,涉及了计费账务系统。客户服务系统可以满足用户的查询、咨询等要求。本题中客服人员按照客户要求查询了其使用记录,说明涉及了客户服务系统。


    本题考查客户服务系统的主动服务功能。客户服务系统的主动服务功能中的业务包括服务营销、问卷调查、结果评估、客户回访、客户关怀、客户调查和费用催缴。


    本题考查核对用户使用记录和账单时需要调用的数据。正确答案是ABC。


    本题考查电信运营支撑系统的改进。本题中已经确认是计费有误,并且修改了计费数据,所以说明经营分析子系统中的数据处理功能还需要增强。另外,对于客户管理方面,也需要增强。

  • 第2题:

    某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: (1) 合法用户可以安全地使用该系统完成业务; (2) 灵活的用户权限管理; (3) 保护系统数据的安全,不会发生信息泄漏和数据损坏; (4) 防止来自于互联网上各种恶意攻击; (5) 业务系统涉及到各种订单和资金的管理,需要防止授权侵犯; (6) 业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取;王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。 [问题1](8分) 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。 [问题2](8分) 认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。 [问题3](9分) 请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。


    答案:
    解析:
    [问题1] 信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等多个方面。 物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄漏。 通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。 网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。 操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如“木马”和“陷阱门”等。 应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到“木马”的威胁。 管理系统安全威胁指的是人员管理和各种安全管理制度。[问题2] 目前主要的认证方式有三类: (1) 用户名和口令认证:主要是通过一个客户端与服务器共知的口令(或与口令相关的数据)进行验证。根据处理形式的不同,分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据。 (2) 使用令牌认证:该方式中,进行验证的密钥存储于令牌中,目前的令牌包括安全证书和智能卡等方式。 (3) 生物识别认证:主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据该企业的业务特征,采用令牌认证较为合适。[问题3] 授权侵犯指的是被授权以某一目的使用某一系统或资源的某个人,将此权限用于其他非授权的目的,也称作“内部攻击”。 针对王工的建议,从系统安全架构设计的角度需要提供抗抵赖框架。 抗抵赖服务包括证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。 框架中抗抵赖服务的目的是提供有关特定事件或行为的证据。例如,必须确认数据原发者和接收者的身份和数据完整性,在某些情况下,可能需要涉及上下文关系(如日期、时间、原发者/接收者的地点等)的证据,等等。

  • 第3题:

    某企业负责人关于信息化的下列说法中,错误的有()

    • A、公司信息系统建设由信息部领导负全责
    • B、信息化要大力推进,各个部门要认真结合业务梳理流程,各自开发自身的业务信息系统
    • C、加强信息系统运行与维护的管理,建立和完善信息系统安全保密和泄密责任追究、用户管理、数据定期备份、信息系统安全保密和泄密责任追究等制度,确保系统安全运转
    • D、已用的信息系统不适应业务开展的,应由信息部门及时变更

    正确答案:A,B,D

  • 第4题:

    某电信企业建设的电信运营支撑系统包括四个子系统:营业系统、计费系统、网络管理系统和客户服务系统。某日,一个用户接到该企业系统自动发出的费用催缴通知,但该用户发现费用金额异常,通过拨打客服电话向该电信企业进行了投诉。客服人员对客户信息进行了记录,并按客户要求查询其使用记录,对账单进行核对,经过一段时间的调查,确认计费有误后,修改了计费数据,对客户进行了回访并解释了原因。在核对用户使用记录和账单时,需要调用的数据包括()。

    • A、用户业务种类
    • B、用户使用记录
    • C、用户使用业务的费率
    • D、用户的终端型号

    正确答案:A,B,C

  • 第5题:

    由于业务系统原因影响数据质量,需修改、优化应用系统功能的,按照公司()进行。

    • A、信息系统安全规定
    • B、信息系统运维规定
    • C、信息系统检修管理规定
    • D、信息系统使用规定

    正确答案:B

  • 第6题:

    概念数据模型是面向()设计的。

    • A、数据库管理系统
    • B、操作系统
    • C、用户的业务
    • D、数据的管理

    正确答案:C

  • 第7题:

    信息系统安全 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: ①合法用户可以安全地使用该系统完成业务。 ②灵活的用户权限管理。 ③保护系统数据的安全,不会发生信息泄露和数据损坏。 ④防止来自于互联网上的各种恶意攻击。 ⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。 ⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。


    正确答案: 信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统及管理等多个方面。
    物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄露。
    通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
    网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。
    操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如"木马"和"陷阱门"等。
    应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到"木马"的威胁。
    管理系统安全威胁指的是人员管理和各种安全管理制度。

  • 第8题:

    按系统层次分,信息系统可分为若干层,其中业务层是()。

    • A、用户通过用户界面操作应用功能,完成业务工作
    • B、信息系统功能模型
    • C、信息系统业务模型,与管理制度流程配合
    • D、信息系统数据模型

    正确答案:C

  • 第9题:

    统一报表系统总行业务管理员主要负责包括()。

    • A、负责系统业务指标参数管理、系统机构管理、报表数据监测、业务需求管理、报表业务测试、报表口径管理、报表信息发布、报表归档管理、报表清理管理等报表全流程管理职责
    • B、负责总行用户角色分配、分行业务管理员的配置和角色分配
    • C、负责系统数据质量管理、信息安全管理、应急演练等日常管理工作,确保系统正常使用
    • D、组织系统培训和推广工作

    正确答案:A,B,C,D

  • 第10题:

    单选题
    在信息系统分析中,数据流图反映()
    A

    系统的业务流程

    B

    系统的信息处理过程

    C

    用户的信息需求和系统的逻辑功能

    D

    用户操作使用方面的要求


    正确答案: C
    解析: 暂无解析

  • 第11题:

    单选题
    ()主要完成用户的业务交换功能以及用户数据与移动性管理、安全性管理所需的数据库功能。
    A

    移动交换子系统(SSS)

    B

    基站子系统(BSS)

    C

    运行和维护子系统(OSS)

    D

    通用分组无线业务子系统(GPRS)


    正确答案: D
    解析: 暂无解析

  • 第12题:

    多选题
    合规与风险管理部的监控职责有()。
    A

    对相关业务进行实时监控、风险分析和报告

    B

    设定业务监控指标

    C

    管理风险监控系统用户及其访问权限

    D

    监督险监控系统用户操作和系统运行等工作

    E

    根据监管要求和公司业务发展情况提出系统改进和完善的需求


    正确答案: C,D
    解析: 暂无解析

  • 第13题:

    阅读以下关于Web系统设计的叙述,在答题纸上回答问题1至问题3。【说明】某银行拟将以分行为主体的银行信息系统,全面整合为由总行统管理维护的银行信 息系统,实现统一的用户账户管理、转账汇款、自助缴费、理财投资、贷款管理、网上支付、财务报表分析等业务功能。但是,由于原有以分行为主体的银行信息系统中,多个业务系统采用异构平台、数据库和中间件,使用的报文交换标准和通信协议也不尽相同,使用传统的EAI解决方案根本无法实现新的业务模式下异构系统间灵活的交互和集成。因此,为了以最小的系统改进整合现有的基于不同技术实现的银行业务系统,该银行拟采用基于ESB的面向服务架构(SOA)集成方案实现业务整合。【问题1】(7分)请说明什么是面向服务架构(SOA) 以及ESB在SOA中的作用与特点。
    【问题2】(12分)ESB的工作流程如下图所示,请简述企业级服务总线需要具备哪些功能。

    【问题3】 (6分)针对银行信息系统的数据交互安全性需求,列举3种可实现信息系统安全保障的措施。


    答案:
    解析:
    【问题1】SOA是一个组件模型,它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的,它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以一种统一和通用的方式进行交互。ESB作用与特点:1、SOA的一种实现方式, ESB在面向服务的架构中起到的是总线作用,将各种服务进行连接与整合;2、描述服务的元数据和服务注册管理;3、 在服务请求者和提供者之间传递数据,以及对这些数据进行转换的能力,并支持由实践中总结出来的一些模式如同步模式、异步模式等;4、发现、路由、匹配和选择的能力,以支持服务之间的动态交互,解耦服务请求者和服务提供者。高级一些的能力,包括对安全的支持、服务质量保证、可管理性和负载平衡等。【问题2】1、 服务统一管理为整个系统提供一个统一的、标准的、可靠的、可扩展的服务管理平台。2、集成服务提供基础的服务与定制的服务;支持集成服务模式;支持服务的分解,服务调度和路由,服务封装,服务组合。3、公用服务提供内置的各种公用服务。例如,认证服务,日志服务等。4、服务协议转换通过把不同的通信协议转换成标准的报文,屏蔽异构系统的底层技术差异。5、服务监控提供服务等级管理及流量管理。提供多角度的服务实时监控、报警与交易分析报表。6、安全体系提供多种安全机制并支持和第三方安全系统的有效集成,提供有效的安全监控机制。
    【问题3】1、引入https协议或采用加密技术对数据先加密再传输2、采用信息摘要技术对重要信息进行完整性验证3、交易类敏感信息采用数字签名机制

  • 第14题:

    软件需求是多层次的,包括业务需求,用户需求,系统需求,其中业务需求( )。

    A.反映了企业或客户对系统高层次的目标要求。
    B.描述了用户具体目标或用或者用户要求系统必须完成的任务,
    C.从系统角度来说明软件的需求,包括功能需求,非功能需求和设计约束
    D.描述了用户认为系统应该具备的功能和性能

    答案:A
    解析:
    业务需求是指反映企业或客户对系统高层次的目标要求,通常来自项目投资人、购买产品的客户、客户单位的管理人员、市场营销部门或产品策划部门等。通过业务需求可以确定项目视图和范围,项目视图和范围文档把业务需求集中在一个简单、紧凑的文档中,该项目为以后的开发工作奠定了基础。
    业务需求是个常考点,记忆关键词,业务需求对应”企业客户“”高层次“

  • 第15题:

    访问授权以“必需知道”和“最小授权”为原则,确保用户在信息系统内的活动只限于相关业务能合法开展所要求的最低限度是属于()。

    • A、完善信息系统的访问控制
    • B、加强主机系统及开放平台系统的安全管理
    • C、网络系统安全管理
    • D、确保用户终端安全

    正确答案:A

  • 第16题:

    银行通过直联或间联的方式接入RCFE系统,下列关于直联、间联说法正确的是()。

    • A、RCFE与RCPMIS间连:需登录RCPMIS客户端查询、上传信息
    • B、RCFE与RCPMIS直连:可不登录RCPMIS客户端
    • C、业务系统与RCPMIS直连:可不登录RCPMIS客户端,关键数据直接取自业务系统
    • D、直联可以使银行从自身业务系统中直接取跨境人民币收支发生的交易主体、发生日期、金额等基础信息,在补录相关信息后报送系统
    • E、银行以间联方式接入系统的,需根据业务需要设置银行用户
    • F、银行以直联方式接入系统的,需根据业务需要设置银行用户

    正确答案:A,B,C,D,E

  • 第17题:

    ()主要完成用户的业务交换功能以及用户数据与移动性管理、安全性管理所需的数据库功能。

    • A、移动交换子系统(SSS)
    • B、基站子系统(BSS)
    • C、运行和维护子系统(OSS)
    • D、通用分组无线业务子系统(GPRS)

    正确答案:A

  • 第18题:

    在信息系统分析中,数据流图反映()

    • A、系统的业务流程
    • B、系统的信息处理过程
    • C、用户的信息需求和系统的逻辑功能
    • D、用户操作使用方面的要求

    正确答案:C

  • 第19题:

    信息系统安全 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: ①合法用户可以安全地使用该系统完成业务。 ②灵活的用户权限管理。 ③保护系统数据的安全,不会发生信息泄露和数据损坏。 ④防止来自于互联网上的各种恶意攻击。 ⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。 ⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。 认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。


    正确答案: 目前主要的认证方式有以下3类:
    ①用户名和口令认证:主要是通过一个客户端与服务器共知的口令(或与口令相关的数据)进行验证。根据处理形式的不同,分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据。
    ②使用令牌认证:该方式中,进行验证的密钥存储于令牌中,目前的令牌包括安全证书和智能卡等方式。
    ③生物识别认证:主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据该企业的业务特征,采用令牌认证较为合适。

  • 第20题:

    在531工程下,()系统向所有业务系统提供统一的机构、用户信息。

    • A、企业级用户信息管理系统
    • B、核心系统
    • C、CIMS系统
    • D、企业级客户信息管理系统

    正确答案:A

  • 第21题:

    单选题
    在531工程下,()系统向所有业务系统提供统一的机构、用户信息。
    A

    企业级用户信息管理系统

    B

    核心系统

    C

    CIMS系统

    D

    企业级客户信息管理系统


    正确答案: C
    解析: 暂无解析

  • 第22题:

    问答题
    信息系统安全 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: ①合法用户可以安全地使用该系统完成业务。 ②灵活的用户权限管理。 ③保护系统数据的安全,不会发生信息泄露和数据损坏。 ④防止来自于互联网上的各种恶意攻击。 ⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。 ⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。

    正确答案: 信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统及管理等多个方面。
    物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄露。
    通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
    网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。
    操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如"木马"和"陷阱门"等。
    应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到"木马"的威胁。
    管理系统安全威胁指的是人员管理和各种安全管理制度。
    解析: 这是一道信息系统安全的试题。对于任何一个系统而言,安全性都是至关重要的,可以说一个系统的安全性如果得不到保障,那么该系统的功能越强大,造成的危害也就越大。
    问题1是概念题,信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统及管理等多个方面。
    物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄露。
    通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
    网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。
    操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如"木马"和"陷阱门"等。
    应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到"木马"的威胁。
    管理系统安全威胁指的是人员管理和各种安全管理制度。
    问题2考到了认证方式,认证方式是大家平时接触得非常多的一项技术。如最简单的就是用户名/密码方式、持卡方式的IC门卡、生物技术认证方式的指纹、网上银行通常用例的数字证书等。
    问题3属于技术应用型的题。给出了一些现象,让考生分析原因,分析缺陷。从描述来看,我们可以很明显得知系统缺乏安全审计的策略。而在安全体系中,审计占有非常重要的地位,安全审计系统可以帮助发现系统入侵和漏洞、帮助发现系统性能上的不足、为一些安全案件提供有效的追究证据。同时缺乏抗抵赖的机制。

  • 第23题:

    单选题
    访问授权以“必需知道”和“最小授权”为原则,确保用户在信息系统内的活动只限于相关业务能合法开展所要求的最低限度是属于()。
    A

    完善信息系统的访问控制

    B

    加强主机系统及开放平台系统的安全管理

    C

    网络系统安全管理

    D

    确保用户终端安全


    正确答案: B
    解析: 暂无解析

相关内容