自考“信息資源管理”綱要（5）

五、信息系統(tǒng)安全管理
    1. 軟件系統(tǒng)安全的重要性
    2. 信息系統(tǒng)面臨的威脅和攻擊
    （1） 對(duì)實(shí)體的威脅和攻擊
    （2） 對(duì)信息的威脅和攻擊
    （3） 計(jì)算機(jī)犯罪
    （4） 計(jì)算機(jī)病毒
    3. 影響信息系統(tǒng)安全的主要因素
    （1） 自然因素
    （2） 認(rèn)為因素
    4. 信息系統(tǒng)安全的定義及其描述
    （1） 保密性
    （2） 可控制性
    （3） 審查性
    （4） 抗攻擊性
    5. 信息系統(tǒng)的安全策略和采取的主要措施
    （1） 法規(guī)保護(hù)
    （2） 行政管理
    （3） 人員教育
    （4） 技術(shù)措施
    6. 信息系統(tǒng)的安全技術(shù)
    （1） 實(shí)體安全
    （2） 數(shù)據(jù)安全
    （3） 軟件安全
    （4） 網(wǎng)絡(luò)安全
    （5） 安全管理
    （6） 病毒防治
    7. 數(shù)據(jù)庫安全的重要性及其基本安全要求
    8. 數(shù)據(jù)庫的保護(hù)機(jī)制和安全控制方法
    9. 數(shù)據(jù)加密的主要方法
    10. 影響軟件安全的主要形式
    1） 以軟件為手段，獲取未經(jīng)授權(quán)或授權(quán)以外的信息
    2） 以軟件為手段，阻礙信息系統(tǒng)的正常運(yùn)行或其他用戶的正常使用
    3） 以軟件為對(duì)象，破壞軟件完成指定功能
    4） 以軟件為對(duì)象，復(fù)制軟件
    11. 軟件安全的基本要求
    指軟件保護(hù)，即要禁止非法的拷貝和使用以及防止非法閱讀和修改。
    12. OS的安全控制手段
    *** 操作系統(tǒng)的安全控制：隔離控制和訪問控制
    1） 隔離控制：物理隔離，時(shí)間隔離，加密隔離，邏輯隔離
    2） 訪問控制方式：自主訪問控制，強(qiáng)制訪問控制，有限型訪問控制，共享/獨(dú)占型訪問控制
    *** 操作系統(tǒng)對(duì)存儲(chǔ)器的保護(hù)
    1） 單用戶，只需要防止用戶進(jìn)程不影響系統(tǒng)運(yùn)行
    2） 多用戶 ，目的是保證系統(tǒng)內(nèi)各任務(wù)互不干擾
    *** 操作系統(tǒng)對(duì)內(nèi)存的保護(hù) （主要采用邏輯隔離的方法）
    1） 基址/邊界寄存器
    2） 內(nèi)存標(biāo)志
    3） 分段技術(shù)
    4） 鎖保護(hù)
    13. 可信計(jì)算機(jī)系統(tǒng)的安全等級(jí)
    D級(jí)：小保護(hù)（基本上是不安全的，所有個(gè)人計(jì)算機(jī)都是D級(jí)）
    C級(jí)：任意保護(hù) C1級(jí)：任意安全保護(hù)
    C2級(jí)：受控存取保護(hù)
    B級(jí)：強(qiáng)制保護(hù) B1級(jí)：標(biāo)記安全保護(hù)
    B2級(jí)：結(jié)構(gòu)保護(hù)
    B3級(jí)：安全域
    A級(jí)：經(jīng)過驗(yàn)證的保護(hù)
    A1：經(jīng)過驗(yàn)證的設(shè)計(jì)
    A2：A1級(jí)之外的系統(tǒng)
    14. 應(yīng)用軟件安全問題
    ***應(yīng)用軟件的安全問題
    ***應(yīng)用軟件開發(fā)的安全問題
    15. 軟件產(chǎn)品保護(hù)的法規(guī)與技術(shù)
    16. 網(wǎng)絡(luò)資源的安全問題
    17. 影響網(wǎng)絡(luò)安全的主要因素
    1） 自然因素
    2） 人為因素
    3） 管理因素
    4） 政策因素
    5） 通信因素
    6） 計(jì)算機(jī)上
    18. 網(wǎng)絡(luò)系統(tǒng)應(yīng)具備的安全功能
    1） 對(duì)象認(rèn)證
    2） 訪問控制
    3） 數(shù)據(jù)保密性
    4） 數(shù)據(jù)可審查性
    5） 不可抵賴性
    19. 網(wǎng)絡(luò)安全的主要技術(shù)措施
    （1） 網(wǎng)絡(luò)中的數(shù)據(jù)加密
    （2） 網(wǎng)絡(luò)中的存取控制
    （3） 安全性檢測
    （4） 有線性檢測
    （5） 防火墻技術(shù)
    （6） 網(wǎng)絡(luò)中的通訊留糧分析流量控制
    （7） 安全管理
    （8） 端口保護(hù)
    20. 信息系統(tǒng)安全管理的組織機(jī)構(gòu)及其職能
    ***信息系統(tǒng)安全管理機(jī)構(gòu)的作用
    ***信息系統(tǒng)安全管理機(jī)構(gòu)的構(gòu)成及職能P207
    1） 安全機(jī)構(gòu)
    A. 安全審查機(jī)構(gòu)
    B. 安全決策機(jī)構(gòu)
    C. 高主管領(lǐng)導(dǎo)
    D. 系統(tǒng)主觀領(lǐng)導(dǎo)
    E. 安全管理機(jī)構(gòu)
    2） 管理機(jī)構(gòu)
    A. 安全管理人員
    B. 安全審計(jì)人員
    C. 報(bào)安人員
    D. 系統(tǒng)管理人員
    3） 安全人員的管理
    A. 人員審查和錄用
    B. 確定崗位和職責(zé)范圍
    C. 定期培訓(xùn)
    D. 工作評(píng)價(jià)
    E. 人事檔案管理
    21. 信息系統(tǒng)進(jìn)行安全管理的原則和主要內(nèi)容
    ***信息系統(tǒng)進(jìn)行安全管理的原則：
    1） 多人負(fù)責(zé)原則
    2） 任期有限原則
    3） 職責(zé)分離原則
    ***信息系統(tǒng)進(jìn)行安全管理的主要內(nèi)容：
    1） 同一性檢查
    2） 用戶使用權(quán)限檢查
    3） 建立運(yùn)行日志
    ***安全管理的實(shí)現(xiàn)，應(yīng)做好如下工作：
    1） 確定系統(tǒng)的安全等級(jí)和安全管理的范圍
    2） 限制數(shù)據(jù)的提供
    3） 建立科學(xué)的機(jī)房管理制度
    4） 協(xié)助用戶用好計(jì)算機(jī)