信息系统安全某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:①合法用户可以安全地使用该系统完成业务。②灵活的用户权限管理。③保护系统数据的安全,不会发生信息泄露和数据损坏。④防止来自于互联网上的各种恶意攻击。⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出

题目

信息系统安全 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: ①合法用户可以安全地使用该系统完成业务。 ②灵活的用户权限管理。 ③保护系统数据的安全,不会发生信息泄露和数据损坏。 ④防止来自于互联网上的各种恶意攻击。 ⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。 ⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。 认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。

相似考题

1.信息系统安全某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:①合法用户可以安全地使用该系统完成业务。②灵活的用户权限管理。③保护系统数据的安全,不会发生信息泄露和数据损坏。④防止来自于互联网上的各种恶意攻击。⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。

2.信息系统安全某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:①合法用户可以安全地使用该系统完成业务。②灵活的用户权限管理。③保护系统数据的安全,不会发生信息泄露和数据损坏。④防止来自于互联网上的各种恶意攻击。⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。

3.● 某企业内部现有的主要业务功能已经封装为Web服务。为了拓展业务范围,需要将现有的业务功能进行多种组合,形成新的业务功能。针对业务灵活组合这一要求,采用(51) 架构风格最为合适。(51)A. 管道-过滤器B. 解释器C. 显式调用D. 黑板

4.信息系统安全某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:①合法用户可以安全地使用该系统完成业务。②灵活的用户权限管理。③保护系统数据的安全,不会发生信息泄露和数据损坏。④防止来自于互联网上的各种恶意攻击。⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。

更多“信息系统安全 某企业根据业务扩张的要求,需要将原有的业”相关问题

  • 第1题:

    () 阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1至问题3。 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,但此时系统的安全性成为一个非常重要的设计需求。【问题1】(8分) 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。【问题2】(7分) 认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。


    正确答案:()
    【问题1】
      信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等多个方面。
      物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄漏。
      通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
      网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。
      操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如“木马”和“陷阱门”等。
      应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到“木马”的威胁。
      管理系统安全威胁指的是人员管理和各种安全管理制度。
    【问题2】
      目前主要的认证方式有三类:
      (1)用户名和口令认证:主要是通过一个客户端与服务器共知的口令(或与口令相关的数据)进行验证。根据处理形式的不同,分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据。
      (2)使用令牌认证:该方式中,进行验证的密钥存储于令牌中,目前的令牌包括安全证书和智能卡等方式。
      (3)生物识别认证:主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据该企业的业务特征,采用令牌认证较为合适。


        本题考查信息系统的安全威胁以及采用的常用方案。
      信息系统面临的安全主要包括信息系统所依赖环境的安全、信息系统自身安全和使用信息系统的人员管理和相关规章制度。
      信息系统所依赖的环境带来的安全威胁有物理环境、通信链路和操作系统。物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄漏。通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如“木马”和“陷阱门”等。
      应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到“木马”的威胁。
      管理系统安全威胁指的是人员管理和各种安全管理制度。所谓的安全措施,是指“三分技术 ,七分管理”。
      在信息系统安全中,认证是必不可少的环节。常见的认证方式有三种:(1)用户名和口令认证;主要是通过一个客户端与服务器共知的口令(或与口令相关的数据)进行验证。根据处理形式的不同,分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据。(2)使用令牌认证:该方式中,进行验证的密钥存储于令牌中,目前的令牌包括安全证书和智能卡等方式。(3)生物识别认证:主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据该企业原有信息系统中的认证方式,并考虑到接入因特网后的用户特征,采用令牌认证的方式较为适合。

  • 第2题:

    某企业内部现有的主要业务功能已封装成为Web服务。为了拓展业务范围,需要将现有的业务功能进行多种组合,形成新的业务功能。针对业务灵活组合这一要求,采用( )架构风格最为合适。

    A.规则系统 B.面向对象 C.黑板 D.解释器


    正确答案:D

  • 第3题:

    等级的概念首先出现在国家标准()中。。

    • A、《信息系统安全保护等级定级指南》
    • B、《计算机信息系统安全保护等级划分准则》
    • C、《信息系统安全等级保护基本要求》
    • D、《信息系统安全等级保护测评要求》

    正确答案:B

  • 第4题:

    某企业负责人关于信息化的下列说法中,错误的有()

    • A、公司信息系统建设由信息部领导负全责
    • B、信息化要大力推进,各个部门要认真结合业务梳理流程,各自开发自身的业务信息系统
    • C、加强信息系统运行与维护的管理,建立和完善信息系统安全保密和泄密责任追究、用户管理、数据定期备份、信息系统安全保密和泄密责任追究等制度,确保系统安全运转
    • D、已用的信息系统不适应业务开展的,应由信息部门及时变更

    正确答案:A,B,D

  • 第5题:

    由于业务系统原因影响数据质量,需修改、优化应用系统功能的,按照公司()进行。

    • A、信息系统安全规定
    • B、信息系统运维规定
    • C、信息系统检修管理规定
    • D、信息系统使用规定

    正确答案:B

  • 第6题:

    某企业某年12月份发生以下经济业务,要求编制有关的会计分录: 企业根据需要将盈余公积20000元转增资本。


    正确答案:借:盈余公积 20000
    贷:实收资本 20000

  • 第7题:

    企业信息资产的管理和控制的描述不正确的是()。

    • A、企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任
    • B、企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施
    • C、企业的信息资产不应该分类分级,所有的信息系统要统一对待
    • D、企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产

    正确答案:C

  • 第8题:

    各级机构根据兴业银行企业金融客户授信尽职管理办法等相关制度要求和需要,在办理下列哪些业务时,可向企业征信系统查询企业信用信息?()

    • A、审核企业信贷业务申请的,包括贷前调查、审查审批、放款下柜等
    • B、审核企业信贷业务申请,需了解其关联企业信用信息的
    • C、审核企业作为担保人的
    • D、对已在兴业银行办理信贷业务的企业进行贷后管理的

    正确答案:A,B,C,D

  • 第9题:

    单选题
    非展业通标准银监会小企业的授信业务,有哪些注意事项:()
    A

     谨慎介入该种小企业的授信业务

    B

     各种授信要求均需符合交通银行对企业授信的相关要求

    C

     授信业务申报,需上各分行贷审会进行审批

    D

     以上全部


    正确答案: D
    解析: 暂无解析

  • 第10题:

    单选题
    企业信息资产的管理和控制的描述不正确的是()。
    A

    企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任

    B

    企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施

    C

    企业的信息资产不应该分类分级,所有的信息系统要统一对待

    D

    企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产


    正确答案: A
    解析: 暂无解析

  • 第11题:

    问答题
    某企业某年12月份发生以下经济业务,要求编制有关的会计分录: 企业根据需要将盈余公积20000元转增资本。

    正确答案: 借:盈余公积 20000
    贷:实收资本 20000
    解析: 暂无解析

  • 第12题:

    多选题
    ()为确定信息系统安全保护等级提供支持。
    A

    《计算机信息系统安全保护等级划分准则》

    B

    《信息安全技术信息系统安全等级保护定级指南》

    C

    《信息安全技术信息系统安全等级保护基本要求》

    D

    《信息安全技术操作系统安全技术要求》

    E

    《信息系统安全等级保护行业定级细则》


    正确答案: A,D
    解析: 暂无解析

  • 第13题:

    根据计算机信息系统安全保护等级划分准则,安全要求最低的是( )。


    正确答案:B
    在我国,以《计算机信息系统安全保护等级划分准则》(GB1859—1999)为指导,将信息和信息系统的安全保护分为5个等级,按其安全要求由低到高分别为;自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。

  • 第14题:

    下面关于信息系统安全保障的说法不正确的是()

    • A、信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关
    • B、信息系统安全保障要素包括信息的完整性、可用性和保密性
    • C、信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障
    • D、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命

    正确答案:B

  • 第15题:

    信息系统安全只包括业务信息安全


    正确答案:错误

  • 第16题:

    企业发生合并、分立、重组以及改制等事项,需承继原建筑业企业资质的,应当申请重新核定建筑业企业资质等级。


    正确答案:正确

  • 第17题:

    根据《计算机信息系统安全保护条例》的规定,公安机关对计算机信息系统安全保护工作行使的监督职权包括()。

    • A、监督、检查、指导计算机信息系统安全保护工作
    • B、查处危害计算机信息系统安全的违法犯罪案件
    • C、履行计算机信息系统安全保护工作的其他监督职责
    • D、监控公民的个人信息
    • E、监控企业信息

    正确答案:A,B,C

  • 第18题:

    信息系统安全保障要求包括哪些内容()

    • A、信息系统安全技术架构能力成熟度要求、信息系统安全管理能力成熟度要求、信息系统安全工程能力成熟度要求
    • B、信息系统技术安全保障要求、信息系统管理安全保障要求、信息系统安全工程安全保障要求
    • C、系统技术保障技术要求、信息系统管理保障控制需求、信息系统工程保障控制需求
    • D、系统安全保障目的、环境安全保障目的

    正确答案:C

  • 第19题:

    下列信息系统安全说法正确的是()。

    • A、加固所有的服务器和网络设备就可以保证网络的安全
    • B、只要资金允许就可以实现绝对的安全
    • C、断开所有的服务可以保证信息系统的安全
    • D、信息系统安全状态会随着业务的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略

    正确答案:D

  • 第20题:

    判断题
    企业发生合并、分立、重组以及改制等事项,需承继原建筑业企业资质的,应当申请重新核定建筑业企业资质等级。
    A

    B


    正确答案:
    解析: 暂无解析

  • 第21题:

    单选题
    下面关于信息系统安全保障的说法不正确的是()
    A

    信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关

    B

    信息系统安全保障要素包括信息的完整性、可用性和保密性

    C

    信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障

    D

    信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命


    正确答案: B
    解析: 暂无解析

  • 第22题:

    问答题
    信息系统安全 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: ①合法用户可以安全地使用该系统完成业务。 ②灵活的用户权限管理。 ③保护系统数据的安全,不会发生信息泄露和数据损坏。 ④防止来自于互联网上的各种恶意攻击。 ⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。 ⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。

    正确答案: 信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统及管理等多个方面。
    物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄露。
    通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
    网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。
    操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如"木马"和"陷阱门"等。
    应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到"木马"的威胁。
    管理系统安全威胁指的是人员管理和各种安全管理制度。
    解析: 这是一道信息系统安全的试题。对于任何一个系统而言,安全性都是至关重要的,可以说一个系统的安全性如果得不到保障,那么该系统的功能越强大,造成的危害也就越大。
    问题1是概念题,信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统及管理等多个方面。
    物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄露。
    通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
    网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。
    操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如"木马"和"陷阱门"等。
    应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到"木马"的威胁。
    管理系统安全威胁指的是人员管理和各种安全管理制度。
    问题2考到了认证方式,认证方式是大家平时接触得非常多的一项技术。如最简单的就是用户名/密码方式、持卡方式的IC门卡、生物技术认证方式的指纹、网上银行通常用例的数字证书等。
    问题3属于技术应用型的题。给出了一些现象,让考生分析原因,分析缺陷。从描述来看,我们可以很明显得知系统缺乏安全审计的策略。而在安全体系中,审计占有非常重要的地位,安全审计系统可以帮助发现系统入侵和漏洞、帮助发现系统性能上的不足、为一些安全案件提供有效的追究证据。同时缺乏抗抵赖的机制。

  • 第23题:

    多选题
    下面选项关于信息系统安全等级保护说法正确的是()
    A

    从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级

    B

    信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定

    C

    从系统服务安全角度反映的信息系统安全保护等级称为业务信息安全保护等级

    D

    从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级

    E

    从业务信息安全角度反映的信息系统安全保护等级称为系统服务安全保护等级


    正确答案: D,E
    解析: 暂无解析

  • 第24题:

    单选题
    下列信息系统安全说法正确的是()。
    A

    加固所有的服务器和网络设备就可以保证网络的安全

    B

    只要资金允许就可以实现绝对的安全

    C

    断开所有的服务可以保证信息系统的安全

    D

    信息系统安全状态会随着业务的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略


    正确答案: A
    解析: 暂无解析

相关内容