2015《公司戰(zhàn)略》簡答題易考點：信息系統(tǒng)安全管理策略

　　【東奧小編】現(xiàn)階段進入2015年注會強化提高沖刺備考期,，為幫助考生們在最后階段提高備考效率,，我們根據(jù)2015年注冊會計師考試大綱為考生們總結(jié)了《公司戰(zhàn)略與風(fēng)險管理》科目的選擇題,、簡答題和綜合題易考點,，下面我們一起來復(fù)習(xí)2015《公司戰(zhàn)略與風(fēng)險管理》簡答題易考點：信息系統(tǒng)安全管理策略,。

　　本考點能力等級：

　　能力等級 2—— 基本應(yīng)用能力

　　考生應(yīng)當(dāng)在理解基本理論,、基本原理和相關(guān)概念的基礎(chǔ)上,，在比較簡單的職業(yè)環(huán)境上，堅守職業(yè)價值觀,、遵循職業(yè)道德,、堅持職業(yè)態(tài)度,，運用相關(guān)專業(yè)學(xué)科知識解決實務(wù)問題,。

　　本知識點屬于《公司戰(zhàn)略與風(fēng)險管理》科目第八章管理信息系統(tǒng)的應(yīng)用與管理第三節(jié)信息系統(tǒng)管理的內(nèi)容。

　　

　　簡答題易考點：信息系統(tǒng)安全管理策略

　　1.基于網(wǎng)絡(luò)的安全策略,。

　　管理者為防止對網(wǎng)絡(luò)的非法訪問或非授權(quán)用戶使用的情況發(fā)生,，應(yīng)采取以下策略。

　　(1)監(jiān)視日志,。

　�,、僮x取日志，根據(jù)日志的內(nèi)容至少可確定訪問者的情況;

　�,、诖_保日志本身的安全;

　�,、蹖θ罩具M行定期檢查;

　　④應(yīng)將日志保存到下次檢查時,。

　　(2)對不正當(dāng)訪問的檢測功能,。

　　當(dāng)出現(xiàn)不正當(dāng)訪問時應(yīng)設(shè)置能夠?qū)⑵洳槌霾⑼ㄖ�風(fēng)險管理者的檢測功能。

　�,、僭O(shè)置對網(wǎng)絡(luò)及主機等工作狀態(tài)的監(jiān)控功能;

　�,、谌衾�用終端進行訪問，則對該終端設(shè)置指定功能;

　�,、墼O(shè)置發(fā)現(xiàn)異常情況時能夠使網(wǎng)絡(luò),、主機等停止工作的功能。

　　(3)口令,。

　　對依據(jù)口令進行認證的網(wǎng)絡(luò)應(yīng)采取以下策略：

　�,、儆脩舯仨氃O(shè)定口令，并努力做到保密;

　�,、谌粲脩粼O(shè)定口令時,，應(yīng)指導(dǎo)他們盡量避免設(shè)定易于猜測的詞語，并在系統(tǒng)上設(shè)置拒絕這種口令的機制;

　�,、壑笇�(dǎo)用戶每隔適當(dāng)時間就更改口令,，并在系統(tǒng)中設(shè)置促使更改的功能;

　　④限制口令的輸入次數(shù),，采取措施使他人難以推測口令;

　�,、萦脩粢坏┩�記口令，就提供口令指示，確認后口令恢復(fù);

　�,、迣�口令文本采取加密方��,，努力做到保密;

　　⑦在網(wǎng)絡(luò)訪問登錄時,，進行身份識別和認證;

　�,、鄬τ谡J證方法，應(yīng)按照信息系統(tǒng)的安全需求進行選擇;

　�,、嵩O(shè)定可以確認前次登錄日期與時間的功能,。

　　(4)用戶身份識別(用戶ID)管理

　　①對于因退職,、調(diào)動,、長期出差或留學(xué)而不再需要或長期不使用的用戶ID予以注銷;

　　②對長期未進行登記的用戶以書面形式予以通知,。

　　(5)加密,。

　　①進行通信時根據(jù)需要對數(shù)據(jù)實行加密;

　�,、谝�切實做好密鑰的保管工作,，特別是對用戶密鑰進行集中保管時要采取妥善的保管措施。

　　(6)數(shù)據(jù)交換,。

　�,、僭谶M行數(shù)據(jù)交換之前，對欲進行通信的對象進行必要的認證;

　�,、谝詳�(shù)字簽名等形式確認數(shù)據(jù)的完整性;

　�,、墼O(shè)定能夠證明數(shù)據(jù)發(fā)出和接收以及可以防止欺騙的功能;

　　④在前三步利用加密操作的情況下,，對用戶的密鑰進行集中管理時,，要尋求妥善的管理方法。

　　(7)災(zāi)害策略,。

　　為防止因災(zāi)害,、事故造成線路中斷，有必要做成熱備份線路,。

　　2.基于主機的安全策略,。

　　管理者為防止發(fā)生對主機非法訪問或未授權(quán)用戶使用等情況，應(yīng)采取以下策略,。

　　(1)監(jiān)視日志

　�,、僮x取日志，根據(jù)日志的內(nèi)容至少可確定訪問者的情況;

　�,、诖_保日志本身的安全;

　�,、蹖θ罩具M行定期檢查;

　�,、軕�(yīng)將日志保存到下次檢查時;

　　⑤具備檢測不正當(dāng)訪問的功能;

　�,、拊O(shè)置出現(xiàn)不正當(dāng)訪問時,，能夠?qū)⑵洳槌霾⑼ㄖ�風(fēng)險管理者的功能。

　　(2)口令,。

　　對依據(jù)口令進行認證的主機等應(yīng)采取以下策略：

　�,、儆脩舯仨氃O(shè)定口令，并努力做到保密;

　�,、谌粲脩粼O(shè)定口令時,，應(yīng)指導(dǎo)他們盡量避免設(shè)定易于猜測的詞語，并在系統(tǒng)上設(shè)置拒絕這種口令的機制;

　�,、壑笇�(dǎo)用戶每隔適當(dāng)時間就更改口令,，并在系統(tǒng)中設(shè)置促使更改的功能;

　�,、芟拗瓶诹畹妮斎氪螖�(shù),，采取措施使他人難以推測口令;

　　⑤用戶一旦忘記口令,，就提供口令指示,，確認后口令恢復(fù);

　　⑥對口令文本采取加密方法,，努力做到保密,。

　　(3)對主機的訪問。

　�,、僭谟涗浫罩緯r進行識別和認證;

　�,、趯τ谡J證方法，按照信息系統(tǒng)所需的安全要求進行選擇;

　�,、墼O(shè)置可以確認前次日志記錄日期的功能;

　�,、芨鶕�(jù)安全方針，除了對主機的訪問加以控制外,，對數(shù)據(jù)庫的數(shù)據(jù),、移動存儲設(shè)備也應(yīng)分別進行控制;

　　⑤為確保訪問控制等功能的安全,，有必要選擇具有相應(yīng)功能的操作系統(tǒng),。

　　(4)安全漏洞。

　�,、俨捎脤Ｓ密浖�,，對是否存在安全漏洞進行檢測;

　　②發(fā)現(xiàn)安全漏洞時,，要采取措施將其清除,。

　　(5)加密。

　　①在保管數(shù)據(jù)時,，要根據(jù)需要對數(shù)據(jù)進行加密;

　�,、谝�切實做好密鑰的保管工作，特別是對用戶密鑰進行集中保管時要采取妥善的保管措施,。

　　(6)對主機的管理,。

　　①應(yīng)采取措施使各裝置不易拆卸,、安裝或搬運;

　�,、谝�采取措施，避免顯示屏上的信息讓用戶以外的人直接得到或易于發(fā)現(xiàn),。

　　(7)預(yù)防災(zāi)害策略,。

　　①根據(jù)需要將裝置做成熱備份的,，要設(shè)置替代功能;

　�,、谠O(shè)置自動恢復(fù)功能。

　　3.基于設(shè)施的安全策略,。

　　管理者為了防止重要的計算機主機系統(tǒng)設(shè)施不受外部人員的侵入或遭受災(zāi)害,，應(yīng)采取以下辦法。

　　(1)授予資格,。

　�,、俳�立進入設(shè)施的資格(以下稱資格);

　　②資格授予最小范圍的必需者,，并限定資格的有效時間;

　�,、圪Y格僅授予個人;

　　④授予資格時,，要注明可能進入的設(shè)施范圍及進入設(shè)施的目的,。

　　(2)建立身份標(biāo)識。

　�,、賹�擁有資格的人員發(fā)給記有資格的有效期,、可進入的設(shè)施范圍及進入的目的等事項的身份標(biāo)識和IC卡等(以下稱身份證)

　　②制作標(biāo)識的材料應(yīng)采用不易偽造的材料,，另外要嚴(yán)格管理標(biāo)識原件(指存檔的),，不使之丟失。當(dāng)有資格的人員標(biāo)識遺失或損壞時,，應(yīng)立即報告安全總負責(zé)人,，并當(dāng)即宣布該標(biāo)識無效。

　　(3)設(shè)施出入管理,。

　�,、贋楂@準(zhǔn)進入設(shè)施,，要提交身份標(biāo)識確認資格;

　　②限定允許出入設(shè)施的期限;

　�,、蹖⒃试S進入人員的姓名,、準(zhǔn)許有效期限、可進入的設(shè)施范圍,、進入目的以及進入設(shè)施的許可(以下稱許可)等記錄下來并妥善保存;

　�,、茉试S進入的人員發(fā)給徽章等進入設(shè)施的標(biāo)志，并將該標(biāo)志佩戴在明顯的位置;

　�,、葸M入設(shè)施的標(biāo)志應(yīng)按照身份標(biāo)識中的②～④項要求執(zhí)行;

　�,、拊诮ㄖ�物或計算機房的出入口處查驗是否具有資格和許可;

　　⑦當(dāng)從設(shè)施中搬出或搬入物資時,，都應(yīng)對該物資和搬運工作進行查驗;

　�,、辔镔Y搬運出入時，應(yīng)記錄負責(zé)人的姓名,、物資名稱,、數(shù)量、搬運出入時間等,，并保存;

　�,、岜０踩藛T負責(zé)出入管理,。

　　(4)防范措施,。

　　①限定設(shè)施出入口的數(shù)量,，設(shè)置進行身份確認的措施;

　�,、谠谠O(shè)施內(nèi)裝設(shè)報警和防范攝像裝置，以便在發(fā)現(xiàn)侵入時采取必要的防范措施;

　�,、墼诮ㄖ���,、機房及外設(shè)間、配電室,、空調(diào)室,、主配電室、中間配電室,、數(shù)據(jù)保存室等的入口處設(shè)置報警裝置,，以便在發(fā)現(xiàn)侵入時采取必要的防范措施;

　　④讓保安人員在設(shè)施內(nèi)外進行巡視,。

　　(5)滅害策略,。

　　①設(shè)施的地點應(yīng)盡可能選在自然災(zāi)害較少的地方;

　�,、诮ㄖ�物��(yīng)選擇抗震,、防火結(jié)構(gòu);

　�,、鄹鞣N設(shè)備都應(yīng)采取措施，防止因地震所導(dǎo)致的移動,、翻倒或振動;

　�,、軆�(nèi)裝修應(yīng)使用耐燃材料，采取防火措施;

　�,、輰﹄娫丛O(shè)備要采取防止停電措施;

　�,、迣�空氣調(diào)節(jié)裝置要采取防火和防水措施，使用水冷或熱式空調(diào)設(shè)備時要采取防水的措施,。

　　4.基于數(shù)據(jù)管理的安全策略,。

　　(1)數(shù)據(jù)管理。

　�,、佼�(dāng)重要數(shù)據(jù)的日志不再使用時,，應(yīng)先將數(shù)據(jù)淸除，再將存儲介質(zhì)破壞,，隨后立即將該記錄文件銷毀;

　�,、趯τ涗浻兄匾獢�(shù)據(jù)的記錄文件應(yīng)采取措施，做好保管場所攜帶出入的管理,，將數(shù)據(jù)用密碼保護;

　�,、蹖σ苿哟鎯�介質(zhì)，根據(jù)需要應(yīng)采取數(shù)據(jù)加密或物理方法禁止寫入等措施,。

　　(2)數(shù)據(jù)備份,。

　　應(yīng)定期或盡可能頻繁地進行備份。備份介質(zhì)應(yīng)制定妥善的保存辦法,、保存期限,，與原介質(zhì)在不同地方保管。

　　(3)審計,。

　�,、賾�(yīng)從信息系統(tǒng)的安全性、可信度,、保全性和預(yù)防犯罪的角度進行審計;

　�,、谥贫▽徲嫷姆椒ú⒅瞥墒謨�;

　　③有計劃,、定期地進行審計,，若有重大事故發(fā)生或認為有危險發(fā)生時，應(yīng)隨時進行審計;

　�,、芴峤粚徲媹蟾�;

　�,、莅踩�總負��(zé)人應(yīng)根據(jù)審計結(jié)果迅速采取必要的措施。

　　5.信息系統(tǒng)開發(fā),、運行和維護中的安全策略,。

　　(1)開發(fā)中的安全策略,。

　　①采取措施防止將基礎(chǔ)數(shù)據(jù)泄露給從事開發(fā)以外的其他人員;

　�,、谥贫▽ｉT的系統(tǒng)設(shè)計文檔;

　�,、壑贫▽ｉT的運行和維護手冊;

　　④運行手冊中應(yīng)制定出危機范圍和風(fēng)險應(yīng)對策略,。

　　(2)運行中的安全策略,。

　　①根據(jù)手冊操作;

　�,、谟涗涍\行情況日志,。

　　(3)維護中的安全策略。

　�,、俑鶕�(jù)手冊操作;

　�,、谟涗浘S護情況日志。

　　6.基于安全事件的安全策略,。

　　管理者在發(fā)現(xiàn)犯罪事件時能確保與有關(guān)部門取得聯(lián)系,，為危機進行切實應(yīng)對，從而確保安全,，應(yīng)采取以下策略,。

　　(1)發(fā)現(xiàn)攻擊時應(yīng)采取的管理措施

　　①發(fā)現(xiàn)對用戶等進行攻擊,、事故或侵害等其他信息系統(tǒng)安全的行為或事件(以下簡稱攻擊)時,，有義務(wù)立即向危機管理負責(zé)人報告;

　　②應(yīng)將受到攻擊的對象,、非法訪問的結(jié)果,、出入時的日志以及其后審計或調(diào)查所需的信息等，作為發(fā)現(xiàn)攻擊行為的狀態(tài)保存下來;

　�,、奂皶r向相關(guān)部門通報;

　　④發(fā)現(xiàn)非法訪問行為且需要得到相關(guān)部門援助時,，提出申請;

　�,、菡{(diào)查結(jié)束，在進行系統(tǒng)恢復(fù)時,，應(yīng)將操作過程記錄下來,。

　　(2)組織體制。

　　為明確責(zé)任和權(quán)限應(yīng)建立以下體制：

　�,、偃粘Ｊ聞�(wù)體制：設(shè)立專職的安全總負責(zé)人和審計負責(zé)人;

　�,、陲L(fēng)險管理體制：設(shè)專職的風(fēng)險管理責(zé)任人、風(fēng)險管理設(shè)備執(zhí)行人和其他責(zé)任人,。

　　(3)教育及培訓(xùn),。

　�,、賹�風(fēng)險發(fā)生時的防范措施制成手冊，發(fā)給用戶并進行定期訓(xùn)練;

　�,、谧層脩袅私怙L(fēng)險對社會帶來較大的危害,，從而提高安全意識;

　　③對用戶策略實施情況進行審計,，對措施不完備的地方加以改進,。

　　7.與開放性網(wǎng)絡(luò)連接的信息系統(tǒng)應(yīng)追加的安全措施。

　　對于信息系統(tǒng)來說,，除了前面所述安全策略之外,，從預(yù)防非法訪問、計算機病毒侵入的角度來看,，與互聯(lián)網(wǎng)等開放性網(wǎng)絡(luò)連接,，還應(yīng)追加下列安全措施。

　　(1)一般措施,。

　　網(wǎng)絡(luò)系統(tǒng)考慮通過開放性網(wǎng)絡(luò)引入的不正當(dāng)訪問和惡意程序侵入,，應(yīng)當(dāng)追加如下措施。

　�,、匍_放性網(wǎng)絡(luò)的連接應(yīng)限定在最小范圍的功能,、線路和主機;

　　②與開放性網(wǎng)絡(luò)連接時,，應(yīng)采取措施預(yù)防對信息系統(tǒng)進行不正當(dāng)?shù)脑L問;

　�,、劾�用防火墻時，應(yīng)設(shè)定適當(dāng)?shù)臈l件;

　�,、苁褂糜嬎銠C系統(tǒng)時,，應(yīng)采取一定的安全措施，確保該信息系統(tǒng)的安全;

　�,、蓐P(guān)于網(wǎng)絡(luò)結(jié)構(gòu)等重要信息除非必要時,，不得公開。

　　(2)監(jiān)視措施,。

　　應(yīng)當(dāng)設(shè)置對線路負荷狀況的監(jiān)視功能,。發(fā)現(xiàn)異常情況時，應(yīng)根據(jù)需要使之與相連接的開放性網(wǎng)絡(luò)斷開,。

　　(3)安全事件應(yīng)對措施,。

　　在確保攻擊發(fā)生時能與相關(guān)部門取得聯(lián)系。對危機進行準(zhǔn)確應(yīng)對的同時,，還應(yīng)采取如下措施：

　�,、倥c相關(guān)機構(gòu)合作，把握受侵害的情況,，采取措施,，防止侵害的擴大;

　�,、趯�攻擊進行分析，查明原因,，與相關(guān)機構(gòu)合作采取措施,，防止攻擊再次發(fā)生;

　　③限定用戶,，即盡可能將可通過開放性網(wǎng)絡(luò)進行訪問的用戶(數(shù))加以限制;

　�,、苄畔⑹占�，即平時要注意收集通過開放性網(wǎng)絡(luò)進行非法訪問的信息,。

---

　　東奧2015年注會考試強化提高階段學(xué)習(xí)計劃

　　2015注會六科基礎(chǔ)考點與階段測試題匯總