日韩av免费观看一区二区欧美成人h版在线观看|av日韩精品一区在线观看|18岁女人毛片免费看|国产黄色伦理片在线观看|免费看高潮喷水|邻居人妻电影,|久久中文字幕人妻熟av|极乱家族6|蜜久久久91精品人妻|人妻被x,色色色97大神,日韩高清无码一区二区,国产亚洲欧美一区二区三区在线播放

2015《公司戰(zhàn)略》簡答題易考點:信息系統(tǒng)安全管理策略

分享: 2015-9-8 14:25:19東奧會計在線字體:

2015《公司戰(zhàn)略》簡答題易考點:信息系統(tǒng)安全管理策略

  【東奧小編】現(xiàn)階段進入2015年注會強化提高沖刺備考期,,為幫助考生們在最后階段提高備考效率,,我們根據2015年注冊會計師考試大綱為考生們總結了《公司戰(zhàn)略與風險管理》科目的選擇題,、簡答題和綜合題易考點,,下面我們一起來復習2015《公司戰(zhàn)略與風險管理》簡答題易考點:信息系統(tǒng)安全管理策略。

  本考點能力等級:

  能力等級 2—— 基本應用能力

  考生應當在理解基本理論,、基本原理和相關概念的基礎上,,在比較簡單的職業(yè)環(huán)境上,堅守職業(yè)價值觀,、遵循職業(yè)道德,、堅持職業(yè)態(tài)度,運用相關專業(yè)學科知識解決實務問題,。

  本知識點屬于《公司戰(zhàn)略與風險管理》科目第八章管理信息系統(tǒng)的應用與管理第三節(jié)信息系統(tǒng)管理的內容,。

  

  簡答題易考點:信息系統(tǒng)安全管理策略

  1.基于網絡的安全策略。

  管理者為防止對網絡的非法訪問或非授權用戶使用的情況發(fā)生,,應采取以下策略,。

  (1)監(jiān)視日志。

 �,、僮x取日志,,根據日志的內容至少可確定訪問者的情況;

  ②確保日志本身的安全;

 �,、蹖θ罩具M行定期檢查;

 �,、軕獙⑷罩颈4娴较麓螜z查時。

  (2)對不正當訪問的檢測功能,。

  當出現(xiàn)不正當訪問時應設置能夠將其查出并通知風險管理者的檢測功能,。

  ①設置對網絡及主機等工作狀態(tài)的監(jiān)控功能;

 �,、谌衾媒K端進行訪問,,則對該終端設置指定功能;

  ③設置發(fā)現(xiàn)異常情況時能夠使網絡,、主機等停止工作的功能,。

  (3)口令。

  對依據口令進行認證的網絡應采取以下策略:

 �,、儆脩舯仨氃O定口令,,并努力做到保密;

 �,、谌粲脩粼O定口令時,應指導他們盡量避免設定易于猜測的詞語,,并在系統(tǒng)上設置拒絕這種口令的機制;

 �,、壑笇в脩裘扛暨m當時間就更改口令,并在系統(tǒng)中設置促使更改的功能;

 �,、芟拗瓶诹畹妮斎氪螖�(shù),,采取措施使他人難以推測口令;

  ⑤用戶一旦忘記口令,,就提供口令指示,,確認后口令恢復;

  ⑥對口令文本采取加密方法,,努力做到保密;

 �,、咴诰W絡訪問登錄時,進行身份識別和認證;

 �,、鄬τ谡J證方法,,應按照信息系統(tǒng)的安全需求進行選擇;

  ⑨設定可以確認前次登錄日期與時間的功能,。

  (4)用戶身份識別(用戶ID)管理

 �,、賹τ谝蛲寺殹⒄{動,、長期出差或留學而不再需要或長期不使用的用戶ID予以注銷;

 �,、趯﹂L期未進行登記的用戶以書面形式予以通知。

  (5)加密,。

 �,、龠M行通信時根據需要對數(shù)據實行加密;

  ②要切實做好密鑰的保管工作,,特別是對用戶密鑰進行集中保管時要采取妥善的保管措施,。

  (6)數(shù)據交換。

 �,、僭谶M行數(shù)據交換之前,,對欲進行通信的對象進行必要的認證;

  ②以數(shù)字簽名等形式確認數(shù)據的完整性;

 �,、墼O定能夠證明數(shù)據發(fā)出和接收以及可以防止欺騙的功能;

 �,、茉谇叭嚼眉用懿僮鞯那闆r下,對用戶的密鑰進行集中管理時,,要尋求妥善的管理方法,。

  (7)災害策略。

  為防止因災害,、事故造成線路中斷,,有必要做成熱備份線路,。

  2.基于主機的安全策略。

  管理者為防止發(fā)生對主機非法訪問或未授權用戶使用等情況,,應采取以下策略,。

  (1)監(jiān)視日志

  ①讀取日志,,根據日志的內容至少可確定訪問者的情況;

 �,、诖_保日志本身的安全;

  ③對日志進行定期檢查;

 �,、軕獙⑷罩颈4娴较麓螜z查時;

 �,、菥邆錂z測不正當訪問的功能;

  ⑥設置出現(xiàn)不正當訪問時,,能夠將其查出并通知風險管理者的功能,。

  (2)口令,。

  對依據口令進行認證的主機等應采取以下策略:

  ①用戶必須設定口令,并努力做到保密;

 �,、谌粲脩粼O定口令時,,應指導他們盡量避免設定易于猜測的詞語,并在系統(tǒng)上設置拒絕這種口令的機制;

 �,、壑笇в脩裘扛暨m當時間就更改口令,,并在系統(tǒng)中設置促使更改的功能;

  ④限制口令的輸入次數(shù),,采取措施使他人難以推測口令;

 �,、萦脩粢坏┩浛诹睿吞峁┛诹钪甘�,,確認后口令恢復;

 �,、迣诹钗谋静扇〖用芊椒ǎψ龅奖C�,。

  (3)對主機的訪問,。

  ①在記錄日志時進行識別和認證;

 �,、趯τ谡J證方法,,按照信息系統(tǒng)所需的安全要求進行選擇;

  ③設置可以確認前次日志記錄日期的功能;

 �,、芨鶕踩结�,,除了對主機的訪問加以控制外,對數(shù)據庫的數(shù)據,、移動存儲設備也應分別進行控制;

 �,、轂榇_保訪問控制等功能的安全,,有必要選擇具有相應功能的操作系統(tǒng)。

  (4)安全漏洞,。

 �,、俨捎脤S密浖瑢κ欠翊嬖诎踩┒催M行檢測;

 �,、诎l(fā)現(xiàn)安全漏洞時,,要采取措施將其清除。

  (5)加密,。

 �,、僭诒9軘�(shù)據時,要根據需要對數(shù)據進行加密;

 �,、谝袑嵶龊妹荑的保管工作,,特別是對用戶密鑰進行集中保管時要采取妥善的保管措施。

  (6)對主機的管理,。

 �,、賾扇〈胧┦垢餮b置不易拆卸、安裝或搬運;

 �,、谝扇〈胧�,,避免顯示屏上的信息讓用戶以外的人直接得到或易于發(fā)現(xiàn)。

  (7)預防災害策略,。

 �,、俑鶕枰獙⒀b置做成熱備份的,要設置替代功能;

 �,、谠O置自動恢復功能,。

  3.基于設施的安全策略。

  管理者為了防止重要的計算機主機系統(tǒng)設施不受外部人員的侵入或遭受災害,,應采取以下辦法,。

  (1)授予資格。

 �,、俳⑦M入設施的資格(以下稱資格);

 �,、谫Y格授予最小范圍的必需者,并限定資格的有效時間;

 �,、圪Y格僅授予個人;

 �,、苁谟栀Y格時,要注明可能進入的設施范圍及進入設施的目的,。

  (2)建立身份標識,。

  ①對擁有資格的人員發(fā)給記有資格的有效期,、可進入的設施范圍及進入的目的等事項的身份標識和IC卡等(以下稱身份證)

 �,、谥谱鳂俗R的材料應采用不易偽造的材料,,另外要嚴格管理標識原件(指存檔的),不使之丟失,。當有資格的人員標識遺失或損壞時,,應立即報告安全總負責人,并當即宣布該標識無效,。

  (3)設施出入管理,。

  ①為獲準進入設施,,要提交身份標識確認資格;

 �,、谙薅ㄔ试S出入設施的期限;

  ③將允許進入人員的姓名,、準許有效期限,、可進入的設施范圍、進入目的以及進入設施的許可(以下稱許可)等記錄下來并妥善保存;

 �,、茉试S進入的人員發(fā)給徽章等進入設施的標志,,并將該標志佩戴在明顯的位置;

  ⑤進入設施的標志應按照身份標識中的②~④項要求執(zhí)行;

 �,、拊诮ㄖ锘蛴嬎銠C房的出入口處查驗是否具有資格和許可;

 �,、弋攺脑O施中搬出或搬入物資時,都應對該物資和搬運工作進行查驗;

 �,、辔镔Y搬運出入時,應記錄負責人的姓名,、物資名稱,、數(shù)量、搬運出入時間等,,并保存;

 �,、岜0踩藛T負責出入管理。

  (4)防范措施,。

 �,、傧薅ㄔO施出入口的數(shù)量,設置進行身份確認的措施;

 �,、谠谠O施內裝設報警和防范攝像裝置,,以便在發(fā)現(xiàn)侵入時采取必要的防范措施;

  ③在建筑物,、機房及外設間,、配電室、空調室,、主配電室,、中間配電室,、數(shù)據保存室等的入口處設置報警裝置,以便在發(fā)現(xiàn)侵入時采取必要的防范措施;

 �,、茏尡0踩藛T在設施內外進行巡視,。

  (5)滅害策略。

 �,、僭O施的地點應盡可能選在自然災害較少的地方;

 �,、诮ㄖ飸x擇抗震、防火結構;

 �,、鄹鞣N設備都應采取措施,,防止因地震所導致的移動、翻倒或振動;

 �,、軆妊b修應使用耐燃材料,,采取防火措施;

  ⑤對電源設備要采取防止停電措施;

 �,、迣諝庹{節(jié)裝置要采取防火和防水措施,,使用水冷或熱式空調設備時要采取防水的措施。

  4.基于數(shù)據管理的安全策略,。

  (1)數(shù)據管理,。

  ①當重要數(shù)據的日志不再使用時,,應先將數(shù)據淸除,,再將存儲介質破壞,隨后立即將該記錄文件銷毀;

 �,、趯τ涗浻兄匾獢�(shù)據的記錄文件應采取措施,,做好保管場所攜帶出入的管理,將數(shù)據用密碼保護;

 �,、蹖σ苿哟鎯橘|,,根據需要應采取數(shù)據加密或物理方法禁止寫入等措施。

  (2)數(shù)據備份,。

  應定期或盡可能頻繁地進行備份,。備份介質應制定妥善的保存辦法、保存期限,,與原介質在不同地方保管,。

  (3)審計。

 �,、賾獜男畔⑾到y(tǒng)的安全性,、可信度、保全性和預防犯罪的角度進行審計;

  ②制定審計的方法并制成手冊;

 �,、塾杏媱�,、定期地進行審計,若有重大事故發(fā)生或認為有危險發(fā)生時,,應隨時進行審計;

 �,、芴峤粚徲媹蟾�;

  ⑤安全總負責人應根據審計結果迅速采取必要的措施,。

  5.信息系統(tǒng)開發(fā),、運行和維護中的安全策略。

  (1)開發(fā)中的安全策略,。

 �,、俨扇〈胧┓乐箤⒒A數(shù)據泄露給從事開發(fā)以外的其他人員;

  ②制定專門的系統(tǒng)設計文檔;

 �,、壑贫▽iT的運行和維護手冊;

 �,、苓\行手冊中應制定出危機范圍和風險應對策略。

  (2)運行中的安全策略,。

 �,、俑鶕謨圆僮�;

  ②記錄運行情況日志,。

  (3)維護中的安全策略,。

  ①根據手冊操作;

 �,、谟涗浘S護情況日志,。

  6.基于安全事件的安全策略。

  管理者在發(fā)現(xiàn)犯罪事件時能確保與有關部門取得聯(lián)系,,為危機進行切實應對,,從而確保安全,應采取以下策略,。

  (1)發(fā)現(xiàn)攻擊時應采取的管理措施

  ①發(fā)現(xiàn)對用戶等進行攻擊,、事故或侵害等其他信息系統(tǒng)安全的行為或事件(以下簡稱攻擊)時,,有義務立即向危機管理負責人報告;

  ②應將受到攻擊的對象,、非法訪問的結果,、出入時的日志以及其后審計或調查所需的信息等,作為發(fā)現(xiàn)攻擊行為的狀態(tài)保存下來;

 �,、奂皶r向相關部門通報;

 �,、馨l(fā)現(xiàn)非法訪問行為且需要得到相關部門援助時,提出申請;

  ⑤調查結束,,在進行系統(tǒng)恢復時,,應將操作過程記錄下來。

  (2)組織體制,。

  為明確責任和權限應建立以下體制:

 �,、偃粘J聞阵w制:設立專職的安全總負責人和審計負責人;

  ②風險管理體制:設專職的風險管理責任人,、風險管理設備執(zhí)行人和其他責任人,。

  (3)教育及培訓。

 �,、賹L險發(fā)生時的防范措施制成手冊,,發(fā)給用戶并進行定期訓練;

  ②讓用戶了解風險對社會帶來較大的危害,,從而提高安全意識;

 �,、蹖τ脩舨呗詫嵤┣闆r進行審計,對措施不完備的地方加以改進,。

  7.與開放性網絡連接的信息系統(tǒng)應追加的安全措施,。

  對于信息系統(tǒng)來說,除了前面所述安全策略之外,,從預防非法訪問,、計算機病毒侵入的角度來看,與互聯(lián)網等開放性網絡連接,,還應追加下列安全措施,。

  (1)一般措施。

  網絡系統(tǒng)考慮通過開放性網絡引入的不正當訪問和惡意程序侵入,,應當追加如下措施,。

  ①開放性網絡的連接應限定在最小范圍的功能,、線路和主機;

 �,、谂c開放性網絡連接時,應采取措施預防對信息系統(tǒng)進行不正當?shù)脑L問;

 �,、劾梅阑饓r,,應設定適當?shù)臈l件;

  ④使用計算機系統(tǒng)時,,應采取一定的安全措施,,確保該信息系統(tǒng)的安全;

  ⑤關于網絡結構等重要信息除非必要時,,不得公開,。

  (2)監(jiān)視措施,。

  應當設置對線路負荷狀況的監(jiān)視功能。發(fā)現(xiàn)異常情況時,,應根據需要使之與相連接的開放性網絡斷開,。

  (3)安全事件應對措施。

  在確保攻擊發(fā)生時能與相關部門取得聯(lián)系,。對危機進行準確應對的同時,,還應采取如下措施:

  ①與相關機構合作,,把握受侵害的情況,,采取措施,防止侵害的擴大;

 �,、趯暨M行分析,,查明原因,與相關機構合作采取措施,,防止攻擊再次發(fā)生;

 �,、巯薅ㄓ脩簦幢M可能將可通過開放性網絡進行訪問的用戶(數(shù))加以限制;

 �,、苄畔⑹占�,,即平時要注意收集通過開放性網絡進行非法訪問的信息。


  東奧2015年注會考試強化提高階段學習計劃

  2015注會六科基礎考點與階段測試題匯總

責任編輯:roroao

注會網課

  • 名師編寫權威專業(yè)
  • 針對性強覆蓋面廣
  • 解答詳細質量可靠
  • 一書在手輕松過關
掃一掃 微信關注東奧