某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: (1) 合法用户可以安全地使用该系统完成业务; (2) 灵活的用户权限管理; (3) 保护系统数据的安全,不会发生信息泄漏和数据损坏; (4) 防止来自于互联网上各种恶意攻击; (5) 业务系统涉及到各种订单和资金的管理,需要防止授权侵犯; (6) 业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取;王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。 [问题1](8分) 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。 [问题2](8分) 认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。 [问题3](9分) 请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。
某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: (1) 合法用户可以安全地使用该系统完成业务; (2) 灵活的用户权限管理; (3) 保护系统数据的安全,不会发生信息泄漏和数据损坏; (4) 防止来自于互联网上各种恶意攻击; (5) 业务系统涉及到各种订单和资金的管理,需要防止授权侵犯; (6) 业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取;王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。 [问题1](8分) 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。 [问题2](8分) 认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。 [问题3](9分) 请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。
参考解析
解析:[问题1] 信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等多个方面。 物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄漏。 通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。 网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重安全威胁。 操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如“木马”和“陷阱门”等。 应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到“木马”的威胁。 管理系统安全威胁指的是人员管理和各种安全管理制度。[问题2] 目前主要的认证方式有三类: (1) 用户名和口令认证:主要是通过一个客户端与服务器共知的口令(或与口令相关的数据)进行验证。根据处理形式的不同,分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据。 (2) 使用令牌认证:该方式中,进行验证的密钥存储于令牌中,目前的令牌包括安全证书和智能卡等方式。 (3) 生物识别认证:主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据该企业的业务特征,采用令牌认证较为合适。[问题3] 授权侵犯指的是被授权以某一目的使用某一系统或资源的某个人,将此权限用于其他非授权的目的,也称作“内部攻击”。 针对王工的建议,从系统安全架构设计的角度需要提供抗抵赖框架。 抗抵赖服务包括证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。 框架中抗抵赖服务的目的是提供有关特定事件或行为的证据。例如,必须确认数据原发者和接收者的身份和数据完整性,在某些情况下,可能需要涉及上下文关系(如日期、时间、原发者/接收者的地点等)的证据,等等。
相关考题:
试题一(共 15 分)阅读以下说明,回答问题 1 至问题3,将解答填入答题纸的对应栏内。【说明】某公司针对通信手段的进步,需要将原有的业务系统扩展到互联网上。运行维护部门需要针对此需求制定相应的技术安全措施,来保证系统和数据的安全。【问题 1】(4 分)当业务扩展到互联网上后,系统管理在安全方面应该注意哪两方面?应该采取的安全测试有哪些?【问题 2】(6 分)由于系统与互联网相连,除了考虑病毒防治和防火墙之外,还需要专门的入侵检测系统。请简要说明入侵检测系统的功能。【问题 3】(5 分)数据安全中的访问控制包含两种方式,用户标识与验证和存取控制。请简要说明用户标识与验证常用的三种方法和存取控制中的两种方法。
信息系统安全某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:①合法用户可以安全地使用该系统完成业务。②灵活的用户权限管理。③保护系统数据的安全,不会发生信息泄露和数据损坏。④防止来自于互联网上的各种恶意攻击。⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。
信息系统安全某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:①合法用户可以安全地使用该系统完成业务。②灵活的用户权限管理。③保护系统数据的安全,不会发生信息泄露和数据损坏。④防止来自于互联网上的各种恶意攻击。⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。
信息系统安全某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:①合法用户可以安全地使用该系统完成业务。②灵活的用户权限管理。③保护系统数据的安全,不会发生信息泄露和数据损坏。④防止来自于互联网上的各种恶意攻击。⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。
在一个信息系统中,不同的系统关联人员会关注不同的业务知识,以下描述了各系统关联人员所关注的对应业务知识,请问哪个对应关系存在错误() A.系统所有者:信息范围和构想B.系统设计师:数据库设计C.系统用户:业务需求D.系统构造人员:数据库技术
试题五(25分)阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1至问题3。某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:(1)合法用户可以安全地使用该系统完成业务;(2)灵活的用户权限管理;(3)保护系统数据的安全,不会发生信息泄漏和数据损坏;(4)防止来自于互联网上各种恶意攻击;(5)业务系统涉及到各种订单和资金的管理,需要防止授权侵犯;(6)业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是一可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。【问题1】信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。【问题2】认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。【问题3】请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。
() 阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1至问题3。 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,但此时系统的安全性成为一个非常重要的设计需求。【问题1】(8分) 信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。【问题2】(7分) 认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。
阅读以下关于信息系统安全性的叙述。某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:(1) 合法用户可以安全地使用该系统完成业务;(2) 灵活的用户权限管理;(3) 保护系统数据的安全,不会发生信息泄漏和数据损坏;(4) 防止来自于互联网上各种恶意攻击;(5) 业务系统涉及到各种订单和资金的管理,需要防止授权侵犯;(6) 业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取;王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。[问题1]信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。[问题2]认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。[问题3]请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。
阅读以下关于Web系统设计的叙述,在答题纸上回答问题1至问题3。【说明】某银行拟将以分行为主体的银行信息系统,全面整合为由总行统管理维护的银行信 息系统,实现统一的用户账户管理、转账汇款、自助缴费、理财投资、贷款管理、网上支付、财务报表分析等业务功能。但是,由于原有以分行为主体的银行信息系统中,多个业务系统采用异构平台、数据库和中间件,使用的报文交换标准和通信协议也不尽相同,使用传统的EAI解决方案根本无法实现新的业务模式下异构系统间灵活的交互和集成。因此,为了以最小的系统改进整合现有的基于不同技术实现的银行业务系统,该银行拟采用基于ESB的面向服务架构(SOA)集成方案实现业务整合。【问题1】(7分)请说明什么是面向服务架构(SOA) 以及ESB在SOA中的作用与特点。【问题2】(12分)ESB的工作流程如下图所示,请简述企业级服务总线需要具备哪些功能。【问题3】 (6分)针对银行信息系统的数据交互安全性需求,列举3种可实现信息系统安全保障的措施。
软件需求是多层次的,包括业务需求,用户需求,系统需求,其中业务需求( )。A.反映了企业或客户对系统高层次的目标要求。B.描述了用户具体目标或用或者用户要求系统必须完成的任务,C.从系统角度来说明软件的需求,包括功能需求,非功能需求和设计约束D.描述了用户认为系统应该具备的功能和性能
阅读以下关于Web系统设计的叙述,在答题纸上回答问题1至问题3。[说明]某银行拟将以分行为主体的银行信息系统,全面整合为由总行统管理维护的银行信 息系统,实现统一的用户账户管理、转账汇款、自助缴费、理财投资、贷款管理、网上支付、财务报表分析等业务功能。但是,由于原有以分行为主体的银行信息系统中,多个业务系统采用异构平台、数据库和中间件,使用的报文交换标准和通信协议也不尽相同,使用传统的EAI解决方案根本无法实现新的业务模式下异构系统间灵活的交互和集成。因此,为了以最小的系统改进整合现有的基于不同技术实现的银行业务系统,该银行拟采用基于ESB的面向服务架构(SOA)集成方案实现业务整合。[问题1](7分)请说明什么是面向服务架构(SOA) 以及ESB在SOA中的作用与特点。[问题2](12分)基于该信息系统整合的实际需求,项目组完成了基于SOA的银行信息系统架构设计方案。该系统架构图如图5-1所示:请从(a) ~ (j) 中选择相应内容填入图5-1的(1) ~ (6) ,补充完善架构设计图。(a)数据层(b)界面层(c)业务层(d) bind(e) 企业服务总线ESB(f)XML(g)安全验证和质量管理(h)publish(i) UDDI(j)组件层(k)BPEL[问题3] (6分)针对银行信息系统的数据交互安全性需求,列举3种可实现信息系统安全保障的措施。
某电信企业建设的电信运营支撑系统包括四个子系统:营业系统、计费系统、网络管理系统和客户服务系统。某日,一个用户接到该企业系统自动发出的费用催缴通知,但该用户发现费用金额异常,通过拨打客服电话向该电信企业进行了投诉。客服人员对客户信息进行了记录,并按客户要求查询其使用记录,对账单进行核对,经过一段时间的调查,确认计费有误后,修改了计费数据,对客户进行了回访并解释了原因。在核对用户使用记录和账单时,需要调用的数据包括()。A、用户业务种类B、用户使用记录C、用户使用业务的费率D、用户的终端型号
()主要完成用户的业务交换功能以及用户数据与移动性管理、安全性管理所需的数据库功能。A、移动交换子系统(SSS)B、基站子系统(BSS)C、运行和维护子系统(OSS)D、通用分组无线业务子系统(GPRS)
电子商务应用系统可以分为两部分,其中()可以使用户通过互联网在网上购物、支付等,支付可以通过银行信用卡或与金融网络建立连接来实现。A、安全电子支付系统B、完成企业内部的业务处理C、向企业外部网用户提供服务D、加密技术
某电信企业建设的电信运营支撑系统包括四个子系统:营业系统、计费系统、网络管理系统和客户服务系统。某日,一个用户接到该企业系统自动发出的费用催缴通知,但该用户发现费用金额异常,通过拨打客服电话向该电信企业进行了投诉。客服人员对客户信息进行了记录,并按客户要求查询其使用记录,对账单进行核对,经过一段时间的调查,确认计费有误后,修改了计费数据,对客户进行了回访并解释了原因。该企业的客户服务系统能够提供的主动服务功能是()。A、业务查询B、故障申告C、业务咨询D、费用催缴
合规与风险管理部的监控职责有()。A、对相关业务进行实时监控、风险分析和报告B、设定业务监控指标C、管理风险监控系统用户及其访问权限D、监督险监控系统用户操作和系统运行等工作E、根据监管要求和公司业务发展情况提出系统改进和完善的需求
多选题某电信企业建设的电信运营支撑系统包括四个子系统:营业系统、计费系统、网络管理系统和客户服务系统。某日,一个用户接到该企业系统自动发出的费用催缴通知,但该用户发现费用金额异常,通过拨打客服电话向该电信企业进行了投诉。客服人员对客户信息进行了记录,并按客户要求查询其使用记录,对账单进行核对,经过一段时间的调查,确认计费有误后,修改了计费数据,对客户进行了回访并解释了原因。在核对用户使用记录和账单时,需要调用的数据包括()。A用户业务种类B用户使用记录C用户使用业务的费率D用户的终端型号
问答题信息系统安全 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求: ①合法用户可以安全地使用该系统完成业务。 ②灵活的用户权限管理。 ③保护系统数据的安全,不会发生信息泄露和数据损坏。 ④防止来自于互联网上的各种恶意攻击。 ⑤业务系统涉及各种订单和资金的管理,需要防止授权侵犯。 ⑥业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。 该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。
单选题()主要完成用户的业务交换功能以及用户数据与移动性管理、安全性管理所需的数据库功能。A移动交换子系统(SSS)B基站子系统(BSS)C运行和维护子系统(OSS)D通用分组无线业务子系统(GPRS)
单选题对于业务直接驱动记账,说法不正确的是()。A业务系统要与会计系统互联B业务发生时,业务系统就可以将数据直接推送给会计系统C会计系统根据从业务系统接收的数据,按照既定规则生成记账凭证并自动记账D业务系统和会计系统中的数据能够完全自动配比
单选题电子商务应用系统可以分为两部分,其中()可以使用户通过互联网在网上购物、支付等,支付可以通过银行信用卡或与金融网络建立连接来实现。A安全电子支付系统B完成企业内部的业务处理C向企业外部网用户提供服务D加密技术