101.内部控制和访问控制的共同目标是保护资产
102.实现访问控制的三种方法:要求用户输入一此保密信息;采用物理识别设备;采用生物统计学系统 。
103.访问控制的特性:多个密码;一次性密码;基于时间的密码;智能卡;挑战反应系统。
104.对称密钥体制分为序列密码和分组密码 。
105.密钥管理8内容:产生、分发、输入和输出、更换、存储、保存和备份、密钥的寿命、销毁 。
106.⑴ 完整性是指数据不以未经授权的方式进行改变或毁损的特性。包括软件完整性和数据完整性。
⑵ 数据完整性的常见威胁5:人类、硬件故障、网络故障、灾难、逻辑故障 。
⑶ 完整性机制保护数据免遭未授权篡改、创建、删除和复制。
可采取的技术:备份、镜像技术、归档、分级存储管理、转储、系统安全程序、奇偶校验和故障前兆分析 。
⑷ DBMS的完整性机制应具有三个方面的功能:定义、检查、如发现用户操作违背完整性约束条件则采取一定动作保证。
107.灾难恢复措施包括:灾难预防制度、灾难演习制度、灾难恢复。
108.提供容错的途径:使用空闲备件、负载平衡、镜像、复现(延迟镜像)、热可更换 。
109.网络冗余:双主干、开关控制技术、路由器、通信中件。
110.计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者摧毁计算机数据,影响计算机使用,且能自我复制的一组计算机指令或者程序代码。
⑴ 计算机病毒预防包括对已知和未知病毒的预防。行为封锁软件。
⑵ 病毒检测技术:特征分类检测、文件或数据校验技术 。
111.风险分析的方法与途径:定量分析和定性分析
112.控制风险的方法:对协作进行优先级排序,风险高的优先考虑;评估风险评估过程的建议,分析建议的可行性和有效性;实施成本/效益分析、结合技术、操作和管理类的任分配;制定一套安全措施实现计划、实现选择的安全控制。
113.我国的信息安全管理基本方针:兴利除弊,集中监控,分组管理,保障国家安全 。
114.安全人员的管理原则:从不单独一个人、限制使用期限、责任分散、最小权限。
115.技术安全管理包括:软件、设备、介质、涉密信息、技术文档、传输线路、安全审计跟踪、公共网络连接、灾难恢复。
116.网络管理:故障、配置、安全、性能、计费 。
117.信息系统:输入输出类型明确(输入数据,输出信息);输出的信息必定是有用的;信息系统中处理意味转换或变换原始数据,也意味计算、比较、变换或为将来使用进行存储;反馈用于调整或改变输入或处理活动的输出,是进行有效控制的重要手段;计算机不是信息系统所固有的。
118.信息系统组成:计算机硬件系统;计算机软件系统;数据及相信介质;通信系统;非计算机系统的信息收集、处理设备;规章制度;工作人员。
⑴ 信息系统结构:信息源、信息处理器、信息用户、信息管理者。
⑵ 信息系统分层:战略层、战术层、作业层。
⑶ 信息系统的主要类型:面向作业处理的系统:办公自动化系统(OAS)、事务处理系统(TPS)、数据采集与监测系统(DAMS)。