2015《公司戰略》簡答題易考點：信息系統安全管理策略

　　【東奧小編】現階段進入2015年注會強化提高沖刺備考期，為幫助考生們在最后階段提高備考效率，我們根據2015年注冊會計師考試大綱為考生們總結了《公司戰略與風險管理》科目的選擇題、簡答題和綜合題易考點，下面我們一起來復習2015《公司戰略與風險管理》簡答題易考點：信息系統安全管理策略。

　　本考點能力等級：

　　能力等級 2—— 基本應用能力

　　考生應當在理解基本理論、基本原理和相關概念的基礎上，在比較簡單的職業環境上，堅守職業價值觀、遵循職業道德、堅持職業態度，運用相關專業學科知識解決實務問題。

　　本知識點屬于《公司戰略與風險管理》科目第八章管理信息系統的應用與管理第三節信息系統管理的內容。

　　

　　簡答題易考點：信息系統安全管理策略

　　1.基于網絡的安全策略。

　　管理者為防止對網絡的非法訪問或非授權用戶使用的情況發生，應采取以下策略。

　　(1)監視日志。

　　①讀取日志，根據日志的內容至少可確定訪問者的情況;

　�、诖_保日志本身的安全;

　　③對日志進行定期檢查;

　�、軕獙⑷罩颈４娴较麓螜z查時。

　　(2)對不正當訪問的檢測功能。

　　當出現不正當訪問時應設置能夠將其查出并通知風險管理者的檢測功能。

　�、僭O置對網絡及主機等工作狀態的監控功能;

　�、谌衾�用終端進行訪問，則對該終端設置指定功能;

　　③設置發現異常情況時能夠使網絡、主機等停止工作的功能。

　　(3)口令。

　　對依據口令進行認證的網絡應采取以下策略：

　　①用戶必須設定口令，并努力做到保密;

　�、谌粲脩粼O定口令時，應指導他們盡量避免設定易于猜測的詞語，并在系統上設置拒絕這種口令的機制;

　　③指導用戶每隔適當時間就更改口令，并在系統中設置促使更改的功能;

　�、芟拗瓶诹畹妮斎氪螖�，采取措施使他人難以推測口令;

　�、萦脩粢坏┩�記口令，就提供口令指示，確認后口令恢復;

　　⑥對口令文本采取加密方法，努力做到保密;

　�、咴诰W絡訪問登錄時，進行身份識別和認證;

　　⑧對于認證方法，應按照信息系統的安全需求進行選擇;

　�、嵩O定可以確認前次登錄日期與時間的功能。

　　(4)用戶身份識別(用戶ID)管理

　　①對于因退職、調動、長期出差或留學而不再需要或長期不使用的用戶ID予以注銷;

　�、趯﹂L期未進行登記的用戶以書面形式予以通知。

　　(5)加密。

　�、龠M行通信時根據需要對數據實行加密;

　�、谝�切實做好密鑰的保管工作，特別是對用戶密鑰進行集中保管時要采取妥善的保管措施。

　　(6)數據交換。

　�、僭谶M行數據交換之前，對欲進行通信的對象進行必要的認證;

　�、谝詳底趾灻�等形式確認數據的完整性;

　�、墼O定能夠證明數據發出和接收以及可以防止欺騙的功能;

　　④在前三步利用加密操作的情況下，對用戶的密鑰進行集中管理時，要尋求妥善的管理方法。

　　(7)災害策略。

　　為防止因災害、事故造成線路中斷，有必要做成熱備份線路。

　　2.基于主機的安全策略。

　　管理者為防止發生對主機非法訪問或未授權用戶使用等情況，應采取以下策略。

　　(1)監視日志

　　①讀取日志，根據日志的內容至少可確定訪問者的情況;

　�、诖_保日志本身的安全;

　　③對日志進行定期檢查;

　　④應將日志保存到下次檢查時;

　�、菥邆錂z測不正當訪問的功能;

　　⑥設置出現不正當訪問時，能夠將其查出并通知風險管理者的功能。

　　(2)口令。

　　對依據口令進行認證的主機等應采取以下策略：

　�、儆脩舯仨氃O定口令，并努力做到保密;

　　②若用戶設定口令時，應指導他們盡量避免設定易于猜測的詞語，并在系統上設置拒絕這種口令的機制;

　　③指導用戶每隔適當時間就更改口令，并在系統中設置促使更改的功能;

　�、芟拗瓶诹畹妮斎氪螖�，采取措施使他人難以推測口令;

　�、萦脩粢坏┩�記口令，就提供口令指示，確認后口令恢復;

　　⑥對口令文本采取加密方法，努力做到保密。

　　(3)對主機的訪問。

　�、僭谟涗浫罩緯r進行識別和認證;

　�、趯τ谡J證方法，按照信息系統所需的安全要求進行選擇;

　�、墼O置可以確認前次日志記錄日期的功能;

　�、芨鶕�安全方針，除了對主機的訪問加以控制外，對數據庫的數據、移動存儲設備也應分別進行控制;

　�、轂榇_保訪問控制等功能的安全，有必要選擇具有相應功能的操作系統。

　　(4)安全漏洞。

　�、俨捎脤Ｓ密浖�，對是否存在安全漏洞進行檢測;

　　②發現安全漏洞時，要采取措施將其清除。

　　(5)加密。

　�、僭诒９軘祿�時，要根據需要對數據進行加密;

　�、谝�切實做好密鑰的保管工作，特別是對用戶密鑰進行集中保管時要采取妥善的保管措施。

　　(6)對主機的管理。

　　①應采取措施使各裝置不易拆卸、安裝或搬運;

　　②要采取措施，避免顯示屏上的信息讓用戶以外的人直接得到或易于發現。

　　(7)預防災害策略。

　　①根據需要將裝置做成熱備份的，要設置替代功能;

　　②設置自動恢復功能。

　　3.基于設施的安全策略。

　　管理者為了防止重要的計算機主機系統設施不受外部人員的侵入或遭受災害，應采取以下辦法。

　　(1)授予資格。

　�、俳�立進入設施的資格(以下稱資格);

　　②資格授予最小范圍的必需者，并限定資格的有效時間;

　�、圪Y格僅授予個人;

　　④授予資格時，要注明可能進入的設施范圍及進入設施的目的。

　　(2)建立身份標識。

　�、賹�擁有資格的人員發給記有資格的有效期、可進入的設施范圍及進入的目的等事項的身份標識和IC卡等(以下稱身份證)

　�、谥谱鳂俗R的材料應采用不易偽造的材料，另外要嚴格管理標識原件(指存檔的)，不使之丟失。當有資格的人員標識遺失或損壞時，應立即報告安全總負責人，并當即宣布該標識無效。

　　(3)設施出入管理。

　�、贋楂@準進入設施，要提交身份標識確認資格;

　　②限定允許出入設施的期限;

　　③將允許進入人員的姓名、準許有效期限、可進入的設施范圍、進入目的以及進入設施的許可(以下稱許可)等記錄下來并妥善保存;

　�、茉试S進入的人員發給徽章等進入設施的標志，并將該標志佩戴在明顯的位置;

　�、葸M入設施的標志應按照身份標識中的②～④項要求執行;

　　⑥在建筑物或計算機房的出入口處查驗是否具有資格和許可;

　　⑦當從設施中搬出或搬入物資時，都應對該物資和搬運工作進行查驗;

　�、辔镔Y搬運出入時，應記錄負責人的姓名、物資名稱、數量、搬運出入時間等，并保存;

　�、岜０踩藛T負責出入管理。

　　(4)防范措施。

　�、傧薅ㄔO施出入口的數量，設置進行身份確認的措施;

　�、谠谠O施內裝設報警和防范攝像裝置，以便在發現侵入時采取必要的防范措施;

　�、墼诮ㄖ�物、機房及外設間、配電室、空調室、主配電室、中間配電室、數據保存室等的入口處設置報警裝置，以便在發現侵入時采取必要的防范措施;

　�、茏尡０踩藛T在設施內外進行巡視。

　　(5)滅害策略。

　�、僭O施的地點應盡可能選在自然災害較少的地方;

　�、诮ㄖ�物應選擇抗震、防火結構;

　　③各種設備都應采取措施，防止因地震所導致的移動、翻倒或振動;

　　④內裝修應使用耐燃材料，采取防火措施;

　�、輰﹄娫丛O備要采取防止停電措施;

　�、迣�空氣調節裝置要采取防火和防水措施，使用水冷或熱式空調設備時要采取防水的措施。

　　4.基于數據管理的安全策略。

　　(1)數據管理。

　�、佼斨匾獢祿�的日志不再使用時，應先將數據淸除，再將存儲介質破壞，隨后立即將該記錄文件銷毀;

　　②對記錄有重要數據的記錄文件應采取措施，做好保管場所攜帶出入的管理，將數據用密碼保護;

　　③對移動存儲介質，根據需要應采取數據加密或物理方法禁止寫入等措施。

　　(2)數據備份。

　　應定期或盡可能頻繁地進行備份。備份介質應制定妥善的保存辦法、保存期限，與原介質在不同地方保管。

　　(3)審計。

　�、賾獜男畔⑾到y的安全性、可信度、保全性和預防犯罪的角度進行審計;

　�、谥贫▽徲嫷姆椒ú⒅瞥墒謨�;

　�、塾杏媱潯⒍ㄆ诘剡M行審計，若有重大事故發生或認為有危險發生時，應隨時進行審計;

　�、芴峤粚徲媹蟾�;

　　⑤安全總負責人應根據審計結果迅速采取必要的措施。

　　5.信息系統開發、運行和維護中的安全策略。

　　(1)開發中的安全策略。

　�、俨扇〈胧┓乐箤⒒�礎數據泄露給從事開發以外的其他人員;

　�、谥贫▽ｉT的系統設計文檔;

　�、壑贫▽ｉT的運行和維護手冊;

　�、苓\行手冊中應制定出危機范圍和風險應對策略。

　　(2)運行中的安全策略。

　�、俑鶕�手冊操作;

　　②記錄運行情況日志。

　　(3)維護中的安全策略。

　�、俑鶕�手冊操作;

　�、谟涗浘S護情況日志。

　　6.基于安全事件的安全策略。

　　管理者在發現犯罪事件時能確保與有關部門取得聯系，為危機進行切實應對，從而確保安全，應采取以下策略。

　　(1)發現攻擊時應采取的管理措施

　�、侔l現對用戶等進行攻擊、事故或侵害等其他信息系統安全的行為或事件(以下簡稱攻擊)時，有義務立即向危機管理負責人報告;

　　②應將受到攻擊的對象、非法訪問的結果、出入時的日志以及其后審計或調查所需的信息等，作為發現攻擊行為的狀態保存下來;

　�、奂皶r向相關部門通報;

　�、馨l現非法訪問行為且需要得到相關部門援助時，提出申請;

　　⑤調查結束，在進行系統恢復時，應將操作過程記錄下來。

　　(2)組織體制。

　　為明確責任和權限應建立以下體制：

　　①日常事務體制：設立專職的安全總負責人和審計負責人;

　�、陲L險管理體制：設專職的風險管理責任人、風險管理設備執行人和其他責任人。

　　(3)教育及培訓。

　�、賹�風險發生時的防范措施制成手冊，發給用戶并進行定期訓練;

　�、谧層脩袅私怙L險對社會帶來較大的危害，從而提高安全意識;

　�、蹖τ脩舨呗詫嵤┣闆r進行審計，對措施不完備的地方加以改進。

　　7.與開放性網絡連接的信息系統應追加的安全措施。

　　對于信息系統來說，除了前面所述安全策略之外，從預防非法訪問、計算機病毒侵入的角度來看，與互聯網等開放性網絡連接，還應追加下列安全措施。

　　(1)一般措施。

　　網絡系統考慮通過開放性網絡引入的不正當訪問和惡意程序侵入，應當追加如下措施。

　　①開放性網絡的連接應限定在最小范圍的功能、線路和主機;

　　②與開放性網絡連接時，應采取措施預防對信息系統進行不正當的訪問;

　　③利用防火墻時，應設定適當的條件;

　�、苁褂糜嬎銠C系統時，應采取一定的安全措施，確保該信息系統的安全;

　　⑤關于網絡結構等重要信息除非必要時，不得公開。

　　(2)監視措施。

　　應當設置對線路負荷狀況的監視功能。發現異常情況時，應根據需要使之與相連接的開放性網絡斷開。

　　(3)安全事件應對措施。

　　在確保攻擊發生時能與相關部門取得聯系。對危機進行準確應對的同時，還應采取如下措施：

　　①與相關機構合作，把握受侵害的情況，采取措施，防止侵害的擴大;

　�、趯�攻擊進行分析，查明原因，與相關機構合作采取措施，防止攻擊再次發生;

　　③限定用戶，即盡可能將可通過開放性網絡進行訪問的用戶(數)加以限制;

　�、苄畔⑹占�，即平時要注意收集通過開放性網絡進行非法訪問的信息。

---

　　東奧2015年注會考試強化提高階段學習計劃

　　2015注會六科基礎考點與階段測試題匯總