問(wèn)答題

【案例分析題】

信息系統(tǒng)安全
某企業(yè)根據(jù)業(yè)務(wù)擴(kuò)張的要求,需要將原有的業(yè)務(wù)系統(tǒng)擴(kuò)展到互聯(lián)網(wǎng)上,建立自己的B2C業(yè)務(wù)系統(tǒng),此時(shí)系統(tǒng)的安全性成為一個(gè)非常重要的設(shè)計(jì)需求。為此,該企業(yè)向軟件開(kāi)發(fā)商提出如下要求:
①合法用戶可以安全地使用該系統(tǒng)完成業(yè)務(wù)。
②靈活的用戶權(quán)限管理。
③保護(hù)系統(tǒng)數(shù)據(jù)的安全,不會(huì)發(fā)生信息泄露和數(shù)據(jù)損壞。
④防止來(lái)自于互聯(lián)網(wǎng)上的各種惡意攻擊。
⑤業(yè)務(wù)系統(tǒng)涉及各種訂單和資金的管理,需要防止授權(quán)侵犯。
⑥業(yè)務(wù)系統(tǒng)直接面向最終用戶,需要在系統(tǒng)中保留用戶使用痕跡,以應(yīng)對(duì)可能的商業(yè)訴訟。
該軟件開(kāi)發(fā)商接受任務(wù)后,成立方案設(shè)計(jì)小組,提出的設(shè)計(jì)方案是:在原有業(yè)務(wù)系統(tǒng)的基礎(chǔ)上,保留了原業(yè)務(wù)系統(tǒng)中的認(rèn)證和訪問(wèn)控制模塊;為了防止來(lái)自互聯(lián)網(wǎng)的威脅,增加了防火墻和入侵檢測(cè)系統(tǒng)。
企業(yè)和軟件開(kāi)發(fā)商共同組成方案評(píng)審會(huì),對(duì)該方案進(jìn)行了評(píng)審,各位專家對(duì)該方案提出了多點(diǎn)不同意見(jiàn)。李工認(rèn)為,原業(yè)務(wù)系統(tǒng)只針對(duì)企業(yè)內(nèi)部員工,采用了用戶名/密碼方式是可以的,但擴(kuò)展為基于互聯(lián)網(wǎng)的B2C業(yè)務(wù)系統(tǒng)后,認(rèn)證方式過(guò)于簡(jiǎn)單,很可能造成用戶身份被盜?。和豕ふJ(rèn)為,防止授權(quán)侵犯和保留用戶痕跡的要求在方案中沒(méi)有體現(xiàn)。而劉工則認(rèn)為,即使是在原有業(yè)務(wù)系統(tǒng)上的擴(kuò)展與改造,也必須全面考慮信息系統(tǒng)面臨的各種威脅,設(shè)計(jì)完整的系統(tǒng)安全架構(gòu),而不是修修補(bǔ)補(bǔ)。

請(qǐng)解釋授權(quán)侵犯的具體含義;針對(duì)王工的意見(jiàn)給出相應(yīng)的解決方案,說(shuō)明該解決方案的名稱、內(nèi)容和目標(biāo)。

答案: 授權(quán)侵犯指的是被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人,將此權(quán)限用于其他非授權(quán)的目的,也稱作"內(nèi)部攻擊"。
...
題目列表

你可能感興趣的試題

問(wèn)答題

【案例分析題】

信息系統(tǒng)安全
某企業(yè)根據(jù)業(yè)務(wù)擴(kuò)張的要求,需要將原有的業(yè)務(wù)系統(tǒng)擴(kuò)展到互聯(lián)網(wǎng)上,建立自己的B2C業(yè)務(wù)系統(tǒng),此時(shí)系統(tǒng)的安全性成為一個(gè)非常重要的設(shè)計(jì)需求。為此,該企業(yè)向軟件開(kāi)發(fā)商提出如下要求:
①合法用戶可以安全地使用該系統(tǒng)完成業(yè)務(wù)。
②靈活的用戶權(quán)限管理。
③保護(hù)系統(tǒng)數(shù)據(jù)的安全,不會(huì)發(fā)生信息泄露和數(shù)據(jù)損壞。
④防止來(lái)自于互聯(lián)網(wǎng)上的各種惡意攻擊。
⑤業(yè)務(wù)系統(tǒng)涉及各種訂單和資金的管理,需要防止授權(quán)侵犯。
⑥業(yè)務(wù)系統(tǒng)直接面向最終用戶,需要在系統(tǒng)中保留用戶使用痕跡,以應(yīng)對(duì)可能的商業(yè)訴訟。
該軟件開(kāi)發(fā)商接受任務(wù)后,成立方案設(shè)計(jì)小組,提出的設(shè)計(jì)方案是:在原有業(yè)務(wù)系統(tǒng)的基礎(chǔ)上,保留了原業(yè)務(wù)系統(tǒng)中的認(rèn)證和訪問(wèn)控制模塊;為了防止來(lái)自互聯(lián)網(wǎng)的威脅,增加了防火墻和入侵檢測(cè)系統(tǒng)。
企業(yè)和軟件開(kāi)發(fā)商共同組成方案評(píng)審會(huì),對(duì)該方案進(jìn)行了評(píng)審,各位專家對(duì)該方案提出了多點(diǎn)不同意見(jiàn)。李工認(rèn)為,原業(yè)務(wù)系統(tǒng)只針對(duì)企業(yè)內(nèi)部員工,采用了用戶名/密碼方式是可以的,但擴(kuò)展為基于互聯(lián)網(wǎng)的B2C業(yè)務(wù)系統(tǒng)后,認(rèn)證方式過(guò)于簡(jiǎn)單,很可能造成用戶身份被盜?。和豕ふJ(rèn)為,防止授權(quán)侵犯和保留用戶痕跡的要求在方案中沒(méi)有體現(xiàn)。而劉工則認(rèn)為,即使是在原有業(yè)務(wù)系統(tǒng)上的擴(kuò)展與改造,也必須全面考慮信息系統(tǒng)面臨的各種威脅,設(shè)計(jì)完整的系統(tǒng)安全架構(gòu),而不是修修補(bǔ)補(bǔ)。

認(rèn)證是安全系統(tǒng)中不可缺少的環(huán)節(jié),請(qǐng)簡(jiǎn)要描述主要的認(rèn)證方式,并說(shuō)明該企業(yè)應(yīng)采用哪種認(rèn)證方式。
答案: 目前主要的認(rèn)證方式有以下3類:
①用戶名和口令認(rèn)證:主要是通過(guò)一個(gè)客戶端與服務(wù)器共知的口令(或與口令相關(guān)的數(shù)據(jù)...
問(wèn)答題

【案例分析題】

信息系統(tǒng)安全
某企業(yè)根據(jù)業(yè)務(wù)擴(kuò)張的要求,需要將原有的業(yè)務(wù)系統(tǒng)擴(kuò)展到互聯(lián)網(wǎng)上,建立自己的B2C業(yè)務(wù)系統(tǒng),此時(shí)系統(tǒng)的安全性成為一個(gè)非常重要的設(shè)計(jì)需求。為此,該企業(yè)向軟件開(kāi)發(fā)商提出如下要求:
①合法用戶可以安全地使用該系統(tǒng)完成業(yè)務(wù)。
②靈活的用戶權(quán)限管理。
③保護(hù)系統(tǒng)數(shù)據(jù)的安全,不會(huì)發(fā)生信息泄露和數(shù)據(jù)損壞。
④防止來(lái)自于互聯(lián)網(wǎng)上的各種惡意攻擊。
⑤業(yè)務(wù)系統(tǒng)涉及各種訂單和資金的管理,需要防止授權(quán)侵犯。
⑥業(yè)務(wù)系統(tǒng)直接面向最終用戶,需要在系統(tǒng)中保留用戶使用痕跡,以應(yīng)對(duì)可能的商業(yè)訴訟。
該軟件開(kāi)發(fā)商接受任務(wù)后,成立方案設(shè)計(jì)小組,提出的設(shè)計(jì)方案是:在原有業(yè)務(wù)系統(tǒng)的基礎(chǔ)上,保留了原業(yè)務(wù)系統(tǒng)中的認(rèn)證和訪問(wèn)控制模塊;為了防止來(lái)自互聯(lián)網(wǎng)的威脅,增加了防火墻和入侵檢測(cè)系統(tǒng)。
企業(yè)和軟件開(kāi)發(fā)商共同組成方案評(píng)審會(huì),對(duì)該方案進(jìn)行了評(píng)審,各位專家對(duì)該方案提出了多點(diǎn)不同意見(jiàn)。李工認(rèn)為,原業(yè)務(wù)系統(tǒng)只針對(duì)企業(yè)內(nèi)部員工,采用了用戶名/密碼方式是可以的,但擴(kuò)展為基于互聯(lián)網(wǎng)的B2C業(yè)務(wù)系統(tǒng)后,認(rèn)證方式過(guò)于簡(jiǎn)單,很可能造成用戶身份被盜?。和豕ふJ(rèn)為,防止授權(quán)侵犯和保留用戶痕跡的要求在方案中沒(méi)有體現(xiàn)。而劉工則認(rèn)為,即使是在原有業(yè)務(wù)系統(tǒng)上的擴(kuò)展與改造,也必須全面考慮信息系統(tǒng)面臨的各種威脅,設(shè)計(jì)完整的系統(tǒng)安全架構(gòu),而不是修修補(bǔ)補(bǔ)。

信息系統(tǒng)面臨的安全威脅多種多樣,來(lái)自多個(gè)方面。請(qǐng)指出信息系統(tǒng)面臨哪些方面的安全威脅并分別予以簡(jiǎn)要描述。
答案: 信息系統(tǒng)面臨的安全威脅來(lái)自于物理環(huán)境、通信鏈路、網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)及管理等多個(gè)方面。
物理安全威脅是...
微信掃碼免費(fèi)搜題