(肯尼斯 劳顿)第8章-信息系统安全

信息系统安全概论第⼀章定义1.2由⼀套应⽤软件及⽀撑其运⾏的所有硬件和软件构成的整体称为⼀个信息系统。

定义1.3如果信息系统A的某些功能需要由主机系统H实施，则称信息系统A 依赖主机系统H，或称主机系统H承载信息系统A。

引理1.1承载任何⼀个信息系统所需要的主机系统数量是有限的。

定义1.4如果信息系统A的某些功能需要由⽹络设施D实施，则称信息系统A 依赖⽹络设施D，或称⽹络设施D承载信息系统A。

定理1.1任何⼀个信息系统都只需要由有限数量的主机系统和有限数量的⽹络设施承载。

信息安全经典要素CIA：※机密性是指防⽌私密的或机密的信息泄露给⾮授权的实体的属性。

完整性分为数据完整性和系统完整性，数据完整性指确保数据（包括软件代码）只能按照授权的指定⽅式进⾏修改的属性，系统完整性指系统没有受到未经授权的操控进⽽完好⽆损的执⾏预定功能的属性。

可⽤性是指确保系统及时⼯作并向授权⽤户提供所需服务的属性。

信息系统基本概念：安全策略是指规定⼀个组织为达到安全⽬标如何管理、保护和发布信息资源的法律、规章和条例的集合。

安全策略是指为达到⼀组安全⽬标⽽设计的规则的集合。

安全策略是指关于允许什么和禁⽌什么的规定。

安全模型是指拟由系统实施的安全策略的形式化表⽰。

安全模型是指⽤更加形式化的或数学化的术语对安全策略的重新表述。

安全机制是指实现安全功能的逻辑或算法。

安全机制是指在硬件和软件中实现特定安全实施功能或安全相关功能的逻辑或算法。

安全机制是指实施安全策略的⽅法、⼯具或规程。

安全机制设计⼋⼤原则①经济性原则②默认拒绝原则③完全仲裁原则④开放设计原则⑤特权分离原则⑥最⼩特权原则⑦最少公共机制原则⑧⼼理可接受原则第⼆章※※※贝- 拉模型的构成贝- 拉模型的核⼼内容由简单安全特性（ss- 特性）、星号安全特性（*-特性）、⾃主安全特性（ds-特性）和⼀个基本安全定理构成。

(基本安全定理)如果系统状态的每⼀次变化都满⾜ss- 特性、*- 特性和ds- 特性的要求，那么，在系统的整个状态变化过程中，系统的安全性⼀定不会被破坏。

【管理信息系统】【Management Information System】一、基本信息课程代码：【2060042 】课程学分：【 3 】面向专业：【电子商务】课程性质：【专业必修课】开课院系：商学院电子商务系使用教材：主教材【现代管理信息系统（第4版），郭东强，傅冬绵编，清华大学出版社，2017年09月】参考书目【管理信息系统开发项目式教程（第3版），陈承欢编著，人民邮电出版社，2015年7月】【管理信息系统（第3版），[美] 肯尼斯 C.劳顿（Kenneth udon），[美] 简P.劳顿编；黄丽华等译，机械工业出版社，2015年9月】【管理信息系统（原书第13版），刘仲英，王洪伟，吴冰编，高等教育出版社，2017年4月】课程网站网址：先修课程：【计算机应用基础；管理学】二、课程简介《管理信息系统》是经济管理类专业的核心课程，是本专业的专业必修课。

本课程涉及计算机科学、管理科学、统计学等多个学科的知识，是一门多学科交叉的实践性强的课程。

本课程主要讲述管理信息系统的基本概念、主要类型、结构组成、开发技术和发展趋势，使学生理解管理信息系统的基本概念和结构组成，初步掌握开发管理信息系统的基本过程、技术基础、工具环境和主要方法；同时，通过本课程实践教学，培养学生综合运用相关知识，开发简单信息系统的初步能力。

三、选课建议本课程适合在工商管理、电子商务、物流管理、会计学、旅游管理专业开设，要求学生完成并达到先修课程《计算机应用基础》和《管理学》的教学要求，具有一定的计算机操作能力。

四、课程与培养学生能力的关联性备注：LO=learning outcomes （学习成果）五、课程目标/课程预期学习成果专业毕业要求关联LO11：倾听他人意见、尊重他人观点、分析他人需求。

应用书面或口头形式，阐释自己的观点，有效沟通。

LO21：能搜集、获取达到目标所需要的学习资源，实施学习计划、反思学习计划、持续改进，达到学习目标。

《管理信息系统》第13版(Laudon/Laudon)第8章信息系统安全单项选择题1) 下载驱动（drive-by download）是一种被黑客用来在无线网络上获取文件的技术。

参考答案: FALSE难度系数: 12) 通过调制解调器或者数字专线DSL与因特网固定连接的计算机比用拨号服务连接的计算机更容易被外来者入侵。

参考答案: TRUE难度系数: 23) 无线网络很容易受到攻击因为无线频率的波段很容易被监测到。

参考答案: TRUE难度系数: 24) 针对移动设备的恶意软件尚未像针对传统计算机的恶意软件那样广泛。

参考答案: TRUE难度系数: 35) 特洛伊木马（Trojan horse）是一种软件程序，它看似良性但是会做出一些意想不到的事情。

参考答案: TRUE难度系数: 16) 病毒可以通过电子邮件进行传播。

参考答案: TRUE难度系数: 17) 计算机蠕虫比计算机病毒传播得更快。

参考答案: TRUE难度系数: 28) 电子欺骗（spoofing）指通过把欺骗网站伪装成目的网站，从而把网页链接误导入另一个与用户实际希望访问的网站不同的地址。

参考答案: TRUE难度系数: 29) 嗅探器程序使黑客能够从网络中任何地方盗取有价值的私有信息，包括电子邮件消息、公司文件和机密报告等。

难度系数: 210) 拒绝服务（DoS）攻击是用来摧毁信息和企业信息系统的限制访问区域。

参考答案: FALSE难度系数: 211) 通过走查法（walkthrough），黑客可以轻松绕过信息系统的安全控制。

参考答案: FALSE难度系数: 212) 较大的程序无法实现零缺陷。

根本不可能对软件进行完整测试。

如果对包含数以千计的选择代码和数以百万计的执行路径的程序进行充分测试，耗时可能需要多达数千年。

参考答案: TRUE难度系数: 213) 可接受使用策略（AUP）为不同用户定义访问信息资产的可接受等级。

参考答案: FALSE难度系数: 214) 生物身份认证（biometric authentication）系统使用如视网膜图像等个人身体特征来提供身份识别。

第8章信息系统安全单项选择题（一）1.________指用来防止对信息系统非授权的访问、更改、盗窃或者物理损害的政策、步骤和技术措施。

A）"安全"B）"控制"C）"基准"D）"算法"E）"身份管理"Answer: ADifficulty: Moderate2.________是确保组织资产安全资产记录准确、可靠，操作符合管理标准的方法、政策和组织流程。

A）"遗留系统"B）"SSID标准"C）"漏洞"D）"安全政策"E）"控制"Answer: EDifficulty: Moderate3.绝大多数计算机病毒会产生A）蠕虫B）特洛伊木马C）下载驱动D）键盘记录E）有效载荷Answer: EDifficulty: Easy4.下面关于无线网络安全的表述不正确的是A）Wi-Fi 网络中识别访问点的服务集标识（service set identifier，SSID）多次广播，能够很容易地被入侵者的监听程序窃取B）无线频率的波段很容易被监测到.C）与一个接入点关联起来的入侵者通过使用正确的SSID就能够访问网络上的其他资源。

D）入侵者可以强行将用户的NIC和欺诈接入点连接起来E）蓝牙是唯一的不易被监听的无线技术.Answer: EDifficulty: Challenging5.以下所有特定的安全挑战，都威胁到客户端/服务器环境中的通信线路，除了：A）错误B）窃听C）偷盗和欺诈D）辐射E）嗅探Answer: ADifficulty: Challenging6.下面所有的安全挑战都威胁到客户端/服务器环境中的企业服务器，除了A）黑客攻击B）恶意软件C）拒绝服务攻击D）嗅探E）故意破坏Answer: DDifficulty: Challenging7.下面所有的安全挑战都威胁到客户端/服务器环境中的公司系统，除了A）数据被盗B）复制数据C）数据的更改D）辐射E）硬件故障Answer: DDifficulty: Challenging8. CryptoLocker是一种A）蠕虫B）SQL注入攻击C）嗅探器D）邪恶双胞E）勒索软件Answer: EDifficulty: Easy9.以下哪个关于互联网安全的陈述是不正确的？A）使用对等P2P网络共享文件可能把企业计算机上的信息向外界泄露B）不提供互联网连接的公司网络比提供互联网连接的公司网络更加安全C）VoIP（使用互联网协议管理语音传送的设施）比语音交换网络更加安全D）即时信息活动可以为黑客提供其他的安全的网络E）智能手机和其他网络设备一样具有相同的安全弱点Answer: CDifficulty: Challenging10.特洛伊木马（Trojan horse）是A）一种软件程序，它看似良性但是会做出超出预期的事情。

第1章管理系统与信息技术应用单选题：1.信息时代，社会财富创造和经济发展的关键要素是信息。

2.三网融合中的三网包括电信网、移动互联网、广播电视网。

3.移动商务需要使用无线终端设备，智能手机、PDA、掌上电脑属于无线终端设备。

4.企业对企业、公民对政府、社交电子商务属于电子商务的主要类型。

5.按信息稳定性进行分类，将信息分为静态信息和动态信息。

6.按信息所依附的载体作为依据进行划分的信息种类包括文献信息、口传信息、电子信息等。

7.按决策层次划分，其中战略信息的使用者是高层管理者。

8.企业实施管理和控制的依据是信息。

9.管理信息定义：经过加工处理后对企业生产经营活动影响的数据。

10.数据是原始事实和状态的直接记录。

11.商用计算机擅长进行高强度重复性计算。

12.企业需要借助信息技术应用技术应对的经营压力是市场压力、新技术压力、社会压力。

13.基于计算机的信息系统（CBIS）可用来对信息管理的各个环节提供支持，这些环节包括数据采集和存储、数据加工、数据传输和数据提供等。

14.现代企业信息处理的基本要求是获得可用性好的信息，并将其用于企业的流程管理和绩效改善之中。

15.信息的及时性、准确性和适用性的基础是经济性。

16.GPS的含义为全球定位系统。

17.作为管理人员，使用信息系统的主要目的是改善自己的管理。

第2章应用信息系统单选题：1.在著名的《一般系统论》中明确提出了系统定义的是路德维希·冯·贝塔朗菲。

2.系统通过调整来适应外部环境变化，与环境保持最佳的适应状态。

3.系统可以根据自己的目标，调整自己的行为，完成系统目标体现了系统的目的性。

4.系统之外的其他事物或系统的总和是环境。

5.信息的采集、信息的处理。

信息的储存属于信息系统的功能。

6.系统要有根据用户需求，存储各种信息资料和数据的能力是信息系统功能中的信息的存储。

7.能够对数据惊醒分类、排序、转换、运算。

分析等加工，并生成用户可用的处理结果是信息系统功能中的信息的处理。

信息安全概论复习提纲第1章绪论1、信息安全的六个属性机密性、完整性、可用性、非否认性、真实性、可控性（前三者为经典CIA模型）机密性：能够确保敏感或机密数据的传输和存储不遭受未授权的浏览，甚至可以做到不暴露保密通信的事实。

完整性：能够保障被传输、接受或存储的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或者篡改的设置。

可用性：即在突发事件下，依然能够保障数据和服务的正常使用。

非否认性：能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。

真实性：真实性也称可认证性，能够确保实体身份或信息、信息来源的真实性。

可控性：能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。

2、从多个角度看待信息安全问题个人：隐私保护、公害事件企事业单位：知识产权保护、工作效率保障、不正当竞争军队、军工、涉密单位：失泄密、安全保密的技术强化运营商：网络运行质量、网络带宽占用（P2P流量控制）、大规模安全事件（DDOS、大规模木马病毒传播）、新商业模式冲击（非法VOIP、带宽私接）地方政府机关：敏感信息泄露、失泄密、网站篡改、与地方相关的网络舆情职能机关：案件侦破、网上反恐、情报收集、社会化管理国家层面：基础网络和重要信息系统的可用性、网上舆情监控与引导、失泄密问题、巩固政权、军事对抗、外交对抗、国际斗争3、威胁、脆弱点和控制（1）信息安全威胁(threat)：指某人、物、事件、方法或概念等因素对某信息资源或系统的安全使用可能造成的危害。

包括信息泄露、篡改、重放、假冒、否认、非授权使用、网络与系统攻击、恶意代码、灾害故障与人为破坏。

其他分类：暴露、欺骗、打扰、占用；被动攻击、主动攻击；截取、中断、篡改、伪造。

（2）脆弱点（Vulnerability），即缺陷。

（3）控制（control），一些动作、装置、程序或技术，消除或减少脆弱点。