在信息系统安全保护中,依据安全策略控制用户对文件、数据库表等客体的访问属于( )安全管理。
本考题考查的知识点为信息系统安全的基础知识,根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)。
应用安全
(1)身份鉴别(S2)
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
(2)访问控制(S2)
a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;所以此题选C。
b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
c)应由授权主体配置访问控制策略,并严格限制默认账户的访问权限;
d)应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
(3)安全审计(G2)
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
b)应保证无法删除、修改或覆盖审计记录;
c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
(4)入侵防范(G3)
a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
什么是信息安全、等级保护以及风险评估?
注意:这里所指的信息系统,是指由计算机及其相关、配套的设备和设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息则是指在信息系统中存储、传输、处理的数字化信息。提出背景:1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级...
信息安全等级保护有哪三级?
第二级 等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。通常适用于:县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。第三...
网络信息安全保护等级分为多少级
网络信息安全保护等级分为五级:第一级(自主保护级):一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。第二级(指导保护级):一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的...
信息安全等级保护管理办法
第二章 等级划分与保护第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条 信息系统的安全保护...
什么是信息安全等级保护?等保2.0是什么?
【信息安全等级保护】是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。等级保护制度是我国网络安全的基本制度。层次化保护是指对国家重要...
信息安全有五大安全,这五大安全是什么?
审计跟踪、行为分析等。可信任性安全:可信任性是指信息系统能够保证用户对其信任程度。保护可信任性的安全措施包括安全认证、数字证书、安全标签等。综上所述,信息安全的五大安全方面涵盖了信息安全的核心要素,企业和个人在进行信息安全保护时需要全面考虑这五个方面,采取相应的措施保障信息的安全。
信息安全指保护信息系统的硬件、( )及相关数据,使之不因偶然或者恶意侵...
信息安全指保护信息系统的硬件、软件、及相关数据,使之不因偶然或者恶意侵犯。信息安全,ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。中国企业在信息安全方面始终保持着良好记录。现...
国家信息安全等级保护制度 的内容是什么?谢谢
国家信息安全等级保护制度分为五个阶段:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,...
信息系统的信息安全等级保护的测评是必须的吗?有没有专门的出台了法律法...
2、等保很多要求标准在不断修改中,建议在对自己的信息安全整改过程中,引入有资质的第三方,这样会比较容易些。 二级及以下可以自己测评,也可以不做测评。3级以上必须经过测评。《信息安全等级保护管理办法》第十四条第一款规定: 信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。
信息安全的保护对象主要是计算机硬件软件和什么
信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是...
嬴的肺泰: 去百度文库,查看完整内容>内容来自用户:BEVE信息安全策略的内容 信息安全策略主要包括物理安全策略、系统管理策略、访问控制策略、资源需求分配策略、系统监控策略、网络安全管理策略和灾难恢复计划. 1.物理安全策略 物理安全...
大竹县13161405983: 数据库安全的安全策略 - ?
嬴的肺泰: 计算机安全是当前信息社会非常关注的问题,而数据库系统更是担负着存储和管理数据信息的任务,因而如何保证和加强其安全性,更是迫切需要解决的热门课题.下面将讨论数据库的安全策略,并简单介绍各种策略的实现方案. 一、数据库的...
大竹县13161405983: 计算机信息安全技术的基本策略有哪些? - ?
嬴的肺泰: 二、计算机网络系统安全策略:计算机网络系统的安全管理主要是配合行政手段,制定有关网络安全管理的规章制度,在技术上实现网络系统的安全管理,确保网络系统的安全、可靠地运行,主要涉及以下四个方面: (一)网络物理安全策略:...
大竹县13161405983: 计算机信息系统的安全对策有哪些 - ?
嬴的肺泰: 主要内容有环境安全和设备安全.计算机系统所在环境的安全保护主要包括区域保护和灾难保护;计算机信息设备的安全保护主要包括设备的防毁、防盗、防止电磁信息辐射...
大竹县13161405983: 信息系统安全等级保护中,网络安全主要包括:结构安全;();安全... - 上学吧?
嬴的肺泰: 建立一个完整的信息安全保障策略 应该是人、管理和安全技术实施的结合,三者缺一不可.信息安全体系建设需要从这三个层面提供为保证其信息安全所需要的安全对策、机制和措施,强调在一个安全体系中进行多层保护.省级联社建设信息安全保障体系首先要解决“人”的问题,建立完善的信息管理和安全组织结构;其次是解决“人”和“技术”之间的关系,建立层次化的信息安全策略,包括纲领性策略、安全制度、安全指南和操作流程;最后是解决“人”与“技术(操作)”的问题,通过各种安全机制来提高网络的安全保障能力.
大竹县13161405983: 信息安全导论中的安全策略安全策略,安全机制,安全假设分别是什么意思 - ?
嬴的肺泰: 使用事件审计实验系统,对防火墙规则的策略进行设置;通过一些常用的网络客户端操作,判断所设置的策略是否有效,对比不同设置条件下, 产生的不同效果;通过使用查询功能,察看指定规则的记录.
