企业信息安全管理复习纲要
企业信息管理复习资料
一、考核要点第一章:企业信息管理概述重点掌握:1、数据、信息、知识的概念以及它们之间的联系与区别;2、信息的价值属性以及对企业信息管理的指导作用;3、信息技术的任务和作用;4、组织与信息系统的关系;5、企业如何通过信息技术和信息系统获得竞争优势;掌握:企业信息管理的基本条件;了解:1、五力模型;2、三种通用战略;3、价值链模型。
第二章﹑数据库与数据仓库重点掌握:1、数据库管理系统的基本功能;2、关系数据库的基本概念;掌握:数据库系统的基本概念和特点.了解:1、关系数据库的设计方法;2、数据仓库与数据挖掘技术。
第三章、计算机网络重点掌握:1、计算机网络的基本概念、组成和作用;2、互联网和内联网的典型应用;3、计算机网络与企业信息管理的关系.掌握:企业计算机网络建设的主要内容.了解:计算机网络分类.第四章﹑企业信息系统重点掌握:1、信息系统的概念、功能以及信息系统与组织的关系;2、信息系统分类的基本框架;3、不同的管理层次在信息需求方面的差异。
掌握:1、MIS、DSS等基本信息系统的特点、功能和组成;2、MIS与DSS的联系与区别。
了解:系统的概念。
第五章企业信息资源规划系统重点掌握:1、ERP的含义和管理思想;2、ERP的主要功能模块。
掌握:1、ERP的发展历史;2、MRP、MRPⅡ、ERP的关系;3、MRP的功能及不足;4、MRPⅡ的优点和不足。
1、企业如何利用ERP提升竞争力;2、ERP系统的实施步骤。
第六章供应链管理系统重点掌握:1、供应链的概念、特点和目标;2、供应链管理的概念及核心内容;3、供应链管理系统的主要功能模块。
掌握:1、拉式供应链和推式供应链的运作模式;2、供应链管理给企业带来的竞争优势。
了解:选择供应链合作伙伴的原则和方法。
第七章客户关系管理系统重点掌握:1、客户关系管理的功能;2、客户关系管理的应用;掌握:1、客户关系管理的概念;2、客户关系管理生命周期;3、客户关系管理的实现技术.了解:1、客户价值;2、客户关系管理的实施第八章电子商务重点掌握:1、电子商务的含义及电子商务的类型;2、电子商务对企业商务运作方式和过程的影响;3、电子商务的交易过程;4、企业运用电子商务如何获得竞争优势。
企业信息化课程复习大纲.
企业信息化课程复习第一章一、名词解释企业信息化答:企业信息化实质上是将企业的生产过程、物料移动、事务处理、现金流动、客户交互等业务过程数字化,通过各种信息系统网络加工生成新的信息资源,提供给各层次的人们洞悉、观察各类动态业务中的一切信息,以作出有利于生产要素组合优化的决策,使企业资源合理配置,以使企业能适应瞬息万变的市场经济竞争环境,求得最大的经济效益。
2、信息技术答:是主要用于管理和处理信息所采用的各种技术的总称。
它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。
它也常被称为信息和通信技术(Information and Communications Technology, ICT)。
主要包括传感技术、计算机技术和通信技术。
二、简答题1、企业信息化系统的形成与发展阶段;答:企业信息化由从无到有,从低级到高级、从局部到全局会经历四个阶段,一个从简单到复杂的过程。
(1)第一阶段:电子数据处理(EDP)阶段。
企业开始有了计算机,并从事一些简单的数据处理。
其中可能计算机会很多,但是没有中心服务器的概念,每台计算机的地位相互平等。
这阶段的计算机在数据处理中的应用仅限于减轻人员在计算方面的劳动强度,如用于计算工资、统计账目等,属于电子数据处理业务。
对企业单项业务进行处理,较少涉及管理内容。
(2)第二阶段:事务处理阶段(TPS)。
随着企业业务需求的增长和技术条件的发展,计算机间逐渐产生了部门间信息共享的需求。
计算机在局部事务处理中产生了管理功能,但并没有形成对企业全局的管理。
(3)第三阶段:管理信息系统阶段(MIS)。
管理信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通信设备为基本传输工具,并能为管理决策提供信息服务的人机系统。
MIS阶段,信息系统形成了对企业全局的计算机应用。
强调以企业管理系统为背景,以基层业务系统为基础。
并且强调企业各业务系统间的信息联系,以完成企业总体任务为目标。
企业信息管理复习资料
企业信息管理复习资料一、名词1.企业信息管理:是以整个企业信息管理活动的全过程和企业信息管理活动的结果为研究对象,研究企业信息管理活动的基本规律和基本方法的学问。
二、填空1.信息是一种能对其(接收者)的行动产生作用的数据。
2.企业信息管理的目的是通过对信息资源的开发和利用,创造更大的(信息价值)。
3.信息内容方面的价值属性包括(正确性)、(相关性)和(完整性)。
4.(数据仓库)(Data Warehouse,DW)是面向主题的、集成的、与时间密切相关的、相对稳定的数据集合,其目的是支持管理人员业务分析与决策的制定。
5.(数据挖掘)(Data Mining,DM)是一种从数据库或数据仓库中发现并提取隐藏在其中的模式信息的技术,目的是帮助决策者寻找数据间潜在的关联,发现被忽略的要素,而这些信息对预测趋势和决策行为是十分有用的。
6.一个完整的数据库系统由(数据库)(Database)、(数据库管理系统)(Database Management,DBMS)\(数据库用户)(包括数据库管理员)和支持数据库运行的各种计算机软件与硬件构成。
7.(DBMS)是数据库系统的核心。
8.因特网主要由(通信线路)、(路由器)、(主机和信息资源)等组成。
9.(系统结构)有两个方面的含义,一是指(系统的组成元素),二是指(系统元素间(可子系统之间)的联系)。
系统最常见的一种结构是层次型结构。
10.(信息系统)是由人员、数据、反映业务活动的软件、网络和计算机硬件五个构件组成的一个集成系统。
11.ERP的概念由美国加特纳集团公司于(1993)年首次提出。
12.典型的ERP系统的功能主要包括(财务管理)(会计核算、财务管理)、(物流管理)(分销、采购、库存管理)、(生产计划与控制管理)、(人力资源管理)等方面。
13.成功的SCM需要对相关的(信息流)、(物流)、(资金流)等作出决策。
14.SCM三个主要管理过程:(计划)、(执行)、(执行评价)。
信息安全概论复习提纲
信息安全概论复习提纲第1章绪论1、信息安全的六个属性性、完整性、可用性、非否认性、真实性、可控性(前三者为经典CIA模型)性:能够确保敏感或数据的传输和存储不遭受未授权的浏览,甚至可以做到不暴露通信的事实。
完整性:能够保障被传输、接受或存储的数据是完整的和未被篡改的,在被篡改的情况下能够发现篡改的事实或者篡改的设置。
可用性:即在突发事件下,依然能够保障数据和服务的正常使用。
非否认性:能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果,这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。
真实性:真实性也称可认证性,能够确保实体身份或信息、信息来源的真实性。
可控性:能够保证掌握和控制信息与信息系统的基本情况,可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。
2、从多个角度看待信息安全问题个人:隐私保护、公害事件企事业单位:知识产权保护、工作效率保障、不正当竞争军队、军工、涉密单位:失泄密、安全的技术强化运营商:网络运行质量、网络带宽占用(P2P流量控制)、大规模安全事件(DDOS、大规模木马病毒传播)、新商业模式冲击(非法VOIP、带宽私接)地方政府机关:敏感信息泄露、失泄密、篡改、与地方相关的网络舆情职能机关:案件侦破、网上反恐、情报收集、社会化管理国家层面:基础网络和重要信息系统的可用性、网上舆情监控与引导、失泄密问题、巩固政权、军事对抗、外交对抗、国际斗争3、威胁、脆弱点和控制(1)信息安全威胁(threat):指某人、物、事件、方法或概念等因素对某信息资源或系统的安全使用可能造成的危害。
包括信息泄露、篡改、重放、假冒、否认、非授权使用、网络与系统攻击、恶意代码、灾害故障与人为破坏。
其他分类:暴露、欺骗、打扰、占用;被动攻击、主动攻击;截取、中断、篡改、伪造。
(2)脆弱点(Vulnerability),即缺陷。
(3)控制(control),一些动作、装置、程序或技术,消除或减少脆弱点。
信息安全培训提纲
信息安全培训提纲一、信息安全概述
1. 什么是信息安全
2. 信息安全的原因和重要性
3. 信息安全面的威胁和风险
4. 信息安全管理的基本原则
二、密码学基础知识
1. 对称加密算法原理与应用
2. 非对称加密算法原理与应用
3. 数字签名和证书的概念
4. 哈希算法原理与应用
三、网络安全
1. 防火墙配置与管理
2. 入侵检测系统配置与管理
3. 网络连接与数据传输的安全性问题
4. 网络攻击手段及防御对策
四、操作系统安全
1. 权限管理基本知识
2. 常见系统漏洞分析
3. 系统更新与补丁管理
4. 主流操作系统的安全设置
五、应用安全
1. 应用常见漏洞
2. 注入和攻击
3. 网站防火墙与
4. 应用代码安全编写规范
六、电子邮件安全
1. 电子邮件危害类型概述
2. 防止邮件病毒和钓鱼邮件
3. /加密邮件与/签名
4. 域名策略与邮件安全
如上是一个信息安全培训的提纲内容,列出了主要知识点,侧重信息安全的基础理论知识和常见技术手段,供参考修改使用。
企业信息管理复习[1]
![企业信息管理复习[1]](https://img.taocdn.com/s3/m/a0b63d6a2e60ddccda38376baf1ffc4fff47e261.png)
第四篇 企业信息系统规划与实施
n 企业战略与企业信息化战略P140-141 n IT项目风险类型P164 n IT建设的模式P167 n IT外包的收益与风险P170 n 生命周期法的开发步骤P191 n 系统切换方法P210 n 原型法P193 n 信息需求开发的步骤p199
企业信息管理复习[1]
第三篇 企业信息系统
n 信息系统的基本概念P56 n 信息系统的分类框架
n 不同管理活动的信息需求P59
n MIS n DSS(MIS和DSS的联系及区别p66) n ERP(发展历史P70) n SCM(供应链模式p88) n CRM(客户关系生命周期P102) n EC(类型P121,电子商务系统的组成P130)
四种。
n 信息系统的需求开发分为
、
、
、 四个步骤。
n 一个完整的客户生命周期包括
、
、_
、__ __。
n 供应链有
、
两种模式。
n 在引入ERP系统的过程中,
是一个极其关键也最容易被忽视的环节。
企业信息管理复习[1]
简答题
n 简述企业信息管理的基本条件。 n 如何理解“一把手原则” n 什么是信息系统?其功能是什么? n 比较DSS与MIS的区别。
企业信息管理复习
2024/2/1
企业信息管理复习[1]
考核方式
n 90分钟 n 开卷笔试 n 题型:
n 判断题 16% n 填空 44% n 简答 24% n 分析 16%
企业信息管理复习[1]
重点关注
n 本课程复习以此课件为主。 n 结合平时作业。
企业信息管理复习[1]
第一篇 企业信息管理概述
企业信息管理复习要点
企业信息管理复习要点一、单选题1、在网络经济条件下,相比资金、物资、土地等,信息资源更重要。
2、典型的非对称加密算法是RSA 。
3、关于信息安全策略的目的性,正确的说法是策略应该反映组织的整体利益。
4、关于信息安全策略的经济性,正确的说法是策略应该经济合理。
5、关于信息安全策略的适用性,正确的说法是策略应该反映组织的真实情况。
6、在信息产品、信息服务、交易时间和信息中介中,属于信息市场主体的是信息中介。
7、在环境因素、组织因素、技术因素和个人因素中,不影响用户信息需求的是技术因素。
8、审查开发方提交的技术报告和抽样审查程序设计说明书都属于监理工作。
9、参与式监理不属于信息系统监理模式。
10、检查项目进度和质量属于监理工作。
11、对用户方的业务支持人员进行系统测试方面的培训属于监理工作。
12、基于人力资源的战略信息管理理论不属于企业战略信息管理理论。
13、关于信息的价值,消除不确定性的说法是正确的。
14、关于信息采集的说法,信息选择取决于采集人员的主观意志是不正确的。
15、在组织因素、制度因素、政策因素和技术因素中,影响信息用户需求的是组织因素。
16、第一次信息革命是语言的产生;第二次信息革命是文字的出现;第三次信息革命是印刷术的发明;第四次信息革命是电报、电话等的使用。
17、邮政编码属于区间码。
18、用TV-C-25表示25英寸彩色电视机,此种编码属于助忆码。
19、用001、002、……100表示电影厅中的第1到第100个座位,这种编码属于顺序码。
20、在数据录入过程中,将12345输入为22345或22335属于替代错误。
21、不同字符或整个代码的位置发生错误移动,属于易位错误。
22、存在“误码率比较高”缺点的信息存储技术是光盘存储技术。
23、专家裁决法作为信息筛选方法,关于它正确的描述是对无法取舍的信息交由专家裁决。
24、集体讨论法作为信息筛选方法,关于它正确的描述是采用集体会议的方法决定信息的取舍。
信息安全概论复习纲要
信息安全概论复习纲要信息安全的特性:机密性、完整性、可用性、可控性、不可否认性名词解释1、CIA三元组:信息安全通常强调所谓CIA三元组,实际上是信息安全的三个最基本的目标,即机密性、完整性和可用性。
2、物理安全:物理安全主要是指通过物理隔离实现网络安全。
物理安全又叫实体安全,是保护计算机设备、设施(网络及通信线路)免遭地震、水灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。
3、物理隔离:所谓“物理隔离”是指内部网不直接或间接地连接公共网。
物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。
只有使内部网和公共网物理隔离,才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。
此外,物理隔离也为政府内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
4、网络嗅探:网络嗅探是指利用计算机的网络接口截获其它计算机的数据报文的一种手段。
5、拒绝服务攻击:拒绝服务攻击是一种最悠久也是最常见的攻击形式,也称业务否决攻击。
严格来说,拒绝服务攻击并不是一种具体的攻击方式,而是攻击所表现出来的结果最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。
具体的操作方法是多种多样的,可以是单一的手段,也可以是多种方式的组合利用,其结果都是一样的,即使合法用户无法访问到所需的信息。
6、防火墙:防火墙指的是由一个软件和硬件设备组合而成,在内部网络和外部网络之间构造的安全保护屏障,从而保护内部网络免受外部非法用户的侵入。
简单地说,防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称。
7、云安全:云安全[1](Cloud security ),《著云台》的分析师团队结合云发展的理论总结认为,是指基于云计算[2]商业模式应用的安全软件,硬件,用户,机构,安全云平台的总称。
“云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。
信息安全管理提纲
BS7799
3、 BS7799-1(ISO/IEC17799)(4) BS7799-1(ISO/IEC17799)(
系统开发与维护:安全需求分析,安全机制 系统开发与维护:安全需求分析, 设计(应用系统安全,密码控制,系统文件 设计(应用系统安全,密码控制, 安全),开发和支持过程的安全控制 安全),开发和支持过程的安全控制 ), 业务连续性管理:业务连续性计划的制订, 业务连续性管理:业务连续性计划的制订, 演习,审核, 演习,审核,改进 符合性管理:符合法律法规, 符合性管理:符合法律法规,符合安全策略 等
四、信息安全法律体系 (一)我国信息安全法律体系 1、体系结构 、 2、信息系统安全立法的必要性和紧迫性 、 (二)法律、法规介绍 法律、 1、刑法相关内容 、 2、治安管理处罚法相关内容 、
第二章 信息安全管理基础
实现信息安全要依靠技术措施和管理措施的统一,甚 实现信息安全要依靠技术措施和管理措施的统一, 至“三分技术、七分管理” 三分技术、七分管理” 一、信息安全管理体系 二、信息安全管理标准 三、信息安全策略
BS7799
4、 BS7799-2/ISO 27001(1) BS779927001(
信息安全管理体系规范(Specification 信息安全管理体系规范(Specification for Information Security Management System) 说明了建立、实施、维护,并持续改进ISMS的要求 说明了建立、实施、维护,并持续改进ISMS的要求 指导实施者如何利用BS7799指导实施者如何利用BS7799-1来建立一个有效的 ISMS BSI提供依据 BSI提供依据BS7799-2所建立ISMS的认证 提供依据BS7799- 所建立ISMS的认证
2023年企业信息管理秋季期末复习指导
企业信息管理07秋季期末复习指导重庆巴南电大周正一、复习应考旳基本规定阐明二、复习应考资料及其使用三、复习考试重难点辅导四、考试样题五、综合复习题一、复习应考旳基本规定阐明企业信息管理是中央广播电视大学专科起点旳本科教育工商管理专业开设旳专业基础课, 为了便于复习考试, 现对企业信息课程本科段考核有关状况作如下阐明。
(一)考查对象:专科起点旳本科开放教育工商管理专业旳学生。
(二)考核方式:本课程采用形成性考核与终止性考核相结合旳方式。
形成性考核采用大作业旳形式, 共4次, 大作业成绩占课程总成绩旳20%;终止性考核成绩占课程总成绩旳80%。
没有完毕平时作业者不能获得该课程旳学分。
(三)考核根据:本课程旳命题根据是本考核阐明和教学大纲、文字主教材(中央广播电视大学出版社出版、潘永泉主编旳《企业信息管理》2023年第一版)。
(四)考试内容范围:本课程旳考核内容是教学大纲和本考核阐明规定旳重要内容, 要以本考试阐明为主。
学生在学习过程中, 根据教学大纲规定旳“理解、掌握、重点掌握”三个层次来把握。
考试内容旳分布:理解旳内容占10%左右, 掌握旳内容占30%左右, 重点掌握旳内容占总成绩旳60%左右。
(五)试题类型及构造试题类型共六类, 类型及构造如下:填空题: 考核学生对基本知识旳识记和理解程度。
占所有试题旳20%。
名词解释: 考核学生对基本概念、基本知识旳理解和记忆程度。
占所有试题旳16%。
单项选择: 占所有试题旳16%。
多选: 占所有试题旳10%。
简答题: 考核学生对基本概念、理论、企业信息系统旳理解和掌握程度。
占所有试题旳24%。
论述题: 考核学生运用基本概念、基本理论和基本措施分析和处理有关理论和实际问题旳能力。
占所有试题旳14%。
(六)考试时间本课程考试时间为90分钟。
(七)考试需注意问题1.根据每次考试内容、题量和难度状况看, 大家需要多花时间看教材, 熟悉教材旳知识点, 掌握中央电大、重庆电大和巴南电大上旳期末复习指导以及老师在复习课上旳规定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业信息安全管理复习纲要填空题(1*20)1.信息安全基本目标——机密性C、完整性I、可用性A2.信息安全的成败取决于两个因素——技术和管理3.从什么方面考虑信息安全——法律法规与合同要求、组织原则目标和业务需要、风险评估的结果4.安全管理模型PDCA是指——计划Plan(根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施)、实施Do(实施所选的安全控制措施)、检查Check(依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查)、措施Action(针对检查结果采取应对措施,改进安状况)5.软件安全问题加剧的三个趋势——互联性、可扩展性、复杂性6.漏洞分类——软件编写存在bug、跨站脚本、SQL注入7.数据库的特点——多用户、高可用性、频繁更新、大文件、安全性与可靠性问题复杂8.数据备份的类型——完全备份、差量备份、增量备份9.数据库的备份——分为物理备份和逻辑备份两种,其中物理备份包括冷备份和热备份。
10.计算机系统安全级别分类依据——身份认证、访问控制、审计、备份11.密码学发展大致分为三个阶段——古典密码时期、近代密码时期、现代密码时期12.一个密码系统(体制)至少由——明文、密文、加密算法和解密算法、密钥五部分组成。
13.密码体制分类——对称密码体制、非对称密码体制14.密码体制的有条件安全性——计算上的安全、有条件的安全、可证明的安全15.对称密码算法的分类——序列密码、分组密码16.分组密码的算法要求——分组长度足够大、密钥量足够大、密码变换足够复杂17.认证一般分两种情形——身份认证、消息认证18.访问控制包含3个要素——主体、客体、控制策略。
19.解决网络安全的主要技术——身份认证技术、访问控制技术、密码技术、病毒防治技术、防火墙技术选择题(2*5)1.信息安全管理的关键——技术和产品是基础,管理才是关键(信息安全是个管理过程,而不是技术过程)2.不同数据类型的对比3.风险管理是指导和控制一个组织相关风险的协调活动。
简答题(5*2)什么是信息安全?什么是信息安全管理?简述信息安全基本目标及信息安全的重要性。
信息安全是指采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。
信息安全的成败取决于两个因素:技术和管理。
信息安全管理(Information Security Management)是组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。
信息安全管理的核心就是风险管理。
信息安全基本目标——机密性C、完整性I、可用性A(与之相反的是DAD泄露、篡改、破坏)●保密性(Confidentiality)——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。
●完整性(Integrity)——确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。
●可用性(Availability)——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
信息安全的重要性:⏹信息作为资产,就像其他重要的商务资产那样,有价值,因而要妥善保护⏹信息安全是国家安全的需要⏹信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一⏹信息安全是保护个人隐私与财产的需要其面临的问题:◆国家的信息安全法律法规体系建设还不是很完善◆组织缺乏信息安全意识和明确的信息安全策略◆对信息安全还持有传统的认识,即重技术,轻管理◆安全管理缺乏系统管理的思想,还是就事论事式的静态管理✓怎样实现信息安全?答:信息安全主要通过以下三个方面:A 信息安全技术:信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等;B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。
大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的。
安全管理包括:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。
C 信息安全相关的法律:法律可以使人们了解在信息安全的管理和应用中什么是违法行为,自觉遵守法律而不进行违法活动。
法律在保护信息安全中具有重要作用对于发生的违法行为,只能依靠法律进行惩处,法律是保护信息安全的最终手段。
同时,通过法律的威慑力,还可以使攻击者产生畏惧心理,达到惩一警百、遏制犯罪的效果。
软件安全的概念,如何保证软件安全?软件安全(Software Security)就是使软件在收到恶意攻击的情形下依然能够继续正确运行及确保软件被在授权范围内合法使用的思想。
出现软件故障现象的原因是软件存在漏洞。
“任何软件,不论它看起来是多么安全,其中都隐藏漏洞”。
软件安全的目的是尽可能消除软件漏洞,确保软件在恶意攻击下仍然正常运行。
保证软件安全的方法和步骤:方法之一——进行渗透测试:渗透测试是一种“反向测试”,即安全测试人员直接和深入的探测安全风险以确定系统在遭受攻击时的表现。
渗透测试需要以攻击者的角度来思考问题,属于典型的黑盒测试。
渗透测试就是利用所有的手段进行测试,发现和挖掘系统中存在的漏洞,然后撰写渗透测试报告,将其提供给客户;客户根据渗透人员提供的渗透测试报告对系统存在漏洞和问题的地方进行修复和修补。
问答题(10*4)数据库安全的概念,数据库安全的相关内容,如何进行数据库备份和恢复?数据库系统的组成——包括数据库和数据库管理系统。
数据库,按一定的方式存取数据;数据库管理系统,为用户及应用程序提供数据访问,并具有对数据库进行管理、维护等多种功能。
数据库的特点——多用户、高可用性、频繁更新、大文件、安全性与可靠性问题复杂数据库安全包括以下四点:●数据库的安全性是指保护数据库,防止因用户非法使用数据库造成数据泄露、更改或破坏。
●数据保密是指用户合法地访问到机密数据后能否对这些数据保密。
通过制订法律道德准则和政策法规来保证。
●系统运行安全包括:法律、政策的保护,如用户是否有合法权利,政策是否允许等;物理控制安全,如机房加锁等;硬件运行安全;操作系统安全,如数据文件是否保护等;灾害、故障恢复;死锁的避免和解除;电磁信息泄漏防止。
●系统信息安全包括:用户口令字鉴别;用户存取权限控制;数据存取权限、方式控制;审计跟踪;数据加密。
统计数据库的特点允许用户查询聚集类型的信息(例如合计、平均值等)不允许查询单个记录信息统计数据库中特殊的安全性问题隐蔽的信息通道从合法的查询中推导出不合法的信息(规则1:规定任何查询至少要涉及N(N足够大)个以上的记录。
规则2:规定任意两个查询的相交数据项不能超过M个。
规则3:任一用户的查询次数不能超过1+(N-2)/M)数据库安全级别依据身份认证、访问控制、审计以及备份等安全机制,计算机系统的安全级别分为:DC(C1、C2)B(B1、B2、B3)A访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。
访问控制是指主体依据某种控制策略或权限对客体或资源进行的不同授权访问。
身份认证是访问控制的前提条件。
访问控制是应用系统不可缺少的重要部分。
访问控制包含3个要素:主体、客体和控制策略。
审计功能是根据一定的策略,通过记录、分析历史操作事件发现和改进系统性能和安全。
审计的基础在于事件记录:系统活动记录和用户活动记录;审计是对访问控制的必要补充,是访问控制的一个重要内容,审计是实现系统安全的最后一道防线。
所谓备份,就是把数据库复制到转储设备的过程。
其中,转储设备是指用于放置数据库拷贝的磁带或磁盘。
通常也将存放于转储设备中的数据库的拷贝称为原数据库的备份或转储。
Oracle数据库的备份分为物理备份和逻辑备份两种。
物理备份是将实际组成数据库的操作系统文件从一处拷贝到另一处的备份过程,由于它涉及到组成数据库的文件,但不考虑其逻辑内容。
物理备份包括冷备份和热备份两种方式。
(1)冷备份(Cold Backup)主要指在关闭数据库的状态下进行的数据库完全备份,备份内容包括所有数据文件、控制文件、联机日志文件、ini文件。
(2)热备份(Hot Backup)指在数据库处于运行状态下,对数据文件和控制文件进行备份,要使用热备份必须将数据库运行在(Archive Log)归档方式下。
可以使用Oracle 的恢复管理器(Recovery Manager,RMAN)或操作系统命令进行数据库的物理备份。
(3)逻辑备份(Logic Backup)逻辑备份是利用SQL语言从数据库中抽取数据并存于二进制文件的过程。
逻辑备份可按数据库中某个表、某个用户或整个数据库来导出,并且支持全部、累计、增量三种方式。
使用这种方法,数据库必须处于打开状态,而且如果数据库是在restrict状态将不能保证导出数据的一致性。
Oracle提供的逻辑备份工具是EXP。
数据库逻辑备份是物理备份的补充。
所谓恢复,就是当发生故障后,利用已备份的数据文件或控制文件,重新建立一个完整的数据库。
根据出现故障的原因,恢复分为两种类型:实例恢复:这种恢复是Oracle实例出现失败后,Oracle自动进行的恢复。
介质恢复:这种恢复是当存放数据库的介质出现故障时所做的恢复。
本书提到的恢复都是指介质恢复。
根据数据库的恢复程度,将恢复方法分为两种类型:完全恢复:将数据库恢复到数据库失败时数据库的状态。
这种恢复是通过装载数据库备份并应用全部的重做日志做到的。
不完全恢复:将数据库恢复到数据库失败前的某一时刻数据库的状态。
这种恢复是通过装载数据库备份并应用部分的重做日志做到的,进行不完全恢复后须在启动数据库时用resetlogs 选项重设联机重做日志。
✓什么是访问控制?访问控制包括哪几个要素?答:访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。
访问控制包括三个要素,即:主体、客体和控制策略。
主体:是可以对其它实体施加动作的主动实体,简记为S。
客体:是接受其他实体访问的被动实体, 简记为O。
控制策略:是主体对客体的操作行为集和约束条件集, 简记为KS。
✓什么是自主访问控制?什么是强制访问控制?这两种访问控制有什么区别?说说看,你会在什么情况下选择强制访问控制。
答:自主访问控制模型是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。