试题五
阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1 至问题3。 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C 业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下,要求:
(1)合法用户可以安全地使用该系统完成业务;
(2)灵活的用户权限管理;
(3)保护系统数据的安全,不会发生信息泄漏和数据损坏;
(4)防止来自于互联网上各种恶意攻击;
(5)业务系统涉及到各种订单和资金的管理,需要防止授权侵犯;
(6)业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业拆讼。
该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。
李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C 业务系统后,认证方式过于简单,很可能造成用户身份被盗取;
王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。
而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。
试题五
阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1 至问题3。 某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C 业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下,要求:
(1)合法用户可以安全地使用该系统完成业务;
(2)灵活的用户权限管理;
(3)保护系统数据的安全,不会发生信息泄漏和数据损坏;
(4)防止来自于互联网上各种恶意攻击;
(5)业务系统涉及到各种订单和资金的管理,需要防止授权侵犯;
(6)业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业拆讼。
该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。
李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是可以的,但扩展为基于互联网的B2C 业务系统后,认证方式过于简单,很可能造成用户身份被盗取;
王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。
而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。
【问题1】
信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。
试题五
阅读以下关于信息系统安全性的说明,在答题纸上回答问题1 至问题3。
【说明】
某大型跨国企业的IT 部门一年前基于SOA(Service-Oriented Architecture)对企业原有的多个信息系统进行了集成,实现了原有各系统之间的互连互通,搭建了支撑企业完整业务流程运作的统一信息系统平台。随着集成后系统的投入运行,IT 部门发现在满足企业正常业务运作要求的同时,系统也暴露出明显的安全性缺陷,并在近期出现了企业敏感业务数据泄漏及系统核心业务功能非授权访问等严重安全事件。针对这一情况,企业决定由IT 部门成立专门的项目组负责提高现有系统的安全性。 项目组在仔细调研和分析了系统现有安全性问题的基础上,决定首先为在网络中传输的数据提供机密性(Confidentiality)与完整性(Integrity)保障,同时为系统核心业务功能的访问提供访问控制机制,以保证只有授权用户才能使用特定功能。 经过分析和讨论,项目组决定采用加密技术为网络中传输的数据提供机密性与完整性保障。但在确定具体访问控制机制时,张工认为应该采用传统的强制访问控制(Mandatory Access Control)机制,而王工则建议采用基于角色的访问控制(Role-Based Access Control)与可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)相结合的机制。项目组经过集体讨论,最终采用了王工的方案。
阅读以下关于数据库性能优化方面的叙述,回答问题1至问题4。
某企业核心业务系统运行性能不佳,尤其是针对数据库的操作,响应时间过长。
为此,该企业专门召开了解决该问题的专家研讨会。在会上刘工指出,当前硬件设备的价格比较低廉,只需要对数据库服务器的硬件设备进行升级,同时对数据库管理系统和操作系统中的相应参数进行调整就可以了;王工建议对应用系统中使用的SQL语句进行调优,针对每条SQL语句都建立对应的索引;张工认为该业务系统中存在大量的数据查询操作,更新操作不多,尤其是存在大量的只读查询操作,应该针对这一点进行优化。
该企业采取了专家的部分建议,但优化的结果仍然不尽如人意,通过专门的监控,发现数据库管理系统中建立的索引存在问题。
对上述专家意见和建议进行评价;给出自己的建议,并说明其中包含的内容。
阅读以下关于企业数据中心设计的说明,回答问题1至问题3。
某企业计划建设一个企业数据中心,该数据中心支持A、B、C。D和E5项业务,各业务完全独立运行,各项业务运行的操作系统均不相同。在单台某型服务器上,除了为系统开销预留30%的CPU占用率之外,各业务在繁忙时段(白天)及非繁忙时段(夜间)的CPU占用率如下表所示。
业务类型 | A | B | C | D | E | |||||||||||||
繁忙时段 | 30% | 35% | 45% | 45% | 45% |
业务类型 | A | B | C | D | E | |
繁忙时段 | 30% | 35% | 45% | 45% | 45% |
该企业网络的核心层采用了ATM技术,由3台ATM交换机互联构成。试对ATM网络技术的主要特点、协议分层结构和优点作简要叙述(控制在100个字以内)。 |
我来回答: