21【第17章】信息系统安全管理.pdf

2023年下半年*全国计算机技术与软件专业技术资格(水平)考试

系统集成项目管理工程师

基础精讲班

-21【第17章】信息系统安全管理

讲师:朱建军（江山老师）

历年考点大数据分析

序安全属性定义必威体育官网网址技术

最小授权原则、防暴露、信息加

1必威体育官网网址性信息不被泄漏给未授权的个人、实体和过程或不被密、物理必威体育官网网址、网络安全协议、

其使用的特性身份认证服务、数据加密

信息未经授权不能进行改变的特性。即应用系统的协议、纠错编码方法、密码校验

信息在存储或传输过程中保持不被偶然或蓄意地删和方法、数字签名、公证、CA认

2完整性除、修改、伪造、乱序、重放和插入等破坏和丢失证、防火墙系统、传输通信安全、

的特性入侵检测系统

应用系统信息可被授权实体访问并按需求使用的特磁盘和系统的容错、可接受的登

性。即信息服务在需要时，允许授权用户或实体使录及进程性能、可靠的功能性的

3可用性用的特性，或者是网络部分受损或需要降级使用时，安全进程和机制、数据冗余及备

仍能为授权用户提供有效服务的特性份

也称作不可否认性，在应用系统的信息交互过程中，

不可抵赖

4确信参与者的真实同一性。即所有参与者都不可能

性

否认或抵赖曾经完成的操作和承诺

必威体育官网网址性、完整性和可用性是信息安全最为关注的三个属性，这三个特性称为信息安全三元组

1.信息系统安全属性

2.物理安全管理

3.物理安全管理

3.物理安全管理

4.人员

安全管理

一、谁不能兼谁:

1.业务应用操作人员，谁都不能兼(理解助记:防范做业务操作，后台自己去

改权限审批，风险很大)

关键岗位列表:2.业务开发人员和系统维护人员，不能兼安全管理员、系统管理员、数据库

1.安全管理员管理员，网络管理员(理解助记:开发和维护人员不能搞管理)

2.系统管理员3.系统管理员、数据库管理员、网络管理员不能互兼(理解助记:系数网管理

3.数据库管理员员之间不能互兼，互兼权力太大了，能决定系统生死)

4.网络管理员

5.重要业务开发人员二、谁可以兼谁:

6.系统维护人员1.业务开发人员和系统维护人员可以互兼(理解助记:开发和维护很可能本来

7.重要业务应用操作人员就是同一个人)

2.安全管理员可以兼任系统、数据库或网络管理员(理解助记:安全管理员和

其他管理员之间不冲突)以上允许一人多岗;关键岗位必要时应定期轮岗

规律：

1、不带管理员岗位的不能兼任

2、除安全管理员，其他三个管理员不能相互