在会计信息系统中,负责系统的安全、保护工作,授予或取消有关操作人员的使用权限,保证系统的安全、可靠的是()。
A.专职会计员
B.系统管理员
C.操作员
D.程序员和硬件维护人员
B、系统管理员
A.专职会计员
B.系统管理员
C.操作员
D.程序员和硬件维护人员
B、系统管理员
第1题
试题五(25分)
阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1至问题3。
某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:
(1)合法用户可以安全地使用该系统完成业务;
(2)灵活的用户权限管理;
(3)保护系统数据的安全,不会发生信息泄漏和数据损坏;
(4)防止来自于互联网上各种恶意攻击;
(5)业务系统涉及到各种订单和资金的管理,需要防止授权侵犯;
(6)业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。
该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。
企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是一可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。
【问题1】
信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。
【问题2】
认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。
【问题3】
请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。
第2题
以下关于信息安全等级定级工作的叙述中,不正确的是()
A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、 同步设计、同步实施安全保护技术措施和管理措施
第3题
试题五(共25分)
阅读以下关于信息系统安全性的说明,在答题纸上回答问题l至问题3。
【说明】
某大型跨国企业的IT部门一年前基于SOA(Service-Oriented Architecture)对企业原有的多个信息系统进行了集成,实现了原有各系统之间的互连互通,搭建了支撑企业完整业务流程运作的统一信息系统平台。随着集成后系统的投入运行,IT部门发现在满足企业正常业务运作要求的同时,系统也暴露出明显的安全性缺陷,并在近期出现了企业敏感业务数据泄漏及系统核心业务功能非授权访问等严重安全事件。针对这一情况,企业决定由IT部门成立专门的项目组负责提高现有系统的安全性。
项目组在仔细调研和分析了系统现有安全性问题的基础上,决定首先为在网络中传输的数据提供机密性(Confidentiality)与完整性(Integrity)保障,同时为系统核心业务功能的访问提供访问控制机制,以保证只有授权用户才能使用特定功能。
经过分析和讨论,项目组决定采用加密技术为网络中传输的数据提供机密性与完整性保障。但在确定具体访问控制机制时,张工认为应该采用传统的强制访问控制(Mandatory Access Control)机制.而王工则建议采用基于角色的访问控制(Role-Based Access Control)与可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)相结合的机制。项目组经过集体讨论,最终采用了王工的方案。
【问题1】(8分)
请用400字以内的文字,分别针对采用对称加密策略与公钥加密策略,说明如何利用加密技术为在网络中传输的数据提供机密性与完整性保障。
【问题2】(9分)
请用300字以内的文字,从授权的可管理性、细粒度访问控制的支持和对分布式环境的支持三个方面指出项目组采用王工方案的原因。
【问题3】(8分)
图5-1给出了基于XACML的授权决策中心的基本结构以及一次典型授权决策的执行过程,请分别将备选答案填入图中的(1)~(4)。
备选答案:策略管理点(PAP)、策略执行点(PEP)、策略信息点(PIP)、策略决策点(PDP)
第4题
下面关于网络信息安全的一些叙述中,不正确的是_______。
A.网络环境下的信息系统比单机系统复杂,信息安全问题比单机更加难以得到保障
B.电子邮件是个人之间的通信手段,有私密性,不使用软盘,一般不会传染计算机病毒
C.防火墙是保障单位内部网络不受外部攻击的有效措施之一
D.网络安全的核心是操作系统的安全性,它涉及信息在存储和处理状态下的保护问题
第6题
阅读下列说明,针对项目质量管理,回答问题1至问题3。
【说明】
某信息技术有限公司中标了某大型餐饮连锁企业集团的信息系统项目,该项目包含单店管理、物流系统和集团ERP等若干子项目。由该信息技术有限公司的高级项目经理张工全面负责项目实施。张工认为此项目质量管理的关键在于系统地进行测试。
张工制订了详细的测试计划用来管理项目的质量。在项目实施过程中,他通过定期发给客户测试报告来证明项目质量是有保证的。可是客户总觉得有什么地方不对劲,对项目的质量还是没有信心。
客户对项目的质量没有信心的可能原因是什么?
第7题
在一次关于安全的方案讨论会上,张工认为由于政务网对安全性要求比较高,因此要建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统,这样就可以全面保护电子政务系统的安全。李工则认为张工的方案不够全面,应该在张工提出的方案基础上,使用PKI技术,进行认证、机密性、完整性和抗抵赖性保护。
请用400字以内文字,从安全方面,特别针对张工所列举的建设防火墙、入侵检测、安全扫描、日志审计系统进行分析,评论这些措施能够解决的问题和不能解决的问题。
第8题
阅读以下关于数据库分析与设计的叙述,在答题纸上回答问题1至问题4。
某集团公司在各省均设有分公司,现欲建立全国统一的销售管理信息系统,以便总公司及时掌握各分公司的销售情况。公司成立专门的项目组进行该系统的研发工作,其中张工负责其中的数据库设计工作。
张工和需求分析小组紧密合作,在设计出数据流图和数据字典的基础上,给出了数据库关系模式和相应的索引设计。同时考虑到未规范化关系模式町能引起的各类数据错误,对关系模式进行了全面的规范化处理,使所有关系模式均达到了3NF或BC.NF。
在项目实施过程中,应用开发小组认为该设计方案未考虑应用功能的实际需求。如果严格按照设计方案实施,会对应用系统的整体性能产生较大影响。主要的原因在于进行数据查询时,会产生大量的多表连接操作,影响性能。而设计方案中的索引设计,并不能完全满足数据查询的性能要求。
应用开发小组还认为,该设计方案未考虑到信息系统中核心销售数据处理的特点:
各分公司在使用该信息系统时只能操作自己分公司的销售数据,无权操作其他分公司的销售数据;只有总公司有权利操作所有销售数据,以便进行统计分析。
应用开发小组要求,在数据库设计方案中,必须针对实际应用功能的实现来考虑关系模式的规范化,必要时需要采用逆规范化或解除规范化的方法来保证性能要求。
【问题1】(8分)
系统需要管理供应商和货物等信息,具体包括供应商姓名、地址以及货物名称、价格等,供应商可以提供O-n种货物,其公司地址也可能发生变化。请以供应商关系模式supplier(name,address,product price)为例,解释不规范的关系模式存在哪些问题。
【问题2】(6分)
应用开发小组认为张工的规范化设计虽然解决了未规范化关系模式带来的问题,但实际实现功能时会造成系统性能的下降。请解释其原因。
【问题3】(5分)
请解释逆规范化方法,说明其优缺点。
【问题4】(6分)
针对该信息系统中核心销售数据处理的特点,如采用关系表水平分割的逆规范化方法,请给出具体的解决方案,井说明该方案存在的问题。
第10题
A、在被审计单位经营过程中,对财务报表具有重大影响的各类交易
B、在信息技术和人工系统中,交易生成、记录、处理和报告的程序
C、与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目
D、信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况
E、管理层凌驾于账户记录控制之上的风险