阅读以下说明,回答下列问题,将解答填入答题纸的对应栏内。
【说明】
某 IT 部门的小张在撰写本企业的信息化管理报告时,提到企业信息安全的管理所存在 的问题时有如下表述(下面方框内)。
企业销售系统数据库没有配置安全审计策略,数据安全没有保障。
网上销售系统采用的 HTTP 协议,需要升级成 HTTPS 协议,确保在传输过程中的数 据安全。
企业各部门人员进出数据机房存在记录日志不规范的现象,有些记录缺少人员出入的 时间、运维内容、维护结果的登记。
企业仅有一条百兆网络出口线路,当网络线路出现故障时不能保障业务的连续性。
请分析小张提出的企业信息安全问题,并结合信息安全管理的相关知识回答下列问 题。
请简要说明安全审计对数据安全保障的作用。
安全审计的作用如下:
(1)检测对系统的入侵,对潜在的攻击者起到震慑或警告作用。
(2)发现计算机的滥用情况,对于已经发生的系统破坏行为提供有效的追纠证据。
(3)为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时 发现系统入侵行为或潜在的系统漏洞。
(4)为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统 性能上的不足或需要改进与加强的地方。
(1)HTTPS 协议在传输过程中如何确保数据的安全。
(2)访问 HTTPS 网站与访问 HTTP 网站的区别是什么。
HTTPS 通过:
内容加密 建立一个信息安全通道,来保证数据传输的安全;
身份认证 确认网站的真实性
数据完整性 防止内容被第三方冒充或者篡改
来确保数据的安全
HTTPS 和 HTTP 的区别
https 协议需要到 CA 申请证书。
http 是超文本传输协议,信息是明文传输;https 则是具有安全性的 ssl 加密传输协议。
http 和 https 使用的是完全不同的连接方式,用的端口也不一样,前者是 80,后者是 443。
http 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传 输、身份认证的网络协议,比 http 协议安全。
简要叙述对信息化人员的安全管理包括哪些方面。
多人负责的原则:每项与安全有关的活动都必须有两人或多人在场。这些应是由系统 主管领导指派的,应忠诚可靠,能胜任此项工作。
任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为 这个职务是专有的或永久的。
职责分离原则:除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解 或参与职责以外、与安全有关的任何事情。
为了保障业务的连续性,拟配置两条百兆网络出口线路,请简要说明应该如何配置策略路由。
使用双主干策略路由,配置策略路由步骤为:定义路由策略、定义每个路由策略的匹配规则或条件、定义每个规则或条件匹配后的行为、将策略应用到指定的端口上。