问答题
阅读以下说明,回答问题。【说明】随着互联网的发展,黑客攻击、计算机病毒的破坏以及企业对信息管理、使用不当造成信息泄露问题普遍受到关注。尤其是信息泄露问题,使得相关企业承担很大的舆论压力和侵权责任,面临严重的信任危机及经济损失。为了规范信息在采集、使用、保存、分发的安全管理,企业在信息系统的规划、建设、运行维护、管理等方面都应采取一定的措施。请结合信息泄露产生的原因和特点,以及信息在保存、使用中应遵循的原则回答下面的问题。
问答题
简要回答企业避免信息泄露可以采取的安全措施有哪些?
【正确答案】正确答案:从信息系统如下四个方面作答。 (1)风险识别、评估、控制。 (2)法规、机构、人员安全管理。 (3)技术管理。 (4)网络及场地管理。
【答案解析】解析:本题考查信息安全领域的综合知识。此类题目要求考生对企业信息安全有一个总体把握,建立对信息安全的技术、风险管控、信息安全法律等相关的知识体系。 信息安全的风险管理首先是信息安全的风险识别、评估,进而采取有效的整改措施。 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。 在具体实施中要进一步明确信息安全管理机构职能,完善信息安全制度。同时要加强信息安全的培训工作,提高管理人员职业道德水平和技术素质。落实信息系统的日志管理,采用入侵检测、数据加密、数据备份、网络安全审计、隔离等技术手段确保重要数据的安全管理。建立标准化机房,实施重点区域的人员进出登记制度等方面。
问答题
(1)为什么说重视软件的完整性可以有效遏制黑客和病毒的泛滥。(2)采用何种技术方法来保证软件的完整性,请对该方法的工作原理简要说明。
【正确答案】正确答案:(1)软件的完整性就是指防止病毒、木马等以未经授权的方式对程序的修改或损毁的特性,保证软件的完整性可以降低信息系统的安全风险。 (2)数字签名技术。软件进行数字签名时,将软件代码通过散列函数转换成信息摘要,用私钥加密信息摘要,再将软件和加密后的摘要发给其他用户,当其他用户验证时,用同样的散列函数将软件转换成新的摘要,将签名解密后与新的摘要比较,结果一致就说明软件没有被更改。
【答案解析】解析:黑客和病毒对软件的攻击是将本来语义或行为基本上正确或至少是非恶意的软件的代码篡改成错误的甚至是恶意的版本,威胁系统的安全运行。而重视软件的完整性可以采取相应的保障策略避免损失发生。数字签名对信息数据在传输过程中非法篡改比较敏感,可以保护软件的完整性。当出现软件数字签名不一致时,说明软件的完整性在传输的过程中遭到篡改。
问答题
(1)我国哪一部新修订的法律明确禁止经营者泄露消费者信息的行为?(2)经营者在收集使用消费者的个人信息时应当注意哪些问题?
【正确答案】正确答案:(1)2013年新修订的《消费者权益保护法》或答《消费者权益保护法》。 (2)①收集、使用信息必须合法、必要。 ②公开相关收集使用规定,收集、使用信息及发送商业信息必须取得消费者同意。 ③不得泄露、出售或非法向他人提供消费者个人信息。 ④保障个人信息安全、受损时及时采取补救措施。
【答案解析】解析:《消费者权益保护法》第二十九条规定“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”