随着互联网的发展,黑客攻击、计算机病毒的破坏以及企业对信息管理、使用不当造成信息泄露问题普遍受到关注。尤其是信息泄露问题,使得相关企业承担很大的舆论压力和侵权责任,面临严重的信任危机及经济损失。
为了规范信息在采集、使用、保存、分发的安全管理,企业在信息系统的规划、建设、运行维护、管理等方面都应采取一定的措施。请结合信息泄露产生的原因和特点,以及信息在保存、使用中应遵循的原则回答下面的问题。
【问题1】(6分)
简要回答企业避免信息泄露可以采取的安全措施有哪些?
【问题2】(6分)
(1)为什么说重视软件的完整性可以有效遏制黑客和病毒的泛滥。
(2)采用何种技术方法来保证软件的完整性,请对该方法的工作原理简要说明。
【问题3】(3分)
(1)我国哪一部新修订的法律明确禁止经营者泄露消费者信息的行为?
(2)经营者在收集使用消费者的个人信息时应当注意哪些问题?
正确答案及解析
正确答案
解析
【问题1】
措施一:严控计算机外设端口,监控、审计所有计算机的操作行为,封锁信息外泄途径。
措施二:所有重要信息集中存储,终端不留密,信息使用权限细分。
措施三:通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用,划分介质使用范围与责任人。
措施四:监控本地上网行为,监控员工的上网行为,避免信息从本地被转移。
措施五:建立基于硬件级别的防护体系,避免众多安全防护产品基于操作系统的脆弱性。
措施六:制定合适的制度,对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度,从头脑中杜绝信息泄漏。
主动控制风险而不是被动地响应事件,以提高整个信息安全系统的有效性和可管理性。
以上仅供参考,不同的人对信息系统安全的理解会不相同,只要从信息系统如下四个方面作答,即可:
(1)风险识别、评估、控制
(2)法规、机构、人员安全管理
(3)技术管理
(4)网络及场地管理
【问题2】
黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接,当用户安装该软件时,同时也就安装了木马和病毒或者访问存在安全威胁的网站。
可以采用PKI中数字签名的方式
1:密钥成对出现,分为:公钥和私钥,公钥对外公开,私钥只有持有者拥有。
2:私钥加密必须用公钥解密。
3:软件发布者用自己的私钥加密,然后将软件发布,用户可以用过其公开的公钥来验证软件的完整性,由于私钥只有持有者拥有,其签名是无法伪造的。
【问题3】
新修订的《消费者权益保护法》
收集、使用信息必须合法、必要
公开相关收集使用规定,收集、使用信息及发送商业信息必须取得消费者同意
不得泄露、出售或非法向他人提供消费者个人信息
保障个人信息安全、受损时及时采取补救措施
【问题1】
信息安全的风险管理首先是信息安全的风险识别、评估,进而采取有效的整改措施。
对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。
在具体实施中要进一步明确信息安全管理机构职能,完善信息安全制度。同时要加强信息安全的培训工作,提高管理人员职业道德水平和技术素质。落实信息系统的日志管理,采用入侵检测、数据加密、数据备份、网络安全审计、隔离等技术手段确保重要数据的安全管理。建立标准化机房,实施重点区域的人员进出登记制度等方面。
从信息系统如下四个方面作答,即可:
(1)风险识别、评估、控制
(2)法规、机构、人员安全管理
(3)技术管理
(4)网络及场地管理
措施一:严控计算机外设端口,监控、审计所有计算机的操作行为,封锁信息外泄途径。
措施二:所有重要信息集中存储,终端不留密,信息使用权限细分。
措施三:通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用,划分介质使用范围与责任人。
措施四:监控本地上网行为,监控员工的上网行为,避免信息从本地被转移。
措施五:建立基于硬件级别的防护体系,避免众多安全防护产品基于操作系统的脆弱性。
措施六:制定合适的制度,对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度,从头脑中杜绝信息泄漏。
主动控制风险而不是被动地响应事件,以提高整个信息安全系统的有效性和可管理性。
【问题2】
黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接,当用户安装该软件时,同时也就安装了木马和病毒或者访问存在安全威胁的网站。
可以采用PKI中数字签名的方式
1:密钥成对出现,分为:公钥和私钥,公钥对外公开,私钥只有持有者拥有。
2:私钥加密必须用公钥解密。
3:软件发布者用自己的私钥加密,然后将软件发布,用户可以用过其公开的公钥来验证软件的完整性,由于私钥只有持有者拥有,其签名是无法伪造的。
【问题3】
新修订的《消费者权益保护法》
根据修改后的《消费者权益保护法》第二十九条:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”
包含此试题的试卷
你可能感兴趣的试题
阅读以下关于Web系统架构设计的教述,在答题纸上回答问题1至问题3。
【说明】
某公司拟开发一个智能家居管理系统,该系统的主要功能需求如下:1)用户可使用该系统客户端实现对家居设备的控制,且家居设备可向客户端反馈实时状态;2)支持家居设备数据的实时存储和查询;3)基于用户数据,挖掘用户生活习惯,向用户提供家居设备智能化使用建议。
基于上述需求,该公司组建了项目组,在项目会议上,张工给出了基于家庭网关的传统智能家居管理系统的设计思路,李工给出了基于云平台的智能家居系统的设计思路。经过深入讨论,公司决定采用李工的设计思路。
【问题1】 (8分)
请用400字以内的文字简要描述基于家庭网关的传统智能家居管理系统和基于云平台的智能家居管理系统在网关管理、数据处理和系统性能等方面的特点,以说明项目组选择李工设计思路的原因。
【问题2】 (12分)
请从下面给出的(a) ~ (j) 中进行选择,补充完善图5-1中空(1) ~ (6)处的内容,协助李工完成该系统的架构设计方案。
(a) Wi-FI
(b) 蓝牙
?驱动程序
(d)数据库
(e)家庭网关
(f)云平台
(g)微服务
(h)用户终端
(i)鸿蒙
(j)TCP/IP
【问题3】 (5分)
该系统需实现用户终端与服务端的双向可靠通信,请用300字以内的文字从数据传输可靠性的角度对比分析TCP和UDP通信协议的不同,并说明该系统应采用哪种通信协议
- 查看答案
某医院拟委托软件公司开发一套预约挂号管理系统,以便为患者提供更好的就医体验,为医院提供更加科学的预约管理。本系统的主要功能描述如下:
(a)注册登录
(b)信息浏览
(c)账号管理
(d)预约挂号
(e)查询与取消预约
(F)号源管理
(g)报告查询
(h)预约管理
(i)报表管理
(j)信用管理
【问题1】 (6 分)
若采用面向对象方法对预约挂号管理系统进行分析,得到如图2-1所示的用例图。请将合适的参与者名称填入图2-1中的(1)和(2)处,使用题干给出的功能描述(a)(j),完善用例(3)(12)的名称,将正确答案填在答题纸上。
【问题2】 (10分)
预约人员(患者)登录系统后发起预约挂号请求,进入预约界面。进行预约挂号时使用数据库访问类获取医生的相关信息,在数据库中调用医生列表,并调取医生出诊时段表,将医生出诊时段反馈到预约界面,并显示给预约人员;预约人员选择医生及就诊时间后确认预约,系统反馈预约结果,并向用户显示是否预约成功。
采用面向对象方法对预约挂号过程进行分析,得到如图2-2所示的顺序图,使用题干中给出的描述,完善图2-2中对象(1),及消息(2)~(4)的名称,将正确答案填在普题纸上请简要说明在描述对象之间的动态交互关系时,协作图与顺序图存在哪些区别?
【问题3】 (9分)
采用面向对象方法开发软件,通常需要建立对象模型、动态模型和功能模型,请分别介绍这3种模型,并详细说明它们之间的关联关系,针对上述模型,说明哪些模型可用于软件的需求分析?
- 查看答案
阅读以下关于数据库设计的叙述,在答题纸上回答问题1至问题3。
【说明】
某医药销售企业因业务发展,需要建立线上药品销售系统,为用户提供便捷的互联网药品销售服务、该系统除了常规药品展示、订单、用户交流与反馈功能外,还需要提供当前热销产品排名、评价分类管理等功能。通过对需求的分析,在数据管理上初步决定采用关系数据库(MySQL)和数据库缓存(Redis)的混合架构实现。
经过规范化设计之后,该系统的部分数据库表结构如下所示。
供应商(供应商ID,供应商名称,联系方式,供应商地址);
药品(药品ID,药品名称,药品型号,药品价格,供应商ID);
药品库存(药品ID,当前库存数量);
订单(订单号码,药品ID,供应商ID,药品数量,订单金额)。
【问题1】 (9分)
在系统初步运行后,发现系统数据访问性能较差。经过分析,刘工认为原来数据库规范化设计后,关系表过于细分,造成了大量的多表关联查询,影响了性能。例如当用户查询商品信息时,需要同时显示该药品的信息、供应商的信息、当前库存等信息。
为此,刘工认为可以采用反规范化设计来改造药品关系的结构,以提高查询性能。修改后的药品关系结构为:
药品(药品ID,药品名称,药品型号,药品价格,供应商ID,供应商名称,当前库存数量) ;
请用200字以内的文字说明常见的反规范化设计方法,并说明用户查询商品信息应该采用哪种反规范化设计方法
【问题2】 (9分)
王工认为,反规范化设计可提高查询的性能,但必然会带来数据的不一致性问题。请用200字以内的文字说明在反规范化设计中,解决数据不一致性问题的三种常见方法,并说明该系统应该采用哪种方法。
【问题3】 (7分)
该系统采用了Redis来实现某些特定功能(如当前热销药品排名等),同时将药品关系数据放到内存以提高商品查询的性能,但必然会造成Redis和MySQL的数据实时同步问题。
(1) Redis的数据类型包括String、 Hash、 List、 Set和ZSet等,请说明实现当前热销药品排名的功能应该选择使用哪种数据类型。
(2)请用200字以内的文字解释说明解决Redis和MySQL数据实时同步问题的常见方案
- 查看答案
某公司拟开发一套机器学习应用开发平台,支持用户使用浏览器在线进行基于机器学习的智能应用开发活动。该平台的核心应用场景是用户通过拖拽算法组件灵活定义机器学习流程,采用自助方式进行智能应用设计、实现与部署,并可以开发新算法组件加入平台中。在需求分析与架构设计阶段,公司提出的需求和质量属性描述如下:
(a)平台用户分为算法工程师、软件工程师和管理员等三种角色,不同角色的功能界面有所不同;
(b)平台应该具备数据库保护措施,能够预防核心数据库被非授权用户访问;
(c)平台支持分布式部署,当主站点断电后,应在20秒内将请求重定向到备用站点;
(d)平台支持初学者和高级用户两种界面操作模式,用户可以根据自己的情况灵活选择合适的模式;
(e)平台主站点宕机后,需要在15秒内发现错误并启用备用系统;
(f)在正常负载情况下,机器学习流程从提交到开始执行,时间间隔不大于5秒;
(g)平台支持硬件扩容与升级,能够在3人天内完成所有部署与测试工作;
(h)平台需要对用户的所有操作过程进行详细记录,便于审计工作;
(i)平台部署后,针对界面风格的修改需要在3人天内完成;
(j)在正常负载情况下,平台应在0.5秒内对用户的界面操作请求进行响应;
(k)平台应该与目前国内外主流的机器学习应用开发平台的界面风格保持一致;
(l)平台提供机器学习算法的远程调试功能,支持算法工程师进行远程调试。
在对平台需求、质量属性描述和架构特性进行分析的基础上,公司的架构师给出了三种候选的架构设计方案,公司目前正在组织相关专家对平台架构进行评估。
【问题1】 (9分)
在架构评估过程中,,质量属性效用树(utility tree)是对系统质属性进行识别和优先级排序的重要工具。 请将合适的质量属性名称域入图1-1中(1)、(2)空白处,并从题干中的(a)-(i)中选择合适的质量属性描述,填入(3)-(6)空白处,完成该平台的效用树。
【问题2】 (16分)
针对该系统的功能,赵工建议采用解释器(interpreter)架构风格,李工建议采用管道过滤器(ppe-and-hlter)的架构风格,王工则建议采用隐式调用(implicit invocation)架构风格。请针对平台的核心应用场景,从机器学习流程定义的灵活性和学习算法的可扩展性两个方面对三种架构风格进行对比与分析,并指出该平台更适合采用哪种架构风格
- 查看答案
某项目进入详细设计阶段后,项目经理为后续活动制定了如图2所示的网络计划图,图中的“△”标志代表开发过程的一个里程碑,此处需进行阶段评审,模块1和模块2都要通过评审后才能开始修复。
项目经理对网络图中的各活动进行了成本估算,估计每人每天耗费的成本为1000元,安排了各活动的人员数量并统计了模块1、模块2的开发和测试活动的工作量(如表2所示),其中阶段评审活动不计入项目组的时间和人力成本预算,如表2所示。
[问题1] (3分)
请计算该项目自模块开发起至模块测试全部结束的计划工期。
[问题2] (10分)
详细设计完成后,项目组用了11天才进入阶段评审。在阶段评审中发现:模块1开发已完成,测试尚未开始;模块2的开发和测试均已完成,修复工作尚未开始,模块2的实际工作量比计划多用了3人?天。
(1)请计算自详细设计完成至阶段评审期间模块1的PV、EV、AC,并评价其进度和成本绩效。
(2)请计算自详细设计完成至阶段评审期间模块2的PV、EV、AC,并评价其进度和成本绩效。
[问题3] (8分)
(1)如果阶段评审未作出任何调整措施,项目仍按当前状况进展,请预测从阶段评审结束到软件集成开始这一期间模块l、模块2的ETC(完工尚需成本)(给出公式并计算结果)。
(2)如果阶段评审后采取了有效的措施,项目仍按计划进展,请预测从阶段评审结束到软件集成开始这一期间模块1、模块2的ETC(完工尚需成本)(给出公式并计算结果)。
[问题4] (4分)
请结合软件开发和测试的一般过程,指出项目经理制定的网络计划和人力成本预算中存在的问题。
- 查看答案