信息系统安全管理：考试指南与层次解析

第十七章 信息系统安全管理是全国计算机技术与软件专业技术资格（水平）考试中中级系统集成项目管理工程师的重要内容，主要考察对信息安全概念、原则和实践的理解与应用。本章涵盖以下几个关键知识点： 1. 安全属性：信息系统具有多种安全属性，包括保密性、完整性、可用性。选项A正确，因为保密性保护信息不被未经授权的访问，完整性确保数据在传输过程中不被篡改，而可用性则保证系统能够持续、可靠地为合法用户提供服务。 2. 数据完整性：应用数据完整性机制旨在防止数据在传输过程中被攻击者修改或破坏，选项C描述了这一机制的作用。 3. 安全层次结构：应用系统运行中的安全和保密层次按粒度从粗到细排序通常为系统级安全（防止外部攻击）、资源访问安全（控制对系统资源的访问）、功能性安全（处理错误和异常）、数据域安全（细化到数据对象层面），选项C的排列顺序是正确的。 4. 用户管理：确保系统运行安全，用户管理措施包括建立用户身份验证、实施最小特权原则、定期更改密码以及避免存储密码于非安全介质上，选项D中的纸质记录密码是不妥当的。 5. 安全策略：限定操作人员的工作时间段登录系统属于资源访问安全层面，即控制何时、何地可以访问特定资源，选项C符合。 6. 用户入网访问控制：基于用户名和口令的控制流程通常包括用户身份验证、口令验证和权限控制，选项C是最合适的步骤描述。 7. 安全层次理解：错误的理解包括将资源访问安全视为最粗粒度（选项A），因为系统级安全才是第一道防线；所有应用系统都可能面临资源访问安全问题，这是基本要求；数据域安全确实可以细分为记录级和字段级，这是数据保护的精细化措施。 8. 机房安全检查：公司应对机房安全检查进行准备工作，如检查物理安全、网络设备配置、访问控制、备份恢复策略等，以确保达到上级领导的安全标准。 通过以上知识点的梳理，考生需要掌握信息系统安全管理的基本原理、常见机制和实践操作，以便在考试中取得理想成绩。