24 章信息安全系統和安全體系
1、X軸:安全機制,包含基礎設施安全、平臺安全、數據安全、通信安全、應用安全、運行安全、管理安全、授權與審計安全和安全防範體系;
Y軸:OSI網絡參考模型,包含物理層、鏈路層、網絡層、傳輸層、會話層、表示層和應用層;
Z軸:安全服務。包含對稱實體認證服務、訪問控制服務、數據保密服務、數據完整性服務、數據源點認證服務、禁止否認服務和犯罪證據提供服務。
2、MIS+S、S-MIS和S2-MIS的特點分別有哪些?
MIS+S特點:業務應用系統基本不變、硬件和軟件通用、安全設備基本不帶密碼;
S-MIS特點:硬件和系統軟件通用、PKi/Ca安全保障系統必須帶密碼、業務應用系統必須根本改變、主要的通用的硬件、軟件也要通過PKi/Ca認證。
25章 信息系統安全風險評估
什麼是威脅、脆弱性、影響?
威脅是指從系統外部對系統產生的作用,而導致系統功能及目標受阻的所有現象。
脆弱性是指系統內部的薄弱點。
影響是指威脅與脆弱性的特殊組合,受時間、地域、行業、性質的影響。
風險=威脅*弱點*影響
26章 安全策略
1、安全策略的核心內容:定方案、定崗、定位、定員、定目標、定製度、定工作流程。;
2、《計算機信息安全保護等級劃分準則》將信息系統分爲哪5個安全保護等級,以及它們的適用範圍;
第一級:用戶自主保護級,適用於普通內聯網用戶;
第二級:系統審計保護級,適用於通過內聯網或國際網進行商務活動,需要保密的非重要單位;
第三級:安全標記保護級,適用於地方各級國家機關、金融單位機構、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設等單位;
第四級:結構化保護級,適用於中央級國家機關、廣播電視部門、重要物資儲備單位、社會應急服務部門、尖端科技企業集團、國家重點科研單位機構和國防建設等部門;
第五級:訪問驗證保護級,適用於國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位。
27章 信息安全技術基礎
1、常見的對稱密鑰算法有哪些?它們的優缺點;
常見的對稱密鑰算法有:SDBI(國家密碼辦公室批准的國內算法,僅硬件中存在)、IDEA、RC4、DES、3DES;
優點:加/解密速度快、密鑰管理簡單、適宜一對一的信息加密傳輸過程;
缺點:加密算法簡單,密鑰長度有限,加密強度不高、密鑰分發困難,不適宜一對多的加密信息傳輸。
2、常見的非對稱密鑰算法有哪些?它們的優缺點;
常見的非對稱密鑰算法有RSA(基於大數分解)、ECC(橢圓曲線)等;
優點:加密算法複雜,密鑰長度任意,加密強度很高、適宜一對多的信息交換,尤其適宜互聯網上信息加密交換;加/解密速度慢、密鑰管理複雜。
3、常見的HASH算法有哪些?
常見的哈希算法有SDH(國家密碼辦公室批准的HASH算法)、SHA、MD5等。
4、我國的密碼分級管理試製中,請描述等級及適用範圍;
我國實行的密碼分級管理制度及適用範圍:
商用密碼——國內企業、事業單位
普用密碼——政府、黨政部門
絕密密碼——中央和機要部門
軍用密碼——軍隊
28章 PKI公開密鑰基礎設施
1、x.509規範中認爲,如果A認爲B嚴格地執行A的期望,則A信任B。因此信任涉及哪三方面?
假設、預期和行爲
2、什麼是業務應用信息系統的核心層?
PKI/CA