一、信息安全系統和安全體系
1.信息安全系統三維空間示意圖中,X、Y、Z軸的名稱,及它們各自包括的內容;
X軸是“安全機制”,Y軸是OSI網絡參考模型,Z軸是“安全服務”;
(1)“安全機制”包括第一層:基礎設施實體安全,第二層平臺安全,第三層數據安全,第四層通信安全,第五層應用安全,第六層運行安全,第七層管理安全,第八層授權和審計安全,第九層安全防範體系;
(2)“OSI網絡參考模型”包括第一層物理層,第二層鏈路層,第三層網絡層,第四層傳輸層,第五層會話層,第六層表示層,第七層應用層;
(3)“安全服務”包括對等實體認證服務、數據保密服務、數據完整性服務、數據源點認證服務、禁止否認服務、犯罪證據提供服務。
2.MIS+S、S-MIS、S2-MIS的特點分別有哪些;
(1)MIS+S的特點:業務應用系統基本不變、硬件和系統軟件通用、安全設備基本不帶密碼;
(2)S-MIS系統的特點:硬件和軟件通用、PKI/CA安全保障系統必須帶密碼、業務應用系統必須根本改變、主要的通用的硬件、軟件也要通過PKI/CA認證;
(3)S2-MIS系統的特點:硬件和系統軟件都通用、PKI/CA安全基礎設施必須帶密碼、業務應用系統必須根本改變、主要的硬件和系統軟件需要PKI/CA認證。
二、信息安全風險評估
1.什麼是威脅;
威脅可看成從系統外部對系統產生的作用,而導致系統功能及目標受阻的所有現象。
2.什麼是脆弱性(弱點);
脆弱性可以看成是系統內部的薄弱點。
3.什麼是影響
影響可以看作是威脅與脆弱性的特殊組合。
三、安全策略
1.安全策略的核心內容是哪七定;
七定是:定方案、定崗、定位、定員、定目標、定製度、定工作流程。
2.《計算機信息安全保護等級劃分準則》將信息系統分爲哪5個安全保護等級,以及它們的適用範圍;
(1)第1級爲用戶自主保護級,適用於普通內聯網用戶;
(2)第2級爲系統審計保護級,適用於通過內聯網或國際網進行商務活動,需要保密的非重要單位;
(3)第3級爲安全標記保護級,適用於地方各級國家機關、金融單位機構、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設等單位;
(4)第4級爲機構化保護級,適用於中央國家機關、廣播電視部門、重要物資儲備單位、社會應急服務部門、尖端科技企業集團、國家重點科研單位機構和國防建設等部門;
(5)第5級爲訪問驗證保護級,適用於國防關鍵部門和依法對計算機信息系統實施特殊隔離的單位。
四、信息安全技術基礎
1.常見的對稱密鑰算法有哪些?它們的優缺點;
常見的對稱算法有:SDBI、IDEA、RC4、DES、3DES。
優點是:加/解密速度快;密鑰管理簡單;適宜一對一的信息加密傳輸過程。
缺點是:加密算法簡單,密碼長度有限,加密強度不高;密鑰分發困難,不適宜一對多的加密信息傳輸。
2.常見的非對稱密鑰算法有哪些?它們的優缺點;
常見的非對稱算法有:RSA、ECC等。
優點是:加密算法複雜,密鑰長度任意加密強度很高;適宜一對多的信息加密交換,尤其適宜互聯網上信息加密交換。
缺點是:加/解密速度慢;密鑰管理複雜;明文***很脆弱,不適用於數據的加密傳輸。
3.常見的HASH算法有哪些?
有SDH、SHA、MD5等。
4.我國的密碼分級管理試製中,請描述等級及適用範圍;
(1)商用密碼--國內企業、事業單位;
(2)普用密碼--政府、黨政部門;
(3)絕密密碼--中央和機要部門;
(4)軍用密碼--軍隊。
五、PKI公開密鑰基礎設施
1.x.509規範中認爲,如果A認爲B嚴格地執行A的期望,則A信任B。因此信任涉及哪三方面?
假設、預期和行爲。
2.什麼是業務應用信息系統的核心層?
PKI/CA。