高級學員:2015年10月24日作業
一、信息安全系統和安全體系
1、信息安全系統三維空間示意圖中,X、Y、Z軸的名稱,及它們各自包括的內容;
Y軸是OSI網絡參考模型,包括:物理層、鏈路層、網絡層、傳輸層、會話層、表示層、應用層。
X軸是安全機制,包括:基礎設施安全、平臺安全、數據安全、通信安全、應用安全、運行安全、管理安全、授權和審計安全、安全防範體系。
Z軸是安全服務,包括:對等實體認證服務、數據保密服務、數據完整性服務、數據源點認證服務、禁止否認服務、犯罪證據提供服務。
2、MIS+S、S-MIS、S2-MIS的特點分別有哪些;
1)MIS+S系統特點:
業務應用系統基本不變、硬件和系統軟件通用、硬件和系統軟件通用、安全設備基本不帶密碼。
2)S-MIS系統特點:
硬件和系統軟件通用、PKI/CA安全保障系統必須帶密碼、業務應用系統必須根本改變、主要的通用的硬件、軟件也要通過PKI/CA認證。
3)S2-MIS系統特點:
硬件和系統軟件都專用、PKI/CA安全基礎設施必須帶密碼、業務應用系統必須根本改變、主要的硬件和系統軟件需要PKI/CA認證。
二、信息安全風險評估
1、什麼是威脅;什麼是脆弱性(弱點);什麼是影響
威脅可看成從系統外部對系統產生的作用,而導致系統功能及目標受阻的所有現象。而脆弱性則可以看成是系統內部的薄弱點。脆弱性是客觀存在的,脆弱性本身沒有實際的傷害,但威脅可以利用脆弱性發揮作用。實際上,系統的風險可以看做是威脅利用了脆弱性而引起的。如果系統不存在脆弱性,那麼威脅也不存在,風險也就沒有了。但實際上沒有脆弱性的系統是沒有的,因此係統也要受到各種各樣的威脅。假設威脅不存在,系統本身的脆弱性仍然帶來一定的風險。影響可以看作是威脅與脆弱性的特殊組合。受時間、地域、行業、性質的影響,系統面臨的威脅也不一樣,風險發生的頻率、概率都不盡相同,因此影響程度也很難確定。
風險=威脅×弱點×影響
三、安全策略
1、安全策略的核心內容是哪七定;
定方案、定崗、定位、定員、定目標、定製度、定工作流程。
2、《計算機信息安全保護等級劃分準則》將信息系統分爲哪5個安全保護等級,以及它們的適用範圍;
第1級爲用戶自主保護級,該級適用於普通內聯網用戶。
第2級爲系統審計保護級,該級適用於通過內聯網或國際網進行商務活動,需要保密的非重要單位。
第3級爲安全標記保護級,該級適用於地方各級國家機關、金融單位機構、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設等單位。
第4級爲結構化保護級,該級適用於中央級國家機關、廣播電視部門、重要物質儲備單位、社會應急服務部門、尖端科技企業集團、國家重點科研單位機構和國防建設等部門。
第5級爲訪問驗證保護級,該級適用於國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位。
四、信息安全技術基礎
1、常見的對稱密鑰算法有哪些?它們的優缺點;
常見的對稱密鑰算法有:SDBI(國家密碼辦公室批准的國內算法,僅硬件中存在)、IDEA、RC4、DES、3DES等。
優點:加/解密速度快、密鑰管理簡單、適宜一對一的信息加密傳輸過程。
缺點:加密算法簡單,密鑰長度有限(56bit/128bit),加密強度不高、密鑰分發困難,不適應一對多的加密信息傳輸。
2、常見的非對稱密鑰算法有哪些?它們的優缺點;
常見的非對稱密鑰算法有:RSA(RivestShamirAdleman,基於大數分解)、ECC(Elliptic Curve Cryptography,橢圓曲線)等。
優點:加密算法複雜,密鑰長度任意(1024bit/2048bit)加密強度很高;適宜一對多的信息加密交換。尤其適宜互聯網上信息加密交換。
缺點:加/解密速度慢;密鑰管理複雜;明文***很脆弱,不適用於數據的加密傳輸。
3、常見的HASH算法有哪些?
常見的HASH算法有:SDH(國家密碼辦公室批准的HASH算法)、SHA、MD5等。
4、我國的密碼分級管理試製中,請描述等級及適用範圍;
1)商用密碼——國內企業、事業單位
2)普用密碼——政府、黨政部門
3)絕密密碼——中央和機要部門
4)軍用密碼——軍隊
五、PKI公開密鑰基礎設施
1、x.509規範中認爲,如果A認爲B嚴格地執行A的期望,則A信任B。因此信任涉及哪三方面?
信任涉及假設、預期和行爲
2、什麼是業務應用信息系統的核心層?
PKI/CA