一、信息安全系統和安全體系
1、信息安全系統三維空間示意圖中,X、Y、Z軸的名稱,及它們各自包括的內容;
X 軸是“安全機制”。 指爲提供某些安全服務,利用各種 安全技術和技巧所形成的一個較爲完善的結構體系。
Y 軸是 OR(開放式系統互連)網絡參考模型 ,許多技術、技巧都是在網絡的各個層面上實現的。
z 軸是“安全服務”,就是提供給信息系統中各個層次的需要的安全服務支持。
2、MIS+S、S-MIS、S2-MIS的特點分別有哪些;
MIS+S的特點:應用基本不變,硬件和系統軟件通用,安全設備基本不帶密碼。
S-MIS的特點:硬件和系統軟件通用,PKI/CA 安全保障系統必須帶密碼,應用系統必須根本改變。
S2-MIS的特點:硬件和系統軟件都專用,PKI/CA 安全保障系統必須帶密碼,應用系統必須根本改變,主要的硬件和系統軟件需要 PKI/CA,認證。
二、信息安全風險評估
1、什麼是威脅;
威脅可看成從系統外部對系統產生的作用而導致系統功能及目標受阻的所有現象 。
2、什麼是脆弱性(弱點);
脆弱性則可以看成是系統內部的薄弱點。脆弱性是客觀存在的,脆弱性本身沒有實際的傷害,但威脅可以利用脆弱性發揮作用。
3、什麼是影響
影響可以看做是威脅與脆弱性的特殊組合。受時間、地域、行業、性質的影響,系統面臨的威
脅也不一樣,風險發生的頻率、概率都不盡相同,因此影響程度也很難確定。
三、安全策略
1、安全策略的核心內容是哪七定;
定方案、定崗、定位、定員、定目標、定製度、定工作流程。
2、《計算機信息安全保護等級劃分準則》將信息系統分爲哪5個安全保護等級,以及它們的適用範圍;
第一級爲用戶自主保護級,適用於普通內聯網用戶;
第二級爲系統審計保護級,適用於通過內聯網或國際網進行商務活動、要保密的非重要單位;
第三級爲安全標記保護級,適用於地方各級國家機關、金融單位機構、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設等單位;
第四級爲結構化保護級,適用於中央級國家機關、廣播電視部門、重要物資儲備單位、社會應急服務部門、尖端科技企業集團、國家重點科研單位機構和國防建設等部門;
第五級爲訪問驗證保護級,適用於國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位。
四、信息安全技術基礎
1、常見的對稱密鑰算法有哪些?它們的優缺點;
SDBI(國家密碼辦公室批准的國內算法,僅硬件中存在)、IDEA、RC4、DES、3DES 等。
優點:
加/解密速度快;
密鑰管理簡單;
適宜一對一的信息加密傳輸。
缺點:
加密算法簡單,密鑰長度有限(56bit/128bit),加密強度不高; 密鑰分發困難,不適宜一對多的加密信息傳輸。
2、常見的非對稱密鑰算法有哪些?它們的優缺點;
RSA(Rivest-Shamir-Adleman)—基於大數分解)、DSA(Digital Signed Algorithm)數字簽名
算法和 Diffie Hellman 私鑰協議、ECC(Elliptic Curve Cryptography)—(橢圓曲線)等。
優點:
加密算法複雜,密鑰長度任意(1024bit/2048bit)加密強度很高;
適宜一對多的信息加密交換。尤其適宜互聯網上信息加密交換。
缺點:
加/解密速度慢;
密鑰管理複雜;
明文***很脆弱,不適用於數據的加密傳輸。
3、常見的HASH算法有哪些?
SDH(國家密碼辦公室批准的 HASH 算法)、SHA, MD5 等;
4、我國的密碼分級管理試製中,請描述等級及適用範圍;
(1)商用密碼—國內企業、事業單位
(2)普用密碼—政府、黨政部門
(3)絕密密碼—中央和機要部門
(4)軍用密碼—軍隊
五、PKI公開密鑰基礎設施
1、x.509規範中認爲,如果A認爲B嚴格地執行A的期望,則A信任B。因此信任涉及哪三方面?
假設、預期和行爲
2、什麼是業務應用信息系統的核心層?
PKI/CA和PMI/AA