一、信息安全系統和安全體系
1、信息安全系統三維空間示意圖中,X、Y、Z軸的名稱,及它們各自包括的內容?
答:X軸是安全機制;Y軸是OSI七層模型;Z軸是安全服務;
X軸安全機制內容:1.基礎設計安全;2.平臺安全;3.數據安全;4.通信安全;5.應用安全;6.運行安全;7.管理安全;8.授權與審計安全;9.安全防範系統;
Y軸OSI網絡參考模型內容:1.應用層;2.表示層;3.會話層;4.傳輸層;5.網絡層;6.鏈路層;7.物理層;
Z軸安全服務內容:1.對等實體認證服務;2.訪問控制服務;3.數據保密服務;4.數據完整性服務;5.數據源點認證服務;6.禁止否認服務;7.犯罪證據提供服務;
2、MIS+S、S-MIS、S2-MIS的特點分別有哪些?
答:
MIS+S:初級信息安全保障系統(基本信息安全保障系統);特點:業務應用系統基本不變,硬件和軟件通用,設備不帶密碼,不安全;
S-MIS: 標準信息安全保障系統;特點:業務應用系統必須根本改變,硬件和軟件通用,通用的軟硬件需要通過PKI/CA認證;PKI/CA安全保障系統必須帶密碼,安全;
S2-MIS:超安全信息保障系統;特點:業務應用系統必須根本改變,硬件和軟件專用,軟硬件需要通過PKI/CA認證;設備必須帶密碼;安全;
二、信息安全風險評估
1、什麼是威脅?
答:系統外部對系統產生的作用,導致系統功能和目標受阻的所有現象;
2、什麼是脆弱性(弱點)?
答:脆弱性是系統內部的薄弱點,是客觀存在的,本身沒有實際傷害;
3、什麼是影響?
答:是威脅和脆弱性的特殊結合;
三、安全策略
1、安全策略的核心內容是哪七定?
答:定崗、定位、定目標、定方案、定員、定工作制度、定工作流程;
2、《計算機信息安全保護等級劃分準則》將信息系統分爲哪5個安全保護等級,以及它們的適用範圍?
答:
1>自主保護級(適用於普通內聯網用戶);
2>系統審計保護級(適用於內聯網或者國際網進行商務活動,需要保密的非重要單位);
3>安全標記保護級(適用於地方各級國家機關、金融單位、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設等單位);
4>結構化保護級(適用於中央級國家機關、廣播電視部門、重要物資儲備單位、社會應急服務部門、尖端科技企業集團、國家重點科研單位機構和國防建設等部門);
5>訪問驗證保護級(適用於國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位)
四、信息安全技術基礎
1、常見的對稱密鑰算法有哪些?它們的優缺點?
答:SDBI、IDEA、RC4、DES、3DES;
優點:加密速度快、祕鑰管理簡單、適合一對一信息加密傳輸過程;
缺點:加密算法簡單,祕鑰長度有限,加密強度不高、祕鑰分發困難、不適宜一對多的加密信息傳輸;
2、常見的非對稱密鑰算法有哪些?它們的優缺點?
答:RSA、ECC;
優點:加密算法複雜、祕鑰長度任意,加密強度很高;適宜一對多的信息加密;
缺點:加解密速度慢,祕鑰管理複雜,明文***很脆弱,不適用於數據的加密傳輸;
3、常見的HASH算法有哪些?
答:SDH,SHA,MD5
4、我國的密碼分級管理試製中,請描述等級及適用範圍?
答:
1>商用密碼:國內企業、事業單位(如社保局)
2>普用密碼:政府、黨政部門(如地×××府)
3>絕密密碼:中央和機要部門
4>軍用密碼:軍隊
五、PKI公開密鑰基礎設施
1、x.509規範中認爲,如果A認爲B嚴格地執行A的期望,則A信任B。因此信任涉及哪三方面?
答:假設;預期;行爲;
2、什麼是業務應用信息系統的核心層?
答:PKI/CA