2015年10月24日作业

高级学员：2015年10月24日作业
一、信息安全系统和安全体系
1、信息安全系统三维空间示意图中，X、Y、Z轴的名称，及它们各自包括的内容；

X:安全机制，
1.基础设施安全
2.平台安全
3.数据安全
4.通信安全
5.应用安全
6.运行安全
7.管理安全
8.授权与审计安全
9.安全防范系统

Y:OSI网络参考模型
1.物理层
2.链路层
3.网络层
4.传输层
5.会话层
6.表示层
7.应用层

Z:安全服务
1.对等实体认证服务
2.访问控制服务
3.数据保密服务
4.数据完整性服务
5.数据源点认证服务
6.禁止否认服务
7.犯罪证据提供服务

2、MIS+S、S-MIS、S2-MIS的特点分别有哪些；
MIS+S：初级信息安全保障系统或者叫做基本信息安全保障系统。
主要特点：业务应用系统基本不变，硬件和软件系统通用、安全设备基本不带密码

S-MIS：标准信息安全保障系统。
主要特点：硬件和软件通用、PKI/CA安全保障系统必须带密码、业务应用系统必须根本改变、主要的通用的软硬件

也要通过PKI/CA认证。

S2-MIS：超安全的信息安全保障系统。
主要特点：硬件和软件都专用、PKI/CA安全基础设施必须带密码、业务应用系统必须根本改变、主要的硬件和系统

软件需要PKI/CA认证。

二、信息安全风险评估
1、什么是威胁；
威胁：可以看成从系统外部对系统产生的作业而导致系统功能与目标受阻的所有现象。

2、什么是脆弱性（弱点）；
脆弱性：可以看成是系统内部的薄弱点，是客观存在的，脆弱性本身没有实际的伤害。

3、什么是影响

影响：可以看作是威胁与脆弱性的特殊组合。

三、安全策略
1、安全策略的核心内容是哪七定；
1.定方案
2.定岗
3.定位
4.定员
5.定目标
6.定制度
7.定工作流程

2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级，以及它们的适用范围；
1.自主保护级：普通内联网用户

2.系统审计保护级：适用于内联网或者国际网进行商务活动，需要保密的非重要单位。

3.安全标记保护级：适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型

工商与信息技术企业、重点工程建设等单位。

4.结构化保护级：适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业

集团、国家重点科研单位机构和国防建设等部门。

5.访问验证保护级：适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

四、信息安全技术基础
1、常见的对称密钥算法有哪些？它们的优缺点；
1.SDBI(国内算法，仅硬件中存在)
2.IDEA
3.RC4
4.DES
5.3DES
优点：
1.加解密速度快
2.密钥管理简单
3.适合一对一的信息加密传输过程

缺点：
1.加密算法简单，密钥长度有限，加密强度不高。
2.密钥分发困难，不适宜一对多的加密信息传输

2、常见的非对称密钥算法有哪些？它们的优缺点；
1.RSA
2.ECC
优点：
1.加密算法复杂，密钥长度任意，加密强度很高
2.适宜一对多的信息加密交换。尤其适宜互联网上信息加密交换。
缺点：
1.加解密速度慢
2.密钥管理复杂
3.明文攻击很脆弱，不适用于数据的加密传输

3、常见的HASH算法有哪些？
1.SDH（我国的），SHA，MD5

4、我国的密码分级管理试制中，请描述等级及适用范围；
1.商用密码：国内企业、事业单位
2.普用密码：政府、党政部门
3.绝密密码：中央和机要部门
4.军用密码：军队

五、PKI公开密钥基础设施
1、x.509规范中认为，如果A认为B严格地执行A的期望，则A信任B。因此信任涉及哪三方面？
1.假设
2.预期
3.行为

2、什么是业务应用信息系统的核心层？
PKI/CA