一、信息安全系统和安全体系
1、信息安全系统三维空间示意图中,X、Y、Z轴的名称,及它们各自包括的内容;
X轴是安全机制,可以理解为提供某些安全服务,利用各种安全技术和技巧所形成的一个较为完善的结构体系。
Y轴士OR(开放式系统互连)网络参考模型,离开网络,信息系统的安全也就失去了意义。
Z轴是安全服务,提供给信息系统中各个层次的需要的安全服务支持。
2、MIS+S、S-MIS、S2-MIS的特点分别有哪些;
MIS+S:应用基本不变、硬件和系统软件通用、安全设备基本不带密码。最基本的安全。
S-MIS:硬件和软件通用、PKI/CA安全保障系统必须带密码、应用系统必须根本改变。
S2-MIS:硬件和系统软件专用、PKI/CA安全保障系统必须带密码、应用系统必须根本改变、主要的硬件和软件需要PKI/CA。
二、信息安全风险评估
1、什么是威胁;
2、什么是脆弱性(弱点);
3、什么是影响
三、安全策略
1、安全策略的核心内容是哪七定;
定方案、定岗、定位、定员、定目标、定制度、定工作流程
2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级,以及它们的适用范围;
(1)第一级,用户自主保护等级;
(2)第二级,系统审计保护级;
(3)第三级,安全标记保护级;
(4)第四级,结构化保护级;
(5)第五级,访问验证保护级;
四、信息安全技术基础
1、常见的对称密钥算法有哪些?它们的优缺点;
DES(供民用、商用和非国防性政府部门使用)、3DES(三重DES)、IDEA(国际数据加密算法)
优点:(1)加、解密速度快(2)密钥管理简单(3)适宜一对一的信息加密传输过程
缺点:(1)加密算法简单,密钥长度有限,加密强度不高(2)密钥分发困难,不适宜一对多的加密信息传输
2、常见的非对称密钥算法有哪些?它们的优缺点;
RSA(基于大数分解)、ECC(椭圆曲线:安全性高,密码体制更安全、密钥量小、算法灵活性好)
缺点:(1)加密算法复杂,密钥长度任意加密强度很高(2)适宜一对多的信息加密交换。尤其适宜互联网上的信息加密交换
缺点:(1)加解密速度慢(2)密钥管理复杂(3)明文攻击很脆弱,不适用于数据的加密传输
3、常见的HASH算法有哪些?
SDH(国家密码办公室批准的HASH算法)、SHA、MD5等。
4、我国的密码分级管理试制中,请描述等级及适用范围;
(1)商用密码-国内企业、事业单位
(2)普用密码-政府、党政部门
(3)绝密密码-中央和机要部门
(4)军用密码-军队
五、PKI公开密钥基础设施
1、x.509规范中认为,如果A认为B严格地执行A的期望,则A信任B。因此信任涉及哪三方面?
信任涉及假设、预期和行为。
2、什么是业务应用信息系统的核心层?
PKI/CA是业务应用信息系统的核心层。
