一、信息安全系统和安全体系
1、信息安全系统三维空间示意图中,X、Y、Z轴的名称,及它们各自包括的内容;
信息安全系统三维空间示意图中
l X轴代表 安全机制(即为提供某些安全服务,利用各种安全技术和技巧所形成的一个较为完善的结构体系);9个方面
l Y轴代表OSI七层网络参考模型;7个层次
l Z代表信息安全服务(是从网络中的各个层次提供给信息应用系统所需要的安全服务支持)。
信息安全空间五大属性(五要素):认证、权限、完整、加密、不可否认。
2、MIS+S、S-MIS、S2-MIS的特点分别有哪些;
MIS+S:即初级信息安全保障系统:(业务应用系统基本不变、硬件和系统软件通用、安全设备基本不带密码)
S-MIS:即标准信息安全保障系统:(硬件和系统软件通用、PKI/CA安全保障系统必须带密码、业务应用系统必须根本改变;主要的通用硬件、软件也要通过PKI/CA认证)
S2-MIS:即超级信息安全保障系统(硬件和系统软件专用、PKI/CA安全基础设施必须带密码、业务应用系统必须根本改变、主要的硬件和系统软件需要PKI/CA认证 )
信息安全保障系统的核心就是保证信息、数据的安全。它是一个在网络上,集成各种硬件、软件和密码设备,以保障其他业务应用信息系统正常运行的专用的信息应用系统,以及与之相关的岗位、人员、策略、制度和规程的总和。
l
二、信息安全风险评估
l 1、什么是威胁;威胁可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。安全威胁也叫做安全风险。
l 2、什么是脆弱性(弱点):系统内部的薄弱点。脆弱性是客观存在的,危弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。
什么是影响:是威胁与脆弱性的特殊组合。受时间、地域、行业、性质的影响,系统面临的威胁也不一样,风险发生的频率和概率都不尽相同,因此影响程度也很难确定。
风险是指特定的威胁或因单位资产的脆弱性而导致单位资产损失或伤害的可能性。有三方面的含义:
对信息或资产产生威胁
威胁的发生会对资产产生影响;
威胁发生具有可能性。
风险 = 威胁*弱点*影响
三、安全策略:是人们为了保护因为使用计算机业务应用信息系统可能招致的对单位资产造成损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
1、安全策略的核心内容是哪七定;
定方案、定岗、定位、定员、定目标、定制度、定工作流程
2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级,以及它们的适用范围;
第一级用户自主保护级:普通用户
第二级系统审计保护级:商务、非重要
第三级安全标记保护级:适有于地方各级国家机关、金融、邮电、能水供给、交运、大型技术企业、重点工程建设等单位;
第四级结构化保护级:中央级国家机关、国家重点科研单位、国防建设
第五级访问验证保护级:国防关键部门、依法需要特殊隔离的单位
拟定业务应用信息系统的功能是建设信息安全系统的最关键、最基本的、又是最首要的一环。
四、信息安全技术基础(加解密速度、密钥长度、密钥管理与分发、一对多的信息交换,大量数据加密传输)
1、常见的对称密钥算法有哪些?SDBI、DES、IDEA、RC4、3DES
它们的优点:加解密速度快、密钥管理简单、适宜一对一的信息加密传输过程;
缺点是:加密算法简单,密钥长度有限,加密强度不高;密钥分发困难,不适宜一对多的加密信息传输。
2、常见的非对称密钥算法有哪些?基于大数分解RSA、椭圆曲线ECC
优点:加密算法复杂,密钥长,加密强度高;适宜一对多的信息加密交换,尤其适宜互联网上信息加密交换。
缺点:加解密慢;密钥管理复杂;明文攻击很脆弱,不适用于数据的加密传输。
3、常见的HASH算法有哪些?
SDH、SHA、MD5
4、我国的密码分级管理试制中,请描述等级及适用范围;
商用级(国内企业、事件单位)、普通级(政府、党政部门)、绝密级(中央和机要部门)、军用级(军队)
五、PKI公开密钥基础设施
1、x.509规范中认为,如果A认为B严格地执行A的期望,则A信任B。因此信任涉及哪三方面?假设、预期和行为
2、什么是业务应用信息系统的核心层?
PKI/CA
