一、信息安全系统和安全体系
1、信息安全系统三维空间示意图中,X、Y、Z轴的名称,及它们各自包括的内容;
X 轴是“安全机制”。 指为提供某些安全服务,利用各种 安全技术和技巧所形成的一个较为完善的结构体系。
Y 轴是 OR(开放式系统互连)网络参考模型 ,许多技术、技巧都是在网络的各个层面上实现的。
z 轴是“安全服务”,就是提供给信息系统中各个层次的需要的安全服务支持。
2、MIS+S、S-MIS、S2-MIS的特点分别有哪些;
MIS+S的特点:应用基本不变,硬件和系统软件通用,安全设备基本不带密码。
S-MIS的特点:硬件和系统软件通用,PKI/CA 安全保障系统必须带密码,应用系统必须根本改变。
S2-MIS的特点:硬件和系统软件都专用,PKI/CA 安全保障系统必须带密码,应用系统必须根本改变,主要的硬件和系统软件需要 PKI/CA,认证。
二、信息安全风险评估
1、什么是威胁;
威胁可看成从系统外部对系统产生的作用而导致系统功能及目标受阻的所有现象 。
2、什么是脆弱性(弱点);
脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。
3、什么是影响
影响可以看做是威胁与脆弱性的特殊组合。受时间、地域、行业、性质的影响,系统面临的威
胁也不一样,风险发生的频率、概率都不尽相同,因此影响程度也很难确定。
三、安全策略
1、安全策略的核心内容是哪七定;
定方案、定岗、定位、定员、定目标、定制度、定工作流程。
2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级,以及它们的适用范围;
第一级为用户自主保护级,适用于普通内联网用户;
第二级为系统审计保护级,适用于通过内联网或国际网进行商务活动、要保密的非重要单位;
第三级为安全标记保护级,适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位;
第四级为结构化保护级,适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门;
第五级为访问验证保护级,适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
四、信息安全技术基础
1、常见的对称密钥算法有哪些?它们的优缺点;
SDBI(国家密码办公室批准的国内算法,仅硬件中存在)、IDEA、RC4、DES、3DES 等。
优点:
加/解密速度快;
密钥管理简单;
适宜一对一的信息加密传输。
缺点:
加密算法简单,密钥长度有限(56bit/128bit),加密强度不高; 密钥分发困难,不适宜一对多的加密信息传输。
2、常见的非对称密钥算法有哪些?它们的优缺点;
RSA(Rivest-Shamir-Adleman)—基于大数分解)、DSA(Digital Signed Algorithm)数字签名
算法和 Diffie Hellman 私钥协议、ECC(Elliptic Curve Cryptography)—(椭圆曲线)等。
优点:
加密算法复杂,密钥长度任意(1024bit/2048bit)加密强度很高;
适宜一对多的信息加密交换。尤其适宜互联网上信息加密交换。
缺点:
加/解密速度慢;
密钥管理复杂;
明文攻击很脆弱,不适用于数据的加密传输。
3、常见的HASH算法有哪些?
SDH(国家密码办公室批准的 HASH 算法)、SHA, MD5 等;
4、我国的密码分级管理试制中,请描述等级及适用范围;
(1)商用密码—国内企业、事业单位
(2)普用密码—政府、党政部门
(3)绝密密码—中央和机要部门
(4)军用密码—军队
五、PKI公开密钥基础设施
1、x.509规范中认为,如果A认为B严格地执行A的期望,则A信任B。因此信任涉及哪三方面?
假设、预期和行为
2、什么是业务应用信息系统的核心层?
PKI/CA和PMI/AA
