高級學員:2015年10月24日作業
一、信息安全系統和安全體系
1、信息安全系統三維空間示意圖中,X、Y、Z軸的名稱,及它們各自包括的內容;
X軸是“安全機制”,安全機制是神馬?可以理解爲提供某種安全服務,利用各種安全技術和技巧所形成的一個較爲完善的結構體系。
Y軸是OR(開放式系統互連)網絡參考模型,信息系統安全的許多技術,技巧都是在網絡的各個層面上實現。
Z軸是“安全服務”,就是提供給信息系統中各個層次的需要的安全服務支持。
由XYZ三個軸形成的空間就是信息系統的“安全空間”,這個空間具有認證、權限、完整、加密和不可否認五個要素。
2、MIS+S、S-MIS、S2-MIS的特點分別有哪些;
MIS+S:初級信息安全保障系統或基本信息安全保障系統;
應用基本不變
硬件和系統軟件通用
安全設備基本不帶密碼
S-MIS:標準信息安全保障系統;
硬件和系統軟件通用
PKI/CA安全保障系統必須帶密碼
應用系統必須根本改變
S2-MIS:
硬件和系統軟件都專用
PKI/CA安全保障系統必須帶密碼
應用系統必須根本改變
主要的硬件和系統軟件需要PKI/CA
認證
二、信息安全風險評估
1、什麼是威脅;
威脅可以看成從系統外部對系統產生的作業而導致系統功能及目標受阻的所有現象。
2、什麼是脆弱性(弱點);
脆弱性可以看成是系統內部的薄弱點,脆弱性是客觀存在的,脆弱性本身沒有實際的傷害,但威脅可以利用脆弱性發揮作用。
3、什麼是影響
影響可以看成是威脅與脆弱性的特殊組合。受時間、地域、行業、性質的影響,系統面臨的威脅也不一樣,風險發生的頻率、概率都不盡相同,因此影響程度也很難確定。
風險=威脅*弱點*影響
三、安全策略
1、安全策略的核心內容是哪七定;
定方案;定崗;定位;定員;定目標;定製度;定工作流程
2、《計算機信息安全保護等級劃分準則》將信息系統分爲哪5個安全保護等級,以及它們的適用範圍;
第一級爲用戶自主保護級,適用於普通內聯網用戶
第二級爲系統審計保護級,適用於通過內聯網或國際網進行商務活動、要保密的非重要單位
第三級爲安全標記保護級,適用於地方各級國家機關、金融單位機構、郵電通訊、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設等單位
第四級爲結構化保護級,適用於中央級國際機關、廣播電視部門、重要物資儲備單位、社會應急服務部門、尖端科技企業集團、國家重點科研單位機構和國防建設等部門
第五級爲訪問驗證保護級,適用於國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位
四、信息安全技術基礎
1、常見的對稱密鑰算法有哪些?它們的優缺點;
SDBI、IDEA、RC4、DES、3DES等
優點:
加解密速度快
密鑰管理簡單
適宜一對一的信息加密傳輸
缺點:
加密算法簡單,密鑰長度有限,加密強度不高
密鑰分發困難,不適宜一對多的加密信息傳輸
2、常見的非對稱密鑰算法有哪些?它們的優缺點;
RSA、DSA、ECC等
優點:
加密算法負責,密鑰長度任意,加密強度很高
適宜一對多的信息加密交換,尤其適宜互聯網上信息加密交換
缺點:
加解密速度慢
密鑰管理複雜
明文工具很脆弱,不適用於數據的加密傳輸
3、常見的HASH算法有哪些?
SDH、SHA、MD5
4、我國的密碼分級管理試製中,請描述等級及適用範圍;
商用密碼—國內企業、事業單位
普通密碼—政府、黨政部門
絕密密碼—中央和機要部門
軍用密碼--軍隊
五、PKI公開密鑰基礎設施
1、x.509規範中認爲,如果A認爲B嚴格地執行A的期望,則A信任B。因此信任涉及哪三方面?
信任設計假設、預期和行爲。這明確地意味着信任是不可能被定量測量的,信任是與風險相聯繫的,而且信任的建立不可能總是全自動的。
2、什麼是業務應用信息系統的核心層?
認證中心
http://xuedalong.blog.51cto.com/1030946/1705900