一、信息安全系统和安全体系
1、信息安全系统三维空间示意图中,X、Y、Z轴的名称,及它们各自包括的内容;
X轴:安全机制,包含基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权与审计安全、安全防范体系
Y轴: OSI网络参考模型,包含物理层、链路层、网络层、传输层、会话层、表示层、应用层
Z轴:安全服务,包含对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据提供服务
2、MIS+S、S-MIS、S2-MIS的特点分别有哪些;
MIS+S特点:1)业务系统基本不变;2)硬件和系统软件通用;3)安全设备基本不带密码
S-MIS特点:1)硬件和系统软件通用;2)PKI/CA安全保障体系必须带密码;3)业务系统必须根本改变;4)主要软、硬件通过PKI/CA认证
S2-MIS特点:1)软、硬件都专用;2)PKI/CA安全基础设施必须带密码;3)业务应用系统必须根本改变;4)主要的软、硬件需 PKI/CA认证
二、信息安全风险评估
1、什么是威胁;
系统外部对系统产生的作用,导致系统功能及目标受阻的所有现象。
2、什么是脆弱性(弱点);
系统内部的薄弱点。客观存在,本身没有实际的伤害。
3、什么是影响
威胁和脆弱性的特殊组合。受时间、地域、行业、性质的影响。
三、安全策略
1、安全策略的核心内容是哪七定;
定方案、定岗、定位、定员、定目标、顶制度、定工作流程。
2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级,以及它们的适用范围;
第1级 用户自主级,适用于普通内联网用户
第2级 系统审计级,适用于通过内联网和国际网进行商务活动,需要保密的非重要单位
第3级 安全标记级,适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输,大型工商与信息技术企业、重点工程建设单位
第4级 机构化级,适用于中央国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设部门
第5级 访问验证级,适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位
四、信息安全技术基础
1、常见的对称密钥算法有哪些?它们的优缺点;
常见的对称密钥算法有SDBI、IDEA、RC4、DES、3DES
优点:1)加/解密速度快;2)密钥管理简单;3)适合一对一的信息加密传输
缺点:1)加密算法简单;2)密钥分发困难
2、常见的非对称密钥算法有哪些?它们的优缺点;
常见的非对称加密算法有RSA、ECC
优点:1)加密算法复杂;2)适合一对多,尤其适合WWW上的信息加密交换
缺点:1)加/解密速度慢;2)密钥管理复杂;3)明文攻击脆弱,不适合数据的加密传输
3、常见的HASH算法有哪些?
常见的有SDH、SHA、MD5
4、我国的密码分级管理试制中,请描述等级及适用范围;
1)商用密码:国内企业、事业单位
2)普用密码:政府、党政部门
3)绝密密码:中央和机要部门
4)军用密码:军队
五、PKI公开密钥基础设施
1、x.509规范中认为,如果A认为B严格地执行A的期望,则A信任B。因此信任涉及哪三方面?
涉及假设、预期和行为
2、什么是业务应用信息系统的核心层?
PKI/CA是业务应用信息系统的核心层