一、信息安全系统和安全体系
1、信息安全系统三维空间示意图中,X、Y、Z轴的名称,及它们各自包括的内容?
答:X轴是安全机制;Y轴是OSI七层模型;Z轴是安全服务;
X轴安全机制内容:1.基础设计安全;2.平台安全;3.数据安全;4.通信安全;5.应用安全;6.运行安全;7.管理安全;8.授权与审计安全;9.安全防范系统;
Y轴OSI网络参考模型内容:1.应用层;2.表示层;3.会话层;4.传输层;5.网络层;6.链路层;7.物理层;
Z轴安全服务内容:1.对等实体认证服务;2.访问控制服务;3.数据保密服务;4.数据完整性服务;5.数据源点认证服务;6.禁止否认服务;7.犯罪证据提供服务;
2、MIS+S、S-MIS、S2-MIS的特点分别有哪些?
答:
MIS+S:初级信息安全保障系统(基本信息安全保障系统);特点:业务应用系统基本不变,硬件和软件通用,设备不带密码,不安全;
S-MIS: 标准信息安全保障系统;特点:业务应用系统必须根本改变,硬件和软件通用,通用的软硬件需要通过PKI/CA认证;PKI/CA安全保障系统必须带密码,安全;
S2-MIS:超安全信息保障系统;特点:业务应用系统必须根本改变,硬件和软件专用,软硬件需要通过PKI/CA认证;设备必须带密码;安全;
二、信息安全风险评估
1、什么是威胁?
答:系统外部对系统产生的作用,导致系统功能和目标受阻的所有现象;
2、什么是脆弱性(弱点)?
答:脆弱性是系统内部的薄弱点,是客观存在的,本身没有实际伤害;
3、什么是影响?
答:是威胁和脆弱性的特殊结合;
三、安全策略
1、安全策略的核心内容是哪七定?
答:定岗、定位、定目标、定方案、定员、定工作制度、定工作流程;
2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级,以及它们的适用范围?
答:
1>自主保护级(适用于普通内联网用户);
2>系统审计保护级(适用于内联网或者国际网进行商务活动,需要保密的非重要单位);
3>安全标记保护级(适用于地方各级国家机关、金融单位、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位);
4>结构化保护级(适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门);
5>访问验证保护级(适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位)
四、信息安全技术基础
1、常见的对称密钥算法有哪些?它们的优缺点?
答:SDBI、IDEA、RC4、DES、3DES;
优点:加密速度快、秘钥管理简单、适合一对一信息加密传输过程;
缺点:加密算法简单,秘钥长度有限,加密强度不高、秘钥分发困难、不适宜一对多的加密信息传输;
2、常见的非对称密钥算法有哪些?它们的优缺点?
答:RSA、ECC;
优点:加密算法复杂、秘钥长度任意,加密强度很高;适宜一对多的信息加密;
缺点:加解密速度慢,秘钥管理复杂,明文攻击很脆弱,不适用于数据的加密传输;
3、常见的HASH算法有哪些?
答:SDH,SHA,MD5
4、我国的密码分级管理试制中,请描述等级及适用范围?
答:
1>商用密码:国内企业、事业单位(如社保局)
2>普用密码:政府、党政部门(如地方政府)
3>绝密密码:中央和机要部门
4>军用密码:军队
五、PKI公开密钥基础设施
1、x.509规范中认为,如果A认为B严格地执行A的期望,则A信任B。因此信任涉及哪三方面?
答:假设;预期;行为;
2、什么是业务应用信息系统的核心层?
答:PKI/CA