2015年10月24日作業

2015年10月24日作業

一、資訊安全系統和安全體系

1、資訊安全系統三維空間示意圖中，X、Y、Z軸的名稱，及它們各自包括的内容；

答：X軸是“安全機制”，Y軸是OSI網絡參考模型，Z軸是“安全服務”；（1）“安全機制”包括第一層：基礎設施實體安全，第二層平台安全，第三層資料安全，第四層通信安全，第五層應用安全，第六層運作安全，第七層管理安全，第八層授權和審計安全，第九層安全防範體系；（2）“OSI網絡參考模型”包括第一層實體層，第二層鍊路層，第三層網絡層，第四層傳輸層，第五層會話層，第六層表示層，第七層應用層；（3）“安全服務”包括對等實體認證服務、資料保密服務、資料完整性服務、資料源點認證服務、禁止否認服務、犯罪證據提供服務。

2、MIS+S、S-MIS、S2-MIS的特點分别有哪些；

答：（1）MIS+S的特點：業務應用系統基本不變、硬體和系統軟體通用、安全裝置基本不帶密碼；（2）S-MIS系統的特點：硬體和軟體通用、PKI/CA安全保障系統必須帶密碼、業務應用系統必須根本改變、主要的通用的硬體、軟體也要通過PKI/CA認證；（3）S2-MIS系統的特點：硬體和系統軟體都通用、PKI/CA安全基礎設施必須帶密碼、業務應用系統必須根本改變、主要的硬體和系統軟體需要PKI/CA認證。

二、資訊安全風險評估

1、什麼是威脅；

答：威脅可看成從系統外部對系統産生的作用，而導緻系統功能及目标受阻的所有現象。

2、什麼是脆弱性（弱點）；

答：脆弱性可以看成是系統内部的薄弱點。

3、什麼是影響

答：影響可以看作是威脅與脆弱性的特殊組合。

三、安全政策

1、安全政策的核心内容是哪七定；

答：七定是：定方案、定崗、定位、定員、定目标、定制度、定工作流程。

2、《計算機資訊安全保護等級劃分準則》将資訊系統分為哪5個安全保護等級，以及它們的适用範圍；

答：（1）第1級為使用者自主保護級，适用于普通内聯網使用者；

（2）第2級為系統審計保護級，适用于通過内聯網或國際網進行商務活動，需要保密的非重要機關；

（3）第3級為安全标記保護級,适用于地方各級國家機關、金融機關機構、郵電通信、能源與水源供給部門、交通運輸、大型工商與資訊技術企業、重點工程建設等機關；

（4）第4級為機構化保護級，适用于中央國家機關、廣播電視部門、重要物資儲備機關、社會應急服務部門、尖端科技企業集團、國家重點科研機關機構和國防建設等部門；

（5）第5級為通路驗證保護級，适用于國防關鍵部門和依法對計算機資訊系統實施特殊隔離的機關。

四、資訊安全技術基礎

1、常見的對稱密鑰算法有哪些？它們的優缺點；

答：常見的對稱算法有：SDBI、IDEA、RC4、DES、3DES。優點是：加/解密速度快；密鑰管理簡單；适宜一對一的資訊加密傳輸過程。缺點是：加密算法簡單，密碼長度有限，加密強度不高；密鑰分發困難，不适宜一對多的加密資訊傳輸。

2、常見的非對稱密鑰算法有哪些？它們的優缺點；

答：常見的非對稱算法有：RSA、ECC等。優點是：加密算法複雜，密鑰長度任意加密強度很高；适宜一對多的資訊加密交換，尤其适宜網際網路上資訊加密交換。缺點是：加/解密速度慢；密鑰管理複雜；明文攻擊很脆弱，不适用于資料的加密傳輸。

3、常見的HASH算法有哪些？

答：有SDH、SHA、MD5等。

4、我國的密碼分級管理試制中，請描述等級及适用範圍；

答：（1）商用密碼--國内企業、事業機關；（2)普用密碼--政府、黨政部門；（3）絕密密碼--中央和機要部門；（4）軍用密碼--軍隊。

五、PKI公開密鑰基礎設施

1、x.509規範中認為，如果A認為B嚴格地執行A的期望，則A信任B。是以信任涉及哪三方面？

答：涉及假設、預期和行為三個方面。