高项2015年下半年培训随堂作业（10月24日）

高级学员：2015年10月24日作业

一、信息安全系统和安全体系

1、信息安全系统三维空间示意图中，X、Y、Z轴的名称，及它们各自包括的内容；

• X轴是“安全机制”，安全机制是神马？可以理解为提供某种安全服务，利用各种安全技术和技巧所形成的一个较为完善的结构体系。

• Y轴是OR（开放式系统互连）网络参考模型，信息系统安全的许多技术，技巧都是在网络的各个层面上实现。

• Z轴是“安全服务”，就是提供给信息系统中各个层次的需要的安全服务支持。

• 由XYZ三个轴形成的空间就是信息系统的“安全空间”，这个空间具有认证、权限、完整、加密和不可否认五个要素。

2、MIS+S、S-MIS、S2-MIS的特点分别有哪些；

• MIS+S：初级信息安全保障系统或基本信息安全保障系统；

  • 应用基本不变

  • 硬件和系统软件通用

  • 安全设备基本不带密码

• S-MIS：标准信息安全保障系统；

  • 硬件和系统软件通用

  • PKI/CA安全保障系统必须带密码

  • 应用系统必须根本改变

• S2-MIS：

  • 硬件和系统软件都专用

  • PKI/CA安全保障系统必须带密码

  • 应用系统必须根本改变

  • 主要的硬件和系统软件需要PKI/CA

  • 认证

二、信息安全风险评估

1、什么是威胁；

     威胁可以看成从系统外部对系统产生的作业而导致系统功能及目标受阻的所有现象。

2、什么是脆弱性（弱点）；

     脆弱性可以看成是系统内部的薄弱点，脆弱性是客观存在的，脆弱性本身没有实际的伤害，但威胁可以利用脆弱性发挥作用。

3、什么是影响

     影响可以看成是威胁与脆弱性的特殊组合。受时间、地域、行业、性质的影响，系统面临的威胁也不一样，风险发生的频率、概率都不尽相同，因此影响程度也很难确定。

     风险=威胁*弱点*影响

三、安全策略

1、安全策略的核心内容是哪七定；

     定方案；定岗；定位；定员；定目标；定制度；定工作流程

2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级，以及它们的适用范围；

• 第一级为用户自主保护级，适用于普通内联网用户

• 第二级为系统审计保护级，适用于通过内联网或国际网进行商务活动、要保密的非重要单位

• 第三级为安全标记保护级，适用于地方各级国家机关、金融单位机构、邮电通讯、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位

• 第四级为结构化保护级，适用于中央级国际机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门

• 第五级为访问验证保护级，适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位

四、信息安全技术基础

1、常见的对称密钥算法有哪些？它们的优缺点；

• SDBI、IDEA、RC4、DES、3DES等

• 优点：

  • 加解密速度快

  • 密钥管理简单

  • 适宜一对一的信息加密传输

• 缺点：

  • 加密算法简单，密钥长度有限，加密强度不高

  • 密钥分发困难，不适宜一对多的加密信息传输

2、常见的非对称密钥算法有哪些？它们的优缺点；

• RSA、DSA、ECC等

• 优点：

  • 加密算法负责，密钥长度任意，加密强度很高

  • 适宜一对多的信息加密交换，尤其适宜互联网上信息加密交换

• 缺点：

  • 加解密速度慢

  • 密钥管理复杂

  • 明文工具很脆弱，不适用于数据的加密传输

3、常见的HASH算法有哪些？

• SDH、SHA、MD5

4、我国的密码分级管理试制中，请描述等级及适用范围；

• 商用密码―国内企业、事业单位

• 普通密码―政府、党政部门

• 绝密密码―中央和机要部门

• 军用密码--军队

五、PKI公开密钥基础设施

1、x.509规范中认为，如果A认为B严格地执行A的期望，则A信任B。因此信任涉及哪三方面？

     信任设计假设、预期和行为。这明确地意味着信任是不可能被定量测量的，信任是与风险相联系的，而且信任的建立不可能总是全自动的。

2、什么是业务应用信息系统的核心层？

     认证中心

http://xuedalong.blog.51cto.com/1030946/1705900