24 章信息安全系统和安全体系
1、X轴:安全机制,包含基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权与审计安全和安全防范体系;
Y轴:OSI网络参考模型,包含物理层、链路层、网络层、传输层、会话层、表示层和应用层;
Z轴:安全服务。包含对称实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务和犯罪证据提供服务。
2、MIS+S、S-MIS和S2-MIS的特点分别有哪些?
MIS+S特点:业务应用系统基本不变、硬件和软件通用、安全设备基本不带密码;
S-MIS特点:硬件和系统软件通用、PKi/Ca安全保障系统必须带密码、业务应用系统必须根本改变、主要的通用的硬件、软件也要通过PKi/Ca认证。
25章 信息系统安全风险评估
什么是威胁、脆弱性、影响?
威胁是指从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。
脆弱性是指系统内部的薄弱点。
影响是指威胁与脆弱性的特殊组合,受时间、地域、行业、性质的影响。
风险=威胁*弱点*影响
26章 安全策略
1、安全策略的核心内容:定方案、定岗、定位、定员、定目标、定制度、定工作流程。;
2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级,以及它们的适用范围;
第一级:用户自主保护级,适用于普通内联网用户;
第二级:系统审计保护级,适用于通过内联网或国际网进行商务活动,需要保密的非重要单位;
第三级:安全标记保护级,适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位;
第四级:结构化保护级,适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门;
第五级:访问验证保护级,适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
27章 信息安全技术基础
1、常见的对称密钥算法有哪些?它们的优缺点;
常见的对称密钥算法有:SDBI(国家密码办公室批准的国内算法,仅硬件中存在)、IDEA、RC4、DES、3DES;
优点:加/解密速度快、密钥管理简单、适宜一对一的信息加密传输过程;
缺点:加密算法简单,密钥长度有限,加密强度不高、密钥分发困难,不适宜一对多的加密信息传输。
2、常见的非对称密钥算法有哪些?它们的优缺点;
常见的非对称密钥算法有RSA(基于大数分解)、ECC(椭圆曲线)等;
优点:加密算法复杂,密钥长度任意,加密强度很高、适宜一对多的信息交换,尤其适宜互联网上信息加密交换;加/解密速度慢、密钥管理复杂。
3、常见的HASH算法有哪些?
常见的哈希算法有SDH(国家密码办公室批准的HASH算法)、SHA、MD5等。
4、我国的密码分级管理试制中,请描述等级及适用范围;
我国实行的密码分级管理制度及适用范围:
商用密码――国内企业、事业单位
普用密码――政府、党政部门
绝密密码――中央和机要部门
军用密码――军队
28章 PKI公开密钥基础设施
1、x.509规范中认为,如果A认为B严格地执行A的期望,则A信任B。因此信任涉及哪三方面?
假设、预期和行为
2、什么是业务应用信息系统的核心层?
PKI/CA