2017年上半年信息安全工程师下午案例题及解析

试题一 阅读下列说明，回答问题1 至问题3 ，将解答写在答题纸的对应栏内。

【说明】

安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信息类型

的安全分类有以下表达形式:

{ (机密性，影响等级)， (完整性，影响等级)， (可用性，影响等级) }

在上述表达式中，"影响等级"的值可以取为低 (L)、中(M)、高(H) 三级以及不适用 (NA)。

问题： 1.1(6 分)

请简要说明机密性、完整性和可用性的含义。

问题： 1.2(2 分)

对于影响等级"不适用"通常只针对哪个安全要素?

问题： 1.3(3 分)

如果一个普通人在它的个人 Web 服务器上管理其公开信息。请问这种公开信息的安全分类是什么?

试题一参考答案及解析

【问题1】

参考答案机密性：确保信息未经非授权的访问，避免信息泄露。

完整性：防止信息非法的修改和毁坏，包括保证信息的不可抵赖性和真实性。

可用性：保证信息及时且可靠地访问和使用。

试题解析：需要答题者能掌握和理解机密性、完整性和可用性的含义，答对意思就能得分。

【问题2】参考答案机密性

试题解析：“不适用”通常只针对机密性。对于公开的信息，机密性没有意义，所以机密性在公开信息类型中并不适用。而完整性和可用性总是可以对应一个影响等级（高、中、低）的。

【问题3】

参考答案｛(机密性，NA)、(完整性，M)、(可用性，M)｝

试题解析：公开且放个人Web服务器上的信息，不需要机密性，因此分类为（机密性，NA)；公开且放个人Web服务器上的信息，其完整性分类为（完整性，M)；公开且放个人Web服务器上的信息，其可用性分类为（可用性，M)。

而公开的实时的股票信息，则完整性和可用性就需要非常高。因此其分类可表述为：｛（机密性，NA)、(完整性，H)、(可用性，H)｝。

试题二 阅读下列说明，回答问题1 和问题2 ，将解答写在答题纸的对应栏内。

【说明】

Windows 系统的用户管理配置中，有多项安全设置，如图2-1 所示。

问题： 2.1(3 分)

请问密码和帐户锁定安全选项设置属于图中安全设置的哪一项?

问题： 2.2(3 分)

Windows 的密码策略有一项安全策略就是要求密码必须符合复杂性要求，如果启用此策略，

那么请问:用户 Administrator 拟选取的以下六个密码中的哪些符合此策略?

123456  Admin123  Abcd321  Admin@  test123 !  123@host

试题二参考答案及解析

【问题1】

参考答案属于安全设置中的账号策略选项

试题解析：账户策略主要包括密码策略和账户锁定策略两种安全设置，具体如下图所示。

【问题2】

参考答案Abcd321   test123!   123＠host

试题解析：如果启用“密码必须符合复杂性要求”策略，密码必须符合下列最低要求：①不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分：②至少有六个字符长：③包含以下四类字符中的三类字符，即英文大写字母(A一Z)、英文小写字母(a～z)、十个基本数字(0～9)，非字母字符（例如!、$、＃、％)。

试题三 阅读下列说明，回答问题1 至问题7 ，将解答写在答题纸的对应栏内。

【说明】

扫描技术是网络攻防的一种重要手