一、信息安全系统和安全体系

1、信息安全系统三维空间示意图中,X、Y、Z轴的名称,及它们各自包括的内容;

(1)X轴 安全机制 

包括:基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、审计安全、安全防范体系

(2)Y轴 OSI参考模型

包括:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层

3Z轴 安全服务

包括:对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据听服务。


2、MIS+S、S-MIS、S2-MIS的特点分别有哪些;

(1)MIS+S 初级信息安全保障系统

特点:业务应用系统基本不变、硬件和软件通用、安全设备基本不带密码

(2)S-MIS 标准信息安全保障系统

特点:硬件和软件通用、基于PKI/CA安全保障系统必须带密码、业务应用系统必须改变、主要的通用硬件、软件要通过PKI/CA认证

(3)S2-MIS 超级信息安全保障系统

硬件和系统软件都专用PKI/CA安全基础设施必须带密码、业务应用系统必须改变、主要的硬件和系统软件需要PKI/CA认证。

安全保障系统的核心就是保证信息、数据的安全。


二、信息安全风险评估

1、什么是威胁;

可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象

2、什么是脆弱性(弱点);

脆弱性是客观存在的,其本身没有实际伤害,但威胁可以利用脆弱性发挥作用,实际上没有脆弱性的系统是没有的。


3、什么是影响

可以看作是威胁与脆弱性的特殊组合,受时间、低于、行业、性质的影响。

风险=威胁*弱点*影响


三、安全策略


1、安全策略的核心内容是哪七定;

七定:定方案、定岗、定位、定员、定目标、定制度、定工作流程。
2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级,以及它们的适用范围;

1)用户自主保护级 (普通内联网用户)

2)系统审计保护级 (通过内联网或国际网进行商务活动,需要保密的非重要单位)

3)安全标记保护级 (地方级国家机关、金融机构、邮电通信、能源与水源、交通运输部门、大型工商与信息技术企业、重点工程建设;)

4)结构化保护级

(中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设;)

5)访问验证保护级 

(国防关键部门和一发需要对计算机信息系统实施特殊隔离的岗位)


四、信息安全技术基础


1、常见的对称密钥算法有哪些?它们的优缺点;

常见的有:SBDI 、IDEA、 RC4 、DES 、3DES

优点:加/解密速度快、密钥管理简单、适宜一对一的信息加密传输过程。

缺点:(1)加密算法简单,密钥长度有限(56/128bit),加密强度不高

      (2)  密钥分发困难,不适宜一对多的加密信息传输


2、常见的非对称密钥算法有哪些?它们的优缺点;

常见:RSA(基于大数分解)、ECC(椭圆曲线)

优点:加密算法复杂,密钥长度任意(1024/2048bit)加密强度高

      适宜一对多的信息加密交换。尤其是互联网上的信息加密交换

缺点: 加/解密速度慢、密钥管理复杂、文明***很脆弱,不适用于数据加密传输。


3、常见的HASH算法有哪些?

常见:SDH、SHA、MD5


4、我国的密码分级管理试制中,请描述等级及适用范围;

1)商用密码-国内企、事业单位

2)普用密码-政府、党政部门

3)绝密密码-中央和机要部门

4)军用密码-军队


五、PKI公开密钥基础设施


1、x.509规范中认为,如果A认为B严格地执行A的期望,则A信任B。因此信任涉及哪

三方面?

假设、预期和行为


2、什么是业务应用信息系统的核心层?

PKI/CA (密钥管理认证中心)是业务应用信息系统的核心层。