大学生信息安全(学习笔记一)

一、选择题
【1】强制访问控制的 Bell-Lapadula 模型必须给主，客体标记 安全级别。

【2】RF(Reference Monitor) 也被称为“安全核”。

【3】Bell-Lapadula模型和信息流模型可以用来保护分级信息的机密性。

【4】Biba模型和Clark-Wilson模型关注于信息安全的完整性。

【5】引用监视器(reference monitor)的概念中，需要的设计要求有：抗篡性，不可旁路，必须足够小。

【6】信息流安全模型未使用针对客体的访问控制机制。

【7】信息流安全模型可以对抗隐通道的安全隐患。

【8】自主访问控制模型不能防止木马程序。

【9】操作系统能够同时使用DAC和MAC，防火墙的包过滤访问控制是DAC.。

【10】系统的日常维护主要包括：程序维护，数据维护，代码维护，设备维护。

二、简答题

①、简述安全策略体系包含的内容。
答：一个合理的信息安全策略体系可以包括三个不同层次的策略文档：
(1)总体安全策略。阐述了指导性战略纲领性文件，阐述了企业对于信息安全的看法和立场，信息安全的目标和战略，信息安全所涉及的范围、管理组织的架构和责任认定以及对于信息资产的管理办法等。
(2)针对特定问题的具体策略。阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容。
(3)针对特定系统的具体策略。更为具体和细化，阐明了特定系统与信息安全有关的使用和维护规则等内容，例如防火墙配置策略，电子邮件安全策略等。

②、简述我国信息安全等级保护的级别划分。
答： (1)第一级为自我保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其它组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。
(2)第二级为指导保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。
(3)第三级为监管保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统，器业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本机系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。
(4)第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。
(5)第五级为专控保护级。其主要对象为涉及国家安全，社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到保护后，会对国家安全社会秩序和公共利益造成特别严重的损害。本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门，专门机构进行专门监督、检查。

③、简述信息安全脆弱性的分类和内容。
答：信息安全脆弱性的分类和内容如下所示：
脆弱性分类
一、技术脆弱性
1、物理安全：物理设备的访问控制，电力供应等。
2、网络安全：基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等。
3、系统安全：应用软件安全漏洞、软件安全功能、数据防护等。
4、应用安全：应用软件安全漏洞、软件安全功能、数据防护等。
二、管理脆弱性
1、安全管理：安全策略，组织安全，资产分类与控制，人员安全，物理与环境安全，通信与操作管理，访问控制，系统开发和维护，业务连续性、符合性。

④、信息系统所面临的安全威胁。
答：信息系统所面临的常见的安全威胁如下：
1、软硬件故障：由于设备故障、通信链接中断、信息系统和软件Bug导致对业务高效稳定的运行。
2、物理环境威胁：断电、静电等环境条件和自然灾害造成的影响。
3、无作为或操作失误：由于应该执行而没有执行的相应的操作对系统造成的影响。
4、管理不到位：安全管理无法落实，不到位，造成安全管理不规范，从而破坏信息系统正常运行。
5、恶意代码和病毒：具有自我复制、自我传播能力，对学校系统构成破坏的代码程序。
6、越权或滥用：通过采用影响而超越自己的权限访问了本来无权访问的资源，或者滥用自己的职权，做出破坏信息系统的行为。
7、黑客攻击技术：利用黑客工具和技术对信息系统进行攻击和入侵。
8、物理攻击：物理接触，物理破坏，盗窃等。
9、泄密：机密信息泄露给他人。
10、篡改：非法修改信息，破坏信息的完整性。