一、資訊安全系統和安全體系
1、資訊安全系統三維空間示意圖中,X、Y、Z軸的名稱,及它們各自包括的内容;
X軸:安全機制,包含基礎設施安全、平台安全、資料安全、通信安全、應用安全、運作安全、管理安全、授權與審計安全、安全防範體系
Y軸: OSI網絡參考模型,包含實體層、鍊路層、網絡層、傳輸層、會話層、表示層、應用層
Z軸:安全服務,包含對等實體認證服務、通路控制服務、資料保密服務、資料完整性服務、資料源點認證服務、禁止否認服務、犯罪證據提供服務
2、MIS+S、S-MIS、S2-MIS的特點分别有哪些;
MIS+S特點:1)業務系統基本不變;2)硬體和系統軟體通用;3)安全裝置基本不帶密碼
S-MIS特點:1)硬體和系統軟體通用;2)PKI/CA安全保障體系必須帶密碼;3)業務系統必須根本改變;4)主要軟、硬體通過PKI/CA認證
S2-MIS特點:1)軟、硬體都專用;2)PKI/CA安全基礎設施必須帶密碼;3)業務應用系統必須根本改變;4)主要的軟、硬體需 PKI/CA認證
二、資訊安全風險評估
1、什麼是威脅;
系統外部對系統産生的作用,導緻系統功能及目标受阻的所有現象。
2、什麼是脆弱性(弱點);
系統内部的薄弱點。客觀存在,本身沒有實際的傷害。
3、什麼是影響
威脅和脆弱性的特殊組合。受時間、地域、行業、性質的影響。
三、安全政策
1、安全政策的核心内容是哪七定;
定方案、定崗、定位、定員、定目标、頂制度、定工作流程。
2、《計算機資訊安全保護等級劃分準則》将資訊系統分為哪5個安全保護等級,以及它們的适用範圍;
第1級 使用者自主級,适用于普通内聯網使用者
第2級 系統審計級,适用于通過内聯網和國際網進行商務活動,需要保密的非重要機關
第3級 安全标記級,适用于地方各級國家機關、金融機關機構、郵電通信、能源與水源供給部門、交通運輸,大型工商與資訊技術企業、重點工程建設機關
第4級 機構化級,适用于中央國家機關、廣播電視部門、重要物資儲備機關、社會應急服務部門、尖端科技企業集團、國家重點科研機關機構和國防建設部門
第5級 通路驗證級,适用于國防關鍵部門和依法需要對計算機資訊系統實施特殊隔離的機關
四、資訊安全技術基礎
1、常見的對稱密鑰算法有哪些?它們的優缺點;
常見的對稱密鑰算法有SDBI、IDEA、RC4、DES、3DES
優點:1)加/解密速度快;2)密鑰管理簡單;3)适合一對一的資訊加密傳輸
缺點:1)加密算法簡單;2)密鑰分發困難
2、常見的非對稱密鑰算法有哪些?它們的優缺點;
常見的非對稱加密算法有RSA、ECC
優點:1)加密算法複雜;2)适合一對多,尤其适合WWW上的資訊加密交換
缺點:1)加/解密速度慢;2)密鑰管理複雜;3)明文攻擊脆弱,不适合資料的加密傳輸
3、常見的HASH算法有哪些?
常見的有SDH、SHA、MD5
4、我國的密碼分級管理試制中,請描述等級及适用範圍;
1)商用密碼:國内企業、事業機關
2)普用密碼:政府、黨政部門
3)絕密密碼:中央和機要部門
4)軍用密碼:軍隊
五、PKI公開密鑰基礎設施
1、x.509規範中認為,如果A認為B嚴格地執行A的期望,則A信任B。是以信任涉及哪三方面?
涉及假設、預期和行為
2、什麼是業務應用資訊系統的核心層?
PKI/CA是業務應用資訊系統的核心層