高级学员：2015年10月24日作业

一、信息安全系统和安全体系

1、信息安全系统三维空间示意图中，X、Y、Z轴的名称，及它们各自包括的内容；

Y轴是OSI网络参考模型，包括：物理层、链路层、网络层、传输层、会话层、表示层、应用层。

X轴是安全机制，包括：基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系。

Z轴是安全服务，包括：对等实体认证服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据提供服务。

2、MIS+S、S-MIS、S2-MIS的特点分别有哪些；

1）MIS+S系统特点：

业务应用系统基本不变、硬件和系统软件通用、硬件和系统软件通用、安全设备基本不带密码。

2）S-MIS系统特点：

硬件和系统软件通用、PKI/CA安全保障系统必须带密码、业务应用系统必须根本改变、主要的通用的硬件、软件也要通过PKI/CA认证。

3）S2-MIS系统特点：

硬件和系统软件都专用、PKI/CA安全基础设施必须带密码、业务应用系统必须根本改变、主要的硬件和系统软件需要PKI/CA认证。

二、信息安全风险评估

1、什么是威胁；什么是脆弱性（弱点）；什么是影响

威胁可看成从系统外部对系统产生的作用，而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的，脆弱性本身没有实际的伤害，但威胁可以利用脆弱性发挥作用。实际上，系统的风险可以看做是威胁利用了脆弱性而引起的。如果系统不存在脆弱性，那么威胁也不存在，风险也就没有了。但实际上没有脆弱性的系统是没有的，因此系统也要受到各种各样的威胁。假设威胁不存在，系统本身的脆弱性仍然带来一定的风险。影响可以看作是威胁与脆弱性的特殊组合。受时间、地域、行业、性质的影响，系统面临的威胁也不一样，风险发生的频率、概率都不尽相同，因此影响程度也很难确定。

风险=威胁×弱点×影响

三、安全策略

1、安全策略的核心内容是哪七定；

定方案、定岗、定位、定员、定目标、定制度、定工作流程。

2、《计算机信息安全保护等级划分准则》将信息系统分为哪5个安全保护等级，以及它们的适用范围；

第1级为用户自主保护级，该级适用于普通内联网用户。

第2级为系统审计保护级，该级适用于通过内联网或国际网进行商务活动，需要保密的非重要单位。

第3级为安全标记保护级，该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。

第4级为结构化保护级，该级适用于中央级国家机关、广播电视部门、重要物质储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。

第5级为访问验证保护级，该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

四、信息安全技术基础

1、常见的对称密钥算法有哪些？它们的优缺点；

常见的对称密钥算法有：SDBI（国家密码办公室批准的国内算法，仅硬件中存在）、IDEA、RC4、DES、3DES等。

优点：加/解密速度快、密钥管理简单、适宜一对一的信息加密传输过程。

缺点：加密算法简单，密钥长度有限（56bit/128bit），加密强度不高、密钥分发困难，不适应一对多的加密信息传输。

2、常见的非对称密钥算法有哪些？它们的优缺点；

常见的非对称密钥算法有：RSA（RivestShamirAdleman，基于大数分解）、ECC（Elliptic Curve Cryptography，椭圆曲线）等。

优点：加密算法复杂，密钥长度任意（1024bit/2048bit）加密强度很高；适宜一对多的信息加密交换。尤其适宜互联网上信息加密交换。

缺点：加/解密速度慢；密钥管理复杂；明文***很脆弱，不适用于数据的加密传输。

3、常见的HASH算法有哪些？

常见的HASH算法有：SDH（国家密码办公室批准的HASH算法）、SHA、MD5等。

4、我国的密码分级管理试制中，请描述等级及适用范围；

1）商用密码——国内企业、事业单位

2）普用密码——政府、党政部门

3）绝密密码——中央和机要部门

4）军用密码——军队

五、PKI公开密钥基础设施

1、x.509规范中认为，如果A认为B严格地执行A的期望，则A信任B。因此信任涉及哪三方面？

信任涉及假设、预期和行为

2、什么是业务应用信息系统的核心层？

PKI/CA