三维空间中,Y轴是OSI网络参考模型,信息安全系统的许多技术、技巧都是在网络的各个层面上实施的。X轴是“安全机制”,Z轴是“安全服务”。
由X、Y、Z三个轴形成的空间就是信息系统的“安全空间”,随着网络逐层扩展,这个空间不仅范围逐步加大,安全的内涵也就更丰富,达到具有认证、权限、完整、加密和不可否认五大要素,也叫做“安全空间”的五大“属性”。
显然,每个轴上的内容越丰富,越深入,越科学,“安全空间”就越大,安全性越好。
真题
14我国强制性国家标准《计算机信息安全保护等级划分准则》将计算机信息系统分为5个安全保护等级,其中适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门的信息系统适用()。
A:安全标记保护级B:结构化保护级C:访问验证保护级D:系统审计保护级正确答案:A
解析:中华人民共和国国家标准-计算机信息系统安全保护等级划分准则中规定了计算机系统安全保护能力的五个等级:
第一级为用户自主保护级,该级适用于普通内联网用户;
第二级为系统审计保护级,该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位;
第三级为安全标记保护级,该级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位;
第四级为结构化保护级,该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门;
第五级为访问验证保护级,该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
20:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,根据《信息系统安全等级保护定级指南GB/T-》,该信息系统的安全保护等级至少应定为()级。
A:一B:二C:三D:四正确答案:C
解析:
根据《信息系统安全等级保护定级指南GB/T-》
五个等级的定义
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
17、信息系统访问控制机制中,()是指对所有主体和客体部分分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法性的技术或方法。
A、自主访问控制B、强制访问控制C、基于角色的访问控制D、基于组的访问控制正确答案:B
解析:强制访问控制(MAC):系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性,通常对数据和用户安全等级划分标签,访问控制机制通过比较安全标签来确定接受还是拒绝用户对资源的访问
1、信息系统安全风险评估是通过数字化的资产评估准则完成的,它通常会覆盖人员安全、人员信息、公共秩序等方面的各个要素,以下不会被覆盖的要素是()。
A:立法及规章未确定的义务B:金融损失或对业务活动的干扰C:信誉的损害D:商业及经济的利益正确答案:A
解析:高级教程p--25.3.2风险评估
评估是通过数字的资产评估准则完成的,它覆盖了以下几点:
①人员安全;
②人员信息;
③立法及规章所确定的义务;
④法律的强制性;
⑤商业及经济的利益;
⑥金融损失或对业务活动的干扰;
⑦公共秩序;
⑧业务政策及操作;
⑨信誉的损害。
1、在信息系统安全建设中,()确立全方位的防御体系,一般会告诉用户应有的责任,组织规定的网络访问、服务访问、本地和远地的用户认证拨入和拨出、磁盘数据加密、病毒防护措施,以及雇员培训等,并保证所有可能受到攻击的地方必须以同样安全级别加以保护
A:安全策略B:防火墙C:安全体系D:系统安全正确答案:A
解析:参考高级教程p-26.1安全策略的概念与内容什么叫“安全策略”?
计算机信息应用系统的“安全策略”就是指:人们为保护因为使用计算机信息应用系统可能招致的对单位资产造成损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
3以下针对信息系统安全的说法中,()是错误的。
A:信息系统安全的侧重点随着信息系统使用者的需求不同而发生变化B:信息系统安全属性包含:保密性、完整性、可用性与不可抵赖性C:应用系统常用的保密技术有:最小授权原则、防暴露、信息加密、数字签名与公证D:完整性是一种面向信息的安全性能,可用性是面向用户的安全性能正确答案:C
解析:中级教程p。
应用系统常用的保密技术如下。
①最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
②防暴露:防止有用信息以各种途径暴露或传播出去。
③信息加密:用加密算法对信息进行加密处理,非法用户无法对信息进行解密从而无法读懂有效信息。
④物理保密:利用各种物理方法,如限制、隔离、掩蔽和控制等措施,保护信息不被泄露。
11、年美国国防部所属的国家计算机安全中心发布的可信计算机安全评估准则将计算机系统的安全可信性分为4个等级。只提供无条件的访问控制,具有识别和授权责任的安全可信性属于()安全等级。
A:C类B:A类C:D类D:B类正确答案:A
解析:高级教程p。
D类:最小的保护。这是最低的一类,不再分级,这类是那些通过评测但达不到较高级别安全要求的系统。
C类:无条件的保护。提供的无条件的保护也就是“需要则知道”(need-to-known)的保护,又分两个子类。
(1)C1:无条件的安全保护。提供的安全策略是无条件的访问控制,具有识别与授权的责任。早期的UNIX系统属于这一类。
(2)C2:有控制的存取保护。除了提供Cl中的策略与责任外,还有访问保护和审计跟踪功能。
B类:属强制保护,要求系统在其生成的数据结构中带有标记,并要求提供对数据流的监视,B类又分三个子类。
(1)B1:标记安全保护,是B类中的最低子类,除满足C类要求外,要求提供数据标记。
(2)B2:结构安全保护,是B类中的中间子类,除满足BI要求外,要实行强制性的控制。
(3)B3:安全域保护,是B类中的最高子类,提供可信设备的管理和恢复,即使计算机崩溃,也不会泄露系统信息。
A类:经过验证的保护,是安全系统等级的最高类,这类系统可建立在具有结构、规范和信息流密闭的形式模型基础之上。
Al:经过验证保护。作为可信任计算机系统,从c2至Al级具有详细记录用户操作行为的审计机构。
8、入侵是指没有经过授权就非法获得系统的访问权限或相关授权的行为,其中攻击者利用默认密码进入系统内部属于()入侵方式。
A:旁路控制B:假冒C:口令破译D:合法用户的非授权访问正确答案:C
解析:默认密码也是密码!使用默认密码也是猜出来的,猜也是密码破译的过程!
参考高级教程p。
冒充:
冒充领导发布命令、调阅密件。
冒充主机欺骗合法主机和合法用户。
冒充网络控制程序套取或修改使用权限、密码和密钥等信息,越权使用网络设备和资源。接管合法用户,欺骗系统,占用合法用户的资源。
5、在安全审计系统中,审计Agent(代理)是直接同被审计网络和系统连接的部件。审计Agent主要可以分为网络监听型Agent、()、主动信息获取型Agent等。
A:流量检测AgentB:文件共享AgentC:入侵检测AgentD:系统嵌入型Agent正确答案:D
解析:审计Agent主要可以分为网络监听型Agent、系统嵌入型Agent、主动信息获取型Agent等。目前实现的网络监听型审计Agent有以下类型:
入侵检测Agent
典型应用Agent
流量检测Agent
文件共享Agent
用户自定义数据审计Agent
主机服务审计Agent
10、关于入侵检测系统(IDS),下面说法不正确的是()。
A:IDS的主要功能是对计算机和网络资源上的恶意使用行为进行识别和响应B:IDS需要配合安全审计系统才能应用,后者为前者提供审计分析资料C:IDS主要用于检测来自外部的入侵行为D:IDS可用于发现合法用户是否滥用特权正确答案:B
解析:入侵检测是从信息安全审计派生出来的,随着网络和信息系统应用的推广普及而逐渐成为一个信息安全的独立分支,但彼此涉及的内容、要达到的目的以及采用的方式、方法都非常接近。如果要说出它们的不同,就在于信息安全审计更偏向业务应用系统的范畴,而入侵检测更偏向“入侵”的、业务应用系统之外的范畴