信息系统安全.docx

信息系统安全
题型:单选,多选,判断,问答,论述
信息系统安全定义:
、在计算机网络化(开放互连)系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态中的机密性、完整性、可用性、可审计性和抗抵赖性,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。
、处理、集散和传输中保持其机密性、完整性、可用性、可审计性和抗抵赖性的系统辨识、控制、策略和过程。
两个定义源于两种研究方法:一是作为状态来研究,一是作为对状态的控制调节来研究。
信息系统安全方法的要点:(问答题)
①信息系统工程=功能性工程+安全性工程。
②功能性工程具备支持功能和履行功能的能力。
③功能性工程在确保安全方面存在脆弱性、缺陷和漏洞,可能遭到来自内外的威胁与攻击。
④安全性工程从多安全方面采用安全技术在功能性工程上构建安全框架,提供安全服务。
影响信息系统安全的因素
信息系统的风险是指对某个脆弱性可能引发某种成功攻击的可能性及其危害性的测度。
信息系统的风险=资源价值×成功攻击概率
风险分析的意义:风险分析→安全需求分析→安全策略制定、实施。
风险分析的层次:运行前;运行中;运行后。
信息系统安全体系研究者和设计者的最高目标
信息系统安全的成功标志:风险的最小化、收敛性和可控性,而非零风险。
网络和通信协议
安全问题最多的网络和通信协议是基于TCP/及其通信协议。
对信息系统安全的威胁
(下面的4点是威胁,括号里的目标是和该威胁相对应的)
信息安全的基本目标是实现信息的机密性、完整性、可用性和资源的合法使用。
(1)信息泄露(机密性)
(2)完整性破坏(完整性)
(3)服务拒绝(可用性)
(4)未授权访问(资源的合法使用)

(1)冒充
(2)旁路控制
(3)破坏信息的完整性
(4)破坏系统的可用性
(5)重放
(6)截收和辐射侦测
(7)陷门
(8)特洛伊木马
(9)抵赖
防御策略的基本原则
(最基本原则)







信息系统安全的构成要素(重点,多选)




可信计算基(TCB)(记住几个等级,应该会在多选出现)
第一级用户自主保护级
第二级系统审计保护级
第三级安全标记保护级
第四级结构化保护级
第五级访问验证保护级
OSI七层协议
安全体系的安全服务:(记住5个小点)
1,鉴别:对等实体鉴别;数据源鉴别。;2. 访问控制(其中这个是重点,下图为访问控制);; ; 。
数据原发证明:提交给接收方,抵抗发送方。
数据交付证明:提交给发送方。抵抗接收方。
安全体系的安全机制



安全服务是由单个或多个安全机制联合提供的。一个安全机制可以用于提供一种或多种安全服务。
(问答)抗抵赖需要的