欢迎来到天天文库
浏览记录
ID:19433802
大小:132.50 KB
页数:6页
时间:2018-10-02
《《信息系统安全导论》课后习题new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、中原工学院信息商务学院实验报告实验项目名称《信息系统安全导论》课后习题所属课程名称信息系统安全导论实验类型上机实验实验日期2012/10/26学历班级信管104学号201004034432姓名张扬程指导老师罗刘敏第一章习题与思考题1.什么是信息系统?说明其发展经历的四个阶段。答:信息系统是与信息加工,信息传递,信息存贮以及信息利用等有关的系统。其发展经历了电子数据处理系统、管理信息系统、决策支持系统、办公自动化系统这四个阶段。2.说明信息安全的内涵。答:信息安全,概括的说,信息安全包括信息系统的安全和信息安全,并以信息安全为最终目标,信息安全又通过保密性、完整性、可用性和可控性的参数
2、加以表征。具体指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。3.分析网络和通信协议的脆弱性和缺陷。答:缺乏对用户身份的鉴定、缺乏对路由协议的鉴别认证、TCP/UDP的缺陷4.威胁信息系统的主要方法有哪些?答:比较常见的方法:冒充、旁路控制、破坏信息的完整性、重放、截收和辐射侦测、陷门、特洛伊木马、抵赖等。5.说明信息系统安全的防御策略。答:信息系统安全的防御策略主要包括以下:①信息系统防御策略
3、的基本原则:最小特权原则、纵深防御、建立控制点、监测和消除薄弱连接、失效保护原则、普遍参与、防御多样化、简单化原则②信息系统安全的工程原则:系统性、相关性、动态性、相关性。③典型信息系统的安全需求分析:景荣信息系统的安全需求、电子商务系统的安全需求、政务信息系统的安全需求、个人上网的安全需求6.说明金融信息系统的安全需求原则。答:授权原则、确认原则、跟踪原则、效能投资相容原则。7.网络设备有哪些不安全因素?答:网络设备容易遭受地震,水灾、火灾、有害气体和其他环境事故的破坏,同时在遭受迫害后资源的恢复过程难以有效保证。8.如何从工作人员和环境条件方面提高信息系统的安全性?答:①工作人员
4、方面:设置信息系统的管理者,主要包括系统安全员、系统管理员、信息安全管理员、网络管理员、存储介质保管员、操作人员、软件维修人员②境条件方面:电力供应、灾难应急、硬件设施、软件设施9.什么是可信计算基(TCB)?答:TCB是一种实现安全策略的机制,包括硬件、固件和软件。它们根据安全策略来处理主题(系统管理员、安全管理员、用户、进程)对客体(进程、文件、纪录、设备等)的访问,TCB还具有抗篡改的性质和易于分析与测试的结构。10.详细说明安全标记保护级的可信计算基的功能。答:⑴本级的计算机来看:可信计算基控制主体和客体,仅当满足一定条件时,主题才能读/写一个客体。另外,可信计算基应维护与每
5、个主体及其控制下的存储对象相关的敏感标记,敏感标记应准确地表示相关主体或客体的安全级别。⑵在用户角度来看:①确定用户的访问权与授权数据。②接受数据的安全级别,维护与每个主体及其控制下的存储对象相关的敏感标记。③维护标记的完整性。④维护审计标记信息的输出,并与相关的信息进行匹配。⑤确保以该用户的名义而创建的那些在可信计算基外部的主体和授权,受其访问权限和授权的控制。11.结构化保护级的主要特征有哪些?答:①可信计算基基于基于一个明确定义的形式安全保护策略。②将第三极实施的(自主和强制)访问控制扩展到所有主体和客体。③针对隐蔽信道,将可信可信计算基构成为关键保护元素和非关键保护元素。④可
6、信计算基具有合理的接口,使其能经受严格测试和复查。⑤通过提供可信路径来增强鉴别机制。⑥支持系统管理员和操作员的可确认性,提供可信实施管理,增强严格的配置管理控制。第二章习题与思考题1.解释国家标准GB/T18794-2003的三维示意图(图2.1)的意义。答:①提供安全体系结构所匹配的安全服务和有关安全机制在体系结构下的一般描述②确保体系结构内部可以提供相关安全服务的位置③保证完整准确地配置安全服务,并且一直维持信息系统安全的生命期中,安全功能必须满足一定的强度的需求④一种安全服务可以通过某种单独的安全机制提供,也可以通过多种安全机制联合提供2.ISO开放系统互连安全体系中设置了哪些
7、服务功能?这些功能在OSI安全体系中处于什么位置?答:⑴鉴别服务:提供对通信中对等实体和数据来源的鉴别,是最基本的安全服务之一。⑵访问控制服务:对资源提供保护,以对抗其非授权使用和操纵,是安全服务的重要组成部分。⑶机密性服务:保护信息不被泄露或暴露给未授权的实体,这种服务对数据提供保护使之不被非法授权泄露⑷完整性服务:对数据提供保护,以对抗未授权的改变、删除或替代⑸抗抵赖性服务:防止参与与某次通信交换的任何一方事后否认本次通信或通信的内容3.说明ISO开放
此文档下载收益归作者所有