网络与信息安全概论作业第一章

合集下载

计算机网络信息安全理论与实践教程 第1章

计算机网络信息安全理论与实践教程 第1章

第1章 网络信息安全概论 1.3.4 网络安全保密 在网络系统中,承载着各种各样的信息,这些信息一旦泄 露,将会造成不同程度的安全影响,特别是网上用户个人信息 和网络管理控制信息。网络安全保密的目的就是防止非授权的 用户访问网上信息或网络设备。为此,重要的网络物理实体能 够采用辐射干扰机技术,防止通过电磁辐射泄露机密信息。
第1章 网络信息安全概论
1.3.5 网络安全监测 网络系统面临着不同级别的威胁,网络安全运行是一件复 杂的工作。网络安全监测的作用在于发现综合网系统入侵活动 和检查安全保护措施的有效性,以便及时报警给网络安全管理 员,对入侵者采取有效措施,阻止危害扩散并调整安全策略。
第1章 网络信息安全概论 1.3.6 网络漏洞评估 网络系统存在安全漏洞和操作系统安全漏洞,是黑客等入 侵者攻击屡屡得手的重要原因。入侵者通常都是通过一些程序 来探测网络系统中存在的一些安全漏洞,然后通过发现的安全 漏洞,采取相应技术进行攻击。因此,网络系统中应需配备弱 点或漏洞扫描系统,用以检测网络中是否存在安全漏洞,以便 网络安全管理员根据漏洞检测报告,制定合适的漏洞管理方法。
第1章 网络信息安全概论
第1章 网络信息安全概论
1.1 网络安全现状与问题 1.2 网络安全目标与功能 1.3 网络安全技术需求 1.4 网络安全管理内涵 1.5 网络安全管理方法与流程 1.6 本章小结 本章思考与练习
第1章 网络信息安全概论
1.1 网络安全现状与问题
1.1.1 网络安全现状
根据美国的CERT安全事件统计数据可得安全事件变化趋 势图,如图1-1所示。
第1章 网络信息安全概论 1.3.2 网络认证 网络认证是实现网络资源访问控制的前提和依据,是有效 保护网络管理对象的重要技术方法。网络认证的作用是标识、 鉴别网络资源访问者身份的真实性,防止用户假冒身份访问网 络资源。

第1章网络安全概论

第1章网络安全概论

第1章网络安全概论项目一网络安全概述☆预备知识1.日常生活中的网络安全知识;2.计算机病毒知识;3.操作系统的安全知识。

☆技能目标1.学习网络安全的概念;2.了解网络安全主要有哪些威胁;3.理解网络安全的体系结构;4.掌握网络安全管理原则。

☆项目案例小孟在某一学院信息中心实习,常常遇到下面几种情况:下载一些有用的东西,常常遭受病毒的困扰;有时重要的文件莫名丢失;网上有些美丽的图片竟然有木马程序;有时候自己没有操作,但桌面的鼠标却在动;有时候明明IP地址正确,却上不了网?小孟想系统学习网络安全的基本知识,他就请教网络中心的张主任。

张主任说,我们的网络并不安全,如何保证上网的安全、如何保证我们的信息安全,如何防范恶意黑客的攻击,得从最基本的网络安全知识讲起,今天我就给你介绍一下网络安全的基本概念和网络安全的体系结构。

1.1网络安全的概念随着Internet的发展,网络安全越来越成为一个敏感的话题。

网络安全有很多基本的概念。

我们先来简单地介绍一下。

1.1.1网络安全威胁目前,计算机互联网络面临的安全性威胁主要有以下几个方面:1.非授权访问和破坏(“黑客”攻击)非授权访问:没有预先经过同意,就使用网络或于计算机资源被看作非授权访问,如有意避开系通房问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。

它主要有以下几种形式:假胃、身份攻击、非法用户进人网络系统进行违法操作、合法用户以未授权方式进行操作等:操作系统总不免存在这样那样的漏洞,一些人就利用系统的漏洞,进行网络攻击,其_L要目标就是对系统数据的非法访问和破坏“黑客”攻击已有十几年的历史,黑客活动几乎覆盖了所有的操作系统,包括UNIX、Windows NT、VM、VMS 以及MVS。

我们后面会对这一节的内容进行详细讨论。

2.拒绝服务攻击(Denial Of Service Attack)一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”,它能使用户在很短的时间内收到人量电子邮件,使用户系统不能处理正常业务,严重时会使系统崩溃、网络瘫痪。

信息安全概论课后答案

信息安全概论课后答案

四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11) 1.信息安全的目标是什么答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Avai lability)。

机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。

抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。

可用性(Availability)是指保障信息资源随时可提供服务的特性。

即授权用户根据需要可以随时访问所需信息。

2.简述信息安全的学科体系。

解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。

除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。

信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。

信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。

3. 信息安全的理论、技术和应用是什么关系如何体现答:信息安全理论为信息安全技术和应用提供理论依据。

信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。

信息安全应用是信息安全理论和技术的具体实践。

它们之间的关系通过安全平台和安全管理来体现。

安全理论的研究成果为建设安全平台提供理论依据。

安全技术的研究成果直接为平台安全防护和检测提供技术依据。

平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。

网络与信息安全概论作业第一章

网络与信息安全概论作业第一章

⽹络与信息安全概论作业第⼀章⽹络与信息安全概论作业1⼀、思考题:1.1 OSI安全框架是什么?答:OSI安全体系结构是⼀个架构,它为规定安全的要求和表征满⾜那些要求的途径提供了系统的⽅式。

该⽂件定义了安全攻击、安全机制和安全服务,以及这些范畴之间的关系。

1.2被动和主动安全威胁的区别是什么?答:被动攻击的特性是对传输进⾏窃听和监测。

攻击者的⽬标是获得传输的信息。

消息内容的泄漏和流量分析就是两种被动攻击。

被动攻击由于不涉及对数据的更改,所以很难觉察。

典型主动攻击包括对数据流进⾏修改或伪造数据流,它可以分为四类:伪装、重放、消息修改和拒绝服务。

主动攻击与被动攻击相反。

被动攻击虽然难以被监测到但可以防⽌,另⼀⽅⾯因为物理通信设施、软件和⽹络本⾝所潜在的弱点具有多样性,主动攻击难以绝对预防,但容易检测。

所以重点在于检测并从破环或造成的延迟中恢复过来。

因为检测主动攻击有⼀种威慑效果,所以可在某种程度上阻⽌主动攻击。

1.3 列出并简短地定义被动和主动安全攻击的种类。

答:被动攻击指消息内容发布与流量分析,对传输中的明⽂进⾏窃听,导致信息泄露。

主动攻击指对信息进⾏伪装、重复和修改,以及拒绝服务。

1.4列出并简短地定义安全服务的种类。

答:①⾝份认证:确定通讯实体⾝份的真实性。

②访问控制:阻⽌越权的资源使⽤⾏为(这项服务是⽤来控制谁可以使⽤资源;在何种条件下可以获得使⽤权以及可以使⽤哪些资源。

)③数据保密性:保护数据以免受到未授权披露。

④数据完整性:确保收到授权实体所发送的正确数据(指未经修改、潜⼊、删除或重复的数据)。

⑤不可否认性:提供保护以防⽌某⼀实体抵赖⾃⼰发送或接收的信息。

⑥可⽤性服务:根据系统的性能规格,通过被授权的系统实体获得系统或系统资源的进⼊权和使⽤权(当⽤户发出请求时,系统将根据其设定,为使⽤者提供服务)。

1.5列出并简短地定义安全机制的种类。

答:特定安全机制(可以并⼊适当的协议层以提供⼀些OSI安全服务不具有普适性):加密、数字签名;访问控制;数据完整性;认证交换、流量填充;路由控制、公证。

1第一章网络安全概论

1第一章网络安全概论
❖ 利用型攻击
包括口令猜测、特洛伊木马、缓冲区 溢出。
攻击方式的种类
❖ 信息收集型攻击 包括地址扫描、端口扫描、反向映射、慢速 扫描、体系结构探测、DNS域转换、Finger 服务、LDAP服务等。
❖ 假消息攻击 主要包括:DNS高速缓存污染、伪造电子邮 件。
常见的网络攻击方式
(1)拒绝服务攻击(Denial of Service) (2)缓冲区溢出攻击 (3)网络监听攻击 (4)IP欺骗攻击 (5)端口扫描 (6)口令攻击 (7)计算机病毒类攻击 (8)特洛伊木马攻击 (9)电子邮件攻击 (10)网页攻击
❖ 网络安全是指网络系统的硬件、软件及其系统 中的数据受到保护,不受偶然的或者恶意的原 因而遭到破坏、更改、泄露,系统连续可靠正 常地运行,网络能够提供不中断服务。
❖ 网络安全从其本质上来讲就是网络上的信息安 全。从广义来说,凡是涉及到网络上信息的保 密性、完整性、可用性、真实性和可控性的相 关技术和理论都是网络安全的研究领域。
网络系统的防御技术
(3)加密技术 最常用的安全保密手段,利用技术手段加 密算法)把重要的数据变为乱码(加密) 传送,到达目的地后再用相同或不同的手 段还原(解密)为原文。
(4)OS安全配置技术 通过采用安全的操作系统,并对操作系统 进行各种安全配置,以保证合法访问者能 够进行操作和访问,隔离和阻断非法访问 者的请求
❖ 网络安全的具体含义会随着“角度”的变化而 变化。
1.1.2 网络安全的攻防体系
网络安全从大的方面可以分为攻击技术和防御技 术两大类。这两个技术是相辅相成互相促进而发 展的。一方面,黑客进行攻击的时候,需要了解 各种防御技术和方法,以便能绕过防御而对目标 进行攻击;另一方面,在进行防御的时候则必须 了解黑客攻击的方式方法,这样才能有效地应对 各种攻击。攻击和防御永远是一对矛盾。

网络信息安全教程作业及答案

网络信息安全教程作业及答案

网络信息安全教程作业及答案网络信息安全教程作业及答案第一章:基础概念1.1 网络信息安全的定义网络信息安全是指保护网络中的信息资源不被非法篡改、破坏和泄露的技术、措施和方法。

1.2 网络信息安全的重要性网络信息安全的重要性在于保护用户的个人隐私、企业的商业机密以及国家的重要信息,防止网络犯罪活动的发生。

1.3 网络攻击与防御基本概念网络攻击是指利用计算机和网络技术对网络系统进行非法入侵、破坏和盗取信息的行为;网络防御是指采取技术和措施保护网络系统免受攻击。

第二章:网络安全威胁与风险评估2.1 常见的网络安全威胁类型(1)电子邮件钓鱼(2)恶意软件(3)网络钓鱼(4)拒绝服务攻击(5)社会工程学攻击2.2 风险评估的步骤(1)确定资产(2)识别威胁(3)评估漏洞(4)评估风险(5)制定防御措施第三章:网络安全防护技术3.1 密码学与加密技术(1)对称加密(2)非对称加密(3)哈希函数(4)数字签名3.2 访问控制技术(1)身份认证(2)授权管理(3)访问控制列表3.3 网络防火墙技术(1)包过滤防火墙(2)应用层防火墙(3)状态检测防火墙3.4 网络入侵检测与防御(1)主机入侵检测系统(2)网络入侵检测系统(3)网络入侵防御系统3.5 数据备份与恢复(1)数据备份策略(2)数据恢复方法第四章:网络安全管理4.1 安全策略与规范制定(1)制定安全策略(2)制定安全规范4.2 安全事件响应与处理(1)安全事件的分类(2)安全事件响应与处理流程4.3 安全漏洞管理(1)漏洞扫描与评估(2)漏洞修复与升级4.4 安全培训与意识教育(1)员工安全培训(2)网络安全意识教育附件内容:附件一:网络安全相关法律法规附件二:网络安全事件案例研究法律名词及注释:1. 《计算机信息网络国际联网安全保护管理办法》:是我国针对计算机信息网络国际联网安全保护制定的管理办法,用于规范网络安全行为和保护网络安全。

2. 《网络安全法》:是我国第一部全面规范网络安全行为的法律,为保护网络安全和个人信息安全提供了法律依据。

计算机网络与信息安全1.1网络的概述作业题(含答案)

计算机网络与信息安全1.1网络的概述作业题(含答案)

1.1网络的概述1、计算机网络的主要功能有()、数据传输和进行分布处理A.资源共享 B.提高计算机的可靠性C.共享数据库 D.使用服务器的硬盘2、计算机网络中可以共享的资源包括()A.硬件、软件、数据、通信信道B.主机、外设、软件、通信信道C.硬件、程序、数据、通信信道D.主机、程序、数据、通信信道3、计算机网络最基本的功能是()A.数据通信 B.资源共享 C.分布处理 D.集中管理4、计算机网络最突出的特点是()A、资源共享B、运算精度高 C、运算速度快 D、内存容量大5、(判断)21世纪是一个以网络为核心的信息时代。

这里所说的网络是计算机网络()6、计算机网络是分布在不同地理位置的多个独立的()的集合。

A.局域网系统 B.多协议路由器 C.操作系统 D.自治计算机7、计算机网络是计算机技术和通信技术相结合的产物,这种结合开始于()A.20世纪50年代 B.20世纪60年代初期 C.20世纪60年代中期 D.20世纪70年代8、(判断)计算机网络拥有可靠性、高效性、独立性、扩充性、廉价性、分布性、易操作性的特点()9、计算机网络系统由()和()组成。

10、计算机网络系统发展的第一阶段是()系统,实质上是()系统。

11、面向终端的联机多用户系统是第()代计算机网络。

A、一B、二C、三D、四12、国际标准化组织iso和国际电报电话咨询文员会CCITT共同制定的OSI/RM 模型出现在第()代计算机网络中。

A、一B、二C、三D、四13、(判断)建立计算机网络的主要目的是实现计算机资源的共享,这里的资源指的是硬件资源。

()14、(判断)在计算机局域网中,只能共享软件资源,不能共享硬件资源。

()15、计算机网络发展过程中,()对计算机网络的形成与发展影响最大A.ARPANETB.OCYOPUSC.DATAPACD.Newhall16、最早的计算机网络是()17、第二代计算机网络的主要特点是()。

A计算机-计算机网络B.以单机为中心的联机系统C国际网络体系结构标准化D各计算机制造厂商网络结构标准化18、计算机网络是( )。

作业《网络与信息安全》

作业《网络与信息安全》

作业《网络与信息安全》【网络与信息安全课程作业】【第一章:网络安全介绍】1.1 网络安全的概述1.2 网络安全的重要性1.3 网络威胁和攻击类型1.4 网络安全的基本原则【第二章:网络威胁和攻击类型】2.1 传统威胁和攻击类型2.1.1 病毒和蠕虫攻击2.1.2 非授权访问2.1.3 拒绝服务攻击2.1.4 木马和后门2.2 新兴威胁和攻击类型2.2.1 钓鱼攻击2.2.2 社交工程攻击2.2.3 勒索软件【第三章:网络信息安全技术】3.1 防火墙技术3.2 入侵检测和防御系统3.3 虚拟私人网络3.4 数据加密技术3.5 身份认证和访问控制3.6 安全漏洞扫描及修复3.7 安全性测试和评估【第四章:网络安全管理】4.1 安全策略和规范4.2 安全培训和意识教育4.3 安全事件响应和处置4.4 安全监测和审计4.5 数据备份和恢复4.6 安全风险评估【第五章:信息安全法律法规】5.1 信息安全相关法律法规概述5.2 公民个人信息保护法5.3 电信法5.4 电子商务法5.5 网络安全法5.6 数据保护法【第六章:附件】6.1 网络安全软件推荐6.2 安全事件响应指南6.3 网络安全检测工具【法律名词及注释】1. 公民个人信息保护法:是指保护公民个人信息安全,维护公民个人信息合法权益的法律法规。

2. 电信法:是指规定电信业务的管理、监督和服务的法律法规。

3. 电子商务法:是指规范电子商务行为,保护电子商务参与者合法权益的法律法规。

4. 网络安全法:是指保护网络安全,维护网络空间主权和国家安全的法律法规。

5. 数据保护法:是指保护个人和组织的数据,防止其被非法获取、使用和泄露的法律法规。

【附件】附件一:网络安全软件推荐附件二:安全事件响应指南附件三:网络安全检测工具。

网络安全概论(每章重点)

网络安全概论(每章重点)

第1章 网络安全问题(没有写上题型的一般为选择题)安全漏洞是网络攻击的客观原因。

使用漏洞的一个典型例子是缺省口令。

简答:主要的网络攻击方式:1、 拒绝服务攻击,攻击者通过向目标系统建立大量的连接请求,阻塞通信息道、延缓网络传输,挤占目标机器的服务缓冲区,一直目标计算机疲于应付,直至瘫痪。

2、 入侵攻击,攻击者利用操作系统内在的缺陷或者对方使用的程序语言本身所具有的安全隐患等,非法进入本地或远程主机系统,获得一定的操作权限进而窃取信息、删除文件、埋设后门、甚至瘫痪目标系统等行为。

3、 病毒攻击,随着计算机网络技术的发展,计算机病毒的范畴有了狂战,除了一般以意义的病毒外,广义上的病毒还包括木马、后门、逻辑炸弹、蠕虫等有害代码会恶意逻辑。

4、 邮件攻击,邮件攻击的方式有对邮件服务器攻击、修改或丢失邮件、否认邮件来源。

此外邮件攻击如果跟其他攻击方式,则其威力机会大大增加了。

5、 幼儿攻击,通过建立幼儿网站,当用户浏览网页时,便会遭到不同形式的攻击。

名解:特洛伊木马(程序)是隐藏着恶意代码的程序,这些程序表面是合法的,能为用户提供所期望的功能,当其中的恶意代码会执行不为用户所指的破坏功能,他与病毒的区别是,特洛伊木马不感染其他文件,而且破坏行为隐蔽,一般用户很难觉察,因而也很难发现它的存在。

在网络安全领域中,网络信息的基本安全特性有了新的含义和名称:保密性、完整性、可用性PPDR是policy(策略)、protection(保护)、detection(监察)和response(反应)的缩写。

网络安全分为3层次:感知曾、技术层和物理层第二章密码学方法根据密钥的特点,密码提示可分为私钥(又称单钥、对称)密码体制和公钥(又称双钥、非对称)密码体制私钥体制的热点:机密密钥和解密密钥相同(二者值相等)公钥体制的特点:机密密钥和解密密钥不相同(二者值不相等,属性也不相同),一个是可以公开的公钥,一个是需要保密的私钥。

信息安全概论第一章作业

信息安全概论第一章作业

第1章概论作业一、单选题1、计算机信息系统的使用单位()安全管理制度A 不一定都要建立B 可以建立C 应当建立D 自愿建立2、违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,构成()A 非法入侵计算机信息系统罪B 破坏计算机信息系统罪C 扰乱无线电通信管理秩序罪D 删除、修改、增加计算机信息系统数据和应用程序罪3、故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,()的,应依照法律处五年以下有期徒刑或者拘役A 后果严重B 产生危害C 造成系统失常D 信息丢失4、中华人民共和国境内的计算机信息网络进行国际联网,应当依照()办理A 计算机信息系统安全保护条例B 计算机信息网络国际联网管理暂行规定实施办法C 中国公用计算机互联网国际联网管理办法D 中国互联网络域名注册暂行管理办法5、计算机信息系统,是指由()及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统A 计算机硬件B 计算机C 计算机软件D 计算机网络6、计算机信息系统的安全保护,应当保障(),运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行A 计算机及其相关的和配套的设备、设施(含网络)的安全B 计算机的安全C 计算机硬件的系统安全D 计算机操作人员的安全7、()是全国计算机信息系统安全保护工作的主管部门A 国家安全部B 国家保密局C 公安部D 教育部8、(),不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全A 除计算机专业技术人员外的任何人B 除从事国家安全工作人员外的任何人C 除未满18周岁未成年人外的人会儿D 任何组织或者个人9、计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由()会同有关部门制订A 司法部B 公安部C 国家安全部D 中国科学院10、我国计算机信息系统实行()保护A 责任制B 主任值班制C 安全等级D 专职人员资格11、对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由()归口管理A 公安部B 司法部C 国务院D 国家保密局12、《中华人民共和国计算机信息系统安全保护条例》中规定,对计算机病毒和()的其他有害数据的防治研究工作,由公安部归口管理A 盗版软件B 刑事犯罪C 危害社会公共安全D 危害计算机系统13、国家对计算机信息系统安全专用产品的销售()A 由行业主管部门负责B 实行许可证制度C 与其他产品一样,可以任意进行D 国家不作规定14、()违反《中华人民共和国计算机信息系统安全保护条例》的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任A 计算机操作人员B 计算机管理人员C 任何组织或者个人D 除从事国家安全的专业人员外任何人15、计算机病毒是指编制或者在()中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码A 计算机程序B 计算机C 计算机软盘D 计算机硬盘16、公安机关计算机管理监察机构应当保护计算机信息网络国际联网的(),维护从事国际联网业务的单位和个人的合法权益和公众利益A 技术规范B 公共安全C 网络秘密D 管理条例17、涉及国家秘密的计算机信息系统,()地与国际互联网或其他公共信息网络相连接,必须实行物理隔离A 不得直接或间接B 不得直接C 不得间接D 直接和间接18、从事计算机病毒防治产品生产的单位,应当及时向公安部公共信息网络安全监察部门批准的计算机病毒防治产品检测机构提交()A 产品样本B 病毒样本C 产品说明D 经营许可证19、()的生产者在其产品进入市场销售之前,必须申领《计算机信息系统安全专用产品销售许可证》A 计算机信息系统安全专用产品B 计算机产品C 计算机信息产品D 计算机应用领域20、在计算机信息系统中,含有危害国家安全内容的信息,是属于()A 计算机破坏性信息B 计算机有害数据C 计算机病毒D 计算机污染二、多选题1、我国计算机信息系统安全保护的重点是维护()等重要领域的计算机信息系统的安全A 国家事务B 经济建设、国防建设C 尖端科学技术D 教育文化2、为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:()A 利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家,破坏国家统一B 通过互联网窃取、泄露国家秘密、情报或者军事秘密C 利用互联网煽动民族仇恨、民族歧视,破坏民族团结D 利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施3、为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:()A 利用互联网销售伪劣产品或者对商品、服务作虚假宣传B 利用互联网损害他人商业信誉和商品声誉、利用互联网侵犯他人知识产权C 在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片D 利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息4、有下列哪些行为,将由公安机关处以警告或停机整顿:()A 违反计算机信息系统安全等级保护制度,危害计算机信息系统安全B 违反计算机信息系统国际联网备案制度C 不按规定时间报告计算机信息系统中发生的案件D 有危害计算机信息系统安全的其他行为5、下列行为中,()是《计算机信息网络国际联网安全保护管理办法》所不允许利用国际联网进行的活动A 危害国家安全的行为B 泄露国家秘密的行为C 侵犯国家的、社会的、集体的利益的行为D 侵犯公民的合法权益的行为6、下列属于危害计算机信息网络安全的有()A 未经允许,进入计算机信息网络或者使用计算机信息网络资源的B 未经允许,对计算机信息网络功能进行删除、修改或者增加的C 故意制作、传播计算机病毒等破坏性程序的;其他危害计算机信息网络安全的D 未经允许,对计算机信息网络中存储、处理或者传播的数据和应用程序进行删除、修改或者增加的7、互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:()A 反对宪法所确定的基本原则的;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的B 煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的C 散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的D 侮辱或者诽谤他人,侵害他人合法权益的;含有法律、行政法规禁止的其他内容的8、任何单位和个人不得有下列传播计算机病毒的行为:()A 故意输入计算机病毒,危害计算机信息系统安全B 向他人提供含有计算机病毒的文件、软件、媒体C 销售、出租、附赠含有计算机病毒的媒体D 其他传播计算机病毒的行为9、计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责:()A 建立本单位的计算机病毒防治管理制度;采取计算机病毒安全技术防治措施B 对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训;及时检测、清除计算机信息系统中的计算机病毒,并备有检测、清除的记录C 提供含有计算机病毒的文件进行研究D 使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场10、生产企业有()行为,视为未经许可出售安全专用产品,由公安机关根据《中华人民共和国计算机信息系统安全保护条例》的规定予以处罚A 没有申领销售许可证而将生产的安全专用产品进入市场销售的B 安全专用产品功能发生改变,而没有重新申领销售许可证进行销售的;销售许可证有效期满,未办理延期申领手续而继续销售的C 提供虚假的安全专用产品检测报告或者虚假的计算机病毒防治研究的备案证明,骗取销售许可证的;销售的安全专用产品与送检样品安全功能不一致的D 未在安全专用产品上标明“销售许可”标记而销售的;伪造、变造销售许可证和“销售许可”标记的11、计算机有害数据是指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图像、文字、声音等多种形式表示的,含有()等信息A 攻击人民民主专政、社会主义制度B 攻击党和国家领导人,破坏民族团结等危害国家安全内容的信息C 宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息D 危害计算机信息系统运行和功能发挥、应用软件、数据可靠性、完整性和保密性,用于违法活动的计算机程序(含计算机病毒)1.Confidentiality:The information is encrypted that only the person who encrypted the information know how restore information.Integrity : Nobody can destroy your information ,Guarantee you can get the complete information.So nobody except himself could change the information.2.I think about The bank card password the confidentiality is more important than the integrity.Because you reveal the password means your card can be used illegally.第3章信息保密技术基础实验1-1 古典密码算法一.实验原理古典密码算法历史上曾被广泛应用,大都比较简单,使用手工和机械操作来实现加密和解密。

《信息安全概论》课后习题及答案

《信息安全概论》课后习题及答案

信息安全概论课后习题及答案第一章:1、请说出平时在使用计算机的时候遇到的各种安全问题,以及当时的解决方案。

答:略。

2、什么是信息安全?答:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多门学科的综合性学科。

3、什么是P2DR2动态安全模型?答:P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy,Protection,Detection,Response,Restore) 动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。

4、信息系统的安全威胁有哪些?答:信息系统的安全威胁有物理层安全威胁,网络层安全威胁,操作系统层安全威胁,应用层安全威胁,管理层安全威胁等。

5、信息安全实现需要什么样的策略?答:信息安全的实现需要有一定的信息安全策略,它是指为保证提供一定级别的安全保护所必须遵守的规则。

实现信息安全,不但靠先进的技术,也得靠严格的安全管理、法律约束和安全教育。

6、信息安全的发展可以分为哪几个阶段?答:信息安全在其发展过程中经历了三个阶段:第一阶段: 早在20 世纪初期,通信技术还不发达,面对电话、电报、传真等信息交换过程中存在的安全问题;第二阶段: 20 世纪60 年代后,半导体和集成电路技术的飞速发展推动了计算机软硬件的发展,计算机和网络技术的应用进入了实用化和规模化阶段;第三阶段: 20 世纪80 年代开始,由于互联网技术的飞速发展,信息无论是对内还是对外都得到极大开放,由此产生的信息安全问题跨越了时间和空间。

《信息安全概论》课后习题及答案

《信息安全概论》课后习题及答案

信息安全概论课后习题及答案第一章:1、请说出平时在使用计算机的时候遇到的各种安全问题,以及当时的解决方案。

答:略。

2、什么是信息安全?答:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多门学科的综合性学科。

3、什么是P2DR2动态安全模型?答:P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy,Protection,Detection,Response,Restore) 动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。

4、信息系统的安全威胁有哪些?答:信息系统的安全威胁有物理层安全威胁,网络层安全威胁,操作系统层安全威胁,应用层安全威胁,管理层安全威胁等。

5、信息安全实现需要什么样的策略?答:信息安全的实现需要有一定的信息安全策略,它是指为保证提供一定级别的安全保护所必须遵守的规则。

实现信息安全,不但靠先进的技术,也得靠严格的安全管理、法律约束和安全教育。

6、信息安全的发展可以分为哪几个阶段?答:信息安全在其发展过程中经历了三个阶段:第一阶段: 早在20 世纪初期,通信技术还不发达,面对电话、电报、传真等信息交换过程中存在的安全问题;第二阶段: 20 世纪60 年代后,半导体和集成电路技术的飞速发展推动了计算机软硬件的发展,计算机和网络技术的应用进入了实用化和规模化阶段;第三阶段: 20 世纪80 年代开始,由于互联网技术的飞速发展,信息无论是对内还是对外都得到极大开放,由此产生的信息安全问题跨越了时间和空间。

作业《网络与信息安全》

作业《网络与信息安全》

作业《网络与信息安全》一、引言二、目录⒈系统安全⑴网络安全⑵数据安全⑶身份验证与访问控制⒉网络攻击与防范⑴黑客攻击⑵拒绝服务攻击⑶与蠕虫攻击⑷网络钓鱼攻击⒊密码学与数据加密⑴对称加密算法⑵非对称加密算法⑶数字签名与认证⑷密码与强度评估⒋安全管理与策略⑴安全威胁评估⑵安全政策与规范⑶安全培训与意识教育⒌法律与规范⑴信息安全相关法律法规⑵个人隐私保护法律⑶电子商务法律⑷数据保护法律⒍安全技术及工具⑴防火墙与入侵检测系统⑵安全审计与日志管理⑶网络流量分析与监控⑷网络安全扫描与漏洞评估三、系统安全⒈网络安全网络安全是指保护网络免受未经授权的访问、破坏和入侵的能力。

关键任务包括网络拓扑设计、防火墙配置、网络隔离与分割等。

⒉数据安全数据安全是确保数据在存储、传输和处理过程中保持机密性、完整性和可用性的措施。

技术手段包括加密、备份、存储与访问权限控制等。

⒊身份验证与访问控制身份验证与访问控制是指确认用户身份并授予合适的访问权限。

技术手段包括密码、智能卡、生物识别等。

四、网络攻击与防范⒈黑客攻击黑客攻击是指未经授权的攻击者通过网络入侵他人计算机系统、网络或服务器,以获取敏感信息或进行破坏行为。

⒉拒绝服务攻击拒绝服务攻击是指攻击者通过发送大量请求或其他方式,制造系统资源耗尽,导致正常用户无法正常访问服务。

⒊与蠕虫攻击与蠕虫攻击是通过在系统中引入恶意软件,破坏系统功能、窃取数据或传播恶意代码等方式来攻击。

⒋网络钓鱼攻击网络钓鱼攻击是指通过冒充合法机构或个人,以获取用户敏感信息如密码、银行账户等。

五、密码学与数据加密⒈对称加密算法对称加密算法是指使用同一个密钥进行加密和解密的算法,如DES、AES等。

关键问题包括密钥管理、算法选择和性能优化等。

⒉非对称加密算法非对称加密算法是指使用公钥和私钥进行加密和解密的算法,如RSA、椭圆曲线加密等。

关键问题包括密钥、证书管理和性能优化等。

⒊数字签名与认证数字签名与认证是确保信息的完整性和真实性的技术手段,常用的算法包括RSA、DSA等。

信息安全概论课后答案解析

信息安全概论课后答案解析

_四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11)1.信息安全的目标是什么?答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。

机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。

抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。

可用性(Availability)是指保障信息资源随时可提供服务的特性。

即授权用户根据需要可以随时访问所需信息。

2.简述信息安全的学科体系。

解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。

除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。

信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。

信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。

3. 信息安全的理论、技术和应用是什么关系?如何体现?答:信息安全理论为信息安全技术和应用提供理论依据。

信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。

信息安全应用是信息安全理论和技术的具体实践。

它们之间的关系通过安全平台和安全管理来体现。

安全理论的研究成果为建设安全平台提供理论依据。

安全技术的研究成果直接为平台安全防护和检测提供技术依据。

平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。

“信息安全技术”第一章 概述 的课后作业及答案

“信息安全技术”第一章 概述 的课后作业及答案

“信息安全技术”第一章概述的课后作业1、现代信息安全的内涵包括哪两个方面的内容?答:现代信息安全的内涵包括面向数据的安全和面向用户的安全。

面向数据的安全,即对信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保护(即通常所说的CIA 三元组)。

面向用户的安全,即鉴别、授权、访问控制、抗否认性和可服务性,以及对于内容的个人隐私、知识产权等的保护。

2、ISO 所定义的5 种安全服务和8 种安全机制各是哪些?答:ISO所定义的5种安全服务:认证,访问控制,数据保密性,数据完整性和不可否认。

ISO所定义的8种安全机制:加密机制,数字签名机制,访问控制机制,数据完整性机制,鉴别交换机制,业务填充机制,路由控制机制和公正机制。

3、计算机病毒的定义是什么?其触发条件主要有哪些?答:计算机病毒的广义上的定义:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。

《中华人民共和国计算机信息系统安全保护条例》对计算机病毒的定义为:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据影响计算机使用并能自我复制的一组计算机指令或者程序代码。

计算机病毒的触发条件有:时间(特定日期或累计时间),击键次数或特定组合键,运行文件个数或感染文件的个数,启动次数,感染失败和CPU型号/主板型号等。

4、请列举计算机病毒的传播途径?答:第一种,通过不可移动的计算机硬件设备进行传播;第二种,通过移动存储设备来传播;第三种,通过计算机网络进行传播;第四种,通过点对点通信系统和无线通道(如手机)来传播。

5、黑客的主要攻击方法有哪些?答:主要有:①信息采集:主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。

②漏洞利用:利用系统、协议或应用软件本身存在的安全缺陷进行的攻击。

③资源控制:以获得目标系统控制权为目的的攻击。

④信息欺骗:通过冒充合法网络主机(或用户)骗取信任或获取敏感信息,或者通过配置、设置一些假信息来实施欺骗攻击。

网络信息安全 第1章 概论和基础文档信息

网络信息安全 第1章 概论和基础文档信息

目的端口 窗口大小
检查和
紧急指针
选项和填充
数据(可选)
25
2019/11/1
1.3 TCP/IP和主流操作系统
1.3.1 TCP/IP简单回顾
UDP报头格式
源端口 UDP报文长度
目的端口 检查和
26
2019/11/1
1.3 TCP/IP和主流操作系统
1.3.1 TCP/IP简单回顾
建立TCP连接:三次握手的简化流程
•处理不同机器的IP层之间的通信,任何一个IP层向 另一个IP层发送信息都必然会使用此协议.
•可以发送一些状态报文比如出错信息,因此IP层 的软件都是通过它来向机器发送状态报告,ICMP也 由此成为了实际上IP层的通信系统
•比如ping就是一个应用ICMP的非常的著名命令, 它的作用就是向一台机器发送一个小ICMP报文来检 查这台机器是否应答
•第9章 Internet的基础设施安全 •第10章 Windows 2000 下的安全应用实验
•第四部分 内容安全(第11章) [4学时]
•第五部分(第12章) 安全管理[2学时]
1
2019/11/1
本课主要实验(课外)
•实验一:加密与HASH算法的实现 •实验二:安装配置证书服务器 •实验三:简易防火墙配置 •实验四:创建Kerberos服务 •实验五:利用SSL加密HTTP通道
可用性(availability)是指保证信息确实能为授权使用者所用,即保证 合法用户在需要时可以使用所需信息,防止由于主客观因素造成系 统拒绝服务。
可控性(controllability)指信息和信息系统时刻处于合法所有者或 使用者的有效掌握与控制之下 。
不可否认性(incontestable)。是指保证信息行为人不能否认自己的 行为 。

网络信息安全技术概论第三版答案

网络信息安全技术概论第三版答案

网络信息安全技术概论第三版答案第一章概论1、谈谈你对信息的理解.答:信息是事物运动的状态和状态变化的方式。

2、什么是信息技术?答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。

本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。

也有人认为信息技术简单地说就是3C:Computer+Communication+Control。

3、信息安全的基本属性主要表现在哪几个方面?答:(1)完整性(Integrity)(2)保密性(Confidentiality)(3)可用性(Availability)(4)不可否认性(Non-repudiation)(5)可控性(Controllability)4、信息安全的威胁主要有哪些?答:(1)信息泄露(2)破坏信息的完整性(3)拒绝服务(4)非法使用(非授权访问)(5)窃听(6)业务流分析(7)假冒(8)旁路控制(9)授权侵犯(10)特洛伊木马(11)陷阱门(12)抵赖(13)重放(14)计算机病毒(15)人员不慎(16)媒体废弃(17)物理侵入(18)窃取(19)业务欺骗等5、怎样实现信息安全?答:信息安全主要通过以下三个方面:A 信息安全技术:信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等;B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。

大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的。

安全管理包括:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。

C 信息安全相关的法律。

法律可以使人们了解在信息安全的管理和应用中什么是违法行为,自觉遵守法律而不进行违法活动。

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络与信息安全概论 作业 1
思考题:
OSI 安全框架是什么
答:OSI 安全体系结构是一个架构,它为规定安全的要求和表征满足那些要求的途径提供了 系统的方式。

该文件定义了安全攻击、安全机制和安全服务,以及这些范畴之间的关系。

被动和主动安全威胁的区别是什么 答:被动攻击的特性是对传输进行窃听和监测。

攻击者的目标是获
得传输的信息。

消息内容 的泄漏和流量分析就是两种被动攻击。

被动攻击由于不涉及对数据的更改,所以很难觉察。

典型主动攻击包括对数据流进行修改或伪造数据流,它可以分为四类:
伪装、 重放、 消息修
改和拒绝服务。

主动攻击与被动攻击相反。

被动攻击虽然难以被监测到但可以防止, 面因为物理通信设施、软件和网络本身所潜在的弱点具有多样性,主动攻击难以绝对预防, 但容易检测。

所以重点在于检测并从破环或造成的延迟中恢复过来。

种威慑效果,所以可在某种程度上阻止主动攻击。

列出并简短地定义被动和主动安全攻击的种类。

答: 被动攻击指消息内容发布与流量分析,对传输中的明文进行窃听 攻击指对信息进行伪装、重复和修改,以及拒绝服务。

这项服务是用来控制谁可以使用资源; 在何种条件 ) 保护数据以免受到未授权披露。

确保收到授权实体所发送的正确数据(指未经修改、潜入、删除或重复的数 提供保护以防止某一实体抵赖自己发送或接收的信息。

根据系统的性能规格, 通过被授权的系统实体获得系统或系统资源的进入权 和使用权(当用户发出请求时,系统将根据其设定,为使用者提供服务)
列出并简短地定义安全机制的种类。

答:特定安全机制 (可以并入适当的协议层以提供一些 OSI 安全服务不具有普适性) :加密、 数字签名;访问控制;数据完整性;认证交换、流量填充;路由控制、公证。

普遍的安全机制(不局限于任何OSI 安全服务或协议层次的机制,具有普适性):可信功能、 安全标签;事件检测、安全审计;安全恢复。

另一方 因为检测主动攻击有一
, 导致信息泄露。

主动
列出并简短地定义安全服务的种类。

答:①身份认证:确定通讯实体身份的真实性。

② 访问控制: 阻止越权的资源使用行为 下可以获得使用权以及可以使用哪些资源。

③ 数据保密性: ④ 数据完整性: 据)。

⑤ 不可否认性: ⑥ 可用性服务:
习题:
考虑一个自动柜员机(ATM ,用户为其提供个人身份码(PIN )和账户访问的卡。

给出有关这个系统的保密性、 完整性和可用性要求的例子, 就每一个例子说明要 求的重要性程度。

答:①ATM 保密性要求:由于 ATM 使用具有私密性,使用时都是用户独自一人,且系统需要 根据账户访问卡和
个人身份码进行系统授权和操作,因此
ATM 保密性的重要性程度低。

由于ATM 根据用户请求完成操作,且操作涉及经济利益,因此对数据的正确 若用户通过手段修改、伪装或删除数据, 将造成较大损失, 所以完整性的重
ATM 的系统使用授权环节非常重要,是否对正确的实体进行授权直接关系到 因此在授权时需要用户的账户访问卡和个人身份码进行认证, 双重认
ATM 可用性的重要程度为中。

以电话交换系统为例重做习题。

电话交换系统根据呼叫用户呼叫的电话号码通 过交换网
络路由呼叫。

答:①电话交换系统保密性要求:对于一般用户来说,通话内容的保密性并不是最重要的, 但出于对用户的隐私保护,又有一定要求。

因此该系统保密性的重要程度为中。

② 完整性要求: 拨打电话时, 能否接通正确的通话人, 以及通话内容能否完整清晰地从呼叫 方传送到被叫方,是最重要的。

因此系统完整性的重要程度为高。

③ 可用性要求: 由于电话交换系统是面向公众, 且无特定授权要求, 故该系统可用性的重要 程度为低。

考虑为各种组织产生文档的桌面发布系统。

(a) 给出一种发布类型的例子,此时对存储数据的保密性是最重要的。

(b) 给出一种发布类型的例子,此时对存储数据的完整性是最重要的。

(C )给一个例子,其对系统可用性的要求是最重要的。

答:(a )招投标文档发布过程中, 由于竞标企业存在竞争关系, 各企业标书内容为商业机密, 因此此时对数据的保密性是最重要的。

(b ,金融系统发布股票交易行情时,其所发布的信息内容不能有任何差错,因此对存储数 据的完整性是最重要的。

(C )政府机关向公众发布重要信息时, 信息发布的授权主体是最重要的,
因此这种情况下,
对系统的可用性要求最高。

对于下面的资产,当发生保密性、可用性和完整性损失时,分别为其产生的影 响划分低、中和高等级,并陈述理由。

( a , ( b , ( c ,
( d , 例行的行政信息。

请分别评价这两份信息资产的影响情况以及整个信息系统的影 响情况。

② 完整性要求: 性有较高要求, 要程度为高。

③ 可用性要求: 用户的个人财产安全, 证方式可以在一定程度上保障系统安全,故
在自己的网络服务器上管理公开信息的组织。

法律执行组织管理极端敏感的调查信息。

金融机构管理例行的行政信息(非隐私信息) 。

合同签订机构的大单收购信息系统,包含敏感、预投标阶段的合同信息和
(e)电厂包含有SCAD/A监管控制和数据获取)系统,该系统负责为军事设施
提供电能分发。

SCADA系统包含有实时传感器数据和例行的行政信息。

请分别评价这两份信息资产的影响情况以及整个信息系统的影响情况。

答:(a)在自己的网络服务器上管理公开信息,不涉及保密内容,因此保密性损失的影响为
低;由于是公开信息,对其正确性要求较高,因此完整性损失的影响为高;由于组织在自己
的网络服务器上进行信息发布,因此对系统的管理权限高,且组织自身为授权主体,所以可
用性损失的影响为中。

(b )由于涉及极端敏感的调查信息,该部分信息不可在未经授权的情况下披露,因此保密
性损失的影响为高;调查信息的内容可能会随时间的变化发生改变或修正,因此完整性损失
的影响为低;由于信息涉密因此对进行信息管理的授权主体需要有较为严格的系统进入及使用资格检查,所以可用性损失影响为中。

(c)由于是非隐私的行政信息,因此保密性损失的影响为低;行政信息涉及面较广且正确
性比较重要,因此完整性损失的影响为高;金融机构非一般机构,通常会有涉密资源,因此
对于授权主体的认证要求较高,所以可用性损失的影响为中。

(d)由于包含敏感、预投标阶段的合同信息,该部分内容通常为商业机密,因此保密性损
失的影响为高;由于合同信息和行政信息有一定正确性要求,因此完整性损失的影响为低;由于大单收购牵扯商业机密较多,因此对授权实体的认证非常重要,所以可用性损失的影响
为中。

(e)①电厂系统:SCADA系统中的监管控制和数据获取的信息内容相对不敏感,因此保密
性损失的影响为低;该系统为军事设施提供电能分发,要求操作的准确性,因此完整性损失
的影响为高;由于涉及军事资源,因此对授权实体认证有一定要求,故可用性损失的影响为
中。

②SCADA系统:该系统包含实时传感器数据和例行的行政信息,对保密要求不高,因此保密
性损失的影响为低;由于涉及实时传感器数据和行政信息,有一定的正确性要求,因此完整
性损失影响为中;该系统需由专门授权实体进行修改操作,因此对身份认证要求高,故可用
性损失的影响为高。

③整个系统:针对整个电厂及SCADA系统,并无特殊的保密要求,故保密性损失的影响为低;
其数据内容涉及监管控制、数据获取、军事设施电能分发、传感器数据和例行行政信息有较高正确性要求,因此完整性损失的影响为中;电厂和SCADA寸授权实体认证有着很高要求,
因此必须确认系统操作实体的身份,故可用性损失的影响为高。

类似于表,画一个矩阵来表明安全服务和安全攻击的关系。

类似于表,画一个矩阵来表明安全机制和安全攻击的关系。

相关文档
最新文档