国家标准信息技术安全技术信息安全风险管理-全国信息安全标准化
国家标准《信息安全技术网络安全威胁信息表达模
型》编制说明
一、工作简况
1.1任务来源
棱镜门”事件揭示,目前敌我之间的网络安全攻防态势已经逐渐发生改变,我国现有网络安全防护能力亟需提升。斯诺登等事件揭示的NSA对我国的攻击手段,目前的技术防护措施难以有效识别发现,针对APT新型的安全攻击,签名、特征、异常等传统检测手段难以从海量的安全事件发现真正的攻击行为,IDS、SOC等传统安全产品使用效率低下,已经不能满足需要,同时国内不同类型、不同厂商的安全设备之间的漏洞、威胁信息不通用,不利于大型网络的维护管理,某一点确认的安全事件不能及时在组织内及时有效地进行共享,组织内部难以有效协同。
网络安全威胁信息共享作为一项可以改变整个安全态势的新技术,已经被美国等西方国家所接受和应用,形成了STIX、TAXII、CYBOX、OpenIOC等标准,并正利用此技术建立新一代的国家级网络安全事件响应体系,将其作为解决当前国家级网络安全对抗的有效手段。
2015年,《网络安全威胁信息表达模型》正式在全国信息安全标准化技术委员会立项。全国信息安全标准化技术委员会批复中国电子技术标准化研究院牵头承担《网络安全威胁信息表达模型》标准制订任务。
《网络安全威胁信息表达模型》由中国电子技术标准化研究院牵头,北京天际友盟信息技术有限公司、奇虎360科技有限公司、公安部第三研究所、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、中国科学院信息工程研究所、中电长城网际系统应用有限公司、阿里巴巴(北京)软件服务有限公司、百度中国有限公司、北京神州绿盟信息安全科技股份有限公司、北京启明星辰信息安全技术有限公司、深圳市深信服科技股份有限公司、神州网云(北京)信息技术有限公司、远江盛邦(北京)信息技术有限公司、北京派网软件有限公司、杭州世平信息科技有限公司、北京天融信网络安全技术有限公司、深圳市腾讯计算机系统有限公司、上海交通大学、北京工业大学、西安电子科技大学等单位共同参与起草。
1.2主要工作过程
1、2015年8月22日至9月3日(集中封闭):标准编制组成立,广泛调研并重点翻译美国STIX标准,为本标准的编制奠定基础
封闭期间,编制组广泛研究了国外威胁信息共享相关标准,包括:
1)美国联邦系统安全控制的建议(NIST 800-53);
2)美国联邦网络威胁信息共享指南(NIST 800-150);
3)STIX结构化威胁表达式
其中,编制组详细翻译,并逐条讨论了STIX白皮书、SP800-150。
2、2015年12月19日至12月20日(标准研讨会):初步确定标准题目、适用范围、标准框架
2015年12月,STIX标准转移到了OASIS,版本更新到了1.2.1,同时启动了2.0的编写工作,与1.0相比,针对STIX被厂商反应重的问题,删减了核心项和普通项。同时格式由XML修改为JSON。为此,编制组在整理STIX指标项的同时列出了2.0和1.0版本的变化,对国外标准的研究和翻译为后续标准制定工作奠定了坚实基础。
3、2016年3月22日至3月23日(集中封闭、标准研讨会):初步形成标准草案,小范围征求意见
3月22日至3月23日,编制组深化上一阶段研究成果,将STIX1.2.1标准分配到各标准编制单位,分组开展研究。组织内部研讨会,成员单位提交了贡献物后,初步确定了指标项;并进行了细化,整理形成第一版、第二版、第三版草案。
4、2016年5月13日-5月14日(短期封闭、标准研讨会2次):完成第二版标准草案,讨论并完善标准的内容
2016年5月13日至5月14日,编制组在研究整理国际和国外相关标准规范、编制组详细研究了OASIS近期会议纪要。同时在听取国内使用单位需求的基础上,形成了第四版、第五版标准草案。
5、2016年6月13日-6月19日(全国信息安全标准化技术委员会2016年第次一工作组会议周):完成工作汇报,讨论并完善标准的内容
2016年6月13日,编制组在全国信息安全标准化技术委员会2016年第一
次工作组“会议周进行工作汇报,工作组成员单位听取了编制组前期的成果,并提出了修改意见。编制组根据修改意见,将标准名称修改为《信息安全技术网络安全威胁信息表达规范》,对内容进行了大规模的修改,同时增加了观测指标实例、传输和共享的规范的内容,形成了第六版标准草案。
6、2016年10月18日-10月19日(全国信息安全标准化技术委员会2016年第二次工作组会议周):完成工作汇报,讨论并完善标准的内容2016年10月18日,编制组在全国信息安全标准化技术委员会2016年第二次工作组“会议周进行工作汇报,工作组成员单位听取了编制组前期的成果,并提出了修改意见。编制组根据修改意见,形成了第七版标准草案。
7.2016年11月16日,编制组邀请部分专家和安标委专家,围绕标准草案进行讨论
2016年11月16日,编制组邀请部分专家和安标委专家,围绕标准草案进行讨论,并根据专家的修改意见,按照标准格式对标准草案进行了编辑修改,形成了第八版标准草案。将名称修改为《信息安全技术网络安全威胁信息表达模型》,在图例中添加了说明和编号,修订了术语部分对于威胁信息、威胁的定义。
8.2017年3月31日,WG7组标准专家评审会
根据专家的修改意见,修改了标准草案中的编号等文本格式,形成了第九版标准草案。
9.2017年4月7日,编制组邀请部分专家,围绕标准草案进行讨论。
根据专家的修改意见,将正文中存储格式和共享方式修改为附录A威胁信息存储格式参考,附录B威胁信息共享方式参考。形成了第十版标准草案。
二、编制原则和主要内容
2.1编制原则
一是充分吸收已有信息共享相关标准。《网络安全威胁信息表达模型》充分参考了国际、国内有关信息共享的先进标准和技术规范。目前,《网络安全威胁信息表达模型》已将美国STIX、SP800-150等相关标准的长处进行了吸收,基本覆盖了上述标准的要求。
二是保持技术中立,在提出要求时,不限制具体的实现方法。中立性是技
术标准的基本特性,《网络安全威胁信息表达模型》应当坚持该原则。由于威胁信息共享技术仍处于发展应用的初期,各厂家使用的场景不同。《网络安全威胁信息表达模型》原则上只给出推荐格式,不对具体使用进行约束,以便于为今后的技术发展留下空间。
2.2主要内容
本标准给出了网络安全威胁信息模型和数据格式,以促进威胁信息的产生和交换。模型可用于建立网络安全威胁信息的基本架构,将其组成信息分解为八个组件,并描述了组件间的关系。资料性附录中对威胁信息的描述及传输方式给出了规范建议,涉及网络安全威胁信息的存储使用用例,安全交换网络威胁信息的参与角色、服务的功能性组件、共享模式和信息服务的类型,以帮助组织改善对新兴威胁的态势感知能力,并使组织在利用现有系统的同时能够很容易地共享他们合作伙伴的信息。
通常攻击者需要通过收集其他的攻击者信息、事件信息以及以往的攻击活动属性信息,利用某种工具技术和流程对某系统或攻击对象实施攻击。网络安全本标准就从系统观察动态开始进行威胁信息的收集和分析。
整个架构由八个主要组件组成,呈现表象、陷落指标、安全事件、处置动作、威胁源头、突破目标、战役活动、攻击战术。八个组件之间互相关联,彼此映射。
系统动态信息的呈现表象来源于子可观察属性、陷落指标、安全事件以及处置方法参数。陷落指标映射出安全事件信息。安全事件映射出战役活动。处置方法映射了安全事件、陷落指标和突破目标。突破目标映射出攻击战术。攻击战术映射出战役活动和陷落指标。突破目标和安全事件又可以进一步映射出威胁源头、攻击战术和战役活动。战役活动又映射出陷落指标信息和威胁源头。
通过呈现表象定位到陷落指标、安全事件和处置方法,从处置方法再定位到安全事件、威胁源头、突破目标、战役活动、攻击战术,而安全事件、威胁源头、突破目标、战役活动、攻击战术,又关联回陷落指标和安全事件。最终使得动态信息可观测性、陷落指标、安全事件、处置动作、突破目标、攻击战术、威胁源头和战役活动,八个组件组成了统一的、可循环使用的整体架构。
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
编制组已请北京天际友盟信息技术有限公司、奇虎360科技有限公司、百
度中国有限公司、远江盛邦(北京)信息技术有限公司等公司对《网络安全威胁信息表达模型》进行了试用。已开发出支持本标准的产品,标准试用效果良好。
四、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的
对比情况,或与测试的国外样品、样机的有关数据对比情况
威胁信息共享标准及其背后的管理政策将会对产业造成重大影响,这必然引起国外机构的强烈关注。为此,编制组专门分析了美国的STIX标准,并在编制阶段有针对性的进行了研究,保持与国际标准的合理衔接。
编制组参考、吸收的国外网络安全威胁信息相关标准、规范、指南主要包括:
1)《美国联邦系统安全控制的建议》(NIST 800-53)。这是美国对联邦政府信息安全的评估标准。
2)美国联邦网络威胁信息共享指南(NIST 800-150);该指南定义了美国政府机构间信息共享的方法、流程、可共享的信息、隐私保护。
3)STIX结构化威胁表达式,《网络安全威胁信息表达模型》吸收了其成熟的技术要素。
本标准力求在技术要素上覆盖国际权威威胁信息共享标准。与国外相关标准的一个显著区别是,国外标准过细,造成使用困难,同时在1.0向2.0的升级过程中,造成了不兼容,导致厂商重复投入资源进行开发,《网络安全威胁信息表达模型》充分吸收了这些经验教训,只定义了总体框架和用例,并未对使用限制过死。
五、与有关的现行法律、法规和强制性国家标准的关系
《网络安全威胁信息表达模型》符合现有法律法规的要求。
《网络安全威胁信息表达模型》与现有国家标准不矛盾、不冲突,也不重复。
六、重大分歧意见的处理经过和依据
《网络安全威胁信息表达模型》编制过程中未出现重大分歧。其他详见意见汇总处理表。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议《网络安全威胁信息表达模型》作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等
内容)
无。
九、其他事项说明
本标准不涉及专利。
标准编制组
2017年5月
现行国家信息安全技术标准
现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分:算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分:总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号
国家标准信息安全管理实用规则
国家标准《信息安全技术安全漏洞分类规范》 (征求意见稿)编制说明 一、工作简况 1.1任务来源 《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草,中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月,组织参与本规范编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。 2、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月,按照制定的框架结构,确定分类的原则和方法,形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月,课题组在专家指导下,积极采纳国外相关漏洞分类的原则,形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日,规范编制小组在积极采纳专家意见的基础上,对规范内容进行修改,形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日,安标委秘书处组织了该标准的专家评审,编制小组听取了专家意见,对标准文本的内容进行修订、简化,形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月,安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决,通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,对标准文本进行了完善,形成了《安全漏洞分类规范》征求意见稿及相关文件。 二、编制原则和主要内容 2.1 编制原则
信息安全技术保障措施.doc
信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使用日志记录,短信服务系统将保存5个月以内的系统及用户收发短信记录。
信息安全技术试题答案
信息安全技术教程习题及答案 信息安全试题(1/共3) 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B 公开(K A秘密(M))。B方收到密文的解密方案是___。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’)) 5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于,则k约等于__。 A.2128 B.264 C.232 D.2256
信息安全法律法规清单
07中华人民共和国档案法1987年9月5日第六届全国人民代表大会常务委员会第二十二次会议通过。根据1996年7月5日第八届全 国人民代表大会常务委员会第二十次会议《关于修改<中华人民共和国档案法>的决定》修正。 1988.01.01 08中华人民共和国刑法1979年7月1日第五届全国人民代表大会第二次会议通过。《中华人民共和国刑法修正案(八)》(发布日期:2011 年2月25日实施日期:2011年5月1日)修正或修改 1997.10.01 09中华人民共和国消防法1998年4月29日第九届全国人民代表大会常务委员会第二次会议通过,2008年10月28日第十 一届全国人民代表大会常务委员会第五次会议修订 2009.05.01 10中华人民共和国民法通则中华人民共和国主席令第三十七号《中华人民共和国民法通则》已由中华人民共和国第六届全国人民代表 大会第四次会议于一九八六年四月十二日通过,现予公布,自一九八七年一月一日起施行。 1987.01.01 11中华人民共和国劳动法1994年7月5日第八届全国人民代表大会常务委员会第八次会议通过。1995.01.01 12中华人民共和国劳动合同法2007年6月29日第十届全国人民代表大会常务委员会第二十八次会议通过。2008.01.01 13中华人民共和国国家安全法1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过,1993年2月22日中 华人民共和国主席令第68号公布。 1993.02.22 14中华人民共和国标准化法1988年12月29日第七届全国人民代表大会常务委员会第五次会议通过,1988年12月29日中华人民共和 国主席令第11号公布。 1989.04.01 15中华人民共和国治安管理处罚条例《中华人民共和国治安管理处罚条例》现在已变成《中华人民共和国治安管理处罚法》2005年8月28日 公布,2006年3月1日起实施 1987.01.01 16中华人民共和国消费者权益保护法全国人民代表大会常务委员会关于修改<中华人民共和国消费者权益保护法>的决定》已由中华人民共和 国第十二届全国人民代表大会常务委员会第五次会议于2013年10月25日通过,现予公布,自2014年3 月15日起施行。 1994.04.01 17中华人民共和国著作权法1990年9月7日第七届全国人民代表大会常务委员会第十五次会议通过,根据2001年10月27日第九届全国人民代表大 会常务委员会第二十四次会议《关于修改〈中华人民共和国著作权法〉的决定》修正,根据2010年2月26日第十一届 全国人民代表大会常务委员会第十三次会议《关于修改〈中华人民共和国著作权法〉的决定》第二次修正。 1991.06.01
信息安全技术课程报告
信息安全技术课程报告 信息安全技术是信息管理与信息系统的一门专业课。随着计算机技术的飞速发展,计算机信息安全问题越来越受人们的关注。我们在学习工作中掌握必要的信息安全管理和安全防范技术是非常必要的。通过对信息安全技术这门课程的学习,我们基本了解了计算机信息安全的基本原理和当今流行的信息安全设置、安全漏洞、防火墙的策略与实现、黑客原理与防范,以便能够在工作中胜任现在所做的工作。 在上周的课程学习中,我学到了加密技术,防火墙等知识,作为课程报告,我想简单简述一下什么是加密技术和防火墙。 加密技术:对信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供保护;端对端加密的目的是对源端用户到目的端用户的数据提供保护。在保障信息安全各种功能特性的诸多技术中,加密技术是信息安全的核心和关键技术,通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同得数字信息(密文)的过程。数据加密算法有很多种,密码算法标准化是信息化社会发展得必然趋势,是世界各国保密通信领域的一个重要课题。按照发展进程来分,经历了古典密码、对称密钥密码和公开密钥密码阶段,古典密码算法有替代加密、置换加密;对称加密算法包括DES 和AES;非对称加密算法包括RSA 、等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法,而根据收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径
信息安全管理体系研究
信息安全管理体系研究 摘要:随着信息技术的不断应用,信息安全管理已经逐渐成为各企业或各机构管理体系的重要组成部分。了解信息安全对企业发展的重要性,制定科学合理的方案构建完善的信息安全管理体系,是当前企业发展中需要解决的问题之一。 关键词:信息;管理体系;安全 一、概述 信息安全管理是指在信息的使用、存储、传输过程中做好安全保护工作,保持信息的保密性、完整性和可用性。其中,保密性是指保障信息仅能被具有使用权限的人获取或使用;完整性指为信息及其处理方法的准确性和完整性提供保护措施;可用性则指使用权限的人可在需要时获取和使用相关的信息资产。因此,做好信息安全管理体系的研究对于提升信息的安全性具有现实意义。 二、信息安全管理体系 2.1 信息安全管理体系介绍根据网络安全相关统计表明,网络信息安全事故中由于管理问题导致出现安全事故的高达70%以上,因此解决网络信息的安全问题,除从技术层面进行改进外,还应加强网络信息的安全管理力度。信息安全管理体系的建设是一项长期的、系统的、复杂的工程,在建设信息安全管理体系时,应对整个网络系统的各个环节进行综合考虑、规划和构架,并根据各个要素的变化情况对管理体系进行必要的调整,任何环节存在安全缺陷都可能会影响整个体系的安全。 2.2 信息安全管理体系的功能信息安全管理是指导企业对于信息安全风险相互协调的活动,这种指导性活动主要包括信息安全方针的制定、风险评估、安全保障、控制目标及方式选择等。企业要实现对信息资产进行安全、高效、动态的管理,就需要建立科学、完善、标准的信息安全管理体系。因此,一个有效的信息安全管理体系应该具备以下功能:对企业的重要信息资产进行全面的保护,维持企业的竞争优势;使企业能在预防和持续发展的观点上处理突发事件,当信息系统受到非法入侵时,能使相关的业务损失降到最低,并能维持基本的业务开展;使企业的合作伙伴和客户对企业充满信心;能使企业定期对系统进行更新和控制,以应对新的安全威胁。 三、信息安全管理体系的构建 3.1 信息安全管理框架的建立
信息安全专业认知
专业简介 本专业是计算机、通信、数学、物理、法律、管理等学科的交叉学科,主要研究确保信息安全的科学与技术。培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。目前国内已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了我国信息安全产业的雏形,但由于国内专门从事信息安全工作技术人才严重短缺,阻碍了我国信息安全事业的发展。信息安全专业是十分具有发展前途的专业。 专业培养目标 本专业是培养拥护党的基本路线,适应我国全面建设小康社会实际需要的,在生产、建设、服务和管理第一线需要的。具有必要的基础理论知识,具备信息安全必要的基本理论、基本知识、基本技能及综合应用能力;熟悉国家信息安全管理的政策和法律法规;了解信息安全的发展动向;具备对计算机网络及信息安全工程进行设计,实施及管理的能力;具有良好的职业道德,敬业与创新精神的高素质技能型人才。 课程设置 在校期间,不仅强调学生对基础知识的掌握,更强调对其专业素质和能力的培养。学生除学习理工专业公共基础课外,学习的专业基础和专业课主要有:高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容: 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括: a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或
信息安全
信息安全 主要概念 网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。 定义 信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。 发展趋势 信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全本专业是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形,但由于中国专门从事信息安全工作技术人才严重短缺,阻碍了中国信息安全事业的发展。信息安全专业是十分具有发展前途的专业。 在信息交换中,“安全”是相对的,而“不安全”是绝对的,随着社会的发展和技术的进步,
网络安全评估指标体系研究.doc
研究报告二网络安全评估标准研究报告 一、研究现状 随着网络技术的发展,计算机病毒、网络入侵与攻击等各种网络安全事件给网络带来的威胁和危害越来越大,需对网络数据流进行特征分析,得出网络入侵、攻击和病毒的行为模式,以采取相应的预防措施。宏观网络的数据流日趋增大,其特征在多方面都有体现。为了系统效率,只需对能体现网络安全事件发生程度与危害的重点特征进行分析,并得出反映网络安全事件的重点特征,形成安全评估指标。 随着信息技术与网络技术的迅猛发展, 信息安全已经成为全球共同关注的话题, 信息安全管理体系逐渐成为确保组织信息安全的基本要求, 同时网络与信息安全标准化工作是信息安全保障体系建设的重要组成部分。网络与信息安全标准研究与制定为管理信息安全设备提供了有效的技术依据, 这对于保证安全设备的正常运行和网络信息系统的运行安全和信息安全具有非常重要的意义。本文将介绍当前网络信息安全标准研究的现状, 并着重介绍几个现阶段国内外较流行的安全标准。 近年来,面对日益严峻的网络安全形式,网络安全技术成为国内外网络安全专家研究的焦点。长期以来,防火墙、入侵检测技术和病毒检测技术被作为网络安全防护的主要手段,但随着安全事件的日益增多,被动防御已经不能满足我们的需要。这种情况下,系统化、自动化的网络安全管理需求逐渐升温,其中,如何实现网络安全信息融合,如何真实、准确的评估对网络系统的安全态势已经成为网络安全领域的一个研究热点。 对网络安全评估主要集中在漏洞的探测和发现上,而对发现的漏洞如何进行安全级别的评估分析还十分有限,大多采用基于专家经验的评估方法,定性地对漏洞的严重性等级进行划分,其评估结果并不随着时间、地点的变化而变化,不能真实地反映系统实际存在的安全隐患状况。再加上现在的漏洞评估产品存在误报、漏报现象,使得安全管理员很难确定到底哪个漏洞对系统的危害性比较大,以便采取措施降低系统的风险水平。因此,我们认为:漏洞的评估应该充分考虑漏洞本身的有关参数及系统的实际运行数据两方面信息,在此基础上,建立一个基于信息融合的网络安全评估分析模型,得到准确的评估结果 2 相关工作 现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSE-CMM ( Systems Security Engineering Capability MaturityModel)等。大部分通用的信息安全标准,如ISO 17799,ISO13335等,其核心思想都是基于风险的安全理念[4-6]。信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅隆大学系统安全工程能力成熟度模型SSE-CMM[4]较早地建立了信息安全保障评价指标体系[5,6]。Rayford B.Vaughn[7]和Nabil Seddigh[8]等人研究了信息安全保障评价的概念和范畴,给出了信息安全保障评价的框架。在国内,国家信息中心[9,10]研究了网络信息
国内外信息安全标准
国内外信息安全标准 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下,我国已经制修订了几十个信息安全标准,为信息安全产品检测认证提供了技术基础。 2001年,我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前,国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005.即CC 。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求,包括安全功能要求、安全保证要求和安全保证级的定义方法,以及标准的框架结构等。例如,GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求,包括安全环境、安全目的和安全要求(安全功能要求和安全保证要求)等内容,以及CC标准预先定义的安全保证级别(EAL4)。同时,结合国内信息安全产品产业的实际情况,我国信息安全标准还规定了产品功能要求和性能要求,以及产品的测试方法。有些标准描述产品分级要求时,还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家,特别是美国,非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等,主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初,美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月,日本信息技术战略本部及信息安全
专业技术人员考试——信息安全技术 单选
专业技术人员考试——信息安全技术(单选) ____是在蜜罐技术上逐步发展起来的一个新的概念,在其中可以部署一个或者多个蜜罐,来构成一个黑客诱捕网络体系架构。A 蜜网 Backup 命令的功能是用于完成UNIX /Linux 文件的备份,下面说法不正确的是____。D Backup —d 命令当备份设备为磁带时使用此选项 FTP(文件传输协议,File Transfer Protocol ,简称FFP)服务、SMTP(简单邮件传输协议,Simple Mail Transfer Protocol ,简称SMTP)服务、HTTP(超文本传输协议,Hyper Text Transport Protocol ,简称HTTP)、HTTPS(加密并通过安全端口传输的另一种HTTP)服务分别对应的端口是____。B 21 25 80 443 iptables 中默认的表名是____。A filter UNIX /Linux 操作系统的文件系统是____结构。B 树型 UNIX /Linux 系统中,下列命令可以将普通帐号变为root 帐号的是____。D /bin /su 命令 UNIX 工具(实用程序,utilities)在新建文件的时候,通常使用____作为缺省许可位,而在新建程序的时候,通常使用____作为缺省许可位。B 666 777 Windows 系统安装完后,默认隋况下系统将产生两个帐号,分别是管理员帐号和____。C 来宾帐号 Windows 系统的用户帐号有两种基本类型,分别是全局帐号和____。A 本地帐号 Window 系统中对所有事件进行审核是不现实的,下面不建议审核的事件是____。C 用户打开关闭应用程序 包过滤防火墙工作在OSI 网络参考模型的____。C 网络层 保障UNIX /Linux 系统帐号安全最为关键的措施是____。A 文件/etc /passwd 和/etc /group 必须有写保护 不能防止计算机感染病毒的措施是_____。A 定时备份重要文件 不需要经常维护的垃圾邮件过滤技术是____。B 简单DNS 测试 布置电子信息系统信号线缆的路由走向时,以下做法错误的是____。A 可以随意弯折 采用“进程注入”可以____。C 以其他程序的名义连接网络 从系统结构上来看,入侵检测系统可以不包括____。C 审计 代表了当灾难发生后,数据的恢复程度的指标是____。A RPO 代表了当灾难发生后,数据的恢复时间的指标是____。B RTO 当您收到您认识的人发来的电子邮件并发现其中有意外附件,您应该____。C 用防病毒软件扫描以后再打开附件 对电磁兼容性(Electromagnetic Compatibility ,简称EMC)标准的描述正确的是____。C 各个国家不相同 防火墙是____在网络环境中的应用。B 访问控制技术 防火墙提供的接入模式不包括____。D 旁路接入模式 符合复杂性要求的WindowsXP 帐号密码的最短长度为____。B 6 关于NA T 说法错误的是____。D 动态NAT 又叫做网络地址端口转换NAPT 关于包过滤防火墙说法错误的是____。C 包过滤防火墙可以有效防止利用应用程序漏洞进行的攻击 关于网闸的工作原理,下面说法错误的是____. C 网闸工作在OSI 模型的二层以上 关于应用代理网关防火墙说法正确的是____。B 一种服务需要一种代理模块,扩展服务较难 关于用户角色,下面说法正确的是____。B 角色与身份认证无关 会让一个用户的“删除”操作去警告其他许多用户的垃圾邮件过滤技术是____。D 分布式适应性黑名单 基于网络的入侵检测系统的信息源是____。D 网络中的数据包 计算机网络组织结构中有两种基本结构,分别是域和____。B 工作组 美国国防部发布的可信计算机系统评估标准(TCSEC)定义了____个等级。C 七 某病毒利用RPCDCOM 缓冲区溢出漏洞进行传播,病毒运行后,在%System %文件夹下生成自身的拷贝,添加注册表项,使得自身能够在系统启动时自动运行。通过以上描述可以判断这种病毒的类型为____。C 网络蠕虫病毒 某公司的工作时间是上午8点半至12点,下午1点555点半,每次系统备份需要一个半小时,下列适合作为系统数据备份的时间是____。D 凌晨l 点 目前对于大量数据存储来说,容量大、成本低、技术成熟、广泛使用的介质是____。B 磁带 内容过滤技术的含义不包括____。D 过滤用户的输入从而阻止用户传播非法内容 企业在选择防病毒产品时不应该考虑的指标为____。D 产品能够防止企业机密信息通过邮件被传出 容灾的目的和实质是____。C 保持信息系统的业务持续性 容灾项目实施过程的分析阶段,需要进行____。D 以上均正确 A B C D H G F J M N Q R R
健康医疗大数据信息安全体系研究
健康医疗大数据信息安全体系研究 1 绪论 1.1 概述 对健康医疗大数据的信息安全体系进行研究,从信息安全目前面临的问题和如何解决信息安全问题两个方面入手,讨论如何构建健康医疗大数据信息安全体系,得出相关的结论。 健康医疗大数据的良好利用,对整个健康卫生领域的发展是非常有帮助的。有一个完善的信息安全体系是保证良好利用的前提。一个健全的信息安全体系,才可以让健康医疗大数据更好地提高医疗服务的水平,造福社会。一个健全的信息安全体系可以增强医疗健康大数据技术保障能力,有利于信息安全基础性工作,加快医疗健康大数据安全软硬件技术产品研发和标准制定,提高医疗健康大数据平台信息安全监测、预警和应对能力。在平衡创新发展与信息安全关系的同时,有利于建立医疗健康大数据安全管理规则、管理模式与管理流程,引导医疗健康大数据安全可控和有序发展[1]。信息安全体系由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。一个系统的、完整的、有机的信息安全体系的作用力远远大于各个信息安全保障要素的保障能力之和。在此框架中,以信息安全策略为指导,融和了安全技术、安全风险管理、安全组织与管理和运行保障4个方面的安全体系,以此达到系统可用性、可控性、抗攻击性、完整性、保密性的安全防护目标 1.2国内外研究现状 1.2.1 国外研究现状 作为走在信息安全研究前列的大国,美、俄、日等国家都已制定自己的信息安全发展战略和计划,确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。英国国家医疗服务体系在2016年7月份决定停止care.data健康医疗大数据平台的决定,信息安全得不到保障是关闭的重要原因之一。《对数据安全、同意和选择退出的审查》是由英国“国家健康和医疗数据守护者”发布。2015年9月,英国卫生大臣也委托其与英国医疗治疗委员会紧密合作,共同提出新的数据安全标准、测评数据安全合理的新方法,以及获取同意共享数据的新模式[2]。为了应对信息安全问题,很多国家从立法、制度、技术三个方面推出了相应的应对策略,制定国家大数据战略。美国、英国、法国、日本等发达国家均将大数据视为强化国家竞争力的关键因素之一,非常重视数据安全体系建设方面的研究。 国外比较成熟的关于信息安全体系建设的研究主要是关于服务信息化建设,提高对信息安全的认识,全面推行安全等级保护,定期进行信息系统安全风险评估以及安全加固,加强人才队伍建设。实施信息安全保护工作过程中应该注意的是明确要保护的目标,建立信息安全管理保障体系,加强信息安全意识和管理能力。ISO的安全体系结构主要内容:①安全服务:包括认证服务、访问控制、数据保密服务、数据完整性服务和抗抵赖服务;②安全机制:ISO安全体系结构中定义了一些安全机制.包括加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制、公证机制等;③安全管理:其重
金融行业的信息安全技术体系浅析
金融行业的信息安全技术体系浅析 【摘要】互联网正在影响着人们的生活,信息安全成为个人和企业的头等大事,为了防止不法分子通过各种手段侵害用户权益,信息安全技术已成为金融行业中最重要部分。本文主要阐述了信息安全的重要性,介绍了金融行业采用的常见信息安全技术,并针对存在的安全风险和解决措施展开了探讨。 【关键词】金融;信息安全技术;计算机;风险 金融行业的信息安全技术体系是否完善,关系到金融行业的发展。随着科技的不断进步和经济水平的发展,人们的消费习惯也在逐渐变化,如网上购物,网上汇款等。基于互联网的网上银行则充分满足了用户的需求,由此可见,信息安全技术对于用户和金融行业而言是至关重要的。 一、信息安全的重要性 互联网正在影响着人们的生活,人们对于网络的依赖性与日俱增。同时,信息安全也成为个人和企业的头等大事。一旦信息安全技术不到位,给个人、企业甚至国家造成的损失可能是无法估量的。各行各业都要重视信息安全,尤其是金融行业的信息安全技术体系需要不断完善,确保用户的信息资源的安全性,避免不法分子利用用户的信息去做违法犯
罪的事情,损害用户的权益。 如今,计算机所承载的内容和任务越来越繁重,不管是个人还是集体,许多重要的工作都要由计算机来完成。信息在处理的过程中存在极大的安全隐患,许多不法分子常常通过各种高科技手段窃取或篡改信息。因此,信息安全技术体系一定要不断完善,使保密措施更加多元化。 二、金融行业采用的信息安全技术有哪些 1.身份识别 在信息安全系统中,身份识别是最基本的安全功能,通过身份验证的用户才能进一步申请系统的相关服务。静态密码已不能满足更高的需求,动态口令、数字证书等一系列身份认证方式成为信息安全技术不断向前发展的标志。 2.存取权限控制 信息安全技术已经从最初的防守变成主动出击,主要针对不法分子。为确保用户信息和资源的安全,控制存取权限,谨防不法分子别有居心对用户资源进行使用,维护用户的合法权益。 3.数字签名 数字签名,也可称作公钥数字签名,用于辨别和验证签署人的身份。若要伪造可谓难上加难,数字签名可作为信息真实有效的证明。 4.数据完整性保护
2019信息网络安全专业技术人员继续教育(信息安全技术)习题及答案
信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。(对) 2.对称密码体制的特征是:加密密钥和解密密钥完全相同,或者一个密钥很容易从另ー个密钥中导出。(对) 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信困难的问题。(错) 4.公钥密码体制算法用一个密钥进行加密,!而用另一个不同但是有关的密钥进行解密。(对) 5.公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型(错) 6.Rabin体制是基于大整数因子分解问题的,是公钥系统最具典型意义的方法。(错) 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道的限制,可实现数字签名和认证的优点。(错) 8.国密算法包括 SM2,SM3和SM4. (对)
9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。(对) 10.Hash函数的输人可以是任意大小的消息,其输出是一个长度随输入变化的消息摘要。(错) 11.数字签名要求签名只能由签名者自己产生。(对) 12、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。(错) 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行访问控制,而不是基于主体的身份。(对) 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的,有两个不同密钥 D.是对称的,使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )
信息安全技术基础期末考点总结
4.信息安全就是只遭受病毒攻击,这种说法正确吗? 不正确,信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。 信息安全本身包括的范围很大,病毒攻击只是威胁信息安全的一部分原因,即使没有病毒攻击,信息还存在偶然泄露等潜在威胁,所以上述说法不正确。 5.网络安全问题主要是由黑客攻击造成的,这种说法正确吗? 不正确。谈到信息安全或者是网络安全,很多人自然而然地联想到黑客,实际上,黑客只是实施网络攻击或导致信息安全事件的一类主体,很多信息安全事件并非由黑客(包括内部人员或还称不上黑客的人)所为,同时也包括自然环境等因素带来的安全事件。 补充:信息安全事件分类 有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件 设备设施故障、灾害性事件、其它事件 3.信息系统的可靠性和可用性是一个概念吗?它们有什么区别? 不是。 信息安全的可靠性:保证信息系统为合法用户提供稳定、正确的信息服务。 信息安全的可用性:保证信息与信息系统可被授权者在需要的时候能够访问和使用。 区别:可靠性强调提供服务的正确、稳定,可用性强调提供服务访问权、使用权。 5.一个信息系统的可靠性可以从哪些方面度量? 可以从抗毁性、生存性和有效性三个方面度量,提供的服务是否稳定以及稳定的程度,提供的服务是否正确。 7.为什么说信息安全防御应该是动态和可适应的? 信息安全防御包括(1)对系统风险进行人工和自动分析,给出全面细致的风险评估。(2)通过制订、评估、执行等步骤建立安全策略体系(3)在系统实施保护之后根据安全策略对信息系统实施监控和检测(4)对已知一个攻击(入侵)事件发生之后进行响应等操作保障信息安全必须能够适应安全需求、安全威胁以及安全环境的变化,没有一种技术可以完全消除信息系统及网络的安全隐患,系统的安全实际上是理想中的安全策略和实际执行之间的一个平衡。实现有效的信息安全保障,应该构建动态适应的、合理可行的主动防御,而且投资和技术上是可行的,而不应该是出现了问题再处理的被动应对。 4.什么是PKI?“PKI是一个软件系统”这种说法是否正确? PKI是指使用公钥密码技术实施和提供安全服务的、具有普适性的安全基础设施,是信息安全领域核心技术之一。PKI通过权威第三方机构——授权中心CA(Certification Authority)以签发数字证书的形式发布有效实体的公钥。 正确。PKI是一个系统,包括技术、软硬件、人、政策法律、服务的逻辑组件,从实现和应用上看,PKI是支持基于数字证书应用的各个子系统的集合。 5.为什么PKI可以有效解决公钥密码的技术应用? PKI具有可信任的认证机构(授权中心),在公钥密码技术的基础上实现证书的产生、管理、存档、发放、撤销等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范,以及为PKI体系中的各个成员提供全部的安全服务。简单地说,PKI是通过权威机构签发数字证书、管理数字证书,通信实体使用数字证书的方法、过程和系统。 实现了PKI基础服务实现与应用分离,有效解决公钥使用者获得所需的有效的、正确的公钥问题。