在美国TCSEC中把计算机安全等级分为八类.docx
《在美国TCSEC中把计算机安全等级分为八类.docx》由会员分享,可在线阅读,更多相关《在美国TCSEC中把计算机安全等级分为八类.docx(17页珍藏版)》请在冰豆网上搜索。
在美国TCSEC中把计算机安全等级分为八类
在美国TCSEC中把计算机安全等级分为八类
一、单选题
1、在美国TCSEC中把计算机安全等级分为八类,其中属于自主保护类的是(C)。
A、A类
B、B类
C、C类
D、D类
2、下列安全技术措施中美国TCSEC安全级别中B2级别所不具有的是(B)。
A、鉴别使用口令登录的各用户
B、实时威胁监控
C、操作管理人员分离
D、隐蔽信道事件审核
3、在我国关于信息安全等级保护工作的实施意见中,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害的安全级别为(D)。
A、专控保护级
B、强制安全区域保护级
C、结构强制保护级
D、强制保护级
4、网络互联的主要途径有(A)
。
A、有线和无线
B、分组交换网和国际专线
C、调制解调器
D、ADSL
5、制定计算机信息网络国际联网安全保护管理办法的基本指导思想包括(A)。
A、体现促进发展的原则、体现保障安全的原则、体现严格管理的原则、体现与国家现行法律体系一致性的原则
B、体现促进发展的原则、体现保障安全的原则
C、体现保障安全的原则、体现严格管理的原则
D、体现严格管理的原则、体现与国家现行法律体系一致性的原则
6、在计算机信息系统安全专用产品分类原则中,媒体数据安全属于(A)
。
A、实体安全
B、信息安全
C、运行安全
D、数据安全
7、当安全专用产品的功能发生改变后销售时,确定是否需要重新申领销售许可证(A)。
A、需要
B、不需要
C、没有法律规定,随申请人喜好
D、视情况而定
8、下列说法正确的是(AC)。
A、对于存放计算机信息系统备份器件的场地,其安全要求除了应与计算机房同等要求外,通常还有附加的特殊要求。
B、国家秘密的密级分为绝密、机密、保密3级,它的划分是以国家秘密对于国家的安全和利益的重要程度,以及泄露之后的损害后果为依据的
C、计算机信息媒体具有容量小,体积大,复制不方便的缺点
D、受灾恢复计划辅助软件属于运行安全产品里的备份与恢复类产品
9、以下不属于计算机安全事件里的常规事故的是(C)。
A、故意破坏硬件设备
B、误操作破坏软件
C、电力故障
D、软件自身故障10(D)是第三级的计算机安全事件。
A、计算机安全事件对计算机信息系统所承载的业务以及事发单位利益有一定的影响或破坏
B、计算机安全事件对计算机信息系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏,对社会稳定、国家安全造成严重危害
C、计算机安全事件对计算机信息系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏,对社会稳定和国家安全产生灾难性的危害
D、计算机安全事件对计算机信息系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏,对社会稳定、国家安全产生一定危害
二、多选题
1、下列安全技术措施中美国TCSEC安全级别中B2级别所具有的是(ACD)。
A、鉴别使用口令登录的各用户
B、实时威胁监控
C、操作管理人员分离
D、隐蔽信道事件审核
2、网络互联的主要途径有(AD)
。
A、有线
B、分组交换网和国际专线
C、调制解调器
D、无线
3、制定计算机信息网络国际联网安全保护管理办法的基本指导思想包括(ABCD)。
A、体现促进发展的原则
B、体现保障安全的原则
C、体现严格管理的原则
D、体现与国家现行法律体系一致性的原则
4、下列说法正确的是(AC)。
A、对于存放计算机信息系统备份器件的场地,其安全要求除了应与计算机房同等要求外,通常还有附加的特殊要求
B、国家秘密的密级分为绝密、机密、保密3级,它的划分是以国家秘密对于国家的安全和利益的重要程度,以及泄露之后的损害后果为依据的
C、计算机信息媒体具有容量大,体积小,复制方便的特点
D、受灾恢复计划辅助软件属于运行安全产品里的备份与恢复类产品
5、以下属于计算机安全事件里的常规事故的是(ABD)。
A、故意破坏硬件设备
B、误操作破坏软件
C、电力故障
D、软件自身故障6(ABC)不是第三级的计算机安全事件。
A、计算机安全事件对计算机信息系统所承载的业务以及事发单位利益有一定的影响或破坏
B、计算机安全事件对计算机信息系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏,对社会稳定、国家安全造成严重危害
C、计算机安全事件对计算机信息系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏,对社会稳定和国家安全产生灾难性的危害
D、计算机安全事件对计算机信息系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏,对社会稳定、国家安全产生一定危害
7、计算机安全专用产品管理应该坚持(ABC)。
A、独立自主原则
B、规范化管理原则
C、法制化管理原则
D、一体化管理原则
8、计算机安全事件在第一层上可分为(ABCD)和其他事件等分类。
A、环境灾害
B、常规事故
C、内容异常
D、网络或系统异常
9、计算机安全事件的定级分类具有(AB)的特点。
A、动态性
B、主观性
C、静态性
D、客观性
10、计算机信息媒体出入境的一般处理是(ABCD)。
A申报
B、检测
C、报送
D、其他三、填空题
1、我国关于信息安全等级保护工作的实施意见中将信息和信息系统的安全保护等级分为5级,安全等级最低的一级是自主保护级,安全等级最高的一级是专控保护级。
2、计算机信息系统中的信息的安全等级,是划分系统安全等级的依据。
而计算机的安全等级和物理环境的安全等级,是计算机信息系统安全等级保护实施的具体化和细分化。
3、计算机信息系统实行安全等级保护,是我国计算机信息系统安全保护的一项基本制度。
4、计算机信息媒体出入境的实质是媒体中所存储的信息的出入境。
5、计算机安全专用产品管理应该坚持独立自主原则和规范化、法制化管理原则。
6、中华人民共和国境内的安全专用产品进入市场销售,实行销售许可证制度。
任何单位和个人都不可以销售没有销售许可标记的安全专用产品。
7、计算机安全事件在第一层上可分为环境灾害、常规事故、内容异常、网络或系统异常和其他事件等5个分类。
8、计算机安全事件的定级分类具有动态性、主观性的特点。
9、我国的计算机安全事件采用计算机案件报告制度。
10、计算机信息媒体出入境的一般处理是申报、检测和报送及其他。
四、判断题
1、一旦某一信息被确定为高级别的安全等级,则其对任何人员来说都是高级别的。
(错)
2、1988年9月5日公布的中华人民共和国保守国家秘密法中指出,经国家工作部门确定应当保守的秘密事项同样属于国家秘密。
(错)
3、信息的统计相关性使得信息保密工作更为艰难。
(对)
4、计算机信息媒体出入境的普遍办理过程一般为先报送,后检测,最后申报。
(错)
5、计算机信息网络国际联网安全保护管理贯彻“谁主管谁负责”的原则。
(对)
6、准确的分清所面对的具体设备系统的地线系统的层次关系,正确予以接地和接0比设定准确的接地电阻数值更重要。
(对)
7、在计算机信息系统安全专用产品分类原则中,加密设备属于实体安全这一大类里的设备安全。
(错)
8、我国计算机信息系统安全专用产品检测和销售许可证管理办法适用于我国境内市场与境外市场的计算机信息系统。
(错)
9、根据计算机安全事件所造成后果的严重程度,计算机安全事件可划分为5个等级。
其中1级危害程度最高,5级危害程度最低。
(对)
10、3级以上的计算机安全事件称为重大信息安全事件。
(错)
五、名词解释题
1、接入单位答:
接入单位:
是指负责接入网络运行的单位。
2、信息安全答:
信息安全:
保护信息和信息系统,以避免未授权的访问、使用、泄漏、破坏、修改或者销毁,以确保信息的完整性、保密性和可用性。
3、计算机信息媒体答:
计算机信息媒体:
指具有存储功能的集成电路存储器、磁盘、磁带、光盘等,它们可以存储备种形式的信息,如文字、图形、声音、图像、视频、动画等等。
4、实体安全答:
实体安全:
保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。
5、运行安全答:
运行安全:
为保障系统功能的安全实现,提供一套安全措施(如风险分析,审计跟踪,备份与恢复,应急等)来保护信息处理过程的安全。
6、计算机安全专用产品答:
计算机安全专用产品:
用于保护计算机信息系统安全的专用硬件和软件产品。
它可以分为三大类:
实体安全产品、运行安全产品和信息安全产品。
7、计算机安全事件及其主体和客体答:
计算机安全事件:
对计算机信息系统的可用性、完整性、保密性、真实性、可核查性和可靠性等造成危害的事件,或者是在计算机信息系统发生的对社会造成负面影响的其他事件。
它的主体是计算机安全事件的制造者或造成计算机安全事件的最终原因;它的客体是受计算机安全事件影响或发生计算机安全事件的计算机信息系统,具体地说,计算机安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
8、信息的流通途径答:
信息的流动方式:
信息的流动方式有两种:
一种是信息存储在一些媒体上,如存在U盘里,手机上等等,再通过现代的通信方式或携带,或邮寄,或托运等,导致信息的流动;另一种是信息直接通过网络传输,导致信息的流动。
严格的说,前者的信息本身是处于静态的,是借助于媒介的运动才形成的信息流,而后者的信息本身就是动态的,它在网络中传输需要经过编码和解码的过程。
我们在电子商务中所讲的信息流通常情况讲的就是后者。
9、国际联网答:
国际联网:
是指中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络,以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相联接。
10、国际出入口信道答:
国际出入口信道:
是指国际联网所使用的物理信道。
六、筒答题
1、信息流动的方式有哪些,它们之间的区别在哪里?
分别可以采用哪些方法来管理信息流?
答:
信息的流动方式有两种:
第一种是信息存储在一些媒体上,如存在U盘里,手机上等等,再通过现代的通信方式或携带,或邮寄,或托运等,导致信息的流动:
第二种是直接通过网络传输信息,导致信息的流动。
它们的区别在于,第一种方式的信息本身是静态的,是借助于媒介的运动才形成的信息流,而第二种的信息本身就是动态的,它在网络中传输需要经过编码和解码的过程。
在目前,第一种方式和第二种方式分别采用的是计算机信息媒体进出境申报制度和计算机信息网络国际联网安全保护管理办法来进行信息流管理和控制。
2、为什么说购买国外安全专用产品具有安全隐患呢?
答:
(1)后门的存在;
(2)需要安装安全专用产品的计算机信息系统,其重要性通常与所选的产品安全功能等级成正比,因此,众多的安全产品用户,就是一份机密目标单位清单。
3、计算机安全专用产品管理为什么要遵循独立自主的原则?
答:
坚持独立自主的研究开发和管理计算机信息系统安全技术和产品,其目的在于确实掌握和控制安全专用产品的生命期的全过程,即研究开发期、流通销售等交付期、实际使用等运行期。
尤其是把握安全产品的开发进程及其所处的环境,守住销售之类的交付关口,对于确保技术产品安全功能的有效和可靠,至关重要。
4、请简单介绍我国关于信息安全等级保护工作的实施意见中对信息和信息系统的安全等级划分情况。
答:
关于信息安全等级保护工作的实施意见中将信息和信息系统的安全保护等级分为5级。
第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
5、结合计算机安全事件的特点,在出现计算机安全事件时,应该采取什么样的措施?
答:
由于计算机安全事件本身具有发生、发展的时间过程,以及事件发生后人们对事件认识不断深入的特性,因此,计算机安全事件的定级分类具有动态性的特点。
这就意味着对同一计算机安全事件的定级分类,从报告、应急处置到调查处理评估的整个过程的不同阶段可能有不同的结果。
又由于人们认知水平的差异性、局限性以及事件本身的复杂性,当计算机安全事件发生后,人们对计算机安全事件所造成的公众影响、业务影响、资产损失和造成该安全事件的原因的认识会有较大的差异,在事件处理完毕、最终的评估分析结果确定之前,对计算机安全事件的定级分类更多地取决于事件的判别主体对事件己知信息的快速汇总分析和主观判断的结果。
因此,事件的定级分类具有主观性的特点。
综上所述,在出现计算机安全事件时,相关单位的相关人员可根据当时所掌握的信息对该事件的定级、分类给出阶段性报告。
当由于事件升级或对事件认识程度提高而引起对同一事件的分类定级结果发生变化时,应及时更新定级分类结果,重新制定计算机案件报告以备案。
6、请概括介绍一下我国金融电子化系统的五个安全等级。
答:
我国金融电子化系统分为5个安全等级。
(1)系统安全一级。
存储、处理和传输绝密信息的金融电子化系统。
该系统中信息一旦泄露或破坏,会给国家安全和利益带来特别严重的损害,对金融业造成巨大的经济损失。
因此,系统应能确保连续可用,不因局部的毁坏、故障、事故、差错造成系统效率的降低。
(2)系统安全二级。
存储、处理和传输机密信息的金融电子化系统。
该系统中信息一旦泄露或破坏,会给国家安全和利益带来严重的损害,对金融业造成很大的经济损失。
因此,系统应能连续可用,局部的毁坏、故障、事故、差错虽然可能影响了系统的效率,但仍能正确运行。
(3)系统安全三级。
存储、处理和传输秘密信息的金融电子化系统。
该系统中信息一旦泄露或破坏,会使国家安全和利益遭受损害,金融业造成一定的经济损失。
因此,系统应能确保连续可用,不因局部的毁坏、故障、事故、差错造成系统效率的降低。
(4)系统安全四级。
存储、处理和传输不属于国际密级,但属金融业内部掌握、具有敏感性的金曦电子化系统。
该系统中的信息一旦泄露或破坏,会使银行、证券交易商、保险公司及其客户陷入困境,甚至造成损失,使其社会声誉受到损害,因此,系统应有对局部毁坏、故障、事故、差错在短时间内得到排除、纠正和恢复的能力。
(5)系统安全五级。
存储、处理和传输不属于以上保护级别的电子化系统。
该系统的毁坏、故障、事故,可能会造成某些金融业务的停顿,影响某些金融业务的效率,但经济损失不大。
7、信息与信息安全的保护等级有哪些?
划分的目的是什么?
答:
由公安部、国家保密局、国际密码管理委员会办公室和国务院信息化工作办公室共同制定的关于信息安全等级保护工作的实施意见中将信息和信息系统的安全保护等级分为5级:
第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
实施计算机信息系统的安全保护,最终的目的是为了保护计算机信息系统所承载的信息,所以说,计算机信息系统中的信息的安全等级,是划分系统安全等级的依据。
而系统所采用的计算机及其运行的物理环境的安全等级,是计算机信息系统安全等级保护实施的具体化和细分化。
8、参照国际标准,谈谈我国信息技术安全产品的评估等级划分。
答:
我国信息技术安全产品的评估等级划分。
由低到高划分为评估保证级1(EAL1)至评估保证级7(EAL7)共7个级别,分别为:
功能测试;结构测试:
系统测试和检查;系统设计、测试和复查;半形式化设计和测试;半形式化验证的设计和测试以及形式化验证的设计和测试。
中国信息安全产品测评认证中心有关负责人表示,信息安全认证是对信息技术领域内产品、系统、服务提供商和人员的资质和能力符合规范及安全标准要求的保障。
七、案例题SimPay公司在支付领域遭遇滑铁卢成功的电子商务的一个首要条件,就是有实用的电子支付系统。
目前,在欧洲和西方国家有超过一百种电子支付系统在运转和使用,系统生产商都明白,虽然现有电子支付系统的数量可能会发展到几百种,但是,并不是所有的电子支付系统都能走向成功。
实际上,许多早期的电子支付系统已然崩溃或者正在走向电子支付的坟墓。
电子支付系统成功案例的缺乏不仅限于首批走向市场的老一代系统,甚至包括现行的微型电子支付设备也是如此。
欧洲四大移动设备生产商之一的SimPay公司,是由Orange、Telef6nicaM6viles、T-Mobile和Vodafone四家公司在2003年共同创立的。
伴随着对于数据加工处理能力的提高,SimPay的成立将使得巨额货币支付成为现实。
全世界SimPay公司的首批无线用户基础会员就超过了28亿。
SimPay的商业起飞蓝图也制定到了xx年第一季度。
所以,作为一个由通信产业里一些支柱型企业共同成立的SimPay公司,拥有一个让人印象深刻的并且是在不断成长的用户基础,似乎肯定会成长为电子支付领域,特别是在移动支付领域的一个大型的成功企业。
然而,在xx年6月,作为创始人之一的T-Mobile退出SimPay,紧接着,余下的公司也退出SimPay公司,SimPay终于倒闭。
因此,在电子支付领域,失败的案例不仅仅局限于那些旧的或小型的电子支付体系,新的和大型的电子支付体系同样可能会被无情地淘汰。
思考题:
1、网络互联的主要途径有(AD)
。
A、有线
B、分组交换网和国际专线
C、调制解调器
D、无线
2、制定计算机信息网络国际联网安全保护管理办法的基本指导思想包括(ABCD)。
A、体现促进发展的原则
B、体现保障安全的原则
C、体现严格管理的原则
D、体现与国家现行法律体系一致性的原则
3、计算机安全专用产品管理应该坚持(ABC)。
A、独立自主原则
B、规范化管理原则
C、法制化管理原则
D、一体化管理原则
4、什么样的电子支付系统可能会成功,而谁又会失败?
制度性的安全保护是成功的电子支付系统的必要条件吗?
4、案例解析SimPay的失败出乎很多人的意外,四家行业巨头组成的巨无霸移动支付系统,竟然如此轻易就退出了历史舞台。
实际上,一个成功的电子支付系统需要具备多个要素:
第一个要素,需要政府指引。
很多政府部门,例如英国的贸易与工业部,会罗列详尽的可供业界选择的电子支付手段,英国的贸易与工业部甚至提供电子支付比较工具供业界选择合适的电子支付手段。
第二个要素,需要有信用卡和转账卡,这是主流支付手段。
不难理解,信用卡和转账卡公司在开发具有安全性的支付系统方面扮演着重要的角色。
第三个要素,需要安全电子交易。
它提供了一个互联网上传送信用卡资料的安全渠道,确定使用信用卡的人正是持卡人。
Visa和MasterCard联合开发的SET(安全电子交易)标准就是为了解决这个问题而进行的。
第四个要素,解决支付系统中各商业集团的利益分配问题。
支付系统是一个复杂的系统工程,涉及很多的行业和部门。
一项技术或是一个商业方案的应用和推广,必须满足整个系统中各个部分的利益,才能获得长足的发展。
SimPay的失败揭示了一个一直以来在建设支付系统问题上始终被掩盖的问题。