在美国TCSEC中把计算机安全等级分为八类.docx

1、在美国TCSEC中把计算机安全等级分为八类 在美国TCSEC中把计算机安全等级分为八类一、 单 选题 1、在美国 TCSEC 中把计算机安全等级分为八类，其中属于自主 保护类的是 ( C )。 A 、 A 类 B、 B 类 C、 C 类 D、 D 类 2、下列安全技术措施中美国 TCSEC 安全级别中 B2级别所不具有 的是 ( B )。 A 、鉴别使用口令登录的各用户 B、实时威胁监控 C、操作管理人员分离 D、隐蔽信道事件审核 3、在我国关于信息安全等级保护工作的实施意见中，适用 于涉及国家安全、社会秩序、经济建设和公共利益的重要信息 和信息 系统，其受到破坏后，会对国家安全、社会秩序、经

2、济建设和公共利 益造成严重损害的安全级别为 ( D )。 A 、专控保护级 B、强制安全区域保护级 C、结构强制保护级 D、强制保护级 4、网络互联的主要途径有 ( A ) 。 A 、有线和无线 B、分组交换网和国际专线 C、调制解调 器 D、ADSL 5、制定计算机信息网络国际联网安全保护管理办法的基本指 导思想包括 (A )。 A 、体现促进发展的原则 、 体现保障安全的原则 、 体现严格管理 的原则 、 体现与国家现行法律体 系一致性的原则 B、 体现促进发展的原则、体现保障安全的原则 C、 体现保障安全的原则、体现严格管理的原则 D、 体现严格管理的原则、体现与国家现行法律体系一致性的

3、原 则 6、在计算机信息系统安全专用产品分类原则中，媒体数据 安全属于 (A ) 。 A 、实体安全 B、信息安全 C、运行安全 D、数据安全 7、当安全专用产品的功能发生改变后销售时，确定是否需要重 新申领销售许可证 ( A )。 A 、需要 B、不需要 C、没有法律规定，随申请人喜好 D、视情况而定 8、下列说法正确的是 (AC )。 A 、对于存放计算机信息系统备份器件的场地，其安全要求除了应 与计算机房同等要求外，通常还有附加的特殊要求 。B 、国家秘密的密级分为 绝密 、 机密 、 保密3 级，它的划 分是以国家秘密对于国家的安全和利益的重要程度，以及泄露之后的 损害后果为依据的 C

4、、计算机信息媒体具有容量 小 ，体积 大 ，复制 不 方便的 缺点 D、受灾恢复计划辅助软件属于运行安全产品里的备份与恢复类 产品 9、以下不属于计算机安全事件里的常规事故的是 ( C )。 A 、故意破坏硬件设备 B、误 操作破坏软件 C、电力故障 D、软件自身故障10 (D )是第三级的计算机安全事件。 A 、计算机安全事件对计算机信息系统所承载的业务以及事发单位 利益有一定的影响或破坏 B、计算机安全事件对计算机信息系统所承载的业务、事发单位 利益以及社会公共利益有极其严重的影响或破坏，对社会稳定、国家 安全造成严重危害 C、计算机安全事件对计算机信息系统所承载的业务、事发单位 利益以及

5、社会公共利益有灾难性的影响或破坏，对社会稳定和国家安 全产生灾难性的危害 D、计算机安全事件对计算机信息系统所承载的业务 、事发单位 利益以及社会公共利益有较为严重的影响或破坏，对社会稳定、国家 安全产生一定危害 二、多选题 1、下列安全技术措施中美国 TCSEC 安全级别中 B2级别所具有的 是 ( A C D )。 A 、鉴别使用口令登录的各用户 B、实时威胁监控 C、操作管理人员分离 D、隐蔽信道事件审核 2、网络互联的主要途径有 ( A D ) 。 A 、有线 B、分组交换网和国际专线 C、调制解调器 D、 无线 3、制定计算机信息网络国际联网安全保护管理办法的基本指 导思想包 括 (

6、ABCD )。 A 、体现促进发展的原则 B、体现保障安全的原则 C、体现严格管理的原则 D、体现与国家现行法律体系一致 性的原则 4、下列说法正确的是 (AC )。 A 、对于存放计算机信息系统备份器件的场地，其安全要求除了应 与计算机房同等要求外，通常还有附加的特殊要求 B、国家秘密的密级分为 绝密 、 机密 、 保密3 级，它的划 分是以国家秘密对于国家的安全和利益的重要程度，以及泄露之后的 损害后果为依据的 C、计算机信息媒体具有容量大，体积小，复制方便的特点 D、受灾恢复计划辅 助软件属于运行安全产品里的备份与恢复类 产品 5、以下属于计算机安全事件里的常规事故的是 ( A B D

7、)。 A 、故意破坏硬件设备 B、误操作破坏软件 C、电力故障 D、软件自身故障6 (A B C )不 是第三级的计算机安全事件。 A 、计算机安全事件对计算机信息系统所承载的业务以及事发单位 利益有一定的影响或破坏 B、计算机安全事件对计算机信息系统所承载的业务、事发单位 利益以及社会公共利益有极其严重的影响或破坏，对社会稳定、国家 安全造成严重危害 C、计算机安全事件对计算机 信息系统所承载的业务、事发单位 利益以及社会公共利益有灾难性的影响或破坏，对社会稳定和国家安 全产生灾难性的危害 D、计算机安全事件对计算机信息系统所承载的业务、事发单位 利益以及社会公共利益有较为严重的影响或破坏，

8、对社会稳定、国家 安全产生一定危害 7、计算机安全专用产品管理应该坚持 (A B C)。 A 、独立自主 原则 B、规范化管理原则 C、法制化管理原则 D、 一体化 管理原则 8、计算机安全事件在第一层上可分为 （ A B C D） 和其他事件等 分类。 A 、环境灾害 B、常规事故 C、内容异常 D、网络或系统异常 9、计算机安全事件的定级分类具有 (A B)的特点。 A 、动态性 B、主观性 C、静 态性 D、客 观性 10、计算机信息媒体出入境的一般处理是 (A B C D)。A 申报 B、检测 C、报送 D、其他 三、 填空题 1、我国关于信息安全等级保护工作的实施意见中将信息和信 息

9、系统的安全保护等级分为5 级，安全等级最低的一级是 自主保护 级 ，安全等级最高的一级是 专控保护级 。 2、计算机信息系统中的 信息的安全等级 ，是划分系统安全等 级的依据 。而 计算机 的安全等级和 物理环境 的安全等级， 是计算机信息系统安全等级保护实施的具体化和细分化。 3、 计算机信息系统实行安全等级保护 ，是我国计算机信息系 统安全保护的一项基本制度。 4、计算机信息媒体出入境的实质是 媒体中所存储的信息的出 入境 。 5、计算机安全专用产品管理应该坚持 独立自主 原则和规 范化、法制化管理原则。 6、中华人民共和国境内的安全专用产品进入市场销售，实行 销售许可证 制度。任何单位和

10、个人都不可以销售没有 销售许可 标记的安全专用产 品。 7、计算机安全事件在第一层上可分为 环境灾害 、 常规事 故 、内容异常、网络或系统异常和其他事件等5 个分类。 8、计算机安全事件的定级分类具有动态性、 主观性 的特点。 9、我国的计算机安全事件采用 计算机案件报告 制度。 10、计算机信息媒体出入境的一般处理是 申报 、 检测 和 报送 及其他。 四、 判断题 1、一旦某一信息被确定为高级别的安全等级，则其对任何人员来 说都是高级别的。 ( 错 ) 2、1988年9月5日公布的中华 人民共和国保守国家秘密法中 指出，经国家工作部门确定应当保守的秘密事项同样属于国家秘密。 ( 错 )

11、3、信息的统计相关性使得信息保密工作更为艰难。 ( 对 ) 4、计算机信息媒体出入境的普遍办理过程一般为先报送，后 检测，最后申报。 ( 错 ) 5、计算机信息网络国际联网安全保护管理贯彻 “谁主管谁负 责”的原则。 ( 对 ) 6、准确的分清所面对的具体设备系统的 地线系统 的层次关 系，正确予以 接地 和 接 0比设定准确的接地电阻数值更重要。 ( 对 ) 7、在计算机信 息系统安全专用产品分类原则中，加密设备 属于实体安全这一大类里的设备安全。 ( 错 ) 8、我国计算机信息系统安全专用产品检测和销售许可证管理 办法适用于我国境内市场与境外市场的计算机信息系统。 ( 错 ) 9、根据计算

12、机安全事件所造成后果的严重程度，计算机安全事件 可划分为5个等级。其中1级危害程度最高，5级危害程度最低。 ( 对 ) 10、3 级以上的计算机安全事件称为重大信息安全事件。 ( 错 ) 五、 名词解释题 1、接入单位 答： 接入单位 :是指负责接入网络运行的单位。 2、信息安全 答： 信息安全 :保护信息和信息系统，以避免未授权的访问、使 用、泄漏、破坏、修改或 者销毁，以确保信息的完整性、保密性和 可用性。 3、计算机信息媒体 答： 计算机信息媒体 :指具有存储功能的集成电路存储器、磁盘、 磁带、光盘等，它们可以存储备种形式的信息，如文字、图形、声 音、图像、视频、动画等等。 4、实体安全

13、 答： 实体安全 :保护计算机设备、设施 (含网络 )以及其他媒体免 遭地震、水灾、火灾、有害气体和其他环境事故 (如电磁污染等 )破 坏的措施和过程。 5、运行安全 答： 运行安全 :为保障系统功能的 安全实现，提供一套安全措施 (如风险分析，审计跟踪，备份与恢复，应急等 )来保护信息处理过 程的安全。 6、计算机安全专用产品 答： 计算机安全专用产品 :用于保护计算机信息系统安全的专用硬 件和软件产品。它可以分为三大类 :实体安全产品、运行安全产品和 信息安全产品。 7、计算机安全事件及其主体和客体 答： 计算机安全事件 :对计算机信息系统的可用性、完整性、保密 性、真实性、可核查性和可靠

14、性等造成危害的事件，或者是在计算机 信息系统发生的对社会造成负面影响的其他事件。它的主体是计算机 安全事件的制造者或造成计算机安全事件的 最终原因 ； 它的客体是受 计 算机安全事件影响或发生计算机安全事件的计算机信息系统，具 体地说，计算机安全事件的客体可分为信息系统、信息内容和网络基 础设施三大类。 8、信息的流通途径 答： 信息的流动方式 :信息的流动方式有两种 :一种是信息存储在 一些媒体上，如存在 U盘里，手机上等等，再通过现代的通信方式或 携带，或邮寄，或托运等，导致信息的流动 ;另一种是信息直接通过 网络传输，导致信息的流动。严格的说，前者的信息本身是处于静态 的， 是借助于媒介

15、的运动才形成的信息流，而后者的信息本身就是 动态的，它在网络中传输需要经过编 码和解码的过程。我们在电子商 务中所讲的信息流通常情况讲的就是后者。 9、国际联网 答： 国际联网 :是指中华人民共和国境内的计算机互联网络、专业 计算机信息网络、企业计算机信息网络，以及其他通过专线进行国际 联网的计算机信息网络同外国的计算机信息网络相联接。 10、国际出入口信道 答： 国际出入口信道 :是指国际联网所使用的物理信道。 六 、 筒答题 1、信息流动的方式有哪些，它们之间的区别在哪里 ?分别可以采 用哪些方法来管理信息流 ? 答： 信息的流动方式有两种 :第一种是信息存储在一些媒体上， 如存在 U盘里

16、，手机上 等等，再通过现代的通信方式或携带，或邮寄， 或托运等，导致信息的流动 :第二种是直接通过网络传输信息，导致 信息的流动。它们的区别在于，第一种方式的信息本身是静态的，是 借助于媒介的运动才形成的信息流，而第二种的信息本身就是动态 的，它在网络中传输需要经过编码和解码的过程。在目前，第一种方 式和第二种方式分别采用的是计算机信息媒体进出境申报制度和计 算机信息网络国际联网安全保护管理办法来进行信息流管理和控 制。 2、为什么说购买国外安全专用产品具有安全隐患呢 ? 答： (1)后门的存在 ； (2)需要安装安全专用产品的计 算机信息系统，其重要性通常 与所选的产品安全功能等级成正比，因

17、此，众多的安全产品用户，就 是一份机密目标单位清单。 3、计算机安全专用产品管理为什么要遵循独立自主的原则 ? 答： 坚持独立自主的研究开发和管理计算机信息系统安全技术和 产品，其目的在于确实掌握和控制安全专用产品的生命期的全过程， 即研究开发期、流通销售等交付期、实际使用等运行期。尤其是把握 安全产品的开发进程及其所处的环境，守住销售之类的交付关口，对 于确保技术产品安全功能的有效和可靠，至关重要。 4、请简单介绍我国关于信息安全等级保护工作的实施意见 中对信息和信息系统的安全等级划分情况。 答： 关于信息安全等级保护工作的实施意见中将信息和信息 系统的安全保护等级分为5级。 第一级为自主保

18、护级，适用于一般的信息和信息系统，其受到 破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国 家安全、社会秩序、经济建设和公共利益。 第二级为指导保护级，适用于一定程度上涉及国家安全、社会 秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后， 会对国家安全、社会秩序、经济建设和公共利益造成一定损害。 第三级为监督保护级，适用于涉及国家安全、社会秩序、经 济 建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、 社会秩序、经济建设和公共利益造成较大损害。 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济 建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安

19、 全、社会秩序、经济建设和公共利益造成严重损害。 第五级为专控保护级，适用于涉及国家安全、社会秩序、经济 建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏 后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损 害。 5、结合计算机安全事件的特点，在出现计算机安全事件时，应 该采 取什么样的措施 ? 答： 由于计算机安全事件本身具有发生、发展的时间过程，以及 事件发生后人们对事件认识不断深入的特性，因此，计算机安全事件 的定级分类具有动态性的特点。这就意味着对同一计算机安全事件的 定级分类，从报告、应急处置到调查处理评估的整个过程的不同阶段 可能有不同的结果。又由于人们认知水平

20、的差异性、局限性以及事件 本身的复杂性，当计算机安全事件发生后，人们对计算机安全事件所 造成的公众影响、业务影响、资产损失和造成该安全事件的原因的认 识会有较大的差异，在事件处理完毕、最终的评估分析结果确定之前， 对计算机安全事 件的定级分类更多地取决于事件的判别主体对事件 己知信息的快速汇总分析和主观判断 的结果。因此，事件的定级分 类具有主观性的特点。综上所述，在出现计算机安全事件时，相关单 位的相关人员可根据当时所掌握的信息对该事件的定级、分类给出阶 段性报告。当由于事件升级或对事件认识程度提高而引起对同一事件 的分类定级结果发生变化时，应及时更新定级分类结果，重新制定计 算机案件报告以

21、备案。 6、请概括介绍一下我国金融电子化系统的五个安全等级。 答： 我国金融电子化系统分为5个安全等级。 (1)系统安全一级。存储、处理和传输绝密信息 的金融电子化 系统。该系统中信息一旦泄露或破坏，会给国家安全和利益带来特别 严重的损害，对金融业造成巨大的经济损失。因此，系统应能确保连 续可用，不因局部的毁坏、故障、事故、差错造成系统效率的降低。 (2)系统安全二级。存储、处理和传输机密信息的金融电子化 系统。该系统中信息一旦泄露或破坏，会给国家安全和利益带来严重 的损害，对金融业造成很大的经济损失。因此，系统应能连续可用， 局部的毁坏、故障、事故、差错虽然可能影响了系统的效率，但仍能 正确

22、运行。 (3)系统安全三级。存储、处理和传输秘密信息的金融电子化 系统。该系 统中信息一旦泄露或破坏，会使国家安全和利益遭受损害， 金融业造成一定的经济损失。因此，系统应能确保连续 可 用，不因局 部的毁坏、故障、事故、差错造成系统效率的降低。 (4)系统安全四级。存储、处理和传输不属于国际密级，但属 金融业内部掌握、具有敏感性的金曦电子化系统。该系统中的信息一 旦泄露或破坏，会使银行、证券交易商、保险公司及其客户陷入困境， 甚至造成损失，使其社会声誉受到损害，因此，系统应有对局部毁坏、 故障、事故、差错在短时间内得到排除、纠正和恢复的能力。 (5 )系统安全五级。存储、处理和传输不属于以上保

23、护 级别的 电子化系统。该系统的毁坏、故障、事故，可能会造成某些金融业务 的停顿，影响某些金融业务的效率，但经济损失不大。 7、信息与信息安全的保护等级有哪些 ?划分的目的是什么 ? 答： 由公安部、国家保密局、国际密码管理委员会办公室和国务 院信息化工作办公室共同制定的关于信息安全等级保护工作的实施 意见中将信息和信息系统的安全保护等级分为5级 : 第一级为自主保护级，适用于一般的信息和信息系统，其受到 破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国 家安全、社会秩序、经济建设和公共利益。 第二级为指导 保护级，适用于一定程度上涉及国家安全、社会 秩序、经济建设和公共利益的一般

24、信息和信息系统，其受到破坏后， 会对国家安全、社会秩序、经济建设和公共利益造成一定损害。 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济 建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、 社会秩序、经济建设和公共利益造成较大损害。 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济 建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安 全、社会秩序、经济建设和公共利益造成严重损害。 第五级为专控保护级，适用于 涉及国家安全、社会秩序、经济 建设和公共利益的重要信 息和信息系统的核心子系统，其受到破坏 后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损

25、害。 实施计算机信息系统的安全保护，最终的目的是为了保护计算 机信息系统所承载的信息，所以说，计算机信息系统中的信息的安全 等级，是划分系统安全等级的依据。而系统所采用的计算机及其运行 的物理环境的安全等级，是计算机信息系统安全等级保护实施的具体 化和细分化。 8、参照国际标准，谈谈我国信息技术安全产品的评估等级划分。 答： 我国信息技术安全产品的评估等级划分。由低到高 划分为评 估保证级1 (EAL1)至评估保证级7(EAL7)共7个级别，分别为 :功能测 试 ;结构测试 :系统测试和检查 ； 系统设计、测试和复查 ； 半形式化设 计和测试 ； 半形式化验证的设计和测试以及形式化验证的设计和

26、测 试。中国信息安全产品测评认证中心有关负责人表示，信息安全认证 是对信息技术领域内产品、系统、服务提供商和人员的资质和能力符 合规范及安全标准要求的保障。 七、案例题 SimPay公司在支付领域遭遇 滑铁卢 成功的电子商务的一个首要条件，就是有实用的电子支付系统。 目前，在欧洲和西方国家有超过一百种电子支付系 统在运转和使用， 系统生产商都明白，虽然现 有电子支付系统的数量可能会发展到几 百种，但是，并不是所有的电子支付系统都 能走向成功。实际上， 许多早期的电子支付系统已然崩溃或者正在走向电子支付的坟墓。 电子支付系统成功案例的缺乏不仅限于首批走向市场的老一代 系统，甚至包括现 行的微型电

27、子支付设备也是如此。欧洲四大移动 设备生产商之一的 SimPay 公司，是由 Orange、 Telef6nica M6viles、 T-Mobile 和 Vodafone 四家公司在2003 年共同创立的。伴随 着对于 数据加工处理能力的提高， SimPay 的成立将使得巨额货币支付成为 现实。全世 界 SimPay 公司的首批无线用户基础会员就超过了28 亿。S imPay 的商业起飞蓝图也制定 到了xx 年第一季度。所以，作为 一个由通信产业里一些支柱型企业共同成立的 SimPay 公司，拥有一 个让人印象深刻的并且是在不断成长的用户基础，似乎肯定会成 长 为电子支付领域，特别是在移动支

28、付领域的一个大型的成功企业。然 而，在xx 年6 月，作为创始人之一的 T-Mobile 退出 SimPay，紧 接着，余下的公司也退出 SimPay 公司， SimPay 终于倒闭。因此， 在电子支付 领域，失败的案例不仅仅局限于那些旧的或小型 的电子 支付体系，新的和大型的电子支付体系同样可能会被无情地淘汰。 思考题： 1、网络互联的主要途径有 ( A D ) 。 A 、有线 B、分组交换网和国际专线 C、调制解调器 D、 无线 2、制定计算机信息网络国际联网安全保护管理办法的基本指 导思想包括 (ABCD )。 A 、体现促进发展的原则 B、体现保障安全的原则 C、体现严格管理的原则 D

29、、体现与国家现行法律体系一致 性的原则 3、计算机安全专用产品管理应该坚持 (A B C)。 A 、独立自主 原则 B、规范化管理原则 C、法制化管理原则 D、 一体化 管理原则 4、什么样的电子支付系统可能会成功，而谁又会失败 ? 制度性的 安全保护 是成功的电子支付系统的必要条件 吗 ? 4、案例解析 SimPay的失败出乎很多人的意外，四家行业巨头组成的 巨无霸 移动支付系统，竟然如此轻易就退出了历史舞台。实际上，一个成 功的电子支付系统需要具备多个要素 : 第一个要素，需要政府指引。很多政府部门，例如英国的贸易与 工业部，会罗列详尽的可供业界选择的电子支付手段，英国的贸易与 工业部甚至

30、提供 电子支付比较 工具 供业界选择合适的电子支付手 段。 第二个要素，需要有信用卡和转账卡，这是主流支付手段。不难 理解，信用卡和 转账卡公司在开发具有安全性的支付系统方面扮演 着重要的角色。 第三个要素，需要安全电子交易。它提供了一个互联网上传送信 用卡资料的安全渠道，确定使用信用卡的人正是持卡人。V isa和 MasterCard联合开发的 SET (安全电子 交易 )标准就是为了解决这个 问题而进行的。 第四个要素，解决支付系统中各商业集团的利益分配问题。支付 系统是一个复杂的系统工程，涉及很多的行业和部门。一项技术 或是 一个商业方案的应用和推广，必须满足整个系统中各个部分的利益， 才能获得长足的发展。S imPay 的失败揭示了一个 一直以来在建设支 付系统问题上始终被掩盖的问题。