2．消息认证是 验证信息的完整性 ，即验证数据在传送和存储过程中是否被篡改、重放或延迟等。

3．MAC函数类似于加密，它于加密的区别是MAC函数 不 可逆。

4．Hash函数是可接受 变长 数据输入，并生成 定长 数据输出的函数。 5. P2DR的含义是：策略、防护、检测、反应。

三、名词解释（共20分，每题4分）

列举并解释ISO/OSI中定义的5种标准的安全服务。 （1）鉴别

用于鉴别实体的身份和对身份的证实，包括对等实体鉴别和数据原发鉴别两种。 （2）访问控制

提供对越权使用资源的防御措施。

（3）数据机密性

针对信息泄露而采取的防御措施。分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。

（4）数据完整性

防止非法篡改信息，如修改、复制、插入和删除等。分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。 （5）抗否认

是针对对方否认的防范措施，用来证实发生过的操作。包括有数据原发证明的抗否认和有交付证明的抗否认两种。

四、问答题（共25分，每题5分）

1. 简述如何确定一个信息系统的安全保护等级。

答：为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在“信息系统所属类型”、“业务信息类型”、“业务系统服务范围”和“业务依赖程度”四个定级要素方面的复制，然后分别由四个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级，再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全宝华等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。

2. 信息安全技术机制通常被划分为几个层次。试在每个层次中列举两种主要的安全机制。

答：信息安全技术机制通常可以划分为四个层次，每一层次中典型的安全机制如下所示： （1）物理层安全，如视频监控、门禁系统； （2）网络等安全，如防火墙、IPSecVPN；

（3）系统层安全，如杀毒软件，主机入侵检测系统； （4）应用层安全，如用户身份认证、应用层加密。

3. 简述信息安全发展所历经的三个主要阶段以及它们各自的特点。 答：信息安全发展历经了三个主要阶段：

（1）通信保密阶段，在这个阶段中，关注的是通信内容的保密性属性，保密等同于信息安全。

（2）信息安全阶段，人们发现，在原来所关注的保密性属性之外，还有其他方面的属

性也应当是信息安全所关注的，这其中最主要的是完整性和可用性属性，由此构成了支撑信息安全体系的三要素。

（3）安全保障阶段，所谓安全保障，就是在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Delection和响应Restoration）四个主要环节相互配合，构成一个完整的保障体系。

4.简述我国刑法对网络犯罪的相关规定。

答：我国刑法关于网络犯罪的三个专门条款，分别规定了非法侵入计算机信息系统罪（第285条）；破坏计算机信息系统罪（第286条）；利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪（第287条），并将其一并归入分则第六章“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”。 5. 简述安全策划体系所包含的内容。

答：一个合理的信息安全策略体系可以包括三个不同层次的策略文档：

（1）总体安全策略，阐述了指导性的战略纲领性文件，阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容；

（2）针对特定问题的具体策略，阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容，例如，针对Internet访问操作、计算机和网络病毒

防治、口令的使用和管理等特定问题，制定有针对性的安全策略；

（3）针对特定系统的具体策略，更为具体和细化，阐明了特定系统与信息安全有关的使用和维护规则等内容，如防火墙配置策略、电子邮件安全策略等。

五、论述题（共1题，计15分）

试述你是如何理解信息安全领域\三分技术，七分管理”这名话的

参考答案

虽然目前有众多的安全产品，但没有任何一种能提供全方位的解决方案。

1)防病毒软件:不能保护机构免受使用合法程序对系统进行访问的入侵者进行的恶意破坏，也不能保护机构免受另一类合法用户的破坏。

2)访问控制:不会阻止人们利用系统脆弱点以管理员身份获得对系统的访问并查看系统文件 3)防火墙:不会阻止攻击者使用一个允许的连接进行攻击。也不能防止内部攻击。

4)入侵检测:不能检测出合法用户对信息的非正常访问。支持自动保护功能的入侵检测系统还可以带来附加的安全问题。如系统配置为阻止某个攻击地址的访问，之后会发现某用户的通信被错误识别为攻击通信，则其再无法与你通信了。

5)策略管理:可能没有考虑系统的薄弱点或应用软件中的错误配置。这有可能导致侵入。计算机上的策略管理也不能保证用户不写下他们的密码或将密码提供给未经授权的人。 6)薄弱点扫描:本身并不会保护计算机系统，需在找出薄弱点后采取安全措施。该方法也不会发现合法用户进行的不正当访问，也不能发现已经进入系统、查找配置文件或补丁程序的弱点的入侵者。

7)加密:加密系统并不能分辨提交了同样加密算法密钥的用户是合法还是非法用户。加密本身不能提供安全保障，还必须对加密密钥和系统有一个整体控制。

8)物理安全机制:不能保护系统不受到合法访问进行的攻击或通过网络实施的攻击。 所以安全技术和产品只是安全实践活动的一部分，是实现安全需求的手段，还应包括： 制定完备的安全策略，?

通过风险评估来确定需求，?

根据需求选择安全技术和产品，?

按照既定安全策略和流程规范来实施、维护和审查安全措施。? 信息安全并不是技术过程，而是管理过程。

试题三

一、选择题（共20分，每题2分）

1. 数据在存储过程中发生了非法访问行为，这破坏了信息安全的______属性。 A.保密性 B.完整性 C.不可否认性 D.可用性 2. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的______属性。

A.保密性

C.不可否认性 A.时间模型 C.结构模型

B.完整性 D.可用性 B.作用模型 D.关系模型

D.英国

3. PDR安全模型属于______类型。

4. 《信息安全国家学说》是______的信息安全基本纲领性文件。 A.法国 B.美国 C.俄罗斯

5. 下列的______犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。 A. 窃取国家秘密 B. 非法侵入计算机信息系统 C. 破坏计算机信息系统 D. 利用计算机实施金融诈骗 6. 我国刑法______规定了非法侵入计算机信息系统罪。 A.第284条 B.第285条 C.第286条 D.第287条

7. 信息安全领域内最关键和最薄弱的环节是______。

A.技术 B.策略 C.管理制度 8. 信息安全管理领域权威的标准是______。 A. IS015408 B. IS017799／IS027001 C. IS09001 D. IS014001 9. IS017799／IS027001最初是由______提出的国家标准。 A.美国 B.澳大利亚 C.英国 10. IS017799的内容结构按照______进行组织。 A. 管理原则 B. 管理框架 C. 管理域-控制目标-控制措施 D. 管理制度

D.人

D.中国

二、填空题（共20分，每题2分）

1．密钥管理的主要内容包括密钥的 生成、分配、使用、存储、备份、恢复和销毁。 2. 密钥生成形式有两种：一种是由 中心集中 生成，另一种是由 个人分散 生成。 3.密钥的分配是指产生并使使用者获得 密钥 的过程。