信息安全与可信

可信报告之一：信息安全与可信

来源：天融信时间：2009-01-09 17:43:54 点击次数：1158

文 / 研发中心李海鹏

一、前言

互联网最早是服务于军事与科研的，网络相对封闭，主要用于技术人员之间文件传输和消息传递。此时，所有用户都是可以信任的，网络协议与应用是建立这种假设基础上的。这种基于信任与匿名的假设在很大程度上促进了互联网的迅速普及。

1993 年， P.Steiner 在《 NEW YORKER 》上发表了“On the Internet ， nobody knows you are a d og” 漫画和评论，真实写照了“ 虚拟” 的互联网。互联网的虚拟在给人以巨大包容和开放性的同时，还带来很多欺诈和犯罪行为，再加上系统客观存在的各种各样的漏洞，就产生了一系列信息安全问题。而随着互联网日益深入到社会的政治、军事、经济、文化、生活等方方面面，信息社会必须建立信任保障体系，建立体系化的安全机制。信息安全就是要在开放包容与安全可控、匿名隐私与实名确认之间找到一个平衡点。

信息安全与“可信”具有千丝万缕的联系。在日常的生活中，“可信”是谈论得较多的话题，可以信任，可以信赖等等。“可信”本身是一个多层次、多范畴的概念，它是一个相对的概念，比较模糊。在谈到信息安全时，可信同样有不同的理解与解释，在不同的上下文，在不同的应用领域，可能其内涵都不一样。“可信”既是信息安全的目标，也是一种方法。

传统的信息安全主要通过防火墙、病毒检测、入侵检测及加密等手段实现，是以被动防御为主，结果是不仅各种防御措施花样层出，防火墙越砌越高、入侵检测越做越复杂、恶意代码库越做越大，但是信息安全仍然得不到有效保障。现在研究“可信”的主要目的就是要建立起主动防御的信息安全保障体系。

二、可信计算的历程

可信是通过可信计算达到的一种状态。容错计算、安全操作系统、网络安全、信息安全等领域的研究使可信计算的含义不断拓展，由侧重硬件的可靠性、可用性，到针对硬件平台、软件系统服务的综合可信，再到可信网络连接、网络可信等，一步步适应了 Internet 应用不断发展的需要。

在计算机领域，“ 可信” 主要是从容错计算发展而来， 2000 年 IEEE 国际容错计算会议 (FTCS) 与国际信息处理联合会 (IFIP)10.4 工作组关键应用可信计算工作会议合并，并改名为 IEEE 可信系统与网络国际会议 (ICDSN) 。在容错计算领域，可信性被定义为计算机系统的一种性质，它所提供的服务是用户可感知的一种行为，并可以论证其可信赖，而用户则是能与之互动的另一个系统 ( 人或者物理的系统 ) 。因为“ 可靠(Dependability)” 而“ 可信” ，因此容错计算又称为“ 可靠计算”(Dependable Computing) 。容错计算领域的可信性包括可用性、可靠性、可维护性、安全性、健壮性和可测试性等。

上个世纪 80 年代中期，美国国防部国家计算机安全中心代表国防部为适应军事计算机的保密需要，在 7 0 年代的基础理论研究成果计算机保密模型的基础上，制定并出版了可信计算机安全评价标准 (TCSEC)。在 TCSEC 中第一次提出可信计算机和可信计算基 TCB (Trusted computing base) 的概念，并把 TCB 作为系统安全的基础。 1987 年 7 月，针对网络、安全的系统和数据库的具体情况又做出了三个解释性文件，即可信网络解释 TNI(Trusted Network Interpretation) 、计算机安全系统解释和可信数据库解释TDI(Trusted Database Interpretation) ，形成了安全信息系统体系结构的最早原则。

欧洲于 2006 年 1 月启动了名为“开放式可信计算(pen Trusted Computing) ”的研究计划。

1993 年 1 月，美国公布了融合欧洲的 ITSEC 的可信计算机安全评价准则之联邦准则。

1999 年 10 月为了解决 PC 机结构上的不安全，从基础上提高其可信性，由几大 IT 巨头 Compaq 、 HP 、 IBM 、 Intel 和 Microsoft 牵头组织了可信计算平台联盟 TCPA(Trusted Computing Platform Allian ce) ，成员达 160 家。 TCPA 定义了具有安全存储和加密功能的可信平台模块（ TPM ），并于 2001 年

1 月发布了基于硬件系统的“ 可信计算平台规范”(v1.0) 。 2003 年 3 月 TCPA 改组为 TCG(Truste

d Computing Group) ，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性，扩展可信的范围。

在可信计算领域，现在的情况是技术超前于理论，具有 TPM 功能的 PC 机已经上市（ IBM 、 HP 等），微软提出了 NGSCB （ Next-Generation Secure Computing Base ）的可信计算计划，并在操作系统 VIS TA 支持可信计算机制。 Intel 为支持可信计算，推出相应的新一代处理器和相应的处理技术。现在支持TCG 规范，包含 TPM 的计算机已占北美市场的 60% ，并还在迅速提升中。

三、可信的概念

在计算机应用环境中，对“ 可信” 有多种解释。目前，关于可信尚未形成统一的定义，主要有以下几种说法。

可信计算组织 TCG 用实体行为的预期性来定义可信：如果一个实体的行为总是以预期的方式，朝着预期的目标，则该实体是可信的。其基本思想是在计算机系统中首先建立一个信任根，再建立一条信任链，一级测量认证一级，一级信任一级，把信任关系扩大到整个计算机系统，从而确保计算机系统的可信。

ISO／IEC 15408 标准定义可信为：参与计算的组件、操作或过程在任意的条件下是可预测的，并能够抵御病毒和物理干扰。

微软公司比尔 . 盖茨认为可信计算是一种可以随时获得的可靠安全的计算，并包括人类信任计算机的程度，就像使用电力系统、电话那样自由、安全。

我国著名的信息安全专家屈延文教授的《软件行为学》把“ 可信” 解释为“ 可信性是考察行为预期性的满足，这种预期性满足是在多主体多行为范畴内，实现对行为性质、行为输入输出、行为过程、行为属性等方面符合必须遵守的要求、约定、规定、规则、法律的满足性认识与评价” 。

其它的一些解释还有：可信是指计算机系统所提供的服务是可以论证其是可信赖的；如果一个系统按照预期的设计和政策运行，这个系统是可信的；当第二个实体按着第一个实体的期望行为时，第一个实体可假设第二个实体是可信的等等。这些解释都从不同角度诠释了可信的内涵与外延。

在信息安全领域，可信研究主要着力于解决信息世界当前所面临的普遍的安全威胁和不可信危机，其中 T CG 组织的“可信”的定义受到更多的关注， TCG 也有更多的实践。

对于可信，应当看到：

(1)“ 可信” 包含 TCG 的内容，包含微软的 NGSCB ，但不等于这些。 TCG 不保证终端的内容和行为的可信。可信包含可信计算，但内涵与外延更大。

(2)“ 可信” 包含终端但不只针对终端，尽管可信计算研究源于终端可信。“ 可信” 不仅要包含传统的网络安全技术，而且要能够体现当前的和未来的信息安全要求，应该放到“ 传统的网络安全技术不能解决当前复杂的网络安全问题” 这一大背景下。

(3)“可信”应体现与“可信系统与网络 ( 容错计算)”的交叉与融合。

(4)“可信”不是一套规范，也不是一个具体的安全产品或一套针对性的安全解决方案，而是一个有机的信息安全体系。

(5) 可信的目标是网络可信，主要关注内容是网络元素及其行为以及网络元素之间的行为；

(6)可信计算≠绝对安全。“没有绝对的安全”这一定律并不会因为可信计算平台的普及而失效，可信计算并不能解决所有的安全问题，可信计算平台只是提供了一个支点。

四、可信计算在中国

我国在可信计算技术研究方面起步较早。在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作，并取得了可喜的成果。

早在九十年代，我国就开发了 PC 机安全防护系统，实现了可信防护，其结构、功能与 TCP 类同。

2000 年，武汉瑞达公司开始可信安全计算机的研发工作。 2004 年，推出自主知识产权的可信计算机产品，国密局鉴定为“ 国内第一款可信安全计算平台”。

联想集团和中科院计算所安全芯片的研发工作 2003 年在国密办立项， 2005 年 4 月完成。其安全芯片和可信 PC 平台已通过国密局主持的鉴定。其后长城和联想也相继推出了各自的可信安全计算机产品。

2005 年 4 月，兆日科技推出符合可信计算联盟（ TCG ）技术标准的 TPM 安全芯片，并与长城、同方等多家主流品牌电脑厂商的合作。其安全芯片已通过国密局主持的鉴定。

应用集成的企事业单位也纷纷提出了可信应用框架，如天融信公司的可信网络框架与可信网络世界、卫士通公司的终端控制系统、鼎普公司的可信存储系统等。

2005 年 1 月，我国成立国家安全标准委员会 WG1 可信计算工作小组专门规划相关标准，现在已经推出了《可信计算密码支撑平台技术规范》等几个标准。

2002 年成立了中国信息产业商会信息安全产业分会，之后几年相继出版了《软件行为学》、《银行行为监管》、《银行行为控制》、《信息化的科学梦 --- 从计算机科学到信息化科学》、《 CPK 标识认证》等理论专著，并正式提出了可信网络世界体系结构框架（ Trusted Cyber Architecture Framework ，简称TCAF ）。 TCAF 计划针对中国信息化的体系结构设计核心可信平台以及体系结构与标准化方法的概念、模型、方法、定义、引用和分级进行了描述与说明。

2008 年 4 月底，中国可信计算联盟 (CTCU ) 在国家信息中心成立。现已有 20 家正式成员，包含计算机厂商、信息安全厂商和一些应用厂商，以及国家的科研院所。 CTCU 的成立标志着中国在可信计算领域和信息安全的一次成功的尝试，标志着可信计算由理论逐步转化为产业，转入到实质性的实现阶段 , 并逐步

开始应用到政府、军事等领域。

五、可信网络连接

可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互连可信、互联网交易等应用系统可信等。从范围上讲有计算机系统可信、局域网可信、专用网可信和大规模互联网可信等。从访问控制角度看，可以分为主体身份可信，主体间行为的可信，内容可信等。

对于一般用户，相对更关注“网络互连可信”。网络互连可信包括用于网络连接的物理设备可信、传输可信和可信接入等几个方面。对于用于网络连接的物理设备可信，包括两层： (1) 物理设备本身，即物理设备本身是否可靠，是否可以采用容错计算技术； (2) 设备的位置安全、限制物理访问、物理环境安全和地域因素等，可以通过可信管理方法解决。

可信传输是指为网络实体间在网络交换过程中的发信、转发、接受等提供可信证据，就像现实社会中的邮件，每经一个邮局就要加盖一次印章一样，在每一次转报过程中都要提供经手的证明。但是，目前的网络协议，对如何保证安全传输的问题考虑得不够，更谈不上可信传输了。如作为 Internet 灵魂协议的 TCP /IP ，存在着很大的安全隐患， TCP 扫描攻击、协议栈指纹鉴别、 IP 欺骗、 DNS 欺骗、 DoS 等都是利用了 TCP/IP 的缺陷。如何解决可信传输，目前较好的解决办法是修改网络协议，如 MPLS 、 ATM 和 IP v6 等协议。另外一种方式是利用 IPSEC/SSL/L2TP 等 VPN 技术与产品实现可信传输，同时还可以辅以常规的安全手段。

可信接入即网络的准入控制，符合要求（即满足预期）的终端才被允许接入网络，并被赋予相应的权限。网络准入技术包括平台身份认证、终端环境的完整性检查、网络状态检查、授权、访问控制、隔离及补救等。典型的解决方案有： (1) TGG 的可信网络连接 (Trusted Network Connection ， TNC) ， TNC 侧重与 TPM 绑定的主机身份鉴别与主机完整性验证，是一种开放的工业标准； (2) Cisco 自动防御网络 (Se lf-Defending Network ， SDN) 的“ 网络准入控制 (Network Admission Control ，NAC)” ， NAC 构架中接入设备的位置占了很大的比例，或者说 NAC 自身就是围绕着思科的设备而设计的； (3) 微软的网络访问保护（ Network Access Protection NAP ）， NAP 则偏重在终端 agent 以及接入服务 (VPN 、 DHCP 、 802.1x 、 IPsec 组件 ) 。

六、结论

可信是对已有安全体系的增强，是一种解决安全问题的方法，传统的安全防护体系和方法并不会消失，在未来的很长时间里，可信计算平台与非可信计算平台将互相融合，并朝着更加安全的系统形式发展。

虽然可信的理论研究相对滞后，可信的应用需要开拓，可信的一些思想存在争议，但是不论是对全球互联网的发展，或是对国家的信息安全，或对安全产业界，可信都是巨大的机会。在中国，政府、金融、电信、电力等的采购始终占据着信息安全市场相当高的比例，可信对这些用户有着巨大的吸引力。

[技术管理,计算机网络,信息]计算机网络信息安全技术管理与应用

计算机网络信息安全技术管理与应用 摘要：在互联网高度发达的今天，网络信息安全问题成为全世界共同关注的焦点。包含计算机病毒、木马、黑客入侵等在内的计算机网络信息安全事故频繁发生，给信息时代的人们敲响了警钟。互联网技术的广泛应用，给人们的工作、学习和生活带来了极大的便利，提高了工作效率，降低了活动成本，使原本复杂、繁琐的工作变得简单易行。但互联网开放、自由的特点又使得其不得不面临许多问题。文章围绕基于网络信息安全技术管理的计算机应用进行探讨，分析了当前计算机网络信息安全发展现状及存在的主要问题，介绍了主要的网络信息安全防范技术，希望能够帮助人们更好地了解网络信息安全知识，规范使用计算机，提高网络信息安全水平。 关键词：网络；信息安全；黑客；计算机应用 引言 计算机和互联网的发明与应用是二十世纪人类最重要的两项科学成果。它们的出现，深深改变了人类社会生产、生活方式，对人们的思想和精神领域也产生了重大影响。随着互联网的出现，人类社会已经步入信息时代，网络上的海量信息极大地改善了人们工作条件，原本困难的任务变得简单，人们的生活更加丰富多彩。计算机和互联网在给人们带来巨大的便利的同时，也带来了潜在的威胁。每年因为网络信息安全事故所造成的经济损失就数以亿计。网络信息安全问题也日渐凸显，已经引起各国政府和社会各界的高度关注。加强计算机网络信息安全技术研究与应用，避免网络信息安全事故发生，保证互联网信息使用安全是当前IT 产业重点研究的课题。 1计算机网络信息安全现状及存在的主要问题 1.1互联网本身特性的原因 互联网具有着极为明显的开放性、共享性和自由性特点，正是这三种特性，赋予了互联网旺盛的生命力和发展动力。但同时，这三个特点也给互联网信息安全带来了隐患。许多不法份子利用互联网开放性的特点，大肆进行信息破坏，由于互联网安全管理体制机制尚不完善，用户的计算机使用行为还很不规范，缺乏安全防范意识等，这些都给不法份子进行违法活动创造了机会。 1.2黑客行为与计算机病毒的危害 黑客行为和计算机病毒、木马等是现阶段计算机安全最主要的两大威胁。所谓黑客，是指利用计算机知识、技术通过某种技术手段入侵目标计算机，进而进行信息窃取、破坏等违法行为的人。黑客本身就是计算机技术人员，其对计算机的内部结构、安全防护措施等都较为了解，进而能够通过针对性的措施突破计算机安全防护，在不经允许的情况下登录计算机。目前就世界范围而言，黑客数量众多，规模庞大，有个人行为，也有组织行为，通过互联网，能够对世界上各处联网计算机进行攻击和破坏。由于计算机用途广泛，黑客行为造成的破坏结果也多种多样。计算机病毒是一种特殊的计算机软件，它能够自我复制，进而将其扩散到目标计算机。计算机病毒的危害也是多种多样的，由于计算机病毒种类繁多，且具有极强的

数据中心信息安全管理及管控要求

数据中心信息安全管理及管控要求 2012-02-24 11:29博客康楠 随着在世界范围内，信息化水平的不断发展，数据中心的信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织（ISO）也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准ISO27000：2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。 ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月， ISO27000-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2002年9月5日，ISO27000-2：2002草案经过广泛的讨论之后，终于发布成为正式标准，同时ISO27000-2：1999被废止。现在，ISO27000：2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理，数据中心（IDC）应逐步建立并完善标准化的信息安全管理体系。 一、数据中心信息安全管理总体要求 1、信息安全管理架构与人员能力要求 1.1信息安全管理架构 IDC在当前管理组织架构基础上，建立信息安全管理委员会，涵盖信息安全管理、应急响应、审计、技术实施等不同职责，并保证职责清晰与分离，并形成文件。 1.2人员能力 具备标准化信息安全管理体系内部审核员、CISP（Certified Information Security Professional，国家注册信息安全专家）等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合格的标准化信息安全管理内部审核员 2、信息安全管理体系文件要求，根据IDC业务目标与当前实际情况，建立完善而分层次的IDC信息安全管理体系及相应的文档，包含但不限于如下方面： 2.1信息安全管理体系方针文件

学生信息安全与防护

学生信息安全与防护 实验小学5年级16班主题班会 课题：学生信息安全与防护 目的：让学生了解目前犯罪事实的发生，大都与自身的信息泄露有关系，常常被一些“有心人”利用，给学生造成很大的损失。 主持：蒋宗良蒋汶伯 时间：40分钟 步骤： 主持人甲：各位同学大家好！目前在校园、小区发生了很多犯罪案例，并成上升趋势，犯罪分子是怎么知道作案目标的呢？那么多的人怎么偏偏就找得那么准呢？ 主持人甲：这就今天班会课要讨论的主题《学生信息安全与防护》。 主持人甲：相信同学们大都对网络比较了解，但对于网络中的信息安全问题又有多少认识呢?有请蒋汶伯同学来给我们提几个有关信息安全的问题吧！掌声欢迎！ 一、信息安全与防护 主持人乙：这些问题都是同学们在上网的过程中遇到的，你们是如何处理，又是为什么呢？请同学们畅所欲言。 主持人乙：（1）在使用电脑时，电脑系统要安装杀毒软件？是安装一个还多个呢？为什么？哪位同学来说说！ 主持人甲：只安装一个就够了，因为安装了多个，杀毒软件要把对方当作病毒来杀或不断的检查对方，让电脑变得很慢，影响我们的上网环境。不要忘了手机也一样要安装杀毒软件哦。 主持人乙：（2）在网络上留电话号码时你是如何做的呢？直接输入吗？ 主持人甲：应该在数字之间用“-”隔开，避免被搜索引擎搜到。 主持人乙：（3）你会不会把自己的姓名、家庭住址、学校名称或者电话号码、照片等提供到聊天室或公共讨论区？ 主持人甲：那样就暴露了我们的个人信息。 主持人乙：（4）在使用公共网络工具时，如邮箱、QQ号，在下线时如何清理登录痕迹？你会接收不认识的人发过来的邮件等资料吗？为什么？ 主持人甲：如在退出邮箱或QQ号码后，再次随便乱输入一串文字，点击确定，就把你原来的密码覆盖了。如果接收来路不明的邮件，很有可能在你打开时木马病毒就会跟随文件植入你的电脑或手机中，从而盗取你的个人信息。 主持人乙：（5）网购东西填写的地址时你是填写住宅的全称和门牌号吗？为什么？ 主持人甲：特别是女生尤其要注意，因为网购快递，目前管理上还存在

2014年信息技术与信息安全考试新题汇总

2014年信息技术与信息安全公需科目考试7月新考题分类版 一、单选题 1.(2分)一颗静止的卫星的可视距离达到全球表面积的(A)左右。 A.40% B.50% C.30% D.20% 2.(2分)数字签名包括（B）。 A.以上答案都不对 B.签署和验证两个过程 C.验证过程 D.签署过程 3.(2分)关于信息安全应急响应，以下说法是错误的（B）？ A.信息安全应急响应通常是指一个组织机构为了应对各种信息安全意外事件的发生所做的准备以及在事件发生后所采取的措施，其目的是避免、降低危害和损失，以及从危害中恢复。 B.信息安全应急响应工作流程主要包括预防预警、事件报告与先期处置、应急处置、应急结束。 C.我国信息安全事件预警等级分为四级：Ⅰ级（特别严重）、Ⅱ级（严重）、Ⅲ级（较重和Ⅳ级(一般)，依次用红色、橙色、黄色和蓝色表示。 D.当信息安全事件得到妥善处置后，可按照程序结束应急响应。应急响应结束由处于响应状态的各级信息安全应急指挥机构提出建议，并报同级政府批准后生效。 4、(2分)为了减少输入的工作量，方便用户使用，很多论坛、邮箱和社交网络 都提供了“自动登录”和“记住密码”功能，使用这些功能时用户要根据实际 情况区分对待，可以在（B）使用这些功能。 A.实验室计算机 B.用户本人计算机 C.网吧计算机 D.他人计算机 5.(2分)具有大数据量存储管理能力，并与ORACLE数据库高度兼容的国产数据库系统是（A）。 A.达梦数据库系统 B.金仓数据库系统 C.神通数据库系统 D.甲骨文数据库系统 6.(2分)防范网络监听最有效的方法是（C）。 A.进行漏洞扫描 B.采用无线网络传输 C.对传输的数据信息进行加密 D.安装防火墙 7.(2分)无线网络安全实施技术规范的服务集标识符(SSID)最多可以有（D）个字符？ A.16 B.128 C.64 D.32 8.(2分)蠕虫病毒爆发期是在（D）。 A.2001年 B.2003年 C.2002年 D.2000年 9.(2分)如果某个网站允许用户能上传任意类型的文件，黑客最可能进行的攻击是（C）。 A.拒绝服务攻击 B.口令破解 C.文件上传漏洞攻击 D.SQL注入攻击 10.(2分)通过U盘在涉密计算机与互联网计算机之间交叉使用窃取涉密信息、资料的是什么程序？（D）

《信息安全技术与应用》试题2AD-A4

考试方式：闭卷Array ××××大学信息安全技术与应用试卷(A) I. 选择题（从四个选项中选择一个正确答案，每小题2分，共40分） 1. 信息未经授权不能改变的安全特性称为。 a.保密性 b. 有效性 c. 可控性 d. 完整性 2. 网络安全涉及的保护范围比信息安全。 a. 大 b. 相同 c. 小 d. 无关 3. 软件产品通常在正式发布之前，一般都要相继发布α版本、β版本和γ版本供反复测试使用，主要目的是为了尽可能。 a. 提高软件知名度 b. 改善软件易用性 c. 完善软件功能 d. 减少软件漏洞 4. 因特网安全系统公司ISS提出的著名PPDR网络安全模型指。 a. 策略、评估、设计和履行 b. 法律、法规、管理和技术 c. 策略、保护、检测和响应 d. 法律、法规、管理和教育 5.具有原则的网络安全策略是提高安全投资回报和充分发挥网络效能的关键。 a. 最小化 b. 均衡性 c. 易用性 d. 时效性 第 1 页共6 页

6. 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统违反了。 a. 中华人民共和国治安管理处罚条理 b. 中华人民共和国刑法 c. 中华人民共和国保守国家秘密法 d. 中华人民共和国电子签名法 7. 下列那个机构专门从事安全漏洞名称标准化工作。 a. ITU b. IEEE c. CERT d. CVE 8. 《国际通用信息安全评价标准ISO/IEC 15408》在安全保证要求中定义了7个评价保证等级，其中的安全级别最低。 a. EAL7 b. EAL6 c. EAL4 d. EAL5 9.收发双方使用相同密钥的加密体制称为。 a. 公钥加密 b. 非对称式加密 c. 对称式加密 d. 数字签名 10. 从主体出发表达主体访问客体权限的访问控制方法称为。 a. 访问控制列表 b. 访问能力表 c. 自主访问控制 d. 授权关系表 11. 通过抢占目标系统资源使服务系统过载或崩溃的攻击称为。 a. 缓冲区溢出攻击 b. 拒绝服务攻击 c. 漏洞扫描攻击 d. 获取用户权限攻击 12. 当入侵检测监视的对象为主机审计数据源时，称为。 a. 网络入侵检测 b. 数据入侵检测 c. 主机入侵检测 d. 误用入侵检测 第 2 页共6 页

数据中心安全规划方案

XX数据中心信息系统安全建设项目 技术方案

目录1.项目概述4 1.1.目标与范围4 1.2.参照标准4 1.3.系统描述4 2.安全风险分析5 2.1.系统脆弱性分析5 2.2.安全威胁分析5 2.2.1.被动攻击产生的威胁5 2.2.2.主动攻击产生的威胁5 3.安全需求分析7 3.1.等级保护要求分析7 3.1.1.网络安全7 3.1.2.主机安全8 3.1.3.应用安全9 3.2.安全需求总结9 4.整体安全设计10 4.1.安全域10 4.1.1.安全域划分原则10 4.1.2.安全域划分设计11 4.2.安全设备部署12 5.详细安全设计13 5.1.网络安全设计13 5.1.1.抗DOS设备13 5.1.2.防火墙14 5.1.3.WEB应用安全网关15 5.1.4.入侵防御16

5.1.5.入侵检测17 5.1. 6.安全审计18 5.1.7.防病毒18 5.2.安全运维管理19 5.2.1.漏洞扫描19 5.2.2.安全管理平台19 5.2.3.堡垒机21 6.产品列表21

1.项目概述 1.1.目标与范围 本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分，从网络安全，主机安全，应用安全，来对网络与服务器进行设计。根据用户需求，在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。 因用户网络为新建网络，所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。 1.2.参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》 1.3.系统描述 XX数据中心平台共有三个信息系统：能源应用，环保应用，市节能减排应用。 企业节点通过企业信息前置机抓取企业节点数据，并把这些数据上传到XX 数据中心的数据库中，数据库对这些企业数据进行汇总与分析，同时企业节点也可以通过VPN去访问XX数据中心的相关应用。

《移动互联网时代的信息安全与防护》答案#精选.

尔雅通识课 《移动互联网时代的信息安全与防护》答案 1.课程概述 1.1课程目标 1.《第35次互联网络发展统计报告》的数据显示，截止2014年12月，我国的网民数量达到了（）多人。 C 6亿 2.《第35次互联网络发展统计报告》的数据显示，2014年总体网民当中遭遇过网络安全威胁的人数将近50%。（）√ 3.如今，虽然互联网在部分国家已经很普及，但网络还是比较安全，由网络引发的信息安全尚未成为一个全球性的、全民性的问题。（） × 1.2课程内容 1.（）是信息赖以存在的一个前提，它是信息安全的基础。

A、数据安全 2.下列关于计算机网络系统的说法中，正确的是（）。 D、以上都对 3.网络的人肉搜索、隐私侵害属于（）问题。 C、信息内容安全 1.3课程要求 1.在移动互联网时代，我们应该做到（）。 D、以上都对 2.信息安全威胁 2.1斯诺登事件 1.美国国家安全局和联邦调查局主要是凭借“棱镜”项目进入互联网

服务商的（）收集、分析信息。 C、服务器 2.谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。（） √ 3.“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。（）√ 2.2网络空间威胁 1.下列关于网络政治动员的说法中，不正确的是（） D、这项活动有弊无利 2.在对全球的网络监控中，美国控制着（）。 D、以上都对 3.网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱

等人身攻击。（）× 2.3四大威胁总结 1.信息流动的过程中，使在用的信息系统损坏或不能使用，这种网络空间的安全威胁被称为（）。 A、中断威胁 2.网络空间里，伪造威胁是指一个非授权方将伪造的课题插入系统当中来破坏系统的（）。 B、可认证性 3.网络空间的安全威胁中，最常见的是（）。 A、中断威胁 4.网络空间里，截获威胁的“非授权方”指一个程序，而非人或计算机。（） ×

信息技术与信息安全公需科目考试第1套试题(满分通过)

信息技术与信息安全公需科目考试第1套试题(满分通过)

考生考试时间：09:58 - 10:25 得分：100分通过情况：通过信息技术与信息安全公需科目考试考试结果 1.(2分) 根据国际上对数据备份能力的定义，下面不属于容灾备份类型？（） A. 系统级容灾备份 B. 存储介质容灾备份 C. 数据级容灾备份 D. 业务级容灾备份 你的答案: A B C D 得分: 2分 2.(2分) 网页恶意代码通常利用（）来实现植入并进行攻击。 A. 拒绝服务攻击 B. 口令攻击 C. U盘工具 D. IE浏览器的漏洞 你的答案: A B C D 得分: 2分 3.(2分) 信息安全风险评估根据评估发起者的不同，可以分为（）。 A. 第三方评估和检查评估 B. 自评估和检查评估 C. 以上答案都不对 D. 自评估和第三方评估 你的答案: A B C D 得分: 2分 4.(2分) 不属于被动攻击的是（）。 A. 窃听攻击 B. 欺骗攻击 C. 拒绝服务攻击 D. 截获并修改正在传输的数据信息 你的答案: A B C D 得分: 2分 5.(2分) 系统攻击不能实现（）。 A. 口令攻击 B. IP欺骗 C. 进入他人计算机系统 D. 盗走硬盘 你的答案: A B C D 得分: 2分 6.(2分) 以下几种电子政务模式中，属于电子政务基本模式的是（）。 A. 政府与政府雇员之间的电子政务（G2E） B. 政府与企业之间的电子政务（G2B） C. 政府与公众之间的电子政务（G2C） D. 政府与政府之间的电子政务（G2G） 你的答案: A B C D 得分: 2分

7.(2分) 无线局域网的覆盖半径大约是（）。 A. 5m~50m B. 8m~80m C. 10m~100m D. 15m~150m 你的答案: A B C D 得分: 2分 8.(2分) 恶意代码传播速度最快、最广的途径是（）。 A. 安装系统软件时 B. 通过网络来传播文件时 C. 通过U盘复制来传播文件时 D. 通过光盘复制来传播文件时 你的答案: A B C D 得分: 2分 9.(2分) 覆盖地理范围最大的网络是（）。 A. 城域网 B. 国际互联网 C. 无线网 D. 广域网 你的答案: A B C D 得分: 2分 10.(2分) 在网络安全体系构成要素中“恢复”指的是（）。 A. 恢复网络 B. 恢复系统和恢复数据 C. 恢复数据 D. 恢复系统 你的答案: A B C D 得分: 2分 11.(2分) 目前，针对计算机信息系统及网络的恶意程序正逐年成倍增长，其中最为严重的是（）。 A. 蠕虫病毒 B. 木马病毒 C. 僵尸网络 D. 系统漏洞 你的答案: A B C D 得分: 2分 12.(2分) 以下关于智能建筑的描述，错误的是（）。 A. 智能建筑强调用户体验，具有内生发展动力。 B. 建筑智能化已成为发展趋势。 C. 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。 D. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 你的答案: A B C D 得分: 2分 13.(2分) 下列关于ADSL拨号攻击的说法，正确的是（）。

信息安全与可信计算

信息安全和可信计算技术 摘要 随着信息技术和信息产业的迅猛发展，越来越多的政府机关和企事业单位建立了自己的信息网络，信息系统的基础性、全局性作用日益增强。但是信息安全的问题也随之而来。面对日益严峻的信息安全形势，人们对“可信”的期望驱动着可信计算技术的快速发展。 关键词 信息安全可信计算 一、信息安全现状 国家互联网应急中心（CNCERT）于2012年3月19日发布的《2011年我国互联网网络安全态势综述》显示：①从整体来看，网站安全情况有一定恶化趋势。2011年境内被篡改网站数量为36，612个，较2010年增加5.10%。网站安全问题引发的用户信息和数据的安全问题引起社会广泛关注。2011年底，中国软件开发联盟（CSDN）、天涯等网站发生用户信息泄露事件，被公开的疑似泄露数据库26个，涉及帐号、密码信息2.78亿条，严重威胁了互联网用户的合法权益和互联网安全。②广大网银用户成为黑客实施网络攻击的主要目标。据C NCERT监测，2011年针对网银用户名和密码、网银口令卡的恶意程序较往年更加活跃。CN CERT全年共接收网络钓鱼事件举报5，459件，较2010年增长近2.5倍。③信息安全漏洞呈现迅猛增长趋势。2011年，CNCERT发起成立的“国家信息安全漏洞共享平台（CNVD）”共收集整理信息安全漏洞5，547个，较2010年大幅增加60.90%。④木马和僵尸网络活动越发猖獗。2011年，近890万余个境内主机IP地址感染了木马或僵尸程序，较2010年大幅增加78.50%。网络黑客通过篡改网站、仿冒大型电子商务网站、大型金融机构网站、第三方在线支付站点以及利用网站漏洞挂载恶意代码等手段，不仅可以窃取用户私密信息，造成用户直接经济损失，更为危险的是可以构建大规模的僵尸网络，进而用来发送巨量垃圾邮件或发动其他更危险的网络攻击。 如何建立可信的信息安全环境，提升信息安全的保障水平，无论政府、企业还是个人都给予了前所未有的关注，并直接带动了对各类信息安全产品和服务需求的增长。 二、可信计算的提出 上个世纪70年代初期，Anderson J P首次提出可信系统(Trusted System)的概念，由此开始了人们对可信系统的研究。较早期学者对可信系统研究(包括系统评估)的内容主要集中在操作系统自身安全机制和支撑它的硬件环境，此时的可信计算被称为dependable computing，与容错计算(fault-tolerant computing)领域的研究密切相关。人们关注元件随机故障、生产过程缺陷、定时或数值的不一致、随机外界干扰、环境压力等物理故障、设计错误、交互错误、

数据中心信息安全解决方案模板

数据中心信息安全 解决方案

数据中心解决方案 （安全）

目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。

2014年信息技术与信息安全公需科目考试 7月新考题保过版

2014年信息技术与信息安全公需科目考试7月新考题 保过版 一、单选题 1.(2分) 一颗静止的卫星的可视距离达到全球表面积的( A )左右。 A. 40% B. 50% C. 30% D. 20% 2.(2分) 数字签名包括（ B ）。 A. 以上答案都不对 B. 签署和验证两个过程 C. 验证过程 D. 签署过程 3.(2分) 关于信息安全应急响应，以下说法是错误的（ B ）？ A. 信息安全应急响应通常是指一个组织机构为了应对各种信息安全意外事件的发生所做的准备以及在事件发生后所采取的措施，其目的是避免、降低危害和损失，以及从危害中恢复。 B. 信息安全应急响应工作流程主要包括预防预警、事件报告与先期处置、应急处置、应急结束。 C. 我国信息安全事件预警等级分为四级：Ⅰ级（特别严重）、Ⅱ级（严重）、Ⅲ级（较重）和Ⅳ级 (一般)，依次用红色、橙色、黄色和蓝色表示。 D. 当信息安全事件得到妥善处置后，可按照程序结束应急响应。应急响应结束由处于响应状态的各级信息安全应急指挥机构提出建议，并报同级政府批准后生效。 4.(2分) 为了减少输入的工作量，方便用户使用，很多论坛、邮箱和社交网络都提供了“自动登录”和“记住密码”功能，使用这些功能时用户要根据实际情况区分对待，可以在（ B ）使用这些功能。 A. 实验室计算机 B. 用户本人计算机 C. 网吧计算机 D. 他人计算机 5.(2分) 具有大数据量存储管理能力，并与ORACLE数据库高度兼容的国产数据库系统是（ A ）。 A. 达梦数据库系统 B. 金仓数据库系统 C. 神通数据库系统 D. 甲骨文数据库系统 6.(2分) 防范网络监听最有效的方法是（ C ）。 A. 进行漏洞扫描 B. 采用无线网络传输 C. 对传输的数据信息进行加密 D. 安装防火墙 7.(2分) 无线网络安全实施技术规范的服务集标识符(SSID) 最多可以有（ D ）个字符？

信息安全技术与应用试题2ADA4

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. （10）安全解决方案的经费预算。 IV. 根据表1所示的端口扫描分组信息回答下列问题（共10分）。 表1 协议分析软件捕获的部分端口扫描分组 Source Destination Protocol Info 219.226.87.79219.226.87.78TCP2921 > 233 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP233 > 2921 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2922 > 5405 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP5405>2922 [SYN, ACK] Seq=0 Ack=1 Win=17520 Len=0 MSS=1460 219.226.87.79219.226.87.78TCP2922 > 5405 [RST] Seq=1 Ack=1 Win=0 Len=0 219.226.87.79219.226.87.78TCP2923 > 2032 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP2032 > 2923 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2924 > 32786 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP32786 > 2924 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2925 > 35 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP35 > 2925 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 1. 指出端口扫描类型（4分） TCP SYN 扫描 2. 指出开放的端口号或服务（3分） 5405 3. 指出被扫描的主机IP地址（3分）

信息安全服务软件-使用说明书

信息安全服务软件 说明书 1.引言 本软件使用说明书是为了指导信息安全服务软件的使用操作，同时为本软件系统的测试提供必要的信息。 本详细设计说明书的读者都包括以下人员： a. 代码编写人员 b. 测试人员 c. 概要设计人员 d. 其它对信息安全服务软件感兴趣的人员。 2.软件概述 2.1目标 安全是一个动态的过程，在信息系统运行维护期间可能遭遇来自各方面的安全威胁。为保证信息系统运营使用单位网络及应用服务的持续正常运行，信息安全服务软件依靠有关信息安全事件相关标准，通过提供网络安全保障服务来加强信息系统运营使用单位的网络安全性，通过定期和不定期的安全扫描服务、安全巡检服务、安全预警服务以及周到的突发应急响应服务将安全工作落到实处，以有效提高信息系统运营使用单位的网络安全保障能力。 ?增强技术设施抵抗非法攻击的能力； ?集中精力维护信息系统的持续可用； ?提高技术人员对信息安全的认识； ?快速发现企业的信息安全漏洞，通过有效的防护方法，提升信息安全水平；

?加强信息基础设施的安全水平，降低安全风险； ?维持企业形象、赢取客户信任。 2.2功能特点 该系统具有以下几个功能特点： （1）本软件系统的开发采用了C/S结构，技术成熟，使得该系统具有高可靠性、较强的拓展性和维护性； （2）该系统支持并发用户数较多。响应时间仅在2s左右，具有良好的实用性和出众的性价比。 （3）同时本软件在预检结果的准确度方面也具有很高的可信性。开发人员在网络安全、数据传输安全、数据访问安全和数据存储安全等几个方面做了大量努力，使得系统安全性极高； 3.运行环境 3.1硬件环境 服务器端：CPU以Intel的型号为准，可以采用AMD相同档次的对应型号，内存基本配置4G 客户端：CPU为Core i3-2100 3.10GHz（标准配置），内存为4 GB（标准配置），磁盘存储为500 GB（标准配置）。 3.2软件环境 所需软件环境如下： 操作系统为：windows xp,windows2003,vista等。推荐windows xp。

移动互联网时代信息安全及防护

课程目标已完成 1 《第35次互联网络发展统计报告》的数据显示，截止2014年12月，我国的网民数量达到了（）多人。 ?A、 ?B、 ?C、 ?D、 我的答案：C 2 《第35次互联网络发展统计报告》的数据显示，2014年总体网民当中遭遇过网络安全威胁的人数将近50%。（） 我的答案：√ 3 如今，虽然互联网在部分国家已经很普及，但网络还是比较安全，由网络引发的信息安全尚未成为一个全球性的、全民性的问题。（） 我的答案：√（错的） 课程内容已完成 1 网络的人肉搜索、隐私侵害属于（）问题。 ?A、

?C、 ?D、 我的答案：C 2 （）是信息赖以存在的一个前提，它是信息安全的基础。?A、 ?B、 ?C、 ?D、 我的答案：A（错的） 3 下列关于计算机网络系统的说法中，正确的是（）。 ?A、 ?B、 ?C、 ?D、 我的答案：D 课程要求已完成 1 在移动互联网时代，我们应该做到（）。

?B、 ?C、 ?D、 我的答案：D 2 黑客的行为是犯罪，因此我们不能怀有侥幸的心理去触犯法律。（）我的答案：√ 斯诺登事件已完成 1 美国国家安全局和联邦调查局主要是凭借“棱镜”项目进入互联网服务商的（）收集、分析信息。 ?A、 ?B、 ?C、 ?D、 我的答案：D（错的） 2 谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。（） 我的答案：√ 3

“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。（） 我的答案：√ 网络空间威胁已完成 1 下列关于网络政治动员的说法中，不正确的是（） ?A、 ?B、 ?C、 ?D、 我的答案：B（错的） 2 在对全球的网络监控中，美国控制着（）。 ?A、 ?B、 ?C、 ?D、 我的答案：B（错的） 3 网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱等人身攻击。（）

信息技术与信息安全考试题库及答案(全)

2014广西公需科目信息技术与信息安全考试试卷4 考试时间：150分钟总分：100分 1.(2分) GSM是第几代移动通信技术?（B ） A. 第三代 B. 第二代 C. 第一代 D. 第四代 2.(2分) 无线局域网的覆盖半径大约是（A ）。 A. 10m~100m B. 5m~50m C. 8m~80m D. 15m~150m 3.(2分) 恶意代码传播速度最快、最广的途径是（C ）。 A. 安装系统软件时 B. 通过U盘复制来传播文件时 C. 通过网络来传播文件时 D. 通过光盘复制来传播文件时 4.(2分) 以下关于智能建筑的描述，错误的是（A ）。 A. 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。 B. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 C. 建筑智能化已成为发展趋势。 D. 智能建筑强调用户体验，具有内生发展动力。 5.(2分) 广义的电子商务是指（B）。 A. 通过互联网在全球范围内进行的商务贸易活动 B. 通过电子手段进行的商业事务活动 C. 通过电子手段进行的支付活动 D. 通过互联网进行的商品订购活动 6.(2分) 证书授权中心（CA）的主要职责是（C）。

A. 颁发和管理数字证书 B. 进行用户身份认证 C. 颁发和管理数字证书以及进行用户身份认证 D. 以上答案都不对 7.(2分) 以下关于编程语言描述错误的是（B）。 A. 高级语言与计算机的硬件结构和指令系统无关，采用人们更易理解的方式编写程序，执行速度相对较慢。 B. 汇编语言适合编写一些对速度和代码长度要求不高的程序。 C. 汇编语言是面向机器的程序设计语言。用助记符代替机器指令的操作码，用地址符号或标号代替指令或操作数的地址，一般采用汇编语言编写控制软件、工具软件。 D. 机器语言编写的程序难以记忆，不便阅读和书写，编写程序难度大。但具有运行速度极快，且占用存储空间少的特点。 8.(2分) 云计算根据服务类型分为（A ）。 A. IAAS、PAAS、SAAS B. IAAS、CAAS、SAAS C. IAAS、PAAS、DAAS D. PAAS、CAAS、SAAS 9.(2分) 统一资源定位符是（A ）。 A. 互联网上网页和其他资源的地址 B. 以上答案都不对 C. 互联网上设备的物理地址 D. 互联网上设备的位置 10.(2分) 网站的安全协议是https时，该网站浏览时会进行（B）处理。 A. 增加访问标记 B. 加密 C. 身份验证 D. 口令验证 11.(2分) 涉密信息系统工程监理工作应由（D ）的单位或组织自身力量承担。

信息安全技术及应用

信息安全技术及应用文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

信息安全技术及应用· 浅谈网络信息安全及其防范技术 刘 辉 (天津滨海职业学院信息工程系,天津300451) 摘要:介绍网络信息安全的内容及其特性,分析了影响网络安全的主要因素,针对目前常见的网络安全隐患提出了有效的防范技术. 关键词:网络信息安全;防范技术 中图分类号:TP309.2 文献标识码:A Simply Discussion of the Network Information Security and Precautionary Technology UU Hui (Department of Information E.sineering,Tianjin Coastal Polytechnic Imtitute,Tianjin Key words:Network information security;Precautionary technology 300451) 计算机网络是通过某种通信手段,把地理上分散的计算机连接起来实现资源共享的系统. 因此在计算机网络的设计过程中,人们总是过多地考虑如何能够方便地实现资源共享,但 在实际应用中,资源共享总是在一个局部或者某些特定用户之间进行的,超越了这个范围,就会造成信息泄密,信息破坏等危害网络安全的现象,这是所有设计者和使用者都不希望 出现的,因此必须通过采用各种技术和管理措施,使网络系统正常运行.从而确保网络数 据的可用性,完整性和保密性.确保经过网络传输和交换的数据不会发生增加,修改,丢失 和泄露等现象.

信息安全试卷及答案

《 信息安全》课程考试试卷（A 卷） 专业 软件工程、计算机科学与技术、网络工程 一、判断题（每小题2 分，共10分，对的打“”，错的打“ ”） 题号 1 2 3 4 5 答案 二、选择题（每小题2分，共20分） 题号 1 2 3 4 5 6 7 8 9 1 答案 D C C B B B D C A D 1、在身份认证方法中，下列哪种方法是“你是谁”的认证方式。 （ D ） A 口令 B U 盾 C ATM 卡 D 指纹 2、 PKI 是__ __。 （ C ） A ．Private Key Infrastructure B ．Public Key Institute C ．Public Key Infrastructure D ．Private Key Institute 3、包过滤防火墙是指在网络模型当中的哪一层对数据包进行检查。 （ C ） A 应用层 B 传输层 C 网络层 D 数据链路层 4、从安全属性对各种网络攻击进行分类，阻断攻击是针对 的攻击。（ B ） A. 机密性 B. 可用性 C. 完整性 D. 真实性 5、IPSec 协议工作在____层次。 （ B ） A. 数据链路层 B. 网络层 C. 应用层 D 传输层 6、网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的___属性。 （ B ）

四、设计题（20分） 下图中我们给出了基于对称密钥的双向认证协议，其中Alice和Bob表示协议的双方，R A表示Alice发给Bob的随机数，R B表示Bob发给Alice的随机数，K表示Alice和Bob之间共享的对称密钥，E(R A,K)、E(R B,K)表示使用对称密钥K对随机数R A、R B进行加密。这个协议并不安全，可能遭受类似于我们讨论过的中间米格类型攻击。 a.假设Trudy利用中间米格来攻击该协议，请你描述这个攻击过程（4分），并设计攻击过程的会话协议图；（10分） b．这个协议稍加修改就可以避免中间米格的攻击，请你设计出修改后的会话协议。（6分） 答案： a．这个攻击中，首先Trudy称自己是Alice并发送一个R A给Bob。根据这个协议Bob对R A进行加密，将加密结果以及他自己的R B发回给Trudy。接着Trudy又开启了与Bob的一个新的连接，他再次称自己是Alice并发送一个R B给Bob，根据协议Bob将回复E(R B,K)作为相应，此时Trudy利用E(R B,K)完成第一个连接的建立使得Bob相信她就是Alice；第二个连接让它超时断开。 具体的设计图如下： b．这个协议中我们把用户的身份信息和随机数结合在一起进行加密，就可以防止以上的攻击，因为Trudy不能再使用来自Bob的返回值来进行第三条信息的重放了，具体设计如下：

数据中心信息安全法规办法

数据中心信息安全法规办法 为加强数据中心的数据安全和保密管理，保障数据中心的数据安全，现依据国家有关法律法规和政策，针对当前安全保密管理工作中可能存在的问题和薄弱环节，制定本办法。 一、按照“谁主管谁负责、谁运行谁负责”的原则，各部门在其职责范围内，负责本单位计算机信息系统的安全和保密管理。 二、各单位应当明确一名主要领导负责计算机信息系统安全和保密工作，指定一个工作机构具体负责计算机信息系统安全和保密综合管理。各部门内设机构应当指定一名信息安全保密员。 三、要加强对与互联网联接的信息网络的管理，采取有效措施，防止违规接入，防范外部攻击，并留存互联网访问日志。 四、计算机的使用管理应当符合下列要求： 1.对计算机及软件安装情况进行登记备案，定期核查； 2.设置开机口令，长度不得少于8个字符，并定期更换，防止口令被盗； 3.安装防病毒等安全防护软件，并及时进行升级；及时更新操作系统补丁程序； 4.不得安装、运行、使用与工作无关的软件； 5.严禁同一计算机既上互联网又处理涉密信息； 6.严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息； 7.严禁将涉密计算机带到与工作无关的场所。

五、移动存储设备的使用管理应当符合下列要求： 1.实行登记管理； 2.移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用，涉密移动存储设备不得在非涉密信息系统中使用； 3.移动存储设备在接入本单位计算机信息系统之前，应当查杀病毒、木马等恶意代码； 4.鼓励采用密码技术等对移动存储设备中的信息进行保护； 5.严禁将涉密存储设备带到与工作无关的场所。 六、数据复制操作管理应当符合下列要求： 1.将互联网上的信息复制到处理内部信息的系统时，应当采取严格的技术防护措施，查杀病毒、木马等恶意代码，严防病毒等传播； 2.严格限制从互联网向涉密信息系统复制数据。确需复制的，应当严格按照国家有关保密标准执行； 3.不得使用移动存储设备从涉密计算机向非涉密计算机复制数据。确需复制的，应当采取严格的保密措施，防止泄密； 4.复制和传递涉密电子文档，应当严格按照复制和传递同等密级纸质文件的有关规定办理。 七、处理内部信息的计算机及相关设备在变更用途时，应当使用能够有效删除数据的工具删除存储部件中的内部信息。 八、涉密计算机及相关设备不再用于处理涉密信息或不再使用时，应当将涉密信息存储部件拆除或及时销毁。涉密信息存储部件的销毁必须按照涉密载体销毁要求进行。 九、加强对计算机使用人员的管理，开展经常性的保密教育