第一篇:信息系统安全复习题
一、填空题
1、信息安全实现技术包括:
23、防火墙应该安装在内网与外网之间。
4、信息安全的基础是
56密码分析学
8、密码理论研究的重点是算法,包括:
9、AES的密钥长度可分别指定成: 128、位。
10、AAA
二、选择题
1、是典型的公钥密码算法。
A.DESB.IDEAC.MD5D.RSA2、对网络系统中的信息进行更改、插入、删除属于A.系统缺陷B.主动攻击C.漏洞威胁D.被动攻击
3、是指在保证数据完整性的同时,还要使其能被正常利用和操作。
A.可靠性B.可用性C.完整性D.保密性
4、是指保证系统中的数据不被无关人员识别。
A.可靠性B.可用性C.完整性D.保密性
5、MD5的分组长度是
A.64B.128C.256D.5126、下面哪一种攻击是被动攻击?A.假冒B.搭线窃听C.篡改信息D.重放信息
7、AES是。
A.不对称加密算法B.消息摘要算法
C.对称加密算法D.流密码算法
8、在加密时将明文的每个或每组字符由另一个或另一组字符所代替,这种密码叫
A.移位密码B.替代密码C.分组密码D.序列密码
9、DES算法一次可用56位密钥把位明文加密。
A.32B.48C.64D.12810、是消息摘要算法。
A.DESB.IDEAC.MD5D.RSA
三、名词解释
1、数据的真实性---
又称不可抵赖性或不可否认性,指在信息交互过程中参与者的真实性,即所有的参与者都不可能否认或抵赖曾经完成的操作和承诺。
2、主动攻击---
指对数据的篡改或虚假数据流的产生。这些攻击可分为假冒、重放、篡改消息和拒绝服务4类。
3、入侵检测----
就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
4、假冒---
指某一个实体假扮成另外一个实体,以获取合法用户的权利和特权。
5、身份认证---
是系统审查用户身份的过程,查明用户是否具有他所出示的对某种资源的使用和访问权力。
2、什么是信息安全?
通过各种计算机、网络、密码技术、信息安全技术,保护在公用网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力。
3、什么是被动攻击?有哪些手段?
被动攻击---指未经用户同意或认可的情况下得到信息或使用信息,但不对数据信息做任何修改。通常包括监听、流量分析、解密弱加密信息、获得认证信息等。
4、画出DES的一轮计算框图,并写出逻辑表达式。
逻辑函数:Li=Ri-1, Ri=Li-1⊕f(Ri-1,Ki)
五、问答与计算题。
Li Ri
解:补充S盒: 计算001011的输出:行号:(11)23列号:(0010)22对应的数:14二进制表示:1110
A1
82
2、在AES加密算法中,对进行列混淆变换。
E171
3、在维吉尼亚多表加密算法中密钥为SIX,试加密明文WINDOWS。解:维吉尼亚表的前4行:
ABCDEFGHIJKLMNOPQRSTUVWXYZ BCDEFGHIJKLMNOPQRSTUVWXYZA CDEFGHIJKLMNOPQRSTUVWXYZAB DEFGHIJKLMNOPQRSTUVWXYZABC
表中明文字母对应列,密钥字母对应行;于是有如下结果: P=WINDOWS K=SIX
C=OPKVWTP4、已知RSA密码体制的公开密码为n=55,e=7,试加密明文m=6,通过求解p,q和d破译该密码体制。设截获到密文C=17,求出对应的明文。解:1)
Cmmodn6mod5541
k(n)140k13k1
6k e77
e7
2)分解n=55得,p=11,q=5,φ(n)=(p-1)(q-1)=40 由edmodφ(n)=1,得d取k=2得d=13
3)C=17时mCmodn17mod5517 d
第二篇:信息系统安全
数字签名过程 “发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。
数字签名有两种功效:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”这报文鉴别的描述!数字签名没有那么复杂。数字签名: 发送方用自己的密钥对报文X进行E运算,生成不可读取的密文Esk,然后将Esx传送给接收方,接收方为了核实签名,用发送方的密钥进行D运算,还原报文。
口令攻击的主要方法
1、社会工程学(social Engineering),通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。
2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。
3、字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
4、穷举攻击。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。
5、混合攻击,结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击。
避免以上四类攻击的对策是加强口令策略。
6、直接破解系统口令文件。所有的攻击都不能够奏效,入侵者会寻找目标主机的安全漏洞和薄弱环节,饲机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。
7:网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
8:键盘记录,在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件,木马等都可能会盗取你的口述。
9:其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。
避免以上几类攻击的对策是加强用户安全意识,采用安全的密码系统,注意系统安全,避免感染间谍软件、木马等恶意程序。
第三篇:信息系统安全管理制度
信息系统安全管理制度
一、总则
1、为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》、等有关规定,结合本公司实际,特制订本制度;
2、计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统;
3、公司由微机科专门负责本公司范围内的计算机信息系统安全管理工作。
二、网络管理
1、遵守国家有关法律、法规,严格执行安全保密制度及公司信息保密协议相关条款,不得利用网络从事危害公司安全、泄露公司秘密等违法犯罪活动,严格控制和防范计算机病毒的侵入;
2、禁止未授权用户或外来计算机接入公司计算机网络及访问、拷贝网络中的资源;
3、任何员工不得故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据;
4、计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;计算机使用者更应以30天为周期更改密码、密码长度不少于8位。
三、设备管理
1、IT设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。严禁擅自移动和装拆各类设备及其他辅助设备;严禁擅自请人维修;严禁擅自调整部门内部计算机信息系统的安排;
2、设备硬件或重装操作系统等问题由微机科统一管理。
四、数据管理
1、计算机终端用户计算机内的资料涉及公司秘密的,应该为计算机设定开机密码或将文件加密;凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存;
2、工作范围内的重要数据(重要程度由各部门负责人核定)由计算机终端用户定期更新、备份,并提交给所在部门负责人,由部门负责人负责保存;
3、计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区,一般是C盘)外的盘上。计算机信息系统发生故障,应及时与微机科联系并采取保护数据安全的措施;
4、终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份,存放在不同的地点;光盘保存的数据,要定期进行检查,定期进行复制,防止由于磁性介质损坏,而使数据丢失;做好防磁、防火、防潮和防尘工作。
五、操作管理
1、凡涉及业务的专业软件由使用人员自行负责。严禁利用计算机干与工作无关的事情;严禁除维修人员以外的外部人员操作各类设备;
2、微机科将有针对性地对员工的计算机应用技能进行定期或不定期的培训,培训成绩将记入员工绩效考核;由微机科收集计算机信息系统常见故障及排除方法并整理成册,供公司员工学习参考。
3、计算机终端用户在工作中遇到计算机信息系统问题,首先要学会自行处理或参照手册处理;若遇到手册中没有此问题,或培训未曾讲过的问题,再与微机科或软件开发单位、硬件供应商联系,尽快解决问题。
六、网站管理
1、公司网站由微机科提供技术支持和后台管理,由公司相关部门提供经审核后的书面和电子版网站建设资料。
七、处罚措施
1、计算机终端用户擅自下载、安装或存放与工作无关的文件经查实后,根据文件大小第一次按10元/100M(四舍五入到百兆)进行罚款,以后每次按倍数原则(第二次20元/100M,第三40元/100M,第四次80元/100M,以此类推)处罚。凡某一使用责任人此种情况出现三次以上(包括三次),将给予行政处罚。
2、有以下情况之一者,视情节严重程度处以50元以上500元以下罚款。构成犯罪的,依法追究刑事责任。(1)制造或者故意输入、传播计算机病毒以及其他有害数据的;
(2)非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的;
(3)对网络和服务器进行恶意攻击,侵入他人网络和服务器系统,利用计算机和网络干扰他人正常工作;
(4)访问未经授权的文件、系统或更改设备设置;
(5)申请人在设备领用或报废一周之内未将所涉及到的表单交微机科;(6)擅自与他人更换使用计算机或相关设备;
(7)擅自调整部门内部计算机的安排且未向行政部备案;
(8)日常抽查、岗位调动、离职时检查到计算机配置与该计算机档案不符、IT设备卡被撕毁、涂画或遮盖等;(9)工作时间外使用公司计算机做与工作无关的事务;(10)相同故障出现三次以上(包括三次)仍无法自行处理的;
(11)因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭;
3、计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的,视情节严重,按所破坏设备市场价值的20%~80%赔偿,并给予行政处罚。
行政部微机科
第四篇:信息系统安全保密制度
信息系统安全保密制度
信息系统的安全保密工作是保证数据信息安全的基础,同时给全院的信息安全保密工作提供了一个工作指导。为了加强我院信息系统的安全保密管理工作,根据上级要求,结合我院的实际情况,现制定如下制度:
第一章总则
第一条***学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构,全校教职工和学生,以及其他经学校授权的单位及个人。
第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准,任何数据业务运营商或电信代理商不得擅自进入山东信息职业技术学院内进行工程施工,开展因特网业务。
第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求,落实信息系统安全等级保护制度。
第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。
第二章数据安全
第六条本制度中的数据是指各类信息系统所覆盖的所有数据,包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。
第七条各部门要及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性。第八条各部门要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。各系统管理员和个人要妥善保管好账号和密码,定期更新密码,防止密码外泄。
第九条保证各系统相关数据安全。各部门和系统管理人员,要对自己所管理的数据负责,保证数据安全,防止数据泄漏。
第十条学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。第十一条未经批准,任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。
第三章信息安全
第十二条任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息:
(一)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(二)损害国家荣誉和利益的;
(三)煽动民族仇恨、民族歧视,破坏民族团结的;
(四)破坏国家宗教政策,宣扬邪教和封建迷信的;
(五)散布谣言,扰乱社会公共秩序,破坏国家稳定的;
(六)散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的;
(七)侮辱和诽谤他人,侵害他人合法权益的;
(八)含有国家法律和行政法规禁止的其他内容的;
(九)煽动抗拒、破坏宪法和法律、法规实施的;
第十三条未经批准,任何个人和部门不能擅自发布、删除和改动学院网站和系统信息。凡发布信息,必须经过严格审核。
第十四条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。第十五条学院内部所有人员上网均需实名制,并执行严格的实名备案制度。一经发现上网本制度禁止信息,要尽快查处,情节严重者交由公安机关。
第四章学院网站安全
第十六条学院网站是学院的门户,学院网站信息安全是至关重要的。****学院门户网站已按照相关部门要求,委托信息中心备案,备案域名为:***。
第十七条凡上线网站,山东信息职业技术学院实行网站备案,未经备案的网站,学院一律停止对该网站的运行。
第十八条各部门要保证网站的数据安全和系统安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。
第十九条各部门网站信息发布严格实行信息发布审核登记制度,发现有害信息,应当在保留有关原始记录后,及时予以删除,并在第一时间向学校办公室和网络管理中心报告。发现计算机犯罪案件,要立即向公安机关网警部门报案。第二十条学院办公室、网络管理中心负责对学校网站进行监督、检查。对于存在安全隐患的网站,网络信息中心有权停止其对外服务。
第五章其他
第二十一条违反本管理规定的,视情节轻重采用以下其中一种或多种处理措施:
(一)批评整改;
(二)报相关部门领导处理;
(三)移交公安、司法部门处理。
第二十二条本规定由网络信息中心负责解释。第二十三条本规定自公布之日起生效。
第五篇:信息系统安全自查报告
XXXX市人防办信息系统安全自查报告
根据XXXX市信息化工作领导小组办公室《关于开展2011政府信息系统安全检查的通知》(信化办【2011】8号)要求,我办高度重视,立即召开专题会议部署信息系统安全工作,成立自查工作小组,对我办的信息系统安全保密等情况进行了系统全面的检查,下面将自查情况报告如下:
一、信息安全总体状况
我办目前各网络系统运转良好,未在网上存储、传输涉密信息,未发生过失密、泄密现象。
(一)领导重视制度完善
1、为进一步加强我办政府信息安全工作的领导,成立了信息安全工作领导小组,有局长任组长,分管领导任副组长、各科室负责人为成员,办公室身在综合科,设专人负责除了日常工作,同时建立了安全责任制、应急预案、值班制度、信息发布审核制度、政府信息公开工作制度、保密审查制度、责任追究制度等。近年以来都没发生过安全责任事故。
2、为确保我办网络信息安全工作有效顺利开展,我办要求以各部门为单位认真组织学习相关法律、法规和网络信息安全的相关知识,是全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。
(二)严格要求,措施到位
1、强化安全防范措施。我办严格按照网站程序升级、服务器托管、网站维护等方面存在的突出问题,进一步强化了安全防范措施。一是对本单位信息系统的账户、口令、软件补丁等每周进行了一次清理检查,及时更新和升级、杜绝了弱口令、弱密码、消除了安全隐患。二是每台计算机都安装了杀毒软件,并定期进行病毒查杀、对操作系统存在的漏洞、防毒软件配置不到位的计算机坚决断掉网络连接,发现问题,及时上报、处理。三是对本单位有计算机的使用者进行了安全培训和对每台入网计算机的使用者、ip地址和物理MAC地址进行了登记造册,由行政办公室进行管理,此外,对涉密网络、涉密信息系统、涉密计算机、由专人维护使用,并严禁接入互联网,严禁与非涉密移动存储介质交叉使用,确保信息安全。
2、采取特殊管理措施。我办一是关闭或删除不必要的应用、服务、端口和链接,限制易被攻击,禁止打开不必要的网站。二是严格信息发布审核,确保所发布信息内容的准确性和真实性。三严格执行信息安全规定。严禁在非涉密计算机上处理、存储、传递涉密信息。严禁办公内网与互联网相连。严禁在互联网上利用电子邮件系统传递涉密信息。严禁在各种论坛、聊天室、博客等发布、谈论涉密信息。严禁利用qq等聊天工具传送涉密信息。
3、落实安全应急预案和应急演练,我办已经做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,落实了应急技术支撑队伍,把工作做深做细做在前面。积极组织开展了应急演练,检验了应急预案的可操作性,提高了应急处置能力。
二、信息安全检查发现的主要问题及整改情况
(一)存在的主要问题
1、信息安全意识不够。干部职工的信息安全教育还不够,缺乏维护信息安全主动性和自觉性。
2、设备维护、更新还不够及时。
3、专业技术人员少,信息系统安全力量有限,信息系统安全技术水平还有待提高。
4、信息系统安全工作机制有待进一步完善。
(二)下一步的整改计划
根据自查过程中发现的不足,同时结合我办实际,将着重一下几个方面进行整改。
1、要继续加强对全办干部职工的信息安全教育,提高做好安全工作的主动性和自觉性。
2、要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追进责任,从而提高人员安全防范意识。
3、要加强专业信息技术人员的培养,进一步提高信息安全工作技术水平,便于我们进一步加强计算机信息系统安全防范和保密工作。
4、要加大对线路、系统、网络设备的维护和保养,同时,针对信息技术发展迅速的特点,要加大系统设备更新力度。
5、要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
三、对信息安全检查工作的建议和意见
希望市政府能够经常组织有关信息系统安全的培训,从而进一步提高信息系统管理工作人员的专业水平,从而进一步强化信息系统的安全防范工作。
点击咨询 