第 1 章作业
1、填空题
(1)信息安全包含 _系统安全_、_数据安全_、_内容安全_ 和 _行为安全_等四
个层次。
(2)信息系统的脆弱性主要包括:_电磁泄露_ 、_数据库系统的安全漏洞_ 、_
通信协议的安全漏洞_ 、 _芯片的脆弱性_ 、_操作系统的安全漏洞_和_移动存
储介质的安全漏洞_ 。
(3)人为安全威胁的来源包括:_物理攻击_ 、_网络攻击_ 、_恶意代码_ 和 _
安全管理_ 。
2、选择题(单选和多选)
(1)2008 年,XXX 国利用 BGP(Border Gateway Protocol 边界网关协议)劫持,
破坏了格鲁吉亚的互联网,瘫痪了所有政府的基础设施。这种攻击行为属于(A)
A.网络攻击;B.物理攻击;C.病毒攻击;D.安全管理
(2)1982 年,由工业控制软件内嵌的病毒引发泛西伯利亚天然气管道发生大爆
炸。 这种攻击行为属于(C)
A.网络攻击;B.物理攻击;C.恶意代码攻击;D.安全管理
(3)以下描述是正确的有(CD)C
A.安全风险是“绝对的”,但我们可以完全消除;
B.信息系统的安全风险一定会使系统遭受安全损失;
C.安全风险虽不能完全消除,但可以降低对系统的危害;
D.安全威胁一定会造成安全损失,因此我们必须严防安全威胁。
3、问答题
(1)如果信息系统无任何脆弱性,是否就不存在安全风险呢?分析举例。
答:否,也存在安全风险。举例:一个信息系统虽然无安全漏洞,但仍可遭受 DDoS
攻击的影响。
(2)信息系统的脆弱性和安全威胁分别体现在哪些方面?简要阐述。
答:信息系统的脆弱性体现在电磁泄露、芯片的脆弱性、操作系统的安全漏洞、
数据库的安全漏洞、通信协议的安全漏洞和移动存储介质的安全漏洞。
信息系统的安全威胁主要来源于自然因素和人为因素。人为因素又分为被动威胁
和主动威胁,主要有以下几个方面:物理攻击、网络攻击、恶意代码和安全管理。
(3)根据标准 GA/T 708-2007,信息系统的基本安全属性包含哪些?除此之外,
你认为信息系统还需要有哪些安全需求?举例说明。
答:保密性、完整性、可用性。我认为还需要有机密性,我们需要对传输的信息
进行加密保护,防止他人译读信息,并可靠检测出对传输系统的主动攻击和被动
攻击,对不同密级的信息实施相应的保密强度,完善密钥管理。
(4)如何理解:安全管理的最终目的是“使安全风险降低到用户和决策者都可
以接受的程度”?
答:安全风险是绝对的,不可消除的。我们只能在有限的人力物力情况下通过合
理的安全管理使得安全风险最低,达到用户和决策者满意的程度即可,而不必刻
意追求无安全风险。