1.信息系统安全基本概念1.1什么是信息安全信息在产生、处理、传输、存储、使用、销毁全生命周期的安全本质是可信、可控。包含 4 层次系统安全、数据安全、内容安全、行为安全。1.2什么是信息系统安全信息系统 是指信息产生处理传输存储和使用的人-机一体化计算机系 统,包括:计算机硬件软件固件网络和人员信息系统安全是指系统软硬件、网络不因偶然 / 恶意原因被破坏、更改、泄露保障连续可靠运行、稳定服务。2.安全风险和安全威胁2.1 系统脆弱性包含方面信息系统的脆弱性主要包括电磁泄露 、 芯片脆弱性 、 操作系统安全漏洞 、 数据库系统安全漏洞 、 通信协议安全漏洞 和 移动存储介质安全漏洞 。2.2 人为安全威胁来源物理攻击 、 网络攻击 、 恶意代码攻击 和 安全管理 。2.3 安全脆弱性安全威胁和安全损失(安全事件)三者的关系脆弱性漏洞威胁攻击→安全事件 / 损失安全风险是绝对存在的。3信息系统的基本安全属性(或安全需求)信息系统安全技术层次简答基础安全密码、评估、应急、管理、标准物理安全环境、设备、防泄漏、灾难恢复操作系统安全认证、授权、审计、内存保护数据库安全认证、授权、备份恢复、审计网络安全协议、隔离、防火墙、入侵检测应用安全代码、病毒、Web 安全、漏洞扫描(1)如果信息系统无任何脆弱性,是否就不存在安全风险呢?分析举例安全风险 脆弱性 安全威胁 环境因素系统安全问题来自威胁、脆弱性、管理、人为操作等多方面并非只由脆弱性决定。没有脆弱性威胁难以直接利用并造成损失但安全风险是绝对存在的仍可能因不可抗力、人为失误、管理缺陷等产生风险。2信息系统的脆弱性和安全威胁分别体现在哪些方面简要阐述。1系统脆弱性包含6个方面电磁泄露、芯片脆弱性、操作系统脆弱性、数据库系统脆弱性、通信协议的安全漏洞和移动存储介质的安全漏洞2安全威胁包括自然威胁和人为威胁自然威胁如洪水、地震、设备老化等而人为威胁包括物理攻击、网络攻击、恶意代码攻击和安全管理。3根据标准GA/T 708-2007信息系统的基本安全属性包含哪些除此之外你认为信息系统还需要有哪些安全需求举例说明。答题要点1在标准GA/T 708-2007中信息系统的基本安全属性包含机密性、完整性和可用性。2如果设备放在无人值守的室外需要增加物理安全需求如果在社交媒体上发布照片等信息需要增加隐私保护的需求等等。3举例说明。如何理解安全管理的最终目的是“使安全风险降低到用户和决策者都可以接受的程度”答题要点1用户和决策者对安全风险的要求是不同的2安全风险是绝对的只能降低不能消除3安全管理的目的是降低安全风险依据是系统安全评估要求所对应的标准即降低安全风险以达到安全评估的要求。