6.1什么是信息资源安全问题?说明信息安全技术主要关注哪些方面?本质上,信息资源安全与信息的利用和权属相关,信息资源安全问题是指信息可用性和权属受到威胁。使信息资源免受威胁的方法和措施被称为信息安全技术,它主要是关注信息在开发利用过程中面临的如下方面的问题:可用性,保密性(机密性),认证性(真实性),一致性(完整性)。6.2阐述信息资源安全管理的主要任务。信息资源安全管理的主要任务是:采取技术和管理措施,保证信息资源可用,即使信息和信息系统在任何时候可被合理用户使用;采用数据加密技术,使信息在其处理过程中,内容不被非法者获得;建立有效的责任机制,防止用户否认其行为;建立可审查的机制,实现责任追究性。6.3概述信息系统安全层次模型--层次及其内容。第7层:数据信息安全第6层:软件系统安全第5层:通信网络安全第4层:硬件系统安全第3层:物理实体安全第2层:管理制度措施第1层:法规道德纪律其中1、2层是行为规范,3、4层是实体安全,5、6、6层是技术安全(核心)6.4行为规范层安全管理主要包括哪些内容?信息系统安全的行为规范管理包括国家和社会组织两个层面。国家根据社会发展特别是国家信息化发展的需要,逐步建立和完善信息安全的政策、法律和法规体系,对信息过程中的各种行为加以规范,即从法律和行政管理的角度,约束和指导信息资源开发利用行为,以保证国家、组织和公民的信息权益,进而保护国家主权和利益不受侵犯。社会组织在国家政策和法规指导下,制定信息资源安全管理策略,从整体上,把握信息资源开发利用和安全管理的平衡点,设置保护对象的安全优先级,提出信息系统的安全目标,以及实现这些安全目标所运用的手段和采取的途经。6.5实体安全主要考虑哪些方面?实体安全主要涉及信息系统的硬件及其运行环境,其安全与否对网络、软件、数据等的安全有着重要的影响。主要考虑场地环境(场地、空调系统、防火管理)、硬件(硬件档案、防电磁干扰、防电磁泄漏、电源安全)、介质(分类存储管理、注意七防、定期检查清理)等各类实体的安全。6.6网络资源包括哪些要素?主要的网络安全技术有哪些?网络资源包括:主机系统、终端系统、网络互联设备。网络安全技术:网络分段、防火墙、VPN(虚拟专用网)、入侵检测、病毒防治等6.7概述软件安全问题。软件安全为为两个方面:信息资产受到威胁,即非法复制等;软件应用安全问题(系统软件安全、应用软件安全和恶意程序及防治)6.8说明恶意程序及其主要表现形式。恶意程序是指未经授权在用户不知道的情况下,进入用户计算机系统中,影响系统正常工作,甚至危害或破坏系统的计算机程序。它具有破坏性、非法性和隐蔽性的特点。6.9数据库管理系统中包括哪些主要安全技术措施?用户及其权限管理、访问控制、数据加密、日志与审计、数据备份等6.10阐述数据加密的基本模型及其不同密码体制。加密C=E(M,Ke)明文M----------------------------------------密文C解密M=D(C,Kd)当Ke=Kd,称加解密算法为对称密码体制,当Ke≠Kd,称加解密算法为非对称密码体制或公钥体制。6.11说明利用公钥加密技术进行身份认证的原理。A(私钥、公钥)----------------------B(私钥、公钥)\/\/\/CA(A的证书、B的证书)互不信任的互联网用户A和B都信任第三方机构CA,三者都有各自的公钥和私钥。A和B将各自的公钥(Pa、Pb)和身份信息等交给CA保管,CA通过它的私钥加密签名(保证其真实性),并公布于众。A、B通信可用对方公钥(CA公布的证书)加密,A、B可用保存在各自手中的自己私钥解读,或A、B利用自己私钥给通信签名,A、B通过CA认证的对方证书,确认其身份和内容。同时如果在通信过程中内容有变化,则数字签名自动消除,从而保证信息一致性。6.12阐述基于PKI的认证服务系统的组成。PKI(公钥基础设施)是一个基于公钥加密技术的安全技术体系,它是硬件产品、软件产品、策略和过程的综合体,其核心任务是创建、管理、存储、分配和吊销用户的数字证书。数字证书是一个证明用户身份的电子文书,即一个由用户公钥、身份信息等数据字段构成的记录。一个基于PKI的第三方认证服务系统至少包括:用户、证书、注册机构(RA)、证书机构(CA)、证书库、作废证书库等实体。