北京邮电大学第7章信息安全标准-习题.docVIP

第7章 信息安全标准 选择题 以下选项代表不同标准类型，其中（）与其他选项分类方式不同 （A）强制性标准；（B）推荐性标准；（C）企业标准；（D）标准化指导性技术文件。 以下不属于TCSEC缺陷的是（ ） （A）集中考虑数据保密性，而忽略了数据完整性、系统可用性； （B）不包括密码算法固有质量的评估； （C）将安全功能和安全保证混在一起； （D）安全功能规定的过为严格，不便于实际开发和测评。 CC分为三个部分，以下不属于这三部分的是（ ） （A）简介和一般模型；（B）安全保证要求；（C）安全功能要求；（D）保密性要求。 GB/T 18336按“类-族-组件”层次结构定义的安全功能要求和安全保证要求,其中安全功能要求类中功能为密码支持的为（ ） （A）FDP类；（B）FCO类；（C）FAU类；（D）FCS类。 CC安全等级中，评估保证级3(EAL3)的功能是（ ） （A）系统地测试和检查； （C）形式化验证的设计和测试； （B）半形式化设计和测试； （D）半形式化验证的设计和测试。 CC保证族细目分类中，起配置管理作用的是（ ） （A）ADO类；（B）ACM类；（C）ATE类；（D）AVA类。 IEC是中文全称是（） （A）国际标准化组织； （B）国际电工委员会； （C）国际电信联盟； （D）电气和电子工程师学会。 以下选项哪个是美国信息安全标准化组织（） （A）NIST；（B）BS 7799；（C）JISC；（D）KISA。 国际标准是由国际标准化组织和（）组织共同制定的 （A）ITU；（B）IEC；（C）IETF；（D）IEEE。 以下选项哪个是信息及相关技术控制目标（COBIT）划分IT的四个域中的一个（） （A）获取与实施；（B）组织战略目标；（C）IT资源；（D）执行概要。 二、简答题 简述标准“三维空间”和标准化的意义。 阐述ISO/IEC27000系列标准及其发展史。 阐述SSE-CMM的原理。 描述TCSec各级关键点，GB/T17859中的各级与之有什么对应关系？ 阐述CC刻画信息系统安全性的基本方法。 三、思考题 对比分析TCSEC和CC标准，指出CC标准的优势。 分析我国信息安全标准化工作中的不足。  第7章 信息安全标准—答案 选择题： （1）C；（2）D；（3）D；（4）D；（5）A；（6）B；（7）B；（8）C；（9）B；（10）A。 二、简答题： 简述标准“三维空间”和标准化的意义。 要点：标准化是指在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。其实质是：通过制定、发布和实施标准，达到统一；其目的是获得最佳秩序和社会效益；其意义是促进和带动产业发展、解决安全互联互通。“三维空间”参照下图： 图1 标准的三维空间 阐述ISO/IEC27000系列标准及其发展史。 要点：参照下图 图2 27000系列 阐述SSE-CMM的原理。 要点：参照下图解释 图3 SSE-CMM示意图 描述TCSec各级关键点，GB/T17859中的各级与之有什么对应关系？ 要点：参照下表 美国 TCSEC 中国 GB 17859—1999 D：低级保护 -- -- -- C1：自主安全保护 1：用户自主保护级 C2：受控访问保护 2：系统审计保护级 B1：标记安全保护 3：安全标记保护级 B2：结构化保护 4：结构化保护级 B3：安全区域 5：访问验证保护级 A1：验证设计 -- 阐述CC刻画信息系统安全性的基本方法。 要点：CC功能要求和保证要求的。 三、问答题： 对比分析TCSEC和CC标准，指出CC标准的优势。 答案要点：CC标准系统刻画了信息安全的全部内涵，TCSEC以保密性为基本目标。 分析我国信息安全标准化工作中的不足。 答案要点：自主国际标准较少，直接引用国家标准多。多数标准政府主导，企业比较边缘。 知识点索引 标准基础知识简介 信息安全标准化组织 国外信息安全相关标准 国内信息安全相关标准 TCSEC 17859 ITSEC CC