2017年上半年信息安全工程师下午案例分析试题一真题(共11 分）

阅读下列说明，回答问题 1 至问题 3，将解答写在答题纸的对 应栏内。

【说明】

安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信 息类型的安全分类有以下表达形式:

{ (机密性，影响等级)， (完整性，影响等级)， (可用性，影 响等级) }

在上述表达式中，"影响等级"的值可以取为低 (L)、中(M)、高(H) 三级以及不 适用 (NA)。

【问题 1】。 (6 分)

请简要说明机密性、完整性和可用性的含义。

机密性：确保信息仅被合法用户访问，而不被泄露给非授权的用户、实体或过程。

完整性：所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变。

可用性：所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用。

【问题 2】(2 分） 对于影响等级"不适用"通常只针对哪个安全要素?

参考答案：“不适用”通常只针对机密性。

参考解析：对于公开的信息，机密性没有意义，所以机密性在公开信息类型中并不适用。而完整性和可用性总是可以对应一个影响等级（高、中、低）的。

【问题 3 】(3 分)

如果一个普通人在它的个人 Web 服务器上管理其公开信息。请 问这种公开信息的安全分类是什么?

参考答案：{（机密性，NA），（完整性，M），（可用性，M）}

参考解析：公开且放个人Web服务器上的信息，不需要机密性，因此分类为（机密性，NA)；公开且放个人Web服务器上的信息，其完整性分类为（完整性，M)；公开且放个人Web服务器上的信息，其可用性分类为（可用性，M)。而公开的实时的股票信息，则完整性和可用性就需要非常高。因此其分类可表述为：｛（机密性，NA)、(完整性，H)、(可用性，H)｝。