2017年上半年信息安全工程师下午案例分析试题一真题(共11 分)
阅读下列说明,回答问题 1 至问题 3,将解答写在答题纸的对 应栏内。
【说明】
安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信 息类型的安全分类有以下表达形式:
{ (机密性,影响等级), (完整性,影响等级), (可用性,影 响等级) }
在上述表达式中,"影响等级"的值可以取为低 (L)、中(M)、高(H) 三级以及不 适用 (NA)。
【问题 1】。 (6 分)
请简要说明机密性、完整性和可用性的含义。
机密性:确保信息仅被合法用户访问,而不被泄露给非授权的用户、实体或过程。
完整性:所有资源只能由授权方或以授权的方式进行修改,即信息未经授权不能进行改变。
可用性:所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用。
【问题 2】(2 分) 对于影响等级"不适用"通常只针对哪个安全要素?
参考答案:“不适用”通常只针对机密性。
参考解析:对于公开的信息,机密性没有意义,所以机密性在公开信息类型中并不适用。而完整性和可用性总是可以对应一个影响等级(高、中、低)的。
【问题 3 】(3 分)
如果一个普通人在它的个人 Web 服务器上管理其公开信息。请 问这种公开信息的安全分类是什么?
参考答案:{(机密性,NA),(完整性,M),(可用性,M)}
参考解析:公开且放个人Web服务器上的信息,不需要机密性,因此分类为(机密性,NA);公开且放个人Web服务器上的信息,其完整性分类为(完整性,M);公开且放个人Web服务器上的信息,其可用性分类为(可用性,M)。而公开的实时的股票信息,则完整性和可用性就需要非常高。因此其分类可表述为:{(机密性,NA)、(完整性,H)、(可用性,H)}。