北京邮电大学信息安全标准-习题.doc

第7章 信息安全标准一、 选择题1. 以下选项代表不同标准类型，其中（）与其他选项分类方式不同（A）强制性标准；（B）推荐性标准；（C）企业标准；（D）标准化指导性技术文件。2. 以下不属于TCSEC缺陷的是（ ）（A）集中考虑数据保密性，而忽略了数据完整性、系统可用性；（B）不包括密码算法固有质量的评估；（C）将安全功能和安全保证混在一起；（D）安全功能规定的过为严格，不便于实际开发和测评。3. CC分为三个部分，以下不属于这三部分的是（ ）（A）简介和一般模型；（B）安全保证要求；（C）安全功能要求；（D）保密性要求。4. GB/T 18336按“类-族-组件”层次结构定义的安全功能要求和安全保证要求,其中安全功能要求类中功能为密码支持的为（ ）（A）FDP类；（B）FCO类；（C）FAU类；（D）FCS类。5. CC安全等级中，评估保证级3(EAL3)的功能是（ ）（A）系统地测试和检查；（C）形式化验证的设计和测试；（B）半形式化设计和测试；（D）半形式化验证的设计和测试。6. CC保证族细目分类中，起配置管理作用的是（ ）（A）ADO类；（B）ACM类；（C）ATE类；（D）AVA类。7. IEC是中文全称是（）（A）国际标准化组织；（B）国际电工委员会；（C）国际电信联盟；（D）电气和电子工程师学会。8. 以下选项哪个是美国信息安全标准化组织（）（A）NIST；（B）BS 7799；（C）JISC；（D）KISA。9. 国际标准是由国际标准化组织和（）组织共同制定的（A）ITU；（B）IEC；（C）IETF；（D）IEEE。10. 以下选项哪个是信息及相关技术控制目标（COBIT）划分IT的四个域中的一个（）（A）获取与实施；（B）组织战略目标；（C）IT资源；（D）执行概要。二、简答题1. 简述标准“三维空间”和标准化的意义。2. 阐述ISO/IEC27000系列标准及其发展史。3. 阐述SSE-CMM的原理。4. 描述TCSec各级关键点，GB/T17859中的各级与之有什么对应关系？5. 阐述CC刻画信息系统安全性的基本方法。三、思考题1. 对比分析TCSEC和CC标准，指出CC标准的优势。2. 分析我国信息安全标准化工作中的不足。第7章 信息安全标准答案一、 选择题：（1）C；（2）D；（3）D；（4）D；（5）A；（6）B；（7）B；（8）C；（9）B；（10）A。二、简答题：1. 简述标准“三维空间”和标准化的意义。要点：标准化是指在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。其实质是：通过制定、发布和实施标准，达到统一；其目的是获得最佳秩序和社会效益；其意义是促进和带动产业发展、解决安全互联互通。“三维空间”参照下图：图1 标准的三维空间2. 阐述ISO/IEC27000系列标准及其发展史。要点：参照下图图2 27000系列3. 阐述SSE-CMM的原理。要点：参照下图解释图3 SSE-CMM示意图4. 描述TCSec各级关键点，GB/T17859中的各级与之有什么对应关系？要点：参照下表美国 TCSEC 中国 GB 178591999 D：低级保护- - - C1：自主安全保护1：用户自主保护级C2：受控访问保护2：系统审计保护级B1：标记安全保护3：安全标记保护级 B2：结构化保护4：结构化保护级B3：安全区域5：访问验证保护级A1：验证设计- 5. 阐述CC刻画信息系统安全性的基本方法。要点：CC功能要求和保证要求的。三、问答题：1. 对比分析TCSEC和CC标准，指出CC标准的优势。答案要点：CC标准系统刻画了信息安全的全部内涵，TCSEC以保密性为基本目标。2. 分析我国信息安全标准化工作中的不足。答案要点：自主国际标准较少，直接引用国家标准多。