自学考试-软件工程专业：信息安全试卷解析

"这是一份2008年下半年的自学考试信息安全试卷，属于软件工程专业的考试题目，包含了一些关于信息安全的基础知识和概念。" 本文将深入解析这份试卷中涉及的信息安全知识点，帮助读者理解信息安全的核心内容。 1. 信息安全定义：信息安全没有统一的定义，但通常分为两类，一是指具体信息的安全，二是指整个信息体系的安全。 2. 保密性与信息价值：保密性是确保军事信息不被泄露，而商用信息更侧重于信息的可用性和时效性。 3. 风险管理策略：在企业中，处理信息安全风险的方式包括降低风险、避免风险、转嫁风险以及接受风险。 4. 密码技术与认证机构：密码通信和数字签名依赖于认证机构来生成、管理和分发密钥。 5. 安全主体与客体：系统中的活动由主体（如用户或程序）执行，主体操作的对象称为客体。 6. 安全级别分类：信息安全通常有四个级别，分别是绝密、机密、秘密和非保密，不同级别的信息对应不同的保护措施。 7. 防火墙与访问控制：防火墙会检查访问规则，基于服务类型、源地址、目的地址、端口和连接数来决定是否允许数据包通过。 8. 信息安全检测要素：主要包括网络数据和系统日志，通过这两类信息分析可能存在的安全问题。 9. WEB安全威胁：包括身份盗用、CGI欺骗、错误疏漏等，这些威胁都可能导致WEB应用的安全漏洞。 10. 入侵检测系统组件：自适应模型生成器系统由模型分配器、数据接收器、模型生成器和数据仓库组成。 11. PEM（Privacy Enhanced Mail）与密钥管理：PEM是一种安全邮件系统，使用会话密钥和公钥基础设施（PKI）来加密和解密邮件。 12. 信息完整性保护：通过信息摘录（如MD2或MD5）加密，对于非对称密钥体制，使用公钥加密信息摘录生成MIC。 13. 信息篡改手段：除了篡改和删除，还包括插入攻击，攻击者可能会在原始信息中插入虚假信息。 14. 网络安全技术：关键的网络安全技术包括网络杀毒软件、防火墙、入侵检测系统、身份验证、存取控制、数据完整性保护以及安全协议。 15. 企业网络安全：企业需要综合运用各种技术，如防火墙、反病毒软件、入侵防御系统等，以防范可能的网络攻击。 这份试卷涵盖了信息安全的基础理论、实践应用和技术工具，展示了信息安全在软件工程专业中的重要地位。理解和掌握这些知识点对于从事相关工作或学习信息安全的人来说至关重要。