PDF版本及更多资料（百度网盘）：
链接：信息系统安全期末复习

第一章绪论

第二章安全认证

填空题

第三章访问控制

填空题

第四章安全审计

填空题

第五章 Windows操作系统安全

填空题

第六章 Linux操作系统安全

填空题

第七章数据库系统安全

填空题

第八章信息系统安全测评

第九章可信计算

第一章绪论

问题：简述信息的安全属性

问题：简述网络空间安全的分层基础体系

第二章安全认证

问题：简述认证的概念及其作用

定义：对实体的身份进⾏审核，证实其合法性的过程，适⽤于⽤户、进程、系统、⽹络连接等

作用：

识别合法实体与⾮法实体
是信息系统的第⼀道安全防线
是访问控制等其它安全机制的基础

问题：标识/鉴别的定义？作用？特点？

标识：

定义：为每个实体取⼀个系统可以识别的内部名称

作⽤：追踪和控制实体在系统中的⾏为

特点：具有唯⼀性，通常是公开的

鉴别：

定义：实体标识与实体联系的过程

作⽤：证实实体是否名副其实或有效

特点：鉴别过程应该是私密的

问题：列举出几种常用的认证技术

①基于知识的身份认证（动态口令技术）

②基于令牌的身份认证

③基于生理特征的身份认证

④基于行为特征的身份认证

⑤人工交互认证

⑥多因素和附加认证技术

问题：设计一种动态口令身份认证机制，说明口令的使用和验证过程，并分析其可以抵御哪些口令攻击

⼝令序列（S/KEY）：

①设计：

首先由用户产生一个秘密的口令字：SecretPASS（长度大于8字符）；然后由服务器向用户发送一个种子SEED（明传）；之后用户对口令序列进行预处理：将口令字和种子拼接，对得到的字符串进行MD5加密，再将加密结果分为左右两部分，每部分8字节，对两部分进行异或运算，结果记为S

②生成口令序列：

对S做N次S/KEY安全散列，得到第一个口令；

......

对S做1次S/KEY安全散列，得到第N个口令；

③口令的使用：第1个口令发送给服务器端保存，客户端顺序使用第2-N个口令

④口令的验证：服务器端将收到的⼀次性口令传给安全hash函数进⾏⼀次运算。若与上⼀次保存的口令匹配，则认证通过并将收到的口令保存供下次验证使⽤

⑤可以抵御的口令攻击：口令序列(S/KEY)可以抵御一些基于字典攻击、暴力破解等的口令攻击

字典攻击是指攻击者使用预先准备好的密码字典进行尝试登录，如果用户使用的密码在字典中，则会被攻击者成功破解。而S/KEY通过将用户密码经过加密后与服务器端保存的密钥进行匹配，从而避免了字典攻击的影响。

暴力破解是指攻击者不断尝试使用不同的口令组合进行登录，直到找到正确的口令为止。S/KEY通过限制每个用户的口令长度和复杂度，以及设置尝试登录的最大次数，从而防止了暴力破解的攻击。

问题：基于生理特征的身份认证的优缺点

填空题

用户标识的生成：由用户提供、由系统提供
用户标识的载体：人工记忆、令牌、不需要载体
常见的令牌：智能卡、USB key

第三章访问控制

问题：什么是主体？客体？授权？

问题：什么是访问控制？

访问控制：限制主体对客体的访问权限，使信息系统在授权范围内使用；是保证信息系统安全最重要的核心策略之⼀

本质上，许多⽹络空间安全技术都可看成是访问控制。例如，密码技术

问题：列举出几种自主访问控制的实现方式

访问⼝令

访问控制矩阵

访问能力表（主体）

访问控制表（客体）（Unix、Windows都使⽤了该⽅法进⾏访问控制）

授权关系表

问题：自主访问控制策略的局限性？

①自主访问控制策略中，属主参与了授权管理，资源的拥有者对资源的访问策略具有决定权，存在安全隐患

②允许在主体间传递访问权限，在传递过程中访问权限可能被改变，带来安全隐患

BLP模型的安全访问规则（机密性规则）？基本安全定理？可用性问题？

①安全访问规则：不上读，不下写，自主访问控制；

②基本安全定理：如果系统的初态是安全的，且系统状态的每次变化都能满足SS-策略、*-策略和

DS-策略的要求，那么系统将始终处于安全状态

③可用性问题：

*-策略对系统可⽤性的影响：高安全级的主体只能⽣产高安全级的信息；有的系统可能⽆法正常运转；

隐蔽通道问题（如果一个通信信道既不是设计用于通信，也不是有意用于传递信息的，则称该通信信道是隐蔽的）：可能导致敏感信息从高安全区域向低安全区域传递

系统中数据完整性的定义？

数据质量符合预期

防范对数据的不正确修改

防范对数据的非授权修改

禁止修改数据，或可检测对数据的任何修改

限制信息单向流动

问题：Biba 模型的安全访问规则（完整性规则）？

SIP、RP、LWMPS比较：

SIP、LWMPO、LWMIAP比较：

问题：基于角色的访问控制（RBAC）的思想

在一个组织机构里，为不同岗位创建对应的角色
对每个角色分配不同的操作权限
根据用户在组织机构中的职责或任务，为其指派相应的角色
用户通过所分配的角色获得相应的权限，实现对信息资源的访问

问题：简述职责分离原则

角色的执行权限和管理权限是分离的，即主体不应同时拥有二类权限，否则会出现权限管理失控
将不同责任分派给不同主体以期达到互相牵制，消除一个主体执行两项或多项不相容任务的风险

问题：什么是特权？特权对信息系统安全有哪些危害？为什么还要有特权？

特权：不受访问控制策略限制的权限

危害：被滥用；被窃取；被误用

原因：便于系统维护；提高系统的可用性

问题：最小特权原则和需知原则

最小特权原则：主体只能被授予其完成任务所必需的特权

需知原则：用户仅能访问其履行职责所需的资源

最小特权原则的内涵

如果某个访问权限不是主体履行职责所必需的，那么就不应该把这个权限授予他。
如果主体在执行某项任务时，确实需要额外的权限，那么必须在任务完成时撤销这个额外权限

填空题

安全策略：一种将系统状态划分为安全态（授权态）和非安全态（未授权态）的声明
安全的系统：初始于授权状态、不会进入未授权状态
引用监控器：对主体访问客体的行为进行仲裁的抽象装置
访问控制策略是对访问控制和相关授权的描述，决定用户能做什么，也决定代表一定用户利益的程序或进程能做什么
需知原则：用户仅能访问其履行职责所需的资源
BLP模型的安全目标：机密性
BLP模型中主体对客体有四种访问权限：只读、添加、执行、读写
BLP模型的三个策略：SS-策略、*-策略、DS-策略
BLP模型中，影响高安全区域向低安全区域传递敏感信息的的策略是：*-策略
隐蔽通道：允许进程以违反系统安全策略的方式传递信息的通道
Biba模型的安全目标：保护系统中数据的完整性
Biba模型中，数据的完整性包涵：防范对数据的不正确修改、防范对数据的非授权修改、数据质量符合预期、禁止修改数据，或可检测对数据的任何修改、限制信息单向流动
Biba 模型定义的访问方式：读、写、调用
角色的概念：与特定工作活动相关的一组动作和职责
有约束的RBAC 模型在有角色继承的RBAC的基础上，支持权限-角色检查
职责分离：角色的执行权限和管理权限是分离的，即主体不应同时拥有二类权限，否则会出现权限管理失控
有角色继承的RBAC 模型包括受限继承和多重继承
特权对信息系统安全的危害：被滥用、被窃取、被误用
最小特权原则的基本思想：分权

第四章安全审计

概念：安全审计的基本概念

问题：安全审计的作用？

安全审计是系统安全的最后防线，访问控制的必要补充，可以：

重建事件
监测潜在的入侵，提供入侵检测所需的原始数据
进行故障监测
发现系统不足
与其它安全机制联动

安全审计有助于发现系统中出现的安全问题或受到的攻击

有助于了解系统安全机制的工作状态和可信度

是信息系统重要的安全机制，是系统安全的最后防线

分析：分析X.816 标准定义的审计系统模型及各个模块的作用

填空题

安全审计：对信息系统中与安全相关的活动进行记录、检查及审核的过程
审计事件是信息系统审计用户操作的最基本的单位
审计踪迹是关于操作系统、应用程序或用户活动的一组记录
安全审计是系统安全的最后防线，访问控制的必要补充
安全审计系统模型的功能需求有：数据生成、事件选择、事件存储、自动响应、审计分析、审计复核
安全审计系统在事件选择时需要使系统可以配置不同级别的审计粒度
安全审计模型的四个层次：审计数据创建层、审计记录管理层、审计记录缩减层、审计记录分析应用层
X.816 标准定义的审计系统模型中，可以定义新的可审计事件，发送审计消息的组件有：事件鉴别器；审计分析器；报警处理器
安全审计数据是入侵检测系统重要的信息源
入侵检测主要是检测非授权用户对系统的入侵行为
入侵检测是应用软件，安全审计可以是应用程序，也可以是系统程序
审计踪迹可以分为：系统级审计踪迹、应用级审计踪迹、用户级审计踪迹、物理访问审计踪迹
审计记录可以以日志文件或数据库的形式存储

第五章 Windows操作系统安全

良好的TCB设计：

常见概念及其含义：

活动目录：是一个包含网络资源的数据库；也是一种分布式的目录服务系统。在分布式环境中，允许网络资源被各种授权应用（用户、程序）方便地访问读取
域：Windows网络系统的安全性边界；活动目录的安全管理单元是域，域中的所有用户和计算机执行相同的域安全策略

1. 当用户使用域帐户而非本地帐户登录时，Windows客户端会使用活动目录来认证

SAS：安全注意符；用户在执行敏感操作前，向安全内核发送“安全注意符”来触发和构建用户与安全内核间的可信通路
LSA：本地安全认证；安全子系统的核心组件，负责加载认证包，管理域间的信任关系；确认SAM中的数据，控制各种类型的用户进行本地和远程登录，提供用户存取许可确认、产生访问令牌
Kerberos：Windows的域身份认证协议
MSV1.0 身份认证：为不支持Kerberos身份认证的Windows客户提供基于NTLM(NT LAN Manager)的身份认证
SAM：安全帐户管理器；存储本地用户和本地组的帐户以及相关安全信息

1. SAM文件是二进制模式的，而不是文本格式的，口令用MD4散列算法存储

SRM：安全引用监视器（内核模式组件）；执行对象访问合法性检查、产生审计日志条目、提供用户权限
SID：安全标识符；每次创建一个用户或一个组的时候，系统会给它分配一个唯一的SID

1. 用户名与SID一一对应
2. 删除用户后，其SID不会被重用
3. SID的创建：本地用户或组的 SID由LSA生成，存储在注册表的安全区域中；域用户或组的 SID 由域安全机构生成，并以用户或组对象的属性形式存储在活动目录的域服务中

SD：安全描述符；
ACL：访问控制列表；是Windows访问控制机制的核心，标识用户和工作组对某一对象的访问权限
ACE：访问控制项：由对象的权限以及用户或者组的SID组成；内容包括：

1. 拒绝访问
2. 允许读取和写入
3. 允许执行

DACL：自主访问控制列表；由对象所有者控制，决定了用户或用户组可以对该对象执行的操作

1. DACE的类型有允许/拒绝

SACL：系统访问控制列表；确定安全资源的审计策略；描述了哪些类型的访问请求需要被系统记录

1. SACE的类型有成功/失败

FAT ：文件分配表；分为FAT16和FAT32
EFS：加密文件系统；
IPSec：网络协议安全；
SA：安全关联；从源主机到目的主机建立的一条网络层的逻辑连接

问题：简述Windows操作系统的保护方法

①内存保护：操作系统进程、用户进程：具有不同的权限（防止用户进程干涉操作系统）

②CPU运行模式分为系统模式和用户模式：

系统模式可以执行任意指令、访问任意内存地址

用户模式受限的内存访问，有些指令不能执行

③从用户模式转到系统模式的切换必须通过系统调用

问题：什么是系统调用？系统调用是否能更改？系统调用和函数库的关系？

①系统调用是从用户模式进入内核模式的系统程序，是用户程序和内核交互的接口

②系统调用不能更改！

③从执行者角度，系统调用和库函数有重大区别；从用户角度，区别不重要

什么是客体重用？什么是可信通路？

客体重用：在对客体初始指定、分配或再分配一个主体之前，撤销该客体所含信息的全部授权，当主体获得对一个已被释放客体的访问权时，当前主体不能获得原主体活动所产生的任何信息

- 客体重用是C2级别的安全功能

可信通路：TCB要支持它本身与用户之间的可信任通信路径，以便进行初始登录和鉴别；主要应用在用户登录或注册时，能够保证用户确实是和安全核心通信，防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取口令

- 可信通路是B级别的安全功能

问题：简述Windows的体系结构

Windows操作系统采用用户模式和核心模式分离的体系结构：

①用户模式下的软件在无特权的状态下运行，系统资源访问权限有限

②所有对核心模式的访问都是受保护的，避免失控的用户进程破坏处于核心模式下的低层次的系统驱动程序

问题：简述NLTM的工作流程

步骤一：用户通过输入Windows帐号和密码登录客户端主机。在登录之前，客户端会缓存输入密码的哈希值，原始密码会被丢弃。成功登录客户端Windows的用户如果试图访问服务器资源，需要向对方发送一个请求。该请求中包含一个以明文表示的用户名

步骤二：服务器接收到请求后，生成一个16位的随机数。这个随机数被称为Challenge或者Nonce。服务器在将该Challenge发送给客户端之前，先将其保存起来。Challenge是以明文的形式发送的

步骤三：客户端在接收到服务器发回的Challenge后，用在步骤一中保存的密码哈希值对其加密，然后再将加密后的Challenge发送给服务器

步骤四：服务器接收到客户端发送回来的加密后的Challenge后，会向DC（Domain Controller）发送针对客户端的验证请求。该请求主要包含以下三方面的内容：客户端用户名；客户端密码哈希值加密的Challenge和原始的Challenge。

步骤五：DC根据用户名获取该帐号的密码哈希值，对原始的Challenge进行加密。如果加密后的Challenge和服务器发送的一致，则意味着用户拥有正确的密码，验证通过，否则验证失败。DC将验证结果发给服务器，并最终反馈给客户端

问题：如何保证SID的唯一性？

SID永远都是唯一的，由如下三个参数共同确定以保证唯一性

1.计算机名

2.当前时间

3.当前用户态线程的CPU耗费时间的总和

问题：简述Windows 本地身份认证过程

步骤①：用户按下SAS键后，立即引起硬件中断，并被操作系统捕获，操作系统将激活Winlogon进程。Winlogon进程立刻调用GINA，由GINA显示对话框，便于用户输入账号和口令

步骤②：GINA将用户输入的账号和口令返回给Winlogon进程

步骤③：Winlogon进程将用户名和口令信息发送给LSA进行验证

步骤④：LSA调用Msv1_0.dll验证程序包，将用户信息处理后生成密钥

步骤⑤：Msv1_0.dll验证程序包将生成的密钥，发送给SAM服务器进程

步骤⑥：SAM服务器进程将收到的用户密钥，与SAM数据库中存储的密钥进行对比

步骤⑦ ：如果用户身份合法，SAM进程会将用户的SID、用户所属用户组的SID和相关信息发送给Msv1_0.dll验证程序包

步骤⑧：Msv1_0.dll验证程序包将认证结果信息返回给LSA

步骤⑨：LSA根据收到的SID信息创建安全访问令牌，然后将令牌的句柄和登录信息发送给Winlogon进程。Winlogon进程处理用户登录，完成本地身份认证过程

问题：简述EFS的工作原理，并分析其安全性；

问题：分析IP协议的安全性

没有为通信提供良好的数据源鉴别机制；

没有为数据提供强大的完整性保护机制；

没有为数据提供任何机密性保护；

在设计和实现上存在安全漏洞，使各种攻击有机可乘。例如：攻击者很容易构造一个包含虚假地址的IP数据报

问题：简述IP安全数据报格式的两个协议

鉴别首部 AH (Authentication Header)协议：提供源点鉴别和数据完整性，但不能保密。

封装安全有效载荷 ESP (Encapsulation Security Payload)协议：提供源点鉴别、数据完整性和保密

问题：简述IP安全数据报的两种工作方式

运输方式：在整个运输层报文段的前后分别添加若干控制信息，再加上 IP 首部，构成 IP 安全数据报。把整个运输层报文段都保护起来，适合于主机到主机之间的安全传送

隧道方式：在原始的IP数据报的前后分别添加若干控制信息，再加上新的 IP 首部，构成一个 IP 安全数据报。隧道方式常用来实现虚拟专用网 VPN（主机到路由之间，路由到路由之间）

填空题

良好的TCB（Trusted Computing Base ）设计分为四部分：硬件、操作系统内核、操作系统、用户任务
操作系统的隔离控制包括：物理隔离、时间隔离、逻辑隔离、加密隔离
限制程序的访问，使其不能访问许可域之外的对象，用户感觉好像是在没有其他进程的情况下执行自己的进程。这种隔离控制方法是：逻辑隔离
CPU运行模式分为：用户模式和系统模式
操作系统的内核实现方法有：单核、微内核
从安全操作系统的内核实现方法角度看，可实现最小特权，容忍设备驱动失败/错误等的是：微内核方法
Windows操作系统的备份策略有：整体备份、增量备份、实时备份、差异备份
数据损失最少的备份策略是：实时备份
根据可信计算机系统评估准则TCSEC，必须设有安全管理员的操作系统安全等级是：B3
根据可信计算机系统评估准则TCSEC，目前的Windows和Linux操作系统的的安全等级是：C2
可信通路的实现：用户在执行敏感操作前，向安全内核发送“安全注意符”
Windows安全子系统中，提供用户存取许可确认、产生访问令牌的是：本地安全认证LSA
Windows安全子系统中，存储本地用户和本地组的帐户以及相关安全信息的是：SAM数据库
SID是由LSA生成的
Windows安全子系统中，内核模式组件是：安全参考监视器SRM
ACL是Windows访问控制机制的核心
ACE由对象的权限以及用户或者组的SID组成
Windows安全审计中的日志文件包括：系统日志、应用程序日志、安全日志
Windows 的文件系统类型包括：FAT、NTFS等；
NTFS分区支持自主访问控制和拥有权
所谓“安全数据报”是指数据报的数据部分是经过加密的，并能够被鉴别的
通常把数据报的数据部分称为数据报的有效载荷

第六章 Linux操作系统安全

1、Linux 系统的安全威胁：

特权程序漏洞
恶意代码
网络监听和数据捕获
软件设置和相互作用

问题：Linux系统中，什么是特权程序？特权程序会有说明漏洞？

特权程序是可以暂时获得管理员权限并执行一些管理员特权功能的程序。如果特权程序编写时没能确保对使用环境的完全控制，或对一些错误处理考虑不周，导致程序退出到特权环境中，或者可以被攻击者采用缓冲区溢出等手段将程序流程转到恶意代码上，即可使用户或入侵者获取管理员权限

2、Linux的本地安全机制：

用户和组安全
文件系统安全

- Linux文件系统是Linux系统模块
- Linux文件系统支持 Owner/Group/Other 访问控制机制

进程管理安全
日志管理

- Unix和Linux操作系统多采用Syslog进行系统日志的管理和配置

问题：Linux系统中，用户组信息对于访问控制是非必要的（√）

Linux系统采用了基于权限的访问控制模型，而不是基于身份的访问控制模型；

在基于权限的访问控制模型中，每个文件和目录都有一个唯一的权限位表示该文件或目录可以被哪些用户或进程执行哪些操作。这些权限位由三个组成部分组成：读(r)、写(w)和执行(x)。通过这些权限位，可以确定哪些用户或进程可以访问该文件或目录

问题：Linux文件和目录的访问权限：

问题：Linux系统中，什么是僵尸进程？僵尸进程带来的问题？

①僵尸进程(Zombie Process)是指已经结束但其父进程尚未处理其终止信息的进程

僵尸进程放弃了几乎所有内存空间，无任何可执行代码，也不能被调度，仅仅在进程表中保留一个位置，记载该进程的退出状态等信息供其他进程收集

②Linux系统中进程数目是有限制的；如果存在太多的僵尸进程，会占用内存资源，影响系统性能和新进程的产生，甚至导致系统瘫痪

3、Linux的网络安全机制

Web服务安全
Netfilter/Iptables防火墙
入侵检测
DNS服务安全
DHCP服务安全
xinetd

填空题

Linux系统中的所有进程都由init进程衍生，其进程号是1
Linux系统中文件和程序的访问控制以用户(UID)和用户分组（GID）为基础
Linux系统中，用户信息保存为普通文本文件，所有用户可读
Linux扩展文件系统中，支持自动修复损坏的文件系统和反删除的是Ext2
Unix和Linux操作系统多采用Syslog进行系统日志的管理和配置
Netfilter/Iptables防火墙的五链有：PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

第七章数据库系统安全

1、数据库系统的安全需求：

机密性
完整性

- 防止对DBMS的非法访问和修改
- 保护存储的数据、文件的安全性

一致性：表示同一事实的两个数据应相同
可审计性：数据库受破坏后可恢复，维护完整性

- 防止用户采用累加的方式，访问受保护的数据
- 审计、跟踪用户访问记录，推理用户意图

问题：数据库安全中，数据完整性的含义？

物理数据库完整性：避免数据库被损毁；保证数据能够物理读取

逻辑数据库完整性：保护数据库的结构

元素完整性：数据元素只能由授权用户改变

2、数据库系统的安全防护层次

网络环境层次

- 网络系统的安全是数据库系统安全的第一道屏障

宿主操作系统层次

- 防止对DBMS的非法访问和修改
- 保护存储的数据、文件的安全性
- 对数据库用户进行系统登录认证

数据库管理系统层次

- 保护数据的机密性
- 保护数据的完整性
- 保护数据的一致性
- 保护系统的可用性
- 并发控制

数据库应用系统层次

- 用户管理
- 身份认证
- 用户/角色管理
- 访问控制
- 业务审计
- 输入检查

3、数据库系统的安全机制

身份认证
访问控制
安全审计
视图机制：通过定义不同的视图，将用户无权访问的数据隐藏起来
数据库加密
推理控制：利用数据之间的相互关系，从合法获得的低安全等级的数据中，推导出数据库中受高安全等级保护的内容，从而造成敏感信息的泄露

问题：数据库加密技术有哪些？优缺点分别是什么？

①库外加密：加/解密过程发生在DBMS之外，DBMS管理的是密文

优点：对DBMS的要求少

缺点：效率低；数据加/解密需要很大的时间和空间代价

②库内加密：加密对象为数据库中存储的数据，比如表、记录、字段等；库内加密在DBMS内核层实现加密，加/解密过程对用户与应用透明，数据在物理存取之前完成加/解密工作

优点：加密的粒度可细化；效率较高

缺点：DBMS性能降低；密钥管理风险较大

问题：数据库加密技术的局限性有哪些？

①不宜以整个数据库文件为单位进行加密

原因：脱密操作无法从文件中间开始；由于数据共享需要，密钥管理困难

②部分字段不能加密（索引字段不能加密；表间的连接码字段不能加密）

能加密的条件：DBMS必须能够识别条件字段；

4、SQL Server的数据控制：

完整性控制
并发控制
数据恢复
安全性控制：对用户进行授权和访问控制
存储过程管理

填空题

DBMS的组成主要包括存储管理器和查询处理器
数据库系统的机密性要求对以下信息保密：数据值、可能的取值、数据值范围、否定的查询结果
数据库系统的安全防护可以分为网络环境、宿主操作系统、数据库管理系统、数据库应用系统四个层次
网络系统的安全是数据库系统安全的第一道屏障
SQL Server支持的身份认证模式有Windows身份认证模式和混合身份认证模式
SQL Server的权限包括语句权限（创建对象的权限）、对象权限（操作对象的权限）和隐含权限（通过角色传递获得的权限）

第八章信息系统安全测评

1、我国的信息安全等级保护标准：《计算机信息系统安全保护等级划分准则》

用户自主保护级
系统审计保护级
安全标记保护级（开始损害国家安全）
结构化保护级
访问验证保护级

问题：决定信息系统的安全保护等级的两个定级要素是什么？

①等级保护对象受到破坏时所侵害的客体

②对客体造成侵害的程度

2、信息安全风险评估技术

资产：组织中具有一定价值的，需要保护的资源
资产价值：资产的属性，指明资产的重要程度和敏感程度
威胁：是有可能引起安全事件的，会对组织及资产造成直接或间接损害的潜在因素
脆弱性（漏洞）：资产的弱点。脆弱性可能被威胁利用造成安全事件发生，引起资产遭受损害
风险：使得威胁可以利用脆弱性，从而直接或者间接造成资产损害的一种潜在的影响
风险评估（安全评估）：是对威胁、脆弱性、影响及三者发生的可能性评估，确定资产的风险等级和确定优先控制顺序的过程

信息安全风险评估的原则：

可控性原则
完整性原则（全面评估）
最小影响原则（将风险评估对信息系统正常运行的可能影响降低到最低限度）
保密原则

信息安全风险评估的基本过程：

评估准备
识别并评价资产
识别并评估威胁
识别并评估脆弱性
识别安全措施
分析可能性和影响
风险计算
风险处理
编写信息安全风险评估报告

问题：如何使用矩阵法计算风险？

由威胁和脆弱性确定安全事件发生可能性值

由资产和脆弱性确定安全事件的损失值

风险计算过程：

计算安全事件发生可能性：

1. 构建安全事件发生可能性矩阵；
2. 根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值；
3. 对计算得到的安全风险事件发生可能性进行等级划分

计算安全事件造成的损失：

1. 构建安全事件损失矩阵；
2. 根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值；
3. 对计算得到的安全事件损失进行等级划分

计算风险值：

1. 构建风险矩阵；
2. 根据安全事件发生的可能性等级和安全事件损失在矩阵中进行对照，确定安全事件风险；

结果判定

问题：如何使用相乘法计算风险？

计算安全事件发生可能性
计算安全事件的损失
计算风险值
结果判定

问题：信息安全风险评估中，什么是残余风险？如何对待残余风险

在信息安全风险评估中，残余风险指的是已经采取控制措施但仍可能存在的剩余风险。这些剩余风险可能是由于系统设计、技术限制、人为失误或其他因素造成的，尽管已经实施了一些安全控制措施，但它们仍然可能导致信息安全问题的发生。

对待残余风险需要采取综合的策略。首先，应该对残留的风险进行详细的分析和识别，确定它们的来源和特征。然后，可以采取一系列措施来减少这些风险，如重新评估现有的控制措施、加强安全监控和审计、更新软件和补丁程序等。

此外，应该考虑采用新的技术和控制措施来应对残余风险。例如，可以使用漏洞扫描器和渗透测试来评估系统的安全性，并确定系统中的漏洞和威胁点。对于已经发现的漏洞，可以使用自动化工具来修复它们。

最后，应该定期监测和审查残留的风险，确保采取的措施能够持续有效。如果发现残留的风险已经造成了信息安全问题，应该及时采取紧急响应措施来减轻损失并恢复系统的安全性。

第九章可信计算

信任是网络空间中安全交互的基础
可信计算的出发点：提供一种方法使实体能够判断与其交互的实体是否可信，确保网络空间中交互的安全
可信计算是指计算机运算的同时进行安全防护，使操作和过程行为在任意条件下的结果总是与预期一样，计算全程可测可控，不被干扰，是一种运算和防护并存的自我免疫的新计算模式
可信的概念：一个实体是可信的, 如果它的行为总是以预期的方式达到预期的目标（TCG提出的概念）
可信计算系统：是能够提供系统的可靠性、可用性、信息和行为安全性的计算机系统

可信计算机系统的组成：