金融信息安全習(xí)題答案與提示

1、第章引論1金融信息系統(tǒng)包括哪幾種類型？它們之間有何關(guān)系？答：金融業(yè)務(wù)系統(tǒng)一般可分為事務(wù)處理系統(tǒng)、管理信息系統(tǒng)和決策支持系統(tǒng)三個(gè)部分。事務(wù)處理系統(tǒng)（EDPS）、管理系統(tǒng)（MIS）及決策支持系統(tǒng)（DSS），三者間相對獨(dú)立又互相聯(lián)系。三者之間聯(lián)系的紐帶是三庫系統(tǒng)，即數(shù)據(jù)庫、方法庫和模型庫，它們是信息系統(tǒng)的核心。 決策支持系統(tǒng)管理信息系統(tǒng)事務(wù)處理系統(tǒng)總行省分行地方分行基層行外部數(shù)據(jù)外部數(shù)據(jù)外部數(shù)據(jù)經(jīng)辦業(yè)務(wù)及原始數(shù)據(jù)原始數(shù)據(jù)金融事務(wù)處理系統(tǒng)可分為前臺綜合業(yè)務(wù)計(jì)算機(jī)處理系統(tǒng)（核心業(yè)務(wù)）和業(yè)務(wù)管理部門的日常事務(wù)處理系統(tǒng)。管理信息系統(tǒng)是金融企業(yè)經(jīng)營管理的中心環(huán)節(jié)。決策支持系統(tǒng)是位于二者之上的更高級的管理信息系

2、統(tǒng)。2簡述金融信息系統(tǒng)的組成結(jié)構(gòu)。答：從物理層面考察，一個(gè)典型的金融業(yè)務(wù)系統(tǒng)應(yīng)具有用戶、客戶端、網(wǎng)絡(luò)、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等不同的部分和層次。從邏輯層面考察，金融業(yè)務(wù)系統(tǒng)中的事務(wù)處理系統(tǒng)可劃分為核心層、業(yè)務(wù)層、服務(wù)層和客戶層四個(gè)層次。3事務(wù)處理系統(tǒng)有哪些功能？它們是如何實(shí)現(xiàn)的？答：事務(wù)處理系統(tǒng)用于完成面向客戶的前臺綜合業(yè)務(wù)以及管理部門的日常事務(wù)處理功能。這些功能使用通知類交易、請求類交易這兩大類交易完成。4如何理解信息安全的全面性？答：信息安全的全面性可從以下幾個(gè)方面理解：）信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，其面臨的威脅無處不在；）信息系統(tǒng)安全可分為物理安全、平臺安全、運(yùn)行安全、通信安全、應(yīng)

3、用安全等多個(gè)層面；）為達(dá)到IT 安全目標(biāo)的完備性，應(yīng)對信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮；）計(jì)算機(jī)信息系統(tǒng)中各不相同的安全策略和安全機(jī)制所實(shí)現(xiàn)的安全功能及其安全性強(qiáng)度，應(yīng)該相互匹配；）信息系統(tǒng)的安全實(shí)現(xiàn)需用到要跨學(xué)科的專業(yè)知識。5信息安全為什么具有周期性？答：安全系統(tǒng)生命周期是安全動態(tài)性的一個(gè)表現(xiàn)，也是風(fēng)險(xiǎn)平衡過程在組織級的體現(xiàn)。信息系統(tǒng)的這一動態(tài)變化來源于信息安全滿意度的周期性：一開始，系統(tǒng)被嚴(yán)重破壞，于是經(jīng)理雇傭安全專家處理，此后系統(tǒng)可達(dá)到較高的安全滿意度。隨著時(shí)間的流逝，情況又變得相當(dāng)糟糕，如此周而復(fù)始。6為什么計(jì)算機(jī)不能做到完美的安全？答：計(jì)算機(jī)不能做到完美安全的原因是：）任何實(shí)際系

4、統(tǒng)的信息安全都只能存在于某些假設(shè)和信任基礎(chǔ)之上。）在特殊環(huán)境下安全的機(jī)制在一個(gè)更一般的環(huán)境中會有安全問題。）人類思維活動的局限性。）系統(tǒng)的安全性常常會受到實(shí)現(xiàn)期限、財(cái)務(wù)、技術(shù)、社會、環(huán)境和法律方面的限制。在“充分定義”能力級別上，為達(dá)到量化控制目標(biāo)，應(yīng)關(guān)注于測量：（）為機(jī)構(gòu)的標(biāo)準(zhǔn)過程族的工作結(jié)果建立可測的質(zhì)量目標(biāo)；（）收集和分析過程執(zhí)行情況的詳細(xì)測量數(shù)據(jù)，形成對過程能力的量化理解，以預(yù)測過程的執(zhí)行，并能采取適當(dāng)?shù)男拚袆?。（）量化控制?yīng)與機(jī)構(gòu)的業(yè)務(wù)目標(biāo)緊密聯(lián)系。為達(dá)到“連續(xù)改進(jìn)”的能力級別目標(biāo)，需要進(jìn)行缺陷預(yù)防，技術(shù)更新管理，過程更改管理，建立一個(gè)持續(xù)改進(jìn)的文化。第章金融信息風(fēng)險(xiǎn)簡述信息風(fēng)險(xiǎn)要

5、素及其關(guān)系。答：信息風(fēng)險(xiǎn)要素及其關(guān)系如下圖所示：資產(chǎn)價(jià)值應(yīng)該從哪些方面衡量？答：一般可從成本和收益兩個(gè)角度考慮資產(chǎn)的價(jià)值，具體包括：（1）獲取、開發(fā)、維護(hù)和保護(hù)該資產(chǎn)所需的成本（2）該資產(chǎn)對所有者、用戶和競爭對手所具有的價(jià)值：（3）該資產(chǎn)不可用情況下所造成的損失3脆弱性包括哪些方面，應(yīng)如何識別？答：脆弱性包括技術(shù)脆弱性、管理脆弱性兩大方面。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面。在脆弱性識別時(shí)，應(yīng)注意以下幾點(diǎn)：（1）應(yīng)從技術(shù)和管理兩個(gè)方面進(jìn)行脆弱性識別。（2）脆弱性識別可以從橫向和縱向兩個(gè)不同的方向進(jìn)行。（3）脆

6、弱性識別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。（4）脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。（5）需要注意，由于所在的組織安全策略的不同，應(yīng)用在不同環(huán)境中的相同的弱點(diǎn)，其脆弱性嚴(yán)重程度是不同的。信息系統(tǒng)災(zāi)難會給企業(yè)帶來哪些損失？答：信息系統(tǒng)災(zāi)難會給企業(yè)帶來直接損失和間接損失。直接損失是指在事件發(fā)生后系統(tǒng)直接產(chǎn)生的損失，直接損失具有可計(jì)算、損失不會擴(kuò)大等特點(diǎn)。間接損失包括經(jīng)營收益減少、信譽(yù)的降低、市場份額下降、客戶索賠費(fèi)用、潛在承擔(dān)的法律責(zé)任等。第3章 應(yīng)用密碼學(xué)基礎(chǔ)1 密碼系統(tǒng)一般包括哪些部分? 各部分的關(guān)系是怎

7、樣的？答：密碼系統(tǒng)的兩個(gè)基本單元是算法和密鑰，具體包含以下組件：明文空間、密文空間、密鑰空間和算法。各部分的關(guān)系要求如下：a) 知道加密密鑰，加密算法容易計(jì)算；b) 知道解密密鑰，解密算法容易計(jì)算；c) 不知道，由密文不能推導(dǎo)出明文2 一次一密系統(tǒng)是可證明安全的，但它們?yōu)槭裁春苌僭趯?shí)際中使用？ 答：在實(shí)際應(yīng)用中，一次一密系統(tǒng)是難以實(shí)現(xiàn)的。這是因?yàn)橐韵略颍?1) 首先，安全分發(fā)、存儲和明文信息等長的密鑰是困難的。(2) 其次，如何生成真正的隨機(jī)密鑰也是一個(gè)現(xiàn)實(shí)問題。3 散列函數(shù)與對稱密碼系統(tǒng)在計(jì)算原理、性能和用途方面有何異同？答：散列函數(shù)是一種接受任意長的消息為輸入，并產(chǎn)生固定長度的輸出的算法

8、。在計(jì)算原理方面，設(shè)計(jì)散列函數(shù)除了可利用某些對稱密鑰密碼系統(tǒng)外，也可：（）利用某些數(shù)學(xué)難題，例如，因子分解問題、離散對數(shù)問題等。（）直接設(shè)計(jì)方法 這類算法不基于任何假設(shè)和密碼系統(tǒng)。在性能方面，散列函數(shù)無需求逆。對它的性能方面的要求有：(1) 可壓縮性；接收長度不等的字母串，輸出固定長度。(2) 易計(jì)算性；即給定和輸入，可以很容易地計(jì)算；(3) 抗碰撞特性；即給定，找到任意的和，使得是計(jì)算上不可行的；(4) 求逆很困難；即給定和，求出是計(jì)算上不可行的。在用途方面，散列函數(shù)數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn)要少，因而可更好地用于消息認(rèn)證，但不能單獨(dú)作為密文傳送。4 DES算法的安全弱點(diǎn)有哪些？應(yīng)如何進(jìn)行

9、安全增強(qiáng)？答：DES算法的安全弱點(diǎn)有：（1）分組長度（64比特）不夠大；（2）密鑰長度（56比特）不夠大；(3) 存在弱密鑰和半弱密鑰；（4）輪函數(shù)中S-Box設(shè)計(jì)原理至今沒有公布，可能有不安全因素?？蓪ES算法進(jìn)行下述安全增強(qiáng)：（）將分組密碼級聯(lián)以增加分組密鑰的長度；（）避免使用弱密鑰和半弱密鑰。5. 對稱加密與非對稱的比較（一）、對稱密碼體制對稱密碼體制是一種傳統(tǒng)密碼體制，其特點(diǎn)是（1） 在對稱加密系統(tǒng)中，加密和解密采用相同的密鑰。（2） 對稱密鑰算法具有加密處理簡單，加解密速度快，密鑰較短，發(fā)展歷史悠久（3） 發(fā)送信息的通道往往是不可靠的不安全非對稱密碼體制的特點(diǎn)在于：（1） ）在多人

10、之間進(jìn)行保密信息傳輸所需的密鑰組和數(shù)量很?。唬?） 公開密鑰系統(tǒng)可實(shí)現(xiàn)數(shù)字簽名。（3） 缺點(diǎn)：具有加解密速度慢的特點(diǎn)，密鑰尺寸大，發(fā)展歷史較短等特點(diǎn)第章密鑰管理1 在層次化密鑰管理體系中，不同層次的密鑰分配方式和更新頻率有何不同？答：見下表。密鑰分配方式更新頻率主密鑰手工分配可以長期不更改銀行主密鑰可采取“請求分發(fā)”式的動態(tài)分發(fā)技術(shù);可以采用靜態(tài)分配技術(shù)，即一種由中心以脫線方式預(yù)分配的技術(shù)，“面對面”進(jìn)行分發(fā)與主密鑰類似工作密鑰在線申請或協(xié)商新的密鑰每天或每次啟動時(shí)都要更新2 銀行體系中的工作密鑰包括哪幾種？簡述其分配要求和過程。答：工作密鑰包括MAC密鑰（MAK）、PIN 校驗(yàn)密鑰（PIK）

11、、卡校驗(yàn)密鑰(CVK)、終端密鑰（TMK）等密鑰。由于工作密鑰使用量大，因而應(yīng)每天或每次啟動時(shí)都要申請新的密鑰。根據(jù)實(shí)際需要，當(dāng)系統(tǒng)啟動、交易筆數(shù)超過一定的限量或密鑰失效等情況時(shí)也需要更換工作密鑰。在某些情況下，如網(wǎng)上銀行交易，可能需要在每次不同的交易會話中都使用不同的密鑰，即會話密鑰。分配過程是：在開機(jī)時(shí)，前臺網(wǎng)點(diǎn)要執(zhí)行申請密鑰程序，入網(wǎng)機(jī)構(gòu)將申請重置密鑰請求報(bào)文發(fā)送給后臺，主機(jī)接收到該請求后，立即返回應(yīng)答。同時(shí)主機(jī)啟動密鑰更新模塊，為請求方生成新密鑰，并將新密鑰用用相應(yīng)BMK加密，以重置密鑰請求報(bào)文發(fā)送給請求方。3 簡述密鑰/證書生命周期管理各階段的主要內(nèi)容。答：密鑰/證書生命周期管理大體

12、經(jīng)歷三個(gè)不同的階段：（） 初始化階段初始化階段包括的內(nèi)容主要有：用戶注冊、密鑰對產(chǎn)生、證書創(chuàng)建、證書發(fā)送和儲存、密鑰備份、證書分發(fā)等。（） 使用階段使用階段中的主要操作內(nèi)容包括：證書檢索、證書驗(yàn)證、密鑰恢復(fù)、密鑰更新等。（） 取消階段內(nèi)容主要有：證書過期、證書撤銷、密鑰歷史和密鑰檔案。第5章 身份認(rèn)證1.以口令系統(tǒng)為例，剖析身份認(rèn)證系統(tǒng)應(yīng)該包括哪些部分？各部分的保護(hù)要求有哪些？ 答：認(rèn)證系統(tǒng)通常需要包括以下幾個(gè)部分： 認(rèn)證信息集合A：實(shí)體用于證明其身份的特定信息的集合； 補(bǔ)充信息集合C：系統(tǒng)存儲并用于驗(yàn)證認(rèn)證信息的信息集合，例如unix 系統(tǒng)的shado

13、w 口令文件。 補(bǔ)充函數(shù)集合F：根據(jù)認(rèn)證信息生成補(bǔ)充信息的函數(shù)集合，認(rèn)證函數(shù)集合 L：用于驗(yàn)證身份的函數(shù)集合。即，對® 選擇函數(shù)集合S：使得一個(gè)實(shí)體可以創(chuàng)建或修改認(rèn)證信息和補(bǔ)充信息。1 如何理解身份認(rèn)證的注冊性要求？在實(shí)現(xiàn)系統(tǒng)中有哪些實(shí)現(xiàn)形式？答：注冊性要求：需要證明的主體特征應(yīng)是預(yù)先設(shè)置或約定的，用于身份認(rèn)證的“信物”（證據(jù)或憑證）的特征應(yīng)記錄在案，這就是注冊。驗(yàn)證方和證明方具有相同意義的“信物”。驗(yàn)證主體和證明主體是主從關(guān)系，這種關(guān)系規(guī)定了發(fā)證的合法性和有效域。一個(gè)系統(tǒng)只能對自己管轄的主體發(fā)證，而一個(gè)主體的憑證只能在所屬系統(tǒng)范圍內(nèi)有效，因此

14、，一個(gè)驗(yàn)證主體管轄的證明方是有邊界的，而不是無限的。系統(tǒng)中，典型實(shí)現(xiàn)形式：（） 身份證；（） 公鑰證書；（） 對稱密鑰；（） 各類憑證。2 為身份認(rèn)證提供一體性證據(jù)的主要方法有哪些？答：提供一體性證據(jù)的方法主要是基于下列原理中的一種或幾種：（1）證明方證明他知道某事或某物，例如口令，是個(gè)體向本地系統(tǒng)進(jìn)行身份認(rèn)證的最實(shí)用的機(jī)制之一；（2）證明方證明他擁有某事或某物，例如柜員IC卡、存折、銀行卡等，通常通過證明方證明他知道與這些事物綁定的口令、密鑰或個(gè)人識別號來達(dá)到。（3）證明方展示某些不變的個(gè)體特征，例如照片、指紋等；（4）證明方在某一特定場所或時(shí)間內(nèi)提供證據(jù)。機(jī)器地址、物理地點(diǎn)、時(shí)間或狀態(tài)等上

15、下文要素可以為身份認(rèn)證提供輔助性的信息。3 口令保護(hù)措施有哪些？答：（） 防止口令猜測的措施1) 需要選用易記難猜的口令；2）適當(dāng)增加口令位數(shù)；3）“salting”技術(shù)；4）限制使用認(rèn)證函數(shù)（）對抗線路竊聽的措施1）采用密文形式傳輸；2）使用散列函數(shù)；3）使用密碼器件；4）使用管理和控制過程（）動態(tài)口令）挑戰(zhàn)/應(yīng)答機(jī)制；）時(shí)間同步機(jī)制；）事件同步技術(shù)。4 動態(tài)口令可以對抗哪些攻擊？各種實(shí)現(xiàn)機(jī)制的工作原理及其優(yōu)缺點(diǎn)有哪些？答：動態(tài)口令可以對抗口令泄漏和口令重放等攻擊。各種實(shí)現(xiàn)機(jī)制的工作原理及其優(yōu)缺點(diǎn)是：（）挑戰(zhàn)/應(yīng)答機(jī)制在這種機(jī)制中，挑戰(zhàn)數(shù)作為變量，由驗(yàn)證者給證明方發(fā)送一個(gè)隨機(jī)的挑戰(zhàn)值，證明方

16、必須提供看到這一挑戰(zhàn)值的證據(jù)。這種機(jī)制能大大提高抵抗重放攻擊的能力，可支持不同的應(yīng)用。缺點(diǎn)是通信雙方需要協(xié)商通行證算法，這一過程可能易遭受攻擊。（）時(shí)間同步機(jī)制以時(shí)間作為變量。進(jìn)行認(rèn)證時(shí)，將靜態(tài)口令p輸入器件，得到關(guān)于口令p、dsv和當(dāng)前時(shí)戳的一個(gè)動態(tài)口令值并顯示在器件的液晶屏上。認(rèn)證服務(wù)器使用同樣的對稱密鑰、口令和時(shí)間進(jìn)行相同的運(yùn)算，并將處理結(jié)果它與收到的動態(tài)口令進(jìn)行比較，如果相同，則通過認(rèn)證。這一認(rèn)證機(jī)制的安全強(qiáng)度高，不容易被攻破。其缺點(diǎn)是：）對設(shè)備精度要求高，成本高；）器件耗電量大；）應(yīng)用模式單一，難以支持雙向認(rèn)證及“數(shù)字簽名”等應(yīng)用需求。（）事件同步技術(shù)事件同步機(jī)制以事件（次數(shù)/序列數(shù)

17、）作為變量，它通過同步認(rèn)證算法產(chǎn)生“動態(tài)口令”。事件同步認(rèn)證技術(shù)的代表是S/Key 系統(tǒng)，它使用用戶輸入的種子，基于單向hash的n 次操作，產(chǎn)生一個(gè)有n個(gè)口令的表，所使用的口令依次是第n，n-1，,1次散列的結(jié)果。用戶保存這一口令表，驗(yàn)證服務(wù)器保存用于下一次提供的口令的序號i，和上一次用戶所提交的正確口令的十六進(jìn)制表示。在認(rèn)證時(shí)，驗(yàn)證服務(wù)器要求用戶提供口令pi， 如果與數(shù)據(jù)庫中的口令表匹配，即 pi=H（pi-1），那么認(rèn)證成功。在現(xiàn)實(shí)中，可使用口令機(jī)制和基于密碼技術(shù)的結(jié)合：首先使用口令向IC卡認(rèn)證它自己，然后器件使用密碼技術(shù)產(chǎn)生動態(tài)密碼，向最終的驗(yàn)證者認(rèn)證它自己。同步認(rèn)證技術(shù)生成

18、的口令具有時(shí)間無關(guān)性，無法預(yù)測、無法跟蹤截取和破譯，事件同步機(jī)制是比較安全的一次性動態(tài)口令，同時(shí)，也不用擔(dān)心網(wǎng)絡(luò)或者操作延時(shí)會對密碼的認(rèn)證產(chǎn)生影響。其缺點(diǎn)是，產(chǎn)生動態(tài)密碼的算法都掌握在生產(chǎn)廠家，對用戶存在一定風(fēng)險(xiǎn)，如果廠家泄密或被攻破，其災(zāi)難性將會是全局性的。 5 名字與身份有何區(qū)別？在對系統(tǒng)實(shí)體進(jìn)行命名時(shí)，需要注意哪些問題？答：名字與身份的區(qū)別在于：（1）一個(gè)實(shí)體可能有多個(gè)不同種類的名字（） 一個(gè)名字可用于不同的身份（）名字只在一定的上下文中才能分辨出擁有者的身份。在對系統(tǒng)實(shí)體進(jìn)行命名時(shí)，需要注意的問題有：（） 確保命名的全局一致性（） 命名方式應(yīng)基于應(yīng)用環(huán)境的實(shí)際需求（） 用戶的命名方式不

19、應(yīng)該包括對應(yīng)用戶的工作職責(zé)（） 以地址命名實(shí)體是不可靠的（） 設(shè)計(jì)足夠大的名字空間，以避免從頭修改的麻煩（） 名字服務(wù)必須與所要保護(hù)的系統(tǒng)規(guī)模相適應(yīng)（） 禁止使用別名，并使得各個(gè)局部命名方案能夠相互兼容（） 盡量使用成熟的命名技術(shù)（） 命名方案應(yīng)適應(yīng)組織的變化（） 名字可以附加訪問票據(jù)或能力（） 隨機(jī)、匿名的名字是有商業(yè)價(jià)值的。6 身份認(rèn)證有哪些實(shí)現(xiàn)模式？各模式的特點(diǎn)是什么？答：身份認(rèn)證的實(shí)現(xiàn)模式有：（1）基本模型基本模型應(yīng)用于封閉式業(yè)務(wù)網(wǎng)絡(luò)中，所有計(jì)算機(jī)以及它們之間的通信都在嚴(yán)格的控制之下，后臺服務(wù)程序不須進(jìn)行操作員認(rèn)證工作，而由用戶登錄的計(jì)算機(jī)來管理用戶的認(rèn)證來保證正確的訪問。（2）內(nèi)聯(lián)式

20、認(rèn)證在內(nèi)聯(lián)式認(rèn)證中，實(shí)體的身份被中間者認(rèn)證，然后中間者為它提供擔(dān)保。中間者包含雙方的認(rèn)證信息。內(nèi)聯(lián)式認(rèn)證應(yīng)用于像大中型企業(yè)不同應(yīng)用域之間的互聯(lián)系統(tǒng)這樣的半開放系統(tǒng)中，rlogin和rsh等遠(yuǎn)程服務(wù)的提供者選擇自己信任的計(jì)算機(jī)，對發(fā)來請求的主機(jī)，通過檢查其主機(jī)地址來實(shí)現(xiàn)認(rèn)證，對每臺認(rèn)證過的主機(jī)的用戶不進(jìn)行認(rèn)證。（3）使用在線認(rèn)證服務(wù)器證明方從在線認(rèn)證服務(wù)器獲得一個(gè)通行證，并傳給驗(yàn)證者；或者驗(yàn)證者同服務(wù)器進(jìn)行交互以完成認(rèn)證。需要注意的一點(diǎn)是，為了保證在線認(rèn)證服務(wù)器的可用性，系統(tǒng)必須存在對抗DOS攻擊的機(jī)制。（4）使用離線服務(wù)器離線服務(wù)器的一個(gè)代表是公鑰證書的目錄服務(wù)器。在這樣的協(xié)議中，無需在線認(rèn)證

21、服務(wù)器。然而，獲得被驗(yàn)證者合格的公鑰和證書撤銷列表仍需要，通常這些證書和撤銷列表也從一個(gè)不可信的目錄服務(wù)器中獲得，這樣的服務(wù)器有時(shí)稱作離線認(rèn)證服務(wù)器。7.基于對稱密碼技術(shù)的認(rèn)證與基于公鑰技術(shù)的認(rèn)證的異同點(diǎn) 第6章 訪問控制1 訪問控制系統(tǒng)由哪些部分組成？各部分的作用是什么？答：訪問控制系統(tǒng)的組成如下圖所示：訪問者（主體）執(zhí)行單元決策單元目標(biāo)（客體）安全策略訪問請求各部分的作用是：（） 訪問請求系統(tǒng)之間相互建立一個(gè)連接或者在給定的連接上給一個(gè)特定的系統(tǒng)發(fā)送一個(gè)特定的數(shù)據(jù)項(xiàng)。（） 安全策略策略是關(guān)于如何實(shí)現(xiàn)安全屬性的大綱。策略描述了對系統(tǒng)中實(shí)體和行為的約束。策略可表示為一系列的規(guī)則，以表明哪些用戶

22、具有訪問某個(gè)客體的權(quán)限，也可以用于說明在不同的系統(tǒng)域之間進(jìn)行交互時(shí)應(yīng)遵守的規(guī)則。（） 執(zhí)行單元策略執(zhí)行單元也稱策略實(shí)施點(diǎn)，它截獲訪問者發(fā)出的對某一目標(biāo)的訪問請示，對請求進(jìn)行處理，根據(jù)用戶信息，操作請求和目標(biāo)形成決策請求，發(fā)給決策點(diǎn)。（） 決策單元訪問控制決策單元也稱策略決策點(diǎn)，它是一個(gè)判斷邏輯，如訪問控制代碼中的判斷函數(shù)，根據(jù)策略規(guī)則對決策請求進(jìn)行判斷，并將是否允許訪問系統(tǒng)的決策結(jié)果返給策略執(zhí)行點(diǎn)。2 安全策略的限制性原則體現(xiàn)在哪些方面？答：安全策略的限制性原則體現(xiàn)在以下方面： （） 實(shí)施最小權(quán)限（） 自動防護(hù)缺省原則 （） 完全仲裁原則（） 最小公共機(jī)制原則 （） 保密原則3 自主訪問控制使

23、用哪幾類機(jī)制？各有何優(yōu)缺點(diǎn)？答：實(shí)現(xiàn)自主訪問控制的主要機(jī)制有：訪問控制列表訪問控制列表具有實(shí)施簡單的優(yōu)點(diǎn)，但也存在一定的局限性：1） 不能直接實(shí)現(xiàn)(用戶，程序，文件)控制三元組；2） 不能很好地表達(dá)變化著的狀態(tài)，難以管理有狀態(tài)的訪問規(guī)則；3） 訪問規(guī)則的撤消不便；4） 無法滿足Web應(yīng)用這樣的新興分布系統(tǒng)的安全需求。訪問控制矩陣，相對于訪問控制列表，能力機(jī)制的一個(gè)優(yōu)點(diǎn)是：） 實(shí)時(shí)安全檢查更加有效； ）可以方便地進(jìn)行授權(quán)。訪問控制矩陣的缺點(diǎn)是不能處理大規(guī)模應(yīng)用系統(tǒng)的內(nèi)部訪問控制要求。授權(quán)證書優(yōu)點(diǎn)是可以更有效地實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)中分布式資源的管理和共享，但技術(shù)仍不是很成熟。4 長城模型有什么特點(diǎn)？答：

24、（）長城模型是一個(gè)多邊安全系統(tǒng)，用于處理利益沖突。（）訪問規(guī)則主要通過組織的管理規(guī)則和過程實(shí)現(xiàn)，而不是底層的計(jì)算機(jī)程序自動完成。（3）采取保密性和完整性兼顧的策略。（）為訪問條件加入了時(shí)間屬性。（）初始時(shí)主體可訪問的CD 并不固定。5 與其他主要模型相比，基于角色的訪問控制模型有何優(yōu)勢？答：（1）可對數(shù)量巨大、高度分散的雇員、應(yīng)用及其關(guān)聯(lián)關(guān)系進(jìn)行有效管理。（）可與DAC，MAC模型共存。（）可在應(yīng)用層上實(shí)現(xiàn)，并直接支持最小特權(quán)策略。（）能夠以簡單的方式向最終用戶提供語義更為豐富、得到完整控制的存取功能。6，BLA與BIBA模型異同點(diǎn)，并舉出實(shí)際系統(tǒng)的應(yīng)用？P109-112Biba模型的應(yīng)用WE

25、B服務(wù)器在WEB服務(wù)器中，可以將Web服務(wù)器上發(fā)布的資源的安全級別定義為"秘密"，Internet上用戶的安全級別為"公開"，依照Biba模型，Web服務(wù)器上數(shù)據(jù)的完整性將得到保障，Internet上的用戶只能讀取服務(wù)器上的數(shù)據(jù)而不能更改它，因此，任何"POST"操作將被拒絕。網(wǎng)絡(luò)設(shè)備的配置另一個(gè)例子是對系統(tǒng)狀態(tài)信息的收集，網(wǎng)絡(luò)設(shè)備作為對象，被分配的安全等級為"機(jī)密"，網(wǎng)管工作站的安全級別為"秘密"，那么網(wǎng)管工作站將只能使用SNMP的"get"命令來收集網(wǎng)絡(luò)設(shè)備的狀態(tài)信息，而

26、不能使用"set"命令來更改該設(shè)備的設(shè)置。這樣，網(wǎng)絡(luò)設(shè)備的配置完整性就得到了保障。軟件的執(zhí)行在LOCUS 操作系統(tǒng)中，使用完整性等級來度量可信度，并根據(jù)軟件源的不同而指定了從0 到n 的度量值，用戶進(jìn)程如果要執(zhí)行一個(gè)信用等級較低的程序，用戶必須使用run-untrusted 命令，表示接受相關(guān)的風(fēng)險(xiǎn)。Blp模型的應(yīng)用邊防戰(zhàn)斗文件信息管理系統(tǒng)第7章應(yīng)用安全協(xié)議1 如何理解應(yīng)用安全協(xié)議的完整性服務(wù)？它有哪些實(shí)現(xiàn)手段？答：應(yīng)用安全協(xié)議的完整性服務(wù)要求保護(hù)系統(tǒng)以防止未授權(quán)的改變、刪除或替代。完整性機(jī)制包括：加密、簽名、測試字、封裝、檢測和警告等。2 為防止傳遞過程的非否認(rèn)，應(yīng)采取哪

27、些措施？答：為防止傳遞過程的非否認(rèn)，應(yīng)采取的措施有：(1) 可信第三方令牌(2) 數(shù)字簽名(3) 新鮮性證據(jù)(4) 漸進(jìn)傳遞與報(bào)告(5) 第三方傳遞代理(6) 非否認(rèn)機(jī)制的聯(lián)合使用3 簡述OSI應(yīng)用協(xié)議模型的主要內(nèi)容。答：ISO/IEC10745提供了高層安全協(xié)議的通用構(gòu)建工具和協(xié)議組件的模型，根據(jù)該模型，為實(shí)現(xiàn)應(yīng)用層安全，協(xié)議需要提供系統(tǒng)安全組件和安全通信組件。協(xié)議各部分之間的關(guān)系如下圖所示：安全機(jī)制協(xié)議數(shù)據(jù)項(xiàng)安全機(jī)制協(xié)議數(shù)據(jù)項(xiàng)通信組件系統(tǒng)組件通信組件系統(tǒng)組件待保護(hù)的用戶數(shù)據(jù)協(xié)議項(xiàng)待保護(hù)的用戶數(shù)據(jù)協(xié)議項(xiàng)4 OSI高層安全模型提出了哪些主要安全概念？各概念的含義是什么？答：（）安全關(guān)聯(lián)兩個(gè)（或

28、多個(gè)）系統(tǒng)之間共同維護(hù)著一些規(guī)則、狀態(tài)信息（實(shí)體，選用的算法、密鑰、其他參數(shù)）等屬性。（）安全變換填充、加密、簽名、完整性校驗(yàn)值和完整性序列號等的各種變體和組合。（）安全交換在安全機(jī)制的直接支持下，兩個(gè)系統(tǒng)間傳輸一系列與安全相關(guān)的信息。5 安全交換規(guī)范包括哪些部分？答：一個(gè)安全交換規(guī)范應(yīng)包括幾方面的內(nèi)容，如要交換的信息項(xiàng)的數(shù)據(jù)類型、交換目的、交換進(jìn)行過程以及相關(guān)的錯(cuò)誤指示，具體為：(1) 說明要交換的信息項(xiàng)的數(shù)據(jù)類型。要交換的信息項(xiàng)的數(shù)據(jù)類型可以由前述的選擇字段保護(hù)表示法進(jìn)行描述。 (2) 說明進(jìn)行到交換的哪個(gè)階段，在哪個(gè)方向，應(yīng)該傳輸什么信息； (3) 在什么情況下可認(rèn)定發(fā)生了錯(cuò)誤，發(fā)生錯(cuò)誤

29、時(shí)向?qū)Ψ桨l(fā)出的錯(cuò)誤指示是什么類型。(4) 安全交換的全局唯一的標(biāo)識符例如，協(xié)議中的消息項(xiàng)中包含的序列號、新鮮的隨機(jī)數(shù)等可作為本次安全交換的全局唯一的標(biāo)識符。(5) 安全交換的目的和結(jié)果的含義。7、 在應(yīng)用層提供安全服務(wù)的原因和優(yōu)勢？并舉出一個(gè)映容成安全服務(wù)實(shí)例第8章事務(wù)處理1 舉例說明事務(wù)應(yīng)該具有的安全性質(zhì)。答：標(biāo)準(zhǔn)事務(wù)應(yīng)滿足以下特性：(1) 原子性 事務(wù)是系統(tǒng)的邏輯工作單位，事務(wù)中包括的諸操作要么都做，要么都不做；(2) 一致性事務(wù)執(zhí)行的結(jié)果必須是使系統(tǒng)從一個(gè)一致性狀態(tài)變到另一個(gè)一致性狀態(tài)；(3) 隔離性一個(gè)事務(wù)的執(zhí)行不能被其他事務(wù)干擾，即一個(gè)事務(wù)內(nèi)部的操作及使用的數(shù)據(jù)對其他并發(fā)事務(wù)是隔離的

30、；(4) 持續(xù)性一個(gè)事務(wù)一旦提交，它對系統(tǒng)中數(shù)據(jù)的改變就應(yīng)該是永久性的。接下來的其他操作或故障不應(yīng)該對其執(zhí)行結(jié)果有任何影響。 2 簡述Clark-Wilson 模型的主要內(nèi)容。答：Clark-Wilson 模型是一個(gè)完整性模型，其主要內(nèi)容有：(1) 信息處理資源通常表述為變換過程(TP)，TP由一個(gè)順序執(zhí)行的操作序列組成，操作具有形如(OPMODEL，CDI)這樣的二元結(jié)構(gòu)形式，以表明變換過程是以何種模式來存取某一受控?cái)?shù)據(jù)項(xiàng)值的。(2) 為滿足數(shù)據(jù)客體和事務(wù)過程的完整性需求，TP要具有把系統(tǒng)數(shù)據(jù)從一個(gè)一致狀態(tài)帶到下一個(gè)一致狀態(tài)的良構(gòu)特性。(3) Clark-Wilson 模型定義了系統(tǒng)的完整性驗(yàn)證過程，以驗(yàn)證系統(tǒng)中的所有的受控?cái)?shù)據(jù)項(xiàng)CDI是否都處于一致狀態(tài)。(4) Clark-Wilson 模型要求一個(gè)用戶（User）至少也至多只能屬于AuthUser、ExecUser 和SysUser之一，以實(shí)現(xiàn)職責(zé)隔離。(5) 通過授權(quán)用戶可以執(zhí)行哪些程序來約束用戶。(6) 一個(gè)變換過程的執(zhí)行動作必須和一個(gè)用戶身份相關(guān)聯(lián)，并且使用三元組集合(user，TP ，CDIs)來刻畫允許執(zhí)行的過程授權(quán)關(guān)系。(7) 根據(jù)Clark-Wilson 模型，所有的TP必須記錄完備的信息記入日志。3 事務(wù)的