1、第1章引論1金融信息系統(tǒng)包括哪幾種類型？它們之間有何關系？答：金融業(yè)務系統(tǒng)一般可分為事務處理系統(tǒng)、管理信息系統(tǒng)和決策支持系統(tǒng)三個部分。事/$務處理系統(tǒng)（EDPS管理系統(tǒng)（MIS）及決策支持系統(tǒng)（DSS三者間相對獨立又互相 聯(lián)系。三者之間聯(lián) 系的紐帶是三庫系統(tǒng)，即數(shù)據(jù)庫、方法庫和模型庫，它們是信息系統(tǒng)的核心。數(shù)數(shù)數(shù)亞原始數(shù)據(jù)金融事務處理系統(tǒng)可分為前臺綜合業(yè)務計算機處理系統(tǒng)（核心業(yè)務）和業(yè)務管理部門的日常事務處理系統(tǒng)。管理信息系統(tǒng)是金融企業(yè)經(jīng)營管理的中心環(huán)節(jié)。決策支持系統(tǒng)是位于二 者之上的更高級的管理信息系 統(tǒng)。2 ?簡述金融信息系統(tǒng)的組成結構。答：從物理層面考察，一個典型的金融業(yè)務系統(tǒng)應具有用戶

2、、客戶端、網(wǎng)絡、應用服務器、數(shù)據(jù)庫服務器等不同的部分和層次。從邏輯層面考察，金融業(yè)務系統(tǒng)中的事務處理系統(tǒng)可劃分為核心層、業(yè)務層、服務層和客戶層四個層次。3 .事務處理系統(tǒng)有哪些功能？它們是如何實現(xiàn)的？答：事務處理系統(tǒng)用于完成面向客戶的前臺綜合業(yè)務以及管理部門的日常事務處理功能。這些功能使用通知類交易、請求類交易這兩大類交易完成。4 ?如何理解信息安全的全面性？答：信息安全的全面性可從以下幾個方面理解：1）信息系統(tǒng)是一個復雜的計算機系統(tǒng)，其面臨的威脅無處不在；2） 信息系統(tǒng)安全可分為物理安全、平臺安全、運行安全、通信安全、應用安全等多個層面；3）為達到IT安全目標的完備性，應對信息系統(tǒng)的各個環(huán)節(jié)

3、進行統(tǒng)一的綜合考慮；4） 計算機信息系統(tǒng)中各不相同的安全策略和安全機制所實現(xiàn)的安全功能及其安全性強度，應該相互匹配；5）信息系統(tǒng)的安全實現(xiàn)需用到要跨學科的專業(yè)知識。5 ?信息安全為什么具有周期性？答：安全系統(tǒng)生命周期是安全動態(tài)性的一個表現(xiàn)，也是風險平衡過程在組織級的體現(xiàn)。信息系統(tǒng)的這一動態(tài)變化來源于信息安全滿意度的周期性：一開始，系統(tǒng)被嚴重破壞，于是 經(jīng)理雇傭安全專家處理，此后系統(tǒng)可達到較高的安全滿意度。隨著時間的流逝，情況又變得相當糟糕，如此周而復始。6為什么計算機不能做到完美的安全？答：計算機不能做到完美安全的原因是：1） 任何實際系統(tǒng)的信息安全都只能存在于某些假設和信任基礎之上。2） 在

4、特殊環(huán)境下安全的機制在一個更一般的環(huán)境中會有安全問題。3） 人類思維活動的局限性。4） 系統(tǒng)的安全性常常會受到實現(xiàn)期限、財務、技術、社會、環(huán)境和法律方面的限制。在“充分定義”能力級別上，為達到量化控制目標，應關注于測量：（1） 為機構的標準過程族的工作結果建立可測的質(zhì)量目標； （ 2 ） 收集和分析過程執(zhí)行情況的詳細測量數(shù)據(jù),形成對過程能力的量化理解，以預測過程的執(zhí)行，并能采取適當?shù)男拚袆?。?3） 量化控制應與機構的業(yè)務目標緊密聯(lián)系。為達到“連續(xù)改進”的能力級別目標，需要進行缺陷預防，技術更新管理，過程更改管理，建立一個持續(xù)改進的文化。第2章金融信息風險1 ?簡述信息風險要素及其關系。答：

5、信息風險要素及其關系如下圖所示2 ?資產(chǎn)價值應該從哪些方面衡量？答：一般可從成本和收益兩個角度考慮資產(chǎn)的價值，具體包括：(1)獲取、開發(fā)、維護和保護該資產(chǎn)所需的成本(2)該資產(chǎn)對所有者、用戶和競爭對手所具有的價值：(3)該資產(chǎn)不可用情況下所造成的損失3 ?脆弱性包括哪些方面，應如何識別？答：脆弱性包括技術脆弱性、管理脆弱性兩大方面。技術脆弱性涉及物理層、網(wǎng)絡層、系 統(tǒng)層、應用層 等各個層面的安全問題。管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面。在脆弱性識別時，應注意以下幾點：(1)應從技術和管理兩個方面進行脆弱性識別。(2)脆弱性識別可以從橫向和縱向兩個不同的方向進行。(3)脆弱性

6、識別時的數(shù)據(jù)應來自于資產(chǎn)的所有者、使用者，以及相關業(yè)務領域和軟硬件方面的專業(yè)人員等。(4)脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范、應用流程的安全要求。(5)需要注意，由于所在的組織安全策略的不同，應用在不同環(huán)境中的相同的弱點，其脆弱性嚴重程度是不同的。5 ?信息系統(tǒng)災難會給企業(yè)帶來哪些損失？答：信息系統(tǒng)災難會給企業(yè)帶來直接損失和間接損失。直接損失是指在事件發(fā)生后系統(tǒng)直接產(chǎn)生的損失，直接損失具有可計算、損失不會擴大等特點。間接損失包括經(jīng)營收益減少、信譽的降低、市場份額下降、客戶索賠費用、潛在承擔的法律責任等。第3章應用密碼學基礎1. 密碼系統(tǒng)一般包括哪些部分 ？各部分的關系是

7、怎樣的?答：密碼系統(tǒng)的兩個基本單元是算法和密鑰,具體包含以下組件：明文空間、密文空間、密鑰空間和算法。各部分的關系要求如下：a) 知道加密密鑰e ，加密算法E 容易計算；b) 知道解密密鑰d,解密算法Dd容易計算；c) 不知道d,由密文c二Ee(m)不能推導出明文 m2. 一次一密系統(tǒng)是可證明安全的，但它們?yōu)槭裁春苌僭趯嶋H中使用？ 答：在實際應用中，一次一密系統(tǒng)是難以實現(xiàn)的。這是因為以下原因：(1) 首先，安全分發(fā)、存儲和明文信息等長的密鑰是困難的。(2) 其次，如何生成真正的隨機密鑰也是一個現(xiàn)實問題。3. 散列函數(shù)與對稱密碼系統(tǒng)在計算原理、性能和用途方面有何異同？答：散列函數(shù)是一種接受任意長

8、的消息為輸入，并產(chǎn)生固定長度的輸出的算法。在計算原理方面，設計散列函數(shù)除了可利用某些對稱密鑰密碼系統(tǒng)外，也可：(1) 禾u用某些數(shù)學難題，例如，因子分解問題、離散對數(shù)問題等。(2) 直接設計方法 這類算法不基于任何假設和密碼系統(tǒng)。在性能方面，散列函數(shù)無需求逆。對它的性能方面的要求有：(1) 可壓縮性；接收長度不等的字母串，輸出固定長度。(2)易計算性；即給定h和輸入x,可以很容易地計算 h(x)；(3)抗碰撞特性；即給定h ,找到任意的x和y ,使得h(x)二h(y)是計算上不可行的；(4) 求逆很困難；即給定h 和 y =h(x) ，求出 x 是計算上不可行的。在用途方面，散列函數(shù)數(shù)用上比加

9、密算法被攻擊的弱點要少，因而可更好地用于消 息認證，但不能單獨作為密文傳送。4. DE唧法的安全弱點有哪些？應如何進行安全增強？答：DE唧法的安全弱點有：(1)分組長度(64比特)不夠大；(2)密鑰長度(56比特)不夠大；(3)存在弱密鑰和半弱密鑰； (4 )輪函數(shù)中 S-Box 設計原理至今沒有公布，可能有不安全因素?？蓪ESM法進行下述安全增強：(1)將分組密碼級聯(lián)以增加分組密鑰的長度；(2) 避免使用弱密鑰和半弱密鑰。5. 對稱加密與非對稱的比較(一)、對稱密碼體制對稱密碼體制是一種傳統(tǒng)密碼體制，其特點是( 1) 在對稱加密系統(tǒng)中，加密和解密采用相同的密鑰。( 2) 對稱密鑰算法具有加

10、密處理簡單，加解密速度快，密鑰較短，發(fā)展歷史悠久( 3) 發(fā)送信息的通道往往是不可靠的不安全非對稱密碼體制的特點在于:(1)在多人之間進行保密信息傳輸所需的密鑰組和數(shù)量很?。?2) 公開密鑰系統(tǒng)可實現(xiàn)數(shù)字簽名。(3) 缺點：具有加解密速度慢的特點，密鑰尺寸大，發(fā)展歷史較短等特點公鑰密碼系統(tǒng)與對禰密鑰密碼系統(tǒng)址鑰密碼嘉統(tǒng)討稱密郎密碼累址非純性汽按或穢憧等U較粗酉保密憎誼分；fc基松理集一類堆解的救學網(wǎng)題，伺如大側(cè)敦鬧子分解或離敞對數(shù)等1度卜樹檢度密鑰井發(fā)容趴可口通過公開佶道分發(fā)第4章密鑰管理1.在層次化密鑰管理體系中，不同層次的密鑰分配方式和更新頻率有何不同？答：見下表。密鑰分配方式更新頻率主密

11、鑰手工分配可以長期不更改銀行主密鑰可米取 請求一分發(fā)”式的動態(tài)分發(fā)技術；可以 采用靜態(tài)分配技術，即一種由中心 以脫線方式 預分配的技術，面對面”進行分發(fā)與主密鑰類似工作密鑰在線申請或協(xié)商新的密鑰每天或每次啟動時都要更新2 .銀行體系中的工作密鑰包括哪幾種？簡述其分配要求和過程。答：工作密鑰包括 MA盅鑰(MAK )、PIN校驗密鑰(PIK)、卡校驗密鑰(CVK、終端密鑰 (TMK)等密鑰。由于工作密鑰使用量大， 因而應每天或每次啟動時都要申請新的密鑰。根據(jù)實際需要，當系統(tǒng)啟動、交易筆數(shù)超過一定的限量或密鑰失效等情況時也需要更換工作密鑰。在某些情況下，如網(wǎng)上銀行交易，可能需要在每次不同的交易會話

12、中都使用不同的密鑰，即會話密鑰。分配過程是：在開機時，前臺網(wǎng)點要執(zhí)行申請密鑰程序， 入網(wǎng)機構將申請重置密鑰 請求報文發(fā) 送給后臺，主機接收到該請求后， 立即返回應答。同時主機啟動密鑰更新模 塊，為請求方生成新密 鑰，并將新密鑰用用相應 BMKffl密，以重置密鑰請求報文發(fā)送 給請求方。3 .簡述密鑰/證書生命周期管理各階段的主要內(nèi)容。答：密鑰/證書生命周期管理大體經(jīng)歷三個不同的階段：(1) 初始化階段初始化階段包括的內(nèi)容主要有：用戶注冊、密鑰對產(chǎn)生、證書創(chuàng)建、證書發(fā)送和儲存、密鑰備份、證書分發(fā)等。(2) 使用階段使用階段中的主要操作內(nèi)容包括：證書檢索、證書驗證、密鑰恢(3) 取消階段復、密鑰更

13、新等。內(nèi)容主要有：證書過期、證書撤銷、密鑰歷史和密鑰檔案第5章身份認證1.以口令系統(tǒng)為例，剖析身份認證系統(tǒng)應該包括哪些部分？各部分的保護要求有哪些？答：認證系統(tǒng)通常需要包括以下幾個部分：認證信息集合A：實體用于證明其身份的特定信息的集合；補充信息集合C：系統(tǒng)存儲并用于驗證認證信息的信息集合，例如unix系統(tǒng)的shadow 口令文件。補充函數(shù)集合F:根據(jù)認證信息生成補充信息的函數(shù)集合，認證函數(shù)集合L選擇函數(shù)集合S:使得一個實體可以創(chuàng)建或修改認證信息和補充信息。1. 如何理解身份認證的注冊性要求？在實現(xiàn)系統(tǒng)中有哪些實現(xiàn)形式？答：注冊性要求：需要證明的主體特征應是預先設置或約定的，用于身份認證的信物

14、”(證據(jù)或憑證)的特征應記錄在案，這就是注冊。 驗證方和證明方具有相同意義的信物”。驗證主體和證明主體是主從關系，這種關系規(guī)定了發(fā)證的合法性和有效域。一個系統(tǒng)只能對自己管轄的主體發(fā)證，而一個主體的憑證只能在所屬系統(tǒng)范圍內(nèi)有效，因此，一個驗證主體管轄的證明方是有邊界的，而不是無限的。系統(tǒng)中，典型實現(xiàn)形式：(1) 身份證；(2) 公鑰證書；(3) 對稱密鑰；(4) 各類憑2 .為身份認證提供一體性證據(jù)的主要方法有哪些？ °答：提供一體性證據(jù)的方法主要是基于下列原理中的一種或幾種：(1)證明方證明他知道某事或某物，例如口令，是個體向本地系統(tǒng)進行身份認證的最實用的機制之-* ,(2) 證明方

15、證明他擁有某事或某物，例如柜員IC卡、存折、銀行卡等，通常通過證明方證明他知道與這些事物綁定的口令、密鑰或個人識別號來達到。(3)證明方展示某些不變的個體特征，例如照片、指紋等；(4)證明方在某一特定場所或時間內(nèi)提供證據(jù)。機器地址、物理地點、時間或狀態(tài)等上下文要素可以為身份認證提供輔助性的信息。3 . 口令保護措施有哪些？答：(1)防止口令猜測的措施1)需要選用易記難猜的口令；2)適當增加口令位數(shù)；3)" salting ”技術；4)限制使用認證函數(shù)(2) 對抗線路竊聽的措施1)采用密文形式傳輸；2 )使用散列函數(shù)；3)使用密碼器件；4)使用管理和控制過程(3) 動態(tài)口令1)挑戰(zhàn)/應

16、答機制；2)時間同步機制；3)事件同步技術。(4) 態(tài)口令可以對抗哪些攻擊？各種實現(xiàn)機制的工作原理及其優(yōu)缺點有哪些？答：動態(tài)口令可以對抗口令泄漏和口令重放等攻擊。各種實現(xiàn)機制的工作原理及其優(yōu)缺點是：1(1) 挑戰(zhàn)/應答機制在這種機制中，挑戰(zhàn)數(shù)作為變量，由驗證者給證明方發(fā)送一個隨機的挑戰(zhàn)值，證明方必須提供看到這一挑戰(zhàn)值的證據(jù)。這種機制能大大提高抵抗重放攻 擊的能力，可支持不同的應用。缺點是通信雙方需要協(xié)商通行證算法，這一過程可能易遭 受攻擊。(2) 時間同步機制以時間作為變量。進行認證時，將靜態(tài)口令p '輸入器件，得到關于口令p'、dsv和當前時戳的一個動態(tài)口令值并顯示在器件的液

17、晶屏上。認證服務器使用同樣的對稱密鑰、口令和時間進行相同的運算，并將處理結果它與收到的動態(tài)口令進行 比較，如果相同，則通過認證。這一認證機制的安全強度高，不容易被攻破。其缺點是：1)對設備精度要求高，成本高；2)器件耗電量大；3)應用模式單一，難以支持雙向 認證及“數(shù)字簽名” 等應用需求。(3) 事件同步技術事件同步機制以事件(次數(shù)/序列數(shù))作為變量，它通過同步認證算法產(chǎn)生“動態(tài)口令”。事件同步認證技術的代表是S/Key系統(tǒng)，它使用用戶輸入的種子，基于單向hash的n次操作，產(chǎn)生一個有n個口令的表，所使用的口令依次是第n ,n-1 , , ,1次散列的結果。用戶保存這一口令表，驗證服務器保存用

18、于下一次提供的口令 的序號i ,和上一次用戶所提交的正確口令的十六進制表示。在認證時，驗證服務器要求用戶提供口令pi如果與數(shù)據(jù)庫中的口令表匹配，即p=H( pi-i),那么認證成功。在現(xiàn)實中，可使用口令機制和基于密碼技術的結合：首先使用口令向IC卡認證它自己，然后器件使用密碼技術產(chǎn)生動態(tài)密碼，向最終的驗證者認證它自己。同步認證技術生成的口令具有時間無關性，無法預測、無法跟蹤截取和破譯，事件同步機制是比較安全的一次性動態(tài)口令，同時，也不用擔心網(wǎng)絡或者操作延時會對密碼的認證產(chǎn)生影響。其缺點是，產(chǎn)生動態(tài)密碼的算法都掌握在生產(chǎn)廠家，對用戶存在一定風險，如果廠家泄密或被攻破，其災難 性將會是全局性的。5

19、.名字與身份有何區(qū)別？在對系統(tǒng)實體進行命名時，需要注意哪些問題？答：名字與身份的區(qū)別在于：(1) 一個實體可能有多個不同種類的名字(2) 一個名字可用于不同的身份(3)名字只在一定的上下文中才能分辨出擁有者的身份。在對系統(tǒng)實體進行命名時，需要注意的問題有：(1) 確保命名的全局一致性(2) 命名方式應基于應用環(huán)境的實際需求(3) 用戶的命名方式不應該包括對應用戶的工作職責(4) 以地址命名實體是不可靠的(5) 設計足夠大的名字空間，以避免從頭修改的麻煩(6) 名字服務必須與所要保護的系統(tǒng)規(guī)模相適應(7) 禁止使用別名，并使得各個局部命名方案能夠相互兼容(8) 盡量使用成熟的命名技術(9) 命名

20、方案應適應組織的變化(10) 名字可以附加訪問票據(jù)或能力(11) 隨機、匿名的名字是有商業(yè)價值的。6.身份認證有哪些實現(xiàn)模式？各模式的特點是什么？答：身份認證的實現(xiàn)模式有：(1) .基本模型基本模型應用于封閉式業(yè)務網(wǎng)絡中，所有計算機以及它們之間的通信都在嚴格的控制之下，后臺服務程序不須進行操作員認證工作，而由用戶登錄的計算機來管理用戶的認證來保證正確的訪問。(2) ?內(nèi)聯(lián)式認證在內(nèi)聯(lián)式認證中，實體的身份被中間者認證，然后中間者為它提供擔保。中間者包含雙方的認證信息。內(nèi)聯(lián)式認證應用于像大中型企業(yè)不同應用域之間的互聯(lián)系統(tǒng)這樣的半開放系統(tǒng)中，rlogin和rsh等遠程服務的提供者選擇自己信任的計算機

21、，對發(fā)來請求的主機，通過檢查其主機地址來實現(xiàn)認證，對每臺認證過的主機的用戶不進行認證。(3) .使用在線認證服務器證明方從在線認證服務器獲得一個通行證，并傳給驗證者；或者驗證者同服務器進行交互以完成認證。需要注意的一點是，為了保證在線認證服務器的可用性，系統(tǒng)必須存在對抗口0畋擊的機制。.使用離線服務器的一個代表是公鑰證書的目錄服務器離線服務器在這樣的協(xié)議中，無需在線認證服務器。然而，獲得被驗證者合格的公鑰和證書撤銷列表仍需要，通這樣的服務器有時稱作離線認常這些證書和撤銷列表也從一個不可信的目錄服務器中獲得, 證服務器。7?基于對稱密碼技術的認證與基于公鑰技術的認證的異同點第6章訪問控制1.訪問

22、控制系統(tǒng)由哪些部分組成？各部分的作用是什么?答：訪問控制系統(tǒng)的組成如下圖所示:各部分的作用是：(1) 訪問請求系統(tǒng)之間相互建立一個連接或者在給定的連接上給一個特定的系統(tǒng)發(fā)送個特的數(shù)據(jù)項。(2) 安全策略策略是關于如何實現(xiàn)安全屬性的大綱。策略描述了對系統(tǒng)中實體和行為的約束。策略可表示為一系列的規(guī)則，以表明哪些用戶具有訪問某個客體的權限,也可以用于說明在不同的系統(tǒng)域之間進行交互時應遵守的規(guī)貝農(nóng)(3) 執(zhí)行單元策略執(zhí)行單元也稱策略實施點，它截獲訪問者發(fā)出的對某一目標的訪問請示，對請求進行處理，根據(jù)用戶信息，操作請求和目標形成決策請 求，發(fā)給決策點。(4) 決策單元訪問控制決策單元也稱策略決策點，它是

23、一個判斷邏輯，如訪問控制代碼中的判斷函數(shù)，根據(jù)策略規(guī)則對決策請求進行判斷，并將是否允許 訪問系統(tǒng)的決策結果返給策略執(zhí)行點。|2.安全策略的限制性原則體現(xiàn)在哪些方面？答：安全策略的限制性原則體現(xiàn)在以下方面：(1) 實施最小權限(2) 自動防護缺省原則(3) 完全仲裁原則(4) 最小公共機制原則(5) 保密原則3 .自主訪問控制使用哪幾類機制？各有何優(yōu)缺點？ 答：實現(xiàn)自主訪問控制的主要機制有：訪問控制列表訪問控制列表具有實施簡單的優(yōu)點，但也存在一定的局限性：1)不能直接實現(xiàn)(用戶，程序，文件)控制三元組；2)不能很好地表達變化著的狀態(tài)，難以管理有狀態(tài)的訪問規(guī)則；3)訪問規(guī)則的撤消不便；4)無法滿足

24、 Wei應用這樣的新興分布系統(tǒng)的安全需求。訪問控制矩陣，相對于訪問控制列表，能力機制的一個優(yōu)點是：1)實時安全檢查更加有效；2)可以方便地進行授權。訪問控制矩陣的缺點是不能處理大規(guī)模應用系統(tǒng)的內(nèi)部訪問控制要求。 授權證書優(yōu)點是可以更有效地實現(xiàn)大規(guī)模網(wǎng)絡中分布式資源的管理和共享，但技術仍不是很成熟。4 .長城模型有什么特點？答：(1)長城模型是一個多邊安全系統(tǒng)，用于處理利益沖突。(2) 訪問規(guī)則主要通過組織的管理規(guī)則和過程實現(xiàn)，而不是底層的計算機程序自動完成。(3) 采取保密性和完整性兼顧的策略。(4) 為訪問條件加入了時間屬性。(5) 初始時主體可訪問的 CD并不固定。5.與其他主要模型相比，

25、基于角色的訪問控制模型有何優(yōu)勢？ 答：(1)可對數(shù)量巨大、高度分散的雇員、應用及其關聯(lián)關系進行有效管理。(2) 可與DAC MAI型共存。(3) 可在應用層上實現(xiàn)，并直接支持最小特權策略。(4) 能夠以簡單的方式向最終用戶提供語義更為豐富、得到完整控制的存取功能。6, BLA與BIBA模型異同點，并舉出實際系統(tǒng)的應用？ P109-112Biba模型的應用WE®務器在WES艮務器中，可以將 Wet服務器上發(fā)布的資源的安全級別定義為“秘密"，In ternet 上用戶的安全級別為“公開"，依照Biba模型，We務器上數(shù)據(jù)的完整性將得到保障，In ternet 上的用戶

26、只能讀取服務器上的數(shù)據(jù)而不能更改它，因此，任何"POST操作將被拒絕。 網(wǎng)絡設備的配置 另一個例子是對系統(tǒng)狀態(tài)信息的收集，網(wǎng)絡設備作為對象，被分配的安全等級為“機密”，網(wǎng)管工作站的安全級別為 “秘密”，那么網(wǎng)管工作站將只能使用 SNMTget"命令來收集網(wǎng)到n的度量值，用戶進程如果要執(zhí)行一個信用等級較低的程序，用戶必須使用run-u ntrusted 命令，表示接受相關的風險。Blp模型的應用邊防戰(zhàn)斗文件信息管理系統(tǒng)系統(tǒng)用片劃分為5個角色：省軍區(qū)、軍分區(qū)、邊防 團?邊防管、邊防連？結合BLP模型得 出BIP模型 在本系統(tǒng)中的應用模型,如圖2所示。邊潔fll以軍分區(qū)為例：軍分

27、區(qū)用尸可以對所屬邊防 團的數(shù)據(jù)僖息進行讀.但不能寫匚同時對 省軍區(qū)只 能寫，不能讀省軍區(qū)信息。這就保證了侑息只能向上潦動，從而實現(xiàn)了對信息的嚴密管理。第7章應用安全協(xié)議1 .如何理解應用安全協(xié)議的完整性服務？它有哪些實現(xiàn)手段？答：應用安全協(xié)議的完整性服務要求保護系統(tǒng)以防止未授權的改變、刪除或替代。完整性機制包括：加密、簽名、測試字、封裝、檢測和警告等。2 .為防止傳遞過程的非否認，應采取哪些措施？答：為防止傳遞過程的非否認，應采取的措施有：(1)可信第三方令牌(2) 數(shù)字簽名(3)新鮮性證據(jù)(4)漸進傳遞與報告(5)第三方傳遞代理(6)非否認機制的聯(lián)合使用.3 .簡述OSI應用協(xié)議模型的主要內(nèi)

28、容。答：ISO/IEC10745提供了高層安全協(xié)議的通用構建工具和協(xié)議組件的模型，根據(jù)該模型，為實現(xiàn)應用層待保護的用戶 數(shù)據(jù)I辦議項系統(tǒng)組件 I通信組件安全，協(xié)議需要提供系統(tǒng)安全組件和安全通信組件。協(xié)議各部分之間的關系如下圖所示：待保護的用戶：數(shù)據(jù)協(xié)議項 ；iIH V ，*0*，立 4 *!««# I V'lflH fl ;通信組件匕系統(tǒng)組件I!I安全機制協(xié) 議數(shù)據(jù)項安全機制協(xié) 議數(shù)據(jù)項4 . OSI高層安全模型提出了哪些主要安全概念？各概念的含義是什么?答：(1)安全關聯(lián)兩個(或多個)系統(tǒng)之間共同維護著一些規(guī)則、狀態(tài)信息(實體ID,選用的算法、密鑰、其他參數(shù))等屬

29、性。(2) 安全變換 填充、加密、簽名、完整性校驗值和完整性序列號等的各種變體和組合。(3) 安全交換 在安全機制的直接支持下，兩個系統(tǒng)間傳輸一系列與安全相關的信息。5 .安全交換規(guī)范包括哪些部分？答：一個安全交換規(guī)范應包括幾方面的內(nèi)容，如要交換的信息項的數(shù)據(jù)類型、交換目的、交換進行過程以及相關的錯誤指示，具體為：(1)說明要交換的信息項的數(shù)據(jù)類型。要交換的信息項的數(shù)據(jù)類型可以由前述的選擇字段保護表示法進行描述。(2)說明進行到交換的哪個階段，在哪個方向，應該傳輸什么信息；(3)在什么情況下可認定發(fā)生了錯誤，發(fā)生錯誤時向?qū)Ψ桨l(fā)出的錯誤指示是什么類型。(4)安全交換的全局唯一的標識符例如，協(xié)議中

30、的消息項中包含的序列號、新鮮的隨機數(shù)等可作為本次安全交換的全局唯一的標識符。(5)安全交換的目的和結果的含義。7、在應用層提供安全服務的原因和優(yōu)勢？并舉出一個映容成安全服務實例8 章事務處理1. 舉例說明事務應該具有的安全性質(zhì)。 答：標準事務應滿足以下特性：(1) 原子性事務是系統(tǒng)的邏輯工作單位，事務中包括的諸操作要么都做，要么都不做；(2) 致性事務執(zhí)行的結果必須是使系統(tǒng)從一個一致性狀態(tài)變到另一個一致性狀態(tài)；(3) 隔離性一個事務的執(zhí)行不能被其他事務干擾，即一個事務內(nèi)部的操作及使用的數(shù)據(jù)對其他并發(fā)事務是隔離的；(4) 持續(xù)性一個事務一旦提交，它對系統(tǒng)中數(shù)據(jù)的改變就應該是永久性的。接下來的其他

31、操作或故障不應該對其執(zhí)行結果有任何影響。2. 簡述 Clark-Wils on 模型的主要內(nèi)容。答： Clark-Wilson 模型是一個完整性模型，其主要內(nèi)容有：(1) 信息處理資源通常表述為變換過程(TP) , TP 由一個順序執(zhí)行的操作序列組成，操作具有形如(OPMODELCDI)樣的二元結構形式，以表明變換過程是以何種模式來存取某一受控數(shù)據(jù)項值的。(2)為滿足數(shù)據(jù)客體和事務過程的完整性需求，TP要具有把系統(tǒng)數(shù)據(jù)從一個一致狀態(tài)帶到下一個一致狀態(tài)的良構特性。(3) Clark-Wils on 模型定義了系統(tǒng)的完整性驗證過程，以驗證系統(tǒng)中的所有的受控數(shù)據(jù)項 CDI 是否都處于一致狀態(tài)。(4) Clark-Wilson模型要求一個用戶(User)至少也至多 只能屬于 AuthUser、ExecUser 和 SysUser 之一，以實現(xiàn)職責隔離。(5) 通過授權用戶可以執(zhí)行哪些程序來約束用戶。(6) 一個變換過程的執(zhí)行動作必須和一個用戶身份相關聯(lián)，并且使用三元組集合(user ,TP , CDIs) 來刻畫允許執(zhí)行的過程授權關系。(7)根據(jù)Clark-Wilson 模型，所有的TP