某软件公司拟开发一套信息安全支撑平台，为客户的局域网业务环境提供信息安全保护。该..

免费智能真题库 > 历年试卷 > 系统架构设计师 > 2013年下半年系统架构设计师下午试卷案例

第5题

知识点：局域网安全管理加密鉴别敏感数据身份鉴别实体数据库信息安全业务系统

某软件公司拟开发一套信息安全支撑平台，为客户的局域网业务环境提供信息安全保护。该支撑平台的主要需求如下：
(1) 为局域网业务环境提供用户身份鉴别与资源访问授权功能；
(2) 为局域网环境中交换的网络数据提供加密保护；
(3) 为服务器和终端机存储的敏感持久数据提供加密保护；
(4) 保护的主要实体对象包括局域网内交换的网络数据包、文件服务器中的敏感数据文件、数据库服务器中的敏感关系数据和终端机用户存储的敏感数据文件；
(5) 服务器中存储的敏感数据按安全管理员配置的权限访问；
(6) 业务系统生成的单个敏感数据文件可能会达到数百兆的规模；
(7) 终端机用户存储的敏感数据为用户私有；
(8) 局域网业务环境的总用户数在100人以内。

问题：5.1 在确定该支撑平台所采用的用户身份鉴别机制时，王工提出采用基于口令的简单认证机制，而李工则提出采用基于公钥体系的认证机制。项目组经过讨论，确定采用基于公钥体系的机制，请结合上述需求具体分析采用李工方案的原因。

问题：5.2 针对需求（7)，项目组经过讨论，确定了基于数字信封的加密方式，其加密后的文件结构如图5-1所示。请结合需求说明对文件数据进行加密时，应采用对称加密的块加密方式还是流加密方式，为什么？并对该机制中的数据加密与解密过程进行描述。

问题：5.3 对数据库服务器中的敏感关系数据进行加密保护时，客户业务系统中的敏感关系数据主要是特定数据库表中的敏感字段值，客户要求对不同程度的敏感字段采用不同强度的密钥进行防护，且加密方式应尽可能减少安全管理与应用程序的负担。目前数据库管理系统提供的基本数据加密方式主要包括加解密API和透明加密两种，请用300字以内的文字对这两种方式进行解释，并结合需求说明应采用哪种加密方式。


知识点讲解
· 局域网 · 安全管理 · 加密 · 鉴别 · 敏感数据 · 身份鉴别 · 实体 · 数据库 · 信息安全 · 业务系统

局域网

局域网（Local Area Network，LAN）是在传输距离较短的前提下所发展的相关技术的集合，用于将小区域内的各种计算机设备和通信设备互联在一起组成资源共享的通信网络。在局域网中常见的传输媒介有双绞线、细／粗同轴电缆、微波、射频信号和红外线等。其主要特点如下：

（1）距离短：0.1~25km，覆盖范围可以是一个建筑物内、一个校园内或办公室内。

（2）速度快：4Mbps~1Gbps，从早期的4Mbps、10Mbps及100Mbps发展到现在的1000Mbps（1Gbps），而且还在不断向前发展。

（3）高可靠性：由于距离很近，传输相当可靠，有极低的误码率。

（4）成本较低：由于覆盖的地域较小，因此传输媒介、网络设备的价格都相对较便宜，管理也比较简单。

根据技术的不同，局域网有以太网（Ethernet）、令牌环网络（Token Ring）、Apple Talk网络和ArcNet网络等几种类型。现在，几乎所有的局域网都是基于以太网实现的。当然，随着应用需求的不断提高，也对局域网技术提出了新的挑战，出现了一批像FDDI（Fiber Distributed Data Interface，光纤分布式数据接口）一样的技术。

安全管理

安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生，与其说是技术原因，还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。

安全管理政策法规

信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有：信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有：人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。

信息安全管理的总原则有：规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有：分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。

我国的信息安全管理的基本方针是：兴利除弊，集中监控，分级管理，保障国家安全。

安全机构和人员管理

国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性，而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异，对于不同行业领域来说，信息安全具有不同的涵义和特征，国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。

为保证信息系统的安全，各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色，并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略，具体包括：安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化，以保证安全管理工作具有明确的依据或参照。

信息系统的运行是依靠各级机构的工作人员来具体实施的，安全人员既是信息系统安全的主体，也是系统安全管理的对象。要加强人员管理，才能增强人们的安全意识，增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作，并与安全人员签订保密合同，调离不合格的人员，并做好人员调离的后续工作，承诺调离后的保密任务，收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有：从不单独一个人、限制使用期限、责任分散、最小权限。

技术安全管理

技术安全管理包括如下内容。

（1）软件管理：包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。

（2）设备管理：对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。

（3）介质管理：介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。

（4）涉密信息管理：包括涉密信息等级的划分、密钥管理和密码管理。

（5）技术文档管理：包括技术文档的密级管理和使用管理。

（6）传输线路管理：包括传输线路管理和网路互连管理。传输线路上传送敏感信息时，必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。

（7）安全审计跟踪：为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件（如网络入侵、内部资料窃取、泄密行为等），并阻断严重的违规行为，就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。

（8）公共网络连接管理：是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理，和对单位或部门从网上获得有用信息的管理。

（9）灾难恢复：灾难恢复是对偶然事故的预防计划，包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。

网络管理

网络管理是指通过某种规程和技术对网络进行管理，从而实现：①协调和组织网络资源以使网络的资源得到更有效的利用；②维护网络正常运行；③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织（ISO）在相关标准和建议中定义了网络管理的五种功能，即：

（1）故障管理：对计算机网络中的问题或故障进行定位，主要的活动是检测故障、诊断故障和修复故障。

（2）配置管理：对网络的各种配置参数进行确定、设置、修改、存储和统计，以增强网络管理者对网络配置的控制。

（3）安全管理：网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。

（4）性能管理：性能管理可以测量网络中硬件、软件和媒体的性能，包括整体吞吐量、利用率、错误率和响应时间，帮助管理者了解网络的性能现状。

（5）计费管理：跟踪每个个人和团体用户对网络资源的使用情况，并收取合理的费用。

场地设施安全管理

信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害，以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。

加密

保密与加密

保密就是保证敏感信息不被非授权的人知道。加密是指通过将信息进行编码而使得侵入者不能够阅读或理解的方法，目的是保护数据和信息。解密是将加密的过程反过来，即将编码信息转化为原来的形式。古时候的人就已经发明了密码技术，而现今的密码技术已经从外交和军事领域走向了公开，并结合了数学、计算机科学、电子与通信等诸多学科而成为了一门交叉学科。现今的密码技术不仅具有保证信息机密性的信息加密功能，而且还具有数字签名、身份验证、秘密分存、系统安全等功能，来鉴别信息的来源以防止信息被篡改、伪造和假冒，保证信息的完整性和确定性。

加密与解密机制

加密的基本过程包括对原来的可读信息（称为明文或平文）进行翻译，译成的代码称为密码或密文，加密算法中使用的参数称为加密密钥。密文经解密算法作用后形成明文，解密算法也有一个密钥，这两个密钥可以相同也可以不相同。信息编码的和解码方法可以很简单也可以很复杂，需要一些加密算法和解密算法来完成。

从破译者的角度来看，密码分析所面对的问题有三种主要的变型：①“只有密文”问题（仅有密文而无明文）；②“已知明文”问题（已有了一批相匹配的明文与密文）；③“选择明文”（能够加密自己所选的明文）。如果密码系统仅能经得起第一种类型的攻击，那么它还不能算是真正的安全，因为破译者完全可能从统计学的角度与一般的通信规律中猜测出一部分的明文，而得到一些相匹配的明文与密文，进而全部解密。因此，真正安全的密码机制应使破译者即使拥有了一些匹配的明文与密文也无法破译其他的密文。

如果加密算法是可能公开的，那么真正的秘密就在于密钥了，密钥长度越长，密钥空间就越大，破译密钥所花的时间就越长，破译的可能性就越小。所以应该采用尽量长的密钥，并对密钥进行保密和实施密钥管理。

国家明确规定严格禁止直接使用国外的密码算法和安全产品，原因主要有两点：①国外禁止出口密码算法和产品，目前所出口的密码算法都有破译手段，②国外的算法和产品中可能存在“后门”，要防止其在关键时刻危害我国安全。

密码算法

密码技术用来进行鉴别和保密，选择一个强壮的加密算法是至关重要的。密码算法一般分为传统密码算法（又称为对称密码算法）和公开密钥密码算法（又称为非对称密码算法）两类，对称密钥密码技术要求加密解密双方拥有相同的密钥。而非对称密钥密码技术是加密解密双方拥有不相同的密钥。

对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类（这两种体制之间还有许多中间类型）。

序列密码是军事和外交场合中主要使用的一种密码技术。其主要原理是：通过有限状态机产生性能优良的伪随机序列，使用该序列将信息流逐比特加密从而得到密文序列。可以看出，序列密码算法的安全强度由它产生的伪随机序列的好坏而决定。分组密码的工作方式是将明文分成固定长度的组（如64比特一组），对每一组明文用同一个密钥和同一种算法来加密，输出的密文也是固定长度的。在序列密码体制中，密文不仅与最初给定的密码算法和密钥有关，同时也是被处理的数据段在明文中所处的位置的函数；而在分组密码体制中，经过加密所得到的密文仅与给定的密码算法和密钥有关，而与被处理的明数据段在整个明文中所处的位置无关。

不同于传统的对称密钥密码体制，非对称密码算法要求密钥成对出现，一个为加密密钥（可以公开），另一个为解密密钥（用户要保护好），并且不可能从其中一个推导出另一个。公共密钥与专用密钥是有紧密关系的，用公共密钥加密的信息只能用专用密钥解密，反之亦然。另外，公钥加密也用来对专用密钥进行加密。

公钥算法不需要联机密钥服务器，只在通信双方之间传送专用密钥，而用专用密钥来对实际传输的数据加密解密。密钥分配协议简单，所以极大简化了密钥管理，但公共密钥方案较保密密钥方案处理速度慢，因此，通常把公共密钥与专用密钥技术结合起来实现最佳性能。

密钥及密钥管理

密钥是密码算法中的可变参数。有时候密码算法是公开的，而密钥是保密的，而密码分析者通常通过获得密钥来破译密码体制。也就是说，密码体制的安全性建立在对密钥的依赖上。所以，保守密钥秘密是非常重要的。

密钥管理一般包括以下8个内容。

（1）产生密钥：密钥由随机数生成器产生，并且应该有专门的密钥管理部门或授权人员负责密钥的产生和检验。

（2）分发密钥：密钥的分发可以采取人工、自动或者人工与自动相结合的方式。加密设备应当使用经过认证的密钥分发技术。

（3）输入和输出密钥：密钥的输入和输出应当经由合法的密钥管理设备进行。人工分发的密钥可以用明文形式输入和输出，并将密钥分段处理；电子形式分发的密钥应以加密的形式输入和输出。输入密钥时不应显示明文密钥。

（4）更换密钥：密钥的更换可以由人工或自动方式按照密钥输入和密钥输出的要求来实现。

（5）存储密钥：密钥在加密设备内采用明文形式存储，但是不能被任何外部设备访问。

（6）保存和备份密钥：密钥应当尽量分段保存，可以分成两部分并且保存在不同的地方，例如一部分存储在保密设备中，另一部分存储在IC卡上。密钥的备份也应当注意安全并且要加密保存。

（7）密钥的寿命：密钥不可以无限期使用，密钥使用得越久风险也就越大。密钥应当定期更换。

（8）销毁密钥：加密设备应能对设备内的所有明文密钥和其他没受到保护的重要保护参数清零。

鉴别

鉴别机制是以交换信息的方式确认实体真实身份的一种安全机制。身份可被鉴别的实体称为主体，主体具有一个或多个与之对应的辨别标识符。可被鉴别的主体有：人类用户；进程；实开放系统；OSI层实体；组织机构。鉴别的基本目的是防止其他实体占用和独立操作被鉴别实体的身份，这类危害被称为“冒充”。

识别将可辨别标识符与某一主体联系起来，与其他主体区别。有时候，一个主体可以拥有并使用一个或多个辨别标识符。在给定的安全域内可辨别标识符要能够将一个主体与域中的其他主体区分开来。在不同的安全域中发生鉴别时，可以将辨别标识符与安全域标识符连接使用，以区别不同安全域中使用同一可辨别标识符的实体。

鉴别提供了实体声称其身份的保证，只有在主体和验证者的关系背景下，鉴别才是有意义的。有两种重要的关系背景：①主体由申请者来代表，申请者和验证者之间存在着特定通信关系（实体鉴别）；②主体为验证者提供数据项来源。其中，申请者用于描述一类实体，这类实体本身就是用于鉴别的主体或者代表用于鉴别的主体。验证者用于描述一类实体，这类实体本身就是要求被鉴别的实体或者代表要求被鉴别的实体。鉴别信息是指申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。

鉴别的方法主要有如下5种。

（1）用拥有的（如IC卡）进行鉴别。

（2）用所知道的（如密码）进行鉴别。

（3）用不可改变的特性（如生物学测定的标识特征）进行鉴别。

（4）相信可靠的第三方建立的鉴别（递推）。

（5）环境（如主机地址）。

鉴别分为单向鉴别和双向鉴别。在单项鉴别中，一个实体充当申请者，另一个实体充当验证者；在双向鉴别中，每个实体同时充当申请者和鉴别者，并且两个方向上可以使用相同或者不同的鉴别机制。

用户在被允许得到访问控制信息之前必须被鉴别，从而允许其在访问控制策略下访问资源，即鉴别服务可以将鉴别结果传送给访问控制服务。

敏感数据

检查应用程序对存储中、应用程序内存中以及网络中的敏感数据的处理方法。下表显示了与处理敏感数据相关的常见漏洞。

敏感数据处理中的常见漏洞

测试中要考虑下列问题，帮助验证应用程序处理敏感数据的方法。

. 是否存储机密信息。

机密信息包括了应用程序的配置数据，如账户密码和加密密钥。如果可能，明确其他避免保存机密信息的设计方法。如果要处理机密信息，由系统平台处理它们，尽可能不在应用程序中承担这一任务。如果确实要保存机密信息，则要考虑下列问题。

①是否能避免存储机密信息。

如果使用其他的实施技术，是否能避免存储机密信息。例如，如果只需了解用户是否知道密码，则无需存储密码。或者，仅保存单向的密码哈希值。

此外，如果使用Windows身份验证，可通过嵌套凭据来避免存储连接字符串。

②如何存储机密信息。

如果使用加密，如何确保加密密钥的安全。考虑使用系统平台提供的DPAPI加密，这种加密能替用户完成密钥管理。

③在何处保存机密信息。

检查应用程序保存加密数据的方法。要获得尽可能高的安全性，应使用Windows ACL限制对加密数据的访问。确认应用程序不以明文或源代码形式存储机密信息。

如果使用本地安全机构（LSA），检索机密信息的代码必须使用管理员特权才可以运行，这将增加风险。另一种不要求扩展特权的方法是使用DPAPI。

④如何处理机密信息。

检验应用程序访问机密信息的方法，以及它们以明文形式存留在内存中的时间。机密信息通常应根据需要检索，并尽快使用，然后丢弃。

⑤是否在cookie中存储机密信息。

如果是，应确保cookie是加密的，且不会永久保存在客户计算机中。

. 如何存储敏感数据。

如果存储了敏感的应用程序数据（如客户信用卡详细信息），检查数据保护方法。

①使用怎样的加密算法。

应使用强加密算法来加密。例如，使用较长的密钥（如Triple DES）。

②如何确保加密密钥的安全性。

数据的安全性与加密密钥安全性同等重要。因此，检查确保密钥安全的方法。在理想状况下，使用DPAPI加密密钥并保存在受限位置（如注册表项中）来确保安全。

. 是否在网络中传递敏感数据。

如果通过网络传递敏感数据，应确保通过应用程序加密这些数据，或通过加密的通信链接来传递它们。

. 是否记录敏感数据。

检查应用程序（或主机）是否在明文日志文件中记录用户账户密码这样的敏感数据。通常，必须避免这样做。确保应用程序不在查询字符串中传递敏感数据，因为查询字符串会被记录，并可在客户端浏览器地址栏中直接看到。

身份鉴别

针对网站的相关资源用户，采用用户身份标识和鉴别的安全措施，防止非授权用户访问重要资源。常见的身份鉴别技术措施有用户名／口令、U盾、人脸识别以及基于证书的统一用户身份管理。

实体

从上表中可见，在E-R模型中实体用矩形表示，通常矩形框内写明实体名。实体是现实世界中可以区别于其他对象的“事件”或“物体”。例如，企业中的每个人都是一个实体。每个实体由一组特性（属性）来表示，其中的某一部分属性可以唯一标识实体，如职工号。实体集是具有相同属性的实体集合，例如，学校所有教师具有相同的属性，因此教师的集合可以定义为一个实体集；学生具有相同的属性，因此学生的集合可以定义为另一个实体集。

数据库

数据库（DataBase，DB）是指长期存储在计算机内的、有组织的、可共享的数据集合。数据库中的数据按一定的数据模型组织、描述和存储，具有较小的冗余度、较高的数据独立性和易扩展性，并可为各种用户共享。

系统使用的所有数据存储在一个或几个数据库中。

信息安全

信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。

（1）机密性。确保信息不暴露给未受权的实体或进程。

（2）完整性。只有得到允许的人才能修改数据，并能够判别出数据是否已被篡改。

（3）可用性。得到授权的实体在需要时可访问数据。

（4）可控性。可以控制授权范围内的信息流向及行为方式。

（5）可审查性。对出现的安全问题提供调查的依据和手段。

随着信息交换的激增，安全威胁所造成的危害越来越受到重视，因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁，是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类：故意（如黑客渗透）和偶然（如信息发往错误的地址）。

典型的安全威胁举例如下表所示。

典型的安全威胁

业务系统

该重工集团有自己的管理模型。顶端按照工业4.0，集团管控，包括阿米巴经营模式；相应的流程制度，岗位职责，工作标准，成本绩效。左边是信息化管控，右边是智能化建设，下面是精益管理，底下是企业文化。这样的管理需要用信息化系统去实现。

在这架构中，ERP系统是基础，利用CRM系统和客户对接，SRM管理供应链，MES监控生产。利用OA把所有业务打通，而后利用专业软件，实现前端的商务智能分析。

下图的物联网设想把MES系统和机床、物流以及检测设备连起来，做成物联化，把ERP升级到CRM或者SCRM，把供应商和客户打通，形成企业的互联网。

智能工厂物联网体系

下图是整个业务系统的总体架构图。一个平台、两级部署、三层应用，包括商业分析、移动应用、企业门户和协同管理。

智能工厂业务系统整体架构

在业务系统这块，先后上线了ERP系统、PLM系统、OA系统和MES系统。上线的这些系统，虽然参与了生产、管理，打通了业务，却没有让领导层参与，反馈报告依然采用Excel、PPT。作为决策者，领导层更应该参与数据的可视化呈现过程。所以，2014年上线了帆软报表系统，提升了数据前端展示，利用某报表软件承担的BOSS系统决策，将领导层纳入管理体系。

题号导航 2013年下半年系统架构设计师下午试卷案例

本试卷我的完整做题情况



	第5题在手机中做本题