免费智能真题库 > 历年试卷 > 系统架构设计师 > 2021年下半年 系统架构设计师 上午试卷 综合知识
  第51题      
  知识点:   安全威胁   信息系统安全体系   安全性   实体   泄露
  章/节:   信息安全与保密       

 
安全性是根据系统可能受到的安全威胁的类型来分类的。其中,(51)保证信息不泄露给未授权的用户、实体或过程;(52)保证信息的完整和准确,防止信息被篡改。
 
 
  A.  可控性
 
  B.  机密性
 
  C.  安全审计
 
  D.  健壮性
 
 
 

 
  第31题    2021年下半年  
   17%
信息系统面临多种类型的网络安全威胁。其中,信息泄露是指信息被泄露或透露给某个非授权的实体;(30)是指数据被非授权地进行修改;..
  第65题    2018年下半年  
   60%
数字签名首先需要生成消息摘要,然后发送方用自己的私钥对报文摘要进行加密,接收方用发送方的公钥验证真伪。生成消息摘要的目的..
  第64题    2016年下半年  
   60%
DES加密算法的密钥长度为56位,三重DES的密钥长度为(64)位。
   知识点讲解    
   · 安全威胁    · 信息系统安全体系    · 安全性    · 实体    · 泄露
 
       安全威胁
        评估安全威胁的方法主要有以下4种:
        (1)查阅。查阅一些以网络安全为主题的信息资源,包括书籍、技术论文、报刊文章、新闻组以及邮件列表等。
        (2)实验。获知入侵者进入系统的困难性的一种方法是进行自我攻击。
        (3)调查。安全调查所获得的统计数据可以提供给管理者一些有用信息以便做出决断。
        (4)测量。对潜在的威胁进行测量,通常使用陷阱。
        通常使用一些陷阱可以有效地对威胁做出真实的评估而没有将个人和组织暴露的危险,使用陷阱主要有3个方面的好处:
        (1)陷阱提供了真实世界的信息。通过适当的设计,入侵者会完全意识不到陷阱的存在。
        (2)精心设计的陷阱能够安全地提供一些测量手段。
        (3)陷阱能够用于延缓将来的攻击。
        一个陷阱主要有3个组成部分,分别是诱饵、触发机关以及圈套。一个好的陷阱应该具备以下特征:
        (1)良好的隐蔽性。网络陷阱对于入侵者来说,必须是不可见的。陷阱对外暴露的部分只有诱饵,只需要确保诱饵的特性不会暴露陷阱的存在。例如,可以使用SCSI分析器、网络协议分析器和日志信息。
        (2)有吸引力的诱饵。诱饵的选择必须与环境相适应,例如,可以把冠以敏感信息的文件或文件夹作为诱饵。
        (3)准确的触发机关。一个好的陷阱应该捕获入侵者而不应该捕获无辜者,触发机关的设置应该使失误率降到最低。设计时必须考虑由于失误所引起的信用问题,这是非常重要的。
        (4)强有力的圈套。一个有效的陷阱必须具有足够的能力抵抗入侵者,这一点是设计好的陷阱最为困难的事情。好的陷阱通常具有保留证据的能力。
 
       信息系统安全体系
        信息安全是一个很广泛的概念,涉及计算机和网络系统的各个方面。从总体上来讲,信息安全有5个基本要素:
        (1)机密性:确保信息不暴露给未授权的实体或进程。
        (2)完整性:只有得到允许的人才能够修改数据,并能够判别数据是否已被篡改。
        (3)可用性:得到授权的实体在需要时可访问数据。
        (4)可控性:可以控制授权范围内的信息流向和行为方式。
        (5)可审查性:对出现的安全问题提供调查的依据和手段。
                      安全系统架构
                      ISO7498-2从架构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制,它们可以在OSI/RM模型的适当层次上实施。
                             安全服务
                             安全服务是指计算机网络提供的安全防护措施,包括认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。
                             (1)认证服务:确保某个实体身份的可靠性,可分为两种类型。一种类型是认证实体本身的身份,确保其真实性,称为实体认证。实体的身份一旦获得确认就可以和访问控制表中的权限关联起来,决定是否有权进行访问。口令认证是实体认证中一种最常见的方式。另一种认证是证明某个信息是否来自于某个特定的实体,这种认证叫做数据源认证。数据签名技术就是一例。
                             (2)访问控制:防止对任何资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源。
                             (3)数据机密性服务:确保只有经过授权的实体才能理解受保护的信息。在信息安全中主要区分两种机密性服务:数据机密性服务和业务流机密性服务,数据机密性服务主要是采用加密手段使得攻击者即使窃取了加密的数据也很难分析出有用的信息;业务流机密性服务则要使监听者很难从网络流量的变化上分析出敏感信息。
                             (4)数据完整性服务:防止对数据未授权的修改和破坏。完整性服务使消息的接收者能够发现消息是否被修改,是否被攻击者用假消息换掉。
                             (5)不可否认服务:防止对数据源以及数据提交的否认。它有两种可能:数据发送的不可否认性和数据接收的不可否认性。这两种服务需要比较复杂的基础设施的支持,如数字签名技术。
                             特定的安全机制
                             安全机制是用来实施安全服务的机制。安全机制既可以是具体的、特定的,也可以是通用的。
                             (1)加密机制:用于保护数据的机密性。它依赖于现代密码学理论,一般来说加/解密算法是公开的,加密的安全性主要依赖于密钥的安全性和强度。
                             (2)数字签名机制:保证数据完整性及不可否认性的一种重要手段,它可以采用特定的数字签名机制生成,也可以通过某种加密机制生成。
                             (3)访问控制机制:与实体认证密切相关。首先,要访问某个资源的实体应成功通过认证,然后访问控制机制对该实体的访问请求进行处理,查看该实体是否具有访问所请求资源的权限,并做出相应的处理。
                             (4)数据完整性机制:用于保护数据免受未经授权的修改,该机制可以通过使用一种单向的不可逆函数(例如散列函数)来计算出消息摘要,并对消息摘要进行数字签名来实现。
                             (5)认证交换机制:通过交换标识信息使通信双方相互信任。
                             (6)流量填充机制:针对的是对网络流量进行分析的攻击。有时攻击者通过对通信双方的数据流量的变化进行分析,根据流量的变化来推出一些有用的信息或线索。
                             (7)路由控制机制:可以指定数据通过网络的路径。这样就可以选择一条路径,这条路径上的结点都是可信任的,确保发送的信息不会因通过不安全的结点而受到攻击。
                             (8)公证机制:由通信各方都信任的第三方提供。由第三方来确保数据完整性、数据源、时间及目的地的正确。
                             普遍性的安全机制
                             普遍性安全机制不是为任何特定的服务而特设的,因此在任一特定的层上,对它们都不作明确的说明。某些普遍性安全机制可认为属于安全管理方面。普遍性安全机制可分为可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复。
                             (1)可信功能度:可以扩充其他安全机制的范围,或建立这些安全机制的有效性;可以保证对硬件与软件寄托信任的手段已超出标准的范围,而且在任何情况下,这些手段随着已察觉到的威胁的级别和被保护信息的价值而改变。
                             (2)安全标记:与某一资源(可以是数据单元)密切相关联的标记,为该资源命名或指定安全属性(这种标记或约束可以是明显的,也可以是隐含的)。
                             (3)事件检测:与安全有关的事件检测包括对安全明显事件的检测,也可以包括对“正常”事件的检测,例如,一次成功的访问(或注册)。与安全有关的事件的检测可由OSI内部含有安全机制的实体来做。
                             (4)安全审计跟踪:就是对系统的记录与行为进行独立的评估考查,目的是测试系统的控制是否恰当,保证与既定策略和操作的协调一致,有助于做出损害评估,以及对在控制、策略与规程中指明的改变做出评价。
                             (5)安全恢复:处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作应用一组规则的结果。恢复动作可能有3种:立即动作、暂时动作、长期动作。
                      安全保护等级
                      《计算机信息系统安全保护等级划分准则》(GB17859—1999)规定了计算机系统安全保护能力的5个等级,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
                      (1)用户自主保护级。本级的计算机信息系统将数据与用户隔离,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。第1级适用于普通内联网用户。
                      (2)系统审计保护级。与用户自主保护级相比,本级的计算机信息系统实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。第2级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
                      (3)安全标记保护级。本级的计算机信息系统具有系统审计保护级的所有功能。此外,还提供有关安全策略模型、数据标记,以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。第3级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
                      (4)结构化保护级。本级的计算机信息系统建立于一个明确定义的形式化安全策略模型之上,它要求将第3级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算机必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制,支持系统管理员和操作员的职能,提供可信设施管理,增强了配置管理控制。系统具有相当的抗渗透能力。第4级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。
                      (5)访问验证保护级。本级的计算机信息系统满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的,而且必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算机在其构造时,排除了那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。第5级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
                      信息安全保障系统
                      在实施信息系统的安全保障系统时,应严格区分信息安全保障系统的3种不同架构,分别是MIS+S、S-MIS和S2-MIS。
                      (1)MIS+S(Management Information System+Security)系统:为初级信息安全保障系统或基本信息安全保障系统,这种系统是初等的、简单的信息安全保障系统,该系统的特点是应用基本不变,硬件和系统软件通用,安全设备基本不带密码。
                      (2)S-MIS(Security-Management Information System)系统:为标准信息安全保障系统,这种系统是建立在PKI/CA(Certificate Authority,认证中心)标准的信息安全保障系统,该系统的特点是硬件和系统软件通用;PKI/CA安全保障系统必须带密码;应用系统必须根本改变。
                      (3)S2-MIS(Super Security-Management Information System)系统:为超安全的信息安全保障系统,这种系统是“绝对”安全的信息安全保障系统,不仅使用PKI/CA标准,同时硬件和系统软件都使用专用的安全产品。这种系统的特点是硬件和系统软件都专用;PKI/CA安全保障系统必须带密码;应用系统必须根本改变;主要的硬件和系统软件需要PKI/CA认证。
                      可信计算机系统
                      本节主要介绍TCSEC(Trusted Computer System Evaluation Criteria,可信计算机系统准则)。TCSEC标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。TCSEC将计算机系统的安全划分为4个等级、7个级别。
                      (1)D类安全等级:D类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。
                      (2)C类安全等级:该类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1系统的可信任运算基础体制通过将用户和数据分开来达到安全的目的。在C1系统中,所有的用户以同样的灵敏度来处理数据,即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时,C2系统的用户分别对各自的行为负责。C2系统通过登录过程、安全事件和资源隔离来增强这种控制。C2系统具有C1系统中所有的安全性特征。
                      (3)B类安全等级:B类安全等级可分为B1、B2和B3 3类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。B1系统满足下列要求:系统对网络控制下的每个对象都进行灵敏度标记;系统使用灵敏度标记作为所有强迫访问控制的基础;系统在把导入的、非标记的对象放入系统前标记它们;灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或I/O设备时,管理员必须指定每个通信通道和I/O设备是单级还是多级,并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出(无论是虚拟的还是物理的)都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。
                      B2系统必须满足B1系统的所有要求。另外,B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统必须满足下列要求:系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变;只有用户能够在可信任通信路径中进行初始化通信;可信任运算基础体制能够支持独立的操作者和管理员。
                      B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求:除了控制对个别对象的访问外,B3必须产生一个可读的安全列表;每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前,要求用户进行身份验证;B3系统验证每个用户,同时还会发送一个取消访问的审计跟踪消息;设计者必须正确区分可信任的通信路径和其他路径;可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪;可信任的运算基础体制支持独立的安全管理。
                      (4)A类安全等级:A系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。
                      在欧洲四国(英、法、德、荷)也提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(Information Technology Security Evaluation Criteria,ITSEC)后,美国又联合以上诸国和加拿大,并会同ISO共同提出了信息技术安全评价的通用准则(Common Criteria for ITSEC,CC),CC已经被技术发达的国家承认为代替TCSEC的评价安全信息系统的标准,且将发展成为国际标准。
 
       安全性
        (1)可用性。可用性评价指标及测量,如下表所示。
        
        可用性评价指标及测量
        
        (2)完整性。完整性评价指标及测量,如下表所示。
        
        完整性评价指标及测量
        (3)保密性。保密性评价指标及测量,如下表所示。
        
        保密性评价指标及测量
        
 
       实体
        从上表中可见,在E-R模型中实体用矩形表示,通常矩形框内写明实体名。实体是现实世界中可以区别于其他对象的“事件”或“物体”。例如,企业中的每个人都是一个实体。每个实体由一组特性(属性)来表示,其中的某一部分属性可以唯一标识实体,如职工号。实体集是具有相同属性的实体集合,例如,学校所有教师具有相同的属性,因此教师的集合可以定义为一个实体集;学生具有相同的属性,因此学生的集合可以定义为另一个实体集。
 
       泄露
        信息泄漏主要包括:电磁辐射(比如,侦听微机操作过程)、乘机而入(比如,合法用户进入安全进程后半途离开)、痕迹泄露(比如,密码密钥等保管不善,被非法用户获得),等等。
        物理访问控制从根本上保护了物理器件和媒介(磁性媒介及文档媒介)免遭损坏或窃取。为防止泄漏所进行的物理安全管理应当包括一下内容。
        .一套物理安全制度,规定了安全控制标准、常识、必须遵守的规定以及出现违规事件时应采取的措施。
        .在大楼、计算机房、通讯室以及大楼以外其他存放场所中,对设备、数据、媒介和文档进行访问的流程。
        .适宜的物理控制机制,可以包括:安全警卫、身份标志、生物技术检测、摄像头、防盗警报、个人计算机和外围设备标签、条形码和锁等。
        .检查监控制度是否得到遵守,包括定期检查事件汇报和登记表。
        .及时审查违反物理访问规定的事件。
        显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。中华人民共和国保密指南第BMZ2-2001号文件《涉及国家秘密的计算机信息系统安全保密方案设计指南》第8.8条电磁泄露发射防护规定:计算机系统通过电磁泄露发射会造成信息在空间上的扩散,采用专用接收设备可以远距离接收还原信息,造成泄密。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这对重要的政府、军队、金融机构在兴建信息中心时都将成为首要设置的条件。正常的防范措施主要在三个方面。
        (1)对主机房及重要信息存储、收发部门进行屏蔽处理。建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风波导、门的关起等。
        (2)对本地网、局域网传输线路传导辐射的抑制。由于电缆传输辐射信息的不可避免性,现均采用了光缆传输的方式,大多数均在Modem的外接设备处用光电转换接口,用光缆接出屏蔽室外进行传输。
        (3)对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端被分散使用,而不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备(如干扰机)来破坏对对应信息的窃取,个别重要的终端也可考虑采用有窗子的装饰性屏蔽室,此类虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到类似于在普通机房内工作。
   题号导航      2021年下半年 系统架构设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第51题    在手机中做本题