2. 计算机
  3. 论网络安全体系设计 随着社会信息化的普及,计算机网络已经在各行各业得到了广泛的应用。目前,绝大多数业务处理几乎完全依赖计算机和网络执行,各种重要数据如政府文件、工资档案、财务账目和人事档案等均依赖计算机和网络进行存储与传输。另一方面,针对计算机和网

论网络安全体系设计 随着社会信息化的普及,计算机网络已经在各行各业得到了广泛的应用。目前,绝大多数业务处理几乎完全依赖计算机和网络执行,各种重要数据如政府文件、工资档案、财务账目和人事档案等均依赖计算机和网络进行存储与传输。另一方面,针对计算机和网

admin2016-05-11  70
问题 论网络安全体系设计
    随着社会信息化的普及,计算机网络已经在各行各业得到了广泛的应用。目前,绝大多数业务处理几乎完全依赖计算机和网络执行,各种重要数据如政府文件、工资档案、财务账目和人事档案等均依赖计算机和网络进行存储与传输。另一方面,针对计算机和网络的攻击活动日益猖獗,网络安全已经成为当前社会的主要安全问题之一。
    在上述背景下,国家标准《信息处理系统工程开放系统互联基本参考模型——第二部分:安全体系结构》(GB/T 9387.2—1995)定义了基于OSI参考模型7层协议之上的信息安全体系,其核心内容是:为了保证异构计算机进程与进程之间远距离交换信息的安全,定义了认证服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务等5大类安全服务,以及提供这些服务的8类安全机制及相应的OSI安全管理,并根据具体系统适当配置于OSI模型的7层协议之中。
    请围绕“网络安全体系设计”论题,依次从以下三个方面进行论述。
    1.概要叙述你参与管理和开发的软件项目以及你在其中承担的主要工作,并详细阐述该软件系统在网络安全方面的要求。
    2.请对GB/T 9387.2—1995中定义的5大类安全服务进行描述,阐述每类安全服务的定义和主要实现手段。
    3.请结合项目实际,具体阐述你在项目中实现了上述5大类安全服务中的哪些服务,具体运用了哪些实现手段。
选项
答案一、简要叙述所参与管理和开发的软件项目,明确指出在其中承担的主要任务和开展的主要工作,详细说明该软件系统在网络安全方面的要求。 二、GB/T 9387.2—1995中定义了5大类安全服务,分别是认证服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务。 1.认证服务。认证服务的基本目的,是为了防止其他实体占用和独立操作被认证实体的身份。认证服务提供了实体声称其身份的保证,只有在主题和验证者的关系背景下,认证才有意义。认证服务的主要实现方式包括以下5种: (1)已有的信息,如认证口令。 (2)拥有的信息,如IC卡、令牌等。 (3)不可改变的特性,如指纹、虹膜等生物特征。 (4)相信可靠的第三方建立的认证。 (5)环境,如主机地址等。 2.访问控制服务。访问控制服务决定开放环境中允许使用哪些资源、在什么地方适合组织为授权访问的过程。在访问控制实例中,访问可以是对一个系统或对系统内部进行。常见的访问控制服务的实现方式包括以下三种方式: (1)自主访问控制(DAC)。自主访问控制是一种接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件、文件夹和共享资源中设置许可。用户有权对自身所创建的文件、数据表等访问对象进行访问,并可将其访问权授予其他用户或收回其访问权限。允许访问对象制定针对该对象访问的控制策略,通常可通过访问控制列表来限定针对客体可执行的操作。 (2)强制访问控制(MAC)。强制访问控制是系统强制主体服从访问控制策略,是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。其主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。 (3)基于角色访问控制(RBAC)。基于角色访问控制主要通过对角色的访问进行控制,使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限。用户可依其责任和资格分派相应的角色,角色可依新需求和系统合并赋予新权限,而权限也可根据需要从某角色中收回。 3.数据机密性服务。数据机密性服务的目的是确保信息仅仅是对被授权者可用,信息的保护可以通过确保数据被限制于授权者获得,或通过特定方式表示数据来获得。信息的机密性主要通过以下两种方式实现: (1)通过禁止访问提供机密性,即可以通过访问控制,以及通过物理媒体保护和路由选择控制保证机密性。 (2)通过加密提供机密性,即防止数据泄漏在传输或存储中。加密机制包括基于对称的加密机制和基于非对称的加密机制。 除此以外,还可以通过数据填充、通过虚假事件(例如隐藏在不可信链路上交换的信息流总量)、通过保护PDU头和通过时间可变域提供机密性。 4.数据完整性服务。数据完整性服务的目的是通过阻止威胁或探测威胁,保护可能遭到不同方式危害的数据完整性和数据相关属性完整性,即保证数据不以未经授权方式进行改变或损毁。数据完整性的常见实现方式包括: (1)阻止对数据传输媒介访问的机制。包括物理隔离、不受干扰的信道,路由控制,访问控制等。 (2)探测对数据非授权修改的机制。包括密封、数字签名、数据重复、与密码变换相结合的数字指纹和消息序列号等。 5.抗抵赖服务。抗抵赖服务是提供有关特定事件或行为的证据,包括证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。抗抵赖性服务的实现方式主要包括数字签名、用户认证、操作日志等技术。 三、考生必须以问题l回答中给出的实际网络安全需求为基础和依据,针对实际需求具体阐述在项目中实现了上述5大类安全服务中的哪些服务,并针对每种安全服务,具体描述在项目中采用了何种实现手段。
解析
转载请注明原文地址:https://kaotiyun.com/show/8VQZ777K
本试题收录于: 系统架构师下午论文考试题库软考高级分类
0

系统架构师下午论文考试

软考高级

相关试题推荐
随机试题
最新回复(0)