保密性、完整性、可用性、可存活性
6
第三章
安全体系结构与模型
一、选择题
1. 网络安全是在分布网络环境中对(D)提供安全保护。 A. 信息载体 B. 信息的处理、传输 C. 信息的存储、访问 D. 上面3项都是
2. ISO 7498-2从体系结构观点描述了5种安全服务,以下不属于这5种安全服务的是(B)。 A. 身份鉴别 B. 数据报过滤 C. 授权控制 D. 数据完整性
3. ISO 7498-2描述了8种特定的安全机制,以下不属于这8种安全机制的是(A)。 A. 安全标记机制 B. 加密机制 C. 数字签名机制 4. 用于实现身份鉴别的安全机制是( A. 加密机制和数字签名机制 B. 加密机制和访问控制机制 C. 数字签名机制和路由控制机制 D. 访问控制机制和路由控制机制5. 在ISO/OSI定义的安全体系结构中,没有规定( A. 对象认证服务 C. 访问控制安全服务 E. 数据可用性安全服务6. ISO定义的安全体系结构中包含( A. 4 B. 5 7. (D)不属于ISO/OSI安全体系结构的安全机制。 A. 通信业务填充机制 C. 数字签名机制 8. ISO安全体系结构中的对象认证服务,使用( A. 加密机制 C. 访问控制机制 9. CA属于ISO安全体系结构中定义的( A. 认证交换机制 C. 路由控制机制 10. 数据保密性安全服务的基础是( A. 数据完整性机制 C. 访问控制机制 11. 可以被数据完整性机制防止的攻击方式是( A. 假冒源地址或用户的地址欺骗攻击 B. 抵赖做过信息的递交行为 C. 数据中途被攻击者窃听获取 D. 数据在途中被攻击者篡改或破坏
二、填空题
1. GB/T 9387.2-1995定义了互连的安全管理,并可根据具体系统适当地配置于2. P2DR的含义是:策略、保护、探测、反应
三、问答题
1. 列举并解释ISO/OSI中定义的(1)鉴别
用于鉴别实体的身份和对身份的证实,包括对等实体鉴别和数据原发鉴别两种。 D. 访问控制机制 A)。
E)。 B.数据保密性安全服务 D. 数据完整性安全服务
B)种安全服务。 C. 6 D. 7
B. 访问控制机制D. 审计机制 E. 公证机制B)完成。 B. 数字签名机制 D. 数据完整性机制D)。
B. 通信业务填充机制 D. 公证机制 D)。
B. 数字签名机制 D. 加密机制
D)。
5大类 安全服务 ,提供这些服务的。 5种标准的安全服务。 8种 安全机制 以及相应的开放系统
OSI模型的七层协议中。
7
(2)访问控制
提供对越权使用资源的防御措施。 (3)数据机密性
针对信息泄露而采取的防御措施。分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。 (4)数据完整性
防止非法篡改信息,如修改、复制、插入和删除等。分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。(5)抗否认
是针对对方否认的防范措施,用来证实发生过的操作。包括有数据原发证明的抗否认和有交付证明的抗否认两种。
2. 了解ISO/OSI中定义的安全服务可以单个使用,也可以组合起来使用,上述的安全服务可以借助以下的安全机制来实现:(1)加密机制:借助各种加密算法对存储和传输的数据进行加密;(2)数字签名:使用私钥签名,公钥进行证实;决定实体的访问权限;(4)数据完整性机制:判断信息在传输过程中是否被篡改过;(5)鉴别交换机制:用来实现对等实体的鉴别;(6)通信业务填充机制:通过填充冗余的业务流量来防止攻击者对流量进行分析;(7)路由选择控制机制:防止不利的信息通过路由,如使用网络层防火墙;(8)公证机制:由第三方参与数字签名,它基于通信双方对第三方都绝对相信。OSI安全服务与安全机制的关系
3. 解释PPDR模型的四个阶段的含义。1. Policy(安全策略) 根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,它是PPDR安全模型的核心。2. Protection(防护)修复系统漏洞、正确设计开发和安装系统;定期检查发现可能存在的系统脆弱性;和操作员正确使用系统;访问控制、监视来防止恶意威胁。3. Detection(检测) 检测是动态响应和加强防护的依据,和系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。8种特定的安全机制以及各种安全机制和安全服务的关系。
(3)访问控制机制:根据访问者的身份和有关信息,
教育让用户 也是强制落实安全策略的有力工具,通过不断检测和监控网络
8
4. Response(响应)
在安全系统中占有最重要的地位,是解决安全潜在性问题的最有效的办法,从某种意义上讲,安全问题就是要解决紧急响应和异常处理问题。
防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
4. 解释PPDR模型中的各个时间关系。
信息系统的安全是基于时间特性的,PPDR安全模型的特点就在于动态性和基于时间的特性。下面先定义几个时间值:
攻击时间Pt:表示黑客从开始入侵到侵入系统的时间(对系统而言就是保护时间)。高水平的入侵和安全薄弱的系统都能使Pt缩短。
检测时间以缩短Dt。 响应时间 系统暴露时间的目标实际上就是尽可能增大保护时间,尽量减少检测时间和响应时间。
5. 了解五层网络安全体系中各层安全性的含义。1. 网络层的安全性 核心问题在于网络是否得到控制,即是否任何一个 用于解决网络层安全性问题的产品主要有防火墙和断来源IP,将危险或未经授权的目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。2. 系统的安全性 病毒对于网络的威胁:病毒的主要传播途径已经变成了网络,电子邮件、小应用程序、控件、文档文件都能传播病毒。 黑客对于网络的破坏和入侵:主要目的在于窃取数据和非法修改系统。的口令,手段之二是利用网络些指令都有安全漏洞。3. 用户的安全性 首先应该对用户进行针对安全性的分组管理;码不被他人猜测到。 用户只要输入一个密码,系统就能自动识别用户的安全级别,从而使用户进入不同的应用层次。这种单点登录体系(4. 应用程序的安全性 是否只有合法的用户才能够对特定的数据进行合法的操作?一是应用程序对数据的合法权限,二是应用程序对用户的合法权限。5. 数据的安全性 机密数据是否还处于机密状态?(加密处理) 上述的五层安全体系并非孤立分散。
6. 解释六层网络安全体系中各层安全性的含义。1. 物理安全 防止物理通路的损坏、窃听和攻击(干扰等)全、设备安全和媒体安全三个方面。2. 链路安全 保证通过网络链路传送的数据不被窃听,安全手段可以保证信息传输的安全,对抗通信链路上的窃听、篡改、重放、流量分析等攻击。3. 网络级安全 需要从网络架构(路由正确)Dt:入侵者发动入侵开始,到系统能够检测到入侵行为所花费的时间。Rt:从检测到系统漏洞或监控到非法攻击到系统能够做出响应的时间。Et=Dt+Rt-Pt。如果Et小于等于
IP数据拒之于系统之外。
OS的某些合法但不为系统管理员和合法用户所熟知的操作指令,很多这
Single-Sign On,SSO)要比多重登录体系能够提供更大的系统安全性。
(类比)
主要针对公用信道的传输安全。在公共链路上采用一定的
、网络访问控制(防火墙、安全网关、0,那么基于PPDRIP地址来源的用户都能进入网络。VPN(虚拟专用网)VPN主要解决的是数据传输的安全问题,其
适当的防护措施可
。防火墙的主要目的在于判 其手段之一是窃取合法用户 VPN)、漏洞扫描、9
模型,认为系统是安全的。安全 其次应该考虑的是强有力的身份认证,确保用户的密 ,保证物理安全是整个网络安全的前提,包括环境安
网络监控与入侵检测等多方面加以保证,形成主动性的网络防御体系。 4. 信息安全
包括信息传输安全(完整性、机密性、不可抵赖和可用性等)、信息存储安全(数据备份和恢复、数据访问控制措施、防病毒)和信息(内容)审计。 5. 应用安全
包括应用平台(OS、数据库服务器、Web服务器)的安全、应用程序的安全。 6. 用户安全
用户合法性,即用户的身份认证和访问控制。
7. 了解基于六层网络安全体系的网络安全解决方案中各个功能的含义。(以及表3.2) 1. 物理安全保证
产品保障、运行安全、防电磁辐射和保安。2. 通信链路安全
在局域网内采用划分VLAN来对物理和逻辑网段进行有效的分割和隔离; 在远程网内可以用链路加密机解决链路安全问题,也可以用的安全通道。
3. 基于防火墙的网络访问控制体系 实现网络访问控制、代理服务、身份认证。 实现增强型的身份认证,并为实现内容完整性和不可抵赖性提供支持。 纠正网络系统的不当配置,保证系统配置与安全策略的一致。6. 分布式入侵检测与病毒防护系统 这两种分布式系统的协调和合作可以实现更有效的防御。7. 审计与取证
对流经网络系统的全部信息流进行过滤和分析,有效地对敏感信息进行基于规则的监控和响应;够对非法行为进行路由和反路由跟踪,为打击非法活动提供证据。8. 系统级安全
使用安全的或是经过安全增强的9. 桌面级安全
关闭不安全的服务,禁止开放一些不常用而又比较敏感的端口,采用防病毒软件和个人防火墙等。10. 应急响应和灾难恢复
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
8.TCP/IP协议的网络安全体系结构的基础框架是什么?由于OSI参考模型与TCP/IP系框架,将各种安全机制和安全服务映射到网络安全体系结构。
9.Windows 2000 Server属于哪个安全级别,为什么? Windows 2000 Server属于C2册提供对用户事件的跟踪和审计。
4. 基于OS和数据库,及时填补新发现的漏洞。TCP/IP的协议集中,从而形成一个基于VPN技术在通信链路级构筑各个校区PKI的身份认证体系 因此可根据
5. 漏洞扫描与安全评估 GB/T 9387.2-1995TCP/IP协议层次的 10
能
参考模型之间存在对应关系,的安全体
级。因为它有访问控制、权限控制,可以避免非授权访问,并通过注
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库信息安全管理和技术试题答案(2)在线全文阅读。
相关推荐: