信息安全体系结构课后答案

第一章 概述

1.比较体系结构的各种定义，并说明这些定义之间的异同点，指出其共性要素。 一个体系结构应该包括一组组件以及组件之间的联系。

ANSI/IEEE STD 1471-2000使用的体系结构的定义是：一个系统的基本组织，通过组件、组件之间和组件与环境之间的关系以及管理其设计和演变的原则具体体现。

IEEE的体系结构计划研究组指出，体系结构可以被认为是“组件+连接关系+约束规则”。 “组件”等同于“元素”，“组件之间和组件与环境之间的关系”等价于“关系/连接关系”。 2.分析体系结构的六种基本模式各自的优缺点，描述最常用的四种结构的特点。 六种基本模型各自的优缺点：

（1）管道和过滤器：在这种模式下，每个组件具有输入和输出的数据流集合，整个系统可

以被看成多个过滤器复合形成的数据处理组件。如：shell编程，编译器。

（2）数据抽象和面向对象：在这种模式下，数据和数据上的操作被封装成抽象数据类型或

者对象。系统由大量对象组成，在物理上，对象之间通过函数或者过程调用相互作用；在逻辑上，对象之间通过集成、复合等方式实现设计的复用。

（3）事件驱动：在这种模式下，系统提供事件的创建和发布的机制，对象产生事件，对象

通过向系统注册关注这个事件并由此触发出相应的行为或者产生新的事件。如：GUI的模型。

（4）分层次：这种模式将系统功能和组件分成不同的功能层次，一般而言，只有最上层的

组件和功能可以被系统外的使用者访问，只有相邻的层次之间才能够有函数调用。如：ISO的开放系统互联参考模型。

（5）知识库：这种模型使用一个中心数据结构表示系统的当前状态，一组相互独立的组件在中心数据库上进行操作。如：传统的数据库模型。

（6）解释器：这种模式提供面向领域的一组指令，系统解释这种语言，产生相应的行为，

用户使用这种指令完成复杂的操作。

最常用的四种结构的特点：

严格的层次结构：系统可以被清楚地分解成不同的层次功能。

事件驱动的结构：适用于对互操作性、特别是异构环境下的互操作性要求高的情况。 知识库的结构：适用于以大量数据为核心的系统。

基于解释器的结构：适用于应用系统和用户的交互非常复杂的情况。

3.比较信息安全体系结构的各种定义，并说明这些定义之间的异同点。

信息系统的安全体系结构是系统信息安全功能定义、设计、实施和验证的基础。该体系结构应该在反映整个信息系统安全策略的基础上，描述该系统安全组件及其相关组件相互间的逻辑关系与功能分配。

信息系统的安全体系结构是系统整体体系结构描述的一部分，应该包括一组相互依赖、协作的安全功能相关元素的最高层描述与配置，这些元素共同实施系统的安全策略。 4.叙述PDRR模型。

信息安全保障明确了可用性、完整性、可认证性、机密性和不可否认性这五个基本的信息安全属性，提出了保护（Protect）、检测（Detect）、恢复（Restore）、响应（React）四个 动态的信息安全环节，强调了信息安全保障的范畴不仅仅是对信息的保障，也包括对信息系统的保障。

5.叙述信息安全保障的基本含义，阐述信息安全保障的基本要素。

信息安全保障明确定义为保护和防御信息及信息消系统，确保其可用性、完整性、机密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、响应功能，并提供信息系统的恢复功能。

信息安全保障是对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。 信息安全保障是人利用技术和管理来实现信息安全的一个过程。 信息安全保障的基本要素是人、技术和管理。

6.叙述人、技术和管理三个要素的基本含义及其相互关系。 人，包括信息安全保障目标的实现过程中所有的相关人员。

技术，信息安全采用的技术，包括的要素有：IA体系结构，IA准则、对通过评估的产品的采办/集成、系统风险评估

管理是对实现信息安全保障目标负有责任的有关人员具有的管理职能。

相互关系是：在实现信息安全保障目标的过程中，三个要素相辅相成，缺一不可。 7.作为一个信息安全工作者，应该遵循哪些道德规范？ 《计算机道德规范的十条戒律》 第二章 信息安全体系结构规划与设计

1.简述网络体系结构与安全之间的关系，并叙述信息系统的基本内涵。

关系：越是大型的网络，其结构为复杂，涉及的人、技术、管理因素越多，可能存在的隐患也就越。为了确保这些网络的安全，首先就要结合网络使用的需要和网络建设者的能力，从设计之处开始准确地判断其信息安全需求，并在设计、实施、应用和维护的全过程中，结合有效地安全策略及其实施方法，合理部署必要的信息安全产品，将可能存在的风险控制在可以接受的范围之内。

信息系统的基本内涵：是由计算机及其相关的和配套的设备，设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.画图说明物理安全、系统安全、网络安全、数据安全、应用安全与安全管理六个层面之间的逻辑关系。

3.简述物理安全、系统安全、网络安全、数据安全、应用安全与安全管理六个层面的主要安全需求，并说明在一个信息系统中如何来平衡这些安全需求。

物理安全需求主要包括：（1）物理位置的选择（2）物理访问控制（3）防盗窃和防破坏 （4）防雷电（5）防火（6）防静电（7）温度与湿度控制（8）电力供应（9）电磁防护 系统安全的安全需求：（1）操作系统、数据库系统、服务器安全需求（2）基于主机的入侵检测（3）基于主机的漏洞扫描（4）基于主机的恶意代码检测与防范（5）基于主机的文件完整性检测（6）容灾、备份与恢复

网络安全的安全需求：（1）信息传输安全需求（2）网络边界防护安全需求（3）网络上的检测与响应安全需求

数据安全的安全需求：（1）数据机密性（2）数据完整性（3）数据可控性（4）数据的不可否认性（5）数据备份和恢复

应用安全的安全需求：（1）身份鉴别（2）安全标记（3）访问控制（4）可信路径（5）安全审计（6）剩余信息保护（7）通信完整性（8）通信机密性（9）不可否认性（10）软件容错（11）资源控制

安全管理的安全需求：（1）安全管理制度（2）安全管理机构（3）人员安全管理（4）系统建设管理（5）系统运行维护管理

4.比较系统安全需求与网络安全需求之间的异同点。

系统安全又称主机系统安全，主要提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行，系统安全是保障信息系统安全的中坚力量，系统安全应从身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息饱和、入侵防

范、恶意代码防范和资源控制等方面考虑其安全性需求

网络安全为信息系统能够在安全的网络环境中运行提供了支持，一方面，确保网络系统安全运行，提供有效的网络服务，另一方面，确保在网络上传输数据的机密性、完整性和可用性等。网络安全应从结构安全、访问控制、安全审计、边界完整性检查、入侵检测与防范、恶意代码检测与防范、网络设备防护等方面考虑其安全需求 5.谈谈自己对信息安全体系结构的设计原则的理解。

6.什么是安全策略？阐述安全策略的分类及其具体内容。

安全策略是用一般的术语对安全需求和属性进行描述，不涉及具体的实现过程。 安全策略分为管理性安全策略和技术性安全策略。管理性安全策略主要涉及内部人员安全策略，物理和环境安全策略，应用操作中的输入输出介质控制策略，应急策略，硬件和系统软件维护控制策略，完整性控制策略，归档策略，安全意识和培训策略，事件响应策略。 技术性安全策略主要涉及标识和认证策略，逻辑访问控制策略，公共访问控制策略，审计追踪策略。

7.论述安全需求与安全策略之间的关系。

安全需求既与安全策略的制定和安全等级的确定有关，又与信息安全技术和产品的特点有关。安全策略是用一般的术语对安全需求和属性进行描述。 8.你认为应该从哪一个视角进行信息安全需求分析？

第三章 信息安全技术支撑

1.密码服务系统通常由哪些部件组成？这些部件各自的作用是什么？ 密码服务系统由密码芯片、密码模块、客户端密码服务设备、服务器端密码服务设备组成。 密码芯片的作用是通过RAM传输模式、FIFO传输模式提供数据的交互。

密码模块的作用是用于VPN、链路密码机等各种密码服务设备，也可直接作为客户端密码服务设备。

客户端密码服务设备的作用是提供终端密码服务。

服务器端密码服务设备的作用是密钥管理基础设施（KMI）、公开密钥基础设施（PKI）、安全管理设备、安全防护设备等，提供性能稳定、功能强大的安全服务设备。

2.一个实际的应用系统会涉及哪些密码应用？

密码证书运算；密钥加密运算；数据传输；数据存储；数字签名；消息摘要与验证；数字信封

3.密码服务系统接口的主要功能是什么？

封装硬件接口驱动，包括各种操作系统平台、硬件平台的驱动，必须具备良好的性能和兼容性。同时提供基本密码函数、密钥管理接口调用，安全协议及模型则交由上层中间件进行封装。

4.密钥管理基础设施主要有哪些功能？密钥管理系统的逻辑组成主要有哪些部件？ 主要包括用户注册、密钥下载、密钥管理（生成、分发、存储、销毁、更新）、密钥协商、系统日志和审计等功能。

密钥管理系统的逻辑组成主要有密钥生成子系统、密钥库子系统、密钥恢复子系统、密钥管理子系统和管理终端组成。

5.请简要说明认证体系的组成及其核心部件CA的主要作用。 认证体系由数字证书认证机构（CA）、数字证书审核注册中心（RA）、密钥管理中心（KMC）、目录服务系统、可信时间戳系统组成。 CA的主要作用是证书查询验证服务。

6.什么是目录服务？什么是目录树？认证体系中的目录服务通常采用什么协议？

目录服务是一种专门的数据库，是软件、硬件、策略以及管理的合成体，服务于各种应用程序。 目录树是

认证体系中的目录服务涉及轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）和基于X.500的目录。

7.简要描述认证体系的三种基本信任模型。

树状模型：各结点按照一定的层次关系（即上下级关系）组织在一起，任意两个结点之间都可以通过它们共同的上级结点（在整个树状模型中是唯一的）建立一条信任路径。这种模型对于层次结构关系明确的应用非常实用。

信任链模型：各节点彼此间具有某种单一的信任关系，但并不具备层次关系。这种模型适用于形式松散，但又彼此间存在信任关系的机构。

网状模型：各结点相互之间存在的信任关系比较复杂，不是严格的层次关系，也不是单一的信任链关系，而是呈现为错综复杂的网状关系。这种模型通常被用于不同行业的多个机构之间。

8.什么是交叉认证？什么是桥CA？

交叉认证用于原先相互独立的不同认证体系的两个结点CA之间，目的是在这些认证体系之间建立信任关系，实现方法是由这两个结点CA向对方的根CA签发证书，从而支持这两个认证体系之间的互操作。

桥CA是交叉认证的一个特例，它与原先彼此独立的各个信任体系的根节点进行交叉认证，从而在这些根节点之间建立信任关系。

9.简要说明可信时间戳的组成。

时间服务器：通过国家授时中心为时间戳服务提供可信时间服务，监控并校准时间戳服务器的时间。

时间戳证据存储服务器：安全存储时间戳及其相关数据。 时间戳服务器：为请求数据签发可信的时间戳。

密码服务系统：为时间戳服务提供基本的密码操作。

10.生物特征识别可以采用的生物特征有哪些？

生物特征识别也是一种非密码的认证方式。目前可以采用的生物特征主要有：指纹、声音、虹膜、视网膜、手形、面部等。

11.简述授权体系的基本结构，并详述策略实施点和策略决策点的作用。

策略实施点介于访问者和目标之间，当访问者申请访问目标时，策略实施点向策略决策点申请授权，并根据授权决策的结果确定允许访问目标或拒绝访问。

策略决策点负责接收和评价授权请求。当接收到一个授权请求时，它从策略仓库中获得策略数据，并依据策略逻辑、访问者的安全属性和当前条件进行决策，然后将决策结果返回给策略实施点。

12.简要说明容灾备份与故障恢复系统的运作过程。

（1）正常情况下，业务处理只在主中心运行；业务系统对数据的任何修改，实时同步地复制到备份中心。

（2）当主中心的某些子系统发生故障时，系统会自动地快速切换到主中心的其他设备，确

保系统正常运行。