28262+金融信息安全工程--习题答案与提示

第１章 引论

1．金融信息系统包括哪几种类型？它们之间有何关系？

答：金融业务系统一般可分为事务处理系统、管理信息系统和决策支持系统三个部分。事务处理系统（EDPS）、管理系统（MIS）及决策支持系统（DSS），三者间相对独立又互相联系。三者之间联系的纽带是三库系统，即数据库、方法库和模型库，它们是信息系统的核心。

总 行 决策支持系统 外部数据 外部数据 外部数据

省分行 管理信息系统 地方分行 事务处理系统 原始数据

经办业

基层行 务及原始数据

金融事务处理系统可分为前台综合业务计算机处理系统（核心业务）和业务管理部门的日常事务处理系统。管理信息系统是金融企业经营管理的中心环节。决策支持系统是位于二者之上的更高级的管理信息系统。

2．简述金融信息系统的组成结构。

答：从物理层面考察，一个典型的金融业务系统应具有用户、客户端、网络、应用服务器、数据库服务器等不同的部分和层次。从逻辑层面考察，金融业务系统中的事务处理系统可划分为核心层、业务层、服务层和客户层四个层次。 3．事务处理系统有哪些功能？它们是如何实现的？

答：事务处理系统用于完成面向客户的前台综合业务以及管理部门的日常事务处理功能。这些功能使用通知类交易、请求类交易这两大类交易完成。 4．如何理解信息安全的全面性？

答：信息安全的全面性可从以下几个方面理解：

１）信息系统是一个复杂的计算机系统，其面临的威胁无处不在；

２）信息系统安全可分为物理安全、平台安全、运行安全、通信安全、应用安全等多个层面；

３）为达到IT 安全目标的完备性，应对信息系统的各个环节进行统一的综合考虑； ４）计算机信息系统中各不相同的安全策略和安全机制所实现的安全功能及其安全性强度，应该相互匹配；

５）信息系统的安全实现需用到要跨学科的专业知识。 5．信息安全为什么具有周期性？

答：安全系统生命周期是安全动态性的一个表现，也是风险平衡过程在组织级的体现。信息系统的这一动态变化来源于信息安全满意度的周期性：一开始，系统被严重破坏，于是经理雇佣安全专家处理，此后系统可达到较高的安全满意度。随着时间的流逝，情况又变得相当糟糕，如此周而复始。

6．外部环境对信息安全系统具有何种影响？

答：外部环境对信息安全系统具有以下几种形式的影响：

１）组织的价值取向和风险喜好会影响系统安全问题的处理方式。

２）对人员的能力、动机和素质的不符合情理的假设会导致操作人员放松警惕,导致大量安全事件的爆发。

３）一些常常被疏忽的安全问题有可能导致企业承担相应的法律责任。

４）国家安全策略应该对计算机信息系统安全保护、网络犯罪监管与惩治、电子商务运营监管、数字签章的法律效力及个人隐私保护等内容作出明确的要求与防治措施。 7．为什么计算机不能做到完美的安全？ 答：计算机不能做到完美安全的原因是：

１）任何实际系统的信息安全都只能存在于某些假设和信任基础之上。 ２）在特殊环境下安全的机制在一个更一般的环境中会有安全问题。

３）人类思维活动的局限性。

４）系统的安全性常常会受到实现期限、财务、技术、社会、环境和法律方面的限制。 8．可以设计并实现没有任何关于信任假设的系统吗？

答：不能，这是信息安全相对性的一个基本表现。

9．为防止本公司的专利信息泄露，要求员工汇报其与竞争公司的任何员工的接触，这会达到所期望的效果吗？ 为什么？

答：不能。因为系统的安全性实现会受到实现社会、环境和法律方面的限制。在本案中，相关人员不会理解该安全措施的必要性。它带来文化观念上的冲突，既难以证明它是合法的，更是难以令人接受的。随着时间流逝，这一安全措施会失效。 10．你认为是否应该禁止组织雇佣曾经入侵过其系统的人员？ 答：该问题答案是开放的。需提出理由支持自己的观点。

11．保护隐私的法律将如何影响系统管理员监视用户行为的能力? 答：该问题答案是开放的。从监视内容、方式等方面论述。

12．信息安全工程的目的和作用是什么？主要包括哪些方面的内容？

答：信息安全工程的目的和作用是：信息安全工程采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全。它致力于建造一个在存在恶意攻击、错误或意外事件的环境中仍可信赖的系统，目的是提供“强壮”的安全系统，可以分析任何一种可能模式的失败并计算出失败的可能性。

信息安全工程主要包括的内容有风险过程、工程过程和保证过程三个部分。 １）风险过程 监视安全态势，对现有系统运行及其环境进行分析，识别出所开发的产品或系统的危险性并对这些危险性进行优先级排序，通过系统化的风险评估过程建立一组平衡的安全要求。

２）工程过程 制定组织安全目标、战略、政策并在整个组织内选取各种安全措施，通过将安全要求映射到用于检测、预防安全攻击或者恢复系统的安全机制，并将这些安全指南将集成到项目实施、系统配置或运行的定义中。

３）保证过程 建立安全论据，将所有工程科目和专业活动集成为一个对系统安全可信性的共同理解，判断系统中和系统运行时残留的安全脆弱性对运行的影响是否可容忍。

13．如何实现SSE-CMM的“充分定义”能力级别？在该级别基础上，如何实现“量化控制”和“连续改进”的能力级别目标？

答：为实现SSE-CMM的“充分定义”能力级别，首先定义标准过程，通过裁剪机构的标准过程族，建立一个能够满足机构的特定需求的过程。在执行这一过程时，应对组内各工程领域间、机构内不同组间、与外部组间的交流进行协调，并对过程域的相关工作结果进行缺陷审查。在执行既定过程中，应对组内各工程领域间、机构内不同组间、与外部组间的交流进行协调。

在“充分定义”能力级别上，为达到量化控制目标，应关注于测量：（１）为机构的标准过程族的工作结果建立可测的质量目标；（２）收集和分析过程执行情况的详细测量数据，形成对过程能力的量化理解，以预测过程的执行，并能采取适当的修正行动。（３） 量化控制应与机构的业务目标紧密联系。

为达到“连续改进”的能力级别目标，需要进行缺陷预防，技术更新管理，过程更改管理，建立一个持续改进的文化。

第２章 金融信息风险

１．简述信息风险要素及其关系。 答：信息风险要素及其关系如下图所示：

２．为什么会有剩余风险？

答：（１）由于不可控风险风险的存在；

（２）商业组织必须平衡风险和回报之间的关系。在某些情况下，风险控制代价超过了它所能带来的回报，此时，会接受这种残留的风险而不是去试图消除它。 ３．资产价值应该从哪些方面衡量？

答：一般可从成本和收益两个角度考虑资产的价值，具体包括： （1）获取、开发、维护和保护该资产所需的成本 （2）该资产对所有者、用户和竞争对手所具有的价值： （3）该资产不可用情况下所造成的损失

４．脆弱性包括哪些方面，应如何识别？

答：脆弱性包括技术脆弱性、管理脆弱性两大方面。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。

在脆弱性识别时，应注意以下几点：

（1）应从技术和管理两个方面进行脆弱性识别。

（2）脆弱性识别可以从横向和纵向两个不同的方向进行。

（3）脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。

（4）脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。

（5）需要注意，由于所在的组织安全策略的不同，应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的。

５．信息系统灾难会给企业带来哪些损失？

答：信息系统灾难会给企业带来直接损失和间接损失。直接损失是指在事件发生后系统直接产生的损失，直接损失具有可计算、损失不会扩大等特点。间接损失包括经营收益减少、信誉的降低、市场份额下降、客户索赔费用、潜在承担的法律责任等。

６．一个面向客户的交易处理会在哪些环节存在风险？ 举例说明。

答：各种金融产品的交易之前、之中、之后的各个环节，自始至终都存在风险。主要的环节有（举例说明略）： 交易数据的输入

交易数据的传输、存储和处理 身份认证 业务授权 交易处理 日终处理

７．马尔柯夫过程有哪些特点？对于有限状态的系统，如何确定其最终状态的概率？ 答：马尔柯夫过程的特点是：在特定情况下，系统在时间t 的状态qt只与其在时间qt?1 的状态相关。其数学描述为：

系统在时间t 处于状态Sj (1? j?N)的概率只与前一状态相关：

P?qt?Sj|qt?1?Si,qt?2?Sk,...??P?qt?Sj|qt?1?Si?

马尔柯夫模型可视为随机有限状态自动机。它的一个重要假定是在一定时间和客观条件下，风险状态的转移概率固定不变。对转移概率已经确定的情况下，对于有两个状态?S1,S2?的系统，其最终状态的概率由下式确定：

?S?a11??P?S1?,P?S2????a21a12????P?S1?,P?S2?? a22??0.3例如，在转移矩阵为??0,330.7??的情况下，?P?S1?,P?S2????0.49,0.51? 0.67?８．简述风险分级计算原理。

答：分级测量目的是对不同风险直观比较，综合考虑风险控制成本与风险造成的影响，提出一个可接受的风险范围或设定可接受风险值的基准。

风险结果判定过程可以分为以下几个步骤：

(1) ．计算安全事件发生可能性 使用T表示威胁出现频率，V脆弱性，则安全事件发生的可能性可表示为T和V的函数L，即L(T， V)。 (2) ．计算安全事件损失 使用Ｉ表示资产价值，安全事件损失可表示为Ｉ和Ｖ的函数F，即F(I， V) 。

(3) ．计算风险值 风险值可表示为安全事件发生可能性及其损失的函数，即R(L(T，V)，F(Ia，Va ))。

风险计算的具体方法可采用相乘法或矩阵法。 ９．举例说明如何确定合理的风险控制成本 。

答：考虑一个网点由于系统非正常中断的影响, 定量信息风险分析过程如下：

（1）．估算资产价值(AV)

在这里，我们计算网点年销售收入作为网点的资产价值，设其年销售收入为10000万元。

（2）．估计年发生率(ARO)

ARO指一年中风险发生的预估次数。我们这里假设网点系统非正常中断发生的可能性（即 ARO）的值为 0.5（表示每两年发生一次）。 （3）．计算单一预期损失(SLE)

SLE指发生一次风险引起的收入损失总额，代表一个具体威胁利用漏洞时公司将面临的潜在损失。令暴露系数表示现实威胁对某个资产造成的损失百分比, SLE等于资产价值与暴露系数(EF)的乘积，即：SLE=AV?EF。

可使用网点停用时间换算得到的年数作为暴露系数（此处不考虑重建网点、声誉下导致的间接导致收入损失）。假设该网点的暴露系数为0.001，资产年价值乘以暴露系数，可以预测单一预期损失是 10000万ⅹ0.001=10万元。 （4）．计算出年损失总额（ALE ）

ALE是指不采取任何减轻风险的措施在一年中可能损失的总金额，它可表示为SLE和ARO的乘积，即ALE =SLE ⅹARO。

在本例中，非正常中断发生的可能性（即 ARO）的值为 0.5，那么计算一年中可能损失的总金额ALE为10万ⅹ0.5=5万元。

使用ALE来预算建立一种控制或安全措施以阻止此类损害并提供足够级别的保护需要多少成本。这里控制成本由购买、测试、部署、操作和维护各个控制措施所需的成本决定。 （5）．估计安全投资收益(ROSI)

ROSI=（实施控制前的 ALE）–（实施控制后的 ALE）–（年控制成本）

在本例中，如果采用购买新服务器的处理，出错概率减小为0.1，成本为2万元，则安全投资收益（ROSI）为不采取措施年预期损失（ALE）（5万元）减掉采取措施后预期损失（1万元）再减掉控制成本（2万元），其收益结果是2万元。

为使安全投资收益 ROSI为正值，此处最高控制成本为5万，即该网点每年在系统中的投入不能超过5万元。

１０．如何使用内部衡量法计算组织内的风险？

答：内部衡量法通过对银行业务划分不同领域后，再在每个业务种类中定义不同的风险类型。设i表示业务种类，j表示风险类型，内部衡量法要求通过加总预期损失和非预期损失得出监管资本要求。风险资本计算公式为：

??ij[?(i,j)?EI(i,j)?PE(i,j)?LGE(i,j)]

其中EI指风险暴露指标；PE、 LGE分别是利用银行自己的内部数据计算损失概率和损失程度。?是预期损失与非预期损失的转换系数，它考虑了银行业务之间的相关性造成的所需风险资本的减少。

１１．为达到风险平衡，一个组织在风险处置过程中应注意哪些问题？

答：（１）将风险分为可控风险和不可控风险； （2）基于风险是否可控，采用减轻、规避、转嫁或接受风险的处置措施或这些措施的组合。 （３）如果风险控制代价超过了它所能带来的回报，则接受这种残留的风险而不是去试图消除它。

（４）在开放区域内不应以牺牲安全标准为代价来降低成本。

（５）各部门必须理解法律、业务和安全以及市场、运营和财务之间的关系，并达成共识。 （６）公司最高层要对风险平衡的合理性负责。

第3章 应用密码学基础

1． 密码系统一般包括哪些部分? 各部分的关系是怎样的？

答：密码系统的两个基本单元是算法和密钥，具体包含以下组件：明文空间、密文空间、密钥空间和算法。 各部分的关系要求如下：

a) 知道加密密钥e，加密算法Ee容易计算； b) 知道解密密钥d，解密算法Dd容易计算； c) 不知道d，由密文c?Ee(m)不能推导出明文m

2． 一次一密系统是可证明安全的，但它们为什么很少在实际中使用？ 答：在实际应用中，一次一密系统是难以实现的。这是因为以下原因：

(1) 首先，安全分发、存储和明文信息等长的密钥是困难的。 (2) 其次，如何生成真正的随机密钥也是一个现实问题。 3． 单向陷门函数为什么可以用来设计公钥密码系统？

答：单向陷门函数（单向性+陷门信息）是一个函数族y=f(x,k)，其中k是参数。当给定参数k时，函数满足下列条件：

(1) 给定x，计算y=f(x,k)是容易的；

(2) 给定y, 计算满足y=f(x,k)的x是困难的；

(3) 存在一个陷门信息d(k)和一个易于计算的函数g，使得x= g (y, d(k))。 上述性质使得单向陷门函数可以用来设计公钥密码系统。当用陷门函数f作为加密函数时，可将f公开，这相当于公开加密密钥，f函数的设计者将d(k)保密，用作解密密钥。

4． 散列函数与对称密码系统在计算原理、性能和用途方面有何异同？

答：散列函数是一种接受任意长的消息为输入，并产生固定长度的输出的算法。

在计算原理方面，设计散列函数除了可利用某些对称密钥密码系统外，也可： （１）利用某些数学难题，例如，因子分解问题、离散对数问题等。 （２）直接设计方法 这类算法不基于任何假设和密码系统。 在性能方面，散列函数无需求逆。对它的性能方面的要求有： (1) 可压缩性；接收长度不等的字母串，输出固定长度。 (2) 易计算性；即给定h和输入x，可以很容易地计算h(x)；

(3) 抗碰撞特性；即给定h，找到任意的x和y，使得h(x)?h(y)是计算上不可行的；

(4) 求逆很困难；即给定h和y?h(x)，求出x是计算上不可行的。

在用途方面，散列函数数学上比加密算法被攻击的弱点要少，因而可更好地用于消息认证，但不能单独作为密文传送。

5． S-盒的设计原则是什么？它在DES算法中起到了什么作用？

答：S-盒是密码系统中的非线性部件，其设计原则是使得明文和密文之间的统计关系尽量复杂，即起到“扩散”作用。在DES算法中，Ｓ盒起到的作用是，将上一步结果分为8个6位组，每个6位组通过这一非线性器件进行压缩运算，输出8个4位比特组。 6． Feistel加密器中的轮函数可以起到什么作用？DES算法是如何实现轮函数的？ 答：使用Feistel加密器的轮函数，可以设计出能够证明是安全的分组密码系统。 密码学家Luby 和Rackoff形式化地描述了分组密码中轮函数的密码特性，依据不同的攻击，得出了以下结论：如果Feistel加密器中的轮函数是随机函数，那么，在选择明文攻击下，3 轮Feistel加密器可以达到与一个随机变换函数同样的混沌效果。如果将其增加到4轮，那么即使是在选择明/ 密文攻击下，Feistel加密器的输出仍能保持这种良好的随机性。

在DES算法中，轮函数的实现方式是： (1) ．扩展运算

首先根据设定的一个位选择表，可将32bit的

Ri?1?r1r2...r31r32扩张为48bit的E(Ri?1)?r32r1r2...r31r32r1。

(2)．加入子密钥 在产生了Ki后，将它与扩展运算获得的48位进行异或 (3) ．压缩

将异或结果分为8个6位组，每个6位组通过一个非线性器件Ｓ盒

进行压缩运算，输出8个4位比特组。 ( 4) ．置换 最后，将压缩运算得到的结果进行置换，置换的目的是提供雪崩效应。 7． 证明全0和全1比特的DES密钥都是弱密钥。 提示：弱密钥指满足p?Ek(Ek(p))的k。

8． DES算法的安全弱点有哪些？应如何进行安全增强？ 答：DES算法的安全弱点有：（1）分组长度（64比特）不够大；（2）密钥长度（56比特）不够大；(3) 存在弱密钥和半弱密钥；（4）轮函数中S-Box设计原理至今没有公布，可能有不安全因素。

可对DES算法进行下述安全增强：（１）将分组密码级联以增加分组密钥的长度；（２）避免使用弱密钥和半弱密钥。 9． 证明模运算的基本定律：

a) (a+b)mod n=( a mod n=b mod n)mod n

b) (ab)mod n=( a mod n) ( b mod n)mod n

答：略。

10． 在计算DSS签名时，不使用新的k值，而是直接使用带签名的数据项和签名私钥生

成签名可以吗？ 这会导致什么样的后果？

答：不可以。这会导致攻击者从两个明文－签名对中恢复出密钥α。

第４章 密钥管理

1． 在层次化密钥管理体系中，不同层次的密钥分配方式和更新频率有何不同？ 答：见下表。 密钥分配方式 主密钥 钥 手工分配 可以采用静态分配技术，即一种由中心以脱线方式预分配的技术，“面对面”进行分发 工作密钥 在线申请或协商新的密钥

2． 银行体系中的工作密钥包括哪几种？简述其分配要求和过程。 答：工作密钥包括MAC密钥（MAK）、PIN 校验密钥（PIK）、卡校验密钥(CVK)、终端密钥（TMK）等密钥。

由于工作密钥使用量大，因而应每天或每次启动时都要申请新的密钥。根据实际需要，当系统启动、交易笔数超过一定的限量或密钥失效等情况时也需要更换工作密钥。在某些情况下，如网上银行交易，可能需要在每次不同的交易会话中都使用不同的密钥，即会话密钥。

分配过程是：在开机时，前台网点要执行申请密钥程序，入网机构将申请重置密钥请求报文发送给后台，主机接收到该请求后，立即返回应答。同时主机启动密钥更新模块，为请求方生成新密钥，并将新密钥用用相应BMK加密，以重置密钥请求报文发送给请求方。

3． 在Kerberos协议中，KDC由两部分组成：即认证服务器AS和授权服务器TGS，你认为这有何优缺点？

答：开放问题。从安全性、信任度、性能、灵活性等方面考虑。

4． 为什么说Kerberos协议基于NSSK协议?它在安全性和实用性方面做了哪些改进？

还有哪些安全隐患？

答：Kerberos协议将NSSK协议中的KDC分解为两部分实现：即认证服务器AS和授权服务器TGS。Kerberos协议的优越之处是：将认证和访问控制机制相结合，因而更加安全和实用。

5． 什么是公钥证书？简述其结构组成。

答：公钥证书，是一个经证书授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。

X.509V.3公钥证书的证书结构由以下字段组成：

每天或每次启动时都要更新 更新频率 可以长期不更改 银行主密可采取“请求—分发”式的动态分发技术; 与主密钥类似 版本号 序列号 签颁名算法发者 标识符 有效期 证主书主体 体公钥信息 颁发者唯一标识符 主扩体唯一展项 标识符

6． 为得到具有良好完整性的公钥证书，在初始化阶段，PKI系统应注意哪些方面的问题？ 答：（1）因此，首先要进行终端实体注册，建立和验证单个用户的身份，评定其相关的可信等级。只有那些经过身份信用审查合格的用户，才可以接受其证书申请。

（２）密钥对产生的位置是一个重要的考虑事项，相关的影响因素有容量、性能、担保等。

（３）签发证书的CA需要对证书绑定的内容需要进行真实性可信验证。

（４）密钥和证书必须被适当地发送给客户。发送流程要受到密钥产生位置、证书用途和可操作性等要素的约束。 （５）必要和适当的备份。

（6）证书分发，保证产生的证书是容易为外界所获得的。 7． 简述密钥/证书生命周期管理各阶段的主要内容。

答：密钥/证书生命周期管理大体经历三个不同的阶段： （１） 初始化阶段 初始化阶段包括的内容主要有：用户注册、密钥对产生、证书创建、证书发送和储存、密钥备份、证书分发等。

（２） 使用阶段 使用阶段中的主要操作内容包括：证书检索、证书验证、密钥恢复、密钥更新等。

（３） 取消阶段 内容主要有：证书过期、证书撤销、密钥历史和密钥档案。 8． 美国NIST的David Cooper的使用排队论这一个基本的数学模型来对CRL更新的

本质进行分析时，其模型主要要求达到什么目标？你认为这是选择证书撤销机制最重要的指标吗？为什么？

答：David Cooper的排队论模型主要要求达到以下目标：1）最小化对证书存储库请求的峰值；2）最小化用于将CRL传送到请求验证的主体所需要的总带宽。

这些应该是选择证书撤销机制最重要的指标，因为对证书存储库请求的峰值、所需要的总带宽是系统性能的瓶颈问题，也是我们所主要关心的。

9． 在验证证书状态时，与CRL机制相比，OCSP 协议在响应时间上有何特点？ 答：OCSP处理时间TOCSP主要是由签名开销所决定的，这样，OCSP处理时间与撤销证书的数目无关。因此，在撤销证书的数目较小时，TOCSP要比TCRL大，但随着撤销证书数目的增长，TCRL超过了TOCSP。另一方面，如果计算机的处理能力提高，则TOCSP就会减少。

10． Diffie-Hellman密钥交换中，为什么会出现中间人攻击？它可以造成何种危害？ 答：因为原始Diffie-Hellman密钥交换没有提供认证机制，所以会出现中间人攻击。中间人攻击所造成的危害是：协议结束时通信双方U和 V并不能得到统一一致的密钥，而且他们对此并不知情，因而在随后进行正常通信，这样，其通信内容可完全被中间人获得。

11． 在NSPK协议和安全Diffie-Hellman密钥交换中，公钥算法各用于什么目的？为什么会有所不同？

答：NSPK协议中，公钥算法用于签名和加密。而在安全Diffie-Hellman密钥交换中，公钥算法只用于签名。

由于在安全Diffie-Hellman密钥交换中，所传递的分量无需保密，因此，无需使用公钥算法进行保护。

第5章 身份认证

1． 以口令系统为例，剖析身份认证系统应该包括哪些部分？各部分的保护要求有哪些？

答：认证系统通常需要包括以下几个部分：

? ? ?

认证信息集合A：实体用于证明其身份的特定信息的集合；

补充信息集合C：系统存储并用于验证认证信息的信息集合，例如unix 系统补充函数集合F：根据认证信息生成补充信息的函数集合，即，对

的shadow 口令文件。

f?F,f:A?C。

? 认证函数集合 L：用于验证身份的函数集合。即，对

l?L,l:A?C??true,false?

? 选择函数集合S：使得一个实体可以创建或修改认证信息和补充信息。 2． 如何理解身份认证的注册性要求？在实现系统中有哪些实现形式？ 答：注册性要求：

需要证明的主体特征应是预先设置或约定的，用于身份认证的“信物”（证据或凭证）的特征应记录在案，这就是注册。

验证方和证明方具有相同意义的“信物”。

验证主体和证明主体是主从关系，这种关系规定了发证的合法性和有效域。一个系统只能对自己管辖的主体发证，而一个主体的凭证只能在所属系统范围内有效，因此，一个验证主体管辖的证明方是有边界的，而不是无限的。

系统中，典型实现形式： （１） 身份证； （２） 公钥证书； （３） 对称密钥； （４） 各类凭证。

3． 为身份认证提供一体性证据的主要方法有哪些？

答：提供一体性证据的方法主要是基于下列原理中的一种或几种：

（1）证明方证明他知道某事或某物，例如口令，是个体向本地系统进行身份认证的最实用的机制之一；

（2）证明方证明他拥有某事或某物，例如柜员IC卡、存折、银行卡等，通常通过证明方证明他知道与这些事物绑定的口令、密钥或个人识别号来达到。

（3）证明方展示某些不变的个体特征，例如照片、指纹等；

（4）证明方在某一特定场所或时间内提供证据。机器地址、物理地点、时间或状态等上下文要素可以为身份认证提供辅助性的信息。 4． 口令保护措施有哪些？

答：（１） 防止口令猜测的措施

1) 需要选用易记难猜的口令；2）适当增加口令位

数；3）“salting”技术；4）限制使用认证函数

（２）对抗线路窃听的措施 1）采用密文形式传输；2）使用散列函数；3）使用密码器

件；4）使用管理和控制过程

（３）动态口令 １）挑战/应答机制；２）时间同步机制；３）事件同步技术。

5． 动态口令可以对抗哪些攻击？各种实现机制的工作原理及其优缺点有哪些？

答：动态口令可以对抗口令泄漏和口令重放等攻击。各种实现机制的工作原理及其优缺点是：

（１）挑战/应答机制 在这种机制中，挑战数作为变量，由验证者给证明方发送一个随机的挑战值，证明方必须提供看到这一挑战值的证据。这种机制能大大提高抵抗重放攻击的能力，可支持不同的应用。缺点是通信双方需要协商通行证算法，这一过程可能易遭受攻击。

（２）时间同步机制

以时间作为变量。进行认证时，将静态口令p’输入器件，得到

关于口令p’、dsv和当前时戳的一个动态口令值并显示在器件的液晶屏上。认证服务器使用同样的对称密钥、口令和时间进行相同的运算，并将处理结果它与收到的动态口令进行比较，如果相同，则通过认证。这一认证机制的安全强度高，不容易被攻破。其缺点是：１）对设备精度要求高，成本高；２）器件耗电量大；３）应用模式单一，难以支持双向认证及“数字签名”等应用需求。

（３）事件同步技术 事件同步机制以事件（次数/序列数）作为变量，它通过同步认证算法产生“动态口令”。事件同步认证技术的代表是S/Key 系统，它使用用户输入的种子，基于单向hash的n 次操作，产生一个有n个口令的表，所使用的口令依次是第n，n-1，?,1次散列的结果。用户保存这一口令表，验证服务器保存用于下一次提供的口令的序号i，和上一次用户所提交的正确口令的十六进制表示。在认证时，验证服务器要求用户提供口令pi， 如果与数据库中的口令表匹配，即 pi=H（pi-1），那么认证成功。在现实中，可使用口令机制和基于密码技术的结合：首先使用口令向IC卡认证它自己，然后器件使用密码技术产生动态密码，向最终的验证者认证它自己。同步认证技术生成的口令具有时间无关性，无法预测、无法跟踪截取和破译，事件同步机制是比较安全的一次性动态口令，同时，也不用担心网络或者操作延时会对密码的认证产生影响。其缺点是，产生动态密码的算法都掌握在生产厂家，对用户存在一定风险，如果厂家泄密或被攻破，其灾难性将会是全局性的。

6． 名字与身份有何区别？在对系统实体进行命名时，需要注意哪些问题？ 答：名字与身份的区别在于：

（1）一个实体可能有多个不同种类的名字 （２） 一个名字可用于不同的身份

（３）名字只在一定的上下文中才能分辨出拥有者的身份。 在对系统实体进行命名时，需要注意的问题有： （１） 确保命名的全局一致性

（２） 命名方式应基于应用环境的实际需求

（３） 用户的命名方式不应该包括对应用户的工作职责 （４） 以地址命名实体是不可靠的

（５） 设计足够大的名字空间，以避免从头修改的麻烦 （６） 名字服务必须与所要保护的系统规模相适应

（７） 禁止使用别名，并使得各个局部命名方案能够相互兼容 （８） 尽量使用成熟的命名技术 （９） 命名方案应适应组织的变化

（１０） 名字可以附加访问票据或能力 （１１） 随机、匿名的名字是有商业价值的。

7． 根据磁条卡认证客户时，一般包括哪些过程？各过程的原理是什么？

答：使用磁条卡认证客户时，一般包括以下过程：

（1）验证磁条磁道的数据 主要是验证磁道数据是否符合本机构的编码规则和记录技术，使用账号校验位进行主账号校验。 （2）校验CVV值 在开卡时，需要以主账号和有效期作为要素，计算出CVV值，并将其放入主机数据库内。当进行交易时，重新计算CVV并与相应记录的CVV值匹配。二者一致时，卡的合法性才能得到确认。CVV值的计算过程一般采用DES-EDE2算法，并且使用CBC链接模式

（３）持卡人身份认证 首先计算校验值PVV，这里也使用一对DES密钥，分别是PVKA和PVKB。计算输入是一个16字节的十六进制数字串，由PAN的最右11个数字(不包含校验位)、PVK索引号(一个十六进制数字)和客户个人密码的前4位组成，计算过程与CVV值的计算过程类似。校验时，发卡机构重新计算PVV，然后与数据库中的值进行比对。

8． 认证系统包括哪些部件，各部件的作用是什么？

答：认证系统通常需要实现以下部件：

? 认证信息集合A：实体用于证明其身份的特定信息的集合；

? 补充信息集合C：系统存储并用于验证认证信息的信息集合，例如unix 系统的shadow 口令文件。

?

补充函数集合F：根据认证信息生成补充信息的函数集合，即，对

f?F,f:A?C。

? 认证函数集合 L：用于验证身份的函数集合。即，对

l?L,l:A?C??true,false?

? 选择函数集合S：使得一个实体可以创建或修改认证信息和补充信息。

9． 为实现认证系统，需要考虑哪些方面的设施？

答：为实现认证系统，计算机必须存储实体的某些信息，同时必须具有管理这些信息的机制。因此，需要考虑下面的认证设施：

（1）．与管理有关的设施：有初始化、改变认证信息、分发、禁止、恢复和删除。 （2）．与操作有关的设施：有获取、验证和生成。 10． 身份认证有哪些实现模式？各模式的特点是什么？ 答：身份认证的实现模式有：

（1）．基本模型 基本模型应用于封闭式业务网络中，所有计算机以及它们之间的通信都在严格的控制之下，后台服务程序不须进行操作员认证工作，而由用户登录的计算机来管理用户的认证来保证正确的访问。

（2）．内联式认证 在内联式认证中，实体的身份被中间者认证，然后中间者为它提供担保。中间者包含双方的认证信息。内联式认证应用于像大中型企业不同应用域之间的互联系统这样的半开放系统中，rlogin和rsh等远程服务的提供者选择自己信任的计算机，对发来请求的主机，通过检查其主机地址来实现认证，对每台认证过的主机的用户不进行认证。

（3）．使用在线认证服务器

证明方从在线认证服务器获得一个通行证，并传给验证

者；或者验证者同服务器进行交互以完成认证。需要注意的一点是，为了保证在线认证服务器的可用性，系统必须存在对抗DOS攻击的机制。

（4）．使用离线服务器

离线服务器的一个代表是公钥证书的目录服务器。在这样的

协议中，无需在线认证服务器。然而，获得被验证者合格的公钥和证书撤销列表仍需要，通常这些证书和撤销列表也从一个不可信的目录服务器中获得，这样的服务器有时称作离线认

证服务器。与在线服务器相比，它具有以下优点：

在呼叫建立时，因为无需访问在线服务器，因此，可避免服务器回答过于迟缓的问题； 1）离线服务器比在线服务器所需要的通信容量要少的多； ２）即使离线服务器不能使用，实体仍有可能继续认证下去。 11． 在系统中使用可插入认证模块有何优势？ 答：在系统中使用可插入认证模块，其优势在于，系统可以基于不同的因素来控制资源访问，达到在一个应用程序中选择使用不同认证方式和级别的目的。

第6章 访问控制

1． 访问控制系统由哪些部分组成？各部分的作用是什么？ 答：访问控制系统的组成如下图所示：

执行单元 访问请求 访问者（主体） 决策单元 目标（客体） 安全策略 各部分的作用是：

（１）

访问请求 系统之间相互建立一个连接或者在给定的连接上给一个特定的系统发送一个特定的数据项。

（２） 安全策略 策略是关于如何实现安全属性的大纲。策略描述了对系统中实体

和行为的约束。策略可表示为一系列的规则，以表明哪些用户具有访问某个

客体的权限，也可以用于说明在不同的 系统域之间进行交互时应遵守的规则。

（３）

执行单元 策略执行单元也称策略实施点，它截获访问者发出的对某一目标的访问请示，对请求进行处理，根据用户信息，操作请求和目标形成决策请求，发给决策点。

（４）

决策单元 访问控制决策单元也称策略决策点，它是一个判断逻辑，如访问控制代码中的判断函数，根据策略规则对决策请求进行判断，并将是否允许访问系统的决策结果返给策略执行点。

2． 安全策略的限制性原则体现在哪些方面？ 答：安全策略的限制性原则体现在以下方面：

（１） 实施最小权限 （２） 自动防护缺省原则 （３） 完全仲裁原则 （４） 最小公共机制原则 （５） 保密原则

3． 自主访问控制使用哪几类机制？各有何优缺点？ 答：实现自主访问控制的主要机制有： 访问控制列表

访问控制列表具有实施简单的优点，但也存在一定的局限性：1）不

能直接实现(用户，程序，文件)控制三元组；２）不能很好地表达变化着的状态，难以管

理有状态的访问规则；３）访问规则的撤消不便；４）无法满足Web应用这样的新兴分布系统的安全需求。 访问控制矩阵 相对于访问控制列表，能力机制的一个优点是：１）实时安全检查更加有效；２）可以方便地进行授权。

访问控制矩阵的缺点是不能处理大规模应用系统的内部访问控制要求。

授权证书 优点是可以更有效地实现大规模网络中分布式资源的管理和共享，但技术仍不是很成熟。

4． 简述BLP模型和Biba模型的异同点。

答：BLP模型和Biba模型的共同点是，它们都是强制存取控制（MAC）模型，形式化地定义了系统状态及状态间的转换规则。在自主控制的基础上，防止信息在不同层级间进行非授权的读写。

不同点在于，BLP模型是机密性模型，目的是防止低等级的主体读取高等级的客体；Biba模型是完整性模型，目的是防止低等级主体向高完整性等级的客体写入信息。 5． 信息流分析的目的和原理是什么？

答：开放问题。研究信息流动的方向和后果，验证安全策略的有效性。

6． 给定安全等级绝密、秘密、敏感和无级别，以及类别A、B和C，指出在下列各种

情况下，允许哪些类型的访问（读、写、两者皆有或皆无）。假定不考虑自主访问控制的影响.

甲，安全许可为（绝密，{A，C}），想要访问密级为（机密，{B，C}）的文件； 乙，安全许可为（敏感，{A，C}），想要访问密级为（敏感，{B }）的文件； 丙，安全许可为（秘密，{C}），想要访问密级为（敏感，{C}）的文件； 丁，安全许可为（绝密，{A，C}），想要访问密级为（敏感，{A}）的文件； 戊，安全许可为无级别，想要访问密级为（敏感，{B}）的文件。 答：（1）对甲，不允许读写； （2）对乙，不允许读写； （3）对丙，允许读，不允许写； （4）对丁，允许读，不允许写；

（５）对戊，允许写，不允许读。

7． 根据对应的主体和客体完整性等级表，说明这些表所设立的安全许可和完整性等级

可以满足Lipner 提出的数据完整性需求。 答：略。

8． 多级安全系统的困难性表现在哪些方面？

答：开放问题。从技术（例如隐通道问题）、管理、成本、使用等方面考虑。 9． 长城模型的访问规则是什么？

答：长城模型将相互竞争的公司的数据进行分割存放。一个数据集是一个(COI ，CD )二元组，其中COI代表具有若干相互竞争的公司的数据集，CD代表某家公司的客体数据。长城模型假设每个客体只属于某一个COI类，并且定义COI(O)表示包含客体O的COI类，CD(O)表示包含客体O的公司数据集。其访问规则包括：

（1）.简单安全条件：主体S可以读取客体O，当且仅当以下任一条件为真：1) 存在一个S访问过的客体O’，使得CD(O)=CD(O’)；2) 令 PR(S)代表S曾经读取过的客体集合,对于任意的O’，O’属于PR(S),则有COI(O’)不等于COI(O)；

（２）. *-属性：S可以写O，当且仅当以下两个条件为真：1）主体S可以读客体O；2）对于任意的有害数据O’，S能读取O’，则有CD(O)=CD(O’) 。

10． 长城模型有什么特点？

答：（１）长城模型是一个多边安全系统，用于处理利益冲突。

（２）访问规则主要通过组织的管理规则和过程实现，而不是底层的计算机程序自动完成。 （3）采取保密性和完整性兼顾的策略。 （４）为访问条件加入了时间属性。

（５）初始时主体可访问的CD 并不固定。

11． BMA模型如何能够保证个人隐私信息不会被泄露？

答：BMA模型可以对数据的利用、再加工、发布和交流实施管理，并且建立审计跟踪机制。BMA模型由数据客体本身决定是否容许某些特定的人是否可以阅读、添加、创建和删除。这是通过以下机制完成的：

(1) 为记录阅读、添加、创建和删除制定一系列规则 (2) 视图机制

(3) 对抗trackers攻击 (4) 依赖于值的控制。

12． 针对Trackers攻击的控制技术主要有哪几种？ 答：针对Trackers攻击的控制技术主要有: （1）规定查询记录的最小数量； （2）限制可查询的属性个数；

（3）限制对小粒度记录集合的查询；

（4）拒绝某些特定的查询序列。

13． 与其他主要模型相比，基于角色的访问控制模型有何优势？

答：（1）可对数量巨大、高度分散的雇员、应用及其关联关系进行有效管理。 （２）可与DAC，MAC模型共存。

（３）可在应用层上实现，并直接支持最小特权策略。

（４）能够以简单的方式向最终用户提供语义更为丰富、得到完整控制的存取功能。

第7章 应用安全协议

1． 在应用层提供安全服务的原因和优势是什么？ 答：在应用层提供安全服务是为了：

(1) 满足只对特定应用有意义的安全需求，例如对应用内部资源的访问控制或非否认； (2) 保护应用层协议内的某些字段，例如，金融交易中的PIN字段； (3) 保护需经过多个终端系统的信息，例如，应用层的存储－转发； (4) 提供端系统及保护，使应用无需依赖于特定的下层协议。

应用层提供安全服务的优势是：应用层是唯一一个可以实现OSI所规定的安全服务的协议层次。

2． 如何理解应用安全协议的完整性服务？它有哪些实现手段？

答：应用安全协议的完整性服务要求保护系统以防止未授权的改变、删除或替代。完整性机制包括：加密、签名、测试字、封装、检测和警告等。 3． 为防止传递过程的非否认，应采取哪些措施？ 答：为防止传递过程的非否认，应采取的措施有：

(1) 可信第三方令牌 (2) 数字签名 (3) 新鲜性证据

(4) 渐进传递与报告 (5) 第三方传递代理

(6) 非否认机制的联合使用．

4． 列出ASW协议安全关联、安全变换和安全交换各部分的内容。 答：根据相关定义和ASW协议描述进行分解列出。

5． 分析ASW协议是如何实现完整性和非否认性服务的。 答：ASW协议使用了多种完整性和非否认机制，主要包有：

(1) 渐进传递与报告中的两阶段传递

(2) 作为补救措施，协议也使用了第三方传递代理机制。 (3) 综合使用数字签名和随机数机制。 6． 简述OSI应用协议模型的主要内容。

答：ISO/IEC10745提供了高层安全协议的通用构建工具和协议组件的模型，根据该模型，为实现应用层安全，协议需要提供系统安全组件和安全通信组件。协议各部分之间的关系如下图所示：

待保护的用户数据协议项 待保护的用户数据协议项 系统组件 通信组件 通信组件 系统组件 7． OSI高层安全模型提出了哪些主要安全概念？各概念的含义是什么？ 答：（１）安全关联 （２）安全变换 合。

（３）安全交换 息。

两个（或多个）系统之间共同维护着一些规则、状态信息（实体

ＩＤ，选用的算法、密钥、其他参数）等属性。

填充、加密、签名、完整性校验值和完整性序列号等的各种变体和组在安全机制的直接支持下，两个系统间传输一系列与安全相关的信

安全机制协议数据项 安全机制协议数据项 8． 安全交换规范包括哪些部分？ 答：一个安全交换规范应包括几方面的内容，如要交换的信息项的数据类型、交换目的、交换进行过程以及相关的错误指示，具体为：

(1) 说明要交换的信息项的数据类型。要交换的信息项的数据类型可以由前述的选

择字段保护表示法进行描述。 (2) 说明进行到交换的哪个阶段，在哪个方向，应该传输什么信息；

(3) 在什么情况下可认定发生了错误，发生错误时向对方发出的错误指示是什么类

型。

(4) 安全交换的全局唯一的标识符 例如，协议中的消息项中包含的序列号、新鲜的随机数等可作为本次安全交换的全局唯一的标识符。 (5) 安全交换的目的和结果的含义。

9． 安全交换服务元素有何作用？如何定义和使用？

答：在关联建立时，安全交换服务元素（SESE，ISO/IEC11588）可用于单向或双向认证信息交换。基于ISO/IEC11588标准，安全交换服务元素可用于描述协议数据项的一般形式。

10． 简述GULS标准中发方构造保护性传输语法的过程。 答：GULS标准中发方构造保护性传输语法的过程如下图所示：

未保护数据项 受保护参数* 参数编码过程# 初始编码处理# 不受保护参数* 变换ID* 安全关联ID* 安全变换的编码过程 ASN.1 值 * 如果有 # 过程合并 构造并编码保护性传输语法ASN.1 值 传输比特流 11． 使用通用高层安全标准表示法如何表示一个安全变换？其优势是什么？

答：通用高层安全（Generic Upper Layer Security， GULS）标准用于定义通用安全协议构建工具（ISO/IEC11586），它不限定具体的安全变换，而是使用PROTECTED作为通用安全结构。

PROTECTED通用安全结构有两个参数：第一个参数说明要保护的数据的基本类型。例如，在“PROTECTED{ PrintableString, confidentiality}”中，第一个参数指出，要保护的数据是“PrintableString”类型的；第二个参数是保护标志，说明需要对第一个参数进行何种保护。例如上述结构中的第二个参数是“confidentiality”，用于说明其需要机密性保护。

与目录认证服务框架一样，PROTECTED通用安全结构也可以组合使用，并可以相互嵌套。

第8章 事务处理

1． 举例说明事务应该具有的安全性质。

答：标准事务应满足以下特性（举例略）：

(1) 原子性 事务是系统的逻辑工作单位，事务中包括的诸操作要么都做，要么

都不做； (2) 一致性

状态； (3) 隔离性

一个事务的执行不能被其他事务干扰，即一个事务内部的操作及使用

的数据对其他并发事务是隔离的；

(4) 持续性 一个事务一旦提交，它对系统中数据的改变就应该是永久性的。接下

来的其他操作或故障不应该对其执行结果有任何影响。 2． 简述Clark-Wilson 模型的主要内容。

答：Clark-Wilson 模型是一个完整性模型，其主要内容有：

(1) 信息处理资源通常表述为变换过程(TP)，TP由一个顺序执行的操作序列组成，操

作具有形如(OPMODEL，CDI)这样的二元结构形式，以表明变换过程是以何种模式来存取某一受控数据项值的。 (2) 为满足数据客体和事务过程的完整性需求，TP要具有把系统数据从一个一致状态

带到下一个一致状态的良构特性。 (3) Clark-Wilson 模型定义了系统的完整性验证过程，以验证系统中的所有的受控数

据项CDI是否都处于一致状态。 (4) Clark-Wilson 模型要求一个用户（User）至少也至多只能属于AuthUser、ExecUser

和SysUser之一，以实现职责隔离。 (5) 通过授权用户可以执行哪些程序来约束用户。

(6) 一个变换过程的执行动作必须和一个用户身份相关联，并且使用三元组集合(user，TP ，｛CDIs｝)来刻画允许执行的过程授权关系。

(7) 根据Clark-Wilson 模型，所有的TP必须记录完备的信息记入日志。 3． 分布式事务处理模型主要包括哪些部分？各部分的关系是怎样的?

答： X/Open 分布式事务处理标准模型的各个部分及其关系如下图所示：

(1) RM： 负责单个资源，可实现为数据库服务器(DBMS)，执行事务具体的操作工作。

(2) XA接口： 事务处理系统与数据库服务器的事务管理接口，通过这一接口执行全

局意义的原子资源操作。 (3) XATMI交易监控接口 基于X/Open API，可将复杂的事务管理（如两阶段提交和异

构资源管理）封装为基于标准的XATMI，提供功能强大、易于使用的TP基础架构 (4) TMS事务管理服务器 可协调所有操作和受影响的所有模块，在全局同时处理位于

一个或多个数据库中的事务，控制资源操作，维护分布式事务的原子性。

事务执行的结果必须是使系统从一个一致性状态变到另一个一致性

应用服务器 SQL XAXATMI 资源管理器 RM 事务管理器TMS XATMI 客 户 机

4． 如何通过两阶段提交协议实现事务的原子性？

答：为实现事务的原子性，通过两阶段提交协议进行事务提交的具体步骤是：

(1) 应用程序发起提交请求；

(2) TMS 向本事务相关的各RM发送预提交消息； (3) RM进行预提交，即进行一个可恢复的更改；

(4) 每个RM发送一个响应给TMS，通知预提交是否成功。

(5) 如果有一个预提交不成功或一个RM 超时， TMS通知所有的RM撤销其本地事务。 (6) 否则，TMS记事务日志 (TLOG)，日志记录跟踪事务中参与方的行为，日志内容包

括GTRID 和参与事务的所有RM组列表。 (7) TMS 令下层RM提交其事务

(8) RM成功提交时返回控制权。

(9) 如果出现某个RM不能完成第二阶段提交的情形时， TMS会根据TLOG中的信息来进行重试，或者可以进行人为干预。 (10)当所有RM成功提交时返回控制权。 5． 事务的并发执行会引起哪些问题？

答：事务的并发执行会引起以下类型的问题： (1) 丢失更新 (2) 脏读

(3) 不可重复读 (4) 幻影

(5) 不可串行化。

6． 隔离级别的选择与数据库操作的哪些行为相关？

答：用户对于隔离级别的选择决定了数据库操作中容许哪些类型的并发问题是被允许的。为选择合适的隔离级别，用户需要能够在锁定多少数据和持有多长时间的锁之间进行适当权衡并且选择是否允许用户访问以前版本的数据。 7． 数据库锁的模式包括哪些种？

答：数据库锁的基本模式包括共享锁、排他锁、更新锁以及意向锁，在这些模式的基础上进行组合形成更复杂的模式。再加上这些类型的一些变种。

8． 简述数据库锁可能具有的粒度和所有者。

答：数据库锁可能具有的粒度可以是行、分页、整张表、索引以及一定范围内的索引、数据库和应用程序。其所有者可以是进程和用户等。

9． 应用程序级锁有哪些特点？ 答：应用程序级锁有以下特点：

(1) 使用应用程序级锁，用户能够利用数据库系统提供的检测阻塞和死锁情况的机制。 (2) 用户可以选择锁定住任何想要锁住的东西。 (3) 应用程序级锁必须进行显式的申请。

10． 结合实际，举出职责分离和过程授权的实例（分别不低于2个）。 答：略。

11． 结合会计处理规则，描述出一个账务系统中主要的一致性关系。 答：一个账务系统中主要的一致性关系包括：

(1) 柜员当日办理的所有参加平衡的流水账借贷发生额轧差是否为零 (2) 柜员、网点实物与钱箱登记是否相符

(3) 网点当日现金科目发生数与非现金科目的现金事务发生数是否相符 (4) 柜员之间各登记簿勾对平衡 (5) 资产负债平衡

(6) 总账自身、明细账自身、总账与明细账之间平衡 (7) 内部明细账同相关登记薄之间的平衡

(8) 满足科目勾稽关系 12． 在一个银行业务系统中，通常有哪些一致性检查过程？

答：在一个银行业务系统中，通常有以下的一致性检查过程： 操作员轧账一般分为账务平衡检查、账实检查、日终打印三步 网点轧账检查主要包括检查营业网点办理事务的复核情况、检查营业网点所辖柜员轧账情况、检查柜员各登记簿之间勾对情况、检查机构账实相符情况等。 主机日终轧账包括必要的结账和资金清算工作以及其后进行的：1）试算平衡；2）对账；3）资产负债平衡审查；4）总账自身、明细账自身、总账与明细账之间平衡关系检查；5）登记簿核对关系检查；6）科目勾稽关系检查；7）账务连续性检查等。

13． 金融业务系统运行过程中，通常会产生哪几类日志记录？其目的分别是什么？ 答：（１）数据库日志 进行交易备份和远程交易备份； （2）流水账

用于日终处理；

（3）业务凭证 用于达到系统的非否认性。 14． 日志完整性的保护要求有哪些？

答：日志完整性的保护要求主要有可信性和可用性。可信性用于保证审计记录不被非法修改。可用性用于保护系统日志不被人为破坏或遭到自然毁损。

第9章 形式化方法的应用

1． 形式化语言使用那些理论成分描述系统对象及其运行规律？

答：形式化语言使用命题逻辑，谓词逻辑、等价、集合、关系、函数、序列等表达系统中的部件及其运动规律。

2． Z语言中的模式在系统规范中起到什么作用？其组合方式有哪几种？各有何作用？ 答：模式以一种受限的方式引入变量，可作为类型、声明和谓词等使用，并且可以直接描述系统状态、操作和公理。

模式也可进行合取、析取、否定、顺序组合等操作，以对系统的各个方面、各种操作结果进行组合，从而能够精确地表达一个复杂的系统。

各种组合方式有其特殊的功能，以模式析取方式为例，它可将描述操作成功情形的部分操作和各种错误进行组合，以全面描述系统在各种情形下的行为。

3． 一个安全系统规范应包括哪些组成部分？各部分的关系如何？

答：一个安全系统规范应包括状态规范、操作规范、安全不变量、安全约束等。各部分关系如下图所示。

状态0 状态n 状态n+1 安全不变量 安全约束 4． 安全不变量和安全约束的作用是什么？它们之间有何联系？

答：安全不变量表示系统状态所应具有的性质，安全约束用于表示系统操作和行为所应满足的条件。

安全不变量和安全约束之间的联系是：

（1）它们都是用数学语言表示的，以便于演绎和预测系统。

（2）安全不变量使用状态变量来定义，安全约束使用状态变量的前后变化情况来定义。 5． 计算前置条件时应考虑哪些要素？ 答：应考虑前状态、后状态、渭词条件等。 6． 试写出与ReqPurseOkay相对应的Val操作规范。 答： 略。

7． 阶跃的作用是什么？

答： 使用阶跃技术可将一个局部操作映射到全局中去。假设有一个局部状态、全局状态，包含前后局部状态的本地操作模式，阶跃模式将本地操作阶跃为作用在全局状态的操作。

8． 根据向后求精规则，证明抽象系统到中间系统的正确性。

答： 略。

9． Circus中的进程概念与Z语言操作模式有哪些关系？ 答：进程将描述数据和控制行为的结构组织在一起。每个进程都代表了一个状态组件集进行声明的一个模式和对这些组件进行操作的一组动作。Circus中的动作可以是一个Z模式表达式、CSP中的动作、守护命令或是状态赋值语句。

10． Circus引入了哪些强制式程序结构？各起什么作用？

答：程序、进程、数据和动作、时序序列化、外部条件选择、并行等，以进一步描述系统行为，有利于设计和实现。

第10章 构建有安全保障的应用系统

1． 安全需求导出的方法是什么？

答：（１）建立有权威性的项目决策组织；

（２）检查业务流程、应用环境、各种敏感信息和所面临的攻击类型； （3）进行失败模式和影响分析； （４）专家分析； （５）使用头脑风暴法。

2． 在进行失败模式和影响分析时，所采取的方法和工具有哪些？ 答：（1）缺陷树；

（2）先从危害结果出发，向后递归找出前置条件； （３）结合使用自顶向下和自底向上的方法。

3． CC标准中描述特定TOE安全需求的ST文件主要包括哪些部分？ 答：ST文件主要由以下几个部分组成：

? ? ?

引言 说明ST标识、ST概述、CC一致性声明。 TOE描述 说明待评估产品类型和可能的用途。

TOE安全环境 说明TOE使用的上下文、各种假设、所面临的各类威胁、组织性

安全策略，并包括所有相关的法规、组织性安全策略、习惯、专门技术和知识

? 安全目的 说明TOE及其运行环境所要达到的安全目标。 ? 安全需求 将安全目的细化为一系列TOE及其环境的安全功能需求和保证要求，一旦这些要求得到满足，就可以保证TOE达到它的安全目的。

? TOE概要规范 定义TOE安全要求的实现方法，提供分别满足功能需求和保证需求的安全措施。

? PP引用声明 该部分需要陈述ST与PP间需求的一致性、ST中对PP需求的进一步限定、ST在PP基础上的需求扩展等问题。

? 基本原理。 ST文件中的基本原理部分由满足性分析部分组成。 4． 简述DISSP系统安全框架的主要内容。 答：DISSP规划由一个把安全需求转换成安全机制、协议层和系统部件的三维矩阵组成，其中安全机制维基于ISO7489-2标准的有关安全机制的描述，并且定义了物理、过程、人员方面的安全机制。

Y OSI 层 体 主 层 作 操 层 用 应 层 示 表 层 话 会 层 输 传 层 络 网 层 路 链 层 理 物 物理过保可识访程密审别问和性 计与控性 认制 人员安全 端系统 接口 网络 安全管理 维 件 部 统 系 Z 5． 在进行系统构建时，如何将安全机制分布到系统的不同层次和组件中？ 答：将安全机制分布到系统的不同层次时，需要注意的是：

（１） OSI开放系统安全框架标准说明了OSI 参考模型中各个层次应提供哪些安全服

务。 （２） 可以在不同的层次上和在不同的应用方案中来实现同一个安全服务，以确保系

统不会出现单点脆弱性。 （３） 应该把安全措施尽量部署在系统的最底层。 将安全机制落实到各个系统环节上时，其映射过程是： （１） 首先，确定出X轴上的安全需求；

（２） 然后，从Y轴的底层逐渐展开选择、设计和实施，根据一定的规则和要求确定在

系统的哪些层次上实施安全需求； （３） 最后，确定用于实现安全需求的措施，将相应的安全机制影射到Z轴的系统部件

的各个环节上。 6． 简述安全服务器的逻辑构造。

答：安全服务器是应用程序之下的一个平台，具有标准的接口，为应用程序提供广泛的安全服务，它可由如图所示的逻辑部件构成：

(1) 基础模块是安全服务器的最底层，用于实现各种安全机制。 (2) 安全机制层通过提供一系列函数，对基础模块进行封装。

(3) 安全代理与安全协议层是一些系统逻辑部件，各自完成特定任务，相互配合完成

全局安全系统的职能。 (4) 安全服务层可以将安全机制以适当的组合和按一定的次序提供给用户，以抵御安

全攻击、提高机构的数据处理系统安全和信息传输安全的服务。通过设置专门的安全服务器和IC卡等硬件模块，实现对PIN、口令、证书、密钥等敏感信息的保护。

X 安全机制维 证 非可质互防完否用量操火整认性 保作墙性 性 证 性 机制 (5) 最上层的安全管理层由安全管理、安全使用工具等组成。

(6) 安全信息库是系统的核心部件，存放着使安全服务器正常运行所需的一切控制信

息和参数。

安全管理 安全协议 安全代理 安 全 信 息 库 安全服务 安全机制 基础模块

7． 安全管理基础设施有哪些类型？它们具有哪些功能？ 答：系统中主要的安全管理基础设施类型包括： ? ? ? ? ?

访问控制管理 密钥和证书管理 积累安全审计追踪 安全预警报告 配置管理

? 远程监视

安全管理基础设施可完成如下功能：

? 给决策点分配所需要的信息，包括分配正确决策所需的信息和撤销以前所分配信

息的通知； ?

积累用于各种目的信息。例如，业务建档信息、审计信息和告警信息

? 操作功能，包括安全操作和例程的激活和释放。

8． 可用性包含了稳定性、可靠性方面的要求，在一个大型系统中，应从哪些方面提高系统的稳定性和可靠性？

答：在一个大型系统中，应从以下方面提高系统的稳定性和可靠性： (1) 确保足够的主机处理能力； (2) 提高网络配置和使用效率； (3) 采用先进的系统程序结构； (4) 优化应用程序；

(5) 各类设备必须提供先进的技术，高的MTBF（平均无故障时间）、低的MTTR（平均故障修复时间）、自动故障检测、故障恢复和切换功能；

(6) 电源、主机、操作系统、中间件、数据库系统和应用系统提供备份和容错机制。 9． 安全设计文档中应包括哪些内容？

答：为了进行安全分析，一般地，一个安全设计文档应至少包括安全函数、外部接口和内部设计三方面的内容： (1) 安全函数 对实现系统安全的各类型函数的高层说明，例如密码产生、验证函数

等。

(2) 外部接口 包括接口的参数、语法、安全限制和错误情况的描述。

(3) 内部设计 开发者可以据此来编写实现模块 10． 为编写出安全的代码，应在系统开发过程中主要哪些问题？ 答：在编写安全代码的过程中，应注意以下几点：

(1) 有些语言的固有属性对于安全的实现有很好的支持，使用这些语言可以避免一些通常的缺陷。

(2) 使用强类型、具有越界检查的、模块化的、具有分段和分段保护的、具有垃圾回收和错误处理机制的编程语言所实现的系统是更可信的，更有安全保障。 (3) 使用C语言实现的系统，其可靠性是有限的。 (4) 在编码阶段限制使用低级的编程语言。

(5) 使用良好的编程规范可以弥补语言在安全方面的一些不足。 11．

根据测试范围不同，安全测试可分为哪几类？

答：安全产品的测试一般分为以下几种类型： (1) 模块测试 具体包括正常数据测试、边界数据测试、异常测试和随机数据测试。 (2) 组合模块的测试 需要考虑一个模块的功能要依赖调用其他模块的情况。 (3) 整体测试 检验程序是否满足整体的业务需求，包括安装、配置和测试主机、系统软件、应用软件、网络通讯设备等等。

(4) 可靠性测试 与整体测试不同的一点是，为获取可靠数据，需要进行压力测试。 12． 为达到业务系统的平稳过渡，需要注意哪几方面的内容？ 答：为确保系统切换过程不给社会造成过大的震动，保障客户利益不受较大的损失，需要设计上线需要的处理方式、数据结构、业务功能，规定如何才能以安全的方式安装、配置、运行和终止系统。

(1) 为完成系统切换，首先要求整理现有运行环境，收集各项信息数据，编写数据过渡

模块。

(2) 确保生产程序的正确性和合法性。

(3) 对采取的媒体和安装过程进行严格的控制，对转换结果进行检查。 (4) 提供、培训运行安全指南，准备相关的凭证、进行必要的宣传等。

(5) 逐步调整管理模式和经营模式，制定配套的业务规程和管理制度

(6) 建立系统支持团队，密切关注系统的运行状况，进行预防性、诊断或改正的维护过

程，对进一步修改、完善的意见进行确认。

第11章 系统运营中的风险管理

1. 针对雇员的内控例程有哪些？它们分别可起到什么作用？

答：（１）建立安全组织机构 安全组织机构是实施安全管理的主体和责任人 （２）安全人事管理 包括聘用管理、激励约束机制、安全技能培训、安全意识教育、 风险文化培育等内容，可有效地预防各种案件和事故的发生。 （３）制定详细的操作规程 针对系统运行过程中不同的安全岗位，制定处理系统运行、失败和错误的政策和程序问题，避免引起严重的安全后果。 2. 当处理一个安全相关的事件时，一般需要经过哪些过程？ 答：安全事件的处理一般包括以下几个阶段：

(1) 受理

系。 (2) 调派 (3) 行动

用户应可以使用Web、电话、电子邮件等多种接口与服务中心取得联 根据技术的商业用途，对事件数据给予某种区别对待 阻断攻击，并且评估、修复由攻击造成的任何损害。

(4) 报告 根据监管要求和组织策略，通报事件描述、攻击手段或漏洞、事件处

理过程和结果、采取的措施和建议。

3. 内部安全恢复有哪些形式？各适用于何种场合？

答：内部安全恢复可以采取热修复或常规修复的办法。热修复是指即时修改非常严重的错误，然后将修正版本发布。热修复虽然能够立即产生效果，但是可能对系统的安全性带来一定的影响。常规修复解决不是十分严重的错误，一般都是累积到一定程度才发行出去。

4. 为避免系统混乱及引入新的隐患，在内部安全恢复过程中应采取哪些安全措施？ 答：为避免系统混乱及引入新的隐患，在内部安全恢复过程中应采取的安全措施有：

(1) 专门指定的应用软件维护人员处理运行过程中出现的问题。修复错误所采取的

措施应该和最初系统设计采用同样的安全流程 (2) 对优化后或新增投入生产的软件进行测试，并通过安全可信的渠道对这些软件

进行分发和安装，整个恢复过程必须得到严格的监控和记录，恢复完成后必须进行安全审核。 (3) 对于系统供应商或服务商进行的远程在线诊断和调试必须有严格的管理规程。 5. 灾难备份策略有哪几种？各有何特点？

答：灾难备份策略的种类及其主要特点如下表所示： 级别 特点 优缺点 0级： 无异地备份 按一定的时间间隔将系统数据备份到本地的磁带等介质上；没制定灾难恢复计划。 将关键数据备份到本地, 后送异地保存,但异地无可用的备份中心。 适用场合 可直接使用操作系统和数据库管理系统提供的定期备份工具，投资少； 最基本的容灾方发生灾难时，会产生大量的孤立数据，数据恢复时间较长 关键数据可实时备份，减少孤立数据，可使用数据库管理本身的支持工具进行连续备份和0级备份； 数据恢复的时间仍然较长；有时仍需要依靠纸质凭证或其他介质来恢案的基础，个人用户广泛采用。 作为异地容灾的手段, 此方案在许多中小网站和中小企业中采用较多。 1级： 实现异地备份

复孤立数据 2级： 热备份站点备份 备份关键数据并由运输工具存放到异地，制定相应的灾难恢复计划，在异地有热备份中心。 通过网络将关键数据备份并存放到外地，制定相应的灾难恢复计划，有热备份中心， 在3级方案基础上，用备份管理软件自动备份中心数据组织形式与运行系统相同，因而恢复时间将缩短很多； 备份中心数据组织形式与运行系统相同，因而恢复时间将缩短很多； 需要数据备份的主机或后备运行主机，因而投资较大。 备份站点要保持持续运行，对网络要求较高，成本有所增加，并可能导致一定的通信费用支出 灾难发生后可能会有几天甚至几周有数据丢失，故不能用于关键数据的容灾。 灾难恢复程度和速度要求较高的场合。 灾难恢复程度和速度进一步提供，但尚不能满足关键行业对关键数据容灾的要求。 既能保证当前交易正常进行，又能实时复制交易的数据到异地,是目前应用最广泛的方案。 投资大，适合资金实力雄厚的大型企业和电信企业,目前采用此方案的用户不多。 3级： 在线数据恢复 4级： 定时数据备份 通过网络将部分关键对备份管理软件和网络要求较高，数据定时备份到异导致成本增加 地，并制定相应的灾难恢复计划。 数据更新操作在被记录时，立即通过数据通信线路对备份系统的数据影像拷贝进行更新。 关键应用使用双重在线存储，减少了数据的丢失量，降低了业务的恢复时间； 投资和运行费用较高，需要复杂的技术和管理 孤立数据极少，备份系统处于热备份，因此灾难发生后的恢复时间极短； 投资和运行费用高；对运行系统的性能可能会有一定的影响，并且一般只限于同城范围； 5级： 实时数据备份 6级： 零数据丢失 在确认备份系统完成数据更新操作之后，运行系统才完成本地操作。

6. 实时备份同步更新和实时备份异步更新的区别是什么？

答：（１）在实时备份同步更新技术中，可确保源卷和目的卷的数据完全一致性，或者是两边数据库服务器的数据一致，但由此而产生的时间延迟会使性能受到一定的影响。 （２）在实时备份异步更新技术中，只要本地磁盘更新成功就可以向主机返回“写成功”的信号或者是只要逻辑日志缓冲区的数据拷贝到数据复制缓冲区之后就可以进行刷新了。数据丢失量很少且能保证当前交易正常进行。 7. 简述成本－效益分析的原理。

答：发生灾难后银行受到的总损耗为灾难备份策略投资成本与业务停顿损失之和，保证总损耗最小，成本－效益分析要求合理投资，以使得总损耗达到最低点。

8. 应如何选择灾难恢复层次？

答：选择灾难恢复层次，应执行以下过程：

(1) 需要按照一定的顺序，询问一系列与商业灾备需求相关的问题

(2) 基于风险评估、商业影响、IT基础架构、可量化和不可量化损失的综合考虑，

得出各业务流程由于灾难受损的可容忍程度及损失的决策依据。

(3) 进行成本－效益分析

(4) 确定灾备方案的基本环境、基础构件，为其制订恢复程度、恢复速度指标。 9. 安全警报报告中，警报原因的可能的组合值包括哪些种？ 答：安全警报报告中，警报原因的可能的组合值如下表所示： 警报类型 完整性破坏 事件类型 未授权的修改、插入或删除数据的事件 违规操作 物理侵入 安全服务或机制的侵犯 不能获得的信息、违法行为或一些服务的不正确调用 对物理资源有可疑攻击 安全警报原因 复制信息、信息的丢失、信息修改的检测、顺序混乱的信息和不希望的信息 拒绝服务、超出服务、过程出错和未陈述原因 损害电缆、入侵检测和未陈述原因 一个安全服务或机制检认证失败、破坏机密性、测到潜在的攻击 非否认的失败、为授权的访问在不希望的或禁止的时间里发生某些事 企图和未陈述原因 时间区域的侵犯 10. 审计日志的内容和作用是什么？

答：审计日志是记录的事件或统计数据。审计日志的内容应该设计成有助于理解在突发事件期间出现了什么，并探测出趋势和可能发生的变化。信息可能有多个层次的视角。因此，审计日志也可以具有不同的层次。系统的安全策略可以决定对什么样的事件开启审计，对一般安全事件，日志须包含事件所涉及的主体和客体、时间、事件的结果（成功、失败、违法、报警等）。

审计日志所记录的事件或统计数据能提供关于系统使用及性能方面的信息，这种结果数据可以直接发挥作用，或者记录在案供以后分析和进一步采取行动。审计信息可以保存为日志供审计人员进行手工审计。 11. 为实现信息风险的实时处理，应采取哪些措施？请考察相关系统和工具的当前发展趋势。 答： 略。

本文来源：https://www.bwwdw.com/article/s6jp.html