5.了解五层网络安全体系中各层安全性的含义。 1.网络层的安全性 核心问题在于网络是否得到控制,即是否任何一个IP地址来源的用户都能进入网络 用于解决网络层安全性问题的产品主要有防火墙和VPN(虚拟专用网)。防火墙的主 要目的在于判断来源IP,将危险或未经授权的IP数据拒之于系统之外。VPN主要解决的 是数据传输的安全问题,其目的在于保证公司内部的敏感关键数据能够安全地借助公共网 络进行频繁地交换 2.系统的安全性 病毒对于网络的威胁:病毒的主要传播途径已经变成了网络,电子邮件、小应用程序 控件、文档文件都能传播病毒。 黑客对于网络的破坏和入侵:主要目的在于窃取数据和非法修改系统。其手段之一是 窃取合法用户的口令,手段之二是利用网络OS的某些合法但不为系统管理员和合法用户 所熟知的操作指令,很多这些指令都有安全漏洞。 3.用户的安全性 首先应该对用户进行针对安全性的分组管理;其次应该考虑的是强有力的身份认证, 确保用户的密码不被他人猜测到 用户只要输入一个密码,系统就能自动识别用户的安全级别,从而使用户进入不同的 应用层次。这种单点登录体系( Single- Sign on,SSO)要比多重登录体系能够提供更大的 系统安全性。 4.应用程序的安全性 是否只有合法的用户才能够对特定的数据进行合法的操作? 是应用程序对数据的合法权限,二是应用程序对用户的合法权限 5.数据的安全性 机密数据是否还处于机密状态?(加密处理) 上述的五层安全体系并非孤立分散。(类比) 6.解释六层网络安全体系中各层安全性的含义。 1.物理安全 防止物理通路的损坏、窃听和攻击(干扰等),保证物理安全是整个网络安全的前提, 包括环境安全、设备安全和媒体安全三个方面。 2.链路安全 保证通过网络链路传送的数据不被窃听,主要针对公用信道的传输安全。在公共链路 上采用一定的安全手段可以保证信息传输的安全,对抗通信链路上的窃听、篡改、重放、 流量分析等攻击。 3.网络级安全 需要从网络架构(路由正确)、网络访问控制(防火墙、安全网关、VPN)、漏泂扫描 网络监控与入侵检测等多方面加以保证,形成主动性的网络防御体系。 信息安全 包括信息传输安全(完整性、机密性、不可抵赖和可用性等)、信息存储安全(数据备 份和恢复、数据访问控制措施、防病毒)和信息(内容)审计。 5.应用安全 包括应用平台(OS、数据库服务器、Web服务器)的安全、应用程序的安全。 6.用户安全
11 5. 了解五层网络安全体系中各层安全性的含义。 1. 网络层的安全性 核心问题在于网络是否得到控制,即是否任何一个 IP 地址来源的用户都能进入网络。 用于解决网络层安全性问题的产品主要有防火墙和 VPN(虚拟专用网)。防火墙的主 要目的在于判断来源 IP,将危险或未经授权的 IP 数据拒之于系统之外。VPN 主要解决的 是数据传输的安全问题,其目的在于保证公司内部的敏感关键数据能够安全地借助公共网 络进行频繁地交换。 2. 系统的安全性 病毒对于网络的威胁:病毒的主要传播途径已经变成了网络,电子邮件、小应用程序、 控件、文档文件都能传播病毒。 黑客对于网络的破坏和入侵:主要目的在于窃取数据和非法修改系统。其手段之一是 窃取合法用户的口令,手段之二是利用网络 OS 的某些合法但不为系统管理员和合法用户 所熟知的操作指令,很多这些指令都有安全漏洞。 3. 用户的安全性 首先应该对用户进行针对安全性的分组管理;其次应该考虑的是强有力的身份认证, 确保用户的密码不被他人猜测到。 用户只要输入一个密码,系统就能自动识别用户的安全级别,从而使用户进入不同的 应用层次。这种单点登录体系(Single-Sign On,SSO)要比多重登录体系能够提供更大的 系统安全性。 4. 应用程序的安全性 是否只有合法的用户才能够对特定的数据进行合法的操作? 一是应用程序对数据的合法权限,二是应用程序对用户的合法权限。 5. 数据的安全性 机密数据是否还处于机密状态?(加密处理) 上述的五层安全体系并非孤立分散。(类比) 6. 解释六层网络安全体系中各层安全性的含义。 1. 物理安全 防止物理通路的损坏、窃听和攻击(干扰等),保证物理安全是整个网络安全的前提, 包括环境安全、设备安全和媒体安全三个方面。 2. 链路安全 保证通过网络链路传送的数据不被窃听,主要针对公用信道的传输安全。在公共链路 上采用一定的安全手段可以保证信息传输的安全,对抗通信链路上的窃听、篡改、重放、 流量分析等攻击。 3. 网络级安全 需要从网络架构(路由正确)、网络访问控制(防火墙、安全网关、VPN)、漏洞扫描、 网络监控与入侵检测等多方面加以保证,形成主动性的网络防御体系。 4. 信息安全 包括信息传输安全(完整性、机密性、不可抵赖和可用性等)、信息存储安全(数据备 份和恢复、数据访问控制措施、防病毒)和信息(内容)审计。 5. 应用安全 包括应用平台(OS、数据库服务器、Web 服务器)的安全、应用程序的安全。 6. 用户安全
用户合法性,即用户的身份认证和访问控制。 7.了解基于六层网络安全体系的网络安全解决方案中各个功能的含义。 (以及表32) 1.物理安全保证 产品保障、运行安全、防电磁辐射和保安。 2.通信链路安全 在局域网内采用划分VLAN来对物理和逻辑网段进行有效的分割和隔离 在远程网内可以用链路加密机解决链路安全问题,也可以用VPN技术在通信链路级构 筑各个校区的安全通道。 3.基于防火墙的网络访问控制体系 实现网络访问控制、代理服务、身份认证。4.基于PKI的身份认证体系 实现增强型的身份认证,并为实现内容完整性和不可抵赖性提供支持。5.漏泂扫描 与安全评估 纠正网络系统的不当配置,保证系统配置与安全策略的一致。 6.分布式入侵检测与病毒防护系统 这两种分布式系统的协调和合作可以实现更有效的防御 7.审计与取证 对流经网络系统的全部信息流进行过滤和分析,有效地对敏感信息进行基于规则的监 控和响应;能够对非法行为进行路由和反路由跟踪,为打击非法活动提供证据。 8.系统级安全 使用安全的或是经过安全增强的OS和数据库,及时填补新发现的漏洞。 9.桌面级安全 关闭不安全的服务,禁止开放一些不常用而又比较敏感的端口,采用防病毒软件和个 人防火墙等 10.应急响应和灾难恢复 良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 8. TCP/IP协议的网络安全体系结构的基础框架是什么? 由于OSI参考模型与TCPP参考模型之间存在对应关系,因此可根据GB/T 93872-1995的安全体系框架,将各种安全机制和安全服务映射到TCPP的协议集中,从 而形成一个基于TCPP协议层次的网络安全体系结构 9. Windows2000 Server属于哪个安全级别,为什么? Windows2000 Server属于C2级。因为它有访问控制、权限控制,可以避免非授权访 问,并通过注册提供对用户事件的跟踪和审计
12 用户合法性,即用户的身份认证和访问控制。 7. 了解基于六层网络安全体系的网络安全解决方案中各个功能的含义。 (以及表3.2) 1. 物理安全保证 产品保障、运行安全、防电磁辐射和保安。 2. 通信链路安全 在局域网内采用划分 VLAN 来对物理和逻辑网段进行有效的分割和隔离; 在远程网内可以用链路加密机解决链路安全问题,也可以用 VPN 技术在通信链路级构 筑各个校区的安全通道。 3. 基于防火墙的网络访问控制体系 实现网络访问控制、代理服务、身份认证。4. 基于 PKI 的身份认证体系 实现增强型的身份认证,并为实现内容完整性和不可抵赖性提供支持。5. 漏洞扫描 与安全评估 纠正网络系统的不当配置,保证系统配置与安全策略的一致。 6. 分布式入侵检测与病毒防护系统 这两种分布式系统的协调和合作可以实现更有效的防御。 7. 审计与取证 对流经网络系统的全部信息流进行过滤和分析,有效地对敏感信息进行基于规则的监 控和响应;能够对非法行为进行路由和反路由跟踪,为打击非法活动提供证据。 8. 系统级安全 使用安全的或是经过安全增强的 OS 和数据库,及时填补新发现的漏洞。 9. 桌面级安全 关闭不安全的服务,禁止开放一些不常用而又比较敏感的端口,采用防病毒软件和个 人防火墙等。 10. 应急响应和灾难恢复 良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 8.TCP/IP 协议的网络安全体系结构的基础框架是什么? 由于 OSI 参考模型与 TCP/IP 参考模型之间存在对应关系,因此可根据 GB/T 9387.2-1995 的安全体系框架,将各种安全机制和安全服务映射到 TCP/IP 的协议集中,从 而形成一个基于 TCP/IP 协议层次的网络安全体系结构。 9.Windows 2000 Server 属于哪个安全级别,为什么? Windows 2000 Server 属于 C2 级。因为它有访问控制、权限控制,可以避免非授权访 问,并通过注册提供对用户事件的跟踪和审计
第四章安全等级与标准 、选择题 1. TCSEC共分为(A)大类(A)级。 A.47 B.3 7 C.4 5 D.4 6 2. CSEC定义的属于D级的系统是不安全的,以下操作系统中属于D级的是(A)。 A.运行非UNX的 Macintosh机B. XENIX C.运行 Linux的PC机 D.UNIX系统 二、问答题 1.橙皮书 TCSEC对安全的各个分类级别的基本含义。 ·D:最低保护,指未加任何实际的安全措施,如DOS被定为D级 ·C:被动的自主访问策略,提供审慎的保护,并为用户的行动和责任提供审计能力。 CI级:具有一定的自主型存取控制(DAC)机制,通过将用户和数据分开达到安全的 目的,如UNIX的 owner/group/other存取控制。 C2级:具有更细分(每一个单独用户)的DAC机制,且引入了审计机制。在连接到网 络上时,C2系统的用户分别对各自的行为负责。C2系统通过登录过程、安全事件和资源 隔离来增强这种控制 B:被动的强制访问策略,B系统具有强制性保护功能,目前很少有OS能够符合B级标 准 BI级:还需具有所用安全策略模型的非形式化描述,实施了强制性存取控制(MAC)。 B2级:基于明确定义的形式化模型,并对系统中所有的主体和客体实施了DAC和MAC B3级:能对系统中所有的主体和客体的访问进行控制,TCB不会被非法篡改,且TCB 设计要小巧且结构化以便于分析和测试其正确性。 A:形式化证明的安全。 A1级:它的特色在于形式化的顶层设计规格FTDS、形式化验证FTDS与形式化模型的 致性和由此带来的更高的可信度。 只能用来衡量单机系统平台的安全级别。 2.了解欧洲 ITSEC对安全理论的发展做出的贡献。 20世纪90年代西欧四国联合提出了信息技术安全评估标准 ISEC,又称欧洲白皮书, 带动了国际计算机安全的评估研究,其应用领域为军队、政府和商业。该标准除了吸收 TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,并将安全 概念分为功能和评估两部分,使可信计算机的概念提升到可信信息技术的高度。 3.了解CC标准的基本内容及它在信息安全标准中的地位。 1993年6月,六国七方共同提出了“信息技术安全评价通用准则”( CC for IT SeC),已 成为国际标准,也是系统安全认证的最权威的标准 CC标准分为三个部分,三者相互依存,缺一不可:简介和一般模型、安全功能要求(技 术要求)、安全保证要求(非技术要求)
13 第四章 安全等级与标准 一、选择题 1. TCSEC共分为(A)大类(A)级。 A. 4 7 B. 3 7 C. 4 5 D. 4 6 2. TCSEC定义的属于D级的系统是不安全的,以下操作系统中属于D级的是(A)。 A. 运行非UNIX的Macintosh机 B. XENIX C. 运行Linux的PC机 D. UNIX系统 二、问答题 1. 橙皮书TCSEC对安全的各个分类级别的基本含义。 • D:最低保护,指未加任何实际的安全措施,如 DOS 被定为 D 级。 • C:被动的自主访问策略,提供审慎的保护,并为用户的行动和责任提供审计能力。 C1 级:具有一定的自主型存取控制(DAC)机制,通过将用户和数据分开达到安全的 目的,如 UNIX 的 owner/group/other 存取控制。 C2 级:具有更细分(每一个单独用户)的 DAC 机制,且引入了审计机制。在连接到网 络上时,C2 系统的用户分别对各自的行为负责。C2 系统通过登录过程、安全事件和资源 隔离来增强这种控制。 • B:被动的强制访问策略,B 系统具有强制性保护功能,目前很少有 OS 能够符合 B 级标 准。 B1 级:还需具有所用安全策略模型的非形式化描述,实施了强制性存取控制(MAC)。 B2 级:基于明确定义的形式化模型,并对系统中所有的主体和客体实施了 DAC 和 MAC。 B3 级:能对系统中所有的主体和客体的访问进行控制,TCB 不会被非法篡改,且 TCB 设计要小巧且结构化以便于分析和测试其正确性。 • A:形式化证明的安全。 A1 级:它的特色在于形式化的顶层设计规格 FTDS、形式化验证 FTDS 与形式化模型的 一致性和由此带来的更高的可信度。 只能用来衡量单机系统平台的安全级别。 2. 了解欧洲ITSEC对安全理论的发展做出的贡献。 20 世纪 90 年代西欧四国联合提出了信息技术安全评估标准 ITSEC,又称欧洲白皮书, 带动了国际计算机安全的评估研究,其应用领域为军队、政府和商业。该标准除了吸收 TCSEC 的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,并将安全 概念分为功能和评估两部分,使可信计算机的概念提升到可信信息技术的高度。 3. 了解CC标准的基本内容及它在信息安全标准中的地位。 1993 年 6 月,六国七方共同提出了“信息技术安全评价通用准则”(CC for IT SEC),已 成为国际标准,也是系统安全认证的最权威的标准。 CC 标准分为三个部分,三者相互依存,缺一不可:简介和一般模型、安全功能要求(技 术要求)、安全保证要求(非技术要求)
CC的先进性体现在4个方面:结构的开放性、表达方式的通用性、结构和表达方式的 内在完备性、实用性 4.了解我国计算机安全等级划分与相关标准的五个等级。 公安部1999年制定了《计算机信息系统安全保护等级划分准则》国家标准,它划分了 5个等级,计算机信息系统安全保护能力随着安全保护等级的增高而逐渐增强:用户自主 保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级
14 CC 的先进性体现在 4 个方面:结构的开放性、表达方式的通用性、结构和表达方式的 内在完备性、实用性。 4. 了解我国计算机安全等级划分与相关标准的五个等级。 公安部 1999 年制定了《计算机信息系统安全保护等级划分准则》国家标准,它划分了 5 个等级,计算机信息系统安全保护能力随着安全保护等级的增高而逐渐增强:用户自主 保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级
第八章密钥分配与管理 填空题 密钥管理的主要内容包括密钥的生成、分配、使用、存储、备份、恢复和销毁 2.密钥生成形式有两种:一种是由中心集中生成,另一种是由个人分散生成。 3.密钥的分配是指产生并使使用者获得密钥的过程。 4.密钥分配中心的英文缩写是KDC。 二、问答题 1.常规加密密钥的分配有几种方案,请对比一下它们的优缺点。 1.集中式密钥分配方案 由一个中心节点或者由一组节点组成层次结构负责密钥的产生并分配给通信的双方, 在这种方式下,用户不需要保存大量的会话密钥,只需要保存同中心节点的加密密钥,用 于安全传送由中心节点产生的即将用于与第三方通信的会话密钥。这种方式缺点是通信量 大,同时需要较好的鉴别功能以鉴别中心节点和通信方。目前这方面主流技术是密钥分配 中心KDC技术。我们假定每个通信方与密钥分配中心KDC之间都共享一个惟一的主密钥 并且这个惟一的主密钥是通过其他安全的途径传递 2.分散式密钥分配方案 使用密钥分配中心进行密钥的分配要求密钥分配中心是可信任的并且应该保护它免于 被破坏。如果密钥分配中心被第三方破坏,那么所有依靠该密钥分配中心分配会话密钥进 行通信的所有通信方将不能进行正常的安全通信。如果密钥分配中心被第三方控制,那么 所有依靠该密钥分配中心分配会话密钥进行进信的所有通信方之间的通信信息将被第三方 窃听到。 2.公开加密密钥的分配有哪几种方案?它们各有什么特点?哪种方案最 安全?哪种方案最便捷? 1.公开密钥的公开宣布 公开密钥加密的关键就是公开密钥是公开的。任何参与者都可以将他的公开密钥发送 给另外任何一个参与者,或者把这个密钥广播给相关人群,比如PGP。致命的漏洞:任何 人都可以伪造一个公开的告示,冒充其他人,发送一个公开密钥给另一个参与者或者广播 这样一个公开密钥。 2.公开可用目录 由一个可信任的系统或组织负责维护和分配一个公开可以得到的公开密钥动态目录。 公开目录为每个参与者维护一个目录项{标识,公开密钥},当然每个目录项的信息都必须 经过某种安全的认证。任何其他方都可以从这里获得所需要通信方的公开密钥 致命的弱点:如果一个敌对方成功地得到或者计算出目录管理机构的私有密钥,就可 以伪造公开密钥,并发送给其他人达到欺骗的目的。 3.公开密钥管理机构 通过更严格地控制公开密钥从目录中分配出去的过程就可以使得公开密钥的分配更 安全。它比公开可用目录多了公开密钥管理机构和通信方的认证以及通信双方的认证。在 公开密钥管理机构方式中,有一个中心权威机构维持着一个有所有参与者的公开密钥信息 的公开目录,而且每个参与者都有一个安全渠道得到该中心 权威机构的公开密钥,而其对应的私有密钥只有该中心权威机构才持有。这样任何通
15 第八章 密钥分配与管理 一、填空题 1.密钥管理的主要内容包括密钥的 生成、分配、使用、存储、备份、恢复和销毁。 2. 密钥生成形式有两种:一种是由 中心集中 生成,另一种是由 个人分散 生成。 3. 密钥的分配是指产生并使使用者获得 密钥 的过程。 4. 密钥分配中心的英文缩写是 KDC 。 二、问答题 1. 常规加密密钥的分配有几种方案,请对比一下它们的优缺点。 1. 集中式密钥分配方案 由一个中心节点或者由一组节点组成层次结构负责密钥的产生并分配给通信的双方, 在这种方式下,用户不需要保存大量的会话密钥,只需要保存同中心节点的加密密钥,用 于安全传送由中心节点产生的即将用于与第三方通信的会话密钥。这种方式缺点是通信量 大,同时需要较好的鉴别功能以鉴别中心节点和通信方。目前这方面主流技术是密钥分配 中心 KDC 技术。我们假定每个通信方与密钥分配中心 KDC 之间都共享一个惟一的主密钥, 并且这个惟一的主密钥是通过其他安全的途径传递。 2. 分散式密钥分配方案 使用密钥分配中心进行密钥的分配要求密钥分配中心是可信任的并且应该保护它免于 被破坏。如果密钥分配中心被第三方破坏,那么所有依靠该密钥分配中心分配会话密钥进 行通信的所有通信方将不能进行正常的安全通信。如果密钥分配中心被第三方控制,那么 所有依靠该密钥分配中心分配会话密钥进行进信的所有通信方之间的通信信息将被第三方 窃听到。 2. 公开加密密钥的分配有哪几种方案?它们各有什么特点?哪种方案最 安全?哪种方案最便捷? 1. 公开密钥的公开宣布 公开密钥加密的关键就是公开密钥是公开的。任何参与者都可以将他的公开密钥发送 给另外任何一个参与者,或者把这个密钥广播给相关人群,比如 PGP。致命的漏洞:任何 人都可以伪造一个公开的告示,冒充其他人,发送一个公开密钥给另一个参与者或者广播 这样—个公开密钥。 2. 公开可用目录 由一个可信任的系统或组织负责维护和分配一个公开可以得到的公开密钥动态目录。 公开目录为每个参与者维护一个目录项{标识,公开密钥},当然每个目录项的信息都必须 经过某种安全的认证。任何其他方都可以从这里获得所需要通信方的公开密钥。 致命的弱点:如果一个敌对方成功地得到或者计算出目录管理机构的私有密钥,就可 以伪造公开密钥,并发送给其他人达到欺骗的目的。 3. 公开密钥管理机构 通过更严格地控制公开密钥从目录中分配出去的过程就可以使得公开密钥的分配更 安全。它比公开可用目录多了公开密钥管理机构和通信方的认证以及通信双方的认证。在 公开密钥管理机构方式中,有一个中心权威机构维持着一个有所有参与者的公开密钥信息 的公开目录,而且每个参与者都有一个安全渠道得到该中心 权威机构的公开密钥,而其对应的私有密钥只有该中心权威机构才持有。这样任何通