28262+金融信息安全工程--习题答案与提示(6)

第10章 构建有安全保障的应用系统

1． 安全需求导出的方法是什么？

答：（１）建立有权威性的项目决策组织；

（２）检查业务流程、应用环境、各种敏感信息和所面临的攻击类型； （3）进行失败模式和影响分析； （４）专家分析； （５）使用头脑风暴法。

2． 在进行失败模式和影响分析时，所采取的方法和工具有哪些？ 答：（1）缺陷树；

（2）先从危害结果出发，向后递归找出前置条件； （３）结合使用自顶向下和自底向上的方法。

3． CC标准中描述特定TOE安全需求的ST文件主要包括哪些部分？ 答：ST文件主要由以下几个部分组成：

? ? ?

引言 说明ST标识、ST概述、CC一致性声明。 TOE描述 说明待评估产品类型和可能的用途。

TOE安全环境 说明TOE使用的上下文、各种假设、所面临的各类威胁、组织性

安全策略，并包括所有相关的法规、组织性安全策略、习惯、专门技术和知识

? 安全目的 说明TOE及其运行环境所要达到的安全目标。 ? 安全需求 将安全目的细化为一系列TOE及其环境的安全功能需求和保证要求，一旦这些要求得到满足，就可以保证TOE达到它的安全目的。

? TOE概要规范 定义TOE安全要求的实现方法，提供分别满足功能需求和保证需求的安全措施。

? PP引用声明 该部分需要陈述ST与PP间需求的一致性、ST中对PP需求的进一步限定、ST在PP基础上的需求扩展等问题。

? 基本原理。 ST文件中的基本原理部分由满足性分析部分组成。 4． 简述DISSP系统安全框架的主要内容。 答：DISSP规划由一个把安全需求转换成安全机制、协议层和系统部件的三维矩阵组成，其中安全机制维基于ISO7489-2标准的有关安全机制的描述，并且定义了物理、过程、人员方面的安全机制。

Y OSI 层 体 主 层 作 操 层 用 应 层 示 表 层 话 会 层 输 传 层 络 网 层 路 链 层 理 物 物理过保可识访程密审别问和性 计与控性 认制 人员安全 端系统 接口 网络 安全管理 维 件 部 统 系 Z 5． 在进行系统构建时，如何将安全机制分布到系统的不同层次和组件中？ 答：将安全机制分布到系统的不同层次时，需要注意的是：

（１） OSI开放系统安全框架标准说明了OSI 参考模型中各个层次应提供哪些安全服

务。 （２） 可以在不同的层次上和在不同的应用方案中来实现同一个安全服务，以确保系

统不会出现单点脆弱性。 （３） 应该把安全措施尽量部署在系统的最底层。 将安全机制落实到各个系统环节上时，其映射过程是： （１） 首先，确定出X轴上的安全需求；

（２） 然后，从Y轴的底层逐渐展开选择、设计和实施，根据一定的规则和要求确定在

系统的哪些层次上实施安全需求； （３） 最后，确定用于实现安全需求的措施，将相应的安全机制影射到Z轴的系统部件

的各个环节上。 6． 简述安全服务器的逻辑构造。

答：安全服务器是应用程序之下的一个平台，具有标准的接口，为应用程序提供广泛的安全服务，它可由如图所示的逻辑部件构成：

(1) 基础模块是安全服务器的最底层，用于实现各种安全机制。 (2) 安全机制层通过提供一系列函数，对基础模块进行封装。

(3) 安全代理与安全协议层是一些系统逻辑部件，各自完成特定任务，相互配合完成

全局安全系统的职能。 (4) 安全服务层可以将安全机制以适当的组合和按一定的次序提供给用户，以抵御安

全攻击、提高机构的数据处理系统安全和信息传输安全的服务。通过设置专门的安全服务器和IC卡等硬件模块，实现对PIN、口令、证书、密钥等敏感信息的保护。

X 安全机制维 证 非可质互防完否用量操火整认性 保作墙性 性 证 性 机制 (5) 最上层的安全管理层由安全管理、安全使用工具等组成。

(6) 安全信息库是系统的核心部件，存放着使安全服务器正常运行所需的一切控制信

息和参数。

安全管理 安全协议 安全代理 安 全 信 息 库 安全服务 安全机制 基础模块

7． 安全管理基础设施有哪些类型？它们具有哪些功能？ 答：系统中主要的安全管理基础设施类型包括： ? ? ? ? ?

访问控制管理 密钥和证书管理 积累安全审计追踪 安全预警报告 配置管理

? 远程监视

安全管理基础设施可完成如下功能：

? 给决策点分配所需要的信息，包括分配正确决策所需的信息和撤销以前所分配信

息的通知； ?

积累用于各种目的信息。例如，业务建档信息、审计信息和告警信息

? 操作功能，包括安全操作和例程的激活和释放。

8． 可用性包含了稳定性、可靠性方面的要求，在一个大型系统中，应从哪些方面提高系统的稳定性和可靠性？

答：在一个大型系统中，应从以下方面提高系统的稳定性和可靠性： (1) 确保足够的主机处理能力； (2) 提高网络配置和使用效率； (3) 采用先进的系统程序结构； (4) 优化应用程序；

(5) 各类设备必须提供先进的技术，高的MTBF（平均无故障时间）、低的MTTR（平均故障修复时间）、自动故障检测、故障恢复和切换功能；

(6) 电源、主机、操作系统、中间件、数据库系统和应用系统提供备份和容错机制。 9． 安全设计文档中应包括哪些内容？

答：为了进行安全分析，一般地，一个安全设计文档应至少包括安全函数、外部接口和内部设计三方面的内容： (1) 安全函数 对实现系统安全的各类型函数的高层说明，例如密码产生、验证函数

等。

(2) 外部接口 包括接口的参数、语法、安全限制和错误情况的描述。

(3) 内部设计 开发者可以据此来编写实现模块 10． 为编写出安全的代码，应在系统开发过程中主要哪些问题？ 答：在编写安全代码的过程中，应注意以下几点：

(1) 有些语言的固有属性对于安全的实现有很好的支持，使用这些语言可以避免一些通常的缺陷。

(2) 使用强类型、具有越界检查的、模块化的、具有分段和分段保护的、具有垃圾回收和错误处理机制的编程语言所实现的系统是更可信的，更有安全保障。 (3) 使用C语言实现的系统，其可靠性是有限的。 (4) 在编码阶段限制使用低级的编程语言。

(5) 使用良好的编程规范可以弥补语言在安全方面的一些不足。 11．

根据测试范围不同，安全测试可分为哪几类？

答：安全产品的测试一般分为以下几种类型： (1) 模块测试 具体包括正常数据测试、边界数据测试、异常测试和随机数据测试。 (2) 组合模块的测试 需要考虑一个模块的功能要依赖调用其他模块的情况。 (3) 整体测试 检验程序是否满足整体的业务需求，包括安装、配置和测试主机、系统软件、应用软件、网络通讯设备等等。

(4) 可靠性测试 与整体测试不同的一点是，为获取可靠数据，需要进行压力测试。 12． 为达到业务系统的平稳过渡，需要注意哪几方面的内容？ 答：为确保系统切换过程不给社会造成过大的震动，保障客户利益不受较大的损失，需要设计上线需要的处理方式、数据结构、业务功能，规定如何才能以安全的方式安装、配置、运行和终止系统。

(1) 为完成系统切换，首先要求整理现有运行环境，收集各项信息数据，编写数据过渡

模块。

(2) 确保生产程序的正确性和合法性。

(3) 对采取的媒体和安装过程进行严格的控制，对转换结果进行检查。 (4) 提供、培训运行安全指南，准备相关的凭证、进行必要的宣传等。

( …… 此处隐藏：2745字，全部文档内容请下载后查看。喜欢就下载吧 ……