信息系統(tǒng)安全課后答案 石文昌主編 電子工業(yè)出版社

1、8/1簡(jiǎn)要說明畢巴模型中的低水標(biāo)模型、畢巴環(huán)模型及嚴(yán)格模型之間 的主要區(qū)別。畢巴低水標(biāo)模型立足于既防止直接的非法修改也防治簡(jiǎn)接的非法修改；畢巴環(huán)模型不關(guān)心間接的非法修改問題，只關(guān)心直接的非法修改問題，環(huán)模型對(duì) 寫操作和執(zhí)行操作進(jìn)行控制，對(duì)“讀”操作不實(shí)施任何控制；畢巴模型的嚴(yán)格完整性形式根據(jù)主體和客體的完整性級(jí)別對(duì)“讀”操作進(jìn)行嚴(yán)格 控制。8/4設(shè)U1是一個(gè)用戶標(biāo)識(shí)，TPJ是一個(gè)轉(zhuǎn)換過程，CDLk是一個(gè)受保 護(hù)的數(shù)據(jù)項(xiàng)，請(qǐng)問克-威模型如何判斷用戶Ui是否可以通過執(zhí)行TPJ 來對(duì)數(shù)據(jù)項(xiàng)CDLK進(jìn)行操作？用戶UI通過執(zhí)行TPJ對(duì)數(shù)據(jù)項(xiàng)CDLK進(jìn)行操作，就必須由用戶UI證明TPJ的 有效性或CDLK

2、的完整性；如果用戶UI有權(quán)證明TPJ的有效性，根據(jù)規(guī)則E4 （必須證明所有TPJ都向一 個(gè)只能以附加的方法寫的CDLK寫入足夠的信息，以便能夠重視TP的操作過程）， 該用戶就無權(quán)執(zhí)行TPJ，但已知條件說明用戶UI能夠執(zhí)行TPJ，這是矛盾的，所 以不能由用戶UI證明TPJ的有效性。同樣，如果用戶UI有權(quán)證明CDLK的完整性，根據(jù)規(guī)則E4，該用戶就無權(quán)在 CDLK上執(zhí)行操作，但已知條件說明用戶UI可執(zhí)行TPJ在CDLK上的操作，這也是 矛盾的，所以不能由用戶UI證明CDLK的完整性。8/11 MIT的AEGIS模型在安全中央處理器中配備了哪些安全專用硬 件單元？它們分別提供什么功能？系統(tǒng)的可信計(jì)算

3、基計(jì)算并檢查進(jìn)程對(duì)應(yīng)的程序的哈希值，初始的進(jìn)程的運(yùn)行 環(huán)境沒有被非安全因素污染過。AEGIS模型通過保護(hù)進(jìn)程的寄存器信息來保護(hù)進(jìn)程環(huán)境信息的完整性。這里涉及的存儲(chǔ)介質(zhì)的類型包括中央處理器中的CACHE高速緩存、中央處理 器外的內(nèi)存和磁盤等。系統(tǒng)需要用到進(jìn)程的代碼或數(shù)據(jù)時(shí)，首先把它們裝入到內(nèi) 存中，進(jìn)而裝到CACHE高速緩存中，然后執(zhí)行相應(yīng)的代碼并處理相應(yīng)的數(shù)據(jù)。在 虛擬內(nèi)存管理中，內(nèi)存中的頁面有可能被喚出到交換區(qū)中，交換區(qū)位于磁盤上， 此時(shí)，在被喚出的頁面上的代碼或數(shù)據(jù)駐留被放置到磁盤上。8/13簡(jiǎn)要說明MIT的AEGIS完整性支持體系通過硬件單元實(shí)現(xiàn)莫科 爾樹模型的基本方法。（1）一個(gè)進(jìn)程的

4、整個(gè)虛擬內(nèi)存空間可以按照一定方式劃分成一些列存儲(chǔ)塊， 這些存儲(chǔ)塊為樹葉，可以構(gòu)造出一棵莫科爾樹。利用這棵莫科爾樹，完整性驗(yàn)證 單元可以方便的對(duì)進(jìn)程的虛擬內(nèi)存空間中的存儲(chǔ)塊進(jìn)行完整性驗(yàn)證。（2）當(dāng)處理 器從進(jìn)程的虛擬內(nèi)存空間中把信息讀到Cache高速緩存中時(shí)，完整性驗(yàn)證單元驗(yàn) 證指定虛擬地址對(duì)應(yīng)的存儲(chǔ)塊的完整性，驗(yàn)證通過后，處理器才把相應(yīng)的存儲(chǔ)塊 中的信息存入到Cache高速緩存中。8/14簡(jiǎn)要說明內(nèi)核主導(dǎo)的IMA模型進(jìn)行完整性度量的基本方法。（1）設(shè)計(jì)一個(gè)measure內(nèi)核函數(shù)，用于對(duì)指定的內(nèi)容進(jìn)行完整性度量；（2） 用于啟動(dòng)measure內(nèi)核函數(shù)的完整性度量工作。8/16 Tripwrite

5、文件完整性檢查系統(tǒng)主要由哪些成分組成，結(jié)合這 些成分，簡(jiǎn)要說明該系統(tǒng)的基本工作原理。主要成分：控制策略、Tripewrite基準(zhǔn)數(shù)據(jù)庫、及時(shí)數(shù)據(jù)庫、Tripewrite 可執(zhí)行程序、Tripewrite需要使用配置信息。原理：首先，根據(jù)完整性檢查控制策略，為每個(gè)需要監(jiān)控的文件生成一個(gè)指 紋，并將它們存儲(chǔ)到Tripewrite數(shù)據(jù)庫中；必要時(shí)，重新為每個(gè)需要監(jiān)控的文 件生成新的指紋，并將新指紋與Tripewrite數(shù)據(jù)庫中存儲(chǔ)的指紋進(jìn)行對(duì)比，由 此可以確定需呀監(jiān)控的文件是否已經(jīng)被改動(dòng)過。5/1簡(jiǎn)要說明TE模型的基本思想，并分析該思想與訪問控制矩陣思 想的相似之處和不同之處?；舅枷耄核且粋€(gè)強(qiáng)制

6、訪問控制模型，在TE模型中，把系統(tǒng)中所有主體劃分 成若干個(gè)組，每個(gè)組稱為一個(gè)域，把系統(tǒng)中所有客體劃分成若干個(gè)組，每個(gè)組稱 為一個(gè)類型。用DDT表定義域與類型的授權(quán)關(guān)系，以表中的行描述域，以表中的 列描述類型，以行列交點(diǎn)描述訪問權(quán)限。相似點(diǎn)：都是采用矩陣思想不同之處在于TE模型是強(qiáng)制訪問控制，控制策略需要從0開始。5/4以進(jìn)程對(duì)文件的訪問為例，簡(jiǎn)要說明DTE模型的DTEL主要是從 哪幾個(gè)方面描述訪問控制規(guī)則的。DTE模型是通過DTEL描述訪問控制策略的配置而實(shí)現(xiàn)訪問控制，DTEL類型描述 功能定義類型，類型賦值功能把類型賦值給客體；域描述功能定義域，域權(quán)限， 域與主體關(guān)系以及主體的域切換方法，初

7、始域設(shè)定功能設(shè)定第一個(gè)進(jìn)程的工作 域，從而使整個(gè)系統(tǒng)的進(jìn)程的工作域的確定基礎(chǔ)。5/9在SETE模型中，進(jìn)程為實(shí)現(xiàn)工作域切換必須滿足哪些條件？簡(jiǎn) 要說明授權(quán)進(jìn)程進(jìn)行工作域切換的基本方法。進(jìn)程新的工作域必須擁有對(duì)可執(zhí)行文件的類型的entrypoint的權(quán)限； 進(jìn)程舊的工作域必須擁有對(duì)入口點(diǎn)程序的類型的execute訪問權(quán)限； 進(jìn)程舊的工作域必須擁有對(duì)進(jìn)程的新的工作域的transition訪問權(quán)限5/11在SELinux系統(tǒng)中，什么是訪問判定？什么是訪問向量？簡(jiǎn)要 說明訪問判定的基本方法。用 (source-type target-type，object-class,perm-list)四元組描述訪

8、問控 制權(quán)，表示判定結(jié)果的位圖稱為訪問向量。判定方法：首先，除非在訪問控制策略中有匹配的訪問控制規(guī)則，明確授權(quán)主體， 在客體上實(shí)施找定的操作，否則操作申請(qǐng)被拒絕。其次，一旦操作申請(qǐng)被拒絕，系統(tǒng)將審計(jì)該操作被拒絕事件，除非系統(tǒng)明確說明 無需審計(jì)。最后，如果系統(tǒng)對(duì)已授權(quán)的操作有明確的審計(jì)要求，就進(jìn)行審計(jì)。5/12在SELinux系統(tǒng)中，什么是切換判定？簡(jiǎn)要說明切換判定的基 本方法。在SELinux系統(tǒng)中，為的是否需要切換新創(chuàng)建的進(jìn)程和文件的類型標(biāo)簽做出結(jié)論 的過程稱為切換判定。創(chuàng)建新進(jìn)程時(shí)，將父進(jìn)程的域標(biāo)簽作為新進(jìn)程的域標(biāo)簽，創(chuàng)建新文件或新目錄時(shí)， 將父目錄的類型標(biāo)簽作為新文件或目錄的類型標(biāo)簽。但

9、有時(shí)需要給新的主體或新 的客體分配新的標(biāo)簽。5/15 SELinux系統(tǒng)的內(nèi)核體系結(jié)構(gòu)主要由哪幾部分組成？各部分主 要分別負(fù)責(zé)承擔(dān)什么任務(wù)？由安全服務(wù)器、內(nèi)核客體管理器、訪問向量緩存AVC安全服務(wù)器提供安全策略判定；客體服務(wù)器在它所管理的資源上實(shí)施安全服務(wù)器 所提供的安全策略判定結(jié)果；AVC緩存安全服務(wù)器生成的訪問判定結(jié)果供以后在 進(jìn)行訪問權(quán)限檢查時(shí)使用，也是內(nèi)核客體管理器與安全服務(wù)之間的接口。5/16在SELinux系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)中，為什么需要用戶控件的客體服務(wù)器？弓|入用戶空間的安全服務(wù)期有什么好處？弓|入用戶空間 的策略管理服務(wù)器有什么好處？在SELinux系統(tǒng)體系結(jié)構(gòu)中，它的突出特

10、點(diǎn)是既支持對(duì)內(nèi)核資源實(shí)施訪問 控制也支持對(duì)用戶資源空間的資源實(shí)施訪問控制；該體系結(jié)構(gòu)源自FLASK體系結(jié) 構(gòu)，而FLASK體系結(jié)構(gòu)是面向微內(nèi)核的，在微內(nèi)核系統(tǒng)中，大部分的資源管理是 由用戶空間服務(wù)器實(shí)現(xiàn)的用戶空間的安全服務(wù)器可以便于用戶空間的客體管理器提供訪問控制判定， 增設(shè)用戶空間安全服器后，就可以把系統(tǒng)中的安全策略劃分為內(nèi)核策略和用戶策 略。在用戶空間設(shè)定策略服務(wù)器，用戶對(duì)SELinux系統(tǒng)中的所有安全策略進(jìn)行 總體處理，從中區(qū)分出內(nèi)核策略和用戶策略，把內(nèi)核策略裝入到內(nèi)核安全服務(wù)器 中，把用戶策略安裝到用戶空間的安裝服務(wù)器中。4/2什么是自主安全性？什么是強(qiáng)制安全性？自主安全性與自主訪 問

11、控制之間，強(qiáng)制安全性與強(qiáng)制訪問控制之間分別是什么關(guān)系？強(qiáng)制安全性是指能夠?qū)崿F(xiàn)整個(gè)組織全范圍的安全性策略，也稱為非自主安全性； 自主安全性是指體現(xiàn)普通用戶在策略邏輯定義和安全屬性分配方面的自主特點(diǎn)。 一個(gè)操作系統(tǒng)的強(qiáng)制安全性策略可以分解為多種具體的安全策略，如強(qiáng)制訪問控 制策略、強(qiáng)制認(rèn)證支持策略、強(qiáng)制加密支持策略。4/5在文件中保存口令相關(guān)信息的常見方法有哪些？試分析他們的安全性。法一：在口令字段中保存明文，身份認(rèn)證時(shí)，直接取其值與用戶輸入的口令進(jìn)行 對(duì)比；法二：用確定的算法借助口令進(jìn)行加密，在口令字段中保存口令的密文， 身份認(rèn)證時(shí)，將口令的密文解密，將解密后的口令與用戶輸入的口令進(jìn)行對(duì)比； 法

12、三：用確定的算法借助口令進(jìn)行某種運(yùn)算，在口令字段中保存運(yùn)行的結(jié)果，身 份認(rèn)證時(shí)，借助用戶輸入的口令進(jìn)行相同的運(yùn)算，將口令字段中保存的結(jié)果與運(yùn) 算結(jié)果進(jìn)行對(duì)比。法一和法二分別保存明文和密文形式的口令。法一很難保證口令的安全，攻擊者 只需要得到賬戶信息數(shù)據(jù)庫文件，就得到了所有賬戶的口令。法二難以抵御口令 猜解攻擊，攻擊者可能采取已知密文猜解明文的方法去破解口令。法三在整個(gè)系 統(tǒng)中不保存任何形式的k 口令。4/6在口令中撒鹽是什么意思？舉例說明在UNIX系統(tǒng)實(shí)現(xiàn)口令撒鹽的基本方法。（1）口令撒鹽就是給口令拌入隨機(jī)數(shù)的過程（2）生成一個(gè)隨機(jī)數(shù)：Dsalt=Arandom（）;把隨機(jī)數(shù)附加到口令上： D

13、tmp=Dpw|Dsalt;生成哈希值：Dhash二Ahash（Dtmp）;把 Dhash 和 Dsalt 保存到系統(tǒng)中，作為用戶的口令信息。4/7試舉出操作系統(tǒng)支持的三種常見的網(wǎng)絡(luò)化用戶身份認(rèn)證方法，并 說明它們的基本原理和應(yīng)用方法。（1）基于客戶機(jī)/服務(wù)器模式（簡(jiǎn)單模式、服務(wù)器認(rèn)證、客戶端認(rèn)證）（2）認(rèn)證 消息的加密傳輸（客戶機(jī)與服務(wù)器之間用密文傳輸）（3）面向服務(wù)的再度認(rèn)證（KERVEROS認(rèn)證系統(tǒng)模式）4/8操作系統(tǒng)中的PAM身份認(rèn)證框架是如何為具有身份認(rèn)證需求的服務(wù)程序提供靈活的身份認(rèn)證支持的？該框架由哪些主要成分構(gòu)成？為了使該框架發(fā)揮作用，系統(tǒng)管理員需要完成哪些工作？PAM的思想是

14、實(shí)現(xiàn)服務(wù)程序與認(rèn)證機(jī)制的分離，通過一個(gè)插拔式的接口，讓服務(wù) 程序插接到接口的一端，讓認(rèn)證機(jī)制插接到另一端，從而實(shí)現(xiàn)服務(wù)程序與認(rèn)證機(jī) 制的隨意組合。PAM框架定義了一個(gè)應(yīng)用程序接口 API。一個(gè)PAM系統(tǒng)主要是由 API、動(dòng)態(tài)裝載的共享庫和配置文件構(gòu)成。在PAM框架中，每一種身份認(rèn)證機(jī)制 設(shè)置為一個(gè)PAM模塊，實(shí)現(xiàn)為一個(gè)動(dòng)態(tài)裝載的共享庫。PAM模塊遵循PAM的API 規(guī)范。需要實(shí)施身份認(rèn)證過程的服務(wù)程序按照PAM的API規(guī)范調(diào)用PAM系統(tǒng)中的 身份認(rèn)證功能。4/15簡(jiǎn)要說明UNIX操作系統(tǒng)中的syslog審計(jì)服務(wù)系統(tǒng)的基本結(jié)構(gòu) 和工作原理。Syslog審計(jì)服務(wù)系統(tǒng)由syslog的日志處理進(jìn)程、配

15、置文件、日志文件和syslog 函數(shù)庫構(gòu)成；工作原理:操作系統(tǒng)中的系統(tǒng)進(jìn)程用戶、進(jìn)程及系統(tǒng)內(nèi)核都有可能產(chǎn)生審計(jì)事件， 它們可以調(diào)用syslog函數(shù)庫中的函數(shù)把審計(jì)事件及相關(guān)的信息發(fā)送給syslog 守護(hù)進(jìn)程，由syslog為它們生成并處理日志信息。1/2信息安全攻擊一般包含哪些主要環(huán)節(jié)？在各個(gè)環(huán)節(jié)中，攻擊者主 要想實(shí)現(xiàn)哪些目標(biāo)？哪些環(huán)節(jié)與系統(tǒng)安全密切相關(guān)？為什么？包含偵查、掃描、獲取訪問、維持訪問、掩蓋蹤跡偵查：收集盡量多的有關(guān)被攻擊目標(biāo)的信息，以便為實(shí)際的攻擊做好準(zhǔn)備； 掃描：以便進(jìn)一步掌握有關(guān)的攻擊目標(biāo)的更多信息。獲取訪問：闖入和訪問目標(biāo)系統(tǒng)維持訪問：在攻擊成功之后為下一次攻擊打開方便之門

16、掩蓋蹤跡：銷毀攻擊痕跡以便掩蓋攻擊行徑1/6信息安全威脅可以劃分為哪幾種主要類型？它們分別有什么含義？什么樣的行為可能產(chǎn)生這些威脅？（1）威脅分為泄露、欺騙、破壞、篡奪。（2）泄露：對(duì)信息的非授權(quán)訪問；欺 騙：接受虛假數(shù)據(jù)；破壞：中斷或妨礙正常工作；篡奪：對(duì)系統(tǒng)某些部分的非授 權(quán)控制。（3）泄露行為：嗅探；欺騙行為：篡奪或更改、偽裝或電子欺騙、信源否認(rèn)、信宿否認(rèn)；篡奪行為：偽裝或電子欺騙、拖延、拒絕服務(wù)1/10什么是控制訪問矩陣？試說明它的結(jié)構(gòu)和含義，并舉例說明它在實(shí)際應(yīng)用中的應(yīng)用方法。訪問控制矩陣是對(duì)訪問控制行為的一種抽象表示。（2）矩陣中的行與系統(tǒng)中的主 體相對(duì)應(yīng)，矩陣中的列與系統(tǒng)中的客體相對(duì)應(yīng)，處于行與列的交叉點(diǎn)上的矩陣元 素，描述主體對(duì)客體的訪問權(quán)限。3：綁定：用一個(gè)實(shí)體的公鑰對(duì)一項(xiàng)