信息系統(tǒng)安全課后答案 石文昌主編 電子工業(yè)出版社

1、8/1簡要說明畢巴模型中的低水標(biāo)模型、畢巴環(huán)模型及嚴(yán)格模型之間 的主要區(qū)別。畢巴低水標(biāo)模型立足于既防止直接的非法修改也防治簡接的非法修改；畢巴環(huán)模型不關(guān)心間接的非法修改問題，只關(guān)心直接的非法修改問題，環(huán)模型對 寫操作和執(zhí)行操作進(jìn)行控制，對“讀”操作不實施任何控制；畢巴模型的嚴(yán)格完整性形式根據(jù)主體和客體的完整性級別對“讀”操作進(jìn)行嚴(yán)格 控制。8/4設(shè)U1是一個用戶標(biāo)識，TPJ是一個轉(zhuǎn)換過程，CDLk是一個受保 護(hù)的數(shù)據(jù)項，請問克-威模型如何判斷用戶Ui是否可以通過執(zhí)行TPJ 來對數(shù)據(jù)項CDLK進(jìn)行操作？用戶UI通過執(zhí)行TPJ對數(shù)據(jù)項CDLK進(jìn)行操作，就必須由用戶UI證明TPJ的 有效性或CDLK

2、的完整性；如果用戶UI有權(quán)證明TPJ的有效性，根據(jù)規(guī)則E4 （必須證明所有TPJ都向一 個只能以附加的方法寫的CDLK寫入足夠的信息，以便能夠重視TP的操作過程）， 該用戶就無權(quán)執(zhí)行TPJ，但已知條件說明用戶UI能夠執(zhí)行TPJ，這是矛盾的，所 以不能由用戶UI證明TPJ的有效性。同樣，如果用戶UI有權(quán)證明CDLK的完整性，根據(jù)規(guī)則E4，該用戶就無權(quán)在 CDLK上執(zhí)行操作，但已知條件說明用戶UI可執(zhí)行TPJ在CDLK上的操作，這也是 矛盾的，所以不能由用戶UI證明CDLK的完整性。8/11 MIT的AEGIS模型在安全中央處理器中配備了哪些安全專用硬 件單元？它們分別提供什么功能？系統(tǒng)的可信計算

3、基計算并檢查進(jìn)程對應(yīng)的程序的哈希值，初始的進(jìn)程的運(yùn)行 環(huán)境沒有被非安全因素污染過。AEGIS模型通過保護(hù)進(jìn)程的寄存器信息來保護(hù)進(jìn)程環(huán)境信息的完整性。這里涉及的存儲介質(zhì)的類型包括中央處理器中的CACHE高速緩存、中央處理 器外的內(nèi)存和磁盤等。系統(tǒng)需要用到進(jìn)程的代碼或數(shù)據(jù)時，首先把它們裝入到內(nèi) 存中，進(jìn)而裝到CACHE高速緩存中，然后執(zhí)行相應(yīng)的代碼并處理相應(yīng)的數(shù)據(jù)。在 虛擬內(nèi)存管理中，內(nèi)存中的頁面有可能被喚出到交換區(qū)中，交換區(qū)位于磁盤上， 此時，在被喚出的頁面上的代碼或數(shù)據(jù)駐留被放置到磁盤上。8/13簡要說明MIT的AEGIS完整性支持體系通過硬件單元實現(xiàn)莫科 爾樹模型的基本方法。（1）一個進(jìn)程的

4、整個虛擬內(nèi)存空間可以按照一定方式劃分成一些列存儲塊， 這些存儲塊為樹葉，可以構(gòu)造出一棵莫科爾樹。利用這棵莫科爾樹，完整性驗證 單元可以方便的對進(jìn)程的虛擬內(nèi)存空間中的存儲塊進(jìn)行完整性驗證。（2）當(dāng)處理 器從進(jìn)程的虛擬內(nèi)存空間中把信息讀到Cache高速緩存中時，完整性驗證單元驗 證指定虛擬地址對應(yīng)的存儲塊的完整性，驗證通過后，處理器才把相應(yīng)的存儲塊 中的信息存入到Cache高速緩存中。8/14簡要說明內(nèi)核主導(dǎo)的IMA模型進(jìn)行完整性度量的基本方法。（1）設(shè)計一個measure內(nèi)核函數(shù)，用于對指定的內(nèi)容進(jìn)行完整性度量；（2） 用于啟動measure內(nèi)核函數(shù)的完整性度量工作。8/16 Tripwrite

5、文件完整性檢查系統(tǒng)主要由哪些成分組成，結(jié)合這 些成分，簡要說明該系統(tǒng)的基本工作原理。主要成分：控制策略、Tripewrite基準(zhǔn)數(shù)據(jù)庫、及時數(shù)據(jù)庫、Tripewrite 可執(zhí)行程序、Tripewrite需要使用配置信息。原理：首先，根據(jù)完整性檢查控制策略，為每個需要監(jiān)控的文件生成一個指 紋，并將它們存儲到Tripewrite數(shù)據(jù)庫中；必要時，重新為每個需要監(jiān)控的文 件生成新的指紋，并將新指紋與Tripewrite數(shù)據(jù)庫中存儲的指紋進(jìn)行對比，由 此可以確定需呀監(jiān)控的文件是否已經(jīng)被改動過。5/1簡要說明TE模型的基本思想，并分析該思想與訪問控制矩陣思 想的相似之處和不同之處?；舅枷耄核且粋€強(qiáng)制

6、訪問控制模型，在TE模型中，把系統(tǒng)中所有主體劃分 成若干個組，每個組稱為一個域，把系統(tǒng)中所有客體劃分成若干個組，每個組稱 為一個類型。用DDT表定義域與類型的授權(quán)關(guān)系，以表中的行描述域，以表中的 列描述類型，以行列交點描述訪問權(quán)限。相似點：都是采用矩陣思想不同之處在于TE模型是強(qiáng)制訪問控制，控制策略需要從0開始。5/4以進(jìn)程對文件的訪問為例，簡要說明DTE模型的DTEL主要是從 哪幾個方面描述訪問控制規(guī)則的。DTE模型是通過DTEL描述訪問控制策略的配置而實現(xiàn)訪問控制，DTEL類型描述 功能定義類型，類型賦值功能把類型賦值給客體；域描述功能定義域，域權(quán)限， 域與主體關(guān)系以及主體的域切換方法，初

7、始域設(shè)定功能設(shè)定第一個進(jìn)程的工作 域，從而使整個系統(tǒng)的進(jìn)程的工作域的確定基礎(chǔ)。5/9在SETE模型中，進(jìn)程為實現(xiàn)工作域切換必須滿足哪些條件？簡 要說明授權(quán)進(jìn)程進(jìn)行工作域切換的基本方法。進(jìn)程新的工作域必須擁有對可執(zhí)行文件的類型的entrypoint的權(quán)限； 進(jìn)程舊的工作域必須擁有對入口點程序的類型的execute訪問權(quán)限； 進(jìn)程舊的工作域必須擁有對進(jìn)程的新的工作域的transition訪問權(quán)限5/11在SELinux系統(tǒng)中，什么是訪問判定？什么是訪問向量？簡要 說明訪問判定的基本方法。用 (source-type target-type，object-class,perm-list)四元組描述訪

8、問控 制權(quán)，表示判定結(jié)果的位圖稱為訪問向量。判定方法：首先，除非在訪問控制策略中有匹配的訪問控制規(guī)則，明確授權(quán)主體， 在客體上實施找定的操作，否則操作申請被拒絕。其次，一旦操作申請被拒絕，系統(tǒng)將審計該操作被拒絕事件，除非系統(tǒng)明確說明 無需審計。最后，如果系統(tǒng)對已授權(quán)的操作有明確的審計要求，就進(jìn)行審計。5/12在SELinux系統(tǒng)中，什么是切換判定？簡要說明切換判定的基 本方法。在SELinux系統(tǒng)中，為的是否需要切換新創(chuàng)建的進(jìn)程和文件的類型標(biāo)簽做出結(jié)論 的過程稱為切換判定。創(chuàng)建新進(jìn)程時，將父進(jìn)程的域標(biāo)簽作為新進(jìn)程的域標(biāo)簽，創(chuàng)建新文件或新目錄時， 將父目錄的類型標(biāo)簽作為新文件或目錄的類型標(biāo)簽。但

9、有時需要給新的主體或新 的客體分配新的標(biāo)簽。5/15 SELinux系統(tǒng)的內(nèi)核體系結(jié)構(gòu)主要由哪幾部分組成？各部分主 要分別負(fù)責(zé)承擔(dān)什么任務(wù)？由安全服務(wù)器、內(nèi)核客體管理器、訪問向量緩存AVC安全服務(wù)器提供安全策略判定；客體服務(wù)器在它所管理的資源上實施安全服務(wù)器 所提供的安全策略判定結(jié)果；AVC緩存安全服務(wù)器生成的訪問判定結(jié)果供以后在 進(jìn)行訪問權(quán)限檢查時使用，也是內(nèi)核客體管理器與安全服務(wù)之間的接口。5/16在SELinux系統(tǒng)的體系結(jié)構(gòu)設(shè)計中，為什么需要用戶控件的客體服務(wù)器？弓|入用戶空間的安全服務(wù)期有什么好處？弓|入用戶空間 的策略管理服務(wù)器有什么好處？在SELinux系統(tǒng)體系結(jié)構(gòu)中，它的突出特

10、點是既支持對內(nèi)核資源實施訪問 控制也支持對用戶資源空間的資源實施訪問控制；該體系結(jié)構(gòu)源自FLASK體系結(jié) 構(gòu)，而FLASK體系結(jié)構(gòu)是面向微內(nèi)核的，在微內(nèi)核系統(tǒng)中，大部分的資源管理是 由用戶空間服務(wù)器實現(xiàn)的用戶空間的安全服務(wù)器可以便于用戶空間的客體管理器提供訪問控制判定， 增設(shè)用戶空間安全服器后，就可以把系統(tǒng)中的安全策略劃分為內(nèi)核策略和用戶策 略。在用戶空間設(shè)定策略服務(wù)器，用戶對SELinux系統(tǒng)中的所有安全策略進(jìn)行 總體處理，從中區(qū)分出內(nèi)核策略和用戶策略，把內(nèi)核策略裝入到內(nèi)核安全服務(wù)器 中，把用戶策略安裝到用戶空間的安裝服務(wù)器中。4/2什么是自主安全性？什么是強(qiáng)制安全性？自主安全性與自主訪 問

11、控制之間，強(qiáng)制安全性與強(qiáng)制訪問控制之間分別是什么關(guān)系？強(qiáng)制安全性是指能夠?qū)崿F(xiàn)整個組織全范圍的安全性策略，也稱為非自主安全性； 自主安全性是指體現(xiàn)普通用戶在策略邏輯定義和安全屬性分配方面的自主特點。 一個操作系統(tǒng)的強(qiáng)制安全性策略可以分解為多種具體的安全策略，如強(qiáng)制訪問控 制策略、強(qiáng)制認(rèn)證支持策略、強(qiáng)制加密支持策略。4/5在文件中保存口令相關(guān)信息的常見方法有哪些？試分析他們的安全性。法一：在口令字段中保存明文，身份認(rèn)證時，直接取其值與用戶輸入的口令進(jìn)行 對比；法二：用確定的算法借助口令進(jìn)行加密，在口令字段中保存口令的密文， 身份認(rèn)證時，將口令的密文解密，將解密后的口令與用戶輸入的口令進(jìn)行對比； 法

12、三：用確定的算法借助口令進(jìn)行某種運(yùn)算，在口令字段中保存運(yùn)行的結(jié)果，身 份認(rèn)證時，借助用戶輸入的口令進(jìn)行相同的運(yùn)算，將口令字段中保存的結(jié)果與運(yùn) 算結(jié)果進(jìn)行對比。法一和法二分別保存明文和密文形式的口令。法一很難保證口令的安全，攻擊者 只需要得到賬戶信息數(shù)據(jù)庫文件，就得到了所有賬戶的口令。法二難以抵御口令 猜解攻擊，攻擊者可能采取已知密文猜解明文的方法去破解口令。法三在整個系 統(tǒng)中不保存任何形式的k 口令。4/6在口令中撒鹽是什么意思？舉例說明在UNIX系統(tǒng)實現(xiàn)口令撒鹽的基本方法。（1）口令撒鹽就是給口令拌入隨機(jī)數(shù)的過程（2）生成一個隨機(jī)數(shù)：Dsalt=Arandom（）;把隨機(jī)數(shù)附加到口令上： D

13、tmp=Dpw|Dsalt;生成哈希值：Dhash二Ahash（Dtmp）;把 Dhash 和 Dsalt 保存到系統(tǒng)中，作為用戶的口令信息。4/7試舉出操作系統(tǒng)支持的三種常見的網(wǎng)絡(luò)化用戶身份認(rèn)證方法，并 說明它們的基本原理和應(yīng)用方法。（1）基于客戶機(jī)/服務(wù)器模式（簡單模式、服務(wù)器認(rèn)證、客戶端認(rèn)證）（2）認(rèn)證 消息的加密傳輸（客戶機(jī)與服務(wù)器之間用密文傳輸）（3）面向服務(wù)的再度認(rèn)證（KERVEROS認(rèn)證系統(tǒng)模式）4/8操作系統(tǒng)中的PAM身份認(rèn)證框架是如何為具有身份認(rèn)證需求的服務(wù)程序提供靈活的身份認(rèn)證支持的？該框架由哪些主要成分構(gòu)成？為了使該框架發(fā)揮作用，系統(tǒng)管理員需要完成哪些工作？PAM的思想是

14、實現(xiàn)服務(wù)程序與認(rèn)證機(jī)制的分離，通過一個插拔式的接口，讓服務(wù) 程序插接到接口的一端，讓認(rèn)證機(jī)制插接到另一端，從而實現(xiàn)服務(wù)程序與認(rèn)證機(jī) 制的隨意組合。PAM框架定義了一個應(yīng)用程序接口 API。一個PAM系統(tǒng)主要是由 API、動態(tài)裝載的共享庫和配置文件構(gòu)成。在PAM框架中，每一種身份認(rèn)證機(jī)制 設(shè)置為一個PAM模塊，實現(xiàn)為一個動態(tài)裝載的共享庫。PAM模塊遵循PAM的API 規(guī)范。需要實施身份認(rèn)證過程的服務(wù)程序按照PAM的API規(guī)范調(diào)用PAM系統(tǒng)中的 身份認(rèn)證功能。4/15簡要說明UNIX操作系統(tǒng)中的syslog審計服務(wù)系統(tǒng)的基本結(jié)構(gòu) 和工作原理。Syslog審計服務(wù)系統(tǒng)由syslog的日志處理進(jìn)程、配

15、置文件、日志文件和syslog 函數(shù)庫構(gòu)成；工作原理:操作系統(tǒng)中的系統(tǒng)進(jìn)程用戶、進(jìn)程及系統(tǒng)內(nèi)核都有可能產(chǎn)生審計事件， 它們可以調(diào)用syslog函數(shù)庫中的函數(shù)把審計事件及相關(guān)的信息發(fā)送給syslog 守護(hù)進(jìn)程，由syslog為它們生成并處理日志信息。1/2信息安全攻擊一般包含哪些主要環(huán)節(jié)？在各個環(huán)節(jié)中，攻擊者主 要想實現(xiàn)哪些目標(biāo)？哪些環(huán)節(jié)與系統(tǒng)安全密切相關(guān)？為什么？包含偵查、掃描、獲取訪問、維持訪問、掩蓋蹤跡偵查：收集盡量多的有關(guān)被攻擊目標(biāo)的信息，以便為實際的攻擊做好準(zhǔn)備； 掃描：以便進(jìn)一步掌握有關(guān)的攻擊目標(biāo)的更多信息。獲取訪問：闖入和訪問目標(biāo)系統(tǒng)維持訪問：在攻擊成功之后為下一次攻擊打開方便之門

16、掩蓋蹤跡：銷毀攻擊痕跡以便掩蓋攻擊行徑1/6信息安全威脅可以劃分為哪幾種主要類型？它們分別有什么含義？什么樣的行為可能產(chǎn)生這些威脅？（1）威脅分為泄露、欺騙、破壞、篡奪。（2）泄露：對信息的非授權(quán)訪問；欺 騙：接受虛假數(shù)據(jù)；破壞：中斷或妨礙正常工作；篡奪：對系統(tǒng)某些部分的非授 權(quán)控制。（3）泄露行為：嗅探；欺騙行為：篡奪或更改、偽裝或電子欺騙、信源否認(rèn)、信宿否認(rèn)；篡奪行為：偽裝或電子欺騙、拖延、拒絕服務(wù)1/10什么是控制訪問矩陣？試說明它的結(jié)構(gòu)和含義，并舉例說明它在實際應(yīng)用中的應(yīng)用方法。訪問控制矩陣是對訪問控制行為的一種抽象表示。（2）矩陣中的行與系統(tǒng)中的主 體相對應(yīng)，矩陣中的列與系統(tǒng)中的客體相對應(yīng)，處于行與列的交叉點上的矩陣元 素，描述主體對客體的訪問權(quán)限。3：綁定：用一個實體的公鑰對一項