网络信息安全服务.pptVIP

网络资源包括信息资源和服务资源。授权控制框架是对网络资源进行授权管理和访问控制的基本框架，它独立于各种应用系统，独立于各个安全子系统的授权管理系统，对网络资源实施统一管理，是网络资源管理的最主要的安全机制。授权控制框架可对各种应用服务进行授权管理，包括WWW应用、客户机/服务器应用、TCP/IP应用、数据库应用、面向对象的分布系统应用CORBA、报文队列MQ应用等标准应用对象。授权管理系统提供的基本服务是授权管理，管理和维护授权策略、对象映射、用户角色等，并且要有使用方便的管理界面，可以进行安全的远程管理。应用服务系统通过授权应用程序接口获取授权信息，实施用户对对象的访问控制。授权控制框架也应基于国际标准以保证它的互操作性。 网络信息基本安全服务是为了维护信息自身的安全，针对信息安全威胁，用以对抗攻击的基本安全服务：机密性服务、完整性服务、可用性服务、可审性服务。 机密性服务提供信息的保密。机密性服务包括文件机密性、信息传输机密性以及通信流的机密性。相应的机制有访问控制、加密、填充通信等。机密性服务可阻止访问攻击，但它必须与可审性服务一起使用。 4.9 本章小结 完整性服务提供信息的正确性。完整性服务包括文件完整性、信息传输完整性。相应的机制有访问控制、加密、数字签名等。完整性服务可成功地阻止篡改攻击和否认攻击，但它也必须与可审性服务一起使用。 可用性服务提供的信息是可用的，使合法用户能访问计算机系统、存取该系统上的信息、运行各种应用程序。可用性服务包括后备、在线恢复和灾难恢复。可用性服务是针对拒绝服务攻击的一种安全服务。可用性并不能阻止DOS攻击，但可用来减少这类攻击的影响。 可审性服务包括身份标识与身份鉴别、审计。可审性服务本身并不能针对攻击提供保护，它必须和其他安全服务结合，从而使这些服务更有效。可审性服务会增加系统的复杂性，降低系统的使用能力。然而，如果没有可审性服务，机密性服务与完整性服务也会失效。 身份鉴别的方法有知识因子、拥有因子、生物因子以及它们的组合。网络环境下的身份鉴别是指可靠地验证某个通信参与方的身份是否与他声称的身份一致的过程，一般通过某种复杂的身份认证协议来实现。 数字签名是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证。 Kerberos鉴别是一种使用对称密钥加密算法来实现通过第三方密钥分发中心（KDC）的身份认证系统。 公钥基础设施（PKI）是在分布式计算机系统中提供的使用公钥密码系统和X.509证书安全服务的基础设施。 访问控制是指确定可给予哪些主体访问的权利、确定以及实施访问权限的过程。被访问的数据统称客体，能访问或使用客体的活动实体称主体。访问控制一般都是基于安全政策和安全模型的。 4-1 机密性服务提供信息的保密，机密性服务包括（）。 文件机密性 B. 信息传输机密性 C. 通信流的机密性 D. 以上3项都是 4-2 完整性服务提供信息的正确性。该服务必须和（）服务配合工作，才能对抗篡改攻击。 A. 机密性 B. 可用性 C. 可审性 D. 以上3项都是 4-3 数字签名要预先使用单向Hash函数进行处理的原因是（）。 习题 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确地还原成明文 4-4 Kerberos的设计目标不包括（）。 A. 认证 B. 授权 C. 记账 D. 加密 4-5 身份鉴别是安全服务中的重要一环，以下关于身份鉴别的叙述不正确的是（）。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 4-6 基于通信双方共同拥有的但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是（）。 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证 4-7 Kerberos在请求访问应用服务器之前，必须（）。 A. 向Ticket Granting服务器请求应用服务器ticket B. 向认证服务器发送要求获得“证书”的请求 C. 请求获得会话密钥 D. 直接与应用服务器协商会话密钥 4-8 下面不属于PKI（公钥基础设施）的组成部分的是（）。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 4-9 下列对访问控制影响不大的是（）。 A. 主体身份 B. 客体身份 C. 访问类型 D. 主体与客体的类型 4-10 为了简化管理，通常对访问者（），避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C