网络安全基础应用与标准第五版课后 答案.pdf

第 1 章 【 】 思考题 1.1 OSI 安全体系结构是一个框架，它提供了一种系统化的方式来定义安全需求，并描述满足这些需求的方 法。该文档定义了安全攻击、机制和服务，以及这些类别之间的关系。 1.2 被动攻击与窃听或监视传输有关。电子邮件、文件传输和客户机 / 服务器交换是可以监视的传输示例。 主动攻击包括修改传输的数据和试图未经授权访问计算机系统。 1.3 被动攻击：发布消息内容和流量分析。主动攻击：伪装、重播、修改消息和拒绝服务。 1.4 认证：保证通信实体是其声称的实体。 访问控制：防止未经授权使用资源（即，此服务控制谁可以访问资源，在什么条件下可以进行访问，以及 允许访问资源的人做什么） 。 数据保密：保护数据不被未经授权的泄露。 数据完整性：确保接收到的数据与授权实体发送的数据完全一致（即不包含修改、插入、删除或重播） 。 不可否认性：提供保护，以防止参与通信的实体之一拒绝参与全部或部分通信。 可用性服务： 系统或系统资源的属性， 根据系统的性能规范， 经授权的系统实体可根据需要访问和使用 （即， 如果系统在用户请求时根据系统设计提供服务，则系统可用） 。 【习题】 1.1 系统必须在主机系统和交易传输期间对个人识别号保密。 它必须保护账户记录和个人交易的完整性。 东 道国制度的有效性对银行的经济福祉很重要，但对其受托责任却不重要。个人取款机的可用性不那么令人 担忧。 1.2 系统对个人交易的完整性要求不高， 因为偶尔丢失通话记录或账单记录不会造成持续损害。 然而， 控制 程序和配置记录的完整性是至关重要的。 没有这些， 交换功能将被破坏， 最重要的属性 -可用性 -将被破坏。 电话交换系统还必须保护个人通话的机密性，防止一个来电者偷听另一个来电。 1.3 a.如果系统用于发布公司专有材料，则必须确保保密性。 b.如果系统被用于法律或法规，则必须确保其完整性。 c.如果该系统用于出版日报，则必须确保其可用性。 1.4 a.在其 Web 服务器上管理公共信息的组织确定不存在保密性损失（即保密性要求不适用） 、完整性损 失的中度潜在影响和可用性损失的中度潜在影响。 B.管理极为敏感的调查信息的执法机构确定，保密损失的潜在影响高，诚信损失的潜在影响中等，可用 性损失的潜在影响中等。 c.管理日常行政信息（非隐私相关信息）的金融机构确定，保密性损失的潜在影响较低，完整性损失的 潜在影响较低，可用性损失的潜在影响较低。 d.承包组织内部的管理层确定： （i）对于敏感合同信息，保密损失的潜在影响是中等的，保密损失的潜在影响是 完整性中等，可用性丧失的潜在影响较低； （ii ）日常行政信息 e、 电厂管理层确定： （i ）对于由监控与数据采集系统采集的传感器数据，不存在保密性丧失、完整性 丧失和可用性丧失的潜在影响；以及（ ii ）对于系统正在处理的行政信息，保密性丧失的潜在影响很小，完 整性丧失的潜在影响很小，可用性丧失的潜在影响很小。 1.5 Release Traffic Masquerade Replay Modification Denial of analysis of messages of message servi