試題五（共25分）

閱讀以下有關軟件與信息安全方面的說明，在答題紙上回答問題1至問題3。

【說明】

某軟件公司擬開發(fā)一套信息安全支撐平臺，為客戶的局域網(wǎng)業(yè)務環(huán)境提供信息安全保護。該支撐平臺的主要需求如下：

（1）為局域網(wǎng)業(yè)務環(huán)境提供用戶身份鑒別與資源訪問授權(quán)功能；

（2）為局域網(wǎng)環(huán)境中交換的網(wǎng)絡數(shù)據(jù)提供加密保護；

（3）為服務器和終端機存儲的敏感持久數(shù)據(jù)提供加密保護；

（4）保護的主要實體對象包括局域網(wǎng)內(nèi)交換的網(wǎng)絡數(shù)據(jù)包、文件服務器中的敏感數(shù)據(jù)文件、數(shù)據(jù)庫服務器中的敏感關系數(shù)據(jù)和終端機用戶存儲的敏感數(shù)據(jù)文件：

（5）服務器中存儲的敏感數(shù)據(jù)按安全管理員配置的權(quán)限訪問；

（6）業(yè)務系統(tǒng)生成的單個敏感數(shù)據(jù)文件可能會達到數(shù)百兆的規(guī)模；

（7）終端機用戶存儲的敏感數(shù)據(jù)為用戶私有；

（8）局域網(wǎng)業(yè)務環(huán)境的總用戶數(shù)在100人以內(nèi)。

【問題l】（9分）

在確定該支撐平臺所采用的用戶身份鑒別機制時，王工提出采用基于口令的簡單認證機制，而李工則提出采用基于公鑰體系的認證機制。項目組經(jīng)過討論，確定采用基于公鑰體系的機制，請結(jié)合上述需求具體分析采用李工方案的原因。

【問題2】（7分）

針對需求（7），項目組經(jīng)過討論，確定了基于數(shù)字信封的加密方式，其加密后的文件結(jié)構(gòu)如圖5-1所示。請結(jié)合需求說明對文件數(shù)據(jù)進行加密時，應采用對稱加密的塊加密方式還是流加密方式，為什么？并對該機制中的數(shù)據(jù)加密與解密過程進行描述。

以數(shù)字信封形式封裝的對稱密鑰

用對稱密鑰加密的文件數(shù)據(jù)

圖5-1 加密數(shù)據(jù)文件結(jié)構(gòu)

【問題3】（9分）

對數(shù)據(jù)庫服務器中的敏感關系數(shù)據(jù)進行加密保護時，客戶業(yè)務系統(tǒng)中的敏感關系數(shù)據(jù)主要是特定數(shù)據(jù)庫表中的敏感字段值，客戶要求對不同程度的敏感字段采用不同強度的密鑰進行防護，且加密方式應盡可能減少安全管理與應用程序的負擔。目前數(shù)據(jù)庫管理系統(tǒng)提供的基本數(shù)據(jù)加密方式主要包括加解密API和透明加密兩種，請用300字以內(nèi)的文字對這兩種方式進行解釋，并結(jié)合需求說明應采用哪種加密方式。

試題分析 本題考查的是安全性方面的知識，解決相關的問題，需要對一些基礎知識有一定了解。如：對稱加密與非對稱加密的基本流程，優(yōu)缺點；口令認證與基于公鑰的數(shù)字證書認證做法有什么不同；數(shù)據(jù)庫加密中的加解密API與透明加密。具體的情況參看試題答案。試題答案【問題l】 （1）基于口令的認證方式實現(xiàn)簡單，但由于口令復雜度及管理方面的原因，易受到認證攻擊；而在基于公鑰體系的認證方式中，由于其密鑰機制的復雜性，同時在認證過程中私鑰不在網(wǎng)絡上傳輸，因此可以有效防止認證攻擊，與基于口令的認證方式相比更為安全。 （2）按照需求