2017年系统架构设计师案例分析试题加答案.docx

系统架构设计师 http:/www.educity.cn/rk/sa/index.html2017年系统架构设计师案例分析试题加答案（3）系统架构设计师考试属于软考中的一项高级资格考试，考试分综合知识、案例分析和论文3个科目。下午的案例分析是考试的一大难点，希赛小编为大家整理了几道系统架构设计师案例分析试题，希望对大家有所帮助。阅读以下关于信息系统安全性的叙述，回答问题。某企业根据业务扩张的要求，需要将原有的业务系统扩展到互联网上，建立自己的B2C业务系统，此时系统的安全性成为一个非常重要的设计需求。为此，该企业向软件开发商提出如下要求。合法用户可以安全地使用该系统完成业务。灵活的用户权限管理。保护系统数据的安全，不会发生信息泄露和数据损坏。防止来自于互联网上的各种恶意攻击。业务系统涉及各种订单和资金的管理，需要防止授权侵犯。业务系统直接面向最终用户，需要在系统中保留用户使用痕迹，以应对可能的商业诉讼。该软件开发商接受任务后，成立方案设计小组，提出的设计方案是：在原有业务系统的基础上，保留了原业务系统中的认证和访问控制模块；为了防止来自互联网的威胁，增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会，对该方案进行了评审，各位专家对该方案提出了多条不同意见。李工认为，原业务系统只针对企业内部员工，采用了用户名/密码方式是可以的，但扩展为基于互联网的B2C业务系统后，认证方式过于简单，很可能造成用户身份被盗取：王工认为，防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为，即使是在原有业务系统上的扩展与改造，也必须全面考虑信息系统面临的各种威胁，设计完整的系统安全架构，而不是修修补补。7、信息系统面临的安全威胁多种多样，来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要拙述。8、认证是安全系统中不可缺少的环节，请简要描述主要的认证方式，并说明该企业应采用哪种认证方式。9、请解释授权侵犯的具体含义；针对王工的意见给出相应的解决方案，说明该解决方案的名称、内容和目标。参考答案7、信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等多个方面。物理安全威胁是指对系统所用设备的威胁，如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄露。通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性，对内部网络形成的严重安全威肋。操作系统安全威胁指的是操作系统本身的后门或安全缺陷，如“木马”和“陷阱门”等。应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁，包括应用系统自身漏洞和受到“木马”的威胁。管理系统安全威胁指的是人员管理和各种安全管理制度。解析这是一道信息系统安全的试题。对于任何一个系统而言，安全性都是至关重要的，可以说一个系统的安全性如果得不到保障，那么该系统的功能越强大，造成的危害也就越大。网络威胁是指对网络安全缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全威胁的种类有：窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用、陷门和特洛伊木马、病毒、诽谤等。对于信息系统来说，威胁可以是针对物理环境、通信链路、网络系统、操作系统、应用系统以及管理系统等方面。物理安全威胁，是指对系统所用设备的威胁，自然灾害、电源故障、操作系统引导失败或数据库信息丢失、设备被盗/被毁造成数据丢失或信息泄露。通信链路安全威胁，是指在传输线路上安装窃听装置或对通信链路进行干扰。网络安全威胁，互联网的开放性、国际性与无安全管理性，对内部网络形成严重的安全威胁。操作系统安全威胁，对系统平台最危险的威胁是在系统软件或硬件芯片中植入威胁，如“木马”和“陷阱门”、BIOS有万能密码。应用系统安全威胁，是指对于网络服务或用户业务系统安全的威胁，也受到“木马和“陷阱门”的威胁。对于管理系统安全威肋、，是指必须要从人员管理上杜绝安全漏洞。具体来讲，常见的安全威胁有如下几种。信息泄露：信息被泄露或透露给某个非授权的实体。破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。拒绝服务：对信息或其他资源的合法访问被无条件地阻止。非法使用(非授权访问)：某一资源被某个非授权的人、或以非授权的方式使用。窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号进行搭线监听，或者利用通信设备在工作过程中产生的电磁泄漏截取有用信息等。业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从而发现有价值的信息和规律。假冒：通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多采用假冒进行攻击。旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来一些系统的“特性”。利用这些“特性”，攻击者可以绕过防线守卫者侵入系统的内部。授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称为“内部攻击”。特洛伊木马：软件中含有一个察觉不出的或者无害的程序段，当它被执行时，会破坏用户的安全。这种应用程序称为特洛伊木马(TrojanHorse)。(11)陷阱门：在某个系统或某个部件中设置了“机关”，使得当提供特定的输入数据时，允许违反安全策略。(12)抵赖：这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。(13)重放：所截获的某次合法的通信数据拷贝，出于非法的目的而被重新发送。(14)计算机病毒：所谓计算机病毒，是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。一种病毒通常含有两个功能：一种功能是对其他程序产生“感染”；另外一种或者是引发损坏功能、或者是一种植入攻击的能力。(15)人员不慎：一个授权的人为了钱或利益、或由于粗心，将信息泄露给一个非授权的人。(16)媒体废弃：信息被从废弃的磁性的或打印过的存储介质中获得。(17)物理侵入：侵入者通过绕过物理控制而获得对系统的访问。(18)窃取：重要的安全物品，如令牌或身份卡被盗。(19)业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。通过对网络面临的安全风险威胁和实施相应控制措施的支出进行合理的评价，提出有效合理的安全技术，形成提升网络信息的安全性质的安全方案，是安全架构设计的根本目标。在实际应用中，可以从安全技术的角度提取出以下五个方面的内容：认证鉴别、访问控制、内容安全、冗余恢复和审计响应。8、目前主要的认证方式有以下三类。用户名和口令认证：主要是通过一个客户端与服务器共知的口令(或与口令相关的数据)进行验证。根据处理形式的不同，分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据。使用令牌认证：该方式中，进行验证的密钥存储于令牌中，目前的令牌包括安全证书和智能卡等方式。生物识别认证：主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据试题5所述该企业的业务特征，采用令牌认证较为合适。用户的身份认证是许多应用系统的第一道防线，其目的在于识别用户的合法性，从而阻止非法用户访问系统。身份认证对确保系统和数据的安全保密是极其重要的，目前，计算机网络系统中常用的身份认证方式主要有以下几种。口令认证用户名/密码是最简单也是最常用的身份认证方法，密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日和电话号码等容易被猜测的字符串作为密码，或者将密码抄在纸上，放在一个自认为安全的地方。这样，很容易造成密码泄露，即使能保证用户密码不被泄露，由于密码是静态的数据，在验证过程中需要在网络中传输，而每次验证使用的信息都是相同的，很容易被驻留在内存中的木马程序或网络中的监听设备截获。因此，从安全性上讲，用户名/密码方式是一种极不安全的身份认证方式。令牌认证在使用令牌进行认证的系统中，进行验证的密钥存储于令牌中。对密钥的访问用口令进行控制。令牌是一个像IC卡一样可以加密存储并运行相应加密算法的设备，这种简单认证可以快速、方便地实现用户身份认证，但是认证的安全强度不高。通过令牌可以完成对用户必须拥有某物的验证。令牌的实现分为质询响应令牌和时间戳令牌。其中使用较多的是时间戳令牌。质询响应令牌的工作原理是：在进行身份认证时，认证服务器首先发送一个随机数到客户机的登录程序。用户将这个随机数读出，输入令牌，并输入令牌的PIN码(实际就是口令)，得以访问令牌。令牌对输入的随机数用存储的私钥进行签名，并把结果用Base64编码输出。用户把令牌的输出填入客户机的验证程序中，数据传输到认证的服务器端，在服务器端将使用用户的公钥对签名进行验证，以确定是否允许客户通过登录认证。在该方案中，由于使用数字签名进行登录认证，系统的安全强度大大增加：私钥采用令牌存储的方式解决了私钥自身的安全问题。令牌是一个可移动的设备，可以随身携带，而且令牌有PIN码保护，对令牌的非法访问超过一定的次数后，令牌会死锁。时间戳令牌解决了质询响应令牌中随机数的问题，时间戳令牌利用时间代替上面的随机数。时间戳令牌每时每刻都在工作，一般每分钟产生一个登录数据，用户只需输入PIN码。登录数据被传送到认证的服务器端，服务器利用当前时间对登录数据进行验证，完成用户的登录过程。使用时间戳令牌需要重点考虑时间同步问题，由于令牌的时钟和认证服务器的时钟不同步，产生的验证码并不会通过验证。解决的方法是在验证服务器上进行多次试探验证，在一个时间范围内试探，如果成功则在服务器上存储令牌时钟与服务器时钟的偏移量，以便下次登录时使用。目前，在安全性要求较高的认证系统中，多数采用这种方案。采用PIN码与令牌实现了双因素验证，根据用户知道什么、拥有什么进行认证，也提供了一个保密认证密钥的方法。但是实现双因素验证需要用户输入数据，给用户的操作增加了麻烦。生物识别认证生物特征识别是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征分为身体特征和行为特征两类，身体特征包括指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA(NeoxyriboNucleicAcid，脱氧核糖核酸)等；行为特征包括签名、语音和行走步态等。目前，部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术，将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术，将血管纹理识别、人体气味识别、DNA识别等归为深奥的生物识别技术。三因素认证基于用户知道什么(口令)、拥有什么(私钥和令牌)、是什么(生物特征)的三因素认证是目前强认证中使用最多的手段。在安全性要求较高的系统中，认证必须能对用户进行身份鉴定。要将用户知道什么、拥有什么、是什么结合起来，同时对认证用的密钥进行保护。9、授权侵犯指的是被授权以某一目的使用某一系统或资源的某个人，将此权限用于其他非授权的目的，也称作“内部攻击”。针对王工的建议，从系统安全架构设计的角度需要提供抗抵赖框架。抗抵赖服务包括证据的生成、验证和记录，以及在解决纠纷时随即进行的证据恢复和再次验证。框架中抗抵赖服务的目的是提供有关特定事件或行为的证据。例如，必须确认数据原发者和接收者的身份和数据完整性，在某些情况下，可能需要涉及上下文关系(如日期、时间、原发者/接收者的地点等)的证据，等等。属于技术应用型的题。给出了一些现象，让考生分析原因，分析缺陷。从描述来看，我们可以很明显得知系统缺乏安全审计的策略。而在安全体系中，审计占有非常重要的地位，安全审汁系统可以帮助发现系统入侵和漏洞、帮助发现系统性能上的不足、为一些安全案件提供有效的追纠证据。同时缺乏抗抵赖的机制。