1、第1章引論1金融信息系統包括哪幾種類型？它們之間有何關系？答：金融業務系統一般可分為事務處理系統、管理信息系統和決策支持系統三個部分。事/$務處理系統（EDPS管理系統（MIS）及決策支持系統（DSS三者間相對獨立又互相 聯系。三者之間聯 系的紐帶是三庫系統，即數據庫、方法庫和模型庫，它們是信息系統的核心。數數數亞原始數據金融事務處理系統可分為前臺綜合業務計算機處理系統（核心業務）和業務管理部門的日常事務處理系統。管理信息系統是金融企業經營管理的中心環節。決策支持系統是位于二 者之上的更高級的管理信息系 統。2 ?簡述金融信息系統的組成結構。答：從物理層面考察，一個典型的金融業務系統應具有用戶

2、、客戶端、網絡、應用服務器、數據庫服務器等不同的部分和層次。從邏輯層面考察，金融業務系統中的事務處理系統可劃分為核心層、業務層、服務層和客戶層四個層次。3 .事務處理系統有哪些功能？它們是如何實現的？答：事務處理系統用于完成面向客戶的前臺綜合業務以及管理部門的日常事務處理功能。這些功能使用通知類交易、請求類交易這兩大類交易完成。4 ?如何理解信息安全的全面性？答：信息安全的全面性可從以下幾個方面理解：1）信息系統是一個復雜的計算機系統，其面臨的威脅無處不在；2） 信息系統安全可分為物理安全、平臺安全、運行安全、通信安全、應用安全等多個層面；3）為達到IT安全目標的完備性，應對信息系統的各個環節

3、進行統一的綜合考慮；4） 計算機信息系統中各不相同的安全策略和安全機制所實現的安全功能及其安全性強度，應該相互匹配；5）信息系統的安全實現需用到要跨學科的專業知識。5 ?信息安全為什么具有周期性？答：安全系統生命周期是安全動態性的一個表現，也是風險平衡過程在組織級的體現。信息系統的這一動態變化來源于信息安全滿意度的周期性：一開始，系統被嚴重破壞，于是 經理雇傭安全專家處理，此后系統可達到較高的安全滿意度。隨著時間的流逝，情況又變得相當糟糕，如此周而復始。6為什么計算機不能做到完美的安全？答：計算機不能做到完美安全的原因是：1） 任何實際系統的信息安全都只能存在于某些假設和信任基礎之上。2） 在

4、特殊環境下安全的機制在一個更一般的環境中會有安全問題。3） 人類思維活動的局限性。4） 系統的安全性常常會受到實現期限、財務、技術、社會、環境和法律方面的限制。在“充分定義”能力級別上，為達到量化控制目標，應關注于測量：（1） 為機構的標準過程族的工作結果建立可測的質量目標； （ 2 ） 收集和分析過程執行情況的詳細測量數據,形成對過程能力的量化理解，以預測過程的執行，并能采取適當的修正行動。（ 3） 量化控制應與機構的業務目標緊密聯系。為達到“連續改進”的能力級別目標，需要進行缺陷預防，技術更新管理，過程更改管理，建立一個持續改進的文化。第2章金融信息風險1 ?簡述信息風險要素及其關系。答：

5、信息風險要素及其關系如下圖所示2 ?資產價值應該從哪些方面衡量？答：一般可從成本和收益兩個角度考慮資產的價值，具體包括：(1)獲取、開發、維護和保護該資產所需的成本(2)該資產對所有者、用戶和競爭對手所具有的價值：(3)該資產不可用情況下所造成的損失3 ?脆弱性包括哪些方面，應如何識別？答：脆弱性包括技術脆弱性、管理脆弱性兩大方面。技術脆弱性涉及物理層、網絡層、系 統層、應用層 等各個層面的安全問題。管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面。在脆弱性識別時，應注意以下幾點：(1)應從技術和管理兩個方面進行脆弱性識別。(2)脆弱性識別可以從橫向和縱向兩個不同的方向進行。(3)脆弱性

6、識別時的數據應來自于資產的所有者、使用者，以及相關業務領域和軟硬件方面的專業人員等。(4)脆弱性識別的依據可以是國際或國家安全標準，也可以是行業規范、應用流程的安全要求。(5)需要注意，由于所在的組織安全策略的不同，應用在不同環境中的相同的弱點，其脆弱性嚴重程度是不同的。5 ?信息系統災難會給企業帶來哪些損失？答：信息系統災難會給企業帶來直接損失和間接損失。直接損失是指在事件發生后系統直接產生的損失，直接損失具有可計算、損失不會擴大等特點。間接損失包括經營收益減少、信譽的降低、市場份額下降、客戶索賠費用、潛在承擔的法律責任等。第3章應用密碼學基礎1. 密碼系統一般包括哪些部分 ？各部分的關系是

7、怎樣的?答：密碼系統的兩個基本單元是算法和密鑰,具體包含以下組件：明文空間、密文空間、密鑰空間和算法。各部分的關系要求如下：a) 知道加密密鑰e ，加密算法E 容易計算；b) 知道解密密鑰d,解密算法Dd容易計算；c) 不知道d,由密文c二Ee(m)不能推導出明文 m2. 一次一密系統是可證明安全的，但它們為什么很少在實際中使用？ 答：在實際應用中，一次一密系統是難以實現的。這是因為以下原因：(1) 首先，安全分發、存儲和明文信息等長的密鑰是困難的。(2) 其次，如何生成真正的隨機密鑰也是一個現實問題。3. 散列函數與對稱密碼系統在計算原理、性能和用途方面有何異同？答：散列函數是一種接受任意長

8、的消息為輸入，并產生固定長度的輸出的算法。在計算原理方面，設計散列函數除了可利用某些對稱密鑰密碼系統外，也可：(1) 禾u用某些數學難題，例如，因子分解問題、離散對數問題等。(2) 直接設計方法 這類算法不基于任何假設和密碼系統。在性能方面，散列函數無需求逆。對它的性能方面的要求有：(1) 可壓縮性；接收長度不等的字母串，輸出固定長度。(2)易計算性；即給定h和輸入x,可以很容易地計算 h(x)；(3)抗碰撞特性；即給定h ,找到任意的x和y ,使得h(x)二h(y)是計算上不可行的；(4) 求逆很困難；即給定h 和 y =h(x) ，求出 x 是計算上不可行的。在用途方面，散列函數數用上比加

9、密算法被攻擊的弱點要少，因而可更好地用于消 息認證，但不能單獨作為密文傳送。4. DE唧法的安全弱點有哪些？應如何進行安全增強？答：DE唧法的安全弱點有：(1)分組長度(64比特)不夠大；(2)密鑰長度(56比特)不夠大；(3)存在弱密鑰和半弱密鑰； (4 )輪函數中 S-Box 設計原理至今沒有公布，可能有不安全因素。可對DESM法進行下述安全增強：(1)將分組密碼級聯以增加分組密鑰的長度；(2) 避免使用弱密鑰和半弱密鑰。5. 對稱加密與非對稱的比較(一)、對稱密碼體制對稱密碼體制是一種傳統密碼體制，其特點是( 1) 在對稱加密系統中，加密和解密采用相同的密鑰。( 2) 對稱密鑰算法具有加

10、密處理簡單，加解密速度快，密鑰較短，發展歷史悠久( 3) 發送信息的通道往往是不可靠的不安全非對稱密碼體制的特點在于:(1)在多人之間進行保密信息傳輸所需的密鑰組和數量很小；(2) 公開密鑰系統可實現數字簽名。(3) 缺點：具有加解密速度慢的特點，密鑰尺寸大，發展歷史較短等特點公鑰密碼系統與對禰密鑰密碼系統址鑰密碼嘉統討稱密郎密碼累址非純性汽按或穢憧等U較粗酉保密憎誼分；fc基松理集一類堆解的救學網題，伺如大側敦鬧子分解或離敞對數等1度卜樹檢度密鑰井發容趴可口通過公開佶道分發第4章密鑰管理1.在層次化密鑰管理體系中，不同層次的密鑰分配方式和更新頻率有何不同？答：見下表。密鑰分配方式更新頻率主密

11、鑰手工分配可以長期不更改銀行主密鑰可米取 請求一分發”式的動態分發技術；可以 采用靜態分配技術，即一種由中心 以脫線方式 預分配的技術，面對面”進行分發與主密鑰類似工作密鑰在線申請或協商新的密鑰每天或每次啟動時都要更新2 .銀行體系中的工作密鑰包括哪幾種？簡述其分配要求和過程。答：工作密鑰包括 MA盅鑰(MAK )、PIN校驗密鑰(PIK)、卡校驗密鑰(CVK、終端密鑰 (TMK)等密鑰。由于工作密鑰使用量大， 因而應每天或每次啟動時都要申請新的密鑰。根據實際需要，當系統啟動、交易筆數超過一定的限量或密鑰失效等情況時也需要更換工作密鑰。在某些情況下，如網上銀行交易，可能需要在每次不同的交易會話

12、中都使用不同的密鑰，即會話密鑰。分配過程是：在開機時，前臺網點要執行申請密鑰程序， 入網機構將申請重置密鑰 請求報文發 送給后臺，主機接收到該請求后， 立即返回應答。同時主機啟動密鑰更新模 塊，為請求方生成新密 鑰，并將新密鑰用用相應 BMKffl密，以重置密鑰請求報文發送 給請求方。3 .簡述密鑰/證書生命周期管理各階段的主要內容。答：密鑰/證書生命周期管理大體經歷三個不同的階段：(1) 初始化階段初始化階段包括的內容主要有：用戶注冊、密鑰對產生、證書創建、證書發送和儲存、密鑰備份、證書分發等。(2) 使用階段使用階段中的主要操作內容包括：證書檢索、證書驗證、密鑰恢(3) 取消階段復、密鑰更

13、新等。內容主要有：證書過期、證書撤銷、密鑰歷史和密鑰檔案第5章身份認證1.以口令系統為例，剖析身份認證系統應該包括哪些部分？各部分的保護要求有哪些？答：認證系統通常需要包括以下幾個部分：認證信息集合A：實體用于證明其身份的特定信息的集合；補充信息集合C：系統存儲并用于驗證認證信息的信息集合，例如unix系統的shadow 口令文件。補充函數集合F:根據認證信息生成補充信息的函數集合，認證函數集合L選擇函數集合S:使得一個實體可以創建或修改認證信息和補充信息。1. 如何理解身份認證的注冊性要求？在實現系統中有哪些實現形式？答：注冊性要求：需要證明的主體特征應是預先設置或約定的，用于身份認證的信物

14、”(證據或憑證)的特征應記錄在案，這就是注冊。 驗證方和證明方具有相同意義的信物”。驗證主體和證明主體是主從關系，這種關系規定了發證的合法性和有效域。一個系統只能對自己管轄的主體發證，而一個主體的憑證只能在所屬系統范圍內有效，因此，一個驗證主體管轄的證明方是有邊界的，而不是無限的。系統中，典型實現形式：(1) 身份證；(2) 公鑰證書；(3) 對稱密鑰；(4) 各類憑2 .為身份認證提供一體性證據的主要方法有哪些？ °答：提供一體性證據的方法主要是基于下列原理中的一種或幾種：(1)證明方證明他知道某事或某物，例如口令，是個體向本地系統進行身份認證的最實用的機制之-* ,(2) 證明方

15、證明他擁有某事或某物，例如柜員IC卡、存折、銀行卡等，通常通過證明方證明他知道與這些事物綁定的口令、密鑰或個人識別號來達到。(3)證明方展示某些不變的個體特征，例如照片、指紋等；(4)證明方在某一特定場所或時間內提供證據。機器地址、物理地點、時間或狀態等上下文要素可以為身份認證提供輔助性的信息。3 . 口令保護措施有哪些？答：(1)防止口令猜測的措施1)需要選用易記難猜的口令；2)適當增加口令位數；3)" salting ”技術；4)限制使用認證函數(2) 對抗線路竊聽的措施1)采用密文形式傳輸；2 )使用散列函數；3)使用密碼器件；4)使用管理和控制過程(3) 動態口令1)挑戰/應

16、答機制；2)時間同步機制；3)事件同步技術。(4) 態口令可以對抗哪些攻擊？各種實現機制的工作原理及其優缺點有哪些？答：動態口令可以對抗口令泄漏和口令重放等攻擊。各種實現機制的工作原理及其優缺點是：1(1) 挑戰/應答機制在這種機制中，挑戰數作為變量，由驗證者給證明方發送一個隨機的挑戰值，證明方必須提供看到這一挑戰值的證據。這種機制能大大提高抵抗重放攻 擊的能力，可支持不同的應用。缺點是通信雙方需要協商通行證算法，這一過程可能易遭 受攻擊。(2) 時間同步機制以時間作為變量。進行認證時，將靜態口令p '輸入器件，得到關于口令p'、dsv和當前時戳的一個動態口令值并顯示在器件的液

17、晶屏上。認證服務器使用同樣的對稱密鑰、口令和時間進行相同的運算，并將處理結果它與收到的動態口令進行 比較，如果相同，則通過認證。這一認證機制的安全強度高，不容易被攻破。其缺點是：1)對設備精度要求高，成本高；2)器件耗電量大；3)應用模式單一，難以支持雙向 認證及“數字簽名” 等應用需求。(3) 事件同步技術事件同步機制以事件(次數/序列數)作為變量，它通過同步認證算法產生“動態口令”。事件同步認證技術的代表是S/Key系統，它使用用戶輸入的種子，基于單向hash的n次操作，產生一個有n個口令的表，所使用的口令依次是第n ,n-1 , , ,1次散列的結果。用戶保存這一口令表，驗證服務器保存用

18、于下一次提供的口令 的序號i ,和上一次用戶所提交的正確口令的十六進制表示。在認證時，驗證服務器要求用戶提供口令pi如果與數據庫中的口令表匹配，即p=H( pi-i),那么認證成功。在現實中，可使用口令機制和基于密碼技術的結合：首先使用口令向IC卡認證它自己，然后器件使用密碼技術產生動態密碼，向最終的驗證者認證它自己。同步認證技術生成的口令具有時間無關性，無法預測、無法跟蹤截取和破譯，事件同步機制是比較安全的一次性動態口令，同時，也不用擔心網絡或者操作延時會對密碼的認證產生影響。其缺點是，產生動態密碼的算法都掌握在生產廠家，對用戶存在一定風險，如果廠家泄密或被攻破，其災難 性將會是全局性的。5

19、.名字與身份有何區別？在對系統實體進行命名時，需要注意哪些問題？答：名字與身份的區別在于：(1) 一個實體可能有多個不同種類的名字(2) 一個名字可用于不同的身份(3)名字只在一定的上下文中才能分辨出擁有者的身份。在對系統實體進行命名時，需要注意的問題有：(1) 確保命名的全局一致性(2) 命名方式應基于應用環境的實際需求(3) 用戶的命名方式不應該包括對應用戶的工作職責(4) 以地址命名實體是不可靠的(5) 設計足夠大的名字空間，以避免從頭修改的麻煩(6) 名字服務必須與所要保護的系統規模相適應(7) 禁止使用別名，并使得各個局部命名方案能夠相互兼容(8) 盡量使用成熟的命名技術(9) 命名

20、方案應適應組織的變化(10) 名字可以附加訪問票據或能力(11) 隨機、匿名的名字是有商業價值的。6.身份認證有哪些實現模式？各模式的特點是什么？答：身份認證的實現模式有：(1) .基本模型基本模型應用于封閉式業務網絡中，所有計算機以及它們之間的通信都在嚴格的控制之下，后臺服務程序不須進行操作員認證工作，而由用戶登錄的計算機來管理用戶的認證來保證正確的訪問。(2) ?內聯式認證在內聯式認證中，實體的身份被中間者認證，然后中間者為它提供擔保。中間者包含雙方的認證信息。內聯式認證應用于像大中型企業不同應用域之間的互聯系統這樣的半開放系統中，rlogin和rsh等遠程服務的提供者選擇自己信任的計算機

21、，對發來請求的主機，通過檢查其主機地址來實現認證，對每臺認證過的主機的用戶不進行認證。(3) .使用在線認證服務器證明方從在線認證服務器獲得一個通行證，并傳給驗證者；或者驗證者同服務器進行交互以完成認證。需要注意的一點是，為了保證在線認證服務器的可用性，系統必須存在對抗口0畋擊的機制。.使用離線服務器的一個代表是公鑰證書的目錄服務器離線服務器在這樣的協議中，無需在線認證服務器。然而，獲得被驗證者合格的公鑰和證書撤銷列表仍需要，通這樣的服務器有時稱作離線認常這些證書和撤銷列表也從一個不可信的目錄服務器中獲得, 證服務器。7?基于對稱密碼技術的認證與基于公鑰技術的認證的異同點第6章訪問控制1.訪問

22、控制系統由哪些部分組成？各部分的作用是什么?答：訪問控制系統的組成如下圖所示:各部分的作用是：(1) 訪問請求系統之間相互建立一個連接或者在給定的連接上給一個特定的系統發送個特的數據項。(2) 安全策略策略是關于如何實現安全屬性的大綱。策略描述了對系統中實體和行為的約束。策略可表示為一系列的規則，以表明哪些用戶具有訪問某個客體的權限,也可以用于說明在不同的系統域之間進行交互時應遵守的規貝農(3) 執行單元策略執行單元也稱策略實施點，它截獲訪問者發出的對某一目標的訪問請示，對請求進行處理，根據用戶信息，操作請求和目標形成決策請 求，發給決策點。(4) 決策單元訪問控制決策單元也稱策略決策點，它是

23、一個判斷邏輯，如訪問控制代碼中的判斷函數，根據策略規則對決策請求進行判斷，并將是否允許 訪問系統的決策結果返給策略執行點。|2.安全策略的限制性原則體現在哪些方面？答：安全策略的限制性原則體現在以下方面：(1) 實施最小權限(2) 自動防護缺省原則(3) 完全仲裁原則(4) 最小公共機制原則(5) 保密原則3 .自主訪問控制使用哪幾類機制？各有何優缺點？ 答：實現自主訪問控制的主要機制有：訪問控制列表訪問控制列表具有實施簡單的優點，但也存在一定的局限性：1)不能直接實現(用戶，程序，文件)控制三元組；2)不能很好地表達變化著的狀態，難以管理有狀態的訪問規則；3)訪問規則的撤消不便；4)無法滿足

24、 Wei應用這樣的新興分布系統的安全需求。訪問控制矩陣，相對于訪問控制列表，能力機制的一個優點是：1)實時安全檢查更加有效；2)可以方便地進行授權。訪問控制矩陣的缺點是不能處理大規模應用系統的內部訪問控制要求。 授權證書優點是可以更有效地實現大規模網絡中分布式資源的管理和共享，但技術仍不是很成熟。4 .長城模型有什么特點？答：(1)長城模型是一個多邊安全系統，用于處理利益沖突。(2) 訪問規則主要通過組織的管理規則和過程實現，而不是底層的計算機程序自動完成。(3) 采取保密性和完整性兼顧的策略。(4) 為訪問條件加入了時間屬性。(5) 初始時主體可訪問的 CD并不固定。5.與其他主要模型相比，

25、基于角色的訪問控制模型有何優勢？ 答：(1)可對數量巨大、高度分散的雇員、應用及其關聯關系進行有效管理。(2) 可與DAC MAI型共存。(3) 可在應用層上實現，并直接支持最小特權策略。(4) 能夠以簡單的方式向最終用戶提供語義更為豐富、得到完整控制的存取功能。6, BLA與BIBA模型異同點，并舉出實際系統的應用？ P109-112Biba模型的應用WE®務器在WES艮務器中，可以將 Wet服務器上發布的資源的安全級別定義為“秘密"，In ternet 上用戶的安全級別為“公開"，依照Biba模型，We務器上數據的完整性將得到保障，In ternet 上的用戶

26、只能讀取服務器上的數據而不能更改它，因此，任何"POST操作將被拒絕。 網絡設備的配置 另一個例子是對系統狀態信息的收集，網絡設備作為對象，被分配的安全等級為“機密”，網管工作站的安全級別為 “秘密”，那么網管工作站將只能使用 SNMTget"命令來收集網到n的度量值，用戶進程如果要執行一個信用等級較低的程序，用戶必須使用run-u ntrusted 命令，表示接受相關的風險。Blp模型的應用邊防戰斗文件信息管理系統系統用片劃分為5個角色：省軍區、軍分區、邊防 團?邊防管、邊防連？結合BLP模型得 出BIP模型 在本系統中的應用模型,如圖2所示。邊潔fll以軍分區為例：軍分

27、區用尸可以對所屬邊防 團的數據僖息進行讀.但不能寫匚同時對 省軍區只 能寫，不能讀省軍區信息。這就保證了侑息只能向上潦動，從而實現了對信息的嚴密管理。第7章應用安全協議1 .如何理解應用安全協議的完整性服務？它有哪些實現手段？答：應用安全協議的完整性服務要求保護系統以防止未授權的改變、刪除或替代。完整性機制包括：加密、簽名、測試字、封裝、檢測和警告等。2 .為防止傳遞過程的非否認，應采取哪些措施？答：為防止傳遞過程的非否認，應采取的措施有：(1)可信第三方令牌(2) 數字簽名(3)新鮮性證據(4)漸進傳遞與報告(5)第三方傳遞代理(6)非否認機制的聯合使用.3 .簡述OSI應用協議模型的主要內

28、容。答：ISO/IEC10745提供了高層安全協議的通用構建工具和協議組件的模型，根據該模型，為實現應用層待保護的用戶 數據I辦議項系統組件 I通信組件安全，協議需要提供系統安全組件和安全通信組件。協議各部分之間的關系如下圖所示：待保護的用戶：數據協議項 ；iIH V ，*0*，立 4 *!««# I V'lflH fl ;通信組件匕系統組件I!I安全機制協 議數據項安全機制協 議數據項4 . OSI高層安全模型提出了哪些主要安全概念？各概念的含義是什么?答：(1)安全關聯兩個(或多個)系統之間共同維護著一些規則、狀態信息(實體ID,選用的算法、密鑰、其他參數)等屬

29、性。(2) 安全變換 填充、加密、簽名、完整性校驗值和完整性序列號等的各種變體和組合。(3) 安全交換 在安全機制的直接支持下，兩個系統間傳輸一系列與安全相關的信息。5 .安全交換規范包括哪些部分？答：一個安全交換規范應包括幾方面的內容，如要交換的信息項的數據類型、交換目的、交換進行過程以及相關的錯誤指示，具體為：(1)說明要交換的信息項的數據類型。要交換的信息項的數據類型可以由前述的選擇字段保護表示法進行描述。(2)說明進行到交換的哪個階段，在哪個方向，應該傳輸什么信息；(3)在什么情況下可認定發生了錯誤，發生錯誤時向對方發出的錯誤指示是什么類型。(4)安全交換的全局唯一的標識符例如，協議中

30、的消息項中包含的序列號、新鮮的隨機數等可作為本次安全交換的全局唯一的標識符。(5)安全交換的目的和結果的含義。7、在應用層提供安全服務的原因和優勢？并舉出一個映容成安全服務實例8 章事務處理1. 舉例說明事務應該具有的安全性質。 答：標準事務應滿足以下特性：(1) 原子性事務是系統的邏輯工作單位，事務中包括的諸操作要么都做，要么都不做；(2) 致性事務執行的結果必須是使系統從一個一致性狀態變到另一個一致性狀態；(3) 隔離性一個事務的執行不能被其他事務干擾，即一個事務內部的操作及使用的數據對其他并發事務是隔離的；(4) 持續性一個事務一旦提交，它對系統中數據的改變就應該是永久性的。接下來的其他

31、操作或故障不應該對其執行結果有任何影響。2. 簡述 Clark-Wils on 模型的主要內容。答： Clark-Wilson 模型是一個完整性模型，其主要內容有：(1) 信息處理資源通常表述為變換過程(TP) , TP 由一個順序執行的操作序列組成，操作具有形如(OPMODELCDI)樣的二元結構形式，以表明變換過程是以何種模式來存取某一受控數據項值的。(2)為滿足數據客體和事務過程的完整性需求，TP要具有把系統數據從一個一致狀態帶到下一個一致狀態的良構特性。(3) Clark-Wils on 模型定義了系統的完整性驗證過程，以驗證系統中的所有的受控數據項 CDI 是否都處于一致狀態。(4) Clark-Wilson模型要求一個用戶(User)至少也至多 只能屬于 AuthUser、ExecUser 和 SysUser 之一，以實現職責隔離。(5) 通過授權用戶可以執行哪些程序來約束用戶。(6) 一個變換過程的執行動作必須和一個用戶身份相關聯，并且使用三元組集合(user ,TP , CDIs) 來刻畫允許執行的過程授權關系。(7)根據Clark-Wilson 模型，所有的TP