試題五（共25分）

閱讀以下有關軟件與信息安全方面的說明，在答題紙上回答問題1至問題3。

【說明】

某軟件公司擬開發(fā)一套信息安全支撐平臺，為客戶的局域網業(yè)務環(huán)境提供信息安全保護。該支撐平臺的主要需求如下：

（1）為局域網業(yè)務環(huán)境提供用戶身份鑒別與資源訪問授權功能；

（2）為局域網環(huán)境中交換的網絡數據提供加密保護；

（3）為服務器和終端機存儲的敏感持久數據提供加密保護；

（4）保護的主要實體對象包括局域網內交換的網絡數據包、文件服務器中的敏感數據文件、數據庫服務器中的敏感關系數據和終端機用戶存儲的敏感數據文件：

（5）服務器中存儲的敏感數據按安全管理員配置的權限訪問；

（6）業(yè)務系統(tǒng)生成的單個敏感數據文件可能會達到數百兆的規(guī)模；

（7）終端機用戶存儲的敏感數據為用戶私有；

（8）局域網業(yè)務環(huán)境的總用戶數在100人以內。

【問題l】（9分）

在確定該支撐平臺所采用的用戶身份鑒別機制時，王工提出采用基于口令的簡單認證機制，而李工則提出采用基于公鑰體系的認證機制。項目組經過討論，確定采用基于公鑰體系的機制，請結合上述需求具體分析采用李工方案的原因。

【問題2】（7分）

針對需求（7），項目組經過討論，確定了基于數字信封的加密方式，其加密后的文件結構如圖5-1所示。請結合需求說明對文件數據進行加密時，應采用對稱加密的塊加密方式還是流加密方式，為什么？并對該機制中的數據加密與解密過程進行描述。

以數字信封形式封裝的對稱密鑰

用對稱密鑰加密的文件數據

圖5-1 加密數據文件結構

【問題3】（9分）

對數據庫服務器中的敏感關系數據進行加密保護時，客戶業(yè)務系統(tǒng)中的敏感關系數據主要是特定數據庫表中的敏感字段值，客戶要求對不同程度的敏感字段采用不同強度的密鑰進行防護，且加密方式應盡可能減少安全管理與應用程序的負擔。目前數據庫管理系統(tǒng)提供的基本數據加密方式主要包括加解密API和透明加密兩種，請用300字以內的文字對這兩種方式進行解釋，并結合需求說明應采用哪種加密方式。

試題分析 本題考查的是安全性方面的知識，解決相關的問題，需要對一些基礎知識有一定了解。如：對稱加密與非對稱加密的基本流程，優(yōu)缺點；口令認證與基于公鑰的數字證書認證做法有什么不同；數據庫加密中的加解密API與透明加密。具體的情況參看試題答案。試題答案【問題l】 （1）基于口令的認證方式實現(xiàn)簡單，但由于口令復雜度及管理方面的原因，易受到認證攻擊；而在基于公鑰體系的認證方式中，由于其密鑰機制的復雜性，同時在認證過程中私鑰不在網絡上傳輸，因此可以有效防止認證攻擊，與基于口令的認證方式相比更為安全。 （2）按照需求