試題五(共25分)
閱讀以下關于信息系統安全性的說明����,在答題紙上回答問題1至問題3�。
【說明】某大型跨國企業(yè)的IT部門一年前基于SOA(Service-Oriented Architecture)對企業(yè)原有的多個信息系統進行了集成���,實現了原有各系統之間的互連互通��,搭建了支撐企業(yè)完整業(yè)務流程運作的統一信息系統平臺���。隨著集成后系統的投入運行����,IT部門發(fā)現在滿足企業(yè)正常業(yè)務運作要求的同時�����,系統也暴露出明顯的安全性缺陷��,并在近期出現了企業(yè)敏感業(yè)務數據泄漏及系統核心業(yè)務功能非授權訪問等嚴重安全事件�����。針對這一情況�,企業(yè)決定由IT部門成立專門的項目組負責提高現有系統的安全性。
項目組在仔細調研和分析了系統現有安全性問題的基礎上�����,決定首先為在網絡中傳輸的數據提供機密性(Confidentiality)與完整性(Integrity)保障��,同時為系統核心業(yè)務功能的訪問提供訪問控制機制���,以保證只有授權用戶才能使用特定功能����。 經過分析和討論�,項目組決定采用加密技術為網絡中傳輸的數據提供機密性與完整性保障。但在確定具體訪問控制機制時�����,張工認為應該采用傳統的強制訪問控制(Mandatory Access Control)機制��,而王工則建議采用基于角色的訪問控制(Role-Based Access Control)與可擴展訪問控制標記語言(eXtensible Access Control Markup Language�����,XACML)相結合的機制����。項目組經過集體討論,最終采用了王工的方案�。
【問題1】(8分)請用400字以內的文字,分別針對采用對稱加密策略與公鑰加密策略�����,說明如何利用加密技術為在網絡中傳輸的數據提供機密性與完整性保障��。
【問題2】(9分)請用300字以內的文字,從授權的可管理性���、細粒度訪問控制的支持和對分布式環(huán)境的支持三個方面指出項目組采用王工方案的原因�。
【問題3】(8分)圖5-1給出了基于XACML的授權決策中心的基本結構以及一次典型授權決策的執(zhí)行過程�,請分別將備選答案填入圖中的(1)~(4)。
備選答案:策略管理點(PAP)�、策略執(zhí)行點(PEP)、策略信息點(PIP)����、策略決策點(PDP)
