試題五（共25分）

閱讀以下有關軟件與信息安全方面的說明，在答題紙上回答問題1至問題3。

【說明】

某軟件公司擬開發一套信息安全支撐平臺，為客戶的局域網業務環境提供信息安全保護。該支撐平臺的主要需求如下：

（1）為局域網業務環境提供用戶身份鑒別與資源訪問授權功能；

（2）為局域網環境中交換的網絡數據提供加密保護；

（3）為服務器和終端機存儲的敏感持久數據提供加密保護；

（4）保護的主要實體對象包括局域網內交換的網絡數據包、文件服務器中的敏感數據文件、數據庫服務器中的敏感關系數據和終端機用戶存儲的敏感數據文件：

（5）服務器中存儲的敏感數據按安全管理員配置的權限訪問；

（6）業務系統生成的單個敏感數據文件可能會達到數百兆的規模；

（7）終端機用戶存儲的敏感數據為用戶私有；

（8）局域網業務環境的總用戶數在100人以內。

【問題l】（9分）

在確定該支撐平臺所采用的用戶身份鑒別機制時，王工提出采用基于口令的簡單認證機制，而李工則提出采用基于公鑰體系的認證機制。項目組經過討論，確定采用基于公鑰體系的機制，請結合上述需求具體分析采用李工方案的原因。

【問題2】（7分）

針對需求（7），項目組經過討論，確定了基于數字信封的加密方式，其加密后的文件結構如圖5-1所示。請結合需求說明對文件數據進行加密時，應采用對稱加密的塊加密方式還是流加密方式，為什么？并對該機制中的數據加密與解密過程進行描述。

以數字信封形式封裝的對稱密鑰

用對稱密鑰加密的文件數據

圖5-1 加密數據文件結構

【問題3】（9分）

對數據庫服務器中的敏感關系數據進行加密保護時，客戶業務系統中的敏感關系數據主要是特定數據庫表中的敏感字段值，客戶要求對不同程度的敏感字段采用不同強度的密鑰進行防護，且加密方式應盡可能減少安全管理與應用程序的負擔。目前數據庫管理系統提供的基本數據加密方式主要包括加解密API和透明加密兩種，請用300字以內的文字對這兩種方式進行解釋，并結合需求說明應采用哪種加密方式。

試題分析 本題考查的是安全性方面的知識，解決相關的問題，需要對一些基礎知識有一定了解。如：對稱加密與非對稱加密的基本流程，優缺點；口令認證與基于公鑰的數字證書認證做法有什么不同；數據庫加密中的加解密API與透明加密。具體的情況參看試題答案。試題答案【問題l】 （1）基于口令的認證方式實現簡單，但由于口令復雜度及管理方面的原因，易受到認證攻擊；而在基于公鑰體系的認證方式中，由于其密鑰機制的復雜性，同時在認證過程中私鑰不在網絡上傳輸，因此可以有效防止認證攻擊，與基于口令的認證方式相比更為安全。 （2）按照需求