2019年全国软考信息安全工程师 中级下午真题：访问控制与密码学详解

【试题一】（14分）围绕信息安全系统的访问控制进行考察，涉及三个核心要素的理解和应用。首先，访问控制的基本要素包括（1）主体，即提出资源访问请求的用户或进程；（2）客体，即访问请求的对象，如文件、数据库记录等；（3）授权访问，这是决定主体是否被允许访问特定客体的规则。其次，题目提及的BLP模型是一个强制访问控制模型，其主要特点是（1）保证信息的机密性，确保只有经过授权的用户才能访问敏感信息；（2）采用的访问控制策略是上读下写，即父进程只能读取子进程的低权限信息，而子进程不能读取父进程的高权限信息。 针对Linux系统中的权限管理，问题3给出了一个实际例子。文件net.txt的权限属性表明，（1）文件属于系统的root用户，这是文件所有者；（2）权限的数字表示为"700"，这是一种八进制格式，其中第一个数字7代表文件类型（文件权限），第二个数字0表示权限设置，0通常表示文件是普通文件并且没有其他用户可以读写执行，第三个数字0表示没有附加组权限，仅文件所有者有权限。 【试题二】（13分）侧重于密码学在信息安全中的作用。密码学的核心目标是保护信息安全，其中CIA是三个重要的安全标准，分别代表（C）保密性（Confidentiality）、（I）完整性（Integrity）和（A）可用性（Availability）。对称密码算法，如仿射密码，是一种加密和解密过程都使用同一密钥的算法，安全性建立在密钥管理之上。仿射密码体制定义了加密（Ekey(X) = (K1X+K2) mod 26）和解密（Dkey(X)）的具体操作，强调了密钥对信息处理的重要性。 这两部分试题共同展示了信息安全工程中的关键概念，即访问控制模型、权限管理、密码学基础以及加密算法的应用，这些都是中级信息安全工程师应具备的基础知识。理解和掌握这些内容对于通过软考至关重要。