信息系统安全某企业根据业务扩张的要求，需要将原有的业

简答题 信息系统安全某企业根据业务扩张的要求，需要将原有的业务系统扩展到互联网上，建立自己的B2C业务系统，此时系统的安全性成为一个非常重要的设计需求。为此，该企业向软件开发商提出如下要求： ①合法用户可以安全地使用该系统完成业务。 ②灵活的用户权限管理。 ③保护系统数据的安全，不会发生信息泄露和数据损坏。 ④防止来自于互联网上的各种恶意攻击。 ⑤业务系统涉及各种订单和资金的管理，需要防止授权侵犯。 ⑥业务系统直接面向最终用户，需要在系统中保留用户使用痕迹，以应对可能的商业诉讼。该软件开发商接受任务后，成立方案设计小组，提出的设计方案是：在原有业务系统的基础上，保留了原业务系统中的认证和访问控制模块；为了防止来自互联网的威胁，增加了防火墙和入侵检测系统。企业和软件开发商共同组成方案评审会，对该方案进行了评审，各位专家对该方案提出了多点不同意见。李工认为，原业务系统只针对企业内部员工，采用了用户名/密码方式是可以的，但扩展为基于互联网的B2C业务系统后，认证方式过于简单，很可能造成用户身份被盗取：王工认为，防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为，即使是在原有业务系统上的扩展与改造，也必须全面考虑信息系统面临的各种威胁，设计完整的系统安全架构，而不是修修补补。认证是安全系统中不可缺少的环节，请简要描述主要的认证方式，并说明该企业应采用哪种认证方式。

正确答案：目前主要的认证方式有以下3类：
①用户名和口令认证：主要是通过一个客户端与服务器共知的口令（或与口令相关的数据）进行验证。根据处理形式的不同，分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据。
②使用令牌认证：该方式中，进行验证的密钥存储于令牌中，目前的令牌包括安全证书和智能卡等方式。
③生物识别认证：主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据该企业的业务特征，采用令牌认证较为合适。
答案解析：
关注下方微信公众号，在线模考后查看

热门试题