第5章 数据库加密与安全

企业网络安全与数据保护行业信息安全方案第一章企业网络安全概述 (3)1.1 网络安全重要性 (3)1.2 网络安全现状分析 (3)1.3 企业网络安全策略 (3)第二章信息安全风险管理 (4)2.1 风险识别与评估 (4)2.1.1 风险识别 (4)2.1.2 风险评估 (4)2.2 风险处理与应对 (5)2.2.1 风险规避 (5)2.2.2 风险减轻 (5)2.2.3 风险转移 (5)2.2.4 风险接受 (5)2.3 风险监控与报告 (5)2.3.1 风险监控 (5)2.3.2 风险报告 (5)第三章网络安全防护技术 (6)3.1 防火墙与入侵检测系统 (6)3.1.1 防火墙技术 (6)3.1.2 入侵检测系统 (6)3.2 虚拟专用网络（VPN） (6)3.3 数据加密与安全传输 (7)3.3.1 对称加密 (7)3.3.2 非对称加密 (7)3.3.3 数字签名 (7)3.3.4 安全传输协议 (7)第四章数据保护与隐私政策 (7)4.1 数据分类与标识 (7)4.2 数据访问控制与权限管理 (8)4.3 数据备份与恢复 (8)第五章安全审计与合规 (8)5.1 安全审计策略与实施 (8)5.2 合规性检查与评估 (9)5.3 安全事件处理与报告 (9)第六章网络安全意识培训与文化建设 (10)6.1 员工网络安全意识培训 (10)6.1.1 培训目标与内容 (10)6.1.2 培训方式与策略 (10)6.1.3 培训周期与频率 (10)6.2.1 文化理念 (10)6.2.2 文化传播 (10)6.2.3 文化活动 (11)6.3 培训效果评估与改进 (11)6.3.1 评估指标 (11)6.3.2 评估方法 (11)6.3.3 改进措施 (11)第七章网络安全应急响应 (11)7.1 应急预案制定与演练 (11)7.1.1 应急预案的制定 (11)7.1.2 应急预案的演练 (12)7.2 应急响应组织与协调 (12)7.2.1 应急响应组织架构 (12)7.2.2 应急响应协调 (12)7.3 应急处理与恢复 (12)7.3.1 应急处理 (12)7.3.2 应急恢复 (12)第八章网络安全法律法规与政策 (13)8.1 国家网络安全法律法规 (13)8.1.1 《中华人民共和国网络安全法》 (13)8.1.2 《中华人民共和国数据安全法》 (13)8.1.3 《中华人民共和国个人信息保护法》 (13)8.1.4 其他相关法律法规 (13)8.2 行业网络安全政策 (13)8.2.1 网络安全产业发展政策 (13)8.2.2 网络安全技术创新政策 (13)8.2.3 网络安全人才培养政策 (14)8.3 企业网络安全合规性要求 (14)8.3.1 遵守国家网络安全法律法规 (14)8.3.2 建立网络安全管理制度 (14)8.3.3 加强网络安全防护措施 (14)8.3.4 保障个人信息安全 (14)8.3.5 加强网络安全人才培养和培训 (14)第九章信息系统安全评估 (14)9.1 安全评估方法与流程 (14)9.1.1 安全评估概述 (14)9.1.2 安全评估方法 (15)9.1.3 安全评估流程 (15)9.2 安全评估工具与实施 (15)9.2.1 安全评估工具 (15)9.2.2 安全评估实施 (15)9.3 安全评估结果分析与改进 (15)9.3.1 安全评估结果分析 (16)第十章网络安全技术发展趋势与展望 (16)10.1 人工智能在网络安全中的应用 (16)10.2 区块链技术在网络安全中的应用 (16)10.3 未来网络安全发展趋势与挑战 (17)第一章企业网络安全概述1.1 网络安全重要性信息技术的飞速发展，网络已成为企业运营、管理、决策的重要载体。

数据安全保护策略与操作手册第1章数据安全策略概述 (4)1.1 数据安全的重要性 (4)1.2 数据安全政策框架 (5)1.3 数据安全组织与管理 (5)第2章数据分类与分级 (6)2.1 数据分类原则 (6)2.2 数据分级标准 (6)2.3 数据安全标签制度 (6)第3章访问控制策略 (6)3.1 访问控制原则 (6)3.1.1 最小权限原则：用户和程序在执行任务时应仅被授予完成任务所需的最小权限，以减少潜在的数据泄露风险。

(7)3.1.2 分级授权原则：根据用户职责和工作需求，合理分配不同级别的访问权限，保证数据安全与业务运行的平衡。

(7)3.1.3 权限分离原则：将数据操作、审核和监督等职责分配给不同的人员，防止内部滥用权限。

(7)3.1.4 动态调整原则：根据用户工作职责的变化，定期评估和调整其访问权限，保证权限的合理性和有效性。

(7)3.1.5 审计与监控原则：对访问控制策略的实施情况进行审计和监控，以便及时发觉并处理违规行为。

(7)3.2 用户身份认证 (7)3.2.1 强密码策略：要求用户设置复杂度较高的密码，包括字母、数字和特殊字符的组合，定期更换密码。

(7)3.2.2 多因素认证：结合密码、短信验证码、生物识别等多种认证方式，提高用户身份认证的可靠性。

(7)3.2.3 用户行为分析：通过分析用户行为，识别潜在的风险行为，为安全策略的调整提供依据。

(7)3.2.4 账户锁定机制：连续多次认证失败后，锁定用户账户，防止恶意攻击和密码破解。

(7)3.3 权限管理 (7)3.3.1 权限分配：根据用户职责和工作需求，合理分配系统、应用和数据权限。

(7)3.3.2 权限审批：对高级别权限的申请进行严格审批，保证权限分配的合理性。

(7)3.3.3 权限回收：定期对不再需要的权限进行回收，降低潜在安全风险。

(7)3.3.4 权限审计：对权限使用情况进行审计，发觉并处理权限滥用、越权访问等安全问题。

网络信息安全防御手册第1章基础知识 (3)1.1 信息安全概述 (3)1.2 常见网络攻击手段 (4)1.3 安全防御策略 (4)第2章物理安全 (5)2.1 服务器与网络设备安全 (5)2.1.1 设备放置 (5)2.1.2 访问控制 (5)2.1.3 设备保护 (5)2.1.4 线路安全 (5)2.2 数据中心安全 (5)2.2.1 数据中心选址 (5)2.2.2 环境安全 (5)2.2.3 网络隔离 (6)2.2.4 安全审计 (6)2.3 办公环境安全 (6)2.3.1 办公设施安全 (6)2.3.2 访客管理 (6)2.3.3 信息安全意识培训 (6)2.3.4 资产管理 (6)第3章网络边界防御 (6)3.1 防火墙配置与管理 (6)3.1.1 防火墙概述 (6)3.1.2 防火墙类型及选择 (6)3.1.3 防火墙配置原则 (7)3.1.4 防火墙策略配置 (7)3.1.5 防火墙日志管理 (7)3.1.6 防火墙维护与升级 (7)3.2 入侵检测与防御系统 (7)3.2.1 入侵检测与防御系统概述 (7)3.2.2 入侵检测与防御系统部署 (7)3.2.3 入侵检测与防御系统配置 (7)3.2.4 入侵检测与防御系统联动 (7)3.2.5 入侵检测与防御系统日志分析 (7)3.3 虚拟专用网络（VPN） (8)3.3.1 VPN概述 (8)3.3.2 VPN部署场景 (8)3.3.3 VPN设备选型与配置 (8)3.3.4 VPN功能优化 (8)3.3.5 VPN安全防护 (8)3.3.6 VPN故障排除 (8)第4章认证与访问控制 (8)4.1 用户身份认证 (8)4.1.1 用户名与密码 (8)4.1.2 二维码扫码认证 (9)4.1.3 多因素认证 (9)4.2 权限管理 (9)4.2.1 基于角色的访问控制（RBAC） (9)4.2.2 基于属性的访问控制（ABAC） (9)4.2.3 权限审计与调整 (9)4.3 访问控制策略 (9)4.3.1 防火墙策略 (9)4.3.2 入侵检测与防御系统（IDS/IPS） (9)4.3.3 安全审计 (9)4.3.4 虚拟专用网络（VPN） (10)4.3.5 数据加密 (10)第5章加密技术 (10)5.1 对称加密与非对称加密 (10)5.2 数字签名 (10)5.3 证书与公钥基础设施（PKI） (10)第6章恶意代码防范 (11)6.1 病毒与木马 (11)6.1.1 病毒防范策略 (11)6.1.2 木马防范措施 (11)6.2 蠕虫与僵尸网络 (11)6.2.1 蠕虫防范策略 (11)6.2.2 僵尸网络防范措施 (11)6.3 勒索软件与挖矿病毒 (12)6.3.1 勒索软件防范策略 (12)6.3.2 挖矿病毒防范措施 (12)第7章应用程序安全 (12)7.1 网络应用漏洞分析 (12)7.1.1 常见网络应用漏洞类型 (12)7.1.2 漏洞产生原因 (12)7.1.3 漏洞防御措施 (13)7.2 安全编码实践 (13)7.2.1 安全编码原则 (13)7.2.2 安全编码技巧 (13)7.2.3 安全编码规范 (13)7.3 应用层防火墙 (13)7.3.1 应用层防火墙原理 (14)7.3.2 应用层防火墙部署 (14)7.3.3 应用层防火墙优化 (14)第8章数据安全与备份 (14)8.1 数据加密与脱敏 (14)8.1.1 数据加密技术 (14)8.1.2 数据脱敏技术 (14)8.2 数据库安全 (14)8.2.1 访问控制 (15)8.2.2 审计 (15)8.2.3 加密 (15)8.3 数据备份与恢复 (15)8.3.1 数据备份策略 (15)8.3.2 备份技术 (15)8.3.3 恢复方法 (15)第9章安全运维 (15)9.1 安全事件监控与响应 (15)9.1.1 安全事件监控 (15)9.1.2 安全事件响应 (16)9.2 安全审计与合规性检查 (16)9.2.1 安全审计 (16)9.2.2 合规性检查 (16)9.3 安全运维工具与平台 (16)9.3.1 安全运维工具 (16)9.3.2 安全运维平台 (17)第10章防御策略与实战案例 (17)10.1 综合防御策略制定 (17)10.1.1 防御策略概述 (17)10.1.2 制定防御策略的步骤 (17)10.2 安全防护体系建设 (18)10.2.1 网络边界防护 (18)10.2.2 内部网络防护 (18)10.2.3 数据安全防护 (18)10.3 实战案例分析及应对措施 (18)10.3.1 案例一：勒索软件攻击 (18)10.3.2 案例二：网络钓鱼攻击 (19)10.3.3 案例三：跨站脚本攻击（XSS） (19)第1章基础知识1.1 信息安全概述信息安全是指保护计算机系统中的信息资源，保证其不受未经授权的访问、泄露、篡改、破坏和丢失的措施。

网络平台数据安全保障方案第一章数据安全概述 (2)1.1 数据安全定义 (2)1.2 数据安全重要性 (3)1.3 数据安全发展趋势 (3)第二章数据安全法律法规与合规 (4)2.1 数据安全相关法律法规 (4)2.2 数据安全合规要求 (4)2.3 合规性检查与评估 (5)第三章数据安全风险评估 (5)3.1 风险评估流程 (5)3.2 风险识别与分类 (6)3.3 风险评估与应对策略 (6)第四章数据加密技术 (7)4.1 数据加密原理 (7)4.2 加密算法与应用 (7)4.2.1 对称加密算法 (7)4.2.2 非对称加密算法 (8)4.3 加密密钥管理 (8)第五章数据存储安全 (8)5.1 数据存储策略 (8)5.2 存储设备安全 (9)5.3 存储数据加密 (9)第六章数据传输安全 (10)6.1 数据传输加密 (10)6.1.1 基本概念 (10)6.1.2 常用加密算法 (10)6.1.3 加密算法应用 (10)6.2 传输协议安全 (10)6.2.1 协议 (10)6.2.2 IPsec协议 (10)6.2.3 SSH协议 (10)6.3 数据传输审计 (11)6.3.1 审计重要性 (11)6.3.2 审计实施方法 (11)第七章数据备份与恢复 (11)7.1 数据备份策略 (11)7.1.1 完全备份 (11)7.1.2 差异备份 (11)7.1.3 增量备份 (11)7.1.4 按需备份 (11)7.2 备份存储管理 (12)7.2.1 存储介质选择 (12)7.2.2 存储位置规划 (12)7.2.3 备份周期设定 (12)7.2.4 备份策略优化 (12)7.3 数据恢复流程 (12)7.3.1 确定恢复需求 (12)7.3.2 选择备份文件 (12)7.3.3 恢复数据 (12)7.3.4 验证恢复结果 (12)第八章数据访问控制 (13)8.1 访问控制策略 (13)8.2 用户身份验证 (13)8.3 权限管理 (13)第九章数据安全审计 (14)9.1 审计策略与流程 (14)9.1.1 制定审计策略 (14)9.1.2 审计流程 (14)9.2 审计日志管理 (15)9.2.1 日志收集 (15)9.2.2 日志存储 (15)9.2.3 日志分析 (15)9.3 审计报告与分析 (15)9.3.1 审计报告撰写 (15)9.3.2 审计报告分析 (16)第十章数据安全事件应急响应 (16)10.1 应急响应流程 (16)10.2 事件分类与处理 (16)10.3 应急响应团队建设 (17)第十一章数据安全教育与培训 (17)11.1 员工安全意识培训 (17)11.2 安全技能培训 (18)11.3 培训效果评估 (18)第十二章数据安全管理体系建设 (19)12.1 安全管理体系框架 (19)12.2 安全管理制度 (19)12.3 安全管理评估与改进 (20)第一章数据安全概述1.1 数据安全定义数据安全，顾名思义，是指保护数字数据免受未经授权的访问、篡改、泄露、损坏或丢失的一系列措施和方法。

信息安全概论习题及答案第1章概论1．谈谈你对信息的理解 .答：信息是事物运动的状态和状态变化的方式。

2．什么是信息技术答：抽象地说，信息技术是能够延伸或扩展人的信息能力的手段和方法。

本书中，信息技术是指在计算机和通讯技术支持下，用以获取、加工、储存、变换、显示和传输文字、数值、图像、视频、音频以及语音信息，而且包含供给设备和信息服务两大方面的方法与设备的总称。

也有人以为信息技术简单地说就是 3C：Computer＋Communication＋ Control 。

3．信息安全的基本属性主要表此刻哪几个方面答：（1）完好性（ Integrity）（2）保密性（ Confidentiality）（3）可用性（ Availability）（4）不行否定性（ Non-repudiation）（5）可控性（ Controllability）4．信息安全的威迫主要有哪些答：（1）信息泄漏（7）冒充毒（ 2）损坏信息（8）旁路控制（15）人员不慎的完好性（9）受权入侵（16）媒体荒弃（3）拒绝服务（10）特洛伊木（17）物理侵入（ 4）非法使用马（18）盗取（非受权接见）（11）圈套门（19）业务欺诈（5）窃听（12）狡辩等（ 6）业务流分（13）重放析（14）计算机病5．如何实现信息安全答：信息安全主要经过以下三个方面：A信息安全技术：信息加密、数字署名、数据完好性、身份鉴识、接见控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填补、路由控制体制、公证体制等；B 信息安全管理：安全管理是信息安全中拥有能动性的构成部分。

大多半安全事件和安全隐患的发生，并不是完好部是技术上的原由，而常常是因为管理不善而造成的。

安全管理包含：人事管理、设备管理、场所管理、储存媒体管理、软件管理、网络管理、密码和密钥管理等。

C 信息安全有关的法律。

法律能够令人们认识在信息安全的管理和应用中什么是违纪行为，自觉恪守纪律而不进行违纪活动。

第二章关系数据库1 ．试述关系模型的三个组成部分。

答：关系模型由关系数据结构、关系操作集合和关系完整性约束三部分组成。

2 ．试述关系数据语言的特点和分类。

答：关系数据语言可以分为三类：关系代数语言。

关系演算语言：元组关系演算语言和域关系演算语言。

SQL：具有关系代数和关系演算双重特点的语言。

这些关系数据语言的共同特点是，语言具有完备的表达能力，是非过程化的集合操作语言，功能强，能够嵌入高级语言中使用。

3 （略）4 ．5 . 述关系模型的完整性规则。

在参照完整性中，为什么外部码属性的值也可以为空？什么情况下才可以为空？答：实体完整性规则是指若属性 A 是基本关系R 的主属性，则属性 A 不能取空值。

若属性(或属性组)F 是基本关系R 的外码，它与基本关系S 的主码Ks 相对应( 基本关系R 和S 不一定是不同的关系)，则对于R 中每个元组在 F 上的值必须为：或者取空值(F 的每个属性值均为空值)；或者等于S 中某个元组的主码值。

即属性 F 本身不是主属性，则可以取空值，否则不能取空值。

6.设有一个SPJ 数据库，包括S，P，J，SPJ 四个关系模式：1）求供应工程J1 零件的供应商号码SNO：πSno(σJno=‘J1’（SPJ）)2）求供应工程J1 零件P1 的供应商号码SNO：πSno(σJno=‘J1’∧Pno=‘P1‘(SPJ))3）求供应工程J1 零件为红色的供应商号码SNO ：πSno(πSno,,Pno（σJno=‘J1‘ (SPJ))∞πPno（σCOLOR= ’红‘（P）))4）求没有使用天津供应商生产的红色零件的工程号JNO ：πJno(SPJ)- πJNO（σcity=‘天津’∧Color= ‘红‘（S∞ SPJ∞ P）5）求至少用了供应商S1 所供应的全部零件的工程号JNO：πJno，Pno(SPJ)÷πPno（σSno=‘S1‘（SPJ）7.试述等值连接与自然连接的区别和联系。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

作业1：P37、P38 教材第一章课后习题3、9、10、18、22、233 ．试述文件系统与数据库系统的区别和联系。

答：文件系统与数据库系统的区别是：文件系统面向某一应用程序，共享性差，冗余度大，数据独立性差，记录内有结构，整体无结构，由应用程序自己控制。

数据库系统面向现实世界，共享性高，冗余度小，具有较高的物理独立性和一定的逻辑独立性，整体结构化，用数据模型描述，由数据库管理系统提供数据的安全性、完整性、并发控制和恢复能力。

文件系统与数据库系统的联系是：文件系统与数据库系统都是计算机系统中管理数据的软件。

解析文件系统是操作系统的重要组成部分；而 DBMS 是独立于操作系统的软件。

但是DBMS 是在操作系统的基础上实现的；数据库中数据的组织和存储是通过操作系统中的文件系统来实现的。

9 ．定义并解释概念模型中以下术语：实体，实体型，实体集，属性，码，实体联系图（ E一 R 图）答：实体：客观存在并可以相互区分的事物叫实体。

实体型：具有相同属性的实体具有相同的特征和性质，用实体名及其属性名集合来抽象和刻画同类实体，称为实体型。

实体集：同型实体的集合称为实体集。

属性：实体所具有的某一特性，一个实体可由若干个属性来刻画。

码：惟一标识实体的属性集称为码。

实体联系图（ E 一 R 图）：提供了表示实体型、属性和联系的方法：·实体型：用矩形表示，矩形框内写明实体名；·属性：用椭圆形表示，并用无向边将其与相应的实体连接起来；·联系：用菱形表示，菱形框内写明联系名，并用无向边分别与有关实体连接起来，同时在无向边旁标上联系的类型（ 1 : 1 , 1 : n 或 m : n ）。

10 ．试给出 3 个实际部门的 E 一 R 图，要求实体型之间具有一对一、一对多、多对多各种不同的联系。

答：18 ．试述关系模型的概念，定义并解释以下术语： ( l ）关系（ 2 ）属性（ 3 ）域（ 4 ）元组 ( 5 ）主码（ 6 ）分量（ 7 ）关系模式答：关系模型由关系数据结构、关系操作集合和关系完整性约束三部分组成。

第五章-信息系统⼯程1-软件⼯程1.1-架构设计1.软件架构为软件系统提供了一个结构、行为和属性的高级抽象，由构件的描述，构件的相互作用（连接体）、指导构件集成的模式以及这些模式的约束组成。

2.软件架构主要研究内容涉及软件架构描述、软件架构风格。

软件架构评估和软件架构的形式化方法等。

3.研究软件架构的根本目的是解决好软件的复用、质量和维护问题。

4.软件架构设计的一个核心问题是能否达到架构级的软件复用，也就是说，能否在不同的系统中使用同一个架构软件。

软件架构风格是描述某一个特定应用领域找那个系统组织方式的惯用模式。

5.通用软件架构：数据流风格、调用/返回风格、独立构件风格、虚拟机风格和仓库风格。

6.数据流风格：包括批处理序列和管道/过滤器两种风格。

7.调用/返回风格包括主程序/子程序、数据抽象和面向对象，以及层次结构。

8.独立构件风格包括进程通信和事件驱动的系统9.虚拟机⻛格包括解释器和基于规则的系统。

10.仓库⻛格包括数据库系统、⿊板系统和超⽂本系统。

11.在架构评估过程中，评估⼈员所关注的是系统的质量属性。

1.2-需求分析1.虚拟机⻛格包括解释器和基于规则的系统。

需求是多层次的，包括业务需求、⽤户需求和系统需求，这三个不同层次从⽬标到具体，从整体到局部，从概念到细节。

2.业务需求：指反映企业或客户对系统⾼层次的⼀个⽬标追求，通常来⾃项⽬投资⼈、购买产品的客户、客户单位的管理⼈员、市场营销部⻔或产品策划部⻔等。

3.⽤户需求：描述的是⽤户的具体⽬标，或者⽤户要求系统能完成的任务，⽤户需求描述了⽤户能让系统来做什么。

4.系统需求：是指从系统的⻆度来说明软件的需求，包括功能需求，⾮功能需求和设计约束。

5.质量功能部署QFD是⼀种将⽤户要求转化成软件需求的技术，其⽬的是最⼤限度地提升软件⼯程过程中⽤户的满意度。

为了达到这个⽬标，QFD将需求分为三类，分别是常规需求、期望需求和意外需求。

6.需求过程主要包括需求获取、需求分析、需求规格说明书编制、需求验证与确认等。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

计算机网络安全基础（第三版）习题参考答案第一章习题：1．举出使用分层协议的两条理由？1.通过分层，允许各种类型网络硬件和软件相互通信，每一层就像是与另一台计算机对等层通信；2.各层之间的问题相对独立，而且容易分开解决，无需过多的依赖外部信息；同时防止对某一层所作的改动影响到其他的层；3.通过网络组件的标准化，允许多个提供商进行开发。

2．有两个网络，它们都提供可靠的面向连接的服务。

一个提供可靠的字节流，另一个提供可靠的比特流。

请问二者是否相同？为什么？不相同。

在报文流中，网络保持对报文边界的跟踪；而在字节流中，网络不做这样的跟踪。

例如，一个进程向一条连接写了1024字节，稍后又写了另外1024字节。

那么接收方共读了2048字节。

对于报文流，接收方将得到两个报文，、每个报文1024字节。

而对于字节流，报文边界不被识别。

接收方把全部的2048字节当作一个整体，在此已经体现不出原先有两个不同的报文的事实。

3．举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。

OSI模型(开放式系统互连参考模型)：这个模型把网络通信工作分为7层，他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

第一层到第三层属于低三层，负责创建网络通信链路；第四层到第七层为高四层，具体负责端到端的数据通信。

每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持。

TCP/IP模型只有四个层次：应用层、传输层、网络层、网络接口层。

与OSI功能相比，应用层对应的是OSI的应用层、表示层、会话层；网络接口层对应着OSI的数据链路层和物理层。

两种模型的不同之处主要有：(1) TCP/IP在实现上力求简单高效，如IP层并没有实现可靠的连接，而是把它交给了TCP层实现，这样保证了IP层实现的简练性。

OSI参考模型在各层次的实现上有所重复。

(2) TCP/IP结构经历了十多年的实践考验，而OSI参考模型只是人们作为一种标准设计的；再则TCP/IP有广泛的应用实例支持，而OSI参考模型并没有。

数据库安全管理规定第一章总则第一条为加强天津中诚资信评估有限公司(以下简称“公司”)数据库管理，保障评级数据库正常、有效运行，确保数据库安全，使数据库能更好地服务于评级工作，特制定本管理制度。

第二条公司系统管理员负责评级数据库的日常维护和运行管理。

第三条公司总经理负责对数据库使用者进行权限审批。

第二章数据的录入第四条各业务部门的评级分析师负责评级数据库的数据录入工作，部门负责人为本部门评级业务数据录入工作的责任人。

第五条评级项目组负责人是其负责项目的评级信息录入工作的责任人。

评级项目组在现场考察和访谈结束后____个工作日内，应将该评级项目的相关评级信息输入评级数据库。

跟踪评级时资料有更新的，应在跟踪评级工作结束前将更新资料录入数据库。

在资料归档前，评级项目负责人应对录入的数据资料进行格式和内容核查。

第六条录入的数据源主要包括宏观经济信息、行业信息、发行人基本信息、证券的基本信息、发行人生产经营情况和财务数据等，其中发行人基本信息和财务数据是必须录入的数据。

第七条数据库数据应严格按系统管理员下发的录入模板标准进行采集和录入。

第三章数据库的使用第八条根据评级业务对数据库用户管理的要求，公司应制定数据库用户管理制度和数据库操作规程。

第九条根据公司总经理授权，数据库用户权限级别分三种：普通用户、录入用户、高级用户。

第十条普通用户拥有查询、浏览、使用数据库中公开发布的各类数据的权利。

第1页共3页天津中诚资信评估有限公司数据库管理制度第十一条录入用户除拥有普通用户权限外，拥有录入数据和修改本人录入的数据的权利。

第十二条高级用户除具有录入用户的权限外，经授权还具有修改本部门数据的权限。

第十三条根据工作需要经公司总经理批准用户权限级别可变更。

特殊用户的权限设置应由公司总经理批准。

第十四条系统管理员负责按审批规定办理具体用户的授权、变更权限和注销等管理工作。

第十五条用户的密码管理应遵循如下规定：用户密码必须通过复杂性检验，位数不少于____位，并不得以数字开头;密码应定期更改;用户名和密码为个人专用，不得泄露给他人，特殊情况需要他人以自己的用户名和密码进入数据库时，应取得部门负责人同意，并在工作完成后及时修改密码。

附录A 练习与实践部分习题答案（个别有更新）第1章练习与实践一部分答案1.选择题(1) A (2) C (3) D (4) C(5) B (6) A (7) B (8) D2.填空题(1) 计算机科学、网络技术、信息安全技术(2) 保密性、完整性、可用性、可控性、不可否认性(3) 实体安全、运行安全、系统安全、应用安全、管理安全(4) 物理上逻辑上、对抗(5) 身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复(6) 多维主动、综合性、智能化、全方位防御(7) 技术和管理、偶然和恶意(8) 网络安全体系和结构、描述和研究第2章练习与实践二部分答案1. 选择题(1) D (2) A (3) B(4) B (5) D （6）D2. 填空题(1) 保密性、可靠性、SSL协商层、记录层(2) 物理层、数据链路层、传输层、网络层、会话层、表示层、应用层(3) 有效性、保密性、完整性、可靠性、不可否认性、不可否认性(4) 网络层、操作系统、数据库(5) 网络接口层、网络层、传输层、应用层(6) 客户机、隧道、服务器(7) 安全保障、服务质量保证、可扩充性和灵活性、可管理性第3章练习与实践三部分答案1. 选择题（1）D （2）D （3）C （4）A （5）B （6）C2. 填空题（1）信息安全战略、信息安全政策和标准、信息安全运作、信息安全管理、信息安全技术。

（2）分层安全管理、安全服务与机制（认证、访问控制、数据完整性、抗抵赖性、可用可控性、审计）、系统安全管理（终端系统安全、网络系统、应用系统）。

（3）信息安全管理体系、多层防护、认知宣传教育、组织管理控制、审计监督（4）一致性、可靠性、可控性、先进性和符合性（5）安全立法、安全管理、安全技术(6) 信息安全策略、信息安全管理、信息安全运作和信息安全技术(7) 安全政策、可说明性、安全保障(8) 网络安全隐患、安全漏洞、网络系统的抗攻击能力（9）环境安全、设备安全和媒体安全（10）应用服务器模式、软件老化第4章练习与实践四部分答案1. 选择题（1）A (2)C (3)B (4)C (5)D．2. 填空题(1) 隐藏IP、踩点扫描、获得特权攻击、种植后门、隐身退出。