《電子商務(wù)安全導論名詞解釋、簡答題[共26頁]》由會員分享，可在線閱讀，更多相關(guān)《電子商務(wù)安全導論名詞解釋、簡答題[共26頁]（27頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、名詞解釋 1，電子商務(wù) 是建立在電子技術(shù)基礎(chǔ)上的商業(yè)運作，是利用電子技術(shù)加強，加快，擴展，增強，改變了其有關(guān)過程的商務(wù)。 2，EDI 電子數(shù)據(jù)交換是第一代電子商務(wù)技術(shù)，實現(xiàn)BTOB方式交易。 3，BTOB 企業(yè)機構(gòu)間的電子商務(wù)活動。 4，BTOC 企業(yè)機構(gòu)和消費者之間的電子商務(wù)活動。 5，intranet 是指基于TCP/IP協(xié)議的企業(yè)內(nèi)部網(wǎng)絡(luò)，它通過防火墻或其他安全機制與intranet建立連接。intranet上提供的服務(wù)主要是面向的是企業(yè)內(nèi)部。 6，Extranet 是指基于TCP/IP協(xié)議的企業(yè)處域網(wǎng)，它是一種合作性網(wǎng)絡(luò)。 7，商務(wù)數(shù)據(jù)的機密性 商務(wù)數(shù)據(jù)的機

2、密性或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲的過程中不被他人竊取，不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)授權(quán)者無法了解其內(nèi)容。 8，郵件炸彈 是攻擊者向同一個郵件信箱發(fā)送大量的垃圾郵件，以堵塞該郵箱。 10，TCP劫持入侵 是對服務(wù)器的最大威脅之一，其基本思想是控制一臺連接于入侵目標網(wǎng)的計算機，然后從網(wǎng)上斷開，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實際的客戶端。 被動攻擊 是攻擊者不介入Internet中的信息流動，只是竊聽其中的信息。被動攻擊后，被攻擊的雙方往往無法發(fā)現(xiàn)攻擊的存在。 11，HTTP協(xié)議的“有無記憶狀態(tài)” 即服務(wù)器在發(fā)送給客戶機的應(yīng)答后便遺忘了些次交互。

3、TELNET等協(xié)議是“有記憶狀態(tài)”的，它們需記住許多關(guān)于協(xié)議雙方的信息，請求與應(yīng)答。 1，明文 原始的，未被偽裝的消息稱做明文，也稱信源。通常用M表示。 2，密文 通過一個密鑰和加密算法將明文變換成一種偽信息，稱為密文。通常用C表示。 3，加密 就是用基于數(shù)學算法的程序和加密的密鑰對信息進行編碼，生成別人難以理解的符號，即把明文變成密文的過程。通常用E表示。 4，解密 由密文恢復(fù)成明文的過程，稱為解密。通常用D表示。 5，加密算法 對明文進行加密所采用的一組規(guī)則，即加密程序的邏輯稱做加密算法。 6，解密算法 消息傳送給接收者后，要對密文進行解密時所采用的一組規(guī)則稱做解密

4、算法。 7，密鑰 加密和解密算法的操作通常都是在一組密鑰的控制下進行的，分別稱作加密密鑰和解密密鑰。通常用K表示。 主密鑰 多層次密鑰系統(tǒng)中，最高層的密鑰也叫作主密鑰。 無條件安全 若它對于擁有無限計算資源的破譯者來說是安全的，則稱這樣的密碼體制是無條件安全的。 計算上安全 如若一個密碼體制對于擁有有限資源的破譯者來說是安全的，則稱這樣的密碼體制是計算上安全的，計算上安全的密碼表明破譯的難度很大。 多字母加密 是使用密鑰進行加密。密鑰是一組信息（一串字符）。同一個明文進過不同的密鑰加密后，其密文也會不同。 8，單鑰密碼體制 是加密和解密使用相同或?qū)嵸|(zhì)上等同的密鑰的加密體

5、制。使用單鑰密碼體制時，通信雙方AB必須相互交換密鑰，當A發(fā)信息給B時，A用自己的加密密鑰進行加密，而B在接收到數(shù)據(jù)后，用A的密鑰進行解密。單鑰密碼體制又稱為秘密密鑰體制或?qū)ΨQ密鑰體制。 9，雙鑰密碼體制 又稱作公共密鑰體制或非對稱加密體制，這種加密法在加密和解密過程中要使用一對密鑰，一 個用與加密，另一上用于解密。即通過一個密鑰加密的信息，只有使用另一個密鑰才能夠解密。這樣每個用戶都擁有兩個密鑰 公共密鑰和個人密鑰，公共密鑰用于加密鑰，個人密鑰用于解密。用戶將公共密鑰交給發(fā)送方或公開，信息發(fā)送者使用接收人的公共密鑰加密的信息只有接收人才能解密。 1，數(shù)據(jù)的完整性 數(shù)據(jù)的完整

6、性是指數(shù)據(jù)處于“一種未受損的狀態(tài)”和“保持完整或未被分割的品質(zhì)或狀態(tài)”。 散列函數(shù) 是將一個長度不確定的輸入串轉(zhuǎn)換成一個確定的輸出串—稱為散列值 2，數(shù)字簽名 是利用數(shù)字技術(shù)實現(xiàn)在網(wǎng)絡(luò)傳送文件時，附加個人標記，完成系統(tǒng)上手書簽名蓋章的作用，以表示確認，負責，經(jīng)手等。 3，雙鑰密碼加密 它是一對匹配使用的密鑰。一個是公鑰，是公開的，其他人可以得到；另一個是私鑰，為個人所有。這對密鑰經(jīng)常一個用來加密，一個用來解密。 4，數(shù)字信封 發(fā)送方用一個隨機產(chǎn)生的DES密鑰加密消息，然后用接收方的公鑰加密DES密鑰，稱為消息的“數(shù)字信封”，將數(shù)字信封與DES加密后的消息一起發(fā)給接收方。接收者收

7、到消息后，先用其私鑰找開數(shù)字信封，得到發(fā)送方的DES密鑰，再用此密鑰去解密消息。只有用接收方的RSA私鑰才能夠找開此數(shù)字信封，確保了接收者的身份。 5，混合加密系統(tǒng) 綜合利用消息加密，數(shù)字信封，散列函數(shù)和數(shù)字簽名實現(xiàn)安全性，完整性，可鑒別和不可否認。成為目前信息安全傳送的標準模式，一般把它叫作“混合加密系統(tǒng)”，被廣泛采用。 6，數(shù)字時間戳 如何對文件加蓋不可篡改的數(shù)字時間戳是一項重要的安全技術(shù)。數(shù)字時間戳應(yīng)當保證： （1）數(shù)據(jù)文件加蓋的時間戳與存儲數(shù)據(jù)的物理媒體無關(guān)。 （2）對已加蓋時間戳的文件不可能做絲毫改動。 （3）要想對某個文件加蓋與當前日期和時間不同時間戳是不可能的。

8、7，無可爭辯簽名 是在沒有簽名者自己的合作下不可能驗證簽名的簽名。無可爭辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。 8，消息認證 是使接收方能驗證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過。 9，確定性數(shù)字簽名 其明文與密文一一對應(yīng)，它對一特定消息的簽名不變化。 10，隨機式數(shù)字簽名 根據(jù)簽名算法中的隨機參值，對同一消息的簽名也有對應(yīng)的變化。 11，盲簽名 一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這正是通常所需要的。但有時需要某人對一個文件簽名，但又不讓他知道文件內(nèi)容，稱為盲簽名。 12，完全盲簽名 設(shè)1是一位仲裁人，2要1簽署一個文件，但不想讓他

9、知道所簽的文件內(nèi)容是什么，而1并不關(guān)心所簽的內(nèi)容，他只是確保在需要時可以對此進行仲裁，這時便可通過完全盲簽名協(xié)議實現(xiàn)。完全盲簽名就是當前對所簽署的文件內(nèi)容不關(guān)心，不知道，只是以后需要時，可以作證進行仲裁。 13，雙聯(lián)簽名 在一次電子商務(wù)活動過程中可能同時有兩個聯(lián)系的消息M1和M2，要對它們同時進行數(shù)字簽名。 1，備份 是恢復(fù)出錯系統(tǒng)的辦法之一，可以用備份系統(tǒng)將最近的一次系統(tǒng)備份恢復(fù)到機器上去。 2，歸檔 是指將文件從計算機的存儲介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長期保存的過程。 3，計算機病毒 是指編制者在計算機程序中插入的破壞計算機功能的程序，或者毀滅數(shù)據(jù)，影響計算機使用

10、，并能自我復(fù)制的一組計算機指令或者程序代碼。 4，鏡像技術(shù) 是數(shù)據(jù)備份技術(shù)的一種，主要有網(wǎng)絡(luò)數(shù)據(jù)鏡像，遠程鏡像磁盤等。 5，網(wǎng)絡(luò)物理安全 指物理設(shè)備可靠，穩(wěn)定運行環(huán)境，容錯，備份，歸檔和數(shù)據(jù)完整性預(yù)防。 6，奇偶校驗 也是服務(wù)器的一個特性。它提供一種機器機制來保證對內(nèi)存錯誤的檢測，因此，不會引起由于服務(wù)器出錯而造成數(shù)據(jù)完整性的喪失。 7，引導型病毒 是指寄生在磁盤引導區(qū)或主引導區(qū)的計算機病毒。 8，文件型病毒 是指能夠寄存在文件中的計算機病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。 9，良性病毒 是指那些只是為了表現(xiàn)自身，并不徹底破壞系統(tǒng)和數(shù)據(jù)，但會大量占用CPU時間，

11、增加系統(tǒng)開銷，降低系統(tǒng)工作效率的一類計算機病毒。 10，惡性病毒 是指那些一旦發(fā)作后，就會破壞系統(tǒng)或數(shù)據(jù)，造成計算機系統(tǒng)癱瘓的一類計算機病毒。 1，防火墻 是一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)相互隔離、限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)。 2，非受信網(wǎng)絡(luò) 一般指的是外部網(wǎng)絡(luò)。 3，扼制點 提供內(nèi)、外兩個網(wǎng)絡(luò)間的訪問控制，使得只有被安全策略明確授權(quán)的信息流才被允許通過，對兩個方向的信息流都能控制。 6，VPN（虛擬專用網(wǎng)） 是指通過一個公共網(wǎng)絡(luò)（通常是internet）建立一個臨時的、安全的連接，是一條穿越混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，

12、它是對企業(yè)內(nèi)部網(wǎng)的擴展。 虛擬專用撥號網(wǎng)絡(luò)VPDN 用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。 虛擬租用線路VLL 是基于虛擬專線的一種VPN，它在公網(wǎng)上開出各種隧道，模擬專線來建立VPN。 虛擬專用LAN子網(wǎng)段 VPLS，是在公網(wǎng)上用隧道協(xié)議仿真出來一個局域網(wǎng)，透明地提供跨越公網(wǎng)的LAN服務(wù)。 DMZ 為了配置管理方便，內(nèi)網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個單獨的網(wǎng)段，這個網(wǎng)段便是非軍事化區(qū)DMZ區(qū)。 IPsec 是一系列保護IP規(guī)則的集合，制定了通過公有網(wǎng)絡(luò)傳輸私有加密信息的途徑和方式。 它提供的安全服務(wù)

13、包括私有性、真實性、完整性和重傳保護。 Intranet VPN 即企業(yè)的總部與分支機構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。 Access VPN 又稱撥號VPN，是指企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠程撥號的方式構(gòu)筑的虛擬網(wǎng)。 Extranet VPN 及企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。 接入控制 接入或訪問控制是保證網(wǎng)絡(luò)安全的重要手段，它通過一組機制控制不同級別的主體對目標資源的不同授權(quán)訪問，在對主體認證之后實施網(wǎng)絡(luò)資源安全管理使用。 自主式接入控制 簡記為DAC。它由資源擁有者分配接入權(quán)，在辨別各用戶的基礎(chǔ)上實現(xiàn)接入控制。每個用

14、戶的接入權(quán)由數(shù)據(jù)的擁有者來建立，常以接入控制表或權(quán)限表實現(xiàn)。 強制式接入控制 簡記為MAC。它由系統(tǒng)管理員來分配接入權(quán)限和實施控制，易于與網(wǎng)絡(luò)的安全策略協(xié)調(diào)，常用敏感標記實現(xiàn)多級安全控制。 加密橋技術(shù) 一種在加/解密卡的基礎(chǔ)上開發(fā)加密橋的技術(shù)，可實現(xiàn)在不降低加密安全強度旁路條件下，為數(shù)據(jù)庫加密字段的存儲、檢索、索引、運算、刪除、修改等功能的實現(xiàn)提供接口，并且它的實現(xiàn)是與密碼算法、密碼設(shè)備無關(guān)的（可使用任何加密手段） 接入權(quán)限 表示主體對客體訪問時可擁有的權(quán)利。接入權(quán)要按每一對主體客體分別限定，權(quán)利包括讀，寫，執(zhí)行等，讀寫含義明確，而執(zhí)行權(quán)指目標為一個程序時它對文件的查找和執(zhí)行。

15、1，拒絕率或虛報率 （Ⅰ型錯誤率）是指身份證明系統(tǒng)的質(zhì)量指標為合法用戶遭拒絕的概率。 2，漏報率 （Ⅱ型錯誤率）是指非法用戶偽造身份成功的概率。 3，通行字 通行字是一種根據(jù)已知事物驗證身份的方法，也是一種研究和使用最廣的身份驗證法。 Kerberos 是一種典型的用于客戶機和服務(wù)器認證的認證體系協(xié)議，它是一種基于對稱密碼體制的安全認證服務(wù)系統(tǒng)。 4，域內(nèi)認證 是指CLIENT向本KERBEROS的認證域以內(nèi)的SERVER申請服務(wù)的過程。 5，域間認證 是指CLIENT向本KERBEROS的認證域以外的SERVER申請服務(wù)的過程。 驗證者 身份證明系統(tǒng)中檢驗示證者提出

16、的證件的正確性和合法性并決定是否滿足其要求的一方。 1，數(shù)字認證 是指用數(shù)字辦法確認、鑒定、認證網(wǎng)絡(luò)上參與信息交流者或服務(wù)器的身份。 數(shù)字證書 是一個擔保個人、計算機系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔。 2，公鑰證書 它將公開密鑰與特定的人，器件或其他實體聯(lián)系起來。公鑰證書是由證書機構(gòu)簽署的，其中包含有持證者的確切身份。 3，公鑰數(shù)字證書 網(wǎng)絡(luò)上的證明文件，證明雙鑰體制中的公鑰所有者就是證書上所記錄的使用者。 4，單公鑰證書系統(tǒng) 一個系統(tǒng)中所有的用戶公用同一個CA。 5，多公鑰證書系統(tǒng) 用于不同證書的用戶的互相認證。 6，客戶證書 證實客戶身份和密鑰所有權(quán)。

17、 7，服務(wù)器證書 證實服務(wù)器的身份和公鑰。 8，安全郵件證書 證實電子郵件用戶的身份和公鑰。 9，CA證書 證實CA身份和CA的簽名密鑰。 10，證書機構(gòu)CA 用于創(chuàng)建和發(fā)布證書，它通常為一個稱為安全域的有限群體發(fā)放證書。 11，安全服務(wù)器 面向普通用戶，用于提供證書申請、瀏覽、證書吊銷表以及證書下載等安全服務(wù)。 12，CA服務(wù)器 是整個證書機構(gòu)的核心，負責證書的簽發(fā)。是整個CA體系結(jié)構(gòu)中最為重要的部分，存有CA的私鑰以及發(fā)行證書的腳本文件。 注冊機構(gòu)RA服務(wù)器 登記中心服務(wù)器面向中心操作員，在CA體系結(jié)構(gòu)中起承上啟下的作用，一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳輸過來的證書申

18、請請求，另一方面向LDAP服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書和證書撤銷列表。 13，LDAP服務(wù)器 提供目錄瀏覽服務(wù)，負責將注冊機構(gòu)服務(wù)器傳輸過來的用戶信息以及數(shù)字證書加入到服務(wù)器上。 14，數(shù)據(jù)庫服務(wù)器 是認證機構(gòu)的核心部分，用于認證機構(gòu)數(shù)據(jù)，日志和統(tǒng)計信息的存儲和管理。 PKI 即公鑰基礎(chǔ)設(shè)施，是一種遵循既定標準的利用公鑰密碼技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范，它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需的密鑰和證書管理體系。 證書政策 是一組規(guī)則，指出一個證書對一組特定用戶或應(yīng)用的可適用性，表明它對于一個特定的應(yīng)用和目的是否可用的，它構(gòu)成

19、了交叉驗證的基礎(chǔ)。 政策審批機構(gòu)PAA 制定整個體系結(jié)構(gòu)的安全策略，并制定所有下級機構(gòu)都要遵循的規(guī)章制度，主要是證書政策和證書使用規(guī)定。 證書使用規(guī)定 綜合描述了CA對證書政策的各項要求的實現(xiàn)方法。 認證服務(wù) 身份鑒別和識別，就是確認實體即為自己所聲明的實體，鑒別身份的真?zhèn)巍? 不可否認性服務(wù) 是指從技術(shù)上保證實體對其行為的認可。 公證服務(wù) 是指數(shù)據(jù)認證，即公證人要證明的是數(shù)據(jù)的有效性和正確性，這種公證取決于數(shù)據(jù)驗證的方式。 源的不可否認性 用于防止或解決出現(xiàn)有關(guān)是否一個特定實體發(fā)了一個特定的數(shù)據(jù)、源在某個特定時刻出現(xiàn)、或者兩者都有的分歧。 遞送的不可否認性 用于防止

20、或解決出現(xiàn)有關(guān)是否一個特定實體收到了一個特定的數(shù)據(jù)項、遞送在特定時刻出現(xiàn)、、或者兩者都有的分歧，目的是保護發(fā)信人。 提交的不可否認性 用于防止或解決出現(xiàn)有關(guān)是否一個特定參與者傳送或提交了一個數(shù)據(jù)項、提交出現(xiàn)的時刻、、或者兩者都有的分歧，目的是保護發(fā)信人。 單位注冊機構(gòu) 幫助遠離CA的端實體在CA處注冊并獲得證書。 密鑰管理 處理密鑰自產(chǎn)生到最終銷毀的整個過程中的有關(guān)問題，包括系統(tǒng)的初始化、密鑰的產(chǎn)生、存儲、備份/恢復(fù)、裝入、分配、保護、更新、控制、丟失、吊銷和銷毀等內(nèi)容。 證書更新 當證書持有者的證書過期、證書被竊取、受到攻擊時通過更新證書的方法，使其新的證書繼續(xù)參與網(wǎng)上認證。

21、證書的更新包括證書的更換和證書的延期兩種情況。 SSL協(xié)議P71 是基于TCP/IP的安全套接層協(xié)議，由Netscape開發(fā)，是服務(wù)器與客戶機之間安全通信的加密機制，用一個密鑰加密在SSL連接上傳輸?shù)臄?shù)據(jù)。 TLS協(xié)議 傳輸層安全協(xié)議，是在傳輸層對IETF安全協(xié)議的標準化，制定的目的是為了在因特網(wǎng)上有一種統(tǒng)一的SSL標準版本。目前的TLS標準協(xié)議與SSL的Version 3很接近，由TLS記錄協(xié)議和TLS握手協(xié)議組成。 SET協(xié)議 安全數(shù)據(jù)交換協(xié)議，是一種以信用卡為基礎(chǔ)的、在Internet上交易的付款協(xié)議，是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮藴剩捎肦SA密碼算法，利用公鑰體系對通信雙方

22、進行認證，用DES等標準加密算法對信息進行加密傳輸，并用散列函數(shù)算法來鑒別信息的完整性。 電子錢包 是安裝在消費者客戶端計算機上，并符合SET規(guī)格的軟件，電子錢包處理客戶端的所有SET信息。 支付網(wǎng)關(guān) 是Internet電子商務(wù)網(wǎng)站上的一個站點，負責接收來自商店服務(wù)器送來的Set付款數(shù)據(jù)，再轉(zhuǎn)換成銀行網(wǎng)絡(luò)的格式，傳送給收到銀行處理。它是一個SET付款信息與現(xiàn)有銀行網(wǎng)絡(luò)的轉(zhuǎn)接處，是必不可少的機構(gòu)。 SSL記錄協(xié)議 定義了信息交換中所有數(shù)據(jù)項的格式，包括MAC、信息內(nèi)容、附加數(shù)據(jù)。MAC是一個定長數(shù)據(jù)，用于信息的完整性；信息內(nèi)容是網(wǎng)絡(luò)的上一層---應(yīng)用層傳來的數(shù)據(jù)，如HTTP信息；附加

23、數(shù)據(jù)是加密后所產(chǎn)生的附加數(shù)據(jù)。 SSL握手協(xié)議 用于客戶機/服務(wù)器之間的相互認證，協(xié)商加密和MAC算法，傳送所需的公鑰證書，建立SSL記錄協(xié)議處理完整性校驗和加密所需的會話密鑰。 持卡人 持信用卡購買商品的人，包括個人消費者和團體消費者，按照網(wǎng)上商店的表單填寫，通過由發(fā)卡銀行發(fā)行的信用卡進行付費。 網(wǎng)上商店 在網(wǎng)上的符合SET規(guī)格的電子商店，提供商品或服務(wù)，它必須是具備相應(yīng)電子貨幣使用的條件，從事商業(yè)交易的公司組織。 收單銀行 通過支付網(wǎng)關(guān)處理持卡人和商店之間的交易付款問題事務(wù)。接受來自商店端送來的交易付款數(shù)據(jù)，向發(fā)卡銀行驗證無誤后，取得信用卡付款授權(quán)以供商店清算。 發(fā)卡銀行

24、 電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行。在交易過程前，發(fā)卡銀行負責查驗持卡人的數(shù)據(jù)，如果查驗有效，整個交易才能成立。在交易過程中負責處理電子貨幣的審核和支付工作。 認證中心CA 可信賴、公正的認證組織。接受持卡人、商店、銀行以及支付網(wǎng)關(guān)的數(shù)字認證申請，并管理數(shù)字證書的相關(guān)事宜，如制定核發(fā)準則、發(fā)行和注銷數(shù)字證書等。負責對交易雙方的身份確認，對廠商的信譽度和消費者的支付手段和支付能力進行認證。 HTTPS協(xié)議 是使用SSL的HTTP，目的是在SSL連接上安全地傳送單個消息。 商店服務(wù)器 是商店提供SET服務(wù)的軟件。負責處理商店端的交易信息，包括與客戶端的電子錢包軟件溝通，取得客

25、戶的信用卡相關(guān)數(shù)據(jù)，另外也必須與支付網(wǎng)關(guān)聯(lián)系取得銀行端來的付款信息。 CFCA 是由中國人民銀行牽頭，聯(lián)合十四家全國性商業(yè)銀行共同建立的國家級權(quán)威金融認證機構(gòu)，是國內(nèi)唯一一家能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的第三方網(wǎng)上專業(yè)信任服務(wù)機構(gòu)。 CTCA 中國電信CA安全認證系統(tǒng)，于2000年5月12日正式向社會發(fā)放CA證書，并向社會免費公布CTCA安全認證系統(tǒng)的接口標準。目前可以在全國范圍內(nèi)向用戶提供CA證書服務(wù)。 SHECA 上海市電子商務(wù)安全證書管理中心，是信任服務(wù)和安全認證服務(wù)的專業(yè)提供商，通過提供在線的信任服務(wù)，為電子商務(wù)和網(wǎng)上作業(yè)保駕護航。是國內(nèi)較早建立的CA認證中心，創(chuàng)建于1

26、998年，經(jīng)過國家批準并被列為信息產(chǎn)業(yè)部全國示范工程。目前已經(jīng)成為中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信任服務(wù)的骨干。 CFCA的體系結(jié)構(gòu) 采用國際領(lǐng)先的PKI技術(shù)，總體為三層CA結(jié)構(gòu)，第一層為跟CA，第二層為政策CA，可向不同行業(yè)、領(lǐng)域擴展信用范圍，第三層為運營CA，根據(jù)證書運作規(guī)范CPS發(fā)放證書。運營CA由CA系統(tǒng)和證書注冊審批機構(gòu)RA兩大部分組成。 網(wǎng)上銀行 是指商業(yè)銀行將其傳統(tǒng)的柜臺業(yè)務(wù)拓展到Internet上，用戶訪問其Web Server進行在線的實時查詢、轉(zhuǎn)賬、匯款、開戶等業(yè)務(wù)。 網(wǎng)上證券 可分為網(wǎng)上炒股和網(wǎng)上銀證轉(zhuǎn)賬，網(wǎng)上炒股是股民和證券公司之間發(fā)生的交易。網(wǎng)上銀證轉(zhuǎn)賬是指股民通過

27、Internet將資金在銀行股民賬戶和證券公司賬戶之間劃入或劃出，是涉及股民、證券公司、銀行的三方交易。 歷年考題 SET的技術(shù)范圍 P142 0901 36.簡述電子商務(wù)發(fā)展的四個階段。 37.簡述DES加密算法的加密運算法則。 38.數(shù)字簽名可以解決哪些安全鑒別問題？ 39.設(shè)置防火墻的目的及主要作用是什么？ 40.簡述有效證書應(yīng)滿足的條件。 41.簡述實現(xiàn)遞送的不可否認性機制的方法。 0810 36.簡述電子商務(wù)系統(tǒng)可能遭受攻擊的類型。 37.簡述使用Diffie—Hellman密鑰交換協(xié)議交換密鑰的步驟。 38.簡述使用MD5算法的基本過程。 39.簡述

28、防火墻的基本組成部分。 40.簡述公鑰證書包含的具體內(nèi)容。 41.簡述電子錢包的功能。 0801 36.簡述選擇VPN解決方案時需要考慮的要點。 37.電子商務(wù)可靠性的含義是什么？ 38.簡述認證機構(gòu)提供的新證書發(fā)放的過程。 39.數(shù)字簽名可以解決哪些安全鑒別問題？ 40.系統(tǒng)身份證明是如何實現(xiàn)的？ 41.簡述計算機病毒的防治策略。 0710 36．簡述DAC方式易受到攻擊的原因。 37．在我國制約VPN的發(fā)展、普及的因素有哪些？ 38．雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機密性和不可否認性？ 39．請列出公鑰證書的類型并簡述其作用。 40．簡述SET的購物過程。

29、 41．PKI作為安全基礎(chǔ)設(shè)施，能為用戶提供哪些服務(wù)？ 0701 36.列舉單鑰密碼體制的幾種算法。 37.簡述PKI的服務(wù)。 38.簡述對Internet攻擊的類型。 39.簡述證書機構(gòu)（CA）的組成及各部分作用。 40.簡述防火墻不能解決的主要問題。 41.簡述SET安全協(xié)議要達到的目標。 0610 36.簡述三重DES加密方法的概念及其算法步驟。 37.在交易雙方的通信過程中如何實現(xiàn)源的不可否認性？ 38.簡述對密鑰進行安全保護應(yīng)該采取的措施。 39.電子商務(wù)中數(shù)據(jù)的完整性被破壞后會產(chǎn)生什么樣的后果？ 40.簡述我國減低電子商務(wù)安全威脅可以采取的對策。 41

30、.試比較SSL協(xié)議和SET協(xié)議之間的差別。 0601 36．電子商務(wù)的安全需求包含哪些方面? 37．簡述數(shù)字簽名的基本原理。 38．簡述美國《可信任的計算機安全評估標準》中C1級和C2級的要求。 39．簡述認證機構(gòu)提供的四個方面的服務(wù)。 40．簡述VPN的優(yōu)點。 41．簡述數(shù)據(jù)完整性。 0510 36.簡述雙鑰密碼體制的基本概念及特點。 37.簡述數(shù)據(jù)交換時如何利用數(shù)字信封來確保接收者的身份。 38.電子商務(wù)安全的中心內(nèi)容是什么? 39.簡述SSL的體系結(jié)構(gòu)。 40.簡述防火墻設(shè)計原則。 41.簡述IPSec的兩種工作模式。 六、論述題（本大題共1小題，共15

31、分） 42.試述混合加密系統(tǒng)的實施過程。0901 42.試述RSA加密算法中密鑰的計算方法 0810 42.試比較SSL與SET的差異并論述在電子商務(wù)安全中的應(yīng)用前景。0801 42．對比傳統(tǒng)手寫簽名來論述數(shù)字簽名的必要性。0710 42.試述數(shù)字簽名的實際使用原理。0701 42.試述按接入方式虛擬專用網(wǎng)VPN解決方案的種類 0610 42．試述SET實際操作的全過程。0601 42.試述公鑰證書的申請和吊銷的過程。0510 簡述橘黃皮書制定的計算機安全等級內(nèi)容 1) 制定了4個標準，由低到高為D，C，B，A 2) D級暫時不分子級，B級和C級是常見的級別。每個級

32、別后面都跟一個數(shù)字，表明它的用戶敏感程度，其中2是常見的級別 3) C級分C1和C2兩個子級，C2比C1提供更多的保護，C2要求又一個登錄過程，用戶控制指定資源，并檢查數(shù)據(jù)追蹤 4) B級分B1、B2、B3三個子級，由低到高，B2要求有訪問控制，不允許用戶為自己的文件設(shè)定安全級別 5) A級為最高級，暫時不分子級，是用戶定制的 6) 每級包括它下級的所有特性，這樣從從低到高是D，C1，C2，C3，B1，B2，B3，A 簡述web站點可能遇到的安全威脅P16 7) 安全信息被破譯 8) 非法訪問 9) 交易信息被截獲 10) 軟件漏洞被利用 11) 當CGI腳本編寫的程序或其

33、他涉及遠程用戶從瀏覽器輸入表格并進行像檢索之類在主機上直接執(zhí)行命令時，會給web主機系統(tǒng)造成危險 論述產(chǎn)生電子商務(wù)安全威脅的原因P13 1) 在因特網(wǎng)上傳輸?shù)男畔ⅲ瑥钠瘘c到目標結(jié)點之間的路徑是隨機選擇的，此信息在到達目標之前會通過許多中間結(jié)點，在任一結(jié)點，信息都有可能被竊取、篡改或刪除。 2) Internet在安全方面的缺陷，包括 a) Internet各環(huán)節(jié)的安全漏洞 b) 外界攻擊，對Internet的攻擊有截斷信息、偽造、篡改、介入 c) 局域網(wǎng)服務(wù)和相互信任的主機安全漏洞 d) 設(shè)備或軟件的復(fù)雜性帶來的安全隱患 3) TCP/IP協(xié)議及其不安全性， a) IP協(xié)議的

34、安全隱患，存在針對IP的拒絕服務(wù)攻擊、IP的順序號預(yù)測攻擊、TCP劫持入侵、嗅探入侵 b) HTTP和web的不安全性 c) E-mail、Telnet及網(wǎng)頁的不安全，存在入侵Telnet會話、網(wǎng)頁作假、電子郵件炸彈 4) 我國的計算機主機、網(wǎng)絡(luò)交換機、路由器和網(wǎng)絡(luò)操作系統(tǒng)來自國外 5) 受美國出口限制，進入我國的電子商務(wù)和網(wǎng)絡(luò)安全產(chǎn)品是弱加密算法，先進國家早有破解的方法 通行字的控制措施 1) 系統(tǒng)消息 2) 限制試探次數(shù) 3) 通行字有效期 4) 雙通行字系統(tǒng) 5) 最小長度 6) 封鎖用戶系統(tǒng) 7) 根通行字的保護 8) 系統(tǒng)生成通行字 9) 通行字的檢驗

35、對不同密鑰對的要求P113 答：（1）需要采用兩個不同的密鑰對分別作為加密/解密和數(shù)字簽名/驗證簽名用。 （2）一般公鑰體制的加密用密鑰的長度要比簽名用的密鑰短 （3）需要用不同的密鑰和證書 （4）密鑰對的使用期限不同 （5）應(yīng)支持采用不同簽名密鑰對和不同密鑰的建立。 （6）加密算法可能支持密鑰托管和密鑰恢復(fù)，以及可能的法律監(jiān)聽。但數(shù)字簽名的密鑰則不允許泄露給他人，其中包括法律機構(gòu)。 8，試述一下身份證明系統(tǒng)的相關(guān)要求。 （1）驗證者正確認別合法示證者的概率極大化。 （2）不具可傳遞性 （3）攻擊者偽裝示證者欺騙驗證者成功的概率小到可以忽略 （4）計算有效性。 （5）通

36、信有效性。 （6）秘密參數(shù)安全存儲。 （7）交互識別。 （8）第三方實時參與。 （9）第三方的可信賴性。 （10）可證明安全性。 簡述Kerberos的局限性 1) 時間同步 2) 重放攻擊 3) 認證域之間的信任 4) 系統(tǒng)程序的安全性和完整性 5) 口令猜測攻擊 6) 密鑰的存儲 簡述加密橋技術(shù)原理及目標 加密橋相當于一個加密數(shù)據(jù)的SQL語句編譯執(zhí)行器，數(shù)據(jù)庫所有對加密數(shù)據(jù)操作的SQL語句不再由數(shù)據(jù)庫系統(tǒng)執(zhí)行，改由加密橋執(zhí)行 數(shù)據(jù)庫的數(shù)據(jù)加密以后，必須保留數(shù)據(jù)庫管理的一切功能，為了實現(xiàn)數(shù)據(jù)庫的功能，通過加密橋的中間過渡（相當于建立一套新的用于操作加密數(shù)據(jù)的SQ

37、L語言），實現(xiàn)對加密數(shù)據(jù)的操作。DBMS在系統(tǒng)中只負責非密數(shù)據(jù)的存取操作，對于加密字段數(shù)據(jù)的操作完全通過加密橋完成。 加密橋技術(shù)實現(xiàn)的目的是：應(yīng)用系統(tǒng)數(shù)據(jù)庫字段加密以后，仍可實現(xiàn)各種數(shù)據(jù)庫操作。IP地址順序號預(yù)測攻擊步驟 首先，得到服務(wù)器的IP地址。黑客一般通過網(wǎng)上報文嗅探，順序測試號碼，由web連接到結(jié)點上并在狀態(tài)欄中尋找結(jié)點的IP地址。 然后，攻擊者在試過這些IP地址后，可以開始監(jiān)視網(wǎng)上傳送包的序號，推測服務(wù)器可能產(chǎn)生的下一個序列號，再將自己插入到服務(wù)器和用戶之間，模仿IP地址及包裹序列號以愚弄服務(wù)器，使之成為受到信任的合法網(wǎng)絡(luò)用戶，接著便可訪問系統(tǒng)傳給服務(wù)器的密鑰文件、日志名、機

38、密數(shù)據(jù)等信息。 2，網(wǎng)頁攻擊的步驟是什么？ 答：第一步，創(chuàng)建一個網(wǎng)頁，看似可信其實是假的拷貝，但這個拷貝和真的“一樣”“假網(wǎng)頁和真網(wǎng)頁一樣的頁面和鏈接。 第二步：攻擊者完全控制假網(wǎng)頁。所以瀏覽器和網(wǎng)絡(luò)間的所有信息交流都經(jīng)過攻擊者。 第三步，攻擊者利用網(wǎng)頁做假的后果：攻擊者記錄受害者訪問的內(nèi)容，當受害者填寫表單發(fā)送數(shù)據(jù)時，攻擊者可以記錄下所有數(shù)據(jù)。此外，攻擊者可以記錄下服務(wù)器響應(yīng)回來的數(shù)據(jù)。這樣，攻擊者可以偷看到許多在線商務(wù)使用的表單信息，包括賬號，密碼和秘密信息。 如果需要，攻擊者甚至可以修改數(shù)據(jù)。不論是否使用SSL或S-HTTP，攻擊者都可以對鏈接做假。換句話說，就算受害者的游覽器

39、顯示出安全鏈接圖標，受害者仍可能鏈接在一個不安全鏈接上。 6，簡述組建VPN應(yīng)該遵循的設(shè)計原則。P90 答：VPN的設(shè)計應(yīng)遵循以下原則：安全性，網(wǎng)絡(luò)優(yōu)化，VPN管理等。 在安全性方面，企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且在防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。 在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。 在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。 1，簡述保護數(shù)據(jù)完整性的目的，以有被破壞會帶來的嚴重后果。 答：保護數(shù)據(jù)完整性的目的就是保證計

40、算機系統(tǒng)上的數(shù)據(jù)和信息處于一種完整和未受損害的狀態(tài)。這意味著數(shù)據(jù)不會由于有意或無意的事件而被改變和丟失。 數(shù)據(jù)完整性被破壞會帶來嚴重的后果： （1）造成直接的經(jīng)濟損失，如價格，訂單數(shù)量等被改變。（2）影響一個供應(yīng)鏈上許多廠商的經(jīng)濟活動。一個環(huán)節(jié)上數(shù)據(jù)完整性被破壞將使供應(yīng)鏈上一連串廠商的經(jīng)濟活動受到影響。（3）可能造成過不了“關(guān)”。有的電子商務(wù)是與海關(guān)，商檢，衛(wèi)檢聯(lián)系的，錯誤的數(shù)據(jù)將使一批貸物擋在“關(guān)口”之外。（4）會牽涉到經(jīng)濟案件中。與稅務(wù)，銀行，保險等貿(mào)易鏈路相聯(lián)的電子商務(wù)，則會因數(shù)據(jù)完整性被破壞牽連到漏稅，詐騙等經(jīng)濟案件中。（5）造成電子商務(wù)經(jīng)營的混亂與不信任。 2，簡述散列函數(shù)應(yīng)用

41、于數(shù)據(jù)的完整性。 答：可用多種技術(shù)的組合來認證消息的完整性。為消除因消息被更改而導致的欺詐和濫用行為，可將兩個算法同時應(yīng)用到消息上。首先用散列算法，由散列函數(shù)計算機出散列值后，就將此值——消息摘要附加到這條消息上。當接收者收到消息及附加的消息摘要后，就用此消息獨自再計算出一個消息摘要。如果接收者所計算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息沒有被篡改。 3，數(shù)字簽名與消息的真實性認證有什么不同？ 答：數(shù)字簽名與消息的真實性認證是不同的。消息認證是使接收方能驗證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過。當收發(fā)者之間沒有利害沖突時，這對于防止第三者的破壞來說是足夠了。但當接收者和

42、發(fā)送者之間相互有利害沖突時，單純用消息認證技術(shù)就無法解決他們之間的糾紛，此是需借助數(shù)字簽名技術(shù)。 4，數(shù)字簽名和手書簽名有什么不同？ 答：數(shù)字簽名和手書簽名的區(qū)別在于：手書簽名是模擬的，因人而異，即使同一個人也有細微差別，比較容易偽造，要區(qū)別是否是偽造，往往需要特殊專家。而數(shù)字簽名是0和1的數(shù)字串，極難偽造，不需專家。對不同的信息摘要，即使是同一人，其數(shù)字簽名也是不同的。這樣就實現(xiàn)了文件與簽署的最緊密的“捆綁”。 5，數(shù)字簽名可以解決哪些安全鑒別問題？ 答：數(shù)字簽名可以解決下述安全鑒別問題：（1）接收方偽造：接收方偽造一份文件，并聲稱這是發(fā)送方發(fā)送的；（2）發(fā)送者或收者否認：發(fā)送者或接收

43、者事后不承認自己曾經(jīng)發(fā)送或接收過文件；（3）第三方冒充：網(wǎng)上的第三方用戶冒充發(fā)送或接收文件；（4）接收方篡改：接收方對收到的文件進行改動。 6，無可爭辯簽名有何優(yōu)缺點？ 答：無可爭辯簽名是在沒有簽名者自己的合作下不可能驗證簽名的簽名。 無可爭辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。適用于某些應(yīng)用，如電子出版系統(tǒng)，以利于對知識產(chǎn)權(quán)的保護。 在簽名人合作下才能驗證簽名，又會給簽名者一種機會，在不利于他時可拒絕合作，因而不具有“不可否認性”。無可爭辯簽名除了一般簽名體制中的簽名算法和驗證算法外，還需要第三個組成部分，即否認協(xié)議：簽名者利用無可爭辯簽名可向法庭或公眾證明

44、一個偽造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認協(xié)議，就表明簽名真的由他簽署。 7，UPS的作用是防止突然停電造成網(wǎng)絡(luò)通訊中斷。 8，計算機病毒是如何產(chǎn)生的？ 答：計算機病毒是人為產(chǎn)生的，是編制者在計算機程序中插入的破壞計算機功能，或進毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。 9，計算機惡性病毒的危害是破壞系統(tǒng)或數(shù)據(jù)，造成計算機系統(tǒng)癱瘓。 10，簡述容錯技術(shù)的目的及其常用的容錯技術(shù)。 答：容錯技術(shù)的目的是當系統(tǒng)發(fā)生某些錯誤或故障時，在不排除錯誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或者進入應(yīng)急工作狀態(tài)。 容錯技術(shù)最實用的一種技術(shù)是組成冗余系統(tǒng)。冗余

45、系統(tǒng)是系統(tǒng)中除了配置正常的部件以外，還配制出的備份部件。當正常的部件出現(xiàn)故障時，備份部件能夠立即取代它繼續(xù)工作。當然系統(tǒng)中必須另有冗余系統(tǒng)的管理機制和設(shè)備。另有一種容錯技術(shù)是使用雙系統(tǒng)。用兩個相同的系統(tǒng)共同承擔同一項任務(wù)，當一個系統(tǒng)出現(xiàn)故障時，另一系統(tǒng)承擔全部任務(wù)。如雙電源系統(tǒng) 在計算機上已經(jīng)使用的容錯技術(shù)：P72 1) 提供容錯能力的多處理機 2) 使用磁盤鏡像技術(shù)的磁盤子系統(tǒng) 3) 磁盤雙聯(lián) 4) RAID廉價磁盤陣列 5) 網(wǎng)絡(luò)冗余 11，現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的備份工作變得越來越困難，其原因是什么？ 答：其原因是網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性隨著不同的操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用軟件的增加而增加。此外，

46、各種操作系統(tǒng)，都自帶內(nèi)置軟件的備份，但自動備份和文件管理上都是很基本的，功能不足。 12，簡述三種基本的備份系統(tǒng)。 答：（1）簡單的網(wǎng)絡(luò)備份系統(tǒng)：在網(wǎng)絡(luò)上的服務(wù)器直接把數(shù)據(jù)通過總線備份到設(shè)備中。也可把數(shù)據(jù)通過對網(wǎng)絡(luò)經(jīng)過專用的工作站備份到工作站的設(shè)備中。（2）服務(wù)器到服務(wù)器的備份：在網(wǎng)絡(luò)上的一個服務(wù)器除了把數(shù)據(jù)通過總線備份到自己設(shè)備中以外，同時又備份到另一個服務(wù)器上。（3）使用專用的備份服務(wù)器：不同于第二種中所說的另一類服務(wù)器，它主要的任務(wù)是為網(wǎng)絡(luò)服務(wù)的服務(wù)器，使用專用服務(wù)器可以使備份工作更加可靠。 13，簡述數(shù)據(jù)備份與傳統(tǒng)的數(shù)據(jù)備份的概念。 答：數(shù)據(jù)備份，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)

47、故障導致數(shù)據(jù)丟失，而將全系統(tǒng)或部分數(shù)據(jù)集合從應(yīng)用主機的硬盤或陣列復(fù)制到其他的存儲介質(zhì)的過程。 傳統(tǒng)的數(shù)據(jù)備份主要是采用數(shù)據(jù)內(nèi)置或外置的磁帶機進行冷備份。 比較常見的備份方式P73 1) 定期磁帶備份數(shù)據(jù) 2) 遠程磁帶庫、光盤庫備份 3) 遠程關(guān)鍵數(shù)據(jù)并兼有磁帶備份 4) 遠程數(shù)據(jù)庫備份 5) 網(wǎng)絡(luò)數(shù)據(jù)鏡像 6) 遠程鏡像磁盤 14，列舉計算機病毒的主要來源。 答： 1) 引進的計算機病毒和軟件中帶有的病毒。 2) 各類出國人員帶回的機器和軟件染有病毒。 3) 一些染有病毒的游戲軟件。 4) 非法拷貝引起的病毒。 5) 計算機生產(chǎn)，經(jīng)營單位銷售的機器和軟件染有病毒。

48、 6) 維修部門交叉感染。 7) 有人研制，改造病毒。 8) 敵對份子以病毒進行宣傳和破壞。 9) 通過互聯(lián)網(wǎng)絡(luò)傳入。 15，數(shù)據(jù)文件和系統(tǒng)的備份要注意什么？ 答： 1) 日常的定時，定期備份； 2) 定期檢查備份的質(zhì)量； 3) 重要的備份最好存放在不同介質(zhì)上； 4) 注意備份本身的防竊和防盜； 5) 多重備份，分散存放，由不同人員分別保管。 16，一套完整的容災(zāi)方案應(yīng)該包括本地容災(zāi)和異地容災(zāi)兩套系統(tǒng)。 17，簡述歸檔與備份的區(qū)別。 答：歸檔是指將文件從計算機的存儲介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長期保存的過程。備份的目的是從災(zāi)難中恢復(fù)。歸檔是把需要的數(shù)據(jù)拷貝或打

49、包，用于長時間的歷史性的存放，歸檔可以清理和整理服務(wù)器中的數(shù)據(jù)。歸檔也是提高數(shù)據(jù)完整性的一種預(yù)防性措施。 18，病毒有哪些特征？ 答：非授權(quán)可執(zhí)行性；隱藏性；傳染性；潛伏性；表現(xiàn)性或破壞性；可觸發(fā)性。 19，簡述計算機病毒的分類方法。 答：按寄生方式分為，引導型，病毒文件型和復(fù)合型病毒。 按破壞性分為，良性病毒和惡性病毒 20，簡述計算機病毒的防治策略？ 答：依法治毒，建立一套行之有效的病毒防治體系，制定嚴格的病毒防治技術(shù)規(guī)范。 21，保證數(shù)據(jù)完整性的措施有：有效防毒，及時備份，充分考慮系統(tǒng)的容錯和冗余。 22，扼制點的作用是控制訪問。 23，防火墻不能防止的安全隱患有：不能阻

50、止已感染病毒的軟件或文件的傳輸；內(nèi)部人員的工作失誤。 24，防火墻與VPN之間的本質(zhì)區(qū)別是：堵/通；或防范別人/保護自己。 25，設(shè)置防火墻的目的及主要作用是什么？ 答：設(shè)置防火墻的目的是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一通道，允許網(wǎng)絡(luò)管理員定義一個中心“扼制點”提供兩個網(wǎng)絡(luò)間的訪問的控制，使得只有被安全策略明確授權(quán)的信息流才被允許通過，對兩個方向的信息流都能控制。它的主要作用是防止發(fā)生網(wǎng)絡(luò)安全事件引起的損害，使入侵更難實現(xiàn)，來防止非法用戶，比如防止黑客，網(wǎng)絡(luò)破壞者等進入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。 26，簡述防火墻的設(shè)計須遵循的基本原則。 答：（

51、1）由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻。（2）只允許本地安全政策認可的業(yè)務(wù)流必須經(jīng)過防火墻。（3）盡可能控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴格限制外部用戶進入內(nèi)域網(wǎng)。（4）具有足夠的透明性，保證正常業(yè)務(wù)的流通。（5）具有抗穿透性攻擊能力，強化記錄，審計和告警。 27，目前防火墻的控制技術(shù)可分為：包過濾型，包檢驗型以及應(yīng)用層網(wǎng)關(guān)型三種。 28，防火墻不能解決的問題有哪些？ 答：（1）如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠不會知道防火墻是否受到攻擊。（2）防火墻無法防范通過防火墻以外的其他途徑的攻擊。（3）防火墻不能防止來自內(nèi)部變節(jié)者和不經(jīng)

52、心的用戶帶來的威脅。 （4）防火墻也不能防止傳送已感染病毒的軟件或文件。（5）防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。 29，VPN提供哪些功能？ 答：加密數(shù)據(jù)：以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。 信息認證和身份認證：保證信息的完整性，合法性，并能鑒用戶的身份。 提供訪問控制：不同的用戶有不同的訪問權(quán)限。 30，簡述隧道的基本組成。 答：一個隧道啟動器，一個路由網(wǎng)絡(luò)，一個可選的隧道交換機，一個或多個隧道終結(jié)器。 31，IPSec提供的安全服務(wù)包括：私有性（加密），真實性（驗證發(fā)送者的身份），完整性（防數(shù)據(jù)篡改）和重傳保護（防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送）等，并制定了密鑰管理的

53、方法。 32，選擇VPN（虛擬專用網(wǎng)）解決方案時需要考慮哪幾個要點？ 答：（1）認證方法；（2）支持的加密算法。（3）支持的認證算法。（4）支持IP壓縮算法。（5）易于部署。（6）兼容分布式或個人防火墻的可用性。 33，簡述VPN的分類。 答：按VPN的部署模式分，VPN的部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式：端到端模式；供應(yīng)商到企業(yè)模式；內(nèi)部供應(yīng)商模式。 按VPN的服務(wù)類型分，VPN業(yè)務(wù)大致可分為三類：internetVPN AccessVPN和ExtranetVPN. 34，簡述VPN的具體實現(xiàn)即解決方案有哪幾種？ 答：（1）虛擬專用撥

54、號網(wǎng)絡(luò)，用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。 （2）虛擬專用路由網(wǎng)絡(luò)，它是基于路由的VPN接入方式。 （3）虛擬租用線路，是基于虛擬專線的一種VPN，它在公網(wǎng)上開出各種隧道，模擬專線來建立VPN. （4）虛擬專用LAN子網(wǎng)段，是在公網(wǎng)上用隧道協(xié)議仿真出來一個局域網(wǎng)，透明地提供跨越公網(wǎng)的LAN服務(wù)。 35，實體認證與消息認證的主要差別是什么？ 答：實體認證與消息認證的差別在于，消息認證本身不提供時間性，而實體認證一般都是實時的。另一方面，實體認證通常證實實體本身，而消息認證除了證實消息的合法性和完整性外，還要知道消息的含義。

55、 36，通行字的選擇原則是什么？ 答：易記；難于被別人猜中或發(fā)現(xiàn)；抗分析能力強。在實際系統(tǒng)中，需要考慮和規(guī)定選擇方法，使用期限，字符長度，分配和管理以及在計算機系統(tǒng)內(nèi)的保護等。根據(jù)系統(tǒng)對安全水平的要求可有不同的選取。 37，通行字的安全存儲有哪二種方法？ 答：（1）用戶的通行字多以加密形式存儲，入侵者要得到通行字，必須知道加密算法和密鑰。（2）許多系統(tǒng)可以存儲通行字的單向雜湊值，入侵者即使行到此雜湊也難于推出通行字。 38，有效證書應(yīng)滿足的條件有哪些？ 答：（1）證書沒有超過有效期。（2）密鑰沒有被修改。如果密鑰被修改后，原證書就應(yīng)當收回，不再使用。如果雇員離開了其公司，對應(yīng)的證書就

56、可收回，如果不收回，且密鑰沒被修改，則可繼續(xù)使用該證書；（3）證書不在CA發(fā)行的無效證書清單中。CA負責回收證書，并發(fā)行無效證書清單。用戶一旦發(fā)現(xiàn)密鑰泄露就應(yīng)及時將證書吊銷。并由CA通知停用并存檔備案。 39，密鑰對生成的兩種途徑是什么？ 答：（1）密鑰對持有者自己生成：用戶自己用硬件或軟件生成密鑰對。如果該密鑰對用于數(shù)字簽名時，應(yīng)支持不可否認性。（2）密鑰對由通用系統(tǒng)生成：由用戶依賴，可信賴的某一中心機構(gòu)生成，然后安全地送到特定用戶的設(shè)備中。利用這類中心的資源，可產(chǎn)生高質(zhì)量密鑰對，易于備份和管理。 40，證書有哪些類型？ 答：（1）個人證書：證實客戶身份和密鑰所有權(quán)。在一些情況下，服

57、務(wù)器會在建立SSL邊接時要求用個人證書來證實客戶身份。用戶可以向一個CA申請，經(jīng)審查后獲得個人證書。（2）服務(wù)器證書：證實服務(wù)器的身份和公鑰。當客戶請求建立SSL連接時，服務(wù)器把服務(wù)器證書傳給客戶?？蛻羰盏阶C書后，可以檢查發(fā)行該證書的CA是否應(yīng)該信任。對于不信任的CA，瀏覽器會提示用戶接受或拒絕這個證書。（3）郵件證書：證實電子郵件用戶的身份和公鑰。一些有安全功能的電了郵件應(yīng)用程序能使用郵件證書來驗證用戶身份和加密解密信息。 （4）CA證書：證實CA身份和CA的簽名密鑰。在Netscape瀏覽器里，服務(wù)器管理員可以看到服務(wù)受接受的CA證書，并選擇是否信任這些證書。CA證書允許CA發(fā)行其他類型的

58、證書。 41，如何對密鑰進行安全保護？ 答：密鑰按算法產(chǎn)生后，首先將私鑰送給用戶，如需備份，應(yīng)保證安全性，將公鑰送給CA，用以生成相應(yīng)證書， 為了防止未授權(quán)用戶對密鑰的訪問，應(yīng)將密鑰存入防竄擾硬件或卡中，或加密后存入計算機的文件中。 此處，定期更換密碼對是保證安全的重要措施。 42，CA認證申請者的身份后，生成證書的步驟有哪些？P114 答：（1）CA檢索所需的證書內(nèi)容信息； （2）CA證實這些信息的正確性； （3）CA用其簽名密鑰對證書簽名； （4）將證書的一個拷貝送給注冊者，需要時要求注冊者回送證書的收據(jù)； （5）CA將證書送入證書數(shù)據(jù)庫，向公用檢索業(yè)務(wù)機構(gòu)公布； （6）

59、CA將證書存檔； （7）CA將證書生成過程中的一些細節(jié)記入審記記錄中。 LRA的功能P114 1) 注冊、撤銷注冊、改變注冊者屬性 2) 對注冊者進行身份認證 3) 授權(quán)時可生成密碼對和證書，恢復(fù)備份密鑰 4) 接受和授權(quán)暫時中止或吊銷證書 5) 實際分配個人特征，恢復(fù)有故障持證已經(jīng)授權(quán)代為保存 簡述證書鏈中證書復(fù)本的傳播方式 P114 1) 伴有簽名的證書，簽名者一般已有自己的證書，他可以對復(fù)本進行簽名，任何人都可以通過驗證簽名得到相應(yīng)證書，前提是有一個公鑰基礎(chǔ)設(shè)施來提供所需的認證 2) 通過檢索服務(wù)實現(xiàn)傳播，ITU和ISO都曾致力于發(fā)展這類檢索 3) 其他方式，有

60、些協(xié)議可用來在不安全的信道上傳播公鑰，如web可成為散發(fā)證書的公用工具，S/MIME和MOSS都可用來通過e-mail申請和接受證書。 43，公鑰證書的基本作用（基本目的）？ 答：將公鑰與個人的身份，個人信息件或其他實體的有關(guān)身份信息聯(lián)系起來，在用公鑰證實數(shù)字簽名時，在確信簽名之前，有時還需要有關(guān)簽名人的其他信息，特別是要知道簽名者是否已被授權(quán)為對某特定目的的簽名人。 授權(quán)信息的分配也需用證書實現(xiàn)，可以通過發(fā)放證書宣布某人或?qū)嶓w具有特定權(quán)限或權(quán)威，使別人可以鑒別和承認。 44，雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機密性？ 答：雙鑰密碼體制加密時有一對公鑰和私鑰，公鑰可以公開，私鑰由持

61、有者保存，公鑰加密過的數(shù)據(jù)中有持有者的私鑰能解開，這樣就保證了數(shù)據(jù)的機密性。經(jīng)私鑰加密過的數(shù)據(jù)——數(shù)字簽名可被所具有公鑰的人解開，由于私鑰只有持有者一人保存，就樣就證明信息發(fā)自私鑰持有者，具有不可否認證和完整性。 45，電子商務(wù)安全的中心內(nèi)容 1商務(wù)數(shù)據(jù)的機密性 2商務(wù)數(shù)據(jù)的完整性 3商務(wù)對象的認證性 4商務(wù)服務(wù)的不可否認性5商務(wù)服務(wù)的不可拒絕性6訪問的控制性 46，電子郵件的安全問題主要有兩個方面：（1） 電子郵件在網(wǎng)上傳送時隨時可能別人竊取到（2） 可以冒用別人的身份發(fā)信 47，數(shù)字簽名的使用方法： 數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)。消息M用散列函數(shù)H得到的消息摘要h=H（M）

62、，然后發(fā)送方再用自己的雙鑰密碼體制的私鑰對這個散列值進行加密h=E （h），形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為消息M的附件和消息一起發(fā)送給消息的接受方。消息的接受方首先從接受到的原始消息M中計算出散列值h=H（M），接著再用發(fā)送方的雙鑰密碼體制的公鑰來對消息的數(shù)字簽名進行解密D （h）得h 如果這兩個散列值h = h那么接收方就能確認該數(shù)字簽名是發(fā)送方的，而且還可以確定此消息沒有被修改過。 48，提高數(shù)據(jù)完整性的預(yù)防性措施 （1）鏡像技術(shù)（2）故障前兆分析 （3）奇偶效驗 （4）隔離不安全的人員 （5）電源保障 49，病毒的分類 1 按寄生方式分為： （1）引導型病毒（2）

63、文件型病毒（3）復(fù)合型病毒 2 按破壞性分為：（1）良性病毒 （2）惡性病毒 50，防火墻的設(shè)計原則： ① 由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻 ②只允許本地安全政策認可的業(yè)務(wù)流通過防火墻③盡可能的控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴格限制外部用戶進入內(nèi)域網(wǎng)④具有足夠的透明性，保證正常業(yè)務(wù)的流通⑤具有抗穿透攻擊能力，強化記錄，審計和告警。 CA系統(tǒng)的組成 1) 安全服務(wù)器 2) CA服務(wù)器 3) 注冊機構(gòu)RA 4) LDAP服務(wù)器 5) 數(shù)據(jù)庫服務(wù)器 簡述證書合法性的驗證機制P126 為了進行有效的管理，證書實行分級管理，認證機構(gòu)采用了樹形結(jié)構(gòu)，每份證書都與上一級的簽名證書相

64、關(guān)聯(lián)，最終通過安全鏈追溯到一個已知的可信賴的機構(gòu)，由此便可對各級證書的有效性進行驗證。如客戶~發(fā)卡行~品牌證書~跟證書關(guān)聯(lián)，跟證書是一個自簽名證書，公開，最高層。 證書政策的作用和意義P129 1) 是信息管理和信息技術(shù)基礎(chǔ)設(shè)施的一個組成部分，使得這個基礎(chǔ)設(shè)施從整體上能夠安全的實現(xiàn)公開環(huán)境中的服務(wù)提供、管理和通信； 2) 用電子形式的認證代替書面形式的認證，從而加快信息流通速度，提供效率，降低成本； 3) 鼓勵使用基于開放標準的技術(shù)； 4) 建立與其他開放安全環(huán)境的互操作。 PKI構(gòu)成P128 1) 政策審批機構(gòu) 2) 證書使用規(guī)定 3) 證書政策 4) 證書中心CA 5

65、) 單位注冊機構(gòu)RA 6) 密鑰備份與恢復(fù)系統(tǒng) 7) 證書作廢系統(tǒng) 8) 應(yīng)用接口 9) 端實體 簡述PKI的性能要求P129 10) 支持多政策 11) 透明性和易用性，對上屏蔽實行細節(jié)，對用戶屏蔽復(fù)雜解決方案 12) 互操作性 13) 簡答的風險管理 14) 支持多平臺 15) 支持多應(yīng)用 簡述PKI的應(yīng)用 1) VPN 2) 安全電子郵件 3) Web安全 4) 電子商務(wù)的應(yīng)用 5) 應(yīng)用編程API 支持PKI互操作性的標準 加密、數(shù)字簽名、HASH、密鑰管理標準、證書格式、目標標準、文件信封格式、安全會話格式、安全應(yīng)用程序接口規(guī)范 論述實現(xiàn)不可否

66、認性的證據(jù)機制 1) 業(yè)務(wù)需求 2) 證據(jù)生成 3) 證據(jù)遞送 4) 證據(jù)證實 5) 證據(jù)保存 可信第三方的作用P136 1) 公鑰證書，公鑰-私鑰對應(yīng)，特定時刻合法 2) 身份證實，源消息簽字 3) 時戳，可靠的時戳器件，對消息加上可證實消息、簽字、證書特定時刻的合法性 4) 證據(jù)保存 5) 中介遞送 6) 解決糾紛 7) 仲裁 SHECA證書管理器的功能P169 企業(yè)、個人如何獲得CFCA證書P155 用戶可以到所有CFCA授權(quán)的證書審批機構(gòu)RA申請證書，申請者一般需提供有關(guān)開戶賬號、身份證/組織機構(gòu)代碼、郵件地址等有效信息，RA審核通過后給用戶參考授權(quán)號、授權(quán)碼作為獲得證書的憑據(jù)。用戶在得到參考授權(quán)號授權(quán)碼后，可以自行登錄CFCA網(wǎng)站獲得證書，也可以使用RA提供的其他更為簡便的方式獲得證書。 什么是保持數(shù)據(jù)完整性 CFCA結(jié)構(gòu) P154 VPN功能P83 1) 加密數(shù)據(jù)，保證 公網(wǎng) 不泄露 2) 信息認證和身份認證，完整性、合法性，身份 3) 提供訪問控制，權(quán)限