電子商務(wù)安全導(dǎo)論名詞解釋、簡(jiǎn)答題[共26頁(yè)]

《電子商務(wù)安全導(dǎo)論名詞解釋、簡(jiǎn)答題[共26頁(yè)]》由會(huì)員分享，可在線閱讀，更多相關(guān)《電子商務(wù)安全導(dǎo)論名詞解釋、簡(jiǎn)答題[共26頁(yè)]（27頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、名詞解釋 1，電子商務(wù) 是建立在電子技術(shù)基礎(chǔ)上的商業(yè)運(yùn)作，是利用電子技術(shù)加強(qiáng)，加快，擴(kuò)展，增強(qiáng)，改變了其有關(guān)過程的商務(wù)。 2，EDI 電子數(shù)據(jù)交換是第一代電子商務(wù)技術(shù)，實(shí)現(xiàn)BTOB方式交易。 3，BTOB 企業(yè)機(jī)構(gòu)間的電子商務(wù)活動(dòng)。 4，BTOC 企業(yè)機(jī)構(gòu)和消費(fèi)者之間的電子商務(wù)活動(dòng)。 5，intranet 是指基于TCP/IP協(xié)議的企業(yè)內(nèi)部網(wǎng)絡(luò)，它通過防火墻或其他安全機(jī)制與intranet建立連接。intranet上提供的服務(wù)主要是面向的是企業(yè)內(nèi)部。 6，Extranet 是指基于TCP/IP協(xié)議的企業(yè)處域網(wǎng)，它是一種合作性網(wǎng)絡(luò)。 7，商務(wù)數(shù)據(jù)的機(jī)密性 商務(wù)數(shù)據(jù)的機(jī)

2、密性或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲(chǔ)的過程中不被他人竊取，不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)授權(quán)者無法了解其內(nèi)容。 8，郵件炸彈 是攻擊者向同一個(gè)郵件信箱發(fā)送大量的垃圾郵件，以堵塞該郵箱。 10，TCP劫持入侵 是對(duì)服務(wù)器的最大威脅之一，其基本思想是控制一臺(tái)連接于入侵目標(biāo)網(wǎng)的計(jì)算機(jī)，然后從網(wǎng)上斷開，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實(shí)際的客戶端。 被動(dòng)攻擊 是攻擊者不介入Internet中的信息流動(dòng)，只是竊聽其中的信息。被動(dòng)攻擊后，被攻擊的雙方往往無法發(fā)現(xiàn)攻擊的存在。 11，HTTP協(xié)議的“有無記憶狀態(tài)” 即服務(wù)器在發(fā)送給客戶機(jī)的應(yīng)答后便遺忘了些次交互。

3、TELNET等協(xié)議是“有記憶狀態(tài)”的，它們需記住許多關(guān)于協(xié)議雙方的信息，請(qǐng)求與應(yīng)答。 1，明文 原始的，未被偽裝的消息稱做明文，也稱信源。通常用M表示。 2，密文 通過一個(gè)密鑰和加密算法將明文變換成一種偽信息，稱為密文。通常用C表示。 3，加密 就是用基于數(shù)學(xué)算法的程序和加密的密鑰對(duì)信息進(jìn)行編碼，生成別人難以理解的符號(hào)，即把明文變成密文的過程。通常用E表示。 4，解密 由密文恢復(fù)成明文的過程，稱為解密。通常用D表示。 5，加密算法 對(duì)明文進(jìn)行加密所采用的一組規(guī)則，即加密程序的邏輯稱做加密算法。 6，解密算法 消息傳送給接收者后，要對(duì)密文進(jìn)行解密時(shí)所采用的一組規(guī)則稱做解密

4、算法。 7，密鑰 加密和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的，分別稱作加密密鑰和解密密鑰。通常用K表示。 主密鑰 多層次密鑰系統(tǒng)中，最高層的密鑰也叫作主密鑰。 無條件安全 若它對(duì)于擁有無限計(jì)算資源的破譯者來說是安全的，則稱這樣的密碼體制是無條件安全的。 計(jì)算上安全 如若一個(gè)密碼體制對(duì)于擁有有限資源的破譯者來說是安全的，則稱這樣的密碼體制是計(jì)算上安全的，計(jì)算上安全的密碼表明破譯的難度很大。 多字母加密 是使用密鑰進(jìn)行加密。密鑰是一組信息（一串字符）。同一個(gè)明文進(jìn)過不同的密鑰加密后，其密文也會(huì)不同。 8，單鑰密碼體制 是加密和解密使用相同或?qū)嵸|(zhì)上等同的密鑰的加密體

5、制。使用單鑰密碼體制時(shí)，通信雙方AB必須相互交換密鑰，當(dāng)A發(fā)信息給B時(shí)，A用自己的加密密鑰進(jìn)行加密，而B在接收到數(shù)據(jù)后，用A的密鑰進(jìn)行解密。單鑰密碼體制又稱為秘密密鑰體制或?qū)ΨQ密鑰體制。 9，雙鑰密碼體制 又稱作公共密鑰體制或非對(duì)稱加密體制，這種加密法在加密和解密過程中要使用一對(duì)密鑰，一 個(gè)用與加密，另一上用于解密。即通過一個(gè)密鑰加密的信息，只有使用另一個(gè)密鑰才能夠解密。這樣每個(gè)用戶都擁有兩個(gè)密鑰 公共密鑰和個(gè)人密鑰，公共密鑰用于加密鑰，個(gè)人密鑰用于解密。用戶將公共密鑰交給發(fā)送方或公開，信息發(fā)送者使用接收人的公共密鑰加密的信息只有接收人才能解密。 1，數(shù)據(jù)的完整性 數(shù)據(jù)的完整

6、性是指數(shù)據(jù)處于“一種未受損的狀態(tài)”和“保持完整或未被分割的品質(zhì)或狀態(tài)”。 散列函數(shù) 是將一個(gè)長(zhǎng)度不確定的輸入串轉(zhuǎn)換成一個(gè)確定的輸出串—稱為散列值 2，數(shù)字簽名 是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文件時(shí)，附加個(gè)人標(biāo)記，完成系統(tǒng)上手書簽名蓋章的作用，以表示確認(rèn)，負(fù)責(zé)，經(jīng)手等。 3，雙鑰密碼加密 它是一對(duì)匹配使用的密鑰。一個(gè)是公鑰，是公開的，其他人可以得到；另一個(gè)是私鑰，為個(gè)人所有。這對(duì)密鑰經(jīng)常一個(gè)用來加密，一個(gè)用來解密。 4，數(shù)字信封 發(fā)送方用一個(gè)隨機(jī)產(chǎn)生的DES密鑰加密消息，然后用接收方的公鑰加密DES密鑰，稱為消息的“數(shù)字信封”，將數(shù)字信封與DES加密后的消息一起發(fā)給接收方。接收者收

7、到消息后，先用其私鑰找開數(shù)字信封，得到發(fā)送方的DES密鑰，再用此密鑰去解密消息。只有用接收方的RSA私鑰才能夠找開此數(shù)字信封，確保了接收者的身份。 5，混合加密系統(tǒng) 綜合利用消息加密，數(shù)字信封，散列函數(shù)和數(shù)字簽名實(shí)現(xiàn)安全性，完整性，可鑒別和不可否認(rèn)。成為目前信息安全傳送的標(biāo)準(zhǔn)模式，一般把它叫作“混合加密系統(tǒng)”，被廣泛采用。 6，數(shù)字時(shí)間戳 如何對(duì)文件加蓋不可篡改的數(shù)字時(shí)間戳是一項(xiàng)重要的安全技術(shù)。數(shù)字時(shí)間戳應(yīng)當(dāng)保證： （1）數(shù)據(jù)文件加蓋的時(shí)間戳與存儲(chǔ)數(shù)據(jù)的物理媒體無關(guān)。 （2）對(duì)已加蓋時(shí)間戳的文件不可能做絲毫改動(dòng)。 （3）要想對(duì)某個(gè)文件加蓋與當(dāng)前日期和時(shí)間不同時(shí)間戳是不可能的。

8、7，無可爭(zhēng)辯簽名 是在沒有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。無可爭(zhēng)辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。 8，消息認(rèn)證 是使接收方能驗(yàn)證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過。 9，確定性數(shù)字簽名 其明文與密文一一對(duì)應(yīng)，它對(duì)一特定消息的簽名不變化。 10，隨機(jī)式數(shù)字簽名 根據(jù)簽名算法中的隨機(jī)參值，對(duì)同一消息的簽名也有對(duì)應(yīng)的變化。 11，盲簽名 一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這正是通常所需要的。但有時(shí)需要某人對(duì)一個(gè)文件簽名，但又不讓他知道文件內(nèi)容，稱為盲簽名。 12，完全盲簽名 設(shè)1是一位仲裁人，2要1簽署一個(gè)文件，但不想讓他

9、知道所簽的文件內(nèi)容是什么，而1并不關(guān)心所簽的內(nèi)容，他只是確保在需要時(shí)可以對(duì)此進(jìn)行仲裁，這時(shí)便可通過完全盲簽名協(xié)議實(shí)現(xiàn)。完全盲簽名就是當(dāng)前對(duì)所簽署的文件內(nèi)容不關(guān)心，不知道，只是以后需要時(shí)，可以作證進(jìn)行仲裁。 13，雙聯(lián)簽名 在一次電子商務(wù)活動(dòng)過程中可能同時(shí)有兩個(gè)聯(lián)系的消息M1和M2，要對(duì)它們同時(shí)進(jìn)行數(shù)字簽名。 1，備份 是恢復(fù)出錯(cuò)系統(tǒng)的辦法之一，可以用備份系統(tǒng)將最近的一次系統(tǒng)備份恢復(fù)到機(jī)器上去。 2，歸檔 是指將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長(zhǎng)期保存的過程。 3，計(jì)算機(jī)病毒 是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能的程序，或者毀滅數(shù)據(jù)，影響計(jì)算機(jī)使用

10、，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 4，鏡像技術(shù) 是數(shù)據(jù)備份技術(shù)的一種，主要有網(wǎng)絡(luò)數(shù)據(jù)鏡像，遠(yuǎn)程鏡像磁盤等。 5，網(wǎng)絡(luò)物理安全 指物理設(shè)備可靠，穩(wěn)定運(yùn)行環(huán)境，容錯(cuò)，備份，歸檔和數(shù)據(jù)完整性預(yù)防。 6，奇偶校驗(yàn) 也是服務(wù)器的一個(gè)特性。它提供一種機(jī)器機(jī)制來保證對(duì)內(nèi)存錯(cuò)誤的檢測(cè)，因此，不會(huì)引起由于服務(wù)器出錯(cuò)而造成數(shù)據(jù)完整性的喪失。 7，引導(dǎo)型病毒 是指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。 8，文件型病毒 是指能夠寄存在文件中的計(jì)算機(jī)病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。 9，良性病毒 是指那些只是為了表現(xiàn)自身，并不徹底破壞系統(tǒng)和數(shù)據(jù)，但會(huì)大量占用CPU時(shí)間，

11、增加系統(tǒng)開銷，降低系統(tǒng)工作效率的一類計(jì)算機(jī)病毒。 10，惡性病毒 是指那些一旦發(fā)作后，就會(huì)破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓的一類計(jì)算機(jī)病毒。 1，防火墻 是一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)相互隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。 2，非受信網(wǎng)絡(luò) 一般指的是外部網(wǎng)絡(luò)。 3，扼制點(diǎn) 提供內(nèi)、外兩個(gè)網(wǎng)絡(luò)間的訪問控制，使得只有被安全策略明確授權(quán)的信息流才被允許通過，對(duì)兩個(gè)方向的信息流都能控制。 6，VPN（虛擬專用網(wǎng)） 是指通過一個(gè)公共網(wǎng)絡(luò)（通常是internet）建立一個(gè)臨時(shí)的、安全的連接，是一條穿越混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，

12、它是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 虛擬專用撥號(hào)網(wǎng)絡(luò)VPDN 用戶利用撥號(hào)網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個(gè)私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。 虛擬租用線路VLL 是基于虛擬專線的一種VPN，它在公網(wǎng)上開出各種隧道，模擬專線來建立VPN。 虛擬專用LAN子網(wǎng)段 VPLS，是在公網(wǎng)上用隧道協(xié)議仿真出來一個(gè)局域網(wǎng)，透明地提供跨越公網(wǎng)的LAN服務(wù)。 DMZ 為了配置管理方便，內(nèi)網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個(gè)單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)DMZ區(qū)。 IPsec 是一系列保護(hù)IP規(guī)則的集合，制定了通過公有網(wǎng)絡(luò)傳輸私有加密信息的途徑和方式。 它提供的安全服務(wù)

13、包括私有性、真實(shí)性、完整性和重傳保護(hù)。 Intranet VPN 即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。 Access VPN 又稱撥號(hào)VPN，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。 Extranet VPN 及企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。 接入控制 接入或訪問控制是保證網(wǎng)絡(luò)安全的重要手段，它通過一組機(jī)制控制不同級(jí)別的主體對(duì)目標(biāo)資源的不同授權(quán)訪問，在對(duì)主體認(rèn)證之后實(shí)施網(wǎng)絡(luò)資源安全管理使用。 自主式接入控制 簡(jiǎn)記為DAC。它由資源擁有者分配接入權(quán)，在辨別各用戶的基礎(chǔ)上實(shí)現(xiàn)接入控制。每個(gè)用

14、戶的接入權(quán)由數(shù)據(jù)的擁有者來建立，常以接入控制表或權(quán)限表實(shí)現(xiàn)。 強(qiáng)制式接入控制 簡(jiǎn)記為MAC。它由系統(tǒng)管理員來分配接入權(quán)限和實(shí)施控制，易于與網(wǎng)絡(luò)的安全策略協(xié)調(diào)，常用敏感標(biāo)記實(shí)現(xiàn)多級(jí)安全控制。 加密橋技術(shù) 一種在加/解密卡的基礎(chǔ)上開發(fā)加密橋的技術(shù)，可實(shí)現(xiàn)在不降低加密安全強(qiáng)度旁路條件下，為數(shù)據(jù)庫(kù)加密字段的存儲(chǔ)、檢索、索引、運(yùn)算、刪除、修改等功能的實(shí)現(xiàn)提供接口，并且它的實(shí)現(xiàn)是與密碼算法、密碼設(shè)備無關(guān)的（可使用任何加密手段） 接入權(quán)限 表示主體對(duì)客體訪問時(shí)可擁有的權(quán)利。接入權(quán)要按每一對(duì)主體客體分別限定，權(quán)利包括讀，寫，執(zhí)行等，讀寫含義明確，而執(zhí)行權(quán)指目標(biāo)為一個(gè)程序時(shí)它對(duì)文件的查找和執(zhí)行。

15、1，拒絕率或虛報(bào)率 （Ⅰ型錯(cuò)誤率）是指身份證明系統(tǒng)的質(zhì)量指標(biāo)為合法用戶遭拒絕的概率。 2，漏報(bào)率 （Ⅱ型錯(cuò)誤率）是指非法用戶偽造身份成功的概率。 3，通行字 通行字是一種根據(jù)已知事物驗(yàn)證身份的方法，也是一種研究和使用最廣的身份驗(yàn)證法。 Kerberos 是一種典型的用于客戶機(jī)和服務(wù)器認(rèn)證的認(rèn)證體系協(xié)議，它是一種基于對(duì)稱密碼體制的安全認(rèn)證服務(wù)系統(tǒng)。 4，域內(nèi)認(rèn)證 是指CLIENT向本KERBEROS的認(rèn)證域以內(nèi)的SERVER申請(qǐng)服務(wù)的過程。 5，域間認(rèn)證 是指CLIENT向本KERBEROS的認(rèn)證域以外的SERVER申請(qǐng)服務(wù)的過程。 驗(yàn)證者 身份證明系統(tǒng)中檢驗(yàn)示證者提出

16、的證件的正確性和合法性并決定是否滿足其要求的一方。 1，數(shù)字認(rèn)證 是指用數(shù)字辦法確認(rèn)、鑒定、認(rèn)證網(wǎng)絡(luò)上參與信息交流者或服務(wù)器的身份。 數(shù)字證書 是一個(gè)擔(dān)保個(gè)人、計(jì)算機(jī)系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔。 2，公鑰證書 它將公開密鑰與特定的人，器件或其他實(shí)體聯(lián)系起來。公鑰證書是由證書機(jī)構(gòu)簽署的，其中包含有持證者的確切身份。 3，公鑰數(shù)字證書 網(wǎng)絡(luò)上的證明文件，證明雙鑰體制中的公鑰所有者就是證書上所記錄的使用者。 4，單公鑰證書系統(tǒng) 一個(gè)系統(tǒng)中所有的用戶公用同一個(gè)CA。 5，多公鑰證書系統(tǒng) 用于不同證書的用戶的互相認(rèn)證。 6，客戶證書 證實(shí)客戶身份和密鑰所有權(quán)。

17、 7，服務(wù)器證書 證實(shí)服務(wù)器的身份和公鑰。 8，安全郵件證書 證實(shí)電子郵件用戶的身份和公鑰。 9，CA證書 證實(shí)CA身份和CA的簽名密鑰。 10，證書機(jī)構(gòu)CA 用于創(chuàng)建和發(fā)布證書，它通常為一個(gè)稱為安全域的有限群體發(fā)放證書。 11，安全服務(wù)器 面向普通用戶，用于提供證書申請(qǐng)、瀏覽、證書吊銷表以及證書下載等安全服務(wù)。 12，CA服務(wù)器 是整個(gè)證書機(jī)構(gòu)的核心，負(fù)責(zé)證書的簽發(fā)。是整個(gè)CA體系結(jié)構(gòu)中最為重要的部分，存有CA的私鑰以及發(fā)行證書的腳本文件。 注冊(cè)機(jī)構(gòu)RA服務(wù)器 登記中心服務(wù)器面向中心操作員，在CA體系結(jié)構(gòu)中起承上啟下的作用，一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳輸過來的證書申

18、請(qǐng)請(qǐng)求，另一方面向LDAP服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書和證書撤銷列表。 13，LDAP服務(wù)器 提供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊(cè)機(jī)構(gòu)服務(wù)器傳輸過來的用戶信息以及數(shù)字證書加入到服務(wù)器上。 14，數(shù)據(jù)庫(kù)服務(wù)器 是認(rèn)證機(jī)構(gòu)的核心部分，用于認(rèn)證機(jī)構(gòu)數(shù)據(jù)，日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。 PKI 即公鑰基礎(chǔ)設(shè)施，是一種遵循既定標(biāo)準(zhǔn)的利用公鑰密碼技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需的密鑰和證書管理體系。 證書政策 是一組規(guī)則，指出一個(gè)證書對(duì)一組特定用戶或應(yīng)用的可適用性，表明它對(duì)于一個(gè)特定的應(yīng)用和目的是否可用的，它構(gòu)成

19、了交叉驗(yàn)證的基礎(chǔ)。 政策審批機(jī)構(gòu)PAA 制定整個(gè)體系結(jié)構(gòu)的安全策略，并制定所有下級(jí)機(jī)構(gòu)都要遵循的規(guī)章制度，主要是證書政策和證書使用規(guī)定。 證書使用規(guī)定 綜合描述了CA對(duì)證書政策的各項(xiàng)要求的實(shí)現(xiàn)方法。 認(rèn)證服務(wù) 身份鑒別和識(shí)別，就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體，鑒別身份的真?zhèn)巍? 不可否認(rèn)性服務(wù) 是指從技術(shù)上保證實(shí)體對(duì)其行為的認(rèn)可。 公證服務(wù) 是指數(shù)據(jù)認(rèn)證，即公證人要證明的是數(shù)據(jù)的有效性和正確性，這種公證取決于數(shù)據(jù)驗(yàn)證的方式。 源的不可否認(rèn)性 用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體發(fā)了一個(gè)特定的數(shù)據(jù)、源在某個(gè)特定時(shí)刻出現(xiàn)、或者兩者都有的分歧。 遞送的不可否認(rèn)性 用于防止

20、或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體收到了一個(gè)特定的數(shù)據(jù)項(xiàng)、遞送在特定時(shí)刻出現(xiàn)、、或者兩者都有的分歧，目的是保護(hù)發(fā)信人。 提交的不可否認(rèn)性 用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定參與者傳送或提交了一個(gè)數(shù)據(jù)項(xiàng)、提交出現(xiàn)的時(shí)刻、、或者兩者都有的分歧，目的是保護(hù)發(fā)信人。 單位注冊(cè)機(jī)構(gòu) 幫助遠(yuǎn)離CA的端實(shí)體在CA處注冊(cè)并獲得證書。 密鑰管理 處理密鑰自產(chǎn)生到最終銷毀的整個(gè)過程中的有關(guān)問題，包括系統(tǒng)的初始化、密鑰的產(chǎn)生、存儲(chǔ)、備份/恢復(fù)、裝入、分配、保護(hù)、更新、控制、丟失、吊銷和銷毀等內(nèi)容。 證書更新 當(dāng)證書持有者的證書過期、證書被竊取、受到攻擊時(shí)通過更新證書的方法，使其新的證書繼續(xù)參與網(wǎng)上認(rèn)證。

21、證書的更新包括證書的更換和證書的延期兩種情況。 SSL協(xié)議P71 是基于TCP/IP的安全套接層協(xié)議，由Netscape開發(fā)，是服務(wù)器與客戶機(jī)之間安全通信的加密機(jī)制，用一個(gè)密鑰加密在SSL連接上傳輸?shù)臄?shù)據(jù)。 TLS協(xié)議 傳輸層安全協(xié)議，是在傳輸層對(duì)IETF安全協(xié)議的標(biāo)準(zhǔn)化，制定的目的是為了在因特網(wǎng)上有一種統(tǒng)一的SSL標(biāo)準(zhǔn)版本。目前的TLS標(biāo)準(zhǔn)協(xié)議與SSL的Version 3很接近，由TLS記錄協(xié)議和TLS握手協(xié)議組成。 SET協(xié)議 安全數(shù)據(jù)交換協(xié)議，是一種以信用卡為基礎(chǔ)的、在Internet上交易的付款協(xié)議，是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn)，它采用RSA密碼算法，利用公鑰體系對(duì)通信雙方

22、進(jìn)行認(rèn)證，用DES等標(biāo)準(zhǔn)加密算法對(duì)信息進(jìn)行加密傳輸，并用散列函數(shù)算法來鑒別信息的完整性。 電子錢包 是安裝在消費(fèi)者客戶端計(jì)算機(jī)上，并符合SET規(guī)格的軟件，電子錢包處理客戶端的所有SET信息。 支付網(wǎng)關(guān) 是Internet電子商務(wù)網(wǎng)站上的一個(gè)站點(diǎn)，負(fù)責(zé)接收來自商店服務(wù)器送來的Set付款數(shù)據(jù)，再轉(zhuǎn)換成銀行網(wǎng)絡(luò)的格式，傳送給收到銀行處理。它是一個(gè)SET付款信息與現(xiàn)有銀行網(wǎng)絡(luò)的轉(zhuǎn)接處，是必不可少的機(jī)構(gòu)。 SSL記錄協(xié)議 定義了信息交換中所有數(shù)據(jù)項(xiàng)的格式，包括MAC、信息內(nèi)容、附加數(shù)據(jù)。MAC是一個(gè)定長(zhǎng)數(shù)據(jù)，用于信息的完整性；信息內(nèi)容是網(wǎng)絡(luò)的上一層---應(yīng)用層傳來的數(shù)據(jù)，如HTTP信息；附加

23、數(shù)據(jù)是加密后所產(chǎn)生的附加數(shù)據(jù)。 SSL握手協(xié)議 用于客戶機(jī)/服務(wù)器之間的相互認(rèn)證，協(xié)商加密和MAC算法，傳送所需的公鑰證書，建立SSL記錄協(xié)議處理完整性校驗(yàn)和加密所需的會(huì)話密鑰。 持卡人 持信用卡購(gòu)買商品的人，包括個(gè)人消費(fèi)者和團(tuán)體消費(fèi)者，按照網(wǎng)上商店的表單填寫，通過由發(fā)卡銀行發(fā)行的信用卡進(jìn)行付費(fèi)。 網(wǎng)上商店 在網(wǎng)上的符合SET規(guī)格的電子商店，提供商品或服務(wù)，它必須是具備相應(yīng)電子貨幣使用的條件，從事商業(yè)交易的公司組織。 收單銀行 通過支付網(wǎng)關(guān)處理持卡人和商店之間的交易付款問題事務(wù)。接受來自商店端送來的交易付款數(shù)據(jù)，向發(fā)卡銀行驗(yàn)證無誤后，取得信用卡付款授權(quán)以供商店清算。 發(fā)卡銀行

24、 電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行。在交易過程前，發(fā)卡銀行負(fù)責(zé)查驗(yàn)持卡人的數(shù)據(jù)，如果查驗(yàn)有效，整個(gè)交易才能成立。在交易過程中負(fù)責(zé)處理電子貨幣的審核和支付工作。 認(rèn)證中心CA 可信賴、公正的認(rèn)證組織。接受持卡人、商店、銀行以及支付網(wǎng)關(guān)的數(shù)字認(rèn)證申請(qǐng)，并管理數(shù)字證書的相關(guān)事宜，如制定核發(fā)準(zhǔn)則、發(fā)行和注銷數(shù)字證書等。負(fù)責(zé)對(duì)交易雙方的身份確認(rèn)，對(duì)廠商的信譽(yù)度和消費(fèi)者的支付手段和支付能力進(jìn)行認(rèn)證。 HTTPS協(xié)議 是使用SSL的HTTP，目的是在SSL連接上安全地傳送單個(gè)消息。 商店服務(wù)器 是商店提供SET服務(wù)的軟件。負(fù)責(zé)處理商店端的交易信息，包括與客戶端的電子錢包軟件溝通，取得客

25、戶的信用卡相關(guān)數(shù)據(jù)，另外也必須與支付網(wǎng)關(guān)聯(lián)系取得銀行端來的付款信息。 CFCA 是由中國(guó)人民銀行牽頭，聯(lián)合十四家全國(guó)性商業(yè)銀行共同建立的國(guó)家級(jí)權(quán)威金融認(rèn)證機(jī)構(gòu)，是國(guó)內(nèi)唯一一家能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的第三方網(wǎng)上專業(yè)信任服務(wù)機(jī)構(gòu)。 CTCA 中國(guó)電信CA安全認(rèn)證系統(tǒng)，于2000年5月12日正式向社會(huì)發(fā)放CA證書，并向社會(huì)免費(fèi)公布CTCA安全認(rèn)證系統(tǒng)的接口標(biāo)準(zhǔn)。目前可以在全國(guó)范圍內(nèi)向用戶提供CA證書服務(wù)。 SHECA 上海市電子商務(wù)安全證書管理中心，是信任服務(wù)和安全認(rèn)證服務(wù)的專業(yè)提供商，通過提供在線的信任服務(wù)，為電子商務(wù)和網(wǎng)上作業(yè)保駕護(hù)航。是國(guó)內(nèi)較早建立的CA認(rèn)證中心，創(chuàng)建于1

26、998年，經(jīng)過國(guó)家批準(zhǔn)并被列為信息產(chǎn)業(yè)部全國(guó)示范工程。目前已經(jīng)成為中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信任服務(wù)的骨干。 CFCA的體系結(jié)構(gòu) 采用國(guó)際領(lǐng)先的PKI技術(shù)，總體為三層CA結(jié)構(gòu)，第一層為跟CA，第二層為政策CA，可向不同行業(yè)、領(lǐng)域擴(kuò)展信用范圍，第三層為運(yùn)營(yíng)CA，根據(jù)證書運(yùn)作規(guī)范CPS發(fā)放證書。運(yùn)營(yíng)CA由CA系統(tǒng)和證書注冊(cè)審批機(jī)構(gòu)RA兩大部分組成。 網(wǎng)上銀行 是指商業(yè)銀行將其傳統(tǒng)的柜臺(tái)業(yè)務(wù)拓展到Internet上，用戶訪問其Web Server進(jìn)行在線的實(shí)時(shí)查詢、轉(zhuǎn)賬、匯款、開戶等業(yè)務(wù)。 網(wǎng)上證券 可分為網(wǎng)上炒股和網(wǎng)上銀證轉(zhuǎn)賬，網(wǎng)上炒股是股民和證券公司之間發(fā)生的交易。網(wǎng)上銀證轉(zhuǎn)賬是指股民通過

27、Internet將資金在銀行股民賬戶和證券公司賬戶之間劃入或劃出，是涉及股民、證券公司、銀行的三方交易。 歷年考題 SET的技術(shù)范圍 P142 0901 36.簡(jiǎn)述電子商務(wù)發(fā)展的四個(gè)階段。 37.簡(jiǎn)述DES加密算法的加密運(yùn)算法則。 38.數(shù)字簽名可以解決哪些安全鑒別問題？ 39.設(shè)置防火墻的目的及主要作用是什么？ 40.簡(jiǎn)述有效證書應(yīng)滿足的條件。 41.簡(jiǎn)述實(shí)現(xiàn)遞送的不可否認(rèn)性機(jī)制的方法。 0810 36.簡(jiǎn)述電子商務(wù)系統(tǒng)可能遭受攻擊的類型。 37.簡(jiǎn)述使用Diffie—Hellman密鑰交換協(xié)議交換密鑰的步驟。 38.簡(jiǎn)述使用MD5算法的基本過程。 39.簡(jiǎn)述

28、防火墻的基本組成部分。 40.簡(jiǎn)述公鑰證書包含的具體內(nèi)容。 41.簡(jiǎn)述電子錢包的功能。 0801 36.簡(jiǎn)述選擇VPN解決方案時(shí)需要考慮的要點(diǎn)。 37.電子商務(wù)可靠性的含義是什么？ 38.簡(jiǎn)述認(rèn)證機(jī)構(gòu)提供的新證書發(fā)放的過程。 39.數(shù)字簽名可以解決哪些安全鑒別問題？ 40.系統(tǒng)身份證明是如何實(shí)現(xiàn)的？ 41.簡(jiǎn)述計(jì)算機(jī)病毒的防治策略。 0710 36．簡(jiǎn)述DAC方式易受到攻擊的原因。 37．在我國(guó)制約VPN的發(fā)展、普及的因素有哪些？ 38．雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機(jī)密性和不可否認(rèn)性？ 39．請(qǐng)列出公鑰證書的類型并簡(jiǎn)述其作用。 40．簡(jiǎn)述SET的購(gòu)物過程。

29、 41．PKI作為安全基礎(chǔ)設(shè)施，能為用戶提供哪些服務(wù)？ 0701 36.列舉單鑰密碼體制的幾種算法。 37.簡(jiǎn)述PKI的服務(wù)。 38.簡(jiǎn)述對(duì)Internet攻擊的類型。 39.簡(jiǎn)述證書機(jī)構(gòu)（CA）的組成及各部分作用。 40.簡(jiǎn)述防火墻不能解決的主要問題。 41.簡(jiǎn)述SET安全協(xié)議要達(dá)到的目標(biāo)。 0610 36.簡(jiǎn)述三重DES加密方法的概念及其算法步驟。 37.在交易雙方的通信過程中如何實(shí)現(xiàn)源的不可否認(rèn)性？ 38.簡(jiǎn)述對(duì)密鑰進(jìn)行安全保護(hù)應(yīng)該采取的措施。 39.電子商務(wù)中數(shù)據(jù)的完整性被破壞后會(huì)產(chǎn)生什么樣的后果？ 40.簡(jiǎn)述我國(guó)減低電子商務(wù)安全威脅可以采取的對(duì)策。 41

30、.試比較SSL協(xié)議和SET協(xié)議之間的差別。 0601 36．電子商務(wù)的安全需求包含哪些方面? 37．簡(jiǎn)述數(shù)字簽名的基本原理。 38．簡(jiǎn)述美國(guó)《可信任的計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)》中C1級(jí)和C2級(jí)的要求。 39．簡(jiǎn)述認(rèn)證機(jī)構(gòu)提供的四個(gè)方面的服務(wù)。 40．簡(jiǎn)述VPN的優(yōu)點(diǎn)。 41．簡(jiǎn)述數(shù)據(jù)完整性。 0510 36.簡(jiǎn)述雙鑰密碼體制的基本概念及特點(diǎn)。 37.簡(jiǎn)述數(shù)據(jù)交換時(shí)如何利用數(shù)字信封來確保接收者的身份。 38.電子商務(wù)安全的中心內(nèi)容是什么? 39.簡(jiǎn)述SSL的體系結(jié)構(gòu)。 40.簡(jiǎn)述防火墻設(shè)計(jì)原則。 41.簡(jiǎn)述IPSec的兩種工作模式。 六、論述題（本大題共1小題，共15

31、分） 42.試述混合加密系統(tǒng)的實(shí)施過程。0901 42.試述RSA加密算法中密鑰的計(jì)算方法 0810 42.試比較SSL與SET的差異并論述在電子商務(wù)安全中的應(yīng)用前景。0801 42．對(duì)比傳統(tǒng)手寫簽名來論述數(shù)字簽名的必要性。0710 42.試述數(shù)字簽名的實(shí)際使用原理。0701 42.試述按接入方式虛擬專用網(wǎng)VPN解決方案的種類 0610 42．試述SET實(shí)際操作的全過程。0601 42.試述公鑰證書的申請(qǐng)和吊銷的過程。0510 簡(jiǎn)述橘黃皮書制定的計(jì)算機(jī)安全等級(jí)內(nèi)容 1) 制定了4個(gè)標(biāo)準(zhǔn)，由低到高為D，C，B，A 2) D級(jí)暫時(shí)不分子級(jí)，B級(jí)和C級(jí)是常見的級(jí)別。每個(gè)級(jí)

32、別后面都跟一個(gè)數(shù)字，表明它的用戶敏感程度，其中2是常見的級(jí)別 3) C級(jí)分C1和C2兩個(gè)子級(jí)，C2比C1提供更多的保護(hù)，C2要求又一個(gè)登錄過程，用戶控制指定資源，并檢查數(shù)據(jù)追蹤 4) B級(jí)分B1、B2、B3三個(gè)子級(jí)，由低到高，B2要求有訪問控制，不允許用戶為自己的文件設(shè)定安全級(jí)別 5) A級(jí)為最高級(jí)，暫時(shí)不分子級(jí)，是用戶定制的 6) 每級(jí)包括它下級(jí)的所有特性，這樣從從低到高是D，C1，C2，C3，B1，B2，B3，A 簡(jiǎn)述web站點(diǎn)可能遇到的安全威脅P16 7) 安全信息被破譯 8) 非法訪問 9) 交易信息被截獲 10) 軟件漏洞被利用 11) 當(dāng)CGI腳本編寫的程序或其

33、他涉及遠(yuǎn)程用戶從瀏覽器輸入表格并進(jìn)行像檢索之類在主機(jī)上直接執(zhí)行命令時(shí)，會(huì)給web主機(jī)系統(tǒng)造成危險(xiǎn) 論述產(chǎn)生電子商務(wù)安全威脅的原因P13 1) 在因特網(wǎng)上傳輸?shù)男畔ⅲ瑥钠瘘c(diǎn)到目標(biāo)結(jié)點(diǎn)之間的路徑是隨機(jī)選擇的，此信息在到達(dá)目標(biāo)之前會(huì)通過許多中間結(jié)點(diǎn)，在任一結(jié)點(diǎn)，信息都有可能被竊取、篡改或刪除。 2) Internet在安全方面的缺陷，包括 a) Internet各環(huán)節(jié)的安全漏洞 b) 外界攻擊，對(duì)Internet的攻擊有截?cái)嘈畔?、偽造、篡改、介? c) 局域網(wǎng)服務(wù)和相互信任的主機(jī)安全漏洞 d) 設(shè)備或軟件的復(fù)雜性帶來的安全隱患 3) TCP/IP協(xié)議及其不安全性， a) IP協(xié)議的

34、安全隱患，存在針對(duì)IP的拒絕服務(wù)攻擊、IP的順序號(hào)預(yù)測(cè)攻擊、TCP劫持入侵、嗅探入侵 b) HTTP和web的不安全性 c) E-mail、Telnet及網(wǎng)頁(yè)的不安全，存在入侵Telnet會(huì)話、網(wǎng)頁(yè)作假、電子郵件炸彈 4) 我國(guó)的計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)交換機(jī)、路由器和網(wǎng)絡(luò)操作系統(tǒng)來自國(guó)外 5) 受美國(guó)出口限制，進(jìn)入我國(guó)的電子商務(wù)和網(wǎng)絡(luò)安全產(chǎn)品是弱加密算法，先進(jìn)國(guó)家早有破解的方法 通行字的控制措施 1) 系統(tǒng)消息 2) 限制試探次數(shù) 3) 通行字有效期 4) 雙通行字系統(tǒng) 5) 最小長(zhǎng)度 6) 封鎖用戶系統(tǒng) 7) 根通行字的保護(hù) 8) 系統(tǒng)生成通行字 9) 通行字的檢驗(yàn)

35、對(duì)不同密鑰對(duì)的要求P113 答：（1）需要采用兩個(gè)不同的密鑰對(duì)分別作為加密/解密和數(shù)字簽名/驗(yàn)證簽名用。 （2）一般公鑰體制的加密用密鑰的長(zhǎng)度要比簽名用的密鑰短 （3）需要用不同的密鑰和證書 （4）密鑰對(duì)的使用期限不同 （5）應(yīng)支持采用不同簽名密鑰對(duì)和不同密鑰的建立。 （6）加密算法可能支持密鑰托管和密鑰恢復(fù)，以及可能的法律監(jiān)聽。但數(shù)字簽名的密鑰則不允許泄露給他人，其中包括法律機(jī)構(gòu)。 8，試述一下身份證明系統(tǒng)的相關(guān)要求。 （1）驗(yàn)證者正確認(rèn)別合法示證者的概率極大化。 （2）不具可傳遞性 （3）攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率小到可以忽略 （4）計(jì)算有效性。 （5）通

36、信有效性。 （6）秘密參數(shù)安全存儲(chǔ)。 （7）交互識(shí)別。 （8）第三方實(shí)時(shí)參與。 （9）第三方的可信賴性。 （10）可證明安全性。 簡(jiǎn)述Kerberos的局限性 1) 時(shí)間同步 2) 重放攻擊 3) 認(rèn)證域之間的信任 4) 系統(tǒng)程序的安全性和完整性 5) 口令猜測(cè)攻擊 6) 密鑰的存儲(chǔ) 簡(jiǎn)述加密橋技術(shù)原理及目標(biāo) 加密橋相當(dāng)于一個(gè)加密數(shù)據(jù)的SQL語(yǔ)句編譯執(zhí)行器，數(shù)據(jù)庫(kù)所有對(duì)加密數(shù)據(jù)操作的SQL語(yǔ)句不再由數(shù)據(jù)庫(kù)系統(tǒng)執(zhí)行，改由加密橋執(zhí)行 數(shù)據(jù)庫(kù)的數(shù)據(jù)加密以后，必須保留數(shù)據(jù)庫(kù)管理的一切功能，為了實(shí)現(xiàn)數(shù)據(jù)庫(kù)的功能，通過加密橋的中間過渡（相當(dāng)于建立一套新的用于操作加密數(shù)據(jù)的SQ

37、L語(yǔ)言），實(shí)現(xiàn)對(duì)加密數(shù)據(jù)的操作。DBMS在系統(tǒng)中只負(fù)責(zé)非密數(shù)據(jù)的存取操作，對(duì)于加密字段數(shù)據(jù)的操作完全通過加密橋完成。 加密橋技術(shù)實(shí)現(xiàn)的目的是：應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)字段加密以后，仍可實(shí)現(xiàn)各種數(shù)據(jù)庫(kù)操作。IP地址順序號(hào)預(yù)測(cè)攻擊步驟 首先，得到服務(wù)器的IP地址。黑客一般通過網(wǎng)上報(bào)文嗅探，順序測(cè)試號(hào)碼，由web連接到結(jié)點(diǎn)上并在狀態(tài)欄中尋找結(jié)點(diǎn)的IP地址。 然后，攻擊者在試過這些IP地址后，可以開始監(jiān)視網(wǎng)上傳送包的序號(hào)，推測(cè)服務(wù)器可能產(chǎn)生的下一個(gè)序列號(hào)，再將自己插入到服務(wù)器和用戶之間，模仿IP地址及包裹序列號(hào)以愚弄服務(wù)器，使之成為受到信任的合法網(wǎng)絡(luò)用戶，接著便可訪問系統(tǒng)傳給服務(wù)器的密鑰文件、日志名、機(jī)

38、密數(shù)據(jù)等信息。 2，網(wǎng)頁(yè)攻擊的步驟是什么？ 答：第一步，創(chuàng)建一個(gè)網(wǎng)頁(yè)，看似可信其實(shí)是假的拷貝，但這個(gè)拷貝和真的“一樣”“假網(wǎng)頁(yè)和真網(wǎng)頁(yè)一樣的頁(yè)面和鏈接。 第二步：攻擊者完全控制假網(wǎng)頁(yè)。所以瀏覽器和網(wǎng)絡(luò)間的所有信息交流都經(jīng)過攻擊者。 第三步，攻擊者利用網(wǎng)頁(yè)做假的后果：攻擊者記錄受害者訪問的內(nèi)容，當(dāng)受害者填寫表單發(fā)送數(shù)據(jù)時(shí)，攻擊者可以記錄下所有數(shù)據(jù)。此外，攻擊者可以記錄下服務(wù)器響應(yīng)回來的數(shù)據(jù)。這樣，攻擊者可以偷看到許多在線商務(wù)使用的表單信息，包括賬號(hào)，密碼和秘密信息。 如果需要，攻擊者甚至可以修改數(shù)據(jù)。不論是否使用SSL或S-HTTP，攻擊者都可以對(duì)鏈接做假。換句話說，就算受害者的游覽器

39、顯示出安全鏈接圖標(biāo)，受害者仍可能鏈接在一個(gè)不安全鏈接上。 6，簡(jiǎn)述組建VPN應(yīng)該遵循的設(shè)計(jì)原則。P90 答：VPN的設(shè)計(jì)應(yīng)遵循以下原則：安全性，網(wǎng)絡(luò)優(yōu)化，VPN管理等。 在安全性方面，企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且在防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。 在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。 在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。 1，簡(jiǎn)述保護(hù)數(shù)據(jù)完整性的目的，以有被破壞會(huì)帶來的嚴(yán)重后果。 答：保護(hù)數(shù)據(jù)完整性的目的就是保證計(jì)

40、算機(jī)系統(tǒng)上的數(shù)據(jù)和信息處于一種完整和未受損害的狀態(tài)。這意味著數(shù)據(jù)不會(huì)由于有意或無意的事件而被改變和丟失。 數(shù)據(jù)完整性被破壞會(huì)帶來嚴(yán)重的后果： （1）造成直接的經(jīng)濟(jì)損失，如價(jià)格，訂單數(shù)量等被改變。（2）影響一個(gè)供應(yīng)鏈上許多廠商的經(jīng)濟(jì)活動(dòng)。一個(gè)環(huán)節(jié)上數(shù)據(jù)完整性被破壞將使供應(yīng)鏈上一連串廠商的經(jīng)濟(jì)活動(dòng)受到影響。（3）可能造成過不了“關(guān)”。有的電子商務(wù)是與海關(guān)，商檢，衛(wèi)檢聯(lián)系的，錯(cuò)誤的數(shù)據(jù)將使一批貸物擋在“關(guān)口”之外。（4）會(huì)牽涉到經(jīng)濟(jì)案件中。與稅務(wù)，銀行，保險(xiǎn)等貿(mào)易鏈路相聯(lián)的電子商務(wù)，則會(huì)因數(shù)據(jù)完整性被破壞牽連到漏稅，詐騙等經(jīng)濟(jì)案件中。（5）造成電子商務(wù)經(jīng)營(yíng)的混亂與不信任。 2，簡(jiǎn)述散列函數(shù)應(yīng)用

41、于數(shù)據(jù)的完整性。 答：可用多種技術(shù)的組合來認(rèn)證消息的完整性。為消除因消息被更改而導(dǎo)致的欺詐和濫用行為，可將兩個(gè)算法同時(shí)應(yīng)用到消息上。首先用散列算法，由散列函數(shù)計(jì)算機(jī)出散列值后，就將此值——消息摘要附加到這條消息上。當(dāng)接收者收到消息及附加的消息摘要后，就用此消息獨(dú)自再計(jì)算出一個(gè)消息摘要。如果接收者所計(jì)算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息沒有被篡改。 3，數(shù)字簽名與消息的真實(shí)性認(rèn)證有什么不同？ 答：數(shù)字簽名與消息的真實(shí)性認(rèn)證是不同的。消息認(rèn)證是使接收方能驗(yàn)證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過。當(dāng)收發(fā)者之間沒有利害沖突時(shí)，這對(duì)于防止第三者的破壞來說是足夠了。但當(dāng)接收者和

42、發(fā)送者之間相互有利害沖突時(shí)，單純用消息認(rèn)證技術(shù)就無法解決他們之間的糾紛，此是需借助數(shù)字簽名技術(shù)。 4，數(shù)字簽名和手書簽名有什么不同？ 答：數(shù)字簽名和手書簽名的區(qū)別在于：手書簽名是模擬的，因人而異，即使同一個(gè)人也有細(xì)微差別，比較容易偽造，要區(qū)別是否是偽造，往往需要特殊專家。而數(shù)字簽名是0和1的數(shù)字串，極難偽造，不需專家。對(duì)不同的信息摘要，即使是同一人，其數(shù)字簽名也是不同的。這樣就實(shí)現(xiàn)了文件與簽署的最緊密的“捆綁”。 5，數(shù)字簽名可以解決哪些安全鑒別問題？ 答：數(shù)字簽名可以解決下述安全鑒別問題：（1）接收方偽造：接收方偽造一份文件，并聲稱這是發(fā)送方發(fā)送的；（2）發(fā)送者或收者否認(rèn)：發(fā)送者或接收

43、者事后不承認(rèn)自己曾經(jīng)發(fā)送或接收過文件；（3）第三方冒充：網(wǎng)上的第三方用戶冒充發(fā)送或接收文件；（4）接收方篡改：接收方對(duì)收到的文件進(jìn)行改動(dòng)。 6，無可爭(zhēng)辯簽名有何優(yōu)缺點(diǎn)？ 答：無可爭(zhēng)辯簽名是在沒有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。 無可爭(zhēng)辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。適用于某些應(yīng)用，如電子出版系統(tǒng)，以利于對(duì)知識(shí)產(chǎn)權(quán)的保護(hù)。 在簽名人合作下才能驗(yàn)證簽名，又會(huì)給簽名者一種機(jī)會(huì)，在不利于他時(shí)可拒絕合作，因而不具有“不可否認(rèn)性”。無可爭(zhēng)辯簽名除了一般簽名體制中的簽名算法和驗(yàn)證算法外，還需要第三個(gè)組成部分，即否認(rèn)協(xié)議：簽名者利用無可爭(zhēng)辯簽名可向法庭或公眾證明

44、一個(gè)偽造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認(rèn)協(xié)議，就表明簽名真的由他簽署。 7，UPS的作用是防止突然停電造成網(wǎng)絡(luò)通訊中斷。 8，計(jì)算機(jī)病毒是如何產(chǎn)生的？ 答：計(jì)算機(jī)病毒是人為產(chǎn)生的，是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能，或進(jìn)毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 9，計(jì)算機(jī)惡性病毒的危害是破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓。 10，簡(jiǎn)述容錯(cuò)技術(shù)的目的及其常用的容錯(cuò)技術(shù)。 答：容錯(cuò)技術(shù)的目的是當(dāng)系統(tǒng)發(fā)生某些錯(cuò)誤或故障時(shí)，在不排除錯(cuò)誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或者進(jìn)入應(yīng)急工作狀態(tài)。 容錯(cuò)技術(shù)最實(shí)用的一種技術(shù)是組成冗余系統(tǒng)。冗余

45、系統(tǒng)是系統(tǒng)中除了配置正常的部件以外，還配制出的備份部件。當(dāng)正常的部件出現(xiàn)故障時(shí)，備份部件能夠立即取代它繼續(xù)工作。當(dāng)然系統(tǒng)中必須另有冗余系統(tǒng)的管理機(jī)制和設(shè)備。另有一種容錯(cuò)技術(shù)是使用雙系統(tǒng)。用兩個(gè)相同的系統(tǒng)共同承擔(dān)同一項(xiàng)任務(wù)，當(dāng)一個(gè)系統(tǒng)出現(xiàn)故障時(shí)，另一系統(tǒng)承擔(dān)全部任務(wù)。如雙電源系統(tǒng) 在計(jì)算機(jī)上已經(jīng)使用的容錯(cuò)技術(shù)：P72 1) 提供容錯(cuò)能力的多處理機(jī) 2) 使用磁盤鏡像技術(shù)的磁盤子系統(tǒng) 3) 磁盤雙聯(lián) 4) RAID廉價(jià)磁盤陣列 5) 網(wǎng)絡(luò)冗余 11，現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的備份工作變得越來越困難，其原因是什么？ 答：其原因是網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性隨著不同的操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用軟件的增加而增加。此外，

46、各種操作系統(tǒng)，都自帶內(nèi)置軟件的備份，但自動(dòng)備份和文件管理上都是很基本的，功能不足。 12，簡(jiǎn)述三種基本的備份系統(tǒng)。 答：（1）簡(jiǎn)單的網(wǎng)絡(luò)備份系統(tǒng)：在網(wǎng)絡(luò)上的服務(wù)器直接把數(shù)據(jù)通過總線備份到設(shè)備中。也可把數(shù)據(jù)通過對(duì)網(wǎng)絡(luò)經(jīng)過專用的工作站備份到工作站的設(shè)備中。（2）服務(wù)器到服務(wù)器的備份：在網(wǎng)絡(luò)上的一個(gè)服務(wù)器除了把數(shù)據(jù)通過總線備份到自己設(shè)備中以外，同時(shí)又備份到另一個(gè)服務(wù)器上。（3）使用專用的備份服務(wù)器：不同于第二種中所說的另一類服務(wù)器，它主要的任務(wù)是為網(wǎng)絡(luò)服務(wù)的服務(wù)器，使用專用服務(wù)器可以使備份工作更加可靠。 13，簡(jiǎn)述數(shù)據(jù)備份與傳統(tǒng)的數(shù)據(jù)備份的概念。 答：數(shù)據(jù)備份，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)

47、故障導(dǎo)致數(shù)據(jù)丟失，而將全系統(tǒng)或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其他的存儲(chǔ)介質(zhì)的過程。 傳統(tǒng)的數(shù)據(jù)備份主要是采用數(shù)據(jù)內(nèi)置或外置的磁帶機(jī)進(jìn)行冷備份。 比較常見的備份方式P73 1) 定期磁帶備份數(shù)據(jù) 2) 遠(yuǎn)程磁帶庫(kù)、光盤庫(kù)備份 3) 遠(yuǎn)程關(guān)鍵數(shù)據(jù)并兼有磁帶備份 4) 遠(yuǎn)程數(shù)據(jù)庫(kù)備份 5) 網(wǎng)絡(luò)數(shù)據(jù)鏡像 6) 遠(yuǎn)程鏡像磁盤 14，列舉計(jì)算機(jī)病毒的主要來源。 答： 1) 引進(jìn)的計(jì)算機(jī)病毒和軟件中帶有的病毒。 2) 各類出國(guó)人員帶回的機(jī)器和軟件染有病毒。 3) 一些染有病毒的游戲軟件。 4) 非法拷貝引起的病毒。 5) 計(jì)算機(jī)生產(chǎn)，經(jīng)營(yíng)單位銷售的機(jī)器和軟件染有病毒。

48、 6) 維修部門交叉感染。 7) 有人研制，改造病毒。 8) 敵對(duì)份子以病毒進(jìn)行宣傳和破壞。 9) 通過互聯(lián)網(wǎng)絡(luò)傳入。 15，數(shù)據(jù)文件和系統(tǒng)的備份要注意什么？ 答： 1) 日常的定時(shí)，定期備份； 2) 定期檢查備份的質(zhì)量； 3) 重要的備份最好存放在不同介質(zhì)上； 4) 注意備份本身的防竊和防盜； 5) 多重備份，分散存放，由不同人員分別保管。 16，一套完整的容災(zāi)方案應(yīng)該包括本地容災(zāi)和異地容災(zāi)兩套系統(tǒng)。 17，簡(jiǎn)述歸檔與備份的區(qū)別。 答：歸檔是指將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長(zhǎng)期保存的過程。備份的目的是從災(zāi)難中恢復(fù)。歸檔是把需要的數(shù)據(jù)拷貝或打

49、包，用于長(zhǎng)時(shí)間的歷史性的存放，歸檔可以清理和整理服務(wù)器中的數(shù)據(jù)。歸檔也是提高數(shù)據(jù)完整性的一種預(yù)防性措施。 18，病毒有哪些特征？ 答：非授權(quán)可執(zhí)行性；隱藏性；傳染性；潛伏性；表現(xiàn)性或破壞性；可觸發(fā)性。 19，簡(jiǎn)述計(jì)算機(jī)病毒的分類方法。 答：按寄生方式分為，引導(dǎo)型，病毒文件型和復(fù)合型病毒。 按破壞性分為，良性病毒和惡性病毒 20，簡(jiǎn)述計(jì)算機(jī)病毒的防治策略？ 答：依法治毒，建立一套行之有效的病毒防治體系，制定嚴(yán)格的病毒防治技術(shù)規(guī)范。 21，保證數(shù)據(jù)完整性的措施有：有效防毒，及時(shí)備份，充分考慮系統(tǒng)的容錯(cuò)和冗余。 22，扼制點(diǎn)的作用是控制訪問。 23，防火墻不能防止的安全隱患有：不能阻

50、止已感染病毒的軟件或文件的傳輸；內(nèi)部人員的工作失誤。 24，防火墻與VPN之間的本質(zhì)區(qū)別是：堵/通；或防范別人/保護(hù)自己。 25，設(shè)置防火墻的目的及主要作用是什么？ 答：設(shè)置防火墻的目的是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一通道，允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”提供兩個(gè)網(wǎng)絡(luò)間的訪問的控制，使得只有被安全策略明確授權(quán)的信息流才被允許通過，對(duì)兩個(gè)方向的信息流都能控制。它的主要作用是防止發(fā)生網(wǎng)絡(luò)安全事件引起的損害，使入侵更難實(shí)現(xiàn)，來防止非法用戶，比如防止黑客，網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。 26，簡(jiǎn)述防火墻的設(shè)計(jì)須遵循的基本原則。 答：（

51、1）由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻。（2）只允許本地安全政策認(rèn)可的業(yè)務(wù)流必須經(jīng)過防火墻。（3）盡可能控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶進(jìn)入內(nèi)域網(wǎng)。（4）具有足夠的透明性，保證正常業(yè)務(wù)的流通。（5）具有抗穿透性攻擊能力，強(qiáng)化記錄，審計(jì)和告警。 27，目前防火墻的控制技術(shù)可分為：包過濾型，包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。 28，防火墻不能解決的問題有哪些？ 答：（1）如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。（2）防火墻無法防范通過防火墻以外的其他途徑的攻擊。（3）防火墻不能防止來自內(nèi)部變節(jié)者和不經(jīng)

52、心的用戶帶來的威脅。 （4）防火墻也不能防止傳送已感染病毒的軟件或文件。（5）防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。 29，VPN提供哪些功能？ 答：加密數(shù)據(jù)：以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。 信息認(rèn)證和身份認(rèn)證：保證信息的完整性，合法性，并能鑒用戶的身份。 提供訪問控制：不同的用戶有不同的訪問權(quán)限。 30，簡(jiǎn)述隧道的基本組成。 答：一個(gè)隧道啟動(dòng)器，一個(gè)路由網(wǎng)絡(luò)，一個(gè)可選的隧道交換機(jī)，一個(gè)或多個(gè)隧道終結(jié)器。 31，IPSec提供的安全服務(wù)包括：私有性（加密），真實(shí)性（驗(yàn)證發(fā)送者的身份），完整性（防數(shù)據(jù)篡改）和重傳保護(hù)（防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送）等，并制定了密鑰管理的

53、方法。 32，選擇VPN（虛擬專用網(wǎng)）解決方案時(shí)需要考慮哪幾個(gè)要點(diǎn)？ 答：（1）認(rèn)證方法；（2）支持的加密算法。（3）支持的認(rèn)證算法。（4）支持IP壓縮算法。（5）易于部署。（6）兼容分布式或個(gè)人防火墻的可用性。 33，簡(jiǎn)述VPN的分類。 答：按VPN的部署模式分，VPN的部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式：端到端模式；供應(yīng)商到企業(yè)模式；內(nèi)部供應(yīng)商模式。 按VPN的服務(wù)類型分，VPN業(yè)務(wù)大致可分為三類：internetVPN AccessVPN和ExtranetVPN. 34，簡(jiǎn)述VPN的具體實(shí)現(xiàn)即解決方案有哪幾種？ 答：（1）虛擬專用撥

54、號(hào)網(wǎng)絡(luò)，用戶利用撥號(hào)網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個(gè)私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。 （2）虛擬專用路由網(wǎng)絡(luò)，它是基于路由的VPN接入方式。 （3）虛擬租用線路，是基于虛擬專線的一種VPN，它在公網(wǎng)上開出各種隧道，模擬專線來建立VPN. （4）虛擬專用LAN子網(wǎng)段，是在公網(wǎng)上用隧道協(xié)議仿真出來一個(gè)局域網(wǎng)，透明地提供跨越公網(wǎng)的LAN服務(wù)。 35，實(shí)體認(rèn)證與消息認(rèn)證的主要差別是什么？ 答：實(shí)體認(rèn)證與消息認(rèn)證的差別在于，消息認(rèn)證本身不提供時(shí)間性，而實(shí)體認(rèn)證一般都是實(shí)時(shí)的。另一方面，實(shí)體認(rèn)證通常證實(shí)實(shí)體本身，而消息認(rèn)證除了證實(shí)消息的合法性和完整性外，還要知道消息的含義。

55、 36，通行字的選擇原則是什么？ 答：易記；難于被別人猜中或發(fā)現(xiàn)；抗分析能力強(qiáng)。在實(shí)際系統(tǒng)中，需要考慮和規(guī)定選擇方法，使用期限，字符長(zhǎng)度，分配和管理以及在計(jì)算機(jī)系統(tǒng)內(nèi)的保護(hù)等。根據(jù)系統(tǒng)對(duì)安全水平的要求可有不同的選取。 37，通行字的安全存儲(chǔ)有哪二種方法？ 答：（1）用戶的通行字多以加密形式存儲(chǔ)，入侵者要得到通行字，必須知道加密算法和密鑰。（2）許多系統(tǒng)可以存儲(chǔ)通行字的單向雜湊值，入侵者即使行到此雜湊也難于推出通行字。 38，有效證書應(yīng)滿足的條件有哪些？ 答：（1）證書沒有超過有效期。（2）密鑰沒有被修改。如果密鑰被修改后，原證書就應(yīng)當(dāng)收回，不再使用。如果雇員離開了其公司，對(duì)應(yīng)的證書就

56、可收回，如果不收回，且密鑰沒被修改，則可繼續(xù)使用該證書；（3）證書不在CA發(fā)行的無效證書清單中。CA負(fù)責(zé)回收證書，并發(fā)行無效證書清單。用戶一旦發(fā)現(xiàn)密鑰泄露就應(yīng)及時(shí)將證書吊銷。并由CA通知停用并存檔備案。 39，密鑰對(duì)生成的兩種途徑是什么？ 答：（1）密鑰對(duì)持有者自己生成：用戶自己用硬件或軟件生成密鑰對(duì)。如果該密鑰對(duì)用于數(shù)字簽名時(shí)，應(yīng)支持不可否認(rèn)性。（2）密鑰對(duì)由通用系統(tǒng)生成：由用戶依賴，可信賴的某一中心機(jī)構(gòu)生成，然后安全地送到特定用戶的設(shè)備中。利用這類中心的資源，可產(chǎn)生高質(zhì)量密鑰對(duì)，易于備份和管理。 40，證書有哪些類型？ 答：（1）個(gè)人證書：證實(shí)客戶身份和密鑰所有權(quán)。在一些情況下，服

57、務(wù)器會(huì)在建立SSL邊接時(shí)要求用個(gè)人證書來證實(shí)客戶身份。用戶可以向一個(gè)CA申請(qǐng)，經(jīng)審查后獲得個(gè)人證書。（2）服務(wù)器證書：證實(shí)服務(wù)器的身份和公鑰。當(dāng)客戶請(qǐng)求建立SSL連接時(shí)，服務(wù)器把服務(wù)器證書傳給客戶?？蛻羰盏阶C書后，可以檢查發(fā)行該證書的CA是否應(yīng)該信任。對(duì)于不信任的CA，瀏覽器會(huì)提示用戶接受或拒絕這個(gè)證書。（3）郵件證書：證實(shí)電子郵件用戶的身份和公鑰。一些有安全功能的電了郵件應(yīng)用程序能使用郵件證書來驗(yàn)證用戶身份和加密解密信息。 （4）CA證書：證實(shí)CA身份和CA的簽名密鑰。在Netscape瀏覽器里，服務(wù)器管理員可以看到服務(wù)受接受的CA證書，并選擇是否信任這些證書。CA證書允許CA發(fā)行其他類型的

58、證書。 41，如何對(duì)密鑰進(jìn)行安全保護(hù)？ 答：密鑰按算法產(chǎn)生后，首先將私鑰送給用戶，如需備份，應(yīng)保證安全性，將公鑰送給CA，用以生成相應(yīng)證書， 為了防止未授權(quán)用戶對(duì)密鑰的訪問，應(yīng)將密鑰存入防竄擾硬件或卡中，或加密后存入計(jì)算機(jī)的文件中。 此處，定期更換密碼對(duì)是保證安全的重要措施。 42，CA認(rèn)證申請(qǐng)者的身份后，生成證書的步驟有哪些？P114 答：（1）CA檢索所需的證書內(nèi)容信息； （2）CA證實(shí)這些信息的正確性； （3）CA用其簽名密鑰對(duì)證書簽名； （4）將證書的一個(gè)拷貝送給注冊(cè)者，需要時(shí)要求注冊(cè)者回送證書的收據(jù)； （5）CA將證書送入證書數(shù)據(jù)庫(kù)，向公用檢索業(yè)務(wù)機(jī)構(gòu)公布； （6）

59、CA將證書存檔； （7）CA將證書生成過程中的一些細(xì)節(jié)記入審記記錄中。 LRA的功能P114 1) 注冊(cè)、撤銷注冊(cè)、改變注冊(cè)者屬性 2) 對(duì)注冊(cè)者進(jìn)行身份認(rèn)證 3) 授權(quán)時(shí)可生成密碼對(duì)和證書，恢復(fù)備份密鑰 4) 接受和授權(quán)暫時(shí)中止或吊銷證書 5) 實(shí)際分配個(gè)人特征，恢復(fù)有故障持證已經(jīng)授權(quán)代為保存 簡(jiǎn)述證書鏈中證書復(fù)本的傳播方式 P114 1) 伴有簽名的證書，簽名者一般已有自己的證書，他可以對(duì)復(fù)本進(jìn)行簽名，任何人都可以通過驗(yàn)證簽名得到相應(yīng)證書，前提是有一個(gè)公鑰基礎(chǔ)設(shè)施來提供所需的認(rèn)證 2) 通過檢索服務(wù)實(shí)現(xiàn)傳播，ITU和ISO都曾致力于發(fā)展這類檢索 3) 其他方式，有

60、些協(xié)議可用來在不安全的信道上傳播公鑰，如web可成為散發(fā)證書的公用工具，S/MIME和MOSS都可用來通過e-mail申請(qǐng)和接受證書。 43，公鑰證書的基本作用（基本目的）？ 答：將公鑰與個(gè)人的身份，個(gè)人信息件或其他實(shí)體的有關(guān)身份信息聯(lián)系起來，在用公鑰證實(shí)數(shù)字簽名時(shí)，在確信簽名之前，有時(shí)還需要有關(guān)簽名人的其他信息，特別是要知道簽名者是否已被授權(quán)為對(duì)某特定目的的簽名人。 授權(quán)信息的分配也需用證書實(shí)現(xiàn)，可以通過發(fā)放證書宣布某人或?qū)嶓w具有特定權(quán)限或權(quán)威，使別人可以鑒別和承認(rèn)。 44，雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機(jī)密性？ 答：雙鑰密碼體制加密時(shí)有一對(duì)公鑰和私鑰，公鑰可以公開，私鑰由持

61、有者保存，公鑰加密過的數(shù)據(jù)中有持有者的私鑰能解開，這樣就保證了數(shù)據(jù)的機(jī)密性。經(jīng)私鑰加密過的數(shù)據(jù)——數(shù)字簽名可被所具有公鑰的人解開，由于私鑰只有持有者一人保存，就樣就證明信息發(fā)自私鑰持有者，具有不可否認(rèn)證和完整性。 45，電子商務(wù)安全的中心內(nèi)容 1商務(wù)數(shù)據(jù)的機(jī)密性 2商務(wù)數(shù)據(jù)的完整性 3商務(wù)對(duì)象的認(rèn)證性 4商務(wù)服務(wù)的不可否認(rèn)性5商務(wù)服務(wù)的不可拒絕性6訪問的控制性 46，電子郵件的安全問題主要有兩個(gè)方面：（1） 電子郵件在網(wǎng)上傳送時(shí)隨時(shí)可能別人竊取到（2） 可以冒用別人的身份發(fā)信 47，數(shù)字簽名的使用方法： 數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)。消息M用散列函數(shù)H得到的消息摘要h=H（M）

62、，然后發(fā)送方再用自己的雙鑰密碼體制的私鑰對(duì)這個(gè)散列值進(jìn)行加密h=E （h），形成發(fā)送方的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為消息M的附件和消息一起發(fā)送給消息的接受方。消息的接受方首先從接受到的原始消息M中計(jì)算出散列值h=H（M），接著再用發(fā)送方的雙鑰密碼體制的公鑰來對(duì)消息的數(shù)字簽名進(jìn)行解密D （h）得h 如果這兩個(gè)散列值h = h那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，而且還可以確定此消息沒有被修改過。 48，提高數(shù)據(jù)完整性的預(yù)防性措施 （1）鏡像技術(shù)（2）故障前兆分析 （3）奇偶效驗(yàn) （4）隔離不安全的人員 （5）電源保障 49，病毒的分類 1 按寄生方式分為： （1）引導(dǎo)型病毒（2）

63、文件型病毒（3）復(fù)合型病毒 2 按破壞性分為：（1）良性病毒 （2）惡性病毒 50，防火墻的設(shè)計(jì)原則： ① 由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻 ②只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過防火墻③盡可能的控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶進(jìn)入內(nèi)域網(wǎng)④具有足夠的透明性，保證正常業(yè)務(wù)的流通⑤具有抗穿透攻擊能力，強(qiáng)化記錄，審計(jì)和告警。 CA系統(tǒng)的組成 1) 安全服務(wù)器 2) CA服務(wù)器 3) 注冊(cè)機(jī)構(gòu)RA 4) LDAP服務(wù)器 5) 數(shù)據(jù)庫(kù)服務(wù)器 簡(jiǎn)述證書合法性的驗(yàn)證機(jī)制P126 為了進(jìn)行有效的管理，證書實(shí)行分級(jí)管理，認(rèn)證機(jī)構(gòu)采用了樹形結(jié)構(gòu)，每份證書都與上一級(jí)的簽名證書相

64、關(guān)聯(lián)，最終通過安全鏈追溯到一個(gè)已知的可信賴的機(jī)構(gòu)，由此便可對(duì)各級(jí)證書的有效性進(jìn)行驗(yàn)證。如客戶~發(fā)卡行~品牌證書~跟證書關(guān)聯(lián)，跟證書是一個(gè)自簽名證書，公開，最高層。 證書政策的作用和意義P129 1) 是信息管理和信息技術(shù)基礎(chǔ)設(shè)施的一個(gè)組成部分，使得這個(gè)基礎(chǔ)設(shè)施從整體上能夠安全的實(shí)現(xiàn)公開環(huán)境中的服務(wù)提供、管理和通信； 2) 用電子形式的認(rèn)證代替書面形式的認(rèn)證，從而加快信息流通速度，提供效率，降低成本； 3) 鼓勵(lì)使用基于開放標(biāo)準(zhǔn)的技術(shù)； 4) 建立與其他開放安全環(huán)境的互操作。 PKI構(gòu)成P128 1) 政策審批機(jī)構(gòu) 2) 證書使用規(guī)定 3) 證書政策 4) 證書中心CA 5

65、) 單位注冊(cè)機(jī)構(gòu)RA 6) 密鑰備份與恢復(fù)系統(tǒng) 7) 證書作廢系統(tǒng) 8) 應(yīng)用接口 9) 端實(shí)體 簡(jiǎn)述PKI的性能要求P129 10) 支持多政策 11) 透明性和易用性，對(duì)上屏蔽實(shí)行細(xì)節(jié)，對(duì)用戶屏蔽復(fù)雜解決方案 12) 互操作性 13) 簡(jiǎn)答的風(fēng)險(xiǎn)管理 14) 支持多平臺(tái) 15) 支持多應(yīng)用 簡(jiǎn)述PKI的應(yīng)用 1) VPN 2) 安全電子郵件 3) Web安全 4) 電子商務(wù)的應(yīng)用 5) 應(yīng)用編程API 支持PKI互操作性的標(biāo)準(zhǔn) 加密、數(shù)字簽名、HASH、密鑰管理標(biāo)準(zhǔn)、證書格式、目標(biāo)標(biāo)準(zhǔn)、文件信封格式、安全會(huì)話格式、安全應(yīng)用程序接口規(guī)范 論述實(shí)現(xiàn)不可否

66、認(rèn)性的證據(jù)機(jī)制 1) 業(yè)務(wù)需求 2) 證據(jù)生成 3) 證據(jù)遞送 4) 證據(jù)證實(shí) 5) 證據(jù)保存 可信第三方的作用P136 1) 公鑰證書，公鑰-私鑰對(duì)應(yīng)，特定時(shí)刻合法 2) 身份證實(shí)，源消息簽字 3) 時(shí)戳，可靠的時(shí)戳器件，對(duì)消息加上可證實(shí)消息、簽字、證書特定時(shí)刻的合法性 4) 證據(jù)保存 5) 中介遞送 6) 解決糾紛 7) 仲裁 SHECA證書管理器的功能P169 企業(yè)、個(gè)人如何獲得CFCA證書P155 用戶可以到所有CFCA授權(quán)的證書審批機(jī)構(gòu)RA申請(qǐng)證書，申請(qǐng)者一般需提供有關(guān)開戶賬號(hào)、身份證/組織機(jī)構(gòu)代碼、郵件地址等有效信息，RA審核通過后給用戶參考授權(quán)號(hào)、授權(quán)碼作為獲得證書的憑據(jù)。用戶在得到參考授權(quán)號(hào)授權(quán)碼后，可以自行登錄CFCA網(wǎng)站獲得證書，也可以使用RA提供的其他更為簡(jiǎn)便的方式獲得證書。 什么是保持?jǐn)?shù)據(jù)完整性 CFCA結(jié)構(gòu) P154 VPN功能P83 1) 加密數(shù)據(jù)，保證 公網(wǎng) 不泄露 2) 信息認(rèn)證和身份認(rèn)證，完整性、合法性，身份 3) 提供訪問控制，權(quán)限