北京自考電子商務(wù)安全導(dǎo)論復(fù)習(xí)重點(diǎn)二

字號:

26、簡述防火墻的設(shè)計(jì)須遵循的基本原則。 答:(1)由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻。(2)只允許本地安全政策認(rèn)可的業(yè)務(wù)流必須經(jīng)過防火墻。(3)盡可能控制外部用戶訪問內(nèi)域網(wǎng),應(yīng)嚴(yán)格限制外部用戶進(jìn)入內(nèi)域網(wǎng)。(4)具有足夠的透明性,保證正常業(yè)務(wù)的流通。(5)具有抗穿透性攻擊能力,強(qiáng)化記錄,審計(jì)和告警。
    27、目前防火墻的控制技術(shù)可分為:濾型,包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。
    28、防火墻不能解決的問題有哪些?
    答:(1)如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄,防火墻就形同虛設(shè)。在這種情況下,網(wǎng)絡(luò)管理員永遠(yuǎn)不會知道防火墻是否受到攻擊。(2)防火墻無法防范通過防火墻以外的其他途徑的攻擊。(3)防火墻不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶帶來的威脅。 (4)防火墻也不能防止傳送已感染病毒的軟件或文件。(5)防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。
    29、VPN提供哪些功能?
    答:加密數(shù)據(jù):以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。
    信息認(rèn)證和身份認(rèn)證:保證信息的完整性,合法性,并能鑒用戶的身份。
    提供訪問控制:不同的用戶有不同的訪問權(quán)限。
    30、簡述隧道的基本組成。
    答:一個(gè)隧道啟動器,一個(gè)路由網(wǎng)絡(luò),一個(gè)可選的隧道交換機(jī),一個(gè)或多個(gè)隧道終結(jié)器。
    30、IPSec提供的安全服務(wù)包括:私有性(加密),真實(shí)性(驗(yàn)證發(fā)送者的身份),完整性(防數(shù)據(jù)篡改)和重傳保護(hù)(防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送)等,并制定了密鑰管理的方法。
    32、選擇VPN(虛擬專用網(wǎng))解決方案時(shí)需要考慮哪幾個(gè)要點(diǎn)?
    答:(1)認(rèn)證方法;(2)支持的加密算法。(3)支持的認(rèn)證算法。(4)支持IP壓縮算法。(5)易于部署。(6)兼容分布式或個(gè)人防火墻的可用性。
    33、簡述VPN的分類。
    答:按VPN的部署模式分,VPN的部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的,一般有三種VPN部署模式:端到端模式;供應(yīng)商到企業(yè)模式;內(nèi)部供應(yīng)商模式。
    按VPN的服務(wù)類型分,VPN業(yè)務(wù)大致可分為三類:internetVPN AccessVPN和ExtranetVPN。
    34、簡述VPN的具體實(shí)現(xiàn)即解決方案有哪幾種? 答:(1)虛擬專用撥號網(wǎng)絡(luò),用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心,用戶從企業(yè)數(shù)據(jù)中心獲得一個(gè)私有地址,但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。(2)虛擬專用路由網(wǎng)絡(luò),它是基于路由的VPN接入方式。(3)虛擬租用線路,是基于虛擬專線的一種VPN,它在公網(wǎng)上開出各種隧道,模擬專線來建立VPN。(4)虛擬專用LAN子網(wǎng)段,是在公網(wǎng)上用隧道協(xié)議仿真出來一個(gè)局域網(wǎng),透明地提供跨越公網(wǎng)的LAN服務(wù)。
    35、實(shí)體認(rèn)證與消息認(rèn)證的主要差別是什么? 答:實(shí)體認(rèn)證與消息認(rèn)證的差別在于,消息認(rèn)證本身不提供時(shí)間性,而實(shí)體認(rèn)證一般都是實(shí)時(shí)的。另一方面,實(shí)體認(rèn)證通常證實(shí)實(shí)體本身,而消息認(rèn)證除了證實(shí)消息的合法性和完整性外,還要知道消息的含義。
    36、通行字的選擇原則是什么?
    答:易記;難于被別人猜中或發(fā)現(xiàn);抗分析能力強(qiáng)。在實(shí)際系統(tǒng)中,需要考慮和規(guī)定選擇方法,使用期限,字符長度,分配和管理以及在計(jì)算機(jī)系統(tǒng)內(nèi)的保護(hù)等。根據(jù)系統(tǒng)對安全水平的要求可有不同的選取。
    37、通行字的安全存儲有哪二種方法?
    答:(1)用戶的通行字多以加密形式存儲,入侵者要得到通行字,必須知道加密算法和密鑰。(2)許多系統(tǒng)可以存儲通行字的單向雜湊值,入侵者即使行到此雜湊也難于推出通行字。
    38、有效證書應(yīng)滿足的條件有哪些?
    答:(1)證書沒有超過有效期。(2)密鑰沒有被修改。如果密鑰被修改后,原證書就應(yīng)當(dāng)收回,不再使用。如果雇員離開了其公司,對應(yīng)的證書就可收回,如果不收回,且密鑰沒被修改,則可繼續(xù)使用該證書;(3)證書不在CA發(fā)行的無效證書清單中。CA負(fù)責(zé)回收證書,并發(fā)行無效證書清單。用戶一旦發(fā)現(xiàn)密鑰泄露就應(yīng)及時(shí)將證書吊銷。并由CA通知停用并存檔備案。
    39、密鑰對生成的兩種途徑是什么?
    答:(1)密鑰對持有者自己生成:用戶自己用硬件或軟件生成密鑰對。如果該密鑰對用于數(shù)字簽名時(shí),應(yīng)支持不可否認(rèn)性。(2)密鑰對由通用系統(tǒng)生成:由用戶依賴,可信賴的某一中心機(jī)構(gòu)生成,然后安全地送到特定用戶的設(shè)備中。利用這類中心的資源,可產(chǎn)生高質(zhì)量密鑰對,易于備份和管理。
    40、證書有哪些類型?
    答:(1)個(gè)人證書:證實(shí)客戶身份和密鑰所有權(quán)。在一些情況下,服務(wù)器會在建立SSL邊接時(shí)要求用個(gè)人證書來證實(shí)客戶身份。用戶可以向一個(gè)CA申請,經(jīng)審查后獲得個(gè)人證書。(2)服務(wù)器證書:證實(shí)服務(wù)器的身份和公鑰。當(dāng)客戶請求建立SSL連接時(shí),服務(wù)器把服務(wù)器證書傳給客戶??蛻羰盏阶C書后,可以檢查發(fā)行該證書的CA是否應(yīng)該信任。對于不信任的CA,瀏覽器會提示用戶接受或拒絕這個(gè)證書。(3)郵件證書:證實(shí)電子郵件用戶的身份和公鑰。一些有安全功能的電了郵件應(yīng)用程序能使用郵件證書來驗(yàn)證用戶身份和加密解密信息。(4)CA證書:證實(shí)CA身份和CA的簽名密鑰。在Netscape瀏覽器里,服務(wù)器管理員可以看到服務(wù)受接受的CA證書,并選擇是否信任這些證書。CA證書允許CA發(fā)行其他類型的證書。
    41、如何對密鑰進(jìn)行安全保護(hù)?
    答:密鑰按算法產(chǎn)生后,首先將私鑰送給用戶,如需備份,應(yīng)保證安全性,將公鑰送給CA,用以生成相應(yīng)證書, 為了防止未授權(quán)用戶對密鑰的訪問,應(yīng)將密鑰存入防竄擾硬件或卡中,或加密后存入計(jì)算機(jī)的文件中。 此處,定期更換密碼對是保證安全的重要措施。
    42、CA認(rèn)證申請者的身份后,生成證書的步驟有哪些?
    答:(1)CA檢索所需的證書內(nèi)容信息;(2)CA證實(shí)這些信息的正確性;(3)回CA用其簽名密鑰對證書簽名;(4)將證書的一個(gè)拷貝送給注冊者,需要時(shí)要求注冊者回送證書的收據(jù);(5)CA將證書送入證書數(shù)據(jù)庫,向公用檢索業(yè)務(wù)機(jī)構(gòu)頌;(6)通常,CA將證書存檔;(7)CA將證書生成過程中的一些細(xì)節(jié)記入審記記錄中。
    43、公鑰證書的基本作用?
    答:將公鑰與個(gè)人的身份,個(gè)人信息件或其他實(shí)體的有關(guān)身份信息聯(lián)系起來,在用公鑰證實(shí)數(shù)字簽名時(shí),在確信簽名之前,有時(shí)還需要有關(guān)簽名人的其他信息,特別是要知道簽名者是否已被授權(quán)為對某特定目的的簽名人。
    授權(quán)信息的分配也需用證書實(shí)現(xiàn),可以通過發(fā)放證書宣布某人或?qū)嶓w具有特定權(quán)限或權(quán)威,使別人可以鑒別和承認(rèn)。
    44、雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機(jī)密性?
    答:雙鑰密碼體制加密時(shí)有一對公鑰和私鑰,公鑰可以公開,私鑰由持有者保存,公鑰加密過的數(shù)據(jù)中有持有者的私鑰能解開,這樣就保證了數(shù)據(jù)的機(jī)密性。經(jīng)私鑰加密過的數(shù)據(jù)——數(shù)字簽名可被所具有公鑰的人解開,由于私鑰只有持有者一人保存,就樣就證明信息發(fā)自私鑰持有者,具有不可否認(rèn)證和完整性。
    45、電子商務(wù)安全的中心內(nèi)容
    1、商務(wù)數(shù)據(jù)的機(jī)密性。2、商務(wù)數(shù)據(jù)的完整性。3、商務(wù)對象的認(rèn)證性。4、商務(wù)服務(wù)的不可否認(rèn)性。5、商務(wù)服務(wù)的不可拒絕性。6、訪問的控制性。
    46、電子郵件的安全問題主要有兩個(gè)方面:(1) 電子郵件在網(wǎng)上傳送時(shí)隨時(shí)可能別人竊取到。(2)可以冒用別人的身份發(fā)信。
    47、數(shù)字簽名的使用方法:
    數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)。消息M用散列函數(shù)H得到的消息摘要h=H(M),然后發(fā)送方再用自己的雙鑰密碼體制的私鑰對這個(gè)散列值進(jìn)行加密h=E(h),形成發(fā)送方的數(shù)字簽名。然后,這個(gè)數(shù)字簽名將作為消息M的附件和消息一起發(fā)送給消息的接受方。消息的接受方首先從接受到的原始消息M中計(jì)算出散列值h=H(M),接著再用發(fā)送方的雙鑰密碼體制的公鑰來對消息的數(shù)字簽名進(jìn)行解密D(h)得h如果這兩個(gè)散列值h = h那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的,而且還可以確定此消息沒有被修改過。
    48、提高數(shù)據(jù)完整性的預(yù)防性措施
    (1)鏡像技術(shù):是指將數(shù)據(jù)原樣地從一臺設(shè)備機(jī)器拷貝到另一臺設(shè)備機(jī)器上 (2)故障前兆分析 (3)奇偶效驗(yàn) (4)隔離不安全的人員 (5)電源保障
    49、病毒的分類
    1、按寄生方式分為:(1)引導(dǎo)型病毒(2)文件型病毒(3)復(fù)合型病毒
    2、按破壞性分為:(1)良性病毒
    (2)惡性病毒
    50、防火墻的設(shè)計(jì)原則:
    ① 由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻 ②只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過防火墻③盡可能的控制外部用戶訪問內(nèi)域網(wǎng),應(yīng)嚴(yán)格限制外部用戶進(jìn)入內(nèi)域網(wǎng)④具有足夠的透明性,保證正常業(yè)務(wù)的流通⑤具有抗穿透攻擊能力,強(qiáng)化記錄,審計(jì)和告警。