自學(xué)考試“電子商務(wù)安全導(dǎo)論”復(fù)習(xí)重點(diǎn)

　　簡答題與論述題： $lesson$

　　簡答

　　1，簡述保護(hù)數(shù)據(jù)完整性的目的，以有被破壞會帶來的嚴(yán)重后果。

　　答：保護(hù)數(shù)據(jù)完整性的目的就是保證計算機(jī)系統(tǒng)上的數(shù)據(jù)和信息處于一種完整和未受損害的狀態(tài)。這意味著數(shù)據(jù)不會由于有意或無意的事件而被改變和丟失。轉(zhuǎn)自環(huán) 球 網(wǎng) 校edu24ol.com

　　數(shù)據(jù)完整性被破壞會帶來嚴(yán)重的后果：

　　(1)造成直接的經(jīng)濟(jì)損失，如價格，訂單數(shù)量等被改變。(2)影響一個供應(yīng)鏈上許多廠商的經(jīng)濟(jì)活動。一個環(huán)節(jié)上數(shù)據(jù)完整性被破壞將使供應(yīng)鏈上一連串廠商的經(jīng)濟(jì)活動受到影響。(3)可能造成過不了“關(guān)”。有的電子商務(wù)是與海關(guān)，商檢，衛(wèi)檢聯(lián)系的，錯誤的數(shù)據(jù)將使一批貸物擋在“關(guān)口”之外。(4)會牽涉到經(jīng)濟(jì)案件中。與稅務(wù)，銀行，保險等貿(mào)易鏈路相聯(lián)的電子商務(wù)，則會因數(shù)據(jù)完整性被破壞牽連到漏稅，詐騙等經(jīng)濟(jì)案件中。(5)造成電子商務(wù)經(jīng)營的混亂與不信任。

　　2，簡述散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性。

　　答：可用多種技術(shù)的組合來認(rèn)證消息的完整性。為消除因消息被更改而導(dǎo)致的欺詐和濫用行為，可將兩個算法同時應(yīng)用到消息上。首先用散列算法，由散列函數(shù)計算機(jī)出散列值后，就將此值――消息摘要附加到這條消息上。當(dāng)接收者收到消息及附加的消息摘要后，就用此消息獨(dú)自再計算出一個消息摘要。如果接收者所計算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息沒有被篡改。

　　3，數(shù)字簽名與消息的真實(shí)性認(rèn)證有什么不同?

　　答：數(shù)字簽名與消息的真實(shí)性認(rèn)證是不同的。消息認(rèn)證是使接收方能驗(yàn)證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過。當(dāng)收發(fā)者之間沒有利害沖突時，這對于防止第三者的破壞來說是足夠了。但當(dāng)接收者和發(fā)送者之間相互有利害沖突時，單純用消息認(rèn)證技術(shù)就無法解決他們之間的糾紛，此是需借助數(shù)字簽名技術(shù)。

　　4，數(shù)字簽名和手書簽名有什么不同?

　　答：數(shù)字簽名和手書簽名的區(qū)別在于：手書簽名是模擬的，因人而異，即使同一個人也有細(xì)微差別，比較容易偽造，要區(qū)別是否是偽造，往往需要特殊老師。而數(shù)字簽名是0和1的數(shù)字串，極難偽造，不需老師。對不同的信息摘要，即使是同一人，其數(shù)字簽名也是不同的。這樣就實(shí)現(xiàn)了文件與簽署的最緊密的“捆綁”。

　　5，數(shù)字簽名可以解決哪些安全鑒別問題? 答：數(shù)字簽名可以解決下述安全鑒別問題：(1)接收方偽造：接收方偽造一份文件，并聲稱這是發(fā)送方發(fā)送的;(2)發(fā)送者或收者否認(rèn)：發(fā)送者或接收者事后不承認(rèn)自己曾經(jīng)發(fā)送或接收過文件;(3)第三方冒充：網(wǎng)上的第三方用戶冒充發(fā)送或接收文件;(4)接收方篡改：接收方對收到的文件進(jìn)行改動。

　　6，無可爭辯簽名有何優(yōu)缺點(diǎn)?

　　答：無可爭辯簽名是在沒有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。

　　無可爭辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。適用于某些應(yīng)用，如電子出版系統(tǒng)，以利于對知識產(chǎn)權(quán)的保護(hù)。

　　在簽名人合作下才能驗(yàn)證簽名，又會給簽名者一種機(jī)會，在不利于他時可拒絕合作，因而不具有“不可否認(rèn)性”。無可爭辯簽名除了一般簽名體制中的簽名算法和驗(yàn)證算法外，還需要第三個組成部分，即否認(rèn)協(xié)議：簽名者利用無可爭辯簽名可向法庭或公眾證明一個偽造的簽名的確是假的;但如果簽名者拒絕參與執(zhí)行否認(rèn)協(xié)議，就表明簽名真的由他簽署。

　　7，UPS的作用是防止突然停電造成網(wǎng)絡(luò)通訊中斷。

　　8，計算機(jī)病毒是如何產(chǎn)生的?

　　答：計算機(jī)病毒是人為產(chǎn)生的，是編制者在計算機(jī)程序中插入的破壞計算機(jī)功能，或進(jìn)毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。

　　9，計算機(jī)惡性病毒的危害是破壞系統(tǒng)或數(shù)據(jù)，造成計算機(jī)系統(tǒng)癱瘓。

　　10，簡述容錯技術(shù)的目的及其常用的容錯技術(shù)。

　　答：容錯技術(shù)的目的是當(dāng)系統(tǒng)發(fā)生某些錯誤或故障時，在不排除錯誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或者進(jìn)入應(yīng)急工作狀態(tài)。

　　容錯技術(shù)最實(shí)用的一種技術(shù)是組成冗余系統(tǒng)。冗余系統(tǒng)是系統(tǒng)中除了配置正常的部件以外，還配制出的備份部件。當(dāng)正常的部件出現(xiàn)故障時，備份部件能夠立即取代它繼續(xù)工作。當(dāng)然系統(tǒng)中必須另有冗余系統(tǒng)的管理機(jī)制和設(shè)備。另有一種容錯技術(shù)是使用雙系統(tǒng)。用兩個相同的系統(tǒng)共同承擔(dān)同一項(xiàng)任務(wù)，當(dāng)一個系統(tǒng)出現(xiàn)故障時，另一系統(tǒng)承擔(dān)全部任務(wù)。

　　11，現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的備份工作變得越來越困難，其原因是什么?

　　答：其原因是網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性隨著不同的操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用軟件的增加而增加。此外，各種操作系統(tǒng)，都自帶內(nèi)置軟件的備份，但自動備份和文件管理上都是很基本的，功能不足。

　　12，簡述三種基本的備份系統(tǒng)。

　　答：(1)簡單的網(wǎng)絡(luò)備份系統(tǒng)：在網(wǎng)絡(luò)上的服務(wù)器直接把數(shù)據(jù)通過總線備份到設(shè)備中。也可把數(shù)據(jù)通過對網(wǎng)絡(luò)經(jīng)過專用的工作站備份到工作站的設(shè)備中。(2)服務(wù)器到服務(wù)器的備份：在網(wǎng)絡(luò)上的一個服務(wù)器除了把數(shù)據(jù)通過總線備份到自己設(shè)備中以外，同時又備份到另一個服務(wù)器上。(3)使用專用的備份服務(wù)器：不同于第二種中所說的另一類服務(wù)器，它主要的任務(wù)是為網(wǎng)絡(luò)服務(wù)的服務(wù)器，使用專用服務(wù)器可以使備份工作更加可靠。

　　13，簡述數(shù)據(jù)備份與傳統(tǒng)的數(shù)據(jù)備份的概念。 答：數(shù)據(jù)備份，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全系統(tǒng)或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其他的存儲介質(zhì)的過程。 傳統(tǒng)的數(shù)據(jù)備份主要是采用數(shù)據(jù)內(nèi)置或外置的磁帶機(jī)進(jìn)行冷備份。

　　14，列舉計算機(jī)病毒的主要來源。 答：1，引進(jìn)的計算機(jī)病毒和軟件中帶有的病毒。2，各類出國人員帶回的機(jī)器和軟件染有病毒。3，一些染有病毒的游戲軟件。4，非法拷貝引起的病毒。5，計算機(jī)生產(chǎn)，經(jīng)營單位銷售的機(jī)器和軟件染有病毒。6，維修部門交叉感染。7，有人研制，改造病毒。8，敵對份子以病毒進(jìn)行宣傳和破壞。9，通過互聯(lián)網(wǎng)絡(luò)傳入。

　　15，數(shù)據(jù)文件和系統(tǒng)的備份要注意什么? 答：日常的定時，定期備份;定期檢查備份的質(zhì)量;重要的備份最好存放在不同介質(zhì)上;注意備份本身的防竊和防盜;多重備份，分散存放，由不同人員分別保管。

　　16，一套完整的容災(zāi)方案應(yīng)該包括本地容災(zāi)和異地容災(zāi)兩套系統(tǒng)。

　　17，簡述歸檔與備份的區(qū)別。 答：歸檔是指將文件從計算機(jī)的存儲介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長期保存的過程。備份的目的是從災(zāi)難中恢復(fù)。歸檔是把需要的數(shù)據(jù)拷貝或打包，用于長時間的歷史性的存放，歸檔可以清理和整理服務(wù)器中的數(shù)據(jù)。歸檔也是提高數(shù)據(jù)完整性的一種預(yù)防性措施。

　　18，病毒有哪些特征?

　　答：非授權(quán)可執(zhí)行性;隱藏性;傳染性;潛伏性;表現(xiàn)性或破壞性;可觸發(fā)性。

　　19，簡述計算機(jī)病毒的分類方法。

　　答：按寄生方式分為，引導(dǎo)型，病毒文件型和復(fù)合型病毒。 按破壞性分為，良性病毒和惡性病毒

　　20，簡述計算機(jī)病毒的防治策略? 答：依法治毒，建立一套行之有效的病毒防治體系，制定嚴(yán)格的病毒防治技術(shù)規(guī)范。

　　21，保證數(shù)據(jù)完整性的措施有：有效防毒，及時備份，充分考慮系統(tǒng)的容錯和冗余。

　　22，扼制點(diǎn)的作用是控制訪問。

　　23，防火墻不能防止的安全隱患有：不能阻止已感染病毒的軟件或文件的傳輸;內(nèi)部人員的工作失誤。

　　24，防火墻與VPN之間的本質(zhì)區(qū)別是：堵/通;或防范別人/保護(hù)自己。

　　25，設(shè)置防火墻的目的及主要作用是什么? 答：設(shè)置防火墻的目的是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一通道，允許網(wǎng)絡(luò)管理員定義一個中心“扼制點(diǎn)”提供兩個網(wǎng)絡(luò)間的訪問的控制，使得只有被安全策略明確授權(quán)的信息流才被允許通過，對兩個方向的信息流都能控制。它的主要作用是防止發(fā)生網(wǎng)絡(luò)安全事件引起的損害，使入侵更難實(shí)現(xiàn)，來防止非法用戶，比如防止黑客，網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。

　　26，簡述防火墻的設(shè)計須遵循的基本原則。 答：(1)由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻。(2)只允許本地安全政策認(rèn)可的業(yè)務(wù)流必須經(jīng)過防火墻。(3)盡可能控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶進(jìn)入內(nèi)域網(wǎng)。(4)具有足夠的透明性，保證正常業(yè)務(wù)的流通。(5)具有抗穿透性攻擊能力，強(qiáng)化記錄，審計和告警。

　　27，目前防火墻的控制技術(shù)可分為：包過濾型，包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。

　　28，防火墻不能解決的問題有哪些?

　　答：(1)如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會知道防火墻是否受到攻擊。(2)防火墻無法防范通過防火墻以外的其他途徑的攻擊。(3)防火墻不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶帶來的威脅。 (4)防火墻也不能防止傳送已感染病毒的軟件或文件。(5)防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。

　　29，VPN提供哪些功能?

　　答：加密數(shù)據(jù)：以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。

　　信息認(rèn)證和身份認(rèn)證：保證信息的完整性，合法性，并能鑒用戶的身份。

　　提供訪問控制：不同的用戶有不同的訪問權(quán)限。

　　30，簡述隧道的基本組成。

　　答：一個隧道啟動器，一個路由網(wǎng)絡(luò)，一個可選的隧道交換機(jī)，一個或多個隧道終結(jié)器。

　　31，IPSec提供的安全服務(wù)包括：私有性(加密)，真實(shí)性(驗(yàn)證發(fā)送者的身份)，完整性(防數(shù)據(jù)篡改)和重傳保護(hù)(防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送)等，并制定了密鑰管理的方法。

　　32，選擇VPN(虛擬專用網(wǎng))解決方案時需要考慮哪幾個要點(diǎn)?

　　答：(1)認(rèn)證方法;(2)支持的加密算法。(3)支持的認(rèn)證算法。(4)支持IP壓縮算法。(5)易于部署。(6)兼容分布式或個人防火墻的可用性。

　　33，簡述VPN的分類。

　　答：按VPN的部署模式分，VPN的部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式：端到端模式;供應(yīng)商到企業(yè)模式;內(nèi)部供應(yīng)商模式。

　　按VPN的服務(wù)類型分，VPN業(yè)務(wù)大致可分為三類：internetVPN AccessVPN和ExtranetVPN.

　　34，簡述VPN的具體實(shí)現(xiàn)即解決方案有哪幾種? 答：(1)虛擬專用撥號網(wǎng)絡(luò)，用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。 (2)虛擬專用路由網(wǎng)絡(luò)，它是基于路由的VPN接入方式。 (3)虛擬租用線路，是基于虛擬專線的一種VPN，它在公網(wǎng)上開出各種隧道，模擬專線來建立VPN. (4)虛擬專用LAN子網(wǎng)段，是在公網(wǎng)上用隧道協(xié)議仿真出來一個局域網(wǎng)，透明地提供跨越公網(wǎng)的LAN服務(wù)。

　　35，實(shí)體認(rèn)證與消息認(rèn)證的主要差別是什么? 答：實(shí)體認(rèn)證與消息認(rèn)證的差別在于，消息認(rèn)證本身不提供時間性，而實(shí)體認(rèn)證一般都是實(shí)時的。另一方面，實(shí)體認(rèn)證通常證實(shí)實(shí)體本身，而消息認(rèn)證除了證實(shí)消息的合法性和完整性外，還要知道消息的含義。

　　36，通行字的選擇原則是什么?

　　答：易記;難于被別人猜中或發(fā)現(xiàn);抗分析能力強(qiáng)。在實(shí)際系統(tǒng)中，需要考慮和規(guī)定選擇方法，使用期限，字符長度，分配和管理以及在計算機(jī)系統(tǒng)內(nèi)的保護(hù)等。根據(jù)系統(tǒng)對安全水平的要求可有不同的選取。

　　37，通行字的安全存儲有哪二種方法?

　　答：(1)用戶的通行字多以加密形式存儲，入侵者要得到通行字，必須知道加密算法和密鑰。(2)許多系統(tǒng)可以存儲通行字的單向雜湊值，入侵者即使行到此雜湊也難于推出通行字。

　　38，有效證書應(yīng)滿足的條件有哪些?

　　答：(1)證書沒有超過有效期。(2)密鑰沒有被修改。如果密鑰被修改后，原證書就應(yīng)當(dāng)收回，不再使用。如果雇員離開了其公司，對應(yīng)的證書就可收回，如果不收回，且密鑰沒被修改，則可繼續(xù)使用該證書;(3)證書不在CA發(fā)行的無效證書清單中。CA負(fù)責(zé)回收證書，并發(fā)行無效證書清單。用戶一旦發(fā)現(xiàn)密鑰泄露就應(yīng)及時將證書吊銷。并由CA通知停用并存檔備案。

　　39，密鑰對生成的兩種途徑是什么?

　　答：(1)密鑰對持有者自己生成：用戶自己用硬件或軟件生成密鑰對。如果該密鑰對用于數(shù)字簽名時，應(yīng)支持不可否認(rèn)性。(2)密鑰對由通用系統(tǒng)生成：由用戶依賴，可信賴的某一中心機(jī)構(gòu)生成，然后安全地送到特定用戶的設(shè)備中。利用這類中心的資源，可產(chǎn)生高質(zhì)量密鑰對，易于備份和管理。

　　40，證書有哪些類型?

　　答：(1)個人證書：證實(shí)客戶身份和密鑰所有權(quán)。在一些情況下，服務(wù)器會在建立SSL邊接時要求用個人證書來證實(shí)客戶身份。用戶可以向一個CA申請，經(jīng)審查后獲得個人證書。(2)服務(wù)器證書：證實(shí)服務(wù)器的身份和公鑰。當(dāng)客戶請求建立SSL連接時，服務(wù)器把服務(wù)器證書傳給客戶。客戶收到證書后，可以檢查發(fā)行該證書的CA是否應(yīng)該信任。對于不信任的CA，瀏覽器會提示用戶接受或拒絕這個證書。(3)郵件證書：證實(shí)電子郵件用戶的身份和公鑰。一些有安全功能的電了郵件應(yīng)用程序能使用郵件證書來驗(yàn)證用戶身份和加密解密信息。 (4)CA證書：證實(shí)CA身份和CA的簽名密鑰。在Netscape瀏覽器里，服務(wù)器管理員可以看到服務(wù)受接受的CA證書，并選擇是否信任這些證書。CA證書允許CA發(fā)行其他類型的證書。

　　41，如何對密鑰進(jìn)行安全保護(hù)?

　　答：密鑰按算法產(chǎn)生后，首先將私鑰送給用戶，如需備份，應(yīng)保證安全性，將公鑰送給CA，用以生成相應(yīng)證書， 為了防止未授權(quán)用戶對密鑰的訪問，應(yīng)將密鑰存入防竄擾硬件或卡中，或加密后存入計算機(jī)的文件中。 此處，定期更換密碼對是保證安全的重要措施。

　　42，CA認(rèn)證申請者的身份后，生成證書的步驟有哪些?

　　答：(1)CA檢索所需的證書內(nèi)容信息;(2)CA證實(shí)這些信息的正確性;(3)回CA用其簽名密鑰對證書簽名;(4)將證書的一個拷貝送給注冊者，需要時要求注冊者回送證書的收據(jù);(5)CA將證書送入證書數(shù)據(jù)庫，向公用檢索業(yè)務(wù)機(jī)構(gòu)頌;(6)通常，CA將證書存檔;(7)CA將證書生成過程中的一些細(xì)節(jié)記入審記記錄中。

　　43，公鑰證書的基本作用?

　　答：將公鑰與個人的身份，個人信息件或其他實(shí)體的有關(guān)身份信息聯(lián)系起來，在用公鑰證實(shí)數(shù)字簽名時，在確信簽名之前，有時還需要有關(guān)簽名人的其他信息，特別是要知道簽名者是否已被授權(quán)為對某特定目的的簽名人。

　　授權(quán)信息的分配也需用證書實(shí)現(xiàn)，可以通過發(fā)放證書宣布某人或?qū)嶓w具有特定權(quán)限或權(quán)威，使別人可以鑒別和承認(rèn)。

　　44，雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機(jī)密性?

　　答：雙鑰密碼體制加密時有一對公鑰和私鑰，公鑰可以公開，私鑰由持有者保存，公鑰加密過的數(shù)據(jù)中有持有者的私鑰能解開，這樣就保證了數(shù)據(jù)的機(jī)密性。經(jīng)私鑰加密過的數(shù)據(jù)――數(shù)字簽名可被所具有公鑰的人解開，由于私鑰只有持有者一人保存，就樣就證明信息發(fā)自私鑰持有者，具有不可否認(rèn)證和完整性。

　　45，電子商務(wù)安全的中心內(nèi)容

　　1商務(wù)數(shù)據(jù)的機(jī)密性 2商務(wù)數(shù)據(jù)的完整性 3商務(wù)對象的認(rèn)證性 4商務(wù)服務(wù)的不可否認(rèn)性5商務(wù)服務(wù)的不可拒絕性6訪問的控制性

　　46，電子郵件的安全問題主要有兩個方面：(1) 電子郵件在網(wǎng)上傳送時隨時可能別人竊取到(2) 可以冒用別人的身份發(fā)信

　　47，數(shù)字簽名的使用方法：

　　數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)。消息M用散列函數(shù)H得到的消息摘要h=H(M)，然后發(fā)送方再用自己的雙鑰密碼體制的私鑰對這個散列值進(jìn)行加密h=E (h)，形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為消息M的附件和消息一起發(fā)送給消息的接受方。消息的接受方首先從接受到的原始消息M中計算出散列值h=H(M)，接著再用發(fā)送方的雙鑰密碼體制的公鑰來對消息的數(shù)字簽名進(jìn)行解密D (h)得h 如果這兩個散列值h = h那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，而且還可以確定此消息沒有被修改過。

　　48，提高數(shù)據(jù)完整性的預(yù)防性措施

　　(1)鏡像技術(shù)：是指將數(shù)據(jù)原樣地從一臺設(shè)備機(jī)器拷貝到另一臺設(shè)備機(jī)器上 (2)故障前兆分析 (3)奇偶效驗(yàn) (4)隔離不安全的人員 (5)電源保障

　　49，病毒的分類

　　1 按寄生方式分為： (1)引導(dǎo)型病毒(2)文件型病毒(3)復(fù)合型病毒

　　2 按破壞性分為：(1)良性病毒

　　(2)惡性病毒

　　50，防火墻的設(shè)計原則：

　　① 由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻 ②只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過防火墻③盡可能的控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶進(jìn)入內(nèi)域網(wǎng)④具有足夠的透明性，保證正常業(yè)務(wù)的流通⑤具有抗穿透攻擊能力，強(qiáng)化記錄，審計和告警。

　　論述題

　　1，對比傳統(tǒng)手書簽名來論述數(shù)字簽名的必要性。

　　答：商業(yè)中的契約，合同文件，公司指令和條約，以及商務(wù)書信等，傳統(tǒng)采用手書簽名或印章，以便在法律上能認(rèn)證，核準(zhǔn)，生效。傳統(tǒng)手書簽名儀式要專門預(yù)定日期時間，契約各方到指定地點(diǎn)共同簽署一個合同文件，短時間的簽名工作量需要很長時間的前期準(zhǔn)備工作。由于某個人不在要簽署文件的當(dāng)?shù)?，于是要等待，再等待。這種狀況對于管理者，是延誤時機(jī);對于合作伙伴，是丟失商機(jī);對于政府機(jī)關(guān)，是辦事效率低下。 電子商務(wù)的發(fā)展大大地加快了商務(wù)的流程，已經(jīng)不能容忍這種“慢條斯理”的傳統(tǒng)手書簽名方式。在電子商務(wù)時代，為了使商，貿(mào)，政府機(jī)構(gòu)和直接消費(fèi)者各方交流商務(wù)信息更快，更準(zhǔn)確和更便于自動化處理，各種憑證，文件，契約，合同，指令，條約，書信，訂單，企業(yè)內(nèi)部的管理等必須實(shí)現(xiàn)網(wǎng)絡(luò)化的傳遞。保障傳遞文件的機(jī)密性應(yīng)使用加密技術(shù)，保障其完整性則用信息摘要要技術(shù)，而保障認(rèn)證性和不可否認(rèn)性則應(yīng)使用數(shù)字簽名技術(shù)。 數(shù)字簽名可做到高效而快速的響應(yīng)，任意時刻，在地球任何地方――只要有internet，就可完成簽署工作。數(shù)字簽名除了可用于電子商務(wù)中的簽署外，還可用于電子辦公，電子轉(zhuǎn)賬及電子郵遞等系統(tǒng)。

　　2，對于公鑰/私鑰對的不同功能，在要求上要考慮不一致的情況有哪些?

　　答：(1)需要采用兩個不同的密鑰對分別作為加密/解密和數(shù)字簽名/驗(yàn)證簽名用。(2)一般公鑰體制的加密用密鑰的長度要比簽名用的密鑰短，有的國家對出口加密用算法的密鑰的長度有限制，而對簽名用密鑰無限制。(3)由于實(shí)際商務(wù)的需要或其他原因，需要用不同的密鑰和證書，例如，一般消息加密用的密鑰比較短，加密時間可快一些;而對短消息加密用的密鑰可以長一些，有利于防止攻擊。(4)密鑰對的使用期限不同：加密密鑰使用頻度比簽名用密鑰的使用頻度大得多，因此更換周期要短。 (5)并非所有公鑰算法都具有RSA的特點(diǎn)，例如DSA算法可以做簽名，但無須建立密鑰。未來系統(tǒng)要能支持多種算法，因而應(yīng)支持采用不同簽名密鑰對和不同密鑰的建立。(6)加密算法可能支持密鑰托管和密鑰恢復(fù)，以及可能的法律監(jiān)聽。但數(shù)字簽名的密鑰則不允許泄露給他人，其中包括法律機(jī)構(gòu)。

　　3，試述提高數(shù)據(jù)完整性的預(yù)防性措施有哪些? 答：預(yù)防性措施是用來防止危及到數(shù)據(jù)完整性事情的發(fā)生?？刹捎靡韵麓胧?/P>

　　鏡像技術(shù)：是指將數(shù)據(jù)原樣地從一臺設(shè)備機(jī)器拷貝到另一臺設(shè)備機(jī)器上。

　　故障前兆分析：有些部件不是一下子完全壞了，例如磁盤驅(qū)動器，在出故障之前往往有些征兆，進(jìn)行故障前兆分析有利于系統(tǒng)的安全。

　　奇偶校驗(yàn)：是服務(wù)器的一個特征。它提供一種機(jī)器機(jī)制來保證對內(nèi)存錯誤的檢測，因此，不會引起由于服務(wù)器出錯而造成數(shù)據(jù)完整性的喪失。

　　隔離不安全的人員：對本系統(tǒng)有不安全的潛在威脅人員，應(yīng)設(shè)法與本系統(tǒng)隔離。

　　電源保障：使用不間斷電源是組成一個完整的服務(wù)器系統(tǒng)的良好方案。

　　4，試述防火墻的分類有及它們分別在安全性或效率上有其特別的優(yōu)點(diǎn)。 答：目前防火墻的控制技術(shù)大概可分為：包過濾型，包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。 (1)包過濾型：包過濾型的控制方式會檢查所有進(jìn)出防火墻的包標(biāo)頭內(nèi)容，如來源及目的地，使用協(xié)定等信息?，F(xiàn)在的路由器，交換式路由器以及某些操作系統(tǒng)已經(jīng)具有用包過濾控制的能力。包過濾型的控制方式最大的好處是效率最高，但卻有幾個嚴(yán)重缺點(diǎn)：管理復(fù)雜，無法對連線作完全的控制，規(guī)則設(shè)置的先后順序會嚴(yán)重影響結(jié)果，不易維護(hù)以及記錄功能少。(2)包檢驗(yàn)型：包檢驗(yàn)型的控制機(jī)制是通過一個檢驗(yàn)?zāi)＝M對包中的各個層次作檢驗(yàn)。包檢驗(yàn)型可謂是包過濾型的加強(qiáng)版，目的在增加包過濾型的安全性，增加控制“連線”的能力。但由于包檢驗(yàn)的主要對象仍是個別的包，不同的包檢驗(yàn)方式可能會產(chǎn)生極大的差異。其檢查層面越廣越安全，但其相對效率也越低。包檢驗(yàn)型防火墻在檢查不完全的情況下，可難會造成原來以為只有特定的服務(wù)可以通過，通過精心設(shè)計的數(shù)據(jù)包，可在到達(dá)目的地時因重組而被轉(zhuǎn)變楊原來并不允許通過的連線請求。這個為了增加效率的設(shè)計反而成了安全弱點(diǎn)。(3)應(yīng)用層網(wǎng)關(guān)型：應(yīng)用層網(wǎng)關(guān)型的防火墻采用將連線動作攔截，由一個特殊的代理程序來處理兩端間的邊線方式，并分析其邊線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。這種方式的控制機(jī)制可以從頭到尾有效地控制整個連線的動作，而不會被客戶或服務(wù)器端欺騙，在管理上也不會般用途的代理程序來處理大部分連線。這種運(yùn)作方式是最安全的方式，但也是效率最低的一種方式。

　　5，試述VPN的優(yōu)點(diǎn)有哪些?

　　答：成本較低：VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上，均比專線式的架構(gòu)節(jié)省，故能使企業(yè)網(wǎng)絡(luò)的總成本降低。 網(wǎng)絡(luò)結(jié)構(gòu)靈活：VPN比專線式的架構(gòu)有彈性，當(dāng)有必要將網(wǎng)絡(luò)擴(kuò)充或是變更網(wǎng)絡(luò)架構(gòu)時，VPN可以輕易地達(dá)到目的;相對而言，傳統(tǒng)的專線式架構(gòu)便需大費(fèi)腦筋了。 管理方便：VPN較少的網(wǎng)絡(luò)設(shè)備及物理線路，使網(wǎng)絡(luò)的管理較為輕松;不論分公司或是遠(yuǎn)程訪問用戶再多，均只需要通過互聯(lián)網(wǎng)的路徑進(jìn)入企業(yè)網(wǎng)絡(luò) VPN是一種連接，從表面上看它類似一種專用連接，但實(shí)際上是在共享網(wǎng)絡(luò)上實(shí)現(xiàn)的。它往往使用一種被稱作“隧道”的技術(shù)，數(shù)據(jù)包在公共網(wǎng)絡(luò)上專用的“隧道”內(nèi)傳輸，專用“隧道”用于建立點(diǎn)對點(diǎn)的連接。來自不同數(shù)據(jù)的網(wǎng)絡(luò)業(yè)務(wù)經(jīng)由不同的隧道在相同的體系結(jié)構(gòu)上傳輸，并允許網(wǎng)絡(luò)協(xié)議穿越不兼容的體系結(jié)構(gòu)，還可區(qū)分來自不同數(shù)據(jù)源的業(yè)務(wù)，因而可將該業(yè)務(wù)發(fā)往指定的目的地，并接收指定等級的服務(wù)。

　　6，組建VPN應(yīng)該遵循的設(shè)計原則。

　　答：VPN的設(shè)計應(yīng)遵循以下原則：安全性，網(wǎng)絡(luò)優(yōu)化，VPN管理等。

　　在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡單，方便，靈活，但同時其安全問題也更為突出，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡單，方便，靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且在防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。ExtrantVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對安全性提出了更高的要求。安全問題是VPN的核心問題。目前，VPN的安全保證主要是通過防火墻技術(shù)，路由器配以隧道技術(shù)，加密協(xié)議和安全密鑰來實(shí)現(xiàn)的，可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。

　　在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時性要求高的數(shù)據(jù)得不到及時發(fā)送;而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QOS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

　　在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險，具有高擴(kuò)展性，經(jīng)濟(jì)性，高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理，設(shè)備管理，配置管理，訪問控制列表管理，服務(wù)質(zhì)量管理等內(nèi)容。

　　7，試述數(shù)據(jù)加密的必要性。

　　答：由于網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)協(xié)議，主要技術(shù)是公開的，所有的網(wǎng)絡(luò)安全技術(shù)出是基于這些公開的技術(shù)，黑客利用這些公開技術(shù)中的漏洞，對網(wǎng)絡(luò)和數(shù)據(jù)進(jìn)行攻擊;任何操作系統(tǒng)無論其技術(shù)是否公開，都是有漏洞的，因?yàn)榘踩c運(yùn)行效率是一個要綜合平衡的矛盾。 網(wǎng)絡(luò)安全是一個解決不了的問題，黑客技術(shù)已是某些國家控制和監(jiān)督別國網(wǎng)絡(luò)的有力武器，黑客已是竊取政治經(jīng)濟(jì)情服務(wù)的最安全，最有效，最快捷的手段。在我國的網(wǎng)絡(luò)技術(shù)遠(yuǎn)遠(yuǎn)落后國際先進(jìn)水平的情況下外部和內(nèi)部黑客進(jìn)入我國計算機(jī)網(wǎng)絡(luò)竊取有用情報，更如入無人之境，其中主要原因是網(wǎng)絡(luò)被攻破以后計算機(jī)文件數(shù)據(jù)和數(shù)據(jù)庫中的數(shù)據(jù)是可以看懂的明文。

　　目前技術(shù)可達(dá)到“幾分鐘，一塊活動硬盤可盜走300億字的數(shù)據(jù)”，一旦黑客攻破網(wǎng)絡(luò)，如果數(shù)據(jù)未加密，計算機(jī)數(shù)據(jù)是可讀的，則數(shù)據(jù)即盜即用。黑客還可以針對性地盜竊和篡改黑客關(guān)心的文件和數(shù)據(jù)庫記錄(破壞數(shù)據(jù)的完整性)。而且黑客一旦掌握了攻破方法以后，會不斷地繼續(xù)盜走和篡改數(shù)據(jù)，而用戶很難察覺。

　　數(shù)據(jù)加密的作用：(1)解決外部黑客侵入網(wǎng)絡(luò)后盜竊計算機(jī)數(shù)據(jù)的問題; (2)解決外啊黑客侵入網(wǎng)絡(luò)后篡改數(shù)據(jù)的問題;(3)解決內(nèi)部黑客在內(nèi)部網(wǎng)上盜竊計算機(jī)數(shù)據(jù)的問題;(4)解決內(nèi)部黑客在內(nèi)部網(wǎng)上篡改數(shù)據(jù)的問題;(5)解決CPU，操作系統(tǒng)等預(yù)先安置了黑客軟件或無線發(fā)射裝置的問題。

　　數(shù)據(jù)加密可以解決網(wǎng)絡(luò)內(nèi)部信息“看不懂，改不了，盜走也沒用”的問題，是網(wǎng)絡(luò)安全最后一道防線，也是價格性能比最好的網(wǎng)絡(luò)安全問題的根本解決手段。

　　8，試述一下身份證明系統(tǒng)的相關(guān)要求。

　　答：對身份證明系統(tǒng)的相關(guān)要求： (1)驗(yàn)證者正確認(rèn)別合法示證者的概率極大化。(2)不具可傳遞性，驗(yàn)證者B不可能重用示證者A提供給他的信息，偽裝示證者A成功地騙取其他人的驗(yàn)證，得到信任。(3)攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率小到可以忽略，特別是要能抗已知密文攻擊，即攻擊者在截獲到示證者和驗(yàn)證者多次通信下，偽裝示證者欺騙驗(yàn)證者。(4)計算有效性，為實(shí)現(xiàn)身份證明所需的計算量要小。(5)通信有效性，為實(shí)現(xiàn)身份證明所需通信次數(shù)和數(shù)據(jù)量要小。(6)秘密參數(shù)安全存儲。(7)交互識別，有些應(yīng)用中要求雙方互相進(jìn)行身份認(rèn)證。(8)第三方實(shí)時參與，如在線公鑰檢索服務(wù)。(9)第三方的可信賴性。(10)可證明安全性。

　　后四條是有些身份誤用別系統(tǒng)提出的要求。 身份識別與數(shù)字簽字密切相關(guān)，數(shù)字簽名是實(shí)現(xiàn)身份識別的一個途徑，但在身份識別消息的語義基本上是固定的，是當(dāng)前時刻的申請者的身份驗(yàn)證者根據(jù)規(guī)定或接受或拒絕申請。一般簽字不是“終生”的，但應(yīng)是長期有效的，未來仍可啟用的。

　　9，論述證書機(jī)構(gòu)的管理功能。

　　答：證書機(jī)構(gòu)用于創(chuàng)建和發(fā)布證書，它通常為一個稱為安全域的有限群體發(fā)放證書。創(chuàng)建證書的時候。CA系統(tǒng)首先獲取用戶的請求信息，其中包括用戶公鑰，CA將根據(jù)用戶的請求信息產(chǎn)生證書，并用自己的私鑰對證書進(jìn)行簽名。其他用戶，應(yīng)用程序或?qū)嶓w將使用CA的公鑰對證書進(jìn)行驗(yàn)證。如果一個CA系統(tǒng)是可信的，則驗(yàn)證證書的用戶可以確信，他所驗(yàn)證的證書中的公鑰屬于證書所代表的那個實(shí)體。

　　CA還負(fù)責(zé)維護(hù)和發(fā)布證書吊銷表。當(dāng)一個證書，特別是其中的公鑰因?yàn)槠渌驘o效時，CRL提供了一種通知用戶的中心管理方式。CA系統(tǒng)生成CRL以后，要么是放到LDAP服務(wù)器中供用戶直接查詢或下載，要么是放置在WEB服務(wù)器的合適位置，以頁面超級連接的方式供用戶直接查詢或下載。

?2011年4月自學(xué)考試成績查詢時間及方式匯總

?2011年下半年各地自學(xué)考試報名匯總

更多信息請?jiān)L問：自學(xué)考試頻道    自學(xué)考試論壇    自學(xué)考試博客