自考“電子商務(wù)安全導(dǎo)論”復(fù)習重點（3） -自考串講筆記

　　34，簡述VPN的具體實現(xiàn)即解決方案有哪幾種？  答：（1）虛擬專用撥號網(wǎng)絡(luò)，用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。 （2）虛擬專用路由網(wǎng)絡(luò)，它是基于路由的VPN接入方式。 （3）虛擬租用線路，是基于虛擬專線的一種VPN，它在公網(wǎng)上開出各種隧道，模擬專線來建立VPN. （4）虛擬專用LAN子網(wǎng)段，是在公網(wǎng)上用隧道協(xié)議仿真出來一個局域網(wǎng)，透明地提供跨越公網(wǎng)的LAN服務(wù)。

　　35，實體認證與消息認證的主要差別是什么？  答：實體認證與消息認證的差別在于，消息認證本身不提供時間性，而實體認證一般都是實時的。另一方面，實體認證通常證實實體本身，而消息認證除了證實消息的合法性和完整性外，還要知道消息的含義。

　　36，通行字的選擇原則是什么？

　　答：易記；難于被別人猜中或發(fā)現(xiàn)；抗分析能力強。在實際系統(tǒng)中，需要考慮和規(guī)定選擇方法，使用期限，字符長度，分配和管理以及在計算機系統(tǒng)內(nèi)的保護等。根據(jù)系統(tǒng)對安全水平的要求可有不同的選取。

　　37，通行字的安全存儲有哪二種方法？

　　答：（1）用戶的通行字多以加密形式存儲，入侵者要得到通行字，必須知道加密算法和密鑰。（2）許多系統(tǒng)可以存儲通行字的單向雜湊值，入侵者即使行到此雜湊也難于推出通行字。

　　38，有效證書應(yīng)滿足的條件有哪些？

　　答：（1）證書沒有超過有效期。（2）密鑰沒有被修改。如果密鑰被修改后，原證書就應(yīng)當收回，不再使用。如果雇員離開了其公司，對應(yīng)的證書就可收回，如果不收回，且密鑰沒被修改，則可繼續(xù)使用該證書；（3）證書不在CA發(fā)行的無效證書清單中。CA負責回收證書，并發(fā)行無效證書清單。用戶一旦發(fā)現(xiàn)密鑰泄露就應(yīng)及時將證書吊銷。并由CA通知停用并存檔備案。

　　39，密鑰對生成的兩種途徑是什么？

　　答：（1）密鑰對持有者自己生成：用戶自己用硬件或軟件生成密鑰對。如果該密鑰對用于數(shù)字簽名時，應(yīng)支持不可否認性。（2）密鑰對由通用系統(tǒng)生成：由用戶依賴，可信賴的某一中心機構(gòu)生成，然后安全地送到特定用戶的設(shè)備中。利用這類中心的資源，可產(chǎn)生高質(zhì)量密鑰對，易于備份和管理。

　　40，證書有哪些類型？

　　答：（1）個人證書：證實客戶身份和密鑰所有權(quán)。在一些情況下，服務(wù)器會在建立SSL邊接時要求用個人證書來證實客戶身份。用戶可以向一個CA申請，經(jīng)審查后獲得個人證書。（2）服務(wù)器證書：證實服務(wù)器的身份和公鑰。當客戶請求建立SSL連接時，服務(wù)器把服務(wù)器證書傳給客戶?？蛻羰盏阶C書后，可以檢查發(fā)行該證書的CA是否應(yīng)該信任。對于不信任的CA，瀏覽器會提示用戶接受或拒絕這個證書。（3）郵件證書：證實電子郵件用戶的身份和公鑰。一些有安全功能的電了郵件應(yīng)用程序能使用郵件證書來驗證用戶身份和加密解密信息。 （4）CA證書：證實CA身份和CA的簽名密鑰。在Netscape瀏覽器里，服務(wù)器管理員可以看到服務(wù)受接受的CA證書，并選擇是否信任這些證書。CA證書允許CA發(fā)行其他類型的證書。

　　41，如何對密鑰進行安全保護？

　　答：密鑰按算法產(chǎn)生后，首先將私鑰送給用戶，如需備份，應(yīng)保證安全性，將公鑰送給CA，用以生成相應(yīng)證書，   為了防止未授權(quán)用戶對密鑰的訪問，應(yīng)將密鑰存入防竄擾硬件或卡中，或加密后存入計算機的文件中。  此處，定期更換密碼對是保證安全的重要措施。

　　42，CA認證申請者的身份后，生成證書的步驟有哪些？

　　答：（1）CA檢索所需的證書內(nèi)容信息；（2）CA證實這些信息的正確性；（3）回CA用其簽名密鑰對證書簽名；（4）將證書的一個拷貝送給注冊者，需要時要求注冊者回送證書的收據(jù)；（5）CA將證書送入證書數(shù)據(jù)庫，向公用檢索業(yè)務(wù)機構(gòu)頌；（6）通常，CA將證書存檔；（7）CA將證書生成過程中的一些細節(jié)記入審記記錄中。

　　43，公鑰證書的基本作用？

　　答：將公鑰與個人的身份，個人信息件或其他實體的有關(guān)身份信息聯(lián)系起來，在用公鑰證實數(shù)字簽名時，在確信簽名之前，有時還需要有關(guān)簽名人的其他信息，特別是要知道簽名者是否已被授權(quán)為對某特定目的的簽名人。

　　授權(quán)信息的分配也需用證書實現(xiàn)，可以通過發(fā)放證書宣布某人或?qū)嶓w具有特定權(quán)限或權(quán)威，使別人可以鑒別和承認。

　　44，雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機密性？

　　答：雙鑰密碼體制加密時有一對公鑰和私鑰，公鑰可以公開，私鑰由持有者保存，公鑰加密過的數(shù)據(jù)中有持有者的私鑰能解開，這樣就保證了數(shù)據(jù)的機密性。經(jīng)私鑰加密過的數(shù)據(jù)——數(shù)字簽名可被所具有公鑰的人解開，由于私鑰只有持有者一人保存，就樣就證明信息發(fā)自私鑰持有者，具有不可否認證和完整性。

　　45，電子商務(wù)安全的中心內(nèi)容

　　1商務(wù)數(shù)據(jù)的機密性 2商務(wù)數(shù)據(jù)的完整性 3商務(wù)對象的認證性 4商務(wù)服務(wù)的不可否認性5商務(wù)服務(wù)的不可拒絕性6訪問的控制性

　　46，電子郵件的安全問題主要有兩個方面：（1） 電子郵件在網(wǎng)上傳送時隨時可能別人竊取到（2） 可以冒用別人的身份發(fā)信

　　47，數(shù)字簽名的使用方法：

　　數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)。消息M用散列函數(shù)H得到的消息摘要h=H（M），然后發(fā)送方再用自己的雙鑰密碼體制的私鑰對這個散列值進行加密h=E （h），形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為消息M的附件和消息一起發(fā)送給消息的接受方。消息的接受方首先從接受到的原始消息M中計算出散列值h=H（M），接著再用發(fā)送方的雙鑰密碼體制的公鑰來對消息的數(shù)字簽名進行解密D （h）得h 如果這兩個散列值h = h那么接收方就能確認該數(shù)字簽名是發(fā)送方的，而且還可以確定此消息沒有被修改過。

　　48，提高數(shù)據(jù)完整性的預(yù)防性措施

　?。?）鏡像技術(shù)：是指將數(shù)據(jù)原樣地從一臺設(shè)備機器拷貝到另一臺設(shè)備機器上 （2）故障前兆分析 （3）奇偶效驗 （4）隔離不安全的人員 （5）電源保障

　　49，病毒的分類

　　1 按寄生方式分為： （1）引導(dǎo)型病毒（2）文件型病毒（3）復(fù)合型病毒

　　2  按破壞性分為：（1）良性病毒

　?。?）惡性病毒

　　50，防火墻的設(shè)計原則：

　　① 由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻 ②只允許本地安全政策認可的業(yè)務(wù)流通過防火墻③盡可能的控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴格限制外部用戶進入內(nèi)域網(wǎng)④具有足夠的透明性，保證正常業(yè)務(wù)的流通⑤具有抗穿透攻擊能力，強化記錄，審計和告警。