第一篇：電子商務(wù)安全導(dǎo)論簡單題

1、簡述橘黃皮書制定的計(jì)算機(jī)安全等級內(nèi)容 制定了4個(gè)標(biāo)準(zhǔn)，由低到高為D，C，B，A

D級暫時(shí)不分子級，B級和C級是常見的級別。每個(gè)級別后面都跟一個(gè)數(shù)字，表明它的用戶敏感程度，其中2是常見的級別

C級分C1和C2兩個(gè)子級，C2比C1提供更多的保護(hù)，C2要求又一個(gè)登錄過程，用戶控制指定資源，并檢查數(shù)據(jù)追蹤

B級分B1、B2、B3三個(gè)子級，由低到高，B2要求有訪問控制，不允許用戶為自己的文件設(shè)定安全級別 A級為最高級，暫時(shí)不分子級，是用戶定制的 每級包括它下級的所有特性，這樣從低到高是D，C1，C2，C3，B1，B2，B3，A2、簡述web站點(diǎn)可能遇到的安全威脅？ 安全信息被破譯 非法訪問 交易信息被截獲 軟件漏洞被利用

當(dāng)CGI腳本編寫的程序或其他涉及遠(yuǎn)程用戶從瀏覽器輸入表格并進(jìn)行像檢索之類在主機(jī)上直接執(zhí)行命令時(shí)，會(huì)給web主機(jī)系統(tǒng)造成危險(xiǎn)

3、論述產(chǎn)生電子商務(wù)安全威脅的原因P1

3在因特網(wǎng)上傳輸?shù)男畔?，從起點(diǎn)到目標(biāo)結(jié)點(diǎn)之間的路徑是隨機(jī)選擇的，此信息在到達(dá)目標(biāo)之前會(huì)通過許多中間結(jié)點(diǎn)，在任一結(jié)點(diǎn)，信息都有可能被竊取、篡改或刪除。

Internet在安全方面的缺陷，包括 Internet各環(huán)節(jié)的安全漏洞

外界攻擊，對Internet的攻擊有截?cái)嘈畔?、偽造、篡改、介?/p>

局域網(wǎng)服務(wù)和相互信任的主機(jī)安全漏洞 設(shè)備或軟件的復(fù)雜性帶來的安全隱患 TCP/IP協(xié)議及其不安全性，IP協(xié)議的安全隱患，存在針對IP的拒絕服務(wù)攻擊、IP的順序號預(yù)測攻擊、TCP劫持入侵、嗅探入侵 HTTP和web的不安全性

E-mail、Telnet及網(wǎng)頁的不安全，存在入侵Telnet會(huì)話、網(wǎng)頁作假、電子郵件炸彈

我國的計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)交換機(jī)、路由器和網(wǎng)絡(luò)操作系統(tǒng)來自國外

受美國出口限制，進(jìn)入我國的電子商務(wù)和網(wǎng)絡(luò)安全產(chǎn)品是弱加密算法，先進(jìn)國家早有破解的方法

4、通行字的控制措施 系統(tǒng)消息 限制試探次數(shù) 通行字有效期 雙通行字系統(tǒng)

最小長度 封鎖用戶系統(tǒng) 根通行字的保護(hù) 系統(tǒng)生成通行字 通行字的檢驗(yàn)

5、對不同密鑰對的要求P11

3答：（1）需要采用兩個(gè)不同的密鑰對分別作為加密/解密和數(shù)字簽名/驗(yàn)證簽名用。

（2）一般公鑰體制的加密用密鑰的長度要比簽名用的密鑰短

（3）需要用不同的密鑰和證書（4）密鑰對的使用期限不同

（5）應(yīng)支持采用不同簽名密鑰對和不同密鑰的建立。（6）加密算法可能支持密鑰托管和密鑰恢復(fù)，以及可能的法律監(jiān)聽。但數(shù)字簽名的密鑰則不允許泄露給他人，其中包括法律機(jī)構(gòu)。

6、試述一下身份證明系統(tǒng)的相關(guān)要求。（1）驗(yàn)證者正確認(rèn)別合法示證者的概率極大化。（2）不具可傳遞性

（3）攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率小到可以忽略

（4）計(jì)算有效性。（5）通信有效性。（6）秘密參數(shù)安全存儲(chǔ)。（7）交互識別。（8）第三方實(shí)時(shí)參與。（9）第三方的可信賴性。（10）可證明安全性。

7、簡述Kerberos的局限性 時(shí)間同步 重放攻擊 認(rèn)證域之間的信任 系統(tǒng)程序的安全性和完整性 口令猜測攻擊 密鑰的存儲(chǔ)

8、簡述加密橋技術(shù)原理及目標(biāo)

加密橋相當(dāng)于一個(gè)加密數(shù)據(jù)的SQL語句編譯執(zhí)行器，數(shù)據(jù)庫所有對加密數(shù)據(jù)操作的SQL語句不再由數(shù)據(jù)庫系統(tǒng)執(zhí)行，改由加密橋執(zhí)行

數(shù)據(jù)庫的數(shù)據(jù)加密以后，必須保留數(shù)據(jù)庫管理的一切功能，為了實(shí)現(xiàn)數(shù)據(jù)庫的功能，通過加密橋的中間過渡（相當(dāng)于建立一套新的用于操作加密數(shù)據(jù)的SQL語言），實(shí)現(xiàn)對加密數(shù)據(jù)的操作。DBMS在系統(tǒng)中只負(fù)責(zé)非密數(shù)據(jù)的存取操作，對于加密字段數(shù)據(jù)的操作完全通過加密橋完成。

加密橋技術(shù)實(shí)現(xiàn)的目的是：應(yīng)用系統(tǒng)數(shù)據(jù)庫字段加密以后，仍可實(shí)現(xiàn)各種數(shù)據(jù)庫操作。

9、IP地址順序號預(yù)測攻擊步驟

首先，得到服務(wù)器的IP地址。黑客一般通過網(wǎng)上報(bào)文嗅探，順序測試號碼，由web連接到結(jié)點(diǎn)上并在狀態(tài)欄中尋找結(jié)點(diǎn)的IP地址。

然后，攻擊者在試過這些IP地址后，可以開始監(jiān)視網(wǎng)上傳送包的序號，推測服務(wù)器可能產(chǎn)生的下一個(gè)序列號，再將自己插入到服務(wù)器和用戶之間，模仿IP地址及包裹序列號以愚弄服務(wù)器，使之成為受到信任的合法網(wǎng)絡(luò)用戶，接著便可訪問系統(tǒng)傳給服務(wù)器的密鑰文件、日志名、機(jī)密數(shù)據(jù)等信息。

10、網(wǎng)頁攻擊的步驟是什么？

答：第一步，創(chuàng)建一個(gè)網(wǎng)頁，看似可信其實(shí)是假的拷貝，但這個(gè)拷貝和真的“一樣”“假網(wǎng)頁和真網(wǎng)頁一樣的頁面和鏈接。

第二步：攻擊者完全控制假網(wǎng)頁。所以瀏覽器和網(wǎng)絡(luò)間的所有信息交流都經(jīng)過攻擊者。

第三步，攻擊者利用網(wǎng)頁做假的后果：攻擊者記錄受害者訪問的內(nèi)容，當(dāng)受害者填寫表單發(fā)送數(shù)據(jù)時(shí)，攻擊者可以記錄下所有數(shù)據(jù)。此外，攻擊者可以記錄下服務(wù)器響應(yīng)回來的數(shù)據(jù)。這樣，攻擊者可以偷看到許多在線商務(wù)使用的表單信息，包括賬號，密碼和秘密信息。

如果需要，攻擊者甚至可以修改數(shù)據(jù)。不論是否使用SSL或S-HTTP，攻擊者都可以對鏈接做假。換句話說，就算受害者的游覽器顯示出安全鏈接圖標(biāo)，受害者仍可能鏈接在一個(gè)不安全鏈接上。

11、簡述組建VPN應(yīng)該遵循的設(shè)計(jì)原則。P90 答：VPN的設(shè)計(jì)應(yīng)遵循以下原則：安全性，網(wǎng)絡(luò)優(yōu)化，VPN管理等。

在安全性方面，企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且在防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。

在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。

12、簡述保護(hù)數(shù)據(jù)完整性的目的，以有被破壞會(huì)帶來的嚴(yán)重后果。

答：保護(hù)數(shù)據(jù)完整性的目的就是保證計(jì)算機(jī)系統(tǒng)上的數(shù)據(jù)和信息處于一種完整和未受損害的狀態(tài)。這意味著數(shù)據(jù)不會(huì)由于有意或無意的事件而被改變和丟失。數(shù)據(jù)完整性被破壞會(huì)帶來嚴(yán)重的后果：

（1）造成直接的經(jīng)濟(jì)損失，如價(jià)格，訂單數(shù)量等被改變。（2）影響一個(gè)供應(yīng)鏈上許多廠商的經(jīng)濟(jì)活動(dòng)。一個(gè)環(huán)節(jié)上數(shù)據(jù)完整性被破壞將使供應(yīng)鏈上一連串廠商的經(jīng)濟(jì)活動(dòng)受到影響。（3）可能造成過不了“關(guān)”。有的電子商務(wù)是與海關(guān)，商檢，衛(wèi)檢聯(lián)系的，錯(cuò)誤的數(shù)據(jù)將使一批貸物擋在“關(guān)口”之外。（4）會(huì)牽涉到經(jīng)濟(jì)案件中。與稅務(wù)，銀行，保險(xiǎn)等貿(mào)易鏈路相聯(lián)的電子商務(wù)，則會(huì)因數(shù)據(jù)完整性被破壞牽連到漏稅，詐騙等經(jīng)濟(jì)案件中。（5）造成電子商務(wù)經(jīng)營的混亂與不信任。

13、簡述散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性。

答：可用多種技術(shù)的組合來認(rèn)證消息的完整性。為消除因消息被更改而導(dǎo)致的欺詐和濫用行為，可將兩個(gè)算法同時(shí)應(yīng)用到消息上。首先用散列算法，由散列函數(shù)計(jì)算機(jī)出散列值后，就將此值——消息摘要附加到這條消息上。當(dāng)接收者收到消息及附加的消息摘要后，就用此消息獨(dú)自再計(jì)算出一個(gè)消息摘要。如果接收者所計(jì)算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息沒有被篡改。

14、數(shù)字簽名與消息的真實(shí)性認(rèn)證有什么不同？ 答：數(shù)字簽名與消息的真實(shí)性認(rèn)證是不同的。消息認(rèn)證是使接收方能驗(yàn)證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過。當(dāng)收發(fā)者之間沒有利害沖突時(shí)，這對于防止第三者的破壞來說是足夠了。但當(dāng)接收者和發(fā)送者之間相互有利害沖突時(shí)，單純用消息認(rèn)證技術(shù)就無法解決他們之間的糾紛，此是需借助數(shù)字簽名技術(shù)。

15、數(shù)字簽名和手書簽名有什么不同？

答：數(shù)字簽名和手書簽名的區(qū)別在于：手書簽名是模擬的，因人而異，即使同一個(gè)人也有細(xì)微差別，比較容易偽造，要區(qū)別是否是偽造，往往需要特殊專家。而數(shù)字簽名是0和1的數(shù)字串，極難偽造，不需專家。對不同的信息摘要，即使是同一人，其數(shù)字簽名也是不同的。這樣就實(shí)現(xiàn)了文件與簽署的最緊密的“捆綁”。

16、數(shù)字簽名可以解決哪些安全鑒別問題？ 答：數(shù)字簽名可以解決下述安全鑒別問題：（1）接收方偽造：接收方偽造一份文件，并聲稱這是發(fā)送方發(fā)送的；（2）發(fā)送者或收者否認(rèn)：發(fā)送者或接收者事后不承認(rèn)自己曾經(jīng)發(fā)送或接收過文件；（3）第三方冒充：網(wǎng)上的第三方用戶冒充發(fā)送或接收文件；（4）接收方篡改：接收方對收到的文件進(jìn)行改動(dòng)。

17、無可爭辯簽名有何優(yōu)缺點(diǎn)？

答：無可爭辯簽名是在沒有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。

無可爭辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。適用于某些應(yīng)用，如電子出版系統(tǒng)，以利于對知識產(chǎn)權(quán)的保護(hù)。

在簽名人合作下才能驗(yàn)證簽名，又會(huì)給簽名者一種機(jī)會(huì)，在不利于他時(shí)可拒絕合作，因而不具有“不可否認(rèn)性”。無可爭辯簽名除了一般簽名體制中的簽名算法和驗(yàn)證算法外，還需要第三個(gè)組成部分，即否認(rèn)協(xié)議：簽名者利用無可爭辯簽名可向法庭或公眾證明一個(gè)偽

造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認(rèn)協(xié)議，就表明簽名真的由他簽署。

18、UPS的作用是？

答：防止突然停電造成網(wǎng)絡(luò)通訊中斷。

19、計(jì)算機(jī)病毒是如何產(chǎn)生的？

答：計(jì)算機(jī)病毒是人為產(chǎn)生的，是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能，或進(jìn)毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

計(jì)算機(jī)惡性病毒的危害是破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓。

20、簡述容錯(cuò)技術(shù)的目的及其常用的容錯(cuò)技術(shù)。答：容錯(cuò)技術(shù)的目的是當(dāng)系統(tǒng)發(fā)生某些錯(cuò)誤或故障時(shí)，在不排除錯(cuò)誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或者進(jìn)入應(yīng)急工作狀態(tài)。

容錯(cuò)技術(shù)最實(shí)用的一種技術(shù)是組成冗余系統(tǒng)。冗余系統(tǒng)是系統(tǒng)中除了配置正常的部件以外，還配制出的備份部件。當(dāng)正常的部件出現(xiàn)故障時(shí)，備份部件能夠立即取代它繼續(xù)工作。當(dāng)然系統(tǒng)中必須另有冗余系統(tǒng)的管理機(jī)制和設(shè)備。另有一種容錯(cuò)技術(shù)是使用雙系統(tǒng)。用兩個(gè)相同的系統(tǒng)共同承擔(dān)同一項(xiàng)任務(wù)，當(dāng)一個(gè)系統(tǒng)出現(xiàn)故障時(shí)，另一系統(tǒng)承擔(dān)全部任務(wù)。如雙電源系統(tǒng)

21、在計(jì)算機(jī)上已經(jīng)使用的容錯(cuò)技術(shù)：P72 提供容錯(cuò)能力的多處理機(jī) 使用磁盤鏡像技術(shù)的磁盤子系統(tǒng) 磁盤雙聯(lián)

RAID廉價(jià)磁盤陣列 網(wǎng)絡(luò)冗余

22、現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的備份工作變得越來越困難，其原因是什么？

答：其原因是網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性隨著不同的操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用軟件的增加而增加。此外，各種操作系統(tǒng)，都自帶內(nèi)置軟件的備份，但自動(dòng)備份和文件管理上都是很基本的，功能不足。

23、簡述三種基本的備份系統(tǒng)。

答：（1）簡單的網(wǎng)絡(luò)備份系統(tǒng)：在網(wǎng)絡(luò)上的服務(wù)器直接把數(shù)據(jù)通過總線備份到設(shè)備中。也可把數(shù)據(jù)通過對網(wǎng)絡(luò)經(jīng)過專用的工作站備份到工作站的設(shè)備中。（2）服務(wù)器到服務(wù)器的備份：在網(wǎng)絡(luò)上的一個(gè)服務(wù)器除了把數(shù)據(jù)通過總線備份到自己設(shè)備中以外，同時(shí)又備份到另一個(gè)服務(wù)器上。（3）使用專用的備份服務(wù)器：不同于第二種中所說的另一類服務(wù)器，它主要的任務(wù)是為網(wǎng)絡(luò)服務(wù)的服務(wù)器，使用專用服務(wù)器可以使備份工作更加可靠。

24、簡述數(shù)據(jù)備份與傳統(tǒng)的數(shù)據(jù)備份的概念。答：數(shù)據(jù)備份，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全系統(tǒng)或部分?jǐn)?shù)據(jù)集合從應(yīng)

用主機(jī)的硬盤或陣列復(fù)制到其他的存儲(chǔ)介質(zhì)的過程。傳統(tǒng)的數(shù)據(jù)備份主要是采用數(shù)據(jù)內(nèi)置或外置的磁帶機(jī)進(jìn)行冷備份。

25、比較常見的備份方式P73 定期磁帶備份數(shù)據(jù) 遠(yuǎn)程磁帶庫、光盤庫備份 遠(yuǎn)程關(guān)鍵數(shù)據(jù)并兼有磁帶備份 遠(yuǎn)程數(shù)據(jù)庫備份 網(wǎng)絡(luò)數(shù)據(jù)鏡像 遠(yuǎn)程鏡像磁盤

26、列舉計(jì)算機(jī)病毒的主要來源。

答：引進(jìn)的計(jì)算機(jī)病毒和軟件中帶有的病毒。各類出國人員帶回的機(jī)器和軟件染有病毒。一些染有病毒的游戲軟件。非法拷貝引起的病毒。

計(jì)算機(jī)生產(chǎn)，經(jīng)營單位銷售的機(jī)器和軟件染有病毒。維修部門交叉感染。有人研制，改造病毒。

敵對份子以病毒進(jìn)行宣傳和破壞。通過互聯(lián)網(wǎng)絡(luò)傳入。

27、數(shù)據(jù)文件和系統(tǒng)的備份要注意什么？

答：日常的定時(shí)，定期備份；定期檢查備份的質(zhì)量； 重要的備份最好存放在不同介質(zhì)上； 注意備份本身的防竊和防盜；

多重備份，分散存放，由不同人員分別保管。

28、一套完整的容災(zāi)方案應(yīng)該包括本地容災(zāi)和異地容災(zāi)兩套系統(tǒng)。

29、簡述歸檔與備份的區(qū)別。答：歸檔是指將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長期保存的過程。備份的目的是從災(zāi)難中恢復(fù)。歸檔是把需要的數(shù)據(jù)拷貝或打包，用于長時(shí)間的歷史性的存放，歸檔可以清理和整理服務(wù)器中的數(shù)據(jù)。歸檔也是提高數(shù)據(jù)完整性的一種預(yù)防性措施。30、病毒有哪些特征？

答：非授權(quán)可執(zhí)行性；隱藏性；傳染性；潛伏性；表現(xiàn)性或破壞性；可觸發(fā)性。

31、簡述計(jì)算機(jī)病毒的分類方法。

答：按寄生方式分為，引導(dǎo)型，病毒文件型和復(fù)合型病毒。按破壞性分為，良性病毒和惡性病毒

32、簡述計(jì)算機(jī)病毒的防治策略？ 答：依法治毒，建立一套行之有效的病毒防治體系，制定嚴(yán)格的病毒防治技術(shù)規(guī)范。

33、保證數(shù)據(jù)完整性的措施有：有效防毒，及時(shí)備份，充分考慮系統(tǒng)的容錯(cuò)和冗余。

34、扼制點(diǎn)的作用是控制訪問。

35、防火墻不能防止的安全隱患有：不能阻止已感染病毒的軟件或文件的傳輸；內(nèi)部人員的工作失誤。

36、防火墻與VPN之間的本質(zhì)區(qū)別是：堵/通；或防范別人/保護(hù)自己。

37、設(shè)置防火墻的目的及主要作用是什么？ 答：設(shè)置防火墻的目的是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一通道，允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”提供兩個(gè)網(wǎng)絡(luò)間的訪問的控制，使得只有被安全策略明確授權(quán)的信息流才被允許通過，對兩個(gè)方向的信息流都能控制。它的主要作用是防止發(fā)生網(wǎng)絡(luò)安全事件引起的損害，使入侵更難實(shí)現(xiàn)，來防止非法用戶，比如防止黑客，網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。

38、簡述防火墻的設(shè)計(jì)須遵循的基本原則。答：（1）由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻。（2）只允許本地安全政策認(rèn)可的業(yè)務(wù)流必須經(jīng)過防火墻。（3）盡可能控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶進(jìn)入內(nèi)域網(wǎng)。（4）具有足夠的透明性，保證正常業(yè)務(wù)的流通。（5）具有抗穿透性攻擊能力，強(qiáng)化記錄，審計(jì)和告警。

39、目前防火墻的控制技術(shù)可分為：包過濾型，包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。40、防火墻不能解決的問題有哪些？

答：（1）如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。（2）防火墻無法防范通過防火墻以外的其他途徑的攻擊。（3）防火墻不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶帶來的威脅。（4）防火墻也不能防止傳送已感染病毒的軟件或文件。（5）防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

41、VPN提供哪些功能？

答：加密數(shù)據(jù)：以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。

信息認(rèn)證和身份認(rèn)證：保證信息的完整性，合法性，并能鑒用戶的身份。

提供訪問控制：不同的用戶有不同的訪問權(quán)限。

42、簡述隧道的基本組成。

答：一個(gè)隧道啟動(dòng)器，一個(gè)路由網(wǎng)絡(luò)，一個(gè)可選的隧道交換機(jī)，一個(gè)或多個(gè)隧道終結(jié)器。

43、IPSec提供的安全服務(wù)包括：私有性（加密），真實(shí)性（驗(yàn)證發(fā)送者的身份），完整性（防數(shù)據(jù)篡改）和重傳保護(hù)（防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送）等，并制定了密鑰管理的方法。

44、選擇VPN（虛擬專用網(wǎng)）解決方案時(shí)需要考慮哪幾個(gè)要點(diǎn)？

答：（1）認(rèn)證方法；（2）支持的加密算法。（3）支持的認(rèn)證算法。（4）支持IP壓縮算法。（5）易于部署。（6）兼容分布式或個(gè)人防火墻的可用性。

45、簡述VPN的分類。

答：按VPN的部署模式分，VPN的部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式：端到端模式；供應(yīng)商到企業(yè)模式；內(nèi)部供應(yīng)商模式。

按VPN的服務(wù)類型分，VPN業(yè)務(wù)大致可分為三類：internetVPN AccessVPN和ExtranetVPN.46、簡述VPN的具體實(shí)現(xiàn)即解決方案有哪幾種？ 答：（1）虛擬專用撥號網(wǎng)絡(luò)，用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個(gè)私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。（2）虛擬專用路由網(wǎng)絡(luò)，它是基于路由的VPN接入方式。（3）虛擬租用線路，是基于虛擬專線的一種VPN，它在公網(wǎng)上開出各種隧道，模擬專線來建立VPN.（4）虛擬專用LAN子網(wǎng)段，是在公網(wǎng)上用隧道協(xié)議仿真出來一個(gè)局域網(wǎng)，透明地提供跨越公網(wǎng)的LAN服務(wù)。

47、實(shí)體認(rèn)證與消息認(rèn)證的主要差別是什么？ 答：實(shí)體認(rèn)證與消息認(rèn)證的差別在于，消息認(rèn)證本身不提供時(shí)間性，而實(shí)體認(rèn)證一般都是實(shí)時(shí)的。另一方面，實(shí)體認(rèn)證通常證實(shí)實(shí)體本身，而消息認(rèn)證除了證實(shí)消息的合法性和完整性外，還要知道消息的含義。

48、通行字的選擇原則是什么？

答：易記；難于被別人猜中或發(fā)現(xiàn)；抗分析能力強(qiáng)。在實(shí)際系統(tǒng)中，需要考慮和規(guī)定選擇方法，使用期限，字符長度，分配和管理以及在計(jì)算機(jī)系統(tǒng)內(nèi)的保護(hù)等。根據(jù)系統(tǒng)對安全水平的要求可有不同的選取。

49、通行字的安全存儲(chǔ)有哪二種方法？

答：（1）用戶的通行字多以加密形式存儲(chǔ)，入侵者要得到通行字，必須知道加密算法和密鑰。（2）許多系統(tǒng)可以存儲(chǔ)通行字的單向雜湊值，入侵者即使行到此雜湊也難于推出通行字。

50、有效證書應(yīng)滿足的條件有哪些？

答：（1）證書沒有超過有效期。（2）密鑰沒有被修改。如果密鑰被修改后，原證書就應(yīng)當(dāng)收回，不再使用。如果雇員離開了其公司，對應(yīng)的證書就可收回，如果不收回，且密鑰沒被修改，則可繼續(xù)使用該證書；（3）證書不在CA發(fā)行的無效證書清單中。CA負(fù)責(zé)回收證書，并發(fā)行無效證書清單。用戶一旦發(fā)現(xiàn)密鑰泄露就應(yīng)及時(shí)將證書吊銷。并由CA通知停用并存檔備案。

51、密鑰對生成的兩種途徑是什么？

答：（1）密鑰對持有者自己生成：用戶自己用硬件或軟件生成密鑰對。如果該密鑰對用于數(shù)字簽名時(shí)，應(yīng)支持不可否認(rèn)性。（2）密鑰對由通用系統(tǒng)生成：由用戶依賴，可信賴的某一中心機(jī)構(gòu)生成，然后安全地送到特定用戶的設(shè)備中。利用這類中心的資源，可產(chǎn)生高質(zhì)量密鑰對，易于備份和管理。

52、證書有哪些類型？

答：（1）個(gè)人證書：證實(shí)客戶身份和密鑰所有權(quán)。在一些情況下，服務(wù)器會(huì)在建立SSL邊接時(shí)要求用個(gè)人證書來證實(shí)客戶身份。用戶可以向一個(gè)CA申請，經(jīng)審查后獲得個(gè)人證書。（2）服務(wù)器證書：證實(shí)服務(wù)器的身份和公鑰。當(dāng)客戶請求建立SSL連接時(shí)，服務(wù)器把服務(wù)器證書傳給客戶?？蛻羰盏阶C書后，可以檢查發(fā)行該證書的CA是否應(yīng)該信任。對于不信任的CA，瀏覽器會(huì)提示用戶接受或拒絕這個(gè)證書。（3）郵件證書：證實(shí)電子郵件用戶的身份和公鑰。一些有安全功能的電了郵件應(yīng)用程序能使用郵件證書來驗(yàn)證用戶身份和加密解密信息。（4）CA證書：證實(shí)CA身份和CA的簽名密鑰。在Netscape瀏覽器里，服務(wù)器管理員可以看到服務(wù)受接受的CA證書，并選擇是否信任這些證書。CA證書允許CA發(fā)行其他類型的證書。

53、如何對密鑰進(jìn)行安全保護(hù)？

答：密鑰按算法產(chǎn)生后，首先將私鑰送給用戶，如需備份，應(yīng)保證安全性，將公鑰送給CA，用以生成相應(yīng)證書，為了防止未授權(quán)用戶對密鑰的訪問，應(yīng)將密鑰存入防竄擾硬件或卡中，或加密后存入計(jì)算機(jī)的文件中。此處，定期更換密碼對是保證安全的重要措施。

54、CA認(rèn)證申請者的身份后，生成證書的步驟有哪些？

答：（1）CA檢索所需的證書內(nèi)容信息；（2）CA證實(shí)這些信息的正確性；（3）CA用其簽名密鑰對證書簽名；

（4）將證書的一個(gè)拷貝送給注冊者，需要時(shí)要求注冊者回送證書的收據(jù)；

（5）CA將證書送入證書數(shù)據(jù)庫，向公用檢索業(yè)務(wù)機(jī)構(gòu)公布；

（6）CA將證書存檔；

（7）CA將證書生成過程中的一些細(xì)節(jié)記入審記記錄中。

55、LRA的功能

注冊、撤銷注冊、改變注冊者屬性 對注冊者進(jìn)行身份認(rèn)證

授權(quán)時(shí)可生成密碼對和證書，恢復(fù)備份密鑰 接受和授權(quán)暫時(shí)中止或吊銷證書

實(shí)際分配個(gè)人特征，恢復(fù)有故障持證已經(jīng)授權(quán)代為保存

56、簡述證書鏈中證書復(fù)本的傳播方式 P114 伴有簽名的證書，簽名者一般已有自己的證書，他可以對復(fù)本進(jìn)行簽名，任何人都可以通過驗(yàn)證簽名得到相應(yīng)證書，前提是有一個(gè)公鑰基礎(chǔ)設(shè)施來提供所需的認(rèn)證

通過檢索服務(wù)實(shí)現(xiàn)傳播，ITU和ISO都曾致力于發(fā)展這類檢索

其他方式，有些協(xié)議可用來在不安全的信道上傳播公鑰，如web可成為散發(fā)證書的公用工具，S/MIME和MOSS

都可用來通過e-mail申請和接受證書。

57、公鑰證書的基本作用（基本目的）？

答：將公鑰與個(gè)人的身份，個(gè)人信息件或其他實(shí)體的有關(guān)身份信息聯(lián)系起來，在用公鑰證實(shí)數(shù)字簽名時(shí)，在確信簽名之前，有時(shí)還需要有關(guān)簽名人的其他信息，特別是要知道簽名者是否已被授權(quán)為對某特定目的的簽名人。

授權(quán)信息的分配也需用證書實(shí)現(xiàn)，可以通過發(fā)放證書宣布某人或?qū)嶓w具有特定權(quán)限或權(quán)威，使別人可以鑒別和承認(rèn)。

58、雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機(jī)密性？

答：雙鑰密碼體制加密時(shí)有一對公鑰和私鑰，公鑰可以公開，私鑰由持有者保存，公鑰加密過的數(shù)據(jù)中有持有者的私鑰能解開，這樣就保證了數(shù)據(jù)的機(jī)密性。經(jīng)私鑰加密過的數(shù)據(jù)——數(shù)字簽名可被所具有公鑰的人解開，由于私鑰只有持有者一人保存，就樣就證明信息發(fā)自私鑰持有者，具有不可否認(rèn)證和完整性。

59、電子商務(wù)安全的中心內(nèi)容

1商務(wù)數(shù)據(jù)的機(jī)密性 2商務(wù)數(shù)據(jù)的完整性 3商務(wù)對象的認(rèn)證性 4商務(wù)服務(wù)的不可否認(rèn)性5商務(wù)服務(wù)的不可拒絕性6訪問的控制性

60、電子郵件的安全問題主要有兩個(gè)方面：（1）電子郵件在網(wǎng)上傳送時(shí)隨時(shí)可能別人竊取到（2）可以冒用別人的身份發(fā)信

61、數(shù)字簽名的使用方法：

數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)。消息M用散列函數(shù)H得到的消息摘要h=H（M），然后發(fā)送方再用自己的雙鑰密碼體制的私鑰對這個(gè)散列值進(jìn)行加密h=E（h），形成發(fā)送方的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為消息M的附件和消息一起發(fā)送給消息的接受方。消息的接受方首先從接受到的原始消息M中計(jì)算出散列值h=H（M），接著再用發(fā)送方的雙鑰密碼體制的公鑰來對消息的數(shù)字簽名進(jìn)行解密D（h）得h 如果這兩個(gè)散列值h = h那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，而且還可以確定此消息沒有被修改過。62、提高數(shù)據(jù)完整性的預(yù)防性措施

（1）鏡像技術(shù)（2）故障前兆分析（3）奇偶效驗(yàn)（4）隔離不安全的人員（5）電源保障 63、病毒的分類按寄生方式分為：（1）引導(dǎo)型病毒（2）文件型病毒（3）復(fù)合型病毒按破壞性分為：（1）良性病毒（2）惡性病毒 64、防火墻的設(shè)計(jì)原則：

① 由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻 ②只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過防火墻③盡可能的控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶

進(jìn)入內(nèi)域網(wǎng)④具有足夠的透明性，保證正常業(yè)務(wù)的流通⑤具有抗穿透攻擊能力，強(qiáng)化記錄，審計(jì)和告警。65、CA系統(tǒng)的組成 安全服務(wù)器 CA服務(wù)器 注冊機(jī)構(gòu)RA LDAP服務(wù)器 數(shù)據(jù)庫服務(wù)器

66、簡述證書合法性的驗(yàn)證機(jī)制

為了進(jìn)行有效的管理，證書實(shí)行分級管理，認(rèn)證機(jī)構(gòu)采用了樹形結(jié)構(gòu)，每份證書都與上一級的簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個(gè)已知的可信賴的機(jī)構(gòu)，由此便可對各級證書的有效性進(jìn)行驗(yàn)證。如客戶~發(fā)卡行~品牌證書~跟證書關(guān)聯(lián)，跟證書是一個(gè)自簽名證書，公開，最高層。67、證書政策的作用和意義

是信息管理和信息技術(shù)基礎(chǔ)設(shè)施的一個(gè)組成部分，使得這個(gè)基礎(chǔ)設(shè)施從整體上能夠安全的實(shí)現(xiàn)公開環(huán)境中的服務(wù)提供、管理和通信；

用電子形式的認(rèn)證代替書面形式的認(rèn)證，從而加快信息流通速度，提供效率，降低成本； 鼓勵(lì)使用基于開放標(biāo)準(zhǔn)的技術(shù)； 建立與其他開放安全環(huán)境的互操作。68，PKI構(gòu)成P128 政策審批機(jī)構(gòu) 證書使用規(guī)定 證書政策 證書中心CA 單位注冊機(jī)構(gòu)RA 密鑰備份與恢復(fù)系統(tǒng) 證書作廢系統(tǒng) 應(yīng)用接口 端實(shí)體

69，簡述PKI的性能要求P129 支持多政策

透明性和易用性，對上屏蔽實(shí)行細(xì)節(jié)，對用戶屏蔽復(fù)雜解決方案 互操作性 簡答的風(fēng)險(xiǎn)管理 支持多平臺 支持多應(yīng)用 70，簡述PKI的應(yīng)用 VPN

安全電子郵件 Web安全 電子商務(wù)的應(yīng)用 應(yīng)用編程API

71，支持PKI互操作性的標(biāo)準(zhǔn)

加密、數(shù)字簽名、HASH、密鑰管理標(biāo)準(zhǔn)、證書格式、目標(biāo)標(biāo)準(zhǔn)、文件信封格式、安全會(huì)話格式、安全應(yīng)用程序接口規(guī)范

72、論述實(shí)現(xiàn)不可否認(rèn)性的證據(jù)機(jī)制 業(yè)務(wù)需求 證據(jù)生成 證據(jù)遞送 證據(jù)證實(shí) 證據(jù)保存

73、可信第三方的作用P136

公鑰證書，公鑰-私鑰對應(yīng)，特定時(shí)刻合法 身份證實(shí)，源消息簽字

時(shí)戳，可靠的時(shí)戳器件，對消息加上可證實(shí)消息、簽字、證書特定時(shí)刻的合法性 證據(jù)保存 中介遞送 解決糾紛 仲裁

SHECA證書管理器的功能P16974、企業(yè)、個(gè)人如何獲得CFCA證書P15

5用戶可以到所有CFCA授權(quán)的證書審批機(jī)構(gòu)RA申請證書，申請者一般需提供有關(guān)開戶賬號、身份證/組織機(jī)構(gòu)代碼、郵件地址等有效信息，RA審核通過后給用戶參考授權(quán)號、授權(quán)碼作為獲得證書的憑據(jù)。用戶在得到參考授權(quán)號授權(quán)碼后，可以自行登錄CFCA網(wǎng)站獲得證書，也可以使用RA提供的其他更為簡便的方式獲得證書。

75、什么是保持?jǐn)?shù)據(jù)完整性 加密數(shù)據(jù)，保證 公網(wǎng) 不泄露

信息認(rèn)證和身份認(rèn)證，完整性、合法性，身份 提供訪問控制，權(quán)限

第二篇：《電子商務(wù)安全導(dǎo)論》讀書筆記8

《電子商務(wù)安全導(dǎo)論》讀書筆記8，目前防火墻的控制技術(shù)可分為：包過濾型，包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。7，防火墻不能解決的問題有哪些？

答：（1）如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。

（2）防火墻無法防范通過防火墻以外的其他途徑的攻擊。

（3）防火墻不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶帶來的威脅。

（4）防火墻也不能防止傳送已感染病毒的軟件或文件。

（5）防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

8，VPN提供哪些功能？

答：加密數(shù)據(jù)：以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。

信息認(rèn)證和身份認(rèn)證：保證信息的完整性，合法性，并能鑒用戶的身份。

提供訪問控制：不同的用戶有不同的訪問權(quán)限。

9，簡述隧道的基本組成。

答：一個(gè)隧道啟動(dòng)器，一個(gè)路由網(wǎng)絡(luò)，一個(gè)可選的隧道交換機(jī)，一個(gè)或多個(gè)隧道終結(jié)器。11，IPSec提供的安全服務(wù)包括：私有性（加密），真實(shí)性（驗(yàn)證發(fā)送者的身份），完整性（防數(shù)據(jù)篡改）和重傳保護(hù)（防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送）等，并制定了密鑰管理的方法。12，選擇VPN（虛擬專用網(wǎng)）解決方案時(shí)需要考慮哪幾個(gè)要點(diǎn)？

答：（1）認(rèn)證方法；（2）支持的加密算法。（3）支持的認(rèn)證算法。（4）支持IP壓縮算法。

（5）易于部署。（6）兼容分布式或個(gè)人防火墻的可用性。

13，簡述VPN的分類。

答：按VPN的部署模式分，VPN的部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式：端到端模式；供應(yīng)商到企業(yè)模式；內(nèi)部供應(yīng)商模式。按VPN的服務(wù)類型分，VPN業(yè)務(wù)大致可分為三類：internetVPN AccessVPN和ExtranetVPN。14，簡述VPN的具體實(shí)現(xiàn)即解決方案有哪幾種？

答：（1）虛擬專用撥號網(wǎng)絡(luò)，用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個(gè)私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。

（2）虛擬專用路由網(wǎng)絡(luò)，它是基于路由的VPN接入方式。

（3）虛擬租用線路，是基于虛擬專線的一種VPN

第三篇：《電子商務(wù)安全導(dǎo)論》讀書筆記3

《電子商務(wù)安全導(dǎo)論》讀書筆記

3第二章 電子商務(wù)安全需求和密碼技術(shù)

名詞解釋

1，明文：原始的，未被偽裝的消息稱做明文，也稱信源。通常用M表示。

2，密文：通過一個(gè)密鑰和加密算法將明文變換成一種偽信息，稱為密文。通常用C表示。3，加密：就是用基于數(shù)學(xué)算法的程序和加密的密鑰對信息進(jìn)行編碼，生成別人難以理解的符號，即把明文變成密文的過程。通常用E表示。

4，解密：由密文恢復(fù)成明文的過程，稱為解密。通常用D表示。

5，加密算法：對明文進(jìn)行加密所采用的一組規(guī)則，即加密程序的邏輯稱做加密算法。

6，解密算法：消息傳送給接收者后，要對密文進(jìn)行解密時(shí)所采用的一組規(guī)則稱做解密算法。7，密鑰：加密和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的，分別稱作加密密鑰和解密密鑰。通常用K表示。

8，單鑰密碼體制：是加密和解密使用楨或?qū)嵸|(zhì)上等同的密鑰的加密體制。使用單鑰密碼體制時(shí)，通信雙方A B必須相互交換密鑰，當(dāng)A發(fā)信息B時(shí)，A用自己的加密密鑰匙進(jìn)行加密，而B在接收到數(shù)據(jù)后，用A的密鑰進(jìn)行解密。單鑰密碼體制又稱為秘密密鑰體制或?qū)ΨQ密鑰體制。

9，雙鑰密碼體制又稱作公共密鑰體制或非對稱加密體制，這種加密法在加密和解密過程中要使用一對密鑰，一個(gè)用與加密，另一上用于解密。即通過一個(gè)密鑰加密的信息，只有使用另一個(gè)密鑰才能夠解密。這樣每個(gè)用戶都擁有兩個(gè)密鑰：公共密鑰和個(gè)人密鑰，公共密鑰用于加密鑰，個(gè)人密鑰用于解密。用戶將公共密鑰交給發(fā)送方或公開，信息發(fā)送者使用接收人的公共密鑰加密的信息只有接收人才能解密。

簡答題材、1，電子商務(wù)的可靠性的含義是什么？

答：可靠性是指電子商務(wù)系統(tǒng)的可靠性，電子商務(wù)系統(tǒng)也就是計(jì)算機(jī)系統(tǒng)，其可靠性是指為防止由于計(jì)算機(jī)失效，程序錯(cuò)誤，傳輸錯(cuò)誤，硬件故障，系統(tǒng)軟件錯(cuò)誤，計(jì)算機(jī)病毒和自然災(zāi)害等聽所產(chǎn)生的潛在威脅，并加以控制和預(yù)防，確保系統(tǒng)安全可靠性。

2，電子商務(wù)的真實(shí)性的含義是什么？

答：真實(shí)性蝗旨商務(wù)活動(dòng)中交易身份的真實(shí)性，亦即是交易雙方確實(shí)存在的，不是假冒的。3，單鑰密碼體制的特點(diǎn)是什么？

答：第一，加密和解密的速度快，效率高；第二，單鑰密碼體制的加密和解密過程使用同一個(gè)密鑰。發(fā)送者的接收者都需要知道密鑰，需要安全渠道進(jìn)行密鑰的傳遞，單鑰密碼體制無法適應(yīng)互聯(lián)網(wǎng)大環(huán)境多人相互通信要求。

4，雙鑰密鑰體制最大的特點(diǎn)是什么？

答：第一，適合密鑰的分配和管理。第二，算法速度慢，只適合加密小數(shù)量的信息。5，替換加密和轉(zhuǎn)換加密的主要區(qū)別是什么？

答：在替換加密法中，原文的順序沒被改變，而是通過各種字母映射關(guān)系把原文隱藏了起來。轉(zhuǎn)換加密法是將原字母的順序打亂，將其重新排列。

6，簡述密碼系統(tǒng)的理論安全性的實(shí)用安全性。

答：由于計(jì)算機(jī)技術(shù)的發(fā)展，人們借且于計(jì)算機(jī)進(jìn)行分析處理，密碼的破譯能力也不斷提高。一個(gè)密碼體制的安全性取決于破譯者具備的能力，如若它對于擁有無限計(jì)算資源的破譯者來說是安全的，則稱這樣的密碼體制是無條件安全的，它意味著不論破譯者擁有多大的資源，都不可能破譯；如若一個(gè)密碼體制對于擁有限計(jì)算資源的破澤者來說是安全的，則稱這樣的密碼體制是計(jì)算上安全的，計(jì)算上安全的密碼表明破譯的難度很大。

無條件安全的密碼體制是理論上安全的；計(jì)算上安全的密碼體制是實(shí)用的安全性。但目前已知的無條件安全的密碼體制都是不實(shí)用的；同時(shí)還沒有一個(gè)實(shí)用的密碼體制被證明是計(jì)算上安全的。

第三章 密碼技術(shù)的應(yīng)用

第四篇：《電子商務(wù)安全導(dǎo)論》讀書筆記2

《電子商務(wù)安全導(dǎo)論》讀書筆記2

4，為什么交易的安全性是電子商務(wù)獨(dú)有的？

答：這也是電子商務(wù)系統(tǒng)所獨(dú)有的。在我們的日常生活中，進(jìn)行一次交易必須辦理一定的手續(xù)，由雙方簽發(fā)各種收據(jù)憑證，并簽名蓋章以作為法律憑據(jù)。但在電子商務(wù)中，交易在網(wǎng)上進(jìn)行，雙方甚至不會(huì)見面，那么一旦一方反悔，另一方怎么能夠向法院證明合同呢？這就需要一個(gè)網(wǎng)上認(rèn)證機(jī)構(gòu)對每一筆業(yè)務(wù)進(jìn)行認(rèn)證，以確保交易的安全，避免惡意欺詐。5，攻擊WEB站點(diǎn)有哪幾種方式？

答：安全信息被破譯：WEB服務(wù)器的安全信息，如口令，密鑰等被破譯，導(dǎo)致攻擊者進(jìn)入WEB服務(wù)器。瀏覽器的強(qiáng)大功能，可以以不同形式訪問WEB站點(diǎn)的數(shù)據(jù)，這不僅為用戶，同時(shí)也為攻擊者打開了許多方便之門。攻擊者試圖在內(nèi)部網(wǎng)上獲取信息或利用；計(jì)算機(jī)資源。因此，必須保護(hù)WEB站點(diǎn)，防止闖入者的襲擊。最常見，也是最有效的保護(hù)是使用防火墻。非法訪問：未授權(quán)者非法訪問了WEB上的文件，損害了電子商務(wù)中的隱私性，機(jī)密截獲。交易信息被截獲：當(dāng)用戶向服務(wù)器傳輸交易信息時(shí)被截獲。

軟件漏洞被攻擊者利用：系統(tǒng)中的軟件錯(cuò)誤，使得攻擊者可以對WEB服務(wù)器發(fā)出指令，致使系統(tǒng)被修改和損壞，甚至引起整個(gè)系統(tǒng)的崩潰。

當(dāng)用CGI腳本編寫的程序或其他涉及到遠(yuǎn)程用戶從瀏覽中輸入表格并進(jìn)行像檢索之類在主機(jī)上直接操作命令時(shí)，會(huì)給WEB主機(jī)系統(tǒng)造成危險(xiǎn)。

6，WEB客戶機(jī)和WEB服務(wù)器的任務(wù)分別是什么？

答：WEB客戶機(jī)的任務(wù)是：（1）為客戶提出一個(gè)服務(wù)請求——超鏈時(shí)啟動(dòng)；（2）將客戶的請求發(fā)送給服務(wù)器；（3）解釋服務(wù)器傳送的HTML等格式文檔，通過瀏覽器顯示給客戶。WEB服務(wù)器的任務(wù)是：（1）接收客戶機(jī)來的請求；（2）檢查請求的合法性；（3）針對請求，獲取并制作數(shù)據(jù)，包括使用CGI腳本等程序，為文件設(shè)置適當(dāng)?shù)腗IME類型來對數(shù)據(jù)進(jìn)行前期處理和后期處理；（4）把信息發(fā)送給提出請求的客戶機(jī)。

7，電子商務(wù)安全的六項(xiàng)中心內(nèi)容是什么？

答（1）商務(wù)數(shù)據(jù)的機(jī)密性或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲(chǔ)的過程中不被他人竊取，不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)授權(quán)者無法了解其內(nèi)容。

（2）商務(wù)數(shù)據(jù)的完整性或稱正確性是保護(hù)數(shù)據(jù)不被未經(jīng)授權(quán)者修改，建立，嵌入，刪除，重復(fù)傳送或由于其他原因使原始數(shù)據(jù)被更改。

（3）商務(wù)對象的認(rèn)證性是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)對方的身份。

（4）商務(wù)服務(wù)的不可否認(rèn)性是指信息的發(fā)送方面不能否認(rèn)已發(fā)送的信息，接收方不能否認(rèn)已收到的信息，這是一種法津有效性要求。

（5）商務(wù)服務(wù)的不可拒絕性或稱可用性是保證授權(quán)用戶在正常訪問信息和資源時(shí)不被拒絕，即保證為用戶提供穩(wěn)定的服務(wù)。

（6）訪問的控制性是指在網(wǎng)絡(luò)上限制和控制通信鏈路對主機(jī)系統(tǒng)和應(yīng)用的訪問：用于保護(hù)計(jì)算機(jī)系統(tǒng)的資源（信息，計(jì)算和通信資源）不被未經(jīng)授權(quán)人或以未經(jīng)授權(quán)方式接入，使用，修改，發(fā)出指令或植入程序等。

第五篇：《電子商務(wù)安全導(dǎo)論》讀書筆記5

《電子商務(wù)安全導(dǎo)論》讀書筆記5。

3，數(shù)字簽名與消息的真實(shí)性認(rèn)證有什么不同？

答：數(shù)字簽名與消息的真實(shí)性認(rèn)證是不同的。消息認(rèn)證是使接收方能驗(yàn)證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過。當(dāng)收發(fā)者之間沒有利害沖突時(shí)，這對于防止第三者的破壞來說是足夠了。但當(dāng)接收者和發(fā)送者之間相互有利害沖突時(shí)，單純用消息認(rèn)證技術(shù)就無法解決他們之間的糾紛，此是需借助數(shù)字簽名技術(shù)。

4，數(shù)字簽名和手書簽名有什么不同？

答：數(shù)字簽名和手書簽名的區(qū)別在于：手書簽名是模擬的，因人而異，即使同一個(gè)人也有細(xì)微差別，比較容易偽造，要區(qū)別是否是偽造，往往需要特殊專家。而數(shù)字簽名是0和1的數(shù)字串，極難偽造，不需專家。對不同的信息摘要，即使是同一人，其數(shù)字簽名也是不同的。這樣就實(shí)現(xiàn)了文件與簽署的最緊密的“捆綁”。

5，數(shù)字簽名可以解決哪些安全鑒別問題？

答：數(shù)字簽名可以解決下述安全鑒別問題：

（1）接收方偽造：接收方偽造一份文件，并聲稱這是發(fā)送方發(fā)送的；（2）發(fā)送者或收者否認(rèn)：發(fā)送者或接收者事后不承認(rèn)自己曾經(jīng)發(fā)送或接收過文件；（3）第三方冒充：網(wǎng)上的第三方用戶冒充發(fā)送或接收文件；（4）接收方篡改：接收方對收到的文件進(jìn)行改動(dòng)。6，無可爭辯簽名有何優(yōu)缺點(diǎn)？

答：無可爭辯簽名是在沒有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。

無可爭辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。適用于某些應(yīng)用，如電子出版系統(tǒng)，以利于對知識產(chǎn)權(quán)的保護(hù)。

在簽名人合作下才能驗(yàn)證簽名，又會(huì)給簽名者一種機(jī)會(huì)，在不利于他時(shí)可拒絕合作，因而不具有“不可否認(rèn)性”。無可爭辯簽名除了一般簽名體制中的簽名算法和驗(yàn)證算法外，還需要第三個(gè)組成部分，即否認(rèn)協(xié)議：簽名者利用無可爭辯簽名可向法庭或公眾證明一個(gè)偽造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認(rèn)協(xié)議，就表明簽名真的由他簽署。論述題

1，對比傳統(tǒng)手書簽名來論述數(shù)字簽名的必要性。

答：商業(yè)中的契約，合同文件，公司指令和條約，以及商務(wù)書信等，傳統(tǒng)采用手書簽名或印章，以便在法律上能認(rèn)證，核準(zhǔn)，生效。傳統(tǒng)手書簽名儀式要專門預(yù)定日期時(shí)間，契約各方到指定地點(diǎn)共同簽署一個(gè)合同文件，短時(shí)間的簽名工作量需要很長時(shí)間的前期準(zhǔn)備工作。由于某個(gè)人不在要簽署文件的當(dāng)?shù)兀谑且却?，再等待。這種狀況對于管理者，是延誤時(shí)機(jī)；對于合作伙伴，是丟失商機(jī)；對于政府機(jī)關(guān)，是辦事效率低下。

電子商務(wù)的發(fā)展大大地加快了商務(wù)的流程，已經(jīng)不能容忍這種“慢條斯理”的傳統(tǒng)手書簽名方式。在電子商務(wù)時(shí)代，為了使商，貿(mào)，政府機(jī)構(gòu)和直接消費(fèi)者各方交流商務(wù)信息更快，更準(zhǔn)確和更便于自動(dòng)化處理，各種憑證，文件，契約，合同，指令，條約，書信，訂單，企業(yè)內(nèi)部的管理等必須實(shí)現(xiàn)網(wǎng)絡(luò)化的傳遞。保障傳遞文件的機(jī)密性應(yīng)使用加密技術(shù)，保障其完整性則用信息摘要要技術(shù)，而保障認(rèn)證性和不可否認(rèn)性則應(yīng)使用數(shù)字簽名技術(shù)。

數(shù)字簽名可做到高效而快速的響應(yīng)，任意時(shí)刻，在地球任何地方——只要有internet，就可完成簽署工作

數(shù)字簽名除了可用于電子商務(wù)中的簽署外，還可用于電子辦公，電子轉(zhuǎn)賬及電子郵遞等系統(tǒng)。

第四章 網(wǎng)絡(luò)系統(tǒng)物理安全與計(jì)算機(jī)病毒的防治

名詞解釋

1，備份：是恢復(fù)出錯(cuò)系統(tǒng)的辦法之一，可以用備份系統(tǒng)將最近的一次系統(tǒng)備份恢復(fù)到機(jī)器

上去。

2，歸檔：是指將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長期保存的過程。

3，計(jì)算機(jī)病毒：是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能的程序，或者毀滅數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

4，鏡像技術(shù)：是數(shù)據(jù)備份技術(shù)的一種，主要有網(wǎng)絡(luò)數(shù)據(jù)鏡像，遠(yuǎn)程鏡像磁盤等。

5，網(wǎng)絡(luò)物理安全：指物理設(shè)備可靠，穩(wěn)定運(yùn)行環(huán)境，容錯(cuò)，備份，歸檔和數(shù)據(jù)完整性預(yù)防。6，奇偶校驗(yàn)：也是服務(wù)器的一個(gè)特性。它提供一種機(jī)器機(jī)制來保證對內(nèi)存錯(cuò)誤的檢測，因此，不會(huì)引起由于服務(wù)器出錯(cuò)而造成數(shù)據(jù)完整性的喪失。

7，引導(dǎo)型病毒：是指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。

8，文件病毒：是指能夠寄存在文件中的計(jì)算機(jī)病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。

9，良性病毒：是指那些只是為了表現(xiàn)自身，并不徹底破壞系統(tǒng)和數(shù)據(jù)，但會(huì)大量占用CPU時(shí)間，增加系統(tǒng)開銷，降低系統(tǒng)工作效率的一類計(jì)算機(jī)病毒。

10，惡性病毒：是指那些一旦發(fā)作后，就會(huì)破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓的一類計(jì)算機(jī)病毒。

簡答題