第一章
1、电子商务的安全设计哪些问题?
(1)信息的安全问题。主要包括:①冒名顶替②篡改数据③信息丢失④信息传递出问题 (2)信用的安全问题。包括:①来自买方的信用安全问题②来自卖方的信用安全问题③买卖双方都存在抵赖的情况 (3)安全的管理问题 (4)安全的法律保障问题
2、什么是实体安全?具体由哪些部分组成?
所谓实体安全,是指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。 由以下三方面组成:(1)环境安全(2)设备安全(3)媒体安全 3、什么是媒体数据安全?媒体数据安全涉及哪些安全功能? 媒体数据的安全主要是提供对媒体数据的保护,实施对媒体数据的安全删除和媒体的安全销毁,目的是为了防止被删除或者被销毁的敏感数据被他人恢复,主要涉及三个方面的功能。 (1)媒体数据的防盗,如防止媒体数据被非法拷贝。
(2)媒体数据的销毁,包括媒体的物理销毁(如媒体粉碎等)和媒体数据的彻底销毁(如消磁等),防止媒体数据删除或销毁后被他人恢复而泄露信息。
(3)媒体数据的防毁,防止意外或故意的破坏而使媒体数据丢失。 4、什么是运行安全?具体由哪几部分组成?
运行安全是指为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。 由以下四方面组成:(1)风险分析(2)审计跟踪(3)备份与恢复(4)应急 5、什么是风险分析?风险分析涉及哪些安全功能?
风险分析就是要对电子商务安全系统进行人工或自动的风险分析。 风险分析主要涉及四个方面的安全功能:
(1)系统设计前的风险分析(2)系统试运行前的风险分析 (3)系统运行期的风险分析(4)系统运行后的风险分析 6、什么是信息安全?具体包括哪些安全内容?
所谓信息安全,是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确保信息的完整性、保密性、可用性和可控性。 信息安全具体由下面七个部分组成:
(1)操作系统安全(2)数据库安全(3)网络安全(4)病毒防护安全(5)访问控制安全(6)加密(7)鉴别
7、什么是身份鉴别?什么是信息鉴别?
所谓身份鉴别,是提供对用户的身份鉴别,主要用于阻止非授权用户对系统资源的访问。身份鉴别是提供对信息收发方(包括用户、设备和进程)真实身份的鉴别。 信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。 8、电子商务的安全应当从哪几个方面来综合考虑? 电子商务的安全需要依靠三个方面的支持:一、信息技术方面的措施,如防火墙、网络防毒、信息加密、身份认证、授权等,但只有技术措施并不能保证百分之百的安全;二是信息安全管理制度的保障;三是社会的法律政策与法律保障。只有三管齐下,才能最终保证电子商务的安全。
第二章:
1、信息安全的五种服务是什么?各需要采用什么安全技术来实现?
机密性;信息完整性;对信息的验证;信息的不可否认性;对信息的访问控制。
加密;数字摘要;数字签名,提问—应答,口令,生物测定法;数字签名,数字证书,时间戳;防火墙,口令,生物测定法。
2、什么是对称加密?对称加密是如何进行的? 对称加密又叫秘密密钥加密,其特点是数据的发送方和接收方使用的是同一把密钥,即把明文加密成密文和把密文解密成明文用的同一把钥钥。 利用秘密密钥进行加密的过程是:
(1)自己的秘密密钥对要发送的信息进行加密。
(2)发送方将加密后的信息通过网络传送给接收方。 (3)接收方用发送方进行加密的那把秘密密钥对接到的加密信息进行解密,得到信息明文。 3、什么是信息验证码?其使用过程是怎样的?
信息验证码也称为完整性校验值或信息完整校验。MAC是附加的数据段,是由信息的发送方发出,与明文一起传送并与明文有一定的逻辑联系。MAC的值与输入信息的每一位都有关系,如果在信息中的任何一位MAC生成后发生了改变,则就会发生出不同的MAC值,接收方就能知道该信息的完整性已遭到了破坏。
基于收到的信息,接收方利用信息内容重新计算MAC,并比较两个MAC值。这类似于通讯系统的普通错误校验过程,例如,在信息上附加一个成为循环冗余校验值(CRC)数据字段。不过这里有一个组要的不同,即必须考虑到可能会发生的蓄意攻击。如果某个主动的攻击者重新计算机和替换附加在信息中的CRC,接收方也就不可能觉察出数据已被篡改。为防止这类攻击,生成MAC是需要使用一个信息接收方也知道的密钥。接收方拥有可以生成的MAC的密钥,在接收信息时可以对信息内容与MAC是否一致进行确认。这样,如果信息被改了,就肯定能检查出来。
4、什么是公开密钥加密?什么是RSA? 不对称密钥又叫公开迷失,需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加密。
RSA算法是一种可逆的公开密钥加密系统。它是通过一个称为公共模数的数字来形成的公开密钥,公共模数是通过形成私人密钥的两个质数的乘数了获得的。说明公开密钥加密的加密模式和验证模式。
5、说明公开密钥加密的加密模式和验证模式。
6、为什么要把公开密钥加密的两种模式结合起来使用?如何结合? 对于公开密钥加密系统的两种模式来说,如果只是单独使用其中一种模式,那就无法保障信息机密性的同时又验证发送方的身份,但在电子商务的安全中又需要同时实现两个目的。为此,需要把这两种模式结合起来。 两种模式结合使用过程为:
(1)发送方用自己的私有密钥对要发送的信息进行加密,使得一次加密信息。 (2)发送方用结婚搜方的公开密钥对已加密的信息再次加密。
(3)发送方用自己的私有密钥对接收到的两次加密信息进行解密,得到一次加密信息。 (4)接收方用发送方的公开密钥对一次加密信息信息进行解密,得到信息明文。 7、密钥的生命周期由哪几个阶段组成? (1)密钥建立,包括生成密钥和发布密钥。(2)密钥备份/恢复或密钥的第三者保管。 (3)密钥替换/更新。(4)密钥吊销。(5)密钥期满/终止,其中包括迷失的销毁和归档。 8、RSA密钥传输是如何保护电子邮件的。 (1)发送方生成随机对称密钥K。
(2)发送方对对称密钥K信息内容进行加密。
(3)发送方用接收方的公开密钥对加密用的对称密钥K进行加密。 (4)发送方把加密后发密钥附加在加密后的信息上一并发送。
(5)接收方用自己的私有密钥解密加密后的密钥,得到对称密钥K。 (6)接收方用对称密钥K对加密的内容进行解密,得到明文的内容。 9、验证可以根据哪些因素来进行?
(1)申请人表示所知道的某些事物,如口令。 (2)申请人出示一些所有物,如实际的密钥或卡。 (3)申请人展示一些不可改变的特征,如指纹。
(4)需要证明申请人身份的一方接受已经对申请人进行了验证的其他可信任方。
第三章:
1、什么是网络层安全?典型的网络层安全服务包含哪些内容?
网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。
典型的典型的网络层安全服务包括:
(1)认证和完整性:向接收系统提供可靠的数据包来源,确保数据包没有被修改。 (2)保密性:保证数据包的内容除预期的接受者外,不泄露给其他的任何人。
(3)访问控制:限制特定的终端系统仅与特定的应用程序或特定的远程数据包来源地或目的地进行通信。
2、什么是应用层安全?应用层安全措施有哪些? 应用层安全指的是建立在某个特定的应用程序内部,不依赖于任何网络层安全措施而独立运行的安全措施。
应用层安全措施包括认证、访问控制、保密性、数据完整性和不可否认性,此外还包括与web、与信息传送有关的安全措施。
3、什么是系统安全?系统安全包含哪些措施? 系统安全是指对特定终端系统及其局部环境的保护,而不考虑对网络层安全或应用层 安全措施所承担的通信保护。 系统安全包含如下措施:
(1)确保在安装的软件中没有已知的安全陷阱。如必须确保及时安装所有与安全有关的软件补丁,确保没有安装可能会包含特洛伊木马等病毒的那些有问题的软件。
(2)确保系统的配置能使入侵风险将至最低。如系统应该配置成仅在分配给本系统中活动应用程序的端口上监听Internet数据包。一般来讲,不要将调制解调气设置成允许拨入的形式。
(3)确保所下载的软件其来源是可信任的和可靠的。
(4)确保系统能得到适当管理以使侵入风险最小。如应定期保存所有访问控制数据,定期修改口令,并避免使用容易被猜到的口令;应删除已废弃的用户账户,因为黑客若使用这样的账户入侵系统可能难以被觉察到。
(5)确保采用合适的审计机制,以便能防止对系统的成功入侵和采取新的合适的防御性措施。
4、什么是包过滤型防火墙?说明其实现原理。
包过滤防火墙是指在Internet连接处安装包过滤路由器,在路由器中配置包过滤规则来阻塞或过滤报文的协议和地址。 其具体是的实现原理是:
通过协议类型控制特定的协议;
通过IP地址控制特定的源和目的主机;
通过控制源和目的端口控制特定的网络服务;
通过源/目的控制入网信息和出网信息,即控制信息方向。 5、什么是应用网关型防火墙?说明其实现原理。
应用级网关(application level gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,虽数据包 进行必要的分析,登记和统计,形成报告。 实现原理如下图
6、什么是IPsec?IPsec有哪些功能?
IPsec是指IETF以RFC(Internet标准,request for comment)形式公布的一组IP安全协议集。
功能:在IP层提供安全服务;选择需要的安全协议;决定使用的算法;保存加密使用的密钥。
7、IPsec的密钥管理有哪两种方式?IPsec在应用中有哪些优点?
一个是由协议的头部,即认证头(AH)指明的认证协议;另一个是由协议的分组格式,即分装安全有效载荷(ESP)指明的加密/认证混合协议。
优点:访问控制;无连接完整性;数据源的鉴别;拒绝重放的分组(部分序号完整性的一种形式);机密性(加密);有限的通行量机密性。
8、什么是SSL?SSL的体系结构是怎样的?在支持安全通信方面SSL有那些基本功能? 安全套接层协议(secure socket layer,SSL)最初是由Netscape公司研究制定的安全通信协议,是在因特网基础上提供的一种保证机密性的安全协议。 SSL的体系结构: 应用层 握手协议 SSL记录协议 TCP IP 在支持安全通信方面SSL的基本功能:(1)SSL服务器认证;(2)确认用户身份; (3)保证数据传输的机密性和完整性。
第四章
1、X.509数字证书格式有哪几种版本?ITU X.509标准又称为什么标准? X.509数字证书格式有三个不同的版本:
(1)版本1格式,在1988年的第一版中定义; (2)版本2格式,在1993年的第二版中定义;
(3)版本3格式,在1997年的第三版中定义,并在2000年的第四版中对其进行了改进。 ITU X.509标准也称ISO/IEC 9594-8标准。
2、在X.509版本3的数字证书格式中,每个扩展字段由哪三部分组成? X.509版本3的数字证书格式中,每个扩展字段由三部分组成: (1)一个表示扩展类型的对象标识符值;(2)一个关键程度指示器;(3)一个扩展字段值; 其中,扩展类型规定了值的数据类型(字符串、日期或复杂数据结构)以及与值相关联的语义。
3、数字证书的扩展标准主要涉及哪几部分内容? (1)密钥信息扩展;(2)政策信息扩展;(3)主体与发放者的属性扩展;(4)认证路径约束扩展;(5)与数字证书撤销表(CRLs)相关的扩展。 4、私钥的保护可以采取哪些方法?
将私钥存储在不可写的硬件模块或标记中,如智能卡中。
将私钥存储在计算机硬盘或其他数据存储媒介上的加密数据文件中。 将私钥存储在数字证书服务器上,当用户通过了服务器的鉴定,并在服务器上使用了一段时间后,改服务器会将私钥传送给用户。
SSL更改密码规程协议 SSL报警协议
电子商务安全与管理思考题
