【正文】 施是一種遵循既定標(biāo)準(zhǔn)的利用公鑰密碼技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)規(guī)范 ：是一種規(guī)則指出一個(gè)證書(shū)被特定用戶(hù)或應(yīng)用的可適用性表明他對(duì)一個(gè)特定的應(yīng)用和目的是否可用他構(gòu)成了交叉驗(yàn)證的基礎(chǔ) ：是制定整個(gè)體系結(jié)構(gòu)的安全政策并制定所有下級(jí)機(jī)構(gòu)都需要遵循的規(guī)章制度主要是證書(shū)政策和證書(shū)使用規(guī)定 ：綜合描述了 CA 對(duì)證書(shū)政策的各項(xiàng)要求的實(shí)現(xiàn)方式 ：身份識(shí)別與鑒別就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體鑒別身份的真?zhèn)? ：從技術(shù)上證明實(shí)體對(duì)其行為的認(rèn)可 ：“數(shù)據(jù)認(rèn)證”，也就是，公證人要證明數(shù)據(jù)的有效性和正確性這種公證取決于數(shù)據(jù)驗(yàn)證的方式 ：用于防止或解決出現(xiàn)的有關(guān)是否一個(gè)特定的實(shí)體發(fā)了一個(gè)特定的數(shù)據(jù)，源在某個(gè)特定的時(shí)刻出現(xiàn)，或兩者都有分歧 ：用于防止后解決出現(xiàn)的有關(guān)是否一個(gè)特定實(shí)體收到了一個(gè)特定的數(shù)據(jù)項(xiàng)，傳遞在特定時(shí)刻出現(xiàn)，或兩者皆有的分歧，目的是保護(hù)發(fā)信人。 （ 6）加密算法可能支持密鑰托管和密鑰恢復(fù)，以及可能的法律監(jiān)聽(tīng)。 （ 5）并非所有公鑰算法都具有 RSA 的特點(diǎn)，例如 DSA 算法可以做簽名，但無(wú)須建立密鑰。 （ 3）由于實(shí)際商務(wù)的需要或其他原因，需要用不同的密鑰和證書(shū)，例如，一般消息加密用的 密鑰比較短，加密時(shí)間可快一些；而對(duì)短消息加密用的密鑰可以長(zhǎng)一些，有利于防止攻擊。 2，對(duì)于公鑰 /私鑰對(duì)的不同功能，在要求上要考慮不一致的情況有哪些？ 答：（ 1）需要采用兩個(gè)不同的密鑰對(duì)分別作為加密 /解密和數(shù)字簽名/驗(yàn)證簽名用。當(dāng)一個(gè)證書(shū)，特別是其中的公鑰因?yàn)槠渌驘o(wú)效時(shí)， CRL 提供了一種通知用戶(hù)的中心管理方式。如果一個(gè) CA 系統(tǒng)是可信的，則驗(yàn)證證書(shū)的用戶(hù)可以確信，他所驗(yàn)證的證書(shū)中的公鑰屬于證書(shū)所代表的那個(gè)實(shí)體。 CA 系統(tǒng)首先獲取用戶(hù)的請(qǐng)求信息，其中包括用戶(hù)公鑰， CA 將根據(jù)用戶(hù)的請(qǐng)求信息產(chǎn)生證書(shū)，并用自己的私鑰對(duì)證書(shū)進(jìn)行簽名。 答：證書(shū)機(jī)構(gòu)用于創(chuàng)建和發(fā)布證書(shū)，它通常為一個(gè)稱(chēng)為安全域的有限群體發(fā)放證書(shū)。經(jīng)私鑰加密過(guò)的數(shù)據(jù) —— 數(shù)字簽名可被所具有公鑰的人解開(kāi)，由于私鑰只有持有者一人保存，就樣就證明信息發(fā)自私鑰持有者，具有不可否認(rèn)證和完整性。 授權(quán)信息的分配也 需用證書(shū)實(shí)現(xiàn)，可以通過(guò)發(fā)放證書(shū)宣布某人或?qū)嶓w具有特定權(quán)限或權(quán)威，使別人可以鑒別和承認(rèn)。 5， CA 認(rèn)證申請(qǐng)者的身份后，生成證書(shū)的步驟有哪些？ 答：（ 1） CA 檢索所需的證書(shū)內(nèi)容信息；（ 2） CA 證實(shí)這些 信息的正確性；（ 3）回 CA 用其簽名密鑰對(duì)證書(shū)簽名；（ 4）將證書(shū)的一個(gè)拷貝送給注冊(cè)者，需要時(shí)要求注冊(cè)者回送證書(shū)的收據(jù)；（ 5） CA 將證書(shū)送入證書(shū)數(shù)據(jù)庫(kù)，向公用檢索業(yè)務(wù)機(jī)構(gòu)頌；（ 6）通常， CA 將證書(shū)存檔；（ 7） CA 將證書(shū)生成過(guò)程中的一些細(xì)節(jié)記入審記記錄中。（ 3）證書(shū)不在 CA 發(fā)行的無(wú)效證書(shū)清單中 ？ 答：（ 1）密鑰對(duì)持有者自己生成 （ 2）密鑰對(duì)由通用系統(tǒng)生成： 3，證書(shū)有哪些類(lèi)型？ 答：（ 1）個(gè)人證書(shū) （ 2）服務(wù)器證書(shū) （ 3）郵件證書(shū) （ 4） CA證書(shū) 4，如何對(duì)密鑰進(jìn)行安全保護(hù)？ 答：密鑰按算法產(chǎn)生后，首先將私鑰送給用戶(hù)，如需備份，應(yīng)保證安全性，將公鑰送給 CA，用以生成相應(yīng)證書(shū)， 為了防止未授權(quán)用戶(hù)對(duì)密鑰的訪(fǎng)問(wèn)，應(yīng)將密鑰存入防竄擾硬件或卡中，或加密后存入計(jì)算機(jī)的文件中。 簡(jiǎn)答題 1，有效證書(shū)應(yīng)滿(mǎn)足的條件有哪些？ 答：（ 1）證書(shū)沒(méi)有超過(guò)有效期。 15，證書(shū)更新：當(dāng)證書(shū)持有者的證收過(guò)期，證書(shū)被竊取，受到攻擊時(shí)通過(guò)更新證書(shū)的方法，使其用新的證書(shū)繼續(xù)參與網(wǎng)上認(rèn)證。 13，數(shù)據(jù)庫(kù)服務(wù)器：是認(rèn) 證機(jī)構(gòu)中的核心部分，用于認(rèn)證機(jī)構(gòu)數(shù)據(jù)（如密鑰和用戶(hù)信息等），日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。 11，安全服務(wù)器：面向普通用戶(hù)，用于提供證書(shū)申請(qǐng)，濟(jì)覽，證書(shū)吊銷(xiāo)表以及證書(shū)下載等安全服務(wù)。 9， CA 證書(shū)：證實(shí) CA 身份和 CA的簽名密鑰。 7，服務(wù)器證書(shū)：證實(shí)服務(wù)器的身份和公鑰。 5，多公 鑰證書(shū)系統(tǒng)：用于不同證書(shū)的用戶(hù)的互相認(rèn)證。 3，公鑰數(shù)字證書(shū)：網(wǎng)絡(luò)上的證明文件，證明雙鑰體制中的公鑰所有者就是證書(shū)上所記錄的使用者。 2，公鑰證書(shū)：它將公開(kāi)密鑰與特定的人，器件或其他實(shí)體聯(lián)系起來(lái)。（ 10）可證明安全性。 （ 5）通信有效性，（ 6）秘密參數(shù)安全存儲(chǔ)。 答：對(duì)身份證明系統(tǒng)的相關(guān)要求： （ 1）驗(yàn)證者正確認(rèn)別合法示證者的概率極大化。 4，通行字的控制措施是哪些？答：通行字即口令的控制措施有：系統(tǒng)消息、限制試探次數(shù)、通行字有效期、雙通行字系統(tǒng)、最小長(zhǎng)度、封鎖用戶(hù)系統(tǒng)、根通行字的保護(hù)、系統(tǒng)生成通行字、通行字的檢驗(yàn)。 3，通行字的安全存儲(chǔ)有哪二種方法？ 答：（ 1）用戶(hù)的通行字多以加密形式存儲(chǔ)，入侵者要得到通行字，必須知道加密算法和密鑰。在實(shí)際系統(tǒng)中，需要考慮和規(guī)定選擇方法，使用期限，字符長(zhǎng)度，分配和管理以及在計(jì)算機(jī)系統(tǒng)內(nèi)的保護(hù)等。另一方面，實(shí)體認(rèn)證通常證實(shí)實(shí)體本身， 4 而消息認(rèn)證除了證實(shí)消息的合法性和完整性外，還要知道消息的含義。 5，域間認(rèn)證：是指 CLIENT 向本 KERBEROS 的認(rèn)證域以?xún)?nèi)的 SERVER 申請(qǐng)服務(wù)。 3，通行字：通行字是一種根據(jù)已知事物驗(yàn)證身份的方法，也是一種研究和使用最廣的身份驗(yàn)證法。 第七章 證書(shū)系統(tǒng)與身份確認(rèn) 名詞解釋 1，拒絕率或虛報(bào)率：是指身份證明系統(tǒng)的質(zhì)量指標(biāo)為合法用戶(hù)遭拒絕的概率。 數(shù)據(jù)加密可以解決網(wǎng)絡(luò)內(nèi)部信息“看不懂，改不了，盜走也沒(méi)用”的問(wèn)題， 是網(wǎng)絡(luò)安全最后一道防線(xiàn)，也是價(jià)格性能比最好的網(wǎng)絡(luò)安全問(wèn)題的根本解決手段。而且黑客一旦掌握了攻破方法以后，會(huì)不斷地繼續(xù)盜走和篡改數(shù)據(jù)，而用戶(hù)很難察覺(jué)。 答： 目前技術(shù)可達(dá)到“幾分鐘，一塊活動(dòng)硬盤(pán)可盜走 300 億字的數(shù)據(jù)”，一旦黑客攻破網(wǎng)絡(luò)，如果數(shù)據(jù)未加密，計(jì)算機(jī)數(shù)據(jù)是可讀的，則數(shù)據(jù)即盜即用。接入權(quán)要按每一對(duì)主體客體分別限定，權(quán)利包括讀，寫(xiě)，執(zhí)行等，讀寫(xiě)含義明確，而執(zhí)行權(quán)指目標(biāo)為一個(gè)程序時(shí)它對(duì)文件的查找和執(zhí)行。 （ 4）加密橋技術(shù)：一種加 /解密卡的基礎(chǔ)上開(kāi)發(fā)加密橋的技術(shù)可實(shí)現(xiàn)在不存在降低加密 安全強(qiáng)度旁路條件下，為數(shù)據(jù)庫(kù)加密字段的存儲(chǔ)，檢索，索引，運(yùn)算，刪除，修改等到功能的實(shí)現(xiàn)提供接口，并且它的實(shí)現(xiàn)是與密碼算法，密碼設(shè)備無(wú)關(guān)的。 （ 3）強(qiáng)制式接入控制：簡(jiǎn)記為 MAC。它由資源擁有者分配接入權(quán)，在辨別各用戶(hù)的基礎(chǔ)上實(shí)現(xiàn)接入控制。 第六章 接入控制與數(shù)據(jù)加密 名詞解釋 （ 1）接入控制：接入或訪(fǎng)問(wèn)控制是保證網(wǎng)絡(luò)安全的重要手段，它通過(guò)一組機(jī)制 控制不同級(jí)別的主體以目標(biāo)資源的不同授權(quán)訪(fǎng)問(wèn)，在對(duì)主體認(rèn)證之后實(shí) 施網(wǎng)絡(luò)資源安全管理使用。 3，組建 VPN 應(yīng)該遵循的設(shè)計(jì)原則。它往往使用一種被稱(chēng)作“隧道” 的技術(shù)，數(shù)據(jù)包在公共網(wǎng)絡(luò)上專(zhuān)用的“隧道”內(nèi)傳輸，專(zhuān)用“隧道”用于建立點(diǎn)對(duì)點(diǎn)的連接。這種運(yùn)作方式是最安全的方式，但也是效率最低的一種方式。 （ 3）應(yīng)用 層網(wǎng)關(guān)型：應(yīng)用層網(wǎng)關(guān)型的防火墻采用將連線(xiàn)動(dòng)作攔截，由一個(gè)特殊的代理程序來(lái)處理兩端間的邊線(xiàn)方式，并分析其邊線(xiàn)內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。包檢驗(yàn)型防火墻在檢查不完全的情況下，可難會(huì)造成原來(lái)以為只有特定的服務(wù)可以通過(guò)，通過(guò)精心設(shè)計(jì)的數(shù)據(jù)包，可在到達(dá)目的地時(shí)因重組而被轉(zhuǎn)變楊原來(lái)并不允許通過(guò)的連線(xiàn)請(qǐng)求。但由于包檢驗(yàn)的主要對(duì)象仍是個(gè)別的包，不同的包檢驗(yàn)方式可能會(huì)產(chǎn)生極大的差異。 （ 2）包檢驗(yàn)型：包檢驗(yàn)型的控制機(jī)制是通過(guò)一個(gè)檢驗(yàn)?zāi)＝M對(duì)包中的各個(gè)層次作檢驗(yàn)?，F(xiàn)在的路由器，交換式路由器以及某些操作系統(tǒng)已經(jīng)具有用包過(guò)濾控制的能力。 答：目前防火墻的控制技術(shù)大概可分為：包過(guò)濾型，包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。 按 VPN 的服務(wù)類(lèi)型分， VPN 業(yè)務(wù)大致可分為三類(lèi)： interVPN AccessVPN 和 ExtraVPN。 13，簡(jiǎn)述 VPN 的分類(lèi)。（ 5）易于部署。（ 3）支持的認(rèn)證算法。 11， IPSec 提供的安全服務(wù)包括：私有性（加密），真實(shí)性（驗(yàn)證發(fā)送者的身份），完整性（防數(shù)據(jù)篡改）和重傳保護(hù)（防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送）等，并制定了密鑰管理的方法。 8， VPN 提供哪些功能？ 答：加密數(shù)據(jù)： 信息認(rèn)證和身份認(rèn)證： 提供訪(fǎng)問(wèn)控制： 9，簡(jiǎn)述隧道的基本組成。 （ 4）防火墻也不能防止傳送已感染病毒的軟件或文件。 （ 2）防火墻無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊。 7，防火墻不能解決的問(wèn)題有哪些？ 答：（ 1）如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。（ 5）具有抗穿透性攻擊能力，強(qiáng)化記錄，審計(jì)和告警。（ 3）盡可能控制外部用戶(hù)訪(fǎng)問(wèn)內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶(hù)進(jìn)入內(nèi)域網(wǎng)。 答：（ 1）由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過(guò)防火墻。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種路線(xiàn)的攻擊。 4，設(shè)置防火墻的目的及主要作用是什么？ 答：設(shè)置防火墻的目的是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一通道，允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼 制點(diǎn)”提供兩個(gè)網(wǎng)絡(luò)間的訪(fǎng)問(wèn)的控制，使得只有被安全策略明確授權(quán)的信息流才被允許通過(guò)，對(duì)兩個(gè)方向的信息流都能控制。 2，防火墻不能防止的安全隱患有：不能阻止已感染病毒的軟件或文件的傳輸；內(nèi)部人員的工作失誤。 6， VPN（虛擬專(zhuān)用網(wǎng)）：是指通過(guò)一個(gè)公共網(wǎng)絡(luò)建立一個(gè)臨時(shí)的，安全鏈接。 4，受信網(wǎng)絡(luò)一般指的是內(nèi)部網(wǎng)絡(luò)。 2，非受信網(wǎng)絡(luò)：一般指的是外部網(wǎng)絡(luò)。 電源保障：使用不間斷電源是組成一個(gè)完整的服務(wù)器系統(tǒng)的良好方案。它提供一種機(jī)器機(jī)制來(lái)保證對(duì)內(nèi)存錯(cuò)誤的檢測(cè)，因此，不會(huì)引起由于服務(wù)器出錯(cuò)而造成數(shù)據(jù)完整性的喪失。 故障前兆分析：有些部件不是 一下子完全壞了，例如磁盤(pán)驅(qū)動(dòng)器， 3 在出故障之前往往有些征兆，進(jìn)行故障前兆分析有利于系統(tǒng)的安全。 2，試述提高數(shù)據(jù)完整性的預(yù)防性措施有哪些？ 答：預(yù)防性措施是用來(lái)防止危及到數(shù)據(jù)完整性事情的發(fā)生。（ 5）網(wǎng)絡(luò)數(shù)據(jù)鏡像。（ 3）遠(yuǎn)程關(guān)鍵數(shù)據(jù) +磁帶備份。 論述題 1，目前比較常見(jiàn)的備份方式有哪些？ 答：（ 1）定期磁帶備份數(shù)據(jù)。 按破壞性分為，良性病毒和惡性病毒 14，簡(jiǎn)述計(jì)算機(jī)病毒的防治策略？ 答：依法治毒，建立一套行之有效的病毒防治體系，制定嚴(yán)格的病毒 防治技術(shù)規(guī)范。 13，簡(jiǎn)述計(jì)算機(jī)病毒的分類(lèi)方法。歸檔也是提高數(shù)據(jù)完整性的一種預(yù)防性措施。備份的目的是從災(zāi)難中恢復(fù)。 11，簡(jiǎn)述歸檔與備份的區(qū)別。 9，數(shù)據(jù)文件和系統(tǒng)的備份要注意什么？ 答：日常的定時(shí)，定期備份；定期檢查備份的質(zhì)量；重要的備份最好存放在不同介質(zhì)上；注意備份本身的防竊和防盜；多重備份，分散存放，由不同人員分別保管。 8，敵對(duì)份子以病毒進(jìn)行宣傳和破壞。 6，維修部門(mén)交叉感染。 4，非法拷貝引起的 病毒。 2，各類(lèi)出國(guó)人員帶回的機(jī)器和軟件染有病毒。 8，列舉計(jì)算機(jī)病毒的主要來(lái)源。 答：數(shù)據(jù)備份，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全系統(tǒng)或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤(pán)或陣列復(fù)制到其他的存儲(chǔ)介質(zhì)的過(guò)程。 6，簡(jiǎn)述三種基本的備份系統(tǒng)。 5，現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的備份工作變得越來(lái)越困難，其原因是什么？ 答：其原因是網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性隨著不同的操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用軟件的增加而增加。另有一種容錯(cuò)技術(shù)是使用雙系統(tǒng)。當(dāng)正常的部件出現(xiàn)故障時(shí)，備份部件能夠立即取代它繼續(xù)工作。 容錯(cuò)技術(shù)最實(shí)用的一種技術(shù)是組成冗余系統(tǒng)。 4，簡(jiǎn)述容錯(cuò)技術(shù)的目的及其常用的容錯(cuò)技術(shù)。 2，計(jì)算機(jī)病毒是如何產(chǎn)生的？ 答：計(jì)算機(jī)病毒是人為產(chǎn)生的，是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能，或進(jìn)毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 10，惡性病毒：是指那些一旦發(fā)作后，就會(huì)破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓的一類(lèi)計(jì)算機(jī)病毒。這類(lèi)病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。 7，引導(dǎo)型病毒：是指寄生在磁盤(pán)引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。 6，奇偶校驗(yàn)：也是服務(wù)器 的一個(gè)特性。 4，鏡像技術(shù)：是數(shù)據(jù)備份技術(shù)的一種，主要有網(wǎng)絡(luò)數(shù)據(jù)鏡像，遠(yuǎn)程鏡像磁盤(pán)等。 2，歸檔：是指將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長(zhǎng)期保存的過(guò)程。 數(shù)字簽名可做到高效而快速的響應(yīng)，任意時(shí)刻，在地球任何地方 —— 只要有 inter，就可完成簽署工作 數(shù)字簽名除了可用于電子商務(wù)中的簽署外，還可用于電子辦公，電子轉(zhuǎn)賬及電子郵遞等系統(tǒng)。在電子商務(wù)時(shí)代，為了使