自考“電子商務(wù)安全導(dǎo)論”復(fù)習(xí)重點(diǎn)(4)

  • 發(fā)布時(shí)間:2024-09-15 16:21:23
  • 來源:本站整理
  • 閱讀:
導(dǎo)讀:
  論述題
  1,對(duì)比傳統(tǒng)手書簽名來論述數(shù)字簽名的必要性。   答:商業(yè)中的契約,合同文件,公司指令和條約,以及商務(wù)書信等,傳統(tǒng)采用手書簽名或印章,以便在法律上能認(rèn)證,核準(zhǔn),生效。傳統(tǒng)手書簽名儀式要專門預(yù)定日期時(shí)間,契約各方到指定地點(diǎn)共同簽署一個(gè)合同文件,短時(shí)間的簽名工作量需要很長(zhǎng)時(shí)間的前期準(zhǔn)備工作

1,對(duì)比傳統(tǒng)手書簽名來論述數(shù)字簽名的必要性。 

答:商業(yè)中的契約,合同文件,公司指令和條約,以及商務(wù)書信等,傳統(tǒng)采用手書簽名或印章,以便在法律上能認(rèn)證,核準(zhǔn),生效。傳統(tǒng)手書簽名儀式要專門預(yù)定日期時(shí)間,契約各方到指定地點(diǎn)共同簽署一個(gè)合同文件,短時(shí)間的簽名工作量需要很長(zhǎng)時(shí)間的前期準(zhǔn)備工作。由于某個(gè)人不在要簽署文件的當(dāng)?shù)?,于是要等待,再等待。這種狀況對(duì)于管理者,是延誤時(shí)機(jī);對(duì)于合作伙伴,是丟失商機(jī);對(duì)于政府機(jī)關(guān),是辦事效率低下。  電子商務(wù)的發(fā)展大大地加快了商務(wù)的流程,已經(jīng)不能容忍這種“慢條斯理”的傳統(tǒng)手書簽名方式。在電子商務(wù)時(shí)代,為了使商,貿(mào),政府機(jī)構(gòu)和直接消費(fèi)者各方交流商務(wù)信息更快,更準(zhǔn)確和更便于自動(dòng)化處理,各種憑證,文件,契約,合同,指令,條約,書信,訂單,企業(yè)內(nèi)部的管理等必須實(shí)現(xiàn)網(wǎng)絡(luò)化的傳遞。保障傳遞文件的機(jī)密性應(yīng)使用加密技術(shù),保障其完整性則用信息摘要要技術(shù),而保障認(rèn)證性和不可否認(rèn)性則應(yīng)使用數(shù)字簽名技術(shù)。  數(shù)字簽名可做到高效而快速的響應(yīng),任意時(shí)刻,在地球任何地方——只要有internet,就可完成簽署工作。數(shù)字簽名除了可用于電子商務(wù)中的簽署外,還可用于電子辦公,電子轉(zhuǎn)賬及電子郵遞等系統(tǒng)。

2,對(duì)于公鑰/私鑰對(duì)的不同功能,在要求上要考慮不一致的情況有哪些?

答:(1)需要采用兩個(gè)不同的密鑰對(duì)分別作為加密/解密和數(shù)字簽名/驗(yàn)證簽名用。(2)一般公鑰體制的加密用密鑰的長(zhǎng)度要比簽名用的密鑰短,有的國(guó)家對(duì)出口加密用算法的密鑰的長(zhǎng)度有限制,而對(duì)簽名用密鑰無(wú)限制。(3)由于實(shí)際商務(wù)的需要或其他原因,需要用不同的密鑰和證書,例如,一般消息加密用的密鑰比較短,加密時(shí)間可快一些;而對(duì)短消息加密用的密鑰可以長(zhǎng)一些,有利于防止攻擊。(4)密鑰對(duì)的使用期限不同:加密密鑰使用頻度比簽名用密鑰的使用頻度大得多,因此更換周期要短。 (5)并非所有公鑰算法都具有RSA的特點(diǎn),例如DSA算法可以做簽名,但無(wú)須建立密鑰。未來系統(tǒng)要能支持多種算法,因而應(yīng)支持采用不同簽名密鑰對(duì)和不同密鑰的建立。(6)加密算法可能支持密鑰托管和密鑰恢復(fù),以及可能的法律監(jiān)聽。但數(shù)字簽名的密鑰則不允許泄露給他人,其中包括法律機(jī)構(gòu)。

3,試述提高數(shù)據(jù)完整性的預(yù)防性措施有哪些?  答:預(yù)防性措施是用來防止危及到數(shù)據(jù)完整性事情的發(fā)生??刹捎靡韵麓胧?/p>

鏡像技術(shù):是指將數(shù)據(jù)原樣地從一臺(tái)設(shè)備機(jī)器拷貝到另一臺(tái)設(shè)備機(jī)器上。

故障前兆分析:有些部件不是一下子完全壞了,例如磁盤驅(qū)動(dòng)器,在出故障之前往往有些征兆,進(jìn)行故障前兆分析有利于系統(tǒng)的安全。

奇偶校驗(yàn):是服務(wù)器的一個(gè)特征。它提供一種機(jī)器機(jī)制來保證對(duì)內(nèi)存錯(cuò)誤的檢測(cè),因此,不會(huì)引起由于服務(wù)器出錯(cuò)而造成數(shù)據(jù)完整性的喪失。

隔離不安全的人員:對(duì)本系統(tǒng)有不安全的潛在威脅人員,應(yīng)設(shè)法與本系統(tǒng)隔離。

電源保障:使用不間斷電源是組成一個(gè)完整的服務(wù)器系統(tǒng)的良好方案。

4,試述防火墻的分類有及它們分別在安全性或效率上有其特別的優(yōu)點(diǎn)。  答:目前防火墻的控制技術(shù)大概可分為:包過濾型,包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。 (1)包過濾型:包過濾型的控制方式會(huì)檢查所有進(jìn)出防火墻的包標(biāo)頭內(nèi)容,如來源及目的地,使用協(xié)定等信息。現(xiàn)在的路由器,交換式路由器以及某些操作系統(tǒng)已經(jīng)具有用包過濾控制的能力。包過濾型的控制方式最大的好處是效率最高,但卻有幾個(gè)嚴(yán)重缺點(diǎn):管理復(fù)雜,無(wú)法對(duì)連線作完全的控制,規(guī)則設(shè)置的先后順序會(huì)嚴(yán)重影響結(jié)果,不易維護(hù)以及記錄功能少。(2)包檢驗(yàn)型:包檢驗(yàn)型的控制機(jī)制是通過一個(gè)檢驗(yàn)?zāi)=M對(duì)包中的各個(gè)層次作檢驗(yàn)。包檢驗(yàn)型可謂是包過濾型的加強(qiáng)版,目的在增加包過濾型的安全性,增加控制“連線”的能力。但由于包檢驗(yàn)的主要對(duì)象仍是個(gè)別的包,不同的包檢驗(yàn)方式可能會(huì)產(chǎn)生極大的差異。其檢查層面越廣越安全,但其相對(duì)效率也越低。包檢驗(yàn)型防火墻在檢查不完全的情況下,可難會(huì)造成原來以為只有特定的服務(wù)可以通過,通過精心設(shè)計(jì)的數(shù)據(jù)包,可在到達(dá)目的地時(shí)因重組而被轉(zhuǎn)變楊原來并不允許通過的連線請(qǐng)求。這個(gè)為了增加效率的設(shè)計(jì)反而成了安全弱點(diǎn)。(3)應(yīng)用層網(wǎng)關(guān)型:應(yīng)用層網(wǎng)關(guān)型的防火墻采用將連線動(dòng)作攔截,由一個(gè)特殊的代理程序來處理兩端間的邊線方式,并分析其邊線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。這種方式的控制機(jī)制可以從頭到尾有效地控制整個(gè)連線的動(dòng)作,而不會(huì)被客戶或服務(wù)器端欺騙,在管理上也不會(huì)般用途的代理程序來處理大部分連線。這種運(yùn)作方式是最安全的方式,但也是效率最低的一種方式。

5,試述VPN的優(yōu)點(diǎn)有哪些?

答:成本較低:VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上,均比專線式的架構(gòu)節(jié)省,故能使企業(yè)網(wǎng)絡(luò)的總成本降低。  網(wǎng)絡(luò)結(jié)構(gòu)靈活:VPN比專線式的架構(gòu)有彈性,當(dāng)有必要將網(wǎng)絡(luò)擴(kuò)充或是變更網(wǎng)絡(luò)架構(gòu)時(shí),VPN可以輕易地達(dá)到目的;相對(duì)而言,傳統(tǒng)的專線式架構(gòu)便需大費(fèi)腦筋了。  管理方便:VPN較少的網(wǎng)絡(luò)設(shè)備及物理線路,使網(wǎng)絡(luò)的管理較為輕松;不論分公司或是遠(yuǎn)程訪問用戶再多,均只需要通過互聯(lián)網(wǎng)的路徑進(jìn)入企業(yè)網(wǎng)絡(luò)  VPN是一種連接,從表面上看它類似一種專用連接,但實(shí)際上是在共享網(wǎng)絡(luò)上實(shí)現(xiàn)的。它往往使用一種被稱作“隧道”的技術(shù),數(shù)據(jù)包在公共網(wǎng)絡(luò)上專用的“隧道”內(nèi)傳輸,專用“隧道”用于建立點(diǎn)對(duì)點(diǎn)的連接。來自不同數(shù)據(jù)的網(wǎng)絡(luò)業(yè)務(wù)經(jīng)由不同的隧道在相同的體系結(jié)構(gòu)上傳輸,并允許網(wǎng)絡(luò)協(xié)議穿越不兼容的體系結(jié)構(gòu),還可區(qū)分來自不同數(shù)據(jù)源的業(yè)務(wù),因而可將該業(yè)務(wù)發(fā)往指定的目的地,并接收指定等級(jí)的服務(wù)。

6,組建VPN應(yīng)該遵循的設(shè)計(jì)原則。

答:VPN的設(shè)計(jì)應(yīng)遵循以下原則:安全性,網(wǎng)絡(luò)優(yōu)化,VPN管理等。

在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實(shí)現(xiàn)簡(jiǎn)單,方便,靈活,但同時(shí)其安全問題也更為突出,由于VPN直接構(gòu)建在公用網(wǎng)上,實(shí)現(xiàn)簡(jiǎn)單,方便,靈活,但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且在防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。ExtrantVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶,對(duì)安全性提出了更高的要求。安全問題是VPN的核心問題。目前,VPN的安全保證主要是通過防火墻技術(shù),路由器配以隧道技術(shù),加密協(xié)議和安全密鑰來實(shí)現(xiàn)的,可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。

在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低,在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞,產(chǎn)生網(wǎng)絡(luò)瓶頸,使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送;而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QOS通過流量預(yù)測(cè)與流量控制策略,可以按照優(yōu)先級(jí)分配帶寬資源,實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。

在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以,一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險(xiǎn),具有高擴(kuò)展性,經(jīng)濟(jì)性,高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理,設(shè)備管理,配置管理,訪問控制列表管理,服務(wù)質(zhì)量管理等內(nèi)容。

7,試述數(shù)據(jù)加密的必要性。

答:由于網(wǎng)絡(luò)技術(shù),網(wǎng)絡(luò)協(xié)議,主要技術(shù)是公開的,所有的網(wǎng)絡(luò)安全技術(shù)出是基于這些公開的技術(shù),黑客利用這些公開技術(shù)中的漏洞,對(duì)網(wǎng)絡(luò)和數(shù)據(jù)進(jìn)行攻擊;任何操作系統(tǒng)無(wú)論其技術(shù)是否公開,都是有漏洞的,因?yàn)榘踩c運(yùn)行效率是一個(gè)要綜合平衡的矛盾。  網(wǎng)絡(luò)安全是一個(gè)解決不了的問題,黑客技術(shù)已是某些國(guó)家控制和監(jiān)督別國(guó)網(wǎng)絡(luò)的有力武器,黑客已是竊取政治經(jīng)濟(jì)情服務(wù)的最安全,最有效,最快捷的手段。在我國(guó)的網(wǎng)絡(luò)技術(shù)遠(yuǎn)遠(yuǎn)落后國(guó)際先進(jìn)水平的情況下外部和內(nèi)部黑客進(jìn)入我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)竊取有用情報(bào),更如入無(wú)人之境,其中主要原因是網(wǎng)絡(luò)被攻破以后計(jì)算機(jī)文件數(shù)據(jù)和數(shù)據(jù)庫(kù)中的數(shù)據(jù)是可以看懂的明文。

目前技術(shù)可達(dá)到“幾分鐘,一塊活動(dòng)硬盤可盜走300億字的數(shù)據(jù)”,一旦黑客攻破網(wǎng)絡(luò),如果數(shù)據(jù)未加密,計(jì)算機(jī)數(shù)據(jù)是可讀的,則數(shù)據(jù)即盜即用。黑客還可以針對(duì)性地盜竊和篡改黑客關(guān)心的文件和數(shù)據(jù)庫(kù)記錄(破壞數(shù)據(jù)的完整性)。而且黑客一旦掌握了攻破方法以后,會(huì)不斷地繼續(xù)盜走和篡改數(shù)據(jù),而用戶很難察覺。

數(shù)據(jù)加密的作用:(1)解決外部黑客侵入網(wǎng)絡(luò)后盜竊計(jì)算機(jī)數(shù)據(jù)的問題; (2)解決外啊黑客侵入網(wǎng)絡(luò)后篡改數(shù)據(jù)的問題;(3)解決內(nèi)部黑客在內(nèi)部網(wǎng)上盜竊計(jì)算機(jī)數(shù)據(jù)的問題;(4)解決內(nèi)部黑客在內(nèi)部網(wǎng)上篡改數(shù)據(jù)的問題;(5)解決CPU,操作系統(tǒng)等預(yù)先安置了黑客軟件或無(wú)線發(fā)射裝置的問題。

數(shù)據(jù)加密可以解決網(wǎng)絡(luò)內(nèi)部信息“看不懂,改不了,盜走也沒用”的問題,是網(wǎng)絡(luò)安全最后一道防線,也是價(jià)格性能比最好的網(wǎng)絡(luò)安全問題的根本解決手段。

8,試述一下身份證明系統(tǒng)的相關(guān)要求。

答:對(duì)身份證明系統(tǒng)的相關(guān)要求:  (1)驗(yàn)證者正確認(rèn)別合法示證者的概率極大化。(2)不具可傳遞性,驗(yàn)證者B不可能重用示證者A提供給他的信息,偽裝示證者A成功地騙取其他人的驗(yàn)證,得到信任。(3)攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率小到可以忽略,特別是要能抗已知密文攻擊,即攻擊者在截獲到示證者和驗(yàn)證者多次通信下,偽裝示證者欺騙驗(yàn)證者。(4)計(jì)算有效性,為實(shí)現(xiàn)身份證明所需的計(jì)算量要小。(5)通信有效性,為實(shí)現(xiàn)身份證明所需通信次數(shù)和數(shù)據(jù)量要小。(6)秘密參數(shù)安全存儲(chǔ)。(7)交互識(shí)別,有些應(yīng)用中要求雙方互相進(jìn)行身份認(rèn)證。(8)第三方實(shí)時(shí)參與,如在線公鑰檢索服務(wù)。(9)第三方的可信賴性。(10)可證明安全性。

后四條是有些身份誤用別系統(tǒng)提出的要求。  身份識(shí)別與數(shù)字簽字密切相關(guān),數(shù)字簽名是實(shí)現(xiàn)身份識(shí)別的一個(gè)途徑,但在身份識(shí)別消息的語(yǔ)義基本上是固定的,是當(dāng)前時(shí)刻的申請(qǐng)者的身份驗(yàn)證者根據(jù)規(guī)定或接受或拒絕申請(qǐng)。一般簽字不是“終生”的,但應(yīng)是長(zhǎng)期有效的,未來仍可啟用的。

9,論述證書機(jī)構(gòu)的管理功能。

答:證書機(jī)構(gòu)用于創(chuàng)建和發(fā)布證書,它通常為一個(gè)稱為安全域的有限群體發(fā)放證書。創(chuàng)建證書的時(shí)候。CA系統(tǒng)首先獲取用戶的請(qǐng)求信息,其中包括用戶公鑰,CA將根據(jù)用戶的請(qǐng)求信息產(chǎn)生證書,并用自己的私鑰對(duì)證書進(jìn)行簽名。其他用戶,應(yīng)用程序或?qū)嶓w將使用CA的公鑰對(duì)證書進(jìn)行驗(yàn)證。如果一個(gè)CA系統(tǒng)是可信的,則驗(yàn)證證書的用戶可以確信,他所驗(yàn)證的證書中的公鑰屬于證書所代表的那個(gè)實(shí)體。

CA還負(fù)責(zé)維護(hù)和發(fā)布證書吊銷表。當(dāng)一個(gè)證書,特別是其中的公鑰因?yàn)槠渌驘o(wú)效時(shí),CRL提供了一種通知用戶的中心管理方式。CA系統(tǒng)生成CRL以后,要么是放到LDAP服務(wù)器中供用戶直接查詢或下載,要么是放置在WEB服務(wù)器的合適位置,以頁(yè)面超級(jí)連接的方式供用戶直接查詢或下載。

相關(guān)閱讀