34,簡述VPN的具體實現(xiàn)即解決方案有哪幾種? 答:(1)虛擬專用撥號網(wǎng)絡,用戶利用撥號網(wǎng)絡訪問企業(yè)數(shù)據(jù)中心,用戶從企業(yè)數(shù)據(jù)中心獲得一個私有地址,但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡傳輸。 (2)虛擬專用路由網(wǎng)絡,它是基于路由的VPN接入方式。 (3)虛擬租用線路,是基于虛擬專線的一種VPN,它在公網(wǎng)上開出各種隧道,模擬專線來建立VPN. (4)虛擬專用LAN子網(wǎng)段,是在公網(wǎng)上用隧道協(xié)議仿真出來一個局域網(wǎng),透明地提供跨越公網(wǎng)的LAN服務。
35,實體認證與消息認證的主要差別是什么? 答:實體認證與消息認證的差別在于,消息認證本身不提供時間性,而實體認證一般都是實時的。另一方面,實體認證通常證實實體本身,而消息認證除了證實消息的合法性和完整性外,還要知道消息的含義。
36,通行字的選擇原則是什么?
答:易記;難于被別人猜中或發(fā)現(xiàn);抗分析能力強。在實際系統(tǒng)中,需要考慮和規(guī)定選擇方法,使用期限,字符長度,分配和管理以及在計算機系統(tǒng)內(nèi)的保護等。根據(jù)系統(tǒng)對安全水平的要求可有不同的選取。
37,通行字的安全存儲有哪二種方法?
答:(1)用戶的通行字多以加密形式存儲,入侵者要得到通行字,必須知道加密算法和密鑰。(2)許多系統(tǒng)可以存儲通行字的單向雜湊值,入侵者即使行到此雜湊也難于推出通行字。
38,有效證書應滿足的條件有哪些?
答:(1)證書沒有超過有效期。(2)密鑰沒有被修改。如果密鑰被修改后,原證書就應當收回,不再使用。如果雇員離開了其公司,對應的證書就可收回,如果不收回,且密鑰沒被修改,則可繼續(xù)使用該證書;(3)證書不在CA發(fā)行的無效證書清單中。CA負責回收證書,并發(fā)行無效證書清單。用戶一旦發(fā)現(xiàn)密鑰泄露就應及時將證書吊銷。并由CA通知停用并存檔備案。
39,密鑰對生成的兩種途徑是什么?
答:(1)密鑰對持有者自己生成:用戶自己用硬件或軟件生成密鑰對。如果該密鑰對用于數(shù)字簽名時,應支持不可否認性。(2)密鑰對由通用系統(tǒng)生成:由用戶依賴,可信賴的某一中心機構生成,然后安全地送到特定用戶的設備中。利用這類中心的資源,可產(chǎn)生高質(zhì)量密鑰對,易于備份和管理。
40,證書有哪些類型?
答:(1)個人證書:證實客戶身份和密鑰所有權。在一些情況下,服務器會在建立SSL邊接時要求用個人證書來證實客戶身份。用戶可以向一個CA申請,經(jīng)審查后獲得個人證書。(2)服務器證書:證實服務器的身份和公鑰。當客戶請求建立SSL連接時,服務器把服務器證書傳給客戶??蛻羰盏阶C書后,可以檢查發(fā)行該證書的CA是否應該信任。對于不信任的CA,瀏覽器會提示用戶接受或拒絕這個證書。(3)郵件證書:證實電子郵件用戶的身份和公鑰。一些有安全功能的電了郵件應用程序能使用郵件證書來驗證用戶身份和加密解密信息。 (4)CA證書:證實CA身份和CA的簽名密鑰。在Netscape瀏覽器里,服務器管理員可以看到服務受接受的CA證書,并選擇是否信任這些證書。CA證書允許CA發(fā)行其他類型的證書。
41,如何對密鑰進行安全保護?
答:密鑰按算法產(chǎn)生后,首先將私鑰送給用戶,如需備份,應保證安全性,將公鑰送給CA,用以生成相應證書, 為了防止未授權用戶對密鑰的訪問,應將密鑰存入防竄擾硬件或卡中,或加密后存入計算機的文件中。 此處,定期更換密碼對是保證安全的重要措施。
42,CA認證申請者的身份后,生成證書的步驟有哪些?
答:(1)CA檢索所需的證書內(nèi)容信息;(2)CA證實這些信息的正確性;(3)回CA用其簽名密鑰對證書簽名;(4)將證書的一個拷貝送給注冊者,需要時要求注冊者回送證書的收據(jù);(5)CA將證書送入證書數(shù)據(jù)庫,向公用檢索業(yè)務機構頌;(6)通常,CA將證書存檔;(7)CA將證書生成過程中的一些細節(jié)記入審記記錄中。
43,公鑰證書的基本作用?
答:將公鑰與個人的身份,個人信息件或其他實體的有關身份信息聯(lián)系起來,在用公鑰證實數(shù)字簽名時,在確信簽名之前,有時還需要有關簽名人的其他信息,特別是要知道簽名者是否已被授權為對某特定目的的簽名人。
授權信息的分配也需用證書實現(xiàn),可以通過發(fā)放證書宣布某人或實體具有特定權限或權威,使別人可以鑒別和承認。
44,雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機密性?
答:雙鑰密碼體制加密時有一對公鑰和私鑰,公鑰可以公開,私鑰由持有者保存,公鑰加密過的數(shù)據(jù)中有持有者的私鑰能解開,這樣就保證了數(shù)據(jù)的機密性。經(jīng)私鑰加密過的數(shù)據(jù)——數(shù)字簽名可被所具有公鑰的人解開,由于私鑰只有持有者一人保存,就樣就證明信息發(fā)自私鑰持有者,具有不可否認證和完整性。
45,電子商務安全的中心內(nèi)容
1商務數(shù)據(jù)的機密性 2商務數(shù)據(jù)的完整性 3商務對象的認證性 4商務服務的不可否認性5商務服務的不可拒絕性6訪問的控制性
46,電子郵件的安全問題主要有兩個方面:(1) 電子郵件在網(wǎng)上傳送時隨時可能別人竊取到(2) 可以冒用別人的身份發(fā)信
47,數(shù)字簽名的使用方法:
數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)。消息M用散列函數(shù)H得到的消息摘要h=H(M),然后發(fā)送方再用自己的雙鑰密碼體制的私鑰對這個散列值進行加密h=E (h),形成發(fā)送方的數(shù)字簽名。然后,這個數(shù)字簽名將作為消息M的附件和消息一起發(fā)送給消息的接受方。消息的接受方首先從接受到的原始消息M中計算出散列值h=H(M),接著再用發(fā)送方的雙鑰密碼體制的公鑰來對消息的數(shù)字簽名進行解密D (h)得h 如果這兩個散列值h = h那么接收方就能確認該數(shù)字簽名是發(fā)送方的,而且還可以確定此消息沒有被修改過。
48,提高數(shù)據(jù)完整性的預防性措施
(1)鏡像技術:是指將數(shù)據(jù)原樣地從一臺設備機器拷貝到另一臺設備機器上 (2)故障前兆分析 (3)奇偶效驗 (4)隔離不安全的人員 (5)電源保障
49,病毒的分類
1 按寄生方式分為: (1)引導型病毒(2)文件型病毒(3)復合型病毒
2 按破壞性分為:(1)良性病毒
(2)惡性病毒
50,防火墻的設計原則:
① 由內(nèi)到外和由外到內(nèi)的業(yè)務流必須經(jīng)過防火墻 ②只允許本地安全政策認可的業(yè)務流通過防火墻③盡可能的控制外部用戶訪問內(nèi)域網(wǎng),應嚴格限制外部用戶進入內(nèi)域網(wǎng)④具有足夠的透明性,保證正常業(yè)務的流通⑤具有抗穿透攻擊能力,強化記錄,審計和告警。