電子商務(wù)安全與案例B卷答案-成人高等教育、網(wǎng)絡(luò)教育

1、 網(wǎng)絡(luò)教育學(xué)院2008年1月試題答案課程名稱：電子商務(wù)安全與案例A卷 B卷 考試時間 100分鐘 評分教師 職稱 一、填空題（每空1分，共9空，合計9分）。1保密性（Confidentiality）、完整性（真確性）integrity2個人簽名證書、機構(gòu)簽名證書3直接數(shù)字簽名、仲裁數(shù)字簽名4SSL記錄協(xié)議5HTTP6一致性二、名詞解釋（每題5分，共7題，合計35分）。1密碼分析學(xué)是研究密碼變化的規(guī)律并用于分析密碼以獲取信息情報的科學(xué)，（3分）即研究如何攻破一個密碼系統(tǒng)，恢復(fù)被隱藏信息的本來面目。（2分）2密碼系統(tǒng)設(shè)計原則之一，（2分）指密碼系統(tǒng)中的算法即使為密碼分析員所知，也應(yīng)該無助于用來推導(dǎo)

2、明文或密鑰。（3分）3數(shù)字證書 (Digital Certificate)是標(biāo)志一個用戶身份的一系列特征數(shù)據(jù), 其作用類似于現(xiàn)實生活中的身份證。（2分）最簡單的數(shù)字證書包含一個公鑰、用戶名以及發(fā)證機關(guān)的數(shù)字簽名等。通過數(shù)字證書和公鑰密碼技術(shù)可以建立起有效的網(wǎng)絡(luò)實體認(rèn)證系統(tǒng)，為網(wǎng)上電子交易提供用戶身份認(rèn)證服務(wù)。數(shù)字證書是由權(quán)威的證書發(fā)行機構(gòu)發(fā)放和管理的，證書發(fā)行機構(gòu)也稱為認(rèn)證中心(CA)。（3分）4PGP(Pretty Good Privacy)，是一個基于RSA公匙加密體系的郵件加密軟件?？梢杂盟鼘︵]件保密以防止非授權(quán)者閱讀，它還能對郵件加上數(shù)字簽名從而使收信人可以確認(rèn)郵件的發(fā)送者，并能確信郵

3、件沒有被篡改。（2分）它可以提供一種安全的通訊方式，而事先并不需要任何保密的渠道用來傳遞密匙。它采用了一種RSA和傳統(tǒng)加密的雜合算法，用于數(shù)字簽名的郵件文摘算法，加密前壓縮等，還有一個良好的人機工程設(shè)計。它的功能強大，有很快的速度。而且它的源代碼是免費的。（3分）5異常發(fā)現(xiàn)技術(shù)假定所有入侵行為都是與正常行為不同的。如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。（2分）對于異常閥值 (或門限值)與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。比如，通過流量統(tǒng)計分析，將異常時間的異常網(wǎng)絡(luò)流量視為可疑。異常發(fā)現(xiàn)技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難以計算和

4、更新。（3分）6一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實際情況可以隨時調(diào)整。歸納起來就是“黑客攻擊五部曲”（1）隱藏IP（1分）（2）踩點掃描（1分）（3）獲得系統(tǒng)或管理員權(quán)限（1分）（4）種植后門（1分）（5）在網(wǎng)絡(luò)中隱身（1分）7防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進行的信息存取、傳遞操作。（3分）防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。（2分）三、簡答題（每題7分，共8題，合計56分）。1為了監(jiān)視和防止計算機犯罪活動，人

5、們提出了密鑰托管（Key Escrow，KE）的概念，指國家強制規(guī)定進行的私鑰托管。（3分）為防止用戶逃避托管，密鑰托管技術(shù)的實施需要通過政府的強制措施進行。用戶必須先委托密鑰托管機構(gòu)（KEA）進行密鑰托管，取得托管證書，才能向CA申請加密證書。CA必須在收到加密公鑰對應(yīng)的私鑰托管證書后，再簽發(fā)相應(yīng)的公鑰證書。（2分）為了防止KEA濫用權(quán)限及托管密要的泄漏，用戶的私鑰被分成若干部分，由不同的密鑰托管機構(gòu)負(fù)責(zé)保存。只有將所有的私鑰分量合在一起，才能恢復(fù)用戶私鑰的有效性。（2分）2基于PKI技術(shù)的數(shù)字簽名：1、采用技術(shù)：公開密碼加密（非對稱式加密系統(tǒng)）和數(shù)字摘要（數(shù)字指紋）2、要求：數(shù)字簽名包括消

6、息簽名和簽名認(rèn)證兩個部分，接受者能核實發(fā)送者對報文的簽名，發(fā)送者事后不能抵賴簽名，接受者不能偽造簽名。（2分）數(shù)字簽名原理流程： 被發(fā)送文件用SHA編碼加密產(chǎn)生128Bit的數(shù)字摘要。（1分）發(fā)送方用自己的私用密鑰對摘要再加密,這就形成了數(shù)字簽名。（1分）將原文和加密的摘要同時傳給對方。（1分）對方用發(fā)送方的公共密鑰對摘要解密,同時對收到的文件用SHA編碼加密產(chǎn)生 又一摘要。（1分）將解密后的摘要和收到的文件與在接收方重新加密產(chǎn)生的摘要相互對比。如兩者一致,則說明傳送過程中信息沒有被破壞或篡改過。 （1分）3DNS即Domain Name System，領(lǐng)域命名系統(tǒng)簡稱域名系統(tǒng)或DNS 。它是

7、一種組織成域?qū)哟谓Y(jié)構(gòu)的計算機和網(wǎng)絡(luò)服務(wù)命名系統(tǒng)。DNS命名用于TCP/IP網(wǎng)絡(luò)，用來通過用戶的名稱定位計算機和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入DNS名稱時，DNS服務(wù)可以將此名稱解析為與此名稱相關(guān)的其他信息，如IP地址。（3分） 由于IP地址是一個32位的二進制數(shù)字，我們常常見到的是稱為點分十進制的IP地址，它形如05，而域名就是形如的名稱，是由幾個部分組合而成的，主機名是由圓點分隔開的一連串的單詞來代表的。域名使用小寫字母和大寫字母是等價的，但一般寫為小寫形式。（3分）域名便于記憶，但計算機系統(tǒng)只認(rèn)識IP地址，必須要有一種方法把域名轉(zhuǎn)換為IP地址，域名系統(tǒng)就是完成這種轉(zhuǎn)換的。（1分）4以lPSe

8、c-VPN為例，VPN的工作流程如下：訪問控制：訪問控制模塊決定是否允許發(fā)送端的明文進入公網(wǎng)，確定是直接明文進人，還是應(yīng)該加密而進入安全隧道。（2分）加密處理：需加密傳遞的報文，進行加密和摘要、簽名等認(rèn)證處理,然后按進入公用lP網(wǎng)的要求，重新對報文進行IP封裝。（2分）傳輸解密：經(jīng)封裝后的報文通過公網(wǎng)加密“隧道” 傳遞至目的端。他人無法篡改或偽造仿冒內(nèi)容。接收方通過相反過程對報文解密。（2分）VPN工作原理示意圖 （1分）5黑客攻擊五部曲中第二步踩點掃描中的掃描，一般分成兩種策略: 一種是主動式策略： 主動式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而

9、發(fā)現(xiàn)其中的漏洞。（2分）另一種是被動式策略：被動式策略就是基于主機之上，對系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進行檢查。 （2分）主動式掃描可以分成兩大類：1、慢速掃描：對非連續(xù)端口進行掃描，并且源地址不一致、時間間隔長沒有規(guī)律的掃描。2、亂序掃描：對連續(xù)的端口進行掃描，源地址一致，時間間隔短的掃描。（2分）被動式策略掃描 被動式策略是基于主機之上，對系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進行檢查。被動式掃描不會對系統(tǒng)造成破壞，而主動式掃描對系統(tǒng)進行模擬攻擊，可能會對系統(tǒng)造成破壞。 （1分）6按簡單結(jié)構(gòu)和復(fù)雜結(jié)構(gòu)來區(qū)分，防火墻的分類包括：（2分）簡單結(jié)

10、構(gòu)：屏蔽路由器、雙目主機；復(fù)合型結(jié)構(gòu)：屏蔽主機、屏蔽子網(wǎng)還可以分為包過濾和代理型防火墻： （1分）包過濾防火墻：防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備，常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)的交界點上。包過濾器可以安裝在一個路由器上，也可以安裝在一個服務(wù)器上。圖中的防火墻是用一臺過濾路由器實現(xiàn)的。（1分）屬于代理型防火墻的有：雙宿主主機(雙目主機)防火墻、被屏蔽主機（堡壘主機）、被屏蔽子網(wǎng)。 （3分）7保護敏感信息和數(shù)字資產(chǎn)（2分）（1）數(shù)據(jù)庫和系統(tǒng)緊密相關(guān)并更難正確地配置和保護（2分）（2）數(shù)據(jù)庫系統(tǒng)保護與網(wǎng)絡(luò)和操作系統(tǒng)的保護相比有特殊性（1分）（3）少數(shù)數(shù)據(jù)庫安全漏洞不僅威脅數(shù)據(jù)庫系統(tǒng)安全,也威脅其他操作系統(tǒng)和其他可信任系統(tǒng)的安全（1分）（4）數(shù)據(jù)庫是大多數(shù)商業(yè)系