電子商務(wù)安全與案例B卷答案-成人高等教育、網(wǎng)絡(luò)教育

1、 網(wǎng)絡(luò)教育學(xué)院2008年1月試題答案課程名稱(chēng)：電子商務(wù)安全與案例A卷 B卷 考試時(shí)間 100分鐘 評(píng)分教師 職稱(chēng) 一、填空題（每空1分，共9空，合計(jì)9分）。1保密性（Confidentiality）、完整性（真確性）integrity2個(gè)人簽名證書(shū)、機(jī)構(gòu)簽名證書(shū)3直接數(shù)字簽名、仲裁數(shù)字簽名4SSL記錄協(xié)議5HTTP6一致性二、名詞解釋?zhuān)款}5分，共7題，合計(jì)35分）。1密碼分析學(xué)是研究密碼變化的規(guī)律并用于分析密碼以獲取信息情報(bào)的科學(xué)，（3分）即研究如何攻破一個(gè)密碼系統(tǒng)，恢復(fù)被隱藏信息的本來(lái)面目。（2分）2密碼系統(tǒng)設(shè)計(jì)原則之一，（2分）指密碼系統(tǒng)中的算法即使為密碼分析員所知，也應(yīng)該無(wú)助于用來(lái)推導(dǎo)

2、明文或密鑰。（3分）3數(shù)字證書(shū) (Digital Certificate)是標(biāo)志一個(gè)用戶(hù)身份的一系列特征數(shù)據(jù), 其作用類(lèi)似于現(xiàn)實(shí)生活中的身份證。（2分）最簡(jiǎn)單的數(shù)字證書(shū)包含一個(gè)公鑰、用戶(hù)名以及發(fā)證機(jī)關(guān)的數(shù)字簽名等。通過(guò)數(shù)字證書(shū)和公鑰密碼技術(shù)可以建立起有效的網(wǎng)絡(luò)實(shí)體認(rèn)證系統(tǒng)，為網(wǎng)上電子交易提供用戶(hù)身份認(rèn)證服務(wù)。數(shù)字證書(shū)是由權(quán)威的證書(shū)發(fā)行機(jī)構(gòu)發(fā)放和管理的，證書(shū)發(fā)行機(jī)構(gòu)也稱(chēng)為認(rèn)證中心(CA)。（3分）4PGP(Pretty Good Privacy)，是一個(gè)基于RSA公匙加密體系的郵件加密軟件?？梢杂盟鼘?duì)郵件保密以防止非授權(quán)者閱讀，它還能對(duì)郵件加上數(shù)字簽名從而使收信人可以確認(rèn)郵件的發(fā)送者，并能確信郵

3、件沒(méi)有被篡改。（2分）它可以提供一種安全的通訊方式，而事先并不需要任何保密的渠道用來(lái)傳遞密匙。它采用了一種RSA和傳統(tǒng)加密的雜合算法，用于數(shù)字簽名的郵件文摘算法，加密前壓縮等，還有一個(gè)良好的人機(jī)工程設(shè)計(jì)。它的功能強(qiáng)大，有很快的速度。而且它的源代碼是免費(fèi)的。（3分）5異常發(fā)現(xiàn)技術(shù)假定所有入侵行為都是與正常行為不同的。如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。（2分）對(duì)于異常閥值 (或門(mén)限值)與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。比如，通過(guò)流量統(tǒng)計(jì)分析，將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常發(fā)現(xiàn)技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難以計(jì)算和

4、更新。（3分）6一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實(shí)際情況可以隨時(shí)調(diào)整。歸納起來(lái)就是“黑客攻擊五部曲”（1）隱藏IP（1分）（2）踩點(diǎn)掃描（1分）（3）獲得系統(tǒng)或管理員權(quán)限（1分）（4）種植后門(mén)（1分）（5）在網(wǎng)絡(luò)中隱身（1分）7防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開(kāi)的方法。它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。（3分）防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。（2分）三、簡(jiǎn)答題（每題7分，共8題，合計(jì)56分）。1為了監(jiān)視和防止計(jì)算機(jī)犯罪活動(dòng)，人

5、們提出了密鑰托管（Key Escrow，KE）的概念，指國(guó)家強(qiáng)制規(guī)定進(jìn)行的私鑰托管。（3分）為防止用戶(hù)逃避托管，密鑰托管技術(shù)的實(shí)施需要通過(guò)政府的強(qiáng)制措施進(jìn)行。用戶(hù)必須先委托密鑰托管機(jī)構(gòu)（KEA）進(jìn)行密鑰托管，取得托管證書(shū)，才能向CA申請(qǐng)加密證書(shū)。CA必須在收到加密公鑰對(duì)應(yīng)的私鑰托管證書(shū)后，再簽發(fā)相應(yīng)的公鑰證書(shū)。（2分）為了防止KEA濫用權(quán)限及托管密要的泄漏，用戶(hù)的私鑰被分成若干部分，由不同的密鑰托管機(jī)構(gòu)負(fù)責(zé)保存。只有將所有的私鑰分量合在一起，才能恢復(fù)用戶(hù)私鑰的有效性。（2分）2基于PKI技術(shù)的數(shù)字簽名：1、采用技術(shù)：公開(kāi)密碼加密（非對(duì)稱(chēng)式加密系統(tǒng)）和數(shù)字摘要（數(shù)字指紋）2、要求：數(shù)字簽名包括消

6、息簽名和簽名認(rèn)證兩個(gè)部分，接受者能核實(shí)發(fā)送者對(duì)報(bào)文的簽名，發(fā)送者事后不能抵賴(lài)簽名，接受者不能偽造簽名。（2分）數(shù)字簽名原理流程： 被發(fā)送文件用SHA編碼加密產(chǎn)生128Bit的數(shù)字摘要。（1分）發(fā)送方用自己的私用密鑰對(duì)摘要再加密,這就形成了數(shù)字簽名。（1分）將原文和加密的摘要同時(shí)傳給對(duì)方。（1分）對(duì)方用發(fā)送方的公共密鑰對(duì)摘要解密,同時(shí)對(duì)收到的文件用SHA編碼加密產(chǎn)生 又一摘要。（1分）將解密后的摘要和收到的文件與在接收方重新加密產(chǎn)生的摘要相互對(duì)比。如兩者一致,則說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或篡改過(guò)。 （1分）3DNS即Domain Name System，領(lǐng)域命名系統(tǒng)簡(jiǎn)稱(chēng)域名系統(tǒng)或DNS 。它是

7、一種組織成域?qū)哟谓Y(jié)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)命名系統(tǒng)。DNS命名用于TCP/IP網(wǎng)絡(luò)，用來(lái)通過(guò)用戶(hù)的名稱(chēng)定位計(jì)算機(jī)和服務(wù)。當(dāng)用戶(hù)在應(yīng)用程序中輸入DNS名稱(chēng)時(shí)，DNS服務(wù)可以將此名稱(chēng)解析為與此名稱(chēng)相關(guān)的其他信息，如IP地址。（3分） 由于IP地址是一個(gè)32位的二進(jìn)制數(shù)字，我們常常見(jiàn)到的是稱(chēng)為點(diǎn)分十進(jìn)制的IP地址，它形如05，而域名就是形如的名稱(chēng)，是由幾個(gè)部分組合而成的，主機(jī)名是由圓點(diǎn)分隔開(kāi)的一連串的單詞來(lái)代表的。域名使用小寫(xiě)字母和大寫(xiě)字母是等價(jià)的，但一般寫(xiě)為小寫(xiě)形式。（3分）域名便于記憶，但計(jì)算機(jī)系統(tǒng)只認(rèn)識(shí)IP地址，必須要有一種方法把域名轉(zhuǎn)換為IP地址，域名系統(tǒng)就是完成這種轉(zhuǎn)換的。（1分）4以lPSe

8、c-VPN為例，VPN的工作流程如下：訪問(wèn)控制：訪問(wèn)控制模塊決定是否允許發(fā)送端的明文進(jìn)入公網(wǎng)，確定是直接明文進(jìn)人，還是應(yīng)該加密而進(jìn)入安全隧道。（2分）加密處理：需加密傳遞的報(bào)文，進(jìn)行加密和摘要、簽名等認(rèn)證處理,然后按進(jìn)入公用lP網(wǎng)的要求，重新對(duì)報(bào)文進(jìn)行IP封裝。（2分）傳輸解密：經(jīng)封裝后的報(bào)文通過(guò)公網(wǎng)加密“隧道” 傳遞至目的端。他人無(wú)法篡改或偽造仿冒內(nèi)容。接收方通過(guò)相反過(guò)程對(duì)報(bào)文解密。（2分）VPN工作原理示意圖 （1分）5黑客攻擊五部曲中第二步踩點(diǎn)掃描中的掃描，一般分成兩種策略: 一種是主動(dòng)式策略： 主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而

9、發(fā)現(xiàn)其中的漏洞。（2分）另一種是被動(dòng)式策略：被動(dòng)式策略就是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查。 （2分）主動(dòng)式掃描可以分成兩大類(lèi)：1、慢速掃描：對(duì)非連續(xù)端口進(jìn)行掃描，并且源地址不一致、時(shí)間間隔長(zhǎng)沒(méi)有規(guī)律的掃描。2、亂序掃描：對(duì)連續(xù)的端口進(jìn)行掃描，源地址一致，時(shí)間間隔短的掃描。（2分）被動(dòng)式策略?huà)呙?被動(dòng)式策略是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查。被動(dòng)式掃描不會(huì)對(duì)系統(tǒng)造成破壞，而主動(dòng)式掃描對(duì)系統(tǒng)進(jìn)行模擬攻擊，可能會(huì)對(duì)系統(tǒng)造成破壞。 （1分）6按簡(jiǎn)單結(jié)構(gòu)和復(fù)雜結(jié)構(gòu)來(lái)區(qū)分，防火墻的分類(lèi)包括：（2分）簡(jiǎn)單結(jié)

10、構(gòu)：屏蔽路由器、雙目主機(jī)；復(fù)合型結(jié)構(gòu)：屏蔽主機(jī)、屏蔽子網(wǎng)還可以分為包過(guò)濾和代理型防火墻： （1分）包過(guò)濾防火墻：防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問(wèn)控制設(shè)備，常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)的交界點(diǎn)上。包過(guò)濾器可以安裝在一個(gè)路由器上，也可以安裝在一個(gè)服務(wù)器上。圖中的防火墻是用一臺(tái)過(guò)濾路由器實(shí)現(xiàn)的。（1分）屬于代理型防火墻的有：雙宿主主機(jī)(雙目主機(jī))防火墻、被屏蔽主機(jī)（堡壘主機(jī)）、被屏蔽子網(wǎng)。 （3分）7保護(hù)敏感信息和數(shù)字資產(chǎn)（2分）（1）數(shù)據(jù)庫(kù)和系統(tǒng)緊密相關(guān)并更難正確地配置和保護(hù)（2分）（2）數(shù)據(jù)庫(kù)系統(tǒng)保護(hù)與網(wǎng)絡(luò)和操作系統(tǒng)的保護(hù)相比有特殊性（1分）（3）少數(shù)數(shù)據(jù)庫(kù)安全漏洞不僅威脅數(shù)據(jù)庫(kù)系統(tǒng)安全,也威脅其他操作系統(tǒng)和其他可信任系統(tǒng)的安全（1分）（4）數(shù)據(jù)庫(kù)是大多數(shù)商業(yè)系