《名词解释(73).docx》由会员分享,可在线阅读,更多相关《名词解释(73).docx(34页珍藏版)》请在三一办公上搜索。
1、名词解释名词解释1,电子商务是建立在电子技术基础上的商业运作,是利用电子技术加强,加快,扩展,增强,改变了其有关过程的商务。2,EDI电子数据交换是第一代电子商务技术,实现BTOB方式交易。3,BTOB企业机构间的电子商务活动。4,BTOC企业机构和消费者之间的电子商务活动。5,intranet是指基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与intranet建立连接。intranet上提供的服务主要是面向的是企业内部。6,Extranet是指基于TCP/IP协议的企业处域网,它是一种合作性网络。7,商务数据的机密性商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中
2、不被他人窃取,不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。8,邮件炸弹是攻击者向同一个邮件信箱发送大量的垃圾邮件,以堵塞该邮箱。10,TCP劫持入侵是对服务器的最大威胁之一,其基本思想是控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为黑客就是实际的客户端。被动攻击是攻击者不介入Internet中的信息流动,只是窃听其中的信息。被动攻击后,被攻击的双方往往无法发现攻击的存在。11,HTTP协议的“有无记忆状态”即服务器在发送给客户机的应答后便遗忘了些次交互。TELNET等协议是“有记忆状态”的,它们需记住许多关于协议双方的信息,请求与应
3、答。1,明文原始的,未被伪装的消息称做明文,也称信源。通常用M表示。2,密文通过一个密钥和加密算法将明文变换成一种伪信息,称为密文。通常用C表示。3,加密就是用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,即把明文变成密文的过程。通常用E表示。4,解密由密文恢复成明文的过程,称为解密。通常用D表示。5,加密算法对明文进行加密所采用的一组规则,即加密程序的逻辑称做加密算法。6,解密算法消息传送给接收者后,要对密文进行解密时所采用的一组规则称做解密算法。7,密钥加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称作加密密钥和解密密钥。通常用K表示。主密钥多层次密钥系
4、统中,最高层的密钥也叫作主密钥。无条件安全若它对于拥有无限计算资源的破译者来说是安全的,则称这样的密码体制是无条件安全的。计算上安全如若一个密码体制对于拥有有限资源的破译者来说是安全的,则称这样的密码体制是计算上安全的,计算上安全的密码表明破译的难度很大。多字母加密是使用密钥进行加密。密钥是一组信息。同一个明文进过不同的密钥加密后,其密文也会不同。8,单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。使用单钥密码体制时,通信双方AB必须相互交换密钥,当A发信息给B时,A用自己的加密密钥进行加密,而B在接收到数据后,用A的密钥进行解密。单钥密码体制又称为秘密密钥体制或对称密钥体制。9
5、,双钥密码体制又称作公共密钥体制或非对称加密体制,这种加密法在加密和解密过程中要使用一对密钥,一个用与加密,另一上用于解密。即通过一个密钥加密的信息,只有使用另一个密钥才能够解密。这样每个用户都拥有两个密钥公共密钥和个人密钥,公共密钥用于加密钥,个人密钥用于解密。用户将公共密钥交给发送方或公开,信息发送者使用接收人的公共密钥加密的信息只有接收人才能解密。1,数据的完整性数据的完整性是指数据处于“一种未受损的状态”和“保持完整或未被分割的品质或状态”。散列函数是将一个长度不确定的输入串转换成一个确定的输出串称为散列值2,数字签名是利用数字技术实现在网络传送文件时,附加个人标记,完成系统上手书签名
6、盖章的作用,以表示确认,负责,经手等。3,双钥密码加密它是一对匹配使用的密钥。一个是公钥,是公开的,其他人可以得到;另一个是私钥,为个人所有。这对密钥经常一个用来加密,一个用来解密。4,数字信封发送方用一个随机产生的DES密钥加密消息,然后用接收方的公钥加密DES密钥,称为消息的“数字信封”,将数字信封与DES加密后的消息一起发给接收方。接收者收到消息后,先用其私钥找开数字信封,得到发送方的DES密钥,再用此密钥去解密消息。只有用接收方的RSA私钥才能够找开此数字信封,确保了接收者的身份。5,混合加密系统综合利用消息加密,数字信封,散列函数和数字签名实现安全性,完整性,可鉴别和不可否认。成为目
7、前信息安全传送的标准模式,一般把它叫作“混合加密系统”,被广泛采用。6,数字时间戳如何对文件加盖不可篡改的数字时间戳是一项重要的安全技术。数字时间戳应当保证:数据文件加盖的时间戳与存储数据的物理媒体无关。对已加盖时间戳的文件不可能做丝毫改动。要想对某个文件加盖与当前日期和时间不同时间戳是不可能的。7,无可争辩签名是在没有签名者自己的合作下不可能验证签名的签名。无可争辩签名是为了防止所签文件被复制,有利于产权拥有者控制产品的散发。8,消息认证是使接收方能验证消息发送者及所发信息内容是否被篡改过。9,确定性数字签名其明文与密文一一对应,它对一特定消息的签名不变化。10,随机式数字签名根据签名算法中
8、的随机参值,对同一消息的签名也有对应的变化。11,盲签名一般数字签名中,总是要先知道文件内容而后才签署,这正是通常所需要的。但有时需要某人对一个文件签名,但又不让他知道文件内容,称为盲签名。12,完全盲签名设1是一位仲裁人,2要1签署一个文件,但不想让他知道所签的文件内容是什么,而1并不关心所签的内容,他只是确保在需要时可以对此进行仲裁,这时便可通过完全盲签名协议实现。完全盲签名就是当前对所签署的文件内容不关心,不知道,只是以后需要时,可以作证进行仲裁。13,双联签名在一次电子商务活动过程中可能同时有两个联系的消息M1和M2,要对它们同时进行数字签名。1,备份是恢复出错系统的办法之一,可以用备
9、份系统将最近的一次系统备份恢复到机器上去。2,归档是指将文件从计算机的存储介质中转移到其他永久性的介质上的,以便长期保存的过程。3,计算机病毒是指编制者在计算机程序中插入的破坏计算机功能的程序,或者毁灭数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。4,镜像技术是数据备份技术的一种,主要有网络数据镜像,远程镜像磁盘等。5,网络物理安全指物理设备可靠,稳定运行环境,容错,备份,归档和数据完整性预防。6,奇偶校验也是服务器的一个特性。它提供一种机器机制来保证对内存错误的检测,因此,不会引起由于服务器出错而造成数据完整性的丧失。7,引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒
10、。8,文件型病毒是指能够寄存在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。9,良性病毒是指那些只是为了表现自身,并不彻底破坏系统和数据,但会大量占用CPU时间,增加系统开销,降低系统工作效率的一类计算机病毒。10,恶性病毒是指那些一旦发作后,就会破坏系统或数据,造成计算机系统瘫痪的一类计算机病毒。1,防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络相互隔离、限制网络互访,用来保护内部网络。2,非受信网络一般指的是外部网络。3,扼制点提供内、外两个网络间的访问控制,使得只有被安全策略明确授权的信息流才被允许通过,对两个方向的信息流都能控制。6,VP
11、N是指通过一个公共网络建立一个临时的、安全的连接,是一条穿越混乱的公用网络的安全、稳定的隧道,它是对企业内部网的扩展。虚拟专用拨号网络VPDN用户利用拨号网络访问企业数据中心,用户从企业数据中心获得一个私有地址,但用户数据可跨公共数据网络传输。虚拟租用线路VLL是基于虚拟专线的一种VPN,它在公网上开出各种隧道,模拟专线来建立VPN。虚拟专用LAN子网段VPLS,是在公网上用隧道协议仿真出来一个局域网,透明地提供跨越公网的LAN服务。DMZ为了配置管理方便,内网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区DMZ区。IPsec是一系列保护IP规则的集合,制定了通过公有
12、网络传输私有加密信息的途径和方式。它提供的安全服务包括私有性、真实性、完整性和重传保护。Intranet VPN即企业的总部与分支机构间通过公网构筑的虚拟网。Access VPN又称拨号VPN,是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。Extranet VPN及企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。接入控制接入或访问控制是保证网络安全的重要手段,它通过一组机制控制不同级别的主体对目标资源的不同授权访问,在对主体认证之后实施网络资源安全管理使用。 自主式接入控制简记为DAC。它由资源拥有者分配接入权,在辨别各用户的基础上实现接入控
13、制。每个用户的接入权由数据的拥有者来建立,常以接入控制表或权限表实现。强制式接入控制简记为MAC。它由系统管理员来分配接入权限和实施控制,易于与网络的安全策略协调,常用敏感标记实现多级安全控制。加密桥技术一种在加/解密卡的基础上开发加密桥的技术,可实现在不降低加密安全强度旁路条件下,为数据库加密字段的存储、检索、索引、运算、删除、修改等功能的实现提供接口,并且它的实现是与密码算法、密码设备无关的接入权限表示主体对客体访问时可拥有的权利。接入权要按每一对主体客体分别限定,权利包括读,写,执行等,读写含义明确,而执行权指目标为一个程序时它对文件的查找和执行。1,拒绝率或虚报率是指身份证明系统的质量
14、指标为合法用户遭拒绝的概率。2,漏报率是指非法用户伪造身份成功的概率。3,通行字通行字是一种根据已知事物验证身份的方法,也是一种研究和使用最广的身份验证法。Kerberos是一种典型的用于客户机和服务器认证的认证体系协议,它是一种基于对称密码体制的安全认证服务系统。4,域内认证是指CLIENT向本KERBEROS的认证域以内的SERVER申请服务的过程。5,域间认证是指CLIENT向本KERBEROS的认证域以外的SERVER申请服务的过程。验证者身份证明系统中检验示证者提出的证件的正确性和合法性并决定是否满足其要求的一方。1,数字认证是指用数字办法确认、鉴定、认证网络上参与信息交流者或服务器
15、的身份。数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。2,公钥证书它将公开密钥与特定的人,器件或其他实体联系起来。公钥证书是由证书机构签署的,其中包含有持证者的确切身份。3,公钥数字证书网络上的证明文件,证明双钥体制中的公钥所有者就是证书上所记录的使用者。4,单公钥证书系统一个系统中所有的用户公用同一个CA。5,多公钥证书系统用于不同证书的用户的互相认证。6,客户证书证实客户身份和密钥所有权。7,服务器证书证实服务器的身份和公钥。8,安全邮件证书证实电子邮件用户的身份和公钥。9,CA证书证实CA身份和CA的签名密钥。10,证书机构CA用于创建和发布证书,它通常为一个称
16、为安全域的有限群体发放证书。11,安全服务器面向普通用户,用于提供证书申请、浏览、证书吊销表以及证书下载等安全服务。12,CA服务器是整个证书机构的核心,负责证书的签发。是整个CA体系结构中最为重要的部分,存有CA的私钥以及发行证书的脚本文件。注册机构RA服务器登记中心服务器面向中心操作员,在CA体系结构中起承上启下的作用,一方面向CA转发安全服务器传输过来的证书申请请求,另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤销列表。13,LDAP服务器提供目录浏览服务,负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上。14,数据库服务器是认证机构的核心部分,用于认
17、证机构数据,日志和统计信息的存储和管理。PKI即公钥基础设施,是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范,它能够为所有网络应用提供加密和数字签名等密码服务及所需的密钥和证书管理体系。证书政策是一组规则,指出一个证书对一组特定用户或应用的可适用性,表明它对于一个特定的应用和目的是否可用的,它构成了交叉验证的基础。政策审批机构PAA制定整个体系结构的安全策略,并制定所有下级机构都要遵循的规章制度,主要是证书政策和证书使用规定。证书使用规定综合描述了CA对证书政策的各项要求的实现方法。认证服务身份鉴别和识别,就是确认实体即为自己所声明的实体,鉴别身份的真伪。
18、不可否认性服务是指从技术上保证实体对其行为的认可。公证服务是指数据认证,即公证人要证明的是数据的有效性和正确性,这种公证取决于数据验证的方式。源的不可否认性用于防止或解决出现有关是否一个特定实体发了一个特定的数据、源在某个特定时刻出现、或者两者都有的分歧。递送的不可否认性用于防止或解决出现有关是否一个特定实体收到了一个特定的数据项、递送在特定时刻出现、或者两者都有的分歧,目的是保护发信人。提交的不可否认性用于防止或解决出现有关是否一个特定参与者传送或提交了一个数据项、提交出现的时刻、或者两者都有的分歧,目的是保护发信人。单位注册机构帮助远离CA的端实体在CA处注册并获得证书。密钥管理处理密钥自
19、产生到最终销毁的整个过程中的有关问题,包括系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等内容。证书更新当证书持有者的证书过期、证书被窃取、受到攻击时通过更新证书的方法,使其新的证书继续参与网上认证。证书的更新包括证书的更换和证书的延期两种情况。SSL协议P71是基于TCP/IP的安全套接层协议,由Netscape开发,是服务器与客户机之间安全通信的加密机制,用一个密钥加密在SSL连接上传输的数据。TLS协议传输层安全协议,是在传输层对IETF安全协议的标准化,制定的目的是为了在因特网上有一种统一的SSL标准版本。目前的TLS标准协议与SSL的Ver
20、sion 3很接近,由TLS记录协议和TLS握手协议组成。SET协议安全数据交换协议,是一种以信用卡为基础的、在Internet上交易的付款协议,是授权业务信息传输的安全标准,它采用RSA密码算法,利用公钥体系对通信双方进行认证,用DES等标准加密算法对信息进行加密传输,并用散列函数算法来鉴别信息的完整性。电子钱包是安装在消费者客户端计算机上,并符合SET规格的软件,电子钱包处理客户端的所有SET信息。支付网关是Internet电子商务网站上的一个站点,负责接收来自商店服务器送来的Set付款数据,再转换成银行网络的格式,传送给收到银行处理。它是一个SET付款信息与现有银行网络的转接处,是必不可
21、少的机构。SSL记录协议定义了信息交换中所有数据项的格式,包括MAC、信息内容、附加数据。MAC是一个定长数据,用于信息的完整性;信息内容是网络的上一层-应用层传来的数据,如HTTP信息;附加数据是加密后所产生的附加数据。SSL握手协议用于客户机/服务器之间的相互认证,协商加密和MAC算法,传送所需的公钥证书,建立SSL记录协议处理完整性校验和加密所需的会话密钥。持卡人持信用卡购买商品的人,包括个人消费者和团体消费者,按照网上商店的表单填写,通过由发卡银行发行的信用卡进行付费。网上商店在网上的符合SET规格的电子商店,提供商品或服务,它必须是具备相应电子货币使用的条件,从事商业交易的公司组织。
22、收单银行通过支付网关处理持卡人和商店之间的交易付款问题事务。接受来自商店端送来的交易付款数据,向发卡银行验证无误后,取得信用卡付款授权以供商店清算。发卡银行电子货币发行公司或兼有电子货币发行的银行。在交易过程前,发卡银行负责查验持卡人的数据,如果查验有效,整个交易才能成立。在交易过程中负责处理电子货币的审核和支付工作。认证中心CA可信赖、公正的认证组织。接受持卡人、商店、银行以及支付网关的数字认证申请,并管理数字证书的相关事宜,如制定核发准则、发行和注销数字证书等。负责对交易双方的身份确认,对厂商的信誉度和消费者的支付手段和支付能力进行认证。HTTPS协议是使用SSL的HTTP,目的是在SSL
23、连接上安全地传送单个消息。商店服务器是商店提供SET服务的软件。负责处理商店端的交易信息,包括与客户端的电子钱包软件沟通,取得客户的信用卡相关数据,另外也必须与支付网关联系取得银行端来的付款信息。CFCA是由中国人民银行牵头,联合十四家全国性商业银行共同建立的国家级权威金融认证机构,是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。CTCA中国电信CA安全认证系统,于XX年x月x日正式向社会发放CA证书,并向社会免费公布CTCA安全认证系统的接口标准。目前可以在全国范围内向用户提供CA证书服务。SHECA上海市电子商务安全证书管理中心,是信任服务和安全认证服务的专业提
24、供商,通过提供在线的信任服务,为电子商务和网上作业保驾护航。是国内较早建立的CA认证中心,创建于XX年,经过国家批准并被列为信息产业部全国示范工程。目前已经成为中国互联网网络安全和信任服务的骨干。CFCA的体系结构采用国际领先的PKI技术,总体为三层CA结构,第一层为跟CA,第二层为政策CA,可向不同行业、领域扩展信用范围,第三层为运营CA,根据证书运作规范CPS发放证书。运营CA由CA系统和证书注册审批机构RA两大部分组成。网上银行是指商业银行将其传统的柜台业务拓展到Internet上,用户访问其Web Server进行在线的实时查询、转账、汇款、开户等业务。网上证券可分为网上炒股和网上银证
25、转账,网上炒股是股民和证券公司之间发生的交易。网上银证转账是指股民通过Internet将资金在银行股民账户和证券公司账户之间划入或划出,是涉及股民、证券公司、银行的三方交易。简述橘黄皮书制定的计算机安全等级内容制定了4个标准,由低到高为D,C,B,AD级暂时不分子级,B级和C级是常见的级别。每个级别后面都跟一个数字,表明它的用户敏感程度,其中2是常见的级别C级分C1和C2两个子级,C2比C1提供更多的保护,C2要求又一个登录过程,用户控制指定资源,并检查数据追踪B级分B1、B2、B3三个子级,由低到高,B2要求有访问控制,不允许用户为自己的文件设定安全级别A级为最高级,暂时不分子级,是用户定制
26、的每级包括它下级的所有特性,这样从从低到高是D,C1,C2,C3,B1,B2,B3,A简述web站点可能遇到的安全威胁P16安全信息被破译非法访问交易信息被截获软件漏洞被利用当CGI脚本编写的程序或其他涉及远程用户从浏览器输入表格并进行像检索之类在主机上直接执行命令时,会给web主机系统造成危险论述产生电子商务安全威胁的原因P13在因特网上传输的信息,从起点到目标结点之间的路径是随机选择的,此信息在到达目标之前会通过许多中间结点,在任一结点,信息都有可能被窃取、篡改或删除。Internet在安全方面的缺陷,包括Internet各环节的安全漏洞外界攻击,对Internet的攻击有截断信息、伪造、
27、篡改、介入局域网服务和相互信任的主机安全漏洞设备或软件的复杂性带来的安全隐患TCP/IP协议及其不安全性,IP协议的安全隐患,存在针对IP的拒绝服务攻击、IP的顺序号预测攻击、TCP劫持入侵、嗅探入侵HTTP和web的不安全性E-mail、Telnet及网页的不安全,存在入侵Telnet会话、网页作假、电子邮件炸弹我国的计算机主机、网络交换机、路由器和网络操作系统来自国外受美国出口限制,进入我国的电子商务和网络安全产品是弱加密算法,先进国家早有破解的方法通行字的控制措施系统消息限制试探次数通行字有效期双通行字系统最小长度封锁用户系统根通行字的保护系统生成通行字通行字的检验对不同密钥对的要求P1
28、13答:需要采用两个不同的密钥对分别作为加密/解密和数字签名/验证签名用。一般公钥体制的加密用密钥的长度要比签名用的密钥短需要用不同的密钥和证书密钥对的使用期限不同应支持采用不同签名密钥对和不同密钥的建立。加密算法可能支持密钥托管和密钥恢复,以及可能的法律监听。但数字签名的密钥则不允许泄露给他人,其中包括法律机构。8,试述一下身份证明系统的相关要求。验证者正确认别合法示证者的概率极大化。不具可传递性攻击者伪装示证者欺骗验证者成功的概率小到可以忽略计算有效性。通信有效性。秘密参数安全存储。交互识别。第三方实时参与。第三方的可信赖性。可证明安全性。简述Kerberos的局限性时间同步重放攻击认证域
29、之间的信任系统程序的安全性和完整性口令猜测攻击密钥的存储简述加密桥技术原理及目标加密桥相当于一个加密数据的SQL语句编译执行器,数据库所有对加密数据操作的SQL语句不再由数据库系统执行,改由加密桥执行数据库的数据加密以后,必须保留数据库管理的一切功能,为了实现数据库的功能,通过加密桥的中间过渡,实现对加密数据的操作。DBMS在系统中只负责非密数据的存取操作,对于加密字段数据的操作完全通过加密桥完成。加密桥技术实现的目的是:应用系统数据库字段加密以后,仍可实现各种数据库操作。IP地址顺序号预测攻击步骤首先,得到服务器的IP地址。黑客一般通过网上报文嗅探,顺序测试号码,由web连接到结点上并在状态
30、栏中寻找结点的IP地址。然后,攻击者在试过这些IP地址后,可以开始监视网上传送包的序号,推测服务器可能产生的下一个序列号,再将自己插入到服务器和用户之间,模仿IP地址及包裹序列号以愚弄服务器,使之成为受到信任的合法网络用户,接着便可访问系统传给服务器的密钥文件、日志名、机密数据等信息。2,网页攻击的步骤是什么?答:第一步,创建一个网页,看似可信其实是假的拷贝,但这个拷贝和真的“一样”“假网页和真网页一样的页面和链接。第二步:攻击者完全控制假网页。所以浏览器和网络间的所有信息交流都经过攻击者。第三步,攻击者利用网页做假的后果:攻击者记录受害者访问的内容,当受害者填写表单发送数据时,攻击者可以记录
31、下所有数据。此外,攻击者可以记录下服务器响应回来的数据。这样,攻击者可以偷看到许多在线商务使用的表单信息,包括账号,密码和秘密信息。如果需要,攻击者甚至可以修改数据。不论是否使用SSL或S-HTTP,攻击者都可以对链接做假。换句话说,就算受害者的游览器显示出安全链接图标,受害者仍可能链接在一个不安全链接上。6,简述组建VPN应该遵循的设计原则。P90答:VPN的设计应遵循以下原则:安全性,网络优化,VPN管理等。在安全性方面,企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且在防止非法用户对网络资源或私有信息的访问。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资
32、源,为重要数据提供可靠的带宽。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。1,简述保护数据完整性的目的,以有被破坏会带来的严重后果。答:保护数据完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态。这意味着数据不会由于有意或无意的事件而被改变和丢失。数据完整性被破坏会带来严重的后果:造成直接的经济损失,如价格,订单数量等被改变。影响一个供应链上许多厂商的经济活动。一个环节上数据完整性被破坏将使供应链上一连串厂商的经济活动受到影响。可能造成过不了“关”。有的电子商务是与海关,商检,卫检联系的,错误的数据将使一批贷物挡在“关
33、口”之外。会牵涉到经济案件中。与税务,银行,保险等贸易链路相联的电子商务,则会因数据完整性被破坏牵连到漏税,诈骗等经济案件中。造成电子商务经营的混乱与不信任。2,简述散列函数应用于数据的完整性。答:可用多种技术的组合来认证消息的完整性。为消除因消息被更改而导致的欺诈和滥用行为,可将两个算法同时应用到消息上。首先用散列算法,由散列函数计算机出散列值后,就将此值消息摘要附加到这条消息上。当接收者收到消息及附加的消息摘要后,就用此消息独自再计算出一个消息摘要。如果接收者所计算出的消息摘要同消息所附的消息摘要一致,接收者就知道此消息没有被篡改。3,数字签名与消息的真实性认证有什么不同?答:数字签名与消
34、息的真实性认证是不同的。消息认证是使接收方能验证消息发送者及所发信息内容是否被篡改过。当收发者之间没有利害冲突时,这对于防止第三者的破坏来说是足够了。但当接收者和发送者之间相互有利害冲突时,单纯用消息认证技术就无法解决他们之间的纠纷,此是需借助数字签名技术。4,数字签名和手书签名有什么不同?答:数字签名和手书签名的区别在于:手书签名是模拟的,因人而异,即使同一个人也有细微差别,比较容易伪造,要区别是否是伪造,往往需要特殊专家。而数字签名是0和1的数字串,极难伪造,不需专家。对不同的信息摘要,即使是同一人,其数字签名也是不同的。这样就实现了文件与签署的最紧密的“捆绑”。5,数字签名可以解决哪些安
35、全鉴别问题? 答:数字签名可以解决下述安全鉴别问题:接收方伪造:接收方伪造一份文件,并声称这是发送方发送的;发送者或收者否认:发送者或接收者事后不承认自己曾经发送或接收过文件;第三方冒充:网上的第三方用户冒充发送或接收文件;接收方篡改:接收方对收到的文件进行改动。6,无可争辩签名有何优缺点?答:无可争辩签名是在没有签名者自己的合作下不可能验证签名的签名。无可争辩签名是为了防止所签文件被复制,有利于产权拥有者控制产品的散发。适用于某些应用,如电子出版系统,以利于对知识产权的保护。在签名人合作下才能验证签名,又会给签名者一种机会,在不利于他时可拒绝合作,因而不具有“不可否认性”。无可争辩签名除了一
36、般签名体制中的签名算法和验证算法外,还需要第三个组成部分,即否认协议:签名者利用无可争辩签名可向法庭或公众证明一个伪造的签名的确是假的;但如果签名者拒绝参与执行否认协议,就表明签名真的由他签署。7,UPS的作用是防止突然停电造成网络通讯中断。8,计算机病毒是如何产生的?答:计算机病毒是人为产生的,是编制者在计算机程序中插入的破坏计算机功能,或进毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。9,计算机恶性病毒的危害是破坏系统或数据,造成计算机系统瘫痪。10,简述容错技术的目的及其常用的容错技术。答:容错技术的目的是当系统发生某些错误或故障时,在不排除错误和故障的条件下使系统
37、能够继续正常工作或者进入应急工作状态。容错技术最实用的一种技术是组成冗余系统。冗余系统是系统中除了配置正常的部件以外,还配制出的备份部件。当正常的部件出现故障时,备份部件能够立即取代它继续工作。当然系统中必须另有冗余系统的管理机制和设备。另有一种容错技术是使用双系统。用两个相同的系统共同承担同一项任务,当一个系统出现故障时,另一系统承担全部任务。如双电源系统在计算机上已经使用的容错技术:P72提供容错能力的多处理机使用磁盘镜像技术的磁盘子系统磁盘双联RAID廉价磁盘阵列网络冗余11,现在网络系统的备份工作变得越来越困难,其原因是什么?答:其原因是网络系统的复杂性随着不同的操作系统和网络应用软件
38、的增加而增加。此外,各种操作系统,都自带内置软件的备份,但自动备份和文件管理上都是很基本的,功能不足。12,简述三种基本的备份系统。答:简单的网络备份系统:在网络上的服务器直接把数据通过总线备份到设备中。也可把数据通过对网络经过专用的工作站备份到工作站的设备中。服务器到服务器的备份:在网络上的一个服务器除了把数据通过总线备份到自己设备中以外,同时又备份到另一个服务器上。使用专用的备份服务器:不同于第二种中所说的另一类服务器,它主要的任务是为网络服务的服务器,使用专用服务器可以使备份工作更加可靠。13,简述数据备份与传统的数据备份的概念。 答:数据备份,是指为防止系统出现操作失误或系统故障导致数
39、据丢失,而将全系统或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。 传统的数据备份主要是采用数据内置或外置的磁带机进行冷备份。 比较常见的备份方式P73定期磁带备份数据远程磁带库、光盘库备份远程关键数据并兼有磁带备份远程数据库备份网络数据镜像远程镜像磁盘14,列举计算机病毒的主要来源。 答:引进的计算机病毒和软件中带有的病毒。各类出国人员带回的机器和软件染有病毒。一些染有病毒的游戏软件。非法拷贝引起的病毒。计算机生产,经营单位销售的机器和软件染有病毒。维修部门交叉感染。有人研制,改造病毒。敌对份子以病毒进行宣传和破坏。通过互联网络传入。15,数据文件和系统的备份要注意什么? 答
40、:日常的定时,定期备份;定期检查备份的质量;重要的备份最好存放在不同介质上;注意备份本身的防窃和防盗;多重备份,分散存放,由不同人员分别保管。16,一套完整的容灾方案应该包括本地容灾和异地容灾两套系统。17,简述归档与备份的区别。 答:归档是指将文件从计算机的存储介质中转移到其他永久性的介质上的,以便长期保存的过程。备份的目的是从灾难中恢复。归档是把需要的数据拷贝或打包,用于长时间的历史性的存放,归档可以清理和整理服务器中的数据。归档也是提高数据完整性的一种预防性措施。18,病毒有哪些特征?答:非授权可执行性;隐藏性;传染性;潜伏性;表现性或破坏性;可触发性。19,简述计算机病毒的分类方法。答
41、:按寄生方式分为,引导型,病毒文件型和复合型病毒。 按破坏性分为,良性病毒和恶性病毒20,简述计算机病毒的防治策略? 答:依法治毒,建立一套行之有效的病毒防治体系,制定严格的病毒防治技术规范。21,保证数据完整性的措施有:有效防毒,及时备份,充分考虑系统的容错和冗余。22,扼制点的作用是控制访问。23,防火墙不能防止的安全隐患有:不能阻止已感染病毒的软件或文件的传输;内部人员的工作失误。24,防火墙与VPN之间的本质区别是:堵/通;或防范别人/保护自己。25,设置防火墙的目的及主要作用是什么? 答:设置防火墙的目的是为了在内部网与外部网之间设立惟一通道,允许网络管理员定义一个中心“扼制点”提供
42、两个网络间的访问的控制,使得只有被安全策略明确授权的信息流才被允许通过,对两个方向的信息流都能控制。它的主要作用是防止发生网络安全事件引起的损害,使入侵更难实现,来防止非法用户,比如防止黑客,网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。26,简述防火墙的设计须遵循的基本原则。 答:由内到外和由外到内的业务流必须经过防火墙。只允许本地安全政策认可的业务流必须经过防火墙。尽可能控制外部用户访问内域网,应严格限制外部用户进入内域网。具有足够的透明性,保证正常业务的流通。具有抗穿透性攻击能力,强化记录,审计和告警。27,目前防火墙的控制技术可分为:包过滤型,包
43、检验型以及应用层网关型三种。28,防火墙不能解决的问题有哪些?答:如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。防火墙无法防范通过防火墙以外的其他途径的攻击。防火墙不能防止来自内部变节者和不经心的用户带来的威胁。 防火墙也不能防止传送已感染病毒的软件或文件。防火墙无法防范数据驱动型的攻击。29,VPN提供哪些功能?答:加密数据:以保证通过公网传输的信息即使被他人截获也不会泄露。信息认证和身份认证:保证信息的完整性,合法性,并能鉴用户的身份。提供访问控制:不同的用户有不同的访问权限。30,简述隧道的基本组成。答:一个隧道启
44、动器,一个路由网络,一个可选的隧道交换机,一个或多个隧道终结器。31,IPSec提供的安全服务包括:私有性,真实性,完整性和重传保护等,并制定了密钥管理的方法。32,选择VPN解决方案时需要考虑哪几个要点?答:认证方法;支持的加密算法。支持的认证算法。支持IP压缩算法。易于部署。兼容分布式或个人防火墙的可用性。33,简述VPN的分类。答:按VPN的部署模式分,VPN的部署模式从本质上描述了VPN的通道是如何建立和终止的,一般有三种VPN部署模式:端到端模式;供应商到企业模式;内部供应商模式。按VPN的服务类型分,VPN业务大致可分为三类:internetVPN AccessVPN和Extran
45、etVPN.34,简述VPN的具体实现即解决方案有哪几种? 答:虚拟专用拨号网络,用户利用拨号网络访问企业数据中心,用户从企业数据中心获得一个私有地址,但用户数据可跨公共数据网络传输。 虚拟专用路由网络,它是基于路由的VPN接入方式。 虚拟租用线路,是基于虚拟专线的一种VPN,它在公网上开出各种隧道,模拟专线来建立VPN. 虚拟专用LAN子网段,是在公网上用隧道协议仿真出来一个局域网,透明地提供跨越公网的LAN服务。 35,实体认证与消息认证的主要差别是什么? 答:实体认证与消息认证的差别在于,消息认证本身不提供时间性,而实体认证一般都是实时的。另一方面,实体认证通常证实实体本身,而消息认证除
46、了证实消息的合法性和完整性外,还要知道消息的含义。36,通行字的选择原则是什么?答:易记;难于被别人猜中或发现;抗分析能力强。在实际系统中,需要考虑和规定选择方法,使用期限,字符长度,分配和管理以及在计算机系统内的保护等。根据系统对安全水平的要求可有不同的选取。37,通行字的安全存储有哪二种方法?答:用户的通行字多以加密形式存储,入侵者要得到通行字,必须知道加密算法和密钥。许多系统可以存储通行字的单向杂凑值,入侵者即使行到此杂凑也难于推出通行字。38,有效证书应满足的条件有哪些?答:证书没有超过有效期。密钥没有被修改。如果密钥被修改后,原证书就应当收回,不再使用。如果雇员离开了其公司,对应的证
47、书就可收回,如果不收回,且密钥没被修改,则可继续使用该证书;证书不在CA发行的无效证书清单中。CA负责回收证书,并发行无效证书清单。用户一旦发现密钥泄露就应及时将证书吊销。并由CA通知停用并存档备案。39,密钥对生成的两种途径是什么?答:密钥对持有者自己生成:用户自己用硬件或软件生成密钥对。如果该密钥对用于数字签名时,应支持不可否认性。密钥对由通用系统生成:由用户依赖,可信赖的某一中心机构生成,然后安全地送到特定用户的设备中。利用这类中心的资源,可产生高质量密钥对,易于备份和管理。40,证书有哪些类型?答:个人证书:证实客户身份和密钥所有权。在一些情况下,服务器会在建立SSL边接时要求用个人证书来证实客户身份。用户可以向一个CA申请,经审查后获得个人证书。服务器证书:证实服务器的身份和公钥。当客户请求建立SSL连接时,服务器把服务器证书传给客户。客户收到证书后,可以检查发行该证书的CA是否应该信任。对于不信任的CA,浏览器会提示用户接受或拒绝这个证书。邮件证书:证实电子邮件用户的身份和公钥。一些有安全功能的电了邮件应用程序能使用邮件证书来验证用户身份和加密解密信息。 CA证书:证实CA身份和CA的签名密钥。在Netscape浏览器里,服务器管理员可以看到服务受接受的CA证书,并选择是否信任这些证书。CA证书允许CA发
