《[管理学]电子商务安全导论.doc》由会员分享,可在线阅读,更多相关《[管理学]电子商务安全导论.doc(34页珍藏版)》请在三一办公上搜索。
1、第一章 原题:1上述黑客攻击属于哪种形式的攻击手段?你的答案:答: 系统穿透。黑客未经授权通过一定手段接入系统,从而得到了修改江民公司网页的权利。 原题:2分析江民公司遭受黑客攻击的原因。你的答案:答:1)我国的网络安全产品只能提供较短密钥长度的算法,较易被破解。2)http协议本身的不完全性,使得某些不法用户能未经授权的访问Web服务器上的数据,并进行破坏或篡改;3)江民公司网站的Web站点本身就存在安全隐患,容易被攻击者利用; 原题:3从电子商务自身的角度出发,讨论为什么电子商务具有安全性的要求?你的答案:答: 这是由电子商务的特性所决定,主要包含两面的内容。(1)一个电子商务系统需要存储
2、大量的商务数据,这是其运转的核心。如果这些数据发生损坏或者丢失,其后果不堪设想。而且这些数据大部分是商业机密,一旦泄露,将造成不可挽回的损失。(2)因为在电子商务中,所有的交易都在网上进行,交易双方一般都不需要会面,如果其中的一方一旦反悔,则另一方就需要向法院提供证明交易合同的存在性和交易的真实性。这就需要一个网上认证机构对每一笔业务进行认证,以确保交易的安全性,从而避免恶意欺诈。 原题:4电子商务安全的中心内容包括哪些内容?你的答案:答: 电子商务安全主要包括六方面的内容:(1)商务数据的机密性。商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授
3、权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。(2)商务数据的完整性。商务数据的完整性或称正确行使保护数据不被委授权者修改、建立、嵌入、删除、重复传送或由于其他的原因是原始数据被更改。(3)商务对象的认证性。商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性。(4)商务服务的不可否认性。商务服务的不可否认性是指信息的发送方不能否认已发送的信息,接受方不能否认已收到的信息。(5)商务服务的不可拒绝性。商务服务的不可拒绝性或称可用性是保证授权用户在正常访问信息和资源时不被拒绝。(6)访问的控制性。访问的控制性是指在网络上限制和控制通信链路对主机系统和
4、应用的访问:用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。 原题:5查阅与2004年底至2005年处于桂林市政府相关的网络安全信息,分析其频遭攻击的原因。你的答案:答: 原因如下:一是桂林市政府某部门信息中心下属单位的一台电脑在上网过程中因浏览了不良网站而中了木马程序,被黑客所控制,做为傀儡机和攻击源使用,随时可向目标发起黑客攻击;二是该下属单位没有采取必要的网络安全技术措施;三是没有相关的网络安全组织;四是没有按照国家的有关规定到公安网监部门进行国际互联网的备案登记。 第二章 原题:1采用上面的步骤,或者自己找一个数
5、字证书的申请网站,获得一个数字证书。你的答案: 原题:2将所获得的数字证书与Outlook Express中自己的邮箱进行绑定,并发送经过签名的电子邮件。你的答案: 原题:3目前很多电脑用户的操作系统是Windows的操作系统,那么,请问Win 2000/XP是如何保护文件的?你的答案:答: 在Windows 2000以前的Windows版本中,安装操作系统之外的软件,可能会覆盖掉一些共享的系统文件,例如动态链接库(*.dll文件)、可执行文件(*.exe),这样可能会导致程序运行不稳定、系统出现故障,这主要是由于所谓的DLL陷阱所导致。 为了彻底解决这一问题,在Windows 2000和Wi
6、ndows XP中,微软引入了“Windows文件保护”机制用来防止替换受到保护的系统文件,包括*.sys、*.dll、*.ocx、*.ttf、*.fon、*.exe等类型的文件,Windows文件保护在后台自动运行,可以保护Windows安装程序安装的所有文件。Windows文件保护能够检测到其他程序要替换或移动受保护的系统文件的意图,这主要是通过检测文件的数字签名,以确定新文件的版本是否为正确的Microsoft版本,如果文件版本不正确,Windows文件保护会自动调用dllcache文件夹或Windows中存储的备份文件替换该文件,如果Windows文件保护无法定位相应的文件,那么会提示
7、用户输入该位置或插入安装光盘。数字签名是允许用户验证的,如果某文件没有有效的数字签名,那么将无法确保该文件确实来自它所声明的来源,或者无法确保它在发行之后未被篡改过(可能由病毒篡改)。此时,比较安全的做法是,除非你确定该文件的创建者而且知道其内容,那么才能安全地打开,否则建议不要轻易打开该文件。凡是通过了微软数字签名的硬件或软件,其外包装上一般都会出现“为Microsoft Windows XP设计(Designed for Microsoft Windows XP)”的徽标原题:4让我们假设某个密码的加密算法如下表所示。 加密算法字母3密文解密算法密文3字母那么,“ohwv jr wr wk
8、h wrjd sduwb!”解密后是什么?你的答案:答: 由题意可得,加密方法 A = DB = EC = FD = GE = HF = IG = JH = KI = LJ = MK = NL = OM = P解密方法 A = XB = YC = ZD = AE = BF = CG = DH = EI = FJ = GK = HL = IM = J加密方法 N = QO = RP = SQ = TR = US = VT = WU = XV = YW = ZX = AY = BZ = C解密方法 N = KO = LP = MQ = NR = OS = PT = QU = RV = SW = T
9、X = UY = VZ = W 因此,一一对应后,该秘闻解密后是:“l e t s go to the toga party!” 原题:5RSA加密能否被认为是保证安全的?你的答案:答: RSA之所以被认为是一种很好的加密体制,是因为当选择足够长的密钥时,在目前还没有找出一种能够对很大的整数快速地进行因子分解的算法。这里请注意,“在目前还没有找出”并不等于说“理论上已经证明不存在这样的算法”。如果在某一天有人能够研究出对很大的整数快速地进行因子分解的算法,那么RSA加密体制就不能再使用了。第三章 原题: 1目前有许多在线查毒的网站,试采用其中的一种对自己所使用的电脑进行在线查毒。你的答案: 原
10、题:2下载一个杀毒软件,为自己电脑杀毒。(或使用电脑中已有的)你的答案: 原题:3提高数据完整性的预防性措施有哪些?你的答案:答: 提高数据完整性的预防性措施有:(1)镜像技术。镜像技术是指将数据原样的从一台设备机器拷贝到另一台设备机器上。(2)故障前兆分析。有些部件不是一下子完全坏了,例如磁盘驱动器,在出故障之前往往有些征兆,进行故障前兆分析有利于系统的安全。(3)奇偶校验。奇偶校验也是服务器的一个特征。它提供一种机器机制来保证对内存错误的检测。因此,不会引起由于服务器出错而造成数据完整性的丧失。(4)隔离不安全的人员。对本系统有不安全的潜在威胁人员,应设法与本系统隔离。(5)电源保障。使用
11、不间断电源是组成一个完整的服务器系统的良好方案。 原题:4计算机病毒有哪些特征?你的答案:答: 1)非授权可执行性;2)隐蔽性;3)传染性;4)潜伏性;5)表现性或破坏型;6)可触发性。 原题:5如何预防邮件病毒?你的答案:答:邮件病毒一般是通过在邮件中附件夹带的方法进行扩散的,你运行了该附件中的病毒程序,才能够使你的电脑染毒。知道了这一点,我们就不难采取相应的措施进行防范了。1)不要轻易打开陌生人来信中的附件文件。当你收到陌生人寄来的一些自称是不可不看的有趣邮件时,千万不要不加思索地打开它。尤其对于一些“.exe”之类的可执行文件,就更要谨慎。2)对于比较熟悉的朋友寄来的信件,如果其邮件中夹
12、带了附件,但是他却没有在邮件中提及或是说明,也不要轻易运行。因为有些病毒是偷偷地附着上去的-也许他的电脑已经染毒,可他自己却不知道。比如“Happy 99”就是这样的病毒。3)给别人发送程序文件甚至包括电子贺卡时,一定要先确认没有问题后再发, 以免成为病毒的传播者。另外,应该切忌盲目转发:有的朋友当收到某些自认为有趣的邮件时,还来不及细看就打开通讯簿给自己的每一位朋友都转发一份,这极有可能使病毒的制造者恶行得逞,而你的朋友对你发来的信无疑是不会产生怀疑的,结果你无意中成为病毒的传播者。第四章 原题:1如何使用Windows XP的个人防火墙保护电脑的安全?你的答案: 原题:2试提供下述情况下的
13、解决方案。 背景:宽带的普及,工作、生活节奏的加快,这一切都促进了视频会议系统的产生并飞速发展,可以说,视频会议正在以前所未有的速度在进步。 技术的进步给在各个方面应用视频会议变为可能。然而,真实IP的匮乏,DDN专线的昂贵,都成了视频会议系统难以普及。大公司可以凭借其雄厚的实力或自有的专线来实施视频会议系统。可是中、小型公司呢?有限地资金不足以支撑运行视频会议系统的费用,而且大公司也在寻找更省钱,更有竞争力的方案。在此情况下,请读者提供进行视频会议的解决方案。你的答案: 答: 采用VPN技术。VPN技术可以充分利用企业所有的上网条件,包括动态IP、虚拟IP,ADSL、小区宽带,光纤接入都可以
14、被利用来建立VPN通道,而一旦通道建立,视频会议实施时所关心的动态IP问题,虚拟IP无法穿透的问题,都将应刃而解,顾名思义,虚拟局域网,也就是说,通道建立后,您所有的操作就如同在局域网内。 而且, 正是因为VPN技术这种对接入方式的包容性,可以让企业使用便宜的ADSL、小区宽带、Cable Modem、HDSL、VDSL等各类接入线路,而不用去花高价格租用DDN,光纤或其它昂贵的资源。总之,VPN可以为视频会议系统提供一个运行费用极低的平台!如下图所示。该方案特点:1.可提供Lan2Lan(局域网到局域网)的VPN连接,适应总部与分部视频会议的要求。2.通过客户端软件可提供移动用户到中心的VP
15、N连接。适应远程用户加入视频会议的要求3.数据可以168位的加密技术进行传输,安全性能极高。4.可选用本地宽带、ADSL、光纤、Cable Modem、微波、拨号、ISDN等各种接入方式。5.不关心客户所获得IP的种类,也就是说,客户无论是静态IP,动态IP,还是虚拟IP都能建立VPN。6.适应各种现有网络环境,如可接驳各类防火墙、VLan等,充分保护客户的现有投资。原题: 3使用瑞星个人防火墙扫描是否电脑中有木马程序?(如无瑞星个人防火墙,从(天网安全阵线)下载并安装天网个人防火墙进行相关操作。)你的答案: 原题:4以天网防火墙个人版v2.73为例,简述防火墙的主要功能。你的答案:答: 天网
16、防火墙个人版是个人电脑使用的网络安全程序,根据管理者设定的安全规则把守网络,提供强大的访问控制、信息过滤等功能以抵挡网络入侵和攻击,防止信息泄露。它主要具有如下功能: 1)严密的实时监控天网防火墙(个人版)对所有来自外部机器的访问请求进行过滤,发现非授权的访问请求后立即拒绝,随时保护用户系统的信息安全。 2)灵活的安全规则天网防火墙(个人版)设置了一系列安全规则,允许特定主机的相应服务,拒绝其它主机的访问要求。用户还可以根据自已的实际情况,添加、删除、修改安全规则,保护本机安全。 3)应用程序规则设置新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的
17、类型、通讯端口,并且决定拦截还是通过。 4)详细的访问记录和完善的报警系统天网防火墙(个人版)可显示所有被拦截的访问记录,包括访问的时间、来源、类型、代码等都详细地记录下来,用户可以清楚地看到是否有入侵者想连接到自己的机器,从而制定更有效的防护规则。 原题: 5对案例中所提到的IP规则设置,进行实际操作。你的答案: 第五章原题:1以用户名cnhawk为例简要概括Kerberos协议的认证过程。你的答案:答: 1) Client KDC:用户cnhawk向密钥分配中心(KDC)申请TGT; 2) KDC Client:通过KDC的用户密码认证,cnhawk得到KDC发放的TGT; 3) Clie
18、nt KDC:申请取得用户cnhawk所需要的host/s; 4) KDC Client:KDC根据用户cnhawk提供的TGT,KDC向cnhawk发放host/s; 5) Client Server:用户cnhawk向Server提供cnhawk,TGT和host/s ;Server根据主机的上保存的host/s和用户cnhawk的信息来验证cnhawk的登陆申请。 6) Server Client:Server确认,发送信息给Client允许cnhawk登陆Server。 原题:2根据新颁布的中华人民共和国电子签名法,什么样的电子签名才被视为可靠的电子签名?你的答案:答: (一)电子签名
19、制作数据用于电子签名时,属于电子签名人专有; (二)签署时电子签名制作数据仅由电子签名人控制; (三)签署后对电子签名的任何改动能够被发现; (四)签署后对数据电文内容和形式的任何改动能够被发现。 当事人也可以选择使用符合其约定的可靠条件的电子签名。 原题:3根据案例演示,上建设银行网站开通有个人证书的网上银行。你的答案: 答: 建行信用卡用户可以通过网上自助申请开通后使用,除信用卡以外的用户需要去建行柜台进行签约,成为建行签约用户。 1、 登录建设银行首页,点击“ 网上银行服务 ”。2、点击“开通网上银行服务”。3、按照个人网上银行的申请流程操作,阅读协议-填写个人基本资料-填写账户信息-设
20、置网上银行密码。4、个人网上银行申请成功。原题:4上当当网或其他电子商务网站购买一件商品,并采用建行网上支付的付款方式,实际体验一下个人证书的效用。你的答案:答:以USBKEY用户为例,介绍建行网银付款流程: (1)在付款页面,选择网上银行付款标签,选择建行付款,点“确认无误,付款”按钮。(2)确认付款总金额和付款银行无误后,点“去网上银行付款”按钮。(3)在建行的网银页面,输入证件号码、登录密码、附加码,点“下一步”。(4)选择支付账号,输入交易密码,点“支付”按钮。(5)在弹出的对话框中,输入USBKEY口令,点“确定”按钮。(6)页面显示支付成功。原题:5什么是数字签名,一个签名方案至少
21、应满足几个条件?你的答案: 数字签名即指在以计算机文件为基础的现代事务处理中,采用的电子形式的签名方式。一个完善的数字签名应满足以下要求:(1) 收方能够确认或证实发方的签名;(2) 发方发出签名的消息给收方后,就不能再否认他所签发的消息;(3) 收方对已收到的签名消息不能否认;(4) 第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。第六章 原题:1网上银行使用最广泛的是什么协议?为什么?举一个采用这种协议的银行为例。你的答案:答: 由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系
22、统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。原因:这是因为目前大部分Web服务器和浏览器都支持此协议。在用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40128位,可在IE浏览器的“帮助”“关于”中查到。 原题:2试比较SSL协议与SET协议。你的答案:答: (1)在认证要求方
23、面,早期的SSL并没有提供商家身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但仍不能实现多方认证;相比之下,SET的安全要求较高,所有参与SET交易的成员(持卡人、商家、发卡行、收单行和支付网关)都必须申请数字证书进行身份识别。 (2)在安全性方面,SET协议规范了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。从电
24、子商务特性来看,它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。 (3)在网络层协议位置方面,SSL是基于传输层的通用安全协议,而SET位于应用层,对网络上其他各层也有涉及。 (4)在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,因此如果电子商务应用只是通过Web或是电子邮件,则可以不要SET。但如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用些。 原题:3查阅相关资料,分析在实际应用中,SET协议存在哪些缺陷?你的答案:答: 在实际应用中,存在如下问题: (1)协议没有说明收单银行给在线商店付款前,是否必须收到消费
25、者的货物接受证书。否则的话,在线商店提供的货物不符合质量标准,消费者提出疑义,责任由谁承担。 (2)协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。 (3)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这些漏洞可能使这些数据以后受到潜在的攻击。 (4)在完成一个SET协议交易的过程中,需验证电子证书9次,验证数字签名6次,传递证书7次,进行5次签名、4次对称加密和4次非对称加密。所以,完成一个SET协议交易过程需花费1.52分钟,甚至更长的时间(新式小型电子钱包将多数信
26、息放在服务器上,时间可缩短到1020秒)。SET协议过于复杂,使用麻烦,成本高,且只适用于客户具有电子钱包的场合。 (5)SET的证书格式比较特殊,虽然也遵循X.509的标准,但它主要是由Visa和Marster Card开发并按信用卡支付方式来定义的。银行的支付业务不光是卡支付业务,而SET支付方式和认证结构适应于卡支付,对其他支付方式是有所限制的。 (6)一般认为,SET协议保密性好,具有不可否认性,SETCA是一套严密的认证体系,可保证B-C类型的电子商务安全顺利地进行。事实上,安全是相对的,我们提出电子商务中信息的保密性问题,即要保证支付和定单信息的保密性,也就是要求商户只能看到定单信
27、息(OI),支付网关只能解读支付信息(PI)。但在SET协议中,虽然账号不会明文传递,它通常用1074位RSA不对称密钥加密,商户电子证书确实指明了是否允许商户从支付网关的响应消息中看到持卡人的账号,可是事实上大多数商户都收到了持卡人的账号。 原题:4上易趣购买一件商品,采用安付通的付款方式,实际体验一下SET协议的安全性。你的答案: 答: 安付通使用流程介绍使用流程1.卖家登录物品, 均支持安付通为付款方式卖家登录的物品均支持安付通作为付款方式。成交后,买家使用安付通,将货款先汇至安付通。建议卖家在登录物品时设置合理的运费,买家就可在成交后选择卖家指定的货运方式,并直接付款2.买家确认购买安
28、付通物品买家拍下安付通物品后,可以点击“立即付款” 按钮直接进入 “确认付款信息”页面。买家需要:a)确认收货人姓名、地址b)确认运费及付款总额待所有信息确认完毕,买家点击“提交”,交易双方就进入了安付通支付流程。买卖双方即可通过“我的易趣”查询安付通的交易状态。3.买家付款给易趣买家需在进入安付通流程后的7天内汇款给安付通安付通支持以下19家银行的网上付费,如果您拥有以下银行的银行卡并且开通网上支付功能,就可以进行付款操作。如何开通网上银行?•工商银行 •招商银行 •建设银行 •农业银行 •民生银行 •中国银行 R
29、26;交通银行 •深圳发展银行•兴业银行 •北京银行 •中信银行 •邮政储蓄•上海浦东发展银行 •华夏银行 •顺德信用社•广州市商业银行 •广州农村信用合作社•深圳农村商业银行 •上海农村商业银行 买家可根据自己的使用习惯决定付款银行卡,确认付款网关后点击“进入网上银行支付”开始支付(以招行为例)。4.易趣通知卖家发货并提交发货信息卖家需在安付通通知发货的5天内提交发货信息。当卖家在 “ 我的易趣 ” 看到发货通知时,应及时发货并提交发货信息。卖家需填
30、写运送信息:承运商、承运商电话号码,以及收据或者查询号码。卖家设置买家放款期限:有 10 天和 20 天两个选择。卖家可以根据实际情况选择适合的期限,从而避免纠纷的产生,保证每笔交易都能圆满的完成。在卖家提交发货信息后,安付通会通知买家物品已送出。5.买家收到货物后同意发放货款买家需在卖家设定的验收期内(10天或20天)表示“同意”或“拒绝 ”放款。在卖家提交发货通知后的10天或20天内(由卖家设定),买家可以点击“确认发放货款”按钮,表示同意由安付通发放货款给卖家。从卖家提交发货信息后的第6天起,系统会显示“拒绝放款”按钮,买家可以表示“拒绝”发放货款给卖家。如果买家未在卖家设定的验收期内做
31、出回应,系统会自动放款给卖家。买家收到物品后,如果对交易无异议,便可立即向易趣表示同意付款。 买家同意付款后,易趣会放款给卖家。安付通交易结束。6.易趣向卖家发放货款买家同意付款后,货款即时就可以付入卖家的安付通账户,易趣会以邮件形式通知卖家。卖家可以登录“我的易趣”“安付通账户信息” 查询支付记录。一般情况下,工行、招行、农行和建行需2到3个工作日(4到5天)提现货款将会付至您的银行账户;其它银行需5到12个工作日(7到14天)提现货款将会付至您的银行账户原题:5现在许多公司推出了基于SSL协议的VPN,即SSL VPN,查阅相关资料,从安全协议的角度分析SSL VPN的安全性。你的答案:答
32、: 1)SSL VPN采用了SSL协议,而该协议是介于HTTP层及TCP层的安全协议。2)通过SSL VPN,是接入企业内部的应用,而不是企业的整个网络。如果是IPsec的VPN网络,客户通过VPN接入的是整个企业的网络。而没有控制的联入整个企业的网络对企业来说是非常危险的。3)由于采用SSL安全协议在网络中传输,所以用于防护的防火墙只需打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网攻击的可能性。4)数据加密的安全有加密算法来保证,不同的公司可以有不同的算法。黑客要想窃听网络中的数据,就要能够解开这些经过加密后的数据包。5)在会话停止一段时间后,
33、SSL VPN能够自动停止会话,如果需要继续访问则要重新登陆,通过这个功能能防止数据被窃 第七章 原题:1查阅相关资料,简述中国金融认证中心CA的结构。你的答案:答: 1、Non-SET 系统 Non-SET 对于业务应用的范围没有严格的定义,结合电子商务具体的、实际的应用,根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证书),Non-SET 系统分为两部分。 Non-SET -CA 系统分为三层结构,第一层为根CA ,第二层为政策CA ,第三层为运营CA 。Non-SET-CA , 系统架构图如下: 2、RA 系统系统分为CA本地RA和CA远程R
34、A。本地RA审批有关CA一级的证书、接受远程RA提交的已审批的资料。远程RA根据商业银行的体系架构分为三级结构,即总行、分行、受理点。RA系统架构图如下:原题:2查阅相关资料,简述CFCA的证书种类及用途。你的答案: 除了根CA、政策CA、运营CA等各级CA的证书外,对于最终用户,按照证书的功能不同,证书有不同的分类: (1)企业高级证书-适用于企业作金额较大时的B2B网上交易,安全级别较高,可用于数字签名和信息加密。 (2)企业普通证书-适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于金额较小的网上交易。 (3)个人高级证书-适用于个人作金额较大的
35、网上交易,安全级别较高,可用于数字签名和信息加密。 (4)个人普通证书-适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于小额的网上银行和网上购物。 (5)Web Server证书-适用于站点服务器提供金额较小的B2C网上交易,若一个网站要提供B2B交易时,应申请Direct Server证书,并配合Direct Server软件来保证它的安全性。 (6)Direct Server证书-用于数字签名和信息加密。Direct Server证书主要用于企业从事B2B交易时对Web Server的保护使用。原题:3根据中华人民共和国电子签名法,中国金融认证中
36、心CA所提供的证书中应该包含哪些方面的内容?你的答案:答 除了根CA、政策CA、运营CA等各级CA的证书外,对于最终用户,按照证书的功能不同,证书有不同的分类: (1)企业高级证书-适用于企业作金额较大时的B2B网上交易,安全级别较高,可用于数字签名和信息加密。 (2)企业普通证书-适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于金额较小的网上交易。 (3)个人高级证书-适用于个人作金额较大的网上交易,安全级别较高,可用于数字签名和信息加密。 (4)个人普通证书-适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议
37、用于小额的网上银行和网上购物。 (5)Web Server证书-适用于站点服务器提供金额较小的B2C网上交易,若一个网站要提供B2B交易时,应申请Direct Server证书,并配合Direct Server软件来保证它的安全性。 (6)Direct Server证书-用于数字签名和信息加密。Direct Server证书主要用于企业从事B2B交易时对Web Server的保护使用。 原题:4CTCA的组织机构及其各自的功能是什么?你的答案:答:中国电信电子商务CA认证系统由全国CA中心、省RA中心系统、地市级业务受理点组成,其逻辑结构如图所示: CA中心的功能是: 1) 签发自签名的根证书
38、2) 审核和签发其他CA系统的交叉认证证书3) 向其他CA系统申请交叉认证证书4) 受理和审核各RA机构的申请5) 为RA机构签发证书6) 接收并处理各RA服务器的证书业务请求7) 签发业务证书和证书作废表8) 管理全系统的用户资料9) 管理全系统的证书资料10) 维护全系统的证书作废表11) 维护全系统的OCSP查询数据RA中心的功能是: 1) 受理用户证书业务2) 审核用户身份3) 为审核通过用户生成密钥对4) 向CA中心申请签发证书5) 将证书和私钥灌入IC卡后分发给受理中心、受理点或用户6) 管理本地OCSP服务器,并提供证书状态的实时查询7) 管理本地用户资料受理点的功能是: 1)
39、管理所辖受理点用户资料 2) 受理用户证书业务 3) 审核用户身份 4) 向受理中心或RA中心申请签发证书 5) 将RA中心或受理中心制作的证书介质分发给用户 原题:5查阅相关资料,简述SHECA为华夏证券提供的解决方案。你的答案:参考答案: 1)项目背景介绍:华夏证券有限公司成立于1992年10月,是我国较早成立的全国性证券公司。公司业务主要包括:发行和代理发行各种有价证券;自营和代理买卖各种有价证券;有价证券的代保管、鉴证和过户;代理还本付息、分红、派息等权益分派;基金和资产管理;企业重组、收购与兼并;投资咨询、财务顾问;外币证券业务等。 2)设计方案和特色:上海CA中心在华夏证券RA系统
40、的总体设计中采用了RA、RAT(受理点)二层结构。从应用上安全可靠的适应和支持的华夏证券的各种业务及多种电子商务模式。华夏证券RA系统设计具有如下技术特点: a.整个依托成熟的UCA证书体系,采用国内先进的加密技术和CA技术,系统的功能完善,安全可靠; b.华夏证券RA系统采用层次式CA认证结构,方便系统的扩充和系统效率的提高。它既可满足华夏证券RA系统内部的需求,也可以满足日后与国内外及其他行业CA之间的交叉认证的需求; c.使用的PKI体系支持多种应用,证书的扩展域可以灵活地进行定制,满足不同的应用系统的需要; d.系统的设计采用多模块化结构,方便系统功能的扩充; e.系统的设计考虑了伸缩
41、性,能方便的通过对系统硬件进行升级来适应系统负荷的增大; 管理方式灵活,可以根据华夏证券RA系统的管理策略和证书认证策略对系统进行灵活的设置,如灵活地配置系统的备份时间和方式等; f.系统中所有的通信均采用高强度加密通信,保证信息安全; g.网络系统采用了多层防火墙设置,严格的网段划分和端口控制。3)实施效果 项目实施充分考虑了系统的安全性、实用性、扩展性等诸多方面的因素,本着高效、安全、先进的原则,完成了证书的申请、审核、签发、废止、更新、审计、归档、备份以及密钥管理、LDAP和OCSP发布等全部功能。同时在系统的性能方面,上海CA中心为华夏证券RA系统设计的系统具有强大的处理能力,很好的开放性、实用性和可扩展性,并提供了完善的图形化用户界面,使系统具有易操作性、易维护性和易升级性。 第二章 第二题答案第二章,第一题答案
