1、自主式接入控制自主式接入控制简记DAC,它是由资源拥有者分配接入权,在辨别各用户的基础上实现接入控制。每个用户的接入权由数据的拥有者来建立,常以接入控制表或权限表实现。 2、计算机病毒计算机病毒是指编制者在计算机程序中插入的破坏计算机功能,或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。
3、身份证明系统身份证明系统由3方组成,一方是出示证件的人,称作示证者,又称申请者,提出某种要求;另一方为验证者,检验示证者提出的证件的正确性和合法性,决定是否满足其要求;第三方是可信赖者,用以调解纠纷。
4、PKI即“公钥基础设施”,是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供了一套安全基础平台的技术和规范,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。 5、单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。使用单钥密码体制时,通信双方A、B必须相互交换密钥,当A发送信息给B时,A用自己的加密密钥进行加密,
而B在接收到数据后,用A的密钥进行解密。单钥密码体制又称作秘密密钥体制或对称密钥体制。
6、接入控制:接入或访问控制室保证网络安全的重要手段,它通过一组机制控制不同级别的主题对目标资源的不同授权访问,在对主体认证之后实施网络资源安全管理使用。
7、镜像技术:是数据备份技术的一种,主要有网络数据镜像远程、镜像磁盘等
8、kerberos:是一种典型的用于客户机和服务器认证体系协议,它是一种基于对称密码体制的安全认证服务系统。
9、密钥管理;包括从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。
10、双钥密码体制:又称为公共密钥体制或非对称加密体制,这种加密法在加密和解密过程要使用一对密钥,一个用以加密,另一个用于解密即通过一个密钥加密的信息,只有使用另一个密钥才能够解密。个人密钥用于解密。用户将公共密钥交给发送或公开,信息发送者使用接收人的公共密钥加密的信息只有接收人才能解密。
11、域间认证:是指client向本kerberos 的认证域以外的server申请服务的过程。
12、认证服务:是指身份识别与鉴别,就是确认实体即为自己所声明的实体,鉴别身份的真伪。
13、容错技术:容错技术是当系统发生某些错误或故障时,在不排除错误和故障的条件下使系统能够继续正常工作或进入应急工作状态的一种技术。
14、无条件安全:若它对于拥有无限计算资源的破译者来说是安全的,则成为这样的密钥体制。
15、非军事化区:DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。16、公证服务:是指数据认证也就是说,公证人要证明的是数据的有效性和正确性,这种公证取决于数据认证的方式17、加密桥技术:一种在
加/解密卡的基础上开发加密桥的技术可实现不存在降低加密安全强度旁路条件下,为数据库加密字段的存储、检索、索引、运算、删除、修改等功能的实现提供接口,并且它的实现是与密码算法、密码设备无关的。18、奇偶校验是服务器的一种特征,它提供一种机器机制来保证对内存错误的检测,因此,不会引起由于服务器的出错,导致数据完整性的丧失。
19、身份识别是指输入个人信息,经过处理提取成模板信息,试着在存储数据库中搜索,出与之匹配的模板,而后给出结论的过程。
20、TLS协议:传输安全层协议是在传输层对IETF安全协议的标准化,制定的目的是为了在因特网上有一种统一的SSL标准版本。
二、简答题
1、简述双钥密码体制的基本概念及特点?双钥密码体制又称作公共密钥体制或非对称加密体制,这种加密法在加密和解密过程中要使用一对密钥,一个用于加密,一个用于解密。即通过一个密钥加密的信息,只有使用另一个密钥才能解密。这样每个用户都拥有两个密
钥:公共密钥和个人密钥,公共密钥用于加密,个人密钥用于解密。用户将公共密钥交给发送方或公开,信息发送者使用接受人的公共密钥加密的信息只有接收人才能解密。
双钥密码体制算法的特点是:
(1)适合密钥的分配和管理(2)算法速度慢,只适合加密小数量的信息。
2、简述数据交换时如何利用数字信封来确保接收者的身份?
发送方用一个随机产生的DES密钥加密信息,然后用接收方的公钥加密DES密钥,形成消息的“数字信封”。发送方将数字信封与DES加密后的消息一起发给接收方。接收者收到信息后,先用其私钥打开数字信封,得到发送方的DES密钥后,再用此密钥去解密消息。只有用接收方的RSA私钥才能打开此数字信封,确保了接收者的身份。
3、电子商务安全的中心内容是什么?
(1)商务数据的机密性(2)商务数据的完整性(3)商务对象的认证性(4)商务服务的不可否认性(5)商务数据的不可拒绝性(6)访问的控制性
4、简述SSL的体系结构SSL协议共由4个协议组成,它们是SSL记录协议,SSL更改密码规格协议,SSL警报协议,SSL握手协议
1SSL记录协议,定义了信息交换中所有数据项的格式。其中,MAC是一个定长数据,用于信息的完整性;信息内容是网络的上一层——应用层传来的数据;附加数据时加密后所产生的附加数据。
2SSL更改密码规格协议由单个消息组成,只有一个值为1的单字节。其目的是是未决状态拷贝为当前状态,更新用于当前连接的密码组。
3SSL警报协议用于传送SSL的有关警报。
4SSL握手协议用于客户/服务器之间相互认证,协商加密和MAC算法,传送所需的公钥证书,建立SSL记录协议处理完整性校验和加密所需的会话密钥。
5、简述防火墙设计原则单字节(1)由内到外和由外到内的业务流必须经过防火墙(2)只允许本地安全政策认可的业务流通过防火墙(3)尽可能控制外部用户访问内域网,应严格限制外部用户进入内域网(4)具有足够的透明性,保证正常业务的流通(5)具有抗穿
透攻击能力,强化记录,审记和报警。
6、简述IPSec的两种工作模式
一是传输模式,为源到目的之间已存在的IP包提供安全性;IPSEC传输模式被用于在端到端的两个通信实体之间提供IP传输的安全性,如为TCP连接或UDP数据报连接提供安全性。传输模式也保护了IP包的内容,特别是用于两个主机之间的端对端通讯。
二是隧道模式,它把一个IP包放到一个新的IP包中,并以IPSEC格式发往目的终点:IP包在添加了ESP字段后,整个包以及包的安全字段被认为是新的IP包外层内容,附有新的IP外层包头。原来的包通过“隧道”从一个IP网络起点传输到两、另一个IP网点,中途的路由器可以检查IP的外层包头,并根据外层包头发往目的端点。因为原来的包已被打包,新的包可能有不同的源地址及目的地址,以达到安全的目的
7.简述电子商务系统可能遭受攻击的类型?
系统穿透;违反授权原则;植入;通信监视;通信窜扰;中断;拒绝服务;否认;病毒
8.按照接入方式的不同VPN的具体实现方式有哪几种?
一、虚拟专用拨号网络,用户利用拨号网络访问企业数据中心,用户从企业数据中心获得一个私有地址,但用户数据可跨公共数据网络传输。二、虚拟专用路由网络,它是基于路由的VPN接入方式。三、虚拟租用线路,是基于虚拟专线的一种VPN它在公网上开出各种隧道,模拟专线来建立VPN。四、虚拟专用LAN子网段,是在公网上用隧道协议仿真出来一个局域网,透明的提供跨越公网的LAN服务。
9.通行字的安全存储有哪些方法?
一、用户的通行字多以加密形式存储,入侵者要得到通行字,必须知道加密算法和密钥;二、许多系统可以存储通行字的单向杂凑值,入侵者即使行到此杂凑也难于推出通行字。
10.简述VPN的优点?
成本较低:VPN在设备的使用量及广域网络的频宽使用上,均比专线式的架构节省,故能使企业网络的总成本降低。网络结构灵活:VPN比专线式的架构有弹性,当有必要将网络扩充或是变更网络架构时,VPN可以轻易地达到目的;相对而言,传统的专线式架构便需大费脑筋了。管理方便:VPN较少的网络设备及物理线路,是网络的管理较为轻松;无论分公司或是远程访问用户再多,均只需要通过互联网的路径进入企业网络。
11.简述目前自动密钥分配途径?
它们是集中密钥分配方案和分布式分配方案。所谓集中式分配方案是指利用网络中的“密钥管理中心”来集中管理系统中的密钥,“密钥管理中心”接受系统中用户的请求,为用户提供安全分配密钥的服务。分布式分配方案是指网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商,不受任何其他方面的限制。
12.简述比较常见的备份方式有哪些?
1、定期磁带备份数据2、远程磁带库;光盘库备份3、远程关键数据并兼有磁带备份4、远程数据库备份5、网络数据镜像6、远程镜像磁盘
13简述认证机构提供的四个方面的服务?
(1) 证书申请:证书申请包括了用户证书的申请和商家证书的申请。
(2) 证书更新:证书的更新包括证书的延期和更换。
(3) 证书吊销或撤销:证书吊销有主动申请吊销和被动强制性吊销两种形式。
(4) 证书的公布和查询:证书状态查询采用X.500标准或其简化版本LDAP协议。
三、论述题
1、试述公钥证书的申请与吊销的过程。
(1)公钥证书的申请过程
用户申请证书要向CA注册,填证书申请表,建立起注册者与CA的关系,注册者向CA提供必要的有关信息。在INTERNET环境下,可以通过联机实现申请
CA需要对注册者进行主体认证,确保公钥的持有者身份和公钥数据完整性。持有者身份的确认是重要的一环,可以联机方式确认,必要时,通过脱机以传统方式进行。在多级安全系统中,通过认证可以决定申请者生成和发放何种等级的证书。可以采用多种技术实现:
(1)个人出面方式,这是常用是我可靠认证身份的方式
(2)出示身份证件,通过身份证件,供CA审查实现对申请者的认证
当CA认证申请者的身份后,按一下步生成证书:
(1)C A检索所需要的证书内容信息
(2)CA证实这些消息的正确性后; CA用其签名密钥对证书签名
(3)向发卡银行申请信用卡SEL认证服务
(4)将证书的一个拷贝送给注册者,需要时要求注册者回送证书的收据
(5)CA将证书送入证书数据库,向公用检索业务机构公布
(6)CA将证书存档
(7)CA将证书生成过程中的一些细节记入审计记录中
(2)公钥证书的吊销过程
公钥——私钥对在证书发行数规定了失效期。其值由CA根据安全策略来定此外如发现或怀疑私钥泄漏,或检测出证书已被篡改,则CA可以提前吊销或暂时使用
