还剩6页未读,继续阅读
文本内容:
简答题这不仅为用户,同时也为攻击者打开了许多方便之门1,什么是保持数据的完整性?攻击者试图在内部网上获取信息或利用计算机资源答商务数据的完整性或称正确性是保护数据不被未因此,必须保护WEB站点,防止闯入者的袭击最常见,授权者修改,建立,嵌入,删除,重复传送或由于其他也是最有效的保护是使用防火培原因使原始数据被更改在存储时,要防止非法篡改,非法访问未授权者非法访问r WEB上的文件,损害防止网站上的信息被破坏在传输过程中,如果接收端了电子商务中的随私性,机密截获收到的信息与发送的信息完全•样则说明在传输过程中交易信息被截获当用户向服务器传输交易信息时被信息没有遭到破坏,具有完整性加密的信息在传输过截获程,坦能保证其机密性,但并不能保证不被修改软件漏洞被攻击者利用系统中的软件错误,使得攻2,网页攻击的步骤是什么?击者可以对WEB服务器发出指令,致使系统被修改和损答第一•步,创建一个网页,看似可信其实是假的拷坏,甚至引起整个系统的01溃贝,但这个拷贝和真的“一样”“假网页和其网页一样当用CGI脚本编写的程序或其他涉及到远程用户从浏的页面和链接览中输入表格并进行像检索之类在主机上直接操作命令第二步攻击者完全控制假网页所以浏览器和网络是时,会给WEB主机系统造成危险6,WEB客户机和WEB的所有信息交流者经过攻击者版务器的任务分别是什么?第二步,攻击者利用网页做假的后果攻击者记录受害答WEB客户机的任务是
(1)为客户提出个服务请者访问的内容,当受害者填写表单发送数据时,攻击者求——超链时启动;
(2)将客户的请求发送给服务器;可以记泉下所有数据此外,攻击者可以记录下服务器
(3)解释服务器传送的HTML等格式文档,通过浏览响应回来的数据这样,攻击者可以偷看到许多在线商耀显示给客户WEB服务器的任务是
(1)接收客户务使用的收单信息,包括账号,密码和秘密信息机来的请求
(2)检在请求的合法性;
(3)针对请求,如果需要,攻击者甚至可以修改数据不论是否使用获取并制作数据,包括使用CG1脚本等程序,为文件设SSL或S-HTTP,攻击者都可以对链接做假换句话说,置适当的MIME类型来对数据进行前期处理和后期处理;就算受害者的游览器显示出安全链接图标,受害者仍可
(4)把信息发送给提出请求的客户机能链接在一个不安全链接上7,电了商务安全的六项中心内容是什么?3,什么是Intranet答
(1)商务数据的机密性或称保密性是指信息在网答Intranet是指基于TCP/IP协议的内连网络络上传送或存储的过程中不被他人窃取,不被泄露或披它通过防火墙或其他安全机制与Intranet建立连露给未经授权的人或组织,或者经过加密伪装后,使未接Intranet上可提供所有Intranet的应用服务,经授权者无法了解其内容如WWW,E-MAIL等,只不过服务而向的是企业内部
(2)商务数据的完整性或称正确性是保护数据不被和Intranet一样,Iniranci具有很高的灵活性,未经授权者修改,建立,嵌入,删除,重复传送或由于企业可以根据自己的需求,利用各种Intranet互联技其他原因使原始数据被更改术建立不同规模和功能的网络
(3)商务对象的认证性是指网络两端的使用者在沟4,为什么交易的安全性是电子商务独有的?通之前相互确认对方的身份答这也是电子商务系统所独有的在我们的日常生
(4)商务服务的不可否认性是指信息的发送方面不活中,进和一次交易必须办理一定的手续,由双方签发能否认已发送的信息,接收方不能否认己收到的信息,各种收据凭证,并签名盖章以作为法律凭据但在电广这是一种法律有效性要求商务中,交易在网上进行,双方甚至不会见面,那么一
(5)商务服务的不可拒绝性或称可用性是保证授权旦一方反悔,另一方怎么能够向法院证明合同呢?这就用户在正常访问信息和资源时不被拒绝,即保证为用户需要一个网上认证机构对每一笔业务进行认证,以确保提供稳定的服务交易的安全,避免恶意欺诈
(6)访问的控制性是指在网络上限制和控制通信链5,攻击WEB站点力哪几种方式路对主机系统和应用的访问用于保护计算机系统的资答安全信息被破译WEB服务器的安全信息,如口源(信息,计算和通信资源)不被未经授权人或以未经令,密钥等被破译,导致攻击者进入WEB眼务器浏览授权方式接入,使用,修改,发出指令或植入程序等器的强大功能,可以以不同形式访问WEB站点的数据,
8.电了商务的可靠性的含义是什么?
(2)影响一个供应链上许多厂商的经济活动一个答可靠性是指电子商务系统的可靠性,电子商务系环直上数据完整性被破坏将使供应链上一连串厂商的经统也就是计算机系统,其可靠性姑指为防止由于计算机济活动受到影响失效,程序错误,传输错误,硬件故障,系统软件错误,3)可能造成过不了“关有的电子商务是与海关,计算机病毒和自然灾害等听所产生的潜在威胁,并加以商检,I」.检联系的,错误的数据将使一批贷物挡在“关控制和预防,确保系统安全可靠性口”之外
9.电子商务的真实性的含义是什么?
(4)会牵涉到经济案件中与税务,银行,保险等答真实性蝗旨商务活动中交易身份的真实性,亦即贸易链路相联的电子商务,则会因数据完整性被破坏牵是交易双方确实存在的,不是假冒的连到漏税,诈痂等经济案件中
10.G钥密码体制的特点是什么?
(5)造成电子商务经营的混乱与不信任答第•,加密和解密的速度快,效率高第二,单钥15,简述散列忸数应用于数据的完整性密码体制的加密和解密过程使用同一个密钥发送者的答可用多种技术的组合来认证消息的完整性«为消接收者都需要知道密钥,需要安全渠道进行密钥的传递,除因消息被更改而导致的欺诈和滥用行为,可将两个算单钥密码体制无法适应互联网大环境多人相互通信要求法同时应用到消息上首先用散列算法,由散列函数计11双钥密钥体制展大的特点是什么?算机出散列位后,就将此值——消息摘要附加到这条消答第一,适合密钥的分配和管理第二,算法速度息上当接收者收到消息及附加的消息摘要后,就用此慢,只适合加密小数量的信息消息独自再计算出12替换加密和转换加密的主要区别是什么?•个消息摘要如果接收者所计算出的消息摘要同消答在替换加密法中,原文的顺序没被改变,而是通息所附的消息摘要一致,接收者就如道此消息没有被篡过各种字母映射关系把原文隐藏了起来转换加密法是改将原字母的顺序打乱,将其重新排列O13简述‘密码系16数字签名与消息的真实性认证有什么不同?统的理论安全性的实用安全性答数字签名与消息的真实性认证是不同的消息认答由于计算:机技术的发展,人们借且于计算机进行证是使接收方能验证消息发送者及所发信息内容是否被分析处理,密码的破译能力也不断提高一个密码体制篡改过当收发者之间没仃利害冲突时,这对于防止第的安全性取决于破译者具备的能力,如若它对于拥有无三者的破坏来说是足够J但当接收者和发送者之间限计算资源的破译者来说是安全的,则称这样的密码体相互有利害冲突时,单纯用消息认证技术就无法解决他制是无条件安全的,它意味着不论破译者拥有多大的资们之间的纠纷,此是需借助数字签名技术源,都不可能破译如若,个密码体制对于拥有限计算资17数字签名和手书签名有什么不同?源的破泽者来说是安全的,则称这样的密码体制是计算答数字签名和F书签名的区别在于F书签名是模上安全的,计匏上安全的密码表明破译的难度很大拟的,因人而异,即使同一个人也有细微差别,比较容无条件安全的密码体制是理论上安全的计算上安全易伪造,要区别是否是伪造,往往需要特殊专家而数的密码体制是实用的安全性但目前已知的无条件安全字签名是0和I的数字申,极难伪造,不需专家对不的密码体制都是不实用的;同时还没有■个实用的密码同的信息摘要,即使是同一人,其数字签名也是不同的体制被证明是计算上安全的这样就实现了文件与签署的最紧潸的“捆绑18数字签名可以解决哪些安全鉴别问题?简答题答数字签名可以解决卜.述安全鉴别问题14,简述保护数据完整性的口的,以仃被破坏会带来的(I)接收方伪造接收方伪造一份文件,并声称这严重后果是发送方发送的
(2)发送者或收者否认发送者或答保护数据完整性的目的就是保证计算机系统上的接收者事后不承认自己曾经发送或接收过文件
(3)数据和信息处于一种完整和未受损害的状态这意味着第三方冒充网上的第三方用户冒充发送或接收文件数据不会由于有意或无意的事件而被改变和丢失(4》接收方篡改接收方对收到的文件进行改动数据完整性被破坏会带来严重的后果19无可争辩签名有何优缺点?
(1)造成直接的经济损失,如价格,订单数量等被答无可争辩签名是在没有签名者自己的合作卜不能改变验证签名的签名无可争辩签名是为了防止所签文件被夏制,有利于产的另•类服务器,它主要的任务是为网络服务的服务耦,权拥有者控制产品的散发适用于某些应用,如电子出使用专用服务器可以使备份工作更加可靠版系统,以利于对知识产权的保护26简述数据备份与传统的数据备份的概念在签名人合作下才能验证签名,又会给签名者种机会,答数据备份,是指为防止系统出现操作失误或系统在不利于他时可拒绝合作,因而不具有“不可否认性故障导致数据丢失,而将全系统或部分数据集合从应用无可争辩签名除了一般签名体制中的签名算法和验证主机的硬盘或阵列狂制到其他的存储介质的过程算法外,还需要第三个组成部分,即否认协议签名者传统的数据备份主要是采用数据内置或外置的磁带机利用无可争辩签名可向法庭或公众证明一个伪造的签名进行冷备份的确是假的但如果签名者拒绝参与执行否认协议,就27列举计第机病毒的主要来源表明签名真的由他签署答1,引进的计算机病毒和软件中带有的病毒2,各类出国人员带回的机器和软件染有病毒3,一些染有病简答题揖的游戏软件4,非法拷贝引起的病毒5,计算机生产,20,UPS的作用是防止突然停电造成网络通讯中断经营单位销售的机器和软件染有病毒6,维修部门交叉21,计算机病律是如何产生的?感染7,有人研制,改造病毒8,敌对份子以病毒进行答计算机病赤是人为产生的,是编制者在计算机程宣传和破坏9,通过互联网络传入序中插入的破坏计算机功能,或进毁坏数据,影响计算28数据文件和系统的备份要注意什么?机使用,并能自我复制的一组计算机指令或者程序代码答日常的定时,定期备份定期检查备份的质量22计算机恶性病毒的危害是破坏系统或数据,造成计重要的备份最好存放在不同介质上;注意备份本身的防算机系统摊痪窃和防盗多重备份,分散存放,由不同人员分别保管23简述容错技术的目的及其常用的容借技术29,一套完整的容灾方案应该包括本地容灾和异地容答容错技术的目的是当系统发生某些错误或故障时,灾两套系统在不排除错误和故障的条件下使系统能够继续正常工作11,简述归档与备份的区别或者进入应急工作状态答归档是指将文件从计算机的存储介质中转移到其容错技术最实用的一种技术是组成冗余系统冗余系他永久性的介质上的,以便长期保存的过程备份的目统是系统中除了配置正常的部件以外,还配制出的备份的是从灾难中恢复归档是把需要的数据拷贝或打包,部件当正常的部件出现故障时,备份部件能够立即取用于长时间的历史性的存放,归档可以清理和整理服务代它继续工作当然系统中必须另有冗余系统的管理机器中的数据归档也是提高数据完整性的•种预防性措制和设备另有一种容错技术是使用双系统用两个相施同的系统共同承担同一项任务,当一个系统出现故障时,30病毒有哪叫特征?另一系统承担全部任务答非授权可执行性隐藏性传染性潜伏性表24现在网络系统的备份工作变得越来越困难,其原因现性或破坏性可触发性是什么?31简述计克机病毒的分类方法答其原因是网络系统的复杂性随着不同的操作系统答按寄生方式分为,引导型,病毒文件型和复合型和网络应用软件的增加而增加此外,各种操作系统,病毒都自带内置软件的备份,但自动备份和文件管理上都是按破坏性分为,良性病毒和恶性病毒很基本的,功能不足32,简述计算机病毒的防治策略?25简述三种基本的备份系统答依法治毒,建立一套行之有效的病毒防治体系,答
(1)简单的网络备份系统在网络上的服务渊直制定严格的病毒防治技术规范接把数据通过总线备份到设备中也可把数据通过对网33,保证数据完整性的措施有:有效防毒,及时备份,充络经过专用的工作站备份到工作站的设备中分考虑系统的容错和冗余
(2)服务器到服务器的备份:在网络上的一个服务㈱除了把数据通过总线备份到自己设备中以外,同时又简答题备份到另一个服务器上34扼制点的作用是控制访问
(3)使用专用的备份服务器不同丁第二种中所说35防火墙不能防止的安全隐患有:不能阻止己感染病毒的软件或文件的传输;内部人员的工作失误44,选择VPN(虚拟专用网〉解决方案时需要考虑哪几36,防火墙与VPN之间的本质区别是:堵/通或防范别个要点?人/保护自己答
(1)认证方法;
(2)支持的加密算法
(3)支37设置防火堵的H的及主要作用是什么?持的认证算法
(4)支持IP压缩算法
(5)易于部答设置防火墙的目的是为了在内部网与外部网之间署
(6)兼容分布式或个人防火墙的可用性45,简述设立惟一通道,允许网络管理员定义一个中心“扼制点”VPN的分类提供两个网络间的访问的控制,使得只有被安全策略明答按VPN的部署模式分,VPN的部署模式从本质上确授权的信息流才被允许通过,对两个方向的信息流都描述r VPN的通道是如何建立和终止•的,一般有三种能控制它的主要作用是防止发生网络安全事件引起的VPN部署模式端到端模式供应商到企业模式;内部损害,使入侵更难实现,来防止非法用户,比如防止黑供应商模式客,网络破坏者等进入内部网络禁止存在安全脆弱性按VPN的服务类型分,VPN业务大致可分为三类的服务进出网络,并抗击来自各种路线的攻击intemetVPN AccessVPN和Extranet VPN□46,38简述防火墙的设计须遵循的里本原则.简述VPN的具体实现即解决方案有哪几种?答(I)由内到外和山外到内的业务流必须经过防答
(1)虚拟专用拨号网络,用户利用拨号网络访问火墙<2)只允许本地安全政策认可的业务流必须经企业数据中心,用户从企业数据中心获得一个私有地址,过防火墙
(3)尽可能控制外部用户访问内域网,应但用户数据可跨公共数据网络传输严格限制外部用户进入内域网
(4)具有足够的透明
(2)虚拟专用路由网络,它是基于路由的VPN接入性,保证正常业务的流通
(5)具有抗穿透性攻击能力,方式强化记聚,审计和告警39日前防火蜡的控制技术可分
(3)虚拟租用线路,是基于虚拟专线的一种VPN,它为:包过滤型,包检验型以及应用层网关型三种在公网上开出各种隧道,模拟专线来建立VPN40防火墙不能解决的问题有哪些
(4)虚拟专用LAN子网段,是在公网上用隧道协议答(I)如果网络管理员不能及时响应报警并审杳常仿真出来一个局域网,透明地提供跨越公网的LAN服规记录,防火墙就形同虚设在这种情况卜,网络管理务员永远不会知道防火墙是否受到攻击(2〉防火墙无法防范通过防火堵以外的其他途径的简答题攻击47有效证书应满足的条件有哪些?
(3)防火墙不能防止来自内部变节者和不经心的用答
(1)证M没有超过有效期
(2)密钥没有被修户带来的威胁改如果密钥被修改后,原证书就应当收回,不再使用
(4)防火墙也不能防止传送已感染病毒的软件或文如果雇员离开了其公司,对应的证书就可收回,加果不件收回,且密钥没被修改,则可继续使用该证书:
(3)证
(5)防火墙无法防范数据驱动型的攻击书不在CA发行的无效证书清单中CA负责回收证书并41VPN提供哪些功能?发行无效证书清单用户一旦发现密钥泄露就应及时将答加密数据以保证通过公网传输的信息即使被他证书吊销并由CA通知停用并存档备案人截获也不会泄露48密例时牛.成的两种途径是什么?信息认证和身份认证保证信息的完整性,合法性,答
(1)密钥对持有者自己生成用户自己用硬件或并能鉴用户的身份软件生成密钥对如果该密钥对用于数字签名时,应支提供访问控制不同的用户有不同的访问权限持不可否人性42简述隧道的基本组成
(2)密钥对由通用系统生成由用户依赖的,可答一个隧道启动器,一个路由网络,一个可选的隧信赖的某一中心机构生成,然后要安全地送到特定用道交换机,一个或多个隧道终结隅户的设备中利用这类中心的资源,可产生高质量密43,IPSec提供的安全服务包括:私有性(加密),真钥对,易于备份和管理实性(验证发送者的身份),完整性(防数据算改)和49证书仃哪些类型?重传保护(防止未经授权的数据重新发送)等,并制定答
(1)个人证书证实客户身份和密钥所有权在了密钥管理的方法一些情况下,服务器会在建立SSL连接时,服务器把服务器证并传给客户客户收到证V后,可以检查发行该CA认证巾请者的身份后,生成证书的步骤有哪地?证书的CA是否应该信任对于不信任的答
(1)CA检索所需的证书内容信息;
(2)CA证CACACACACACACACACA实这些信息的正确性
(3)回CA用其签名密钥对证书签名(4》将证书的一个拷贝送给注册者,需要时要求简答题注册者回送证书的收据;<5)CA将证I弓送入证书50,有效证书应满足的条件有哪些?数据库,向公用检索业务机构颂
(6)通常,CA将证答(I)证书没有超过有效期
(2)密钥没有被修书存档;
(7)CA将证书生成过程中的一些细节记入改如果密钥被修改后,原证书就应当收回,不再使用审记记录中如果雇员离开「其公司,对应的证书就可收回,如果不55公钥证书的基木作用?收回,且密钥没被修改,则可继续使用该证书;
(3)答将公钥与个人的身份,个人信息件或其他实体的证书不在CA发行的无效证书清单中CA负责回收证|有关身份信息联系起来,在用公钥证实数字签名时,在并发行无效证书清单用户一旦发现密钥泄露就应及时确信签名之前,有时还需要有关签名人的其他信息,特将证书吊销0并由CA通知停用并存档备案别是要知道签名者是否已被授权为对某特定目的的签名51密钥对生成的两种途径是什么?人答
(1)密钥对持有者自己生成用户自己用硬件或授权信息的分配也需用证仿实现,可以通过发放证书软件生成密钥对如果该密钥对用于数字签名时,应支宣布某人或实体具有特定权限或权威,使别人可以鉴别持不可否认性
(2)密钥对由通用系统生成山用户和承认依赖,可信赖的某一中心机构生成,然后安全地送到特56双切密码体制加加为什么叱以保证数据的机密性?定用户的设备中利川这类中心的资源,可产生高质量答双钥密码体制加密时有•对公钥和私钥,公钊可以密钥对,易于备份和管理公开,私钥由持有者保存,公钥加密过的数据中有持有52,证书有哪些类型?者的私钥能解开,这样就保证了数据的机密性经私钥答
(1)个人证书证实客户身份和密钥所有权在加密过的数据——数字签名可被所具有公钥的人解开,一些情况下,服务器会在建立SSL边接时要求用个人证山于私钥只有持有者一人保存,就样就证明信息发自私书来证实客户身份用户可以向•个CA申请,经审查后钥持有者,具行不可否认证和完整性获得个人证书
(2)服务器证书:证实服务器的身份和公钥当客论述题户请求建立SSL连接时,服务器把服务器证书传给客I,对比传统手书签名来论述数字签名的必要性户客户收到证书后,可以检杳发行该证书的CA是否答商业中的契约,合同文件,公司指令和条约,以应该信任对于不信任的CA,浏览器会提示用户接受或及商务书信等,传统采用手书签名或印章,以便在法律拒绝这个证书上能认证,核准,生效传统手书签名仪式要专门预定
(3)邮件证书证实电广邮件用户的身份和公钥o日期时间,契约各方到指定地点共同签署一个合同文件,一些有安全功能的电了邮件应用程序能使用邮件证书来短时间的签名工作量需要很长时间的前期准备工作由验证用户身份和加密解密信息于某个人不在要签署文件的当地,于是要等待,再等待
(4)CA证书:证实CA身份和CA的签名密钥在这种状况对于管理者,是延误时机;对于合作伙伴,是Netscape浏览器里,服务器管理员可以看到服务受接丢失商机对于政府机关,是办事效率低下受的CA证|九并选择是否信任这些证书CA证书允许电子商务的发展大大地加快了商务的流程,已经不能CA发行其他类型的证书容忍这种“慢条斯理”的传统手书签名方式在电子商53如何对密钥进行安全保护?务时代,为了使商,贸,政府机构和直接消费者各方交答密钥按算法产生后,首先将私钥送给用户,如需流商务信息更快,更准确和更便于自动化处理,各种凭备份,应保证安全性,将公钥送给CA,用以生成相应证证,文件,契约,合同,指令,条约,书信,订单,企书,业内部的管理等必须实现网络化的传递保障传递文件为了防止未授权用户对密钥的访问,应将密钥存入防的机密性应使用加密技术,保障其完整性则用信息摘要窜扰硬件或卡中,或加密后存入计算机的文件中要技术,而保障认证性和不可否认性则应使用数字签名此处,定期更换密码对是保证安全的重要措施54,技术数字签名可做到高效而快速的响应,任意时刻,在地无法对连线作完全的控制,规则设置的先后顺序会严重球任何地方——只要有internet,就可完成签署工作影响结果,不易维护以及记录功能少数字签名除了可用于电子商务中的签署外,还可用于(2〉包检验型包检验型的控制机制是通过一个检电子办公,电子转账及电子邮递等系验模组对包中的各个层次作检验包检验型可谓是包过滤型的加强版,目的在增加包过滤型的安全性,增加控2,||前比较常见的备份方式有哪些?制“连线”的能力但由于包检验的主要对象仍是个别答
(1)定期磁带备份数据
(2)远程磁带库,光的包,不同的包检验方式可能会产生极大的差异其检盘库备份即将数据传送到远程备份中心制作完整的备查层面越广越安全,但其相对效率也越低包检验型防份磁带或光盘
(3)远程关键数据+磁带备份采用磁火墙在检查不完全的情况下,可难会造成原来以为只有带备份数据,生产机实时向备份机发送关键数据
(4)特定的服务可以通过,通过精心设计的数据包,可在到远程数据库备份在与主数据库所在生产机相分离的备达目的地时因重组而被转变杨原来并不允许通过的连线份机上建立主数据库的一个拷贝
(5)网络数据镜像请求这个为了增加效率的设计反而成了安全弱点这种方式是对生产系统的数据库数据和所需跟踪的重要3应用层网关型应用层网关型的防火墙采用将目标文件的更新进行监控与跟踪,并将更新日志实时通连线动作拦截,由一个特殊的代理程序来处理两端间过网络传送到备份系统,备份系统则根据II志对磁盘的边线方式,并分析其边线内容是否符合应用协定的进行更新
(6)远程镜像磁盘通过高速光纤通道线标准这种方式的控制机制可以从头到尾有效地控制路和磁盘控制技术将镜像磁盘延伸到远离生产机的地方,整个连线的动作,而不会被客户或服务器端欺骗,在镜像磁盘数据与主磁盘数据完全一致,更新方式为同步管理上也不会般用途的代理程序来处理大部分连线或异步这种运作方式是最安全的方式,但也是效率最低的一3,试述提高数据完整性的预防性措施有哪些?种方式答预防性措施是用来防止危及到数据完整性事情5试述VPN的优点仃哪段?的发生可采用以下措施“答成本较低VPN在设备的使用量及广域网络的频镜像技术是指将数据原样地从一台设备机器拷贝宽使用上,均比专线式的架构节省,故能使企业网络的到另一台设备机器上总成本降低故障前兆分析有些部件不走•下子完全坏了,例如网络结构灵活VPN比专线式的架构有弹性,当有必磁盘驱动器,在出故障之前往往有些征兆,进行故障要将网络扩充或是变更网络架构时,VPN可以轻易地达前兆分析有利于系统的安全到目的;相对而言,传统的专线式架构便需大费脑筋了奇偶校验是服务器的一个特征它提供一种机潞管理方便VPN较少的网络设备及物理线路,使网络机制来保证对内存错误的检测,因此,不会引起由于的管理较为轻松不论分公司或是远程访问用户再多,服务器出错而造成数据完整性的丧失均只需要通过互联网的路径进入企业网络隔离不安全的人员对•本系统行不安全的潜在威胁VPN是一种连接,从表面上看它类似一种专用连接,人员,应设法与本系统隔离但实际上是在共享网络上实现的它往往使用•种被称电源保障使用不间断电源是组成一个完整的服务作“隧道”的技术,数据包在公共网络上专用的“隧道”器系统的良好方案内传输,专用“隧道”用于建立点对点的连接来自不同数据的网络业务经由不同的隧道在相同的体系结构上4试述防火墙的分类有•及它们分别在安全性或效率上传输,并允许网络协议穿越不兼容的体系结构,还可区彳其特别的优点分来自不同数据源的业务,因而可将该业务发往指定的答目前防火墙的控制技术大概可分为包过滤型.,目的地,并接收指定等级的服务包检验型以及应用层网关型三种6,组建VPN应该遵循的设计原则
(1)包过滤型包过滤型的控制方式会检查所有进答VPN的设计应遵循以下原则安全性,网络优出防火焙的包标头内容,如来源及目的地,使用协定等化,VPN管理等信息现在的路由器,交换式路由器以及某些操作系统在安全性方面,由于VPN直接构建在公用网上,实现已经具有用包过滤控制的能力包过滤型的控制方式最简单,方便,灵活,但同时其安全问题也更为突出,大的好处是效率最高,但却有儿个严重缺点管理复杂,由于VPN直接构建在公用网上,实现简单,方便,灵活,但同时其安全问题也更为突出企业必须确保其据的完整性)而且黑客一旦掌握了攻破方法以后,会VPN上传送的数据不被攻击者窥视和篡改,并且在防不断地继续盗走和篡改数据,而用户很难察觉止非法用户对网络资源或私有信息的访问数据加密的作用ExtrantVPN将企业网扩展到合作伙伴和客户,对安全
(1)解决外部黑客侵入网络后盗窃计算机数据的问性提出了更高的要求安全问题是VPN的核心问题题:目前,VPN的安全保证主要是通过防火墙技术,路由
(2)解决外啊黑客侵入网络后篡改数据的问题器配以隧道技术,加密协议和安全密钥来实现的,可
(3)解决内部黑客在内部网上盗窃计算机数据的问以保证企业员工安全地访问公司网络题在网络优化方而,构建VPN的另一重要需求是充分有
(4)解决内部黑客在内部网上篡改数据的问题:效地利用有限的广域网资源,为重要数据提供可靠的带
(5)解决CPU,操作系统等预先安置了黑客软件或宽广域网流量的不确定性使其带宽的利用率很低,在无线发射装置的问题流量高峰时弓I起网络阻塞,产生网络瓶颈,使实时性数据加密可以解决网络内部信息“看不懂,改不了,要求高的数据得不到及时发送而在流量低谷时又造成盗走也没用”的问题,是网络安全最后一道防线,也是大量的网络带宽空闲QOS通过流量预测与流量控制策价格性能比最好的网络安全问题的根本解决手段略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发8试述一下身份证明系统的相关要求生答对身份证明系统的相关要求在VPN管理方面,VPN要求企业招其网络管理功能从
(1)验证者正确认别合法示证者的概率极大化
(2)局域网无缝地延伸到公用网,甚至是客户和合作伙伴不具可传递性,验证者B不可能重用示证者A提供给他虽然可以将一些次要的网络管理任务交给服务提供商去的信息,伪装示证者A成功地骗取其他人的验证,得到完成,企业自己仍需要完成许多网络管理任务°所以,信任
(3)攻击者伪装示证者欺腑验证者成功的概率一个完善的VPN管理系统是必不可少的VPN管理的目小到可以忽略,特别是要能抗已知密文攻击,即攻击者标为减小网络风险,具有高扩展性,经济性,高可靠在截获到示证者和验证者多次通信下,伪装示证者欺骗性等优点事实上,VPN管理主要包括安全管理,设备验证者
(4)计算有效性,为实现身份证明所需的计管理,配置管理,访问控制列表管理,职务质量管理等算量要小内容
(5)通信有效性,为实现身份证明所需通信次数和数据量要小
(6)秘密参数安全存储7,试述数据加理的必要性
(7)交互识别,有些应用中要求双方互相进行身份答由于网络技术,网络协议,主要技术是公开的,认证所有的网络安全技术出是基丁这些公开的技术,黑客利
(8)第三方实时参与,如在线公例检索服务
(9)用这些公开技术中的漏洞,对网络和数据进行攻击;任第三方的可信赖件
(10)可证明安全性何操作系统无论其技术是否公开,都是有漏洞的,因为后四条是有些身份误用别系统提出的要求安全与运行效率是一个要综合平衡的矛盾身份识别与数字签字密切相关,数字签名是实现身份网络安全是一个解决不了的问题,黑客技术已是某些识别的一个途径,但在身份识别消息的语义基木上是固国家控制和监督别国网络的有力武器,黑客已是窃取政定的,是当前时刻的申请者的身份验证者根据规定或接治经济情服务的最安全,最有效,最快捷的手段在我受或拒绝巾诂一般签字不是“终生”的,但应是长期国的网络技术远远落后国际先进水平的情况下外部和内有效的,未来仍可启用的部黑客进入我国计算机网络窃取有用情报,更如入无人9论述证书机构的管理功能之境,其中主要原因是网络被攻破以后计算机文件数据答证书机构用于创建和发布证书,它通常为一个称和数据库中的数据是可以看懂的明文为安全域的有限群体发放证代创建证书的时候CA系目前技术可达到“几分钟,一块活动硬盘可盗走300统首先获取用户的请求信息,其中包括用户公钥,CA将亿字的数据,一旦黑客攻破网络,加果数据未加密,计根据用户的请求信息产生证书,并用自己的私钥对证书算机数据是可读的,则数据即盗即用黑客还可以针对进行签名其他用户,应用程序或实体将使用CA的公性地盗窃和篡改黑客关心的文件和数据库记录(破坏数钥对证书进行验证如果一个CA系统是可信的,则验i正证书的用户可以确信,他所验证的证书中的公钥属于证书所代表的那个实体CA还负责维护和发布证书吊销表当一个证书,特别是其中的公钥因为其他原因无效时,CRL提供了•种通知用户的中心管理方式CA系统生成CRL以后,要么是放到LDAP服务端中供用户直接查询或下载,要么是放置在WEB服务器的合适位置,以页面超级连接的方式供用户直接查询或下载IO对于公钥/私钥对的不同功能,在要求上要考虑不•致的情况有哪城?答
(1)需要采用两个不同的密钥对分别作为加密/解密和数字签名/验证签名用
(2)一般公钥体制的加密用密钥的长度要比签名用的密钥短,有的国家对出口加密用算法的密钥的长度有限制,而对签名用密钥无限制
(3)由于•实际商务的需要或其他原因,需要用不同的密钥和证书,例如,一般消息加密用的密钥比较短,加密时间可快一些而对短消息加密用的密钥可以长一些,有利于防止攻击
(4)密钥对的使用期限不同加密密钥使用频度比签名用密钥的使用频度大得多,因此更换周期要短
(5)并非所有公钥算法都具有RSA的特点,例如DSA算法可以做签名,但无须建立密钥未来系统要能支持多种算法,因而应支持采用不同签名密钥时和不同密钥的建立
(6)加密算法可能支持密钥托管和密钥恢复,以及可能的法律监听但数字签名的密钥则不允许泄露给他人,其中包括法律机构。