电子商务安全与案例B卷答案-成人高等教育、网络教育

1、 网络教育学院2008年1月试题答案课程名称：电子商务安全与案例A卷 B卷 考试时间 100分钟 评分教师 职称 一、填空题（每空1分，共9空，合计9分）。1保密性（Confidentiality）、完整性（真确性）integrity2个人签名证书、机构签名证书3直接数字签名、仲裁数字签名4SSL记录协议5HTTP6一致性二、名词解释（每题5分，共7题，合计35分）。1密码分析学是研究密码变化的规律并用于分析密码以获取信息情报的科学，（3分）即研究如何攻破一个密码系统，恢复被隐藏信息的本来面目。（2分）2密码系统设计原则之一，（2分）指密码系统中的算法即使为密码分析员所知，也应该无助于用来推导

2、明文或密钥。（3分）3数字证书 (Digital Certificate)是标志一个用户身份的一系列特征数据, 其作用类似于现实生活中的身份证。（2分）最简单的数字证书包含一个公钥、用户名以及发证机关的数字签名等。通过数字证书和公钥密码技术可以建立起有效的网络实体认证系统，为网上电子交易提供用户身份认证服务。数字证书是由权威的证书发行机构发放和管理的，证书发行机构也称为认证中心(CA)。（3分）4PGP(Pretty Good Privacy)，是一个基于RSA公匙加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮

3、件没有被篡改。（2分）它可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。而且它的源代码是免费的。（3分）5异常发现技术假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。（2分）对于异常阀值 (或门限值)与特征的选择是异常发现技术的关键。比如，通过流量统计分析，将异常时间的异常网络流量视为可疑。异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难以计算和

4、更新。（3分）6一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”（1）隐藏IP（1分）（2）踩点扫描（1分）（3）获得系统或管理员权限（1分）（4）种植后门（1分）（5）在网络中隐身（1分）7防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。（3分）防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。（2分）三、简答题（每题7分，共8题，合计56分）。1为了监视和防止计算机犯罪活动，人

5、们提出了密钥托管（Key Escrow，KE）的概念，指国家强制规定进行的私钥托管。（3分）为防止用户逃避托管，密钥托管技术的实施需要通过政府的强制措施进行。用户必须先委托密钥托管机构（KEA）进行密钥托管，取得托管证书，才能向CA申请加密证书。CA必须在收到加密公钥对应的私钥托管证书后，再签发相应的公钥证书。（2分）为了防止KEA滥用权限及托管密要的泄漏，用户的私钥被分成若干部分，由不同的密钥托管机构负责保存。只有将所有的私钥分量合在一起，才能恢复用户私钥的有效性。（2分）2基于PKI技术的数字签名：1、采用技术：公开密码加密（非对称式加密系统）和数字摘要（数字指纹）2、要求：数字签名包括消

6、息签名和签名认证两个部分，接受者能核实发送者对报文的签名，发送者事后不能抵赖签名，接受者不能伪造签名。（2分）数字签名原理流程： 被发送文件用SHA编码加密产生128Bit的数字摘要。（1分）发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。（1分）将原文和加密的摘要同时传给对方。（1分）对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生 又一摘要。（1分）将解密后的摘要和收到的文件与在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。 （1分）3DNS即Domain Name System，领域命名系统简称域名系统或DNS 。它是

7、一种组织成域层次结构的计算机和网络服务命名系统。DNS命名用于TCP/IP网络，用来通过用户的名称定位计算机和服务。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与此名称相关的其他信息，如IP地址。（3分） 由于IP地址是一个32位的二进制数字，我们常常见到的是称为点分十进制的IP地址，它形如05，而域名就是形如的名称，是由几个部分组合而成的，主机名是由圆点分隔开的一连串的单词来代表的。域名使用小写字母和大写字母是等价的，但一般写为小写形式。（3分）域名便于记忆，但计算机系统只认识IP地址，必须要有一种方法把域名转换为IP地址，域名系统就是完成这种转换的。（1分）4以lPSe

8、c-VPN为例，VPN的工作流程如下：访问控制：访问控制模块决定是否允许发送端的明文进入公网，确定是直接明文进人，还是应该加密而进入安全隧道。（2分）加密处理：需加密传递的报文，进行加密和摘要、签名等认证处理,然后按进入公用lP网的要求，重新对报文进行IP封装。（2分）传输解密：经封装后的报文通过公网加密“隧道” 传递至目的端。他人无法篡改或伪造仿冒内容。接收方通过相反过程对报文解密。（2分）VPN工作原理示意图 （1分）5黑客攻击五部曲中第二步踩点扫描中的扫描，一般分成两种策略: 一种是主动式策略： 主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而

9、发现其中的漏洞。（2分）另一种是被动式策略：被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。 （2分）主动式扫描可以分成两大类：1、慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。2、乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。（2分）被动式策略扫描 被动式策略是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。被动式扫描不会对系统造成破坏，而主动式扫描对系统进行模拟攻击，可能会对系统造成破坏。 （1分）6按简单结构和复杂结构来区分，防火墙的分类包括：（2分）简单结

10、构：屏蔽路由器、双目主机；复合型结构：屏蔽主机、屏蔽子网还可以分为包过滤和代理型防火墙： （1分）包过滤防火墙：防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网的交界点上。包过滤器可以安装在一个路由器上，也可以安装在一个服务器上。图中的防火墙是用一台过滤路由器实现的。（1分）属于代理型防火墙的有：双宿主主机(双目主机)防火墙、被屏蔽主机（堡垒主机）、被屏蔽子网。 （3分）7保护敏感信息和数字资产（2分）（1）数据库和系统紧密相关并更难正确地配置和保护（2分）（2）数据库系统保护与网络和操作系统的保护相比有特殊性（1分）（3）少数数据库安全漏洞不仅威胁数据库系统安全,也威胁其他操作系统和其他可信任系统的安全（1分）（4）数据库是大多数商业系