电子商务安全

电子商务安全第一章1、电子商务安全要求有什么特殊性？答：1、 电子商务安全是一个系统概念。2、 电子商务安全是相对的。3、 电子商务安全是有代价的。4、 电子商务安全是发展，动态的。2、以在网上购书为例，请你说说在网上购书过程中会面临哪些安全威胁？答：1、 假冒的网站，IE木马等2、 付款方式：网银现结，第三方账户，3、 给账户充值过程中可能被盗取网银账户和密码4、 非正规网站收款后不发货。3、 电子商务站点面临的安全威胁可能有黑客入侵，服务器感染病毒，数据丢失，请结合电子商务的例子，看看他们采取了哪些安全措施？答：依阿里巴巴为例：（1）加密技术①对称加密/对称密钥加密/专用密钥加密②非对称加密/公开密钥加密（2）密钥管理技术（3）数字签名（4）Internet电子邮件的安全协议（5）Internet主要的安全协议（6）UN/EDIFACT的安全（7）安全电子交易规范4、 电子商务安全包含哪些基础技术？答：1、密码技术。2、网络安全技术。3、PKI技术。5、电子商务安全服务规范有哪些？各个网络层次分别有什么样的解决方案？答：1、 网络层安全服务，网络层的安全使用IPsec方案。2、 传输层安全服务，传输层的安全使用SSL\TLS方案。3、 应用层安全服务，应用层的安全使用S-HTTP,SET,Kerberos,S\MIME,PGP等。第二章1、什么是单钥密码体制？什么是双钥密码体制？二者各有何特点？答：1、在单钥体制下，加密密钥和解密密钥是一样的，或实质上是等同的，这种情况下，密钥就经过安全的密钥信道由发方传给收方。单钥密码的特点是无论加密还是解密都使用同一个密钥，因此，此密码体制的安全性就是密钥的安全。如果密钥泄露，则此密码系统便被攻破。最有影响的单钥密码是。。单钥密码的优点是：安全性高。加解密速度快。缺点是：1）随着网络规模的扩大，密钥的管理成为一个难点；2）无法解决消息确认问题；3）缺乏自动检测密钥泄露的能力。2、而在双钥体制下，加密密钥与解密密钥是不同的，此时根本就不需要安全信道来传送密钥，而只需利用本地密钥发生器产生解密密钥即可。双钥密码是：。由于双钥密码体制的加密和解密不同，且能公开加密密钥，而仅需保密解密密钥，所以双钥密码不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。最有名的双钥密码体系是：双钥密码的缺点是：双钥密码算法一般比较复杂，加解密速度慢。3、DES,IDES,AES等分组密码有何共同特点？答：分组密码是将明文序列划分成等长的分组（Block），对每一组用同一加密算法和同一密钥进行加密。4、应用RSA算法对下列情况实现加密和解密：①p=3；q=11，d=7；M=5②p=5；q=11，e=3；M=9③p=7；q=11，e=17；M=8④p=11;q=13,e=11；M=7。⑤p=17；q=31,e=7；M=2答：①e=3,C=26；②C=14；③C=23:④C=106:⑤C=1285、在一个使用RSA的公开密钥系统中，你截获了发给一个其公开密钥是e=5,n=35的用户的密文C=10。明文M是什么？答:z=24,d=5,M=5°6、在一个RSA系统中，一个给定用户的公开密钥是e=31,n=3599。这个用户的私有密钥是什么？答：n=59*61,z=3480,d=3031°7、考虑椭圆曲线E11(1,6)；也就是由y2=x2+x+6和一个模数p=11定义的曲线。确定E11(1,6)中的所有的点。答：省略8、信息隐藏的基本原理是什么？答：信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中，然后通过公开信息的传输来传递机密信息9、讨论生物识别是否会取代当今银行的口令识别系统？试论其使用的前提条件答：不会。10、量子密码术有何特点？答：量子密码术用于建立、传输密码本，而不用于传输密文。最初的量子密码通信利用的都是光子的偏振特性，目前主流的实验方案则用光子的相位特性进行编码。量子密码术突破了传统加密方法的束缚，以量子状态作为密钥具有不可复制性，可以说是”绝对安全”的。任何截获或测试量子密钥的操作都会改变量子状态。这样截获者得到的只是无意义的信息，而信息的合法接收者也可以从量子态的改变知道密钥曾被截取过。11、电子商务安全采用无纸化考试，为了保密处理，考生考完后需要对答卷进行加密处理，假设有DES、RSA两种加密算法供选择，请问应该选择哪种算法？为什么？如何处理？答：对于上面讲的这种情况，还是用DES比较好。因为试卷的话，内容比较多，明文空间所占内存比较大，如果用RSA的话，运行速度会很慢，所以不适合咱们这种情况。相比而言，DES就会快很多。12、目前，许多新的电子邮件系统都具有加密功能。问：如果你来开发这样的带有加密功能的邮件系统，是采用DES、AES、PGP，还是其它，为什么？答：采用PGPDES,AES均为分组密码体制，加密解密公用同一密钥，密钥管理困难°PGP为复合型加密体制，综合了对称密钥与非对称密钥的优点。可以用于对邮件加密，密钥管理以及进行数字签名，防止抵赖。第三章1、什么是数字签名？讨论什么情况下用数字签名比用加密更合适？答：以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。同数字签名样，公共密钥加密使用PGP等软件，使用数学算法转换信息并且依靠公共和专用密钥。但，加密和数字签名区别，加密目通过把信息翻译成密码秘密地隐藏内容。数字签名目完整性和身份识别性，验证个信息发送者和指出内容没被修改。虽然加密和数字签名能够单独使用，但你还可以对加密信息采用数字签名。当你签署个信息时，你使用你专用密钥，任何你公共密钥都能够验证这个签名合法。当你加密个信息时候，你为接收你信息使用这个公共密钥，并且使用他或者她专用密钥解码这个信息。用于们要保持自己专用密钥机密，并且使用口令保护这些密钥，这个信息接收者应该惟能够观看这个信息。2、双联签名的概念是什么？其基本原理是什么？答：在实际商务活动中经常出现这种情形，即持卡人给商家发送订购信息和自己的付款帐户信息，但不愿让商家看到自己的付款帐户信息，也不愿让处理商家付款信息的第三方看到定货信息。在电子商务中要能做到这点，需使用双联签名技术。•双联签名的使用方法如下：(1)持卡人将发给商家的信息M1和发给第三方的信息M2分别生成报文摘要MD1和报文摘要MD2；(2)持卡人将MD1和MD2合在一起生成MD，并签名；(3)将M1、 MD2和MD发送给商家，将M2、 MD1和MD发送给第三方；•接收者根据收到的报文生成报文摘要，再与收到的报文摘要合在一起，比较结合后的报文摘要和收到的同。，确定持卡人的身份和信息是否被修改过。双联签名解决了三方参加电子贸易过程中的安全通信问题。3、试设计一个数字签名方法，以便使接收方能验证签名答：省略4、用DSS，因为每个签名将产生不同的k值，因此即使分别在不同的场合对相同的报文签名，产生的签名也不相同°RSA签名是不能这样的。这样的不同有什么实际意义？答:RSA是最流行的一种加密标准，许多产品的内核中都有RSA的软件和类库。早在Web飞速发展之前，RSA数据安全公司就负责数字签名软件与Macintosh操作系统的集成，在Apple的协作软件PowerTalk上还增加了签名拖放功能，用户只要把需要加密的数据拖到相应的图标上，就完成了电子形式的数字签名。与DSS不同，RSA既可以用来加密数据，也可以用于身份认证。在公钥系统中，由于生成签名的密钥只存储于用户的计算机中，安全系数大一些。5、 数字时间戳是如何签署的？答：用户首先将需要加时间戳的文件用Hash编码形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件数字签名，然后送回用户。6、 某个人写了一份遗嘱需要多个律师签名，以保障遗嘱的合法性和可认证性，但不想让任何律师知道。问此人应该使用什么技术？答：此人应该使用多重签名7、 如果选举单位要采用电子投票的方式进行投票，应该采用什么技术来保证投票的公正性、匿名性？答：第四章1、什么是保持数据完整性？试述保持数据完整性的基本原理。实现数据完整性的主要手段是什么？答：1、保持数据完整性是指在有自然人或人为干扰的条件下，网络系统保持发送方和接收方传送数据一致性的能力，是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或防止由于其他原因使原始数据被更改。2、，主要原理是通过有限状态机产生性能优良的伪随机序列，使用该序列加密信息流，得到密文序列、分组密码的工作方式是将明文分成固定长度的组，

如64比特一组，用同一密钥和算法对每一组加密，输出也是固定长度的密文、3、数据的完整性靠添加约束实现，大部分数据库都有这类约束：是否可空，是否唯一，主键约束，外键约束，条件约束。2、 认证包含哪些内容？答：1）消息摘要方法解决了消息的完整性问题；（2）采用数字信封技术保证数据的传输安全；（3）采用数字签名技术进行发送者的身份认证，并同时保证数据的完整性，完成交易的不可否认性；（4）采用口令字技术或公开密钥技术进行身份认证；（5）采用持证认证进行身份认证；（6）采用生物识别进行身份认证。3、 散列函数是什么？试述散列函数在身份认证中的作用。答：1、散列函数又称hash函数，Hash函数（也称杂凑函数或杂凑算法）就是把任意长的输入消息串变化成固定长的输出串的一种函数2、散列函数在身份认证中的作用：文件校验，数字签名，鉴权协议4、 身份认证有哪些主要手段？预测将来会采用什么样的身份认证手段？答：1、口令认证，2、持证认证，3、生物认证2、预测将来会采用的身份认证手段有：1、多形态因子认证。2、基于风险的认证。3、名誉服务认证5、 X、509和Kerberos认证协议分别应用于哪些情形？6、 目前远程教育越来越盛行，对于远程课件的访问、成绩的查询、作业的提交以及成绩的录入，如何根据不同的用户进行有效的身份认证？7、 为了防止软件盗版，各大公司都采取了一些软件的认证保护技术，请你分析Microsoft对WindowsXP的保护中采用了哪些认证手段？第六章1第六章1、网络安全的关键技术有哪些?答：1、 访问控制：访问控制主要有两种类型：网络访问控制和系统访问控制。•2、 认证技术：认证(Authentication)是确定某人或某事是否名副其实或有效的过程。•3、 加密通信技术:加密就是为了安全目的对信息进行编码和解码。・4、 入侵检测:入侵检测是网络安全的一个重要组成部分。•5、 防病毒技术:计算机病毒是一种特殊的程序，由病毒引发的问题属于软件故障。2、防火墙设备的主要功能是什么？防火墙可以完成的安全业务有那些？答：防火墙主要具有如下一些功能：1、 防止外部攻击2、 防止内部信息泄漏3、 对网络存取和访问进行监控审计4、 VPN功能5、 防火墙自身的抗攻击能力防火墙可以完成的安全业务有：1、保护脆弱的服务2控制对系统的访问3集中的安全管理4增强的保密性5策略执行3、 根据防火墙和Web服务器所处的位置，可以有哪三种配置？答：Dual-homed方式、Screened-host方式和Screened-subnet方式4、 防火墙不能对付那些安全威胁？答：1防火墙不能防范来自内部的攻击2防火墙不能防范不经由防火墙的攻击3防火墙不能防止受到病毒感染的软件或文件的传输4防火墙不能防止数据驱动式攻击5、 如某公司在中国有广州和北京两办事处，现打算通过虚拟专用网进行连接，请帮他们提供一个可行的方案。6、 虚拟专用网的安全策略是什么？答：目前建造虚拟专网的国际标准有IPSec(RFC1825-1829)和L2TP(草案draft-ietf-pppextT2tpT0)。IPSec是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它(L2TP标准)必须以IPSec为安全基础。VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程如下：①要保护的主机发送明文信息到连接公共网络的VPN设备；②VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。③VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。④当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密7、 虚拟专用网有哪几种连接类型？答：省略8、 入侵检测能解决什么样的安全问题？9、 什么是计算机病毒？它与生物病毒有何相似之处？答：计算机病毒是一种小程序，能够自我复制，会将自己的病毒码依附在的其他程序上，通过其他程序的执行，伺机传播病毒程序，有一定潜伏期，一旦条件成熟，进行各种破坏活动，影响计算机使用计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络，危害正常工作的“病原体”。它能够对计算机系统进行各种破坏，同时能够自我复制，具有传染性10、 你是如何判断你的计算机可能有病毒了？答：可以从以下判断计算机是否有病毒：从目前发现的病毒来看，主要症状有：（1）由于病毒程序把自己或操作系统的一部分用坏簇隐起来，磁盘坏簇莫名其妙地增多。（2）由于病毒程序附加在可执行程序头尾或插在中间，使可执行程序容量增大。（3）由于病毒程序把自己的某个特殊标志作为标签，使接触到的磁盘出现特别标签。（4）由于病毒本身或其复制品不断侵占系统空间，使可用系统空间变小。（5）由于病毒程序的异常活动，造成异常的磁盘访问。（6）由于病毒程序附加或占用引导部分，使系统导引变慢。（7）丢失数据和程序。（8）中断向量发生变化。（9）打印出现问题。（10）死机现象增多。（11）生成不可见的表格文件或特定文件。（12）系统出现异常动作，例如：突然死机，又在无任何外界介入下，自行起动。（13）出现一些无意义的画面问候语等显示。（14）程序运行出现异常现象或不合理的结果。（15）磁盘的卷标名发生变化。（16）系统不认识磁盘或硬盘不能引导系统等。（17）在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。（18）在使用写保护的软盘时屏幕上出现软盘写保护的提示。（19）异常要求用户输入口令11、 某家网上书店需要对于自身的网络系统进行安全建设，该系统的关键部件有DNS/Mail服务器、负载平衡服务器、WWW服务器、数据库服务器、应用服务器等。请问如果要您来为他们进行安全产品的采购和安全系统的建设，您有什么好的方案？12、 当前许多病毒是通过网络感染，你认为公司通过购置防火墙或者VPN、IDS产品能有效的预防病毒吗？为什么？第七章1、 安全管理包括哪些范畴？答：1电子商务安全管理框架2资产识别3风险评估4安全策略5应急响应6灾难恢复7企业管理安全解决方案2、 安全策略是什么概念？它包含那些内容？答：电子商务安全策略是为了管理和保护敏感信息资源而制定的一组要求，法律和措施的总和，是企业内部人员必须遵守的规则。3、 制定电子商务安全策略的基本原则有那些？答：1、 需求、风险、代价平衡分析的原则2、 综合性、整体性原则3、 一致性原则4、 易操作性原则5、 适应性、灵活性原则6、 多重保护原则4、 资产赋值要考虑哪些因素？答：资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性。5、 风险评估有哪些基本要素？答：资产，脆弱性，威胁，风险，安全措施。6、 风险评估应提交哪些报告？答：（1）风险评估过程计划。（2）风险评估程序。（3）信息资产识别清单。（4）重要信息资产清单。（5）威胁参考列表。（6）脆弱性参考列表。（7）风险评估记录。（8）风险处理计划。（9）风险评估报告。7、 应急响应策略主要有哪些步骤？答：1事前准备2发现突发事件3初始响应4制定响应策略5事件调查阶段6提交报告阶段7解决方案阶段8、 什么是灾难恢复？最好的灾难恢复的策略是什么？答：灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，井将其支持的业务功能从灾难造成的不正常态恢复到可接受状态，而设计的活动和流程9、 大家讨论是否碰见过数据丢失的情形，各自是如何挽回损失的？日常采取过哪些灾难预防措施？10、 许多安全问题都是由于内部的管理引起的，请你针对企业的内部安全管理的各个方面谈谈相应的安全防范与对策。答：11、 在日本，某大型银行其内部的电子数据极其重要，一经丢失会造成严重的损失，由于其数据服务器坐落在地震的多发带，面临着由于自然灾难造成数据丢失的风险，请从数据备份以及灾难恢复方面讨论如何进行数据备份恢复，谈谈你的看法及解决方案。第八章1、 什么是公钥基础设施？PKI由哪几部分组成？答：由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成，管理密钥和证书的系统或平台权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分2、 公钥基础设施有哪些技术基础？答；加密、数字签名、数据完整性机制、数字信封、双重数字签名3、 PKI有哪几种信任模型？他们各有何特点？答：1认证机构的严格层次结构模型分布式信任结构模型Web模型以用户为中心、的信任模型2认证机构的严格层次结构模型的特点：增加新的认证域用户容易。证书路径由于其单向性，容易扩展，可生成从终端用户证书到信任锚的简单明确的路径。证书路径相对较短，最长的路径等于树的深度加1，每个从属CA的证书路径加上终端用户的证书路径。证书短小、简单。分布式信任结构模型的特点：具有更好的灵活性。从安全性削弱的CA中恢复相对容易、并且它只影响到数量较少的用户。增加新的认证域更为容易Web模型的特点：方便简单，操作性强，对终端用户的要求较低。用户只需简单的信任嵌人的各个根cA。以用户为中心的信任模型：①安全性很强。用户可控性很强。4、 认证中心的主要功能是什么？答：一、证书的颁发二、 证书的更新三、 证书的查询四、 证书的作废五、 证书的归档5、 认证中心CA的管理工作有哪几个方面？答：证书导入、导出、删除、证书查询、证书更新、证书吊销6、 每个在认证中心进行了注册登记的用户都会得到一对密钥，这对密钥有些什么用处？答：7、 数字证书由谁发行？数字证书在保证电子商务安全中的作用是什么？答：数字证书由证书授证(CertificateAuthority)中心。一、信息的保密性一、 信息的保密性二、 交易者身份的确定性三、 不可否认性四、 不可修改性8、 公钥基础设施、认证中心、和数字证书三者之间的关系是怎样的？答：公钥基础设施的核心、机构是认证中心、，认证中心的核心、产品是数字证书。9、 中国同国外发达国家相比，PKI的发展存在哪些主要差距？答1、 各家CA基本处于互相分割状态，成为互不关联的信任孤岛；2、 已建CA规模小，利用率低，产业有待重组；3、 总体来看，已建。入自身安全考虑不够全面，安全强度较弱；4、 CA地位在我国现行法律中尚未得到合法的保证；5、 技术和产品供应厂商层次不齐，缺乏国家的统一标准指导；10、小李获得了广州的CA颁发的数字证书，但他要想通过该证书在北京、上海等不同城市也同样能够获得认证，该如何实现呢？请讨论在我国不同城市CA或者不同CA发出的数字证书是如何相互认证的。答：省略11、 Alice、Bob的数字证书分别是Verisign、Thawte公司颁发，如果Alice与Bob想进行安全通信，他们俩如何利用不同公司颁发的证书进行认证？答：省略12、 请登录中国数字认证中心、，下载一个证书进行分析应用。答：省略13、 试比较中国和美国的P