1. 简述信息安全的属性
信息安全的属性:保密性、完整性、可用性、可控性、不可否认性。
含义:保密性:保证信息不泄露给未经授权的人。
完整性:防止信息被未经授权的人(实体)篡改,保证真实的信息从真实的信源无失真地到达真实的信宿。
可用性:保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其他人为因素造成的系统拒绝服务或为敌手所用。
可控性:对信息及信息系统实施安全监控督管理。
不可否认性:保证信息行为人不能否认自己的行为。
2. 简述密钥生命周期的各阶段
密钥生命周期: 分为初始化—颁发—取消三个阶段
3. 简述公钥密码体制得概念
公开密钥密码体制的概念是1976年由美国密码学专家狄匪(Diffie )和赫尔曼(Hellman )提出的,有两个重要的原则:第一,要求在加密算法和公钥都公开的前提下,其加密的密文必须是安全的;第二,要求所有加密的人和把握私人秘密密钥的解密人,他们的计算或处理都应比较简单,但对其他不把握秘密密钥的人,破译应是极困难的。随着计算机网络的发展,信息保密性要求的日益提高,公钥密码算法体现出了对称密钥加密算法不可替代的优越性。近年来,公钥密码加密体制和PKI 、数字签名、电子商务等技术相结合,保证网上数据传输的机密性、完整性、有效性、不可否认性,在网络安全及信息安全方面发挥了巨大的作用。本文具体介绍了公钥密码体制常用的算法及其所支持的服务。
4. 防火墙不能解决的问题有哪些?
答:(1)如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。(2)防火墙无法防范通过防火墙以外的其他途径的攻击。(3)防火墙不能防止来自内部变节者和不经心的用户带来的威胁。 (4)防火墙也不能防止传送已感染病毒的软件或文件。(5)防火墙无法防范数据驱动型的攻击。
5.简述电子商务系统可能遭受攻击的类型?
系统穿透;违反授权原则;植入;通信监视;通信窜扰;中断;拒绝服务;否认;病毒
6. 简述ISO 的八大类安全机制
八大类安全机制包括加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。
1. 加密机制:是确保数据安全性的基本方法,在OSI 安全体系结构中应根据加密所在的层次及加密对象的不同,而采用不同的加密方法。
2. 数字签名机制:是确保数据真实性的基本方法,利用数字签名技术可进行用户的身份认证和消息认证,它具有解决收、发双方纠纷的能力。
3访问控制机制:从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法,当以主题试图非法使用一个未经给出的报警并记录日志 档案。
4. 数据完整性机制:破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误,数据在传输和存储过程中被非法入侵者篡改,计算机病毒对程序和数据的传染等。纠
错编码和差错控制是对付信道干扰的有效方法。对付非法入侵者主动攻击的有效方法是保温认证,对付计算机病毒有各种病毒检测、杀毒和免疫方法。
5. 认证机制:在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等,可用于认证的方法有已知信息(如口令)、共享密钥、数字签名、生物特征(如指纹)等。
6业务流填充机制:攻击者通过分析网络中有一路径上的信息流量和流向来判断某些事件的发生,为了对付这种攻击,一些关键站点间再无正常信息传送时,持续传递一些随机数据,使攻击者不知道哪些数据是有用的,那些数据是无用的,从而挫败攻击者的信息流分析。
7. 路由控制机制:在大型计算机网络中,从源点到目的地往往存在多条路径,其中有些路径是安全的,有些路径是不安全的,路由控制机制可根据信息发送者的申请选择安全路径,以确保数据安全。
8. 公正机制:在大型计算机网络中,并不是所有的用户都是诚实可信的,同时也可能由于设备故障等技术原因造成信息丢失、延迟等,用户之间很可能引起责任纠纷,为了解决这个问题,就需要有一个各方都行人的第三方以提供公证仲裁,仲裁数字签名经济术士这种公正机制的一种技术支持。
简答题
1. 简述电子商务系统安全的构成
2. 答:网络层——网络基础设施(又称网络平台)
它以国际互联网(Internet )为基本,包括内联网(Intranet )、外联网(Extranet )及各种增值网(VAN )等,此外还有远程通信网(Telecom )、有线电视网(Cable TV )、无线通信网(Wireless )等的网络平台。
网络层用户端硬件包括:路由器(route )、集线器(hub )、调制解调器(modem )、基于计算机的电话设备、机顶盒(set-top box)、电缆调制解调器(Cable modem)等。
2. 传输层——信息传输基础设施(又称信息发布平台)
现在最同样的信息发布应用就是万维网WWW (万维网络信息检索服务程序),用HTML 和JAVA 语言将多媒体内容发布到Web 服务器和电子邮件服务器上,再通过一些安全协议将发布的信息传达到接受者。
3. 服务层——电子商务基础设施(又称电子商务平台)
此服务层包括信息安全传递服务、认证(CA )服务、电子支付服务和商品目录服务等。 相应的设备有电子商务服务器、数据库服务器、账户服务器、协作服务器;相应的机构有网络数据中心、认证中心、支付网关和客户服务中心等。
4. 应用层——电子商务各应用系统
为各行各业、公私机构提供各种电子商务应用。现在已经实现的有网上广告、网上购物、
电子商城、网上银行、网上报税、电子缴税、EDI 报关、工程招投标、信息咨询服务、福利金及保障费发放、信访及举报、个性化服务、竞价拍卖、视频直播、网上娱乐、供应链管理、客户关系管理等。随着电子商务进一步发展,必将出现更多的应用。
2. 简述消息认证的内容
答:消息认证就是意定的接收者能够检收到的消息是否真实的方法。消息认证又称为完整性校验,它在银行业成为消息认证,在OSI 安全模式中称为封装。消息认证的内容包括:证实消息的信源和信宿;消息内容是否曾收到偶然或有意的篡改;消息的序号和时间性是否正确。
3. 简述一个具有可信仲裁者的团体签名方案
答:(1)T 生成一大批公开密钥/私钥密钥对,并且给团体内每个成员一个不同的唯一私钥表。在任何表中密钥都是不同的(如果团体内有n 个成员,每个成员得到m 个密钥对,那么总共有n*m个密钥对)
(2)T 以随机顺序公开该团体所用的公开密钥主表。T 保持一个哪些密钥属于谁的秘密记录。
(3)当团体成员想对一个文件签名时,他从自己的密钥表随机取一个密钥。
(4)当有人想验证签名是否属于该团体时,只需查找对应公钥表并验证签名。
(5)当争议发生时,T 知道哪个公钥对应于哪个成员。
4. 简述双钥密码体制的基本概念及特点
答:双钥密码体制:又称为公共密钥体制或非对称加密体制,这种加密法在加密和解密过程要使用一对密钥,一个用以加密,另一个用于解密即通过一个密钥加密的信息,只有使用另一个密钥才能够解密。个人密钥用于解密。用户将公共密钥交给发送或公开,信息发送者使用接收人的公共密钥加密的信息只有接收人才能解密。
双钥密码体制算法的特点是:(1)适合密钥的分配和管理(2)算法速度慢,只适合加密小数量的信息。
5. 简述数据完整性被破坏带来的严重后果
答:答:保护数据完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态。这意味着数据不会由于有意或无意的事件而被改变和丢失。
数据完整性被破坏会带来严重的后果:
(1)造成直接的经济损失,如价格,订单数量等被改变。(2)影响一个供应链上许多厂商的经济活动。一个环节上数据完整性被破坏将使供应链上一连串厂商的经济活动受到影响。
(3)可能造成过不了“关”。有的电子商务是与海关,商检,卫检联系的,错误的数据将使一批贷物挡在“关口”之外。(4)会牵涉到经济案件中。与税务,银行,保险等贸易链路相联的电子商务,则会因数据完整性被破坏牵连到漏税,诈骗等经济案件中。(5)造成电子商务经营的混乱与不信任。
6. 简述数据加密的作用
答:保密性:帮助保护用户的标识或数据不被读取。 数据完整性:帮助保护数据不更改。
身份验证:确保数据发自特定的一方。