第一篇:电子商务安全与保密精华版
1.电子商务的安全性包括四个方面:密码安全、计算机安全、网络安全、信息安全①密码安全:通信安全最核心的部分,由技术上提供强韧的密码系统及其正确应用来实现②计算机安全:一种确定的状态,使计算机化数据和程序文件不致被非授权人员、计算机或其他程序所访问、获取或修改。安全的实施可通过限制被授权人员使用计算机系统的物理范围、利用特殊(专用)软件和将安全功能构造于计算机操作规程中等方法来实现③网络安全:包括所有保护网络的措施:物理设施的保护、软件及职员的安全,以防止非授权的访问、偶发或蓄意的常规手段的干扰或破坏。因此,有效的安全措施是技术与人事管理的一种均衡或合理配合。④信息安全:保护信息财富,使之免遭偶发的或有意的非授权泄露、修改、破坏 2.网络安全性要求:保密性:保持个人的、专用的和高度敏感数据的机密认证性:确认通信双方的合法身份完整性:保证所有储存和管理的信息不被篡改可访问性:保证系统、数据和服务能够由合法的的人员访问防御性:能够阻挡不希望的信息或黑客不可否认性:防止通信或交易双方对已进行业务的否认合法性:保证各方的业务符合可适用的法律和法规
3、信息量:对消息的所有可能含义进行编码时所需要的最少的比特数
4、熵:一条信息M中的信息量可通过它的熵来度量,表示为H(M)一条消息的熵也可以表示它的不确定性一条信息的H(M)很大,则表示信息的不确定性很大,从而接受方收到信息时,信息量就相当大了;如果明文的熵值不大,即不确定性太小,则攻击者有很大的概率可以猜中该信息
5、惟一解距离:当进行强力攻击时,可能解密出惟一有意义的明文所需要的最少密文量。惟一即而距离越长,密码体制越好
6、混乱和散布:这是两项隐蔽明文信息中的多余度的基本技术。混乱用于掩盖明文和密文之间的关系。这可以挫败通过研究密文以获取多余度和统计模式的企图,做到这点的最容易的方法就是通过代替。散布是通过将明文多余度分散到米文中使之分散开来。产生散布最简单的方法是通过换位
7、算法的计算复杂度由两个变量来度量,T(时间复杂性)和S(空间复杂性或所需存储空间)(对于密码体制来说,攻击的时间复杂性是与可能的密钥总数成比例的,它是密钥长度的指数函数。如果n是密钥长度,那么强力攻击的复杂性是O(2n))
8、模运算:模运算即求余运算、素数:比1大,其因子只有1和它本身,没有其他的数可以整除它、最大公因子:指某几个整数共有因子中最大的一个、取模数求逆元、欧拉函数:欧拉函数是少于或等于n的数中与n互质的数的数目,看课本P44—P47
9、无条件安全:如果不论截取者获得了多少密文,但在密文中没有足够的信息来唯一的确定出对应的明文,则这个密码体制称为无条件安全
10、网络通信中的加密方式:①链路——链路加密:所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。②节点加密:在操作上与链路加密类似。与链路加密不同的是,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。这种方法对防止攻击者分析通信业务是脆弱的③端到端加密:端到端加密允许数据在从源点到终点的运输过程中始终以密文形式存在,采用端到端加密,消息在被传输到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。与前两种相比更可靠,更容易设计、实现和维护
11、加密方式的选择,根据各加密方式的特点,在不同场合如何选择合适的加密方式。P61——62
12、加密方式的比较:(1)链路加密:优点:
1、包含报头和路由信息的所有信息均加密
2、单个密钥损坏时整个网络不会损坏,每对网络节点可使用不同的密钥
3、加密对用户透明。缺点:
1、消息以明文形式通过每一个节点
2、因为所有节点都必须有密钥,密钥分发和管理变得困难
3、由于每个安全通信链路需要两个密码设备,因此费用较高(2)节点加密:优点:
1、消息的加、解密在安全模块中进行,这样使得消息内容不会被泄露
2、加密对用户透明。缺点:
1、某些信息(如报头和路由信息)必须以明文形式传输
2、因为所有节点都必(3)端到端加密:优点:
1、使用方便,采用用户自己的协议进行加密,并非所有数据需要加密
2、网络中数据从源点到终点均受保护
3、加密对网络节点透明,在网络重构期间可使用加密技术。缺点:
1、每一个系统都需要完成相同类型的加密
2、某些信息(如报头和路由信息)必须以明文形式传输
3、需采用安。
13、DES(数据加密标准)加密:DES采用传统的换位和置换的方法进行加密,在56b密钥的控制下,将64b明文块变换为64b密文块,加密过程包括16轮的加密迭代,每轮都采用一种乘积密码方式(代替和移位),具体原理看课本P63——P67
14、()公钥加密:由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。它解决了密钥的发布和管理问题,是目前商业密码的核心。()对称加密:采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,需要对加密和解密使用相同密钥的加密算法。传统加密方式与公钥加密的相同点:①明文输入②算法③密文④解密⑤公钥、私钥
15、RSA算法基础(具体计算,大题): RSA算法是建立在“大数分解和素数检测”的理论基础上的,它运用了数论中的Euler定理,即a,r是两个互素的正整数,则az≡1(mod r),其中z为与r互素且不大于r的正整数的个数(即Euler函数)。该算法取用一个合数(该合数为两个大素数的乘积),而不是采用一个大素数作为其模数r RSA的实施:设计密钥、设计密文、恢复明文⑴设计密钥:先仔细选取两个互异的大素数P和Q,令N=P*Q,z=(P-1)*(Q-1),接着寻求两个正整数d和e,使其满足gcd(d,z)=1,e*d=1(mod z)。这里的(N,e)就是公开的加密密钥⑵设计密文:把要发送的明文信息M数字化和分块,其加密过程是:C=Me(mod N)⑶恢复明文:对C 解密,即得到明文
M=Cd(mod N)
16、数字签名:数字签名基于消息特征分类有两种:一种是对整个消息的签名,一种是对压缩消息的签名数字签名常用的有:①RSA签名②ElGamal签名
17、DSS(数字签名标准)美国政府用来指定数字签名算法的一种标准,其中也涉及到非对称加密法
DSA(数字签名算法)
18、Hash函数:特点: 1)H可以作用于一个任意长度的数据块,即输入任意 2)H产生一个固定长度的输出 3)H(x)对任意给定的x计算相对容易,无论是软件还是硬件实现4)对任意给定码h,找到x满足H(x)=h具有计算不可行性 5)对于任意给定的数据块x,找到满足H(y)=H(x)的y≠x具有计算不可行性 6)找到任意数据对(x,y),满足H(x)=H(y)的计算是不可行的 Hash函数签名方案发送方x:准备消息M,计算其散列码H(M),用x的私钥对散列值构成签名,并将消息M及签名发送给y 接收方y:对收到的消息M'计算用H(M'),利用公钥解密?,然后比较?如果?,则签名得到验证 Hash函数主要用于完整性校验和提高数字签名的有效性
19、DSS原理 P106 20、签名函数就是这样,只有发方用掌握的私有密钥才能产生有效的签名
21、身份认证:即鉴别认证,是指在揭示敏感信息或进行事物处理之前先确定对方身份;
22、访问控制:是通过某种途径显式地准许或限制访问能力即范围,从而限制对关键资源的访问,防止非法用户的侵入或者合法用户的不慎操作而造成破坏
23、不安全口令的分析(判断那种口令不安全)①使用用户名②用户名的的变形③自己或亲友的生日④用学号、身份证号等作为口令⑤使用常用的英语单词。
24、一次性口令(OTP):即用户在每次同服务器连接过程中所使用的口令再网上传输时都是加密的密文,这些密文在每次连接时都是不同的,也就是说,口令密文是一次有效的
25、一次性口令的特点:概念简单,易于使用;基于一个被记忆的密码,不需要任何附加的硬件;安全算法;不需要存储诸如密钥、口令等敏感信息
26、OTP认证技术的原理及基本思想
P119 OTP认证的基本思想是:在摘录过程中基于用户的秘密通行短语(SPP)加入不确定因素,使每次登陆过程中摘录所得的密码(即一次性口令OTP)都不相同,用户真正的秘密通行短语SPP根本不在网上传输,从而可以提高登录过程的安全性。
27、OTP技术的实现机制——挑战应答机制:用户要求登录时,系统产生一个随机数发送给用户,用户用某种单向Hash函数将自己的秘密通行短语和随机数杂凑出一个摘要,并发送给系统。系统用同样的方法做一个验算即可验证用户身份,这种实现机制要求事先将用户的密码通行短语通过安全信道传给系统,并且系统中所有用户的秘密通行短语都保存在用户认证数据库中,以便系统能够以和用户端相同的方法计算摘要进行身份认证。在这种实现机制中,系统中保存用户的秘密通行短语给黑客攻击留有漏洞
28、指纹识别技术的特定应用的重要衡量标志是识别率,识别率由两个部分组成,拒判率(FRR)和误判率(FAR),这两个指标是成反比的,拒判率越高,越好,但效率低。“系统内部的访问控制”包括存取控制的含义,它是系统内部的主体对客体的访问所收到的限制。主体指的是用户、进程、作业等,客体指的是所有可供访问的软、硬件资源
29、防火墙:防火墙是在内部网与外部网之间实施安全防范的系统
29、防火墙功能:①防火墙是网络安全的屏障②防火墙可以强化网络安全屏障③对网络存取和访问控制进行监控审计④防止内部信息的外漏⑤抵抗攻击 30、防火墙分类:①包过滤防火墙(效率最高)②状态包检测防火墙;③代理服务;④深度包检测防火墙;⑤分布式防火墙(最安全)●给出一种防火墙,需要能判断出是哪一种,而且判断出一个系统用哪种防火墙合适
31、防火墙有三种基本体系结构:①双宿主主机结构②主机过滤结构③子网过滤结构
32、防火墙的局限性:1)防火墙不能防范不经过或绕过防火墙的攻击2)一般的防火墙不能防止受到病毒感染的软件和文件的传输3)防火墙不能防止数据驱动式的攻击4)虽然防火墙常常可以有效地阻止防止来组外部网络黑客攻击,但是防火墙受物理拓朴结构的限制,对来自内部的攻击不起作用5)无双向的身份证,给伪造服务服务器提供了可能,点到点的数据加密,一旦失密或出错将影响整个链路,而且在通过链路进行转化时需要进行另外的加密,从而容易失密6)访问控制的力度较大,无法针对具体文件进行控制
33、病毒:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码
34、病毒的特征:1)破坏性2)感染性3)隐藏性4)可激活性5)针对性
35、病毒按寄生方式可分为:引导型病毒、文件型病毒、混合型病毒引导型病毒寄生在操作系统中;文件型病毒寄生在可执行文件中;混合型病毒将引导病毒和文件型病毒结合在一起,它既感染文件,又感染引导区
36、病毒程序模块包括三个:安装模块、感染模块、破坏模块。具体见P242
37、引导型病毒的特点:驻留内存、隐形技术、加密技术。弱点:传染速度慢,一定要带毒软盘启动才能传到硬盘,杀毒容易,只需改写引导区即可
38、文件型病毒的种类:非常驻型、常驻型。
39、木马的工作原理:木马的植入,木马的隐藏,木马的加载,木马病毒的信息获取,木马病毒的信息传递,木马病毒的查杀。40、蠕虫定义:就是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。
41、网络攻击的类型:被动攻击、主动攻击、物理临近攻击、内部人员攻击和软硬件装配攻击
42、常见的攻击工具:安全扫描、监听、恶意代码、缓冲区溢出、拒绝服务攻击、脚本攻击、口令攻击、欺骗攻击、防火墙攻击。
43、恶意代码:经过存储介质和网络进行传播,从一台计算机系统到另一台计算机系统,未经授权认证破坏计算机系统完整性的程序和代码。恶意代码的两个显著特点是非授权性和破坏性。
第二篇:《电子商务安全与保密》
各类用电人员应做到掌握安全用电基本知识和所用设备的性能,搬迁或移动用电设备,必须经专业电工切断电源并做好妥善处理后进行
《电子商务安全与保密》
考试大纲
华南理工大学东莞东阳教学中心
一、目的:
本课程的考试大纲是根据课程的教学大纲要求而制定的,是考试题出题的依据,目的是帮助学生掌握考试的基础内容,把握课程的复习重点。
二、出题要求:
依据《电子商务安全与保密》教学大纲的要求,具体包括:
1、题型多样化:包括判断题、单项选择题、概念解释题、简答题和分析题。
2、题量适当:考试时间不低于90分钟,一般为120分钟。
3、试卷内容难易程度:基础内容60%;中等难度内容占30%;较难内容点10%。
三、《电子商务安全与保密》复习大纲 背景知识
识记:电子商务的基本概念;常见的电子商务支付方式及其特点(银行划扣、手机代扣、邮局汇款、货到付款、点卡、QQ币等);
领会:常见的电子商务系统类型及其特点(在线购物网、网络游戏、专家咨询网、在线拍卖网及各类电子事务网站);
分析:常见的电子商务模式及其特点(B2B、B2C、C2C);
应用:设计简单的电子商务系统(功能模块、支付系统、安全措施)。
第1章
电子商务安全的现状与趋势 识记:安全性定义(安全环);电子商务安全的七种安全要求(安全七要素)。领会:电子商务安全性问题概述;
分析:物理安全的特殊性;
应用:结合后续课程中的相关技术解决安全七要素的相关问题。
第3章
信息加密技术与应用
识记:3.2节分组加密体制的定义,DES、IDEA、AES都是分组加密标准;ElGamal加密体制基于离散对数问题;椭圆曲线密码学基于离散对数问题; 领会:3.4节复合加密体制PGP;
分析:补充内容,单钥体制与公钥体制的对比;
应用:3.3.1 节RSA加密体制,加解密的计算过程;补充内容,一次一密采用异或加密;
第4章
数字签名技术与应用
识记:盲签名、多重签名、定向签名和代理签名的定义;DSS是美国数字签名标准; 领会:4.1节数字签名的基本原理; 分析:
应用:4.1.5节数字签名应用实例,数字签名的过程;
总配电箱应设在靠近电源的地区;分配电箱应装在用电设备或负荷相对集中的地区;分配电箱与开关箱的距离不得超过30米; 各类用电人员应做到掌握安全用电基本知识和所用设备的性能,搬迁或移动用电设备,必须经专业电工切断电源并做好妥善处理后进行
第5章
身份认证与访问控制
识记:5.10.1节访问控制的概念与原理; 领会:5.1节什么是用户识别;
分析:5.1.3节一次性口令的定义和优缺点; 应用:
第6章
密钥管理与PKI体系
识记:6.3.1数字证书的概念;6.3.2 X.509公钥证书格式; 领会:6.2.2 PKIX模型,PKI体系的组成部分及功能; 分析:
应用:补充内容,在实际系统中应用PKI体系。
第8章
防火墙的构造与选择 识记:8.4.1防火墙的局限性; 领会:8.1防火墙概述;
分析:8.2防火墙的分类;
应用:8.4.2怎样选择合适的防火墙;
第9章 计算机病毒的产生与预防 识记:9.1 计算机病毒的概念; 领会:
分析:
应用:
第10章 安全通信协议与交易协议 识记:10.1 IPSec协议的概念及各组成协议的概念;SET协议;10.3.1 EDI概述;10.3.1 RADIUS概述;补充内容,VPN的定义
领会:10.2 安全套接层(SSL)协议的概述和组成部分; 分析:10.2 SSL协议的不足;10.3.1 SET概述及不足;
应用: 在具体应用系统中正确使用安全协议;
第1l章 网络攻击与防御
识记:11.2 常用的攻击工具与防范方法; 领会:11.3.1 IDS概述; 分析:
应用:
第13章 电子邮件安全协议与系统设计
识记:13.5.1 S/MIME是安全电子邮件协议; 领会:13.2 电子邮件安全漏洞与保护; 分析:
应用:
四、考试方式与试卷结构:
总配电箱应设在靠近电源的地区;分配电箱应装在用电设备或负荷相对集中的地区;分配电箱与开关箱的距离不得超过30米; 各类用电人员应做到掌握安全用电基本知识和所用设备的性能,搬迁或移动用电设备,必须经专业电工切断电源并做好妥善处理后进行
考试方式:闭卷、笔试; 试卷总分:100分; 考试时间:120分钟; 题型比例: 判断题
占20% 单项选择题
占20% 概念解释题
占25% 简答题
占20% 分析题
占15% 试题难易比例:
基础内容
约占60% 中等难度内容
约占30% 较难内容
约占10%
五、命题原则
试卷内容难度比例分配合理; 题型多样化; 题量适当;
同份试卷及A、B卷内容不重复。
总配电箱应设在靠近电源的地区;分配电箱应装在用电设备或负荷相对集中的地区;分配电箱与开关箱的距离不得超过30米;
第三篇:电子商务安全与保密试卷A答案
华南理工大学继续教育学院 2011-2012年第 二 学期期末考试 《电子商务安全与保密》 开卷 试卷(A卷)参考答案
一、判断题(每题2分,共20分,正确的填写T,错误的填写F)
1.RSA是一种目前常用的公钥加密标准。
(T)2.定向签名的作用是使任何接收到数字签名的人都能验证签名。
(F)3.防火墙功能在逐渐递增,最终它会将所有安全功能集于一身。
(F)4.椭圆曲线密码学的数学基础是大数因子分解问题。
(F)5.IPSec协议用于保证远程登录的安全性。
(F)6.数字证书中包含用户名、用户公钥K和CA对K的签名。
(T)7.PKI目前使用的数字证书是X.509 V3公钥证书。
(T)8.电子商务需要更多的是安全,而不是保密。
(T)9.DES是单钥加密体制,RSA是公钥加密体制。
(T)10.一次性口令具有防止口令被截获及被重放的作用。
(T)
二、单项选择题(每题2分,共20分)
1.确保传输信息的内容不会被其他人更改是以下哪一个安全要素?(C)
A.保密性
C.完整性 B.认证性
D.不可否认性
2.完整性主要依靠以下哪种技术来实现?(D)
A.加解密算法
C.数字签名
B.数字证书 D.消息摘要
3.一次一密技术对加密算法没有要求,直接采取二进制异或加密就可以了。现有密文
7、密钥4,请问明文是以下哪一个?(D)
A.3
B.4 C.7
D.11
4.ElGamal公钥加密体制的基础是以下哪一个数学问题?(A)
A.离散对数
B.大数因子分解
C.背包问题
D.椭圆曲线
5.数字证书必须包括以下哪个组成部分?(D)
A.申请者居住地 C.申请者照片
B.颁发者公章
D.有效日期
6.有一个公司有多个位于不同城市的子公司。它需要一个企业级的用于员工协作的解决方案,并尽量节省花费。下面哪种技术能够在最经济的情况下保证intranet内部网的安全性?(C)A.租用线路
C.VPN
B.宽带
D.SSL 7.有一个公司只允许外部网络访问内部几个固定的内部服务器提供的特定服务,只允许内部网络访问几个固定的外部服务器提供的服务,同时要求防火墙的价格尽可能的便宜。请问该公司应采用哪种类型的防火墙?(A)A.包过滤防火墙
C.代理服务防火墙
D.分布式防火墙
B.状态包检测防火墙
8.以下关于防火墙功能的描述哪一条是错误的?(B)
A.防火墙能够防止内部信息的外泄。
B.防火墙能够阻止感染病毒的文件或软件的传输。C.防火墙能够强化网络安全策略。
D.防火墙能够对网络存取和访问进行监控审计。9.以下关于SSL协议的描述哪一条是错误的?(B)
A.SSL协议采用TCP作为传输协议。B.SSL协议能提供数字签名功能。
C.SSL协议在应用层通信前完成加密算法、通信密钥协商和服务器认证。D.SSL协议中应用层协议所传输的数据都会被加密。10.以下关于电子商务安全的描述哪一条是错误的?(A)
A.应尽力提高电子商务系统的安全性,以达到绝对的安全。B.电子商务的安全性必须依赖整个网络的安全性。
C.电子商务的安全性除了软件系统的安全,还必须考虑到硬件的物理安全。D.设计电子商务的安全性时必须考虑到系统的灵活性和易用性。
三、简答题(每题5分,共30分)
1、什么是交易不可否认性?如何保证交易的不可否认性?(至少说明一种方法)。
答:在由收发双方所组成的系统中,确保任何一方无法抵赖自己曾经作过的操作,从而防止中途欺骗的特性。网络支付系统中的不可否认性是一般是使用数字签名数字证书,它就类似我们的个人身份证,确保是该用户在操作,现在一般都是数字证书+密码,以保证账户的安全性。只要是使用了数字证书和密码操作的交易,就说明了是该用户发起请求,因为同时具备了这个条件,不可否认是该用户在进行操作。
2、什么是IPsec?IPsec有哪些功能?
答:“Internet 协议安全性(IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议(IP)网络上进行保密而安全的通讯。其安全功能见P92表3-1。
3、什么的VPN?VPN的基本功能有哪些?
答:VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
4、为什么要把对称加密与公钥加密结合使用?如何结合使用?
答:因为对称加密与公钥加密算法各有优缺点,且互为补充。结合使用见P41图2-8。
5、信息安全的五种服务是什么?各需要采用什么安全技术来实现? 答:信息安全的五种服务有:信息的机密性、完整性、可验证性、不可否认性、访问控制性;采用的安全技术实现见P27表2-1。
四、论述题(每题10分 共20分)
1、PKI体系是公钥密码学完整的、标准化的、成熟的工程框架,它可以说是今天电子商务的基石。请描述其中的主要组成部分的功能。
答:公钥基础设施PKI(Public Key Infrastructure),就是指在分布式计算环境中,使用公钥加密技术和证书的安全服务集合。
PKI工作组给PKI的定义是:一组建立在公开密钥算法基础上的硬件、软件、人员和应用程序的集合,它应具备产生、管理、存储、分发和废止证书的能力。一个典型的PKI体系结构应该包括认证中心CA、注册机构RA、证书持有者、应用程序、存储仓库五个组成部分。完整的PKI包括认证政策的制定、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现。
PKI的主要目的是,通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
一个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI是怎样管理证书和密钥的。一个典型、完整、有效的PKI应用系统必须能够实现如下功能:注册、发证、密钥恢复、密钥产生、密钥更新、交叉认证、证书废止。
2、防火墙是目前电子商务系统中广泛使用的一种安全技术/产品。请详细说明目前常用的防火墙分类,各种防火墙的特点和适用的场合。
答:所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.所有通信都必须经过;只有内部授权的通信才被允许通过;系统本身是可靠的。1.包过滤型防火墙
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件(访问控制列表)的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。(P75)
2.应用网关型防火墙(P76)3.代理服务型防火墙(P77)
五、实践题(15分)
近几年来,一类称之为专家网的网站得到了飞速发展。这类网络主要是提供一批某专业方向的专家和需要咨询服务的企事业单位交流的平台。单位给出问题和解决问题的报酬,专家给出答案,单位认为答案满足要求后给出报酬。
针对这类网站的情况,请简要回答如下问题:1、2、3、4、5、你认为这类网站的业务基本流程是什么?(3分)
你认为适合该类网站的支付方式和支付工具是什么,理由?(3分)该类网站如何盈利?(1分)如何评价参与专家的质量?(2分)
此类网站将面临哪些安全问题?应采取什么对策?(6分)
答:面向企业级IT安全专家,立足IT安全领域的最前沿,为您提供保护企业网络安全、信息安全、应用安全、系统平台安全等全方位信息与资源。最新的新闻分析、技巧文章、专家答疑、白皮书等丰富的内容形式涵盖Web安全、入侵检测与防御、病毒、恶意软件、木马、间谍软件、数据泄漏、网络安全、安全政策和法规、安全管理等诸多领域。略。
第四篇:复习要点--电子商务安全与保密 刘俊娥
1、电子商务的安全性包括四个方面:密码安全、计算机安全、网络安全、信息安全 ①密码安全:通信安全最核心的部分,由技术上提供强韧的密码系统及其正确应用来实现 ②计算机安全:一种确定的状态,使计算机化数据和程序文件不致被非授权人员、计算机或其他程序所访问、获取或修改。安全的实施可通过限制被授权人员使用计算机系统的物理范围、利用特殊(专用)软件和将安全功能构造于计算机操作规程中等方法来实现
③网络安全:包括所有保护网络的措施:物理设施的保护、软件及职员的安全,以防止非授权的访问、偶发或蓄意的常规手段的干扰或破坏。因此,有效的安全措施是技术与人事管理的一种均衡或合理配合。
④信息安全:保护信息财富,使之免遭偶发的或有意的非授权泄露、修改、破坏
2、网络安全性要求:
保密性:保持个人的、专用的和高度敏感数据的机密 认证性:确认通信双方的合法身份 完整性:保证所有储存和管理的信息不被篡改
可访问性:保证系统、数据和服务能够由合法的的人员访问 防御性:能够阻挡不希望的信息或黑客
不可否认性:防止通信或交易双方对已进行业务的否认 合法性:保证各方的业务符合可适用的法律和法规
3、信息量:对消息的所有可能含义进行编码时所需要的最少的比特数
4、熵:一条信息M中的信息量可通过它的熵来度量,表示为H(M)一条消息的熵也可以表示它的不确定性
一条信息的H(M)很大,则表示信息的不确定性很大,从而接受方收到信息时,信息量就相当大了;如果明文的熵值不大,即不确定性太小,则攻击者有很大的概率可以猜中该信息
5、惟一解距离:当进行强力攻击时,可能解密出惟一有意义的明文所需要的最少密文量。惟一即而距离越长,密码体制越好
6、混乱和散布:这是两项隐蔽明文信息中的多余度的基本技术。混乱用于掩盖明文和密文之间的关系。这可以挫败通过研究密文以获取多余度和统计模式的企图,做到这点的最容易的方法就是通过代替。散布是通过将明文多余度分散到米文中使之分散开来。产生散布最简单的方法是通过换位
7、算法的计算复杂度由两个变量来度量,T(时间复杂性)和S(空间复杂性或所需存储空间)(对于密码体制来说,攻击的时间复杂性是与可能的密钥总数成比例的,它是密钥长度的指数函数。如果n是密钥长度,那么强力攻击的复杂性是O(2n))
8、模运算:模运算即求余运算、素数:比1大,其因子只有1和它本身,没有其他的数可以整除它、最大公因子:指某几个整数共有因子中最大的一个、取模数求逆元、欧拉函数:欧拉函数是少于或等于n的数中与n互质的数的数目,看课本P44—P47
9、无条件安全:如果不论截取者获得了多少密文,但在密文中没有足够的信息来唯一的确定出对应的明文,则这个密码体制称为无条件安全
10、网络通信中的加密方式: ①链路——链路加密:
所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。②节点加密:
在操作上与链路加密类似。与链路加密不同的是,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。这种方法对防止攻击者分析通信业务是脆弱的。③端到端加密:
端到端加密允许数据在从源点到终点的运输过程中始终以密文形式存在,采用端到端加密,消息在被传输到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。与前两种相比更可靠,更容易设计、实现和维护。
11、加密方式的选择,根据各加密方式的特点,在不同场合如何选择合适的加密方式。
P61—62
12、加密方式的比较:
(1)链路加密:
优点: 缺点:
1、包含报头和路由信息的所有
1、消息以明文形式通过每一个信息均加密 节点
2、单个密钥损坏时整个网络不
2、因为所有节点都必须有密钥,会损坏,每对网络节点可使用不密钥分发和管理变得困难 同的密钥
3、由于每个安全通信链路需要
3、加密对用户透明。两个密码设备,因此费用较高
(2)节点加密:
优点: 缺点:
1、消息的加、解密在安全模块
1、某些信息(如报头和路由信中进行,这样使得消息内容不会息)必须以明文形式传输 被泄露
2、因为所有节点都必须有密钥,2、加密对用户透明。密钥分发和管理变得困难
(3)端到端加密:
优点:
1、使用方便,采用用户自己的缺点: 协议进行加密,并非所有数据需
1、每一个系统都需要完成相同要加密 类型的加密
2、网络中数据从源点到终点均
2、某些信息(如报头和路由信受保护 息)必须以明文形式传输
3、加密对网络节点透明,在网
3、需采用安全、先进的密钥颁络重构期间可使用加密技术。发和管理技术。
13、DES(数据加密标准)加密:
DES采用传统的换位和置换的方法进行加密,在56b密钥的控制下,将64b明文块变换为64b密文块,加密过程包括16轮的加密迭代,每轮都采用一种乘积密码方式(代替和移位),具体原理看课本P63——P67
14、()公钥加密:
由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。它解决了密钥的发布和管理问题,是目前商业密码的核心。()对称加密:
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,需要对加密和解密使用相同密钥的加密算法。
传统加密方式与公钥加密的相同点:①明文输入②算法③密文④解密⑤公钥、私钥
15、RSA算法基础(具体计算,大题):
RSA算法是建立在“大数分解和素数检测”的理论基础上的,它运用了数论中的Euler定理,即a,r是两个互素的正整数,则az=1(mod r),其中z为与r互素且不大于r的正整数的个数(即Euler函数)。该算法取用一个合数(该合数为两个大素数的乘积),而不是采用一个大素数作为其模数r RSA的实施:设计密钥、设计密文、恢复明文 ⑴设计密钥:
先仔细选取两个互异的大素数P和Q,令N=P*Q,z=(P-1)*(Q-1),接着寻求两个正整数d和e,使其满足gcd(d,z)=1,e*d=1(mod z)。这里的(N,e)就是公开的加密密钥 ⑵设计密文:
把要发送的明文信息M数字化和分块,其加密过程是:C=Me(mod N)⑶恢复明文:
对C 解密,即得到明文 M=Cd(mod N)
16、数字签名:数字签名基于消息特征分类有两种:一种是对整个消息的签名,一种是对压缩消息的签名
数字签名常用的有:①RSA签名②ElGamal签名
17、DSS(数字签名标准)美国政府用来指定数字签名算法的一种标准,其中也涉及到非对称加密法 DSA(数字签名算法)
18、Hash函数: 特点:
1)H可以作用于一个任意长度的数据块,即输入任意 2)H产生一个固定长度的输出
3)H(x)对任意给定的x计算相对容易,无论是软件还是硬件实现 4)对任意给定码h,找到x满足H(x)=h具有计算不可行性
5)对于任意给定的数据块x,找到满足H(y)=H(x)的y≠x具
有计算不可行性
6)找到任意数据对(x,y),满足H(x)=H(y)的计算是不可行的 Hash函数签名方案 发送方x:准备消息M,计算其散列码H(M),用x的私钥对散列值构成签名,并将消息M及签名发送给y 接收方y:对收到的消息M'计算用H(M'),利用公钥解密?,然后比较?如果?,则签名得到验证
Hash函数主要用于完整性校验和提高数字签名的有效性
19、DSS原理 P106 20、签名函数就是这样,只有发方用掌握的私有密钥才能产生有效的签名
21、身份认证:即鉴别认证,是指在揭示敏感信息或进行事物处理之前先确定对方身份;
22、访问控制:是通过某种途径显式地准许或限制访问能力即范围,从而限制对关键资源的访问,防止非法用户的侵入或者合法用户的不慎操作而造成破坏
23、不安全口令的分析(判断那种口令不安全)
①使用用户名 ②用户名的的变形 ③自己或亲友的生日 ④用学号、身份证号等作为口令 ⑤使用常用的英语单词。
24、一次性口令(OTP):
即用户在每次同服务器连接过程中所使用的口令再网上传输时都是加密的密文,这些密文在每次连接时都是不同的,也就是说,口令密文是一次有效的
25、一次性口令的特点:
概念简单,易于使用;基于一个被记忆的密码,不需要任何附加的硬件;安全算法;不需要存储诸如密钥、口令等敏感信息
26、OTP认证技术的原理及基本思想 P119 OTP认证的基本思想是:
在摘录过程中基于用户的秘密通行短语(SPP)加入不确定因素,使每次登陆过程中摘录所得的密码(即一次性口令OTP)都不相同,用户真正的秘密通行短语SPP根本不在网上传输,从而可以提高登录过程的安全性。
27、OTP技术的实现机制——挑战应答机制:
用户要求登录时,系统产生一个随机数发送给用户,用户用某种单向Hash函数将自己的秘密通行短语和随机数杂凑出一个摘要,并发送给系统。系统用同样的方法做一个验算即可验证用户身份,这种实现机制要求事先将用户的密码通行短语通过安全信道传给系统,并且系统中所有用户的秘密通行短语都保存在用户认证数据库中,以便系统能够以和用户端相同的方法计算摘要进行身份认证。在这种实现机制中,系统中保存用户的秘密通行短语给黑客攻击留有漏洞
28、指纹识别技术的特定应用的重要衡量标志是识别率,识别率由两个部分组成,拒判率(FRR)和误判率(FAR),这两个指标是成反比的,拒判率越高,越好,但效率低。
“系统内部的访问控制”包括存取控制的含义,它是系统内部的主体对客体的访问所收到的限制。主体指的是用户、进程、作业等,客体指的是所有可供访问的软、硬件资源
29、防火墙:防火墙是在内部网与外部网之间实施安全防范的系统
防火墙功能:
① 防火墙是网络安全的屏障 ②防火墙可以强化网络安全屏障
③对网络存取和访问控制进行监控审计 ④防止内部信息的外漏 ⑤抵抗攻击 30、防火墙分类:①包过滤防火墙(效率最高)
②状态包检测防火墙; ③代理服务
④深度包检测防火墙;
⑤分布式防火墙(最安全)
●给出一种防火墙,需要能判断出是哪一种,而且判断出一个系统用哪种防火墙合适
31、防火墙有三种基本体系结构:①双宿主主机结构 ②主机过滤结构 ③子网过滤结构
32、防火墙的局限性:
1)防火墙不能防范不经过或绕过防火墙的攻击
2)一般的防火墙不能防止受到病毒感染的软件和文件的传输 3)防火墙不能防止数据驱动式的攻击
4)虽然防火墙常常可以有效地阻止防止来组外部网络黑客攻击,但是防火墙受物理拓朴结构的限制,对来自内部的攻击不起作用
5)无双向的身份证,给伪造服务服务器提供了可能,点到点的数据加密,一旦失密或出错将影响整个链路,而且在通过链路进行转化时需要进行另外的加密,从而容易失密 6)访问控制的力度较大,无法针对具体文件进行控制
33、病毒:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码
34、病毒的特征:1)破坏性2)感染性3)隐藏性4)可激活性5)针对性
35、病毒按寄生方式可分为:引导型病毒、文件型病毒、混合型病毒
引导型病毒寄生在操作系统中; 文件型病毒寄生在可执行文件中;
混合型病毒将引导病毒和文件型病毒结合在一起,它既感染文件,又感染引导区
36、病毒程序模块包括三个:安装模块、感染模块、破坏模块。具体见P242
37、引导型病毒的特点:驻留内存、隐形技术、加密技术。
弱点:传染速度慢,一定要带毒软盘启动才能传到硬盘,杀毒容易,只需
改写引导区即可
38、文件型病毒的种类:非常驻型、常驻型。
39、木马的工作原理:木马的植入,木马的隐藏,木马的加载,木马病毒的信息获取,木马病毒的信息传递,木马病毒的查杀。
40、蠕虫定义:就是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。
41、网络攻击的类型:被动攻击、主动攻击、物理临近攻击、内部人员攻击和软硬件装配攻击
42、常见的攻击工具:安全扫描、监听、恶意代码、缓冲区溢出、拒绝服务攻击、脚本攻击、口令攻击、欺骗攻击、防火墙攻击。
43、恶意代码:经过存储介质和网络进行传播,从一台计算机系统到另一台计算机系统,未经授权认证破坏计算机系统完整性的程序和代码。
恶意代码的两个显著特点是非授权性和破坏性
第五篇:信息安全与保密
信息安全与保密小组实验报告
小组成员:沈婷婷
黄海忠
汪芙蓉
Word.Excel.PPT是微软office套装中,最常用的几个软件,而软件加密,成为了日常必需学习的东西,因为密码,可以保护你的隐私或者商业机密。文件加密简单地说就是对原来为明文的文件按某种算法进行处理,使其成为不可读的一段代码,通常称为”密文”。使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径达到保护数据不被人非法窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
本试验中3个软件的加密方法和密码取消,非常简单,在本文中,就不加解释了,主要是介绍一下,信息加密和解密的关系。密码是指为了保护文档安全,当你不希望别人打开或修改你的word时,你可以设置密码。不过不推荐这种加密方法,很容易破解,在线破解10秒钟破解结了,可以用winrar加密,这种加密吧密码直接加到文件中,一般是无法破解的。(WinRAR加密,是指长加密,不是简单的2-3位加密)
本实验使用解密软件是Rar Password Unlocker v3.2.0.1,该软件是一款基本学习型软件,支持1-3位简单密码破解,其中破解方法有暴力破解和字典破解两种,也是主流破解方法,暴力破解相对于字典破解,具有操作简单的优势,但是在破解精准度和时间上,会有所欠缺。本实验中,我们首先对word进行加密111,然后使用Rar Password Unlocker v3.2.0.1软件的暴力破解方法,经过130秒以后,破解出密码为111,同时也可以通过该软件取消密码,但是为了后续取消密码步骤,在这就不取消了,直接输入111进入文档,这样就是说,暴力破解通过每一个数字,字母,字符,按顺序尝试排列,最终还是可以获取密码的。该方法适用于一般无损坏可能的加密。而后面的Excel中,我们使用的是字典加密,该加密是通过规则破解也是一种非常有效的方式,这里面还会具体分为两种,一种是与帐号关联的规则,另外一种是与帐号无关的规则,与帐号关联的规则,比如注册帐号test,注册密码test123这样的(是不是很多人有这个习惯?),那简直是任何一个破解器的简单规则都可以胜任的;与帐号无关的,通常是有限度遍历模式,比如日期类型8位数字(如19730221)或6位数字(如780112)遍历或两位字母+六位数字遍历,(我知道很多朋友喜欢用生日做密码,那可真就不妙了),或者13+8个数字遍历(用手机号码做密码的朋友小心了),以及6位任意数字遍历,6位小写字母遍历(对付那些密码简单的朋友),2位字母+四位任意数字密码混排遍历(如ma1234),1位字母+4-5位数字混排遍历(如s7564),这些都是比较容易出彩的规则,按照规则遍历,是黑客对用户心理的一种考验,一些用户图好记而采用的密码,也就是黑客最容易想到和突破的了。该方式的破解能力较强,能快速破解.解密,常用于文件失去时间价值以后,例如试卷已经考完以后。解密过程和加密过程相似,在本报告中,也不详细介绍。
常用加密方法
(一)利用组策略工具,把存放隐私资料的硬盘分区设置为不可访问。
首先在开始菜单中选择”运行”,输入 gpedit.msc,回车,打开组策略配置窗口。选择”用户配置”->”管理模板”->”Windows 资源管理器”,双击右边的”防止从”我的电脑”访问驱动器”,选择”已启用”,然后在”选择下列组合中的一个”的下拉组合框中选择你希望限制的驱动器,点击确定就可以了。
这时,如果你双击试图打开被限制的驱动器,将会出现错误对话框,提示”本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”这样就可以防止大部分黑客程序和病毒侵犯你的隐私了。这种加密方法比较实用,但是其缺点在于安全系数很低。厉害一点的电脑高手都知道怎么修改组策略,他们也可以把用户设置的组策略限制取消掉。因此这种文件加密方法不太适合对保密强度要求较高的用户。对于一般的用户,这种文件加密方法还是有用的。
(二)利用注册表中的设置,把某些驱动器设置为隐藏。
在注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer中新建一个DWORD值,命名为NoDrives,并为它赋上相应的值。例如想隐藏驱动器C,就赋上十进制的4(注意一定要在赋值对话框中设置为十进制的4)。如果我们新建的NoDrives想隐藏A、B、C三个驱动器,那么只需要将A、B、C 驱动器所对应的DWORD值加起来就可以了。同样的,如果我们需要隐藏D、F、G三个驱动器,那么NoDrives就应该赋值为8+32+64=104。怎么样,应该明白了如何隐藏对应的驱动器吧。目前大部分磁盘隐藏软件的功能都是利用这个小技巧实现的。隐藏之后,WIndows下面就看不见这个驱动器了,就不用担心别人窥探你的隐私了。
但这仅仅是一种只能防君子,不能防小人的加密方法。因为一个电脑高手很可能知道这个技巧,病毒就更不用说了,病毒编写者肯定也知道这个技巧。只要把注册表改回来,隐藏的驱动器就又回来了。虽然加密强度低,但如果只是对付一下自己的小孩和其他的菜鸟,这种方法也足够了。
(三)利用Windows自带的”磁盘管理”组件也可以实现硬盘隐藏!
具体操作步骤如下:右键”我的电脑”->”管理”,打开”计算机管理”配置窗口。选择”存储”->”磁盘管理”,选定你希望隐藏的驱动器,右键选择”更改驱动器名和路径”,然后在出现的对话框中选择”删除”即可。很多用户在这里不敢选择”删除”,害怕把数据弄丢了,其实这里完全不用担心,Windows仅仅只是删除驱动器的在内核空间的符号链接,并不会删除逻辑分区。如果要取消隐藏驱动器,重复上述过程,在这里选择选择”添加”即可。
这种方法的安全系数和前面的方法差不多,因为其他电脑高手或者病毒程序也可以反其道而行之,把你隐藏的驱动器给找回来。利用第三方文件加密软件进行加密。
在这一领域的代表性文件加密软件是超级加密3000。超级加密3000采用了成熟先进的加密算法、加密方法和文件系统底层驱动,使文件加密和文件夹加密后的达到超高的加密强度,并且还能够防止被删除、复制和移动。其安全性和加解密速度都是可以让人放心的。不但适用于个人用户,而且企业用户的文件加密效果也极佳。
点击咨询 