电子商务安全导论网上作业Word文件下载.docx
《电子商务安全导论网上作业Word文件下载.docx》由会员分享,可在线阅读,更多相关《电子商务安全导论网上作业Word文件下载.docx(19页珍藏版)》请在冰豆网上搜索。
访问的控制性是指在网络上限制和控制通信链路对主机系统和应用的访问:
用于保护计算机系统的资源(信息、计算和通信资源)不被XX人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。
5.查阅与2004年底至2005年处于桂林市政府相关的网络安全信息,分析其频遭攻击的原因。
原因如下:
一是桂林市政府某部门信息中心下属单位的一台电脑在上网过程中因浏览了不良网站而中了木马程序,被黑客所控制,做为傀儡机和攻击源使用,随时可向目标发起黑客攻击;
二是该下属单位没有采取必要的网络安全技术措施;
三是没有相关的网络安全组织;
四是没有按照国家的有关规定到公安网监部门进行国际互联网的备案登记。
1.采用上面的步骤,或者自己找一个数字证书的申请网站,获得一个数字证书。
见案例分析。
2.将所获得的数字证书与OutlookExpress中自己的邮箱进行绑定,并发送经过签名的电子邮件。
参考答案:
3.目前很多电脑用户的操作系统是Windows的操作系统,那么,请问Win2000/XP是如何保护文件的?
在Windows2000以前的Windows版本中,安装操作系统之外的软件,可能会覆盖掉一些共享的系统文件,例如动态链接库(*.dll文件)、可执行文件(*.exe),这样可能会导致程序运行不稳定、系统出现故障,这主要是由于所谓的DLL陷阱所导致。
为了彻底解决这一问题,在Windows2000和WindowsXP中,微软引入了“Windows文件保护”机制用来防止替换受到保护的系统文件,包括*.sys、*.dll、*.ocx、*.ttf、*.fon、*.exe等类型的文件,Windows文件保护在后台自动运行,可以保护Windows安装程序安装的所有文件。
Windows文件保护能够检测到其他程序要替换或移动受保护的系统文件的意图,这主要是通过检测文件的数字签名,以确定新文件的版本是否为正确的Microsoft版本,如果文件版本不正确,Windows文件保护会自动调用dllcache文件夹或Windows中存储的备份文件替换该文件,如果Windows文件保护无法定位相应的文件,那么会提示用户输入该位置或插入安装光盘。
数字签名是允许用户验证的,如果某文件没有有效的数字签名,那么将无法确保该文件确实来自它所声明的来源,或者无法确保它在发行之后未被篡改过(可能由病毒篡改)。
此时,比较安全的做法是,除非你确定该文件的创建者而且知道其内容,那么才能安全地打开,否则建议不要轻易打开该文件。
凡是通过了微软数字签名的硬件或软件,其外包装上一般都会出现“为MicrosoftWindowsXP设计(DesignedforMicrosoftWindowsXP)”的徽标。
4.让我们假设某个密码的加密算法如下表所示。
加密算法
字母+3=密文
解密算法
密文-3=字母
那么,“ohw’vjrwrwkhwrjdsduwb!
”解密后是什么?
由题意可得,
加密方法
A=D
B=E
C=F
D=G
E=H
F=I
G=J
H=K
I=L
J=M
K=N
L=O
M=P
解密方法
A=X
B=Y
C=Z
D=A
E=B
F=C
G=D
H=E
I=F
J=G
K=H
L=I
M=J
N=Q
O=R
P=S
Q=T
R=U
S=V
T=W
U=X
V=Y
W=Z
X=A
Y=B
Z=C
N=K
O=L
P=M
Q=N
R=O
S=P
T=Q
U=R
V=S
W=T
X=U
Y=V
Z=W
因此,一一对应后,该秘闻解密后是:
“let’sgotothetogaparty!
”
5.RSA加密能否被认为是保证安全的?
RSA之所以被认为是一种很好的加密体制,是因为当选择足够长的密钥时,在目前还没有找出一种能够对很大的整数快速地进行因子分解的算法。
这里请注意,“在目前还没有找出”并不等于说“理论上已经证明不存在这样的算法”。
如果在某一天有人能够研究出对很大的整数快速地进行因子分解的算法,那么RSA加密体制就不能再使用了。
1.目前有许多在线查毒的网站,试采用其中的一种对自己所使用的电脑进行在线查毒。
2.下载一个杀毒软件,为自己电脑杀毒。
(或使用电脑中已有的)
3.提高数据完整性的预防性措施有哪些?
提高数据完整性的预防性措施有:
(1)镜像技术。
镜像技术是指将数据原样的从一台设备机器拷贝到另一台设备机器上。
(2)故障前兆分析。
有些部件不是一下子完全坏了,例如磁盘驱动器,在出故障之前往往有些征兆,进行故障前兆分析有利于系统的安全。
(3)奇偶校验。
奇偶校验也是服务器的一个特征。
它提供一种机器机制来保证对内存错误的检测。
因此,不会引起由于服务器出错而造成数据完整性的丧失。
(4)隔离不安全的人员。
对本系统有不安全的潜在威胁人员,应设法与本系统隔离。
(5)电源保障。
使用不间断电源是组成一个完整的服务器系统的良好方案。
4.计算机病毒有哪些特征?
1)非授权可执行性;
2)隐蔽性;
3)传染性;
4)潜伏性;
5)表现性或破坏型;
6)可触发性。
5.如何预防邮件病毒?
邮件病毒一般是通过在邮件中附件夹带的方法进行扩散的,你运行了该附件中的病毒程序,才能够使你的电脑染毒。
知道了这一点,我们就不难采取相应的措施进行防范了。
1)不要轻易打开陌生人来信中的附件文件。
当你收到陌生人寄来的一些自称是不可不看的有趣邮件时,千万不要不加思索地打开它。
尤其对于一些“.exe”之类的可执行文件,就更要谨慎。
2)对于比较熟悉的朋友寄来的信件,如果其邮件中夹带了附件,但是他却没有在邮件中提及或是说明,也不要轻易运行。
因为有些病毒是偷偷地附着上去的---也许他的电脑已经染毒,可他自己却不知道。
比如“Happy99”就是这样的病毒。
3)给别人发送程序文件甚至包括电子贺卡时,一定要先确认没有问题后再发,以免成为病毒的传播者。
另外,应该切忌盲目转发:
有的朋友当收到某些自认为有趣的邮件时,还来不及细看就打开通讯簿给自己的每一位朋友都转发一份,这极有可能使病毒的制造者恶行得逞,而你的朋友对你发来的信无疑是不会产生怀疑的,结果你无意中成为病毒的传播者。
一般邮件病毒的传播是通过附件进行的。
如Happy99、Mellissa(美丽杀手)等。
你用FoxMail收到的邮件中会看到带病毒的附件,如名为“Happy99.exe”的文件,不用担心,不要运行它,直接删掉就可以了。
有些是潜伏在Word文件中的宏病毒,因此对Word文件形式的附件,也要小心。
另一种病毒是利用ActiveX来传播的。
由于一些E-mail软件如Outlook等可以发送HTML格式的邮件,而HTML文件可包含ActiveX控件,而ActiveX在某些情况下又可以拥有对你的硬盘的读写权,因此带有病毒的HTML格式的邮件,可以在你浏览邮件内容时被激活,但这种情况仅限于HTML格式的邮件。
1.如何使用WindowsXP的个人防火墙保护电脑的安全?
WindowsXP带有内建的防火墙,可通过一下步骤来开启:
首先选择[控制面版],依演示步骤进行。
2.试提供下述情况下的解决方案。
背景:
宽带的普及,工作、生活节奏的加快,这一切都促进了视频会议系统的产生并飞速发展,可以说,视频会议正在以前所未有的速度在进步。
技术的进步给在各个方面应用视频会议变为可能。
然而,真实IP的匮乏,DDN专线的昂贵,都成了视频会议系统难以普及。
大公司可以凭借其雄厚的实力或自有的专线来实施视频会议系统。
可是中、小型公司呢?
有限地资金不足以支撑运行视频会议系统的费用,而且大公司也在寻找更省钱,更有竞争力的方案。
在此情况下,请读者提供进行视频会议的解决方案。
采用VPN技术。
VPN技术可以充分利用企业所有的上网条件,包括动态IP、虚拟IP,ADSL、小区宽带,光纤接入都可以被利用来建立VPN通道,而一旦通道建立,视频会议实施时所关心的动态IP问题,虚拟IP无法穿透的问题,都将应刃而解,顾名思义,虚拟局域网,也就是说,通道建立后,您所有的操作就如同在局域网内。
而且,正是因为VPN技术这种对接入方式的包容性,可以让企业使用便宜的ADSL、小区宽带、CableModem、HDSL、VDSL等各类接入线路,而不用去花高价格租用DDN,光纤或其它昂贵的资源。
总之,VPN可以为视频会议系统提供一个运行费用极低的平台!
如下图所示。
该方案特点:
1.可提供Lan2Lan(局域网到局域网)的VPN连接,适应总部与分部视频会议的要求。
2.通过客户端软件可提供移动用户到中心的VPN连接。
适应远程用户加入视频会议的要求
3.数据可以168位的加密技术进行传输,安全性能极高。
4.可选用本地宽带、ADSL、光纤、CableModem、微波、拨号、ISDN等各种接入方式。
5.不关心客户所获得IP的种类,也就是说,客户无论是静态IP,动态IP,还是虚拟IP都能建立VPN。
6.适应各种现有网络环境,如可接驳各类防火墙、VLan等,充分保护客户的现有投资。
3.使用瑞星个人防火墙扫描是否电脑中有木马程序?
(如无瑞星个人防火墙,从(天网安全阵线)下载并安装天网个人防火墙进行相关操作。
)
以瑞星个人防火墙为例:
4.以天网防火墙个人版v2.73为例,简述防火墙的主要功能。
天网防火墙个人版是个人电脑使用的网络安全程序,根据管理者设定的安全规则把守网络,提供强大的访问控制、信息过滤等功能以抵挡网络入侵和攻击,防止信息泄露。
它主要具有如下功能:
1)严密的实时监控
天网防火墙(个人版)对所有来自外部机器的访问请求进行过滤,发现非授权的访问请求后立即拒绝,随时保护用户系统的信息安全。
2)灵活的安全规则
天网防火墙(个人版)设置了一系列安全规则,允许特定主机的相应服务,拒绝其它主机的访问要求。
用户还可以根据自已的实际情况,添加、删除、修改安全规则,保护本机安全。
3)应用程序规则设置
新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过。
4)详细的访问记录和完善的报警系统
天网防火墙(个人版)可显示所有被拦截的访问记录,包括访问的时间、来源、类型、代码等都详细地记录下来,用户可以清楚地看到是否有入侵者想连接到自己的机器,从而制定更有效的防护规则。
5.对案例中所提到的IP规则设置,进行实际操作。
参见案例
1.以用户名cnhawk为例简要概括Kerberos协议的认证过程。
1)Client→KDC:
用户cnhawk向密钥分配中心(KDC)申请TGT;
2)KDC→Client:
通过KDC的用户密码认证,cnhawk得到KDC发放的TGT;
3)Client→KDC:
申请取得用户cnhawk所需要的host/s;
4)KDC→Client:
KDC根据用户cnhawk提供的TGT,KDC向cnhawk发放host/s;
5)Client→Server:
用户cnhawk向Server提供cnhawk,TGT和host/s;
Server根据主机的上保存的host/s和用户cnhawk的信息来验证cnhawk的登陆申请。
6)Server→Client:
Server确认,发送信息给Client允许cnhawk登陆Server。
2.根据新颁布的《中华人民共和国电子签名法》,什么样的电子签名才被视为可靠的电子签名?
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
3.根据案例演示,上建设银行网站开通有个人证书的网上银行。
参见案例
4.上当当网或其他电子商务网站购买一件商品,并采用建行网上支付的付款方式,实际体验一下个人证书的效用。
5.什么是数字签名,一个签名方案至少应满足几个条件?
数字签名即指在以计算机文件为基础的现代事务处理中,采用的电子形式的签名方式。
一个完善的数字签名应满足以下要求:
(1)收方能够确认或证实发方的签名;
(2)发方发出签名的消息给收方后,就不能再否认他所签发的消息;
(3)收方对已收到的签名消息不能否认;
(4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
1.网上银行使用最广泛的是什么协议?
为什么?
举一个采用这种协议的银行为例。
由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。
为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
原因:
这是因为目前大部分Web服务器和浏览器都支持此协议。
在用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。
而且每次会话所使用的加密密钥都是随机产生的。
这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。
同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。
SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,可在IE浏览器的“帮助”“关于”中查到。
举例:
目前,建设银行就采用国际标准SSL3.0点对点安全通信协议,其有效密钥长度为128位,这种高强度加密保证用户与银行间信息的安全保密和完整传输。
2.试比较SSL协议与SET协议。
(1)在认证要求方面,早期的SSL并没有提供商家身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但仍不能实现多方认证;
相比之下,SET的安全要求较高,所有参与SET交易的成员(持卡人、商家、发卡行、收单行和支付网关)都必须申请数字证书进行身份识别。
(2)在安全性方面,SET协议规范了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。
而SSL只对持卡人与商店端的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。
从电子商务特性来看,它并不具备商务性、服务性、协调性和集成性。
因此SET的安全性比SSL高。
(3)在网络层协议位置方面,SSL是基于传输层的通用安全协议,而SET位于应用层,对网络上其他各层也有涉及。
(4)在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,因此如果电子商务应用只是通过Web或是电子邮件,则可以不要SET。
但如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用些。
3.查阅相关资料,分析在实际应用中,SET协议存在哪些缺陷?
在实际应用中,存在如下问题:
(1)协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接受证书。
否则的话,在线商店提供的货物不符合质量标准,消费者提出疑义,责任由谁承担。
(2)协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。
(3)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。
这些漏洞可能使这些数据以后受到潜在的攻击。
(4)在完成一个SET协议交易的过程中,需验证电子证书9次,验证数字签名6次,传递证书7次,进行5次签名、4次对称加密和4次非对称加密。
所以,完成一个SET协议交易过程需花费1.5~2分钟,甚至更长的时间(新式小型电子钱包将多数信息放在服务器上,时间可缩短到10~20秒)。
SET协议过于复杂,使用麻烦,成本高,且只适用于客户具有电子钱包的场合。
(5)SET的证书格式比较特殊,虽然也遵循X.509的标准,但它主要是由Visa和MarsterCard开发并按信用卡支付方式来定义的。
银行的支付业务不光是卡支付业务,而SET支付方式和认证结构适应于卡支付,对其他支付方式是有所限制的。
(6)一般认为,SET协议保密性好,具有不可否认性,SETCA是一套严密的认证体系,可保证B-C类型的电子商务安全顺利地进行。
事实上,安全是相对的,我们提出电子商务中信息的保密性问题,即要保证支付和定单信息的保密性,也就是要求商户只能看到定单信息(OI),支付网关只能解读支付信息(PI)。
但在SET协议中,虽然账号不会明文传递,它通常用1074位RSA不对称密钥加密,商户电子证书确实指明了是否允许商户从支付网关的响应消息中看到持卡人的账号,可是事实上大多数商户都收到了持卡人的账号。
4.上易趣购买一件商品,采用安付通的付款方式,实际体验一下SET协议的安全性。
5.现在许多公司推出了基于SSL协议的VPN,即SSLVPN,查阅相关资料,从安全协议的角度分析SSLVPN的安全性。
1)SSLVPN采用了SSL协议,而该协议是介于HTTP层及TCP层的安全协议。
2)通过SSLVPN,是接入企业内部的应用,而不是企业的整个网络。
如果是IPsec的VPN网络,客户通过VPN接入的是整个企业的网络。
而没有控制的联入整个企业的网络对企业来说是非常危险的。
3)由于采用SSL安全协议在网络中传输,所以用于防护的防火墙只需打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网攻击的可能性。
4)数据加密的安全有加密算法来保证,不同的公司可以有不同的算法。
黑客要想窃听网络中的数据,就要能够解开这些经过加密后的数据包。
5)在会话停止一段时间后,SSLVPN能够自动停止会话,如果需要继续访问则要重新登陆,通过这个功能能防止数据被窃听后伪装访问的攻击。
1.查阅相关资料,简述中国金融认证中心CA的结构。
1、Non-SET系统
Non-SET对于业务应用的范围没有严格的定义,结合电子商务具体的、实际的应用,根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证书),Non-SET系统分为两部分。
Non-SET-CA系统分为三层结构,第一层为根CA,第二层为政策CA,第三层为运营CA。
Non-SET-CA,系统架构图如下:
2、RA系统
系统分为CA本地RA和CA远程RA。
本地RA审批有关CA一级的证书、接受远程RA提交的已审批的资料。
远程RA根据商业银行的体系架构分为三级结构,即总行、分行、受理点。
RA系统架构图如下:
2.查阅相关资料,简述CFCA的证书种类及用途。
除了根CA、政策CA、运营CA等各级CA的证书外,对于最终用户,按照证书的功能不同,证书有不同的分类:
(1)企业高级证书--适用于企业作金额较大时的B2B网上交易,安全级别较高,可用于数字签名和信息加密。
(2)企业普通证书--适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于金额较小的网上交易。
(3)个人高级证书--适用于个人作金额较大的网上交易,安全级别较高,可用于数字签名和信息加密。
(4)个人普通证书--适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于小额的网上银行和网上购物。
(5)WebServer证书--适用于站点服务器提供金额较小的B2C网上交易,若一个网站要提供B2B交易时,应申请DirectServer证书,并配合DirectServer软件来保证它的安全性。
(6)DirectServer证书--用于数字签名和信息加密。
DirectServer证书主要用于企业从事B2B交易时对WebServer的保护使用。
3.根据《中华人民共和国电子签名法》,中国金融认证中心CA所提供的证书中应该
升级会员 