电子商务安全导论网上作业答案.docx
《电子商务安全导论网上作业答案.docx》由会员分享,可在线阅读,更多相关《电子商务安全导论网上作业答案.docx(15页珍藏版)》请在冰豆网上搜索。
电子商务安全导论网上作业答案
电子商务安全基础网上作业答案
1.上述黑客攻击属于哪种形式的攻击手段?
参考答案:
系统穿透。
黑客XX通过一定手段接入系统,从而得到了修改江民公司网页的权利。
2.分析江民公司遭受黑客攻击的原因。
参考答案:
1)我国的网络安全产品只能提供较短密钥长度的算法,较易被破解。
2)http协议本身的不完全性,使得某些不法用户能XX的访问Web服务器上的数据,并进行破坏或篡改;
3)江民公司网站的Web站点本身就存在安全隐患,容易被攻击者利用;
3.从电子商务自身的角度出发,讨论为什么电子商务具有安全性的要求?
参考答案:
这是由电子商务的特性所决定,主要包含两面的内容。
(1)一个电子商务系统需要存储大量的商务数据,这是其运转的核心。
如果这些数据发生损坏或者丢失,其后果不堪设想。
而且这些数据大部分是商业机密,一旦泄露,将造成不可挽回的损失。
(2)因为在电子商务中,所有的交易都在网上进行,交易双方一般都不需要会面,如果其中的一方一旦反悔,则另一方就需要向法院提供证明交易合同的存在性和交易的真实性。
这就需要一个网上认证机构对每一笔业务进行认证,以确保交易的安全性,从而避免恶意欺诈。
4.电子商务安全的中心内容包括哪些内容?
参考答案:
电子商务安全主要包括六方面的内容:
(1)商务数据的机密性。
商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给XX的人或组织,或者经过加密伪装后,使XX者无法了解其内容。
(2)商务数据的完整性。
商务数据的完整性或称正确行使保护数据不被委授权者修改、建立、嵌入、删除、重复传送或由于其他的原因是原始数据被更改。
(3)商务对象的认证性。
商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性。
(4)商务服务的不可否认性。
商务服务的不可否认性是指信息的发送方不能否认已发送的信息,接受方不能否认已收到的信息。
(5)商务服务的不可拒绝性。
商务服务的不可拒绝性或称可用性是保证授权用户在正常访问信息和资源时不被拒绝。
(6)访问的控制性。
访问的控制性是指在网络上限制和控制通信链路对主机系统和应用的访问:
用于保护计算机系统的资源(信息、计算和通信资源)不被XX人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。
5.查阅2004年底至2005年处于桂林市政府相关的网络安全信息,分析其频遭攻击的原因。
原因如下:
一是桂林市政府某部门信息中心下属单位的一台电脑在上网过程中因浏览了不良网站而中了木马程序,被黑客所控制,做为傀儡机和攻击源使用,随时可向目标发起黑客攻击;
二是该下属单位没有采取必要的网络安全技术措施;
三是没有相关的网络安全组织;四是没有按照国家的有关规定到公安网监部门进行国际互联网的备案登记。
5.RSA加密能否被认为是保证安全的?
参考答案:
RSA之所以被认为是一种很好的加密体制,是因为当选择足够长的密钥时,在目前还没有找出一种能够对很大的整数快速地进行因子分解的算法。
这里请注意,“在目前还没有找出”并不等于说“理论上已经证明不存在这样的算法”。
如果在某一天有人能够研究出对很大的整数快速地进行因子分解的算法,那么RSA加密体制就不能再使用了。
3.提高数据完整性的预防性措施有哪些?
参考答案:
提高数据完整性的预防性措施有:
(1)镜像技术。
镜像技术是指将数据原样的从一台设备机器拷贝到另一台设备机器上。
(2)故障前兆分析。
有些部件不是一下子完全坏了,例如磁盘驱动器,在出故障之前往往有些征兆,进行故障前兆分析有利于系统的安全。
(3)奇偶校验。
奇偶校验也是服务器的一个特征。
它提供一种机器机制来保证对内存错误的检测。
因此,不会引起由于服务器出错而造成数据完整性的丧失。
(4)隔离不安全的人员。
对本系统有不安全的潜在威胁人员,应设法与本系统隔离。
(5)电源保障。
使用不间断电源是组成一个完整的服务器系统的良好方案。
4.计算机病毒有哪些特征?
参考答案:
1)非授权可执行性; 2)隐蔽性; 3)传染性;
4)潜伏性; 5)表现性或破坏型; 6)可触发性。
5.如何预防邮件病毒?
参考答案:
邮件病毒一般是通过在邮件中附件夹带的方法进行扩散的,你运行了该附件中的病毒程序,才能够使你的电脑染毒。
知道了这一点,我们就不难采取相应的措施进行防范了。
1)不要轻易打开陌生人来信中的附件文件。
当你收到陌生人寄来的一些自称是不可不看的有趣邮件时,千万不要不加思索地打开它。
尤其对于一些“.exe”之类的可执行文件,就更要谨慎。
2)对于比较熟悉的朋友寄来的信件,如果其邮件中夹带了附件,但是他却没有在邮件中提及或是说明,也不要轻易运行。
因为有些病毒是偷偷地附着上去的—也许他的电脑已经染毒,可他自己却不知道。
比如“Happy99”就是这样的病毒。
3)给别人发送程序文件甚至包括电子贺卡时,一定要先确认没有问题后再发,以免成为病毒的传播者。
另外,应该切忌盲目转发:
有的朋友当收到某些自认为有趣的邮件时,还来不及细看就打开通讯簿给自己的每一位朋友都转发一份,这极有可能使病毒的制造者恶行得逞,而你的朋友对你发来的信无疑是不会产生怀疑的,结果你无意中成为病毒的传播者。
一般邮件病毒的传播是通过附件进行的。
如Happy99、Mellissa(美丽杀手)等。
你用FoxMail收到的邮件中会看到带病毒的附件,如名为“Happy99.exe”的文件,不用担心,不要运行它,直接删掉就可以了。
有些是潜伏在Word文件中的宏病毒,因此对Word文件形式的附件,也要小心。
另一种病毒是利用ActiveX来传播的。
由于一些E-mail软件如Outlook等可以发送HTML格式的邮件,而HTML文件可包含ActiveX控件,而ActiveX在某些情况下又可以拥有对你的硬盘的读写权,因此带有病毒的HTML格式的邮件,可以在你浏览邮件内容时被激活,但这种情况仅限于HTML格式的邮件。
防火墙与VPN技术网上作业答案
1.如何使用WindowsXP的个人防火墙保护电脑的安全?
参考答案:
WindowsXP带有内建的防火墙,可通过一下步骤来开启:
首先选择[控制面版],依演示步骤进行。
2.试提供下述情况下的解决方案。
背景:
宽带的普及,工作、生活节奏的加快,这一切都促进了视频会议系统的产生并飞速发展,可以说,视频会议正在以前所未有的速度在进步。
技术的进步给在各个方面应用视频会议变为可能。
然而,真实IP的匮乏,DDN专线的昂贵,都成了视频会议系统难以普及。
大公司可以凭借其雄厚的实力或自有的专线来实施视频会议系统。
可是中、小型公司呢?
有限地资金不足以支撑运行视频会议系统的费用,而且大公司也在寻找更省钱,更有竞争力的方案。
在此情况下,请读者提供进行视频会议的解决方案。
参考答案:
采用VPN技术。
VPN技术可以充分利用企业所有的上网条件,包括动态IP、虚拟IP,ADSL、小区宽带,光纤接入都可以被利用来建立VPN通道,而一旦通道建立,视频会议实施时所关心的动态IP问题,虚拟IP无法穿透的问题,都将应刃而解,顾名思义,虚拟局域网,也就是说,通道建立后,您所有的操作就如同在局域网内。
而且,正是因为VPN技术这种对接入方式的包容性,可以让企业使用便宜的ADSL、小区宽带、CableModem、HDSL、VDSL等各类接入线路,而不用去花高价格租用DDN,光纤或其它昂贵的资源。
总之,VPN可以为视频会议系统提供一个运行费用极低的平台!
如下图所示。
该方案特点:
1.可提供Lan2Lan(局域网到局域网)的VPN连接,适应总部与分部视频会议的要求。
2.通过客户端软件可提供移动用户到中心的VPN连接。
适应远程用户加入视频会议的要求
3.数据可以168位的加密技术进行传输,安全性能极高。
4.可选用本地宽带、ADSL、光纤、CableModem、微波、拨号、ISDN等各种接入方式。
5.不关心客户所获得IP的种类,也就是说,客户无论是静态IP,动态IP,还是虚拟IP都能建立VPN。
6.适应各种现有网络环境,如可接驳各类防火墙、VLan等,充分保护客户的现有投资。
3.使用瑞星个人防火墙扫描是否电脑中有木马程序?
(如无瑞星个人防火墙,从(天网安全阵线)下载并安装天网个人防火墙进行相关操作。
)
参考答案:
以瑞星个人防火墙为例:
4.以天网防火墙个人版v2.73为例,简述防火墙的主要功能。
参考答案:
天网防火墙个人版是个人电脑使用的网络安全程序,根据管理者设定的安全规则把守网络,提供强大的访问控制、信息过滤等功能以抵挡网络入侵和攻击,防止信息泄露。
它主要具有如下功能:
1)严密的实时监控
天网防火墙(个人版)对所有来自外部机器的访问请求进行过滤,发现非授权的访问请求后立即拒绝,随时保护用户系统的信息安全。
2)灵活的安全规则
天网防火墙(个人版)设置了一系列安全规则,允许特定主机的相应服务,拒绝其它主机的访问要求。
用户还可以根据自已的实际情况,添加、删除、修改安全规则,保护本机安全。
3)应用程序规则设置
新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过。
4)详细的访问记录和完善的报警系统
天网防火墙(个人版)可显示所有被拦截的访问记录,包括访问的时间、来源、类型、代码等都详细地记录下来,用户可以清楚地看到是否有入侵者想连接到自己的机器,从而制定更有效的防护规则。
5.对案例中所提到的IP规则设置,进行实际操作。
参考答案:
参见案例
证书系统与身份确认网上作业答案
1.以用户名cnhawk为例简要概括Kerberos协议的认证过程。
参考答案:
1)Client→KDC:
用户cnhawk向密钥分配中心(KDC)申请TGT;
2)KDC→Client:
通过KDC的用户密码认证,cnhawk得到KDC发放的TGT;
3)Client→KDC:
申请取得用户cnhawk所需要的host/s;
4)KDC→Client:
KDC根据用户cnhawk提供的TGT,KDC向cnhawk发放host/s;
5)Client→Server:
用户cnhawk向Server提供cnhawk,TGT和host/s;Server根据主机的上保存的host/s和用户cnhawk的信息来验证cnhawk的登陆申请。
6)Server→Client:
Server确认,发送信息给Client允许cnhawk登陆Server。
2.根据新颁布的《中华人民共和国电子签名法》,什么样的电子签名才被视为可靠的电子签名?
参考答案:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
3.根据案例演示,上建设银行网站开通有个人证书的网上银行。
参见案例
4.上当当网或其他电子商务网站购买一件商品,并采用建行网上支付的付款方式,实际体验一下个人证书的效用。
参见案例
5.什么是数字签名,一个签名方案至少应满足几个条件?
参考答案:
数字签名即指在以计算机文件为基础的现代事务处理中,采用的电子形式的签名方式。
一个完善的数字签名应满足以下要求:
(1)收方能够确认或证实发方的签名;
(2)发方发出签名的消息给收方后,就不能再否认他所签发的消息;
(3)收方对已收到的签名消息不能否认;
(4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
1.网上银行使用最广泛的是什么协议?
为什么?
举一个采用这种协议的银行为例。
参考答案:
由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。
为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
原因:
这是因为目前大部分Web服务器和浏览器都支持此协议。
在用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。
而且每次会话所使用的加密密钥都是随机产生的。
这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。
同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。
SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,可在IE浏览器的“帮助”“关于”中查到。
举例:
目前,建设银行就采用国际标准SSL3.0点对点安全通信协议,其有效密钥长度为128位,这种高强度加密保证用户与银行间信息的安全保密和完整传输。
2.试比较SSL协议与SET协议。
参考答案:
(1)在认证要求方面,早期的SSL并没有提供商家身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但仍不能实现多方认证;相比之下,SET的安全要求较高,所有参与SET交易的成员(持卡人、商家、发卡行、收单行和支付网关)都必须申请数字证书进行身份识别。
(2)在安全性方面,SET协议规范了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。
而SSL只对持卡人与商店端的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。
从电子商务特性来看,它并不具备商务性、服务性、协调性和集成性。
因此SET的安全性比SSL高。
(3)在网络层协议位置方面,SSL是基于传输层的通用安全协议,而SET位于应用层,对网络上其他各层也有涉及。
(4)在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,因此如果电子商务应用只是通过Web或是电子邮件,则可以不要SET。
但如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用些。
3.查阅相关资料,分析在实际应用中,SET协议存在哪些缺陷?
参考答案:
在实际应用中,存在如下问题:
(1)协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接受证书。
否则的话,在线商店提供的货物不符合质量标准,消费者提出疑义,责任由谁承担。
(2)协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。
(3)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。
这些漏洞可能使这些数据以后受到潜在的攻击。
(4)在完成一个SET协议交易的过程中,需验证电子证书9次,验证数字签名6次,传递证书7次,进行5次签名、4次对称加密和4次非对称加密。
所以,完成一个SET协议交易过程需花费1.5~2分钟,甚至更长的时间(新式小型电子钱包将多数信息放在服务器上,时间可缩短到10~20秒)。
SET协议过于复杂,使用麻烦,成本高,且只适用于客户具有电子钱包的场合。
(5)SET的证书格式比较特殊,虽然也遵循X.509的标准,但它主要是由Visa和MarsterCard开发并按信用卡支付方式来定义的。
银行的支付业务不光是卡支付业务,而SET支付方式和认证结构适应于卡支付,对其他支付方式是有所限制的。
(6)一般认为,SET协议保密性好,具有不可否认性,SETCA是一套严密的认证体系,可保证B-C类型的电子商务安全顺利地进行。
事实上,安全是相对的,我们提出电子商务中信息的保密性问题,即要保证支付和定单信息的保密性,也就是要求商户只能看到定单信息(OI),支付网关只能解读支付信息(PI)。
但在SET协议中,虽然账号不会明文传递,它通常用1074位RSA不对称密钥加密,商户电子证书确实指明了是否允许商户从支付网关的响应消息中看到持卡人的账号,可是事实上大多数商户都收到了持卡人的账号。
4.上易趣购买一件商品,采用安付通的付款方式,实际体验一下SET协议的安全性。
参考答案:
参见案例
5.现在许多公司推出了基于SSL协议的VPN,即SSLVPN,查阅相关资料,从安全协议的角度分析SSLVPN的安全性。
参考答案:
1)SSLVPN采用了SSL协议,而该协议是介于HTTP层及TCP层的安全协议。
2)通过SSLVPN,是接入企业内部的应用,而不是企业的整个网络。
如果是IPsec的VPN网络,客户通过VPN接入的是整个企业的网络。
而没有控制的联入整个企业的网络对企业来说是非常危险的。
3)由于采用SSL安全协议在网络中传输,所以用于防护的防火墙只需打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网攻击的可能性。
4)数据加密的安全有加密算法来保证,不同的公司可以有不同的算法。
黑客要想窃听网络中的数据,就要能够解开这些经过加密后的数据包。
5)在会话停止一段时间后,SSLVPN能够自动停止会话,如果需要继续访问则要重新登陆,通过这个功能能防止数据被窃听后伪装访问的攻击。
CA认证中心网上作业答案
1.查阅相关资料,简述中国金融认证中心CA的结构。
参考答案:
1、Non-SET系统
Non-SET对于业务应用的范围没有严格的定义,结合电子商务具体的、实际的应用,根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证书),Non-SET系统分为两部分。
Non-SET-CA系统分为三层结构,第一层为根CA,第二层为政策CA,第三层为运营CA。
Non-SET-CA,系统架构图如下:
2、RA系统
系统分为CA本地RA和CA远程RA。
本地RA审批有关CA一级的证书、接受远程RA提交的已审批的资料。
远程RA根据商业银行的体系架构分为三级结构,即总行、分行、受理点。
RA系统架构图如下:
2.查阅相关资料,简述CFCA的证书种类及用途。
参考答案:
除了根CA、政策CA、运营CA等各级CA的证书外,对于最终用户,按照证书的功能不同,证书有不同的分类:
(1)企业高级证书–适用于企业作金额较大时的B2B网上交易,安全级别较高,可用于数字签名和信息加密。
(2)企业普通证书–适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于金额较小的网上交易。
(3)个人高级证书–适用于个人作金额较大的网上交易,安全级别较高,可用于数字签名和信息加密。
(4)个人普通证书–适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于小额的网上银行和网上购物。
(5)WebServer证书–适用于站点服务器提供金额较小的B2C网上交易,若一个网站要提供B2B交易时,应申请DirectServer证书,并配合DirectServer软件来保证它的安全性。
(6)DirectServer证书–用于数字签名和信息加密。
DirectServer证书主要用于企业从事B2B交易时对WebServer的保护使用。
3.根据《中华人民共和国电子签名法》,中国金融认证中心CA所提供的证书中应该包含哪些方面的内容?
参考答案:
(一)电子认证服务提供者名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务提供者的电子签名;
(七)国务院信息产业主管部门规定的其他内容。
4.CTCA的组织机构及其各自的功能是什么?
参考答案:
中国电信电子商务CA认证系统由全国CA中心、省RA中心系统、地市级业务受理点组成,其逻辑结构如图所示:
CA中心的功能是:
1)签发自签名的根证书
2)审核和签发其他CA系统的交叉认证证书
3)向其他CA系统申请交叉认证证书
4)受理和审核各RA机构的申请
5)为RA机构签发证书
6)接收并处理各RA服务器的证书业务请求
7)签发业务证书和证书作废表
8)管理全系统的用户资料
9)管理全系统的证书资料
10)维护全系统的证书作废表
11)维护全系统的OCSP查询数据
RA中心的功能是:
1)受理用户证书业务
2)审核用户身份
3)为审核通过用户生成密钥对
4)向CA中心申请签发证书
5)将证书和私钥灌入IC卡后分发给受理中心、受理点或用户
6)管理本地OCSP服务器,并提供证书状态的实时查询
7)管理本地用户资料
受理点的功能是:
1)管理所辖受理点用户资料
2)受理用户证书业务
3)审核用户身份
4)向受理中心或RA中心申请签发证书
5)将RA中心或受理中心制作的证书介质分发给用户
5.查阅相关资料,简述SHECA为华夏证券提供的解决方案。
参考答案:
1)项目背景介绍:
华夏证券有限公司成立于1992年10月,是我国较早成立的全国性证券公司。
公司业务主要包括:
发行和代理发行各种有价证券;自营和代理买卖各种有价证券;有价证券的代保管、鉴证和过户;代理还本付息、分红、派息等权益分派;基金和资产管理;企业重组、收购与兼并;投资咨询、财务顾问;外币证券业务等。
2)设计方案和特色:
上海CA中心在华夏证券RA系统的总体设计中采用了RA、RAT(受理点)二层结构。
从应用上安全可靠的适应和支持的华夏证券的各种业务及多种电子商务模式。
华夏证券RA系统设计具有如下技术特点:
a.整个依托成熟的UCA证书体系,采用国内先进的加密技术和CA技术,系统的功能完善,安全可靠;
b.华夏证券RA系统采用层次式CA认证结构,方便系统的扩充和系统效率的提高。
它既可满足华夏证券RA系统内部的需求,也可以满足日后与国内外及其他行业CA之间的交叉认证的需求;
c.使用的PKI体系支持多种应用,证书的扩展域可以灵活地进行定制,满足不同的应用系统的需要;
d.系统的设计采用多模块化结构,方便系统功能的扩充;
e.系统的设计考虑了伸缩性,能方便的通过对系统硬件进行升级来适应系统负荷的增大;
管理方式灵活,可以根据华夏证券RA系统的管理策略和证书认证策略对系统进行灵活的设置,如灵活地配置系统的备份时间和方式等;
f.系统中所有的通信均采用高强度加密通信,保证信息安全;
g.网络系统采用了多层防火墙设置,严格的网段划分和端口控制。
3)实施效果
项目实施充分考虑了系统的安全性、实用性、扩展性等诸多方面的因素,本着高效、安全、先进的原则,完成了证书的申请、审核、签发、废止、更新、审计、归档、备份以及密钥管理、LDAP和OCSP发布等全部功能。
同时在系统的性能方面,上海CA中心为华夏证券RA系统设计的系统具有强大的处理能力,很好的开放性、实用性和可扩展性,并提供了完善
升级会员 