第一篇:電子商務安全與保密精華版
1.電子商務的安全性包括四個方面:密碼安全、計算機安全、網絡安全、信息安全①密碼安全:通信安全最核心的部分,由技術上提供強韌的密碼系統及其正確應用來實現②計算機安全:一種確定的狀態,使計算機化數據和程序文件不致被非授權人員、計算機或其他程序所訪問、獲取或修改。安全的實施可通過限制被授權人員使用計算機系統的物理范圍、利用特殊(專用)軟件和將安全功能構造于計算機操作規程中等方法來實現③網絡安全:包括所有保護網絡的措施:物理設施的保護、軟件及職員的安全,以防止非授權的訪問、偶發或蓄意的常規手段的干擾或破壞。因此,有效的安全措施是技術與人事管理的一種均衡或合理配合。④信息安全:保護信息財富,使之免遭偶發的或有意的非授權泄露、修改、破壞 2.網絡安全性要求:保密性:保持個人的、專用的和高度敏感數據的機密認證性:確認通信雙方的合法身份完整性:保證所有儲存和管理的信息不被篡改可訪問性:保證系統、數據和服務能夠由合法的的人員訪問防御性:能夠阻擋不希望的信息或黑客不可否認性:防止通信或交易雙方對已進行業務的否認合法性:保證各方的業務符合可適用的法律和法規
3、信息量:對消息的所有可能含義進行編碼時所需要的最少的比特數
4、熵:一條信息M中的信息量可通過它的熵來度量,表示為H(M)一條消息的熵也可以表示它的不確定性一條信息的H(M)很大,則表示信息的不確定性很大,從而接受方收到信息時,信息量就相當大了;如果明文的熵值不大,即不確定性太小,則攻擊者有很大的概率可以猜中該信息
5、惟一解距離:當進行強力攻擊時,可能解密出惟一有意義的明文所需要的最少密文量。惟一即而距離越長,密碼體制越好
6、混亂和散布:這是兩項隱蔽明文信息中的多余度的基本技術。混亂用于掩蓋明文和密文之間的關系。這可以挫敗通過研究密文以獲取多余度和統計模式的企圖,做到這點的最容易的方法就是通過代替。散布是通過將明文多余度分散到米文中使之分散開來。產生散布最簡單的方法是通過換位
7、算法的計算復雜度由兩個變量來度量,T(時間復雜性)和S(空間復雜性或所需存儲空間)(對于密碼體制來說,攻擊的時間復雜性是與可能的密鑰總數成比例的,它是密鑰長度的指數函數。如果n是密鑰長度,那么強力攻擊的復雜性是O(2n))
8、模運算:模運算即求余運算、素數:比1大,其因子只有1和它本身,沒有其他的數可以整除它、最大公因子:指某幾個整數共有因子中最大的一個、取模數求逆元、歐拉函數:歐拉函數是少于或等于n的數中與n互質的數的數目,看課本P44—P47
9、無條件安全:如果不論截取者獲得了多少密文,但在密文中沒有足夠的信息來唯一的確定出對應的明文,則這個密碼體制稱為無條件安全
10、網絡通信中的加密方式:①鏈路——鏈路加密:所有消息在被傳輸之前進行加密,在每一個節點對接收到的消息進行解密,然后先使用下一個鏈路的密鑰對消息進行加密,再進行傳輸。②節點加密:在操作上與鏈路加密類似。與鏈路加密不同的是,節點加密不允許消息在網絡節點以明文形式存在,它先把收到的消息進行解密,然后采用另一個不同的密鑰進行加密,這一過程是在節點上的一個安全模塊中進行。這種方法對防止攻擊者分析通信業務是脆弱的③端到端加密:端到端加密允許數據在從源點到終點的運輸過程中始終以密文形式存在,采用端到端加密,消息在被傳輸到達終點之前不進行解密,因為消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。與前兩種相比更可靠,更容易設計、實現和維護
11、加密方式的選擇,根據各加密方式的特點,在不同場合如何選擇合適的加密方式。P61——62
12、加密方式的比較:(1)鏈路加密:優點:
1、包含報頭和路由信息的所有信息均加密
2、單個密鑰損壞時整個網絡不會損壞,每對網絡節點可使用不同的密鑰
3、加密對用戶透明。缺點:
1、消息以明文形式通過每一個節點
2、因為所有節點都必須有密鑰,密鑰分發和管理變得困難
3、由于每個安全通信鏈路需要兩個密碼設備,因此費用較高(2)節點加密:優點:
1、消息的加、解密在安全模塊中進行,這樣使得消息內容不會被泄露
2、加密對用戶透明。缺點:
1、某些信息(如報頭和路由信息)必須以明文形式傳輸
2、因為所有節點都必(3)端到端加密:優點:
1、使用方便,采用用戶自己的協議進行加密,并非所有數據需要加密
2、網絡中數據從源點到終點均受保護
3、加密對網絡節點透明,在網絡重構期間可使用加密技術。缺點:
1、每一個系統都需要完成相同類型的加密
2、某些信息(如報頭和路由信息)必須以明文形式傳輸
3、需采用安。
13、DES(數據加密標準)加密:DES采用傳統的換位和置換的方法進行加密,在56b密鑰的控制下,將64b明文塊變換為64b密文塊,加密過程包括16輪的加密迭代,每輪都采用一種乘積密碼方式(代替和移位),具體原理看課本P63——P67
14、()公鑰加密:由對應的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。它解決了密鑰的發布和管理問題,是目前商業密碼的核心。()對稱加密:采用單鑰密碼系統的加密方法,同一個密鑰可以同時用作信息的加密和解密,需要對加密和解密使用相同密鑰的加密算法。傳統加密方式與公鑰加密的相同點:①明文輸入②算法③密文④解密⑤公鑰、私鑰
15、RSA算法基礎(具體計算,大題): RSA算法是建立在“大數分解和素數檢測”的理論基礎上的,它運用了數論中的Euler定理,即a,r是兩個互素的正整數,則az≡1(mod r),其中z為與r互素且不大于r的正整數的個數(即Euler函數)。該算法取用一個合數(該合數為兩個大素數的乘積),而不是采用一個大素數作為其模數r RSA的實施:設計密鑰、設計密文、恢復明文⑴設計密鑰:先仔細選取兩個互異的大素數P和Q,令N=P*Q,z=(P-1)*(Q-1),接著尋求兩個正整數d和e,使其滿足gcd(d,z)=1,e*d=1(mod z)。這里的(N,e)就是公開的加密密鑰⑵設計密文:把要發送的明文信息M數字化和分塊,其加密過程是:C=Me(mod N)⑶恢復明文:對C 解密,即得到明文
M=Cd(mod N)
16、數字簽名:數字簽名基于消息特征分類有兩種:一種是對整個消息的簽名,一種是對壓縮消息的簽名數字簽名常用的有:①RSA簽名②ElGamal簽名
17、DSS(數字簽名標準)美國政府用來指定數字簽名算法的一種標準,其中也涉及到非對稱加密法
DSA(數字簽名算法)
18、Hash函數:特點: 1)H可以作用于一個任意長度的數據塊,即輸入任意 2)H產生一個固定長度的輸出 3)H(x)對任意給定的x計算相對容易,無論是軟件還是硬件實現4)對任意給定碼h,找到x滿足H(x)=h具有計算不可行性 5)對于任意給定的數據塊x,找到滿足H(y)=H(x)的y≠x具有計算不可行性 6)找到任意數據對(x,y),滿足H(x)=H(y)的計算是不可行的 Hash函數簽名方案發送方x:準備消息M,計算其散列碼H(M),用x的私鑰對散列值構成簽名,并將消息M及簽名發送給y 接收方y:對收到的消息M'計算用H(M'),利用公鑰解密?,然后比較?如果?,則簽名得到驗證 Hash函數主要用于完整性校驗和提高數字簽名的有效性
19、DSS原理 P106 20、簽名函數就是這樣,只有發方用掌握的私有密鑰才能產生有效的簽名
21、身份認證:即鑒別認證,是指在揭示敏感信息或進行事物處理之前先確定對方身份;
22、訪問控制:是通過某種途徑顯式地準許或限制訪問能力即范圍,從而限制對關鍵資源的訪問,防止非法用戶的侵入或者合法用戶的不慎操作而造成破壞
23、不安全口令的分析(判斷那種口令不安全)①使用用戶名②用戶名的的變形③自己或親友的生日④用學號、身份證號等作為口令⑤使用常用的英語單詞。
24、一次性口令(OTP):即用戶在每次同服務器連接過程中所使用的口令再網上傳輸時都是加密的密文,這些密文在每次連接時都是不同的,也就是說,口令密文是一次有效的
25、一次性口令的特點:概念簡單,易于使用;基于一個被記憶的密碼,不需要任何附加的硬件;安全算法;不需要存儲諸如密鑰、口令等敏感信息
26、OTP認證技術的原理及基本思想
P119 OTP認證的基本思想是:在摘錄過程中基于用戶的秘密通行短語(SPP)加入不確定因素,使每次登陸過程中摘錄所得的密碼(即一次性口令OTP)都不相同,用戶真正的秘密通行短語SPP根本不在網上傳輸,從而可以提高登錄過程的安全性。
27、OTP技術的實現機制——挑戰應答機制:用戶要求登錄時,系統產生一個隨機數發送給用戶,用戶用某種單向Hash函數將自己的秘密通行短語和隨機數雜湊出一個摘要,并發送給系統。系統用同樣的方法做一個驗算即可驗證用戶身份,這種實現機制要求事先將用戶的密碼通行短語通過安全信道傳給系統,并且系統中所有用戶的秘密通行短語都保存在用戶認證數據庫中,以便系統能夠以和用戶端相同的方法計算摘要進行身份認證。在這種實現機制中,系統中保存用戶的秘密通行短語給黑客攻擊留有漏洞
28、指紋識別技術的特定應用的重要衡量標志是識別率,識別率由兩個部分組成,拒判率(FRR)和誤判率(FAR),這兩個指標是成反比的,拒判率越高,越好,但效率低。“系統內部的訪問控制”包括存取控制的含義,它是系統內部的主體對客體的訪問所收到的限制。主體指的是用戶、進程、作業等,客體指的是所有可供訪問的軟、硬件資源
29、防火墻:防火墻是在內部網與外部網之間實施安全防范的系統
29、防火墻功能:①防火墻是網絡安全的屏障②防火墻可以強化網絡安全屏障③對網絡存取和訪問控制進行監控審計④防止內部信息的外漏⑤抵抗攻擊 30、防火墻分類:①包過濾防火墻(效率最高)②狀態包檢測防火墻;③代理服務;④深度包檢測防火墻;⑤分布式防火墻(最安全)●給出一種防火墻,需要能判斷出是哪一種,而且判斷出一個系統用哪種防火墻合適
31、防火墻有三種基本體系結構:①雙宿主主機結構②主機過濾結構③子網過濾結構
32、防火墻的局限性:1)防火墻不能防范不經過或繞過防火墻的攻擊2)一般的防火墻不能防止受到病毒感染的軟件和文件的傳輸3)防火墻不能防止數據驅動式的攻擊4)雖然防火墻常常可以有效地阻止防止來組外部網絡黑客攻擊,但是防火墻受物理拓樸結構的限制,對來自內部的攻擊不起作用5)無雙向的身份證,給偽造服務服務器提供了可能,點到點的數據加密,一旦失密或出錯將影響整個鏈路,而且在通過鏈路進行轉化時需要進行另外的加密,從而容易失密6)訪問控制的力度較大,無法針對具體文件進行控制
33、病毒:指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼
34、病毒的特征:1)破壞性2)感染性3)隱藏性4)可激活性5)針對性
35、病毒按寄生方式可分為:引導型病毒、文件型病毒、混合型病毒引導型病毒寄生在操作系統中;文件型病毒寄生在可執行文件中;混合型病毒將引導病毒和文件型病毒結合在一起,它既感染文件,又感染引導區
36、病毒程序模塊包括三個:安裝模塊、感染模塊、破壞模塊。具體見P242
37、引導型病毒的特點:駐留內存、隱形技術、加密技術。弱點:傳染速度慢,一定要帶毒軟盤啟動才能傳到硬盤,殺毒容易,只需改寫引導區即可
38、文件型病毒的種類:非常駐型、常駐型。
39、木馬的工作原理:木馬的植入,木馬的隱藏,木馬的加載,木馬病毒的信息獲取,木馬病毒的信息傳遞,木馬病毒的查殺。40、蠕蟲定義:就是無須計算機使用者干預即可運行的獨立程序,它通過不停地獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播。
41、網絡攻擊的類型:被動攻擊、主動攻擊、物理臨近攻擊、內部人員攻擊和軟硬件裝配攻擊
42、常見的攻擊工具:安全掃描、監聽、惡意代碼、緩沖區溢出、拒絕服務攻擊、腳本攻擊、口令攻擊、欺騙攻擊、防火墻攻擊。
43、惡意代碼:經過存儲介質和網絡進行傳播,從一臺計算機系統到另一臺計算機系統,未經授權認證破壞計算機系統完整性的程序和代碼。惡意代碼的兩個顯著特點是非授權性和破壞性。
第二篇:《電子商務安全與保密》
各類用電人員應做到掌握安全用電基本知識和所用設備的性能,搬遷或移動用電設備,必須經專業電工切斷電源并做好妥善處理后進行
《電子商務安全與保密》
考試大綱
華南理工大學東莞東陽教學中心
一、目的:
本課程的考試大綱是根據課程的教學大綱要求而制定的,是考試題出題的依據,目的是幫助學生掌握考試的基礎內容,把握課程的復習重點。
二、出題要求:
依據《電子商務安全與保密》教學大綱的要求,具體包括:
1、題型多樣化:包括判斷題、單項選擇題、概念解釋題、簡答題和分析題。
2、題量適當:考試時間不低于90分鐘,一般為120分鐘。
3、試卷內容難易程度:基礎內容60%;中等難度內容占30%;較難內容點10%。
三、《電子商務安全與保密》復習大綱 背景知識
識記:電子商務的基本概念;常見的電子商務支付方式及其特點(銀行劃扣、手機代扣、郵局匯款、貨到付款、點卡、QQ幣等);
領會:常見的電子商務系統類型及其特點(在線購物網、網絡游戲、專家咨詢網、在線拍賣網及各類電子事務網站);
分析:常見的電子商務模式及其特點(B2B、B2C、C2C);
應用:設計簡單的電子商務系統(功能模塊、支付系統、安全措施)。
第1章
電子商務安全的現狀與趨勢 識記:安全性定義(安全環);電子商務安全的七種安全要求(安全七要素)。領會:電子商務安全性問題概述;
分析:物理安全的特殊性;
應用:結合后續課程中的相關技術解決安全七要素的相關問題。
第3章
信息加密技術與應用
識記:3.2節分組加密體制的定義,DES、IDEA、AES都是分組加密標準;ElGamal加密體制基于離散對數問題;橢圓曲線密碼學基于離散對數問題; 領會:3.4節復合加密體制PGP;
分析:補充內容,單鑰體制與公鑰體制的對比;
應用:3.3.1 節RSA加密體制,加解密的計算過程;補充內容,一次一密采用異或加密;
第4章
數字簽名技術與應用
識記:盲簽名、多重簽名、定向簽名和代理簽名的定義;DSS是美國數字簽名標準; 領會:4.1節數字簽名的基本原理; 分析:
應用:4.1.5節數字簽名應用實例,數字簽名的過程;
總配電箱應設在靠近電源的地區;分配電箱應裝在用電設備或負荷相對集中的地區;分配電箱與開關箱的距離不得超過30米; 各類用電人員應做到掌握安全用電基本知識和所用設備的性能,搬遷或移動用電設備,必須經專業電工切斷電源并做好妥善處理后進行
第5章
身份認證與訪問控制
識記:5.10.1節訪問控制的概念與原理; 領會:5.1節什么是用戶識別;
分析:5.1.3節一次性口令的定義和優缺點; 應用:
第6章
密鑰管理與PKI體系
識記:6.3.1數字證書的概念;6.3.2 X.509公鑰證書格式; 領會:6.2.2 PKIX模型,PKI體系的組成部分及功能; 分析:
應用:補充內容,在實際系統中應用PKI體系。
第8章
防火墻的構造與選擇 識記:8.4.1防火墻的局限性; 領會:8.1防火墻概述;
分析:8.2防火墻的分類;
應用:8.4.2怎樣選擇合適的防火墻;
第9章 計算機病毒的產生與預防 識記:9.1 計算機病毒的概念; 領會:
分析:
應用:
第10章 安全通信協議與交易協議 識記:10.1 IPSec協議的概念及各組成協議的概念;SET協議;10.3.1 EDI概述;10.3.1 RADIUS概述;補充內容,VPN的定義
領會:10.2 安全套接層(SSL)協議的概述和組成部分; 分析:10.2 SSL協議的不足;10.3.1 SET概述及不足;
應用: 在具體應用系統中正確使用安全協議;
第1l章 網絡攻擊與防御
識記:11.2 常用的攻擊工具與防范方法; 領會:11.3.1 IDS概述; 分析:
應用:
第13章 電子郵件安全協議與系統設計
識記:13.5.1 S/MIME是安全電子郵件協議; 領會:13.2 電子郵件安全漏洞與保護; 分析:
應用:
四、考試方式與試卷結構:
總配電箱應設在靠近電源的地區;分配電箱應裝在用電設備或負荷相對集中的地區;分配電箱與開關箱的距離不得超過30米; 各類用電人員應做到掌握安全用電基本知識和所用設備的性能,搬遷或移動用電設備,必須經專業電工切斷電源并做好妥善處理后進行
考試方式:閉卷、筆試; 試卷總分:100分; 考試時間:120分鐘; 題型比例: 判斷題
占20% 單項選擇題
占20% 概念解釋題
占25% 簡答題
占20% 分析題
占15% 試題難易比例:
基礎內容
約占60% 中等難度內容
約占30% 較難內容
約占10%
五、命題原則
試卷內容難度比例分配合理; 題型多樣化; 題量適當;
同份試卷及A、B卷內容不重復。
總配電箱應設在靠近電源的地區;分配電箱應裝在用電設備或負荷相對集中的地區;分配電箱與開關箱的距離不得超過30米;
第三篇:電子商務安全與保密試卷A答案
華南理工大學繼續教育學院 2011-2012年第 二 學期期末考試 《電子商務安全與保密》 開卷 試卷(A卷)參考答案
一、判斷題(每題2分,共20分,正確的填寫T,錯誤的填寫F)
1.RSA是一種目前常用的公鑰加密標準。
(T)2.定向簽名的作用是使任何接收到數字簽名的人都能驗證簽名。
(F)3.防火墻功能在逐漸遞增,最終它會將所有安全功能集于一身。
(F)4.橢圓曲線密碼學的數學基礎是大數因子分解問題。
(F)5.IPSec協議用于保證遠程登錄的安全性。
(F)6.數字證書中包含用戶名、用戶公鑰K和CA對K的簽名。
(T)7.PKI目前使用的數字證書是X.509 V3公鑰證書。
(T)8.電子商務需要更多的是安全,而不是保密。
(T)9.DES是單鑰加密體制,RSA是公鑰加密體制。
(T)10.一次性口令具有防止口令被截獲及被重放的作用。
(T)
二、單項選擇題(每題2分,共20分)
1.確保傳輸信息的內容不會被其他人更改是以下哪一個安全要素?(C)
A.保密性
C.完整性 B.認證性
D.不可否認性
2.完整性主要依靠以下哪種技術來實現?(D)
A.加解密算法
C.數字簽名
B.數字證書 D.消息摘要
3.一次一密技術對加密算法沒有要求,直接采取二進制異或加密就可以了。現有密文
7、密鑰4,請問明文是以下哪一個?(D)
A.3
B.4 C.7
D.11
4.ElGamal公鑰加密體制的基礎是以下哪一個數學問題?(A)
A.離散對數
B.大數因子分解
C.背包問題
D.橢圓曲線
5.數字證書必須包括以下哪個組成部分?(D)
A.申請者居住地 C.申請者照片
B.頒發者公章
D.有效日期
6.有一個公司有多個位于不同城市的子公司。它需要一個企業級的用于員工協作的解決方案,并盡量節省花費。下面哪種技術能夠在最經濟的情況下保證intranet內部網的安全性?(C)A.租用線路
C.VPN
B.寬帶
D.SSL 7.有一個公司只允許外部網絡訪問內部幾個固定的內部服務器提供的特定服務,只允許內部網絡訪問幾個固定的外部服務器提供的服務,同時要求防火墻的價格盡可能的便宜。請問該公司應采用哪種類型的防火墻?(A)A.包過濾防火墻
C.代理服務防火墻
D.分布式防火墻
B.狀態包檢測防火墻
8.以下關于防火墻功能的描述哪一條是錯誤的?(B)
A.防火墻能夠防止內部信息的外泄。
B.防火墻能夠阻止感染病毒的文件或軟件的傳輸。C.防火墻能夠強化網絡安全策略。
D.防火墻能夠對網絡存取和訪問進行監控審計。9.以下關于SSL協議的描述哪一條是錯誤的?(B)
A.SSL協議采用TCP作為傳輸協議。B.SSL協議能提供數字簽名功能。
C.SSL協議在應用層通信前完成加密算法、通信密鑰協商和服務器認證。D.SSL協議中應用層協議所傳輸的數據都會被加密。10.以下關于電子商務安全的描述哪一條是錯誤的?(A)
A.應盡力提高電子商務系統的安全性,以達到絕對的安全。B.電子商務的安全性必須依賴整個網絡的安全性。
C.電子商務的安全性除了軟件系統的安全,還必須考慮到硬件的物理安全。D.設計電子商務的安全性時必須考慮到系統的靈活性和易用性。
三、簡答題(每題5分,共30分)
1、什么是交易不可否認性?如何保證交易的不可否認性?(至少說明一種方法)。
答:在由收發雙方所組成的系統中,確保任何一方無法抵賴自己曾經作過的操作,從而防止中途欺騙的特性。網絡支付系統中的不可否認性是一般是使用數字簽名數字證書,它就類似我們的個人身份證,確保是該用戶在操作,現在一般都是數字證書+密碼,以保證賬戶的安全性。只要是使用了數字證書和密碼操作的交易,就說明了是該用戶發起請求,因為同時具備了這個條件,不可否認是該用戶在進行操作。
2、什么是IPsec?IPsec有哪些功能?
答:“Internet 協議安全性(IPSec)”是一種開放標準的框架結構,通過使用加密的安全服務以確保在 Internet 協議(IP)網絡上進行保密而安全的通訊。其安全功能見P92表3-1。
3、什么的VPN?VPN的基本功能有哪些?
答:VPN被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。VPN主要采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
4、為什么要把對稱加密與公鑰加密結合使用?如何結合使用?
答:因為對稱加密與公鑰加密算法各有優缺點,且互為補充。結合使用見P41圖2-8。
5、信息安全的五種服務是什么?各需要采用什么安全技術來實現? 答:信息安全的五種服務有:信息的機密性、完整性、可驗證性、不可否認性、訪問控制性;采用的安全技術實現見P27表2-1。
四、論述題(每題10分 共20分)
1、PKI體系是公鑰密碼學完整的、標準化的、成熟的工程框架,它可以說是今天電子商務的基石。請描述其中的主要組成部分的功能。
答:公鑰基礎設施PKI(Public Key Infrastructure),就是指在分布式計算環境中,使用公鑰加密技術和證書的安全服務集合。
PKI工作組給PKI的定義是:一組建立在公開密鑰算法基礎上的硬件、軟件、人員和應用程序的集合,它應具備產生、管理、存儲、分發和廢止證書的能力。一個典型的PKI體系結構應該包括認證中心CA、注冊機構RA、證書持有者、應用程序、存儲倉庫五個組成部分。完整的PKI包括認證政策的制定、認證規則、運作制度的制定、所涉及的各方法律關系內容以及技術的實現。
PKI的主要目的是,通過自動管理密鑰和證書,為用戶建立起一個安全的網絡運行環境,使用戶可以在多種應用環境下方便地使用加密和數字簽名技術,從而保證網上數據的機密性、完整性、有效性。數據的機密性是指數據在傳輸過程中,不能被非授權者偷看;數據的完整性是指數據在傳輸過程中不能被非法篡改;數據的有效性是指數據不能被否認。
一個有效的PKI系統必須是安全的和透明的,用戶在獲得加密和數字簽名服務時,不需要詳細地了解PKI是怎樣管理證書和密鑰的。一個典型、完整、有效的PKI應用系統必須能夠實現如下功能:注冊、發證、密鑰恢復、密鑰產生、密鑰更新、交叉認證、證書廢止。
2、防火墻是目前電子商務系統中廣泛使用的一種安全技術/產品。請詳細說明目前常用的防火墻分類,各種防火墻的特點和適用的場合。
答:所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.所有通信都必須經過;只有內部授權的通信才被允許通過;系統本身是可靠的。1.包過濾型防火墻
包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層,它根據數據包源地址,目的地址、端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件(訪問控制列表)的數據包才被轉發到相應的目的地,其余數據包則被從數據流中丟棄。(P75)
2.應用網關型防火墻(P76)3.代理服務型防火墻(P77)
五、實踐題(15分)
近幾年來,一類稱之為專家網的網站得到了飛速發展。這類網絡主要是提供一批某專業方向的專家和需要咨詢服務的企事業單位交流的平臺。單位給出問題和解決問題的報酬,專家給出答案,單位認為答案滿足要求后給出報酬。
針對這類網站的情況,請簡要回答如下問題:1、2、3、4、5、你認為這類網站的業務基本流程是什么?(3分)
你認為適合該類網站的支付方式和支付工具是什么,理由?(3分)該類網站如何盈利?(1分)如何評價參與專家的質量?(2分)
此類網站將面臨哪些安全問題?應采取什么對策?(6分)
答:面向企業級IT安全專家,立足IT安全領域的最前沿,為您提供保護企業網絡安全、信息安全、應用安全、系統平臺安全等全方位信息與資源。最新的新聞分析、技巧文章、專家答疑、白皮書等豐富的內容形式涵蓋Web安全、入侵檢測與防御、病毒、惡意軟件、木馬、間諜軟件、數據泄漏、網絡安全、安全政策和法規、安全管理等諸多領域。略。
第四篇:復習要點--電子商務安全與保密 劉俊娥
1、電子商務的安全性包括四個方面:密碼安全、計算機安全、網絡安全、信息安全 ①密碼安全:通信安全最核心的部分,由技術上提供強韌的密碼系統及其正確應用來實現 ②計算機安全:一種確定的狀態,使計算機化數據和程序文件不致被非授權人員、計算機或其他程序所訪問、獲取或修改。安全的實施可通過限制被授權人員使用計算機系統的物理范圍、利用特殊(專用)軟件和將安全功能構造于計算機操作規程中等方法來實現
③網絡安全:包括所有保護網絡的措施:物理設施的保護、軟件及職員的安全,以防止非授權的訪問、偶發或蓄意的常規手段的干擾或破壞。因此,有效的安全措施是技術與人事管理的一種均衡或合理配合。
④信息安全:保護信息財富,使之免遭偶發的或有意的非授權泄露、修改、破壞
2、網絡安全性要求:
保密性:保持個人的、專用的和高度敏感數據的機密 認證性:確認通信雙方的合法身份 完整性:保證所有儲存和管理的信息不被篡改
可訪問性:保證系統、數據和服務能夠由合法的的人員訪問 防御性:能夠阻擋不希望的信息或黑客
不可否認性:防止通信或交易雙方對已進行業務的否認 合法性:保證各方的業務符合可適用的法律和法規
3、信息量:對消息的所有可能含義進行編碼時所需要的最少的比特數
4、熵:一條信息M中的信息量可通過它的熵來度量,表示為H(M)一條消息的熵也可以表示它的不確定性
一條信息的H(M)很大,則表示信息的不確定性很大,從而接受方收到信息時,信息量就相當大了;如果明文的熵值不大,即不確定性太小,則攻擊者有很大的概率可以猜中該信息
5、惟一解距離:當進行強力攻擊時,可能解密出惟一有意義的明文所需要的最少密文量。惟一即而距離越長,密碼體制越好
6、混亂和散布:這是兩項隱蔽明文信息中的多余度的基本技術。混亂用于掩蓋明文和密文之間的關系。這可以挫敗通過研究密文以獲取多余度和統計模式的企圖,做到這點的最容易的方法就是通過代替。散布是通過將明文多余度分散到米文中使之分散開來。產生散布最簡單的方法是通過換位
7、算法的計算復雜度由兩個變量來度量,T(時間復雜性)和S(空間復雜性或所需存儲空間)(對于密碼體制來說,攻擊的時間復雜性是與可能的密鑰總數成比例的,它是密鑰長度的指數函數。如果n是密鑰長度,那么強力攻擊的復雜性是O(2n))
8、模運算:模運算即求余運算、素數:比1大,其因子只有1和它本身,沒有其他的數可以整除它、最大公因子:指某幾個整數共有因子中最大的一個、取模數求逆元、歐拉函數:歐拉函數是少于或等于n的數中與n互質的數的數目,看課本P44—P47
9、無條件安全:如果不論截取者獲得了多少密文,但在密文中沒有足夠的信息來唯一的確定出對應的明文,則這個密碼體制稱為無條件安全
10、網絡通信中的加密方式: ①鏈路——鏈路加密:
所有消息在被傳輸之前進行加密,在每一個節點對接收到的消息進行解密,然后先使用下一個鏈路的密鑰對消息進行加密,再進行傳輸。②節點加密:
在操作上與鏈路加密類似。與鏈路加密不同的是,節點加密不允許消息在網絡節點以明文形式存在,它先把收到的消息進行解密,然后采用另一個不同的密鑰進行加密,這一過程是在節點上的一個安全模塊中進行。這種方法對防止攻擊者分析通信業務是脆弱的。③端到端加密:
端到端加密允許數據在從源點到終點的運輸過程中始終以密文形式存在,采用端到端加密,消息在被傳輸到達終點之前不進行解密,因為消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。與前兩種相比更可靠,更容易設計、實現和維護。
11、加密方式的選擇,根據各加密方式的特點,在不同場合如何選擇合適的加密方式。
P61—62
12、加密方式的比較:
(1)鏈路加密:
優點: 缺點:
1、包含報頭和路由信息的所有
1、消息以明文形式通過每一個信息均加密 節點
2、單個密鑰損壞時整個網絡不
2、因為所有節點都必須有密鑰,會損壞,每對網絡節點可使用不密鑰分發和管理變得困難 同的密鑰
3、由于每個安全通信鏈路需要
3、加密對用戶透明。兩個密碼設備,因此費用較高
(2)節點加密:
優點: 缺點:
1、消息的加、解密在安全模塊
1、某些信息(如報頭和路由信中進行,這樣使得消息內容不會息)必須以明文形式傳輸 被泄露
2、因為所有節點都必須有密鑰,2、加密對用戶透明。密鑰分發和管理變得困難
(3)端到端加密:
優點:
1、使用方便,采用用戶自己的缺點: 協議進行加密,并非所有數據需
1、每一個系統都需要完成相同要加密 類型的加密
2、網絡中數據從源點到終點均
2、某些信息(如報頭和路由信受保護 息)必須以明文形式傳輸
3、加密對網絡節點透明,在網
3、需采用安全、先進的密鑰頒絡重構期間可使用加密技術。發和管理技術。
13、DES(數據加密標準)加密:
DES采用傳統的換位和置換的方法進行加密,在56b密鑰的控制下,將64b明文塊變換為64b密文塊,加密過程包括16輪的加密迭代,每輪都采用一種乘積密碼方式(代替和移位),具體原理看課本P63——P67
14、()公鑰加密:
由對應的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。它解決了密鑰的發布和管理問題,是目前商業密碼的核心。()對稱加密:
采用單鑰密碼系統的加密方法,同一個密鑰可以同時用作信息的加密和解密,需要對加密和解密使用相同密鑰的加密算法。
傳統加密方式與公鑰加密的相同點:①明文輸入②算法③密文④解密⑤公鑰、私鑰
15、RSA算法基礎(具體計算,大題):
RSA算法是建立在“大數分解和素數檢測”的理論基礎上的,它運用了數論中的Euler定理,即a,r是兩個互素的正整數,則az=1(mod r),其中z為與r互素且不大于r的正整數的個數(即Euler函數)。該算法取用一個合數(該合數為兩個大素數的乘積),而不是采用一個大素數作為其模數r RSA的實施:設計密鑰、設計密文、恢復明文 ⑴設計密鑰:
先仔細選取兩個互異的大素數P和Q,令N=P*Q,z=(P-1)*(Q-1),接著尋求兩個正整數d和e,使其滿足gcd(d,z)=1,e*d=1(mod z)。這里的(N,e)就是公開的加密密鑰 ⑵設計密文:
把要發送的明文信息M數字化和分塊,其加密過程是:C=Me(mod N)⑶恢復明文:
對C 解密,即得到明文 M=Cd(mod N)
16、數字簽名:數字簽名基于消息特征分類有兩種:一種是對整個消息的簽名,一種是對壓縮消息的簽名
數字簽名常用的有:①RSA簽名②ElGamal簽名
17、DSS(數字簽名標準)美國政府用來指定數字簽名算法的一種標準,其中也涉及到非對稱加密法 DSA(數字簽名算法)
18、Hash函數: 特點:
1)H可以作用于一個任意長度的數據塊,即輸入任意 2)H產生一個固定長度的輸出
3)H(x)對任意給定的x計算相對容易,無論是軟件還是硬件實現 4)對任意給定碼h,找到x滿足H(x)=h具有計算不可行性
5)對于任意給定的數據塊x,找到滿足H(y)=H(x)的y≠x具
有計算不可行性
6)找到任意數據對(x,y),滿足H(x)=H(y)的計算是不可行的 Hash函數簽名方案 發送方x:準備消息M,計算其散列碼H(M),用x的私鑰對散列值構成簽名,并將消息M及簽名發送給y 接收方y:對收到的消息M'計算用H(M'),利用公鑰解密?,然后比較?如果?,則簽名得到驗證
Hash函數主要用于完整性校驗和提高數字簽名的有效性
19、DSS原理 P106 20、簽名函數就是這樣,只有發方用掌握的私有密鑰才能產生有效的簽名
21、身份認證:即鑒別認證,是指在揭示敏感信息或進行事物處理之前先確定對方身份;
22、訪問控制:是通過某種途徑顯式地準許或限制訪問能力即范圍,從而限制對關鍵資源的訪問,防止非法用戶的侵入或者合法用戶的不慎操作而造成破壞
23、不安全口令的分析(判斷那種口令不安全)
①使用用戶名 ②用戶名的的變形 ③自己或親友的生日 ④用學號、身份證號等作為口令 ⑤使用常用的英語單詞。
24、一次性口令(OTP):
即用戶在每次同服務器連接過程中所使用的口令再網上傳輸時都是加密的密文,這些密文在每次連接時都是不同的,也就是說,口令密文是一次有效的
25、一次性口令的特點:
概念簡單,易于使用;基于一個被記憶的密碼,不需要任何附加的硬件;安全算法;不需要存儲諸如密鑰、口令等敏感信息
26、OTP認證技術的原理及基本思想 P119 OTP認證的基本思想是:
在摘錄過程中基于用戶的秘密通行短語(SPP)加入不確定因素,使每次登陸過程中摘錄所得的密碼(即一次性口令OTP)都不相同,用戶真正的秘密通行短語SPP根本不在網上傳輸,從而可以提高登錄過程的安全性。
27、OTP技術的實現機制——挑戰應答機制:
用戶要求登錄時,系統產生一個隨機數發送給用戶,用戶用某種單向Hash函數將自己的秘密通行短語和隨機數雜湊出一個摘要,并發送給系統。系統用同樣的方法做一個驗算即可驗證用戶身份,這種實現機制要求事先將用戶的密碼通行短語通過安全信道傳給系統,并且系統中所有用戶的秘密通行短語都保存在用戶認證數據庫中,以便系統能夠以和用戶端相同的方法計算摘要進行身份認證。在這種實現機制中,系統中保存用戶的秘密通行短語給黑客攻擊留有漏洞
28、指紋識別技術的特定應用的重要衡量標志是識別率,識別率由兩個部分組成,拒判率(FRR)和誤判率(FAR),這兩個指標是成反比的,拒判率越高,越好,但效率低。
“系統內部的訪問控制”包括存取控制的含義,它是系統內部的主體對客體的訪問所收到的限制。主體指的是用戶、進程、作業等,客體指的是所有可供訪問的軟、硬件資源
29、防火墻:防火墻是在內部網與外部網之間實施安全防范的系統
防火墻功能:
① 防火墻是網絡安全的屏障 ②防火墻可以強化網絡安全屏障
③對網絡存取和訪問控制進行監控審計 ④防止內部信息的外漏 ⑤抵抗攻擊 30、防火墻分類:①包過濾防火墻(效率最高)
②狀態包檢測防火墻; ③代理服務
④深度包檢測防火墻;
⑤分布式防火墻(最安全)
●給出一種防火墻,需要能判斷出是哪一種,而且判斷出一個系統用哪種防火墻合適
31、防火墻有三種基本體系結構:①雙宿主主機結構 ②主機過濾結構 ③子網過濾結構
32、防火墻的局限性:
1)防火墻不能防范不經過或繞過防火墻的攻擊
2)一般的防火墻不能防止受到病毒感染的軟件和文件的傳輸 3)防火墻不能防止數據驅動式的攻擊
4)雖然防火墻常常可以有效地阻止防止來組外部網絡黑客攻擊,但是防火墻受物理拓樸結構的限制,對來自內部的攻擊不起作用
5)無雙向的身份證,給偽造服務服務器提供了可能,點到點的數據加密,一旦失密或出錯將影響整個鏈路,而且在通過鏈路進行轉化時需要進行另外的加密,從而容易失密 6)訪問控制的力度較大,無法針對具體文件進行控制
33、病毒:指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼
34、病毒的特征:1)破壞性2)感染性3)隱藏性4)可激活性5)針對性
35、病毒按寄生方式可分為:引導型病毒、文件型病毒、混合型病毒
引導型病毒寄生在操作系統中; 文件型病毒寄生在可執行文件中;
混合型病毒將引導病毒和文件型病毒結合在一起,它既感染文件,又感染引導區
36、病毒程序模塊包括三個:安裝模塊、感染模塊、破壞模塊。具體見P242
37、引導型病毒的特點:駐留內存、隱形技術、加密技術。
弱點:傳染速度慢,一定要帶毒軟盤啟動才能傳到硬盤,殺毒容易,只需
改寫引導區即可
38、文件型病毒的種類:非常駐型、常駐型。
39、木馬的工作原理:木馬的植入,木馬的隱藏,木馬的加載,木馬病毒的信息獲取,木馬病毒的信息傳遞,木馬病毒的查殺。
40、蠕蟲定義:就是無須計算機使用者干預即可運行的獨立程序,它通過不停地獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播。
41、網絡攻擊的類型:被動攻擊、主動攻擊、物理臨近攻擊、內部人員攻擊和軟硬件裝配攻擊
42、常見的攻擊工具:安全掃描、監聽、惡意代碼、緩沖區溢出、拒絕服務攻擊、腳本攻擊、口令攻擊、欺騙攻擊、防火墻攻擊。
43、惡意代碼:經過存儲介質和網絡進行傳播,從一臺計算機系統到另一臺計算機系統,未經授權認證破壞計算機系統完整性的程序和代碼。
惡意代碼的兩個顯著特點是非授權性和破壞性
第五篇:信息安全與保密
信息安全與保密小組實驗報告
小組成員:沈婷婷
黃海忠
汪芙蓉
Word.Excel.PPT是微軟office套裝中,最常用的幾個軟件,而軟件加密,成為了日常必需學習的東西,因為密碼,可以保護你的隱私或者商業機密。文件加密簡單地說就是對原來為明文的文件按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為”密文”。使其只能在輸入相應的密鑰之后才能顯示出本來內容,通過這樣的途徑達到保護數據不被人非法竊取、閱讀的目的。該過程的逆過程為解密,即將該編碼信息轉化為其原來數據的過程。
本試驗中3個軟件的加密方法和密碼取消,非常簡單,在本文中,就不加解釋了,主要是介紹一下,信息加密和解密的關系。密碼是指為了保護文檔安全,當你不希望別人打開或修改你的word時,你可以設置密碼。不過不推薦這種加密方法,很容易破解,在線破解10秒鐘破解結了,可以用winrar加密,這種加密吧密碼直接加到文件中,一般是無法破解的。(WinRAR加密,是指長加密,不是簡單的2-3位加密)
本實驗使用解密軟件是Rar Password Unlocker v3.2.0.1,該軟件是一款基本學習型軟件,支持1-3位簡單密碼破解,其中破解方法有暴力破解和字典破解兩種,也是主流破解方法,暴力破解相對于字典破解,具有操作簡單的優勢,但是在破解精準度和時間上,會有所欠缺。本實驗中,我們首先對word進行加密111,然后使用Rar Password Unlocker v3.2.0.1軟件的暴力破解方法,經過130秒以后,破解出密碼為111,同時也可以通過該軟件取消密碼,但是為了后續取消密碼步驟,在這就不取消了,直接輸入111進入文檔,這樣就是說,暴力破解通過每一個數字,字母,字符,按順序嘗試排列,最終還是可以獲取密碼的。該方法適用于一般無損壞可能的加密。而后面的Excel中,我們使用的是字典加密,該加密是通過規則破解也是一種非常有效的方式,這里面還會具體分為兩種,一種是與帳號關聯的規則,另外一種是與帳號無關的規則,與帳號關聯的規則,比如注冊帳號test,注冊密碼test123這樣的(是不是很多人有這個習慣?),那簡直是任何一個破解器的簡單規則都可以勝任的;與帳號無關的,通常是有限度遍歷模式,比如日期類型8位數字(如19730221)或6位數字(如780112)遍歷或兩位字母+六位數字遍歷,(我知道很多朋友喜歡用生日做密碼,那可真就不妙了),或者13+8個數字遍歷(用手機號碼做密碼的朋友小心了),以及6位任意數字遍歷,6位小寫字母遍歷(對付那些密碼簡單的朋友),2位字母+四位任意數字密碼混排遍歷(如ma1234),1位字母+4-5位數字混排遍歷(如s7564),這些都是比較容易出彩的規則,按照規則遍歷,是黑客對用戶心理的一種考驗,一些用戶圖好記而采用的密碼,也就是黑客最容易想到和突破的了。該方式的破解能力較強,能快速破解.解密,常用于文件失去時間價值以后,例如試卷已經考完以后。解密過程和加密過程相似,在本報告中,也不詳細介紹。
常用加密方法
(一)利用組策略工具,把存放隱私資料的硬盤分區設置為不可訪問。
首先在開始菜單中選擇”運行”,輸入 gpedit.msc,回車,打開組策略配置窗口。選擇”用戶配置”->”管理模板”->”Windows 資源管理器”,雙擊右邊的”防止從”我的電腦”訪問驅動器”,選擇”已啟用”,然后在”選擇下列組合中的一個”的下拉組合框中選擇你希望限制的驅動器,點擊確定就可以了。
這時,如果你雙擊試圖打開被限制的驅動器,將會出現錯誤對話框,提示”本次操作由于這臺計算機的限制而被取消。請與您的系統管理員聯系。”這樣就可以防止大部分黑客程序和病毒侵犯你的隱私了。這種加密方法比較實用,但是其缺點在于安全系數很低。厲害一點的電腦高手都知道怎么修改組策略,他們也可以把用戶設置的組策略限制取消掉。因此這種文件加密方法不太適合對保密強度要求較高的用戶。對于一般的用戶,這種文件加密方法還是有用的。
(二)利用注冊表中的設置,把某些驅動器設置為隱藏。
在注冊表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer中新建一個DWORD值,命名為NoDrives,并為它賦上相應的值。例如想隱藏驅動器C,就賦上十進制的4(注意一定要在賦值對話框中設置為十進制的4)。如果我們新建的NoDrives想隱藏A、B、C三個驅動器,那么只需要將A、B、C 驅動器所對應的DWORD值加起來就可以了。同樣的,如果我們需要隱藏D、F、G三個驅動器,那么NoDrives就應該賦值為8+32+64=104。怎么樣,應該明白了如何隱藏對應的驅動器吧。目前大部分磁盤隱藏軟件的功能都是利用這個小技巧實現的。隱藏之后,WIndows下面就看不見這個驅動器了,就不用擔心別人窺探你的隱私了。
但這僅僅是一種只能防君子,不能防小人的加密方法。因為一個電腦高手很可能知道這個技巧,病毒就更不用說了,病毒編寫者肯定也知道這個技巧。只要把注冊表改回來,隱藏的驅動器就又回來了。雖然加密強度低,但如果只是對付一下自己的小孩和其他的菜鳥,這種方法也足夠了。
(三)利用Windows自帶的”磁盤管理”組件也可以實現硬盤隱藏!
具體操作步驟如下:右鍵”我的電腦”->”管理”,打開”計算機管理”配置窗口。選擇”存儲”->”磁盤管理”,選定你希望隱藏的驅動器,右鍵選擇”更改驅動器名和路徑”,然后在出現的對話框中選擇”刪除”即可。很多用戶在這里不敢選擇”刪除”,害怕把數據弄丟了,其實這里完全不用擔心,Windows僅僅只是刪除驅動器的在內核空間的符號鏈接,并不會刪除邏輯分區。如果要取消隱藏驅動器,重復上述過程,在這里選擇選擇”添加”即可。
這種方法的安全系數和前面的方法差不多,因為其他電腦高手或者病毒程序也可以反其道而行之,把你隱藏的驅動器給找回來。利用第三方文件加密軟件進行加密。
在這一領域的代表性文件加密軟件是超級加密3000。超級加密3000采用了成熟先進的加密算法、加密方法和文件系統底層驅動,使文件加密和文件夾加密后的達到超高的加密強度,并且還能夠防止被刪除、復制和移動。其安全性和加解密速度都是可以讓人放心的。不但適用于個人用戶,而且企業用戶的文件加密效果也極佳。
點擊咨詢 