電子商務(wù)安全

電子商務(wù)安全第一章1、電子商務(wù)安全要求有什么特殊性？答：1、 電子商務(wù)安全是一個(gè)系統(tǒng)概念。2、 電子商務(wù)安全是相對(duì)的。3、 電子商務(wù)安全是有代價(jià)的。4、 電子商務(wù)安全是發(fā)展，動(dòng)態(tài)的。2、以在網(wǎng)上購(gòu)書為例，請(qǐng)你說(shuō)說(shuō)在網(wǎng)上購(gòu)書過(guò)程中會(huì)面臨哪些安全威脅？答：1、 假冒的網(wǎng)站，IE木馬等2、 付款方式：網(wǎng)銀現(xiàn)結(jié)，第三方賬戶，3、 給賬戶充值過(guò)程中可能被盜取網(wǎng)銀賬戶和密碼4、 非正規(guī)網(wǎng)站收款后不發(fā)貨。3、 電子商務(wù)站點(diǎn)面臨的安全威脅可能有黑客入侵，服務(wù)器感染病毒，數(shù)據(jù)丟失，請(qǐng)結(jié)合電子商務(wù)的例子，看看他們采取了哪些安全措施？答：依阿里巴巴為例：（1）加密技術(shù)①對(duì)稱加密/對(duì)稱密鑰加密/專用密鑰加密②非對(duì)稱加密/公開密鑰加密（2）密鑰管理技術(shù)（3）數(shù)字簽名（4）Internet電子郵件的安全協(xié)議（5）Internet主要的安全協(xié)議（6）UN/EDIFACT的安全（7）安全電子交易規(guī)范4、 電子商務(wù)安全包含哪些基礎(chǔ)技術(shù)？答：1、密碼技術(shù)。2、網(wǎng)絡(luò)安全技術(shù)。3、PKI技術(shù)。5、電子商務(wù)安全服務(wù)規(guī)范有哪些？各個(gè)網(wǎng)絡(luò)層次分別有什么樣的解決方案？答：1、 網(wǎng)絡(luò)層安全服務(wù)，網(wǎng)絡(luò)層的安全使用IPsec方案。2、 傳輸層安全服務(wù)，傳輸層的安全使用SSL\TLS方案。3、 應(yīng)用層安全服務(wù)，應(yīng)用層的安全使用S-HTTP,SET,Kerberos,S\MIME,PGP等。第二章1、什么是單鑰密碼體制？什么是雙鑰密碼體制？二者各有何特點(diǎn)？答：1、在單鑰體制下，加密密鑰和解密密鑰是一樣的，或?qū)嵸|(zhì)上是等同的，這種情況下，密鑰就經(jīng)過(guò)安全的密鑰信道由發(fā)方傳給收方。單鑰密碼的特點(diǎn)是無(wú)論加密還是解密都使用同一個(gè)密鑰，因此，此密碼體制的安全性就是密鑰的安全。如果密鑰泄露，則此密碼系統(tǒng)便被攻破。最有影響的單鑰密碼是。。單鑰密碼的優(yōu)點(diǎn)是：安全性高。加解密速度快。缺點(diǎn)是：1）隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，密鑰的管理成為一個(gè)難點(diǎn)；2）無(wú)法解決消息確認(rèn)問(wèn)題；3）缺乏自動(dòng)檢測(cè)密鑰泄露的能力。2、而在雙鑰體制下，加密密鑰與解密密鑰是不同的，此時(shí)根本就不需要安全信道來(lái)傳送密鑰，而只需利用本地密鑰發(fā)生器產(chǎn)生解密密鑰即可。雙鑰密碼是：。由于雙鑰密碼體制的加密和解密不同，且能公開加密密鑰，而僅需保密解密密鑰，所以雙鑰密碼不存在密鑰管理問(wèn)題。雙鑰密碼還有一個(gè)優(yōu)點(diǎn)是可以擁有數(shù)字簽名等新功能。最有名的雙鑰密碼體系是：雙鑰密碼的缺點(diǎn)是：雙鑰密碼算法一般比較復(fù)雜，加解密速度慢。3、DES,IDES,AES等分組密碼有何共同特點(diǎn)？答：分組密碼是將明文序列劃分成等長(zhǎng)的分組（Block），對(duì)每一組用同一加密算法和同一密鑰進(jìn)行加密。4、應(yīng)用RSA算法對(duì)下列情況實(shí)現(xiàn)加密和解密：①p=3；q=11，d=7；M=5②p=5；q=11，e=3；M=9③p=7；q=11，e=17；M=8④p=11;q=13,e=11；M=7。⑤p=17；q=31,e=7；M=2答：①e=3,C=26；②C=14；③C=23:④C=106:⑤C=1285、在一個(gè)使用RSA的公開密鑰系統(tǒng)中，你截獲了發(fā)給一個(gè)其公開密鑰是e=5,n=35的用戶的密文C=10。明文M是什么？答:z=24,d=5,M=5°6、在一個(gè)RSA系統(tǒng)中，一個(gè)給定用戶的公開密鑰是e=31,n=3599。這個(gè)用戶的私有密鑰是什么？答：n=59*61,z=3480,d=3031°7、考慮橢圓曲線E11(1,6)；也就是由y2=x2+x+6和一個(gè)模數(shù)p=11定義的曲線。確定E11(1,6)中的所有的點(diǎn)。答：省略8、信息隱藏的基本原理是什么？答：信息隱藏主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中，然后通過(guò)公開信息的傳輸來(lái)傳遞機(jī)密信息9、討論生物識(shí)別是否會(huì)取代當(dāng)今銀行的口令識(shí)別系統(tǒng)？試論其使用的前提條件答：不會(huì)。10、量子密碼術(shù)有何特點(diǎn)？答：量子密碼術(shù)用于建立、傳輸密碼本，而不用于傳輸密文。最初的量子密碼通信利用的都是光子的偏振特性，目前主流的實(shí)驗(yàn)方案則用光子的相位特性進(jìn)行編碼。量子密碼術(shù)突破了傳統(tǒng)加密方法的束縛，以量子狀態(tài)作為密鑰具有不可復(fù)制性，可以說(shuō)是”絕對(duì)安全”的。任何截獲或測(cè)試量子密鑰的操作都會(huì)改變量子狀態(tài)。這樣截獲者得到的只是無(wú)意義的信息，而信息的合法接收者也可以從量子態(tài)的改變知道密鑰曾被截取過(guò)。11、電子商務(wù)安全采用無(wú)紙化考試，為了保密處理，考生考完后需要對(duì)答卷進(jìn)行加密處理，假設(shè)有DES、RSA兩種加密算法供選擇，請(qǐng)問(wèn)應(yīng)該選擇哪種算法？為什么？如何處理？答：對(duì)于上面講的這種情況，還是用DES比較好。因?yàn)樵嚲淼脑?，?nèi)容比較多，明文空間所占內(nèi)存比較大，如果用RSA的話，運(yùn)行速度會(huì)很慢，所以不適合咱們這種情況。相比而言，DES就會(huì)快很多。12、目前，許多新的電子郵件系統(tǒng)都具有加密功能。問(wèn)：如果你來(lái)開發(fā)這樣的帶有加密功能的郵件系統(tǒng)，是采用DES、AES、PGP，還是其它，為什么？答：采用PGPDES,AES均為分組密碼體制，加密解密公用同一密鑰，密鑰管理困難°PGP為復(fù)合型加密體制，綜合了對(duì)稱密鑰與非對(duì)稱密鑰的優(yōu)點(diǎn)。可以用于對(duì)郵件加密，密鑰管理以及進(jìn)行數(shù)字簽名，防止抵賴。第三章1、什么是數(shù)字簽名？討論什么情況下用數(shù)字簽名比用加密更合適？答：以電子形式存在于數(shù)據(jù)信息之中的，或作為其附件的或邏輯上與之有聯(lián)系的數(shù)據(jù)，可用于辨別數(shù)據(jù)簽署人的身份，并表明簽署人對(duì)數(shù)據(jù)信息中包含的信息的認(rèn)可。同數(shù)字簽名樣，公共密鑰加密使用PGP等軟件，使用數(shù)學(xué)算法轉(zhuǎn)換信息并且依靠公共和專用密鑰。但，加密和數(shù)字簽名區(qū)別，加密目通過(guò)把信息翻譯成密碼秘密地隱藏內(nèi)容。數(shù)字簽名目完整性和身份識(shí)別性，驗(yàn)證個(gè)信息發(fā)送者和指出內(nèi)容沒被修改。雖然加密和數(shù)字簽名能夠單獨(dú)使用，但你還可以對(duì)加密信息采用數(shù)字簽名。當(dāng)你簽署個(gè)信息時(shí)，你使用你專用密鑰，任何你公共密鑰都能夠驗(yàn)證這個(gè)簽名合法。當(dāng)你加密個(gè)信息時(shí)候，你為接收你信息使用這個(gè)公共密鑰，并且使用他或者她專用密鑰解碼這個(gè)信息。用于們要保持自己專用密鑰機(jī)密，并且使用口令保護(hù)這些密鑰，這個(gè)信息接收者應(yīng)該惟能夠觀看這個(gè)信息。2、雙聯(lián)簽名的概念是什么？其基本原理是什么？答：在實(shí)際商務(wù)活動(dòng)中經(jīng)常出現(xiàn)這種情形，即持卡人給商家發(fā)送訂購(gòu)信息和自己的付款帳戶信息，但不愿讓商家看到自己的付款帳戶信息，也不愿讓處理商家付款信息的第三方看到定貨信息。在電子商務(wù)中要能做到這點(diǎn)，需使用雙聯(lián)簽名技術(shù)。?雙聯(lián)簽名的使用方法如下：(1)持卡人將發(fā)給商家的信息M1和發(fā)給第三方的信息M2分別生成報(bào)文摘要MD1和報(bào)文摘要MD2；(2)持卡人將MD1和MD2合在一起生成MD，并簽名；(3)將M1、 MD2和MD發(fā)送給商家，將M2、 MD1和MD發(fā)送給第三方；?接收者根據(jù)收到的報(bào)文生成報(bào)文摘要，再與收到的報(bào)文摘要合在一起，比較結(jié)合后的報(bào)文摘要和收到的同。，確定持卡人的身份和信息是否被修改過(guò)。雙聯(lián)簽名解決了三方參加電子貿(mào)易過(guò)程中的安全通信問(wèn)題。3、試設(shè)計(jì)一個(gè)數(shù)字簽名方法，以便使接收方能驗(yàn)證簽名答：省略4、用DSS，因?yàn)槊總€(gè)簽名將產(chǎn)生不同的k值，因此即使分別在不同的場(chǎng)合對(duì)相同的報(bào)文簽名，產(chǎn)生的簽名也不相同°RSA簽名是不能這樣的。這樣的不同有什么實(shí)際意義？答:RSA是最流行的一種加密標(biāo)準(zhǔn)，許多產(chǎn)品的內(nèi)核中都有RSA的軟件和類庫(kù)。早在Web飛速發(fā)展之前，RSA數(shù)據(jù)安全公司就負(fù)責(zé)數(shù)字簽名軟件與Macintosh操作系統(tǒng)的集成，在Apple的協(xié)作軟件PowerTalk上還增加了簽名拖放功能，用戶只要把需要加密的數(shù)據(jù)拖到相應(yīng)的圖標(biāo)上，就完成了電子形式的數(shù)字簽名。與DSS不同，RSA既可以用來(lái)加密數(shù)據(jù)，也可以用于身份認(rèn)證。在公鑰系統(tǒng)中，由于生成簽名的密鑰只存儲(chǔ)于用戶的計(jì)算機(jī)中，安全系數(shù)大一些。5、 數(shù)字時(shí)間戳是如何簽署的？答：用戶首先將需要加時(shí)間戳的文件用Hash編碼形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件數(shù)字簽名，然后送回用戶。6、 某個(gè)人寫了一份遺囑需要多個(gè)律師簽名，以保障遺囑的合法性和可認(rèn)證性，但不想讓任何律師知道。問(wèn)此人應(yīng)該使用什么技術(shù)？答：此人應(yīng)該使用多重簽名7、 如果選舉單位要采用電子投票的方式進(jìn)行投票，應(yīng)該采用什么技術(shù)來(lái)保證投票的公正性、匿名性？答：第四章1、什么是保持?jǐn)?shù)據(jù)完整性？試述保持?jǐn)?shù)據(jù)完整性的基本原理。實(shí)現(xiàn)數(shù)據(jù)完整性的主要手段是什么？答：1、保持?jǐn)?shù)據(jù)完整性是指在有自然人或人為干擾的條件下，網(wǎng)絡(luò)系統(tǒng)保持發(fā)送方和接收方傳送數(shù)據(jù)一致性的能力，是保護(hù)數(shù)據(jù)不被未授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或防止由于其他原因使原始數(shù)據(jù)被更改。2、，主要原理是通過(guò)有限狀態(tài)機(jī)產(chǎn)生性能優(yōu)良的偽隨機(jī)序列，使用該序列加密信息流，得到密文序列、分組密碼的工作方式是將明文分成固定長(zhǎng)度的組，

如64比特一組，用同一密鑰和算法對(duì)每一組加密，輸出也是固定長(zhǎng)度的密文、3、數(shù)據(jù)的完整性靠添加約束實(shí)現(xiàn)，大部分?jǐn)?shù)據(jù)庫(kù)都有這類約束：是否可空，是否唯一，主鍵約束，外鍵約束，條件約束。2、 認(rèn)證包含哪些內(nèi)容？答：1）消息摘要方法解決了消息的完整性問(wèn)題；（2）采用數(shù)字信封技術(shù)保證數(shù)據(jù)的傳輸安全；（3）采用數(shù)字簽名技術(shù)進(jìn)行發(fā)送者的身份認(rèn)證，并同時(shí)保證數(shù)據(jù)的完整性，完成交易的不可否認(rèn)性；（4）采用口令字技術(shù)或公開密鑰技術(shù)進(jìn)行身份認(rèn)證；（5）采用持證認(rèn)證進(jìn)行身份認(rèn)證；（6）采用生物識(shí)別進(jìn)行身份認(rèn)證。3、 散列函數(shù)是什么？試述散列函數(shù)在身份認(rèn)證中的作用。答：1、散列函數(shù)又稱hash函數(shù)，Hash函數(shù)（也稱雜湊函數(shù)或雜湊算法）就是把任意長(zhǎng)的輸入消息串變化成固定長(zhǎng)的輸出串的一種函數(shù)2、散列函數(shù)在身份認(rèn)證中的作用：文件校驗(yàn)，數(shù)字簽名，鑒權(quán)協(xié)議4、 身份認(rèn)證有哪些主要手段？預(yù)測(cè)將來(lái)會(huì)采用什么樣的身份認(rèn)證手段？答：1、口令認(rèn)證，2、持證認(rèn)證，3、生物認(rèn)證2、預(yù)測(cè)將來(lái)會(huì)采用的身份認(rèn)證手段有：1、多形態(tài)因子認(rèn)證。2、基于風(fēng)險(xiǎn)的認(rèn)證。3、名譽(yù)服務(wù)認(rèn)證5、 X、509和Kerberos認(rèn)證協(xié)議分別應(yīng)用于哪些情形？6、 目前遠(yuǎn)程教育越來(lái)越盛行，對(duì)于遠(yuǎn)程課件的訪問(wèn)、成績(jī)的查詢、作業(yè)的提交以及成績(jī)的錄入，如何根據(jù)不同的用戶進(jìn)行有效的身份認(rèn)證？7、 為了防止軟件盜版，各大公司都采取了一些軟件的認(rèn)證保護(hù)技術(shù)，請(qǐng)你分析Microsoft對(duì)WindowsXP的保護(hù)中采用了哪些認(rèn)證手段？第六章1第六章1、網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)有哪些?答：1、 訪問(wèn)控制：訪問(wèn)控制主要有兩種類型：網(wǎng)絡(luò)訪問(wèn)控制和系統(tǒng)訪問(wèn)控制。?2、 認(rèn)證技術(shù)：認(rèn)證(Authentication)是確定某人或某事是否名副其實(shí)或有效的過(guò)程。?3、 加密通信技術(shù):加密就是為了安全目的對(duì)信息進(jìn)行編碼和解碼。?4、 入侵檢測(cè):入侵檢測(cè)是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。?5、 防病毒技術(shù):計(jì)算機(jī)病毒是一種特殊的程序，由病毒引發(fā)的問(wèn)題屬于軟件故障。2、防火墻設(shè)備的主要功能是什么？防火墻可以完成的安全業(yè)務(wù)有那些？答：防火墻主要具有如下一些功能：1、 防止外部攻擊2、 防止內(nèi)部信息泄漏3、 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)4、 VPN功能5、 防火墻自身的抗攻擊能力防火墻可以完成的安全業(yè)務(wù)有：1、保護(hù)脆弱的服務(wù)2控制對(duì)系統(tǒng)的訪問(wèn)3集中的安全管理4增強(qiáng)的保密性5策略執(zhí)行3、 根據(jù)防火墻和Web服務(wù)器所處的位置，可以有哪三種配置？答：Dual-homed方式、Screened-host方式和Screened-subnet方式4、 防火墻不能對(duì)付那些安全威脅？答：1防火墻不能防范來(lái)自內(nèi)部的攻擊2防火墻不能防范不經(jīng)由防火墻的攻擊3防火墻不能防止受到病毒感染的軟件或文件的傳輸4防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊5、 如某公司在中國(guó)有廣州和北京兩辦事處，現(xiàn)打算通過(guò)虛擬專用網(wǎng)進(jìn)行連接，請(qǐng)幫他們提供一個(gè)可行的方案。6、 虛擬專用網(wǎng)的安全策略是什么？答：目前建造虛擬專網(wǎng)的國(guó)際標(biāo)準(zhǔn)有IPSec(RFC1825-1829)和L2TP(草案draft-ietf-pppextT2tpT0)。IPSec是由IETF正式定制的開放性IP安全標(biāo)準(zhǔn)，是虛擬專網(wǎng)的基礎(chǔ)，已經(jīng)相當(dāng)成熟可靠。L2TP協(xié)議草案中規(guī)定它(L2TP標(biāo)準(zhǔn))必須以IPSec為安全基礎(chǔ)。VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全的通信。它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會(huì)被竊聽。其處理過(guò)程如下：①要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備；②VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過(guò)。對(duì)需要加密的數(shù)據(jù)，VPN設(shè)備對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。③VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。④當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對(duì)無(wú)誤后，數(shù)據(jù)包被解密7、 虛擬專用網(wǎng)有哪幾種連接類型？答：省略8、 入侵檢測(cè)能解決什么樣的安全問(wèn)題？9、 什么是計(jì)算機(jī)病毒？它與生物病毒有何相似之處？答：計(jì)算機(jī)病毒是一種小程序，能夠自我復(fù)制，會(huì)將自己的病毒碼依附在的其他程序上，通過(guò)其他程序的執(zhí)行，伺機(jī)傳播病毒程序，有一定潛伏期，一旦條件成熟，進(jìn)行各種破壞活動(dòng)，影響計(jì)算機(jī)使用計(jì)算機(jī)病毒同生物病毒所相似之處是能夠侵入計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)，危害正常工作的“病原體”。它能夠?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行各種破壞，同時(shí)能夠自我復(fù)制，具有傳染性10、 你是如何判斷你的計(jì)算機(jī)可能有病毒了？答：可以從以下判斷計(jì)算機(jī)是否有病毒：從目前發(fā)現(xiàn)的病毒來(lái)看，主要癥狀有：（1）由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來(lái)，磁盤壞簇莫名其妙地增多。（2）由于病毒程序附加在可執(zhí)行程序頭尾或插在中間，使可執(zhí)行程序容量增大。（3）由于病毒程序把自己的某個(gè)特殊標(biāo)志作為標(biāo)簽，使接觸到的磁盤出現(xiàn)特別標(biāo)簽。（4）由于病毒本身或其復(fù)制品不斷侵占系統(tǒng)空間，使可用系統(tǒng)空間變小。（5）由于病毒程序的異?；顒?dòng)，造成異常的磁盤訪問(wèn)。（6）由于病毒程序附加或占用引導(dǎo)部分，使系統(tǒng)導(dǎo)引變慢。（7）丟失數(shù)據(jù)和程序。（8）中斷向量發(fā)生變化。（9）打印出現(xiàn)問(wèn)題。（10）死機(jī)現(xiàn)象增多。（11）生成不可見的表格文件或特定文件。（12）系統(tǒng)出現(xiàn)異常動(dòng)作，例如：突然死機(jī)，又在無(wú)任何外界介入下，自行起動(dòng)。（13）出現(xiàn)一些無(wú)意義的畫面問(wèn)候語(yǔ)等顯示。（14）程序運(yùn)行出現(xiàn)異?，F(xiàn)象或不合理的結(jié)果。（15）磁盤的卷標(biāo)名發(fā)生變化。（16）系統(tǒng)不認(rèn)識(shí)磁盤或硬盤不能引導(dǎo)系統(tǒng)等。（17）在系統(tǒng)內(nèi)裝有漢字庫(kù)且漢字庫(kù)正常的情況下不能調(diào)用漢字庫(kù)或不能打印漢字。（18）在使用寫保護(hù)的軟盤時(shí)屏幕上出現(xiàn)軟盤寫保護(hù)的提示。（19）異常要求用戶輸入口令11、 某家網(wǎng)上書店需要對(duì)于自身的網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全建設(shè)，該系統(tǒng)的關(guān)鍵部件有DNS/Mail服務(wù)器、負(fù)載平衡服務(wù)器、WWW服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等。請(qǐng)問(wèn)如果要您來(lái)為他們進(jìn)行安全產(chǎn)品的采購(gòu)和安全系統(tǒng)的建設(shè)，您有什么好的方案？12、 當(dāng)前許多病毒是通過(guò)網(wǎng)絡(luò)感染，你認(rèn)為公司通過(guò)購(gòu)置防火墻或者VPN、IDS產(chǎn)品能有效的預(yù)防病毒嗎？為什么？第七章1、 安全管理包括哪些范疇？答：1電子商務(wù)安全管理框架2資產(chǎn)識(shí)別3風(fēng)險(xiǎn)評(píng)估4安全策略5應(yīng)急響應(yīng)6災(zāi)難恢復(fù)7企業(yè)管理安全解決方案2、 安全策略是什么概念？它包含那些內(nèi)容？答：電子商務(wù)安全策略是為了管理和保護(hù)敏感信息資源而制定的一組要求，法律和措施的總和，是企業(yè)內(nèi)部人員必須遵守的規(guī)則。3、 制定電子商務(wù)安全策略的基本原則有那些？答：1、 需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則2、 綜合性、整體性原則3、 一致性原則4、 易操作性原則5、 適應(yīng)性、靈活性原則6、 多重保護(hù)原則4、 資產(chǎn)賦值要考慮哪些因素？答：資產(chǎn)賦值是對(duì)資產(chǎn)安全價(jià)值的估價(jià)，而不是以資產(chǎn)的賬面價(jià)格來(lái)衡量的。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的成本價(jià)格，更重要的是考慮資產(chǎn)對(duì)于組織業(yè)務(wù)的安全重要性。5、 風(fēng)險(xiǎn)評(píng)估有哪些基本要素？答：資產(chǎn)，脆弱性，威脅，風(fēng)險(xiǎn)，安全措施。6、 風(fēng)險(xiǎn)評(píng)估應(yīng)提交哪些報(bào)告？答：（1）風(fēng)險(xiǎn)評(píng)估過(guò)程計(jì)劃。（2）風(fēng)險(xiǎn)評(píng)估程序。（3）信息資產(chǎn)識(shí)別清單。（4）重要信息資產(chǎn)清單。（5）威脅參考列表。（6）脆弱性參考列表。（7）風(fēng)險(xiǎn)評(píng)估記錄。（8）風(fēng)險(xiǎn)處理計(jì)劃。（9）風(fēng)險(xiǎn)評(píng)估報(bào)告。7、 應(yīng)急響應(yīng)策略主要有哪些步驟？答：1事前準(zhǔn)備2發(fā)現(xiàn)突發(fā)事件3初始響應(yīng)4制定響應(yīng)策略5事件調(diào)查階段6提交報(bào)告階段7解決方案階段8、 什么是災(zāi)難恢復(fù)？最好的災(zāi)難恢復(fù)的策略是什么？答：災(zāi)難恢復(fù)是指將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)，井將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常態(tài)恢復(fù)到可接受狀態(tài)，而設(shè)計(jì)的活動(dòng)和流程9、 大家討論是否碰見過(guò)數(shù)據(jù)丟失的情形，各自是如何挽回?fù)p失的？日常采取過(guò)哪些災(zāi)難預(yù)防措施？10、 許多安全問(wèn)題都是由于內(nèi)部的管理引起的，請(qǐng)你針對(duì)企業(yè)的內(nèi)部安全管理的各個(gè)方面談?wù)勏鄳?yīng)的安全防范與對(duì)策。答：11、 在日本，某大型銀行其內(nèi)部的電子數(shù)據(jù)極其重要，一經(jīng)丟失會(huì)造成嚴(yán)重的損失，由于其數(shù)據(jù)服務(wù)器坐落在地震的多發(fā)帶，面臨著由于自然災(zāi)難造成數(shù)據(jù)丟失的風(fēng)險(xiǎn)，請(qǐng)從數(shù)據(jù)備份以及災(zāi)難恢復(fù)方面討論如何進(jìn)行數(shù)據(jù)備份恢復(fù)，談?wù)勀愕目捶敖鉀Q方案。第八章1、 什么是公鑰基礎(chǔ)設(shè)施？PKI由哪幾部分組成？答：由公開密鑰密碼技術(shù)、數(shù)字證書、證書認(rèn)證中心和關(guān)于公開密鑰的安全策略等基本成分共同組成，管理密鑰和證書的系統(tǒng)或平臺(tái)權(quán)威認(rèn)證機(jī)構(gòu)(CA)、數(shù)字證書庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口(API)等基本構(gòu)成部分2、 公鑰基礎(chǔ)設(shè)施有哪些技術(shù)基礎(chǔ)？答；加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名3、 PKI有哪幾種信任模型？他們各有何特點(diǎn)？答：1認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型分布式信任結(jié)構(gòu)模型Web模型以用戶為中心、的信任模型2認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型的特點(diǎn)：增加新的認(rèn)證域用戶容易。證書路徑由于其單向性，容易擴(kuò)展，可生成從終端用戶證書到信任錨的簡(jiǎn)單明確的路徑。證書路徑相對(duì)較短，最長(zhǎng)的路徑等于樹的深度加1，每個(gè)從屬CA的證書路徑加上終端用戶的證書路徑。證書短小、簡(jiǎn)單。分布式信任結(jié)構(gòu)模型的特點(diǎn)：具有更好的靈活性。從安全性削弱的CA中恢復(fù)相對(duì)容易、并且它只影響到數(shù)量較少的用戶。增加新的認(rèn)證域更為容易Web模型的特點(diǎn)：方便簡(jiǎn)單，操作性強(qiáng)，對(duì)終端用戶的要求較低。用戶只需簡(jiǎn)單的信任嵌人的各個(gè)根cA。以用戶為中心的信任模型：①安全性很強(qiáng)。用戶可控性很強(qiáng)。4、 認(rèn)證中心的主要功能是什么？答：一、證書的頒發(fā)二、 證書的更新三、 證書的查詢四、 證書的作廢五、 證書的歸檔5、 認(rèn)證中心CA的管理工作有哪幾個(gè)方面？答：證書導(dǎo)入、導(dǎo)出、刪除、證書查詢、證書更新、證書吊銷6、 每個(gè)在認(rèn)證中心進(jìn)行了注冊(cè)登記的用戶都會(huì)得到一對(duì)密鑰，這對(duì)密鑰有些什么用處？答：7、 數(shù)字證書由誰(shuí)發(fā)行？數(shù)字證書在保證電子商務(wù)安全中的作用是什么？答：數(shù)字證書由證書授證(CertificateAuthority)中心。一、信息的保密性一、 信息的保密性二、 交易者身份的確定性三、 不可否認(rèn)性四、 不可修改性8、 公鑰基礎(chǔ)設(shè)施、認(rèn)證中心、和數(shù)字證書三者之間的關(guān)系是怎樣的？答：公鑰基礎(chǔ)設(shè)施的核心、機(jī)構(gòu)是認(rèn)證中心、，認(rèn)證中心的核心、產(chǎn)品是數(shù)字證書。9、 中國(guó)同國(guó)外發(fā)達(dá)國(guó)家相比，PKI的發(fā)展存在哪些主要差距？答1、 各家CA基本處于互相分割狀態(tài)，成為互不關(guān)聯(lián)的信任孤島；2、 已建CA規(guī)模小，利用率低，產(chǎn)業(yè)有待重組；3、 總體來(lái)看，已建。入自身安全考慮不夠全面，安全強(qiáng)度較弱；4、 CA地位在我國(guó)現(xiàn)行法律中尚未得到合法的保證；5、 技術(shù)和產(chǎn)品供應(yīng)廠商層次不齊，缺乏國(guó)家的統(tǒng)一標(biāo)準(zhǔn)指導(dǎo)；10、小李獲得了廣州的CA頒發(fā)的數(shù)字證書，但他要想通過(guò)該證書在北京、上海等不同城市也同樣能夠獲得認(rèn)證，該如何實(shí)現(xiàn)呢？請(qǐng)討論在我國(guó)不同城市CA或者不同CA發(fā)出的數(shù)字證書是如何相互認(rèn)證的。答：省略11、 Alice、Bob的數(shù)字證書分別是Verisign、Thawte公司頒發(fā)，如果Alice與Bob想進(jìn)行安全通信，他們倆如何利用不同公司頒發(fā)的證書進(jìn)行認(rèn)證？答：省略12、 請(qǐng)登錄中國(guó)數(shù)字認(rèn)證中心、，下載一個(gè)證書進(jìn)行分析應(yīng)用。答：省略13、 試比較中國(guó)和美國(guó)的P