电子商务与安全习题答案1-8章全.doc

1、电子商务与安全习题答案1-8章全配套教材参考答案请勿盗版 尊重作者 电子商务与安全习题答案1-8章全第一章一、填空题（1）资金流、物流、商流、信息流（2）实际的市场需要（3）企业间电子商务（B2B）、企业对消费者电子商务（B2C）、消费者对消费者电子商务（C2C）、企业对政府的电子商务（B2G）（4）经济、快捷、方便、客观（5）广告宣传与信息发布、咨询洽谈、网上订购、网上支付、物流配送、网上市场调研、信息反馈和交易管理（6）安全性（7）基于EDI的电子商务、基于Internet的电子商务、基于普及计算机的电子商务（8）需求方、供应方、支付中心、认证中心、物流中心和电子商务服务商（9）网络层、信

2、息发布与传输层、应用服务层（10）公共政策、技术标准、网络安全、法律法规二、单项选择题（1）A（2）D（3）A（4）B （A）（5）D（6）A (7) B (8) C(9) C(10) A(11) C三、多项选择题（1）ABCD（2）CD（3）ACD（4）ABC（5）ABCD(6) A、B、C、D；(7) A、B、C； (8) B、D； (9) A、B、D；(10) A、B、D； 四、简述题（1）电子商务，简单的讲就是指借助因特网为主的现代网络工具来完成或辅助完成的商业交易活动。具体讲，就是把卖家与买家以及相关的合作伙伴借助现代通信网络平台（Internet、Intranet和Extranet

3、）与原有的系统结合起来进行的商业活动。主要有以下好处：高速高效；降低成本，获得较高利润；覆盖面广；功能更全面；可以加强生产者和消费者之间的联系，提高服务质量；24小时不分时区的商业运作可以增加商业机会；有利于企业塑造自己的形象，更好地参与市场竞争；为虚拟企业的出现创造了条件。（2）可分为：企业间电子商务（B2B）、企业对消费者电子商务（B2C）、消费者对消费者电子商务（C2C）、企业对政府的电子商务（B2G）等。（3）为企业带来如下的效益：高速高效；降低了成本，获得较高利润；覆盖面广；功能更全面；可以加强生产者和消费者之间的联系，提高服务质量；24小时不分时区的商业运作可以增加商业机会；有利于

4、企业塑造自己的形象，更好地参与市场竞争；为虚拟企业的出现创造了条件。（4）电子商务系统是由许多系统角色构成的一个大系统，主要角色包括需求方、供应方、支付中心、认证中心、物流中心和电子商务服务商等。电子商务系统的结构层次是指实现电子商务从技术到一般网上商务应用所具备的完整的运作基础与支撑环境，其在一定程度上决定了电子商务运作与构成的基本结构，涉及信息技术、网络安全、政策规范、支撑环境等诸多要素。电子商务系统结构层次包括三个层次、一种宣传和四类支柱。三个层次分别是：网络层、信息发布与运输层、应用服务层。一种宣传是多媒体内容和网络宣传。四类支柱分别是：公共政策、技术标准、网络安全和法律规范。（5）电

5、子商务体系结构主要包括三个部分：网络层，信息层，商务层。网络层：电子商务的硬件基础设施，是信息传输系统，是电子商务的网络平台。信息层：也称多媒体信息发布、传输层，传输信息的内容。商务层：也称一般业务服务层，实现各种网上商务活动与服务。第二章一、填空题（1）技术、管理、法律（2）网络交易安全问题（3）客户身份认证、客户信息认证（4）绝密级、机密级、秘密级（5）网络安全检测设备、防火墙（6）有效性、机密性、完整性、不可否认性（7）网络安全技术、交易安全技术（8）系统实体安全、系统运行安全、信息安全（9）中断、截获、篡改、伪造（10）中华人民共和国电子签名法(11) 答案：技术；管理；二、单项选择题

6、（1）B（2）A（3）B（4）A（5）D（6）D三、多项选择题（1）ABC（2）CD（3）ABC（4）ABC（5）ABC四、简述题（1）电子商务的安全需求是电子商务系统的中心内容，是理解整个电子商务安全的基础，所有的安全威胁都是针对安全需求中的六项内容而言的，所有的安全技术也是为保证这六项内容的实现，可见电子商务安全需求在整个安全问题中占据的位置。这六项内容分别是：保密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性。（2）常见的威胁主要有以下几种：黑客攻击；搭线窃听；伪装；计算机病毒；信息泄密；信息丢失、篡改、销毁；软件漏洞。（3）主要包括三部分：系统实体安全：环境安全、设备安全、媒体

7、安全；信息安全：操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别；运行安全：风险分析、审计跟踪、备份与恢复、应急。（4）电子商务两大支柱是指：社会人文性的公共政策和法律规范以及自然科技性的技术标准和网络协议。（5）电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构，同时它为交易过程的安全提供了基本保障。（6）电子商务安全技术：防火墙技术、加密技术、漏洞扫描技术、入侵检测技术、反病毒技术、安全审计技术；加密技术层、安全认证层（包括报文摘要、数字签名、数字证书、认证中心、数字时间戳等）、交易协议层（包括安全套接层协议、安全电子交易协议、公钥基础设施等）。（7）包含

8、如下两类安全：网络安全：防火墙技术、加密技术、漏洞扫描技术、入侵检测技术、反病毒技术、安全审计技术；交易安全：加密技术层、安全认证层（包括报文摘要、数字签名、数字证书、认证中心、数字时间戳等）、交易协议层（包括安全套接层协议、安全电子交易协议、公钥基础设施等）。第3章 习题答案一 填空题1 web软件和数据库软件系统2 Connection对象3物理安全 程序代码安全4 信息传递的安全 业务系统的安全 外部的安全5答案：IIS、Websphere、Apache二 单项选择题1 D 2 B 3 D 4 C 5 C 6 A 7 D 8 C 9 C三 多项选择题 1 ACD 2 BCD 3 ACD四

9、 简答题1. 电子商务网站的分类有哪些，每一类中又有哪些？答：（1）按商务模式分类，可以分为B2B(Business to Business)网站、B2C(Business to Customer)网站以及C2C(Customre to Customer)网站等。（2）按电子商务网站经营模式及提供的服务分类，包括企业网站、 中介类网站、电子商场、平台网站和批发网站等2. 电子商务网站的硬件平台一般包含哪些内容？答：一般包含网络服务器、应用终端或工作站以及用于设备互连的硬件设备和其他保障网站正常活动功能的设备。网络服务器有Web 服务器，它的主要功能是提供一个WWW站点，借此可完成网站日常的信息

10、访问以及商务业务处理；邮件服务器，为网站客户提供电子邮件的发送和接收电子邮件；数据库服务器，它通过网络互连设备与其他服务器进行数据交互，提供电子商务业务的数据服务。3. 电子商务网站的功能是什么？答：电子商务网站功能因行业差异、企业不同以及产品特点、使用范围等因素而各不相同，但所有的电子商务网站应该具备的几个基本功能1.商品展示网站规模的大小，商品种类和数量等因素，决定展示的手段和方法。只销售几十种商品的小网站，商品名录可以简单。网站页面上直接显示商品清单，加上商品的照片和简单描述，并直接链接到商品介绍和详细信息的页面上；这样的商品目录不需进行专门组织。大型网站就不同了，比如像淘宝网、阿里巴巴

11、网等。大网站要有复杂的导航工具和精致的商品组织形式，这就要求有商品目录，其信息来自功能强大的后端数据库。2.购物车“购物车”已经成为目前电子商务的标准方法。购物车可跟踪客户所选购的商品，允许客户管理购物车内商品。用户把订购商品加入到购物车，有关商品的细节信息都会自动保存下来了。在生成订单的时候，这些信息作为订单的生成内容。3.交易处理功能交易处理是电子商务网站的核心功能之一。电子交易的过程与传统的商品交易过程不同，它完全处于一种虚拟的状态，客户在收到商品前，基本无法干预交易进程，绝对是一种全新的体验。完善而全面的交易处理功能设计，要有明确的业务流程，保证交易的正常运转；要提供完善的服务，保证交

12、易过程的透明与安全。交易处理完成客户从订购到收货整个商务交易的管理工作，包括客户信息的维护、订单的生成、订单状态追踪、商品的信息维护、库存管理、发货收货管理、以及支付管理等。4.电子商务网站的体系结构是什么？答：电子商务网站的体系结构有多种，比较流行的是三层体系结构模式：n 数据层：提供网站业务数据服务，包括数据库系统和访问数据库的应用程序接口。数据库提供具体的业务数据支撑，而数据访问应用程序接口为上层的业务处理应用程序提供访问数据库的方法，从而实现数据交互。它处于最低层，是构建网站的基础。n 业务层：提供电子商务交易过程中的业务逻辑处理服务，这个层次中包含具体为业务服务的应用程序，每个商务过

13、程都是由一个相关的任务序列组成的事务。比如处理web请求的web应用程序、处理订单业务的EJB等等。网站业务的实现，全部由这些应用程序完成，例如网站客户管理、商品管理、订单管理、结算支付以及安全保障等。它是网站体系结构的核心层，整个电子交易的业务处理都在此完成。n 表示层：表示层提供电子交易过程中的企业宣传、商品信息的发布、信息查询、注册管理、购物车管理以及订单路入等。它位于最上层，面向web访问用户，是网站对外服务的窗口。习题答案一、填空题1多表代替密码的一个代表是_Vigenere 密码_。2移位密码加密的通式是_c=m+k mod 26_。3仿射密码加密的通式是_ c =（am+b）(m

14、od 26)_。4DES算法的分组长度是_64位_。5AES算法的分组长度是_64位_。6RSA密码的私钥是_(p,q,d)_，公钥是_(n,e)_。7ElGamal算法的公钥是_ (p, g, b)_，私钥是_a_。8椭圆曲线指的是由方程_y2=x3+ax+b_所确定的平面曲线。9数字签名技术是_不对称_加密算法的典型应用。10hash算法是指_将任意长度的消息变成固定长度的短消息_。二、单项选择题1常用的密码攻击种，最弱的一种是（ A ）A.唯密文攻击 B.已知明文攻击 C.选择明文攻击 D.选择密文攻击2加密密钥与解密密钥相同的密码算法是（ C ）A.分组密码 B.流密码 C.对称密码

15、D. 公钥密码3下列算法中，不是古典密码的是（ D ）A.置换密码 B.仿射密码 C.维吉尼亚密码 D.DES算法4下列加密算法中，为非对称密码算法的是（ C ）A. DES密码 B.AES密码 C.椭圆曲线密码 D.古典密码5流密码属于（ B ）A.分组密码 B.对称密码 C.古典密码 D.公钥密码6第一个公钥密码算法是（ B ）A.ElGamal加密算法 B.RSA算法 C.IDEA算法 D.椭圆曲线密码7RSA算法的安全性依赖于（ A ）A.大数分解问题 B.离散对数问题 C.合数模下平方根问题 D.背包问题8ElGamal加密算法的安全性依赖于（ B ）A. 背包问题 B.离散对数问题

16、 C.大数分解问题 D.合数模下平方根问题9数字签名是（ D ）的典型应用。A.分组密码 B.流密码 C.对称密码 D公钥密码10下列属于数字摘要算法的是（ C ）A.仿射加密算法 B.DES算法 C.MD5算法 D.公钥密码算法三、多项选择题1密码系统包括（ ABCD ）A.明文空间 B.密文空间 C.密钥空间 D.加密解密算法2根据加密与解密密钥的关系可将密码算法分为（ CD ）A.分组密码 B.流密码 C.对称密码 D公钥密码3分组密码的工作模式包括（ ABCD ）A.电码本模式 B.密文链接模式 C.密文反馈模式 D.输出反馈模式4常用的密码攻击可以分为（ ABCD ）A.唯密文攻击

17、B.已知明文攻击 C.选择明文攻击 D.选择密文攻击5古典密码包括（ ABC ）A.移位密码 B.仿射密码 C.维吉尼亚密码 D.AES算法6古典代替密码包括（ ABC ）A.单表代替密码 B.多表代替密码 C.多名代替密码 D.置换密码7对称密码包括（ AB ）A. DES密码 B.AES密码 C. 背包密码 D.Rabin密码8下列加密算法是分组密码的有（ AC ）A.AES算法 B.RSA算法 C.IDEA算法 D.椭圆曲线密码9下列加密算法是公钥密码的有（ ABD ）A.ElGamal加密算法 B.RSA算法 C.IDEA算法 D.椭圆曲线密码10加密技术可以应用的领域是（ ABCD

18、）A.数字签名 B.身份认证 C.数字水印 D.时间戳技术四、简答题1什么是密码学？密码学是研究编制密码和破译密码技术的科学。研究密码变化的客观规律，应用于编制密码以保守通信秘密的，称为密码编码；应用于破译密码以获取通信情报的，称为密码破译，总称密码学。2一个密码系统由哪几部分组成？一个密码系统主要由明文空间、密文空间、密钥空间、加密算法和解密算法组成。3常用的对密码系统的攻击包括哪几种方法？包括唯密文攻击，已知明文攻击，选择明文攻击，选择密文攻击等。4密码体制包括哪几类？根据对密码系统中各部分处理方式的不同，可从不同的角度对现代密码技术进行分类。可分为：分组密码与流密码，或者是对称密码与非对

19、称密码。5分组密码主要有哪几种工作模式？主要包括电码本模式，密文链接模式，密文反馈模式，输出反馈模式等。6使用仿射密码3x+9（mod 26）加密明文computer，并求出其解密函数。 解密函数为：m=(c-9)/3 mod 26。7若明文消息为individual character，密钥为host，用Vigenere密码加密后得到的密文是什么？ 密文为：PBVBCWVNHZUAHFSVAWK。8. 设p为集合1,2,8上的置换:x 1 2 3 4 5 6 7 8p(x) 4 1 6 2 7 3 8 5求出逆置换p-1 解：逆置换p-1为：x 1 2 3 4 5 6 7 8p(x) 2 4

20、 6 1 8 3 5 79简述DES算法的流程。 略。10简述AES算法的流程。略。11简述IDEA算法的流程。略。12简述RSA算法的流程。 略。13RSA算法中n=11413，e=7467，密文是5859，利用分解11413=101113，求明文。解：j(11413)= j(101)j(113)=11200，11200=74671+3733，7467=37332+1得到：1=7467-37332=7467-(11200-7467) 2=(-2) 11200+37467因此，d=e-1=3则，m=cd=58593 mod 11413=141514简述ElGamal加密算法流程。15简述椭圆曲

21、线加密算法流程。16对于椭圆曲线y2=x3-2 mod 7，计算（5,2）+（5,2）。解：a =(3xP2+a)/2yP mod p=75/4 mod 7 = 75*2mod 7 =3，xr = (a2 2xp ) mod 7 =(9-10)mod7=4yr = a(xp-xr) yp mod 7 =3(5-4)-2 mod 7 = 1 ，因此（5,2）+（5,2）=（4,1）。17简述数字签名、数字摘要、数字信封、数字时间戳的含义。 略。五、操作题1上机实现DES加密算法。2上机实现AES加密算法。3上机实现RSA加密算法。4上机实现椭圆曲线加密算法。习题答案一、填空题1.截获、中断、篡改

22、、伪造2.被动攻击、主动攻击3.链路加密、结点加密、端到端加密4.屏蔽路由器5.双宿主主机（Dual Homed）体系结构6.异常检测、误用检测7.TKIP二、单选题1.D 2.A 3.A 4.C 5.A 6.A 7.B 8.B 9.B 10.A 11.A 12.B 13.D14.D 15.B 16.C 17.B 18.B 19.A 20.B 21.B 22.B 23.B 24.B 25.C 26.B 27.C 28.D 29.C 30.B 31.D三、多选题1.AB 2.ABD 3.AB 4.ABCD 5. BCD 6.ABC 7.ABC 8.BCD四、简答题1 Nimda是病毒还是蠕虫，为

23、什么？Nimda是蠕虫，也是一个病毒，它通过email、共享网络资源、IIS服务器传播，利用IIS漏洞，通过网络传播，造成网络拥塞直至瘫痪。同时它也是一个感染本地文件的新型病毒。其工作原理为：随机选择一定范围的IP地址并对之进行刺探，尝试找到该IP的机器上存在于IIS的弱点。一个具有漏洞的IIS Web服务器的系统会读取包含了植入式JavaScript的网页并自动执行它，在该服务器上所有的网页里生成相同的代码。当使用IE5.01或者更早版本的IE浏览器的用户访文被感染Web服务器的时候，他们就会不知不觉得下载带有自动执行JavaScript的页面，导致病毒被随机地发送到连接在因特网上的其他计算

24、机。Nimda也能感染Web服务器所在的网络里的有网络共享的用户。最后，Nimda会让一个被感染系统发送带有readme.exe附件的电子邮件给本地Windows地址簿里列出的地址。打开或者预览这一附件的用户将继续传播这个病毒。2. 木马有哪些伪装方式、隐藏方式和自启动方式？在受害者机器上运行的木马的服务器端为了避免被发现，要进行伪装和隐藏处理。隐藏方式有两种：真隐藏和伪隐藏。伪隐藏即程序的进程仍然存在，只不过不显示在进程列表中。真隐藏则是让程序彻底消失，不是以一个进程或服务的方式工作。对于木马来说，自启动功能是必不可少的，这样可以保证木马不会因为用户的一次关机操作而彻底失去作用。如加载程序到

25、启动组、写程序启动路径到注册表的自启动项、修改文件关联、捆绑文件等。3. 比较基于网络和基于主机的入侵检测系统的优缺点。许多发生在应用进程级别的攻击行为可以被基于主机的入侵检测系统检测到，而无法被基于网络的入侵检测检测到。基于主机的入侵检测系统依赖于特定的操作系统平台，对于不同的平台系统是无法移植的；而基于网络的入侵检测系统其分析的对象是网络协议，是标准化的、独立于主机操作系统类型的，因此没有移植性的问题。基于主机的入侵检测系统运行在所保护的主机上，会影响宿主机的性能，特别是当宿主机是服务器的情况；基于网络的入侵检测系统通常采取独立主机和被动监听的工作模式，因此它的运行不会影响主机或服务器自身

26、的运行。基于主机的入侵检测系统通常无法对网络环境下发生的大量攻击行为做出及时的反应；基于网络的入侵检测系统能够实时监控网络中的数据流量，并发现潜在的攻击行为和做出迅速的响应。4. 结合实际谈一谈对防火墙技术发展趋势的看法。略5. 如何扫描探测目标主机的开放端口？ 使用端口扫描技术。目前端口扫描技术有很多，如TCP connect Scan（TCP连接扫描）、TCP SYN Scan（TCP同步序列号扫描）、TCP FIN Scan（TCP结束标志扫描）、IP Scan（IP协议扫描）、TCP Xmas Tree Scan等。6. 简述DoS和DDoS的攻击原理。DoS和DDoS攻击主要是采用以

27、下三种方式进行攻击的：利用错误配置或软件漏洞。利用协议漏洞，也称杀手包或剧毒包（Killer Packet）型攻击。它主要是利用协议本身或者其软件实现中的漏洞，通过一些非正常的（畸形的）数据包使得目标受害者系统在处理时出现异常，导致目标系统崩溃。利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。这种攻击称为风暴型（Flood Type）攻击。攻击者通过大量的无用数据包占用过多的资源以达到拒绝服务的目的。风暴型DoS攻击并不依靠畸形数据包，而是依靠数据包的总量来达到攻击的目的，它需要向目标发送大量的数据包，而单个攻击者的力量是有限的，因此，如果集聚多个攻击者的力量，同时向

28、一个受害者发动攻击，则效果会更明显，这就是分布式拒绝服务（DDoS,Distributed Denial of Service）攻击。7解释以下术语： DDoS、Worm、IP Spoof、SYN Flood、ShellCode。分布式拒绝服务攻击DDoS指攻击的发出点是分布在不同地方的，处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。蠕虫（Worm），通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。IP欺骗（IP Spoof）就是通过伪造其他系统的IP地址，使得攻击者能够获得未被授权

29、访问的信息，它利用主机间的信任关系发动。其攻击过程为： 攻击者使被信任主机的网络功能暂时瘫痪，以免对攻击造成干扰。 攻击者连接到目标主机的某个端口来猜测ISN基值和增加规律。 攻击者发送带有SYN标志的数据段给目标主机请求建立连接，该数据段的源IP地址被伪装成被信任主机的IP。 攻击者等待目标主机发送SYN+ACK包给已经瘫痪的被信任主机。 攻击者伪装成被信任的主机向目标主机发送ACK，此时发送的数据段带有预测的目标机的ISN+1。 连接建立，发送命令请求。SYN Flood攻击是最常见的一种风暴型DoS攻击。攻击者不停地向受害者发送连接请求，而又不按协议规定完成握手过程，则服务器的半开连接栈

30、可能会用完，从而不再接受其他的连接请求。ShellCode即攻击者要执行的完成某种特定功能的二进制代码。8. 在实际应用中应怎样防范口令破译? 选择安全的口令，设置口令过期时间和口令历史。9. 防火墙不能解决的问题有哪些？ 防火墙无法防范不经过防火墙的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet，从而形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。由于病毒的类型繁多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同，所以不能期望采用防火墙扫描所有进入的文件、电子邮

31、件和报文来查找病毒。10.简述缓冲区溢出攻击的原理。所谓缓冲区溢出，指当计算机向缓冲区内填充数据时超过了缓冲区本身的容量，溢出的数据覆盖到了合法数据上。缓冲区溢出攻击利用的就是其覆盖缓冲区的数据是“黑客”或者病毒的入侵程序代码，从而使得多余字节被编译执行，“黑客”或者病毒就有可为所欲为，获得系统的控制权。11.假如你是一个网络管理员，请假定一个网络应用场景，并说明你会采取那些措施来构建网络安全体系。 （1）在网关的出口使用防火墙，如果对网络安全要求较高，可以使用状态检测型防火墙，如果对速度要求高那么，可以使用包过滤防火墙或硬件防火墙。（2）在内网使用IDS，它和防火墙配合使用，可以加强内网安全

32、，对于来自内部的攻击可以及时报警。（3）如果有服务器要发布到外网，可以设置专门的DMZ区放置服务器。（4）对于内网安全，可以使用域环境，统一管理帐号和密码，针对不同的用户和组设置不同的权限。12. 简要分析Web应用体系的脆弱性。（1）Web客户端的脆弱性Web客户端即浏览器，负责将网站返回的页面展现给用户，并将用户输入的数据传输给服务器。浏览器的安全性直接影响到客户端主机的安全。利用浏览器漏洞渗透目标主机已成为主流的攻击方式。目前广为使用的IE浏览器出现过大量的安全漏洞，是攻击者首选的目标。（2）Web服务器的脆弱性Web服务器运行Web应用程序，其安全直接影响到服务器主机和Web应用程序的

33、安全。流行的IIS服务器、Apache服务器、Tomcat服务器都出现过一些严重的安全漏洞。攻击着通过这些漏洞，不仅可以对目标主机发起拒绝服务攻击，严重的还能获得目标系统的权限、数据库访问权限，从而窃取大量有用信息。（3）Web应用程序的脆弱性Web应用程序是用户编写的网络应用程序，可能存在安全漏洞。网站攻击事件中有很大一部分是由于Web应用程序的安全漏洞引起的。Web应用程序的编写语言种类多、灵活性高，一般程序员不易深入理解及正确利用，导致了安全漏洞。例如，常见的SQL注入攻击就是利用Web应用程序检查不严，从而获取Web应用数据库中的内容。（4）HTTP的脆弱性HTTP是一种简单的、无状态

34、的应用层协议 。无状态使得HTTP简单高效，但HTTP的无状态性也会被攻击者利用。攻击者不需要计划多个阶段的攻击来模拟一个会话保持机制，一个简单的HTTP请求就能攻击Web服务器或应用程序。此外，由于HTTP是基于ASCII码的协议，因此不需要弄清楚复杂的二进制编码机制，攻击者就可以了解HTTP中传输的所有铭文信息。绝大多数HTTP运行在80端口，这一点也可以被攻击者利用。因为许多防火墙或其他安全设备被配置成允许80端口的内容通过，攻击者可以利用这一点渗透到内网中。（5）Cookie的脆弱性Cookie是为了克服HTTP无状态的缺点，用来保存客户服务器之间的一些状态信息，主要是用于辨别用户身份

35、、进行会话跟踪而储存在用户本地终端上的一些数据。Cookie一般由服务器端升城，发送给客户端浏览器，浏览器将其保存在某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器。Cookie的典型应用如判定注册用户是否已经登录网站，购物车等。由于Cookie中包含了一些敏感信息，如用户名、计算机名、使用的浏览器和曾经访问的网站等，攻击者可以利用它进行窃密和欺骗攻击。（6）数据库的安全脆弱性大多数的Web应用程序使用数据库来保存数据。由于数据库中保存了大量的应用数据，因此它常常成为攻击者的目标。最常见的网站数据库攻击手段就是SQL注入攻击。13. 如果你是一个Web应用程序员，应该采取

36、哪些措施以减少Web应用程序被SQL注入攻击？在编写Web应用程序时，应遵循以下原则，以减少SQL注入漏洞。（1）过滤单引号防范SQL注入攻击最有效的方法是对用户的输入进行检查，确保用户输入数据的安全性。在具体检查用户输入或提交的变量时，根据参数的类型，可对单引号、双引号、分号、逗号、冒号、连接号等进行转换或过滤，这样就可以防止很多SQL注入攻击。（2）禁止将敏感性数据以明文存放在数据库中，这样即使数据库被SQL注入攻击，也会减少泄密的风险。（3）遵循最小特权原则。只给访问数据库的Web应用所需的最低权限。例如，如果Web应用不需要访问某些表，那么应确认它没有访问这些表的权限；如果Web应用只

37、需要读权限，则应确认已禁止它对此表的插入、更新、删除等权限。14.Land攻击利用的是什么安全漏洞？ Land攻击利用的是主机在处理TCP连接请求上的安全漏洞。15.什么IRC僵尸网络，有什么优缺点？IRC僵尸网络是指控制和通信方式为利用IRC协议的僵尸网络。IRC僵尸网络结构简单，每个僵尸主机都与IRC服务器直接相连，因此IRC僵尸网络具有非常高的效率。但它同时也有致命的弱点：如果IRC服务器被关闭，则僵尸主人就完全失去了僵尸网络。蜜罐（Honeypot）和蜜网（Honeynet）技术就对该弱点加以利用。16. 为什么要设置DMZ？什么设备要放置在DMZ中？ 通过配置DMZ，我们可以将需要保

38、护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置在DMZ中，这样就可以为应用系统安全提供保障。17. IP的哪些字段或特性能被攻击者利用？ （1）IP协议没有认证机制。由于IP没有来源认证，因此IP包中的所有字段几乎都可以伪造。例如，IP中没有相应的控制以防止数据包被篡改，攻击者可以伪造首部校验和字段，或重新计算校验和以使网络节点不会丢弃数据包。由于IP本身对IP数据包是否来自真正的源地址不提供任何保障，因此攻击者可以进行IP源地址假冒。许多需要重写IP首部的攻击都要用到IP欺骗，主要的攻击包括：拒绝服务攻击、中间人攻击、源路由攻击、客户端攻击

39、和服务器端攻击等。（2）数据报分片。由于底层协议MTU值的限制，IP数据报可能需要分片，到达目的地后再重组。这一机制可能被攻击者利用。例如，用于攻击那些不能正确处理数据报分片异常（例如，分片重叠）的主机；通过在首片中不包含传输层信息来绕过防火墙等安全防护策略，产生大量分片使得防火墙耗费大量资源实现重组，或者发送不完整的分片报文迫使防火墙长时间等待集合中的其他分片。（3）寻址与协议选项。数据报的寻址信息以及协议选项的信息泄露了部分网络拓扑信息。记录路由或时间戳的协议选项可能被攻击者用于网络侦察。（4）访问控制与带宽控制。IP没有访问控制机制，使得攻击者可以查看上层协议（如TCP、UDP等）的内容

40、；攻击者还可以利用IP没有带宽控制的缺陷，进行包风暴攻击来消耗带宽、系统资源，从而导致拒绝服务攻击。五、操作题1.防火墙能防止病毒、木马等恶意软件的传播吗？研究和配置你自己计算机的单机版防火墙，写出配置过程。防火墙不能防止病毒、木马等恶意软件的传播。配置过程略。2-8题略。习 题 答 案一、 填空题1. 数字证书2注册机构RA3公钥基础设施PKI4认证中心CA，CA5. 冒名发送数据或发送数据后抵赖6. 证书申请者的信息7, 访问控制8. 数字签名机制9. 公开密钥体制、加密机制二、 单选题1.D 2.C3.A4.D5.D 6.D 7.B 8.C 9.B 10.C三、多选题 1. C 2. A

41、C 3. AC 4. ACD 5.AB四、简述题1数字证书、认证中心CA、公钥基础设施PKI之间的关系是怎么样的？ 参考答案：公钥基础设施（PKI）是一个一定范围内的相互信任的基础设施，它是一种遵循标准的密钥管理平台。为管理公开密钥提供公钥生成、公钥认证、公钥存储、公钥安装等服务。在PKI体系中，CA（Certificate Authority，认证中心）和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中

42、心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。2基于X.509数字证书的内容有哪些？参考答案：X.509是由国际电信联盟(ITU-T)制定的数字证书标准。一个标准的X.509数字证书包含以下几个部分：(1) 证书版本信息(2) 证书序列号(3) 证书所使用的签名算法(4) 证书发行机构名称(5) 证书的有效期(6) 证书持有者即主体的名称(7) 主体的公开密钥信息 (8) 证书发行机构对证书的数字签名(9) 发放者的唯一标识符(10) 主体的唯一标识符(11)扩展部分3我有很多电子邮件地址，是否能够使用同一个数字证书？参考答案：不能。

43、一个邮件地址申请一个数字证书。4简述认证中心CA的职能。参考答案：(l)验证并标识证书申请者的身份。（2)接受并处理终端用户数字证书的更新请求。（3)使用户方便地查找各种证书及已经撤销的证书。（4)根据用户请求或其它相关信息撤销用户证书。（5)根据证书的有效期自动地撤销证书。（6)对证书序列号、CA标识等证书信息进行管理。（7)完成证书数据库的备份工作。5简述PKI的功能及组成。参考答案：PKI的功能有很多，主要有签发数字证书、撤销证书、签发与发布证书撤销列表、存储与检索证书和证书撤销列表、密钥生成、密钥备份和恢复、密钥撤销与更新、密钥归档等。PKI组成结构包括公开密钥密码技术、数字证书、认证

44、中心CA和关于公开密钥的安全策略等6数字证书由谁来颁发，如何颁发？参考答案：数字证书是由认证中心颁发的。认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造，认证中心的公共密钥必须是可靠的，认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性，后一种方法导致了多级别认证中心的出现。数字证书颁发过程如下：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。7根证书是什么？