26、简述防火墙的设计须遵循的基本原则。 答：（1）由内到外和由外到内的业务流必须经过防火墙。（2）只允许本地安全政策认可的业务流必须经过防火墙。（3）尽可能控制外部用户访问内域网，应严格限制外部用户进入内域网。（4）具有足够的透明性，保证正常业务的流通。（5）具有抗穿透性攻击能力，强化记录，审计和告警。

　　27、目前防火墙的控制技术可分为：包 过滤型，包检验型以及应用层网关型三种。

　　28、防火墙不能解决的问题有哪些？

　　答：（1）如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。（2）防火墙无法防范通过防火墙以外的其他途径的攻击。（3）防火墙不能防止来自内部变节者和不经心的用户带来的威胁。 （4）防火墙也不能防止传送已感染病毒的软件或文件。（5）防火墙无法防范数据驱动型的攻击。

　　29、VPN提供哪些功能？

　　答：加密数据：以保证通过公网传输的信息即使被他人截获也不会泄露。

　　信息认证和身份认证：保证信息的完整性，合法性，并能鉴用户的身份。

　　提供访问控制：不同的用户有不同的访问权限。

　　30、简述隧道的基本组成。

　　答：一个隧道启动器，一个路由网络，一个可选的隧道交换机，一个或多个隧道终结器。

　　30、IPSec提供的安全服务包括：私有性（加密），真实性（验证发送者的身份），完整性（防数据篡改）和重传保护（防止未经授权的数据重新发送）等，并制定了密钥管理的方法。

　　32、选择VPN（虚拟专用网）解决方案时需要考虑哪几个要点？

　　答：（1）认证方法；（2）支持的加密算法。（3）支持的认证算法。（4）支持IP压缩算法。（5）易于部署。（6）兼容分布式或个人防火墙的可用性。

　　33、简述VPN的分类。

　　答：按VPN的部署模式分，VPN的部署模式从本质上描述了VPN的通道是如何建立和终止的，一般有三种VPN部署模式：端到端模式；供应商到企业模式；内部供应商模式。

　　按VPN的服务类型分，VPN业务大致可分为三类：internetVPN AccessVPN和ExtranetVPN。

　　34、简述VPN的具体实现即解决方案有哪几种？ 答：（1）虚拟专用拨号网络，用户利用拨号网络访问企业数据中心，用户从企业数据中心获得一个私有地址，但用户数据可跨公共数据网络传输。（2）虚拟专用路由网络，它是基于路由的VPN接入方式。（3）虚拟租用线路，是基于虚拟专线的一种VPN，它在公网上开出各种隧道，模拟专线来建立VPN。（4）虚拟专用LAN子网段，是在公网上用隧道协议仿真出来一个局域网，透明地提供跨越公网的LAN服务。

　　35、实体认证与消息认证的主要差别是什么？ 答：实体认证与消息认证的差别在于，消息认证本身不提供时间性，而实体认证一般都是实时的。另一方面，实体认证通常证实实体本身，而消息认证除了证实消息的合法性和完整性外，还要知道消息的含义。

　　36、通行字的选择原则是什么？

　　答：易记；难于被别人猜中或发现；抗分析能力强。在实际系统中，需要考虑和规定选择方法，使用期限，字符长度，分配和管理以及在计算机系统内的保护等。根据系统对安全水平的要求可有不同的选取。

　　37、通行字的安全存储有哪二种方法？

　　答：（1）用户的通行字多以加密形式存储，入侵者要得到通行字，必须知道加密算法和密钥。（2）许多系统可以存储通行字的单向杂凑值，入侵者即使行到此杂凑也难于推出通行字。

　　38、有效证书应满足的条件有哪些？

　　答：（1）证书没有超过有效期。（2）密钥没有被修改。如果密钥被修改后，原证书就应当收回，不再使用。如果雇员离开了其公司，对应的证书就可收回，如果不收回，且密钥没被修改，则可继续使用该证书；（3）证书不在CA发行的无效证书清单中。CA负责回收证书，并发行无效证书清单。用户一旦发现密钥泄露就应及时将证书吊销。并由CA通知停用并存档备案。

　　39、密钥对生成的两种途径是什么？

　　答：（1）密钥对持有者自己生成：用户自己用硬件或软件生成密钥对。如果该密钥对用于数字签名时，应支持不可否认性。（2）密钥对由通用系统生成：由用户依赖，可信赖的某一中心机构生成，然后安全地送到特定用户的设备中。利用这类中心的资源，可产生高质量密钥对，易于备份和管理。

　　40、证书有哪些类型？

　　答：（1）个人证书：证实客户身份和密钥所有权。在一些情况下，服务器会在建立SSL边接时要求用个人证书来证实客户身份。用户可以向一个CA申请，经审查后获得个人证书。（2）服务器证书：证实服务器的身份和公钥。当客户请求建立SSL连接时，服务器把服务器证书传给客户。客户收到证书后，可以检查发行该证书的CA是否应该信任。对于不信任的CA，浏览器会提示用户接受或拒绝这个证书。（3）邮件证书：证实电子邮件用户的身份和公钥。一些有安全功能的电了邮件应用程序能使用邮件证书来验证用户身份和加密解密信息。（4）CA证书：证实CA身份和CA的签名密钥。在Netscape浏览器里，服务器管理员可以看到服务受接受的CA证书，并选择是否信任这些证书。CA证书允许CA发行其他类型的证书。

　　41、如何对密钥进行安全保护？

　　答：密钥按算法产生后，首先将私钥送给用户，如需备份，应保证安全性，将公钥送给CA，用以生成相应证书， 为了防止未授权用户对密钥的访问，应将密钥存入防窜扰硬件或卡中，或加密后存入计算机的文件中。 此处，定期更换密码对是保证安全的重要措施。

　　42、CA认证申请者的身份后，生成证书的步骤有哪些？

　　答：（1）CA检索所需的证书内容信息；（2）CA证实这些信息的正确性；（3）回CA用其签名密钥对证书签名；（4）将证书的一个拷贝送给注册者，需要时要求注册者回送证书的收据；（5）CA将证书送入证书数据库，向公用检索业务机构颂；（6）通常，CA将证书存档；（7）CA将证书生成过程中的一些细节记入审记记录中。

　　43、公钥证书的基本作用？

　　答：将公钥与个人的身份，个人信息件或其他实体的有关身份信息联系起来，在用公钥证实数字签名时，在确信签名之前，有时还需要有关签名人的其他信息，特别是要知道签名者是否已被授权为对某特定目的的签名人。

　　授权信息的分配也需用证书实现，可以通过发放证书宣布某人或实体具有特定权限或权威，使别人可以鉴别和承认。

　　44、双钥密码体制加密为什么可以保证数据的机密性？

　　答：双钥密码体制加密时有一对公钥和私钥，公钥可以公开，私钥由持有者保存，公钥加密过的数据中有持有者的私钥能解开，这样就保证了数据的机密性。经私钥加密过的数据——数字签名可被所具有公钥的人解开，由于私钥只有持有者一人保存，就样就证明信息发自私钥持有者，具有不可否认证和完整性。

　　45、电子商务安全的中心内容

　　1、商务数据的机密性。2、商务数据的完整性。3、商务对象的认证性。4、商务服务的不可否认性。5、商务服务的不可拒绝性。6、访问的控制性。

　　46、电子邮件的安全问题主要有两个方面：（1） 电子邮件在网上传送时随时可能别人窃取到。（2）可以冒用别人的身份发信。

　　47、数字签名的使用方法：

　　数字签名使用双钥密码加密和散列函数。消息M用散列函数H得到的消息摘要h=H（M），然后发送方再用自己的双钥密码体制的私钥对这个散列值进行加密h=E（h），形成发送方的数字签名。然后，这个数字签名将作为消息M的附件和消息一起发送给消息的接受方。消息的接受方首先从接受到的原始消息M中计算出散列值h=H（M），接着再用发送方的双钥密码体制的公钥来对消息的数字签名进行解密D（h）得h如果这两个散列值h = h那么接收方就能确认该数字签名是发送方的，而且还可以确定此消息没有被修改过。

　　48、提高数据完整性的预防性措施

　　（1）镜像技术：是指将数据原样地从一台设备机器拷贝到另一台设备机器上 （2）故障前兆分析 （3）奇偶效验 （4）隔离不安全的人员 （5）电源保障

　　49、病毒的分类

　　1、按寄生方式分为：（1）引导型病毒（2）文件型病毒（3）复合型病毒

　　2、按破坏性分为：（1）良性病毒

　　（2）恶性病毒

　　50、防火墙的设计原则：

　　① 由内到外和由外到内的业务流必须经过防火墙 ②只允许本地安全政策认可的业务流通过防火墙③尽可能的控制外部用户访问内域网，应严格限制外部用户进入内域网④具有足够的透明性，保证正常业务的流通⑤具有抗穿透攻击能力，强化记录，审计和告警。