26、簡述防火墻的設(shè)計須遵循的基本原則。 答：（1）由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻。（2）只允許本地安全政策認(rèn)可的業(yè)務(wù)流必須經(jīng)過防火墻。（3）盡可能控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶進入內(nèi)域網(wǎng)。（4）具有足夠的透明性，保證正常業(yè)務(wù)的流通。（5）具有抗穿透性攻擊能力，強化記錄，審計和告警。
    27、目前防火墻的控制技術(shù)可分為：濾型，包檢驗型以及應(yīng)用層網(wǎng)關(guān)型三種。
    28、防火墻不能解決的問題有哪些？
    答：（1）如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會知道防火墻是否受到攻擊。（2）防火墻無法防范通過防火墻以外的其他途徑的攻擊。（3）防火墻不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶帶來的威脅。 （4）防火墻也不能防止傳送已感染病毒的軟件或文件。（5）防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。
    29、VPN提供哪些功能？
    答：加密數(shù)據(jù)：以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。
    信息認(rèn)證和身份認(rèn)證：保證信息的完整性，合法性，并能鑒用戶的身份。
    提供訪問控制：不同的用戶有不同的訪問權(quán)限。
    30、簡述隧道的基本組成。
    答：一個隧道啟動器，一個路由網(wǎng)絡(luò)，一個可選的隧道交換機，一個或多個隧道終結(jié)器。
    30、IPSec提供的安全服務(wù)包括：私有性（加密），真實性（驗證發(fā)送者的身份），完整性（防數(shù)據(jù)篡改）和重傳保護（防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送）等，并制定了密鑰管理的方法。
    32、選擇VPN（虛擬專用網(wǎng)）解決方案時需要考慮哪幾個要點？
    答：（1）認(rèn)證方法；（2）支持的加密算法。（3）支持的認(rèn)證算法。（4）支持IP壓縮算法。（5）易于部署。（6）兼容分布式或個人防火墻的可用性。
    33、簡述VPN的分類。
    答：按VPN的部署模式分，VPN的部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式：端到端模式；供應(yīng)商到企業(yè)模式；內(nèi)部供應(yīng)商模式。
    按VPN的服務(wù)類型分，VPN業(yè)務(wù)大致可分為三類：internetVPN AccessVPN和ExtranetVPN。
    34、簡述VPN的具體實現(xiàn)即解決方案有哪幾種？ 答：（1）虛擬專用撥號網(wǎng)絡(luò)，用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。（2）虛擬專用路由網(wǎng)絡(luò)，它是基于路由的VPN接入方式。（3）虛擬租用線路，是基于虛擬專線的一種VPN，它在公網(wǎng)上開出各種隧道，模擬專線來建立VPN。（4）虛擬專用LAN子網(wǎng)段，是在公網(wǎng)上用隧道協(xié)議仿真出來一個局域網(wǎng)，透明地提供跨越公網(wǎng)的LAN服務(wù)。
    35、實體認(rèn)證與消息認(rèn)證的主要差別是什么？ 答：實體認(rèn)證與消息認(rèn)證的差別在于，消息認(rèn)證本身不提供時間性，而實體認(rèn)證一般都是實時的。另一方面，實體認(rèn)證通常證實實體本身，而消息認(rèn)證除了證實消息的合法性和完整性外，還要知道消息的含義。
    36、通行字的選擇原則是什么？
    答：易記；難于被別人猜中或發(fā)現(xiàn)；抗分析能力強。在實際系統(tǒng)中，需要考慮和規(guī)定選擇方法，使用期限，字符長度，分配和管理以及在計算機系統(tǒng)內(nèi)的保護等。根據(jù)系統(tǒng)對安全水平的要求可有不同的選取。
    37、通行字的安全存儲有哪二種方法？
    答：（1）用戶的通行字多以加密形式存儲，入侵者要得到通行字，必須知道加密算法和密鑰。（2）許多系統(tǒng)可以存儲通行字的單向雜湊值，入侵者即使行到此雜湊也難于推出通行字。
    38、有效證書應(yīng)滿足的條件有哪些？
    答：（1）證書沒有超過有效期。（2）密鑰沒有被修改。如果密鑰被修改后，原證書就應(yīng)當(dāng)收回，不再使用。如果雇員離開了其公司，對應(yīng)的證書就可收回，如果不收回，且密鑰沒被修改，則可繼續(xù)使用該證書；（3）證書不在CA發(fā)行的無效證書清單中。CA負(fù)責(zé)回收證書，并發(fā)行無效證書清單。用戶一旦發(fā)現(xiàn)密鑰泄露就應(yīng)及時將證書吊銷。并由CA通知停用并存檔備案。
    39、密鑰對生成的兩種途徑是什么？
    答：（1）密鑰對持有者自己生成：用戶自己用硬件或軟件生成密鑰對。如果該密鑰對用于數(shù)字簽名時，應(yīng)支持不可否認(rèn)性。（2）密鑰對由通用系統(tǒng)生成：由用戶依賴，可信賴的某一中心機構(gòu)生成，然后安全地送到特定用戶的設(shè)備中。利用這類中心的資源，可產(chǎn)生高質(zhì)量密鑰對，易于備份和管理。
    40、證書有哪些類型？
    答：（1）個人證書：證實客戶身份和密鑰所有權(quán)。在一些情況下，服務(wù)器會在建立SSL邊接時要求用個人證書來證實客戶身份。用戶可以向一個CA申請，經(jīng)審查后獲得個人證書。（2）服務(wù)器證書：證實服務(wù)器的身份和公鑰。當(dāng)客戶請求建立SSL連接時，服務(wù)器把服務(wù)器證書傳給客戶。客戶收到證書后，可以檢查發(fā)行該證書的CA是否應(yīng)該信任。對于不信任的CA，瀏覽器會提示用戶接受或拒絕這個證書。（3）郵件證書：證實電子郵件用戶的身份和公鑰。一些有安全功能的電了郵件應(yīng)用程序能使用郵件證書來驗證用戶身份和加密解密信息。（4）CA證書：證實CA身份和CA的簽名密鑰。在Netscape瀏覽器里，服務(wù)器管理員可以看到服務(wù)受接受的CA證書，并選擇是否信任這些證書。CA證書允許CA發(fā)行其他類型的證書。
    41、如何對密鑰進行安全保護？
    答：密鑰按算法產(chǎn)生后，首先將私鑰送給用戶，如需備份，應(yīng)保證安全性，將公鑰送給CA，用以生成相應(yīng)證書， 為了防止未授權(quán)用戶對密鑰的訪問，應(yīng)將密鑰存入防竄擾硬件或卡中，或加密后存入計算機的文件中。 此處，定期更換密碼對是保證安全的重要措施。
    42、CA認(rèn)證申請者的身份后，生成證書的步驟有哪些？
    答：（1）CA檢索所需的證書內(nèi)容信息；（2）CA證實這些信息的正確性；（3）回CA用其簽名密鑰對證書簽名；（4）將證書的一個拷貝送給注冊者，需要時要求注冊者回送證書的收據(jù)；（5）CA將證書送入證書數(shù)據(jù)庫，向公用檢索業(yè)務(wù)機構(gòu)頌；（6）通常，CA將證書存檔；（7）CA將證書生成過程中的一些細(xì)節(jié)記入審記記錄中。
    43、公鑰證書的基本作用？
    答：將公鑰與個人的身份，個人信息件或其他實體的有關(guān)身份信息聯(lián)系起來，在用公鑰證實數(shù)字簽名時，在確信簽名之前，有時還需要有關(guān)簽名人的其他信息，特別是要知道簽名者是否已被授權(quán)為對某特定目的的簽名人。
    授權(quán)信息的分配也需用證書實現(xiàn)，可以通過發(fā)放證書宣布某人或?qū)嶓w具有特定權(quán)限或權(quán)威，使別人可以鑒別和承認(rèn)。
    44、雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機密性？
    答：雙鑰密碼體制加密時有一對公鑰和私鑰，公鑰可以公開，私鑰由持有者保存，公鑰加密過的數(shù)據(jù)中有持有者的私鑰能解開，這樣就保證了數(shù)據(jù)的機密性。經(jīng)私鑰加密過的數(shù)據(jù)——數(shù)字簽名可被所具有公鑰的人解開，由于私鑰只有持有者一人保存，就樣就證明信息發(fā)自私鑰持有者，具有不可否認(rèn)證和完整性。
    45、電子商務(wù)安全的中心內(nèi)容
    1、商務(wù)數(shù)據(jù)的機密性。2、商務(wù)數(shù)據(jù)的完整性。3、商務(wù)對象的認(rèn)證性。4、商務(wù)服務(wù)的不可否認(rèn)性。5、商務(wù)服務(wù)的不可拒絕性。6、訪問的控制性。
    46、電子郵件的安全問題主要有兩個方面：（1） 電子郵件在網(wǎng)上傳送時隨時可能別人竊取到。（2）可以冒用別人的身份發(fā)信。
    47、數(shù)字簽名的使用方法：
    數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)。消息M用散列函數(shù)H得到的消息摘要h=H（M），然后發(fā)送方再用自己的雙鑰密碼體制的私鑰對這個散列值進行加密h=E（h），形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為消息M的附件和消息一起發(fā)送給消息的接受方。消息的接受方首先從接受到的原始消息M中計算出散列值h=H（M），接著再用發(fā)送方的雙鑰密碼體制的公鑰來對消息的數(shù)字簽名進行解密D（h）得h如果這兩個散列值h = h那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，而且還可以確定此消息沒有被修改過。
    48、提高數(shù)據(jù)完整性的預(yù)防性措施
    （1）鏡像技術(shù)：是指將數(shù)據(jù)原樣地從一臺設(shè)備機器拷貝到另一臺設(shè)備機器上 （2）故障前兆分析 （3）奇偶效驗 （4）隔離不安全的人員 （5）電源保障
    49、病毒的分類
    1、按寄生方式分為：（1）引導(dǎo)型病毒（2）文件型病毒（3）復(fù)合型病毒
    2、按破壞性分為：（1）良性病毒
    （2）惡性病毒
    50、防火墻的設(shè)計原則：
    ① 由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻 ②只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過防火墻③盡可能的控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶進入內(nèi)域網(wǎng)④具有足夠的透明性，保證正常業(yè)務(wù)的流通⑤具有抗穿透攻擊能力，強化記錄，審計和告警。