簡答題與論述題： $lesson$

　　簡答

　　1，簡述保護數據完整性的目的，以有被破壞會帶來的嚴重后果。

　　答：保護數據完整性的目的就是保證計算機系統上的數據和信息處于一種完整和未受損害的狀態。這意味著數據不會由于有意或無意的事件而被改變和丟失。轉自環 球 網 校edu24ol.com

　　數據完整性被破壞會帶來嚴重的后果：

　　(1)造成直接的經濟損失，如價格，訂單數量等被改變。(2)影響一個供應鏈上許多廠商的經濟活動。一個環節上數據完整性被破壞將使供應鏈上一連串廠商的經濟活動受到影響。(3)可能造成過不了“關”。有的電子商務是與海關，商檢，衛檢聯系的，錯誤的數據將使一批貸物擋在“關口”之外。(4)會牽涉到經濟案件中。與稅務，銀行，保險等貿易鏈路相聯的電子商務，則會因數據完整性被破壞牽連到漏稅，詐騙等經濟案件中。(5)造成電子商務經營的混亂與不信任。

　　2，簡述散列函數應用于數據的完整性。

　　答：可用多種技術的組合來認證消息的完整性。為消除因消息被更改而導致的欺詐和濫用行為，可將兩個算法同時應用到消息上。首先用散列算法，由散列函數計算機出散列值后，就將此值――消息摘要附加到這條消息上。當接收者收到消息及附加的消息摘要后，就用此消息獨自再計算出一個消息摘要。如果接收者所計算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息沒有被篡改。

　　3，數字簽名與消息的真實性認證有什么不同?

　　答：數字簽名與消息的真實性認證是不同的。消息認證是使接收方能驗證消息發送者及所發信息內容是否被篡改過。當收發者之間沒有利害沖突時，這對于防止第三者的破壞來說是足夠了。但當接收者和發送者之間相互有利害沖突時，單純用消息認證技術就無法解決他們之間的糾紛，此是需借助數字簽名技術。

　　4，數字簽名和手書簽名有什么不同?

　　答：數字簽名和手書簽名的區別在于：手書簽名是模擬的，因人而異，即使同一個人也有細微差別，比較容易偽造，要區別是否是偽造，往往需要特殊老師。而數字簽名是0和1的數字串，極難偽造，不需老師。對不同的信息摘要，即使是同一人，其數字簽名也是不同的。這樣就實現了文件與簽署的最緊密的“捆綁”。

　　5，數字簽名可以解決哪些安全鑒別問題? 答：數字簽名可以解決下述安全鑒別問題：(1)接收方偽造：接收方偽造一份文件，并聲稱這是發送方發送的;(2)發送者或收者否認：發送者或接收者事后不承認自己曾經發送或接收過文件;(3)第三方冒充：網上的第三方用戶冒充發送或接收文件;(4)接收方篡改：接收方對收到的文件進行改動。

　　6，無可爭辯簽名有何優缺點?

　　答：無可爭辯簽名是在沒有簽名者自己的合作下不可能驗證簽名的簽名。

　　無可爭辯簽名是為了防止所簽文件被復制，有利于產權擁有者控制產品的散發。適用于某些應用，如電子出版系統，以利于對知識產權的保護。

　　在簽名人合作下才能驗證簽名，又會給簽名者一種機會，在不利于他時可拒絕合作，因而不具有“不可否認性”。無可爭辯簽名除了一般簽名體制中的簽名算法和驗證算法外，還需要第三個組成部分，即否認協議：簽名者利用無可爭辯簽名可向法庭或公眾證明一個偽造的簽名的確是假的;但如果簽名者拒絕參與執行否認協議，就表明簽名真的由他簽署。

　　7，UPS的作用是防止突然停電造成網絡通訊中斷。

　　8，計算機病毒是如何產生的?

　　答：計算機病毒是人為產生的，是編制者在計算機程序中插入的破壞計算機功能，或進毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

　　9，計算機惡性病毒的危害是破壞系統或數據，造成計算機系統癱瘓。

　　10，簡述容錯技術的目的及其常用的容錯技術。

　　答：容錯技術的目的是當系統發生某些錯誤或故障時，在不排除錯誤和故障的條件下使系統能夠繼續正常工作或者進入應急工作狀態。

　　容錯技術最實用的一種技術是組成冗余系統。冗余系統是系統中除了配置正常的部件以外，還配制出的備份部件。當正常的部件出現故障時，備份部件能夠立即取代它繼續工作。當然系統中必須另有冗余系統的管理機制和設備。另有一種容錯技術是使用雙系統。用兩個相同的系統共同承擔同一項任務，當一個系統出現故障時，另一系統承擔全部任務。

　　11，現在網絡系統的備份工作變得越來越困難，其原因是什么?

　　答：其原因是網絡系統的復雜性隨著不同的操作系統和網絡應用軟件的增加而增加。此外，各種操作系統，都自帶內置軟件的備份，但自動備份和文件管理上都是很基本的，功能不足。

　　12，簡述三種基本的備份系統。

　　答：(1)簡單的網絡備份系統：在網絡上的服務器直接把數據通過總線備份到設備中。也可把數據通過對網絡經過專用的工作站備份到工作站的設備中。(2)服務器到服務器的備份：在網絡上的一個服務器除了把數據通過總線備份到自己設備中以外，同時又備份到另一個服務器上。(3)使用專用的備份服務器：不同于第二種中所說的另一類服務器，它主要的任務是為網絡服務的服務器，使用專用服務器可以使備份工作更加可靠。

　　13，簡述數據備份與傳統的數據備份的概念。 答：數據備份，是指為防止系統出現操作失誤或系統故障導致數據丟失，而將全系統或部分數據集合從應用主機的硬盤或陣列復制到其他的存儲介質的過程。 傳統的數據備份主要是采用數據內置或外置的磁帶機進行冷備份。

　　14，列舉計算機病毒的主要來源。 答：1，引進的計算機病毒和軟件中帶有的病毒。2，各類出國人員帶回的機器和軟件染有病毒。3，一些染有病毒的游戲軟件。4，非法拷貝引起的病毒。5，計算機生產，經營單位銷售的機器和軟件染有病毒。6，維修部門交叉感染。7，有人研制，改造病毒。8，敵對份子以病毒進行宣傳和破壞。9，通過互聯網絡傳入。

　　15，數據文件和系統的備份要注意什么? 答：日常的定時，定期備份;定期檢查備份的質量;重要的備份最好存放在不同介質上;注意備份本身的防竊和防盜;多重備份，分散存放，由不同人員分別保管。

　　16，一套完整的容災方案應該包括本地容災和異地容災兩套系統。

　　17，簡述歸檔與備份的區別。 答：歸檔是指將文件從計算機的存儲介質中轉移到其他永久性的介質上的，以便長期保存的過程。備份的目的是從災難中恢復。歸檔是把需要的數據拷貝或打包，用于長時間的歷史性的存放，歸檔可以清理和整理服務器中的數據。歸檔也是提高數據完整性的一種預防性措施。

　　18，病毒有哪些特征?

　　答：非授權可執行性;隱藏性;傳染性;潛伏性;表現性或破壞性;可觸發性。

　　19，簡述計算機病毒的分類方法。

　　答：按寄生方式分為，引導型，病毒文件型和復合型病毒。 按破壞性分為，良性病毒和惡性病毒

　　20，簡述計算機病毒的防治策略? 答：依法治毒，建立一套行之有效的病毒防治體系，制定嚴格的病毒防治技術規范。

　　21，保證數據完整性的措施有：有效防毒，及時備份，充分考慮系統的容錯和冗余。

　　22，扼制點的作用是控制訪問。

　　23，防火墻不能防止的安全隱患有：不能阻止已感染病毒的軟件或文件的傳輸;內部人員的工作失誤。

　　24，防火墻與VPN之間的本質區別是：堵/通;或防范別人/保護自己。

　　25，設置防火墻的目的及主要作用是什么? 答：設置防火墻的目的是為了在內部網與外部網之間設立惟一通道，允許網絡管理員定義一個中心“扼制點”提供兩個網絡間的訪問的控制，使得只有被安全策略明確授權的信息流才被允許通過，對兩個方向的信息流都能控制。它的主要作用是防止發生網絡安全事件引起的損害，使入侵更難實現，來防止非法用戶，比如防止黑客，網絡破壞者等進入內部網絡。禁止存在安全脆弱性的服務進出網絡，并抗擊來自各種路線的攻擊。

　　26，簡述防火墻的設計須遵循的基本原則。 答：(1)由內到外和由外到內的業務流必須經過防火墻。(2)只允許本地安全政策認可的業務流必須經過防火墻。(3)盡可能控制外部用戶訪問內域網，應嚴格限制外部用戶進入內域網。(4)具有足夠的透明性，保證正常業務的流通。(5)具有抗穿透性攻擊能力，強化記錄，審計和告警。

　　27，目前防火墻的控制技術可分為：包過濾型，包檢驗型以及應用層網關型三種。

　　28，防火墻不能解決的問題有哪些?

　　答：(1)如果網絡管理員不能及時響應報警并審查常規記錄，防火墻就形同虛設。在這種情況下，網絡管理員永遠不會知道防火墻是否受到攻擊。(2)防火墻無法防范通過防火墻以外的其他途徑的攻擊。(3)防火墻不能防止來自內部變節者和不經心的用戶帶來的威脅。 (4)防火墻也不能防止傳送已感染病毒的軟件或文件。(5)防火墻無法防范數據驅動型的攻擊。

　　29，VPN提供哪些功能?

　　答：加密數據：以保證通過公網傳輸的信息即使被他人截獲也不會泄露。

　　信息認證和身份認證：保證信息的完整性，合法性，并能鑒用戶的身份。

　　提供訪問控制：不同的用戶有不同的訪問權限。

　　30，簡述隧道的基本組成。

　　答：一個隧道啟動器，一個路由網絡，一個可選的隧道交換機，一個或多個隧道終結器。

　　31，IPSec提供的安全服務包括：私有性(加密)，真實性(驗證發送者的身份)，完整性(防數據篡改)和重傳保護(防止未經授權的數據重新發送)等，并制定了密鑰管理的方法。

　　32，選擇VPN(虛擬專用網)解決方案時需要考慮哪幾個要點?

　　答：(1)認證方法;(2)支持的加密算法。(3)支持的認證算法。(4)支持IP壓縮算法。(5)易于部署。(6)兼容分布式或個人防火墻的可用性。

　　33，簡述VPN的分類。

　　答：按VPN的部署模式分，VPN的部署模式從本質上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式：端到端模式;供應商到企業模式;內部供應商模式。

　　按VPN的服務類型分，VPN業務大致可分為三類：internetVPN AccessVPN和ExtranetVPN.

　　34，簡述VPN的具體實現即解決方案有哪幾種? 答：(1)虛擬專用撥號網絡，用戶利用撥號網絡訪問企業數據中心，用戶從企業數據中心獲得一個私有地址，但用戶數據可跨公共數據網絡傳輸。 (2)虛擬專用路由網絡，它是基于路由的VPN接入方式。 (3)虛擬租用線路，是基于虛擬專線的一種VPN，它在公網上開出各種隧道，模擬專線來建立VPN. (4)虛擬專用LAN子網段，是在公網上用隧道協議仿真出來一個局域網，透明地提供跨越公網的LAN服務。

　　35，實體認證與消息認證的主要差別是什么? 答：實體認證與消息認證的差別在于，消息認證本身不提供時間性，而實體認證一般都是實時的。另一方面，實體認證通常證實實體本身，而消息認證除了證實消息的合法性和完整性外，還要知道消息的含義。

　　36，通行字的選擇原則是什么?

　　答：易記;難于被別人猜中或發現;抗分析能力強。在實際系統中，需要考慮和規定選擇方法，使用期限，字符長度，分配和管理以及在計算機系統內的保護等。根據系統對安全水平的要求可有不同的選取。

　　37，通行字的安全存儲有哪二種方法?

　　答：(1)用戶的通行字多以加密形式存儲，入侵者要得到通行字，必須知道加密算法和密鑰。(2)許多系統可以存儲通行字的單向雜湊值，入侵者即使行到此雜湊也難于推出通行字。

　　38，有效證書應滿足的條件有哪些?

　　答：(1)證書沒有超過有效期。(2)密鑰沒有被修改。如果密鑰被修改后，原證書就應當收回，不再使用。如果雇員離開了其公司，對應的證書就可收回，如果不收回，且密鑰沒被修改，則可繼續使用該證書;(3)證書不在CA發行的無效證書清單中。CA負責回收證書，并發行無效證書清單。用戶一旦發現密鑰泄露就應及時將證書吊銷。并由CA通知停用并存檔備案。

　　39，密鑰對生成的兩種途徑是什么?

　　答：(1)密鑰對持有者自己生成：用戶自己用硬件或軟件生成密鑰對。如果該密鑰對用于數字簽名時，應支持不可否認性。(2)密鑰對由通用系統生成：由用戶依賴，可信賴的某一中心機構生成，然后安全地送到特定用戶的設備中。利用這類中心的資源，可產生高質量密鑰對，易于備份和管理。

　　40，證書有哪些類型?

　　答：(1)個人證書：證實客戶身份和密鑰所有權。在一些情況下，服務器會在建立SSL邊接時要求用個人證書來證實客戶身份。用戶可以向一個CA申請，經審查后獲得個人證書。(2)服務器證書：證實服務器的身份和公鑰。當客戶請求建立SSL連接時，服務器把服務器證書傳給客戶。客戶收到證書后，可以檢查發行該證書的CA是否應該信任。對于不信任的CA，瀏覽器會提示用戶接受或拒絕這個證書。(3)郵件證書：證實電子郵件用戶的身份和公鑰。一些有安全功能的電了郵件應用程序能使用郵件證書來驗證用戶身份和加密解密信息。 (4)CA證書：證實CA身份和CA的簽名密鑰。在Netscape瀏覽器里，服務器管理員可以看到服務受接受的CA證書，并選擇是否信任這些證書。CA證書允許CA發行其他類型的證書。

　　41，如何對密鑰進行安全保護?

　　答：密鑰按算法產生后，首先將私鑰送給用戶，如需備份，應保證安全性，將公鑰送給CA，用以生成相應證書， 為了防止未授權用戶對密鑰的訪問，應將密鑰存入防竄擾硬件或卡中，或加密后存入計算機的文件中。 此處，定期更換密碼對是保證安全的重要措施。

　　42，CA認證申請者的身份后，生成證書的步驟有哪些?

　　答：(1)CA檢索所需的證書內容信息;(2)CA證實這些信息的正確性;(3)回CA用其簽名密鑰對證書簽名;(4)將證書的一個拷貝送給注冊者，需要時要求注冊者回送證書的收據;(5)CA將證書送入證書數據庫，向公用檢索業務機構頌;(6)通常，CA將證書存檔;(7)CA將證書生成過程中的一些細節記入審記記錄中。

　　43，公鑰證書的基本作用?

　　答：將公鑰與個人的身份，個人信息件或其他實體的有關身份信息聯系起來，在用公鑰證實數字簽名時，在確信簽名之前，有時還需要有關簽名人的其他信息，特別是要知道簽名者是否已被授權為對某特定目的的簽名人。

　　授權信息的分配也需用證書實現，可以通過發放證書宣布某人或實體具有特定權限或權威，使別人可以鑒別和承認。

　　44，雙鑰密碼體制加密為什么可以保證數據的機密性?

　　答：雙鑰密碼體制加密時有一對公鑰和私鑰，公鑰可以公開，私鑰由持有者保存，公鑰加密過的數據中有持有者的私鑰能解開，這樣就保證了數據的機密性。經私鑰加密過的數據――數字簽名可被所具有公鑰的人解開，由于私鑰只有持有者一人保存，就樣就證明信息發自私鑰持有者，具有不可否認證和完整性。

　　45，電子商務安全的中心內容

　　1商務數據的機密性 2商務數據的完整性 3商務對象的認證性 4商務服務的不可否認性5商務服務的不可拒絕性6訪問的控制性

　　46，電子郵件的安全問題主要有兩個方面：(1) 電子郵件在網上傳送時隨時可能別人竊取到(2) 可以冒用別人的身份發信

　　47，數字簽名的使用方法：

　　數字簽名使用雙鑰密碼加密和散列函數。消息M用散列函數H得到的消息摘要h=H(M)，然后發送方再用自己的雙鑰密碼體制的私鑰對這個散列值進行加密h=E (h)，形成發送方的數字簽名。然后，這個數字簽名將作為消息M的附件和消息一起發送給消息的接受方。消息的接受方首先從接受到的原始消息M中計算出散列值h=H(M)，接著再用發送方的雙鑰密碼體制的公鑰來對消息的數字簽名進行解密D (h)得h 如果這兩個散列值h = h那么接收方就能確認該數字簽名是發送方的，而且還可以確定此消息沒有被修改過。

　　48，提高數據完整性的預防性措施

　　(1)鏡像技術：是指將數據原樣地從一臺設備機器拷貝到另一臺設備機器上 (2)故障前兆分析 (3)奇偶效驗 (4)隔離不安全的人員 (5)電源保障

　　49，病毒的分類

　　1 按寄生方式分為： (1)引導型病毒(2)文件型病毒(3)復合型病毒

　　2 按破壞性分為：(1)良性病毒

　　(2)惡性病毒

　　50，防火墻的設計原則：

　　① 由內到外和由外到內的業務流必須經過防火墻 ②只允許本地安全政策認可的業務流通過防火墻③盡可能的控制外部用戶訪問內域網，應嚴格限制外部用戶進入內域網④具有足夠的透明性，保證正常業務的流通⑤具有抗穿透攻擊能力，強化記錄，審計和告警。

　　論述題

　　1，對比傳統手書簽名來論述數字簽名的必要性。

　　答：商業中的契約，合同文件，公司指令和條約，以及商務書信等，傳統采用手書簽名或印章，以便在法律上能認證，核準，生效。傳統手書簽名儀式要專門預定日期時間，契約各方到指定地點共同簽署一個合同文件，短時間的簽名工作量需要很長時間的前期準備工作。由于某個人不在要簽署文件的當地，于是要等待，再等待。這種狀況對于管理者，是延誤時機;對于合作伙伴，是丟失商機;對于政府機關，是辦事效率低下。 電子商務的發展大大地加快了商務的流程，已經不能容忍這種“慢條斯理”的傳統手書簽名方式。在電子商務時代，為了使商，貿，政府機構和直接消費者各方交流商務信息更快，更準確和更便于自動化處理，各種憑證，文件，契約，合同，指令，條約，書信，訂單，企業內部的管理等必須實現網絡化的傳遞。保障傳遞文件的機密性應使用加密技術，保障其完整性則用信息摘要要技術，而保障認證性和不可否認性則應使用數字簽名技術。 數字簽名可做到高效而快速的響應，任意時刻，在地球任何地方――只要有internet，就可完成簽署工作。數字簽名除了可用于電子商務中的簽署外，還可用于電子辦公，電子轉賬及電子郵遞等系統。

　　2，對于公鑰/私鑰對的不同功能，在要求上要考慮不一致的情況有哪些?

　　答：(1)需要采用兩個不同的密鑰對分別作為加密/解密和數字簽名/驗證簽名用。(2)一般公鑰體制的加密用密鑰的長度要比簽名用的密鑰短，有的國家對出口加密用算法的密鑰的長度有限制，而對簽名用密鑰無限制。(3)由于實際商務的需要或其他原因，需要用不同的密鑰和證書，例如，一般消息加密用的密鑰比較短，加密時間可快一些;而對短消息加密用的密鑰可以長一些，有利于防止攻擊。(4)密鑰對的使用期限不同：加密密鑰使用頻度比簽名用密鑰的使用頻度大得多，因此更換周期要短。 (5)并非所有公鑰算法都具有RSA的特點，例如DSA算法可以做簽名，但無須建立密鑰。未來系統要能支持多種算法，因而應支持采用不同簽名密鑰對和不同密鑰的建立。(6)加密算法可能支持密鑰托管和密鑰恢復，以及可能的法律監聽。但數字簽名的密鑰則不允許泄露給他人，其中包括法律機構。

　　3，試述提高數據完整性的預防性措施有哪些? 答：預防性措施是用來防止危及到數據完整性事情的發生。可采用以下措施“

　　鏡像技術：是指將數據原樣地從一臺設備機器拷貝到另一臺設備機器上。

　　故障前兆分析：有些部件不是一下子完全壞了，例如磁盤驅動器，在出故障之前往往有些征兆，進行故障前兆分析有利于系統的安全。

　　奇偶校驗：是服務器的一個特征。它提供一種機器機制來保證對內存錯誤的檢測，因此，不會引起由于服務器出錯而造成數據完整性的喪失。

　　隔離不安全的人員：對本系統有不安全的潛在威脅人員，應設法與本系統隔離。

　　電源保障：使用不間斷電源是組成一個完整的服務器系統的良好方案。

　　4，試述防火墻的分類有及它們分別在安全性或效率上有其特別的優點。 答：目前防火墻的控制技術大概可分為：包過濾型，包檢驗型以及應用層網關型三種。 (1)包過濾型：包過濾型的控制方式會檢查所有進出防火墻的包標頭內容，如來源及目的地，使用協定等信息。現在的路由器，交換式路由器以及某些操作系統已經具有用包過濾控制的能力。包過濾型的控制方式最大的好處是效率最高，但卻有幾個嚴重缺點：管理復雜，無法對連線作完全的控制，規則設置的先后順序會嚴重影響結果，不易維護以及記錄功能少。(2)包檢驗型：包檢驗型的控制機制是通過一個檢驗模組對包中的各個層次作檢驗。包檢驗型可謂是包過濾型的加強版，目的在增加包過濾型的安全性，增加控制“連線”的能力。但由于包檢驗的主要對象仍是個別的包，不同的包檢驗方式可能會產生極大的差異。其檢查層面越廣越安全，但其相對效率也越低。包檢驗型防火墻在檢查不完全的情況下，可難會造成原來以為只有特定的服務可以通過，通過精心設計的數據包，可在到達目的地時因重組而被轉變楊原來并不允許通過的連線請求。這個為了增加效率的設計反而成了安全弱點。(3)應用層網關型：應用層網關型的防火墻采用將連線動作攔截，由一個特殊的代理程序來處理兩端間的邊線方式，并分析其邊線內容是否符合應用協定的標準。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作，而不會被客戶或服務器端欺騙，在管理上也不會般用途的代理程序來處理大部分連線。這種運作方式是最安全的方式，但也是效率最低的一種方式。

　　5，試述VPN的優點有哪些?

　　答：成本較低：VPN在設備的使用量及廣域網絡的頻寬使用上，均比專線式的架構節省，故能使企業網絡的總成本降低。 網絡結構靈活：VPN比專線式的架構有彈性，當有必要將網絡擴充或是變更網絡架構時，VPN可以輕易地達到目的;相對而言，傳統的專線式架構便需大費腦筋了。 管理方便：VPN較少的網絡設備及物理線路，使網絡的管理較為輕松;不論分公司或是遠程訪問用戶再多，均只需要通過互聯網的路徑進入企業網絡 VPN是一種連接，從表面上看它類似一種專用連接，但實際上是在共享網絡上實現的。它往往使用一種被稱作“隧道”的技術，數據包在公共網絡上專用的“隧道”內傳輸，專用“隧道”用于建立點對點的連接。來自不同數據的網絡業務經由不同的隧道在相同的體系結構上傳輸，并允許網絡協議穿越不兼容的體系結構，還可區分來自不同數據源的業務，因而可將該業務發往指定的目的地，并接收指定等級的服務。

　　6，組建VPN應該遵循的設計原則。

　　答：VPN的設計應遵循以下原則：安全性，網絡優化，VPN管理等。

　　在安全性方面，由于VPN直接構建在公用網上，實現簡單，方便，靈活，但同時其安全問題也更為突出，由于VPN直接構建在公用網上，實現簡單，方便，靈活，但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且在防止非法用戶對網絡資源或私有信息的訪問。ExtrantVPN將企業網擴展到合作伙伴和客戶，對安全性提出了更高的要求。安全問題是VPN的核心問題。目前，VPN的安全保證主要是通過防火墻技術，路由器配以隧道技術，加密協議和安全密鑰來實現的，可以保證企業員工安全地訪問公司網絡。

　　在網絡優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，產生網絡瓶頸，使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閑。QOS通過流量預測與流量控制策略，可以按照優先級分配帶寬資源，實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。

　　在VPN管理方面，VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成，企業自己仍需要完成許多網絡管理任務。所以，一個完善的VPN管理系統是必不可少的。VPN管理的目標為：減小網絡風險，具有高擴展性，經濟性，高可靠性等優點。事實上，VPN管理主要包括安全管理，設備管理，配置管理，訪問控制列表管理，服務質量管理等內容。

　　7，試述數據加密的必要性。

　　答：由于網絡技術，網絡協議，主要技術是公開的，所有的網絡安全技術出是基于這些公開的技術，黑客利用這些公開技術中的漏洞，對網絡和數據進行攻擊;任何操作系統無論其技術是否公開，都是有漏洞的，因為安全與運行效率是一個要綜合平衡的矛盾。 網絡安全是一個解決不了的問題，黑客技術已是某些國家控制和監督別國網絡的有力武器，黑客已是竊取政治經濟情服務的最安全，最有效，最快捷的手段。在我國的網絡技術遠遠落后國際先進水平的情況下外部和內部黑客進入我國計算機網絡竊取有用情報，更如入無人之境，其中主要原因是網絡被攻破以后計算機文件數據和數據庫中的數據是可以看懂的明文。

　　目前技術可達到“幾分鐘，一塊活動硬盤可盜走300億字的數據”，一旦黑客攻破網絡，如果數據未加密，計算機數據是可讀的，則數據即盜即用。黑客還可以針對性地盜竊和篡改黑客關心的文件和數據庫記錄(破壞數據的完整性)。而且黑客一旦掌握了攻破方法以后，會不斷地繼續盜走和篡改數據，而用戶很難察覺。

　　數據加密的作用：(1)解決外部黑客侵入網絡后盜竊計算機數據的問題; (2)解決外啊黑客侵入網絡后篡改數據的問題;(3)解決內部黑客在內部網上盜竊計算機數據的問題;(4)解決內部黑客在內部網上篡改數據的問題;(5)解決CPU，操作系統等預先安置了黑客軟件或無線發射裝置的問題。

　　數據加密可以解決網絡內部信息“看不懂，改不了，盜走也沒用”的問題，是網絡安全最后一道防線，也是價格性能比最好的網絡安全問題的根本解決手段。

　　8，試述一下身份證明系統的相關要求。

　　答：對身份證明系統的相關要求： (1)驗證者正確認別合法示證者的概率極大化。(2)不具可傳遞性，驗證者B不可能重用示證者A提供給他的信息，偽裝示證者A成功地騙取其他人的驗證，得到信任。(3)攻擊者偽裝示證者欺騙驗證者成功的概率小到可以忽略，特別是要能抗已知密文攻擊，即攻擊者在截獲到示證者和驗證者多次通信下，偽裝示證者欺騙驗證者。(4)計算有效性，為實現身份證明所需的計算量要小。(5)通信有效性，為實現身份證明所需通信次數和數據量要小。(6)秘密參數安全存儲。(7)交互識別，有些應用中要求雙方互相進行身份認證。(8)第三方實時參與，如在線公鑰檢索服務。(9)第三方的可信賴性。(10)可證明安全性。

　　后四條是有些身份誤用別系統提出的要求。 身份識別與數字簽字密切相關，數字簽名是實現身份識別的一個途徑，但在身份識別消息的語義基本上是固定的，是當前時刻的申請者的身份驗證者根據規定或接受或拒絕申請。一般簽字不是“終生”的，但應是長期有效的，未來仍可啟用的。

　　9，論述證書機構的管理功能。

　　答：證書機構用于創建和發布證書，它通常為一個稱為安全域的有限群體發放證書。創建證書的時候。CA系統首先獲取用戶的請求信息，其中包括用戶公鑰，CA將根據用戶的請求信息產生證書，并用自己的私鑰對證書進行簽名。其他用戶，應用程序或實體將使用CA的公鑰對證書進行驗證。如果一個CA系統是可信的，則驗證證書的用戶可以確信，他所驗證的證書中的公鑰屬于證書所代表的那個實體。

　　CA還負責維護和發布證書吊銷表。當一個證書，特別是其中的公鑰因為其他原因無效時，CRL提供了一種通知用戶的中心管理方式。CA系統生成CRL以后，要么是放到LDAP服務器中供用戶直接查詢或下載，要么是放置在WEB服務器的合適位置，以頁面超級連接的方式供用戶直接查詢或下載。

?2011年4月自學考試成績查詢時間及方式匯總

?2011年下半年各地自學考試報名匯總

更多信息請訪問：自學考試頻道    自學考試論壇    自學考試博客