电子商务安全教学资料-第2章课后习题答案.docVIP

第2章试题答案 （1）简述网络物理安全包含哪几方面？ 答： 物理安全是指保护计算机设备、网络以及其他设施免遭地震、水灾、火灾、有害气体或其他环境事故（如辐射污染等）以及人为行为导致的破坏的措施和过程，是在物理介质层次上对信息系统中使用、存储和传输的数据的安全保护。主要包含三个方面： 环境安全； 设备安全； 媒体安全。 （2）什么是操作系统漏洞，会对用户造成哪些不良影响？ 答： 操作系统漏洞即某个程序（包括操作系统）在设计时未考虑周全，当程序遇到一个看似合理但实际无法处理的问题时，引发的不可预见的错误。系统漏洞又称安全缺陷，会对用户造成如下不良后果： 1、如漏洞被恶意用户利用，会造成信息泄漏，如黑客攻击网站即利用网络服务器操作系统的漏洞； 2、对用户操作造成不便，如不明原因的死机和丢失文件等。 （3）数据库安全的重要性有哪些？ 答： 1、保护敏感信息和数据资产； 2、数据库同系统紧密相关并且更难正确地配置和保护； 3、网络和操作系统的安全被认为非常重要，但是却不这样对待数据库服务器； 4、少数的数据库安全漏洞不仅威胁数据库安全，也可能威胁到操作系统甚至其他可信任系统的安全； 5、数据库是电子商务、ERP系统和其他重要的商业系统的基础。 （4）简述数据库系统安全包含哪两个方面？各有什么含义？ 答： 数据库系统安全，包括系统运行安全和系统信息安全两个方面，其含义为： 第一层是指系统运行安全，它包括： 法律、政策的保护，如用户是否有合法权利，政策是否允许等； 物理控制安全，如机房内服务器安全，机房门禁系统等； 硬件运行安全； 操作系统安全，如数据文件是否保护等； 灾害、故障恢复； 死锁的避免和解除； 电磁信息泄漏防止。 第二层是指系统信息安全，它包括： 用户身份标识； 用户身份鉴别； 用户存取权限控制； 数据存取权限和方式的控制； 审计跟踪； 数据加密。 （5）Web服务协议栈都包含哪些协议？ 答： HTTP: Hyper Text Transfer Protocol ，超文本传输协议； SMTP: Simple Mail Transfer Protocol，简单邮件传输协议； SOAP: Simple Object Access Protocol ，简单对象访问协议 ； WSDL：Web Services Description Language，Web服务描述语言 ； UDDI：Universal Description, Discovery and Integration，统一描述，发现和集成。 （6）Web程序安全关键技术都包含哪些技术？ 答： 1、存储加密技术； 2、Web页面原始性鉴别技术； 3、分级访问控制技术； 4、SSL技术。 （7）简述访问控制的功能和类型？ 答： 功能： 访问控制建立在身份认证的基础上，目的是控制和管理合法用户访问资源的范围和访问方式，防止非法用户的入侵或合法用户对资源的误用或滥用，因而能保证资源受控地、合理的使用。访问控制是基于权限管理的一种非常重要的安全策略，是实现信息系统安全的重要技术之一。 类型： 1、访问控制矩阵； 2、访问能力表； 3、访问控制表； 授权关系表。 （8）什么是入侵检测技术？主要功能有哪些？ 答： 入侵检测（Intrusion Detection）是主动检查并发现入侵行为，保护系统免受攻击的一种网络安全技术。入侵检测能够在系统运行过程中实时地、动态地发现入侵行为或踪迹，包括检测外界的恶意攻击或试探，以及内部合法用户超越权限的非法操作。一旦检测到攻击发生，便及时采取适当的措施，如记录事件、发出警报、切断网络连接等，从而保护受攻击系统。 入侵检测系统的主要功能有： 1、监测、分析用户和系统的活动； 2、核查系统配置和楼栋； 3、评估重要系统和数据文件的完整性； 4、识别已知的攻击行为并采取适当的措施； 5、统计分析异常行为； 6、审计操作系统日志，识别违反安全策略的行为。 （9）入侵检测技术的局限性有哪些？ 答： 1、误报和漏报的矛盾 2、隐私和安全的矛盾 3、被动分析与主动发现的矛盾 4、海量信息与分析代价的矛盾 5、功能性和可管理性的矛盾 6、单一的产品与复杂的网络应用的矛盾 （10）简述入侵检测技术未来的发展趋势？ 答： 1、分析技术的改进 2、内容恢复和网络审计功能的引入 3、集成网络分析和管理功能 4、安全性和易用性的提高 5、改进对大数据量网络的处理方法 6、防火墙联动功能