第3章 认证技术

第三章产品认证方案制定和实施与管理3.1产品认证方案制定●制定产品认证方案是实施产品认证的关键过程之一。

——在根据实际需要对某类产品实施认证时，首先是建立产品认证制度或制定产品认证方案，或者建立某一领城产品认证制度，再依据产品认证制度制定更有可操作性的具体的产品类别实施方案。

产品认证方案是指针对特定的产品，适用相同的规定要求、具体规则和程序的认证制度。

●产品认证方案规定了实施产品认证的规则、程序和管理要求。

●产品认证方案执行附录A中的合格评定功能法。

3.1.1方案策划与准备●在实施产品认证前需要有相应的认证方案。

每个认证方案有一个所有者。

➢方案所有者类型●方案所有者:是指负责制定和完善特定认证方案的个人或组织。

可以是:——产品认证机构——政府和监管部门——采购机构——非政府组织——行业和零售协会——认证机构团体——消费者组织。

➢方案所有者类型方案所有者类型有:——认证机构，其制定的产品认证方案仅供自己客户使用;——非认证机构的组织(例如:管理部门、贸易组织、行业协会或其他社会组织)，其制定的产品认证方案由一个或多个认证机构参与实施。

➢方案所有者类型●认证方案可能有不同的体现形式:——一个认证机构可制定一个仅供机构为其客户实施认证使用的认证方案;——一个组织(如监管部门或贸易组织等)制定的认证方案，可能邀请一个或多个认证机构运作其方案——一些认证机构联合体(可能来自不同国家)可能共同建立一项认证方案——一个生产组织可建立其产品认证方案，包括检测、检查和审核，以及发布符合性声明➢方案所有者类型●如果认为有必要运行几个使用同样规则、程序和管理的方案，方案所有者可将共同的程序和管理手段整合到一个产品认证制度中，在该产品制度下，可执行不同的方案，不需要针对每个方案重复设置管理组织。

在这种情况下，方案所有者将成为制度所有者并负责制度的管理以及在制度内运行的各方案的管理。

➢方案所有者的职责和责任.产品认证方案所有者应为法人实体，政府性质的方案所有者因其具有政府职能，可视为法人实体。

电子商务安全课后选择题答案及复习资料唐四薪一、课后选择题答案第一章电子商务安全的概述1.关于电子商务安全，下列说法中错误的是D决定电子商务安全级别的最重要因素是技术 2.网上交易中订货数量发生改变，则破坏了安全需求中的()。

C/完整性; 3.()原则保证只有发送方和接收方才能访问消息内容。

D.访问控制; 4.电子商务安全中涉及的3种因素，没有()。

C设备5.在PDRR模型中，()是静态防护转为动态的关键，是动态响应的依据。

B检测;6.在电子商务交易中，消费者面临的威胁不包括()D非授权访问;7.B截获C伪造A篡改D中断第二章密码学基础1.棋盘密码属于()A单表替代密码;2.()攻击不能修改信息内容;A.被动;3.在RSA中，若两个质数p=7,q=13，则欧拉函数的值为()B。

72 解p-1=6.q-1=12;4.RSA算法理论基础()。

B大数分解;5.数字信封技术克服了()。

D公钥密码技术加密速度慢6.生成数字信封，我们用()加密()。

D接收方公钥、一次性会话秘钥7.如果发送方用自己的私钥加密信息，则可以实现()。

D鉴别 8.如果A和B安全通信，则B 不需要知道()A。

A的私钥 9.通常使用()验证消息的完整性。

A。

消息摘要10.两个不同的消息摘要具有相同散列值，称为()B。

冲突11.()可以保证信息的完整性和用户身份的确定性》C。

数字签名 12.与对称秘钥加密技术相比，公钥加密技术特点()。

D可以实现数字签名第三章认证技术1.确定用户的身份称为()。

A，身份认证2.下列技术不能对付重放攻击的是()。

A.线路加密3.D重放攻击;第四章数字证书和PKI1.关于认证机构CA，下列说法错误的是()。

B、CA有着严格的层次，其中根CA要求在线并且实时保护。

2.密钥交换最终方案是()。

C.数字证书3.CA用()签发数字证书。

D自己的私钥4.以下设施常处于在线状态的是()B。

OCSP C.RA5.数字证书将用户的共要与其()联系在一起。

三、AC认证技术⼀、认证⽅式Dkey认证（数字密钥认证）1）免认证key，形同usb，插⼊即通过认证2）免审计key，也是上⽹不被记录审计。

单点登录登录了某点，其他点都能访问；例如登录了⽀付宝淘宝就不⽤登录了。

1.1 ⽆认证实验第⼀章节11min做透明认证（⽆认证）是不需要创建⽤户的，⼀般以IP地址计算机名或MAC地址作为⽤户名1.2 IP/MAC绑定认证SNMP简单⽹络管理协议，C/S架构MIB库：被管理对象的集合，定义了被管理对象的属性。

名称，ip，⽇志等每个OID都对应⼀个唯⼀的对象，获取了他就能获取IP跟MAC地址对应关系OID值，可以去设备⼚商官⽹查询，不同的⼚商不同的OID值⼯作原理实验第⼀章节26minAC端1）创建组2）新增认证策略-不需要认证-⾃动录⼊绑定关系-⾃动录⼊IP和MAC绑定关系3）认证⾼级选项-跨三层取MAC-新增SNMP服务器4）继续-排除三层交换机的MAC地址（与AC直连的端⼝MAC）AF端1）⽹络配置-⾼级⽹络配置-SNMP2）⽹络配置-接⼝/区域-互联⽹区-勾选SNMP1.3 密码认证AD域认证,LDAP服务器认证实验55minAD服务器端1）登录AD域服务器2）⼯具-AD⽤户和计算机3）新建组织单位4）新建⽤户AC端1）认证服务器-新增LDAP服务器2）新增认证策略-密码认证-认证服务器勾选-认证后处理中选择组1.4 ⽤户和⽤户组管理免认证实验1h27m2020年2⽉26⽇速度看到第五天AC⽤户认证策略1h31m2020年2⽉27⽇回顾完昨⽇内容并完善笔记，看完第五天AC⽤户认证策略2020年2⽉28⽇回顾第五天第⼀章节AC⽤户认证策略，看第⼆章节HTTP。

3.1 电子商务系统的安全要求3.2 数据加密技术3.3 认证技术3.4 电子商务的安全交易标准目录第3章电子商务安全单元14 数字摘要与数字签名技术3.3.1身份认证3.3.2认证中心3.3.3数字证书3.3.4数字摘要3.3.5数字签名3.3.6数字时间戳认证技术是保证电子商务交易安全的一项重要技术。

主要包括身份认证和信息认证身份认证用于鉴别用户身份。

信息认证用于保证通信双方的不可抵赖性以及信息的完整性。

3.3.4 数字摘要数字摘要是用来保证信息完整性的一项技术。

它是一种单向加密算法。

2002年图灵奖得主---RSA和MD5的创始人Ronald L. RivestProfessor Rivest is the Professor ofElectrical Engineering and ComputerScience in MIT's Department ofElectrical Engineering and ComputerScience. He is a founder of RSA Data Security (now merged with Security Dynamics to form RSA Security). Professor Rivest has research interests in cryptography, computer and network security, electronic voting, and algorithms.所谓数字摘要，是指通过单向Hash函数，将需加密的明文“摘要”成一串固定长度(如128bit)的密文，不同的明文摘要成的密文其结果总是不相同，同样的明文其摘要必定一致，并且即使知道了摘要也不能反推出明文。

数字摘要的使用过程①对原文使用Hash算法得到数字摘要；②将数字摘要与原文一起发送；③接收方将收到的原文应用单向Hash函数产生一个新的数字摘要；④将新数字摘要与发送方数字摘要进行比较。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

第三章质量认证原则及认证机构#见光碟（二）、主管部门：国家质量技术监督局（三）、认可机构：3C CQC CB1、中国强制认证（CCC）认证对涉及到的产品执行国家强制的安全认证。

主要内容概括起来有以下几个方面：(1). 按照世贸有关协议和国际通行规则，国家依法对涉及人类健康安全、动植物生命安全和健康，以及环境保护和公共安全的产品实行统一的强制性产品认证制度。

国家认证认可监督管理委员会统一负责国家强制性产品认证制度的管理和组织实施工作。

(2). 国家强制性产品认证制度的主要特点是，国家公布统一的目录，确定统一适用的国家标准、技术规则和实施程序，制定统一的标志标识，规定统一的收费标准。

凡列入强制性产品认证目录内的产品，必须经国家指定的认证机构认证合格，取得相关证书并加施认证标志后，方能出厂、进口、销售和在经营服务场所使用。

(3). 根据我国入世承诺和体现国民待遇的原则，这次公布的《第一批实施强制性产品认证的产品目录》覆盖的产品是以原来的进口安全质量许可制度和强制性安全认证及电磁兼容认证产品为基础，做了适量增减。

原来两种制度覆盖的产品有138种，此次公布的《目录》删去了原来列入强制性认证管理的医用超声诊断和治疗设备等16种产品，增加了建筑用安全玻璃等10种产品，实际列入《目录》的强制性认证产品共有132种。

(4). 国家对强制性产品认证使用统一的“CCC”标志。

中国强制认证标志实施以后，将逐步取代原来实行的“长城”标志和“CCIB”标志。

(5). 国家统一确定强制性产品认证收费项目及标准。

新的收费项目和收费标准的制定，将根据不以营利为目的和体现国民待遇的原则，综合考虑现行收费情况，并参照境外同类认证收费项目和收费标准。

(6). 新的强制性产品认证制度于2002年5月1日起实施，有关认证机构正式开始受理申请。

为保证新、旧制度顺利过渡，原有的产品安全认证制度和进口安全质量许可制度自2003年8月1日起废止。

《网络安全等级保护条例》网络安全等级保护条例第一章总则第一条为了规范网络安全等级保护工作，加强网络安全保护工作，防范网络安全风险，保障国家网络安全，制定本条例。

第二条本条例适用于中华人民共和国境内的网络安全等级保护工作。

第三条网络安全等级保护工作应当坚持依法依规、分类分级的原则。

第四条网络安全等级保护工作涉及的等级划分、评估认证、监测检测、防护应急等内容，应当按照国家相关的规定进行。

第五条国家、地方和相关部门应当加强网络安全等级保护工作的组织领导，推动网络安全等级保护工作的开展。

第六条国家网络安全主管部门应当负责网络安全等级保护工作的组织协调、规划指导、技术支持和监督检查。

第二章等级划分第七条网络安全等级划分应当依据国家网络安全等级保护基本要求和网络安全保护需求，结合信息系统和网络实际情况进行。

第八条网络安全等级划分应当从保护对象、危害程度、系统复杂性等方面进行综合评估。

第九条网络安全等级划分共分为国家安全等级、重大安全等级、一般安全等级和基础安全等级四个级别。

第十条国家安全等级适用于涉及国家安全、国家经济、国家信息等重要领域的网络和信息系统。

第十一条重大安全等级适用于涉及重要行业、关键信息基础设施等重要区域的网络和信息系统。

第十二条一般安全等级适用于一般企事业单位、社会组织等的网络和信息系统。

第十三条基础安全等级适用于个人、家庭等的网络和信息系统。

第三章评估认证第十四条网络安全等级的评估认证机构应当依据网络安全等级划分的要求，采用科学、公正、客观的原则进行评估认证。

第十五条网络安全等级的评估认证应当定期开展，涵盖对信息系统和网络的整体安全性、漏洞和风险评估等。

第十六条网络安全等级的评估认证结果应当及时通报评估对象，并纳入网络安全管理和监督检查中。

第四章监测检测第十七条网络安全等级的监测检测应当及时发现、防范和处置网络安全事件，确保信息系统和网络的安全运行。

第十八条网络安全等级的监测检测应当针对各个等级的网络和信息系统进行不同的监测方法和手段。