问答题试题二(共15分) 阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。 [说明] 某公司采用Windows Server 2003操作系统搭建该公司的企业网站，要求用户在浏览器地址栏必须输入https：／／www.gongsi.com／index．html 或 https：／／117．112．89．67／index．html来访问该公司网站。其中，index．html文件存放在网站所在服务器E：＼gsdata目录中。在服务器上安装完成IIS6．0后，网站的属性窗口[网站]、[主目录]选项卡分别如图2—1和图2—2所示。

问答题 [问题1](4分) 1．按照题目说明，图2—1中的“IP地址”文本框中的内容应为____(1)____；“SSL端口”文本框中的内容应为____(2)____。 2．在图2—2中，“本地路径”文本框中的内容应为____(3)____：同时要保障用户通过题目要求的方式来访问网站，必须至少勾选____(4)____复选框。 (4)备选答案 A．脚本资源访问 B．读取 C．写入 D．目录浏览

【正确答案】 (1)117．112．89．67 或者全部未分配 (2)443 (3)E：＼gsdata (4)B

【答案解析】试题二分析本题考查的是利用Windows Server 2003操作系统搭建安全的Web网站的相关知识。 [问题1] 本问题主要考查的是利用IIS搭建web站点的配置过程。在图2-1可从“IP地址”下拉框中指定一个IP地址或者输入用于访问该站点的IP地址。如果没有分配指定的IP地址，即选中“全部未分配”选项，那么此站点将响应分配给该服务器但没有分配给其他站点的所有IP地址，并使它成为默认网站的IP地址。“SSL端口”文本框是可选项目，用于指派与该网站标识相关联的SSL端口。默认的SSL端口号是443。只有使用SSL加密时才需要SSL端口号。题目要求用户在浏览器地址栏必须输入https：／／www.gongsi.com/index.html或https：//117．112．89．67／index．html来访问该公司网站。所以在图2-1中的“IP地址”文本框中的内容应为117．112．89．67或者全部未分配，“SSL端口”文本框中的内容应为443。另外，根据题目要求index．html文件存放在网站所在服务器E：＼gsdata目录中。所以在图2-2中所示的“主目录”选项卡中“本地路径”文本框中的内容应为“E：＼gsdata”，以指明网站首页文档的物理存放路径。为保障用户对网站的访问，在图2-2中应该至少勾选“读取”复选框，并单击“确定”或者“应用”按钮。

问答题 [问题2](6分) 1.配置该网站时，需要在如图2—3所示的[目录安全性]选项卡中单击[服务器证书]按钮来获取服务器证书。其中获取服务器证书的步骤顺序如下：①生成证书请求文件；②____(5)____；③从CA导出证书文件；④在IIS服务器上导入并安装证书。配置完成后，当用户登录该网站时，通过验证CA的签名来确认该数字证书的有效性，从而____(6)____，CA颁发给Web网站的数字证书中不包括____(7)____。

【正确答案】 (5)CA颁发证书 (6)A (7)D

【答案解析】 本问题主要考查的是配置安全的Web网站时的步骤。为了配置安全的Web网站，获取并安装服务器证书的步骤依次为：①从“管理工具”中进入“Internet服务管理器”，右击需要配置的站点，在弹出的快捷菜单中选择“属性”命令，接着单击“目录安全性”选项卡中的“安全通信”组件框中“服务器证书”按钮，通过IIS证书向导生成证书请求文件。②向证书颁发机构(CA)提交证书请求文件，证书颁发机构颁发相应的证书。③在申请证书的计算机浏览器上输入httpp：／／根CA的IP／certsrv，进入证书申请页面。单击“检查挂起的证书”链接，选择已经提交的证书申请。如果颁发机构已将证书颁发，则可单击“安装此证书”按钮，即从证书颁发机构导出证书文件。④在“目录安全性”选项卡中再次单击“安全通信”组件框中的“服务器证书”按钮。在IIS证书向导中进入“挂起的证书请求”页面，选择“处理挂起的请求，并安装证书”单选按钮，接着选择刚才导出的CER文件。完成在IIS服务器上导入并安装证书。⑤在“目录安全性”选项卡中单击“安全通信”组件框中的“编辑”按钮，打开“安全通信”对话框。在该对话框中可根据所需要的安全要求配置相应的身份验证方式和SSL安全通道。综上所述，为配置安全的Web网站，获取并安装服务器证书的步骤顺序如下：①生成证书请求文件；②CA颁发证书；③从CA导出证书文件；④在IIS服务器上导入并安装证书。数字证书能够验证一个实体身份，而这是在保证数字证书本身有效性的前提下才能够实现的。验证数字证书的有效性是通过验证CA的签名实现的。某网站向CA申请了数字证书，当用户登录该网站时通过验证CA对其的签名来确认该数字证书的有效性，从而验证该网站的真伪。CA颁发给网站的数字证书包含多项内容(如证书的版本号、序列号、网站的公钥、CA的签名、证书的有效期等)，但是不包括网站的私钥。

问答题 [问题3](2分) 配置该网站时，在图2-3所示的窗口中单击[安全通信]栏目中的[编辑]按钮，弹出如图2-4所示的窗口。按照题目要求，客户端浏览器只能通过HTTPS方式访问服务器，此时应勾选图2-4中的____(8)____框。如果要求客户端和服务器进行双向认证，此时应该勾选图2-4中的____(9)____框。

【正确答案】 (8)要求安全通道(SSL) (9)要求客户端证书

【答案解析】 本问题主要考查配置安全的Web网站的过程。配置安全的Web站点时，在图2-3中的“目录安全性”选项卡中单击“安全通信”组件框中的“编辑”按钮，系统将打开图2-4中“安全通信”对话框。如果要求客户只能通过使用HTTPS服务访问该网站，则应该选中“要求安全通道(SSL)”复选框。在“客户端证书”下，选择以下某一选顶以启用客户端证书验证：接受客户端证书，用户可以使用客户端证书访问资源，但证书并不必需。若要求客户端证书，则服务器在将用户与资源连接之前要请求客户端证书，将拒绝没有有效客户端证书的用户的访问。若忽略客户端证书，无论用户是否拥有证书，都将被授予访问权限。如果要求客户端和服务器进行双向认证，则应该选中“要求客户端证书”复选框。

问答题 [问题4](2分) HTTPS用于在客户计算机和服务器之间提供安全通信，广泛用于因特网上安全敏感的应用，例如____(10)____应用。 HTTPS使用安全套接字层(SSL)进行信息交换。SSL目前的版本是3．0，被IETF定义在RFC 6101中。IETF对SSL进行升级后的继任者是____(11)____。 (10)备选答案如下： A．网络聊天 B．网络视频 C．网上交易 D．网络下载

【正确答案】 (10)C (11)TLS或者Transport Layer Security

【答案解析】 本问题主要考查的是HTTPS的基本知识。 Https是基于安全目的的Http通道，其安全基础由SSL层来保证。最初由netscape公司研发，主要提供了通讯双方的身份认证和加密通信方法。现在广泛应用于互联网上对安全敏感的通讯，如网上交易、在线支付等。安全套接层(Secure Sockets Layer，SSL)，一种安全协议，是网景公司(Netscape)在推出Web浏览器首版的同时提出的，目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。 SSL采用公开密钥技术，保证两个应用问通信的保密性和可靠性，使客户与服务器应用之间的通信不被攻击者窃听。它在服务器和客户机两端可同时被支持，目前己成为互联网上保密通讯的工业标唯。现行Web浏览器亦普遍将HTTP和SSL相结合，从而实现安全通信。此协议的继任者是TLS。 IETF(www.ietf.org)将SSL作了标难化，即RFC2246，并将其称为TLS(Transport Layer Security)，其最新版本是RFC5246，版本1．2。从技术上讲，TLS 1．0与SSL 3．0的差异非常微小。TLS利用密钥算法在互联网上提供端点身份认证与通讯保密，其基础是公钥基础设施(public key infrastructure，PKI)。

问答题 [问题5](1分) 使用HTTPS能不能确保服务器自身的安全?

【正确答案】 不能

【答案解析】 Https的限制主要是它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持。这里面一种常见的误解是“银行用户在线使用https：就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被末授权用户攻击和损害。因此使用HTTPS不能确保服务器自身的安全。