【正确答案】正确答案：①防火墙能够防止外网未经授权访问内网，能够防止外网对内网的攻击，也能防止内网未经授权访问外网，仅使用防火墙不能有效地防止内网的攻击 ②入侵检测系统能够实时应对来自内网已知的攻击，对来知的攻击检测能力较弱，且存在误报率高的缺点 ③安全扫描能够及时发现安全漏洞，但依赖于相关数据库的实时更新，且不能采取主动防护措施 ④日志审计能够在事件发生时或事件发生后发现安全问题，有助于追查责任，定位故障，恢复系统，但无法在事前发现可能的攻击

【答案解析】解析：这是一道要求读者掌握防火墙、入侵检测、安全扫描、日志审计系统等常见的网络安全防护技术的应用场合，以及其限制与约束的分析理解题。 保证电子政务的安全运行是电子政务构建与运作过程中的首要问题和核心问题。在本试题中只是列举出了这些技术手段的名称，并没有详细地展开说明，因此对答案的构思需要读者能够根据平时的学习和掌握的知识来总结。对于本题的解答需要读者掌握的知识点如表5-17所示。

【正确答案】正确答案：张工方案不能解决政务网中的认证、机密性、完整性和抗抵赖性问题 ①身份认证能够实现通信或数据访问中对对方身份的认可，便于访问控制，授权管理 ②机密性防止信息在传输、存储过程中被泄漏 ③完整性防止对数据进行未授权的创建、修改或破坏，避免通信双方数据一致性受到损坏 ④抗抵赖性有助于责任追查

【答案解析】解析：这是一道要求读者掌握PKI技术在认证、机密性、完整性、抗抵赖性方面的优点的综合分析题。本题解答过程中所涉及的知识点如下。 ①在本试题中提到“李工认为张工的方案不够全面，还应该在张工提出的方案基础上，使用PKI技术，进行认证、机密性、完整性和抗抵赖性保护”，明确地说明了公钥基础设施(Public Key Infrastructure， PKI)技术主要的适用性，同时也说明防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统都不能全面解决政务网中的认证、机密性、完整性和抗抵赖性问题。 ②PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施，是国际公认的互联网电子商务的安全认证机制。它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密及数字签名服务的统一的技术框架。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们能够在这个无法直接相互面对的环境中确认彼此的身份和所交换的信息。 ③典型实用的PKI系统主要由认证机构(CA)、注册机构(RA)、证书库、密钥备份及恢复、PKI客户端等组成。其中，证书颁发机构(CA)作为PKI核心的认证中心，由CA签发的证书是网上用户的电子身份标识；注册机构(RA)则是用户与认证中心的接口，其主要功能是核实证书申请者的身份，它所获证书的申请者身份的准确性是CA颁发证书的基础；证书库用来存放经CA签发的证书和证书注销列表 (CRL)，为用户和网络应用提供证书及验证证书状态；密钥备份及恢复是密钥管理的主要内容，避免用户由于某些原因将解密数据的密钥丢失，从而使已被加密的密文无法解开的现象，当用户证书生成时，加密密钥即被CA备份存储，当需要恢复时，用户只需向CA提出申请，CA就会为用户自动进行恢复；PKI客户端的主要功能是使各种网络应用能够以透明、安全、一致、可信的方式与PKI交互，从而使用户能够方便地使用加密、数字签名等安全服务。 ④PKI技术体系作为支持认证、完整性、机密性和抗抵赖性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。其中，PKI通过数据证书进行身份认证。证书是一个可信的第三方证明，通过它可以使通信双方安全地进行互相认证，而不用担心对方是假冒的。可见，PKI的身份认证可实现通信或数据访问中对对方身份的认可，便于访问控制，授权管理。 ⑤PKI技术体系可以在认证的基础上协商一把会话密钥，并用它加密通信数据。因此在电子政务的网络中，密钥恢复是密钥管理的一个重要方面。PKI能够通过良好的密钥恢复能力，提供可信的、可管理的密钥恢复机制，从而保证网上活动的健康有序发展。可见，PKI的机密性可用于防止信息在传输、存储过程中被泄漏。 ⑥完整性与抗抵赖性是PKI提供的最基本的服务。一般来说，完整性也可以通过双方协商一个秘密来解决，但当一方有意抵赖时，这种完整性就无法接受第三方的仲裁。而PKI提供的完整性是可以通过第三方仲裁的，并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的。“不可否认”可通过PKI数字签名机制来完成。可见，完整性用于防止对数据进行未授权的创建、修改或破坏，避免通信双方的数据不一致；抗抵赖性有助于事件责任的追查。

【正确答案】正确答案：①对所有系统的有关设计、开发、使用、维护、管理等人员进行必要的安全教育，使大家认识到信息安全的重要性 ②在系统的设计、建设、运行阶段都要投入大量的资金，需充分咨询相关领域的专家 ③在系统的设计、建设、运行阶段，需要对不同的设计、开发、使用、管理、维护等人员进行针对性的培训 ④相关法律与法规制度的建立、执行与监督

【答案解析】解析：本问题要求读者能够对实施PKI时会遇到的非技术方面的阻力有清晰的认识，并简要进行描述。本题解答过程中所涉及的知识点如下。 ①对所有系统的有关设计、开发、使用、维护、管理等人员进行必要的安全教育，使大家认识到信息安全的重要性。 ②由于在系统的设计、建设、运行阶段都要投入大量的资金，因此需要充分咨询相关领域的专家。 ③在系统的设计、建设、运行阶段，需要对不同的设计、开发、使用、管理、维护等人员进行针对性的培训。 ④相关法律与法规制度的建立、执行与监督。

【正确答案】正确答案：FCSAN使用专用光纤通道设备，IPSAN使用通用的IP网络及设备，因此 FCSAN与IPSAN相比传输速度高，但价格比IPSAN高 相对于IPSAN，FCSAN可以承接更多的并发访问用户数，且在稳定性、安全性及高性能等方面有较大优势 基于iSCSI标准的IPSAN提供了initiator与目标端两方面的身份验证(使用CHAP、SRP、 Kerberos和SPKM)，能够阻止未经授权的访问，只允许那些可信赖的节点进行访问，可通过IPSec协议确保其数据的安全性，且IP SAN比FC SAN具有更好的伸展性

【答案解析】解析：存储区域网络(SAN)是一个由存储设备和系统部件构成的网络。所有的通信都在一个与应用网络隔离的单独的网络上完成，可以被用来集中和共享存储资源。实现SAN的硬件基础设施的是光纤通道，用光纤通道构筑的SAN由3部分构成：存储和备份设备(包括磁带库、磁盘阵列和光盘库等)、光纤通道网络连接部件(包括主机总线适配卡(HBA)、驱动程序、光缆(线)、集线器、交换机、光纤通道与SCSI间的桥接器(Bridge)等)和应用和管理软件(包括备份软件、存储资源管理软件和设备管理软件)。 SAN置于LAN之下，而不涉及LAN。利用SAN不仅可以提供大容量的存储数据，而且地域上可以分散，并缓解了大量数据传输对局域网的影响。SAN的结构允许任何服务器连接到任何存储阵列，不管数据放置在哪里，服务器都可以直接存取所需的数据。 相对于传统的存储架构，SAN不必宕机或中断与服务器的连接即可增加存储，还可以集中管理数据，从而降低总体拥有成本。利用协议技术，SAN可以有效地传输数据块。通过支持在存储和服务器之间传输海量数据块，SAN提供了数据备份的有效方式。 SAN分为FCSAN、IPSAN和IBSAN等。其中，FCSAN使用专用光纤通道设备，IPSAN使用通用的IP网络及设备，因此FCSAN与IPSAN相比传输速度高，但价格比IPSAN高。 从应用上来说，相对于IPSAN，FCSAN可以承接更多的并发访问用户数。当并发访问存储的用户数不多时，FCSAN与IPSAN两者的性能相差无几。但一旦外接用户数呈大规模增长趋势，FCSAN就显示出其在稳定性、安全性及高性能等方面的优势。在稳定性方面，由于FCSAN使用高效的光纤通道协议，因此大部分功能都是基于硬件来实现的。例如，后端存储子系统的存储虚拟通过带有高性能处理器的专用 RAID控制器来实现，中间的数据交换层通过专用的高性能ASIC来进行基于硬件级的交换处理，在主机端通过带有ASIC芯片的专用HBA来进行数据信息的处理。因此在大量减少主机处理开销的同时，也提高了整个FCSAN的稳定性。在安全性方面，FCSAN是服务器后端的专用局域网络，安全性比较高。 采用IPSAN可以将SAN为服务器提供的共享特性及IP网络的易用性很好地结合在一起，且为用户提供了类似于服务器本地存储的高性能体验。iSCSI是实现IPSAN最重要的技术。在iSCSI出现之前，IP网络与块模式(主要是光纤通道)是两种完全不兼容的技术。由于iSCSI是运行在TCP/IP之上的块模式协议，它将IP网络与块模式的优势很好地结合起来，使得IPSAN的成本低于FCSAN。 基于iSCSI标准的IPSAN提供了initiator与目标端两方面的身份验证(使用CHAP、SRP、Kerberos和SPKM)，能够阻止未经授权的访问，只允许那些可信赖的节点进行访问，可通过IPSec协议确保其数据的安全性。 由于IP技术的普及和发展，利用iSCSI技术搭建的IPSAN可以随着网络延伸至全球任意一个角落，从根本上解决了信息孤岛的问题。甚至可以通过IPSAN来连接各个FCSAN的孤岛，因此IPSAN比FC SAN具有更好的伸展性。