电子商务安全与管理复习资料
- 格式:doc
- 大小:75.00 KB
- 文档页数:9
第1章 概论1、电子商务安全问题主要涉及哪些方面? p5答:信息的安全问题、信用的安全问题、安全的管理问题、安全的法律问题。
2、电子商务系统安全由系统有哪些部分组成? p7答:实体安全、系统运行安全、系统信息安全。
3、电子商务安全的基本需求包括哪些? P16答:保密性、完整性、认证性、可控性、不可否认性。
4、电子商务安全依靠哪些方面支持? P17答:技术措施、管理措施、法律环境。
5、什么是身份鉴别,什么是信息鉴别? p15答:所谓身份鉴别,是提供对用户身份鉴别,主要用于阻止非授权用户对系统资源的访问。
信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。
第2章 信息安全技术1、信息传输中的加密方式主要有哪些? P27答:链路-链路加密、节点加密、端-端加密。
2、简述对称加密和不对称加密的优缺点。
P35 p40答:(1)对称加密优点:由于加密算法相同,从而计算机速度非常快,且使用方便、 计算量小 、加密与解密效率高。
缺点:1)密钥管理较困难;2)新密钥发送给接收方也是件较困难的事情,因为需对新密钥进行加密;3)其规模很难适应互联网这样的大环境。
(2)不对称加密优点:由于公开密钥加密必须由两个密钥的配合使用才能完成加密和解密的全过程,因此有助于加强数据的安全性。
缺点:加密和解密的速度很慢,不适合对大量的文件信息进行加密。
3、常见的对称加密算法有哪些? P35答:DES、AES、三重DES。
4、什么是信息验证码,有哪两种生成方法? P36答:信息验证码(MAC)校验值和信息完整校验。
MAC是附加的数据段,是由信息的发送方发出,与明文一起传送并与明文有一定的逻辑联系。
两种生成方式:1)j基于散列函数的方法;2)基于对称加密的方法。
5、如何通过公开密钥加密同时实现信息的验证和加密?P39答:1)发送方用自己的私有密钥对要发送的信息进行加密,得到一次加密信息。
2)发送方用接收方的 公开密钥对已经加密的信息再次加密;3)发送方将两次加密后的信息通过 网络传送给接收方;4)接收方用自己的私有密钥对接收到的两次加密信息进行解密,得到一次加密信息;5)接收方用发送方的公开密钥对一次加密信息进行解密,得到信息明文。
1、风险评估:风险识别工作结束以后,要利用适当的风险测量方法、工具确定风险的大小与风险等级,这就是风险评估过程2、诚信:字面的解释就是诚实守信、狭义的诚信取“诚”与“信”内涵中相互包含的成分、即诚实无欺和遵守承诺。
广义的诚信涵盖了“诚”与“信”所涉及的几乎所有内容、是从道德主体的内在德行和外化行为的双重视角赋予诚信以更宽泛和全面的内容3、公钥基础设施:又叫公钥体系、是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范、用户可利用PKI平台提供的服务进行安全通信4、操作系统安全:指要对电子商务系统的硬件和软件资源实行有效的控制、为所管理的资源提供相应的安全保护5、网络层安全:指的是对一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护6、防火墙:是网络安全的第一道屏障、保障网络安全的第一个措施往往是安装和应用防火墙、防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统7、非对称加密:非对称密钥又叫公开密钥加密,需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加密8、应用层安全:指的是建立在某个特定的应用程序内部、不依赖于任何网络层安全措施而独立运行的安全措施9、信息安全:是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨别、控制、即信心安全要确保信息的完整性、保密性、可用性和可控性10、系统实体安全:指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。
11、认证中心:是电子商务安全中的关键环节,也是电子交易中信赖的基础,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份等工作的具有权威性、可依赖性和公正性的第三方机构12、虚拟专用网(VPN):是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式13、数字签名:是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项、借助数字签名可以确定消息的发送方、同时还可以确定信息自发出后未被修改过14、入侵检测:就是对入侵行为的发觉,通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象15、计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据,影响计算机使用并能够自我复制的一组计算机指令或者程序代码16、证书策略CP与证书实施说明CPS:CP是指一套指定的规则,用于说明满足一般安全性要求的数字证书在某个特定的团体里和(或)某一类应用程序中的应用能力。
电子商务安全复习在当今数字化的时代,电子商务已经成为我们生活中不可或缺的一部分。
从在线购物到金融交易,从社交媒体到数字服务,电子商务的触角几乎延伸到了我们生活的每一个角落。
然而,随着电子商务的迅速发展,安全问题也日益凸显。
对于电子商务从业者和消费者来说,了解电子商务安全的相关知识,掌握有效的防范措施,是至关重要的。
接下来,让我们一起对电子商务安全进行一次全面的复习。
一、电子商务安全的重要性电子商务安全不仅仅是技术问题,更是关系到企业的生存和发展,以及消费者的信任和权益。
对于企业来说,如果其电子商务平台遭受攻击,导致客户数据泄露、交易中断或者资金损失,不仅会面临巨大的经济损失,还可能损害企业的声誉,失去客户的信任,从而在激烈的市场竞争中处于不利地位。
对于消费者来说,个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题,给生活带来极大的困扰和损失。
因此,保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。
二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。
包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击(DoS)等。
黑客可以通过攻击电子商务网站,窃取用户数据、篡改交易信息或者破坏系统正常运行。
病毒和恶意软件则可能潜伏在用户的设备中,窃取敏感信息或者监控用户的操作。
DoS 攻击则通过大量的无效请求导致网站瘫痪,使正常的交易无法进行。
2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。
在电子商务中,用户的个人信息(如姓名、地址、电话号码、信用卡信息等)、交易记录等都是重要的数据。
如果这些数据被泄露,可能被用于欺诈、身份盗窃等非法活动。
3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息,并以其名义进行非法活动。
在电子商务中,攻击者可能通过窃取用户的登录凭证、伪造身份等方式,进行虚假交易、骗取财物等。
4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。
第一章电子商务安全概论一、电子商务安全要素有效性:EC以电子信息取代纸张,如何保证电子形式贸易信息的有效性则是开展EC 的前提。
机密性:EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密完整性:由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
可靠性:指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误不可否认性:信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息二、电子商务安全问题a)黑客攻击问题:主动、被动b)软件的漏洞和“后门”:操作系统、数据库、IE等c)网络协议的安全漏洞:Telnet、FTP等HTTPd)病毒的攻击:良性/恶性、单机/网络三、常见的攻击技术1:信息收集型攻击:主要采用刺探、扫描和监听地址扫描,端口扫描,体系结构探测,DNS域名服务,LDAP服务,伪造电子邮件2:利用型攻击:利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。
口令猜测,特洛伊木马,缓冲区溢出3:拒绝服务攻击:拒绝服务目的在于使系统瘫痪,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
死亡之ping,泪滴,UDP洪水,电子邮件炸弹四、电子商务安全体系结构第二章信息加密技术与应用一、加密技术发展过程古代密码:古代的行帮暗语、文字游戏等古典密码:替代密码、转轮密码近现代密码:对称、非对称密码二、常见古典密码算法,希腊密码、凯撒密码希腊密码:密文:2315313134明文:HELLO凯撒密码:把每个英文字母向前推移K位A B C D E F G …… X Y ZD E F G H I J …… A B C明文:Jiangxi Normal University密文:mldqjal qrupdo xqlyhuvlwb三、对称称密码体系概念、特点,DES算法的过程概念:即加密密钥与解密密钥相同的密码体制,这种体制中只要知道加(解)密算法,就可以反推解(加)密算法。
EC安全现状一、填空题1、电子商务安全的基本要求包括:保密性、认证性、完整性、可访问性、防御性、不可否认性和合法性,其中保密性、完整性和不可否认性最为关键。
2、信息安全的三个发展阶段是:数据安全、网络安全和交易安全。
3、交易安全的三个主要方面包括:可信计算、可信连接、可信交易。
4、在电子商务系统中,在信息传输过程中面临的威胁:中断(interruption )、截获(interception )、篡改(modification )和伪造(fabrication)5、电子商务信息存储过程中面临的威胁非法用户获取系统的访问控制权后,可以破坏信息的保密性、真实性和完整性。
6、以可信计算平台、可信网络构架技术实现,对BIOS、OS等进行完整性测量,保证计算环境的可信任,被称为可信计算(trusted computing)7、以活性标签技术或标签化交换技术实现,对交易过程中的发信、转发、接收提供可信证据,被称为可信连接(trusted connecting)8、为交易提供主体可信任、客体可信任和行为可信任证明,被称为可信交易(trusted transaction)9、 ISO对OSI的安全性进行了深入的研究,在此基础上提出了OSI安全体系。
定义了安全服务、安全机制和安全管理等概念。
其中对象认证(entity authentication)、访问控制(access control)、数据保密性(data confidentiality)、数据完整性(data integrity)和不可抵赖(no-repudiation)是属于安全服务范畴10、 ISO对OSI的安全性进行了深入的研究,在此基础上提出了OSI安全体系。
定义了安全服务、安全机制和安全管理等概念。
其中数据加密、数字签名、数据完整性、鉴别交换、路由控制、防业务流分析、公证属于安全机制范畴二、判断题1、密码安全是通信安全的最核心部分,由技术上提供强韧的密码系统及其正确应用来实现。
电子商务安全管理期末复习题1、常用的网络安全技术有哪些?(20分)安全交易技术,信息加密技术,数字签名,病毒防护技术,身份识别技术,防火墙技术,入侵检测系统,网络安全管理策略。
2、对称密码体制的优缺点是什么?(20分)优点:计算量小,加密速度快,加密和解密数据使用同一个密钥。
缺点:容易引起密钥泄密和信息失密,它存在着通信的贸易双方之间确保密钥安全交换的问题。
此外,某一贸易方有几个贸易关系,它就要维护几个专用密钥,也没法鉴别贸易发起方或贸易最终方,因为贸易的双方的密钥相同。
另外,由于对称加密系统仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
3、什么是计算机病毒?(20分)计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体插入它们中,从而感染它们。
”国外对计算机病毒最流行的定义为:“计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。
计算机病毒通常包括引导模块、传染模块、破坏行动模块。
存储介质上的计算机病毒,在没有加载在内存中处于运行状态时,不具备传染性和破坏性,因此对系统的安全不构成危害。
4、数字证书的概念是什么?(20分)数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,其作用类似于司机的驾驶执照或日常生活的身份证。
它是由一个权威机构--CA机构,又称为证书授权中心发行的,人们可以在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
5、什么是防火墙?(20分)为了防范不可信用户利用Internet入侵内部网,保护内部网不受外来入侵的攻击,人们在Internet与内部网之间设置一个安全网关,在保持内部网与Internet连通性的同时,对进入内部网的信息流实行控制, 只转发可信的信息流, 而拒绝不可信信息流的进入。
20XX年复习资料大学复习资料专业:班级:科目老师:日期:20XXXX-20XXXX二电子商务安全复习提纲第1章电子商务安全基础知识第1节电子商务安全概述一、电子商务安全的概念电子商务是利用计算机网络所进行的商务活动。
因此,电子商务的安全问题除了作为商务活动本身所存在的风险外,本课程主要介绍由于计算机网络的应用所带来的安全问题。
电子商务的关键是商务信息电子化。
因此,电子商务的安全性问题的关键是计算机信息的安全性(一)对电子商务安全的要求(二)信息安全的要求及发展1、20XX世纪90年代以前——通信保密(COMSEC)时代该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。
2、20XX世纪90年代——信息安全(INFOSEC)时代数字化信息除了有保密性的需要外,还有信息的完整性、信息和信息系统的可用性需求。
因此,该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。
3、90年代后期起——信息安全保障(IA)时代该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。
并且需要对整个信息和信息系统的保护和防御,包括对信息的保护、检测、反应和恢复能力。
由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念,即信息保障的WPDRR模型。
二、电子商务安全的需求特征l 保密性l 完整性l 不可否认性l 认证性l 可用(访问)性l 可控性l 可审查性l 合法性三、电子商务安全问题(一)电子商务安全问题的根源1、自身缺陷2、网络开放性3、管理问题(二)电子商务安全问题1、网络传输安全:信息被泄密、篡改或假冒2、网络运行安全(服务器或客户机被攻击等):网络的缺陷、管理的欠缺、黑客的攻击3、系统安全:系统软件的漏洞和后门、系统故障、崩溃四、网络安全体系与黑客攻击(一)电子商务安全特征与防御体系结构信息传输系统安全网络运行安全防范技术保密性×防止电磁泄漏、加密技术完整性×单向加密、备份可控性××防火墙、监测、权限、审计认证性××数字签名、身份认证不可否认性×数字签名可用性××容错、容灾、防攻击(二)黑客攻击流程第2节电子商务的安全保障一、安全策略(一)信息加密策略1、网络加密常用的方法有链路加密、端点加密和节点加密三种。
•第1章:TCP/IP协议简介1.TCP/IP协议体系结构(各层协议)①应用层:仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP②传输层:TCP(传输控制协议)、UDP(用户数据报协议)③网络层:网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消息协议ICMP2.局域网工作原理(Ip地址和Mac地址的变换)以太网的基本工作原理工:①载波监听:当一个站点要向另一个站点发送信息时,先监听网络信道上有无信息在传输,信道是否空闲。
②信道忙碌:如果发现网络信道正忙,则等待,直到发现网络信道空闲为止。
③信道空闲:如果发现网路信道空闲,则向网上发送信息。
由于整个网络信道为共享总线结构,网上所有站点都能够收到该站点所发出的信息,所以站点向网络发送信息也称为“广播”。
④冲突检测:站点发送信息的同时,还要监听网络信道,检测是否有另一台站点同时在发送信息。
如果有,两个站点发送的信息会产生碰撞,即产生冲突,从而使数据信息包被破坏。
⑤遇忙停发:如果发送信息的站点检测到网上的冲突,则立即停止发送,并向网上发送一个“冲突”信号,让其他站点也发现该冲突,从而摒弃可能一直在接收的受损的信息包。
⑥多路存取:如果发送信息的站点因“碰撞冲突”而停止发送,就需等待一段时间,再回到第一步,重新开始载波监听和发送,直到数据成功发送为止。
第2章:网络安全基础1.计算机网络安全的定义网络安全的学术定义为:通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性,并对信息的传播及内容有控制能力。
2.逻辑炸弹的定义在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。
在一般情况下,网络处于正常工作状态,一旦到了某个预定的日期,程序便自动跳到死循环程序,造成四级甚至网络瘫痪。
3.遥控旁路的定义除了给用户提供正常的服务外,还将传输的信息送给设定的用户,这就是旁路,这种情况非常容易造成信息的泄密。
电子商务安全与管理期末复习题型: 1. 选择题(30分:1.5分1题,共20题)2. 判断并说明理由题(28分:4分1个,共7题。
其中判断对错占2分,简要说明理由占2分)3. 简答题(30分:6分1题,共5题)4. 综合分析题(12分:6分1题,共2题)1、电子商务涉及的安全问题有哪些?P4-6A. 信息的安全问题:冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信用的安全问题:来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况C. 安全的管理问题D. 安全的法律保障问题2、电子商务系统安全的三个组成部分。
P74、电子商务的安全保障主要由哪三方面去实现?P17-22技术措施①信息加密技术:保证数据流安全,密码技术和非密码技术②数字签名技术:保证完整性、认证性、不可否认性③TCP/IP服务:保证数据完整传输④防火墙的构造选择:防范外部攻击,控制内部和病毒破坏管理措施①人员管理制度:严格选拔落实工作责任制贯彻EC安全运作三项基本原则:多人负责、任期有限、最小权限②保密制度不同的保密信息有不同的安全级别③跟踪、审计、稽核制度跟踪:自动生成系统日志审计:对日志进行审计(针对企业内部员工)稽查:针对企业外部的监督单位④系统维护制度硬件和软件⑤数据容灾制度⑥病毒防范制度⑦应急措施法律环境《中华人民共和国电子签名法》5、风险分析和审计跟踪的主要功能P10-11风险分析:a.设计前:根据分析系统固有的脆弱性,旨在发现系统设计前的潜在风险。
b.运行前:根据系统运行期的运行状态和结果,分析潜在安全隐患。
c.运行期:根据系统运行记录,跟踪系统状态的变化,分析运行期的安全隐患。
d.运行后:分析系统运行记录,为改进系统的安全性提供分析报告。
审计跟踪:a.记录和跟踪各种系统状态的变化。
b.实现对各种安全事故的定位。
c.保存、维护和管理审计日志1、信息传输中的五种常见加密方式。
P27①链路-链路加密②节点加密③端-端加密④A TM网络加密⑤卫星通信加密链路-链路加密与端端加密区别:2、对称加密的原理及其优缺点,常见对称密码算法有DES,AES,三重DES,Rivest 密码,对称加密密钥的传输可使用RSA密钥传输法。
第一章1.电子商务的安全需求电子商务的安全需求包括两方面:电子交易的安全需求(1)身份的可认证性在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。
(2)信息的保密性要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。
(3)信息的完整性交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。
(4)不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
(5)不可伪造性电子交易文件也要能做到不可修改计算机网络系统的安全一般计算机网络系统普遍面临的安全问题:(1)物理实体的安全设备的功能失常电源故障由于电磁泄漏引起的信息失密搭线窃听(2)自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。
(3)黑客的恶意攻击所谓黑客,现在一般泛指计算机信息系统的非法入侵者。
黑客的攻击手段和方法多种多样,一般可以粗略的分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
(4)软件的漏洞和“后门”(5)网络协议的安全漏洞(6)计算机病毒的攻击计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
”——《中华人民共和国计算机信息系统安全保护条例》2.电子商务安全技术分为两类计算机网络安全计算机网络设备安全、计算机网络系统安全、数据库安全等。
其特征是针对计算机网络本身可能存在的安全问题, 实施强大的网络安全监控方案, 以保证计算机网络自身的安全性。
▪常用的网络安全技术:安全评估技术、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。
电子商务安全与管理总结名词解释密文:是明文经加密变换后的结果即消息被加密处理后的形式通常用c表示。
加密算法:是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程,通常用E表示即c=Ek(p)对称密码体制:也称为秘密密钥密码体制、单密钥密码体制或常规密码体制 对称密码体制的基本特征是加密密钥与解密密钥相同。
Hash函数:Hash简单点讲就是把任意一段数据经过某种算法生成一段唯一的固定长题误用检测:也叫特征检测,它假设入侵者活动可以用一种模式来表示,然后将观察对象与之比较,判别是否符合这些模式。
数字证书:就是互联网通信中标志通信各方身份信息的一系列数据,提供了一种在Internet 上验证匿名身份的方式。
CA:简答题1.防火墙应五大基本任务:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警2.防火墙有哪些局限性:不能防范恶意的知情者;防火墙不能防范不通过它的连接;防火墙不能防备全部的威胁;防火墙不能防范病毒;①限制有用的网络服务②防火墙防外不防内③Internet防火墙无法防范通过防火墙以外的其他途径的攻击④防火墙不能完全防止传送感染病毒的软件或文件⑤防火墙不能防止新的网络安全问题3.评估防火墙的抗攻击能力抗IP假冒攻击;抗特洛伊木马攻击;抗口令字探寻攻击;抗网络安全性分析;4.PKI技术可运用领域即公钥基础设施,包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
PKI技术可运用于众多领域,其中包括虚拟专用网络VPN,安全电子邮件,Web交互安全及倍受瞩目的电子商务安全领域。
5.在Internet上进行欺骗有哪些模式采用假的服务器来欺骗用户的终端;采用假的用户来欺骗服务器;在信息的传输过程中截取信息;在Web服务器及Web用户之间进行双方欺骗。
6.SET支付消息包括哪些?7.电子商务系统安全三部分?有三个层:1)网络层安全服务标准:网络层的安全使用IPsec方案2)传输层的安全服务:①安全套接层协议(security socket layer SSL)②传输层安全(transport layer secrity TLS)3)应用层安全服务:应用层安全使用S-HTTP,SET,Kerberos、S/MIME、PEM等方案8.信息的安全的五方面安全内容?信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
电子商务安全与管理资料1、判断(10分)填空(10分)名词解释(10小题,共20分)简答题(10小题,40分)材料分析(1小题,20分)第一章电子商务安全导论1)完整性:防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改。
2)电子商务系统安全:从计算机信息系统的角度来阐述电子商务系统的安全,认为电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全这三个部分组成。
3)认证性:确保交易信息的真实性和交易双方身份的合法性。
4)电子商务安全保障:电子商务安全需要一个完整的保障体系,应当采用综合防范的思路,从技术、管理、法律等方面去认识、去思考,并根据我国的实际和国外的经验,提出行之有效的综合解决的办法和措施。
5)可控性:保证系统、数据和服务能由合法人员访问,保证数据的合法使用。
6)保密性:保护机密信息不被非法取存以及信息在传输过程中不被非法窃取7)不可否认性:有效防止通信或交易双方对已进行的业务的否认。
1.电子商务的安全涉及哪些问题?①信息的安全问题。
如冒名顶替,篡改数据,信息丢失,信息传递出问题。
②信用的安全问题。
如自买方的信用安全问题,来自卖方的信用安全问题买卖双方都存在抵赖的情况③安全的管理问题④安全的法律保障问题2.什么是实体安全?具体由哪些部分组成?实体安全,指保护计算机设备、设施(含网络)以及其他媒体免遭地震、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。
由三方面组成:(1)环境安全(2)设备安全(3)媒体安全3、什么是媒体数据安全?媒体数据安全涉及哪些安全功能?媒体数据安全主要是提供对媒体数据的保护,实施对媒体数据的安全删除和媒体的安全销毁,目的是为了防止被删除或者被销毁的敏感数据被他人恢复。
主要涉及三个方面的功能。
1)媒体数据的防盗,如防止媒体数据被非法拷贝。
2)媒体数据的销毁,包括媒体的物理销毁和媒体数据的彻底销毁,防止媒体数据删除或销毁后被他人恢复而泄露信息。
《电子商务安全》复习资料一、填空题1.电子商务安全必须解决的问题是:信息的机密性、信息认证、用户身份认证、可靠性、可控性和不可抵赖性。
2.电子商务的安全威胁有:入侵网络数据库、生成虚假交易数、买方不付款或延迟付款、卖方不发货或延误交货、阻塞通道、独占资源等。
3.电子商务安全体系包括:安全电子商务支付机制、安全电子商务交易协议、密码技术、安全操作系统、安全数据库系统、安全物理设备。
4.身份认证技术有:个人ID、口令、生物特征、智能卡身份认证、KEBEROS身份认证等。
5.安全网络协议,包含安全的TCP/IP协议、SSL协议、HTTP超文本传输协议、IPSEC协议和S/MIME消息传送协议。
6.密码学包含的两门学科是:密码学和密码分析学。
7.密码技术为电子商务提供的服务有:秘密性、不可否认、验证、完整性。
8.公钥加密体制的典型代表是RSA,它的加密密钥和解密密钥不同;私钥加密体制的典型代表是DES,它的加密密钥和解密密钥相同。
9.DES密码系统是一种:分组密码、是为二进制编码数据设计的、可以对计算机数据惊进行密码保护的数学变换。
10.RSA算法的实施步骤为:密钥生成、加密过程和解密过程,其的安全性取决于密钥的长度。
11.数字签名是建立在公开密钥算法、对称密钥和单向散列函数基础上的。
12.信息保密通过加密技术来实现,信息认证通过认证技术来实现。
13.防火墙是用来加强INTERNETHE和INTRANET之间的安全防范。
14.防火墙结构主要包括5个部:安全操作系统、过滤器、网关、域名服务和E —mail处理。
15.一个完整的PKI应用系统至少应具有:认证中心、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口等功能。
16.PKI的互操作信任模型包括:域间交叉认证、桥CA体系和可信第三方认可模型。
17.数字水印从外观上可分为可见水印和不可见水印。
18.数字水印一般主要应用在数字作品的知识版权保护和商务交易中的票据防伪中。
一、TCP/IP协议,及其常见端口及协议TCP/IP,即传输控制协议/网际互连协议,它把整个计算机通信网划分为应用层、运输层、网际层、网络接口层。
按照这种层次划分的通信模式如图所示。
TCP/IP在运输层包括两个协议TCP和UDP:用户数据报协议UDP 传输控制协议TCP二、防火墙的实现方式1、包过滤路由器:作为内外网连接的唯一通道,要求所有的报文都必须在此通过检查。
2、双宿主机:在被保护网络和Internet之间设置一个具有双网卡的堡垒主机,IP层的通信完全被阻止,两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成3、屏蔽主机:一个分组过滤路由器连接外部网络,同时一个运行网关软件的堡垒主机安装在内部网络。
通常在路由器上设立过滤规则,使这个堡垒主机成为从外部唯一可直接到达的主机。
4、屏蔽子网:是最安全的防火墙系统,它在内部网络和外部网络之间建立一个被隔离的子网,在很多实现中,两个分组过滤路由器放在子网的两端,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。
即使堡垒主机被攻破,内部网络仍受到内部路由器的保护。
三、VPN的分类(80页)1、远程访问/移动用户的VPN连接/Access VPN2、Intranet VPN:用于构建内联网(企业内部各分支机构互联)3、Extranet VPN:用于企业的合作者之间互联四、入侵检测的主要方法?入侵检测技术中按照分析方法/检测原理分为哪几种?各自的原理是什么?入侵检测系统(IDS):入侵检测(Intrusion Detection)的定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
入侵检测系统(IDS):进行入侵检测的软件与硬件的组合。
按照分析方法/检测原理-异常检测(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。
-误用检测(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
五、网络安全的主要威胁有哪些?黑客攻击木马个人失误计算机病毒网络漏洞六、什么是木马反弹端口技术与一般的木马相反,反弹端口型木马在服务端使用主动端口,客户端使用被动端口。
木马定时监测客户端的存在,发现客户端上线立即进行主动连接;为了隐蔽起见,客户端的被动端口一般为80,即使用户使用扫描软件检查自己的端口,也不会发现什么异常的数据包,这样就会以为是在正常浏览网页。
七、加壳、脱壳和病毒的防杀原理1、从杀毒软件的杀毒原理可以看出,既然杀毒软件只是依靠“病毒特征”来识别病毒的,那么,如果入侵者能够把这个通缉犯(病毒)乔装打扮,改变它的“特征”,是否可以逃过警察(杀毒软件)的查杀呢?通过实际的证明,的确能够实现这种目的。
2、脱壳和加壳实现了这个过程。
形象比喻,“壳”就像程序的“衣服”,入侵者先对程序“脱壳”,然后再给程序“加上另一种壳”就可以逃过杀毒软件的查杀。
这个过程就像给“通缉犯”(病毒)先脱下衣服(脱壳),然后再穿上另一件衣服(加壳)一样。
3、杀毒软件识别病毒或木马,大多数的杀毒软件就是根据“病毒特征库”来识别每个病毒的。
常说的升级杀毒软件,指的就是升级杀毒软件的“病毒特征库”。
打个比方,杀毒软件就像是一个警察,而“病毒特征库”就像是带照片的“通缉证”,而病毒当然就是“通缉犯”了。
警察(杀毒软件)检查每一个程序,然后把它们和“通缉证”上的照片(病毒特征)比较,如果吻合,就把通缉犯(病毒)绳之以法。
八、网页木马工作流程、如何利用工具生成网页木马网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
网页木马的基本工作流程,大致是:1.受众打开含有网页木马代码的网页,2.网页木马利用ie漏洞或者一些脚本功能下载一个可执行文件或脚本。
理解了网页木马攻击的原理,我们可以制作自己的网页木马,但这需要你根据IE漏洞写出利用代码。
实际上,在网上有很多高手已写出了一些漏洞的利用代码,有的还把它写成了可视化的程序。
在搜索引擎输入“网页木马生成器”进行搜索,你会发现,在网上有很多利用IE的各种漏洞编写的网页木马生成器,它们大都为可视化的程序,只要你有一个木马(该木马必须把它放置到网络上),利用这些生成器你就可以立即生成一个网页,该网页就是网页木马,只要他人打开这个网页,该网页就可以自动完成下载木马并运行(安装)木马的过程。
九、服务器、个人计算机的保护技术硬件的日常管理与维护软件的日常管理与维护数据备份给自己的计算机安装防病毒软件认真执行病毒定期清理制度十、信息安全问题及其实现技术安全问题安全目标安全技术机密性信息的保密加密完整性探测信息是否被篡改数字摘要验证验证身份数字签名,提问-应答,口令,生物测定法不可否认性不能否认信息的发送、接收及信息内容数字签名,数字证书,时间戳访问控制只有授权用户才能访问防火墙,口令,生物测定法十一、对称加密算法及其优缺点,常见的对称加密算法又称秘密密钥加密,特点是数据的发送方和接受方使用的是同一把密钥。
优:速度很快,效率很高缺:密钥管理比较困难,一旦泄露则信息失去保密性;很难适应互联网这样的大环境对称加密算法:数据加密标准DES;高级加密标准AES;三重DES;Riwest密码RC2 RC4 RC5 RC6十二、什么是公开密钥加密算法,举几个常见的算法?不对称加密,又叫做公开密钥加密,需要采用两个在数学上相关的密钥对—公开密钥,似有密钥来对信息进行加密解密。
RSA 算法(可逆的公开密钥加密系统)DSA算法椭圆曲线算法明文密文加密后的密钥公有密钥接收方网络加密后的密钥私有密钥接收方秘密密钥发送方秘密密钥发送方密文明文发送方接收方十三、数字签名的原理,验证过程,以及与mac的区别(42页)1、数字签名,其实是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项。
接着数字签名可以确定消息的发送方,同时还可以确定信息自发出后未被修改过。
2、验证过程:在该过程中,发送方用自己的似有密钥进行签署由此产生签名,接收方的公开密钥进行验证操作。
借此,接收方能确信所收到的信息确实是由发送方发出的而且在发送方发出该信息后相应的内容未被篡改过。
3、与mac的区别:数字签名类似于MAC,但不同于MAC,数字签名可以支持不可否认服务。
也就是说信息的接收方可以用数字签名来证明作为发送方第三方的身份。
但MAC不具有进行数字签名的功能。
十四、数字证书的作用?包含的内容?1、数字证书是一个由使用使用数字证书的用户群所公认和信任的权威机构(即CA)签署了其数字签名的信息集合。
2、主体身份信息、主体公钥值、认证机构名、认证机构的数字签名、认证机构的私钥、有效期、版本号、证书序列号(122页)十五、SET和SSL协议的比较(113页)安全套接层(SSL)协议提供了两个端点之间的安全链接,能对信用卡和个人信息提供较强的保护;SSL协议被大部分Web浏览器和web服务器所内置,比较容易被应用。
SET协议比SSL协议复杂,在理论上安全性也更高,因为SET协议不仅加密两个端点间的连接,还可以加密和认定三方的多个信息,而这是SSL协议所未能解决的问题。
SET标准的安全程度很高,它结合了数据加密标准DES、RSA算法和安全超文本传输协议,为每一项交易都提供了多层加密。
16、PKI及其功能公钥基础设施 PKI (public key infrastructure)又叫公钥体系,是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,用户可利用PKI平台提供的服务进行安全通信。
PKI应用系统的功能:1)公钥数字证书的管理2)证书撤销表的发布和管理3)密钥的备份和恢复4)自动更新密钥5)自动管理历史密钥6)支持交叉认证其组成成分:公开密钥加密技术,数字证书,认证机构CA,及相关的安全策略十七、CA与RA注册机构RA,本身并不发放数字证书,但RA可以确认、批准或拒绝数字证书申请人的申请,随后由CA给经过批准的申请人发放数字证书。
RA功能:1)注册、注销、批准或拒绝对数字证书属性的变更要求2)确认数字证书申请人的合法性3)批准生成密钥对和数字证书的请求及恢复备份密钥的请求4)批准撤销或暂停数字证书的请求(需相应CA支持)5)向有权拥有身份标记的人当面分发标记或恢复旧标记认证机构 CA (certificate authority)又叫认证中心,是一个网上各方都信任的机构,专门负责数字证书的发放和管理。
CA的功能:1)接收验证用户数字证书的申请2)确定是否接收用户数字证书的申请3)向申请者颁发数字证书4)接收、处理用户的数字证书更新请求5)接收用户数字证书的查询、撤销6)产生和发布数字证书撤销表(CRL)7)数字证书的归档8)密钥归档9)历史数据归档十八、我国的CA大致可以分为哪几类?并举例国内认证中心:行业性CA:如金融业—中国金融认证中心(CFCA)区域性CA:上海CA(SHECA)广东CA(CNCA)商业性CA:天威诚信CA;颐信CA十九、为什么说在树型层次结构中,根CA的作用极其重要?一个树形结构中的跟认证机构Z的作用是极其关键的,因为所有的认证路径都依赖于Z的信任。
如果某个黑客窃取了Z的私钥,那他就可以伪造该结构中所需要的任何一个数字签名,而且还可以让要求进行签名确认的用户相信这个伪造的签名是合法的。
另外,不管可信任的根是如何建立的,要想撤销根认证机构是相当困难的。
因此,根认证机构的私钥必须得到格外的保护,比如让他始终保持离线状态,放在安全的设备里不让随便使用。
二十、时间戳(179页)是用来标明一个事件所发生的日期和时间的一种记号,它一般是同生成该记号的人或机构的身份联系在一起的。
这个标记一般被附加在信息的后面,或以某种方式使其与信息形成逻辑上的关联。
时间戳是由交易各方、可信任的第三方,以及电信服务提供商们为了某种目的而生成的。
廿一、代理签名与双联签名代理签名就是源签名者将自己的签名权委托给可靠的代理人,让代理人代表本人去行使某些权力。
代理签名的基本要求:签名容易验证;源签名者与代理签名者的签名容易区分;签名实事不可否认。
几种代理签名方案介绍:1、一次性代理签名方案,使得代理人最多签名一次。
优点:不但代理人可以控制授权人无法传送秘密信息,而且又能保障授权人的权益不被代理人侵犯代理人的代理签名权同时也受到授权人的制约,即达到了双向制约的功能。
2、代理多重签名。
指某人同时受多人委托进行代理签名。