电子商务安全管理期末复习

第一章1.电子商务的安全需求电子商务的安全需求包括两方面：电子交易的安全需求（1）身份的可认证性在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。（2）信息的保密性要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。（3）信息的完整性交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。（4）不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。（5）不可伪造性电子交易文件也要能做到不可修改计算机网络系统的安全一般计算机网络系统普遍面临的安全问题：（1）物理实体的安全设备的功能失常电源故障由于电磁泄漏引起的信息失密搭线窃听（2）自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。（3）黑客的恶意攻击所谓黑客，现在一般泛指计算机信息系统的非法入侵者。黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。（4）软件的漏洞和“后门”（5）网络协议的安全漏洞（6）计算机病毒的攻击计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”——《中华人民共和国计算机信息系统安全保护条例》2.电子商务安全技术分为两类计算机网络安全计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施强大的网络安全监控方案,以保证计算机网络自身的安全性。常用的网络安全技术：安全评估技术、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。（1）安全评估技术通过扫描器发现远程或本地主机所存在的安全问题。扫描器的一般功能：发现一个主机或网络的能力发现什么服务正运行在这台主机上的能力通过测试这些服务，发现漏洞的能力扫描器的种类基于服务器的扫描器基于网络的扫描器防火墙（2）防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一，可用于防止未授权的用户访问企业内部网，也可用于防止企业内部的保密数据未经授权而发出。即使企业内部网络与因特网相连，也可用防火墙管理用户对内部网中某些部分的访问，保护敏感信息或保密信息。（3）虚拟专用网VPN(VirtualPrivateNetworks)是企业内部网在Internet上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。（4）入侵检测技术入侵检测是继防火墙之后的又一道防线。防火墙只能对黑客的攻击实施被动防御，一旦黑客攻入系统内部，则没有切实的防护策略，而入侵检测系统则是针对这种情况而提出的又一道防线。单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题；不能阻止网络内部攻击，而调查发现，50％以上的攻击都来自内部；不能提供实时入侵检测能力；对于病毒等束手无策等。（5）反病毒技术主要包括预防病毒、检测病毒和消毒等3种技术：预防病毒技术，它通过自身常驻系统内存优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡）等；检测病毒技术，它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等；消毒技术，它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。电子商务交易安全电子商务交易安全的要求,概括起来说,主要是指保障数据信息的有效性、机密性、完整性、不可否认性等。具体包括:如何确定通信中贸易伙伴的真实性,保证身份的可认证性;如何保证电子单证的机密性,防范电子单证的内容被第三方读取;如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失;如何保证电子单证内容的真实性、准确性和完整性;如何保证存储信息的安全性;如何对数据信息进行审查并将审查的结果进行记录。信息加密技术加密技术是认证技术及其他许多安全技术的基础。“加密”，简单地说，就是使用数学的方法将原始信息（明文）重新组织与变换成只有授权用户才能解读的密码形式（密文）。而“解密”就是将密文重新恢复成明文。加密技术对称密码体制加密密钥与解密密钥是相同的。密钥必须通过安全可靠的途径传递。由于密钥管理成为影响系统安全的关键性因素，使它难以满足系统的开放性要求。非对称密码体制把加密过程和解密过程设计成不同的途径，当算法公开时，在计算上不可能由加密密钥求得解密密钥，因而加密密钥可以公开，而只需秘密保存解密密钥即可。公钥基础设施（PKI）技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。PKI的组成结构，功能及运行模型。3.电子商务层次电子商务安全不仅仅是技术层面问题，而且是包含预防、检测、管理和制度层面在内的一整套体系的建设问题。第四章1报文验证主要包括那两个方面的内容？需要从通信的报文中判断发送该报文的一方正是他所声称的那个实体，并不是他人冒充的。报文验证：可用于验证报文的来源真实完整。报文验证，也称为消息验证，包括两个方面：报文来源的验证：报文的确是由确认的所信任的另一方发送的；报文内容在传输过程中的完整性，即报文在传递过程中，报文内容没有被攻击者破坏或篡改；法律、规范、道德、纪律管理细则、保护措施物理实体安全网络系统安全网络交易安全网络信息安全社会层面管理层面技术层面应用层面2在报文验证过程中，奇偶校验和方法存在什么问题？奇偶校验和的目的是防止在通信链路上因为物理的因素比如信号受干扰导致报文在传输过程中出现差错，并没有考虑到网络环境下非法的攻击者主动的“干扰”传输的报文，如果攻击者在篡改报文时故意修改偶数个比特个数，使得修改后报文的CRC校验和仍然与修改前的校验和一样，那么接收者从校验和结果无法判断报文已经做了修改，因此以奇偶校验和的方法认证报文的完整性强度较低。3报文摘要？报文摘要(MessageDigest)是指根据报文推导出来的能反应报文特征、且具有固定长度的特定信息，经典散列算法包括：报文摘要算法MD5安全散列算法SHA-14报文验证码有两种方法，其区别是什么？5数字签名6利用加密技术，数字摘要，数字签名技术和数字证书实现信息安全过程，请画出流程图？7PKI8CA