搜索
1、简述电子商务流程答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。2、概括电子商务模式的类型答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险)电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当5、电子商务交易信息传输过程中面临哪些安全问题?(1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题6、电子商务安全管理方法(了解P19)从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。10、风险分析的步骤:1)确定范围2)找出风险3)风险评估4)风险控制。11、什么是风险,它具备哪些特征?答:风险就是指危险发生的意外性和不确定性,包括损失发生与否及损失程度大小的不确定性。风险的特征:首先,风险是客观的,也是主观的;其次,决定某事有风险的需要个人的判断,甚至对于客观的风险也是如此;再次,有风险的行为和因此产生的风险,通常是能选择或避免的。*12、简述风险分析的作用。13、Internet风险等级划分(P32)(1)一般警戒(RegularVigilance):(2)增进警戒(IncreasedVigilance)(3)焦点攻击(FocusedAttacked)(4)灾难性威胁(CatastrophicThreat)(风险最高)14、Internet协议中的安全风险:1)TCP序号袭击2)IP地址欺骗3)ICMP袭击(ping命令)4)IP碎片袭击5)ARP欺骗攻击6)UDP欺骗15、OSI模型的分层有哪几层?TCP协议在哪一层?第一层和最后一层是什么?OSI模型总共有七层,从第一层到最后一层分别为:物理层,数据链路层,网络层,传输层,会话层,表示层,应用层。TCP协议在传输层第四层,IP在第三层。第一层是物理层,最后一层是应用层。16、协议(通信协议)是关于通信过程的规则或条例,它规定了如何传输信号,如何在宿主计算机上将数据包重新组成计算机信息等。17、IP数据报文格式(P37)IPv6的特点:一、扩大了地址空间;二、简化了数据报头格式;三、易于扩充;四、内置安全特性。18、ICMP袭击(P44)若网页打不开,判断是该网页服务器的问题还是本地网络的问题,用ping命令。19、FTP(FileTransferProtocol)文件传输协议的应用:文本传输,上传下载文件20、的安全问题(了解)(P49)(1)攻击者利用Web服务器或CGI程序中的缺陷访问系统中未经许可的文件,甚至盗取系统控制权。(2)攻击者利用Web浏览器中的缺陷,窃听或截获Web浏览器和Web服务器之间的机密信息。CGI程序的安全威胁,Java程序的安全威胁,Cookie的安全威胁,Web欺骗连接。21、DNS(域名服务器系统DomainNameService)(P52)作用:把域名解析成IP地址22、加密:将明文变换成另一种隐蔽形式,这种变换称为加密。对称式加密:指使用同一个密钥对报文进行加密和解密,也称为单钥加密技术或传统加密技术。优点:效率高,算法简单,系统开销小,速度比公钥加密技术快得多,适合加密大量的数据,应用广泛。缺点:主要问题是发送方和接收方必须预先共享秘密密钥,而不能让其他任何人知道,通常必须通过安全信道私下商定。非对称(公钥)加密:优点:(1)密钥分配简单(2)密钥的保存量少(3)可以满足相互不认识的人之间进行私人谈话时的保密性要求(4)可以完成数字签名和数字鉴别。缺点:(1)产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密(2)安全性(3)速度太慢23、数字签名的定义:数字签名是指用户用自己的私钥对原始数据的数字摘要进行加密所得的数据。作用:保证消息来源的真实性和数据传输的完整性。基本要求:(1)签名是可信的。(2)签名是不可伪造的(3)签名不可重用(4)签名后的文件是不可变的(5)签名是不可否认的24、计算机病毒是一种在计算机系统运行过程中能够把自身精确复制或有修改地复制到其他程序体内的程序,它是一种人为编制的软件。特点:它与杀毒软件的区别和联系(是否杀完全,复发)25、反病毒管理(主要谈谈怎样从企业内部管理来进行反病毒,如何防范,以及如何将危害控制到最小)(P101)反病毒管理包括:(1)数据通信管理;(2)软件来源管理;(3)客户访问与商业联系的管理,还应包括拟定系统化的措施来防范或对付病毒。(1)病毒防范。病毒防范的第一步,是要查出病毒进入系统的方式,以尽快找到阻挡病毒侵袭的办法。(2)病毒响应计划。当发现病毒已进入时,正是采取病毒响应计划的时机。病毒响应计划的主要目的是利用每种可能的方法来彻底清除所有的病毒。欲从根本上清除病毒,就应首先找到病毒侵袭的方式。如果找不到病毒侵袭的路径,那么最好的方法就是设法使系统具有免疫力,且应对存储区域定期进行深入检查。26、计算机犯罪:指以计算机为工具,采用非法手段使自己获利或使他人遭受损失的犯罪行为。27、计算机犯罪的类型:1)破坏计算机;2)窃用计算机;3)滥用计算机;4)破坏安全系统。28、计算机犯罪的特点:1)破坏性大。2)智慧型犯罪。3)白领犯罪。所谓白领犯罪,是指社会上有相当名望或社会地位的人,在其职业活动上谋取不法利益的犯罪行为。4)不易察知。5)侦查困难。29、口令的选择通常,口令应做到:1)即使使用很长的代码表也很难或不可能探出口令;2)容易记忆;3)定期变化;4)存储在目标系统上,要得到很好的保护(加密/不能访问)。30、黄皮书(TCSEC)将IT系统从低到高分为D、C1、C2、B1、B2、B3和A1七个安全等级。D安全水平最低。A1比D高。大部分UNIX系统满足C1标准。31、防火墙:防火墙系统是一种网络组成部件。它是连接内部与外部、专用网络与公用网络。防火墙系统能保障网络用户访问公用网络具有最低风险,也保护专用网络免遭外部袭击。益处:(1)所有风险区域都集中在单一系统即防火墙系统上,安全管理者就可针对网络的某个方面进行管理,而采用的安全措施对网络中的其他区域并不会有多大影响。(2)监测与控制装置仅需要安装在防火墙系统中(3)内部网络与外部的一切联系都必须通过防火墙系统进行,因此,防火墙系统能够监视与控制所有联系过程。32、防火墙系统的体系结构网络对外呈现的安全水平依赖于所用防火墙系统的系统结构。一般将防火墙的体系结构区分如下:1)边界路由器;2)带安全中间网络的边界路由器(筛选性子网、安全子网);3)带信息包过滤器的双归宿防御主机;4)带线路中继器的双归宿防御主机;5)带应用网关的双归宿防御主机;6)带无防卫区域的(DMZ)双归宿防御主机;7)级联的双归宿防御主机。其中简单的边界路由器提供最低保护,级联的双归宿防御主机提供最高保护。33、三种防火墙:基于信息包过滤器的防护墙,线路中继器,应用网关防火墙。34、基于信息包过滤器的防护墙的工作原理:1)输入过滤以防止地址欺骗;2)区分TCP的发送与应答信息包;3)交换过滤条件—“路由器访问表”。35、防火墙系统的局限性防火墙的所有作用在于监视OSI2层到7层之间网络的活动状况。它们不能防止内部应用软件所携带的数据,也不能保护网络免受病毒或其他方式(协议哄骗)的袭击。防火墙对于内部计算机系统未经授权的物理袭击,也不能提供安全的保证。欲阻止这类袭击,就需要:1)无漏洞地访问控制系统;2)确实真正保护关键性部件;3)以光纤代替铜管导线(尤其是采用共享媒体技术);4)高度机密数据在发送前应加密。36、操作系统:操作系统是一组用于控制、管理计算机系统中软硬件资源,提高资源管理效率、方便用户使用计算机的程序集合,它是紧挨着硬件的第一层软件,提供其他软件的运行环境,可以将其看成是用户与硬件的接口,是整个计算机系统的控制和指挥中心,所以操作系统是电子商务环境中非常重要的系统软件。类型:windows操作系统,UNIX操作系统,Linux操作系统,MacOS操作系统37、数据库系统的安全框架可以划分为3个层次:1)网络系统层次;2)宿主操作系统层次;3)数据库管理系统层次。38、数据库管理系统的安全性主要包括3个方面:1)数据库完整性;2)数据库保密性;3)数据库可用性。39、数据库安全管理具体要求包括以下