《电子商务安全期末复习剖析》由会员分享,可在线阅读,更多相关《电子商务安全期末复习剖析(8页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全与管理 期末复习题型: 1. 选择题(30分:1.5分1题,共20题)2. 判断并说明理由题(28分:4分1个,共7题。其中判断对错占2分,简要说明理由占2分)3. 简答题(30分:6分1题,共5题)4. 综合分析题(12分:6分1题,共2题)1、电子商务涉及的安全问题有哪些? P4-6A. 信息的安全问题:冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信用的安全问题:来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况C. 安全的管理问题 D. 安全的法律保障问题2、电子商务系统安全的三个组成部分。P7电子商务系统安全实体安全运行安全信息安全环境安全设备安全媒体安
2、全风险分析审计跟踪备份与恢复应急操作系统安全数据库安全网络安全病毒防护访问控制加密鉴别3、 电子商务安全的五方面基本需求。P16术语定义保密性保护机密信息不被非法存取以及信息在传输过程中不被非法盗取。完整性防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改认证性确保交易信息的真实性和交易双方交易身份的合法性可控性保证系统、数据和服务能由合法人员访问,保证数据的合法使用不可否认性有效防止通信或交易双方对已进行的业务的否认4、 电子商务的安全保障主要由哪三方面去实现?P17-22技术措施信息加密技术:保证数据流安全,密码技术和非密码技术数字签名技术:保证完整性、认证性、不可否认性TCP/IP
3、服务:保证数据完整传输防火墙的构造选择:防范外部攻击,控制内部和病毒破坏管理措施人员管理制度: 严格选拔落实工作责任制贯彻安全运作三项基本原则:多人负责、任期有限、最小权限保密制度不同的保密信息有不同的安全级别跟踪、审计、稽核制度跟踪:自动生成系统日志审计:对日志进行审计(针对企业内部员工)稽查:针对企业外部的监督单位系统维护制度硬件和软件数据容灾制度病毒防范制度应急措施法律环境中华人民共和国电子签名法5、风险分析和审计跟踪的主要功能 P10-11风险分析:a.设计前:根据分析系统固有的脆弱性,旨在发现系统设计前的潜在风险。b.运行前:根据系统运行期的运行状态和结果,分析潜在安全隐患。c.运行
4、期:根据系统运行记录,跟踪系统状态的变化,分析运行期的安全隐患。d.运行后:分析系统运行记录,为改进系统的安全性提供分析报告。审计跟踪:a.记录和跟踪各种系统状态的变化。b.实现对各种安全事故的定位。c.保存、维护和管理审计日志1、信息传输中的五种常见加密方式。P27链路链路加密节点加密端端加密ATM网络加密卫星通信加密链路-链路加密与端端加密区别:方式优点缺点链路-链路加密包含报头和路由信息在内的所有信息均加密;单个密钥损坏时整个网络不会损坏,每队网络节点可使用不同的密钥;加密时对用户透明。以明文形式通过每一个节点;所有节点都必须有密钥,密钥分发和管理变得困难。每个安全通信链路需要两个密码设
5、备,费用高。端-端加密使用方便,采用用户自己的协议进行加密,并非所有数据都需要加密。网络中数据从源点到终点均受保护。加密对网络节点透明,在网络重构期间可使用加密技术。每一个系统都需要完成相同类型的加密;某些信息(报头和路由信息)必须以明文形式传输。需采用安全、先进的密钥颁发和管理技术。2、 对称加密的原理及其优缺点,常见对称密码算法有DES,AES,三重DES,Rivest 密码,对称加密密钥的传输可使用RSA密钥传输法。原理:数据的发送方和接受方使用的是同一把密钥过程:发送方对信息加密发送方将加密后的信息传送给接收方接收方对收到信息解密,得到信息明文优点:由于加密算法相同,操作起来比较简单,
6、使用方便、计算量小、加密与解密效率高。缺点:1)密钥管理较困难;2)由于密钥传输可能会被窃取,新密钥发送给接收方较为困难,需对新密钥进行加密;3)其规模很难适应互联网这样的大环境。3、 什么是信息验证码?数字摘要、数字签名与信息验证码的区别。信息验证码(MAC)也称为完整性校验值或信息完整校验。MAC是附加的数据段,是由信息的发送方发出,与明文一起传送并与明文有一定的逻辑关系。数字签名包括报文摘要。报文摘要和非对称加密一起,提供数字签名的方法。数字签名保证信息的完整和提供信息发送者的身份认证和不可否认性,报文摘要用来防止发送的报文被篡改。两者采用的算法不同,数字签名主要是利用公钥算法,常见的有
7、HASH、RSA签名。报文摘要主要是安全散列标准,常用SHA-1和MD5。数字签名在支持身份认证的同时也支持不可否认服务,但信息验证码不具有进行数字签名的功能,因为接收方知道用于生成信息验证码的密钥。4、非对称加密(公开密钥加密)的原理及其优缺点,常用RSA算法加密。公开密钥加密的加密模式和验证模式是什么?两种模式如何结合?(图2-7)原理:采用两个在数学上相关的密钥对公开密钥和私有密钥来对信息进行加解密。优点:安全性能好,破解困难;密钥存储和传输方便缺点:算法复杂,加密和解密的速度很慢,不适合对大量的文件信息进行加密。加密模式:1.发送方用接收方的公开密钥对信息进行加密。2.发送方将加密后的
8、信息通过网络传送给接收方。3.接收方用自己的私有密钥对加密信息进行解密。验证模式:1.发送方用自己的私有密钥对信息进行加密。2.发送方将加密后的信息通过网络传送给接收方。3.接收方用发送方的公开密钥对加密信息进行解密。加密与验证的结合:1.发送方用自己的私有密钥对信息进行加密。2.发送方用接受方的公开密钥对已加密的信息再次加密。3.发送方将两次加密后的信息通过网络传送给接收方。4.接收方用自己的私有密钥及发送方的公开密钥对加密信息进行解密。5、综合使用对称和非对称加密的混合加密,教材图2-8。6、数字签名的原理和作用。常见的数字签名算法有RSA,美国数字签名标准算法DSA,椭圆数字签名算法等。
9、电子商务应用中常用的特殊数字签名盲签名,多重签名,双联签名等,主要应用在什么场合下?原理:通过一个单向函数对要传送的报文进行处理得到用以认证报文来源并核实报文是否发生变化的一个字母数字串。作用:保证信息传输的完整性和发送者的身份认证、防止交易中的抵赖发生。应用:盲签名: 一般用于电子货币和电子选举中。 多重签名:用于办公自动化、电子金融、CA认证等方面。双联签名:解决三方参加电子贸易过程中的安全通信问题。7、密钥的生命周期包括哪几个阶段?1、密钥建立(包括生成密钥和发布密钥)2、密钥备份/恢复或密钥的第三者保管3、密钥替换/更新4、密钥吊销5、密钥期满/终止(其中可能包含密钥的销毁或归档)8、
10、常见的验证技术有哪些?其中数字时间戳验证的主要作用是什么?验证技术:(P61-65)1 基于口令的验证2 验证协议3 基于个人令牌的验证4 基于生物统计特征的验证5 基于地址的验证6 数字时间戳验证数字时间戳的验证作用:数字时间戳可以作为电子商务交易信息的时间认证,一旦发生争议时作为时间凭证提供验证依据。1、典型的网络层安全服务包括认证和完整性、保密性,访问控制,以及对核心internet基础协议的保护。2、Internet安全的保护 分为网络层安全、应用层安全和系统安全三类。三类安全保护是相互独立进行的,存在部分重叠的服务内容。 P70-723、防火墙的功能及类型功能:1、过滤不安全的服务和
11、非法用户2、控制对特殊站点的访问3、作为网络安全的集中监视点类型:1、包过滤型防火墙2、应用网关型防火墙3、代理服务型防火墙4、 VPN的概念及三类VPN服务类型。VPN的安全策略包括隧道技术、加解密技术、密钥管理技术,使用者与设备身份认证技术。虚拟专用网络(virtual private network, VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。三类VPN服务类型:Access VPN: 远程访问虚拟专网移动办公和B2CIntranet VPN:企业内部虚拟专网企业内部资源共享Extranet VPN:扩展的企业内部虚拟专网5、 网络入侵检测主
12、要有四种检测策略:基于主机的检测、基于应用程序的检测,基于目标的检测,基于网络的检测。主要方法有异常检测和误用检测。6、 Ipsec针对IP层安全性,包含三个重要的协议:认证头协议AH(提供强认证)和分组加密协议ESP(提供加密/认证)、密钥交换IKE(密钥的确定与分配)。AH和ESP的执行依赖安全关联SA的支持。7、S/MIME协议的主要功能。确保发送者身份认证、不可否认性,邮件的完整性、邮件的保密性8、SSL能够实现什么功能?SSL握手协议和记录协议是最重要的两个子协议。安全套接层协议(Secure Sockets Layer,SSL)建立在TCP协议之上,它的优势在于与应用层协议独立无关
13、,应用层协议能透明地建立于SSL协议之上。SSL协议的功能:SSL服务器认证;确认用户身份;保证数据传输的机密性和完整性9、SET协议的功能。 SET交易的参与方包括持卡人、商户、发卡银行、收单银行、支付网关、认证中心。SSL与SET的比较。安全电子交易协议(Secure Electronic Transaction,SET)是一种应用于因特网环境下,以信用卡为基础的安全电子支付协议。功能:通过 SET 可以实现电子商务交易中的加密、认证、密钥管理等机制,保证在开放网络上使用信用卡进行在线购物的安全。1、 按使用对象分类,数字证书的常见类型有哪些? P120-121按使用对象来分:个人数字证书
14、;单位数字证书;服务器证书;安全邮件证书;代码签名证书2、 了解基本的数字证书格式的内容(版本3)。数字证书扩展标准包括密钥信息扩展、政策信息扩展、主体及发放者属性扩展、认证路径约束扩展、与数字证书撤销表相关的扩展。P122(看书)3、 数字证书密钥对生成的两种方法及优缺点由密钥对持有者系统生成优点:利用这一方法来生成密钥,可以保证任何其他的通信方都不会获得该密钥。由密钥管理中心系统生成优点:1)可以解决智能卡一类的密钥系统处理能力和存储空间有限带来的问题 2)可以利用强大的资源和处理能力生成高质量、安全可靠的密钥3)可以在密钥对中的私钥在中心系统进行备份或存档时带来便利。缺点:生成密钥的这两种方法在实际的使用中都需要适应环境的变化,它们在实际的数字证书生成和管理过程中都都需要根据环境的变化而有所变通。4、 三种私钥保护的方法。P131A. 将私钥存储在不可写的硬件模块或标记中,如智能卡中;B. 将私钥存储在计算机硬盘或其他数据存储媒介上的加密数据文件中;C. 将私钥存储在数字证书服务器上,当用户通过了服务器的鉴定,并在服务器上使用了一段时间后,该服务器会将私钥传送给用户。第一种私钥保护方法的安全
