《电子商务安全导论-简答.doc》由会员分享,可在线阅读,更多相关《电子商务安全导论-简答.doc(19页珍藏版)》请在金锄头文库上搜索。
1、1,什么是保持数据的完整性? 答:商务数据的完整性或称正确性是保护数据不被未授权者修改,建立,嵌入,删除,重复传送或由于其他原因使原始数据被更改。在存储时,要防止非法篡改,防止网站上的信息被破坏。在传输过程中,如果接收端收到的信息与发送的信息完全一样则说明在传输过程中信息没有遭到破坏,具有完整性。加密的信息在传输过程,虽能保证其机密性但并不能保证不被修改2,网页攻击的步骤是什么? 答:第一步,创建一个网页,看似可信其实是假的拷贝,但这个拷贝和真的“一样”“假网页和真网页一样的页面和链接。第二步:攻击者完全控制假网页所以浏览器和网络是的所有信息交流者经过攻击者第二步,攻击者利用网页做假的后果:攻
2、击者记录受害者访问的内容,当受害者填写表单发送数据时,攻击者可以记录下所有数据。此外,攻击者可以记录下服务器响应回来的数据。这样,攻击者可以偷看到许多在线商务使用的表单信息,包括账号,密码和秘密信息。 如果需要,攻击者甚至可以修改数据。不论是否使用SSL或S-HTTP,攻击者都可以对链接做假。换句话说,就算受害者的游览器显示出安全链接图标,受害者仍可能链接在一个不安全链接上。3,什么是Intranet? 答:Intranet是指基于TCP/IP协议的内连网络。它通过防火墙或其他安全机制与Intranet建立连接。Intranet上可提供所有Intranet的应用服务,如WWW,E-MAIL等,
3、只不过服务面向的是企业内部。和Intranet一样,Intranet具有很高的灵活性,企业可以根据自己的需求利用各种Intranet互联技术建立不同规模和功能的网络。4,为什么交易安全性是电子商务独有的? 答:这也是电子商务系统所独有的。在我们的日常生活中,进和一次交易必须办理一定的手续,由双方签发各种收据凭证,并签名盖章以作为法律凭据。但在电子商务中,交易在网上进行,双方甚至不会见面,那么一旦一方反悔,另一方怎么能够向法院证明合同呢?这就需要一个网上认证机构对每一笔业务进行认证,以确保交易的安全,避免恶意欺诈。5,攻击WEB站点有哪几种方式? 答:安全信息被破译:WEB服务器的安全信息,如口
4、令,密钥等被破译,导致攻击者进入WEB服务器。浏览器的强大功能,可以以不同形式访问WEB站点的数据,这不仅为用户,同时也为攻击者打开了许多方便之门。攻击者试图在内部网上获取信息或利用;计算机资源。因此,必须保护WEB站点,防止闯入者的袭击。最常见,也是最有效的保护是使用防火墙。 非法访问未授权者非法访问了WEB上的文件损害了电子商务中的隐私性机密截获 交易信息被截获:当用户向服务器传输交易信息时被截获。 软件漏洞被攻击者利用:系统中的软件错误,使得攻击者可以对WEB服务器发出指令,致使系统被修改和损坏,甚至引起整个系统的崩溃。 当用CGI脚本编写的程序或其他涉及到远程用户从浏览中输入表格并进行
5、像检索之类在主机上直接操作命令时,会给WEB主机系统造成危险。6,WEB客户机服务器任务分别是什么? 答:WEB客户机的任务是:(1)为客户提出一个服务请求超链时启动;(2)将客户的请求发送给服务器;(3)解释服务器传送的HTML等格式文档,通过浏览器显示给客户。WEB服务器的任务是:(1)接收客户机来的请求(2)检查请求的合法性(3)针对请求,获取并制作数据,包括使用CGI脚本等程序,为文件设置适当的MIME类型来对数据进行前期处理和后期处理(4)把信息发送给提出请求的客户机。 7,电子商务安全的六项中心内容是什么? 答(1)商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他
6、人窃取,不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。2)商务数据的完整性或称正确性是保护数据不被未经授权者修改,建立,嵌入,删除,重复传送或由于其他原因使原始数据被更改。(3)商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份。(4)商务服务的不可否认性是指信息的发送方面不能否认已发送的信息,接收方不能否认已收到的信息,这是一种法津有效性要求。5)商务服务的不可拒绝性或称可用性是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。6)访问的控制性是指在网络上限制和控制通信链路对主机系统和应用的访问:用于保护计算机系统的资
7、源(信息,计算和通信资源)不被未经授权人或以未经授权方式接入,使用,修改,发出指令或植入程序等。8,电子商务的可靠性的含义是什么? 答:可靠性是指电子商务系统的可靠性,电子商务系统也就是计算机系统,其可靠性是指为防止由于计算机失效,程序错误,传输错误,硬件故障,系统软件错误,计算机病毒和自然灾害等听所产生的潜在威胁并加以控制和预防,确保系统安全可靠9,电子商务的真实性的含义是什么?真实性蝗旨商务活动中交易身份的真实性亦即是交易双方确实存在的,不是假冒的。10,单钥密码体制的特点是什么? 答:第一,加密和解密的速度快,效率高;第二,单钥密码体制的加密和解密过程使用同一个密钥。发送者的接收者都需要
8、知道密钥,需要安全渠道进行密钥的传递,单钥密码体制无法适应互联网大环境多人相互通信要求。11,双钥密钥体制最大的特点是什么? 答:第一,适合密钥的分配和管理。第二,算法速度慢只适合加密小数量的信息。12,替换加密转换加密的主要区别是什么? 答:在替换加密法中,原文的顺序没被改变,而是通过各种字母映射关系把原文隐藏了起来。转换加密法是将原字母的顺序打乱,将其重新排列。13,简述密码系统的理论安全性的实用安全性 答:由于计算机技术的发展,人们借且于计算机进行分析处理,密码的破译能力也不断提高。一个密码体制的安全性取决于破译者具备的能力,如若它对于拥有无限计算资源的破译者来说是安全的,则称这样的密码
9、体制是无条件安全的,它意味着不论破译者拥有多大的资源,都不可能破译;如若一个密码体制对于拥有限计算资源的破泽者来说是安全的,则称这样的密码体制是计算上安全的,计算上安全的密码表明破译的难度很大。 无条件安全的密码体制是理论上安全的;计算上安全的密码体制是实用的安全性。但目前已知的无条件安全的密码体制都是不实用的;同时还没有一个实用的密码体制被证明是计算上安全的。14,保护数据完整性的目的,以有被破坏会带来的严重后果 答(1)造成直接的经济损失,如价格,订单数量等被改变。(2)影响一个供应链上许多厂商的经济活动。一个环节上数据完整性被破坏将使供应链上一连串厂商的经济活动受到影响。(3)可能造成过
10、不了“关”。有的电子商务是与海关,商检,卫检联系的,错误的数据将使一批贷物挡在“关口”之外。(4)会牵涉到经济案件中。与税务,银行,保险等贸易链路相联的电子商务,则会因数据完整性被破坏牵连到漏税,诈骗等经济案件中。 (5)造成电子商务经营的混乱与不信任。15,简述散列函数应用于数据的完整性。 答:可用多种技术的组合来认证消息的完整性。为消除因消息被更改而导致的欺诈和滥用行为,可将两个算法同时应用到消息上。首先用散列算法,由散列函数计算机出散列值后,就将此值消息摘要附加到这条消息上。当接收者收到消息及附加的消息摘要后,就用此消息独自再计算出一个消息摘要。如果接收者所计算出的消息摘要同消息所附的消
11、息摘要一致,接收者就知道此消息没有被篡改。 16,数字签名与消息的真实性认证有什么不同?答:数字签名与消息的真实性认证是不同的。消息认证是使接收方能验证消息发送者及所发信息内容是否被篡改过。当收发者之间没有利害冲突时,这对于防止第三者的破坏来说是足够了。但当接收者和发送者之间相互有利害冲突时,单纯用消息认证技术就无法解决他们之间的纠纷,此是需借助数字签名技术。17,数字签名和手书签名有什么不同? 答:数字签名和手书签名的区别在于:手书签名是模拟的,因人而异,即使同一个人也有细微差别,比较容易伪造,要区别是否是伪造,往往需要特殊专家。而数字签名是0和1的数字串,极难伪造,不需专家。对不同的信息摘
12、要,即使是同一人,其数字签名也是不同的。这样就实现了文件与签署的最紧密的“捆绑”。18,数字签名可以解决哪些安全鉴别问题? 答:数字签名可以解决下述安全鉴别问题:(1)接收方伪造:接收方伪造一份文件,并声称这是发送方发送的;(2)发送者或收者否认:发送者或接收者事后不承认自己曾经发送或接收过文件;(3)第三方冒充:网上的第三方用户冒充发送或接收文件;(4)接收方篡改:接收方对收到的文件进行改动。19,无可争辩签名有何优缺点?答:无可争辩签名是在没有签名者自己的合作下不可能验证签名的签名。 无可争辩签名是为了防止所签文件被复制,有利于产权拥有者控制产品的散发。适用于某些应用,如电子出版系统,以利
13、于对知识产权的保护。 在签名人合作下才能验证签名,又会给签名者一种机会,在不利于他时可拒绝合作,因而不具有“不可否认性”。无可争辩签名除了一般签名体制中的签名算法和验证算法外,还需要第三个组成部分,即否认协议:签名者利用无可争辩签名可向法庭或公众证明一个伪造的签名的确是假的;但如果签名者拒绝参与执行否认协议,就表明签名真的由他签署。论述题20,对比传统手书签名来论述数字签名的必要性。 答:商业中的契约,合同文件,公司指令和条约,以及商务书信等,传统采用手书签名或印章,以便在法律上能认证,核准,生效。传统手书签名仪式要专门预定日期时间,契约各方到指定地点共同签署一个合同文件,短时间的签名工作量需要很长时间的前期准备工作。由于某个人不在要签署文件
