电子商务安全与管理

资源描述

《电子商务安全与管理》由会员分享，可在线阅读，更多相关《电子商务安全与管理（6页珍藏版）》请在金锄头文库上搜索。

1、1、电子商务交易活动中商家可能面临的问题：中央系统安全性被破坏；竞争者检索商品的销售情况；客户资料被竞争者获悉；被他人冒名而损害企业的名誉；消费者提交订单后不付款；虚假订单。 2、电子商务的安全问题主要涉及信息的安全问题、信用的安全问题、安全的管理问题、安全的法律法规保障问题。 3、从技术上看，电子商务面临的信息安全问题主要来自以下几个方面：冒名偷窃、篡改数据、信息丢失、信息传递出问题 4、从计算机信息系统的角度来阐述电子商务系统的安全，认为电子商务系统的安全是由系统实体安全、系统运行安全、系统信息安全三部分组成。 5、所谓实体安全是指保护计算机的设备、设施（含网络

2、）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。 6、实体安全包括：环境安全、设备安全、媒体安全。 7、环境安全是指对电子商务系统所在的环境实施安全保护，主要包括受灾防护和区域防护。 8、受灾防护：是系统要具有受灾报警、受灾保护和受灾恢复等功能。 9、区域防护：是要对特定区域提供某种形式的保护和隔离措施。 10、设备安全是指对电子商务系统的设备进行安全保护，主要包括设备防盗、设备防毁、防止电磁信息泄露、防止线路截获、抗电磁干扰以及电源保护六个方面。 11、信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即

3、信息安全要确保信息的完整性、保密性、可用性和可控性。 12、访问控制是指对主题访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）、限制使用计算机系统和计算机存储数据的过程（存取过程）。访问控制主要包括出入控制和存取控制。 13、信息安全中的鉴别主要提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方（包括用户、设备和进程）真是身份的鉴别，主要用于阻止非授权用户对系统资源的访问。信息鉴别是提供对信息的正确性、完整性和不可否认性的鉴别。 14、完整性鉴别，是提供信息的完整性鉴别，使得用户、设备、进程可以证实接收到的信息的完整性，其主要功能是证实信息内容未被非法修改或遗漏。 1

4、5、不可否认性鉴别，是使得信息发送者不可否认对信息的发送和信息接受者不可否认对信息的接收。16、电子商务安全需求术语定义保密性保护机密信息不被非法存取以及信息在传输过程中不被非法窃取完整性防止信息在传输过程中丢失、重复及非法用户对信息的篡改认证性确保交易信息的真实性和交易双方身份的合法性可控性保证系统、数据和服务能由合法人员访问，保证数据的合法使用不可否认性有效防止通信或交易双方对已进行的业务的否认17、病毒防范制度，20 页，了解。18、从信息的安全角度来说，主要会涉及五个方面的安全内容：信息的机密性、信息的完整性、对信息的验证、信息的不可否认性、对信息的访问控制19、信息安全问题与信息

5、安全技术安全问题安全目标安全技术机密性信息的保密加密完整性探测信息是否被篡改数字摘要验证验证身份数字签名、提问-应答、口令、生物测定法不可否认性不能否认信息的发送、接收及信息的内容数字签名、数字证书、时间戳访问控制只有授权用户才能访问防火墙、口令、生物测定法20、信息传输中的加密方式：链路-链路加密、节点加密、端-端加密。 21、链路加密的目的是保护网络节点之间的链路信息安全。节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。端-端加密目的是对源端用户到目的端用户的数据提供加密。22、各加密方式的优点比较链路-链路加密1、包含报头和路由信息在内的所有信息均加密；2、单个

6、密钥损坏时整个网络不会损坏，每对网络节点可使用不同的密钥；3、加密对用户透明节点加密1、消息的加密、解密在安全模块中进行，使得消息内容不会被泄露；2、加密对用户透明端-端加密使用方便，采用用户自己的协议进行加密并非所有数据都进行加密；2、网络中数据从源点到终点均受保护；3、加密对网络节点透明，在网络重构期间可使用加密技术23、加密就是基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。 24、对称加密也叫秘密密钥加密，特点是数据的发送方和接收方使用的是同一把密钥，即把明文加密成密文和把密文解密成明文的是同一把密钥。

7、25、对称加密的主要优点是对信息加密解密的速度快、效率高。主要缺点是密钥的管理比较困难，交易双方必须持有同一把密钥，且不能让他人知道。 26、常见的对称加密算法：数据加密标准 DES，采用 64 位长度的数据块和 56 位长度的密钥。高级加密标准 AES，密钥长度可以是 128、192、256 位。三重 DES。Rivest 密码。 27、不对称加密又叫公开密钥加密，需要采用两个在数学上相关的密钥对公开密钥和私有密钥来对信息进行加解密。 28、依据公开密钥是用作加密密钥还是解密密钥，公开密钥加密系统有两种基本的模式：加密模式和验证模式。29、加密模式、验证模式了解原理，RSA 算法计算

8、，加密与验证模式结合过程。37-40 页。30、数字签名其实是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项，发送方用自己的私有密钥进行签署由此产生数字签名。 31、密码散列函数也叫哈希函数（摘要函数），取任意长度的信息作自变量，结果产生规定长度的信息摘要。如数字签名标准 DSS 中的信息摘要为 160bit，然后签名信息摘要。32、利用散列函数进行数字签名和验证的文件传输过程，45 页。33、美国国家标准技术局（NIST）发布了其所提议的数字签名标准（DSS），在该标准中定义了数字签名的算法（DSA）。椭圆曲线加密系统是一种运用 RSA 和 DSA 来实施数字签

9、名的方法。盲签名是根据电子商务具体的应用需要而产生的一种签名应用，有时候需要某人对一个文件签名，而又不让他知道文件的内容，这时就需要盲签名。盲签名一般用于电子货币和电子选举中。多重签名主要应用于办公自动化、电子金融和 CA 认证中。34、双联签名的使用方法。54 页。双联签名解决了三方参加电子贸易过程中的安全通信问题。35、Diffie-Hellman 密钥协议提出了公开密钥加密技术。该协议的运作方式为：系统 A 和 B 各自生成一个随机的秘密值 x 和 y，每个系统从自己的秘密值计算出相应的公开值 X 和 Y，两个系统彼此交换公开值，然后每个系统可以从自己的秘密值和对方的公开值来计算出

10、同一个密钥，即系统 A 用 x 和 Y 可以计算出密钥，系统 B 用 y 和 X 可以计算出同一个密钥。只知道公开值而不知道秘密值的窃听者是不可能计算出密钥的。 36、验证是在远程通信中获得信任的手段，是安全服务中最基本的内容。常见的验证技术包括：基于口令的验证、基于个人令牌的验证、基于生物统计特征的验证、基于地址的验证、数字时间戳验证。 37、对于基于口令的验证来说主要面临以下威胁：外部泄露、猜测、通信窃取、重放、危机主机安全。 38、服务器要对客户端的用户进行验证，可以使用下列因素建立验证协议：变换后的口令、提问-答复、时间戳、一次性口令、数字签名、零知识技术。 39、时间戳是

11、用来标明一个事件所发生的日期和时间的一种记号，它一般是同生成该记号的人或机构的身份联系在一起的。数字时间戳是一个经加密后形成的凭证文档，包括三个部分：需要加时间戳的信息的摘要；数字时间戳服务机构收到该信息的日期和时间；数字时间戳服务机构的数字签名。 40、Internet 安全的保护可以分为三类：网络层安全、应用层安全、系统安全。网路层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。应用层安全指的是建立在某个特定应用程序内部，不依赖于任何网络层安全措施而独立运行的安全措施。系统安全指的是对特定终端系统及其局部环境的保护，而不考虑对网络层安全或应用层

12、安全措施所承担的通信保护。 41、防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统，狭义上来讲，防火墙是指安装了防火墙软件的主机或路由器系统。 42、防火墙的功能：过滤不安全的服务和非法用户；控制对特殊站点的访问；作为网络安全的集中监视点。 43、防火墙的不足之处：不能防范不经由防火墙的攻击；不能防止受到病毒感染的软件或文件的传输；不能防止数据驱动式攻击。 44、防火墙按其处理的对象来说，基本上分为包过滤型防火墙和应用网关型防火墙。包过滤防火墙通过检查数据流中每个数据包的源地址、目的地址、端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。应用网关型防

13、火墙针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。 45、防火墙的实现方式：包过滤路由器、双穴防范网关、过滤主机网关、过滤子网防火墙。46、包过滤路由器是众多防火墙中最基本、最简单的一种，它可以是带有数据包功能的商用路由器，也可以是基于主机的路由器。 47、虚拟专用网络（VPN）是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。 48、目前 VPN 主要采用四项技术来保证安全，分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。 49、入侵检测的第一要素就是数

14、据源，根据数据存在的位置不同数据源可以分类，进而根据数据源的分类就有了四种不同的检测策略：基于主机的检测：收集通常在操作系统层、来自计算机内部的数据；基于应用程序的检测：收集来自运行应用程序的数据；基于目标机的检测：产生自己的数据；基于网络的检测：收集网络数据包。 50、IP 层安全标准（IPsec）：其目标是为 IPv4 和 IPv6 提供具有较强的互操作能力、高质量和基于密码的安全，弥补由于 TCP/IP 体系自身带来的安全漏洞，在 IP 层实现多种安全服务，包括访问控制、无连接完整性、数据源验证、抗重播、机密性（加密）和有限的业务流机密性。 51、认证头（AH）协议利用一

15、种验证机制防止有人窃取其它用户的身份，启动或继续对话。 IP 认证头协议 AH 是为 IP 数据项提供强认证的一种安全机制，它能为 IP 数据项提供无连接完整性、数据起源认证和抗重放攻击。分组加密协议（ESP）将需要保护的用户数据进行加密后再封装到 IP 包中，其主要是支持 IP 数据项的机密性。 52、一个安全关联（SA）是在发送者和接收者这两个 IPsec 系统之间的一个简单的单向逻辑连接，是与给定的一个网络连接或一组连接相关的安全信息参数的集合。 53、增强的私密电子邮件（PEM）、安全多用途网际邮件扩充协议（S/MIME）、安全超文本传输协议（S-HTTP）。 54、安全

16、套接层协议（SSL）：是由 Netscape 公司研究制定的安全通信协议，是在因特网的基础上提供的一种保证机密性的安全协议，随后形成了 IETF TLS 规范。该协议是目前电子商务中应用最广泛的安全协议之一。 55、SSL 在因特网和其他 TCP/IP 网络上支持安全通信的基本功能： SSL 服务器认证、确认用户身份、保证数据传输的机密性和完整性。 56、安全电子交易协议（SET）由 MasterCard 与 Visa 两大国际信用卡组织同一些计算机供应商共同开发，简称 SET 协议，它是一种应用于因特网环境下，以信用卡为基础的安全电子支付协议，它给出了一套电子交易的过程规范。 57、SET 与 SSL 的比较： SET 的安全需求较高，而在 SSL 中，只有商户端的服务器需要认证，客户认证则是有选择性的；SET 保证了商户的合法性吗，使消费者在线购物更加轻松；一般公认的 SET 安全性较 SSL 高；SET 对于参与交易的各方定义了互操作接口；采用比率方面，SET 的设置成本较SSL 高很多，目前还是 SSL 的普及率高，但是 SE

展开阅读全文