電子商務(wù)安全總復(fù)習(xí)

總復(fù)習(xí)大綱上機(jī)考試內(nèi)容：以下5選2，下載地址：用戶(hù)名：dianshang06Windows2000環(huán)境下NTFS機(jī)制應(yīng)用加密與解密（RSA&DES）數(shù)字證書(shū)應(yīng)用安全站點(diǎn)的創(chuàng)建與訪問(wèn)VPN實(shí)驗(yàn)電子郵件證書(shū)的使用理論考試內(nèi)容重點(diǎn)提示：重點(diǎn)章節(jié)三四五章(一)類(lèi)型：?jiǎn)芜x40判斷20簡(jiǎn)答15綜合論述25(二)復(fù)習(xí)大綱第一章：本書(shū)的引導(dǎo)1．電子商務(wù)安全問(wèn)題涉及的四個(gè)方面信息、信用、管理、法律2．計(jì)算機(jī)信息系統(tǒng)的概念3．電子商務(wù)安全體系的結(jié)構(gòu)：實(shí)體、運(yùn)行、信息。結(jié)構(gòu)圖形的理解4．訪問(wèn)控制：P11出入與存取5．三個(gè)方面來(lái)保障商務(wù)：技術(shù)、管理、法律第二章：（管理和技術(shù)標(biāo)準(zhǔn)）1．組織：ISOIEEEIETF2．人員管理的策略P383．涉及的法律問(wèn)題：P43第三章信息安全技術(shù)（重點(diǎn)）1．信息安全傳輸?shù)陌踩螅ㄎ妩c(diǎn)）2．信息安全要求與對(duì)應(yīng)應(yīng)用的技術(shù)：機(jī)密性：加密技術(shù)—對(duì)稱(chēng)加密（私鑰加密體制：DES），非對(duì)稱(chēng)加密（公鑰4、數(shù)字摘要，又叫數(shù)字指紋。利用散列（hash）函數(shù)對(duì)不定長(zhǎng)信息進(jìn)行加密而形成的固定長(zhǎng)度（128，160，196位）的數(shù)據(jù)序列的過(guò)程。作用：完整性Hash的特征：?jiǎn)蜗?、不可逆、?zhí)行結(jié)果是固定的結(jié)果、敏感性它是形成數(shù)字簽名的基礎(chǔ).~~~5、數(shù)字簽名：數(shù)字摘要技術(shù)+RSA（私鑰） 1）不可以否認(rèn) 2）身份的驗(yàn)證 3）保證所簽名信息的完整性 另外：數(shù)字簽名的流程圖P59圖3-9；數(shù)字簽名過(guò)程文字的描述；P596、密鑰管理與CA1）密鑰管理：生成、發(fā)放、更新、恢復(fù)、撤銷(xiāo)/終止2）對(duì)稱(chēng)密鑰的保管和傳輸：利用非對(duì)稱(chēng)加密如RSA來(lái)實(shí)現(xiàn)。例子：數(shù)字信封、安全加密郵件(P65圖3-10)3）CA：這是一認(rèn)證中心，是權(quán)威的公正的第三方，其主要職能是……4）數(shù)字時(shí)間戳：概念，組成P727、數(shù)字證書(shū)：含義；內(nèi)容；X.509V3版本的內(nèi)容；類(lèi)型；CA；8、數(shù)字證書(shū)及相關(guān)的信息安全技術(shù)在信息傳遞過(guò)程中的應(yīng)用。參考P78-79圖3-14和圖3-15（發(fā)送方、接收方）第四章：Internet安全1．Internet安全保護(hù)的層次：網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)安全三層。P81-83每層的范圍、安全措施要掌握。2．FireWall：1）FW的含義2）FW的作用3）FW的局限性4）FW的分類(lèi)：包過(guò)濾、應(yīng)用型網(wǎng)關(guān)等5）包過(guò)濾型：路由器；IP包過(guò)濾；P86；工作在網(wǎng)絡(luò)層6）應(yīng)用型網(wǎng)關(guān)：工作在應(yīng)用層；PoxyServer；3、IPSec協(xié)議：1）安全機(jī)制：訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)源驗(yàn)證、抗重放、機(jī)密性和有限業(yè)務(wù)流機(jī)密性。P912）工作在IP層

3）文檔結(jié)構(gòu)圖及含義。P92圖4-5，表4-14）安全關(guān)聯(lián)SA的兩種模式：隧道模式、傳輸模式（P93）4、其它安全協(xié)議：S/MIME、SHTTP(shttp://)、SSL（https://）、SET交易的參與方P109。第五章數(shù)字證書(shū)1．?dāng)?shù)字證書(shū)格式內(nèi)容、版本2．?dāng)?shù)字證書(shū)的自我保護(hù)P1193．X．509V3格式中允許的名稱(chēng)P1254．公私鑰對(duì)的管理：生成與保護(hù)P128-1295.證書(shū)的申請(qǐng)與生成：P132-1336．CRL：內(nèi)容PKIPKI的含義P151，不可否認(rèn)的含義P169PKI功能：P152PKI的核心——CACA的結(jié)構(gòu)：樹(shù)型層次、認(rèn)證路徑PKI的不可否認(rèn)機(jī)制：來(lái)源、送遞、提交第七章：實(shí)例CFCA、SHECA、CNCA等附錄：法律相關(guān)內(nèi)容一、病毒1、病毒的定義；2、病毒的一般特征及其危害性；3、常見(jiàn)的病毒的表現(xiàn)，以及防治辦法；二、信息系統(tǒng)評(píng)估準(zhǔn)則與安全策略1、可信計(jì)算機(jī)系統(tǒng)安全等級(jí)劃分；2、信息系統(tǒng)的安全防護(hù)策略；3、常用的系統(tǒng)備份方法；綜合論述題目：1、電子商務(wù)安全存在哪些威脅，目前電子商務(wù)采用的安全措施有哪些？一）電子商務(wù)的安全威脅主要存在三個(gè)方面：電子商務(wù)交易方自身網(wǎng)絡(luò)安全威脅；電子交易數(shù)據(jù)的傳輸安全威脅；電子商務(wù)的支付安全威脅。1、電子商務(wù)交易方自身網(wǎng)絡(luò)安全威脅商業(yè)企業(yè)一旦把主機(jī)或內(nèi)部網(wǎng)連接到INTERNET上，即面臨很多安全威脅：系統(tǒng)也可能遭到身份不明人物的攻擊，如“黑客”借助工具軟件攔截或猜測(cè)合法用戶(hù)的賬戶(hù)和密碼。因此必須具有以下安全保障：(1)要保證硬件資源的安全：漏洞、后門(mén)、黑客攻擊、人為損壞或不可抗拒力破壞。系統(tǒng)采取有效措施保證配件資源的可用性，要具備抵御破壞及發(fā)生災(zāi)難時(shí)迅速恢復(fù)的能力。要加強(qiáng)主機(jī)本身的安全，做好安全配置，及時(shí)安裝安全補(bǔ)丁程序，減少漏洞；要用各種系統(tǒng)漏洞檢測(cè)軟件定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時(shí)加以修補(bǔ)；從路由器到用戶(hù)各級(jí)建立完善的訪問(wèn)控制措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證。(2)要保護(hù)軟件和數(shù)據(jù)庫(kù)資源的安全：對(duì)于重要的軟件系統(tǒng)和數(shù)據(jù)庫(kù)，首先應(yīng)建立備份，其次應(yīng)該保證軟件和數(shù)據(jù)資源不被濫用和破壞，不會(huì)受到病毒的侵襲、數(shù)據(jù)庫(kù)的漏洞。安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施。(3)要保證內(nèi)部系統(tǒng)的門(mén)戶(hù)安全：建立的詳細(xì)的安全審計(jì)日志。2、電子交易數(shù)據(jù)的傳輸安全威脅主要存在交易數(shù)據(jù)的信息泄露、破壞、截獲、丟失、重復(fù)、篡改和冒名頂替、抵賴(lài)等威脅安要求一般包括以下幾個(gè)基本方面：(1)交易數(shù)據(jù)和信息的保密性要求：例如客戶(hù)的姓名或信用卡賬號(hào)及密碼，一旦被人非法截獲或盜用，勢(shì)必會(huì)給交易的雙方帶來(lái)巨大的損失，因此必須采取有效的安全措施保證電子交易的數(shù)據(jù)不會(huì)被人非法得到或?yàn)E用。(2)交易數(shù)據(jù)和信息的完整性要求：數(shù)據(jù)在傳輸過(guò)程中信息的丟失、重復(fù)或信息傳送的次序差異會(huì)導(dǎo)致貿(mào)易各方所持有的信息的差異，惡意競(jìng)爭(zhēng)者也會(huì)利用篡改和冒名頂替的手段來(lái)破壞信息的完整性，因而在數(shù)據(jù)和信息到達(dá)目的地時(shí)，要有一定的技術(shù)手段來(lái)保證和檢驗(yàn)所得到的數(shù)據(jù)和信息與原始被發(fā)出信息是一致的。(3)交易各方身份的可認(rèn)證性要求：這就需要到CA認(rèn)證中心來(lái)管理。(4)交易本身的不可抵賴(lài)性要求：不可抵賴(lài)性可通過(guò)對(duì)發(fā)送的消息進(jìn)行數(shù)字簽名來(lái)獲取。(5）信息有效性要求:3、電子商務(wù)的支付安全威脅電子支付是電子商務(wù)中的重要環(huán)節(jié)，涉及到用戶(hù)與銀行等金融部門(mén)的交互和接口，其安全性是整個(gè)電子商務(wù)安全中很重要的一個(gè)方面。從廣義上說(shuō)，電子支付就是資金或與資金有關(guān)的信息通過(guò)網(wǎng)絡(luò)進(jìn)行交換的行為，主要通過(guò)信用卡、電子支票、數(shù)字現(xiàn)金、智能卡等方式來(lái)實(shí)現(xiàn)的。所以安全性一直是電子支付實(shí)現(xiàn)所要考慮的最重要的問(wèn)題之一。二）目前電子商務(wù)采用的安全措施主要從以下三個(gè)方面來(lái)實(shí)施1、管理上的安全措施首先在高層管理要引起對(duì)電子商務(wù)安全的足夠重視，促成管理人員同相關(guān)的技術(shù)人員一起制定企業(yè)內(nèi)部、外部網(wǎng)絡(luò)安全規(guī)劃和標(biāo)準(zhǔn)，在規(guī)劃中應(yīng)該指出企業(yè)信息安全在近期和未來(lái)一段時(shí)間內(nèi)要達(dá)到什么級(jí)別和標(biāo)準(zhǔn)，預(yù)備投入的資源等。其次在規(guī)劃和標(biāo)準(zhǔn)的指導(dǎo)下要制定詳細(xì)的安全行為規(guī)范，包括各種硬軟件設(shè)備使用和維護(hù)權(quán)限的管理辦法，網(wǎng)絡(luò)系統(tǒng)登錄和使用的安全保障管理辦法，數(shù)據(jù)維護(hù)和備份的管理規(guī)定等。最后要特別注意安全條例的執(zhí)行保障，即有了規(guī)定就一定要按照規(guī)定去執(zhí)行。只有管理上具備明確的目標(biāo)和標(biāo)準(zhǔn)，技術(shù)人員才能更好地為其提供安全上的技術(shù)支持。最后是人員管理2、法律上的安全保障其主要涉及的法律要素有：(1)有關(guān)電子商務(wù)交易各方合法身份認(rèn)證的法律。電子商務(wù)認(rèn)證中心是電子商務(wù)中的核心角色，它擔(dān)負(fù)著保證電子商務(wù)公正、安全進(jìn)行的任務(wù)。因而必須由國(guó)家法律來(lái)規(guī)定CA中心的設(shè)立程序和資格以及必須承擔(dān)的法律義務(wù)和責(zé)任，同時(shí)要由法律規(guī)定對(duì)CA中心進(jìn)行監(jiān)管方法以及違規(guī)后的處罰措施。(2)有關(guān)保護(hù)交易者個(gè)人及交易數(shù)據(jù)的法律。本著最小限度收集個(gè)人數(shù)據(jù)、最大限度保護(hù)個(gè)人隱私的原則來(lái)制定法律，以消除人們對(duì)泄露個(gè)人隱私以及重要個(gè)人信息的擔(dān)憂。(3)有關(guān)電子商務(wù)中電子合同合法性及如何進(jìn)行認(rèn)證的法律。需要制定有關(guān)法律對(duì)電子合同的法律效力、數(shù)字簽名、電子商務(wù)憑證的合法性予以確認(rèn)；需要對(duì)電子商務(wù)憑證、電子支付數(shù)據(jù)的偽造、變更、涂銷(xiāo)做出相應(yīng)的法律規(guī)定。(4)有關(guān)網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)的法律。3、技術(shù)上的安全保障網(wǎng)絡(luò)技術(shù)方面：防火墻技術(shù)，虛擬私人網(wǎng)(VPN)技術(shù)，網(wǎng)絡(luò)殺毒技術(shù)，用戶(hù)管理等交易數(shù)據(jù)方面：交易數(shù)據(jù)的安全要求體現(xiàn)在保密性、完整性、不可抵賴(lài)性、身份的可認(rèn)證性，目前所采用的主要技術(shù)有，……CA認(rèn)證中心交易支付的安全方面：采用目前較普遍使用的SSL與SET技術(shù)。SSL安全套接協(xié)議是基于WEB系統(tǒng)的端到端之間的安全傳輸協(xié)議，而SET安全電子交易協(xié)議是保護(hù)信用卡支付安全協(xié)議。二者在目前結(jié)全使用……對(duì)于維護(hù)企業(yè)內(nèi)外部網(wǎng)安全的技術(shù)包括用戶(hù)密碼和權(quán)限管理技術(shù)，防火墻技術(shù)，虛擬私人網(wǎng)(VPN)技術(shù)，網(wǎng)絡(luò)殺毒技術(shù)等；維護(hù)交易數(shù)據(jù)在INTERNET上安全傳輸?shù)募夹g(shù)包括數(shù)據(jù)加密，數(shù)字簽名等，其中為了識(shí)別用戶(hù)在現(xiàn)實(shí)世界中的真實(shí)身份還要涉及到CA認(rèn)證中心；另外為了維護(hù)電子交易中最為關(guān)鍵的資金流動(dòng)特別是信用卡支付的安全，還要涉及到兩個(gè)應(yīng)用廣泛的協(xié)議：SSL和SET協(xié)議。綜上所述，電子商務(wù)的安全需要依靠三個(gè)方面的支持：一是信息技術(shù)方面的措施，如防火墻、網(wǎng)絡(luò)防毒、信息加密、身份認(rèn)證、授權(quán)等，但只有技術(shù)措施并不能保證百分之百的安全；二是信息安全管理制度的保障；三是社會(huì)的法律政策與法律保障。