自学考试-电子商务安全导论-00997-重点整理-考试必过.doc

该【自学考试-电子商务安全导论-00997-重点整理-考试必过 】是由【幸福人生】上传分享，文档一共【31】页，该文档可以免费在线阅读，需要了解更多关于【自学考试-电子商务安全导论-00997-重点整理-考试必过 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。自学考试-电子商务安全导论-00997-重点整理-考试必过
第一章电子商务安全基础
商务:是经济领域特别是市场经济环境下的一种社会活动,它涉及货品、服务、金融、知识信息等的交易。
电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。
电子商务主客体关系分为:1、B2B企业、机构之间2、B2C企业与消费者之间3、C2C个人用户之间4、B2G企业政府之间。
电子商务的技术要素组成:1、网络2、应用软件3、硬件。
电子商务的常见模式:1、大字报或告示牌模式2、在线黄页簿模式3、电脑空间上的小册子模式4、虚拟百货店模式5、预定或订购模式6、广告推销模式。
因特网的优劣势:1、优势:广袤覆盖及开放结构,由于它是开放结构,许多企业及用户可以按统一的技术标准和较合理的费用连接上网,使网上的主机服务器和终端用户以滚雪球的速度增加,也使其覆盖率增长至几乎无限2、劣势:因特网的管理松散,网上内容难以控制,私密性难
产生电子商务安全威胁的原因:1、internet在安全方面的缺陷2、Internet的安全漏洞3、TCP/IP协议极其不安全性4、E-mail,Telnet及网页的不安全性。
Internet系统的构建组成:1、客户端软件(Web浏览器)2、客户端的操作系统3、客户端的局域网(LAN)4、Internet网络5、服务器端的局域网(LAN)6、服务器上的Web服务器软件。
对安全的攻击:主动攻击、被动攻击。
对internet攻击的四种类型:1、截断信息2、伪造3、篡改4、介入。
IP协议的安全隐患:1、针对IP的拒绝服务攻击2、IP地址的顺序号预测攻击3、TCP协议劫持入侵4、嗅探入侵。
HTTP协议:是客户机请求服务器和服务器如何应答请求的各种方法的定义。
WEB客户机的任务:1、为客户提出一个服务请求2、将客户的请求发送给服务器3、解释服务器传送的HTML等格式文档,通过浏览器显示给客户。
WEB服务器的任务:1、接收客户机来的请求2、检查请求的合法性3、针对请
求,获取并制作数据,包括使用CGI脚本等程序、为文件设置适当的MIME类型来对数据进行前期处理和后期处理4、把信息发送给提出请求的客户机。
WEB站点的安全隐患:1、机密信息被窃取2、数据及软硬件系统被破坏。
攻击WEB站点的几种方式:1、安全信息被破译2、非法访问3、交易信息被截获4、软件漏洞被攻击者利用等。
E-mail和Telnet及网页的不安全性:1、E-mail的不安全性2、入侵Telnet会话3、网页作假4、电子邮件炸弹和电子邮件列表链接。
对电子商务威胁的相应对策:1、保密业务2、认证业务3、接入控制业务4、数据完整性业务5、不可否认业务6、加快我国自主知识产权的计算机网络和电子商务安全产品的研制和开发等。
《可信任的计算机安全评估标准》:美国,为计算机安全的不同等级制订了四个标准分别为D、C、B、A级,由低到高,C级氛围C1和C2两个子集,C2比C1提供更多的保护,总体由低到高为D、C1、C2、B1、B2、B3、A。
第二章电子商务安全需求与密码技术
电子商务的安全需求:1、可靠性2、真实性3、机密性4、完整性5、有效性6、不可抵赖性7、内部网的严重性。
加密:用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,即把明文变成密文的过程。
加密的基本概念缩写:1、明文M2、密文C3、加密E4、解密D5、密钥K。
加密的表示方法:C=Ek(M)密文=加密k(明文)。
解密的表示方法:M=Dk(C)明文=解密k(密文)。
加密方法:1、替换加密(单字母加密方法、多字母加密方法)2、转换加密。
单鈅密码体制特点:1、加解密速度快,效率高2、单鈅密码体制的加解密过程使用同一个密钥。
单鈅密码体制的几种算法:1、DES加密算法2、IDEA加密算法3、RC-5加密算法4、AES加密算法。
双鈅密码体制:又称作公共密钥体制或非对称加密体制,在加解密过程中要使用一对密钥,一个用于加密,一个用于解密。
双鈅密码体制的特点:1、适合密钥的分配和管理2、算法速度慢,只适合加密小数量的信息。
双鈅密码体制的几种算法:1、RSA密码算法2、ELGamal密码体制3、椭圆曲线密码体制(ECC)。
密钥管理包括:密钥的设置、产生、分配、存储、装入、保护、使用以及销毁等。
密钥管理方案:一般采用层次的密钥设置。
多层次密钥系统中密钥的分类:1、数据加密密钥DK2、密钥加密密钥KK。
多层次密钥系统中密钥的划分:按照他们的控制关系,划分为一级密钥、二级密钥、n级密钥,其中一级密钥用算法n保护二级密钥,二级密钥用算法n保护三级密钥,最底层密钥也叫做工作密钥,也就是数据加密密钥,所有上层密钥都是密钥加密密钥,最高层密钥也叫做主密钥。
自动密钥分配途径:1、集中式分配方案2、分布式分配方案。
集中式分配方案:利用网络中的密钥管理中心KMC来集中管理系统中的密钥,密钥管理中心接受系统中用户的请求,为用户提供安全分配蜜月的服务。
分布式分配方案:网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商,不接受任何其他方面的限制。
第三章密码技术的应用
数据的完整性:在有自然或人为干扰的条件下,网络系统保持发送方和接收方传送数据一致性的能力,是保护数据不被未授权者修改、建立、嵌入、删除及重复传送,或防止由于其他原因使原始数据被更改。
数据完整性被破坏的后果:1、造成直接的经济损失2、影响一个供应链上许多厂商的经济活动3、可能造成不过不了“关”4、会牵涉到经济案件中5、造成电子商务经营的混乱与不信任。
散列函数:是将一个长度不确定的输入串转换成一个长度确定的输出串(输出串要不输入串短),也称哈希值、杂凑值和消息摘要,其安全性在于它的单向性和无冲突性。
数字签名的原理:用散列函数处理消息得到消息摘要,再用双鈅密码体制的私鈅加密。
常用的散列函数:1、MD-4和MD-5散列算法2、安全散列算法SHA等。
数字签名:利用数字技术实现网络传送文件时,附加个人标记,完成传统上手书签名盖章的作用,以表示确认、负责、经手等。
各种技术的应用:保障传递文件的机密性用加密技术,保障其完整性用信息摘要技术,保障认证性和不可否认性用数字签名技术。
数字签名分为:确定性数字签名、随机化式数字签名。
数字签名应满足的要求:1、接收方B能够确认或认证发送方A的签名,但不能由B或第三方C伪造2、发送方A发出签名的消息给接收方B后,A就不能再否认自己所签发的消息3、接收方B对已收到的签名消息不能否认,即有收报认证4、第三者C可以确认收发双方之间的消息传送,但不能伪造这一过程。
数字签名可以解决的安全界别问题:1、接收方伪造2、发送者或接受者否认3、第三方冒充4、接收方篡改。
ELGamal签名体制:美国NIST把它作为数字签名标准DDS,是Rabin体制的一种变形。
RSA签名体制:利用双鈅密码体制的RSA加密算法实现数字签名。
无可争辩签名:在没有签名者自己合作下不可能验证签名的签名。
盲签名:要某人对一个文件签名,而不让其知道文件内容。
数字信封:发送方用一个随机产生的DES密钥加密消息,然后用接受方的公钥加密DES密钥,称为消息的数字信封。
数字时戳应当保证:1、数据文件加盖的时戳与存储数据的物理媒体无关2、对已加盖时戳的文件不可能做丝毫改动3、要相对某个文件加盖与当前日期和时间不同时戳是不可能的。
第四章网络系统物理安全与计算机病毒的防治
网络系统物理设备的安全包括:运行环境、容错、备份、归档、数据完整性预防。
计算机机房的设计依据文件:1、电子计算机房设计规范GB50174-932、计算机场、地、站安全要求GB9361-883、计算机房场、地、站技术要求GB2887-894、电气装置安装工程、接地装置施工及验收规范GB50169-925、建筑内部装修设计防火规范GB50222-956、气体灭火系统施工、验收规范7、闭路监控工程设计、施工规范8、高层建筑电气设计手册。
容错技术的目的:当系统发生某些错误或故障时,在不排除错误和故障的条件下使系统能够继续正常工作或者进入应急工作状态。