电子商务安全导论

什么是双钥密码体制？ 双钥密码体制又称作公共密钥体制或非对称加密体制。这种加密法在加密过 程中要使用一对(两个)密钥，一个用与加密，另一个用于解密，即通过一个密锣 的信息， ，只有使用男一个密钥才能够解密。 6．什么是集中式密钥分配? 所谓集中式分配是指种用网络中|韵“密钥管理中心(KMC)"来集中管理系统 钥， “密钥管理中心”接收系统中用庐的请求扎为用户提供安全分配密钥的服务。 7．什么是分布式密钥分配? 分布式分配方案是指网络中各主机具有相同的地位。它们之间错系统的办法之一，可以用备份系统将最近的一次系统备份到机器上 去。 ’ 2．归档是指将文件从计算机的存储介质中转移到其他永久性的介质上的， 以便保存的过程。 3．计算机病毒：是指编制者在计算机程序中插入的破坏计算机功能的程序，破坏 数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 4．镜像技术是数据备份技术的一种，主要有网络数据镜像，远程镜像磁盘等。 5．网络物理安全指物理设备可靠、稳定运行环境、容错、备份、归档和数据预防。 6．奇偶校验：也是服务器的一个特性。它提供一种机器机制来保证对内存检测， 因此，不会引起由于服务器出错而造成数据完整性的丧失。 7．引导型病毒：是指寄生在磁盘引导区或主引导区的计算机病毒。 8．文件型病 毒：是指能够寄生在文件中的计算机病毒。这类病毒程序感染文件或数据文件。 ． 9．良性病毒：是指那些只是为了表现自身，并不彻底破坏系统和数据，但会，用 CPU．时间，增加系统开销，降低系统工作效率的一类计算机病毒。 10．恶性病毒：是指那些一旦发作后，就会破坏系统或数据，造成计算机系统的 一类计算机病毒。 1．数字签名是利用数字技术实现在网络传送文件时，附加个人标记，完成传统上手书 签名盖章的作用，以表示确认、负责、经手等。 4． 接人或访问控制是保证网络安全的重要手段， 它通过一组机制控制不同级另一种主 体对目标资源的不同授权访问， ．在对主体认证之后实施网络资源安全管理使用。 5．CA 用于创建和发布证书，它通常为一个称为安全域的有限群体发放证书。 6．CA 服务器是整个证书机构的核心，负责证书的签发。 7．不可否认性服务是指从技术上保证实体对其行为的认可。 8．SET 协议：安全数据交换协议(SET， ．Secure Electronic Transferprotoc01) 是一种以信用卡为基础的、 Internet 上交易的付款协议， 在 是授权业务信息传输的安 全标准，它采用 RSA 密码算法，利用公钥体系对通信双方进行认证， ，用 DES 等标准加 密算法对信息加密传输，并用散列函数算法来鉴别信息的完整性。
10．简述隧道的基本组成。 (Generic Routing Encapsulation)。 一个隧道启动器，一个路由网络遂道终结器。 (Internet)，一个可选的隧道交换机，一个或多个隧 11．IPSec 提供的安全服务有哪些? 包括私有性(加密)、真实性(验证发送者的身份)、完整性(防数据篡改)和重传 保护(防止未经授权的数据重新发送)等，并制定了密钥管理的方法。 12．选择 VPN 解决方案时需要考虑哪几个要点? (1)认证方法。 (2)支持的加密算法。 (3)支持的认证算法。 (4)支持的 IP 压缩算法。 (5)易于部署。 (6)兼容分布式或个人防火墙的可用性。 2、网页攻击的步骤是什么? 第一步，创建一个网页，看似可信其实是假的拷贝≯但这个拷贝和真的“一样”：假 网页有与真网页·样的页面稠链接。 第二步， 攻击者完全控制假网页。 所以浏览器和网络问的所有信患变流都经过攻击者。 第三步，攻击者利用网页做假的后果：攻击者记录受害者访问的内容，当受害者填写 表单发送数据时，攻击者可以记录下所有数据。此外，攻击者可以记录下服务器响应 回来的数据。这样，攻击者可以偷看到许多在线，商务使用的表单信息，包括帐号、 密码和秘密信息。 如果需要，攻击者甚至可以修改数据。不论是否使用 SSL 或 S-HTTP，攻击者都可以对 链接做假。换句话说，就算受害者的浏览器显示出安全运行鲢接图标，受害者仍可能 链接在一个不安全链接上。 1．UPS 的作用是什么? UPS 的作用是防止突然停电造成网络通讯中断。 ’ 2．计算机病毒是如何产生的 7 ． 计算机病毒是人为产生的，是编制者在计算机程序中插入的破坏计算机功能，毁 坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 3．计算机恶性病毒的危害是什么? 计算机恶性病毒的危害是破坏系统或数据，造成计算机系统瘫痪。 4．简述容错技术的目的及其常用的容错技术。 容错技术的目的是当系统发生某些错误或故障时，在不排除错误和故障的条 系统能够继续正常工作或者进入应急工作状态。 容错技术最实用的一种技术是组成冗余系统。冗余系统是系统中除了配置 以外， 还配制出的备份部件。当正常的部件出现故障时，备份部件能够立即取。 续工作。当然系统中必须另有冗余系统的管理机制和设备。另有一种容错技术是? 系统。用两个相同的系统共同承担同一项任务，当一个系统出现故障时，另一系统能 完成全部任务。 2．保证数据完整性的措施有哪些? 保证数据完整性的措施有：有效防毒、及时备份、充分考虑系统的容错和冗余。
1、电子商务：顾名思义，是建立在电子技术基础上的商业运作，是利用电子技术加 强、加快、扩展、增强、改变了其有关过程的商务。 2． EDI： 电子数据交换(EDI， Electronic Data’Interchange)是第一代电子商务技术， 实现 BtoB 方式交易。 3．BtoB：企业机构间的电子商务活动。 4．BtoC：企业机构和消费者之间的电子商务活动。 5．NCSC：美国国家计算机安全中心(The National Computers Security"Center)是美 国国家安全局 NSA(National Security Agency)的一个分支机构，NCSC 为政府购买的 计算机设立了安全等级。 6．Intranet：是指基于 TCP／IP 协议的企业内部网络 r’它通过防火墙或其他安全机 制与 Internet 建立连接。Intranet 上提供的服务主要面向的是企业内部。 一 7．Extranet：是指基于 TCP／IP 协议的企业外域网，它是一种合作性网络。 8．商务数据的机密性：商务数据的机密性(Confidentiality)或称保密性是指信息在 网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织， 或者经过加密伪装后，使未经授权者无法了解其内容。 10．TCP 劫持入侵：是对服务器的最大威胁之一， ，其基本思想是控制一台连接于入侵 目标网的计算机，然后从网上断开，让网络服务器误以为黑客就是实际的客户端口。 1 1．主动攻击：是攻击者直接介入 Intemet 中的信息流动，攻击后，被攻击的通信双 方可以发现攻击的存在、 12 被动攻击： 。是攻击者不直接介人 Intemet 中的信息流动 j。只是窃听其中的信息。 被动攻击后，被攻击的通信双方往往无法发现攻击的存在。 l．明文：原始的、未被伪装的消息称做明文，也称信源。通常用 M 表示。 2．密文： 通过一个密钥和加密算法将明文变换成的一种伪装信息， 称为密文。C 表示。 3．加密：就是用基于数学算法的程序和加密的密钥对信息进行编码-，生成别人难以 理解的符号，即把明文变成密文的过程。通常用 E 表示。 4．解密：由密文恢复成明文的过程，称为解密。通常用 D 表示’ 5 加密算法：对明文进行加密所采甩韵一组规则，即加密程序的逻辑称做加密 解密算法： 消息传送给接收者后要对密文进行解密时所采用的一组规则称做解密算法。 7．密钥：加密和解密算法的操作通常都是在一组密钥的控制下进行的，分别称作加密 密钥和解密密钥。通常用 K 表示。 、 8．主密钥：多层次密钥系统中，最高层的密钥也叫作主密钥。 9 无条件安全：若它对于拥有无限计算资源的破译者来说是安全的 t，则称这样的密 码体制是无条件安全的。 SSL 安全套接层(或叫安全套接口层)协议：是用于到购物网站上交易的，并保障交易 的安全性。通俗地说：SSL 就是商家在通信之前，在 Intemet 上建立一个“秘密传输 信息的信道”，保障了传输信密性、完整性和认证性。国内外许多购物网站采用 SSL， 其原因是成本低，设置方廉物美地保障购物安全。可以预计购物网站或其他需要保护 用户信息的网站都会普及使用 SSL。 4．简述替换加密和转换加密的区别。 替换加密是指将每个字母替换为字母表中其他字母。有单字母加密和多字母加类 方法。Caesar(恺撤)密码就是单字母加密的一种。在替换加密法中，原文的顺片改变， 而是通过各种字母映射关系把原文隐藏了起来。 转换加密是将原字母的顺序打乱，将其重新排列。 3 述数据备份与传统的数据备份的概念。 或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。 传统的数据备份主要是采用数据内置或外置的磁带机进行冷备份。 11．简述归档与备份的区别。 归档是指将文件从计算机的存储介质中转移到其他永久性的介质上的，以便长期保存 的过程。备份的目的是从灾难中恢复。归档是把需要的数据拷贝或打包，用于长时间 的历史性的存放，归档可以清理和整理服务器中的数据。归档也是提高数据完整性的 一种预防性措施。3．实体认证与消息认证的主要差别是什么 7 ． 实体认证与消息认证的差别在于，消息认证本身不提供时间性，而实体认证一般 都是实时的。另一方面，实体认证通常证实实体本身 0 而消息认证除了证实消息的合 法性和完整性外，还要知道消息的含义。 4．数字签名与手书签书的区别。 。 数字签名与手书签名的区别在于：手写签名(包括盖章)是模拟的，因人而异，即使同 一个人也有细微差别，比较容易伪造，要区别是否是伪造， ·往往需要特殊专家鉴别。 而数字签名是 O 和 l 的数字串，极难伪造，要区别是否为伪造，不需专家。对不同的 信息摘要，即使是同一人，其数字签名也是不同的 6 这样就实现了文件与签署的最紧 密的“捆绑” 。 1．电子商务的可靠性的含义是什么? 可靠性是指电子商务系统的可靠性，电子商务系统也就是计算机系统，其可靠指为防 止由于计算机失效、 ‘程序错误、传输错误、硬件故障、系统软件错误、计算毒和自然 灾害等听所产生的潜在威胁，并加以控制和预防，确保系统安全可靠性。 2．电子商务的真实性的含义是什么? 真实性是指商务活动中交易者身份的真实性， 亦即是交易双方确实是存在的， 假冒的。 3、单钥密码体制的特点是什么? (1)加密和解密的速度快，效率高； (2)单钥密码体制的加密和解密过程使用同一个密钥。 发送者和接收者都需要密钥， 需 要安全渠道进行密钥的传递，单钥密码体制无法适应互联网大环境多人相信要求。 5．试述双钥密码体制的加密和解密过程及其特点? 薹 双钥密码体制又称作公共密钥体制或非对称加密体制。这种加密法在加密和解密 过程中要使用一对(两个)密钥，一个用与加密，另一个用于解密，即通过一个密钥加 密信息，只有使用另一个密钥才能够解密。这样每个用户都拥有两个(一对)密钥：公 钥密钥和个人密钥，公共密钥用于加密，个人密钥用于解密。用户将公共密钥交给发 送方或公开，信息发送者使用接收人的公共密钥加密的信息只有接收人才能解密。 6、双钥密码体制算法的特点： (1)适合密钥的分配和管理； (2)算法速度慢，只适合加密小数量的信息。
1
2．归档：是指将文件从计算机的从存储介质中转移到其他永久性的介质上的，以便 长期保存的过程。 3．VPN：虚拟专用网，指通过一个公共网络(通常是 Internet)建立一个临时的、安全连接。 7．证书政策：是一组规则，指出一个证书对一组特定用户或应用的可适用性，‘表明 它对于一个特定的应用和目的是否是可用的，它构成了交叉验证的基础。 8．SSL 协议：SSL 是基于 TCP／IP 的安全套接层(Secure Sockets Layer)协议，由 Netscape 开发，是服务器与客户机之间安全通信的加密机制，用一个密匙加密在 SSL 连接上传输的数据。 1·接人控制： 接人或访问控制是保证网络安全的重要手段， 它通过一组机制控制级别 的主体对目标资源的不同授权访问， 在对主体认证之后实施网络资源安全， 以便便用。 2·自主式接入控制：’简记为 DAC。它由资源拥有者分配接入权，j、在辨别各用户 f 型÷实现接人控制。每个用户的接人权由数据的拥有者来建立，常以接入控制表或表 买现。 。 '‘， ．3·强制式接入控制：简记为 MAC。-它由系统管理员来分配接入权限和实施控制于 与网络的安全策略协调，常用敏感标记实现多级安全控制。 ． 4·加密桥技术： 一种在加／解密卡的基础上开发加密桥的技术可实现在不存在降低 加密安全强度旁路条件下，为数据库加密字段的存储、检索、索引、运算、删除、修 改等功能的实现提供接口， 并且它的实现是与密码算法、 密码设备无关的(可使用任何 加密手段)。 ‘ ， 5·接人权限： 表示主体对客体访问时可拥有的权利。 接人权要按每一对主体客体分别 限定，权利包括读、写、执行等，读写含义明确，而执行权指目标为一个程序时它对 文件的查找和执行。 6．安全服务器：面向普通用户，用于提供证书申请、浏览、证书吊销表以及证书下载 等安全服务。 1． 扼制点的作用是什么? 扼制点的作用是控制访问。 3．什么是 Intranet?， Intranet 是指基于．TCP／IP 协议的内连网络“意通过防火墙或其他安全机制与 Internet 建立连接。 Intranet 上可以提供所有 Internet 的应用服努： WWW， 如 E-mail 等：只不过服务面向的是企业内部。和 Internet 一样，Intranet 具有很高的灵活性， 企业可以根据自己的需求，利用各种 Internet 互联技术建立不同规模和功能的网络。 什么是保持数据完整性? 1、 商务数据的完整性或称正确性是保护数据不被未授权者修改、 建立、 嵌入、 删除、 ， j 重复传送或由于．其他原因使壤始数据被更改。在存储时-要防止非法篡改，防止网 站上的信息被破坏。在传输过程中，如果接收端收到盼信息与发送的信息完全一样则 说明在传输过程中信息没有遭到破坏，具有完整性。加密的信息在传输过程，虽能保 证其机密性，但并不能保证不被修改。