电子商务安全导论自考复习资料

电子商务安全导论 (13) 目录1. 引言1.1 背景1.2 定义2. 电子商务安全的重要性2.1 数据隐私与保护2.2 交易安全性2.3 网络威胁与防范3. 电子商务安全的核心概念3.1 认证与授权3.2 数据加密与解密3.3 安全漏洞与风险评估3.4 安全监控与报告4. 电子商务安全的关键技术4.1 公钥基础设施（PKI）4.2 数字签名与证书4.3 传输层安全协议（TLS）4.4 常用加密算法与协议5. 数据隐私与保护措施5.1 隐私政策与合规5.2 个人身份信息（PII）保护5.3 数据备份与恢复6. 交易安全性保障6.1 支付安全措施6.2 电子商务平台安全6.3 信用卡安全性7. 网络威胁与防范7.1 恶意软件与7.2 网络钓鱼与网络钓鱼7.3 网络攻击与防御8. 法律法规与电子商务安全 8.1 信息安全法律法规8.2 数据保护法案8.3 电子签名法律规定9. 电子商务安全管理9.1 安全策略与规划9.2 网络安全意识教育培训 9.3 安全事件响应与处置10. 结论10.1 电子商务安全的未来发展趋势10.2 本文总结附件：本文档涉及的相关案例分析和实践经验。

法律名词及注释：1. 信息安全法律法规：是指国家关于互联网安全、网络安全、信息安全方面的法律及相关规定。

2. 数据保护法案：是指针对个人隐私数据进行保护的法律法规，以保护用户数据的安全性和隐私权利。

3. 电子签名法律规定：是指国家对电子签名的使用和认可进行法律约束和规范的相关规定。

电子商务安全复习题一、选择题：1、下列属于单钥密码体制算法的是（）A．RC—5加密算法 B．RSA密码算法C．ELGamal密码体制 D．椭圆曲线密码体制2、下列选项中不是．．散列函数的名字的是（）A．数字签名 B．数字指纹 C．压缩函数 D．杂凑函数3、《建筑内部装修设计防火规范》的国家标准代码是（）A．GB50174—93 B．GB9361—88C．GB50169—92 D．GB50222—954、Kerberos最头疼的问题源自整个Kerberos协议都严重地依赖于（）A．服务器 B．通行字 C．时钟D．密钥5、LDAP服务器提供（）A．目录服务 B．公钥服务 C．私钥服务D．证书服务6、SSL协议可以插入到Internet的应用协议中，它位于Internet TCP/IP协议的哪个协议之上？（）A、TCP B.IP C.FTP D.HTTP7、三重DES加密算法是（）A.用2个密钥对明文进行2次加密B.用2个密钥对明文进行3次加密C.用3个密钥对明文进行2次加密D.用3个密钥对明文进行3次加密8、MD-5散列算法是（）A.经过4轮运算，每轮又要进行4步迭代运算B、经过4轮运算，每轮又要进行16步迭代运算C、经过16轮运算，每轮又要进行4步迭代运算D、经过16轮运算，每轮又要进行16步迭代运算9、下列选项中不能保证数据完整性的措施是（）A、镜像技术 B.有效防毒 C.及时备份 D.隧道技术10、.PKI的构成中，制定证书政策和证书使用规定的机构是（）A.、政策管理机构PMAB.、政策审批机构PAAC、.证书管理机构CA D.、单位注册机构ORA11、下列选项中不不属于Internet攻击类型的是（）A 、截留信息 B、伪造 C 、篡改 D 、磁盘损坏12、RAS算法中的密钥的数目为（）A、1个B、2个C、3个D、4个13、Verisign划分的数字证书等级中，针对服务器的是（）A、等级1B、等级2C、等级3D、等级414、SHECA证书的非对称加密算法密钥长度是（）A、256位B、512位C、1024位D、204815、安全等级中称为访问控制保护级的是（）A、C1B、C2C、D1D、D216、下列选项中，不属于有影响的提供PKI服务的公司的是（）A．Baltimore公司 B．Entrust公司C．VeriSign公司 D．Sun公司17、SET协议确保交易各方身份的真实性的技术基础是数字化签名和（）A．加密 B．商家认证 C．客户认证 D．数字信封18、MAC的含义是（）A、自主式接入控制 B．数据存取控制C．强制式接入控制 D．信息存取控制19、使用专用软件加密数据库数据时，这一类专用软件的特点是将加密方法嵌入（）A．DBMS的源代码 B．应用程序源代码C．操作系统源代码 D．数据20、支持无线PKI的证书是（）A．CFCA手机证书 B．CTCA数字证书C．SHECA证书书 D．CHCA证书二、名词解释1、容错技术答：当系统发生某些错误或者故障时，在不排除错误和故障的条件下，使系统能够继续正常工作或进入应急工作状态的网络安全技术2、Extranet答：E xtranet是基于TCP/IP协议的企业外域网，与Intranet对应，是一个合作性网络3、发卡银行：答：电子货币发行公司或建有电子货币发行的银行，发行信用卡给持卡人的银行机构。

第四章　电⼦商务的安全1.计算机安全计算机安全就是保护企业资产不受未经授权的访问、使⽤、篡改或破坏。

安全专家通常把计算机安全分成三类，即保密、完整和即需。

保密是指防⽌未授权的数据暴露并确保数据源的可靠性；完整是防⽌未经授权的数据修改；即需是防⽌延迟或拒绝服务。

安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。

安全策略是对所需保护的资产、保护的原因、谁负责进⾏保护、哪些⾏为可接受、哪些不可接受等的书⾯描述。

安全策略⼀般包含以下内容：(1)认证：谁想访问电⼦商务站？(2)访问控制：允许谁登录电⼦商务站并访问它？(3)保密：谁有权利查看特定的信息？(4)数据完整性：允许谁修改数据，不允许谁修改数据？(5)审计：在何时由何⼈导致了何事？2.对版权和知识产权的保护版权是对表现的保护，⼀般包括对⽂学和⾳乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。

知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。

3.保护客户机对客户机的安全威胁来⾃：(1)活动内容；(2)Java、Java⼩应⽤程序和javascript；(3)ActiveX控件；(4)图形⽂件、插件和电⼦邮件附件。

信息隐蔽是指隐藏在另⼀⽚信息中的信息(如命令)，其⽬的可能是善意的，也可能是恶意的。

信息隐蔽提供将加密的⽂件隐藏在另⼀个⽂件中的保护⽅式。

数字证书是电⼦邮件附件或嵌在页上的程序，可⽤来验证⽤户或站的⾝份。

另外，数字证书还有向页或电⼦邮件附件原发送者发送加密信息的功能。

4.通讯信道的安全威胁对保密性的安全威胁，是指未经授权的信息泄露。

对完整性的安全威胁也叫主动搭线窃听。

当未经授权⽅同意改变了信息流时就构成了对完整性的安全威胁。

对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁，其⽬的是破坏正常的计算机处理或完全拒绝处理。

5.信息加密加密就是⽤基于数学算法的程序和保密的密钥对信息进⾏编码，⽣成难以理解的字符串。

第一章电子商务安全基础1，什么是保持数据旳完整性？答：商务数据旳完整性或称对旳性是保护数据不被未授权者修改，建立，嵌入，删除，反复传送或由于其他原因使原始数据被更改。

在存储时，要防止非法篡改，防止网站上旳信息被破坏。

在传播过程中，假如接受端收到旳信息与发送旳信息完全同样则阐明在传播过程中信息没有遭到破坏，具有完整性。

加密旳信息在传播过程，虽能保证其机密性，但并不能保证不被修改。

2，网页袭击旳环节是什么？答：第一步，创立一种网页，看似可信其实是假旳拷贝，但这个拷贝和真旳“同样”“假网页和真网页同样旳页面和链接。

第二步：袭击者完全控制假网页。

因此浏览器和网络是旳所有信息交流者通过袭击者。

第二步，袭击者运用网页做假旳后果：袭击者记录受害者访问旳内容，当受害者填写表单发送数据时，袭击者可以记录下所有数据。

此外，袭击者可以记录下服务器响应回来旳数据。

这样，袭击者可以偷看到许多在线商务使用旳表单信息，包括账号，密码和秘密信息。

假如需要，袭击者甚至可以修改数据。

不管与否使用SSL或S-HTTP，袭击者都可以对链接做假。

换句话说，就算受害者旳游览器显示出安全链接图标，受害者仍也许链接在一种不安全链接上。

3，什么是Intranet?答：Intranet是指基于TCP/IP协议旳内连网络。

它通过防火墙或其他安全机制与Intranet建立连接。

Intranet上可提供所有Intranet旳应用服务，如WWW，E-MAIL等，只不过服务面向旳是企业内部。

和Intranet同样，Intranet具有很高旳灵活性，企业可以根据自己旳需求，运用多种Intranet互联技术建立不一样规模和功能旳网络。

4，为何交易旳安全性是电子商务独有旳？答：这也是电子商务系统所独有旳。

在我们旳平常生活中，进和一次交易必须办理一定旳手续，由双方签发多种收据凭证，并签名盖章以作为法律凭据。

但在电子商务中，交易在网上进行，双方甚至不会会面，那么一旦一方反悔，另一方怎么可以向法院证明协议呢？这就需要一种网上认证机构对每一笔业务进行认证，以保证交易旳安全，防止恶意欺诈。

电子商务安全导论名词解释1，电子商务：顾名思义，是建立在电子技术基础上的商业运作，是利用电子技术加强，加快，扩展，增强，改变了其有关过程的商务。

2，EDI：电子数据交换是第一代电子商务技术，实现BTOB 方式交易。

3，BTOB：企业机构间的电子商务活动。

4，BTOC：企业机构和消费者之间的电子商务活动。

5，intranet：是指基于TCP/IP协议的企业内部网络，它通过防火墙或其他安全机制与intranet建立连接。

intranet 上提供的服务主要是面向的是企业内部。

6，Extranet：是指基于TCP/IP协议的企业外域网，它是一种合作性网络。

7，商务数据的机密性：商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取，不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。

8，邮件炸弹：是攻击者向同一个邮件信箱发送大量的垃圾邮件，以堵塞该邮箱。

9，TCP劫持入侵：是对服务器的最大威胁之一，其基本思想是控制一台连接于入侵目标网的计算机，然后从网上断开，让网络服务器误以为黑客就是实际的客户端。

10，HTTP协议的“有无记忆状态”：即服务器在发送给客户机的应答后便遗忘了些次交互。

TLENET等协议是“有记忆状态”的，它们需记住许多关于协议双方的信息，请求与应答。

1，明文：原始的，未被伪装的消息称做明文，也称信源。

通常用M表示。

2，密文：通过一个密钥和加密算法将明文变换成一种伪信息，称为密文。

通常用C表示。

3，加密：就是用基于数学算法的程序和加密的密钥对信息进行编码，生成别人难以理解的符号，即把明文变成密文的过程。

通常用E表示。

4，解密：由密文恢复成明文的过程，称为解密。

通常用D表示。

5，加密算法：对明文进行加密所采用的一组规则，即加密程序的逻辑称做加密算法。

6，解密算法：消息传送给接收者后，要对密文进行解密时所采用的一组规则称做解密算法。

7，密钥：加密和解密算法的操作通常都是在一组密钥的控制下进行的，分别称作加密密钥和解密密钥。

电子商务安全导论主要知识第一章电子商务安全基础一、商务和电子商务的概念1．电子商务的含义【名词解释】电子商务：是建立在电子技术基础上的商业运作，是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。

2．电子商务的技术要素【多选】电子商务的技术要素组成包括：网络、应用软件和硬件。

3．电子商务的模式(1)大字报／告示牌模式。

(2)在线黄页簿模式。

(3)电脑空间上的小册子模式。

(4)虚拟百货店模式。

(5)预订／订购模式。

(6)广告推销模式。

4．Internet(因特网)、Intranet(内连网)和Extranet(外连网)的特点(1)Internet(因特网)因特网的最大优势，是它的广袤覆盖及开放结构。

由于它是开放结构，许多企业及用户可以按统一的技术标准和较合理的费用连接上网，使网上的主机服务器和终端用户以滚雪球的速度增加，也使其覆盖增长至几乎无限。

但它的优点也是它的缺点。

因特网的管理松散，网上内容难以控制，私密性难以保障。

从电子商务等应用看，安全性差是因特网的又一大缺点，这已成为企业及用户上网交易的重要顾虑。

(2)Intranet(内连网)Intranet(内连网)本书中选译为企业内域网。

企业内域网是为企业内部运作服务的，自然有它安全保密的要求，当它与公网Internet连接时，就要采取措施，防止公网上未授权的无关人员进入，防止企业内部敏感资料的外泄。

这些保障内域网安全的硬件、软件措施，通常称为防火墙(Firewall)。

防火墙常常是一个介乎内域网和因特网其他部分之间的安全服务器。

(3)Extranet(外连网)一般译为企业外域网，它是一种合作性网络。

一个企业除利用因特网的技术和标准或直接在因特网上构建企业内域网，满足企业内部运作之外，还经常需要与某些业务关系较密切的本企业集团以外的单位通过网络进行联系，为达成某一共同目标而共享某些资源。

5．电子商务的发展历史【单选】有人把现代电子商务的发展分成如下几个阶段，从中也可看出电子商务发展的轨迹、条件和基础：(1)1995年：网络基础设施大量兴建。

1、单钥密码体制单钥密码体制：又称秘密密钥体制或对称密钥体制，是加密和解密使用相同或实质上等同的密钥的加密体制。

特点：加密和解密的速度快，效率高；加密和解密过程使用同一个密钥单钥密码体制的几种算法：DES加密算法（通过反复应用这种技术，将一种基本算法施于另一种基本算法之上，并进行16次循环迭代来完成的）、IDEA加密算法、RC-5加密算法、AES加密算法2、双钥密码体制双钥密码体制：又称公共密钥体制或非对称加密体制，通过一个密钥加密的信息，只有使用另一个密钥才能够解密。

特点：适合密钥的分配和管理；算法速度慢，只适合加密小数量的信息双钥密码体制的几种算法：RSA密码算法（既能用于数据加密也能用于数字签名的算法）、ELGamal密码体制、椭圆曲线密码体制ECC3、数字签名的必要性①传统手书签名仪式要专门预订日期时间，契约各方到指定地点共同签署一个合同文件，短时间的签名工作需要长时间的前期准备工作。

这种状况对于管理者是延误时机，对于合作伙伴是丢失商机，对于政府机关是办事效率低下。

②电子商务时代各种单据的管理必须实现网络化的传递。

保障传递文件的机密性应使用加密技术，保障其完整性则用信息摘要技术，而保障认证性和不可否认性则应使用数字签名技术。

③数字签名可做到高效而快速的响应，任意时刻，在任何地点，只要有Internet 就可以完成签署工作。

④数字签名除了可用于电子商务中的签署外，还可用于电子办公、电子转账及电子邮递等系统。

4、数字签名的原理发送者用自己的私钥对消息加密后，得到密文，接受者收到密文后，用发送者的公钥解密后，得到消息。

如果可得到消息，如两个消息一致，则说明此消息没有被修改过。

5、混合加密系统混合加密系统综合利用了消息加密、数字信封、散列函数和数字签名等技术，实现电子商务的保密性、完整性、可鉴别性和不可否认性。

具体的实施过程：发送方对明文消息求其消息散列值；发送方使用自己的私钥对散列值进行数字签名；将明文和散列值进行合并形成文档；随机产生一个DES 密码，用此密码对合并的文档进行DES加密；用接收方的公钥对DES密码进行加密。

电子商务安全导论（自考全）电子商务安全导论名词解释：1.混合加密系统：是指综合利用消息加密。

数字信封、散列函数和数字签名实现安全性、完整性、可鉴别性和不可否认性。

它成为目前信息安全传送的标准模式，被广泛采用。

4.通行字（Password，也称口令、护字符）：是一种根据已知事务验证身份的方法，也是一种研究和使用最广的身份验证法。

6.C1级：有时也叫做酌情安全保护级，它要求系统硬件中有一定的安全保护，用户在使用前必须在系统中注册。

14.RSA密码算法：是第一个既能用于数据加密也能用于数字签名的算法。

RSA密码体质是基于群Z n中大整数因子分解的困难性。

15.接入限制：表示主体对客体访问时可拥有的权利，接入权要按每一对主体客体分别限定，权利包括读、写、执行等，读写含义明确，而执行权指目标位一个程序时它对文件的查找和执行。

21.加密桥技术：是一个数据库加密应用设计平台，根据应用系统开发环境不同，提供不同接口，实现对不同环境下（不同主机、不同操作系统、不同数据库管理系统、不同国家语言）数据库数据加密以后的数据操作。

22.公钥数字证书：是网络上的证明文件：证明双钥体质中的公钥所有者就是证书上所记录的使用者。

28.数字签名：（也称数字签字、电子签名）在信息安全方面有重要的应用，是实现认证的重要工具，在电子商务系统中是比不可少的。

29.PKI：即“公钥基础设施”，是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

31.个人数字证书：是指个人使用电子商务应用系统应具备的证书。

44.双连签名：是指在一次电子商务活动过程中可能同时有两个有联系的消息M1和 M2，要对它们同时进行数字签名。

46.中国金融认证中心（CFCA）:是中国人民银行牵头，联合14家全国性商业银行共同建立的国家级权威金融认证机构，是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。

1.什么是保持数据完整性?2.网页攻击的步骤是什么?3．为什么交易的安全性是电子商务独有的?4．攻击Web站点有哪几种方式?5．Web客户机和Web服务器的任务分是什么?6．IP地址顺序号预测攻击的步骤是什么?7．普通电子邮件的两个方面的安全问题是什么?由什么原因造成的?8．电子商务安全的六项中心内容是什么?9．电子商务的可靠性的含义是什么?10．电子商务的真实性的含义是什么?11．单钥密码体制的特点是什么?12．简述替换加密和转换加密的区别13．什么是集中式密钥分配?14．什么是分布式密钥分配?15．Shamir密钥分存思想是什么?16．双钥密码体制最大的特点是什么?17．试述双钥密码体制的加密和解密过程。

18．替换加密和转换加密的主要区别是什么?19．列举单钥密码体制的几种算法20．简述DES的加密运算法则。

21．什么是双重DES加密方法?简述其算法步骤。

22．什么是三重DES加密方法?简述其算法步骤。

23．简述IDEA加密算法的基本运算、设计思想及加密过程？24．简述两类典型的自动密钥分配途径。

25．简述保护数据完整性的目的26．简述散列函数应用于数据的完整性，以及被破坏会带来的严重后果？27．数字签名如何使用双钥密码加密和散列函数? 28．数字签名与消息的真实性认证有什么不同?29．数字签名与手书签名有什么不同?30，数字签名可以解决哪些安全鉴别问题?31．无可争辩签名有何优缺点?32．简述利用盲变换实现盲签名的基本原理33．对比传统手书签名来论述数字签名的必要性？34．简述数字签名的原理？实际使用原理是35．简述数字时间戳的原理。

36.UPS的作用是什么?37.计算机病毒是如何产生的？38．计算机恶性病毒的危害?39．简述容错技术的目的及其常用的容错技术。

40．现在网络系统的备份工作变得越来越困难，其原因？41．简述三种基本的备份系统。

42．简述数据备份与传统的数据备份的概念?43．列举计算机病毒的主要来源。

2022年自考专业(电子商务)电子商务安全导论考试真题及答案一、单项选择题(本大题共20小题，每小题1分，共20分)1、电子商务进展的第一个浪潮是指A.网络基础设施大量兴建B.应用软件及服务成为热点C.portal公司的消失D.零售业上网2、下列选项中不属于电子商务平安中心内容的是A.商务数据的完整性B.商务数据的机密性C.商务服务的不行否认性D.商务对象的匿名性3、使用凯撒密码，Key=3，原文m=ecommerce，则密文是A.ECOMMERCEB.HFRPPHUFHC.ecommerceD.Hfrpphufh4、最早提出的公开的密钥交换协议是A.Blom协议B.Euclid协议C.Skipjack协议D.Diffie—Hellman协议5、散列函数SHA的输出压缩值为A.64比特B.128比特C.160比特D.192比特6、在数字信封技术中，加密发送方随机产生的DES密钥采纳的密钥是A.发送方的公钥B.接受方的公钥C.发送方的私钥D.接受方的私钥7、计算机机房设计中，机房环境、电源及防雷接地应满意A.电子计算机机房设计规范B.计算机房场、地、站平安要求C.建筑与建筑群综合布线系统工程设计规范D.电器装置下载工程、接地装置施工及验收规范8、下列防病毒软件中属于国产的是A.kv3000B.nod32C.NortonD.McAfee9、在使用防火墙技术加强网络平安后，DMZ位于A.内网B.外网C.IntranetD.Intemet10、下列选项中，不属于VPN具有的功能是A.加密数据B.信息认证C.信息过滤D.身份认证11、接人掌握机构的建立主要依据三种类型的信息，其中主体又可为多种实体，下列实体中属于主体的是A.用户B.数据文件C.程序组D.数据库12、对数据库的加密方法通常有多种，将加密方法嵌入DBMS的源代码，使加密方法与数据库永久地捆绑的方法属于A.使用加密软件加密数据库B.使用专用硬件加密数据库C.使用专用软件加密数据库数据D.使用加密桥技术13、实现身份证明的途径有多种，出示个人所具有的东西，如护照属于A.所知B.全部C.个人特征D.动作特征14、在Kerberos的认证过程中，Client向本域内的服务器申请服务的过程为三个阶段，下列描述属于第2阶段的是A.客户向TGS恳求服务的服务许可证B.客户向AS申请服务C.客户向AS申请得到注册许可证D.客户向Server申请服务15、证明电子邮件用户身份和公钥的证书为A.客户证书B.服务证书C.服务器证书D.平安邮件证书16、CA系统由多个部分构成，其中负责证书的签发的服务器是A.平安服务器B.CA服务器C.数据库服务器D.LDAP服务器17、供应平安的电子商务数据交换的协议是A.SSLB.SETC.TLSD.IP18、关于SET与SSL说法正确的是A.A.SSL的平安性要求更高B.B.SSL的客户和商家都必需申请数字证书C.C.SET的普及率更高D.D.SET需要下载特地的软件19、CFCA金融认证服务的相关规章中要求持卡人网上业务的资格包含A.拥有数字证书B.拥有微信C.拥有5万的定期存单D.拥有信用卡20、上海市电子商务平安证书管理中心的简称是A.SHECB.SHECAC.SHECBD.CTCA二、多项选择题（本大题共5小题，每小题2分，共10分）1、接人掌握策略包含多种，其中多级平安策略的主体和客体划分为多级，详细包含A.内部B.隐秘C.机密D.绝密E.一般2、证书的网上申请方式包含A.离线申请B.E—mail申请C.WEB申请D.微信申请E.在线申请3、下列哪些性能是PKI必需具有的?A.多政策支持B.易用性C.多平台D.完整性E.机密性4、SSL体系结构包含的协议有A.SSL连接协议B.SSL警告协议C.SSL认证协议D.SSL握手协议E.SSL记录协议5、参加建立CFCA的银行有A.招商银行B.光大银行C.汇丰银行D.华夏银行E.平安银行参考答案：【一、单项选择题】1~5ADBDC6~10BCAAC11~20点击下载查看答案【二、多项选择题】1BCDE2BC3ABC4BDE5ABD。

2021年自考电子商务安全导论复习资料（13）
第六章数控库加密技术 1.数据加密的必要性
由于网络技术、网络合同、主要技术是公开的，所有的网络安全技术也是基于这些公开的技术，黑客利用这些公开技术中的漏洞，对网络和数据进行攻击;任何操作系统无论其技术是否公开，都是有漏洞的，因为安全与运行效率是一个要综合平衡的矛盾。

一旦黑客攻破网络，如果数据未加密，计算机数据是可读的，则数据即盗即用。

黑客还可以有针对性的盗窃和篡改黑客关心的文件和数据库记录(破坏数据的完整性)。

并且黑客一旦掌握了攻破方法以后，会不竭的继续盗走和篡改数据，而用户很难察觉。

因此。

数据加密十分必要。

2.数据加密的作用数据加密的作用在于：
(1)解决外部黑客侵入网络后盗窃计算机数据的问题。

(2)解决外部黑客侵入网络后篡改数据的问题。

(3)解决内部黑客在内部网上盗窃计算机数据的问题。

(4)解决内部黑客在内部网上篡改数据的问题。

(5)解决CPU、操作系统等预先安设了黑客软件或无线发射装置的问题。

3.数据加密的方法目前，对数据库的加密方法有以下三种：(1)使用加密软件加密数据。

(2)使用专用软件加密数据库数据。

(3)加密桥技术。

【单选】在加密/解密卡的基础上开发的数据库加密应用设计平台是使用加密桥技术。

2021年自考电子商务安全导论复习资料（15）6.通行字的安全存储通行字的安全存储有以下2种方法：(1)对于用户的通行字多以加密形式存储，入侵者要得到通行字，必需知道加密算法和密钥，算法可能是公开的，但密钥应当只有办理者才知道。

(2)许多系统可以存储通行字的单向杂凑值，入侵者即使得到此杂凑值也难于推出通行字。

1.Kerberos认证体系的作用Kerberos是一种典型的用于客户机和办事器认证的认证体系合同，它是一种基于对称密码体制的安全认证办事系统。

其最大优点就是使用便利、易于实施。

Kerberos通过提供中心认证办事，并应用传统的加密方法，在客户机和办事器之间构造起了一个安全桥梁的作用，在很大程度上能够消除常规的许多潜在安全问题。

2.Kerberos系统的组成Kerberos系统由下面的4个部分组成：AS、TGS、Client、Server。

【多选】Kerberos系统的组成部分包罗：As、TGS、Client、Server。

3.域内认证Client向本Kerberos的认证域以内的Server申请办事的过程分为3个阶段，共6个步骤。

(1)第一阶段：客户Client向AS申请得到注册许可证(ClientßàAS)。

(2)第二阶段：客户Client从TGS得到所请求办事的办事许可证Ts(ClientàTGS).(3)第三阶段：客户利用办事许可证Ts向Server申请办事(ClientßàServer)。

4.域间认证Client向本Kerberos的认证域以外的Server～申请办事的过程分为4个阶段共8个步骤。

(1)第一个阶段：ClientßàAS(两者之间共享client的密钥Kc，密钥Ktgs是AS和TGS共享的，由AS传递给合法的Client)。

(2)第二个阶段：ClientßàTGS。

第四章电⼦商务的安全 通过学习本章内容，考⽣应识记计算机安全、版权及知识产权的概念，还有计算机易受到的安全威胁，这些安全威胁来⾃于客户机、通讯信道以及服务器； 考⽣还应领会活动内容为计算机带来的安全威胁以及信息加密的⼯作原理； 在掌握以上知识的基础上，要求考⽣能够针对不同的安全威胁制定并实施相应的安全策略。

1.计算机安全 要求识记计算机安全的概念及分类、安全措施及安全策略的定义； 领会计算机各种安全的含义； 要求能够根据实际情况制定安全措施。

1.计算机安全 计算机安全就是保护企业资产不受未经授权的访问、使⽤、篡改或破坏。

安全专家通常把计算机安全分成三类，即保密、完整和即需。

保密是指防⽌未授权的数据暴露并确保数据源的可靠性；完整是防⽌未经授权的数据修改；即需是防⽌延迟或拒绝服务。

安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。

1.计算机安全 安全策略是对所需保护的资产、保护的原因、谁负责进⾏保护、哪些⾏为可接受、哪些不可接受等的书⾯描述。

安全策略⼀般包含以下内容： （1）认证：谁想访问电⼦商务站？ （2）访问控制：允许谁登录电⼦商务站并访问它？ （3）保密：谁有权利查看特定的信息？ （4）数据完整性：允许谁修改数据，不允许谁修改数据？ （5）审计：在何时由何⼈导致了何事？ 2.对版权和知识产权的保护 识记版权及知识产权的概念；领会互联对知识产权的安全威胁，保护数字化知识产权与保护传统知识产权的区别，以及如何实现对数字化知识产权的保护。

版权是对表现的保护，⼀般包括对⽂学和⾳乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。

知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。

3.保护客户机 要求识记客户机已受到哪些安全威胁、信息隐蔽及数字证书的概念； 领会活动内容如何带来安全威胁、Java、Java⼩应⽤程序和JavaScript 如何解决问题、Active X如何带来安全威胁、电⼦邮件如何带来安全问题、数字证书的⽤途、浏览器内部对客户机端的保护、防病毒软件的作⽤； 要求能够针对不同的安全威胁制定相应的安全策略。