电子商务安全复习资料

1、风险评估：风险识别工作结束以后，要利用适当的风险测量方法、工具确定风险的大小与风险等级，这就是风险评估过程

2、诚信:字面的解释就是诚实守信、狭义的诚信取“诚”与“信”内涵中相互包含的成分、即诚实无欺和遵守承诺。广义的诚信涵盖了“诚”与“信”所涉及的几乎所有内容、是从道德主体的内在德行和外化行为的双重视角赋予诚信以更宽泛和全面的内容

3、公钥基础设施：又叫公钥体系、是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范、用户可利用PKI平台提供的服务进行安全通信

4、操作系统安全：指要对电子商务系统的硬件和软件资源实行有效的控制、为所管理的资源提供相应的安全保护

5、网络层安全：指的是对一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护

6、防火墙：是网络安全的第一道屏障、保障网络安全的第一个措施往往是安装和应用防火墙、防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统

7、非对称加密：非对称密钥又叫公开密钥加密，需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加密

8、应用层安全：指的是建立在某个特定的应用程序内部、不依赖于任何网络层安全措施而独立运行的安全措施

9、信息安全：是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨别、控制、即信心安全要确保信息的完整性、保密性、可用性和可控性

10、系统实体安全:指保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。

11、认证中心：是电子商务安全中的关键环节，也是电子交易中信赖的基础，是在电子交易中承担网上安全电子交易认证服务，签发数字证书，确认用户身份等工作的具有权威性、可依赖性和公正性的第三方机构

12、虚拟专用网（VPN）：是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式

13、数字签名：是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项、借助数字签名可以确定消息的发送方、同时还可以确定信息自发出后未被修改过

14、入侵检测：就是对入侵行为的发觉，通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象15、计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据，影响计算机使用并能够自我复制的一组计算机指令或者程序代码

16、证书策略CP与证书实施说明CPS：CP是指一套指定的规则，用于说明满足一般安全性要求的数字证书在某个特定的团体里和（或）某一类应用程序中的应用能力。CPS是规定了在认证过程中要遵循的操作程序、证书实施说明的内容包括数字证书的复杂性及长度说明等、但最主要的是公开说明了认证机构的运作方式

17、数字证书：是指一个由使用数字证书的用户群所公认和信任的权威机构（即CA）签署了其数字签名的信息集合

1、三种不可否认机制：来源的不可否认机制、送递的不可否认机制、提交的不可否认机制。

2、访问控制安全包括：出入控制、存取控制。

3、信息的安全问题包括：冒名偷窃、篡改数据、信息丢失、信息传递出问题。

4、鉴别包括：身份鉴别、完整性鉴别、不可否认性鉴别。

5、信用的安全问题包括：来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况。

6、电子邮件内容的安全问题有：发送者身份认证、不可否认、邮件的完整性、邮件的保密性。

7、应用层安全措施包括：认证、访问控制、保密性、数据完整性、不可否认性。

8、常用的加密方式：链路－链路加密、节点加密、端－端加密、ATM网络加密、卫星通信加密。

9、《中华人民共和国电子签名法》是我国第一部真正意义上的电子商务法。

10、常见防火墙分类包括：包过滤型防火墙、应用网关型防火墙、代理服务型防火墙。

11、OSI基本参考模型提供的五种安全服务：验证服务、访问控制服务、数据保密服务、数据完整性服务、不可否认服务。

12、网络入侵检测的主要方法异常检测、误用检测。

13、密钥的生命周期包括：密钥建立、密钥备份/恢复、密钥替换/更新、密钥吊销、密钥期满/终止。

14、常用的加密方式：链路－链路加密、节点加密、端－端加密、ATM网络加密、卫星通信加密。

15、防火墙的实现方式有包过滤路由器、双穴防范网关、过滤主机网关、过滤子网防火墙。

16、防火墙的控制能力：服务控制、方向控制、用户控制和行为控制。

17、公钥用户：加密信息发送方和数字签名验证方

18、公开密钥加密基本模式包括：加密模式和验证模式。

19、虚拟专用网络(VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。

20、系统实体安全的组成：环境安全、设备安全、媒体安全。

21、VPN的安全策略包括：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。

22、CTCA指的是中国电信认证中心

23、美国的橘黄皮书中为计算机安全的不同级别制定了4个标准：D，C，B，A级，其中最底层是D级

24、CFCA证书种类包括：企业普通证书、个人高级证书、手机证书、代码签名证书、服务器证书

25、在B2B电子商务中，接到货款后，指定银行通知认证中心，买方货款到账。

26、目前发展很快的基于PKI的安全电子邮件协议是S/MIME

27、用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份是指数字认证

28、LDAP服务器在CA体系中提供目录浏览服务。

29、在电子商务的安全需求中，交易过程中必须保证信息不会泄露给非授权的人或实体指的是机密性。

30、网络交易的信息风险主要来自冒名偷窃、篡改数据、信息丢失