电子商务安全 期末复习

电子商务安全与管理期末复习

题型： 1. 选择题（30分：1.5分1题，共20题）

2. 判断并说明理由题（28分：4分1个，共7题。其中判断对错占2分，简要说明理由占2分）

3. 简答题（30分：6分1题，共5题）

4. 综合分析题（12分：6分1题，共2题）

1、电子商务涉及的安全问题有哪些？P4-6

A. 信息的安全问题：

冒名偷窃、篡改数据、信息丢失、信息传递出问题

B. 信用的安全问题：

来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况

C. 安全的管理问题

D. 安全的法律保障问题

2、电子商务系统安全的三个组成部分。P7

4、电子商务的安全保障主要由哪三方面去实现？P17-22

技术措施

①信息加密技术：保证数据流安全，密码技术和非密码技术

②数字签名技术：保证完整性、认证性、不可否认性

③TCP/IP服务：保证数据完整传输

④防火墙的构造选择：防范外部攻击，控制内部和病毒破坏

管理措施

①人员管理制度：

严格选拔

落实工作责任制

贯彻ＥＣ安全运作三项基本原则：多人负责、任期有限、最小权限

②保密制度

不同的保密信息有不同的安全级别

③跟踪、审计、稽核制度

跟踪：自动生成系统日志

审计：对日志进行审计（针对企业内部员工）

稽查：针对企业外部的监督单位

④系统维护制度

硬件和软件

⑤数据容灾制度

⑥病毒防范制度

⑦应急措施

法律环境

《中华人民共和国电子签名法》

5、风险分析和审计跟踪的主要功能P10-11

风险分析：

a.设计前：根据分析系统固有的脆弱性，旨在发现系统设计前的潜在风险。

b.运行前：根据系统运行期的运行状态和结果，分析潜在安全隐患。

c.运行期：根据系统运行记录，跟踪系统状态的变化，分析运行期的安全隐患。

d.运行后：分析系统运行记录，为改进系统的安全性提供分析报告。

审计跟踪：

a.记录和跟踪各种系统状态的变化。

b.实现对各种安全事故的定位。

c.保存、维护和管理审计日志

1、信息传输中的五种常见加密方式。P27

①链路－链路加密

②节点加密

③端－端加密

④A TM网络加密

⑤卫星通信加密

链路-链路加密与端端加密区别：

2、对称加密的原理及其优缺点，常见对称密码算法有DES，AES，三重DES，Rivest 密码，对称加密密钥的传输可使用RSA密钥传输法。

原理:

数据的发送方和接受方使用的是同一把密钥

过程:

发送方对信息加密

发送方将加密后的信息传送给接收方

接收方对收到信息解密，得到信息明文

优点：由于加密算法相同，操作起来比较简单，使用方便、计算量小、加密与解密效率高。

缺点：1)密钥管理较困难；2)由于密钥传输可能会被窃取，新密钥发送给接收方较为困难，需对新密钥进行加密；3）其规模很难适应互联网这样的大环境。

3、什么是信息验证码？数字摘要、数字签名与信息验证码的区别。

信息验证码（MAC）也称为完整性校验值或信息完整校验。MAC是附加的数据段，是由信息的发送方发出，与明文一起传送并与明文有一定的逻辑关系。

数字签名包括报文摘要。报文摘要和非对称加密一起，提供数字签名的方法。数字签名保证信息的完整和提供信息发送者的身份认证和不可否认性，报文摘要用来防止发送的报文被篡改。两者采用的算法不同，数字签名主要是利用公钥算法，常见的有HASH、、RSA签名。报文摘要主要是安全散列标准，常用SHA-1和MD5。数字签名在支持身份认证的同时也支持不可否认服务，但信息验证码不具有进行数字签名的功能，因为接收方知道用于生成信息验证码的密钥。

4、非对称加密（公开密钥加密）的原理及其优缺点，常用RSA算法加密。公开密钥加密的加密模式和验证模式是什么？两种模式如何结合？（图2-7）

原理：采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加解密。

优点：安全性能好，破解困难；密钥存储和传输方便

缺点：算法复杂，加密和解密的速度很慢，不适合对大量的文件信息进行加密。

加密模式：

1.发送方用接收方的公开密钥对信息进行加密。

2.发送方将加密后的信息通过网络传送给接收方。

3.接收方用自己的私有密钥对加密信息进行解密。

验证模式：

1.发送方用自己的私有密钥对信息进行加密。

2.发送方将加密后的信息通过网络传送给接收方。

3.接收方用发送方的公开密钥对加密信息进行解密。

加密与验证的结合：

1.发送方用自己的私有密钥对信息进行加密。

2.发送方用接受方的公开密钥对已加密的信息再次加密。

3.发送方将两次加密后的信息通过网络传送给接收方。

4.接收方用自己的私有密钥及发送方的公开密钥对加密信息进行解密。

5、综合使用对称和非对称加密的混合加密，教材图2-8。

6、数字签名的原理和作用。常见的数字签名算法有RSA，美国数字签名标准算法DSA，椭圆数字签名算法等。电子商务应用中常用的特殊数字签名——盲签名，多重签名，双联签名等，主要应用在什么场合下？

原理：通过一个单向函数对要传送的报文进行处理得到用以认证报文来源并核实报文是否发生变化的一个字母数字串。

作用：保证信息传输的完整性和发送者的身份认证、防止交易中的抵赖发生。

应用：盲签名：一般用于电子货币和电子选举中。

多重签名：用于办公自动化、电子金融、CA认证等方面。

双联签名：解决三方参加电子贸易过程中的安全通信问题。

7、密钥的生命周期包括哪几个阶段？

1、密钥建立（包括生成密钥和发布密钥）

2、密钥备份/恢复或密钥的第三者保管

3、密钥替换/更新

4、密钥吊销

5、密钥期满/终止（其中可能包含密钥的销毁或归档）

8、常见的验证技术有哪些？其中数字时间戳验证的主要作用是什么？

验证技术：(P61-65)

1 基于口令的验证

2 验证协议

3 基于个人令牌的验证

4 基于生物统计特征的验证

5 基于地址的验证

6 数字时间戳验证

数字时间戳的验证作用：

数字时间戳可以作为电子商务交易信息的时间认证，一旦发生争议时作为时间凭证提供验证依据。

1、典型的网络层安全服务包括认证和完整性、保密性，访问控制，以及对核心internet基础协议的保护。

2、Internet安全的保护分为网络层安全、应用层安全和系统安全三类。三类安全保护是相互独立进行的，存在部分重叠的服务内容。P70-72

3、防火墙的功能及类型

功能：

1、过滤不安全的服务和非法用户

2、控制对特殊站点的访问

3、作为网络安全的集中监视点

类型：

1、包过滤型防火墙

2、应用网关型防火墙

3、代理服务型防火墙

4、VPN的概念及三类VPN服务类型。VPN的安全策略包括隧道技术、加解密技术、密钥管理技术，使用者与设备身份认证技术。

虚拟专用网络(virtual private network, VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。