电子商务安全与管理思考题

电子商务安全与管理思考题

电子商务安全与管理思考题

第一章

1、电子商务的安全设计哪些问题？

(1)信息的安全问题。主要包括：①冒名顶替②篡改数据③信息丢失④信息传递出问题

（2）信用的安全问题。包括：①来自买方的信用安全问题②来自卖方的信用安全问题③买卖双方都存在抵赖的情况

（3）安全的管理问题

（4）安全的法律保障问题

2、什么是实体安全？具体由哪些部分组成？

所谓实体安全，是指保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。

由以下三方面组成：（1）环境安全（2）设备安全（3）媒体安全

3、什么是媒体数据安全？媒体数据安全涉及哪些安全功能？

媒体数据的安全主要是提供对媒体数据的保护，实施对媒体数据的安全删除和媒体的安全销毁，目的是为了防止被删除或者被销毁的敏感数据被他人恢复，主要涉及三个方面的功能。

（1)媒体数据的防盗，如防止媒体数据被非法拷贝。

（2)媒体数据的销毁，包括媒体的物理销毁（如媒体粉碎等）和媒体数据的彻底销毁（如消磁等），防止媒体数据删除或销毁后被他人恢复而泄露信息。

（3)媒体数据的防毁，防止意外或故意的破坏而使媒体数据丢失。

4、什么是运行安全？具体由哪几部分组成？

运行安全是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。

由以下四方面组成：（1）风险分析（2）审计跟踪（3）备份与恢复（4）应急

5、什么是风险分析？风险分析涉及哪些安全功能？

风险分析就是要对电子商务安全系统进行人工或自动的风险分析。

风险分析主要涉及四个方面的安全功能：（1）系统设计前的风险分析（2）系统试运行前的风险分析

（3）系统运行期的风险分析（4）系统运行后的风险分析

6、什么是信息安全？具体包括哪些安全内容？所谓信息安全，是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即信息安全要确保信息的完整性、保密性、可用性和可控性。

信息安全具体由下面七个部分组成：

（1）操作系统安全（2）数据库安全（3）网络安全（4）病毒防护安全（5）访问控制安全（6）加密（7）鉴别

7、什么是身份鉴别？什么是信息鉴别？

所谓身份鉴别，是提供对用户的身份鉴别，主要用于阻止非授权用户对系统资源的访问。身份鉴别是提供对信息收发方（包括用户、设备和进程）真实身份的鉴别。

信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。

8、电子商务的安全应当从哪几个方面来综合考虑？

电子商务的安全需要依靠三个方面的支持：一、信息技术方面的措施，如防火墙、网络防毒、信息加密、身份认证、授权等，但只有技术措施并不能保证百分之百的安全；二是信息安全管理制

度的保障；三是社会的法律政策与法律保障。只有三管齐下，才能最终保证电子商务的安全。

第二章：

1、信息安全的五种服务是什么？各需要采用什么安全技术来实现？

机密性；信息完整性；对信息的验证；信息的不可否认性；对信息的访问控制。

加密；数字摘要；数字签名，提问—应答，口令，生物测定法；数字签名，数字证书，时间戳；防火墙，口令，生物测定法。

2、什么是对称加密？对称加密是如何进行的？对称加密又叫秘密密钥加密，其特点是数据的发送方和接收方使用的是同一把密钥，即把明文加密成密文和把密文解密成明文用的同一把钥钥。利用秘密密钥进行加密的过程是：

（1）自己的秘密密钥对要发送的信息进行加密。（2）发送方将加密后的信息通过网络传送给接收方。

（3）接收方用发送方进行加密的那把秘密密钥

对接到的加密信息进行解密，得到信息明文。3、什么是信息验证码？其使用过程是怎样的？信息验证码也称为完整性校验值或信息完整校验。MAC是附加的数据段，是由信息的发送方发出，与明文一起传送并与明文有一定的逻辑联系。MAC的值与输入信息的每一位都有关系，如果在信息中的任何一位MAC生成后发生了改变，则就会发生出不同的MAC值，接收方就能知道该信息的完整性已遭到了破坏。

基于收到的信息，接收方利用信息内容重新计算MAC，并比较两个MAC值。这类似于通讯系统的普通错误校验过程，例如，在信息上附加一个成为循环冗余校验值（CRC)数据字段。不过这里有一个组要的不同，即必须考虑到可能会发生的蓄意攻击。如果某个主动的攻击者重新计算机和替换附加在信息中的CRC，接收方也就不可能觉察出数据已被篡改。为防止这类攻击，生成MAC是需要使用一个信息接收方也知道的密钥。接收方拥有可以生成的MAC的密钥，在接收信息时可以对信息内容与MAC是否一致进行确认。这样，如果信息被改了，就肯定能检查出来。

4、什么是公开密钥加密？什么是RSA？

（5）接收方用自己的私有密钥解密加密后的密钥，得到对称密钥K。

（6）接收方用对称密钥K对加密的内容进行解密，得到明文的内容。

9、验证可以根据哪些因素来进行？

（1）申请人表示所知道的某些事物，如口令。（2）申请人出示一些所有物，如实际的密钥或卡。

（3）申请人展示一些不可改变的特征，如指纹。（4）需要证明申请人身份的一方接受已经对申请人进行了验证的其他可信任方。

第三章：

1、什么是网络层安全？典型的网络层安全服务包含哪些内容？

网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。典型的典型的网络层安全服务包括：

（1）认证和完整性：向接收系统提供可靠的数据包来源，确保数据包没有被修改。

（2）保密性：保证数据包的内容除预期的接受者外，不泄露给其他的任何人。