电子商务安全

一、选择题：

风险等级：一般警戒、增进警戒、焦点攻击、灾难性攻击

TCP\UDP传输层FTP\HTTP应用层IP 网络层

路由发生在网络层

EMAIL的安全问题：诈骗、欺骗、轰炸

网址即域名

DES算法是世界上应用最广泛的加密算法

对称加密算法：M（n,2）=n/2(n-1)

计算机犯罪手段：数据欺骗、特洛伊木马、意大利香肠战术、浏览-访问非授权的文件、端口攻击

口令选择的要求：即使使用很长的代码也很难或不可能探出口令；容易记忆；定期变化；存储在目标系统上，要得到很好的保护（加密/不能访问）

计算机犯罪类型：破坏计算机、窃用计算机、滥用计算机、破坏安全系统特点：破坏力大、智慧型犯罪、白领犯罪、不易察知、侦查困难。

操作系统的类型：windows操作系统、UNIX操作系统、Linux操作系统、MacOS操作系统

数据库安全管理框架：网络系统层次、宿主操作系统层次、数据库管理系统层次。

电子商务风险：完整性风险（用户界面、处理、错误处理、界面、变化处理、数据）、接入风险（业务流程、应用软件、数据和数据管理、流程环境、网络、硬件设备）、基础设施风险（组织计划、应用系统的定义和开发、逻辑安全和安全管理、计算机和网络操作、数据和数据库管理、核心业务数据恢复）、获得性风险、其他与商务相关的风险。

其他与商务相关的风险：正确性风险、效率风险、周期性风险、报废风险、业务中断风险、产品失败风险。

内部控制的要素：控制环境、风险评估、控制行为、信息和沟通以及监控。

二、名词解释：

1电子商务：是指各种具有商业活动能力的主体（如企业、个人、政府、银行等）利用网络和先进数字化传媒技术开展的各项商业贸易活动

2风险：是指意外发生对意外性和不确定性，包括损失发生与否及损失程度大小的不确定性。

（风险分析A特征：风险即客观又主观、需要个人判断、有风险的行为和因此产生的风险通常是可以避免的B 目的：透彻了解风险主体、查明风险客体以及识别和评估风险发生的因素；根据其性质选择、优化管理方法，制定可行方案用以决策；总结经验，丰富理论C 原则：分析人员在进行风险分析时辨别和评估各种风险因素所持的态度，以及在分析中采用各种技术的原则，它是独立于风险分析的对象之外的认知系统遵循的原则 D 步骤：确定范围、找出风险、风险评估、风险控制）

3协议：是关于通信过程的规则或条约，它规定了如何传输信号，如何在宿主计算机上将数据包重新组成计算机信息等。

4加密：加密是以某种特殊的算法改变原有的信息数据，使得未授权的用户即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。

5数字签名：用户用自己的私钥对原始数据的数字摘要进行加密所得的数据。

6计算机病毒：是一种在计算机系统运行过程中能够把自身精确复制或有修改地复制到其他程序体内的程序，它是一种人为编制的软件。

7计算机犯罪：以计算机为工具，采用非法手段使自己获利或使他人遭受损失的犯罪行为。

8 防火墙：是一种网络组成部件，它是连接内部与外部、专用网络与公用网络的部件从而把安全网络连接到不安全网络将不安全网络转变成安全网络的部件。

9信息包过滤器由路由器或配备相应软件的计算机系统实现，是一种专业的网络部件即网关，能够检查数据包是否违反标准并决定其是否被传递.工作原理：输入过滤以防止地址欺骗、区分TCP的发送与应答信息包、交换过滤条件—路由器访问表（协议，如TCP\UDP；发送/接收地址；发送/接收端口

10 操作系统：是一组用于控制、管理计算机系统中软、硬件资源，提高资源管理效率、方便用户使用计算机的程序集和。

三、简答题：

1、电子商务流程：交易前准备—交易谈判和签订合同-----办理交

易进行前的手续---交易合同的履行、服务和索赔

2、<1>网上直销型电子商务模式：企业与企业间的直销模式A 买方集中模式B 卖方集中模式C 专业服务模式；网上零售模式：A实物商品电子商务模式B无形商品电子商务模式<2>网上中介型电子商务模式：企业与企业间；消费者与消费者之间；网上商城模式

3、电子商务面临的安全问题：A电子商务系统自身的安全问题B 电子商务交易信息传输过程中的安全问题C电子商务企业内部安全管理问题D电子商务安全法律保障问题E电子商务信用安全问题F电子商务安全支付问题

4、电子商务网络系统自身的安全问题：物理实体的安全问题A设备的机能失常B电源故障C由于电磁泄漏引起的信息失密D搭线窃听E自然灾害；计算机软件系统潜在的安全问题；网络协议的安全漏洞；黑客恶意攻击；计算机病毒攻击；安全产品使用不当；

5、电子商务交易信息传输工程中的安全问题：信息机密性面临威胁；信息完整性面临威胁；交易信息可认证性面临威胁；交易双方身份真实性面临威胁；

6、电子商务安全管理之信息安全基本要求：认同用户和鉴别；控制存取；保障完整性；审计；容错；

7、IP的三个定义：整个计算机网络上数据传输所用的基本单元，它规定了internet上传输数据的确切格式；完成路由选择的功能，选择一个数据发送到路径；包括了一组嵌入了不可靠分组投递思想的规则，指明主机和路由器应该如何处理分组，何时、如何发出错误信息及什么情况下可以放弃数据包。

8、路由器的作用：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器英文名Router，路由器是互联网络的枢纽、"交通警察"。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。

9 、internet协议中的安全风险：TCP序号袭击、IP地址欺骗、ICMP 袭击、IP碎片袭击、ARP欺骗攻击、UDP欺骗

10、文件传输FTP的安全问题：反弹攻击问题；访问控制问题；密码保护问题；用户名保护问题；端口盗用问题。

11、WWW的安全问题：来自两方面，一是攻击者利用web服务器或GGI程序中的缺陷访问系统中未经许可的文件，甚至窃取系统控制权。二是攻击者利用Web浏览器中的缺陷，窃听或截获Web服务器之间的机密信息。A、CGI程序的安全威胁B、Java程序的安全威胁C、Cookie的安全威胁D、Web欺骗连接

12、对称加密与非对称加密各自优缺点：○1对称加密A优点：效率高、算法简单、系统开销小速度比公匙加密技术快，适合加密大量数据，应用广泛。B 缺点：对称加密技术主要问题是发送方和接收方必须预先共享秘密密匙，而不能让其他人知道。需要使用大量的密匙。无法满足互相不认识到人进行私人谈话的保密要求，难以解决数字签名验证问题。○2非对称加密：A优点：密匙分配简单、密匙保存量少、可以满足互不认识到人之间进行私人谈话时的保密要求、可以完成数字签名和数字鉴别B缺点：产生密匙很麻烦，受到素数产生技术的限制，因而难以做到一次一密；安全性受到挑战；速度太慢；

13、防火墙的益处：所有风险区域都集中在单一系统即防火墙系统上，安全管理者就可以针对网络的某个方面进行管理，而采用的安全措施对网络中的其他区域并没有太大影响；监测与控制装置仅需要安装在防火墙系统中；内部网络与外部的一切联系都必须通过防火墙进行，因此，防火墙系统能够监视与控制所有联系过程。

14、防火墙体系结构：边界路由器、带安全中间网络的边界路由器、带信息包过滤器的双归宿防御主机、带线路中继器的双归宿防御主机、带应用网关的双归宿防御主机、带无防卫区域的双归宿防御主机、级联的双归宿防御主机。

15、防火墙系统的局限性：不能防止内部应用软件所携带的数据，也不能保护网络免受病毒或其他方式（协议哄骗）的袭击。对于内部计算机系统未授权的物理袭击，也不能提供安全的保证。解