新电大电子商务安全导论考试答案小抄(考试必过).doc
《新电大电子商务安全导论考试答案小抄(考试必过).doc》由会员分享,可在线阅读,更多相关《新电大电子商务安全导论考试答案小抄(考试必过).doc(9页珍藏版)》请在三一文库上搜索。
1、EDI:电子数据交换是第一代电子商务技术,实现BTOB方式交易。intranet:是指基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与intranet建立连接。intranet上提供的服务主要是面向的是企业内部。Extranet:是指基于TCP/IP协议的企业处域网,它是一种合作性网络。HTTP协议的“有无记忆状态”:即服务器在发送给客户机的应答后便遗忘了些次交互。TLENET等协议是“有记忆状态”的,它们需记住许多关于协议双方的信息,请求与应答。电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务商务数据的机密性(保密性):
2、信息在网络上传送或存储的过程中不被他人窃取,不被泄露或披露给未经授权的人或组织或经加密伪装后,使未经授权者无法了解其内容。可用加密和信息隐匿技术实现商务数据的完整性(正确性):保护数据不被授权者修改、建立、嵌入、删除、重复传送货由于其他原因使原始数据被更改商务对象的认证性:网络两端的使用者在沟通之前相互确认对方的身份的正确性,分辨参与者所称身份的真伪,防止伪装攻击商务服务的不可否认性:信息的发送方不能否认已发送的信息,接收方不能否认已接收到的信息。是一种法律有效性要求商务服务的不可拒绝性(可用性):是保证授权用户在正常访问信息资源时不被拒绝,即保证为用户提供稳定的服务访问的控制性:在网络上限制
3、和控制通信链路对主机系统的访问主动攻击:攻击者直接介入internet中的信息流动,攻击后,被攻击的通信双方可以发现攻击的存在被动攻击:攻击者不直接介入internet中的信息流动,只是窃听其中信息,被动攻击后,被攻击的通信双方往往无法发现攻击的存在TCP协议劫持入侵:控制一台连接于入侵目标网的计算机然后断开,让网络服务器误以为黑客就是实际客户端电子邮件炸弹:攻击者向同一个邮箱发送大量垃圾邮件,以堵塞该邮箱电商安全需求的可靠性:电商系统的可靠性,为防止由于计算机失效,程序错误,传输错误,硬件故障,系统软件错误,计算机病毒和自然灾害等所产生的潜在威胁加以控制和预防,确保系统的安全可靠电商安全需求
4、的真实性:商务活动中交易者身份的真实性电商安全需求的机密性:交易过程中必须保证信息不会泄露给非授权的人或实体电商安全需求的完整性:数据在输入和传输过程中,要求保证数据的一致性,防止数据被非授权者建立、修改和破坏双钥密码加密:它是一对匹配使用的密钥。一个是公钥,是公开的,其他人可以得到;另一个是私钥,为个人所有。这对密钥经常一个用来加密,一个用来解密。数字时间戳:如何对文件加盖不可篡改的数字时间戳是一项重要的安全技术。完全盲签名:设1是一位仲裁人,2要1签署一个文件,但不想让他知道所签的文件内容是什么,而1并不关心所签的内容,他只是确保在需要时可以对此进行仲裁,这时便可通过完全盲签名协议实现。完
5、全盲签名就是当前对所签署的文件内容不关心,不知道,只是以后需要时,可以作证进行仲裁。明文:又信源。原始的,未被伪装的信息(M)密文:通过一个密钥和加密算法将明文变成一种伪装信息(C)加密:用基于数学算法的程序和加密的密钥对信息进行编码。生成别人难以理解的符号(E)解密:由密文恢复明文的过程(D)密钥:加密和解密算法通常都是在一组密钥的控制下进行的分别称作加密密钥和解密密钥(K)加密算法:对明文进行加密多采用的一组规则。即加密程序的逻辑解密算法:消息传给接受者后要对密文进行解密时采用的一组规则单钥密码体制:又秘密密钥体制,对称密钥体制。加密和解密使用相同或实际上等同的密钥的加密体制双钥密码体制:
6、又公共密钥体制,非对称加密体制。在加密和解密过程中要使用一对密钥,一个用于加密另一个用于解密,用户将公共密钥交给发送方或公开,信息发送者使用接收人的公共密钥加密的信息只有接收人才能解密集中式分配:利用网络中密钥管理中心(KMC)来集中管理系统中的密钥,“密钥管理中心”接受系统用户的请求,为用户提供安全分配密钥的服务分布式分配:网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商不受任何其它方面的限制无条件安全:若它对于拥有无限计算资源的破译者来说是安全的则该密码体制无条件安全是理论上安全的计算上安全:若一个密码体制对于拥有优先计算资源的破译者来说是安全的则该密码体制计算上安全表明
7、破译的难度很大是实用的安全性多级安全:这种安全防护安装在不同的网络,应用程序工作站等方面对敏感信息提供更高的保护,让每个对象都有一个敏感标签而每个用户都有个许可级别数据完整性:又真确性,是数据处于“一种未受损的状态”和保持完整或被分割的品质或状态散列函数:又哈希函数,杂凑函数,压缩函数,收缩函数,消息摘要,数字指纹,是将一个长度不同的输入串转换成一个长度确定的输出串散列值(哈希值,杂凑值,消息摘要)输出串比输入串短。h=H(M)数字签名:利用数字技术实现在网络传送文件时附加个人标记完成传统上手书签名签章作用以表确定,负责,经手等确定性数字签名:其文明与密文一一对应,对特定消息的签名不变化。RE
8、A/Rabin随机化式数字签名:(概率)根据签名算法中的随机参数值对同一消息的签名也对应的变化,一个明文可能有多个合法数字签名。ELGamalRSA签名体制:利用双钥密码体制的RSA加密算法实现数字签名无可争辩签名:在没有签名者自己的合作下不可能验证签名的签名盲签名:一般数字签名总是要先知道文件内容后才签署,这是通常所需的,但有时要某人对一文件签名,但又不让他知道文件内容,则称盲签名双联签名:在一次电商活动过程中可能同时有两个有联系的消息M1和M2要对它们同时进行数字签名数字信封:发送方用一个随机产生的DES密钥加密消息后用接收方的公钥加密DES密钥混合加密系统:在一次信息传送过程中可综合利用
9、消息加密数字信封散列函数和数字签名实现安全性,完整性,可鉴别和不可否认网络物理安全:指物理设备可靠,稳定运行环境,容错,备份,归档和数据完整性预防。容错技术:当系统发生某些错误或故障时,在不排除错误和故障的条件下使系统能够继续正常工作或进入应急工作状态冗余系统:系统除配置正常部件外还配置备件部件数据备份:为防止系统出现操作失误或系统故障导致数据丢失而将全系统或部分数据集合冲应用用主机的硬盘或阵列复制到其他的存储介质的过程备份:恢复出错系统的办法之一,可用备份系统将最近一次系统备份恢复到机器上去归档:将文件从计算机的存储介质中转移到其他永久性的介质上,以便长期保存的过程镜像技术:将数据原样地从一
10、台设备机器拷贝到另一台设备机器上奇偶效验:是服务器的一个特性,提供一种机器机制来保证检测,因此不会引起因服务器出错而造成的数据完整性丧失计算机病毒:编制者在计算机程序中插入的破坏计算机的功能或破坏数据影响计算机使用并能自我复制的一组计算机指令或程序代码引导性病毒:寄生在磁盘引导区或引导区的计算机病毒(主引导记录病毒、分区引导记录病毒)(2708、火炬、大麻、小球、Girl)文件性病毒:能够寄生在文件中的计算机病毒(157511591、848、com/cept)复合型病毒:具有引导型病毒和文件型病毒寄生方式的计算机病毒。(Flip,One_half,新世纪)良性病毒:只为表现自身,并不彻底破坏系
11、统和数据,当会大量占用CPU时间,增加系统开销降低系统工作效率的一类计算机病毒(小球、157511591、救护车、扬基、Dabi)恶性病毒:一旦发作后就会破坏系统或数据,造成计算机系统瘫痪的一类计算机病毒(火炬、黑色星期五、米开朗基罗)防火墙:一类防范措施的总称,使内部网络在Znternrt之间或与其他外部网络互相隔离限制网咯互访用来保护内部网络外网(非受信网络):防火墙外的网络内网(受信网络):防火墙内的网络非军事化区(DMZ):为配置管理方便,内网中需要向外提供服务的服务器常放在一个单独的网段该网段便是非军事化区扼制点:提供内、外两个网络间的访问控制VPN(虚拟专用网):通过一个公共网络建
12、立一个临时安全连接IPSEC(互联网协议安全):一系列保护IP通信规则的集合,制定了通过共有网络传输私有加密信息的途径和方式INTRANET VPN:即企业的总部与分支机构通过公网构成的虚拟网Access VPN:又拨号VPN(VPDN),企业员工或企业小分支机构通过公网远程拨号方式构成虚拟网Extranet VPN:企业间发生收购兼并或企业间建立战略联盟后使不同企业网通过公网构成的虚拟网接入控制:接入或访问控制是保证网络安全的重要手段,它通过一组机制不同级别的主体对目标资源的不同授权访问在对主体认证后实施网络资源安全管理使用接入控制的主体:是对目标进行访问的实体(用户,用户组,终端主机或应用
13、程序)接入控制的客体:是一个可接受访问的实体(数据文件程序组或数据库)接入权限:表示主体对客体访问时可拥有的权利,接入权要按每一对主体客体分别限定权利包括读,写,执行。读写含义明确,而执行权指目标为一个程序时它对文件的查找和执行多级安全策略:主体和客体按普通秘密、机密、绝密级划分,进行权限和流向控制自主式接入控制:(DAC)由资源拥有者分配接入权在分辨各用户的基础上实现接入控制每个用户的接入权由数据的拥有者建立常以接入控制表或权限表实现。强制接入控制(MAC):由系统管理员来分配接入权限和实施控制易于网络安全策略协调常用敏感标记实现多级安全控制。加密桥技术:一种在加解密卡的基础上开发加密桥的技
14、术可实现在不存在降低加密安全强度旁路条件下位数据库加密字段的存储、检索、索引、运算、删除、修改、等功能的实现提供接口且它的实现与密码算法设备无关。身份识别:输入个人信息经处理提取成末班信息试着在存储数据库中搜索找出个与之匹配的模板而后给出定论。通行字:又口令,护字符。是一种根据已知事物验证身份的方法,也是一种研究一种是用最广的身份验证方法。Kerbcros:是一种典型的用于客户机和服务器认证体系协议是一种基于对称密码体制的安全认证服务系统。域内认证:Client向本Kerberos的认证域以内的Server申请服务。拒绝率或虚报率:是指身份证明系统的质量指标为合法用户遭拒绝的概率。漏报率:是指
15、非法用户伪造身份成功的概率。域间认证:是指CLIENT向本KERBEROS的认证域以内的SERVER申请服务。客户证书:证明客户身份和密钥所有权。服务器证书:证实服务器的身份和公钥。安全邮件证书:证实电子邮件用户的身份和公钥。CA证书:证实CA身份和CA的签名密钥。数据库服务:是认证机构的核心部分,用于认证机构数据,日志和统计信息的存储和管理。公钥用户:公钥用户需要知道公钥的实体为公钥用户。数字认证:用数字办法确认、鉴定、认证网络上参与信息交流者货服务器的身份,是一个担保个人,计算机系统或组织的身份和密钥所有权的电子文档。公钥证书:将公开密钥与特定的人,器件或其他实体联系起来,是有证书机构签置
16、的,其中包含持证者的确切身份。公钥数字证书:是网络上的证明文件,证明双钥体制中的公钥所有者就是证书上所记录的使用者。单公钥证书系统:一个系统中所有用户共同一个CA.多公钥证书系统:用于不同证书的用户的互相认证。证书机构CA:用于创建和发布证书,通常为一个称为安全域的有限群体发放证书。安全服务器:面向普通用户用于提供证书申请浏览。CRL以及证书下载等安全服务。CA服务器:整个证书服机构的核心,负责证书的签发。LDAP服务器:提供目录浏览服务、负责将注册机构服务器传输过来的用户信息及数只证书加到服务器上。数据库服务器,认证机构的核心,用于认证机构数据,日志和统计信息的存储和管理。认证机构:一些不直
17、接从电子商务中获利的受法律承认的可信任的权威机构负责发放和管理电子证书。使网上通信各方面能互相确认身份。证书更新:当证书持有者的证书过期被窃取受到攻击时通过更新证书的方法,可使用新的证书继续参与网上认证。(证书更新,过期)PKI:公钥基础设施,是一种遵循既定标准利用公钥密码技术为电子上网的开展提供一套安全基础评分的技术和规范。政府审批机构PAA:制定整个体系结构的安全政策,并制定所有下级机构要遵循的规章制度主要是证书政策和证书使用规定。证书政策:是一组规则,指出一个证书对一组特定用户或应用的可适用性表明它对于一个特定应用和目的是否是可用的,构成了交叉验证的基础。证书使用规定:综合描述了CA对证
18、书政策的各项要求的实现方法。认证服务:身份识别与鉴别。确认实体即为自己所声明的实体鉴别身份的真伪。不可否认性服务:从技术上保证实体对其行为的认可。公证服务:“数据认证”,公证人要证明的是数据的有效性和正确性这种公证取决于数据验证方式。源的不可否认性:用于防止或解决出现有关是否一个特定实体发了一个特定数据、原在某个特定时刻出现或两者都要分歧。单位注册机构:帮助远离CA的端实体在CA处注册并获得证书。SSL:是基于TCP/IP的安全套阶层,协议由Netscape开发,是服务器与客户间安全通信的加密机制用一个密钥加密在SSL连接上传输的数据(HTTP,FIP,SMTP,Telnet)SSL记录协议:
19、定义了信息交换中所有数据项的格式。SSL更改密码规格协议:有单个消息组成只有一个值为一的单字节,目的是使未决状态拷贝为当前状态更新用于当前连接的密码组。SSL握手协议:用于客户服务器贱相互认证协商加密和MAC算法传送说需的公钥证书建立SSL记录协议处理完整性检验和加密锁需的公话密钥。TLS:传输层安全协议是对IETF的标准化制定的目的是为了在因特网上有一种统一的SSL标准版本。SET:安全数据交换协议,是一种以信用卡为基础的在Internet上交易的付款协议,是授权业务信息传输的安全标准采用RSA密码算法,利用公钥体系对通信双方进行认证,用DES等标准加密算法对信息加密传输并用散列函数算法来鉴
20、别信息的完整性。收单银行:通过支付网处理持卡人和商店之间的交易付款问题事物。支付网关:付款转接站,负责接收来自商店服务器送来的SET付款数据,再传换成银行网络的格式传送给收单银行处理。电子钱包:是安装在客户端计算机上并符合SET规格的软件,处理客户端所有SET信息。商店服务器:是商店提供SET服务的软件包括与客户端的电子钱包软件沟通。取得客户的信用几个卡相关数据另外也必须与支付网联系取得银行端传来的付款信息。电商的技术要素组成:1.网络 2.应用软件 3.硬件常贝的电商模式:1.大字机/告示牌模式 2.在线黄页簿模式 3.电脑空间上的小册子模式 4.虚拟百货店模式 5.预订/订购模式 6.广告
21、推销模式电商的发展过程:1.95年,网络基础设施大量兴建 2.96年,应用软件及服务成为热点。 3.97年,网址及内容管理的建设发展。 4.98年,网上零售业及其他交易蓬勃发展。发展电商的驱动力:1.信息产品硬件制造商,IBM,HP,Sun,Sisco. 2.信息产品软件厂商Microsoft,Netscape. 3.大型网上服务厂商,AOL,YAHOO,NETCENTER. 4.银行及金融机构。 5.大企业。 6.政府电商存在的安全隐患:1,计算机系统(硬件,软件) 2. 数据的安全。 3.交易的安全。电商系统可能遭受的攻击:1.系统穿透。 2.违反授权原则。 3.植入。 4.通信监视。 5
22、.通信串扰。 6.中断。 7.拒绝服务。 8.否认。 9.病毒电商安全的中心内容:1.商务数据的机密性。 2.商务数据的完整性。 3.商务对象的认证性。 4.商务服务的不可否认性。5.商务服务的不可拒绝性。 6.访问控制性。 7.其他内容。(匿名业务) 对Interhet的攻击类型:1.截断信息。 2.伪造。 3.篡改。 4.介入。Internet在安全方面隐患:1.Internnet安全漏洞。 2.外界攻击。 3.局域网服务和互相信任的主机的安全漏洞。 4.设备或软件的复杂性带来的安全隐患。TCP/IP协议的安全隐患:1.针对2P的“拒绝服务”攻击 2. 2P地址的顺序号预测攻击。 3.TC
23、P协议劫持入侵最大威胁。4.嗅探入侵。WEB客户机的任务:1.为客户提出一个服务请求。2.将客户的请求发送给服务器。 3.解释服务器传送的HTML格式文档通过浏览器显示恰客户。Web服务器的任务:1.接受客户机来的请求。 2.检查请求的合法性。 3.针对请求获取制作数据。 4.把信息发送给提出请求的客户机。Web站点的安全隐患:1.机密信息被窃取。 2.软硬件系统被破坏。攻击WEB站点有哪几种方式?安全信息被破译:WEB服务器的安全信息,如口令,密钥等被破译,导致攻击者进入WEB服务器。浏览器的强大功能,可以以不同形式访问WEB站点的数据,这不仅为用户,同时也为攻击者打开了许多方便之门。攻击者
24、试图在内部网上获取信息或利用;计算机资源。因此,必须保护WEB站点,防止闯入者的袭击。最常见,也是最有效的保护是使用防火墙。非法访问:未授权者非法访问了WEB上的文件,损害了电子商务中的隐私性,机密截获。交易信息被截获:当用户向服务器传输交易信息时被截获。软件漏洞被攻击者利用:系统中的软件错误,使得攻击者可以对WEB服务器发出指令,致使系统被修改和损坏,甚至引起整个系统的崩溃。 当用CGI脚本编写的程序或其他涉及到远程用户从浏览中输入表格并进行像检索之类在主机上直接操作命令时,会给WEB主机系统造成危险。电子邮件的安全问题:1.邮件在网上传送时随时可能被窃取到且可被读懂内容。 2.可昌用别人的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电大 电子商务 安全 导论 考试 答案
链接地址:https://www.31doc.com/p-2070415.html