《电子商务安全管理》6月期末考试指导_电子商务安全期末考试
《电子商务安全管理》6月期末考试指导由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“电子商务安全期末考试”。
0074《电子商务安全管理》2012年6月期末考试指导
二、复习重点内容
第一章《电子商务安全导论》
1、信息安全问题
从技术上看,电子商务面临的安全问题主要来自以下几个方面:1)冒名偷窃2)篡改数据3)信息丢失4)信息传递出问题
2、信息安全的组成信息安全是指防止信息财产被故意的或偶然的非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确保信息的完整性、保密性、可用性和可控性。信息安全安具体由下面七个部分组成:1)操作系统安全2)数据库安全3)网络安全4)病毒防护安全
5)访问控制安全6)加密7)鉴别。
第二章《电子商务安全管理》
1、开放系统互连模型提供的安全服务
1)验证服务:包括对等实体验证和数据源验证;2)访问控制服务;3)数据保密服务;4)数据完整性服务;5)不可否认服务。
2、机构或部门安全管理原则
规范原则、预防原则、立足国内原则、注重实效原则、系统化原则、均衡防护原则、分权制衡原则、应急原则、灾难恢复原则。
3、电子商务安全管理制度
网络系统的日常维护制度、病毒防范制度、人员管理制度、保密制度、跟踪审计稽核制度、应急措施制度。
4、我国电子商务立法应遵循的指导或基本原则
鼓励和发展电子商务是中国电子商务立法的首要前提。2)电子商务立法要与宪法和其他已存在的法律法规及我国认同的国际法保持一致。3)电子商务立法要适合中国国情。
第三章《信息安全技术》
1、加密
所谓加密就是用基于数学方法的程序和保密的密钥对信息进行编码,把计算机数据变成一堆杂乱无章难以理解的字符串,也就是把明文变成密文。
2、常见的对称密钥
对称加密是指数据的发送方和接受方使用的是同一把私有密钥,即把明文加密成密文和把密文解密成明文用的是同一把私有密钥。
对称加密的过程:
(1)发送方用自己的私有密钥对信息进行加密;
(2)发送方将加密的信息通过网络传送给接收方;
(3)接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密,得到信息明文。
3、RSA密钥传输
发送方生成随机对称密钥K;发送方用对称密钥K对信息内容进行加密;发送方用接收方的公开密钥对加密用的对称密钥K进行加密;发送方把加密后的密钥附加在加密后的信息上一起发送;接受方用自己的私有密钥解密加密后的密钥,得到对称密钥K;接收方用对称密钥K对加密的内容进行解密,得到明文的内容。
4、散列函数
散列函数是一种计算相对简单但却很难进行逆运算的函数。必须是单向的,散列计算不 1
可能对两条信息求出相同的摘要。
5、密钥的生命周期
1)密钥建立,包括生成密钥和发布密钥;2)密钥备份/更新或密钥的第三者保管;3)密钥替换/更新;4)密钥吊销;5)密钥期满/终止,其中可能包含密钥的销毁或归档。
5、数字证书的内容
数字证书中一般包含证书持有者的名称、公开密钥、认证机构的数字签名,此外还包括密钥的有效时间、认证机构的名称以及该证书的序列号等信息。交易伙伴可以利用数字证书来交换彼此的公开密钥。
5、数字证书的类型
1)服务器数字证书:能准确无误地鉴别确认服务器和浏览器之间传送的信息加密,保证了网络服务器在安全模式下运行。2)针对软件开发商的开发者数字证书:软件开发者可以为软件做数字标识,从而在因特网上安全传送。3)用于网络浏览和S/MIME的个人数字证书:用来在个人用户和其他用户交换信息或者在使用在先服务时,验证用户的身份,保证信息的安全。
6、认证机构
认证机构CA又称认证中心、证书授予机构,是承担网上认证服务,能签发数字证书并能确认用户身份的受大家信任的第三方机构。CA通常是企业性的服务机构,其主要任务是受理数字证书的申请、签发、及对数字证书进行管理。CA主要功能:
接收验证用户数字证书的申请
确定是否接受用户数字证书的申请
向申请者颁发数字证书接收、处理用户的数字证书的查询、撤销
产生和发布数字证书撤销表
数字证书的归档秘要归档
历史数据归档
7、利用数字证书实现信息安全(重点)
发送方的工作主要有:
1)发送方利用散列函数,把要发送的信息散列成固定长度的数字摘要;
2)发送方用自己的私有密钥对数字摘要进行加密,形成数字签名;
3)发送方把数字签名和自己的数字证书附加在原信息上,利用对称密钥进行对称加密,形成加密后的信息;
4)发送方用接受方数字证书中给出的公开密钥,来对发送方进行对称加密的密钥进行加密,将加密结果装入数字信封;
5)发送方把加密后的信息与数字信封一起通过网络发送出去。
接受方的工作主要有:
1)接受方用自己的私有密钥对接收到的数字信封进行解密,得到发送方用于加密的对称密钥;
2)接受方用解密得到的对称密钥对接收到的加密后信息进行解密,得到信息、数字签名和发送方的数字证书;
3)接收方用得到的发送方数字证书中的公开密钥对数字签名进行解密,得到数字摘要;
4)接收方运用同样的散列函数,把解密得到的信息散列成固定长度的数字摘要;
5)接受方比较两个数字摘要。如比较结果一致,则说明信息在传递的过程中为被篡改过,即保证了数据的完整性。
第四章《Internet安全》
1、防火墙的特性和不足
防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统。从狭义上来讲,防火墙是指安装了防火墙软件的主机或路由器系统。防火墙被放在两个网络之间,并具有下列特性:1)所有的从内部到外部或从外部到内部的通信都必须经过它;2)只有有内部访问策略授权的通信才被允许通过;3)系统本身具有高可靠性。
不足之处:1)不能防范不经由防火墙的攻击;2)不能防止受到病毒感染的软件或文件的传输;3)不能防止数据驱动式攻击。
2、防火墙的功能
1)过滤不安全的服务和非法用户。2)控制对特殊站点的访问。3)作为网络安全的集中监视点。
3、防火墙的基本原理
1)包过滤型防火墙2)应用网关型防火墙3)代理服务器型防火墙
4、增强的私密电子邮件(PEM)
PEM即增强的私密电子邮件,是因特网工程任务组从20世纪80年代后期开始的一项工作的成果,这也是试图建立因特网邮件安全系统的首次正式努力。PEM规范非常复杂,其第I部分定义了一个消息安全协议,而第II部分则定义了一个支持公开密钥的基础设施系统。PEM的消息安全协议主要用于支持基本的消息保护服务。PEM是这样运作的,首先获得一个未保护的消息,将其内容转换为一条PEM消息,这样,PEM消息就可以象其他消息一样通过正常的通信网络来进行传递了。PEM规范认可两种可选的方法来进行网络身份验证和密钥的管理:一种是对称方案,还有一种是公开密钥方案。在商业上很少应用,是因为它与在同其发展起来的多用途网际邮件扩充协议MIME不兼容。
5、IPsec及其提供的服务
IPsec是指IETF以RFC形式公布的一组IP安全协议集。IPsec主要提供以下服务:访问控制;无连接完整性;数据源的鉴别;拒绝重放的分组;机密性(加密);有限的通信量机密性。
6、安全套接层协议SSL概述
最初是由Netcape公司研究制定的安全通信协议,是在因特网基础上提供的一种保证机密性的安全协议。SSL能使客户机与服务器之间的通信不被攻击者窃听,并且始终保持对服务器进行认证,还可选择对客户进行认证。SSL是目前在电子商务中应用最广泛的安全协议之一。
7、SSL协议的功能
SSL服务器认证
允许客户机确认服务器身份。支持SSL协议的客户机软件能使用公钥密码技术来检查服务器的数字证书,判断该证书是否是由在客户所信任的认证机构列表内的认证机构所发放。
确认用户身份
使用同样的技术,支持SSL协议的服务器软件能检查客户所持有的数字证书的合法性。保证数据传输的机密性和完整性
一个加密的SSL里连接要求所有在客户机与服务器之间发送的信息由发送方软件加密和有接受方软件解密,这就提供了高度机密性。另外,所有通过SSL连接发送的数据都被一种检测篡改的机制所保护,这种机制自动判断传输中数据是否已经被更改,从而保证了数据的完整性。
8、SSL的体系结构:
SSL协议包含两层协议,即SSL记录协议和之上的三个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议。记录协议定义了要传输数据的格式,它
位于TCP协议之上,从高层SSL子协议收到数据后,对它们进行封装、压缩、认证、和加密。SSL 握手协议是高层SSL子协议中最重要的一个协议, SSL握手
协议允许服务器与客户机在应用程序传输和接受数据之前互相认证、协商加密算
法和密钥,SSL握手协议包括在初次建立SSL连接时使用SSL记录协议在支持
SSL协议的服务器与支持SSL协议的客户机之间的一系列信息。
9、基于SSL的银行卡支付过程:
持卡人登录商品发布站点,验证商户身份;
持卡人决定购买,向商户发出购买请求;
商户返回同意支付等信息;持卡人验证支付网关的身份,填写支付信息,将
定购信息和支付信息通SSL传给商户,但支付信息被支付网关的公开密钥加
密过,对商户来说是不可读的。
商户用支付网关的公开密钥加密支付信息,传给支付网关,要求支付;
支付网关解密商户传来的信息,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并及时划账;
支付网关用它的私有密钥加密结果,将结果返回商户;商户用支付网关的公开密钥解密后返回信息给持卡人,送货,交易结束。
第五章《数字证书》
1、X.509数字证书格式
1)版本号2)数字证书序列号3)签名算法标识符4)数字证书发放者5)有效期6)主体7)主体的公钥信息8)数字证书发放者的唯一标识符9)主体的唯一标识符
2、数字证书的撤销
X.509的数字证书撤销表:版本、签名算法、发放者、本次更新、下次更新、数字证书序列号、撤销时间、数字证书撤销表扩展条目、数字证书撤销表扩展部分、发放者的数字签名。
第六章《公共基础设施PKI》
1、PKI概述
公钥基础设施PKI又叫公钥体系,是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,用户可以利用PKI平台提供的服务进行安全通讯。
2、PKI应用系统的功能
1)公钥数字证书的管理2)证书撤消表的发布和管理3)密钥的备份和恢复4)自动更新密钥
5)自动管理历史密钥6)支持交叉认证。
3、证书策略CP与证书实施说明CPS
证书策略CP,是指一套制定的规则,用于说明满足一般安全性要求的数字证书在某个特定的团体里和(或)某一类应用程序中的应用能力。证书实施说明CPS,规定了在认证过程中要遵循的操作程序。证书实施说明的内容包括数字证书的复杂性及长度说明,但主要的是公开说明了认证机构的运作方式。
第七章《安全认证实例》
1、CA建设概况
2、CFCA的证书管理策略
CFCA的两大CA体系:
两大CA体系即SET CA和Non-SET CA系统。其中SET CA系统是为在网上购物时用银行卡来进行结算这类业务而建立的。SET的系统结构分为三层,第一层为根CA(RCA),第二层为品牌CA(BCA),第三层则根据证书使用者的不同分为CCA(持卡人CA)、MCA(商户CA)、PCA(网关CA)。另外还可以根据以后的发展,在第二层CA和第三层CA之间扩展出GCA(地区CA)。
Non-SET 系统对于业务应用的范围没有严格的定义,结合电子商务具体的、实际的应用,根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高
级/企业级证书),Non-SET 系统分为两部分。
Non-SET-CA 系统分为三层结构,第一层为根CA,第二层为政策CA,第三层为运营CA。
3、SHECA数字证书的申请与使用
4、VeriSign数字证书的申请与使用
服务器数字证书:能准确无误地鉴别确认服务器和浏览器之间传送的信息加密,保证了网络服务器在安全模式下运行。
针对软件开发商的开发者数字证书:软件开发者可以为软件做数字标识,从而在因特网上安全传送。
用于网络浏览和S/MIME的个人数字证书:用来在个人用户和其他用户交换信息或者在使用在先服务时,验证用户的身份,保证信息的安全。
三、重点习题
(一)判断题
1、为进行网络中的数据交换而建立的规则、标准或约定叫做网络协议(对)
2、网络中HTTP协议端口号默认为80,但有时为了安全,也可以对端口号重新定义。(对)
3、SET协议能确保两个应用程序之间通讯内容的保密性和数据的完整性。(错)
4、SSL协议可用于加密任何基于TCP/IP的应用。(对)
5、从发展趋势来看,数字证书的应用很有可能将只限于商务活动。(对)
6、中国金融认证中心全面支持电子商务的两种主要模式:SET CA 和No-SET CA。(对)
7、数字证书实际使用期和原定的有效期一样长。(错)
(二)单选题
1、Internet所使用的协议中,(A)协议提供了网间网连接的完善功能。
A.IPB.TCPC.IEEE802D.FTP2、公钥密码体系最主要的特点就是加密和解密使用(A)密钥。
A.不同的B.相同的C.公开的D.秘密的3、DES算法属于(A)。
A.对称加密体制B.不对称加密体制C.单向散列函数D.数字签名算法
4、RFC 791文件公布的是下面哪个协议(A)
A、IPB、TCPC、SMTPD、HTTP5、下列哪一种是公开密钥加密算法:(C)
A、DESB、AESC、RSAD、MAC
(三)多选题
1、所有电子商务应用和基础设施的支柱是(AC)
A.公共政策B.WWWC.技术标准D.INTERNETE.密码
2、内置的防止或减少客户机安全威胁的机制有(AB)
A.数字证书B.防病毒软件C.防火墙D.操作系统控制E.电子结算
3、以下哪些内容属于标准X.509数字证书的内容(ABD)
A.证书的版本信息;
B.证书的序列号,每个证书都有一个唯一的证书序列号;
C.证书使用者对证书的签名;
D.证书所使用的签名算法。
(四)填空题
1、从技术上看,电子商务面临的信息安全问题主要来自:冒名偷窃、篡改数据、信息丢失、信息传递出问题 几方面。
2、安全关联有两种类型:传输模式、隧道模式。
3、包过滤防火墙是应用技术在对数据包进行选择,截获每个通过防火墙的IP包,并进行安全检查。
(五)简答题
1、ISO的开放系统互连(OSI)参考模型中,提供了哪几种安全服务?
1)验证服务:包括对等实体验证和数据源验证;2)访问控制服务;3)数据保密服务;4)数据完整性服务;5)不可否认服务。
2、基本数字证书格式中包含哪些内容?
数字证书中一般包含证书持有者的名称、公开密钥、认证机构的数字签名,此外还包括密钥的有效时间、认证机构的名称以及该证书的序列号等信息。交易伙伴可以利用数字证书来交换彼此的公开密钥。
(六)问答题
机构或部门在进行信息安全管理是要遵循的基本原则?
规范原则、预防原则、立足国内原则、注重实效原则、系统化原则、均衡防护原则、分权制衡原则、应急原则、灾难恢复原则。
(七)阐述题
在利用数字证书实现信息安全时,发送方主要有哪些工作?接收方又有哪些工作? 发送方的工作主要有:
1)发送方利用散列函数,把要发送的信息散列成固定长度的数字摘要;
2)发送方用自己的私有密钥对数字摘要进行加密,形成数字签名;
3)发送方把数字签名和自己的数字证书附加在原信息上,利用对称密钥进行对称加密,形成加密后的信息;
4)发送方用接受方数字证书中给出的公开密钥,来对发送方进行对称加密的密钥进行加密,将加密结果装入数字信封;
5)发送方把加密后的信息与数字信封一起通过网络发送出去。
接受方的工作主要有:
1)接受方用自己的私有密钥对接收到的数字信封进行解密,得到发送方用于加密的对称密钥;
2)接受方用解密得到的对称密钥对接收到的加密后信息进行解密,得到信息、数字签名和发送方的数字证书;
3)接收方用得到的发送方数字证书中的公开密钥对数字签名进行解密,得到数字摘要;
4)接收方运用同样的散列函数,把解密得到的信息散列成固定长度的数字摘要;
5)接受方比较两个数字摘要。如比较结果一致,则说明信息在传递的过程中为被篡改过,即保证了数据的完整性。
0163《电子商务法律概论》2013年6月期末考试指导一、考试说明本课程为闭卷考试,考试时间为90分钟。考试题型如下:1、选择题(每题3分,共18分)2、名词解释(每题5分,共20分)3、简答(每题......
文 章来源莲山 课件 w w w.5Yk J.Com 7 摘要:防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文从防火墙的概念和技术出发,详细分析了防火......
电子商务自我介绍指导......
电子商务自我介绍指导电子商务自我介绍篇1本人思想积极向上,乐观大方,成绩优秀,吃苦耐劳,有耐心,在校期间一直担任系里学生会干部的职位,对工作总是抱着认真负责的态度,实践能力强,......
实习指导一、课程设计目的本课程实习是学习《电子商务概论》课程后进行的一次全面的实践性练习。其目的在于加深对电子商务基础理论和基本知识的理解,初步掌握一些电子商务与......
