自考“电子商务安全导论”复习重点(3)
电子商务安全复习
电子商务安全复习在当今数字化的时代,电子商务已经成为我们生活中不可或缺的一部分。
从在线购物到金融交易,从社交媒体到数字服务,电子商务的触角几乎延伸到了我们生活的每一个角落。
然而,随着电子商务的迅速发展,安全问题也日益凸显。
对于电子商务从业者和消费者来说,了解电子商务安全的相关知识,掌握有效的防范措施,是至关重要的。
接下来,让我们一起对电子商务安全进行一次全面的复习。
一、电子商务安全的重要性电子商务安全不仅仅是技术问题,更是关系到企业的生存和发展,以及消费者的信任和权益。
对于企业来说,如果其电子商务平台遭受攻击,导致客户数据泄露、交易中断或者资金损失,不仅会面临巨大的经济损失,还可能损害企业的声誉,失去客户的信任,从而在激烈的市场竞争中处于不利地位。
对于消费者来说,个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题,给生活带来极大的困扰和损失。
因此,保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。
二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。
包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击(DoS)等。
黑客可以通过攻击电子商务网站,窃取用户数据、篡改交易信息或者破坏系统正常运行。
病毒和恶意软件则可能潜伏在用户的设备中,窃取敏感信息或者监控用户的操作。
DoS 攻击则通过大量的无效请求导致网站瘫痪,使正常的交易无法进行。
2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。
在电子商务中,用户的个人信息(如姓名、地址、电话号码、信用卡信息等)、交易记录等都是重要的数据。
如果这些数据被泄露,可能被用于欺诈、身份盗窃等非法活动。
3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息,并以其名义进行非法活动。
在电子商务中,攻击者可能通过窃取用户的登录凭证、伪造身份等方式,进行虚假交易、骗取财物等。
4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。
自考电子商务概论第四章电子商务的安全复习重点
第四章 电⼦商务的安全1.计算机安全计算机安全就是保护企业资产不受未经授权的访问、使⽤、篡改或破坏。
安全专家通常把计算机安全分成三类,即保密、完整和即需。
保密是指防⽌未授权的数据暴露并确保数据源的可靠性;完整是防⽌未经授权的数据修改;即需是防⽌延迟或拒绝服务。
安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。
安全策略是对所需保护的资产、保护的原因、谁负责进⾏保护、哪些⾏为可接受、哪些不可接受等的书⾯描述。
安全策略⼀般包含以下内容:(1)认证:谁想访问电⼦商务站?(2)访问控制:允许谁登录电⼦商务站并访问它?(3)保密:谁有权利查看特定的信息?(4)数据完整性:允许谁修改数据,不允许谁修改数据?(5)审计:在何时由何⼈导致了何事?2.对版权和知识产权的保护版权是对表现的保护,⼀般包括对⽂学和⾳乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。
知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。
3.保护客户机对客户机的安全威胁来⾃:(1)活动内容;(2)Java、Java⼩应⽤程序和javascript;(3)ActiveX控件;(4)图形⽂件、插件和电⼦邮件附件。
信息隐蔽是指隐藏在另⼀⽚信息中的信息(如命令),其⽬的可能是善意的,也可能是恶意的。
信息隐蔽提供将加密的⽂件隐藏在另⼀个⽂件中的保护⽅式。
数字证书是电⼦邮件附件或嵌在页上的程序,可⽤来验证⽤户或站的⾝份。
另外,数字证书还有向页或电⼦邮件附件原发送者发送加密信息的功能。
4.通讯信道的安全威胁对保密性的安全威胁,是指未经授权的信息泄露。
对完整性的安全威胁也叫主动搭线窃听。
当未经授权⽅同意改变了信息流时就构成了对完整性的安全威胁。
对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁,其⽬的是破坏正常的计算机处理或完全拒绝处理。
5.信息加密加密就是⽤基于数学算法的程序和保密的密钥对信息进⾏编码,⽣成难以理解的字符串。
电子商务安全概论复习汇编
第1章电子商务安全概论1、理解电子商务的安全要求(安全要素)(重点)2、理解电子商务系统的安全层次3、了解电子商务安全措施4、了解电子商务安全技术加密技术------第2章 数字签名技术------第3章虚拟专用网技术------第3章防火墙技术------第3章入侵检测技术------第3章计算机病毒防治技术------第3章 安全协议(SSL、SET) ------第6,7章 身份认证技术数字时间戳技术认证技术------第4章数字签名技术------第4章第2章信息加密技术与应用1、理解密码技术在电子商务活动中的作用信息加密技术是电子商务安全交易的核心,这种技术主要用来实现电子商务交易的保密性、完整性、授权、可用性和不可否认性2、理解密码技术的分类(密码体制的分类P15)密码的发展史:古典密码、近现代密码密码加密算法和解密算法所使用的密钥是否相同,或是否能简单地由加密密钥推导出解密密钥:对称密钥密码体制(也称单钥密码体制、秘密密钥密码体制)、非对称密钥密码体制(也叫双密钥密码体制、公开密钥密码体制) 密码算法对明文信息的加密方式:流密码、分组密码是否能进行可逆的加密变换:单向函数密码体制、双向变换密码体制加密过程是否注入了客观随机因素:确定型密码体制、概率密码体制3、理解对称密钥密码体制和非对称密钥密码体制对称密钥密码体制A、对称密码体制分类:古典密码(移位密码、代换密码、仿射密码、维吉尼亚密码、希尔密码)、流密码、分组密码B、对称密码优点:加解密速度快C、对称密码缺陷:①密钥数目的问题n×(n-1)/2 ②安全传输密钥也是一个难题③无法鉴别彼此身份非对称密钥密码体制A、公钥密码体制特点:①仅根据密码算法和加密密钥来确定解密密钥在计算上是相当困难的。
②两个密钥中的任何一个可以用来加密,另一个用来解密。
③有6个组成部分:明文、加密算法、公钥、私钥、密文、解密算法B、典型的公开密钥密码算法RSA:C = M e (mod n) M=C d (mod n)如:e=3,d=3 n=15 ,现在对明文M=7加密。
自考电子商务法概论复习重点
自考电子商务法概论复习重点第三章电子商务合同法(一)名词解释1、合同:合同是平等主体的公民、法人、其他组织之间设立、变更、终止债权债务关系的协议。
合同反映了双方或多方意思表示一致的法律行为。
2、电子合同:狭义上指在计算机网络条件下当事人之间为了实现一定目的,通过电子邮件和电子数据交换明确相互权利义务关系的协议。
3、电子数据交换:简称EDI,是一种在公司之间传递订单、发票等作业文件的电子化手段。
4、格式合同:是不需要另一方意思表示的参与,而由一方为了反复使用而事先拟制的合同。
5、行为能力:指民事主体以自身的行为,享有权利承担义务的资格。
6、电子代理:是指不需要经人为的审视,电脑程序能以电子化或其他自动化的方式发出电子信息或对电子信息履行全部或一部分而作出响应。
(二)单项选择题1、与(EDI合同)相比,以电子邮件合同方式订立的合同安全性较差。
2、(电话)不是我国《合同法》规定的具有法律效力的合同形式。
3、在我国,16周岁以上不满18周岁的自然人,以自己的劳动收入为主要生活来源的,视为(完全民事行为能力人)。
4、我国《合同法》第三十四条规定:“承诺生效的地点为合同成立的地点”。
采取数据电文形式订立的合同,(收件人的主营业地)为合同成立的地点。
5、在非自愿的基础上,做出的不合真意的意思表示是一种(客观原因的意思表示不真实)。
(二)多项选择题1、电子合同的主要类型分为:(以EDI方式订立的合同、以电子邮件方式订立的合同、电子格式合同)。
2、按照我国《电子签名法》规定,审查数据电文作为证据的真实性,主要应当考虑以下因素:(①生成、储存或者传递数据电文方法的可靠性②保持内容完整方法的可靠性③用以鉴别发件人方法的可靠性④其他相关因素)。
3、在电子合同文本文件的保存方面,我国《电子签名法》第六条规定,“符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:(①能够有效地表现所载内容并可供随时调取查用②数据电文的格式与其生成、发送或者接收时的格式相同③格式不相同但是能够准确表现原来生成、发送或者接收的内容④能够识别数据电文的发件人、收件人以及发送、接收的时间)”。
2023年电子商务安全导论复习笔记
第一章电子商务安全基础1,什么是保持数据旳完整性?答:商务数据旳完整性或称对旳性是保护数据不被未授权者修改,建立,嵌入,删除,反复传送或由于其他原因使原始数据被更改。
在存储时,要防止非法篡改,防止网站上旳信息被破坏。
在传播过程中,假如接受端收到旳信息与发送旳信息完全同样则阐明在传播过程中信息没有遭到破坏,具有完整性。
加密旳信息在传播过程,虽能保证其机密性,但并不能保证不被修改。
2,网页袭击旳环节是什么?答:第一步,创立一种网页,看似可信其实是假旳拷贝,但这个拷贝和真旳“同样”“假网页和真网页同样旳页面和链接。
第二步:袭击者完全控制假网页。
因此浏览器和网络是旳所有信息交流者通过袭击者。
第二步,袭击者运用网页做假旳后果:袭击者记录受害者访问旳内容,当受害者填写表单发送数据时,袭击者可以记录下所有数据。
此外,袭击者可以记录下服务器响应回来旳数据。
这样,袭击者可以偷看到许多在线商务使用旳表单信息,包括账号,密码和秘密信息。
假如需要,袭击者甚至可以修改数据。
不管与否使用SSL或S-HTTP,袭击者都可以对链接做假。
换句话说,就算受害者旳游览器显示出安全链接图标,受害者仍也许链接在一种不安全链接上。
3,什么是Intranet?答:Intranet是指基于TCP/IP协议旳内连网络。
它通过防火墙或其他安全机制与Intranet建立连接。
Intranet上可提供所有Intranet旳应用服务,如WWW,E-MAIL等,只不过服务面向旳是企业内部。
和Intranet同样,Intranet具有很高旳灵活性,企业可以根据自己旳需求,运用多种Intranet互联技术建立不一样规模和功能旳网络。
4,为何交易旳安全性是电子商务独有旳?答:这也是电子商务系统所独有旳。
在我们旳平常生活中,进和一次交易必须办理一定旳手续,由双方签发多种收据凭证,并签名盖章以作为法律凭据。
但在电子商务中,交易在网上进行,双方甚至不会会面,那么一旦一方反悔,另一方怎么可以向法院证明协议呢?这就需要一种网上认证机构对每一笔业务进行认证,以保证交易旳安全,防止恶意欺诈。
《电子商务安全导论》考试笔记
冲突检测:站点发送信息的同时,还要监听网络信道,检测是否有另一台站点同时在发送信息。如果有,两个站点发送的信息会产生碰撞,即产生冲突,从而使数据信息包被破坏。
接收到FIN的另一端执行被动关闭(Passive Close)。这个FIN由TCP确认,并作为文件结束符传送给接收方应用进程,因为FIN意味着应用进程在此连接上再也接收不到额外的数据;
一段时间后,接收到文件结束符的应用进程调用close,关闭其套接口。这导致它的TCP也发送一个FIN。
接收到这个FIN的原发送方TCP对它进行确认。
但这种方法产生了一个问题,就是包的重复。如果网络传输速度比较低,在等待时间结束后,确认消息才返回到发送者,那么,由于发送者采用的发送方法,就会出现重复的数据了。一种解决的办法是给每个数据一个序列号,并需要发送者记住哪个序列号的数据已经确认了。为了防止由于延时或重复确认,规定确认消息里也要包含确认序列号,这样发送者就能知道哪个包已经确认了
1)ARP进程在本局域网上广播发送一个ARP请求分组,目的地址为主机B的IP地址;
2)本局域网上的所有主机上运行的ARP进程都接收到此ARP请求分组;
3)主机B在ARP请求分组中见到自己的IP地址,就向主机A发送一个ARP响应分组,并写入自己的物理地址;
4)主机A收到主机B的ARP响应分组后,就在其ARP高速缓存中写入主机B的IP地址到物理地址的映射。
1.4 基于TCP/IP的网络编程接口:Socket
端口。地址。半相关。全相关。服务方式。顺序。差错控制。流控制。字节流。数据报。全双工/半双工。缓存/带外数据等Socket编程中所涉及到的一些基本概念。
自考电子商务概论复习必看各章节重点(版自考教材).docx
电子商务概论第一章电子商务概述第一节电子商务的概念一、电子商务的定义指以信息网络技术为手段,以商品交换为中心的商务活动。
二. 国际组织对电子商务的解释(1)联合国贸发组织:电子商务是发生在开放网络上的包含企业Z间,企业和消费者Z间的商业交易。
(2)全球信息基础设施委员会电子商务工作组:电子商务是运用电子通讯作为手段的经济活动.通过这种方式人们可以对带有经济价值的产品和服务进行宣传.购买和结算。
(3)世界贸易组织:通过电子朿道而进行的生产.分配市场营销货物和服务的销何.配送。
总结:电子商务是信息经济时代商品交换的基本形式。
第二节电子商务的主要特点一、由Internet及相关技术决定的电子商务的特点电子商务中Internet的相关技术:(1)TCP/IP协议;(2) ISDN:综合业务数字网:(3) WWW万维网。
特点:1、数字化就是把电子商务屮的各种信息包播商品、资金以及交易手续等信息转变成数字,装成信息包,在不同计算机间发送和接收,从而完成电子商务交易的全过程或者部分过程。
数字化是电子商务的根本特点,它决定了电子商务的其他特点。
2.网务外部性是指网络的价值随右拥有成员的増加而不断増加。
二、由电子商务系统结构决定的电子商务的特点1、集成性是指通过结构化的综合布线系统和计算机网络技术,将各个分离的设备(如个人电脑八功能.信息等要素集中成为一个相互关联的.统-的和协调的系统。
2、协调性超指电子商务中客户、供应商、生产商.银行.海关.税务等各部门的筋单位2间的协调一致。
简言Z,协调性是指电子商务主体间的协调一•致。
3、可扩展性是指用户方位量超过设计限度时,电子商务系统结构能够及时.自动地扩大容量.继续接受用户访问。
三、由交易过程决定的电子商务的特点交易过程的第一阶段是买卖双方的准备;第二阶段是签订介同:第三阶段杲商品接交和资金结算。
K普遍性是指电子商务不受时空限制,可以在任何时间和任何地点进行交易活动2、虚拟性实质上是指在Internet ±完成的交易。
自考自考“电子商务安全导论”复习重点
自考“电子商务安全导论”复习重点(1)简答题与论述题:简答1,简述保护数据完整性的目的,以有被破坏会带来的严重后果。
答:保护数据完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态。
这意味着数据不会由于有意或无意的事件而被改变和丢失。
数据完整性被破坏会带来严重的后果:(1)造成直接的经济损失,如价格,订单数量等被改变。
(2)影响一个供应链上许多厂商的经济活动。
一个环节上数据完整性被破坏将使供应链上一连串厂商的经济活动受到影响。
(3)可能造成过不了“关”。
有的电子商务是与海关,商检,卫检联系的,错误的数据将使一批贷物挡在“关口”之外。
(4)会牵涉到经济案件中。
与税务,银行,保险等贸易链路相联的电子商务,则会因数据完整性被破坏牵连到漏税,诈骗等经济案件中。
(5)造成电子商务经营的混乱与不信任。
2,简述散列函数应用于数据的完整性。
答:可用多种技术的组合来认证消息的完整性。
为消除因消息被更改而导致的欺诈和滥用行为,可将两个算法同时应用到消息上。
首先用散列算法,由散列函数计算机出散列值后,就将此值——消息摘要附加到这条消息上。
当接收者收到消息及附加的消息摘要后,就用此消息独自再计算出一个消息摘要。
如果接收者所计算出的消息摘要同消息所附的消息摘要一致,接收者就知道此消息没有被篡改。
3,数字签名与消息的真实性认证有什么不同?答:数字签名与消息的真实性认证是不同的。
消息认证是使接收方能验证消息发送者及所发信息内容是否被篡改过。
当收发者之间没有利害冲突时,这对于防止第三者的破坏来说是足够了。
但当接收者和发送者之间相互有利害冲突时,单纯用消息认证技术就无法解决他们之间的纠纷,此是需借助数字签名技术。
4,数字签名和手书签名有什么不同?答:数字签名和手书签名的区别在于:手书签名是模拟的,因人而异,即使同一个人也有细微差别,比较容易伪造,要区别是否是伪造,往往需要特殊专家。
而数字签名是0和1的数字串,极难伪造,不需专家。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自考“电子商务安全导论”复习重点(3)
34,简述VPN的具体实现即解决方案有哪几种?答:(1)虚拟专用拨号网络,用户利用拨号网络访问企业数据中心,用户从企业数据中心获得一个私有地址,但用户数据可跨公共数据网络传输。
(2)虚拟专用路由网络,它是基于路由的VPN接入方式。
(3)虚拟租用线路,是基于虚拟专线的一种VPN,它在公网上开出各种隧道,模拟专线来建立VPN. (4)虚拟专用LAN子网段,是在公网上用隧道协议仿真出来一个局域网,透明地提供跨越公网的LAN服务。
35,实体认证与消息认证的主要差别是什么?答:实体认证与消息认证的差别在于,消息认证本身不提供时间性,而实体认证一般都是实时的。
另一方面,实体认证通常证实实体本身,而消息认证除了证实消息的合法性和完整性外,还要知道消息的含义。
36,通行字的选择原则是什么?
答:易记;难于被别人猜中或发现;抗分析能力强。
在实际系统中,需要考虑和规定选择方法,使用期限,字符长度,分配和管理以及在计算机系统内的保护等。
根据系统对安全水平的要求可有不同的选取。
37,通行字的安全存储有哪二种方法?
答:(1)用户的通行字多以加密形式存储,入侵者要得到通行字,必须知道加密算法和密钥。
(2)许多系统可以存储通行字的单向杂凑值,入侵者即使行到此杂凑也难于推出通行字。
38,有效证书应满足的条件有哪些?
答:(1)证书没有超过有效期。
(2)密钥没有被修改。
如果密钥被修改后,原证书就应当收回,不再使用。
如果雇员离开了其公司,对应的证书就可收回,如果不收回,且密钥没被修改,则可继续使用该证书;(3)证书不在CA发行的无效证书清单中。
CA负责回收证书,并发行无效证书清单。
用户一旦发现密钥泄露就应及时将证书吊销。
并由CA通知停用并存档备案。
39,密钥对生成的两种途径是什么?
答:(1)密钥对持有者自己生成:用户自己用硬件或软件生成密钥对。
如果该密钥对用于数字签名时,应支持不可否认性。
(2)密钥对由通用系统生成:由用户依赖,可信赖的某一中心机构生成,然后安全地送到特定用户的设备中。
利用这类中心的资源,可产生高质量密钥对,易于备份和管理。
40,证书有哪些类型?
答:(1)个人证书:证实客户身份和密钥所有权。
在一些情况下,服务器会在建立SSL 边接时要求用个人证书来证实客户身份。
用户可以向一个CA申请,经审查后获得个人证书。
(2)服务器证书:证实服务器的身份和公钥。
当客户请求建立SSL连接时,服务器把服务器证书传给客户。
客户收到证书后,可以检查发行该证书的CA是否应该信任。
对于不信任的CA,浏览器会提示用户接受或拒绝这个证书。
(3)邮件证书:证实电子邮件用户的身份和公钥。
一些有安全功能的电了邮件应用程序能使用邮件证书来验证用户身份和加密解密信息。
(4)CA证书:证实CA身份和CA的签名密钥。
在Netscape浏览器里,服务器管理员可以看到服务受接受的CA证书,并选择是否信任这些证书。
CA证书允许CA发行其他类型的证书。
41,如何对密钥进行安全保护?
答:密钥按算法产生后,首先将私钥送给用户,如需备份,应保证安全性,将公钥送给CA,用以生成相应证书,为了防止未授权用户对密钥的访问,应将密钥存入防窜扰硬件或卡中,或加密后存入计算机的文件中。
此处,定期更换密码对是保证安全的重要措施。
42,CA认证申请者的身份后,生成证书的步骤有哪些?
答:(1)CA检索所需的证书内容信息;(2)CA证实这些信息的正确性;(3)回CA用其签名密钥对证书签名;(4)将证书的一个拷贝送给注册者,需要时要求注册者回送证书的收据;(5)CA将证书送入证书数据库,向公用检索业务机构颂;(6)通常,CA将证书存档;(7)CA将证书生成过程中的一些细节记入审记记录中。
43,公钥证书的基本作用?
答:将公钥与个人的身份,个人信息件或其他实体的有关身份信息联系起来,在用公钥证实数字签名时,在确信签名之前,有时还需要有关签名人的其他信息,特别是要知道签名者是否已被授权为对某特定目的的签名人。
授权信息的分配也需用证书实现,可以通过发放证书宣布某人或实体具有特定权限或权威,使别人可以鉴别和承认。
44,双钥密码体制加密为什么可以保证数据的机密性?
答:双钥密码体制加密时有一对公钥和私钥,公钥可以公开,私钥由持有者保存,公钥加密过的数据中有持有者的私钥能解开,这样就保证了数据的机密性。
经私钥加密过的数据——数字签名可被所具有公钥的人解开,由于私钥只有持有者一人保存,就样就证明信息发自私钥持有者,具有不可否认证和完整性。
45,电子商务安全的中心内容
1商务数据的机密性2商务数据的完整性3商务对象的认证性4商务服务的不可否认性5商务服务的不可拒绝性6访问的控制性
46,电子邮件的安全问题主要有两个方面:(1)电子邮件在网上传送时随时可能别人窃取到(2)可以冒用别人的身份发信
47,数字签名的使用方法:
数字签名使用双钥密码加密和散列函数。
消息M用散列函数H得到的消息摘要h=H (M),然后发送方再用自己的双钥密码体制的私钥对这个散列值进行加密h=E (h),形成发送方的数字签名。
然后,这个数字签名将作为消息M的附件和消息一起发送给消息的接受方。
消息的接受方首先从接受到的原始消息M中计算出散列值h=H(M),接着再用发送方的双钥密码体制的公钥来对消息的数字签名进行解密D (h)得h 如果这两个散列值h = h那么接收方就能确认该数字签名是发送方的,而且还可以确定此消息没有被修改过。
48,提高数据完整性的预防性措施
(1)镜像技术:是指将数据原样地从一台设备机器拷贝到另一台设备机器上(2)故障前兆分析(3)奇偶效验(4)隔离不安全的人员(5)电源保障
49,病毒的分类
1 按寄生方式分为:(1)引导型病毒(2)文件型病毒(3)复合型病毒
2 按破坏性分为:(1)良性病毒
(2)恶性病毒
50,防火墙的设计原则:
① 由内到外和由外到内的业务流必须经过防火墙②只允许本地安全政策认可的业务流通过防火墙③尽可能的控制外部用户访问内域网,应严格限制外部用户进入内域网④具有足够的透明性,保证正常业务的流通⑤具有抗穿透攻击能力,强化记录,审计和告警。