电子商务安全与管理
电子商务的安全管理制度
电子商务的安全管理制度随着互联网的飞速发展,电子商务已经成为了现代商业中不可或缺的一部分。
然而,电子商务也伴随着各种风险和安全隐患,如数据泄露、网络攻击、交易欺诈等问题。
为了保护电子商务的安全,确保顺利进行,各个企业和组织都需要建立完善的安全管理制度。
一、数据安全管理数据安全是电子商务中最重要的方面之一,以下是一些常见的数据安全管理措施:1. 安全访问控制:建立严格的账号和权限管理系统,确保只有授权人员可以访问敏感数据。
2. 数据备份和恢复:制定定期备份数据的计划,并建立可靠的恢复机制,以防数据丢失或被破坏。
3. 加密技术:使用强大的加密算法保护数据的传输和存储过程,确保数据在传输和存储中不会被窃取或篡改。
4. 安全审计:定期对系统和数据进行安全审计,及时发现并解决潜在的安全漏洞。
二、支付安全管理支付安全是电子商务中最容易受到攻击的环节之一。
以下是一些常见的支付安全管理措施:1. 支付加密:使用SSL(Secure Sockets Layer)等安全协议来加密支付过程中的敏感信息,保证交易数据的安全性。
2. 多重认证:引入双因素认证,例如短信验证码、指纹识别等,提高支付系统的安全性。
3. 异常检测:建立异常交易检测机制,及时发现和阻止可疑的支付行为,防止欺诈交易的发生。
三、物流安全管理物流环节也是电子商务中容易出现问题的地方,以下是一些常见的物流安全管理措施:1. 运输安全:确保物品在运输过程中不会被丢失、损坏或被篡改,建立安全的运输网络和监控系统。
2. 入库验收:对入库的物品进行验收和记录,确保货物的数量、质量和完整性与订单一致。
3. 实时跟踪:利用物流追踪技术,让消费者和卖家可以实时了解物流进展情况,增加物流环节的透明度和安全性。
四、用户隐私保护用户隐私保护是电子商务安全管理中至关重要的一环。
以下是一些常见的用户隐私保护措施:1. 隐私政策:制定明确的隐私政策,告知用户个人信息的收集和使用方式,征得用户的同意。
电子商务安全技术的应用与管理
电子商务安全技术的应用与管理随着信息技术的飞速发展,电子商务已经成为现代商业活动的重要组成部分。
然而,与电子商务的迅猛发展相伴随的是各种网络安全威胁的出现。
为了保护消费者的利益,维护电子商务的正常运营,高效的安全技术和管理措施是必不可少的。
一、电子商务安全技术的应用1. 消费者身份识别技术消费者的身份识别对于电子商务交易的安全至关重要。
利用加密算法和数字证书等技术,可以确保用户的身份信息在传输过程中不被窃取或篡改。
通过双重身份验证和生物识别技术,可以有效防止身份欺诈和账户被盗。
2. 数据加密技术在电子商务交易中,大量的个人信息和财务数据需要在网络中传输。
数据加密技术可以将这些敏感数据转化成密文,在传输过程中保持机密性。
常见的加密算法包括对称加密和非对称加密,通过使用密码学技术,可以有效防止黑客攻击和数据泄漏。
3. 安全支付技术电子商务平台上的交易支付是一项容易受到攻击的环节。
为了确保支付过程的安全性,电子商务安全技术中的支付系统不仅需要采用安全的传输协议,更需要结合密钥管理和用户身份验证等技术,确保支付信息的机密性和完整性。
4. 网络防御技术网络攻击是电子商务中最常见也最危害巨大的威胁之一。
为了抵御网络攻击,电子商务平台需要配置防火墙、入侵检测系统和反病毒软件等网络安全设备。
此外,定期进行漏洞扫描和安全评估,并采取针对性的安全补丁和安全策略,也是确保电子商务安全的重要手段。
二、电子商务安全技术的管理1. 安全策略与风险评估电子商务平台应制定全面的安全策略,以防范和降低各类安全风险。
风险评估是安全策略制定的基础,通过识别可能的风险并评估其严重性,可以有针对性地制定相应的安全措施,减轻风险带来的损失。
2. 安全培训与意识提升企业员工是安全风险的重要因素之一。
电子商务平台应定期组织安全培训,提高员工的安全意识和技能素质,帮助他们识别和应对各类网络安全威胁。
同时,要建立内部安全告知和举报机制,让员工能及时报告异常情况。
电子商务安全风险的管理与控制
电子商务安全风险的管理与控制一、引言电子商务作为当今社会的主要经济活动之一,不仅改变着消费者的购物习惯,也给企业带来了新的商业机会。
然而,随着电子商务的快速发展,安全风险也相应地增加了。
企业必须重视电子商务安全风险的管理和控制,才能保证其业务的可持续发展。
二、电子商务安全风险的定义和分类2.1 定义电子商务安全风险是指在电子商务中出现的安全问题和可能产生的损失,包括信息泄露、网络攻击和欺诈等。
2.2 分类电子商务安全风险可分为五类:(1)信息安全风险:包括个人信息泄露、交易信息泄露等。
(2)网络安全风险:包括黑客攻击、病毒攻击、拒绝服务攻击等。
(3)支付安全风险:包括支付过程中的信用卡欺诈、虚假支付等。
(4)物流安全风险:包括商品丢失、运输过程中的意外情况等。
(5)法律安全风险:包括知识产权侵权、违法销售等。
三、电子商务安全风险的管理与控制3.1 安全策略的制定企业应制定安全策略,定义其电子商务安全风险管理和控制的目标、方法和措施,以保障电子商务行为的合法性、规范性和安全性。
3.2 网络安全技术的运用企业应采用网络安全技术,建立网络防御系统,包括防火墙、入侵检测系统、安全审计系统等,保障企业内部网络和交易平台的安全。
3.3 组织安全管理体系企业应建立完整的电子商务安全管理体系,包括安全责任人的设置、安全管理制度和程序的制定、安全培训和宣传等。
3.4 安全风险的评估企业应对自身安全风险进行评估,并根据评估结果及时采取相应的安全措施,以减少安全风险产生的概率和损失。
3.5 合作伙伴的选择和管理企业应将合作伙伴的安全问题纳入其整体安全管理范畴,并选择安全性较高的合作伙伴,对其安全监管和管理。
3.6 应急处理和事故反应预案的制定企业应制定应急处理和事故反应预案,安排专人负责处理电子商务安全事故,及时采取措施应对和解决问题。
四、结论电子商务安全风险管理和控制是电子商务发展的重要环节。
企业必须重视电子商务安全风险问题,在安全策略制定、网络安全技术运用、安全管理体系建设、安全风险评估、合作伙伴选择和管理、应急处理和事故反应预案等方面采取相应措施,在保证电子商务的继续发展的同时,最大限度地减少安全风险带来的损失。
电子商务的安全管理制度
电子商务的安全管理制度随着互联网技术和电子商务的发展,越来越多的消费者选择在网上购物。
然而,电子商务中存在着各种安全风险,如个人信息泄露、支付安全问题等。
为了保护消费者的合法权益,维护电子商务市场的正常秩序,电子商务平台和经营者需要建立并完善安全管理制度。
一、加强用户信息的保护电子商务平台必须严格保护用户的个人信息,禁止非法收集、使用或泄露用户的个人信息。
平台应采取一切必要的措施保证用户信息的安全,如加密存储、隐私保护技术等。
同时,用户也要增强个人信息保护的意识,不随意泄露个人敏感信息,定期更改密码,并及时了解平台隐私政策。
二、建立支付安全机制支付安全是电子商务中的重要环节。
平台和经营者应建立起完善的支付安全机制,确保支付过程中用户的资金安全和支付信息的保密性。
采取多层次的身份验证、密码保护、交易风险评估等手段,防范支付过程中的各类安全威胁,如盗刷、诈骗等。
同时,用户也要选择安全可靠的支付方式,并定期检查交易明细,发现异常及时向平台或银行报告。
三、打击网络侵权行为电子商务平台和经营者应加大对网络侵权行为的打击力度。
建立版权保护机制,对侵权信息及时删除,并追究侵权人的法律责任。
采取技术手段,监测并屏蔽一些恶意软件、病毒等网络安全威胁。
此外,平台也要与公安机关等相关部门合作,共同打击网络犯罪行为,确保电子商务市场的健康发展。
四、完善售后服务和消费者权益保护电子商务平台和经营者要加强对售后服务的管理。
明确售后责任和义务,确保消费者在购买产品后能享受到优质的售后服务。
应建立起完善的退换货机制,对于不合格产品或交易纠纷能及时解决。
同时,加强消费者的权益保护,对虚假广告、虚假宣传等不正当竞争行为进行监测和处罚,保证消费者的合法权益不受侵害。
五、加强安全教育和培训电子商务从业人员要接受电子商务安全教育和培训,提高其对电子商务安全管理制度的认识和理解。
了解各种安全风险和防范措施,增强预防和应对各类安全事件的能力。
电子商务安全与管理第二版课后习题答案
关键术语第一章电子商务安全导论1)电子商务安全问题:主要涉及信息的安全、信用的安全、安全的管理问题以及安全的法律法规保障问题。
2)完整性:防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改。
3)电子商务系统安全:从计算机信息系统的角度来阐述电子商务系统的安全,认为电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全这三个部分组成。
4)认证性:确保交易信息的真实性和交易双方身份的合法性。
5)电子商务安全保障:电子商务安全需要一个完整的保障体系,应当采用综合防范的思路,从技术、管理、法律等方面去认识、去思考,并根据我国的实际和国外的经验,提出行之有效的综合解决的办法和措施。
6)可控性:保证系统、数据和服务能由合法人员访问,保证数据的合法使用。
7)保密性:保护机密信息不被非法取存以及信息在传输过程中不被非法窃取8)不可否认性:有效防止通信或交易双方对已进行的业务的否认。
第二章:1.链路——链路加密链路加密(又称在线加密)是传输数据仅在物理层前的数据链路层进行加密。
接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
2.对称加密称加密又叫秘密密钥加密,其特点是数据的发送方和接收方使用的是同一把密钥,即把明文加密成密文和把密文解密成明文用的是同一把密钥。
3、节点加密节点加密是指每对节点共用一个密钥,对相邻两节点间(包括节点本身)传送的数据进行加密保护。
尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为信息提供安全性;都在中间节点先对信息进行解密,然后进行加密。
4、公开密钥加密不对称加密又叫做公开密钥加密,需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加解密。
5、端——端加密端—端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。
采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
电子商务的安全管理制度
电子商务的安全管理制度随着互联网的迅猛发展,电子商务已经成为了现代商业模式中不可或缺的一部分。
然而,在电子商务的发展过程中,安全问题也愈发突出。
为了保障用户和企业的利益,建立一个完善的电子商务安全管理制度显得尤为重要。
本文将从以下几个方面介绍电子商务的安全管理制度。
一、信息安全管理信息安全是电子商务安全管理制度中的核心要素。
企业应该通过建立信息安全政策、规定和流程来确保信息的保密性和完整性。
在处理用户信息时,应遵循数据保护法律法规,明确保护用户隐私的具体措施,并获得用户的明确同意。
同时,企业还需要建立健全的信息安全技术措施,包括加密技术、防火墙、入侵检测系统等,以防止黑客攻击和数据泄露等安全事件的发生。
二、支付安全管理支付安全是电子商务中最关键的环节之一。
企业应该建立安全、可靠的支付系统,采用多层次的身份验证和加密技术,确保用户的支付信息得到保护。
同时,企业还需要与支付机构建立合作关系,共同防范支付风险,确保交易的安全进行。
三、网络安全管理网络安全是电子商务安全管理制度中的重要部分。
企业应该加强对网络基础设施的保护,确保网络的稳定运行和安全性。
建立完善的网络安全策略,包括网络入侵检测、漏洞扫描、安全审计等,及时发现和应对网络攻击和威胁。
此外,企业还应加强对员工的网络安全教育培训,提高员工的安全意识,防止社会工程学等安全风险。
四、物流安全管理物流安全涉及商品实体的配送和交付过程。
企业应建立完善的物流安全管理制度,从商品进货到最终交付,确保商品在整个物流过程中不被损坏或被替代。
通过建立监控系统、物流路线规划和加强仓库安全管理等措施,提高物流环节的安全性和效率。
五、售后服务安全管理售后服务是电子商务中不可或缺的一环。
企业应确保顾客在购买商品后能够得到及时、有效的售后服务。
建立健全的售后服务管理制度,包括投诉处理规范、退换货政策等,解决用户的问题,保护用户的权益,维护企业的声誉。
综上所述,电子商务安全管理制度包括信息安全、支付安全、网络安全、物流安全和售后服务安全等多个方面的内容。
电子商务安全与管理复习
EC安全现状一、填空题1、电子商务安全的基本要求包括:保密性、认证性、完整性、可访问性、防御性、不可否认性和合法性,其中保密性、完整性和不可否认性最为关键。
2、信息安全的三个发展阶段是:数据安全、网络安全和交易安全。
3、交易安全的三个主要方面包括:可信计算、可信连接、可信交易。
4、在电子商务系统中,在信息传输过程中面临的威胁:中断(interruption )、截获(interception )、篡改(modification )和伪造(fabrication)5、电子商务信息存储过程中面临的威胁非法用户获取系统的访问控制权后,可以破坏信息的保密性、真实性和完整性。
6、以可信计算平台、可信网络构架技术实现,对BIOS、OS等进行完整性测量,保证计算环境的可信任,被称为可信计算(trusted computing)7、以活性标签技术或标签化交换技术实现,对交易过程中的发信、转发、接收提供可信证据,被称为可信连接(trusted connecting)8、为交易提供主体可信任、客体可信任和行为可信任证明,被称为可信交易(trusted transaction)9、 ISO对OSI的安全性进行了深入的研究,在此基础上提出了OSI安全体系。
定义了安全服务、安全机制和安全管理等概念。
其中对象认证(entity authentication)、访问控制(access control)、数据保密性(data confidentiality)、数据完整性(data integrity)和不可抵赖(no-repudiation)是属于安全服务范畴10、 ISO对OSI的安全性进行了深入的研究,在此基础上提出了OSI安全体系。
定义了安全服务、安全机制和安全管理等概念。
其中数据加密、数字签名、数据完整性、鉴别交换、路由控制、防业务流分析、公证属于安全机制范畴二、判断题1、密码安全是通信安全的最核心部分,由技术上提供强韧的密码系统及其正确应用来实现。
电子商务安全与管理
电子商务安全与管理在当今数字化时代,电子商务已经成为我们生活中不可或缺的一部分。
从日常的购物消费到企业间的大规模交易,电子商务的便捷性和高效性为我们带来了极大的便利。
然而,伴随着电子商务的迅猛发展,安全与管理问题也日益凸显,成为了制约其进一步发展的关键因素。
首先,我们来谈谈电子商务面临的安全威胁。
信息泄露是其中一个严重的问题。
当我们在网上进行购物、支付等操作时,个人的姓名、地址、银行卡号等敏感信息都需要被输入。
如果这些信息被不法分子获取,就可能导致信用卡被盗刷、身份被冒用等严重后果。
网络黑客的攻击也是电子商务的一大隐患。
他们可能通过各种手段入侵电商平台的数据库,窃取用户数据或者篡改交易信息,给消费者和商家带来巨大的损失。
此外,恶意软件的传播也不容忽视。
比如,一些伪装成正规软件的恶意程序,可能会在用户不知情的情况下窃取个人信息或者破坏电脑系统。
那么,为了应对这些安全威胁,我们需要采取一系列的安全措施。
加密技术是保障信息安全的重要手段之一。
通过对传输的数据进行加密,可以有效防止信息在传输过程中被窃取和篡改。
身份验证机制也必不可少。
比如常见的用户名和密码组合、指纹识别、面部识别等,能够确保只有合法的用户才能访问相关的账户和信息。
同时,防火墙和入侵检测系统能够有效地阻止黑客的攻击,保护电商平台的服务器和数据库。
除了技术层面的安全措施,管理方面的工作同样重要。
完善的内部管理制度是保障电子商务安全的基础。
电商企业需要建立严格的员工权限管理制度,确保不同岗位的员工只能访问其工作所需的信息,避免出现内部人员滥用职权窃取用户数据的情况。
对于合作伙伴,也要进行严格的审核和管理,确保其具备足够的安全保障能力。
此外,定期的安全培训和教育也是必不可少的。
让员工了解最新的安全威胁和防范措施,提高他们的安全意识和防范能力。
在电子商务的交易过程中,消费者的权益保护也是安全与管理的重要内容。
消费者在进行网购时,可能会遇到商品质量问题、虚假宣传、售后服务不到位等情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、简述电子商务流程答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。
(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。
②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。
2、概括电子商务模式的类型答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。
网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。
(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。
(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。
3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险)电子商务所面临的安全问题主要包括以下几个方面。
(1)窃取信息。
数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。
即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。
(2)篡改信息。
攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。
(3)身份仿冒。
攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。
(4)抵赖。
某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。
(5)病毒。
网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。
(6)其他安全威胁。
电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。
例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。
4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当5、电子商务交易信息传输过程中面临哪些安全问题?(1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。
(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。
(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。
(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。
电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题6、电子商务安全管理方法(了解P19)从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。
(2)保密制度。
(3)跟踪、审计、稽核制度。
(4)网络系统的日常维护制度。
(5)病毒防范制度。
8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。
具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。
9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。
10、风险分析的步骤:1)确定范围2)找出风险3)风险评估4)风险控制。
11、什么是风险,它具备哪些特征?答:风险就是指危险发生的意外性和不确定性,包括损失发生与否及损失程度大小的不确定性。
风险的特征:首先,风险是客观的,也是主观的;其次,决定某事有风险的需要个人的判断,甚至对于客观的风险也是如此;再次,有风险的行为和因此产生的风险,通常是能选择或避免的。
*12、简述风险分析的作用。
13、Internet风险等级划分(P32)(1)一般警戒(Regular Vigilance):(2)增进警戒(Increased Vigilance)(3)焦点攻击(Focused Attacked)(4)灾难性威胁(Catastrophic Threat)(风险最高)14、Internet协议中的安全风险:1)TCP序号袭击2)IP地址欺骗3)ICMP袭击(ping命令)4)IP碎片袭击5)ARP欺骗攻击6)UDP欺骗15、OSI模型的分层有哪几层?TCP协议在哪一层?第一层和最后一层是什么?OSI模型总共有七层,从第一层到最后一层分别为:物理层,数据链路层,网络层,传输层,会话层,表示层,应用层。
TCP协议在传输层第四层,IP在第三层。
第一层是物理层,最后一层是应用层。
16、协议(通信协议)是关于通信过程的规则或条例,它规定了如何传输信号,如何在宿主计算机上将数据包重新组成计算机信息等。
17、IP数据报文格式(P37)IPv6 的特点:一、扩大了地址空间;二、简化了数据报头格式;三、易于扩充;四、内置安全特性。
18、ICMP袭击(P44)若网页打不开,判断是该网页服务器的问题还是本地网络的问题,用ping命令。
19、FTP(File Transfer Protocol)文件传输协议的应用:文本传输,上传下载文件20、WWW的安全问题(了解)(P49)(1)攻击者利用Web服务器或CGI程序中的缺陷访问系统中未经许可的文件,甚至盗取系统控制权。
(2)攻击者利用Web浏览器中的缺陷,窃听或截获Web浏览器和Web服务器之间的机密信息。
CGI程序的安全威胁,Java程序的安全威胁,Cookie 的安全威胁,Web欺骗连接。
21、DNS(域名服务器系统Domain Name Service)(P52)作用:把域名解析成IP地址22、加密:将明文变换成另一种隐蔽形式,这种变换称为加密。
对称式加密:指使用同一个密钥对报文进行加密和解密,也称为单钥加密技术或传统加密技术。
优点:效率高,算法简单,系统开销小,速度比公钥加密技术快得多,适合加密大量的数据,应用广泛。
缺点:主要问题是发送方和接收方必须预先共享秘密密钥,而不能让其他任何人知道,通常必须通过安全信道私下商定。
非对称(公钥)加密:优点:(1)密钥分配简单(2)密钥的保存量少(3)可以满足相互不认识的人之间进行私人谈话时的保密性要求(4)可以完成数字签名和数字鉴别。
缺点:(1)产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密(2)安全性(3)速度太慢23、数字签名的定义:数字签名是指用户用自己的私钥对原始数据的数字摘要进行加密所得的数据。
作用:保证消息来源的真实性和数据传输的完整性。
基本要求:(1)签名是可信的。
(2)签名是不可伪造的(3)签名不可重用(4)签名后的文件是不可变的(5)签名是不可否认的24、计算机病毒是一种在计算机系统运行过程中能够把自身精确复制或有修改地复制到其他程序体内的程序,它是一种人为编制的软件。
特点:它与杀毒软件的区别和联系(是否杀完全,复发)25、反病毒管理(主要谈谈怎样从企业内部管理来进行反病毒,如何防范,以及如何将危害控制到最小)(P101)反病毒管理包括:(1)数据通信管理;(2)软件来源管理;(3)客户访问与商业联系的管理,还应包括拟定系统化的措施来防范或对付病毒。
(1)病毒防范。
病毒防范的第一步,是要查出病毒进入系统的方式,以尽快找到阻挡病毒侵袭的办法。
(2)病毒响应计划。
当发现病毒已进入时,正是采取病毒响应计划的时机。
病毒响应计划的主要目的是利用每种可能的方法来彻底清除所有的病毒。
欲从根本上清除病毒,就应首先找到病毒侵袭的方式。
如果找不到病毒侵袭的路径,那么最好的方法就是设法使系统具有免疫力,且应对存储区域定期进行深入检查。
26、计算机犯罪:指以计算机为工具,采用非法手段使自己获利或使他人遭受损失的犯罪行为。
27、计算机犯罪的类型:1)破坏计算机;2)窃用计算机;3)滥用计算机;4)破坏安全系统。
28、计算机犯罪的特点:1)破坏性大。
2)智慧型犯罪。
3)白领犯罪。
所谓白领犯罪,是指社会上有相当名望或社会地位的人,在其职业活动上谋取不法利益的犯罪行为。
4)不易察知。
5)侦查困难。
29、口令的选择通常,口令应做到:1)即使使用很长的代码表也很难或不可能探出口令;2)容易记忆;3)定期变化;4)存储在目标系统上,要得到很好的保护(加密/不能访问)。
30、黄皮书(TCSEC)将IT系统从低到高分为D、C1、C2、B1、B2、B3和A1七个安全等级。
D安全水平最低。
A1比D高。
大部分UNIX系统满足C1标准。
31、防火墙:防火墙系统是一种网络组成部件。
它是连接内部与外部、专用网络与公用网络。
防火墙系统能保障网络用户访问公用网络具有最低风险,也保护专用网络免遭外部袭击。
益处:(1)所有风险区域都集中在单一系统即防火墙系统上,安全管理者就可针对网络的某个方面进行管理,而采用的安全措施对网络中的其他区域并不会有多大影响。
(2)监测与控制装置仅需要安装在防火墙系统中(3)内部网络与外部的一切联系都必须通过防火墙系统进行,因此,防火墙系统能够监视与控制所有联系过程。
32、防火墙系统的体系结构网络对外呈现的安全水平依赖于所用防火墙系统的系统结构。
一般将防火墙的体系结构区分如下:1)边界路由器;2)带安全中间网络的边界路由器(筛选性子网、安全子网);3)带信息包过滤器的双归宿防御主机;4)带线路中继器的双归宿防御主机;5)带应用网关的双归宿防御主机;6)带无防卫区域的(DMZ)双归宿防御主机;7)级联的双归宿防御主机。
其中简单的边界路由器提供最低保护,级联的双归宿防御主机提供最高保护。
33、三种防火墙:基于信息包过滤器的防护墙,线路中继器,应用网关防火墙。