2018年自考电子商务安全导论复习精讲要点
自考“电子商务安全导论”复习重点(3)
自考“电子商务安全导论”复习重点(3)34,简述VPN的具体实现即解决方案有哪几种?答:(1)虚拟专用拨号网络,用户利用拨号网络访问企业数据中心,用户从企业数据中心获得一个私有地址,但用户数据可跨公共数据网络传输。
(2)虚拟专用路由网络,它是基于路由的VPN接入方式。
(3)虚拟租用线路,是基于虚拟专线的一种VPN,它在公网上开出各种隧道,模拟专线来建立VPN. (4)虚拟专用LAN子网段,是在公网上用隧道协议仿真出来一个局域网,透明地提供跨越公网的LAN服务。
35,实体认证与消息认证的主要差别是什么?答:实体认证与消息认证的差别在于,消息认证本身不提供时间性,而实体认证一般都是实时的。
另一方面,实体认证通常证实实体本身,而消息认证除了证实消息的合法性和完整性外,还要知道消息的含义。
36,通行字的选择原则是什么?答:易记;难于被别人猜中或发现;抗分析能力强。
在实际系统中,需要考虑和规定选择方法,使用期限,字符长度,分配和管理以及在计算机系统内的保护等。
根据系统对安全水平的要求可有不同的选取。
37,通行字的安全存储有哪二种方法?答:(1)用户的通行字多以加密形式存储,入侵者要得到通行字,必须知道加密算法和密钥。
(2)许多系统可以存储通行字的单向杂凑值,入侵者即使行到此杂凑也难于推出通行字。
38,有效证书应满足的条件有哪些?答:(1)证书没有超过有效期。
(2)密钥没有被修改。
如果密钥被修改后,原证书就应当收回,不再使用。
如果雇员离开了其公司,对应的证书就可收回,如果不收回,且密钥没被修改,则可继续使用该证书;(3)证书不在CA发行的无效证书清单中。
CA负责回收证书,并发行无效证书清单。
用户一旦发现密钥泄露就应及时将证书吊销。
并由CA通知停用并存档备案。
39,密钥对生成的两种途径是什么?答:(1)密钥对持有者自己生成:用户自己用硬件或软件生成密钥对。
如果该密钥对用于数字签名时,应支持不可否认性。
(2)密钥对由通用系统生成:由用户依赖,可信赖的某一中心机构生成,然后安全地送到特定用户的设备中。
2018春【电子商务概论】专科 知识点复习考点归纳总结整理
一、填空1.广义的电子商务主要是指利用计算机网络和电子技术从事各种社会和经济活动,不仅包括各行业之间的商务活动,也包括行政、事业、企业等部门内部各种业务的电子化、网络化。
2.按照交易对象分类,可把电子商务分为有形商品电子商务和无形商品电子商务。
3.典型的企业电子商务架构方式为企业内部网+互联网+企业外部网。
4.现代商务框架可以概括为四种“流”,即信息流、商流、资金流、和物流。
5.按照覆盖距离来划分,计算机网络一般分为局域网、城域网、广域网。
6. OSI参考模型共分7层,它们分别是:物理层、__数据链路层___、网络层_ 、传输层、会话层、表示层、应用层。
7.在Internet上,WWW的英文全称是World Wide Web 。
8.根据OSI开放式互联模式的分层观点,网桥对应的是数据链路层,路由器对应的是网络层层,中继器对应的是物理层层,网关对应的是应用层。
9.从逻辑功能上看,计算机网络是由通信子网和用户资源子网组成的。
10.计算机网络的三要素是:网络服务、传输介质、网络协议。
11.计算机网络传输介质中,物理传输媒体的有线媒体包括:双绞线、同轴电缆和光纤。
12.电子商务安全从整体上可分为:计算机网络安全和商务交易安全。
13.根据计算机软件系统的组成,软件安全可分为操作系统安全、、数据库安全、网络软件安全和应用软件安全。
14.交易信用的风险主要来自:买方的信用风险、卖方的信用风险以及买卖双方都可能存在抵赖的情况。
15.计算机网络安全主要包括计算机网络设备安全、计算机网络系统安全和数据库安全。
16.目前电子商务信息加密技术主要分为两类,即对称加密和非对称加密。
17.电子商务的安全主要是实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性18.防火墙通常具有以下两种功能:数据包过滤和代理服务。
19.从某种意义来讲,计算机病毒和网络黑客是危害当今计算机系统的两大因素。
20.按照商务模式分类可以把电子商务网站可分为:信息型站点、广告型站点、信息订阅型站点和在线销售型站点。
电子商务安全复习
电子商务安全复习在当今数字化的时代,电子商务已经成为我们生活中不可或缺的一部分。
从在线购物到金融交易,从社交媒体到数字服务,电子商务的触角几乎延伸到了我们生活的每一个角落。
然而,随着电子商务的迅速发展,安全问题也日益凸显。
对于电子商务从业者和消费者来说,了解电子商务安全的相关知识,掌握有效的防范措施,是至关重要的。
接下来,让我们一起对电子商务安全进行一次全面的复习。
一、电子商务安全的重要性电子商务安全不仅仅是技术问题,更是关系到企业的生存和发展,以及消费者的信任和权益。
对于企业来说,如果其电子商务平台遭受攻击,导致客户数据泄露、交易中断或者资金损失,不仅会面临巨大的经济损失,还可能损害企业的声誉,失去客户的信任,从而在激烈的市场竞争中处于不利地位。
对于消费者来说,个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题,给生活带来极大的困扰和损失。
因此,保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。
二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。
包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击(DoS)等。
黑客可以通过攻击电子商务网站,窃取用户数据、篡改交易信息或者破坏系统正常运行。
病毒和恶意软件则可能潜伏在用户的设备中,窃取敏感信息或者监控用户的操作。
DoS 攻击则通过大量的无效请求导致网站瘫痪,使正常的交易无法进行。
2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。
在电子商务中,用户的个人信息(如姓名、地址、电话号码、信用卡信息等)、交易记录等都是重要的数据。
如果这些数据被泄露,可能被用于欺诈、身份盗窃等非法活动。
3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息,并以其名义进行非法活动。
在电子商务中,攻击者可能通过窃取用户的登录凭证、伪造身份等方式,进行虚假交易、骗取财物等。
4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。
自考电子商务概论第四章电子商务的安全复习重点
第四章 电⼦商务的安全1.计算机安全计算机安全就是保护企业资产不受未经授权的访问、使⽤、篡改或破坏。
安全专家通常把计算机安全分成三类,即保密、完整和即需。
保密是指防⽌未授权的数据暴露并确保数据源的可靠性;完整是防⽌未经授权的数据修改;即需是防⽌延迟或拒绝服务。
安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。
安全策略是对所需保护的资产、保护的原因、谁负责进⾏保护、哪些⾏为可接受、哪些不可接受等的书⾯描述。
安全策略⼀般包含以下内容:(1)认证:谁想访问电⼦商务站?(2)访问控制:允许谁登录电⼦商务站并访问它?(3)保密:谁有权利查看特定的信息?(4)数据完整性:允许谁修改数据,不允许谁修改数据?(5)审计:在何时由何⼈导致了何事?2.对版权和知识产权的保护版权是对表现的保护,⼀般包括对⽂学和⾳乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。
知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。
3.保护客户机对客户机的安全威胁来⾃:(1)活动内容;(2)Java、Java⼩应⽤程序和javascript;(3)ActiveX控件;(4)图形⽂件、插件和电⼦邮件附件。
信息隐蔽是指隐藏在另⼀⽚信息中的信息(如命令),其⽬的可能是善意的,也可能是恶意的。
信息隐蔽提供将加密的⽂件隐藏在另⼀个⽂件中的保护⽅式。
数字证书是电⼦邮件附件或嵌在页上的程序,可⽤来验证⽤户或站的⾝份。
另外,数字证书还有向页或电⼦邮件附件原发送者发送加密信息的功能。
4.通讯信道的安全威胁对保密性的安全威胁,是指未经授权的信息泄露。
对完整性的安全威胁也叫主动搭线窃听。
当未经授权⽅同意改变了信息流时就构成了对完整性的安全威胁。
对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁,其⽬的是破坏正常的计算机处理或完全拒绝处理。
5.信息加密加密就是⽤基于数学算法的程序和保密的密钥对信息进⾏编码,⽣成难以理解的字符串。
《电子商务安全导论》考试笔记
冲突检测:站点发送信息的同时,还要监听网络信道,检测是否有另一台站点同时在发送信息。如果有,两个站点发送的信息会产生碰撞,即产生冲突,从而使数据信息包被破坏。
接收到FIN的另一端执行被动关闭(Passive Close)。这个FIN由TCP确认,并作为文件结束符传送给接收方应用进程,因为FIN意味着应用进程在此连接上再也接收不到额外的数据;
一段时间后,接收到文件结束符的应用进程调用close,关闭其套接口。这导致它的TCP也发送一个FIN。
接收到这个FIN的原发送方TCP对它进行确认。
但这种方法产生了一个问题,就是包的重复。如果网络传输速度比较低,在等待时间结束后,确认消息才返回到发送者,那么,由于发送者采用的发送方法,就会出现重复的数据了。一种解决的办法是给每个数据一个序列号,并需要发送者记住哪个序列号的数据已经确认了。为了防止由于延时或重复确认,规定确认消息里也要包含确认序列号,这样发送者就能知道哪个包已经确认了
1)ARP进程在本局域网上广播发送一个ARP请求分组,目的地址为主机B的IP地址;
2)本局域网上的所有主机上运行的ARP进程都接收到此ARP请求分组;
3)主机B在ARP请求分组中见到自己的IP地址,就向主机A发送一个ARP响应分组,并写入自己的物理地址;
4)主机A收到主机B的ARP响应分组后,就在其ARP高速缓存中写入主机B的IP地址到物理地址的映射。
1.4 基于TCP/IP的网络编程接口:Socket
端口。地址。半相关。全相关。服务方式。顺序。差错控制。流控制。字节流。数据报。全双工/半双工。缓存/带外数据等Socket编程中所涉及到的一些基本概念。
电子商务安全导论(百分百考点)
电子商务安全导论名词解释1,电子商务:顾名思义,是建立在电子技术基础上的商业运作,是利用电子技术加强,加快,扩展,增强,改变了其有关过程的商务。
2,EDI:电子数据交换是第一代电子商务技术,实现BTOB 方式交易。
3,BTOB:企业机构间的电子商务活动。
4,BTOC:企业机构和消费者之间的电子商务活动。
5,intranet:是指基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与intranet建立连接。
intranet 上提供的服务主要是面向的是企业内部。
6,Extranet:是指基于TCP/IP协议的企业外域网,它是一种合作性网络。
7,商务数据的机密性:商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取,不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。
8,邮件炸弹:是攻击者向同一个邮件信箱发送大量的垃圾邮件,以堵塞该邮箱。
9,TCP劫持入侵:是对服务器的最大威胁之一,其基本思想是控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为黑客就是实际的客户端。
10,HTTP协议的“有无记忆状态”:即服务器在发送给客户机的应答后便遗忘了些次交互。
TLENET等协议是“有记忆状态”的,它们需记住许多关于协议双方的信息,请求与应答。
1,明文:原始的,未被伪装的消息称做明文,也称信源。
通常用M表示。
2,密文:通过一个密钥和加密算法将明文变换成一种伪信息,称为密文。
通常用C表示。
3,加密:就是用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,即把明文变成密文的过程。
通常用E表示。
4,解密:由密文恢复成明文的过程,称为解密。
通常用D表示。
5,加密算法:对明文进行加密所采用的一组规则,即加密程序的逻辑称做加密算法。
6,解密算法:消息传送给接收者后,要对密文进行解密时所采用的一组规则称做解密算法。
7,密钥:加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称作加密密钥和解密密钥。
2018电大《电子商务安全导论》期末考前复习资料知识点复习考点归纳总结
电子商务安全导论复习资料(一)第一章名词解释1,电子商务:顾名思义,是建立在电子技术基础上的商业运作,是利用民子技术加强,加快,扩展,增强,改变了其有关过程的商务。
5,intranet:是指基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与intranet建立连接。
intranet上提供的服务主要是面向的是企业内部。
6,Extranet:是指基于TCP/IP协议的企业处域网,它是一种合作性网络。
7,商务数据的机密性:商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取,不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。
8,邮件炸弹:是攻击者向同一个邮件信箱发送大量的垃圾邮件,以堵塞该邮箱。
9,TCP劫持入侵:是对服务器的最大威胁之一,其基本思想是控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为黑客就是实际的客户端。
10,HTTP协议的“有无记忆状态”:即服务器在发送给客户机的应答后便遗忘了些次交互。
TLENET等协议是“有记忆状态”的,它们需记住许多关于协议双方的信息,请求与应答。
11.电子商务系统可能遭受的攻击有(系统穿透、违反授权原则、植入、通信监视、通信串扰)12.双密钥体制算法的特点包括(算法速度慢、适合加密小数量的信息、适合密钥的分配、适合密钥的管理)常见的电子商务模式的有(大字报/告示牌模式、在线黄页薄模式、电脑空间上的小册子模式、虚拟百货店模式、广告推销模式)简答题1,什么是保持数据的完整性?答:商务数据的完整性或称正确性是保护数据不被未授权者修改,建立,嵌入,删除,重复传送或由于其他原因使原始数据被更改。
在存储时,要防止非法篡改,防止网站上的信息被破坏。
在传输过程中,如果接收端收到的信息与发送的信息完全一样则说明在传输过程中信息没有遭到破坏,具有完整性。
加密的信息在传输过程,虽能保证其机密性,但并不能保证不被修改。
电子商务安全导论0997_考试必备
第一章电子商务安全基础1、电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务.10、电子商务系统可能遭受的攻击:1)系统穿透2)违反授权原则3)植入4)通信监视5)通信窜扰6)中断7)拒绝服务8)否认9)病毒电子商务安全的中心内容:1)机密性2)完整性3)认证性4)不可否认性5)不可拒绝性6)访问的控制性7)其它11、商务数据的机密性:或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织, 或者经过加密伪装后, 使未经授权者无法了解其内容。
机密性可用加密和信息隐匿技术实现.12、商务数据的完整性:或称正确性是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。
简单地说,数据的完整性就是接收端收到的信息与发送端的一致。
13、商务对象的认证性:是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性,分辨参与者所声称身份的真伪,防止伪装攻击。
认证性用数字签名和身份认证技术实现。
14、商务服务的不可否认性:是指信息的发送方不能否认已发送的信息, 接受方不能否认已收到的信息,这是一种法律有效性要求。
不可否认性采用数字签名技术实现。
15、商务服务的不可拒绝性:或称可用性是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。
可用性的不安全是指”延迟”的威胁或”拒绝服务”的威胁。
16、访问的控制性:是指在网络上限制和控制通信链路对主机系统和应用的访问,用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。
17、对Internet的攻击有四种类型:1)截断信息: 对服务的可用性进行攻击伪造: 对信息的机密性、完整性、认证性进行攻击。
2)篡改: 对信息的机密性、完整性、认证性进行攻击。
3)介入: 对信息的机密性进行攻击,是一种被动攻击18、IP协议的安全隐患:A.针对IP的”拒绝服务”攻击B.IP地址的顺序号预测攻击C.TCP协议劫持入侵D.嗅探入侵第二章电子商务安全需求与密码技术19、电子商务的安全需求:1)可靠性2)真实性3)机密性4)完整性5)有效性6)不可抵赖性7)内部网的严密性20、单钥密码体制的加解密过程:1)发送方用自己的私有密钥对要发送的信息进行加密2)发送方将加密后的信息通过网络传送给接收方3)接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密,得到信息明文21、单钥密码体制的特点:优点:加密和解密的速度快,效率高;缺点:密钥管理困难,不适应互联网大规模应用环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章电子商务安全基础一、商务和电子商务的概念1.电子商务的含义【名词解释】电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。
2.电子商务的技术要素【多选】电子商务的技术要素组成包括:网络、应用软件和硬件。
3.电子商务的模式(1)大字报/告示牌模式。
(2)在线黄页簿模式。
(3)电脑空间上的小册子模式。
(4)虚拟百货店模式。
(5)预订/订购模式。
(6)广告推销模式。
4.Internet(因特网)、Intranet(内连网)和Extranet(外连网)的特点(1)Internet(因特网)因特网的最大优势,是它的广袤覆盖及开放结构。
由于它是开放结构,许多企业及用户可以按统一的技术标准和较合理的费用连接上网,使网上的主机服务器和终端用户以滚雪球的速度增加,也使其覆盖增长至几乎无限。
但它的优点也是它的缺点。
因特网的管理松散,网上内容难以控制,私密性难以保障。
从电子商务等应用看,安全性差是因特网的又一大缺点,这已成为企业及用户上网交易的重要顾虑。
(2)Intranet(内连网)Intranet(内连网)本书中选译为企业内域网。
企业内域网是为企业内部运作服务的,自然有它安全保密的要求,当它与公网Internet连接时,就要采取措施,防止公网上未授权的无关人员进入,防止企业内部敏感资料的外泄。
这些保障内域网安全的硬件、软件措施,通常称为防火墙(Firewall)。
防火墙常常是一个介乎内域网和因特网其他部分之间的安全服务器。
(3)Extranet(外连网)一般译为企业外域网,它是一种合作性网络。
一个企业除利用因特网的技术和标准或直接在因特网上构建企业内域网,满足企业内部运作之外,还经常需要与某些业务关系较密切的本企业集团以外的单位通过网络进行联系,为达成某一共同目标而共享某些资源。
5.电子商务的发展历史【单选】有人把现代电子商务的发展分成如下几个阶段,从中也可看出电子商务发展的轨迹、条件和基础:(1)1995年:网络基础设施大量兴建。
(2)1996年:应用软件及服务成为热点。
(3)1997年:网址及内容管理的建设发展,有关企业、业务的调整、重组及融合,所谓“人口门户”(Portal)公司的出现。
(4)1998年:网上零售业及其他交易蓬勃发展。
二、电子商务安全基础1.电子商务的安全隐患(1)硬件系统计算机是现代电子科技发展的结晶,是一个极其精密的系统,它的每一个零件都是由成千上万个电子元件构成的。
这一方面使计算机的功能变得十分强大,另一方面又使它极易受到损坏。
(2)软件系统软件是用户与计算机硬件联系的桥梁。
任何一个软件都有它自身的弱点,而大多数安全问题都是围绕着系统的软件部分发生的,既包括系统软件也包括应用软件。
电子商务系统的安全问题不仅包括了计算机系统的隐患,还包括了一些自身独有的问题。
(1)数据的安全。
(2)交易的安全。
2.【简答】简述电子商务所遭受的攻击。
(1)系统穿透。
(2)违反授权原则。
(3)植入。
(4)通信监视。
(5)通信窜扰。
(6)中断。
(7)拒绝服务。
(8)否认。
(9)病毒。
3.电子商务安全的六性(1)商务数据的机密性。
(2)商务数据的完整性。
(3)商务对象的认证性。
(4)商务服务的不可否认性。
(5)商务服务的不可拒绝性。
(6)访问的控制性。
4.产生电子商务安全威胁的原因(1)Internet在安全方面的缺陷Internet的安全漏洞①Internet各个环节的安全漏网。
②外界攻击,Internet安全的类型。
③局域网服务和相互信任的主机的安全漏洞。
④设备或软件的复杂性带来的安全隐患。
TCP/IP协议及其不安全性①TCP/IP协议简介IP协议提供基本的通信协议,TCP协议在IP协议的基础上为各种应用提供可靠和有序的数据传送功能。
②IP协议的安全隐患a.针对IP的“拒绝服务”攻击。
b.IP地址的顺序号预测攻击。
c.TCP协议劫持入侵。
d.嗅探入侵。
③HTTP和Web的不安全性a.HTTP协议的特点。
b.HTTP协议中的不安全性。
④E—mail,Telnet及网页的不安全性a.E一mail的不安全性。
b.入侵Telnet会话。
c.网页做假。
d.电子邮件炸弹和电子邮件列表链接。
(2)我国电子商务安全威胁的特殊原因①我国的计算机主机、网络交换机、路由器和网络操作系统都来自国外。
②美国政府对计算机和网络安全技术的出口限制,使得进入我国的电子.商务和网络安全产品均只能提供较短密钥长度的弱加密算法。
这些安全产品我们认为是安全的,但实际上根本无安全可言,因为技术先进的国家对较短密钥长度的弱加密算法早就有了破解的方法。
5.关于电子商务的安全威胁可以采取的对策适当设置防护措施可以减低或防止来自现实的威胁。
在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施,防止恶意侵扰。
整个系统的安全取决于系统中最薄弱环节的安全水平,这需要从系统设计进行考虑。
(1)保密业务。
(2)认证业务。
(3)接入控制业务。
(4)数据完整性业务。
(5)不可否认业务。
(6)加快我国自主知识产权的计算机网络和电子商务安全产品的研制和开发,摆脱我国计算机网络和电子商务安全产品安全依赖进口的局面,将主动权掌握在自己手里。
(7)严格执行《计算机信息系统安全专用产品检测和销售许可证管理办法》,按照《计算机信息系统安全专用产品检测和销售许可证管理办法》的规定规范企业电子商务设施的建设和管理。
三、计算机安全等级1.计算机安全等级的划分美国的橘黄皮书中为计算机安全的不同级别制定了4个标准:D,C,B,A级,由低到高,D级暂时不分子级。
8级和C级是最常见的级别。
每个级别后面都跟有一个数字,表明它的用户敏感程度,其中2是常见的级别,C级分为Cl和C2两个子级,C2比Cl提供更多的保护。
C2级要求有一个登录过程,用户控制指定资源,并检查数据追踪。
8级为分Bl,B2和B3三个子级,由低到高;B2级要求有访问控制,不允许用户为自己的文件设定安全级别。
这些东西并不能保证安全,主要是用于政府合同的一致性。
A级(最安全)暂时不分子级,是用户定制的,如果需要一个这样的系统,就要获得一份授权销售商及产品的清单。
每级包括它下级的所有特性。
这样,由低到高是:D,Cl,C2,Bl,B2,B3和A。
2.计算机安全等级划分的原则(1)D级是计算机安全的最低层,对整个计算机的安全是不可信任的。
(2)C1级,有时也叫做酌情安全保护级,它要求系统硬件有一定的安全保护(如硬件有带锁装置),用户在使用前必须在系统中注册。
Cl级保护系统的不足之处是用户能直接访问操作系统的根。
(3)C2级,又称访问控制保护级,它针对Cl级的不足增加了几个特性:①增加用户权限级别。
②采用了系统审计。
(4)B1级,也称为带标签的安全性保护,它存在多级安全。
(5)B2级,又称为结构化防护。
B2级安全要求计算机系统所有的对象加标签,把信息划分成单元,而且给设备,如工作站、终端和磁盘驱动器分配安全级别。
(6)B3级,又称安全域级,要求用户工作站或终端通过可信任途径链接网络系统,并使用硬件保护安全系统的存储区。
(7)A级,最高安全级,也称为验证保护级或验证设计。
A级除了包括所有下级的特性以外,还附加一个安全系统受监控的设计要求,合格的安全个体必须分析并通过这一设计。
【填空】美国橘黄皮书中为计算机安全的不同级别制定了4个共!级标准,其中D级为最低级别。
第二章电子商务安全需求与密码技术一、电子商务的安全需求电子商务安全是一个复杂的系统问题,在使用电子商务的过程中会涉及到以下几个有关安全方面的因素。
(1)可靠性可靠性是指电子商务系统的可靠性,电子商务系统也就是计算机系统,其可靠性是指为防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁,加以控制和预防,确保系统安全可靠性。
保证计算机系统的安全是保证电子商务系统数据传输、数据存储及电子商务完整性检查的正确和可靠的根基。
(2)真实性真实性是指商务活动中交易者身份的真实性,亦即是交易双方确实是存在的,不是假冒的。
(3)机密性机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。
(4)完整性完整性是指数据在输人和传输过程中,要求能保证数据的一致性,防止数据被非授权建立、修改和破坏。
(5)有效性电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。
因此,必须保证贸易数据在确定价格、期限、数量以及确定时间、地点时是有效的。
(6)不可抵赖性电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题,则是保证电子商务顺利进行的关键。
要求在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发送方在发送数据后不能抵赖。
接收方在接收数据后也不能抵赖。
(7)内部网的严密性企业在内部网上一方面有着大量需要保密的信息,另一方面传递着企业内部的大量指令,控制着企业的业务流程。
企业内部网一旦被恶意侵入,可能给企业带来极大的混乱与损失。
保证内部网不被侵入,也是开展电子商务的企业应着重考虑的一个安全问题。
二、密码技术1.加密的基本概念和表示方法(1)加密的基本概念①明文:原始的、未被伪装的消息称做明文,也称信源。
通常用M表示。
②密文:通过一个密钥和加密算法可将明文变换成一种伪装的信息,称为密文。
通常用C表示。
③加密:就是用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,即把明文变成密文的过程,通常用E表示。
④解密:由密文恢复成明文的过程,称为解密。
通常用D表示。
⑤加密算法:对明文进行加密所采用的一组规则,即加密程序的逻辑称做加密算法。
⑥解密算法:消息传送给接受者后,要对密文进行解密时所采用的一组规则称做解密算法。
⑦密钥:加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称作加密密钥和解密密钥。
通常用K表示。
(2)加密、解密的表示方法①加密:C—EK(M)②解密:M=DR(c)2.单钥密码体制及其特点单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。
单钥密码体制的特点:(1)加密和解密的速度快,效率高。
(2)单钥密码体制的加密和解密过程使用同一个密钥。
3.单钥密码体制几种算法的基本思想(1)DES加密算法DES的加密运算法则是,每次取明文中的连续64位(二进制位,以下同样)数据,利用64位密钥(其中8位是校验位,56位是有效密钥信息),经过16次循环(每一次循环包括一次替换和一次转换)加密运算,将其变为64位的密文数据。
DES的整个体制是公开的,系统的安全性依赖于密钥。
为了提高DES的加密强度,出现了双重DES和三重DES加密算法。