电子商务安全导论
电子商务安全导论
什么是双钥密码体制? 双钥密码体制又称作公共密钥体制或非对称加密体制。这种加密法在加密过 程中要使用一对(两个)密钥,一个用与加密,另一个用于解密,即通过一个密锣 的信息, ,只有使用男一个密钥才能够解密。 6.什么是集中式密钥分配? 所谓集中式分配是指种用网络中|韵“密钥管理中心(KMC)"来集中管理系统 钥, “密钥管理中心”接收系统中用庐的请求扎为用户提供安全分配密钥的服务。 7.什么是分布式密钥分配? 分布式分配方案是指网络中各主机具有相同的地位。它们之间错系统的办法之一,可以用备份系统将最近的一次系统备份到机器上 去。 ’ 2.归档是指将文件从计算机的存储介质中转移到其他永久性的介质上的, 以便保存的过程。 3.计算机病毒:是指编制者在计算机程序中插入的破坏计算机功能的程序,破坏 数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 4.镜像技术是数据备份技术的一种,主要有网络数据镜像,远程镜像磁盘等。 5.网络物理安全指物理设备可靠、稳定运行环境、容错、备份、归档和数据预防。 6.奇偶校验:也是服务器的一个特性。它提供一种机器机制来保证对内存检测, 因此,不会引起由于服务器出错而造成数据完整性的丧失。 7.引导型病毒:是指寄生在磁盘引导区或主引导区的计算机病毒。 8.文件型病 毒:是指能够寄生在文件中的计算机病毒。这类病毒程序感染文件或数据文件。 . 9.良性病毒:是指那些只是为了表现自身,并不彻底破坏系统和数据,但会,用 CPU.时间,增加系统开销,降低系统工作效率的一类计算机病毒。 10.恶性病毒:是指那些一旦发作后,就会破坏系统或数据,造成计算机系统的 一类计算机病毒。 1.数字签名是利用数字技术实现在网络传送文件时,附加个人标记,完成传统上手书 签名盖章的作用,以表示确认、负责、经手等。 4. 接人或访问控制是保证网络安全的重要手段, 它通过一组机制控制不同级另一种主 体对目标资源的不同授权访问, .在对主体认证之后实施网络资源安全管理使用。 5.CA 用于创建和发布证书,它通常为一个称为安全域的有限群体发放证书。 6.CA 服务器是整个证书机构的核心,负责证书的签发。 7.不可否认性服务是指从技术上保证实体对其行为的认可。 8.SET 协议:安全数据交换协议(SET, .Secure Electronic Transferprotoc01) 是一种以信用卡为基础的、 Internet 上交易的付款协议, 在 是授权业务信息传输的安 全标准,它采用 RSA 密码算法,利用公钥体系对通信双方进行认证, ,用 DES 等标准加 密算法对信息加密传输,并用散列函数算法来鉴别信息的完整性。
电子商务安全导论名词解释
电子商务安全导论-名词解释电子商务安全导论是对电子商务安全相关概念、技术、策略和最佳实践进行系统阐述的一门学科。
在电子商务日益普及的今天,电子商务安全已成为业界关注的焦点,也是学术界研究的热点。
电子商务安全导论作为电子商务专业的一门必修课程,旨在培养学生掌握电子商务安全的基本理论、方法和技能,为将来从事电子商务活动中的安全保障工作打下坚实的基础。
该课程主要涉及以下几个方面的内容:1.电子商务安全概述:介绍电子商务安全的基本概念、内涵和外延,电子商务安全的意义和作用,电子商务安全的现状和发展趋势。
2.电子商务安全技术:详细介绍电子商务活动中常用的安全技术手段,包括加密技术、数字签名技术、身份认证技术、访问控制技术、防火墙技术等,并阐述这些技术的原理、应用和优缺点。
3.电子商务安全协议与标准:介绍保障电子商务安全的协议和标准,包括SSL协议、SET协议、OAuth协议等,详细阐述这些协议的组成、功能、工作原理和安全性分析,以便学生了解并掌握如何使用这些协议和标准来保障电子商务的安全性。
4.电子商务安全策略与制度:介绍制定电子商务安全策略的原则、步骤和方法,以及保障电子商务安全的制度建设,包括网络安全管理、数据备份与恢复、应急预案等。
5.电子商务安全应用案例分析:通过典型案例分析的形式,让学生了解并掌握电子商务安全在不同领域中的应用情况,包括电子支付、在线购物、供应链管理、跨境电商等,以便学生能够将理论知识应用到实践中去。
6.电子商务安全的未来发展趋势:介绍电子商务安全的未来发展趋势,包括新型安全技术的出现、安全协议与标准的更新完善、安全管理水平的提高等,以便学生能够跟上时代发展的步伐。
通过以上内容的学习,学生将能够全面掌握电子商务安全的基本理论、方法和技能,了解电子商务安全的现状和发展趋势,掌握保障电子商务安全的策略和最佳实践。
在未来的电子商务活动中,学生将能够灵活应用所学知识,保障自身和他人的合法权益,促进电子商务的健康发展。
电子商务安全导论 (13)
电子商务安全导论 (13) 目录1. 引言1.1 背景1.2 定义2. 电子商务安全的重要性2.1 数据隐私与保护2.2 交易安全性2.3 网络威胁与防范3. 电子商务安全的核心概念3.1 认证与授权3.2 数据加密与解密3.3 安全漏洞与风险评估3.4 安全监控与报告4. 电子商务安全的关键技术4.1 公钥基础设施(PKI)4.2 数字签名与证书4.3 传输层安全协议(TLS)4.4 常用加密算法与协议5. 数据隐私与保护措施5.1 隐私政策与合规5.2 个人身份信息(PII)保护5.3 数据备份与恢复6. 交易安全性保障6.1 支付安全措施6.2 电子商务平台安全6.3 信用卡安全性7. 网络威胁与防范7.1 恶意软件与7.2 网络钓鱼与网络钓鱼7.3 网络攻击与防御8. 法律法规与电子商务安全 8.1 信息安全法律法规8.2 数据保护法案8.3 电子签名法律规定9. 电子商务安全管理9.1 安全策略与规划9.2 网络安全意识教育培训 9.3 安全事件响应与处置10. 结论10.1 电子商务安全的未来发展趋势10.2 本文总结附件:本文档涉及的相关案例分析和实践经验。
法律名词及注释:1. 信息安全法律法规:是指国家关于互联网安全、网络安全、信息安全方面的法律及相关规定。
2. 数据保护法案:是指针对个人隐私数据进行保护的法律法规,以保护用户数据的安全性和隐私权利。
3. 电子签名法律规定:是指国家对电子签名的使用和认可进行法律约束和规范的相关规定。
电子商务安全导论
1.防火墙的基本组成有:全操作系统,过滤器,网关,域名服务和E-mail处理完2.保证数据整性的措施有哪些?答:有效防毒,及时备份,充分考虑系统的容错和冗余加3.RSA密算法中密钥的计算方法。
答:①独立选取两个大素数:p和q;②计算n=pq;③然后计算小于n并且与n互质的整数的个数,即欧拉函数Ø<n>=<p-1><q-1>;④随即选择加密密钥e;要求e满足1≤e≤Ø(n),并且和Ø(n)互质。
即gcd=(e,Ø(n))=1;⑤最后,利用Euclid算法计算解密密钥d,满足ed=1(modØ(n))其中n和d也要互质。
数e和d是公钥,d是私钥。
两个素数p和q不再需要,应该丢弃。
加密时,首先把明文m分成等长的数据块m1,m2,···,mi,块长s,其中2s≤n,s尽可能的大。
对应的密文是:ci=mie(mod n)解密时,作计算:mi=cid(mod n) 4.数据加密的作用在于什么?⑪解决外部黑客侵入网络后盗窃计算机数据的问题;⑫解决外部黑客侵入网络后篡改数据的问题;⑬解决内部黑客在内部网上盗窃计算机数据的问题;⑭解决内部黑客在内部网上篡改数据的问题;5.公钥证书的类型?⑪客户证书:这种证书证实客户身份和密钥所有权。
⑫服务器证书;这种证书证实服务器的身份和公钥。
⑬安全邮件证书;这种证书证实电子邮件用户的身份和公钥。
⑭CA证书:这种证书证实CA身份和CA的签名密钥。
6.公钥—私钥对的生成和要求?⑪密钥生成对的两种方法①密钥对持有者自己生成:用户自己用硬件或软件生成密钥对。
如果该密钥对用于数字签名时,应支持不可否认性。
②密钥对由通用系统生成:由用户依赖的,可信赖的某一中心机构(如CA)生成,然后要安全地送到用户的设备中。
利用这类中心资源,可产生高质量密钥对,易于备份和管理。
⑫对不同类型密钥对的要求:①需要采用两个不同的密钥对分别作为加密——解密和数字签名——验证签名用。
电子商务安全导论
1,what保持数据完整性?是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或其他原因使原始数据被更改.存储时,防止非法篡改,防止网站信息被破坏.传输过程中,若接收端收到的信息与发送的信息一样,说明传输过程中信息没遭到破坏, 具有完整性.加密信息在传输过程虽能保证机密性,但并不能保证不被修改. 保护数据完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态。
这意味着数据不会由于有意或无意的事件而被改变和丢失。
数据完整性被破坏会带来严重的后果:a造成直接的经济损失b影响一个供应链上许多厂商的经济活动c可能造成过不了“关”d会牵涉到经济案件中e 造成电子商务经营的混乱与不信任.2,Intranet是指基于TCP/IP协议的内连网络.它通过防火墙或其他安全机制与Intranet建立连接. Intranet上可以提供所有Internet应用服务,只不过服务面向的是企业内部.和Internet一样, Intranet具有很高灵活性. 3,why交易的安全性是电子商务独有的:这也是电子商务系统独有的.我们日常生活中,进行一次交易必须办理一定手续,由双方签发各种收据凭证,并签名盖章以作为法律凭证.但电子商务中,交易在网上进行,双方不见面,这就需要一个网上认证机构对每笔业务进行认证,以确保交易安全,避免恶意欺诈.4,普通电子邮件两个安全问题是?原因?a是电子邮件在网上传送时随时可能被人窃取,而邮件是用ASCII字符写的,谁都可以读懂内容b是可以冒用别人的身份发信,因为邮件的发送地址等信息通常由用户自己填写,并且整个信头都是可以伪造的.使用一个探测程序就可以阅读电子邮件信息.5, Internet的安全漏洞:①Internet各个环节的安全漏网。
②外界攻击,Internet安全的类型。
③局域网服务和相互信任的主机的安全漏洞。
④设备或软件的复杂性带来的安全隐患。
6, 我国电子商务安全威胁的特殊原因: ①我国的计算机主机、网络交换机、路由器和网络操作系统都来自国外。
电子商务安全导论
电子商务安全导论随着信息技术的迅速发展,电子商务在全球范围内得到了广泛应用。
然而,电子商务面临的挑战也日益增多。
网络病毒、网络钓鱼、身份盗窃等安全问题成为了阻碍电子商务发展的重要因素。
本文将介绍电子商务安全的基本概念,以及保护电子商务安全的方法和措施。
一、电子商务安全的定义和意义电子商务安全是指在电子商务交易中保护信息和资源免受未经授权的访问、使用、披露、破坏和干扰的一系列行为。
电子商务安全的重要性不言而喻。
首先,电子商务涉及到大量的个人身份信息、财务信息等敏感信息的传输,如果这些信息泄露或被盗用,将带来不可估量的风险和损失。
其次,电子商务是国家和企业经济的重要支撑,如果电子商务安全无法得到有效保障,将对社会和经济稳定产生严重影响。
因此,确保电子商务安全已经成为一个迫切的任务。
二、电子商务安全的威胁和形式电子商务安全面临的主要威胁包括以下几个方面:1.网络病毒:网络病毒是指通过网络传播并对计算机系统和数据造成破坏的恶意软件。
电子商务平台受到网络病毒的攻击,可能导致系统瘫痪、数据丢失等问题。
2.网络钓鱼:网络钓鱼是指通过虚假的网站、电子邮件、短信等手段,诱骗用户提供个人敏感信息或进行非法交易。
受到网络钓鱼攻击的用户可能会遭受经济损失和个人信息泄露的风险。
3.身份盗窃:身份盗窃是指黑客通过各种手段获取用户的个人身份信息,然后进行非法活动。
一旦个人身份信息被盗用,用户将面临金融损失、信用受损等问题。
4.拒绝服务攻击(DDoS):DDoS攻击是指黑客通过控制大量僵尸计算机,向目标服务器发送大量请求,导致服务器负载过大,无法正常提供服务。
DDoS攻击会导致电子商务网站瘫痪,造成严重的经济损失。
三、保护电子商务安全的方法和措施为了保护电子商务的安全,我们可以采取以下几种方法和措施:1.加强网络安全意识:用户和企业应加强网络安全意识,了解网络安全的基本知识和常识,提高对网络威胁的警惕性。
2.使用安全密码:用户在进行电子商务交易时,应使用安全性高的密码,同时避免使用相同的密码在不同平台进行登录,以免一旦密码泄露,造成更大的损失。
电子商务安全导论课件
n 存储密码的文件
n 后台管理和上传文件的 Web 页
n 数据库
n 特定扩展名的文件
n 特定的 Web 程序,如论坛
电子商务安全导论
23
Phishing
n 以假乱真,视觉陷阱 n 域名类似 n 身份伪装 admin@ ? n 编码
n 姜太公钓鱼,愿者上钩
电子商务安全导论
24
为什么安全变得非常重要
电子商务安全导论
29
电子商务的安全需求
n 机密性 n 完整性 n 真实性(认证性) n 可控性 n 不可否认性 n 可用性
电子商务安全导论
30
目录
1. 电子商务安全概况 2. 安全性概念 3. 电子商务安全威胁 4. 电子商务安全服务 5. 电子商务安全机制 6. 电子商务安全体系结构
电子商务安全导论
防止内部威胁的保护方法:
a.对工作人员进行仔细审查;
b.仔细检查硬件、软件、安全策略和系统配制,以便在一定程 度上保证运行的正确性(称为可信功能度); c.审计跟踪以提高检测出这种攻击的可能性。
电子商务安全导论
41
威胁的种类
外部威胁:外部威胁的实施也称远程攻击。 外部攻击可以使用的办法: a.搭线(主动的与被动的); b.截取辐射; c.冒充为系统的授权用户, 或冒充为系统的组成部分; d.为鉴别或访问控制机制设置旁路。
电子商务安全导论
19
面临严峻的安全形势
SQL Injection等攻击方式对使用者要求较低,一个中 学生就可以很快掌握并灵活应用
缓冲区溢出、格式串攻击已公开流传多年,越来越多的 人掌握这些技巧
少部分人掌握自行挖掘漏洞的能力,并且数量在增加
漏洞挖掘流程专业化,工具自动化:新工具的完善、自 动化程度的提高使得漏洞挖掘时间缩短,单位时间内能 挖掘出更多漏洞
电子商务安全导论
用,它类似于递送的不可否认性,都着眼于保护发信人,实现方法也类似,但可以提供更为有力的证据用于解决纠纷。 可将其看做是递送不可否认的一个变形。
2020/7/14
9.3 不可否认业务3
• 9.3.3 实现不可否认性的证据机制 • 如何实现不可否认性,从机制上看应当依次完成下述业务活动: • (1)业务需求。 • (2)证据生成。 • (3)证据递送。 • (4)证据证实。 • (5)证据保存
第9章 公钥基础设施(PKI)
2020/7/14
9.1 PKI概述1
• 9.1.1 PKI在电子商务中的作用 • 1,PKI基本概念 • PKI即“公钥基础设施”,是一种遵循既定标准的利用公钥密码技术为电
子商务的开展提供一套安全基础平台的技术和规范,它能够为所有网络 应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
• 9.1.3 PKI的性能 • 1,支持多政策 • 2,透明性和易用性 • 3,互操作性 • 4,简单的风险管理 • 5,支持多平台 • 6,支持多应用
• 9.1.4 PKI服务 • 1,认证 • 2,数据完整性服务 • 3,数据保密性服务 • 4,不可否认性服务 • 5,公证服务
2020/7/14
• 1,SSL记录协议:定义了信息交换中所有数据项的格式。 • 2,SSL更改密码规格协议:该协议由单个消息组成,只有一个值为1的单字节。
其目的是使未决状态拷贝为当前状态,更新用于当前连接的密码组。 • 3,SSL警告协议:用于传送SSL的有关警告。 • 4,SSL握手协议:用于客户-服务器之间相互认证,协商加密和MAC算法,传送
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子商务安全导论一、单项选择题1.病毒按破坏性划分可以分为 (良性病毒和恶性病毒)2.在进行身份证明时,用个人特征识别的方法是(指纹)3.下列选项中,属于电子邮件的安全问题的是(传输到错误地址)4.RC-5加密算法中的可变参数不包括...(校验位)5.一个明文可能有多个数字签名的算法是(ELGamal )6.数字信封技术中加密消息密钥形成信封的加密方法是(对称加密和非对称加密)7.防火墙的组成中不包括...的是(网络管理员)8.下列选项中,属于加密桥技术的优点的是(加密桥与DBMS是分离的)9.在不可否认业务中保护收信人的是(提交的不可否认性)10.为了在因特网上有一种统一的SSL标准版本,IETF标准化的传输层协议是(TLS)11.能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构是(CFCA )12.下列选项中,属于中国电信CA安全认证系统结构的是(省RA中心系统) 13.美国的橘黄皮书中为计算机安全的不同级别制定了D,Cl,C2,Bl,B2,B3,A标准,其中称为结构化防护的级别是(Cl级)14.下列选项中,属于提高数据完整性的预防性措施的是(奇偶校验)15.一系列保护IP通信的规则的集合称为( IPSec )16.由系统管理员来分配接入权限和实施控制的接入控制方式是(DAC)17.在Kerberos认证中,把对Client向本Kerberos的认证域以外的Server 申请服务称为(域间认证)18.下列关于数字证书的说法中不正确...的是(在各种不同用途的数字证书类型中最重要的是私钥证书,它将公开密钥与特定的人联系起来)19.认证机构最核心的组成部分是(数据库服务器)20.PKI中支持的公证服务是指( 数据认证)21.对身份证明系统的要求之一是(验证者正确识别示证者的概率极大化)22.Kerberos中最重要的问题是它严重依赖于(时钟)23.公钥体制用于大规模电子商务安全的基本要素是(公钥证书)24.身份认证中的证书由(认证授权机构发行)25.属于PKI的功能是(PAA,CA,ORA)26.HTTPS是使用以下哪种协议的HTTP?( SSL )27.CTCA目前提供的安全电子证书,其密钥的长度为(512位)28.中国金融认证中心的英文缩写是(CFCA)。
29.下列选项中不属于...SHECA证书管理器的操作范围的是(对服务器证书的操作)。
30.安装在客户端的电子钱包一般是一个(浏览器的一个插件)。
31.密钥备份与恢复只能针对(解密密钥),签名私钥为确保其唯一性而不能作备份.32.SET协议是通过(数字化签名)确保数据的完整性。
33.消息经过散列函数处理后得到的是(消息摘要 )34.美国的橘黄皮书中为计算机安全的不同级别制定了4个标准,从高到低依次是(ABCD)35.关于Diffie-Hellman算法描述正确的是(它是一个安全的密钥分配协议)36.计算机病毒的特征之一是(非授权可执行性)37.MD-4散列算法中输入消息可以任意长度,但要进行分组,其分组的位数是(512 )38.不涉及...PKI技术应用的是(视频压缩)39.以下哪一项是密钥托管技术?( EES)40.由于协议标准得到了IBM、Microsoft等大公司的支持,已成为事实上的工作标准的安全议是(SET)41.CFCA认证系统采用国际领先的PKI技术,总体为(三层CA结构 )42.互联网协议安全IPSec是属于第几层的隧道协议?(第三层)43.在双密钥体制的加密和解密过程中要使用公共密钥和个人密钥,它们的作用是(公共密钥用于加密,个人密钥用于解密)44.在一次信息传送过程中,为实现传送的安全性、完整性、可鉴别性和不可否认性,这个过程采用的安全手段是(混合加密系统)45.一个密码系统的安全性取决于对(密钥的保护)46.收发双发持有不同密钥的是(公钥)体制。
47.称为访问控制保护级别的是(C2)48.下列属于良性病毒的是(扬基病毒)49.目前发展很快的基于PKI的安全电子邮件协议是(S/MIME)50.建立计算机及其网络设备的物理环境,必须要满足《建筑与建筑群综合布系统工程设计规范》的要求,计算机机房的室温应保持在(10℃至25℃之间)51.如果要保证多厂商在电子商务交易中建立信任关系,PKI必须具备的最关键的通信特性是(互操作性)52.下列不能说明身份证明系统质量指标的名词为(传递率)53.通行字认证系统中通行字的安全存储方法一般有(2种)54.使用专用软件加密数据库数据的加密方法特点是(将加密方法嵌入DBMS 的源代码)55.在大量的密钥分配协议中,最早提出的公开的密钥交换协议是(Diffie—Hellman协议)56.实现数据完整性的主要手段是(散列函数算法)57.计算机病毒可分为引导型病毒、文件型病毒和复合型病毒,这种分类方式是按(寄生方式分类)58.通信中涉及两类基本成员,即发送者和接收者,相应地有两个不可否认的基本类型:源的不可否认性和(递送的不可否认)59.一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、数据库服务器和(LDAP目录服务器)60.为了电子商务系统的安全,在设计防火墙时,考虑内网中需要向外提供服务的服务器常常放在一个单独的网段,这个网段区域称为(DMZ )二、多项选择题1.电子商务安全的中心内容( ABDE )A.机密性B.完整性C.不可访问性D.不可拒绝性E.访问控制性2.保证商务数据机密性的手段主要是( AD )A.数据加密B.身份认证C.数字签名D.信息隐匿E.数字水印3.散列值也称为( ABD )A.哈希值B.杂凑值C.密钥D.消息摘要4.防地雷接地设置接地体时,不应大于( AB )ΩA.1B.2C.3D.45.对Internet的攻击有多种类型,包括( ACE )A.截断信息B.中断C.伪造D.病毒E.介入6.关于仲裁方案实现的描述以下哪些是正确的?( ABCD )A.申请方生成文件的单向杂凑函数值B.申请方将杂凑函数值及原文一并传递给加戳方C.加戳方在杂凑函数值后附上时间与日期,并进行数字签名D.加戳方将签名的杂凑函数值,时戳一并发给申请者E.加戳方生成文件的单向杂凑函数7.防火墙的基本组成有( ABCD )A.全操作系统B.过滤器C.网关D.域名服务和E-mail处理E.网络管理员8.接入控制的实现方法有( AC )A.DACB.DCAC.MACD.CAM9.公钥证书的类型有( ACDE )A.客户证书B.密钥证书C.服务器证书D.安全邮件证书E.CA证书10.公钥证书的申请方式有( BCE )A.电话申请B.Web申请C.E-Mail申请D.邮寄申请E.到认证机构申请11.PKI技术能有效的解决电子商务应用中的哪些问题?( ABCDE )A.机密性B.完整性C.不可否认性D.存取控制E.真实性12.对SSL提供支持的服务器有( ABCD )scape communicatorB.Mircrosoft Internet ExploreC.Microsoft IISD.Lotus Notes ServerE.MS-DOS13.SHECA数字证书根据应用对象可将其分为( ABE )A.个人用户证书B.服务器证书C.安全电子邮件证书D.手机证书E.企业用户证书14.认证机构应提供以下( ABCE )方面的服务。
A.证书颁发B.证书更新C.证书申请D.证书的公布和查询E.证书吊销15.PKI的RA提供( AD )功能。
A.验证申请者身份B.生成密钥对C. 密钥的备份D.批准证书E.签发证书电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。
EDI:电子数据交换,是第一代电子商务技术,实现BTOB方式交易。
NCSC:美国国家计算机安全中心,是美国国家安全局NSA的一个分支机构,NCSC 为政府购买的计算机设立了安全等级。
Intranet:是指基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与intranet建立连接。
intranet上提供的服务主要是面向的是企业内部。
Extranet:是指基于TCP/IP协议的企业处域网,它是一种合作性网络。
HTTP协议的“有无记忆状态”:即服务器在发送给客户机的应答后便遗忘了些次交互。
TLENET等协议是“有记忆状态”的,它们需记住许多关于协议双方的信息,请求与应答。
商务数据的机密性(保密性):信息在网络上传送或存储的过程中不被他人窃取,不被泄露或披露给未经授访问的控制性:在网络上限制和控制通信链路对主机系统的访问。
主动攻击:攻击者直接介入internet中的信息流动,攻击后,被攻击的通信双方可以发现攻击的存在。
被动攻击:攻击者不直接介入internet中的信息流动,只是窃听其中信息,被动攻击后,被攻击的通信双方往往无法发现攻击的存在。
TCP劫持入侵:是对服务器的最大威胁之一,其基本思想是控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为黑客就是实际的客户端。
电子邮件炸弹:是攻击者向同一个邮箱发送大量的垃圾邮件,以堵塞该邮箱。
电商安全需求的可靠性:电商传统的可靠性,为防止由于计算机失效,程序错误,传输错误,硬件故障,系统软件错误,计算机病毒和自然灾害等所产生的潜在威胁加以控制和预防,确保系统的安全可靠。
电商安全需求的真实性:商务活动中交易者身份的真实性。
电商安全需求的机密性:交易过程中必须保证信息不会泄露给非授权的人或实体。
电商安全需求的完整性:数据在输入和传输过程中,要求保证数据的一致性,防止数据被非授权者建立、修改和破坏。
明文:也称信源。
原始的,未被伪装的信息(简称M)。
密文:通过一个密钥和加密算法将明文变成一种伪装信息。
(简称C)。
加密:就是用基于数学算法的程序和加密的密钥对信息进行编码。
生成别人难以理解的符号,即把明文变成密文的过程。
(简称E)。
解密:由密文恢复明文的过程,称为解密。
(简称D)。
密钥:加密和解密算法通常都是在一组密钥的控制下进行的分别称作加密密钥和解密密钥(简称K)。
主密钥:多层次密钥系统中,最高层的密钥也叫作主密钥。
加密算法:对明文进行加密多采用的一组规则。
即加密程序的逻辑。
解密算法:消息传给接受者后要对密文进行解密时采用的一组规则。
单钥密码体制:又秘密密钥体制,对称密钥体制。
加密和解密使用相同或实际上等同的密钥的加密体制。
集中式分配:利用网络中密钥管理中心(KMC)来集中管理系统中的密钥,“密钥管理中心”接受系统用户的请求,为用户提供安全分配密钥的服务。
分布式分配:网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商不受任何其它方面的限制。
无条件安全:若它对于拥有无限计算资源的破译者来说是安全的则该密码体制无条件安全是理论上安全的。