1、风险评估:风险识别工作结束以后,要利用适当的风险测量方法、工具确定风险的大小与风险等级,这就是风险评估过程
2、诚信:字面的解释就是诚实守信、狭义的诚信取“诚”与“信”内涵中相互包含的成分、即诚实无欺和遵守承诺。广义的诚信涵盖了“诚”与“信”所涉及的几乎所有内容、是从道德主体的内在德行和外化行为的双重视角赋予诚信以更宽泛和全面的内容
3、公钥基础设施:又叫公钥体系、是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范、用户可利用PKI平台提供的服务进行安全通信
4、操作系统安全:指要对电子商务系统的硬件和软件资源实行有效的控制、为所管理的资源提供相应的安全保护
5、网络层安全:指的是对一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护
6、防火墙:是网络安全的第一道屏障、保障网络安全的第一个措施往往是安装和应用防火墙、防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统
7、非对称加密:非对称密钥又叫公开密钥加密,需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加密
8、应用层安全:指的是建立在某个特定的应用程序内部、不依赖于任何网络层安全措施而独立运行的安全措施
9、信息安全:是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨别、控制、即信心安全要确保信息的完整性、保密性、可用性和可控性
10、系统实体安全:指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。
11、认证中心:是电子商务安全中的关键环节,也是电子交易中信赖的基础,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份等工作的具有权威性、可依赖性和公正性的第三方机构
12、虚拟专用网(VPN):是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式
13、数字签名:是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项、借助数字签名可以确定消息的发送方、同时还可以确定信息自发出后未被修改过
14、入侵检测:就是对入侵行为的发觉,通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象15、计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据,影响计算机使用并能够自我复制的一组计算机指令或者程序代码
16、证书策略CP与证书实施说明CPS:CP是指一套指定的规则,用于说明满足一般安全性要求的数字证书在某个特定的团体里和(或)某一类应用程序中的应用能力。CPS是规定了在认证过程中要遵循的操作程序、证书实施说明的内容包括数字证书的复杂性及长度说明等、但最主要的是公开说明了认证机构的运作方式
17、数字证书:是指一个由使用数字证书的用户群所公认和信任的权威机构(即CA)签署了其数字签名的信息集合
1、三种不可否认机制:来源的不可否认机制、送递的不可否认机制、提交的不可否认机制。
2、访问控制安全包括:出入控制、存取控制。
3、信息的安全问题包括:冒名偷窃、篡改数据、信息丢失、信息传递出问题。
4、鉴别包括:身份鉴别、完整性鉴别、不可否认性鉴别。
5、信用的安全问题包括:来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况。
6、电子邮件内容的安全问题有:发送者身份认证、不可否认、邮件的完整性、邮件的保密性。
7、应用层安全措施包括:认证、访问控制、保密性、数据完整性、不可否认性。
8、常用的加密方式:链路-链路加密、节点加密、端-端加密、ATM网络加密、卫星通信加密。
9、《中华人民共和国电子签名法》是我国第一部真正意义上的电子商务法。
10、常见防火墙分类包括:包过滤型防火墙、应用网关型防火墙、代理服务型防火墙。
11、OSI基本参考模型提供的五种安全服务:验证服务、访问控制服务、数据保密服务、数据完整性服务、不可否认服务。
12、网络入侵检测的主要方法异常检测、误用检测。
13、密钥的生命周期包括:密钥建立、密钥备份/恢复、密钥替换/更新、密钥吊销、密钥期满/终止。
14、常用的加密方式:链路-链路加密、节点加密、端-端加密、ATM网络加密、卫星通信加密。
15、防火墙的实现方式有包过滤路由器、双穴防范网关、过滤主机网关、过滤子网防火墙。
16、防火墙的控制能力:服务控制、方向控制、用户控制和行为控制。
17、公钥用户:加密信息发送方和数字签名验证方
18、公开密钥加密基本模式包括:加密模式和验证模式。
19、虚拟专用网络(VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。
20、系统实体安全的组成:环境安全、设备安全、媒体安全。
21、VPN的安全策略包括:隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
22、CTCA指的是中国电信认证中心
23、美国的橘黄皮书中为计算机安全的不同级别制定了4个标准:D,C,B,A级,其中最底层是D级
24、CFCA证书种类包括:企业普通证书、个人高级证书、手机证书、代码签名证书、服务器证书
25、在B2B电子商务中,接到货款后,指定银行通知认证中心,买方货款到账。
26、目前发展很快的基于PKI的安全电子邮件协议是S/MIME
27、用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份是指数字认证
28、LDAP服务器在CA体系中提供目录浏览服务。
29、在电子商务的安全需求中,交易过程中必须保证信息不会泄露给非授权的人或实体指的是机密性。
30、网络交易的信息风险主要来自冒名偷窃、篡改数据、信息丢失
三、简答
1、信息安全的五种服务是什么?各需要采用什么安全技术来实现?
答:机密性;信息完整性;对信息的验证;信息的不可否认性;对信息的访问控制。分别需要通过加密;数字摘要;数字签名,提问—应答,口令,生物测定法;数字签名,数字证书,时间戳;防火墙,口令,生物测定法技术来实现
2、为什么要把公开密钥加密的两种模式结合起来使用?如何结合?
答:对于公开密钥加密系统的两种模式来说,如果只是单独使用其中一种模式,那就无法保障信息机密性的同时又验证发送方的身份,但在电子商务的安全中又需要同时实现两个目的。为此,需要把这两种模式结合起来。
两种模式结合使用过程为:(1)发送方用自己的私有密钥对要发送的信息进行加密,使得一次加密信息(2)发送方用结婚搜方的公开密钥对已加密的信息再次加密。(3)发送方用自己的私有密钥对接收到的两次加密信息进行解密,得到一次加密信息。(4)接收方用发送方的公开密钥对一次加密信息信息进行解密,得到信息明文
3、什么是安全电子交易协议SET协议?
答:是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的,以信用卡为基础的安全电子支付协议,它给出了一套电子交易的过程规范
4、什么是PKI?PKI应用系统具有哪些功能?
答:PKI,又称公钥基础设施或公钥体系,是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,用户可利用PKI平台提供的服务进行安全通信。
PKI应用系统具有功能:(1)公钥数字证书的管理(2)证书撤销表的发布和管理(3)密钥的备份和恢复(4)自动更新密钥(5)自动管理历史密钥(6)支持交叉认证
5、数字证书的分类
答:按照数字证书的使用对象来分、目前的数字证书主要包括:个人数字证书、单位数字证书、服务数字证书、安全邮件证书、代码签名证书;按照数字证书证书所采用的技术来分,CA中心发放的证书分为两类:SSL证书和SET证书
6、撤消数字证书可以有哪些方法?
答:(1)定期公布数字证书撤销表;(2)广播数字证书撤销表;(3)进行数字证书的在线状态检查;(4)发放短期数字证书;(5)其他撤销方法:①从数字证书数据库中删除数字证书;②可信的数字证书服务器或目录;③间隔时间更短的周期性数字证书撤销表;④建立数字证书撤销树。
7、数字证书的生成步骤是什么?
答:数字证书的生成通过下列步骤实现:
(1)数字证书申请人将申请数字证书所需要的数字证书内容信息提供给认证机构。
(2)认证机构确认申请人所提交信息的正确性,这些信息将包含在数字证书中。
(3)有持有认证机构私钥的签证设备给数字证书加上数字签名。
(4)将数字证书的一个副本传送给用户,如果需要,用户在收到数字证书后返回一条确认信息。
(5)将数字证书的一个副本传送到数字证书数据库如目录服务,以便公布。
(6)作为一种可供选择的服务,数字证书的一个副本可以由认证机构或其他实体存档,以加强档案服务,提供数据服务以及不可否认性服务。
(7)认证机构将数字证书生成过程中的相关细节,以及其他在数字证书发放过程中的原始活动都记录在审计日志中。
8、什么是风险分析?风险分析涉及哪些安全功能?
答:风险分析就是要对电子商务安全系统进行人工或自动的风险分析。
风险分析主要涉及四个方面的安全功能:(1)系统设计前的风险分析(2)系统试运行前的风险分析
(3)系统运行期的风险分析(4)系统运行后的风险分析
9、电子商务交易中诚信缺失的原因?
答:(1)电子商务模式加剧了信息不对称,增加了安全风险
(2)相关法律法规的缺乏使得在电子商务交易中欺骗成功的几率增加
a交易资格审查不足b相关法律缺乏
(3)配套措施的缺乏使得在电子商务交易中维护诚信的难度增加
10、简述电子商务的安全需求所包括的内容?
答:保密性保护机密信息不被非法存取以及信息在传输过程中不被非法窃取
完整性防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改
认证性确保交易信息的真实性和交易双方身份的合法性
可控性保证系统、数据和服务能由合法人员访问、保证数据的合法使用
不可否认性有效防止通信或交易双方对己进行的业务的否认
11、简述数字签名的作用。
答:1)接收方通过文件中的签名能确认发送者的身份;2)发送方以后不能否认发送过的签名文件;3)接收方不可能伪造文件的内容;
12、诚信缺失所引发的电子商务安全问题有哪些?
答(1)虚假信息泛滥a虚假信息b注册虚假网站,进行网络钓鱼或欺诈(2)交易违约频发a虚假交易及交易诈骗b不履行服务承诺(3)支付问题(4)其他违法违规问题
13、简述数字签名的原理。
答(1)发送方首先用HASH函数从原文得到数字摘要,然后采用公开密钥体系用发送方的私有密钥对数字摘要进行签名,并把签名后的数字摘要附加在要发送的原文后面
(2)发送一方选择一个秘密密钥对文件进行加密,并把加密后的文件通过网络传输到接收方
(3.)发送方用接收方的公开密钥对秘密密钥进行加密,并通过网络把加密后的秘密密钥传到接收方(4)接受方使用自己的私有密钥对密钥信息进行解密,得到秘密密钥的明文
(5)接收方用秘密密钥对文件进行解密,得到进过加密的数字摘要
(6)接收方用发送方的公开密钥对数字签名进行解密,得到数字摘要的明文
(7)接收方用得到的明文和HASH函数重新计算数字摘要,并与解密后的数字摘要进行对比。如果两个数字签名是相同的,说明文件在传输过程中没有被破坏
14、公开密钥加密的过程是什么?
答:加密模式过程发送方用接收方的公开密钥对要发送的信息进行加密
发送方将加密后的信息通过网络传送给接收方
接收方用自己的私有密钥对接收到的加密信息进行解密,得到信息明文验证模式过程发送方用自己的私有密钥对要发送的信息进行加密
发送方将加密后的信息通过网络传送给接收方
接收方用发送方的公开密钥对接收到的加密信息进行解密,得到信息明文
15、不可否认机制的含义是什么?有哪几种不可否认机制?
答:不可否认机制是一种通信属性,它保护通信的一方不受另一方谎称通信没有发生而导致的伤害
有三种不可否认机制:来源的不可否认机制、送递的不可否认机制和提交的不可否认机制
16、中国金融认证中心(CFCA)是什么机构?与银行有何关系?
答:(1)中国金融认证中心:CFCA作为一个权威、公正的第三方安全认证机构,通过发放数字证书为网上银行、电子商务、电子政务提供安全认证服务:确保网上信息传递双方身份的真实性、信息的保密性和完整性,以及网上交易的不可否认性,并且在中国电子商务发展中,组织并参与有关网上交易规则的制定,以及确立相应的技术标准等。
(2)CFCA作为权威的、可依赖的、公正的第三方机构,专门负责为金融业的各种认证需求提供证书服务。
数据安全复习提纲 一、选择题 1、以下(D)不属于实现数据库系统安全性的主要技术和方法。 A. 存取控制技术 B. 视图技术 C. 审计技术 D. 出入机房登记和加锁 2、SQL中的视图提高了数据库系统的(D)。 A. 完整性 B. 并发控制 C. 隔离性 D. 安全性 3、SQL语言的GRANT和REMOVE语句主要是用来维护数据库的(C)。 4、 A. 完整性 B. 可靠性 C. 安全性 D. 一致性 4、在数据库的安全性控制中,授权的数据对象的(A),授权子系统就越灵活。 A. 范围越小 B. 约束越细致 C. 范围越大 D. 约束范围大 5、SQL中的视图机制提高了数据库系统的( D )。 A.完整性 B.并发控制 C.隔离性 D.安全性 6、SQL语言的GRANT和REVOKE语句主要是用来维护数据库的(C )。 A.完整性 B.可靠性 C.安全性 D.一致性 7 、安全性控制的防范对象是(B),防止他们对数据库数据的存取。 A.不合语义的数据 B.非法用户 C.不正确的数据 D.不符合约束数据 8、找出下面SQL命令中的数据控制命令( A )。 A.GRANT B.COMMIT C.UPDATE D.SELECT 9. 以下(D)不属于实现数据库系统安全性的主要技术和方法。 A. 存取控制技术 B. 视图技术 C. 审计技术 D. 出入机房登记和加锁 10.SQL中的视图提高了数据库系统的(D )。 A. 完整性 B. 并发控制 C. 隔离性 D. 安全性 二、填空题 1、数据库的安全性是指保护数据库以防止不合法的使用所造成的_数据泄露、数据更改或数据破坏_。 2、计算机系统有三类安全性问题,即_技术安全_ 、_管理安全_和 _政策法规_。 3、用户标识和鉴别的方法有很多种,而且在一个系统中往往是多种方法并举,以获得更强的安全性。常用的方法有通过输入_用户标识__和 _口令_来鉴别用户。 4、用户权限是由两个要素组成的:_数据对象_ 和 _操作类型_ 。 5、在数据库系统中,定义存取权限称为_授权_ 。SQL语言用_GRANT_语句向用户授予对数据的操作权限,用_REVOKE_语句收回授予的权限。 6、数据库角色是被命名的一组与_数据库操作_ 相关的权限,角色是__权限_的集合。 7、数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限,同时令所有未授权的人员无法接近数据,这主要通过数据库系统的存取控制机制实现;存取控制机制主要包括两部分:(1)、定义用户权限,并将用户权限登记到数据字典中,(2)、合法权限检查。 8、常用的数据库安全控制的方法和技术有用户标识与鉴别、存取控制、视图机制、审计和数据加密等。 9、在存取控制机制中,定义存取权限称为授权;在强制存取控制(MAC)中,仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取对应的客体;仅当主体的许可证级别等于客体的密级时,该主体才能写相应的客体。
电子商务安全复习题 一、选择题: 1、下列属于单钥密码体制算法的是( A ) A.RC—5加密算法 B.RSA密码算法 C.ELGamal密码体制 D.椭圆曲线密码体制 2、下列选项中不是 ..散列函数的名字的是( A )A.数字签名 B.数字指纹 C.压缩函数 D.杂凑函数 3、《建筑内部装修设计防火规范》的国家标准代码是( D ) A.GB50174—93 B.GB9361—88 C.GB50169—92 D.GB50222—95 4、Kerberos最头疼的问题源自整个Kerberos协议都严重地依赖于( C ) A.服务器 B.通行字 C.时钟D.密钥 5、LDAP服务器提供( A ) A.目录服务 B.公钥服务 C.私钥服务D.证书服务 6、SSL协议可以插入到Internet的应用协议中,它位于Internet TCP/IP协议的哪个协议之上?( A) A、TCP B.IP C.FTP D.HTTP 7、三重DES加密算法是(B ) A.用2个密钥对明文进行2次加密 B.用2个密钥对明文进行3次加密 C.用3个密钥对明文进行2次加密 D.用3个密钥对明文进行3次加密 8、MD-5散列算法是( B)
A.经过4轮运算,每轮又要进行4步迭代运算 B、经过4轮运算,每轮又要进行16步迭代运算 C、经过16轮运算,每轮又要进行4步迭代运算 D、经过16轮运算,每轮又要进行16步迭代运算 9、下列选项中不能保证数据完整性的措施是( D ) A、镜像技术 B.有效防毒 C.及时备份 D.隧道技术 10、.PKI的构成中,制定证书政策和证书使用规定的机构是(B ) A.、政策管理机构PMA B.、政策审批机构PAA C、.证书管理机构CA D.、单位注册机构ORA 11、下列选项中不不属于Internet攻击类型的是( D) A 、截留信息 B、伪造 C 、篡改 D 、磁盘损坏 12、RAS算法中的密钥的数目为(B) A、1个 B、2个 C、3个 D、4个 13、Verisign划分的数字证书等级中,针对服务器的是(C) A、等级1 B、等级2 C、等级3 D、等级4 14、SHECA证书的非对称加密算法密钥长度是(C) A、256位 B、512位 C、1024位 D、2048 15、安全等级中称为访问控制保护级的是(B) A、C1 B、C2 C、D1 D、D2 16、下列选项中,不属于有影响的提供PKI服务的公司的是( D ) A.Baltimore公司 B.Entrust公司 C.VeriSign公司 D.Sun公司 17、SET协议确保交易各方身份的真实性的技术基础是数字化签名和( B )
1、风险评估:风险识别工作结束以后,要利用适当的风险测量方法、工具确定风险的大小与风险等级,这就是风险评估过程 2、诚信:字面的解释就是诚实守信、狭义的诚信取“诚”与“信”内涵中相互包含的成分、即诚实无欺和遵守承诺。广义的诚信涵盖了“诚”与“信”所涉及的几乎所有内容、是从道德主体的内在德行和外化行为的双重视角赋予诚信以更宽泛和全面的内容 3、公钥基础设施:又叫公钥体系、是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范、用户可利用PKI平台提供的服务进行安全通信 4、操作系统安全:指要对电子商务系统的硬件和软件资源实行有效的控制、为所管理的资源提供相应的安全保护 5、网络层安全:指的是对一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护 6、防火墙:是网络安全的第一道屏障、保障网络安全的第一个措施往往是安装和应用防火墙、防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统 7、非对称加密:非对称密钥又叫公开密钥加密,需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加密 8、应用层安全:指的是建立在某个特定的应用程序内部、不依赖于任何网络层安全措施而独立运行的安全措施 9、信息安全:是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨别、控制、即信心安全要确保信息的完整性、保密性、可用性和可控性 10、系统实体安全:指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。 11、认证中心:是电子商务安全中的关键环节,也是电子交易中信赖的基础,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份等工作的具有权威性、可依赖性和公正性的第三方机构 12、虚拟专用网(VPN):是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式 13、数字签名:是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项、借助数字签名可以确定消息的发送方、同时还可以确定信息自发出后未被修改过 14、入侵检测:就是对入侵行为的发觉,通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象15、计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据,影响计算机使用并能够自我复制的一组计算机指令或者程序代码 16、证书策略CP与证书实施说明CPS:CP是指一套指定的规则,用于说明满足一般安全性要求的数字证书在某个特定的团体里和(或)某一类应用程序中的应用能力。CPS是规定了在认证过程中要遵循的操作程序、证书实施说明的内容包括数字证书的复杂性及长度说明等、但最主要的是公开说明了认证机构的运作方式 17、数字证书:是指一个由使用数字证书的用户群所公认和信任的权威机构(即CA)签署了其数字签名的信息集合
一、填空题(每空1分,共15分) 1.电子商务安全从整体上分为:网络安全和交易安全。 2.按密钥方式划分,密码技术分为:对称密码和非对称密码。 3.分组密码是将明文按一定的位长分组,输出也是固定长度的密文。 4.目前使用的电子签名主要有三种模式,分别是智慧卡式、密码式以及生物测定式。 5.放火墙一般用来保护内网。 6.CA的功能是证书的颁发、证书的更新、证书的销毁、证书的归档。 7.入侵检测(Qos)是通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象,主要分成基于的入侵检测系统和基于行为的入侵检测和分布式入侵检测系统三大类。 8.包过滤路由器放火墙一般放置在INTERNET和内部网之间,是连接内外网的桥梁,选择的依据是系统内设置的路由规则。 9.Internet中用于发送安全电子邮件的协议是PGP 。 10.数字时间戳服务是网上电子商务安全服务的项目之一,他能提供电子文件的日期和时间信息的安全保护,它必须由专门的机构提供。 19.电子商务安全涉及的三大基本技术是:网络安全技术、密码技术、PKI技术。 20.在公开密钥体制中,加密密钥和解密密钥分离,公开公钥。 21.信息鲁莽性指不因图像文件的某种改动而导致图像丢失的能力。 22.数字签名的功能有完整性、保密性、认证性和不可抵赖。 23.常用的电子商务安全服务协议有SET 协议和SSL协议。 24.VPN按照接入方式划分,一般分为专线 VPN和拨号 VPN。 25.Internet中用于保障超文本传输的安全协议是HTTP 。 二、单项选择题(每小题1分,共20分) 1.电子商务面临的安全威胁不包括( )。 A.盗取 B.窃听 C.篡改 D.假冒和抵赖 2.IDEA密钥的长度为( )。 A.56 B.64 C.124 D.128 3.在防火墙技术中,内网这一概念通常指的是( )。 A.可信网络 B.不可信网络 C.防火墙内的网络 D.互联网 4.不属于非数学加密理论和技术的是( )。 A.RSA B.椭圆曲线 C.DES D.信息隐藏 5.如果需要某人对一个文件签名,但又不想让他知道文件的具体内容,可以采用下列哪种数字签名方法( )。 A.团体签名 B.盲签名 C.不可争辩签名 D.数字时间戳签名 6.信息安全技术的核心是( )。 A.PKI B.SET C.SSL D.ECC 7.在登录126信箱时,必须填写用户名和密码,这采用了下列那种认证手段( )。 A.口令认证 B.智能卡认证 C.身份认证 D.kerberos认证 8.X.509不提供以下哪种证书( )。 A.个人数字证书 B.机构签名证书 C.安全电子邮件证书 D.SET服务器证书 9.采用DES加密算法,N个用户交换数据并加密,需要的密钥存储空间个数是( )。
电子商务安全认证期末复习 题型:填空题30分(1分1空),判断并说明理由题20分(5分1个),简答30分(6分1个),综合分析题(20分,第1小题8分,第2和3小题各6分)第1章电子商务安全导论 1、电子商务涉及的安全问题有哪些?P4--6 1、信息的安全问题 冒名偷窃 篡改数据 信息丢失 信息传递出问题 2、信用的安全问题 来自买方的安全问题 来自卖方的安全问题 买卖双方都存在抵赖的情况 3、安全的管理问题 4、安全的法律保障问题 2、电子商务系统安全的三个组成部分。P7 实体安全、运行安全、信息安全 3、电子商务安全的五方面基本需求。P16 保密性、完整性、认证性、可控性、不可否认性 4、电子商务的安全保障主要由哪三方面去实现?P17--22 1、技术措施信 ①息加密技术:保证数据流安全,密码技术和非密码技术 ②数字签名技术:保证完整性、认证性、不可否认性 ③TCP/IP服务:保证数据完整传输 ④防火墙的构造选择:防范外部攻击,控制内部和病毒破坏 2、管理措施 ①人员管理制度: 严格选拔 落实工作责任制 贯彻EC安全运作三项基本原则:多人负责、任期有限、最小权限 ②保密制度 不同的保密信息有不同的安全级别 ③跟踪、审计、稽核制度 跟踪:自动生成系统日志 审计:对日志进行审计(针对企业内部员工) 稽查:针对企业外部的监督单位 ④系统维护制度 硬件和软件 ⑤数据容灾制度 ⑥病毒防范制度 ⑦应急措施
3、法律环境 第2章信息安全技术 1、信息传输中的五种常见加密方式。P27 ①链路-链路加密 ②节点加密 ③端-端加密 ④ATM网络加密 ⑤卫星通信加密 2、对称加密的原理及其优缺点,常见对称密码算法有DES,AES,三重DES,Rivest 密码。 1.对称加密 特点: 数据的发送方和接受方使用的是同一把密钥 过程: 发送方对信息加密 发送方将加密后的信息传送给接收方 接收方对收到信息解密,得到信息明文 答:对称加密(在对称密钥体制中,它的加密密钥与解密密钥的密码体制是相同的,且收发双方必须共享密钥,对称密码的密钥是保密的,没有密钥,解密就不可行,知道算法和若干密文不足以确定密钥。) 优点:由于加密算法相同,从而计算机速度非常快,且使用方便、计算量小、加密与解密效率高。 缺点:1)密钥管理较困难;2)新密钥发送给接收方也是件较困难的事情,因为需对新密钥进行加密;3)其规模很难适应互联网这样的大环境。 3、什么是信息验证码?数字签名与信息验证码的区别。P36 信息验证码(MAC)也称为完整性校验值或信息完整校验。MAC是附加的数据段,是由信息的发送方发出,与明文一起传送并与明文有一定的逻辑关系。 信息验证码与数字签名有何区别 P42 答:数字签名类似于信息验证码,但它们也有不同之处。主要的不同在于,数字签名可以支持不可否认服务,也就是说,信息的接收方可以用数字签名来证明作为发送方第三方的身份。如果数字签名来解决电子商务交易中发送方与接收方在交易信息上的争端,则最可能得到伪造信息的一般是接收方,所以对接收方来说,应该不能生成与发送方所生成的签名信息一样的数字签名。但信息验证码不具有进行数字签名的功能,因为接收方知道用于生成信息验证码的密钥。 4、非对称加密的原理及其优缺点。 答:不对称加密(非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。) 优点:由于公开密钥加密必须由两个密钥的配合使用才能完成加密和解密的全过程,因此有助于加强数据的安全性。 缺点:加密和解密的速度很慢,不适合对大量的文件信息进行加密。 基本原理(加密模式过程):
电子商务安全复习题
————————————————————————————————作者:————————————————————————————————日期: 2
复习题 一、单选题 1、使用DES加密算法,需要对明文进行的循环加密运算次数是( C )。 A.4次B.8次 C.16次D.32次 2、在电子商务中,保证认证性和不可否认性的电子商务安全技术是( A )。 A.数字签名B.数字摘要C.数字指纹D.数字信封 3、通常PKI的最高管理是通过( D )来体现的。 A.政策管理机构 B.证书作废系统 C.应用接口D.证书中心CA 4、安装在客户端的电子钱包一般是一个( B )。 A.独立运行的程序 B.浏览器的插件C.客户端程序D.单独的浏览器 5、从事电子商务活动过程中,使用那种技术可以确认信息未被破坏或篡改?( B ) A. 数字时间戳 B. 数字证书 C. 消息摘要 D. 防火墙 6、有一个公司有多个位于不同城市的子公司。它需要一个企业级的用于员工协作的解决方案,并尽量节省花费。下面哪种技术能够在最经济的情况下保证Intranet内部网的安全性?( C ) A. 租用线路 B. 宽带 C. 虚拟专用网VPN D. SSL 7、不对称密码体系中加密过程和解密过程共使用几个密钥?( C ) A. 4 B. 3 C. 2 D.1 8、消息摘要可用于验证通过网络传输收到的消息是否是原始的,未被篡改的消息原文。产生消息摘要采用哪一种算法?( A ) A. HASH B. DES C. PIN D. RSA 9、判断一段程序代码是否为计算机病毒,其依据是看这段代码是否具有( B )。 A.隐蔽性 B.传染性 C.破坏性 D.可触发性 10、下列哪一种防火墙能够利用状态表跟踪每一个连接会话状态?( B ) A. 应用网关防火墙 B. 状态检测防火墙 C. 包过滤防火墙 D. 代理服务型防火墙 11、电子商务安全要素中,用来保证为用户提供稳定的服务的是( D )。 A.商务数据的完整性B.商务对象的认证性 C.商务服务的不可否认性D.商务服务的不可拒绝性 12、充分发挥了DES和RSA两种加密体制的优点,妥善解决了密钥传送过程中的安全问题的技术是( C )。 A.数字签名B.数字指纹 C.数字信封D.数字时间戳 13、数字证书采用公钥体制,即利用一对互相匹配的密钥进行( B )。 A.加密B.加密、解密C.解密D.安全认证 14、SET协议用来确保数据的完整性所采用的技术是( D )。 A.单密钥加密 B.双密钥加密 C.密钥分配D.数字化签名
一.电子商务安全概述 电子商务安全的6大需求、各需求的内涵及解决该需求用到的技术 1)机密性:又叫保密性。指信息在传送或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。 (2)完整性:又叫真确性。保护数据不被未授权者修改、建立、嵌入、删除、重复发送或者由于其他原因使原始数据被更改。 3)认证性:指网络两端的使用者在沟通之前相互确认对方的身份。一般通过CA认证机构和证书来实现 (4)不可抵赖性:即不可否认性,指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息。通过数字签名来保证 (5)不可拒绝性:又叫有效性或可用性。保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。 (6)访问控制性:指在网络上限制和控制通信链路对主机系统和应用的访问;用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。一般可通过提取消息摘要的方式来保证 电子商务安全基础技术 (1)密码技术:加密、数字签名、认证技术、密钥管理 (2)网络安全技术:防火墙技术、VPN、入侵检测技术 (3)PKI技术:利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为EC、电子政务、网上金融提供一整套安全基础平台。 可信计算机系统评价准则(TCSEC) 无保护级D类 D1的安全等级最低,说明整个系统是不可信的。D1系统只为文件和用户提供安全保护,对硬件没有任何保护、操作系统容易受到损害、没有身份认证。D1系统最普通的形式是本地操作系统(如MS—DOS,Windows95/98),或者是一个完全没有保护的网络。 自主保护级C类 C类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力,C类安全等级可划分为C1和C2两类。C1为酌情保护级。系统对硬件进行某种程度的保护,将用户和数据分开。C2为访问控制保护级:增加了用户级别限制,加强了审计跟踪的要求。 能够达到C2级的常见操作系统有:UNIX,Linux,Windows NT,Windows2000、Windows XP、Win 7/8。强制保护级B类(军事领域) B类安全等级可分为B1、B2和B3三类。 B类系统具有强制性保护功能。如果用户没有与安全等级相连,系统就不会让用户存取对象。 B1称为标志安全保护,存在多级安全,即使是文件的拥有者也不允许改变其权限。 B2称为结构保护,必须满足B1系统的所有要求,另外还给设备分配单个或多个安全级别。 B3称为安全域保护,必须符合B2系统的所有安全需求,使用安装硬件的方式来加强安全性,要求用户通过一条可信任途径连接到系统上。 验证保护级A类 A系统的安全级别最高,包括了一个严格的设计、控制和验证过程。 目前,A类安全等级只包含A1一个安全类别。 A1包含了较低级别的所有特性。 A1要求系统的设计必须是从数学角度上经过验证的,而且必须进行秘密通道和可信任分布的分析。 第二章加密技术 对称加密 DES, double DES, triple DES,IDEA, Blowfish, RC2,AES等 优点:加密速度快,便于硬件实现和大规模生产;同一个密钥即可用于加密也可用于解密;对称加密得到的密文是紧凑的;对称加密是安全的 缺点:密钥分配:必须通过保密的信道 密钥个数:n(n-1)/2 无法用来签名和抗抵赖(没有第三方公证时) 因为接收者需要得到对称密钥,所以对称加密容易受到中途拦截窃听的攻击。 DES算法
电子商务安全复习 电子商务安全复习题目 一、单项选择题 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是(D ) A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D.ABC都正确 5. 根据物理特性,防火墙可分为(A ) A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A )
A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B ) A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D )
《电子商务安全技术》 复习要点 第一章电子商务安全概述 1、电子商务安全的含义或需求(6/7个特性,及相关的技术) 2、电子商务安全问题有哪些?能举例说明 3、电子商务安全的构成(从安全等级划分,从电子商务系统构成划分) 4、电子商务安全特点 第二章信息安全技术 1.概念:对称加密,非对称加密,数字签名 2.RSA加密算法计算(扩展欧几里德算法) 3.数字签名目的、原理、特点、类型、常用数字签名方法(有哪些?) 4.RSA数字签名原理 5.验证技术:目的、身份验证原理 6.基于个人令牌的验证(类型、功能) 7.基于生物特征的验证(类型) 8.基于数字时间戳的验证(时间戳、目的、构成) 9.基于数字证书的验证(验证过程) 第三章互联网安全技术 1、网络层安全、应用层安全、系统安全 2、防火墙技术(目的、特点、功能、类型) 3、IP协议安全(IP层安全、IPsec基本功能及应用与特点、安全关联SA概念、AH与ESP 协议提供的安全服务及工作模式) 4、VPN技术(VPN概念、应用、原理、类型) 5、SSL、SET协议(安全服务或功能、交易参与方、二者的比较) 第四章数字证书 1、数字证书的概念、主要内容、类型及其作用、格式 2、证书管理机构 3、证书申请、分发、撤销 第五章公钥基础设施与应用 1、PKI的概念、PKI平台构成 2、CA结构 3、认证路径的概念 4、什么是CP、CPS 第六章电子商务安全策略与管理 1、电子商务安全策略的概念 2、制定安全策略的原则 3、制定安全策略考虑的有关项目 4、网络安全策略、主机安全策略、设施安全策略、数据管理策略、安全交易策略 题型:名词解释、填空、问答、计算题、案例分析
EC安全现状 一、填空题 1、电子商务安全的基本要求包括:保密性、认证性、完整性、可访问性、防御性、不可否认性和合法性,其中保密性、完整性和不可否认性最为关键。 2、信息安全的三个发展阶段是:数据安全、网络安全和交易安全。 3、交易安全的三个主要方面包括:可信计算、可信连接、可信交易。 4、在电子商务系统中,在信息传输过程中面临的威胁:中断(interruption )、截获(interception )、篡改(modification )和伪造(fabrication) 5、电子商务信息存储过程中面临的威胁非法用户获取系统的访问控制权后,可以破坏信息的保密性、真实性和完整性。 6、以可信计算平台、可信网络构架技术实现,对BIOS、OS等进行完整性测量,保证计算环境的可信任,被称为可信计算(trusted computing) 7、以活性标签技术或标签化交换技术实现,对交易过程中的发信、转发、接收提供可信证据,被称为可信连接(trusted connecting) 8、为交易提供主体可信任、客体可信任和行为可信任证明,被称为可信交易(trusted transaction) 9、 ISO对OSI的安全性进行了深入的研究,在此基础上提出了OSI安全体系。定义了安全服务、安全机制和安全管理等概念。其中对象认证(entity authentication)、访问控制(access control)、数据保密性(data confidentiality)、数据完整性(data integrity)和不可抵赖(no-repudiation)是属于安全服务范畴 10、 ISO对OSI的安全性进行了深入的研究,在此基础上提出了OSI安全体系。定义了安全服务、安全机制和安全管理等概念。其中数据加密、数字签名、数据完整性、鉴别交换、路由控制、防业务流分析、公证属于安全机制范畴 二、判断题 1、密码安全是通信安全的最核心部分,由技术上提供强韧的密码系统及其正确应用来实现。 (正确) 2、计算机安全的实施可通过限制被授权人员使用计算机系统的物理范围、利用特殊(专用)软件和将安全功能构造于计算机操作规程中等方法来实现。(正确) 3、网络安全是指保护信息财富,使之免遭偶发的或有意的非授权泄露、修改、破坏。(不正确) 4、《中华人民共和国电子签名法》已于2000年由全国人民代表大会常务会委员会通过,并于同年4月1日起实施 (不正确) 5、完整性(integrity):指交易信息在存储或传输过程中保持未经授权不能改变的特性。即对抗黑客的主动攻击,防止数据被篡改。 ( 正确) 6、保密性(confidentiality):指交易信息不被泄露给未经授权者的特性。即对抗黑客的被动攻击,保证信息不会泄露给非法用户。 (正确) 7、可用性(不可拒绝或有效性):指交易信息可被授权者访问并使用的特性。即保证为用户提供稳定的服务。 (正确) 8、可追究性(认证性):指从一个实体的行为能够唯一追溯到该实体的特性,可以支持故障隔离、攻击阻断和事后恢复等。 ( 正确) 9、抗否认性(incontestable) :指一个实体不能够否认其行为的特性,以支持交易责任追究、威慑作用和法律行动等。 (正确)
电子商务安全技术复习 第一章电子商务安全概论 1.拒绝服务攻击是什么?又是怎样实现的? 答:拒绝服务目的在于使系统瘫痪,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。拒绝服务发生时,系统通常并不会遭到破解,但该服务会丧失有效性,即无法再对正常的请求进行响应。 常见的拒绝服务攻击手段包括:死亡之ping,泪滴,UDP洪水,电子邮件炸弹等。 2.对称加密,非对称加密的概念? 答:对称加密指加密和解密使用相同密钥的加密算法。 非对称加密指加密和解密使用不同密钥的加密算法。 (非对称加密算法需要两个密钥,公开密钥和私有密钥是一对,如果公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫做非对称加密算法。) 3.认证技术的概念? 答:电子认证,从根本上说,是一种服务,其通过对交易各方的身份、资信进行认证,对外可以防范交易当事人以外的人故意入侵而造成风险,从而防止欺诈的发生;对内侧可防止当事人的否认,以避免当事人之间的误解或地来说,从而减少交易风险,维护电子交易的安全,保障电子商务活动顺利进行。 电子商务认证系统有三种认证模式:政府主导的电子商务认证体系;行业协会主导的电子商务认证体系;当事人自由约定的电子商务认证体系。 第二章信息加密技术与应用 1.流密码的概念? 答:流密码采用密钥生成器,从原始密钥生成一系列密钥流用来加密信息,每一个明文可以选用不同的密钥加密。 2.分组密码? 答:分组密码体制是目前商业领域中比较重要而流行的一种加密体制,它广泛地应用于数据的保密传输、加密存储等应用场合。分组密码对明文进行加密时,首先需要对明文进行分组,每组的长度都相同,然后对每组明文分别进行加密得到等长的密文,分组密码的特点是加密密钥与解密密钥相同。分组密码的安全性组要依赖于密钥,而不依赖于对加密算法和解密算法的保密,因此,分组密码的加密和解密算法可以公开。 一般情况下对密码算法的要求是: 1)分组m足够大;2)密钥空间足够大;3)密码变换必须足够复杂。 3.认证技术:认证分为消息认证和身份认证;消息认证用于保证信息的完整性和抗否认性,身份认证则用于鉴别用户身份。 4.数字签名的概念: 答:数字签名就是通过一个单向函数对要传送的报文进行处理,得到用于认证报文来源并核实报文是否发生变化的一个字母数字串,用这个字符串来代替书写签名或印章,起到与书写签名或印章同样的法律效用。
2021年自考电子商务安全导论复习资料(4)第二章电子商务安全需求与密码技术 一、电子商务的安全需求 电子商务安全是一个复杂的系统问题,在使用电子商务的过程中会涉及到以下几个有关安全方面的因素。 (1)可靠性可靠性是指电子商务系统的可靠性,电子商务系统也就是计算机系统,其可靠性是指为防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁,加以控制和预防,确保系统安全可靠性。包管计算机系统的安全是包管电子商务系统数据传输、数据存储及电子商务完整性检查的正确和可靠的根基。 (2)真实性真实性是指商务活动中交易者身份的真实性,亦便是交易双方确实是存在的,不是假冒的。 (3)机密性机密性是指交易过程中必需包管信息不会泄露给非授权的人或实体。 (4)完整性完整性是指数据在输人和传输过程中,要求能包管数据的一致性,防止数据被非授权建立、修改和破坏。 (5)有效性电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,必需包管贸易数据在确定价格、期限、数量以及确按时间、地点时是有效的。 (6)不成抵赖性电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题,则是包管电子商务顺利进行的关键。要求在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发送方在发送数据后不能抵赖。接收方在接收数据后也不能抵赖。 (7)内部网的严密性企业在内部网上一方面有着大量需要保密的信息,另一方面传递着企业内部的大量指令,控制着企业的业务流程。企业内部网一旦被恶意侵入,可能给企业带来极大的混乱与损失。包管内部网不被侵入,也是开展电子商务的企业应着重考虑的一个安全问题。 二、密码技术 1.加密的基本概念和表示方法 (1)加密的基本概念 ①明文:原始的、未被伪装的消息称做明文,也称信源。通常用M表示。 ②密文:通过一个密钥和加密算法可将明文变换成一种伪装的信息,称为密文。通常用C表示。 ③加密:就是用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,即把明文变成密文的过程,通常用E表示。 ④解密:由密文恢复成明文的过程,称为解密。通常用D表示。 ⑤加密算法:对明文进行加密所采用的一组规则,即加密程序的逻辑称做加密算法。 ⑥解密算法:消息传送给接受者后,要对密文进行解密时所采用的一组规则称做解密算法。 ⑦密钥:加密和解密算法的操作通常都是在一组密钥的控制下进行的,别离称作加密密钥和解密密钥。通常用K表示。 (2)加密、解密的表示方法 ①加密:C=EK(M) ②解密:M=Dk(c)
电子商务安全管理期末复习题 1、常用的网络安全技术有哪些?(20分) 安全交易技术,信息加密技术,数字签名,病毒防护技术,身份识别技术,防火墙技术,入侵检测系统,网络安全管理策略。 2、对称密码体制的优缺点是什么?(20分) 优点:计算量小,加密速度快,加密和解密数据使用同一个密钥。 缺点:容易引起密钥泄密和信息失密,它存在着通信的贸易双方之间确保密钥安全交换的问题。此外,某一贸易方有几个贸易关系,它就要维护几个专用密钥,也没法鉴别贸易发起方或贸易最终方,因为贸易的双方的密钥相同。另外,由于对称加密系统仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。 3、什么是计算机病毒?(20分) 计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体插入它们中,从而感染它们。” 国外对计算机病毒最流行的定义为:“计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。 计算机病毒通常包括引导模块、传染模块、破坏行动模块。存储介质上的计算机病毒,在没有加载在内存中处于运行状态时,不具备传染性和破坏性,因此对系统的安全不构成危害。 4、数字证书的概念是什么?(20分) 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,其作用类似于司机的驾驶执照或日常生活的身份证。它是由一个权威机构--CA机构,又称为证书授权中心发行的,人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥
有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。 5、什么是防火墙?(20分) 为了防范不可信用户利用Internet入侵内部网,保护内部网不受外来入侵的攻击,人们在 Internet与内部网之间设置一个安全网关,在保持内部网与Internet连通性的同时,对进入内部网的信息流实行控制, 只转发可信的信息流, 而拒绝不可信信息流的进入。这种安全网关被称为防火墙. ①禁止不可信的网络用户进入内部网络 ②允许可信任的网络用户进入内部网络,并以规定的权限访问网络资源 ③允许/禁止内部网 (也是一种可信任网络)的用户访问某些外部网络/网站 6、入侵检测系统的概念是什么?(20分) 入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括来自系统外部的入侵行为和来自内部用户的非授权行为。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 7、风险具有哪些特点?(20分) 风险具有的特点:客观性,不确定性,不利性,可变性,相对性 8、电子商务犯罪的特点是什么?(20分) 电子商务犯罪的特点:犯罪主体多样化,低成本低风险,高智能高技术,共同犯罪居多,犯罪证据难获取,犯罪具有隐蔽性,犯罪危险影响区域广,犯罪具有连续性,高犯罪黑数,犯罪危害大 9、信用的概念是什么?(20分) “信用”是个人或组织被他人信任的程度,守承诺的程度。信任是一种在不确定性风险
一、课后选择题答案 第一章 电子商务安全的概述 1.关于电子商务安全,下列说法中错误的是 D 决定电子商务安全级别的最重要 因素是技术2.网上交易中订货数量发生改变,则破坏了安全需求中的 ()。C/完整 性;3.()原则保证只有发送方和接收方才能访问消息内容。 D.访问控制;4.电子商 务安全中涉及的3种因素,没有()。C 设备 5.在PDRR 真型中,()是静态防护转为动态的关键,是动态响应的依据。 B 检测; 6. 在电子商务交易中,消费者面临的威胁不包括 ()D 非授权访问 ; 7.B 截获C 伪造A 篡改D 中断 第二章 密码学基础 1 . 棋盘密码属于 ()A 单表替代密码 ; 2 .() 攻击不能修改信息内容 ;A. 被动 ; 3 .在RSA 中,若两个质数p=7,q=13,则欧拉函数的值为()B 。72解p-1=6.q- 1=12; 4 .RSA 算法理论基础()。B 大数分解; 5 .数字信封技术克服了()。D 公钥密码技术加密速度慢 6 .生成数字信封,我们用()加密()。D 接收方公钥、一次性会话秘钥 7.如果发 送方用自己的私钥加密信息,则可以实现()。D 鉴别8.如果A 和B 安全通信,则B 不需要知道()A 。A 的私钥9.通常使用()验证消息的完整性。Ao 消息摘要 10 . 两个不同的消息摘要具有相同散列值,称为 ()B 。冲突 11 .()可以保证信息的完整性和用户身份的确定性》 C 。数字签名12.与对称秘 钥加密技术相比,公钥加密技术特点()。D 可以实现数字签名 第三章认证技术 1 .确定用户的身份称为()。A,身份认证 电子商务安全课后选择题答案及复习资料 唐四薪
第1章电子商务安全概论 1、理解电子商务的安全要求(安全要素)(重点) 2、理解电子商务系统的安全层次 3、了解电子商务安全措施 4、了解电子商务安全技术
加密技术------第2章 数字签名技术------第3章 虚拟专用网技术------第3章 防火墙技术------第3章 入侵检测技术------第3章 计算机病毒防治技术------第3章 安全协议(SSL、SET) ------第6,7章 身份认证技术 数字时间戳技术 认证技术------第4章 数字签名技术------第4章 第2章信息加密技术与应用 1、理解密码技术在电子商务活动中的作用 信息加密技术是电子商务安全交易的核心,这种技术主要用来实现电子商务交易的保密性、完整性、授权、可用性和不可否认性 2、理解密码技术的分类(密码体制的分类P15) 密码的发展史:古典密码、近现代密码 密码加密算法和解密算法所使用的密钥是否相同,或是否能简单地由加密密钥推导出解密密钥:对称密钥密码体制(也称单钥密码体制、秘密密钥密码体制)、非对称密钥密码体制(也叫双密钥密码体制、公开密钥密码体制) 密码算法对明文信息的加密方式:流密码、分组密码 是否能进行可逆的加密变换:单向函数密码体制、双向变换密码体制 加密过程是否注入了客观随机因素:确定型密码体制、概率密码体制 3、理解对称密钥密码体制和非对称密钥密码体制 对称密钥密码体制 A、对称密码体制分类:古典密码(移位密码、代换密码、仿射密码、维吉尼亚密码、希尔密码)、流密码、分组密码 B、对称密码优点:加解密速度快 C、对称密码缺陷:①密钥数目的问题n×(n-1)/2 ②安全传输密钥也是一个难题③无法鉴别彼此身份 非对称密钥密码体制 A、公钥密码体制特点:①仅根据密码算法和加密密钥来确定解密密钥在计算上是相当困难的。 ②两个密钥中的任何一个可以用来加密,另一个用来解密。 ③有6个组成部分:明文、加密算法、公钥、私钥、密文、解密算法 B、典型的公开密钥密码算法RSA: C = M e (mod n) M=C d (mod n) 如:e=3,d=3 n=15 ,现在对明文M=7加密。得密文C = 73 (mod 15) = 13 现在对密文C=13解密得明文M = 133 (mod 15) = 7 RSA的缺陷:产生密钥麻烦,速度慢(DES 为一种典型的对称密钥密码算法) RSA和DES的优缺点正好互补:RSA的密钥很长,加密速度慢,而采用DES,正好弥补了RSA的缺点。即DES用于明文加密,RSA用于DES密钥的加密。RSA又解决了DES密钥分配的问题。 C、RSA算法的生成步骤:设计密钥,生成密文,恢复明文 (1)设计密钥:先选取两个互素的大素数P和Q,令n = P×Q,φ(n) =(P - 1)×(Q - 1),接着寻求加密密钥e,使e 满足gcd (e,φ(n))=1,另外,再寻找解密密钥d,使其满足e×d = 1(mod φ(n))。这里的(e ,n)就是公开的加密密钥。(d,n)就是私钥。 (2)加密过程:将发送的明文M分块,其加密过程是:C = M e (mod n) (3)解密过程:对C解密,即得到明文M=C d (mod n) D、简单例子任务:对明文M=19 加密 选p=7,q=17 则n=pq=119 且φ(n)=(p-1)(q-1)=6×16=96 取e=5 使得e与φ(n) 互素则d=77 (5×77=385=4×96+1≡1 mod 96)
题前有#号为重点题,所有资料仅供参考 一、名词解释 #1、防火墙:在内部网和外部网之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器,用来在两个或多个网络间加强访问控制、实施相应的访问控制策略,力求把那些非法用户隔离在特定的网络之外,从而保护某个特定的网络不受其他网络的攻击,但又不影响该特定网络正常的工作。 #2、数字签名:是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。 #3、数字证书:提供了一种在Internet 上验证身份的方式, 钥的文件 #4、加密技术:是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术 传送,到达目的地后再用相同或不同的手段还原(解密)。5入侵检测技术:是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 6、PKI:公共密钥基础设施是一种集中化的、易于管理的网络安全方案。可以通过一个基于数字认证的框架处理所有的数据加密和数字签名工作。 7、电子商务标准的制定原则:全面性、系统性、先进性、预见性、可扩充性 8、包过滤型防火墙:在路由器上实现。包过滤防火墙通常只包括对源和目的IP地址及端口的检查。包过滤防火墙的安全性是基于对包的IP地址的校验。包过滤防火墙将所有通过的数据包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤数据包。 9、物理隔离技术:物理隔离产品主要有物理隔离卡和隔离网闸。物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。物理隔离网闸由物理隔离网络电脑和物理隔离系统交换机组成。其中,物理隔离网络电脑负责与物理隔离交换机通信,并承担选择内网服务器和外网服务器的功能。物理隔离交换机实际上就是一个加载了智能功能的电子选择开关。物理隔离交换机不但具有传统交换机的功能,而且增加了选择网络的能力 10、入侵检测系统:入侵检测系统帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遇到袭击的迹象。 11、对称加密技术:在对称加密技术中,加密和解密过程采用一把相同的密钥,通信时双方都必须具备这把密钥,并保证密钥不被泄露。通信双方先约定一个密钥,发送方使用这一密钥,并采用合适的加密算法将所要发送的明文转变为密文。密文到达接收方后,接收方用解密算法,并把密钥作为算法的一个运算因子,将密文转变为原来的明文 12、公钥加密技术:公钥密码体制对数据进行加密解密时使用一对密码,其中一个用于加密,而另外一个用于解密,这两个密码分别称为加密密钥和解密密钥,也称为公钥和私钥,它们在数学上彼此关联。加密密钥可以向外界公开,而解密密钥由自己保管,必须严格保密13、“电子签字”系指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。14、电子支付系统是电子商务系统的重要组成部分,它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务,即把新型支付手段包括电子现金、信用卡、借记卡、智能卡)等的支付信息通过网络安全传送到银行或相应的处理机构,来实现电子支付;是融购