2012电子商务安全
判断(每题1分,共30题,30分)
1.电子商务安全包括计算机网络安全和电子交易安全(对)
2.电子商务安全是制约电子商务发展的重要因素(对)
3.电子商务安全与网络安全的区别在于其具有不可抵赖性(错)
4.决定电子商务安全的最重要因素是技术(错)
5.TPC/IP协议是完善的、安全的网络协议(错)
6.电子商务系统一般是基于C/S结构的。(错)
7.电子商务安全仅仅是一个企业安全部门的事情。(错)
8.为了推动电子商务发展,应立足于允许企业尽可能收集个人数据,但必须注意保密,以最大限度的保护企业利益的原则来制定关于网络隐私的法律。(错)
9.保障电子商务安全除了应用技术手段外,还必须采用法律手段。(对)
10.加密技术层的安全技术手段有加密技术和SET协议(错)
11.防火墙可以防范所有的入侵,是目前世界最安全的防范技术(错)
12.对于电子商务来说,我们不能依赖于任何一种安全方案或安全产品,事实上是没有一种产品可以全面保护系统的信息财产。我们需要综合使用,合理配置。(对)
13.加密密钥和解密密钥相同的称为公钥加密。(错)
14.被动攻击是指在不影响网络正常工作的情况下,黑客进行信息的截获、窃取、破译等攻击方式。(对)
15.一个密钥在停止使用后,该密钥保护的信息就可以公开了,因为这个密钥以及加密过的文件已经不重要了。(错)
16.在网络安全中,采取了数据备份以及恢复措施后,就不用考虑网络防病毒措施了,因为出现病毒后可以重新安装系统。(错)
17.由于新病毒总是先于杀病毒软件的出现,所以,杀毒软件应该定期不断第更新才能更好地预防病毒、减少损失。(对)
18.安全问题可以说是电子商务中最重要的问题。(对)
19.伪造是指未授权方不仅获取了对信息的访问而且篡改了信息。(错)
20.数据签名是使用单向Hash函数加密算法对一个任意长度的报文进行加密,生成一个固定长
度的密文。(错)
21.用户一般都无法在InternetExplore浏览器中查看数字证书。(错)
22.SET即安全电子交易。(对)
23.SSL协议一般使用的是对称加密体制中的RSA加密算法。(错)
24.服务器密钥的长度应该在1024bit以上。(对)
25.电子商务法不仅调整交易形式,而且调整交易本身以及交易引起的特殊法律问题,如电子
签名问题等。(对)
26.当证书签发后,一般说来,期望在整个有效期内都有效。认证机构无权撤销原有的证书。(错
27.发件人不得以其支付指令有误或支付的原因不合法为由要求银行撤销已经完成的支付行为。(
28.在数字签名中,有效签名的复制同样是有效的签名。(对)
29.在线交易中,如果承诺人意图撤销其作出的承诺,实际上是不可能的。(对)
30.入侵检测是100%安全的,能检测出合法用户对信息的非正常访问。(错)
单选题(每题1分,共60题,60分)
31.网上交易中,如果定单在传输过程中订货数量发生了变化,则破坏了安全需求中的(C )。
A、可用性
B、机密性
C、完整性
D、不可抵赖性
32.在电子商务交易中,消费者面临的威胁不包括(D )。A、虚假订单B、付款后
不能收到商品C、客户资料的机密性丧失D、非授权访问
33.棋盘密码是将26个英文字母放在5×5的表格中(ij放一个格),每个字母对应的密文由行号
和列号对应的数字组成。如h对应的密文是23,e对应15等。请问它是属于(D)A、单
表替代密码B、多表替代密码C、置换密码D、以上都不是
34.(A )攻击不修改消息的内容。A、被动B、主动C、都是D、都不是
35.在RSA中,若取两个质数p=7、q=13,则其欧拉函数φ(n)的值是(D)A、84 B、
72 C、91 D、112
36.RSA算法建立的理论基础是(B )A、替代和置换B、大整数分解C、离散对数D、
散列函数
37.如果A要和B安全通信,则B不需要知道(A)A、A的私钥B、A的公钥C、B 的公钥D、B的私钥
38.通常使用(A )验证消息的完整性。A、消息摘要B、数字信封C、对称解密算法D、公钥解密算法
39.两个不同的消息摘要具有相同散列值时,称为(B)A、攻击B、冲突C、散列D、签名
40.(C)可以保证信息的完整性和用户身份的确定性。A、消息摘要B、对称密钥C、数字签名D、时间戳
41.与对称密钥加密技术相比,公钥加密技术的特点是(D )A、密钥分配复杂B、密钥的保存数量多C、加密和解密速度快D、可以实现数字签名
42.确定用户身的份称为(A)A、身份认证B、访问控制C、授权D、审计
43.关于SAML协议,以下说法错误的是(C)
A、SAML不是一个完整的身份认证协议
B、SAML协议主要用来传递用户的认证信息
C、SAML是一个认证权威机构
D、SAML协议定义了一套交换认证信息的标准
44.关于认证机构CA,下列哪种说法是错误的。(C )
A、CA可以通过颁发证书证明密钥的有效性
B、CA有着严格的层次结构,其中根CA要求在线并被严格保护
C、CA的核心职能是发放和管理用户的数字证书
D、CA是参与交易的各方都信任的且独立的第三方机构组织。
45.密钥交换的最终方案是使用。(C )A、公钥B、数字信封C、数字证书D、消息摘要
46.CA用(A)签名数字证书。A、用户的公钥B、用户的私钥C、自己的公钥D、自己的私钥
47.数字证书是将用户的公钥与其(C )相联系。A、私钥B、CA C、身份D、序列号
48.对宿主程序进行修改,使自己成为合法程序的一部分并与目标程序成为一体的病毒是
( B )
A、源码型病毒
B、操作系统型病毒
C、外壳型病毒
D、入侵型病毒
49.下面关于病毒的叙述正确的是(D )A、病毒可以是一个程序B、病毒可以是一段可执行代码C、病毒能够自我复制D、ABC都正确
50.DDoS攻击破坏了_________。(A)A、可用性B、保密性C、完整性D、真实性
51.从系统结构上来看,入侵检测系统可以不包括(C)A、数据源B、分析引擎C、审计D、响应
52.通用入侵检测框架(CIDF)模型中,(A)的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
A、事件产生器
B、事件分析器
C、事件数据库
D、响应单元
53.基于网络的入侵检测系统的数据来源主要是(D )A、系统的审计日志B、系统的行为数据C应用程序的事务日志文件D、网络中的数据包
54.下列哪项不属于访问控制策略(C)A、基于身份的策略B、基于任务的策略C、多等级策略D、组策略
55.SSL中的(D)是可选的。A、服务器鉴别B、数据库鉴别C、应用程序鉴别D、客户机鉴别
56.SSL层位于与之间(B )A、传输层,网络层B、应用层,传输层C、数据链路层,物理层D、网络层,数据链路层
57.SSL用于客户机—服务器之间相互认证的协议是(B)A、SSL警告协议B、SSL握手协议C、SSL更改密码规范协议D、SSL记录协议
58.SET提出的数字签名新应用是(A)A、双重签名B、盲签名C、数字时间戳D、门限签名
59.SSL协议提供的基本安全服务不包括(B )A、加密服务B、服务器证书C、认证服务D、保证数据完整
60.关于SSL协议与SET协议的叙述,正确的是(C )
A、SSL是基于应用层的协议,SET是基于传输层的协议
B、SET和SSL均采用RSA算法实
现相同的安全目标
C、SSL在建立双方的安全通信信道后,所有传输的信息都被加密,而SET则有选择地加密一部分敏感信息
D、SSL是一个多方的报文协议,它定义了银行、商家、持卡人之间必需的报文规范,而SET 只是简单地在通信双方之间建立安全连接
61.下面关于ESP传输模式的叙述不正确的是(A)
A、并没有暴露子网内部拓扑
B、主机到主机安全
C、IPSec的处理负荷被主机分担
D、两端的主机需使用公网IP
62.盲签名和分割选择协议主要用来实现电子现金的哪种特性(D )A、不可重用性B、可分性C、独立性D、匿名性
63.下面哪一项不是风险管理的四阶段之一?(B)A、计划B、开发C、评估D、执行
64.风险评估不包含下列哪一方面的内容(D)A、资产识别B、脆弱性识别C、威胁识别D、人员识别
65.网络安全的最后一道防线是(A)A、数据加密B、访问控制C、接入控制D、身份识别
66.HTTPS是使用以下哪种协议的HTTP(A)A、SSL B、SSH C、Security D、TCP
67.不属于PKI基础技术的是(D )A、加密技术B、数字签名技术C、数字信封技术
D、数字水印技术
68.以下哪一项是SSL的公钥算法(D )A、EES B、SKIPJACK C、Diffie-Hellman D、RSA
69.不涉及PKI技术应用的是(D)A、防火墙B、安全E-mail C、Web安全D、视频压缩
70.安全套接层协议最初由下面那个公司开发的(C )A、MICROSOFT B、SUN C、NETSCAPE COMMUNICA TION D、IBM
71.在防火墙技术中,我们所说的外网通常指的是(A )A、可信任网络B、非信任网络C、防火墙内的网络D、局域网
72.阻止非法用户进入系统使用(C)A、病毒防御技术B、数据加密技术C、访问控制技术D、数字签名技术
73.以下哪一项不在数字证书数据的组成中?(D )A、版本信息B、有效使用期限C、签名算法D、版权信息
74.通常为保证商务对象的认证性采用的手段是(C )A、信息加密和解密B、信息隐匿
C、数字签名和身份认证技术
D、数字水印
75.CA不能提供以下哪种证书?(D )A、个人数字证书B、SSL服务器证书C、安全电子邮件证书D、SET服务器证书
76.Internet接入控制不能对付以下哪类入侵者?(C )A、伪装者B、违法者C、内部用户D、地下用户
77.在防火墙技术中,内网这一概念通常指的是(A)A、可信任网络B、非可信任网络C、DMZ网络D、互联网
78.在DES加密标准中,有效密钥长度位数是(B )A、64位B、56位C、48位D、32位
79.计算机病毒不具有的特点(B)A、破坏性B、暴露性C、潜伏性D、传染性
80.下列关于计算机病毒错误的说法是(C )
A、计算机病毒是一个程序
B、计算机病毒是一段可执行的代码
C、计算机病毒不象生物病毒有复制能力
D、计算机病毒难以根治
81.特洛依木马是(A )A、程序B、硬件C、黑客D、监听工具
82.下列方法中,不属于口令破解方法是(D )A、口令破解程序B、穷举法破解口令C、输入口令时候被人看到D、端口扫描
83.下列安全防御中,属于主动防御的是(C )A、身份认证技术B、防火墙技术C、安装网络入侵检测(IDS系统)D、VPN技术
84.加密技术是电子商务采取的主要安全措施之一,贸易方可根据需要在信息交换的过程中使
用。所谓加密技术指的是(D )
A、将数据进行编码,使它成为一段数字字符
B、将数据进行编码,使它成为一种不可理解
的形式
C、将数据进行编码,使它成为一段字母字符
D、将数据进行编码,使它成为一段看不见的
字母、数字混合字符
85.非对称加密将密钥分解为一对密钥,即(B )
A、一把公开的加密密钥和一把公开的解密密钥
B、一把秘密的加密密钥和一把公开的解
密密钥
C、一把公开的加密密钥和一把秘密的解密密钥
D、一把公开的密钥或加密密钥和一把专
用的密钥或揭秘密钥
86.密钥的长度是指密钥的位数,一般来说(A)
A、密钥的位数越长,被破译的可能就越小
B、密钥的位数越短,被破译的可能就越小
C、
密钥的位数越长,被破译的可能就越大D、以上说法都正确
87.数据(A)服务可以保证接收方所接收的信息流与发送方的信息流是一致的。A、完整
性B、加密C、访问控制D、认证技术
88.目前最常见的对称加密方法是(B )A、RSA B、DES C、SET D、CA
89.关于CA机构,以下说法不正确的是(B )
A、CA机构又称为认证中心
B、CA机构不需要为银行发放数字证书
C、CA机构承担公钥系统中公钥的合法性检验的责任
D、CA机构认证的数字签名使得攻
击者不能伪造和篡改数字证书
90.SSL协议和SET协议相比较,区别可以归纳为(D )
A、功能简单,费用昂贵
B、功能强大,费用便宜
C、功能强大,费用昂贵
D、功
能简单,费用便宜
多选题(每题2分,共10题,20分)
91.数字信封技术是结合了对称密码技术和公钥密码技术优点的一种加密技术,它克服了(BD )
A、对称密码技术密钥管理困难
B、公钥密码技术分发密钥困难
C、对称密码技术无法
进行数字签名D、公钥密码技术加密速度慢
92.以下哪几种设施通常处于在线状态(AB )A、根CA B、OCSP C、RA D、CRL
93.下列哪些是安全防范策略的基本内容(BDE )A、防火墙B、物理安全C、建筑安全D、风险管理E、灾难恢复
94.数字证书的类型有(ABC)A、客户证书B、服务器证书C、安全邮件证书D、密钥证书E、机密证书
95.签名可以解决的鉴别问题有(BCDE )A、发送者伪造B、发送者否认C、接收方篡改D、第三方冒充E、接收方伪造
96.对SSL提供支持的服务器软件有(AB )A、Netscape浏览器B、Mircrosoft IE浏览器C、Microsoft IIS D、Lotus Notes Server E、MS-DOS
97.单钥密码体制的算法包括(AB )A、DES加密算法B、二重DES加密算法C、ECC加密算法D、RSA加密算法E、SHA加密算法
98.关于数字证书以下说法正确的是(ABCD )
A、有认证中心发行
B、经认证中心数字签名
C、其作用类似于日程生活中的身份证 D 是网络通讯中证明各方身份的一系列数据
99.SSL协议提供的基本安全服务包括(ACD )。A、加密服务B、企业证书C、认证服务D、保证数据完整
100.下列内容属于SSL协议的特点(优、缺点)的是(AB)
A、不用为客户瑞安装软件
B、不应该使用大量的图形文件
C、只能在互联网以及公用网上使用
D、只能在专用网上使用
填空(每空1分,共20空,20分)
101. 截获攻击与保密性相关(一般攻击的手段有:篡改、截获、伪造、中断、抵赖)
102. 伪造攻击与认证相关(一般攻击的手段有:篡改、截获、伪造、中断、抵赖)
103.篡改攻击与完整性相关(一般攻击的手段有:篡改、截获、伪造、中断、抵赖) 104. 中断攻击与可用性相关(一般攻击的手段有:篡改、截获、伪造、中断、抵赖) 105.如果电子商务系统无法访问了,则破坏了电子商务安全的需求。
106.电子商务安全的目标是:保证交易的真实性、机密性、完整性、不可抵赖性、即时性和可用性。
107.电子商务安全涉及的三种因素:人、过程和技术
108.时间戳是一个经加密后形成的凭证文档,它包括需加时间戳的文件摘要、时间戳权威收到文件的日期和时间TSA的数字签名和时间戳权威的三个部分
109.IPSec提供TCP/IP四层中的IP层的安全性
110.在SET中使用随机产生的公钥加密加密数据,然后将此私有密钥用接受者的私钥密钥加密。
111.PGP使用非对称的“公钥”和“私钥”加密体系。
112.VPN的基本技术包括身份认证技术、隧道技术、加解密技术、密钥管理。
113.电子商务安全国际规范最具有代表性的有SSL 协议和SET协议。
114.防止信息源节点用户对他所发送的信息事后不承认,或者是信息目的节点接收到信息事后不承认,称为抵赖性。
115.黑客有选择地破坏信息的有效性和完整性的攻击方式称为主动攻击。
116.目前,防火墙的系统结构一般有4种,他们是包过滤防火墙、主动防火墙、屏蔽子网防火墙。
117.入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术,根据信息源不同,入侵检测系统可分为基于主机入侵检测和基于网络的入侵检测两大类。
118.计算机病毒的基本特征包括以下几部分:计算机病毒的传染性、计算机病毒的破坏性、计算机病毒的潜伏性和计算机病毒的隐蔽性。
119.PKI的英文全称和中文全称是Public Key Infrastructure和公共基础设备。
120.SSL协议对服务器端的认证要求比较严格,而对客户端的认证是可选的服务器和客户。
121.卸载IE浏览器,已安装的数字证书会丢失,因此建议在卸载IE浏览器前将要保存的证书导出保存,在重新安装完IE浏览器后再将证书导入。
122.电子现金的不可伪造性事通过银行对电子现金的电子现金签名实现的
123.数字信封是用随机产生的对称密钥加密信息,利用接收方的公钥加密对称密码,接收方解密时,使用自己的私钥解密数字信封,得到对称密钥。
124.一般VPN组网方式有三种,它们是Access 、VPN、Internet VPN、Extranet VPN
125.公告入侵检测框架阐述了一个入侵系统的通用模型,它将一个入侵检测系统分为4个组件,它们是事件产生端、事件分析器、响应单位和事件数据库。
操作(每题5分,共三题)
117.在学院服务器http://192.168.9.9/certsrv/申请Web浏览器数字证书,要求申请时候用自己的的中文名字,安装该证书并显示该证书截图上传该图(注意图片格式为JPG大小200k 内,截图效果如下)
118.下载老师的公钥证书http://192.168.9.9/chen.cer。安装该证书并显示该证书内容截图上传该图(注意图片格式为JPG大小200k内,截图效果如下)
119.下载老师的公钥证书http://192.168.9.9/chen.cer。安装该证书并显示该证书查看使用者详细信息,内容截图上传该图(注意图片格式为JPG大小200k内,截图效果如下)
电子商务安全风险及对策浅析
————————————————————————————————作者:————————————————————————————————日期:
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
电子商务安全与防护 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。 1、电子商务信息安全现状 现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至2007年6月,我国互联网用户已经从2001年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1 网络环境安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等,其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制
5.1.1 SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。 图5-1 SSL协议的分层结构 5.1.2 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示: 图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的
MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。 图5-3 SSL记录协议中数据项的格式 5.1.3 SSL握手协议 图5-4 SSL建立新会话时的握手过程 1)建立新会话时的握手过程 握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别,同时通过服务器和客户协商,决定采用的协议版本、加密算法,并确定加密数据所需的对称密钥,随后采用公钥加密技术产生共享机密信息(例如对称密钥)。每次连接,握手协议都要建立一个会话。会话中包含了一套可在多次会话中使用的加密安全参数,从而减轻了每次建立会话的负担。然而,必须指出的是,SSL中的每次连接时,在握手协议中产生的对称密钥都是独特的,这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。 根据是否验证对方的证书,SSL的握手过程可以分为以下三种验证模式:客户和服务器都被验证;只验证客户机,不验证服务器,这是Internet上使用最广泛的形式;客户和服务器都不验证,也称为完全匿名模式。SSL握手协议建立一个新的会话的过程如图5-4所示,具体如下: 阶段1:确定一些相关参数,包括协议版本、会话ID、加密规格、压缩算法和初始随机数 (1)客户端发送client_hello消息给服务器,向服务器传送客户端支持的SSL协议的版
电子商务安全 随着因特网的迅猛发展,电子商务已经逐渐成为人们实行商务活动的一个崭新模式。我们能够把电子商务定义为整个事务活动和贸易活动的电子化。它将信息网络、金融网络和物流网络结合起来,把事务活动和贸易活动中发生关系的各方有机地联系起来,极大地方便了各种网络上的事务活动和贸易活动。电子商务有比传统商务方式更巨大的方便性和灵活性。不过,网络面临的安全问题也随之而来,例如内部窃密和破坏、截收、非法访问、破坏信息的完整性、破坏系统的可用性等等诸多问题。 任何在互联网上展开业务的机构都必须采取积极的步骤,确保系统有充足的安全措施,以防止机密信息泄露和非法侵入所造成的损失。但互联网本身就是基于开放思想设计并逐步发展起来的。要想在互联网上实现绝对安全是困难的。互联网上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全。 一、电子商务安全的具体技术表现 (一)数据的私有性和安全性 如果不采用特别的保护措施,包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径,想任意窃听一组数据传输是不可能,但是一些设置在web服务器的黑客程序却能够查找和收集特定类型的数据,这些数据包括信用卡、存款的账号和相对应的口令。同时,因为internet的开放性设计,数据私有性和安全性还包括数据传输之外的问题,例如:连入internet的数据存储网络驱动器的安全性。所以,任何存储在web 服务器上的数据必须采取保护措施。 (二)数据的完整性 对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整
【实验报告】 实验小组小组成员姓名,组长写到第一位实验名称PC机的安全设置 实验目的1、强化计算机系统安全意识; 2、了解操作系统的安全保护措施; 3、学会使用Windows操作系统中常用的安全设置方法。 实验环境进行实验的PC机硬件配置及Windows操作系统版本 实验设计杨阳:1-4步骤王今喜:5-8步骤包威:9-12步骤 孟云:分析及记录实验结果 详细过程(重点操作环节) 序号操作内容操作流程 1 加密文件或文件夹选中自己要加密的文件夹,右键选择属性,然后在 常规窗口的属性里面选择隐藏。 2 将文件夹设为某账 户的专用文件夹, 禁止其他账户使用1)使用【管理员】账户登录系统。 2)选定某个希望加密的文件夹,比如图片中的ELOGO,单击右键,选择“属性”。 3)单击“属性”中的“安全”选项卡。 4)点击“高级”按钮,选择“更改”。 5)单击“高级”按钮,选择“立即查找”,将用户变更为自己当前的用户名(不记得的先锁定计算机,然后再登陆界面上就能看到自己的用户名了)。然后单击“确定”按钮。 6)点击“确定”按钮,然后在点击“确定”按钮。然后便可看到所有者变成了当前用户。 7)再次单击“确定”按钮,然后再次单击“确定”按钮。 8)重复第2~3步。 9)单击“审核”选项卡后,点击“继续”。 10)然后返回“权限”选项卡。 11)点击“禁用继承”。 12)根据图示操作。 13)单击“User\XXXXXX”,然后单击“编辑”(XXXXXX代表计算机名)。 14)取消勾选所有权限即可。 15)单击三个“确定”按钮即可保存。 3 关闭简单文件共享 功能1)首先点击打开菜单,在开始输入栏中输入“计算机管理”,按下回车键打开“计算机管理”窗口。2)打开窗口后在窗口左边依次找到“计算机管理(本地)”—“系统工具”—“共享文件夹”—“共享”,双击共享即可在右边看到“共享文件夹”。3)接着使用鼠标右键点击默认开启的文件夹,选择“停止共享”即可关闭系统默认共享文件夹。
《电子商务安全与支付》考纲、试题 、答案 一、考试说明 《电子商务安全与支付》是电子商务的分支学科,它主要针对翻新的网络破坏和犯罪形式,新的安全技术不断出现和被采用,有力地保障了电子商务的正常开展,本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题,同时涉及交易系统安全管理,介绍电子商务安全的相关法律和电子商务安全解决方案。 本课程闭卷考试,满分100分,考试时间90 分钟。考试试题题型及答题技巧如下: 一、单项选择题(每题2分,共20 分) 二、多选选择题(每题3分,共15 分) 三、名词解释题(每题 5 分,共20 分) 四、简答题(每题9分,共27 分) 答题技巧:能够完整例举出所有答题点,不需要全部展开阐述,适当展开一些,但一定要条理清晰,字迹工整,结构明朗。 五、分析题(每题9 分,共18分) 答题技巧:对所考查的问题进行比较详尽的分析,把握大的方向的同时要尽可能的展开叙述,对问题进行分析,回答问题要全面,同时注意书写流畅、条理清晰。 二、复习重点内容 第1xx 电子商务安全概述 1. 网络攻击的分类(重点掌握):WEB欺骗、网络协议攻击、IP欺骗、远程攻击
2. 电子商务的安全性需求(了解):有效性、不可抵赖性、严密性 3?因特网的主要安全协议(了解):SSL协议、S-HTTP协议、SET协议 4. 数字签名技术、防火墙技术(了解) 第2xx 信息系统安全防范技术、 1 .电子商务的安全性需求(重点掌握):有效性、不可抵赖性、严密性 2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒(了解) 3. 计算机病毒的传播途径(重点掌握):(1)因特网传播:① 通过电子邮件传播,② 通过浏览网页和下载软件传播,③ 通过及时通讯软件传播;(2)局域网传播;(3)通过不可转移的计算机硬件设备传播;(4)通过移动存储设备传播;(5)无线设备传播。 4. 特洛伊木马种类(重点掌握):破坏型特洛伊木马、破坏型特洛伊木马、 远程访问型特洛伊木马、常规的计算机病毒的防范措施(重点掌握):(1)建立良好的安全习惯;(2)关闭或删除系统中不键盘记录型特洛伊木马 5. 需要的服务;(3)经常升级操作系统的安全补丁;(4)使用复杂的密码;(5)迅速隔离受感染的计算机;(6) 安徽专业的防病毒软件进行全面监控;(7)及时安装防火墙 6.防火墙的类型(重点掌握):包过滤防火强、代理服务器防火墙 7?防火墙的安全业务(重点掌握):用户认证、域名服务、邮件处理、IP安全保护第 3 章虚拟专用网络技术 1. VPN网络安全技术包括(了解):隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。 2?隧道协议的构成(了解):PPTP协议、L2TP IPSec/SSTP 第4xx 数据备份与灾难恢复技术
一、简答: 1.简述电子商务的安全需求。 答:电子商务的安全需求主要包括:机密性,指信息在传送过程中不被他人窃取;完整性, 指保护信息不被未授权的人员修改;认证性, 指网络两端传送信息人的身份能够被确认;不可抵赖性,指信息的接受方和发送方不能否认自己的行为;不可拒绝性,指保证信息在正常访问方式下不被拒绝;访问的控制性,指能够限制和控制对主机的访问。 2.简述VPN中使用的关键技术。 答: VPN中使用的关键技术:隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端,QOS技术用来解决网络延迟与阻塞问题。 3.简述入侵检测的主要方法QOS。 答:入侵检测的主要方法有:静态配置分析法;异常性检测方法;基于行为的检测方法;智能检测法。 4.简述PKI的基本组成。 答: PKI的基本组成有:认证机构CA;数字证书库;密钥备份与恢复系统;证书作废系统;应用程序接口部分。 5.简述木马攻击必须具备的条件。 答:木马攻击必须具备三个基本条件,要有一个注册程序,要有一个注册程序可执行程序,可执行程序必须装入内存并运行;要有一个端口。 6.简述CA的基本组成。 答:CA的基本组成:注册服务器;CA服务器;证书受理与审核机构RA;这三个部分互相协调,缺一不可。 7.简述对称密钥加密和非对称密钥加密的区别。 答: 对称密钥算法是指使用同一个密钥来加密和解密数据。密钥的长度由于算法的不同而不同,一般位于40~128位之间。 公钥密码算法:是指加密密钥和解密密钥为两个不同密钥的密码算法。 公钥密码算法不同于单钥密码算法,它使用了一对密钥:一个用于加密信息,另一个则用于解密信息,通信双方无需事先交换密钥就可进行保密。 8.简述安全防范的基本策略。 答:安全防范的基本内容有:物理安全防范机制,访问权限安全机制,信息加密安全机制,黑客防范安全机制;风险管理与灾难恢复机制。 9.简述VPN中使用的关键技术。 答:VPN中使用的关键技术:隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端,QOS技术用来解决网络延迟与阻塞问题。 10.简述数字签名的使用原理。 答:发送方使用HASH函数处理原文,得到数字摘要;使用接受方的公钥对明文和数字摘要加密并通过网络发送;接受方使用私钥解密;接受方使用HASH函数重新得到数字摘要;对比数字摘要。 11.简述密钥的生命周期。
电子商务的支付安全问题S40dxx 电子商务是国际贸易发展的必然趋势,随着国际电子商务环境的规范和完善,中国电子商务企业必然迅猛发展,但电子支付的安全性直接影响电子商务的发展,解决不好,将成为制约电子商务发展最严重的瓶颈。 电子支付系统的各种安全需求依赖于系统的特征和定义在其操作上的信用假设。一般来说,电子支付系统必须具备授权、完整性、保密性、可用性和可靠性,电子支付系统的各种安全需求依赖于系统的特征和定义在其操作上的信用假设。 1.完整性与授权 一个具有完整性的支付系统不允许一个用户在没有另一个用户明确授权的情况下取走资金。为了防止行贿受贿,没有允许,系统也不能接收款项。授权构成支付系统中最重要的环节。支付授权有三种方式:外部授权、口令和签名。 (1)外部授权。在这种方式中,检验方(银行)通知交易的授权方(付款人),授权方通过一个安全的外部通道(如邮件或电话)同意或否定支付,这是目前用信用卡进行邮汇和电汇的通用方法。任何知道用户信用卡数据的人都可以发起交易,所以合法用户必须检查有关记录并主动地控告非授权交易。如果用户没有在一定时间内(通常为三个月)提出控告,所做交易被默认为有效。 (2)口令授权。对于一个用口令保护的交易,每个从授权方发来的信息需要一个密码检查值,这个值由只有授权方和检验方知道的密码计算得出,而这个密码可以是一个个人标识号(PIN)、一个口令或一个任意形式的共享密码。然而,短的共享PIN ,如一个六位数字很容易遭受攻击,它们本身不能提供高级的安全性,应该只用于控制访问对象智能卡这样的物理标记,因为智能卡采用安全密码机制(如数字签名)执行实际授权。 (3)数字签名。在这种类型的交易中,检验方要求授权方的数字签名。数字签名提供一个原始的非拒绝支付证据,因为只有签名密码的拥有者才能签署有关信息,而知道相应公开密钥的任何人都可以验证签名的真实性。 我国现有的支付方式主要有以下几种: (1)网银支付: 开通了网上银行的卡片进行支付,该方式适用范围广,操作简便; (2)电子现金:是以数据形式存在的现金货币,这种支付方式可以存、取、转让,适用于小额支付,并且可以通过对数字签名的验证来确定此电子货币是否有效,进而实现匿名消费; (3)第三方支付:是具备一定实力和信誉保障的独立机构,采用与各大银行 签约的方式, 提供与银行支付结算系统接口的交易支持平台的网络支付模式,如支付宝平台。 2、我国网上支付的主要流程: 我国目前网上支付方式主要是通过第三方平台还有网上银行进行支付。第三方平台以支付宝为例,不管是通过哪种方式进行支付最终都是通过支付宝平台实现买卖双方的交易,支付宝平台结算支付模式的资金划拨是在平台内部进行,此时划拨的是虚拟的资金。真正的实体资金还需要通过收货后确认收货客户输入自己的支付宝支付密码支付之后的实际支付层来完成。 对于网上银行进行支付,点击立即购买后会出现选择网上银行支付的界面,买家只需要开通银行卡的网上银行即可,点击登录到网上银行付款,然后输入自己的银行卡号和密码就可以完成支付了。 3、网上支付存在的安全问题 ( 1)身份真实性
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
电子商务安全问题的现状与未来 摘要:在全球信息化影响下,电子商务需要不断完善。针对电子商务现状制定实施恰当的产业政策十分必要。本文从电子商务技术发展环境、存在的问题、发展趋势探讨分析了我国电子商务发展的现状。 关键词:电子商务;发展趋势;教育产业;应用前景 电子商务源于英文ELECTRONIC COMMERCE,简写为EC。内容包含两方面,一是电子方式,二是商贸活动。一般指利用电子信息网络等电子化手段进行的商务活动以及商务活 动的电子化与网络化。电子商务还包括政府机构、企事业单位各种内部业务的电子化。电子商务是一种现代化商业和行政方法,通过改善产品和服务质量、提高服务传递速度,通过计算机网络加快信息交流以支持决策。 一、我国电子商务面临的困境与问题 1. 消费观念问题。我国金融体系的呆板和服务意识的淡漠,直接造成中国的消费市场缺乏信用消费概念支持,信用体系一直缺乏完善的保障机制与信用机制,货币电子化进程缓慢。银行与银行之间、银行与消费者之间画地为牢,迫使那些想尝试信用消费的人必须为此付出额外的精神和财力 代价。于是当电子商务这种新型商业模式出现时,众多消费
者只能是裹足不前,电子商务模式依然远不足与现实生活中的传统商业模式相匹敌。 2. 搜索技术与标准问题。搜索引擎看起来很简单:用户输入一个查询关键词,搜索引擎就按照关键词语到数据库去查找,并返回最合适的WEB页链接。但根据NEC研究所与INKTOMI公司最近研究结果表明,目前在互联网上至少10 亿网页需要建立索引。而现在搜索引擎仅仅能对5亿网页建立索引,仍然有一半不能索引。这主要不是由于技术原因,而是由于在线商家希望保护商品价格的隐私权。因此当用户在网上购物时,不得不一个网站一个网站搜索下去,直到找到满意价格的物品为止。各国电子商务的交易方式和手段存在差异,面对无国界、全球贸易,需要在电子商务交易过程中建立相关的统一标准,以解决电子商务活动的相互操作问题。 3. 电子商务的安全与管理问题。电子商务的安全问题仍是影响电子商务发展的主要因素。在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要 的因数之一。调查公司曾对电子商务的应用前景进行过在线调查,当问到为什么不愿意在线购物时,绝大多数人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,有一部分人或企业因担心安全问题而不愿意使用电子商务,安全成为电子商务发展中最大的障碍。管理的概念应该涵盖商务
目的要求:通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案 重点难点:解决安全威胁的技术手段和方案 组织教学:点名考勤;复习;引入新课;讲解理论知识;实例演示;指导学生练习;总结 总结复习导入新课:。 提问:1、什么是电子商务? 教学方式、手段、媒介:讲授、多媒体;媒介:教材 教学内容: 第一节电子商务 一、公钥基础设施 公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成,管理密钥和证书的系统或平台。 用于解决电子商务中安全问题的PKI 技术。PKI(Public Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分 CA(Certification Authority),即认证中心,它是数字证书的签发机构。数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。 1、认证中心 认证中心(Certificate Authority, 简称CA),也称之为电子认证中心,是电子商务的一个核心环节,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份,与具体交易行为无关权威第三方权威机构。 为安全电子交易中之重要单位,为一公正、公开的代理组织,接受持卡人和特约商店的申请,会同发卡及收单银行核对其申请资料是否一致,并负责电子证书之发放、管理及取消等事宜。是在线交易的监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。CA类似于现实生活中公证人的角色,具有权威性,是一个普遍可信的第三方。 认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书,就可能会出现这样一个机构。Netscape和Xcert提供了用于管理数字证书的证明服务器。 当很多用户共用一个证明权威时,证明权威应该是个受到大家信赖的可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体,比如GTE、Nortel或Verisign,它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。
浅谈电子商务的安全 本文主要从概念上阐述了电子商务安全性的相关问题,分析了电子商务对安全环境的要求,同时给出了当前常用的相对应的技术方法。为电子商务的建立给出了基础概念上的理解。 标签:电子商务安全需求安全技术安全协议 电子商务通常被分为狭义的电子商务和广义的电子商务。狭义的电子商务为Electronic Commerce(EC),是指通过使用互联网等电子工具在全球范围内进行的商务贸易活动。是以计算机网络为基础所进行的各种商务活动,包括商品和服务的提供者、广告商、消费者、中介商等有关各方行为的总和。广义的电子商务为Electronic Business(EB),是指通过电子手段进行的商业事务活动。通过使用互联网等电子工具,使公司内部、供应商、客户和合作伙伴之间,利用电子业务共享信息,实现企业间业务流程的电子化,配合企业内部的电子化生产管理系统,提高企业的生产、库存、流通和资金等各个环节的效率。EC的概念集中于电子交易,EB的涵盖范围则大了很多。而人们一般提到的电子商务是指狭义上的电子商务。无论广义还是狭义的电子商务概念,电子商务都离不开互联网这个平台。电子商务的存在和发展是以网络技术为前提。电子商务系统的构建、运行及维护都离不开技术的支持,而安全成为电子商务平台首先需要解决的问题。 电子商务几个主要的安全需求及其对应的常用技术: ①真实性、有效性。真实性、有效性是指能对信息的真实性、有效性进行鉴别。EC作为一种贸易形式,其信息的真实性、有效性将直接关系到个人、企业和国家的经济利益和声誉。保证信息的真实性、有效性成了EC的前提。因此,要对EC过程中的潜在威胁加以控制和防范,保障信息在确定的时刻、确定的地点是有效的。 ②可靠性、不可抵赖性及鉴别。如何确定对方正是交易所期望的一方,这一问题是保证EC顺利进行的关键。在电子化的EC方式下,通过传统方法鉴别是不可能的。因此,要在交易信息的传输过程中为参与交易的双方或多方提供可靠的标识。 针对以上两点,目前常见的安全技术是数字签名和数字证书。 数字签名是加密技术的一类应用,可以防止他人对传输文件进行破坏,以及确定发信人的身份。通过数字签名能够实现对原始报文的鉴别,保证数据的可靠性和不可抵赖性。数字签名与书面文件签名具有相同功效,它代表了文件的特征。如果文件发生改变,数字签名也将发生变化,不同的文件将得到不同的数字签名。接收方通过比对数字签名来确定发送方的身份是否正确。 数字证书。在电子商务活动中,调用每项服务时需要用户证实身份,同时也
安全体系结构 (一)安全体系结构图 如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。 图3 电子商务网站安全体系结构 (二)安全体系分层 整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。下面就来看一下每一层分别有哪些作用。 (1)网络安全层 网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反
病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。 (2)加密技术层 加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。加密技术一般分为对称加密技术与非对称加密技术。 (3)安全认证层 安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。安全认证层可以验证交易双方数据的完整性、真实性及有效性。(4)安全协议层 安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。一般电子商务中使用的安全协议有SSL协议和SET协议。 访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。 数字认证技术 数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。 数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。
密码安全——通信安全的最核心部分。 计算机安全——一种确定的状态,使计算机化数据和程序文件不致被非授权人员、计算机或其程序访问、获取或修改。 网络安全——包括所有保护网络的措施。 信息安全—保护信息财富,使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 电子商务安全要素 1 数据有效性 2 认证性 3 数据机密性 4 数据完整性 5 防御性 6 访问性 7 不可修改性 8 不可否认性 9 审查能力 所谓加密,就是用基于数学方法的程序和保密的密钥对信息进行编码,把计算机数据变成一堆杂乱无章难以理解的字符串,也就是把明文变成密文。 单钥密码体制 对称加密过程: 1)发送方用自己的私有密钥对要发送的信息进行加密 2)发送方将加密后的信息通过网络传送给接收方 3)接收方用发送方进行加密的那把私有密钥对接收到的加密信息 进行解密,得到信息明文 双钥密码体制 加密模式过程: 1)发送方用接收方公开密钥对要发送的信息进行加密 2)发送方将加密后的信息通过网络传送给接收方 3)接收方用自己的私有密钥对接收到的加密信息进行解密,得 到信息明文. 验证模式过程1)发送方用自己的私有密钥对要发送的信息进行加密 2)发送方将加密后的信息通过网络传送给接收方 3)接收方用发送方公开密钥对接收到的加密信息进行解密,得到 信息明文 PGP:PGP(Pretty Good Privacy),是一个基于RSA公匙加密体系的邮件加密软件。 特点: 1)源代码是免费的,可以消减系统预算 2)加密速度快 3)可移植性出色 PGP的加密算法 构成: 一个私钥加密算法(IDEA) 一个公钥加密算法(RSA) 一个单向散列算法(MD5) 一个随机数产生器 过程: PGP是以一个随机生成密钥(每次加密不同)由IDEA算法对明文加密,
SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。
图5-1 SSL协议的分层结构 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示:
图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。
复习提问:1、电子商务是否等同与电子商务? 2、请你列举出现实生活中的电子支付实例? 导入新课:用户认为目前网上交易存在的最大问题是什么? 1、安全性得不到保障:23.4%; 2、付款不方便:10.8% 3、产品质量、售后服务及厂商信用得不到保障:39.3% 4、送货不及时:8.6% 5、价格不够诱人:10.8% 6、网上提供的信息不可靠:6.4% 7、其它:0.7% 讲授新课: 第三章网络贸易(三) 一、电子商务安全问题的提出 电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题。 当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付的保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。 如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。 电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点所在。 安全性的术语 (1)密码安全——通信安全的最核心部分。 (2)计算机安全——一种确定的状态,使计算机化数据和程序文件不致被非授权人员、计算机或其程序访问、获取或修改。 (3)网络安全——包括所有保护网络的措施。 (4)信息安全——保护信息财富,使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 密码安全、计算机安全、网络安全和信息安全之间的关系:
触发安全问题的原因 (1)黑客的攻击——目前,世界上有20多万个黑客网站,攻击方法成千上万。 (2)管理的欠缺——网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。 (3)网络的缺陷——因特网的共享性和开放性使网上信息安全存在先天不足。 (4)软件的漏洞或“后门”——操作系统和应用软件往往存在漏洞或“后门”。 (5)人为的触发——基于信息战和对他国监控的考虑,个别国家或组织有意识触发网络信息安全问题。 二、电子商务安全的基本需求 电子商务的安全需求包括两方面:电子交易的安全需求和计算机网络系统的安全 1.电子交易的安全需求 (1)身份的可认证性----确认通信双方的合法身份 在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。 (2)信息的保密性----保持个人的、专用的和高度敏感数据的机密 要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。 (3)信息的完整性----保证所有存储和管理的信息不被篡改 交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。 (4)不可抵赖性----防止通信或交易双方对已进行业务的否认 在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。 (5)可访问性:保证系统、数据和服务能由合法的人员访问; (6)防御性:能够阻挡不希望的信息或黑客; (7)合法性:保证各方的业务符合可适用的法律和法规; 2. 计算机网络系统的安全 一般计算机网络系统普遍面临的安全问题: (1)物理实体的安全 设备的功能失常;电源故障;由于电磁泄漏引起的信息失密;搭线窃听。 (2)自然灾害的威胁 各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。 (3)黑客的恶意攻击 所谓黑客,现在一般泛指计算机信息系统的非法入侵者。 黑客的攻击手段和方法多种多样,一般可以粗略的分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。 (4)软件的漏洞和“后门” (5)网络协议的安全漏洞 (6)计算机病毒的攻击 计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
1.简述信息安全的属性 信息安全的属性:保密性、完整性、可用性、可控性、不可否认性。 含义:保密性:保证信息不泄露给未经授权的人。 完整性:防止信息被未经授权的人(实体)篡改,保证真实的信息从真实的信源无失真地到达真实的信宿。 可用性:保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其他人为因素造成的系统拒绝服务或为敌手所用。 可控性:对信息及信息系统实施安全监控督管理。 不可否认性:保证信息行为人不能否认自己的行为。 2.简述密钥生命周期的各阶段 密钥生命周期: 分为初始化—颁发—取消三个阶段 3.简述公钥密码体制得概念 公开密钥密码体制的概念是1976年由美国密码学专家狄匪(Diffie)和赫尔曼(Hellman)提出的,有两个重要的原则:第一,要求在加密算法和公钥都公开的前提下,其加密的密文必须是安全的;第二,要求所有加密的人和把握私人秘密密钥的解密人,他们的计算或处理都应比较简单,但对其他不把握秘密密钥的人,破译应是极困难的。随着计算机网络的发展,信息保密性要求的日益提高,公钥密码算法体现出了对称密钥加密算法不可替代的优越性。 近年来,公钥密码加密体制和PKI、数字签名、电子商务等技术相结合,保证网上数据传输的机密性、完整性、有效性、不可否认性,在网络安全及信息安全方面发挥了巨大的作用。 本文具体介绍了公钥密码体制常用的算法及其所支持的服务。 4.防火墙不能解决的问题有哪些? 答:(1)如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。(2)防火墙无法防范通过防火墙以外的其他途径的攻击。(3)防火墙不能防止来自内部变节者和不经心的用户带来的威胁。(4)防火墙也不能防止传送已感染病毒的软件或文件。(5)防火墙无法防范数据驱动型的攻击。 5.简述电子商务系统可能遭受攻击的类型? 系统穿透;违反授权原则;植入;通信监视;通信窜扰;中断;拒绝服务;否认;病毒 6.简述ISO的八大类安全机制 八大类安全机制包括加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。 1.加密机制:是确保数据安全性的基本方法,在OSI安全体系结构中应根据加密所在的层次及加密对象的不同,而采用不同的加密方法。 2.数字签名机制:是确保数据真实性的基本方法,利用数字签名技术可进行用户的身份认证和消息认证,它具有解决收、发双方纠纷的能力。 3访问控制机制:从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法,当以主题试图非法使用一个未经给出的报警并记录日志档案。 4.数据完整性机制:破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误,数据在传输和存储过程中被非法入侵者篡改,计算机病毒对程序和数据的传染等。纠
电子商务安全与支付 一、单项选择题 . 身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和_______。 (A) 可信性 (B) 访问控制 (C) 完整性 (D) 保密性答案:B; . 目前最安全的身份认证机制是_______。 (A) 一次口令机制 (B) 双因素法 (C) 基于智能卡的用户身份认证 (D) 身份认证的单因素法答案:A; . 下列是利用身份认证的双因素法的是_______。(A) 电话卡 (B) 交通卡 (C) 校园饭卡 (D) 银行卡答案:D; . 下列环节中无法实现信息加密的是_______。 (A) 链路加密 (B) 上传加密 (C) 节点加密 (D) 端到端加密答案:B; . 基于私有密钥体制的信息认证方法采用的算法是_______。(A) 素数检测 (B) 非对称算法 (C) RSA算法 (D) 对称加密算法答案:D; . RSA算法建立的理论基础是_______。 (A) DES (B) 替代相组合 (C) 大数分解和素数检测 (D) 哈希函数答案:C; . 防止他人对传输的文件进行破坏需要 _______。 (A) 数字签字及验证 (B) 对文件进行加密 (C) 身份认证 (D) 时间戳 答案:A; . 下面的机构如果都是认证中心,你认为可以作为资信认证的是_______。 (A)
国家工商局 (B) 著名企业 (C) 商务部 (D) 人民银行答案:D; . 属于黑客入侵的常用手段_______。 (A) 口令设置 (B) 邮件群发 (C) 窃取情报 (D) IP欺骗答案:D; . 我国电子商务立法目前所处的阶段是_______。(A) 已有《电子商务示范法》(B) 已有多部独立的电子商务法 (C) 成熟的电子商务法体系 (D) 还没有独立的电子商务法答案:D;二、多项选择题 . 网络交易的信息风险主要来自_______。 (A) 冒名偷窃 (B) 篡改数据 (C) 信息丢失 (D) 虚假信息答案:A、B、C; . 典型的电子商务采用的支付方式是_______。(A) 汇款 (B) 交货付款 (C) 网上支付 (D) 虚拟银行的电子资金划拨答案:C、D; . 简易的电子商务采用的支付方式是_______。(A) 汇款 (B) 交货付款 (C) 网上支付 (D) 虚拟银行的电子资金划拨答案:A、B; . 安全认证主要包括_______。 (A) 时间认证 (B) 支付手段认证 (C) 身份认证 (D) 信息认证 答案:C、D; . 在企业电子商务的安全认证中,信息认证主要用于_______。 (A) 信息的可信性 (B) 信息的完整性 (C) 通信双方的不可抵赖性 (D) 访问控制答案:A、B、C; . 数字证书按照安全协议的不同,可分为_______。 (A) 单位数字证书 (B) 个人数字证书 (C) SET数字证书 (D) SSL数字证书答