电商安全
名词解释:
DMZ(Demilitarized Zone),非军事区或停火区。为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施。
数字证书(Digital Certificate,Digital ID)又称为数字凭证,即用电子手段来证实一个用户的身份和对网络资源的访问权限。
数字签名(Digital Signature )是指利用数学方法和密码算法对电子文档进行防仿造或篡改处理的技术。
PKI(public key infrastructure)公钥基础设施是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。
漏洞Vulnerability 在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够再未授权的情况下访问或破坏系统。
单选、多选、填空、问答
反病毒软件:卡巴斯基、诺顿、360杀毒、金山毒霸、小红伞、瑞星、大蜘蛛、迈克菲、NOD32、比特梵德等等
防火墙firewall的种类
按形态分类:软件防火墙、硬件防火墙
按保护对象分类:网络防火墙、单机防火墙
防火墙的作用:
(1)限制用户进入内网,过滤掉不安全的服务和非法用户
(2)防止入侵者接近用户防御设施
(3)限定用户访问特殊站点
(4)为监视Internet的安全提供方便
数据加密分为公钥加密(典型算法是RSA) 和私钥加密(典型算法是DES、AES、IDEA)
公钥的原理用接收方的公钥加密,接收方用私钥解密。
密码学研究的目的:
密文Ciphertext:明文被加密后的信息
密文的形成:将明文、加密算法和密钥进行计算就生成了密文
对称加密也叫私钥加密,加密密钥和解密密钥完全相同,非对称加密也称为公钥加密,是用接受方的公钥进行加密,接收方用私钥进行解密
典型算法
认证
认证体系中最核心的机构是CA(certification authority)认证中心
一个简单PKI系统的组成:
①证书申请者(功能:填写申请表,进行证书的申请、证书的撤销、证书的更新)、
②注册机构(功能:处在认证机构和申请者之间的一个机构,主要是为了审核申请者的申请)、③认证中心、④证书库、⑤证书信任方
双重数字签名的原理:把公钥和私钥相结合的原理
数字证书
分类:
按数字证书的使用对象分为:个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、安全电子邮件证书、代码签名证书
按数字证书的技术角度分为:SSL证书、SET证书
数字证书的作用:确保网上传递信息的保密性、完整性、交易实体身份的真实性以及签名信息的不可否认性,从而保障网络应用的安全性。
服务器的安全配置
1.用户账户管理
(1)默认系统账户改名
(2)删除不必要的用户账户
(3)禁用或激活用户账户
2.系统安全设置
(1)停止默认的隐藏共享
(2)关闭共享的空连接
(3)关闭不必要的端口
(4)禁用一些服务
(5)审核和日志的启用
(6)防火墙和杀毒软件的安装
(7)IIS的安全设置
(8)FTP的安全设置
(9)其他设置(系统升级、打补丁等)
加密文件系统EFS(Encryping File System)可以对存储在NTFS(new technology file system)磁盘卷上的文件和文件夹进行加密操作。
SSL(secure sockets layer安全套接层协议)分为两层:握手协议和记录协议
SSL协议和SET(secure electronic transaction安全电子交易协议)协议的区别:(1)认证机制方面:SET的安全需求较高,因此所有参与SET交易的成员(持卡人、商家、付款转接站等)都必须先申请数字证书来识别身份。而在SSL中只有商店端的服务器需要认证,客户端认证则是有选择性的。
(2)对消费者而言,SET保证了商家的合法性,并且用户的信用卡号不会被窃取。SET替消费者保守了更多的秘密,使其在线购物更加轻松。
(3)安全性:一般公认SET的安全性较SSL高,主要原因是在整个交易过程中,包括持卡人到商店、商店到付款转接站再到银行网络,都受到严密的保护;而SSL的安全范围只限于持卡人到商店端的信息交流。
(4)采用比率:由于SET的设置成本较SSL高许多,SET的操作对用户来说不太方便,且进入国内市场的时间尚短,因此目前是SSL的普及率高,约占80%。但是由于网上交易的安全性需求不断提高,SET的市场占有率会有较大幅度的提高。
综合应用
包过滤防火墙的筛选规则和配置
规则:方向direction、协议类型type、源地址src、源端口port、目的地址dest、目的端口port、动作action
配置:in 、out
RSA算法使用
RSA算法描述:(mod是求余函数,≡是同余运算符)
RSA加/解密算法
分组大小为k,2^k, n<=2^k+1
公开密钥n(两素数p和q的乘积)
e(与r互素,r=(p-1)(q-1))
ed≡1(mod (p-1)(q-1))即ed=1 mod r
私人密钥 d(e^-1 mod r)
加密 c=m^e mod n
解密 m=c^d mod n
保密n,p和q 公开n和e
名词解测量复习提要 考试形式:半开卷;开卷范围:手写A4纸一张。 第一章:掌握以下内容(不是名词解释)测量学、水准面、水平面、大地水准面、平面直角坐标、高程、绝对高程、相对高程、高差、测量工作的程序、及遵循的原则、测量的任务、测量的基本工作。 第二章:高程测量的种类、水准原点、水准测量原理、水准仪的使用、、水准点的表示方法、水准路线的种类、水准测量方法{记录(2种)、计算、检核}、水准测量测站的检核方法、闭合、附合水准测量成果计算及精度要求、转点的作用。 第三章:水平角、竖直角测角原理、经纬仪的操作、测回法测水平角的观测、记录、计算方法及精度要求、竖直角仰、俯角代表的意义、竖直角的观测、记录、计算方法。 第四章:测量工作所指距离的内容、直线定线定义及操作、钢尺量距方法、精度要求及计算方法。 第五章:直线定向内容、直线的基本方向、方位角的内容及取值范围、正反方位角的关系、方位角与象限角关系。方位角的计算。 第六章:误差产生原因、分类,评定精度的方法、算术平均数与真值之间的关系。 第七章:控制、控制测量、控制网的内容,平面控制测量的形式,导线布设形式、导线测量的外业内容,闭合、附合导线的内业计算及各自的精度要求,坐标正算、坐标反算。跨河流水准测量内容、三角高程测量的适应范围。 第八章:地形图涵盖内容、比例尺、纸上与地面距离的互换计算、地物的表示方法(4种)、地貌的表示方法(等高线、等高距、等高线平距)、会看典型的地貌、理解等高线的特征。测图前要做哪几项准备工作、视距测量公式、碎步测量测站上要做的工作、地形测量的记录、计算以及测量的原理。地形图的运用(掌握第项) 第九章:拨角法放线其转向角的计算及正负角的意义,纵、横断面图涵盖的主要内容。 第十章:圆曲线及带缓和曲线的圆曲线要素计算、主点测设及里程计算,用偏角法测设2种曲线如何进行碎步测量(内、外业)。 第十一章:测设的基本工作(水平角、高程、点位、坡度)先内业如何计算,后外业如何观测。 桥墩、桥台中心点(直线)测设的内业 抓住教材、作业及回忆实习整个过程(内、外业)去复习。 析 1.水准面:将海洋处于静止平衡状态时的海水面或与其平行的水面,称为水准面。 2.大地体:由地球水准面所包围的地球形体,它代表了地球的自然形状和大小。 3.参考椭球面:与大地水准面非常接近的能用数学方程表示的旋转椭球体相应的规则曲面。4.绝对高程:地面点沿铅垂线至大地水准面的距离。 5.相对高程:地面点沿其铅垂线方向至任意假定的水准面的距离称为相对高程。 6.高差:地面两点间的绝对高程或相对高程之差。
1、风险是偶然事件发生引起的损失的不确定性。 特征:客观性、普遍性、不确定性、可测定性、可变性 基本要素:风险因素、风险事故、损失 三者关系:风险因索客观存在决定风险事故发生的可能性和损失的不确定性,风险因索的综合作用决定风险事故发生的频率及损失程度,风险事故是造成损失的直接原因,是损失的媒介,风险的危害强度通过损失來度量 分类:按风险性质:纯粹风险,投机风险;按牛产风险的环境:静态风险,动态风险;按风险対象:财产风险,人身风险,责任风险,倍用风险;按风险的形成原因:自然风险,社会风险,经济风险,政治风险 2、风险管理是经济单位透过对风险的认识、衡量和分析,以最小的成木取得最人安全保障的管理方法 基本程序:风险识别、风险估测、风险评估、风险对策、效果评价 风险频率风险程度方法选择 低低自留 咼低控制 高iWi避免或转移 低高转移 与保险的关系:研究对象相同、保险是重要的风险管理方法、风险管理提高保险经济效益 3、可保风险是指符合保险人承保条件的风险,是完全满足概率论和人数法则所要求的风险条件,损失能自动实现在投保者之间进行分散和补偿的风险 特征:纯粹性,同质大量性,可测性,费率适中性,无巨灾损失 4、保险是指投保人根据合同约定,向保险人支付保险费,保险人对于合同约定的町能发生的事故因其发生所造成的财产损失承担赔偿保险金责任,或者当被保险人死亡、伤残、疾病或者达到合同约定的年龄、期限等条件承担给付保险金责任的商业保险行为 特征:经济性、互助性、科学性、契约性、射幸性 比较特征:储蓄、赌博、自保、救济、担保 分类:按实施方式:H愿保险,强制保险;按保险标的:财产损失保险,责任保险,信用保证保险,人身保险;按风险转移方式:原保险,再保险,再再保险;按照保险金额与价值的关系:足额保险,不足额保险,超额保险;按承保的风险:单一?风险保险,综合风险保险,一切险;按投保人不同:个人保险,团体保险基木功能:分担风险、经济保障派牛功能:资金融通、监督风险 作用:经济社会的稳定器:直接维护社会成员利益、能够提高社会管理效率、保险品的设计有利于社会稳定;金融资源配置的小介:降低交易成本、改变金融资产的期限结构;经济发展的重要推动力:为其他部门发展提供资金、促使科技转化为现实的生产力;市场监督的重要方式;宏观调控的重要政策工具 5、保险深度是保费收入与国内生产总值的比率,反映保险对国内生产总值的贡献程度,体现保险在国民经济屮额地位尸保费收入/国内生产总值 保险密度是指统让区域内常住人口平均保险费支出数额,即人均保费支出,反映收入用于保障的程度尸保费收入/常住人口数保险金额是保险合同中规定保险人承担赔偿或给付保险金额责任的最高额度 保险价值是指投保或出险时保险标的的实际价值 6、保险合同是保险关系双方Z间订立的一种具有法律约束力的协议,即根据约定,一方支付保险费给另一方,另一方在保险标的遭受约定的事故时,承担经济赔偿责任,或者在约定时间出现时,履行给付保险金的义务 应具备的条件:保险合同当事人必须合法(保险人必须具有合法资格、投保人必须具有合法资格,是完全民事行为能力人);保险合同主体的意思农示必须真实,双方当事人意思一致;保险合同的内容必须合法;保险合同形式必须合法,必须采収法律规定的书面形式 特征:双务性、射幸性、条件性、附和性、属人性 形式:投保单、暂保单、保险单、保险凭证 构成:主体:当事人(保险人,投保人),关系人(被保险人,受益人),辅助人(代理人,经纪人,公估人);客体:可保利益;内容:基本条款(当事人的姓名名称住所,保险标的,保险金额/呆险费,保险期限),附加条款 保险合同履行:1 .订立:要约、承诺;2?生效:保险合同成立并不等于保险合同生效;3.履行;4.变更:主体变更、客体变更、内容变更5.终止:因期限届满而终止、因履行而终止、因解除而终止、因违约失效而终止(复效期2年,如因保费为30-60天)、因标的灭失而终止6.解释原则与:文义解释原则、意图解释原则、有利于被保险人的解释原则、批注优于正文的解释原则、补充解释原则7.争议处理:协商,调解,仲裁(一裁终局制度),诉讼 7、保险的基本原则: 可保利益是指投保人对保险标的具冇的法律上承认的利益构成条件:必须是合法利益,经济利益,确定利益 可保利益原则是指在签订和履行保险合同的过程中,投保人或被保险人对保险标的必须具启可保利益,如果投保人对表现标的不具有可保
电子商务安全期末复习题(1) 一、单项选择题 1.TCP/IP协议的安全隐患通常不包括( ) A.拒绝服务 B.顺序号预测攻击 C.TCP协议劫持入侵 D.设备的复杂性 2.防火墙技术中,内网这通常指的是( ) A.受信网络 B.非受信网络 C.防火墙内的网络 D.互联网 3.数字签名技术使用几把钥匙进行加解密?( ) A.2把 B.1把 .3把 D.4把 4.信息安全技术的核心是( ) A.PKI B.SET C.SSL D.ECC 5.Internet接入控制不能对付以下哪类入侵者? ( ) A.伪装者 B.违法者 C.内部用户 D.地下用户 6.CA不能提供以下哪种证书? ( ) A.个人数字证书 B.SSL服务器证书 C.安全电子邮件证书 D.SET服务器证书 7.通常为保证商务对象的认证性采用的手段是( ) A.信息加密和解密 B.信息隐匿 C.数字签名和身份认证技术 D.数字水印 8.以下哪一项不在证书数据的组成中? ( ) A.版本信息 B.有效使用期限 C.签名算法 D.版权信息 9.计算机病毒的特征之一是( ) A.非授权不可执行性 B.非授权可执行性 C.授权不可执行性 D.授权可执行性 10. 在对称加密体制中,密钥被分解为一对,一个是公开密钥,一个是私用密钥。 ( ) A、对 B、错 11. 要使网上交易成功,参与交易的人首先要能确认对方的身份,确定对方的真实身份与对方所声称的是否一致。 ( ) A.对 B.错 12.对身份证明系统的要求之一是( ) A.具有可传递性 B.具有可重用性 C.示证者能够识别验证者 D.验证者正确识别示证者的概率极大化 13.阻止非法用户进入系统使用( ) A.病毒防御技术 B.数据加密技术 C.接入控制技术 D.数字签名技术
软件测试知识点总结 第一次课10.7 软件测试概述 一软件测试定义:使用人工或者自动的手段来运行或测定它是否满 足规定的需求,或弄预期结果与实际结果之间的差别。 二软件测试的分类 1.按照开发阶段划分 a)单元测试:模块测试,检查每个程序单元嫩否正确实现详细设计说明中的 模块功能等。 b)集成测试:组装测试,将所有的程序模块进行有序、递增的测试,检验 程序单元或部件的接口关系 c)系统测试:检查完整的程序系统能否和系统(包括硬件、外设和网络、系统 软件、支持平台等)正确配置、连接,并满足用户需求。 d)确认测试:证实软件是否满足特定于其用途的需求,是否满足软件需求说 明书的规定。 e)验收测试:按项目任务或合同,供需双方签订的验收依据文档进行的对整 个系统的测试与评审,决定是否接受或拒收系统。 2.按照测试技术划分白盒测试:通过对程序内部结构的分析、检测来寻找问题。检查是否所有的结构及逻辑都是正确的,检查软件内部动作是否按照设计说明的规定正常进行。-- 结构测试 黑盒测试:通过软件的外部表现来发现错误,是在程序界面处进行测试,只是检查是否按照需求规格说明书的规定正常实现。
灰盒测试:介于白盒测试与黑盒测试之间的测试。 3 按照测试实施组织划分:开发方测用户测试第三方测试 4 是否使备测软件运行:静态测试动态测试。 课后作业:1. 软件测试与调试的区别? (1)测试是为了发现软件中存在的错误;调试是为证明软件开发的正确性。(2)测试以已知条件开始,使用预先定义的程序,且有预知的结果,不可预见的仅是程序是否通过测试;调试一般是以不可知的内部条件开始,除统计性调试外,结果是不可预见的。 (3)测试是有计划的,需要进行测试设计;调试是不受时间约束的。 (4)测试经历发现错误、改正错误、重新测试的过程;调试是一个推理过程。(5)测试的执行是有规程的;调试的执行往往要求开发人员进行必要推理以至知觉的"飞跃" 。 (6)测试经常是由独立的测试组在不了解软件设计的条件下完成的;调试必须由了解详细设计的开发人员完成。 (7)大多数测试的执行和设计可以由工具支持;调式时,开发人员能利用的工具主要是调试器。 2.对软件测试的理解? 软件测试就是说要去根据客户的要求完善它. 即要把这个软件还没有符合的或者是和客户要求不一样的,或者是客户要求还没有完全达到要求的部分找出来。
第一章风险与风险管理 一、风险的含义、基本构成要素、分类 风险的概念:损失发生的不确定性;或者是未来结果的不确定性 风险的构成要素:风险因素、风险事故、损失 风险因素包括实质风险因素、道德风险因素、心里风险因素3中,能够区分3种风险因素 风险的分类: 1、按照风险的性质分类:纯粹风险与投机风险; 2、按风险对象分类:财产风险、责任风险、信用风险和人身风险 3、按风险产生的原因:自然风险、社会风险、政治风险、经济风险、技术风险 注:保险公司承保的是纯粹风险 二、风险管理 风险管理的概念、风险管理的基本原则、基本职能、程序 三、风险与保险的关系 保险是风险的管理方式 思考:为什么在保险学中要用大量篇幅讲风险的容? 风险是保险存在的前提 风险变化是保险的依据 风险变化影响保险的利益 保险是管理风险的工具 第二章保险的概述 一、保险的含义 保险是指投保人根据合同约定,向保险人支付保险费,保险人对于合同约定的可能发生的事故因其发生所造成的财产损失承担赔偿保险金责任,或者当被保险人死亡、伤残、疾病或者达到合同约定的年龄、期限时承担给付保险金责任的商业保险行为。 二、保险的要素 可保风险、大量同质风险的集合与分散、保险费率的制定、保险基金的建立、保险合同的订立 三、保险的职能与作用 基本职能、派生职能 宏观和微观作用 四、保险与其他类似经济行为及制度的比较 保险与储蓄、保险与赌博、保险与救济 五、保险的产生与发展 国外的和中国的,保险深度和密度 保险财政化的过程(保险史),中国将来保险趋势(数据说明,WTO后保险面临的挑战) 第三章保险的基本原则 第一节最大诚信原则 最大诚信原则的含义、基本容、违反这一原则的后果
四、名词解释题 1.计算上安全: 如果一个密码体制对于拥有有限资源的破译者来说是安全的,则称这样的密码体制是计算上安全的,计算上安全的密码表明破译的难度很大。 2.SSL协议: 是基于TCP/IP的安全套接层(Secure Sockets Layer)协议,由Netscape 开发,是服务器与客户机之间安全通信的加密机制,用一个密钥加密在SSL连接上传输的数据。 3.身份证明系统: 身份证明系统由三方组成,一方是出示证件的人,称做示证者,由称申请者,提出某种要求;另一方为验证者,检验示证者提出的证件的正确性和合法性,决定是否满足其要求;第三方示可信赖者,用以调解纠纷。 4.PKI: PKI即“公钥基础设施”,是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范,它能够为所有网络应用提供加密和数字签名等,密码服务及所必要的密钥和证书管理体系。 5.单钥密码体制: 单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。使用单钥密码体制时,通信双方A、B必须相互交换密钥,当A发送信息给B时,A 用自己的加密密钥进行加密,而B在接收到数据后,用A的密钥进行解密。单钥密码体制又称做秘密密钥体制或对称密钥体制。 五、简答题 1.在交易双方的通信过程中如何实现源的不可否认性? (1)源的数字签名; (2)可信赖第三方的数字签名; (3)可信赖第三方对消息的杂凑值进行签名; (4)可信赖第三方的持证; (5)线内可信赖第三方; (6)上述方法的适当组合。 2.电子商务安全的中心内容是什么? (1)商务数据的机密性; (2)商务数据的完整性; (3)商务对象的认证性; (4)商务服务的不可否认性; (5)访问控制性; 3.简述SSL的体系结构。 SSL协议共由四个协议组成,它们是SSL记录协议,SSL更改密码规格协议,SSL警报协议,SSL握手协议。 (1)SSL记录协议,定义了信息交换中所有数据项的格式。其中,MAC是一个定长数据,用于信息的完整性;信息内容是网络的上一层——应用层传来的数据;附加数据是加密后所产生的附加数据。
课程性质和教学要求 课程的性质:《教育测量与评价》是教育测量学与教育评价学内容的整合并侧重于教育测量的一门综合性教育课程,它着力探讨对教育教学效果进行测量、评价的原理和方法,是一门带有综合性、技术性、实践性、应用性等特征的应用性学科,是实现教育科学研究与教育管理科学化所必须借助的一门科学,也是教育学专业和小学教育专业所开设的一门必修专业基础课程。 教学目标和要求:理解《教育测量与评价》的基本概念、原理和方法,能正确使用各类标准化的教育测验、会作测验质量分析、能正确解释分数的含义,并学会运用这些知识,对学校教育、教学和研究实践中的实际问题,做出比较正确与合理的判断和评价,以促进教育管理现代化、教育研究科学化。 第一章教育测量与评价的学科发展 教育测量与评价的基本问题 教育测量与评价的发展历史 教育测量与评价的学科地位和作用 1.测量的定义 史蒂文斯曾对测量作出以下定义:“就其广义来说,测量是按照法则给事物指派数字。” 我国有些学者认为:“测量是对客观事物进行某种数量化的测定”,“测量是按照一定的法则,用数字方式对事物的属性进行描述的过程”。
本书的观点:从广义上讲,测量就是根据某些法则与程序,用数字对事物在量上的规定性予以确定和描述的过程。 从以上对测量所下的各种定义可以看出,这种对事物进行区分的过程,必须是按照一定法则的,区分的结果必须能够用数字的方式进行描述的。 2.测量的要素 (1)测量的量具 测量的量具是指依据某些科学原理和法则,发展出合适的量具或制定出科学的测量方案。(2)测量的单位 不同的测量所采用的单位是不同的。 理想的测量单位必须符合两个条件:①要有确定的意义;②要有相等的价值。教育测量的单位不够完善,既无统一的单位,也不符合等距的要求。 (3)测量的参照点 量的参照点系测量的起点。要确定事物的量,必须有一个测量的起点,这个起点就叫做测量的参照点。 参照点有两种类型:①绝对参照点(绝对零点);②相对参照点(相对零点)。理想的参照点是绝对参照点,但教育测量中很难找到绝对零点,多采用人为指定的相对零点。 3.教育测量的定义与特点 教育测量的定义 教育测量,就是针对学校教育影响下学生各方面的发展,侧重从量的
保险原理复习课 名词解释 保险密度(深度)P54 保险深度是指一国或地区一定时期内保费收入总额与GDP之比。 保险密度是指一定时期内的人均保费。 损失P6 损失是指风险事故造成的经济价值的意外减少或灭失。主要包括以下几种:①直接的物质损失;②经济收入的损失;③赔偿责任的损失;④额外费用的损失。 利差益(利差损) 指资产运用的实际利益率大于责任准备金计算所采用的预定利率时产生的利益。 死差益(死差损) 指保险公司实际的风险发生率低于预计的风险发生率,即实际死亡人数比预定死亡人数少时所产生的盈余。 费差益(费差损) 指实际所用的营业费用比依预定营业费用率所计算之营业费用少时所产生的利益。如果实际使用附加费低于预期,就产生费差益,反之则相反。 赔款准备金P293 赔款准备金是财产保险公司的一种法定准备金,是保险公司为会计年度决算以前发生赔案应付而未付赔款,在当年收入的保费中提存的资金。 未到期准备金P295 未到期责任准备金也是财产保险法定准备金的一种,是保险人在年终会计决算时,把属于未到期责任部分的保费提留出来,用作将来赔偿准备的资金。 危险单位P314 风险单位是保险标的发生一次风险事故可能波及的最大损失范围。 赔偿限额P197 通常由被保险人与保险人根据实际情况协商后在保险单中载明,一般分为每一次产品事故的最高赔偿金额和保险有效期内的赔偿累计最高限额两种。 自动弃权禁止反言P107 弃权是指保险合同的一方当事人放弃其在保险合同中可以主张的权利,通常是指保险人放弃合同解除权与抗辩权。 禁止反言是指合同一方既已放弃其在合同中的某项权利,则日后不得再向另一方主张这种权利。在保险合同中,禁止反言是指保险人知道其有解除权和抗辩权,但是保险人没有行使其权利,反而向投保人或受益人明示或默示保险合同仍然有效,以致投保人或受益人不知合同可被解除或保险人有抗辩权,因而履行了合同,保险人便不得再主张解除合同或拒绝承担赔偿责任。 近因原则P120 近因是指造成保险标的损失最有效、起决定作用的因素,但不是在时间或空间上关于损失结果最为接近的原因。
一、基础知识1、什么是软件测试,软件测试的目的是啥?2、什么是测试计划?都包括啥?什么是测试方案,什么是测试策略?测试方案包含哪些内容?测试用例设计方法有哪些?测试用例内容有哪些?3、测试用例为什么需要分级,如何分级别?测试用例需要哪些人来评审?评审的目的是什么?好的测试用例关键点是什么?不能发现BUG的测试用例不是好的测试用例吗?4、测试分为哪几个阶段?5、软件测试类型都有哪些?你进行过哪些测试,擅长什么?6、软件缺陷等级划分7、缺陷生命周期8、测试生命周期9、为什么要进行交叉测试?10、α、β测试是什么,两者的区别是什么?11、什么是驱动模块、桩模块12、什么是白盒测试,有几种方法13、测试结束标准14、测试报告包含哪些内容?15、项目中的需求,测试可以和客户沟通吗?不确定的需求怎么解决?16、你认为测试人员需要具备哪些素质?开发犯低级错误怎么办?开发说不是bug怎么办?你为什么能够做测试这一行?你的职业规划?17、如何测试纸杯二、接口测试1、什么是API?什么是API测试?2、常见的API 测试点有哪些?API测试中使用的一些常用协议?用于API测试的工具?最常用的API文档模板?3、API和Web服务之间的区别?4、什么是Soap?什么是Rest API?SOAP和REST的区别?5、API常见测试有哪些?API测试有哪些优势?API测试中验证哪些内容?6、API测试、单元测试和UI测试之间的区别?7、API测试中可能会遇到哪些问题?8、执行API测试时我们一般会发现哪些BUG类型呢?9、接口测试用例的编写要点有哪些?10、列举一些最常用的HTTP方法?常见的响应状态码及意义11、可以使用GET请求而不是POST请求来创建资源吗?POST和GET有什么区别?12、PUT和POST方法有什么区别?13、接口产生的垃圾数据如何清理?测试的数据你放在哪?14、你们怎么做的参数化?15、接口测试的步骤有哪些?API测试设计的原理是?16、异步接口怎么测试?17、请详细阐述接口测试和UI测试在测试活动中是如何协同测试的?18、怎么设计接口测试用例?19、下个接口请求参数依赖上个接口的返回数据?依赖于登录的接口如何处理?依赖于第三方数据的接口如何进行测试?20、不可逆的操作,如何处理,比如删除一个订单这种接口如何测试21、json和字典dict的区别?三、性能测试1、性能测试包含了哪些软件测试(至少举出3种)?2、请问什么是性能测试、负载测试、压力测试?3、在给定的测试环境下进行,考虑被测系统的业务压力量和典型场景?4、什么时候可以开始执行性能测试?5、简述性能测试的步骤。6、你如何识别性能瓶颈?7、性能测试时,是不是必须进行参数化?为什么要创建参数?LoadRunner中如何创建参数?8、你如何设计负载?标准是什么?9、解释5个常用的性能指标的名称与具体含义。10、描述不同的角色(用户、产品开发人员、系统管理员)各自关注的软件性能要点。11、请分别针对性能测试、负载测试和压力测试试举一个简单的例子?12、请问您是如何得到性能测试需求?怎样针对需求设计、分析是否达到需求?13、描述你的性能测试流程四、安全测试1、HTTP接口测试和Web Service接口测试区别是什么?2、HTTPS的优点和缺点?HTTPS的工作原理?HTTPS和HTTP的区别?什么是http代理服务器,有什么用?HTTPS在哪一层, 会话层在第几层?3、简述TCP/IP的三次握手和四次挥手,为什么TCP建立连接协议是三次握手,而关闭连接却是四次握手呢?为什么不能用两次握手进行连接?4、TCP和UDP有
与课本知识点是一致的,很重要,很有针对性 第一章导论 1.P9保险产生的原因中关于保险的分类,着重注意按风险性质的分类、按风险产生的原因分类。 (1)按风险的性质 纯粹风险:只有损失机会而没有获利可能的风险。投机风险:既有损失机会,又有获利可能的风险。 同一个风险可能兼有纯粹风险和投机风险双重性质。大多数纯粹风险是可保风险。 (2)按风险产生的原因,风险可分为: 自然风险:由于自然界的异常变化所致损失的可能性,由内生变量所致损失的可能性。 社会风险:伴随着人类社会行为的变化、制度的重新安排、新政令的颁布与实施、甚至是政权的更迭而产生的损害可能性。社会风险的最高形式是政治风险。 技术风险:伴随着科学技术的升级及由此带来的生产、生活方式的改变而发生的损害可能性。 (3)按损害对象,风险可分为财产风险、人身风险、责任风险和信用风险。 财产风险:导致财产毁损、灭失和贬值的风险。 人身风险:生、老、病、残、死、失业等导致人身伤害或影响健康的风险。 责任风险:对他人所遭受的人身伤害或财产损失依法应负的法律赔偿责任或未履行契约所致对方受损应负的合同赔偿责任。如职业责任、公众责任、产品责任。信用风险:信用风险(Credit Risk)又称违约风险因对方违约或不可抗力的发生,致使合同无法执行时所造成的经济损失的风险,即失信风险。如美国国债风险。 2.P11风险管理、P12风险管理的基本程序、注意P14页的财务法 (1)风险识别:受险主体对所面临的以及潜在的风险加以判断、归类整理,并对风险的性质进行鉴定的过程。 (2)风险估测:在风险识别的基础上,通过对所收集的大量详细损失资料加以分析,运用概率论和数理统计,估计和预测风险发生的概率和损失程度。 风险概率和损失程度是风险估测的主要内容。 (3)风险评价:在风险识别和风险估测的基础上,对风险发生的概率,损失程度,结合其他因素进行全面考虑,评估发生风险的可能性及危害程度,并与公认的安全指标相比较,以衡量风险的程度,并决定是否需要采取相应的措施的过程.风险评价的目的是决定风险是否需要处理和处理到何种程度。 (4)风险(管理)对策:在识别分析和估测风险的基础上,根据风险性质、风险频率、损失程度及自身的经济承受能力选择适当的风险处理方法的过程。 风险管理方法主要有控制法和财务法两大类。 控制法是指避免、消除风险或减少风险发生频率及控制风险损失扩大的一种风险管理方法。 财务法是通过提留风险准备金,事先做好吸纳风险成本的财务安排来降低风险成本的一种风险管理方法,它包括自留和转移两种。 A自留风险有三种情况①对潜在损失估计不足②损失金额相对较低,经济上微不足道③通过对风险和风险管理方法的认真分析,决定全部或部分承担某些风险。B转移风险 ①保险保险购买者向保险公司缴纳保费,保险公司接受保费,建立基金以赔付特
一、名词解释 1、网络营销:是企业整体营销的一个组成部分,借助互联网、计算机通信和数字交互式媒体,来满足客户需求,实现企业营销目标的一系列活动。 2、移动电子商务:是指对通过移动网络进行数据传输,并利用手机等移动终端开展各种商业经营活动的一种新电子商务模式。 3、电子钱包:是一种虚拟钱包,它以智能卡为电子支付系统,增加了多种用途,具有信息储存、查询管理、安全密码锁等功能。 4、电子数据交换技术EDI:是一种用于计算机之间商业信息传递的方式,包括买卖双方数据交换,企业内部数据交换等。它将贸易、运输、保险、银行和海关等行业信息,用一种国际公认的标准格式,形式结构化的事务处理报文数据格式,通过计算机通信网络,使有关部门、公司、企业之间进行数据交换与处理,并完成以贸易为中心的企业全部业务过程。(按照协议,对具有一定结构性的标准经济信息,经过电子数据、通信网络,在商业贸易伙伴的电子计算机系统之间进行交换和自动处理) 5、第三方支付系统:指的是与各大银行签约、具备一定实力和信誉保障的第三方独立机构提供的交易支持平台,如为淘宝网交易提供担保的支付宝。 6、DES对称密钥加密: 对称加密,又称私有密钥加密,他又且只有一个密钥,对信息进行加密和解密,加密密钥和解密密钥相同,即K=H。 7、RSA非对称密钥加密:非对称加密体制,这种加密法在加密和解密过程中要使用一对密钥,一个用与加密,另一上用于解密。即通过一个密钥加密的信息,只有使用另一个密钥才能够解密。 8、网上拍卖:是指网络服务商利用internet通信传输技术向商品所有者或某些权益所有人提供有偿或无偿使用的internet技术平台,让商品所有者或某些权益所有人在其平台上独立开展以竞价、议价方式为主的在线交易模式。 9、电子现金:它把现金数值转化为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值,用户在开展电子现金的银行开设账户并在账户内存钱后,就可以在接受电子现金的商家使用。 10、电子虚拟市场:是指商务活动中的生产者、中间商和消费者在某种程度上以数字方式进行交互式商业活动的市场,是传统实物市场的虚拟形态。 11、不完全电子商务:如果在全部商务活动中,至少有一个或一个以上的业务环节应用了IT技术的商务形态,一般称为不完全电子商务。 12、网络市场调研:就是基于互联网对网络营销决策相关的数据系统地进行计划、收集与分析,并把分析结果向管理者沟通的过程。 13、第三方物流:是指生产经营企业为集中精力搞好主业把原来属于自己处理的物流合同,以合同方式委托给专业物流服务企业,同时通过信息系统与物流服务业保持密切联系,以达到对物流全程的管理和控制的一种物流运作与管理方式。 14、网上拍买:也称反拍卖或标价求购,由卖方出价,卖方成了“买方”,其竞争的是向消费者提供服务的机会,反拍卖具体指消费者提出一个价格范围,求购其一商品,由商家出价,出价可以是公开或隐蔽的。消费者将与出价最低或最近的商家成交。 二、简答 1、网银的特点 1、高安全性:网络安全;通信安全 ;数据安全; 支付安全 2.方便,用户不受空间、时间的限制,享受每天24小时的不间断服务,即实现3A服务
计算机网络考试重点总结(完整必看) 1.计算机网络:利用通信手段,把地理上分散的、能够以相互共享资源(硬件、软件和数据等)的方式有机地连接起来的、而各自又具备独立功能的自主计算机系统的集合 外部特征:自主计算机系统、互连和共享资源。内部:协议 2.网络分类:1)根据网络中的交换技术分类:电路交换网;报文交换网;分组交换网;帧中继网;ATM网等。2)网络拓朴结构进行:星型网;树形网;总线型网;环形网;网状网;混合网等。4)网络的作用地理范围:广域网。局域网。城域网(范围在广域网和局域网之间)个域网 网络协议三要素:语义、语法、时序或同步。语义:协议元素的定义。语法:协议元素的结构与格式。规则(时序):协议事件执行顺序。 计算机网络体系结构:计算机网络层次结构模型和各层协议的集合。 3.TCP/IP的四层功能:1)应用层:应用层协议提供远程访问和资源共享及各种应用服务。2)传输层:提供端到端的数据传送服务;为应用层隐藏底层网络的细节。3)网络层:处理来自传输层的报文发送请求;处理入境数据报;处理ICMP报文。4)网络接口层:包括用于物理连接、传输的所有功能。 为何分层:目的是把各种特定的功能分离开来,使其实现对其他层次来说是可见的。分层结构使各个层次的设计和测试相对独立。各层分别实现不同的功能,下层为上层提供服务,各层不必理会其他的服务是如何实现的,因此,层1实现方式的改变将不会影响层2。 协议分层的原则:保证通信双方收到的内容和发出的内容完全一致。每层都建立在它的下层之上,下层向上层提供透明服务,上层调用下层服务,并屏蔽下层工作过程。 OSI七层,TCP/IP五层,四层:
保险学期末复习重点 第一章 1、什么是风险,风险具有哪些特征? 风险:是人们在从事某种活动或决策的过程中,预期未来结果的随机不确定性。风险特征: (一)客观性(二)损失性(三)不确定性(四)普遍性(五)可测性 (六)可变性(发展性)(七)社会性 2、风险的构成要素有哪些? (一)风险因素:(二)风险事故(三)风险损失(从保险的角度研究)(四)风险载体 3、风险有哪几种分类方式?(2班了解) 一、按风险发生的原因分类(一)自然风险(二)社会风险(三)政治风险(四)经济风险 二、按风险性质(导致结果)分类:(一)纯粹风险(二)投机风险(三)收益风险 三、依风险发生的形态分类:(一)静态风险(二)动态风险 四、依风险涉及和影响的范围分类:(一)基本风险(二)特定风险 五、依风险指向的标的分类(一)财产风险(二)责任风险(三)信用风险(四)人身风险 六、按风险的损失程度分类:(一)高度风险(二)中度风险(三)低度风险 4、简述风险管理的程序 (企业)风险管理的过程:(一)风险管理目标的确定(二)风险识别—风险管理的基础(三)风险衡量(估价或评价)(四)风险处理(五)风险管理评估 5.简述可保风险的条件 一、可保风险的存在 (一)风险必须是纯粹风险 1、只有损失,没有收益的风险; 2、个人受损时,社会也会受损 (二)经济上具有可行性 1、损失的程度不要偏大或偏小; 2、损失的发生必须具有偶然性 (三)存在大量具有同质风险的标的 1、同质风险:风险单位在种类、品质、性能、价值等方面大体相近。 2、同质风险发生的概率相同。 (四)风险必须具有现实的可测性 1、风险具有确定的概率分布; 2、损失可以用货币进行确定和计量。* 6、保险和风险管理的关系如何?(2班了解) (一)风险是保险与风险管理产生和发展的前提和客观依据,保险与风险管理同以风险为管理对象。 (二)保险是风险管理的一个传统有效手段,是社会化风险管理的重要组成部分;是最能够
电子商务安全技术试卷
————————————————————————————————作者:————————————————————————————————日期:
XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项: 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求,在规定的位置填写答案。 3. 不要在试卷上乱写乱画,不要在装订线内填写无关的内容。 4. 满分100分,考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题(共10分,每空1分): 1.电子商务安全从整体上分为( )和电子商务交易安全两大部分。 2.所谓加密,就是用基于( )方法的程序和保密的密钥对信息进行编码,把明文变成密文。 3.密码体制从原理上可分为单钥体制和( )。 4.链路-链路加密中,由于传送的信息在每个节点处都将以( )形式存在,故要加强每个节点的实体安全。 5. 电子商务活动是需要诚信的,如何来确定交易双方的身份就显得特别重要。目前,是通过认证中心(CA )发放( )来实现的。 6. 数字证书是利用数字签名和( )来分发的。 7. ( )允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8. 分布式防火墙是一种( )的安全系统,用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9. ( )又称灾难恢复,是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人
10. 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题(共10分,每题1分) 1.故意攻击网站触发安全问题,以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 ( ) 2.分组密码是一种重要的对称加密机制,它是将明文按一定的位长分组,输出不定长 度的密文。 ( ) 3.在代理多重签名中,一个代理签名可以代表多个原始签名人。 ( ) 4.数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接受方用 发送方的公开密钥进行解密。 ( ) 5.SSL 建立在TCP 协议之上,它与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。 ( ) 6.认证机构CA 和注册机构RA 都可以发放数字证书。 ( ) 7.实现防火墙的网络安全策略时,可以遵循的两条原则是:一是未被明确允许的一定 都将被禁止;二是未被明确禁止的未必都被允许。 ( ) 8.不连网的计算机不会感染计算机病毒。 ( ) 9.为了确保系统管理人员的忠诚可靠,系统管理的工作应当长期由一人来负责。( ) 10.计算机信息媒体出入境的普遍办理过程一般为先申报,后检测,最后报送。 ( ) 三、选择题(共40分,每小题2分) 1. 软件开发人员为了方便,通常也会在软件里留下“后门”,通过在后门里植入 ( ),很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2.确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 ( ) A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信,她需要用 什么来加密 ( ) A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中,不正确的是 ( ) A 、收方能够确认或证实发方的签名,但不能伪造 得 分 评分人 得 分 评分人
名词解释(6*3=18)+选择题(18*1=18)+判断题(10*1=10)+简答题(34分)+综合题(20分) 1. (室)土工试验:包括土的物理性质指标的测定、土的力学性质指标的测定、土的动力特性试验、粘土矿物分析等等。原位测试:在保持岩土体天然结构、天然含水率以及天然应力状态的条件下,测试岩土体在原有位置的工程性质的测试手段。 2. 原位测试与室土工试验的比较: 原位测试:一、实验对象面:1,测定土体围大,能反映宏观微观结构对土性的影响,代表性好;2,对难以取样的土体仍能实验;3,对实验土层不扰动;4,能给出连续的土性变化剖图;5,土体边界条件不明显。二、应力条件面:1,基本在原位应力条件下进行应力试验;2,应力路径和排水条件不能控制;3,应力条件有局限性三、应变条件:1,应变场不均与;2,应变速率一般大于实际工程条件下的应变速率四、岩土参数:多建立在经验公式上五、实验期:期短,效率高 室试验:一:1,与原位相反;二,排水条件、应力路径、应力条件都可以模拟控制;三、应变场均匀,应变速率可控制;四、可直接测定;五:期长,效率低 1. 载荷试验:在现场用一个刚性承压板逐级加荷,测定天然地基、单桩或复合地基的沉降随荷载的变化,借以确定它们承载能力的试验。浅层平板载荷试验适用于浅层地基土,包括各种填土和含碎的
土;深层平板载荷试验适用于埋深等于或大于3.0m和地下水位以上的地基土;螺旋板载荷试验适用于深层地基或地下水位以下的土层。 2.载荷试验目的:(1)确定地基土的比例界限压力、极限压力,为评定地基上的承载力提供依据(2)确定地基土的变形模量(3)估算地基土的不排水抗剪强度(4)确定地基土的基床系数 3.原理:典型的平板载荷试验p-s曲线分为三个阶段:直线变形阶段:P-S呈线性关系,此线性段的最大压力称为此时的界限P0 。在直线变形阶段,受荷土体中任意点产生的剪应力小于土体的抗剪强度,土的变形主要由土中空隙的压缩而引起,土体变形主要是竖向压缩,并随时间逐渐趋于稳定。剪切变形阶段:当载荷大于P0而小于极限压力Pu,P-S变为曲线关系,且斜率逐渐变大。在剪切变形阶段,P-S曲线的斜率随压力P的增大而增大,土体除了产生竖向压缩变形之外,在承压板的边缘已有小围土体承受的剪应力达到了或超过了土的抗剪强度,并开始向围土体发展。处于该阶段土体的变形由土体的竖向压缩和土粒的剪切应变共同引起的。破坏阶段:当载荷大小大于Pu时,即使荷载维持不变,沉降也会持续或急剧增大,始终达不到稳定标准。在破坏阶段,即使荷载不再增加,承压板仍会不断下沉,土体部开始形成连续的滑动面,在承压板围土体发生隆起及环状或放射状裂隙,此时在滑动土体的剪切面上各点的剪应力均达到或超过土体的抗剪强度。 4.实验技术、步骤:试坑的尺寸及要求:浅层平板载荷试验的试坑宽
保险学重点整理 一、概念 1.1风险管理:指人们对各种风险的认识,控制和处理的主动行为。 1.2可保风险:指可被保险公司接受的风险,或可以向保险公司转价的风险。 2.1保险:是以合同方式集合众多单位或个人的同类风险,通过科学计收分担金实现对少数成员因特定风险事故 发生所致的损害后果,给予经济补偿的社会互助制度。 2.2商业保险:保险双方当事人自愿订立保险合同,由投保人交纳保险费,用于建立保险基金,当被保险人发生 合同约定的财产损失或人身事件时,保险人履行赔付或给付保险金的义务。 2.3保险公司:是依法登记成立,按照保险制度经营风险,组织经济偿付,并实行独立核算的经济实体,仅是保 险企业的一种。 4.1保险利益原则:指在签订和履行保险合同的过程中,投保人或被保险人对保险标的必须具有保险利益。4.2最大诚信原则:是保险双方在签订和履行保险合同时,必须以最大的诚意,履行自己应尽的义务,互不欺骗 和隐瞒,恪守合同的认定和承诺,否则保险合同无效。 4.3近因原则:近因属于保险责任的,保险人应承担损失赔偿责任 近因不属于保险责任的,保险人不负责赔偿责任 4.4损失补偿原则:指保险合同生效后,如果发生保险期限责任范围内的损失,被保险人有权按照合同的约定获 得全面、充分的赔偿。 4.5代位追偿原则:指在财产保险中,保险标的发生保险事故造成推定全损或者保险标的由于第三者责任导致保 险损失,保险人按照合同的约定履行赔偿责任后,依法取得对保险标的的所有权或对保险标的损失负有责任的第三者的追偿权。 7.1责任保险:以保险客户的法律赔偿风险为承保对象的保险。属于广义财产保险的范畴。 7.2公众责任保险:以被保险人的公众责任为承保对象的责任保险。 7.3产品责任保险:以产品制造者、销售者、维修者等的产品责任为承保风险。基础是产品责任法。 7.4雇主责任保险:以被保险人的雇员在受雇期间从事业务时因遭受意外导致伤、残、死亡或患有与职业有关的 职业性疾病,应由被保险人承担的经济赔偿责任为承保风险。 7.5职业责任险:承保各种专业技术人员在从事职业技术工作时,因疏忽或过失造成合同对方或他人的人身伤害 或财产损失的经济赔偿责任。 8.1人身保险:以人的寿命(或生命)和身体为保险标的的一类保险。 8.2人寿保险:以被保险人的寿命作为保险标的,以被保险人的生存或死亡作为保险事故的一种人身保险业务。 8.3健康保险:以被保险人的身体为保险标的,补偿被保险人疾病或意外事故所致伤害时发生的费用或损失的一 种保险。 8.4两全保险:指在保险期间内以死亡或生存为给付保险金条件的人寿保险。 8.5意外伤害保险:指以意外伤害而致身故或残疾为给付保险金条件的人身保险。 8.6.医疗保险:以合同约定的医疗费用作为给付保险金条件的保险。 8.7收入保障保险:以因意外伤害或疾病导致收入中断或减少为给付保险金条件的保险。 8.8团体保险:保险公司用一份保险合同为团体内的许多成员提供保险保障。 9.1危险单位:指保险标的发生一次灾害事故可能造成的最大损失范围。 9.2自留额:分出根据偿付能力所确定承担的责任限额。 9.3分保额:经过分保由接受公司所承担的责任限额。 9.4转分保:再保险人将其分入的承保的风险转向次保险人的行为分散风险,保证营业稳定。 9.5分保佣金:是办理初保业务的保险公司向其它保险公司分保。 9.6临时再保险:将分出的具体情况和分保条件逐笔告诉对方的分保。
1.MAC:由只有通信双方知道的秘密密钥K来控制的消息的散列值。 2.数字信封:用对称密码体制的密钥加密明文,而用公钥密码体制的公钥加密这个对称密钥。 3.数字证书:就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件,其中CA的数字签名可以确保用户公钥的真实性。 4.PKI:公钥基础设施通常简称PKI。所谓PKI就是一个以公钥技术为基础的,提供和实施安全服务的具有普适性的安全基础设施。 5.PDRR:电子商务安全是在安全策略的指导下,由保护、检测、响应和恢复四个环节组成. 6.SQL注入攻击:攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码,作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。特点:广泛性、技术难度不高、危害性大。 7.VPN:虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来,或将一个或多个远程用户与内部网络安全的连接在一起,从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来,构成一个扩展了的企业内部网。 8.单点登录技术:简称SSO,是指用户只需向网络进行一次身份认证,以后再无需另外验证身份,便可访问所有被授权的网络资源。 9.替代和置换:假设明文消息中的每个字母不是同时移动相同的位数,而是根据一张替代表使用随机替换,则在一个明文消息中,每个A可以替换成B~Z中的任意字母,B也可以替换成A或C~Z中的任意字母。置换密码通过改变明文消息中各元素出现的相对位置,但明文消息元素本身的取值不变。 乘积密码:是以某种方式连续执行两个或多个密码交换。 10.IPSec协议主要功能:①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性 11.电子支付的支付方式:电子现金、电子支票、电子信用卡,微支付 1.电子商务安全要素:机密性(信息不被泄露给非授权用户)、完整性(信息是未被篡改的)、不可抵赖性(信息的收发双方不能否认曾经受发过信息)、即时性(在规定的时间内完成服务)、真实性(确保对方的真实信息和身份的来源是真的)、访问控制(对访问者访问资源时的权限控制)、可用性(访问者需要的时候是可用的)。 2.电子商务面临的安全威胁:中断、截获、篡改、伪造、抵赖。 3.风险管理定义和过程:风险管理由风险评估、风险处理、基于风险的决策组成。风险评估将全面评估企业的资产、威胁、脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定企业的风险,并判断风险的优先级,建议处理风险的措施。基于风险评估的结果,风险处理过程将考察企业安全措施的成本,选择合适的方法处理风险,将风险控制在可接受的程度。基于风险的决策旨在由企业的管理者判断残余的风险是否处在可接受的水平之内,基于这一判断,管理者将作出决策,决定是否进行某项电子商务活动。 4.安全等级和对应的操作系统:类别有ABCD,级别和对应的操作系统分别为A、B1、B2、B3、C1 (Windows 9x系列)、C2 (Windows 2000)、D(Windows 2003及Unix、MS-DOS)。 5.数据加密标准DES:DES是一种分组密码算法,它将明文从算法的一端输入,将密文从另一端输出。由于采用的是对称密钥,因此加密和解密使用相同的算法和密钥,并且加密和解密算法是公开的,系统的安全性完全依赖于密钥的保密。 6.DES加密过程:DES是一个分组加密算法①输入64比特明文数据②初始置换IP③在密钥控制下16轮迭代④交换左右32比特⑤初始逆置换IP1 ⑥输出64比特密文数据 7.异常检测与误用检测的区别:异常检测假设所有的入侵行为和正常行为不同,入侵是异常行为的子集。异常检测系统通过监控程序监控用户的行为,将当前主题的活动情况与用户轮廓进行比较,用户轮廓通常定义为各种行为参数及其阈值的集合,用于描述正常行为范围。误用检测是对已知的入侵行为和系统漏洞进行分析,研究入侵行为过程和系统漏洞的特征,对这些已知的攻击或入侵做出正确性的描述,用一种模式表示出来,形成入侵行为特征库。