下载文档原格式
第一章电子商务安全基础
一、商务和电子商务的概念
1.电子商务的含义
【名词解释】电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。
2.电子商务的技术要素
【多选】电子商务的技术要素组成包括:网络、应用软件和硬件。
3.电子商务的模式
(1)大字报/告示牌模式。
(2)在线黄页簿模式。
(3)电脑空间上的小册子模式。
(4)虚拟百货店模式。
(5)预订/订购模式。
(6)广告推销模式。
4.Internet(因特网)、Intranet(内连网)和Extranet(外连网)的特点(1)Internet(因特网)因特网的最大优势,是它的广袤覆盖及开放结构。
由于它是开放结构,许多企业及用户可以按统一的技术标准和较合理的费用连接上网,使网上的主机服务器和终端用户以滚雪球的速度增加,也使其覆盖增长至几乎无限。但它的优点也是它的缺点。因特网的管理松散,网上内容难以控制,私密性难以保障。从电子商务等应用看,安全性差是因特网的又一大缺点,这已成为企业及用户上网交易的重要顾虑。
(2)Intranet(内连网)Intranet(内连网)本书中选译为企业内域网。
企业内域网是为企业内部运作服务的,自然有它安全保密的要求,当它与公网Internet连接时,就要采取措施,防止公网上未授权的无关人员进入,防止企业内部敏感资料的外泄。这些保障内域网安全的硬件、软件措施,通常称为防火墙(Firewall)。防火墙常常是一个介乎内域网和因特网其他部分之间的安全服务器。
(3)Extranet(外连网)一般译为企业外域网,它是一种合作性网络。一个企业除利用因特网的技术和标准或直接在因特网上构建企业内域网,满足企业内部运作之外,还经常需要与某些业务关系较密切的本企业集团以外的单位通过网络进行联系,为达成某一共同目标而共享某些资源。
5.电子商务的发展历史
【单选】有人把现代电子商务的发展分成如下几个阶段,从中也可看出电子商务发展的轨迹、条件和基础:
(1)1995年:网络基础设施大量兴建。
(2)1996年:应用软件及服务成为热点。
(3)1997年:网址及内容管理的建设发展,有关企业、业务的调整、重组及融合,所谓“人口门
户”(Portal)公司的出现。
(4)1998年:网上零售业及其他交易蓬勃发展。
二、电子商务安全基础
1.电子商务的安全隐患
(1)硬件系统计算机是现代电子科技发展的结晶,是一个极其精密的系统,它的每一个零件都是由成千上万个电子元件构成的。这一方面使计算机的功能变得十分强大,另一方面又使它极易受到损坏。
(2)软件系统软件是用户与计算机硬件联系的桥梁。任何一个软件都有它自身的弱点,而大多数安全问题都是围绕着系统的软件部分发生的,既包括系统软件也包括应用软件。
电子商务系统的安全问题不仅包括了计算机系统的隐患,还包括了一些自身独有的问题。
(1)数据的安全。
(2)交易的安全。
2.
【简答】简述电子商务所遭受的攻击。
(1)系统穿透。
(2)违反授权原则。
(3)植入。
(4)通信监视。
(5)通信窜扰。
(6)中断。
(7)拒绝服务。
(8)否认。
(9)病毒。
3.电子商务安全的六性
(1)商务数据的机密性。
(2)商务数据的完整性。
(3)商务对象的认证性。
(4)商务服务的不可否认性。
(5)商务服务的不可拒绝性。
(6)访问的控制性。
4.产生电子商务安全威胁的原因
(1)Internet在安全方面的缺陷
Internet的安全漏洞
①Internet各个环节的安全漏网。
②外界攻击,Internet安全的类型。
③局域网服务和相互信任的主机的安全漏洞。
④设备或软件的复杂性带来的安全隐患。
TCP/IP协议及其不安全性
①TCP/IP协议简介
IP协议提供基本的通信协议,TCP协议在IP协议的基础上为各种应用提供可靠和有序的数据传送功能。
②IP协议的安全隐患
a.针对IP的“拒绝服务”攻击。
b.IP地址的顺序号预测攻击。
c.TCP协议劫持入侵。
d.嗅探入侵。
③HTTP和Web的不安全性
a.HTTP协议的特点。
b.HTTP协议中的不安全性。
④E—mail,Telnet及网页的不安全性
a.E一mail的不安全性。
b.入侵Telnet会话。
c.网页做假。
d.电子邮件炸弹和电子邮件列表链接。
(2)我国电子商务安全威胁的特殊原因
①我国的计算机主机、网络交换机、路由器和网络操作系统都来自国外。
②美国政府对计算机和网络安全技术的出口限制,使得进入我国的电子.商务和网络安全产品均只能提供较短密钥长度的弱加密算法。这些安全产品我们认为是安全的,但实际上根本无安全可言,因为技术先进的国家对较短密钥长度的弱加密算法早就有了破解的方法。
5.关于电子商务的安全威胁可以采取的对策适当设置防护措施可以减低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施,防止恶意侵扰。整个系统的安全取决于系统中最薄弱环节的安全水平,这需要从系统设计进行考虑。
(1)保密业务。
(2)认证业务。
(3)接入控制业务。
(4)数据完整性业务。
(5)不可否认业务。
(6)加快我国自主知识产权的计算机网络和电子商务安全产品的研制和开发,摆脱我国计算机网络和电子商务安全产品安全依赖进口的局面,将主动权掌握在自己手里。
(7)严格执行《计算机信息系统安全专用产品检测和销售许可证管理办法》,按照《计算机信息系统安全专用产品检测和销售许可证管理办法》的规定规范企业电子商务设施的建设和管理。
三、计算机安全等级
1.计算机安全等级的划分
美国的橘黄皮书中为计算机安全的不同级别制定了4个标准:D,C,B,A级,由低到高,D级暂时不分子级。8级和C级是最常见的级别。每个级别后面都跟有一个数字,表明它的用户敏感程度,其中2是常见的级别,C级分为Cl和C2两个子级,C2比Cl提供更多的保护。C2级要求有一个登录过程,用户控制指定资源,并检查数据追踪。8级为分Bl,B2和B3三个子级,由低到高;B2级要求有访问控制,不允许用户为自己的文件设定安全级别。这些东西并不能保证安全,主要是用于政府合同的一致性。A级(最安全)暂时不分子级,是用户定制的,如果需要一个这样的系统,就要获得一份授权销售商及产品的清单。每级包括它下级的所有特性。这样,由低到高是:D,Cl,C2,Bl,B2,B3和A。
2.计算机安全等级划分的原则
