电子商务安全导论知识点整理Word格式.docx
- 文档编号:13593563
- 上传时间:2022-10-11
- 格式:DOCX
- 页数:20
- 大小:28.29KB
电子商务安全导论知识点整理Word格式.docx
《电子商务安全导论知识点整理Word格式.docx》由会员分享,可在线阅读,更多相关《电子商务安全导论知识点整理Word格式.docx(20页珍藏版)》请在冰豆网上搜索。
用内域网同样的办法建立的一个连接相关企业、单位、机构的专用网络。
EDI的信息传输方式:
存储-转发。
电子商务的驱动力:
1、信息产品硬件制造商2、信息产品软件厂商3、大型网上服务厂商4、银行及金融机构5、大企业6、政府。
电子商务的安全隐患:
1、数据的安全2、交易的安全。
电子商务系统可能遭受的攻击:
1、系统穿透2、违反授权原则3、植入4、通信监视5、通信窜扰6、中断7、拒绝服务8、否认9、病毒。
电子商务安全的中心内容:
1、商务数据的机密性
2、完整性
3、商务对象的认证性
4、商务服务的不可否认性
5、商务服务的不可拒绝性
6、访问的控制性等。
产生电子商务安全威胁的原因:
1、internet在安全方面的缺陷
2、Internet的安全漏洞
3、TCP/IP协议极其不安全性
4、E-mail,Telnet及网页的不安全性。
Internet系统的构建组成:
1、客户端软件(Web浏览器)
2、客户端的操作系统
3、客户端的局域网(LAN)
4、Internet网络
5、服务器端的局域网(LAN)
6、服务器上的Web服务器软件。
对安全的攻击:
主动攻击、被动攻击。
对internet攻击的四种类型:
1、截断信息
2、伪造
3、篡改
4、介入。
IP协议的安全隐患:
1、针对IP的拒绝服务攻击
2、IP地址的顺序号预测攻击
3、TCP协议劫持入侵
4、嗅探入侵。
HTTP协议:
是客户机请求服务器和服务器如何应答请求的各种方法的定义。
WEB客户机的任务:
1、为客户提出一个服务请求
2、将客户的请求发送给服务器
3、解释服务器传送的HTML等格式文档,通过浏览器显示给客户。
WEB服务器的任务:
1、接收客户机来的请求
2、检查请求的合法性
3、针对请求,获取并制作数据,包括使用CGI脚本等程序、为文件设置适当的MIME类型来对数据进行前期处理和后期处理
4、把信息发送给提出请求的客户机。
WEB站点的安全隐患:
1、机密信息被窃取
2、数据及软硬件系统被破坏。
攻击WEB站点的几种方式:
1、安全信息被破译
2、非法访问
3、交易信息被截获
4、软件漏洞被攻击者利用等。
E-mail和Telnet及网页的不安全性:
1、E-mail的不安全性2、入侵Telnet会话
3、网页作假4、电子邮件炸弹和电子邮件列表链接。
对电子商务威胁的相应对策:
1、保密业务2、认证业务3、接入控制业务4、数据完整性业务5、不可否认业务6、加快我国自主知识产权的计算机网络和电子商务安全产品的研制和开发等。
《可信任的计算机安全评估标准》:
美国,为计算机安全的不同等级制订了四个标准分别为D、C、B、A级,由低到高,C级氛围C1和C2两个子集,C2比C1提供更多的保护,总体由低到高为D、C1、C2、B1、B2、B3、A。
第二章电子商务安全需求与密码技术
电子商务的安全需求:
1、可靠性
2、真实性
3、机密性
4、完整性
5、有效性
6、不可抵赖性
7、内部网的严重性。
加密:
用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,即把明文变成密文的过程。
加密的基本概念缩写:
1、明文M2、密文C3、加密E4、解密D5、密钥K。
加密的表示方法:
C=Ek(M) 密文=加密k(明文)。
解密的表示方法:
M=Dk(C) 明文=解密k(密文)。
加密方法:
1、替换加密(单字母加密方法、多字母加密方法)
2、转换加密。
单鈅密码体制特点:
1、加解密速度快,效率高
2、单鈅密码体制的加解密过程使用同一个密钥。
单鈅密码体制的几种算法:
1、DES加密算法
2、IDEA加密算法
3、RC-5加密算法
4、AES加密算法。
双鈅密码体制:
又称作公共密钥体制或非对称加密体制,在加解密过程中要使用一对密钥,一个用于加密,一个用于解密。
双鈅密码体制的特点:
1、适合密钥的分配和管理
2、算法速度慢,只适合加密小数量的信息。
双鈅密码体制的几种算法:
1、RSA密码算法
2、ELGamal密码体制
3、椭圆曲线密码体制(ECC)
密钥管理包括:
密钥的设置、产生、分配、存储、装入、保护、使用以及销毁等。
密钥管理方案:
一般采用层次的密钥设置。
多层次密钥系统中密钥的分类:
1、数据加密密钥DK2、密钥加密密钥KK。
多层次密钥系统中密钥的划分:
按照他们的控制关系,划分为一级密钥、二级密钥、n级密钥,其中一级密钥用算法n保护二级密钥,二级密钥用算法n保护三级密钥,最底层密钥也叫做工作密钥,也就是数据加密密钥,所有上层密钥都是密钥加密密钥,最高层密钥也叫做主密钥。
自动密钥分配途径:
1、集中式分配方案2、分布式分配方案。
集中式分配方案:
利用网络中的密钥管理中心KMC来集中管理系统中的密钥,密钥管理中心接受系统中用户的请求,为用户提供安全分配密钥的服务。
分布式分配方案:
网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商,不接受任何其他方面的限制。
数据的完整性:
在有自然或人为干扰的条件下,网络系统保持发送方和接收方传送数据一致性的能力,是保护数据不被未授权者修改、建立、嵌入、删除及重复传送,或防止由于其他原因使原始数据被更改。
数据完整性被破坏的后果:
1、造成直接的经济损失
2、影响一个供应链上许多厂商的经济活动
3、可能造成不过不了“关”
4、会牵涉到经济案件中
5、造成电子商务经营的混乱与不信任。
散列函数:
是将一个长度不确定的输入串转换成一个长度确定的输出串(输出串要不输入串短),也称哈希值、杂凑值和消息摘要,其安全性在于它的单向性和无冲突性。
数字签名的原理:
用散列函数处理消息得到消息摘要,再用双鈅密码体制的私鈅加密。
常用的散列函数:
1、MD-4和MD-5散列算法2、安全散列算法SHA等。
数字签名:
利用数字技术实现网络传送文件时,附加个人标记,完成传统上手书签名盖章的作用,以表示确认、负责、经手等。
各种技术的应用:
保障传递文件的机密性用加密技术,保障其完整性用信息摘要技术,保障认证性和不可否认性用数字签名技术。
数字签名分为:
确定性数字签名、随机化式数字签名。
数字签名应满足的要求:
1、接收方B能够确认或认证发送方A的签名,但不能由B或第三方C伪造
2、发送方A发出签名的消息给接收方B后,A就不能再否认自己所签发的消息
3、接收方B对已收到的签名消息不能否认,即有收报认证
4、第三者C可以确认收发双方之间的消息传送,但不能伪造这一过程。
数字签名可以解决的安全界别问题:
1、接收方伪造2、发送者或接受者否认
3、第三方冒充4、接收方篡改。
ELGamal签名体制:
美国NIST把它作为数字签名标准DDS,是Rabin体制的变形。
RSA签名体制:
利用双鈅密码体制的RSA加密算法实现数字签名。
无可争辩签名:
在没有签名者自己合作下不可能验证签名的签名。
盲签名:
要某人对一个文件签名,而不让其知道文件内容。
数字信封:
发送方用一个随机产生的DES密钥加密消息,然后用接受方的公钥加密DES密钥,称为消息的数字信封。
数字时戳应当保证:
1、数据文件加盖的时戳与存储数据的物理媒体无关
2、对已加盖时戳的文件不可能做丝毫改动
3、要相对某个文件加盖与当前日期和时间不同时戳是不可能的。
网络系统物理设备的安全包括:
运行环境、容错、备份、归档、数据完整性预防。
计算机机房的设计依据文件:
1、电子计算机房设计规范GB50174-932、计算机场、地、站安全要求GB9361-883、计算机房场、地、站技术要求GB2887-894、电气装置安装工程、接地装置施工及验收规范GB50169-925、建筑内部装修设计防火规范GB50222-956、气体灭火系统施工、验收规范7、闭路监控工程设计、施工规范8、高层建筑电气设计手册。
容错技术的目的:
当系统发生某些错误或故障时,在不排除错误和故障的条件下使系统能够继续正常工作或者进入应急工作状态。
基本的备份系统:
1、简单的网络备份系统:
在网络上的服务器直接把数据通过总线备份到
设备中,也可把数据通过对网络经过专用的工作站备份到工作站的设备中
2、服务器到服务器的备份:
网络上的服务器除了把数据通过总线备份到自己设备中以外,同时有备份到另一个服务器上
3、使用专用的备份服务器。
数据备份:
指为防止系统出现操作失误或系统故障导致数据丢失,而将全系统或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。
常见的备份方式:
1、定期磁带备份数据
2、远程磁带库、光盘库备份
3、远程关键数据并兼有磁带备份
4、远程数据库备份
5、网络数据镜像
6、远程镜像磁盘。
容灭方案:
本地容灭、异地容灭。
归档:
将文件从计算机的存储介质中转移到其他永久性的介质上,以便长期保存的过程。
提高数据完整性预防措施:
1、镜像技术2、故障前兆分析3、奇偶校验4、隔离不安全的人员5、电源保障。
计算机病毒:
指编制者在计算机程序中插入的破坏计算机功能,或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
病毒特征:
1、非授权可执行性
2、隐蔽性
3、传染性
4、潜伏性
5、表现性或破坏性
6、可触发性。
计算机病毒的分类:
1、按寄生方式分为引导型病毒、文件型病毒和复合型病毒
2、按破坏性分为良性病毒和恶性病毒。
引导型病毒:
寄生在磁盘引导区或主引导区的计算机病毒,按其寄生位置分为主引导记录病毒和分区引导记录病毒。
文件型病毒:
指能够寄生在文件中的计算机病毒。
复合型病毒:
指具有引导型病毒和文件型病毒寄生方式的计算机病毒。
良性病毒:
指只是为了表现自身,并不彻底破坏系统数据,但会大量占用CPU时间,增加系统开销,降低系统工作效率的计算机病毒。
恶性病毒:
指一旦发作后,就会破坏系统或数据,造成计算机系统瘫痪的计算机病毒。
病毒的主要来源:
1、引进的计算机系统和软件中带有病毒
2、各类出国人员带回的机器和软件染有病毒
3、一些染有病毒的游戏软件
4、非法拷贝中毒
5、计算机生产、经营单位销售的机器和软件染有病毒
6、维修部门交叉感染
7、有人研制、改造病毒
8、敌对分子以病毒进行宣传和破坏
9、通过互联网络传入。
计算机病毒的防治策略
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全 导论 知识点 整理