电子商务安全管理.docx

1电子商务所面临的威胁？1）信息的截获和窃取2）信息的篡改3）信息假冒4）交易抵赖2.电子商务安全的内容：电子商务的 一个主要特征 是利用信息技术来传输和处理商业信息，因此，电子商务的安全问题主要有计算机网络安全和商务交易安全3.电子商务的交易安全，交易方面的安全需求主要有以下几个方面？1）机密性。电子商务作为一种贸易手段，其包含的信息直接代表着个人，企业或国家的商业机密 2）完整性。电子商务简化了贸易过程，减少了贸易过程中人为的干预，同时也带来需要维护贸易各方商业信息的完整，统一的问题。 3）认证性。由于网络电子商务交易系统的特殊性，企业或个人的交易通常都是虚拟的网络环境中进行，所以对个人或企业实体身份进行确认成为电子商务中很重要的一个环节，认证性一般通过证书机构和数字证书来实现。 4)不可抵赖性 。在无纸化的电子商务方式下，不可抵赖性可通过对发送的消息进行数字签名来实现 5)有效性。电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性是开展电子商务的前提4.国内电子商务发展迅速，但存在了不少安全问题？（1）重认证中心建设，轻整体安全。目前国内的电子商务安全系统研究和建设的重点是认证中心，认证中心是保证电子商务安全的前提，但国内的现状是过多的关注认证中心的建设，对于电子商务系统安全 的其他方面研究较少，缺乏整体安全概念。(2)认证中心自身安全性 不够。国内认证中心除了一些大型认证中心外，大多数的认证中心仅是围绕数字证书的颁发，管理等，对认证中心自身安全性考虑不够，相互之间的互操作性也存在问题。(3)对与电子商务安全有关的其他一些技术重视不够。电子商务的一些技术，如访问控制，防火墙技术，数字时间戳等，目前，在电子商务领域对这些安全技术重视不够。5.信息安全技术包括？密码技术，数字签名技术，验证技术。6.网络安全技术包括？防火墙技术，IP协议安全体系7.密码技术包括？（1）对称加密技术。也称为密钥密码技术，特点是计算量小，加密速度快。DES加密标准，是世界上通用的一种基本的加密方法。IBM公司提出。（2）非对称加密技术。 在公钥密码体制出现以前的所有的密码算法都是基于代换和置换这两个基本工具。一方面公钥密码算法的基本工具不再是代换和置换，而是数学函数。另一方面公钥密码算法是以非对称的形式使用两个密钥，两个密钥的使用对保密性，密钥分配，认证都有着深刻的意义。1）公钥密码体制的原理：公钥密码算法最大特点是采用两个相关密钥将加密和解密 能力分开，其中一个密钥是公开的，用于加密，称为公开密钥，简称公钥。另一个密钥是用户专用的，因而是保密的，用于解密，称为秘密密钥，简称私钥。因此公钥密码体制也称为双钥密码体制。 该算法的重要特性：已知密码算法和加密密钥，求解密密钥在计算上是不可行的。2）RSA密码体制。RSA算法是第一个比较完善的公钥密码算法，由Rivest，Shamir。Adleman三个发明人名字命名。它既可以用于加密数据，又可用于数字签名，并且比较容易理解和实现，它经受住了多年的密码分析的攻击，具有较高的安全性和可信度。RSA的安全性基于大数分解的难度，其公钥和私钥是一对大素数的函数，从一个公钥和密文中恢复出明文的难度等价于分解两个大素数之和。 3）椭圆曲线密码体制。为保证RSA算法的安全性，它的密钥长度需一再增大，这使得 它的运算负担也越来越大。相比之下，已被IEEE公钥密码标准P1363采用的椭圆曲线密码体制ECC可用短得多的蜜月获得同样的安全性，应用前景广泛。8.IP协议安全体系。1.安全协议，IPSec提供了两种安全协议：认证头（AH）和封装安全有效载荷（ESP）。AH只提供数据完整性认证机制，可防止数据篡改和重播。ESP同时提供了数据完整性认证和数据加密传输机制，除了AH所有安全能力外，还提供数据机密性。 二者可用分别单独使用，也可用联合使用。 2.安全联盟 SA。 3安全策略SP 。4密钥交换协议 5 IPSec实现模式 9. AH/ESP的安全性完全依赖于所采用的加密算法。10.S/MIME提供两种安全服务：数字签名。邮件加密11 HTTPS作为另一种安全Web通信技术，是指HTTP运行在TLS和SSL上面的实现安全Web事务的协议。12.SSL协议提供的安全信道特性？私密性 确认性 可靠性 13. SET安全电子交易由三个文件组成：SET业务描述，SET程序员指南和SET协议描述。保证了电子商务系统的机密性，数据的完整性，身份的合法性。14.SET中的核心技术有：公开密钥加密 ，电子数字签名，电子信封，电子安全证书15.SET提供的服务：1.保证客户交易信息的保密性和完整性。2、确保商家和客户交易行为的不可否认性，3确保商家和客户的合法性16.SET交易的三个阶段：1.在购买请求阶段，客户与商家确定所用支付方式的细节 2.在支付的认定阶段，商家会与银行核实，随着交易的进展，商家将得到付款 3.在受款阶段，商家向银行出示所有的交易细节，然后银行以适当方式转移货款。17.SET交易流程：1.客户在网上商店看重商品后，和商家进行磋商，然后发出请求购买信息。2.商家要求客户用电子钱包付款 3.电子钱包提示客户输入口令后与商家交换握手信息，确认商家与客户两端均合法 4.客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家 5.商家将含有客户支付指令的信息发送给支付网关。6支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文。 7.商家向客户的电子钱包发送一个确认信息 8.将款项从客户账户转到商家账户，然后向客户送货，交易结束。18.SET安全性分析：1.采用公钥加密和私钥加密相结合 的方法保证数据的保密性。SET协议中，支付环境的信息保密性是通过公钥加密法和私钥加密法相结合的算法来加密支付信息而获得的。采用的公钥加密算法是RSA的公钥密码体制。私钥加密算法采用DES数据加密标准。 2.采用信息摘要技术保证信息的完整性。SET协议是通过数字签名方案来保证消息的完整性和进行消息源的认证的，数字签名方案采用了与消息加密相同的加密原则 3、采用双重签名技术保证交易双方的身份认证。19.电子商务安全协议包括？1）电子邮件安全协议。MIME是正式的因特网电子邮件扩充标准格式。S/MIME（安全多用途因特网邮件扩展协议）是在多功能因特网电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。 2）安全超文本传输协议（S-HTTP），由Netscape公司开发并内置于其浏览器中，用于对数据进行压缩和解压操作。并返回网络上传送回的结果。 3）安全套接层协议SSL 4）安全电子交易协议SET 20.PKI（公钥基础设施）技术，采用证书管理公钥，通过第三方可信任机构认证中心CA，把用户的公钥和用户的其他标识信息（如名称，电子邮件，身份证号），捆绑在一起，在因特网上验证用户的身份。21.PKI的关键组件：数字证书认证中心，注册中心（RA），密钥管理中心（KM）22.一个标准PKI域必须具备的主要内容：1.认证机构 2.证书和证书库 3.密钥备份及恢复 4.证书作废处理系统 5.客户端证书处理系统23.PKI提供的服务：1.认证 2.支持密钥管理 3.完整性和不可否认性 24.数字证书的类型：1.个人身份证书 2.企业或机构身份证书 3.支付网关证书 4.服务器证书 5.企业或机构代码签名证书 6.安全电子邮件证书 7.个人代码签名证书25. 数字签名的原理：数字证书基于公钥技术。26.身份认证，常用的安全认证技术主要有：认证中心认证，数字摘要，数字签名，数字证书 27.数字签名原理：数字签名是公钥加密技术与数字摘要两者的结合。28.无线通讯干扰方法：1.客户端干扰 2.基站干扰 3.拒绝服务干扰29.蓝牙通信技术的特点：1.蓝牙技术工作在全球开放的2.4GHzISM（即工业，科学，医学）频段 2.使用跳频频谱扩展技术，把频带分成若干个跳频心道，在一次链接中，无线收发器按一定的码序列不断地从一个信道跳到另一个信道 3.一台蓝牙设备可同时与其他七台蓝牙设备建立链接 4.数据传输速率可达1Mbit/s 5.低功耗，通信安全性好 6.在有效范围内可越过障碍物进行连接，没有特别的通信视角和方向要求 7.支持语音传输 8.组网简单方便30.蓝牙的安全性：1.无安全模式 2.服务层加强安全模式 3.链路层加强安全模式31.无线公开密钥体系WPKI 并不是一个全新的PKI标准，它是传统的PKI技术应用于无线环境的优化扩展。32.电子商务信息安全面临的威胁：1.电子商务信息存储安全隐患 （1）内部隐患。主要是企业的用户故意或无意地非授权调用电子商务信息或未经许可随意增加，删除，修改电子商务信息 （2）外部隐患。主要是外部人员私自闯入企业，对电子商务信息故意或无意地非授权调用或增加，删除，修改，隐患主要来源有竞争对手的恶意闯入，信息间谍的非法闯入以及黑客的骚扰闯入。 2.电子商务信息传输安全隐患。主要包括，窃取商业秘密，攻击网站，网上诈骗，否认发出信息等 3.电子商务交易双方的信息安全隐患 。买卖双方面临的信息安全威胁。33.信息安全的服务流程包括：1风险评估 2.制定政策 3.安全建置4.认知训练 5.实施稽核34电子政务平台作为政府的另一个非常重要的对外交流渠道，必然会遇到各种敌对势力，恐怖集团，捣乱分子的破坏和攻击。因此电子政府的建设要求比其他系统具有更高的可靠性和安全性，保障国家机器的正常运转，保障中央和各级政府机关职能的正常履行，确保信息的保密性是最基本的要求，是电子政府网络平台建设和应用的关键35电子商务系统的维护主要内容：包括电子商务系统运行管理，电子商务维护工作 ，信息系统运行情况的分析，电子商务系统的备份和恢复方法，电子商务系统的网络管理和维护，电子商务系统的后台管理与维护方法.36及时,准确,完整地记录系统运行情况，是修改与评价的基础。做好管理工作的第一步就是严格记录制度。37电子商务系统的备份和恢复方法：1.手工按期备份 。可用磁带或移动硬盘进行人工备份2.系统自动备份 ，包括增加程序 ，修改菜单，编写批处理 ，恢复38电子商务人员管理的有关制度：1.用工制度。目前，大多数企事业单位用工都采用聘任制。 2.虚拟团队行为规范 。电子商务几乎都是远距离条件下的协同合作。 3.评估制度。主要包括德，能，勤，绩四方面内容39保密制度？1.健全安全管理机制 2.加强信息安全法规建设 3.采用访问控制策略。（1）入网访问控制 （2）操作权限控制 （3）目录级安全控制 （4）属性安全控制 （5）网络服务器安全控制 （6）网络监测和锁定控制 （7）网络端口和锁定控制 （8）防火墙控制 4. 采用数字签名技术 5.采用反病毒技术 6.采用身份鉴别技术 7.采用防火墙技术 8.采用视频干扰，屏蔽和TEMPEST技术40方正Apabi解决方案：方正Apabi数字版权管理系统是北大方正集团在激光照排技术之后，自主研发的又一项出版信息技术，是具有完整DRM技术的中文电子图书系统，涉及网络出版，发行，销售，数字图书馆以及包括手持阅读器在内的多种阅读平台等诸多环节，与国外同类产品相比技术水平相差不大， 且在电子书交易体系结构，数字图书馆对电子图书版权保护支持以及电子图书DRM计数机制方面有所创新。41信息隐藏中隐秘密钥下信息隐藏的基本原理：1.是通过隐蔽性来实现安全性 。2.是要善于利用伪装 3.是要注意隐藏信息嵌入的位置42数字水印的特点：1不可感知性。是指多媒体文件因嵌入水印而产生的变化必须无法被人的感官器官感知，以避免破坏原多媒体文档的图形或声音质量。 2.鲁棒性 3.多重水印 4.安全性 5.确定性和扩展性 6.可证明性 43对数字水印的攻击可分为四类：1.删除攻击。2.解密攻击 3.几何变形攻击 4.协议攻击 44我国目前的信息系统安全评估标准：我国2001年由中国信息安全产品测评认证中心牵头，将ISO-IEC 15408转化为国家标准-GB/T 18336 2001 信息技术安全性评估准则，并直接应用于我国的信息安全测评认证工作，其中，基础性等级划分标准GB 178591999计算机信息系统安全保护等级划分准则是其他标准的基础，是信息系统安全等级保护实施指南，为等级保护的实施提供指导五个属性：机密性，完整性，可用性，可控性和责任可追查性 五个等级：用户自主保护级，系统审计保护级，安全标记保护级，结构化保护级，访问验证保护级。 五个层面：物理，网络，系统，应用，管理 三个过程控制：构建测评 执行控制45电子商务测评认证的重要性，信息安全测评认证体系的建立，对我国的意义：首先，对我国按国际惯例建立和实施有关信息产品，信息安全产品的市场准入制度，技术管理和信息系统运行控制制度等方面的决策，提供科学公正的技术依据。其次，对各方用户采购信息安全产品，涉及，建设，使用和管理安全的信息系统提供权威，公正的专业指导。再次，对信息安全产品的研发，开发，生产企业和提供其他信息安全服务的企业，进行严格规范与科学引导，提高其市场竞争能力和技术进步水平46.我国测评认证过程：第一步.方案评审。通过对提交的信息系统的相关文档分析，在技术上测评实现“安全”的先进性和完备性，在需求上测评对用户安全需求的符合性。 第二步。技术文档审查。1.信息系统技术方案审查，包括：建设的目的及依据，应用业务及需求等。2.信息系统安全管理机构及制度审查，包括安全管理的领导机构和执行机构的名称，级别，负责人和有关专职人员名单等。3.信息系统工程实施过程文档，包括实施单位及技术人员介绍等 4.信息系统审计与评估文档。包括评估信息资产的重要性，以及如果信息或信息处理系统不可用时所带来的影响