电子商务安全总复习

1、总复习大纲一、上机考试 内容：以下5选2,下载地址： 用户名：dianshang06 Windows 2000环境下NTFS机制应用2）加密与解密（RSA&DES）3）数字证书应用4）安全站点的创建与访问5）VPN实验6）电子邮件证书的使用二、理论考试一） 内容重点提示：重点章节三四五章（一）类型：1. 单选402. 判断203. 简答154. 综合论述25（二）复习大纲第一章：本书的引导1 电子商务安全问题涉及的四个方面信息、信用、管理、法律2 计算机信息系统的概念3 电子商务安全体系的结构：实体、运 行、信息。结构图形的理解4 访问控制：P11 出入与存取5

2、 三个方面来保障商务：技术、管理、 法律第二章：（管理和技术标准）1. 组织：ISO IEEE IETF2 人员管理的策略 P383 涉及的法律问题：P43第三章 信息安全技术（重点）1 信息安全传输的安全要求（五点）2 信息安全要求与对应应用的技术： 机密性：加密技术一对称加密（私钥 加密体制：DES）,非对称加密（公钥加密体制：RSA）完整性：数字摘要（196、128、160） （HASH:单向函数，不可逆）;数字签名（数字摘要技术+RSA身份的可验证性：数字证书（CA中心: 公钥（公开）、颁发机构的数字签名）、 数字签名（RSA中的私钥）、生物特征、 识别码等不可否认性：数字签名、数字证

3、书、 数字时间戳（第三方公证、权威机构：CA访问控制：OS级访问控制权限、防火 墙、口令、生物特征等3、加密技术：对称加密（私钥加密体制： DES），非对称加密（公钥加密体制：RSA1）概念：加密、解密、密钥（Key）、 加密算法2）两种加密体制：加 密别名Key代表优缺点比较类 型对 称 加 密私钥 加密 体制加解密 使用同 把keyDES(56+8)加密速度 快、效率高、 算法难度 低、开销小； 保密性不 高、密钥管 理难度大、 密钥传输难 度大、密钥 数量多 适合于大量 信息加密非 对 称 加 密公钥 加密 体制密钥 对：私 钥与公钥：1.验证 模式： 私钥加RSARSA 数学 原理保密

4、性能高算法难度 大、开销大、 速度慢、效 率低、成本 高密;公钥解适合于小量 信息加密， 如密钥传递如：数 字签名与验证签名2、加密 模式： 公钥加私钥解 密如：数 字信封4、数字摘要，又叫数字指纹。利用散列(hash)函数对不定长信息进行加密而 形成的固定长度(128, 160，196位)的 数据序列的过程。作用：完整性Hash的特征：单向、不可逆、执行结果 是固定的结果、敏感性它是形成数字签名的基础.5、数字签名：数字摘要技术+ RSA （私 钥）1）不可以否认2）身份的验证3）保证所签名信息的完整性另外：数字签名的流程图 P59图3-9;数字签名过程文字的描述；P596、密钥管理与CA1

5、）密钥管理：生成、发放、更新、恢复、 撤销/终止2）对称密钥的保管和传输：利用非对称 加密如RSA来实现。例子：数字信封、 安全加密邮件（P65图3-10）3）CA :这是一认证中心，是权威的公 正的第三方，其主要职能是4）数字时间戳：概念，组成P727、数字证书：含义；内容； X.509 V3 版本的内容；类型；CA ;8、数字证书及相关的信息安全技术在信息传递过程中的应用。参考P78-79图3-14和图3-15（发送方、接收方）第四章：Internet安全1. Internet安全保护的层次：网络层、 应用层、系统安全三层。P81-83 每层的范围、安全措施要掌握。2. FireWall:

6、1）FW的含义2）FW的作用3）FW的局限性4）FW的分类：包过滤、应用型网关等5）包过滤型：路由器；IP包过滤；P86； 工作在网络层6）应用型网关：工作在应用层；PoxyServer;3、IPSec 协议：1）安全机制：访问控制、无连接完整性、 数据源验证、抗重放、机密性和有限业 务流机密性。P912）工作在IP层3）文档结构图及含义。P92图4-5,表4-14）安全关联SA的两种模式：隧道模式、 传输模式（P93）4、其它安全协议：S/MIME、 SHTTP（shttp:）、SSL（https:/）、SET 交易的参与方P109。第五章数字证书1 数字证书格式内容、版本2. 数字证书的自

7、我保护 P1193. X . 509 V3格式中允许的名称P1254. 公私钥对的管理：生成与保护P128-1295证书的申请与生成：P132-1336. CRL :内容第六章 PKI1.PKI的含义P151,不可否认的含 义 P1692.PKI 功能：P1523.PKI的核心CA4.CA的结构：树型层次、认证路 径5.PKI的不可否认机制：来源、送 递、提交第七章：实例CFCA 、SHECA、CNCA 等 附录：法律相关内容1、病毒的定义；2、病毒的一般特征及其危害性；3、常见的病毒的表现，以及防治办法;二、信息系统评估准则与安全策略1、可信计算机系统安全等级划分;2、信息系统的安全防护策略

8、；3、常用的系统备份方法；综合论述题目：1、电子商务安全存在哪些威胁，目前电 子商务采用的安全措施有哪些？一)电子商务的安全威胁主要存在三个 方面：电子商务交易方自身网络安全威 胁；电子交易数据的传输安全威胁；电 子商务的支付安全威胁。1、电子商务交易方自身 网络安全威胁 商业企业一旦把主机或内部网连接到 INTERNET 上，即面临很多安全威胁： 系统也可能遭到身份不明人物的攻击， 如“黑客”借助工具软件拦截或猜测合 法用户的账户和密码。因此必须具有以 下安全保障：(1) 要保证硬件资源的安全：漏洞、后门、 黑客攻击、人为损坏或不可抗拒力破坏。 系统采取有效措施保证配件资源的可用 性，要具备

9、抵御破坏及发生灾难时迅速 恢复的能力。要加强主机本身的安全， 做好安全配置，及时安装安全补丁程序， 减少漏洞；要用各种系统漏洞检测软件 定期对网络系统进行扫描分析，找岀可 能存在的安全隐患，并及时加以修补； 从路由器到用户各级建立完善的 访问控 制措施，安装防火墙，加强授权管理和 认证。(2) 要保护软件和数据库资源的安全：对 于重要的软件系统和数据库，首先应建 立备份，其次应该保证软件和数据资源 不被滥用和破坏，不会受到病毒的侵袭、 数据库的漏洞。安装防病毒软件，加强 内部网的整体防病毒措施。要保证内部系统的门户安全：建立的 详细的安全审计日志。2、电子交易数据的传输安全威胁主要存在交易数据

10、的信息泄露、破坏、 截获、丢失、重复、篡改和冒名顶替、 抵赖等威胁安要求一般包括以下几个基本方面： 交易数据和信息的 保密性要求：例如 客户的姓名或信用卡账号及密码，一旦 被人非法截获或盗用，势必会给交易的 双方带来巨大的损失，因此必须采取有 效的安全措施保证电子交易的数据不会 被人非法得到或滥用。(2) 交易数据和信息的完整性要求：数据 在传输过程中信息的丢失、重复或信息 传送的次序差异会导致贸易各方所持有 的信息的差异，恶意竞争者也会利用篡 改和冒名顶替的手段来破坏信息的完整 性，因而在数据和信息到达目的地时， 要有一定的技术手段来保证和检验所得 到的数据和信息与原始被发出信息是一 致的。

11、(3) 交易各方身份的可认证性要求：这就 需要到CA认证中心来管理。(4) 交易本身的不可抵赖性要求：不可抵 赖性可通过对发送的消息进行数字签名 来获取。(5 )信息有效性要求：3、电子商务的支付安全威胁 电子支付是电子商务中的重要环节，涉及到用户与银行等金融部门的交互和接 口，其安全性 是整个电子商务安全中很 重要的一个方面。从广义上说，电子支 付就是资金或与资金有关的信息通过网 络进行交换的行为，主要通过信用卡、 电子支票、数字现金、智能卡等方式来 实现的。所以安全性一直是电子支付实 现所要考虑的最重要的问题之一。二)目前电子商务采用的安全措施主要 从以下三个方面来实施1、管理上的安全措施

12、 首先在高层管理要引起对电子商务安全 的足够重视，促成管理人员同相关的技 术人员一起制定企业内部、外部网络安 全规划和标准，在规划中应该指出企业 信息安全在近期和未来一段时间内要达 到什么级别和标准，预备投入的资源等。 其次在规划和标准的指导下要制定详细 的安全行为规范，包括各种硬软件设备 使用和维护权限的管理办法，网络系统 登录和使用的安全保障管理办法，数据 维护和备份的管理规定等。最后要特别注意安全条例的执行保障， 即有了规定就一定要按照规定去执行。 只有管理上具备明确的目标和标准，技 术人员才能更好地为其提供安全上的技 术支持。最后是人员管理2、法律上的安全保障 其主要涉及的法律要素有：

13、(1)有关电子商务交易各方合法身份认证 的法律。电子商务认证中心是电子商务 中的核心角色，它担负着保证电子商务 公正、安全进行的任务。因而必须由国 家法律来规定CA中心的设立程序和资 格以及必须承担的法律义务和责任，同 时要由法律规定对CA中心进行监管方 法以及违规后的处罚措施。(2) 有关保护交易者个人及交易数据的法 律。本着最小限度收集个人数据、最大 限度保护个人隐私的原则来制定法律， 以消除人们对泄露个人隐私以及重要个 人信息的担忧。(3) 有关电子商务中电子合同合法性及如 何进行认证的法律。需要制定有关法律 对电子合同的法律效力、数字签名、电 子商务凭证的合法性予以确认；需要对 电子商

14、务凭证、电子支付数据的伪造、 变更、涂销做出相应的法律规定。(4) 有关网络知识产权保护的法律。3、技术上的安全保障1) 网络技术方面：防火墙技术，虚拟私 人网(VPN)技术，网络杀毒技术，用户 管理等2) 交易数据方面：交易数据的安全要求 体现在保密性、完整性、不可抵赖性、 身份的可认证性，目前所采用的主要 技术有，CA认证中心3) 交易支付的安全方面：采用目前较普遍使用的SSL与SET技术。SSL安全 套接协议是基于WEB系统的端到端 之间的安全传输协议，而 SET安全电 子交易协议是保护信用卡支付安全协 议。二者在目前结全使用 对于维护企业内外部网安全的技术包括 用户密码和权限管理技术，

15、防火墙技术， 虚拟私人网（VPN）技术，网络杀毒技术 等；维护交易数据在INTERNET上安全 传输的技术包括数据加密，数字签名等， 其中为了识别用户在现实世界中的真实 身份还要涉及到CA认证中心；另外为 了维护电子交易中最为关键的资金流动 特别是信用卡支付的安全，还要涉及到 两个应用广泛的协议：SSL和SET协议。 综上所述，电子商务的安全需要依靠三 个方面的支持：一是信息技术方面的措 施，如防火墙、网络防毒、信息加密、 身份认证、授权等，但只有技术措施并 不能保证百分之百的安全；二是信息安 全管理制度的保障；三是社会的法律政 策与法律保障。只有三管齐下，才能最终保证电子商务的安全。2、假定

16、数据在信道上是加密传输的，那么采用MAC认证就会呈现两种方式：（1）对明文认证，即在发送方将报文及 其MAC 起加密，接收方解密后，分 成两部分，再对解密后的明文生成 MAC与传输来的 MAC进行比较。（2）对密文认证，即接收方在未解密前 先对报文的密文生成 MAC与由A方传 送来的MAC的密文进行比较。用图示说明以 上两种MAC认证方式的认证过程。P50 出师表两汉：诸葛亮先帝创业未半而中道崩殂， 今天下三分，益州疲弊，此诚危急存亡之秋也。然侍卫之臣 不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。诚宜开张圣听，以光 先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路

17、也。宫中府中，俱为一体；陟罚臧否，不宜异同。若有作奸犯科及为忠善者，宜付有司论其 刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚 以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰能”是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。亲贤臣，远小人，此先汉所以兴隆也； 亲小人，远贤臣，此后汉所以倾颓也。 先帝在时, 每与臣论此事，未尝不叹息痛恨于桓、 灵也。侍中、尚书、长史、参军，此悉贞良死节之臣， 愿陛下亲之、信之，则汉室之隆，可计日而待也 .FT臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。先帝不以臣卑鄙，猥自枉 屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以