电子商务安全导论(百分百考点)#知识学习

1、电子商务安全简介n .解释1、电子商务：顾名思义，是以电子技术为基础的商业运营，利用电子技术进行加强、加速、扩大、加强，改变与该过程相关的商业。2，EDI:电子数据交换是实现BTOB式交易的第一代电子商务技术。BTOB:企业机构之间的电子商务活动。BTOC:企业机构与消费者之间的电子商务活动。5、内部网：基于TCP/IP协议的企业内部网络，通过防火墙或其他安全机制与内部网建立连接。内部网提供的服务主要针对企业内部。6，Extranet:是指基于TCP/IP协议的企业外部网，是协作网络。7、业务数据的机密性：业务数据的机密性或机密性是指在信息通过网络传输或存储的过程中，不被他人窃取信息，不向未经

2、授权的用户或组织公开或公开信息，或在加密伪装后防止未经授权的用户知道其内容。8，邮件炸弹：攻击者将多个垃圾邮件发送到同一个邮箱，阻止该邮箱。9、TCP劫持入侵：对服务器的最大威胁之一。基本想法是控制连接到入侵目标网络的计算机，断开与网络的连接，使网络服务器误以为黑客是真正的客户端。10、HTTP协议的“无记忆状态”:即服务器发送到客户端的响应后，某些交互被遗忘。像TLENET这样的协议是“记忆状态”，需要记住、请求和响应有关双方的很多信息。1，纯文本：原始、未伪装的消息也称为纯文本，也称为源。通常用m表示。2，密文：通过一个密钥和加密算法将明文转换为称为密文的伪信息。通常用c表示。3，加密：用

3、基于数学算法的程序和加密密钥对信息进行编码，生成其他人难以理解的字符，即把明文替换为密文的过程。通常用e表示。4，解密：从密文还原为明文的过程，称为解密。通常用d表示。5，加密算法：用于明文加密的规则集，即加密程序的逻辑称为加密算法。6，解密算法：将消息发送给收件人后，用于解密密文的一系列规则称为解密算法。7，密钥：加密和解密算法通常通过一组称为加密密钥和解密密钥的密钥的控制来工作。通常用k表示。8，单密钥密码系统：用于加密和解密的加密系统，使用一次性或本质上相等的密钥。使用单密钥密码系统时，通信方A B必须相互交换密钥，当A发送信息B时，A使用自己的加密秘密密钥加密，B接收到数据后，必须用A

4、的密钥解密。单密钥密码系统也称为秘密密钥系统或对称密钥系统。9、双密钥密码系统也称为公钥系统或不对称加密系统，该加密在加密和解密过程中使用一对密钥，另一个用于解密。也就是说，通过一个密钥加密的信息只能使用另一个密钥解密。然后，每个用户将使用公钥和私钥，公钥添加密钥，私钥用于解密。用户将公钥交给发送者或公开时，信息发送者用接收方的公钥加密的信息只能由接收方解密。1，数据完整性：数据完整性意味着数据处于“完好无损的状态”和“完整、未分割的质量或状态保持不变”。2、数字签名：使用数字技术在网络上传输文档时，贴上个人标记，完成系统中的手写签名日的作用，以表示确认、责任、警卫等。3，双密码加密：用于一对

5、匹配的密钥。一个是公钥，公开，其他人可以得到；另一个是私钥，属于私有。此密钥经常用于加密，一个用于解密。4，数字信封：发件人使用随机生成的DES密钥加密邮件，然后使用收件人的公钥加密DES密钥。这称为邮件的“数字信封”，将数字信封连同DES加密邮件一起发送给收件人。收件人收到消息后，使用私钥查找数字信封，接收发件人的DES密钥，然后使用此密钥解密消息。您只能使用收件人的RSA私钥打开此数字信封，以验证收件人的身份。5，混合加密系统：综合使用消息加密、数字信封、散列功能和数字签名，实现安全性、完整性、可识别性和不可否认性。目前已成为信息安全传输的标准模型，一般称为“混合加密系统”，广泛使用。6、

6、数字时间戳：将不可篡改的数字时间戳附加到文件是重要的安全技术。数字时间戳必须保证：(1)数据文件上的时间戳与存储数据的物理介质无关。(2)带有时间戳的文档完全不能更改。(3)文件不能附加与当前日期和时间不同的时间戳。7.无争议的签名：没有签名者本人的协助，无法验证签名的签名。明确的签名旨在防止复制签名的文件，有助于产权所有者控制产品分发。8、消息认证：收件人可以确认消息发送者和发送的消息内容是否被篡改。9、确定性数字签名：纯文本与密文一一对应，特定消息的签名保持不变。10，随机数字签名：根据签名算法中随机参数的值，对同一消息的签名也相应地发生变化。11、盲签名：通常在数字签名中，必须先知道文档

7、的内容才能签名。有时需要签署文件，但不要让文件的内容知道，这称为盲签名。12、完全盲签名：让1作为仲裁者，2作为1签署文件，不告诉你自己签署的文件内容是什么，1对签署的内容不感兴趣。只允许在需要的时候进行仲裁，此时通过完全盲签名合同进行。完全盲签名是对目前签署的文件的内容不感兴趣，不知道，以后需要时可以作证仲裁。13，双重签名：在电子商务活动中，两个联系消息M1和M2可以同时存在，数字签名可以同时存在。1，备份：作为恢复出现故障的系统的方法之一，您可以将最近的系统备份恢复到备份系统。2，存档：将文件从计算机的存储介质移动到其他永久介质以进行长期保留的过程。3、计算机病毒：一组计算机指令或程序代

8、码，可以按照插入计算机程序的方式破坏计算机功能或破坏数据，影响计算机的使用，并可以自行复制。4、镜像技术：一种数据备份技术，主要包括网络数据镜像、远程镜像磁盘等。5，网络物理安全性：这意味着物理设备的可靠性、稳定的操作环境、容错、备份、存档和数据完整性预防。6，奇偶校验：也是服务器的属性。此外，它还提供了确保内存错误检测的机器机制，因此不会因服务器故障而丢失数据完整性。7，引导病毒：是指寄生在磁盘引导区域或主引导区域的计算机病毒。8、文件病毒：可以保存在文件中的计算机病毒。这些病毒程序感染可执行文件或数据文件。9，良性病毒：一种计算机病毒，它不仅仅为了表达自己而完全破坏系统和数据，而是耗费大量

9、CPU时间，增加系统开销，降低系统工作效率。10、恶性病毒：是一种计算机病毒，一旦发病，系统或数据就会受损，导致计算机系统瘫痪。1、防火墙：是一种预防措施的总称。2、非接收网络：通常表示外部网络。3，chook:提供内部和外部两个网络之间的访问控制。4、接收网络通常表示内部网络。5、LAN表示特定区域的网络。6，虚拟专用网(VPN):通过一个公共网络建立临时、安全链接。(1)访问控制：访问或访问控制是对主体进行身份验证后，不同级别的主体控制对目标资源的不同授权访问的一组机制，从而确保网络安全的重要手段使用网络资源安全管理。(2)自主访问控制：简单地记为DAC。资源所有者分配访问权限，访问控制作

10、为区分每个用户的条件。每个用户的访问权限由数据所有者设置，并作为访问控制表或权限表实施。(3)强制访问控制：简单地记为MAC。系统管理员分配访问权限、实施控制、轻松与网络上的安全策略协调，以及经常用于多级安全控制的敏感标记。(4)加密网桥技术：基于加密网桥的加密网桥开发技术为数据库加密字段的存储、检索、索引、计算、删除、修改等功能的实现提供了接口，且其实现与密码算法、密码设备无关。(5)访问权限：表示主体在访问对象时可以拥有的权利。存取权限必须根据每个主体配对(例如读取、写入、执行等)来限定，读取和写入的意义明确，执行权限是指当目标是程式时，检视和执行档案1、拒绝率或虚假报告率：认证系统的质量

11、指标被法律用户拒绝的概率。2，缺失率：表示非法用户伪造身份成功的概率。3、pass-through是根据已知情况确认身份的方法，也是最常用的验证方法。4，域内验证：这意味着客户机向此KERBEROS的验证域内的服务器请求服务。5，跨域验证：这意味着客户机向此KERBEROS的验证域中的服务器请求服务。1，数字认证：以数字方式确认、认证，认证参与信息交换的网络或服务器的身份。2、公钥证书：将公钥与特定人员、设备或其他实体相关联。公钥证书是证书颁发机构签署的，包含证明者的正确id。3、公钥数字证书：网络上的认证文档，证明双密钥系统的公钥所有者是证书上记录的用户。4、单一公钥证书系统：一个系统中的所

12、有用户都将同一CA作为公共使用。5、多公钥证书系统：用于不同证书的用户的相互认证。6、客户证书：确认客户id和密钥所有权。7、服务器证书：验证服务器的id和公钥。8、安全邮件证书：确认电子邮件的身份和公钥。9、CA证书：验证CA id和CA的签名密钥。10，证书颁发机构CA:用于创建和发布证书，它为有限的组(通常称为安全域)颁发证书。11、安全服务器：适用于提供安全服务(如证书请求、导航、证书吊销表单和证书下载)的最终用户。12、ca服务器：作为整个认证机构的核心，负责证书的发布。13、数据库服务器：认证机构存储和管理认证机构数据(如密钥和用户信息等)、日志和统计信息的核心部分。14、公钥用户

13、是需要知道公钥的实体是公钥用户。15、更新证书：当证书持有者的证书过期、证书被盗并受到攻击时，如何用新证书继续参与在线认证。证书更新包括更换证书和延长证书两种情况。简短的答案1、什么是数据完整性维护？答：业务数据的完整性或准确性是保护原始数据不被未经身份验证的人员修改、构建、包含、删除、重复传输或其他原因更改。存储时要防止非法篡改，防止网站上的信息被破坏。如果在传输过程中接收到的信息与收件人发送的信息完全相同，则意味着在传输过程中不会损坏信息，信息具有完整性。加密信息在传输过程中的机密性不能保证不会修改。2、网络攻击阶段？答：第一步，创建看起来可信的网页，实际上创建“相同”的假网页和实际网页等

14、页面和链接。第二步：攻击者完全控制假网页。所以浏览器和网络都通过了攻击者。第二步，攻击者利用网页制造假的结果。攻击者可以记录受害者访问的内容，当受害者填写表格发送数据时，攻击者可以记录所有数据。攻击者还可以记录服务器响应的数据。这样，攻击者就可以窃取在线商务中使用的大量表单信息，包括帐号、密码和秘密信息。攻击者也可以根据需要修改数据。攻击者可以为链接创建假，无论使用的是SSL还是S-HTTP。也就是说，即使受害者的巡演上显示了安全链接图标，受害者仍可能链接到不安全的链接。3、什么是内部网？答：内部网是指基于TCP/IP协议的内部网。通过防火墙或其他安全机制与intranet建立连接。intra

15、net可以提供任何intranet应用程序服务(如WWW、E-MAIL等)，但服务仅针对企业内部。与内部网一样，内部网也很灵活，企业可以利用多种内部网互连技术构建具有不同规模和功能的网络。4、为什么交易的安全性是电子商务独有的？答：这也是电子商务系统独有的。在我们的日常生活中，收入和第一次交易必须经过一定的程序，各方必须出具各种收据证书，签名日，作为法律证书。但是在电子商务中，交易在网上进行，双方干脆不见面，如果一方反悔，另一方怎么能向法院证明合同呢？为此，在线认证机构必须认证所有业务，以维护交易的安全，防止恶意欺诈。5、攻击网站的方法是什么？答：安全信息已解密：web服务器上的安全信息(如密

16、码、密钥等)已解密，使攻击者进入web服务器。浏览器以多种形式访问网站上的数据的强大功能为用户和攻击者打开了许多方便的门。攻击者试图从内部网络获取或使用信息。电脑资源。因此，必须保护网站免受入侵者的攻击。最常见、最有效的保护是使用防火墙。非法访问：未经授权的人非法访问web上的文件，破坏电子商务的个人信息，机密地截获。截取事务信息：用户向服务器发送事务信息时发生截取。攻击者利用软件漏洞：系统中的软件错误可能导致攻击者对web服务器发出命令，从而修改和损坏系统，或破坏整个系统。CGI脚本编写的程序或其他直接在主机上操作命令的程序(如远程用户在导航中输入表单和检索)会对web主机系统带来风险。6、web客户端和web服务器的操作分别是什么？答：web客户端的任务是：(1)当有面向客户的服务请求超链接时启动。(2)将客户的请求发送到服务器。(3)解释服务器传递的HTML等格式的文档，并通过浏览器向客户显示。web服务器的任务是(1)接收客户机的请求。(二)确认请求的合法性；(3)使用程序(例如CGI脚本)为该文件设置相应的MIME类型，以获取和生成请求的数据，从而对数据进行预处理和后处理。(4)向请求的客户端发送信息。7、电子商务安全的六个中心内容是什么？A (1)业务数据的机密性或机密性是指在通过网络传输或存储信息的过程中，不被他人窃取、泄漏或泄露给未