電子商務(wù)安全導(dǎo)論(百分百考點)

1、1電子商務(wù)安全導(dǎo)論電子商務(wù)安全導(dǎo)論名詞解釋名詞解釋1，電子商務(wù)：顧名思義，是，電子商務(wù)：顧名思義，是建立在電子技術(shù)基礎(chǔ)上的商業(yè)建立在電子技術(shù)基礎(chǔ)上的商業(yè)運作，是利用電子技術(shù)加強，運作，是利用電子技術(shù)加強，加快，擴展，增強，改變了其加快，擴展，增強，改變了其有關(guān)過程的商務(wù)。有關(guān)過程的商務(wù)。2，EDIEDI：電子數(shù)據(jù)交換是第：電子數(shù)據(jù)交換是第一代電子商務(wù)技術(shù)，實現(xiàn)一代電子商務(wù)技術(shù)，實現(xiàn)BTOBBTOB方式交易。方式交易。3，BTOBBTOB

2、：企業(yè)機構(gòu)間的電子：企業(yè)機構(gòu)間的電子商務(wù)活動。商務(wù)活動。4，BTOCBTOC：企業(yè)機構(gòu)和消費者：企業(yè)機構(gòu)和消費者之間的電子商務(wù)活動。之間的電子商務(wù)活動。5，intraintra：是指基于：是指基于TCPIPTCPIP協(xié)議的企業(yè)內(nèi)部網(wǎng)絡(luò)，協(xié)議的企業(yè)內(nèi)部網(wǎng)絡(luò)，它通過防火墻或其他安全機制它通過防火墻或其他安全機制與intraintra建立連接。建立連接。intraintra上提供的服務(wù)主要是上提供的服務(wù)主要是面向的是企業(yè)內(nèi)部。面向的是企業(yè)內(nèi)部

3、。6，ExtraExtra：是指基于：是指基于TCPIPTCPIP協(xié)議的企業(yè)外域網(wǎng)，它協(xié)議的企業(yè)外域網(wǎng)，它是一種合作性網(wǎng)絡(luò)。是一種合作性網(wǎng)絡(luò)。7，商務(wù)數(shù)據(jù)的機密性：商務(wù)，商務(wù)數(shù)據(jù)的機密性：商務(wù)數(shù)據(jù)的機密性或稱保密性是指數(shù)據(jù)的機密性或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲的過信息在網(wǎng)絡(luò)上傳送或存儲的過程中不被他人竊取，不被泄露程中不被他人竊取，不被泄露或披露給未經(jīng)授權(quán)的人或組織，或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)或者經(jīng)過加

4、密偽裝后，使未經(jīng)授權(quán)者無法了解其內(nèi)容。授權(quán)者無法了解其內(nèi)容。8，郵件炸彈：是攻擊者向同，郵件炸彈：是攻擊者向同一個郵件信箱發(fā)送大量的垃圾一個郵件信箱發(fā)送大量的垃圾郵件，以堵塞該郵箱。郵件，以堵塞該郵箱。9，TCPTCP劫持入侵：是對服務(wù)劫持入侵：是對服務(wù)器的最大威脅之一，其基本思器的最大威脅之一，其基本思想是控制一臺連接于入侵目標(biāo)想是控制一臺連接于入侵目標(biāo)網(wǎng)的計算機，然后從網(wǎng)上斷開，網(wǎng)的計算機，然后從網(wǎng)上斷開，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是

5、讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實際的客戶端。實際的客戶端。1010，HTTPHTTP協(xié)議的協(xié)議的“有無記憶有無記憶狀態(tài)狀態(tài)”：即服務(wù)器在發(fā)送給客：即服務(wù)器在發(fā)送給客戶機的應(yīng)答后便遺忘了些次交戶機的應(yīng)答后便遺忘了些次交互?；?。TLETLE等協(xié)議是等協(xié)議是“有記憶有記憶狀態(tài)狀態(tài)”的，它們需記住許多關(guān)的，它們需記住許多關(guān)于協(xié)議雙方的信息，請求與應(yīng)于協(xié)議雙方的信息，請求與應(yīng)答。答。1，明文：原始的，未被偽裝的，明文：原始的，未被偽裝的消息稱做明文，

6、也稱信源。通消息稱做明文，也稱信源。通常用常用M表示。表示。2，密文：通過一個密鑰和加密，密文：通過一個密鑰和加密算法將明文變換成一種偽信息，算法將明文變換成一種偽信息，稱為密文。通常用稱為密文。通常用C表示。表示。3，加密：就是用基于數(shù)學(xué)算法，加密：就是用基于數(shù)學(xué)算法的程序和加密的密鑰對信息進的程序和加密的密鑰對信息進行編碼，生成別人難以理解的行編碼，生成別人難以理解的符號，即把明文變成密文的過符號，即把明文變成密文的過程。通常用程。

7、通常用E表示。表示。4，解密：由密文恢復(fù)成明文的，解密：由密文恢復(fù)成明文的過程，稱為解密。通常用過程，稱為解密。通常用D表示。示。5，加密算法：對明文進行加密，加密算法：對明文進行加密所采用的一組規(guī)則，即加密程所采用的一組規(guī)則，即加密程序的邏輯稱做加密算法。序的邏輯稱做加密算法。6，解密算法：消息傳送給接收，解密算法：消息傳送給接收者后，要對密文進行解密時所者后，要對密文進行解密時所采用的一組規(guī)則稱做解密算法。采用的一組規(guī)則稱做解密算法

8、。7，密鑰：加密和解密算法的操，密鑰：加密和解密算法的操作通常都是在一組密鑰的控制作通常都是在一組密鑰的控制下進行的，分別稱作加密密鑰下進行的，分別稱作加密密鑰和解密密鑰。通常用和解密密鑰。通常用K表示。表示。8，單鑰密碼體制：是加密和解，單鑰密碼體制：是加密和解密使用楨或?qū)嵸|(zhì)上等同的密鑰密使用楨或?qū)嵸|(zhì)上等同的密鑰的加密體制。使用單鑰密碼體的加密體制。使用單鑰密碼體制時，通信雙方制時，通信雙方AB必須相互必須相互交換密鑰，當(dāng)交換密鑰，當(dāng)

9、A發(fā)信息發(fā)信息B時，時，A用自己的加密密鑰匙進行加密，用自己的加密密鑰匙進行加密，而B在接收到數(shù)據(jù)后，用在接收到數(shù)據(jù)后，用A的密鑰進行解密。單鑰密碼體制密鑰進行解密。單鑰密碼體制又稱為秘密密鑰體制或?qū)ΨQ密又稱為秘密密鑰體制或?qū)ΨQ密鑰體制。鑰體制。9，雙鑰密碼體制又稱作公共密，雙鑰密碼體制又稱作公共密鑰體制或非對稱加密體制，這鑰體制或非對稱加密體制，這種加密法在加密和解密過程中種加密法在加密和解密過程中要使用一對密鑰，一個用與加要使用一對

10、密鑰，一個用與加密，另一上用于解密。即通過密，另一上用于解密。即通過一個密鑰加密的信息，只有使一個密鑰加密的信息，只有使用另一個密鑰才能夠解密。這用另一個密鑰才能夠解密。這樣每個用戶都擁有兩個密鑰：樣每個用戶都擁有兩個密鑰：公共密鑰和個人密鑰，公共密公共密鑰和個人密鑰，公共密鑰用于加密鑰，個人密鑰用于鑰用于加密鑰，個人密鑰用于解密。用戶將公共密鑰交給發(fā)解密。用戶將公共密鑰交給發(fā)送方或公開，信息發(fā)送者使用送方或公開，信息發(fā)送者使用接收人的

11、公共密鑰加密的信息接收人的公共密鑰加密的信息只有接收人才能解密。只有接收人才能解密。1，數(shù)據(jù)的完整性：數(shù)據(jù)的完，數(shù)據(jù)的完整性：數(shù)據(jù)的完整性是指數(shù)據(jù)處于整性是指數(shù)據(jù)處于“一種未受一種未受損的狀態(tài)損的狀態(tài)”和“保持完整或未保持完整或未被分割的品質(zhì)或狀態(tài)被分割的品質(zhì)或狀態(tài)”。2，數(shù)字簽名：是利用數(shù)字技，數(shù)字簽名：是利用數(shù)字技術(shù)實現(xiàn)在網(wǎng)絡(luò)傳送文件時，附術(shù)實現(xiàn)在網(wǎng)絡(luò)傳送文件時，附加個人標(biāo)記，完成系統(tǒng)上手書加個人標(biāo)記，完成系統(tǒng)上手書簽名蓋章的作用，

12、以表示確認，簽名蓋章的作用，以表示確認，負責(zé)，經(jīng)手等。負責(zé)，經(jīng)手等。3，雙密碼加密：它是一對匹，雙密碼加密：它是一對匹配使用的密鑰。一個是公鑰，配使用的密鑰。一個是公鑰，是公開的，其他人可以得到；是公開的，其他人可以得到；另一個是私鑰，為個人所有。另一個是私鑰，為個人所有。這對密鑰經(jīng)常一個用來加密，這對密鑰經(jīng)常一個用來加密，一個用來解密。一個用來解密。4，數(shù)字信封：發(fā)送方用一個，數(shù)字信封：發(fā)送方用一個隨機產(chǎn)生的隨機產(chǎn)生的DESDES密鑰

13、加密消息，密鑰加密消息，然后用接收方的公鑰加密然后用接收方的公鑰加密DESDES密鑰，稱為消息的密鑰，稱為消息的“數(shù)字信封數(shù)字信封”，35，局域網(wǎng)指一定區(qū)域范圍內(nèi)的，局域網(wǎng)指一定區(qū)域范圍內(nèi)的網(wǎng)絡(luò)。網(wǎng)絡(luò)。6，VPNVPN（虛擬專用網(wǎng)）：是指（虛擬專用網(wǎng)）：是指通過一個公共網(wǎng)絡(luò)建立一個臨通過一個公共網(wǎng)絡(luò)建立一個臨時的，安全鏈接。時的，安全鏈接。（1）接入控制：接入或訪問控）接入控制：接入或訪問控制是保證網(wǎng)絡(luò)安全的重要手段，制是保證網(wǎng)絡(luò)安全的

14、重要手段，它通過一組機制控制不同級別它通過一組機制控制不同級別的主體以目標(biāo)資源的不同授權(quán)的主體以目標(biāo)資源的不同授權(quán)訪問，在對主體認證之后實訪問，在對主體認證之后實施網(wǎng)絡(luò)資源安全管理使用。施網(wǎng)絡(luò)資源安全管理使用。（2）自主式接入控制：簡記為）自主式接入控制：簡記為DACDAC。它由資源擁有者分配接入。它由資源擁有者分配接入權(quán)，在辨別各用戶的基礎(chǔ)上實權(quán)，在辨別各用戶的基礎(chǔ)上實現(xiàn)接入控制。每個用戶的接入現(xiàn)接入控制。每個用戶的接入權(quán)由數(shù)據(jù)的擁有

15、者來建立，常權(quán)由數(shù)據(jù)的擁有者來建立，常以接入控制表或權(quán)限表實現(xiàn)。以接入控制表或權(quán)限表實現(xiàn)。（3）強制式接入控制：簡記為）強制式接入控制：簡記為MACMAC。它由系統(tǒng)管理員來分配接。它由系統(tǒng)管理員來分配接入權(quán)限和實施控制，易于與網(wǎng)入權(quán)限和實施控制，易于與網(wǎng)絡(luò)的安全策略協(xié)調(diào)，常用敏感絡(luò)的安全策略協(xié)調(diào)，常用敏感標(biāo)記實現(xiàn)多級安全控制。標(biāo)記實現(xiàn)多級安全控制。（4）加密橋技術(shù)：一種加）加密橋技術(shù)：一種加解密卡的基礎(chǔ)上開發(fā)加密橋的技密卡的基礎(chǔ)上開發(fā)加

16、密橋的技術(shù)可實現(xiàn)在不存在降低加密安術(shù)可實現(xiàn)在不存在降低加密安全強度旁路條件下，為數(shù)據(jù)庫全強度旁路條件下，為數(shù)據(jù)庫加密字段的存儲，檢索，索引，加密字段的存儲，檢索，索引，運算，刪除，修改等到功能的運算，刪除，修改等到功能的實現(xiàn)提供接口，并且它的實現(xiàn)實現(xiàn)提供接口，并且它的實現(xiàn)是與密碼算法，密碼設(shè)備無關(guān)是與密碼算法，密碼設(shè)備無關(guān)的。的。（5）接入權(quán)限：表示主體對客）接入權(quán)限：表示主體對客體訪問時可擁有的權(quán)利。接入體訪問時可擁有的權(quán)利。接入權(quán)要

17、按每一對主體客體分別限權(quán)要按每一對主體客體分別限定，權(quán)利包括讀，寫，執(zhí)行等，定，權(quán)利包括讀，寫，執(zhí)行等，讀寫含義明確，而執(zhí)行權(quán)指目讀寫含義明確，而執(zhí)行權(quán)指目標(biāo)為一個程序時它對文件的查標(biāo)為一個程序時它對文件的查找和執(zhí)行找和執(zhí)行1，拒絕率或虛報率：是指身份，拒絕率或虛報率：是指身份證明系統(tǒng)的質(zhì)量指標(biāo)為合法用證明系統(tǒng)的質(zhì)量指標(biāo)為合法用戶遭拒絕的概率。戶遭拒絕的概率。2，漏報率：是指非法用戶偽造，漏報率：是指非法用戶偽造身份成功的概率。身份成功

18、的概率。3，通行字：通行字是一種根據(jù)，通行字：通行字是一種根據(jù)已知事物驗證身份的方法，也已知事物驗證身份的方法，也是一種研究和使用最廣的身份是一種研究和使用最廣的身份驗證法。驗證法。4，域內(nèi)認證：是指，域內(nèi)認證：是指CLIENTCLIENT向本KERBEROSKERBEROS的認證域以內(nèi)的的認證域以內(nèi)的SERVERSERVER申請服務(wù)。申請服務(wù)。5，域間認證：是指，域間認證：是指CLIENTCLIENT向本KERBEROSKERBERO

19、S的認證域以內(nèi)的的認證域以內(nèi)的SERVERSERVER申請服務(wù)。申請服務(wù)。1，數(shù)字認證：是指用數(shù)字辦，數(shù)字認證：是指用數(shù)字辦法確認，鑒定，認證網(wǎng)絡(luò)上參法確認，鑒定，認證網(wǎng)絡(luò)上參與信息交流者或服務(wù)器的身份。與信息交流者或服務(wù)器的身份。2，公鑰證書：它將公開密鑰，公鑰證書：它將公開密鑰與特定的人，器件或其他實體與特定的人，器件或其他實體聯(lián)系起來。公鑰證書是由證書聯(lián)系起來。公鑰證書是由證書機構(gòu)簽署的，其中包含有持證機構(gòu)簽署的，其中包含有持證者

20、的確切身份。者的確切身份。3，公鑰數(shù)字證書：網(wǎng)絡(luò)上的，公鑰數(shù)字證書：網(wǎng)絡(luò)上的證明文件，證明雙鑰體制中的證明文件，證明雙鑰體制中的公鑰所有者就是證書上所記錄公鑰所有者就是證書上所記錄的使用者。的使用者。4，單公鑰證書系統(tǒng)：一個系，單公鑰證書系統(tǒng)：一個系統(tǒng)中所有的用戶公用同一個統(tǒng)中所有的用戶公用同一個CACA。5，多公鑰證書系統(tǒng)：用于不，多公鑰證書系統(tǒng)：用于不同證書的用戶的互相認證。同證書的用戶的互相認證。6，客戶證書：證實客戶身份，客戶證

21、書：證實客戶身份和密鑰所有權(quán)。和密鑰所有權(quán)。7，服務(wù)器證書：證實服務(wù)器，服務(wù)器證書：證實服務(wù)器的身份和公鑰。的身份和公鑰。8，安全郵件證書：證實電子，安全郵件證書：證實電子郵件作戶的身份和公鑰。郵件作戶的身份和公鑰。9，CACA證書：證實證書：證實CACA身份和身份和CACA的簽名密鑰。的簽名密鑰。1010，證書機構(gòu)，證書機構(gòu)CA:CA:用于創(chuàng)建和用于創(chuàng)建和發(fā)布證書，它通常為一個稱為發(fā)布證書，它通常為一個稱為安全域的有限群體發(fā)放證書。安

22、全域的有限群體發(fā)放證書。1111，安全服務(wù)器：面向普通，安全服務(wù)器：面向普通用戶，用于提供證書申請，濟用戶，用于提供證書申請，濟覽，證書吊銷表以及證書下載覽，證書吊銷表以及證書下載等安全服務(wù)。等安全服務(wù)。1212，CACA服務(wù)器：是整個證書服務(wù)器：是整個證書機構(gòu)的核心，負責(zé)證書的簽發(fā)。機構(gòu)的核心，負責(zé)證書的簽發(fā)。1313，數(shù)據(jù)庫服務(wù)器：是認證，數(shù)據(jù)庫服務(wù)器：是認證機構(gòu)中的核心部分，用于認證機構(gòu)中的核心部分，用于認證機構(gòu)數(shù)據(jù)（如密鑰和用戶

23、信息機構(gòu)數(shù)據(jù)（如密鑰和用戶信息等）等），日志和統(tǒng)計信息的存儲和，日志和統(tǒng)計信息的存儲和管理。管理。1414，公鑰用戶需要知道公鑰，公鑰用戶需要知道公鑰的實體為公鑰用戶。的實體為公鑰用戶。1515，證書更新：當(dāng)證書持有，證書更新：當(dāng)證書持有者的證收過期，證書被竊取，者的證收過期，證書被竊取，受到攻擊時通過更新證書的方受到攻擊時通過更新證書的方法，使其用新的證書繼續(xù)參與法，使其用新的證書繼續(xù)參與網(wǎng)上認證。證書的更新包括證網(wǎng)上認證。證書的更新

24、包括證書的更換和證書的延期兩種情書的更換和證書的延期兩種情況。況。簡答題簡答題1，什么是保持數(shù)據(jù)的完整性？，什么是保持數(shù)據(jù)的完整性？答：商務(wù)數(shù)據(jù)的完整性或稱答：商務(wù)數(shù)據(jù)的完整性或稱正確性是保護數(shù)據(jù)不被未授權(quán)正確性是保護數(shù)據(jù)不被未授權(quán)者修改，建立，嵌入，刪除，者修改，建立，嵌入，刪除，重復(fù)傳送或由于其他原因使原重復(fù)傳送或由于其他原因使原始數(shù)據(jù)被更改。在存儲時，要始數(shù)據(jù)被更改。在存儲時，要防止非法篡改，防止網(wǎng)站上的防止非法篡改，防止網(wǎng)站上的