《電子商務安全管理》期末考試指導

0074《電子商務安全管理》2023年6月期末考試指導

二、複習重點內容

第一章《電子商務安全導論》

1、資訊保安問題

從技術上看，電子商務面臨的安全問題主要來自以下幾個方面：1）冒名偷竊2）篡改資料3）資訊丟失4）資訊傳遞出問題

2、資訊保安的組成

資訊保安是指防止資訊財產被故意的或偶然的非授權洩漏、更改、破壞或使資訊被非法的系統辨識、控制，即資訊保安要確保資訊的完整性、保密性、可用性和可控性。資訊保安安具體由下面七個部分組成：1）作業系統安全2）資料庫安全3）網路安全4）病毒防護安全5）訪問控制安全6）加密7）鑑別。

第二章《電子商務安全管理》

1、開放系統互連模型提供的安全服務

1）驗證服務：包括對等實體驗證和資料來源驗證；2）訪問控**務；3）資料保密服務；4）資料完整性服務；5）不可否認服務。

2、機構或部門安全管理原則

規範原則、預防原則、立足國內原則、注重實效原則、系統化原則、均衡防護原則、分權制衡原則、應急原則、災難恢復原則。

3、電子商務安全管理制度

網路系統的日常維護制度、病毒防範制度、人員管理制度、保密制度、跟蹤審計審核制度、應急措施制度。

4、我國電子商務立法應遵循的指導或基本原則

鼓勵和發展電子商務是中國電子商務立法的首要前提。2）電子商務立法要與憲法和其他已存在的法律法規及我國認同的國際法保持一致。3）電子商務立法要適合中國國情。

第三章《資訊保安技術》

1、加密

所謂加密就是用基於數學方法的程式和保密的金鑰對資訊進行編碼，把計算機資料變成一堆雜亂無章難以理解的字串，也就是把明文變成密文。

2、常見的對稱金鑰

對稱加密是指資料的傳送方和接受方使用的是同一把私有金鑰，即把明文加密成密文和把密文解密成明文用的是同一把私有金鑰。

對稱加密的過程：

（1）傳送方用自己的私有金鑰對資訊進行加密；

（2）傳送方將加密的資訊通過網路傳送給接收方；

（3）接收方用傳送方進行加密的那把私有金鑰對接收到的加密資訊進行解密，得到資訊明文。

3、rsa金鑰傳輸

傳送方生成隨機對稱金鑰k；傳送方用對稱金鑰k對資訊內容進行加密；傳送方用接收方的公開金鑰對加密用的對稱金鑰k進行加密；傳送方把加密後的金鑰附加在加密後的資訊上一起傳送；接受方用自己的私有金鑰解密加密後的金鑰，得到對稱金鑰k；接收方用對稱金鑰k對加密的內容進行解密，得到明文的內容。

4、雜湊函式

雜湊函式是一種計算相對簡單但卻很難進行逆運算的函式。必須是單向的，雜湊計算不可能對兩條資訊求出相同的摘要。

5、金鑰的生命週期

1）金鑰建立，包括生成金鑰和發布金鑰；2）金鑰備份/更新或金鑰的第三者保管；3）金鑰替換/更新；4）金鑰吊銷；5）金鑰期滿/終止，其中可能包含金鑰的銷毀或歸檔。

5、數字證書的內容

數字證書中一般包含證書持有者的名稱、公開金鑰、認證機構的數字簽名，此外還包括金鑰的有效時間、認證機構的名稱以及該證書的序列號等資訊。交易夥伴可以利用數字證書來交換彼此的公開金鑰。

5、數字證書的型別

1）伺服器數字證書：能準確無誤地鑑別確認伺服器和瀏覽器之間傳送的資訊加密，保證了網路伺服器在安全模式下執行。2）針對軟體開發商的開發者數字證書：

軟體開發者可以為軟體做數字標識，從而在網際網路上安全傳送。3）用於網路瀏覽和s/mime的個人數字證書：用來在個人使用者和其他使用者交換資訊或者在使用在先服務時，驗證使用者的身份，保證資訊的安全。

6、認證機構

認證機構ca又稱認證中心、證書授予機構，是承擔網上認證服務，能簽發數字證書並能確認使用者身份的受大家信任的第三方機構。ca通常是企業性的服務機構，其主要任務是受理數字證書的申請、簽發、及對數字證書進行管理。ca主要功能：

● 接收驗證使用者數字證書的申請

● 確定是否接受使用者數字證書的申請

● 向申請者頒發數字證書接收、處理使用者的數字證書的查詢、撤銷

● 產生和發布數字證書撤銷表

● 數字證書的歸檔秘要歸檔

● 歷史資料歸檔

7、利用數字證書實現資訊保安（重點）

傳送方的工作主要有：

1）傳送方利用雜湊函式，把要傳送的資訊雜湊成固定長度的數字摘要；

2）傳送方用自己的私有金鑰對數字摘要進行加密，形成數字簽名；

3）傳送方把數字簽名和自己的數字證書附加在原資訊上，利用對稱金鑰進行對稱加密，形成加密後的資訊；

4）傳送方用接受方數字證書中給出的公開金鑰，來對傳送方進行對稱加密的金鑰進行加密，將加密結果裝入數字信封；

5）傳送方把加密後的資訊與數字信封一起通過網路傳送出去。

接受方的工作主要有：

1）接受方用自己的私有金鑰對接收到的數字信封進行解密，得到傳送方用於加密的對稱金鑰；

2）接受方用解密得到的對稱金鑰對接收到的加密後資訊進行解密，得到資訊、數字簽名和傳送方的數字證書；

3）接收方用得到的傳送方數字證書中的公開金鑰對數字簽名進行解密，得到數字摘要；

4）接收方運用同樣的雜湊函式，把解密得到的資訊雜湊成固定長度的數字摘要；

5）接受方比較兩個數字摘要。如比較結果一致，則說明資訊在傳遞的過程中為被篡改過，即保證了資料的完整性。

第四章《inter***安全》

1、防火牆的特性和不足

防火牆是在兩個網路之間強制實施訪問控制策略的乙個系統或一組系統。從狹義上來講，防火牆是指安裝了防火牆軟體的主機或路由器系統。防火牆被放在兩個網路之間，並具有下列特性：

1）所有的從內部到外部或從外部到內部的通訊都必須經過它；2）只有有內部訪問策略授權的通訊才被允許通過；3）系統本身具有高可靠性。

不足之處：1）不能防範不經由防火牆的攻擊；2）不能防止受到病毒感染的軟體或檔案的傳輸；3）不能防止資料驅動式攻擊。

2、防火牆的功能

1）過濾不安全的服務和非法使用者。2）控制對特殊站點的訪問。3）作為網路安全的集中監視點。

3、防火牆的基本原理

1）包過濾型防火牆2）應用閘道器型防火牆3）**伺服器型防火牆

4、增強的私密電子郵件（pem）

pem即增強的私密電子郵件，是網際網路工程任務組從20世紀80年代後期開始的一項工作的成果，這也是試圖建立網際網路郵件安全系統的首次正式努力。pem規範非常複雜，其第i部分定義了乙個訊息安全協議，而第ii部分則定義了乙個支援公開金鑰的基礎設施系統。pem的訊息安全協議主要用於支援基本的訊息保護服務。

pem是這樣運作的，首先獲得乙個未保護的訊息，將其內容轉換為一條pem訊息，這樣，pem訊息就可以象其他訊息一樣通過正常的通訊網路來進行傳遞了。pem規範認可兩種可選的方法來進行網路身份驗證和金鑰的管理：一種是對稱方案，還有一種是公開金鑰方案。

在商業上很少應用，是因為它與在同其發展起來的多用途網際郵件擴充協議mime不相容。

5、ipsec及其提供的服務

ipsec是指ietf以rfc形式公布的一組ip安全協議集。ipsec主要提供以下服務：訪問控制；無連線完整性；資料來源的鑑別；拒絕重放的分組；機密性（加密）；有限的通訊量機密性。

6、安全套接層協議ssl概述

最初是由***cape公司研究制定的安全通訊協議，是在網際網路基礎上提供的一種保證機密性的安全協議。ssl能使客戶機與伺服器之間的通訊不被攻擊者竊聽，並且始終保持對伺服器進行認證，還可選擇對客戶進行認證。ssl是目前在電子商務中應用最廣泛的安全協議之一。

7、ssl協議的功能

ssl伺服器認證

允許客戶機確認伺服器身份。支援ssl協議的客戶機軟體能使用公鑰密碼技術來檢查伺服器的數字證書，判斷該證書是否是由在客戶所信任的認證機構列表內的認證機構所發放。

確認使用者身份

使用同樣的技術，支援ssl協議的伺服器軟體能檢查客戶所持有的數字證書的合法性。

保證資料傳輸的機密性和完整性

乙個加密的ssl裡連線要求所有在客戶機與伺服器之間傳送的資訊由傳送方軟體加密和有接受方軟體解密，這就提供了高度機密性。另外，所有通過ssl連線傳送的資料都被一種檢測篡改的機制所保護，這種機制自動判斷傳輸中資料是否已經被更改，從而保證了資料的完整性。

8、ssl的體系結構：

ssl協議包含兩層協議，即ssl記錄協議和之上的三個子協議：ssl握手協議、ssl更改密碼規程協議、ssl報警協議。記錄協議定義了要傳輸資料的格式，它位於tcp協議之上，從高層ssl子協議收到資料後，對它們進行封裝、壓縮、認證、和加密。

ssl 握手協議是高層ssl子協議中最重要的乙個協議, ssl握手協議允許伺服器與客戶機在應用程式傳輸和接受資料之前互相認證、協商加密演算法和金鑰，。

9、基於ssl的銀行卡支付過程：

● 持卡人登入商品發布站點，驗證商戶身份；

● 持卡人決定購買，向商戶發出購買請求；

● 商戶返回同意支付等資訊；持卡人驗證支付閘道器的身份，填寫支付資訊，將定購資訊和支付資訊通ssl傳給商戶，但支付資訊被支付閘道器的公開金鑰加密過，對商戶來說是不可讀的。

● 商戶用支付閘道器的公開金鑰加密支付資訊，傳給支付閘道器，要求支付；

● 支付閘道器解密商戶傳來的資訊，通過傳統的銀行網路到發卡行驗證持卡人的支付資訊是否有效，並及時劃賬；

支付閘道器用它的私有金鑰加密結果，將結果返回商戶；商戶用支付閘道器的公開金鑰解密後返回資訊給持卡人，送貨，交易結束。

第五章《數字證書》

1、x.509數字證書格式

1）版本號2）數字證書序列號3）簽名演算法識別符號4）數字證書發放者5）有效期6）主體7）主體的公鑰資訊8）數字證書發放者的唯一識別符號9）主體的唯一識別符號

2、數字證書的撤銷

x.509的數字證書撤銷表：版本、簽名演算法、發放者、本次更新、下次更新、數字證書序列號、撤銷時間、數字證書撤銷表擴充套件條目、數字證書撤銷表擴充套件部分、發放者的數字簽名。

第六章《公共基礎設施pki》

1、pki概述

公鑰基礎設施pki又叫公鑰體系，是一種利用公鑰加密技術為電子商務的開展提供一套安全基礎平台的技術和規範，使用者可以利用pki平台提供的服務進行安全通訊。

2、pki應用系統的功能

1）公鑰數字證書的管理2）證書撤消表的發布和管理3）金鑰的備份和恢復4）自動更新金鑰5）自動管理歷史金鑰6）支援交叉認證。

3、證書策略cp與證書實施說明cps

證書策略cp，是指一套制定的規則，用於說明滿足一般安全性要求的數字證書在某個特定的團體裡和（或）某一類應用程式中的應用能力。證書實施說明cps，規定了在認證過程中要遵循的操作程式。證書實施說明的內容包括數字證書的複雜性及長度說明，但主要的是公開說明了認證機構的運作方式。

第七章《安全認證例項》

1、ca建設概況

2、cfca的證書管理策略

《電子商務安全管理》期末考試指導

《電子商務物流管理》期末考試複習題目

電子商務基礎期末考試題職業教育

電子期末考試

《電子商務安全管理》期末考試指導

《電子商務物流管理》期末考試複習題目

電子商務基礎期末考試題 職業教育

電子期末考試

相關推薦

電子商務基礎期末考試題職業教育