- 2021-05-25 发布 |
- 37.5 KB |
- 33页
申明敬告: 本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
文档介绍
《电子商务安全》复习资料(试题及答案讲解)
《电子商务安全》课程期末复习资料 《电子商务安全》课程讲稿章节目录 第一章 电子商务安全概论 第一节 电子商务安全发展概况 第二节 电子商务安全概述 第三节 电子商务安全的前沿问题 第二章 电子商务安全技术 第一节 数据加密技术 第二节 通信加密技术 第三节 密钥管理与分发技术 第四节 认证技术 第五节 数字水印与数字版权保护技术 第三章 电子商务安全协议 第一节 IP协议安全体系 第二节 电子邮件安全协议 第三节 安全超文本传输协议 第四节 安全套接层协议 第五节 安全电子交易协议 第四章 电子商务的交易安全 第一节 电子商务交易安全概述 第二节 电子商务交易系统的安全 第三节 电子商务交易中的物流安全 第四节 电子商务交易安全体系 第五章 电子商务的支付安全 第一节 电子商务支付概述 第二节 电子商务支付安全需求 第三节 电子商务支付安全体系 第四节 电子商务安全支付平台 第六章 电子商务的信息安全 第一节 电子商务信息安全概述 第二节 电子商务信息安全目标 第三节 电子商务信息安全技术 第四节 电子商务信息安全评估 第七章 电子商务的网络安全 第一节 电子商务网络安全概述 第二节 电子商务网络系统安全目标 第三节 电子商务网络安全技术 第四节 电子商务网络安全策略与标准 第五节 电子商务网络安全评估 第八章 电子商务安全管理 第一节 电子商务安全管理概述 第二节 电子商务风险管理 第三节 电子商务系统管理 第四节 电子商务信用管理 第五节 电子商务人员管理与保密制度 第九章 移动电子商务安全 第一节 移动电子商务安全概述 第二节 移动电子商务安全技术与协议 第三节 移动电子商务的安全策略 第四节 移动电子商务的安全管理 第十章 实验 ★考核知识点: 数据加密技术 附1.1.1(考核知识点解释): 所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文 (cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。 ★考核知识点: ELGamal算法 附1.1.2(考核知识点解释): ElGamal算法,是一种较为常见的加密算法,它是基于1984年提出的公钥密码体制和椭圆曲线加密体系。既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。在加密过程中,生成的密文长度是明文的两倍,且每次加密后都会在密文中生成一个随机数K,在密码中主要应用离散对数问题的几个性质:求解离散对数(可能)是困难的,而其逆运算指数运算可以应用平方-乘的方法有效地计算。也就是说,在适当的群G中,指数函数是单向函数 ★考核知识点: 数字签名 附1.1.3(考核知识点解释): 数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。数字签名一般是基于公钥密码体制的。 ★考核知识点: VPN 附1.1.4(考核知识点解释): 虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。 ★考核知识点: 数字证书 附1.1.5(考核知识点解释): 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签 名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份 ★考核知识点: 非对称加密技术 附1.1.6(考核知识点解释): RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的绝大多数密码攻击,已被ISO推荐为公钥数据加密标准。 RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。 ★考核知识点: 认证技术 附1.1.7(考核知识点解释): CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。 CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。 CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。 ★考核知识点: PKI 附1.1.8(考核知识点解释): PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中,将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。 ★考核知识点: PKI 附1.1.9(考核知识点解释): PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全 基础平台的技术和规范。X.509标准中,将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。 ★考核知识点: 交易安全中的不可否认性 附1.1.10(考核知识点解释): 不可否认性,又称抗抵赖性,即由于某种机制的存在,人们不能否认自己发送信息的行为和信息的内容。传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。在电子商务环境下,可以通过数字证书机制进行的数字签名和时间戳,保证信息的抗抵赖。 ★考核知识点: 安全套接层协议SSL 附1.1.11(考核知识点解释): SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。 ★考核知识点: 安全电子交易协议SET 附1.1.12(考核知识点解释): SET协议是B2C上基于信用卡支付模式而设计的,它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。 ★考核知识点: 数据加密技术 附1.1.13(考核知识点解释): 数据加密,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。 ★考核知识点: 公钥密码体系 附1.1.14(考核知识点解释): 密钥对在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个 公钥和一个私钥组成。在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。为了使基于公钥体系的业务(如电子商务等)能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。公钥本身并没有什么标记,仅从公钥本身不能判别公钥的主人是谁。 ★考核知识点: 散列算法 附1.1.15(考核知识点解释): 产生一些数据片段(例如消息或会话项)的散列值的算法。好的散列算法具有根据输入数据中的变动来更改散列值结果的特性;因此,散列对于检测在诸如消息等大型信息对象中的任何变化很有用。 MD4是麻省理工学院教授Ronald Rivest于1990年设计的一种信息摘要算法。它是一种用来测试信息完整性的密码散列函数的实行。其摘要长度为128位,一般128位长的MD4散列被表示为32位的十六进制数字。这个算法影响了后来的算法如MD5、SHA 家族和RIPEMD等。 ★考核知识点: SHA算法 附1.1.16(考核知识点解释): SHA将输入流按照每块512位(64个字节)进行分块,并产生20个字节的被称为信息认证代码或信息摘要的输出。 该算法输入报文的长度不限,产生的输出是一个160位的报文摘要。输入是按512 位的分组进行处理的。SHA-1是不可逆的、防冲突,并具有良好的雪崩效应。 对于长度小于2^64位的消息,SHA1会产生一个160位的消息摘要。该算法经过加密专家多年来的发展和改进已日益完善,并被广泛使用。该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。散列函数值可以说是对明文的一种“指纹”或是“摘要”所以对散列值的数字签名就可以视为对此明文的数字签名。 ★考核知识点: 计算机病毒 附1.1.17(考核知识点解释): 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 ★考核知识点: IPSec 附1.1.18(考核知识点解释): IPSec是IETF(Internet Engineering Task Force,Internet工程任务组)的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。 IPSec的安全服务要求支持共享密钥完成认证和/或保密,并且手工输入密钥的方式是必须要支持的,其目的是要保证IPSec协议的互操作性。当然,手工输入密钥方式的扩展能力很差,因此在IPSec协议中引入了一个密钥管理协议,称Internet密钥交换协议——IKE,该协议可以动态认证IPSec对等体,协商安全服务,并自动生成共享密钥。 ★考核知识点: 访问控制技术 附1.1.19(考核知识点解释): 防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指,用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC,网络准入控制系统的原理就是基于此技术之上。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 ★考核知识点: 安全认证技术 附1.1.20(考核知识点解释): 身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为 了解决这个问题。 ★考核知识点: 密钥管理技术 附1.1.21(考核知识点解释): 密钥管理包括,从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。 ★考核知识点: 认证技术 附1.1.22(考核知识点解释): 数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构—CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。 ★考核知识点: 数字签名 附1.1.23(考核知识点解释): 代码签名证书是VeriSign针对网上发布控件、应用程序、驱动程序等产生的代码安全问题提供的一种安全、可信产品,能满足各种数字签名的应用需要,让内容提供商和软件开发商能数字签名其软件代码、宏代码、设备驱动程序、硬件固化程序、病毒更新码、配置文件等。 ★考核知识点: 电子邮件安全协议 附1.1.24(考核知识点解释): 安全多媒体Internet邮件扩展协议(S/MIME),主要用于保障电子邮件的安全传输。采用数字标识、数字凭证、数字签名以及非对称密钥系统等技术,构成一种签名加密的邮件收发方式。 S/MIME是多功能电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。 ★考核知识点: 数字签名 附1.1.25(考核知识点解释): PGP技术不但可以对电子邮件加密,防止非授权者阅读信件;还能对电子邮件附加数字签名,使收信人能明确了解发信人的真实身份;也可以在不需要通过 任何保密渠道传递密钥的情况下,使人们安全地进行保密通信。PGP技术创造性地把RSA不对称加密算法的方便性和传统加密体系结合起来,在数字签名和密钥认证管理机制方面采用了无缝结合的巧妙设计,使其几乎成为最为流行的公钥加密软件包。 ★考核知识点: 安全套接层协议 附1.1.26(考核知识点解释): SET协议是B2C上基于信用卡支付模式而设计的,它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。 ★考核知识点: 电子商务 附1.1.27(考核知识点解释): 电子商务是以信息网络技术为手段,以商品交换为中心的商务活动;也可理解为在互联网(Internet)、企业内部网(Intranet)和增值网(VAN,Value Added Network)上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的电子化、网络化、信息化。 ★考核知识点: 电子商务 附1.1.28(考核知识点解释): 电子商务是以信息网络技术为手段,以商品交换为中心的商务活动;也可理解为在互联网(Internet)、企业内部网(Intranet)和增值网(VAN,Value Added Network)上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的电子化、网络化、信息化。 ★考核知识点: 数据加密 附1.1.29(考核知识点解释): 数据加密,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。 数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。 ★考核知识点: 散列函数 附1.1.30(考核知识点解释): 散列值是将值从一个大的(可能很大)定义域映射到一个较小值域的(数学)函数。“好的”散列函数是把该函数应用到大的定义域中的若干值的(大)集合的结果可以均匀地(和随机地)被分布在该范围上。 ★考核知识点: 散列函数 附1.1.31(考核知识点解释): SHA (Secure Hash Algorithm,译作安全散列算法) 是美国国家安全局 (NSA) 设计,美国国家标准与技术研究院(NIST) 发布的一系列密码散列函数。 SHA 散列函数已被做为 SHACAL 分组密码算法的基础。 ★考核知识点: 电子商务网络安全技术 附1.1.32(考核知识点解释): 所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。 防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。这里所说的外网一般是指不受信任的外部Internet网络,而内网是完全受信任的企业内部网络。 ★考核知识点: IP安全协议体系 附1.1.33(考核知识点解释): Internet 协议安全性 (IPSec)是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。IPSec通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。 ★考核知识点: 数字证书 附1.1.34(考核知识点解释): 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。 ★考核知识点: 数字证书 附1.1.35(考核知识点解释): 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。 ★考核知识点: PKI 附1.1.36(考核知识点解释): PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA操作协议;CA管理协议;CA政策制定。 CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。 ★考核知识点: PKI 附1.1.37(考核知识点解释): PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA操作协议;CA管理协议;CA政策制定。 CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。 ★考核知识点: PKI 附1.1.38(考核知识点解释): PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中,将PKI定义为支持公开密钥管理并能支 持认证、加密、完整性和可追究性服务的基础设施。 ★考核知识点: 电子商务 附1.2.1(考核知识点解释): 电子商务通常是指在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。各国政府、学者、企业界人士根据自己所处的地位和对电子商务参与的角度和程度的不同,给出了许多不同的定义。电子商务分为:ABC、B2B、B2C、C2C、B2M、M2C、B2A(即B2G)、C2A(即C2G)、O2O 等。 ★考核知识点: 电子商务安全 附1.2.2(考核知识点解释): 信息安全技术在电子商务系统中的作用非常重要,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。 ★考核知识点: 电子商务的网络安全技术 附1.2.3(考核知识点解释): 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。 防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型。 ★考核知识点: 电子商务的网络安全技术 附1.2.4(考核知识点解释): 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。 ★考核知识点: 认证技术 附1.2.5(考核知识点解释): 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。 ★考核知识点: 认证技术 附1.2.6(考核知识点解释): 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。 ★考核知识点: 非对称加密技术 附1.2.7(考核知识点解释): 非对称加密算法需要两个密钥:公开密钥(public key)和私有密钥(private key)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法称为非对称加密算法。 ★考核知识点: 电子商务支付安全 附1.2.8(考核知识点解释): 电子支付又称为电子结算,是以金融互联网为基础,以商用电子化工具和各类电子货币为媒介,以计算机技术和通信技术为手段,通过电子数据存储和传递的形式在通信网络系统上实现资金的流通与支付。 ★考核知识点: 电子商务支付安全 附1.2.9(考核知识点解释): 电子支付又称为电子结算,是以金融互联网为基础,以商用电子化工具和各类电子货币为媒介,以计算机技术和通信技术为手段,通过电子数据存储和传递的形式在通信网络系统上实现资金的流通与支付。 ★考核知识点: 电子商务支付安全 附1.2.10(考核知识点解释): 电子钱包是电子商务购物活动中常用的支付工具。在电子钱包内存放的电子货币,如电子现金、电子零钱、电子信用卡等。使用电子钱包购物。通常需要在电子钱包服务系统中进行。电子商务活动中电子钱包的软件通常都是免费提供的。 在电子钱包内只能完全装电子货币,即装入电子现金、电子零钱、安全零钱、电子信用卡、在线货币、数字货币等。这些电子支付工具都可以支持单击式支付方式。 ★考核知识点: 电子商务支付方式 附1.2.11(考核知识点解释): 微支付指小额电子支付,其价值通常低于其电子支付方式的成本,因此需要专门的机制来提供高效率和低成本的安全性。 微支付的每笔交易额较低,因此,具有较高交易成本和计算成本的支付机制是不适用的。 由于微支付每一笔的交易额小,即使被截获或窃取,对交易方的损失也不大。所以,微支付很少或不采用耗费较多计算资源的安全技术,其安全性在一定程度上要辅以审计或管理策略来保证。 由于微支付交易频繁,所以要求较高的处理效率。 由于微支付的特点,其应用也具有特殊性,如新型产品支付( 新闻、信息查 询和检索、广告点击付费等) ,移动计费和认证,以及分布式环境下的认证等。微支付一般不适合实物交易中的电子支付。 ★考核知识点: SSL 附1.2.12(考核知识点解释): SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 ★考核知识点: SSL 附1.2.13(考核知识点解释): SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 ★考核知识点: SSL 附1.2.14(考核知识点解释): SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 ★考核知识点: 电子商务交易安全 附1.2.15(考核知识点解释): 网上证券交易是指投资者利用因特网网络资源,获取证券的即时报价,分析市场行情,并通过互联网委托下单,实现实时交易。网上交易及其相关业务主要包括:查询上市公司历史资料、查询证券公司提供的咨询讯息、查询证券交易所公告、进行资金划转、网上实时委托下单、电子邮件委托下单、电子邮件对账单、公告板、电子讨论、双向交流等。 ★考核知识点: 电子商务 附1.3.1(考核知识点解释): 电子商务通常是指在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。各国政府、学者、企业界人士根据自己所处的地位和对电子商务参与的角度和程度的不同,给出了许多不同的定义。电子商务分为:ABC、B2B、B2C、C2C、B2M、M2C、B2A(即B2G)、C2A(即C2G)、O2O 等。 ★考核知识点: 电子商务安全 附1.3.2(考核知识点解释): 信息安全技术在电子商务系统中的作用非常重要,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。 ★考核知识点: 电子商务安全 附1.3.3(考核知识点解释): 信息安全技术在电子商务系统中的作用非常重要,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准 等。 ★考核知识点: 电子商务安全 附1.3.4(考核知识点解释): 信息安全技术在电子商务系统中的作用非常重要,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。 ★考核知识点: 数据加密 附1.3.5(考核知识点解释): 数据加密,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。 数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。 ★考核知识点: 电子商务的网络安全技术 附1.3.6(考核知识点解释): 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。 ★考核知识点: 电子商务安全 附1.3.7(考核知识点解释): 信息安全技术在电子商务系统中的作用非常重要,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、 数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。 ★考核知识点: 加密技术 附1.3.8(考核知识点解释): 非对称加密算法需要两个密钥:公开密钥(public key)和私有密钥(private key)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法称为非对称加密算法。 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。 ★考核知识点: 加密技术 附1.3.9(考核知识点解释): 非对称加密算法需要两个密钥:公开密钥(public key)和私有密钥(private key)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法称为非对称加密算法。 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。 ★考核知识点: 电子商务的网络安全 附1.3.10(考核知识点解释): 被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。 窃听、监听都具有被动攻击的本性,攻击者的目的是获取正在传输的信息。 被动攻击包括传输报文内容的泄露和通信流量分析。报文内容的泄露易于理解,一次电话通信、一份电子邮件报文、正在传送的文件都可能包含敏感信息或秘密信息。为此要防止对手获悉这些传输的内容。 通信流量分析的攻击较难捉摸。假如有一个方法可屏蔽报文内容或其他信息通信,那么即使这些内容被截获,也无法从这些报文中获得信息。最常用的屏蔽内容技术是加密。然而即使用加密保护内容,攻击者仍有可能观察到这些传输的报文形式。攻击者可能确定通信主机的位置和标识,也可能观察到正在交换的报文频度和长度。而这些信息对猜测正在发生的通信特性是有用的。 对被动攻击的检测十分困难,因为攻击并不涉及数据的任何改变。然而阻止这些攻击的成功是可行的,因此,对被动攻击强调的是阻止而不是检测。 ★考核知识点: 加密技术 附1.3.11(考核知识点解释): 非对称加密算法需要两个密钥:公开密钥(public key)和私有密钥(private key)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法称为非对称加密算法。 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。 ★考核知识点: 电子商务的网络安全 附1.3.12(考核知识点解释): 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 附1.3.12(考核知识点解释): 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、 互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 ★考核知识点: 电子商务安全 附1.3.14(考核知识点解释): 信息安全技术在电子商务系统中的作用非常重要,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。 ★考核知识点: 电子商务安全 附1.3.15(考核知识点解释): 信息安全技术在电子商务系统中的作用非常重要,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。 ★考核知识点: 数字签名 附1.3.16(考核知识点解释): 数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。数字签名一般是基于公钥密码体制的。 ★考核知识点: 密钥管理与分发 附1.3.17(考核知识点解释): 密钥一旦丢失,使用改密钥加密的数据就无法恢复,因此密钥备份具有非常 重要的作用。常用的密钥备份技术主要有密钥共享技术和密钥托管技术。 ★考核知识点:电子商务认证中心 附1.3.18(考核知识点解释): 在SET CA认证体系中,由于采用公开密钥加密算法,认证中心称为整个系统的安全核心。CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。 ★考核知识点:电子商务认证中心 附1.3.19(考核知识点解释): 在SET CA认证体系中,由于采用公开密钥加密算法,认证中心称为整个系统的安全核心。CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。 ★考核知识点:电子商务支付安全 附1.3.20(考核知识点解释): 智能卡(Smart Card) :内嵌有微芯片的塑料卡(通常是一张信用卡的大小)的通称。一些智能卡包含一个微电子芯片,智能卡需要通过读写器进行数据交互。智能卡配备有CPU、RAM和I/O,可自行处理数量较多的数据而不会干扰到主机CPU的工作。智能卡还可过滤错误的数据,以减轻主机CPU的负担。适应于端口数目较多且通信速度需求较快的场合。 卡内的集成电路包括中央处理器CPU、可编程只读存储器EEPROM、随机存储器RAM和固化在只读存储器ROM中的卡内操作系统COS(Chip Operating System)。卡中数据分为外部读取和内部处理部分。 ★考核知识点:多层次密钥系统 附2.1.1(考核知识点解释): 在系统分析的基础上,设计出能满足预定目标的系统的过程。系统设计内容主要包括:确定设计方针和方法,将系统分解为若干子系统,确定各子系统的目标、功能及其相互关系,决定对子系统的管理体制和控制方式,对各子系统进行技术设计和评价,对全系统进行技术设计和评价等。 ★考核知识点:病毒及其特征 附2.1.2(考核知识点解释): 计算机病毒是一种人为编制的、可运行的程序代码,它能嵌入或隐藏在其他应用程序或数据文件中,以磁盘、U盘、网络文件等为载体,随着数据复制、网络传播等进行广泛传播,对计算机系统和信息资源具有破坏性。 ★考核知识点:VPN 附2.1.3(考核知识点解释): 虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。 ★考核知识点:身份认证技术 附2.1.4(考核知识点解释): 身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 ★考核知识点:密钥管理 附2.1.5(考核知识点解释): 密钥一旦丢失,使用改密钥加密的数据就无法恢复,因此密钥备份具有非常重要的作用。常用的密钥备份技术主要有密钥共享技术和密钥托管技术。 ★考核知识点:TCP/IP 附2.1.6(考核知识点解释): 在因特网协议族(Internet protocol suite)中,TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是IP层不提供这样的流机制,而是提供不可靠的包交换。 ★考核知识点:计算机病毒 附2.1.7(考核知识点解释): 计算机病毒是一种人为编制的、可运行的程序代码,它能嵌入或隐藏在其他应用程序或数据文件中,以磁盘、U盘、网络文件等为载体,随着数据复制、网络传播等进行广泛传播,对计算机系统和信息资源具有破坏性。 ★考核知识点:VPN 附2.1.8(考核知识点解释): 虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。 ★考核知识点:认证技术 附2.1.9(考核知识点解释): 身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。 ★考核知识点:数字签名 附2.1.10(考核知识点解释): 数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。数字签名是非对称密钥加密技术与数字摘要技术的应用。 ★考核知识点:非对称加密技术 附2.1.11(考核知识点解释): 公钥证书,通常简称为证书,是一种数字签名的声明,它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。大多数普通用途的证书基于 X.509v3 证书标准。 ★考核知识点:计算机病毒 附2.1.12(考核知识点解释): 计算机病毒是一种人为编制的、可运行的程序代码,它能嵌入或隐藏在其他应用程序或数据文件中,以磁盘、U盘、网络文件等为载体,随着数据复制、网络传播等进行广泛传播,对计算机系统和信息资源具有破坏性。 ★考核知识点:IPsec协议 附2.1.13(考核知识点解释): IPSec提供了两种安全机制:认证(采用ipsec的AH)和加密(采用ipsec的ESP)。 认证机制使IP通信的数据接收方能够确认数据发送方的真实身份,以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。 ★考核知识点:Kerberos认证服务 附2.1.14(考核知识点解释): 系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 ★考核知识点:公钥密码体制 附2.1.15(考核知识点解释): 密钥对在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。为了使基于公钥体系的业务(如电子商务等)能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。 ★考核知识点:安全套接层协议 附2.1.16(考核知识点解释): SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证 ★考核知识点:电子商务认证中心 附2.1.17(考核知识点解释): 认证中心(CA)是在开放的互联网上为进行电子商务活动,以信息安全为目的,提供有效可靠的保护机制,确保电子商务信息的机密性、交易双方的身份认证、交易的不可否认性等。 ★考核知识点:电子商务认证中心 附2.1.18(考核知识点解释): 在SET CA认证体系中,由于采用公开密钥加密算法,认证中心称为整个系统的安全核心。CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。 ★考核知识点:电子商务认证中心 附2.1.19(考核知识点解释): PKI是提供公钥加密和数字签名服务的安全基础平台,是创建、颁发、管理、撤销公钥证书所涉及的所有软件、硬件的集合体,目的是管理密钥和证书。PKI将公开密钥技术、数字证书、证书发放机构(CA)和安全策略等安全措施整合起来,是目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。 ★考核知识点:电子商务安全概述 附2.1.20(考核知识点解释): 木马程序是一类基于远程控制的特殊后门程序,主要用来实现后门漏洞并非法获取保密信息,它能将自身隐藏到合法程序中,用户很难发现任何异常。如果计算机病毒结合了恶意木马程序,对于电子商务系统将成为一个最大的安全威胁。 ★考核知识点:信息篡改 附2.1.21(考核知识点解释): 电子商务环境下,供给者可以通过信息篡改改变信息的内容或者删除信息中某些有用的信息,并将篡改后的信息发往目的客户端,从而破坏电子商务信息的完整性和真实性。 ★考核知识点:电子商务信息的完整性 附2.1.22(考核知识点解释): 电子商务数据信息传输过程中的信息丢失、信息重复或信息传送次序的差异都会影响交易双方信息的不同。 ★考核知识点:电子商务安全的基本特征 附2.1.23(考核知识点解释): 电子商务安全的基本特征包括整体性、相对性、技术性、社会性和动态性等五个方面。 ★考核知识点:电子商务安全技术 附2.1.24(考核知识点解释): 常用的电子商务安全协议主要包括电子邮件安全协议、安全超文本传输协议、安全套接层协议、安全电子交易协议、电子数据交换协议等。 ★考核知识点:移动支付 附2.1.25(考核知识点解释): 移动支付是指交易双方以一定诚信额度或一定余额存款为基础,为了某种货物或服务,通过智能手机和平板电脑等移动设备从移动支付服务商处兑换得到代表相同金额的电子货币,并将该电子货币转移给支付对象,从而清偿银行转账、缴费、购物等费用。 ★考核知识点:物联网 附2.1.26(考核知识点解释): 物联网又称为传感网,是互联网从人向物的延伸。 ★考核知识点:数据加密技术 附2.1.27(考核知识点解释): 当前密码学领域研究的加密技术主要包括两类:基于数学密码理论的加密技术和基于非数学密码理论的加密技术。其中基于数学密码理论的加密技术包括对称加密、非对称加密、PKI、密钥管理和分发、数字签名、分组密码、序列密码、身份认证、VPN等,基于非数学密码理论的加密技术包括量子加密、生物加密技术、光学加密技术等。 ★考核知识点:传统加密技术之校验加密算法 附2.1.28(考核知识点解释): 循环冗余检验是一种典型的校验加密算法,其以数据块为基本单位,按位来做位循环移位和异或操作来产生一个16位或32位的校验和。如果在数据传输过程中发生丢失一位或两位数据的情况,那么检验和一定出错。 ★考核知识点:对称加密技术 附2.1.29(考核知识点解释): 对称加密技术具有加解密速度快、密钥长度短且容易生成、安全强度较高等优点,不仅能够适应大量数据信息的加密,而且可用来构建各种安全强度较高的密码体制。 ★考核知识点:对称加密技术 附2.1.30(考核知识点解释): 对称加密技术具有加解密速度快、密钥长度短且容易生成、安全强度较高等优点,不仅能够适应大量数据信息的加密,而且可用来构建各种安全强度较高的密码体制。密钥在通信双方的管理和分发是对称加密技术面临的致命缺点。 ★考核知识点:非对称加密技术 附2.1.31(考核知识点解释): 单向散列函数使得公钥密码系统成为可能。 ★考核知识点:非对称加密技术 附2.1.32(考核知识点解释): 非对称加密技术也称为公开密钥加密技术或双密钥加密技术,加密和解密分别使用两个成对的密钥来实现,分别称为公开密钥和私有密钥,私钥具有唯一性和私有性。 ★考核知识点:非对称加密技术 附2.1.33(考核知识点解释): 典型的非对称加密算法主要有基于大素数因子分解问题的RSA算法、数字签名算法DSA、基于椭圆曲线对数的ECC算法。这些基于数学难题的算法,几乎不可能从加密密钥推算出解密密钥,因而可大大提高加密数据的安全性。 ★考核知识点:混合加密技术 附2.1.34(考核知识点解释): 信息发送方用接收方的公钥将一个私有密钥进行加密就形成了一个数字信封。 ★考核知识点:混合加密技术 附2.1.35(考核知识点解释): 在数字信封中,信息发送方采用对称密钥来加密信息内容,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和加密后的密文一起发送给接收方。 ★考核知识点:量子加密技术 附2.1.36(考核知识点解释): 量子密钥是依据一定的物理效应和原理而产生和分发的,这不同于以数学为基础的经典秘密体制。量子密码体制的核心任务是分发安全的密钥,建立安全的密码通信体制并进行安全通信。 ★考核知识点:量子加密技术 附2.1.37(考核知识点解释): 在量子密钥发送过程中,系统把发送方的光信号调制(信息附加)后进行传输,对到达接收方的光信号状态进行逐一检测,用以排除可能导致窃听的比特(密钥蒸馏),造成绝对安全密钥。 ★考核知识点:通信加密技术 附2.1.38(考核知识点解释): 依据加密在OSI参考模型中实现位置的不同,可将通信加密分为链路加密、节点加密、端端加密三个不同的层次。 ★考核知识点:多层密钥机制 附2.1.39(考核知识点解释): 密码系统一般采用多层密钥机制,以提高密码系统的安全性和密钥管理的自动化程度,按照密钥的生存周期、功能和保密级别,可以将密钥分为根密钥、密钥加密密钥和会话密钥三种。 ★考核知识点:多层密钥机制 附2.1.40(考核知识点解释): 数字签名就是一个加密的消息摘要,附在消息后面,以确认信息发送者的身份和该信息的完整性,即数字签名是通过一个单项散列函数对要传送的报文进行处理,得到的用以认证报文来源并验证报文是否发生变化的一个字母字串。 ★考核知识点:电子商务安全需求 附2.2.1(考核知识点解释): 机密性是指存储的信息不被窃取或传输的信息不被非法截取。即使被截取也要保证信息的内容不会暴露。 ★考核知识点:电子商务安全需求 附2.2.2(考核知识点解释): 完整性是指信息在存储和传输时不会被非授权的修改、破坏,信息能够保持一致性。当完整性被破坏时能及时发觉。 ★考核知识点:电子商务安全需求 附2.2.3(考核知识点解释): 可用性是指系统工作正常,能及时有效的为合法用户提供服务。 ★考核知识点:认证技术 附2.2.4(考核知识点解释): 数字证书由认证机构颁发,包含公开密钥持有者信息、公开密钥文件、认证机构的数字签名、密钥的有效时间、认证机构的名称及证书序列号等信息。 ★考核知识点:认证技术 附2.2.5(考核知识点解释): PKI (Pubic Key Infrastructure),是一个利用公开密钥算法原理与技术实现的,并提供安全服务的,具有普适性的安全基础设施。 ★考核知识点:认证技术 附2.2.6(考核知识点解释): 认证机构(CA)在业界通常被称为认证中心,它是证书的签发机构,是一个严格按照证书策略管理机构制定的策略颁发证书的机构。 ★考核知识点:防火墙 附2.3.1(考核知识点解释): 在受到黑客攻击、感染了病毒DNS服务器解释出错、与设置代理服务器有关或设置了防火墙无效的情况下防火墙是无效的。 ★考核知识点:电子商务系统交易安全 附2.3.2(考核知识点解释): (1)系统应用层:保密性、认证性、及时性、真实性、不可否认性、不可拒绝性、访问控制性(2)安全协议层:SET协议、SSL协议(3)安全认证层:数字证书、数字时间戳、数字签名、数字摘要(4)加密技术层:对称加密、非对称加密(5),网络安全层:防火墙、智能卡、入侵检测、反病毒。 ★考核知识点:数据加密技术 附2.3.3(考核知识点解释): 在对称加密体制中,加密使用的密钥和解密使用的密钥是形同,即使加密密钥和解密密钥不相同,也可以从其中一个推导出另一个。对称加密体制又称为“单密钥体制”。对称加密体制的算法是公开的,交换信息的双方不需要交换加密算法,而是采用相同的加密算法,但需要交换加密密钥,即使用对称加密方法,加密方法和解密方法必须使用同一加密算法和相同的密钥。非对称加密体制对信息的加密和解密使用不同的密钥,即需要两个密钥:公开密钥和私有密钥。公开密钥使用密钥对,如果用公开密钥对数据进行加密,只有用对应的似有密钥才能进行解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密,又称为公钥加密技术 ★考核知识点:防火墙 附2.3.4(考核知识点解释): 防火墙就是介于内部网络和不可信任的外部网络之间的一系列部件的组合,它是不同网络或网络安全之间信息的唯一出入口根据企业的总体安全策略控制(如允许、拒绝)出入内部可信任网络的信息流,而且防火墙本身具备很强的抗攻击能力提供信息安全服务和实现网络及信息安全的基础设施。 ★考核知识点:防火墙 附2.3.5(考核知识点解释): 分组过滤器是目前使用最为广泛的防火墙,其原理很简单:(1)、有选择地允许数据分组穿过防火墙,实现内部和外部主机之间的数据交换;(2)、作用在网络层和传输层;(3)、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。满足过滤逻辑的数据包才被转发,否则丢弃。 ★考核知识点:PKI 附2.3.6(考核知识点解释): 典型的PKI系统是由5个部分组成的:证书申请者、注册机构、认证中心、证书库和证书信任方。其中,认证中心、注册机构和证书库三部分是PKI的核心,证书申请者和证书信任方则是利用PKI进行网上交易的参加者。 ★考核知识点:电子商务的支付安全 附2.3.7(考核知识点解释): 电子支付,指的是以金融电子化网络为基础,以商用电子化机具和各类交易卡为媒介,以计算机技术和通信技术为手段,以电子数据形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付。 ★考核知识点:电子商务的支付安全 附2.3.8(考核知识点解释): 电子现金是一种以数据形式存在的现金货币。它把现金数值转换成为一系列加密序列数,通过这些序列数来表示现实中各种金额的币值。用户在开展电子现金业务的银行开设账户内存钱后就可以在接受电子现金的商店购物。 ★考核知识点:电子商务的支付安全 附2.3.9(考核知识点解释): 电子钱包是一种具有存取款和转账消费功能的智能卡。 ★考核知识点:电子商务的支付安全 附2.3.10(考核知识点解释): 电子支票(Electronic check, echeck)是一种借鉴纸质支票转移支付的优点,利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式 。 ★考核知识点:安全电子交易协议 附2.3.11(考核知识点解释): SET是一个基于可信的第三方认证中心的方案,它要实现的主要目标有下列三个方面: (1)保障付款安全 (2)确定应用的互通性(3)达到全球市场的接受性 因此,SET协议保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。 ★考核知识点:安全电子交易协议 附2.3.12(考核知识点解释): SET协议的购物流程: 1) 在消费者与特约商店之间,持卡人消费前先确认商店的合法性,由商店出示它的证书。 2) 持卡人确认后即可下订单,其订单经持卡人与数字签名的方式确认,而持卡人所提供的信用卡资料则另由收单银行以公钥予以加密。 3) 特约商店将客户的资料连同自己的SET证书给收单银行,向银行请求交易授权及授权回复。 4) 收单银行会同时检查两个证书决定是否为合法的持卡人及特约商店。 5) 授权确认后由特约商店向持卡人进行订单的确认,交易完成。 6) 至于特约商店与收单银行间,基于该授权提出请款要求并由银行付款。 ★考核知识点:安全电子交易协议 附2.3.13(考核知识点解释): SSL协议的握手过程一般是由五个阶段构成的:(1)接通阶段(2)接通阶段(3)密钥交换阶段(4)会话密钥生成阶段(5)认证阶段 ★考核知识点:电子商务安全技术 附2.3.14(考核知识点解释): 密钥的生命周期包括:密钥的建立;密钥的备份/恢复;密钥的替换/更新;密钥的吊销;密钥的终止。 ★考核知识点:电子商务的网络安全 附2.3.15(考核知识点解释): VPN中使用的关键技术:隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端,QOS技术用来解决网络延迟与阻塞问题。 ★考核知识点:数据加密技术 附2.4.1(考核知识点解释): CA中心发放的密钥对可以用于加密,也可以用于签名。 加密的原理是:用公钥加密,用私钥解密。 签名的原理是:用私钥加密,用公钥解密。 ★考核知识点:SET 附2.4.2(考核知识点解释): 交易协议中包含了商家和消费者之间的相互认证,它主要通过银行来分割商家和消费者,交易双方通过银行签名和多方认证来完成。其安全漏洞主要是银行不提供商品服务保障,不能保证商品的质量与服务 ★考核知识点:防火墙 附2.4.3(考核知识点解释): 不能防范恶意知情者泄密 不能控制不经过它的连接 不能防备完全新的威胁 不能防止病毒和特洛伊木马 不能防止内部用户的破坏查看更多