电子商务安全导论(百分百考点)

1电子商务安全导论名词解释1，电子商务：顾名思义，是建立在电子技术基础上的商业运作，是利用电子技术加强，加快，扩展，增强，改变了其有关过程的商务。2，EDI：电子数据交换是第一代电子商务技术，实现BTOB方式交易。3，BTOB：企业机构间的电子商务活动。4，BTOC：企业机构和消费者之间的电子商务活动。5，intranet：是指基于TCP/IP协议的企业内部网络，它通过防火墙或其他安全机制与intranet建立连接。intranet上提供的服务主要是面向的是企业内部。6，Extranet：是指基于TCP/IP协议的企业外域网，它是一种合作性网络。7，商务数据的机密性：商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取，不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。8，邮件炸弹：是攻击者向同一个邮件信箱发送大量的垃圾邮件，以堵塞该邮箱。9，TCP劫持入侵：是对服务器的最大威胁之一，其基本思想是控制一台连接于入侵目标网的计算机，然后从网上断开，让网络服务器误以为黑客就是实际的客户端。10，HTTP协议的“有无记忆状态”：即服务器在发送给客户机的应答后便遗忘了些次交互。TLENET等协议是“有记忆状态”的，它们需记住许多关于协议双方的信息，请求与应答。1，明文：原始的，未被伪装的消息称做明文，也称信源。通常用M表示。2，密文：通过一个密钥和加密算法将明文变换成一种伪信息，称为密文。通常用C表示。3，加密：就是用基于数学算法的程序和加密的密钥对信息进行编码，生成别人难以理解的符号，即把明文变成密文的过程。通常用E表示。4，解密：由密文恢复成明文的过程，称为解密。通常用D表示。5，加密算法：对明文进行加密所采用的一组规则，即加密程序的逻辑称做加密算法。6，解密算法：消息传送给接收者后，要对密文进行解密时所采用的一组规则称做解密算法。7，密钥：加密和解密算法的操作通常都是在一组密钥的控制下进行的，分别称作加密密钥和解密密钥。通常用K表示。8，单钥密码体制：是加密和解密使用桢或实质上等同的密钥的加密体制。使用单钥密码体制时，通信双方AB必须相互交换密钥，当A发信息B时，A用自己的加密密钥匙进行加密，而B在接收到数据后，用A的密钥进行解密。单钥密码体制又称为秘密密钥体制或对称密钥体制。9，双钥密码体制又称作公共密钥体制或非对称加密体制，这种加密法在加密和解密过程中要使用一对密钥，一个用与加密，另一上用于解密。即通过一个密钥加密的信息，只有使用另一个密钥才能够解密。这样每个用户都拥有两个密钥：公共密钥和个人密钥，公共密钥用于加密钥，个人密钥用于解密。用户将公共密钥交给发送方或公开，信息发送者使用接收人的公共密钥加密的信息只有接收人才能解密。1，数据的完整性：数据的完整性是指数据处于“一种未受损的状态”和“保持完整或未被分割的品质或状态”。2，数字签名：是利用数字技术实现在网络传送文件时，附加个人标记，完成系统上手书签名盖章的作用，以表示确认，负责，经手等。3，双密码加密：它是一对匹配使用的密钥。一个是公钥，是公开的，其他人可以得到；另一个是私钥，为个人所有。这对密钥经常一个用来加密，一个用来解密。4，数字信封：发送方用一个随机产生的DES密钥加密消息，然后用接收方的公钥加密DES密钥，称为消息的“数字信封”，将数字信封与DES加密后的消息一起发给接收方。接收者收到消息后，先用其私钥找开数字信封，得到发送方的DES密钥，再用此密钥去解密消息。只有用接2收方的RSA私钥才能够找开此数字信封，确保了接收者的身份。5，混合加密系统：综合利用消息加密，数字信封，散列函数和数字签名实现安全性，完整性，可鉴别和不可否认。成为目前信息安全传送的标准模式，一般把它叫作“混合加密系统”，被广泛采用。6，数字时间戳：如何对文件加盖不可篡改的数字时间戳是一项重要的安全技术。数字时间戳应当保证：（1）数据文件加盖的时间戳与存储数据的物理媒体无关。（2）对已加盖时间戳的文件不可能做丝毫改动。（3）要想对某个文件加盖与当前日期和时间不同时间戳是不可能的。7，无可争辩签名：是在没有签名者自己的合作下不可能验证签名的签名。无可争辩签名是为了防止所签文件被复制，有利于产权拥有者控制产品的散发。8，消息认证：是使接收方能验证消息发送者及所发信息内容是否被篡改过。9，确定性数字签名：其明文与密文一一对应，它对一特定消息的签名不变化。10，随机式数字签名：根据签名算法中的随机参值，对同一消息的签名也有对应的变化。11，盲签名：一般数字签名中，总是要先知道文件内容而后才签署，这正是通常所需要的。但有时需要某人对一个文件签名，但又不让他知道文件内容，称为盲签名。12，完全盲签名：设1是一位仲裁人，2要1签署一个文件，但不想让他知道所签的文件内容是什么，而1并不关心所签的内容，他只是确保在需要时可以对此进行仲裁，这时便可通过完全盲签名协议实现。完全盲签名就是当前对所签署的文件内容不关心，不知道，只是以后需要时，可以作证进行仲裁。13，双联签名：在一次电子商务活动过程中可能同时有两个联系的消息M1和M2，要对它们同时进行数字签名。1，备份：是恢复出错系统的办法之一，可以用备份系统将最近的一次系统备份恢复到机器上去。2，归档：是指将文件从计算机的存储介质中转移到其他永久性的介质上的，以便长期保存的过程。3，计算机病毒：是指编制者在计算机程序中插入的破坏计算机功能的程序，或者毁灭数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。4，镜像技术：是数据备份技术的一种，主要有网络数据镜像，远程镜像磁盘等。5，网络物理安全：指物理设备可靠，稳定运行环境，容错，备份，归档和数据完整性预防。6，奇偶校验：也是服务器的一个特性。它提供一种机器机制来保证对内存错误的检测，因此，不会引起由于服务器出错而造成数据完整性的丧失。7，引导型病毒：是指寄生在磁盘引导区或主引导区的计算机病毒。8，文件病毒：是指能够寄存在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。9，良性病毒：是指那些只是为了表现自身，并不彻底破坏系统和数据，但会大量占用CPU时间，增加系统开销，降低系统工作效率的一类计算机病毒。10，恶性病毒：是指那些一旦发作后，就会破坏系统或数据，造成计算机系统瘫痪的一类计算机病毒。1，防火墙：是一类防范措施的总称。2，非受信网络：一般指的是外部网络。3，扼制点：提供内，外两个网络间的访问控制。4，受信网络一般指的是内部网络。5，局域网指一定区域范围内的网络。6，VPN（虚拟专用网）：是指通过一个公共网络建立一个临时的，安全链接。（1）接入控制：接入或访问控制是保证网络安全的重要手段，它通过一组机制控制不同级别的主体以目标资源的不同授权访问，在对主体认证之后实3施网络资源安全管理使用。（2）自主式接入控制：简记为DAC。它由资源拥有者分配接入权，在辨别各用户的基础上实现接入控制。每个用户的接入权由数据的拥有者来建立，常以接入控制表或权限表实现。（3）强制式接入控制：简记为MAC。它由系统管理员来分配接入权限和实施控制，易于与网络的安全策略协调，常用敏感标记实现多级安全控制。（4）加密桥技术：一种加/解密卡的基础上开发加密桥的技术可实现在不存在降低加密安全强度旁路条件下，为数据库加密字段的存储，检索，索引，运算，删除，修改等到功能的实现提供接口，并且它的实现是与密码算法，密码设备无关的。（5）接入权限：表示主体对客体访问时可拥有的权利。接入权要按每一对主体客体分别限定，权利包括读，写，执行等，读写含义明确，而执行权指目标为一个程序时它对文件的查找和执行1，拒绝率或虚报率：是指身份证明系统的质量指标为合法用户遭拒绝的概率。2，漏报率：是指非法用户伪造身份成功的概率。3，通行字：通行字是一种根据已知事物验证身份的方法，也是一种研究和使用最广的身份验证法。4，域内认证：是指CLIENT向本KERBEROS的认证域以内的SERVER申请服务。5，域间认证：是指CLIENT向本KERBEROS的认证域以内的SERVER申请服务。1，数字认证：是指用数字办法确认，鉴定，认证网络上参与信息交流者或服务器的身份。2，公钥证书：它将公开密钥与特定的人，器件或其他实体联系起来。公钥证书是由证书机构签署的，其中包含有持证者的确切身份。3，公钥数字证书：网络上的证明文件，证明双钥体制中的公钥所有者就是证书上所记录的使用者。4，单公钥证书系统：一个系统中所有的用户公用同一个CA。5，多公钥证书系统：用于不同证书的用户的互相认证。6，客户证书：证实客户身份和密钥所有权。7，服务器证书：证实服务器的身份和公钥。8，安全邮件证书：证实电子邮件作户的身份和公钥。9，CA证书：证实CA身份和CA的签名密钥。10，证书机构CA:用于创建和发布证书，它通常为一个称为安全域的有限群体发放证书。11，安全服务器：面向普通用户，用于提供证书申请，济览，证书吊销表以及证书下载等安全服务。12，CA服务器：是整个证书机构的核心，负责证书的签发。13，数据库服务器：是认证机构中的核心部分，用于认证机构数据（如密钥和用户信息等），日志和统计信息的存储和管理。14，公钥用户需要知道公钥的实体为公钥用户。15，证书更新：当证书持有者的证收过期，证书被窃取，受到攻击时通过更新证书的方法，使其用新的证书继续参与网上认证。证书的更新包括证书的更换和证书的延期两种情况。简答题1，什么是保持数据的完整性？答：商务数据的完整性或称正确性是保护数据不被未授权者修改，建立，嵌入，删除，重复传送或由于其他原因使原始数据被更改。在存储时，要防止非法篡改，防止网站上的信息被破坏。在传输过程中，如果接收端收到的信息与发送的信息完全一样则说明在传输过程中信息没有遭到破坏，具有完整性。加密的信息在传输过程，虽能保证其机密性，但并不能保证不被修改。2，网页攻击的步骤是什么？答：第一步，创建一个网页，看似可信其实是假的拷贝，但这个拷贝和真的“一样”“假网页和真网页一样的页面和链接。第二步：攻击者完全控制假网页。所以浏览器和网络是的所有信息交流者经过攻击者。第二步，攻击者利用网页做假的后果：攻击者记录受害者访问的4内容，当受害者填写表单发送数据时，攻击者可以记录下所有数据。此外，攻击者可以记录下服务器响应回来的数据。这样，攻击者可以偷看到许多在线商务使用的表单信息，包括账号，密码和秘密信息。如果需要，攻击者甚至可以修改数据。不论是否使用SSL或S-HTTP，攻击者都可以对链接做假。换句话说，就算受害者的游览器显示出安全链接图标，受害者仍可能链接在一个不安全链接上。3，什么是Intranet?答：Intranet是指基于TCP/IP协议的内连网络。它通过防火墙或其他安全机制与Intranet建立连接。Intranet上可提供所有Intranet的应用服务，如，E-MAIL等，只不过服务面向的是企业内部。和Intranet一样，Intranet具有很高的灵活性，企业可以根据自己的需求，利用各种Intranet互联技术建立不同规模和功能的网络。4，为什么交易的安全性是电子商务独有的？答：这也是电子商务系统所独有的。在我们的日常生活中，进和一次交易必须办理一定的手续，由双方签发各种收据凭证，并签名盖章以作为法律凭据。但在电子商务中，交易在网上进行，双方甚至不会见面，那么一旦一方反悔，另一方怎么能够向法院证明合同呢？这就需要一个网上认证机构对每一笔业务进行认证，以确保交易的安全，避免恶意欺诈。5，攻击WEB站点有哪几种方式？答：安全信息被破译：WEB服务器的安全信息，如口令，密钥等被破译，导致攻击者进入WEB服务器。浏览器的强大功能，可以以不同形式访问WEB站点的数据，这不仅为用户，同时也为攻击者打开了许多方便之门。攻击者试图在内部网上获取信息或利用；计算机资源。因此，必须保护WEB站点，防止闯入者的袭击。最常见，也是最有效的保护是使用防火墙。非法访问：未授权者非法访问了WEB上的文件，损害了电子商务中的隐私性，