08自考“電子商務概論”知識點（4）-自考串講筆記

　　電子商務的安全

　　1、計算機安全分為物理安全和邏輯安全。物理安全是指可觸及的保護設備，如警鈴、保衛(wèi)、防火門、安全柵欄、保險箱、防暴建筑物等。使用非物理手段對資產進行保護成為邏輯安全。對計算機資產帶來危險的任何行動或對象都被稱為安全威脅。

　　2、安全專家把計算機安全分為：保密、完整、即需。

　　保密：指防止未授權的數據暴露并確保數據源的可靠性。

　　完整：防止未經授權的數據修改。

　　即需：防止延遲或拒絕服務。

　　3、安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱。不同的安全措施其投資不同。資產的重要性決定了采用什么樣的安全措施。分析哪些資產需要保護，保護到什么程度。

　　4、安全策略是對所需保護的資產、保護的原因、誰負責進行保護、哪些行為可接受、哪些不可接受等的書面描述。

　　5、安全策略的內容：（1）認證；（2）訪問控制；（3）保密；（4）數據完整性；（5）審計。

　　6、互聯網成了版權侵犯者的誘人目標的原因：

　?。?）網上的信息無論是否受到版權保護，它都非常容易復制；

　?。?）很多人不了解保護知識產權方面的版權規(guī)定。

　　7、數字水印：隱藏地嵌入在數字圖象或聲音文件里的數字碼或數字流?？蓪ζ鋬热菁用芑蚝唵蔚仉[藏在圖像或聲音文件的字節(jié)里。數字化音頻水印系統(tǒng)可用來保護互聯網上的音頻文件，其系統(tǒng)可識別、認證和保護知識產權。

　　8、靜態(tài)頁面是以WWW標準頁面描述語言HTML編制的，其作用是顯示內容并提供到其他頁面的鏈接。

　　9、對客戶機的安全威脅：

　?。?）活動內容（2）Java、Java小應用程序和JavaScript.（3）ActiveX控件（4）圖形文件、插件和電子郵件的附件。

　　10、活動內容：是指在頁面上嵌入的對用戶透明的程序。

　　11、特洛伊木馬將破壞性的活動頁面放進看起來完全無害WWW頁面中。特洛伊木馬是隱藏在程序或頁面里而掩蓋其真實目的程序。特洛伊木馬還可改變或刪除客戶機上的信息，構成完整性侵害。

　　12、Cookie本沒惡意，但由于其信息可能被利用，因此有些人不喜歡讓自己的計算機存儲Cookie.識別、管理、顯示或刪除Cookie的免費程序或自由軟件是：CookieCrusher和CookiePal.

　　13、Java是一種真正的面向對象的語言，這是一個很有用的特點，因為它支持代碼重用。除WWW應用外，Java還可在操作系統(tǒng)上運行。Java得以廣泛應用的另一個原因是與平臺無關性，它可在任何計算機上運行。

　　14、Java運行程序安全區(qū)是根據安全模式所定義的規(guī)則來限制Java小應用程序的活動。當Java小應用程序在Java運行程序安全區(qū)限制的范圍內運行時，它們不會訪問系統(tǒng)中安全規(guī)定范圍之外的程序代碼。

　　15、Java應用程序和Java小應用程序不同：Java應用程序不在瀏覽器上運行，而是在計算機上運行，它可以完成任何操作。

　　16、特洛伊木馬的例子：

　　JavaScript程序不能自行啟動。有惡意的JavaScript程序要運行，必須由你親手啟動。有惡意者為誘導你啟動這個程序，可能會把程序裝扮成住房公積金計算程序，在你按下按鈕來查看自己的住房公積金時，可能會把程序JavaScript程序就會啟動，完成它的破壞任務。

　　信息隱蔽是指隱藏在另一片信息中的信息，其目的可能是善意的，也可能是惡意的。

　　17、ActiveX是一個對象（控件），由頁面設計者放在頁面里來執(zhí)行特定任務的程序。ActiveX控件存在一定的安全威脅：一旦下載下來，它就能像計算機上的其他程序一樣執(zhí)行，能訪問包括操作系統(tǒng)代碼在內的所有系統(tǒng)資源，這是非常危險的。

　　18、信息隱蔽是指隱蔽在另一個信息中的信息，其目的可能是善意的，也可能是惡意的。

　　19、內置的防止或減少客戶機安全威脅的保護機制：

　　1）數字證書；2）微軟的IE；3）網景公司的navigator；4）處理Cookie；5）使用防病毒軟件。

　　20、數字證書：是電子郵件附件或嵌在網頁上的程序，可用來驗證用戶或網站的身份。如果電子郵件消息或網頁含有數字證書，就稱之為簽名消息或簽名代碼。（數字證書的作用：驗證用戶或網站的身份）

　　21、防病毒軟件只能保護你的計算機不受已下載到計算機上的病毒攻擊，它是一種防衛(wèi)策略。

　　22、保密與隱私的區(qū)別：（典型例子：電子郵件）

　?。?）保密是防止未經授權的信息泄露；隱私是保護個人不被曝光的權利。

　?。?）保密要求繁雜的物理和邏輯安全的技術問題；隱私需要法律的保護。

　　23、對完整性的安全威脅也叫主動搭線竊聽。

　　24、破壞他人網站是指以電子形式破壞某個網站的網頁。

　　25、電子偽裝是指某人裝成他人或將某個網站偽裝成另一個網站。

　　26、對即需性的安全威脅也叫延遲安全威脅或拒絕安全威脅。

　　27、加密就是用基于數學算法的程序和保密的密鑰對信息進行編碼，生成難以理解的字符串。

　　28、加密程序：將這些文字（明文）轉成密文（位的隨機組合）的程序。

　　29、消息在發(fā)送到網絡或互聯網之前進行加密，接收方收到消息后對其解碼或成為解密，所用的程序稱為解密程序，這是加密的逆過程。加密程序的邏輯稱為加密算法。

　　30、非對稱加密（公開密鑰機密）：它用連個數學相關的密鑰對信息進行編碼。其中一個密鑰叫公開密鑰，可隨意發(fā)給期望同密鑰持有者進行安全通訊的人。公開密鑰用于對信息加密。第二個密鑰是私有密鑰，屬于密鑰持有者，此人要仔細保存私有密鑰。密鑰持有者用私有密鑰對收到的信息進行解密。

　　31、對稱加密（私有密鑰加密）：它只用一個密鑰對信息進行加密和解密。發(fā)送者和接收者用的是同一密鑰。

　　32、公開密鑰加密的優(yōu)點：

　　（1）在多人之間進行保密信息傳輸所需的密鑰組合數量很??；

　?。?）密鑰的分布不成問題；

　?。?）公開密鑰系統(tǒng)可實現數字簽名。

　　33、安全套接層（SSL）與（安全超文本傳輸協議）S-HTTP的區(qū)別：

　?。?）SSL系統(tǒng)由網景公司提出；S-HTTP由CommerceNet公司提出。SSL和S-HTTP支持客戶機和服務器對彼此在安全WWW會話過程中的加密盒解密活動的管理。

　　（2）SSL是支持兩臺計算機間的安全連接；S-HTTP是為安全地傳輸信息。SSL和S-HTTP都是透明地自動完成發(fā)出信息的加密和接收信息的解密工作。SSL工作在傳輸層；S-HTTP工作在應用層。

　　34、S-HTTP與SSL不同之處在于S-HTTP建立了一個安全會話。SSL是通過客戶機與服務器的“握手”建立一個安全通訊，而S-HTTP是通過在S-HTTP所交換包的特殊都標志來建立安全通訊的。

　　35、頭標志：定義了安全技術的類型，包括使用私有密碼加密、服務器認證、客戶機認證和消息的完整性。也確定了各方所支持的加密算法，不論客戶機或服務器是否支持這種算法，也不論是必需、可選還是拒絕此安全技術。（名詞）

　　36、安全信封是通過將一個消息封裝起來以提供保密性、完整性和客戶機與服務器認證。即安全信封時一個完整的包。（名詞）

　　37、加密后的消息摘要稱為數字簽名。

　　38、保證交易傳輸的方式是：TCP/IP協議。

　　39、對服務器的安全威脅：

　　1）對WWW服務器的安全威脅；2）對數據庫的安全威脅；

　　3）對公用網關接口（CGI）的安全威脅；4）對其他程序的安全威脅。

　　40、WWW服務器軟件是用來響應HTTP請求進行頁面?zhèn)鬏數?。WWW服務器軟件主要設計目標是支持WWW服務和方便使用，軟件越復雜，包含錯誤代碼的概率就越高，有安全漏洞的概率也就越高。安全漏洞是指破壞者可因之進入系統(tǒng)的安全方面的缺陷。安全規(guī)則是為程序提供完成工作所需的最低權限。WWW服務器提供的是在低權限下能完成的普通服務和任務。

　　41、蠕蟲引起的溢出會消耗掉所有資源，直到主機停機。（名詞）

　　42、溢出攻擊：是將指令寫在關鍵的內存位置上，使侵入的程序在完成了覆蓋緩存內容后，WWW服務器通過載入記錄攻擊程序地址的內部寄存器來恢復執(zhí)行。（名詞）

　　43、郵件炸彈：即數以千計的人將同一消息發(fā)給一個電子郵件地址。

　　44、保護服務器措施：（1）訪問控制和認證；（2）操作系統(tǒng)控制；（3）防火墻。

　　45、訪問控制和認證：是指控制訪問商務服務器的人和訪問內容。（名詞）

　　46、服務器對用戶的認證方式：（1）證書；（2）檢查證書的時間；（3）回叫系統(tǒng)。

　　47、不管將登錄信息存儲在何處，最常見且最安全的存儲方法是以明文形式保存用戶名，而用加密方式來保存口令。在系統(tǒng)創(chuàng)建一組新的用戶名/口令時，一般采用單向加密算法對口令進行加密。

　　48、WWW服務器一般是以提供訪問控制表的方式來限制用戶的文件訪問權限。（填空/選擇）

　　49、防火墻在需要保護的網絡同可能帶來安全威脅的互聯網或其他網絡之間建立了一層保護，通常也是第一道保護。（名詞/簡答）

　　防火墻是具有以下特征的計算機：

　?。?）由內到外和由外到內的所有訪問都必須通過它；

　　（2）只有本地安全策略所定義的合法訪問才被允許通過它；

　?。?）防火墻本身無法被穿透。

　　50、防火墻分類：包過濾、網關服務器、代理服務器。（簡答）

　?。?）包過濾防火墻要檢查在可信網絡和互聯網之間傳輸的所有數據，包括信息包的源地址、目標地址及進入可信網絡的信息包的端口，并根據預先設定的規(guī)則拒絕或允許這些包進入。

　　（2）網關服務器是根據所請求的應用對訪問進行過濾的防火墻。網關服務器會限制諸如Telnet、FTP和HTTP等應用的訪問。應用網關對網絡內部和網絡外部的訪問進行仲裁。應用級的防火墻不是較低的IP層而