07年10月自考“電子商務(wù)概論”筆記（4） -自考串講筆記

　　第四章電子商務(wù)的安全

　　第一節(jié)

　　概述

　　1.計(jì)算機(jī)安全的定義、分類

　　計(jì)算機(jī)安全就是保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問、使用、篡改或破壞。

　　安全專家通常把計(jì)算機(jī)安全分成三類，即保密、完整和即需。保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性；完整是防止未經(jīng)授權(quán)的數(shù)據(jù)修改；即需是防止延遲或拒絕服務(wù)。

　　2.安全策略的內(nèi)容

　　安全策略是對(duì)所需保護(hù)的資產(chǎn)、保護(hù)的原因、誰(shuí)負(fù)責(zé)進(jìn)行保護(hù)、哪些行為可接受、哪些不可接受等的書面描述。

　　安全策略一般包含以下內(nèi)容：

　?。?）認(rèn)證：誰(shuí)想訪問電子商務(wù)網(wǎng)站？

　?。?）訪問控制：允許誰(shuí)登錄電子商務(wù)網(wǎng)站并訪問它？

　?。?）保密：誰(shuí)有權(quán)利查看特定的信息？

　?。?）數(shù)據(jù)完整性：允許誰(shuí)修改數(shù)據(jù)，不允許誰(shuí)修改數(shù)據(jù)？

　?。?）審計(jì)：在何時(shí)由何人導(dǎo)致了何事？

　　第二節(jié)

　　對(duì)版權(quán)和知識(shí)產(chǎn)權(quán)的保護(hù)

　　版權(quán)：是對(duì)表現(xiàn)的保護(hù)，一般包括對(duì)文學(xué)和音樂作品、戲曲和舞蹈作品、繪畫和雕塑作品、電影和其他視聽作品以及建筑作品的保護(hù)。

　　知識(shí)產(chǎn)權(quán)：是思想的所有權(quán)和對(duì)思想的實(shí)際或虛擬表現(xiàn)的控制權(quán)。

　　第三節(jié)

　　保護(hù)客戶機(jī)

　　1.對(duì)客戶機(jī)的安全威脅有哪些？

　　（1）活動(dòng)內(nèi)容；

　?。?）Java、Java小應(yīng)用程序和java script；

　?。?）Active X控件；

　?。?）圖形文件、插件和電子郵件附件。

　　信息隱蔽：是指隱藏在另一片信息中的信息（如命令），其目的可能是善意的，也可能是惡意的。信息隱蔽提供將加密的文件隱藏在另一個(gè)文件中的保護(hù)方式。

　　數(shù)字證書：是電子郵件附件或嵌在網(wǎng)頁(yè)上的程序，可用來(lái)驗(yàn)證用戶或網(wǎng)站的身份。另外，數(shù)字證書還有向網(wǎng)頁(yè)或電子郵件附件原發(fā)送者發(fā)送加密信息的功能。

　　第四節(jié)

　　保護(hù)通訊信道的安全

　　1.通訊信道的安全威脅有哪些？

　　在互聯(lián)網(wǎng)上傳輸?shù)男畔?，從起始?jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)之間的路徑是隨機(jī)選擇的。此信息在到達(dá)最終目標(biāo)之前會(huì)通過(guò)許多中間節(jié)點(diǎn)。在同一起始節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)之間發(fā)送信息時(shí)，每次所用的路徑都是不同的，根本就無(wú)法保證信息傳輸時(shí)所通過(guò)的每臺(tái)計(jì)算機(jī)都是安全的和無(wú)惡意的。所以有了\“電子郵件傳遞的安全威脅\”問題。

　　對(duì)保密性的安全威脅，是指未經(jīng)授權(quán)的信息泄露。

　　對(duì)完整性的安全威脅也叫主動(dòng)搭線竊聽。當(dāng)未經(jīng)授權(quán)方同意改變了信息流時(shí)就構(gòu)成了對(duì)完整性的安全威脅。

　　對(duì)即需性的安全威脅也叫延遲安全威脅或拒絕安全威脅，其目的是破壞正常的計(jì)算機(jī)處理或完全拒絕處理。

　　加密：就是用基于數(shù)學(xué)算法的程序和保密的密鑰對(duì)信息進(jìn)行編碼，生成難以理解的字符串。將這些文字（稱為明文）轉(zhuǎn)成密文（位的隨機(jī)組合）的程序稱作加密程序。

　　安全套接層（SSL）和安全超文本傳輸協(xié)議（S－HTTP）支持客戶機(jī)和服務(wù)器對(duì)彼此在安全WWW會(huì)話過(guò)程中的加密和解密活動(dòng)的管理。

　　SSL是支持兩臺(tái)計(jì)算機(jī)間的安全連接，而S－HTTP則是為安全地傳輸信息。SSL和S－HTTP都是透明地自動(dòng)完成發(fā)出信息的加密和收到信息的解密工作。SSL處于Internet多層協(xié)議集的傳輸層，而S－HTTP是在最高層——應(yīng)用層。

　　第五節(jié)

　　對(duì)服務(wù)器的安全威脅

　　1.防火墻的定義和分類

　　防火墻是在需要保護(hù)的網(wǎng)絡(luò)同可能帶來(lái)安全威脅的互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間建立的保護(hù)層，防火墻具有以下特征：首先，由內(nèi)到外和由外到內(nèi)的所有訪問都必須通過(guò)它。其次。只有本地安全策略所定義的合法訪問才被允許通過(guò)它。而且防火墻本身無(wú)法被穿透。

　　分類：防火墻的種類包括包過(guò)濾、網(wǎng)關(guān)服務(wù)器和代理服務(wù)器。