自考“電子商務(wù)概論”復(fù)習(xí)重點(diǎn)（4）

　　第四章 電子商務(wù)的安全

　　一、復(fù)習(xí)提示

　　（一）本章學(xué)習(xí)要點(diǎn)與邏輯結(jié)構(gòu)

　　本章主要介紹計(jì)算機(jī)的安全問(wèn)題。通過(guò)學(xué)習(xí)本章內(nèi)容，考生應(yīng)識(shí)記計(jì)算機(jī)安全、版權(quán)及知識(shí)產(chǎn)權(quán)的概念，還有計(jì)算機(jī)易受到的安全威脅，這些安全威脅來(lái)自于客戶機(jī)、通訊信道以及服務(wù)器；考生還應(yīng)領(lǐng)會(huì)活動(dòng)內(nèi)容為計(jì)算機(jī)帶來(lái)的安全威脅以及信息加密的工作原理；在掌握以上知識(shí)的基礎(chǔ)上，要求考生能夠針對(duì)不同的安全威脅制定并實(shí)施相應(yīng)的安全策略。

　　本章的邏輯結(jié)構(gòu)是：第一節(jié)簡(jiǎn)要介紹計(jì)算機(jī)安全的概念以及計(jì)算機(jī)安全的分類。物理安全和邏輯安全是迄今為止計(jì)算機(jī)安全的兩大部分，安全專家把計(jì)算機(jī)安全分為三類，即保密、完整和即需。要保護(hù)電子商務(wù)資產(chǎn)的安全，我們必須要有一個(gè)明確的安全措施。第二節(jié)主要介紹了計(jì)算機(jī)安全對(duì)知識(shí)產(chǎn)權(quán)的保護(hù)。在這一節(jié)中，考生要領(lǐng)會(huì)保護(hù)數(shù)字化知識(shí)產(chǎn)權(quán)與保護(hù)傳統(tǒng)的知識(shí)產(chǎn)權(quán)有什么不同。第三節(jié)重點(diǎn)講述了對(duì)客戶機(jī)的保護(hù)。包括Java小應(yīng)用程序、Active X控件、Cookie及小應(yīng)用程序。第四節(jié)主要介紹對(duì)通訊信道進(jìn)行安全保護(hù)的有關(guān)知識(shí)。對(duì)信息的加密，加密方法以及SSL、S-HTTP對(duì)活動(dòng)頁(yè)面進(jìn)行的安全保護(hù)。此節(jié)為重點(diǎn)章節(jié)，考生應(yīng)重點(diǎn)復(fù)習(xí)此節(jié)。第五節(jié)對(duì)于企圖破壞或非法獲取互聯(lián)網(wǎng)信息的人來(lái)說(shuō)，服務(wù)器有很多弱點(diǎn)可以被利用，包括WWW服務(wù)器及其軟件、數(shù)據(jù)庫(kù)的后臺(tái)程序、服務(wù)器的公共網(wǎng)關(guān)接口和其他工具程序。對(duì)于保護(hù)服務(wù)器來(lái)說(shuō)，防火墻是必需的。

　?。ǘ┍菊滦枰莆盏目己酥R(shí)點(diǎn)和考核要求

　　1.計(jì)算機(jī)安全

　　要求識(shí)記計(jì)算機(jī)安全的概念及分類、安全措施及安全策略的定義；領(lǐng)會(huì)計(jì)算機(jī)各種安全的含義；要求能夠根據(jù)實(shí)際情況制定安全措施。

　　計(jì)算機(jī)安全就是保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問(wèn)、使用、篡改或破壞。

　　安全專家通常把計(jì)算機(jī)安全分成三類，即保密、完整和即需。保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性；完整是防止未經(jīng)授權(quán)的數(shù)據(jù)修改；即需是防止延遲或拒絕服務(wù)。

　　安全措施是指識(shí)別、降低或消除安全威脅的物理或邏輯步驟的總稱。

　　安全策略是對(duì)所需保護(hù)的資產(chǎn)、保護(hù)的原因、誰(shuí)負(fù)責(zé)進(jìn)行保護(hù)、哪些行為可接受、哪些不可接受等的書(shū)面描述。

　　安全策略一般包含以下內(nèi)容：

　　（1）認(rèn)證：誰(shuí)想訪問(wèn)電子商務(wù)網(wǎng)站？

　　（2）訪問(wèn)控制：允許誰(shuí)登錄電子商務(wù)網(wǎng)站并訪問(wèn)它？

　?。?）保密：誰(shuí)有權(quán)利查看特定的信息？

　?。?）數(shù)據(jù)完整性：允許誰(shuí)修改數(shù)據(jù)，不允許誰(shuí)修改數(shù)據(jù)？

　?。?）審計(jì)：在何時(shí)由何人導(dǎo)致了何事？

　　2.對(duì)版權(quán)和知識(shí)產(chǎn)權(quán)的保護(hù)

　　識(shí)記版權(quán)及知識(shí)產(chǎn)權(quán)的概念；領(lǐng)會(huì)互聯(lián)網(wǎng)對(duì)知識(shí)產(chǎn)權(quán)的安全威脅，保護(hù)數(shù)字化知識(shí)產(chǎn)權(quán)與保護(hù)傳統(tǒng)知識(shí)產(chǎn)權(quán)的區(qū)別，以及如何實(shí)現(xiàn)對(duì)數(shù)字化知識(shí)產(chǎn)權(quán)的保護(hù)。

　　版權(quán)是對(duì)表現(xiàn)的保護(hù)，一般包括對(duì)文學(xué)和音樂(lè)作品、戲曲和舞蹈作品、繪畫(huà)和雕塑作品、電影和其他視聽(tīng)作品以及建筑作品的保護(hù)。

　　知識(shí)產(chǎn)權(quán)是思想的所有權(quán)和對(duì)思想的實(shí)際或虛擬表現(xiàn)的控制權(quán)。

　　3.保護(hù)客戶機(jī)

　　要求識(shí)記客戶機(jī)已受到哪些安全威脅、信息隱蔽及數(shù)字證書(shū)的概念；領(lǐng)會(huì)活動(dòng)內(nèi)容如何帶來(lái)安全威脅、Java、Java小應(yīng)用程序和java script如何解決問(wèn)題、Active X如何帶來(lái)安全威脅、電子郵件如何帶來(lái)安全問(wèn)題、數(shù)字證書(shū)的用途、瀏覽器內(nèi)部對(duì)客戶機(jī)端的保護(hù)、防病毒軟件的作用；要求能夠針對(duì)不同的安全威脅制定相應(yīng)的安全策略。

　　對(duì)客戶機(jī)的安全威脅來(lái)自：

　?。?）活動(dòng)內(nèi)容；

　?。?）Java、Java小應(yīng)用程序和java script；

　　（3）Active X控件；

　?。?）圖形文件、插件和電子郵件附件。

　　信息隱蔽是指隱藏在另一片信息中的信息（如命令），其目的可能是善意的，也可能是惡意的。信息隱蔽提供將加密的文件隱藏在另一個(gè)文件中的保護(hù)方式。

　　數(shù)字證書(shū)是電子郵件附件或嵌在網(wǎng)頁(yè)上的程序，可用來(lái)驗(yàn)證用戶或網(wǎng)站的身份。另外，數(shù)字證書(shū)還有向網(wǎng)頁(yè)或電子郵件附件原發(fā)送者發(fā)送加密信息的功能。

　　4.通訊信道的安全威脅

　　識(shí)記電子郵件傳遞的安全威脅；對(duì)保密性、完整性和即需性的安全威脅；提供電子商務(wù)通道的安全。

　　在互聯(lián)網(wǎng)上傳輸?shù)男畔?，從起始?jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)之間的路徑是隨機(jī)選擇的。此信息在到達(dá)最終目標(biāo)之前會(huì)通過(guò)許多中間節(jié)點(diǎn)。在同一起始節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)之間發(fā)送信息時(shí)，每次所用的路徑都是不同的，根本就無(wú)法保證信息傳輸時(shí)所通過(guò)的每臺(tái)計(jì)算機(jī)都是安全的和無(wú)惡意的。所以有了“電子郵件傳遞的安全威脅”問(wèn)題。

　　對(duì)保密性的安全威脅，是指未經(jīng)授權(quán)的信息泄露。

　　對(duì)完整性的安全威脅也叫主動(dòng)搭線竊聽(tīng)。當(dāng)未經(jīng)授權(quán)方同意改變了信息流時(shí)就構(gòu)成了對(duì)完整性的安全威脅。

　　對(duì)即需性的安全威脅也叫延遲安全威脅或拒絕安全威脅，其目的是破壞正常的計(jì)算機(jī)處理或完全拒絕處理。

　　5.信息加密

　　識(shí)記加密、解密、散列編碼、對(duì)稱加密和非對(duì)稱加密等概念；領(lǐng)會(huì)加密算法以及散列編碼、對(duì)稱加密和非對(duì)稱加密的工作原理和區(qū)別。

　　加密就是用基于數(shù)學(xué)算法的程序和保密的密鑰對(duì)信息進(jìn)行編碼，生成難以理解的字符串。將這些文字（稱為明文）轉(zhuǎn)成密文（位的隨機(jī)組合）的程序稱作加密程序。

　　解密就是指把加密后的密文還原為原來(lái)的文字（明文）。

　　按密鑰和相關(guān)加密程序類型可把加密分為三類：散列編碼、對(duì)稱加密和非對(duì)稱加密。

　　散列編碼是用散列算法求出某個(gè)消息的散列值的過(guò)程。散列編碼對(duì)于判別信息是否在傳輸時(shí)被改變非常方便。

　　對(duì)稱加密又稱私有密鑰加密，它只用一個(gè)密鑰對(duì)信息進(jìn)行加密和解密。

　　非對(duì)稱加密也叫公開(kāi)密鑰加密，它用兩個(gè)數(shù)學(xué)相關(guān)的密鑰對(duì)信息進(jìn)行編碼。其中一個(gè)密鑰叫公開(kāi)密鑰，可隨意發(fā)給期望同密鑰持有者進(jìn)行安全通訊的人。公開(kāi)密鑰用于對(duì)信息加密。第二個(gè)密鑰是私有密鑰，屬于密鑰持有者，此人要仔細(xì)保存私有密鑰。密鑰持有者用私有密鑰對(duì)收到的信息進(jìn)行解密。

　　6.SSL和S-HTTP

　　識(shí)記安全套接層（SSL）系統(tǒng)和S-HTTP的基本概念；領(lǐng)會(huì)SSL和S-HTTP的工作原理及區(qū)別；要求能夠針對(duì)不同的安全威脅制定相應(yīng)的安全策略。

　　SSL和S-HTTP支持客戶機(jī)和服務(wù)器對(duì)彼此在安全WWW會(huì)話過(guò)程中的加密和解密活動(dòng)的管理。

　　SSL是支持兩臺(tái)計(jì)算機(jī)間的安全連接，而S-HTTP則是為安全地傳輸信息。SSL和S-HTTP都是透明地自動(dòng)完成發(fā)出信息的加密和收到信息的解密工作。SSL處于Internet多層協(xié)議集的傳輸層，而S-HTTP是在最高層——應(yīng)用層。

　　7.對(duì)服務(wù)器的安全威脅

　　要求識(shí)記安全漏洞、防火墻、包過(guò)濾、網(wǎng)關(guān)服務(wù)器和代理服務(wù)器；領(lǐng)會(huì)服務(wù)器的弱點(diǎn)、WWW服務(wù)器及其軟件、數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)服務(wù)器和公用網(wǎng)關(guān)接口的安全威脅；并要求針對(duì)不同的安全威脅制定相應(yīng)的安全策略。

　　安全漏洞是指破壞者可因之進(jìn)入系統(tǒng)的安全方面的缺陷。

　　防火墻是具有以下特征的計(jì)算機(jī)：由內(nèi)到外和由外到內(nèi)的所有訪問(wèn)都必須通過(guò)它；只有本地安全策略所定義的合法訪問(wèn)才被允許通過(guò)它；防火墻本身無(wú)法被穿透。

　　包過(guò)濾是防火墻的一種，它要檢查在可信網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，包括信息包的源地址、目標(biāo)地址及進(jìn)入可信網(wǎng)絡(luò)的信息包的端口，并根據(jù)預(yù)先設(shè)定的規(guī)則拒絕或允許這些包進(jìn)入。

　　網(wǎng)關(guān)服務(wù)器是根據(jù)所請(qǐng)求的應(yīng)用對(duì)訪問(wèn)進(jìn)行過(guò)濾的防火墻。網(wǎng)關(guān)服務(wù)器會(huì)限制諸如Telnet、FTP和HTTP等應(yīng)用的訪問(wèn)。應(yīng)用網(wǎng)關(guān)對(duì)網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的訪問(wèn)進(jìn)行仲裁。

　　代理服務(wù)器是代表某個(gè)專用網(wǎng)絡(luò)同互聯(lián)網(wǎng)進(jìn)行通訊的防火墻。