电子商务安全与管理复习资料.docx

1、电子商务安全与管理复习资料一、TCP/IP协议，及其常见端口及协议TCP/IP，即传输控制协议网际互连协议，它把整个计算机通信网划分为应用层、运输层、网际层、网络接口层。按照这种层次划分的通信模式如图所示。TCP/IP在运输层包括两个协议TCP和UDP：用户数据报协议UDP 传输控制协议TCP 二、防火墙的实现方式1、包过滤路由器：作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。2、双宿主机：在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成3、屏蔽主机：一个分组过滤路由器连接外部网

2、络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。4、屏蔽子网：是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网，在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。即使堡垒主机被攻破，内部网络仍受到内部路由器的保护。三、VPN的分类（80页）1、远程访问/移动用户的VPN连接/Access VPN2、Intranet VPN：用于构建内联网（企业内部各分支机构互联）3、Extranet VPN：用于企业的合作者之间互联四、入侵检测的主要

3、方法?入侵检测技术中按照分析方法/检测原理分为哪几种？各自的原理是什么?入侵检测系统（IDS）：入侵检测（Intrusion Detection）的定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 入侵检测系统（IDS）：进行入侵检测的软件与硬件的组合。按照分析方法/检测原理 异常检测（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。 误用检测（Misuse Detection)：收集非

4、正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。五、网络安全的主要威胁有哪些？黑客攻击 木马 个人失误 计算机病毒 网络漏洞六、什么是木马反弹端口技术与一般的木马相反，反弹端口型木马在服务端使用主动端口，客户端使用被动端口。木马定时监测客户端的存在，发现客户端上线立即进行主动连接;为了隐蔽起见，客户端的被动端口一般为80，即使用户使用扫描软件检查自己的端口，也不会发现什么异常的数据包，这样就会以为是在正常浏览网页。七、加壳、脱壳和病毒的防杀原理1、从杀毒软件的杀毒原理可以看出，既然杀毒软件只是依靠“病毒特征”来识别病毒的，那么，如果入

5、侵者能够把这个通缉犯(病毒)乔装打扮，改变它的“特征”，是否可以逃过警察(杀毒软件)的查杀呢?通过实际的证明，的确能够实现这种目的。2、脱壳和加壳实现了这个过程。形象比喻，“壳”就像程序的“衣服”，入侵者先对程序“脱壳”，然后再给程序“加上另一种壳”就可以逃过杀毒软件的查杀。这个过程就像给“通缉犯”（病毒）先脱下衣服（脱壳），然后再穿上另一件衣服（加壳）一样。3、杀毒软件识别病毒或木马，大多数的杀毒软件就是根据 “病毒特征库”来识别每个病毒的。常说的升级杀毒软件，指的就是升级杀毒软件的“病毒特征库”。打个比方，杀毒软件就像是一个警察，而“病毒特征库”就像是带照片的“通缉证”，而病毒当然就是“通

6、缉犯”了。警察(杀毒软件)检查每一个程序，然后把它们和“通缉证”上的照片（病毒特征）比较，如果吻合，就把通缉犯（病毒）绳之以法。八、网页木马工作流程、如何利用工具生成网页木马网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。网页木马的基本工作流程，大致是：1.受众打开含有网页木马代码的网页，2.网页木马利用ie漏洞或者一些脚本功能下载一个可执行文件或脚本。理解了网页木马攻击的原理，我们可以制作自己的网页木马，但这需要你根据IE漏洞写出利用代码。实际上，在网上有很多高手已写出了一些漏洞的利用代码，有的还把它写成了可视化的程序。在搜索引擎输

7、入“网页木马生成器”进行搜索，你会发现，在网上有很多利用IE的各种漏洞编写的网页木马生成器，它们大都为可视化的程序，只要你有一个木马（该木马必须把它放置到网络上），利用这些生成器你就可以立即生成一个网页，该网页就是网页木马，只要他人打开这个网页，该网页就可以自动完成下载木马并运行（安装）木马的过程。 九、服务器、个人计算机的保护技术硬件的日常管理与维护软件的日常管理与维护数据备份给自己的计算机安装防病毒软件认真执行病毒定期清理制度十、信息安全问题及其实现技术安全问题安全目标安全技术机密性信息的保密加密完整性探测信息是否被篡改数字摘要验证验证身份数字签名，提问应答，口令，生物测定法不可否认性不能

8、否认信息的发送、接收及信息内容数字签名，数字证书，时间戳访问控制只有授权用户才能访问防火墙，口令，生物测定法十一、对称加密算法及其优缺点，常见的对称加密算法又称秘密密钥加密，特点是数据的发送方和接受方使用的是同一把密钥。优：速度很快，效率很高缺：密钥管理比较困难，一旦泄露则信息失去保密性;很难适应互联网这样的大环境对称加密算法：数据加密标准DES；高级加密标准AES；三重DES；Riwest密码RC2 RC4 RC5 RC6十二、什么是公开密钥加密算法，举几个常见的算法？不对称加密，又叫做公开密钥加密，需要采用两个在数学上相关的密钥对公开密钥，似有密钥来对信息进行加密解密。RSA 算法（可逆的

9、公开密钥加密系统）DSA算法 椭圆曲线算法十三、数字签名的原理，验证过程，以及与mac的区别（42页）1、数字签名，其实是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项。接着数字签名可以确定消息的发送方，同时还可以确定信息自发出后未被修改过。2、验证过程：在该过程中，发送方用自己的似有密钥进行签署由此产生签名，接收方的公开密钥进行验证操作。借此，接收方能确信所收到的信息确实是由发送方发出的而且在发送方发出该信息后相应的内容未被篡改过。3、与mac的区别：数字签名类似于MAC，但不同于MAC，数字签名可以支持不可否认服务。也就是说信息的接收方可以用数字签名来证明作为发送方第三

10、方的身份。但MAC不具有进行数字签名的功能。十四、数字证书的作用？包含的内容？1、数字证书是一个由使用使用数字证书的用户群所公认和信任的权威机构（即CA）签署了其数字签名的信息集合。2、主体身份信息、主体公钥值、认证机构名、认证机构的数字签名、认证机构的私钥、有效期、版本号、证书序列号（122页）十五、SET和SSL协议的比较（113页）安全套接层（SSL）协议提供了两个端点之间的安全链接，能对信用卡和个人信息提供较强的保护；SSL协议被大部分Web浏览器和web服务器所内置，比较容易被应用。SET协议比SSL协议复杂，在理论上安全性也更高，因为SET协议不仅加密两个端点间的连接，还可以加密和

11、认定三方的多个信息，而这是SSL协议所未能解决的问题。SET标准的安全程度很高，它结合了数据加密标准DES、RSA算法和安全超文本传输协议，为每一项交易都提供了多层加密。16、PKI及其功能公钥基础设施 PKI (public key infrastructure)又叫公钥体系，是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，用户可利用PKI平台提供的服务进行安全通信。PKI应用系统的功能：1）公钥数字证书的管理 2）证书撤销表的发布和管理3）密钥的备份和恢复 4）自动更新密钥 5)自动管理历史密钥 6)支持交叉认证其组成成分：公开密钥加密技术，数字证书，认证机构CA，

12、及相关的安全策略十七、CA与RA 注册机构RA，本身并不发放数字证书，但RA可以确认、批准或拒绝数字证书申请人的申请，随后由CA给经过批准的申请人发放数字证书。RA功能：1)注册、注销、批准或拒绝对数字证书属性的变更要求2)确认数字证书申请人的合法性3)批准生成密钥对和数字证书的请求及恢复备份密钥的请求4)批准撤销或暂停数字证书的请求（需相应CA支持）5)向有权拥有身份标记的人当面分发标记或恢复旧标记 认证机构 CA (certificate authority)又叫认证中心，是一个网上各方都信任的机构，专门负责数字证书的发放和管理。CA的功能：1）接收验证用户数字证书的申请 2）确定是否接收

13、用户数字证书的申请3）向申请者颁发数字证书 4）接收、处理用户的数字证书更新请求5）接收用户数字证书的查询、撤销 6）产生和发布数字证书撤销表（CRL）7）数字证书的归档 8）密钥归档 9）历史数据归档十八、我国的CA大致可以分为哪几类？并举例国内认证中心：行业性CA：如金融业中国金融认证中心（CFCA）区域性CA：上海CA(SHECA)广东CA(CNCA)商业性CA:天威诚信CA;颐信CA十九、为什么说在树型层次结构中，根CA的作用极其重要？一个树形结构中的跟认证机构Z的作用是极其关键的，因为所有的认证路径都依赖于Z的信任。如果某个黑客窃取了Z的私钥，那他就可以伪造该结构中所需要的任何一个数

14、字签名，而且还可以让要求进行签名确认的用户相信这个伪造的签名是合法的。另外，不管可信任的根是如何建立的，要想撤销根认证机构是相当困难的。因此，根认证机构的私钥必须得到格外的保护，比如让他始终保持离线状态，放在安全的设备里不让随便使用。二十、时间戳（179页）是用来标明一个事件所发生的日期和时间的一种记号，它一般是同生成该记号的人或机构的身份联系在一起的。这个标记一般被附加在信息的后面，或以某种方式使其与信息形成逻辑上的关联。时间戳是由交易各方、可信任的第三方，以及电信服务提供商们为了某种目的而生成的。廿一、代理签名与双联签名代理签名就是源签名者将自己的签名权委托给可靠的代理人，让代理人代表本人

15、去行使某些权力。代理签名的基本要求：签名容易验证；源签名者与代理签名者的签名容易区分；签名实事不可否认。几种代理签名方案介绍：1、一次性代理签名方案，使得代理人最多签名一次。优点：不但代理人可以控制授权人无法传送秘密信息，而且又能保障授权人的权益不被代理人侵犯代理人的代理签名权同时也受到授权人的制约，即达到了双向制约的功能。2、代理多重签名。指某人同时受多人委托进行代理签名。3、盲代理签名。在盲代理签名方案中，原始签名人在得到代理签名时，不能根据代理签名确定出代理签名人的身份。持卡人给商家发送订货信息和自己的付款账户信息，但不愿让商家看到自己的付款账户信息，也不愿让处理商家付款信息的第三方看到

16、订货信息。双联签名可以解决这个问题。双联签名方法使用如下：1、 持卡人将发给商家的信息M1和发送给第三方的信息M2分别生成报文摘要 和MD22、 持卡人将MD1 MD2和在一起生成MD，并签名3、 将M1 MD2 MD发送给商家，将M2 MD1 MD发送给第三方接受者根据收到的报文生成报文摘要，再与收到的报文摘要合在一起，比较结合后的报文摘要和受到的MD，确定持卡人的身份和信息是否被修改过。廿二、什么是SET安全协议，及其实现技术安全套接层(Secure Sockets Layer，SSL)是一种传输层技术，可以实现兼容浏览器和服务器之间的安全通信。SSL协议是目前网上购物网站中常使用的一种安

17、全协议。 所谓SSL就是在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信道，确保电子商务的安全性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方，即使通过公共线路传输，也不必担心别人的偷窥。 SSL协议实现的六步骤 1.接通阶段：客户机通过网络向服务器打招呼，服务器回应； 2.密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用RSA密码算法；3.会谈密码阶段：客户机器与服务器间产生彼此交谈的会话密码； 4.检验阶段：客户机检验服务器取得的密码； 5.客户认证阶段：服务器验证客户机的可信度； 6.结束阶段：客户机与服务器之间相互交换结束的信息。