电子商务安全技术复习要点..doc

《电子商务安全技术》 复习要点 第一章 电子商务安全概述 1、电子商务安全的含义或需求（6/7个特性，及相关的技术） 2、电子商务安全问题有哪些?能举例说明 3、电子商务安全的构成（从安全等级划分，从电子商务系统构成划分） 4、电子商务安全特点 第二章 信息安全技术 概念：对称加密，非对称加密，数字签名 RSA加密算法计算（扩展欧几里德算法） 数字签名目的、原理、特点、类型、常用数字签名方法（有哪些？） RSA数字签名原理 验证技术：目的、身份验证原理 基于个人令牌的验证（类型、功能） 基于生物特征的验证（类型） 基于数字时间戳的验证（时间戳、目的、构成） 基于数字证书的验证（验证过程） 第三章 互联网安全技术 1、网络层安全、应用层安全、系统安全 2、防火墙技术（目的、特点、功能、类型） 3、IP协议安全（IP层安全、IPsec基本功能及应用与特点、安全关联SA概念、AH与ESP协议提供的安全服务及工作模式） 4、VPN技术（VPN概念、应用、原理、类型） 5、SSL、SET协议（安全服务或功能、交易参与方、二者的比较） 第四章 数字证书 数字证书的概念、主要内容、类型及其作用、格式 证书管理机构 证书申请、分发、撤销 第五章 公钥基础设施与应用 1、PKI的概念、PKI平台构成 2、CA结构 3、认证路径的概念 4、什么是CP、CPS 第六章 电子商务安全策略与管理 电子商务安全策略的概念 制定安全策略的原则 制定安全策略考虑的有关项目 网络安全策略、主机安全策略、设施安全策略、数据管理策略、安全交易策略 题型：名词解释、填空、问答、计算题、案例分析 第一章 电子商务安全概述 1、电子商务安全的含义或需求（6/7个特性，及相关的技术） (1)机密性（ Confidentiality，保密性）:信息传输或存储过程中不被窃取、泄露，或未经授权者无法了解其内容。 (2)完整性（Integrity，真实性）:信息不被未授权者修改（更改、嵌入、删除、重传）、假冒。 (3)认证性（Authentication）:对电子商务参与者（企业或个人）的身份进行确认，保证信息发送与接受者的身份真实性。 (4)不可抵赖性（Non-Repudiation，不可争辩性）:电子商务交易法律有效性的要求。接收者不可否认已收到信息，发送者不可否认已发送信息。 (5)不可拒绝性（Availability，有效性，可用性）:保证授权用户在正常访问信息和其他资源时不被拒绝，为用户提供稳定的服务。 (6)访问控制性（Controllability）:在网络上限制和控制通信链路对主机系统和应用系统的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未经授权方式接入、使用、修改、破坏、发出指令或植入程序。 (7)匿名性（Anonymity）:隐匿参与者身份，保护个人、组织隐私。 相关的技术: (1)密码技术：信息安全的核心技术。包括加密、签名认证和密钥管理三大技术。 加密技术：用数学方法对原数据重组，实现信息的保密性。 签名认证：用公钥密码技术，保证信息的真实性，包括信息发送者身份的真实性，信息的完整性（是否篡改）和不可否认性。 密钥管理：密码技术的关键。包括密钥的产生、分发、更新、归档、恢复、审计的处理。 (2)网络安全技术： 网络是电子商务基础。包括所有网络基础设施的安全技术，常用的包括防火墙技术、VPN技术、入侵检测技术。 (3)公钥基础设施(Public Key Infrastructure，PKI)技术： 通过认证机构签发、管理数字证书，为电子商务提供一套安全基础平台。 电子商务安全技术体系 2、电子商务安全问题有哪些?能举例说明 电商网站安全环境与信息泄露(漏洞) 黑客针对电商网站攻击 网上交易服务安全 信息安全问题 安全管理问题 安全法律保障问题 3、电子商务安全的构成（从安全等级划分，从电子商务系统构成划分） 从安全等级划分，包括计算机密码安全、局域网安全、互联网安全、信息安全。 从电子商务系统划分，包括实体安全、运行安全、信息安全、交易安全。 4、电子商务安全特点 基础性 企业实施电子商务的前提条件。 电子商务系统分析设计实施的必不可少的重要内容。 系统性 技术：安全技术体系完整程度及安全有效程度。 管理：安全意识及内部监控制度完善程度。 社会：法律体系、监管体系、服务体系、行业规范等完善程度。 个人：社会责任、行为道德、法律意识。 相对性 没有不受攻击的系统、攻不破的系统、不出安全问题的系统。 动态性 安全攻防技术此消彼长，在对抗中共同发展。 电子商务安全需要持续检查、评估和改进。 效用性 用1单位的安全投入保护10个单位的企业利益而不是相反。 第二章 信息安