电子商务理论与实务课后习题答案第7章安全管理.doc

第7章 电子商务安全管理 一、填空题 1. 双人负责原则 2. 任期有限原则 3. 最小权限原则 4. DES RSA 5. 控制地带 二、名词解释 1. 防火墙是一种隔离控制技术，通过在内部网络（可信任网络）和外部网络（不可信任网络）之间设置一个或多个电子屏障来保护内部网络的安全。 2. 所谓加密，就是将有关信息进行编码，使它成为一种不可理解的形式。 3. 数字时间戳是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要，DTS?收到文件的日期和时间，DTS的数字签名。 4. 数字证书也称公开密钥证书，是在网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。 5. 网络信息稽核制度是指工商管理、银行、税务人员利用计算机及网络系统进行执法的制度。 三、简答题 1. 从整个电子商务系统着手分析电子商务的安全问题分类风险： 1. 信息传输风险 这是指进行网上交易时，因传输的信息被非法篡改、窃取和丢失，而导致交易的损失。 ① 冒名偷窃。如“黑客”为了获取重要的商业秘密、资源和信息，常常采用源?IP?地址欺骗攻击。IP?欺骗就是伪造他人的源IP地址，其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的。 ② 篡改数据。攻击者未经授权进入网络交易系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益，或干扰对方的正确决策，造成网上交易的信息传输风险。 ③ 信息传递过程中的破坏。信息在网络上传递时，要经过多个环节和渠道。由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、“黑客”非法攻击等很容易使数据在传递过程中泄露或丢失，威胁电子商务交易的安全。此外，各种外界的物理性干扰，如硬件故障、通信线路质量差或电源被切断、自然灾害等，都可能使数据丢失或者失真，影响到数据的有效性、真实性和完整性。 由于传统交易中信息传递和保存主要是通过有形的单证进行的，即使信息在传递过程中出现丢失、篡改等情况，也可以通过留下的痕迹找出原因。而网上信息被篡改时不会留下痕迹，因此网上交易时面临的信息传输风险比传统交易更为严重。 2. 信用风险 网上交易有别于面对面的传统交易，如果没有信用保证，网上交易很难进行。 ① 来自买方的信用风险。消费者信用卡的恶意透支，或者用伪造的信用卡骗取卖方的货物；对于集体购买者来说，存在拖延货款的可能，卖方需承担风险。 ② 来自卖方的信用风险。卖方不能按质、按量、按时配送消费者定购的货物，或者不能及时履行与集团客户的合同，造成买方的风险。 ③ 来自双方的信用风险。发信者事后否认曾经发送过某条消息或内容；收信者事后否认曾经收到过某条消息或内容；购买者确认了订货单而不承认；商家卖出的商品因价格差而不承认、不履行原有的交易。 3. 管理风险 ① 交易流程管理风险。在网络商品中介交易的过程中，客户进入交易中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上存在大量的管理问题，如果管理不善势必造成巨大的潜在风险。为防止此类风险需要有完善的制度设计，形成一套相互关联、相互制约的制度群。 ② 交易技术管理风险。网络交易技术管理的漏洞也带来较大的交易风险。 ? 操作系统问题。有些操作系统中的某些用户是无口令的，如匿名?FTP，允许没有账号的用户匿名登录，用户不需要口令就可以进入系统，这种安全漏洞可以造成网络的安全问题。 ? 协议问题：协议的安全性主要是由于许多网络协议没有进行安全性方面的设计，以利于众多厂商的协议能够相互通信或相互兼容。这在给用户带来好处的同时，也埋下了安全的隐患。比如Internet采用?TCP?/?IP协议，这种协议本身并没有采取任何措施来保护传输内容不被窃取。TCP?/?IP协议是一种包交换网络协议，各个数据包在网络上都是透明传输的，并且可能经过不同的网络，并由那些网络上的路由器转发，才能到达目的计算机。而?TCP?/?IP?协议本身没有考虑安全传输，很多应用程序，如Telnet、FTP等，甚至使用明文来传输非常敏感的口令数据。 ③ 人员管理风险。人员管理常常是网上交易安全管理上的最薄弱的环节，近年来我国计算机犯罪大都呈现内部犯罪的趋势，其原因主要是因工作人员职业道德修养不高，安全教育和管理松懈所致。一类是没有警惕性的员工，当员工关注于他们自己的工作时，他们常常会忽略一些网络安全准则。例如，他们可能会选择一些非常容易记忆的密码，以便他们可以方便地登录他们的网络。但是，这种密码可能很容易被黑客们通过简单的常识或者某种被广泛使用的密码破解软件而猜出或者破解。员工可能会无意中导致其他的安全漏洞，包括意外地接收和传播计算机病毒等。另一类是心怀不满的