电子商务安全期末考试复习题.docVIP

1.MAC：由只有通信双方知道的秘密密钥K来控制的消息的散列值。 2.数字信封:用对称密码体制的密钥加密明文，而用公钥密码体制的公钥加密这个对称密钥。 3.数字证书：就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件，其中CA的数字签名可以确保用户公钥的真实性。 4.PKI:公钥基础设施通常简称PKI。所谓PKI就是一个以公钥技术为基础的，提供和实施安全服务的具有普适性的安全基础设施。 5.PDRR:电子商务安全是在安全策略的指导下，由保护、检测、响应和恢复四个环节组成. 6.SQL注入攻击：攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码，作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。特点：广泛性、技术难度不高、危害性大。 7.VPN：虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来，或将一个或多个远程用户与内部网络安全的连接在一起，从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来，构成一个扩展了的企业内部网。 8.单点登录技术：简称SSO，是指用户只需向网络进行一次身份认证，以后再无需另外验证身份，便可访问所有被授权的网络资源。 9.替代和置换：假设明文消息中的每个字母不是同时移动相同的位数，而是根据一张替代表使用随机替换，则在一个明文消息中，每个A可以替换成B~Z中的任意字母，B也可以替换成A或C~Z中的任意字母。置换密码通过改变明文消息中各元素出现的相对位置，但明文消息元素本身的取值不变。 乘积密码：是以某种方式连续执行两个或多个密码交换。 10.IPSec协议主要功能：①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性 11.电子支付的支付方式：电子现金、电子支票、电子信用卡，微支付 1.电子商务安全要素：机密性（信息不被泄露给非授权用户）、完整性（信息是未被篡改的）、不可抵赖性（信息的收发双方不能否认曾经受发过信息）、即时性（在规定的时间内完成服务）、真实性（确保对方的真实信息和身份的来源是真的）、访问控制（对访问者访问资源时的权限控制）、可用性（访问者需要的时候是可用的）。 2.电子商务面临的安全威胁 ：中断、截获、 篡改、伪造、抵赖。 3.风险管理定义和过程：风险管理由风险评估、风险处理、基于风险的决策组成。风险评估将全面评估企业的资产、威胁、脆弱性以及现有的安全措施，分析安全事件发生的可能性以及可能的损失，从而确定企业的风险，并判断风险的优先级，建议处理风险的措施。基于风险评估的结果，风险处理过程将考察企业安全措施的成本，选择合适的方法处理风险，将风险控制在可接受的程度。基于风险的决策旨在由企业的管理者判断残余的风险是否处在可接受的水平之内，基于这一判断，管理者将作出决策，决定是否进行某项电子商务活动。 4.安全等级和对应的操作系统：类别有ABCD，级别和对应的操作系统分别为A、B1、B2、B3、C1 （Windows 9x系列）、C2 （Windows 2000）、D（Windows 2003及Unix、MS-DOS）。 5.数据加密标准DES：DES是一种分组密码算法，它将明文从算法的一端输入，将密文从另一端输出。由于采用的是对称密钥，因此加密和解密使用相同的算法和密钥，并且加密和解密算法是公开的，系统的安全性完全依赖于密钥的必威体育官网网址 。 6.DES加密过程：DES是一个分组加密算法①输入64比特明文数据②初始置换IP③在密钥控制下16轮迭代④交换左右32比特⑤初始逆置换IP⑥输出64比特密文数据 7.异常检测与误用检测的区别：异常检测假设所有的入侵行为和正常行为不同，入侵是异常行为的子集。异常检测系统通过监控程序监控用户的行为，将当前主题的活动情况与用户轮廓进行比较，用户轮廓通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围。误用检测是对已知的入侵行为和系统漏洞进行分析，研究入侵行为过程和系统漏洞的特征，对这些已知的攻击或入侵做出正确性的描述，用一种模式表示出来，形成入侵行为特征库。 8.SSL协议的工作原理：SSL协议通过在应用程序进行数据交换前交换SSL初始握手信息，来实现有关安全特性的审查。提供浏览器和服务器之间的鉴别和安全通信.提供身份认证、必威体育官网网址性、完整性。 SSL分为两层：①SSL握手协议是客户和服务器开始通信时必须进行的协议，握手协议有两方面的作用，其一是验证对方的身份，其二是协商在以后传输加密数据时要使用的会话密钥，以及求MAC时所用的密钥。②SSL记录协议将数据流分割成一系列的片段并对这些片段进行加密来传输，接收方对每条记录单独进行解密和验证。这种方案使得数据一经准备好就可以从连接的一端传输到