电子商务安全论复习资料.docVIP

信息安全：指防止信息财产被故意或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即信息安全要确保信息的完整性、必威体育官网网址性、可用性和可控性。 对称加密:其特点是数据的发送方和接收方使用的是同一把密钥，即把明文加密成密文和把密文解密成明文用的是同一把密钥。不对称加密：需要采用两个在数学上相关的密钥对—公开密钥和私有密钥来对信息进行加解密。 数字签名：伴随着数字化编码的信息一起发送并与发送的信息有一定的逻辑关联的数据项，借助数字签名可以确定消息的发送方，同时还可以确定信息自发出来后未被修改过。 误用检测：假定所有入侵行为和手段都能够表达一种模式或特征，并对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名，通过系统当前状态与攻击模式或攻击签名的匹配，判断入侵行为。异常检测：指识别主机或网络中异常的或不寻常的行为。 数字证书一个由使用数字证书的用户群所公认和信任的权威机构（CA）签署了其数字签名的信息集合。 CA：认证中心。它通过自身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，使参与网上活动的用户属性的客观真实性与证书的真实性一致。 交叉认证证书：是由一个认证机构对另一个认证机构签发的包含了该CA的签名密钥的数字证书。 支付网关：是由收单银行或指定的第三方操作的专用系统，用于处理支付侵权和支付。 PKI:是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，用户可以利用PKI平台提供的服务进行安全通信。风险：由于从事电子商务活动过程中相关的网络以及系统存在的安全不确定性而产生的经济或其他利益的损失、自然破坏或损害的可能性。风险管理：是降低各种风险的发生概率，或当某种风险突然降临时，减少损失的管理过程。 密钥的生命周期：密钥建立（包括生成密钥和发布密钥）、密钥备份/恢复或密钥的第三者保管、密钥替换/更新、密钥吊销、密钥期满/终止（其中可能包含密钥的销毁或归档） 验证技术（着重掌握验证方法）：基于口令的验证、验证协议、基于个人令牌的验证、基于生物统计特征的验证、基于地址的验证、数字时间戳验证。 防火墙在两个网络之间强制实施访问控制策略的一个系统或一组系统。特点：所有的从内部到外部或从外部到内部的通信都必须经过它； 只有有内部访问策略授权的通信才被允许通过； 系统本身具有高可靠性防火墙的功能：过滤不安全的服务和非法用户 控制对特殊站点的访问 作为网络安全的集中监视点防火墙的不足之处：不能防范不经由防火墙的攻击——e.g.拨号 不能防止受到病毒感染的软件或文件的传输 不能防止数据驱动式攻击 防火墙的实现方式:包过滤路由器、双穴防范网关、过滤主机网关、过滤子网防火墙 虚拟专用网络(virtual private network, VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。基本功能：用户身份验证、地址管理、数据加密、密钥管理、多协议支持。安全策略：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。服务类型分：Access VPN、Intranet VPN、Extranet VPN三类。 PKI应用系统的功能：公钥数字证书的管理、证书撤销表的发布和管理、密钥的备份和恢复、自动更新密钥、自动管理历史密钥、支持交叉认证 PKI的核心——CA认证中心，是一个网上各方都信任的机构，专门负责数字证书的发放和管理。 CA的功能：接收验证用户数字证书的申请、确定是否接收用户数字证书的申请、向申请者颁发数字证书、接收、处理用户的数字证书更新请求、接收用户数字证书的查询、撤销产生和发布数字证书撤销表（CRL）、数字证书的归档、密钥归档、历史数据归档 PKI中的不可否认机制:一种通信属性，保护通信的一方不受另一方谎称通信没有发生而导致的损害。 三种不可否认机制：来源的不可否认机制：主要解决是否某一方生成了特定消息、生成的时间如何等。 送递的不可否认机制：主要解决是否某一方受到了特定的数据消息、收到的时间如何等问题。 提交的不可否认机制：主要解决是否某一方传送或提交了特定数据消息，提交的时间如何等问题。 CA 作为具有权威的、可信赖的、公正的第三方服务机构，承担着网上安全电子交易中重要的认证服务，需要完成数字证书的申请、签发及对数字证书的管理工作。 一、安全管理格局：基本方针：兴利除弊、集中监控、分级管理、保障国家安全 密码管理方针：统一领导、集中管理、定点研制、专控经营、满足使用 电子签名法：电子签名是法律上为了追求技术中立性而泛化的概念，是电子签名的一种特定实现形式。 特点：1、技术问题复杂，但法律问题却相对简单2、具有很强的国际统一趋势 3、实现“技术中立”的立法原则 风险识别的一般步骤：信息