07年10月自考“電子商務(wù)概論”串講資料（4）

第四章 電子商務(wù)的安全
    通過學(xué)習(xí)本章內(nèi)容，考生應(yīng)識記計算機安全、版權(quán)及知識產(chǎn)權(quán)的概念，還有計算機易受到的安全威脅，這些安全威脅來自于客戶機、通訊信道以及服務(wù)器；
    考生還應(yīng)領(lǐng)會活動內(nèi)容為計算機帶來的安全威脅以及信息加密的工作原理；
    在掌握以上知識的基礎(chǔ)上，要求考生能夠針對不同的安全威脅制定并實施相應(yīng)的安全策略。
    1.計算機安全
    要求識記計算機安全的概念及分類、安全措施及安全策略的定義；
    領(lǐng)會計算機各種安全的含義；
    要求能夠根據(jù)實際情況制定安全措施。
    1.1計算機安全
    計算機安全就是保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問、使用、篡改或破壞。
    安全專家通常把計算機安全分成三類，即保密、完整和即需。保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性；完整是防止未經(jīng)授權(quán)的數(shù)據(jù)修改；即需是防止延遲或拒絕服務(wù)。
    安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱。
    1.2計算機安全
    安全策略是對所需保護(hù)的資產(chǎn)、保護(hù)的原因、誰負(fù)責(zé)進(jìn)行保護(hù)、哪些行為可接受、哪些不可接受等的書面描述。
    安全策略一般包含以下內(nèi)容：
    （1）認(rèn)證：誰想訪問電子商務(wù)網(wǎng)站？
    （2）訪問控制：允許誰登錄電子商務(wù)網(wǎng)站并訪問它？
    （3）保密：誰有權(quán)利查看特定的信息？
    （4）數(shù)據(jù)完整性：允許誰修改數(shù)據(jù)，不允許誰修改數(shù)據(jù)？
    （5）審計：在何時由何人導(dǎo)致了何事？
    2.對版權(quán)和知識產(chǎn)權(quán)的保護(hù)
    識記版權(quán)及知識產(chǎn)權(quán)的概念；領(lǐng)會互聯(lián)網(wǎng)對知識產(chǎn)權(quán)的安全威脅，保護(hù)數(shù)字化知識產(chǎn)權(quán)與保護(hù)傳統(tǒng)知識產(chǎn)權(quán)的區(qū)別，以及如何實現(xiàn)對數(shù)字化知識產(chǎn)權(quán)的保護(hù)。
    版權(quán)是對表現(xiàn)的保護(hù)，一般包括對文學(xué)和音樂作品、戲曲和舞蹈作品、繪畫和雕塑作品、電影和其他視聽作品以及建筑作品的保護(hù)。
    知識產(chǎn)權(quán)是思想的所有權(quán)和對思想的實際或虛擬表現(xiàn)的控制權(quán)。
    3.保護(hù)客戶機
    要求識記客戶機已受到哪些安全威脅、信息隱蔽及數(shù)字證書的概念；
    領(lǐng)會活動內(nèi)容如何帶來安全威脅、Java、Java小應(yīng)用程序和JavaScript 如何解決問題、Active X如何帶來安全威脅、電子郵件如何帶來安全問題、數(shù)字證書的用途、瀏覽器內(nèi)部對客戶機端的保護(hù)、防病毒軟件的作用；
    要求能夠針對不同的安全威脅制定相應(yīng)的安全策略。
    3.1保護(hù)客戶機
    對客戶機的安全威脅來自：
    （1）活動內(nèi)容；
    （2）Java、Java小應(yīng)用程序和JavaScript；
    （3）Active X控件；
    （4）圖形文件、插件和電子郵件附件。
    3.2保護(hù)客戶機
    信息隱蔽是指隱藏在另一片信息中的信息（如命令），其目的可能是善意的，也可能是惡意的。信息隱蔽提供將加密的文件隱藏在另一個文件中的保護(hù)方式。
    數(shù)字證書是電子郵件附件或嵌在網(wǎng)頁上的程序，可用來驗證用戶或網(wǎng)站的身份。另外，數(shù)字證書還有向網(wǎng)頁或電子郵件附件原發(fā)送者發(fā)送加密信息的功能。
    4.通訊信道的安全威脅
    識記電子郵件傳遞的安全威脅；對保密性、完整性和即需性的安全威脅；提供電子商務(wù)通道的安全。
    在互聯(lián)網(wǎng)上傳輸?shù)男畔?，從起始?jié)點到目標(biāo)節(jié)點之間的路徑是隨機選擇的。此信息在到達(dá)最終目標(biāo)之前會通過許多中間節(jié)點。在同一起始節(jié)點和目標(biāo)節(jié)點之間發(fā)送信息時，每次所用的路徑都是不同的，根本就無法保證信息傳輸時所通過的每臺計算機都是安全的和無惡意的。所以有了電子郵件傳遞的安全威脅問題。
    4.1通訊信道的安全威脅
    對保密性的安全威脅，是指未經(jīng)授權(quán)的信息泄露。
    對完整性的安全威脅也叫主動搭線竊聽。當(dāng)未經(jīng)授權(quán)方同意改變了信息流時就構(gòu)成了對完整性的安全威脅。
    對即需性的安全威脅也叫延遲安全威脅或拒絕安全威脅，其目的是破壞正常的計算機處理或完全拒絕處理。
    5.信息加密
    識記加密、解密、散列編碼、對稱加密和非對稱加密等概念；領(lǐng)會加密算法以及散列編碼、對稱加密和非對稱加密的工作原理和區(qū)別。
    加密就是用基于數(shù)學(xué)算法的程序和保密的密鑰對信息進(jìn)行編碼，生成難以理解的字符串。將這些文字（稱為明文）轉(zhuǎn)成密文（位的隨機組合）的程序稱作加密程序。
    解密就是指把加密后的密文還原為原來的文字（明文）。
    5.1信息加密
    按密鑰和相關(guān)加密程序類型可把加密分為三類：散列編碼、對稱加密和非對稱加密。
    散列編碼是用散列算法求出某個消息的散列值的過程。散列編碼對于判別信息是否在傳輸時被改變非常方便。
    對稱加密又稱私有密鑰加密，它只用一個密鑰對信息進(jìn)行加密和解密。
    非對稱加密也叫公開密鑰加密，它用兩個數(shù)學(xué)相關(guān)的密鑰對信息進(jìn)行編碼。其中一個密鑰叫公開密鑰，可隨意發(fā)給期望同密鑰持有者進(jìn)行安全通訊的人。公開密鑰用于對信息加密。第二個密鑰是私有密鑰，屬于密鑰持有者，此人要仔細(xì)保存私有密鑰。密鑰持有者用私有密鑰對收到的信息進(jìn)行解密。
    6.SSL和S－HTTP
    識記安全套接層（SSL）系統(tǒng)和S－HTTP的基本概念；領(lǐng)會SSL和S－HTTP的工作原理及區(qū)別；要求能夠針對不同的安全威脅制定相應(yīng)的安全策略。
    SSL和S－HTTP支持客戶機和服務(wù)器對彼此在安全WWW會話過程中的加密和解密活動的管理。
    SSL是支持兩臺計算機間的安全連接，而S－HTTP則是為安全地傳輸信息。SSL和S－HTTP都是透明地自動完成發(fā)出信息的加密和收到信息的解密工作。SSL處于Internet多層協(xié)議集的傳輸層，而S－HTTP是在層——應(yīng)用層。
    7.對服務(wù)器的安全威脅
    要求識記安全漏洞、防火墻、濾、網(wǎng)關(guān)服務(wù)器和代理服務(wù)器；領(lǐng)會服務(wù)器的弱點、WWW服務(wù)器及其軟件、數(shù)據(jù)庫和數(shù)據(jù)庫服務(wù)器和公用網(wǎng)關(guān)接口的安全威脅；并要求針對不同的安全威脅制定相應(yīng)的安全策略。
    安全漏洞是指破壞者可因之進(jìn)入系統(tǒng)的安全方面的缺陷。
    防火墻是具有以下特征的計算機：由內(nèi)到外和由外到內(nèi)的所有訪問都必須通過它；只有本地安全策略所定義的合法訪問才被允許通過它；防火墻本身無法被穿透。
    7.1對服務(wù)器的安全威脅
    濾是防火墻的一種，它要檢查在可信網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，包括信息包的源地址、目標(biāo)地址及進(jìn)入可信網(wǎng)絡(luò)的信息包的端口，并根據(jù)預(yù)先設(shè)定的規(guī)則拒絕或允許這些包進(jìn)入。
    網(wǎng)關(guān)服務(wù)器是根據(jù)所請求的應(yīng)用對訪問進(jìn)行過濾的防火墻。網(wǎng)關(guān)服務(wù)器會限制諸如Telnet、FTP和HTTP等應(yīng)用的訪問。應(yīng)用網(wǎng)關(guān)對網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的訪問進(jìn)行仲裁。
    代理服務(wù)器是代表某個專用網(wǎng)絡(luò)同互聯(lián)網(wǎng)進(jìn)行通訊的防火墻。