07年10月自考“電子商務(wù)概論”筆記(4)

字號(hào):

第四章電子商務(wù)的安全
    第一節(jié)
    概述
    1.計(jì)算機(jī)安全的定義、分類
    計(jì)算機(jī)安全就是保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問(wèn)、使用、篡改或破壞。
    安全專家通常把計(jì)算機(jī)安全分成三類,即保密、完整和即需。保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性;完整是防止未經(jīng)授權(quán)的數(shù)據(jù)修改;即需是防止延遲或拒絕服務(wù)。
    2.安全策略的內(nèi)容
    安全策略是對(duì)所需保護(hù)的資產(chǎn)、保護(hù)的原因、誰(shuí)負(fù)責(zé)進(jìn)行保護(hù)、哪些行為可接受、哪些不可接受等的書(shū)面描述。
    安全策略一般包含以下內(nèi)容:
    (1)認(rèn)證:誰(shuí)想訪問(wèn)電子商務(wù)網(wǎng)站?
    (2)訪問(wèn)控制:允許誰(shuí)登錄電子商務(wù)網(wǎng)站并訪問(wèn)它?
    (3)保密:誰(shuí)有權(quán)利查看特定的信息?
    (4)數(shù)據(jù)完整性:允許誰(shuí)修改數(shù)據(jù),不允許誰(shuí)修改數(shù)據(jù)?
    (5)審計(jì):在何時(shí)由何人導(dǎo)致了何事?
    第二節(jié)
    對(duì)版權(quán)和知識(shí)產(chǎn)權(quán)的保護(hù)
    版權(quán):是對(duì)表現(xiàn)的保護(hù),一般包括對(duì)文學(xué)和音樂(lè)作品、戲曲和舞蹈作品、繪畫(huà)和雕塑作品、電影和其他視聽(tīng)作品以及建筑作品的保護(hù)。
    知識(shí)產(chǎn)權(quán):是思想的所有權(quán)和對(duì)思想的實(shí)際或虛擬表現(xiàn)的控制權(quán)。
    第三節(jié)
    保護(hù)客戶機(jī)
    1.對(duì)客戶機(jī)的安全威脅有哪些?
    (1)活動(dòng)內(nèi)容;
    (2)Java、Java小應(yīng)用程序和java script;
    (3)Active X控件;
    (4)圖形文件、插件和電子郵件附件。
    信息隱蔽:是指隱藏在另一片信息中的信息(如命令),其目的可能是善意的,也可能是惡意的。信息隱蔽提供將加密的文件隱藏在另一個(gè)文件中的保護(hù)方式。
    數(shù)字證書(shū):是電子郵件附件或嵌在網(wǎng)頁(yè)上的程序,可用來(lái)驗(yàn)證用戶或網(wǎng)站的身份。另外,數(shù)字證書(shū)還有向網(wǎng)頁(yè)或電子郵件附件原發(fā)送者發(fā)送加密信息的功能。
    第四節(jié)
    保護(hù)通訊信道的安全
    1.通訊信道的安全威脅有哪些?
    在互聯(lián)網(wǎng)上傳輸?shù)男畔?,從起始?jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)之間的路徑是隨機(jī)選擇的。此信息在到達(dá)最終目標(biāo)之前會(huì)通過(guò)許多中間節(jié)點(diǎn)。在同一起始節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)之間發(fā)送信息時(shí),每次所用的路徑都是不同的,根本就無(wú)法保證信息傳輸時(shí)所通過(guò)的每臺(tái)計(jì)算機(jī)都是安全的和無(wú)惡意的。所以有了\“電子郵件傳遞的安全威脅\”問(wèn)題。
    對(duì)保密性的安全威脅,是指未經(jīng)授權(quán)的信息泄露。
    對(duì)完整性的安全威脅也叫主動(dòng)搭線竊聽(tīng)。當(dāng)未經(jīng)授權(quán)方同意改變了信息流時(shí)就構(gòu)成了對(duì)完整性的安全威脅。
    對(duì)即需性的安全威脅也叫延遲安全威脅或拒絕安全威脅,其目的是破壞正常的計(jì)算機(jī)處理或完全拒絕處理。
    加密:就是用基于數(shù)學(xué)算法的程序和保密的密鑰對(duì)信息進(jìn)行編碼,生成難以理解的字符串。將這些文字(稱為明文)轉(zhuǎn)成密文(位的隨機(jī)組合)的程序稱作加密程序。
    安全套接層(SSL)和安全超文本傳輸協(xié)議(S-HTTP)支持客戶機(jī)和服務(wù)器對(duì)彼此在安全WWW會(huì)話過(guò)程中的加密和解密活動(dòng)的管理。
    SSL是支持兩臺(tái)計(jì)算機(jī)間的安全連接,而S-HTTP則是為安全地傳輸信息。SSL和S-HTTP都是透明地自動(dòng)完成發(fā)出信息的加密和收到信息的解密工作。SSL處于Internet多層協(xié)議集的傳輸層,而S-HTTP是在層——應(yīng)用層。
    第五節(jié)
    對(duì)服務(wù)器的安全威脅
    1.防火墻的定義和分類
    防火墻是在需要保護(hù)的網(wǎng)絡(luò)同可能帶來(lái)安全威脅的互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間建立的保護(hù)層,防火墻具有以下特征:首先,由內(nèi)到外和由外到內(nèi)的所有訪問(wèn)都必須通過(guò)它。其次。只有本地安全策略所定義的合法訪問(wèn)才被允許通過(guò)它。而且防火墻本身無(wú)法被穿透。
    分類:防火墻的種類包括濾、網(wǎng)關(guān)服務(wù)器和代理服務(wù)器。