软考电子商务设计师极简笔记(三)电子商务信息安全

沈麽鬼
218 阅读8分钟

三 电子商务信息安全

3.1 电子商务信息安全威胁与防范

信息安全概述

  1. 信息安全面临的微信:信息截取与窃取、信息篡改、信息假冒、信息抵赖。速记:截窃篡假赖
  2. 信息篡改的主要表现为三种形式:篡改、删除、插入
  3. 信息安全的需求:保密性、完整性、不可否认性、身份可认证型、可用性和可控性。速记:保完不身用控

电子商务安全体系

  1. 计算机网络安全威胁有黑客攻击、计算机病毒、拒绝服务、身份窃取、冒充合法用户、数据窃取、、物理安全、软件的漏洞、“后门”和网络协议的安全漏洞。速记:黑毒拒窃冒数物软后网

  2. 商务交易安全威胁

    1. 商家面临的威胁:中央系统安全性被破坏、竞争者检索商品递送状况、被他人假冒、其他威胁
    2. 消费者面临的威胁:虚假订单、付款后不能收到商品、机密性丧失

  3. 电子商务安全威胁解决技术:加密技术、认证技术、电子商务安全协议

  4. 电子商务安全体系:

    应用系统层:保密性、完整性、可用性、不可否认性、身份可认证性

    安全协议层:SSL协议、SET协议

    安全认证层:数字摘要、数字签名、数字证书、认证中心

    加密技术层:对称加密、非对称加密

    网络服务层:入侵检测技术、安全扫描、防火墙

  5. 电子商务安全策略

    1. 安全技术策略:

      • 计算机及网络安全技术
      • 信息加密技术:单钥密码体制 / 公开密钥密码体制 DES算法和RSA算法
      • 数字摘要和数字签名技术
      • 认证中心CA
      • 安全协议: SSL协议/SET协议

    2. 安全管理策略:

      • 交易安全管理制度
      • 风险管理和控制机制
      • 运行、访问控制策略和责任
      • 人员管理制度
      • 保密制度
      • 病毒防范机制
      • 安全计划、应急机制和灾难恢复机制

3.2 加密技术

基本概念

  1. 加密技术中,算法和密钥是两个核心要素。
  2. 密码体制分为对称密钥密码体制和非对称密钥密码体制

对称密钥密码体制

  1. 对称密钥密码体制也称单钥密码体制,其基本原理是:加密密钥和解密密钥相同,或者加密密钥与解密密钥虽不相同,单可以从其中一个推导出另一个。优点是算法简单,加密和解密速度快,效率高。
  2. 对称密钥密码体制的典型算法是DES算法,EDS每次取明文中联系64位数据,其中8位是奇偶校验位,有效密钥长度是56位

非对称密钥密码体制

  1. 非对称密钥密码体制,又称为双钥密码体制或公钥密码体制。非对称密钥密码的体制的基本原理是加密和解密采用不同的密钥,使用时其中要给密钥公开,成为公钥;另一个密钥由用户私有保存,成为私钥。

  2. 非对称密钥密码体制的典型算法是RSA算法

    具体算法:

    1. 选择两个足够大的质数p和q;
    2. 计算p和q的乘积,记为 n=p*q;
    3. 计算p-1和q-1的成乘积,计为 m=(p-1)*(q-1);
    4. 寻找一个与m互质的数e,满足1<e<m;
    5. 寻找一个数d,使其满足(e*d) mod m = 1
    6. (n,e)为公钥,(n,d)为私钥

数字信封

数字信封对原文信息采用非对称密钥进行加密,再利用非对称密钥加密传递对称密钥。

3.3 认证技术

身份认证

  1. 通过身份认证鉴别互联网上用户身份的真实性,保证访问的可控制性以及通信过程的不可抵赖性和信息的完整性。
  2. 身份认证的方法:口令方式、标记方式、人体生物特征方式。

数字摘要和数字签名

  1. 数字摘要具有 指纹特性,作用是验证信息的完整性
  2. 数字摘要的核心技术:哈希算法(MD5、SHA算法)
  3. 数字签名的使用过程:签名和验证。
  4. 数字签名的种类:RSA签名(标准算法)、ElGamal签名

数字证书与认证机构

  1. 电子商务活动中,真实身份证明通过数字证书及其发放机构认证中心实现。
  2. 数字证书分类:个人证书、单位证书、服务器证书、代码签名证书、CA证书。
  3. 缩略图:即该证书的数字摘要,用以验证证书的完整性
  4. 颁发数字证书的CA的信息主要包括CA的名称、CA的签名、CA的算法。
  5. 认证中心是数字证书的颁发机构。核心职能是发放和管理数字证书,包括证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档等。

3.4 防止非法入侵

防火墙

  1. 防火墙的功能:保护那些易受攻击的服务、控制对特殊站点的访问、集中化的安全管理、对网络访问进行记录和统计。
  2. 防火墙的分类:基于包过滤的防火墙、基于代理服务的防火墙和复合型防火墙
  3. 防火墙通常有两种安全模型可以选择:没有被列为允许访问的服务都是被禁止的;没有被列为禁止访问的服务都是被允许的。
  4. 防火墙与Web服务器的三种配置:Web服务器置于防火墙之内、Web服务器置于防火墙之外(保障内网安全)、Web服务器置于防火墙之上

入侵检测

  1. 入侵检测系统的组成:事件产生器、事件分析器、事件数据库、响应单元。

  2. 入侵系统的分类:

    • 根据检测原理:异常入侵系统检测系统和误入入侵检测系统
    • 根据体系结构:集中式入侵检测系统、等级式入侵检测系统、协作式入侵检测系统
    • 根据工作方式:离线检测系统、在线检测系统

安全协议

  1. SSL协议用于TCP/IP协议确定用户身份,为TCP/IP连接提供了数据加密、服务器端身份验证、信息完整性和可选择的客户端身份验证等功能。
  2. SSL协议在TCP/IP网络分层结构中位于应用层和TCP层之间,由SSL记录协议和SSL握手协议组成。
  3. SSL协议基本安全服务功能:信息机密性、信息完整性、认证型。
  4. SET协议采用对称加密技术和非对称加密技术提供数据加密、数字签名、数字信封等功能。
  5. 基于SET协议的网络支付过程参与方:客户、商家、银行(发卡银行、收单银行)、支付网关、CA认证中心。
  6. SSL和SET协议都采用RSA公钥算法。

3.5 备份与恢复

数据备份技术

  1. 数据备份类型:

    • 按备份数据量:完全备份、增量备份、差分备份、按需备份
    • 按备份状态:物理备份、逻辑备份

  2. 数据备份设备有磁盘阵列、光盘塔、光盘库、光盘网络镜像服务器。

灾难恢复技术

  1. 灾难恢复是指发生灾难性事故时,能够利用已备份的数据或其他手段,及时对原系统进行恢复,以保证数据的安全性和业务的连续性。
  2. 灾难恢复策略:恢复硬件故障;重新安装操作系统;应用系统恢复;恢复已备份的数据。

3.6 计算机病毒与防治

计算机病毒概述

计算机病毒的特征数据:传染性、非授权性、隐蔽性、潜伏性、破坏性、不可预见性。速记:传非隐潜破不

计算机病毒分类

  • 按攻击的操作系统分类:攻击DOS系统病毒、攻击Windows系统病毒、攻击UNIX或OS/2的病毒
  • 按传播媒介分类:单机病毒、网络病毒
  • 按链接方式分类:源码型病毒、入侵型病毒、外壳行病毒、操作系统型病毒。

计算机病毒检测与防范

  1. 识别病毒的技术主要有特征判定技术(静态判定技术)、行为判定技术(动态判定技术)。
  2. 特征判定技术的方法:比较法、校验和检测法、特征扫描法和启发式扫描法。
  3. 病毒防治办法:把各种查杀病毒的新技术应用于反病毒软件、网络杀毒、个人防火墙、邮件杀毒、数据备份恢复系统。

3.7 物理环境安全与容灾

  1. 物理环境安全包括场地安全和运行环境安全。
  2. 容灾系统主要表现在两个方面:一是保证企业数据的安全;二是保证业务的连续性。
  3. 容灾方案包括数据容灾和应用容灾
avatar
文章
阅读
粉丝