自考中英合作“電子商務(wù)概論”資料（7）

第四章 電子商務(wù)的安全
    1、計算機(jī)安全分為物理安全和邏輯安全。物理安全是指可觸及的保護(hù)設(shè)備，如警鈴、保衛(wèi)、防火門、安全柵欄、保險箱、防暴建筑物等。使用非物理手段對資產(chǎn)進(jìn)行保護(hù)成為邏輯安全。對計算機(jī)資產(chǎn)帶來危險的任何行動或?qū)ο蠖急环Q為安全威脅。
    2、安全專家把計算機(jī)安全分為：保密、完整、即需。
    保密：指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性。
    完整：防止未經(jīng)授權(quán)的數(shù)據(jù)修改。
    即需：防止延遲或拒絕服務(wù)。
    3、安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱。不同的安全措施其投資不同。資產(chǎn)的重要性決定了采用什么樣的安全措施。分析哪些資產(chǎn)需要保護(hù)，保護(hù)到什么程度。
    4、安全策略是對所需保護(hù)的資產(chǎn)、保護(hù)的原因、誰負(fù)責(zé)進(jìn)行保護(hù)、哪些行為可接受、哪些不可接受等的書面描述。
    5、安全策略的內(nèi)容：（1）認(rèn)證；（2）訪問控制；（3）保密；（4）數(shù)據(jù)完整性；（5）審計。
    6、互聯(lián)網(wǎng)成了版權(quán)侵犯者的誘人目標(biāo)的原因：
    （1）網(wǎng)上的信息無論是否受到版權(quán)保護(hù)，它都非常容易復(fù)制；
    （2）很多人不了解保護(hù)知識產(chǎn)權(quán)方面的版權(quán)規(guī)定。
    7、數(shù)字水?。弘[藏地嵌入在數(shù)字圖象或聲音文件里的數(shù)字碼或數(shù)字流?？蓪ζ鋬?nèi)容加密或簡單地隱藏在圖像或聲音文件的字節(jié)里。數(shù)字化音頻水印系統(tǒng)可用來保護(hù)互聯(lián)網(wǎng)上的音頻文件，其系統(tǒng)可識別、認(rèn)證和保護(hù)知識產(chǎn)權(quán)。
    8、靜態(tài)頁面是以WWW標(biāo)準(zhǔn)頁面描述語言HTML編制的，其作用是顯示內(nèi)容并提供到其他頁面的鏈接。
    9、對客戶機(jī)的安全威脅：
    （1）活動內(nèi)容（2）Java、Java小應(yīng)用程序和JavaScript.（3）Active X控件（4）圖形文件、插件和電子郵件的附件。
    10、活動內(nèi)容：是指在頁面上嵌入的對用戶透明的程序。
    11、特洛伊木馬將破壞性的活動頁面放進(jìn)看起來完全無害WWW頁面中。特洛伊木馬是隱藏在程序或頁面里而掩蓋其真實目的程序。特洛伊木馬還可改變或刪除客戶機(jī)上的信息，構(gòu)成完整性侵害。
    12、Cookie本沒惡意，但由于其信息可能被利用，因此有些人不喜歡讓自己的計算機(jī)存儲Cookie.識別、管理、顯示或刪除Cookie的免費程序或自由軟件是：Cookie Crusher和Cookie Pal.
    13、Java是一種真正的面向?qū)ο蟮恼Z言，這是一個很有用的特點，因為它支持代碼重用。除WWW應(yīng)用外，Java還可在操作系統(tǒng)上運行。Java得以廣泛應(yīng)用的另一個原因是與平臺無關(guān)性，它可在任何計算機(jī)上運行。
    14、Java運行程序安全區(qū)是根據(jù)安全模式所定義的規(guī)則來限制Java小應(yīng)用程序的活動。當(dāng)Java小應(yīng)用程序在Java運行程序安全區(qū)限制的范圍內(nèi)運行時，它們不會訪問系統(tǒng)中安全規(guī)定范圍之外的程序代碼。
    15、Java應(yīng)用程序和Java小應(yīng)用程序不同：Java應(yīng)用程序不在瀏覽器上運行，而是在計算機(jī)上運行，它可以完成任何操作。
    16、特洛伊木馬的例子：
    JavaScript程序不能自行啟動。有惡意的JavaScript程序要運行，必須由你親手啟動。有惡意者為誘導(dǎo)你啟動這個程序，可能會把程序裝扮成住房公積金計算程序，在你按下按鈕來查看自己的住房公積金時，可能會把程序JavaScript程序就會啟動，完成它的破壞任務(wù)。
    信息隱蔽是指隱藏在另一片信息中的信息，其目的可能是善意的，也可能是惡意的。
    17、Active X是一個對象（控件），由頁面設(shè)計者放在頁面里來執(zhí)行特定任務(wù)的程序。Active X控件存在一定的安全威脅：一旦下載下來，它就能像計算機(jī)上的其他程序一樣執(zhí)行，能訪問包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源，這是非常危險的。
    18、信息隱蔽是指隱蔽在另一個信息中的信息，其目的可能是善意的，也可能是惡意的。
    19、內(nèi)置的防止或減少客戶機(jī)安全威脅的保護(hù)機(jī)制：
    1）數(shù)字證書；2）微軟的IE；3）網(wǎng)景公司的navigator；4）處理Cookie；5）使用防病毒軟件。
    20、數(shù)字證書：是電子郵件附件或嵌在網(wǎng)頁上的程序，可用來驗證用戶或網(wǎng)站的身份。如果電子郵件消息或網(wǎng)頁含有數(shù)字證書，就稱之為簽名消息或簽名代碼。（數(shù)字證書的作用：驗證用戶或網(wǎng)站的身份）
    21、防病毒軟件只能保護(hù)你的計算機(jī)不受已下載到計算機(jī)上的病毒攻擊，它是一種防衛(wèi)策略。
    22、保密與隱私的區(qū)別：（典型例子：電子郵件）
    （1）保密是防止未經(jīng)授權(quán)的信息泄露；隱私是保護(hù)個人不被曝光的權(quán)利。
    （2）保密要求繁雜的物理和邏輯安全的技術(shù)問題；隱私需要法律的保護(hù)。
    23、對完整性的安全威脅也叫主動搭線竊聽。
    24、破壞他人網(wǎng)站是指以電子形式破壞某個網(wǎng)站的網(wǎng)頁。
    25、電子偽裝是指某人裝成他人或?qū)⒛硞€網(wǎng)站偽裝成另一個網(wǎng)站。
    26、對即需性的安全威脅也叫延遲安全威脅或拒絕安全威脅。
    27、加密就是用基于數(shù)學(xué)算法的程序和保密的密鑰對信息進(jìn)行編碼，生成難以理解的字符串。
    28、加密程序：將這些文字（明文）轉(zhuǎn)成密文（位的隨機(jī)組合）的程序。
    29、消息在發(fā)送到網(wǎng)絡(luò)或互聯(lián)網(wǎng)之前進(jìn)行加密，接收方收到消息后對其解碼或成為解密，所用的程序稱為解密程序，這是加密的逆過程。加密程序的邏輯稱為加密算法。
    30、非對稱加密（公開密鑰機(jī)密）：它用連個數(shù)學(xué)相關(guān)的密鑰對信息進(jìn)行編碼。其中一個密鑰叫公開密鑰，可隨意發(fā)給期望同密鑰持有者進(jìn)行安全通訊的人。公開密鑰用于對信息加密。第二個密鑰是私有密鑰，屬于密鑰持有者，此人要仔細(xì)保存私有密鑰。密鑰持有者用私有密鑰對收到的信息進(jìn)行解密。