要参加考试的同学们,出国留学网为你整理“2017年助理电子商务师考试第四章知识点”,供大家参考学习,更多资讯请关注我们网站的更新哦!
2017年助理电子商务师考试第四章知识点
第四章 电子商务安全
电子商务安全技术分为两部分:计算机网络安全和商务交易安全
一、计算机网络安全
1、 计算机网络面临的安全威胁
1) 黑客攻击——指非法入侵计算机系统的人。主要利用操作系统和网络的漏洞、缺陷,从网络的外部非法侵入,进行不法行为。
2) 病毒攻击——病毒是能够破坏计算机系统正常运行,具有传染性并能自我复制的特殊程序。 3) 拒绝服务攻击——是一种破坏性的攻击,它是指一个用户用某种手段故意占用大量的网络资源,使系
统没有剩余资源为其他用户提供服务的攻击。 4) 网络内部的安全威胁——主要指来自网络内部的用户攻击或内部用户因误操作造成口令失密而遭受的攻击,是最难防御的安全威胁。
2、 计算机网络安全技术
1)防火墙——代理服务型比包过滤型更可靠。
2)入侵检测系统IDS——弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应防护手段的安全
产品,它提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,是一种积极主动的安全防护技术。
3)入侵检测系统分为主机型和网络型
4)物理隔离——是指内部网不直接或间接地连接互联网。目的是保护路由器、工作站、网络服务器等硬件
实体和通信链路免受来自外部的人为破坏和攻击。 5)虚拟专用网VPN——虚拟专用网不是真的专用网络,它利用不可靠的公用互联网络作为信息传输媒介,
通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全功能,从而实现对重要信息的安全传输。
6)VPN的分类:远程访问虚拟网,企业内部虚拟网,企业扩展虚拟网
安全隧道技术:通过将待传输的原始信息加密和协议封闭处理后嵌套入另一种协议的数据包送入网络。
3、 病毒防治
1) 计算机病的种类:引导区病毒;可执行文件病毒;宏病毒;邮件病毒;网页病毒;综合型病毒 2) 计算机病的工作原理:引导模块、传染模块、破坏模块三个功能模块 3) 防范病毒的基本原则:管理方面的防范,技术方面的防范
4) 防病毒软件的选择:技术支持程度;技术的先进性和稳定性;病毒的响应速度;用户的使用条件
及应用环境。 5) 国内常用产品:
KILL,KV3000,瑞星
国外常用产品:Norton,Mcafee,PC-cillin
二、商务交易安全 1、 电子商务的安全要求 1) 信息的保密性 2) 信息的完整性
3) 通信的不可抵赖、不可否认 4) 交易各方身份的认证 5) 信息的有效性
2、电子商务的安全体系
电子商务作业系统 EDI应用、E-mail、 网上广告、网上交易、 支付系统
Internet Payment System、MESS/MSW、数字货币系统(E-cash、Cybercash、
安全协议
SSL(安全套接层)、SET(安全电子交易)、S/MIME
S-HTTP、X.402(MHS安全保密服务)、X.435、X.509、PGP、PEM、 Kerberos、同时签约协议
安全谁手段
数字摘要:MD5、SHA?? 数字信封、数字时戳
数字签名:PAS体制、DSS标准、GOST标准等 数年字证书 CA体系基本加密算法
对称密钥加密:DES、IDEA、RC-2、RC-4?? 非对称密钥加密:RSA、FAPKC
1)基本加密技术——采用密码技术对信息进行加密,是最常用的安全手段。
现代加密技术有以下两种体制:对称加密体制和非对称加密体制。
对称加密体制:对信息的加密和解密都使用相同的密钥,也就是说一把钥匙开一把锁。
非对称加密体制:密钥分解为一对,一个是公开密钥,一个是私用密钥。这两个密钥称为“密钥对” 2)安全认证手段
A、数字信封:是结合对称加密方法和非对称加密方法实现信息保密传送的技术。加密信息被分成密文和信封两部分,对文件进行加密传输。
B、数字摘要:可用于验证通过网络传输收到的文件是否是原始的、未被篡改的文件原文。它利用了着名的Hash函数的特性。
C、数字签名:就是只有信息发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者发送的信息的真实性的一个证明。1.自己的签名是难以否认2签名不易仿冒的! D、数字证书,又称为数字凭证,是用电子手段来证实一个用户的身份的方法。
E、认证中心:数字证书解决了公开密钥的安全发布和管理的问题,那么什么样的单位才有资格颁发数字证书呢?认证中心CA就是承担网上安全电子交易认证服务,发放数字证书并能确认用户身份的服务机构。 3、安全交易协议
1)安全套接层协议 SSL 2)安全电子交易协议 SET
3)其他安全协议 HTTP HTTPS
三、电子商务系统安全管理制度 1、人员管理制度
1)严格电子商务人员的选拔
2)落实工作责任制
3)贯彻电子商务安全动作基本原则:双人负责原则;任期有限制;最小权限原则。 2、保密制度
信息的安全级别一般可分为三级:机密,秘密,普通。 3、跟踪、审计制度
跟踪制度要求企业建立网络交易系统日志机制,保存、维护和管理系统日志。
审计制度包括经常对系统日志的检查、审核,及时发现故意入侵系统行为的记录和违反系统安全功能的记录,监控和捕捉各种安全事件,并进入相应的处理程序。 4、 网络系统的日常维护制度
1) 硬件的日常管理和维护——建立系统设备档案,网络设备管理与维护,通信线路维护 2) 软件的日常管理和维护——系统软件,应用软件
3) 数据备份制度——对信息系统数据进行存储、备份和恢复
5、 用户管理——主要任务就是建立用户分组、为各用户组分配合适的权限、增加/删除/修改用户(号)。 6、 病毒防范制度——更新病毒库,定期清理病毒,备份数据,注意不安全软件,邮件,不要软盘启动。 7、 应急措施——指在计算机灾难事件,即紧急事件或安全事故发生时,利用应急计划辅助软件和应急设
施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复。 灾难恢复一方面是硬件的恢复,使计算机系统重新运转起来,另一方面是数据的恢复。 数据的恢复更为重要,难度也更大,目前运用的数据恢复技术主要是
瞬时复制技术:使计算机在某一灾难时刻自动复制数据的技术
远程磁盘镜像技术:把数据中心磁盘中的数据复制到远程备份中心,在远程备份中心提供主数据中心的磁盘影像。
数据库恢复技术:产生和维护一份或多份数据库数据的副本,但该技术不能复制非数据库格式的数据。后面两个结合使用能取得更好的效果