第四章 電子商務的安全

　　一、復習提示

　　（一）本章學習要點與邏輯結構

　　本章主要介紹計算機的安全問題。通過學習本章內容，考生應識記計算機安全、版權及知識產權的概念，還有計算機易受到的安全威脅，這些安全威脅來自于客戶機、通訊信道以及服務器；考生還應領會活動內容為計算機帶來的安全威脅以及信息加密的工作原理；在掌握以上知識的基礎上，要求考生能夠針對不同的安全威脅制定并實施相應的安全策略。

　　本章的邏輯結構是：第一節簡要介紹計算機安全的概念以及計算機安全的分類。物理安全和邏輯安全是迄今為止計算機安全的兩大部分，安全專家把計算機安全分為三類，即保密、完整和即需。要保護電子商務資產的安全，我們必須要有一個明確的安全措施。第二節主要介紹了計算機安全對知識產權的保護。在這一節中，考生要領會保護數字化知識產權與保護傳統的知識產權有什么不同。第三節重點講述了對客戶機的保護。包括Java小應用程序、Active X控件、Cookie及小應用程序。第四節主要介紹對通訊信道進行安全保護的有關知識。對信息的加密，加密方法以及SSL、S-HTTP對活動頁面進行的安全保護。此節為重點章節，考生應重點復習此節。第五節對于企圖破壞或非法獲取互聯網信息的人來說，服務器有很多弱點可以被利用，包括WWW服務器及其軟件、數據庫的后臺程序、服務器的公共網關接口和其他工具程序。對于保護服務器來說，防火墻是必需的。

　　（二）本章需要掌握的考核知識點和考核要求

　　1、計算機安全

　　要求識記計算機安全的概念及分類、安全措施及安全策略的定義；領會計算機各種安全的含義；要求能夠根據實際情況制定安全措施。

　　計算機安全就是保護企業資產不受未經授權的訪問、使用、篡改或破壞。

　　安全專家通常把計算機安全分成三類，即保密、完整和即需。保密是指防止未授權的數據暴露并確保數據源的可靠性；完整是防止未經授權的數據修改；即需是防止延遲或拒絕服務。

　　安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱。

　　安全策略是對所需保護的資產、保護的原因、誰負責進行保護、哪些行為可接受、哪些不可接受等的書面描述。

　　安全策略一般包含以下內容：

　　（1）認證：誰想訪問電子商務網站？

　　（2）訪問控制：允許誰登錄電子商務網站并訪問它？

　　（3）保密：誰有權利查看特定的信息？

　　（4）數據完整性：允許誰修改數據，不允許誰修改數據？

　　（5）審計：在何時由何人導致了何事？

　　2、對版權和知識產權的保護

　　識記版權及知識產權的概念；領會互聯網對知識產權的安全威脅，保護數字化知識產權與保護傳統知識產權的區別，以及如何實現對數字化知識產權的保護。

　　版權是對表現的保護，一般包括對文學和音樂作品、戲曲和舞蹈作品、繪畫和雕塑作品、電影和其他視聽作品以及建筑作品的保護。

　　知識產權是思想的所有權和對思想的實際或虛擬表現的控制權。

　　3、保護客戶機

　　要求識記客戶機已受到哪些安全威脅、信息隱蔽及數字證書的概念；領會活動內容如何帶來安全威脅、Java、Java小應用程序和java script如何解決問題、Active X如何帶來安全威脅、電子郵件如何帶來安全問題、數字證書的用途、瀏覽器內部對客戶機端的保護、防病毒軟件的作用；要求能夠針對不同的安全威脅制定相應的安全策略。

　　對客戶機的安全威脅來自：

　　（1）活動內容；

　　（2）Java、Java小應用程序和java script；

　　（3）Active X控件；

　　（4）圖形文件、插件和電子郵件附件。

　　信息隱蔽是指隱藏在另一片信息中的信息（如命令），其目的可能是善意的，也可能是惡意的。信息隱蔽提供將加密的文件隱藏在另一個文件中的保護方式。

　　數字證書是電子郵件附件或嵌在網頁上的程序，可用來驗證用戶或網站的身份。另外，數字證書還有向網頁或電子郵件附件原發送者發送加密信息的功能。

　　4、通訊信道的安全威脅

　　識記電子郵件傳遞的安全威脅；對保密性、完整性和即需性的安全威脅；提供電子商務通道的安全。

　　在互聯網上傳輸的信息，從起始節點到目標節點之間的路徑是隨機選擇的。此信息在到達更終目標之前會通過許多中間節點。在同一起始節點和目標節點之間發送信息時，每次所用的路徑都是不同的，根本就無法保證信息傳輸時所通過的每臺計算機都是安全的和無惡意的。所以有了“電子郵件傳遞的安全威脅”問題。

　　對保密性的安全威脅，是指未經授權的信息泄露。

　　對完整性的安全威脅也叫主動搭線竊聽。當未經授權方同意改變了信息流時就構成了對完整性的安全威脅。

　　對即需性的安全威脅也叫延遲安全威脅或拒絕安全威脅，其目的是破壞正常的計算機處理或完全拒絕處理。

　　5、信息加密

　　識記加密、解密、散列編碼、對稱加密和非對稱加密等概念；領會加密算法以及散列編碼、對稱加密和非對稱加密的工作原理和區別。

　　加密就是用基于數學算法的程序和保密的密鑰對信息進行編碼，生成難以理解的字符串。將這些文字（稱為明文）轉成密文（位的隨機組合）的程序稱作加密程序。

　　解密就是指把加密后的密文還原為原來的文字（明文）。

　　按密鑰和相關加密程序類型可把加密分為三類：散列編碼、對稱加密和非對稱加密。

　　散列編碼是用散列算法求出某個消息的散列值的過程。散列編碼對于判別信息是否在傳輸時被改變非常方便。

　　對稱加密又稱私有密鑰加密，它只用一個密鑰對信息進行加密和解密。

　　非對稱加密也叫公開密鑰加密，它用兩個數學相關的密鑰對信息進行編碼。其中一個密鑰叫公開密鑰，可隨意發給期望同密鑰持有者進行安全通訊的人。公開密鑰用于對信息加密。第二個密鑰是私有密鑰，屬于密鑰持有者，此人要仔細保存私有密鑰。密鑰持有者用私有密鑰對收到的信息進行解密。

　　6、SSL和S-HTTP

　　識記安全套接層（SSL）系統和S-HTTP的基本概念；領會SSL和S-HTTP的工作原理及區別；要求能夠針對不同的安全威脅制定相應的安全策略。

　　SSL和S-HTTP支持客戶機和服務器對彼此在安全WWW會話過程中的加密和解密活動的管理。

　　SSL是支持兩臺計算機間的安全連接，而S-HTTP則是為安全地傳輸信息。SSL和S-HTTP都是透明地自動完成發出信息的加密和收到信息的解密工作。SSL處于Internet多層協議集的傳輸層，而S-HTTP是在更高層——應用層。