1 电子商务的安全需求有哪些?
答:保密性、完整性、认证性、不可否认性、不可拒绝性、访问控制性。
分析:
保密性:保证信息不被泄露给非授权的人或实体,具体采用信息加密技术实现。
完整性:保证数据的一致性,防止数据被非授权者建立、修改和破坏。
认证性:网络两端的使用者在通信之前相互确认对方身份,保证交易方确实存在并非有人假冒。
不可否认性:建立有效的责任机制,防止实体否认其行为。
不可拒绝性:保证合法用户对信息和资源的使用不会被不正当的拒绝。
访问控制性:能控制使用资源的人或实体的使用方式,在网络上限制和控制通信信道对主机系统和应用的访问。
小结:电子商务的安全需求是电子商务系统的中心内容,是理解整个电子商务安全的基础,所有的安全威胁都是针对安全需求的六项内容而言的,所有的安全技术也都是为了保证这六项内容的实现。
2 电子商务系统安全主要包括哪几部分安全?
实体安全:环境安全、设备安全、媒体安全;
运行安全:风险分析、审计跟踪、备份与恢复、应急;
信息安全:操作系统、数据库、网络、病毒防护、访问控制、加密、鉴别。
3 电子商务以什么作为两大支柱?
电子商务以公共政策、技术标准作为两大支柱。
4 电子商务的安全体系是什么?
电子商务应用系统(应用层)、交易协议层、安全认证层、加密技术层、网络服务层。
分析:
电子商务的安全体系结构,是保证电子商务中数据安全的一个完整的逻辑结构,同时它也为交易过程的安全提供了基本保障。电子商务安全体系如下所示:
电子商务应用系统(支付业务系统、非支付业务系统)
<<==>> 交易协议层(SET协议、SSL协议、S-HTTP协议)
<<==>> 安全认证层(CA认证、数字证书、数字签名、数字信封)
<<==>> 加密技术层(对称加密技术、非对称加密技术、哈希函数技术)
<<==>> 网络服务层(防火墙、加密、漏洞扫描、入侵检测、反病毒、安全审计)
各层通过控制技术的递进,实现电子商务系统的安全。下层是上层的基础,为上层提供技术支持,上层是下层的扩展与递进,各层之间相互依赖,相互关联构成统一整体。形成了一个完善的安全体系。
5 请查资料解释你了解的五个网络漏洞和三种网络病毒的产生工作原理与防治方法?
Unicode编码漏洞:微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代"/"和"\"而能利用"../"目录遍历的漏洞。消除该漏洞的方式是安装操作系统的补丁,只要安装了SP1以后,该漏洞就不存在了。
RPC漏洞:此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题,进而使任意代码得以执行。此问题的修补程序将包括在 Windows 2000 Service Pack 5、Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中。
ASP源码泄漏和MS SQL Server攻击:通过向web服务器请求精心构造的特殊的url就可以看到不应该看到的asp程序的全部或部分源代码,进而取得诸如MS SQL Server的管理员sa的密码,再利用存储过程xp_cmdshell就可远程以SYSTEM账号在服务器上任意执行程序或命令。设置较为复杂的密码。
BIND缓冲溢出:在最新版本的Bind以前的版本中都存在有严重的缓冲溢出漏洞,可以导致远程用户直接以root权限在服务器上执行程序或命令,极具危险性。但由于操作和实施较为复杂,一般也为黑客高手所用。这种攻击主要存在于Linux、BSDI和Solaris等系统中。打补丁。
IIS缓冲溢出:对于IIS4.0和IIS5.0来说都存在有严重的缓冲溢出漏洞,利用该漏洞远程用户可以以具有管理员权限的SYSTEM账号在服务器上任意执行程序或命令,极具危险性。但由于操作和实施较为复杂,一般为黑客高手所用。打补丁
Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“autorun.inf”文件和蠕虫病毒主程序体,来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时,可能会在被感染计算机系统中定时弹出恶意广告网页,或是下载其它恶意程序到被感染计算机系统中并调用安装运行,会被用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式,来实现蠕虫开机自启动。
Backdoor/Huigezi “灰鸽子”是后门家族的最新成员之一,采用Delphi语言编写,并经过加壳保护处理。“灰鸽子”运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存(文件属性设置为:只读、隐藏、存档)。“灰鸽子”是一个反向连接远程控制后门程序,运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。中毒后的计算机会变成网络僵尸,骇客可以远程任意控制被感染的计算机,还可以窃取用户计算机里所有的机密信息资料等,会给用户带去不同程度的损失。“灰鸽子”会把自身注册为系统服务,以服务的方式来实现开机自启动运行。“灰鸽子”主安装程序执行完毕后,会自我删除。
Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一,采用高级语言编写, 并经过加壳保护处理。“QQ大盗”运行时,会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息,然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件,从而来保护自身不被查杀。“QQ大盗”运行时,会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域等信息资料,并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里,会给被感染计算机用户带去不同程度的损失。“QQ大盗”通过在注册表启动项中添加键的方式,来实现开机木马自启动。
防止病毒的方法,安全上网,装杀毒软件。
6 电子商务包含几类安全?每类各包含那些安全技术?
网络安全:
防火墙、加密、漏洞扫描、入侵检测、反病毒技术、安全审计
交易安全:
加密技术层:DES,RSA等
安全认证层:报文摘要、数字签名、数字证书、数字时间戳、CA认证中心、PKI
交易协议层:SSL、SET协议
分析:
计算机网络安全主要包括计算机网络的物理安全、计算机网络的系统安全和数据库安全等。网络安全主要是针对计算机网络本身可能存在的安全问题,实施网络安全方案。计算机网络安全采用的安全技术主要有防火墙技术、加密技术、漏洞扫描技术、入侵行为检测技术、反病毒技术和安全审计技术等,用以保障计算机网络自身的安全。
交易安全是针对传统商务在因特网上运用时产生的各种安全问题而设计的一套安全技术,目的是在计算机网络安全的基础上确保电子商务过程的顺利进行。