第四章 电子商务的安全
一、复习提示
(一)本章学习要点与逻辑结构
本章主要介绍计算机的安全问题。通过学习本章内容,考生应识记计算机安全、版权及知识产权的概念,还有计算机易受到的安全威胁,这些安全威胁来自于客户机、通讯信道以及服务器;考生还应领会活动内容为计算机带来的安全威胁以及信息加密的工作原理;在掌握以上知识的基础上,要求考生能够针对不同的安全威胁制定并实施相应的安全策略。
本章的逻辑结构是:第一节简要介绍计算机安全的概念以及计算机安全的分类。物理安全和逻辑安全是迄今为止计算机安全的两大部分,安全专家把计算机安全分为三类,即保密、完整和即需。要保护电子商务资产的安全,我们必须要有一个明确的安全措施。第二节主要介绍了计算机安全对知识产权的保护。在这一节中,考生要领会保护数字化知识产权与保护传统的知识产权有什么不同。第三节重点讲述了对客户机的保护。包括Java小应用程序、Active X控件、Cookie及小应用程序。第四节主要介绍对通讯信道进行安全保护的有关知识。对信息的加密,加密方法以及SSL、S-HTTP对活动页面进行的安全保护。此节为重点章节,考生应重点复习此节。第五节对于企图破坏或非法获取互联网信息的人来说,服务器有很多弱点可以被利用,包括WWW服务器及其软件、数据库的后台程序、服务器的公共网关接口和其他工具程序。对于保护服务器来说,防火墙是必需的。
(二)本章需要掌握的考核知识点和考核要求
1.计算机安全
要求识记计算机安全的概念及分类、安全措施及安全策略的定义;领会计算机各种安全的含义;要求能够根据实际情况制定安全措施。
计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。
安全专家通常把计算机安全分成三类,即保密、完整和即需。保密是指防止未授权的数据暴露并确保数据源的可靠性;完整是防止未经授权的数据修改;即需是防止延迟或拒绝服务。
安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。
安全策略是对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等的书面描述。
安全策略一般包含以下内容:
(1)认证:谁想访问电子商务网站?
(2)访问控制:允许谁登录电子商务网站并访问它?
(3)保密:谁有权利查看特定的信息?
(4)数据完整性:允许谁修改数据,不允许谁修改数据?
(5)审计:在何时由何人导致了何事?
2.对版权和知识产权的保护
识记版权及知识产权的概念;领会互联网对知识产权的安全威胁,保护数字化知识产权与保护传统知识产权的区别,以及如何实现对数字化知识产权的保护。
版权是对表现的保护,一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。
知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。
3.保护客户机
要求识记客户机已受到哪些安全威胁、信息隐蔽及数字证书的概念;领会活动内容如何带来安全威胁、Java、Java小应用程序和java script如何解决问题、Active X如何带来安全威胁、电子邮件如何带来安全问题、数字证书的用途、浏览器内部对客户机端的保护、防病毒软件的作用;要求能够针对不同的安全威胁制定相应的安全策略。
对客户机的安全威胁来自:
(1)活动内容;
(2)Java、Java小应用程序和java script;
(3)Active X控件;
(4)图形文件、插件和电子邮件附件。
信息隐蔽是指隐藏在另一片信息中的信息(如命令),其目的可能是善意的,也可能是恶意的。信息隐蔽提供将加密的文件隐藏在另一个文件中的保护方式。
数字证书是电子邮件附件或嵌在网页上的程序,可用来验证用户或网站的身份。另外,数字证书还有向网页或电子邮件附件原发送者发送加密信息的功能。