第四章 电子商务的安全

　　1、计算机安全分为物理安全和逻辑安全。物理安全是指可触及的保护设备，如警铃、保卫、防火门、安全栅栏、保险箱、防暴建筑物等。使用非物理手段对资产进行保护成为逻辑安全。对计算机资产带来危险的任何行动或对象都被称为安全威胁。

　　2、安全专家把计算机安全分为：保密、完整、即需。

　　保密：指防止未授权的数据暴露并确保数据源的可靠性。

　　完整：防止未经授权的数据修改。

　　即需：防止延迟或拒绝服务。

　　3、安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。不同的安全措施其投资不同。资产的重要性决定了采用什么样的安全措施。分析哪些资产需要保护，保护到什么程度。

　　4、安全策略是对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等的书面描述。

　　5、安全策略的内容：（1）认证；（2）访问控制；（3）保密；（4）数据完整性；（5）审计。

　　6、互联网成了版权侵犯者的诱人目标的原因：

　　（1）网上的信息无论是否受到版权保护，它都非常容易复制；

　　（2）很多人不了解保护知识产权方面的版权规定。

　　7、数字水印：隐藏地嵌入在数字图象或声音文件里的数字码或数字流。可对其内容加密或简单地隐藏在图像或声音文件的字节里。数字化音频水印系统可用来保护互联网上的音频文件，其系统可识别、认证和保护知识产权。

　　8、静态页面是以WWW标准页面描述语言HTML编制的，其作用是显示内容并提供到其他页面的链接。

　　9、对客户机的安全威胁：

　　（1）活动内容（2）Java、Java小应用程序和JavaScript.（3）Active X控件（4）图形文件、插件和电子邮件的附件。

　　10、活动内容：是指在页面上嵌入的对用户透明的程序。

　　11、特洛伊木马将破坏性的活动页面放进看起来完全无害WWW页面中。特洛伊木马是隐藏在程序或页面里而掩盖其真实目的程序。特洛伊木马还可改变或删除客户机上的信息，构成完整性侵害。

　　12、Cookie本没恶意，但由于其信息可能被利用，因此有些人不喜欢让自己的计算机存储Cookie.识别、管理、显示或删除Cookie的免费程序或自由软件是：Cookie Crusher和Cookie Pal.

　　13、Java是一种真正的面向对象的语言，这是一个很有用的特点，因为它支持代码重用。除WWW应用外，Java还可在操作系统上运行。Java得以广泛应用的另一个原因是与平台无关性，它可在任何计算机上运行。

　　14、Java运行程序安全区是根据安全模式所定义的规则来限制Java小应用程序的活动。当Java小应用程序在Java运行程序安全区限制的范围内运行时，它们不会访问系统中安全规定范围之外的程序代码。

　　15、Java应用程序和Java小应用程序不同：Java应用程序不在浏览器上运行，而是在计算机上运行，它可以完成任何操作。

　　16、特洛伊木马的例子：

　　JavaScript程序不能自行启动。有恶意的JavaScript程序要运行，必须由你亲手启动。有恶意者为诱导你启动这个程序，可能会把程序装扮成住房公积金计算程序，在你按下按钮来查看自己的住房公积金时，可能会把程序JavaScript程序就会启动，完成它的破坏任务。

　　信息隐蔽是指隐藏在另一片信息中的信息，其目的可能是善意的，也可能是恶意的。

　　17、Active X是一个对象（控件），由页面设计者放在页面里来执行特定任务的程序。Active X控件存在一定的安全威胁：一旦下载下来，它就能像计算机上的其他程序一样执行，能访问包括操作系统代码在内的所有系统资源，这是非常危险的。

　　18、信息隐蔽是指隐蔽在另一个信息中的信息，其目的可能是善意的，也可能是恶意的。

　　19、内置的防止或减少客户机安全威胁的保护机制：

　　1）数字证书；2）微软的IE；3）网景公司的navigator；4）处理Cookie；5）使用防病毒软件。

　　20、数字证书：是电子邮件附件或嵌在网页上的程序，可用来验证用户或网站的身份。如果电子邮件消息或网页含有数字证书，就称之为签名消息或签名代码。（数字证书的作用：验证用户或网站的身份）

　　21、防病毒软件只能保护你的计算机不受已下载到计算机上的病毒攻击，它是一种防卫策略。

　　22、保密与隐私的区别：（典型例子：电子邮件）

　　（1）保密是防止未经授权的信息泄露；隐私是保护个人不被曝光的权利。

　　（2）保密要求繁杂的物理和逻辑安全的技术问题；隐私需要法律的保护。

　　23、对完整性的安全威胁也叫主动搭线窃听。

　　24、破坏他人网站是指以电子形式破坏某个网站的网页。

　　25、电子伪装是指某人装成他人或将某个网站伪装成另一个网站。

　　26、对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁。

　　27、加密就是用基于数学算法的程序和保密的密钥对信息进行编码，生成难以理解的字符串。

　　28、加密程序：将这些文字（明文）转成密文（位的随机组合）的程序。

　　29、消息在发送到网络或互联网之前进行加密，接收方收到消息后对其解码或成为解密，所用的程序称为解密程序，这是加密的逆过程。加密程序的逻辑称为加密算法。

　　30、非对称加密（公开密钥机密）：它用连个数学相关的密钥对信息进行编码。其中一个密钥叫公开密钥，可随意发给期望同密钥持有者进行安全通讯的人。公开密钥用于对信息加密。第二个密钥是私有密钥，属于密钥持有者，此人要仔细保存私有密钥。密钥持有者用私有密钥对收到的信息进行解密。