第一篇:电子商务安全管理 缩版
对称加密技术:对称加密技术,也称作密钥密码技术,其特点是计算量小、加密速度快。它有各种形式:从简单的替换密码到较复杂的构造方式,其中同一个密钥既用于加密也用于解密所涉及的文本。也就是说加密和解密数据使用同一个密钥,即加密和解密的密钥是对称的。原始数据(即明文)经过对称加密算法处理后,变成了不可读的密文(即乱码)。解密原文时, 必须使用同样的密码算法和密钥, 即信息的加密和解密使用同样的算法和密钥,这种密码系统也称为单密钥密码系统
非对称密码技术:在公钥密码体制出现以前的所有的密码算法都是基于代换和置换这两个基本工具。而公钥密码体制则为密码学的发展提供了新的理论和技术基础,一方面公钥密码算法的基本工具不再通过网络或其他公开途径得到接收方的公钥,然后使用该密钥对信息加密后发送给接收方;接收方用自己的私钥对收到的信息进行解密,得到信息明文。在这里,只有接收方(而不是其他第三方)才能成功地解密该信息,因为只有接收方拥有与之相对应的私有密钥,从而保证了信息的机密性。如果发送方在发送信息时附上自己的数字签名(数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据),则接收方通过验证数字签名可以保证信息的完整性和不可抵赖性
数字摘要:又叫消息摘要,也是一种加密方法,该方法又称为散列编码(Hash 编码)。散列编码利用单向的散列函数将需要加密的明文“摘要”成一串固定长度(如 128 位)的散列值,称为数字摘要,中的技术,即将某些标识数据嵌入到宿主数据中作为水印,使得水印在数据中不可感知和足够安全。用以证明原创作者对作品的所有权,并作为起诉非法侵权者的证据,从而保护了原作者的合法权益。数字版权管理技术:以一定的计算方法实现对数字内容的保护。
信息隐藏:将某一秘密信息秘密地隐藏于另一公开的信息内容中,其形式可以是任何一种数字媒体,如图像、声音、视频或一般的文本文档等,然后通过公开信息的传输来传递秘密信息。
信息系统安全标准:是构建国家信息安全保护体系必须具备的技术、管理规范
测评认证:现代质量认证制度的重要内容,其实质是由一个中立的权威机构,通过科学、规范、公正用于解密,称为秘密密钥,简称秘密钥。因此公钥(5)登记所作的修改,作为系统新的版本向用户及密码体制也称为双钥密码体制。算法有以下重要特操作人员的报告,特别要指明新增加的功能和修改性: 已知密码算法和加密密钥,求解密密钥在计算了的地方 上是不可行的 电商人员管理的工作流程图: 网络防火墙应用模式:屏蔽路由器、双穴主机网关、对数字水印的攻击:1.删除攻击2.解密攻击3,屏蔽主机网关、屏蔽子网网关 几何变形攻击4协议攻击 数字签名执行方式:直接方式和具有仲裁的方式 信息系统安全策略的目的与内容:安全策略的目的电子邮件加密:1捕获邮件正文2检索唯一标识收是提供建立、实施、运作、监控、评审、维护和改件人的信息3执行加密操作,产生加密邮件4用加进信息安全管理体系(ISMS)的规范,实现信息安密邮件替换原始邮件5发送邮件。解密:1接收邮全的机密性、完整性和可用性。件2检索加密邮件3检索唯一标识收件人的信息4内容:1物理安全2网络安全3数据安全4软件安用收件人的唯一信息执行解密操作,产生解密邮件5全5系统管理6灾难恢复 显示解密邮件正文。电子商务领域犯罪的特点:
1、犯罪主体多样化。
2、数字签名提供下列安全功能:1身份验证 2认可3低成本低风险。
3、高智能高技术。
4、共同犯罪居是代换和置换,而是数学函数;另一方面公钥密码又叫做数字指纹(Finger Print)算法是以非对称的形式使用两个密钥,两个密钥的CA(Certificate Authorities):又称认证权威、认证使用对保密性、密钥分配、认证等都有着深刻的意中心、证书授予机构,是承担网上认证服务,能签义。可以说公钥密码体制的出现是密码学史上的一发数字证书并能确认用户身份的受大家信任的第三个伟大的里程碑。方机构。
计算机病毒:《中华人民共和国计算机信息系统安全数字签名原理:数字签名是公钥加密技术与数字摘保护条例》中的定义是:“计算机病毒,是指编制或要两者的结合。它的主要方式是:发送方使用Hash者在计算机程序中插入的破坏计算机功能或者数据,编码算法(SHA)加密,从报文中生成一个散列值(数影响计算机使用,并且能够自我复制的一组计算机字摘要),用自己的私钥对此进行加密,形成发送方指令或者程序代码。” 计算机病毒之父弗雷德•科恩的数字签名,并作为报文的附件与报文一起发送给博士(Fred Cohen)于1983年提出的,将其定义为:接收方。可以看出,文档的信息不同,产生的发送“计算机病毒是一种计算机程序,它通过修改其它者的数字签名也不相同,即数字签名与原文信息唯程序把自身或其演化体插入它们中,从而感染它们。” 一对应,如果没有私有密钥,任何人都无法完成非国外对计算机病毒最流行的定义为:“计算机病毒,法复制。接受方首先从收到的原始报文中算出数字是一段附着在其他程序上的可以实现自我繁殖的程摘要,再用发送方的公钥对报文的数字签名解密;序代码。”
如果生成的两个数字摘要相同,接受方就可以确定黑客:原指热心于计算机技术,水平高超的电脑专该数字签名是发送方的。所以,通过数字签名能够家,尤其是程序设计人员。但到了今天,黑客一词实现对原始报文完整性和不可抵赖性的鉴别 已被用于泛指那些专门利用电脑网络搞破坏或恶作无线应用协议):是一个用于在无线通信设备(手机、剧的家伙。
寻呼机等)。之间进行信息传输的无须授权、也不依数字签名:数字签名是书面文档中具有法律意义的赖平台的协议,可用于Internet访问、WAP网页访传统签名的数字形式。
问、收发电子邮件,等等。
安全超文本传输协议:由Netscape开发并内置于其WAP的层次结构:应用层、无线会话层、传输协议浏览器中,用于对数据进行压缩和解压操作,并返层、安全协议层、数据报协议层。回网络上传送回的结果 WPKI:即“无线公开密钥体系”,它是将互联网电子PKI技术:一种遵循标准的利用公钥加密技术为电子商务中PKI安全机制引入到无线网络环境中的一套商务的开展提供一套安全基础平台的技术和规范。遵循既定标准的密钥及证书管理平台体系,它可以它是建立在公钥密码体制上的信息安全基础设施,用来管理在移动网络环境中使用的公开密钥和数字为应用提供身份认证、加密、数字签名、时间戳等证书,有效地建立安全和值得信赖的无线网络环境。安全服务。
个人信息:是指一切可以识别本人的信息的所有数X.509证书:的出现,为公钥体制的应用了有效的载据资料。这些数据资料包括一个人的生理的、心理体和基础,使用户更容易对公钥进行验证。目前被的、智力的、个体的、社会的、经济的、文化的、广泛采用的PKI 技术(Public Key Infrastructure-公钥家庭的等等方面。即指有关个人的一切数据、资料。基础设施),PKI(公钥基础设施)技术采用证书管理电子商务运行管理:一个电子商务系统投入使用后,公钥,通过第三方的可信任机构--认证中心其主要工作就是管理工作。这里所说的管理工作,CA(Certificate Authority),把用户的公钥和用户的其是指对电子商务系统本身的管理(即运行管理)。这他标识信息(如名称、e-mail、身份证号等)捆绑在里的管理主要是讲技术上的,而不是指一个信息中一起,在Internet 网上验证用户的身份。目前,通心或计算中心的行政管理。所谓运行管理工作或维用的办法是采用基于PKI 结构结合数字证书,通过护工作就是对系统的运行进行控制,记录其运行状把要传输的数字信息进行加密,保证信息传输的保态,进行必要的修改与扩充,以便使系统真正发挥密性、完整性,签名保证身份的真实性和抗抵赖。其作用。
数字证书:用电子手段来证实一个用户的身份和对网络管理:按照国际标准化组织(ISO)的定义,网网络资源的访问权限。
络管理是指规划、监督、控制网络资源的使用和网数字证书的原理:数字证书基于公钥技术。在公开络的各种活动,以使网络的性能达到最优。网络管密钥系统中,为每个用户生成一对相关的密钥:一理的目的在于提供对计算机网络进行规划、设计、个公开密钥和一个私有密钥。公开密钥用于对机密操作运行、管理、监视、分析、控制、评估和扩展信息的加密,通过非保密方式向他人公开;私有密的手段,从而合理地组织和利用系统资源,提供安钥用于对加密信息的解密,由用户自己安全存放。全、可靠、有效和友好的服务。
这样贸易双方进行信息交换的基本过程是:发送方数字水印:是一种将特制的标记隐藏在数字产品之的测试和评估向消费者、购买者(即需方)证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
信息安全策略:是组织对信息系统安全进行管理、保护的指导原则。在安全策略的指导下开展安全技术项目、订立安全管理制度、组织协调实施、监督、检查与改进,并形成为对系统安全的要求和目标进行详细描述的高层的管理文档
网络系统安全审计:是指在网络系统中模拟社会的监察机构对网络系统的活动进行监视和记录的一种机制
网络安全评估:是运用系统的方法,对各种网络安全保护措施、管理机制以及结合所产生的客观效果,对网络系统做出是否安全的结论。
电子商务领域犯罪:是电子商务时代产生的,具有若干共性的一类犯罪,电子商务领域犯罪是 指利用电子商务信息系统特性危害电子商务正常秩序, 具有严重社会危害性的行为。电子商务犯罪的社会预防机制:是要“调动社会上一切积极因素,运用各种手段和采取社会性和专门性的防治措施,限制、消除犯罪产生的原因与条件,以达到防止、遏制和减少犯罪的目的。”;
风险管理:降低各种风险的发生概率,或当某种风险突然降临时,减少损失的管理过程。
风险:危险发生的意外险和不确定性,包括损失发生与否及损失程度大小的不确定性。
风险评估:确定一个信息系统面临的风险级别的过程,是风险管理的基础。通过风险评估确定系统中的残余风险,并判断该风险级别是否可以接受或需要实施附加措施来进一步降低。
风险分析:是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。
信用(credit):是个人或组织被他人信任的程度,守承诺的程度。
电商安全内容:计算机网络安全(计算机网络设备安全,计算机网络系统安全,数据库安全等)、商务交易安全(商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保证电子商务交易的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可抵赖性)。
公钥密码体制的原理:公钥密码算法的最大特点是采用两个相关密钥将加密和解密能力分开,其中一个密钥是公开的,用于加密,称为公开密钥,简称公开钥;另一个密钥是用户专用,因而是保密的,数据完整性 PKI的体系结构:1认证机构CA 2证书和证书库3密钥备份及恢复4证书作废处理系统5客户端证书处理系统 数字证书使用流程:电子商务应用中主要有以下五个交易参与方:买家、服务商、供货商、银行和认证中心(CA)。交易流程主要有以下三个阶段: 第一阶段:认证中心(CA)证书的注册申请。交易各方通过认证中心(CA)获取各自的数字安全证书。第二阶段:银行的支付中心对买家的数字安全证书进行验证,通过验证后,将买家的所付款冻结在银行中。此时服务商和供应商也相互进行数字安全证书的验证,通过验证后,可以履行交易内容进行发货。第三阶段:银行验证服务商和供货商的数字安全证书后,将买家冻结在银行中的货款转到服务商和供货商的户头上,完成了此项电子交易。数字签名原理:发送方使用Hash编码算法(SHA)加密,从报文中生成一个散列值(数字摘要),用自己的私钥对此进行加密,形成发送方的数字签名,并作为报文的附件与报文一起发送给接收方。接受方首先从收到的原始报文中算出数字摘要,再用发送方的公钥对报文的数字签名解密;如果生成的两个数字摘要相同,接受方就可以确定该数字签名是发送方的 基于角色访问控制:手机病毒大致有以下四类:(1)EPOC病毒(2)Trojan horse病毒(3)Unavailable病毒(4)Hack-mobile.smsdos病毒 企业电子商务信息安全管理流程: 电子商务信息服务流程: 电子商务信息安全处理架构:第一层:网络层安全;二层:内容与应用流程安全;三层:认证;四层:授权。电子商务系统维护工作内容:1)提出修改的要求可由接触系统的全体人员提出来,只是不能直接向程序员提出,必须以书面的形式向主管人员提出,说明要求修改的内容及原因。(2)由系统主管人员根据系统购情况(功能、目标、效率等)和工作的情况(人员、时间、经费等)来考虑这种修改是否必要、是否可行、是否迫切,从而作出答复:是立即修改,还是以后修改。(3)系统主管人员把修改要求汇集成批,指明修改的内容要求、期限。由于修改要求是不断提出的,所以,系统不能随提随改,必须有计划地一批一批地修改。一般都用版本编号的办法来加以控制。4)在指定的期限内,由系统主管人员验收程序员所修改的部分,并在一个统一的时间,把若干个新模块加人系统,以取代旧的模块,新的功能开始生效。
多。
5、犯罪证据难获取。
6、犯罪具有隐蔽性。
7、犯罪危险影响区域广。
8、犯罪具有连续性。
9、高犯罪黑数。
10、犯罪危害大 社会防控体系的内容:1防控体系以抑制电子商务犯罪和网络犯罪为主要目标,以针对现有防控机制弱和不足的再防控为主要方向2防空体系在控制形成上具有对多重要求和多方选择的容纳能力,既有组织、环境、社区、群体、个体交叉配合,也有对罪前、罪中、罪后防范的介入,还有对社会心理、群体心理、个体心理的渗透3防控体系在决策控制中心化和职责分散化的对立统一中,建立多元化的管理机制,并通过资源的合理配置提高工作效率、监视运行成本4防控体系具备对违法者、被害者的自然监督能力和震慑能力5完善防控体系的功能,实现防控体系目标的首要任务是提高司法体系效能。信息安全风险管理的历史:(一)初级阶段时期(二)标准化时期(三)安全风险管理策略时期 风险管理的内容: 风险管理由三个部分组成:风险评估、风险处理以及基于风险的决策 风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。风险计算原理: 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性,Ia表示安全事件所作用的资产重要程度,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性,F表示安全事件发生后产生的损失。风险处理的过程:1对优先级进行排序2评估所建议的安全措施3实施成本效益分析4选择安全措施5分配责任和任务6制定安全措施的实现计划7实现所选择的安全措施 电子商务信用体系的构成:信用体系第一层是政府,负责信用立法与执法;第二层是行业协会,负责准入、评定、制订游戏规则;第三层是中介机构,负责信用服务;第四层是企业与消费者
第二篇:东华理工大学电子商务安全与支付缩印版
1电子商务:当事人或参与人利用现代信息技术和计算机网络所进行的各类商业活动
2电子商务发展中存在的问题:商业信用问题;电子支付安全保障;网络广告;垃圾邮件;个人信用盗用;
3电子商务面临的安全威胁:
物理完全,主要包括环境,设备,和媒介安全 网络安全:最重要的是内部网和外部网之间的访问控制问题,容易遭到黑客攻击
网络病毒;黑客攻击;电子商务网站自身的安全问题
4电子商务交易风险:
在线交易主体的市场准入:从事营利性事业的主体都必须进行工商登记
信息风险;信用风险;网上欺诈犯罪;电子合同问题;电子支付问题;在线消费保护问题:购物方面的法律约束,比如退款之类和信息是否被购物网站泄露;电子商务中产品安全支付;虚拟财产保护 5电子商务的安全要素
一个安全的电子商务系统要求做到真实性、机密性、完整性和不可抵赖性等。
真实性:在进行电子商务交易时首先要保证身份的可认证性。
保密性:对敏感信息进行加密
有效性:贸易数据在确定的时刻、确定的地点是有效的。
完整性:信息在数据发送、传输和接收过程中始终保持原有的状态。
不可抵赖性:在电子交易过程的各个环节中都必须保存完整的记录并且不可更改 6电子支付存在的问题
银行支付系统互联互通有待时日 对更有效的安全机制的探讨 支付标准有待提高社会诚信体系尚未建立 7电子商务的安全技术保障
防火墙技术:在内部网和外部网之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,由其进行检查和连接。
加密技术:是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。认证技术:
8防火墙:是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访,用来保护内部网络。9防火墙的5大基本功能 过滤进,出网络的数据 管理进,出网络的访问行为 封堵某些禁止的业务
记录通过防火墙的信息内容和活动 对网络攻击检查和警报 10防火墙的分类:
线路级网关:它工作在会话层,它在两个主机首次建立TCP连接时创立一个电子屏障,监视两主机建立连接时的握手信息 包过滤路由器:检查所通过数据包合法性的路由器,它对外部用户传入局域网的数据包加以限定。应用网关:它的逻辑位置是在OSI七层协议的应用层上。它主要采取应用协议代理服务的工作方式实施安全策略。
双重基地型网关:使用了一个含有两个网络接口的应用网关,并将其接在内部网和包过滤路由器之间,信息服务器则接在二者之间。
屏蔽主机防火墙:防火墙的应用网关只需要单个网络端口,并以物理方式连接在包过滤。路由器的网络总线上。但是其工作的逻辑位置仍然是在应用层,所有的通信业务都要通过它的代理服务。
屏蔽主网防火墙:使用了两个包过滤路由器,从而形成了一个子网的态势。在理论上,该种防火墙当然可以连接多个子网,构成一个完善的综合防御体系
11包过滤型防火墙:在路由器上实现。包过滤防火墙通常只包括对源和目的IP地址及端口的检查。包过滤防火墙的安全性是基于对包的IP地址的校验。12物理隔离技术:物理隔离产品主要有物理隔离卡和隔离网闸。物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。物理隔离网闸由物理隔离网络电脑和物理隔离系统交换机组成。其中,物理隔离网络电脑负责与物理隔离交换机通信,并承担选择内网服务器和外网服务器的功能。物理隔离交换机实际上就是一个加载了智能功能的电子选择开关。物理隔离交换机不但具有传统交换机的功能,而且增加了选择网络的能力 13入侵检测系统:入侵检测系统帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遇到袭击的迹象。14对称加密技术:在对称加密技术中,加密和解密过程采用一把相同的密钥,通信时双方都必须具备这把密钥,并保证密钥不被泄露。通信双方先约定一个密钥,发送方使用这一密钥,并采用合适的加密算法将所要发送的明文转变为密文。密文到达接收方后,接收方用解密算法,并把密钥作为算法的一个运算因子,将密文转变为原来的明文 15公钥加密技术:公钥密码体制对数据进行加密解密时使用一对密码,其中一个用于加密,而另外一个用于解密,这两个密码分别称为加密密钥和解密密钥,也称为公钥和私钥,它们在数学上彼此关联。加密密钥可以向外界公开,而解密密钥由自己保管,必须严格保密
16加密技术的各种算法
(1)移位法,就是移位代替密码,就是将明文字母表字母循环左移k位,构成密文字母表(2)RSA算法
选取两个大素数,p和q。为了保证最大的安全性,p和q的长度应该相近,加密密钥e(公开),计算出解密密钥d n = pq
φ(n)=(p-1)(q-1)d = e-1 mod φ(n)
c= me mod n(c为密文,m为明文)例子:选两个素数p = 11,q = 5,那么n = pq = 55,φ(n)=(p-1)(q-1)= 10×4 = 40 d = 3-1 mod 40 = 27。(若e=3)(3)置换算法 例子
How are you{ 0.1.2.3} 明,good{1,3,0,2}密 对齐
Howa reyo uxxx(不足位都补X)
第一个数h 在明文中找到0,再返回密文中对应找到0,接着根据米为的0.往上对,是2,则转换后的下标是2,再到外来的明文中找到下标是2的字母,则h转换后为w.(4)还有个什么维吉尼亚算法
Ci=(mi+ki)mod26 就是根据字母表顺序,找到其下标 例子
How are you good对齐
How are you Goo dgo odg
0 1……….所以Ci=(mi+ki)mod26
a b ………h转换后=(6+7)mod26=13即n(5)横填纵读法 例子:
电子商务安明:电子商务安全与支付 权与支付密:店权子与商支务付安 17数字签名 :利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性。基本要求:
(1)签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签名的。
(2)签名是不可伪造的。签名证明是签字者而不是其他的人在文件上签字。
(3)签名不可重用。签名是文件的一部分,不可能将签名移动到不同的文件上。
(4)签名后的文件是不可变的。在文件签名以后,文件就不能改变。
(5)签名是不可抵赖的。签名和文件是不可分离的,签名者事后不能声称他没有签过这个文件。18数字证书:数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。
数字证书的结构:证书的版本信息;电子身份证;由CA签发;用户信息与私钥的绑定;证书有效期;证书包含的内容
数字证书的作用:文件加密;数字签名;身份认证 19 PKI的基本概念及其组成部分。
PKI技术采用证书管理公钥,通过第三方的可信任机构--认证中心CA把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份。PKI由以下几个基本部分组成:认证机构(CA)、注册机构(RA)、证书库 密钥备份和恢复、系统证书、废除系统 自动密钥更新、密钥历史档案 应用程序接口、-最终用户
证书申请者是证书的持有者,证书的目的是把用户的身份与其密钥绑定在一起,用户身份可以是参与网上交易的人或应用服务器。根据PKI的管理政策,注册机构(RA)的主要功能是核实证书申请者的身份。
26简述CA的主要职责
认证中心(CA)是PKI机制中的核心,它主要负责产生、分配并管理用户的数字证书。证书库存放了经CA签发的证书和已撤销证书的列表,用户可使用应用程序,从证书库中得到交易对象的证书、验证其证书的真伪、查询其证书的状态。(1)批准RA提交的证书请求;(2)生成密钥对;
(3)提供密钥的备份与恢复功能;
(4)受理用户或RA的证书撤销请求,完成证书的作废处理,发布并维护证书撤销表CRL;
(5)生成CA根证书,支持根认证中心的密钥生成和备份功能;
(6)签发用户证书,并将签发的证书发布到证书库中;(7)支持不同CA用户之间的交叉认证。20身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证,用户与主机之间的认证可以基于如下一个或几个因素:用户所知道的东西:例如口令、密码等,用户拥有的东西,例如印章、智能卡(如信用卡等);用户所具有的生物特征:例如指纹、声音、视网膜、签字、笔迹等。21电子商务标准的作用和意义
标准是电子商务整体框架的重要组成部分
电子商务相关标准为实现电子商务提供了统一平台 电子商务标准是电子商务的基本安全屏障
电子商务标准关系到国家的经济安全和经济利益 22电子商务安全的体系结构
电子商务交易安全保障体系是一个复合型系统:它是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统。它是由商业组织本身与信息技术系统复合构成的;网结合是电子商务安全保障的本质特征;子商务交易安全是一个动态过程 23电子商务支付系统的功能是什么?
(1)使用数字签名和数字证书实现对各方的认证。(2)使用加密技术对业务进行加密。
(3)使用消息摘要算法以确认业务的完整性。(4)当交易双方出现纠纷时,保证对业务的不可否认性。
(5)能够处理贸易业务的多边支付问题。24网络货币有哪几种形式? 1)。信用卡型网络货币,即在Internet网上使用的信用卡,是目前Internet网上支付工具中,使用积极性最高、发展速度最快的一种。
2)电子现金,是一种以电子数据形式流通的货币。3)电子支票,是普通纸质支票的电子版。这种支会方式必须有第三方来证明这个支付是有效的经过授权的。
4)电子钱包,电子钱包是顾客在网上贸易购物活动中常用的一种支付工具,是小额购物或购买小商品时常用的新式钱包。电子钱包具有如下功能:
一、电子安全证书的管理:包括电子安全证书的申请、存储、删除等;
二、安全电子交易:进行SET交易时辨认用户的身份并发送交易信息;
三、交易记录的保存:保存每一笔交易记录以备日后查询
25电子支付 :所谓电子支付是指进行电子商务交易的当事人(包括消费者、厂商和金融机构)使用安全手段和密码技术通过电子信息化手段进行的货币支付和资金流转。它无须任何实物形式的标记,以纯粹电子形式的货币,一般以二进制数字的方式保存在计算机中。
26电子货币:电子货币是一种使用电子数据信息、通过计算机网络及通讯网络进行金融交易的货币。电子货币也叫网络货币。
27网上银行:网上银行就是借助计算机、互联网及其他电子通讯设备提供各种金融服务的银行机构。网上银行以网站的形式,在互联网上开展业务。28网上支付系统的3种基本类型
1.基于信用卡的网上支付系统:信用卡支付是美国等发达国家进行日常消费的一种常用支付工具,使用简单方便。先后在网上出现的信用卡支付系统有无安全措施的信用卡支付、通过第三方代理人的信用卡支付、简单加密信用卡支付和基于SET的信用卡支付等几种信用卡网上支付模式。2.电子现金网上支付系统:电子现金主要包括两类:一类是币值存储在IC卡上的电子钱包卡形式;另一类则是以数据文件的形式存储在计算机的硬盘上。由此,电子现金网上支付系统包括电子钱包卡模式与纯数字现金模式两种。3.电子支票网上支付系统
为了保证电子支票的安全传输和方便使用,国际金融机构为此建立了专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议。在线的电子支票可在收到支票时即验证出票者的签名、资金状况,避免了传统支票常发生的无效或空头支票的现象。
29电子现金支付方式存在的问题
(1)目前,只有少数商家接受电子现金,而且只有少数几家银行提供电子现金开户服务,给使用者带来许多不便。(2)成本较高。
(3)存在货币兑换问题。由于电子现金仍以传统的货币体系为基础,因此从事跨国贸易就必须要使用特殊的兑换软件。
(4)风险较大。如果某个用户的计算机存储器损坏了,电子现金也就丢失了,钱就无法恢复。30电子支票交易的过程:
(1)消费者和商家达成购销协议并选择使用电子支票支付;
(2)消费者通过网络向商家发出电子支票,同时向银行发出付款通知单;
(3)商家通过验证中心对消费者提供的电子支票进行验证,验证无误后将电子支票送交银行索付;(4)银行在商家索付时通过验证中心对消费者提供的电子支票进行验证,验证无误后即向商家兑付或转账。
31移动支付是使用移动设备通过无线方式完成支付行为的一种新型的支付方式
按照支付媒介分类,移动支付可分为两种:基于电话账单的移动支付和基于电子钱包的移动支付。(1)电话账单:通过电话账单进行支付,不需要银行以及信用卡公式的介入,移动运营商将用户交易结算所产生的费用和电话账单费用合并成为一张账单,并寄给用户,大大减少了支付环节,降低了支付成本,而且使用步骤简单,是一种非常理想的微支付手段。使用电话账单进行支付的缺点在于,支付金额不能超过100元,限制很大;另一方面,电话账单和支付账单难以区分。
(2)手机钱包:手机钱包可以分为两大类,一类是通过将手机号码与银行账号进行关联,利用建设好的支付系统进行支付,而后实时或非实时地从信用卡或是银行账户中扣款;另一类是将智能芯片卡内置于移动电话中,通过手机支付时,手机可以直接向智能卡存储数据。
32第三方支付平台是属于第三方的服务型中介机构,它主要是面向开展电子商务业务的企业提供与电子商务支付活动有关的基础支撑与应用支撑的服务。
特点: 安全、简单、快捷 存在意义:
(1.第三方支付企业是互联网支付的枢纽(参见图7-4)。
(2.在支付活动中,第三方支付企业充当各个银行的代理人为商户提供互联网支付产品,通过支付网关为商户提供多种支付工具的支付功能。(3.第三方支付平台作为中介方,可以促成商家和银行的合作。
(4.对于商家,第三方支付平台可以降低企业运营成本,(5.对于银行,可以直接利用第三方的服务系统提供服务,帮助银行节省网关开发成本。优点:
1.比较安全,信用卡信息或账户信息仅需要告知支付中介,而无需告诉每一个收款人,大大减少了信用卡信息和账户信息失密的风险;
2.支付成本较低,支付中介集中了大量的电子小额交易,形成规模效应,因而支付成本较低; 3.使用方便。对支付者而言,他所面对的是友好的界面,不必考虑背后复杂的技术操作过程; 4.支付担保业务可以在很大程度上保障付款人的利益。
33电子支付和传统支付相比具有的特征:
①电子支付是在开放的网络系统中以先进的数字流转技术来完成信息传输,采用数字化的方式进行款项支付的,是一种新型的支付活动。传统的交易方式以传统的通信媒介通过现金流转,票据转让和银行的汇兑等物理实体来完成款项的支付。
②电子支付具有方便、快捷、高效、经济的优势,支付费用比传统方式低廉。
③电子支付工具、支付过程具有无形化的特征。④安全性有了新的要求。34SSL安全协议
是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,它涉及所有TC/IP应用程序。SSL安全协议主要提供三方面的服务: 保护用户和服务器的合法性;认证加密数据以隐藏被传送的数据;保护数据的完整性。35SET安全协议
安全电子交易(Secure Electronic Transaction,简称SET)是由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定的应用于Internet上的以银行卡为基础进行在线交易的安全标准。它采用公钥密码体制和X.509数字证书标准,主要应用于B to C模式中保障支付信息的安全性。SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,是目前公认的信用卡/借记卡的网上交易的国际安全标准。
36电子商务网上支付风险: 分为两大部分:计算机网络风险和商务交 易风险。
(一)计算机网络风险
计算机网络风险包括:计算机网络设备风险、计算机网络系统风险、数据库
风险等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强
方案,以保证计算机网络自身的安全性为目标。(二)商务交易风险
商务交易风险是传统商务在互联网络上应用时产生的各种安全问题,在计算
机网络安全的基础上保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。电子商务的形式多样,涉及的安
全问题各不相同,但其中最核心和最关键的问题就是交易的安全性。一般来说商
务安全屮普遍存在着以下几种安全隐患:窃取信息、篡改信息、假冒、恶意破坏。37国际电子商务立法主要内容和特点
市场准入、税收、电子商务合同、电子支付、安全与保密、知识产权、隐私权的保护
从上述国际电子商务立法的发展和主要内容来看,其特点有:国际立法的超前性、提供宽松、简约的电子商务的法制环境、电子商务立法修改的频繁性 38电子商务安全法律要素包括哪些内容。
有关CA中心的法律、有关保护个人隐私、个人秘密的法律、有关电子合同的法律、有关电子商务的消费者保护权益保护法、有关网络知识产权保护的法律。
39入侵检测系统分类:误用检测和异常检测。误用检测即基于特征的检测。首先根据已知的攻击行为建立一个特征库,然后提取系统当前动作到特征库中进行匹配,如果匹配则表明当前动作是一个入侵行为。优点是误报率低,但由于攻击行为多,特征库会变得很大,并只能检测到已知的攻击行为。异常检测即基于行为的检测。原理是建立一个正常的特征库,根据使用者的行为或资源使用情况来判断是否入侵。优点是与系统关联不大,通用性强,有可能检测到以前未出现过的攻击方法。
第三篇:电子商务安全管理论文
文 章来
源莲山 课
件 w w w.5Y
k J.Com 7
摘要:防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文从防火墙的概念和技术出发,详细分析了防火墙的功能,并对其保证安全方法的不同进行了分类研究。
关键词:信息安全防火墙过滤代理迁移
在信息社会中,信息具有和能源、物源同等的价值,在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题,对于企业更是如此。经济社会的发展更要求各用户之间的通信和资源共享,需要将一批计算机连成网络才能保证电子商务活动的正常开展,这样就带来了更多的安全隐患。特别是对当今最大的网络——国际互联网,很容易遭到别有用心者的恶意攻击和破坏。信息的泄露问题也变得日益严重,因此,计算机网络的安全性问题就变得越来越重要。
如何来保证计算机网络的安全性呢?方法虽然很多,但防火墙技术绝对是其中最高效、实用的方法之一。在构建安全的网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。通常一个公司在购买网络安全设备时,总是把防火墙放在首位。目前,防火墙已经成为世界上用得最多的网络安全产品之一。那么,防火墙是如何保证网络系统的安全,又如何实现自身安全的呢?本文从防火墙的概念出发,详细分析了防火墙的功能,并按其保证安全方法的不同进行了分类:包过滤式防火墙、服务代理式防火墙、地址迁移式防火墙等。
一、防火墙介绍
防火墙是指一种将内部网和公众访问网分开的方法,是网络之间一种特殊的访问控制设施。在Internet网络与内部网之间设置的一道屏障,防止黑客进入内部网,由用户制定安全访问策略,抵御各种侵袭的一种隔离技术。它能允许你“同意”的人和数据进入你的网络,将“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息;能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作;能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙的安全技术包括包过滤技术、代理技术和地址迁移技术等。
二、防火墙的作用
1.作为网络安全的屏障
只有经过精心选择的应用协议才能通过防火墙,可使网络环境变得更安全。如防火墙可以禁止NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如Ip选项中的源路由攻击和ICMp重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
3.可以对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等也是非常重要的。
4.可以防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
三、防火墙的技术分类
1.包过滤技术(packet Filter)式防火墙
包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址,以及包所使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的Ip地址和接收者的Ip地址。当这些包被送上互联网时,路由器会读取接收者的Ip并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的Ip地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一Ip为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者“有问题”的国外站点。包过滤路由器的最大的优点就是它对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常做为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的。如“信息包冲击”是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的Ip地址已经被替换掉了,取而代之的是一串顺序的Ip地址。一旦有一个包通过了防火墙,黑客便可以用这个Ip地址来伪装他们发出的信息。通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录;此外,配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止ip地址盗用。所以说包过滤型防火墙是某种意义上的安全系统。
2.代理服务式防火墙
代理服务是另一种类型的防火墙,它通常是一个软件模块,运行在一台主机上。代理服务器与路由器的合作,路由器实现内部和外部网络交互时的信息流导向,将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。代理服务的实质是中介作用,它不允许内部网和外部网之间进行直接的通信。
用户希望访问内部网某个应用服务器时,实际上是向运行在防火墙上的代理服务软件提出请求,建立连接;理服务器代表它向要访问的应用系统提出请求,建立连接;应用系统给予代理服务器响应;代理服务器给予外部网用户以响应。外部网用户与应用服务器之间的数据传输全部由代理服务器中转,外部网用户无法直接与应用服务器交互,避免了来自外部用户的攻击。通常代理服务是针对特定的应用服务而言的,不同的应用服务可以设置不同的代理服务器。目前,很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性,并且取得了较好的效果。
3.地址迁移式防火墙
由于多种原因,Ipv4地址逐步面临耗尽的危机,而Ipv6的实际应用还有待时日。随着企业上网的人数增多,企业获得的公共Ip地址(称全局Ip地址,或者实际Ip地址)可能难以和企业上网的实际设备数目匹配,这种现象具有加剧的倾向。一种可能的解决方案是为每个企业分配若干个全局Ip地址,企业网内部使用自定义的Ip地址(称为本地Ip地址或者虚拟Ip地址)。当内外用户希望相互访问时,专门的路由器(NAT路由器)负责全局/本地Ip地址的映射。NAT路由器位于不同地址域的边界处,通过保留部分全局Ip地址的分配权来支持Ip数据报的跨网传输。其工作原理:(1)地址绑定(静态或者动态的建立本地/全局地址的映射关系);(2)地址查找和转换(对数据报中的相关地址信息进行修改);(3)地址解绑定(释放全局地址)。
地址迁移式防火墙实际上融合了分组过滤和应用代理的设计思想,可以根据应用的需求限定允许内外网访问的结点;可以屏蔽内网的地址,保证内网的安全性。数据报分析是NAT路由器必须做的工作(例如,修改Ip数据报携带的高层协议数据单元中的地址信息),因此可以有选择地提供/拒绝部分跨网的应用服务。
四、小结
在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。随着电子商务的不断发展,防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。
参考文献:
[1]高峰许南山:防火墙包过滤规则问题的研究[J].应用,2003,23(6)
[2]赵启斌梁京章:防火墙过滤规则异常的研究[J].工程,2005.12
[3]谢希仁:计算机网络技术[M].北京:电子工业出版社,1999
文 章来
源莲山 课
件 w w w.5Y
k J.Com 7
第四篇:IT项目管理缩版
1、项目:一个特殊的将被完成的有限任务,它是在一定时间内,满足一系列特定目标的多项相关工作的总称。
2、项目管理:以项目为对象的系统管理方法,通过一个临时性的、专门的柔性组织,运用相关的知识、技术和手段,对项目进行高效率的计划、组织、指导和控制,以实现项目全过程的动态管理和项目目标的综合协调与优化。
3、项目管理与一般作业管理的区别 项目管理:①充满了不确定因素②跨越部门的界限③有严格的时间期限要求。项目管理必须通过不完全确定的过程,在确定的期限内生产出不完全确定的产品,日程安排和进度控制常对项目管理产生很大的力。
一般的作业管理:①注重对效率和质量的考核②注重当前执行情况与前期进行比较。在典型的项目环境中,尽管一般的管理办法也适用,但管理结构须以任务(活动)定义为基础来建立,以便进行时间、费用和人力的预算控制,并对技术、风险进行管理。
4、配置管理:配置管理是一套成文的程序,用于对技术和行政指挥管理进行指导和监督:1.识别一个工作项或系统的功能和物理特征,并形成文档。2.控制对这些特征所做的任何变更。3.记录和报告这些变更及其执行情况。4.审计这个工作项和系统,以证实其与要求相一致。在许多应用领域,配置管理是变更控制系统的一个子集,用于确保项目产品描述的正确性和完整性。然而,在一些应用领域,变更控制是指对项目变更所进行的任何系统管理。
(配置管理是指用于控制系统一系列变化的学科。通过一系列技术,方法和手段来维护产品的历史,鉴别和定位产品独有的版本,并在产品的开发和发布阶段控制变化。通过有序管理和减少重复性工作,配置管理保证了生产的质量和效率。)……第八章
5、项目综合管理:又称为项目整体管理、集成管理等。
项目综合管理的综合性、整体性或集成性体现在: 1)项目管理中的不同知识领域的活动项目相互关联和集成;
2)项目工作和组织的日常工作相互关联和集成; 3)项目管理活动和项目具体活动(例如和产品、技术相关的活动)相互关联和集成。
同时,项目综合还必须考虑以下方面:项目工作和项目管理与组织日常运作的结合;项目范围与产品范围的匹配等。
6、项目综合管理的过程是:
1.项目计划的制定--吸收其他规划程序的成果,制定内容充实、结构紧凑的项目文件。2.项目计划的实施--通过项目执行组织的具体活动执行这项计划。3.全程变化控制--协调全部项目内部的变化过程。
7、为项目计划执行所采用的工具和技术:
1.普通管理技能。普通管理技能如领导艺术、信息交流和协商组织等,都对项目计划的实施产生实质性的影响。
2.生产技能和知识。项目团队必须适当地增加一系列有关项目生产的技能与知识的学习。这些必要的技能被作为项目规划(尤其是资源规划阐述的)的一部分得以确认,并通过人员的组织过程来获取、体现。3.工作分配系统。工作分配系统是为确保批准的项目工作能按时、按序地完成而建立的正式程序。基本的方式通常是以书面委托的形式开始进行工作活动或启动工作包。一个工作分配系统的设计,应该权衡实施控制收入与成本之间的关系。
4.形势评论会。形势评论会是把握有关项目信息交流的常规会议。在许多项目中,形势分析会以各种不定期的和不同级别的形式召开。5.项目管理信息系统。
6.组织管理程序。项目的所有组织管理程序包括了运用在项目实施过程中的正式的和非正式的程序。
8、风险管理过程:
(利用科学的方法去识别风险、评价风险并设计、实施有效的方法去控制风险 的过程,就是风险管理过程。)……第七章
(1)风险计划编制:决定如何采取和计划一个项目的风险管理活动。
(2)风险识别:确认哪些风险有可能会影响项目,并把这些风险的特性整 理成文档。
(3)风险定性分析:对项目风险和条件进行定性分析,将它们对项目可能 产生的影响进行排序。
(4)风险定量分析:测量风险出现的概率和结果,并评估它们对项目的影 响。
(5)风险应对计划编制:开发和制定一些程序和技术手段,用来提高实现
项目目标的机会和减少风险对项目的目标的威胁。(6)风险监控:在项目的整个生命周期中,监视残余风险、识别新风险,执行降低风险计划,以及评价这些工作的有效性。
9、软件项目风险产生的原因:
①产品定位错误(包括市场定位)②人员流动③项目管理失败④开发目标不明确或摇摆不定⑤开发计划执行受到严重影响⑥技术方案有缺陷⑦项目经费超支或不足⑧开发环境及过程管理混乱⑨产品质量低劣⑩需求发生变化
10、单元测试的内容主要是:
算法逻辑、数据定义的理解和使用、接口、各种CASE路径、边界条件、错误处理等。
(单元测试是在软件开发过程中要进行的最低级别的测试活动,软件的独立单元将在与程序的其他部分相隔离的情况下进行测试。)……百度
11、软件质量度量的实施步骤:
(1)确定软件质量需求:在用户需求中,除功能需求外,还有非功能需求,包括:质量需求、环境需求、设计约束、开发策略等。质量需求是用户比较关心的内容。过程:
需求获取:首先,你要理解用户的需求,区分哪些是质量需求,把这些需求记录下来,获得用户的确认。需求分析:拿到用户确认的需求后,你可以开始把用户的质量需求与我们设定的质量特性联系起来,一直区分到子特性。这种联系,就是把用户语言描述的需求,转变为计算机工程师语言的需求。建立了这种关联后,可以根据分类,分级,确定直接度量。(2)确定直接度量直接度量就是实际的软件质量测量活动,它的输入是软件或软件过程,输出是一个测量值。它通过执行一系列的任务,获得一个质量值。(3)分析度量结果对度量过程进行跟踪和分析,需要时,可能会对度量程序、度量工具、度量方法,甚至原始数据,做出补充和调整。
(4)确认质量度量在度量过程中,进行度量结果的确认非常重要。首先,要确认度量过程是否与事实相符,脱离现实真实的度量,与目标再相符的结果也是没有意义的。其次,是确认方法的有效性(5)其他度量
• 分析模型的度量(对分析模型的度量以测试系统的大小)
• 设计模型的度量(度量体系结构、数据和系统的复杂度)• 源代码的度量(度量程序的长度、层次、开发量、时间等)
• 对测试的度量(度量测试的宽度、深度、错误的级别)
• 对维护的度量(度量软件的稳定性
(软件质量度量:一个函数,它的输入是软件数据,输出是一个单一数值。它可解释为给定的软件属性对其质量的影响程度)……第六章
12、测试类型:
在不同阶段,测试的类型也不相同,常有的测试类型是:
(1)功能测试:软件实现的功能是否符合需求规格说明书中定义的功能;
(2)性能测试:软件在规定配置下的性能是否符合需求规定;
(3)算法测试:确认实现的算法的正确性;
(4)正向测试:按照用户正常的理解、操作方式、思维和使用习惯使用软件,得到的结果是否与需求一致。
(5)逆向测试:如果不按用户正常的理解、操作发生、思维和使用习惯使用软件,软件是否能正确地进行处理。如:无效操作、错误的数据输入处理、非法进入等。
(6)边界测试:按软件的限制、假设条件的边界输入,进行测试。
(7)配置测试:对软件环境进行配置变化,软件需求实现,特别是性能实现是否能符合需求规定要求。(8)负载测试:在业务处理量、数据负载量、通讯负载量达到何种情况,系统的性能变化和承载能力情况。
13、基线
在软件工程环境中,基线是指在软件开发过程中的里程碑,这些里程碑的标志是一项或多项经过正式的技术评审并一致认同的软件制品的提交。
指一个(或一组)配置项在项目生命周期的不同时间点上通过正式评审而进入正式受控的一种状态。
14、里程碑
完成阶段性工作的标志,不同类型的项目里程碑不同。里程碑在项目管理中具有重要意义。
15、项目参与人:
项目参与人是指项目的参与各方。
简单项目:假日旅行只有自己参与,生日家宴只有主人和客人两方参与。
大型复杂的项目往往有多方面的人参与,例如建设方、投资方、贷款方、承包人、供货商、建筑/设计师、监理工程师、咨询顾问等。他们往往是通过合同和协议联系在一起,共同参与项目。和这种情况下,项目参与人往往就是相应的合同当事人。建设方通常都要聘用项目经理及其管理班子来代表业主对项目进行管理。实际上项目的各方当事人需要有自己的项目管理人员。
软件项目:甲方、乙方,第三方
16、项目的特点:多目标性、独特性/一次性、生命周期属性、对资源的依赖性、与干系人的冲突属性、IT项目的不确定性。
17、确定工作时间的主要方法:
答:1)专家判断:专家判断主要依赖于历史的经验和信息,当然其时间估计的结果也具有一定的不确定性和风险。
2)类比估计:类比估计意味着以先前的类似的实际项目的工作时间来推测估计当前项目各工作的实际时间。当项目的一些详细信息获得有限的情况下,这是一种最为常用的方法,类比估计可以说是专家判断的一种形式。
3)单一时间估计法:估计一个最可能工作时间。(对应于CPM网络)
4)三个时间估计法:估计工作执行的三个时间,乐观时间a、悲观时间b、正常时间m。(对应于PERT网络)期望时间 t=(a+4m+b)/618、验收测试:通常由项目组先提出测试大纲,定义测试目的、范围、方法、测试用例、预期结果、验收标准等。经用户同意批准,可能包括用户的修改、增加后,确定测试时间,开始进入验收测试。
19、单元测试和验收测试有什么区别?
1)单元测试可以类比为一个建筑的质检人员对建筑进行的检测,他关注的重点是要保证施工满足建筑上面的质量标准。
2)验收测试可以类比为建筑的使用者来对建筑进行的检测。他关心建筑的外观是否美观、是否能够满足家庭的需要等。这里,建筑的使用者执行的就是验收测试,他是从用户的角度出发的。3)正是这种角度的不同决定了单元测试和验收测试之间的区别。它们是对系统的不同的方面进行的测试,二者是互相补充的。不管我们在系统的构建中使用了多么聪明的方法,不管我们的系统是多么的灵活,但是首先我们的产品必须是可用的,否则我们所做的就是浪费时间,从这一点上来说验收测试要比单元测试显得更加重要。
20、常用的软件测试类型是:在不同阶段,测试的类型也不相同,常有的测试类型是:
(1)功能测试:软件实现的功能是否符合需求规格说明书中定义的功能;
(2)性能测试:软件在规定配置下的性能是否符合需求规定;
(3)算法测试:确认实现的算法的正确性;
(4)正向测试:按照用户正常的理解、操作方式、思维和使用习惯使用软件,得到的结果是否与需求一致。
(5)逆向测试:如果不按用户正常的理解、操作发生、思维和使用习惯使用软件,软件是否能正确地进行处理。如:无效操作、错误的数据输入处理、非法进入等。
(6)边界测试:按软件的限制、假设条件的边界输入,进行测试。
(7)配置测试:对软件环境进行配置变化,软件需求实现,特别是性能实现是否能符合需求规定要求。(8)负载测试:在业务处理量、数据负载量、通讯负载量达到何种情况,系统的性能变化和承载能力情况。
21、项目管理过程组:项目管理过程可以被分为五组,每组有一个或多个过程组成:
· 启动过程组:确定一个项目或一个阶段可以开始了,并要求着手实行。
· 计划过程组:进行计划并且保持一份可操作的进度安排,确保实现项目的既定商业目标。
· 执行过程组:协调人力和其它资源,执行计划。· 控制过程组:通过监督和检测过程确保项目达到目标,必要时采取一些修正措施。
· 结束过程组:取得项目或阶段的正式认可并且有序地结束该项目或阶段。
过程组通过各过程组的结果进行连接:
一个过程组的结果或输出是另一个过程块的输入。在核心过程组间,过程组反复进行迭代--计划在开始时为执行提供了一份书面的项目计划,随后又给项目计划提供一份更新的书面文件,以示项目的进程。
另外,项目管理过程组不是相互分立的、一次性的事件;在整个项目的每一个阶段它们都会不同程度的相互交迭。
22、范围
产生项目产品所包括的所有工作及产生这些产品所用的过程——产品、过程
产品范围界定——产品范围的特征和功能包含在产品或服务中。
工作范围界定——项目工作的完成,为的是能交付一个有特殊特征和功能的产品。
24、范围管理的过程:启动、范围计划编制、范围定义、范围核实和变更控制。
25、范围管理:
对项目包括什么和不包括什么的定义与控制过程。这个过程用于确保项目组和项目干系人对作为项目结果的项目产品以及生产这些产品所用到的过程,有一个共同的理解。
26、工作分析结构:
一个工作分析结构是项目要素的一个子项目定位组,是对项目总范围的组织和界定:如果这个工作不是WBS系统内的,那么,这就是项目范围以外的工作。作为范围阐述,这个WBS通常是用来开发或巩固一个达成共识的项目范围。项目的划分每降低一个层次阐述,就要增加一个项目要素的详细描述。
27、项目的特征是什么? 项目有开始、结束,分为不同的生命周期,有一个 预算,有独特的、非重复的、相互联系的活动。项目是一个团队合作的工作,但责任由一个人(项目经理)承担,老板可能有几个。项目的成本具有不确定性。在项目中,冲突无处不在。
28、软件项目管理:就是为了使软件项目能够按照预定的成本、进度、质量顺利完成,而对人员(People)、产品(Product)、过程(Process)和项目(Project)进行分析和管理的活动。软件项目管理先于任何技术活动之前开始,并且贯穿于软件的整个生命周期。IT项目管理:是项目管理在IT领域的应用,结合IT行业特点运用项目管理技术、理念和方法,包括9大知识领域(项目综合、范围、时间、成本、质量、人力资源、沟通、风险和采购管理)以及启动、计划、实施、控制和收尾等过程组。
29、项目成本管理的过程是:
资源计划编制、成本估算、预算和成本控制 资源计划编制:确定完成项目活动需要的资源种类和数量
成本估算:估算项目需要的资源的成本的近似值 成本预算:将成本分配到各个单项活动中
成本控制:包括监控成本执行、评审变更和向干系人报告变更
30、项目成本控制:①监控成本执行的情况,确定实际成本与计划成本之间的偏差;②确保成本的修改和变更是适当的③向项目管理的有关方面,准确的传递成本变化的信息。
依据:成本基准计划、费用执行报告、变更请求。(成本控制,是企业根据一定时期预先建立的成本管理目标,由成本控制主体在其职权范围内,在生产耗费发生以前和成本控制过程中,对各种影响成本的因素和条件采取的一系列预防和调节措施,以保证成本管理目标实现的管理行为。
成本管理是指企业生产经营过程中各项成本核算、成本分析、成本决策和成本控制等一系列科学管理行为的总称。成本管理一般包括成本预测、成本决策、成本计划、成本核算、成本控制、成本分析、成本考核等职能。)
31、版本控制:
版本控制透过文档控制记录程序各个模组的改动,并为每次改动编上序号。这种方法是工程图和维护的标准做法,它伴随着工程图从图的诞生一直到图的定型。
第五篇:2 电子商务安全管理 多选
电子商务安全管理 多选 电子商务安全服务中的()都用到数字签名技术。A.隐私保密 B.源鉴别 C.完整性服务 D.不可否认服务 BCD 2 病毒的组成模块包括。A.引导模块 B.存储模块 C.表现模块 D.传染模块 ACD 3 常用的病毒检测方法有哪些? A.特征代码法 B.校验和法 C.行为检测法 D.软件模拟法 ABCD 4 以下哪些属于防火墙技术? A.数据包过滤技术
B.数据包过滤原则 C.代理服务 D.流过滤技术 ABCD 5 关于宏病毒的说法中,正确的是。A.宏病毒是计算机病毒历史上发展最快的病毒,它也是传播最广泛的 B.宏病毒是一类使用宏语言编写的程序 C.宏病毒依赖于EXE和COM等可执行程序传播 D.大多数宏病毒都有发作日期 ABD 6 防范网络病毒应做到()。A.给电脑安装防病毒软件 B.不打开陌生电子邮件 C.认真执行病毒定期清理制度 D.权限控制 ABCD 7 智能防火墙关键技术包括()。A.防攻击技术 B.防扫描技术 C.防欺骗技术 D.入侵防御技术 ABCD 8 智能防火墙的关键技术包括()。A.防攻击技术 B.防扫描技术 C.防欺骗技术 D.入侵防御技术 ABCD 9 目前运用的数据恢复技术包括()。A.瞬时复制技术 B.远程磁盘镜像技术 C.数据库恢复技术 D.数据库备份技术 ABC 10 通过以下()方式可以清除Word系统中的宏病毒。A.选择“工具”菜单的“宏”,删除不明来源的自动执行宏 B.选择“工具”菜单的“Visual Basic编辑器”,在“工程”窗口查找不明来源的自动执行宏,进行删除 C.找到并删除autoexec.doc和normal.doc文件 D.到默认启动目录下查找并删除不是自己拷贝的其他模板文件 ABCD 11 软件日常维护和管理要做到()。A.定期清理日志文件、临时文件 B.定期执行整理文件系统 C.检测服务器上的活动状态和用户注册数 D.处理运行中的死机情况 ABCD 12 采用数字签名能够确认()。A.隐私保密 B.交易内容保密 C.信息由签名者发送 D.信息从签发后到收到为止未做任何修改 CD 13 一个签名方案由()算法构成。A.签署 B.加密 C.验证 D.解密 AC 14 支撑软件的日常维护和管理包括()。A.定期清理日志文件、临时文件 B.定期执行整理文件系统 C.检测服务器上的活动状态和用户注册数 D.处理运行中的死机情况 ABCD 15 电子商务所需的安全性要求包括()。A.保密性 B.认证性 C.完整性 D.可否认性 ABC 16 电子商务信息保密性需求包括()。A.信息的隐私问题 B.交易内容的保密性 C.服务器的真实性 D.交易双方身份的真实性 AB 17 电子商务安全需求包括()。A.交易实体身份真实性的需求 B.信息保密性的需求 C.信息完整性的需求 D.交易信息认可的需求 ABCD 18 下列关于软件模拟法检测病毒的描述,正确的是()。A.利用病毒行为特性来检测病毒 B.主要对付多态性病毒
C.利用检验和来检测病毒 D.是一个软件分析器 BD 19 引导型计算机病毒的预防方法包括()。A.经常备份系统引导扇区 B.安装监控文件系统的杀毒软件 C.坚持从无毒硬盘引导系统 D.经常备份系统文件 AC 20 防范网络病毒需要做到()。A.给电脑安装防病毒软件 B.不打开陌生电子邮件 C.认真执行病毒定期清理制度 D.高度警惕网络陷阱 ABCD 21 数据包过滤的依据包括()。A.IP源地址 B.IP目的地址 C.TCP或UDP源端口 D.TCP或UDP目的端口 ABCD 22 文件型计算机病毒的预防方法包括()。A.经常备份系统引导扇区 B.安装监控文件系统的杀毒软件 C.坚持从无毒硬盘引导系统 D.经常备份系统文件 BD 23 下列属于防火墙技术的是()。A.数据包过滤技术 B.数据包过滤原则 C.流过滤技术 D.智能防火墙技术 ABCD 24 宏病毒的预防方法包括()。A.经常备份系统引导扇区 B.使用Office套装软件之前进行正确设置 C.文件打开提示中选择不执行宏 D.经常备份系统文件 BC 25 堡垒主机的系统软件可用于。A.维护系统日志 B.维护硬件复制日志 C.维护远程日志 D.屏蔽路由器 ABC 26 目前病毒主要由()部分组成。A.宿主模块 B.引导模块 C.传染模块 D.表现模块 BCD 27 通过以下()方法可以清除各种计算机病毒。A.对硬盘做DOS下的FORMAT格式化 B.对软盘做DOS下的FORMAT格式化 C.对硬盘做低级格式化 D.使用杀毒软件和人工检测、实验方法检测查杀已知和未知病毒 BCD 28 下列关于校验和法的描述正确的是()。A.可以识别病毒名称 B.校验和法无法发现未知病毒 C.校验和法可以发现已知病毒 D.检验合法的缺点是容易误报 CD 29 防火墙技术主要包括()。A.数据包过滤技术 B.数据包过滤原则 C.代理服务 D.流过滤技术 ABCD 30 常用的病毒检测方法有()。A.特征代码法 B.检验和法 C.行为检测法 D.软件模拟法 ABCD 31 预防电子邮件病毒的方法包括()。A.坚持从不带计算机病毒的硬盘引导系统 B.不轻易执行附件中的可执行程序 C.不轻易打开附件中的文档文件 D.经常备份系统引导扇区 BC 32 预防引导型计算机病毒,通常采用()方法。A.安装能够实时监控引导扇区的防杀计算机病毒软件 B.经常备份系统引导扇区 C.尽量少关机 D.坚持用不带计算机病毒的磁盘引导系统 ABC 33 在安装防火墙的网络中,代理服务器的作用主要有()。A.阻隔内部网用户和外部服务器的直接通信 B.代理来自代理客户的请求 C.转发经认可的代理客户请求到真正的外部服务器 D.根据安全策略,控制用户能做什么 ABCD 34 防范计算机病毒需做到()。A.给电脑安装防病毒软件 B.不打开陌生电子邮件 C.认真执行病毒定期清理制度 D.控制权限 ABCD 35 常见的病毒检测方法包括()。A.特征代码法 B.检验和法 C.行为监测法 D.软件模拟法 ABCD 36 Windows 2000/XP的加密功能包括()。A.加密文件 B.加密文件夹 C.赋予或撤销其他用户的权限 D.禁止加密功能 ABCD 37 电子商务安全是指()。A.确保通信双方的合法性 B.保持个人的、专用的和高度敏感数据的机密 C.保证所有存储和管理的信息不被篡改。D.保证系统、数据和服务能由合法的人员访问 ABCD 38 下列关于加密文件夹描述正确的是()。A.加密文件夹中的文件不可以复制 B.在加密文件夹中新建的文件自动被加密 C.加密文件夹中的文件不能直接编辑 D.拷贝到加密文件夹中的文件自动被加密 BD 39 下列属于非对称密码算法的是()。A.AES B.RSA C.LUC D.DES BC 40 对邮件服务器服务破坏的防范包括()。A.防止来自外部网络的攻击 B.防止来自内部网络的攻击 C.防止中继攻击 D.邮件服务器应用专门的编程接口 ABCD 41 S/MIME与PGP的不同点在于()。A.公钥与私钥的加密体系 B.层次结构的证书认证机制 C.单向散列算法 D.信件内容加密签名后作为特殊附件传送 BD 42 防范邮件服务器服务破坏的措施包括()。A.防止外部网络攻击 B.防止来自内部的网络攻击 C.防止中继攻击 D.邮件服务器应有专门的编程接口 ABCD 43 下列属于对称密码算法的是()。A.DES B.IDEA C.AES D.LUC ABC 44 PGP软件功能的特点包括()。A.身份验证 B.压缩 C.电子邮件兼容性 D.分段和重组 ABCD 45 下列关于Windows加密功能描述正确的是()。A.普通用户账户默认不允许使用加密功能 B.可以设置特定的文件夹禁止被加密 C.不能设置完全禁止文件加密功能 D.文件夹加密功能被禁止时其子文件夹仍然可以被加密 BD 46 实现电子邮件传输安全的方式包括()。A.利用SSL SMTP将所有TCP/IP传输封装起来 B.利用SSL POP将所有TCP/IP传输封装起来 C.利用SSL SMTP和SSL POP D.利用VPN将所有TCP/IP传输封装起来 CD 47 对邮件服务器的攻击主要分为()。A.病毒感染 B.中继攻击 C.网络入侵 D.服务破坏 CD 48 下列关于传输层安全电子邮件技术的描述正确的是()。A.SMTP是收信的协议标准 B.POP是收信的协议标准 C.SMTP是发信的协议标准 D.POP是发信的协议标准 BC 49 可以通过以下()方式对本地计算机文件进行加密。A.WinZip、WinRAR等压缩软件加密 B.MS Office菜单提供的文件加密功能 C.Windows 2000/XP提供的文件夹加密功能 D.建立包含“[Encryption] Disable=1”内容的文本文件 ABC 50 对邮件服务器的安全攻击主要有网络入侵和服务破坏,以下()是对服务破坏的防范。A.挑选安全性高设计严谨的服务器软件 B.拒绝来自某些可疑IP地址的邮件服务连接请求 C.拒绝收信人数量大于预定上限的邮件 D.按照收信人数限制中继 BCD 51 以下加密算法中,使用相同加密密钥和解密密钥的是()。A.DES B.RSA C.IDEA D.椭圆曲线算法 AC 52 PGP和S/MIME的不同之处在于()。A.加密体系不同 B.信任关系不同 C.证书格式不同 D.安全邮件标准不同 BC 53 DES算法属于()。A.对称密码体制 B.非对称密码体制 C.序列密码体制 D.分组密码体制 AD 54 安全交易体系中具有代表性的交易规范协议不包括。A.TCP/IP B.SET C.SSL D.HTTP AD 55 PGP是一个基于()的邮件加密软件。A.S/MIME B.RSA C.IDEA D.FTP BC 56 OSI安全服务包括()。A.数据保密服务 B.数据完整性服务 C.交易对象认证服务 D.防抵赖安全服务 ABCD 57 电子商务交易实体身份真实性需求包括()。A.信息的隐私问题 B.交易内容的保密性 C.服务器的真实性 D.交易双方身份的真实性 CD 58 在电子商务中,信息以包交换形式传递,如果TCP/IP按照未加密的报文形式传输数据包,则数据包中的()可能被更改。A.源IP地址 B.目的IP地址 C.源TCP端口号 D.目的TCP端口号 ABCD 59 关于电子商务安全交易体系,说法正确的是()。A.PKI是权威的交易协议规范 B.SET采用TCP作为传输协议解决互联网上信息传输的安全性问题 C.SET是一种应用于互联网并以信用卡为基础的电子交付系统协议 D.客户端浏览器可进行SSL设置,浏览器利用HTTP和Web服务器会话 CD 60 目前应用的计算机数据恢复技术主要包括()。A.瞬时复制技术 B.远程磁盘镜像技术 C.数据库恢复技术 D.硬件恢复技术 ABC 61 下列关于加密技术中的摘要函数描述正确的是()。A.摘要是一种防止改动的方法 B.摘要算法的数字签名原理在很多机密算法中都被使用 C.输入消息的每一位对输出摘要都有影响 D.摘要算法从给定的文本块中产生一个数字签名 ABCD 62 认证机构的安全系统应当能够实现哪些功能。A.确定数据电文的归属 B.保证合理的安全程序 C.避免被入侵和人为破坏 D.保持数据电文自始至终不被篡改 ABC 63 电子商务访问控制安全需求包括()。A.入网访问控制的需求 B.网络权限控制需求 C.网络服务器安全控制需求 D.网络节点和端口的安全控制需求 ABCD 64 OSI制定的标准安全服务包括等方面。A.访问控制服务 B.数据完整性服务 C.交易对象认证服务 D.数据保密服务 ABCD 65 电子商务安全服务中()用到数字签名技术。A.源鉴别服务 B.加密服务 C.完整性服务 D.不可否认服务 ACD 66 目前运用的数据恢复技术包括()。A.日志技术 B.瞬时复制技术 C.远程磁盘镜像技术 D.数据库恢复技术 BCD 67 电子商务安全需求中的信息保密性需求包括()。A.身份真实性 B.隐私保密 C.信息完整 D.交易内容保密 BD 68 根据密码算法对明文信息加密方式进行分类,密码体制可分为()。A.对称密码体制 B.分组密码体制 C.序列密码体制 D.非对称密码体制 BC 69 PGP提供()服务。A.身份验证 B.保密性 C.压缩 D.电子邮件兼容 ABCD 70 供应商调查表的内容包括()。A.供应商工艺流程 B.供应商人员技术水平C.供应商质量管理能力 D.供应商经营管理总体情况 BCD 71 关于安全套接层协议,以下说法正确的是()。A.主要应用于B2C电子交易 B.目前公认的用借记卡/信用卡进行网上交易的国际安全交易标准 C.采用TCP作为传输协议来为信息的传输和接收提供可靠性 D.可以同时对客户机和服务器进行认证 CD
点击咨询 