本章主要教学内容总结
1. 基本安全问题:从用户的角度来看:如何确定网络服务器的所有者和操作者是合法的公司呢?如何知道网页和表格不包含一些恶意或者危险的代码与内容呢?如何知道网站服务器的拥有者不会将其提供的个人信息泄露给其他人呢?从公司的角度来看:如何知道用户不会试图闯入网络服务器或者修改网站网页内容?如何知道用户不会试图干扰网站服务使得其他用户无法访问呢?
2. 技术安全问题是指利用软件或系统等技术对系统或使用者利益造成损害的安全问题。
3. 主要的技术安全问题有:病毒(蠕虫、木马等)、拒绝服务、网页劫持、僵尸网络、恶意广告。
4. 非技术安全问题是指犯罪分子以欺骗或引诱受害者的方式时期泄露信息获进行某些可能危及网络安全的操作。主要的非技术安全问题包括:网络欺诈、交易抵赖等。
5. 可懂的文本称为明文(plaintext),将明文变换成的不可懂形式的文本称为密文(ciphertext),把明文变换成密文的过程叫加密 (encipher),其逆过程即把密文变换成明文的过程叫解密(decipher)。密钥(keyword)是用于加解密的一些特殊信息,它是控制明文与密文之间变换的关键,它可以是数字、词汇或语句。
6. 对称式密钥加密技术是指加密和解密均采用同一把秘密钥匙,而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。
7. 对称式密钥加密技术具有加密速度快,保密度高等优点。
其缺点有以下:
① 密钥是保密通信安全的关键,发信方必须安全、妥善地把钥匙护送到收信方,不能泄露其内容,如何才能把密钥安全地送到收信方,是对称密钥加密技术的突出问题。可见,此方法的密钥分发过程十分复杂,所花代价高。
② 多人通信时密钥的组合的数量会出现爆炸性的膨胀,使密钥分发更加复杂化,n 个人进行两两通信,总需要的密钥数为 n(n-1)/2。
③ 通信双方必须统一密钥,才能发送保密的信息。如果发信者与收信人是素不相识的,这就无法向对方发送秘密信息了。
8. 公开密钥加密技术要求密钥成对使用,即加密和解密分别由两个密钥来实现。每个用户都有一对选定的密钥,一个可以公开,即公共密钥,用于加密。另一个由用户安全拥有,即秘密密钥,用于解密。
9. 公开密钥加密技术的优点是:
①密钥少便于管理。网络中的每一用户只需保存自己的解密密钥,则 N 个用户仅需产生 N 对密钥。
②密钥分配简单。加密密钥分发给用户,而解密密钥则由用户自己保管。
③不需要秘密的通道和复杂的协议来传送密钥。
④可以实现数字签名和数字鉴别。
公开密钥加密技术的缺点是加、解密速度慢。
10. 数字证书:用电子手段来证实一个用户的身份和对网络资源的访问的权限。
个人证书:帮助其个人在网上进行安全交易操作。
企业证书:拥有 Web 服务器的企业就可以用具有证书的万维网站点来进行安全电子交易。
证书一方面可以用来向系统中的其它实体证明自己的身份,另一方面由于每份证书都携带着证书持有者的公钥。
11. 数字信封技术在外层使用公开密钥加密技术,享受到公开密钥技术的灵活性,内层的对称密钥长度通常较短,使得公开密钥加密的相对低效率被限制在最低限度。
12. 通过数字签名能够实现对原始报文的鉴别,保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。
13. 防火墙:把内部安全网络、计算机和外部不可信的互联网分割开来的屏障。防火墙的主要用途:防护远程登录、后门接入、垃圾邮件和各种恶意软件。虚拟专用网络:使用公共互联网传输信息,通过把信息加密技术和认证技术相结合以保障信息的私密性。入侵检测系统:是设计用于检测通过网络尝试非法接入、修改或破坏计算机系统的一种软件或硬件。灾害恢复计划:目的:在发生灾难后,可以保持业务的持续运行。灾难避免:预防灾害的方法,尽可能降低灾害发生的可能性。
14.电子商务安全管理制度:人才制度、保密制度、跟踪、审计、稽核制度、网络系统的日常维护制度、用户管理、病毒防范制度、应急措施。
