2022年資訊安全工程師考試知識點：電子商務安全

為大家整理了2022年資訊安全工程師考試知識點：電子商務安全，希望對大家備考資訊安全工程師考試會有幫助。

電子商務安全

【考法分析】

本知識點主要是對電子商務安全相關内容的考查。

【要點分析】

1．電子商務安全概念、特點：電子商務安全從整體上可分為兩大部分：網絡安全和商務交易安全。

2．網絡安全的内容包括：網絡裝置安全、網絡系統安全、資料庫安全等。

3．電子商務安全是以網絡安全為基礎的。電子商務安全與肉絡安全又是有差別的：首先，網絡不可能絕對安全，在這種情況下，還需要運作安全的電子商務。其次，即使網絡絕對安全，也不能保障電子離務的安全。

4．電子商務安全具有如下四大特性：

① 電子離務安全是一個系統概念；

② 電子商務安全是柏對的；

③ 電子商務安全是有代價的；

④ 電子商務安全是發展的、動态的。

5．安全需求：

① 交易實體身份可認證性需求；

② 資訊保密性的需求；

③ 資訊完整性的需求；

④ 交易資訊的不可抵賴性需求；

⑤ 商務服務的有效性需求；

⑥ 通路控制性需求。

電子商務要安全地展開，以上幾個最基本的安全要素必須實作。也就是說，資料和資訊的隐私必須受到保護，交易者身份必須得到認證，并且具有可認證性，未被授權的進入應該進行控制和拒絕。

6．身份認證過程指的是當使用者試匮通路資源的時候，系統确定使用者的身份是否真實的過程。認證對所有需要安全的服務來說是至關重要的，因為認證是通路控制執行的前提，是判斷使用者是否有權通路資訊的先決條件，同時也為日後追究責任提供不可抵賴的證據。

7．通常可以根據以下5 種資訊進行認證：

① 使用者所知道的。

② 使用者所擁有的。

③ 使用者本身的特征。

④ 根據特定地點(或特定時間)。

⑤ 通過信任的第三方。

認證技術決定了系統的安全程度。

8．所謂數字證書就是在網際網路通信中标志通信各方身份資訊的一系列資料，提供了一種在Intemet 上驗證使用者身份的方式，其作用類似于司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構一CA機構，又稱為證書授權中心發行的，人們可以在網上用它來識别彼此的身份。

9．CA機構，又稱為證書授權中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。

10．數字證書采用公鑰體制，即利用一對互相比對的密鋁進行加密、解密。

11．數字證書與傳輸密鑰和簽名密鑰對的産生相對應。對每一個公鑰做一張數字證書，私鑰用最安全的方式交給使用者或使用者自己生産密鑰對。在公開密鑰密碼體制中，常用的一種是RSA體制。

12．目前有兩種安全線上支付協定被廣泛采用，分别為安全電子交易協定(SET) 和安全套接字協定(SSL) ，二者均是成熟和實用的安全協定。

13．SET 協定是應用層的協定，是一種基于消息流的協定，它是面向B2C (企業對消費者)模式的，完全針對信用卡來制定，涵蓋了信用卡在電子商務交易中的交易協定資訊保密、資料完整等各個方面。

14．SET 協定主要使用的技術包括：對稱密鑰加密、公鑰加密、Hash 算法、數字簽名、數字信封以及數字證書等技術。

15．SET 協定是一個基于可信的第三方認證中心的方案，其主要的實作目标是：

① 保證電子離務參與者資訊的互相隔離；

② 保證資訊在Internet 上安全傳輸；

③ 解決多方認證問題；

④ 保證網上交易的實時性；

⑤ 提供一個開放式的标準。

16．SET交易的參與方包括持卡人、發夾機構、離家、收單銀行、支付網關和數字證書認證中心CA。

17．SET 協定分為三個部分：

① 商業描述；② 程式員指導；③ 正式的協定定義。

18．SET 協定是一種電子支付系統的安全協定，是以它涉及加密、認證等多種技術。

① 加密技術：加密技術是SET 協定中的核心技術，在SET 中使用的主要包括對稱加密、非對稱加密、數字簽名、消息摘要、數字信封、雙重簽名等。

② 認證技術：網上交易的買賣雙方在進行每一筆交易時，為了保證交易的可靠性，買方和賣方都要鑒别對方的身份。

19．CA的主要功能有：收注冊請求處理、準許/拒絕請求、發行證書。

20．認證技術具體涉及以下一些内容：

① 證書資訊：

持卡人證書：持卡人證書表明持卡人擁有的支付卡是合法的，它是由權威的金融機構數字簽署的，不能由其他非法第三方産生。

商家證書：商家證書與持卡人證書基本一樣。

支付網關證書：支付網關證書由收單行或收單行的處理系統擁有。

收單行證書：一個收單銀行必須擁有證書，才能使一個CA 接收和處理商家從公共和專用網絡發出的證書請求。

發夾行證書：一個發夾銀行必須擁有證書， CA 才能接收和處理來自持卡人的證書請求(通過公共或專用網絡)，那些選擇支付卡品牌來代理處理證書請求的發夾行不需要證書。

② 證書的發行。

③ 認證資訊和驗證結構：

認證資訊：在SET 中，交易雙方的身份必須要驗證， CA 是提供身份驗證的第三方機構。

21．SET協定主要是通過使用密碼技術和數字證書方式來保證資訊的機密性和安全性，它實作了電子交易的機密性、資料完整性、身份的合法性和不可否認性。

22．SSL 安全套接層協定是安全通信協定。在SSL中，采用了公開密鑰和私有密鑰兩種加密方式，它對計算機之間整個會話進行加密，進而保證了安全傳輸。SSL 的安全服務位于TCP 和應用層之間，可為應用層(如HTTP 、FTP 、SMTP) 提供安全業務，服務對象主要是Web 應用，即客戶浏覽器和伺服器。

23．SSL 伺服器認證允許使用者确認伺服器身份。SSL 客戶機認證允許伺服器确認使用者身份。

24．一個加密的SSL 連接配接要求所有在客戶機與伺服器之間發送的資訊由發送方軟體加密和由接受方軟體解密，對稱加密法用于資料如密(如用DES 和RC4 等)，進而連接配接是保密的。

25．SSL主要工作流程包括：網絡連接配接建立；與該連接配接櫃關的加密方式和壓縮方式選擇；雙方的身份識别；本次傳輸密鈣的确定；加密的資料傳輸；網絡連接配接的關閉。

26．SSL是一個兩層協定，包括SSL 握手層協定和SSL 記錄層協定。

27．SSL協定提供的服務可以歸納為如下三個方面：

① 使用者和伺服器的合法性認證；

② 加密資料以隐藏被傳送的資料；

③ 維護資料的完整性。

28．SSL 協定自身的缺陷：

① 用戶端假冒；

② SSL 協定無法提供基于四P 應用的安全保護；

③ SSL 協定不能對抗通信流量分析；

④ 可能受到針對基于公鑰加密标準（PKCS) 的協定的自适應選擇密文攻擊；

⑤ 程序中的主密鑰洩漏；

⑥ 磁盤上的臨時檔案可能遭受攻擊。

29．SSL 加密算法和會話密鑰是在握手協定中協商并由Cipher-Choice 指定的。現有的SSL 版本中所用到的加密算法包括：RC4、RC2、IDEA、DES 和3DES ，而加密算法所用的密鑰由消息散列函數MD5 産生。