00997 电子商务安全导论
南京财经大学编 (高纲号 0521)
Ⅰ、课程的性质及其设置目的与要求
一、课程的性质、地位与任务
“电子商务安全导论”是江苏省高等教育自学考试电子商务专业(独立本科段)必修的一门主要专业课。它是为培养适应电子商务发展要求的高素质、复合型人才而设置的一门重要理论课程。
“电子商务安全导论”主要围绕保障电子商务活动的安全性进行展开,这些保障措施包括网络安全技术、信息加密技术和电子支付安全技术。
二、课程的基本要求
1、深入理解网络安全与电子商务的基本理论。
2、认真掌握网络安全与电子商务的基本方法。
3、在电子商务中能熟练运用网络安全的处理方法。
在自学过程中,要求考生切实掌握有关内容的基本概念、基本理论和基本方法,并能运用这些基本理论和基本方法去分析、处理电子商务中的有关安全问题。
Ⅱ、课程的内容与考核要求
第一章 TCP/IP协议简介
一、考核知识点
1.1TCP/IP的体系结构
1.2以太网基础
1.3Internet地址
1.4基于TCP/IP的网络编程接口:Socket
二、考核要求
1.1TCP/IP的体系结构
识记:网络层协议的构成、IP协议的功能、IP协议的工作过程、ARP和RARP协议的功能及工作过程、ICMP协议的功能、TCP和UDP的区别、TCP协议的功能及工作过程、UDP协议的功能、TCP连接建立和连接终止的过程、TCP/SYN攻击的原理、Telnet协议的目的、FTP协议的目标、SMTP协议的目的
领会:TCP/IP的体系结构、IP协议的工作过程、ARP和RARP协议的工作过程、TCP和UDP的区别、TCP协议的功能及工作过程、UDP协议的功能、TCP连接建立和连接终止的过程、TCP/SYN攻击的原理
1.2以太网基础
识记:以太网的工作原理、以太网硬件地址
领会:以太网的工作原理
1.3Internet地址
识记:IP地址的概念、IP地址的组成及分类、IP地址的点分十进制记法
领会:IP地址的组成及分类、将IP地址分成网络地址和主机地址的好处
1.4基于TCP/IP的网络编程接口:Socket
识记:端口、地址、半相关、全相关、服务方式、顺序、差错控制、流控制、字节流、数据报、全双工/半双工、缓存/带外数据等Socket编程中所涉及到的一些基本概念、客户机/服务器模式的工作过程、Socket类型及工作流程、基本的套接口系统调用
领会:端口、地址、半相关、全相关、服务方式、客户机/服务器模式的工作过程
第二章 网络安全基础
一、考核知识点
2.1网络安全问题的提出
2.2计算机网络安全的威胁
2.3什么是计算机网络安全
2.4网络安全模型结构
2.5安全评估标准
二、考核要求
2.1网络安全问题的提出
领会:网络信息安全与保密的重要性
2.2计算机网络安全的威胁
识记:网络安全威胁的来源、人为恶意攻击的特性、一些有代表性的恶意攻击,如信息战、商业间谍、拒绝服务、病毒等的攻击原理、影响网络安全的普遍因素以及我国的网络信息安全系统所具有的独具特色的安全缺陷、一些有代表性的软件安全漏洞
2.3什么是计算机网络安全
识记:网络安全的定义、网络安全的具体内容、网络安全的特征
2.4网络安全模型结构
识记:OSI安全服务的层次模式、OSI安全体系结构所要求的各种安全服务以及为实现OSI安全服务,ISO所建议的各种安全机制、TCP/IP安全服务模型和OSI安全服务模型的差异
2.5安全评估标准
识记:TCSEC进行安全性评估的六个方面以及根据这些方面将计算机系统的可信程度(安全等级)划分成的类别及各类的主要特征、GB17895-1999标准将信息系统安全分为5个等级以及主要的安全考核指标
第三章 常见的网络攻击与防范技术
一、考核知识点
3.1黑客
3.2IP欺骗与防范
3.3Sniffer探测与预防
3.4端口扫描技术
3.5特洛伊木马
3.6拒绝服务式攻击
二、考核要求
3.1黑客
识记:黑客的行为特征
3.2IP欺骗与防范
识记:IP欺骗的步骤、防范IP欺骗的各种方法
领会:信任关系、TCP序列号预测原理、IP欺骗原理、防范IP欺骗的各种方法的原理
应用:防范IP欺骗
3.3Sniffer探测与预防
识记:Sniffer的工作环境、HUB和网卡的工作原理、Snhiffer的工作原理、发现和防止Sniffer的一些方法
领会:HUB和网卡的工作原理、Sniffer的工作原理
应用:预防Sniffer探测
3.4端口扫描技术
识记:常用的网络命令、扫描器的定义及其工作原理、扫描器的功能、常用的端口扫描技术及其原理
领会:扫描器的工作原理、常用端口扫描技术的原理
3.5特洛伊木马
识记:特洛伊木马的定义、木马应该符合的条件、木马的特点、发现和删除木马的一些方法
领会:木马的工作方式
应用:能够发现特洛伊木马并删除
3.6拒绝服务式攻击
识记:分布式拒绝服务攻击的步骤、拒绝服务式攻击的防范措施
领会:拒绝服务式攻击的原理
第四章 防火墙技术
一、考核知识点
4.1防火墙基本知识
4.2防火墙体系结构
4.3常见的防火墙产品
二、考核要求
4.1防火墙基本知识
识记:防火墙的定义、防火墙的基本功能、防火墙的设计原则、防火墙的优点和缺陷
4.2防火墙体系结构
识记:包过滤型防火墙的基本概念、工作原理、包过滤规则、优缺点、双宿网关防火墙的基本概念、代理服务器的概念和工作原理、代理服务器的主要用途、代理服务器的分类、各类代理服务器的工作原理及其差异、包过滤型防火墙与代理防火墙的比较、屏蔽子网防火墙的工作原理、内部路由器和外部路由器以及堡垒主机各自的主要功能
领会:包过滤型防火墙的工作原理、包过滤规则、代理服务器的工作原理、代理服务器的主要用途、各类代理服务器的工作原理及其差异、屏蔽子网防火墙的工作原理
4.3常见的防火墙产品
识记:一个好的防火墙系统所具有的特性
应用:能够选用合适的防火墙产品
第五章 密码学基础
一、考核知识点
5.1基本知识
5.2隐写术
5.3古典密码学
5.4网络加密方式
5.5密码协议
二、考核要求
5.1基本知识
识记:加密和解密的概念、加密和解密的过程、密码编码与密码分析之间的关系、密码攻击的常用方法、算法的安全性、衡量攻击方法复杂性的方式
领会:加密和解密的过程、密码编码与密码分析之间的关系、密码攻击的常用方法、算法的安全性
5.2隐写术
识记:隐写术的主要缺点
领会:隐写术的加密原理
5.3古典密码学
识记:置换与替代的特点、Playfair密码和Hill密码以及Vigenere密码的加密方案
领会:置换与替代的原理、Playfair密码和Hill密码以及Vigenere密码的加密方案、一次——密乱码本的加密原理及特点
5.4网络加密方式
识记:软件加密及其优点和安全隐患、硬件加密的优点、链路加密方式的优缺点、节点对节点加密方式、端对端加密方式的工作原理及优缺点
领会:链路加密方式的工作原理、节点对节点加密方式、端对端加密方式的工作原理及优缺点
5.5密码协议
识记:密码协议的定义及其特点、密码协议的目的、仲裁协议和裁决协议以及自动执行的协议之间的区别、密码攻击
第六章 现代加密技术
一、考核知识点
6.1对称加密模型
6.2分组密码与流密码
6.3数据加密标准
6.4其他对称算法
6.5非对称密钥密码系统
6.6RSA算法
二、考核要求
6.1对称加密模型
识记:对称密码算法的优点和存在的问题
领会:采用对称加密模型进行通信的过程
6.2分组密码与流密码
识记:分组密码与流密码的区别、扩散与扰乱的原理、分组密码的优缺点、流密码的优缺点
领会:扩散与扰乱的原理、Feistel密码结构、分组密码的各种操作模式及其安全性和效率、流密码的工作原理
6.3数据加密标准(DES)
识记:DES的背景及DES的特点
领会:DES加密与解密算法
6.4其他对称加密算法
识记:三重DES的原理及加密过程、国际数据加密算法(IDEA)的原理、RC5的原理、AES算法所具有的关键特性
领会:三重DES的原理及加密过程、国际数据加密算法(IDEA)的原理、RC5原理
6.5非对称密钥密码系统
识记:非对称密钥密码系统的原理、非对称密钥算法的特点、单向函数的概念、非对称密码与对称密码的比较
领会:非对称密钥密码系统的原理、非对称密钥算法的特点 单向函数与非对称密钥密码系统的关系 非对称密钥密码系统的应用、非对称密码与对称密码的比较
6.6RSA算法
识记:对RSA算法可能的攻击方法
领会:RSA算法的工作原理、对RSA算法可能的攻击方法
第七章 密钥管理技术
一、考核知识点
7.1密钥长度
7.2密钥生存期的管理
7.3密钥的分配
7.4非对称密码系统的密钥管理
二、考核要求
7.1密钥长度
识记:密码体制的安全性、对称密码体制的安全性
领会:密码体制的安全性、对称密码体制的安全性、对称密钥和非对称密钥长度的比较
7.2密钥生存期的管理
识记:发送密钥的方法、验证密钥的方法、存储和备份密钥的方法、更新密钥的方法、密钥失效的原因及各种不同密钥的有效期、销毁密钥的必要性及方法
领会:对密钥生成产生不利影响的情况和好的密钥具有的特征、发送密钥的方法、验证密钥的方法、存储和备份密钥的方法、更新密钥的方法、密钥失效的原因及各种不同密钥的有效期、销毁密钥的必要性及方法
7.3密钥的分配
领会:密钥分配的方法及过程
7.4非对称密码系统的密钥管理
识记:非对称加密的优势、几类不同的公钥分配技术方案及其特点
第八章 鉴别与认证
一、考核知识点
8.1鉴别与认证问题的提出
8.2鉴别函数
8.3数字签名
8.4数字签名算法
8.5专用数字签名方案
二、考核要求
8.1鉴别与认证问题的提出
识记:网上传输数据的安全性、报文鉴别的作用、数字签名的作用
领会:鉴别与认证的重要性
8.2鉴别函数
识记:鉴别函数的类别、报文鉴别码、单向Hash函数、散列函数的性质
领会:报文加密的工作原理、报文鉴别码的工作原理、MD5算法的工作原理、SHA-1算法的工作原理
8.3数字签名
识记:签名的特点、数字签名的性质、数字签名的分类、直接数字签名的原理
领会:直接数字签名的原理、需仲裁的数字签名的原理
8.4数字签名算法
识记:RSA的工作原理、RSA的缺点
领会:RSA的工作原理、DSA的缺点
8.5专用数字签名方案
识记:常规数字签名方案的特点、各种专用数字签名方案的工作原理及特点
第九章 电子商务安全性概述
一、考核知识点
9.1电子商务的有关概念
9.2电子商务安全问题的提出
9.3电子商务安全体系结构
二、考核要求
9.1电子商务的有关概念
识记:电子商务的概念、电子商务的内容、电子商务的特性、电子商务产生和发展的条件、电子商务发展的两个阶段、EDI的概念、EDI软件的种类、基于互联网的电子商务所具有的优势、电子商务的类型
领会:电子商务的特性、EDI的工作方式、基于互联网的电子商务所具有的优势
9.2电子商务安全问题的提出
识记:电子商务活动的三个方面、电子商务的安全性、电子商务中的安全隐患
领会:电子商务中的安全隐患
9.3电子商务安全体系结构
识记:电子商务的基础结构、电子商务的安全要素、电子商务的几种安全技术、电子商务的安全标准
领会:电子商务的基础结构、电子商务的安全体系结构、电子商务的安全要素、电子商务的几种安全技术
第十章 安全套接层(SSL)协议
一、考核知识点
10.1握手
10.2SSL协议概述
10.3一个基于SSL的交易
10.4SSL协议规范及相关技术
二、考核要求
10.1握手
识记:握手的概念、握手的过程
领会:握手的过程
10.2SSL协议概述
识记:SSL协议所采用的加密技术、SSL协议的作用、SSL提供的安全信道所具有的特性
领会:SSL协议的作用、SSL协议和高层的应用怪协议之间的关系
10.3一个基于SSL的交易
领会:基于SSL交易的过程
10.4SSL协议规范及相关技术
识记:SSL协议的构成、SSL记录协议、SSL记录头格式、SSL记录数据的格式、SSL握手协议两个阶段各自的作用
领会:SSL握手协议两个阶段各自的流程、SSL相关技术
第十一章 SET协议及其安全性分析
一、考核知识点
11.1SET协议的由来
11.2SET协议介绍
11.3一个基于SET的交易
11.4SET协议的安全性分析
11.5SSL协议与SET协议的比较
二、考核要求
11.1SET协议的由来
识记:SET如何保证信息的机密性和安全性
11.2SET协议介绍
识记:SET交易的三个阶段、SET协议的目标、SET协议在电子交易中的作用、SET的安全保障、SET的运作方式、SET证书
领会:SET的运作方式
11.3一个基于SET的交易
领会:基于SET交易的过程
11.4SET协议的安全性分析
领会:DES的安全性、RSA的安全性、SHA-1的安全性和随机数的安全性
11.5SSL协议与SET协议的比较
识记:SET与SSL相比较所具有的四方面的优点、SSL和SET性能及费用比较、提高性能的技术、对比所得出的结论
领会:SET与SSL协议本身的比较、SSL和SET性能及费用比较
第十二章 电子商务应用案例
一、考核知识点
12.1体系结构
12.2业务流程
12.3Web主要功能
12.4网站安全策略
12.5不可否认业务的设计与实现
二、考核要求
12.1体系结构
领会:基于Internet的网站体系结构及其安全措施、新图网的网站结构及其安全措施
12.2业务流程
识记:基于Internet的网上批销相对于传统批销的优点以及整个业务流程的各组成部分
领会:业务流程的各组成部分及其作用
12.3Web主要功能
识记:Web服务的作用
领会:新图批销网Web服务必须具有的功能
12.4网站安全策略
识记:网站安全策略及其内容
领会:新图批销网安全策略的各组成部分及其作用
12.5不可否认业务的设计与实现
识记:数字签名的作用、身份认证的实现方法、数字证书的缺点、认证中心的作用、CA策略、会员证书管理、CA策略模块执行的功能
领会:认证中心的作用、会员证书管理、新图批销网中,会员证书管理的流程和身份认证的实施过程以及不可否认业务的实现方法
Ⅲ、有关说明和实施要求
为了使本大纲的规定在个人自学、社会助学和考试命题中得到贯彻和落实,现对有关问题作如下说明:
一、关于考核目标的说明
为了使考试内容具体化和考试要求标准化,本大纲在列出考试内容的基础上,对各章规定了考核目标,其中包括考核知识点和考核要求。明确考核目标,使自学考试者能够进一步明确考试内容和要求,更有目的地系统学习教材;使社会助学者能够更全面地有针对性分层次和难易度。
本大纲在考核要求中,按照识记、领会、应用三个层次规定其应达到的能力层次要求。三个能力层次是递进等级关系,后者必须建立在前者基础上。它们的含义是:
“识记”——能知道有关的名词、概念、知识的意义,并能正确的表述。这是低层次的要求。
“领会”——在识记的基础上,能全面把握基本概念、基本理论、基本方法,能掌握有关概念、方法的区别与联系。这是较高层次的要求。
“应用”——在领会的基础上,能运用基本概念、基本方法对电子商务中发生的安全问题进行分析、处理。这是最高层次的要求。
二、自学方法指导
1、在全面系统学习的基础上,掌握网络安全与电子商务的基本理论、基本方法和基本知识。本课程内容涉及到网络安全技术、自信加密技术和电子支付安全技术的基本理论、基本方法的各方面的问题,知识范围较广,各章之间既有联系又有区别,有的章节具有相对的独立性。自学应考者应首先全面系统地学习各章,记忆应当识记的基本概念、名词,深入理解基本理论,掌握实现安全电子商务的专门方法;其次,要认识各章之间的联系;再次,在全面系统地学习基础理论上,有目的地深入学习重点章节,但切忌在没有全面学习教材的情况下孤立地去抓重点。
2、电子商务安全导论是一门理论性比较强的学科。学习本课程要达到考核目标的要求,必须在全面阅读教材的基础上,通过完成一定数量的作业题来巩固所学的基本方法和基本知识。
三、对社会助学者的要求
1、社会助学者应根据本大纲规定的内容和考核目标,认真钻研指定教材,明确本课程与其他课程的不同特点和学习要求,对自学应考者进行切实有效的辅导,引导他们防止自学中的各种偏向,把握社会助学的正确方向。
2、要正确处理基础知识和应用能力的关系,努力引导自学应考者将识记、依仗同应用联系起来把基础知识和理论转化为应用能力,在全面辅导的基础上,着重培养和提高自学应考者的分析问题和解决问题的能力。
3、要正确处理重点和一般的关系。课程内容有重点和一般之分,但考试内容是全面的,而且重点与一般是相互联系的,不是截然分开的。社会助学者应指导自学应考者全面系统地学习教材,掌握全部考试内容和考核知识点,在此基础上再突出重点。总之,要把重点学习同兼顾一般结合起来,切勿孤立地抓重点或者猜题押题。
四、关于命题考试的若干要求
1、本课程的命题考试,应根据本大纲所规定的考试内容和考核目标来确定考核范围和考核要求,不要任意扩大或缩小考试范围,提高或降低考核要求。考试命题要覆盖到各章,并适当突出重点章节,体现本课程的重点内容。
2、本课程在试题中对不同能力层次要求的分数比例,一般为:识记占30%,领会占50%,应用占20%。
3、试题要合理安排难度结构。试题难易程度可分为易、较易、较难、难四个等级。每份试卷中,不同难易程度试题分数比例,一般为:易占30%,较易占20%,较难占35%,难占15%。需要指出的是,试题的难易程度与能力层次不是一个概念,因各能力层次中都会存在不同难度的问题,切勿混淆。
4、本课程考试试卷可能采用的题型有:填空题、单项选择题、多项选择题、判断题、名词解释、简答题、分析题等。
5、本课程考试方式为闭卷、笔试,考试时间为150分钟。评分采用百分制,60分为及格。