免费智能真题库 > 历年试卷 > 系统集成项目管理工程师 > 2018年上半年 系统集成项目管理工程师 上午试卷 综合知识
第5题      
知识点   电子商务   基本特征   技术解决方案   制造业   身份认证   数字签名   认证
关键词   电子商务   身份认证   数字签名      分类   电子政务       

 
在A公司面向传统家电制造业的网上商城技术解决方案中,重点阐述了身份认证数字签名、防入侵方面的内容,体现了电子商务平台规范( )的基本特征
 
 
  A.  可靠性
 
  B.  普遍性
 
  C.  便利性
 
  D.  安全性
 
 
 

  相关试题     电子政务    更多>  
 
  第5题    2016年下半年  
   50%
以下关于我国现阶段电子政务建设的叙述中,不正确的是:(5)。
  第2题    2016年上半年  
   44%
以下关于“互联网+”的理解中,正确的是:(2)。
  第3题    2016年上半年  
   18%
《国务院关于积极推进“互联网+”行动的指导意见》中提出的推动互联网与制造业融合,加强产业链协作,发展基于互联网的..
 


   知识点讲解    
   · 电子商务    · 基本特征    · 技术解决方案    · 制造业    · 身份认证    · 数字签名    · 认证
 
       电子商务
               电子商务的概念
               电子商务至今尚无统一定义,根据电子商务的发展历程,其概念可分为原始电子商务和现代电子商务。
               .原始电子商务的概念
               原始电子商务指使用电子信息技术工具进行商务活动。凡使用了诸如电报、电话、广播、电视、传真以及计算机和计算机网络等手段、工具和技术进行的商务活动,都可以称之为电子商务。
               .现代电子商务的概念
               现代电子商务通常指在网络环境下,买卖双方不需见面,实现线上交易、在线支付(或货到付款)、智能配送以及相关综合服务的一切活动,是完全创新的或在一定程度上模拟传统商务流程的一种以信息化手段应用为典型特征的商业运营模式。
               电子数据交换(EDI)是连接原始电子商务和现代电子商务的纽带。
               电子商务的特征
               电子商务本质上是依靠信息技术,将贸易(交易)中涉及的信息流、资金流、物流、服务评价管理、售后管理、客户管理等整合在网络上的业务集合。电子商务应具有以下基本特征:
               .普遍性:电子商务作为一种新型的交易方式,将生产企业、流通企业、消费者以及金融企业和监管者集成到了数字化的网络环境中。
               .便利性:参与电子商务的各方不受地域、环境、交易时间的限制,能以非常简洁的方式完成传统上较为繁杂的商务活动。
               .整体性:电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,保证交易过程的规范和严谨。
               .安全性:电子商务必须采取诸如加密、身份认证、防入侵、数字签名、防病毒等技术手段来确保交易活动的安全性。
               .协调性:商务活动本身是一种磋商、协调的过程,客户与企业之间、企业与企业之间、客户与金融服务部门之间、企业与金融服务部门之间、企业与配送部门之间等需要有序协作,共同配合完成交易。
               电子商务系统结构
               电子商务的系统结构如下图所示,它不仅包括信息技术,还包括交易规则、法律法规和各种技术规范。
               
               电子商务系统结构
               电子商务应用建立在各种基础设施之上,这些基础设施包括:网络基础设施、多媒体内容和网络出版的基础设施、报文和信息传播的基础设施以及商业服务的基础设施。同时,技术标准、政策、法律法规等是电子商务的重要保障和应用环境。
               电子商务的类型模式
               电子商务按照依托网络类型来划分,可分为:
               .EDI(电子数据交换)商务。
               .Internet(互联网)商务。
               .Intranet(企业内部网)商务。
               .Extranet(企业外部网)商务。
               电子商务按照交易的内容来划分,可分为:
               .直接电子商务:向客户提供无形商品和各种服务,如电子书、软件等,这些产品和服务可以直接通过网络向客户交付。
               .间接电子商务:向客户提供实体商品及有关服务。由于要求在广泛地域和严格时限内送达,一般会将商品和服务交由现代物流配送公司和专业服务机构去完成配送工作。
               按照交易对象,电子商务模式包括:
               .B2B(Business to Business)模式:企业和企业之间通过互联网进行产品、服务及信息的交换,其发展经过了电子数据交换(EDI)、基本的电子商务(Basic e-commerce)、电子交易集市和协同商务4个阶段。阿里巴巴是典型的B2B企业。
               .B2C(Business to Customer)模式:企业和消费者个人之间的电子商务,一般以零售业为主。京东、当当等是典型的B2C企业。
               .C2C(Customer to Customer)模式:消费者和消费者之间通过电子商务交易平台进行交易的一种商务模式。淘宝、易趣等是典型的C2C企业。
               区别于以上三种传统电子商务模式的一种电子商务模式为O2O模式。
               O2O(Online to Offline)模式:电子商务和线下实体店有机结合向消费者提供商品和服务的模式,是线上购买线下的产品和服务,实体店提货或者享受服务。O2O平台在网上把线下实体店的团购、优惠信息推送给互联网用户,从而将这些用户转换为实体店的线下客户。借助O2O,企业能够迅速促进门店的销售,特别适合餐饮、院线、会所等服务类连锁企业,并且通过网络能迅速掌握消费者的最新反馈,进行个性化服务和获取高粘度重复消费。
               电子商务对国民经济和社会发展的意义和作用
               电子商务对国民经济和社会发展有重要意义和积极作用,具体表现在:
               .推动国民经济增长方式转变。
               .迎接经济全球化的机遇和挑战。
               .促进社会主义市场经济体制走向完善。
               加快电子商务发展的指导思想和基本原则
               加快电子商务发展的指导思想为:按照科学发展观的要求,紧紧围绕转变经济增长方式、提高综合竞争力的中心任务,实行体制创新,着力营造电子商务发展的良好环境,积极推进企业信息化建设,推广电子商务应用,加速国民经济和社会信息化进程,实施跨越式发展战略,走中国特色的电子商务发展道路。
               加快电子商务发展的基本原则包括:
               .企业主体,政府推动。
               .统筹兼顾,虚实结合。
               .着力创新,注重实效。
               .规范发展,保障安全。
               电子商务发展的支撑保障体系
               建立和完善电子商务发展的支撑保障体系包括:
               .法律法规体系。
               .标准规范体系。
               .安全认证体系。
               .信用体系。
               .在线支付体系。
               .现代物流体系。
               .技术装备体系。
               .服务体系。
               .运行监控体系。
 
       基本特征
        一般情况下,概率算法具有以下基本特征。
        (1)概率算法的输入包括两部分:一部分是原问题的输入;另一部分是一个供算法进行随机选择的随机数序列。
        (2)概率算法在运行过程中,包括一处或多处随机选择,根据随机值来决定算法的运行。
        (3)概率算法的结果不能保证一定是正确的,但能限制其出错概率。
        (4)概率算法在不同的运行过程中,对于相同的输入实例可以有不同的结果,因此,对于相同的输入实例,概率算法的执行时间可能不同。
 
       技术解决方案
        根据网站的功能确定网站的技术解决方案,重点考虑网站服务器的选择、操作系统的选择、数据库的选择、网站的安全性措施、相关程序的开发。
 
       制造业
        制造业信息系统是利用信息技术帮助企业在设计、生产和管理等方面实现信息化的各类业务应用系统,如设计信息化中的计算机辅助设计(Computer Aided Design,CAD)、计算机辅助制造(Computer Aided Manufacturing,CAM)、计算机辅助工艺过程设计(Computer Aided Process Planning,CAPP)、产品数据管理(Product Data Management,PDM)等,生产信息化中的制造执行系统(Manufacturing Execution System,MES)、工作流系统(Workflow System)等,管理信息化中的企业资源规划(Enterprise Resource Planning,ERP)、客户关系管理(CustomerRelationship Management,CRM)、供应链管理(Supply Chain Management,SCM)等,以共同提升企业运营效率。
        (1)集成运维需求强烈。制造业信息化涉及技术设计、生产制造与管理三个方面,但并非同步进行,造成了信息孤岛这一离散式的IT结构,加之业务的多元化、企业组织的集团化发展,以内部信息系统的集成、上下游供应链之间的协同为主的IT运维变得最为迫切。
        (2)运维管理亟待重视。相对于金融和电信行业而言,该行业的信息化水平一般,加之制造业中的IT部门相对生产、营销、财务等部门似乎略显非主流,因此,制造企业大多对运维不够重视,对运维部门的建设和运维人员的培养做不到优先重视,运维工作及运维的管理工作长期处于较低的水平,相关部门和人仍缺乏进取和学习精神,只求维持现状,当有新技术应用后,出现了各种各样的技术的和非技术的问题,致使整个企业难以招架,应用效果差强人意。
        (3)安全运维不可忽视。制造业网络呈现分散、多级、多节点的部署特点,应用人员素质水平参差不齐,内网畅通、技术资料保密和知识产权保护为主的安全运维尤为重要。
        综上可以看出,这些行业都迫切需要流程化、规范化的运维体系来提升IT的管理效率,确保组织内信息系统安全、稳定、可靠地运行,进而提升组织的效率和效益。但由于行业自身和主营业务的不同,甚至同一行业中应用间的差异,都会对信息系统运维提出不同的精度要求,如可用级别、可靠程度、业务中断的容忍时间、负载强度、响应时间等,选择相应的运维方式、运维策略和运维流程等。
 
       身份认证
        身份认证的主要目标是检验身份,即确定合法用户的身份和权限,识别假冒他人身份的用户。认证系统可以与授权系统配合使用,在用户的身份通过认证后,根据其具有的授权来限制、其操作行为。常见的系统身份认证方式主要有入网访问控制和权限控制。
               入网访问控制
               入网访问控制为网络访问提供了第一层访问控制,限制未经授权的用户访问部分或整个信息系统。用户要访问信息系统,首先要获得授权,然后接受认证。对信息系统进行访问包含三个步骤:第一步,能够使用终端;第二步,进入系统;第三步,访问系统中的具体命令、交易、权限、程序和数据。目前,从市场上可以买到针对计算机、局域网、移动设备和拨号通信网的访问控制软件。访问控制规程要求为每个有效用户分配一个唯一的用户身份标识(UID),使用这个UID对要求访问信息系统用户的真实身份进行验证。可以使用数字证书、智能卡、硬件令牌、手机令牌、签名、语音、指纹及虹膜扫描等生物特征鉴别。
               其中,数字证书就是互联网通信中标志通信各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个权威机构——CA机构,又称证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。数字证书有两种形式,即文件证书和移动证书USBKEY。其中移动证书USBKEY是一种应用了智能芯片技术的数据加密和数字签名工具,其中存储了每个用户唯一、不可复制的数字证书,在安全性上更胜一筹,是现在电子政务和电子商务领域最流行的身份认证方式。其原理是通过USB接口与计算机相连,用户个人信息存放在存储芯片中,可由系统进行读/写,当需要对用户进行身份认证时,系统提请用户插入USBKEY并读出上面记录的信息,信息经加密处理送往认证服务器,在服务器端完成解密和认证工作,结果返回给用户所请求的应用服务。
               生物特征鉴别通过自动验证用户的生理特征或行为特征来识别身份。多数生物学测定系统的工作原理是将一个人的某些特征与预存的资料(在模板中)进行对比,然后根据对比结果进行评价。常见的测定方法如下。
               (1)脸部照片。计算机对脸部进行照相并将其与预存的照片进行对比。这种方法能够成功地完成对用户的识别,只是在识别双胞胎时不够准确。
               (2)指纹扫描。当用户登录时,可扫描用户的指纹并将其与预存的指纹进行对比,确定是否匹配。
               (3)手型识别。这种方法与指纹扫描非常类似,不同之处在于验证人员使用类似于电视的照相机对用户的手进行拍照,然后将手的某些特征(如手指长度和厚度等)与计算机中存储的信息进行对比。
               (4)虹膜扫描。这种技术是使用眼睛中有颜色的一部分来确定个人身份的方法,通过对眼睛进行拍照并对照片进行分析来确定用户身份,结果非常准确。
               (5)视网膜扫描。这种方法对视网膜上的血管进行扫描,将扫描结果与预存的照片进行对比。
               (6)语音扫描。这种方法通过对比用户的语音与计算机中预存的语音来验证用户身份。
               (7)签名。将签名与预存的有效签名进行对比。
               (8)击键动态。将用户键盘压力和速度与预存的信息进行对比。
               (9)还有脸部温度测定等方法。
               网络的权限控制
               网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源;可以指定用户对这些文件、目录、设备能够执行哪些操作;可以根据访问权限将用户分为特殊用户(系统管理员)和一般用户,系统管理员根据用户的实际需要为他们分配操作权限。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录均有效,用户还可进一步指定目录下子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。
 
       数字签名
        传统商务活动中,我们通过手写签名达到确认信息的目的。电子商务活动中,交易双方互不见面,可以通过数字签名确认信息。数字签名技术有效解决了电子商务交易活动中信息的完整性和不可抵赖性问题。
               数字摘要
                      数字摘要的基本概念
                      数字摘要是利用哈希函数对原文信息进行运算后生成的一段固定长度的信息串,该信息串被称为数字摘要。产生数字摘要的哈希算法具有单向性和唯一性的特点。所谓单向性,也称为不可逆性,是指利用哈希算法生成的数字摘要,无法再恢复出原文;唯一性是指相同信息生成的数字摘要一定相同,不同信息生成的数字摘要一定不同。这一特征类似于人类的指纹特征,因此数字摘要也被称为数字指纹。
                      数字摘要的使用过程
                      数字摘要具有指纹特征,因此可以通过对比两个信息的数字摘要是否相同来判断信息是否被篡改过,从而验证信息的完整性。
                      数字摘要的使用过程如下图所示。
                      
                      数字摘要的使用过程
                      (1)发送方将原文用哈希(Hash)算法生成数字摘要1;
                      (2)发送方将原文同数字摘要1一起发送给接收方;
                      (3)接收方收到原文后用同样的哈希(Hash)算法对原文进行运算,生成新的数字摘要2;
                      (4)接收方将收到的数字摘要1与新生成的数字摘要2进行对比,若相同,说明原文在传输的过程中没有被篡改,否则说明原文信息发生了变化。
                      数字摘要算法
                      哈希(Hash)算法是实现数字摘要的核心技术。数字摘要所产生的信息串的长度和所采用的哈希算法有直接关系。目前广泛应用的哈希算法有MD5算法和SHA-1算法。
                      MD5算法的全称是“Message-Digest Alogrithm 5”,诞生于1991年,由国际著名密码学家、RSA算法的创始人Ron Rivest设计发明,经MD2、MD3和MD4发展而来。MD5算法生成的信息摘要的长度为128位。
                      SHA算法的全称是“Secure Hash Alogrithm”,诞生于1993年,由美国国家标准技术研究院(NIST)与美国国家安全局(NSA)设计。SHA(后来被称作SHA-0)于1995年被SHA-1替代,之后又出现了SHA-224、SHA-256、SHA-384和SHA-512等,这些被统称为SHA-2系列算法。SHA-1算法生成的信息摘要的长度为160位,而SHA-2系列算法生成的信息摘要的长度则有256位(SHA-256)、384位(SHA-384)、512位(SHA-512)等。与MD5算法相比,SHA算法具有更高的安全性。
                      MD5算法和SHA算法在实际中有着广泛的应用。与公钥技术结合,生成数字签名。目前几乎主要的信息安全协议中都使用了SHA-1或MD5算法,包括SSL、TLS、PGP、SSH、S/MIME和IPSec等。UNIX系统及不少论坛/社区系统的口令都通过MD5算法处理后保存,确保口令的安全性。
                      需要说明的是,2004年8月,在美国加州圣芭芭拉召开的国际密码学会议上,我国山东大学王小云教授宣布了她及她的研究小组对MD5、HAVAL-128、MD4和RIPEMD等四个著名密码算法的破译结果。2005年2月,王小云教授又破解了另一国际密码算法SHA-1。这为国际密码学研究提出了新的课题。
               数字签名
                      数字签名的基本概念
                      在ISO 7498-2标准中,数字签名被定义为:“附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。实际上,简单地讲,数字签名就是在网络中传送信息报文时,附加一个特殊的唯一代表发送者个人身份的标记,以起到传统上手写签名或印章确认的作用。
                      数字签名建立在数字摘要的基础上,结合公钥加密技术实现。发送者应用自己的私钥对数字摘要进行加密,即生成数字签名。由于发送者的私钥仅为发送者本人所有,所以附加了数字签名的信息能够确认消息发送者的身份,也防止了发送者对本人所发送信息的抵赖行为。同时通过数字摘要技术,接收者可以验证信息是否发生了改变,从而确定信息的完整性。
                      数字签名的使用过程
                      数字签名的使用过程包括签名和验证两部分,如下图所示。
                      
                      数字签名的使用过程
                      (1)发送方将原文用哈希(Hash)算法生成数字摘要Z;
                      (2)发送方将数字摘要Z用自己的私钥加密;
                      (3)发送方将加密后的数字摘要Z(即数字签名)同原文一起发送给接收方;
                      (4)接收方用发送方的公钥解密数字签名,得到数字摘要Z;
                      (5)接收方对接收到的原文用同样的哈希(Hash)算法生成数字摘要Z′;
                      (6)比较Z和Z′,若二者相同,说明信息完整且发送者身份是真实的。
                      由以上过程可以看到,数字签名具有以下两个作用:
                      (1)确认信息的完整性。接收方将原文生成的数字摘要与用接收到的原文生成的新的数字摘要进行对比,相同则说明信息没有改变,不同则说明信息内容发生了变化。因此数字签名能够验证信息是否被修改,从而确定信息的完整性。
                      (2)确认信息发送者的身份,保证发送信息的不可抵赖性。发送者用自己的私钥对数字摘要进行加密,接收者如果能用对应的公钥进行解密,则说明信息一定是由该发送者发送的,从而确认了发送者的身份。此外,由于发送者的私钥是发送者本人拥有(除非丢失、泄露或被窃取),所以发送者不能否认自己曾经发送过的信息。
                      数字签名的种类
                      实现数字签名的基本方法有以下几种。
                      (1)RSA签名。RSA签名是基于RSA算法实现数字签名的方案,ISO/IEC 9796和ANSI X9.30-199X已将RSA作为建议数字签名的标准算法。
                      (2)ElGamal签名。ElGamal签名是专门为签名目的而设计。该机制由T.ElGamal于1985年提出,经修正后,被美国国家标准与技术学会(NIST)作为数字签名标准(Digital Signature Standard,DSS)。
                      RSA签名基于大整数素数分解的困难性,ElGamal签名基于求离散对数的困难性。在RSA签名机制中,明文与密文一一对应,对特定信息报文的数字签名不变化,是一种确定性数字签名。ElGamal签名机制采用非确定性的双钥体制,对同一消息的签名,根据签名算法中随机参数选择的不同而不同,是一种随机式数字签名。
 
       认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议


 题号导航      2018年上半年 系统集成项目管理工程师 上午试卷 综合知识   本试卷我的完整做题情况 
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
↓第5题