电子商务专业数据安全复习提纲(含答案)

《电子商务安全与支付》复习提纲1.简述电子商务安全面临的主要问题。

交易环境的安全性交易对象和交易过程的安全性网上支付的安全需求2. 对销售者而言，他面临的安全威胁主要有哪些？(1) 中央系统安全性被破坏(2) 竞争者检索商品递送状况(3) 客户资料被竞争者获悉(4) 被他人假冒而损害公司的信誉(5) 消费者提交订单后不付款(6) 虚假订单(7) 获取他人的机密数据3. 对消费者而言，他面临的安全威胁主要有哪些？(1) 虚假订单(2) 付款后不能收到商品(3) 机密性丧失(4) 拒绝服务4.网上进行电子交易的5个安全性要求(1) 真实性要求(2) 有效性要求(3) 机密性要求(4) 完整性要求(5) 不可抵赖要求5.对称密钥算法和非对称密钥算法的原理和特点。

对称密钥加密，又称私钥加密，即发送和接收数据的双方必须使用相同的对称的密钥对明文进行加密和解密运算。

对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。

非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥；另一个由用户自己秘密保存，称为私有密钥。

非对称加密体系不要求通信双方事先传递密钥或有任何约定就能完成保密通信，并且密钥管理方便，可实现防止假冒和抵赖，因此，更适合网络通信中的保密通信要求。

非对称加密算法与对称加密算法的区别首先，用于消息解密的密钥值与用于消息加密的密钥值不同;其次，非对称加密算法比对称加密算法慢数千倍，但在保护通信安全方面，非对称加密算法却具有对称密码难以企及的优势。

6.DES、AES算法的基本原理和特点。

DES中数据以64bit分组进行加密，密钥长度作为56bit。

加密算法经过一系列的步骤把64位的输入变换为64bit的输出，解密过程中使用同样的步骤和同样的密钥。

明文和密文的长度均为64位，密钥长度为56位。

DES的加密解密需要完成的只是简单的算术运算，因此速度快，密钥生成容易，能以硬件或软件的方式非常有效地实现。

《电子商务概论》复习提纲一、判断题1. 电子商务就是计算机技术在传统商务中的应用。

（⨯）解释：不仅仅是计算机技术，还有自动化、无线电技术2. 指纹系统比视网膜系统安全又便宜。

（⨯）解释：后者更安全，更难复制3. 微软公司已经解决了反垃圾邮件问题，提供了完整的解决方案。

（⨯）解释：目前仍无此类方案问世4. 电子货币分信用卡、IC卡、电话卡和购物卡四大类。

（⨯）解释：磁卡信用卡、IC卡、电子支票、数字货币5. 电子商务成功的充要条件是：资本、创意和技术（⨯）解释：是必要条件，而不是充分条件。

成功的因素还有很多。

6. 掌握信息技术和管理技术的人不等于就是电子商务人才。

（√）7. 一个物流公司既可能从事第三方物流，也可能从事第四方物流。

（√）8. ERP是企业信息化中的一种重要软件，在中国的成功率大约为50%。

（⨯）解释：20%左右9. 中国已经有了自己的签名标准和加密标准。

（⨯）解释：无加密标准10.数字证书是传统身份证的电子化，其关键技术是数据加密。

（⨯）解释：不是身份证的电子化，用的技术是数字签名，也不是加密。

11.目前大多数金融电子商务属于B-C模式，而许多网上二手货商品拍卖属于C-C模式。

（√）12.企业竞争性情报服务已经形成一种新兴的产业。

（√）13.西门子等大公司以“专家网络”作为构建知识源泉的重要策略。

（√）14.信用卡面临的安全问题主要是非法充值问题。

（⨯）解释：恶意透支问题是关键，IC卡的安全问题才是非法充值。

15.企业知识管理的核心是建立企业的在线学习系统。

（⨯）解释：关键是知识共享与交流系统16.知识产权包括专利、商标、名声、版权等（⨯）解释：去掉名声，其余三个正确17.中国开展国际贸易面临的两大壁垒是知识产权和关税。

（√）18.把别人已经做成的产品进行改进，这也属于创新。

（√）解释：属于改进创新19.保险业的发展关键是技术创新而非业务创新。

（⨯）解释：业务创新或产品创新（保险的产品就是服务）是关键20.学校不是企业，CRM不会发挥什么作用。

电子商务安全复习在当今数字化的时代，电子商务已经成为我们生活中不可或缺的一部分。

从在线购物到金融交易，从社交媒体到数字服务，电子商务的触角几乎延伸到了我们生活的每一个角落。

然而，随着电子商务的迅速发展，安全问题也日益凸显。

对于电子商务从业者和消费者来说，了解电子商务安全的相关知识，掌握有效的防范措施，是至关重要的。

接下来，让我们一起对电子商务安全进行一次全面的复习。

一、电子商务安全的重要性电子商务安全不仅仅是技术问题，更是关系到企业的生存和发展，以及消费者的信任和权益。

对于企业来说，如果其电子商务平台遭受攻击，导致客户数据泄露、交易中断或者资金损失，不仅会面临巨大的经济损失，还可能损害企业的声誉，失去客户的信任，从而在激烈的市场竞争中处于不利地位。

对于消费者来说，个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题，给生活带来极大的困扰和损失。

因此，保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。

二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。

包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击（DoS）等。

黑客可以通过攻击电子商务网站，窃取用户数据、篡改交易信息或者破坏系统正常运行。

病毒和恶意软件则可能潜伏在用户的设备中，窃取敏感信息或者监控用户的操作。

DoS 攻击则通过大量的无效请求导致网站瘫痪，使正常的交易无法进行。

2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。

在电子商务中，用户的个人信息（如姓名、地址、电话号码、信用卡信息等）、交易记录等都是重要的数据。

如果这些数据被泄露，可能被用于欺诈、身份盗窃等非法活动。

3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息，并以其名义进行非法活动。

在电子商务中，攻击者可能通过窃取用户的登录凭证、伪造身份等方式，进行虚假交易、骗取财物等。

4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。

第四章　电⼦商务的安全1.计算机安全计算机安全就是保护企业资产不受未经授权的访问、使⽤、篡改或破坏。

安全专家通常把计算机安全分成三类，即保密、完整和即需。

保密是指防⽌未授权的数据暴露并确保数据源的可靠性；完整是防⽌未经授权的数据修改；即需是防⽌延迟或拒绝服务。

安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。

安全策略是对所需保护的资产、保护的原因、谁负责进⾏保护、哪些⾏为可接受、哪些不可接受等的书⾯描述。

安全策略⼀般包含以下内容：(1)认证：谁想访问电⼦商务站？(2)访问控制：允许谁登录电⼦商务站并访问它？(3)保密：谁有权利查看特定的信息？(4)数据完整性：允许谁修改数据，不允许谁修改数据？(5)审计：在何时由何⼈导致了何事？2.对版权和知识产权的保护版权是对表现的保护，⼀般包括对⽂学和⾳乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。

知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。

3.保护客户机对客户机的安全威胁来⾃：(1)活动内容；(2)Java、Java⼩应⽤程序和javascript；(3)ActiveX控件；(4)图形⽂件、插件和电⼦邮件附件。

信息隐蔽是指隐藏在另⼀⽚信息中的信息(如命令)，其⽬的可能是善意的，也可能是恶意的。

信息隐蔽提供将加密的⽂件隐藏在另⼀个⽂件中的保护⽅式。

数字证书是电⼦邮件附件或嵌在页上的程序，可⽤来验证⽤户或站的⾝份。

另外，数字证书还有向页或电⼦邮件附件原发送者发送加密信息的功能。

4.通讯信道的安全威胁对保密性的安全威胁，是指未经授权的信息泄露。

对完整性的安全威胁也叫主动搭线窃听。

当未经授权⽅同意改变了信息流时就构成了对完整性的安全威胁。

对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁，其⽬的是破坏正常的计算机处理或完全拒绝处理。

5.信息加密加密就是⽤基于数学算法的程序和保密的密钥对信息进⾏编码，⽣成难以理解的字符串。

第一章电子商务安全概论一、电子商务安全要素有效性：EC以电子信息取代纸张，如何保证电子形式贸易信息的有效性则是开展EC 的前提。

机密性：EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密完整性：由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。

可靠性：指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误不可否认性：信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息二、电子商务安全问题a)黑客攻击问题：主动、被动b)软件的漏洞和“后门”：操作系统、数据库、IE等c)网络协议的安全漏洞：Telnet、FTP等HTTPd)病毒的攻击：良性/恶性、单机/网络三、常见的攻击技术1：信息收集型攻击：主要采用刺探、扫描和监听地址扫描，端口扫描，体系结构探测，DNS域名服务，LDAP服务，伪造电子邮件2：利用型攻击：利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。

口令猜测，特洛伊木马，缓冲区溢出3：拒绝服务攻击：拒绝服务目的在于使系统瘫痪，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

死亡之ping，泪滴，UDP洪水，电子邮件炸弹四、电子商务安全体系结构第二章信息加密技术与应用一、加密技术发展过程古代密码：古代的行帮暗语、文字游戏等古典密码：替代密码、转轮密码近现代密码：对称、非对称密码二、常见古典密码算法，希腊密码、凯撒密码希腊密码：密文：2315313134明文：HELLO凯撒密码：把每个英文字母向前推移K位A B C D E F G …… X Y ZD E F G H I J …… A B C明文:Jiangxi Normal University密文:mldqjal qrupdo xqlyhuvlwb三、对称称密码体系概念、特点，DES算法的过程概念：即加密密钥与解密密钥相同的密码体制，这种体制中只要知道加(解)密算法，就可以反推解(加)密算法。

电子商务安全复习题答案第1章概论1、电子商务安全问题主要涉及哪些方面? p5答：信息的安全问题、信用的安全问题、安全的管理问题、安全的法律问题。

2、电子商务系统安全由系统有哪些部分组成? p7答：实体安全、系统运行安全、系统信息安全。

3、电子商务安全的基本需求包括哪些? P16答：保密性、完整性、认证性、可控性、不可否认性。

4、电子商务安全依靠哪些方面支持? P17答：技术措施、管理措施、法律环境。

5、什么是身份鉴别，什么是信息鉴别？ p15答：所谓身份鉴别，是提供对用户身份鉴别，主要用于阻止非授权用户对系统资源的访问。

信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。

第2章信息安全技术1、信息传输中的加密方式主要有哪些? P27答：链路-链路加密、节点加密、端-端加密。

2、简述对称加密和不对称加密的优缺点。

P35 p40答：（1）对称加密优点：由于加密算法相同，从而计算机速度非常快，且使用方便、计算量小、加密与解密效率高。

缺点：1)密钥管理较困难；2)新密钥发送给接收方也是件较困难的事情，因为需对新密钥进行加密；3）其规模很难适应互联网这样的大环境。

（2）不对称加密优点：由于公开密钥加密必须由两个密钥的配合使用才能完成加密和解密的全过程，因此有助于加强数据的安全性。

缺点：加密和解密的速度很慢，不适合对大量的文件信息进行加密。

3、常见的对称加密算法有哪些? P35答：DES、AES、三重DES。

4、什么是信息验证码，有哪两种生成方法？ P36答：信息验证码（MAC）校验值和信息完整校验。

MAC是附加的数据段，是由信息的发送方发出，与明文一起传送并与明文有一定的逻辑联系。

两种生成方式:1)j基于散列函数的方法；2）基于对称加密的方法。

5、如何通过公开密钥加密同时实现信息的验证和加密？P39答：1）发送方用自己的私有密钥对要发送的信息进行加密，得到一次加密信息。

2）发送方用接收方的公开密钥对已经加密的信息再次加密；3）发送方将两次加密后的信息通过网络传送给接收方；4）接收方用自己的私有密钥对接收到的两次加密信息进行解密，得到一次加密信息；5）接收方用发送方的公开密钥对一次加密信息进行解密，得到信息明文。

1.简述电子商务安全面临的主要问题。

P11电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。

计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。

其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。

商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，存计算机网络安全的基础上，保障电子商务过程的顺利进行。

电子商务安全问题：(一)基础技术相对薄弱。

(二)体系结构不完整。

(三)电子商务信息存储安全隐患恶者对电子商务系统的威胁：（1）系统穿透（2）违反授权原则（3）植入（4）通信监视（5）通信干扰（6）中断（7）拒绝服务（8）否认电子商务系统安全需求：交易环境安全性、交易对象安全性、交易过程安全性和支付的安全性。

对于电子商务而言：交易对象和交易过程的安全性直接关系到交易成功与否。

2.对销售者而言，他面临的安全威胁主要有哪些？P21(1)中央系统安全性被破坏(2) 竞争者检索商品递送状况(3) 客户资料被竞争者获悉(4) 被他人假冒而损害公司的信誉(5) 消费者提交订单后不付款(6) 虚假订单(7) 获取他人的机密数据3.对消费者而言，他面临的安全威胁主要有哪些？P21(1)虚假订单(2) 付款后不能收到商品(3) 机密性丧失(4) 拒绝服务4.网上进行电子交易的5个安全性要求P25一个安全、有效的支付系统是实现电子商务的重要前提，对于网上支付系统的安全需求主要表现为如下几个方面：(1) 使用X.509数字签名和数字证书实现对各方的认证，以证实身份的合法性。

(2) 使用加密算法对业务进行加密，以防止未被授权的非法第三者获取消息的真正含义。

(3) 使用消息摘要算法以确认业务的完整性。

(4) 保证对业务的不可否认性。

(5) 处理多方贸易业务的多边支付问题。

5.对称密钥算法和非对称密钥算法的原理和特点。

20XX年复习资料大学复习资料专业：班级：科目老师：日期：20XXXX-20XXXX二电子商务安全复习提纲第1章电子商务安全基础知识第1节电子商务安全概述一、电子商务安全的概念电子商务是利用计算机网络所进行的商务活动。

因此，电子商务的安全问题除了作为商务活动本身所存在的风险外，本课程主要介绍由于计算机网络的应用所带来的安全问题。

电子商务的关键是商务信息电子化。

因此，电子商务的安全性问题的关键是计算机信息的安全性（一）对电子商务安全的要求（二）信息安全的要求及发展1、20XX世纪90年代以前——通信保密（COMSEC）时代该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。

2、20XX世纪90年代——信息安全（INFOSEC）时代数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的可用性需求。

因此，该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。

3、90年代后期起——信息安全保障（IA）时代该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。

并且需要对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。

由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型。

二、电子商务安全的需求特征l 保密性l 完整性l 不可否认性l 认证性l 可用（访问）性l 可控性l 可审查性l 合法性三、电子商务安全问题（一）电子商务安全问题的根源1、自身缺陷2、网络开放性3、管理问题（二）电子商务安全问题1、网络传输安全：信息被泄密、篡改或假冒2、网络运行安全（服务器或客户机被攻击等）：网络的缺陷、管理的欠缺、黑客的攻击3、系统安全：系统软件的漏洞和后门、系统故障、崩溃四、网络安全体系与黑客攻击（一）电子商务安全特征与防御体系结构信息传输系统安全网络运行安全防范技术保密性×防止电磁泄漏、加密技术完整性×单向加密、备份可控性××防火墙、监测、权限、审计认证性××数字签名、身份认证不可否认性×数字签名可用性××容错、容灾、防攻击（二）黑客攻击流程第2节电子商务的安全保障一、安全策略（一）信息加密策略1、网络加密常用的方法有链路加密、端点加密和节点加密三种。

•第1章：TCP/IP协议简介1.TCP/IP协议体系结构(各层协议)①应用层：仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP②传输层：TCP（传输控制协议）、UDP（用户数据报协议）③网络层：网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消息协议ICMP2.局域网工作原理(Ip地址和Mac地址的变换)以太网的基本工作原理工：①载波监听：当一个站点要向另一个站点发送信息时，先监听网络信道上有无信息在传输，信道是否空闲。

②信道忙碌：如果发现网络信道正忙，则等待，直到发现网络信道空闲为止。

③信道空闲：如果发现网路信道空闲，则向网上发送信息。

由于整个网络信道为共享总线结构，网上所有站点都能够收到该站点所发出的信息，所以站点向网络发送信息也称为“广播”。

④冲突检测：站点发送信息的同时，还要监听网络信道，检测是否有另一台站点同时在发送信息。

如果有，两个站点发送的信息会产生碰撞，即产生冲突，从而使数据信息包被破坏。

⑤遇忙停发：如果发送信息的站点检测到网上的冲突，则立即停止发送，并向网上发送一个“冲突”信号，让其他站点也发现该冲突，从而摒弃可能一直在接收的受损的信息包。

⑥多路存取：如果发送信息的站点因“碰撞冲突”而停止发送，就需等待一段时间，再回到第一步，重新开始载波监听和发送，直到数据成功发送为止。

第2章：网络安全基础1.计算机网络安全的定义网络安全的学术定义为：通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容有控制能力。

2.逻辑炸弹的定义在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。

在一般情况下，网络处于正常工作状态，一旦到了某个预定的日期，程序便自动跳到死循环程序，造成四级甚至网络瘫痪。

3.遥控旁路的定义除了给用户提供正常的服务外，还将传输的信息送给设定的用户，这就是旁路，这种情况非常容易造成信息的泄密。

电子商务安全导论电子商务：顾名思义，是建立在电子技术基础上的商业运作，是利用民子技术加强，加快，扩展，增强，改变了其有关过程的商务。

Intranet：是指基于TCP/IP协议的企业内部网络，它通过防火墙或其他安全机制与intranet建立连接。

intranet上提供的服务主要是面向的是企业内部。

Extranet：是指基于TCP/IP协议的企业处域网，它是一种合作性网络。

商务数据的机密性：商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取，不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。

邮件炸弹：是攻击者向同一个邮件信箱发送大量的垃圾邮件，以堵塞该邮箱。

TCP劫持入侵：是对服务器的最大威胁之一，其基本思想是控制一台连接于入侵目标网的计算机，然后从网上断开，让网络服务器误以为黑客就是实际的客户端。

HTTP协议的“有无记忆状态”：即服务器在发送给客户机的应答后便遗忘了些次交互。

TLENET等协议是“有记忆状态”的，它们需记住许多关于协议双方的信息，请求与应答。

电子商务的模式1)大字报／告示牌模式。

2)在线黄页簿模式。

3)电脑空间上的小册子模式。

4)虚拟百货店模式。

5)预订／订购模式。

6)广告推销模式。

什么是保持数据的完整性？商务数据的完整性或称正确性是保护数据不被未授权者修改，建立，嵌入，删除，重复传送或由于其他原因使原始数据被更改。

在存储时，要防止非法篡改，防止网站上的信息被破坏。

在传输过程中，如果接收端收到的信息与发送的信息完全一样则说明在传输过程中信息没有遭到破坏，具有完整性。

加密的信息在传输过程，虽能保证其机密性，但并不能保证不被修改。

网页攻击的步骤是什么？第一步，创建一个网页第二步：攻击者完全控制假网页。

第三步，攻击者利用网页做假的后果：攻击者记录受害者访问的内容，当受害者填写表单发送数据时，攻击者可以记录下所有数据。

此外，攻击者可以记录下服务器响应回来的数据。

电子商务安全技术复习第一章电子商务安全概论1.拒绝服务攻击是什么？又是怎样实现的？答：拒绝服务目的在于使系统瘫痪，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

拒绝服务发生时，系统通常并不会遭到破解，但该服务会丧失有效性，即无法再对正常的请求进行响应。

常见的拒绝服务攻击手段包括：死亡之ping，泪滴，UDP洪水，电子邮件炸弹等。

2.对称加密，非对称加密的概念？答：对称加密指加密和解密使用相同密钥的加密算法。

非对称加密指加密和解密使用不同密钥的加密算法。

（非对称加密算法需要两个密钥，公开密钥和私有密钥是一对，如果公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。

因为加密和解密使用的是两个不同的密钥，所以这种算法叫做非对称加密算法。

）3.认证技术的概念？答：电子认证，从根本上说，是一种服务，其通过对交易各方的身份、资信进行认证，对外可以防范交易当事人以外的人故意入侵而造成风险，从而防止欺诈的发生；对内侧可防止当事人的否认，以避免当事人之间的误解或地来说，从而减少交易风险，维护电子交易的安全，保障电子商务活动顺利进行。

电子商务认证系统有三种认证模式：政府主导的电子商务认证体系；行业协会主导的电子商务认证体系；当事人自由约定的电子商务认证体系。

第二章信息加密技术与应用1.流密码的概念？答：流密码采用密钥生成器，从原始密钥生成一系列密钥流用来加密信息，每一个明文可以选用不同的密钥加密。

2.分组密码？答：分组密码体制是目前商业领域中比较重要而流行的一种加密体制，它广泛地应用于数据的保密传输、加密存储等应用场合。

分组密码对明文进行加密时，首先需要对明文进行分组，每组的长度都相同，然后对每组明文分别进行加密得到等长的密文，分组密码的特点是加密密钥与解密密钥相同。

分组密码的安全性组要依赖于密钥，而不依赖于对加密算法和解密算法的保密，因此，分组密码的加密和解密算法可以公开。

《电子商务安全技术》复习要点第一章电子商务安全概述1、电子商务安全的含义或需求（6/7个特性，及相关的技术）2、电子商务安全问题有哪些?能举例说明3、电子商务安全的构成（从安全等级划分，从电子商务系统构成划分）4、电子商务安全特点第二章信息安全技术1.概念：对称加密，非对称加密，数字签名2.RSA加密算法计算（扩展欧几里德算法）3.数字签名目的、原理、特点、类型、常用数字签名方法（有哪些？）4.RSA数字签名原理5.验证技术：目的、身份验证原理6.基于个人令牌的验证（类型、功能）7.基于生物特征的验证（类型）8.基于数字时间戳的验证（时间戳、目的、构成）9.基于数字证书的验证（验证过程）第三章互联网安全技术1、网络层安全、应用层安全、系统安全2、防火墙技术（目的、特点、功能、类型）3、IP协议安全（IP层安全、IPsec基本功能及应用与特点、安全关联SA概念、AH与ESP 协议提供的安全服务及工作模式）4、VPN技术（VPN概念、应用、原理、类型）5、SSL、SET协议（安全服务或功能、交易参与方、二者的比较）第四章数字证书1、数字证书的概念、主要内容、类型及其作用、格式2、证书管理机构3、证书申请、分发、撤销第五章公钥基础设施与应用1、PKI的概念、PKI平台构成2、CA结构3、认证路径的概念4、什么是CP、CPS第六章电子商务安全策略与管理1、电子商务安全策略的概念2、制定安全策略的原则3、制定安全策略考虑的有关项目4、网络安全策略、主机安全策略、设施安全策略、数据管理策略、安全交易策略题型：名词解释、填空、问答、计算题、案例分析第一章电子商务安全概述1、电子商务安全的含义或需求（6/7个特性，及相关的技术）(1)机密性（ Confidentiality，保密性）:信息传输或存储过程中不被窃取、泄露，或未经授权者无法了解其内容。

(2)完整性（Integrity，真实性）:信息不被未授权者修改（更改、嵌入、删除、重传）、假冒。

一.电子商务安全概述电子商务安全的6大需求、各需求的内涵及解决该需求用到的技术1）机密性：又叫保密性。

指信息在传送或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。

（2）完整性：又叫真确性。

保护数据不被未授权者修改、建立、嵌入、删除、重复发送或者由于其他原因使原始数据被更改。

3）认证性：指网络两端的使用者在沟通之前相互确认对方的身份。

一般通过CA认证机构和证书来实现（4）不可抵赖性：即不可否认性，指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。

通过数字签名来保证（5）不可拒绝性：又叫有效性或可用性。

保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。

（6）访问控制性：指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

一般可通过提取消息摘要的方式来保证电子商务安全基础技术（1）密码技术：加密、数字签名、认证技术、密钥管理（2）网络安全技术：防火墙技术、VPN、入侵检测技术（3）PKI技术：利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。

它为EC、电子政务、网上金融提供一整套安全基础平台。

可信计算机系统评价准则(TCSEC)无保护级D类D1的安全等级最低，说明整个系统是不可信的。

D1系统只为文件和用户提供安全保护，对硬件没有任何保护、操作系统容易受到损害、没有身份认证。

D1系统最普通的形式是本地操作系统（如MS—DOS，Windows95/98），或者是一个完全没有保护的网络。

自主保护级C类C类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力，C类安全等级可划分为C1和C2两类。

C1为酌情保护级。

系统对硬件进行某种程度的保护，将用户和数据分开。

C2为访问控制保护级：增加了用户级别限制，加强了审计跟踪的要求。

《电子商务安全》课程期末复习资料《电子商务安全》课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全发展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥管理与分发技术第四节认证技术第五节数字水印与数字版权保护技术第三章电子商务安全协议第一节 IP协议安全体系第二节电子邮件安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务交易系统的安全第三节电子商务交易中的物流安全第四节电子商务交易安全体系第五章电子商务的支付安全第一节电子商务支付概述第二节电子商务支付安全需求第三节电子商务支付安全体系第四节电子商务安全支付平台第六章电子商务的信息安全第一节电子商务信息安全概述第二节电子商务信息安全目标第三节电子商务信息安全技术第四节电子商务信息安全评估第七章电子商务的网络安全第一节电子商务网络安全概述第二节电子商务网络系统安全目标第三节电子商务网络安全技术第四节电子商务网络安全策略与标准第五节电子商务网络安全评估第八章电子商务安全管理第一节电子商务安全管理概述第二节电子商务风险管理第三节电子商务系统管理第四节电子商务信用管理第五节电子商务人员管理与保密制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动电子商务的安全策略第四节移动电子商务的安全管理第十章实验★考核知识点: 数据加密技术附1.1.1（考核知识点解释）：所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。

加密技术是网络安全技术的基石。

电子商务复习资料第一部分选择题一、单项选择题1.常用的电子商务案例比较分析方法不．包括( )A.概念比较法B.理想类型比较法C.纵向比较法D.横向比较法2.EDI标准报文由三个部分组成，即( )A.台头、详情部、尾部B.首部、详情部、摘要部C.首部、摘要部、尾部D.台头、详情部、摘要部3.常用的EDI软件不．包括( )A.办公软件B.转换软件C.翻译软件D.通信软件4.符合拍卖法的网上拍卖形式是( )A.网上竞价买卖B.集体议价C.接受委托拍卖特定物品D.个人竞价5.以数据形式流通的货币是( )A.电子现金B.电子支票C.支票D.现金6.下列符合信息认证要求的是( )A.发信人知道某个秘密信息B.用户持有合法的随身携带的物理介质C.利用某些生物学特征D.对数据和信息来源进行验证7.A TM的含义为( )A.宽带网B.异步传输模式C.以太网D.同步传输模式8.SQL server 不．采用的安全机制是( )A.数据库用户帐号B.一级安全认证C.角色的许可认证D.二级安全认证9.电子支付案例属于( )A.电子商务B2C案例B.电子商务B2B案例C.电子商务服务案例D.EDI案例10.关于虚拟主机比较正确的做法是( )A.将真实主机的硬盘空间划分成若干份，然后租给不同的用户B.将真实主机的硬盘空间等分成若干份，然后租给不同的用户C.虚拟主机的多个用户仅用一个独立的IP地址D.虚拟主机的多个用户拥有多个相同的IP地址11.电子商务网站的软件系统一般不．考虑( )A.数据输入B.数据管理C.数据建模D.数据导出12.竞争优势与劣势分析属于电子商务案例分析中的( )A.电子商务网站背景分析B.电子商务网站建设与维护方法分析C.电子商务网站经营指标分析D.电子商务网站效益分析13.一个优秀的企业电子商务解决方案应首先强调( )A.数据的统计分析与处理过程B.信息的流动沟通与处理过程C.信息的安全保障与处理过程D.数据的安全保障与处理过程14.电子商务安全认证机构对信息的认证不．提供的功能是( )A.信息的可信性B.信息的价值性C.信息的完整性D.信息发送的不可抵赖性15.网络商品交易中心的货款结算方式一般采用( )A.交易者单独结算模式B.网上支付模式C.交易中心统一集中结算模式D.货到付款模式16.电子商务网站的整体策划内容一般不．包括( )A.网站目标定位B.网站信息内容确定C.网站的客户定位D.网站安全定位17.电子商务营销强调与顾客的互动，这种互动关系除了信息交流和交易过程的互动外，还包括( )A.商品配送互动B.网络广告互动C.资金结算互动D.服务层互动18.网上销售的电子图书的特点是( )A.价格非常低廉B.可以直接下载和打印C.阅读相当方便D.可购到最近出版的新书19.采用单一卖方建立、寻求众多买者，确定网络市场的营销策略是( )A.买方控制型营销策略B.企业控制型营销策略C.中介控制型营销策略D.卖方控制型营销策略20.B2C电子商务网站的收益模式不．包括( )A.收取服务费B.收取会员的会费C.收取信息流量费D.降低价格，扩大销售量21.电子商务在其运作过程中表现出很多特点，下面不．能作为电子商务特点的是（）A.个性化B.地区性C.低成本D.敏捷性22.已决问题案例是案例教学初级状态的教学资料，以下不．包括在这类案例资料中的是（）A.电子商务活动的状况及问题B.经验或教训的评估C.问题的备选方案D.解决方法和措施23.下列不．属于辩证逻辑思维方法的是（）A.质量分析法B.辩证分析法C.矛盾分析法D.归纳演绎法24.企业选定电子商务服务器，所需财力和技术投资由大到小排列，正确的是（）A.独立服务器、托管服务器、虚拟服务器B.虚拟服务器、托管服务器、独立服务器C.独立服务器、虚拟服务器、托管服务器D.托管服务器、独立服务器、虚拟服务器25.互联网应用服务提供商的正确表示是（）A.ISPB.ASPC.ICPD.IDC26.国内首家达到电信级的非中国电信运营的全国性数据通信运营机构是（）A.盈科数字商务有限公司B.中国移动通信公司C.263数据港D.东方网景27.与Windows系列操作系统集成最紧密的关系型数据库管理系统是（）A.ORACLEB.DB2C.SQL ServerD.My SQL28.电子商务网站软件建设的核心是（）A.客户定位B.盈利模式C.物流配送D.内容设计29.网络广告作为网络营销的重要手段，它所具有的特点是（）A.受众数量不可准确统计B.交互性强C.针对性不明确D.高成本30.与UPS公司主营业务存在差异的运通公司()，其客户经营管理全面解决方案的定位基础为（）A.旅行服务B.快递服务C.仓储服务D.财务服务31.戴尔公司建立了网上直销的经营模式，它属于B2C电子商务企业类型中的（）A.商品制造商B.虚拟零售商C.经营着离线商店的零售商D.网络交易服务公司32.某网站利用虚拟现实技术制作了复杂的网络广告进行宣传，它主要满足的网上购物行为属于（）A.功利型B.快乐型C.商品浏览型D.网络参与型33.关于网站栏目设计，下列描述正确的是（）A.栏目入口按钮应相对集中B.栏目和导航的含义是相同的C.页面栏目不宜过少，主次不分D.栏目应分组列在主页不同位置，通常为顶部横列34.B2B电子商务是企业之间通过因特网开展的交易活动，它不．包括（）A.电子交易市场B.通过因特网进行的企业数据交换C.企业数据交换D.专有网络内部交易35.阿里巴巴网站属于（）A.大型企业的B2B网站B.专门做B2B交易平台的网络公司C.垂直商务门户网站D.水平商务门户网站36.旅游产品非常适合网上销售，这是因为其所具有的（）A.复杂性B.无形性C.易逝性D.独立性37.提供英语培训的新东方网站属于（）A.综合教育网站B.面向中小学生的教育网站C.高等教育网站D.专业教育网站38.以下属于通信过程中信息完整性被破坏的例子是（）A.电子邮件传输延迟B.订单中订购数量在传输中被修改C.电子邮件丢失D.邮件发送人否认发送过信息39.EDI软件包括一些非常重要的特性，除编辑、开发辅助、审计选择之外，还包括（）A.通信软件B.翻译软件C.表驱动结构D.数据元素40.在EDI应用推广的近30年来，使用EDI较多的产业不．包括（）A.运输业B.农业C.工业D.金融业二、多项选择题1.已经建立或准备建立B2C电子商务网站的企业类型有( )A.经营离线商店的零售商B.商品制造商C.工业原材料加工企业D.网络交易服务公司E.没有离线商店的虚拟零售企业2.在Internet上实现安全电子商务所面临的任务是保证( )A.信息的保密性B.信息的扩展性C.数据的完整性D.交易身份的真实性E.信息的不否认性3.服务器托管可以减轻用户的负担，其特点有( )A.灵活B.稳定C.安全D.可信E.快速4.旅游电子商务网在线服务主要包括( )A.景区景点查询B.宾馆酒店客房查询及预定C.交通时刻查询及票务服务D.旅游商品的网上购买E.旅游投诉处理查询5.B2B交易大大降低了交易成本，具体表现在( )A.信息传递成本降低B.中间环节减少C.广告费用减少D.文件处理费用减少E.库存成本降低6.在确定企业电子商务网站域名时应考虑( )A.企业的形象B.简单和易记易用的名字C.域名的自我保护D.IP地址的选择E.已有商标或企业名称7.下图是虚拟主机示意图，图中“T”部分应为( )A.FDDIB.TCPC.ISDND.ADSLE.PSTN8.电子商务案例教学的重要性主要体现在( )A.能够深化所学的理论知识B.能够使理论学习与实践应用有机结合C.能够获得大量新的电子商务信息D.能够做到教学相长E.能够系统传授理论知识9.电子商务网站效益分析的主要内容包括（）A.营销方法分析B.经营风险分析C.盈亏状况分析D.竞争优势与劣势分析E.网站发展前景分析10.关于IIS说法正确的是（）A. Internet Information ServiceB.是IBM公司提供的Web服务器软件C. Windows NT、Windows XP操作系统都带有IISD.IIS包含WWW服务器、FTP服务器和Gopher服务器E.功能类似于NetScape公司的Enterprise Server11.与UNIX操作系统相比，Linux独有的特点包括（）A.多用户操作系统B.从Kernel到设备驱动程序、开发工具等，都完全免费C.源代码公开D.支持TCP/IP、HTTP、PPP、POP、SMTP协议E.无图形界面12.优秀电子商务网站的特征包括（）A.高技术融合量B.方便的信息交互C.华丽的页面D.灵活的导航E.合理的贸易方式13.对于企业电子商务网站的主页，建议少用背景音乐，因为背景音乐会（）A.增加网页文件的大小B.降低网站的整体感C.分散浏览者的注意力D.降低下载速度E.影响交易安全14.水平网站成功的关键因素包括（）A.业务处理流程的标准化程度B.业务及作业流程自动化处理专业知识C.传统行业的低效率D.根据行业差异定制业务处理流程的能力E.不提供内容的自动化处理水平15. 网络商品交易中心为客户提供的全方位服务包括（）A.提供市场信息B.商品交易C.货款结算D.仓储配送E.计算机网络16.关于CA中心，下列说法正确的是（）A.是数字证书认证中心B.对含有私钥的证书进行数字签名C.是一个公正权威的第三方机构D.既可签发SSL证书，也可签发SET证书E.既可签发单位数字证书，也可签发个人数字证书第二部分非选择题三、名词解释题1.防火墙2.EDI翻译软件3.订单跟踪4.ISDN5.卖方控制型营销策略6.EDI转换软件四、简答题1.简述B2B电子商务的交易流程。

电子商务安全技术复习参考题1.电子商务的安全要素有哪些？针对不同要素如何利用安全技术进行安全防范？P32.何谓数字签名？其实质内容是什么？在电子商务中数字签名主要起什么作用？其主要实现方法和基本用途有哪些？p42-43，p187就是只有信息的发送者才能产生的,别人无法伪造的一段数字串,它同时也是对发送者发送的信息的真实性的一个证明.签署一个文件或其他任何信息时,签名者首先须准确界定要签署内容的范围.然后,签名者软件中的哈希函数功能将计算出被签署信息惟一的哈希函数结果值(为实用目的).最后使用签名者的私人密码将哈希函数结果值转化为数字签名.得到的数字签名对于被签署的信息和用以创建数字签名的私人密码而言都是独一无二的.实现方法：公钥加密技术和散列算法（Hash算法）相结合的一种数字签名方式。

3.简述身份认证包含的基本内容，并说明如何实现？p454.简述CA安全认证体系的功能和特点（1）认证性。

指ca认证体系可以使任何不知道密钥的人无法构造一个密报，可以使意定的接收者能够解密成一个可理解的信息。

意定的接收者能够检验和证实信息的合法性和真实性。

信息的发送者对所发送的信息不能抵赖。

除了合法信息发送者之外，其他人无法伪造合法的信息。

（2）保密性。

ca可以使戴获者在不知道密钥的条件下不能解读到该密文的内容。

（3）完整性。

在自然和人为干扰条件下，ca有保持恢复信息和原来发送信息一致性的能力。

应用中通常借助于纠错、检错技术来保证信息的完整性。

（4）独立性。

我国的电了政务ca安全认证体系既和国际接轨，又符合中国国情，拥有自主版权；既符合国际标准，又保持了系统自身的独立性。

（5）应用的广泛性。

ca充分考虑了我国各地经济和政治发展的现实状况，使不同应用层次的业务能够在同一认证体系下得以认证，拓宽了业务覆盖面。

而且，可以采取多种接入方式，同时方便企业用户和个人用户，采用各种通讯工具在ca安全认证体系的支撑下使用各类业务，扩大了安全认证体系的用户面。