第六章 电子商务安全
《电子商务安全》课程教学大纲
《电子商务安全》课程教学大纲
一、课程概述
本课程主要讲述电子商务安全的基本知识与实际应用。围绕保障电子商务活动的安全性,针对电子商务应用的基本安全问题及解决方案进行了详细的介绍与阐述。本课程的主要内容分为8章,依次是:电子商务安全概述,信息安全技术,网络与应用系统安全技术,电子商务的认证与安全电子邮件技术,电子商务支付技术,安全电子交易协议(SET),安全套接层协议(SSL),以及安全电子商务应用等内容,并根据每章的具体内容安排有相应的练习与实训题。
本课程核心在于电子商务安全的技术保障措施方面,主要是信息技术方面的措施,如防火墙,网络防毒,信息加密,身份认证等。
本课程的重点章节是第二章至第七章,即:信息安全技术,网络与应用系统安全技术,电子商务的认证与安全电子邮件技术,电子商务支付技术,安全电子交易协议(SET),以及安全套接层协议(SSL)。
二、课程定位
本课程适用于电子商务专业和信息管理专业的本科和专科学生,属于专业基础课程。同时也可以作为市场营销、工商管理和经济贸易转移的本科和专科学生的公共选修课程。
三、学习目的
本课程实用性强,希望通过本课程的学习,结合案例,对基本理论、基本技能和技术应用能力进行培养,使学生能及掌握电子商务安全知识及其应用技术,能对电子商务系统的安全问题做出系统性的分析、解释和处理。
四、与其它课程的关联
本课程学习所需要具备的先期基本知识主要包括《电子商务概论》、《电子商务技术基础》这两门课程中所涉及到的内容。本课程的学习为后续的《网络支付》、《系统设计与分析》、
06 电子商务安全交易
英格码破解大师阿兰· 图灵(Alan Turing)
神奇 的 图灵 炸弹
一台图灵“炸弹”高2米,长2米,宽1米。 图灵的研究于1940年初完成,机器由英国塔 布拉丁机械厂制造。
英军神勇夺取英格码
除了要获得密码本外,了解德国海军特 制ENIGMA机尤其是它的转子线路无疑也 是破译密码所必需的。 英国夺取英格码历史片断:
甲
保密性:信用信息和商业信息的保密性
0
0 元
丙
0 元
完整性:减少信息传递过程中的丢失和保证传 送次序的统一 交易者身份的确定性:可靠在确认对方身份 不可否认性:交易信息的不可否认性 不可修改性:交易信息的不可修改性
在电子商务所需的几种安全性要求 中,以保密性、完整性、身份的确 认性和不可否认性最为关键。电子 商务安全性要求的实现涉及到多种 安全技术的应用。
德国海军元帅邓尼茨使用“狼群战术”来对付英 国的海上运输线。如果有一艘潜艇发现目标,它就 会通过保密和快速的英格玛通讯通知其它潜艇增援 向目标发动高度协作的进攻。 在1940年6月到1941年6月一年间,盟军平均每月 损失五十艘船只,而且建造新船只的能力已经几乎 不能够跟上损失的步伐;与此相联系的还有巨大的 人命损失——在战争中有高达50000名水手葬身大西 洋底。英国面临在大西洋海战中失败的危险,而在 大西洋海战中失败,也就意味着在整个战争中失败。
电子商务概论复习重点整理
电子商务概论复习重点
整理
IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
第一章电子商务概述1、电子商务的发展经历了哪几个阶段:高速发展阶段、调整蓄势阶段、复苏稳步发展阶段。
2、电子商务的概念:电子商务是各种具有商业活动能力和需求的实体为了跨越时空限制,提高商务活动效率,而采用计算机网络和各种数字化传媒技术等电子方式实现商品交易和服务交易的一种贸易形式。
包含一下几层含义:1.采用多种电子方式,特别是互联网。2.实现商品交易、服务交易。3.包含企业间、企业内部的商务活动。4.涵盖交易的各个环节,如询价、报价、订货、售后服务等。5,电子商务是形式,跨越时空,提高效率是主要目的。
3、电子商务有哪些主要功能:广告宣传、咨询洽谈、网上订购、网上支付、电子账户、服务传递、意见征询、交易管理。
4、什么是电子商务的“四流”:物流:商品和服务的配送和传输渠道、资金流:资金的转移过程、信息流:服务于商流和物流所进行的信息活动的总称、商流:商品在购、销之间进行交易和商品所有权转移的运动过程。
5、电子商务的分类:
按商业活动运作方式划分:完全电子商务、非完全电子商务。
按开展电子交易范围划分:本地电子商务、远程电子商务、全球电子商务。
按电子商务交易对象划分:有形商品交易电子商务、数字化商品交易电子商务、服务商品交易电子商务。
按参与交易对象不同划分:B2B、B2C、B2G、C2C、C2G.。
按电子商务应有平台划分:利用专用网的电子商务、基于互联网的电子商务、内联网电子商务、电话网电子商务。
电子商务安全与管理第二版课后习题答案
关键术语
第一章电子商务安全导论
1)电子商务安全问题:主要涉及信息的安全、信用的安全、安全的管理问题以及安全的
法律法规保障问题。
2)完整性:防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改。
3)电子商务系统安全:从计算机信息系统的角度来阐述电子商务系统的安全,认为电子商
务系统的安全是由系统实体安全、系统运行安全和系统信息安全这三个部分组成。
4)认证性:确保交易信息的真实性和交易双方身份的合法性。
5)电子商务安全保障:电子商务安全需要一个完整的保障体系,应当采用综合防范的思路,
从技术、管理、法律等方面去认识、去思考,并根据我国的实际和国外的经验,提出行之有效的综合解决的办法和措施。
6)可控性:保证系统、数据和服务能由合法人员访问,保证数据的合法使用。
7)保密性:保护机密信息不被非法取存以及信息在传输过程中不被非法窃取
8)不可否认性:有效防止通信或交易双方对已进行的业务的否认。
第二章:
1.链路——链路加密
链路加密(又称在线加密)是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
2.对称加密
称加密又叫秘密密钥加密,其特点是数据的发送方和接收方使用的是同一把密钥,即把明文加密成密文和把密文解密成明文用的是同一把密钥。3、节点加密
节点加密是指每对节点共用一个密钥,对相邻两节点间(包括节点本身)传送的数据进行加密保护。尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为信息提供安全性;都在中间节点先对信息进行解密,然后进行加密。
电子商务安全问题的研究
电子商务安全问题的研究
第一章绪论
随着电子商务的兴起,越来越多的人开始使用互联网进行购物、支付和交易等操作。然而,电子商务安全问题也逐渐被人们所关注。安全问题的发生可能会导致个人信息泄露、盗窃行为、信用
卡欺诈等一系列严重后果。因此,电子商务安全问题的研究愈加
重要。本文将从电子商务安全问题的背景出发,探讨其产生的原因、影响和解决方案。
第二章电子商务安全问题的背景
电子商务的发展背景是信息时代的普及,互联网的快速普及和
人们对于购物、消费等行为方式的变化。人们通过互联网可以轻
松地预定机票,订酒店,购买商品等。然而,这背后也可能存在
很多安全问题。电商安全问题包括但不限于:账户密码泄露,信
用卡盗刷,欺诈,网络病毒等。
第三章电子商务安全问题的原因
3.1 技术原因
电子商务安全问题的发生,首先跟技术安全相关,比如数据加密、网络架构、安全协议等问题,如果这些基本的安全措施没有
做到位肯定会存在风险。
3.2 商家经营不善
商家的安全意识和经营模式也对电子商务安全存在影响。一些
商家存在不诚信的销售行为,或者不严格的购物安全管理,从而
放大了安全隐患。
3.3 用户个人行为
用户在使用电子商务服务过程中的个人行为也会成为电商安全
的一个重要因素。如果用户不重视密码保护、公共网络使用不当,开放太多个人信息等,也很容易成为攻击者攻击的目标。
第四章电子商务安全问题的影响
4.1 个人信息泄露
个人信息被第三方获取使用存在乱用买卖、贩卖等现象,严重
的甚至会控制受害人的电脑甚至手机,并进行勒索或者利用其进
行不法攻击等其他行为。
4.2 信用卡欺诈
6第六章 电子商务与消费者权益保护习题答案-精品
第6章电子商务与消费者权益保护习题答案
一、名词解释
1.消费者:指购买商品、使用商品或接受服务的人,包括自然人、法人或其他社会组
织。
2.消费者权益保护法:广义的消费者权益保护法是指调整在确认消费者权利,规定经
营者的义务,以及国家在保护消费者权益的过程中发生的社会关系的法律规范的总称。
既包括《消费者权益保护法》这部保护消费者权益的基本法律,也包括其他法律、行政法规中的相关规定,以及单行的保护消费者权益的行政法规。狭义的消费者权益保护法则专指2014年3月15日起施行,经过第二次修正的《中华人民共和国消费者权益保护法》(简称《消法》)。
3.在线交易消费者:通过互联网购买消费品和接受服务的消费者,它包括经营者以外
的购买商品或接受服务的个人。
4.安全权:消费者在购买、使用商品和接受服务时享有人身、财产安全不受损害的权
利。消费者有权要求经营者提供的商品和服务,符合保障人身、财产安全的要求。
5.知情权:指消费者有权知悉其购买、使用的商品和接受的服务的真实情况的权利。
6.选择权:消费者在自主选择商品或者服务时,有权进行比较、鉴别和挑选。消费者
有权自主选择商品或服务。
7.公平交易权:消费者享有公平交易的权利,消费者在购买商品或者接受服务时,
有权获得质量保障、价格合理、计量正确等公平交易条件。
8.求偿权:消费者因购买使用商品或接受服务受到人身或财产损害的,可以依法获得
赔偿的权利。
9.隐私权:指公民享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵
扰、知悉、搜索、利用和公开等的一种人格权。
二、选择题
电子商务安全法律制度
电子商务安全法律制度电子商务安全法律制度范本:
第一章:引言
1.1 目的和范围
1.2 定义和解释
1.3 法律依据
第二章:电子商务安全概述
2.1 电子商务的定义
2.2 电子商务的优势和挑战
2.3 电子商务安全的重要性
第三章:电子商务安全法律框架
3.1 国家立法机构和机构执法职责
3.2 电子商务安全法律体系
3.3 电子商务安全标准和指南
第四章:个人信息保护
4.1 个人信息的定义和范围
4.2 个人信息收集、使用和处理的规定4.3 个人信息的安全保护措施
4.4 违法行为和惩罚
第五章:网络交易安全
5.1 网络交易的定义和范畴
5.2 电子商务平台的责任和义务
5.3 交易争议和纠纷解决机制
5.4 交易安全保障措施
第六章:网络支付和电子货币
6.1 网络支付的定义和范围
6.2 第三方支付机构的监管和管理
6.3 网络支付的安全性和合规性要求6.4 电子货币的发行和管理
第七章:电子合同和电子签名
7.1 电子合同的法律效力和要素
7.2 电子合同的签署和存档要求
7.3 电子签名的定义和分类
7.4 电子签名的法律效力和认证机制第八章:网络安全和网络攻击防护8.1 网络安全的定义和重要性
8.2 网络攻击的分类和特征
8.3 网络防护技术和措施
8.4 网络攻击行为的追责和惩罚
第九章:知识产权保护
9.1 网络知识产权的定义和范畴
9.2 知识产权的保护和侵权行为规制9.3 网络版权的保护和管理机制
9.4 知识产权纠纷解决机制
第十章:违法和不良信息处理
10.1 违法信息的定义和范畴
10.2 网络平台的违法信息处理义务10.3 违法信息的处理程序和措施10.4 举报和投诉机制
5.电子商务安全协议
封装安全载荷
验证头(AH)
加密算法
加密算法
解释域(DOI) 密钥管理
策略
SSL协议的运行步骤
客户机通过网络 向服务器打招呼,
服务器回应
客户机与服务器 之间交换双方认 可的密码,一般 选用RSA密码算
法;
接通阶段
密码交换阶段
客户机与服务器 之间相互交换结
束的信息
服务器验证客户 机的可信度
结束阶段
客户认证阶段
客户机器与服务 器间产生彼此交 谈的会谈密码
会谈密码阶段 客户机检验服务 器取得的密码
IPSec协议
• 由验证头(AH)、封装安全载荷(ESP)、I nternet安全关联和密钥管理协议ISAKMP的I nternet IP安全解释域(DOI)、ISAKMP、I nternet密钥交换(IKE)、IP安全文档指南、 OAKLEY密钥确定协议等组成。
IPSec的组成
IPSec 体 系
第六章 电子商务安全协议
理论
电子商务安全协议 电子商务安全交易需求 电子商务安全套接层协议 安全电子交易规范(SET) IPSec协议
实践
证书服务的安装、管理 在网站上建立证书申请文件 客户机与网站的SSL连接
电子商务安全交易需求
• 真实性要求 • 机密性要求 • 完整性要求 • 可用性要求 • 不可抵赖性要求 • 可控性要求
电子商务安全声明
电子商务安全声明
随着电子商务的迅速发展,越来越多的人选择在线购物和在线交易。然而,随之而来的是与电子商务相关的安全威胁。为了保障您的利益
和信息的安全,我们制定了以下的电子商务安全声明。
**第一章:隐私保护**
我们承诺保护您的个人隐私信息。在您使用我们的电子商务平台进
行购物和交易时,我们将确保您的个人信息不被滥用或泄露。我们采
取了一系列的措施,包括数据加密、访问控制和信息安全技术,以保
护您的隐私。
**第二章:支付安全**
在进行在线支付时,我们提供多种安全支付选项,以确保您的资金
安全。您可以选择信用卡、支付宝、微信支付等方式进行支付。无论
您选择哪种支付方式,我们都将采取适当的措施来保障交易的安全性。
**第三章:虚假信息**
我们禁止虚假信息和虚假交易。我们会对卖家和买家的身份进行验证,以减少虚假信息和欺诈行为的发生。如果您遇到虚假信息或欺诈
行为,我们鼓励您立即向我们报告,以便采取相应措施。
**第四章:数据安全**
我们采取了安全措施来保护您在电子商务平台上的数据。这包括数
据备份、恶意软件防护和网络安全措施。我们将尽最大努力防止数据
泄露和未经授权访问。
**第五章:投诉处理**
如果您对我们的服务或产品有任何投诉或疑虑,请随时与我们联系。我们将竭尽所能解决您的问题,以确保您对我们的电子商务平台有一
个满意的体验。
**第六章:合规性**
我们严格遵守相关法律法规和行业标准,以保障您的权益。我们将
持续更新我们的安全措施,以适应不断变化的安全环境。
**结语**
电子商务为我们提供了便捷的购物和交易方式,但安全问题一直备
《电子商务安全与支付》1-10章课后思考题答案
第一章电子商务安全概述
一.电子商务的功能包括哪些方面?
1.企业业务组织,
2.信息发布与广告宣传,
3.咨询洽谈,
4.网上订购,
5.网
上支付,6.网上金融与电子账户,7.信息服务传递,8.意见征询和调查统计,9.交易管理。
二.电子商务的安全要素包括哪些方面?
电子商务的安全要素有以下四点:
1.有效性、真实性;
2.机密性;
3.数据的完整性;
4.可靠性、不可抵赖性。
三.网络支付的安全需求包括哪些方面?
网络支付的安全需求包括以下几个方面:
1.数据的私有性和安全性;
2.数据的完整性;
3.通信交易和存取要求的合法性;
4.不可抵赖性;
5.可审查性;
6.系统可控性;
7.认证性;
8.不可拒绝性;
9.匿名性;
10.原子性。
第二章电子商务安全技术一.软件系统的安全维护策略有哪些?
1.从基本做起,及时安装系统补丁;
2.安装和设置防火墙;
3.安装网络杀毒软件;
4.关闭不需要的服务和端口;
5.定期对服务器进行备份;
6.账号和密码保护;
7.监测系统日志。
二、常见的几种网络入侵方法有哪些?
1.通过伪装发动攻击;
2.利用开放端口漏洞发动攻击;
3.通过木马程序进行入侵或发动攻击;
4.嗅探器和扫描攻击;
三. 数据安全的特点包括哪些方面?
1. 保密性(secrecy)
2.完整性(Integrity)
3.可用性(Availability)
一、加密技术有哪些分类?
1.对称加密技术;
2.非对称加密技术。
二、电子商务中加密技术的应用体现在哪些方面?
1.对称加密和非对称加密相结合;
2.消息摘要;
3.数字信封;
4.数字签名;
5.数字证书;
电子商务交易安全规定
电子商务交易安全规定
[正文开始]
第一章综述
1.1 目的和背景
为了保障电子商务交易的安全性,防止网络诈骗和数据泄露等问题,制定本规定。
1.2 适用范围
本规定适用于所有从事电子商务交易的企业、个人以及电子商务交
易平台。
第二章账户与密码管理
2.1 注册账户
2.1.1 个人用户应提供真实、准确的个人信息进行账户注册。
2.1.2 企业用户应提供真实、准确的企业信息进行账户注册,并进行相应的认证。
2.2 密码的设置和保护
2.2.1 用户的登录密码应具备一定的复杂性,包括数字、字母、特殊字符等组合形式。
2.2.2 用户不得将密码告知他人,并定期更换密码,确保密码的安全。
第三章交易安全管理
3.1 身份认证
3.1.1 电子商务交易平台应提供身份认证机制,对用户进行身份验证,保障交易的真实性和安全性。
3.1.2 用户在进行交易前,应主动提供真实、准确的身份信息,配合平台完成身份验证。
3.2 数据加密和传输安全
3.2.1 交易平台应采用有效的加密技术,确保用户在交易过程中的个人信息和交易数据得到保护。
3.2.2 合作机构和第三方服务提供商应与交易平台共同确保数据传输的安全。
3.3 交易风险评估与监控
3.3.1 交易平台应建立有效的交易风险评估机制,及时识别和预防潜在的交易风险。
3.3.2 交易平台应实施监控措施,对异常交易进行实时监测和处理,保障交易的安全性。
第四章网络安全保护
4.1 防火墙和安全防护
4.1.1 交易平台应配置有效的防火墙设备,对网络流量进行过滤和监控,防止外部攻击。
4.1.2 交易平台应定期对系统进行安全性保护的巡检和更新升级,修补系统漏洞和弱点。
第六章安全交易认证技术
安全认证机构CA
CA的职能: 证书发放 证书更新 证书撤销 证书验证
国内主要的认证中心
中国数字认证网(www.ca365.com) 北 京 数 字 证 书 认 证 中 心 (www.bjca.org.cn) 广 东 电 子 商 务 认 证 中 心 (www.cnca.net) 上海市数字证书认证中心有限公司 (www.sheca.com)
电子印章是一个新兴事物,它把晦涩的电子签名 技术变成了人们习以为常的签名盖章方式,使原 来很神秘的电子签名、电子证据成为了人人都可 以掌握使用的东西,消除了电子签名的应用障碍, 对电子签名的应用推广具有非常巨大的价值
PKI与认证机构
PKI概念 公钥基础设施(Public Key Infrastructure, 简称PKI)是以公共密钥加密技术为基础技术 手段实现安全性的一种技术体系。PKI是由加 拿大的Entrust公司开发的,支持SET协议、 SSL协议、电子证书和数字签名等。
认证中心(Certificate Authority)
密钥的管理及传递,认证权威 认证中心(CA)的相关问题
– 证书请求及发放过程 – 证书验证过程 – 证书的撤销及更新 – 层次认证,信任链
身份认证
功能:
可信性 完整性 不可抵赖性 访问控制
身份认证
身份识别方法 : 口令认证 基于智能卡的用户身份认证 生物特征法 访问控制
旅游电子商务(6)旅游电子商务的安全
第一节 电子商务安全的概述 一、电子商务安全的概念 广义上讲,它不仅与计算机系统结构有关,还与电子
商务应用的环境、人员素质和社会因素有关,它包括 电子商务系统的硬件安全、软件安全、运行安全及电 子商务立法。 从狭义上讲,它是指电子商务信息的安全,主要包括 两个方面:信息的存储安全和信息的传输安全。
三、安全电子交易协议(SET,secure electronic
transaction)
第四节 计算机病毒概述
一、电脑病毒的基本知识 1.概念 能够通过修改程序,把自身复制进去而“传染”其他
程序的程序。
2、消除方法 手工消毒和自动消毒
二、计算机病毒的特点 (1) 寄生性 (2) 传染性 (3) 潜伏性 (4) 隐蔽性 (5) 破坏性 (6)可触发性
二、电子商务的安全需求
1、信息的保密性 2、信息的完整性 3、信息的不可否认性 4、信息的可认证性/交易者身份的真实性 5、系统的可靠性 6、信息的有效性
三、电子商务中的安全威胁
第二节 电子商务安全的常用技术 一、信息加密技术 1、加密与解密 2、密钥的长度 3、对称密钥系统 5、单、双钥体制的配合使用和双重加密技术
三、计算机病毒分类
四、计算机病毒的传染途径 (1)通过软盘 (U盘) (2)通过硬盘 (3)通过光盘 (4)通过网络
电子商务概论-复习重点
第一章电子商务概述(不重要)
1.电子商务含义与概念:狭义--基于Internet从事信息、产品和服务的营销、
买卖和交换的过程。(商务是核心,电子化手段是工具。)
广义——-—基于ICT所进行的各类商务活动。(ICT:信息通信技术)
2.电子商务的基本内容:电子商务技术,电子商务安全,网络营销,电子支付,电子商务物流,电子商务法律.
第二章电子商务模式
1。☆☆商务模式的含义:是指赢利的方法,是一个企业赖以生存的、能够为企业带来收益的模式。商务模式决定了企业在价值链中的位置,并指导其如何赢利。
2。☆☆商业模式:商务活动;广告;收取费用;出售用户信息;信用。
3.电子商务业务模式分类的意义:对电子商务企业选择一个或多个业务模式开展经营具有重要意义。企业通过确定其价值链中的地位找到自己获取收益的方法是电子商务业务模式分类的基础。
4.BtoB电子商务的优势:降低成本;提供超越时空界限的服务了;缩短订货和生产周期;拓展市场,增强企业竞争力。
5。BtoC模式的主要形式:门户网站;电子零售商;内容提供商;交易经纪人;社区服务商.
6.CtoC电子商务的优势:较低的交易成本;经营规模不受限制;便捷的信息收集;扩大销售范围。
第三章电子商务技术基础
1。网络接入方式:普通电话拨号上网;一线通接入;ADSL接入;有线通接入;局域网接入;无线接入.
2。☆网络IP地址:是给每个连在Internet网的主机分配一个在全世界范围内唯一的标示符,以二进制数字形式出现,由32位二进制(4个字节)组成,用于识别网络上的某台主机,为了方便用户的理解和记忆,IP采用十进制标记法,每个数值在0 ~255之间,数值中间用“."隔开。(最低的IP 0。0.0。0 最高的IP 255.255.255.255)
电子商务概论课后习题与答案
第一章电子商务概述
一、判断题
1、网络商务信息是指通过计算机传输的商务信息,包括文字、数据、表格、图形、影像、声音以及内容能够被人工或计算机察知的符号系统。 ( √ )
2、电子商务的核心是人. ( √)
3、电子商务是一种以消费者为导向,强调个性化的营销方式. (×)
二、选择题(包括单选题和多选题)
1、下列关于电子商务与传统商务的描述,正确的是( A )
A、传统商务受到地域的限制,通常其贸易伙伴是固定的,而电子商务充分利用Internet,其贸易伙伴可以不受地域的限制,选择范围很大
B、随着计算机网络技术的发展,电子商务将完全取代传统商务
C、客户服务职能采用传统的服务形式,电子商务在这一方面还无能为力
D、客服购买的任何产品都只能通过人工送达
2、电子商务以满足企业、商人和顾客的需要为目的,增加(BCD),改善服务质量,降低交易费用.
A、交易时间
B、贸易机会
C、市场范围
D、服务传递速度
3、电子商务实质上形成了一个( ABC )的市场交换场所。
A、在线实时 B虚拟 C、全球性 D、网上真实
三、问答题
1、E—Commerce和E—Business的区别在哪里?
答:E—Commerce是实现整个贸易过程中各贸易活动的电子化,从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术方面可以定义为:E―Commerce是一种多技术的集合体,包括交换数据、获得数据以及自动捕获数据等。它的业务包括:信息交换、售前售后服务、销售、电子支付、运输、组建虚拟企业、公司和贸易伙伴可以共同拥有和运营共享的商业方法等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第六章电子商务安全
【思考题】
1、电子商务系统具备哪几个安全要素?安全对策是什么?
电子商务系统必须具备有效性、机密性、完整性、认证性、不可抵赖性等五个安全要素。安全防范对策是(1)完善各项管理制度包括:建全法律法规、建立组织机构及人员管理制度、保密制度、跟踪审计制度、系统维护制度、病毒防范制度、应急措施等。(2)技术对策包括:网络安全检测设备、建立安全的防火墙体系、不间断电源的良好使用、建立认证中心,并进行数字证书的认证和发放、加强数据加密、较强的防入侵措施、严格的访问控制、通信流的控制、合理的鉴别机制、保护传输线路安全、开发各种具有较高安全性的访问设备、数据完整性的控制、端口保护,还有安全检测、审查和跟踪等技术对策。
2、什么是防火墙?防火墙有哪些功能和不足之处?
防火墙(firewall)是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列软件或硬件设备的组合。
防火墙具有如下功能:(1)保护易受攻击的服务(2)控制对特殊站点的访问(3)集中化的安全管理(4)对网络访问进行记录和统计
防火墙的不足之处主要表现在:(1)防火墙不能防范不经由防火墙的攻击(2)防火墙不能防止受到病毒感染的软件或文件的传输(3)防火墙不能防止数据驱动式攻击
3、防火墙的三种类型是什么?防火墙的体系结构有哪些?
防火墙的三种类型是数据包过滤型防火墙、应用级网关型防火墙和代理服务型防火墙。
防火墙的体系结构主要有双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。
4、什么是加密和解密?数据加密的三种方式是什么?
加密是一种限制对网络上传输数据的访问权的技术,一般由加密过程和解密过程组成。明文被加密设备(硬件或软件)和密钥加密而产生的经过编码的密文的过程称为加密;将密文还原为原始明文的过程称为解密,解密是加密的逆过程。
数据加密的三种方式是链路加密、节点加密、端对端加密。
5、常用对称加密算法有哪几种?非对称加密算法的原理是什么?
常用对称加密算法有传统加密算法(代换密码和置换密码)、数据加密标准(DES)、 AES 算法、三重DES、IDEA算法。
非对称加密算法的原理是非对称密钥算法不需要用安全的方式交换密钥,它将密钥分解为一对公开密钥和私有密钥。发送方生成一个自己的私有密钥并用接收方的公开密钥对自己的私有密钥进行加密,然后通过网络传输到接收方;同时对需要传输的文件用自己的私有密钥进行加密,然后通过网络把加密后的文件传输到接收方;接收方用自己的公开密钥进行解密后得到发送方的私有密钥,然后用发送方的私有密钥对文件进行解密得到文件的明文形式。因为只有接收方才拥有自己的公开密钥,所以即使其他人得到了经过加密的发送方的私有密钥,也因为无法进行解密而保证了私有密钥的安全性,从而保证了传输文件的安全性。
6、什么是密钥?密钥管理的基本任务是什么?
密钥(Key)是一系列控制加密、解密操作的符号。
密钥管理的基本任务是在密钥的整个生命周期中,为密钥提供生成、注册、认证、分配、传递、安装、存储、归档、保存、备份、撤销、注销和销毁等管理服务。
7、身份认证有哪几种基本方法?
身份认证的基本方法有秘密信息的身份认证、物理安全(智能卡)的身份认证、生物学特征的身份认证。
8、什么是数字签名?什么是数字摘要?数字信封技术是什么?
数字签名(Digital Signature)是将要签名的文本采用某种算法生成一个“摘要”(digest),再把摘要用发送者的私钥加密,形成数字签名。
数字摘要(digital digest)又叫消息摘要(Message Digest,MD)、数字指纹(Finger Print),是一种加密方法,该方法又称为散列编码(Hash编码)。数字摘要就是通过单向散列函数(Hash函数)将需要加密的明文“摘要”成一串固定长度(如128位)的散列值。
数字信封技术是使用私密密钥加密技术对要发送的信息进行加密、使用公开密钥加密技术对私钥进行加密的一种加密技术,来保证只有特定的收信人才能阅读信的内容。它可以形象的描述为:内私钥、外公钥。(即内层用私钥加密技术加密信息、外层用公开密钥加密技术加密私钥)。
9、时间戳有哪几部分内容?时间戳的产生过程是什么?
时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS收到文件的日期和时间;DTS的数字签名。
时间戳产生的过程为:用户先将需要加时间戳的文件用HASH编码加密形成摘要,再将该摘要发送到DTS。由DTS在加入了收到文件摘要的日期和时间信息后,再对该文件加上数
字签名,然后送回给用户。
10、SSL安全协议的运行步骤有哪几步?
SSL安全协议的运行步骤包括六步:(1)接通阶段,客户通过网络向服务商打招呼,服务商回应。(2)密码交换阶段,客户与服务商之间交换认可的密码。一般选用RSA密码算法,也有的选用Diffie-Hellman和Fortezza-KEA密码算法。(3)会谈密码阶段,客户与服务商间产生彼此交谈的会谈密码。(4)检验阶段,检验服务商取得的密码。(5)客户认证阶段,验证客户的可信度。(6)结束阶段,客户与服务商之间的相互交换结束的信息。
11、SET安全协议的工作程序有哪些?
SET安全协议的工作程序有七个步骤:
(1)持卡人利用自己的PC机通过互联网选择所要购买的物品,并输入订货单。订货单上需包括商户、购买物品名称及数量、交货时间及地点等相关信息。
(2)通过支付网关与有关商户联系,商户做出应答,告诉持卡人所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。
(3)持卡人选择付款方式,确认订单,签发付款指令。此时SET开始介入。
(4)在SET中,持卡人必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商户看不到持卡人的账号信息。
(5)商户接受订单后,向持卡人所在银行请求支付认可。信息通过支付网关到收单银行,再到发卡行确认。批准交易后,返回确认信息给商户。
(6)商户发送订单确认信息给持卡人。持卡人端软件可记录交易日志,以备将来查询。
(7)商户发送货物或提供服务,并通知收单银行将钱从持卡人的账号转移到商户账号,或通知发卡银行请求支付。
12、什么是数字证书?它的内容是什么?
数字证书(Digital Certificate,Digital ID)又称为数字凭证是一个经证书授权中心(CA)颁发并数字签名的包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。
一个X.509国际标准格式的数字证书包含如下主要内容:证书的版本信息、证书的序列号,每个证书都有一个唯一的证书序列号、证书所使用的签名算法、证书的发行机构名称,命名规则一般采用X.509格式、证书的有效期,现在通用的证书一般采用UTC时间格式,其计时范围为1950年~2049年、证书所有人的名称,命名规则一般采用X.500格式、证书所有人的公开密钥、证书发行者对证书的签名等等。