第5章 电子商务安全协议
电子商务法律规范
电子商务法律规范电子商务法律规范第一章总则第一条为规范电子商务行为,保护消费者权益,促进电子商务的健康发展,制定本法。
第二条电子商务是指通过互联网、移动网络等信息网络进行的商品和服务的交易活动。
第三条本法适用于位于我国境内从事电子商务活动的主体,以及与电子商务活动相关的各方行为。
第四条电子商务参与主体应当依法取得经营许可,并遵守相关法律法规、规章以及行业自律规范。
第五条电子商务活动应当遵守公平、公正、诚信、自愿的原则,保护消费者的合法权益,维护市场秩序。
第六条电子商务活动应当遵守国家有关信息安全、个人隐私保护等法律法规的规定,保障信息的安全和隐私的保护。
第七条本法所称电子商务平台是指提供电子商务交易、信用评价、货物或者服务信息发布等服务的网络平台。
第二章电子商务主体第八条电子商务主体包括个人经营者、企业经营者和其他组织。
第九条个人经营者应当依法注册登记,遵守相关法律法规和规章的规定,不得从事违法犯罪活动。
第十条企业经营者应当按照法律法规的要求注册登记,依法办理相关手续,履行税收等义务。
第十一条其他组织应当按照法律法规的要求注册登记,并遵守相关法律法规和规章的规定。
第三章电子商务合同第十二条电子商务合同是指双方或多方通过电子商务平台等电子方式达成的购买商品或者提供服务的合同。
第十三条电子商务合同应当合法、有效,双方或多方应当按照协议约定履行义务。
第十四条电子商务合同的订立应当明确商品的名称、数量、价格、交付方式、支付方式、退换货等条款。
第十五条在电子商务合同中,卖方应当提供真实、准确、完整的商品或服务信息,不得虚假宣传、欺诈误导消费者。
第十六条电子商务合同的支付方式应当合法、安全,支付服务提供者应当按照法律法规的要求提供支付服务。
第十七条消费者在电子商务平台上享有退换货的权利,卖方应当按照约定或者法律法规的规定履行退换货义务。
第十八条电子商务合同争议的解决可以通过协商、调解、仲裁或者诉讼等途径解决。
第5章 电子商务的安全
的商誉和形象也会大打折扣。
南昌航空大学经济管理学院 吴剑东
电子商务
Electronic Commerce 分布式拒绝服务
1. 探测扫描大量主 机以寻找可入侵 的目标; 2. 入侵有安全漏洞 的主机并获取控 制权,在每台入 侵主机中安装攻 击程序; 3. 构造庞大的、分 布式的攻网; 4. 在同一时刻,由 分布的成千上万 台主机向同一目 标地址发出攻击, 目标系统全线崩 溃。
南昌航空大学经济管理学院
吴剑东
电子商务
Electronic Commerce
5.1.1
电子商务安全要素
1、信息的保密性 2、信息的完整性 3、信息的即需性
4、信息的不可抵赖性
5、交易身份的真实性
6、系统的可靠性
南昌航空大学经济管理学院 吴剑东
电子商务
Electronic Commerce
5.1.2 电子商务系统存在的安全隐患
Electronic Commerce
第五章
电子商务的安全
5.1 电子商务系统存在的安全问题 5.2 电子商务系统的安全措施
南昌航空大学经济管理学院
吴剑东
电子商务
Electronic Commerce
5.1 电子商务系统存在的安全问题
5.1.1 电子商务安全要素
5.1.2 电子商务系统存在的安全隐患
南昌航空大学经济管理学院 吴剑东
电子商务
Electronic Commerce
什么是拒绝服务?
“拒绝服务”是又一种令电子商务企业深感 苦恼的安全问题。由于某种外界破坏,导致系统无
法完成应有的网络服务项目 (例如电子邮件或是
联机功能等),即称为“拒绝服务” 问题。此类 破坏虽未直接威胁到信息的安全,然而企业却往往 需要耗费大量时间和精力来弥补错误,以恢复正常 的服务。而在此期间,许多商机白白错过了,企业
电子商务协定范文样稿
电子商务协定范文样稿
以下是电子商务协定的一个范文样稿:
电子商务协定
第一章:总则
第一条目的和原则
为了促进国际电子商务的发展和规范,保护消费者权益,增强信息安全,促进贸易便利化,加强合作,签署本协定。
第二条适用范围
本协定适用于所有从事电子商务活动的实体,包括但不限于商家、消费者和电子交易平台。
第二章:电子商务的基本原则
第三条信息安全和隐私保护
各方应加强信息安全措施,保护消费者的个人信息隐私,防止未经授权的信息泄露和滥用。
第四条电子合同的有效性
电子合同与传统纸质合同具有同等效力,各方应根据相关法律规定确保电子合同的有效性。
第三章:电子商务的推广和发展
第五条贸易便利化
各方应促进电子商务的跨境贸易便利化,简化贸易流程和手续化,
提高跨境贸易的效率。
第六条电子支付
各方应推动电子支付的普及和使用,提升支付安全性,降低交易成本,促进电子商务的发展。
第七条电子商务培训和技术支持
各方应加强电子商务相关技能的培训和人才的培养,提供技术支持,推动电子商务的创新发展。
第四章:争议解决和合作机制
第八条争议解决
各方应通过友好协商解决电子商务争议,如无法协商解决,可采用
仲裁或诉讼解决。
第九条合作机制
各方应建立定期交流和合作机制,分享经验和信息,共同应对电子
商务发展中的挑战和问题。
结论
本协定的签署旨在促进电子商务的发展和规范,加强各方之间的合作,以及保护消费者权益和信息安全。
希望通过本协定的实施,能够
推动电子商务行业的持续健康发展,并为国际贸易提供更加便利和高效的解决方案。
第5章测试题-电子商务安全管理
1数字证书包含颁发数字证书单位的私钥。
(1分)A. 对B. 错2.认证中心认证体系结构是一个()结构(1分)A. 网形B. 倒置树形C. 总线形D. 星形3. 下面有关安全协议的说法哪个是错误的?(1分)A. HTTPS是建立在SET协议基础上的。
B. 收单银行是SET协议中的角色。
C. SSL协议有利于商家而不利于客户。
D. SSL协议的数据安全性其实就是建立在RSA等算法的安全性上(1514. 下面有关数字信封的说法哪些是正确的?(2分)A. 数字信封可以保障发送的信息不被泄露B. 数字信封要使用发送方的公钥C. 数字信封中会话密钥对发送方和接收方都是一致的D. 数字信封采用非对称加密算法对传输的文件进行加密5. 从网络安全威胁的承受对象看,网络安全威胁的来源包括(2分)A. 对客户机的安全威胁B. 对数据库的安全威胁C. 对WWW服务器的安全威胁D. 对邮件系统的安全威胁6. 计算机网络安全是指保护计算机网络系统中的硬件,()和数据资源(1分)A. 软件B. 通讯线路C. 浏览器D. 密码7. 信息的安全级别一般可以分为机密、()、普通(1分)A. 绝密B. 低密C. 秘密D. 私密8.. 要使网上交易成功,参与交易的人首先要能()(1分)A. 互通邮件B. 发送传真C. 确认对方的身份D. 保证信息系统安全9. 下面哪种设置密码的方法是不安全的?(1分)A. 密码尽量使用英文字母及数字和标点、特殊符号等多种字符的组合。
B. 使用用户本身的姓名、出生日期、电话号码、手机号码C. 避免使用重复的密码D. 保证至少6个字符以上的密码长度10防火墙可以为监视互联网安全提供方便。
(1分)A. 对B. 错11()是指管理员通过防火墙的Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。
(1分)A. 集中管理B. 本地管理C. 远程管理D. 内部管理12. 下面哪个属于病毒程序的功能模块?(1分)A. 安全模块B. 转移模块C. 引导模块D. 系统模块13. 下述哪项不是选择防毒软件应考虑的要素? (1分)A. 技术支持程度B. 技术的先进性和稳定性C. 防病毒软件使用界面是否漂亮D. 病毒的响应速度14电子商务安全运作基本原则包括(2分)A. 协同一致原则B. 三人负责原则C. 最小权限原则D. 任期有限原则15. 电子商务安全的内容包括(1分)A. 企业系统安全B. 交易平台安全C. 电子商务系统安全管理制度D. 第三方物流安全16. 拒绝服务攻击会导致(1分)A. 密码信息泄露B. 硬盘文件被删除C. 感染计算机病毒D. 系统不能为用户提供服务17. SSL协议是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。
电子商务法律法规第5章
电子商务法律法规第5章电子商务法律法规第5章第一节电子商务平台责任根据《电子商务法》第五章,电子商务平台在经营活动中需要承担一定的责任和义务。
本节将详细介绍电子商务平台的责任内容。
第一条电子商务平台的主体责任电子商务平台是指提供电子商务交易场所、信息发布和共享、电子支付等服务的经营者。
平台经营者应当依法对其平台上经营的商品或服务的真实性、合法性进行审核和把关,对违法违规行为进行及时处置和整改,并承担相应的法律责任。
第二条电子商务平台的信息公示义务电子商务平台应当在明显位置公示经营者的名称、经营地质、等基本信息,并向用户提供合理便捷的。
第三条电子商务平台的信息发布责任电子商务平台对于发布在其平台上的信息承担的法律责任与发布者相同,应当采取合理措施保护用户个人信息的安全,并禁止发布违法违规信息。
第四条电子商务平台的维权责任电子商务平台应当建立健全维权机制,及时受理用户的投诉和举报,并依法对侵权行为进行调查和处理。
第五条电子商务平台的用户资金安全保障责任电子商务平台应当建立用户资金安全保障制度,确保用户交易资金的安全性。
第二节电子商务交易纠纷解决根据《电子商务法》第五章,电子商务交易纠纷的解决机制包括自愿协商、网络仲裁、诉讼等多种方式。
第六条自愿协商解决电子商务交易纠纷双方可以通过自愿协商的方式解决争议。
协商解决纠纷的过程应当公平、公正、公开。
第七条网络仲裁解决当电子商务交易纠纷无法通过协商解决时,当事人可以选择通过网络仲裁机构进行仲裁。
网络仲裁机构应当依法独立、公正地履行仲裁职责,并对仲裁结果予以执行。
第八条诉讼解决当电子商务交易纠纷无法通过协商或网络仲裁解决时,当事人可以向人民法院提起诉讼。
人民法院应当依法独立、公正地审理电子商务交易纠纷案件,并做出公正的裁决。
第三节电子商务行业监管根据《电子商务法》第五章,电子商务行业需要进行有效监管,严禁虚假宣传、侵犯消费者合法权益等违法违规行为。
第九条电子商务行业的注册管理电子商务经营者应当按照法律规定进行注册,并向相关行政机关报备相关信息。
中华人民共和国电子商务法
中华人民共和国电子商务法目录第一章总则第二章电子商务经营者第一节一般规定第二节电子商务平台经营者第三章电子商务合同的订立与履行第四章电子商务争议解决第五章电子商务促进第六章法律责任第七章附则第一章总则第一条为了保障电子商务各方主体的合法权益,规范电子商务行为,维护市场秩序,促进电子商务持续健康发展,制定本法。
第二条中华人民共和国境内的电子商务活动,适用本法。
本法所称电子商务,是指通过互联网等信息网络销售商品或者提供服务的经营活动。
法律、行政法规对销售商品或者提供服务有规定的,适用其规定。
金融类产品和服务,利用信息网络提供新闻信息、音视频节目、出版以及文化产品等内容方面的服务,不适用本法。
第三条国家鼓励发展电子商务新业态,创新商业模式,促进电子商务技术研发和推广应用,推进电子商务诚信体系建设,营造有利于电子商务创新发展的市场环境,充分发挥电子商务在推动高质量发展、满足人民日益增长的美好生活需要、构建开放型经济方面的重要作用。
第四条国家平等对待线上线下商务活动,促进线上线下融合发展,各级人民政府和有关部门不得采取歧视性的政策措施,不得滥用行政权力排除、限制市场竞争。
第五条电子商务经营者从事经营活动,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德,公平参与市场竞争,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任,接受政府和社会的监督。
第六条国务院有关部门按照职责分工负责电子商务发展促进、监督管理等工作。
县级以上地方各级人民政府可以根据本行政区域的实际情况,确定本行政区域内电子商务的部门职责划分。
第七条国家建立符合电子商务特点的协同管理体系,推动形成有关部门、电子商务行业组织、电子商务经营者、消费者等共同参与的电子商务市场治理体系。
第八条电子商务行业组织按照本组织章程开展行业自律,建立健全行业规范,推动行业诚信建设,监督、引导本行业经营者公平参与市场竞争。
习题册参考答案-《电子商务安全技术(第三版)习题册》-A24-4085
答案第1章电子商务安全概述一、填空题1.计算机网络安全、商务交易安全2.商务交易安全隐患,人员、管理、法律的安全隐患3.鉴别、确认4.网络实体5.被他人假冒6.网络操作系统、网络协议二、选择题1.A2.C3.C4.D5.D三、判断题1.X2.√3. X4.√5.X四、简答题1.答:Internet是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统,或窃取机密数据、或盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2.答:为真正实现安全的电子商务必须要求电子商务能做到机密性、完整性、认证性、有效性和不可否认性,只有满足了这些条件的电子商务才能称的上是安全的电子商务。
3.答:这个安全体系至少应包括三类措施,并且三者缺一不可。
一是技术方面的措施,技术又可以分为网络安全技术,如防火墙技术、网络防黑、防毒、虚拟专用网等,以及交易安全技术,如信息加密、安全认证和安全应用协议等。
但只有技术措施并不能保证百分之百的安全。
二是管理方面的措施,包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。
三是社会的法律政策与法律保障。
电子商务安全性首先依托于法律、法规和相关的管理制度这个大环境,在这个大环境中,运用安全交易技术和网络安全技术建立起完善的安全管理体制,对电子商务实行实时监控,并加强安全教育等,从而保证电子商务的安全性。
4.答:(1)网上预订飞机票、火车票(2)网上客房预订(3)网上购物、购书(4)网上拍卖(5)网上旅游交易会、农副产品交易(6)网上销售娱乐、游戏、电子书籍、软件等知识产品(7)提供 ISP、ICP、IDP 等网络技术服务五、案例分析题略第2章计算机与网络系统安全技术一、填空题1.正常运行篡改泄露2.程序3.非法入侵者4.端口、漏洞5.拒绝服务攻击(DDoS)6.缓冲区溢出攻击、欺骗攻击7.安全策略8.日志记录9.代理型、状态监测10.网络,主机11.外存储器12.备份13.资源共享、互联服务14.网络隧道二、选择题1.B2.D3.A4.B5.B6.A7.D8.C9.C 10.D 11.A 12.B 13.B三、判断题1.√2. X3.√4.X5.√6.X7.√8.√9.√ 10.√ 11.X四、简答题1.答:破坏性、寄生性、传染性、潜伏性、针对性。
电子商务安全与管理第二版课后习题答案
电⼦商务安全与管理第⼆版课后习题答案关键术语第⼀章电⼦商务安全导论1)电⼦商务安全问题:主要涉及信息的安全、信⽤的安全、安全的管理问题以及安全的法律法规保障问题。
2)完整性:防⽌信息在传输过程中丢失、重复及⾮法⽤户对信息的恶意篡改。
3)电⼦商务系统安全:从计算机信息系统的⾓度来阐述电⼦商务系统的安全,认为电⼦商务系统的安全是由系统实体安全、系统运⾏安全和系统信息安全这三个部分组成。
4)认证性:确保交易信息的真实性和交易双⽅⾝份的合法性。
5)电⼦商务安全保障:电⼦商务安全需要⼀个完整的保障体系,应当采⽤综合防范的思路,从技术、管理、法律等⽅⾯去认识、去思考,并根据我国的实际和国外的经验,提出⾏之有效的综合解决的办法和措施。
6)可控性:保证系统、数据和服务能由合法⼈员访问,保证数据的合法使⽤。
7)保密性:保护机密信息不被⾮法取存以及信息在传输过程中不被⾮法窃取8)不可否认性:有效防⽌通信或交易双⽅对已进⾏的业务的否认。
第⼆章:1.链路——链路加密链路加密(⼜称在线加密)是传输数据仅在物理层前的数据链路层进⾏加密。
接收⽅是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进⾏,直⾄到达⽬的地。
2.对称加密称加密⼜叫秘密密钥加密,其特点是数据的发送⽅和接收⽅使⽤的是同⼀把密钥,即把明⽂加密成密⽂和把密⽂解密成明⽂⽤的是同⼀把密钥。
3、节点加密节点加密是指每对节点共⽤⼀个密钥,对相邻两节点间(包括节点本⾝)传送的数据进⾏加密保护。
尽管节点加密能给⽹络数据提供较⾼的安全性,但它在操作⽅式上与链路加密是类似的:两者均在通信链路上为信息提供安全性;都在中间节点先对信息进⾏解密,然后进⾏加密。
4、公开密钥加密不对称加密⼜叫做公开密钥加密,需要采⽤两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进⾏加解密。
5、端——端加密端—端加密允许数据在从源点到终点的传输过程中始终以密⽂形式存在。
采⽤端到端加密(⼜称脱线加密或包加密),消息在被传输时到达终点之前不进⾏解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
习题册参考答案-《电子商务安全技术(第三版)习题册》-A24-4085.docx
答案第 1 章电子商务安全概述一、填空题1.计算机网络安全、商务交易安全2.商务交易安全隐患,人员、管理、法律的安全隐患3.鉴别、确认4.网络实体5.被他人假冒6.网络操作系统、网络协议二、选择题1.A2.C3.C4.D5.D三、判断题1.X2.√3.X4.√5.X四、简答题1.答: Internet 是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统,或窃取机密数据、或盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2. 答:为真正实现安全的电子商务必须要求电子商务能做到机密性、完整性、认证性、有效性和不可否认性,只有满足了这些条件的电子商务才能称的上是安全的电子商务。
3.答:这个安全体系至少应包括三类措施,并且三者缺一不可。
一是技术方面的措施,技术又可以分为网络安全技术, 如防火墙技术、网络防黑、防毒、虚拟专用网等,以及交易安全技术, 如信息加密、安全认证和安全应用协议等。
但只有技术措施并不能保证百分之百的安全。
二是管理方面的措施,包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。
三是社会的法律政策与法律保障。
电子商务安全性首先依托于法律、法规和相关的管理制度这个大环境,在这个大环境中,运用安全交易技术和网络安全技术建立起完善的安全管理体制,对电子商务实行实时监控,并加强安全教育等,从而保证电子商务的安全性。
4.答:(1)网上预订飞机票、火车票(2)网上客房预订(3)网上购物、购书(4)网上拍卖(5)网上旅游交易会、农副产品交易(6)网上销售娱乐、游戏、电子书籍、软件等知识产品(7)提供 ISP 、 ICP、IDP 等网络技术服务五、案例分析题略第 2 章计算机与网络系统安全技术一、填空题1. 正常运行篡改泄露2.程序3.非法入侵者4.端口、漏洞5.拒绝服务攻击( DDoS)6.缓冲区溢出攻击、欺骗攻击7.安全策略8.日志记录9.代理型、状态监测10.网络,主机11.外存储器12.备份13.资源共享、互联服务14.网络隧道二、选择题1.B2.D3.A4.B5.B6.A7.D8.C9.C 10.D 11.A 12.B13.B三、判断题1. √2.X3.√4.X5.√6.X7.√8.√9. √ 10.√ 11.X四、简答题1.答:破坏性、寄生性、传染性、潜伏性、针对性。
电子商务保密协议范本
电子商务保密协议范本协议编号:[(协议编号填写协议的编号)]签订日期:[(签订日期填写签订协议的日期)]鉴于:甲方和乙方拟就[(协议约定保密的内容填写协议涉及的具体内容)]进行合作,为了确保该等信息的保密性,双方同意签订本协议。
双方就本协议所述的所有事项进行坦诚交流,并且愿意共同履行本协议所规定的义务。
第一条定义保密信息:指属于甲方或乙方的获取和使用在本协议签署前后的一切非公开的、商业机密的信息,包括但不限于技术信息、财务信息、营销计划、业务模式、客户信息、运营数据以及其他双方认定的涉及保密的信息。
技术安全措施:指甲方和乙方对于其内部系统和网络所采取的安全措施,防止未经授权的人员、实体或机构获取、利用或披露保密信息的行为。
第二条保密义务甲方和乙方均同意对对方提供的保密信息予以保密,并且承诺不以任何方式使用或披露该等保密信息。
甲方和乙方为了保护保密信息的安全性,将在其内部进行技术安全措施,并确保授权人员知悉其保密义务。
甲方和乙方保证对其授权人员的行为承担责任,并采取必要的措施防止其未经授权的人员使用或披露保密信息。
第三条保密信息的使用范围甲方和乙方保证只会将保密信息用于履行本协议约定的目的,并不会将其用于任何其他目的。
甲方和乙方保证不会将保密信息披露给任何未经授权的第三方,除非获得对方事先书面同意或根据法律法规的要求。
第四条保密信息的保管与回收甲方和乙方同意采取合理的措施,确保保密信息的安全保管,防止其丢失、泄露或被滥用。
第五条违约责任若一方违反了本协议中的保密义务,另一方有权要求其承担违约责任,包括但不限于赔偿损失、承担法律责任等。
除非经过对方事先书面同意,违约方不得将对方的违约行为公之于众。
第六条争议解决本协议在解释和执行过程中产生的争议应通过友好协商解决。
如果经过协商未能解决争议,任何一方均有权向有管辖权的人民法院提起诉讼。
第七条生效和终止本协议自双方签署之日起生效,并且在履行完毕本协议项下的义务后终止。
电子商务交易安全习题答案
电子商务交易安全习题答案Document serial number【UU89WT-UU98YT-UU8CB-UUUT-UUT108】《电子商务》习题集第5章电子商务交易安全一.单项选择题1. 下列选项中不属于电子商务过程中买家面临的问题的是: (C)A. 付款后不能收到商品B. 机密性丧失C. 没有隐私D.拒绝服务2. “也许网络的另一端是一只狗”这句话指出了如下电子商务中的哪一个安全需求:(C)A. 信息传输的保密性B. 交易文件的完整性C. 交易者身份的真实性D. 信息的不可否认性3. 古罗马时代使用的“凯撒密码”算法属于: (A)A. 通用密钥密码体制B. 非通用密钥密码体制C. 公开密钥体制 C. 非公开密钥体制4. 下列属于对称密钥加密算法的是: (B)A. RSAB. DESC. DSAD. RST5. 公开密钥密码体制中私钥与公钥之间有着一种: (C)A. 对称关系B. 非对称关系C. 特殊的数学关系D. 相关性6. 下列属于公开密钥密码体制的算法的是: (A)A. RSAB. DESC. DSAD. RST7. 下列技术能实现对电子文件发表时间的安全保护的是: (D)A. RSAB. DESC. DSAD. DTS8. 下列与数字证书无关的是: (C)A. 数字凭证B. 数字标识C. 数字符号D.9. SSL协议对于电子商务应用的劣势主要是无法保证: (C)A. 信息的真实性B. 信息的完整性C. 信息的不可否认性D. 信息的保密性10. 在SET协议定义的三个交易阶段中,与每个阶段都有关联的只有:(C)A. 用户B. 银行C. 商家D. 中间平台11. SET协议没有担保(B),这意味着在线商店没有办法证明订购是不是由签署证书的买方发出的。
A. 拒绝行为B. 非拒绝行为C. 授权行为D. 非授权行为12. SET安全协议版面世的时间是: (C)A. 1996年3月B. 1997年3月C. 1996年4月D. 1997年4月13. 通常,完成一个SET协议交易过程需花费(B),甚至更长的时间。
第5章电子商务交易安全习题答案
第5章电⼦商务交易安全习题答案《电⼦商务》习题集第5章电⼦商务交易安全⼀.单项选择题1. 下列选项中不属于电⼦商务过程中买家⾯临的问题的是: (C)A. 付款后不能收到商品B. 机密性丧失C. 没有隐私D.拒绝服务2. “也许⽹络的另⼀端是⼀只狗”这句话指出了如下电⼦商务中的哪⼀个安全需求:(C)A. 信息传输的保密性B. 交易⽂件的完整性C. 交易者⾝份的真实性D. 信息的不可否认性3. 古罗马时代使⽤的“凯撒密码”算法属于: (A)A. 通⽤密钥密码体制B. ⾮通⽤密钥密码体制C. 公开密钥体制 C. ⾮公开密钥体制4. 下列属于对称密钥加密算法的是: (B)A. RSAB. DESC. DSAD. RST5. 公开密钥密码体制中私钥与公钥之间有着⼀种: (C)A. 对称关系B. ⾮对称关系C. 特殊的数学关系D. 相关性6. 下列属于公开密钥密码体制的算法的是: (A)A. RSAB. DESC. DSAD. RST7. 下列技术能实现对电⼦⽂件发表时间的安全保护的是: (D)A. RSAB. DESC. DSAD. DTS8. 下列与数字证书⽆关的是: (C)A. 数字凭证B. 数字标识C. 数字符号D. X.5099. SSL协议对于电⼦商务应⽤的劣势主要是⽆法保证: (C)A. 信息的真实性B. 信息的完整性C. 信息的不可否认性D. 信息的保密性10. 在SET协议定义的三个交易阶段中,与每个阶段都有关联的只有: (C)A. ⽤户B. 银⾏C. 商家D. 中间平台11. SET协议没有担保(B),这意味着在线商店没有办法证明订购是不是由签署证书的买⽅发出的。
A. 拒绝⾏为B. ⾮拒绝⾏为C. 授权⾏为D. ⾮授权⾏为12. SET安全协议1.0版⾯世的时间是: (C)A. 1996年3⽉B. 1997年3⽉C. 1996年4⽉D. 1997年4⽉13. 通常,完成⼀个SET协议交易过程需花费(B),甚⾄更长的时间。
电子商务概论第五版周曙东 第5章
22
电子商务概论
5.2.3服务器安全
服务器需要对外提供特定的功能服务,所以服务器安全的 关键之一就是对各种服务进行控制与管理。可以通过安装 防火墙和入侵检测系统来加强服务器安全管控。
1)防火墙
防火墙是指在两个网络之间加强访问控制的一个保护 装置,强制所有的访问和连接都必须经过这个保护层,并在 此进行连接和安全检查。只有合法的数据包才能通过此保护 层,从而保护内部网资源免遭非法入侵。
5
5.1.1 电子商务的安全现状
电子商务概论
通过对2017年遭遇网上诈骗的用户的进一步调查发现,虚 拟中奖信息诈骗依然是受众最为广泛的网上诈骗类型,在 遭遇网络诈骗的用户中占比达到70.5%,其次为利用社交 软件冒充好友进行诈骗,占48.4%,但这两类诈骗行为的 占比较2016年均有所下降,而遇到网络兼职诈骗、网络购 物诈骗、虚拟招聘信息诈骗、钓鱼网站诈骗的用户较2016 年略有升高。
7
电子商务概论
5.1.2 电子商务安全的要素
可靠性
真实性
机密性 完整性 不可否认性
交易的真实性是指商务活动中交易者 身份是真实有效的,也就是要确定交 易双方是真实存在的。真实性通常采 用电子签名技术、数字证书来实现。
8
电子商务概论
5.1.2 电子商务安全的要素
可靠性 真实性
机密性
完整性 不可否认性
4
5.1.1 电子商务的安全现状
电子商务概论
一般来说,电子商务中必须重视的问题还包括如何确保交 易过程的安全,如何保证电商活动中隐私数据的安全等。
中国互联网络信息中心(CNNIC)在2018年3月发布的第 41次《中国互联网络发展状况统计报告》显示:“2017年 我国网络安全整体保持平稳态势,但用户信息泄露、网络 黑客勒索和通讯信息诈骗等问题仍频繁出现。” 2017年我 国网民在上网过程中遇到安全问题的比例明显下降, 47.4%的网民表示在在过去半年中并未遇到过任何网络安 全问题,较2016年提升了17.9个百分点。各类安全问题中, 个人信息泄露问题占比最高,达到27.1%,网上诈骗成为 占比第二高的类别,达到26.6%,设备中病毒或木马占比 21.8%,账号或密码被盗网民占比为18.8%。
第5章,电子商务安全
典型PKI系统
• 注册机构(registration authority RA) • 认证中心(certificate authority CA) • 证书库(certificate repository CR) • 证书信任方 • 证书申请者
核心
参与者
5.5
电子商务支付安全
SSL协议(安全套接层协议 )
Server
Internet
内部网
代理服务
选用和建立合适的防火墙系统
• 防火墙并不能对企业内部网络进行全面的
保护 • 必须与企业整体安全防护措施、其他网络 安全技术相结合才能更好地发挥作用
5.3
电子商务数据传输安全保障技术
数据加密
采用数学方法对原始信息(明文)进行再组织,使 得加密后在网络上公开传输的内容对于非法接 受者来说是无意义的文字(密文),对于合法接收 者,因为掌握正确地密钥,可以通过解密过程得 到原始数据(明文) • 加密 • 解密 • 密钥
• SSL协议工作原理
利用认证技术识别各自的身份 利用加密技术保证通道的保密性 利用数字签名技术保证信息传送的完整性
• SSL协议的安全交易过程 • SSL协议的优点和缺点
SSL协议工作原理
• 协议分为两层 • TLS记录协议
– 底层:TLS记录协议- TLS Record Protocol – 上层:TLS握手协议- TLS Handshake Protocol 、TLS密码变化协议Change Cipher Spec Protocol 、TLS警告协议-Alert Protocol – 建立在可靠的传输协议(如TCP)之上 – 它提供连接安全性,有两个特点 – 用来封装高层的协议
加密技术的主要分类
习题第5章__电子商务安全管理
第5章电子商务安全管理1、电子商务安全的内容包括p128A、计算机网络安全B、商务交易安全C、电子商务系统安全管理制度D、物流安全2、电子商务安全的内容不包括(1分)P128A、电子商务系统安全管理制度B、商务交易安全C、交易平台安全D、计算机网络安全3、计算机网络安全是指保护计算机网络系统中的硬件,软件和()。
P128A、服务B、数据资源C、人员D、线路4、以下哪个是网络安全威胁的主要来源之一?P129A、网络诈骗B、虚构产品C、信息泄露D、拒绝服务攻击5、下面哪个不属于电子商务安全的威胁 (1分)P129A、计算机病毒B、网络内部的安全威胁C、允许服务攻击//dos攻击D、黑客攻击6、下面属于黑客在网上经常采用的手段的是?P129A、寻找系统漏洞B、更改IPC、偷取特权D、截取口令7、黑客主要是利用操作系统和网络的漏洞,缺陷,从网络的外部非法侵入,进行不法行为。
(1分)P129A.对B.错8、黑客是指什么?(1分)P129A.利用病毒破坏计算机的人B.穿黑衣的人C.令人害怕的人D.非法入侵计算机系统的人9、黑客的英文名称是()。
A、heikeB、hackerC、waitkerD、saidker10、网络安全威胁的来源包括(2分)P129A.网络内部的安全威胁B.拒绝服务攻击C.操作系统错误D.计算机病毒11、从网络安全威胁的承受对象看,网络安全威胁的来源包括(2分)P130A、对数据库的安全威胁B、对WWW服务器的安全威胁C、对客户机的安全威胁D、对邮件系统的安全威胁12、从网络安全威胁的承受对象看,网络安全威胁的来源来自(1分)P130A、对客户机的安全威胁B、对交易双方身份的安全威胁C、对交易平台的安全威胁D、对物流的安全威胁13、下面哪个不属于网络安全管理的技术手段?多选p131A、防火墙B、病毒防治C、网络系统的日常维护制度D、保密制度14、下面哪种属于防火墙的作用(1分)P131A、增加信息传输速度B、阻止数据包传送C、限制他人进入内部网络,过滤掉不安全服务和非法用户。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密码协议分类(按功能)
• (1)密钥交换协议:两个或多个实体之间建立共享的 秘密, 通常用于建立一次通信中所使用的会话密钥。 • (2)认证协议:包括实体认证协议、消息认证协议、 数据源认证、数据目的认证, 用于防止假冒、篡改、否 认等攻击。 • (3)认证和密钥交换协议: 将认证和密钥交换结合在 一起, 是网络中最普遍应用的安全协议。
该协议最早是由网景通信公司(Netscape Communication)推出的,主要是针对Web、电子 邮件及新闻组通信安全问题。版本1(SSLv1)仅 在网景公司内部流传,从来没有公开实现和广泛部 署,同时Netscape也没有真正交付过SSLv1的规范。 SSLv2最初在1994年推出,但是它包含许多中等程 度的安全缺陷。为此,在1995年末Netscape发布了 SSLv3。在对SSLv2改进的基础上,微软在1995年 10月发表了保密通信技术(Private Communication Technology ,PCT)。
5.1.2 协议的安全性
• 协议存在安全缺陷的原因 (1) 协议设计者误解或采用了不恰当的技术。 (2)协议设计者对环境要求的安全需求研究不足。
安全缺陷分类
• • • • • • 基本协议缺陷 口令/密钥猜测缺陷 陈旧消息缺陷 并行会话缺陷 内部协议缺陷 密码系统缺陷
5.1.3 安全协议分析
• 攻击检验方法:搜集目前对协议有效的攻击方 法, 逐一对安全协议进行攻击, 检验协议是否 具有抵抗这些攻击的能力。 • 形式化分析方法:采用各种形式化的语言或模 型, 为安全协议建立模型, 按照规定的假设、 分析和验证方法证明协议的安全性。
2. SSL协议中的状态 一个SSL会话是有状态的。SSL握手协议的责任是 协调客户端和服务器端的状态,因此允许每一个状 态机自行操作,而不用管这个状态是不是完全并行。 逻辑上,状态被表述两次,一次是当前操作状态, 一次是待定状态(在握手协议阶段)。SSL定义状 态来实现握手层协议协商的结果何时对记录层生效, 客户和服务器如何协调起来同时实施新的协商结果。 (1) 待定状态和当前状态 SSL用两个状态有效地实现了握手协议的协商结果 对记录层生效。
第五章 电子商务安全协议与安全标准
5.1 安全协议概述
• 5.1.1 安全协议的概念 • 安全协议是指使用密码学技术的密码协议。协议就是两 个或者两个以上的参与者为完成某项特定任务而采取的 一系列步骤。它包含三层含义: • (1)协议是一种顺序的执行过程, 执行顺序不可颠倒 也不可省略。 • (2)协议至少有两个参与者 • (2)协议是为完成某项特定的任务而设计的。 • 密码协议就是网络通信中采用密码算法的的密码技术协 议。
(2) 会话状态和连接状态 一个SSL会话可以包含多个安全连接,实体可以有 多个相似的会话。 每个会话状态包含以下元素: 会话标识符一个由服务器选出的任意的字节序列, 它用来表示一个活动的或可恢复的状态。 对等实体证书X.509 v3 证书,这个元素可以是空值。 压缩算法这个算法将预先的数据压缩成可加密的编 码。 加密规格说明指定应用数据的加密算法和MAC算 法。也定义了加密属性。
SSL协议可以独立于应用层协议,因此可以保证一 个建立在SSL协议之上的应用协议能透明地传输数 据。SSL协议在网络协议栈的位置如图5.1所示。 SSL握手协议的作用是在正式的秘密通信之前,让 服务器和客户之间互相鉴别对方的身份并协商一种 会话的加密算法和加密密钥。 (1) 客户端和服务器之间互相验证身份 主要是通过证书来验证,首先通过对方证书中权威 发证机构签字的验证,来确定对方拿的证书是否有 效。如果证书有效,接着就从这个证书中提取出公 钥,通过对方的签名验证用户是不是假冒的。如果 二者都通过,则证明对方的身份是真实可信的。其 中服务器对客户端的验证是可选的。
当前,Internet上有几种加密协议在使用中,对应 ISO/OSI七层网络模型的每一层都已提出了相应的 协议。对会话层有SSL(Secure Sockets Layer,安全 套接字层)协议,对应用层有SET(Secure Electronic Transaction,安全电子交易)协议。在所有的协议 中,SSL和SET与电子商务的关系最为密切。 SSL使用保密密钥对将要通过SSL连接传送的数据 进行加密,它是对两台机器之间的整个会话进行加 密的协议,在Internet上广泛用于处理财务上敏感 的信息,在这些敏感的财务问题处理上,SET协议 更安全、更可信,但是比较复杂。
形式化分析技术
• (1) 使用通用的形式化描述语言和协议校验工具建立 安全协议模型并进行校验。 • (2)设计专门的专家系统制定校验方案, 检验协议的 安全性, 并作出结论。 • (3)基于知识和信念的逻辑建立所分析协议的安全需 求模型。 • (4)基于密码学系统的代数特性开发协议的形式化模 型。
从SSLv3着手,1996年末Internet工程任务组 (Internet Engineering Task Force,IETF)的传输 层安全工作组完成了传输层安全协议(Transport Layer Security,TLS)的标准化工作,该工作被 广泛认为是对网景与微软公司方案的一种调和。 对安全保密性要求较高的是网络电子商务、事务处 理等系统,在现实中运营的这些系统绝大多数是以 SSL协议为基础建立的,就如同TCP/IP之于网络, SSL协议已成为Web安全方面的工业标准。目前广 泛采用的是SSLv3。
互用性。独立的程序员应能够开发使用SSL的程序, 并能相互交换加密参数,而不必了解对方的程序代 码。并不是所有的SSL协议(甚至在同一个域中) 实例都能成功地建立连接。 可扩展性。SSL力图提供一个框架,确保新的公开 密钥和重要的加密方法可以添加进去,这样不必因 某些缺陷而建立新的协议,也不必在设计时建立一 个完整的安全库。 关联功能。因为加密倾向于使用高速CPU,特别是 公钥加密运算,所以SSL协议集成了一个可选的会 话高速缓冲模式,它能减少连接的数目和重新建立 连接的需要。
主密钥一个在客户端和服务器间共享的48字节密钥。 是否可恢复一个标志,表明这个会话是否是可恢复 的。 每个连接状态包含下列元素: 服务器和客户端随机数是服务器和客户端为每一次 连接选择的一个字节长的数值。 服务器消息验证码密钥是服务器用来产生消息验证 码的密钥。 客户端消息验证码密钥是客户端用来产生消息验证 码的密钥。
待定状态,包含当前握手协议协商好的压缩、加密、 计算MAC以及密钥等。 当前状态,包含记录层正在实施的压缩、加密、计 算MAC以及密钥等。 另外,保留了独立的读和写状态,当客户端或服务 器接到一个改变密码的说明消息时,它将把待定读 状态复制成当前读状态;当客户端或服务器发送一 个改变密码的说明消息时,它将把待定写状态复制 成当前写状态。当握手协商结束时,客户端和服务 器交换改变密码的说明消息,使用已商量好的新的 密钥进行通信。
5.2 安全套接层协议(SSL)
• 由Netscape 开发,是一个保证任何安装了安全 套接层的客户和服务器之间的事务安全的协议, 它涉及所有的TCP/IP 协议。 • SSL已得到众多的Internet 和Intranet 网络产品 及其厂商的支持。
1.引言
安全套接字层协议( Security Socket Layer,SSL)是 用于Internet上进行保密通信的一个安全协议,它 的主要目的是保证两台机器之间的通信安全,提供 网络上可信赖的服务。该协议采用了多种加密算法, 具备了信息的加密、完整性校验、数字签名、密钥 交换的功能,保证服务器与客端在通信时免遭窃 听、篡改和伪造。
3. SSL 协议的结构 SSL协议基于C/S模式,它由两层组成,分别是握 手协议层和记录协议层。握手协议层主要是在双方 进行正式的保密通信前,建立一个连接双方的安全 通道。其中主要是相互验证、协商加密算法、生成 密钥、初始化向量等。记录协议层封装高层协议, 具体实现压缩/解压缩、加密/解密、计算MAC等与 安全有关的操作。 作为分层的协议,在每一层,消息可以包含长度、 描述和内容字段。SSL发出消息,先把数据分成可 管理的块,压缩、加密并发出加密后的结果。接受 消息就解密、验证、解压和重组,再把结果发往更 高一层的客户。
2 SSL协议概述
Netscape Navigator和Internet Explorer都支持SSL, 而且许多网站使用这种协议来从用户端接收信用卡 编号等保密信息。要求SSL连接的网址以“https:” 开头,而不是“http:”。SSL自提出标准草案, 经多次的改进升级,目前已广泛被业界所接受,成 为现实中的标准。 除 Netscape 的产品和微软的IE 外,还有很多其他产品均支持SSL的通信协议 。目 前全球绝大部分的网上商店使用SSL安全系统。
Navigator返回一个由这些证书授权者之一所签发 的证书。如果没有这样的证书,握手信号就失败, 这样就避免了用户为每个链接查看证书。SSL经过 多次修订,从开始版本1发展到IETF最终采纳的传 输层安全(Transport Layer Security,TLS)标准。 所有TLS版本之前的版本都是由网景公司的工程师 们设计的。到了TLS版本,IETF要求必须支持DH、 DSS新的MAC算法和新的密钥扩展。 SSL的设计目标如下: 加密安全。SSL协议应在两个实体之间建立一个安 全连接。
图5.1 SSL协议层与TCP/IP 协议的关系图
(2) 客户端和服务器之间协商安全参数 协商的参数一般包括协议的版本号、密钥交换算法、 数据加密算法和Hash算法。通过协商达成一致性。 版本号一般要求一致;关于密钥交换算法和数据加 密算法,是先由客户端向服务器端发送一个列表, 其中详细列举了客户端所支持的算法,然后由服务 器端从中选取自己支持且加密性能优的算法,将其 返回给客户端,至此完成了算法的协商;最后由客 户端随机产生一个用于数据加密的对称密钥,用一 种商定好的密钥交换协议将它传给服务器端。
随着SSL版本的递增,它所提供的安全保护也越来 越强。第一代Netscape产品(包括Netscape Navigator 2.0、Netscape Commerce Server 1.0 和 Netscape News Server 1.0)实现了SSLv2。目前 Netscape 产品(包括Netscape 3.0-和Netscape SuitSpot服务器的产品)实现了SSLv3。SSL提供 的基本服务(报文完整性、报文保密和相互验证) 在协议的版本2和版本3是相同的,但是SSL 3对协 议有很多的增强。最后的增强是对客户机证书请求 协议的改进,允许服务器规定一个可信赖的签发客 户机证书授权者表。