电子商务安全与管理

1、简述电子商务流程

答：（1）电子商务的基本交易过程：①交易前的准备；②交易谈判和签订合同；③办理交易进行前的手续；④交易合同的履行、服务和索赔。（2）网上商品交易流程：①网上商品直销流程：消费者进入网站、浏览商品；消费者在提供者的网站上填写信息，订购商品；消费者选择付款方式，供应方查看消费者的信息，比如账户余额是否足够；供应方发货，同时银行将款项划入供应方；消费者检查收货。

②网上商品中介交易流程：交易双方将供需信息发布在网络交易中心；交易双方根据网上商品交易中心提供的信息选择自己的交易对象，网上商品交易中心协助双方合同的签订以及其他的相关手续；交易双方在网络交易中心指定的银行进行付款、转账等手续；商品交易中心送货或由卖方直接送给买方；买方验货收货。

2、概括电子商务模式的类型

答：从参与的主体和实现商务活动的方式的角度考虑，基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为：（1）企业与企业间网上直销型电子商务模式：①买方集中模式；②卖方集中模式；③专业服务模式。（2）网上零售模式：①实物商品电子商务模式；②无形商品电子商务模式：网上订阅模式，付费浏览模式，广告支付模式，网上赠与模式。（2）网上中介型电子商务模式：①企业与企业间网上中介型电子商务模式；②消费者与消费者间的网上中介型电子商务模式；③网上商城模式。

3、结合自己的亲身经历，思考在电子商务交易中会涉及哪些安全问题？（信息传输风险，信用风险，管理风险，法律风险，网上支付风险）

电子商务所面临的安全问题主要包括以下几个方面。（1）窃取信息。数据信息在未采用加密措施情况下，以明文形式在网络上传送，攻击者在传输信道上对数据进行非法截获、监听，获取通信中的敏感信息，造成网上传输信息泄露。即使数据经过加密，但若加密强度不够，攻击者也可通过密码破译得到信息内容，造成信息泄露。（2）篡改信息。攻击者在掌握了信息格式和规律后，采用各种手段对截取的信息进行篡改，破坏商业信息的真实性和完整性。（3）身份仿冒。攻击者运用非法手段盗用合法用户身份信息，利用仿冒的身份与他人交易，获取非法利益，从而破坏交易的可靠性。（4）抵赖。某些用户对发出或收到的信息进行恶意否认，以逃避应承担的责任。（5）病毒。网络化，特别是Internet的发展，大大加速了病毒的传播，同时病毒的破坏性越来越大，严重威胁着电子商务的发展。（6）其他安全威胁。电子商务的安全威胁种类繁多，有故意的也有偶然的，存在于各种潜在方面。例如：业务流分析，操作人员的不慎重所导致的信息泄露，媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。

4、电子商务网络系统自身的安全问题（1）物理实体安全问题（2）计算机软件系统潜在的安全问题（3）网络协议的安全漏洞（4）黑客的恶意攻击（5）计算机病毒攻击（6）安全产品使用不当

5、电子商务交易信息传输过程中面临哪些安全问题？

（1）信息机密性面临的威胁：主要指信息在传输过程中被盗取。（2）信息完整性面临的威胁：主要指信息在传输的过程中被篡改、删除或插入。（3）交易信息的可认性面临的威胁：主要指交易双方抵赖已经做过的交易或传输的信息。（4）交易双方身份真实性面临的威胁：主要指攻击者假冒交易者的身份进行交易。

电子商务企业内部安全管理问题（1）网络安全管理制度问题（2）硬件资源的安全管理问题（3）软件和数据的维护与备份安全管理问题

6、电子商务安全管理方法（了解P19）

从安全技术，安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面？答：电子商务安全管理的制度体现在以下几个方面：（1）人员管理制度。（2）保密制度。（3）跟踪、审计、稽核制度。（4）网络系统的日常维护制度。（5）病毒防范制度。

8、风险分析的目的：风险分析的最终目的是彻底消除风险，保障风险主体安全。具体包括以下几个方面：（1）透彻了解风险主体、查明风险客体以及识别和评估风险因素；（2）根据风险因素的性质，选择、优化风险管理的方法，制定可行的风险管理方案，以备决策；（3）总结从风险分析实践中得出的经验，丰富风险分析理论。

9、风险分析的原则：风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象（风险主体、风险客体和风险因素等）之外的认知系统遵循的原则。

10、风险分析的步骤：1）确定范围2）找出风险3）风险评估4）风险控制。

11、什么是风险，它具备哪些特征？

答：风险就是指危险发生的意外性和不确定性，包括损失发生与否及损失程度大小的不确定性。风险的特征：首先，风险是客观的，也是主观的；其次，决定某事有风险的需要个人的判断，甚至对于客观的风险也是如此；再次，有风险的行为和因此产生的风险，通常是能选择或避免的。

*12、简述风险分析的作用。

13、Internet风险等级划分（P32）

（1）一般警戒（Regular Vigilance）：（2）增进警戒（Increased Vigilance）（3）焦点攻击（Focused Attacked）（4）灾难性威胁（Catastrophic Threat）（风险最高）

14、Internet协议中的安全风险：1）TCP序号袭击2）IP地址欺骗3）ICMP袭击（ping命令）4）IP碎片袭击5）ARP欺骗攻击6）UDP欺骗15、OSI模型的分层有哪几层？TCP协议在哪一层？第一层和最后一层是什么？

OSI模型总共有七层，从第一层到最后一层分别为：物理层，数据链路层，网络层，传输层，会话层，表示层，应用层。TCP协议在传输层第四层，IP在第三层。第一层是物理层，最后一层是应用层。16、协议（通信协议）是关于通信过程的规则或条例，它规定了如何传输信号，如何在宿主计算机上将数据包重新组成计算机信息等。

17、IP数据报文格式（P37）

IPv6 的特点：一、扩大了地址空间；二、简化了数据报头格式；三、易于扩充；四、内置安全特性。

18、ICMP袭击（P44）

若网页打不开，判断是该网页服务器的问题还是本地网络的问题，用ping命令。

19、FTP(File Transfer Protocol)文件传输协议的应用：文本传输，上传下载文件

20、WWW的安全问题（了解）（P49）

（1）攻击者利用Web服务器或CGI程序中的缺陷访问系统中未经许可的文件，甚至盗取系统控制权。（2）攻击者利用Web浏览器中的缺陷，窃听或截获Web浏览器和Web服务器之间的机密信息。CGI程序的安全威胁，Java程序的安全威胁，Cookie 的安全威胁，Web欺骗连接。

21、DNS（域名服务器系统Domain Name Service）(P52)作用：把域名解析成IP地址22、加密：将明文变换成另一种隐蔽形式，这种变换称为加密。

对称式加密：指使用同一个密钥对报文进行加密和解密，也称为单钥加密技术或传统加密技术。

优点：效率高，算法简单，系统开销小，速度比公钥加密技术快得多，适合加密大量的数据，应用广泛。缺点：主要问题是发送方和接收方必须预先共享秘密密钥，而不能让其他任何人知道，通常必须通过安全信道私下商定。

非对称（公钥）加密：优点：（1）密钥分配简单（2）密钥的保存量少（3）可以满足相互不认识的人之间进行私人谈话时的保密性要求（4）可以完成数字签名和数字鉴别。缺点：（1）产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密（2）安全性（3）速度太慢

23、数字签名的定义：数字签名是指用户用自己的私钥对原始数据的数字摘要进行加密所得的数据。作用：保证消息来源的真实性和数据传输的完整性。基本要求：（1）签名是可信的。（2）签名是不可伪造的（3）签名不可重用（4）签名后的文件是不可变的（5）签名是不可否认的

24、计算机病毒是一种在计算机系统运行过程中能够把自身精确复制或有修改地复制到其他程序体内的程序，它是一种人为编制的软件。

特点：

它与杀毒软件的区别和联系（是否杀完全，复发）25、反病毒管理（主要谈谈怎样从企业内部管理来进行反病毒，如何防范，以及如何将危害控制到最小）（P101）

反病毒管理包括：（1）数据通信管理；（2）软件来源管理；（3）客户访问与商业联系的管理，还应包括拟定系统化的措施来防范或对付病毒。

（1）病毒防范。病毒防范的第一步，是要查出病毒进入系统的方式，以尽快找到阻挡病毒侵袭的办法。(2)病毒响应计划。当发现病毒已进入时，正是采取病毒响应计划的时机。病毒响应计划的主要目的是利用每种可能的方法来彻底清除所有的病毒。欲从根本上清除病毒，就应首先找到病毒侵袭的方式。如果找不到病毒侵袭的路径，那么最好的方法就是设法使系统具有免疫力，且应对存储区域定期进行深入检查。

26、计算机犯罪：指以计算机为工具，采用非法手段使自己获利或使他人遭受损失的犯罪行为。

27、计算机犯罪的类型：1）破坏计算机；2）窃用