最新电子商务安全总复习

《电子商务安全技术》总复习（填空题题型）1．电子商务中涉及通信安全和计算机安全的安全业务通常包括：保密业务、、接入控制业务、、和匿名性业务。

2．电子商务的安全要素是指：可靠性、真实性、、、、不可抵赖性和内部网的严密性。

3．在Internet上进行电子商务，存在以下方面的安全问题：保密性、个人隐私、、、。

4．密钥安全协议主要分为：协议和协议。

5．用来防止欺骗、伪装等攻击的认证安全协议，包含认证、认证和认证协议。

6．密码学包含的两门学科是：和。

7．加密体制分为两种：和。

8．私钥加密体制的典型代表是，它的加密密钥和解密密钥；公钥加密体制的典型代表是，它的加密密钥和解密密钥。

9．DES算法有3个参数：、数据Data、，DES的保密性取决于。

10．RSA算法的实施步骤为：、、恢复明文，RSA 体制的安全性取决于。

11．数字签名是建立在基础上的，其实现方法主要有3种：签名、签名、签名。

12．电子商务认证中心是用来承担网上安全交易服务，能签发，并能确认的服务机构。

13．认证中心的4大职能是：、、和证书验证。

14．数字证书是用来担保个人、计算机系统或者组织的和的电子文挡，由发行。

15．数字证书的内容由两个部分组成：和。

16．数字证书的类型通常有4种：、、安全邮件证书和CA 证书。

17．PKI是一个包括硬件、软件、人员、政策和手续的集合，其用途是实现基于的证书产生、管理存储、等功能。

18．PKI是一种遵循标准的管理平台，由5大系统组成：、、密钥备份及恢复系统、证书作废处理系统、应用接口系统。

19．数字时间戳服务是用来证明的，其技术实现由函数和协议共同完成。

20．电子商务的安全屏障是；电子商务的安全瓶颈是；电子商务的安全隐患是；电子商务的安全策略是。

21．防火墙是用来加强之间安全防范的系统。

22．防火墙的构成主要包括5个部分：、、、域名服务、E—mail处理。

23．防火墙大体上可以划分为3种类型：、、。

24．防火墙的安全体系主要有以下3种：、、。

第1章 概论1、电子商务安全问题主要涉及哪些方面? p5答：信息的安全问题、信用的安全问题、安全的管理问题、安全的法律问题。

2、电子商务系统安全由系统有哪些部分组成? p7答：实体安全、系统运行安全、系统信息安全。

3、电子商务安全的基本需求包括哪些? P16答：保密性、完整性、认证性、可控性、不可否认性。

4、电子商务安全依靠哪些方面支持? P17答：技术措施、管理措施、法律环境。

5、什么是身份鉴别，什么是信息鉴别？ p15答：所谓身份鉴别，是提供对用户身份鉴别，主要用于阻止非授权用户对系统资源的访问。

信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。

第2章 信息安全技术1、信息传输中的加密方式主要有哪些? P27答：链路-链路加密、节点加密、端-端加密。

2、简述对称加密和不对称加密的优缺点。

P35 p40答：（1）对称加密优点：由于加密算法相同，从而计算机速度非常快，且使用方便、 计算量小 、加密与解密效率高。

缺点：1)密钥管理较困难；2)新密钥发送给接收方也是件较困难的事情，因为需对新密钥进行加密；3）其规模很难适应互联网这样的大环境。

（2）不对称加密优点：由于公开密钥加密必须由两个密钥的配合使用才能完成加密和解密的全过程，因此有助于加强数据的安全性。

缺点：加密和解密的速度很慢，不适合对大量的文件信息进行加密。

3、常见的对称加密算法有哪些? P35答：DES、AES、三重DES。

4、什么是信息验证码，有哪两种生成方法？ P36答：信息验证码（MAC）校验值和信息完整校验。

MAC是附加的数据段，是由信息的发送方发出，与明文一起传送并与明文有一定的逻辑联系。

两种生成方式:1)j基于散列函数的方法；2）基于对称加密的方法。

5、如何通过公开密钥加密同时实现信息的验证和加密？P39答：1）发送方用自己的私有密钥对要发送的信息进行加密，得到一次加密信息。

2）发送方用接收方的 公开密钥对已经加密的信息再次加密；3）发送方将两次加密后的信息通过 网络传送给接收方；4）接收方用自己的私有密钥对接收到的两次加密信息进行解密，得到一次加密信息；5）接收方用发送方的公开密钥对一次加密信息进行解密，得到信息明文。

电子商务安全复习在当今数字化的时代，电子商务已经成为我们生活中不可或缺的一部分。

从在线购物到金融交易，从社交媒体到数字服务，电子商务的触角几乎延伸到了我们生活的每一个角落。

然而，随着电子商务的迅速发展，安全问题也日益凸显。

对于电子商务从业者和消费者来说，了解电子商务安全的相关知识，掌握有效的防范措施，是至关重要的。

接下来，让我们一起对电子商务安全进行一次全面的复习。

一、电子商务安全的重要性电子商务安全不仅仅是技术问题，更是关系到企业的生存和发展，以及消费者的信任和权益。

对于企业来说，如果其电子商务平台遭受攻击，导致客户数据泄露、交易中断或者资金损失，不仅会面临巨大的经济损失，还可能损害企业的声誉，失去客户的信任，从而在激烈的市场竞争中处于不利地位。

对于消费者来说，个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题，给生活带来极大的困扰和损失。

因此，保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。

二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。

包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击（DoS）等。

黑客可以通过攻击电子商务网站，窃取用户数据、篡改交易信息或者破坏系统正常运行。

病毒和恶意软件则可能潜伏在用户的设备中，窃取敏感信息或者监控用户的操作。

DoS 攻击则通过大量的无效请求导致网站瘫痪，使正常的交易无法进行。

2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。

在电子商务中，用户的个人信息（如姓名、地址、电话号码、信用卡信息等）、交易记录等都是重要的数据。

如果这些数据被泄露，可能被用于欺诈、身份盗窃等非法活动。

3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息，并以其名义进行非法活动。

在电子商务中，攻击者可能通过窃取用户的登录凭证、伪造身份等方式，进行虚假交易、骗取财物等。

4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。

第一章电子商务安全概论一、电子商务安全要素有效性：EC以电子信息取代纸张，如何保证电子形式贸易信息的有效性则是开展EC 的前提。

机密性：EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密完整性：由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。

可靠性：指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误不可否认性：信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息二、电子商务安全问题a)黑客攻击问题：主动、被动b)软件的漏洞和“后门”：操作系统、数据库、IE等c)网络协议的安全漏洞：Telnet、FTP等HTTPd)病毒的攻击：良性/恶性、单机/网络三、常见的攻击技术1：信息收集型攻击：主要采用刺探、扫描和监听地址扫描，端口扫描，体系结构探测，DNS域名服务，LDAP服务，伪造电子邮件2：利用型攻击：利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。

口令猜测，特洛伊木马，缓冲区溢出3：拒绝服务攻击：拒绝服务目的在于使系统瘫痪，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

死亡之ping，泪滴，UDP洪水，电子邮件炸弹四、电子商务安全体系结构第二章信息加密技术与应用一、加密技术发展过程古代密码：古代的行帮暗语、文字游戏等古典密码：替代密码、转轮密码近现代密码：对称、非对称密码二、常见古典密码算法，希腊密码、凯撒密码希腊密码：密文：2315313134明文：HELLO凯撒密码：把每个英文字母向前推移K位A B C D E F G …… X Y ZD E F G H I J …… A B C明文:Jiangxi Normal University密文:mldqjal qrupdo xqlyhuvlwb三、对称称密码体系概念、特点，DES算法的过程概念：即加密密钥与解密密钥相同的密码体制，这种体制中只要知道加(解)密算法，就可以反推解(加)密算法。

EC安全现状一、填空题1、电子商务安全的基本要求包括：保密性、认证性、完整性、可访问性、防御性、不可否认性和合法性，其中保密性、完整性和不可否认性最为关键。

2、信息安全的三个发展阶段是：数据安全、网络安全和交易安全。

3、交易安全的三个主要方面包括：可信计算、可信连接、可信交易。

4、在电子商务系统中，在信息传输过程中面临的威胁：中断（interruption ）、截获（interception ）、篡改（modification ）和伪造（fabrication）5、电子商务信息存储过程中面临的威胁非法用户获取系统的访问控制权后，可以破坏信息的保密性、真实性和完整性。

6、以可信计算平台、可信网络构架技术实现，对BIOS、OS等进行完整性测量，保证计算环境的可信任，被称为可信计算(trusted computing)7、以活性标签技术或标签化交换技术实现，对交易过程中的发信、转发、接收提供可信证据，被称为可信连接(trusted connecting)8、为交易提供主体可信任、客体可信任和行为可信任证明，被称为可信交易(trusted transaction)9、 ISO对OSI的安全性进行了深入的研究,在此基础上提出了OSI安全体系。

定义了安全服务、安全机制和安全管理等概念。

其中对象认证(entity authentication)、访问控制(access control)、数据保密性(data confidentiality)、数据完整性(data integrity)和不可抵赖(no-repudiation)是属于安全服务范畴10、 ISO对OSI的安全性进行了深入的研究,在此基础上提出了OSI安全体系。

定义了安全服务、安全机制和安全管理等概念。

其中数据加密、数字签名、数据完整性、鉴别交换、路由控制、防业务流分析、公证属于安全机制范畴二、判断题1、密码安全是通信安全的最核心部分，由技术上提供强韧的密码系统及其正确应用来实现。

PPT 1 电子商务安全概述1.电子商务存在的一些安全威胁。

电商环境的安全隐患：硬件软件网络系统数据安全电商交易的安全隐患：交易信息、电子支付、电商管理2.黑客的概念,黑客攻击的基本步骤这里说的黑客，原指热心于计算机技术，水平高超的电脑专家，对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。

隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。

第二种方式是做多极跳板“代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。

在入侵完毕后，需要清除登录日志以及其他相关的日志。

3.网络安全的意义目前研究网络安全已经不只为了信息和数据的安全性。

网络安全已经渗透到国家的经济、军事、政治等领域。

4.攻击与安全的关系黑客攻击和网络安全的是紧密结合.在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。

某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。

5.掌握对电子商务安全的需求以及各需求的含义机密性：电子商务系统应该能对公众网络上传输的信息进行加密处理，防止交易中信息被非法截获或读取，或者实行访问控制。

完整性：要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。

有效性、真实性：为了进行交易，各方必须能够对另一方的身份进行鉴别。

不可抵赖性：不可抵赖性即是能建立有效的责任机制，防止实体否认其行为。

可靠性、可用性：要对网络故障、硬件故障、操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是可访问的。

6.构建全方位的安全体系的原则安全管理原则防范内部作案多人负责原则相互制约任期有限原则防作弊，不定期轮换职责分离原则避免利用职务之便PPT 2 电子商务安全基础7.理解ＯＳＩ通信模型的结构／ＴＣＰ／ｉｐ结构第1层：物理层(Physical Layer)在物理信道上传输原始的数据比特（bit ）流，提供为建立、维护和拆除物理链路连接所需的各种传输介质、通信接口特性等。

一、填空题（每空1分，共15分）1.电子商务安全从整体上分为：网络安全和交易安全。

2.按密钥方式划分，密码技术分为：对称密码和非对称密码。

3.分组密码是将明文按一定的位长分组，输出也是固定长度的密文。

4.目前使用的电子签名主要有三种模式，分别是智慧卡式、密码式以及生物测定式。

5.放火墙一般用来保护内网。

6.CA的功能是证书的颁发、证书的更新、证书的销毁、证书的归档。

7.入侵检测(Qos)是通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象，主要分成基于的入侵检测系统和基于行为的入侵检测和分布式入侵检测系统三大类。

8.包过滤路由器放火墙一般放置在INTERNET和内部网之间，是连接内外网的桥梁，选择的依据是系统内设置的路由规则。

9.Internet中用于发送安全电子邮件的协议是PGP 。

10.数字时间戳服务是网上电子商务安全服务的项目之一，他能提供电子文件的日期和时间信息的安全保护，它必须由专门的机构提供。

19.电子商务安全涉及的三大基本技术是：网络安全技术、密码技术、PKI技术。

20.在公开密钥体制中,加密密钥和解密密钥分离,公开公钥。

21.信息鲁莽性指不因图像文件的某种改动而导致图像丢失的能力。

22.数字签名的功能有完整性、保密性、认证性和不可抵赖。

23.常用的电子商务安全服务协议有SET 协议和SSL协议。

24.VPN按照接入方式划分，一般分为专线 VPN和拨号 VPN。

25.Internet中用于保障超文本传输的安全协议是HTTP 。

二、单项选择题（每小题1分，共20分）1.电子商务面临的安全威胁不包括( )。

A.盗取B.窃听C.篡改D.假冒和抵赖2.IDEA密钥的长度为( )。

A.56B.64C.124D.1283.在防火墙技术中，内网这一概念通常指的是( )。

A.可信网络B.不可信网络C.防火墙内的网络D.互联网4.不属于非数学加密理论和技术的是( )。

电子商务安全复习电子商务安全复习题目一、单项选择题1.电子商务的安全需求不包括( B )A.可靠性B.稳定性C.匿名性D.完整性2以下哪个不是常用的对称加密算法( D )A.DESB.AESC.3DESD.RSA3.访问控制的要素有几种( D )A.2B.3C.4D.54. 下面关于病毒的叙述正确的是（D ）A．病毒可以是一个程序B．病毒可以是一段可执行代码C．病毒能够自我复制D．ABC都正确5. 根据物理特性，防火墙可分为（A ）A. 软件防火墙和硬件防火墙B.包过滤型防火墙和双宿网关C. 百兆防火墙和千兆防火墙D.主机防火墙和网络防火墙6.目前公认的保障网络社会安全的最佳体系是( A )A.PKIB.SETC.SSLD.ECC7.防火墙软件不能对付哪类破坏者? ( C )A.未经授权的访问者B.违法者C.内部用户D.地下用户8.数据的备份类型不包括? ( B )A.完全备份B.部分备份C.增量备份D.差别备份9.针对木马病毒的防范，以下正确的是( A )A.设置复杂密码，最好包含特殊符号B.随意打开不明邮件的附件C.浏览不健康网站D.网上下载的软件未经扫描就使用10.以下那个不是杀毒软件的正确使用方法( A )A.中毒之后再下载杀毒软件来安装B.设置开机自动运行杀毒软件C.定期对病毒库进行升级D.经常针对电脑进行全盘扫描11.关于密码学的术语描述错误的是( B )A.最初要发送的原始信息叫做明文B.算法是在加密过程中使用的可变参数C.密文是被加密信息转换后得到的信息D.解密是将密文转换为明文的过程12.以下说法错误的是? ( D )A.电子商务中要求用户的定单一经发出，具有不可否认性B.电子商务中的交易信息要防止在传输工程中的丢失和重复C.电子商务系统应保证交易过程中不泄漏用户的个人信息D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。

13.使用计算机应遵循的完全原则不包括如下哪一个（ D ）A.密码安全原则B.定期升级系统 C.禁止文件共享D.允许远程访问14. HTTPS是使用以下哪种协议的HTTP?（ C ）A.SSHB.SETC.SSLD.TCP15.下列哪一项不属于电子商务使用的主要安全技术( C )A.加密B.电子证书C.实名认证D.双重签名16.典型的DES以( A )位为分组对数据进行加密？A.64B.128C.256D.51217.VPN的含义是( B )A.局域网B.虚拟专用网络C.广域网D.城域网18.移动电子商务对系统的安全需求不包括( C )A.身份认证B.接入控制C.数据可靠性D.不可否认性19.以下那种情况可以放心的使用在线电子支付系统( D )A.在单位的公用电脑B.在网吧C.在肯德基使用免费WIFID.在家庭的网络中20.以下哪种操作可以有效防护智能手机操作系统安全( B )A.下载安装腾讯QQB.使用专门软件实时监控手机运行状态C.给手机设置密码，密码是自己的生日D.经常打开微信，链接各种网站。

14电子商务支付与安全期终复习题1、交易的完整性的典型风险什么？P13重放攻击2、身份认证的基础是什么？P29用户所知、用户所有、用户个人特征3、计算机病毒一般的清除方法有哪些？P40（1）手工清除（2）利用杀毒软件自动清除（3）低级格式化。

4.SET技术规范包括哪些？P61（1）商业描述，提供处理的总述；（2）程序员指导，介绍数据区、消息以及处理流程。

该指导分为三部分和附件。

系统设计考虑、证书管理、支付系统。

;(3)正式的协议定义，提供SET消息和数据区的最严格描述。

协议定义采用ANS.1语法进行；5.网络支付的特征是什么？P96（1）网络支付的一切都是数字的（2）网络支付是基于Internet 和虚拟额专用网（3）网络支付使用方面、内容广泛6.访问控制系统的要素有哪三个？P31（1）主体：访问操作、存取要求的发起者，通常指用户或用户的某个进程。

（2）客体：被调用的程序或预存取的数据。

（3）安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力，他定义了主体与客体可能的相互作用途径。

7.第三方支付平台有几种类型并举例。

P141(1)账户型支付模式：支付宝，财付通，安付通，PAYPAL，YeePay。

（2）网管型支付模式：快钱，北京首信易支付，云网支付。

（3）多种支付手段结合模式：拉卡拉，嗖！付，缴费易8.中国国家金融数据通信地面骨干网的网络结构分为几层？怎么分？P227答：中国国家金融数据通信网骨干网的网络结构分为核心层和转接层两部分。

核心层网络覆盖全国35个直辖市、省会城市和计划单列市；转接层网络覆盖个直辖市、省会城市和计划单列市所辖的地区级城市及少数县级市。

9.网上银行主要业务有哪些？P278（1）信息服务（2）客户交流服务（3）交易服务10.信用卡服务需要收费的项目有哪些？P108-116信用卡年费，信用卡利息，信用卡提现（溢缴款提现，透支提现），信用卡分析付款，银行卡交易手续费11.电子商务安全的基本要求有哪些？P8交易的认证性、交易的保密性、交易的完整性、交易的不可否认性和其他附加要求。

电子商务安全知识点总结随着互联网的普及和电子商务的迅速发展，电子商务安全问题日益凸显。

保障电子商务交易的安全，对于促进电子商务的健康发展、保护消费者权益以及维护企业的声誉和利益都具有至关重要的意义。

以下是对电子商务安全相关知识点的总结。

一、电子商务安全概述电子商务安全是指在电子商务活动中，保障交易主体、交易过程和交易数据的安全性、完整性、机密性、可用性和不可否认性。

电子商务安全涉及到技术、管理、法律等多个方面，是一个综合性的系统工程。

二、电子商务面临的安全威胁（一）信息泄露在电子商务交易中，用户的个人信息、账户信息、交易记录等可能被黑客窃取或因商家管理不善而泄露，导致用户隐私受到侵犯。

（二）网络攻击常见的网络攻击手段包括拒绝服务攻击（DoS）、分布式拒绝服务攻击（DDoS）、SQL 注入攻击、跨站脚本攻击（XSS）等，这些攻击可能导致电子商务网站瘫痪，影响正常交易。

（三）恶意软件如病毒、木马、蠕虫等恶意软件可能通过网络传播，感染用户的计算机或移动设备，窃取用户的敏感信息或控制用户的设备进行非法操作。

（四）身份假冒不法分子可能通过窃取用户的账号和密码，假冒用户身份进行交易，给用户和商家造成损失。

（五）交易抵赖在交易完成后，一方可能否认曾经参与过该交易，导致交易纠纷。

三、电子商务安全技术（一）加密技术加密是保障电子商务安全的核心技术之一。

通过对数据进行加密，可以将明文转换为密文，只有拥有正确密钥的接收方才能将密文解密为明文，从而保障数据的机密性。

常见的加密算法包括对称加密算法（如 AES）和非对称加密算法（如 RSA）。

（二）数字签名数字签名用于验证消息的来源和完整性，确保消息在传输过程中未被篡改。

发送方使用自己的私钥对消息进行签名，接收方使用发送方的公钥验证签名，从而确认消息的真实性和完整性。

（三）认证技术认证技术包括身份认证和消息认证。

身份认证用于确认交易双方的身份，常见的身份认证方式有用户名/密码认证、数字证书认证、生物特征认证等。

电子商务安全复习题目一、单项选择题1.电子商务的安全需求不包括( B )A.可靠性B.稳定性C.匿名性D.完整性2以下哪个不是常用的对称加密算法( D )A.DESB.AESC.3DESD.RSA3.访问控制的要素有几种( D )A.2B.3C.4D.54. 下面关于病毒的叙述正确的是（D ）A．病毒可以是一个程序B．病毒可以是一段可执行代码C．病毒能够自我复制D．ABC都正确5. 根据物理特性，防火墙可分为（A ）A. 软件防火墙和硬件防火墙B.包过滤型防火墙和双宿网关C. 百兆防火墙和千兆防火墙D.主机防火墙和网络防火墙6.目前公认的保障网络社会安全的最佳体系是( A )A.PKIB.SETC.SSLD.ECC7.防火墙软件不能对付哪类破坏者? ( C )A.未经授权的访问者B.违法者C.内部用户D.地下用户8.数据的备份类型不包括? ( B )A.完全备份B.部分备份C.增量备份D.差别备份9.针对木马病毒的防范，以下正确的是( A )A.设置复杂密码，最好包含特殊符号B.随意打开不明邮件的附件C.浏览不健康网站D.网上下载的软件未经扫描就使用10.以下那个不是杀毒软件的正确使用方法( A )A.中毒之后再下载杀毒软件来安装B.设置开机自动运行杀毒软件C.定期对病毒库进行升级D.经常针对电脑进行全盘扫描11.关于密码学的术语描述错误的是( B )A.最初要发送的原始信息叫做明文B.算法是在加密过程中使用的可变参数C.密文是被加密信息转换后得到的信息D.解密是将密文转换为明文的过程12.以下说法错误的是? ( D )A.电子商务中要求用户的定单一经发出，具有不可否认性B.电子商务中的交易信息要防止在传输工程中的丢失和重复C.电子商务系统应保证交易过程中不泄漏用户的个人信息D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。

13.使用计算机应遵循的完全原则不包括如下哪一个（ D ）A.密码安全原则B.定期升级系统 C.禁止文件共享D.允许远程访问14. HTTPS是使用以下哪种协议的HTTP?（ C ）A.SSHB.SETC.SSLD.TCP15.下列哪一项不属于电子商务使用的主要安全技术( C )A.加密B.电子证书C.实名认证D.双重签名16.典型的DES以( A )位为分组对数据进行加密？A.64B.128C.256D.51217.VPN的含义是( B )A.局域网B.虚拟专用网络C.广域网D.城域网18.移动电子商务对系统的安全需求不包括( C )A.身份认证B.接入控制C.数据可靠性D.不可否认性19.以下那种情况可以放心的使用在线电子支付系统( D )A.在单位的公用电脑B.在网吧C.在肯德基使用免费WIFID.在家庭的网络中20.以下哪种操作可以有效防护智能手机操作系统安全( B )A.下载安装腾讯QQB.使用专门软件实时监控手机运行状态C.给手机设置密码，密码是自己的生日D.经常打开微信，链接各种网站。

电子商务安全与管理期末复习题型： 1. 选择题（30分：1.5分1题，共20题）2. 判断并说明理由题（28分：4分1个，共7题。

其中判断对错占2分，简要说明理由占2分）3. 简答题（30分：6分1题，共5题）4. 综合分析题（12分：6分1题，共2题）1、电子商务涉及的安全问题有哪些？P4-6A. 信息的安全问题：冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信用的安全问题：来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况C. 安全的管理问题D. 安全的法律保障问题2、电子商务系统安全的三个组成部分。

P74、电子商务的安全保障主要由哪三方面去实现？P17-22技术措施①信息加密技术：保证数据流安全，密码技术和非密码技术②数字签名技术：保证完整性、认证性、不可否认性③TCP/IP服务：保证数据完整传输④防火墙的构造选择：防范外部攻击，控制内部和病毒破坏管理措施①人员管理制度：严格选拔落实工作责任制贯彻ＥＣ安全运作三项基本原则：多人负责、任期有限、最小权限②保密制度不同的保密信息有不同的安全级别③跟踪、审计、稽核制度跟踪：自动生成系统日志审计：对日志进行审计（针对企业内部员工）稽查：针对企业外部的监督单位④系统维护制度硬件和软件⑤数据容灾制度⑥病毒防范制度⑦应急措施法律环境《中华人民共和国电子签名法》5、风险分析和审计跟踪的主要功能P10-11风险分析：a.设计前：根据分析系统固有的脆弱性，旨在发现系统设计前的潜在风险。

b.运行前：根据系统运行期的运行状态和结果，分析潜在安全隐患。

c.运行期：根据系统运行记录，跟踪系统状态的变化，分析运行期的安全隐患。

d.运行后：分析系统运行记录，为改进系统的安全性提供分析报告。

审计跟踪：a.记录和跟踪各种系统状态的变化。

b.实现对各种安全事故的定位。

c.保存、维护和管理审计日志1、信息传输中的五种常见加密方式。

P27①链路－链路加密②节点加密③端－端加密④A TM网络加密⑤卫星通信加密链路-链路加密与端端加密区别：2、对称加密的原理及其优缺点，常见对称密码算法有DES，AES，三重DES，Rivest 密码，对称加密密钥的传输可使用RSA密钥传输法。

一.电子商务安全概述电子商务安全的6大需求、各需求的内涵及解决该需求用到的技术1）机密性：又叫保密性。

指信息在传送或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。

（2）完整性：又叫真确性。

保护数据不被未授权者修改、建立、嵌入、删除、重复发送或者由于其他原因使原始数据被更改。

3）认证性：指网络两端的使用者在沟通之前相互确认对方的身份。

一般通过CA认证机构和证书来实现（4）不可抵赖性：即不可否认性，指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。

通过数字签名来保证（5）不可拒绝性：又叫有效性或可用性。

保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。

（6）访问控制性：指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

一般可通过提取消息摘要的方式来保证电子商务安全基础技术（1）密码技术：加密、数字签名、认证技术、密钥管理（2）网络安全技术：防火墙技术、VPN、入侵检测技术（3）PKI技术：利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。

它为EC、电子政务、网上金融提供一整套安全基础平台。

可信计算机系统评价准则(TCSEC)无保护级D类D1的安全等级最低，说明整个系统是不可信的。

D1系统只为文件和用户提供安全保护，对硬件没有任何保护、操作系统容易受到损害、没有身份认证。

D1系统最普通的形式是本地操作系统（如MS—DOS，Windows95/98），或者是一个完全没有保护的网络。

自主保护级C类C类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力，C类安全等级可划分为C1和C2两类。

C1为酌情保护级。

系统对硬件进行某种程度的保护，将用户和数据分开。

C2为访问控制保护级：增加了用户级别限制，加强了审计跟踪的要求。

《电子商务安全》课程期末复习资料《电子商务安全》课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全发展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥管理与分发技术第四节认证技术第五节数字水印与数字版权保护技术第三章电子商务安全协议第一节 IP协议安全体系第二节电子邮件安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务交易系统的安全第三节电子商务交易中的物流安全第四节电子商务交易安全体系第五章电子商务的支付安全第一节电子商务支付概述第二节电子商务支付安全需求第三节电子商务支付安全体系第四节电子商务安全支付平台第六章电子商务的信息安全第一节电子商务信息安全概述第二节电子商务信息安全目标第三节电子商务信息安全技术第四节电子商务信息安全评估第七章电子商务的网络安全第一节电子商务网络安全概述第二节电子商务网络系统安全目标第三节电子商务网络安全技术第四节电子商务网络安全策略与标准第五节电子商务网络安全评估第八章电子商务安全管理第一节电子商务安全管理概述第二节电子商务风险管理第三节电子商务系统管理第四节电子商务信用管理第五节电子商务人员管理与保密制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动电子商务的安全策略第四节移动电子商务的安全管理第十章实验★考核知识点: 数据加密技术附1.1.1（考核知识点解释）：所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。

加密技术是网络安全技术的基石。

第一章1.电子商务的安全需求电子商务的安全需求包括两方面：电子交易的安全需求（1）身份的可认证性在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。

（2）信息的保密性要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。

（3）信息的完整性交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。

（4）不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。

（5）不可伪造性电子交易文件也要能做到不可修改计算机网络系统的安全一般计算机网络系统普遍面临的安全问题：（1）物理实体的安全设备的功能失常电源故障由于电磁泄漏引起的信息失密搭线窃听（2）自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。

（3）黑客的恶意攻击所谓黑客，现在一般泛指计算机信息系统的非法入侵者。

黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。

（4）软件的漏洞和“后门”（5）网络协议的安全漏洞（6）计算机病毒的攻击计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

”——《中华人民共和国计算机信息系统安全保护条例》2.电子商务安全技术分为两类计算机网络安全计算机网络设备安全、计算机网络系统安全、数据库安全等。

其特征是针对计算机网络本身可能存在的安全问题, 实施强大的网络安全监控方案, 以保证计算机网络自身的安全性。

▪常用的网络安全技术：安全评估技术、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。

总复习大纲一、上机考试内容：以下5选2，下载地址：ftp://192.168.5.1用户名：dianshang061)W indows 2000 环境下NTFS机制应用2)加密与解密（RSA&DES）3)数字证书应用4)安全站点的创建与访问5)V PN实验6)电子邮件证书的使用二、理论考试一）内容重点提示：重点章节三四五章(一)类型：1．单选402．判断203．简答154．综合论述25(二)复习大纲第一章：本书的引导1．电子商务安全问题涉及的四个方面信息、信用、管理、法律2．计算机信息系统的概念3．电子商务安全体系的结构：实体、运行、信息。

结构图形的理解4．访问控制：P11 出入与存取5．三个方面来保障商务：技术、管理、法律第二章：（管理和技术标准）1．组织：ISO IEEE IETF2．人员管理的策略P383．涉及的法律问题：P43第三章信息安全技术（重点）1．信息安全传输的安全要求（五点）2．信息安全要求与对应应用的技术： 机密性：加密技术—对称加密（私钥加密体制：DES），非对称加密（公钥加密体制: RSA）●完整性：数字摘要（196、128、160）（HASH:单向函数，不可逆）；数字签名（数字摘要技术+RSA）●身份的可验证性：数字证书（CA中心：公钥（公开）、颁发机构的数字签名）、数字签名（RSA中的私钥）、生物特征、识别码等●不可否认性：数字签名、数字证书、数字时间戳（第三方公证、权威机构：CA）●访问控制：OS级访问控制权限、防火墙、口令、生物特征.等3、加密技术：对称加密（私钥加密体制：DES），非对称加密（公钥加密体制: RSA）1）概念：加密、解密、密钥（Key）、加密算法4、数字摘要，又叫数字指纹。

利用散列（hash）函数对不定长信息进行加密而形成的固定长度（128，160，196位）的数据序列的过程。

作用：完整性Hash的特征：单向、不可逆、执行结果是固定的结果、敏感性它是形成数字签名的基础.~~~5、数字签名：数字摘要技术+ RSA（私钥）1）不可以否认2）身份的验证3）保证所签名信息的完整性另外：数字签名的流程图P59 图3-9；数字签名过程文字的描述；P596、密钥管理与CA1）密钥管理：生成、发放、更新、恢复、撤销/终止2）对称密钥的保管和传输：利用非对称加密如RSA来实现。

电子商务支付与安全一.单选题（共40题）1、密码算法的安全强度,在很大程度上依赖于( )。

A、密钥的安全保护B、加密算法C、解密算法D、加解密是否对称正确答案： A2、为了保证网络支付中的不可否认性，常常采用（）技术手段来解决这些问题。

A、防火墙B、数据加密C、数字签名；D、数字信封正确答案： C3、电子货币的出现与发展，正体现了国际上或国家（）。

A、金融的电子化进程B、信息的电子化进程C、物流的电子化进程D、商业的电子化进程正确答案： A4、以下不属于资金调拨系统的为( )。

A、商业银行B、FEDWIREC、CHIPSD、全银系统（日本）正确答案： A5、国际汇兑信息通常是通过（）系统传输的。

A、VISAB、CNAPSC、SWIFTD、CHIPS正确答案： C6、电子支付是指电子交易的当事人，使用（）手段，通过网络进行的货币支付或资金流转。

A、网络B、电子C、安全电子支付D、第三方支付正确答案： C7、能够进行第三方支付的企业均应持有中国人民银行发放的( )。

A、第三方支付牌照B、4G牌照C、营业执照D、法人证书正确答案： A8、（）是为了加强对从事支付业务的非金融机构的管理，由中国人民银行核发的非金融行业从业资格证书。

A、支付业务许可证B、个人身份证C、数字证书D、营业执照正确答案： A9、公开密钥加密技术解决了( ),是目前商业密码的核心。

A、双向监控功能B、用户认证功能C、网络安全功能D、密钥的发布和管理问题正确答案： D10、在互联网上不同主体的身份证实是通过（）实现的。

A、个人身份证B、法人证书C、数字证书D、营业执照正确答案： C11、数字证书除了用来向其它实体证明自己的身份外,还同时起着( )的作用。

A、密钥的安全保护B、加密保护C、公钥分发D、解密正确答案： C12、( )是网络支付结算的运作主体。

A、现金B、支票C、电子货币D、汇票正确答案： C13、数字信封是( )在实际中的一个应用A、公钥密码体制B、私钥密码体制C、数字签名D、数字证书正确答案： A14、数据加/解密技术主要是保障（）的安全A、数据B、网络C、资金D、银联正确答案： A15、制定网络支付安全策略的基本原则之一是：（）A、管理为主B、置之不理C、进攻为主；D、预防为主正确答案： D16、防火墙技术主要是保障（）的安全。