电子商务安全 期末复习

电⼦商务安全期末复习电⼦商务安全与管理期末复习题型： 1. 选择题（30分：1.5分1题，共20题）2. 判断并说明理由题（28分：4分1个，共7题。

其中判断对错占2分，简要说明理由占2分）3. 简答题（30分：6分1题，共5题）4. 综合分析题（12分：6分1题，共2题）1、电⼦商务涉及的安全问题有哪些？P4-6A. 信息的安全问题：冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信⽤的安全问题：来⾃买⽅的安全问题、来⾃卖⽅的安全问题、买卖双⽅都存在抵赖的情况C. 安全的管理问题D. 安全的法律保障问题2、电⼦商务系统安全的三个组成部分。

P74、电⼦商务的安全保障主要由哪三⽅⾯去实现？P17-22技术措施①信息加密技术：保证数据流安全，密码技术和⾮密码技术②数字签名技术：保证完整性、认证性、不可否认性③TCP/IP服务：保证数据完整传输④防⽕墙的构造选择：防范外部攻击，控制内部和病毒破坏管理措施①⼈员管理制度：严格选拔落实⼯作责任制贯彻ＥＣ安全运作三项基本原则：多⼈负责、任期有限、最⼩权限②保密制度不同的保密信息有不同的安全级别③跟踪、审计、稽核制度跟踪：⾃动⽣成系统⽇志审计：对⽇志进⾏审计（针对企业内部员⼯）稽查：针对企业外部的监督单位④系统维护制度硬件和软件⑤数据容灾制度⑥病毒防范制度⑦应急措施法律环境《中华⼈民共和国电⼦签名法》5、风险分析和审计跟踪的主要功能P10-11风险分析：a.设计前：根据分析系统固有的脆弱性，旨在发现系统设计前的潜在风险。

b.运⾏前：根据系统运⾏期的运⾏状态和结果，分析潜在安全隐患。

c.运⾏期：根据系统运⾏记录，跟踪系统状态的变化，分析运⾏期的安全隐患。

d.运⾏后：分析系统运⾏记录，为改进系统的安全性提供分析报告。

审计跟踪：a.记录和跟踪各种系统状态的变化。

b.实现对各种安全事故的定位。

c.保存、维护和管理审计⽇志1、信息传输中的五种常见加密⽅式。

P27①链路－链路加密②节点加密③端－端加密④A TM⽹络加密⑤卫星通信加密链路-链路加密与端端加密区别：2、对称加密的原理及其优缺点，常见对称密码算法有DES，AES，三重DES，Rivest 密码，对称加密密钥的传输可使⽤RSA密钥传输法。

电子商务安全复习在当今数字化的时代，电子商务已经成为我们生活中不可或缺的一部分。

从在线购物到金融交易，从社交媒体到数字服务，电子商务的触角几乎延伸到了我们生活的每一个角落。

然而，随着电子商务的迅速发展，安全问题也日益凸显。

对于电子商务从业者和消费者来说，了解电子商务安全的相关知识，掌握有效的防范措施，是至关重要的。

接下来，让我们一起对电子商务安全进行一次全面的复习。

一、电子商务安全的重要性电子商务安全不仅仅是技术问题，更是关系到企业的生存和发展，以及消费者的信任和权益。

对于企业来说，如果其电子商务平台遭受攻击，导致客户数据泄露、交易中断或者资金损失，不仅会面临巨大的经济损失，还可能损害企业的声誉，失去客户的信任，从而在激烈的市场竞争中处于不利地位。

对于消费者来说，个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题，给生活带来极大的困扰和损失。

因此，保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。

二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。

包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击（DoS）等。

黑客可以通过攻击电子商务网站，窃取用户数据、篡改交易信息或者破坏系统正常运行。

病毒和恶意软件则可能潜伏在用户的设备中，窃取敏感信息或者监控用户的操作。

DoS 攻击则通过大量的无效请求导致网站瘫痪，使正常的交易无法进行。

2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。

在电子商务中，用户的个人信息（如姓名、地址、电话号码、信用卡信息等）、交易记录等都是重要的数据。

如果这些数据被泄露，可能被用于欺诈、身份盗窃等非法活动。

3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息，并以其名义进行非法活动。

在电子商务中，攻击者可能通过窃取用户的登录凭证、伪造身份等方式，进行虚假交易、骗取财物等。

4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。

第一章电子商务安全概论一、电子商务安全要素有效性：EC以电子信息取代纸张，如何保证电子形式贸易信息的有效性则是开展EC 的前提。

机密性：EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密完整性：由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。

可靠性：指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误不可否认性：信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息二、电子商务安全问题a)黑客攻击问题：主动、被动b)软件的漏洞和“后门”：操作系统、数据库、IE等c)网络协议的安全漏洞：Telnet、FTP等HTTPd)病毒的攻击：良性/恶性、单机/网络三、常见的攻击技术1：信息收集型攻击：主要采用刺探、扫描和监听地址扫描，端口扫描，体系结构探测，DNS域名服务，LDAP服务，伪造电子邮件2：利用型攻击：利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。

口令猜测，特洛伊木马，缓冲区溢出3：拒绝服务攻击：拒绝服务目的在于使系统瘫痪，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

死亡之ping，泪滴，UDP洪水，电子邮件炸弹四、电子商务安全体系结构第二章信息加密技术与应用一、加密技术发展过程古代密码：古代的行帮暗语、文字游戏等古典密码：替代密码、转轮密码近现代密码：对称、非对称密码二、常见古典密码算法，希腊密码、凯撒密码希腊密码：密文：2315313134明文：HELLO凯撒密码：把每个英文字母向前推移K位A B C D E F G …… X Y ZD E F G H I J …… A B C明文:Jiangxi Normal University密文:mldqjal qrupdo xqlyhuvlwb三、对称称密码体系概念、特点，DES算法的过程概念：即加密密钥与解密密钥相同的密码体制，这种体制中只要知道加(解)密算法，就可以反推解(加)密算法。

第一章电子商务安全基础1，什么是保持数据旳完整性？答：商务数据旳完整性或称对旳性是保护数据不被未授权者修改，建立，嵌入，删除，反复传送或由于其他原因使原始数据被更改。

在存储时，要防止非法篡改，防止网站上旳信息被破坏。

在传播过程中，假如接受端收到旳信息与发送旳信息完全同样则阐明在传播过程中信息没有遭到破坏，具有完整性。

加密旳信息在传播过程，虽能保证其机密性，但并不能保证不被修改。

2，网页袭击旳环节是什么？答：第一步，创立一种网页，看似可信其实是假旳拷贝，但这个拷贝和真旳“同样”“假网页和真网页同样旳页面和链接。

第二步：袭击者完全控制假网页。

因此浏览器和网络是旳所有信息交流者通过袭击者。

第二步，袭击者运用网页做假旳后果：袭击者记录受害者访问旳内容，当受害者填写表单发送数据时，袭击者可以记录下所有数据。

此外，袭击者可以记录下服务器响应回来旳数据。

这样，袭击者可以偷看到许多在线商务使用旳表单信息，包括账号，密码和秘密信息。

假如需要，袭击者甚至可以修改数据。

不管与否使用SSL或S-HTTP，袭击者都可以对链接做假。

换句话说，就算受害者旳游览器显示出安全链接图标，受害者仍也许链接在一种不安全链接上。

3，什么是Intranet?答：Intranet是指基于TCP/IP协议旳内连网络。

它通过防火墙或其他安全机制与Intranet建立连接。

Intranet上可提供所有Intranet旳应用服务，如WWW，E-MAIL等，只不过服务面向旳是企业内部。

和Intranet同样，Intranet具有很高旳灵活性，企业可以根据自己旳需求，运用多种Intranet互联技术建立不一样规模和功能旳网络。

4，为何交易旳安全性是电子商务独有旳？答：这也是电子商务系统所独有旳。

在我们旳平常生活中，进和一次交易必须办理一定旳手续，由双方签发多种收据凭证，并签名盖章以作为法律凭据。

但在电子商务中，交易在网上进行，双方甚至不会会面，那么一旦一方反悔，另一方怎么可以向法院证明协议呢？这就需要一种网上认证机构对每一笔业务进行认证，以保证交易旳安全，防止恶意欺诈。

2009级《电子商务安全》期末复习1.电子商务安全的内涵：（1）保证数据传输的安全。

（2）保证交易双方的身份合法。

2. 电子商务对安全的基本要求1）内部网的严密性2）完整性3）保密性4）不可修改性5）交易者身份的确定性6）交易的无争议和不可抵赖性7）有效性8）授权合法性4.冗余容错技术在系统结构上，通过增加冗余资源的方法来掩盖故障造成的影响，使得即使出错或发生故障，系统的功能仍不受影响，仍能够正常执行预定的任务。

从系统功能上，硬件冗余、软件冗余与数据冗余都是以增加“多余的设备（硬件、软件或数据）”为代价的。

5、RAID磁盘阵列特征磁盘阵列RAID容错方案是目前应用最广泛的容错技术。

RAID系统也属于部件级容错，它是由IDE-EIDE-SCSI-DAC接口发展而来。

1）RAID的数据保护措施RAID的数据保护措施IDE（integrated device electronics）集成设备电路仅能支持2个磁盘；而增强型IDE接口（EIDE）可支持4个磁盘；小型计算机系统接口（SCSI）可支持多个磁盘（7-15个）；磁盘阵列控制器（disks array controller，DAC）可支持多个分组和多个磁盘。

RAID（redundant array of inexpensive disks）磁盘阵列，是一种由多块廉价磁盘构成的冗余阵列，包含多块磁盘，在操作系统下作为一个独立的大型存储设备出现，作为逻辑上的一个磁盘驱动器来使用。

作为一种数据保存手段，RAID提供了在专用服务器中接入多个磁盘（专指硬盘）的服务。

RAID 以磁盘阵列方式组成一个超大容量、响应速度快、可靠性高的存储子系统，以冗余技术增加其可靠性，以多个低成本磁盘构成磁盘子系统，提供比单一硬盘更完备的可靠性和高性能，提升了硬盘速度，确保数据的安全性，因此，RAID被广泛地应用在服务器体系中。

目前工业界公认的标准是RAID0—RAID6.2）RAID的优点（1）成本低，功耗小，传输速率高。

SSL协议：安全套接层，是对Internet上计算机之间对话进行加密的协议SSL缺陷：秘钥管理问题；加密强度问题；数字签名问题；必须建立在可靠连接基础上；多方通信表现欠佳SET协议的核心技术：公开密匙加密、电子数字签名、电子信封、电子安全证书和双重签名SET协议的优势和劣势：优势：1.认证机制方面，SET的安全需求较高，所有参与SET交易成员都必须申请数字证书来识别身份。

2.对客户而言，SET保证了商家的合法性，信用卡号不会被窃取。

3.SET协议规定，交易过程中的每条信息都要经过严格校验。

4.实际应用中，SET可以用在系统的全部或一部分上，大部分提供商都提供了灵活构筑系统的手段。

劣势：1.不能保证客户付款后能收到商品或是自己订购的商品。

2.没有解决交易中证据的生成和保留的问题。

3.SET协议非常复杂，成本高，处理速度慢，没有对时间进行控制。

4.要求银行网络.商户服务器和顾客的PC机安装相应软件，给使用者增加了附加费用。

SET协议的构成部分：持卡人、商家、发卡行、收单行、支付网关、认证中心SSL协议与SET协议的比较：1..在认证要求方面，SSL没有提供商家身份认证机制，而SET的安全要求较高，所有参与SET交易的成员（持卡人、商家、发卡行、收单行和支付网关）都必须申请数字证书进行身份识别。

2、在安全性方面，SET协议规范了整个商务活动的流程，从持卡人到商家，到支付网关，到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准。

而SSL只对持卡人与商店端的信息交换进行加密保护。

因此SET的安全性比SSL高。

3、在网络层协议位置方面，SSL是基于传输层的通用安全协议，而SET位于应用层，对网络上其他各层也有涉及。

4、在应用领域方面，SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全。

电子钱包：是纯粹的软件，主要用于网上消费、帐户管理，通常与银行账户或银行卡账户连接在一起的电子现金：也叫数字现金，是利用0和1排列组合成的能通过网络传递的一系列加密的数据序列来表示现实中的纸币现金网上支付：是客户，商家和网络银行之间使用安全电子手段，利用电子现金，银行卡和电子支票等支付工具通过互联网传送到银行和相应的处理机构而完成支付的整个过程网上支付的构成因素：Internet 客户商家开户银行支付网关银行网络和认证中心电子货币：指用一定金额的现金或存款从发行者处兑换并获得代表相同金额的数据，通过使用某些电子化方法将该数据直接转移给支付对象，从而能够清偿债务。

电⼦商务安全期末复习题电⼦商务安全期末复习题单项选择题：1、电⼦商务应⽤中的风险不包括（）问题A. 病毒和⿊客攻击B. 操作系统安全漏洞C. 有效性D. 敏感性E. 实⽤性D2、Internet上的电⼦商务安全不涉及（）问题A. 通信可靠性B. 敏感信息保密C. SET协议的私钥保密D. 追踪和监控交易过程E. 控制资⾦流和物流C3、PKI技术中的X.509证书使⽤了不同于XML中的（）进⾏描述A. 数据表达B. 存储格式C. ASN.1语⾔D. 扩展性E. ⾼度结构化 C4、DES算法的标准分组长度、真实⽤到的加密密钥长度、迭代轮次、每次迭代⽤到的字密钥长度分别为（）A. 56、56、8、56B. 64、56、16、48C. 64、56、15、48D. 64、56、16、46 E. 128、56、16、48 B5、现代密码学的主题不是（）A. 秘密性B. 真实性C. 抵赖性D. 完整性E. CA E7、在IP报头的各个字段中，哪⼀个作⽤是：表⽰后⾯还有⼀分段，除了最后⼀个分段，所有分段的该标识置为1。

（）D A．AF B．CF C．DF D．MF8、FTP⽂件传输应⽤在客户/服务环境。

请求机器启动⼀个FTP客户端软件，这就给⽬标⽂件服务器发出⼀个请求。

通常，这个请求被送到端⼝（）。

C A．20 B．22 C．21 D．239、每台连接到以太⽹上的计算机都有⼀个唯⼀的（）位以太⽹地址。

C A．53 B．32 C．48 D．1610、Ping命令的选项中（）表⽰定义echo数据包⼤⼩。

CA．-t B．-a C．-l D．-n11、（）命令⽤来跟踪⼀个报⽂从⼀台计算机到另⼀台计算机所⾛的路径。

DA．finger B．ping C．host D．tracert12、为了使过滤器难以探测到，要将⼀个TCP头分成⼏个数据包的扫描技术是（）A．TCP connect()扫描B．TCP SYN扫描C．TCP FIN扫描D．IP段扫描D13、以下不属于常⽤的代理服务器软件的是（）。

1.MAC：由只有通信双方知道的秘密密钥K来控制的消息的散列值。

2.数字信封:用对称密码体制的密钥加密明文，而用公钥密码体制的公钥加密这个对称密钥。

3.数字证书：就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件，其中CA的数字签名可以确保用户公钥的真实性。

4.PKI:公钥基础设施通常简称PKI。

所谓PKI就是一个以公钥技术为基础的，提供和实施安全服务的具有普适性的安全基础设施。

5.PDRR:电子商务安全是在安全策略的指导下，由保护、检测、响应和恢复四个环节组成.6.SQL注入攻击：攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码，作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。

特点：广泛性、技术难度不高、危害性大。

7.VPN：虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来，或将一个或多个远程用户与内部网络安全的连接在一起，从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来，构成一个扩展了的企业内部网。

8.单点登录技术：简称SSO，是指用户只需向网络进行一次身份认证，以后再无需另外验证身份，便可访问所有被授权的网络资源。

9.替代和置换：假设明文消息中的每个字母不是同时移动相同的位数，而是根据一张替代表使用随机替换，则在一个明文消息中，每个A可以替换成B~Z中的任意字母，B也可以替换成A或C~Z中的任意字母。

置换密码通过改变明文消息中各元素出现的相对位置，但明文消息元素本身的取值不变。

乘积密码：是以某种方式连续执行两个或多个密码交换。

10.IPSec协议主要功能：①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性11.电子支付的支付方式：电子现金、电子支票、电子信用卡，微支付1.电子商务安全要素：机密性（信息不被泄露给非授权用户）、完整性（信息是未被篡改的）、不可抵赖性（信息的收发双方不能否认曾经受发过信息）、即时性（在规定的时间内完成服务）、真实性（确保对方的真实信息和身份的来源是真的）、访问控制（对访问者访问资源时的权限控制）、可用性（访问者需要的时候是可用的）。

•第1章：TCP/IP协议简介1.TCP/IP协议体系结构(各层协议)①应用层：仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP②传输层：TCP（传输控制协议）、UDP（用户数据报协议）③网络层：网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消息协议ICMP2.局域网工作原理(Ip地址和Mac地址的变换)以太网的基本工作原理工：①载波监听：当一个站点要向另一个站点发送信息时，先监听网络信道上有无信息在传输，信道是否空闲。

②信道忙碌：如果发现网络信道正忙，则等待，直到发现网络信道空闲为止。

③信道空闲：如果发现网路信道空闲，则向网上发送信息。

由于整个网络信道为共享总线结构，网上所有站点都能够收到该站点所发出的信息，所以站点向网络发送信息也称为“广播”。

④冲突检测：站点发送信息的同时，还要监听网络信道，检测是否有另一台站点同时在发送信息。

如果有，两个站点发送的信息会产生碰撞，即产生冲突，从而使数据信息包被破坏。

⑤遇忙停发：如果发送信息的站点检测到网上的冲突，则立即停止发送，并向网上发送一个“冲突”信号，让其他站点也发现该冲突，从而摒弃可能一直在接收的受损的信息包。

⑥多路存取：如果发送信息的站点因“碰撞冲突”而停止发送，就需等待一段时间，再回到第一步，重新开始载波监听和发送，直到数据成功发送为止。

第2章：网络安全基础1.计算机网络安全的定义网络安全的学术定义为：通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容有控制能力。

2.逻辑炸弹的定义在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。

在一般情况下，网络处于正常工作状态，一旦到了某个预定的日期，程序便自动跳到死循环程序，造成四级甚至网络瘫痪。

3.遥控旁路的定义除了给用户提供正常的服务外，还将传输的信息送给设定的用户，这就是旁路，这种情况非常容易造成信息的泄密。

《电子商务安全技术》复习要点第一章电子商务安全概述1、电子商务安全的含义或需求（6/7个特性，及相关的技术）2、电子商务安全问题有哪些?能举例说明3、电子商务安全的构成（从安全等级划分，从电子商务系统构成划分）4、电子商务安全特点第二章信息安全技术1.概念：对称加密，非对称加密，数字签名2.RSA加密算法计算（扩展欧几里德算法）3.数字签名目的、原理、特点、类型、常用数字签名方法（有哪些？）4.RSA数字签名原理5.验证技术：目的、身份验证原理6.基于个人令牌的验证（类型、功能）7.基于生物特征的验证（类型）8.基于数字时间戳的验证（时间戳、目的、构成）9.基于数字证书的验证（验证过程）第三章互联网安全技术1、网络层安全、应用层安全、系统安全2、防火墙技术（目的、特点、功能、类型）3、IP协议安全（IP层安全、IPsec基本功能及应用与特点、安全关联SA概念、AH与ESP 协议提供的安全服务及工作模式）4、VPN技术（VPN概念、应用、原理、类型）5、SSL、SET协议（安全服务或功能、交易参与方、二者的比较）第四章数字证书1、数字证书的概念、主要内容、类型及其作用、格式2、证书管理机构3、证书申请、分发、撤销第五章公钥基础设施与应用1、PKI的概念、PKI平台构成2、CA结构3、认证路径的概念4、什么是CP、CPS第六章电子商务安全策略与管理1、电子商务安全策略的概念2、制定安全策略的原则3、制定安全策略考虑的有关项目4、网络安全策略、主机安全策略、设施安全策略、数据管理策略、安全交易策略题型：名词解释、填空、问答、计算题、案例分析第一章电子商务安全概述1、电子商务安全的含义或需求（6/7个特性，及相关的技术）(1)机密性（ Confidentiality，保密性）:信息传输或存储过程中不被窃取、泄露，或未经授权者无法了解其内容。

(2)完整性（Integrity，真实性）:信息不被未授权者修改（更改、嵌入、删除、重传）、假冒。

一.电子商务安全概述电子商务安全的6大需求、各需求的内涵及解决该需求用到的技术1）机密性：又叫保密性。

指信息在传送或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。

（2）完整性：又叫真确性。

保护数据不被未授权者修改、建立、嵌入、删除、重复发送或者由于其他原因使原始数据被更改。

3）认证性：指网络两端的使用者在沟通之前相互确认对方的身份。

一般通过CA认证机构和证书来实现（4）不可抵赖性：即不可否认性，指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。

通过数字签名来保证（5）不可拒绝性：又叫有效性或可用性。

保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。

（6）访问控制性：指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

一般可通过提取消息摘要的方式来保证电子商务安全基础技术（1）密码技术：加密、数字签名、认证技术、密钥管理（2）网络安全技术：防火墙技术、VPN、入侵检测技术（3）PKI技术：利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。

它为EC、电子政务、网上金融提供一整套安全基础平台。

可信计算机系统评价准则(TCSEC)无保护级D类D1的安全等级最低，说明整个系统是不可信的。

D1系统只为文件和用户提供安全保护，对硬件没有任何保护、操作系统容易受到损害、没有身份认证。

D1系统最普通的形式是本地操作系统（如MS—DOS，Windows95/98），或者是一个完全没有保护的网络。

自主保护级C类C类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力，C类安全等级可划分为C1和C2两类。

C1为酌情保护级。

系统对硬件进行某种程度的保护，将用户和数据分开。

C2为访问控制保护级：增加了用户级别限制，加强了审计跟踪的要求。

第一章1.电子商务的安全需求电子商务的安全需求包括两方面：电子交易的安全需求（1）身份的可认证性在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。

（2）信息的保密性要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。

（3）信息的完整性交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。

（4）不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。

（5）不可伪造性电子交易文件也要能做到不可修改计算机网络系统的安全一般计算机网络系统普遍面临的安全问题：（1）物理实体的安全设备的功能失常电源故障由于电磁泄漏引起的信息失密搭线窃听（2）自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。

（3）黑客的恶意攻击所谓黑客，现在一般泛指计算机信息系统的非法入侵者。

黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。

（4）软件的漏洞和“后门”（5）网络协议的安全漏洞（6）计算机病毒的攻击计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

”——《中华人民共和国计算机信息系统安全保护条例》2.电子商务安全技术分为两类计算机网络安全计算机网络设备安全、计算机网络系统安全、数据库安全等。

其特征是针对计算机网络本身可能存在的安全问题, 实施强大的网络安全监控方案, 以保证计算机网络自身的安全性。

▪常用的网络安全技术：安全评估技术、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。

《电⼦商务安全》期末考试题—旗舰版电⼦商务安全期末考试A卷⼀、选择题（单选）1.下列选项中属于双密钥体制算法特点的是（C）A.算法速度快B.适合⼤量数据的加密C.适合密钥的分配与管理D.算法的效率⾼2.实现数据完整性的主要⼿段是（D）A.对称加密算法B.⾮对称加密算法C.混合加密算法D.散列算法【哈希函数压缩函数消息摘要杂凑函数数字指纹】3.数字签名技术不能解决的安全问题是（C）A.第三⽅冒充B.接收⽅篡改C.传输安全4.病毒的重要特征是(B)A.隐蔽性B.传染性C.破坏性D.可触发性5.在双密钥体制的加密和解密过程中，要使⽤公共密钥和个⼈密钥，它们的作⽤是（A）A.公共密钥⽤于加密，个⼈密钥⽤于解密B.公共密钥⽤于解密，个⼈密钥⽤于加密C.两个密钥都⽤于加密D.两个密钥都⽤于解密6.在⼀次信息传递过程中，为实现传送的安全性、完整性、可鉴别性和不可否认性，这个过程采⽤的安全⼿段是（B）A.双密钥机制B.数字信封C.双联签名D.混合加密系统7.⼀个密码系统的安全性取决于对（A）A.密钥的保护B.加密算法的保护C.明⽂的保护D.密⽂的保护8.在防⽕墙使⽤的存取控制技术中对所有进出防⽕墙的包标头内容进⾏检查的防⽕墙属于（A）A.包过滤型B.包检检型C.应⽤层⽹关型D.代理服务型9.电⼦商务的安全需求不包括（B）[机密性、完整性、认证性、有效性、匿名性、不可抵赖]A.可靠性B.稳定性C.真实性D.完整性10.SSL握⼿协议包含四个主要步骤，其中第⼆个步骤为（B）A.客户机HelloB.服务器HelloC.HTTP数据流D.加密解密11.SET安全协议要达到的⽬标主要有（C）【机密性、保护隐私、完整性、多⽅认证、标准性】A.三个B.四个C.五个D.六个12.下⾯不属于SET交易成员的是（B）A.持卡⼈B.电⼦钱包C.⽀付⽹关D.发卡银⾏(3)经私钥加密后的数据可被所有具有公钥的⼈解开，由于私钥只有持有者⼀⼈保存，这样就证明信息发⾃私钥持有者，具有不可否认性。

电子商务安全课程期末复习资料(doc 32页)《电子商务安全》课程期末复习资料《电子商务安全》课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全发展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥管理与分发技术第四节认证技术第五节数字水印与数字版权保护技术第三章电子商务安全协议第一节 IP协议安全体系第二节电子邮件安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务风险管理第三节电子商务系统管理第四节电子商务信用管理第五节电子商务人员管理与保密制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动电子商务的安全策略第四节移动电子商务的安全管理第十章实验★考核知识点: 数据加密技术参见讲稿章节：2-1附1.1.1（考核知识点解释）：所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。

加密技术是网络安全技术的基石。

★考核知识点: ELGamal算法参见讲稿章节：2-1附1.1.2（考核知识点解释）：ElGamal算法，是一种较为常见的加密算法，它是基于1984年提出的公钥密码体制和椭圆曲线加密体系。

既能用于数据加密也能用于数字签名，其安全性依赖于计算有限域上离散对数这一难题。

在加密过程中，生成的密文长度是明文的两倍，且每次加密后都会在密文中生成一个随机数K，在密码中主要应用离散对数问题的几个性质：求解离散对数（可能）是困难的，而其逆运算指数运算可以应用平方-乘的方法有效地计算。

《电子商务》期末复习题及答案《电子商务》期末复习一、单选题1、电子商务的英文名称大部分用（C ）。

A 、EB B 、EM C 、EC D 、EG2、电子商务的主要成分是（ D ）。

A 、电子 B 、商务 C 、交易D 、网络3、传统商务的交易对象是（ D ）。

A 、全球 B 、地区内 C 、国家内 D 、部分地区4、传统商务运作过程可分为以下三个部分：信息流、物流和（ B ）。

A 、数据流 B 、资金流 C 、知识流 D 、企业流5、电子商务的前提是（ D ）。

A 、交易网络化B 、商务国际化C 、交易国际化D 、商务信息化6、直接电子商务指的是（ C ）。

A 、软件订购B 、计算机配件订购C 、无形货物和服务D 、有形货物的电子订货7、间接电子商务指的是（D ）。

A 、软件订购B 、计算机配件订购C 、无形货物和服务D 、有形货物的电子订货8、商家要开展电子商务活动，应该用（ C ）作为其主要的生意平台。

A 、BBS B 、电子邮件 C 、在线商店 D 、电话定购9、目前，Internet 上最为著名，最为常用的搜索引擎是：（ C ）。

A 、sinaB 、sohuC 、googleD 、yahoo10、实现在线交易，最重要的是解决交易中的（ C ）问题。

A 、信誉 B 、法律 C 、安全 D 、同步11、（A ）用来确认电子商务活动中各自的身份，实现网上安全的信息交换与安全交易。

A 、CA 中心B 、网上银行C 、网上工商局D 、网上公安局12、（ B ）接受商家的送货要求，将商品送到消费者手中。

A 、邮局 B 、快递公司 C 、送货公司 D 、物流中心13、电子数据交换是（），用于计算机之间商业信息的传递。

A 、INTERNET 报关B 、就是“无纸贸易”C 、用于计算机之间个人信息的传递D 、信息技术向商贸领域渗透的产物14、20世纪60年代，（ A ）成了贸易链中所有成员的共同需求。

《电子商务安全》复习资料一、填空题1．电子商务安全必须解决的问题是：信息的机密性、信息认证、用户身份认证、可靠性、可控性和不可抵赖性。

2．电子商务的安全威胁有：入侵网络数据库、生成虚假交易数、买方不付款或延迟付款、卖方不发货或延误交货、阻塞通道、独占资源等。

3．电子商务安全体系包括：安全电子商务支付机制、安全电子商务交易协议、密码技术、安全操作系统、安全数据库系统、安全物理设备。

4．身份认证技术有：个人ID、口令、生物特征、智能卡身份认证、KEBEROS身份认证等。

5．安全网络协议，包含安全的TCP/IP协议、SSL协议、HTTP超文本传输协议、IPSEC协议和S/MIME消息传送协议。

6．密码学包含的两门学科是：密码学和密码分析学。

7．密码技术为电子商务提供的服务有：秘密性、不可否认、验证、完整性。

8．公钥加密体制的典型代表是RSA，它的加密密钥和解密密钥不同；私钥加密体制的典型代表是DES，它的加密密钥和解密密钥相同。

9．DES密码系统是一种：分组密码、是为二进制编码数据设计的、可以对计算机数据惊进行密码保护的数学变换。

10．RSA算法的实施步骤为：密钥生成、加密过程和解密过程，其的安全性取决于密钥的长度。

11．数字签名是建立在公开密钥算法、对称密钥和单向散列函数基础上的。

12．信息保密通过加密技术来实现，信息认证通过认证技术来实现。

13．防火墙是用来加强INTERNETHE和INTRANET之间的安全防范。

14．防火墙结构主要包括5个部：安全操作系统、过滤器、网关、域名服务和E —mail处理。

15．一个完整的PKI应用系统至少应具有：认证中心、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口等功能。

16．PKI的互操作信任模型包括：域间交叉认证、桥CA体系和可信第三方认可模型。

17．数字水印从外观上可分为可见水印和不可见水印。

18．数字水印一般主要应用在数字作品的知识版权保护和商务交易中的票据防伪中。