电子商务安全技术期末考试复习提要

《电子商务安全技术》总复习（填空题题型）1．电子商务中涉及通信安全和计算机安全的安全业务通常包括：保密业务、、接入控制业务、、和匿名性业务。

2．电子商务的安全要素是指：可靠性、真实性、、、、不可抵赖性和内部网的严密性。

3．在Internet上进行电子商务，存在以下方面的安全问题：保密性、个人隐私、、、。

4．密钥安全协议主要分为：协议和协议。

5．用来防止欺骗、伪装等攻击的认证安全协议，包含认证、认证和认证协议。

6．密码学包含的两门学科是：和。

7．加密体制分为两种：和。

8．私钥加密体制的典型代表是，它的加密密钥和解密密钥；公钥加密体制的典型代表是，它的加密密钥和解密密钥。

9．DES算法有3个参数：、数据Data、，DES的保密性取决于。

10．RSA算法的实施步骤为：、、恢复明文，RSA 体制的安全性取决于。

11．数字签名是建立在基础上的，其实现方法主要有3种：签名、签名、签名。

12．电子商务认证中心是用来承担网上安全交易服务，能签发，并能确认的服务机构。

13．认证中心的4大职能是：、、和证书验证。

14．数字证书是用来担保个人、计算机系统或者组织的和的电子文挡，由发行。

15．数字证书的内容由两个部分组成：和。

16．数字证书的类型通常有4种：、、安全邮件证书和CA 证书。

17．PKI是一个包括硬件、软件、人员、政策和手续的集合，其用途是实现基于的证书产生、管理存储、等功能。

18．PKI是一种遵循标准的管理平台，由5大系统组成：、、密钥备份及恢复系统、证书作废处理系统、应用接口系统。

19．数字时间戳服务是用来证明的，其技术实现由函数和协议共同完成。

20．电子商务的安全屏障是；电子商务的安全瓶颈是；电子商务的安全隐患是；电子商务的安全策略是。

21．防火墙是用来加强之间安全防范的系统。

22．防火墙的构成主要包括5个部分：、、、域名服务、E—mail处理。

23．防火墙大体上可以划分为3种类型：、、。

24．防火墙的安全体系主要有以下3种：、、。

电子商务安全复习在当今数字化的时代，电子商务已经成为我们生活中不可或缺的一部分。

从在线购物到金融交易，从社交媒体到数字服务，电子商务的触角几乎延伸到了我们生活的每一个角落。

然而，随着电子商务的迅速发展，安全问题也日益凸显。

对于电子商务从业者和消费者来说，了解电子商务安全的相关知识，掌握有效的防范措施，是至关重要的。

接下来，让我们一起对电子商务安全进行一次全面的复习。

一、电子商务安全的重要性电子商务安全不仅仅是技术问题，更是关系到企业的生存和发展，以及消费者的信任和权益。

对于企业来说，如果其电子商务平台遭受攻击，导致客户数据泄露、交易中断或者资金损失，不仅会面临巨大的经济损失，还可能损害企业的声誉，失去客户的信任，从而在激烈的市场竞争中处于不利地位。

对于消费者来说，个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题，给生活带来极大的困扰和损失。

因此，保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。

二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。

包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击（DoS）等。

黑客可以通过攻击电子商务网站，窃取用户数据、篡改交易信息或者破坏系统正常运行。

病毒和恶意软件则可能潜伏在用户的设备中，窃取敏感信息或者监控用户的操作。

DoS 攻击则通过大量的无效请求导致网站瘫痪，使正常的交易无法进行。

2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。

在电子商务中，用户的个人信息（如姓名、地址、电话号码、信用卡信息等）、交易记录等都是重要的数据。

如果这些数据被泄露，可能被用于欺诈、身份盗窃等非法活动。

3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息，并以其名义进行非法活动。

在电子商务中，攻击者可能通过窃取用户的登录凭证、伪造身份等方式，进行虚假交易、骗取财物等。

4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。

电子商务期末考试（二）引言概述
电子商务期末考试（二）旨在考察学生对电子商务的理论知识和实践应用的理解程度。

本文将从五个大点出发，深入探讨电子商务的各个方面，并介绍相关知识和要点。

正文
大点1：电子商务的定义和分类
1.1 电子商务的概念和基本特点
1.2 电子商务的分类及其特点
1.3 电子商务的发展趋势和影响
大点2：电子商务平台与应用
2.1 电子商务平台的定义和功能
2.2 主流电子商务平台介绍
2.3 电子商务平台的选择和建设要点
2.4 电子商务应用的领域和案例分析
大点3：电子商务的安全性与法律风险
3.1 电子商务安全的基本概念和原则
3.2 电子商务安全技术和措施
3.3 电子商务法律风险的认识和防范
3.4 电子商务合同的法律规范和要点
大点4：电子商务的营销与推广
4.1 电子商务营销的基本概念和原则
4.2 电子商务营销策略和方法
4.3 电子商务推广渠道和手段
4.4 电子商务市场竞争和分析
大点5：电子商务的物流与供应链管理
5.1 电子商务物流的定义和基本流程
5.2 电子商务物流的挑战和解决方案
5.3 电子商务供应链管理的理念和要点
5.4 电子商务供应链优化和创新
结论
通过对电子商务期末考试（二）的讨论，我们了解了电子商务的定义和分类、电子商务平台与应用、电子商务的安全性与法律风险、电子商务的营销与推广以及电子商务的物流与供应链管理。

这些内容深入探讨了电子商务的各个方面，并为我们理解和应用电子商务提供了参考和指导。

另外，了解电子商务的发展趋势和影响，对我们进一步提升电子商务能力具有重要意义。

《电子商务安全技术》期末考试复习提要一．填空类问题主要涉及教材中各章节的要点，涵盖教学大纲中对各章节所提出的应掌握、理解、了解的内容。

二．术语解释类问题1．黑客2．安全策略3．电子钱包4．B—TO—B5．B—TO—C6．G—TO—B7．防火墙8．EDI9．DES10．RSA11．CA12．数字证书13．PKI14．密钥15．IC卡16．密码系统17．密码学18．IP欺瞒19．私有密钥系统20．公有密钥系统21．数字签名22．数字信封23．安全机制24．安全协议25．TCP/IP26．ISO27．SSL安全协议28．SET安全协议29．S—HTTP安全协议30．DTSS31．对称加密系统32．非对称加密系统33．网上银行34．特洛伊木马35．Web欺骗三．问答题1．电子商务系统主要受到的安全威胁有那些？2．简述电子商务的安全需求包括哪5个方面的内容？3．简述电子商务的安全要素。

4．在设计安全可靠的电子商务设施时，需要考虑的10个关键性问题是什么？5．简述ISO7498/2中提出的安全服务和相应的安全机制？6．简述黑客进行网络攻击时常用的策略有哪些？7．目前已开发并应用的电子商务安全协议分为哪6种类型？8．简述双钥体制的认证协议的工作原理。

9．简述双向认证协议的实现过程。

10．简述SSL安全协议的特点及实现过程。

11．简述SET安全协议的特点及实现过程。

12．私钥加密体系与公钥加密体系有何区别，它们各有什么优点？13．概述数字签名技术的用途和实现过程。

14．数字签名技术与认证技术的用途有什么不同？15．简述PKI系统的基本组成及其安全管理功能。

16．密钥管理的目的是什么？密钥管理通常涉及的有关问题有哪些？17．在电子商务中采用防火墙应有哪些优点？18．简述在电子商务中采用的防火墙具备哪些安全业务？19．安全支付系统可分为哪几类，它们的特点是什么？20．Internet给电子商务带来的安全隐患和安全问题有哪些？21．信息安全是电子商务安全的基本保障，请问：信息安全管理应遵循哪10条基本原则？22．为了确保电子商务安全，在网络上采用安全保密可靠保险技术要遵循的3项基本原则是什么？23．防火墙有哪两种决然不同的安全控制模型，它们的性能和用途有何区别？24．简述智能卡的逻辑组成及其安全机制。

电子商务安全管理期末复习题1、常用的网络安全技术有哪些？（20分）安全交易技术，信息加密技术，数字签名，病毒防护技术，身份识别技术，防火墙技术，入侵检测系统，网络安全管理策略。

2、对称密码体制的优缺点是什么？（20分）优点：计算量小，加密速度快，加密和解密数据使用同一个密钥。

缺点：容易引起密钥泄密和信息失密，它存在着通信的贸易双方之间确保密钥安全交换的问题。

此外，某一贸易方有几个贸易关系，它就要维护几个专用密钥，也没法鉴别贸易发起方或贸易最终方，因为贸易的双方的密钥相同。

另外，由于对称加密系统仅能用于对数据进行加解密处理，提供数据的机密性，不能用于数字签名。

3、什么是计算机病毒？（20分）计算机病毒是一种计算机程序，它通过修改其它程序把自身或其演化体插入它们中，从而感染它们。

”国外对计算机病毒最流行的定义为：“计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。

计算机病毒通常包括引导模块、传染模块、破坏行动模块。

存储介质上的计算机病毒，在没有加载在内存中处于运行状态时，不具备传染性和破坏性，因此对系统的安全不构成危害。

4、数字证书的概念是什么?（20分）数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，其作用类似于司机的驾驶执照或日常生活的身份证。

它是由一个权威机构--CA机构，又称为证书授权中心发行的，人们可以在网上用它来识别对方的身份。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

5、什么是防火墙？（20分）为了防范不可信用户利用Internet入侵内部网，保护内部网不受外来入侵的攻击，人们在Internet与内部网之间设置一个安全网关，在保持内部网与Internet连通性的同时，对进入内部网的信息流实行控制, 只转发可信的信息流, 而拒绝不可信信息流的进入。

电子商务安全技术一、主要内容与重点1.网络交易风险和安全管理的基本思路：如今，网络交易风险凸现，国内的犯罪分子也将触角伸向电子商务领域。

为了保证交易的安全进行，通过对网络交易风险源分析，从技术、管理、法律等方面对网络交易安全管理进行思考，进而形成网络交易安全管理的基本思路。

2.客户认证技术：客户认证主要包括客户身份认证和客户信息认证。

前者用于鉴别用户身份，保证通信双方的身份的真实性；后者用于保证通信双方的不可抵赖性和信息的完整性。

为此建立认证机构，通过数字签名等技术，保证交易的安全。

在此介绍了对我国电子商务认证机构的建设的设想。

3.防止黑客入侵：介绍了黑客的概念及网络黑客常用的攻击手段，同时也介绍了一些防范黑客攻击的主要技术手段。

4.网络交易系统的安全管理制度：本节中，我们主要针对企业的网络交易系统加以讨论，这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。

5.电子商务交易安全的法律保障：介绍了电子合同法律制度和电子签字法律制度，对我国电子商务交易安全的法律和我国电子商务立法的若干基本问题提出设想。

通过本章的学习，要求了解网络交易的基本思路；掌握身份认证、基于对称密钥的信息认证及基于非对称密钥的信息认证的原理；了解认证机构的设置及证书，以及了解网络黑客常用的攻击手段及交易防范黑客攻击的主要技术手段。

掌握网络交易系统的安全管理系统；了解电子商务安全的法律保障。

学习流程二、网络交易风险和安全管理的基本思路1．网络交易风险凸现2．网络交易风险源分析1．在线交易主体的市场准入问题。

2．信息风险。

3. 信用风险。

4. 网上欺诈犯罪。

5．电子合同问题。

6．电子支付问题7．在线消费者保护问题8．电子商务中产品交付问题3．网络交易安全管理的基本思路电子商务交易安全是也一个系统工程，一个完整的网络交易安全体系，至少应包括三类措施，并且三者缺一不可。

一是技术方面的措施，二是管理方面的措施，三是社会的法律政策与法律保障。

SSL协议：安全套接层，是对Internet上计算机之间对话进行加密的协议SSL缺陷：秘钥管理问题；加密强度问题；数字签名问题；必须建立在可靠连接基础上；多方通信表现欠佳SET协议的核心技术：公开密匙加密、电子数字签名、电子信封、电子安全证书和双重签名SET协议的优势和劣势：优势：1.认证机制方面，SET的安全需求较高，所有参与SET交易成员都必须申请数字证书来识别身份。

2.对客户而言，SET保证了商家的合法性，信用卡号不会被窃取。

3.SET协议规定，交易过程中的每条信息都要经过严格校验。

4.实际应用中，SET可以用在系统的全部或一部分上，大部分提供商都提供了灵活构筑系统的手段。

劣势：1.不能保证客户付款后能收到商品或是自己订购的商品。

2.没有解决交易中证据的生成和保留的问题。

3.SET协议非常复杂，成本高，处理速度慢，没有对时间进行控制。

4.要求银行网络.商户服务器和顾客的PC机安装相应软件，给使用者增加了附加费用。

SET协议的构成部分：持卡人、商家、发卡行、收单行、支付网关、认证中心SSL协议与SET协议的比较：1..在认证要求方面，SSL没有提供商家身份认证机制，而SET的安全要求较高，所有参与SET交易的成员（持卡人、商家、发卡行、收单行和支付网关）都必须申请数字证书进行身份识别。

2、在安全性方面，SET协议规范了整个商务活动的流程，从持卡人到商家，到支付网关，到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准。

而SSL只对持卡人与商店端的信息交换进行加密保护。

因此SET的安全性比SSL高。

3、在网络层协议位置方面，SSL是基于传输层的通用安全协议，而SET位于应用层，对网络上其他各层也有涉及。

4、在应用领域方面，SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全。

电子钱包：是纯粹的软件，主要用于网上消费、帐户管理，通常与银行账户或银行卡账户连接在一起的电子现金：也叫数字现金，是利用0和1排列组合成的能通过网络传递的一系列加密的数据序列来表示现实中的纸币现金网上支付：是客户，商家和网络银行之间使用安全电子手段，利用电子现金，银行卡和电子支票等支付工具通过互联网传送到银行和相应的处理机构而完成支付的整个过程网上支付的构成因素：Internet 客户商家开户银行支付网关银行网络和认证中心电子货币：指用一定金额的现金或存款从发行者处兑换并获得代表相同金额的数据，通过使用某些电子化方法将该数据直接转移给支付对象，从而能够清偿债务。

20XX年复习资料大学复习资料专业：班级：科目老师：日期：20XXXX-20XXXX二电子商务安全复习提纲第1章电子商务安全基础知识第1节电子商务安全概述一、电子商务安全的概念电子商务是利用计算机网络所进行的商务活动。

因此，电子商务的安全问题除了作为商务活动本身所存在的风险外，本课程主要介绍由于计算机网络的应用所带来的安全问题。

电子商务的关键是商务信息电子化。

因此，电子商务的安全性问题的关键是计算机信息的安全性（一）对电子商务安全的要求（二）信息安全的要求及发展1、20XX世纪90年代以前——通信保密（COMSEC）时代该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。

2、20XX世纪90年代——信息安全（INFOSEC）时代数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的可用性需求。

因此，该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。

3、90年代后期起——信息安全保障（IA）时代该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。

并且需要对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。

由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型。

二、电子商务安全的需求特征l 保密性l 完整性l 不可否认性l 认证性l 可用（访问）性l 可控性l 可审查性l 合法性三、电子商务安全问题（一）电子商务安全问题的根源1、自身缺陷2、网络开放性3、管理问题（二）电子商务安全问题1、网络传输安全：信息被泄密、篡改或假冒2、网络运行安全（服务器或客户机被攻击等）：网络的缺陷、管理的欠缺、黑客的攻击3、系统安全：系统软件的漏洞和后门、系统故障、崩溃四、网络安全体系与黑客攻击（一）电子商务安全特征与防御体系结构信息传输系统安全网络运行安全防范技术保密性×防止电磁泄漏、加密技术完整性×单向加密、备份可控性××防火墙、监测、权限、审计认证性××数字签名、身份认证不可否认性×数字签名可用性××容错、容灾、防攻击（二）黑客攻击流程第2节电子商务的安全保障一、安全策略（一）信息加密策略1、网络加密常用的方法有链路加密、端点加密和节点加密三种。

电子商务安全期末复习题1一、单项选择题在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

错选、多选或未选均无分。

1.TCP/IP 协议安全隐患不包括( )A.拒绝服务B.顺序号预测攻击C.TCP 协议劫持入侵D.设备的复杂性2.IDEA 密钥的长度为( )A.56B.64C.124D.1283.在防火墙技术中，内网这一概念通常指的是( )A.受信网络B.非受信网络C.防火墙内的网络D.互联网4.《计算机场、地、站安全要求》的国家标准代码是( )A.GB57104-93B.GB9361-88C.GB50174-88D.GB9361-935.在Kerberos 中，Client 向本Kerberos 的认证域以内的Server 申请服务的过程分为几个阶段?( )A.三个B.四个C.五个D.六个6.信息安全技术的核心是( )A.PKIB.SETC.SSLD.ECC7.Internet 接入控制不．能．对付以下哪类入侵者? ( )A.伪装者B.违法者C.内部用户D.地下用户8.CA 不．能．提供以下哪种证书? ( )A.个人数字证书B.SSL服务器证书C.安全电子邮件证书D.SET服务器证书9.我国电子商务走向成熟的重要里程碑是( )A.CFCAB.CTCAC.SHECAD.RCA10.通常为保证商务对象的认证性采用的手段是( )A.信息加密和解密B.信息隐匿C.数字签名和身份认证技术D.数字水印11.关于Diffie-Hellman 算法描述正确的是( )A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的12.以下哪一项不．在．证书数据的组成中? ( )A.版本信息B.有效使用期限C.签名算法D.版权信息13.计算机病毒的特征之一是( )A.非授权不可执行性B.非授权可执行性C.授权不可执行性D.授权可执行性14.在Kerberos 中，Client 向本Kerberos 认证域外的Server 申请服务包含几个步骤? ( )A.6B.7C.8D.915.属于PKI 的功能是( )A.PAA，PAB，CAB.PAA，PAB，DRAC.PAA，CA，ORAD.PAB，CA，ORA16.MD-4 散列算法中输入消息可以任意长度，但要进行分组，其分组的位数是( )A.64B.128C.256D.51217.SHA 的含义是( )A.加密密钥B.数字水印C.安全散列算法D.消息摘要二、多项选择题在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其代码填写在题后的括号内。

1.MAC：由只有通信双方知道的秘密密钥K来控制的消息的散列值。

2.数字信封:用对称密码体制的密钥加密明文，而用公钥密码体制的公钥加密这个对称密钥。

3.数字证书：就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件，其中CA的数字签名可以确保用户公钥的真实性。

4.PKI:公钥基础设施通常简称PKI。

所谓PKI就是一个以公钥技术为基础的，提供和实施安全服务的具有普适性的安全基础设施。

5.PDRR:电子商务安全是在安全策略的指导下，由保护、检测、响应和恢复四个环节组成.6.SQL注入攻击：攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码，作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。

特点：广泛性、技术难度不高、危害性大。

7.VPN：虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来，或将一个或多个远程用户与内部网络安全的连接在一起，从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来，构成一个扩展了的企业内部网。

8.单点登录技术：简称SSO，是指用户只需向网络进行一次身份认证，以后再无需另外验证身份，便可访问所有被授权的网络资源。

9.替代和置换：假设明文消息中的每个字母不是同时移动相同的位数，而是根据一张替代表使用随机替换，则在一个明文消息中，每个A可以替换成B~Z中的任意字母，B也可以替换成A或C~Z中的任意字母。

置换密码通过改变明文消息中各元素出现的相对位置，但明文消息元素本身的取值不变。

乘积密码：是以某种方式连续执行两个或多个密码交换。

10.IPSec协议主要功能：①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性11.电子支付的支付方式：电子现金、电子支票、电子信用卡，微支付1.电子商务安全要素：机密性（信息不被泄露给非授权用户）、完整性（信息是未被篡改的）、不可抵赖性（信息的收发双方不能否认曾经受发过信息）、即时性（在规定的时间内完成服务）、真实性（确保对方的真实信息和身份的来源是真的）、访问控制（对访问者访问资源时的权限控制）、可用性（访问者需要的时候是可用的）。

•第1章：TCP/IP协议简介1.TCP/IP协议体系结构(各层协议)①应用层：仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP②传输层：TCP（传输控制协议）、UDP（用户数据报协议）③网络层：网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消息协议ICMP2.局域网工作原理(Ip地址和Mac地址的变换)以太网的基本工作原理工：①载波监听：当一个站点要向另一个站点发送信息时，先监听网络信道上有无信息在传输，信道是否空闲。

②信道忙碌：如果发现网络信道正忙，则等待，直到发现网络信道空闲为止。

③信道空闲：如果发现网路信道空闲，则向网上发送信息。

由于整个网络信道为共享总线结构，网上所有站点都能够收到该站点所发出的信息，所以站点向网络发送信息也称为“广播”。

④冲突检测：站点发送信息的同时，还要监听网络信道，检测是否有另一台站点同时在发送信息。

如果有，两个站点发送的信息会产生碰撞，即产生冲突，从而使数据信息包被破坏。

⑤遇忙停发：如果发送信息的站点检测到网上的冲突，则立即停止发送，并向网上发送一个“冲突”信号，让其他站点也发现该冲突，从而摒弃可能一直在接收的受损的信息包。

⑥多路存取：如果发送信息的站点因“碰撞冲突”而停止发送，就需等待一段时间，再回到第一步，重新开始载波监听和发送，直到数据成功发送为止。

第2章：网络安全基础1.计算机网络安全的定义网络安全的学术定义为：通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容有控制能力。

2.逻辑炸弹的定义在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。

在一般情况下，网络处于正常工作状态，一旦到了某个预定的日期，程序便自动跳到死循环程序，造成四级甚至网络瘫痪。

3.遥控旁路的定义除了给用户提供正常的服务外，还将传输的信息送给设定的用户，这就是旁路，这种情况非常容易造成信息的泄密。

电子商务安全与管理期末复习题型： 1. 选择题（30分：1.5分1题，共20题）2. 判断并说明理由题（28分：4分1个，共7题。

其中判断对错占2分，简要说明理由占2分）3. 简答题（30分：6分1题，共5题）4. 综合分析题（12分：6分1题，共2题）1、电子商务涉及的安全问题有哪些？P4-6A. 信息的安全问题：冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信用的安全问题：来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况C. 安全的管理问题D. 安全的法律保障问题2、电子商务系统安全的三个组成部分。

P74、电子商务的安全保障主要由哪三方面去实现？P17-22技术措施①信息加密技术：保证数据流安全，密码技术和非密码技术②数字签名技术：保证完整性、认证性、不可否认性③TCP/IP服务：保证数据完整传输④防火墙的构造选择：防范外部攻击，控制内部和病毒破坏管理措施①人员管理制度：严格选拔落实工作责任制贯彻ＥＣ安全运作三项基本原则：多人负责、任期有限、最小权限②保密制度不同的保密信息有不同的安全级别③跟踪、审计、稽核制度跟踪：自动生成系统日志审计：对日志进行审计（针对企业内部员工）稽查：针对企业外部的监督单位④系统维护制度硬件和软件⑤数据容灾制度⑥病毒防范制度⑦应急措施法律环境《中华人民共和国电子签名法》5、风险分析和审计跟踪的主要功能P10-11风险分析：a.设计前：根据分析系统固有的脆弱性，旨在发现系统设计前的潜在风险。

b.运行前：根据系统运行期的运行状态和结果，分析潜在安全隐患。

c.运行期：根据系统运行记录，跟踪系统状态的变化，分析运行期的安全隐患。

d.运行后：分析系统运行记录，为改进系统的安全性提供分析报告。

审计跟踪：a.记录和跟踪各种系统状态的变化。

b.实现对各种安全事故的定位。

c.保存、维护和管理审计日志1、信息传输中的五种常见加密方式。

P27①链路－链路加密②节点加密③端－端加密④A TM网络加密⑤卫星通信加密链路-链路加密与端端加密区别：2、对称加密的原理及其优缺点，常见对称密码算法有DES，AES，三重DES，Rivest 密码，对称加密密钥的传输可使用RSA密钥传输法。

一.电子商务安全概述电子商务安全的6大需求、各需求的内涵及解决该需求用到的技术1）机密性：又叫保密性。

指信息在传送或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。

（2）完整性：又叫真确性。

保护数据不被未授权者修改、建立、嵌入、删除、重复发送或者由于其他原因使原始数据被更改。

3）认证性：指网络两端的使用者在沟通之前相互确认对方的身份。

一般通过CA认证机构和证书来实现（4）不可抵赖性：即不可否认性，指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。

通过数字签名来保证（5）不可拒绝性：又叫有效性或可用性。

保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。

（6）访问控制性：指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

一般可通过提取消息摘要的方式来保证电子商务安全基础技术（1）密码技术：加密、数字签名、认证技术、密钥管理（2）网络安全技术：防火墙技术、VPN、入侵检测技术（3）PKI技术：利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。

它为EC、电子政务、网上金融提供一整套安全基础平台。

可信计算机系统评价准则(TCSEC)无保护级D类D1的安全等级最低，说明整个系统是不可信的。

D1系统只为文件和用户提供安全保护，对硬件没有任何保护、操作系统容易受到损害、没有身份认证。

D1系统最普通的形式是本地操作系统（如MS—DOS，Windows95/98），或者是一个完全没有保护的网络。

自主保护级C类C类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力，C类安全等级可划分为C1和C2两类。

C1为酌情保护级。

系统对硬件进行某种程度的保护，将用户和数据分开。

C2为访问控制保护级：增加了用户级别限制，加强了审计跟踪的要求。

《电子商务安全》课程期末复习资料《电子商务安全》课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全发展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥管理与分发技术第四节认证技术第五节数字水印与数字版权保护技术第三章电子商务安全协议第一节 IP协议安全体系第二节电子邮件安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务交易系统的安全第三节电子商务交易中的物流安全第四节电子商务交易安全体系第五章电子商务的支付安全第一节电子商务支付概述第二节电子商务支付安全需求第三节电子商务支付安全体系第四节电子商务安全支付平台第六章电子商务的信息安全第一节电子商务信息安全概述第二节电子商务信息安全目标第三节电子商务信息安全技术第四节电子商务信息安全评估第七章电子商务的网络安全第一节电子商务网络安全概述第二节电子商务网络系统安全目标第三节电子商务网络安全技术第四节电子商务网络安全策略与标准第五节电子商务网络安全评估第八章电子商务安全管理第一节电子商务安全管理概述第二节电子商务风险管理第三节电子商务系统管理第四节电子商务信用管理第五节电子商务人员管理与保密制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动电子商务的安全策略第四节移动电子商务的安全管理第十章实验★考核知识点: 数据加密技术附1.1.1（考核知识点解释）：所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。

加密技术是网络安全技术的基石。

电子商务安全技术复习参考题1.电子商务的安全要素有哪些？针对不同要素如何利用安全技术进行安全防范？P32.何谓数字签名？其实质内容是什么？在电子商务中数字签名主要起什么作用？其主要实现方法和基本用途有哪些？p42-43，p187就是只有信息的发送者才能产生的,别人无法伪造的一段数字串,它同时也是对发送者发送的信息的真实性的一个证明.签署一个文件或其他任何信息时,签名者首先须准确界定要签署内容的范围.然后,签名者软件中的哈希函数功能将计算出被签署信息惟一的哈希函数结果值(为实用目的).最后使用签名者的私人密码将哈希函数结果值转化为数字签名.得到的数字签名对于被签署的信息和用以创建数字签名的私人密码而言都是独一无二的.实现方法：公钥加密技术和散列算法（Hash算法）相结合的一种数字签名方式。

3.简述身份认证包含的基本内容，并说明如何实现？p454.简述CA安全认证体系的功能和特点（1）认证性。

指ca认证体系可以使任何不知道密钥的人无法构造一个密报，可以使意定的接收者能够解密成一个可理解的信息。

意定的接收者能够检验和证实信息的合法性和真实性。

信息的发送者对所发送的信息不能抵赖。

除了合法信息发送者之外，其他人无法伪造合法的信息。

（2）保密性。

ca可以使戴获者在不知道密钥的条件下不能解读到该密文的内容。

（3）完整性。

在自然和人为干扰条件下，ca有保持恢复信息和原来发送信息一致性的能力。

应用中通常借助于纠错、检错技术来保证信息的完整性。

（4）独立性。

我国的电了政务ca安全认证体系既和国际接轨，又符合中国国情，拥有自主版权；既符合国际标准，又保持了系统自身的独立性。

（5）应用的广泛性。

ca充分考虑了我国各地经济和政治发展的现实状况，使不同应用层次的业务能够在同一认证体系下得以认证，拓宽了业务覆盖面。

而且，可以采取多种接入方式，同时方便企业用户和个人用户，采用各种通讯工具在ca安全认证体系的支撑下使用各类业务，扩大了安全认证体系的用户面。

《电子商务安全》复习资料一、填空题1．电子商务安全必须解决的问题是：信息的机密性、信息认证、用户身份认证、可靠性、可控性和不可抵赖性。

2．电子商务的安全威胁有：入侵网络数据库、生成虚假交易数、买方不付款或延迟付款、卖方不发货或延误交货、阻塞通道、独占资源等。

3．电子商务安全体系包括：安全电子商务支付机制、安全电子商务交易协议、密码技术、安全操作系统、安全数据库系统、安全物理设备。

4．身份认证技术有：个人ID、口令、生物特征、智能卡身份认证、KEBEROS身份认证等。

5．安全网络协议，包含安全的TCP/IP协议、SSL协议、HTTP超文本传输协议、IPSEC协议和S/MIME消息传送协议。

6．密码学包含的两门学科是：密码学和密码分析学。

7．密码技术为电子商务提供的服务有：秘密性、不可否认、验证、完整性。

8．公钥加密体制的典型代表是RSA，它的加密密钥和解密密钥不同；私钥加密体制的典型代表是DES，它的加密密钥和解密密钥相同。

9．DES密码系统是一种：分组密码、是为二进制编码数据设计的、可以对计算机数据惊进行密码保护的数学变换。

10．RSA算法的实施步骤为：密钥生成、加密过程和解密过程，其的安全性取决于密钥的长度。

11．数字签名是建立在公开密钥算法、对称密钥和单向散列函数基础上的。

12．信息保密通过加密技术来实现，信息认证通过认证技术来实现。

13．防火墙是用来加强INTERNETHE和INTRANET之间的安全防范。

14．防火墙结构主要包括5个部：安全操作系统、过滤器、网关、域名服务和E —mail处理。

15．一个完整的PKI应用系统至少应具有：认证中心、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口等功能。

16．PKI的互操作信任模型包括：域间交叉认证、桥CA体系和可信第三方认可模型。

17．数字水印从外观上可分为可见水印和不可见水印。

18．数字水印一般主要应用在数字作品的知识版权保护和商务交易中的票据防伪中。