第一篇：電子商務(wù)安全

電子商務(wù)安全練習(xí)題一附答案

(2012-04-03 10:10:09)轉(zhuǎn)載▼

標(biāo)簽： 分類： 助理電子商務(wù)師試題

it

1、防火墻能夠防范來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的的攻擊。(1分)B A、對(duì) B、錯(cuò)

------------------

2、防火墻的管理一般分為本地管理、遠(yuǎn)程管理和（D）。(1分)A、統(tǒng)籌管理 B、登錄管理 C、分類管理 D、集中管理

3、電子商務(wù)安全的內(nèi)容包括(2分)ABC A、電子商務(wù)系統(tǒng)安全管理制度 B、商務(wù)交易安全 C、計(jì)算機(jī)網(wǎng)絡(luò)安全 D、數(shù)據(jù)安全

4、黑客在網(wǎng)上經(jīng)常采用的手段包括(1分)D A、占據(jù)內(nèi)存 B、加密口令 C、虛構(gòu)產(chǎn)品

D、偷取特權(quán)

5、病毒防范制度應(yīng)該包括(1分)C A、不允許用戶登錄外部網(wǎng)站 B、不泄露管理員密碼

C、不隨意拷貝和使用未經(jīng)安全檢測(cè)的軟件 D、不要隨意發(fā)送郵件

6、下面哪種屬于計(jì)算機(jī)病毒的特點(diǎn)？(1分)A A、針對(duì)性 B、多發(fā)性 C、危險(xiǎn)性 D、盲目性

7、下面哪個(gè)屬于計(jì)算機(jī)病毒按照病毒傳染方式的分類？(1分)B A、操作系統(tǒng)病毒 B、引導(dǎo)區(qū)病毒 C、瀏覽器病毒 D、傳輸系統(tǒng)病毒

8、從網(wǎng)絡(luò)安全威脅的承受對(duì)象看，下面哪個(gè)屬于網(wǎng)絡(luò)安全威脅的來(lái)源？(1分)B A、對(duì)交易雙方的安全威脅 B、對(duì)數(shù)據(jù)庫(kù)的安全威脅 C、對(duì)交易平臺(tái)的安全威脅 D、對(duì)交易客戶的安全威脅

9、網(wǎng)頁(yè)病毒多是利用操作系統(tǒng)和瀏覽器的漏洞，使用_____技術(shù)來(lái)實(shí)現(xiàn)的。(1分)A A.ActiveX 和 JavaScript B.Activex 和 Java

C.Java 和 HTML D.Javascritp 和 HTML

10、下述哪一項(xiàng)不屬于計(jì)算機(jī)病毒的特點(diǎn)？(1分)p107 D A.破壞性 B.針對(duì)性 C.可觸發(fā)性 D.強(qiáng)制性

11、病毒程序的引導(dǎo)功能模塊是伴隨著____的運(yùn)行，將病毒程序從外部引入內(nèi)存。(1分)C A..com程序 B.郵件程序 C.宿主程序 D..exe程序

12、黑客是指什么？(1分)D A.利用病毒破壞計(jì)算機(jī)的人 B.穿黑衣的人 C.令人害怕的人

D.非法入侵計(jì)算機(jī)系統(tǒng)的人

13、黑客主要是利用操作系統(tǒng)和網(wǎng)絡(luò)的漏洞，缺陷，從網(wǎng)絡(luò)的外部非法侵入，進(jìn)行不法行為。A A．對(duì) B．錯(cuò)

14、防火墻的包過(guò)濾型是基于應(yīng)用層的防火墻。(1分)P103 A A．錯(cuò)

B．對(duì)

15、防火墻的代理服務(wù)型是基于網(wǎng)絡(luò)層的防火墻。(1分)P103 A A.錯(cuò) B.對(duì)

16、下述哪個(gè)是防火墻的作用？(1分)A A.可限制對(duì)internet特殊站點(diǎn)的訪問(wèn) B.對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的防火方面起安全作用 C.內(nèi)部網(wǎng)主機(jī)無(wú)法訪問(wèn)外部網(wǎng)

D.可防止計(jì)算機(jī)因電壓過(guò)高而引起的起火

17、最難防御的安全問(wèn)題是病毒攻擊。(1分)A A.錯(cuò) B.對(duì)

18、下述哪個(gè)不是常用國(guó)外防病毒軟件？(1分)D A.PC-cillin B.Norton C.Mcafee D.AV95

18、下述哪項(xiàng)不是計(jì)算機(jī)病毒在技術(shù)方面的防范措施？ 1分 理論

A A、不要頻繁更新系統(tǒng)軟件，防止病毒在更新過(guò)程中進(jìn)行感染

B、在系統(tǒng)開機(jī)設(shè)置中進(jìn)行設(shè)置，防止病毒感染硬盤引導(dǎo)區(qū)

C、選用防病毒軟件對(duì)病毒進(jìn)行實(shí)時(shí)監(jiān)測(cè)

D、及時(shí)更新病毒軟件及病毒特征庫(kù)，防止新病毒的侵入

19、按照計(jì)算機(jī)病毒的鏈接方式分類，下述哪個(gè)不屬于計(jì)算機(jī)病毒的分類？分 理論

A

A、感染型病毒

B、源碼型病毒

C、嵌入型病毒

D、外殼型病毒

20、下述哪項(xiàng)是選擇防毒軟件應(yīng)考慮的要素？ 1分 理論

A A、技術(shù)的先進(jìn)性和穩(wěn)定性、病毒的響應(yīng)速度

B、技術(shù)支持程度、防病毒軟件使用界面是否漂亮

C、用戶的操作系統(tǒng)、技術(shù)的先進(jìn)性和穩(wěn)定性

D、防病毒軟件使用界面是否漂亮、技術(shù)支持程度 按照計(jì)算機(jī)病毒的鏈接方式分類，下述哪個(gè)不屬于計(jì)算機(jī)病毒的分類？ 1分 理論 A A、感染型病毒 B、源碼型病毒 C、嵌入型病毒 D、外殼型病毒

22.下述哪個(gè)不是常用的國(guó)產(chǎn)防病毒軟件？ A A)PC-clillin B)Kill C)KV3000 D)瑞星

22.特洛伊木馬類型病毒的主要危害是： D A)損害引導(dǎo)扇區(qū)

B)刪除硬盤上的數(shù)據(jù)文件 C)刪除硬盤上的系統(tǒng)文件 D)竊取系統(tǒng)的機(jī)密信息

23.計(jì)算機(jī)的防范應(yīng)樹立___為主的思想防止病毒進(jìn)入自己的計(jì)算機(jī)系統(tǒng)。A A)預(yù)防 B)備份 C)檢測(cè) D)隔離

24、計(jì)算機(jī)病毒能通過(guò)下述哪個(gè)傳播媒介進(jìn)行傳播？(1分)C A．電波

B．紙張文件 C．互聯(lián)網(wǎng) D 空氣

第二篇：電子商務(wù)安全心得

電子商務(wù)安全心得

19130313 張玉

今天聽老師講有關(guān)電子商務(wù)安全的問(wèn)題，有很多關(guān)于隱私安全的感想。

昨天在一本書上看到一句話：在現(xiàn)代信息化社會(huì)中，你享受的便利越多，不好意思，你的隱私就被泄露的越多。

隱私保護(hù)是電子商務(wù)中很重要的一部分，在現(xiàn)在的信息化社會(huì)中，沒(méi)有人的隱私不會(huì)被泄露。你在社交網(wǎng)絡(luò)上發(fā)的照片，狀態(tài)，定位等等，無(wú)時(shí)無(wú)刻不在泄露你的隱私。隨處潛伏的病毒密碼也在對(duì)你的隱私虎視眈眈。更有許多人從事私人信息販賣的“灰色事業(yè)”。越來(lái)越多的網(wǎng)絡(luò)紅人被人肉，所有的好與不好都被網(wǎng)絡(luò)無(wú)限的放大，更不必提隱私保護(hù)。連國(guó)家在前幾年都通過(guò)了“信息公開條例”，未來(lái)信息化社會(huì)中信息公開是必然趨勢(shì)，伴隨著信息公開的發(fā)展，每個(gè)人的隱私都將暴露在光天化日之下。

越來(lái)越多的社交網(wǎng)站在進(jìn)行實(shí)名化認(rèn)證，到信息化完全公開的時(shí)候，隱私的定義也許與現(xiàn)在完全不同。

第三篇：電子商務(wù)的安全

電子商務(wù)交易安全調(diào)研報(bào)告

摘要：隨著互聯(lián)網(wǎng)的迅猛發(fā)展,網(wǎng)上交易日益成為新的商務(wù)模式，基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受。在享受網(wǎng)上交易帶來(lái)的便捷的同時(shí)，交易的安全性備受關(guān)注,網(wǎng)絡(luò)所固有的開放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重威脅。因此，網(wǎng)絡(luò)信息安全性就成了電子商務(wù)成功發(fā)展的關(guān)鍵因素，下面從電子商務(wù)中存在的安全問(wèn)題、電子商務(wù)的安全要素以及安全技術(shù)等方面對(duì)電子商務(wù)交易中的安全問(wèn)題進(jìn)行分析。

從消費(fèi)者得角度出發(fā)，消費(fèi)者在網(wǎng)上訂購(gòu)并確認(rèn)了向某個(gè)商家購(gòu)買某一個(gè)產(chǎn)品，在支付環(huán)節(jié)會(huì)存在如下一些問(wèn)題：

（1）例如，消費(fèi)者在網(wǎng)上訂購(gòu)了某件商品，他之所以付款，是相信網(wǎng)上商城的信譽(yù)，但如果出現(xiàn)經(jīng)濟(jì)糾紛，誰(shuí)知道我付了款呢？憑證在哪？怎么打官司？給了錢，沒(méi)憑證，支付后一直擔(dān)憂。

（2）消費(fèi)者沒(méi)拿到貨，就找商家，商家給了答復(fù)：“我們卻是知道你要買某個(gè)商品，但是我們沒(méi)有收到錢，怎么給你發(fā)貨呢？”給了錢，商家說(shuō)沒(méi)收到，消費(fèi)者去找誰(shuí)呢？在支付過(guò)程中，錢的去向無(wú)法確認(rèn)。

（3）消費(fèi)者找到開戶銀行，經(jīng)過(guò)查找，銀行說(shuō)：“你的賬戶上卻是扣除了商品價(jià)值的金額，不是實(shí)時(shí)發(fā)生的，劃出去了，但我方也無(wú)法證明這筆劃出的錢就是用于購(gòu)買該商品的錢?！苯o了錢在賬戶劃付過(guò)程中，款項(xiàng)用途不清，就存在劃出去的這筆資金丟失的風(fēng)險(xiǎn)。

（4）消費(fèi)者無(wú)權(quán)查看商家的開戶行，因?yàn)榕c之無(wú)業(yè)務(wù)往來(lái)，但是還是去問(wèn)了，當(dāng)然，商家的開戶行不予理睬。給了錢，四處奔波，比傳統(tǒng)購(gòu)物花費(fèi)的時(shí)間更多。

（5）后來(lái)一直是沒(méi)收到貨，消費(fèi)者啞巴吃黃連，自認(rèn)倒霉。給了錢，花了時(shí)間和精力，卻什么也沒(méi)得到。消費(fèi)者最后的選擇結(jié)果很可能是，再也不上網(wǎng)購(gòu)物了！

消費(fèi)者可能遇到的這些問(wèn)題，卻是是網(wǎng)上購(gòu)買實(shí)物商品過(guò)程中常常會(huì)出現(xiàn)的問(wèn)題。這些問(wèn)題產(chǎn)生的原因可能是:網(wǎng)上支付的實(shí)時(shí)問(wèn)題，交易過(guò)程憑證的產(chǎn)生和法律保證問(wèn)題，款付貨到期限的商業(yè)信用無(wú)法建立的問(wèn)題，網(wǎng)上交易消費(fèi)者的權(quán)益保護(hù)問(wèn)題等。因此網(wǎng)上支付的安全問(wèn)題的解決可以從三個(gè)方面入手：一是實(shí)施技術(shù)保障，而是加強(qiáng)制度管理，三是，加強(qiáng)法律社會(huì)保障。只有解決了這三個(gè)層面的問(wèn)題，才能側(cè)地解決支付安全的問(wèn)題。而這其中消費(fèi)者最熟知和最信任的關(guān)鍵部門就是銀行了。

商家角度上的安全問(wèn)題，在網(wǎng)上購(gòu)物剛興起的一段時(shí)間里，通過(guò)網(wǎng)絡(luò)銷售的商品主要以家庭日用品，圖書，音像制品為主，這樣商品可以通過(guò)信息加以詳盡的描述，但是現(xiàn)在，隨著網(wǎng)上購(gòu)物的不斷發(fā)展，通訊商品，電子產(chǎn)品及其其他各種能夠想到的東西基本上都能在網(wǎng)上找到，但這時(shí)，過(guò)去那樣的簡(jiǎn)單描述已經(jīng)不能適應(yīng)整個(gè)網(wǎng)絡(luò)市場(chǎng)的發(fā)展了。一些不法商家也就正是盯上了網(wǎng)上購(gòu)物的這種潛在缺陷，肆意的夸大產(chǎn)品功能，或是直接作虛假?gòu)V告，用不切合實(shí)際的產(chǎn)品描述來(lái)引誘購(gòu)買者。很多消費(fèi)者也常會(huì)因?yàn)閯倓偨佑|網(wǎng)上購(gòu)物而無(wú)辜的上當(dāng)受騙。除此之外，也有一部分蓄意欺騙的商家收到了購(gòu)買者匯來(lái)的錢而故意不發(fā)貨，私吞下這筆資金。對(duì)于這類情況，淘寶和易趣網(wǎng)都采取了通過(guò)一系列的信用等級(jí)評(píng)價(jià)機(jī)制透明地如實(shí)反映賣家的信用額度以及過(guò)去的每一筆交易的明細(xì)的方法來(lái)減少這種不安全性，買家可以參考這些信息，甚至與曾經(jīng)與此賣家交易過(guò)的買家溝通。但這些方式都只能降低商家網(wǎng)上欺騙成功的概率，不能從根本上減少這種事件的發(fā)生。要想徹底根治，還是要從商家本身以及交易平臺(tái)的總體設(shè)計(jì)入手。

在電子商務(wù)中主要表現(xiàn)為商業(yè)機(jī)密的泄露，包括兩個(gè)方面:一是交易雙方進(jìn)行交易的內(nèi)容被第三方竊??；二是交易一方提供給另一方使用的文件被第三方非法使用。2.信息被篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中，可能被他人非法修改、刪除或被多次使用，這樣就使信息失去了真實(shí)性和完整性。3.身份識(shí)別。身份識(shí)別在電子商務(wù)中涉及兩個(gè)方面的問(wèn)題：一是如果不進(jìn)行身份識(shí)別，第三方就有可能假冒交易一方的身份，破壞交易、敗壞被假冒一方的信譽(yù)或盜取交易成果；二是不可抵賴性，交易雙方對(duì)自己的行為應(yīng)負(fù)有一定的責(zé)任，信息發(fā)送者和接受者都不能對(duì)此予以否認(rèn)。進(jìn)行身份識(shí)別就是防止電子商務(wù)活動(dòng)中的假冒行為和交易被否認(rèn)的行為。4.信息破壞。一是網(wǎng)絡(luò)傳輸?shù)目煽啃?，網(wǎng)絡(luò)的硬件或軟件可能會(huì)出現(xiàn)問(wèn)題而導(dǎo)致交易信息丟失與謬誤；二是惡意破壞，計(jì)算機(jī)網(wǎng)絡(luò)本身遭到一些惡意程序的破壞，例如 病毒破壞、黑客入侵等。

自己如何防范：隨著人們生活水平的提高，互聯(lián)網(wǎng)幾乎是家喻戶曉了，現(xiàn)在網(wǎng)上一些詐騙行為的案例不計(jì)其數(shù)，雖然許多商家都打出了同一口號(hào)，但還是對(duì)騙子的所作所為無(wú)能為力，犯罪分子就是利用一些人的貪婪，心理素質(zhì)差等弱點(diǎn)，導(dǎo)致很多受害者陷進(jìn)去，我想我們只有對(duì)網(wǎng)上的某些東西多加了解，少貪小便宜，我們就能盡量避免被騙。

第四篇：電子商務(wù)安全實(shí)驗(yàn)報(bào)告

實(shí)驗(yàn)名稱：電子商務(wù)安全技術(shù)

2010081126呂呂

一、實(shí)驗(yàn)?zāi)康模?/p>

通過(guò)本實(shí)驗(yàn)加深對(duì)電子商務(wù)安全威脅、重要性的理解，了解電子商務(wù)安全的措施及相關(guān)技術(shù)。

二、實(shí)驗(yàn)內(nèi)容：

（1）上網(wǎng)搜集電子商務(wù)安全威脅的案例，分析電子商務(wù)安全的協(xié)議及措施。要求搜集的電子商務(wù)安全威脅案例不少于3個(gè)，了解不同類型電子商務(wù)網(wǎng)站所采取的電子商務(wù)安全措施和技術(shù)。

答: 電子商務(wù)安全的協(xié)議有：

PKI協(xié)議：PKI是Public Key Infrastructure的縮寫，是指用公鑰概念和技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。

安全超文本傳輸協(xié)議（S-HTTP）：安全超文本傳輸協(xié)議（S-HTTP）是致力于促進(jìn)以因特網(wǎng)為基礎(chǔ)的電子商務(wù)技術(shù)發(fā)展的國(guó)際財(cái)團(tuán) CommerceNet協(xié)會(huì)提出的安全傳輸協(xié)議，主要利用密鑰對(duì)加密的方法來(lái)保障 W eb 站點(diǎn)上的信息安全。S-HTTP 被設(shè)計(jì)為作為請(qǐng)求 /響應(yīng)的傳輸協(xié)議———HTTP 的一種安全擴(kuò)展版本，正是這一特點(diǎn)使得 S-HTTP 與 SSL 有了本質(zhì)上的區(qū)別，因?yàn)?SSL 是一種會(huì)話保護(hù)協(xié)議。S-HTTP 的主要功能是保護(hù)單一的處理請(qǐng)求或響應(yīng)的消息，這在某種程度上與一個(gè)消息安全協(xié)議保護(hù)電子郵件消息的工作原理相似。

安全套接層協(xié)議（SSL）: SSL 能使客戶機(jī)與服務(wù)器之間的通信不被攻擊者竊聽，并且始終保持對(duì)服務(wù)器進(jìn)行認(rèn)證，還可選擇對(duì)客戶進(jìn)行認(rèn)證。SSL 建立在 TCP 協(xié)議之上，它的優(yōu)勢(shì)在于與應(yīng)用層協(xié)議獨(dú)立無(wú)關(guān)，應(yīng)用層協(xié)議能透明地建立于 SSL 協(xié)議之上。SSL 協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信加密的協(xié)商以及服務(wù)器的認(rèn)證工作。在此之后，應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證了在因特網(wǎng)上通信的機(jī)密性。

安全電子交易協(xié)議（SET）: SET 協(xié)議采用了對(duì)稱密鑰和非對(duì)稱密鑰體制，把對(duì)稱密鑰的快速、低成本和非對(duì)稱密鑰的有效性結(jié)合在一起，以保護(hù)在開放網(wǎng)絡(luò)上傳輸?shù)膫€(gè)人信息，保證交易信息的隱蔽性。其采用的核心技術(shù)包括：電子證書標(biāo)準(zhǔn)與數(shù)字簽名、報(bào)文摘要、數(shù)字信封、雙重簽名等。

電子商務(wù)安全的措施有：

加密技術(shù): 加密技術(shù)是電子商務(wù)的最基本信息安全防范措施,其原理是利用一

定的加密算法將明文轉(zhuǎn)換成難以識(shí)別和理解的密文并進(jìn)行傳輸從而確保數(shù)據(jù)的保密性。

數(shù)字簽名： 數(shù)字簽名如同手寫簽名,在電子商務(wù)中有如下優(yōu)點(diǎn):（1)發(fā)送者事

后不能否認(rèn)自己發(fā)送的報(bào)文簽名。（2)接受者能夠核實(shí)發(fā)送者發(fā)送的報(bào)文簽名。

（3)接受者不能偽造發(fā)送者的報(bào)文簽名。（4)接受者不能對(duì)發(fā)送者的報(bào)文進(jìn)行篡改。

（5)交易中的某一用戶不能冒充另一用戶作為發(fā)送者或接受者。數(shù)字簽名也是采用非對(duì)稱加密算法,實(shí)現(xiàn)方式為:發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值,并用自己的私有密鑰對(duì)這個(gè)散列值進(jìn)行加密,形成發(fā)送方的數(shù)字簽名;然后,將這個(gè)數(shù)字簽名作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接受方;報(bào)文的接受方首先從接受到的原始報(bào)文中計(jì)算出128 位的散列值,再用發(fā)送方的公開密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同,那么接受方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。

數(shù)字時(shí)間戳：數(shù)字時(shí)間戳(DTS ,Digital time-stamp),如同傳統(tǒng)商務(wù)中的日期

和時(shí)間,在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)（DTS）是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔。它由三個(gè)部分組成:需要加蓋時(shí)間戳的文件的摘要、DTS收到文件的日期和時(shí)間以及DTS 的數(shù)字簽名

數(shù)字證書：數(shù)字時(shí)間戳(DTS ,Digital time-stamp),如同傳統(tǒng)商務(wù)中的日期和

時(shí)間,在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)（DTS）是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔。它由三個(gè)部分組成:需要加蓋時(shí)間戳的文件的摘要、DTS收到文件的日期和時(shí)間以及DTS 的數(shù)字簽名

安全協(xié)議技術(shù)：目前常用的安全協(xié)議主要有兩種：SSL協(xié)議（安全套接層協(xié)議）和SET協(xié)議（安全電子交易協(xié)議）。SSL 協(xié)議是由Netscape公司提出的安全交易協(xié)議，該協(xié)議主要目的是解決T C P /I P 協(xié)議不能確認(rèn)用戶身份的問(wèn)題，在Socket 上使用非對(duì)稱的加密技術(shù)，以保證網(wǎng)絡(luò)通信服務(wù)的安全性。4SET是由Visa 和MasterCard 兩大信用卡公司聯(lián)合IBM, Microsoft, GTE ,Verisign , SA IC等公司與1996年6月共同推出的以信用卡支付為基礎(chǔ)的電子商務(wù)安全協(xié)議,其中涵蓋了電子交易中的交易協(xié)定、信息保密、數(shù)據(jù)完整、數(shù)字認(rèn)證和數(shù)字簽名等。它采用公鑰密碼體制和X.5 0 9 數(shù)字證

書標(biāo)準(zhǔn)，主要應(yīng)用于保障網(wǎng)上購(gòu)物信息的安全性。

（2）訪問(wèn)不同類型的電子商務(wù)站點(diǎn)，上網(wǎng)搜集相關(guān)資料，了解國(guó)內(nèi)網(wǎng)上支付在安全方面的解決方案。

答：目前中國(guó)所有電子支付服務(wù)提供商都還是使用簡(jiǎn)單的用戶名 / 密碼認(rèn)證機(jī)制，雖然某些電子支付服務(wù)提供商增加了一個(gè)安全控件，但還是存在以下兩大嚴(yán)重安全問(wèn)題：

(1)用戶的身份認(rèn)證問(wèn)題：由于涉及到資金問(wèn)題，越來(lái)越多的黑客和木馬軟件就盯上了電子支付服務(wù)，而電子支付服務(wù)提供商現(xiàn)有的用戶登錄系統(tǒng)是簡(jiǎn)單的用戶名 / 密碼單一認(rèn)證機(jī)制，可以說(shuō)毫無(wú)安全性可言，非常容易被非法竊取而導(dǎo)致用戶的資金被盜。

(2)電子郵件泄密問(wèn)題：由于電子支付服務(wù)提供商的電子支付服務(wù)的原理是通過(guò)電子郵件通知來(lái)收款和付款的，而電子郵件在互聯(lián)網(wǎng)上是明文傳輸?shù)?，非常容易被非法竊取，而一旦用戶的電子郵件內(nèi)容被非法竊取，則此筆交易款就極有可能也非常容易被非法盜走。

由于以上兩大問(wèn)題，就開始采用“雙重認(rèn)證(two-factor authentication)”技術(shù)來(lái)解決電子支付的在線身份盜竊問(wèn)題，其實(shí)就是使用用戶的個(gè)人數(shù)字證書來(lái)實(shí)現(xiàn)安全的身份認(rèn)證和電子郵件加密。具體解決方案是：

(1)電子支付服務(wù)提供商為每個(gè)用戶頒發(fā)一個(gè)全球通用的個(gè)人數(shù)字，證書用于登

錄電子支付服務(wù)系統(tǒng)的真實(shí)身份認(rèn)證和用于每個(gè)交易的數(shù)字簽名，從而杜絕了口令泄露而造成的損失和提供了交易不可否認(rèn)的證據(jù)。

(2)由于每個(gè)用戶都有全球通用的個(gè)人數(shù)字證書，不僅可以用于身份認(rèn)證快速安

全登錄電子支付服務(wù)系統(tǒng)，還可以用于電子郵件數(shù)字簽名和電子郵件內(nèi)容加密，所有電子支付服務(wù)提供商與用戶之間的電子郵件通信內(nèi)容都是使用數(shù)字證書加密的，只有用戶本人使用其個(gè)人數(shù)字證書才能閱讀，而其他人即使在電子郵件服務(wù)器端或電子郵件傳輸過(guò)程中非法竊取電子郵件支付內(nèi)容。

數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的，以數(shù)字證書為核心的加

密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。

數(shù)字證書采用公鑰密碼體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶擁有一把僅為本人所掌握的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)擁有一把公共密鑰（公鑰）并可以對(duì)外公開，用于加密和驗(yàn)證簽名。

（3）進(jìn)入阿里巴巴電子商務(wù)站點(diǎn)，瀏覽，查閱，體驗(yàn)站點(diǎn)的安全機(jī)制和支付功能?？偨Y(jié)阿里巴巴電子商務(wù)站點(diǎn)的安全機(jī)制和支付機(jī)制。

答：阿里巴巴電子商務(wù)安全機(jī)制：

1.數(shù)據(jù)加密技術(shù)。對(duì)數(shù)據(jù)進(jìn)行加密是電子商務(wù)系統(tǒng)最基本的信息安全防范措

施．其原理是利用加密算法將信息明文轉(zhuǎn)換成按一定加密規(guī)則生成的密文后進(jìn)行傳輸，從而保證數(shù)據(jù)的保密性。使用數(shù)據(jù)加密技術(shù)可以解決信息本身的保密性要求。數(shù)據(jù)加密技術(shù)可分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密。

(1)對(duì)稱密鑰加密(SecretKeyEncryption)。對(duì)稱密鑰加密也叫秘密/專用密鑰加密，即發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰對(duì)明文進(jìn)行加密和解密運(yùn)算。它的優(yōu)點(diǎn)是加密、解密速度快，適合于對(duì)大量數(shù)據(jù)進(jìn)行加密，能夠保證數(shù)據(jù)的機(jī)密性和完整性；缺點(diǎn)是當(dāng)用戶數(shù)量大時(shí)，分配和管理密鑰就相當(dāng)困難。

(2)非對(duì)稱密鑰加密(PublicKeyEncryption)。非對(duì)稱密鑰加密也叫公開密鑰加密，它主要指每個(gè)人都有一對(duì)惟一對(duì)應(yīng)的密鑰:公開密鑰(簡(jiǎn)稱公鑰)和私人密鑰(簡(jiǎn)稱私鑰)公鑰對(duì)外公開，私鑰由個(gè)人秘密保存，用其中一把密鑰來(lái)加密，就只能用另一把密鑰來(lái)解密。非對(duì)稱密鑰加密算法的優(yōu)點(diǎn)是易于分配和管理，缺點(diǎn)是算法復(fù)雜，加密速度慢。

(3)復(fù)雜加密技術(shù)。由于上述兩種加密技術(shù)各有長(zhǎng)短，目前比較普遍的做法是將兩種技術(shù)進(jìn)行集成。例如信息發(fā)送方使用對(duì)稱密鑰對(duì)信息進(jìn)行加密，生成的密文后再用接收方的公鑰加密對(duì)稱密鑰生成數(shù)字信封，然后將密文和數(shù)字信封同時(shí)發(fā)送給接收方，接收方按相反方向解密后得到明文。

2.數(shù)字簽名技術(shù)。數(shù)字簽名是通過(guò)特定密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名，來(lái)代替書寫簽名或印章，對(duì)于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證，其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證所無(wú)法比擬的。數(shù)字簽名技術(shù)可以保證信息傳送的完整性和不可抵賴性。

3.認(rèn)證機(jī)構(gòu)和數(shù)字證書。由于電子商務(wù)中的交易一般不會(huì)有使用者面對(duì)面進(jìn)行，所以對(duì)交易雙方身份的認(rèn)定是保障電子商務(wù)交易安全的前提。認(rèn)證機(jī)構(gòu)是一個(gè)公立可信的第三方，用以證實(shí)交易雙方的身份，數(shù)字證書是由認(rèn)證機(jī)構(gòu)簽名的包括公開密鑰擁有者身份信息以及公開密鑰的文件。在交易支付過(guò)程中，參與方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書來(lái)證明自己的身份。

4.使用安全電子交易協(xié)議(SET:Secure Electronic Transactions)。是由VISA 和MasterCard兩大信用卡組織指定的標(biāo)準(zhǔn)。SET用于劃分與界定電子商務(wù)活動(dòng)中各方的權(quán)利義務(wù)關(guān)系，給定交易信息傳送流程標(biāo)準(zhǔn)。SET協(xié)議保證了電子商務(wù)系統(tǒng)的保密性、完整性、不可否認(rèn)性和身份的合法性。

阿里巴巴支付機(jī)制： 阿里巴巴，作為家喻戶曉的電子商務(wù)網(wǎng)站，它的支付方式也同樣的令人耳熟能詳：支付寶，就是旗下提供的第三方支付平臺(tái)，它保證了買賣雙方交易的安全性與便捷性。盡管現(xiàn)在支付寶已經(jīng)得到普及，但是相對(duì)那些有在網(wǎng)上購(gòu)物的欲望但無(wú)法使用支付寶的人來(lái)說(shuō)，郵局匯款、銀行轉(zhuǎn)賬信用卡支付和網(wǎng)上銀行支付無(wú)非是最好的選擇。

（4）網(wǎng)上閱讀資料，查看電子商務(wù)安全交易協(xié)議中SET中用到的雙重簽名技術(shù)的過(guò)程是如何的。

答：雙重簽名是為了保證在事務(wù)處理過(guò)程中三方安全傳輸信息的一種技術(shù)，用于三方通信時(shí)的身份認(rèn)證和信息完整性、交易防抵賴的保護(hù)。

雙重?cái)?shù)字簽名的實(shí)現(xiàn)步驟如下：

(1)信息發(fā)送者A對(duì)發(fā)給B的信息1生成信息摘要1。

(2)信息發(fā)送者A對(duì)發(fā)給C的信息2生成信息摘要2。

(3)信息發(fā)送者A把信息摘要1和信息摘要2合在一起，對(duì)其生成信息摘要3，并使用自己的私鑰簽名信息摘要3。

(4)信息發(fā)送者A把信息

1、信息摘要2和信息摘要3的簽名發(fā)給B，B不能得到信息2。

(5)信息發(fā)送者A把信息

2、信息摘要1和信息摘要3的簽名發(fā)給C，C不能得到信息1。

(6)B接收信息后，對(duì)信息1生成信息摘要，把這信息摘要和收到的信息摘要2合在一起，并對(duì)其生成新的信息摘要，同時(shí)使用信息發(fā)送者A的公鑰對(duì)信息摘要3的簽名進(jìn)行驗(yàn)證，以確認(rèn)信息發(fā)送者A的身份和信息是否被修改過(guò)。

(7)C接收信息后，對(duì)信息2生成信息摘要，把這信息摘要和收到的信息摘要1合在一起，并對(duì)其生成新的信息摘要，同時(shí)使用信息發(fā)送者A的公鑰對(duì)信息摘要3的簽名進(jìn)行驗(yàn)證，以確認(rèn)信息發(fā)送者A的身份和信息是否被修改過(guò)。

（5）以中國(guó)工商銀行網(wǎng)上銀行為例，描述在網(wǎng)銀上操作，是如何保障安全的？包括從一登錄到交易成功的整個(gè)過(guò)程。

答：網(wǎng)銀登錄過(guò)程：

客戶端首先要安裝網(wǎng)銀頒發(fā)的數(shù)字證書，用于身份認(rèn)證。進(jìn)入https安全頁(yè)面，在客戶端產(chǎn)生對(duì)稱密鑰，用服務(wù)器的公鑰進(jìn)行加密（公鑰由網(wǎng)銀頒發(fā)的數(shù)字證書里獲?。?，同時(shí)客戶端把會(huì)話內(nèi)容用所產(chǎn)生的對(duì)稱密鑰加密，傳送時(shí)包括的內(nèi)容為：銀行的數(shù)字簽名、加密的會(huì)話內(nèi)容、加密的對(duì)稱密鑰。每次會(huì)話都通過(guò)這種方式保障安全。如果轉(zhuǎn)賬時(shí)，需要插入usbkey，usbkey里面的內(nèi)容可以認(rèn)為是客戶端的私鑰，相當(dāng)于客戶端秘密持有的信息，插入usbkey后，會(huì)把轉(zhuǎn)賬內(nèi)容用客戶端私鑰加密，用于服務(wù)器端再次確認(rèn)此轉(zhuǎn)賬信息是由客戶端發(fā)出的，客戶端不可否認(rèn)。由于互聯(lián)網(wǎng)是一個(gè)開放的網(wǎng)絡(luò)，客戶在網(wǎng)上傳輸?shù)拿舾行畔?如密碼、交易指令等)在通訊過(guò)程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發(fā)生，網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施，使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議。

SSL協(xié)議是由Netscape首先研制開發(fā)出來(lái)的，其首要目的是在兩個(gè)通信間提供秘密而可靠的連接，大部分Web服務(wù)器和瀏覽器都支持此協(xié)議。用戶登錄并通過(guò)身份認(rèn)證之后，用戶和服務(wù)方之間在網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)全部用會(huì)話密鑰加密，直到用戶退出系統(tǒng)為止。而且每次會(huì)話所使用的加密密鑰都是隨機(jī)產(chǎn)生的。這樣，攻擊者就不可能從網(wǎng)絡(luò)上的數(shù)據(jù)流中得到任何有用的信息。同時(shí)，引入了數(shù)字證書對(duì)傳輸數(shù)據(jù)進(jìn)行簽名，一旦數(shù)據(jù)被篡改，則必然與數(shù)字簽名不符。SSL協(xié)議的加密密鑰長(zhǎng)度與其加密強(qiáng)度有直接關(guān)系，一般是40～128位，可在IE瀏覽器的“幫助”“關(guān)于”中查到。建設(shè)銀行等已經(jīng)采用有效密鑰長(zhǎng)度128位的高強(qiáng)度加密。

第五篇：電子商務(wù)安全實(shí)驗(yàn)

電子商務(wù)安全 課堂實(shí)驗(yàn)

一、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)實(shí)驗(yàn),了解網(wǎng)絡(luò)存在的不安全因素

二、實(shí)驗(yàn)內(nèi)容

1．在網(wǎng)絡(luò)上查找“釣魚網(wǎng)站”一般為哪些網(wǎng)站，這些“釣魚網(wǎng)站”都存在哪些特點(diǎn)，我們應(yīng)該如何識(shí)別或以防上當(dāng)。請(qǐng)闡述一下。

2．請(qǐng)?jiān)诰W(wǎng)上查找資料，了解我們個(gè)人電腦應(yīng)如何預(yù)防計(jì)算機(jī)病毒，病毒的防范措施有哪些？請(qǐng)將你所了解的描寫下來(lái)。

3．通過(guò)網(wǎng)絡(luò)上的信息，了解一下，網(wǎng)銀盜取的不法分子通常采用哪些方式騙取網(wǎng)銀，我們應(yīng)如何預(yù)防網(wǎng)銀騙子。

4.電子商務(wù)發(fā)展中存在的安全問(wèn)題。

三、實(shí)驗(yàn)小結(jié)與心得

通過(guò)本次實(shí)驗(yàn)?zāi)愕玫搅耸裁矗?/p>