第一篇：電子商務安全總結

什么是公開密鑰，對稱密鑰及各自的特點, 主要運用的地方，是怎么使用的.非對稱密碼體制的特點是加密密鑰和解密密鑰不同，但存在著對應關系，即用某個加密秘鑰加密的信息必須用其所對應的解密密鑰才能解開，但在計算機上不能由加密密鑰退出解密密鑰。把這樣的一對密鑰稱為公有密鑰和私有密鑰，企業(yè)需要自己保存的密鑰稱為私有密鑰，對外公布的密鑰稱為共開密鑰。

對稱加密方法的特點是無論加密還是解密都使用同一把密鑰。比較著名的對稱加密算法就是DES，其分組長度為64位，實際的密鑰長度為56位，還有8位校驗碼（16次加密）。.對稱密鑰優(yōu)點是速度快，效率高。缺點是保存和管理密鑰是一大難題；需要一條安全的途徑傳送密鑰；無法鑒別發(fā)送方和接收方的身份。

非對稱加密體制的特點（不能提供無條件的安全性）優(yōu)點:

1、可以支持眾多的安全服務（如保密性、完整性、起源認證、不可抵賴性和數(shù)字簽名等）

2、簡化了密鑰發(fā)布和管理的難度

3、非常適合于再分布系統(tǒng)下使用

缺點：

1、與對稱密碼算法相比，非對稱（即公有密鑰）密碼算法相對加解密速度較慢，他們可能要比同等強度的對稱密碼算法慢10到100倍。

2、要想讓非對稱密鑰算法相同的安全強度，就必須使用更長的密鑰。

3、非對稱加密會導致得到的密文變長。數(shù)字時間戳流程，打在什么上145.數(shù)字時間戳是一個經加密后形成的憑證文檔，它包括三部分：需要加時間戳的文件的摘要，DTS（數(shù)字時間戳服務）收到文件的日期和時間，DTS的數(shù)字簽名。能提供電子文件發(fā)表時間的安全保護。

數(shù)字時間戳產生流程：用戶首先將需要加時間戳的文件用哈希編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。Hash算法是把任意長度的的輸入數(shù)據(jù)經過算法壓縮，輸出一個尺寸小了很多的固定長度的數(shù)據(jù)，即哈希值。哈希值也稱為輸入數(shù)據(jù)的數(shù)字指紋或消息摘要等。

單項哈希函數(shù)基本特征：

1、單項哈希函數(shù)能夠處理任意長度的明文（至少是在實際應用中可能碰到的長度的明文），其生成的消息摘要數(shù)據(jù)長度具有固定的大小，而且，對同一個消息反復執(zhí)行該函數(shù)總能得到相同的信息摘要。

2、單項哈希函數(shù)生成的信息摘要是不可預見的，消息摘要看起來和原始的數(shù)據(jù)沒有任何的關系。而且，原始數(shù)據(jù)的任何微小變化都會對生成的信息摘要產生很大的影響。

3、具有不可逆性，即通過生成的報文摘要得到原始數(shù)據(jù)的任何信息在計算機上是完全不可行的。

通過哈希值來“代表”信息本身，保證信息安全。

典型哈希函數(shù)（ＭＤ５、ＳＨＡ、）

哈希函數(shù)的應用：文件效驗、數(shù)字簽名、鑒權協(xié)議

Ｓｅｔ協(xié)議（安全電子交易規(guī)范）主要目的是解決信用卡電子付款的安全保障性問題。

Ｓｅｔ協(xié)議的加密技術：密鑰加密系統(tǒng)、公鑰加密系統(tǒng)、數(shù)字信封、數(shù)字簽名、信息摘要、雙重簽名。

1、通過加密保證信息機密性

2、應用數(shù)字簽名技術進行鑒別

3、使用X.509v3數(shù)字證書來提供信任

4、應用散列函數(shù)保證數(shù)據(jù)完整性。Ｓｅｔ協(xié)議的加密技術：密鑰加密系統(tǒng)、公鑰加密系統(tǒng)、數(shù)字信封、數(shù)字簽名、信息摘要、雙重簽名。

雙聯(lián)簽名的基本原理及其使用過程ppt.１、持卡人將發(fā)給商家的信息ｍ１和發(fā)給第三方的信息ｍ２分別生成報文摘要ｍｄ１和ｍｄ２

２、持卡人將ｍｄ１和ｍｄ２合在一起生成ｍｄ，并簽名

３、將ｍ１，ｍｄ２和ｍｄ發(fā)給商家，ｍ２，ｍｄ１和ｍｄ發(fā)給第三方

接收者根據(jù)接收到的報文生成報文摘要，再與收到的報文摘要合在一起，比較結合后的報文摘要和收到的ｍｄ，確定持卡人身份和信息是否被修改。解決了三方參加電子貿易過程中安全通信的問題。雙重簽名技術：在一項安全電子商務交易中，持卡人的定購信息和支付指令是相互對應的。商家只有確認了對應于持卡人的支付指令對應的定購信息才能夠按照定購信息發(fā)貨；而銀行只有確認了與該持卡人支付指令對應的定購信息是真實可靠的才能夠按照商家的要求進行支付。為了達到商家在合法驗證持卡人支付指令和銀行在合法驗證持卡人訂購信息的同時不會侵犯顧客的私人隱私這一目的，SET協(xié)議采用了雙重簽

名技術來保證顧客的隱私不被侵犯。

數(shù)據(jù)完整性的保障，接收方怎么比較，怎么實現(xiàn)及定義11、143，數(shù)據(jù)完整性就是確認沒有修改，即無論是傳輸還是存儲過程中的數(shù)據(jù)經過檢查沒有被修改過。采用奇偶校驗或循環(huán)用余編碼（ｃｒｃ）的機制也可以保證一定程度上的數(shù)據(jù)完整性，但主要用于檢測偶發(fā)位錯誤，無法防范為了達到某種目的而故意修改數(shù)據(jù)內容的行為。通常希望提供數(shù)據(jù)完整性的實體和需要驗證數(shù)據(jù)完整性的實體，需要協(xié)商合適的算法和密鑰

Ｓｅｔ協(xié)議（安全電子交易規(guī)范）主要目的是解決信用卡電子付款的安全保障性問題。SET主要是為了解決用戶，商家，銀行之間通過信用卡的交易而設計的，它具有的保證交易數(shù)據(jù)的完整性，交易的不可抵賴性等種種優(yōu)點，因此它成為目前公認的信用卡網上交易的國際標準。

ssl協(xié)議（安全套接層）主要用于提高應用程序之間數(shù)據(jù)的安全系數(shù)。提供的服務歸納為：用戶和服務器的合法性認證，加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)，保護數(shù)據(jù)的完整性

區(qū)別：SET和SSL兩種協(xié)議都能應用于電子商務中都通過認證進行身份的識別，都通過對傳輸數(shù)據(jù)的加密實現(xiàn)保密性。

SSL位于傳輸層與應用層之間，能很好的封裝應用層數(shù)據(jù)，對用戶是透明的。SSL只需要一次“握手”過程即建立一條安全通信的通道，保證數(shù)據(jù)傳輸?shù)陌踩SL并不是專為支持電子商務而設計，只支持雙方認證，商家完全掌握用戶的帳號信息。

SET協(xié)議專為電子商務系統(tǒng)設計，位于應用層，認證體系完善，能實現(xiàn)多方認證。用戶賬戶信息對商家保密。SET協(xié)議復雜，要用到多個密鑰以及多次加解密。SET中還有發(fā)卡行、CA、支付網關等其它參與者。分為單向認證和雙向認證過程

1：客戶端的瀏覽器向服務器傳送客戶端 SSL 協(xié)議的版本號，加密算法的種類，產生的隨機數(shù)，以及其他服務器和客戶端之間通信所需要的各類信息。2：服務器向客戶端傳送 SSL 協(xié)議的版本號，加密算法的種類，隨機數(shù)以及其他相關信息，同時服務器還將向客戶端傳送本身的證書。3：客戶利用服務器傳過來的信息驗證服務器的合法性4：用戶端隨機產生一個用于后面通信的“對稱密碼”，然后用服務器的公鑰對其加密，然后將加密后的“預主密碼”傳給服務器。

5：如果服務器請求客戶的身份認證，用戶可以建立一個隨機數(shù)然后對其進行數(shù)據(jù)簽名6：如果服務器請求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數(shù)的合法性7：服務器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于 SSL 協(xié)議的安全數(shù)據(jù)通信的加解密通信。8：客戶端向服務器端發(fā)出信息，指明后面的數(shù)據(jù)通信將使用的步驟⑦中的主密碼為對稱密鑰9：服務器向客戶端發(fā)出信息，指明后面的數(shù)據(jù)通信將使用的步驟⑦中的主密碼為對稱密鑰

10：SSL 的握手部分結束，SSL 安全通道的數(shù)據(jù)通信開始，客戶和服務器開始使用相同的對稱密鑰進行數(shù)據(jù)通信，同時進行通信完整性的檢驗。

SSL協(xié)議采用加密技術保障信息安全，就是客戶機與服務器交換數(shù)據(jù)之前，先交換SSL初始握手信息。在SSL握手信息中采用各種加密技術，以保證其機密性和數(shù)據(jù)完整性，并且經數(shù)字證書鑒別，防止非法用戶破譯。采用密碼哈希函數(shù)和機密共享的方法，提供信息完整性的服務，建立客戶機遇服務器之間的安全通道。

安全套接字層（SSL）協(xié)議，是對計算機之間整個會話進行加密的協(xié)議，它能提供Internet上通信的保密性。該協(xié)議允許客戶∕服務器應用程序在通信時，能夠阻止竊聽、報文偽造等安全攻擊。

重放攻擊 :光靠使用報文鑒別碼（MAC）不能防止對方重復發(fā)送過時的信息包。SSL通過在生成MAC的數(shù)據(jù)中加入隱藏的序列號，來防止重放攻擊。這種機制也可以防止被耽擱的，被重新排序的，或者是被刪除數(shù)據(jù)的干擾。序列號的長度是64bit，因此打包不會有問題。另外，序列號由每個連接方向分別維護，而且在每一次新的密鑰交換時進行更新，所以不會有明顯的弱點。

實體認證，數(shù)據(jù)來源認證79.1、實體認證：身份由參與通信的一方提交的，用來認證實體本身的身份，決定是否進行訪問及相應的授權；保障系統(tǒng)使用與管理的安全性，認證信息和具體實體對應，不會和實體要進行的活動聯(lián)系起來。

2、數(shù)據(jù)來源認證：認證數(shù)據(jù)項提交者的實體身份，確定實體與數(shù)據(jù)項間的靜態(tài)關系；保證數(shù)據(jù)的完整性，保障實體的身份是特點數(shù)據(jù)項的來源。

CA：認證授權中心，是電子商務和網上銀行等應用中所有合法注冊用戶所信賴的具有權威性、信賴性及公正性的第三方機構，負責為電子商務環(huán)境中各個實體頒發(fā)數(shù)字證書，以證明各實體身份的真實性，并負責在交易中檢驗和管理證書。數(shù)字證書保障信息的安全性、真實性、可靠性、完整性和不可抵賴性 ＣＡ證書的格式遵循X.509標準

層次結構，它由跟CA、品牌CA、地方CA及持卡人CA、商家CA、支付網關CA等不同層次構成，自上而下的信任鏈，下級CA信任上級CA，下級CA由上級CA頒發(fā)證書并認證。

交易雙方向CA提交自己的公鑰和其他代表自己身份的信息；CA驗證雙方身份，頒發(fā)一個用CA私鑰加密的數(shù)字證書；

交易雙方用CA的公鑰驗證CA，驗證了CA就信任其簽發(fā)了數(shù)字證書的每一個用戶;交易雙方從信任的CA處獲得了數(shù)字證書，通過交換數(shù)字證書獲取對方的公鑰；當用戶私鑰/公鑰到期或證書有效期到，CA公布用戶證書作廢。

動態(tài)口令識別（主要了解）86.動態(tài)口令方式：采用動態(tài)令牌的硬件，內置電源、密碼生成芯片和顯示屏，根據(jù)當前時間或次數(shù)生成當前密碼，即“一次一密”，使用不太方便。

指紋識別兩個基本原理88.指紋：手指末端正面皮膚上凹凸不平產生的紋路。總體特征，有可能相同局部特征，不可能完全相同指紋識別技術涉及的四個功能：讀取指紋圖像、提取特征、保存數(shù)據(jù)和比對。

什么是拒識率、誤識率，及兩者的關系89。

拒識率是指將相同的指紋誤認為是不同的，而加以拒絕的出錯概率，ＦＲＲ＝（拒識的指紋數(shù)目／考察的指紋總數(shù)目）

誤識率是指將不同的指紋誤認為是相同的指紋，而加以接受的出錯概率，F(xiàn)AR=（錯判的指紋數(shù)目/考察的指紋總數(shù)目

循環(huán)測試方法給定一組圖像，依次兩兩組合，提交進行比對，統(tǒng)計總的提交比對的次數(shù)及發(fā)生錯誤的次數(shù)，并計算出出錯的比例，即FRR和FAR。兩個指標互為相關的，F(xiàn)RR與FAR成反比關系。

什么是IC卡，IC卡存在的安全問題，與USB KEY的區(qū)別103.IC卡：智能卡，在特定材料制成的塑料卡中嵌入微處理器和存儲器等IC芯片的數(shù)據(jù)卡

安全問題：失或被竊的IC卡，冒充合法用戶進入應用系統(tǒng)，獲得非法利益；用偽造的或空白卡非法復制數(shù)據(jù)，進入應用系統(tǒng)；使用系統(tǒng)外的IC卡讀寫設備，對合法卡上的數(shù)據(jù)進行修改，改變操作級別等；在IC卡交易過程中，用正常卡完成身份認證后，中途變換IC卡，從而使卡上存儲的數(shù)據(jù)與系統(tǒng)中不一致；在IC卡讀寫操作中，對接口設備與IC卡通信時所作交換的信息流進行截聽，修改，甚至插入非法信息，以獲取非法利益，或破壞系統(tǒng)。

常用的安全技術有: 身份鑒別和IC卡合法性確認，指紋鑒別技術，數(shù)據(jù)加密通訊技術等。總體上，IC卡的安全包括物理安全和邏輯安全。

USB Key是一種USB接口的硬件設備。它內置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數(shù)字證書，利用USB Key內置的公鑰算法實現(xiàn)對用戶身份的認證。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認證的安全性。

數(shù)字簽名的定義112。

數(shù)字簽名就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名。

RSA是世界上第一個最為成功的公有密鑰密碼體制，基于“求兩個素數(shù)的乘積是很容易計算，但要分解兩

個大素數(shù)的乘積卻是非常困難的，它屬于ＮＰ－完全類，是一種冪模運算的加密體制”

什么是盲簽名，盲簽名的過程119.盲簽名是一種特殊的數(shù)字簽名，他與通常的數(shù)字簽名的不同之處在于，簽名者并不知道它所要簽發(fā)文件的具體內容。（不可偽造性、不可抵賴性、盲性、不可跟蹤性）

過程：消息 →用戶盲交換 →簽名者生成簽名 →用戶脫盲交換 →最后簽名

電子現(xiàn)金的三方及他們之間的關系126，1、取款? U 用身份認證協(xié)議向B證明身份? U將N份電子現(xiàn)金文件m(內含金額、用戶ID及唯一的隨機數(shù)等信息)用不同的盲因子盲化后交給B?B隨機選擇一部分(如：N一1個)文件，向U 索要盲因子，恢復出文件(去盲)，審查內容是否符合要求.? 如果審查通過，B從未審查的文件中任取一份盲簽名，并發(fā)給U，從U 的帳戶中減去相應金額；否則協(xié)議終止? U對收到的簽名文件去盲，得到電子現(xiàn)金。

2、支付U 與C交易時，把電子現(xiàn)金交給C

? C驗證B的簽名，如是偽造的，則拒收；否則進一步檢測用戶(可選)，通過后接受電子現(xiàn)金，提供等價的服務。

3、存款C向B遞交電子現(xiàn)金和帳戶信息

? B驗證簽名，若是偽造的，則拒收；否則查詢數(shù)據(jù)庫是否有相同的簽名(防止重復使用電子現(xiàn)金)，若找到則C或U 重用電子現(xiàn)金，拒收；否則接受，在C的帳戶中加上相應金額，在數(shù)據(jù)庫中添加簽名。電子投票協(xié)議過程，是怎樣實現(xiàn)的（簡答題）１２７

使用盲簽名的情況下，一個電子選舉方案的實施均可按照以下4個基本步驟來完成。

U：投票人；R：注冊機構，審核投票人資格；V：投票機構，接受投票

1、注冊：U-R：U證明自己的身份，并提交兩張內容分別為yes和no的選票，選票分別盲化；

R-U：R確認U的身份合法，并尚未參加投票，若符合條件則將兩張選票簽名后返回給U，否則拒絕U的請求。

2、投票U：去盲后得到兩張合法選票；

U-V：U按照自己的意愿向V提交一張選票，并用V的公鑰加密后發(fā)送給V；

V-U：V用私鑰解密后，驗證簽名。若簽名有效，再查看數(shù)據(jù)庫，選票中的序列號是否有記錄。若有則為重復選票，否則，計票，并記錄該序列號。

3、計票V統(tǒng)計選票，并公布結果，以及選票對應的序列號。

4、驗證投票者驗證自己的選票是否被正確統(tǒng)計在選舉結果中。

代理簽名的分類129（選擇題）代理簽名分為三大類：完全代理簽名、部分代理簽名和具有證書的代理簽名。

什么是PK，PKI的目標及優(yōu)勢

PKI是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。任何以公鑰技術為基礎的安全基礎設施都是PKI。

PKI的主要目標：通過自動管理密鑰和證書，為用戶建立起一個安全的網絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便地使用加密和數(shù)字簽名技術，從而保證網上數(shù)據(jù)的機密性、完整性、有效性。

PKI的優(yōu)勢：密碼技術，能夠支持可公開驗證并無法仿冒的數(shù)字簽名，從而在支持可追究的服務上具有不可替代的優(yōu)勢。

由于密碼技術的采用，保護機密性是PKI最得天獨厚的優(yōu)點。

由于數(shù)字證書可以由用戶獨立驗證，不需要在線查詢，原理上能夠保證服務范圍的無限制地擴張，這使得PKI能夠成為一種服務巨大用戶群的基礎設施。

PKI提供了證書的撤銷機制，從而使得其應用領域不受具體應用的限制。

PKI具有極強的互聯(lián)能力。PKI中各種互聯(lián)技術的結合使建設一個復雜的網絡信任體系成為可能。.PKI是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。

一個標準的X.509數(shù)字證書包含以下一些內容：

①證書版本號：②證書序列號：③簽名算法標示符：④頒發(fā)機構名稱：這是必須說明的；⑤有效期：證書

有效的時間段，包括生效日期、時間和失效日期、時間⑥證書用戶名（包括國家、省市、地區(qū)、組織機構、單位部門、通用名還可以包括Ｅ－ｍａｉｌ地址和個人信息）⑦證書持有者公鑰信息：證書持有者的公有密鑰值和公有密鑰使用的算法標識符–這是必須說明的；⑧頒發(fā)者唯一標識符：⑨證書持有者唯一標識符：⑩簽名值，證書簽發(fā)機構對證書上述內容的簽名值。

申請：在線申請，離線申請。在線申請通過瀏覽器或其他應用系統(tǒng)，用于普通用戶證書。離線申請一般通過人工方式去證書機構受理點辦理證書申請手續(xù)，用于比較重要的場合，如服務器證書和商家證書。

撤銷：用戶向特定操作員發(fā)一份加密簽名郵件，聲明自己希望撤銷。操作員打開郵件，填寫CRL注冊表，并且進行數(shù)字簽名，提交給CA,CA操作員驗證注冊機構操作員的數(shù)字簽名，批準用戶撤銷證書，并且更新CRL，然后CA將不同格式的CRL輸出給注冊機構，公布到安全服務器上，這樣其他人可以通過訪問服務器得到CRL。

將客戶端發(fā)來的數(shù)據(jù)解密；將解密后的數(shù)據(jù)分解成原始數(shù)據(jù)，簽名數(shù)據(jù)和客戶證書三部分；用CA根證書驗證客戶證書的簽名完整性；檢查客戶證書是否有效（當前時間在證書結構中所定義的有效期內）；檢查客戶證書是否作廢；驗證客戶證書結構中的證書用途；客戶證書驗證原始數(shù)據(jù)的簽名完整性。

1．通過PKI可以構建一個可管、可控、安全的互聯(lián)網絡；

通過認證機制建立證書服務系統(tǒng)，利用證書綁定每個網絡實體的公鑰，使網絡的每個實體均可識別，從而解決“你是誰”的問題。2．通過PKI可以在互聯(lián)網中構建一個完整的授權服務體系；構建授權服務系統(tǒng)，利用私鑰的唯一性，保證使用者的權限。解決“你能干什么”的授權問題，保障領導的權益。3．通過PKI可以建設一個普適性好、安全性高的統(tǒng)一平臺；可以對物理層、網絡層和應用層進行系統(tǒng)的安全結構設計，構建統(tǒng)一的安全域?？梢栽谠丶墝崿F(xiàn)簽名和加密等功能，通過XML技術提供跨平臺和移植的業(yè)務數(shù)據(jù)，提高平臺的普適性、安全性和可移植性。

（ipsec隧道模式及ipsec傳輸模式）

ESP同AH一樣是提供IP的安全性，但它比AH有更強的安全性。ESP的認證服務是通過使用消息認證碼(MAC)來實現(xiàn)，這與AH認證的使用一樣通過使用HMAC來達到對數(shù)據(jù)包的認證和完整性檢測。ESP協(xié)議可以單獨使用也可以與AH結合使用。

ESP 頭可以放置在 IP 頭之后、上層協(xié)議頭之前（傳送層），或者在被封裝的 IP 頭之前（隧道模式）。ESP 包含一個非加密協(xié)議頭，后面是加密數(shù)據(jù)。

ＥＤＩ（電子數(shù)據(jù)交換協(xié)議）是一種在公司之間傳輸訂單、發(fā)票等作業(yè)文件的電子化手段。

包含了三個方面的內容：計算機應用、通信、網絡和數(shù)據(jù)標準化。計算機應用是ＥＤＩ的條件，通信環(huán)境是ＥＤＩ的應用基礎，標準化是ＥＤＩ的特征。

數(shù)字信封（問答）212.數(shù)字信封是用來確保信息安全傳輸?shù)囊环N機制?？朔藢ΨQ密鑰體制中的對稱密鑰分發(fā)困難和公有密鑰加密中加密時間過長的問題。實現(xiàn)過程如下：a.加密信息：產生一個對稱密鑰K；用對稱密鑰加密信息I，得到I~；獲得接收方的公約；用接收方的公鑰對對稱密鑰K加密，得到K~（數(shù)字信封）；發(fā)送{K~，I~}；b.解密信息：收至{K~,I~}；用自己的私鑰解密K~，得到原來的對稱密鑰K；再用K解密I~，得到原來的I。數(shù)字簽名（問答）213.a.簽名信息：對信息M進行哈希函數(shù)處理，生成摘要K；用發(fā)送者的私鑰加密K來獲取數(shù)字簽名S；發(fā)送(M,S);b.驗證簽名信息：接收（M,S）,并且把它們區(qū)分開；對接收到的信息M進行哈希函數(shù)處理，生成摘要K~；獲取發(fā)送者的公鑰；用公鑰解密S，來獲取K；比較K和K~，如果兩者是一樣的，及說明信息在發(fā)送過程中沒有被篡改，反之則說明信息已被篡改或信息發(fā)送方并不是你所期待的發(fā)送者。

電子商務支付安全6要素ppt,機密性、完整性、認證性、不可否認性、不可拒絕性、訪問控制性

電子商務環(huán)境體系安全: a.法律體系b.信用體系c.隱形體系d.道德體系e.應急響應體系f.風險控制體系什么是誠實、誠信、尊信用42.道德的作用43.什么叫做應急響應44.誠實就是以本真面目為人處世，以真心待人接物，不做假、不虛偽

信用是一種德行，就是要遵守自己做出的承諾

尊重：電子商務活動中，尊重具體化為對于人（包括法人）的特定權力的尊重，如對電子商務主體的人格權、隱私權、知識產權的尊重等

公正：即不偏私，不以不平等的尺度分別要求自己與他人。電子商務中公正表現(xiàn)為參與交易活動的雙方在權利和義務上是對等的。

道德的作用機制兩個方面：

1、社會的道德輿論；

2、主體的道德良心。

應急響應：“Incident Response”或“Emergengcy Response”,通常是指一個組織為了應對各種意外事件的發(fā)生所做的準備及在事件發(fā)生后所采取的措施。

應急響應活動的內容：1.“未雨綢繆”：事前做好準備；2.“亡羊補牢”：事后采取措施。

應急響應活動的分類

1、公益性應急響應活動：政府或公益性組織資助的，對社會提供的公益性的服務

2、內部應急響應活動：組織內部的應急響應活動

3、商業(yè)的應急響應活動:專門的商業(yè)機構開展的應急服務，提供外包應急服務

電子商務企業(yè)風險管理程序50.。（風險識別、風險分析、風險應對、風險監(jiān)控）

電子商務的定義：電子商務（Electronic Commerce）是各種具有商業(yè)活動能力和需求的實體為了跨越時空限制，提高商務活動效率，而采用計算機網絡和各種數(shù)字化傳媒技術等電子方式實現(xiàn)商品交易和服務交易的一種貿易形式。電商道德問題：商業(yè)欺詐、商業(yè)誹謗、網上隱私、商業(yè)信息的安全、商業(yè)信用問題 電子商務的安全涉及兩個方面：

? Internet安全威脅：

1、黑客攻擊：破壞性攻擊與非破壞性攻擊，主要手段如

下：木馬程序攻擊、信息炸彈攻擊、拒絕服務攻擊、網絡監(jiān)聽攻擊、密碼破解攻擊；

2、計算機病毒的攻擊：具有傳染性的一段程序，破壞計算機系統(tǒng)的正常運行；

3、安全產品使用不當：安全產品的配置具有一定的專業(yè)性；

4、缺乏網絡安全管理制度）

?（商務交易安全威脅：

1、在線交易主體的市場準入機制；

2、信用風險；

3、電

子合同風險；

4、電子支付風險；

5、虛擬財產保護風險）

電子商務交易安全要求：①交易數(shù)據(jù)的傳輸安全：交易數(shù)據(jù)和信息的保密要求、交易數(shù)據(jù)和信息的完整性要求、交易各方身份的可認證性要求、交易本身的不可抵賴性要求、交易過程的有效性、訪問控制性。②電子商務的支付安全

電子商務安全主要體系在四個方面：

1.環(huán)境體系安全；2.技術安全；3.管理安全；4.應用安全；

? 1）法律體系：安全的電子商務必須依靠法律手段、行政手段和技術手段的完美結合來保障各方的利益。（2）信用體系商業(yè)信用的缺乏已經嚴重制約著中國電子商務的發(fā)展。（3）隱私體系網絡隱私數(shù)據(jù)的安全保障，成為電子商務發(fā)展首要解決的問題。（4）道德體系傳統(tǒng)商務中的道德問題在電子商務中變得更為嚴重。（5）應急響應體系 建立電子商務賴以生存的網絡和計算機系統(tǒng)的應急響應機制。（6）風險控制體系

? 技術安全：（1）密碼學技術：對稱密碼體制和非對稱密碼體制（2）認證機制；數(shù)學方式、物理方式、生物方式；（3）數(shù)字簽名：哈希函數(shù)，不同長度的數(shù)據(jù)生成定長的摘要，不同文件的摘要不同。（4）PKI：“公鑰基礎設施”，能夠為所有網絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系。（5）通信和交易協(xié)議：IPSec協(xié)議、SSL協(xié)議、SET協(xié)議、EDI協(xié)議； RADIUS協(xié)議：AAA(Authentication認證，Authorization授權，Accounting 計費)

? 務安全、電子郵件安全。管理安全

電子商務企業(yè)風險管理程序:風險識別—風險分析—風險應對—風險監(jiān)控

1、風險識別:收集整理可能的風險，形成風險列表

2、風險分析:確定風險對企業(yè)的影響，進行量化估計;風險影響指標、風險概率、風險值

3、風險應對:制定風險應對策略，編制風險應對計劃;可規(guī)避性、可轉移性、可緩解性、可接受性

第二篇：電子商務安全案例總結

電子商務安全案例總結

電子商務從產生至今雖然時間不長，但發(fā)展十分迅速，已經引起各國政府和企業(yè)的廣泛關注和參與。但是，由于電子商務交易平臺的虛擬性和匿名性，其安全問題也變得越來越突出，近些年的案例層出不窮。

1.臺灣黑客對某政府網站的攻擊（1999年8月） 該網站運行的系統(tǒng)是SunOS，版本比較舊。當時大陸黑客出于對李登輝“quot;兩國論”quot;謬論的憤慨，為譴責李登輝的分裂行徑，于8月份某日，一夜之間入侵了數(shù)十個臺灣政府站點。臺灣黑客采取了報復行動，替換了這個網站的首頁。經本站技術人員P分析，在該系統(tǒng)上實際存在至少4個致命的弱點可以被黑客利用。其中有兩個RPC守護進程存在緩沖區(qū)溢出漏洞，一個CGI程序也有溢出錯誤。對這些漏洞要采用比較特殊的攻擊程序。但臺灣黑客并沒有利用這些比較高級的攻擊技巧，而是從一個最簡單的錯誤配置進入了系統(tǒng)。原來，其缺省帳號infomix的密碼與用戶名相同!這個用戶的權限足以讓臺灣黑客對web網站為所欲為。從這件事情可以看出，我們有部分系統(tǒng)管理員不具備最起碼的安全素質。

2.東亞某銀行（1999年12月）

該網站為WindowsNT 4.0，是這個國家最大的銀行之一。該網站BankServer實際上有兩道安全防線，首先在其路由器的訪問控制表中(ACL)做了嚴格的端口過濾限制，只允許對80、443、65300進行incoming訪問，另一道防火墻為全世界市場份額最大的軟件防火墻FW，在FW防火墻上除了端口訪問控制外，還禁止了很多異常的、利用已知CGI bug的非法調用。在12月某日，該銀行網站的系統(tǒng)管理員Ymouse(呢稱)突然發(fā)現(xiàn)在任務列表中有一個殺不死的CMD.exe進程，而在BankServer系統(tǒng)上并沒有與CMD.exe相關的服務。該系統(tǒng)管理員在一黑客聊天室向本站技術人員F求救。F認為這是一個典型的NT系統(tǒng)已經遭受入侵的跡象。通過Email授權，F(xiàn)開始分析該系統(tǒng)的安全問題，從外部看，除004km.cning的可疑通信，卻發(fā)現(xiàn)BankServer正在向外連接著另一臺NT服務器Wserver的139端口。通過進一步的分析，證實有人從BankServer登錄到了Wserver的C盤。Wserver是一臺韓國的NT服務器，不受任何安全保護的裸機。F對Wserver進行了一次簡單的掃描，結果意外地發(fā)現(xiàn)Wserver的管理員帳號的密碼極為簡單，可以輕易獲取對該系統(tǒng)的完全控制。更令人吃驚的是，在這臺韓國的服務器的C盤上，保存著上面提到的東亞某銀行的一個重要數(shù)據(jù)庫文件！更多的文件正在從BankServer上往這臺韓國的Wserver上傳送！

3.借刀殺人，破壞某電子公司的數(shù)據(jù)庫(2001年2月12日)1999年11月該網站運行于Windows NT 4.0上,web server為IIS4.0,補丁號為Service Pack5。該網站管理員在11月的某一天發(fā)現(xiàn)其web網站上的用戶資料和電子配件數(shù)據(jù)庫被入侵者完全刪除!嚴重之處更在于該數(shù)據(jù)庫沒有備份，網站運行半年來積累的用戶和資料全部丟失。系統(tǒng)管理員反復檢查原因，通過web日志發(fā)現(xiàn)破壞者的調用web程序記錄，確定了當時用戶的IP是202.103.xxx.xxx(出于眾所周知的原因這里隱藏了后兩位)，而這個IP來自于某地一個ISP的一臺代理服務器。這個202.103.xxx.xx的服務器安裝了Wingate的代理軟件。破壞者瀏覽電子公司的網站是用該代理訪問的。這件事情給電子公司帶來的損失是很嚴重的，丟失了半年的工作成果。入侵者同時給202.103.xxx.xxx帶來了麻煩，電子公司報了案，協(xié)查通報到了202.103.xxx.xxx這個ISP所在地的公安局。該代理服務器的系統(tǒng)管理員是本站一位技術人員F的朋友。F通過對受害者的服務器進行安全檢查發(fā)現(xiàn)了原因。首先，其端口1433為開放，SQL數(shù)據(jù)庫服務器允許遠程管理訪問；其次，其IIS服務器存在ASP的bug，允許任何用戶查看ASP源代碼，數(shù)據(jù)庫管理員帳號sa和密碼以明文的形式存在于ASP文件中。有了這兩個條件，破壞者可以很容易地連上SQL數(shù)據(jù)庫，以最高身份對數(shù)據(jù)庫執(zhí)行任意操作。對于該漏洞的補丁，請下載本站的ASP bug補丁修復程序。

4.熊貓燒香（2006年12月）

2006年12月初,我國互聯(lián)網上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種.一只憨態(tài)可掬,頷首敬香的“熊貓”在互聯(lián)網上瘋狂“作案”.在病毒卡通化的外表下,隱藏著巨大的傳染潛力,短短三四個月,“燒香”潮波及上千萬個人用戶,網吧及企業(yè)局域網用戶,造成直接和間接損失超過1億元.2007年2月3日,“熊貓燒香”病毒的制造者李俊落網.李俊向警方交代,他曾將“熊貓燒香”病毒出售給120余人,而被抓獲的主要嫌疑人僅有6人,所以不斷會有“熊貓燒香”病毒的新變種出現(xiàn).李俊處于鏈條的上端,其在被抓捕前,不到一個月的時間至少獲利15萬元.而在鏈條下端的涉案人員張順目前已獲利數(shù)十萬了.一名涉案人員說,該產業(yè)的利潤率高于目前國內的房地產業(yè).有了大量盜竊來的游戲裝備,賬號,并不能馬上兌換成人民幣.只有通過網上交易,這些虛擬貨幣才得以兌現(xiàn).盜來的游戲裝備,賬號,QQ賬號甚至銀行卡號資料被中間批發(fā)商全部放在網上游戲交易平臺公開叫賣.一番討價還價后,網友們通過網上銀行將現(xiàn)金轉賬,就能獲得那些盜來的網絡貨幣.李俊以自己出售和由他人代賣的方式,每次要價500元至1000元不等,將該病毒銷售給120余人,非法獲利10萬余元.經病毒購買者進一步傳播,該病毒的各種變種在網上大面積傳播.據(jù)估算,被“熊貓燒香”病毒控制的電腦數(shù)以百萬計

5.華碩官方網站遭黑客攻擊 公司被迫關閉服務器（2011年4月6日）

Exploit Prevention Labs的首席技術官羅杰-湯姆森（Roger Thompson）透露，該代碼隱藏在網站主頁的一個HTML元素中，并試圖從另一臺服務器上下載惡意代碼。截止周五下午，這臺服務器已經停止工作，雖然黑客們還可轉移攻擊目標，不過此次攻擊的危險性已經下降。4月6日據(jù)外電報道電腦零部件生產商華碩的網站遭到黑客攻擊，黑客利用本周才修復的一個Windows系統(tǒng)中的緊急漏洞，通過該網站的服務器發(fā)送惡意代碼。Exploit Prevention Labs的首席技術官羅杰-湯姆森（Roger Thompson）透露，該攻擊代碼隱藏在網站主頁的一個HTML元素中，并試圖從另一臺服務器上下載惡意代碼。截止周五下午，這臺服務器已經停止工作，雖然黑客們還可轉移攻擊目標，不過此次攻擊的危險性已經下降。

通過上述案例可以看出隨著互聯(lián)網和電子商務的快速發(fā)展,利用網絡犯罪的行為會大量出現(xiàn),為了保證電子商務的順利發(fā)展,法律保障是必不可少的.目前對我國的網絡立法明顯滯后,如何保障網絡虛擬財物還是個空白.除了下載補丁,升級殺毒軟件外,目前還沒有一部完善的法律來約束病毒制造和傳播,更無法來保護網絡虛擬錢幣的安全.電子商務交易安全的一些典型技術和協(xié)議都是對有關電子商務交易安全的外部防范，但是要想使一個商用網絡真正做到安全，不僅要看它所采用的防范措施，而且還要看它的管理措施。只有將這兩者綜合起來考察，才能最終得出該網絡是否安全的結論。因此，只有每個電子商務系統(tǒng)的領導、網絡管理員和用戶都能提高安全意識，健全并嚴格有關網絡安全措施，才能在現(xiàn)有的技術條件下，將電子商務安全風險降至最低.

第三篇：電子商務安全

電子商務安全

一、IBM、HP公司是如何展開電子商務的，他們有哪些好的電子商務安全措施以及他們對電子商務有什么新的看法。

IBM的展開“電子商務e代”

1997年3月，IBM第一個提出“電子商務”的概念，希望以此來推動IBM的整體業(yè)務，包括軟件、硬件與服務。以當年美國為例，只有20％的美國人了解“電子商務”。IBM為了推廣“電子商務”的概念發(fā)動了一個大型品牌營銷戰(zhàn)役。IBM當時的策劃營銷宣傳戰(zhàn)的主旨是，借助互聯(lián)網引起討論電子商務問題的熱潮。IBM采取了全方位的品牌傳播策略，以使目標受眾群理解電子商務的概念，認識到它的優(yōu)勢。當時電子商務方興未艾，營銷宣傳戰(zhàn)役明確了電子商務所面臨的問題，將IBM定位為解決問題的方案提供者，從而使IBM在虛擬世界新興的“圈地運動”中，奪取了更廣泛的領地。整個戰(zhàn)役十分成功，同時引發(fā)了全球的電子商務熱潮。網絡發(fā)展的命運確令人們始料不及。2000年下半年，網絡經濟泡沫破裂，大批.com公司倒閉，人們依托互聯(lián)網的電子商務能否真正盈利，深表懷疑。此時，誰如果能夠迅速指出電子商務的發(fā)展方向，闡明發(fā)展前景，必將獲得電子商務進入大發(fā)展時期的主動權與領導權。

IBM推出“電子商務e代”的營銷宣傳戰(zhàn)役。IBM通過整個戰(zhàn)役希望達到以下兩個目標：第一、增加品牌認知度；第二、保持與電子商務概念緊密聯(lián)系的領導地位。

這次的宣傳戰(zhàn)主要是推出IBM對于電子商務的全新詮釋。宣傳戰(zhàn)前后分為兩個戰(zhàn)役。前一個戰(zhàn)役的主題信息是“宣告電子商務的本質：就是商務”；緊接著的后一戰(zhàn)役，著力推廣“電子商務基礎設施與電子商務解決方案”的核心思想。IBM HP安全措施：惠普安全智能和風險管理平臺可以幫助客戶轉型其安全環(huán)境的關鍵，它是一個整合與關聯(lián)平臺，能夠在成百上千的輸入源中尋找威脅模式。這些輸入源包括日志文件、應用安全情報、防火墻和入侵檢測，以及保護服務數(shù)據(jù)。該平臺包括ArcSight Express 3.0，通過CORR引擎驅動的先進的日志分析、關聯(lián)分析和報告功能，幫助客戶檢測并防御網絡威脅。CORR將每秒處理的事件數(shù)量提升500%，從而加快了分析和檢測速度。它還將每個ArcSight設備上可存儲和可搜索的數(shù)據(jù)量提高1000%，從而降低了成本。現(xiàn)在很多網絡攻擊80%都是從應用層面開展的，惠普Fortify安全中心通過靜態(tài)編碼分析，識別并消除應用漏洞，通過消除已部署應用中的安全隱患，保護軟件免受網絡工具，為安全的應用提供更快的價值轉化。

IBM、HP公司對電子商務新的看法

2010年 3月 5日，IBM 在古都西安成功舉辦了“2010 IBM 智慧的地球之動態(tài)架構高峰論壇”。會議當天盛況空前，到會專家與現(xiàn)場 149名客戶嘉賓，共同探討了如何在“智慧的地球”理念下，創(chuàng)建一個靈活、彈性、智能、面向服務的世界級數(shù)據(jù)中心，使之成為探索創(chuàng)新商業(yè)模式的“智慧”引擎。會議圍繞依托動態(tài)架構創(chuàng)建世界級數(shù)據(jù)中心，帶來了云計算、動態(tài)工作負載優(yōu)化、業(yè)務連續(xù)性規(guī)劃

等多領域精彩內容；同時，期待已久的 POWER7 也隆重登場，帶來了高端服務器發(fā)展的最新旗艦！

惠普海航戰(zhàn)略合作四大領域 信息產業(yè)化突破未來。中國惠普有限公司與海航集團有限公司在海南省?？谑泄餐炇鹆藨?zhàn)略性合作框架協(xié)議。根據(jù)協(xié)議，海航集團和惠普公司將在四大領域建立戰(zhàn)略合作伙伴關系：雙方將共建海航-惠普信息管理培訓中心和海航新一代綠色數(shù)據(jù)中心、合作運營互聯(lián)網數(shù)據(jù)中心

（IDC），并在IT基礎架構產品和解決方案領域進行深入合作，以推動地區(qū)和相關行業(yè)的信息化進程?；萜展救蚋笨偛?、中國惠普總裁符標榜，中國惠普副總裁潘家馳，海航集團董事局董事長陳峰，海航集團執(zhí)行總裁助理喻龑冰等出席了簽字儀式。

海航集團執(zhí)行總裁助理兼信息管理部總經理喻龑冰說：“在數(shù)字化戰(zhàn)略的指引下，經過多年的不斷發(fā)展，海航集團信息化建設取了驕人的成果，在2008年中國企業(yè)信息化500強中排名第31名。在服務集團信息化的過程中，海航集團旗下的海南海航航空信息系統(tǒng)有限公司在IT技術、產品、人才等方面實現(xiàn)了雄厚的積累，通過多次卓越的技術實踐為海南經濟社會的發(fā)展作出了貢獻。為了不斷加強海航的信息化建設力度，實現(xiàn)信息產業(yè)化的發(fā)展目標，進一步推動區(qū)域經濟的發(fā)展，海航希望通過強強合作，借助惠普公司的力量加快這一進程。海航相信，惠普在企業(yè)戰(zhàn)略規(guī)劃、新一代數(shù)據(jù)中心、IT基礎設施和服務等方面的領先技術和雄厚實力，將為海航的戰(zhàn)略發(fā)展提供更多新鮮血液。”惠普公司全球副總裁、中國惠普有限公司總裁暨中國惠普企業(yè)計算及專業(yè)服務集團總經理符標榜表示：“海航是中國信息化建設領域的領導者，制定了面向未來的清晰發(fā)展戰(zhàn)略?；萜帐侨蜃畲蟮腎T企業(yè)之一，也是全球新一代數(shù)據(jù)中心建設的領導者，以及全球信息服務業(yè)的領導者。此次戰(zhàn)略合作，將惠普公司在企業(yè)戰(zhàn)略和信息化規(guī)劃、新一代綠色數(shù)據(jù)中心建設以及IT設備和IT外包服務等方面的優(yōu)勢，與海航集團的信息化建設和信息產業(yè)化發(fā)展戰(zhàn)略相結合，全面擴展了雙方既有的合作關系，加快了海航集團在信息服務領域的發(fā)展步伐。雙方的合作同時也將更好地促進海南本地的IT人才培養(yǎng)，提升就業(yè)，助力海南信息產業(yè)發(fā)展和國際旅游島的建設步伐

二、生活中你所涉及到的和電子商務有關的安全問題都有哪些？

1、對電子商務活動安全性的要求:

(1)服務的有效性要求。

(2)交易信息的保密性要求。

(3)數(shù)據(jù)完整性要求。

(4)身份認證的要求。

2、電子商務的主要安全要素

(1)信息真實性、有效性。

(2)信息機密性。

(3)信息完整性。

(4)信息可靠性、可鑒別性和不可抵賴性。

三、作為一名電子商務專業(yè)的學生，請羅列出你記憶中所參與過的電子商務活動并搜集中國2009年電子商務大事記。

中國2009年電子商務大事記：

2009年1月，網易“有道”搜索推出國內首個面向普通大眾提供購物搜索服務的購物搜索，隨后谷歌(中國)也采取市場跟進策略，推出類似搜索產品，這標志著“購物搜索時代”的啟幕。

2009年1月，今日資本、雄牛資本等向京東商城聯(lián)合注資2100萬美元，引發(fā)國內家電B2C領域投資熱。

2009年2月，慧聰網行業(yè)公司獲ISO9001質量管理體系的證書，成國內首家獲得ISO質量管理體系認證的互聯(lián)網企業(yè)。

2009年4月8日，B2B上市公司生意寶宣布“同時在線人數(shù)”與“日商機發(fā)布量”這兩大B2B平臺重要指標，雙雙突破百萬大關，參照國內外同行已位居全球領先水平，僅用兩年走完了同行近10年的歷程，創(chuàng)造了我國B2B乃至電子商務歷史上的又一“中國式速度”。

2009年5月1日起，由中國國際經濟貿易仲裁委員會頒布的《中國國際經濟貿易仲裁委員會網上仲裁規(guī)則》正式施行，該規(guī)則特別適用于解決電子商務爭議。

2009年5月3日，當當網宣布率先實現(xiàn)盈利，平均毛利率達20%，成為目前國內首家實現(xiàn)全面盈利的網上購物企業(yè)。

2009年5月，繼生意寶推出“生意人脈圈”涉水SNS后，淘寶、阿里巴巴也隨之先后推出相應SNS產品，由此，標志著當前最熱門的SNS在我國跨入“電子商務時代”。

2009年6月，寧波市在提出打造“行業(yè)網站總部基地”之后，又宣布打造“電子服務之都”的目標。

2009年6月，視頻網站土豆網、優(yōu)酷網先后啟動將視頻技術與淘寶的網購平臺相結合，共同提升用戶網絡購物的真實體驗，推出“視頻電子商務”應用技術。

2009年6月，“國家隊”銀聯(lián)支付與B2C企業(yè)當當網簽訂合作協(xié)議，這是銀聯(lián)支付成立七年來，首度進入電子商務支付領域，與在線第三方支付市場領導支付寶形成了正面競爭。

2009年7月24日，淘寶網“誠信自查系統(tǒng)”上線，為C2C歷史上規(guī)模最大的一次反涉嫌炒作賣家的自查舉措。

2009年8月，百度宣布以“X2C”為核心的電子商務戰(zhàn)略，并公布“鳳鳴計劃”。

2009年8月，中國電子商務協(xié)會授予金華為“中國電子商務應用示范城市”。2009年9月，卓越亞馬遜再次推出全場免運費與當當網相持，這是兩大行

業(yè)競爭者十年來首次同時免運費，標志著“免運費”將開始成為B2C行業(yè)標準規(guī)則。

2009年9月，“首屆電子商務與快遞物流大會”在杭州休博園召開，其宏觀背景是，物流快遞行業(yè)作為電子商務的支撐產業(yè)之一，近幾年在第三方電子商務平臺的帶動下得到了快速發(fā)展

2009年9月，杭州政府發(fā)布鼓勵電子商務創(chuàng)業(yè)優(yōu)惠政策，杭州市居民在家開網店每月可領200元補貼。

2009年9月，中國電子商務研究中心發(fā)布了《1997—2009：中國電子商務十二年調查報告》，該報告是我國電子商務12年來首份較為系統(tǒng)、全面、詳實的第三方調查報告，首度對我國電子商務12年來發(fā)生的大事記進行了梳理歸類與歷史記錄。

2009年12月，申通“封殺”淘寶，圓通、韻達、中通齊漲價。淘寶、京東商城紛紛自建配送中心。

2009年12月，中國制造網在國內A股市場上市，成為B2B市場中除阿里巴巴、環(huán)球資源、網盛生意寶、慧聰網外的第五家上市公司。

4、請簡單總結2009年電子商務安全領域在國際和國內發(fā)生的重要事件，從中你能得到什么啟發(fā)？

答：1月，淘寶網對外宣布2008年交易額達999.6億元，同比增長131%，已成為亞洲最大網上零售商圈

3月，阿里軟件全面進入管理軟件市場，將投入十億元巨資，向中小企業(yè)推廣管理軟件，并承諾未來三年免費

5月，首屆網貨交易會在廣州舉行

6月，淘寶開放平臺(Taobao Open Platform，簡稱TOP)Beta發(fā)布，“大淘寶戰(zhàn)略”又有了實質性的進展

7月，阿里軟件與阿里巴巴集團研發(fā)院合并

8月，阿里軟件的業(yè)務管理軟件分部注入阿里巴巴B2B公司；作為“大淘寶”戰(zhàn)略的一部分，口碑網注入淘寶，使淘寶成為一站式電子商務服務提供商，為更多的電子商務用戶提供服務

9月，阿里巴巴集團慶祝創(chuàng)立十周年，同時成立阿里云計算

從以上事件中，可以看到電子商務發(fā)展的神速，未來電子商務還有限發(fā)展。

第四篇：電子商務安全

電子商務安全練習題一附答案

(2012-04-03 10:10:09)轉載▼

標簽： 分類： 助理電子商務師試題

it

1、防火墻能夠防范來自網絡內部和外部的的攻擊。(1分)B A、對 B、錯

------------------

2、防火墻的管理一般分為本地管理、遠程管理和（D）。(1分)A、統(tǒng)籌管理 B、登錄管理 C、分類管理 D、集中管理

3、電子商務安全的內容包括(2分)ABC A、電子商務系統(tǒng)安全管理制度 B、商務交易安全 C、計算機網絡安全 D、數(shù)據(jù)安全

4、黑客在網上經常采用的手段包括(1分)D A、占據(jù)內存 B、加密口令 C、虛構產品

D、偷取特權

5、病毒防范制度應該包括(1分)C A、不允許用戶登錄外部網站 B、不泄露管理員密碼

C、不隨意拷貝和使用未經安全檢測的軟件 D、不要隨意發(fā)送郵件

6、下面哪種屬于計算機病毒的特點？(1分)A A、針對性 B、多發(fā)性 C、危險性 D、盲目性

7、下面哪個屬于計算機病毒按照病毒傳染方式的分類？(1分)B A、操作系統(tǒng)病毒 B、引導區(qū)病毒 C、瀏覽器病毒 D、傳輸系統(tǒng)病毒

8、從網絡安全威脅的承受對象看，下面哪個屬于網絡安全威脅的來源？(1分)B A、對交易雙方的安全威脅 B、對數(shù)據(jù)庫的安全威脅 C、對交易平臺的安全威脅 D、對交易客戶的安全威脅

9、網頁病毒多是利用操作系統(tǒng)和瀏覽器的漏洞，使用_____技術來實現(xiàn)的。(1分)A A.ActiveX 和 JavaScript B.Activex 和 Java

C.Java 和 HTML D.Javascritp 和 HTML

10、下述哪一項不屬于計算機病毒的特點？(1分)p107 D A.破壞性 B.針對性 C.可觸發(fā)性 D.強制性

11、病毒程序的引導功能模塊是伴隨著____的運行，將病毒程序從外部引入內存。(1分)C A..com程序 B.郵件程序 C.宿主程序 D..exe程序

12、黑客是指什么？(1分)D A.利用病毒破壞計算機的人 B.穿黑衣的人 C.令人害怕的人

D.非法入侵計算機系統(tǒng)的人

13、黑客主要是利用操作系統(tǒng)和網絡的漏洞，缺陷，從網絡的外部非法侵入，進行不法行為。A A．對 B．錯

14、防火墻的包過濾型是基于應用層的防火墻。(1分)P103 A A．錯

B．對

15、防火墻的代理服務型是基于網絡層的防火墻。(1分)P103 A A.錯 B.對

16、下述哪個是防火墻的作用？(1分)A A.可限制對internet特殊站點的訪問 B.對整個網絡系統(tǒng)的防火方面起安全作用 C.內部網主機無法訪問外部網

D.可防止計算機因電壓過高而引起的起火

17、最難防御的安全問題是病毒攻擊。(1分)A A.錯 B.對

18、下述哪個不是常用國外防病毒軟件？(1分)D A.PC-cillin B.Norton C.Mcafee D.AV95

18、下述哪項不是計算機病毒在技術方面的防范措施？ 1分 理論

A A、不要頻繁更新系統(tǒng)軟件，防止病毒在更新過程中進行感染

B、在系統(tǒng)開機設置中進行設置，防止病毒感染硬盤引導區(qū)

C、選用防病毒軟件對病毒進行實時監(jiān)測

D、及時更新病毒軟件及病毒特征庫，防止新病毒的侵入

19、按照計算機病毒的鏈接方式分類，下述哪個不屬于計算機病毒的分類？分 理論

A

A、感染型病毒

B、源碼型病毒

C、嵌入型病毒

D、外殼型病毒

20、下述哪項是選擇防毒軟件應考慮的要素？ 1分 理論

A A、技術的先進性和穩(wěn)定性、病毒的響應速度

B、技術支持程度、防病毒軟件使用界面是否漂亮

C、用戶的操作系統(tǒng)、技術的先進性和穩(wěn)定性

D、防病毒軟件使用界面是否漂亮、技術支持程度 按照計算機病毒的鏈接方式分類，下述哪個不屬于計算機病毒的分類？ 1分 理論 A A、感染型病毒 B、源碼型病毒 C、嵌入型病毒 D、外殼型病毒

22.下述哪個不是常用的國產防病毒軟件？ A A)PC-clillin B)Kill C)KV3000 D)瑞星

22.特洛伊木馬類型病毒的主要危害是： D A)損害引導扇區(qū)

B)刪除硬盤上的數(shù)據(jù)文件 C)刪除硬盤上的系統(tǒng)文件 D)竊取系統(tǒng)的機密信息

23.計算機的防范應樹立___為主的思想防止病毒進入自己的計算機系統(tǒng)。A A)預防 B)備份 C)檢測 D)隔離

24、計算機病毒能通過下述哪個傳播媒介進行傳播？(1分)C A．電波

B．紙張文件 C．互聯(lián)網 D 空氣

第五篇：電子商務安全技術總結

《電子商務與電子政務安全模型》

讀書筆記

姓名： 黃佳

班級： 2班

學號： 104972101414

學院： 計算機科學與技術

2011年 6 月 29 日

電子商務安全技術總結

引言

電子商務是一種依托現(xiàn)代信息技術和網絡技術集金融電子化、管理信息化、商貿信息網絡化為一體，旨在實現(xiàn)物流、資金流與信息流和諧統(tǒng)一的新型貿易方式，是網絡技術應用的全新 發(fā)展方向。因特網本身具有的開放性、全球性、低成本和高效率的特點成為電子商務的內在特征，并使得電子商務很容易遭到別有用心者的惡意攻擊和破壞，信息的泄露問題也變得日益嚴重。因此，計算機網絡的安全性問題就變得越來越重要，如何保證以網絡為載體的電子商務的安全性 已成為一個不容忽視 的問題。電子商務的安全隱患

電子商務 的活動是在一個開放、虛擬的場所進行的，容易受到黑客的攻擊，普遍存在以下幾種隱患：

(1)信息泄露。攻擊者可能通過截收裝置，截獲機密信息，推斷出有用信息，如消費的銀行帳號、密碼等。交易雙方的內容被第三方竊取，交易一方提供給另一方的文件被第三方使用。

(2)信息破壞。交易信息在網絡上進行傳輸?shù)倪^程中，被他人非法修改、刪除或偽造，使信息失去了真實性和完整性。

(3)身份的識別。如果不進行身份的識別，第三方就有可能假冒交易一方的身份介入交易過程，以破壞交易、破壞一方的信譽或盜取交易成果等。

(4)黑客。黑客利用自己在計算機方面的高超技能，對網絡中的一些重要信息進行修改或偽造，造成重大的經濟損失和極為惡劣的影響。電子商務的安全技術措施

3.1 計算機網絡安全措施

計算機網絡安全的內容包括計算機網絡設備安全、計算機網絡系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證計算機網絡 自身的安全性為目標。計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護系統(tǒng)安全三個方面，各個方面都要結合考慮安全防護 的物理安全、防火墻安全、信息安全、Web安全、媒體安全等等。

（1）保護網絡安全

網絡安全是為保護商務各方網絡端系統(tǒng)之間通信過程的安全性。保證機密性、完整性、認證性和訪 問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下：全面規(guī)劃網絡平臺的安全策略。

1）制定網絡安全的管理措施。2）使用防火墻。

3）盡可能記錄網絡上的一切活動 4）注意對網絡設備的物理保護。5）檢驗網絡平臺系統(tǒng)的脆弱性。6）建立可靠的識別和鑒別機制。（2）保護應用安全

保護應用安全，主要是針對特定應用(如Web 服務器、網絡支付專用軟件系統(tǒng))所建立的安全防護措施，它獨立于 網絡的任何其他安全防護措施 雖然有些防護措施可能是網絡安全業(yè)務的一種替代或重疊，如Web 瀏覽器和web 服務器在應用層上對 網絡支付結算信息包的加密，都通過IP 層加密，但是許多應用還有 自己的特定安全要求。應用層上的安全業(yè)務可以涉及認證、訪問控制、機密性、數(shù)據(jù)完整性、不可否認性、Web 安全性、EDI 和網絡支付等應用的安全性。

（3）保護安全系統(tǒng)

保護安全系統(tǒng)，是指從整體電子商務系統(tǒng)或網絡支付系統(tǒng)的角度進行安全防護，它與網絡系統(tǒng)硬件平臺、操作系統(tǒng)、各種應用軟件等互相關聯(lián)。涉及網絡支付結算的系統(tǒng)安全包含下述一些措施：

1）在安裝 的軟件中，如瀏覽器軟件、電子錢包軟件、支付網關軟件等，檢查和確認未知的安全漏洞。

2）技術與管理相結合，使系統(tǒng)具有最小穿透風險性。如通過諸多認證才允許連通，對所有介入數(shù)據(jù)必須進行審計，對系統(tǒng)用戶進行嚴格安全管理。3）建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

3.2 電子商務交易中的安全協(xié)議

SSL 協(xié)議是美 國Netscape 公司于1996 年提出的一種主要用于W e b 的安全傳輸協(xié)議，可以為服務器和客戶問的通信連接提供數(shù)據(jù)加密、服務器身份驗證和消息完整性等服務，根據(jù)服務器 的選項再提供對客戶端的認證。SSL 協(xié)議要求 建立在可靠的傳輸層協(xié)議上，如TCP，同時，高層的應用協(xié)議，如HTTP、FTP、TELNET 等可以透明地建立于SSL 協(xié)議之上。

SSL 協(xié)議是 由SSL 記錄 協(xié)議、SSL 握手協(xié) 議和SSL 警報協(xié)議組成 的。SSL 握手協(xié)議被用來在客戶與服務器真正傳輸應用層數(shù)據(jù)之前建立安全機制。當客戶與服務器第一次通信時，雙方通過握手協(xié)議在版本號、密鑰交換算法、數(shù)據(jù)加密算法和Hash 算法上達成一致，然后互相驗證對方身份，最后使用協(xié)商好的密鑰交換算法產生一個只有雙方知道的秘密信息，客戶和服務器各自根據(jù)此秘密信息產生數(shù)據(jù)加密算法和Hash 算法參數(shù)。SSL 記錄協(xié)議根據(jù)SSL 握手協(xié)議協(xié)商的參數(shù)，對應用層送來的數(shù)據(jù)進行加密、壓縮、計算消息鑒別碼MAC，然后經 網絡傳輸層發(fā)送給對方。SSL 警報協(xié)議用來在客戶和服務器之間傳遞SSL 出錯信息。

在電子商務交易過程中，由于有銀行參與，按照SSL 協(xié)議，客戶的購買信息首先發(fā)往商家，商家再將信 息轉發(fā)銀行，銀行驗證客戶的信息后，通知商家付款成功，商家再通知客戶購買成功，并將商品寄送客戶。在上述流程中我們也可以注意到，SSL 協(xié)議有利于商家而不利于客戶?？蛻粜畔⑹紫葌鞯缴碳遥碳议喿x后再傳到銀行，這樣，客戶資料的安全性便受到威脅。商家認證客戶是必要的，但整個過程中缺少了客戶對商家的認證。在電子商務的開始階段，由于參與電子商務的公司大都是一些大公司，信譽較高，這個問題沒有引起人們的重視。隨著 電子商務參與的廠商迅速增加，對廠商的認證問題越來越突出，SSL 協(xié)議的缺點完全暴露出來。

3.3 加密技術

加密技術分為私鑰加密和公鑰加密技術。

私鑰加密(又稱對稱加密)的特點是文件的加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰。私鑰加密的優(yōu)點：具有很高的保密性，算法使用簡單快捷，密鑰較短，且破譯困難；通信雙方不僅可以把數(shù)據(jù)加密發(fā)給對方，而且可以把對方發(fā)來的加密文件進行解密。只要密鑰沒有泄露，并且能夠證 明發(fā)送方身份的合法性，該方式的保密性就可以得到保證。

私鑰加密的缺點：容易造成密鑰泄露，并且必須要按照安全途徑進行傳遞，而這些恰恰是影響安全性的關鍵因素，所以難于滿足開放式計算機網絡的需求。

公鑰加密又稱非對稱加密，相對于私鑰加密而言，公鑰加密的優(yōu)點是密鑰分配簡單；密鑰的保存量少；可 以滿足互不相識的人之間進行私人談話時的保密性需求；可以完成數(shù)字簽名的數(shù)字鑒別。其缺點就是速度較慢。

公鑰加密技術要求密鑰成對出現(xiàn)，一個為加密密鑰，一個為解密密鑰。在私鑰加密技術中，加密和解密雙方使用相同的密鑰。雙方雖然在通信時加了密，比較保險，但是，密鑰卻要事先約定或通過信使傳遞。如果通過信使傳遞，一方面可能會導致失密；另一方面，在高度自動化的大型計算機 網絡中，用信使傳遞密鑰是不合適的。如果事先約定密鑰，則進行網絡通信的每個人都要保留其他所有人的密鑰，就給密鑰的管理和更新帶來了困難。

公鑰加密正是為了解決這些問題而產生的。公鑰加密算法不需要聯(lián)機密鑰服務器，密鑰分配協(xié)議簡單，所 以極大簡化了密鑰管理。但是，公鑰算法要比私鑰算法慢很多，所以在實際應用中，通常使用公鑰密碼技術交換密鑰，而利用私鑰密碼技術傳遞正文。

3.4 認證技術

認證技術是用電子手段證明發(fā)送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過，認證技術包含數(shù)字簽名和數(shù)字證書兩種。

數(shù)字簽名：數(shù)字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核準和生效的作用。

數(shù)字證書：數(shù)字證書是一個經證書授權中心數(shù)字簽名的，包含公鑰擁有者信息以及公鑰的文件。數(shù)字證書的最主要構成包括一個用戶公鑰，加上密鑰所有者的用戶身份標識符，以及被信任的第三方簽名。第三方一般是用戶信任的證書權威機構(CA)，如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰并得到證書，然后用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，并通過相關的 信任簽名來驗證公鑰的有效性。數(shù)字證書通過標志交易各方身份信息的一系列數(shù)據(jù)，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。

3.5 防火墻

防火墻是保護網絡服務和內部數(shù)字信息時使用最廣泛的技術，它是防御外來攻擊的第一道防護。防火墻是指位于兩個信任度不同的網絡之間(如企業(yè)內部網絡和Inter net 之問)的軟件或硬件設備的組合。它除了用于將企業(yè) 內部局域網與外界Internet 隔離，還可以用于劃分、隔離和控制網絡問的訪問控制。防火墻技術是指在專用設備上使用過濾路由和應用代理技術。

防火墻主要對提供給外界的服務進行控制。一個最簡單的屏蔽入侵的方法就是斷開一切外界的網絡連接，不允許外界訪 問，然而，對那些需要網絡服務(如E-mail、Web服務和TFP)的商業(yè)合作來說，這并不是一個好辦法；反之，如果簡單的使內部設備與外界進行無限制的連接而不考慮計算機的安全，將會使企業(yè)內部信息隨時面臨著被攻擊的危險。因此，防火墻正是它們之間的最好折中方法，它可以在這兩個極端的方法之間實現(xiàn)比較好的安全保障。防火墻有許多形式，可以分為三種：包過濾防火墻、應用級網關和狀態(tài)監(jiān)視器。

結論

電子商務安全技術并不僅限于以上幾種。還有很多其他技術，如物理安全措施、虛擬專用 網(VPN)等，實際應用中應將各種技術結合起來，以最大限度地提高電子商務的安全性。但電子商務的安全運行僅從技術 角度 防范是遠遠不夠的，還必須在加強安全管理的同時健全信用體系、完善法律保障，以確保和促進電子商務的健康發(fā)展。