第三章电子商务安全
【学习目标】
1.掌握电子商务安全的要素;
2.了解防火墙的应用,熟悉防火墙的原理;
3.掌握对称加密和非对称加密的基本原理,以及两种加密的结合使用;
4.了解数字证书技术及身份认证技术;
5.理解电子商务安全协议。
【技能要求】
1.能够使用相关安全软件,熟悉防火墙的配置;
2.能够申请数字证书,安装、使用数字证书。
【核心概念】
防火墙对称加密非对称加密 CA认证数字签名 SSL SET
【开篇案例】
“棱镜门”敲响了网络安全的警钟
2013年6月,前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,并告之媒体何时发表。按照设定的计划,2013年6月5日,英国《卫报》先扔出了第一颗舆论炸弹:美国国家安全局有一项代号为“棱镜”的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。6月6日,美国《华盛顿邮报》披露称,过去6年间,美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。
2013年9月28日,美国“棱镜”项目揭秘者斯诺登提供的文件让美国国安局活动再度曝光。美国国家安全局2010年起即用收集到的资料,分析部分美国公民的“社交连结,辨识他们来往对象、某个特定时间的所在地点、与谁出游等私人信息”。该文件显示,“国安局官员解禁之后,2010年11月起开始准许以海外情报意图来分析电话以及电邮记录,监视美国公民交友网络”。根据美国国安局2011年1月的备忘录,政策转向目的是在帮助该局“发现并追踪”海外情报目标和美国人民之间的关联。该文件指出,美国国安局获得授权,可在
不检查每个电邮地址、电话号码或任何指针的“外来性”情况下,“大规模以图表分析通讯原数据”。
美国决策者意识到,互联网在越来越多的国际事件上可以成为达到美国政治目的、塑造美国全球领导力的有效工具。2011年,以“脸谱网”(facebook)和“推特”(twitter)为代表的新媒体,贯穿埃及危机从酝酿、爆发、升级到转折的全过程,成为事件发展的“催化剂”及反对派力量的“放大器”。同样,类似的事件也在突尼斯和伊朗等国都上演过。
这项代号为“棱镜”(PRISM)的高度机密的行动此前从未对外公开。《华盛顿邮报》获得的文件显示,美国总统的日常简报内容部分来源于此项目,该工具被称作是获得此类信息的最全面方式。一份文件指出,“国家安全局的报告越来越依赖‘棱镜’项目。该项目是其原始材料的主要来源。报道刊出后外界哗然。保护公民隐私组织予以强烈谴责,表示不管奥巴马政府如何以反恐之名进行申辩,不管多少国会议员或政府部门支持监视民众,这些项目都侵犯了公民基本权利。
这是一起美国有史以来最大的监控事件,其侵犯的人群之广、程度之深让人咋舌。
第一节电子商务安全概述
随着互联网的飞速发展与广泛应用,电子商务的应用前景越来越广阔,然而它的安全问题也变得日益严重,在互联网环境下开展电子商务,客户、商家、银行等参与者都对自身安全能否得到保障存在担心。如何创造安全的电子商务应用环境,已经成为社会、企业和消费者共同关注的问题。
电子商务安全是一个多层次、多方位的系统的概念:广义上讲,它不仅与计算机系统结构有关,还与电子商务应用的环境、操作人员素质和社会因素有关,包括电子商务系统的硬件安全、软件安全、运行安全及电子商务立法;狭义上讲,它是指电子商务信息的安全,主要包括信息的存储安全和信息的传输安全。
一、电子商务安全要素
电子商务安全是一个复杂的系统问题,在开展电子商务的过程中会涉及以下几个安全性方面的要素:可靠性、真实性、机密性、完整性、不可否认性。
(一)可靠性
电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统
软件错误、计算机病毒与自然灾害等所产生的潜在威胁,通过控制与预防等来确保系统安全可靠。电子商务系统的安全是保证数据传输与存储以及电子商务完整性检查的基础。系统的可靠性可以通过网络安全技术来实现。
(二)真实性
交易的真实性是指商务活动中交易者身份是真实有效的,也就是要确定交易双方是真实存在的。网上交易的双方可能素昧平生、相隔千里,要进行成功交易的前提条件是要能确认对方的身份是否真实可信。身份认证通常采用电子签名技术、数字证书来实现。
(三)机密性
信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业的商业机密。个人的信用卡号和密码在网上传送时如被他人截获,就可能被盗用;企业的订货和付款信息如被竞争对手获悉,该企业就可能贻误商机。电子商务则建立在一个较为开放的网络环境上,商业保密就成为电子商务全面推广应用的重要障碍。因此要预防非法的信息存取和信息在传输过程中被非法窃取,确保只有合法用户才能看到数据,防止泄密事件。信息的机密性的保护一般通过数据加密技术来实现。
(四)完整性
信息的完整性是指数据在传输或存储过程中不会受到非法修改、删除或重放,以确保信息的顺序完整性和内容完整性。电子商务简化了传统的贸易过程,减少了人为的干预,但却需要维护商业信息的完整与一致。由于数据输入时的意外差错或欺诈行为以及数据传输过程中信息丢失、重复或传送的次序差异,都有可能导致贸易各方收到的信息不一致。信息的完整性将影响到贸易各方的交易与经营策略,保持这种完整性是电子商务应用的基础。数据完整性的保护通过安全散列函数(如数字摘要)与电子签名技术来实现。
(五)不可否认性
交易的不可否认性是指保证发送方不能否认自己发送了信息,同时接收方也不能否认自己接收的信息。在传统的纸面贸易方式中,贸易双方通过在交易合同、契约等书面文件上签名,或是通过盖上印章来鉴别贸易伙伴,以确定合同、契约、交易的可靠性,并能预防可能的否认行为的发生。在电子商务的应用环境中,通过手写签名与印章鉴别已不可能,就需要其他方法实现交易的不可否认。因此,电子商务交易的各方在进行数据信息传输时,必须带有自身特有的,无法被别人复制的信息,以防发送方否认曾经发生过的信息,或接收方否认曾经接收到的信息,确保在交易发生纠纷时可以拿出证据。交易的不可否认性是通过电子签名技术来实现的。
二、电子商务安全体系
电子商务的核心是通过网络技术来传递商业信息并开展交易,所以解决电子商务系统的硬件安全、软件安全和系统运行安全等实体安全问题成为电子商务安全的基础。
电子商务系统硬件(物理)安全是指保护计算机系统硬件的安全,包括计算机的电器特性、防电防磁以及计算机网络设备的安全、受到物理保护而免于破坏、丢失等,保证其自身的可靠性和为系统提供基本安全机制。电子商务系统软件安全是指保护软件和数据不被篡改、破坏和非法复制。系统软件安全的目标是使计算机系统逻辑上安全,主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。根据计算机软件系统的组成,软件安全可分为操作系统安全、数据库安全、网络软件安全、通信软件安全和应用软件安全。
电子商务系统运行安全是指保护系统能连续正常地运行。
对企事业单位来说,为了保证电子商务中计算机与网络实体自身的安全,实际应用中一般选择并综合各类实体安全技术形成一个综合安全体系。这些技术包括数据备份、系统(或者数据库、服务)用户权限管理、服务器配置、VPN、防火墙、入侵检测系统(IDS)、病毒防范等。一般的电子商务客户端使用防火墙、杀毒软件、用户管理等技术来保证安全,而服务器端则会采用代理服务型防火墙、入侵检测技术、双机热备份、数据库与服务的用户权限管理等技术来防止黑客攻击,实现服务器安全。
实现了实体安全,电子商务系统的可靠性就得到了较好的保证,但交易的真实性、机密性、完整性和不可否认性并未能实现,这就需要使用加密技术、电子签名技术和数字认证技术等来构建一个科学、合理的电子商务安全体系。
第二节电子商务安全技术
一、防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境中,尤其是在连接到互联网的内部网络中,防火墙技术使用最普遍。网络防火墙是指在两个网络之间加强访问控制的一整套装置,即防火墙是构造在内部网和外部网之间的保护层,强制所有的连接都必须经过此保护层,并在此进行安全检查和连接(如图3-1所示)。只有被授权的通信才能通过此保护层,从而保护内部网资源免遭非法入侵。
图3-1 防火墙的应用示意图
(一)防火墙的安全策略
为网络建立防火墙,首先需决定此防火墙将采取何种安全策略。通常防火墙采用的安全策略有如下两个基本准则:
1.一切未被允许的访问就是禁止的
基于该准则,防火墙要封锁所有的信息流,然后对希望开放的服务逐步开放。这是一种非常实用的方法,可以形成一个安全的环境,但其安全是以牺牲用户使用的方便为代价的,用户所能使用的服务范围受到较大的限制。
2.一切未被禁止的访问就是允许的
基于该准则,防火墙开放所有的信息流,然后逐项屏蔽有害的服务。这种方法构成了一种灵活的应用环境,但很难提供可靠的安全保护,特别是当保护的网络范围增大时。
总之,从安全性角度考虑,第一种策略更可取一些。因为我们一般很难找出网络的所有漏洞,从而也就很难排除所有的非法服务。而从灵活性和使用方便性的角度考虑,则第二种策略更合适。
(二)防火墙的主要类型
防火墙有多种类型,但大体上可以划分为三类:一类是基于包过滤(packet filter)的防火墙,通常直接转发报文,对用户完全透明,速度较快;第二类是基于代理服务(proxy service)的防火墙,通过代理服务器建立连接,可以有更强的身份验证和日志功能;第三类则是上述两种的结合,即复合型防火墙。
1.包过滤防火墙
包过滤防火墙是最简
单的防火墙,通常只包括对
源和目的IP 地址及端口的
检查(如图3-2所示)。对
用户来说,这些检查是透明
的。包过滤防火墙比其他模
式的防火墙有着更高的网
络性能和更好的应用程序透明性。但是,这种简单性带来了一个严重的问题:过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。包过滤器通常是放在路由器上,大多数路由器都缺省地提供了包过滤功能。现在已出现了智能包过滤器,它与简单包过滤器相比,具有解释数据流的能力。然而,智能包过滤器同样不能对用户进行区分。
2.代理服务型防火墙
代理服务型防火墙使用一个客户程序与特定的中间结点(防火墙)连接,然后中间结点与服务器进行实际连接(如图3-3所示)。
使用代理服务型防火墙,
内部网络与外部网络之间不
存在直接连接,因此即使防火
墙出了问题,外部网络也无法
与内部网络连接,通常称内、
外网之间的中间结点为双端
主机。代理服务器提供了详细
的日志和审计功能,大大提高了网络的安全性,也为改进现有软件的安全性能提供了可能。代理服务运行在双端主机上,但它是基于特定应用的。这样,就必须配置每个应用(如Telnet 、FTP ),而且只要应用程序一升级,原来的代理服务就不再适用了。因此,从这个意义上说,代理服务型防火墙比包过滤防火墙有更多的局限性。另外,这种防火墙常常会使网络性能明显下降,相当多的防火墙不能处理高负载的网络通信。如果防火墙的网络性能差,就很容易受到攻击。
3.复合型防火墙
这种防火墙是把前两类防火墙结合起来,形成新的产品,以发挥各自的优势,克服各自
图3-2 包过滤防火墙的工作原理
图3-3 代理服务器防火墙的工作原理
的缺点,具有对一切连接尝试进行过滤、提取和管理多种状态信息的功能,同时可以智能化地做出安全控制和流量的决策,提供高性能的服务和灵活的适应性,具有网络内外完全透明的特性。
(三)防火墙的主要功能
1.保护易受攻击的服务
防火墙能过滤那些不安全的服务。只有预先被允许的服务才能通过防火墙,强化身份识别体系,防止用户的非法访问和非法用户的访问,这样就降低了受到非法攻击的风险性,大大提高了企业内部网的安全性。
2.控制对特殊站点的访问
防火墙能控制对特殊站点的访问,隐藏网络架构。如有些主机能被外部网络访问而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有电子邮件服务器、FTP服务器和WWW服务器能被外部网访问,而其他访问则被防火墙禁止。
3.集中化的安全管理
对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理。如不使用防火墙,就必须将所有软件分散到各个主机上。
4.检测外来黑客攻击的行动
防火墙集成了入侵检测功能,提供了监视互联网安全和预警的方便端点。
5.对网络访问进行记录和统计
如果所有对互联网的访问都经过防火墙,那么防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑操作时,防火墙能够报警并提供网络是否受到监测和攻击的详细信息。
(四)防火墙的局限性
防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失,主要表现在以下几个方面。
1.只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力。
2.不能解决来自内部网络的攻击和安全问题。
3.不能防止已感染病毒的文件的传输,因为现在的各类病毒种类太多,防火墙无法逐个扫描每个文件来查找病毒。
4.不能防止策略配置不当或错误配置引起的安全威胁。
第五章电子商务组织与管理1。电子商务下企业组织的变迁 答:实体企业(功能化.科层化.集中化.规模化)→虚拟企业(资源分散化。联系信息化.动态联盟.并行分布作业)→企业电子商务(技术基础.组织创新。动态团队.企业文化)→电子商务企业(中介服务.有偿服务.电子经纪) 2.电子商务虚拟企业的基本要素 答:电子商务虚拟企业的基本要素是人,目标和连接。人是虚拟企业的基本存在要素;目标是凝聚虚拟企业的向心力;连接是一个纵横交错的网络。 3.CRM的要点 答:客户关系管理(CRM)作为完整的企业信息化解决方案,帮助解决以客户为中心的经营管理问题,使企业准确把握和快速响应客户的个性化需求,并让客户满意、忠诚,以保留客户,扩大市场。 4.SCM的要点 答:供应链管理(SCM)就是指对整个供应链系统进行计划、协调、操作、控制和优化的各种活动和过程,目标是使供应链上的各个主体形成极具竞争力的战略联盟,并使供应链运行的总成本最小或收益最大. 5 .ERP的要点 答:ERP系统是将企业的物流、资金流和信息流进行全面一体化管理的管理信息系统,一般包括生产控制、物流管理、财务管理、人
力资源管理等通用模块。 6 .BPR的要点 答:BPR就是流程重组,其目的是要对企业的业务流程进行彻底的变革,建立高效的运作机制,从而使企业在激烈的市场竞争中,缩短产品生命周期,降低成本,提高客户的响应度,使客户满意. 7.企业组织与管理如何适应电子商务发展的需要 ?答:传统企业进行EC建设增加网络经营,并且设立电子商务运营团队,把电子商务运营放在公司重要的位置,在销售网站增加团购功能。 第六章电子商务链分析 1、说明电子商务链的框架? 答: 2、电子商务活动的模式有哪些,如何界定? ?答电子商务活动的模式有:业务模式,经营模式,技术模式,资本模式,管理模式,信用模式和风险管理模式。业务模式又被称
第三章电子商务安全 【学习目标】 1.掌握电子商务安全的要素; 2.了解防火墙的应用,熟悉防火墙的原理; 3.掌握对称加密和非对称加密的基本原理,以及两种加密的结合使用; 4.了解数字证书技术及身份认证技术; 5.理解电子商务安全协议。 【技能要求】 1.能够使用相关安全软件,熟悉防火墙的配置; 2.能够申请数字证书,安装、使用数字证书。 【核心概念】 防火墙对称加密非对称加密CA认证数字签名 SSL SET 【开篇案例】 “棱镜门”敲响了网络安全的警钟 2013年6月,前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,并告之媒体何时发表。按照设定的计划,2013年6月5日,英国《卫报》先扔出了第一颗舆论炸弹:美国国家安全局有一项代号为“棱镜”的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。6月6日,美国《华盛顿邮报》披露称,过去6年间,美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。 2013年9月28日,美国“棱镜”项目揭秘者斯诺登提供的文件让美国国安局活动再度曝光。美国国家安全局2010年起即用收集到的资料,分析部分美国公民的“社交连结,辨识他们来往对象、某个特定时间的所在地点、与谁出游等私人信息”。该文件显示,“国安局官员解禁之后,2010年11月起开始准许以海外情报意图来分析电话以及电邮记录,监视美国公民交友网络”。根据美国国安局2011年1月的备忘录,政策转向目的是在帮助该局“发现并追踪”海外情报目标和美国人民之间的关联。该文件指出,美国国安局获得授权,可在
第14章 电子商务 第14.1条定义 就本章而言: 计算设施指用于商用目的的信息处理或存储的计算机服务器和存储设备; 涵盖的人1指: (a) 第9.1条(定义)定义涵盖的投资; (b) 第9.1条(定义)定义的缔约方的投资者,但不包括金融机 构的投资者;或 (c) 第10.1条(定义)定义的缔约方的服务提供者, 但不包括第11.1条(定义)定义的“金融机构”或“缔约方的跨境金融服务提供商”; 数字产品指电脑程序、文本、视频、图像、声音记录,以及其他以数字进行编码和制作用于商业销售或分销,且可通过电子方式进行传输的产品。2、3 电子认证指为电子通信或交易各方提供身份验证并保证电子通信的完整性的过程或行为; 电子传输或通过电子方式传输指通过任何电磁形式进行的传输,包括光子形式; 个人信息指关于已被识别的或可识别的自然人的包括数据在内的任何信息; 贸易管理文件指由缔约方签发或控制的、必须由或为进口商或出 1对于澳大利亚,涵盖的人不包括信用报告机构。 2为进一步明确,数字产品不包括金融工具的数字形式,也不包括货币。 3数字产品的定义不得被理解为缔约方表达对通过电子传输进行的数字产品贸易应被归类为服务贸易或货 物贸易的观点。
口商填写的有关货物进出口的表格;及 非应邀商业电子信息指出于商业或营销目的,通过互联网接入服务提供方,或在缔约方法律法规允许的范围内通过其他电信服务,向电子地址发送的电子信息,该发送未经接收人同意或接收人已明确拒绝而仍发出。 第14.2条范围和总则 1. 各缔约方认识到电子商务所带来的经济增长和机会,以及建立框架以增强消费者对电子商务的信任,避免电子商务使用和发展设置不必要障碍的重要性。 2. 本章应适用于缔约方采取或维持的影响电子方式贸易的措施。 3. 本章不适用于: (a) 政府采购;或 (b) 缔约方或以其名义持有或处理的信息,或与此信息相关 的措施,包括与信息收集相关的措施。 4. 为进一步明确,影响以电子方式交付或提供服务的措施需遵守第9章(投资)、第10章(跨境服务贸易)和第11章(金融服务)相关规定所包含的义务,包括本协定列出的适用于以上义务的例外或不符措施。 5. 为进一步明确,第14.4条(数字产品的非歧视待遇)、第14.11条(通过电子方式跨境传输信息)、第14.13条(计算设施的位置)以及第14.17条(源代码)所包含的义务: (a) 应遵守第9章(投资)、第10章(跨境服务贸易)和第11章 (金融服务)的相关条款、例外和不符措施;及 (b) 应与本协定其他相关条款一同理解。 6. 第14.4条(数字产品的非歧视待遇)、第14.11条(通过电子方式跨境传输信息)、14.13条(计算设施的位置)包含的义务不得适用于根据第9.11条(不符措施)、第10.7条(不符措施)或第11.10条(不
第七章电子商务的安全
1
第二节电子商务安全技术 一、加密技术 加密技术是利用技术手段把原始信息变为乱码(加密)传送,到达目的地 后再用相同或不同的手段还原(解密)信息。原始信息通常称为“明文”,加 密后的信息通常称为“密文”。 加密技术包括两个元素:算法和密钥。算法是将明文与一串字符(密钥) 结合起来,进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换 为明文的算法中输入的一串字符,它可以是数字、字母、词汇或语句。 由此可见,在加密和解密过程中,都涉及信息(明文、密文)、密钥(加 密密钥、解密密钥)和算法(加密算法、解密算法)这3项内容。 常用的现代加密体制有两种:对称加密体 制和非对称加密体制。 (一)对称加密体制 1.对称加密体制的工作过程 图7.1 对称加密体制的工作过程 2.对称加密体制的优点与缺点 对称加密体制具有算法简单,系统开销小;加密数据效率高,速度快的优 点;适合加密大量数据。但是在发送、接收数据之前,对称加密体制需要产生 大量的密钥,所以管理密钥会有一定的难度;第二,在网络通信中,密钥难以 共享;即密钥的分发是对称加密体制中最薄弱、风险最大的环节,而且无法实 现数字签名和身份验证; 3.对称加密体制的算法 目前,比较常用的对称密钥算法有DES(data encryption standard,数 据加密标准)。DES算法是一个对称的分组加密算法。 (二)非对称加密体制 2
1.非对称加密体制的工作过程 图7.2 非对称加密体制的工作过程 2.非对称加密体制的优点与缺点 非对称加密体制在网络中容易实现密钥管理,只要管理好自己的私钥就可以;便于进行数字签名和身份认证,从而保证数据的不可抵赖性;不必记忆大量的密钥,发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。然而非对称加密算法实现过程较复杂,加密数据的速度和效率较低,对大报文加密困难。 3.非对称加密体制的算法 目前,非对称加密体制的算法使用最多的是RSA。RSA是1978年由 R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法,算法以发明者名字的首字母来命名。它是第一个既可用于加密,也可用于数字签名的算法。 一般来说,RSA只用于少量数据加密,在互联网中广泛使用的电子邮件和文件加密软件PGP(pretty good privacy)就是将RSA作为传送会话密钥和数字签名的标准算法。 (三)对称加密体系与非对称加密体系的对比 表7.1 对称加密体系和非对称加密体系的对比 比较项目对称加密体 制 非对称加密体制代表算法DES RSA 密钥数目单一密 钥密钥是成对的 密钥种类密钥是 秘密的一个私有,一 个公开 3
第5章电子商务安全管理 1、电子商务安全的内容包括p128 A、计算机网络安全 B、商务交易安全 C、电子商务系统安全管理制度 D、物流安全 2、电子商务安全的内容不包括(1分)P128 A、电子商务系统安全管理制度 B、商务交易安全 C、交易平台安全 D、计算机网络安全 3、计算机网络安全是指保护计算机网络系统中的硬件,软件和()。P128 A、服务 B、数据资源 C、人员 D、线路 4、以下哪个是网络安全威胁的主要来源之一?P129 A、网络诈骗 B、虚构产品 C、信息泄露 D、拒绝服务攻击 5、下面哪个不属于电子商务安全的威胁(1分)P129 A、计算机病毒 B、网络内部的安全威胁 C、允许服务攻击//dos攻击 D、黑客攻击 6、下面属于黑客在网上经常采用的手段的是?P129 A、寻找系统漏洞 B、更改IP C、偷取特权 D、截取口令 7、黑客主要是利用操作系统和网络的漏洞,缺陷,从网络的外部非法侵入,进行不法行为。(1分)P129 A.对B.错 8、黑客是指什么?(1分)P129 A.利用病毒破坏计算机的人 B.穿黑衣的人 C.令人害怕的人 D.非法入侵计算机系统的人 9、黑客的英文名称是()。 A、heike B、hacker C、waitker D、saidker 10、网络安全威胁的来源包括(2分)P129 A.网络内部的安全威胁 B.拒绝服务攻击 C.操作系统错误 D.计算机病毒 11、从网络安全威胁的承受对象看,网络安全威胁的来源包括(2分)P130 A、对数据库的安全威胁 B、对WWW服务器的安全威胁
C、对客户机的安全威胁 D、对邮件系统的安全威胁 12、从网络安全威胁的承受对象看,网络安全威胁的来源来自(1分)P130 A、对客户机的安全威胁 B、对交易双方身份的安全威胁 C、对交易平台的安全威胁 D、对物流的安全威胁 13、下面哪个不属于网络安全管理的技术手段?多选p131 A、防火墙 B、病毒防治 C、网络系统的日常维护制度 D、保密制度 14、下面哪种属于防火墙的作用(1分)P131 A、增加信息传输速度 B、阻止数据包传送 C、限制他人进入内部网络,过滤掉不安全服务和非法用户。 D、防止计算机病毒复制 15、防火墙可以为监视互联网安全提供方便。(1分)P131 A、对 B、错 16、防火墙主要包括层过滤型和代理服务型两种类型。P131 A、对 B、错 17、防火墙是一种被动式的防护手段。 A、对 B、错 18、防火墙的包过滤型是基于应用层的防火墙。(1分)P131 A.错B.对 19、防火墙的代理服务型是基于网络层的防火墙。(1分)P131 A.错B.对 20、下面哪个关于防火墙的叙述是错误的?1P131 A、防火墙可以限定内部网的用户对互联网上特殊站点的访问。 B、防火墙允许内部网的一部分主机被外部网访问,另一部分被保护起来。 C、防火墙不能防范新的网络安全问题。 D、防火墙能防范来自网络任何位置的攻击。 21、防火墙不能防范来自网络内部的的攻击。P132 A、对 B、错
第四章电子商务安全 4.1计算机网路安全 1对防火墙的描述,请问下述哪个不正确?(1分) A使用防火墙后,内部网主机则无法被外部网访问 B使用防火墙可过滤掉不安全的服务 C使用防火墙可限制对internet特殊站点的访问 D使用防火墙可为监视internet安全提供方便 2防火墙的包过滤型是基于应用层的防火墙。 (1分) A错 B对 3密码安全是保卫交易安全的第一道防线,发生在互联网上的入侵大多是因为使用了一个容易猜测的密码或密码被破译。 (1分) A 对 B 错 4物理隔离可以真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。 (1分) A对 B错 5网络内部的安全威胁是最难防御的安全威胁。(1分) A对B错 6防火墙的类型包括:(1分) A 包过滤型、代理服务型 B 代理服务型、监视安全型 C 包过滤型、限制访问型 D 监视安全型、限制访问型 7虚拟专用网(VPN)是一种利用公共网络来构建的__________技术。 (1分) A公用专用网络B私人专用网络 C Internat D Internet 8下述哪项不是选择防毒软件应考虑的要素? (1分) A防病毒软件使用使用界面是否漂亮B技术支持程度 C技术的先进性和稳定性D病毒的响应速度 9下述哪个工具软件不是中国人开发的。(1分) A RealPlayer B NetAnts C Foxmail D KV江民杀毒王2003 10下述哪个不是常用国外防病毒软件? (1分) A PC-cillin B AV9 C Mcafee D Norton 11下述哪一项不属于计算机病毒的特点?(1分) A破坏性B强制性C可触发性D针对性 12下述哪项是属于计算机病毒特点?(1分) A可执行性B可复制性C隐藏性D并发性 13计算机病毒不仅能够破坏计算机系统的正常运行,而且具有很强的___,一旦病毒进入计算机,就有可能使整个计算机系统瘫痪。 (1分) A破坏性B针对性C传染性D潜伏性 14按照计算机病毒的传染方式进行分类,下述哪个不属于计算机病毒的分类? (1分) A 复制型病毒 B 网页病毒 C 引导区病毒 D 综合型病毒 15网页病毒多是利用操作系统和浏览器的漏洞,使用_____技术来实现的。 (1分) 168 A Java 和 HTML B Activex 和 Java C ActiveX 和 JavaScript D Javascritp 和 HTML 16计算机病毒是隐藏在计算机系统中的 (1分)
电子商务第一章练习题 1 判断题 ⑴ 计算机网又称国际互联网,也被译为因特网。⑵ 电子是手段,商务是目的,做好商务活动才是电子商务的本质。⑶ 电子商务系统就是指在电子虚拟市场进行商务活动的物质基础和商务环境的总称。 ⑷ 网络用户是指连接在互联网上的个人和法人,它们构成电子商务交易的客体。⑸ 网络市场是提供给买卖双方进行网络交易的商品。⑹ 认证中心)是法律承认授权的权威机构,负责发放和管理数字证书,使网上交易的各方能互相确认身份。它是不直接从电子商务交易中获利的第三方机构。⑺ 电子商务产生的源动力是信息技术的进步和社会商业的发展。⑻ 信息技术与社会商业的融合发展,导致了社会网络化、经济数字化、竞争全球化、贸易自由化的趋势不断加强,真正意义上的电子商务正是在这种背景下应运而生。⑼ 电子商务是指交易当事人或参与人,利用计算机技术和网络技术等现代信息技术所进行的某种商务活动。⑽ 信用卡号或银行账号都是电子账户的一种标志。单项选择题 ⑴ 互联网起源于。 A.英国 B.美国 C.法国 D.中国⑵ 因特网又称为网络。
A.国际互联 B.局部计算机 C.城市计算网D.高速信息火车⑶ 中国“政府上网年”是在年提出来的。 A199 B1997 C19D199⑷ 通过互联网网络进行的商务活动称之为。 A.一般电子商务 B.广义电子商务 C.狭义电子商务 D.虚拟电子商务 ⑸ 电子商务系统实际是信息流、物质流、资金流三位一体的一个统一整体。电子商务是以信息流作为指导,通过资金流实现商品的价值,通过物流实现商品的使用价值。三者的关系是的。 A.相互分离各自独立 B.相互联系三位一体 C.既相互分离各自独立,又相互联系三位一体 D.前三者都不是 ⑹ 网络广告宣传就是采用了新媒体的广告形式,通过载体形式传播信息。 A.报纸B.电视 C.广播D.互联网 ⑺ 网上银行是指。 A.在营业厅的银行柜台 B.在互联网上的虚拟银行柜台
复习提问:1、电子商务是否等同与电子商务? 2、请你列举出现实生活中的电子支付实例? 导入新课:用户认为目前网上交易存在的最大问题是什么? 1、安全性得不到保障:23.4%; 2、付款不方便:10.8% 3、产品质量、售后服务及厂商信用得不到保障:39.3% 4、送货不及时:8.6% 5、价格不够诱人:10.8% 6、网上提供的信息不可靠:6.4% 7、其它:0.7% 讲授新课: 第三章网络贸易(三) 一、电子商务安全问题的提出 电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题。 当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付的保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。 如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。 电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点所在。 安全性的术语 (1)密码安全——通信安全的最核心部分。 (2)计算机安全——一种确定的状态,使计算机化数据和程序文件不致被非授权人员、计算机或其程序访问、获取或修改。 (3)网络安全——包括所有保护网络的措施。 (4)信息安全——保护信息财富,使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 密码安全、计算机安全、网络安全和信息安全之间的关系:
触发安全问题的原因 (1)黑客的攻击——目前,世界上有20多万个黑客网站,攻击方法成千上万。 (2)管理的欠缺——网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。 (3)网络的缺陷——因特网的共享性和开放性使网上信息安全存在先天不足。 (4)软件的漏洞或“后门”——操作系统和应用软件往往存在漏洞或“后门”。 (5)人为的触发——基于信息战和对他国监控的考虑,个别国家或组织有意识触发网络信息安全问题。 二、电子商务安全的基本需求 电子商务的安全需求包括两方面:电子交易的安全需求和计算机网络系统的安全 1.电子交易的安全需求 (1)身份的可认证性----确认通信双方的合法身份 在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。 (2)信息的保密性----保持个人的、专用的和高度敏感数据的机密 要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。 (3)信息的完整性----保证所有存储和管理的信息不被篡改 交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。 (4)不可抵赖性----防止通信或交易双方对已进行业务的否认 在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。 (5)可访问性:保证系统、数据和服务能由合法的人员访问; (6)防御性:能够阻挡不希望的信息或黑客; (7)合法性:保证各方的业务符合可适用的法律和法规; 2. 计算机网络系统的安全 一般计算机网络系统普遍面临的安全问题: (1)物理实体的安全 设备的功能失常;电源故障;由于电磁泄漏引起的信息失密;搭线窃听。 (2)自然灾害的威胁 各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。 (3)黑客的恶意攻击 所谓黑客,现在一般泛指计算机信息系统的非法入侵者。 黑客的攻击手段和方法多种多样,一般可以粗略的分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。 (4)软件的漏洞和“后门” (5)网络协议的安全漏洞 (6)计算机病毒的攻击 计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
1数字证书包含颁发数字证书单位的私钥。(1分) A. 对 B. 错 2.认证中心认证体系结构是一个()结构 (1分) A. 网形 B. 倒置树形 C. 总线形 D. 星形 3. 下面有关安全协议的说法哪个是错误的? (1分) A. HTTPS是建立在SET协议基础上的。 B. 收单银行是SET协议中的角色。 C. SSL协议有利于商家而不利于客户。 D. SSL协议的数据安全性其实就是建立在RSA等算法的安全性上(151 4. 下面有关数字信封的说法哪些是正确的?(2分) A. 数字信封可以保障发送的信息不被泄露 B. 数字信封要使用发送方的公钥 C. 数字信封中会话密钥对发送方和接收方都是一致的 D. 数字信封采用非对称加密算法对传输的文件进行加密 5. 从网络安全威胁的承受对象看,网络安全威胁的来源包括 (2分) A. 对客户机的安全威胁 B. 对数据库的安全威胁 C. 对WWW服务器的安全威胁 D. 对系统的安全威胁 6. 计算机网络安全是指保护计算机网络系统中的硬件,()和数据资源 (1分) A. 软件 B. 通讯线路 C. 浏览器 D. 密码 7. 信息的安全级别一般可以分为、()、普通 (1分) A. 绝密 B. 低密 C. 秘密 D. 私密 8.. 要使网上交易成功,参与交易的人首先要能() (1分) A. 互通 B. 发送传真
C. 确认对方的身份 D. 保证信息系统安全 9. 下面哪种设置密码的方法是不安全的? (1分) A. 密码尽量使用英文字母及数字和标点、特殊符号等多种字符的组合。 B. 使用用户本身的、出生日期、、手机 C. 避免使用重复的密码 D. 保证至少6个字符以上的密码长度 10防火墙可以为监视互联网安全提供方便。 (1分) A. 对 B. 错 11()是指管理员通过防火墙的Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。 (1分) A. 集中管理 B. 本地管理 C. 远程管理 D. 部管理 12. 下面哪个属于病毒程序的功能模块? (1分) A. 安全模块 B. 转移模块 C. 引导模块 D. 系统模块 13. 下述哪项不是选择防毒软件应考虑的要素? (1分) A. 技术支持程度 B. 技术的先进性和稳定性 C. 防病毒软件使用界面是否漂亮 D. 病毒的响应速度 14电子商务安全运作基本原则包括 (2分) A. 协同一致原则 B. 三人负责原则 C. 最小权限原则 D. 任期有限原则 15. 电子商务安全的容包括 (1分) A. 企业系统安全 B. 交易平台安全 C. 电子商务系统安全管理制度 D. 第三方物流安全
2.电子商务的主要类型有哪些? B2B B2C B2G C2C C2G 3:电子商务的基础设施包括哪些内容? 用于电子商务转型的完整IT基础设施和完善的电子商务服务 4.电子商务的安全要素有哪些?作用是什么? A.可用性需要的时候,资源是可用的(电子商务系统中主要有硬件软件和数据资源,资源的可用性是指需要这些资源的时候,这些资源是可用的) B.机密性谁有权力查看特定的信息(……) C.完整性允许谁修改数据,不允许谁修改数据(……) D.即时性在规定的时间完成服务(……) E.不可抵耐性为信息的收,发者提供无法否认的端到端的证据(……) F.身份认证解决是谁的问题(……) G.访问控制访问者能进行什么操作,不能进行什么操作(……) 5.密钥的长度是否重要?为什么? 重要,绝大多数算法在实施对数据的操作时都需要一定长度的密钥,防止强力攻击。 6.对称加密技术和非对称加密技术有何区? 对称加密加密密钥与解密密钥是相同的,非对称加密加密和解密使用不同的密钥 7.PKI提供哪些服务? 数字签名,身份认证,时间戳,安全公正服务和不可否认服务 8.用哪些技术解决不可抵耐性? 身份认证技术,如口令,令牌,生物特征识别,数字签名,数字摘要,数字证书和PKI等9.安全管理的目标是什么? 资源的可用性,信息的完整性,信息的机密性 10.什么是威胁什么是漏洞,电子商务系统中有哪些漏洞,他们带来的后果是什么? 威胁是攻破或损坏系统的潜在途径。漏洞是攻破系统过程中利用的系统属性,是系统的薄弱环节。分为软件漏洞和配置漏洞和社会漏洞后果,破坏系统安全,篡改数据,盗窃信息等。 11.为什么说人是电子商务安全中的最薄弱环节? 由于安全产品的技术越来与阿完善,使用这些技术的人,就成为整个环节上最薄弱的的部分。个人的行为和技术一样也是对系统安全的威胁。社会工程学看似简单的欺骗,但却包含了复杂的心理学因素,其危害程度有时比直接的技术入侵要大得多。对于技术入侵可以防范,但心理上的漏洞谁有能时刻的警惕呢?毫无疑问,社会工程学将来会是入侵和反入侵的重要对抗领域。 12.有几种安全领域?他们各自解决什么问题? 物理安全域,限制人员使用设备,大楼和其他有形资源,目的是保护有形资产并阻止入侵者使用系统应用程序和信息。 网络安全域控制对网上资源的访问,目的是阻止外人使用私有资产。 应用安全域限制操作类型和范围 数据安全域定义各类数据的保护边界 13.应急预案包括哪些部分?各自解决什么问题? 隔离威胁,目的限制攻击范围。恢复服务,目的实现资源的可用性。攻击后的任务,了解被利用漏洞,哪些环节遭到了破坏,全面恢复成本,如何防范此类攻击。
14电子商务支付与安全期终复习题 1、交易的完整性的典型风险什么?P13重放攻击 2、身份认证的基础是什么?P29用户所知、用户所有、用户个人特征 3、计算机病毒一般的清除方法有哪些?P40(1)手工清除(2)利用杀毒软件自动清除(3)低级格式化。 4.SET技术规范包括哪些?P61(1)商业描述,提供处理的总述;(2)程序员指导,介绍数据区、消息以及处理流程。该指导分为三部分和附件。系统设计考虑、证书管理、支付系统。;(3)正式的协议定义,提供SET消息和数据区的最严格描述。协议定义采用ANS.1语法进行; 5.网络支付的特征是什么?P96(1)网络支付的一切都是数字的(2)网络支付是基于Internet 和虚拟额专用网(3)网络支付使用方面、内容广泛 6.访问控制系统的要素有哪三个?P31(1)主体:访问操作、存取要求的发起者,通常指用户或用户的某个进程。(2)客体:被调用的程序或预存取的数据。(3)安全访问策略:一套规则,用以确定一个主体是否对客体拥有访问能力,他定义了主体与客体可能的相互作用途径。 7.第三方支付平台有几种类型并举例。P141(1)账户型支付模式:支付宝,财付通,安付通,PAYPAL,YeePay。(2)网管型支付模式:快钱,北京首信易支付,云网支付。(3)多种支付手段结合模式:拉卡拉,嗖!付,缴费易 8.中国国家金融数据通信地面骨干网的网络结构分为几层?怎么分?P227 答:中国国家金融数据通信网骨干网的网络结构分为核心层和转接层两部分。核心层网络覆盖全国35个直辖市、省会城市和计划单列市;转接层网络覆盖个直辖市、省会城市和计划单列市所辖的地区级城市及少数县级市。 9.网上银行主要业务有哪些?P278(1)信息服务(2)客户交流服务(3)交易服务 10.信用卡服务需要收费的项目有哪些?P108-116信用卡年费,信用卡利息,信用卡提现(溢缴款提现,透支提现),信用卡分析付款,银行卡交易手续费 11.电子商务安全的基本要求有哪些?P8交易的认证性、交易的保密性、交易的完整性、交易的不可否认性和其他附加要求。 12.电子商务中的抵赖行为有哪些?p14(1)发信者事后否认曾静发送过某条信息或内容。(2)收信者事后否认曾经收到某条信息或内容。(3)购买者下订单后不承认。(4)商家卖出商品后不承认原有的交易等。 13.五大信用卡品牌的是哪些?104答:威士国际组织(VISA International)、万事达卡国际组织(MasterCard International)、美国运通国际股份有限公司(America Express)、大莱信用卡有限公司(Diners Club)以及JCB日本国际信用卡公司(JCB)五家专业信用卡公司。 14.POS机的接入方式有哪两种?P127下联接入方式:传统拨号方式,专线组网方式,商场收款机(ECR)改造方式、无线POS方式。上联接入方式::RS232串口方式,TCP/IP方式。 15.ATM可能遇到的安全问题有哪些?P123(1)窃取卡号、密码信息(2)ATM“吞卡”(3)交易信息外泄(4)电话和短信诈骗(5)其他ATM诈骗手段
第七章电子商务安全技术 三、单项选择题 1.身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和_______。 (A)可信性 (B)访问控制 (C)完整性 (D)保密性 答案:B; 2.目前最安全的身份认证机制是_______。 (A)一次口令机制 (B)双因素法 (C)基于xx的用户身份认证 (D)身份认证的单因素法 答案:A; 3.下列是利用身份认证的双因素法的是_______。 (A)电话卡 (B)交通卡 (C)校园饭卡 (D)xx 答案:D;
4.下列环节中无法实现信息加密的是_______。 (A)链路xx (B)上传xx (C)节点xx (D)端到端xx 答案:B; 5.基于私有密钥体制的信息认证方法采用的算法是_______。 (A)素数检测 (B)非对称算法 (C) RSA算法 (D)对称加密算法 答案:D; 6.RSA算法建立的理论基础是_______。 (A) DES (B)替代相组合 (C)大数分解和素数检测 (D)哈希函数 答案:C; 7.防止他人对传输的文件进行破坏需要_______。 (A)数字签字及验证 (B)对文件进行xx
(C)身份认证 (D)时间戳 答案:A; 8.下面的机构如果都是认证中心,你认为可以作为资信认证的是_______。 (A)国家工商局 (B)著名企业 (C)商务部 (D)人民银行 答案:D; 9.属于黑客入侵的常用手段_______。 (A)口令设置 (B)邮件群发 (C)窃取情报 (D) IP欺骗 答案:D; 10.我国电子商务立法目前所处的阶段是_______。 (A)已有《电子商务示范法》 (B)已有多部独立的电子商务法 (C)成熟的电子商务法体系 (D)还没有独立的电子商务法 答案:D;
一、电子商务概述 1、电子商务促进经济全球化的发展。(1分)p3 A. 对 B. 错 2、联合国国际贸易程序简化工作组对电子商务的定义:“采用电子形式开展商务活动,它包括在供应商、客户、政府及其他参与方之间通过任何电子工具,如EDI、Web技术、电子邮件等共享非结构化或结构化商务信息,并管理和完成在商务活动、管理活动和消费活动中的各种交易。”这一定义有一严重不足是(1分)p2 A.没有交待采用何种技术手段或工具 B.没有说明电子化的含义 C.没有直接地鲜明地提到互联网——当今电子商务所依托的最根本的网络平台 D.也没有点出社会上哪些人群和组织,成为参与对象 3、电子商务改变了人们的工作环境和条件,也改变人们的生活方式。(1分)p4 A. 对 B. 错 4、电子商务将对人类社会产生重要的影响,以下叙述正确的是(1分)p4 A.改变了人们的社会地位和经济条件 B.改变了市场需求 C.改变了人类的兴趣爱好 D.改变了市场的准入条件 5、电子商务始终采用各种先进的技术手段,实现不同层次的商务目标,反映出电子商务功能更齐全,服务更周到的优势。(1分) p3 A.对 B.错 6、下列关于电子商务的描述,哪一种说法不是电子商务的优势?(1分)p3 A. 减少运营成本,显著降低收费 B. 覆盖面广,拥有全球市场 C. 用户购买的任何产品都只能通过人工送达,采用计算机技术用户无法收到其购买的产品 D. 全天时营业 9、公共政策、法律法规是属于电子商务系统框架结构中的(1分)p7 A.信息发布平台 B.社会环境 C.网络平台 D.电子商务平台 10、不属于电子商务系统组成成员的是(1分) p9 A. 相关的安全交易协议(SET、SSL、S/MIME、S-HTTP、HTTPS等) B. 客户(包括购物单位、消费者) C. 销售中心(包括电子商城、服务提供商) D. 配送中心(包括现代商品物流配送公司、邮政局) 11、电子商务一般的交易过程分为5个阶段,“买方通过互联网和其他电子商务网络(各种增值网),寻找所需的商品和商家,发出询价和查询信息,收集相关信息,进行市场调查和分析,制订和修改购货、进货计划,比较选择,作出购买决策,审批计划,筹划货款等”,这些行为属于(1分) p10
第一章习题 1 判断题(正确的打“V”,错误的打“X”) ⑴计算机网又称国际互联网(Internet),也被译为因特网。( X ) ⑵电子是手段,商务是目的,做好商务活动才是电子商务的本质。( V) ⑶电子商务系统就是指在电子虚拟市场进行商务活动的物质基础和商务环境的总称。( V) ⑷网络用户是指连接在互联网上的个人和法人,它们构成电子商务交易的客体。( X ) ⑸网络市场是提供给买卖双方进行网络交易的商品。( X ) ⑹认证中心(Certificate Authority,简称CA))是法律承认授权的权威机构,负责发放和管理数字证书,使网上交易的各方能互相确认身份。它是不直接从电子商务交易中获利的第三方机构。( V) ⑺电子商务产生的源动力是信息技术(IT)的进步和社会商业的发展。( V) ⑻信息技术与社会商业的融合发展,导致了社会网络化、经济数字化、竞争全球化、贸易自由化的趋势不断加强,真正意义上的电子商务正是在这种背景下应运而生。( V) ⑼电子商务是指交易当事人或参与人,利用计算机技术和网络技术等现代信息技术所进行的某种商务活动。( X )⑽信用卡号或银行账号都是电子账户的一种标志。( V) 2 单项选择题(请将正确选项代号填在括号中) ⑴互联网起源于( B )。 A.英国 B.美国 C.法国 D.中国 ⑵因特网(Internet)又称为(A)网络。 A.国际互联 B.局部计算机 C.城市计算网 D.高速信息火车 ⑶中国“政府上网年”是在(D )年提出来的。 A 1996 B 1997 C 1998 D 1999 ⑷通过互联网(Internet)网络进行的商务活动称之为( C )。 A.一般电子商务 B.广义电子商务
案例分析 关于网络交易平台的法律责任问题,是电子商务领域一个比较突出、也是很有代表性的问题。这一问题的关键在于对交易平台的定性。如果将其归为销售者、商场或是传统的拍卖行,出现假冒伪劣产品,恐怕他们就都难辞其咎,需要承担相应的连带责任;而如果将其归为信息服务提供者,即ICP的一种,则根据互联网信息服务管理办法和相关司法解释,除非出现反动、色情等明显禁止传播的内容,在出现其他侵权信息的情况下,如果信息服务提供者已尽到基本的义务(如要求卖家不得出售侵权产品、出示其相关身份信息等)或在有人拿出明确证据通知其某些内容属于侵权时其马上停止发布相关信息,则应该可以免责。 目前,在我国对该领域还没有可直接适用的法律规定的情况下,实际操作中只能援引其他领域侵权责任承担的做法。根据实际情况,较多人认为,电子商务交易服务平台提供的服务可能更偏向于信息服务,这样,要求电子商务交易平台弄清其上每一件产品的合法来由(除非是一般人依据常识可以一目了然的),确实有点强人所难。 从淘宝网“包年卡”欺诈这个案例,可以得到以下启示。 1.消费者睁大眼睛网购很关键 对于消费者而言,要睁大眼睛以明辨是非,要提高交易风险的识别和防范能力,以规避网上购物上当受骗的风险。例如,本案例中的产品——“包年上网卡”,该服务提供商只能是中国联通或中国移动等公司,作为消费者如果多一个心眼,及时向权威部门咨询该业务的开展情况,则损失完全可以避免。 2.相关机构要抓紧建立网络诚信体制 尽快由政府、企业、行业协会和消费者,共同建立网上消费信用体系和实名交易体系应该是非常必要的。只有这样,才能落实网上交易消费者权益的有效保护,而简单地加大网络交易平台责任的做法是不足取的。 3.交易平台应该加大商品的审核力度 在此案例中也不能说淘宝网没有一点责任。一方面,淘宝网负有配合有关部门开展调查取证等工作的义务,提供卖方的相关资料和有关交易记录;另一方面,如果消费者能够证明淘宝网在此次事件中明知欺诈的存在而未采取任何措施或存在其他有重大过失的行为,也可以直接起诉淘宝网。
第七章电子商务安全管理 1、对本地文件进行加密和解密 Word文档加密:打开需要加密的文件,点击“工具”菜单中“选项”,选择“安全性(保存)”。 Acess文件加密:必须首先关闭数据库。 Winrar加密:①如果“显示密码”选项被禁用,将被要求输入两次密码来确保正确性。②如果设置了“加密文件名选项”,则不只加密数据,而且加密对象文件名、大小、属性、注释和其他数据块等所有的压缩包敏感区域。 Windows 2000/XP提供了对文件夹的加密功能,使用系统提供的加密功能前,要确认你要加密的文件夹所在的分区格式为NTFS。 Windows内建的文件加密功能只允许赋予其他用户访问加密文件的完全权限,而不允许将加密文件夹的权限赋予其他用户。 2、对邮件进行加密和解密 目前,比较流行的电子邮件加密软件是PGP(Pretty Good Privacy)和S/MIME (Secure Multi-Part Intermail Mail Extension)。 PGP软件创始于美国,是一个基于RSA公钥加密体系的邮件加密软件。 加密“Encrypt Message”,签名“Sign Message”。 3、制定交易安全管理制度 网络交易安全管理制度是用文字形式对各项安全要求所做的规定,是企业网络营销取得成功的保障。 网络交易安全管理制度包括:人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。 4、人员管理制度:①工作人员严格选拔;②落实工作责任制;③贯彻电子商务安全运作基本原则。 电子商务安全运作基本原则:1)双人负责原则;2)任期有限原则;3)最小权限原则。 5、保密制度 信息的安全级别:绝密级、机密级、秘密级。 绝密级:此部分网址、密码不在因特网上公开,只限高层管理人员掌握,(公司经营状况报告、订货/出货价格、公司发展规划)。 机密级:限公司中层管理人员以上使用,(公司日常情况、会议通知)。 秘密级:此部分在因特网上公开,供消费者浏览,但必须保护程序,防止黑客侵入(公司简介、新产品介绍、订货方式)。 6、跟踪、审计、稽核制度 跟踪制度要求企业建立网络交易系统日志。 审计制度:经常对系统日志的检查、审核。 稽核制度:工商管理、银行、税务人员利用计算机及网络系统,发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。 7、网络系统的日常维护制度 硬件的日常管理和维护:网管人员必须建立系统档案(设备型号、生产厂家、配置参数、安装时间、安装地点、IP地址、上网目录和内容)。 软件的日常维护和管理:1)支撑软件(操作系统、数据库和开发工具等);2)应用软件。
《电子商务》习题集 第5章电子商务交易安全 一.单项选择题 1. 下列选项中不属于电子商务过程中买家面临的问题的是: (C) A. 付款后不能收到商品 B. 机密性丧失 C. 没有隐私 D.拒绝服务 2. “也许网络的另一端是一只狗”这句话指出了如下电子商务中的哪一个安全需求:(C) A. 信息传输的保密性 B. 交易文件的完整性 C. 交易者身份的真实性 D. 信息的不可否认性 3. 古罗马时代使用的“凯撒密码”算法属于: (A) A. 通用密钥密码体制 B. 非通用密钥密码体制 C. 公开密钥体制 C. 非公开密钥体制 4. 下列属于对称密钥加密算法的是: (B) A. RSA B. DES C. DSA D. RST 5. 公开密钥密码体制中私钥与公钥之间有着一种: (C) A. 对称关系 B. 非对称关系 C. 特殊的数学关系 D. 相关性 6. 下列属于公开密钥密码体制的算法的是: (A) A. RSA B. DES C. DSA D. RST 7. 下列技术能实现对电子文件发表时间的安全保护的是: (D) A. RSA B. DES C. DSA D. DTS 8. 下列与数字证书无关的是: (C) A. 数字凭证 B. 数字标识 C. 数字符号 D. X.509 9. SSL协议对于电子商务应用的劣势主要是无法保证: (C) A. 信息的真实性 B. 信息的完整性 C. 信息的不可否认性 D. 信息的保密性 10. 在SET协议定义的三个交易阶段中,与每个阶段都有关联的只有: (C) A. 用户 B. 银行 C. 商家 D. 中间平台 11. SET协议没有担保(B),这意味着在线商店没有办法证明订购是不是由签署证书的买方 发出的。 A. 拒绝行为 B. 非拒绝行为 C. 授权行为 D. 非授权行为
第四章电子商务安全 4.1 电子商务安全概述 4.1.1 电子商务的安全问题 1.客户机安全 2.通信信道安全 3.服务器的安全 4.1.2 电子商务的安全保障 良好的电子商务安全需要一系列的法律、程序、政策和技术的保护,以此在一定程度上从电子商务市场中各种突发状况中保护个人和组织。 第四章电子商务安全 4.1.3 电子商务安全的基本要求 电子商务的安全有6个重要方面:完整性、不可抵赖性、真实性、机密性、隐私性和可用性。 4.2 加密技术 加密就是把明文(正常的文字)转换成除发送方和接收方外任何人都无法读取的密文的过程。从明文到密文的转换是通过密钥完成的。密钥就是把明文转换成密文的方法。 加密的目的是保证存储信息的安全,以及保证信息传送的安全。加密可以为电子商务安全6各方面的其中4个提供保障。 信息完整性:保证消息不被篡改。 不可否认性:防止用户否认曾经发送过的消息。 真实证:提供发送消息的个人(或机器)的身份证明。 机密性:保证消息不被他人读取。 4.2.1 信息传输加密 1.链路加密 2.节点加密 3.端对端加密 4.2.2 加密系统 1.对称加密系统 使用对称加密对信息进行加密和解密的速度很快,且使用方便,计算量小,加密效率高,所以对称加密算法广泛用于对大量数据文件的加密过程中,但需要仔细保存密钥。 对称加密技术的主要缺点是密钥的管理比较困难。
2.非对称加密系统 非对称加密又叫做公开密钥加密,其采用两个在数学上相关的密钥对?a?a公开密钥和私有密钥?a?a来对信息进行加密: 与对称加密算法不同,公开密钥系统采用了非对称加密算法,使用了公开密钥和私有密钥这一对密钥。其中私有密钥是由系统保密持有的,而公开密钥则是公开的,并且知道公开密钥是不可能推断出私有密钥,以此来达到保密性的目的。 目前最流行的公开密钥加密算法是于1977年由MIT的三位教授Ronald Rivest 、Adi Shamir 、Leonard Adleman联合发明的.所以用三位教授姓名的首字母结合,将其称为RSA加密算法。它是第一个既能用于数据加密也能用于数字签名的算法。 3.混合加密系统 在混合加密系统中,发送方将大量的文件用对称密钥进行加密,但对这一对称密钥,则用公开密钥进行加密,其具体操作过程如下: (1)发送方生成一个对称密钥,并对要发送的信息用自己的对称密钥进行加密; (2)发送方用接收方的公开密钥对自己的对称密钥进行加密; (3)发送方把加密后的信息和加密后的对称密钥通过网络传输到接收方; (4)接收方用自己的私有密钥对发送方传送过来的对称密钥进行解密,得到发送方的