第五章电子商务安全CEO

电子商务安全》教案第一章：电子商务安全概述1.1 电子商务安全的基本概念1.2 电子商务安全的重要性1.3 电子商务安全的发展历程1.4 电子商务安全的研究内容第二章：电子商务安全技术2.1 密码技术2.2 数字签名技术2.3 安全套接层（SSL）技术2.4 防火墙技术第三章：电子商务安全协议3.1 安全电子交易（SET）协议3.2 安全超文本传输（S）协议3.3 安全邮件（SMTP）协议3.4 虚拟专用网络（VPN）协议第四章：电子商务安全威胁与防护4.1 电子商务安全威胁分类4.2 常见电子商务安全威胁及其防护措施4.3 电子商务安全防护策略4.4 电子商务安全防护技术第五章：电子商务安全管理与法律规范5.1 电子商务安全管理的重要性5.2 电子商务安全管理体制与机构5.3 电子商务安全法律法规5.4 电子商务安全道德规范与教育第六章：电子商务安全评估与认证6.1 电子商务安全评估体系6.2 电子商务安全认证机构6.3 电子商务安全认证流程6.4 电子商务安全认证标准第七章：电子商务支付系统安全7.1 电子支付系统概述7.2 电子支付系统安全威胁7.3 电子支付系统安全技术7.4 电子支付系统安全协议第八章：电子商务数据安全与隐私保护8.1 电子商务数据安全概述8.2 电子商务数据加密技术8.3 电子商务隐私保护技术8.4 电子商务数据安全与隐私保护策略第九章：电子商务安全审计与监控9.1 电子商务安全审计的重要性9.2 电子商务安全审计方法与技术9.3 电子商务安全监控系统9.4 电子商务安全事件应急处理第十章：电子商务安全发展趋势与挑战10.1 电子商务安全发展趋势10.2 电子商务安全技术发展前景10.3 电子商务安全面临的挑战10.4 我国电子商务安全发展战略与政策第十一章：移动电子商务安全11.1 移动电子商务安全背景11.2 移动设备安全威胁与防护11.3 移动支付安全技术11.4 移动应用程序安全第十二章：云计算与大数据环境下的电子商务安全12.1 云计算与大数据简介12.2 云计算与大数据环境下的安全挑战12.3 云计算与大数据安全技术12.4 云计算与大数据环境下电子商务安全策略第十三章：物联网与电子商务安全13.1 物联网基本概念13.2 物联网在电子商务中的应用13.3 物联网安全威胁与防护13.4 物联网电子商务安全发展趋势第十四章：电子商务安全国际标准与政策法规14.1 国际电子商务安全标准14.2 国际电子商务安全政策法规14.3 我国电子商务安全政策法规14.4 电子商务安全国际合作与挑战第十五章：电子商务安全案例分析与实践15.1 电子商务安全案例概述15.2 电子商务安全事件原因与影响15.3 电子商务安全防护措施与经验教训15.4 电子商务安全实践项目与实训重点和难点解析1. 电子商务安全的基本概念、重要性、发展历程和研究内容是理解电子商务安全领域的基石，需要重点掌握。

第五章电子商务流程第一节电子商务流程概述一、流程流程通常是由一系列活动组成的。

图5 -1 吃饭的流程那么在理论上如何解释流程呢？流程（ Process）在英国朗文出版公司出版的《朗文当代英语词典》中的解释为：①一系列相关的、有内在联系的活动或事件产生持续的、渐变的、人类难以控制的结果。

如沉陷的森林经过长期的、缓慢的化学变化而形成煤就是此类流程。

②一系列相关的人类活动或操作，有意识地产生一种特定的结果。

流程实质上就是工作的详细过程和工作的具体方法。

这个定义中的①解释的是事物或事件的自然演变过程，定义中②讲述的是人类活动。

业务流程是指为完成某一目标（或任务）而进行的一系列逻辑相关的活动的有序的集合。

二、商务流程商务流程是业务流程的一种，因此商务流程这个概念的外延要比业务流程更狭窄些。

从系统的角度来定义商务流程，则商务流程是商务主体为了追求价值最大化所进行的营销、磋商、签约、履行合同等一系列商务活动的有序集合。

第一，商务流程是商务活动。

第二，有序集合。

第三，价值最大化既是商务活动参与者的目标，也是推动整个商务流程进行的动力。

商务流程可以按照不同的标准进行分类。

这里，我们把它按照规模分为三类：一是宏观的商务流程。

它是适用于所有商务活动的通用的流程模式。

例如，了解市场、买卖双方磋商、达成协议、进行交易等这些活动就是所有商务流程要经历的阶段。

二是中观的商务流程。

这是按行业或交易类型划分的商务流程。

例如，在电子商务中， B2B、B2C等不同类别的电子商务，都有自己的大体一致的商务流程。

三是微观的商务流程。

这是指企业甚至是某一交易环节的业务流程。

三、电子商务标准的规定电子商务标准是指由国家或国际组织制定的、具有约束力的电子商务行为规范。

电子商务标准规定的电子商务交易应遵循的基本程序，简述如下：（1）客户方向供货方提出商品报价请求（REQOTE），说明想购买的商品信息；（2）供货方向客户方回答该商品的报价（QUOTES），说明该商品的报价信息；（3）客户方向供货方提出商品订购单（ORDERS），说明初步确定购买的商品信息；（4）供货方向客户方对提出的商品订购单的应答（ORDESP），说明有无此商品及规格型号、品种、质量等信息；（5）客户方根据应答提出是否对订购单有变更请求（ORDCHG），说明最后确定购买商品信息；（6）客户方向供货方提出商品运输说明（IFTMIN），说明运输工具、交货地点等信息；（7）供货方向客户方发出发货通知（BESADN），说明运输公司、发货地点、运输设备、包装等信息；（8）客户方向供货方发回收货通知（RECADV），报告收货信息；（9）交易双方收发汇款通知（REMADV），买方发出汇款通知，卖方报告收款信息；（10）供货方向客户方发送电子发票（INVOIC），买方收到商品，卖方收到货款并出具电子发票，完成全部交易。

第五章防火墙与VPN技术一、防火墙1．防火墙的基本概念(1)外网(非受信网络)：防火墙外的网络，一般为Internet。

(2)内网(受信网络)：防火墙的网络。

受信主机和非受信主机分别对照内网和外网的主机。

(3)非军事化区(DMZ)：为了配置管理方便，内网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区(DMZ区)。

2．防火墙的设计原则防火墙的设计须遵循以下基本原则：(1)由内到外和由外到内的业务流必须经过防火墙。

(2)只允许本地安全政策认可的业务流通过防火墙。

(3)尽可能控制外部用户访问内域网，应严格限制外部用户进入内域网。

(4)具有足够的透明性，保证正常业务的流通。

(5)具有抗穿透攻击能力、强化记录、审计和告警。

3．防火墙的基本组成【简答】简述防火墙的基本组成部分。

(1)安全操作系统。

(2)过滤器。

(3)网关。

(4)域名服务器。

(5)Email处理。

4．防火墙的分类(1)包过滤型。

(2)包检验型。

(3)应用层网关型。

5．防火墙不能解决的问题(1)防火墙无法防范通过防火墙以外的其他途径的攻击。

(2)防火墙不能防止来自内部变节者和不经心的用户带来的威胁。

(3)防火墙也不能防止传送已感染病毒的软件或文件。

(4)防火墙无法防范数据驱动型的攻击。

二、VPN技术1．VPN基本概念虚拟专用网VPN通常被定义为通过一个公共网络(通常是Internet)建立一个『|缶时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，它是对企业内部网的扩展。

2．VPN的基础：隧道协议VPN利用隧道协议在网络之间建立一个虚拟通道，以完成数据信息的安全传输。

隧道协议主要包括以下几种：(1)互联网协议安全IPSec。

(2)第2层转发协议L2F。

(3)点对点隧道协议PPTP。

(4)通用路由封装协议GRE【单选】在隧道协议中，基于防火墙的VPN系统的协议是些。

【填空】IPSec是一系列保护IP通信的规则的集合，它包含传输模式与隧道模式两种工作模式。

第一章电子商务安全基础1、电子商务：是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务.10、电子商务系统可能遭受的攻击：1)系统穿透2)违反授权原则3)植入4)通信监视5)通信窜扰6)中断7)拒绝服务8)否认9)病毒电子商务安全的中心内容：1）机密性2）完整性3）认证性4）不可否认性5）不可拒绝性6）访问的控制性7）其它11、商务数据的机密性：或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织, 或者经过加密伪装后, 使未经授权者无法了解其内容。

机密性可用加密和信息隐匿技术实现.12、商务数据的完整性：或称正确性是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。

简单地说,数据的完整性就是接收端收到的信息与发送端的一致。

13、商务对象的认证性：是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性,分辨参与者所声称身份的真伪,防止伪装攻击。

认证性用数字签名和身份认证技术实现。

14、商务服务的不可否认性：是指信息的发送方不能否认已发送的信息, 接受方不能否认已收到的信息,这是一种法律有效性要求。

不可否认性采用数字签名技术实现。

15、商务服务的不可拒绝性：或称可用性是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。

可用性的不安全是指”延迟”的威胁或”拒绝服务”的威胁。

16、访问的控制性：是指在网络上限制和控制通信链路对主机系统和应用的访问,用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

17、对Internet的攻击有四种类型：1）截断信息: 对服务的可用性进行攻击伪造: 对信息的机密性、完整性、认证性进行攻击。

2）篡改: 对信息的机密性、完整性、认证性进行攻击。

3）介入: 对信息的机密性进行攻击,是一种被动攻击18、IP协议的安全隐患：A.针对IP的”拒绝服务”攻击B.IP地址的顺序号预测攻击C.TCP协议劫持入侵D.嗅探入侵第二章电子商务安全需求与密码技术19、电子商务的安全需求：1）可靠性2）真实性3）机密性4）完整性5）有效性6）不可抵赖性7）内部网的严密性20、单钥密码体制的加解密过程：1）发送方用自己的私有密钥对要发送的信息进行加密2）发送方将加密后的信息通过网络传送给接收方3）接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文21、单钥密码体制的特点：优点:加密和解密的速度快,效率高；缺点:密钥管理困难,不适应互联网大规模应用环境。

电⼦商务安全与管理第⼆版课后习题答案关键术语第⼀章电⼦商务安全导论1)电⼦商务安全问题：主要涉及信息的安全、信⽤的安全、安全的管理问题以及安全的法律法规保障问题。

2)完整性：防⽌信息在传输过程中丢失、重复及⾮法⽤户对信息的恶意篡改。

3)电⼦商务系统安全：从计算机信息系统的⾓度来阐述电⼦商务系统的安全，认为电⼦商务系统的安全是由系统实体安全、系统运⾏安全和系统信息安全这三个部分组成。

4)认证性：确保交易信息的真实性和交易双⽅⾝份的合法性。

5)电⼦商务安全保障：电⼦商务安全需要⼀个完整的保障体系，应当采⽤综合防范的思路，从技术、管理、法律等⽅⾯去认识、去思考，并根据我国的实际和国外的经验，提出⾏之有效的综合解决的办法和措施。

6)可控性：保证系统、数据和服务能由合法⼈员访问，保证数据的合法使⽤。

7)保密性：保护机密信息不被⾮法取存以及信息在传输过程中不被⾮法窃取8)不可否认性：有效防⽌通信或交易双⽅对已进⾏的业务的否认。

第⼆章：1.链路——链路加密链路加密(⼜称在线加密)是传输数据仅在物理层前的数据链路层进⾏加密。

接收⽅是传送路径上的各台节点机，信息在每台节点机内都要被解密和再加密，依次进⾏，直⾄到达⽬的地。

2.对称加密称加密⼜叫秘密密钥加密，其特点是数据的发送⽅和接收⽅使⽤的是同⼀把密钥，即把明⽂加密成密⽂和把密⽂解密成明⽂⽤的是同⼀把密钥。

3、节点加密节点加密是指每对节点共⽤⼀个密钥，对相邻两节点间（包括节点本⾝）传送的数据进⾏加密保护。

尽管节点加密能给⽹络数据提供较⾼的安全性，但它在操作⽅式上与链路加密是类似的：两者均在通信链路上为信息提供安全性；都在中间节点先对信息进⾏解密，然后进⾏加密。

4、公开密钥加密不对称加密⼜叫做公开密钥加密，需要采⽤两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进⾏加解密。

5、端——端加密端—端加密允许数据在从源点到终点的传输过程中始终以密⽂形式存在。

采⽤端到端加密(⼜称脱线加密或包加密),消息在被传输时到达终点之前不进⾏解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。