〈电子商务安全技术〉期末考试复习提要

《电子商务安全技术》总复习（填空题题型）1．电子商务中涉及通信安全和计算机安全的安全业务通常包括：保密业务、、接入控制业务、、和匿名性业务。

2．电子商务的安全要素是指：可靠性、真实性、、、、不可抵赖性和内部网的严密性。

3．在Internet上进行电子商务，存在以下方面的安全问题：保密性、个人隐私、、、。

4．密钥安全协议主要分为：协议和协议。

5．用来防止欺骗、伪装等攻击的认证安全协议，包含认证、认证和认证协议。

6．密码学包含的两门学科是：和。

7．加密体制分为两种：和。

8．私钥加密体制的典型代表是，它的加密密钥和解密密钥；公钥加密体制的典型代表是，它的加密密钥和解密密钥。

9．DES算法有3个参数：、数据Data、，DES的保密性取决于。

10．RSA算法的实施步骤为：、、恢复明文，RSA 体制的安全性取决于。

11．数字签名是建立在基础上的，其实现方法主要有3种：签名、签名、签名。

12．电子商务认证中心是用来承担网上安全交易服务，能签发，并能确认的服务机构。

13．认证中心的4大职能是：、、和证书验证。

14．数字证书是用来担保个人、计算机系统或者组织的和的电子文挡，由发行。

15．数字证书的内容由两个部分组成：和。

16．数字证书的类型通常有4种：、、安全邮件证书和CA 证书。

17．PKI是一个包括硬件、软件、人员、政策和手续的集合，其用途是实现基于的证书产生、管理存储、等功能。

18．PKI是一种遵循标准的管理平台，由5大系统组成：、、密钥备份及恢复系统、证书作废处理系统、应用接口系统。

19．数字时间戳服务是用来证明的，其技术实现由函数和协议共同完成。

20．电子商务的安全屏障是；电子商务的安全瓶颈是；电子商务的安全隐患是；电子商务的安全策略是。

21．防火墙是用来加强之间安全防范的系统。

22．防火墙的构成主要包括5个部分：、、、域名服务、E—mail处理。

23．防火墙大体上可以划分为3种类型：、、。

24．防火墙的安全体系主要有以下3种：、、。

电⼦商务安全期末复习电⼦商务安全与管理期末复习题型： 1. 选择题（30分：1.5分1题，共20题）2. 判断并说明理由题（28分：4分1个，共7题。

其中判断对错占2分，简要说明理由占2分）3. 简答题（30分：6分1题，共5题）4. 综合分析题（12分：6分1题，共2题）1、电⼦商务涉及的安全问题有哪些？P4-6A. 信息的安全问题：冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信⽤的安全问题：来⾃买⽅的安全问题、来⾃卖⽅的安全问题、买卖双⽅都存在抵赖的情况C. 安全的管理问题D. 安全的法律保障问题2、电⼦商务系统安全的三个组成部分。

P74、电⼦商务的安全保障主要由哪三⽅⾯去实现？P17-22技术措施①信息加密技术：保证数据流安全，密码技术和⾮密码技术②数字签名技术：保证完整性、认证性、不可否认性③TCP/IP服务：保证数据完整传输④防⽕墙的构造选择：防范外部攻击，控制内部和病毒破坏管理措施①⼈员管理制度：严格选拔落实⼯作责任制贯彻ＥＣ安全运作三项基本原则：多⼈负责、任期有限、最⼩权限②保密制度不同的保密信息有不同的安全级别③跟踪、审计、稽核制度跟踪：⾃动⽣成系统⽇志审计：对⽇志进⾏审计（针对企业内部员⼯）稽查：针对企业外部的监督单位④系统维护制度硬件和软件⑤数据容灾制度⑥病毒防范制度⑦应急措施法律环境《中华⼈民共和国电⼦签名法》5、风险分析和审计跟踪的主要功能P10-11风险分析：a.设计前：根据分析系统固有的脆弱性，旨在发现系统设计前的潜在风险。

b.运⾏前：根据系统运⾏期的运⾏状态和结果，分析潜在安全隐患。

c.运⾏期：根据系统运⾏记录，跟踪系统状态的变化，分析运⾏期的安全隐患。

d.运⾏后：分析系统运⾏记录，为改进系统的安全性提供分析报告。

审计跟踪：a.记录和跟踪各种系统状态的变化。

b.实现对各种安全事故的定位。

c.保存、维护和管理审计⽇志1、信息传输中的五种常见加密⽅式。

P27①链路－链路加密②节点加密③端－端加密④A TM⽹络加密⑤卫星通信加密链路-链路加密与端端加密区别：2、对称加密的原理及其优缺点，常见对称密码算法有DES，AES，三重DES，Rivest 密码，对称加密密钥的传输可使⽤RSA密钥传输法。

一定是属于 某个确定的对象的信息 摘瑞1. 电子商务安全需求:真实性（数字证书）、保密性（加密和解密技术）、完整性（散列函数）、不可否认性（数字签名技术）、可靠性（完善开发程序）、及时性（加强防火墙）、 不可拒绝性（加强防火墙）。

2. 电子商务系统安全层次：a ）电子商务系统安全：网上交易，网上身份认证，数据安全（信息流，资金流） b ）网络系统女全:实体安全:i:计算机（服务器安全：www.FTP,EMALL 服务器; 客户机安全）ii:通信设备（路由器、交换机、集线器等） 3. 几种常见协议:安全电子商务交易协议SET 、安全协议（SSL 协议、S/MIME 协议等）公 钥基础设施PKI （数字签名、数字信封、CA 认证等）4、儿种常见的安全技术问题：黑客的恶意攻击、软件的漏洞和后门网络协议的安全漏洞计 算机病毒的攻击5、信息加密技术是电子商务安全交易的核心，实现交易的保密性、完整性、不可否认性等。

6、对称加密的特点：加解密速度快缺陷:首先是密钥数目的问题nX （n-l ）/2 安全传输密钥也是一个难题 第三是无法鉴别彼此身份C = AT (mod n)7、公开密钥密码算法RSA ： "（皿明文，C 密文）n=PXQ,e （n ） =（P-1）X （Q-1）,因为 de=l （mod （t ）（n ）｝X 设 de=k<t>（n ）+14k>=l 的整数）或 e 的逆元 d （e*d ）mod 4）（n ）=l8、RSA 的密钥很长，加密速度慢.DES 用于明文加密，RSA 用于DES 密钥的加密。

RSA 又 解决了 DES 密钥分配的问题。

8、码攻击方法：穷举攻击、计分析攻击、数学分析攻击9、 认证技术是解决电子商务活动中的安全问题的技术基础，认证可分为消息认证（也称数 据源认证）和身份认证.10、 认证技术：身份认证术、字签名、字签名1K 密钥管理涉及密钥的产生、存储、分配、更新、备份和销毁的全过程12、 电子商务认证技术相关的技术：对称密钥加密（如凯撒密码）、公开密钥加密（如RSA ）、散列函数（信息摘要算法）、数字签名、数字证书、认证机构（CA ）、数字信封13、 散列函数（信息摘要算法）确保信息未被篡改，特点：a.能处理任意大小的信息，并能生成固定长度的信息摘要。

电子商务期末考试（二）引言概述
电子商务期末考试（二）旨在考察学生对电子商务的理论知识和实践应用的理解程度。

本文将从五个大点出发，深入探讨电子商务的各个方面，并介绍相关知识和要点。

正文
大点1：电子商务的定义和分类
1.1 电子商务的概念和基本特点
1.2 电子商务的分类及其特点
1.3 电子商务的发展趋势和影响
大点2：电子商务平台与应用
2.1 电子商务平台的定义和功能
2.2 主流电子商务平台介绍
2.3 电子商务平台的选择和建设要点
2.4 电子商务应用的领域和案例分析
大点3：电子商务的安全性与法律风险
3.1 电子商务安全的基本概念和原则
3.2 电子商务安全技术和措施
3.3 电子商务法律风险的认识和防范
3.4 电子商务合同的法律规范和要点
大点4：电子商务的营销与推广
4.1 电子商务营销的基本概念和原则
4.2 电子商务营销策略和方法
4.3 电子商务推广渠道和手段
4.4 电子商务市场竞争和分析
大点5：电子商务的物流与供应链管理
5.1 电子商务物流的定义和基本流程
5.2 电子商务物流的挑战和解决方案
5.3 电子商务供应链管理的理念和要点
5.4 电子商务供应链优化和创新
结论
通过对电子商务期末考试（二）的讨论，我们了解了电子商务的定义和分类、电子商务平台与应用、电子商务的安全性与法律风险、电子商务的营销与推广以及电子商务的物流与供应链管理。

这些内容深入探讨了电子商务的各个方面，并为我们理解和应用电子商务提供了参考和指导。

另外，了解电子商务的发展趋势和影响，对我们进一步提升电子商务能力具有重要意义。

电子商务期末考试知识点总结第一篇：电子商务期末考试知识点总结第一章1、电子商务的概念采用电子方式，特别是通过Internet；实现商品交易、服务交易（其中含人力资源、资金、信息服务等）；包含企业间的商务活动，也包含企业内部的商务活动（生产、经营、管理、财务等）；涵盖交易的各个环节，如询价、报价、订货、售后服务、报关、税收等；采用电子方式是形式，跨越时空、提高效率是主要目的。

2、电子商务的环境（三种环境支持）电子商务环境可分为：社会环境、技术环境、管理环境等。

3、电子商务的特点全球性、商务性、低成本、电子化、服务性、协调性、集成性、可扩张性、安全性、便携性、快速性、机会均等性、自由性和开放性4、电子商务分类按照商业活动的运行方式：完全电子商务，不完全电子商务按照电子交易的范围：本地电子商务，远程国内电子商务，全球电子商务按照交易对象:数字化产品（完全EC），非数字化产品，网上服务按照参照主体：BtoB,BtoC.CtoC,BtoG,UtoB,MtoB,HtoBe 按照应用平台：专用网（如EDI），互联网（Internet）,电话网（固定电话和移动电话），电视网，三网合一按照是否在线支付：在线支付型，非在线支付型按照电子商务交易阶段：交易前，交易中，交易后第二章1、电子商务框架（四流）信息流、资金流、物流、商流扩展了的六流：又新增加了信用流和人员流2、电子商务商业模式（概念，九种商业模式）概念：对商务模式的描述和定义涉及以下几方面:商务的体系结构、价值创造、商业策略。

商业模式是为了在市场中获得利润而规划好的一系列商业活动，商业模式是商业计划的核心内容。

而商业计划是指描述企业商业模式的文件。

而网络经济环境下的电子商务商业模式是指可以利用和发挥Internet和petitive environment)◊谁是第1名,谁已经投入市场中? 竞争优势(Competitive advantage)◊带来什么样的特殊利益? 市场策略(Market strategy)◊如何计划促销你的产品或服务,吸引客户? 组织发展(Organization development)◊组织架构?才能实现商业计划? 管理团队(Management team)◊公司领导人必须要什么样的经验与背景?第三章1、信息经济学的概念p62 假定买卖双方的信息是不对称的，人们获得的信息都是不完全的。

电子商务安全技术一、主要内容与重点1.网络交易风险和安全管理的基本思路：如今，网络交易风险凸现，国内的犯罪分子也将触角伸向电子商务领域。

为了保证交易的安全进行，通过对网络交易风险源分析，从技术、管理、法律等方面对网络交易安全管理进行思考，进而形成网络交易安全管理的基本思路。

2.客户认证技术：客户认证主要包括客户身份认证和客户信息认证。

前者用于鉴别用户身份，保证通信双方的身份的真实性；后者用于保证通信双方的不可抵赖性和信息的完整性。

为此建立认证机构，通过数字签名等技术，保证交易的安全。

在此介绍了对我国电子商务认证机构的建设的设想。

3.防止黑客入侵：介绍了黑客的概念及网络黑客常用的攻击手段，同时也介绍了一些防范黑客攻击的主要技术手段。

4.网络交易系统的安全管理制度：本节中，我们主要针对企业的网络交易系统加以讨论，这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。

5.电子商务交易安全的法律保障：介绍了电子合同法律制度和电子签字法律制度，对我国电子商务交易安全的法律和我国电子商务立法的若干基本问题提出设想。

通过本章的学习，要求了解网络交易的基本思路；掌握身份认证、基于对称密钥的信息认证及基于非对称密钥的信息认证的原理；了解认证机构的设置及证书，以及了解网络黑客常用的攻击手段及交易防范黑客攻击的主要技术手段。

掌握网络交易系统的安全管理系统；了解电子商务安全的法律保障。

学习流程二、网络交易风险和安全管理的基本思路1．网络交易风险凸现2．网络交易风险源分析1．在线交易主体的市场准入问题。

2．信息风险。

3. 信用风险。

4. 网上欺诈犯罪。

5．电子合同问题。

6．电子支付问题7．在线消费者保护问题8．电子商务中产品交付问题3．网络交易安全管理的基本思路电子商务交易安全是也一个系统工程，一个完整的网络交易安全体系，至少应包括三类措施，并且三者缺一不可。

一是技术方面的措施，二是管理方面的措施，三是社会的法律政策与法律保障。

20XX年复习资料大学复习资料专业：班级：科目老师：日期：20XXXX-20XXXX二电子商务安全复习提纲第1章电子商务安全基础知识第1节电子商务安全概述一、电子商务安全的概念电子商务是利用计算机网络所进行的商务活动。

因此，电子商务的安全问题除了作为商务活动本身所存在的风险外，本课程主要介绍由于计算机网络的应用所带来的安全问题。

电子商务的关键是商务信息电子化。

因此，电子商务的安全性问题的关键是计算机信息的安全性（一）对电子商务安全的要求（二）信息安全的要求及发展1、20XX世纪90年代以前——通信保密（COMSEC）时代该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。

2、20XX世纪90年代——信息安全（INFOSEC）时代数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的可用性需求。

因此，该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。

3、90年代后期起——信息安全保障（IA）时代该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。

并且需要对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。

由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型。

二、电子商务安全的需求特征l 保密性l 完整性l 不可否认性l 认证性l 可用（访问）性l 可控性l 可审查性l 合法性三、电子商务安全问题（一）电子商务安全问题的根源1、自身缺陷2、网络开放性3、管理问题（二）电子商务安全问题1、网络传输安全：信息被泄密、篡改或假冒2、网络运行安全（服务器或客户机被攻击等）：网络的缺陷、管理的欠缺、黑客的攻击3、系统安全：系统软件的漏洞和后门、系统故障、崩溃四、网络安全体系与黑客攻击（一）电子商务安全特征与防御体系结构信息传输系统安全网络运行安全防范技术保密性×防止电磁泄漏、加密技术完整性×单向加密、备份可控性××防火墙、监测、权限、审计认证性××数字签名、身份认证不可否认性×数字签名可用性××容错、容灾、防攻击（二）黑客攻击流程第2节电子商务的安全保障一、安全策略（一）信息加密策略1、网络加密常用的方法有链路加密、端点加密和节点加密三种。

电子商务安全期末复习题1一、单项选择题在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

错选、多选或未选均无分。

1.TCP/IP 协议安全隐患不包括( )A.拒绝服务B.顺序号预测攻击C.TCP 协议劫持入侵D.设备的复杂性2.IDEA 密钥的长度为( )A.56B.64C.124D.1283.在防火墙技术中，内网这一概念通常指的是( )A.受信网络B.非受信网络C.防火墙内的网络D.互联网4.《计算机场、地、站安全要求》的国家标准代码是( )A.GB57104-93B.GB9361-88C.GB50174-88D.GB9361-935.在Kerberos 中，Client 向本Kerberos 的认证域以内的Server 申请服务的过程分为几个阶段?( )A.三个B.四个C.五个D.六个6.信息安全技术的核心是( )A.PKIB.SETC.SSLD.ECC7.Internet 接入控制不．能．对付以下哪类入侵者? ( )A.伪装者B.违法者C.内部用户D.地下用户8.CA 不．能．提供以下哪种证书? ( )A.个人数字证书B.SSL服务器证书C.安全电子邮件证书D.SET服务器证书9.我国电子商务走向成熟的重要里程碑是( )A.CFCAB.CTCAC.SHECAD.RCA10.通常为保证商务对象的认证性采用的手段是( )A.信息加密和解密B.信息隐匿C.数字签名和身份认证技术D.数字水印11.关于Diffie-Hellman 算法描述正确的是( )A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的12.以下哪一项不．在．证书数据的组成中? ( )A.版本信息B.有效使用期限C.签名算法D.版权信息13.计算机病毒的特征之一是( )A.非授权不可执行性B.非授权可执行性C.授权不可执行性D.授权可执行性14.在Kerberos 中，Client 向本Kerberos 认证域外的Server 申请服务包含几个步骤? ( )A.6B.7C.8D.915.属于PKI 的功能是( )A.PAA，PAB，CAB.PAA，PAB，DRAC.PAA，CA，ORAD.PAB，CA，ORA16.MD-4 散列算法中输入消息可以任意长度，但要进行分组，其分组的位数是( )A.64B.128C.256D.51217.SHA 的含义是( )A.加密密钥B.数字水印C.安全散列算法D.消息摘要二、多项选择题在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其代码填写在题后的括号内。

1.MAC：由只有通信双方知道的秘密密钥K来控制的消息的散列值。

2.数字信封:用对称密码体制的密钥加密明文，而用公钥密码体制的公钥加密这个对称密钥。

3.数字证书：就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件，其中CA的数字签名可以确保用户公钥的真实性。

4.PKI:公钥基础设施通常简称PKI。

所谓PKI就是一个以公钥技术为基础的，提供和实施安全服务的具有普适性的安全基础设施。

5.PDRR:电子商务安全是在安全策略的指导下，由保护、检测、响应和恢复四个环节组成.6.SQL注入攻击：攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码，作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。

特点：广泛性、技术难度不高、危害性大。

7.VPN：虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来，或将一个或多个远程用户与内部网络安全的连接在一起，从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来，构成一个扩展了的企业内部网。

8.单点登录技术：简称SSO，是指用户只需向网络进行一次身份认证，以后再无需另外验证身份，便可访问所有被授权的网络资源。

9.替代和置换：假设明文消息中的每个字母不是同时移动相同的位数，而是根据一张替代表使用随机替换，则在一个明文消息中，每个A可以替换成B~Z中的任意字母，B也可以替换成A或C~Z中的任意字母。

置换密码通过改变明文消息中各元素出现的相对位置，但明文消息元素本身的取值不变。

乘积密码：是以某种方式连续执行两个或多个密码交换。

10.IPSec协议主要功能：①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性11.电子支付的支付方式：电子现金、电子支票、电子信用卡，微支付1.电子商务安全要素：机密性（信息不被泄露给非授权用户）、完整性（信息是未被篡改的）、不可抵赖性（信息的收发双方不能否认曾经受发过信息）、即时性（在规定的时间内完成服务）、真实性（确保对方的真实信息和身份的来源是真的）、访问控制（对访问者访问资源时的权限控制）、可用性（访问者需要的时候是可用的）。

•第1章：TCP/IP协议简介1.TCP/IP协议体系结构(各层协议)①应用层：仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP②传输层：TCP（传输控制协议）、UDP（用户数据报协议）③网络层：网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消息协议ICMP2.局域网工作原理(Ip地址和Mac地址的变换)以太网的基本工作原理工：①载波监听：当一个站点要向另一个站点发送信息时，先监听网络信道上有无信息在传输，信道是否空闲。

②信道忙碌：如果发现网络信道正忙，则等待，直到发现网络信道空闲为止。

③信道空闲：如果发现网路信道空闲，则向网上发送信息。

由于整个网络信道为共享总线结构，网上所有站点都能够收到该站点所发出的信息，所以站点向网络发送信息也称为“广播”。

④冲突检测：站点发送信息的同时，还要监听网络信道，检测是否有另一台站点同时在发送信息。

如果有，两个站点发送的信息会产生碰撞，即产生冲突，从而使数据信息包被破坏。

⑤遇忙停发：如果发送信息的站点检测到网上的冲突，则立即停止发送，并向网上发送一个“冲突”信号，让其他站点也发现该冲突，从而摒弃可能一直在接收的受损的信息包。

⑥多路存取：如果发送信息的站点因“碰撞冲突”而停止发送，就需等待一段时间，再回到第一步，重新开始载波监听和发送，直到数据成功发送为止。

第2章：网络安全基础1.计算机网络安全的定义网络安全的学术定义为：通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容有控制能力。

2.逻辑炸弹的定义在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。

在一般情况下，网络处于正常工作状态，一旦到了某个预定的日期，程序便自动跳到死循环程序，造成四级甚至网络瘫痪。

3.遥控旁路的定义除了给用户提供正常的服务外，还将传输的信息送给设定的用户，这就是旁路，这种情况非常容易造成信息的泄密。