电子商务安全技术复习指导

《电子商务安全技术》总复习（填空题题型）1．电子商务中涉及通信安全和计算机安全的安全业务通常包括：保密业务、、接入控制业务、、和匿名性业务。

2．电子商务的安全要素是指：可靠性、真实性、、、、不可抵赖性和内部网的严密性。

3．在Internet上进行电子商务，存在以下方面的安全问题：保密性、个人隐私、、、。

4．密钥安全协议主要分为：协议和协议。

5．用来防止欺骗、伪装等攻击的认证安全协议，包含认证、认证和认证协议。

6．密码学包含的两门学科是：和。

7．加密体制分为两种：和。

8．私钥加密体制的典型代表是，它的加密密钥和解密密钥；公钥加密体制的典型代表是，它的加密密钥和解密密钥。

9．DES算法有3个参数：、数据Data、，DES的保密性取决于。

10．RSA算法的实施步骤为：、、恢复明文，RSA 体制的安全性取决于。

11．数字签名是建立在基础上的，其实现方法主要有3种：签名、签名、签名。

12．电子商务认证中心是用来承担网上安全交易服务，能签发，并能确认的服务机构。

13．认证中心的4大职能是：、、和证书验证。

14．数字证书是用来担保个人、计算机系统或者组织的和的电子文挡，由发行。

15．数字证书的内容由两个部分组成：和。

16．数字证书的类型通常有4种：、、安全邮件证书和CA 证书。

17．PKI是一个包括硬件、软件、人员、政策和手续的集合，其用途是实现基于的证书产生、管理存储、等功能。

18．PKI是一种遵循标准的管理平台，由5大系统组成：、、密钥备份及恢复系统、证书作废处理系统、应用接口系统。

19．数字时间戳服务是用来证明的，其技术实现由函数和协议共同完成。

20．电子商务的安全屏障是；电子商务的安全瓶颈是；电子商务的安全隐患是；电子商务的安全策略是。

21．防火墙是用来加强之间安全防范的系统。

22．防火墙的构成主要包括5个部分：、、、域名服务、E—mail处理。

23．防火墙大体上可以划分为3种类型：、、。

24．防火墙的安全体系主要有以下3种：、、。

电子商务安全复习在当今数字化的时代，电子商务已经成为我们生活中不可或缺的一部分。

从在线购物到金融交易，从社交媒体到数字服务，电子商务的触角几乎延伸到了我们生活的每一个角落。

然而，随着电子商务的迅速发展，安全问题也日益凸显。

对于电子商务从业者和消费者来说，了解电子商务安全的相关知识，掌握有效的防范措施，是至关重要的。

接下来，让我们一起对电子商务安全进行一次全面的复习。

一、电子商务安全的重要性电子商务安全不仅仅是技术问题，更是关系到企业的生存和发展，以及消费者的信任和权益。

对于企业来说，如果其电子商务平台遭受攻击，导致客户数据泄露、交易中断或者资金损失，不仅会面临巨大的经济损失，还可能损害企业的声誉，失去客户的信任，从而在激烈的市场竞争中处于不利地位。

对于消费者来说，个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题，给生活带来极大的困扰和损失。

因此，保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。

二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。

包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击（DoS）等。

黑客可以通过攻击电子商务网站，窃取用户数据、篡改交易信息或者破坏系统正常运行。

病毒和恶意软件则可能潜伏在用户的设备中，窃取敏感信息或者监控用户的操作。

DoS 攻击则通过大量的无效请求导致网站瘫痪，使正常的交易无法进行。

2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。

在电子商务中，用户的个人信息（如姓名、地址、电话号码、信用卡信息等）、交易记录等都是重要的数据。

如果这些数据被泄露，可能被用于欺诈、身份盗窃等非法活动。

3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息，并以其名义进行非法活动。

在电子商务中，攻击者可能通过窃取用户的登录凭证、伪造身份等方式，进行虚假交易、骗取财物等。

4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。

第一章电子商务安全概论一、电子商务安全要素有效性：EC以电子信息取代纸张，如何保证电子形式贸易信息的有效性则是开展EC 的前提。

机密性：EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密完整性：由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。

可靠性：指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误不可否认性：信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息二、电子商务安全问题a)黑客攻击问题：主动、被动b)软件的漏洞和“后门”：操作系统、数据库、IE等c)网络协议的安全漏洞：Telnet、FTP等HTTPd)病毒的攻击：良性/恶性、单机/网络三、常见的攻击技术1：信息收集型攻击：主要采用刺探、扫描和监听地址扫描，端口扫描，体系结构探测，DNS域名服务，LDAP服务，伪造电子邮件2：利用型攻击：利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。

口令猜测，特洛伊木马，缓冲区溢出3：拒绝服务攻击：拒绝服务目的在于使系统瘫痪，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

死亡之ping，泪滴，UDP洪水，电子邮件炸弹四、电子商务安全体系结构第二章信息加密技术与应用一、加密技术发展过程古代密码：古代的行帮暗语、文字游戏等古典密码：替代密码、转轮密码近现代密码：对称、非对称密码二、常见古典密码算法，希腊密码、凯撒密码希腊密码：密文：2315313134明文：HELLO凯撒密码：把每个英文字母向前推移K位A B C D E F G …… X Y ZD E F G H I J …… A B C明文:Jiangxi Normal University密文:mldqjal qrupdo xqlyhuvlwb三、对称称密码体系概念、特点，DES算法的过程概念：即加密密钥与解密密钥相同的密码体制，这种体制中只要知道加(解)密算法，就可以反推解(加)密算法。

一定是属于 某个确定的对象的信息 摘瑞1. 电子商务安全需求:真实性（数字证书）、保密性（加密和解密技术）、完整性（散列函数）、不可否认性（数字签名技术）、可靠性（完善开发程序）、及时性（加强防火墙）、 不可拒绝性（加强防火墙）。

2. 电子商务系统安全层次：a ）电子商务系统安全：网上交易，网上身份认证，数据安全（信息流，资金流） b ）网络系统女全:实体安全:i:计算机（服务器安全：www.FTP,EMALL 服务器; 客户机安全）ii:通信设备（路由器、交换机、集线器等） 3. 几种常见协议:安全电子商务交易协议SET 、安全协议（SSL 协议、S/MIME 协议等）公 钥基础设施PKI （数字签名、数字信封、CA 认证等）4、儿种常见的安全技术问题：黑客的恶意攻击、软件的漏洞和后门网络协议的安全漏洞计 算机病毒的攻击5、信息加密技术是电子商务安全交易的核心，实现交易的保密性、完整性、不可否认性等。

6、对称加密的特点：加解密速度快缺陷:首先是密钥数目的问题nX （n-l ）/2 安全传输密钥也是一个难题 第三是无法鉴别彼此身份C = AT (mod n)7、公开密钥密码算法RSA ： "（皿明文，C 密文）n=PXQ,e （n ） =（P-1）X （Q-1）,因为 de=l （mod （t ）（n ）｝X 设 de=k<t>（n ）+14k>=l 的整数）或 e 的逆元 d （e*d ）mod 4）（n ）=l8、RSA 的密钥很长，加密速度慢.DES 用于明文加密，RSA 用于DES 密钥的加密。

RSA 又 解决了 DES 密钥分配的问题。

8、码攻击方法：穷举攻击、计分析攻击、数学分析攻击9、 认证技术是解决电子商务活动中的安全问题的技术基础，认证可分为消息认证（也称数 据源认证）和身份认证.10、 认证技术：身份认证术、字签名、字签名1K 密钥管理涉及密钥的产生、存储、分配、更新、备份和销毁的全过程12、 电子商务认证技术相关的技术：对称密钥加密（如凯撒密码）、公开密钥加密（如RSA ）、散列函数（信息摘要算法）、数字签名、数字证书、认证机构（CA ）、数字信封13、 散列函数（信息摘要算法）确保信息未被篡改，特点：a.能处理任意大小的信息，并能生成固定长度的信息摘要。

第一章电子商务安全基础1，什么是保持数据旳完整性？答：商务数据旳完整性或称对旳性是保护数据不被未授权者修改，建立，嵌入，删除，反复传送或由于其他原因使原始数据被更改。

在存储时，要防止非法篡改，防止网站上旳信息被破坏。

在传播过程中，假如接受端收到旳信息与发送旳信息完全同样则阐明在传播过程中信息没有遭到破坏，具有完整性。

加密旳信息在传播过程，虽能保证其机密性，但并不能保证不被修改。

2，网页袭击旳环节是什么？答：第一步，创立一种网页，看似可信其实是假旳拷贝，但这个拷贝和真旳“同样”“假网页和真网页同样旳页面和链接。

第二步：袭击者完全控制假网页。

因此浏览器和网络是旳所有信息交流者通过袭击者。

第二步，袭击者运用网页做假旳后果：袭击者记录受害者访问旳内容，当受害者填写表单发送数据时，袭击者可以记录下所有数据。

此外，袭击者可以记录下服务器响应回来旳数据。

这样，袭击者可以偷看到许多在线商务使用旳表单信息，包括账号，密码和秘密信息。

假如需要，袭击者甚至可以修改数据。

不管与否使用SSL或S-HTTP，袭击者都可以对链接做假。

换句话说，就算受害者旳游览器显示出安全链接图标，受害者仍也许链接在一种不安全链接上。

3，什么是Intranet?答：Intranet是指基于TCP/IP协议旳内连网络。

它通过防火墙或其他安全机制与Intranet建立连接。

Intranet上可提供所有Intranet旳应用服务，如WWW，E-MAIL等，只不过服务面向旳是企业内部。

和Intranet同样，Intranet具有很高旳灵活性，企业可以根据自己旳需求，运用多种Intranet互联技术建立不一样规模和功能旳网络。

4，为何交易旳安全性是电子商务独有旳？答：这也是电子商务系统所独有旳。

在我们旳平常生活中，进和一次交易必须办理一定旳手续，由双方签发多种收据凭证，并签名盖章以作为法律凭据。

但在电子商务中，交易在网上进行，双方甚至不会会面，那么一旦一方反悔，另一方怎么可以向法院证明协议呢？这就需要一种网上认证机构对每一笔业务进行认证，以保证交易旳安全，防止恶意欺诈。

20XX年复习资料大学复习资料专业：班级：科目老师：日期：20XXXX-20XXXX二电子商务安全复习提纲第1章电子商务安全基础知识第1节电子商务安全概述一、电子商务安全的概念电子商务是利用计算机网络所进行的商务活动。

因此，电子商务的安全问题除了作为商务活动本身所存在的风险外，本课程主要介绍由于计算机网络的应用所带来的安全问题。

电子商务的关键是商务信息电子化。

因此，电子商务的安全性问题的关键是计算机信息的安全性（一）对电子商务安全的要求（二）信息安全的要求及发展1、20XX世纪90年代以前——通信保密（COMSEC）时代该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。

2、20XX世纪90年代——信息安全（INFOSEC）时代数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的可用性需求。

因此，该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。

3、90年代后期起——信息安全保障（IA）时代该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。

并且需要对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。

由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型。

二、电子商务安全的需求特征l 保密性l 完整性l 不可否认性l 认证性l 可用（访问）性l 可控性l 可审查性l 合法性三、电子商务安全问题（一）电子商务安全问题的根源1、自身缺陷2、网络开放性3、管理问题（二）电子商务安全问题1、网络传输安全：信息被泄密、篡改或假冒2、网络运行安全（服务器或客户机被攻击等）：网络的缺陷、管理的欠缺、黑客的攻击3、系统安全：系统软件的漏洞和后门、系统故障、崩溃四、网络安全体系与黑客攻击（一）电子商务安全特征与防御体系结构信息传输系统安全网络运行安全防范技术保密性×防止电磁泄漏、加密技术完整性×单向加密、备份可控性××防火墙、监测、权限、审计认证性××数字签名、身份认证不可否认性×数字签名可用性××容错、容灾、防攻击（二）黑客攻击流程第2节电子商务的安全保障一、安全策略（一）信息加密策略1、网络加密常用的方法有链路加密、端点加密和节点加密三种。

•第1章：TCP/IP协议简介1.TCP/IP协议体系结构(各层协议)①应用层：仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP②传输层：TCP（传输控制协议）、UDP（用户数据报协议）③网络层：网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消息协议ICMP2.局域网工作原理(Ip地址和Mac地址的变换)以太网的基本工作原理工：①载波监听：当一个站点要向另一个站点发送信息时，先监听网络信道上有无信息在传输，信道是否空闲。

②信道忙碌：如果发现网络信道正忙，则等待，直到发现网络信道空闲为止。

③信道空闲：如果发现网路信道空闲，则向网上发送信息。

由于整个网络信道为共享总线结构，网上所有站点都能够收到该站点所发出的信息，所以站点向网络发送信息也称为“广播”。

④冲突检测：站点发送信息的同时，还要监听网络信道，检测是否有另一台站点同时在发送信息。

如果有，两个站点发送的信息会产生碰撞，即产生冲突，从而使数据信息包被破坏。

⑤遇忙停发：如果发送信息的站点检测到网上的冲突，则立即停止发送，并向网上发送一个“冲突”信号，让其他站点也发现该冲突，从而摒弃可能一直在接收的受损的信息包。

⑥多路存取：如果发送信息的站点因“碰撞冲突”而停止发送，就需等待一段时间，再回到第一步，重新开始载波监听和发送，直到数据成功发送为止。

第2章：网络安全基础1.计算机网络安全的定义网络安全的学术定义为：通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容有控制能力。

2.逻辑炸弹的定义在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。

在一般情况下，网络处于正常工作状态，一旦到了某个预定的日期，程序便自动跳到死循环程序，造成四级甚至网络瘫痪。

3.遥控旁路的定义除了给用户提供正常的服务外，还将传输的信息送给设定的用户，这就是旁路，这种情况非常容易造成信息的泄密。

电子商务安全技术复习第一章电子商务安全概论1.拒绝服务攻击是什么？又是怎样实现的？答：拒绝服务目的在于使系统瘫痪，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

拒绝服务发生时，系统通常并不会遭到破解，但该服务会丧失有效性，即无法再对正常的请求进行响应。

常见的拒绝服务攻击手段包括：死亡之ping，泪滴，UDP洪水，电子邮件炸弹等。

2.对称加密，非对称加密的概念？答：对称加密指加密和解密使用相同密钥的加密算法。

非对称加密指加密和解密使用不同密钥的加密算法。

（非对称加密算法需要两个密钥，公开密钥和私有密钥是一对，如果公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。

因为加密和解密使用的是两个不同的密钥，所以这种算法叫做非对称加密算法。

）3.认证技术的概念？答：电子认证，从根本上说，是一种服务，其通过对交易各方的身份、资信进行认证，对外可以防范交易当事人以外的人故意入侵而造成风险，从而防止欺诈的发生；对内侧可防止当事人的否认，以避免当事人之间的误解或地来说，从而减少交易风险，维护电子交易的安全，保障电子商务活动顺利进行。

电子商务认证系统有三种认证模式：政府主导的电子商务认证体系；行业协会主导的电子商务认证体系；当事人自由约定的电子商务认证体系。

第二章信息加密技术与应用1.流密码的概念？答：流密码采用密钥生成器，从原始密钥生成一系列密钥流用来加密信息，每一个明文可以选用不同的密钥加密。

2.分组密码？答：分组密码体制是目前商业领域中比较重要而流行的一种加密体制，它广泛地应用于数据的保密传输、加密存储等应用场合。

分组密码对明文进行加密时，首先需要对明文进行分组，每组的长度都相同，然后对每组明文分别进行加密得到等长的密文，分组密码的特点是加密密钥与解密密钥相同。

分组密码的安全性组要依赖于密钥，而不依赖于对加密算法和解密算法的保密，因此，分组密码的加密和解密算法可以公开。