1、电子商务面临的安全威胁
(1)计算机网络风险。物理安全问题、网络安全问题、网络病毒威胁、黑客攻击、电子商务网站自身的安全问题。
(2)电子商务交易风险。在线交易主的市场的准入、信息风险、信用风险、网上欺骗犯罪、电子合同问题、电子支付问题、在线消费者保护问题、电子商务中产品交付问题、电子商务中虚拟财产的保护问题。
(3)管理风险。
(4)政策法律风险。
2、电子商务的安全要素
电子商务随时面临的威胁导致了电子商务的安全需求。一个安全的电子商务系统要求做到真实性、机密性、完整性和不可抵赖性等。
(1)真实性
(2)保密性
(3)有效性
(4)完整性
(5)不可抵赖性
3、电子商务交易安全保障体系是一个复合型系统:电子商务是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象不是一般的系统,而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(complex giant system)。它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。电子支付的应用现状:internet上的电子货币系统主要包括电子信用卡系统、电子支票系统和数字现金系统等
4、
(1)防火墙技术:定义,作用,应用场合(用在什么地方),缺点
所谓防火墙,就是在内部网(如Intranet)和外部网(如Internet)之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器,用来在两个或多个网络间加强访问控制、实施相应的访问控制策略,力求把那些非法用户隔离在特定的网络之外,从而保护某个特定的网络不受其他网络的攻击,但又不影响该特定网络正常的工作。
功能:过滤进出、网络的数据;
管理进、出网络的访问行为;
封堵某些禁止的业务;
记录通过防火墙的信息内容和活动
对网络攻击检测和警报。
分类:根据防火墙在网络上的物理位置和在OSI(Open System Interconnect Reference Model,开放式系统互联参考模型)七层协议中的逻辑位置以及所具备的功能,可作如下的分类:线路级网关、包过滤路由器、应用网关、双重基地型网关、屏蔽主机防火墙、屏蔽主网防火墙、包过滤型防火墙、代理服务器型防火墙、复合型防火墙、物理隔离技术。
包过滤型防火墙:包过滤防火墙是最简单的防火墙,一般在路由器上实现。包过滤防火墙通常只包括对源和目的IP地址及端口的检查。包过滤防火墙的最大优点就是它对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常做为第一道防线。包过滤防火墙的弊端也是很明显的,通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录。另外,包过滤防火墙需从建立安全策略和过滤规则集入手,需要花费大量的时间和人力,还要不断根据新情况不断更新过滤规则集。同
时,规则集的复杂性又没有测试工具来检验其正确性,这些都是不方便的地方。对于采用动态分配端口的服务,如很多RPC(远程过程调用)服务相关联的服务器在系统启动时随机分配端口的,包过滤防火墙很难进行有效地过滤。
代理型防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
复合型防火墙的设计目标是既有包过滤的功能,又能在应用层进行代理,能从数据链路层到应用层进行全方位安全处理。由于TCP/IP协议和代理的直接相互配合,使系统的防欺骗能力和运行的安全性都大大提高。
物理隔离技术是近年来发展起来的防止外部黑客攻击的有效手段。物理隔离产品主要有物理隔离卡和隔离网闸。
防火墙的缺点:
1、防火墙可以阻断攻击,但不能消灭攻击源
2、防火墙不能抵抗最新的未设置策略的攻击漏洞
3、防火墙的并发连接数限制容易导致拥塞或者溢出
4、防火墙对服务器合法开放的端口的攻击大多无法阻止
5、防火墙对待内部主动发起连接的攻击一般无法阻止
6、防火墙本身也会出现问题和受到攻击
7、防火墙不处理病毒
(2)入侵检测技术:定义,作用,应用场合,缺点(只有一个入暴率)
定义:入侵检测系统(Intrusion Detect System,IDS)是对传统安全产品的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
?作用:监视、分析用户及系统活动;
?对系统构造和弱点的审计;
?识别反映已知进攻的话动模式并向相关人士报警;
?异常行为模式的统计分析;
?评估重要系统和数据文件的完整性;
?操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
应用场合:主机入侵检测系统(HIDS);网络入侵检测系统(NIDS)。
缺点:误报率
(3)加密技术:概念,两类加密算法的区别,公钥密码系统的流程(PGP实验),加密技术的运用(数字证书实现签名邮件实验),RSA算法。
概念:密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。
对称和非对称加密算法的区别:
所谓对称密钥算法是指如果一个加密算法的加密密钥和解密密钥相同,或者虽然不相同,但是可由其中的任意一个很容易的推导出另一个,即密钥是双方共享的。非对称密钥算法是指一个加密算法的加密密钥和解密密钥是不一样的,或者说不能由其中一个密钥推导出另一
个密钥。这两个密钥其中一个称为公钥,用于加密,是公开的,另一个称为私钥,用于解密,是保密的。其中由公钥计算私钥是计算上不可行的。这两种密码算法的不同之处主要有如下几个方面:1、加解密时采用的密钥的差异:从上述对对称密钥算法和非对称密钥算法的描述中可看出,对称密钥加解密使用的同一个密钥,或者能从加密密钥很容易推出解密密钥;而非对称密钥算法加解密使用的不同密钥,其中一个很难推出另一个密钥。2、算法上区别:①对称密钥算法采用的分组加密技术,即将待处理的明文按照固定长度分组,并对分组利用密钥进行数次的迭代编码,最终得到密文。解密的处理同样,在固定长度密钥控制下,以一个分组为单位进行数次迭代解码,得到明文。而非对称密钥算法采用一种特殊的数学函数,单向陷门函数(one way trapdoor function),即从一个方向求值是容易的,而其逆向计算却很困难,或者说是计算不可行的。加密时对明文利用公钥进行加密变换,得到密文。解密时对密文利用私钥进行解密变换,得到明文。②对称密钥算法具有加密处理简单,加解密速度快,密钥较短,发展历史悠久等特点,非对称密钥算法具有加解密速度慢的特点,密钥尺寸大,发展历史较短等特点。3、密钥管理安全性的区别:对称密钥算法由于其算法是公开的,其保密性取决于对密钥的保密。由于加解密双方采用的密钥是相同的,因此密钥的分发、更换困难。而非对称密钥算法由于密钥已事先分配,无需在通信过程中传输密钥,安全性大大提高,也解决了密钥管理问题。4、安全性:对称密钥算法由于其算法是公开的,其安全性依赖于分组的长度和密钥的长度,常的攻击方法包括:穷举密钥搜索法,字典攻击、查表攻击,差分密码分析,线性密码分析,其中最有效的当属差分密码分析,它通过分析明文对密文对的差值的影响来恢复某些密钥比特。非对称密钥算法安全性建立在所采用单向函数的难解性上,如椭圆曲线密码算法,许多密码专家认为它是指数级的难度,从已知求解算法看,160bit的椭圆曲线密码算法安全性相当于1024bit RSA算法。
公钥密码系统的流程:
RSA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
(4)身份认证策略和访问控制策略:应用特点(学校教务系统为例)
(5)数字证书(实验)填空或是连线
数字证书作为网上交易双方真实身份证明的依据,是一个经使用者数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥,由可信任的、公正的电子认证服务机构颁发。
(6)数字签名(实验)填空或是连线
基本原理:数字签名技术以加密技术为基础,采用公钥密码体制对整个明文进行变换,得到一个作为核实签名的值。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则证明对方的身份是真实的。
PKI(Public Key Infrastructure,公钥基础设施)是提供公钥加密和数字签字服务的安全基础平台,目的是管理密钥和证书。PKI是创建、颁发、管理、撤消公钥证书所涉及到的所有软件、硬件的集合体,它将公开密钥技术、数字证书、证书发放机构(CA)和安全策略等安全措施整合起来,成为目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。PKI是电子商务安全保障的重要基础设施之一。它具有多种功能,能够提供全方位的电子商务安全服务。
一个典型的PKI应用系统包括五个部分:密钥管理子系统(密钥管理中心)是做什么的、证书受理子系统(注册系统)、证书签发子系统(签发系统)、证书发布子系统(证书发布系统)、目录服务子系统(证书查询验证系统)。
虚拟专用网:定义,作用,应用场合
(1)定义:虚拟专用网(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。
(2)作用:实现网络安全、简化网络设计、降低成本、容易扩展、可随意与合作伙伴联网、完全控制主动权、支持新兴应用。
(3)应用场合:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN)
3.4
电子商务管理与法律法规(按之前给的课后题集复习,考试从里面出。)
5.
电子支付系统的基本构成
1.客户:是指与某商家有交易关系并存在未长青的债权债务关系(一般指债务)的一方
2.商家:是指拥有债权的商品交易的另一方,它可以根据客户发起的支付指令向金融体系请求获取货币。
3.支付网关:是公用网和金融专用网之间的接口,支付信息必须通过支付网关才能进入银行支付系统,进而完成支付的授权和获取。
4.客户开户行:是指客户在其中拥有账户的银行,客户所拥有的支付工具就是开户行提供的。客户开户行又被称为发卡行。
5.商家开户行:是指商家在其中开设账户的银行,其账户是整个支付过程中资金流向的地方。也成为收单行。
6.CA中心:CA中心(certificate autority)即认证机构,负责为参与商务活动的各方(包括客户、商家与支付网关)发放数字证书,以确认各方的身份。
7.金融专网:是银行内部及银行间进行通信的网络,既有较高的安全性,包括中国国家现代支付系统、人民银行电子联行系统、工商银行电子汇总系统、银行卡授权系统等。中国银行的金融专用网发展迅速,为逐步开展电子商务提供了必要的条件。
电子支付系统的功能:
1、能使用数字签名和数字证书实现对各方的认证
2、使用加密技术对业务进行加密
3、使用消息摘要算法以确认业务的完整性
4、当交易双方出现纠纷时,保证对业务的不可否认性
5、能够处理贸易业务的多边支付问题
传统电子支付系统:ATM机
ATM系统即自动柜员机系统,是利用银行发卡行的银行卡,在自动存款机或自动取款机上,执行存取款和转账功能的一种自助银行系统。
6.电子支付:定义,工具P133
答:(1)电子支付是支付命令发送方把存放于商业银行的资金,通过一条线路划入收益方开户银行,以支付给收益方的一系列转移过程。
我国给电子支付的定义是指单位、个人直接授权或授权他人通过电子终端发出指令,实现货
币支付与资金转移的行为。
(2)电子支付工具有:银行卡(常见的信用卡和借记卡)、电子现金、电子钱包、电子票据(借记支票、贷记支票)电子资金划拨。
电子现金
?所谓电子现金(E-cash),是一种以电子数据形式流通的,能被客户和商家普遍接受的,通过互联网购买商品或服务时可以使用的货币。电子现金是现实货币的电子化或数字模拟,它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。电子现金以数字信息形式存在,存储于电子现金发行者的服务器和用户计算机终端上,通过因特网流通。主要用于小额零星的支付业务,能使起来要比银行卡更为方便和节省。
电子钱包:E—wallet是电子商务活动中顾客常用的一种支付工具,之一种客户端的小数据库,用于存放电子现金和电子信用卡,同时包含诸如信用卡账号、数字签名以及身份验证等信息。目前世界上常用的电子钱包有VISA cash和Mondex(https://www.doczj.com/doc/2818824325.html,)两大软件,其他电子钱包软件还有MasterCard cash,EuroPay的Clip和比利时的Proton等。一些软件公司正在创建电子钱包的应用程序接口以便多种电子现金都可以使用一个钱包。
信用卡在线支付SSL模式:(网上银行案例)
答:1、SSL协议在运行过程中可分为6个阶段:
(1)建立连接阶段:客户通过网络向服务商打招呼,服务商回应。
(2)交换密码阶段:客户与服务商之间交换双方认可的密码。
(3)会谈密码阶段:客户与服务商之间产生彼此交谈的会谈密码。
(4)检验阶段:检验服务商取得密码。
(5)客户认可阶段:验证客户的可信度。
(6)结束阶段:客户与服务商之间相互交换结束信息。
2、信用卡在线支付SSL模式的优点:
?流程很简单,信用卡在线支付模式中,SSL模式是流程最简单的模式;
?架构简单,认证过程比较简便,处理速度快,费用较低;
?使用方便,付款人只需在选购商品后输入卡号、有效期、姓名等资料立即就可以完成付款。
3、信用卡在线支付SSL模式存在以下缺点:
?付款人的信用卡资料信息先传送到商家,在转发给银行,付款人无法确认商家是否能够保密自己的相关信息;
?只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。因此无法达到电子支付的“不可否认性”要求。
第三方支付平台:
定义:第三方支付平台是属于第三方的服务型中介机构,它主要是面向开展电子商务业务的企业提供与电子商务支付活动有关的基础支撑与应用支撑的服务。
特点:安全、简单、快捷
存在意义:
1.第三方支付企业是互联网支付的枢纽(参见图7-4)。
2.在支付活动中,第三方支付企业充当各个银行的代理人为商户提供互联网支付产品,通过支付网关为商户提供多种支付工具的支付功能。
3.第三方支付平台作为中介方,可以促成商家和银行的合作。
4.对于商家,第三方支付平台可以降低企业运营成本,
5.对于银行,可以直接利用第三方的服务系统提供服务,帮助银行节省网关开发成本。
优点:
1.比较安全,信用卡信息或账户信息仅需要告知支付中介,而无需告诉每一个收款人,大大减少了信用卡信息和账户信息失密的风险;
2.支付成本较低,支付中介集中了大量的电子小额交易,形成规模效应,因而支付成本较低;
3.使用方便。对支付者而言,他所面对的是友好的界面,不必考虑背后复杂的技术操作过程;
4.支付担保业务可以在很大程度上保障付款人的利益。
缺点:
1.这是一种虚拟支付层的支付模式,需要其他的“实际支付方式”完成实际支付层的操作;
2.付款人的银行卡信息将暴露给第三方支付平台,如果这个第三方支付平台的信用度或者保
3.密手段欠佳,将带给付款人相关风险;
4.第三方结算支付中介的法律地位缺乏规定,一旦该终结破产,消费者所购买的“电子货币”可能成了破产债权,无法得到保障。
“支付宝”的担保业务
第三方支付平台一般都没有担保业务,了解“支付宝”担保业务的流程
8.
按照支付媒介分类,移动支付可分为两种:基于电话账单的移动支付和基于电子钱包的移动支付。
(1)电话账单:通过电话账单进行支付,不需要银行以及信用卡公式的介入,移动运营商将用户交易结算所产生的费用和电话账单费用合并成为一张账单,并寄给用户,大大减少了支付环节,降低了支付成本,而且使用步骤简单,是一种非常理想的微支付手段。使用电话账单进行支付的缺点在于,支付金额不能超过100元,限制很大;另一方面,电话账单和支付账单难以区分。
(2)手机钱包:手机钱包可以分为两大类,一类是通过将手机号码与银行账号进行关联,利用建设好的支付系统进行支付,而后实时或非实时地从信用卡或是银行账户中扣款;另一类是将智能芯片卡内置于移动电话中,通过手机支付时,手机可以直接向智能卡存储数据。
自考电子商务安全导论押密试题及答案(3)第一部分选择题 一、单项选择题(本大题共20小题,每小题1分,共20分)在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。 1.电子商务,在相当长的时间里,不能少了政府在一定范围和一定程度上的介入,这种模式表示为 ( ) A.B-G B.B-C C.B-B D.C-C 2.在电子商务的安全需求中,交易过程中必须保证信息不会泄露给非授权的人或实体指的是( ) A.可靠性 B.真实性 C.机密性 D.完整性 3.通过一个密钥和加密算法可将明文变换成一种伪装的信息,称为 ( ) A.密钥 B.密文 C.解密 D.加密算法 4.与散列值的概念不同的是 ( ) A.哈希值
B.密钥值 C.杂凑值 D.消息摘要 5.SHA的含义是 ( ) A.安全散列算法 B.密钥 C.数字签名 D.消息摘要 6.《电子计算机房设计规范》的国家标准代码是 ( ) A. GB50174-93 B.GB9361- 88 C. GB2887-89 D.GB50169- 92 7.外网指的是 ( ) A.非受信网络 B.受信网络 C.防火墙内的网络 D.局域网 8.IPSec提供的安全服务不包括 ( ) A.公有性 B.真实性 C.完整性
D.重传保护 9.组织非法用户进入系统使用 ( ) A.数据加密技术 B.接入控制 C.病毒防御技术 D.数字签名技术 10. SWIFT网中采用了一次性通行字,系统中可将通行字表划分成_______部分,每部分仅含半个通行字,分两次送给用户,以减少暴露的危险性。 ( ) A.2 B.3 C.4 D.5 11.Kerberos的域内认证的第一个步骤是 ( ) A. Client →AS B. Client ←AS C.Client AS D.AS Client 12._______可以作为鉴别个人身份的证明:证明在网络上具体的公钥拥有者就是证书上记载的使用者。 ( ) A.公钥对 B.私钥对 C.数字证书
浅谈电子商务网上支付安全问题(南财自考毕 业论文) 南京财经大学本科毕业论文 浅谈电子商务网上支付安全问题 摘要: 电子商务不仅使企业降低了生产与销售成本,而且给消费者提供 了更多的可选择资源。所以近二十年来,我国的电子商务取得了迅猛的发展,已经深入国民经济和百姓日常生活的各个方面。但是,网上支付作为电子商务交易过程中最重要的环节之一,其安全问题依旧是阻碍电子商务健康发展的瓶颈。电子商务的安全问题不仅会造成不可估量的的经济损失,而且使得人民对电子商务的信心受创。首先通过了解现有的网上支付工具及其特点,然后对现阶段网上支付的出现的安全问题进行了分析,最后提出了解决这些安全问题的相应对策。采取多种措施应解决安全问题,促进我国电子商务的健康和谐的发展。 关键词:电子商务;网上支付;安全 1 南京财经大学本科毕业论文 Abstract
Electronic merce not only makes the enterprises production and reduce cost of sales, and to provide consumers with more choice of resources. In recent twenty years, China's e-merce has achieved rapid development, has been the national economy and people's daily life in all aspects. However, the online payment of e-merce transaction process as one of the most important segment, its security problem is still hindered the healthy development of the bottleneck of electronic merce. The security problem of electronic merce will not only cause inestimable economic losses, but also makes people's faith to the electronic mercial hit. First, by understanding the existing online payment tool and its characteristics, then on the stage of the online payment security problems are analyzed, finally put forward a solution to these problems of the corresponding countermeasures. Adopt a variety of measures to solve the security problem of electronic merce in China, promote the healthy and harmonious development Key words: electronic merce;online payment; security 2
电子商务安全期末复习题(1) 一、单项选择题 1.TCP/IP协议的安全隐患通常不包括( ) A.拒绝服务 B.顺序号预测攻击 C.TCP协议劫持入侵 D.设备的复杂性 2.防火墙技术中,内网这通常指的是( ) A.受信网络 B.非受信网络 C.防火墙内的网络 D.互联网 3.数字签名技术使用几把钥匙进行加解密?( ) A.2把 B.1把 .3把 D.4把 4.信息安全技术的核心是( ) A.PKI B.SET C.SSL D.ECC 5.Internet接入控制不能对付以下哪类入侵者? ( ) A.伪装者 B.违法者 C.内部用户 D.地下用户 6.CA不能提供以下哪种证书? ( ) A.个人数字证书 B.SSL服务器证书 C.安全电子邮件证书 D.SET服务器证书 7.通常为保证商务对象的认证性采用的手段是( ) A.信息加密和解密 B.信息隐匿 C.数字签名和身份认证技术 D.数字水印 8.以下哪一项不在证书数据的组成中? ( ) A.版本信息 B.有效使用期限 C.签名算法 D.版权信息 9.计算机病毒的特征之一是( ) A.非授权不可执行性 B.非授权可执行性 C.授权不可执行性 D.授权可执行性 10. 在对称加密体制中,密钥被分解为一对,一个是公开密钥,一个是私用密钥。 ( ) A、对 B、错 11. 要使网上交易成功,参与交易的人首先要能确认对方的身份,确定对方的真实身份与对方所声称的是否一致。 ( ) A.对 B.错 12.对身份证明系统的要求之一是( ) A.具有可传递性 B.具有可重用性 C.示证者能够识别验证者 D.验证者正确识别示证者的概率极大化 13.阻止非法用户进入系统使用( ) A.病毒防御技术 B.数据加密技术 C.接入控制技术 D.数字签名技术
2006年1月 一、单项选择题(本大题共20小题,每小题1分,共20分) 1.保证商业服务不可否认的手段主要是( ) A.数字水印B.数据加密 C.身份认证D.数字签名 2.DES加密算法所采用的密钥的有效长度为( ) A.32 B.56 C.64 D.128 3.在防火墙技术中,我们所说的外网通常指的是( ) A.受信网络B.非受信网络 C.防火墙内的网络D.局域网 4.《电子计算机房设计规范》的国家标准代码是( ) A.GB50174—93 B.GB50174—88 C.GB57169—93 D.GB57169—88 5.通行字也称为( ) A.用户名B.用户口令 C.密钥D.公钥 6.不涉及 ...PKI技术应用的是( ) A.VPN B.安全E-mail C.Web安全D.视频压缩 7.多级安全策略属于( ) A.最小权益策略B.最大权益策略 C.接入控制策略D.数据加密策略 8.商户业务根据其使用的证书以及在网上交易是否遵循SETCo标准分为( ) A.SET标准商户业务规则与SSL标准商户业务规则 B.SET标准商户业务规则与Non-SSL标准商户业务规则 C.SET标准商户业务规则与Non-SET标准商户业务规则 D.Non-SET标准商户业务规则与SSL标准商户业务规则 9.SHECA指的是( ) A.上海市电子商务安全证书管理中心 B.深圳市电子商务安全证书管理中心 C.上海市电子商务中心 D.深圳市电子商务中心 10.以下哪一项是密钥托管技术?( ) A.EES B.SKIPJACK C.Diffie-Hellman D.RSA 11.公钥体制用于大规模电子商务安全的基本要素是( ) A.哈希算法B.公钥证书 C.非对称加密算法D.对称加密算法 1
40 摘 要:一个电子商务的完整流程包括商流、信息流、资金流和物流。其中资金流和物流是阻碍电子商务发展的两大瓶颈。然而当今电子商务网络支付是电子商务资金流的主流形式,那么网路安全支付无疑成了电子商务人最关心的核心问题。如果这个环节电子商务最主要的瓶颈问题不能解决,那么真正实现电子商务就成了不可能。虽然现今电子支付已经成为了主流的支付形式但是其中仍然存在着诸多问题。 关键词:电子商务;网络安全;网络支付 一、早期电子商务的资金流 最初的电子商务不涵盖资金流的功能,一个电子商务只包括商流、信息流、物流的功能。资金流的任务依然是由传统的支付手段来承担(如电话、传真和邮局汇款,银行转帐、汇款等形式)完成的。不过,对于飞速发展电子商务来说,这些付款方式与其声称的方便性与实效性是不相称的。因此,电子商务的进一步发展必然要求网络支付的同步。传统支付和结算必然应适应电子商务环境的特点而加以变革和更新,乃至创造出某种全新的支付模式来适应电子商务的迅猛发展。 二、目前电子商务的发展形势及支付安全问题 1、我国网民规模达到4.2亿 商务类应用显著提升 2010年7月15日,中国互联网络信息中心(CNNIC)在京发布了《第26次中国互联网络发展状况统计报告》(以下简称《报告》)。《报告》显示,截至2010年6月底,我国网民规模达4.2亿人,互联网普及率持续上升增至31.8%。手机网民成为拉动中国总体网民规模攀升的主要动力,半年内新增4334万,达到2.77亿人,增幅为18.6%。值得关注的是,互联网商务化程度迅速提高,全国网络购物用户达到1.4亿,网上支付、网络购物和网上银行半年用户增长率均在30%左右,远远超过其他类网络应用。(数据来源于:https://www.doczj.com/doc/2818824325.html,/) 2、商务应用快速发展 网络安全仍为最大制约因素 CNNIC《报告》显示,2010年上半年,我国网民的互联网应用表现出商务化程度迅速提高、娱乐化倾向继续保持、沟通和信息工具价值加深的特点,其中,商务类应用表现尤其突出。截至2010年6月底,网络购物、网上支付和网上银行的使用率分别为33.8%、30.5%和29.1%,用户规模分别达到1.42亿、1.28亿、1.22亿,半年用户规模增幅分别为31.4%,36.2%和29.9%,增速在各类网络应用中排名前三。尽管如此,网络商务应用仍然受到各种安全因素的困扰。CNNIC 调查发现,仅2010年上半年,就有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击;30.9%的网民账号或密码被盗过;电子商务网站访问者中89.2%的人担心假冒网站,其中,86.9%的人表示如果无法获得该网站进一步的确认信息,将会选择退出交易。网络安全和信任问题已经成为网络商务深层次发展的最大制约因素,互联网向商 务交易型应用的发展,急需建立更加可信、可靠的网络环境。(数据来源于:https://www.doczj.com/doc/2818824325.html,/) 3、影响电子商务网络安全支付的主要问题 目前影响电子商务支付安全的问题主要有,网络攻击、密码盗窃、网络病毒、网络体制、电子商务安全机制等问题。如何通过现有的网络技术如网络认证技术、数据加密、防火墙技术、各种交易协议(如SET-Secure Electronic Transaction “安全电子交易协议”、和SSL-Secure Socket Layer Protocol “安全套接层协议”)、客户端浏览技术等来保证电子商务资金流的安全和畅通就显得非常的紧迫和必要。其中,支付系统的可靠和安全,是整个电子商务支付的基础和保障。 三、网络支付概述 1、什么是网络支付 网络支付是通过电子信息化的手段实现交易中的价值交换,英文为“Online Payment”或者“Internet Payment”是指以计算机网络系统特别是互联网系统,以电子信息传递的形式来实现资金的流通和支付。 2、网络支付与电子商务的关系 电子商务四要素,商流、信息流、资金流、物流。随着电子商务的深入发展四要素将进行网络整合,那样电子商务的方便、快捷、高效才能得以实现。整合后的电子商务各要素之间的依存度就更高了,彼此之间每一个环节出现脱节都将对现在的电子商务产生致命的木桶效应。 3、网络支付方式简介 目前网络支付工具主要有银行卡包括(信用卡、借记卡)、电子支票、电子现金、还有第三方支付平台等。有了这些常用的支付工具,就可以通过一些常用的互联网支付手段来实现网络支付。 (1)银行卡是电子支付中最常用的工具,在实际应用中最简单。首先是支付者在电子商务网站或者平台上完成购物过程,在支付这环节上电子平台直接引导支付者进入到银行的网银系统完成支付。但是这一过程容易泄漏客户的信息给商家。商家的信誉难以做到保证或者约束难免出现安全问题和网络支付纠纷。 (2)第三方保证支付,这种种方式也可以相对降低网络支付的风险。在进行网络支付时,银行卡号以及密码的披露只在持卡人和银行之间转移,降低了应通过商家转移而导致的风险。 当然第三方是除了银行以外的具有良好信誉和技术支持能力的某个机构,实际支付是消费者从银行的安全通道向第三方几机构转移资金,然后消费者消费时又从第三方的帐户中向卖家支付,其实卖家的帐户也由第三方提供。这样资金就可以在第三方在持卡人或者客户和银行之间进行转移。持卡人和第三方以替代银行帐号的某种电子数据反映账户信息及传递帐户信息,避免了持卡人将银行信息直接透露给商家,另外付款方也可以不必登录不同的网上银行界面,只要用第三方提供的熟悉界面就可以实 电子商务网络安全支付问题浅析 文/谭汉元
四、名词解释题 1.计算上安全: 如果一个密码体制对于拥有有限资源的破译者来说是安全的,则称这样的密码体制是计算上安全的,计算上安全的密码表明破译的难度很大。 2.SSL协议: 是基于TCP/IP的安全套接层(Secure Sockets Layer)协议,由Netscape 开发,是服务器与客户机之间安全通信的加密机制,用一个密钥加密在SSL连接上传输的数据。 3.身份证明系统: 身份证明系统由三方组成,一方是出示证件的人,称做示证者,由称申请者,提出某种要求;另一方为验证者,检验示证者提出的证件的正确性和合法性,决定是否满足其要求;第三方示可信赖者,用以调解纠纷。 4.PKI: PKI即“公钥基础设施”,是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范,它能够为所有网络应用提供加密和数字签名等,密码服务及所必要的密钥和证书管理体系。 5.单钥密码体制: 单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。使用单钥密码体制时,通信双方A、B必须相互交换密钥,当A发送信息给B时,A 用自己的加密密钥进行加密,而B在接收到数据后,用A的密钥进行解密。单钥密码体制又称做秘密密钥体制或对称密钥体制。 五、简答题 1.在交易双方的通信过程中如何实现源的不可否认性? (1)源的数字签名; (2)可信赖第三方的数字签名; (3)可信赖第三方对消息的杂凑值进行签名; (4)可信赖第三方的持证; (5)线内可信赖第三方; (6)上述方法的适当组合。 2.电子商务安全的中心内容是什么? (1)商务数据的机密性; (2)商务数据的完整性; (3)商务对象的认证性; (4)商务服务的不可否认性; (5)访问控制性; 3.简述SSL的体系结构。 SSL协议共由四个协议组成,它们是SSL记录协议,SSL更改密码规格协议,SSL警报协议,SSL握手协议。 (1)SSL记录协议,定义了信息交换中所有数据项的格式。其中,MAC是一个定长数据,用于信息的完整性;信息内容是网络的上一层——应用层传来的数据;附加数据是加密后所产生的附加数据。
一电子支付安全问题分析 社会信用度欠缺,用户对电子支付的安全性信心不足 据《中国电子商务诚信状况调查》显示,有%的企业和26. 34%的个人认为电子商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企业最关注的问题之一。目前,在网上传得沸沸扬扬的“江西精彩生活”利用传销电子商务“外衣”拉人事件就给了人们不良印象,唐庆南创办开通的太平洋直购官方网站,以“收取保证金”“购物返利”等形式推出了涉及供应商、渠道商、消费者和电子商务平台四方的BMC模式。以“拉人头”“收取入门费”等方式发展渠道商,收取保证金,获取非法利益,造成了严重的社会危害,涉嫌传销违法犯罪。这一案例使得人们对于网上交易又开始望而却步。电子支付产业发展迅速,但市场秩序仍不规范 随着互联网的迅猛发展,网上金融服务在世界范围内部如火如荼地开展了起来。2010年,江西省农村信用社网上银行--“百福网上银行”正式开通,江西省农村信用社发放的百福借记卡数量增长明显,同时积极与第三方机构合作,成功开发多功能受理终端并快速实现投放和应用,有效满足了江西省农村信用社持卡用户和中小商户的支付需求。与以往相比,用户可选择的支付手段和方式丰富了许多。 然而,电子支付的巨大市场前景与目前整体产业环境形成较大落差,造成了这一产业方向不明的现状。目前国内有关法律法规对电子支付的权利和义务规定不清晰,缺乏网络消费和服务权益保护管理规则,没有专门的法律来规范网络银行的经营和使用。特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验。第三方支付企业的法律性质的定位问题;第三方支付企业是否具备向用户提供电子支付服务的资质与能力的问题;银行与第三方支付机构对电子支付过程中应当采取哪些风险防范的问题;在电子支付过程中发生纠纷时责任的划分与举证责任的认定问题等。另外,我国网络银行的信息跟踪、检测、信息报告交流制度的相关法律规则都未建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处。网络侵权行为和网络信息恶意被盗行为时有发生网络侵权行为主要有: (1)互联网服务提供商(ISP Internet ServiceProvider)的侵权行为。例如:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。 (2)互联网内容提供商( ICP
《电子商务安全与支付》考纲、试题 、答案 一、考试说明 《电子商务安全与支付》是电子商务的分支学科,它主要针对翻新的网络破坏和犯罪形式,新的安全技术不断出现和被采用,有力地保障了电子商务的正常开展,本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题,同时涉及交易系统安全管理,介绍电子商务安全的相关法律和电子商务安全解决方案。 本课程闭卷考试,满分100分,考试时间90 分钟。考试试题题型及答题技巧如下: 一、单项选择题(每题2分,共20 分) 二、多选选择题(每题3分,共15 分) 三、名词解释题(每题 5 分,共20 分) 四、简答题(每题9分,共27 分) 答题技巧:能够完整例举出所有答题点,不需要全部展开阐述,适当展开一些,但一定要条理清晰,字迹工整,结构明朗。 五、分析题(每题9 分,共18分) 答题技巧:对所考查的问题进行比较详尽的分析,把握大的方向的同时要尽可能的展开叙述,对问题进行分析,回答问题要全面,同时注意书写流畅、条理清晰。 二、复习重点内容 第1xx 电子商务安全概述 1. 网络攻击的分类(重点掌握):WEB欺骗、网络协议攻击、IP欺骗、远程攻击
2. 电子商务的安全性需求(了解):有效性、不可抵赖性、严密性 3?因特网的主要安全协议(了解):SSL协议、S-HTTP协议、SET协议 4. 数字签名技术、防火墙技术(了解) 第2xx 信息系统安全防范技术、 1 .电子商务的安全性需求(重点掌握):有效性、不可抵赖性、严密性 2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒(了解) 3. 计算机病毒的传播途径(重点掌握):(1)因特网传播:① 通过电子邮件传播,② 通过浏览网页和下载软件传播,③ 通过及时通讯软件传播;(2)局域网传播;(3)通过不可转移的计算机硬件设备传播;(4)通过移动存储设备传播;(5)无线设备传播。 4. 特洛伊木马种类(重点掌握):破坏型特洛伊木马、破坏型特洛伊木马、 远程访问型特洛伊木马、常规的计算机病毒的防范措施(重点掌握):(1)建立良好的安全习惯;(2)关闭或删除系统中不键盘记录型特洛伊木马 5. 需要的服务;(3)经常升级操作系统的安全补丁;(4)使用复杂的密码;(5)迅速隔离受感染的计算机;(6) 安徽专业的防病毒软件进行全面监控;(7)及时安装防火墙 6.防火墙的类型(重点掌握):包过滤防火强、代理服务器防火墙 7?防火墙的安全业务(重点掌握):用户认证、域名服务、邮件处理、IP安全保护第 3 章虚拟专用网络技术 1. VPN网络安全技术包括(了解):隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。 2?隧道协议的构成(了解):PPTP协议、L2TP IPSec/SSTP 第4xx 数据备份与灾难恢复技术
电子商务安全导论实践试题及答案 1.简单的加密算法的代码编写(凯撒密码) 2.电子商务安全认证证书的网上申请以及使用说明 3.你使用的机器上本地安全设置中的密码策略如何 4.说明你所使用的机器上的公钥策略基本情况 5.本机IP安全策略中的安全服务器(要求安全设置)属性以及基本情况 6.本机IP安全策略中的客户端(只响应)属性的基本情况 7.本机IP安全策略中的服务器(请求安全设置)属性和基本情况如何(编辑规则常规高级方法) 8.说明智能卡是是如何进行用户鉴别的 9.本机上证书的使用情况 10.上网查询江苏省电子商务安全证书的基本情况 11.说明木马在win.ini条件下的症状如何 12.举例说明你所使用的个人防火墙的功能项目以及使用方法 13.介绍一种你所熟悉的黑客攻击技术 14.你的手头没有什么专用安全软件工具如何手动检查系统出现的安全问题 15.查阅有关资料分析极速波I-WORM/ZOBOT 的技术方法 解答 《一》简单的加密算法的代码编写(凯撒密码) 凯撒密文的破解编程实现 凯撒密文的破解编程实现 近来安全的发展,对密码学的研究越来越重要,虽然我们现在大多采用的是 非对称密码体制,但是同时由于处理及其它的一些重要原因,对传统密码仍然 是在大量的使用,如移位,替代的基本思想仍然没有改变,我个人认为,将来 的很长时间内,我们必将会花大量的时间对密码学进行研究,从而才能促进我
们的电子政务,电子商务的健康发展,下面我要谈的是对一个古典密码----- 凯撒(kaiser)密码的的解密,也就是找出它的加密密钥,从而进行解密,由于 它是一种对称密码体制,加解密的密钥是一样的,下边简单说明一下加解密 加密过程: 密文:C=M+K (mod 26) 解密过程: 明文:M=C-K (mod 26) 详细过程请参考相关资料 破解时主要利用了概率统计的特性,E字母出现的概率最大。 加密的程序实现我就不说了, 下面重点说一下解密的程序实现:我是用C写的,在VC6.0下调试运行正确 #include"stdio.h" #include"ctype.h" #include"stdlib.h" main(int argc ,char *argv[]) { FILE *fp_ciper,*fp_plain; //密文与明文的文件指针 char ch_ciper,ch_plain; int i,temp=0; //i用来存最多次数的下标 //temp用在求最多次数时用 int key; //密钥 int j; int num[26]; //保存密文中字母出现次数 for(i = 0;i < 26; i++) num = 0; //进行对num[]数组的初始化 printf("======================================================\n"); printf("------------------BY 安美洪design--------------------\n"); printf("======================================================\n"); if(argc!=3) { printf("此为KAISER解密用法:[文件名] [密文路径] [明文路径]\n"); printf("如:decryption F:\ciper_2_1.txt F:\plain.txt\n"); } //判断程序输入参数是否正确
2019年10月全国自考电子商务安全导论试题 一、单项选择题: 1.美国的橘皮书中为计算机安全的不同级别制定了4个标准:A、B、C、D级,其中B级又分为B1、B2、B3三个子级,C级又分为C1、C2两个子级。以下按照安全等级由低到高排列正确的是 A.A、B1、B2、B3、C1、C2、D B.A、B3、B2、B1、C2、C1、D C.D、C1、C2、B1、B2、B3、A D.D、C2、C1、B3、B2、B1、A 2.以下不属于电子商务遭受的攻击是 A.病毒 B.植入 C.加密
D.中断 3.第一个既能用于数据加密、又能用于数字签名的算法是 A. DES B.EES C.IDEA D. RSA 4.下列属于单钥密码体制算法的是 A.RC-5加密算法 B.rs密码算法 C. ELGamal密码体制 D.椭圆曲线密码体制
5.MD5散列算法的分组长度是 A.16比特 B.64比特 C.128比特 D.512比特 6.充分发挥了DES和RSA两种加密体制的优点,妥善解决了密钥传送过程中的安全问题的技术是 A.数字签名 B.数字指纹 C.数字信封 D.数字时间戳 7.《电气装置安装工程、接地装置施工及验收规范》的国家标准代码
是 A.GB50174-93 B.GB9361-88 C.GB2887-89 D.GB50169-92 8.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72:97)的要求,设备间室温应保持的温度范围是 A.0℃-10℃ B.10℃-25℃ C.0℃-25℃ D.25℃-50℃ 9.内网是指
A.受信网络 B.非受信网络 C.防火墙外的网络 D.互联网 10.检查所有进出防火墙的包标头内容的控制方式是 A.包过滤型 B.包检验型 C.应用层网关型 D.代理型 11.对数据库的加密方法通常有多种,以下软件中,属于使用专用加密软件加密数据库数据的软件是 A. Microsoft Access B. Microsoft Excel
1、电子商务面临的安全威胁 (1)计算机网络风险。物理安全问题、网络安全问题、网络病毒威胁、黑客攻击、电子商务网站自身的安全问题。 (2)电子商务交易风险。在线交易主的市场的准入、信息风险、信用风险、网上欺骗犯罪、电子合同问题、电子支付问题、在线消费者保护问题、电子商务中产品交付问题、电子商务中虚拟财产的保护问题。 (3)管理风险。 (4)政策法律风险。 2、电子商务的安全要素 电子商务随时面临的威胁导致了电子商务的安全需求。一个安全的电子商务系统要求做到真实性、机密性、完整性和不可抵赖性等。 (1)真实性 (2)保密性 (3)有效性 (4)完整性 (5)不可抵赖性 3、电子商务交易安全保障体系是一个复合型系统:电子商务是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象不是一般的系统,而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(complex giant system)。它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。电子支付的应用现状:internet上的电子货币系统主要包括电子信用卡系统、电子支票系统和数字现金系统等 4、 (1)防火墙技术:定义,作用,应用场合(用在什么地方),缺点 所谓防火墙,就是在内部网(如Intranet)和外部网(如Internet)之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器,用来在两个或多个网络间加强访问控制、实施相应的访问控制策略,力求把那些非法用户隔离在特定的网络之外,从而保护某个特定的网络不受其他网络的攻击,但又不影响该特定网络正常的工作。 功能:过滤进出、网络的数据; 管理进、出网络的访问行为; 封堵某些禁止的业务; 记录通过防火墙的信息内容和活动 对网络攻击检测和警报。 分类:根据防火墙在网络上的物理位置和在OSI(Open System Interconnect Reference Model,开放式系统互联参考模型)七层协议中的逻辑位置以及所具备的功能,可作如下的分类:线路级网关、包过滤路由器、应用网关、双重基地型网关、屏蔽主机防火墙、屏蔽主网防火墙、包过滤型防火墙、代理服务器型防火墙、复合型防火墙、物理隔离技术。 包过滤型防火墙:包过滤防火墙是最简单的防火墙,一般在路由器上实现。包过滤防火墙通常只包括对源和目的IP地址及端口的检查。包过滤防火墙的最大优点就是它对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常做为第一道防线。包过滤防火墙的弊端也是很明显的,通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录。另外,包过滤防火墙需从建立安全策略和过滤规则集入手,需要花费大量的时间和人力,还要不断根据新情况不断更新过滤规则集。同
一、名词解释 1、网络营销:是企业整体营销的一个组成部分,借助互联网、计算机通信和数字交互式媒体,来满足客户需求,实现企业营销目标的一系列活动。 2、移动电子商务:是指对通过移动网络进行数据传输,并利用手机等移动终端开展各种商业经营活动的一种新电子商务模式。 3、电子钱包:是一种虚拟钱包,它以智能卡为电子支付系统,增加了多种用途,具有信息储存、查询管理、安全密码锁等功能。 4、电子数据交换技术EDI:是一种用于计算机之间商业信息传递的方式,包括买卖双方数据交换,企业内部数据交换等。它将贸易、运输、保险、银行和海关等行业信息,用一种国际公认的标准格式,形式结构化的事务处理报文数据格式,通过计算机通信网络,使有关部门、公司、企业之间进行数据交换与处理,并完成以贸易为中心的企业全部业务过程。(按照协议,对具有一定结构性的标准经济信息,经过电子数据、通信网络,在商业贸易伙伴的电子计算机系统之间进行交换和自动处理) 5、第三方支付系统:指的是与各大银行签约、具备一定实力和信誉保障的第三方独立机构提供的交易支持平台,如为淘宝网交易提供担保的支付宝。 6、DES对称密钥加密: 对称加密,又称私有密钥加密,他又且只有一个密钥,对信息进行加密和解密,加密密钥和解密密钥相同,即K=H。 7、RSA非对称密钥加密:非对称加密体制,这种加密法在加密和解密过程中要使用一对密钥,一个用与加密,另一上用于解密。即通过一个密钥加密的信息,只有使用另一个密钥才能够解密。 8、网上拍卖:是指网络服务商利用internet通信传输技术向商品所有者或某些权益所有人提供有偿或无偿使用的internet技术平台,让商品所有者或某些权益所有人在其平台上独立开展以竞价、议价方式为主的在线交易模式。 9、电子现金:它把现金数值转化为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值,用户在开展电子现金的银行开设账户并在账户内存钱后,就可以在接受电子现金的商家使用。 10、电子虚拟市场:是指商务活动中的生产者、中间商和消费者在某种程度上以数字方式进行交互式商业活动的市场,是传统实物市场的虚拟形态。 11、不完全电子商务:如果在全部商务活动中,至少有一个或一个以上的业务环节应用了IT技术的商务形态,一般称为不完全电子商务。 12、网络市场调研:就是基于互联网对网络营销决策相关的数据系统地进行计划、收集与分析,并把分析结果向管理者沟通的过程。 13、第三方物流:是指生产经营企业为集中精力搞好主业把原来属于自己处理的物流合同,以合同方式委托给专业物流服务企业,同时通过信息系统与物流服务业保持密切联系,以达到对物流全程的管理和控制的一种物流运作与管理方式。 14、网上拍买:也称反拍卖或标价求购,由卖方出价,卖方成了“买方”,其竞争的是向消费者提供服务的机会,反拍卖具体指消费者提出一个价格范围,求购其一商品,由商家出价,出价可以是公开或隐蔽的。消费者将与出价最低或最近的商家成交。 二、简答 1、网银的特点 1、高安全性:网络安全;通信安全 ;数据安全; 支付安全 2.方便,用户不受空间、时间的限制,享受每天24小时的不间断服务,即实现3A服务
绝密★考试结束前 全国2013年10月高等教育自学考试 电子商务安全导论试题 课程代码:00997 请考生按规定用笔将所有试题的答案涂、写在答题纸上。 选择题部分 注意事项: 1.答题前,考生务必将自己的考试课程名称、姓名、准考证号用黑色字迹的签字笔或钢笔填写在答题纸规定的位置上。 2.每小题选出答案后,用2B铅笔把答题纸上对应题目的答案标号涂黑。如需改动,用橡皮擦干净后,再选涂其他答案标号。不能答在试题卷上。 一、单项选择题(本大题共20小题,每小题1分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题纸” 的相应代码涂黑。错涂、多涂或未涂均无分。 1.病毒按破坏性划分可以分为 A.良性病毒和恶性病毒B.引导型病毒和复合型病毒 C.文件型病毒和引导型病毒D.复合型病毒和文件病毒 2.在进行身份证明时,用个人特征识别的方法是 A.指纹B.密码 C.身份证D.密钥 3.下列选项中,属于电子邮件的安全问题的是 A.传输到错误地址B.传输错误 C.传输丢失D.网上传送时随时可能被人窃取到 4.RC-5加密算法中的可变参数不包括 ... A.校验位B.分组长 C.密钥长D.迭代轮数 5.一个明文可能有多个数字签名的算法是 00997# 电子商务安全导论试题第1页共5页
A.RSA B.DES C.Rabin D.ELGamal 6.数字信封技术中,加密消息密钥形成信封的加密方法是 A.对称加密B.非对称加密 C.对称加密和非对称加密D.对称加密或非对称加密 7.防火墙的组成中不包括 ...的是 A.安全操作系统B.域名服务 C.网络管理员D.网关 8.下列选项中,属于加密桥技术的优点的是 A.加密桥与DBMS是不可分离的B.加密桥与DBMS是分离的 C.加密桥与一般数据文件是不可分离的D.加密桥与数据库无关 9.在不可否认业务中保护收信人的是 A.源的不可否认性B.提交的不可否认性 C.递送的不可否认性D.A和B 10.为了在因特网上有一种统一的SSL标准版本,IETF标准化的传输层协议是 A.SSL B.TLS C.SET D.PKI 11.能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构是 A.CFCA B.CTCA C.SHECA D.PKI 12.下列选项中,属于中国电信CA安全认证系统结构的是 A.地市级CA中心B.地市级RA中心系统 C.省CA中心D.省RA中心系统 13.美国的橘黄皮书中为计算机安全的不同级别制定了D,Cl,C2,Bl,B2,B3,A标准,其中称为结构化防护的级别是 A.B1级B.Cl级 C.B2级D.C2级 14.下列选项中,属于提高数据完整性的预防性措施的是 A.加权平均B.信息认证 C.身份认证D.奇偶校验 00997# 电子商务安全导论试题第2页共5页
《网上支付与电子银行》课程设计报告 电子商务支付平台的安全问题
摘要 本文主要论述国内电子商务目前发展的概况,在电子商务高速发展中出现的技术问题、资金管理问题和第三方支付平台安全问题,并对这些问题进行了分析和说明。在此基础上提出了解决办法,这些办法包括技术、管理和用户资金的安全管理方面。进入21世纪,电子商务这种新商业运行模式日渐成熟与完善并随全球经济一体化进程的加快,在世界范围内日渐得到普及与应用。相对于传统商务模式,电子商务具有便捷、高效的特点与优点。电子商务是一个复杂的系统工程,它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。电子商务是网络化的新型经济活动,发展电子商务是以信息化带动工业化,转变经济增长方式,提高国民经济运行质量和效率,对实现我国全面建设小康社会的宏伟目标具有十分重要的意义。在加快发展电子商务的指导思想和基础原则鼓舞下,近年来我国电子商务有飞跃的发展,现已有阿里巴巴、淘宝、支付宝、易支付、腾讯、快钱、财付通、当当商城等电子商务网站和电子支付平台。目前经营额已超过2000亿,客户3亿多。在商务销售中占有一定比例,是我国电子商务走向成功、走向世界的先河。 1电子商务及其支付的一般功能 1.1电子商务功能电子商城具有B2B、B2C、B2G 电子商务交易模式 作为电子商务网站都具有:网上开店以及招商功能;广告宣传、展示商品、咨询洽谈;网上订购及网上资金自动支付功能;用户要在支付平台开设备付金账户;电子商务服务传递;用户意见征询;电子商务的扩展功能;公共事业缴费等。 1.2支付平台一般功能 1)商户:企业订单支付,个人订单支付;2)个人客户:个人订单支付,个人订单退款;3)公共事业:企业账单支付、个人账单支付;4)交易市场:企业订单支付、个人定单支付;5)支付平台:客户资金结算、市场资金结算、差错
电子商务安全技术试卷
————————————————————————————————作者:————————————————————————————————日期:
XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项: 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求,在规定的位置填写答案。 3. 不要在试卷上乱写乱画,不要在装订线内填写无关的内容。 4. 满分100分,考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题(共10分,每空1分): 1.电子商务安全从整体上分为( )和电子商务交易安全两大部分。 2.所谓加密,就是用基于( )方法的程序和保密的密钥对信息进行编码,把明文变成密文。 3.密码体制从原理上可分为单钥体制和( )。 4.链路-链路加密中,由于传送的信息在每个节点处都将以( )形式存在,故要加强每个节点的实体安全。 5. 电子商务活动是需要诚信的,如何来确定交易双方的身份就显得特别重要。目前,是通过认证中心(CA )发放( )来实现的。 6. 数字证书是利用数字签名和( )来分发的。 7. ( )允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8. 分布式防火墙是一种( )的安全系统,用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9. ( )又称灾难恢复,是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人
10. 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题(共10分,每题1分) 1.故意攻击网站触发安全问题,以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 ( ) 2.分组密码是一种重要的对称加密机制,它是将明文按一定的位长分组,输出不定长 度的密文。 ( ) 3.在代理多重签名中,一个代理签名可以代表多个原始签名人。 ( ) 4.数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接受方用 发送方的公开密钥进行解密。 ( ) 5.SSL 建立在TCP 协议之上,它与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。 ( ) 6.认证机构CA 和注册机构RA 都可以发放数字证书。 ( ) 7.实现防火墙的网络安全策略时,可以遵循的两条原则是:一是未被明确允许的一定 都将被禁止;二是未被明确禁止的未必都被允许。 ( ) 8.不连网的计算机不会感染计算机病毒。 ( ) 9.为了确保系统管理人员的忠诚可靠,系统管理的工作应当长期由一人来负责。( ) 10.计算机信息媒体出入境的普遍办理过程一般为先申报,后检测,最后报送。 ( ) 三、选择题(共40分,每小题2分) 1. 软件开发人员为了方便,通常也会在软件里留下“后门”,通过在后门里植入 ( ),很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2.确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 ( ) A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信,她需要用 什么来加密 ( ) A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中,不正确的是 ( ) A 、收方能够确认或证实发方的签名,但不能伪造 得 分 评分人 得 分 评分人
电子商务与物流实验指导书 《电子商务》错误!未指定书签。 指导教师: 经济管理学院
实验四:银行的网上支付系统与电子商务安全 一、实验目标 1.掌握几种网上支付模式。 2.理解网上支付模式的原理以及最安全的网上支付模式。 3.了解电子商务交易涉及的安全协议 二、实验程序及内容 1、对常用的几种支付模式(网上银行支付、第三方支付平台支付、虚拟货币支付)通过网上支付进行深入了解并写出实验报告。 2、请登陆支付宝安全中心,了解支付宝通过哪些手段来保障消费者的支付安全。 3、了解电子商务交易主要涉及哪些安全协议。
四、实验报告 (一)实验人信息 姓名:学号: 实验时间: (二)实验结果 1.网上支付体系涉及哪些主体?这些主体在支付系统中扮演何种角色? 答:网上支付主体。涉及网上商家、持卡人、银行和第三方认证机构。 2.第三方支付平台公司的优势和劣势是什么? 答: (一)第三方支付平台的优势: a)简化交易操作。第三方支付平台采用了与众多银行合作的方式,从而极大地方便了 网上交易的进行,对于商家来说,不需要安装各个银行的认证软件,从一定程度上简化了操作。 b)降低商家和银行的成本。对于商家第三方支付平台可以降低企业运营成本;对于银 行,可以直接利用第三方的服务系统提供服务,帮助银行节省网关开发成本。第三方支付平台能够提供增值服务,帮助商家网站解决实时交易查询和交易系统分析,提供方便及时的退款和止付服务。 c)第三方支付平台可以对交易双方的交易进行详细的记录,从而防止交易双方对交易 行为可能的抵赖,以及为在后续交易中可能出现的纠纷问题提供相应的证据。(二)第三方支付平台的劣势: a)法律制度不够完善 由于法律的不完备,并且没有建立起国家的信用体制,第三方支付的安全得不到很好的保证,独立于网络之外的物流活动的诚信风险依然存在。第三方支付存在的不足主要表现在:交易中出现纠纷买卖双方往往各执一词,相关部门取证困难;支付平台流程有漏洞,不可避免地出现人为耍赖,不讲信用的情况,这已成为第三方支付发展道路上必须完善和改进的地方。对第三方支付平台的监管也是个大问题。尽管第三方支付平台与银行签订了战略合作协议,但这些银行对“支付宝”账户上的资金是否“专款专用”并没有监督的权利和义务。这样就导致支付宝公司本身“类银行”的相关业务处于监管真空状态,这给使用“支付宝”的资金安全留下财务隐患。第三方支付工具提供了买卖双方现金交易的平台,这样就会导致有些人通过第三方支付工具进行洗钱,而有时候某些第三方支付工具不需要实名制就可以完成交易,同时国内的第三方支付平台都没有防止恶意交易的相关措施,这样洗钱就更为容易。如果相应的法律文件还不出台,第三方支付工具将有可能沦为不法分子的洗钱工具,为网络赌博等提供资金渠道。如果某个第三方