电子商务安全课程期末复习资料17641.docx

《电子商务安全课程期末复习资料17641.docx》由会员分享，可在线阅读，更多相关《电子商务安全课程期末复习资料17641.docx（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子商务安全课程期末复习资料电子商务安全课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全发展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥管理与分发技术第四节认证技术第五节数字水印与数字版权保护技术第三章电子商务安全协议第一节IP协议安全体系第二节电子邮件安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务交易系统的安全第三节电子商务交易中的物流安全第四节电子商务交易安全体系第五章电子商务的支付安全第一节电子商务支付概述第二节

2、电子商务支付安全需求第三节电子商务支付安全体系第四节电子商务安全支付平台第六章电子商务的信息安全第一节电子商务信息安全概述第二节电子商务信息安全目标第三节电子商务信息安全技术第四节电子商务信息安全评估第七章电子商务的网络安全第一节电子商务网络安全概述第二节电子商务网络系统安全目标第三节电子商务网络安全技术第四节电子商务网络安全策略与标准第五节电子商务网络安全评估第八章电子商务安全管理第一节电子商务安全管理概述第二节电子商务风险管理第三节电子商务系统管理第四节电子商务信用管理第五节电子商务人员管理与保密制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动

3、电子商务的安全策略第四节移动电子商务的安全管理第十章实验考核知识点: 数据加密技术参见讲稿章节：2-1附1.1.1（考核知识点解释）：所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。加密技术是网络安全技术的基石。考核知识点: ELGamal算法参见讲稿章节：2-1附1.1.2（考核知识点解释）：ElGamal算法，是一种较为常见的加密算法，它是基于1984年提

4、出的公钥密码体制和椭圆曲线加密体系。既能用于数据加密也能用于数字签名，其安全性依赖于计算有限域上离散对数这一难题。在加密过程中，生成的密文长度是明文的两倍，且每次加密后都会在密文中生成一个随机数K，在密码中主要应用离散对数问题的几个性质：求解离散对数（可能）是困难的，而其逆运算指数运算可以应用平方-乘的方法有效地计算。也就是说，在适当的群G中，指数函数是单向函数考核知识点: 数字签名参见讲稿章节：2-4附1.1.3（考核知识点解释）：数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被

5、人(例如接收者)进行伪造。数字签名一般是基于公钥密码体制的。考核知识点: VPN参见讲稿章节：7-3附1.1.4（考核知识点解释）：虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。考核知识点: 数字证书参见讲稿章节：2-4附1.1.5（考核知识点解释）：数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在

6、数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份考核知识点: 非对称加密技术参见讲稿章节：2-1附1.1.6（考核知识点解释）：RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。考核知识点: 认证技术参见讲稿章节：2-4附1.1.7（考核知识点解释）：C

7、A中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。考

8、核知识点: PKI参见讲稿章节：2-1附1.1.8（考核知识点解释）：PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。考核知识点: PKI参见讲稿章节：2-1附1.1.9（考核知识点解释）：PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。考核知识点: 交易安全中的不可否认性参见讲稿章节：4-2附1.1.10（考核知识点

9、解释）：不可否认性，又称抗抵赖性，即由于某种机制的存在，人们不能否认自己发送信息的行为和信息的内容。传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。在电子商务环境下，可以通过数字证书机制进行的数字签名和时间戳，保证信息的抗抵赖。考核知识点: 安全套接层协议SSL参见讲稿章节：3-4附1.1.11（考核知识点解释）：SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。考核知识点: 安全电子交易协议SET参见讲稿章节：3-5附1.1.1

10、2（考核知识点解释）：SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。考核知识点: 数据加密技术参见讲稿章节：2-1附1.1.13（考核知识点解释）：数据加密，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到

11、保护信息的安全的作用。考核知识点: 公钥密码体系参见讲稿章节：2-1附1.1.14（考核知识点解释）：密钥对在基于公钥体系的安全系统中，密钥是成对生成的，每对密钥由一个公钥和一个私钥组成。在实际应用中，私钥由拥有者自己保存，而公钥则需要公布于众。为了使基于公钥体系的业务（如电子商务等）能够广泛应用，一个基础性关键的问题就是公钥的分发与管理。公钥本身并没有什么标记，仅从公钥本身不能判别公钥的主人是谁。考核知识点: 散列算法参见讲稿章节：2-1附1.1.15（考核知识点解释）：产生一些数据片段（例如消息或会话项）的散列值的算法。好的散列算法具有根据输入数据中的变动来更改散列值结果的特性；因此，散列

12、对于检测在诸如消息等大型信息对象中的任何变化很有用。MD4是麻省理工学院教授Ronald Rivest于1990年设计的一种信息摘要算法。它是一种用来测试信息完整性的密码散列函数的实行。其摘要长度为128位，一般128位长的MD4散列被表示为32位的十六进制数字。这个算法影响了后来的算法如MD5、SHA 家族和RIPEMD等。考核知识点: SHA算法参见讲稿章节：2-1附1.1.16（考核知识点解释）：SHA将输入流按照每块512位（64个字节）进行分块，并产生20个字节的被称为信息认证代码或信息摘要的输出。该算法输入报文的长度不限，产生的输出是一个160位的报文摘要。输入是按512 位的分组

13、进行处理的。SHA-1是不可逆的、防冲突，并具有良好的雪崩效应。对于长度小于264位的消息，SHA1会产生一个160位的消息摘要。该算法经过加密专家多年来的发展和改进已日益完善，并被广泛使用。该算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段（通常更小）密文，也可以简单的理解为取一串输入码（称为预映射或信息），并把它们转化为长度较短、位数固定的输出序列即散列值（也称为信息摘要或信息认证代码）的过程。散列函数值可以说是对明文的一种“指纹”或是“摘要”所以对散列值的数字签名就可以视为对此明文的数字签名。考核知识点: 计算机病毒参见讲稿章节：6-3附1.1.17（考核知识点解释）：计算

14、机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。考核知识点: IPSec参见讲稿章节：7-3附1.1.18（考核知识点解释）：IPSec是IETF（Internet Engineering Task Force，Internet工程任务组）的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证

15、、数据完整性检查和防止重放攻击。IPSec的安全服务要求支持共享密钥完成认证和/或保密，并且手工输入密钥的方式是必须要支持的，其目的是要保证IPSec协议的互操作性。当然，手工输入密钥方式的扩展能力很差，因此在IPSec协议中引入了一个密钥管理协议，称Internet密钥交换协议IKE，该协议可以动态认证IPSec对等体，协商安全服务，并自动生成共享密钥。考核知识点: 访问控制技术参见讲稿章节：7-3附1.1.19（考核知识点解释）：防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内使用。意指，用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的

16、一种技术，如UniNAC，网络准入控制系统的原理就是基于此技术之上。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。考核知识点: 安全认证技术参见讲稿章节：2-4附1.1.20（考核知识点解释）：身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题。考核知识点: 密钥管

17、理技术参见讲稿章节：2-3附1.1.21（考核知识点解释）：密钥管理包括，从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。考核知识点: 认证技术参见讲稿章节：2-4附1.1.22（考核知识点解释）：数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。考核知识点: 数字签名参见讲稿章节：2-4附1.1.23（考核知识点解释）：代码签名证书是VeriSign针对网上

18、发布控件、应用程序、驱动程序等产生的代码安全问题提供的一种安全、可信产品，能满足各种数字签名的应用需要，让内容提供商和软件开发商能数字签名其软件代码、宏代码、设备驱动程序、硬件固化程序、病毒更新码、配置文件等。考核知识点: 电子邮件安全协议参见讲稿章节：3-2附1.1.24（考核知识点解释）：安全多媒体Internet邮件扩展协议（S/MIME），主要用于保障电子邮件的安全传输。采用数字标识、数字凭证、数字签名以及非对称密钥系统等技术，构成一种签名加密的邮件收发方式。S/MIME是多功能电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。考核知识点: 数字签名参见讲稿章节：2-4附1.1.

19、25（考核知识点解释）：PGP技术不但可以对电子邮件加密，防止非授权者阅读信件；还能对电子邮件附加数字签名，使收信人能明确了解发信人的真实身份；也可以在不需要通过任何保密渠道传递密钥的情况下，使人们安全地进行保密通信。PGP技术创造性地把RSA不对称加密算法的方便性和传统加密体系结合起来，在数字签名和密钥认证管理机制方面采用了无缝结合的巧妙设计，使其几乎成为最为流行的公钥加密软件包。考核知识点: 安全套接层协议参见讲稿章节：3-5附1.1.26（考核知识点解释）：SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户，商家，银行

20、之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。考核知识点: 电子商务参见讲稿章节：1-1附1.1.27（考核知识点解释）：电子商务是以信息网络技术为手段，以商品交换为中心的商务活动；也可理解为在互联网（Internet）、企业内部网（Intranet）和增值网（VAN，Value Added Network）上以电子交易方式进行交易活动和相关服务的活动，是传统商业活动各环节的电子化、网络化、信息化。考核知识点: 电子商务参见讲稿章节：1-1附1.1.28（考核知识点解释）：电子商务是以信息网络技术为手段，以

21、商品交换为中心的商务活动；也可理解为在互联网（Internet）、企业内部网（Intranet）和增值网（VAN，Value Added Network）上以电子交易方式进行交易活动和相关服务的活动，是传统商业活动各环节的电子化、网络化、信息化。考核知识点: 数据加密参见讲稿章节：2-1附1.1.29（考核知识点解释）：数据加密，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。考核知识点: 散列函数参

22、见讲稿章节：2-1附1.1.30（考核知识点解释）：散列值是将值从一个大的（可能很大）定义域映射到一个较小值域的（数学）函数。“好的”散列函数是把该函数应用到大的定义域中的若干值的（大）集合的结果可以均匀地（和随机地）被分布在该范围上。考核知识点: 散列函数参见讲稿章节：2-1附1.1.31（考核知识点解释）：SHA (Secure Hash Algorithm，译作安全散列算法) 是美国国家安全局 (NSA) 设计，美国国家标准与技术研究院(NIST) 发布的一系列密码散列函数。SHA 散列函数已被做为 SHACAL 分组密码算法的基础。考核知识点: 电子商务网络安全技术参见讲稿章节：7-3

23、附1.1.32（考核知识点解释）：所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。这里所说的外网一般是指不受信任的外部Internet网络，而内网是完全受信任的企业内部网络。考核知识点: IP安全协议体系参见讲稿章节：3-1附1.1.33（考核知识点解释）：Internet 协议安全性 (IPSec)是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进

24、行保密而安全的通讯。IPSec通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。考核知识点: 数字证书参见讲稿章节：2-4附1.1.34（考核知识点解释）：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。考核知识点: 数字证书参见讲稿章节：2-4附1.1.35（考核知识点解释）：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥

25、的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。考核知识点: PKI参见讲稿章节：2-4附1.1.36（考核知识点解释）：PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分：X.509 格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）；CA操作协议；CA管理协议；CA政策制定。CA是PKI的核心，CA负责管理PKI结构下

26、的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。考核知识点: PKI参见讲稿章节：2-4附1.1.37（考核知识点解释）：PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分：X.509 格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）；CA操作协议；CA管理协议；CA政策制定。CA是PKI的核心，C

27、A负责管理PKI结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。考核知识点: PKI参见讲稿章节：2-1附1.1.38（考核知识点解释）：PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。考核知识点: 电子商务参见讲稿章节：1-1附1.2.1（考核知识点解释）：电子商务通常是指在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用

28、方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。各国政府、学者、企业界人士根据自己所处的地位和对电子商务参与的角度和程度的不同，给出了许多不同的定义。电子商务分为：ABC、B2B、B2C、C2C、B2M、M2C、B2A（即B2G）、C2A（即C2G）、O2O 等。考核知识点: 电子商务安全参见讲稿章节：1-2附1.2.2（考核知识点解释）：信息安全技术在电子商务系统中的作用非常重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极

29、大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 电子商务的网络安全技术参见讲稿章节：7-3附1.2.3（考核知识点解释）：网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙产品

30、主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型。考核知识点: 电子商务的网络安全技术参见讲稿章节：7-3附1.2.4（考核知识点解释）：网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。考核知识点: 认证技术参见讲稿章节：2-4附1.2.5（考核知识点解释）：数字证书就是互联网通讯中标志通讯各方身份信息的一串数字

31、，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。考核知识点: 认证技术参见讲稿章节：2-4附1.2.6（考核知识点解释）：数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构C

32、A机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。考核知识点: 非对称加密技术参见讲稿章节：2-1附1.2.7（考核知识点解释）：非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法称为非对称加密算法。考核知识点: 电子商务支付安全参见讲稿章节：5-3附1.2.8（考核知识点解释）：电子

33、支付又称为电子结算，是以金融互联网为基础，以商用电子化工具和各类电子货币为媒介，以计算机技术和通信技术为手段，通过电子数据存储和传递的形式在通信网络系统上实现资金的流通与支付。考核知识点: 电子商务支付安全参见讲稿章节：5-3附1.2.9（考核知识点解释）：电子支付又称为电子结算，是以金融互联网为基础，以商用电子化工具和各类电子货币为媒介，以计算机技术和通信技术为手段，通过电子数据存储和传递的形式在通信网络系统上实现资金的流通与支付。考核知识点: 电子商务支付安全参见讲稿章节：5-3附1.2.10（考核知识点解释）：电子钱包是电子商务购物活动中常用的支付工具。在电子钱包内存放的电子货币，如电子

34、现金、电子零钱、电子信用卡等。使用电子钱包购物。通常需要在电子钱包服务系统中进行。电子商务活动中电子钱包的软件通常都是免费提供的。在电子钱包内只能完全装电子货币，即装入电子现金、电子零钱、安全零钱、电子信用卡、在线货币、数字货币等。这些电子支付工具都可以支持单击式支付方式。考核知识点: 电子商务支付方式参见讲稿章节：5-3附1.2.11（考核知识点解释）：微支付指小额电子支付，其价值通常低于其电子支付方式的成本，因此需要专门的机制来提供高效率和低成本的安全性。微支付的每笔交易额较低，因此，具有较高交易成本和计算成本的支付机制是不适用的。由于微支付每一笔的交易额小，即使被截获或窃取，对交易方的损

35、失也不大。所以，微支付很少或不采用耗费较多计算资源的安全技术，其安全性在一定程度上要辅以审计或管理策略来保证。由于微支付交易频繁，所以要求较高的处理效率。由于微支付的特点，其应用也具有特殊性，如新型产品支付( 新闻、信息查询和检索、广告点击付费等) ，移动计费和认证，以及分布式环境下的认证等。微支付一般不适合实物交易中的电子支付。考核知识点: SSL参见讲稿章节：3-4附1.2.12（考核知识点解释）：SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之

36、上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。考核知识点: SSL参见讲稿章节：3-4附1.2.13（考核知识点解释）：SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake

37、Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。考核知识点: SSL参见讲稿章节：3-4附1.2.14（考核知识点解释）：SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商

38、加密算法、交换加密密钥等。考核知识点: 电子商务交易安全参见讲稿章节：4-1附1.2.15（考核知识点解释）：网上证券交易是指投资者利用因特网网络资源，获取证券的即时报价，分析市场行情，并通过互联网委托下单，实现实时交易。网上交易及其相关业务主要包括：查询上市公司历史资料、查询证券公司提供的咨询讯息、查询证券交易所公告、进行资金划转、网上实时委托下单、电子邮件委托下单、电子邮件对账单、公告板、电子讨论、双向交流等。考核知识点: 电子商务参见讲稿章节：1-1附1.3.1（考核知识点解释）：电子商务通常是指在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双

39、方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。各国政府、学者、企业界人士根据自己所处的地位和对电子商务参与的角度和程度的不同，给出了许多不同的定义。电子商务分为：ABC、B2B、B2C、C2C、B2M、M2C、B2A（即B2G）、C2A（即C2G）、O2O 等。考核知识点: 电子商务安全参见讲稿章节：1-2附1.3.2（考核知识点解释）：信息安全技术在电子商务系统中的作用非常重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因

40、此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 电子商务安全参见讲稿章节：1-2附1.3.3（考核知识点解释）：信息安全技术在电子商务系统中的作用非常重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火

41、墙技术以及相关的一些安全协议标准等。考核知识点: 电子商务安全参见讲稿章节：1-2附1.3.4（考核知识点解释）：信息安全技术在电子商务系统中的作用非常重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 数据加密参见讲稿章节：2-1附1.3.5（考核知识点解释）：数据加密，指通过加密算法和加密密钥将明文转变为密文，而解密则是

42、通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。考核知识点: 电子商务的网络安全技术参见讲稿章节：7-3附1.3.6（考核知识点解释）：网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。考核知识点: 电子商务安全参见讲稿章节

43、：1-2附1.3.7（考核知识点解释）：信息安全技术在电子商务系统中的作用非常重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 加密技术参见讲稿章节：2-1附1.3.8（考核知识点解释）：非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。公开密钥与私有密钥是一对，如果用公开密

44、钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法称为非对称加密算法。采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用。考核知识点: 加密技术参见讲稿章节：2-1附1.3.9（考核知识点解释）：非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。公开密钥与私有密钥是一对，如果

45、用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法称为非对称加密算法。采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用。考核知识点: 电子商务的网络安全参见讲稿章节：7-1附1.3.10（考核知识点解释）：被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等

46、攻击方法。窃听、监听都具有被动攻击的本性，攻击者的目的是获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。报文内容的泄露易于理解，一次电话通信、一份电子邮件报文、正在传送的文件都可能包含敏感信息或秘密信息。为此要防止对手获悉这些传输的内容。通信流量分析的攻击较难捉摸。假如有一个方法可屏蔽报文内容或其他信息通信，那么即使这些内容被截获，也无法从这些报文中获得信息。最常用的屏蔽内容技术是加密。然而即使用加密保护内容，攻击者仍有可能观察到这些传输的报文形式。攻击者可能确定通信主机的位置和标识，也可能观察到正在交换的报文频度和长度。而这些信息对猜测正在发生的通信特性是有用的。对被动攻击

47、的检测十分困难，因为攻击并不涉及数据的任何改变。然而阻止这些攻击的成功是可行的，因此，对被动攻击强调的是阻止而不是检测。考核知识点: 加密技术参见讲稿章节：2-1附1.3.11（考核知识点解释）：非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法称为非对称加密算法。采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用。考核知识点: 电子商务的网络安全参见讲稿章节：7-1附