第三章 电子商务安全

第三章电子商务安全

【学习目标】

1．掌握电子商务安全的要素；

2．了解防火墙的应用，熟悉防火墙的原理；

3．掌握对称加密和非对称加密的基本原理，以及两种加密的结合使用；

4．了解数字证书技术及身份认证技术；

5．理解电子商务安全协议。

【技能要求】

1．能够使用相关安全软件，熟悉防火墙的配置；

2．能够申请数字证书，安装、使用数字证书。

【核心概念】

防火墙对称加密非对称加密CA认证数字签名 SSL SET

【开篇案例】

“棱镜门”敲响了网络安全的警钟

2013年6月，前中情局（CIA）职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》，并告之媒体何时发表。按照设定的计划，2013年6月5日，英国《卫报》先扔出了第一颗舆论炸弹：美国国家安全局有一项代号为“棱镜”的秘密项目，要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。6月6日，美国《华盛顿邮报》披露称，过去6年间，美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。

2013年9月28日，美国“棱镜”项目揭秘者斯诺登提供的文件让美国国安局活动再度曝光。美国国家安全局2010年起即用收集到的资料，分析部分美国公民的“社交连结，辨识他们来往对象、某个特定时间的所在地点、与谁出游等私人信息”。该文件显示，“国安局官员解禁之后，2010年11月起开始准许以海外情报意图来分析电话以及电邮记录，监视美国公民交友网络”。根据美国国安局2011年1月的备忘录，政策转向目的是在帮助该局“发现并追踪”海外情报目标和美国人民之间的关联。该文件指出，美国国安局获得授权，可在

不检查每个电邮地址、电话号码或任何指针的“外来性”情况下，“大规模以图表分析通讯原数据”。

美国决策者意识到，互联网在越来越多的国际事件上可以成为达到美国政治目的、塑造美国全球领导力的有效工具。2011年，以“脸谱网”（facebook）和“推特”（twitter）为代表的新媒体，贯穿埃及危机从酝酿、爆发、升级到转折的全过程，成为事件发展的“催化剂”及反对派力量的“放大器”。同样，类似的事件也在突尼斯和伊朗等国都上演过。

这项代号为“棱镜”（PRISM）的高度机密的行动此前从未对外公开。《华盛顿邮报》获得的文件显示，美国总统的日常简报内容部分来源于此项目，该工具被称作是获得此类信息的最全面方式。一份文件指出，“国家安全局的报告越来越依赖‘棱镜’项目。该项目是其原始材料的主要来源。报道刊出后外界哗然。保护公民隐私组织予以强烈谴责，表示不管奥巴马政府如何以反恐之名进行申辩，不管多少国会议员或政府部门支持监视民众，这些项目都侵犯了公民基本权利。

这是一起美国有史以来最大的监控事件，其侵犯的人群之广、程度之深让人咋舌。

第一节电子商务安全概述

随着互联网的飞速发展与广泛应用，电子商务的应用前景越来越广阔，然而它的安全问题也变得日益严重，在互联网环境下开展电子商务，客户、商家、银行等参与者都对自身安全能否得到保障存在担心。如何创造安全的电子商务应用环境，已经成为社会、企业和消费者共同关注的问题。

电子商务安全是一个多层次、多方位的系统的概念：广义上讲，它不仅与计算机系统结构有关，还与电子商务应用的环境、操作人员素质和社会因素有关，包括电子商务系统的硬件安全、软件安全、运行安全及电子商务立法；狭义上讲，它是指电子商务信息的安全，主要包括信息的存储安全和信息的传输安全。

一、电子商务安全要素

电子商务安全是一个复杂的系统问题，在开展电子商务的过程中会涉及以下几个安全性方面的要素：可靠性、真实性、机密性、完整性、不可否认性。

（一）可靠性

电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统

软件错误、计算机病毒与自然灾害等所产生的潜在威胁，通过控制与预防等来确保系统安全可靠。电子商务系统的安全是保证数据传输与存储以及电子商务完整性检查的基础。系统的可靠性可以通过网络安全技术来实现。

（二）真实性

交易的真实性是指商务活动中交易者身份是真实有效的，也就是要确定交易双方是真实存在的。网上交易的双方可能素昧平生、相隔千里，要进行成功交易的前提条件是要能确认对方的身份是否真实可信。身份认证通常采用电子签名技术、数字证书来实现。

（三）机密性

信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业的商业机密。个人的信用卡号和密码在网上传送时如被他人截获，就可能被盗用；企业的订货和付款信息如被竞争对手获悉，该企业就可能贻误商机。电子商务则建立在一个较为开放的网络环境上，商业保密就成为电子商务全面推广应用的重要障碍。因此要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止泄密事件。信息的机密性的保护一般通过数据加密技术来实现。

（四）完整性

信息的完整性是指数据在传输或存储过程中不会受到非法修改、删除或重放，以确保信息的顺序完整性和内容完整性。电子商务简化了传统的贸易过程，减少了人为的干预，但却需要维护商业信息的完整与一致。由于数据输入时的意外差错或欺诈行为以及数据传输过程中信息丢失、重复或传送的次序差异，都有可能导致贸易各方收到的信息不一致。信息的完整性将影响到贸易各方的交易与经营策略，保持这种完整性是电子商务应用的基础。数据完整性的保护通过安全散列函数（如数字摘要）与电子签名技术来实现。

（五）不可否认性

交易的不可否认性是指保证发送方不能否认自己发送了信息，同时接收方也不能否认自己接收的信息。在传统的纸面贸易方式中，贸易双方通过在交易合同、契约等书面文件上签名，或是通过盖上印章来鉴别贸易伙伴，以确定合同、契约、交易的可靠性，并能预防可能的否认行为的发生。在电子商务的应用环境中，通过手写签名与印章鉴别已不可能，就需要其他方法实现交易的不可否认。因此，电子商务交易的各方在进行数据信息传输时，必须带有自身特有的，无法被别人复制的信息，以防发送方否认曾经发生过的信息，或接收方否认曾经接收到的信息，确保在交易发生纠纷时可以拿出证据。交易的不可否认性是通过电子签名技术来实现的。

二、电子商务安全体系

电子商务的核心是通过网络技术来传递商业信息并开展交易，所以解决电子商务系统的硬件安全、软件安全和系统运行安全等实体安全问题成为电子商务安全的基础。

电子商务系统硬件（物理）安全是指保护计算机系统硬件的安全，包括计算机的电器特性、防电防磁以及计算机网络设备的安全、受到物理保护而免于破坏、丢失等，保证其自身的可靠性和为系统提供基本安全机制。电子商务系统软件安全是指保护软件和数据不被篡改、破坏和非法复制。系统软件安全的目标是使计算机系统逻辑上安全，主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。根据计算机软件系统的组成，软件安全可分为操作系统安全、数据库安全、网络软件安全、通信软件安全和应用软件安全。

电子商务系统运行安全是指保护系统能连续正常地运行。

对企事业单位来说，为了保证电子商务中计算机与网络实体自身的安全，实际应用中一般选择并综合各类实体安全技术形成一个综合安全体系。这些技术包括数据备份、系统（或者数据库、服务）用户权限管理、服务器配置、VPN、防火墙、入侵检测系统（IDS）、病毒防范等。一般的电子商务客户端使用防火墙、杀毒软件、用户管理等技术来保证安全，而服务器端则会采用代理服务型防火墙、入侵检测技术、双机热备份、数据库与服务的用户权限管理等技术来防止黑客攻击，实现服务器安全。

实现了实体安全，电子商务系统的可靠性就得到了较好的保证，但交易的真实性、机密性、完整性和不可否认性并未能实现，这就需要使用加密技术、电子签名技术和数字认证技术等来构建一个科学、合理的电子商务安全体系。

第二节电子商务安全技术

一、防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境中，尤其是在连接到互联网的内部网络中，防火墙技术使用最普遍。网络防火墙是指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在内部网和外部网之间的保护层，强制所有的连接都必须经过此保护层，并在此进行安全检查和连接（如图3-1所示）。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵。

图3-1 防火墙的应用示意图

（一）防火墙的安全策略

为网络建立防火墙，首先需决定此防火墙将采取何种安全策略。通常防火墙采用的安全策略有如下两个基本准则：

1．一切未被允许的访问就是禁止的

基于该准则，防火墙要封锁所有的信息流，然后对希望开放的服务逐步开放。这是一种非常实用的方法，可以形成一个安全的环境，但其安全是以牺牲用户使用的方便为代价的，用户所能使用的服务范围受到较大的限制。

2．一切未被禁止的访问就是允许的

基于该准则，防火墙开放所有的信息流，然后逐项屏蔽有害的服务。这种方法构成了一种灵活的应用环境，但很难提供可靠的安全保护，特别是当保护的网络范围增大时。

总之，从安全性角度考虑，第一种策略更可取一些。因为我们一般很难找出网络的所有漏洞，从而也就很难排除所有的非法服务。而从灵活性和使用方便性的角度考虑，则第二种策略更合适。

（二）防火墙的主要类型

防火墙有多种类型，但大体上可以划分为三类：一类是基于包过滤（packet filter）的防火墙，通常直接转发报文，对用户完全透明，速度较快；第二类是基于代理服务（proxy service）的防火墙，通过代理服务器建立连接，可以有更强的身份验证和日志功能；第三类则是上述两种的结合，即复合型防火墙。

1．包过滤防火墙

包过滤防火墙是最简

单的防火墙，通常只包括对

源和目的IP 地址及端口的

检查（如图3-2所示）。对

用户来说，这些检查是透明

的。包过滤防火墙比其他模

式的防火墙有着更高的网

络性能和更好的应用程序透明性。但是，这种简单性带来了一个严重的问题：过滤器不能在用户层次上进行安全过滤，即在同一台机器上，过滤器分辨不出是哪个用户的报文。包过滤器通常是放在路由器上，大多数路由器都缺省地提供了包过滤功能。现在已出现了智能包过滤器，它与简单包过滤器相比，具有解释数据流的能力。然而，智能包过滤器同样不能对用户进行区分。

2．代理服务型防火墙

代理服务型防火墙使用一个客户程序与特定的中间结点（防火墙）连接，然后中间结点与服务器进行实际连接（如图3-3所示）。

使用代理服务型防火墙，

内部网络与外部网络之间不

存在直接连接，因此即使防火

墙出了问题，外部网络也无法

与内部网络连接，通常称内、

外网之间的中间结点为双端

主机。代理服务器提供了详细

的日志和审计功能，大大提高了网络的安全性，也为改进现有软件的安全性能提供了可能。代理服务运行在双端主机上，但它是基于特定应用的。这样，就必须配置每个应用（如Telnet 、FTP ），而且只要应用程序一升级，原来的代理服务就不再适用了。因此，从这个意义上说，代理服务型防火墙比包过滤防火墙有更多的局限性。另外，这种防火墙常常会使网络性能明显下降，相当多的防火墙不能处理高负载的网络通信。如果防火墙的网络性能差，就很容易受到攻击。

3．复合型防火墙

这种防火墙是把前两类防火墙结合起来，形成新的产品，以发挥各自的优势，克服各自图3-2 包过滤防火墙的工作原理

图3-3 代理服务器防火墙的工作原理

的缺点，具有对一切连接尝试进行过滤、提取和管理多种状态信息的功能，同时可以智能化地做出安全控制和流量的决策，提供高性能的服务和灵活的适应性，具有网络内外完全透明的特性。

（三）防火墙的主要功能

1．保护易受攻击的服务

防火墙能过滤那些不安全的服务。只有预先被允许的服务才能通过防火墙，强化身份识别体系，防止用户的非法访问和非法用户的访问，这样就降低了受到非法攻击的风险性，大大提高了企业内部网的安全性。

2．控制对特殊站点的访问

防火墙能控制对特殊站点的访问，隐藏网络架构。如有些主机能被外部网络访问而有些则要被保护起来，防止不必要的访问。通常会有这样一种情况，在内部网中只有电子邮件服务器、FTP服务器和WWW服务器能被外部网访问，而其他访问则被防火墙禁止。

3．集中化的安全管理

对于一个企业而言，使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理。如不使用防火墙，就必须将所有软件分散到各个主机上。

4．检测外来黑客攻击的行动

防火墙集成了入侵检测功能，提供了监视互联网安全和预警的方便端点。

5．对网络访问进行记录和统计

如果所有对互联网的访问都经过防火墙，那么防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到监测和攻击的详细信息。

（四）防火墙的局限性

防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失，主要表现在以下几个方面。

1．只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力。

2．不能解决来自内部网络的攻击和安全问题。

3．不能防止已感染病毒的文件的传输，因为现在的各类病毒种类太多，防火墙无法逐个扫描每个文件来查找病毒。

4．不能防止策略配置不当或错误配置引起的安全威胁。

5．不能防止数据驱动式攻击，当有些表面看来无害的数据如电子邮件、FTP等被邮寄或复制到内部主机上并被执行时，就会发生数据驱动式攻击。数据驱动式攻击常常会先修改一台主机有关的安全文件，从而为下次入侵做准备。

二、加密技术

数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障其安全性，这是一种主动的安全防御策略，用很小的代价即可为信息提供相当大的安全保护。

（一）加密的基本概念

加密是一种限制对网络上传输数据的访问权的技术。所谓加密，就是用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。加密技术与密码学紧密相连，密码学的基本术语如下。

●明文：也称为原文，作为加密输入的原始信息。

●密文：明文变换后的结果。

●密钥：参与变换的参数。

●密码算法：用于加密和解密的数学函数。

●加密算法：发送方对明文进行加密操作时所采用的一组规则。

●解密算法：接收方对密文进行解密时所采用的一组规则。

数据加密/解密的一般模型如图3-4所示，用加密算法和加密密钥将明文编码成密文。到了接收端，利用解密算法和解密密钥，解出明文。

图3-4 数据加密/解密的一般模型

（二）密码体制分类

按加密密钥和解密密钥是否相同，可将现有的加密体制分为两种：对称加密体制和非对称加密体制。

1．对称加密体制

这种体制的加密密钥和解密密钥相同，即发送方和接收方使用相同的密钥对明文进行加密和解密运算，对称加密模型如图3-5所示。常见的对称加密算法为DES（Data Encrypt Standard）和IDEA等算法，目前广泛使用的是3DES。

如图3-5 对称加密模型

对称加密技术由于双方拥有相同的密钥，具有易于实现和速度快的优点，所以广泛应用于通信和存储数据的加密和解密。但它的密钥必须按照安全途径进行传递，密钥管理成为影响系统安全的关键性因素，难以满足开放式计算机网络的需求。对称加密体制存在以下问题：（1）密钥使用一段时间后就要更换，加密方需经过某种秘密渠道把密钥传给解密方，而密钥在此过程中可能会泄露。

（2）网络通信时，如果网内用户使用相同的密钥，就失去了保密的意义；但如果网内任意两个用户通信使用互不相同的密钥，则N个用户相互通信需要N*（N-1）个不同的密钥，密钥量太大，难以管理。

（3）无法满足互不相识的人进行私人谈话的保密性需求。

（4）难以解决数字签名验证的问题。

2．非对称加密体制

这种体制的加密密钥和解密密钥不相同，而且从其中一个很难推出另一个，非对称加密模型如图3-6所示。非对称加密算法主要有RSA（Rivest，Shamir，Adelman）、椭圆曲线和背包算法等。

如图3-6非对称加密模型

非对称加密技术也可以称为公开密钥加密技术。之所以又叫做公开密钥加密技术是由于加密密钥可以公开，即陌生人可以得到它并用来加密信息，但只有用相应的解密密钥才能解密信息。非对称加密过程中，加密密钥叫做公开密钥，解密密钥叫做私有密钥。非对称加密的工作流程：①要求发送方和接收方在安全通信之前，发送方通过网络查询或其他方式取得接收方的公开密钥；②发送方使用接收方的公开密钥对明文进行加密得到密文；③接收方收到密文后，用自己的私有密钥进行解密，恢复出明文。

非对称加密算法的一个致命缺点就是处理速度很慢，不适于对大量数据进行加密/解密运算，而且其密钥长度必须很长才能保证安全性。相比对称加密体制，非对称加密体制具有以下优点：

（1）密钥分配简单，N个用户相互通信需要N对密钥。

（2）密钥的保存量少，每个用户只需记住自己的私有密钥即可。

（3）可以满足互不相识的人之间进行私人谈话时的保密性需求。

（4）可以完成数字签名和数字鉴别。

（三）数字信封技术

数字信封技术结合了对称加密和非对称加密技术的优点，使用两层次的加密来获得非对称加密密钥技术的方便性和对称加密技术的高效性。

具体做法是：每当发送方需要发送信息时，首先生成一个单密钥，用这个单密钥加密所要发送的明文，然后用接收方的公共密钥加密这个密钥形成数字信封，将密文和数字信封一同传送给接收方；接收方收到数字信封和密文后，首先用自己的私有密钥解密出被加密的单

密钥，再用这个单密钥解密出真正的明文。数字信封产生的过程如图3-7所示。

图3-7 数字信封加密过程

数字信封技术在外层使用非对称加密技术，就可以享受其传递方便、加密性能好的优点；而于内层使用对称加密技术，使得加密效率提高。同时也使得非对称加密相对低效率被降到最低。而且由于可以在每次传送信息时，使用不同的对称密钥，是系统的安全性又得到了进一步保证。

三、数字签名技术

（一）数字摘要

数字摘要，就是发送方对被传送的明文根据某种数学算法（通常是哈希算法）计算出此明文的摘要，数字摘要与明文之间有一一对应的关系。发送方将此数字摘要和明文一起通过网络传送给接收方，接收方根据此数字摘要来检验明文在网络传送过程中有没有发生变化，判断明文的真实与否，从而来判断明文的完整性。其过程如图3-8所示。

图3-8 数字摘要产生示意图

哈希（Hash）算法是一个单向的、不可逆的数学函数。即明文通过此算法后，能产生一个数字摘要，但不可能由此数字摘要用任何办法或算法来还原明文，从而保护明文的机密性。

数字摘要可以用于保护明文的真实性，可以在一定程度上防伪防修改，但是数字摘要技术如哈希算法本身并不能保证数据的完整性，还必须与其他密钥加密技术结合起来使用才能保证。因为哈希算法是公开的，如果某人改变可传送的明文，可以很容易地同时改变由哈希算法生成的数字摘要。单用数字摘要显然无法保证数据的完整性，必须将数字摘要保护起来，使别人无法伪造。

（二）数字签名

在电子商务中，完善的数字签名应具备签字方不能抵赖，他人不能伪造，在公证人面前能验证真伪的能力。目前的数字签名是建立在公开密钥体制基础上的，其基本原理是，发送方用私钥对明文加密（签名），接收方用公钥解密（核对签名）。

数字签名可以保证接收方能够核实发送方对电子文件的签名，发送方事后不能否认对文件的签名，接收方不能伪造对电子文件的签名。它能够在电子文件中识别双方交易人的真实身份，保证交易的安全性和真实性以及不可否认性，起到与手写签名或者盖章的同等作用。具体做法如图3-9所示：

图3-9 数字签名过程

1．发送方用哈希算法生成明文的数字摘要。

2．对数字摘要用发送方的私钥做非对称加密，即形成数字签名。由于私钥只有发送者本人拥有，因此它的签名具有不可否认性。

3．将数字签名和明文通过网络一起传送给接收方。

4．接收方用发送方的公钥将数字签名解密成数字摘要。

5．再利用哈希算法将收到的明文生成一个新的数字摘要。

6．将两个数字摘要进行对比，如果相同则数字签名得到验证，否则数字签名无效。

如果接收方对发送方数字签名验证成功，就可以说明以下实质性的问题：该电子文件确实是经发送方签名后发送的，说明发送方用了自己的私钥做的签名并得到验证，达到不可否认的目的；数字签名防止了冒名发送信息；接收方收到的电子文件在传输中没有被篡改，保持了数据的完整性，因为签署后对数字签名的任何改动都能够被发现。

（三）数字时间戳服务

数字时间戳相当于邮戳。在交易文件中，文件签署的时间是十分重要的信息。相当于书面合同中，文件签署日期和盖章的时间同样十分重要。在电子商务中，同样需要对交易文件的日期和时间信息采取安全措施，因此数字时间戳或称数字时间标志（DTS）的提出为电子文件的发表时间提供了安全保护和证明。数字时间戳是网上的两种安全服务项目，由专门机构提供。时间戳是一个经加密后形成的凭证文档，它包括以下三个部分：

1．需要加时间戳的文件摘要。

2．数字时间标志机构收到文件的日期和时间。

3．数字时间标志机构的数字签名。

数字时间戳产生的过程：用户首先将需要加时间戳的文件用哈希算法加密后形成摘要，然后将该摘要发送到数字时间标志机构，数字时间标志机构在加入了收到文件摘要的日期和时间信息后，再对该文件用数字时间标志机构的密钥加密（数字签名），然后送回用户手中。数字时间戳产生过程如图3-10所示。

图3-10 获得数字时间戳的过程

四、认证技术

（一）CA认证与数字证书

1．CA认证

CA（Certification Authority）是认证机构的国际通称，是对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。

认证机构相当于一个权威可信的中间人，它的职责是核实交易各方的身份，负责电子证书的发放和管理。理想化的状态是，上网的每一企业或者个人都要有一个自己的网络身份证作为唯一的标识。这些网络身份证的发放、管理和认证是一个复杂的过程，也就是所谓的CA认证。

2．数字证书

数字证书又称数字凭证或数字标识（Digital Certificate，Digital ID），也被称作CA证书，实际上是一串很长的数学编码，通常保存在计算机硬盘或IC卡中。数字证书主要包含证书持有者的信息、证书持有者的公开密钥和证书颁发机构的签名及证书有效期等内容。数字证书一般是由CA认证中心签发的，证明证书主体（证书申请者获得CA认证中心签发的证书后即成为证书主体）与证书中所包含的公钥的唯一对应关系。它提供了一种在互联网上验证身份的方式，是用来标识和证明网络通信双方身份的数字文件。

从证书的用途来看，可以将数字证书分为根证书、服务器证书和客户证书三种。根证书是CA认证中心给自己颁发的证书，是信任链的起始点。服务器证书是CA认证中心颁发的，用以证明服务器的身份。客户证书又称浏览器证书，是指由CA认证中心颁发的，安装在客户浏览端使用的个人或企业证书。

（二）身份认证技术

身份认证即鉴别认证，是指在揭示敏感信息或进行事务处理之前先确定对方身份。互联网上身份认证的方法有很多，比如口令认证、智能卡认证、短信密码认证、动态口令牌认证、USB Key认证以及生物特性认证等。

1．口令认证：主要是基于固定口令的认证方法。用户的密码是自己设定的，在登录时输入密码，然后系统与事先保存的用户信息进行比较，如果吻合，计算机就认为操作者是合法的。口令认证存在密码容易泄露，在验证过程中可能会被木马程序或网络截获等不足之处。

2．智能卡认证：智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据。智能卡由合法用户随身携带，登录时将智能卡插入或用专用的读卡器读取其中的信息，以验证用户的身份。智能卡存在验证信息被截取等安全隐患。

3．短信密码认证：以手机短信形式请求包含6位随机数的动态密码，客户在登录或者交易时输入此动态密码，从而确保系统身份认证的安全性。短信密码认证具有安全性、普及性、易收费、易维护等优点。

4．动态口令牌认证：动态口令一般是长度5-8位的字符串，由数字、字母、特殊字符、控制字符等组成。用户在登录服务器时，服务器采用用户名与动态口令对用户进行认证，一般还要提供动态口令更改工具，通常还提供用户提醒工具以防忘记口令。这也是目前最为安全的身份认证方式，是利用“用户所有”的一种动态密码。

5．USB Key认证：采用软硬件结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，内置单片机或智能卡芯片，可以存储用户的密钥或证书，利用内置密码算法实现对用户的认证。

6．生物特性认证：通过可测量的身体或行为等生物特征进行身份认证的一种技术。身体特征包括：指纹、掌形、视网膜、虹膜、人体气味、脸形和DNA等；行为特征包括：签名、语音、行走步态等。

第三节电子商务安全协议

电子商务应用的核心和关键问题是交易的安全性。由于互联网本身的开放性，使得网上交易面临着各种危险，由此提出了相应的安全控制要求。安全套接层协议（SSL）和安全电子交易协议（SET）是电子商务中比较常用的安全协议。

一、安全套接层协议（SSL）

1．SSL协议概述

安全套接层协议（Secure Sockets Layer，SSL）是一种传输层技术，由Netscape开发，利用数据加密技术，确保数据在传输过程中不会被截取及窃听，可以实现浏览器和服务器之间的安全通信。SSL协议建立在可靠的TCP传输控制协议之上，并且与上层协议无关，各种应用层协议（如HTTP、FTP、Telnet等）能通过SSL协议进行透明传输。SSL是两层协议，见表3-1。SSL协议提供的安全连接具有三个基本特点：

（1）数据保密：连接是安全保密的，在初始化握手协议协商加密密钥之后传输的消息均为加密的消息，加密的算法为对称加密算法，如DES、RC4、IDEA等。

（2）身份认证：通信双方的身份可以通过公钥加密算法，如RSA、DSS等签名来验证，

杜绝假冒。

（3）数据完整性：Hash函数如SHA、MD5等被用来产生消息摘要MAC。所传输的消息均包含数字签名，以保证消息的完整性。这保证连接是可靠的。

表3-1 SSL协议的结构体系

SSL记录协议

TCP

IP

2．SSL握手协议

该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。握手协议是在任何应用程序数据传输之前使用的。SSL握手协议用于在通信双方建立安全传输通道，具体实现以下功能：

（1）在客户端验证服务器，SSL协议采用公钥方式进行身份认证。

（2）在服务器端验证客户（可选的）。

（3）客户端和服务器之间协商双方都支持的加密算法和压缩算法，可选用的加密算法包括IDEA、RC4、DES、3DES、RSA、DSS、Diffie-hellman、Fortezza、MD5、SHA等。

（4）产生对称加密算法的会话密钥。

（5）建立加密SSL连接。

3．SSL记录协议

SSL记录协议为SSL连接提供了两种服务：

（1）机密性：握手协议为SSL有效载荷的常规密码定义共享的保密密钥。

（2）消息完整性：握手协议为生成MAC（Message Authentication Code，消息身份认证码）定义共享的保密密钥。

SSL记录协议从高层接收到数据后要经过分段、压缩、添加MAC和加密处理，最后由传输层发送出去。在SSL协议中，所有的传输数据都被封装在记录中，SSL记录协议规定了记录头和记录数据的格式。

二、安全电子交易协议（SET）

1．SET协议概述

安全电子交易（Secure Electronic Transaction，SET）是1996年由Master Card（万

事达）与Visa（维萨）两大国际信用卡公司联合制订的安全电子交易规范，它提供了消费者、商家和银行之间的认证，确保交易的保密性、可靠性和不可否认性，保证在开放网络环境下使用信用卡进行在线购物的安全。

2．SET协议中采用的数据加密模型

SET协议中采用的数据加密模型具有以下特点：

（1）交易参与者的身份鉴别采用数字证书的方式来完成，数字证书的格式一般采用X.509国际标准。

（2）交易的不可否认性用数字签名的方式来实现。由于数字签名是由发送方的私钥产生，而发送方的私钥只有他本人知道，所以发送方便不能对其发送过的交易数据进行抵赖。

（3）用数字摘要来保证数据的完整性。

（4）由于非对称加密算法的运算速度慢，所以要和对称加密算法联合使用，用对称加密算法来加密数据，用数字信封来交换对称密钥。

第四节电子商务安全管理

电子商务发展到目前，随着相关技术和设施的逐步成熟，越来越突出的问题不再局限于技术领域，而扩展到了企业管理、经济体制、政府参与、公众意识更新等更加广泛复杂的层面。因此，实现电子商务的关键因素不只是技术，还包括电子商务制度建设、人员管理、诚信体系建设、法律法规保证等诸多社会因素。逐步建立起协调发展的电子商务社会环境已经成为电子商务健康发展所面临的严峻挑战。建立健全电子商务安全管理制度和法律法规，对促进电子商务的发展具有重要的现实意义。

一、电子商务安全管理制度

电子商务系统是面向社会的服务系统，参与电子商务的自然人或法人都有责任和义务保持系统的正常运行，不得随意破坏。对于从事网上交易的企业来说，保证商务活动的安全特别重要。电子商务安全管理约束机制的建立，一方面，需要用具体的文字对各项安全管理办法做出各项明确的规定；另一方面，要将责任落实到个人，实行岗位职责的有效管理与全程监督，这是保证电子商务活动取得成功的环境基础。安全管理规章制度包括从业人员管理制度、信息保密制度、跟踪、审计、稽核制度、系统日常维护制度、数据备份制度、病毒防护制度和信息签发制度等。安全管理制度能否实施到位，既是管理水平的具体体现，也是关系

到电子商务系统安全顺利运作的重要保证。

二、电子商务安全的法律保障

市场经济又是法治经济，电子商务的发展需要建设和完善相关的法律体系。虽然从技术角度而言有各种保证电子商务交易的安全措施，但是人们对网上交易是否安全仍然心存疑虑，法律问题只有通过法律法规才能解决。如合同执行、赔偿、个人隐私、资金安全、知识产权保护、税收等问题，这些问题都是人们最为担心的，处理不当将会严重影响电子商务的应用与普及。因此，研究、制定与电子商务相关的法律法规，采取相应的法律保障措施势在必行。

【思考练习】

1．试述开展电子商务过程中会涉及的安全性方面的要素。

2．防火墙的主要功能有哪些？

3．对称加密和非对称加密各有什么特点？

4．图示数字签名的过程。

5．安全电子交易（SET）协议有哪些特点？

第五章--电子商务组织与管理

第五章电子商务组织与管理1。电子商务下企业组织的变迁 答：实体企业（功能化.科层化.集中化.规模化）→虚拟企业（资源分散化。联系信息化.动态联盟.并行分布作业）→企业电子商务（技术基础．组织创新。动态团队.企业文化)→电子商务企业(中介服务.有偿服务.电子经纪) ２.电子商务虚拟企业的基本要素 答：电子商务虚拟企业的基本要素是人,目标和连接。人是虚拟企业的基本存在要素;目标是凝聚虚拟企业的向心力；连接是一个纵横交错的网络。 3．ＣRM的要点 答：客户关系管理（CＲＭ)作为完整的企业信息化解决方案,帮助解决以客户为中心的经营管理问题，使企业准确把握和快速响应客户的个性化需求,并让客户满意、忠诚,以保留客户，扩大市场。 4．SCM的要点 答：供应链管理(SCM)就是指对整个供应链系统进行计划、协调、操作、控制和优化的各种活动和过程,目标是使供应链上的各个主体形成极具竞争力的战略联盟，并使供应链运行的总成本最小或收益最大. 5 ．ERＰ的要点 答：ＥRP系统是将企业的物流、资金流和信息流进行全面一体化管理的管理信息系统，一般包括生产控制、物流管理、财务管理、人

力资源管理等通用模块。 6 .BPR的要点 答:BＰR就是流程重组，其目的是要对企业的业务流程进行彻底的变革，建立高效的运作机制，从而使企业在激烈的市场竞争中，缩短产品生命周期,降低成本，提高客户的响应度,使客户满意. 7．企业组织与管理如何适应电子商务发展的需要 ?答:传统企业进行EC建设增加网络经营,并且设立电子商务运营团队,把电子商务运营放在公司重要的位置,在销售网站增加团购功能。 第六章电子商务链分析 1、说明电子商务链的框架？ 答： 2、电子商务活动的模式有哪些,如何界定？ ?答电子商务活动的模式有：业务模式,经营模式，技术模式，资本模式，管理模式,信用模式和风险管理模式。业务模式又被称

第三章 电子商务安全

第三章电子商务安全 【学习目标】 1．掌握电子商务安全的要素； 2．了解防火墙的应用，熟悉防火墙的原理； 3．掌握对称加密和非对称加密的基本原理，以及两种加密的结合使用； 4．了解数字证书技术及身份认证技术； 5．理解电子商务安全协议。 【技能要求】 1．能够使用相关安全软件，熟悉防火墙的配置； 2．能够申请数字证书，安装、使用数字证书。 【核心概念】 防火墙对称加密非对称加密CA认证数字签名 SSL SET 【开篇案例】 “棱镜门”敲响了网络安全的警钟 2013年6月，前中情局（CIA）职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》，并告之媒体何时发表。按照设定的计划，2013年6月5日，英国《卫报》先扔出了第一颗舆论炸弹：美国国家安全局有一项代号为“棱镜”的秘密项目，要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。6月6日，美国《华盛顿邮报》披露称，过去6年间，美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。 2013年9月28日，美国“棱镜”项目揭秘者斯诺登提供的文件让美国国安局活动再度曝光。美国国家安全局2010年起即用收集到的资料，分析部分美国公民的“社交连结，辨识他们来往对象、某个特定时间的所在地点、与谁出游等私人信息”。该文件显示，“国安局官员解禁之后，2010年11月起开始准许以海外情报意图来分析电话以及电邮记录，监视美国公民交友网络”。根据美国国安局2011年1月的备忘录，政策转向目的是在帮助该局“发现并追踪”海外情报目标和美国人民之间的关联。该文件指出，美国国安局获得授权，可在

电子商务安全实验报告

实验名称：电子商务安全技术 2010081126 吕吕 一、实验目的： 通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务安全的措施及相关技术。 二、实验内容： （1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有： PKI协议：PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议，主要利用密钥对加密的方法来保障W eb 站点上的信息安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本，正是这一特点使得S-HTTP 与SSL 有了本质上的区别，因为SSL 是一种会话保护协议。 S-HTTP 的主要功能是保护单一的处理请求或响应的消息，这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议（SSL）:SSL 能使客户机与服务器之间的通信不被攻击者窃听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL 建立在TCP 协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在因特网上通信的机密性。 安全电子交易协议（SET）: SET 协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。其采用的核心技术包括：电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\ 电子商务安全的措施有：

项目六 警惕电子商务安全

__________________ ___ 电子商务基础 _____________ ________ ________________ _____ 学科教案本 Teaching Plan 20 年———20 年学年度 s 学期 The (1st/2na)Semester of the Academic Year from 20 to 20 学校（School ） 学科（Subject ） 年级（Grade ） 教师（Teacher ） 重庆大学出版社 制

注意： ①按住Ctrl 键后单击每个任务即可跳转到对应的教案 ②单击按钮可返回目录 ③页面设置参数为： 纸张：B5 页边距左：1.5 页边距右：1.5 《电子商务基础》目录 项目六 警惕电子商务安全 活动一 了解电子商务安全内容 活动二 熟悉电子商务安全技术 活动三 了解网络交易安全常识 活动四 防范网络交易风险

教学 课题活动一了解电子商务安全内容 课题类型理论+实操 课时 安排 2 上课 时间 教 学目标1．了解计算机网络安全威胁2．认识商务安全威胁 教学重点1、2 教学 难点 2 辅助 资源 课件、教材的【活动实施】 复习引入①你知道网络陷阱吗？ ②有哪些陷阱？ ③电子商务安全威胁有哪些？ 教学手段教学过程 师生互动 活动设计 课件1．计算机网络安全威胁 （1）窃取信息 由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包 经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息 的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。 （2）篡改信息 当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上 传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或 网关上都可以做此类工作。 （3）假冒 由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户 发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。 （4）恶意破坏 由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要 信息，甚至可以潜入网络内部，其后果是非常严重的。 阅读知识窗： 计算机网络 安全威胁 讨论：你有没 有遇到网络 陷阱？

第七章 电子商务的安全

第七章电子商务的安全

１

第二节电子商务安全技术 一、加密技术 加密技术是利用技术手段把原始信息变为乱码（加密）传送，到达目的地 后再用相同或不同的手段还原（解密）信息。原始信息通常称为“明文”，加 密后的信息通常称为“密文”。 加密技术包括两个元素：算法和密钥。算法是将明文与一串字符（密钥） 结合起来，进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换 为明文的算法中输入的一串字符，它可以是数字、字母、词汇或语句。 由此可见，在加密和解密过程中，都涉及信息（明文、密文）、密钥（加 密密钥、解密密钥）和算法（加密算法、解密算法）这3项内容。 常用的现代加密体制有两种：对称加密体 制和非对称加密体制。 （一）对称加密体制 1．对称加密体制的工作过程 图7.1 对称加密体制的工作过程 2．对称加密体制的优点与缺点 对称加密体制具有算法简单，系统开销小；加密数据效率高，速度快的优 点；适合加密大量数据。但是在发送、接收数据之前，对称加密体制需要产生 大量的密钥，所以管理密钥会有一定的难度；第二，在网络通信中，密钥难以 共享；即密钥的分发是对称加密体制中最薄弱、风险最大的环节，而且无法实 现数字签名和身份验证； 3．对称加密体制的算法 目前，比较常用的对称密钥算法有DES（data encryption standard，数 据加密标准）。DES算法是一个对称的分组加密算法。 （二）非对称加密体制 ２

1．非对称加密体制的工作过程 图7.2 非对称加密体制的工作过程 2．非对称加密体制的优点与缺点 非对称加密体制在网络中容易实现密钥管理，只要管理好自己的私钥就可以；便于进行数字签名和身份认证，从而保证数据的不可抵赖性；不必记忆大量的密钥，发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。然而非对称加密算法实现过程较复杂，加密数据的速度和效率较低，对大报文加密困难。 3．非对称加密体制的算法 目前，非对称加密体制的算法使用最多的是RSA。RSA是1978年由 R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法，算法以发明者名字的首字母来命名。它是第一个既可用于加密，也可用于数字签名的算法。 一般来说，RSA只用于少量数据加密，在互联网中广泛使用的电子邮件和文件加密软件PGP（pretty good privacy）就是将RSA作为传送会话密钥和数字签名的标准算法。 （三）对称加密体系与非对称加密体系的对比 表7.1 对称加密体系和非对称加密体系的对比 比较项目对称加密体 制 非对称加密体制代表算法DES RSA 密钥数目单一密 钥密钥是成对的 密钥种类密钥是 秘密的一个私有，一 个公开 ３

第5章电子商务安全管理范文

第5章电子商务安全管理 1、电子商务安全的内容包括p128 A、计算机网络安全 B、商务交易安全 C、电子商务系统安全管理制度 D、物流安全 2、电子商务安全的内容不包括(1分)P128 A、电子商务系统安全管理制度 B、商务交易安全 C、交易平台安全 D、计算机网络安全 3、计算机网络安全是指保护计算机网络系统中的硬件，软件和（）。P128 A、服务 B、数据资源 C、人员 D、线路 4、以下哪个是网络安全威胁的主要来源之一？P129 A、网络诈骗 B、虚构产品 C、信息泄露 D、拒绝服务攻击 5、下面哪个不属于电子商务安全的威胁(1分)P129 A、计算机病毒 B、网络内部的安全威胁 C、允许服务攻击//dos攻击 D、黑客攻击 6、下面属于黑客在网上经常采用的手段的是？P129 A、寻找系统漏洞 B、更改IP C、偷取特权 D、截取口令 7、黑客主要是利用操作系统和网络的漏洞，缺陷，从网络的外部非法侵入，进行不法行为。(1分)P129 Ａ．对Ｂ．错 8、黑客是指什么？(1分)P129 A.利用病毒破坏计算机的人 B.穿黑衣的人 C.令人害怕的人 D.非法入侵计算机系统的人 9、黑客的英文名称是（）。 A、heike B、hacker C、waitker D、saidker 10、网络安全威胁的来源包括(2分)P129 A.网络内部的安全威胁 B.拒绝服务攻击 C.操作系统错误 D.计算机病毒 11、从网络安全威胁的承受对象看，网络安全威胁的来源包括(2分)P130 A、对数据库的安全威胁 B、对WWW服务器的安全威胁

C、对客户机的安全威胁 D、对邮件系统的安全威胁 12、从网络安全威胁的承受对象看，网络安全威胁的来源来自(1分)P130 A、对客户机的安全威胁 B、对交易双方身份的安全威胁 C、对交易平台的安全威胁 D、对物流的安全威胁 13、下面哪个不属于网络安全管理的技术手段？多选p131 A、防火墙 B、病毒防治 C、网络系统的日常维护制度 D、保密制度 14、下面哪种属于防火墙的作用(1分)P131 A、增加信息传输速度 B、阻止数据包传送 C、限制他人进入内部网络，过滤掉不安全服务和非法用户。 D、防止计算机病毒复制 15、防火墙可以为监视互联网安全提供方便。(1分)P131 A、对 B、错 16、防火墙主要包括层过滤型和代理服务型两种类型。P131 A、对 B、错 17、防火墙是一种被动式的防护手段。 A、对 B、错 18、防火墙的包过滤型是基于应用层的防火墙。(1分)P131 A．错B．对 19、防火墙的代理服务型是基于网络层的防火墙。(1分)P131 A．错B．对 20、下面哪个关于防火墙的叙述是错误的？1P131 A、防火墙可以限定内部网的用户对互联网上特殊站点的访问。 B、防火墙允许内部网的一部分主机被外部网访问，另一部分被保护起来。 C、防火墙不能防范新的网络安全问题。 D、防火墙能防范来自网络任何位置的攻击。 21、防火墙不能防范来自网络内部的的攻击。P132 A、对 B、错

电子商务第一章练习题资料

电子商务第一章练习题 1 判断题 ⑴ 计算机网又称国际互联网，也被译为因特网。⑵ 电子是手段，商务是目的，做好商务活动才是电子商务的本质。⑶ 电子商务系统就是指在电子虚拟市场进行商务活动的物质基础和商务环境的总称。 ⑷ 网络用户是指连接在互联网上的个人和法人，它们构成电子商务交易的客体。⑸ 网络市场是提供给买卖双方进行网络交易的商品。⑹ 认证中心）是法律承认授权的权威机构，负责发放和管理数字证书，使网上交易的各方能互相确认身份。它是不直接从电子商务交易中获利的第三方机构。⑺ 电子商务产生的源动力是信息技术的进步和社会商业的发展。⑻ 信息技术与社会商业的融合发展，导致了社会网络化、经济数字化、竞争全球化、贸易自由化的趋势不断加强，真正意义上的电子商务正是在这种背景下应运而生。⑼ 电子商务是指交易当事人或参与人，利用计算机技术和网络技术等现代信息技术所进行的某种商务活动。⑽ 信用卡号或银行账号都是电子账户的一种标志。单项选择题 ⑴ 互联网起源于。 A．英国 B．美国 C．法国 D．中国⑵ 因特网又称为网络。

A．国际互联 B．局部计算机 C．城市计算网D．高速信息火车⑶ 中国“政府上网年”是在年提出来的。 A199 B1997 C19D199⑷ 通过互联网网络进行的商务活动称之为。 A．一般电子商务 B．广义电子商务 C．狭义电子商务 D．虚拟电子商务 ⑸ 电子商务系统实际是信息流、物质流、资金流三位一体的一个统一整体。电子商务是以信息流作为指导，通过资金流实现商品的价值，通过物流实现商品的使用价值。三者的关系是的。 A．相互分离各自独立 B．相互联系三位一体 C．既相互分离各自独立，又相互联系三位一体 D．前三者都不是 ⑹ 网络广告宣传就是采用了新媒体的广告形式,通过载体形式传播信息。 A．报纸B．电视 C．广播D．互联网 ⑺ 网上银行是指。 A．在营业厅的银行柜台 B．在互联网上的虚拟银行柜台

电子商务安全-教案

复习提问：1、电子商务是否等同与电子商务？ 2、请你列举出现实生活中的电子支付实例？ 导入新课：用户认为目前网上交易存在的最大问题是什么？ 1、安全性得不到保障：23.4%； 2、付款不方便：10.8% 3、产品质量、售后服务及厂商信用得不到保障：39.3% 4、送货不及时：8.6% 5、价格不够诱人：10.8% 6、网上提供的信息不可靠：6.4% 7、其它：0.7% 讲授新课： 第三章网络贸易（三） 一、电子商务安全问题的提出 电子商务是通过电子方式处理和传递数据，包括文本、声音和图像，它涉及许多方面的活动。电子商务的发展势头非常惊人，但它的产值在全球生产总值中却只占极小的一部分，原因就在于电子商务的安全问题。 当许多传统的商务方式应用在Internet上时，便会带来许多源于安全方面的问题，如传统的贷款和借款卡支付的保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。 如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为影响到电子商务健康发展的关键性课题。 电子商务顺利开展的核心和关键问题是保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。 安全性的术语 （1）密码安全——通信安全的最核心部分。 （2）计算机安全——一种确定的状态，使计算机化数据和程序文件不致被非授权人员、计算机或其程序访问、获取或修改。 （3）网络安全——包括所有保护网络的措施。 （4）信息安全——保护信息财富，使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 密码安全、计算机安全、网络安全和信息安全之间的关系：

触发安全问题的原因 （1）黑客的攻击——目前，世界上有20多万个黑客网站，攻击方法成千上万。 （2）管理的欠缺——网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。 （3）网络的缺陷——因特网的共享性和开放性使网上信息安全存在先天不足。 （4）软件的漏洞或“后门”——操作系统和应用软件往往存在漏洞或“后门”。 （5）人为的触发——基于信息战和对他国监控的考虑，个别国家或组织有意识触发网络信息安全问题。 二、电子商务安全的基本需求 电子商务的安全需求包括两方面：电子交易的安全需求和计算机网络系统的安全 1．电子交易的安全需求 （1）身份的可认证性----确认通信双方的合法身份 在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。 （2）信息的保密性----保持个人的、专用的和高度敏感数据的机密 要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。 （3）信息的完整性----保证所有存储和管理的信息不被篡改 交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。 （4）不可抵赖性----防止通信或交易双方对已进行业务的否认 在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。 （5）可访问性：保证系统、数据和服务能由合法的人员访问； （6）防御性：能够阻挡不希望的信息或黑客； （7）合法性：保证各方的业务符合可适用的法律和法规； 2. 计算机网络系统的安全 一般计算机网络系统普遍面临的安全问题： （1）物理实体的安全 设备的功能失常；电源故障；由于电磁泄漏引起的信息失密；搭线窃听。 （2）自然灾害的威胁 各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。 （3）黑客的恶意攻击 所谓黑客，现在一般泛指计算机信息系统的非法入侵者。 黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。 （4）软件的漏洞和“后门” （5）网络协议的安全漏洞 （6）计算机病毒的攻击 计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

第6章 电子商务安全实践

第6章电子商务安全实践 6.1 CA认证 【实践情景】 南京奥派科技想申请CA证书，在CA认证平台中，申请了3个CA证书。服务商（CA 证书颁发机构）颁发了其中的2个，吊销了其中的1个。 【实践步骤】 6.1.1 CA证书实现的流程 进入CA证书申请页面，南京奥派科技提出CA证书的申请，并查看其挂起的申请证书。 1.进入CA认证平台。点击“电子商务安全实践”中的【CA认证】，点击CA认证平台后 面的【进入】，进入CA认证平台。 2.申请证书。进入系统，点击页面上面【申请一个证书】，进入证书申请页面。 在证书申请页面中填写证书识别信息，点击【提交】按钮即可。

在这里，同样的步骤，我们操作4次，申请4个证书（下面删除一个挂起的申请）。 提交后，可查看到您申请的证书。点击证书标题，查看证书申请的状态详情。如图，系统提示“您的证书申请仍然挂起。您必须等待管理员颁发您申请的证书”。点击此处的【删除】按钮，则删除挂起的申请。 6.1.2 CA颁发机构功能 进入CA证书颁发机构平台。先在挂起的申请中颁发2个证书，拒绝1个证书；再在颁发的2个证书中吊销1个证书。客户端查看证书状态，下载证书。 1.进入CA证书颁发机构平台。点击服务商平台后面的【进入】，进入CA证书颁发机构平 台。 2.CA证书颁发机构颁发证书。点击【挂起的申请】可查看到客户端申请的所有证书记录。 鼠标放在记录上右击，选择“颁发”即可。此时在“颁发的证书”中就可看到该记录了。 若右击后选择“拒绝”则在“失败的申请”中可看到该记录。

3.CA证书颁发机构吊销证书。点击【颁发的证书】可查看到所有已经颁发的证书。鼠标放 在记录上，右击选择“吊销证书”。 系统弹出“吊销原因”的对话框，选择吊销的原因，点击【是】。这样证书就被吊销了。 （注意，只有在吊销证书时原因选择“证书待定”的，接下来才能解除吊销） 4.用户端查看证书状态，并下载已颁发的证书。进入CA认证平台，点击【查看挂起的证 书申请的状态】，进入查看挂起的证书申请的状态页面。 点击证书标题，查看证书申请的状态详情。 对于已颁发的证书，点击【下载证书】。

第5章测试题-电子商务安全管理

1数字证书包含颁发数字证书单位的私钥。(1分) A. 对 B. 错 2.认证中心认证体系结构是一个（）结构 (1分) A. 网形 B. 倒置树形 C. 总线形 D. 星形 3. 下面有关安全协议的说法哪个是错误的？ (1分) A. HTTPS是建立在SET协议基础上的。 B. 收单银行是SET协议中的角色。 C. SSL协议有利于商家而不利于客户。 D. SSL协议的数据安全性其实就是建立在RSA等算法的安全性上（151 4. 下面有关数字信封的说法哪些是正确的？(2分) A. 数字信封可以保障发送的信息不被泄露 B. 数字信封要使用发送方的公钥 C. 数字信封中会话密钥对发送方和接收方都是一致的 D. 数字信封采用非对称加密算法对传输的文件进行加密 5. 从网络安全威胁的承受对象看，网络安全威胁的来源包括 (2分) A. 对客户机的安全威胁 B. 对数据库的安全威胁 C. 对WWW服务器的安全威胁 D. 对系统的安全威胁 6. 计算机网络安全是指保护计算机网络系统中的硬件，（）和数据资源 (1分) A. 软件 B. 通讯线路 C. 浏览器 D. 密码 7. 信息的安全级别一般可以分为、（）、普通 (1分) A. 绝密 B. 低密 C. 秘密 D. 私密 8.. 要使网上交易成功，参与交易的人首先要能（） (1分) A. 互通 B. 发送传真

C. 确认对方的身份 D. 保证信息系统安全 9. 下面哪种设置密码的方法是不安全的？ (1分) A. 密码尽量使用英文字母及数字和标点、特殊符号等多种字符的组合。 B. 使用用户本身的、出生日期、、手机 C. 避免使用重复的密码 D. 保证至少6个字符以上的密码长度 10防火墙可以为监视互联网安全提供方便。 (1分) A. 对 B. 错 11（）是指管理员通过防火墙的Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。 (1分) A. 集中管理 B. 本地管理 C. 远程管理 D. 部管理 12. 下面哪个属于病毒程序的功能模块？ (1分) A. 安全模块 B. 转移模块 C. 引导模块 D. 系统模块 13. 下述哪项不是选择防毒软件应考虑的要素? (1分) A. 技术支持程度 B. 技术的先进性和稳定性 C. 防病毒软件使用界面是否漂亮 D. 病毒的响应速度 14电子商务安全运作基本原则包括 (2分) A. 协同一致原则 B. 三人负责原则 C. 最小权限原则 D. 任期有限原则 15. 电子商务安全的容包括 (1分) A. 企业系统安全 B. 交易平台安全 C. 电子商务系统安全管理制度 D. 第三方物流安全

电子商务安全课后习题答案

2.电子商务的主要类型有哪些？ B2B B2C B2G C2C C2G 3:电子商务的基础设施包括哪些内容？ 用于电子商务转型的完整IT基础设施和完善的电子商务服务 4.电子商务的安全要素有哪些？作用是什么？ A．可用性需要的时候，资源是可用的（电子商务系统中主要有硬件软件和数据资源，资源的可用性是指需要这些资源的时候，这些资源是可用的） B．机密性谁有权力查看特定的信息（……） C．完整性允许谁修改数据，不允许谁修改数据（……） D．即时性在规定的时间完成服务（……） E．不可抵耐性为信息的收，发者提供无法否认的端到端的证据（……） F．身份认证解决是谁的问题（……） G．访问控制访问者能进行什么操作，不能进行什么操作（……） 5.密钥的长度是否重要？为什么？ 重要，绝大多数算法在实施对数据的操作时都需要一定长度的密钥，防止强力攻击。 6.对称加密技术和非对称加密技术有何区？ 对称加密加密密钥与解密密钥是相同的，非对称加密加密和解密使用不同的密钥 7.PKI提供哪些服务？ 数字签名，身份认证，时间戳，安全公正服务和不可否认服务 8.用哪些技术解决不可抵耐性？ 身份认证技术，如口令，令牌，生物特征识别，数字签名，数字摘要，数字证书和PKI等9.安全管理的目标是什么？ 资源的可用性，信息的完整性，信息的机密性 10.什么是威胁什么是漏洞，电子商务系统中有哪些漏洞，他们带来的后果是什么？ 威胁是攻破或损坏系统的潜在途径。漏洞是攻破系统过程中利用的系统属性，是系统的薄弱环节。分为软件漏洞和配置漏洞和社会漏洞后果，破坏系统安全，篡改数据，盗窃信息等。 11.为什么说人是电子商务安全中的最薄弱环节？ 由于安全产品的技术越来与阿完善，使用这些技术的人，就成为整个环节上最薄弱的的部分。个人的行为和技术一样也是对系统安全的威胁。社会工程学看似简单的欺骗，但却包含了复杂的心理学因素，其危害程度有时比直接的技术入侵要大得多。对于技术入侵可以防范，但心理上的漏洞谁有能时刻的警惕呢？毫无疑问，社会工程学将来会是入侵和反入侵的重要对抗领域。 12.有几种安全领域？他们各自解决什么问题？ 物理安全域，限制人员使用设备，大楼和其他有形资源，目的是保护有形资产并阻止入侵者使用系统应用程序和信息。 网络安全域控制对网上资源的访问，目的是阻止外人使用私有资产。 应用安全域限制操作类型和范围 数据安全域定义各类数据的保护边界 13.应急预案包括哪些部分？各自解决什么问题？ 隔离威胁，目的限制攻击范围。恢复服务，目的实现资源的可用性。攻击后的任务，了解被利用漏洞，哪些环节遭到了破坏，全面恢复成本，如何防范此类攻击。

电子商务安全技术习题集 复习题

第七章电子商务安全技术 三、单项选择题 1.身份认证的主要目标包括：确保交易者是交易者本人、避免与超过权限的交易者进行交易和_______。 (A)可信性 (B)访问控制 (C)完整性 (D)保密性 答案：B； 2.目前最安全的身份认证机制是_______。 (A)一次口令机制 (B)双因素法 (C)基于xx的用户身份认证 (D)身份认证的单因素法 答案：A； 3.下列是利用身份认证的双因素法的是_______。 (A)电话卡 (B)交通卡 (C)校园饭卡 (D)xx 答案：D；

4.下列环节中无法实现信息加密的是_______。 (A)链路xx (B)上传xx (C)节点xx (D)端到端xx 答案：B； 5.基于私有密钥体制的信息认证方法采用的算法是_______。 (A)素数检测 (B)非对称算法 (C) RSA算法 (D)对称加密算法 答案：D； 6.RSA算法建立的理论基础是_______。 (A) DES (B)替代相组合 (C)大数分解和素数检测 (D)哈希函数 答案：C； 7.防止他人对传输的文件进行破坏需要_______。 (A)数字签字及验证 (B)对文件进行xx

(C)身份认证 (D)时间戳 答案：A； 8.下面的机构如果都是认证中心，你认为可以作为资信认证的是_______。 (A)国家工商局 (B)著名企业 (C)商务部 (D)人民银行 答案：D； 9.属于黑客入侵的常用手段_______。 (A)口令设置 (B)邮件群发 (C)窃取情报 (D) IP欺骗 答案：D； 10.我国电子商务立法目前所处的阶段是_______。 (A)已有《电子商务示范法》 (B)已有多部独立的电子商务法 (C)成熟的电子商务法体系 (D)还没有独立的电子商务法 答案：D；

第一章电子商务基础知识1答案

一、电子商务概述 1、电子商务促进经济全球化的发展。(1分)p3 A. 对 B. 错 2、联合国国际贸易程序简化工作组对电子商务的定义：“采用电子形式开展商务活动，它包括在供应商、客户、政府及其他参与方之间通过任何电子工具，如EDI、Web技术、电子邮件等共享非结构化或结构化商务信息，并管理和完成在商务活动、管理活动和消费活动中的各种交易。”这一定义有一严重不足是(1分)p2 A．没有交待采用何种技术手段或工具 B．没有说明电子化的含义 C．没有直接地鲜明地提到互联网——当今电子商务所依托的最根本的网络平台 D．也没有点出社会上哪些人群和组织，成为参与对象 3、电子商务改变了人们的工作环境和条件，也改变人们的生活方式。(1分)p4 A. 对 B. 错 4、电子商务将对人类社会产生重要的影响，以下叙述正确的是(1分)p4 Ａ．改变了人们的社会地位和经济条件 Ｂ．改变了市场需求 Ｃ．改变了人类的兴趣爱好 Ｄ．改变了市场的准入条件 5、电子商务始终采用各种先进的技术手段，实现不同层次的商务目标，反映出电子商务功能更齐全，服务更周到的优势。(1分) p3 Ａ．对 Ｂ．错 6、下列关于电子商务的描述，哪一种说法不是电子商务的优势？(1分)p3 A. 减少运营成本，显著降低收费 B. 覆盖面广，拥有全球市场 C. 用户购买的任何产品都只能通过人工送达，采用计算机技术用户无法收到其购买的产品 D. 全天时营业 9、公共政策、法律法规是属于电子商务系统框架结构中的(1分)p7 A．信息发布平台 B．社会环境 C．网络平台 D．电子商务平台 10、不属于电子商务系统组成成员的是(1分) p9 A. 相关的安全交易协议（SET、SSL、S/MIME、S-HTTP、HTTPS等） B. 客户（包括购物单位、消费者） C. 销售中心（包括电子商城、服务提供商） D. 配送中心（包括现代商品物流配送公司、邮政局） 11、电子商务一般的交易过程分为5个阶段，“买方通过互联网和其他电子商务网络（各种增值网），寻找所需的商品和商家，发出询价和查询信息，收集相关信息，进行市场调查和分析，制订和修改购货、进货计划，比较选择，作出购买决策，审批计划，筹划货款等”，这些行为属于(1分) p10

五、电子商务安全管理(空白)

第五讲电子商务安全管理 1、蠕虫病毒的传染目标是互联网内的计算机。 ( ) A、对 B、错 2、防火墙不能防范来自网络内部的的攻击。 ( ) A、对 B、错 3、要设置安全的密码应该避免使用重复的密码。 ( ) A、对 B、错 4、信息的有效性包括通信的不可抵赖、不可否认。（） A、对 B、错 5、计算机病毒能通过CPU传播。（） A、对 B、错 6、宏病毒属于引导区病毒。（） A、对 B、错 7、电子商务安全是有效开展电子商务的前提和保证。（） A、对 B、错 8、计算机病毒属于计算机中的程序。（） A、对 B、错 9、防火墙可以防范所有网络攻击。（） A、对 B、错 10、对外服务的WWW服务器放在防火墙内部就不能被外网访问。 A、对 B、错 11、防火墙是位于内部网和互联网之间的。（） A、对 B、错 12、防火墙限制他人进入内部网络，过滤掉不安全服务和非法用户。（ A、对 B、错 13、安全的密码要保证至少6个字符以上的密码长度。（） A、对 B、错14、电子商务的交易中一条信息被发送或被接收后，应该通过一定的方式，保证信息的收发各方都有足够的证据证明接收或发送的操作已经发生。( ) A、对 B、错 15、密码是隐藏了真实内容的符号序列。（） A、对 B、错 16、防火墙可以限定内部网的用户对互联网上特殊站点的访问。( ) A、对 B、错 17、计算机病毒可以传染给计算机使用人员。( ) A、对 B、错 18、黑客主要是利用操作系统和网络的漏洞，缺陷，从网络的外部非法侵入，进行不法行为。( ) A、对 B、错 19、防火墙的包过滤型是基于应用层的防火墙。( ） A、对 B、错 20、防火墙的代理服务型是基于网络层的防火墙。( ) A、对 B、错 21、在实际应用中，通常将两种加密方法（即：对称加密方法和非对称加密方法）结合在一起使用。 A、对 B、错 22、物理隔离可以真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。( ) A、对 B、错 23、最难防御的安全问题是病毒攻击。( ) A、对 B、错 24、要使网上交易成功，参与交易的人首先要能确认对方的身份，确定对方的真实身份与对方所声称的是否一致。 A、对 B、错 25、密码安全是保卫交易安全的第一道防线，发生在互联网上的入侵大多是因为使用了一个容易猜测的密码或密码被破译。 ( ) A、对 B、错

电子商务安全实验报告

电子商务安全实验报告

电子商务安全实验报告

实验名称：电子商务安全技术 2010081126 吕吕 一、实验目的： 通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务安全的措施及相关技术。 二、实验内容： （1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有： PKI协议：PKI是Public Key Infrastructure的缩写，是指用公钥概 念和技术来实施和提供安全服务的具有 普适性的安全基础设施。PKI技术是信 息安全技术的核心，也是电子商务的关 键和基础技术。PKI的基础技术包括加 密、数字签名、数据完整性机制、数字 信封、双重数字签名等。 安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力 于促进以因特网为基础的电子商务技术 发展的国际财团CommerceNet协会提 出的安全传输协议，主要利用密钥对加 密的方法来保障W eb 站点上的信息

安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本，正是这一特点使得S-HTTP 与SSL 有了本质上的区别，因为SSL 是一种会话保护协议。S-HTTP 的主要功能是保护单一的处理请求或响应的消息，这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议（SSL）: SSL 能使客户机与服务器之间的通信不被攻击者窃听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL 建立在TCP 协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在因特网上通信的机密性。 安全电子交易协议（SET）: SET 协

4、电子商务第一章习题

第一章习题 1 判断题（正确的打“V”，错误的打“X”） ⑴计算机网又称国际互联网(Internet)，也被译为因特网。（ X ） ⑵电子是手段，商务是目的，做好商务活动才是电子商务的本质。（ V） ⑶电子商务系统就是指在电子虚拟市场进行商务活动的物质基础和商务环境的总称。（ V） ⑷网络用户是指连接在互联网上的个人和法人，它们构成电子商务交易的客体。（ X ） ⑸网络市场是提供给买卖双方进行网络交易的商品。（ X ） ⑹认证中心(Certificate Authority,简称CA)）是法律承认授权的权威机构，负责发放和管理数字证书，使网上交易的各方能互相确认身份。它是不直接从电子商务交易中获利的第三方机构。（ V） ⑺电子商务产生的源动力是信息技术（IT）的进步和社会商业的发展。（ V） ⑻信息技术与社会商业的融合发展，导致了社会网络化、经济数字化、竞争全球化、贸易自由化的趋势不断加强，真正意义上的电子商务正是在这种背景下应运而生。（ V） ⑼电子商务是指交易当事人或参与人，利用计算机技术和网络技术等现代信息技术所进行的某种商务活动。（ X ）⑽信用卡号或银行账号都是电子账户的一种标志。（ V） 2 单项选择题（请将正确选项代号填在括号中） ⑴互联网起源于（ B ）。 A．英国 B．美国 C．法国 D．中国 ⑵因特网(Internet)又称为（A）网络。 A．国际互联 B．局部计算机 C．城市计算网 D．高速信息火车 ⑶中国“政府上网年”是在（D ）年提出来的。 A 1996 B 1997 C 1998 D 1999 ⑷通过互联网（Internet）网络进行的商务活动称之为（ C ）。 A．一般电子商务 B．广义电子商务

电子商务实训项目五

实训项目五：BtoC网上购物流程及网站功能分析 一、实训目的 1. 掌握网上购物的运作环节。 2. 熟悉B2C电子商务网站的结构特点。 3. 掌握不同的B2C电子商务网站经营模式、赢利模式等的异同点。 二、相关知识 （一）B2C网上购物的一般流程 网上购物的一般流程为：会员注册—商品的搜索选购—下订单—订单查询、合并和取消—网上支付—等待收货—购物评价。 （二）B2C电子商务网站常见的分类模式 1. 从B2C网购模式角度分类 从B2C网购模式角度来分类，可以把B2C分为综合平台商城（如天猫）、综合独立商城（如京东）、网络品牌商城（如凡客）、连锁购销商城（如苏宁易购）等。 2. 从产品覆盖品类、品牌的多少角度分类 这种分类着眼于产品覆盖品类、品牌的多少来分类，可以分为：品牌型垂直电商商城（如小米商城）、平台型综合电商商城（如京东）、平台型垂直电商商城（如聚美）。 （三）综合电子商务网站和垂直电子商务网站 1.综合电子商务网站也叫水平型电子商务网站，主要是提供多行业产品的网上经营。这种类型的网站聚集很多类别的产品，综合性强，旨在为用户提供产品线宽，可比性强的商业服务。 2.垂直电子商务是指在某一个行业或细分市场深化运营的电子商务模式。垂直电子商务网站旗下商品都是同一类型的产品。这类网站多为从事同种产品的B2C或者B2B业务，其业务都是针对同类产品的。 三、实训内容 （一）B2C网上购物操作步骤 以当当网为例，说明B2C网上购物的具体操作方法。 1．会员注册 当当网上开户有以下两种途径。 （1）从“我的当当”注册开户。进入当当首页后，单击首页的“注册”按钮，输入电子邮件地址并设定登录密码等进行注册。 （2）订购过程中注册开户。进入当当网，选择所需要的商品单击“购买”按钮，自动弹出购物清单页面，显示已选购的商品信息，选择继续购物或结账，在结账页面的新顾客注册栏填写注册信息，之后登录、填写订单信息、提交订单。 2．商品的搜索选购 （1）在当当的首页，从“商品分类”中选择所找商品的类型或在“商品搜索”中输入所要选购的商品名称，即可浏览、搜索所需要的商品。

电子商务概论(第五版)

电子商务概论（第五版） 任务一电子商务基础陶世怀 任务二电子商务模式刘亚琦 任务三电子商务技术支撑马俊 任务四电子商务营销服务耿翠花 任务五电子商务物流服务董美曾 任务六电子商务金融服务韩全辉 任务七电子商务安全任继勇 任务八电子商务法律法规任继勇 任务九移动电子商务韩全辉 任务十云电子商务陶世怀董美曾

目录 任务一电子商务基础 案例导入： 项目1 了解电子商务的产生和发展项目2 熟悉电子商务基本概念 项目3 体会电子商务系统的运作 项目4 了解电子商务在各行业的应用项目五单元小结 任务二电子商务模式 案例导入： 项目1 理解电子商务模式 项目2 理解B2B电子商务模式 项目3 体验B2C电子商务模式 项目4 体验C2C及其他电子商务模式项目5 体验O2O电子商务模式 单元小结 任务三电子商务技术支撑 案例导入： 项目1 了解计算机网络技术 项目2了解数据库技术 项目3了解网络信息资源管理技术 项目4 了解网站建设技术 单元小结 任务四电子商务营销服务 案例导入： 项目1 了解传统营销与网络营销 项目2 了解基于网络技术的营销方法项目3 体会网络营销战略与规划 项目4 体会网络推广 单元小结 任务五电子商务物流服务 案例导入： 项目1 理解现代物流服务理念与模式项目2 体验电子商务物流运作 项目3了解物流信息管理 项目4单元小结 任务六电子商务金融服务

案例导入： 项目1体验网上银行服务 项目2认识电子支付工具 项目3体验移动支付 项目4体验网络证券与保险 项目5单元小结 任务七电子商务安全 案例导入： 项目1 初探电子商务安全需求 项目2 初识信息安全技术 项目3 了解认证机构（CA）的作用项目4 了解电子商务系统的安全 项目5单元小结 任务八电子商务法律法规 案例导入： 项目1 初识电子商务法律 项目2 体会电子商务涉及的法律问题项目3 感受电子商务信用体系建设单元小结 任务九移动电子商务 案例导入： 项目1 认识移动电子商务 项目2了解移动电子商务模式 项目3 体验移动电子商务应用 项目4单元小结 任务十云电子商务 案例导入： 项目1：认识云电子商务项目 项目2：了解电子商务应用的改善 项目3：云电子商务的发展分析 单元小结

电子商务安全支付第一章案例分析

案例分析 关于网络交易平台的法律责任问题，是电子商务领域一个比较突出、也是很有代表性的问题。这一问题的关键在于对交易平台的定性。如果将其归为销售者、商场或是传统的拍卖行，出现假冒伪劣产品，恐怕他们就都难辞其咎，需要承担相应的连带责任；而如果将其归为信息服务提供者，即ICP的一种，则根据互联网信息服务管理办法和相关司法解释，除非出现反动、色情等明显禁止传播的内容，在出现其他侵权信息的情况下，如果信息服务提供者已尽到基本的义务（如要求卖家不得出售侵权产品、出示其相关身份信息等）或在有人拿出明确证据通知其某些内容属于侵权时其马上停止发布相关信息，则应该可以免责。 目前，在我国对该领域还没有可直接适用的法律规定的情况下，实际操作中只能援引其他领域侵权责任承担的做法。根据实际情况，较多人认为，电子商务交易服务平台提供的服务可能更偏向于信息服务，这样，要求电子商务交易平台弄清其上每一件产品的合法来由（除非是一般人依据常识可以一目了然的），确实有点强人所难。 从淘宝网“包年卡”欺诈这个案例，可以得到以下启示。 1．消费者睁大眼睛网购很关键 对于消费者而言，要睁大眼睛以明辨是非，要提高交易风险的识别和防范能力，以规避网上购物上当受骗的风险。例如，本案例中的产品——“包年上网卡”，该服务提供商只能是中国联通或中国移动等公司，作为消费者如果多一个心眼，及时向权威部门咨询该业务的开展情况，则损失完全可以避免。 2．相关机构要抓紧建立网络诚信体制 尽快由政府、企业、行业协会和消费者，共同建立网上消费信用体系和实名交易体系应该是非常必要的。只有这样，才能落实网上交易消费者权益的有效保护，而简单地加大网络交易平台责任的做法是不足取的。 3．交易平台应该加大商品的审核力度 在此案例中也不能说淘宝网没有一点责任。一方面，淘宝网负有配合有关部门开展调查取证等工作的义务，提供卖方的相关资料和有关交易记录；另一方面，如果消费者能够证明淘宝网在此次事件中明知欺诈的存在而未采取任何措施或存在其他有重大过失的行为，也可以直接起诉淘宝网。