1、电子商务面临的安全威胁（1）计算机网络风险。

物理安全问题、网络安全问题、网络病毒威胁、黑客攻击、电子商务网站自身的安全问题。

（2）电子商务交易风险。

在线交易主的市场的准入、信息风险、信用风险、网上欺骗犯罪、电子合同问题、电子支付问题、在线消费者保护问题、电子商务中产品交付问题、电子商务中虚拟财产的保护问题。

（3）管理风险。

（4）政策法律风险。

2、电子商务的安全要素电子商务随时面临的威胁导致了电子商务的安全需求。

一个安全的电子商务系统要求做到真实性、机密性、完整性和不可抵赖性等。

（1）真实性（2）保密性（3）有效性（4）完整性（5）不可抵赖性3、电子商务交易安全保障体系是一个复合型系统：电子商务是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统，其安全对象不是一般的系统，而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统（complex giant system）。

它是由商业组织本身（包括营销系统、支付系统、配送系统等）与信息技术系统复合构成的。

电子支付的应用现状：internet上的电子货币系统主要包括电子信用卡系统、电子支票系统和数字现金系统等4、（1）防火墙技术：定义，作用，应用场合（用在什么地方），缺点所谓防火墙，就是在内部网（如Intranet）和外部网（如Internet）之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。

它是一个或一组网络设备系统和部件的汇集器，用来在两个或多个网络间加强访问控制、实施相应的访问控制策略，力求把那些非法用户隔离在特定的网络之外，从而保护某个特定的网络不受其他网络的攻击，但又不影响该特定网络正常的工作。

功能：过滤进出、网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动对网络攻击检测和警报。

分类：根据防火墙在网络上的物理位置和在OSI（Open System Interconnect Reference Model，开放式系统互联参考模型）七层协议中的逻辑位置以及所具备的功能，可作如下的分类：线路级网关、包过滤路由器、应用网关、双重基地型网关、屏蔽主机防火墙、屏蔽主网防火墙、包过滤型防火墙、代理服务器型防火墙、复合型防火墙、物理隔离技术。

包过滤型防火墙：包过滤防火墙是最简单的防火墙，一般在路由器上实现。

包过滤防火墙通常只包括对源和目的IP地址及端口的检查。

包过滤防火墙的最大优点就是它对于用户来说是透明的，也就是说不需要用户名和密码来登录。

这种防火墙速度快而且易于维护，通常做为第一道防线。

包过滤防火墙的弊端也是很明显的，通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。

另外，包过滤防火墙需从建立安全策略和过滤规则集入手，需要花费大量的时间和人力，还要不断根据新情况不断更新过滤规则集。

同时，规则集的复杂性又没有测试工具来检验其正确性，这些都是不方便的地方。

对于采用动态分配端口的服务，如很多RPC（远程过程调用）服务相关联的服务器在系统启动时随机分配端口的，包过滤防火墙很难进行有效地过滤。

代理型防火墙也叫应用层网关（Application Gateway）防火墙。

这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。

从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。

这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。

它的核心技术就是代理服务器技术。

复合型防火墙的设计目标是既有包过滤的功能，又能在应用层进行代理，能从数据链路层到应用层进行全方位安全处理。

由于TCP/IP协议和代理的直接相互配合，使系统的防欺骗能力和运行的安全性都大大提高。

物理隔离技术是近年来发展起来的防止外部黑客攻击的有效手段。

物理隔离产品主要有物理隔离卡和隔离网闸。

防火墙的缺点：1、防火墙可以阻断攻击，但不能消灭攻击源2、防火墙不能抵抗最新的未设置策略的攻击漏洞3、防火墙的并发连接数限制容易导致拥塞或者溢出4、防火墙对服务器合法开放的端口的攻击大多无法阻止5、防火墙对待内部主动发起连接的攻击一般无法阻止6、防火墙本身也会出现问题和受到攻击7、防火墙不处理病毒（2）入侵检测技术：定义，作用，应用场合，缺点（只有一个入暴率）定义：入侵检测系统(Intrusion Detect System，IDS)是对传统安全产品的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。

•作用：监视、分析用户及系统活动；•对系统构造和弱点的审计；•识别反映已知进攻的话动模式并向相关人士报警；•异常行为模式的统计分析；•评估重要系统和数据文件的完整性；•操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

应用场合：主机入侵检测系统(HIDS)；网络入侵检测系统(NIDS)。

缺点：误报率（3）加密技术：概念，两类加密算法的区别，公钥密码系统的流程（PGP实验），加密技术的运用（数字证书实现签名邮件实验），RSA算法。

概念：密码理论与技术主要包括两部分，即基于数学的密码理论与技术（包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包括信息隐形，量子密码，基于生物特征的识别理论与技术）。

对称和非对称加密算法的区别：所谓对称密钥算法是指如果一个加密算法的加密密钥和解密密钥相同，或者虽然不相同，但是可由其中的任意一个很容易的推导出另一个，即密钥是双方共享的。

非对称密钥算法是指一个加密算法的加密密钥和解密密钥是不一样的，或者说不能由其中一个密钥推导出另一个密钥。

这两个密钥其中一个称为公钥，用于加密，是公开的，另一个称为私钥，用于解密，是保密的。

其中由公钥计算私钥是计算上不可行的。

这两种密码算法的不同之处主要有如下几个方面：1、加解密时采用的密钥的差异：从上述对对称密钥算法和非对称密钥算法的描述中可看出，对称密钥加解密使用的同一个密钥，或者能从加密密钥很容易推出解密密钥；而非对称密钥算法加解密使用的不同密钥，其中一个很难推出另一个密钥。

2、算法上区别：①对称密钥算法采用的分组加密技术，即将待处理的明文按照固定长度分组，并对分组利用密钥进行数次的迭代编码，最终得到密文。

解密的处理同样，在固定长度密钥控制下，以一个分组为单位进行数次迭代解码，得到明文。

而非对称密钥算法采用一种特殊的数学函数，单向陷门函数（one way trapdoor function），即从一个方向求值是容易的，而其逆向计算却很困难，或者说是计算不可行的。

加密时对明文利用公钥进行加密变换，得到密文。

解密时对密文利用私钥进行解密变换，得到明文。

②对称密钥算法具有加密处理简单，加解密速度快，密钥较短，发展历史悠久等特点，非对称密钥算法具有加解密速度慢的特点，密钥尺寸大，发展历史较短等特点。

3、密钥管理安全性的区别：对称密钥算法由于其算法是公开的，其保密性取决于对密钥的保密。

由于加解密双方采用的密钥是相同的，因此密钥的分发、更换困难。

而非对称密钥算法由于密钥已事先分配，无需在通信过程中传输密钥，安全性大大提高，也解决了密钥管理问题。

4、安全性：对称密钥算法由于其算法是公开的，其安全性依赖于分组的长度和密钥的长度，常的攻击方法包括：穷举密钥搜索法，字典攻击、查表攻击，差分密码分析，线性密码分析，其中最有效的当属差分密码分析，它通过分析明文对密文对的差值的影响来恢复某些密钥比特。

非对称密钥算法安全性建立在所采用单向函数的难解性上，如椭圆曲线密码算法，许多密码专家认为它是指数级的难度，从已知求解算法看，160bit的椭圆曲线密码算法安全性相当于1024bit RSA算法。

公钥密码系统的流程：RSA公开密钥密码体制。

所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。

（4）身份认证策略和访问控制策略：应用特点（学校教务系统为例）（5）数字证书（实验）填空或是连线数字证书作为网上交易双方真实身份证明的依据，是一个经使用者数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。

基于公开密钥体制（PKI）的数字证书是电子商务安全体系的核心，用途是利用公共密钥加密系统来保护与验证公众的密钥，由可信任的、公正的电子认证服务机构颁发。

（6）数字签名（实验）填空或是连线基本原理：数字签名技术以加密技术为基础，采用公钥密码体制对整个明文进行变换，得到一个作为核实签名的值。

接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则证明对方的身份是真实的。

PKI（Public Key Infrastructure，公钥基础设施）是提供公钥加密和数字签字服务的安全基础平台，目的是管理密钥和证书。

PKI是创建、颁发、管理、撤消公钥证书所涉及到的所有软件、硬件的集合体，它将公开密钥技术、数字证书、证书发放机构（CA）和安全策略等安全措施整合起来，成为目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。

PKI是电子商务安全保障的重要基础设施之一。

它具有多种功能，能够提供全方位的电子商务安全服务。

一个典型的PKI应用系统包括五个部分：密钥管理子系统（密钥管理中心）是做什么的、证书受理子系统（注册系统）、证书签发子系统（签发系统）、证书发布子系统（证书发布系统）、目录服务子系统（证书查询验证系统）。

虚拟专用网：定义，作用，应用场合（1）定义：虚拟专用网(Virtual Private Network，简称VPN)指的是在公用网络上建立专用网络的技术。

其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。

（2）作用：实现网络安全、简化网络设计、降低成本、容易扩展、可随意与合作伙伴联网、完全控制主动权、支持新兴应用。

（3）应用场合：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN）3．4电子商务管理与法律法规（按之前给的课后题集复习，考试从里面出。

）5．电子支付系统的基本构成1.客户：是指与某商家有交易关系并存在未长青的债权债务关系（一般指债务）的一方2.商家：是指拥有债权的商品交易的另一方，它可以根据客户发起的支付指令向金融体系请求获取货币。