1、风险评估：风险识别工作结束以后，要利用适当的风险测量方法、工具确定风险的大小与风险等级，这就是风险评估过程2、诚信:字面的解释就是诚实守信、狭义的诚信取“诚”与“信”内涵中相互包含的成分、即诚实无欺和遵守承诺。

广义的诚信涵盖了“诚”与“信”所涉及的几乎所有内容、是从道德主体的内在德行和外化行为的双重视角赋予诚信以更宽泛和全面的内容3、公钥基础设施：又叫公钥体系、是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范、用户可利用PKI平台提供的服务进行安全通信4、操作系统安全：指要对电子商务系统的硬件和软件资源实行有效的控制、为所管理的资源提供相应的安全保护5、网络层安全：指的是对一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护6、防火墙：是网络安全的第一道屏障、保障网络安全的第一个措施往往是安装和应用防火墙、防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统7、非对称加密：非对称密钥又叫公开密钥加密，需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加密8、应用层安全：指的是建立在某个特定的应用程序内部、不依赖于任何网络层安全措施而独立运行的安全措施9、信息安全：是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨别、控制、即信心安全要确保信息的完整性、保密性、可用性和可控性10、系统实体安全:指保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。

11、认证中心：是电子商务安全中的关键环节，也是电子交易中信赖的基础，是在电子交易中承担网上安全电子交易认证服务，签发数字证书，确认用户身份等工作的具有权威性、可依赖性和公正性的第三方机构12、虚拟专用网（VPN）：是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式13、数字签名：是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项、借助数字签名可以确定消息的发送方、同时还可以确定信息自发出后未被修改过14、入侵检测：就是对入侵行为的发觉，通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象15、计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据，影响计算机使用并能够自我复制的一组计算机指令或者程序代码16、证书策略CP与证书实施说明CPS：CP是指一套指定的规则，用于说明满足一般安全性要求的数字证书在某个特定的团体里和（或）某一类应用程序中的应用能力。

CPS是规定了在认证过程中要遵循的操作程序、证书实施说明的内容包括数字证书的复杂性及长度说明等、但最主要的是公开说明了认证机构的运作方式17、数字证书：是指一个由使用数字证书的用户群所公认和信任的权威机构（即CA）签署了其数字签名的信息集合1、三种不可否认机制：来源的不可否认机制、送递的不可否认机制、提交的不可否认机制。

2、访问控制安全包括：出入控制、存取控制。

3、信息的安全问题包括：冒名偷窃、篡改数据、信息丢失、信息传递出问题。

4、鉴别包括：身份鉴别、完整性鉴别、不可否认性鉴别。

5、信用的安全问题包括：来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况。

6、电子邮件内容的安全问题有：发送者身份认证、不可否认、邮件的完整性、邮件的保密性。

7、应用层安全措施包括：认证、访问控制、保密性、数据完整性、不可否认性。

8、常用的加密方式：链路－链路加密、节点加密、端－端加密、ATM网络加密、卫星通信加密。

9、《中华人民共和国电子签名法》是我国第一部真正意义上的电子商务法。

10、常见防火墙分类包括：包过滤型防火墙、应用网关型防火墙、代理服务型防火墙。

11、OSI基本参考模型提供的五种安全服务：验证服务、访问控制服务、数据保密服务、数据完整性服务、不可否认服务。

12、网络入侵检测的主要方法异常检测、误用检测。

13、密钥的生命周期包括：密钥建立、密钥备份/恢复、密钥替换/更新、密钥吊销、密钥期满/终止。

14、常用的加密方式：链路－链路加密、节点加密、端－端加密、ATM网络加密、卫星通信加密。

15、防火墙的实现方式有包过滤路由器、双穴防范网关、过滤主机网关、过滤子网防火墙。

16、防火墙的控制能力：服务控制、方向控制、用户控制和行为控制。

17、公钥用户：加密信息发送方和数字签名验证方18、公开密钥加密基本模式包括：加密模式和验证模式。

19、虚拟专用网络(VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。

20、系统实体安全的组成：环境安全、设备安全、媒体安全。

21、VPN的安全策略包括：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。

22、CTCA指的是中国电信认证中心23、美国的橘黄皮书中为计算机安全的不同级别制定了4个标准：D，C，B，A级，其中最底层是D级24、CFCA证书种类包括：企业普通证书、个人高级证书、手机证书、代码签名证书、服务器证书25、在B2B电子商务中，接到货款后，指定银行通知认证中心，买方货款到账。

26、目前发展很快的基于PKI的安全电子邮件协议是S/MIME27、用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份是指数字认证28、LDAP服务器在CA体系中提供目录浏览服务。

29、在电子商务的安全需求中，交易过程中必须保证信息不会泄露给非授权的人或实体指的是机密性。

30、网络交易的信息风险主要来自冒名偷窃、篡改数据、信息丢失三、简答1、信息安全的五种服务是什么？各需要采用什么安全技术来实现？答：机密性；信息完整性；对信息的验证；信息的不可否认性；对信息的访问控制。

分别需要通过加密；数字摘要；数字签名，提问—应答，口令，生物测定法；数字签名，数字证书，时间戳；防火墙，口令，生物测定法技术来实现2、为什么要把公开密钥加密的两种模式结合起来使用？如何结合？答：对于公开密钥加密系统的两种模式来说，如果只是单独使用其中一种模式，那就无法保障信息机密性的同时又验证发送方的身份，但在电子商务的安全中又需要同时实现两个目的。

为此，需要把这两种模式结合起来。

两种模式结合使用过程为：（1）发送方用自己的私有密钥对要发送的信息进行加密，使得一次加密信息（2）发送方用结婚搜方的公开密钥对已加密的信息再次加密。

（3）发送方用自己的私有密钥对接收到的两次加密信息进行解密，得到一次加密信息。

（4）接收方用发送方的公开密钥对一次加密信息信息进行解密，得到信息明文3、什么是安全电子交易协议SET协议？答：是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的，以信用卡为基础的安全电子支付协议，它给出了一套电子交易的过程规范4、什么是PKI？PKI应用系统具有哪些功能？答：PKI，又称公钥基础设施或公钥体系，是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，用户可利用PKI平台提供的服务进行安全通信。

PKI应用系统具有功能：（1）公钥数字证书的管理（2）证书撤销表的发布和管理（3）密钥的备份和恢复（4）自动更新密钥（5）自动管理历史密钥（6）支持交叉认证5、数字证书的分类答：按照数字证书的使用对象来分、目前的数字证书主要包括：个人数字证书、单位数字证书、服务数字证书、安全邮件证书、代码签名证书；按照数字证书证书所采用的技术来分，CA中心发放的证书分为两类：SSL证书和SET证书6、撤消数字证书可以有哪些方法？答：（1）定期公布数字证书撤销表；（2）广播数字证书撤销表；（3）进行数字证书的在线状态检查；（4）发放短期数字证书；（5）其他撤销方法：①从数字证书数据库中删除数字证书；②可信的数字证书服务器或目录；③间隔时间更短的周期性数字证书撤销表；④建立数字证书撤销树。

7、数字证书的生成步骤是什么？答：数字证书的生成通过下列步骤实现：（1）数字证书申请人将申请数字证书所需要的数字证书内容信息提供给认证机构。

（2）认证机构确认申请人所提交信息的正确性，这些信息将包含在数字证书中。

（3）有持有认证机构私钥的签证设备给数字证书加上数字签名。

（4）将数字证书的一个副本传送给用户，如果需要，用户在收到数字证书后返回一条确认信息。

（5）将数字证书的一个副本传送到数字证书数据库如目录服务，以便公布。

（6）作为一种可供选择的服务，数字证书的一个副本可以由认证机构或其他实体存档，以加强档案服务，提供数据服务以及不可否认性服务。

（7）认证机构将数字证书生成过程中的相关细节，以及其他在数字证书发放过程中的原始活动都记录在审计日志中。

8、什么是风险分析？风险分析涉及哪些安全功能？答：风险分析就是要对电子商务安全系统进行人工或自动的风险分析。

风险分析主要涉及四个方面的安全功能：（1）系统设计前的风险分析（2）系统试运行前的风险分析（3）系统运行期的风险分析（4）系统运行后的风险分析9、电子商务交易中诚信缺失的原因？答：（1）电子商务模式加剧了信息不对称，增加了安全风险（2）相关法律法规的缺乏使得在电子商务交易中欺骗成功的几率增加a交易资格审查不足b相关法律缺乏（3）配套措施的缺乏使得在电子商务交易中维护诚信的难度增加10、简述电子商务的安全需求所包括的内容？答：保密性保护机密信息不被非法存取以及信息在传输过程中不被非法窃取完整性防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改认证性确保交易信息的真实性和交易双方身份的合法性可控性保证系统、数据和服务能由合法人员访问、保证数据的合法使用不可否认性有效防止通信或交易双方对己进行的业务的否认11、简述数字签名的作用。

答：1)接收方通过文件中的签名能确认发送者的身份；2)发送方以后不能否认发送过的签名文件；3)接收方不可能伪造文件的内容；12、诚信缺失所引发的电子商务安全问题有哪些？答（1）虚假信息泛滥a虚假信息b注册虚假网站，进行网络钓鱼或欺诈（2）交易违约频发a虚假交易及交易诈骗b不履行服务承诺（3）支付问题（4）其他违法违规问题13、简述数字签名的原理。

答（1）发送方首先用HASH函数从原文得到数字摘要，然后采用公开密钥体系用发送方的私有密钥对数字摘要进行签名，并把签名后的数字摘要附加在要发送的原文后面（2）发送一方选择一个秘密密钥对文件进行加密，并把加密后的文件通过网络传输到接收方（3.）发送方用接收方的公开密钥对秘密密钥进行加密，并通过网络把加密后的秘密密钥传到接收方（4）接受方使用自己的私有密钥对密钥信息进行解密，得到秘密密钥的明文（5）接收方用秘密密钥对文件进行解密，得到进过加密的数字摘要（6）接收方用发送方的公开密钥对数字签名进行解密，得到数字摘要的明文（7）接收方用得到的明文和HASH函数重新计算数字摘要，并与解密后的数字摘要进行对比。