第一章电子商务的概念1．电子商务的含义【名词解释】电子商务：是建立在电子技术基础上的商业运作，是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。

【单选】第一代或传统的电子商务为：数据交换（EDI）采用的信息传输方式是“存储---转发”2．电子商务的构成表现形式：【多选】B-B,B-C,C-C,B-G技术要素：【多选】电子商务的技术要素组成包括：网络、应用软件和硬件。

技术要素组成的核心：【单选】应用软件3．电子商务的模式(1)大字报／告示牌模式。

(2)在线黄页簿模式。

(3)电脑空间上的小册子模式。

(4)虚拟百货店模式。

(5)预订／订购模式。

(6)广告推销模式。

4．【简答】Internet(因特网)、Intranet(内连网)和Extranet(外连网)的特点(1)Internet(因特网)因特网的最大优势，是它的广袤覆盖及开放结构。

由于它是开放结构，许多企业及用户可以按统一的技术标准和较合理的费用连接上网，使网上的主机服务器和终端用户以滚雪球的速度增加，也使其覆盖增长至几乎无限。

但它的优点也是它的缺点。

因特网的管理松散，网上内容难以控制，私密性难以保障。

从电子商务等应用看，安全性差是因特网的又一大缺点，这已成为企业及用户上网交易的重要顾虑。

(2)Intranet(内连网)Intranet(内连网)本书中选译为企业内域网。

企业内域网是为企业内部运作服务的，自然有它安全保密的要求，当它与公网Internet连接时，就要采取措施，防止公网上未授权的无关人员进入，防止企业内部敏感资料的外泄。

这些保障内域网安全的硬件、软件措施，通常称为防火墙(Firewall)。

防火墙常常是一个介乎内域网和因特网其他部分之间的安全服务器。

(3)Extranet(外连网)一般译为企业外域网，它是一种合作性网络。

一个企业除利用因特网的技术和标准或直接在因特网上构建企业内域网，满足企业内部运作之外，还经常需要与某些业务关系较密切的本企业集团以外的单位通过网络进行联系，为达成某一共同目标而共享某些资源。

5．电子商务的发展历史（设备---软件---推销产品---与客户相联系）【单选】有人把现代电子商务的发展分成如下几个阶段，从中也可看出电子商务发展的轨迹、条件和基础：(1)1995年：网络基础设施大量兴建。

(2)1996年：应用软件及服务成为热点。

(3)1997年：网址及内容管理的建设发展，有关企业、业务的调整、重组及融合，所谓“人口门户”(Portal)公司的出现。

(4)1998年：网上零售业及其他交易蓬勃发展。

二、电子商务安全基础1．电子商务的安全隐患(1)硬件系统计算机是现代电子科技发展的结晶，是一个极其精密的系统，它的每一个零件都是由成千上万个电子元件构成的。

这一方面使计算机的功能变得十分强大，另一方面又使它极易受到损坏。

(2)软件系统软件是用户与计算机硬件联系的桥梁。

任何一个软件都有它自身的弱点，而大多数安全问题都是围绕着系统的软件部分发生的，既包括系统软件也包括应用软件。

电子商务系统的安全问题不仅包括了计算机系统的隐患，还包括了一些自身独有的问题。

(1)数据的安全。

(2)交易的安全。

【简答】为什么说交易的安全是电子商务系统所独有的？2．【简答】简述电子商务所遭受的攻击。

(1)系统穿透。

【单选】未经授权人通过一定手段假冒合法用户接入系统，对文件进行篡改、窃取机密信息、非法使用资源的攻击行为是：系统穿透(2)违反授权原则。

【单选】攻击者通过猜测口令接入一个非特许用户账号，取得接入系统权，从而严重危急系统的安全的攻击行为是：违反授权原则。

(3)植入。

【单选】在系统中植入病毒、蛀虫、木马来破坏系统的攻击行为是：植入。

(4)通信监视。

【单选】在通信过程中从信道搭线接听的方式称为：通信监视。

(5)通信窜扰。

【单选】攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改系统中的数据内容，注入伪造信息的攻击行为：通信窜扰。

(6)中断。

【单选】破坏系统中的硬件、硬盘、线路、文件系统的攻击方式：中断。

(7)拒绝服务。

【单选】一个业务口被滥用而使其他用户不能正常接入的攻击行为：拒绝服务。

(8)否认。

【单选】一个实体进行某种通信或交易伙同，稍后否认曾进行过这一活动。

(9)病毒。

【单选】曾一度给我国造成巨大损失的病毒：CIH病毒。

3．电子商务安全的六性多选，简答。

名词解释(1)商务数据的机密性。

【单选】信息在网络上传送或存储的过程不被他人窃取、不被泄露或披露给未经授权的人或组织，或经过加密伪装后，使未经授权者无法了解其内容。

是商务数据的机密性。

【多选】保证数据机密性的手段：加密和信息隐匿技术。

(2)商务数据的完整性。

保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改是：数据的完整性。

【多选】保证数据完整性的手段：散列函数，又称为哈希函数、杂凑函数、压缩函数、消息摘要、数字指纹。

(3)商务对象的认证性。

商务对象的认证性是指：网络两端的使用者在沟通之前相互确认对方的身份，保证身份的正确性，分辨参与者与所称身份者的真伪，防止伪装攻击。

【多选】认证性是用数字签名和身份认证技术实现。

(4)商务服务的不可否认性。

指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。

【单选】不可否认性采用的新的技术：数字签名。

(5)商务服务的不可拒绝性。

保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。

(6)访问的控制性。

在网络上限制和控制通信链路对主机系统和应用的访问：宝货计算机系统的资源不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

【单选】访问控制性通过：防火墙技术。

4．产生电子商务安全威胁的原因(1)Internet在安全方面的缺陷Internet的安全漏洞①Internet各个环节的安全漏网。

②外界攻击，Internet安全的类型。

【多选】对安全的攻击分为两类：主动攻击、被动攻击。

【多选】对INTERNET攻击的四种类型：截断信息、伪造、篡改、介入。

截断信息：对服务可用性（不可拒绝性）的攻击。

伪造：对机密性、完整性、认证性的攻击。

篡改：对机密性、完整性、认证性的攻击。

介入：对机密性的攻击。

【选择】截断、伪造、篡改属于主动攻击。

介入：被动攻击。

③局域网服务和相互信任的主机的安全漏洞。

【简答】：为什么不鼓励使用“相互信任的主机”设置？④设备或软件的复杂性带来的安全隐患。

TCP／IP协议及其不安全性①TCP／IP协议简介IP协议提供基本的通信协议，TCP协议在IP协议的基础上为各种应用提供可靠和有序的数据传送功能。

②IP协议的安全隐患a．针对IP的“拒绝服务”攻击。

b．IP地址的顺序号预测攻击。

c．TCP协议劫持入侵。

d．嗅探入侵。

【简答】黑客进行tcp/ip顺序号预测攻击步骤：Tcp协议劫持入侵步骤：③HTTP和Web的不安全性a．HTTP协议的特点。

http协议是“无记忆状态”协议，telnet是“有记忆状态”【单选】对发展internet重大贡献的是：http协议b．HTTP协议中的不安全性。

④E—mail，Telnet及网页的不安全性a．E一mail的不安全性。

b．入侵Telnet会话。

c．网页做假。

d．电子邮件炸弹和电子邮件列表链接。

【简答】普通待电子邮件的两个方面的安全问题是什么？由什么原因造成的？【名词解释】电子邮件炸弹(2)我国电子商务安全威胁的特殊原因①我国的计算机主机、网络交换机、路由器和网络操作系统都来自国外。

②美国政府对计算机和网络安全技术的出口限制，使得进入我国的电子．商务和网络安全产品均只能提供较短密钥长度的弱加密算法。

这些安全产品我们认为是安全的，但实际上根本无安全可言，因为技术先进的国家对较短密钥长度的弱加密算法早就有了破解的方法。

5．关于电子商务的安全威胁可以采取的对策适当设置防护措施可以减低或防止来自现实的威胁。

在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施，防止恶意侵扰。

整个系统的安全取决于系统中最薄弱环节的安全水平，这需要从系统设计进行考虑。

(1)保密业务。

(2)认证业务。

(3)接入控制业务。

(4)数据完整性业务。

(5)不可否认业务。

(6)加快我国自主知识产权的计算机网络和电子商务安全产品的研制和开发，摆脱我国计算机网络和电子商务安全产品安全依赖进口的局面，将主动权掌握在自己手里。

(7)严格执行《计算机信息系统安全专用产品检测和销售许可证管理办法》，按照《计算机信息系统安全专用产品检测和销售许可证管理办法》的规定规范企业电子商务设施的建设和管理。

三、计算机安全等级计算机安全等级的划分美国的橘黄皮书中为计算机安全的不同级别制定了4个标准：D，C，B，A级，由低到高，D级暂时不分子级。

8级和C级是最常见的级别。

每个级别后面都跟有一个数字，表明它的用户敏感程度，其中2是常见的级别，C级分为Cl和C2两个子级，C2比Cl提供更多的保护。

C2级要求有一个登录过程，用户控制指定资源，并检查数据追踪。

8级为分Bl，B2和B3三个子级，由低到高；B2级要求有访问控制，不允许用户为自己的文件设定安全级别。

这些东西并不能保证安全，主要是用于政府合同的一致性。

A级(最安全)暂时不分子级，是用户定制的，如果需要一个这样的系统，就要获得一份授权销售商及产品的清单。

【填空】美国橘黄皮书中为计算机安全的不同级别制定了4级标准，其中D级为最低级别。

它们从高到低依次是AB3B2B1C2C1D。

第二章电子商务安全需求与密码技术一、电子商务的安全需求电子商务安全是一个复杂的系统问题，在使用电子商务的过程中会涉及到以下几个有关安全方面的因素。

【多选】电子商务安全需求(1)可靠性.可靠性是指电子商务系统的可靠性，电子商务系统也就是计算机系统，其可靠性是指为防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，加以控制和预防，确保系统安全可靠性。

保证计算机系统的安全是保证电子商务系统数据传输、数据存储及电子商务完整性检查的正确和可靠的根基。

(2)真实性.真实性是指商务活动中交易者身份的真实性，亦即是交易双方确实是存在的，不是假冒的。

(3)机密性.机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。

(4)完整性.完整性是指数据在输人和传输过程中，要求能保证数据的一致性，防止数据被非授权建立、修改和破坏。

(5)有效性.电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。

因此，必须保证贸易数据在确定价格、期限、数量以及确定时间、地点时是有效的。

(6)不可抵赖性.电子商务直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题，则是保证电子商务顺利进行的关键。