【正文】 有少數商家接受電子現金，而且只有少數幾家銀行提供電子現金開戶服務；存在貨幣兌換問題；風險較大（了解）電子錢包：是一個可以由持卡人用來進行安全電子交易和儲存交易記錄的軟件，就象生活中隨身攜帶的錢包一樣。1網上支付： 指的是客戶、商家、網絡銀行（或第三方支付）之間使用安全電子手段，利用電子現金、銀行卡、電子支票等支付工具通過互聯(lián)網傳送到銀行或相應的處理機構，從而完成支付的整個過程。參與網上支付活動的主要參與者有買賣雙方及銀行或第三方支付商。支付網關的功能主要有：將INTERNET傳來的數據包解密；按照銀行系統(tǒng)內部的通信協(xié)議將數據重新打包；接收銀行系統(tǒng)內部反饋的響應消息，將數據轉換為INTERNET傳送的數據格式；對其進行加密。支付組織分類：：電子商務企業(yè)自身同時充當支付中介，自建支付平臺，和銀行網關直接連接，：由獨立于電子商務企業(yè)與銀行之外的第三方機構提供網上支付平臺，專門從事網上支付業(yè)務。第三方支付面對的安全風險：①虛擬性帶來的欺詐風險②洗錢活動的風險③信用卡套現的風險④結算和虛擬賬戶資金沉淀風險監(jiān)管的難點：1）第三方支付的主體資格問題2）第三方支付面對的安全風險1網絡銀行：網絡銀行也稱為網上銀行、在線銀行，是指利用Internet、Intranet及相關技術處理傳統(tǒng)的銀行業(yè)務及支持電子商務網上支付的新型銀行。劃分方式：網上銀行運行模式：完全依賴于Internet發(fā)展起來的全新的電子銀行稱為直接銀行（Direct Bank）或純網絡銀行。傳統(tǒng)銀行在Internet上建立的網站稱為混合銀行（Incumbent Bank）。1防火墻：防火墻(Firewall)是指一個由軟件和硬件設備組合而成，在Intranet和Internet之間構筑的一道屏障，用于加強內部網絡和公共網絡之間安全防范的系統(tǒng)。防火墻組成：網關和過濾器信息加密：1）對稱密鑰加密體制：對稱密鑰加密體制是指發(fā)送和接收數據的雙方必須使用相同的密鑰進行加密和解密運算，這時的密鑰稱為對稱密鑰。最典型的對稱密鑰加密算法：美國數據加密標準。優(yōu)點：加密速度快，適于大量數據的加密處理。缺點：①算法公開，安全性依賴于私有密鑰的保護②用戶群大，密鑰量無窮③難以進行用戶身份認定2）非對稱密鑰加密體制：信息加密和解密使用的是不同的兩個密鑰（稱為“密鑰對”，一個是公開密鑰，一個是私用密鑰）。如果用公開密鑰對數據進行加密，則只有用對應的私有密鑰才能解密；反之，若用私有密鑰對數據進行加密，則須用相應的公開密鑰才能解密。代表性加密技術：RSA技術。優(yōu)缺點：非對稱加密技術雖然可以克服對稱加密技術存在的密鑰管理和分發(fā)難的問題，但是，它的加密速度慢。RSA算法比DES算法大約慢一千到五千倍左右。因此，在實際應用中，往往采用公私鑰加密法來加密對稱密鑰，用私鑰加密法來加密實際的大量的信息1安全認證技術：數字摘要；數字信封；數字簽名；數字時間戳1SSL是Netscape公司推出的一種安全通信協(xié)議，它能夠對信用卡和個人信息提供較強的保護，提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施，是一種對計算機之間整個通信過程進行加密的協(xié)議。有握手和記錄兩個子協(xié)議。SET協(xié)議：安全電子交易協(xié)議，解決客戶、商家和銀行間信用卡支付的交易安全已成在線交易的電子付款系統(tǒng)的國際規(guī)范。采用消息摘要、數字信封和雙重簽名，且支付信息和訂單信息是分別簽署的，保證商家看不到支付信息，而只能看到訂單信息。由數字簽名和持卡人證書來驗證持卡人的信用卡賬目，廠商驗證工作由數字簽名和廠商證書完成。（雙層簽名，數字信封技術）1移動應用層 ：應用服務提供商來開發(fā)和維護 為用戶提供各種服務，例如移動銀行、移動游戲等 中間件層：屏蔽網絡基礎層為上層的移動應用開發(fā)提供統(tǒng)一的平臺網絡基礎層：移動網絡基礎設施（3G）由網絡運營商負責該層次的建設、運營和維護移動電子商務的實現技術：3G、移動IP技術、藍牙技術、GPRS、WAP電子數據處理：也稱為業(yè)務數據處理，主要用于業(yè)務處理、記錄登載及業(yè)務報告的自動化或加快這類工作，目的在于解決經營和管理中的數據處理問題，改進企業(yè)內的操作和數據流。2EDI（電子數據交換）：將商業(yè)或行政事務處理按照一個公認的標準，形成結構化的事務處理或報文數據格式，從計算機到計算機的電子傳輸方法。特點：資料用統(tǒng)一標準；利用電信號傳遞信息；計算機系統(tǒng)之間的連接EDI的標準：⑴單證格式化⑵報文標準化⑶處理自動化⑷軟件結構化⑸運作規(guī)范化EDI工作流程：⑴生成EDI平面文件⑵翻譯生成EDI標準格式文件⑶通信⑷EDI文件的接收和處理2聯(lián)合國國際貿易法委員會于1996年6月提出《電子商務示范法》。十屆全國人大常委會第十一次會議2004年8月28日表決通過電子簽名法。2電子商務中法律問題的具體種類：①電子商務經營的工商管理問題②電子商務的稅收問題eg：亞馬遜；雙重征稅③①網絡安全及計算機犯罪的法律制裁問題②電子商務中的消費者保護問題 差評事件③電子商務中的隱私權保護問題④電子商務的反不正當競爭問題與電子商務中信息有關的法律問題。①網上內容的審查與管理問題②網上新聞發(fā)布的管理問題③政府信息公開的相關法律問題④版權、商標權及域名問題 eg: 千名碩博狀告萬方侵權案與電子商務技術有關的法律問題包括電子商務中的相關技術、軟件、甚至是商務模式的能否申請專利的問題。2電子商務參與各方的法律關系一、電子商務交易中買賣雙方當事人的權利和義務1．賣方的義務：在電子商務條件下，賣方應當承擔三項義務：①按照合同的規(guī)定提交標的物及單據②對標的物的權利承擔擔保義務③對標的物的質量承擔擔保義務2．買方的義務：①買方應承擔按照網絡交易規(guī)定方式支付價款的義務②買方應承擔按照合同規(guī)定的時間、地點和方式接受標的物的義務③買方應當承擔對標的物驗收的義務3．對買賣雙方不履行合同義務的救濟二、網絡交易中心的法律地位網絡交易中心在電子商務中介交易中扮演著介紹、促成和組織者的角色。這一角色決定了交易中心既不是買方的賣方，也不是賣方的買方，而是交易的居間人。它是按照法律的規(guī)定、買賣雙方委托業(yè)務的范圍和具體要求進行業(yè)務活動的。三、網絡交易客戶與虛擬銀行間的法律關系銀行承擔責任的形式通常有三種：①返回資金，支付利息②補足差額，償還余額③償還匯率波動導致的損失四、認證機構在電子商務中的法律地位電子商務認證機構對登記者履行下列監(jiān)督管理職責：① 監(jiān)督登記者按照規(guī)定辦理登記、變更、注銷手續(xù)；② 監(jiān)督登記者按照電子商務的有關法律法規(guī)合法從事經營活動；③ 制止和查處登記人的違法交易活動，保護交易人的合法權益。2數字信封：發(fā)送方采用對稱密鑰加密信息，然后將此對稱密鑰用接收方的公開密鑰加密之后，將它和信息一起發(fā)送給接收方，接收方先用相應的私有密鑰打開數字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。優(yōu)點：安全性能高，保證只有規(guī)定的接收方才能閱讀信的內容。第三篇：《電子商務安全》期末考試題—旗艦版電子商務安全期末考試A卷一、選擇題（單選）下列選項中屬于雙密鑰體制算法特點的是（C）算法速度快 實現數據完整性的主要手段是（D）對稱加密算法 【哈希函數 壓縮函數消息摘要 雜湊函數數字指紋】 數字簽名技術不能解決的安全問題是（C）第三方冒充 (B)隱蔽性在雙密鑰體制的加密和解密過程中，要使用公共密鑰和個人密鑰，它們的作用是（A）公共密鑰用于加密，個人密鑰用于解密，在一次信息傳遞過程中，為實現傳送的安全性、完整性、可鑒別性和不可否認性，這個過程采用的安全手段是（B）雙密鑰機制 一個密碼系統(tǒng)的安全性取決于對（A）密鑰的保護在防火墻使用的存取控制技術中對所有進出防火墻的包標頭內容進行檢查的防火墻屬于（A）包過濾型電子商務的安全需求不包括（B）[機密性、完整性、認證性、有效性、匿名性、不可抵賴] 可靠性 SSL握手協(xié)議包含四個主要步驟，其中第二個步驟為（B）客戶機Hello SET安全協(xié)議要達到的目標主要有（C）【機密性、保護隱私、完整性、多方認證、標準性】 三個 下面不屬于SET交易成員的是（B）持卡人 X205證書包含許多具體內容，下列選項中不包含在其中的是（C）版本號 身份認證中的證書由（D）政府機構 目前發(fā)展很快的基于PKI的安全電子郵件協(xié)議是（A）B．POPC．SMTP 選擇題（多選）下列屬于單密鑰體制算法的有（AC）DES 下列公鑰——私鑰對的生成途徑合理的有（BCD）網絡管理員生成 、可信的中心機構生成 防火墻不能解決的問題包括（BCE）非法用戶進入網絡 E．通過防火墻以外的其它途徑的攻擊PKI技術能有效的解決電子商務應用中的哪些問題（ABC）全選D．存取控制 E．真實性(ACDE) 填空：，如 _HTTP__、__FTP_、SMTP或Telnet的通信。，以完成數據信息的安全傳輸。，是基于_數字證書__的。、信息安全的核心技術。信息在網絡中傳輸時，通常不是以_明文_而是以__密文_的方式進行通訊傳輸的。(TCP)和_網際__協(xié)議(IP)，常寫為TCP/IP。，其中RSA簽名屬于確定性簽名，ELGamal 簽名屬于 隨機簽名。簡答：【粗體字為推薦答案】答：(1)系統(tǒng)穿透：未經授權人同意，冒充合法用戶接入系統(tǒng)，對文件進行篡改、竊取機密信息非法使用資源等。(2)違反授權原則：一個被授權進入系統(tǒng)做一件事的用戶，在系統(tǒng)中做未經授權的其他事情。（3）植入：在系統(tǒng)穿透成功后，入侵者在系統(tǒng)中植入一種能力，為其以后攻擊系統(tǒng)提供方便條件。如注入病毒、蛀蟲、特洛伊木馬、陷阱等來破壞系統(tǒng)正常工作。（4）通信監(jiān)視：這是一種在通信過程中從信道進行搭線竊聽的方式。通過搭線和電磁泄漏等對機密性進行攻擊，造成泄密。（5）通信干擾：攻擊者對通信數據或通信數據進行干預，對完整性進行攻擊，篡改系統(tǒng)中數據的內容，修正消息次序、時間，注入偽造信息。（6）中斷：對可用性進行攻擊，破壞系統(tǒng)中的硬盤、硬件、線路等，使系統(tǒng)不能正常工作，破譯信息和網絡資源。（7）拒絕服務：指合法接入信息、業(yè)務或其他資源受阻。（8）否認：一個實體進行某種通信或交易活動，稍后否認曾進行過這一活動，不管這種行為是有意還是無意，一旦出現，再解決雙方的爭執(zhí)就不容易了。（9）病毒：由于Internet的開放性，病毒在網絡上的傳播比以前快了許多，而Internet 的出現又促進了病毒復制者間的交流，使新病毒層出不窮，殺傷力也大有提高。（10）釣魚網站。，能為用戶提供哪些服務？ 答：(1)認證；（1分）(2)數據完整性服務；（1分）(3)數據保密性服務；（1分）(4)不可否認性服務；（1分）(5)公證服務。：？答：(1)雙鑰密碼