第五章电子商务安全管理课件.ppt

1、电子商务师电子商务师考证时间：考证时间：1212月月2424号、号、1818年年3 3月、月、1818年年6 6月月2424号号2022-10-31考试形式一、考试全部标准化二、理论知识考试由70个单项选择题、10个判断题和10个多项选择题目，共90题，单项选择题和判断题每小题1分，多项选择题每小题2分三、专业能力考试由30个单项选择题、10个判断题和10个多项选择题目，共50题，单项选择题每小题2分、判断题每小题1分，多项选择题每小题3分四、考试时间 理论知识90分钟，专业能力120分钟2022-10-32电子商务师理论知识主要内容与比重表2022-10-33范围范围电子商务员电子商务员助理

2、电子商务师助理电子商务师一、电子商务基础知识157二、计算机与互联网基础知识103三、网络商务信息收集与处理1015四、网上商店开设与管理1010五、网络营销2025六、电子交易1010七、电子商务物流应用510八、电子商务安全管理1515九、职业道德55电子商务安全管理（一）电子商务安全管理考试比重2022-10-34鉴定范围鉴定范围电子商务员电子商务员助理电子商务师助理电子商务师电子商务安全基础知识4 44 4防火墙2 22 2病毒防治知识5 52 2电子商务的安全要求2 21 1密码知识2 21 1基本加密方法0 02 2安全认证手段0 02 2安全交易协议0 01 1合计合计15151

3、515（二）电子商务安全管理鉴定点1、电子商务安全基础知识2、防火墙3、病毒防治知识4、电子商务的安全要求5、密码知识6、基本加密方法7、安全认证手段8、安全交易协议2022-10-351、电子商务安全基础知识1（4/4）1 1、电子商务安全、电子商务安全是有效开展电子商务的前提和保证。2 2、电子商务安全的内容：、电子商务安全的内容：（1）计算机网络安全（2）商务交易安全（3）电子商务系统安全管理制度2022-10-365.2计算机网络安全计算机网络安全1 1、计算机网络面临的安全威胁、计算机网络面临的安全威胁（1 1）黑客攻击）黑客攻击(hacker(hacker或或cracker)cra

4、cker)非法入侵计算机系统的人，主要利用系统配置的缺陷、操作系统的安全漏洞或通信协议的安全漏洞，从网络的外部非法侵入，进行不法行为。常用手段：常用手段：利用利用UNIXUNIX提供的缺省帐号（提供的缺省帐号（anonymousanonymous、guestguest）进行攻）进行攻击击截取口令截取口令寻找系统漏洞（系统自身的、管理员配置错误）寻找系统漏洞（系统自身的、管理员配置错误）偷取特权偷取特权清理磁盘（回收站、临时文件夹）清理磁盘（回收站、临时文件夹）2022-10-375.2计算机网络安全计算机网络安全（2 2）计算机病毒）计算机病毒病毒是能够破坏计算机系统正常运行，具有传染性的一段

5、程序。（3 3）拒绝服务攻击）拒绝服务攻击(DoS)(DoS)一个用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。2022-10-38（3）拒绝服务攻击）拒绝服务攻击(DOS)主要利用TCP/IP协议的漏洞，将提供服务的系统资源耗尽，导致其无法提供正常服务，有些是消耗带宽，有些是消耗网络设备的CPU和内存，或是导致系统崩溃。最具有代表性的攻击手段包括SYN flood、ICMP flood、UDP flood等，使用大量伪造的连接请求报文攻击网络服务所在的端口，造成服务器资源耗尽，系统停止响应甚至崩溃；2022-10-39（3）拒绝服务攻击）拒绝服务攻击(D

6、OS)2种手段：（1）连接耗尽使用真实IP地址发起针对网络服务的大量真实连接来抢占带宽，造成服务器资源耗尽，服务终止；（2）利用网络协议本身缺陷进行攻击：Land攻击、WinNuke、Ping of Death、TearDrop2022-10-3105.2计算机网络安全计算机网络安全（4 4）网络内部的安全威胁）网络内部的安全威胁主要是指来自网络内部的攻击或内部用户因误操作造成口令失密而遭受的攻击，最难防范。已知的网络安全事件中，大约50%的攻击是来自内部网；导致内部安全威胁的主要有以下几种情况1 1）用户防范意识薄弱，或计算机操作技能有限，共享网络用户防范意识薄弱，或计算机操作技能有限，共享

7、网络资源时没有辅以恰当的安全设施，造成数据泄露资源时没有辅以恰当的安全设施，造成数据泄露2 2）内网管理人员有意或无意泄露系统管理员的用户名、密内网管理人员有意或无意泄露系统管理员的用户名、密码等关键信息，泄露内部网的结构及重要信息分布码等关键信息，泄露内部网的结构及重要信息分布3 3）内部人员泄愤。内部人员泄愤。2022-10-3115.2计算机网络安全计算机网络安全网络安全威胁的承受对象网络安全威胁的承受对象（1）对客户机的安全威胁；（2）对www服务器的安全威胁；（3）对数据库的安全威胁；（4）对通信设备、线路的安全威胁。2022-10-312练习下面哪种方式设置密码才是安全的？(1分)

8、（）A.使用连续的字母或数字B.使用用户本身的姓名、出生日期、电话号码、手机号码C.保证至少6个字符以上的密码长度D.使用固定密码电子商务安全的内容包括(2分)（）A.第三方交易平台安全B.计算机网络安全C.电子商务系统安全管理制度D.物流系统安全2022-10-313CBC计算机网络安全是指保护计算机网络系统中的硬件，软件和()。(1分)（）A.人员信息B.服务内容C.数据资源D.财务制度下面属于黑客在网上经常采用的手段的是？(2分)A.寻找系统漏洞B.更改IPC.偷取特权D.截取口令计算机网络安全是指保护计算机网络系统中的硬件，()和数据资源(1分)（）A.软件B.密码C.浏览器D.客户机

9、2022-10-314CADCA从网络安全威胁的承受对象看，网络安全威胁的来源来自(1分)（）A.对物流的安全威胁B.对交易平台的安全威胁C.对交易双方身份的安全威胁D.对客户机的安全威胁电子商务安全的内容不包括(1分)（）A.计算机网络安全B.电子商务系统安全管理制度C.商务交易安全D.交易平台安全2022-10-315DD3、网络安全管理的技术手段、网络安全管理的技术手段（1）防火墙为了保护网络的安全而使用的技术，它采用隔离控制技术，在某个机构的网络和不安全的公共网络之间设置屏障，执行指定的安全控制策略，阻止外部用户对内部网络信息资源的非法访问，同时也可以阻止信息从企业的内部网络上被非法泄

10、露出去。2022-10-3163、网络安全管理的技术手段、网络安全管理的技术手段(1)防火墙的作用:限制他人进入内部网络，过滤掉不安全服务和非法用户。允许内部网的一部分主机被外部网访问，另一部分被保护起来。限定内部网的用户对互联网上特殊站点的访问。为监视互联网安全提供方便。2022-10-3173、网络安全管理的技术手段、网络安全管理的技术手段防火墙的类型：包过滤型：基于网络层，定义对哪些地址或端口的访问是允许或禁止的，从而有效控制数据的进出。代理服务器型：基于应用层，代理服务器对于内部网来说就象一台真正的服务器，接受所有内部用户的访问请求，同时将内部用户（满足防火墙设定要求）的请求转发到互联

11、网上，并将结果返回给内部网用户，比包过滤型更为可靠。2022-10-3183、网络安全管理的技术手段、网络安全管理的技术手段(2)防火墙的局限防火墙限制了有用的网络服务。防火墙不能防范不经由防火墙的攻击。防火墙不能防范来自网络内部的攻击。防火墙不能防范新的网络安全问题。（被动防护）2022-10-3193、网络安全管理的技术手段、网络安全管理的技术手段 防火墙的管理：本地管理：管理员通过console口或防火墙提供的键盘和显示器进行管理；远程管理：管理员通过以太网或防火墙提供的广域网接口进行管理；集中管理：用一个界面来管理网络中的多个防火墙；最常见的是通过SNMP（简单网络管理协议Simple

12、 Networks Management Protocol）进行管理2022-10-3203、网络安全管理的技术手段、网络安全管理的技术手段（2）病毒防治1）计算机病毒的特点：传染性（衡量是否为病毒的首要条件）破坏性隐藏性潜伏性（潜伏时间越长，传染范围可能就越大）可触发性针对性2022-10-3213、网络安全管理的技术手段、网络安全管理的技术手段2）计算机病毒的种类按照传染方式的不同可以分为：引导区病毒（磁盘引导区是计算机启动的开始部分，病毒占用系统引导区，并将系统原有的引导记录隐藏在磁盘的其他空间，从而使系统在开始运作的时候就被病毒控制）综合型病毒（既传染磁盘引导区，又传染可执行文件的综合

13、病毒）2022-10-3223、网络安全管理的技术手段、网络安全管理的技术手段可执行文件病毒（隐藏在可执行文件中（com/exe），执行可执行文件时病毒就开始传染，其实宏/邮件/网页病毒都属于此类）宏病毒：寄存在文档或模板的宏中的病毒，打开文档宏自动执行，从而激活病毒邮件病毒：通过邮件传播，一般藏在附件里；网页病毒：通过浏览网页而感染的病毒，多是利用操作系统和浏览器的漏洞，利用ActiveX和JavaScript技术来实现的；2022-10-3233）计算机病毒的工作原理）计算机病毒的工作原理各种计算机病毒的工作原理都大致相同：一般来说病毒程序包括3个功能模块：引导模块、传染模块和破坏模引导模

14、块、传染模块和破坏模块块引导模块将病毒从光盘等外部媒体引入内存，使之处于活动状态，为传染和破坏创造条件。传染模块判断传染条件是否成立，若成立则复制传染其他文件。破坏模块则首先判断破坏条件是否成立，如成立则开始其破坏。2022-10-324 4）木马和病毒的区别）木马和病毒的区别木马指网络上宣称有用的软件，通过免费下载或邮件附件引诱用户打开执行，潜伏到用户的计算机内，与远程的黑客里应外合，窃取信息，操纵电脑。区别：木马不具有传染性，不能复制自身，也不刻意感染其他文件，主要是窃取信息，而病毒是破坏信息。2022-10-325 5）蠕虫和病毒的区别）蠕虫和病毒的区别蠕虫是利用计算机系统设计上的漏洞，

15、通过网络主动将自己扩散出去并进行破坏活动，主要传播途径：邮件、系统漏洞、聊天软件等。和普通病毒的区别：普通病毒需要传播受感染的驻留文件进行复制，蠕虫病毒不用通过可以直接自我复制；普通病毒主要传染计算机内的文件，蠕虫目标是传染互联网的所有计算机，破坏性更强2022-10-3263）计算机病毒的工作原理）计算机病毒的工作原理 6）越来越多的恶意程序呈现混合型攻击的特性，兼具木马、蠕虫等病毒的特性。7）计算机病毒防范的基本原则从管理上防范，从技术上防范。1、管理方面的防范措施：不要随意拷贝和使用未经安全检测的软件对于系统中的重要数据，不要存储在系统盘，并随时备份不要随意打开来历不明的邮件，不要访问不

16、知底细的网站采取必要的病毒检测、监察系统，制定完善的管理制度2022-10-3273）计算机病毒的工作原理）计算机病毒的工作原理2、技术方面的防范措施：在系统开机设置中把“病毒报警”设为Enable及时下载安装操作系统补丁，升级系统软件；选用合适的防病毒软件对病毒进行实时监控；杀毒软件及时升级。3、选择防病毒软件主要考虑如下因素：技术支持程度技术的先进性和稳定性病毒的响应程度用户的使用条件及应用环境2022-10-3283）计算机病毒的工作原理）计算机病毒的工作原理常用防病毒软件：1）国内：KILL、KV3000、瑞星、金山毒霸2）国外：Norton Macfee PC-cillin 卡巴斯基

17、。2022-10-329练习下面哪个关于防火墙的叙述是错误的？(1分)（）A.防火墙能防范来自网络任何位置的攻击。B.防火墙可以限定内部网的用户对互联网上特殊站点的访问。C.防火墙允许内部网的一部分主机被外部网访问，另一部分被保护起来。D.防火墙不能防范新的网络安全问题。下面有关防火墙的叙述正确的是。(1分)（）A.防火墙是一种主动式的防护手段B.包过滤型是基于协议层的防火墙C.防火墙能防范不经由防火墙的攻击。D.防火墙不能防范来自网络内部的的攻击。2022-10-330AD对外服务的WWW服务器不能放在防火墙内部。（）A.对B.错()防火墙是基于网络层的防火墙。(1分)（）A.包过滤型B.层

18、级型C.代理服务型D.安全服务型下面有关防火墙的叙述错误的是。(1分)（）A.远程管理是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理B.防火墙能对未知的网络威胁起作用。C.代理服务型是基于应用层的防火墙，D.防火墙能够限制他人进入内部网络，过滤掉不安全服务和非法用户。2022-10-331BAB下面哪个有关计算机病毒的叙述是错误的？(1分)（）A.破坏模块属于病毒程序的功能模块。B.计算机病毒的防御应着重从两个方面进行，一是从管理上防范，二是从控制上防范C.选择防病毒软件时要考虑用户的使用条件及应用环境。D.蠕虫病毒可以通过网络传播。下面哪个关于防火墙的叙述是正确的？(1分)（）

19、A.防火墙是一种被动式的防护手段。B.防火墙能防范来自网络内部的的攻击。C.防火墙限制了所有的网络服务。D.防火墙能防范不经由防火墙的攻击。2022-10-332BA蠕虫病毒(Worm)是一种通过()传播的恶性病毒。(1分)A.软盘B.U盘C.网络D.CPU防火墙主要包括层过滤型和代理服务型两种类型。(1分)（）A.对B.错防火墙不能限定内部网的用户对互联网上特殊站点的访问。(1分)（）A.对B.错2022-10-333CBB防火墙的管理一般分为本地管理、远程管理和()(1分)（）A.第三方管理 B.集中管理C.分散管理 D.分类管理蠕虫病毒是通过()传播的恶性病毒。(1分)（）A.网络B.电

20、波C.数据库D.光盘蠕虫病毒的传染目标是互联网内的计算机。(1分)A.对B.错2022-10-334BAA下面哪个属于常用的防病毒软件？(1分)（）A.Oracle B.Windows7C.Norton D.Firefox下面哪个属于常用防病毒软件？(1分)（）A.QQ B.NortonC.MSN D.SQL下述哪项不是常用防病毒软件?(1分)（）A.Norton B.卡巴斯基C.金山毒霸 D.Acdsee下面哪个不属于病毒程序的功能模块？(1分)（）A.破坏模块 B.引导模块 C.传染模块 D.管理模块2022-10-335CBDD下述哪个是计算机病毒的特点？(1分)（）A.加强性B.易用性

21、C.破坏性D.脆弱性计算机病毒防御应着重从哪两方面进行？(1分)（）A.管理上防范、技术上防范B.从硬件防范、从软件防范C.物理防范、软件防范D.从外部防范、从内部防范下述哪个是病毒程序的功能模块？(1分)（）A.引导模块、触发模块、传染模块B.引导模块、破坏模块、传染模块C.感染模块、引述模块、触发模块D.破坏模块、感染模块、引用模块2022-10-336CAB5.3商务交易安全商务交易安全1 1、电子商务的安全要求：、电子商务的安全要求：信息的保密性（商务信息传播一般都有加密要求）信息的完整性（不被篡改、不被遗漏、）通信的不变动性（保证收发双方都有足够证据证明收/发操作已经发生）交易各方身

22、份的认证（方便可靠的确认对方身份是实现电子交易的一个前提）信息的有效性（保证电子信息有效性是开展电子商务的前提 可呈现的 可接受的）2022-10-3375.3商务交易安全商务交易安全2 2、密码：、密码：隐蔽了真实内容的符号序列，通过数学函数来实现C=F(M，Key)C是加密后的字符串，F是加密的算法，M是需加密的原文，Key是密钥。密码泄露的途径：网上骗取（钓鱼）、终端盗取（木马）、网络截获。2022-10-3385.3商务交易安全商务交易安全(2)密码安全的要素:保证至少6个字符以上的密码长度。密码尽量使用英文字母及数字和标点、特殊符号等多种字符的组合。不要使用安全性过低的密码，如连续的

23、字母或数字、简单有规律的字母或数字，以及用户本身的姓名、出生日期、电话号码、手机号码等。定期更改密码。5、避免使用重复的密码。2022-10-3395.3商务交易安全商务交易安全(3)密码泄漏的途径 密码泄漏一般分两种情况：一种是窃取密码，另外一种是别人猜出了你的密码。在互联网世界，攻击者通常使用网上骗取、终端盗取、网络截获等途径得到密码。2022-10-3405.3商务交易安全商务交易安全3 3、基本加密技术、基本加密技术 利用密码技术对信息进行加密，是最常用的安全手段。对称加密体制 对信息的加密和解密都用相同的密钥，即一把钥匙开一把锁。目前最具有代表性的是美国数据加密标准DES（Data

24、Encrypt Standard），目前全世界普密级的计算机数据加密基本上都采用了DES算法。2022-10-3415.3商务交易安全商务交易安全 主要优点：简化加密的处理，贸易双方采用相同的加密算法，只交换共享的专用密钥，不必彼此研究和交换专用的加密算法。只要双方能保证专用密钥在密钥交换阶段的安全保密，报文的机密性和完整性就能保证。主要问题：密钥安全交换和管理问题（密钥安全交换问题，多个密钥管理困难）无法鉴别贸易双方的身份。2022-10-3425.3商务交易安全商务交易安全非对称加密体制（公钥加密体制）一对密钥1个公开密钥 1个私用密钥用其中任何一个加密以后，都可以用另外一个解密，公钥可以

25、对外发布，私钥要保证安全。基本过程：1、甲方生成一对密钥，公开公钥；2、乙方用这个公钥加密，然后发回给甲方；3、甲方用私钥解密，得到明文RSA是最著名和实用的一种非对称加密体制。优点：有效解决了密钥安全交换和管理的问题，而且能够非常方便的鉴别双方的身份，但是算法复杂，速度非常慢，实际运用中常结合使用。2022-10-3435.3商务交易安全商务交易安全文件加密Word和 Excel：工具-选项-安全性设置打开密码和修改密码；Winrar：高级-设置密码。2022-10-344练习练习怎样设置密码才是安全的？(1分)（）A.保证至少4个字符以上的密码长度B.定期更改密码C.使用简单有规律的字母或

26、数字D.使用与用户登录名、邮件地址一致或是其中一部分设置密码时要保证至少()个字符以上的密码长度。(1分)A.4B.5C.7D.6要设置安全的密码应该避免使用重复的密码。(1分)A.对B.错2022-10-345BDA信息的完整性包括信息()、不被遗漏。(1分)（）A.不被泄露B.不可抵赖C.不被篡改D.可被认证一条信息被发送或被接收后，应该通过一定的方式，保证信息的收发各方都有足够的证据证明接收或发送的操作已经发生是属于电子商务安全要求中哪个要求？(1分)（）A.信息的完整性要求B.信息的保密性要求C.信息的有效性要求D.通信的不可抵赖、不可否认要求2022-10-346CD信息内容不能随便

27、被他人获取，尤其是涉及到一些商业机密及有关支付等敏感信息是属于电子商务安全要求中哪个要求？(1分)（）A.通信的不可抵赖、不可否认要求B.信息的保密性要求C.信息的有效性要求D.信息的完整性要求电子商务交易的安全要求包括(1分)（D）A.信息的易用性 B.信息的公开性 C.信息的标准性 D.信息的有效性2022-10-347BD安全认证手段(0/2)(1)数字信封：数字信封是结合对称加密方法和非对称加密方法实现信息保密传送的技术。加密信息被分成密文和信封两部分，对文件进行加密传输的过程参见教材P145。1 1、数字信封、数字信封结合对称加密方法和非对称加密方法实现信息保密传送。加密信息密文 信

28、封公钥加密，私钥解密，只有贸易双方有自己的密钥，安全，提高了速度。2022-10-3482、数字摘要、数字摘要 用于验证通过网络传输收到的文件是否是原始的、未被篡改的文件原文。利用了著名的Hash函数固定长度（128位）的摘要（digest）也叫数字指纹，不可逆转发送信息摘要原文 收到后再次生成摘要并比较目前广泛使用的Hash函数有MD-5、SHA。2022-10-3493、数字签名（、数字签名（DIGITAL SIGNATURE）只有信息发送者才能产生的别人无法伪造的一段数字串。可以确认对方身份，防抵赖；完整性（未做修改）、防篡改性。可以解决信息安全的保密性、完整性、防抵赖性及身份认证问题h

29、ash（信息原文）数字摘要用私钥加密数字摘要数字签名数字签名是私钥加密，公钥解密2022-10-3504、数字证书、数字证书身份认证是电子商务安全需要解决的首要问题，也是其他安全业务赖以实现的基础。数字证书也叫数字凭证，是用电子手段来证实一个用户的身份的方法，必须包含：版本号序列号拥有者姓名拥有者公钥公钥的有效期签名算法颁发数字证书的单位颁发数字证书的单位的数字签名2022-10-3514、数字证书、数字证书数字证书的类型：按应用对象分：个人用户证书、企业用户证书、安全邮件证书、服务器证书及代码签名证书等；按业务类型分：A类证书（SET）、B类证书（X.509）；按安全等级分：一级（支付网关证

30、书、行业证书）；二级证书：商家证书、服务器证书；三级证书：个人用户证书；四级证书：测试证书或对安全性要求不高的个人用户证书。2022-10-352安全认证手段(0/2)5 5、认证中心、认证中心承担网上安全电子交易认证服务、发放数字证书并能确认用户身份的服务机构。，国内的主要分区域性CA和行业性CA。认证中心体系结构是一个倒置树形结构。每位同学自己把P150的图补上来。2022-10-353 5.3.3安全交易协议安全交易协议1 1、SSLSSL协议（协议（安全套接层协议Secure Sockets Layer）Netscape Communication公司设计开发，主要用于提高应用程序之间

31、数据交换的安全系数，可以被总结为一个保证在所有安装了SSL的客户和服务器间通信安全的协议。提供的服务：提供的服务：提供用户和服务器的身份认证提供用户和服务器的身份认证（利用证书和CA）；保证数据的保密性保证数据的保密性（对称加非对称加密）；维护数据的完整性维护数据的完整性（Hash函数）；2022-10-354 5.3.3安全交易协议安全交易协议运行过程；运行过程；接通阶段（客户向服务商打招呼，服务商回应）；密码交换阶段（双方交换密码，一般用RSA算法）；会谈密码阶段（双方交换会谈密码）；检验阶段（检验服务商取得的密码）；客户认证阶段（检验客户的可信度）；结束阶段（相互交换验证结束的信息）。客

32、户的购买信息首先发给商家，商家再发给银行，银行验证客户信息的合法性之后通知商家付款成功。2022-10-3555.3.3安全交易协议安全交易协议评价评价最早应用于电子商务的网络安全协议，已经成为事实上的工业标准，几乎所有的浏览器和服务器都支持SSL协议，所以使用SSL协议方便、经济还能保证数据的安全性、保密性和完整性。缺点：缺点：不符合国内商用密码产品不得使用国外密码算法的规定，通过审批困难；系统安全性差（建立在RSA算法基础上）；运行的基点是商家对客户信息保密的承诺，有利于商家，不利于客户。将逐渐被SET取代。2022-10-3565.3.3安全交易协议安全交易协议2 2、SETSET协议：

33、协议：安全电子交易协议（Secure Electronic Transaction），为了保证在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。Visa和Master Card共同开发，保证通过开放网络（包括互联网）进行安全资金支付。由于设计合理，得到多家大公司支持，成为B2C业务事实上的工业标准，其交易形态成为事实上的工业标准。主要由3个文件组成：1）SET业务描述；2）SET程序员指南；3)SET协议描述。2022-10-3575.3.3安全交易协议安全交易协议目标目标 1）保证电子商务参与者信息的相互隔离参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是

34、商家不能看到客户的帐户和密码信息。（2 2）保证信息在因特网上安全传输，）保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。（3 3）解决多方认证问题）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。(4)(4)保证了网上交易的实时性保证了网上交易的实时性，使所有的支付过程都是在线的。(5)(5)效仿效仿EDIEDI贸易的形式贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。2022-10-3585.3.3安全交易协议安全交易

35、协议工作原理（记住各步骤的先后顺序）工作原理（记住各步骤的先后顺序）(1)消费者利用自己的pc机通过互联网选所要购买的物品，并在计算机上输入订货单。订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。(2)通过电子商务服务器与有关在线商店联系，在线商店做出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。2022-10-3595.3.3安全交易协议安全交易协议(3)消费者选择付款方式，确认订单，签发付款指令。此时SET开始介入。(4)在set中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。(5)

36、在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。2022-10-3605.3.3安全交易协议安全交易协议(6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备查询。(7)在线商店发送货物或提供服务，并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。2022-10-3615.3.3安全交易协议安全交易协议SETSET安全协议中的角色安全协议中的角色(1)消费者(2)商家(3)发卡银行；(4)收单银行(5)支付网关；(6)认证中心2022-10-3625.3.3安全交

37、易协议安全交易协议评价评价与与SSLSSL相比，有以下几个优点：相比，有以下几个优点：对商家而言，SET为商家提供了保护自己的手段，使商家免受欺诈的困扰，使商家的运营成本降低。对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取，SET替消费者保守了更多的秘密使其在线购物更加轻松。银行和发卡机构以及各种信用卡组织来说，因为SET可以帮助它们将业务扩展到Internet这个广阔的空间，从而使得信用卡网上支付具有更低的欺骗概率，这使得它比其他支付方式具有更大的竞争力。SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。2022-10-3635.3.3安全交易

38、协议安全交易协议问题：问题：(1)SET要求在银行网络、商家服务器、顾客的PC上安装相应的软件，同时SET还要求必须向各方发放证书，这使SET要比SSL昂贵的多，从而阻止了SET 的广泛发展。(2)协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。否则的话，在线商店提供的货物不符合质量标准，消费者提出疑义，责任由谁承担。2022-10-3645.3.3安全交易协议安全交易协议(3)协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。(4)SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者

39、、在线商店或收单银行的计算机里。这些漏洞可能使这些数据以后受到潜在的攻击。SET协议过于复杂，使用麻烦，成本高，且只适用于客户具有电子钱包的场合。2022-10-3655.3.3安全交易协议安全交易协议其他安全协议其他安全协议HTTPS（建立在SSL协议上，易实现，不够灵活）、S-HTTP，用于邮件的安全协议（S/MIME、PGP、PEM）、用于EDI的安全协议（X.402、X.435），用于安全目录检索的X.509。2022-10-3665.3.3安全交易协议安全交易协议网上贸易安全防骗网上贸易安全防骗网上银行常用安全手段（1）软键盘输入密码（2）ActiveX控件输入密码（3）动态密码口令

40、卡手机短信动态密码锁（4）数字证书本地下载使用 USB key2022-10-3675.3.3安全交易协议安全交易协议网上银行进行安全交易的方法设置保护好网银密码谨防网络钓鱼定期查询详细交易利用银行提供的各种增值服务配置安全软件第三方支付安全（以支付宝为例）不要看到支持支付宝的产品就放松警惕货到付款注意事项交易期限，快递7天，平邮30天自动付款给卖家小心实时到帐功能2022-10-3685.3.3安全交易协议安全交易协议网上贸易防骗方法验明对方身份通过联系方式判断真伪完善必要的买卖手续汇款注意事项需要警惕的：营业执照和联系地址不一，身份证是假的不肯提供营业执照和身份证复印件的不肯签合同或协议的

41、没有详细地址的联系电话和经营地址不一的使用铁通一号通的2022-10-369练习数字证书包含颁发数字证书单位的数字签名。(1分A.对B.错CA是()的缩写。(1分)（）A.Certification AuthorityB.Center AdvistmentC.Center AuthorityD.Catch Aman数字证书包含颁发数字证书单位的私钥。(1分)（）A.对B.错70AAB下面有关数字信封的说法哪些是正确的？(2分)（A.数字信封可以保障发送的信息不被泄露B.数字信封要使用发送方的公钥C.数字信封中会话密钥对发送方和接收方都是一致的D.数字信封采用非对称加密算法对传输的文件进行加密认

42、证中心认证体系结构是一个()结构(1分)（）A.网形B.倒置树形C.总线形D.星形2022-10-371ACB下列证书中属于一级证书的是()。(1分)）A.个人用户证书B.测试证书C.支付网关证书D.服务器证书把数字证书划分为一级证书、二级证书、三级证书和四级证书，这是按照()划分的。(1分)（）A.应用对象B.业务类型C.安全等级D.身份等级HTTPS是建立在()协议之上的，易于实现但不够灵活。(1分)（）A.SSL B.SETC.HTTP D.X.4352022-10-372DCA认证中心的主要任务有()。(2分)（）A.受理证书的申请B.签发数字证书C.办理银行业务D.对数字证书进行管理

43、SET安全协议中的角色包括()。(2分)（）A.消费者B.商家C.支付网关D.认证中心最安全的动态密码使用方式是()。(1分)（）A.口令卡B.手机短信C.动态密码锁D.数字证书2022-10-373ABDABCDC网上贸易防骗的方法有哪些？(2分)（）A.验明对方身份B.通过联系方式判断真伪C.完善必要的买卖手续D.汇款方面如果对方提供的是卡号或存折账号汇款，不管对方要求你把款项汇给谁，移动要取得他们的授权证明网上银行进行安全交易的方法有哪些？(2分)A.设置、保护好网银密码B.定期查询详细交易C.利用银行提供的各种增值服务D.配置安全软件2022-10-374ABCDABCD电子商务系统安

44、全管理制度电子商务系统安全管理制度人员管理制度：人员管理制度：电子商务员要严格选拔落实工作责任制贯彻电子商务安全运作基本原则：双人负责原则任期有限原则最小权限原则（只有网管才可以进行物理访问，只有网络人员才可以安装软件）2022-10-375电子商务系统安全管理制度电子商务系统安全管理制度保密制度：保密制度：机密：机密：放在内部网最高安全区域，特殊保护，高层人员授权掌握秘密：秘密：内部网，不对外，根据权限使用普通：普通：可公布，防黑客密钥管理也非常重要，产生、传递和销毁的全过程都要管理密钥需要定期更换2022-10-376电子商务系统安全管理制度电子商务系统安全管理制度跟踪、审计制度跟踪、审计

45、制度要求企业建立网络交易系统日志机制，保存，维护和管理系统日志网络系统的日常维护制度网络系统的日常维护制度硬件的日常管理和维护硬件的日常管理和维护建立系统设备档案网络设备管理与维护通信线路维护2022-10-377电子商务系统安全管理制度电子商务系统安全管理制度软件的日常管理和维护软件的日常管理和维护系统软件定期清理日志文件和临时文件定期整理文件系统监测服务器上的活动状态和用户注册数处理运行中的死机情况等应用软件主要是版本控制数据备份制度数据备份制度利用多种介质对信息系统进行存储、备份和恢复2022-10-378电子商务系统安全管理制度电子商务系统安全管理制度病毒防范制度病毒防范制度1、给企业

46、的计算机安装网络版的防病毒软件，并定期更新病毒库2、认真执行病毒定期清理制度3、对于系统中的重要数据最好不要存在系统盘上，并随时备份4、不要随意拷贝和使用未经安全检测的软件5、不要随意打开来历不明的邮件，更不要访问不知底细的网站。2022-10-379练习练习下面哪个属于电子商务系统安全管理制度(1分)（）A.跟踪审计制度B.事务管理制度C.财务监管制度D.财产申报制度电子商务系统安全管理制度包括(2分)（A、C）A.跟踪审计制度B.财务监督制度C.人员管理制度D.项目审批制度2022-10-380AAC电子商务系统安全管理制度包括(1分)（）A.保密制度B.认证制度C.交易制度D.法律制度双人负责原则属于(1分)（）A.病毒防范制度B.人员管理制度C.跟踪、审计制度D.保密制度下面哪个属于网络系统的日常维护制度？(1分)（）A.按时巡查制度B.最搞权限制度C.数据备份制度D.双人负责制度2022-10-381ABC电子商务安全运作基本原则包括(2分)（）A.协同一致原则B.任期有限原则C.三人负责原则D.最小权限原则下面哪个属于电子商务安全运作基本原则？(1分)（）A.最小权限原则B.协同工作原则C.群组负责原则D.分工合作原则电子商务安全制度包括(2分)（）A.病毒防范制度B.保密制度C.人员管理制度D.网络系统的日常维护制度2022-10-382BDAABCD