电子商务安全课程期末复习文件

1、电子商务安全课程期末复习资料电子商务安全课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全进展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥治理与分发技术第四节认证技术第五节数字水印与数字版权爱护技术第三章电子商务安全协议第一节IP协议安全体系第二节电子邮件安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务交易系统的安全第三节电子商务交易中的物流安全第四节电子商务交易安全体系第五章电子商务的支付安全第一节电子商务支付概述第二节

2、电子商务支付安全需求第三节电子商务支付安全体系第四节电子商务安全支付平台第六章电子商务的信息安全第一节电子商务信息安全概述第二节电子商务信息安全目标第三节电子商务信息安全技术第四节电子商务信息安全评估第七章电子商务的网络安全第一节电子商务网络安全概述第二节电子商务网络系统安全目标第三节电子商务网络安全技术第四节电子商务网络安全策略与标准第五节电子商务网络安全评估第八章电子商务安全治理第一节电子商务安全治理概述第二节电子商务风险治理第三节电子商务系统治理第四节电子商务信用治理第五节电子商务人员治理与保密制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动

3、电子商务的安全策略第四节移动电子商务的安全治理第十章实验考核知识点: 数据加密技术参见讲稿章节：2-1附1.1.1（考核知识点解释）：所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）通过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文通过解密函数、解密钥匙（Decryption key）还原成明文。加密技术是网络安全技术的基石。考核知识点: ELGamal算法参见讲稿章节：2-1附1.1.2（考核知识点解释）：ElGamal算法，是一种较为常见的加密算法，它是基于1984年提

4、出的公钥密码体制和椭圆曲线加密体系。既能用于数据加密也能用于数字签名，其安全性依靠于计算有限域上离散对数这一难题。在加密过程中，生成的密文长度是明文的两倍，且每次加密后都会在密文中生成一个随机数K，在密码中要紧应用离散对数问题的几个性质：求解离散对数（可能）是困难的，而其逆运算指数运算能够应用平方-乘的方法有效地计算。也确实是讲，在适当的群G中，指数函数是单向函数考核知识点: 数字签名参见讲稿章节：2-4附1.1.3（考核知识点解释）：数字签名确实是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换同意数据单元的接收者用以确认数据单元的来源和数据单元的完整性并爱护数据,防

5、止被人(例如接收者)进行伪造。数字签名一般是基于公钥密码体制的。考核知识点: VPN参见讲稿章节：7-3附1.1.4（考核知识点解释）：虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，要紧是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。考核知识点: 数字证书参见讲稿章节：2-4附1.1.5（考核知识点解释）：数字证书确实是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机

6、构盖在数字身份证上的一个章或印（或者讲加在数字身份证上的一个签名）。它是由权威机构CA机构，又称为证书授权（Certificate Authority）中心发行的，人们能够在网上用它来识不对方的身份考核知识点: 非对称加密技术参见讲稿章节：2-1附1.1.6（考核知识点解释）：RSA是目前最有阻碍力的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推举为公钥数据加密标准。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，然而想要对其乘积进行因式分解却极其困难，因此能够将乘积公开作为加密密钥。考核知识点: 认证技术参见讲稿章节：2-4附1.1.7（考核知识点解释

7、）：CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、治理已颁发证书的机关。它要制定政策和具体步骤来验证、识不用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都能够得到 CA 的证书（含公钥），用以验证它所签发的证

8、书。考核知识点: PKI参见讲稿章节：2-1附1.1.8（考核知识点解释）：PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中，将PKI定义为支持公开密钥治理并能支持认证、加密、完整性和可追究性服务的基础设施。考核知识点: PKI参见讲稿章节：2-1附1.1.9（考核知识点解释）：PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中，将PKI定义为支持公开密钥治理并能支持认证、加密、完整性和可追究性服务的基础设施。考核知识点: 交易安全中的不可否认性参见讲稿章节：4-2附1.1.10（考核

9、知识点解释）：不可否认性，又称抗抵赖性，即由于某种机制的存在，人们不能否认自己发送信息的行为和信息的内容。传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。在电子商务环境下，能够通过数字证书机制进行的数字签名和时刻戳，保证信息的抗抵赖。考核知识点: 安全套接层协议SSL参见讲稿章节：3-4附1.1.11（考核知识点解释）：SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。考核知识点: 安全电子交易协议SET参见讲稿章节：3-5附1.

10、1.12（考核知识点解释）：SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。SET要紧是为了解决用户，商家，银行之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。考核知识点: 数据加密技术参见讲稿章节：2-1附1.1.13（考核知识点解释）：数据加密，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行爱护的一种最可靠的方法。它利用密码技术对信息进行加密，实现信息隐蔽，从

11、而起到爱护信息的安全的作用。考核知识点: 公钥密码体系参见讲稿章节：2-1附1.1.14（考核知识点解释）：密钥对在基于公钥体系的安全系统中，密钥是成对生成的，每对密钥由一个公钥和一个私钥组成。在实际应用中，私钥由拥有者自己保存，而公钥则需要公布于众。为了使基于公钥体系的业务（如电子商务等）能够广泛应用，一个基础性关键的问题确实是公钥的分发与治理。公钥本身并没有什么标记，仅从公钥本身不能判不公钥的主人是谁。考核知识点: 散列算法参见讲稿章节：2-1附1.1.15（考核知识点解释）：产生一些数据片段（例如消息或会话项）的散列值的算法。好的散列算法具有依照输入数据中的变动来更改散列值结果的特性；因

12、此，散列关于检测在诸如消息等大型信息对象中的任何变化专门有用。MD4是麻省理工学院教授Ronald Rivest于1990年设计的一种信息摘要算法。它是一种用来测试信息完整性的密码散列函数的实行。其摘要长度为128位，一般128位长的MD4散列被表示为32位的十六进制数字。那个算法阻碍了后来的算法如MD5、SHA 家族和RIPEMD等。考核知识点: SHA算法参见讲稿章节：2-1附1.1.16（考核知识点解释）：SHA将输入流按照每块512位（64个字节）进行分块，并产生20个字节的被称为信息认证代码或信息摘要的输出。该算法输入报文的长度不限，产生的输出是一个160位的报文摘要。输入是按512

13、 位的分组进行处理的。SHA-1是不可逆的、防冲突，并具有良好的雪崩效应。关于长度小于264位的消息，SHA1会产生一个160位的消息摘要。该算法通过加密专家多年来的进展和改进已日益完善，并被广泛使用。该算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段（通常更小）密文，也能够简单的理解为取一串输入码（称为预映射或信息），并把它们转化为长度较短、位数固定的输出序列即散列值（也称为信息摘要或信息认证代码）的过程。散列函数值能够讲是对明文的一种“指纹”或是“摘要”因此对散列值的数字签名就能够视为对此明文的数字签名。考核知识点: 计算机病毒参见讲稿章节：6-3附1.1.17（考核知识点解

14、释）：计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我生殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。考核知识点: IPSec参见讲稿章节：7-3附1.1.18（考核知识点解释）：IPSec是IETF（Internet Engineering Task Force，Internet工程任务组）的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问操纵、数据

15、源地址验证、数据完整性检查和防止重放攻击。IPSec的安全服务要求支持共享密钥完成认证和/或保密，同时手工输入密钥的方式是必须要支持的，其目的是要保证IPSec协议的互操作性。因此，手工输入密钥方式的扩展能力专门差，因此在IPSec协议中引入了一个密钥治理协议，称Internet密钥交换协议IKE，该协议能够动态认证IPSec对等体，协商安全服务，并自动生成共享密钥。考核知识点: 访问操纵技术参见讲稿章节：7-3附1.1.19（考核知识点解释）：防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内使用。意指，用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些操纵

16、功能的使用的一种技术，如UniNAC，网络准入操纵系统的原理确实是基于此技术之上。访问操纵通常用于系统治理员操纵用户对服务器、目录、文件等网络资源的访问。考核知识点: 安全认证技术参见讲稿章节：2-4附1.1.20（考核知识点解释）：身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息差不多上用一组特定的数据来表示的，计算机只能识不用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者确实是那个数字身份合法拥有者，也确实是讲保证操作者的物理身份与数字身份相对应，身份认证技术确实是为了解决那个问

17、题。考核知识点: 密钥治理技术参见讲稿章节：2-3附1.1.21（考核知识点解释）：密钥治理包括，从密钥的产生到密钥的销毁的各个方面。要紧表现于治理体制、治理协议和密钥的产生、分配、更换和注入等。考核知识点: 认证技术参见讲稿章节：2-4附1.1.22（考核知识点解释）：数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者讲加在数字身份证上的一个签名）。它是由权威机构CA机构，又称为证书授权（Certificate Authority）中心发行的，人们能够在网上用它来识不对方的身份。考核知识点: 数字签名参见讲稿章节：2-4附1.1.23（考核知识点解释）：代码签名证书是

18、VeriSign针对网上公布控件、应用程序、驱动程序等产生的代码安全问题提供的一种安全、可信产品，能满足各种数字签名的应用需要，让内容提供商和软件开发商能数字签名其软件代码、宏代码、设备驱动程序、硬件固化程序、病毒更新码、配置文件等。考核知识点: 电子邮件安全协议参见讲稿章节：3-2附1.1.24（考核知识点解释）：安全多媒体Internet邮件扩展协议（S/MIME），要紧用于保障电子邮件的安全传输。采纳数字标识、数字凭证、数字签名以及非对称密钥系统等技术，构成一种签名加密的邮件收发方式。S/MIME是多功能电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。考核知识点: 数字签名参见讲

19、稿章节：2-4附1.1.25（考核知识点解释）：PGP技术不但能够对电子邮件加密，防止非授权者阅读信件；还能对电子邮件附加数字签名，使收信人能明确了解发信人的真实身份；也能够在不需要通过任何保密渠道传递密钥的情况下，使人们安全地进行保密通信。PGP技术制造性地把RSA不对称加密算法的方便性和传统加密体系结合起来，在数字签名和密钥认证治理机制方面采纳了无缝结合的巧妙设计，使其几乎成为最为流行的公钥加密软件包。考核知识点: 安全套接层协议参见讲稿章节：3-5附1.1.26（考核知识点解释）：SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。SET要紧是

20、为了解决用户，商家，银行之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。考核知识点: 电子商务参见讲稿章节：1-1附1.1.27（考核知识点解释）：电子商务是以信息网络技术为手段，以商品交换为中心的商务活动；也可理解为在互联网（Internet）、企业内部网（Intranet）和增值网（VAN，Value Added Network）上以电子交易方式进行交易活动和相关服务的活动，是传统商业活动各环节的电子化、网络化、信息化。考核知识点: 电子商务参见讲稿章节：1-1附1.1.28（考核知识点解释）：电子商务是

21、以信息网络技术为手段，以商品交换为中心的商务活动；也可理解为在互联网（Internet）、企业内部网（Intranet）和增值网（VAN，Value Added Network）上以电子交易方式进行交易活动和相关服务的活动，是传统商业活动各环节的电子化、网络化、信息化。考核知识点: 数据加密参见讲稿章节：2-1附1.1.29（考核知识点解释）：数据加密，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行爱护的一种最可靠的方法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到爱护信息的安全的作用。

22、考核知识点: 散列函数参见讲稿章节：2-1附1.1.30（考核知识点解释）：散列值是将值从一个大的（可能专门大）定义域映射到一个较小值域的（数学）函数。“好的”散列函数是把该函数应用到大的定义域中的若干值的（大）集合的结果能够均匀地（和随机地）被分布在该范围上。考核知识点: 散列函数参见讲稿章节：2-1附1.1.31（考核知识点解释）：SHA (Secure Hash Algorithm，译作安全散列算法) 是美国国家安全局 (NSA) 设计，美国国家标准与技术研究院(NIST) 公布的一系列密码散列函数。SHA 散列函数已被做为 SHACAL 分组密码算法的基础。考核知识点: 电子商务网络安

23、全技术参见讲稿章节：7-3附1.1.32（考核知识点解释）：所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的爱护屏障。防火墙是一种爱护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。那个地点所讲的外网一般是指不受信任的外部Internet网络，而内网是完全受信任的企业内部网络。考核知识点: IP安全协议体系参见讲稿章节：3-1附1.1.33（考核知识点解释）：Internet 协议安全性 (IPSec)是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Intern

24、et 协议 (IP) 网络上进行保密而安全的通讯。IPSec通过端对端的安全性来提供主动的爱护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 爱护的计算机。考核知识点: 数字证书参见讲稿章节：2-4附1.1.34（考核知识点解释）：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征确实是只在特定的时刻段内有效。考核知识点: 数字证书参见讲稿章节：2-4附1.1.35（考核知识点解释）：数字证书是一个经证书授权中心数字签名的包

25、含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征确实是只在特定的时刻段内有效。考核知识点: PKI参见讲稿章节：2-4附1.1.36（考核知识点解释）：PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了治理密钥和证书。一个机构通过采纳PKI框架治理密钥和证书能够建立一个安全的网络环境。PKI要紧包括四个部分：X.509 格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）；CA操作协议；CA治理协议；CA政策制定。CA是PK

26、I的核心，CA负责治理PKI结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单公布。考核知识点: PKI参见讲稿章节：2-4附1.1.37（考核知识点解释）：PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了治理密钥和证书。一个机构通过采纳PKI框架治理密钥和证书能够建立一个安全的网络环境。PKI要紧包括四个部分：X.509 格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）；CA操作协议；CA治理协议；C

27、A政策制定。CA是PKI的核心，CA负责治理PKI结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单公布。考核知识点: PKI参见讲稿章节：2-1附1.1.38（考核知识点解释）：PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中，将PKI定义为支持公开密钥治理并能支持认证、加密、完整性和可追究性服务的基础设施。考核知识点: 电子商务参见讲稿章节：1-1附1.2.1（考核知识点解释）：电子商务通常是指在全球各地广泛的商业贸易活动中，在因特网开放的

28、网络环境下，基于扫瞄器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。各国政府、学者、企业界人士依照自己所处的地位和对电子商务参与的角度和程度的不同，给出了许多不同的定义。电子商务分为：ABC、B2B、B2C、C2C、B2M、M2C、B2A（即B2G）、C2A（即C2G）、O2O 等。考核知识点: 电子商务安全参见讲稿章节：1-2附1.2.2（考核知识点解释）：信息安全技术在电子商务系统中的作用特不重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和

29、财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥治理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 电子商务的网络安全技术参见讲稿章节：7-3附1.2.3（考核知识点解释）：网络防火墙技术是一种用来加强网络之间访问操纵,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,爱护内部网络操作环境的专门网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被同

30、意,并监视网络运行状态。防火墙产品要紧有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型。考核知识点: 电子商务的网络安全技术参见讲稿章节：7-3附1.2.4（考核知识点解释）：网络防火墙技术是一种用来加强网络之间访问操纵,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,爱护内部网络操作环境的专门网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被同意,并监视网络运行状态。考核知识点: 认证技术参见讲稿章节：2-4附1.2.5（考核知识点解释）：数字证书确实是互联网

31、通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者讲加在数字身份证上的一个签名）。它是由权威机构CA机构，又称为证书授权（Certificate Authority）中心发行的，人们能够在网上用它来识不对方的身份。考核知识点: 认证技术参见讲稿章节：2-4附1.2.6（考核知识点解释）：数字证书确实是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者讲加在数字

32、身份证上的一个签名）。它是由权威机构CA机构，又称为证书授权（Certificate Authority）中心发行的，人们能够在网上用它来识不对方的身份。考核知识点: 非对称加密技术参见讲稿章节：2-1附1.2.7（考核知识点解释）：非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。公开密钥与私有密钥是一对，假如用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；假如用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，因此这种算法称为非对称加密算法。考核知识点: 电子商务支付安全参见讲稿章节：5-

33、3附1.2.8（考核知识点解释）：电子支付又称为电子结算，是以金融互联网为基础，以商用电子化工具和各类电子货币为媒介，以计算机技术和通信技术为手段，通过电子数据存储和传递的形式在通信网络系统上实现资金的流通与支付。考核知识点: 电子商务支付安全参见讲稿章节：5-3附1.2.9（考核知识点解释）：电子支付又称为电子结算，是以金融互联网为基础，以商用电子化工具和各类电子货币为媒介，以计算机技术和通信技术为手段，通过电子数据存储和传递的形式在通信网络系统上实现资金的流通与支付。考核知识点: 电子商务支付安全参见讲稿章节：5-3附1.2.10（考核知识点解释）：电子钞票包是电子商务购物活动中常用的支付

34、工具。在电子钞票包内存放的电子货币，如电子现金、电子零钞票、电子信用卡等。使用电子钞票包购物。通常需要在电子钞票包服务系统中进行。电子商务活动中电子钞票包的软件通常差不多上免费提供的。在电子钞票包内只能完全装电子货币，即装入电子现金、电子零钞票、安全零钞票、电子信用卡、在线货币、数字货币等。这些电子支付工具都能够支持单击式支付方式。考核知识点: 电子商务支付方式参见讲稿章节：5-3附1.2.11（考核知识点解释）：微支付指小额电子支付，其价值通常低于其电子支付方式的成本，因此需要专门的机制来提供高效率和低成本的安全性。微支付的每笔交易额较低，因此，具有较高交易成本和计算成本的支付机制是不适用的

35、。由于微支付每一笔的交易额小，即使被截获或窃取，对交易方的损失也不大。因此，微支付专门少或不采纳耗费较多计算资源的安全技术，其安全性在一定程度上要辅以审计或治理策略来保证。由于微支付交易频繁，因此要求较高的处理效率。由于微支付的特点，其应用也具有专门性，如新型产品支付( 新闻、信息查询和检索、广告点击付费等) ，移动计费和认证，以及分布式环境下的认证等。微支付一般不适合实物交易中的电子支付。考核知识点: SSL参见讲稿章节：3-4附1.2.12（考核知识点解释）：SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Reco

36、rd Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等差不多功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。考核知识点: SSL参见讲稿章节：3-4附1.2.13（考核知识点解释）：SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密

37、等差不多功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。考核知识点: SSL参见讲稿章节：3-4附1.2.14（考核知识点解释）：SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等差不多功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL

38、记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。考核知识点: 电子商务交易安全参见讲稿章节：4-1附1.2.15（考核知识点解释）：网上证券交易是指投资者利用因特网网络资源，猎取证券的即时报价，分析市场行情，并通过互联网托付下单，实现实时交易。网上交易及其相关业务要紧包括：查询上市公司历史资料、查询证券公司提供的咨询讯息、查询证券交易所公告、进行资金划转、网上实时托付下单、电子邮件托付下单、电子邮件对账单、公告板、电子讨论、双向交流等。考核知识点: 电子商务参见讲稿章节：1-1附1.3.1（考核知识点解释）：电子商务通常是指在全球各地广泛的商业贸易

39、活动中，在因特网开放的网络环境下，基于扫瞄器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。各国政府、学者、企业界人士依照自己所处的地位和对电子商务参与的角度和程度的不同，给出了许多不同的定义。电子商务分为：ABC、B2B、B2C、C2C、B2M、M2C、B2A（即B2G）、C2A（即C2G）、O2O 等。考核知识点: 电子商务安全参见讲稿章节：1-2附1.3.2（考核知识点解释）：信息安全技术在电子商务系统中的作用特不重要，它守护着商家和客户的重要机密，

40、维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥治理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 电子商务安全参见讲稿章节：1-2附1.3.3（考核知识点解释）：信息安全技术在电子商务系统中的作用特不重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技

41、术包括网络安全技术、加密技术、数字签名、密钥治理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 电子商务安全参见讲稿章节：1-2附1.3.4（考核知识点解释）：信息安全技术在电子商务系统中的作用特不重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥治理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 数据加密参见讲稿章节：2-1附1.3.5（考核知识点解

42、释）：数据加密，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行爱护的一种最可靠的方法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到爱护信息的安全的作用。考核知识点: 电子商务的网络安全技术参见讲稿章节：7-3附1.3.6（考核知识点解释）：网络防火墙技术是一种用来加强网络之间访问操纵,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,爱护内部网络操作环境的专门网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是

43、否被同意,并监视网络运行状态。考核知识点: 电子商务安全参见讲稿章节：1-2附1.3.7（考核知识点解释）：信息安全技术在电子商务系统中的作用特不重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥治理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 加密技术参见讲稿章节：2-1附1.3.8（考核知识点解释）：非对称加密算法需要两个密钥：公开密钥（public key）和私有密

44、钥（private key）。公开密钥与私有密钥是一对，假如用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；假如用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，因此这种算法称为非对称加密算法。采纳单钥密码系统的加密方法，同一个密钥能够同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用。考核知识点: 加密技术参见讲稿章节：2-1附1.3.9（考核知识点解释）：非对称加密算法需要两个密钥：公开密钥（public key）

45、和私有密钥（private key）。公开密钥与私有密钥是一对，假如用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；假如用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，因此这种算法称为非对称加密算法。采纳单钥密码系统的加密方法，同一个密钥能够同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用。考核知识点: 电子商务的网络安全参见讲稿章节：7-1附1.3.10（考核知识点解释）：被动攻击要紧是收集信息而不是进行访问，数

46、据的合法用户对这种活动一点也可不能觉察到。被动攻击包括嗅探、信息收集等攻击方法。窃听、监听都具有被动攻击的本性，攻击者的目的是猎取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。报文内容的泄露易于理解，一次电话通信、一份电子邮件报文、正在传送的文件都可能包含敏感信息或秘密信息。为此要防止对手获悉这些传输的内容。通信流量分析的攻击较难捉摸。假如有一个方法可屏蔽报文内容或其他信息通信，那么即使这些内容被截获，也无法从这些报文中获得信息。最常用的屏蔽内容技术是加密。然而即使用加密爱护内容，攻击者仍有可能观看到这些传输的报文形式。攻击者可能确定通信主机的位置和标识，也可能观看到正在交换的

47、报文频度和长度。而这些信息对推测正在发生的通信特性是有用的。对被动攻击的检测十分困难，因为攻击并不涉及数据的任何改变。然而阻止这些攻击的成功是可行的，因此，对被动攻击强调的是阻止而不是检测。考核知识点: 加密技术参见讲稿章节：2-1附1.3.11（考核知识点解释）：非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。公开密钥与私有密钥是一对，假如用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；假如用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，因此这种算法称为非对称加密算法。采纳单钥密码系统

48、的加密方法，同一个密钥能够同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用。考核知识点: 电子商务的网络安全参见讲稿章节：7-1附1.3.12（考核知识点解释）：计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我生殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。附1.3.12（考核知识点解释）：计算机

49、病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我生殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。考核知识点: 电子商务安全参见讲稿章节：1-2附1.3.14（考核知识点解释）：信息安全技术在电子商务系统中的作用特不重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括

50、网络安全技术、加密技术、数字签名、密钥治理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 电子商务安全参见讲稿章节：1-2附1.3.15（考核知识点解释）：信息安全技术在电子商务系统中的作用特不重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥治理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。考核知识点: 数字签名参见讲稿章节：2-4附1.3.16（考核知识点解释

51、）：数字签名确实是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换同意数据单元的接收者用以确认数据单元的来源和数据单元的完整性并爱护数据,防止被人(例如接收者)进行伪造。数字签名一般是基于公钥密码体制的。考核知识点: 密钥治理与分发参见讲稿章节：2-3附1.3.17（考核知识点解释）：密钥一旦丢失，使用改密钥加密的数据就无法恢复，因此密钥备份具有特不重要的作用。常用的密钥备份技术要紧有密钥共享技术和密钥托管技术。考核知识点：电子商务认证中心参见讲稿章节：2-4附1.3.18（考核知识点解释）：在SET CA认证体系中，由于采纳公开密钥加密算法，认证中心称为整个系统的安全

52、核心。CA所颁发的数字证书要紧有持卡人证书、商户证书和支付网关证书。考核知识点：电子商务认证中心参见讲稿章节：2-4附1.3.19（考核知识点解释）：在SET CA认证体系中，由于采纳公开密钥加密算法，认证中心称为整个系统的安全核心。CA所颁发的数字证书要紧有持卡人证书、商户证书和支付网关证书。考核知识点：电子商务支付安全参见讲稿章节：5-1附1.3.20（考核知识点解释）：智能卡（Smart Card） ：内嵌有微芯片的塑料卡（通常是一张信用卡的大小）的通称。一些智能卡包含一个微电子芯片，智能卡需要通过读写器进行数据交互。智能卡配备有CPU、RAM和I/O，可自行处理数量较多的数据而可不能干

53、扰到主机CPU的工作。智能卡还可过滤错误的数据，以减轻主机CPU的负担。适应于端口数目较多且通信速度需求较快的场合。 卡内的集成电路包括中央处理器CPU、可编程只读存储器EEPROM、随机存储器RAM和固化在只读存储器ROM中的卡内操作系统COS(Chip Operating System)。卡中数据分为外部读取和内部处理部分。考核知识点：多层次密钥系统参见讲稿章节：3-1附2.1.1（考核知识点解释）：在系统分析的基础上，设计出能满足预定目标的系统的过程。系统设计内容要紧包括：确定设计方针和方法,将系统分解为若干子系统,确定各子系统的目标、功能及其相互关系，决定对子系统的治理体制和操纵方式，

54、对各子系统进行技术设计和评价，对全系统进行技术设计和评价等。考核知识点：病毒及其特征参见讲稿章节：6-3附2.1.2（考核知识点解释）：计算机病毒是一种人为编制的、可运行的程序代码，它能嵌入或隐藏在其他应用程序或数据文件中，以磁盘、U盘、网络文件等为载体，随着数据复制、网络传播等进行广泛传播，对计算机系统和信息资源具有破坏性。考核知识点：VPN参见讲稿章节：7-3附2.1.3（考核知识点解释）：虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，要紧是按协议进行分类。VPN可

55、通过服务器、硬件、软件等多种方式实现。考核知识点：身份认证技术参见讲稿章节：2-4附2.1.4（考核知识点解释）：身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息差不多上用一组特定的数据来表示的，计算机只能识不用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者确实是那个数字身份合法拥有者，也确实是讲保证操作者的物理身份与数字身份相对应，身份认证技术确实是为了解决那个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。考核知识点：密钥治理参见讲稿章节：2-3附2.1.5（考

56、核知识点解释）：密钥一旦丢失，使用改密钥加密的数据就无法恢复，因此密钥备份具有特不重要的作用。常用的密钥备份技术要紧有密钥共享技术和密钥托管技术。考核知识点：TCP/IP参见讲稿章节：3-1附2.1.6（考核知识点解释）：在因特网协议族（Internet protocol suite）中，TCP层是位于IP层之上，应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接，然而IP层不提供如此的流机制，而是提供不可靠的包交换。考核知识点：计算机病毒参见讲稿章节：6-3附2.1.7（考核知识点解释）：计算机病毒是一种人为编制的、可运行的程序代码，它能嵌入或隐藏在其他应用程序或数据文

57、件中，以磁盘、U盘、网络文件等为载体，随着数据复制、网络传播等进行广泛传播，对计算机系统和信息资源具有破坏性。考核知识点：VPN参见讲稿章节：7-3附2.1.8（考核知识点解释）：虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，要紧是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。考核知识点：认证技术参见讲稿章节：2-4附2.1.9（考核知识点解释）： HYPERLINK /view/1034208.htm t _blank 身份认证技术是在 HYPERLI

58、NK /view/3314.htm t _blank 计算机网络中确认操作者身份的过程而产生的有效解决方法。 HYPERLINK /view/3314.htm t _blank 计算机网络世界中一切信息包括用户的 HYPERLINK /view/1034208.htm t _blank 身份信息差不多上用一组特定的数据来表示的，计算机只能识不用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。考核知识点：数字签名参见讲稿章节：2-4附2.1.10（考核知识点解释）：数字签名，确实是只有信息的发送者才能产生的不人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有

59、效证明。数字签名是非对称密钥加密技术与数字摘要技术的应用。考核知识点：非对称加密技术参见讲稿章节：2-1附2.1.11（考核知识点解释）：公钥证书，通常简称为证书，是一种数字签名的声明，它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。大多数一般用途的证书基于 X.509v3 证书标准。考核知识点：计算机病毒参见讲稿章节：6-3附2.1.12（考核知识点解释）：计算机病毒是一种人为编制的、可运行的程序代码，它能嵌入或隐藏在其他应用程序或数据文件中，以磁盘、U盘、网络文件等为载体，随着数据复制、网络传播等进行广泛传播，对计算机系统和信息资源具有破坏性。考核知识点：IPsec协议参见讲稿章节

60、：3-1附2.1.13（考核知识点解释）：IPSec提供了两种安全机制：认证（采纳ipsec的AH）和加密（采纳ipsec的ESP）。 认证机制使IP通信的数据接收方能够确认数据发送方的真实身份，以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。考核知识点：Kerberos认证服务参见讲稿章节：3-1附2.1.14（考核知识点解释）：系统设计上采纳客户端/服务器结构与DES加密技术，同时能够进行相互认证，即客户端和服务器端均可对对方进行身份认证。能够用于防止窃听、防止replay攻击、爱护数据完整性等场合，是一种应用对称密钥体制进行密钥治