东北农业大学网络教育学院电子商务安全与法律网上作业题参考答案第 1 章 电子商务安全概述一、名词解释1．电子商务：是指在因特网开放的网络环境下，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。2．电子商务安全：是指消费者（买家）和商品或服务提供方（卖家）相关信息、网络服务系统、身份识别等方面的安全，即电子商务交易双方信息都要保密，电子商务系统账号不能被第三方获知，商品或服务提供方的订货和付款信息等商业秘密也不能为竞争对手或黑客等非本用户所知，并且若电子商务交易活动一旦完成，相关电子商务信息未经双方重新协商，不可随意更改和否认。3．云计算：是在分布式系统、网格计算等发展的基础上提出的一种新型高性能计算模型，是一种新兴的数据文件共享基础架构方法，面对的是超大规模分布式计算环境，核心是分布式数据存储和高性能网络服务4．物联网：（Internet of Things，简称 IOT）又称为传感网，是互联网从人向物的延伸，是指在真实物理世界中部署具有一定感知能力和信息处理能力的嵌入式芯片和软件系统，通过网络设施实现信息传输和实时处理，从而实现物与物、物与人之间的通信二、单项选择题1、D 2、D三、多项选择题1、ABCDE 2、ABD 3、ABC 4、ABCDEF四、简答题1．查阅相关资料，分析移动支付与网上支付、电子支付的区别与联系？答案要点：（1）概念的界定；（2）支付过程与支付工具2．就某一个自己感兴趣的电子商务安全前沿问题，查阅相关文献资料进行深入论述？答案要点：如移动支付安全问题，查阅相关资料分别从技术和管理的角度分析如何保障移动支付安全。五、论述题1．查阅相关资料，结合实际情况对当前我国电子商务安全现状进行分析？答案要点：依据电子商务安全需求，从安全技术与协议、交易安全、支付安全、信息安全、网络安全、安全管理等方面分析我国电子商务安全状况。第 2 章 电子商务安全技术一、名词解释1．对称加密：又称为对称式密钥加密技术或单密钥加密技术，在加密和解密过程中它使用的是相同的加密算法和密钥，从一个密钥可推导出另一个密钥，而且通信双方都必须获得这个密钥并保证密钥的机密性。2. 非对称加密：也称为公开密钥加密技术或双密钥加密技术，加密和解密分别使用两个成对的密钥来实现，分别称为公开密钥（ Public Key，即公钥）和私有密钥（PrivateKey，即私钥），私钥具有唯一性和私有性。其中，用于加密的密钥可公开，任何人都可 因素导致信息的破坏、篡改、泄露等，并使信息系统连续、可靠地正常运行，信息服务不中断。2．木桶原则：一个由若干块长短不同的木板箍成的木桶，决定其容量大小的并非是其中最长的那块木板或全部木板长度的平均值，而取决于其中最短的那块木板。要想提高木桶的整体效应，不是增加最长的那块木板的长度，而是要下工夫补齐最短的那块木板的长度。3．数据备份：数据备份是数据容灾的重要手段，是为防止系统出现操作失误或系统故障时导致数据丢失，将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质并进行存储的过程。4．异地备份：异地备份是将数据备份在不同的物理存储设备上，如将数据拷贝到光盘上等，并与有源数据磁盘分开存放。与本地备份方法相比，异地备份可以减少数据备份遭受和原数据相同的破坏。5．安全事件管理：可以将安全事件管理分为安全事件采集、安全事件预处理、安全事件关联、应对结果分析 4 个阶段。6．安全审计：安全审计是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应安全评估。二、单项选择题1．C 2．C 3．A三、多项选择题1．ＡＢＣ　2．ＡＢＣＤ　3．ＡＢＣ　4．D　5．ＡＢＣＤ　6．ＡＢＣ　7．ＡＢＣ四、简答题1．简述电子商务面临的信息安全问题。答案要点：电子商务活动涉及商品信息的发布、订单提交与确认、电子支付信息传输、物流配送等，电子商务面临的信息安全问题主要有商家相关商业机密信息、客户资料等信息可能被泄露，消费者的个人隐私、订单数据、系统账号与密码等信息面临被窃取、篡改等威胁，电子商务服务平台和网上支付平台面临病毒入侵、黑客攻击、系统漏洞等安全问题。具体来说，电子商务面临以下 4 个方面的信息安全问题：1）信息窃取与篡改 2）交易对象身份信息虚假 3）交易信息抵赖 4）知识产权侵犯。2．电子商务信息安全需求有哪些？答案要点：电子商务信息安全需求包括：1）物理安全，物理安全包含信息系统相关的环境、设备、介质安全，对硬件设备进行防盗、防毁、防磁等安全保护，避免由于地震、火灾、水灾等自然灾害或人为因素造成的信息安全问题。2）信息的机密性 3）信息的完整性 4）信息的有效性 5）信息的可靠性 6）信息的真实性 7）信息的不可否认性 8）信息的独占性 9）信息的可用性3．防御电子商务系统免受病毒木马感染的措施有哪些？答案要点：1 数据备份与恢复 2 病毒检测技术 3 采用防火墙技术提供信息安全服务，防止黑客通过进入企业内部对数据和信息系统进行攻击；采用加密技术和身份认证技术保障信息存储和网络传输的安全；在采用伪装、诱骗、信息控制、数据捕获、数据统计分析等网络陷阱技术防御信息系统遭受黑客攻击的同时，实时监视并记录入侵者的行为痕迹，当 系统遭受黑客攻击后，根据所记录的入侵日志、攻击特征等对黑客进行跟踪。4．什么是信息安全评估，如何计算信息安全风险？答案要点: 信息安全评估是从风险管理的角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件发生的可能性和造成的危害程度，提出有针对性的抵御威胁的防护策略和整改措施。电子商务信息安全评估是以信息资产为评估对象，识别并评价企业内容所关注的信息系统、数据、人员、信息服务等保护对象，再参考相关信息安全评估标准，识别出这些保护对象面临的安全威胁以及自身存在的安全漏洞，最后从可能性和影响程度两个方面来评价信息资产的风险，通过分析综合得到电子商务所面临的信息安全风险。5．简述电子商务信息安全评估的基本流程。 信息安全评估主要包括安全评估准备、资产识别、威胁识别、脆弱性识别、现有安全措施的确认、安全风险计算等步骤。见下图。五、论述题1．查阅相关资料，分析主流数据备份系统的结构、功能及其实现方案。答案要点：目前最常见的网络数据备份系统结构按其架构不同可以分为四种：基于网络附加存储（DAS-Base）结构，基于局域网（LAN-Base）结构，基于 SAN 结构的 LAN-Free 和 Server-Free 结构。参考资料：http://www.d1net.com/storage/technology/44206.html 图 1： DAS-BASE 备份结构 图 2：LAN-Base 备份结构$ 图 3：LAN-Free 备份结构 图 4：Server-Free 备份结构2．依据自己所熟悉的某一个信息安全评估标准或规范，完成对某个电子商务系统(如淘宝网)的信息安全风险评估，并撰写规范的信息系统评估报告。答 案 要 点 ： 报 告 格 式 请 参 考 http://wenku.baidu.com/view/7f5f793243323968011c92a8.html第 7 章 电子商务的网络安全一、名词解释1．网络安全：网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不受到偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠地运行，从而提供正常的网络服务1。2．网络攻击：利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。3．入侵检测：入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。4．访问控制：按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。5．VPN：VPN 是虚拟专用网(Virtual Private Network)的缩写，是利用互联网基础设施，通过隧道加密技术、用户认证和访问控制等相关技术建立稳定的、临时的网络连接，以实现企业内部数据的安全通信。6．网络安全评估：网络安全评估也称为网络安全风险评估，是指运用各种技术手段对网络系统和网络信息处理设施的威胁、影响和脆弱性及三者发生的可能性进行评估，评估其风险大小，然后根据安全评估的结果制定适当的安全策略和安全措施，为网络安全管理人员提供参考依据。二、单项选择题1．A 2．B 3．D1 CC.Common Criteria for Information Technology Security Evaluation.1999(8),CCI-MB-pp-031. 三、多项选择题1．ABC 2．A C 3．A D E 4．B 5．ACD 6．ABC四、简答题1．简述电子商务网络系统常见的安全威胁。答案要点：电子商务网络安全威胁主要来自网络协议和系统的弱点，攻击者可以利用网络协议弱点非授权访问和处理敏感数据、干扰或滥用网络服务等。包括 1）1．信息泄露2）网页篡改 3）网络欺诈 4）网络蠕虫 5）服务拒绝 6）未授权访问 7）SQL 注入攻击等。2．简述防火墙的体系结构和主要功能。答案要点：防火墙的体系结构主要有双重宿主主机结构、被屏蔽主机结构和被屏蔽子网结构 3 种。1.双宿主主机防火墙 多宿主主机这个词是用来描述配有多个网卡的主机，每个网卡都和网络相连接。双宿主主机可以用于把一个内部网络从一个不可信的外部网络分离出来。它可以彻底堵塞内部和外部不可信网络间的任何 IP 流量。防火墙运行代理软件控制数据包从一个网络流向另一个网络2.主机屏蔽防火墙 主机屏蔽防火墙比双宿主机防火墙更安全。主机屏蔽防火墙体系结构是在防火墙的前面增加了屏蔽路由器。换句话说就是防火墙不直接连接外网，这样的形式提供一种非常有效的并且容易维护的防火墙体系。3.子网屏蔽防火墙 子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽体系结构，即通过添加周边网络更进一步地把内部网络与外网隔离。3．简述入侵检测的过程和基本方法。答案要点：入侵检测技术使用网络硬件或网络软件对受监控网络上的数据流进行实时检查，并将检查结果和系统中的设定的入侵特征数据库中的数据进行比较，如果发现非授权的网络访问和攻击行为，就及时做出警报、阻断响应，并提供日志记录和分析。入侵监测是一种主动的网络安全防御措施，不仅可以通过监测网络实现对内部攻击、外部攻击和误操作的实时保护，如记录证据、跟踪入侵、恢复或断开网络连接等，而且能结合其他网络安全产品，对网络安全进行全方位的保护，有效弥补防火墙技术的不足。基本方法包括：1) 静态配置分析 2) 异常性检测 3) 基于行为的检测4．防火墙与 VPN 之间的本质区别是什么？答案要点：VPN 是虚拟专用网,是公司内部网通过 internet 安全传输的隧道,其作用和防火墙有本质的不同。防火墙的主要作用是防止外部网络对内部网络的攻击。五、论述题针对当前电子商务网络系统所面临的安全问题，分析采用哪些安全技术和设备可以保障电子商务网络系统的安全性和可靠性。答案要点：1）访问控制技术 2）防火墙技术 3）物理隔离技术 4）入侵检测技术5）VPN 技术 6）网络安全扫描技术第 8 章 电子商务安全管理 一、名词解释1．安全管理：安全管理是以管理对象的安全为任务和目标，其任务是保证管理对象的安全，是识别、控制、降低或消除安全风险的活动，能够对企业的关键资产进行全面、系统的保护，使企业定期考虑新的威胁和脆弱点，并对系统进行更新和控制。2．风险管理：风险管理(Risk Management)是指经济实体通过风险识别、风险预测、风险评估等，对风险实施有效控制、妥善处理风险所造成的损失，期望以最小的成本获得最大安全保障的管理活动。风险管理源于一系列公认的相关策略，是一种持续性行为。3．信用管理：信用管理是指企业为了增强信用能力、控制交易中的信用风险，以商业统计、信息检索、网络及计算机软件技术，以及财务管理和市场营销等为基础，而实施的一整套业务方案、政策，以及为此建立的一系列组织制度。4．信用评价：信用评价是信用中介机构运用模糊数学、神经网路、期权定价等数学方法和模型，对基本信用数据进行分析计算，得出的某个人或某个企业的信用水平评估参数进而形成关于交易实体的信用数值、信用系数等信用水平标识的过程。5．风险感知：风险感知是指个体对存在于外界的各种客观风险的感受和认识，强调个体由直观判断和主观感受获得的经验对认知的影响。6．道德风险：他认为道德风险指：“某些道德原则和规范在现实生活中的推行、践履有可能导致不理想效果或负面影响的危险性，亦指可能的道德行为在实践过程中的不确定性，这种道德行为的不确定性既可以指行为主体本身的可能道德行为的不确定性，也可以指一种社会措施可能引起的社会可能道德后果的不确定性，并且这种不确定性是立足于其可能的后果及其潜在的风险而言的。”7．支付风险：支付风险主要体现在 3 个方面：一是数据传输过程中遭到攻击，可能会威胁到用户资金安全；二是网上支付系统本身存在安全设计上的缺陷可能被黑客利用，危害整个系统的安全，造成重大损失；三是计算机病毒可能突破网络防范，入侵网上支付的主机系统，造成数据丢失等严重后果。8．隐私风险：隐私风险是用户在电子商务购物过程中，消费者对真实姓名、联系方式、通信地址、电子邮箱地址等个人隐私信息失去控制的可能性。电子商务服务商将收集到的客户信息在消费者不知情的情况下进行出售、挖掘、利用等，都会造成消费者隐私信息的泄漏、非法利用、网上浏览过程被跟踪、垃圾邮件或垃圾短信的干扰等。二、单项选择题1．C 2．B 3．C三、多项选择题1．ABC 2．ABC 3．ABCD四、简答题1．阐述电子商务所面临的安全风险和信用威胁。答案要点: 电子商务所面临安全风险主要包括信息风险、信用风险、管理风险和交易风险等。具体为：1.系统层的漏洞 电子商务系统所使用的硬件设备、软件操作系统及网络整体结构中的安全性漏洞将直接构成电子商务中的安全性隐患。2.存储层的漏洞 无论多么稳定的系统,意外情况总是不可避免的,意外情况造成的数据破坏给电子商务系统带来安全隐患。3.信息的截获和窃取 4.信息的篡改 5.跨平台数据交换引起的数据丢失 6.拒绝服务 7.系统资源失 窃问题 8. 应用层信息的假冒 9.交易的抵赖等。信用风险主要来自以下三个方面：(1)来自买方的信用风险。对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物；对于集团购买者来说，存在拖延货款的可能，卖方需要为此承担风险。(2)来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。 (3)买卖双方都存在抵赖的情况。2．简述电子商务安全评估的基本流程和方法。答案要点：电子商务系统安全评估的内容包括管理、过程和技术 3 个方面。管理性安全评估主要包括组织与人员安全、管理与制度安全、资产管理与控制、物理环境安全、操作管理、业务连续性管理、应急处理程序、企业安全文化等方面的评估。过程性安全评估主要包括安全危险与风险分析、系统脆弱性分析、系统安全需求与安全策略、系统安全性设计与方案的分发与实施、系统运行与维护安全、系统更新与废弃安全、系统生命周期安全支持等。技术性安全评估主要包括安全机制和功能分析及其强度分析、网络系统设备及逐级系统安全配置分析、网络系统设备及主机脆弱性分析等。常用的电子商务系统评估方法主要有风险评价、电子信息处理审计和安全评估 3 种。3. 典型的电子商务风险控制理论包括哪几个？分别简述其基本思想。答案要点：常用的风险控制理论有多米诺骨牌理论、能量破坏性释放理论、TOR 系统理论，以及系统安全理1）多米诺骨牌理论 指在一个存在内部联系的中，一个很小的初始 能量就可能导致一连串的连锁反应。H.W.Heinrich 提出，当前面的骨牌有一张倒下时，只要将其后面的骨牌中的某一张移除，损失就不会发生；企业风险控制的核心工作是防止不安全行为，即努力移除第三张骨牌。组织或者企业应该重视人为因素管理，加强安全制度建设，提高员工的安全意识。当然，把绝大多数的责任事故都归咎于人为因素，是多米诺骨牌理论的重要局限性。2）能量破坏性释放理论 该理论认为事故是一种不正常的或不希望的能量释放，各种形式的能量构成了伤害的直接原因，即人员或财产损失基本上是能量的意外破坏性释放的后果，如台风、雷电、冰雹等。人类在利用能量的时候必须采取措施控制能量，使能量按照人们的意图产生、转换和做功。如果由于某种原因失去了对能量的控制，就会发生能量违背人的意愿的意外释放或逸出，使进行中的活动中断而发生事故。3）TOR 系统理论 TOR 系统是作业评估技术系统(Technique of Operations Review System)的简称，TOR系统理论由学者 D.A.Weaver 首创的，该理论认为意外事故的发生是由于组织管理方面的缺失所导致的，并认为管理方面的缺失主要有 8 类，分别是不适当的教导与培训，不明确的责任划分与分工，不适当的权责，不适当的监督，紊乱的工作环境，不适当的工作计划，个人的工作失误，不适当的组织结构。4）系统安全理论 系统安全理论源于“万物皆可视为系统”，而每个系统是由功能规模相对较小而又相互联系的子系统构成。在这种系统的理念下，当系统中的人或物由于某种原因失去其既定的功能时 ，意外事故就有可能发生。系统安全理论的目的是试图预测意外事故如何发生并寻求预防与解决之道。五、论述题网购消费者如何识别和避免电子商务交易过程中可能遭遇的信用风险和系统安全威胁？答案要点：避免信用风险和系统安全威胁网络消费者应：1 尽量在可信环境下，在有实名认证技术和手段的平台进行交易；2 了解常见的网络购物陷阱，不轻易相信网络宣传广告；3 掌握一定的产品专业知识，有一定的产品鉴别能力 4 留意卖家的信誉值和评价，不贪图便宜 5 保留交易聊天证据以及发货凭证信息。第 9 章 移动电子商务安全 一、名词解释1．移动电子商务：是基于有线计算机通信网的传统电子商务的进一步延伸，它将因特网、移动通信技术、短距离无线通信技术等完美结合，摆脱了传统电子商务活动依赖于个人计算机、网线等有线设备的局限，使人们通过智能手机、PDA、平板电脑等便携式移动设备即可在任何时间、任何地点进行各种电子商务活动，实现随时随地的线上线下购物与交易、移动电子支付、移动金融活动等，提供真正意义上不受地域和时空限制的即时商务服务。2．移动电子商务安全：既包括基于传统互联网的电子商务安全，也包括电子商务信息在无线移动通信网络传输过程中的安全以及移动终端设备本身的安全。3．WPKI：是无线应用协议 WAP、无线局域网 WLAN、无线虚拟专用网 WVPN 等移动安全基础设施建设所必需的关键性产品，它将传统电子商务中的 PKI 安全机制引入到移动网络环境中，用来管理在移动网络环境中使用的公开密钥和数字证书，能够有效解决身份认证问题，提供安全和值得信赖的移动电子商务环境的服务。4．STK：是 SIM 卡开发商根据 GSM 通信技术标准研发的一种开发移动增值应用程序的工具包，基于它开发的移动应用程序可固化在 SIM 卡中，成为应用程序和手机之间进行数据传输和交换的重要接口。二、单项选择题1. BD（题目有误） 2. B 3. B三、多项选择题1. ABCDE 2. ABCD 3. ABC四、简答题1．简述我国移动电子商务安全的现状？与传统电子商务相比，移动电子商务有哪些特殊的安全需求？答案要点：（1）无线网络环境的安全性缺陷、（2）移动电子商务的软件环境不完善、（3）移动电子商务安全技术还不成熟2．比较 WPKI 技术与 PKI 技术的异同之处。答案要点：3．简述二维码技术在电子商务中的主要用途，并分析二维码加密的基本过程与作用。答案要点：二维码被广泛应用在图书期刊、报纸杂志、包装等方面，不仅可以通过扫描二维码进行商品和服务的搜索、积分兑换等，而且可以用于物流配送、移动网购、移动 支付、防伪、加密等。利用二维码对移动支付返回的明文数据进行加密和“图形化”处理，即将加密后的密文转换成二维码图片的形式，再向用户手机发送。这样，首先对动态口令数据明文进行加密处理，然后通过二维码编码规则进行图形转换，使得在通信链路上实体无法接触到动态口令明文，木马、病毒等恶意程序也很难识别二维码所存储的机密信息，从而进一步保障了移动支付数据的安全。4. 移动电子商务交易过程中，应注意采取哪些措施保障顺利完成电子商务交易过程？答案要点：（1）加强移动电子商务交易主体的身份识别管理在移动电子商务交易过程中，通过实名机制、交易主体的身份审查、交易过程的网络化监管、采用双向身份认证等措施，可保证用户的访问和授权的准确性，增强移动电子商务交易的安全性。（2）加快移动电子商务诚信体系的建设由于当前我国的商业诚信氛围还不健全，移动电子商务作为一种仍处于成长阶段的电子商务形式，许多用户对此都比较陌生，这使得部分恶意或非法用户有机会利用移动电子商务进行违规的诈骗性移动电子商务交易，国内某项调查数据显示，超过 90%的手机用户收到过诈骗短信。为此，应积极通过建设基于移动互联网的电子商务诚信监管机制，随时随地收集和反馈用户的诚信状态，并对违反诚信的行为和活动进行相应的追究和制止，促进安全移动电子商务交易环境的建设。5. 如何保障移动电子商务的信息安全和物理安全？（1）应用无线公开密钥体系（WPKI）（2）认证和访问控制（3）移动终端病毒防护技术（4）应用无线虚拟专用网（WVPN）技术五、论述题查阅相关资料，分析 LTE 技术的应用将给移动电子商务安全带来哪些影响？答案要点：（1）信息的无线窃听（2）用户身份的冒充（3）病毒与黑客攻击（4）无线网络技术标准的缺陷东北农业大学网络教育学院电子商务安全与法律网上作业题第一章 电子商务安全概述一、 名词解释1、电子商务 2、电子商务安全 3、云计算 4、物联网二、单项选择题1、下面哪一项不是电子商务安全的特征（ ）A 整体性 B 相对性 C 技术性 D 隐私性2、云计算给电子商务带来的好处是（ ）A 可靠安全的数据存储 B 病毒和黑客的攻击更加隐秘 C 稳定的高性能计算能力 D 低成本获取最高的经济效益三、多项选择题1、电子商务安全的主要特点包括（ ）A 整体性 B 相对性 C 技术性 D 动态性 E 社会性2、数据完整性包括数据的（ ）A 正确性 B 有效性 C 冗余性 D 一致性3、在电子商务安全认证中，信息认证主要用于（ ）A 信息的可信性 B 信息的完整性 C 信息双方的不可抵赖性 D 访问控制4、电子商务安全研究的主要内容有（ ）A 电子商务安全技术 B 电子商务安全协议 C 电子商务的交易安全D 电子商务的支付安全 E 电子商务的信息安全 F 电子商务的网络安全四、简答题1、查阅相关资料，分析移动支付与网上支付、电子支付的区别与联系。2、就某一个自己感兴趣的电子商务安全前沿问题，查阅相关文献资料进行深入论述。五、论述题查阅相关资料，结合实际情况对当前我国电子商务安全现状进行分析。第二章 电子商务安全技术一、 名词解释1、对称加密 2、非对称加密 3、混合加密 4、密钥5、数字签名 6、身份认证 7、数字信封 8、数字水印二、单项选择题1、CA 是指（ ）A 密钥管理中心 B 生物特征 C 数字水印 D 认证中心2、PKI 是指（ ）A 数字证书 B 公钥基础设施 C 数字指纹 D 数字签名3、明文转换为密文或将密文转换为明文时需输入的参数是（ ）A 密文 B 明文 C 密钥 D 随机序列 4、在公钥密码技术中，不公开的是（ ）A 公钥 B 公钥长度 C 私钥 D 加密算法5、在数字信封技术中，发送方首先选择一个对称密钥并利用对称密钥加密技术对要发送的信息进行加密，然后再利用公开密钥加密技术并（ ）A 使用发送方自身的公钥对生成的对称密钥加密B 使用发送方自身的私钥对生成的对称密钥加密C 使用接收方的公钥对生成的对称密钥加密D 使用接收方的私钥对生成的对称密钥加密6、下列是采用双向身份认证的是（ ）A 手机卡 B 智能交通卡 C 校园一卡通 D 银行卡三、双向选择题1、根据密钥的不同，可将数据加密技术分为（ ）A 对称加密技术 B 混合加密技术 C 生物加密技术 D 非对称加密技术 E 量子加密技术2、密钥管理包括（ ）A 密钥生成 B 密钥分发 C 密钥存储D 密钥备份 E 密钥销毁 3、以下不属于非对称加密算法的是（ ）A DES B AES C RSA D DEA4、数字签名功能包括（ ）A 防止发送方的抵赖行为 B 接收方身份确认C 发送方身份确认 D 保证数据的完整性5、数字证书按照安全协议的不同，可分为（ ）A 单位数字证书 B 个人数字证书 C SET 数字证书 D SSL 数字证书6、下列说法中正确的是（ ）A 身份认证是判明和确认贸易双方真实身份的重要环节B 不可抵赖性是认证机构或信息服务商应当提供的认证功能之一C 身份认证要求对数据和信息的来源进行验证，以确保发信人的身份D SET 是提供公钥加密和数字签名服务的平台四、简答题1、根据数据加密和解密的过程分析 DES 密码算法和 RSA 密码算法的异同2、阐述密钥管理中心的体系结构和功能3、数字签名与数字证书分别是什么？他们有什么区别？4、阐述数字签名与电子签名的不同之处5、用户身份认证的主要目标是什么？常用的方法有哪些？五、论述题1、以非对称加密技术为例，论述数据加密和解密的基本过程2、查阅相关资料，分析个人网上银行、支付宝、财付通等分别采用了哪些安全技术，这些安全技术分别有什么作用。 第三章 电子商务安全协议一、名词解释1、安全超文本传输协议 2、电子邮件安全协议 3、SSL 协议 4、SET 协议 5、TLS 协议二、单项选择题1、IPv4 中的 IP 地址长度为（ ）位A 8 B 16 C 32 D 1282、IPv6 中的 IP 地址长度为（ ）位A 16 B 64 C128 D2563、PGP 的英文全称是（ ）A Pretty Good Privacy B Transport Layer SecurityC HyperText Transfer Protocol D Multipurpose Internet Mail Extensions三、多项选择题1、目前常用的安全电子邮件协议主要有（ ）A PEM B MOSS C S/MIMED PGP E GPG2、SSL 协议主要由（ ）组成A 握手协议 B 改变加密规范协议 C 报警协议 D 记录协议 E 安全电子交易协议3、一个典型的 PKI 应用系统包括（ ）A 证书签发子系统 B 证书发布子系统 C 目录服务子系统D 密钥管理子系统 E 证书受理子系统 以知道，但解密密钥只能解密者自己知道，即发送方使用公钥加密数据之后，接收方只能使用自己拥有的私钥来解密。3．混合加密：基于综合使用对称加密算法和非对称加密算法来提出的一种加密解决方案，即数据发送方首先首先利用一个随机生成的密钥和对称加密算法对明文数据进行加密然后通过使用接收方所发送的公钥把随机密钥进行加密构成数字信封，并将其与密文一起发送给接收方，接收方收到所发送的数字信封之后通过自已的私钥首先解密随机对称密钥再利用解密得到的随机对称密钥对密文进行解密，从而恢复原始明文。4. 密钥：密钥是在明文转换为密文或将密文转换为明文的算法中输入的一种参数。5. 数字签名：数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成的电子密码进行签名，以代替书写签名和印章。6. 身份认证：包括身份识别和身份验证两部分。身份识别是用户向系统出示自己身份证明的过程，身份验证是查核用户身份证明的过程，实质上是查明用户是否具有他所请求资源的访问和使用权。7. 访问控制：依据特定安全策略控制主体对客体资源访问能力和访问范围的一种安全机制，在计算机系统所属的信息资源遭受未经授权的操作威胁时，能够提供适当的控制措施来保护资源的安全性和服务的正确性。8. 数字水印：是指使用信号处理方法在多媒体数据中嵌入隐蔽的标记，只有通过专用的检测器或阅读器才能提取，但它并不改变数字多媒体产品的基本特性和使用价值。二、单项选择题1．D 2．B 3．C 4. C 5. C． 6. D三、多项选择题1．ABCDE 2．ABCDE 3．ABD 4．ABC 5．ABCD 6．CD7．ABC四、简答题1．根据数据加密和解密的过程分析 DES 密码算法和 RSA 密码算法的异同。答案要点：DES 密码算法的基本思想是：（1）对加密过程中使用的 64 位密钥进行变换，使其变为 16 个子密钥；（2）将预加密的 64 位明文变换为 16 个数据块（组）；（3）将子密钥和相对应的数据块进行一系列替换和移位操作后得到密文块，然后将密文块组合得到 64 位的密文。DES 加密算法的的安全性并不是依赖于其算法的保密性，而是以其加密密钥的保密性为基础的，其加密算法是公开的，只需要保证密钥的安全就可以保证加密的数据是很难被破译的。RSA 密码算法的安全性是基于大整数因子分解的困难性，而大整数因子分解问题是数学上的著名难题，至今没有有效的方法予以解决，因此可以确保 RSA 算法的安全性。然而，RSA 算法的运算速度比 DES 算法慢几个数量级，主要适用于对少量关键的机密数据进行加密。2．阐述密钥管理中心的体系结构和功能。答案要点：密钥管理中心（KMC）实现密码系统中所有用户密钥的集中统一管理，一般采用主备结构，主被之间实时进行数据热备份和热切换。密钥分发中心（KDC）用于用户之间的密钥分配，每个用户都与 KDC 共享一个密钥，但是任意两个用户之间不共享密钥，KDC 提供集中式密钥生成。3. 数字签名与数字证书分别是什么？它们有什么区别？答案要点：数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成的电子密码进行签名，以代替书写签名和印章，不仅能验证出文件的原文在传输过程中有 四、简答题1、常用的电子商务安全协议主要有哪些？2、SSL 协议与 SET 的区别与联系是什么？3、公钥基础设施(PKI)提供的服务主要有哪些？4、什么是数字信封？数字信封的实现过程包括哪几个基本步骤？5、SSL 协议与 SET 协议的相同点和不同点是什么？五、论述题1、如何利用电子邮件安全协议确认电子邮件的来源是可信的？2、通过网络查阅相关资料，论述 SSL 协议与 SET 协议在电子商务活动中的实际应用并对其应用的效果进行分析。 第四章 电子商务的交易安全一、名词解释1、团购 2、物流配送 3、B2C 4、F2C二、单项选择题1、网络交易成功与否的关键在于（ ）A 交易安全 B 网络安全 C 信息安全 D 买方诚信2、淘宝网的交易模式属于（ ）A C2C B B2B C Z2C D F2C3、下面不属于电子商务的交易模式的是（ ）A F2C B B2C C C2C D Z2C三、多项选择题1、一个完整的网络交易安全体系包括（ ）A 技术方面的措施 B 管理方面的措施 C 相关法律法规 D 硬件系统2、电子商务交易包括（ ）A 交易前 B 网上支付 C 交易中 D 交易后3、网络交易的风险主要来自（ ）A 冒名偷窃 B 篡改数据 C 信息丢失 D 虚假信息四、简答题1、简述电子商务交易安全的现状，举例说明电子商务交易过程最常见的骗术有哪些。2、简述电子商务交易的基本流程。3、电子商务交易安全体系包括那几个构成部分？五、论述题1、结合自己的电子商务实践经历，论述如何避免电子商务交易过程中可能遇到的安全问题。2、从技术和管理两个方面，论述如何构建一个令消费者满意的电子商务物流配送体系。 第五章 电子商务支付安全一、名词解释1、电子货币 2、虚拟货币 3、代金券 4、积分 5、电子支付6、移动支付 7、电话支付 8、电视支付 9、电子现金 10、电子支票二、单选题1、不属于电子货币功能的是（ ）A 代替现金转账，直接消费结算 B 使用电子货币存款和取款C 异地使用货币时，进行货币汇兑 D 数字身份认证2、不属于虚拟货币的是（ ） A QQ 币 B 游戏币 C 优惠券 D 网站积分3、2012 年 7 月 1 日央行分布的第四批第三方支付牌照中首次出现了（ ）A 移动支付 B 微支付 C 电视支付 D 电子支票三、多项选择题1、电子商务支付模式主要有（ ）A 支付网关 B 信用中介 C 微支付 D 网上银行 E 移动支付2、电子商务支付安全需求包括（ ）A 保密性 B 完整性 C 可靠性 D 可用性 E 抗否认性3、典型的电子商务支付方式包括（ ）A 银行汇款 B 货到付款 C 网上支付 D 担保交易4、电子商务支付涉及的对象包括（ ）A 客户银行 B 商家银行 C 清算中心 D 商家与客户四、简答题1、电子货币与虚拟货币的区别是什么？2、简述基于第三方支付平台的电子商务支付流程。3、目前电子商务支付面临的安全问题有哪些？其影响因素包括哪些方面？五、论述题1、根据央行发布第三方支付牌照的相关规定，论述如何加强对电子商务支付的安全监管。2、根据电子商务安全支付安全需求，以支付宝、财付通、银联在线支付、快钱、易宝支付、环迅支付为例，比较分析其在支付方面的安全性。 第六章 电子商务的信息安全一、名词解释1、信息安全 2、木桶原则 3、数据备份 4、异地备份 5、安全事件管理 6、安全审计二、单项选择题1、下面不是电子商务信息安全的基本原则的是（ ）A 等级性原则 B 整体性原则 C 保密性原则 D 动态化原则 2、信息安全风险管理应该（ ）A 将所有的信息安全风险都消除B 在风险评估之前实施C 基于可接受的成本采取相应的方法和措施D 以上说法都不对3、下列叙述中，正确的是（ ）A 反病毒软件的更新升级通常滞后于计算机新病毒的出现。B 反病毒软件的更新升级总是超前于病毒的出现，它可以查、杀任何种类的病毒C 感染过计算机病毒的计算机将对该病毒的产生免疫力。D 计算机病毒会危害计算机用户的身体健康。三、多项选择题1、可能导致电子商务信息外泄的因素包括（ ）A 电磁辐射 B 非法终端访问C 数据窃取 D 传输介质的剩磁效应2、计算机病毒传播的方式主要有（ ）A 通过共享资源传播 B 通过网页恶意脚本传播C 通过网络文件传输传播 D 通过电子邮件传播 3、安全密码具有的特征是（ ）A 不用生日做密码 B 不使用少于 5 位的密码C 不要使用纯数字 D 将密码设得非常复杂并保证在 20 位以上4、获取口令的主要方法有强制口令破解、字典猜测破解和（ ）A 获取口令文件 B 网络监听 C 组合破解 D 以上三种都行5、木马入侵的常见方法有（ ）A 捆绑欺骗 B 假冒网站 C 危险下载 D 打开邮件的附件6、数据恢复主要方法包括（ ）A 瞬时复制技术 B 远程磁盘镜像技术 C 数据库恢复技术 D 系统还原技术7、关于安全审计的说法正确的是（ ）A 安全审计是计算机和网络安全的重要组成部分B 安全审计提供的功能服务于直接和间接两方面的安全目标C 安全审计的直接安全目标包括跟踪和监测系统中的异常事件D 安全审计的直接安全目标是监视系统中其他安全机制的运行情况和可信度四、简答题1、简述电子商务面临的信息安全问题2、电子商务信息安全需求有哪些？3、防御电子商务系统免受病毒木马感染的措施有哪些？4、什么是信息安全评估，如何计算信息安全风险？5、简述电子商务信息安全评估的基本流程。五、论述题1、查阅相关资料，分析主流数据备份系统的结构、功能及其实现方案。2、依据自己所熟悉的某一个信息安全评估标准或规范，完成对某个电子商务系统（如淘宝网）的信息安全风险评估，并撰写规范的信息系统评估报告。 第七章 电子商务的网络安全一、名词解释1、网络安全 2、网络攻击 3、入侵检测4、访问控制 5、VPN 6、网络安全评估二、单项选择题 1、拒绝服务攻击是（ ）A 用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击B 全称是 Distributed Denial Of ServiceC 拒绝来自一个服务器所发送回应请求的指令D 入侵控制一个服务器后远程关机2、网络监听是（ ）A 远程观察一个用户的计算机 B 监视网络的状态、传输的数据流C 监视 PC 系统的运行情况 D 监视一个网站的发展方向3、黑客入侵的常用手段是（ ）A 口令设置 B 邮件群发 C 窃取情报 D IP 欺骗三、多项选择题1、访问控制的类型包括（ ）A 基于任务的访问控制 B 基于对象的访问控制C 基于角色的访问控制 D 基于策略的访问控制 2、防火墙一般部署在（ ）和（ ）之间A 外部网络 B 局域网 C 内部网络 D 互联网3、传统防火墙的类型有（ ）A 包过滤型 B 远程磁盘镜像技术 C 地址转换D 应用网关 E 代理型 F 状态监测4、属于被动攻击的恶意网络行为有（ ）A 缓冲区溢出 B 网络监听 C 端口扫描 D IP 欺骗5、入侵检测的过程包括（ ）A 信息采集 B 植入木马 C 信息分析 D 结果处理6、入侵检测的方法主要有（ ）A 静态配置分析 B 异常性检测 C 基于行为的检测 D 站点仿冒四、简答题1、简述电子商务网络系统常见的安全威胁2、简述防火墙的体系结构和主要功能3、简述入侵检测的过程和基本方法4、防火墙与 VPN 之间的本质区别是什么五、论述题针对当前电子商务网络系统所面临的安全问题，分析采用哪些安全技术和设备可以保障电子商务网络系统的安全性和可靠性 第八章 电子商务安全管理 一、名词解释1、安全管理 2、风险管理 3、信用管理 4、信用评价5、风险感知 6、道德风险 7、支付风险 8、隐私风险二、单项选择题1、计算机系统的物理安全是指保证（ ）A 安装的操作系统安全 B 操作人员安全C 计算机系统各种设备安全 D 计算机硬盘内的数据安全2、电子商务风险管理的目标是（ ）A 构建安全的电子商务网络系统 B 以最小的成本获得最大安全保障的管理活动C 构建诚信的电子商务交易环境D 杜绝一切安全隐患3、电子商务的信用问题主要是由于（ ）造成的A 计算机系统 B 电子商务从业人员C 电子商务信息的不对称性 D 木马病毒三、多项选择题1、风险管理的过程包括（ ）A 风险识别 B 风险评估 C 风险控制 D 选择风险处理方法和效果评价2、信用风险包括（ ）A 买方造成的信用风险 B 买方造成的信用风险C 买卖双方都可能造成的风险 D 支付平台造成的信用风险3、信用管理模式包括（ ）A 政府网络公证计划模式 B 电子商务企业网络信用模式C 网站经营模式 D 委托授权模式 四、简答题1、阐述电子商务所面临的安全风险和信用威胁2、简述电子商务安全评估的基本流程和方法3、典型的电子商务风险控制理论包括哪几个？分别简述其基本思想五、论述题网购消费者如何识别和避免电子商务交易过程中可能遭遇的信用风险和系统安全威胁？ 第九章 移动电子商务安全 一、名词解释1、移动电子商务 2、移动电子商务安全 3、WPKI 4、STK二、单项选择题1、下面哪一项不是 KSL 安全协议的子协议（ ）A 商家注册协议 B 改变密码规范协议 C 支付协议 D 报警协议2、下面关于 WTLS 协议与 TLS 协议说法错误的是（ ）A TLS 协议可以对上层协议的数据包进行分组，而 WTLS 不支持数据的分组和重装B WTLS 协议可使用 X.509 系列数字证书C 与 TLS 协议相比，WTLS 协议对客户端性能的要求较高D WTLS 定义了新的专为移动设备使用的数字证书3、按一定的规律在平面上采用黑白相间的图形来记录信息的技术是（ ）A 认证码 B 二维码 C 图形验证码 D 一维码 三、多项选择题1、WPKI 的构成部分有（ ）A 终端实体应用程序 B 电子商务安全协议 C 注册机构D 认证机构 E PKI 目录2、WTLS 安全协议的协议层包括（ ）A 握手协议层 B 记录协议层 C 报警协议层 D 改变密码规范协议层3、iKP 协议包括（ ）A 1KP B 2KP C 3KP 4KP四、简答题1、简述我国移动电子商务安全的现状。与传统电子商务相比，移动电子商务有哪些特殊的安全需求？2、比较 WPKI 技术与 PKI 技术的异同之处3、简述二维码技术在电子商务中的主要用途，并分析二维码加密的基本过程与作用4、移动电子商务交易过程中，应注意采取哪些措施保障顺利完成电子商务交易过程？5、如何保障移动电子商务的信息安全和物理安全。五、论述题查阅相关资料，分析 LTE 技术的应用将给移动电子商务安全带来哪些影响？ 无变动，还能确保传输电子的完整性、真实性和不可抵赖性，从而使信息在开放的互联网上安全传输。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。每个用户自己设定一把特定的仅为本人所有的私钥，用它进行解密和签名；同时设定一把公钥并由本人公开，为一组用户所共享，用于加密和验证数字签名。当发送一份文件时，发送方使用接收方的公钥对数据加密，而接收方则用自己的私钥解密，这样信息就可以安全无误地到达目的了。4. 阐述数字签名与电子签名的不同之处。答案要点：数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成的电子密码进行签名，以代替书写签名和印章，不仅能验证出文件的原文在传输过程中有无变动，还能确保传输电子的完整性、真实性和不可抵赖性，从而使信息在开放的互联网上安全传输。电子签名是指数据电子公文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗地来说，电子签名就是能够在电子文件中识别起草人身份、保证传输安全、起到与手写签名或者盖章同等作用的电子技术手段；也就是通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图像化，它类似于手写签名或印章的功能。5. 用户身份认证的主要目标是什么？常用的方法有哪些？答案要点：身份认证的主要任务是检验系统用户身份的合法性和真实性。常用的身份认证方式主要有以下几种：（1）基于用户名/密码的认证方式；（2）基于动态口令的认证方式；（3）基于智能卡的认证方式；（4）基于数字证书的认证方式；（5）基于生物特征的认证方式五、论述题1．以非对称加密技术为例，论述数据加密和解密的基本过程。答案要点：非对称加密技术的基本思想是：接收方生成一对密钥并将其中一把密钥作为公开密钥向发送方公开，得到该公开密钥的发送方使用该密钥对需要传输的机密数据信息进行加密后再发送给接收方，接收方再使用自己保存的私有密钥对所接收到的密文进行解密，即可到相应的原文信息。2．查阅相关资料，分析个人网上银行、支付宝、财付通等分别采用了哪些安全技术，这些安全技术分别有什么作用。答案要点：（1）数据加密技术；（2）身份认证技术；（3）数字证书第 3 章 电子商务安全协议一、名词解释1．安全超文本传输协议：是对 HTTP 协议扩充安全特性，以应用安全套接层协议（SSL）或安全传输层协议（TLS）作为 HTTP 应用层子层，向 WWW 应用提供完整性、鉴别、不可抵赖性及机密性等安全措施，可对用户请求页面和由 Web 服务器返回的页面进行加密与解密，以可防止窃听及中间人攻击的发生。2．电子邮件安全协议：是为解决电子邮件的加密传输、发送者身份验证、错发用户收件无效等问题的协议。3．SSL 协议：是为网络通信提供安全及数据完整性服务的安全协议，都是在传输层对网络连接进行加密。4．SET 协议：采用公钥密码体制和 X.509 数字证书标准，协议设计严格、安全性高，能够保证信息传输的机密性、真实性、完整性和不可否认性。 5．TLS 协议：是一种用于基于会话的加密和认证的 Internet 协议，它在客户和服务器两个实体之间提供了一个安全通信信道。TLS 协议分为记录协议和握手协议两层。二、单项选择题1．C 2．C 3．A三、多项选择题1．ABCD 2．ABCD 3．ABCDE四、简答题1．常用的电子商务安全协议主要有哪些？答 案 要 点 ： （ 1 ） 电 子 邮 件 协 议 ； （ 2 ） 安 全 超 文 本 协 议 ； （ 3 ） SSL/TLS ；（4）SET；（5）EDI2．SSL 协议与 SET 的区别与联系是什么？答案要点：3. 公钥基础设施（PKI）提供的服务主要有哪些？答案要点：4. 什么是数字信封？数字信封的实现过程包括哪几个基本步骤？答案要点：5. SSL 协议与 SET 协议的相同点和不同点是什么？答案要点：安全套接层协议（SSL）及其继任者传输层安全协议（TLS）是为网络通信提供安全及数据完整性服务的安全协议，都是在传输层对网络连接进行加密。SET 协议采用公钥密码体制和 X.509 数字证书标准，协议设计严格、安全性高，能够保证信息传输的机密性、真实性、完整性和不可否认性。 SET 协议主要由 3 个文件组成，分别是 SET 业务描述、SET 程序员指南和 SET 协议描述。SET 协议的目标是确保信息在任何网络上的安全传输，保证网上传输的数据不被黑客窃取。6. 简述 EDI 协议的工作流程。答案要点：这里以订单与订单回复为例，分析 EDI 协议的工作流程：（1）制作订单：将所有必要的信息以电子形式存储下来，同时产生一份电子订单。（2）发送订单：买方将制作好的订单通过 EDI 系统传输给供货商，此订单实际上是发向供货商的电子信箱的，它先存放在 EDI 交换中心，等待来自供货商的接收指令。（3）接收订单：供货商使用邮箱接收指令从 EDI 交换中心自己的电子信箱中收取全部邮件，其中包括来自买方的订单。（4）签发回执：供货商收到买方订单后，使用自己计算机上的订单处理系统，为来自买方的电子订单自动产生一份回执，经供货商确认后，此电子订单回执被发送到 EDI 通信网络，再由 EDI 交换中心存放到买方的电子信箱中。（5）接收回执：购买方使用邮箱接收指令从 EDI 交换中心自己的电子信箱中收取全部邮件，其中包括供货商发来的订单回执。五、论述题1．如何利用电子邮件安全协议确认电子邮件的来源是可信的？答案要点：（1）前向安全性在电子邮件传输过程出现密钥泄漏之前，所有通信会话（密钥）的安全性不会受到威胁。（2）时效性协议实体的消息有效期具有一定的时间界限，一旦超过时间界限，协议的参与方无法参与该次的协议通讯，可以保证邮件的接受方不能收取或查看邮件服务器上超过有效期的 邮件。（3）敏感性协议的接收方不能永久保存敏感的协议通讯记录。（4）可认证性协议的参与方可以认证和验证对方参与协议通讯，并且参与方均能获得对方参与通讯的证据。2．通过网络查阅相关资料，论述 EDI 协议在电子商务活动中的实际应用，并对其应用的效果进行分析。答案要点：在国际贸易活动中使用 EDI 协议，可以将原料采购与生产制造、定货与库存、市场与销售及银行、保险、运输等诸多业务环节有机地联系起来，集先进技术与科学管理为一体，用最短时间去完成贸易过程，获得明显的经济效益和社会效益。电子商务企业应用 EDI 系统之后，将会获得以下几个方面的效益。（1）实现无纸贸易纸面贸易因其弊端较多，已成为阻碍电子商务发展的重要因素。EDI 系统的应用可减少大量纸张、表格和文件的往来，以电子文件取代传统的书面文件，实现无纸贸易，可克服纸面贸易的弊端。（2）变革贸易方式EDI 系统的使用将引起企业运营机制的变革，使各贸易伙伴间的业务环节更加协调，促使资金流动、库存、成本和客户服务等得到改善。（3）降低成本EDI 系统的使用可去除对纸面文件的打印、审核、修改、邮寄等花费，降低文件处理成本和企业运营成本。（4）提高工作效率和竞争能力电子商务企业应用 EDI 系统后，可使订单以最快的速度接收、处理和传输，不仅取代了企业的采购、生产、规划、会计和运输等过程，而且简化了信息处理流程，信息传递过程中无须人为干扰，提高了信息的可靠性和质量。（5）提高管理和服务质量的重要手段将 EDI 与企业内部的仓储管理系统、自动补货系统、订单处理系统等企业 MIS 系统集成使用之后，可以实现商业单证快速交换和自动处理，简化采购程序，减低营运资金及存货量，改善现金流动情况等，也使企业可以更快地对客户的需求进行响应。（6）优化企业资金管理EDI 的使用可很好地控制在合适的时间购买材料，从而很好地计划现金支出。EDI 采用电子方式传输发票，实现发票的连续处理，供应商知道货款何时从账户转出，供应商和客户知道货款何时存入自己的账户，使交易双方能更好地计划资金的使用。第 4 章 电子商务的交易安全一、名词解释1．团购: 团购（Group purchase）就是团体购物，指认识或不认识的消费者联合起来，加大与商家的谈判能力，以求得最优价格的一种购物方式。根据薄利多销的原理，商家可以给出低于零售价格的团购折扣和单独购买得不到的优质服务。2．物流配送: 物流配送,英文 logistics distribution，按照客户的要求，经过分货、拣选等货物配备工作，把最终产品从生产线的末端到消费者手中的移动和存储过程。3．B2C：B2C 是英文 Business-to-Customer（商家对顾客）的缩写，即企业通过互联网 为消费者提供一个新型的购物环境网上商店，消费者通过网络在网上购物、在网上支付。由于这种模式节省了客户和企业的时间和空间，大大提高了交易效率。4．F2C：F2C 指的是 Factory to consumer 即从工厂到消费者，是一种先进的商业模式。F2C 模式是品牌公司把设计好的产品交由工厂代工后直接通过终端送达消费者，流通路径最短，这样可确保产品低价，同时质量服务都有保证。采用这个模式的成功典范有：魅族宜家、迪卡侬、乐豪斯、ZARA、H&M 等。它们为消费者提供了最具性价比的产品，为消费者带来了价值最大化。二、单项选择题1．A 2．A 3．D三、多项选择题1．ABC 2． ACD 3．ABC四、简答题1．简述电子商务交易安全的现状，举例说明电子商务交易过程最常见的骗术有哪些。答案要点： 在电子商务飞速发展给人们带来巨大便利的同时，也带来了许多交易安全问题，如 1交易者身份的不确定性带来的问题；2 电子商务交易过程中的买卖双方不守信用；3 物流配送过程中的安全威胁；4 交易者的个人隐私安全威胁等。电子商务交易过程最常见的骗术有：1 钓鱼网站，如假冒银行网站、假冒保险公司网站、假冒淘宝网站、假冒网络游戏网站等骗取账号密码信息；2 买家拿货开溜：有的买家谎称自己不会使用支付宝，收到货后用银行汇款，只要货一发出，这买家就人间蒸发； 3利用木马和黑客技术盗取客户资金。2．简述电子商务交易的基本流程。答案要点：电子商务交易过程大致可分为以下 3 个阶段：交易前、交易中、交易后。1．交易前该阶段主要是指买卖双方和参与交易各方在签约前的准备活动，包括在各种商务网络和因特网上寻找交易机会，通过交换信息来比较价格和条件，了解各方的贸易政策，选择交易对象等。2．交易中买卖双方利用电子商务平台就交易细节进行网上商议，明确各方的权利和义务以及商品的种类、数量、价格、配送地址、交易方式、违约和索赔等事宜，形成交易订单或交易合同。同时，买家将货款通过网银、第三方支付平台等支付给卖方。3．交易后卖方依据所达成的交易订单或交易合同进行备货、发货，买卖双方对已经发出的货物进行跟踪。同时，银行和金融机构按照交易订单或交易合同处理双方的首付款，直到买方收到货物、卖方收到货款时，整个交易过程结束。3．电子商务交易安全体系包括哪几个构成部分？答案要点：一个完整的电子商务交易安全体系至少应包括技术、管理和法律法规 3 类安全措施，并且三者缺一不少。 1．技术措施包括使用容错计算机系统或创造高可用性的计算机环境，以确保信息系统保持可用及不间断动作；使用防火墙和入侵侦测系统协助防卫专用网络避免未授权者的存取；使用加密技术来确保因特网上传输的安全；使用数字证书确认使用者的身份等。2．安全管理措施包括 1)定期备份制度。网站应当对重要文件、数据、操作系统及应用系统作定期备份，以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。2)口令管理制度。网站应当设置网站后台管理及上传的登录口令。口令的位数不应少于 12 位，且不应与管理者个人信息、单位信息设备（系统）信息等相关联。3)服务器和网站定期检测制度。网站应及时对网站管理及服务器系统漏洞进行定期检测，并根据检测结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级，以防黑客利用系统漏洞和弱点非法入侵。4)应急响应制度。网站应当充分估计各种突发事件的可能性，做好应急响应方案。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。5)安全事件报告及处理制度。网站在发生安全突发事件后，除在第一时间组织人员进行解决外，应当及时向上级报告。3．法律法规措施 法律是信息网络安全的制度保障.离开了法律这一强制性规范体系，信息网络安全技术和营理人员的行为，都失去了约束.即使有再完善的技术和管理的手段，都是不可靠的. 一方面.它是一种预防手段;另一方面。它也以其强制力为后盾。为信息网络安全构筑起最后一道防线。五、论述题1．结合自己的电子商务实践经历，论述如何避免电子商务交易过程中可能遇到的安全问题。答案要点： 论述题可以从网络买家和卖家两个角度进行讨论。1 买家角度 1）强化安全观念，进行在线交易不能对安全抱有侥幸心理，不能盲目地相信交易系统 2）确保密码安全，密码需要有足够的长度并及时更新，使用字母和数字混合的密码，尽量使用网站提供的软键盘输入交易密码时 3）杜绝交易电脑的记忆功能，并且养成每完成一次交易就立即清除交易记录的良好习惯 4）交易过程中发现计算机异常时应及时中断交易在网上交易时 5）尽量在知名的电子商务平台购物，不上不知名的网站，更不能贸然下载和运行来历不明的程序。2 卖家角度1）不轻易接受买家传来的文件或打开未知的网址，防范木马攻击 2）运营系统电脑不要访问境外一些不甚了解的网站，更不能贸然下载和运行来历不明的程序 3）采取各种技术手段保证网站系统的可靠性和可用性（如数据备份，防火墙和入侵检测）4）建立各种安全管理制度（如人员管理制度，口令管理制度，应急响应制度和安全事件报告及处理制度）5）尽量使用支付宝等第三方支付工具进行交易。2．从技术和管理两个方面，论述如何构建一个令消费者满意的电子商务物流配送体系。答案要点：首先,实现物流配送手段机械化、自动化和现代化。物流配送采用机械化、自动化、现代化的储运设备和运载工具,如立体仓库、旋转货架、自动分拣输送系统、悬挂式输送机等高效、多功能的物流机械。其次,实现物流配送管理现代化、规范化、制度化。采用现代化的管理理念、管理技术和管理手段 ,改革和优化物流企业现有组织结构。物流配送企业制定科学、规范的操作规程和管理制度 ,建立、健全科学的管理体制,提高物流的管理水平、服务水平以及物流从业人员的素质和技术水平。最后,实现物流配送信息化。物流配送信息化表现为:物流信息收集的数据库化和代码化、物流信息处理的电子化和计算机化、物流信息传递的标准化和实时化、物流信息存储的数字化等。第 5 章 电子商务支付安全一、名词解释 1．电子货币：又称为电子通货、数码货币、电子现金等，是以计算机技术、通信技术、金融机具、商业机具等为基础，以银行卡（磁卡和 IC 智能卡）和电子资金传输系统为基本载体，通过电子信息转账系统存储、转移、支付、结算等过程完成支付的无形货币资金。2．虚拟货币：虚拟货币是网络企业以公用信息网为基础，以计算机技术和通信技术为手段，以数字化的形式存储在网络或有关电子设备中，并通过网络数据传输实现流通和支付的网上等价物。3．代金券：也称为现金券，是商家发行的一种优惠卷，可在其发行商家经营的店子购物时抵扣等值的现金，是一种短期刺激消费者的工具，与长期吸引顾客的积分共同构成了日常网络营销的基本工具.4．积分：是电子商务企业为提升老顾客的忠诚度和网站的影响力而实施的一种奖励措施，当消费者购买商品、评价商家或商品与服务时都可以根据其参与情况积累一定数量的积分，并且这些积分可在网购时抵用一部分电子货币，甚至可以直接将积分兑换成可在特定平台上替代法币的代金券。5．电子支付：又称为电子结算，是以金融网络为基础，以商用电子化工具和各类电子货币为媒介，并且以计算机技术和通信技术为手段，通过电子数据存储和传递的形式在通信网络系统上实现资金的流通和支付。6．移动支付：是以银行卡账户为资金支持，以智能手机、PDA、平板电脑等移动通信终端作为交易工具，通过短信、语音、WAP、移动 Web 等无线方式完成购物消费、代缴费、转账、账户余额查询等操作并得到交易结果通知和账户变化等通知的一种新型支付方式。7．电话支付：是电子支付的一种线下实现形式，是指消费者使用固定电话、手机、平板电脑或其他类似电话的终端设备，基于公共交换电话网络（PSTN）与金融机构清算系统，通过电话支付终端向用户提供自助支付、自助金融等电子支付服务的电信增值业务。8．电视支付：是由广电网络公司主导，基于双向互动电视网络，以数字电视机顶盒为支付终端，安全、便捷地使用个人账户向第三方完成在线支付的过程。9．电子现金：又称为数字现金，是以数据形式存在的现金货币，它使用一系列加密序列数来表示现实中各种金额的币值，是一种数据形式流通的货币，不具备实物特征。10．电子支票：是客户向收款人签发的、无条件的数字化支付指令，可以通过因特网或无线接入设备来完成传统支票的所有功能。二、单选题1. D 2. D 3. C三、多项选择题1．ACDE 2．ABCDE 3. ABC 4. ABCD四、简答题1．电子货币与虚拟货币的区别是什么？答案要点：（1）发行主体与信用保证电子货币的发行机构是各类金融机构，一般要取得金融业务经营许可证，并接受中央银行和银监会的监管，其发行电子货币的目的是为社会提供更多更方便的交易媒介，并非为了销售自己提供的非金融产品。虚拟货币的发行者不是金融机构，而是普通网络企业或者公用事业机构。发行法币预付充值型虚拟货币主要是为了销售发行商提供的非金融商品与服务，如腾讯公司发行 Q 币是为了销售其提供的 QQ 附加服务，如 QQ 会员、QQ 秀等。（2）支付方向与支付范围支付范围与支付方向两个方面的差异使得电子货币是真正的货币，而虚拟货币不是真 正的货币。根据支付工具的支付方向，可以分为单向支付工具与双向支付工具。2．简述基于第三方支付平台的电子商务支付流程。答案要点：第三方电子支付平台的基本工作流程如下：（1）卖方在电子商务平台上发布自己的商品信息，包括产品的名称、规格、包装、图片、性能说明、价格、运输方式及运费、服务承诺等。（2）买方在电子商务平台上浏览所需商品或服务，通过即时聊天工具、电话等工具与卖方进行沟通，确定商品规格、数量，商定价格和物流等。（3）买方和第三方以替代银行帐号的某种电子数据的形式传递支付账户信息，避免持卡人将银行信息直接透露给卖方。（4）第三方支付平台在收到货款后通知卖方发货给买方。（5）卖方接到第三方支付平台发货通知后，立即按约定方式发货。（6）如果买方收到所购货物并检查满意，便通知第三方支付平台付款给卖方。如果买方对所收到的货物不满意，则可以申请退款，并将货物退还给卖方。（7）第三方支付平台得到买方的付款指令后，将货款划给卖方。如果第三方支付平台收到的是卖方确认退款的指令，则将货款退还给买方。3. 目前电子商务支付面临的安全问题有哪些？其影响因素包括哪些方面？答案要点：电子商务支付面临的安全问题有（1）支付密码泄漏、（2）支付数据篡改、（3）支付各方身份的确认、（4）支付行业标准不统一、（5）支付信用风险、（6）支付系统的安全性、（7）支付隐私泄露、（7）支付安全监管体系不健全影响因素包括：（1）来自银行合作单位的安全隐患、（2）来自不信任区域的安全隐患、（3）来自互联网的安全隐患、（4）来自内部网的安全隐患、（5）来自安全管理的安全隐患五、论述题1. 根据央行发布第三方支付牌照的相关规定，论述如何加强对电子商务支付的安全监管？答案要点：完善电子商务支付监管机制，构建安全高效的电子支付监管体系，对电子商务支付服务提供商进行有效的管理与控制，防止电子支付相关的金融风险。首先，认证落实《非金融机构支付服务管理办法》，不断完善电子支付行业的准入制度。其次，加强对网上银行和第三方支付机构的监管，明确网上银行业务的终止条件、清算办法等，规范电子货币市场。第三，第三方支付平台运营商应制定完善的管理制度、操作规范、风险控制措施等，不断完善自身的信用管理与评价体系，确保滞留资金的安全和支付的效率。同时，第三方支付平台的资金流动应接受中国人民银行的监督，有责任及时汇报可疑交易并保存所有交易记录以备审查。2. 根据电子商务安全支付安全需求，以支付宝、财付通、银联在线支付、快钱、易宝支付、环迅支付为例，比较分析其在支付方面的安全性。答案要点：（1）支付流程；（2）支付协议；（3）数字证书第 6 章 电子商务的信息安全一、名词解释1．信息安全：信息安全是对信息系统的硬件、软件及系统中的数据进行安全保护，检查对信息系统面临的安全威胁以及信息系统本身存在的脆弱性，使其不会因偶然或者恶意