电子商务安全与风险管理重点 《整理》

电子商务安全与风险管理重点

1、 PKI基本概念

PKI是public key infrastracture缩写，即公钥基础设施,是一种运用公钥的概念与技术来实施并提供安全服务的具体普遍适用性的网络安全基础设施。 2、 VPN概念与作用

概念：VPN是Virtual Private Network的缩写，中文译为虚拟私有网络，指的是构建在Internet上，使用隧道及加密建立一个虚拟的、安全的、方便的及拥有自主权的私人数据网络。VPN虽然构建在公用数据网上，但是企业可以自主地管理和规划自己的网络，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。

作用：（1）通过Internet实现远程用户访问（2）通过Internet实现网络互连 （3）连接企业内部网络计算机 3、 SET交易方与流程

SET协议中的角色有：（1）持卡人（Cardholder）、（2）发卡机构（Card Issuer）、（3）商家（Merchant）（4）收单银行（Acquiring Bank）、（5）支付网关（Payment Gateway）、（6）认证中心（Certificate Authority，CA） 流程：

4、CA，RA概念、作用、区别

腹有诗书气自华

精品文档 你我共享

一个完整的认证中心一般包括三个基本组成部分,既:认证服务器RS,注册中心RA和认证中心CA。

CA作用：是负责管理密钥和数字证书的整个生命周期。接收并验证最终用户数字证书的申请；证书审批，证书签发，证书更新， 接收最终用户数字证书的查询、撤销；产生和发布证书废止列表(CRL)，验证证书状态；提供OSCP在线证书查询服务，验证证书状态；提供目录服务，可以查询用户证书的相关信息；下级认证机构证书及帐户管理；数字证书归档；认证中心CA及其下属密钥的管理；历史数据归档；

注册机构RA：是用户（个人/团体）和认证中心CA之间的一个接口。接受用户的注册申请，获取并认证用户的身份，完成收集用户信息和确认用户身份。 作用：自身密钥的管理，包括密钥的更新、保存、使用、销毁等；审核用户信息；登记黑名单；对业务受理点的LRA的全面管理；接收并处理来自受理点的各种请求。

RA与CA的区别是：RA一般只负责证书申请的审批，它通常是金融机构，如持卡人发卡行或商户的收单行。而CA则是负责证书的颁发，是被信任的部门。在证书申请被审批部门RA批准后，认证中心CA通过注册服务器RS将证书发放给申请者。

5、SSL协议概念作用

概念：Internet上对应的七层网络模型的每一层都已经提出了相应的加密协议。SSL是工作于网络会话层（Socket Layer）的网络安全协议。SSL提供的安全通道会将双方传输的数据全部加密，这样就保证了数据在传输的过程中不能被恶意的窃取和更改。

作用：（1）提供认证服务（2）提供加密服务（3）保证数据的完整性 6、数字证书概念，包含哪些组成内容？

数字证书(Digital ID)又叫“网络身份证”、“数字身份证”；由认证中心发放并经认证中心数字签名的；包含公开密钥拥有者以及公开密钥相关信息的一种电子文件；可以用来证明数字证书持有者的真实身份。是PKI体系中最基本的元素；证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性

腹有诗书气自华

精品文档 你我共享

组成内容：版本号；序列号；签名算法标识符；认证机构；有效期限：证书开始生效期和证书失效日期；主题信息；认证机构的数字签名；公钥信息； 7、数字签名如何实现的？

数字签名含义：是通过一个散列函数对要传送的报文进行处理而得到的用来认证报文来源，并核实报文是否发生变化的一个字符数字串。 如何实现：1、用非对称加密算法（RSA算法）进行数字签名

①发送方首先用公开的散列函数对报文进行一次变换，得到数字签名，然后利用私有密钥对数字签名进行加密后附在报文后同时发送

②接收方用发送方的公开密钥对数字签名进行解密，得到一个数字签名的明文。 ③接收方将得到的明文通过散列函数进行计算，也得到一个数字签名，再将两个数字签名比较。如果相同，则证明签名有效；如果不同，则说明签名无效 2.使用对称加密算法（IDEA算法）进行数字签名 8、RSA签名

RSA公开密钥密码签名。一种加密算法签名，所谓的公开密钥密码就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码 9、加密解密

密钥是由数字、字母或特殊符号组成的字符串组成的，用来控制加解密的过程。加密密钥（Encryption Key），简称为ke；解密密钥(Decryption Key)，简称为kd 10、链路加密

链路加密方式，是一种把网络上传输的数据报文每一比特都进行加密，但是只对通信链路中的数据进行加密，而不对网络节点内的数据加密的网络加密方法。 11、公钥私钥

在现代密码中加密和解密是采用不同的密钥（公开密钥），也就是非对称密钥密码系统，每个通信方均需要两个密钥，即公钥和私钥，这两把密钥可以互为加解密。公钥是公开的，不需要保密，而私钥是由个人自己持有，并且必须妥善保管和注意保密。1. 一个公钥对应一个私钥。2. 密钥对中，让大家都知道的是公钥，不告诉大家，只有自己知道的，是私钥。3. 如果用其中一个密钥加密数据，则只有对应的那个密钥才可以解密。4. 如果用其中一个密钥可以进行解密

腹有诗书气自华

精品文档 你我共享

数据，则该数据必然是对应的那个密钥进行的加密。 12、电子钱包

电子钱包是一种具有存取款和转账消费功能的智能卡。

电子钱包的特点（1）保证匿名（2）安全性 。允许用户锁定一张给定卡上的价值，以防丢失（3）具有现金货币所具有的诸多属性 13、网络支付

网络支付是指电子交易的当事人，包括消费者、厂商、和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转。主要包括有电子货币类，电子信用卡类，电子支票类。

电子支付，指的是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以计算机技术和通信技术为手段，以电子数据形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付 14、电子商务安全需求有那些点？什么是不可否认业务？ 术语 定义 保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。 防止信息在传输过程中丢失和重复以及非法用户对信息的恶意篡改。 确保交易信息的真实性和交易双方身份的合法性 保证系统、数据和服务能由合法人员访问 有效防止通信或交易双方对已进行的业务的否认 保密性（security） 完整性（integrity） 认证性（authenticity） 可控性（access control） 不可否认性（non-repudiation）

电子商务安全问题：

（1）信息安全问题 信息泄密、信息篡改、信息丢失、信息破坏 （2）信用安全问题

（3）安全的管理问题，需要有完善的管理制度和相关的技术支持。 （4）安全的法律保障问题

1.系统实体安全，实体安全由三个部分组成：环境安全、设备安全和媒体安全。

腹有诗书气自华

精品文档 你我共享

2.系统运行安全，电子商务系统的运行安全涉及到四个方面：风险分析、审计跟踪、备份与恢复和应急措施。

3.信息安全，信息安全要确保信息的完整性、保密性、可用性和可控性。信息安全由七个部分组成：

（1）操作系统安全（2）数据库安全（3）网络安全（4）计算机病毒防护 （5）访问控制（6）加密（7）鉴别 其中的不可否认业务

鉴别是指提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方（包括用户，设备和进程）真实身份的鉴别；信息鉴别是提供对信息的正确性，完整性和不可否认性的鉴别。 15、安全电子邮件证书

安全电子邮件证书是结合使用数字证书和S/MIME技术，对普通电子邮件做加密和数字签名处理，确保电子邮件内容的安全性、机密性、发件人身份确认性和不可抵赖性。支持高强度加密算法、数字证书生命周期检测、数字证书在线挂失和撤消服务、支持长有效期证书等 16、网络威胁类型，防范策略

(1)网络协议和软件的安全缺陷(2)黑客攻击手段多样3)计算机病毒(4)计算机网络和软件核心技术不成熟(5)安全意识淡(6)身份信息窃取(7)网络钓鱼诈骗(8)间谍软件(9)Botnet (10)分布式拒绝服务 (DDoS)

1、防火墙，防火墙是内部网络与外部网络之间的接口，是在其内部嵌入了保护内部网络计算机的安全策略。2、入侵防御系统IPS对网络及网络设备的传输行为进行实时监视，在恶意行为被发动时及时进行阻止3、病毒防护 ，主要包括计算机病毒的预防、检测与清除。4、访问控制，。进行访问控制的目的是保证网络资源不被非法使用和非法访问。5、加密技术6、系统备份7、完善安全管理制度，除了运用各种安全技术之外，还要建立一系列安全管理制度 17、什么是备份？什么是恢复？计算机病毒及类型，防火墙及类型

所谓备份，就是把数据库复制到转储设备的过程。其中，转储设备是指用于放置数据库拷贝的磁带或磁盘。通常也将存放于转储设备中的数据库的拷贝称为原数据库。

腹有诗书气自华

精品文档 你我共享

所谓恢复，就是把数据库由存在故障的状态转变为无故障状态的过程。根据出现故障的原因，恢复分为两种类型： 实例恢复、介质恢复。 计算机病毒的特征

传染性 、破坏性 、潜伏性、隐蔽性

计算机病毒的类型：（1）按病毒的传染方式来分：引导型病毒、文件型病毒及混合型病毒三种 （2）按病毒的破坏程度来分：良性病毒、恶性病毒、极恶性病毒和灾难性病毒四种

防火墙：介于内部网络和不可信任的外部网络之间的一系列部件的组合，它是不同网络或网络安全域之间信息的唯一出入口，根据企业的总体安全策略控制（如允许、拒绝）出入内部可信任网络的信息流，而且防火墙本身具备很强的抗攻击能力，是提供信息安全服务和实现网络和信息安全的基础设施 。 类型：数据包过滤型防火墙、代理服务型防火墙和状态检测型防火墙 18、数据库威胁有哪些，应该如何防范？《防范措施自己写吧》

威胁：滥用过高权限、滥用合法权、权限提升、平台漏洞、SQL 注入、审计记录不足、拒绝服务、数据库通信协议漏洞 、身份验证不足、备份数据暴露、 19、电子商务法律法规意义《自己发挥，找不到》 相关知识：

1.保障交易各方身份认证的法律电子交易的各方都需要拥有和证明自己的合法身份，通过设立在交易参与方之外的，第三方的公正机构（CA中心）可以达成这样的目标，即取得由数字证书认证中心签发的数字化的证书，在交易的各个环节，交易的各方都可以检验对方数字证书的有效性

2.电子合同的法律地位电子商务活动中，电子合同的有效性、电子签章和数字签名的有效性是各国共同关注的法律问题。需要制定有关法律对电子合同的法律效力、数字签名、电子商务凭证的合法性予以确认；需要对电子商务凭证、电子支付数据的伪造、变更、涂销做出相应的法律规定。 、

3.电子商务的消费者权益保护的法律 网络环境下，消费者的保护问题更主要地表现为要赢得消费者的信任。消费者权益保护的另一个重要内容是保护个人隐私、秘密。

4.网络知识产权保护的法法律：由于在互联网上知识产权的主要表现是信息，保

腹有诗书气自华

精品文档 你我共享

护的难度相对比较大。 网络对知识产权的保护提出了新的挑战，在研究技术保护措施时，还必须建立适当的法律框架，以便侦测仿冒或欺诈行为，并在上述行为发生时提供有效的法律援助。

出师表

两汉：诸葛亮

先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。

宫中府中，俱为一体；陟罚臧否，不宜异同。若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。

侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。

将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。

亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也

。

臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。后值倾覆，受任于败军之际，奉命于危难之间，尔来二十有一年矣。

先帝知臣谨慎，故临崩寄臣以大事也。受命以来，夙夜忧叹，恐托付不效，以伤先帝之明；故五月渡泸，深入不毛。今南方已定，兵甲已足，当奖率三军，北定中原，庶竭驽钝，攘除奸凶，兴复汉室，还于旧都。此臣所以报先帝而忠陛下之职分也。至于斟酌损益，进尽忠言，则攸之、祎、允之任也。

愿陛下托臣以讨贼兴复之效，不效，则治臣之罪，以告先帝之灵。若无兴德之言，则责攸之、祎、允等之慢，以彰其咎；陛下亦宜自谋，以咨诹善道，察纳雅言，深追先帝遗诏。臣不胜受恩感激。

今当远离，临表涕零，不知所言。

腹有诗书气自华

精品文档 你我共享

腹有诗书气自华