参考答案
第1章 电子商务支付与安全概述
一、名次解释
1、Internet:Internet即“国际互联网,又称为因(英)特网、国际网,是一个规模庞大的数据通讯网络,由遍布世界各地的计算机网络和计算机通过电话线、卫星及其他远程通讯系统以TCP/IP协议进行彼此通讯的相互连接的计算机网络的集合。”它采用分组交换和异种机互联的TCP/IP协议,将各种不同的计算机、软件平台、网络连接起来,从而实现了资源共享。在这个规模庞大的网络中,包括独立的计算机、局域网(LANs)、城域网(MANs)与广域网(WANs)等。
2、电子商务:从狭义上理解,电子商务就是企业通过业务流程的数字化、电子化与网络化实现产品交易的手段。从广义上理解,电子商务泛指基于Internet的一切与数字化处理有关的商务活动。
3、电子交易:所谓电子交易就是指在网上进行买卖交易。 4、电子支付:所谓电子支付(Electronic Payment)是指进行电子商务交易的当事人(包括消费者、厂商和金融机构)使用安全手段和密码技术通过电子信息化手段进行的货币支付和资金流转。广义地说,电子支付就是发生在购买者和销售者之间的金融交换,而这一交换方式往往借助银行或其他机构支持的某种电子金融工具完成,如电子现金、电子支票和电子银行卡等。
5电子商务安全:安全问题成为电子商务最核心的问题,也是电子商务得以顺利推行的保障。它包括有效保障通信网络,信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。 二、选择题
1.B 2.D 3.A 4.C 5.A 6.C 7.B 三、简答题
1.Internet能提供哪些服务?
Internet提供的服务包括WWW服务、电子邮件(E-mail)、文件传输(FTP)、远程登录(Telnet)、新闻论坛(Usenet)、新闻组(News Group)、电子布告栏(BBS)、Gopher搜索、文件搜寻(Archie)、IP电话等等,全球用户可以通过Internet提供的这些服务,获取Internet上提供的信息和功能。
2.什么是电子商务?它有哪些功能?
从狭义上理解,电子商务就是企业通过业务流程的数字化、电子化与网络化实现产品
交易的手段。从广义上理解,电子商务泛指基于Internet的一切与数字化处理有关的商务活动。
电子商务系统应具有广告宣传、咨询洽谈、网上订购、网上支付、电子银行、货物传递、意见征询、业务管理等各项功能。
3.什么是电子支付?与传统支付相比它具有哪些优势?
所谓电子支付(Electronic Payment)是指进行电子商务交易的当事人(包括消费者、厂商和金融机构)使用安全手段和密码技术通过电子信息化手段进行的货币支付和资金流转。广义地说,电子支付就是发生在购买者和销售者之间的金融交换,而这一交换方式往往借助银行或其他机构支持的某种电子金融工具完成,如电子现金、电子支票和电子银行卡等。
与传统的支付方式相比,电子支付具有以下优势:
(1)电子支付适应了整个社会向信息化、数字化发展的趋势。电子支付是通过网络以先进安全的数字流转技术完成信息传输;而传统的交易支付方式则以传统的通信媒介通过现金、票据、银行兑汇等物理实体完成,无法满足信息社会高效、便捷的商务活动的需求。
(2)电子支付的工作环境是基于开放的系统平台(如互联网),而传统的交易支付方式则在较为封闭的系统中运行(如某银行的各分行之间)。工作环境的开放性使得商家加入电子支付系统更加方便快捷,没有障碍;而开放性带来的普遍性也使得消费者可以随时随地进行消费支付活动。
(3)电子支付是跨时空的电子化支付,能够真正实现全球7天24小时的服务保证。交易方只要有一台能够上网的PC机,就可以足不出户,在很短的时间内完成整个支付过程。
(4)电子支付有助于降低交易成本,最终为消费者带来更低的价格。传统的支付系统要求银行、分行、银行职员、自动取款机及相应的电子交易系统来管理现金和转账,成本非常高。而电子支付只需现有的技术设施、互联网和现有的计算机系统就可以,而且只需要少数系统维护人员。电子支付的交易效率较高,从而加快了资金周转速度,降低了企业的资金成本。
4.电子商务安全面临哪些威胁?
(1)信息的截获和窃取。如果没有采用加密措施或加密强度不够,攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式,获取输入的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出有用信息,如消费者的银行账号、密码以及企业的商业机密等。
(2)信息的篡改。当攻击者熟悉了网络信息格式以后,通过各种技术方法和手段对网络传输的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段主要有三个方面。
①篡改:改变信息流的次序,更改信息的内容,如购买商品的出货地址。 ②删除:删除某个消息或消息的某些部分。
③插入:在消息中插入一些信息,让收方读不懂或接收错误的信息。
(3)信息假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户,主要有两种方式。
①伪造电子邮件,虚开网站和商店,给用户发电子邮件,收定货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户信用等信息。
②假冒他人身份,如冒充领导发布命令、调阅密件;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户;冒充网络控制程序,套取或修改使用权限、通行字、密钥等信息;接管合法用户,欺骗系统,占用合法用户的资源。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨清真伪。
(4)恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
(5)交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容:收信者事后否认曾经收到过某条消息或内容:购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易。
此外,各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。
5.电子商务安全技术主要包括哪些?
主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术。 四、论述题
1.试论述电子支付对网络安全技术的要求。
主要从机密性、完整性、认证性和不可抵赖性等方面论述电子支付对网络安全技术的要求。
略
第2章 电子交易与支付
一、名次解释
1.电子交易:电子交易是电子商务交易简称,顾名思义就是利用电子手段进行的商贸交易。具体而言,电子交易是指在网络平台基础上直接进行的在线交易,利用数字化技术将企业、消费者、政府等相互交易的双方有机连接起来,实现从浏览、洽谈、签约、交货到付款等全部或部分业务自动化处理。
2.网络银行:网上银行是指银行通过电脑和互联网(或其他公用网)向客户提供金融服务的业务处理系统。它是一种全新的业务渠道和客户服务平台,客户不用前往银行柜台,就可以享受到全天候、跨地域的银行服务。消费者持有网上银行在线支付支持的在线支付银行卡种中的任何一种银行卡,并且此卡已经开通网上银行的在线支付服务。 3.ATM系统:自动柜员机系统,即CD/ATM系统(简称ATM系统),是利用银行发行的银行卡,在自动取款机CD(Cash Dispenser)或自动柜员机ATM(Automated Teller Machine)上,执行存取款和转账等功能的一种自助银行系统。
4.POS系统:金融机构为了扩大银行卡的功能和使用范围,在零售商店、酒吧等销售
点处开办了销售点处的电子转账系统(Point of Sales),简称POS系统。 二、选择题
1.D 2.B 3.A 4.B 5.D 三、简答题
1.什么是电子交易?电子支付?
电子交易是电子商务交易简称,顾名思义就是利用电子手段进行的商贸交易。具体而言,电子交易是指在网络平台基础上直接进行的在线交易,利用数字化技术将企业、消费者、政府等相互交易的双方有机连接起来,实现从浏览、洽谈、签约、交货到付款等全部或部分业务自动化处理。
所谓电子支付,是指从事电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。
2.电子支付的流程包括哪些内容?
(1)客户连接互联网Internet,用Web浏览器进行商品的浏览、选择与订购,填写网络定单,选择应用的网络支付工具,并且得到银行的授权使用,如信用卡、电子钱包、电子现金、电子支票或网络银行账号等。
(2)客户机对相关定单信息进行加密处理,在网上提交定单。
(3)商家服务器对客户的订购信息进行检查、确认,并把相关的、经过加密的客户支付信息等转发给支付网关,直至银行专用网络的银行后台业务服务器进行确认,以期待从银行等电子货币发行机构验证得到支付资金的授权。
(4)银行验证确认后通过建立起来的支付网关的加密信道;给商家服务器回送确认及支付信息,为进一步的安全,给客户回送支付授权请求。
(5)银行得到客户传来的进一步授权结算信息后,把资金从客户账号拨至开展电子商务的商家银行账户上,借助金融专用网络进行结算,并分别给商家和客户回送支付结算成功的信息。
(6)商家服务器收到银行发来的结算成功信息后,给客户发送网络付款成功信息和发货通知。至此,一次典型的电子支付结算流程结束。商家和客户可以分别借助网络查询自己的资金余额信息,以进一步核对。
3.电子支付系统由哪些内容构成?
电子商务支付系统的基本构成如图2—3所示。
其中,客户是指与某商家有交易关系并存在未清偿的债权债务关系(一般是债务)的一方。客户用自己拥有的支付工具(如信用卡、电子钱包等)来发起支付,是支付体系运作的原因和起点。
商家则是拥有债权的商品交易的另一方,他可以根据客户发起的支付指令向金融体系请求获取货币给付。商家一般准备了优良的服务器来处理这一过程,包括认证以及不同支付工具的处理。
客户的开户行是指客户在其中拥有账户的银行,客户所拥有的支付工具就是由开户行提供的,客户开户行在提供支付工具的时候也同时提供了一种银行信用,即保证支付工具的兑付。在卡基支付体系中,客户开户行又被称为发卡行。
商家开户行是商家在其中开设账户的银行,其账户是整个支付过程中资金流向的地方商家将客户的支付指令提交给其开户行后,就由开户行进行支付授权的请求以及行与行间的清算等工作。商家的开户行是依据商家提供的合法账单(客户的支付指令)来工作的,因此又称为收单行。 客户开户行 商家开户行
认证中心
客户 商家
图2—3 电子支付系统基本构成
4.电子支付系统的功能是什么?
(1)使用数字签名和数字证书实现对各方的认证。为实现交易的安全性,对参与贸易的各方身份的有效性进行认证,通过认证机构或注册机构向参与各方发放数字证书,以证实其身份的合法性。
(2)使用加密技术对业务进行加密。可以采用单钥体制或双钥体制来进行消息加密,并采用数字信封、数字签字等技术来加强数据传输的保密性,以防止未被授权的第三者获取消息的真正含义。
(3)使用消息摘要算法以确认业务的完整性。为保护数据不被未授权者建立、嵌入、删除、篡改、重放,而是完整无缺地到达接收者一方,可以采用数据杂凑技术;通过对原文的杂凑生成消息摘要一并传送给接收者,接收者就可以通过摘要来判断所接受的消息是否完整。若发现接收的消息不完整,要求发送端重发以保证其完整性。
(4)当交易双方出现纠纷时,保证对业务的不可否认性。这用于保护通信用户对付来自其他合法用户的威胁,如发送用户否认他所发的消息,接收者否认他己接收的消息等。支付系统必须在交易的过程中生成或提供足够充分的证据来迅速辨别纠纷中的是非,可以用仲裁签名、不可否认签名等技术来实现。
(5)能够处理贸易业务的多边支付问题。由于网上贸易的支付要牵涉到客户、商家和银行等多方,其中传送的购货信息与支付指令必须连接在一起,因为商家只有确认了支付指令后才会继续交易,银行也只有确认了支付指令后才会提供支付。但同时,商家不能读取客户的支付指令,银行不能读取商家的购货信息,这种多边支付的关系就可以通过双重签名等技术来实现。