电子商务与安全实验

1. 请举例谈谈对电子商务安全三个方面的理解和认识

从定义上讲，电子商务是在互联网、企业内部网和增值网上以电子交易方式进行交易活动和相关服务活动，是传统商业活动各环节的电子化、网络化。

从客观上讲，电子商务是在技术、经济高度发达的现代社会里，由掌握现代信息技术与商务理论及实务活动规则的人，系统化的运用网络手段和使用各类电子工具，高效率、低成本、安全、方便地从事以泛商品交换为中心的各种经济事务活动。

从应用上讲，电子商务是电子工具在商务活动中的应用。这些工具无论是初级的还是高级的，均涵盖在其中，如电话、电报、Internet等。而商务活动是从泛商品的需求活动到泛商品的合理、合法的消费除去典型的生产过程后的所有活动。

从问题上讲，电子商务通过互联网等媒介，传递商品交易信息，以促成交易的一种商业形态。要完成整个电子商务过程，需要解决三个问题：信息流、资金流、物流。

(1)电子商务与安全实验扩展阅读

一、安全法则：

《电子商务法》中第三十八条规定：电子商务平台经营者知道或者应当知道平台内经营者销售的商品或者提供的服务不符合保障人身、财产安全的要求，或者有其他侵害消费者合法权益行为，未采取必要措施的，依法与该平台内经营者承担连带责任。

二、违规罚款：

《电子商务法》中规定：电商平台经营者对平台内经营者侵害消费者合法权益行为未采取必要措施，或者对平台内经营者未尽到资质资格审核义务，对消费者未尽到安全保障义务的。

由市场监督管理部门责令限期改正，可以处五万元以上五十万元以下的罚款；情节严重的，责令停业整顿，并处五十万元以上二百万元以下的罚款。

2. 电子商务安全措施有哪些

就整个系统而言，安全性可以分为四个层次
．网络节点的安全
2．通讯的安全性
3．程序的安全性
4．用户的认证管理
其中2、3、4层是通过操作系统和Web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。
一、网络节点的安全
1．防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。
2．防火墙安全策略
应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
3．安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1．数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于：
（1）客户浏览器端与电子商务WEB服务器端的通讯；
（2）电子商务WEB服务器与电子商务数据库服务器的通讯；
（3）银行内部网与业务网之间的数据通讯。其中（3）不在本系统的安全策略范围内考虑。

2．安全链路
在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、程序的安全性
即使正确地配置了访问控制规则，要满足机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。
四、用户的认证管理
1．身份认证
电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。
2．CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。
五、安全管理
为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。
对于所有接触系统的人员，按其职责设定其访问系统的最小权限。
按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。
建立安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

3. 电子商务安全的内容包括哪些方面

电子商务安全,包括的内容有：

• 备份技术

  目的是在数据库系统故障并且短时间内难以恢复时,用存回储在备答份介质中的数据将数据库还原到备份时的状态。

• 认证技术

  数据库管理系统为防止各种假冒攻击安全策略。

  当用户对数据库进行访问时,系统会根据用户的级别与权限来判定此操作是允许的或者禁止的,从而达到保护敏感数据不被泄露或者篡改的目的。

• 审计技术

  保证数据库管理系统的信息安全。有两种审计方式:用户审计和系统审计。

• 加密技术

  加密和解密通常是通过对称密码机制的密钥来实现。

4. 电子商务安全与支付的实验报告最好有三个全的 1、加密与解密 ；2、数字认证；3、网上银行的比较

http://yaner12110.blog.163.com/blog/static/100770239201132823713122/

5. 如何做电子商务安全的实训

我也是学电子商务专业的，说实训么就是让自己写呗，
1。目前电子商务面临的主要问题就是安全问题。。。。

6. 电子商务交易安全工程实验室是什么性质的单位

电子商务交易安全工程实验室是什么性质的单位？是的吧

7. 电子商务安全包括哪些方面

在正确看待电子商务的安全问题时，有几个观念值得注意：
其一，安全是一个系统的概念。安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二，安全是相对的。房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性，因为大家都有一个普遍的认识：玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是很难的，我们要正确认识这个问题。
其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。...在正确看待电子商务的安全问题时，有几个观念值得注意：
其一，安全是一个系统的概念。安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二，安全是相对的。房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性，因为大家都有一个普遍的认识：玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是很难的，我们要正确认识这个问题。
其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。作为一个经营者，应该综合考虑这些因素；作为安全技术的提供者，在研发技术时也要考虑到这些因素。
其四，安全是发展的、动态的。今天安全明天就不一定很安全，因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以及对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全，也没有一蹴而就的安全。

8. 电子商务安全及包括哪些方面

电子商务系统的安全重点主要基于以下两个方面：
(1)系统安全性：指系统的稳回定性和抗攻击能力，答以及在受到攻击或系统出现软、硬件故障后的系统恢复能力。
(2)数据安全性：是指保持数据的一致性、完整性，和使用权限的可控制性等。数据安全性包含以下几个方面：
①数据的机密性。任何人不能看到其无权看到的信息；其中，比普通加密方式更进一步的是，任何人都不能看到或修改其行政管理概念上的权限无权获得的数据(数据加密)，这将更符合实际的要求。
②数据的完整性。对发出的数据只有完整到达，才能被完全确认，否则数据不能被认可。
③不可抵赖性。对任何人已经发出的信息，能够根据信息本身确定数据只能由该人发出，并能确定发出时间等重要信息。

9. 电子商务安全的图书1

作者：唐四薪 著
丛 书 名：高等院校信息技术规划教材
出 版 社：清华大学出版社
ISBN：9787302312345
出版时间：2013-05-01
版次：1
页数：382
装帧：平装
开本：16开 《电子商务安全》按照电子商务安全的体系结构，全面介绍了电子商务安全有关技术和管理方面的问题，采用问题启发式的叙述模式，对电子商务安全的基本原理和核心技术做了详细通俗且符合认知逻辑的阐述。本书的内容分为十一章，包括电子商务安全概论、密码学基础、认证技术、数字证书和PKI、网络安全基础、防火墙和入侵检测系统、电子商务安全协议、电子支付系统及其安全、电子商务网站的安全、移动电子商务安全和电子商务安全管理的内容。
本书新增了对散列链、前向安全数字签名、一次性口令、USB Key的原理、电子现金、移动电子支付协议等当前电子商务安全前沿性知识的介绍。 第1章电子商务安全概述... 11
1.1 电子商务安全的现状... 11
1.1.1 电子商务安全的重要性... 11
1.1.2威胁电子商务安全的案例*. 14
1.1.3 我国电子商务安全现状分析... 15
1.1.4电子商务安全课程的知识结构... 16
1.2 电子商务安全的内涵... 17
1.2.1计算机网络安全... 18
1.2.2 电子交易安全... 19
1.2.3 电子商务安全的特点... 20
1.3 电子商务安全的基本需求... 21
1.3.1 电子商务面临的安全威胁... 21
1.3.2 电子商务安全要素... 22
1.4 电子商务安全技术... 24
1.5 电子商务安全体系... 25
1.5.1 电子商务安全体系结构... 25
1.5.2 电子商务安全的管理架构... 26
1.5.3 电子商务安全的基础环境... 27
习题... 28
第2章密码学基础... 29
2.1 密码学的基本知识... 29
2.1.1 密码学的基本概念... 29
2.1.2 密码体制的分类... 31
2.1.3 密码学的发展历程... 32
2.1.4 密码分析与密码系统的安全性... 32
2.2 对称密码体制... 34
2.2.1 古典密码... 34
2.2.2 分组密码与DES. 40
2.2.3 流密码... 44
2.3 密码学的数学基础... 46
2.3.1 数论的基本概念... 46
2.3.2 欧拉定理与费马定理... 48
2.3.3 欧几里得（Euclid）算法... 49
2.3.4 离散对数... 51
2.4 公钥密码体制... 52
2.4.1 公钥密码体制的基本思想... 52
2.4.2 RSA公钥密码体制... 54
2.4.3 Diffie-Hellman密钥交换算法... 56
2.4.4 ElGamal算法... 58
2.5 公钥密码体制解决的问题... 59
2.5.1 密钥分配... 59
2.5.2密码系统密钥管理问题... 61
2.5.3 数字签名问题... 62
2.6数字信封(混合密码体制)63
2.7单向散列函数(不可逆加密体制)64
2.7.1 单向散列函数的性质... 64
2.7.2 对散列函数的攻击*. 64
2.7.3 散列函数的设计及MD5算法... 66
2.7.4 散列函数的分类... 68
2.7.5 散列链... 68
2.8 数字签名... 69
2.8.1 数字签名的特点... 70
2.8.2 数字签名的过程... 70
2.8.3 RSA数字签名算法... 71
2.8.4 ElGamal数字签名算法... 72
2.8.5 Schnorr签名体制... 74
2.8.6 前向安全数字签名... 74
2.8.7 特殊的数字签名... 76
2.9 密钥管理与密钥分配... 80
2.9.1 密钥管理... 80
2.9.2 密钥的分配... 82
2.10 信息隐藏技术... 86
习题... 87
第3章认证技术... 88
3.1 消息认证... 89
3.1.1 利用对称密码体制实现消息认证... 89
3.1.2 利用公钥密码体制实现消息认证... 90
3.1.3 基于散列函数的消息认证... 90
3.1.4 基于消息认证码的消息认证... 92
3.2 身份认证... 93
3.2.1 身份认证的依据... 94
3.2.2 身份认证系统的组成... 94
3.2.3 身份认证的分类... 94
3.3 口令机制... 95
3.3.1 口令的基本工作原理... 95
3.3.2 对口令机制的改进... 96
3.3.3 对付重放攻击的措施... 98
3.3.4基于挑战-应答的口令机制... 103
3.3.5口令的维护和管理措施... 104
3.4 常用的身份认证协议... 105
3.4.1 一次性口令... 105
3.4.2 零知识证明... 107
3.4.3 认证协议设计的基本要求... 108
3.4.4 其他身份认证的机制... 109
3.5 单点登录技术*. 111
3.5.1 单点登录的好处... 111
3.5.2 单点登录系统的分类... 112
3.5.3 单点登录的实现方式... 113
3.5.4 Kerberos认证协议... 114
3.5.5 SAML标准... 118
习题... 122
第4章数字证书和PKI123
4.1 数字证书... 123
4.1.1 数字证书的概念... 124
4.1.2 数字证书的原理... 125
4.1.3 数字证书的生成步骤... 126
4.1.4 数字证书的验证过程... 127
4.1.5 数字证书的内容和格式... 130
4.1.6 数字证书的类型... 132
4.2 数字证书的功能... 133
4.2.1 数字证书用于加密和签名... 133
4.2.2 利用数字证书进行身份认证... 134
4.3 公钥基础设施(PKI)136
4.3.1 PKI的组成和部署... 136
4.3.2 PKI管理机构——CA.. 139
4.3.3 注册机构——RA.. 141
4.3.4证书/CRL存储库... 142
4.3.5 PKI的信任模型... 143
4.3.6 PKI的技术标准*. 145
4.4 个人数字证书的使用... 146
4.4.1 申请数字证书... 146
4.4.2 查看个人数字证书... 148
4.4.3 证书的导入和导出... 149
4.4.4 USB Key的原理... 151
4.4.5 利用数字证书实现安全电子邮件... 152
4.5 安装和使用CA服务器... 155
习题... 159
第5章网络安全基础... 160
5.1 网络安全体系模型... 160
5.1.1 网络体系结构及其安全缺陷... 161
5.1.2 ISO/OSI安全体系结构... 162
5.1.3 网络安全的分层配置... 164
5.1.4 网络安全的加密方式... 165
5.2 网络安全的常见威胁... 167
5.2.1 漏洞扫描... 167
5.2.2 Windows网络检测和管理命令... 168
5.2.3 拒绝服务攻击(DoS)171
5.2.4 嗅探... 173
5.2.5 欺骗... 175
5.2.6 伪装... 176
5.3 计算机病毒及其防治... 176
5.3.1 计算机病毒的定义和特征... 177
5.3.2 计算机病毒的分类... 177
5.3.3 计算机病毒的防治... 179
5.3.4 计算机病毒的发展趋势... 181
习题... 181
第6章防火墙和IDS. 182
6.1 访问控制概述... 182
6.1.1 访问控制和身份认证的区别... 182
6.1.2 访问控制的相关概念... 182
6.1.3 访问控制的具体实现机制... 184
6.1.4 访问控制策略... 185
6.1.5 属性证书与PMI187
6.2 防火墙... 188
6.2.1 防火墙的概念... 189
6.2.2 防火墙的用途... 189
6.2.3 防火墙的弱点和局限性... 191
6.2.4 防火墙的设计准则... 191
6.3 防火墙的主要技术... 192
6.3.1 静态包过滤技术... 192
6.3.2 动态包过滤技术... 194
6.3.3 应用层网关... 194
6.3.4 防火墙的实现技术比较... 195
6.4 防火墙的体系结构... 195
6.4.1 包过滤防火墙... 196
6.4.2 双重宿主主机防火墙... 196
6.4.3屏蔽主机防火墙... 196
6.4.4 屏蔽子网防火墙... 197
6.5 入侵检测系统(IDS)198
6.5.1 入侵检测系统概述... 198
6.5.2 入侵检测系统的数据来源... 200
6.5.3 入侵检测技术... 201
6.5.4 入侵检测系统的结构... 202
6.5.5 入侵检测系统面临的问题... 204
习题... 204
第7章电子商务安全协议... 205
7.1 SSL协议概述... 205
7.2 SSL协议的工作过程... 206
7.2.1 SSL握手协议... 207
7.2.2 SSL记录协议... 211
7.2.3 SSL协议的应用模式... 212
7.2.4 为IIS网站启用SSL协议... 213
7.3 SET协议... 215
7.3.1 SET协议概述... 216
7.3.2 SET系统的参与者... 216
7.3.3 SET协议的工作流程... 218
7.3.4 对SET协议的分析... 222
7.4 3-D Secure协议及各种协议的比较... 223
7.4.1 3-D Secure协议... 223
7.4.2 SSL与SET协议的比较... 224
7.4.3 SSL在网上银行的应用案例... 225
7.5 IPSec协议... 226
7.5.1 IPSec协议概述... 226
7.5.2 IPSec的体系结构... 227
7.5.3 IPSec的工作模式... 228
7.6 虚拟专用网VPN.. 230
7.6.1 VPN概述... 231
7.6.2 VPN的类型... 232
7.6.3 VPN的关键技术... 233
7.6.4 隧道技术*. 233
习题... 235
第8章电子支付及其安全... 236
8.1 电子支付安全概述... 236
8.1.1 电子支付与传统支付的比较... 237
8.1.2 电子支付系统的分类... 237
8.1.3 电子支付的安全性需求... 238
8.2 电子现金... 239
8.2.1 电子现金的基本特性... 239
8.2.2 电子现金系统中使用的密码技术... 240
8.2.3 电子现金的支付模型和实例... 241
8.3电子现金安全需求的实现... 243
8.3.1 不可伪造性和独立性... 243
8.3.2 匿名性... 244
8.3.3 多银行性... 246
8.3.4 不可重用性... 247
8.3.5 可转移性... 248
8.3.6 可分性... 248
8.3.7 电子现金的发展趋势... 249
8.4 电子支票*. 250
8.4.1电子支票的支付过程... 251
8.4.2 电子支票的安全方案和特点... 252
8.4.3 NetBill电子支票... 252
8.5 微支付... 253
8.5.1 微支付的交易模型... 254
8.5.2 基于票据的微支付系统... 255
8.5.3 MicroMint微支付系统... 258
8.5.4 基于散列链的微支付模型... 260
8.5.5 Payword微支付系统... 261
习题... 264
第9章电子商务网站的安全... 264
9.1 网站的安全风险和防御措施... 265
9.1.1 网站的安全性分析... 265
9.1.2 网站服务器的基本安全设置... 266
9.2 SQL注入攻击... 271
9.2.1 SQL注入攻击的特点... 271
9.2.2 SQL注入攻击的方法... 272
9.2.3 SQL注入攻击的检测与防范... 274
9.2.4 防止数据库被下载的方法... 278
9.3 跨站脚本攻击(XSS)*. 279
9.3.1 跨站脚本攻击的原理及危害... 280
9.3.2 防范跨站脚本攻击的方法... 281
9.4 网页挂马及防范... 283
9.4.1 网页挂马的常见形式... 283
9.4.2 网页挂马的方法... 284
习题... 285
第10章移动电子商务安全... 285
10.1 移动电子商务的实现技术... 285
10.1.1无线应用通信协议(WAP)286
10.1.2 WAP的应用模型和结构... 287
10.1.3移动网络技术... 290
10.2移动电子商务面临的安全威胁... 291
10.2.1 无线网络面临的安全威胁... 292
10.2.2 移动终端面临的安全威胁... 293
10.2.3 移动商务管理面临的安全威胁... 294
10.3 移动电子商务的安全需求... 295
10.4 移动电子商务安全技术... 296
10.4.1 无线公钥基础设施(WPKI)296
10.4.2 WPKI与PKI的技术对比... 299
10.4.3 WTLS协议... 301
10.4.4 无线网络的物理安全技术... 306
习题... 307
第11章电子商务安全管理... 307
11.1 电子商务安全管理体系... 307
11.1.1 电子商务安全管理的内容... 308
11.1.2 电子商务安全管理策略... 309
11.1.3 安全管理的PDCA模型... 309
11.2 电子商务安全评估... 310
11.2.1 电子商务安全评估的内容... 310
11.2.2 安全评估标准... 311
11.2.3 信息管理评估标准... 312
11.3 电子商务安全风险管理... 313
11.3.1 风险管理概述... 313
11.3.2 风险评估... 314
11.4 电子商务信用管理... 316
11.4.1 电子商务信用管理概述... 316
11.4.2 电子商务信用管理的必要性... 317
11.4.3 信用管理体系的构成... 318
11.4.4 信用保障和评价机制... 319
习题... 320
附录A：实验... 321
A.1 实验1：密码学软件的使用和开发... 321
A.2 实验2：个人数字证书的使用... 322
A.3 实验3：CA的安装和使用... 322
A.4 实验4：网络扫描和网络嗅探... 323
A.5 实验5：为IIS网站配置SSL. 323
A.6 实验6：配置安全Web服务器和网站