免费智能真题库 > 历年试卷 > 电子商务设计师 > 2016年下半年 电子商务设计师 上午试卷 综合知识
  第30题      
  知识点:   电子商务安全体系   电子商务安全体系   安全体系   电子商务   认证   体系结构
  关键词:   安全认证   电子商务   安全        章/节:   电子商务信息安全威胁与防范       

 
电子商务安全体系结构中,安全认证层涉及的技术是(30)。
 
 
  A.  对称加密
 
  B.  入侵检测技术
 
  C.  数字摘要
 
  D.  非对称加密
 
 
 

 
  第32题    2013年下半年  
   45%
在电子商务安全体系结构中,安全认证层涉及的技术是(32)。
  第66题    2014年下半年  
   51%
移动互联网安全不包括(66)。
  第28题    2014年下半年  
   53%
在电子商务安全体系中,网络服务层涉及的技术是(28)。
   知识点讲解    
   · 电子商务安全体系    · 电子商务安全体系    · 安全体系    · 电子商务    · 认证    · 体系结构
 
       电子商务安全体系
        电子商务的交易过程面临着信息截取和窃取、信息篡改、信息假冒、信息抵赖等威胁,对电子商务的交易信息安全提出了保密性、完整性、不可否认性、身份可认证性、可用性和可控性的安全需求。如何实现和保证电子商务的安全需求,从组织、技术、管理以及法律等多方面入手,构建全方位的电子商务安全体系,全面采取电子商务安全防范措施是关键。
        电子商务的安全性研究从整体上可分为两大部分:计算机网络安全和商务交易安全。
               计算机网络安全
               常见的计算机网络安全威胁有:
               (1)黑客攻击。黑客非法进入网络,非法使用网络资源。例如,通过网络监听获取网上用户的账号和密码,非法获取网上传输的数据,破坏防火墙等。
               (2)计算机病毒。计算机病毒侵入网络,破坏资源,使网络不能正常工作,甚至造成网络瘫痪。
               (3)拒绝服务。典型的拒绝服务如“电子邮件炸弹”,它的破坏方式是让用户在很短的时间内收到大量的无用邮件,从而影响正常业务,严重时造成系统关闭、网络瘫痪等。
               (4)身份窃取。用户的身份在通信时被他人非法截取。
               (5)非授权访问。对网络设备及信息资源进行非正常使用或越权使用。
               (6)冒充合法用户。利用各种假冒或欺骗手段非法获取合法用户资源的使用权限,以达到占用合法用户资源的目的。
               (7)数据窃取。非法用户截取通信网络中的某些重要信息。
               (8)物理安全。网络的物理安全是整个网络系统安全的前提,包括计算机、网络设备的功能失常,电源故障,由于电磁泄漏引起的信息失密,搭线窃听等,还有自然灾害的威胁(如雷电、地震、火灾等),操作失误(如删除文件、格式化硬盘、线路拆除等),都是造成计算机网络不安全的因素。
               (9)软件的漏洞和“后门”。程序设计者为了后期便于维护或是疏漏,在操作系统、应用软件设计时往往会留有一些安全漏洞或“后门”,这也是网络安全的主要威胁之一。例如,大家熟悉的Windows操作系统、UNIX操作系统几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等都被发现过存在安全隐患。
               (10)网络协议的安全漏洞。网络安全协议也会产生漏洞,成为黑客攻击的目标。如一些路由协议漏洞、DNS协议漏洞、ARP协议漏洞等都对网络安全造成了威胁。
               计算机网络安全是一个复杂和多面性的问题,除上述讲到的影响网络安全的因素外,计算机犯罪等人为因素都会使网络面临安全威胁。解决这些问题,涉及很多的网络安全技术,如防火墙技术、虚拟专用网技术、各种反黑客技术和漏洞检测技术等。此外,网络行为的规范化管理及安全意识也是很重要的方面。
               商务交易安全
               在电子商务交易活动过程中,交易双方(商家和消费者)都面临不同的安全威胁。
                      商家面临的主要威胁
                      .中央系统安全性被破坏。例如入侵者假冒合法用户改变用户数据(如商品送达的地方)、解除用户订单或生成虚假订单等。
                      .竞争者检索商品递送状况。例如恶意竞争者以他人名义订购商品,了解有关商品的递送状况、货物和库存情况等。
                      .被他人假冒。例如假冒销售者建立与真实销售者服务器名字相同的另一个服务器,进而造成可能的损害,使公司信誉受到损失等。
                      .其他威胁。例如客户资料被竞争者获悉等。
                      消费者面临的主要威胁
                      .虚假订单。例如假冒者可能会以客户的名字订购商品,客户却被要求付款或返还商品等。
                      .付款后不能收到商品。例如在要求客户付款后,恶意销售商可能不供给客户商品等。
                      .机密性丧失。例如客户可能将个人身份等秘密数据(如PIN、口令等)发送给冒充销售商的机构,或是在信息传递的过程中被假冒者窃听等。
                      电子商务交易过程中交易双方面临各种安全威胁,解决其安全问题涉及多种安全技术及其应用,包括加密技术、认证技术、电子商务安全协议等。
               电子商务安全体系
               电子商务安全涉及的计算机网络安全和商务交易安全,二者相辅相成,缺一不可。电子商务安全体系反映了电子商务安全涉及的内容和相关技术,其结构如下图所示。
               
               电子商务安全体系结构
               电子商务安全体系由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。
               在电子商务安全体系结构层次中,下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。层次之间相互依赖、相互关联构成统一整体。每一层通过各自的安全控制技术,实现各层的安全策略,保证电子商务系统的安全。
               网络服务层为电子商务系统提供基本、灵活的网络服务,是各种电子商务应用系统的基础,提供信息传送的载体和用户接入的手段。通过Internet网络层的安全机制(如入侵检测、安全扫描、防火墙等技术)保证网络层的安全。
               加密技术层、安全认证层和安全协议层确保电子商务交易安全。加密技术是保证电子商务交易安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。安全认证层对加密技术层中提供的多种加密算法进行综合运用,进一步满足电子商务对完整性、不可抵赖性等要求。安全协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善,为电子商务安全交易提供保障机制和交易标准。
 
       电子商务安全体系
        电子商务安全涉及的计算机网络安全和商务交易安全,二者相辅相成,缺一不可。电子商务安全体系反映了电子商务安全涉及的内容和相关技术,其结构如下图所示。
        
        电子商务安全体系结构
        电子商务安全体系由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。
        在电子商务安全体系结构层次中,下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。层次之间相互依赖、相互关联构成统一整体。每一层通过各自的安全控制技术,实现各层的安全策略,保证电子商务系统的安全。
        网络服务层为电子商务系统提供基本、灵活的网络服务,是各种电子商务应用系统的基础,提供信息传送的载体和用户接入的手段。通过Internet网络层的安全机制(如入侵检测、安全扫描、防火墙等技术)保证网络层的安全。
        加密技术层、安全认证层和安全协议层确保电子商务交易安全。加密技术是保证电子商务交易安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。安全认证层对加密技术层中提供的多种加密算法进行综合运用,进一步满足电子商务对完整性、不可抵赖性等要求。安全协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善,为电子商务安全交易提供保障机制和交易标准。
 
       安全体系
        要构筑计算机系统的安全体系,其措施包括防火墙、入侵检测、病毒和木马扫描、安全扫描、日志审计系统等,另外还要注意制定和执行有关安全管理的制度,保护好私有信息等。
               病毒和木马扫描
               病毒是指一段可执行的程序代码,通过对其他程序进行修改来感染这些程序,使其含有该病毒的一个复制,并且可以在特定的条件下进行破坏。因此在其整个生命周期中包括潜伏、繁殖(也就是复制、感染阶段)、触发和执行4个阶段。
               对于病毒的防护而言,最彻底的方法是不允许其进入系统,但这是很困难的,因此大多数情况下,采用“检测—标识—清除”的策略来应对。在病毒防护的发展史上,共经历了以下几个阶段。
               (1)简单扫描程序:需要病毒的签名来识别病毒。
               (2)启发式扫描程序:不依赖专门的签名,而使用启发式规则来搜索可能被病毒感染的程序。还包括诸如完整性检查等手段。
               (3)行为陷阱:即用一些存储器驻留程序,通过病毒的动作来识别病毒。
               (4)全方位保护:联合以上反病毒技术组织的软件包,包括扫描和行为陷阱。
               特洛伊木马(Trojans)是指一个正常的文件被修改成包含非法程序的文件。特洛伊木马通常包含具有管理权限的指令,它们可以隐藏自己的行踪(没有普通的窗口等提示信息),而在后台运行,并将重要的账号、密码等信息发回给黑客,以便进一步攻击系统。
               木马程序一般由两部分组成,分别是服务端程序和客户端程序。其中服务端程序安装在被控制计算机上,客户端程序安装在控制计算机上,服务端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。
               首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。
               因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。
               反病毒技术的最新发展方向是类属解密和数字免疫系统。与入侵检测技术一样,现在的反病毒技术只能够对已有病毒、已有病毒的部分变种有良好的防护作用,而对于新型病毒还没有有效的解决方式,需要升级特征库。另外,它只是对病毒、黑客程序、间谍软件这些恶意代码有防护作用,其他网络安全问题不属于其关注的领域。
               安全扫描
               安全扫描是指对计算机系统及网络端口进行安全性检查,它通常需要借助一个被称为“扫描器”的软件。扫描器并不是一个直接攻击网络漏洞的程序,它仅仅能够帮助管理员发现目标机的某些内在弱点,一个好的扫描器能够对得到的数据进行分析,帮助管理员查找目标主机的漏洞。它能够自动查找主机或网络,找到运行的服务及其相关属性,并发现这些服务潜在的漏洞。
               因此从上面的描述中,我们可以发现安全扫描技术是一个帮助管理员找到网络隐患的工具,并不能直接解决安全问题,而且对未被业界发现的隐患也无法完全找到。
               日志审计系统
               日志文件是包含关于系统消息的文件,这些消息通常来自于操作系统内核、运行的服务,以及在系统上运行的应用程序。日志文件包括系统日志、安全日志、应用日志等。现在的Windows、UNIX、Linux系统都提供了较完善的日志系统。
               日志审计系统则通过一些特定的、预先定义的规则来发现日志中潜在的问题,它可以用来事后亡羊补牢,也可以用来对网络安全攻击进行取证。显然它是一种被动式、事后的防护或事中跟踪的手段,很难在事前发挥作用。
               安全审计
               安全审计是指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。安全审计是落实系统安全策略的重要机制和手段,通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。它是信息安全保障系统中的一个重要组成部分。具体包括两个方面的内容:
               (1)采用网络监控与入侵防范系统,识别网络中各种违规操作与攻击行为,即时响应并进行阻断。
               (2)对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
               CC标准将安全审计功能分为6个部分,分别是安全审计自动响应、安全审计自动生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储。
               (1)安全审计自动响应:定义在被测事件指示出一个潜在的安全攻击时做出的响应,它是管理审计事件的需要,这些需要包括报警或行动。例如包括实时报警的生成、违例进程的终止、中断服务、用户账号的失效等。根据审计事件的不同系统将做出不同的响应。其响应的行动可以做增加、删除、修改等操作。
               (2)安全审计数据生成:记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型,以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。
               (3)安全审计分析:定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。
               (4)安全审计浏览:审计系统能够使授权的用户有效地浏览审计数据,它包括审计浏览、有限审计浏览、可选审计浏览。
               (5)安全审计事件选择:系统管理员能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计。例如,与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性,系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用户的动作。
               (6)安全审计事件存储:审计系统将提供控制措施,以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。
               个人信息控制
               关于个人信息控制,我们结合网络上窃取个人信息的一些手段和方法来谈谈。
               (1)利用操作系统和应用软件的漏洞。可以说任何的软件内都有可能包含未被清除的错误。这些错误有些仅仅是计算逻辑上的错误,也有些可以被人别有用心地用来进入和攻击系统,此时这些错误就被称为漏洞。解决这些漏洞的途径就是对系统进行修正,及时地对系统进行升级或打上补丁是防范此类问题的一个重要手段。
               (2)网络系统设置。在网络非法入侵事件中,通过共享问题达到入侵目的的案例占到入侵事件中的绝大比例。
               (3)程序的安全性。现在计算机中运行的程序已经不是一般用户可以了解的了,这是个危险的事情。在计算机不清楚自己内部的某个程序是做什么工作的情况下,其中就很可能潜伏着木马程序。
               (4)拦截数据包。数据包探测技术可以检查所有落入其范围的数据包,甚至能够通过设置来搜取所有的数据包。
               (5)假冒正常的商业网站。罪犯给人们发一封好像来自于某站点的电子邮件,并在邮件中提供该网站登录页或者看起来像是登录页的链接。这些窃贼同时建立外观很像此站点的网页,然后在用户链接到该网页登录时捕获所有的用户名和密码。
               (6)用户自身因素。如果说攻击别人是因为别人存在漏洞的话,那么用户自身的问题或许也是网络攻击的一个巨大漏洞。首先是密码泄露问题;其次是在聊天室等公共场所,不要轻易地泄漏自己的信息;再次是观念问题,要从心理上重视计算机安全问题。
               上面说的这些方法还只是可能造成个人信息泄漏诸多情况中的一小部分,要保护好自己的信息不被他人窃取,除了要靠网络技术的不断发展以外,网络用户自己的安全观念也起到了相当重要的作用。
               安全管理制度
               建立严格规范的规章制度,规范网络管理、维护人员的各种行为,对于维护网络安全、保障网络的正常运行,起着至关重要的作用。这些安全规章制度可能包括物理安全管理、机房参观访问制度、机房设施巡检制度、机房施工管理制度、运营值班管理制度、运营安全管理制度、运营故障处理制度、病毒防治制度、口令管理制度等。
               当然,再好的规章制度,如果得不到严格的执行,那也只能是摆设。制定不是目的,只有抓好规章制度的执行,才能发挥其应有的作用。
 
       电子商务
        加快发展电子商务,是企业降低成本、提高效率、拓展市场和创新经营模式的有效手段,是提升产业和资源的组织化程度、转变经济发展方式、提高经济运行质量和增强国际竞争力的重要途径,对于优化产业结构、支撑战略性新兴产业发展和形成新的经济增长点具有非常重要的作用,对于满足和提升消费需求、改善民生和带动就业具有十分重要的意义,对于经济和社会可持续发展具有愈加深远的影响。
               电子商务的概念
               对于电子商务至今尚无统一定义,根据电子商务发展历程,电子商务概念可分为原始电子商务与现代电子商务。
               (1)原始电子商务概念。使用电子信息技术工具进行商务活动。凡使用了诸如电报、电话、广播、电视、传真以及计算机、计算机网络等手段、工具和技术进行商务活动,都可以称之为电子商务。
               (2)现代电子商务概念。电子商务通常是指在网络环境下,买卖双方不需见面,实现网上(线上)交易、在线支付(或者货到付款)、智能配送以及相关综合服务的一切活动,是完全创新的或者在一定程度上模拟传统商务流程的一种以信息化手段应用为典型特征的商业运营模式。可以认为EDI(电子数据交换)是连接原始电子商务和现代电子商务的纽带。
               电子商务的功能
               电子商务本质上是依靠信息技术,将贸易(交易)中涉及的信息流、资金流、物流、服务评价管理、售后管理、客户管理等整合在网络之上的业务集合。主要功能包括:广告宣传、咨询洽谈、网上订购、网上支付、交易管理、商品推送、商户管理、账户管理、供应链管理等等。
               电子商务应该具有以下基本特征:
               (1)普遍性。电子商务作为一种新型的交易方式,将生产企业、流通企业、消费者以及金融企业和监管者集成到了数字化的网络经济中。
               (2)便利性。参与电子商务的各方不受地域、环境、交易时间的限制,能以非常简洁的方式完成传统上较为繁杂的商务活动。
               (3)整体性。电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,保证交易过程的规范和严谨。
               (4)安全性。与传统的商务活动不同,电子商务必须采取诸如加密、身份认证、防入侵、数字签名、防病毒等技术手段确保交易活动的安全性。
               (5)协调性。商务活动本身是一种磋商、协调的过程,客户与企业之间、企业与企业之间、客户与金融服务部门之间、企业与金融服务部门之间、企业与配送部门之间等需要有序地协作,共同配合来完成交易。
               电子商务系统的结构和要点
               电子商务不仅包括信息技术,还包括交易规则、法律法规和各种技术规范、电子商务系统的结构如下图所示。
               
               电子商务系统的结构
               电子商务的基础设施包括4个,即网络基础设施、多媒体内容和网络出版的基础设施、报文和信息传播的基础设施、商业服务的基础设施。此外,技术标准,政策、法律等是电子商务系统的重要保障。
               (1)网络基础设施。网络基础设施主要是信息传输平台,这个信息传输平台主要运行TCP/IP网络协议,承载在电信通信网、有线电视网、专线网络之上,接入方式除了传统计算机有线网络之外,无线网络(4G或WiFi)也是非常便利和普及的接入技术。
               (2)多媒体内容和网络出版的基础设施。多媒体内容和网络出版的基础设施主要负责管理电子商务活动涉及的各种信息,包括文字、语音、图像、视频等,采用的信息技术主要包括:
               .数据库及数据库管理系统,负责多媒体信息的存储和管理。
               . Web服务器系统,负责信息的发布和展示,提供客户与电子商务系统交互的接口。
               .搜索工具,便于客户快速准确地找到有关信息。
               .内容和出版管理工具,负责网页内容的编辑和组织。
               (3)报文和信息传播的基础设施。报文和信息传播的基础设施负责提供传播信息的工具和方式,包括电子邮件系统、在线交流系统、基于HTTP或HTTPS的信息传输系统、流媒体播放系统等。
               (4)商业服务的基础设施。商业服务的基础设施负责提供实现标准的网上商务活动的服务,包括:价格目录、电子支付网关、安全认证等。
               (5)技术标准。技术标准是信息发布和传递的基础,是网上信息一致性的保证。包括:用户接口、传输协议、信息发布标准、安全协议等技术标准。
               (6)政策和法律。政策包括围绕电子商务的税收制度、信用管理及收费、隐私问题等由政府制定的规章或制度。
               电子商务相关法律包括消费者权益保护、隐私保护、电子商务交易真实性认定、知识产权保护等方面的立法或法规。
               电子商务作为一门综合性的新兴商务活动,涉及面相当广泛,包括信息技术、金融、法律和市场等多种领域,这就决定了与电子商务相关的标准体系十分庞杂,几乎涵盖了现代信息技术的全部标准范围及尚待进一步规范的网络环境下的交易规则。安全、认证、支付和接口等标准是有待制定和完善的内容。
               电子商务的类型
               按照依托网络类型来划分,电子商务分为EDI(电子数据交换)商务、Internet(互联网)商务、Intranet(企业内部网)商务和Extranet(企业外部网)商务。
               按照交易的内容,电子商务可以分为直接电子商务和间接电子商务。直接电子商务向客户提供无形商品和各种服务,如电子书、软件、在线读物、视频、证券、期货、旅游产品等等,这些产品和服务可以直接通过网络向客户交付。间接电子商务包括向客户提供实体商品(有形商品)及有关服务,由于要求在广泛地域和严格时限内送达,一般会将商品和服务交由现代物流配送公司和专业服务机构去完成配送工作。
               按照交易对象,电子商务模式包括:企业与企业之间的电子商务(B2B)、商业企业与消费者之间的电子商务(B2C)、消费者与消费者之间的电子商务(C2C),电子商务与线下实体店有机结合向消费者提供商品和服务,称为020模式。
               (1)B2B模式即Business To Business,就是企业和企业之间通过互联网进行产品、服务及信息的交换,其发展经过了电子数据交换(EDI)、基本的电子商务(Basic e-commerce)、电子交易集市和协同商务等4个阶段。阿里巴巴(alibaba.com)是典型的B2B电子商务企业。
               (2)B2C模式即Business To Consumer,就是企业和消费者个人之间的电子商务,一般以零售业为主,企业向消费者提供网上购物环境,消费者通过Internet访问相关网站进行咨询、购买活动。京东、当当、苏宁等是典型的B2C电子商务企业。
               (3)C2C模式即Consumer To Consumer,就是消费者和消费者之间通过电子商务交易平台进行交易的一种商务模式,由于是个人与个人的交易,大众化成了C2C的最大特点。诚信在这种模式中对买卖行为影响巨大,并具有很高的商业价值,而假货问题是监管的重点。淘宝、易趣等是典型的C2C电子商务交易平台,电子交易平台不仅提供交易的网络环境,还扮演着管理者的角色。
               (4)020模式即Online To Offline,含义是线上购买线下的商品和服务,实体店提货或者享受服务。020平台在网上把线下实体店的团购、优惠的信息推送给互联网用户,从而将这些用户转换为实体店的线下客户。借助020,能够迅速地促进门店销售,特别适合餐饮、院线、会所等服务连锁企业,并且通过网络能够迅速掌控消费者的最新反馈,进行个性化服务和获取高粘度重复消费。
               电子商务对国民经济和社会发展的意义和作用
               (1)推动国民经济增长方式转变。电子商务是国民经济和社会信息化的重要组成部分,已经成为推动国民经济发展的新动力。发展电子商务是以信息化带动工业化、促进我国产业结构调整、推动经济增长方式由粗放型向集约型转变、提高国民经济运行质量和效率、走新型工业化道路的重大举措,对实现全面建设小康社会的宏伟目标具有十分重要的意义。
               (2)迎接经济全球化的机遇和挑战。加快电子商务发展是应对经济全球化带来的机遇和挑战、也是把握发展主动权、提高国际竞争力的必然选择,有利于提高我国在全球范围内配置资源的能力,提升我国经济的国际地位。
               (3)促进社会主义市场经济体制走向完善。电子商务发展将有力地促进商品和各种生产生活要素的流动,削弱妨碍公平竞争的制约因素,降低交易成本,推动全国统一市场的形成与完善,更好地实现市场对资源的基础性配置作用。
               我国电子商务现状和特点
               近些年,我国电子商务保持了持续快速发展的良好态势,电子商务不断普及和深化电子商务在我国工业、农业、商贸流通、交通运输、金融、旅游和城乡消费等各个领域的应用不断得到拓展,应用水平不断提高,正在形成与实体经济深度融合的发展态势。跨境电子商务活动日益频繁,移动电子商务成为发展亮点。大型企业网上采购和销售的比重逐年上升,部分企业的电子商务正在向与研发设计、生产制造和经营管理等业务集成协同的方向发展。电子商务在中小企业中的应用普及率迅速提高,网络交易额迅速增长占社会消费品零售总额比重逐年上升,成为拉动需求、优化消费结构的重要途径。
               电子商务支撑水平快速提高,电子商务平台服务、信用服务、电子支付、现代物流和电子认证等支撑体系加快完善。围绕电子商务信息、交易和技术等的服务企业不断涌现。电子商务信息和交易平台正在向专业化和集成化的方向发展。社会信用环境不断改善,为电子商务的诚信交易创造了有利的条件。网上支付、移动支付、电话支付等新兴支付服务发展迅猛。现代物流业快速发展,对电子商务的支撑能力不断增强,特别是网络零售带动了快递服务的迅速发展,2015年全年,全国快递服务企业业务量累计完成206.7亿件,同比增长48%,业务收入累计完成2769.6亿元,同比增长35.4%。通信运营商、软硬件及服务提供商等纷纷涉足电子商务,为用户提供相关服务。随着电子商务规模的不断扩大,各地政府大力推进电商发展,电子商务对于快递等上下游行业都有很强的带动作用,由此衍生出来的就业市场大幅增加。随之而来的客服、配送、技术等岗位供不应求。根据《国务院关于促进快递业发展的若干意见》,到2020年,我国快递市场规模稳居世界首位,快递年业务量达到500亿件,年业务收入达到8000亿元,年均新增就业岗位约20万个,全年支撑网络零售交易额突破10万亿元,日均服务用户2.7亿人次以上,有效降低商品流通成本。
               电子商务发展环境不断改善。网络用户规模快速增长,2015年互联网普及率达50.3%,网民规模达到6.88亿(数据来源:中国互联网络信息中心),移动电话用户总数达13.06亿户,移动电话用户普及率达95.5部/百人,其中,4G移动电话用户总数达38622.5万户,在移动电话用户中的渗透率达到29.6%(工业和信息化部,2015年通信运营业统计公报。网络服务能力不断提升,资费水平不断降低。全社会电子商务应用意识不断增强,应用技能得到有效提高。电子商务国际交流与合作日益广泛。相关部门协同推进电子商务发展的工作机制初步建立,围绕促进发展电子认证、网络购物、网上交易和支付服务等主题,出台了一系列政策、规章和标准规范,为构建适合国情和发展规律的电子商务制度环境进行了积极探索。
               总体而言,中国经济发展“电商化”趋势日益明显,电商交易规模和创新应用再创历史新高,网络交易量直线上升,电子商务的大发展大繁荣,对于中国经济无疑是一个新的增长点。同时,电子商务已经深刻影响传统IT市场和传统产业,业务模式和商业模式的变革正在对零售、教育、医疗、汽车、农业、化工、环保、能源等行业产生深刻影响,对传统行业的升级换代起到重要作用。
               加快电子商务发展的指导思想和基本原则
               (1)加快电子商务发展的指导思想。
               按照科学发展观的要求,紧紧围绕转变经济增长方式、提高综合竞争力的中心任务,实行体制创新,着力营造电子商务发展的良好环境,积极推进企业信息化建设,推广电子商务应用,加速国民经济和社会信息化进程,实施跨越式发展战略,走中国特色的电子商务发展道路。
               (2)加快电子商务发展的基本原则。
               .企业主体,政府推动。充分发挥企业在电子商务发展中的主体作用,坚持市场导向,运用市场机制优化资源配置。处理好政府与市场的关系,创建更加有利于电子商务发展的制度环境,综合运用政策、服务、资金等多种手段推进电子商务发展。
               .统筹兼顾,虚实结合。坚持网络经济与实体经济紧密结合发展的主流方向,全面拓展电子商务在各领域的应用,提高电子商务及相关服务水平,努力营造全方位的电子商务发展环境,推动区域间电子商务协调发展。
               .着力创新,注重实效。推动电子商务应用、服务、技术和集成创新,着重提高电子商务创新发展能力。立足需求导向,坚持务实创新,选准切入点,注重应用性和实效性,避免盲目跟风和炒作。
               .规范发展,保障安全。正确处理电子商务发展与规范的关系,在发展中求规范,以规范促发展。以网络运行环境安全可靠为基础,促进网络交易主体与客体的真实有效、交易过程的可鉴证,加强对失信行为的惩戒力度,形成电子商务可信环境。
               建立和完善电子商务发展的支撑保障体系
               (1)法律法规体系。认真贯彻实施《中华人民共和国电子签名法》,抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护和信息资源管理等方面的法律法规问题,尽快提出制定相关法律法规的意见;积极研究第三方支付服务的相关法规;根据电子商务健康有序发展的要求,抓紧研究并及时修订相关法律法规;加快制订在网上开展相关业务的管理办法;推动网络仲裁、网络公证等法律服务与保障体系建设;打击电子商务领域的非法经营以及危害国家安全、损害人民群众切身利益的违法犯罪活动,保障电子商务的正常秩序。
               (2)标准规范体系。建立并完善电子商务国家标准规范体系。提高标准化意识,充分调动各方面积极性,抓紧完善电子商务的国家标准体系;鼓励以企业为主体,联合高校和科研机构研究制定电子商务关键技术标准和规范,参与国际标准的制订和修正,积极推进电子商务标准化进程。
               (3)安全认证体系。建立健全安全认证体系。按照有关法律规定,制定电子商务安全认证管理办法,进一步规范密钥、证书、认证机构的管理,注重责任体系建设,发展和采用自主知识产权的加密与认证技术;整合现有资源,完善安全认证基础设施,建立布局合理的安全认证体系,实现行业、地方等安全认证机构的交叉认证,为社会提供可靠的电子商务安全认证服务。
               (4)信用体系。加快信用体系建设。加强政府监管、行业自律以及部门间的协调与联合,鼓励企业积极参与,按照完善法规、特许经营、商业运作、专业服务的方向,建立科学、合理、权威、公正的信用服务机构;建立健全相关部门信用信息资源的共享机制,建设在线信用信息服务平合,实现信用数据的动态采集、处理、交换;严格信用监督和失信惩戒机制,逐步形成既符合我国国情又与国际接轨的信用服务体系。
               (5)在线支付体系。推进在线支付体系建设。加强制定在线支付业务规范和相关技术标准:引导商业银行、中国银联等机构建设安全、快捷、方便的在线支付平台,大力推广使用银行卡、网上银行等在线支付工具,进一步完善在线资金清算体系,推动在线支付业务规范化、标准化并与国际接轨。
               (6)现代物流体系。大力发展现代物流体系。充分利用铁道、交通、民航、邮政、仓储和商业网点等现有物流资源,完善物流基础设施建设:广泛采用先进的物流技术与装备,优化业务流程,提升物流业信息化水平,提高现代物流基础设施与装备的使用效率和经济效益;发挥电子商务与现代物流的整合优势,大力发展第三方物流,有效支撑电子商务的广泛应用。
               (7)技术装备体系。发展电子商务相关技术装备和软件。积极引进、消化和吸收国外先进适用的电子商务应用技术,鼓励技术创新,加快具有自主知识产权的电子商务硬件和软件产业化进程,提高电子商务平台软件、应用软件和终端设备等关键产品的自主开发能力和装备能力。
               (8)服务体系。推动电子商务服务体系建设。充分利用现有资源,发挥中介机构的作用,加强网络化、系统化、社会化的服务体系建设,开展电子商务工程技术研究、成果转化、咨询服务和工程监理等服务工作。
               (9)运行监控体系。研究风险防范措施,加强业务监督和风险控制;逐步建立和完善电子商务统计和评价体系,推动电子商务服务业健康发展。
               发展电子商务重点任务
               (1)提高大型企业电子商务水平。发挥大型企业电子商务主力军的作用,进一步促进企业电子商务应用系统的规模发展和品牌建设,提高网络集中采购水平和透明化程度,提升企业营销能力。深化大型工业企业电子商务应用,促进实体购销渠道和网络购销渠道互动发展,提高供应链和商务协同水平。推动大型商贸流通企业通过电子商务提高流通效率,扩展流通渠道和市场空间。鼓励有条件的大型企业电子商务平台向行业电子商务平台转化。
               (2)推动中小企业普及电子商务。鼓励中小企业应用第三方电子商务平台,开展在线销售、采购等活动,提高生产经营和流通效率。引导中小企业积极融入龙头企业的电子商务购销体系,发挥中小企业在产业链中的专业化生产、协作配套作用。鼓励有条件的中小企业自主发展电子商务,创新经营模式,扩展发展空间,提高市场反应能力。鼓励面向产业集群和区域特色产业的第三方电子商务平台发展,帮助中小企业通过电子商务提高竞争力。稳健推进各类专业市场发展电子商务,促进网上市场与实体市场的互动发展,为中小企业应用电子商务提供良好条件。
               (3)促进重点行业电子商务发展。积极发展农业电子商务,促进农资和农产品流通体系的发展,拓宽农民致富渠道。着力推进工业电子商务,促进工业从生产型制造向服务型制造转变。深化商贸流通领域电子商务应用,促进传统商贸流通业转型升级。鼓励综合性和行业性信息服务平台深挖掘产业信息资源,拓展服务功能,创新服务产品,提高信息服务水平。促进大宗商品,电子交易平台规范发展,创新商业模式,形成与实体交易互动发展的服务形式。推动交通运输、铁路、邮政、文化、旅游、教育、医疗和金融等行业应用电子商务,促进服务方式转变。
               (4)推动网络零售规模化发展。鼓励生产、流通和服务企业发展网络零售,积极开发适宜的商品和服务。培育一批信誉好、运作规范的网络零售骨干企业。发展交易安全、服务完善、管理规范和竞争有序的网络零售商城。整合社区商业服务资源,发展社区电子商务。促进网络购物群体快速成长。拓展网络零售商品和服务种类,拓宽网络零售渠道,满足不同层次消费需求。发展个人间的电子商务,为开展二手物品交易、获取日常生活服务等提供便利。
               (5)提高政府采购电子商务水平。积极推进政府采购信息化建设,加快建设全国统一的电子化政府采购管理交易平台,探索利用政府采购交易平台实现政府采购管理和操作执行各个环节的协调联动,通过实现政府采购业务交易信息共享和全流程电子化操作,进一步规范政府采购行为,提高政府采购资金的使用效率。
               (6)促进跨境电子商务协同发展。鼓励有条件的大型企业“走出去”,面向金球资源市场,积极开展跨境电子商务,参与全球市场竞争,促进产品、服务质量提升和品牌建设,更紧密地融入全球产业体系,鼓励国内企业加强区域间电子商务合作,推动区域经济合作向纵深方向发展。鼓励商贸服务企业通过电子商务拓展进出口代理业务,创新服务功能,帮助中小企业提高国际竞争能力。
               (7)持续推进移动电子商务发展。鼓励各类主体加强合作,拓展基于新一代移动通信、物联网等新技术的移动电子商务应用。推动移动电子商务应用从生活服务和公共服务领域向工农业生产和生产性服务业领域延伸,积极推动电子商务在“三农”等重点领域的示范和推广。加强移动电子商务技术与装备的研发力度,完善移动电子商务技术体系。加快制定和完善移动电子商务相关技术标准和业务规范。
               (8)促进电子商务支撑体系协调发展。探索建立网上网下交易活动的合同履约信用记录,促进在线信用服务的发展。加快建设适应电子商务发展需要的社会化物流体系,优化物流公共配送中心、中转分拣场站、社区集散网点等物流设施的规划布局,积极探索区域性、行业性物流信息平台的发展模式。鼓励支付机构创新支付服务,丰富支付产品,推动移动支付、电话支付、预付卡支付等新兴电子支付健康有序发展,满足电子商务活动中多元化、个性化的支付需求。推动完善电子支付业务规则、技术标准,引导和督促支付机构规范运营。鼓励发展国际结算服务,提高对跨境电子商务发展的支撑能力。鼓励电子商务企业与相关支撑企业加强合作,促进物流、支付、信用、融资、保险、检测和认证等服务协同发展。
               (9)提高电子商务的安全保障和技术支撑能力。认真贯彻《电子签名法》,进一步发展可靠的电子签名与认证服务体系,提高认证服务质量,创新服务模式,推动可靠电子签名、电子认证和电子合同在电子商务中的实际应用,在统一的证书策略体系框架下推进电子签名认证证书的互认互操作,发挥电子签名的保障作用,提高电子交易的安全性和效率。鼓励软硬件及系统集成企业通过云服务等模式,为电子商务用户提供硬件、软件、应用安全服务。鼓励通信运营商加强宽带信息基础设施建设,提高新一代通信网络的覆盖范围和服务水平,为电子商务用户提供接入、服务托管及商务应用解决方案等服务。发挥国家科技计划的引领和支撑作用,加大对电子商务基础性研究、关键共性技术研究的支持力度,积极开展成果转化、咨询培训等工作。
 
       认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议
 
       体系结构
        RPR的体系结构如下图所示。RPR采用了双环结构,由内层的环1和外层的环0组成,每个环都是单方向传送。相邻工作站之间的跨距包含传送方向相反的两条链路。RPR支持多达255个工作站,最大环周长为2000km。
        
        RPR体系结构
   题号导航      2016年下半年 电子商务设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第30题    在手机中做本题