电子商务安全技术研究
电子商务安全技术研究
董永东葛晓滨
(1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601)
摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。
关键词电子商务;安全;技术
1 引言
电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。
2 电子商务面对的安全问题及其对策
电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。
2.1 电子商务中的安全隐患
电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面:
(1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。
(3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。
(4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。
2.2 电子商务面对的安全问题
2.2.1 计算机安全问题
计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具
有很重要的影响,保证计算机的安全也就成为电子商务安全中所要重点关注的问题。
安全专家通常把计算机安全分成三类:保密、完整和即需。保密是指防止未经授权的数据暴露并确保数据源的可靠性;完整是防止未经授权的数据修改;即需是防止延迟或拒绝服务。计算机安全中最知名的领域是保密,新闻媒体上每个月都会有非法进入政府计算机或用偷来的信用卡号订购商品的报道。相对来说完整所受的安全威胁较少,因此大众对这个领域比较陌生。如果一封电子邮件的内容被篡改成完全相反的意思,这就是对完整性的破坏。对即需性破坏的案例很多,而且频繁发生。延迟一个消息或消除它有时会带来灾难性的后果。
2.2.2 网络安全问题
开放性和资源共享是Internet最大的特点,也是其优点,但开放性所带来的隐患确实不容忽视。同时Internet采用TCP/IP传输协议,这种协议本身并没有采取任何措施来保护传输内容不被窃取,而TCP/IP协议本身没有考虑安全传输,很多应用程序,如Telnet、FTP 等,甚至使用明文来传输非常敏感的口令数据。这些都带来网络安全问题,网络安全所遭受到的攻击可以分为四类:
(1)中断。指系统的部分组件遭到破坏或使其不能发挥作用,例如切断系统主机对外的网络连线使其无法使用,这是对系统的可用性做攻击。
(2)介入。指未经授权者授权取得系统的资源,其中的未经授权者可以是一台计算机、一个人,或是一组程序,例如,利用软件窃取网络上传送的机密数据,就是对数据机密性的攻击。
(3)篡改。指系统资源被未经授权的人所取得、乃至篡改内容,例如在网络上传送的订单遭到任意改变,是对数据的正确性的攻击。
(4)假造。指未经授权者授权将假造数据放入系统中,这是对数据的真实性的攻击,如在网络上假造身份证明文件以假冒他人。
2.3 电子商务安全措施
针对电子商务面对的安全隐患和安全问题,结合电子商务用户对电子商务活动安全性的需求,我们在电子商务安全措施上可以重点关注以下几种举措:
(1)贸易伙伴的真实性确认。常用的处理技术是身份认证,依赖某个可信赖的机构(认证中心CA)发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。
(2)保证电子单证的秘密性,防范电子单证的内容被第三方读取。常用的处理技术是数据加密和解密。加密技术包括对称密钥加密技术(典型算法有DES、Triple DES、IDEA、RC4和RC5)和非对称密钥加密技术(典型算法有RSA、SEEK、PGP和EU等)。单证传输的安全性依赖于使用的算法和密钥的长度。
(3)确保业务单证传输的不会丢失(或者发送方可以察觉所发单证的丢失)。对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性检验,即为单证分配序列号或者增加时间戳;也可采用双方约定的方法,即在规定的时间内,通过某种方式进行确认,包括采用特定的确认报文(如:订单确认报文或者电子邮件确认和电话确认等)。
(4)电子单证的内容完整性。为确保电子单证未被篡改主要采用散列技术来实现,通过散列算法对被传输的单证进行处理,产生一个依赖于该单证的短小的散列值(通常在100-200比特之间),并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。典型的散列算法有SHA-1、MD2和MD5等。
(5)电子单证的真实性的保障。鉴别单证真实性的主要手段是数字签名技术,其基础是数据加密中的公开密钥加密技术,实践中常结合单证完整性一起考虑,利用发方的秘密密钥对散列值进行加密。目前可用的数字签名算法很多,如:RSA数字签名、ELGamal数字签名等。
(6)防止电子商务交易的抵赖。解决或者仲裁收发双方对交换的单证所产生的争议,
包括发方或者收方可能的否认或抵赖。通常要求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为争议的仲裁依据。
(7)保证存储信息的安全性。通过强化并建立规范的内部管理,使用访问控制权限和日志,以及敏感信息的加密存储等手段。当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术、内/外网隔离技术等保护内部网络的安全性。
(8)安全的约定。为了达到商务活动的要求,电子商务需要有规定顾客、商家和各金融机构之间的责权关系的政策,给出参与各方的数据存储和通信过程以及数据流动的支付协议。并在这些协议中,要充分考虑到对安全性的要求。
2.4 电子商务安全的技术手段
通过对电子商务安全措施的讨论,我们可以探知电子商务运行过程中的安全技术手段主要体现在加密技术、认证技术和安全认证协议这三个方面。下面我们对此再进行更深层次的讨论。
2.4.1加密技术
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。它们的主要区别在于所使用的加密和解密的密码是否相同。
一般的数据加密模型如图1所示,它是采用数学方法对原始信息(明文)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(密文),而对于合法的接收者,因为掌握正确的密钥,可以通过解密过程得到原始数据。在图1中,E为加密算法,ke为加密密钥,D为解密算法,Kd为解密密钥。如果按照收发双方密钥是否相同来分类,可以将加密技术分为对称密钥加密技术和非对称密钥加密技术,两种技术最有名的代表分别为DES和RSA。
图1 数据加密的一般模型
1)对称密钥加密体制
对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
使用对称加密技术将简化加密的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。
2)非对称密钥加密体制
非对称密钥加密系统,又称公钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。
在非对称加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为私用密钥(解密密钥)加以保存。私用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布。
该方案实现信息交换的过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密信息进行解密。
2.4.2 认证技术
信息认证的目的主要是:1)确认信息发送者的身份;2)验证信息的完整性,即确认
信息在传送或存储过程中未被篡改过。下面从安全认证技术和安全认证机构两个方面来做介绍。
2.4.2.1常用的安全认证技术
安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
1)数字摘要
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。
2)数字信封
数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。
3)数字签名
数字签名(又称公钥数字签名、电子签章)是以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,可用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可。是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。
4)数字时间戳
在书面合同中,文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。而在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。
5)数字证书
在交易支付过程中,参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。
数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名,因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书,才能参加安全电子商务的网上交易。数字证书一般有四种类型:客户证书、商家证书、网关证书及CA系统证书。
2.4.2.2安全认证机构
在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而需要有一个具有权威性和公正性的第三方来完成,它就是电子商务授权机构,也称为电子商务认证中心(Certificate Authority,简称CA)。认证中心是电子商务的一个核心环节,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份等工作的具有权威性和公正性的第三方服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
2.4.2.3 安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
1)安全套接层(SSL)协议
安全套接层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。SSL协议的概念可以被概括为:它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。
SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。
2)安全电子交易(SET)协议
安全电子交易是一个通过开放网络进行安全资金支付的技术标准,由VISA和MasterCard组织共同制定,于1997年联合推出。由于它得到了IBM、HP、Microsoft等很多大公司的支持,已成为事实上的工业标准,目前已获得IETF标准的认可。这是一个为Internet上进行在线交易而设立的一个开放的、以电子货币为基础的电子付款规范。
SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。SET将建立一种能在Internet上安全使用银行卡购物的标准。安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,是一种能广泛应用于Internet上的安全电子付款协议,它能够将普遍应用的信用卡的使用场所从目前的商店扩展到消费者家里,扩展到消费者个人计算机中。
3 结束语
本文介绍了电子商务所面临的安全问题,研究了电子商务安全的相关手段和技术。笔者认为,安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,我们必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。与电子商务技术永远都在不断往前发展一样,电子商务安全技术也永远都不会有一个终极版本,它必定会在业界人士的不断努力下,越来越趋于成熟和完善。
参考文献
[1]杨坚争.电子商务基础与应用[M].西安: 西安电子科技大学出版社,2000
[2]方美琪.电子商务概论[M].北京:清华大学出版社,1999
[3]蒋文杰.电子商务实用教材[M].杭州:浙江大学出版社,2006
[4]陈进.电子商务金融与安全[M].北京:清华出版社,2000
[5]吴洋.电子商务安全方法研究[D].天津:天津大学,2006
[6]李艳.电子商务信息安全策略研究[J].甘肃科技,2005,(06)
[7]成卫青,龚俭.网络安全评估[J].计算机工程,2003,(02)
[8]甘悦.浅议电子商务信息安全体系的构建[J].西北成人教育学报,2007(02)[9]朱稼兴.电子商务大全[M].北京航空航天出版社,2004
电子商务概论教案完整
教案首页
第一节电子商务的基本概念 一、电子商务的作用和特点 二、电子商务的概念及内涵 电子商务系指交易当事人或参与人利用计算机技术和网络技术(主要是互联网)等现代信息技术所进行的各类商务获得弄个包括货物贸易、服务贸易和知识产权贸易。 含义: (1)电子商务是一种采用最先进信息技术的买卖方式 (2)电子商务实质上形成了一个虚拟的市场交换场所 (3)对电子商务的理解,应从“现代信息技术”和“商务”两个方面考虑 (4)电子商务不等于商务电子化 第二节电子商务的分类 一、按照交易对象分类 按照交易对象分类,电子商务可以分为3种类型: 1.企业与消费者之间的电子商务 2.企业与企业之间的电子商务 3.企业与政府方面的电子商务 二、按照商务活动内容分类 按照商务活动的内容分类,电子商务主要包括两类商业活动。 1.间接电子商务 2.直接电子商务
三、按照使用网络类型分类 根据使用网络类型的不同,电子商务目前主要有3种形式:第一种形式是EDI(电子数据交换)商务,第二种形式是互联网(internet)商务,第三种形式是intranet(内联网)商务 第三节电子商务的基本组成 电子商务的基本组成要素有网络、用户、认证中心、物流配送、网上银行、商家等。 电子商务的任何一笔交易都包含3种基本的‘流’,即物流、资金流和信息流。
一、企业与消费者之间的电子商务 (一)网上商场 (二)物流配送 (三)支付结算 目前在B2C电子商务方式中主要的支付方式有送货上门付款、汇款方式和电子支付方式。 (四)安全认证 采用B2C模式电子商务的企业大致可分为经营着离线商店的零售商、没有离线商店的虚拟零售企业和商品制造商。 二、企业间的电子商务 企业间的电子商务(简称B2B模式)即企业与企业之间,通过网络进行产品交易或服务的经营活动。 目前企业采用的B2B可以分为面向中间交易市场的水平B2B电子商务和面向制造业或商业的垂直B2B电子商务两种模式。 第五节企业电子商务的基本框架
浅谈电子商务中的安全技术
浅谈电子商务中的安全技术 王海 (南京航空航天大学信息科学与技术学院 南京 210016) E-mail:wwanghaih@https://www.360docs.net/doc/1415068213.html, 摘 要:电子商务的安全保障是电子商务发展的基础,本文分析了电子商务所采用的主要的安全技术, 包括现代加密理论(对称加密、公钥体制)、完整性保障、数字签名以及认证技术在电子商务中的应用。 关键词:电子商务;加密技术;完整性保障;数字签名认证技术 1.引言 所谓电子商务(Electronic Commerce),是指通过电子手段来完成整个商业贸易活动的过程。电子商务主要涉及三方面内容:信息、电子数据交换和电子资金转帐。在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。 2.电子商务面临的安全威胁[1]及安全需求[2] 2.1电子商务面临的安全威胁 电子商务的安全性并不是一个孤立的概念,它不但面临着系统自身的安全性问题;而且,由于它是建立在计算机和通信网络基础上的,所以计算机及通信网络的安全性问题同样会蔓延到电子商务中来。电子商务在这样的环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类: 2.1.1信息的截获和窃取 如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。 2.1.2信息的篡改 攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段有三种: (1)篡改:改变信息流的次序。 (2)删除:删除某个消息或消息的某些部份。 - 1 -
电子商务网络安全技术
5.2 电子商务网络安全技术 一、防火墙技术 1、什么是防火墙 防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了。 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、具有潜在破坏性的侵入。防火墙示意图:
2、防火墙种类 从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。 3、防火墙的使用 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 二、病毒防范措施 1、用户应养成及时下载最新系统安全漏洞补丁的安全习惯,从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时,升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。 2、请定期做好重要资料的备份,以免造成重大损失。 3、选择具备“网页防马墙”功能的杀毒软件(如KV2008),每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。 4、请勿随便打开来源不明的Excel或Word文档,并且要及时升级病毒库,开启实时监控,以免受到病毒的侵害。 5、上网浏览时一定要开启杀毒软件的实时监控功能,以免遭到病毒侵害。
6、上网浏览时,不要随便点击不安全陌生网站,以免遭到病毒侵害。 7、及时更新计算机的防病毒软件、安装防火墙,为操作系统及时安装补丁程序。 8、在上网过程中要注意加强自我保护,避免访问非法网站,这些网站往往潜入了恶意代码,一旦用户打开其页面时,即会被植入木马与病毒。 9、利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。 10、将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。 11、开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。 5.3 加密技术 一、加密技术 1、概念 加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多
浙师大电子商务安全技术单选题题目
单项选择题 1.在电子商务系统可能遭受的攻击中,从信道进行搭线窃听的方式被称为( ) A.植入B.通信监视C.通信窜扰D.中断 2.消息传送给接收者后,要对密文进行解密是所采用的一组规则称作( ) A.加密B.密文C.解密D.解密算法 3.在以下签名机制中,一对密钥没有与拥有者的真实身份有唯一的联系的是( ) A.单独数字签名B.RSA签名C.ELGamal签名D.无可争辩签名4.MD-5是____轮运算,各轮逻辑函数不同。A.2 B.3 C.4 D.5 5.综合了PPTP和L2F的优点,并提交IETF进行标准化操作的协议是( ) A.IPSec B.L2TP C.VPN D.GRE 6.VPN按服务类型分类,不包括的类型是( ) A. Internet VPN B.Access VPN C. Extranet VPN D.Intranet VPN 7.目前发展很快的安全电子邮件协议是_______ ,这是一个允许发送加密和有签名 邮件的协议。( ) A.IPSec B.SMTP C.S/MIME D.TCP/1P 8. 对SET软件建立了一套测试的准则。( ) A.SETCo B.SSL C.SET Toolkit D.电子钱包 9.CFCA认证系统的第二层为( ) A.根CA B.政策CA C.运营CA D.审批CA 10. SHECA提供了_____种证书系统。A.2 B.4 C.5 D.7 11.以下说法不正确的是( ) A.在各种不用用途的数字证书类型中最重要的是私钥证书 B.公钥证书是由证书机构签署的,其中包含有持证者的确切身份 C.数字证书由发证机构发行 D.公钥证书是将公钥体制用于大规模电子商务安全的基本要素 12.以下说法不正确的是( ) A. RSA的公钥一私钥对既可用于加密,又可用于签名 B.需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C.一般公钥体制的加密用密钥的长度要比签名用的密钥长 D.并非所有公钥算法都具有RSA的特点 13. _______是整个CA证书机构的核心,负责证书的签发。( ) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器14.能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是( ) A. PKI B.SET C.SSL D.ECC 15. _______在CA体系中提供目录浏览服务。( ) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器 16. Internet上很多软件的签名认证都来自_______公司。( ) A.Baltimore B.Entrust C.Sun D.VeriSign 17.SSL支持的HTTP,是其安全版,名为( ) A.HTTPS B.SHTTP C.SMTP D.HTMS 18. SET系统的运作是通过个软件组件来完成的。A.2 B.3 C.4 D.5 19.设在CFCA本部,不直接面对用户的是( ) A.CA系统B.RA系统C.LRA系统D.LCA系统 20. CTCA的个人数字证书,用户的密钥位长为( ) A.128 B.256 C.512 D.1024
电子商务安全技术试卷
电子商务安全技术试卷
————————————————————————————————作者:————————————————————————————————日期:
XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项: 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求,在规定的位置填写答案。 3. 不要在试卷上乱写乱画,不要在装订线内填写无关的内容。 4. 满分100分,考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题(共10分,每空1分): 1.电子商务安全从整体上分为( )和电子商务交易安全两大部分。 2.所谓加密,就是用基于( )方法的程序和保密的密钥对信息进行编码,把明文变成密文。 3.密码体制从原理上可分为单钥体制和( )。 4.链路-链路加密中,由于传送的信息在每个节点处都将以( )形式存在,故要加强每个节点的实体安全。 5. 电子商务活动是需要诚信的,如何来确定交易双方的身份就显得特别重要。目前,是通过认证中心(CA )发放( )来实现的。 6. 数字证书是利用数字签名和( )来分发的。 7. ( )允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8. 分布式防火墙是一种( )的安全系统,用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9. ( )又称灾难恢复,是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人
10. 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题(共10分,每题1分) 1.故意攻击网站触发安全问题,以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 ( ) 2.分组密码是一种重要的对称加密机制,它是将明文按一定的位长分组,输出不定长 度的密文。 ( ) 3.在代理多重签名中,一个代理签名可以代表多个原始签名人。 ( ) 4.数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接受方用 发送方的公开密钥进行解密。 ( ) 5.SSL 建立在TCP 协议之上,它与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。 ( ) 6.认证机构CA 和注册机构RA 都可以发放数字证书。 ( ) 7.实现防火墙的网络安全策略时,可以遵循的两条原则是:一是未被明确允许的一定 都将被禁止;二是未被明确禁止的未必都被允许。 ( ) 8.不连网的计算机不会感染计算机病毒。 ( ) 9.为了确保系统管理人员的忠诚可靠,系统管理的工作应当长期由一人来负责。( ) 10.计算机信息媒体出入境的普遍办理过程一般为先申报,后检测,最后报送。 ( ) 三、选择题(共40分,每小题2分) 1. 软件开发人员为了方便,通常也会在软件里留下“后门”,通过在后门里植入 ( ),很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2.确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 ( ) A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信,她需要用 什么来加密 ( ) A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中,不正确的是 ( ) A 、收方能够确认或证实发方的签名,但不能伪造 得 分 评分人 得 分 评分人
电子商务安全技术试卷及答案
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
电子商务安全技术
第8章电子商务安全技术 (一) 单项选择 1、()是确保电子商务参与者无法抵赖(或否认)其网上行为的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 2、()是确认与你在Internet上交易的个人或者试题的身份的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 3、()是确保信息和数据只能被得到授权的人读取的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 4、SET是指() A 安全电子交易 B 安全套接层协议 C 安全HTTP D 安全电子技术 5、()是可以组织远程客户机登录到你的内部网络。 A 代理服务器 B 防病毒软件 C 操作系统控制 D 防火墙 6、()可以监视通过网络传递的信息,从网络上任何地方盗取企业的专有信息。 A 恶意代码 B 电子欺骗 C 网络窃听 D 内部人行为 7、()是用来保护信道安全的最常用的方式。 A 安全超文本传输协议 B 安全套接层协议 C 虚拟专用网 D 公共网络 8、()很可能成为电子商务中最典型的犯罪行为。 A 网上信用卡诈骗 B 电子欺骗 C 网络窃听 D 恶意代码 9、()通常感染可执行文件。 A 宏病毒 B 脚本病毒 C 文件感染型病毒 D 特洛伊木马 10、()向网站大量发送无用的通信流量从而淹没网络并使网络瘫痪。 A 拒绝服务攻击 B 阻止服务攻击 C 分布式拒绝服务攻击 D 分散式拒绝服务攻击 11.以下攻击手段中不属于欺骗攻击的是() A.伪装B.会话劫持C.洪水攻击D.中间人攻击 12.签名者在不知道签名具体信息的情况下所做的签名称为()。 A.群签名B.盲签名C.团体签名D.防失败签名 13.以下匿名的实现机制中,()通过在群内随机转发消息来隐藏消息的发送者。A.群方案B.匿名转发器链C.假名D.代理机制 14.以下电子现金方案中,()系统的数字现金证书当天有效。 A.E--Cash B.Mini--Pay C.CyberCash D.Mondex 15.()是对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。 A.漏洞扫描B.入侵检测C.安全审计D.反病毒 16.散列函数对同一报文M,无论何时何地,反复执行该函数得到的输出结果都是一样的,是指散列函数的()。 A.单向性B.普适性C.不变性D.唯一性 17使用密钥将密文数据还原成明文数据,称为:()。 A:解码;B:解密C:编译;D:加密; 18、所谓对称加密系统就是指加密和解密用的是()的密钥。 A、不同 B、互补 C、配对D相同 19、在下面的选项中不符合非对称密钥体制特点的是()。 A、密钥分配简单 B、密钥的保存量少 C、密钥的保存量多 D、可实现身份识别 20、电子支票在使用过程中,需要通过()来鉴定电子支票的真伪。
电子商务交易的安全技术
E-business电子商务 0802013年1月 https://www.360docs.net/doc/1415068213.html, 电子商务交易的安全技术浅析 浙江财经学院信息学院 程亚星 摘 要:在当今人们的生活中,电子商务已成为不可或缺的元素。随着电子商务的迅速发展,电子商务交易、支付的迅猛增加,一些网络黑客任意截获、盗取或者恶意攻击电子商务网站,给电子商务交易的安全造成了威胁。在预防电子商务交易中个人信息泄露,防止信息被恶意篡改的技术探索中,得出了防火墙与入侵检测技术的恰当结合是解决电子商务交易网络安全的有效方法之一。本文主要探讨防火墙、入侵检测技术及二者联动在电子商务交易安全中的应用。 关键词:电子商务交易 防火墙 入侵检测 信息安全 中图分类号:F724 文献标识码:A 文章编号:1005-5800(2013)01(b)-080-02 近年来,随着越来越多的商家与企业加入电子商务大军,2012年天猫、京东、苏宁易购、腾讯都进行了不断的收购,腾讯投资10亿元到电商业务。据艾瑞咨询发布的统计数据,截至2012年6月底,中国网民数量达到5.38亿,受益于网购市场的高速发展全年网购交易规模突破13000亿,电子商务产业已成为我国经济中的亮丽风景。同时,电子商务交易安全问题日益严重,信息安全已成为未来电子商务顺利发展的重要保证,确保商务交易中的安全是当前电子商务发展面临的巨大挑战。近年来已经逐渐发展成熟的防火墙与入侵检测技术已颇具成效,成为解决电子商务交易网络安全的重要手段。其中,防火墙技术因其静态防御的特性而在策略完善和攻击的识别上还存在很多不足之处,入侵检测技术能够很好地对恶意攻击网络行为进行有效的识别,可以对防火墙的不足进行补充。它若与防火墙技术结合使用,便可对电子商务交易安全发挥重要作用。 1 防火墙的关键技术 防火墙是利用了IP封包过滤技术,被放置在Internet与被保护的网络两者之间的屏障。它可以对过往的信息与数据进行不安全因素监测与分析,对不良数据与恶意信息进行过滤,对各种病毒与木马入侵进行拦截;防止网络信息被攻击和篡改。一般的防火墙系统主要包括Telnet、Email、WWW、FTP等代理服务器,以及用户登录、加密、审计、过滤路由、身份审核与验证、堡垒主机等基本功能模块组成。各个服务器与各个功能模块分工明确,经过有效的配合,能够实现共同抵御不安全网络攻击行为的目标。 防火墙具有很多功能,主要体现在:(1)防火墙可以将网络内部的信息屏蔽起来,避免外界干扰和攻击。(2)防火墙可以监测、审计和分析进入和流出网络的数据信息,对恶意信息进行筛选。(3)壁垒主机功能模块可以有效阻断外部入侵。(4)防火墙可以阻止所有可疑的对网络的访问,拦截所有携带病毒攻击的报文,并且可以预防这些病毒与木马的传播和扩散。但是,具有了这些功能网络也并不是绝对安全的,实践证明防火墙体系还存在许多漏洞,诸如尽管防火墙可以记录一切网络访问的活动,但是却也为黑客提供了入侵的端口,也有些黑客也能够绕过防火墙而进入网络,这些漏洞需要我们认真对待,及时完善防火墙技术。 1.1 包过滤技术 包过滤技术是防火墙技术中的一种,该技术的主要通过数据包过滤来实现的。其作用是阻塞某些主机及网络对内部网络的连接,这种技术主要工作在网络层。它为危机四伏的网络提供着过滤路由器的技术。例如,利用这种技术可以限制网络访问者去访问非法、色情站点等。可以通过选择系统内部的访问控制表Access Control List,选取恰当的网络位置,并在这个位置对数据包选择性的滤取,满足网络传输要求的数据包被过滤出来,并且可以通过一些网络安全协议在网络间进行有序的传输,其余不符合网络传输要求的数据包则被过滤出来,并最终在数据流中彻底删除,避免危害网络安全。 数据包过滤技术也存在一定漏洞,例如它只能通过数据包的端口号码、目的地址及协议类型等对数据包进行分析和判断,是只工作在网络层的过滤技术。这就决定了该技术不能对网络应用层的数据进行筛选和分析,对于应用层内的不良网络入侵不发挥功效。 1.2 代理(Proxy)技术 代理(Proxy)技术是完全不同于数据包过滤技术的应用网关技术——Application Gateway。它主要拦截一切信息流,工作在网络层,不同的应用配有不同的程序实现防护功能。代理技术以状态性为主要特征,目标是在网络应用层实现不安全访问的防范。代理技术能够展现与应用和传输相关联的所有信息与数据的状态,并且能够规范管理甚至及时处理这些传输应用信息。 代理是内外网间的网关,是工作在网络应用层上的特殊服务,且网络应用服务与应用代理具有一对一的关系。这让通信的网络服务器与客户之间不会进行直接的联系,而是通过代理进行转接与中继。代理服务器主要分为服务器代理和客户代理两大分支,前者负责完成与服务器间的通讯,后者负责完成与客户的对接通讯。随之而来的是代理服务器与服务器方面以及地理服务器和客户方面的两大类连接,这些连接都需要代理技术来进行维持。对服务器方面而言,代理是客户端,负责访问服务。对客户方面,代理是服务器,负责目的服务器与客户的对接。 1.3 状态检测技术 状态检测技术是采用对网络通信各层的数据传输进行检测的手段,是利用检测模块对动态数据包过滤技术的完善。状态检测技术可以提取一些数据的状态信息,并能够将这些信息进行动态保存,目的是方便以后做出安全决策。这种技术本质上讲采用的还是以会话为基本原色的一种连接检测机制,将属于同一连接性质的数据包同一成一个数据流整体后形成连接状态表。通过这些表的相互协作达成对表中各个连接元素的分析和甄别,为提高传输效率可随意排列这些表中的记录。用户的访问到达网关以前,检测设备要对数据进行分析和提取,根据网络协议与传输要素,对这些用户数据进行分析、鉴定、识别和过滤。这样,提高了网络的安全级别。
电子商务安全技术
电子商务安全技术 简介:这就是大学上课时学习得电子商务安全技术,就是全书得概要,总结。大学期末考试,可以拿它做为参考。 第一篇电子商务安全概述 电子商务就是由计算机、通信网络及程序化、标准化得商务流程与一系列安全、认证法律体系所组成得一个集合。 电子商务系统就是由Internet、用户、配送中心、认证中心、银行与商家等组成 TCP/IP协议, 第1章电子商务安全基础 乙发送一条信息甲,信息内容就是:请给乙向银行中打入10000元。落款:乙、 甲收到:信息为:请给丙向银行中打入10000元,乙。 其实在传递信息得过程中已被丙修改了信息。 1.1电子商务安全概念 电子商务安全就就是保护在电子商务系统里得企业或个人资产不受未经授权得访问、使用、窜改或破坏。电子商务安全覆盖了电子商务得各个环节。涉及到三方面:客户端-通信传输-服务器端。
电子商务安全得六项中心内容: 1、商务数据得机密性或保密性 通过加密来实现得。 2.电子商务数据得完整性或正确性 一定要保证数据没有被更改过。 3.商务对象得认证性 第三方认证。 CA认证中心。 4.商务服务得不可否认性 5.商务服务得不可拒绝性或可用性。6.访问得控制性 1、2电子商务安全问题 技术上得安全性,安全技术得实用可行性。要考虑以下三方面得问题: 1)安全性与方便性 2)安全性与性能 3)安全性与成本
一、问题得提出 二、电子商务得安全隐患 1、数据被非法截获,读取或修改 数据加密 2、冒名顶替与否认行为 数字签名、加密、认证 3.一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4.计算机病毒 杀毒软件 1.3电子商务安全需求 一、电子交易得安全需求 1、身份得可认证性 保证交易双方身份就是真实得,可靠得,不被冒名顶替。2.信息得保密性
电子商务前沿【文献综述】
湖北工程学院 2017—2018学年度第1学期期末考核答卷 考核课程:电子商务前沿讲座考核类型:考查考核形式:开卷(文献综述) 学生所在院系:经济与管理学院电子商务专业班级:0153005441试卷A 始于2009 年,是高校 竞赛式网络 营销教学实 践平台,锻 炼和培养大学生的网络营销核心能力,每个学期各举办一期,到2016年下半年已进行16期,超过7000个大中专院校的20万师生参加过网络营销能力秀。能力秀——网络营销开始的地方。 移动电子商务商业模式及模式创新文献综述 前言 研究背景:我国互联网络信息中心的数据显示,截到2015年12月底,我国网民规模已达到6.88亿,全国的互联网普及率已达到50.3%。其中,手机用户规模达到了6.20亿,并继续保持稳定增长的态势。而且2016年,全国的网上购物、网络团 购等类似业务再创新高。据统计数据显示,在2016年6月底,我国网民达7.10
亿,其中手机网民达6.56亿,在这种环境下,以互联网、信息技术为核心的电子商务企业的蓬勃发展,而传统零售企业的经营发展受到了电子商务的重创,生意惨淡,面对这样的局势,就要求线上线下相结合,发展移动电子商务,以求实体经济和网络经济平衡发展。 研究目的:通过搜集大量文献和其他网络资源,研究不同学者对电子商务的商业模式的概念理解、商业模式的创新,最后对现有商业模式存在的部分问题提出一些建议,希望能引起更多的学者关注这一问题,并为研究商业模式的学者提供参考价值。研究意义:理论意义:第一,推动移动电子商务事业理性发展。一个企业的商业模式好坏影响着移动电子商务顺利进展。本文所研究的商业模式将给移动电子商务产业带来更好的发展,提供了一个理性全面的发展空间。 第二,本文借助移动网络技术,探索了移动电子商务的商业模式,将商业模式的各个组成部分细分,促使研究的理论方法更加全面。 第三,有利于进行学术交流。对移动电商的商业模式进行相关理论的探索,可以促进学者之间学术交流,同时也为今后从事这一领域研究学者提供参考。 实践意义:第一,在移动互联网背景下研究移动电子商务商业模式,使其更好地发展,给 用户提供服务带来便利,企业明确自身的责任,维护自身的利益。促进企业与企业间合作,达成利益共享。 第二,促进国家社会经济的发展。分析移动电商的商业模式,对促进社会经济产业
浅谈电子商务中的安全问题(一)
浅谈电子商务中的安全问题(一) 摘要]Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。 关键词]电子商务安全网络安全商务安全 2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。 Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。 电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。 一、网络安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。 二、计算机网络安全体系 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。 在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。 对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、
电子商务安全技术()
电子商务安全技术 简介:这是大学上课时学习的电子商务安全技术,是全书的概要,总结。大学期末考试,可以拿它做为参考。 第一篇电子商务安全概述 电子商务是由计算机、通信网络及程序化、标准化的商务流程和一系列安全、认证法律体系所组成的一个集合。 电子商务系统是由Internet、用户、配送中心、认证中心、银行和商家等组成 TCP/IP协议, 第1章电子商务安全基础 乙发送一条信息甲,信息内容是:请给乙向银行中打入10000元。落 款:乙. 甲收到:信息为:请给丙向银行中打入10000元,乙。 其实在传递信息的过程中已被丙修改了信息。 1.1电子商务安全概念 电子商务安全就是保护在电子商务系统里的企业或个人资产不受未经授权的访问、使用、窜改或破坏。电子商务安全覆盖了电子商务的各个环节。涉及到三方面:客户端-通信传输-服务器端。 电子商务安全的六项中心内容: 1.商务数据的机密性或保密性
通过加密来实现的。 2.电子商务数据的完整性或正确性 一定要保证数据没有被更改过。 3.商务对象的认证性 第三方认证。 CA认证中心。 4.商务服务的不可否认性 5.商务服务的不可拒绝性或可用性。6.访问的控制性 1.2电子商务安全问题 技术上的安全性,安全技术的实用可行性。要考虑以下三方面的问题: 1)安全性与方便性 2)安全性与性能 3)安全性与成本 一、问题的提出 二、电子商务的安全隐患 1.数据被非法截获,读取或修改 数据加密
2.冒名顶替和否认行为 数字签名、加密、认证 3.一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4.计算机病毒 杀毒软件 1.3电子商务安全需求 一、电子交易的安全需求 1.身份的可认证性 保证交易双方身份是真实的,可靠的,不被冒名顶替。2.信息的保密性 加密,即使泄露,别人也看不懂。 原文-密文 3.信息的完整性 正确性,一定要保存传递的信息,到达接收方没有被更改。4.可靠性/不可抵赖性 5.审查能力/不可假造。
电子商务安全技术复习指导
电子商务安全技术 一、主要内容与重点 1.网络交易风险和安全管理的基本思路:如今,网络交易风险凸现,国内的犯罪分 子也将触角伸向电子商务领域。为了保证交易的安全进行,通过对网络交易风险源 分析,从技术、管理、法律等方面对网络交易安全管理进行思考,进而形成网络交 易安全管理的基本思路。 2.客户认证技术:客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别 用户身份,保证通信双方的身份的真实性;后者用于保证通信双方的不可抵赖性和 信息的完整性。为此建立认证机构,通过数字签名等技术,保证交易的安全。在此 介绍了对我国电子商务认证机构的建设的设想。 3.防止黑客入侵:介绍了黑客的概念及网络黑客常用的攻击手段,同时也介绍了一 些防范黑客攻击的主要技术手段。 4.网络交易系统的安全管理制度:本节中,我们主要针对企业的网络交易系统加以 讨论,这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。 5.电子商务交易安全的法律保障:介绍了电子合同法律制度和电子签字法律制度, 对我国电子商务交易安全的法律和我国电子商务立法的若干基本问题提出设想。 通过本章的学习,要求了解网络交易的基本思路;掌握身份认证、基于对称密钥的信息认证及基于非对称密钥的信息认证的原理;了解认证机构的设置及证书,以及了解网络黑客常用的攻击手段及交易防范黑客攻击的主要技术手段。掌握网络交易系统的安全管理系统;了解电子商务安全的法律保障。 学习流程
二、网络交易风险和安全管理的基本思路 1.网络交易风险凸现 2.网络交易风险源分析 1.在线交易主体的市场准入问题。 2.信息风险。 3. 信用风险。 4. 网上欺诈犯罪。 5.电子合同问题。 6.电子支付问题 7.在线消费者保护问题 8.电子商务中产品交付问题 3.网络交易安全管理的基本思路 电子商务交易安全是也一个系统工程,一个完整的网络交易安全体系,至少应包括三类措施,并且三者缺一不可。一是技术方面的措施,二是管理方面的措施,三是社会的法律政策与法律保障。 三、客户认证技术 客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别用户身份,保证通信双方的身份的真实性;后者用于保证通信双方的不可抵赖性和信息的完整性。 1、身份认证 1) 身份认证的目标 (1)确保交易者是交易者本人,而不是其他人。 (2)避免与超过权限的交易者进行交易。 (3)访问控制。 2)用户身份认证的基本方式 (1)用户通过某个秘密信息。
电子商务安全性问题文献综述
电子商务的安全性问题及对策 电子商务就是计算机网络及应用,指的是利用简单,快捷,低成本的电子通讯方式,交易双方不谋面地进行各种商贸活动。从它的概念很明显可以看出电子商务是基于因特网的,可是因特网最明显的特性就开放性,而电子商务呢,则要求其信息的保密性。这就要求我们有一系列的电子安全技术来确保电子商务的正常,有序,快捷的进行。 ——(引自周学广《信息安全学》第二版机械工业出版社) 一、商务的安全要求。 随着电子商务的普及应用,安全性显得越来越重要。电子商务只是在表现形式上与传统的商业不同,但着并有改变其商业属性,这就要求电子商务必须遵循商业的一般规律——安全与效率。对于电子商务来说,其高效性已经得到人们的认可。可是电子商务作为一种新生事物,目前世界各国都还没有形成成熟的安全运营模式,所以对其安全性的研究越来越成为人们所关注,这方面的研究也越来越重要。电子商务本身呼吁有一个安全的环境来保证其本身的飞速发展。 ——(引自古月《走近电子商务. 计算机与生活》1999,11:8~14;龚炳铮等《从信息增值到电子商务. 计算机世界》2000,11,20(D45期)) 二、商务的安全威胁。 从安全和信任的角度来看,传统的交易双方是面对面的,因此很容易保证交易过程安全性和建立信任关系。但在电子商务中,交易双方是通过网络来联系的,由于存在空间的距离,交易双方要建立起信任关系相当的困难,交易双方都面临着威胁。这些威胁可以归结为以下几点。 ——(引自李剑《信息安全导论》北京邮电大学) (1)信息泄露 在电子上午中表现为商业的泄露,主要包括两个方面:交易双方在进行交易的内容被第三方窃取;交易一方提供给另一方的信息被第三方非法使用。 (2)信息窜改 在电子商务中表现为真实性和完整性的问题。电子交易的信息在网上传输的过程中,可能被他人非法修改,删除或重改,这样就使信息失去了真实性和完整性。 (3)身份识别 如果不进行身份识别,第三方有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信息或盗取被假冒一方的交易成果等,进去身份识别后就可以使交易双方增加对彼此的信任度。 ——(以上大部分引自《信息安全管理》作者: 影印清华大学出版社)(4)电脑病毒问题 自从有了计算机网络,电脑病毒问题就一直捆饶着广大计算机使用者。各种新型病毒及其变种迅速增加,互联网又为各种病毒的传播提供最好的媒介,传播到计算机上,威胁着电子商务,甚至是整个网络的安全。 (5)黑客问题 随着各种应用工具的传播与应用,黑客已经越来越大众化了,在过去的岁月里只有那些电脑高手才是黑客,而如今只要那些会一点应用工具的人都能成为黑客。要是没有足够好的安全技术,没有够“坚硬”防火墙,个人、企业的信息都
电子商务安全概述
电子商务安全概述 电子商务是以开放的Internet网络环境为基础,其重要的技术特征是使用网络来传输和处理商业信息。万商汇(https://www.360docs.net/doc/1415068213.html,)发现Internet的全球性、开放性、虚拟性、无缝链接性和共享性,使得任何人都可以自由接入,这样,电子商务的技术基础就存在先天的缺陷。开放性、共享性是一柄双 刃剑,使电子商务存在各种各样的安全隐患,认识电子商务过程中的安全问题,并在此基础上针对其进行全面防范尤为重要。 一、电子商务面临的安全问题 中国互联网信息中心CNNIC发布的第18次《中国互联网发展状况统计报告》的数据显示,有25.7%的网民对互联网安全问题不太满意,61.5%的用户因担心交易安全性得不到保障而不进行网上交易。由此可见,如果安全得不到保障,即使Internet再方便,网上购物 再便宜,电子商务也无法得到广大用户的认可。 电子商务面临的安全问题可分为环境安全、网络安全、信息安全和交易安全四个层次。 (一)环境安全 为了保证电子交易能顺利进行,电子交易所使用的基础设施必须安全可靠,否则一切技术、措施将变得毫无意义。环境安全是电子商务的根本,主要包括以下内容。 (1)机房环境安全。计算机网络设备大多是易碎品,不能受重压、强烈震动或强力冲击。同时,对机房环境要求较高,如温度、湿度、
各种污染源等,要特别注意火灾、水灾、空气污染对设备所构成的威胁。 (2)自然灾害或意外事故。各种自然灾害如地震、泥石流、海啸、风暴等容易对网络基础设施造成毁灭性的打击,而一些意外事故如房屋倒塌、突然停电、设备故障或功能失常都会对电子商务的正常运营构成威胁。 (3)行政管理安全。缺乏相关的计算机网络、信息、电子商务安全管理的规章制度,如人员管理制度、保密制度、软件和数据的维护与备份制度等。缺乏对员工的相关法律制度教育,员工责任心、安全防范意识不强。如因保密观念不强或不懂保密规则而造成泄密、因业务不熟练操作失误使文件出错或误发等。 (4)社会环境安全。缺乏计算机网络安全、信息安全、电子商务安全的相关法律法规,社会缺乏一个诚信可靠的网络环境等。安全的电子商务不能仅靠单一的手段(如技术或管理手段),还必须辅以法律、道德等手段,来最终保护参与电子商务各方的利益。 (二)网络安全 计算机网络安全应保证信息系统资源的完整性、准确性,在有限的传播范围,能向所有的合法用户有选择地随时提供各自应得到的网络服务。从逻辑上来讲,计算机网络安全需要保证客户端、服务器、网络接入设备、传输通信设备和网络系统等的安全稳定运行。具体来讲,包括以下几个方面。 (1)黑客的恶意攻击。黑客((Hacker)泛指非法侵入计算机信息系统