浅谈电子商务中的安全技术
浅谈电子商务中的安全技术
王海
(南京航空航天大学信息科学与技术学院 南京 210016)
E-mail:wwanghaih@https://www.360docs.net/doc/379297008.html,
摘 要:电子商务的安全保障是电子商务发展的基础,本文分析了电子商务所采用的主要的安全技术, 包括现代加密理论(对称加密、公钥体制)、完整性保障、数字签名以及认证技术在电子商务中的应用。
关键词:电子商务;加密技术;完整性保障;数字签名认证技术
1.引言
所谓电子商务(Electronic Commerce),是指通过电子手段来完成整个商业贸易活动的过程。电子商务主要涉及三方面内容:信息、电子数据交换和电子资金转帐。在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。
2.电子商务面临的安全威胁[1]及安全需求[2]
2.1电子商务面临的安全威胁
电子商务的安全性并不是一个孤立的概念,它不但面临着系统自身的安全性问题;而且,由于它是建立在计算机和通信网络基础上的,所以计算机及通信网络的安全性问题同样会蔓延到电子商务中来。电子商务在这样的环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类:
2.1.1信息的截获和窃取
如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。
2.1.2信息的篡改
攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段有三种:
(1)篡改:改变信息流的次序。
(2)删除:删除某个消息或消息的某些部份。
- 1 -
(3)插入:在消息中插入一些无用的信息,让接收方读不懂或接收错误的信息。
2.1.3信息假冒
攻击者通过掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息来欺骗其用户。主要有两种方式:
(1)伪造电子邮件:如虚开网站和商店,给用户发电子邮件,收订货单。
(2)假冒他人身份:如冒充主机欺骗合法主机及合法用户。
2.1.4交易抵赖
指交易单方或双方否认曾进行的交易行为。
2.2电子商务的安全需求
电子商务面临的威胁导致了对电子商务安全的需求。真正实现一个安全电子商务系统所要求做到的各个方面主要包括:机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性、匿名性、原子性等安全需求。
2.2.1机密性:
机密性(Confidentiality)又叫保密性,是指信息在传送或存储的过程中不被他人窃取、不被泄露或披露未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。机密性一般通过密码技术对保密的信息进行加密处理来实现。
2.2.2完整性:
完整性(Integrity)又叫真实性,是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。完整性一般可通过提取信息消息摘要的方式来获得。
2.2.3认证性:
认证性(Authentication)是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务中,认证性一般都通过证书机构CA和证书来实现。
2.2.4不可抵赖性:
不可抵赖性又叫不可否认性(Non-repudiation ),是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,这是一种法律有效性要求。不可抵赖性可通过对发送信息进行数字签名来获得。
2.2.5不可拒绝性:
商务服务的不可拒绝性(Denial of Service)又叫有效性,或可用性,是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。
2.2.6访问控制性:
访问控制性(Access Control)是指在网络上限制和控制通信链路对主机系统和应用的访问;用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。
2.2.7匿名性:
匿名性(Anonymity)指发送者匿名性、接收者匿名性、发送者与接收者之间的无连接性。其包含三个方面含义:信息分离、防勾结和匿名度。其中,匿名度是将匿名性从绝对隐藏、
- 2 -
可能暴露、到暴露分为若个等级,用来衡量网络支付协议所达到的匿名程度。
2.2.8原子性:
原子性(Atomicity) }zl`zs}是指整个支付协议(一般包括初始化阶段、订购阶段、支付阶段、清算阶段等)看作一个事务,保证要么全部执行,要么全部取消。原子性包括:钱原子性(money atomicity)、商品原子性(goodsatomicity)、确认发送原子性(certified delivery)。3.电子商务的安全技术
3.1防火墙枝术
在电子商务中,为了保证客户、销售商、移动用户、异地员工和内部员工等合法授权用户的安全访问,同时避免及保护企业的机密信息不受黑客和间谍的入侵,必须为电子商务系
统提供一个安全屏障——防火墙[3]
。实现防火墙技术的主要途径有:数据包过滤、应用网
关、代理服务。
数据包过滤技术是在网络层(IP层)中对数据包实施有选择的通过,依据系统内事光设定的过滤逻辑检查数据流中每个数据包后,根据数据包的源地址、目的地址所用的TCP/UDP 端口与TCP链路状态等因素来确定是否允许数据包通过。
应用网关技术是建立在应用层上的协议过滤,它针对特别的网络应用服务协议——数据过滤协议,能够对数据包分析并形成相关报告,对某些易于登录和控制所有输出输入的通迅环境给予严格的控制,以防有价值的程序和数据被窃取。
代理服务技术作用在应用层上,是由一个高层的应用网关作为代理服务器,接受外来的应用连接请求,进行安全检查后再与被保护的网络应用服务器连接,使得外部服务用户可以在受控制的前提下使用内部网络的服务,同样,内部网络到外部的服务连接也可以受到监控。应用网关的代理服务实体将对所有通过它的连接做出日志记录,以便对安全漏洞检查和收集相关的信息。使用应用网关的高层代理服务实体有以下优点:日志记录,便于网络管理;隐蔽信息,内部受保护的主机名等信息不为外部所知;可以由应用网关代理有关RPC服务,进行安全控制。
3.2加密技术
加密技术是电子商务采取的基本安全措施,贸易方可根据需要在信息交换的阶段使用。其基本功能是提供机密性服务。而且使用其它安全技术时也会使用加密技术。加密算法通过扰频来保护信息。这样,只有信息所有者才能够阅读。加密技术分为两类,即单钥密码体制和双钥密码体制。
3.2.1单密钥密码体制
单钥密码体制又称对称密钥加密,其特点是采用相同的加密算法并只交换共享的专用密钥(加密和解密都使用相同的密钥)。使用对称加密方法可以简化加密的处理,每个贸易方都不必研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实
现[4]
。由于加密和解密有着共同的算法,从而计算速度非常迅速,且使用方便、计算量小、
- 3 -
加密效率高,所以对称加密算法广泛应用于对大量数据如文件的加密过程中。
该机制的主要缺点在于密钥难以管理,主要问题是贸易双方要保持一致的密钥,保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。此外,如果某一贸易方有“n”个贸易关系,那么他就要维护“n”个专用密钥(即每把密钥对应一个贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方,因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。就世界范围而言,对称加密算法的突出代表是 1997 年美国分布的 DES 算法,它被广泛应用于商业和金融业中。在 DES 中,明文以 64 位二进制分块加密,密钥长度为 64 位,其中 56 位为有效位,8 位为校验位,产生出 64 位的密文块。DES 的保密性仅取决于对密钥的保密,而算法是公开的。DES 内部复杂的结构是至今没有找到破译方法的重要原因。此外,IDEA、RCS 和 RC4 也是比较通用的对称加密算法。单密钥技术用于网络系统的不多,这是由于密钥管理困难的原因。
3.2.2双钥密码体制
双钥密码体制又称非对称密码体制或公钥体制,与对称加密算法不同的是,使用公开密钥算法时,密钥被分解为一对,即公开密钥和专用密钥。公开密钥通过非保密方式向他人公开,而专用密钥加以保存。这是一种只交换保密电文而不交换保密算法本身的方法,使用一对相互匹配的加解密密钥,每个密钥进行单向的数据变换。当一个密钥进行加密时,只有相对应的另一个密钥才能解密。
公开密钥算法的特点如下:
用加密密钥 PK 对明文 X 加密后,再用解密密钥 SK 解密,即可恢复出明文,写为:(1)DSK(EPK(X))=X;
(2)从已知的 PK 实际上不可能推导出 SK:
(3)加密和解密的运算可以对调,即:EPK(DSK(X))=X。
在非对称加密体系中,由于必须由两个密钥配合使用才能完成加密和解密的全过程。因而窃密者不能象通常那样由加密算法推出解密算法,这一点显然有助于加强数据的安全性。但是,这种算法的缺点是速度很慢,公开加密算法加密和解密同样的数据所花费的时间是秘密密钥算法的 1000 倍。RSA算法是非对称加密领域内最为著名的算法。RSA算法由 Ron Rinvest、AdiShamir 和 Leonard Adleman于 1977 年发表。整个 RSA加密体制是建立在大素数因数分解很困难的基础上的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与明文编码相乘对文件加密,均可由另一个质数再相乘来解密。但是,如果要用一个质数来求出另一个质数,则是十分困难的。每个网络上的用户都有一对私钥和公钥。公钥是公开的,可以公布在网上,也可以公开传送给其他人,私钥只有自己知道,是保密的。在加密应用时,发送者用接收者的公钥给密件加密发给接收者,一旦加密后,只有接
收者用自己的私钥才能解密[4]
。公开密钥可以适应网络的开放性要求,且密钥管理问题也
较为简单,尤其可方便实现数字签名和验证技术。
3.3认证技术
信息认证是安全性的很重要的一个方面。信息认证的目的有两个:
- 4 -
(1)确认信息发送者的身份
(2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。
认证是为了防止有人对系统进行主动攻击的一种重要技术。与认证有关的技术包括数字签名技术、身份认证技术和信息的完整性校验技术等。
3.3.1数字签名技术
数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要,在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。在电子商务中,完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公正人面前能够验证真伪能力。应用广泛的数字签名方法主要有三种,即 RSA签名、DSS 签名和 Hash签名。这三种方法可单独使用,也可综合在一起使用。RSA数字签名源于 RSA公开密钥系统,是目前在网络上最为流行的一种数字签名方法。RSA数字签名与 RSA加密过程,在使用专用密钥和公开密钥上正好相反。在应用数字签名时,发送者用自己的密钥给摘要加密发给接收者,一旦加密后,接收者只有用发送者的公钥才能解密,从而达到签名的作用。
3.3.2身份认证技术
电子商务身份认证提供了对合法用户的身份鉴别,以便具有合法授权的用户可以使用电子商务系统。身份认证机制包括两部分,即数字证书(DC)证书授权机构(CA)。电子商务证书就是这样~种由权威机构发放的用来证明身份的事物。数字证书又称数字凭证,是用电子手段来证实一个用户身份和对网络资源的访问权限。证书是一份文档,它记录了用户的公开密钥和其它身份信息,如名字和E-mail地址。它是一个经证书授权中心数字签名的文件。一般情况下,证书中还包括密钥的有效时间、发证机关的名称以及该证书的序列号等信息。在网上的电子交易中,如果交易双方都出示各自的数字证书,那么双方都可不必对对方身份的真伪担心。
数字证书有三种类型:个人数字证书、企业证书和软件证书。其中个人数字证书和企业证书是常用的证书。大部分认证中心提供前两种证书。在电子商务的认证体系中,证书授权机构又称为电子商务认证中心。它是承担网上认证服务、能签发数字证书并能确认用户身份的受大家信任的第三方机构。电子商务认证中心是保证电子商务安全的关键。它可以是某个政府机构或独立的厂商,但关键是大家都信任它。认证中心应包括两大部门:审核授权部门RA,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担审核错误所引起的一切后果; 证书操作部门 CP,它负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果。
3.3.3信息完整性
信息内容的认证,即完整性校验,常用的方法是:信息发送者在信息中加入一个鉴别码并经加密后发送给接收者检验。接收者利用约定的算法对解密后的的信息进行运算,将得到的鉴别码与收到的鉴别码进行比较,若二者相等,则接收;否则拒绝接收。
3.4虚拟专用网技术
- 5 -
虚拟专用网络是企业网在因特网等公共网络上的延伸。虚拟专用网技术(VPN)是通过公共网络建立的一个提供数据加密,访问控制及认证服务的临时、安全的连接。由于它可以在两个系统中建立安全的信道,非常适合电子数据交换(EDI)。在虚拟专用网中交易双方相互比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全。虚拟专用网是进行电子商务比较理想的一种形式。根据应用的不同需要,基于 Internet 建立的
[5]
VPN 主要有以下三种类型:
3.4.1内部网 VPN
内部网 VPN 是通过公共网络将一个组织的各分支机构的 LAN 连接而成的网络,称为Intranet,它是公司网络的扩展。当一个数据传输通道的两个端点被认为是可信的时候,可以采用“内部网 VPN”解决方案,其安全性主要在于加强两个 VPN服务器间的加密和认证手段。
3.4.2远程访问 VPN
远程访问 VPN 是通过 Internet的远程拨号访问在办公室和公司内部网之间建立一条加密信道,实现一个安全连接。以 Internet作为远程访问的骨干网比传统的方案更容易实现,而且花钱更少。远程访问 VPN 在安全性上除了加密以外,还要考虑加密密码的强度,认证方法以及公司相应的安全策略。对于有较高安全度的远程访问,VPN 具有能够截取到特定主机的信息流,有加密,身份验证和过滤等功能。
3.4.3外部网 VPN
外部网 VPN 为公司合作伙伴,顾客,供应商和在外地的公司雇员提供安全支持,保证数据在传输过程中不被修改,保护网络资源不受外部威胁,它能够保证包括 TCP和 UDP 服务在内的各种应用服务的安全,而且能够适用于各种操作平台,协议,各种不同的认证方案和加密算法。外部网 VPN 是一个由加密,认证和访问控制功能组成的集成系统。它可以建立在网络协议的上层,如应用层:也可以建立在较低的层次,如网络层。外部网 VPN 并不假定连接的公司双方之间存在双向信任关系,其安全性是通过在 Internet 上建立一条隧道(Tunnel)来保证包过滤后的信息传输的安全,而且,外部网 VPN 能够根据尽可能多的参数来控制对网络资源的访问,参数包括源地址,目的地址,应用程序的用途,所用的加密和认
[6]
证类型,个人身份,工作组和子网等。
4.结语
总之,安全是电子商务的核心和灵魂,没有安全保障的电子商务应用只是虚伪的炒作或欺骗,任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的电子商务流程中传输。我国要坚持在吸收、引进的前提下,组织各方面力量,独立研制和开发具有独立知识产权的网络安全和电子商务安全产品,逐步掌握电子商务安全的核心技术,并从宏观上进行调节和控制,我国的电子商务安全现状一定会得到极大的改善,为我国电子商务的真正发展构筑一道牢不可破的坚固屏障。
- 6 -
参考文献
[1]覃征.《电子商务导论》[M],北京:人民邮电出版社,2000
[2]张福德.《电子商务安全技术》[M],北京:中国城市出版社,2001
[3]肖德琴,祁明,彭丽芳.《电子商务安全保密技术与应用》[M],广州:华南理工出版社,2003
[4]Carlisle Adams Steve Lloyd著,混等国译《公开密匙基础设施一概念,标准和实施》
[5]祁明.《电子商务安全与保密》[M]],北京:高等教育出版社,2001
[6]朱鸣.《网络安全现状和发展趋势》[J],计算机应用与软件,2004 (21).5 ,121一122
Simply Analyse of the security practice in
Electronic Commerce
Wang Hai
(College of Information Science&Technology of Nanjing University of Aeronautics and
Astronautics,Nanjing 210016)
Abstract
The security of e-commerce is a foundation of e-commerce development ,this text has analyzed the main security practice that e-commerce adopts, including Encryption theory (Secret Key Encryption ,Public Key Encryption,),integrality, digital signature and application in e-commerce of authentication technology.
Keywords:E-commerce; the encryption; integrality, digital signature; authentication technology
作者简介:王海(1977-),男,南京航空航天大学信息科学与技术学院2005级在读硕士研究生。主要从事计算机网络等方面的研究。
- 7 -
浅谈电子商务中的安全技术
浅谈电子商务中的安全技术 王海 (南京航空航天大学信息科学与技术学院 南京 210016) E-mail:wwanghaih@https://www.360docs.net/doc/379297008.html, 摘 要:电子商务的安全保障是电子商务发展的基础,本文分析了电子商务所采用的主要的安全技术, 包括现代加密理论(对称加密、公钥体制)、完整性保障、数字签名以及认证技术在电子商务中的应用。 关键词:电子商务;加密技术;完整性保障;数字签名认证技术 1.引言 所谓电子商务(Electronic Commerce),是指通过电子手段来完成整个商业贸易活动的过程。电子商务主要涉及三方面内容:信息、电子数据交换和电子资金转帐。在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。 2.电子商务面临的安全威胁[1]及安全需求[2] 2.1电子商务面临的安全威胁 电子商务的安全性并不是一个孤立的概念,它不但面临着系统自身的安全性问题;而且,由于它是建立在计算机和通信网络基础上的,所以计算机及通信网络的安全性问题同样会蔓延到电子商务中来。电子商务在这样的环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类: 2.1.1信息的截获和窃取 如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。 2.1.2信息的篡改 攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段有三种: (1)篡改:改变信息流的次序。 (2)删除:删除某个消息或消息的某些部份。 - 1 -
电子商务网络安全技术
5.2 电子商务网络安全技术 一、防火墙技术 1、什么是防火墙 防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了。 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、具有潜在破坏性的侵入。防火墙示意图:
2、防火墙种类 从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。 3、防火墙的使用 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 二、病毒防范措施 1、用户应养成及时下载最新系统安全漏洞补丁的安全习惯,从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时,升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。 2、请定期做好重要资料的备份,以免造成重大损失。 3、选择具备“网页防马墙”功能的杀毒软件(如KV2008),每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。 4、请勿随便打开来源不明的Excel或Word文档,并且要及时升级病毒库,开启实时监控,以免受到病毒的侵害。 5、上网浏览时一定要开启杀毒软件的实时监控功能,以免遭到病毒侵害。
6、上网浏览时,不要随便点击不安全陌生网站,以免遭到病毒侵害。 7、及时更新计算机的防病毒软件、安装防火墙,为操作系统及时安装补丁程序。 8、在上网过程中要注意加强自我保护,避免访问非法网站,这些网站往往潜入了恶意代码,一旦用户打开其页面时,即会被植入木马与病毒。 9、利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。 10、将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。 11、开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。 5.3 加密技术 一、加密技术 1、概念 加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多
浅谈电子商务网站的安全及应对措施
浅谈电子商务网站的安全及应对措施 [摘要]近年来,由于电子商务网站提供在线销售、在线支付等功能因而它对网站的安全性要求非常高。基于此,本文探讨了网站安全存在的一些隐患,以及对影响网站安全方面的原因进行了简单的阐述,并论述了在构建电子商务网站时应采取的安全措施。 [关键词]电子商务,网站安全,防范技术 引言 随着电子商务网站影响力的不断扩大和人们需求的不断提升,商品的网络交易日益旺盛。电子商务网站发展成为企业展现自我、宣传产品的重要窗口,也成为商家与客户联系的网络平台。同时企业依靠电子商务网站提供在线销售、在线支付等功能。因此电子商务网站的安全性对企业及客户显得非常重要,尤其是实时交易网站其安全性更加重要。那么如何建设一个安全的电子商务网站,防范网络病毒和木马,保护商家、客户信息是企业面临的首要问题。 一、电子商务网站的安全隐患 电子商务网站主要存在物理和软件两个方面的安全隐患。 物理方面的安全隐患主要是设备的硬件损坏,如:硬件设备的功能失常、电源故障、自然灾害、受到外力的攻击造成硬件设备的损坏。 软件方面的安全隐患可分为两种:一种是服务器内部存在的隐患;另一种是在信息传输过程中存在的安全隐患。 服务器内部存在的安全隐患,主要在于操作系统的漏洞和企业内部管理的漏洞。操作系统的安全隐患主要表现在:一是操作系统本身的缺陷包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题,一般用户都采用系统的默认设置,这个是比较危险的。三是病毒和黑客对操作系统的威胁。四是操作系统中运行的大量应用软件存在安全问题。电子商务企业内部管理疏漏、管理不严也会使网站存在安全隐患,如系统管理员设置的口令过短或过于简单,导致很容易破解;员工管理不严,非系统管理人员随意进入机房;防盗和屏蔽工作不到位等等。 信息传输过程中的安全隐患主要表现在:一是互联网上传递的大多数信息没有被加密因而传输中的信息容易被窃取和篡改,而且目前网络上提供免费实现这些功能的软件。二是TCP/IP协议缺乏安全策略。三是网站系统的访问控制配置过于复杂,可能出现配置错误或配置不全面有漏洞。四是网络应用服务本身存在缺陷。 二、影响电子商务网站安全的主要因素 (一)在网站设计上安全理念不到位 大多数网站设计,一般只考虑实现用户所需求的功能,界面符合用户的要求,很少考虑到安全问题。由于大多数网站设计开发者、网站维护人员对网站攻防技术并不了解或了解的较少,一般只侧重于实现用户所需求的功能,写出的代码他们自认为比较好因为他们对网站攻防技术了解不多因而很难发现漏洞,即使开发出的网站存在安全漏洞,用户使用时也察觉不到。而这些漏洞就成为黑客进入系统的机会。 (二)网站缺乏有效的安全防护措施 只有少数的网站会投入资金到网站安全上,如购置防篡改系统等。大多数的网站为了节
当前电子商务安全技术的研究及发展趋势
龙源期刊网 https://www.360docs.net/doc/379297008.html, 当前电子商务安全技术的研究及发展趋势 作者:孙晓茹 来源:《商场现代化》2013年第26期 摘要:所谓电子商务具体指的是以商务为核心,以电子以及电子技术为主要手段,将以 往传统的购物渠道、销售渠道转移至互联网,切实的打破地区和国家无形或者有形的壁垒。以此使生产企业实现一体化、全球化、个性化、网络化。与过去的商务活动方式相比,电子商务具备着透明化、成本低以及效率高等诸多优势,因而受到了很多商务人士的认可及青睐。然而,电子商务安全问题则对电子商务的有序发展带来了极大制约。本文简要研究了电子商务安全技术,并且分析了电子商务安全技术的发展趋势。 关键词:电子商务安全技术发展趋势 近些年以来,由于电子商务行业的迅猛发展和普及,使得电子商务安全问题逐渐显现出来。事实上,电子商务师在相对开放的互联网平台上建立起来的,对于大陆的机密信息,例如:报价、支付以及方案等均在网络中传输、存储及处理,这便对电子商务的安全性有了越来越高的要求。所以,电子商务安全性已是确保电子商务可持续发展的一个关键问题。所以,我们需要进一步强化对电子商务安全技术的深入分析,希望可以对未来电子商务发展产生一些积极影响。 一、目前电子商务发生出现的诸多安全问题 1.用户信息安全性问题。现阶段,基于B/S结构的电子商务站是电子商务最主要的形式,用户通过浏览器登录网络加以交易。因用户在登录的过程当中,有可能使用的是公共计算机,而这些计算机中如果有病毒亦或是恶意木马程序存在,那么口令、用户名等用户登录信息就会面临丢失的危险。 2.网络协议安全性问题。应用最为广泛的一种网络协议就是TCP/IP,但是因为TCP/IP自身就具备着相对较强的开放性,而用户及企业在进行电子交易中的数据往往是采用数据包的方式予以发送的,这便极易使得恶意攻击展开数据包拦截对某个电子商务网站,甚至假冒或者修改数据包。 3.电子商务网站的安全性问题。对于一些企业自行构建的电子商务网站,在制作及设计的过程中便会有一些安全隐患存在,并且服务器操作系统自身也存在漏洞,如果不法攻击者侵入电子商务网站,就会使得相当一部分的交易信息与用户信息被窃取。 二、电子商务常应用的安全技术以及今后的发展趋势 1.网络安全技术。我们都知道,为更好的应用电子商务,必须将其放置在网络环境当中。但是,在网络当中,避免会存在着大量安全隐患,所以,必须借助先进的网络安全技术来确保
浅谈电子商务中的安全问题
浅谈电子商务中的安全问题 摘要:在互联网日益发展的今天,利用网络先进技术去发展贸易成了大势所趋,电子商务逐渐成为了我们生活中的一部分。但是日益严峻的电子商务安全问题,也成为影响电子商务功能发挥的一个重要内容,因此,如何处理好电子商务中的安全问题,至关重要。笔者通过长期的调研,在立足实践的基础上,根据技术及经验,对目前国内的电子商务的发展现状进行了分析和总结,对目前国内的电子商务困境也做出了相应的探析,针对目前存在的问题进行了探讨,以期能够通过深入的研究,对目前电子商务安全做出一些贡献,对应对电子商务的安全问题,提出一些可行性建议。 关键词:电子商务问题;技术保障 随着互联网技术的不断发展,它给人们带来了便捷的生活,也在不同程度上促进了电子商务的诞生和兴起。因此,就如何促进电子商务的发展问题,国内外学者对其做出了相应的探讨。但是在技术不断发展的今日,电子技术在进步的同时,黑客技术也在不断地发展,对人们的电子商务的安全问题造成了一定的困扰。在这样的一个背景下,如何在电子商务逐步发展的前提下,促进安全环境的营造,需要较高的技术以及管理经验。电子商务的固有属性是极端开放,在目
前防御技术尚不够先进的前提下,极端开放是一把双刃剑,它可以使得电子商务更便捷,更有利于人们的生活,同时也使得人们的个人信息安全遭受侵害,因此,如何更好地使用好这把双刃剑,对于技术和管理也提出了相应的挑战。 一、为何要提高电子商务的安全性 由于互联网本身极端开放的属性,因此在使用过程中,可以给更多的用户带来更便捷的方式来管理好自己的电子 商务,可以服务于大范围内的群体,为了能实现互联网的持续发展,也为了电子商务的发展,必须使得其用户对于电子商务环境有更大的信息,必须能够保证用户的信息安全受到有效的保护,因此,笔者归纳出用户在使用过程中的几点要求。 1.个人信息受到有效保护 在网络平台上的交易活动,必须利用好技术,实现用户信息安全。一般的互联网信息安全较网络信息安全,而电子商务由于涉及钱财往来,且在互联网这个开放的环境下,更容易受到外界环境的侵扰。在当前的环境下,根据实践观察,笔者认为,信息保密工作主要有两大部分组成,它们分为两个不同的群体:第一,是电子商务的商家群体,一般在互联网进行交易的商家,都会涉及商业信息问题,在这一过程中,应当确保其关键及敏感的商业机密不被侵犯,具体而言,包括重要客户订单、涉及金额等,在这样的前提下,如果电子
电子商务安全与管理
1、简述电子商务流程 答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。 ②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型 答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。 3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险) 电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题? (1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。 8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。 9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。
电子商务安全技术研究
电子商务安全技术研究 董永东葛晓滨 (1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601) 摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。 关键词电子商务;安全;技术 1 引言 电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。 2 电子商务面对的安全问题及其对策 电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。 2.1 电子商务中的安全隐患 电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面: (1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。 (3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。 (4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。 2.2 电子商务面对的安全问题 2.2.1 计算机安全问题 计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具
电子商务安全技术试卷
电子商务安全技术试卷
————————————————————————————————作者:————————————————————————————————日期:
XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项: 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求,在规定的位置填写答案。 3. 不要在试卷上乱写乱画,不要在装订线内填写无关的内容。 4. 满分100分,考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题(共10分,每空1分): 1.电子商务安全从整体上分为( )和电子商务交易安全两大部分。 2.所谓加密,就是用基于( )方法的程序和保密的密钥对信息进行编码,把明文变成密文。 3.密码体制从原理上可分为单钥体制和( )。 4.链路-链路加密中,由于传送的信息在每个节点处都将以( )形式存在,故要加强每个节点的实体安全。 5. 电子商务活动是需要诚信的,如何来确定交易双方的身份就显得特别重要。目前,是通过认证中心(CA )发放( )来实现的。 6. 数字证书是利用数字签名和( )来分发的。 7. ( )允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8. 分布式防火墙是一种( )的安全系统,用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9. ( )又称灾难恢复,是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人
10. 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题(共10分,每题1分) 1.故意攻击网站触发安全问题,以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 ( ) 2.分组密码是一种重要的对称加密机制,它是将明文按一定的位长分组,输出不定长 度的密文。 ( ) 3.在代理多重签名中,一个代理签名可以代表多个原始签名人。 ( ) 4.数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接受方用 发送方的公开密钥进行解密。 ( ) 5.SSL 建立在TCP 协议之上,它与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。 ( ) 6.认证机构CA 和注册机构RA 都可以发放数字证书。 ( ) 7.实现防火墙的网络安全策略时,可以遵循的两条原则是:一是未被明确允许的一定 都将被禁止;二是未被明确禁止的未必都被允许。 ( ) 8.不连网的计算机不会感染计算机病毒。 ( ) 9.为了确保系统管理人员的忠诚可靠,系统管理的工作应当长期由一人来负责。( ) 10.计算机信息媒体出入境的普遍办理过程一般为先申报,后检测,最后报送。 ( ) 三、选择题(共40分,每小题2分) 1. 软件开发人员为了方便,通常也会在软件里留下“后门”,通过在后门里植入 ( ),很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2.确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 ( ) A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信,她需要用 什么来加密 ( ) A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中,不正确的是 ( ) A 、收方能够确认或证实发方的签名,但不能伪造 得 分 评分人 得 分 评分人
浅谈电子商务中的安全问题.(一)
浅谈电子商务中的安全问题.(一) 摘要:电子商务的安全问题是电子商务的核心问题。本文分析了电子商务中存在的安全隐患,及其对安全性的要求,并阐述目前解决电子商务安全的主要技术及相关措施。 关键词:电子商务;安全措施;探讨1引言 电子商务是通过电子方式处理和传递数据,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拔、电子证券交易、商业拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的份额,其原因就在于电子商务的安全问题,根据美国一个调查机构对近30000名因特网用户的调查显示,由于担心电子商务的安全性问题,超过60%的网民不愿意进行网上交易,因此,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。 2电子商务对安全的要求 对电子商务活动安全性的需求以及可使用的网络安全措施,主要包含如下几方面。 (1)如何确定通信中的贸易伙伴的真实性?常用的处理技术是身份认证,依赖某个可信赖的机构发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。 (2)如何保证电子单证的秘密性,防范电子单证的内容被第三方读取?常用的处理技术是数据加密和解密。 (3)如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失?对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性检验;也可采用双方约定的方法(即在规定的时间内,通过某种方式进行确认)。 (4)如何确定电子单证的内容未被篡改;单证传输完整性主要采用散列技术来防止非法用户对单证的篡改,通过散列算法对被传输的单证进行处理,产生一个依赖于该单证的短小的散列值,并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。 (5)如何确定电子单证的真实性?鉴别单证真实性的主要手段是数字签名技术,其基础是数据加密中的公开密钥加密技术,实用中常结合单证完整性一起考虑,利用发送方的密钥对散列值进行加密。 (6)如何解决或者仲裁收发双方对交换的单证所产生的争议,包括发方或收方可能的否认或抵赖?通常要求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。 (7)如何保证存储信息的安全性?如何规范内部管理?如何使用访问控制权限和日志以及敏感信息加密存储?当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术来保护内部网络的安全性。 3电子商务采用的主要安全技术 为了确保电子商务在交易过程中信息有效、真实、可靠且保密,目前主要采用的安全技术有加密技术、身份认证技术和交易的安全认证协议。安全认证协议用来保证电子商务中交易的安全性,如set、ssl、s/mime、s-http等。下面我们主要来介绍这些技术。 3.1加密技术 加密技术是电子商务系统所采取的最基本的安全措施,加密的主要目的是防止信息的非授权泄漏。密码算法是一些数学公式、法则或程序,算法中的可变参数是密钥。根据密码算法所使用的加密密钥和解密密钥是否相同,能否由加密密钥推导出解密密钥,可以将密码算法分为对称密码算法和非对称密码算法。一般来说,在一个加密系统中,信息使用加密密钥加密后,接收方使用解密密钥对密文解密得到原文。 3.1.1对称加密/对称密钥加密
电子商务安全技术试卷及答案
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
电子商务的安全论文电子商务安全性论文
电子商务的安全论文电子商务安全性论文: 电子商务的安全技术分析 摘要:该文对目前流行的电子商务活动中存在的安全隐患问题进行了研究和分析,并提出了相应的技术解决策略。 关键词:电子商务;网络安全;策略 中图分类号:TP393文献标识码:A文章编 号:1009-3044(2010)22-6165-02 Analysis of E-commerce Security Technology HAN Liang, HE Rong-yi (Shandong University At Weihai Network and Information Management Center, Weihai 264209, China) Abstract: In this paper, the popular e-commerce activities of the security risks that exist in issues research and analysis, and the corresponding technical solution. Key words: e-commerce; network security; strategy 随着互联网的飞速发展,电子商务已经成为全球互联网经济领域中越来越重要的经营和运作模式,由于互联网模式的开放性和自由性,
随之而来的是由于网络安全隐患带来的一系列影响电子商务安全的问题。电子商务安全已经成为当前的热点问题。电子商务就是指各种具有商业活动能力的实体,利用计算机技术、网络技术和远程通信技术、来实现整个商务中的电子化、数字化、网络化以及自动化所进行的各种商业活动。换句话说,电子商务是利用简单、快捷、低成本的电子通信方式,买卖双方不见面地进行各种商贸活动。 1 电子商务安全性的要求 1.1 信息的保密性 信息的保密性是指相关信息在网络传输或存储过程中能够安全,不能被外人所获取。在网上交易,必须保证买卖双方的信息的保密,严格执行相关的保密措施。 1.2 数据的完整性 在网上交易过程中,由于人为的因素,不可避免的会出现数据录入的违法行为,为此有可能导致电子商务数据的产生差异。同时信息在传输过程中也会出现错误。要采取措施保证信息的合法正常操作。 1.3 服务的有效性
电子商务安全技术
第8章电子商务安全技术 (一) 单项选择 1、()是确保电子商务参与者无法抵赖(或否认)其网上行为的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 2、()是确认与你在Internet上交易的个人或者试题的身份的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 3、()是确保信息和数据只能被得到授权的人读取的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 4、SET是指() A 安全电子交易 B 安全套接层协议 C 安全HTTP D 安全电子技术 5、()是可以组织远程客户机登录到你的内部网络。 A 代理服务器 B 防病毒软件 C 操作系统控制 D 防火墙 6、()可以监视通过网络传递的信息,从网络上任何地方盗取企业的专有信息。 A 恶意代码 B 电子欺骗 C 网络窃听 D 内部人行为 7、()是用来保护信道安全的最常用的方式。 A 安全超文本传输协议 B 安全套接层协议 C 虚拟专用网 D 公共网络 8、()很可能成为电子商务中最典型的犯罪行为。 A 网上信用卡诈骗 B 电子欺骗 C 网络窃听 D 恶意代码 9、()通常感染可执行文件。 A 宏病毒 B 脚本病毒 C 文件感染型病毒 D 特洛伊木马 10、()向网站大量发送无用的通信流量从而淹没网络并使网络瘫痪。 A 拒绝服务攻击 B 阻止服务攻击 C 分布式拒绝服务攻击 D 分散式拒绝服务攻击 11.以下攻击手段中不属于欺骗攻击的是() A.伪装B.会话劫持C.洪水攻击D.中间人攻击 12.签名者在不知道签名具体信息的情况下所做的签名称为()。 A.群签名B.盲签名C.团体签名D.防失败签名 13.以下匿名的实现机制中,()通过在群内随机转发消息来隐藏消息的发送者。A.群方案B.匿名转发器链C.假名D.代理机制 14.以下电子现金方案中,()系统的数字现金证书当天有效。 A.E--Cash B.Mini--Pay C.CyberCash D.Mondex 15.()是对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。 A.漏洞扫描B.入侵检测C.安全审计D.反病毒 16.散列函数对同一报文M,无论何时何地,反复执行该函数得到的输出结果都是一样的,是指散列函数的()。 A.单向性B.普适性C.不变性D.唯一性 17使用密钥将密文数据还原成明文数据,称为:()。 A:解码;B:解密C:编译;D:加密; 18、所谓对称加密系统就是指加密和解密用的是()的密钥。 A、不同 B、互补 C、配对D相同 19、在下面的选项中不符合非对称密钥体制特点的是()。 A、密钥分配简单 B、密钥的保存量少 C、密钥的保存量多 D、可实现身份识别 20、电子支票在使用过程中,需要通过()来鉴定电子支票的真伪。
电子商务安全问题的现状与未来
电子商务安全问题的现状与未来 摘要:在全球信息化影响下,电子商务需要不断完善。针对电子商务现状制定实施恰当的产业政策十分必要。本文从电子商务技术发展环境、存在的问题、发展趋势探讨分析了我国电子商务发展的现状。 关键词:电子商务;发展趋势;教育产业;应用前景 电子商务源于英文ELECTRONIC COMMERCE,简写为EC。内容包含两方面,一是电子方式,二是商贸活动。一般指利用电子信息网络等电子化手段进行的商务活动以及商务活 动的电子化与网络化。电子商务还包括政府机构、企事业单位各种内部业务的电子化。电子商务是一种现代化商业和行政方法,通过改善产品和服务质量、提高服务传递速度,通过计算机网络加快信息交流以支持决策。 一、我国电子商务面临的困境与问题 1. 消费观念问题。我国金融体系的呆板和服务意识的淡漠,直接造成中国的消费市场缺乏信用消费概念支持,信用体系一直缺乏完善的保障机制与信用机制,货币电子化进程缓慢。银行与银行之间、银行与消费者之间画地为牢,迫使那些想尝试信用消费的人必须为此付出额外的精神和财力 代价。于是当电子商务这种新型商业模式出现时,众多消费
者只能是裹足不前,电子商务模式依然远不足与现实生活中的传统商业模式相匹敌。 2. 搜索技术与标准问题。搜索引擎看起来很简单:用户输入一个查询关键词,搜索引擎就按照关键词语到数据库去查找,并返回最合适的WEB页链接。但根据NEC研究所与INKTOMI公司最近研究结果表明,目前在互联网上至少10 亿网页需要建立索引。而现在搜索引擎仅仅能对5亿网页建立索引,仍然有一半不能索引。这主要不是由于技术原因,而是由于在线商家希望保护商品价格的隐私权。因此当用户在网上购物时,不得不一个网站一个网站搜索下去,直到找到满意价格的物品为止。各国电子商务的交易方式和手段存在差异,面对无国界、全球贸易,需要在电子商务交易过程中建立相关的统一标准,以解决电子商务活动的相互操作问题。 3. 电子商务的安全与管理问题。电子商务的安全问题仍是影响电子商务发展的主要因素。在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要 的因数之一。调查公司曾对电子商务的应用前景进行过在线调查,当问到为什么不愿意在线购物时,绝大多数人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,有一部分人或企业因担心安全问题而不愿意使用电子商务,安全成为电子商务发展中最大的障碍。管理的概念应该涵盖商务
浅谈电子商务的安全问题
山东英才学院 毕业论文(设计) 论文(设计)题目:浅谈电子商务的安全问题 二级学院:商学院 学科专业:电子商务 学号:090406340452 姓名:刘登宝 班级:试点本科一班 指导教师:谭建强 论文提交时间:2012年5月25日 山东英才学院教务处制 2012年3月15日
毕业论文(设计)内容介绍 论文(设计) 题目 浅谈电子商务的安全问题 选题时间2012.5.16完成时间2012.5.25论文(设计) 字数 5702 关键词电子商务安全信息技术 论文(设计)题目的来源、理论和实践意义: 1.来源:由于我国互联网交易的种种安全问题以及各种欺诈盗窃信息等各方面 网上交易面临的安全。 2.意义:电子商务作为现代商务活动的一种新形式,因其高效率、低成本而日 益受到国内外企业的青睐。关注我国电子商务的安全问题,从优化经济社会发展环境的高度认清营造电子商务环境的必要性和重要性。在当今激烈的网络竞争中,去更好的营造一个良好的网络交易环境。电子商务安全的提高有利于互联网信息的有效传播,同时网上交易安全问题得到有效的解决。电子商务的安全能促进我国网络经济的现代化速度加快,更好的促进我国经济的发展。 论文(设计)的主要内容及创新点: 内容:电子商务安全问题的因素、解决手段以及未来我们电子商务发展的趋势和电子商务存在的安全隐患。同时,内容从整体上了解我国电子商务发展面临的网络环境,我国电子商务与世界电子商务发展的不同。我国电子商务安全发展所涉及到的技术手段的种类以及面临的各种网络安全问题。 附:论文(设计)本人签名:年月日
目录 摘要 (1) 关键词 (1) 第一章绪论 (2) 第二章电子商务的定义 (3) 第三章电子商务的发展前景 (4) 第四章电子商务的安全因素与网络隐患 (5) 一、电子商务的安全因素 (5) 二、电子商务的网络安全隐患 (5) 第五章电子商务安全中的几种技术手段 (7) 1.防火墙(Fire Wall)技术 (7) 2.加密技术 (7) 3.数字签名 (8) 4.数字证书 (8) 5.消息摘要(Message Digest) (8) 结论 (9) 参考文献 (10)
浙师大电子商务安全技术单选题题目
单项选择题 1.在电子商务系统可能遭受的攻击中,从信道进行搭线窃听的方式被称为( B) A.植入B.通信监视C.通信窜扰D.中断 2.消息传送给接收者后,要对密文进行解密是所采用的一组规则称作(D ) A.加密B.密文C.解密D.解密算法 3.在以下签名机制中,一对密钥没有与拥有者的真实身份有唯一的联系的是(A ) A.单独数字签名B.RSA签名C.ELGamal签名D.无可争辩签名4.MD-5是___C _轮运算,各轮逻辑函数不同。A.2 B.3 C.4 D.5 5.综合了PPTP和L2F的优点,并提交IETF进行标准化操作的协议是(B ) A.IPSec B.L2TP C.VPN D.GRE 6.VPN按服务类型分类,不包括的类型是( A) A. Internet VPN B.Access VPN C. Extranet VPN D.Intranet VPN 7.目前发展很快的安全电子邮件协议是_______ ,这是一个允许发送加密和有签名 邮件的协议。( C) A.IPSec B.SMTP C.S/MIME D.TCP/1P 8. 对SET软件建立了一套测试的准则。( A) A.SETCo B.SSL C.SET Toolkit D.电子钱包 9.CFCA认证系统的第二层为( B) A.根CA B.政策CA C.运营CA D.审批CA 10. SHECA提供了__A___种证书系统。A.2 B.4 C.5 D.7 11.以下说法不正确的是( A) A.在各种不用用途的数字证书类型中最重要的是私钥证书 B.公钥证书是由证书机构签署的,其中包含有持证者的确切身份 C.数字证书由发证机构发行 D.公钥证书是将公钥体制用于大规模电子商务安全的基本要素 12.以下说法不正确的是( C) A. RSA的公钥一私钥对既可用于加密,又可用于签名 B.需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C.一般公钥体制的加密用密钥的长度要比签名用的密钥长 D.并非所有公钥算法都具有RSA的特点 13. _______是整个CA证书机构的核心,负责证书的签发。( B) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器14.能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是(A ) A. PKI B.SET C.SSL D.ECC 15. _______在CA体系中提供目录浏览服务。( D) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器 16. Internet上很多软件的签名认证都来自_______公司。( D) A.Baltimore B.Entrust C.Sun D.VeriSign 17.SSL支持的HTTP,是其安全版,名为( A) A.HTTPS B.SHTTP C.SMTP D.HTMS 18. SET系统的运作是通过C 个软件组件来完成的。A.2 B.3 C.4 D.5 19.设在CFCA本部,不直接面对用户的是(A ) A.CA系统B.RA系统C.LRA系统D.LCA系统 20. CTCA的个人数字证书,用户的密钥位长为(D ) A.128 B.256 C.512 D.1024