电子商务支付与安全第二版第二章答案
安徽工商职业学院工商管理系实训报告
……………………………………………装………………………………
…
…
订
…
…
…
…
…
…
…
…
…
…
…
…
…
…线……………………………………………………………………………………………………………………
电子商务系统安全需求分析资料
电子商务系统安全需求分析 一、电子商务面临各种攻击和风险 由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险: 1.信息的截获和窃取 这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。 2.信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。 3.拒绝服务 拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。 4.系统资源失窃问题 在网络系统环境中,系统资源失窃是常见的安全威胁。5.信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。6.交易的抵赖 交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。 7.病毒攻击 随着互联网的出现,为病毒的传播提供了最好的媒介,不少新病毒直接利用网络作为自己的传播途径,动辄造成数百亿美元的经济损失。 8.黑客问题 现如今,黑客已经大众化,不像过去那样非计算机高手不能成为黑客。 二、明确电子商务安全策略 由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。 下面就各层的主要防御内容从外层到里层进行简要的说明:1.物理安全
电子商务安全协议及支付安全
5.1.1 SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。 图5-1 SSL协议的分层结构 5.1.2 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示: 图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的
MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。 图5-3 SSL记录协议中数据项的格式 5.1.3 SSL握手协议 图5-4 SSL建立新会话时的握手过程 1)建立新会话时的握手过程 握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别,同时通过服务器和客户协商,决定采用的协议版本、加密算法,并确定加密数据所需的对称密钥,随后采用公钥加密技术产生共享机密信息(例如对称密钥)。每次连接,握手协议都要建立一个会话。会话中包含了一套可在多次会话中使用的加密安全参数,从而减轻了每次建立会话的负担。然而,必须指出的是,SSL中的每次连接时,在握手协议中产生的对称密钥都是独特的,这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。 根据是否验证对方的证书,SSL的握手过程可以分为以下三种验证模式:客户和服务器都被验证;只验证客户机,不验证服务器,这是Internet上使用最广泛的形式;客户和服务器都不验证,也称为完全匿名模式。SSL握手协议建立一个新的会话的过程如图5-4所示,具体如下: 阶段1:确定一些相关参数,包括协议版本、会话ID、加密规格、压缩算法和初始随机数 (1)客户端发送client_hello消息给服务器,向服务器传送客户端支持的SSL协议的版
电子商务安全协议
电子商务安全协议 Xxx (华中科技大学电子与信息工程系,武汉430074) 摘要:随着人类进入以网络为主的信息时代,Internet 的高速发展带来了商业和经济模式的重大变革。基于 Internet 发展起来的电子商务慢慢成为人们进行商务活动的新模式,但是安全问题成为了制约其发展的重要因素。本文简单介绍了电子商务安全的相关问题以及电子商务中的主流安全协议:SSL协议与SET协议,并对两种协议的优缺点进行了一定的比较分析。 关键词:电子商务,安全协议,SSL,SET 1.电子商务安全概述 随着信息技术的迅速发展,人类正进入以网络为主的信息时代,基于Internet发展起来的电子商务慢慢成为人们进行商务活动的新模式。但是,电子商务的安全问题也是制约其发展的重要因素之一,如何建立一个安全、便捷的电子商务应用环境,保证整个电子商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样可靠。 1.1.电子商务的定义 电子商务是把现有的计算机软件、硬件设备和网络设施,通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式,同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点,但是却存在安全性方面的许多隐患。 1.2.电子商务的安全要素 为了保证电子商务在整个商品交易活动中,可以安全顺利的进行,一般来说,需要电子商务的安全系统必须具备以下几个安全要素: 1)有效性:要求电子商务系统可以对信息,交易实体的有效性进行鉴别 2)机密性:保证信息在存取和传输过程中的安全性 3)数据的完整性:即保护数据的完整性,防止有人没有经过授权就对数 据内容进行修改,同时还要保证数据的一致性
电子商务安全风险及对策
电子商务安全风险及对策浅析
————————————————————————————————作者:————————————————————————————————日期:
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
电子商务安全技术研究
电子商务安全技术研究 董永东葛晓滨 (1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601) 摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。 关键词电子商务;安全;技术 1 引言 电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。 2 电子商务面对的安全问题及其对策 电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。 2.1 电子商务中的安全隐患 电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面: (1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。 (3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。 (4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。 2.2 电子商务面对的安全问题 2.2.1 计算机安全问题 计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具
电子商务安全与支付
【实验报告】 实验小组小组成员姓名,组长写到第一位实验名称PC机的安全设置 实验目的1、强化计算机系统安全意识; 2、了解操作系统的安全保护措施; 3、学会使用Windows操作系统中常用的安全设置方法。 实验环境进行实验的PC机硬件配置及Windows操作系统版本 实验设计杨阳:1-4步骤王今喜:5-8步骤包威:9-12步骤 孟云:分析及记录实验结果 详细过程(重点操作环节) 序号操作内容操作流程 1 加密文件或文件夹选中自己要加密的文件夹,右键选择属性,然后在 常规窗口的属性里面选择隐藏。 2 将文件夹设为某账 户的专用文件夹, 禁止其他账户使用1)使用【管理员】账户登录系统。 2)选定某个希望加密的文件夹,比如图片中的ELOGO,单击右键,选择“属性”。 3)单击“属性”中的“安全”选项卡。 4)点击“高级”按钮,选择“更改”。 5)单击“高级”按钮,选择“立即查找”,将用户变更为自己当前的用户名(不记得的先锁定计算机,然后再登陆界面上就能看到自己的用户名了)。然后单击“确定”按钮。 6)点击“确定”按钮,然后在点击“确定”按钮。然后便可看到所有者变成了当前用户。 7)再次单击“确定”按钮,然后再次单击“确定”按钮。 8)重复第2~3步。 9)单击“审核”选项卡后,点击“继续”。 10)然后返回“权限”选项卡。 11)点击“禁用继承”。 12)根据图示操作。 13)单击“User\XXXXXX”,然后单击“编辑”(XXXXXX代表计算机名)。 14)取消勾选所有权限即可。 15)单击三个“确定”按钮即可保存。 3 关闭简单文件共享 功能1)首先点击打开菜单,在开始输入栏中输入“计算机管理”,按下回车键打开“计算机管理”窗口。2)打开窗口后在窗口左边依次找到“计算机管理(本地)”—“系统工具”—“共享文件夹”—“共享”,双击共享即可在右边看到“共享文件夹”。3)接着使用鼠标右键点击默认开启的文件夹,选择“停止共享”即可关闭系统默认共享文件夹。
电商平台服务协议、交易规则
(听风阁论坛)电商平台服务协议、交易规则 【总则】 针对XXX科技有限公司所属电子商务平台“(听风阁论坛)”,以下简称平台。在业务开展过程中制定本服务协议、交易规则。为了保障(听风阁论坛)平台各方主体的合法权益,规范各方主体行为,维护商务市场秩序,遵守和维护国家法律法规,制定本方案。 (听风阁论坛)平台所有电子商务活动,适用本方案。本方案所称电子商务活动,是指通过互联网等信息网络销售商品或者提供服务的经营活动。《中华人民共和国电子商务法》对销售商品或者提供服务有规定的,适用其规定。金融类产品和服务,利用信息网络提供新闻信息、音视频节目、出版以及文化产品等内容方面的服务,根据《中华人民共和国电子商务法》相关规定,不适用本方案。 【服务协议】 1、平台将遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。 2、平台将记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。 3、平台将提供明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。平台收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,平台应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。 4、平台收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。
《电子商务安全与支付》考纲、试题
《电子商务安全与支付》考纲、试题 、答案 一、考试说明 《电子商务安全与支付》是电子商务的分支学科,它主要针对翻新的网络破坏和犯罪形式,新的安全技术不断出现和被采用,有力地保障了电子商务的正常开展,本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题,同时涉及交易系统安全管理,介绍电子商务安全的相关法律和电子商务安全解决方案。 本课程闭卷考试,满分100分,考试时间90 分钟。考试试题题型及答题技巧如下: 一、单项选择题(每题2分,共20 分) 二、多选选择题(每题3分,共15 分) 三、名词解释题(每题 5 分,共20 分) 四、简答题(每题9分,共27 分) 答题技巧:能够完整例举出所有答题点,不需要全部展开阐述,适当展开一些,但一定要条理清晰,字迹工整,结构明朗。 五、分析题(每题9 分,共18分) 答题技巧:对所考查的问题进行比较详尽的分析,把握大的方向的同时要尽可能的展开叙述,对问题进行分析,回答问题要全面,同时注意书写流畅、条理清晰。 二、复习重点内容 第1xx 电子商务安全概述 1. 网络攻击的分类(重点掌握):WEB欺骗、网络协议攻击、IP欺骗、远程攻击
2. 电子商务的安全性需求(了解):有效性、不可抵赖性、严密性 3?因特网的主要安全协议(了解):SSL协议、S-HTTP协议、SET协议 4. 数字签名技术、防火墙技术(了解) 第2xx 信息系统安全防范技术、 1 .电子商务的安全性需求(重点掌握):有效性、不可抵赖性、严密性 2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒(了解) 3. 计算机病毒的传播途径(重点掌握):(1)因特网传播:① 通过电子邮件传播,② 通过浏览网页和下载软件传播,③ 通过及时通讯软件传播;(2)局域网传播;(3)通过不可转移的计算机硬件设备传播;(4)通过移动存储设备传播;(5)无线设备传播。 4. 特洛伊木马种类(重点掌握):破坏型特洛伊木马、破坏型特洛伊木马、 远程访问型特洛伊木马、常规的计算机病毒的防范措施(重点掌握):(1)建立良好的安全习惯;(2)关闭或删除系统中不键盘记录型特洛伊木马 5. 需要的服务;(3)经常升级操作系统的安全补丁;(4)使用复杂的密码;(5)迅速隔离受感染的计算机;(6) 安徽专业的防病毒软件进行全面监控;(7)及时安装防火墙 6.防火墙的类型(重点掌握):包过滤防火强、代理服务器防火墙 7?防火墙的安全业务(重点掌握):用户认证、域名服务、邮件处理、IP安全保护第 3 章虚拟专用网络技术 1. VPN网络安全技术包括(了解):隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。 2?隧道协议的构成(了解):PPTP协议、L2TP IPSec/SSTP 第4xx 数据备份与灾难恢复技术
中国电子商务发展现状分析
中国电子商务发体现状分析 一、电子商务的概况 电子商务(EleetrohieCommeree简称EC)是在Internet开放的网络环境下,作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带人一个网络经济、数字化生存的新天地。电子商务,是指实现整个贸易活动的电子化。从涵盖范围方面能够定义为:交易各方以电子方式而不是通过当面交换或直接面谈方式实行的任何形式的商业交易.从技术方面能够定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。实现消费者的网上购物、商户之间的网上交易和在线电于支付的一种新型的商业运营模式。电子商务减少员工成本、文件处理成本,缩短了商业交易时间,提升服务质量,降低了安全库存量,减少错误信息,增加了贸易机会。综观而论,电子商务与传统贸易相比具有:世界性、直接性、便捷性、均等性等四大特点而得到人们的普遍欢迎。在国际竞争面前,从诸多的层次来看,电子商务为我们创造了崭新的市场机会。 电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成一个不可分割的整体;客户能以非常简捷的方式完成过去较为萦杂的商务活动。电子商务的内涵可认为是:信息内容,集成信息资源,商务贸易,协作交流。 电子商务的发展要以推动BZB(企业对企业)业务为重点,从四个方面人手:一要使企业成为主体,二要以专业切人点,三要展开国际贸易的网上交易,四要建立面向中小企业的中介服务网。1997年7月美国政府在泛征求了产业界、消费团体和In-ternet界的意见之后,指定的一个世界电子商务框架(AFrame-workforGlobalEleetro垃eCommeree)计划,其中体现了政府对电子商务的三项基本政策:(l)让企业在电子商务发展中起主导作用(2)政府参与管理应以积极促动电子商务发展为原则,(3)应在世界范围内促动Inter二t上的电子商务。
电子商务的支付安全问题
电子商务的支付安全问题S40dxx 电子商务是国际贸易发展的必然趋势,随着国际电子商务环境的规范和完善,中国电子商务企业必然迅猛发展,但电子支付的安全性直接影响电子商务的发展,解决不好,将成为制约电子商务发展最严重的瓶颈。 电子支付系统的各种安全需求依赖于系统的特征和定义在其操作上的信用假设。一般来说,电子支付系统必须具备授权、完整性、保密性、可用性和可靠性,电子支付系统的各种安全需求依赖于系统的特征和定义在其操作上的信用假设。 1.完整性与授权 一个具有完整性的支付系统不允许一个用户在没有另一个用户明确授权的情况下取走资金。为了防止行贿受贿,没有允许,系统也不能接收款项。授权构成支付系统中最重要的环节。支付授权有三种方式:外部授权、口令和签名。 (1)外部授权。在这种方式中,检验方(银行)通知交易的授权方(付款人),授权方通过一个安全的外部通道(如邮件或电话)同意或否定支付,这是目前用信用卡进行邮汇和电汇的通用方法。任何知道用户信用卡数据的人都可以发起交易,所以合法用户必须检查有关记录并主动地控告非授权交易。如果用户没有在一定时间内(通常为三个月)提出控告,所做交易被默认为有效。 (2)口令授权。对于一个用口令保护的交易,每个从授权方发来的信息需要一个密码检查值,这个值由只有授权方和检验方知道的密码计算得出,而这个密码可以是一个个人标识号(PIN)、一个口令或一个任意形式的共享密码。然而,短的共享PIN ,如一个六位数字很容易遭受攻击,它们本身不能提供高级的安全性,应该只用于控制访问对象智能卡这样的物理标记,因为智能卡采用安全密码机制(如数字签名)执行实际授权。 (3)数字签名。在这种类型的交易中,检验方要求授权方的数字签名。数字签名提供一个原始的非拒绝支付证据,因为只有签名密码的拥有者才能签署有关信息,而知道相应公开密钥的任何人都可以验证签名的真实性。 我国现有的支付方式主要有以下几种: (1)网银支付: 开通了网上银行的卡片进行支付,该方式适用范围广,操作简便; (2)电子现金:是以数据形式存在的现金货币,这种支付方式可以存、取、转让,适用于小额支付,并且可以通过对数字签名的验证来确定此电子货币是否有效,进而实现匿名消费; (3)第三方支付:是具备一定实力和信誉保障的独立机构,采用与各大银行 签约的方式, 提供与银行支付结算系统接口的交易支持平台的网络支付模式,如支付宝平台。 2、我国网上支付的主要流程: 我国目前网上支付方式主要是通过第三方平台还有网上银行进行支付。第三方平台以支付宝为例,不管是通过哪种方式进行支付最终都是通过支付宝平台实现买卖双方的交易,支付宝平台结算支付模式的资金划拨是在平台内部进行,此时划拨的是虚拟的资金。真正的实体资金还需要通过收货后确认收货客户输入自己的支付宝支付密码支付之后的实际支付层来完成。 对于网上银行进行支付,点击立即购买后会出现选择网上银行支付的界面,买家只需要开通银行卡的网上银行即可,点击登录到网上银行付款,然后输入自己的银行卡号和密码就可以完成支付了。 3、网上支付存在的安全问题 ( 1)身份真实性
电子商务安全性分析与解决办法
电子商务安全性分析与解决办法 ——从用户安全意识角度出发[摘要]如今,解决电子商务问题的方法主要是技术措施。然而,调查表明用户安全意识匮乏,有必要向用户宣传普及各种应用场景下的信息安全知识。 [关键词]电子商务智能手机用户安全意识 1引言 如今,电子商务蓬勃发展,中国电子商务研究中心数据显示,截至2012年底,中国电子商务市场交易规模达7.85万亿,同比增长30.83%,按2012年的数据计算,电子商务占GDP的比重已经高达15%,成为经济发展新引擎。[1]电子商务搭建的交易平台,使最普通的一家街边小店都能接入互联网提供服务,使最平凡的每一个顾客都能成为电子支付产品的用户。但是,这也意味着买卖双方的电子商务安全意识不高。 2018年6月,在重庆沙坪坝的一家小吃店内,一名顾客用微信支付截屏吃了一个月的霸王餐。直到老板的女儿觉得不对劲,进行了查账,才揪出了这名顾客。最终在民警的监督下,顾客赔偿了店家300元。[2] 此外,在移动互联网时代,智能手机已经成为了电子商务最重要的载体。据统计,截至2016 年,手机网上支付打到了4.69亿人,年增长率为31,2%[3]然而,在2017年的《2017年中国Android手机隐私安全报告》中显示,APP 越界获取的各种隐私权限问题仍然非常严重。[4]此外,中国互联网络信息中心调查发现,近一半手机用户对于公共WiFi、二维码等手机安全风险缺乏基本的安全防范意识,有必要向手机用户宣传普及各种应用场景下的信息安全知识。[5] 2现有的技术措施[6] 交易安全技术是针对电子商务的安全问题而设计的一套安全技术,目的是在计算机网络安全的基础上确保电子商务过程的顺利进行。先采用采用的交易安全技术主要有加密技术、安全认证技术、交易协议技术。 加密技术是电子商务最基本的安全措施。现有 (1)对称密钥加密:对称加密采用相同的加密算法, 并只交换共享的专用密钥(加密和解密都使用相同的密钥)。 (2)非对称密钥加密:不同于对称加密, 非对称加密的密钥被分解为公开密钥和私有密钥。公开密钥和私有密钥构成一个密钥对, 密钥对生成后,公开密钥以非保密方式对外公开, 私有密钥则保存在密钥发布者手里。 安全认证技术则有 (1)报文摘要:报文摘要又称消息摘要, 是通过使用单向哈希(Hash)函数将需要加密的明文“摘要”成一个固定长度(如:128bit)的密文。不同的明文加密成不同的密文, 对明文的微小改动都会造成消息摘要的完全不同;相同的明文其消息摘要必然一样。这样,报文摘要便可成为验证明文是否是真实可靠。 (2)数字签名:把散列函数和公开密钥算法结合起来, 发送方从报文文本中生成一个散列值, 并用自己的私有密钥对这个散列值进行加密, 形成发送方的数字签名, 然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值, 接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同, 那么接收方就能确认该数字签名是发送方的。 (3)数字证书:数字证书用电子手段来标识一个用户的身份。电子商务涉及加解密问题, 必然要用到密钥。密钥的管理对策是采用数字证书。数字证书与传送密钥和签名密钥对的产生相对应。对每一个公钥做一张数字证书, 私钥用最安全的方式交给用户或由用户自己
电子商务安全案例及其分析
1. 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 2. 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出
电子商务安全技术案例分析
第7章电子商务安全技术案例分析 7.4.1 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 7.4.2 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000
论电子商务安全交易协议(一)
论电子商务安全交易协议(一) 摘要]由于因特网的开放性,在电子商务的发展中,网上交易安全问题成为制约电子商务发展的瓶颈。目前国际上通用的电子商务安全支付协议主要有两个,即SSL协议和SET协议。本文对两种电子支付安全协议进行了详细的介绍,对协议的特点、功能、安全性进行了对比,阐述了两种协议保障电子商务交易安全的过程。 关键词]电子商务安全安全套接层协议安全电子交易协议 在电子商务过程中,买卖双方是通过网络来联系的,因而建立交易双方的安全和信任关系是相当困难的。这样使得电子商务交易双方都面临不同的安全威胁。而电子商务的主要特征是在线支持,为了加强电子商务交易的安全性,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境。目前有两种安全支付协议被采用,即安全套接层SSL协议和安全电子交易SET协议。 一、安全套接层协议 安全套接层协议SSL(SecureSocketsLayer)是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对计算机整个会话进行了加密,从而保证了信息传输的安全,实现浏览器与Web服务器之间的安全通信,在Internet上广泛应用于处理与金融有关的敏感信息。 SSL协议是一种保护Web通信的工业标准,能够对信用卡和个人信息、电子商务提供较强的加密保护。 1.SSL协议提供安全连接的基本特点 (1)连接是保密的:对于每个连接都有一个惟一的会话密钥,采用对称密码体制(如DES、RC4等)来加密数据; (2)连接是可靠的:消息的传输采用MAC算法(如MD5、SHA等)进行完整性检验;(3)对端实体的鉴别采用非对称密码体制(如RSA、DSS等)进行认证。 2.SSL协议提供的服务 (1)数据和服务器的合法认证。使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号,由公开密钥编排。为了验证用户,SSL协议要求在握手交换数据中做数字认证,以此来确保用户的合法性。 (2)加密数据以便隐藏被传送的数据。SSL协议采用的加密技术既有对称密钥也有公开密钥。具体来说,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证数据的机密性,防止非法用户破译。 (3)维护数据的完整性。SSL协议采用Hash函数和机密共享的方法,提供完整信息性的服务,来建立客户机与服务器之间的安全通道,使经过处理的业务在传输过程中能够完整、准确地到达目的地。 3.SSL协议的构成 SSL协议分为两层:SSL握手协议和SSL记录协议。 (1)SSL握手协议。SSL握手协议用于在通信双方建立安全传输通道,是在客户机与服务器之间交换信息强化安全性的协议。具体实现以下功能: ①在客户端验证服务器,SSL协议采用公钥方式进行身份认证; ②在服务器端验证客户(可选的); ③客户端和服务器之间协商双方都支持的加密算法和压缩算法。 ④产生对称加密算法的会话密钥; ⑤建立加密SSL连接。 SSL握手协议最终使双方建立起合适的会话状态信息要素,包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息。
电子商务案例分析教案(DOC37页)
第一章电子商务案例分析概述 1.1.1电子商务的定义: 电子商务交易当事人或参与人利用计算机技术和网络技术等现代信息技术所进行的各类商务活动,包括货物贸易、服务贸易和知识产权贸易。 一、对电子商务的理解,可从4方面考虑: 1 电子商务是一种采用最先进信息技术的买卖方式。 2 电子商务实质上形成了一个虚拟的市场交换场所。 3 电子商务是“现代信息技术”和“商务”两个子集的交集。 4 建立在企业全面信息化基础上、通过电子手段对企业的生产、销售、库存、 服务以及人才资源等环节实行全方位控制的电子商务才是真正意义上的电子商务。 二、电子商务的特点: 1 虚拟性 2 成本 3 个性化 4 敏捷性 5 全球性 1.1.2电子商务案例分析的重要性: 1 能够深化所学的理论知识,通过案例分析加深对理论知识的深层次理解。 2 能够使所学的知识转变成技能,理论学习与实践应用有机地结合。 3 在逼真模拟训练中做到教学相长。 1.2.1 电子商务案例的定义及作用: 电子商务案例分析的主要特点是:启迪性与实践性。 1.2.2 电子商务教学中使用的案例分为:
1 已决的问题的案例 包括电子商务活动的状况及问题、解决方法和措施、经验或教训的评估。 2 待解决问题案例 包括管理活动、存在问题的情景叙述和相关因素提示。 3 设想问题案例 包括经济活动的背景材料、发展趋势的相关迹象。 EDI主要应用于: 国际贸易和政府采购,用于企业与企业、企业与批发商、批发商与零售商之间的批发业务。 1.3.1 电子商务案例分析的主要内容: 1 电子商务网站背景资料 2 电子商务网站建设与维护方法分析: 网络平台技术分析、网站安全技术分析、网站维护方法分析。 3 电子商务网站经营特色分析: 内容设计分析、营销方法分析、支付方式分析、物流配送方式分析。 4 电子商务效益分析(全国统考考过多项选择题第21题) 电子商务案例分析的定义: 根据一定的分析目的,采用一种或几种分析方法,按照一定的程序,对通过调查并经过整理的资料进行分组、 汇总、检验和分析等,得到所研究事物或现象本质及规律性,进而指导实践的过程。 1.3.2 电子商务案例综合分析方法分为: 1 科学的逻辑思维方法 分为:形式逻辑思维方法和辩证逻辑思维方法 2 与案例研究有关的各专门学科的方法
电子商务安全技术试卷及答案
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
电子商务安全协议及支付安全
SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。
图5-1 SSL协议的分层结构 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示:
图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。