电子商务安全
《电子商务安全》课程期末复习资料
《电子商务安全》课程讲稿章节目录
第一章电子商务安全概论
第一节电子商务安全发展概况
第二节电子商务安全概述
第三节电子商务安全的前沿问题
第二章电子商务安全技术
第一节数据加密技术
第二节通信加密技术
第三节密钥管理与分发技术
第四节认证技术
第五节数字水印与数字版权保护技术
第三章电子商务安全协议
第一节 IP协议安全体系
第二节电子邮件安全协议
第三节安全超文本传输协议
第四节安全套接层协议
第五节安全电子交易协议
第四章电子商务的交易安全
第一节电子商务交易安全概述
第二节电子商务交易系统的安全
第三节电子商务交易中的物流安全第四节电子商务交易安全体系
第五章电子商务的支付安全
第一节电子商务支付概述
第二节电子商务支付安全需求
第三节电子商务支付安全体系
第四节电子商务安全支付平台
第六章电子商务的信息安全
第一节电子商务信息安全概述
第二节电子商务信息安全目标
第三节电子商务信息安全技术
第四节电子商务信息安全评估
第七章电子商务的网络安全
第一节电子商务网络安全概述
第二节电子商务网络系统安全目标
第三节电子商务网络安全技术
第四节电子商务网络安全策略与标准第五节电子商务网络安全评估
第八章电子商务安全管理
第一节电子商务安全管理概述
第二节电子商务风险管理
第三节电子商务系统管理
第四节电子商务信用管理
第五节电子商务人员管理与保密制度
第九章移动电子商务安全
第一节移动电子商务安全概述
第二节移动电子商务安全技术与协议
第三节移动电子商务的安全策略
第四节移动电子商务的安全管理
第十章实验
★考核知识点: 数据加密技术
参见讲稿章节:2-1
附1.1.1(考核知识点解释):
所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。
★考核知识点: ELGamal算法
参见讲稿章节:2-1
附1.1.2(考核知识点解释):
ElGamal算法,是一种较为常见的加密算法,它是基于1984年提出的公钥密码体制和椭圆曲线加密体系。既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。在加密过程中,生成的密文长度是明文的两倍,且每次加密后都会在密文中生成一个随机数K,在密码中主要应用离散对数问题的几个性质:求解离散对数(可能)是困难的,而其逆运算指数运算可以应用平方-乘的方法有效地计算。也就是说,在适当的群G中,指数函数是单向函数
★考核知识点: 数字签名
参见讲稿章节:2-4
附1.1.3(考核知识点解释):
数字签名就是附加在数据单元上的一些数据,或是对数据单
电子商务安全风险及对策
电子商务安全风险及对策浅析
————————————————————————————————作者:————————————————————————————————日期:
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
电子商务安全(补充作业3及答案)
《电子商务安全》作业3 一、选择题 1. CA的中文含义是( D )。 A. 电子中心 B. 金融中心 C. 银行中心 D. 认证中心 2. 以下关于身份鉴别叙述不正确的是(B )。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 3. KDC的中文含义是(D )。 A. 共享密钥 B. 公钥基础设施 C. 会话密钥 D. 密钥分配中心4.(C )是一个对称DES加密系统,它使用一个集中式的专钥密码功能,系统的核心是KDC。 A. Ticket B. Grant C. Kerberos D. PKI 5. (B )负责签发证书、验证证书、管理已颁发证书,以及制定政策和具体步骤来验证、识别用户身份。 A. RA B. CA C. PKI D. LDAP 6. MAC的中文含义是(B )。 A. 消息鉴别码 B. 消息认证码 C. 消息摘要 D. 媒体存取码 7. PIN的中文含义是(B)。 A. 消息信息码 B. 身份识别码 C. 个人信息码 D. 身份证号码 8. (D)是通信双方判定消息完整性的参数依据,散列函数是计算的重要函数,该函数的输入与输出能够反应消息的特征。 A. 消息信息码 B. 消息验证码 C. 消息加密 D. 消息摘要 9. (C )是标志网络用户身份信息的一系列数据,用来在网络通信中识别通信对象的身份。 A. 消息验证 B. 身份认证 C. 数字证书 D. 消息摘要 10.“公钥基础设施”的英文缩写是(C)。 A. RA B. CA C. PKI D. MD
电子商务安全与防护
电子商务安全与防护 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。 1、电子商务信息安全现状 现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至2007年6月,我国互联网用户已经从2001年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1 网络环境安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等,其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制
电子商务安全与管理
1、简述电子商务流程 答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。 ②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型 答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。 3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险) 电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题? (1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。 8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。 9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。
电子商务安全_电商_第2次课堂作业
信息加密技术与应用 复习题 选择题 下列不是链路加密优点的有(B A、加密对用户是透明的 B、数据在中间节点以明文形式出现 C、每个链路只需要一对密钥 D、提供了信号流安全技术机制 2、网络通信中的加密方式的选择需要考虑以下哪方面(D A、具体的网络环境和应用要求 B、密码体制、加密算法、密钥管理 C、软硬件实现 D、以上都要考虑 3、密码体制一般可分为传统密码和现代密码,以下哪种属于传统密码(B A、序列密码 B、转轮机密码 C、公钥密码 D、分组密码
4、小雪想要加密一封E-mail发给她的朋友小刚。为了只让小刚看到这封信,她需要用什么来加密(C A、她的公钥 B、她的私钥 C、小刚的公钥 D、小刚的私钥 5、根据工业标准,强加密的最小密钥长度是什么(A A、123bit B、56bit C、168bit D、40bit 6、数据加密标准(DES以64bit块加密数据,它被看作是下面的(B A、一种哈希算法 B、一种块密码 C、一个56位的密钥 D、一种词典程序 7、AES是一种密码加密方法,可以对28位的密码块进行处理,密钥的长度是(D A、128bit B、192bit
C、256bit D、以上都可以 8、Diffie-Hellman公钥算法能带来什么好处(C A、加密了两个用户主机之间的公钥 B、加密了两主机之间的私钥 C、提供了一个传输密钥的安全方法 D、加密了两主机之间传输的数据 9、下面哪个算法是对称密钥算法(A A、RC5 B、RSA C、DSA D、Diffie-Hellman 10、PGP软件的用途有(D A、加密重要文件和电子邮件 B、为文件作数字签名,以防止篡改和伪造 C、各种密钥管理功能 D、以上都是 判断题
电子商务安全(1)
电子商务安全 随着因特网的迅猛发展,电子商务已经逐渐成为人们实行商务活动的一个崭新模式。我们能够把电子商务定义为整个事务活动和贸易活动的电子化。它将信息网络、金融网络和物流网络结合起来,把事务活动和贸易活动中发生关系的各方有机地联系起来,极大地方便了各种网络上的事务活动和贸易活动。电子商务有比传统商务方式更巨大的方便性和灵活性。不过,网络面临的安全问题也随之而来,例如内部窃密和破坏、截收、非法访问、破坏信息的完整性、破坏系统的可用性等等诸多问题。 任何在互联网上展开业务的机构都必须采取积极的步骤,确保系统有充足的安全措施,以防止机密信息泄露和非法侵入所造成的损失。但互联网本身就是基于开放思想设计并逐步发展起来的。要想在互联网上实现绝对安全是困难的。互联网上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全。 一、电子商务安全的具体技术表现 (一)数据的私有性和安全性 如果不采用特别的保护措施,包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径,想任意窃听一组数据传输是不可能,但是一些设置在web服务器的黑客程序却能够查找和收集特定类型的数据,这些数据包括信用卡、存款的账号和相对应的口令。同时,因为internet的开放性设计,数据私有性和安全性还包括数据传输之外的问题,例如:连入internet的数据存储网络驱动器的安全性。所以,任何存储在web 服务器上的数据必须采取保护措施。 (二)数据的完整性 对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整
电子商务安全试题
一、简答: 1.简述电子商务的安全需求。 答:电子商务的安全需求主要包括:机密性,指信息在传送过程中不被他人窃取;完整性, 指保护信息不被未授权的人员修改;认证性, 指网络两端传送信息人的身份能够被确认;不可抵赖性,指信息的接受方和发送方不能否认自己的行为;不可拒绝性,指保证信息在正常访问方式下不被拒绝;访问的控制性,指能够限制和控制对主机的访问。 2.简述VPN中使用的关键技术。 答: VPN中使用的关键技术:隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端,QOS技术用来解决网络延迟与阻塞问题。 3.简述入侵检测的主要方法QOS。 答:入侵检测的主要方法有:静态配置分析法;异常性检测方法;基于行为的检测方法;智能检测法。 4.简述PKI的基本组成。 答: PKI的基本组成有:认证机构CA;数字证书库;密钥备份与恢复系统;证书作废系统;应用程序接口部分。 5.简述木马攻击必须具备的条件。 答:木马攻击必须具备三个基本条件,要有一个注册程序,要有一个注册程序可执行程序,可执行程序必须装入内存并运行;要有一个端口。 6.简述CA的基本组成。 答:CA的基本组成:注册服务器;CA服务器;证书受理与审核机构RA;这三个部分互相协调,缺一不可。 7.简述对称密钥加密和非对称密钥加密的区别。 答: 对称密钥算法是指使用同一个密钥来加密和解密数据。密钥的长度由于算法的不同而不同,一般位于40~128位之间。 公钥密码算法:是指加密密钥和解密密钥为两个不同密钥的密码算法。 公钥密码算法不同于单钥密码算法,它使用了一对密钥:一个用于加密信息,另一个则用于解密信息,通信双方无需事先交换密钥就可进行保密。 8.简述安全防范的基本策略。 答:安全防范的基本内容有:物理安全防范机制,访问权限安全机制,信息加密安全机制,黑客防范安全机制;风险管理与灾难恢复机制。 9.简述VPN中使用的关键技术。 答:VPN中使用的关键技术:隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端,QOS技术用来解决网络延迟与阻塞问题。 10.简述数字签名的使用原理。 答:发送方使用HASH函数处理原文,得到数字摘要;使用接受方的公钥对明文和数字摘要加密并通过网络发送;接受方使用私钥解密;接受方使用HASH函数重新得到数字摘要;对比数字摘要。 11.简述密钥的生命周期。
电子商务安全与管理实验报告
实验一系统安全设置 [实验目的和要求] 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 [实验容] 1、本地安全策略 2、资源共享 3、管理安全设置 [实验步骤] 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”,如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看:哪些用户不可以在本地登录?哪些用户可以从网络访问计算机?哪些用户可以关闭计算机? 答:分别见图1-2,1-3和1-4。
图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看:如何使计算机在登录前必须按“CTRL+ALT+DEL”?未签名驱动程序的安装是如何设置的?如何禁止网络用户访问CD-ROM? 答:找到“交互式登录:不需要按CTRL+ALT+DEL”,双击打开,选择“已禁用(S)”后单击“确定”按钮。 找到“设备:未签名驱动程序的安装操作”,在下拉菜单中选择“允许安装但发出警告”,单击“确定”按钮即可。 找到“设备:只有本地登录的用户才能访问CD-ROM”,打开选择“已启用(E)”,点击“确定”按钮即可。 二、文件共享 如何设置共享文件,并通过网上邻居访问共享文件? 设置共享文件: 方法一:“工具--文件夹选项--查看--使用简单文件夹共享”。这样设置后,其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二:“控制面板--管理工具--计算机管理”,在“计算机管理”这个对话框中,依次点击“文件夹共享--共享”,然后在右键中选择“新建共享”即可。 选择你要共享的文件,右击选择“属性”,打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便,你认为哪些设置必需放开?而哪些设置又可能引起安全问题? 我认为对于网络的大部分设置应设为启用可方便浏览网页;对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思?如何让某个应用程序不受防火墙限制?
电子商务安全风险及对策浅析
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
电子商务安全(作业3)
《电子商务安全》作业3 一、选择题1. CA的中文含义是( D )。 A. 电子中心 B. 金融中心 C. 银行中心D. 认证中心 2. 以下关于身份鉴别叙述不正确的是( B)。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 3. KDC的中文含义是(D )。 A. 共享密钥 B. 公钥基础设施 C. 会话密钥 D. 密钥分配中心 4.(C )是一个对称DES加密系统,它使用一个集中式的专钥密码功能,系统的核心是KDC。 A. Ticket B. Grant C. Kerberos D. PKI 5. ( B )负责签发证书、验证证书、管理已颁发证书,以及制定政策和具体步骤来验证、识别用户身份。 A. RA B. CA C. PKI D. LDAP 6. MAC的中文含义是(B )。 A. 消息鉴别码 B. 消息认证码 C. 消息摘要 D. 媒体存取码7. PIN的中文含义是( B)。 A. 消息信息码 B. 身份识别码 C. 个人信息码 D. 身份证号码8.( D)是通信双方判定消息完整性的参数依据,散列函数是计算的重要函数,该函数的输入与输出能够反应消息的特征。 A. 消息信息码 B. 消息验证码 C. 消息加密 D. 消息摘要 9. (C )是标志网络用户身份信息的一系列数据,用来
在网络通信中识别通信对象的身份。 A. 消息验证B. 身份认证 C. 数字证书 D. 消息摘要10.“公钥基础设施”的英文缩写是(C )。 A. RA B. CA C. PKI D. MD 11. PKI支持的服务不包括( D)。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 12. PKI的主要组成不包括( B )。 A. 证书授权CA B. SSL C. 注册授权RA D. 证书存储库CR 13. PKI管理对象不包括(A )。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 14. 下面不属于PKI组成部分的是(D )。 A. 证书主体B. 使用证书的应用和系统 C. 证书权威机构 D. Kerberos 15. PKI能够执行的功能是(A )。 A. 鉴别计算机消息的始发者 B. 确认计算机的物理位置 C. 访问控制 D. 确认用户具有的安全性特权 16. 对输入消息长度有限制,输出消息摘要是160Bit的算法是(B )。 A. RSA B. SHA-1 C. MD5 D. DES 17. 确定用户的身份称为(C )。 B. 识别技术 A. 访问控制 C. 身份认证 D. 审计技术 18. 某些网站的用户登录界面要求输入系统随机产生的验证码,这是为了对付(C )。 A. 窃听攻击 B. 危及验证码的攻击C. 选择明文攻击 D. 重放攻击 19. 密钥交换的最终
学习电子商务安全与管理心得体会
学习电子商务安全与管理心得体会 随着经济的发展,电子商务也越来越普及,越来越多的公司、个人在网上来交易,电子商务在人们的心中越来越不可缺少。但是,随着网络的普及,各种木马病毒、网上欺骗事件越来越多,阻碍了电子商务的发展。所以,电子商务安全与合理的管理是电子商务发展的保障。 一、安全交易标准的制定 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 1、安全超文本传输协议:依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 2、安全套接层协议:是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。 3、安全交易技术协议:由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。 4、安全电子交易协议:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。 二、目前安全电子交易的手段 1、密码技术 采用密码技术息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种: (1)公共密钥和私用密钥 这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
电子商务安全问题的现状与未来
电子商务安全问题的现状与未来 摘要:在全球信息化影响下,电子商务需要不断完善。针对电子商务现状制定实施恰当的产业政策十分必要。本文从电子商务技术发展环境、存在的问题、发展趋势探讨分析了我国电子商务发展的现状。 关键词:电子商务;发展趋势;教育产业;应用前景 电子商务源于英文ELECTRONIC COMMERCE,简写为EC。内容包含两方面,一是电子方式,二是商贸活动。一般指利用电子信息网络等电子化手段进行的商务活动以及商务活 动的电子化与网络化。电子商务还包括政府机构、企事业单位各种内部业务的电子化。电子商务是一种现代化商业和行政方法,通过改善产品和服务质量、提高服务传递速度,通过计算机网络加快信息交流以支持决策。 一、我国电子商务面临的困境与问题 1. 消费观念问题。我国金融体系的呆板和服务意识的淡漠,直接造成中国的消费市场缺乏信用消费概念支持,信用体系一直缺乏完善的保障机制与信用机制,货币电子化进程缓慢。银行与银行之间、银行与消费者之间画地为牢,迫使那些想尝试信用消费的人必须为此付出额外的精神和财力 代价。于是当电子商务这种新型商业模式出现时,众多消费
者只能是裹足不前,电子商务模式依然远不足与现实生活中的传统商业模式相匹敌。 2. 搜索技术与标准问题。搜索引擎看起来很简单:用户输入一个查询关键词,搜索引擎就按照关键词语到数据库去查找,并返回最合适的WEB页链接。但根据NEC研究所与INKTOMI公司最近研究结果表明,目前在互联网上至少10 亿网页需要建立索引。而现在搜索引擎仅仅能对5亿网页建立索引,仍然有一半不能索引。这主要不是由于技术原因,而是由于在线商家希望保护商品价格的隐私权。因此当用户在网上购物时,不得不一个网站一个网站搜索下去,直到找到满意价格的物品为止。各国电子商务的交易方式和手段存在差异,面对无国界、全球贸易,需要在电子商务交易过程中建立相关的统一标准,以解决电子商务活动的相互操作问题。 3. 电子商务的安全与管理问题。电子商务的安全问题仍是影响电子商务发展的主要因素。在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要 的因数之一。调查公司曾对电子商务的应用前景进行过在线调查,当问到为什么不愿意在线购物时,绝大多数人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,有一部分人或企业因担心安全问题而不愿意使用电子商务,安全成为电子商务发展中最大的障碍。管理的概念应该涵盖商务
电子商务安全保障体系
目的要求:通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案 重点难点:解决安全威胁的技术手段和方案 组织教学:点名考勤;复习;引入新课;讲解理论知识;实例演示;指导学生练习;总结 总结复习导入新课:。 提问:1、什么是电子商务? 教学方式、手段、媒介:讲授、多媒体;媒介:教材 教学内容: 第一节电子商务 一、公钥基础设施 公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成,管理密钥和证书的系统或平台。 用于解决电子商务中安全问题的PKI 技术。PKI(Public Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分 CA(Certification Authority),即认证中心,它是数字证书的签发机构。数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。 1、认证中心 认证中心(Certificate Authority, 简称CA),也称之为电子认证中心,是电子商务的一个核心环节,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份,与具体交易行为无关权威第三方权威机构。 为安全电子交易中之重要单位,为一公正、公开的代理组织,接受持卡人和特约商店的申请,会同发卡及收单银行核对其申请资料是否一致,并负责电子证书之发放、管理及取消等事宜。是在线交易的监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。CA类似于现实生活中公证人的角色,具有权威性,是一个普遍可信的第三方。 认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书,就可能会出现这样一个机构。Netscape和Xcert提供了用于管理数字证书的证明服务器。 当很多用户共用一个证明权威时,证明权威应该是个受到大家信赖的可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体,比如GTE、Nortel或Verisign,它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。
电子商务概论作业答案
《电子商务概论》作业 一、判断题 1、CPU中运算器的主要功能是完成对数据的算术运算、逻辑运算和逻辑判断等操作。(T) 2、与传统的支付方式相比,电子支付具有方便、快捷、高效、经济、安全的优势。(F ) 3、在面向终端的计算机网络通信系统中,网络用户只能共享一台主机中的软、硬件资源。(T ) 4、信息储存的方法主要是根据信息提取的频率和数量,建立一套适合需要的信息库系统。(T ) 5、出于安全的需要,网上银行卡支付系统须在Internet与专用的金融网之间安装支付网关系统(T) 6、电子商务的基础结构中包括“三个层次”和“两个支柱”,其中“两个支柱”是指技术标准和政策法规(T ) 7、广告对商品经济的发展有不可忽视的作用(T ) 8、我国已建成的全国性电子资金转账系统已有10个之多( F ) 9、数据库安全属于计算机运行环境安全性问题。(F ) 10、邮件列表可以分为公开,封闭,管制三种类型。(T ) 二、单项选择题 1、数据传输速率是Modem的重要技术指标,单位为:。() A.bps B.GB C.KB D.MB 2、计算机的核心部件指的是:。() A.存储器 B.基本输入输出设备 C.中央处理器 D. Modem 3、下面不属于传统营销促销形式的是:。() A.人员推销 B.网络广告 C.销售促进 D.宣传推广 4、效率最高、最保险的杀毒方式是() A.手工杀毒 B.自动杀毒 C.杀毒软件 D.磁盘格式化 5、下列哪一项不是WWW浏览器提供的通信手段?( ) https://www.360docs.net/doc/d611018618.html,enet新闻组 B.电子邮件 C.HTTP/IP D.FTP 6、信息加工整理的过程为信息的储存,(),信息的加工处理。( ) A.信息的保密 B.信息的纠错 C.信息的传播 D.信息的整理 7、WWW服务器采用超文本链路来链接信息页,本链路由()维持。 A.URL B.html C.HTTP/IP D.端口 8、选择旗帜广告服务提供商时,主要应当考虑(),服务商的设备条件和技术力量配备,服务商的 通信出口速率,服务商的组织背景,服务商的收费标准。() A.服务商的政府和行政关系 B.服务商提供的便利条件 C.服务商的实力和提供的支持 D.服务商提供的信息服务种类和用户服务支持 9、如果消费者两小时内在同一个网上商店下了3份订单,那么商家为了方便客户和节省送货费用,会采 取以下哪种措施?()
电子商务的安全管理
电子商务安全管理 (学号:XXX 专业:安全科学与工程 XX大学环境与安全工程学院) 摘要:电子商务的发展是互联网上最大的应用趋势,是国际经贸全新的一种形式,是我国经济生活牛的新手段。文章通过简要分析电子商务安全管理存在的隐患,探讨了防范电子商务安全问题的法律手段、技术手段和监管手段,从而为达到完善电子商务安全管理的目的提供理论依据。 关键词:电子商务;安全管理;技术;原则 Safety Management of E-commerce Abstract:Development of electronic commerce on the Internet is the largest application trends, is a new form of international economic and trade . Through a brief analysis of the existence of e-commerce security management problems, discussed the legal means to prevent e-commerce security issues, technical means and means of supervision, so as to achieve the purpose of improving the safety management of e-commerce to provide a theoretical basis. Key words:electronic commerce; safety management; technology; principles 1.引言 电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。电子商务安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒。信息加密、身份认证、授权等。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。 2.电子商务中存在的安全问题 随着电子商务应用范围的日益扩大,呈现出大规模、跨行业、跨组织的发展趋势。但其发展也正面临着诸多瓶颈性问题,安全问题首当其冲,突出体现在以下几个方面。 1.交易的安全性得不到保障 电子商务的安全问题仍然是影响电子商务发展的主要因素。由于网络技术的迅速发展,电子商务引起大家的广泛注意,在开放的网络上进行商贸活动。但如何保证传输数据的安全成为电子商务能否普及的最重要的因素。交易双方进行交易的内容被第三方窃取.交易一方提供给另一方使用的证明文件被第三方非法使用,从而进行商业欺诈。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据篡改,然后再发向目的地,破坏数据的真实性和完整性。
浅谈电子商务的安全
浅谈电子商务的安全 本文主要从概念上阐述了电子商务安全性的相关问题,分析了电子商务对安全环境的要求,同时给出了当前常用的相对应的技术方法。为电子商务的建立给出了基础概念上的理解。 标签:电子商务安全需求安全技术安全协议 电子商务通常被分为狭义的电子商务和广义的电子商务。狭义的电子商务为Electronic Commerce(EC),是指通过使用互联网等电子工具在全球范围内进行的商务贸易活动。是以计算机网络为基础所进行的各种商务活动,包括商品和服务的提供者、广告商、消费者、中介商等有关各方行为的总和。广义的电子商务为Electronic Business(EB),是指通过电子手段进行的商业事务活动。通过使用互联网等电子工具,使公司内部、供应商、客户和合作伙伴之间,利用电子业务共享信息,实现企业间业务流程的电子化,配合企业内部的电子化生产管理系统,提高企业的生产、库存、流通和资金等各个环节的效率。EC的概念集中于电子交易,EB的涵盖范围则大了很多。而人们一般提到的电子商务是指狭义上的电子商务。无论广义还是狭义的电子商务概念,电子商务都离不开互联网这个平台。电子商务的存在和发展是以网络技术为前提。电子商务系统的构建、运行及维护都离不开技术的支持,而安全成为电子商务平台首先需要解决的问题。 电子商务几个主要的安全需求及其对应的常用技术: ①真实性、有效性。真实性、有效性是指能对信息的真实性、有效性进行鉴别。EC作为一种贸易形式,其信息的真实性、有效性将直接关系到个人、企业和国家的经济利益和声誉。保证信息的真实性、有效性成了EC的前提。因此,要对EC过程中的潜在威胁加以控制和防范,保障信息在确定的时刻、确定的地点是有效的。 ②可靠性、不可抵赖性及鉴别。如何确定对方正是交易所期望的一方,这一问题是保证EC顺利进行的关键。在电子化的EC方式下,通过传统方法鉴别是不可能的。因此,要在交易信息的传输过程中为参与交易的双方或多方提供可靠的标识。 针对以上两点,目前常见的安全技术是数字签名和数字证书。 数字签名是加密技术的一类应用,可以防止他人对传输文件进行破坏,以及确定发信人的身份。通过数字签名能够实现对原始报文的鉴别,保证数据的可靠性和不可抵赖性。数字签名与书面文件签名具有相同功效,它代表了文件的特征。如果文件发生改变,数字签名也将发生变化,不同的文件将得到不同的数字签名。接收方通过比对数字签名来确定发送方的身份是否正确。 数字证书。在电子商务活动中,调用每项服务时需要用户证实身份,同时也
电子商务安全体系结构
安全体系结构 (一)安全体系结构图 如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。 图3 电子商务网站安全体系结构 (二)安全体系分层 整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。下面就来看一下每一层分别有哪些作用。 (1)网络安全层 网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反
病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。 (2)加密技术层 加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。加密技术一般分为对称加密技术与非对称加密技术。 (3)安全认证层 安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。安全认证层可以验证交易双方数据的完整性、真实性及有效性。(4)安全协议层 安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。一般电子商务中使用的安全协议有SSL协议和SET协议。 访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。 数字认证技术 数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。 数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。
电子商务安全
密码安全——通信安全的最核心部分。 计算机安全——一种确定的状态,使计算机化数据和程序文件不致被非授权人员、计算机或其程序访问、获取或修改。 网络安全——包括所有保护网络的措施。 信息安全—保护信息财富,使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 电子商务安全要素 1 数据有效性 2 认证性 3 数据机密性 4 数据完整性 5 防御性 6 访问性 7 不可修改性 8 不可否认性 9 审查能力 所谓加密,就是用基于数学方法的程序和保密的密钥对信息进行编码,把计算机数据变成一堆杂乱无章难以理解的字符串,也就是把明文变成密文。 单钥密码体制 对称加密过程: 1)发送方用自己的私有密钥对要发送的信息进行加密 2)发送方将加密后的信息通过网络传送给接收方 3)接收方用发送方进行加密的那把私有密钥对接收到的加密信息 进行解密,得到信息明文 双钥密码体制 加密模式过程: 1)发送方用接收方公开密钥对要发送的信息进行加密 2)发送方将加密后的信息通过网络传送给接收方 3)接收方用自己的私有密钥对接收到的加密信息进行解密,得 到信息明文. 验证模式过程1)发送方用自己的私有密钥对要发送的信息进行加密 2)发送方将加密后的信息通过网络传送给接收方 3)接收方用发送方公开密钥对接收到的加密信息进行解密,得到 信息明文 PGP:PGP(Pretty Good Privacy),是一个基于RSA公匙加密体系的邮件加密软件。 特点: 1)源代码是免费的,可以消减系统预算 2)加密速度快 3)可移植性出色 PGP的加密算法 构成: 一个私钥加密算法(IDEA) 一个公钥加密算法(RSA) 一个单向散列算法(MD5) 一个随机数产生器 过程: PGP是以一个随机生成密钥(每次加密不同)由IDEA算法对明文加密,
食品电商安全管理制度
食品电商安全管理 制度
食品安全管理规定 第一章总则 第一条为加强电商事业部(以下简称事业部)食品安全管理,保障店铺食品服务安全,根据国家、地方相关法律法规及其它要求制定本规定。 第二条本规定所指食品/产品是指事业部经过电商平台或线下销售渠道提供的各种供人食用或者饮用的成品和原料。 第三条食品安全是指食品无毒、无害,符合应当有的营养要求,对人体健康不造成任何急性、亚急性或者慢性危害。 第四条本规定适用于经过电商平台或线下销售渠道提供的各种供人食用或者饮用的成品和原料全过程的食品安全管理。 第二章机构及职责 第五条成立由公司分管领导、事业部负责人、公司相关职能部门及项目部组成的事业部食品安全领导小组,负责食品安全管理工作中重大事项的审议与决策。 第六条食品安全领导小组办公室设在分管领导办公室,承担领导小组的日常管理工作,并对食品安全工作归口管理,主要职责: (一)贯彻执行国家和地方有关食品安全的法律法规、规章和政策; (二)负责事业部食品安全工作计划和规章制度的制定,并组织实施; (三)负责食品采购供货方食品安全资质的考察、审核;
(四)负责食品安全督察与管理,对事业部食品安全工作进行监督检查,对存在的食品安全问题提出整改与考核意见; (五)负责组织食品安全培训工作; (六)负责组织重大食品安全事故应急预案的编制,协调重大食品安全事故的应急救援和调查处理工作。 (七)负责组织召开食品安全领导小组工作会议,研究解决食品安全生产过程中存在的问题。 第七条产品部是食品采购、技术、品控及质量管理部门,负责食品采购计划的提出,负责公司电商所需经营产品和部分产品包装、赠品的渠道建设、采购及验收组织及食品库房管理;认真执行食品安全管理制度及食品加工技术规程,细化内部食品安全管理制度,负责从业人员食品安全培训、健康体检、食品安全风险辨识与关键控制点分析与控制以及应急预案的培训与演练,负责各项食品安全有关记录、档案的建立与保管。 第八条运营部是电商产品服务提供单位,负责产品销售及顾客回馈反馈,第一时间处理客户纠纷,并为制定更合理的产品方案提供决策依据。 第三章食品安全综合管理 第一节从业人员管理 第九条食品安全管理人员应具备以下基本要求:(一)具备2年以上电商或其它行业食品安全工作经历的管理人员; (二)身体健康并持有有效健康证明; (三)持有有效培训合格证明;