电子商务安全技术相关研究
xx学院结课论文
电子商务安全技术相关研究E-commerce security technology research
学生姓名:
学院:
专业:
班级:
学号:
教师:
完成日期:
学院
University
摘要
随着计算机时代的发展,基于网络和多媒体技术的电子商务逐渐成为人们进行商务活动的新模式。所谓电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现交换和行政管理的全过程;它是一种基于互联网,以交易双方为主体,以银行电子支付和结算为手段,以客户数据为依托的全新电子商务模式。本质是建立一种全社会的“网络计算环境”或“数字神经系统”,以实现信息资源在国民经济和大众生活中的全方位应用。
信息技术和计算机网络的迅猛发展使电子商务得到了极大的推广,然而由于互联网的开放性,电子商务的安全性问题也越来越多,当前,电子商务中网络安全问题产生的主要原因有:黑客袭击、软件漏洞、网络缺陷和技术管理欠缺等,其中的关键问题是电子商务企业本身的安全管理问题。本文就电子商务的现状、安全隐患进行了简单的分析;就电子商务的安全技术进行了重点研究和介绍。
关键词:电子商务现状;安全问题;安全技术
Abstract
With the development of the computer age, electronic commerce based on network and multimedia technology gradually become a new mode of business activities have been conducted. E-commerce refers to the government, enterprises and individuals using modern computer and network technology exchange and the whole process of administrative management; It is a kind of based on the Internet, in order to trade both parties as the main body, by means of bank electronic payment and settlement, based on the customer data of the new e-commerce model. Essence is a kind of the whole society to establish the network computing environment "or" digital nerve system ", in order to realize the information resources in the national economy and the comprehensive application of public life.
The rapid development of information technology and computer network make e-commerce got a great promotion, however, due to the openness of the Internet, electronic commerce security problem also more and more, at present, the main reason for the network security problems in e-commerce are: hacker attacks, software bugs, defects and network management and technology, etc., which is the key problem of e-commerce enterprise safety management itself. In this paper, the present situation of electronic commerce, security hidden danger has carried on the simple analysis; As to the study on the security technology of electronic commerce and the introduction.
Key words: electronic commerce present situation; Security issues; Security technology
目录
摘要 ............................................................................................................................. I Abstract.............................................................................................................................. II 一、绪论 . (1)
(一)研究背景、意义 (1)
1.研究背景 (1)
2.研究意义 (1)
(二)国内外电子商务安全研究现状 (2)
1.国际电子商务安全研究现状 (2)
2.我国电子商务安全研究现状 (2)
(三)研究方法,途径 (3)
1.相关资料、文献的收集 (3)
2.数据分析、归纳和案例分析 (3)
二、电子商务安全概述 (4)
(一)电子商务安全的内容 (4)
(二)电子商务安全隐患 (4)
1.内部人员滥用计算机资源 (4)
2.外部攻击 (5)
3.交易抵赖 (5)
4.病毒或恶意代码 (5)
5.新鲜的截获或窃取 (5)
6.信息的篡改 (5)
7.信息假冒 (5)
(三)电子商务安全要素 (6)
1.数据的私有性和安全性 (6)
2.数据的完整性 (6)
3.通讯、交易和存取要求的合法性 (6)
4.不可抵赖性 (6)
5.审查能力 (6)
6.可控性 (7)
7.认证性 (7)
8.不可拒绝性 (7)
9.匿名性 (7)
10.原子性 (7)
三、电子商务安全问题案例分析 (8)
(一)案例一:电子签名法首次用于庭审 (8)
1.案例内容 (8)
2.分析、得出结论 (9)
(二)案例二:淘宝“错价门”引发争议 (10)
1.案例内容 (10)
2.分析、得出结论 (10)
(三)结论 (11)
四、电子商务的安全技术机制 (12)
(一)加密技术 (12)
1.加密技术的定义 (12)
2.对称密钥加密体制 (12)
3. 非对称密钥加密体制 (13)
(二)数字签名技术 (14)
1.数字签名技术 (14)
2.数字摘要 (15)
3.摘要函数 (15)
4.数字时间戳技术 (15)
(三)数字证书技术 (16)
1.数字证书的定义 (16)
2.数字证书的作用 (16)
3.数字证书的原理 (17)
4.数字证书的申请流程 (17)
5.身份认证与数字认证 (17)
(四)认证中心 (18)
1.CA(Certificate Authority)中心的定义 (18)
2.认证中心的基本结构 (18)
3.证书的树形验证结构 (18)
4.CA认证的层次结构 (18)
5.中国部分电子商务认证中心 (19)
(五)防火墙技术 (19)
1.防火墙技术的定义 (19)
2.防火墙的位置 (19)
(六)电子商务安全协议 (20)
1.SSL(Secure Socketlayer)协议 (20)
2.SET(Secure Electronic Transaction)协议 (21)
(七)电子商务系统安全技术构架 (22)
结论 (24)
参考文献 (25)
结课论文撰写情况评分表 (26)
一、绪论
(一)研究背景、意义
1.研究背景
随着互联网的迅猛发展,人们的生活方式发生了重大改变,相应的经济社会也受到了巨大的影响。在商业贸易领域,因为网络的飞速发展,产生了电子商务这样的一种贸易方式。但也正是因为网络的特殊性,电子商务在发展的过程中产生了许多安全性问题,这对电子商务的发展带来了一定的冲击性。
Internet是一个互相连通的自由空间,因此有一些人会因为某些目的攻击电子商务网站。比如盗窃资金、商业打击、恶作剧等,导致某些企业的电子商务网站贸易交流受损、服务暂停,甚至出现资金被盗的现象。据相关统计表明,美国每年因为网络安全问题在经济上造成的损失就达数百亿美元,而国内的情况也不容乐观。因此,当我们享受互联网带给我们的生活带来便利时,网络的安全性问题也逐渐成为电子商务发展的重大问题,给电子商务企业的发展带来了极大的阻碍。所以,计算机网络安全是电子商务发展过程中所面临的巨大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发,做好安全防范和自身安全管理工作,才能得到持续快速的发展。
2.研究意义
对于企业来说,电子商务和EPR系统就像战场上的前线和后方,两者密切相关。比如,企业内部通过网上商城获取用户订单后,能够立刻将订单信息传递至内部的EPR 系统,用以采购、计算、财务、进销存软件等各部门之间组织协调,核算库存、资金和销售,倘若前端商城系统与后台ERP系统脱节,就会导致信息流和数据相对封闭、独立,无法流通、整合,电子商务平台获得的订单信息、市场信息无法传递至后台ERP 系统,前后台信息完全脱节。
这样的后果便是企业的信息流、资金流、物流不能够有机统一,数据的一致性、完整性和准确性在进销存软件不能得到保证,中小企业内部之间重复着冗余的工作,不能对用户需求作出迅速及时的响应,工作效率下降、运营成本上升,有百害而无一利。所以,企业的电子商务网上商城和ERP系统的整合对接迫不及待、不容忽视。
正因为现如今电子商务在人们生活中已占有不可替代的作用,且一旦电子商务的安全性受到威胁,所损的不仅是企业,更是普通大众。所以电子商务的安全技术问题更应值得我们关注!我们要了解威胁电子商务安全的因素,掌握保证电子商务安全的相关技术,这样才能保证网络的安全,确保人们的正常生活。
(二)国内外电子商务安全研究现状
1.国际电子商务安全研究现状
美国政府认为:电子商务的发展是未来世纪世界经济发展的一个重要推动力,甚至可以与200年前的工业革命对经济发展的促进媲美。目前美国电子商务的应用领域与规模远远超过其他国家,1998年其网上交易额达170亿美元。2002年全美国网上销售和服务的营业额高达3270美元,网上电子交易4年内为美国国民收入净增长100-200亿美元,节约5%-15%的成本。从1999年1月1日起,美国要求联邦政府所有对外采购均采用电子商务方式,这一举措被认为是“将美电子商务推上了高速列车”。日本在1996年投入3.2亿日元,推动电子商务有关计划,1998年企业对消费者的电子商务市场为650亿日元,约是美国的3%,2003年达到3.16万亿日元,即在5年内增长50倍。
1995年5月美日两国发表联合声明,对关税、税收、隐私权、身份确认等问题提出了一些原则看法,强调了两个经济大国在电子商务方面进行磋商与合作的重要性,表明两国意欲通过他们在世界经济中的地位与影响,联手制定电子商务全球框架。
1997年12月欧盟与美国发表了有关电子商务的联合宣言,与美国就全球电子商务指导原则达成协议,承诺建立“无关税电子空间”(Duty-FreeCyberePace)。
2.我国电子商务安全研究现状
电子商务是我国信息化建设的重要组成部分。20世纪90年代以来,以电子商务为核心的信息化在我国迅速发展。总体说来,我国电子商务发展经历了如下几个阶段: (1)1990-1993年,EDI应用起步阶段:
1991年9月,国务院电子信息系统推广应用办公室牵头,发起成立“中国促进EDI 应用协调小组”,随后又成立了“中国EDIFACT委员会”。在对贸易程序简化和规范化的基础上,开展了典型应用试点,标志着电子商务实验在我国开展。
(2)1993-1998年,电子商务概念、技术推广阶段:
1993年起,我国政府决定实施以“三金工程”为代表的国民经济信息化的重大工程项目,标志着电子商务在我国纵深应用的开展。1996年2月,中国国际电子商务中心(CIECC)成立。由中国国际电子商务中心承建并运营的中国国际电子商务网,是国家“金关工程”的骨干网络,是我国外经贸专用网络。1996年9月,中国电子进出口总公司成为中国国际电子商务网的第一个用户。1996年9月,中国金桥信息网(CHINAGBN)向社会提供Internet接入服务。1997年,中国公用计算机互联网(CHINANET)、中国科技网(CSTNET)、中国教育和科研计算机网(CERNET)、中国金桥信息网(CHINAGBN)实现了互连互通。
1998年,国家经贸委与信息产业部联合启动以电子贸易为主要内容的“金贸工程”,以推广网络和电子商务在经贸流通领域的应用。
(3)1999-2000年,进入互联网电子商务实施发展阶段:
中国电子商务开始进入以探索并推出大型电子商务项目为特征的新时期。这主要得益于以下三个因素:网民数量急剧增加;境内外风险投资大量介入;人们对应用与发展电子商务的认识水平有所提高。从总体上看,中国电子商务己经从宣传和启动阶段,开始进入实施阶段。
1999年尤其是进入下半年以后,中国的ICP和isP等网络服务商们开始大举进入电子商务领域,新的电子商务网站和新的电子商务项目猛然间急剧增加,令人目不暇接,几乎每天都有各类电子商务信息与咨询网站、网上商店、网上商场、网上邮购、网上拍卖等站点诞生。电子商务发展地域也在迅速扩大,从原先几乎局限于北京,上海,深圳,广州等极少数城市,开始向沿海及东部、中部各大城市发展。
1999年中国电子商务的主角已经变成了电子商务企业、电子商务网站和致力于电子商务项目的机构。1999年的发展表明,中国电子商务己经开始由表及里,从虚到实,从宣传、启蒙和推广进入到了广泛而务实的发展阶段。
(4)2000年至今,电子商务进入快速发展阶段:
进入2000年以来,电子商务发展发展迅速,网民数量逐渐增多。不少网上商城、网上服务开始盈利。随着各大银行陆续推出网上银行、个人银行业务,基于电子支付的真正的电子商务走入生活。然而,物流配送体系不完善,商业信用度低,信息的安全问题、特别是资金流问题尤为突出,电子商务的普遍应用还有不少问题需要解决。(三)研究方法,途径
1.相关资料、文献的收集
通过在图书馆进行对文献的查阅;在网络上进行相应资料的查找;在杂志等相关报刊进行参考;结合老师课上讲解的内容和课件等方式,收集了近些年有关电子商务安全技术的理论研究与实践经验,了解最新的理论研究方法和相关结论。
2.数据分析、归纳和案例分析
对搜集到的数据进行分析、归纳,并结合相关案例分析,最后总结汇总。
二、电子商务安全概述
(一)电子商务安全的内容
电子商务的一个重要技术特征是利用IT 技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
(二)电子商务安全隐患
如图2.1为电子商务安全从整体上的分类:
图2.1
1.内部人员滥用计算机资源
内部人员对系统资源具有一定权限,如果内部人员职业道德水平不高,管理制度又不严格,就可能出现内部人员滥用计算机资源。据调查,目前的安全性事件中,来自内
部人员的破坏占50%以上。内部人员除了破坏电子交易的可控性和机密性之外,还可能造成假冒交易,危害极大。
2.外部攻击
电子支付吸引了网上为数众多的不法之徒利用Internet或主机系统的漏洞偷窃合法用户的支付信息或电子资金。就统计数据看外部攻击比内部攻击情况出现得要少,但外部攻击可能造成的损失是难以预测的,而且由于许多外部攻击行为没有被发觉使统计数据不全面,因而对外部攻击的防范不可疏忽。
3.交易抵赖
交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。
4.病毒或恶意代码
主要危害是破坏系统中的数据,造成数据丢失或系统无法正常工作,从而危及电子商务的完整性和有效性。
5.新鲜的截获或窃取
如果没有采用加密措施或加密强度不够,攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装接收装置或在数据包通过的网关和路由器上截获数据等方式,获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推导出有用信息,如消费者的银行帐号、密码以及企业的商业机密等。
6.信息的篡改
当攻击者熟悉了网络信息格式以后,通过各种技术方法和手段对网络传输的信息进行中途修改后,再发往目的地,从而破坏信息的完整性。这种破坏手段主要有三个方面: (1)篡改:改变信息流的次序、更改信息内容如购买商品的出货地址。
(2)删除:删除某个息或消息的某些部分。
(3)插入:在消息中插入一些信息,让接收方读不懂或接收错误信息。
7.信息假冒
当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户。主要有两种方式:
一种方式是伪造电子邮件。通过这种方式攻击者可以虚开网站和商店,给用户发电子邮件,收定货单;可以伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;可以伪造用户发大量的电子邮件,窃取商家的商品信息和用户的信用卡等信息。
另外一种方式为假冒他人身份,例如冒充领导发布命令、调阅密件;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户;冒充网络控制程序、窃取或修改使用权限、通行字、密钥等信息;冒充合法用户、欺骗系统、占用合法用户的资源等。
(三)电子商务安全要素
计算机安全问题主要分为三类:一是、实体的安全性。实体安全包括环境安全、设备安全和媒体安全,它是用来保证硬件和软件的安全。二是、运行环境的安全性。运行安全包括风险分析、审计跟踪、备份与恢复和应急,它用来保证计算机能在良好的环境里持续工作。三是、信息的安全性,信息安全包括操作系统安全、数据库安全、网络安全、防病毒、访问控制、加密、认证,它用来保障信息不会被非法阅读、修改和泄露。
以下具体的介绍各安全要素:
1.数据的私有性和安全性
如果不采用特别的保护措施,包括电子邮件等在Internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径,想任意窃听一组数据传输是不可能的,但是一些设置在节触web服务器的黑客程序却可以查找和收集特定类型的数据。这些数据包括信用卡、存款的帐号和相应的口令。
2.数据的完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同.贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
3.通讯、交易和存取要求的合法性
例如Internet的计算机系统的身份是其由IP地址确认的,黑客通过IP欺骗,使用虚假的IP地址,从而达到隐瞒自己身份盗用他人身份的目的。
4.不可抵赖性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性。
5.审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。
6.可控性
能控制使用资源的人或实体的使用方式。
7.认证性
认证性是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务中,认证性一般都通过证书机构CA和证书来实现。
8.不可拒绝性
商务服务的不可拒绝性又叫有效性或可用性,是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。
9.匿名性
匿名性指发送者匿名性、接收者匿名性、发送者与接收者之间的无连接性。其包含三个方面含义:信息分离、防勾结和匿名度。其中,匿名度是将匿名性从绝对隐藏、可能暴露、到暴露分为若个等级,用来衡量网络支付协议所达到的匿名程度。
10.原子性
原子性是指整个支付协议(一般包括初始化阶段、订购阶段、支付阶段、清算阶段等)看作一个事务,保证要么全部执行,要么全部取消。
三、电子商务安全问题案例分析
(一)案例一:电子签名法首次用于庭审
1.案例内容
北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。
2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000元。因都是短信来往,两次汇款杨先生都没有索要借据。此后,因韩某一直没提过借款的事,而且又再次向杨先生借款,杨先生产生了警惕,于是向韩某催要。但一直索要未果,于是起诉至海淀法院,要求韩某归还其11000元钱,并提交了银行汇款单存单两张。但韩某却称这是杨先生归还以前欠她的欠款。
为此,在庭审中,杨先生在向法院提交的证据中,除了提供银行汇款单存单两张外,还提交了自己使用的号码为“1391166XXXX”的飞利浦移动电话一部,其中记载了部分短信息内容。如:2004年8月27日15:05,“那就借点资金援助吧”。2004年8月27日15:13,“你怎么这么实在!我需要五千,这个数不大也不小,另外我昨天刚回北京做了个眼睛手术,现在根本出不了门口,见人都没法见,你要是资助就得汇到我卡里!”等韩某发来的18条短信内容。
韩某的代理人在听完短信内容后,否认发送短信的手机号码属于韩某,并质疑短信的真实。法官提醒他,在前次开庭时,法官曾当着双方拨打了该手机号码,接听者正是韩某本人。韩某也承认,自己从去年七八月份开始使用这个手机号码。
法院经审理认为,依据《最高人民法院关于民事诉讼证据的若干规定》中的关于承认的相关规定,1391173XXXX”的移动电话号码是否由韩女士使用,韩女士在第一次庭审中明确表示承认,故法院确认该号码系韩女士使用。
依据2005年4月1日起施行的《中华人民共和国电子签名法》中的规定,“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”移动电话短信息即符合电子签名、数据电文的形式。同时移动电话短信息能够有效的表现所载内容并可供随时调取查用;能够识别数据电文的发件人、收件人以及发送、接收的时间。经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性;保持内容完整性方法的可靠性;用以鉴别发件人方法的可靠性进行审查,
可以认定该移动电话短信息内容作为证据的真实性。根据证据规则的相关规定,录音录像及数据电文可以作为证据使用,但数据电文可以直接作为认定事实的证据,还应有其它书面证据相佐证。
通过韩女士向杨先生发送的移动电话短信息内容中可以看出:2004年8月27日韩女士提出借款5000元的请求并要求杨先生将款项汇入其卡中,2004年8月29日韩女士向杨先生询问款项是否存入,2004年8月29日中国工商银行个人业务凭证中显示杨先生给韩女士汇款5000元;2004年9月7日韩女士提出借款6000元的请求,2004 年8月29日韩女士向杨先生询问款项是否汇入。2004年9月8日中国工商银行个人业务凭证中显示杨先生给韩女士汇款6000元。2004年9月15日至2005年1月韩女士屡次向杨先生承诺还款。
杨先生提供的通过韩女士使用的号码发送的移动电话短信息内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符,且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示,两份证据之间相互印证,可以认定韩女士向杨先生借款的事实。据此,杨先生所提供的手机短信息可以认定为真实有效的证据,证明事实真相,本院对此予以采纳,对杨先生要求韩女士偿还借款的诉讼请求予以支持。
2.分析、得出结论
在本案中,针对主要证据——手机短信息,法官根据电子签名法第八条的规定及相关规定审查了该证据的真实性,在确定能够确认信息来源、发送时间以及传输系统基本可靠的情况、文件内容基本完整的情况下,同时又没有相反的证据足以否定这些证据的证明力的情况下,认可了这些手机短信息的证据力。
在电子签名法出台之前,可以说有很多类似的案例,主要是针对电子邮件能否作为证据的,由于缺乏直接的法律规定,为此上海高院还专门出台了相关的解释,这种情况随着电子签名法的出台得到了根本的改变。
本案是我国电子签名法实施后,法院依据电子签名法裁判的第一起案例,意义重大,意味着我国的电子签名法真正开始走入司法程序,数据电文、电子签名、电子认证的法律效力得到了根本的保障,通过电子签名法的实施,基本上所有与信息化有关的活动在法律的层面都有了自己相应的判断标准。
通过这个案例我也更加明白老师课上给我们讲的数字签名的意义,虽然并不是我们手写的,但是一旦发生了,也就产生了法律效应。并且通过这个案例使我明白了电子商务的安全问题不只发生在计算机中,也会发生在手机这样的通讯工具中,我们除了要加强对技术的管理,更要加强警惕、加强自我保护的意识,遇到欺骗时不要心急,一定要
懂得从正当途径捍卫自己的权利和利益,加强自己的法律意识。这个案例的发生不仅让我们知道了一种新的电子商务安全问题,更可以通过这次教训激励我们要用不停止对电子商务安全技术的研究。
(二)案例二:淘宝“错价门”引发争议
1.案例内容
互联网上从来不乏标价1元的商品。几年前,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。”这起“错价门”事件已经过去,导致“错价门”的真实原因依然是个谜,但与此同时,这一事件暴露出来的我国电子商务安全问题不容小觑。
在此次“错价门”事件中,消费者与商家完成交易,成功付款下了订单,买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易,这种行为本身是否合法?蒋苏华认为,按照我国现行法律法规,淘宝网的行为涉嫌侵犯了消费者的自由交易权,损害了消费者的合法权益,应赔礼道歉并赔偿消费者的相应损失。
2.分析、得出结论
在分析这个案例时我也在网上查阅了些其它企业的错价案例,事实上,“错价门”在IT互联网行业露露爆出。2009年,戴尔在中国台湾官网销售的多款产品标错价,因不愿以错价发货,戴尔遭到监管部门罚款,并与下单消费者对簿公堂,最终败诉;亚马逊中国也曾在2009年、2012年多次陷入“错价门”而单方面取消订单引发消费者不满;乌龙程度最夸张的当属2004年IBM公司将市售1500元的康宝光驱错标成了1元,最终不得不向数量庞大的下单者如约发货。2014年3月20日,联想犯了一次晕,在其官方商城后台升级时,把原价1888元的联想平板标成了999元,10小时卖出11万台,损失近亿元。
通过了解,我觉得以上的电子商务企业爆出的错价现象和淘宝“错价门”事件不同。以上“错价”现象,集中在某个商户或某个电子商务企业的某个商品,人为因素的可能性较大。淘宝“错价门”则是大批商户的大批商品价格在短时间内被恶意篡改,达到这个目的需要借助一定的技术手段。
这个案例使我了解到,电子商务企业后台系统一旦被黑客侵入,数据库会被肆意篡改,不仅仅是商品的价格,还包括接收货物的客户个人信息等,这种非法入侵往往会造成很大的混乱,带来很严重的后果,相关企业甚至会因此破产,涉嫌刑事犯罪。
通过课堂的学习和查阅资料,我发现黑客攻击的主要目标是电子商务平台。黑客攻击可以是多层次、多方面、多种形式的。攻击电子商务平台,黑客可以轻松赚取巨大的、实实在在的经济利益。比如:窃取某个电子商务企业的用户资料,贩卖用户的个人信息;破解用户个人账号密码,可以冒充他人购物,并把商品货物发给自己。黑客有可能受经济利益驱使,也有可能是同业者暗箱操作打击竞争对手。攻击电子商务企业后台系统的往往是专业的黑客团队,要想防范其入侵,难度颇大。尤其是对于一些中小型电子商务网站而言,比如数量庞大的团购网站,对抗黑客入侵更是有些力不从心。如果大量电子商务企业后台系统的安全得不到保障,我国整个电子商务的发展也将面临极大威胁。
还有,抛开电子商务的安全问题,电子商务的正确管理也是非常重要的,像上面那些企业的错价门事件,有许多不也是因为人为的失误才发生的么?如果能在平时加强此方面的管理,我想这样的损失是完全可以避免发生的!
(三)结论
就我个人认为,电子商务的安全技术问题永远都会产生,我们能做到的不是杜绝其发生,而是减少其发生。
电子商务安全问题是五花八门的,大到一个企业的运营,小到我们每个人的方方面面,我们一定不能放松对待。
对于电子商务的安全问题,各企业除了要加强技术管理,公安机关和电信管理机关、电子商务管理机关也应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。
总之,为了尽可能的减少损失,除了电子商务企业要加强安全技术管理,多聘用安全技术管理类人才,同时也要加强对员工的管理,作为大众的我们也要有一定的自我保护意识,可以通过参加一定的课程或多在网上留意相关信息进行学习,相应的管理部门也要加大力度进行维护、打击犯罪,除了抓住、惩罚罪犯,还要能有相应的应急预案,以及技术出台相关的法律法规约束网络,协助网络更好的发展。
四、电子商务的安全技术机制
(一)加密技术
1.加密技术的定义
加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用,深受广大用户的喜爱。加密技术分为对称密钥加密体制和非对称密钥加密体制。
如图4.1为加密和解密的过程:
图4.1
2.对称密钥加密体制
(1)对称密钥加密体制的定义:
对称密钥加密体制是加密和解密均采用同一把秘密钥匙,而且通讯双方都要活的这把钥匙,并保持钥匙的秘密。
(2)如图4.2为对称密钥加密解密过程:
图4.2
(3)对称密钥加密体制依赖的因素:
对称密钥系统的安全性依赖于以下两个因素。第一,加密算法必须是足够强的,仅仅基于密文本身去解密信息在实践上是不可能的;第二,加密方法的安全性依赖于密钥的秘密性,而不是算法的秘密性。
(4)对称密钥加密体制的缺点:
对称加密算法的缺点是密钥难于共享,需要的密钥太多,对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。比如对于具有n个用户的网络,需要n(n-1)/2个密钥,在用户群不是很大的情况下,对称加密系统是有效的。对于大型网络,当用户群很大,分布很广时,密钥的分配和保存就成了大问题。另一方面的问题是如何将密钥传给要保密的用户。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须保证采用的是相同的密钥,保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄露或更改密钥的程序。这样,对称密钥的管理和分发工作演变成一件具有潜在危险的、繁琐的过程。对称加密算法另一个缺点是不能实现数字签名。
3. 非对称密钥加密体制
(1)非对称密钥加密体制的定义:
非对称密钥加密体制是在试图解决对称加密面临的两个最突出的问题而诞生的,即密钥分配和数字签名,而它的发展是整个密码学历史上最伟大的革命。采用公开密钥密码体制的每一个用户都有一对选定的密钥,其中加密密钥不同于解密密钥,而且从一个密钥很难推出另一个。加密密钥公之于众,谁都可以用,称为“公开密钥”;解密密钥只有解密人自己知道,称为“私密密钥”,公开密钥密码体制也称为不对称密钥密码体制。
(2)如图4.3为对称密钥加密解密过程:
图4.3
(3)非对称密钥加密体制的优点:
知道公钥的人不可能计算出私钥;知道公钥和密文的人不可能计算出原始信息;密钥发布不成问题。它没有特殊的发布要求;在多人间进行保密信息传输所需的密钥组合数量很小,N个人只需要N对公开密钥,远远小于对称密钥加密系统的要求。
(4)非对称密钥加密体制的缺点:
非对称密钥加密体制比对称密钥加密体制的速度慢的多。不适合用来对大量的数据进行加密。
(5)二者对比:
对称密钥加密体制的编码效率高,在密钥分发与管理上存在困难;非对称密钥加密体制运算量大,但可以很好的解决密钥分发的问题。
(二)数字签名技术
1.数字签名技术
(1)数字签名技术的定义:
数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
(2)数字签名技术的优点:
1、可以确认信息是由签名者发出的;(不可否认性)
2、信息自签发后到收到为止未曾做过任何修改。(消息完整性)
(3)如图4.4为数字签名过程:
图4.4
浅谈电子商务中的安全技术
浅谈电子商务中的安全技术 王海 (南京航空航天大学信息科学与技术学院 南京 210016) E-mail:wwanghaih@https://www.360docs.net/doc/aa2226511.html, 摘 要:电子商务的安全保障是电子商务发展的基础,本文分析了电子商务所采用的主要的安全技术, 包括现代加密理论(对称加密、公钥体制)、完整性保障、数字签名以及认证技术在电子商务中的应用。 关键词:电子商务;加密技术;完整性保障;数字签名认证技术 1.引言 所谓电子商务(Electronic Commerce),是指通过电子手段来完成整个商业贸易活动的过程。电子商务主要涉及三方面内容:信息、电子数据交换和电子资金转帐。在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。 2.电子商务面临的安全威胁[1]及安全需求[2] 2.1电子商务面临的安全威胁 电子商务的安全性并不是一个孤立的概念,它不但面临着系统自身的安全性问题;而且,由于它是建立在计算机和通信网络基础上的,所以计算机及通信网络的安全性问题同样会蔓延到电子商务中来。电子商务在这样的环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类: 2.1.1信息的截获和窃取 如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。 2.1.2信息的篡改 攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段有三种: (1)篡改:改变信息流的次序。 (2)删除:删除某个消息或消息的某些部份。 - 1 -
电子商务网络安全技术
5.2 电子商务网络安全技术 一、防火墙技术 1、什么是防火墙 防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了。 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、具有潜在破坏性的侵入。防火墙示意图:
2、防火墙种类 从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。 3、防火墙的使用 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 二、病毒防范措施 1、用户应养成及时下载最新系统安全漏洞补丁的安全习惯,从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时,升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。 2、请定期做好重要资料的备份,以免造成重大损失。 3、选择具备“网页防马墙”功能的杀毒软件(如KV2008),每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。 4、请勿随便打开来源不明的Excel或Word文档,并且要及时升级病毒库,开启实时监控,以免受到病毒的侵害。 5、上网浏览时一定要开启杀毒软件的实时监控功能,以免遭到病毒侵害。
6、上网浏览时,不要随便点击不安全陌生网站,以免遭到病毒侵害。 7、及时更新计算机的防病毒软件、安装防火墙,为操作系统及时安装补丁程序。 8、在上网过程中要注意加强自我保护,避免访问非法网站,这些网站往往潜入了恶意代码,一旦用户打开其页面时,即会被植入木马与病毒。 9、利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。 10、将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。 11、开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。 5.3 加密技术 一、加密技术 1、概念 加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多
浙师大电子商务安全技术单选题题目
单项选择题 1.在电子商务系统可能遭受的攻击中,从信道进行搭线窃听的方式被称为( ) A.植入B.通信监视C.通信窜扰D.中断 2.消息传送给接收者后,要对密文进行解密是所采用的一组规则称作( ) A.加密B.密文C.解密D.解密算法 3.在以下签名机制中,一对密钥没有与拥有者的真实身份有唯一的联系的是( ) A.单独数字签名B.RSA签名C.ELGamal签名D.无可争辩签名4.MD-5是____轮运算,各轮逻辑函数不同。A.2 B.3 C.4 D.5 5.综合了PPTP和L2F的优点,并提交IETF进行标准化操作的协议是( ) A.IPSec B.L2TP C.VPN D.GRE 6.VPN按服务类型分类,不包括的类型是( ) A. Internet VPN B.Access VPN C. Extranet VPN D.Intranet VPN 7.目前发展很快的安全电子邮件协议是_______ ,这是一个允许发送加密和有签名 邮件的协议。( ) A.IPSec B.SMTP C.S/MIME D.TCP/1P 8. 对SET软件建立了一套测试的准则。( ) A.SETCo B.SSL C.SET Toolkit D.电子钱包 9.CFCA认证系统的第二层为( ) A.根CA B.政策CA C.运营CA D.审批CA 10. SHECA提供了_____种证书系统。A.2 B.4 C.5 D.7 11.以下说法不正确的是( ) A.在各种不用用途的数字证书类型中最重要的是私钥证书 B.公钥证书是由证书机构签署的,其中包含有持证者的确切身份 C.数字证书由发证机构发行 D.公钥证书是将公钥体制用于大规模电子商务安全的基本要素 12.以下说法不正确的是( ) A. RSA的公钥一私钥对既可用于加密,又可用于签名 B.需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C.一般公钥体制的加密用密钥的长度要比签名用的密钥长 D.并非所有公钥算法都具有RSA的特点 13. _______是整个CA证书机构的核心,负责证书的签发。( ) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器14.能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是( ) A. PKI B.SET C.SSL D.ECC 15. _______在CA体系中提供目录浏览服务。( ) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器 16. Internet上很多软件的签名认证都来自_______公司。( ) A.Baltimore B.Entrust C.Sun D.VeriSign 17.SSL支持的HTTP,是其安全版,名为( ) A.HTTPS B.SHTTP C.SMTP D.HTMS 18. SET系统的运作是通过个软件组件来完成的。A.2 B.3 C.4 D.5 19.设在CFCA本部,不直接面对用户的是( ) A.CA系统B.RA系统C.LRA系统D.LCA系统 20. CTCA的个人数字证书,用户的密钥位长为( ) A.128 B.256 C.512 D.1024
电子商务安全技术试卷
电子商务安全技术试卷
————————————————————————————————作者:————————————————————————————————日期:
XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项: 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求,在规定的位置填写答案。 3. 不要在试卷上乱写乱画,不要在装订线内填写无关的内容。 4. 满分100分,考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题(共10分,每空1分): 1.电子商务安全从整体上分为( )和电子商务交易安全两大部分。 2.所谓加密,就是用基于( )方法的程序和保密的密钥对信息进行编码,把明文变成密文。 3.密码体制从原理上可分为单钥体制和( )。 4.链路-链路加密中,由于传送的信息在每个节点处都将以( )形式存在,故要加强每个节点的实体安全。 5. 电子商务活动是需要诚信的,如何来确定交易双方的身份就显得特别重要。目前,是通过认证中心(CA )发放( )来实现的。 6. 数字证书是利用数字签名和( )来分发的。 7. ( )允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8. 分布式防火墙是一种( )的安全系统,用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9. ( )又称灾难恢复,是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人
10. 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题(共10分,每题1分) 1.故意攻击网站触发安全问题,以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 ( ) 2.分组密码是一种重要的对称加密机制,它是将明文按一定的位长分组,输出不定长 度的密文。 ( ) 3.在代理多重签名中,一个代理签名可以代表多个原始签名人。 ( ) 4.数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接受方用 发送方的公开密钥进行解密。 ( ) 5.SSL 建立在TCP 协议之上,它与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。 ( ) 6.认证机构CA 和注册机构RA 都可以发放数字证书。 ( ) 7.实现防火墙的网络安全策略时,可以遵循的两条原则是:一是未被明确允许的一定 都将被禁止;二是未被明确禁止的未必都被允许。 ( ) 8.不连网的计算机不会感染计算机病毒。 ( ) 9.为了确保系统管理人员的忠诚可靠,系统管理的工作应当长期由一人来负责。( ) 10.计算机信息媒体出入境的普遍办理过程一般为先申报,后检测,最后报送。 ( ) 三、选择题(共40分,每小题2分) 1. 软件开发人员为了方便,通常也会在软件里留下“后门”,通过在后门里植入 ( ),很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2.确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 ( ) A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信,她需要用 什么来加密 ( ) A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中,不正确的是 ( ) A 、收方能够确认或证实发方的签名,但不能伪造 得 分 评分人 得 分 评分人
电子商务安全技术试卷及答案
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
电子商务安全技术
第8章电子商务安全技术 (一) 单项选择 1、()是确保电子商务参与者无法抵赖(或否认)其网上行为的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 2、()是确认与你在Internet上交易的个人或者试题的身份的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 3、()是确保信息和数据只能被得到授权的人读取的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 4、SET是指() A 安全电子交易 B 安全套接层协议 C 安全HTTP D 安全电子技术 5、()是可以组织远程客户机登录到你的内部网络。 A 代理服务器 B 防病毒软件 C 操作系统控制 D 防火墙 6、()可以监视通过网络传递的信息,从网络上任何地方盗取企业的专有信息。 A 恶意代码 B 电子欺骗 C 网络窃听 D 内部人行为 7、()是用来保护信道安全的最常用的方式。 A 安全超文本传输协议 B 安全套接层协议 C 虚拟专用网 D 公共网络 8、()很可能成为电子商务中最典型的犯罪行为。 A 网上信用卡诈骗 B 电子欺骗 C 网络窃听 D 恶意代码 9、()通常感染可执行文件。 A 宏病毒 B 脚本病毒 C 文件感染型病毒 D 特洛伊木马 10、()向网站大量发送无用的通信流量从而淹没网络并使网络瘫痪。 A 拒绝服务攻击 B 阻止服务攻击 C 分布式拒绝服务攻击 D 分散式拒绝服务攻击 11.以下攻击手段中不属于欺骗攻击的是() A.伪装B.会话劫持C.洪水攻击D.中间人攻击 12.签名者在不知道签名具体信息的情况下所做的签名称为()。 A.群签名B.盲签名C.团体签名D.防失败签名 13.以下匿名的实现机制中,()通过在群内随机转发消息来隐藏消息的发送者。A.群方案B.匿名转发器链C.假名D.代理机制 14.以下电子现金方案中,()系统的数字现金证书当天有效。 A.E--Cash B.Mini--Pay C.CyberCash D.Mondex 15.()是对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。 A.漏洞扫描B.入侵检测C.安全审计D.反病毒 16.散列函数对同一报文M,无论何时何地,反复执行该函数得到的输出结果都是一样的,是指散列函数的()。 A.单向性B.普适性C.不变性D.唯一性 17使用密钥将密文数据还原成明文数据,称为:()。 A:解码;B:解密C:编译;D:加密; 18、所谓对称加密系统就是指加密和解密用的是()的密钥。 A、不同 B、互补 C、配对D相同 19、在下面的选项中不符合非对称密钥体制特点的是()。 A、密钥分配简单 B、密钥的保存量少 C、密钥的保存量多 D、可实现身份识别 20、电子支票在使用过程中,需要通过()来鉴定电子支票的真伪。
电子商务交易的安全技术
E-business电子商务 0802013年1月 https://www.360docs.net/doc/aa2226511.html, 电子商务交易的安全技术浅析 浙江财经学院信息学院 程亚星 摘 要:在当今人们的生活中,电子商务已成为不可或缺的元素。随着电子商务的迅速发展,电子商务交易、支付的迅猛增加,一些网络黑客任意截获、盗取或者恶意攻击电子商务网站,给电子商务交易的安全造成了威胁。在预防电子商务交易中个人信息泄露,防止信息被恶意篡改的技术探索中,得出了防火墙与入侵检测技术的恰当结合是解决电子商务交易网络安全的有效方法之一。本文主要探讨防火墙、入侵检测技术及二者联动在电子商务交易安全中的应用。 关键词:电子商务交易 防火墙 入侵检测 信息安全 中图分类号:F724 文献标识码:A 文章编号:1005-5800(2013)01(b)-080-02 近年来,随着越来越多的商家与企业加入电子商务大军,2012年天猫、京东、苏宁易购、腾讯都进行了不断的收购,腾讯投资10亿元到电商业务。据艾瑞咨询发布的统计数据,截至2012年6月底,中国网民数量达到5.38亿,受益于网购市场的高速发展全年网购交易规模突破13000亿,电子商务产业已成为我国经济中的亮丽风景。同时,电子商务交易安全问题日益严重,信息安全已成为未来电子商务顺利发展的重要保证,确保商务交易中的安全是当前电子商务发展面临的巨大挑战。近年来已经逐渐发展成熟的防火墙与入侵检测技术已颇具成效,成为解决电子商务交易网络安全的重要手段。其中,防火墙技术因其静态防御的特性而在策略完善和攻击的识别上还存在很多不足之处,入侵检测技术能够很好地对恶意攻击网络行为进行有效的识别,可以对防火墙的不足进行补充。它若与防火墙技术结合使用,便可对电子商务交易安全发挥重要作用。 1 防火墙的关键技术 防火墙是利用了IP封包过滤技术,被放置在Internet与被保护的网络两者之间的屏障。它可以对过往的信息与数据进行不安全因素监测与分析,对不良数据与恶意信息进行过滤,对各种病毒与木马入侵进行拦截;防止网络信息被攻击和篡改。一般的防火墙系统主要包括Telnet、Email、WWW、FTP等代理服务器,以及用户登录、加密、审计、过滤路由、身份审核与验证、堡垒主机等基本功能模块组成。各个服务器与各个功能模块分工明确,经过有效的配合,能够实现共同抵御不安全网络攻击行为的目标。 防火墙具有很多功能,主要体现在:(1)防火墙可以将网络内部的信息屏蔽起来,避免外界干扰和攻击。(2)防火墙可以监测、审计和分析进入和流出网络的数据信息,对恶意信息进行筛选。(3)壁垒主机功能模块可以有效阻断外部入侵。(4)防火墙可以阻止所有可疑的对网络的访问,拦截所有携带病毒攻击的报文,并且可以预防这些病毒与木马的传播和扩散。但是,具有了这些功能网络也并不是绝对安全的,实践证明防火墙体系还存在许多漏洞,诸如尽管防火墙可以记录一切网络访问的活动,但是却也为黑客提供了入侵的端口,也有些黑客也能够绕过防火墙而进入网络,这些漏洞需要我们认真对待,及时完善防火墙技术。 1.1 包过滤技术 包过滤技术是防火墙技术中的一种,该技术的主要通过数据包过滤来实现的。其作用是阻塞某些主机及网络对内部网络的连接,这种技术主要工作在网络层。它为危机四伏的网络提供着过滤路由器的技术。例如,利用这种技术可以限制网络访问者去访问非法、色情站点等。可以通过选择系统内部的访问控制表Access Control List,选取恰当的网络位置,并在这个位置对数据包选择性的滤取,满足网络传输要求的数据包被过滤出来,并且可以通过一些网络安全协议在网络间进行有序的传输,其余不符合网络传输要求的数据包则被过滤出来,并最终在数据流中彻底删除,避免危害网络安全。 数据包过滤技术也存在一定漏洞,例如它只能通过数据包的端口号码、目的地址及协议类型等对数据包进行分析和判断,是只工作在网络层的过滤技术。这就决定了该技术不能对网络应用层的数据进行筛选和分析,对于应用层内的不良网络入侵不发挥功效。 1.2 代理(Proxy)技术 代理(Proxy)技术是完全不同于数据包过滤技术的应用网关技术——Application Gateway。它主要拦截一切信息流,工作在网络层,不同的应用配有不同的程序实现防护功能。代理技术以状态性为主要特征,目标是在网络应用层实现不安全访问的防范。代理技术能够展现与应用和传输相关联的所有信息与数据的状态,并且能够规范管理甚至及时处理这些传输应用信息。 代理是内外网间的网关,是工作在网络应用层上的特殊服务,且网络应用服务与应用代理具有一对一的关系。这让通信的网络服务器与客户之间不会进行直接的联系,而是通过代理进行转接与中继。代理服务器主要分为服务器代理和客户代理两大分支,前者负责完成与服务器间的通讯,后者负责完成与客户的对接通讯。随之而来的是代理服务器与服务器方面以及地理服务器和客户方面的两大类连接,这些连接都需要代理技术来进行维持。对服务器方面而言,代理是客户端,负责访问服务。对客户方面,代理是服务器,负责目的服务器与客户的对接。 1.3 状态检测技术 状态检测技术是采用对网络通信各层的数据传输进行检测的手段,是利用检测模块对动态数据包过滤技术的完善。状态检测技术可以提取一些数据的状态信息,并能够将这些信息进行动态保存,目的是方便以后做出安全决策。这种技术本质上讲采用的还是以会话为基本原色的一种连接检测机制,将属于同一连接性质的数据包同一成一个数据流整体后形成连接状态表。通过这些表的相互协作达成对表中各个连接元素的分析和甄别,为提高传输效率可随意排列这些表中的记录。用户的访问到达网关以前,检测设备要对数据进行分析和提取,根据网络协议与传输要素,对这些用户数据进行分析、鉴定、识别和过滤。这样,提高了网络的安全级别。
电子商务安全技术
电子商务安全技术 简介:这就是大学上课时学习得电子商务安全技术,就是全书得概要,总结。大学期末考试,可以拿它做为参考。 第一篇电子商务安全概述 电子商务就是由计算机、通信网络及程序化、标准化得商务流程与一系列安全、认证法律体系所组成得一个集合。 电子商务系统就是由Internet、用户、配送中心、认证中心、银行与商家等组成 TCP/IP协议, 第1章电子商务安全基础 乙发送一条信息甲,信息内容就是:请给乙向银行中打入10000元。落款:乙、 甲收到:信息为:请给丙向银行中打入10000元,乙。 其实在传递信息得过程中已被丙修改了信息。 1.1电子商务安全概念 电子商务安全就就是保护在电子商务系统里得企业或个人资产不受未经授权得访问、使用、窜改或破坏。电子商务安全覆盖了电子商务得各个环节。涉及到三方面:客户端-通信传输-服务器端。
电子商务安全得六项中心内容: 1、商务数据得机密性或保密性 通过加密来实现得。 2.电子商务数据得完整性或正确性 一定要保证数据没有被更改过。 3.商务对象得认证性 第三方认证。 CA认证中心。 4.商务服务得不可否认性 5.商务服务得不可拒绝性或可用性。6.访问得控制性 1、2电子商务安全问题 技术上得安全性,安全技术得实用可行性。要考虑以下三方面得问题: 1)安全性与方便性 2)安全性与性能 3)安全性与成本
一、问题得提出 二、电子商务得安全隐患 1、数据被非法截获,读取或修改 数据加密 2、冒名顶替与否认行为 数字签名、加密、认证 3.一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4.计算机病毒 杀毒软件 1.3电子商务安全需求 一、电子交易得安全需求 1、身份得可认证性 保证交易双方身份就是真实得,可靠得,不被冒名顶替。2.信息得保密性
浅谈电子商务中的安全问题(一)
浅谈电子商务中的安全问题(一) 摘要]Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。 关键词]电子商务安全网络安全商务安全 2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。 Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。 电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。 一、网络安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。 二、计算机网络安全体系 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。 在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。 对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、
电子商务安全技术分析
电子商务安全技术分析 摘要: 本文主要针对现在电子商务行业中存在的问题,从安全问题、安全要素、病毒与黑客防范技术、安全技术、安全电子交易等几个方面全面的阐述了电子商务的安全问题,重点分析了安全电子交易规范(SET),并对电子商务安全的未来进行了分析。 一、引言 电子商务为全球客户提供丰富商务信息、快捷的交易服务和低廉交易成本的同时,也给电子商务参与的主体带来了许多安全问题。电子商务所依赖的Internet具有虚拟性、动态性、高度开放性等特点,使电子商务面临众多的威胁与安全隐患,严重制约其进一步发展和应用。目前,电子商务的安全问题已经是制约电子商务广泛应用的主要瓶颈之一,所以电子商务安全技术也成为各界关注、研究的热点。 二、电子商务安全问题 由于电子商务师以计算机网络为基础的,因此它不可避免面临着一系列的安全问题。一般会遇到以下的五种安全问题。 2.1、信息泄露 在电子商务中表现为商业机密的泄露,也就是说电子商务的数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。 2.2、信息篡改 在电子商务中表现为商业信息的真实性和完整性的问题。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。 2.3、身份识别问题 如果不进行身份的识别,第三方就有可能假冒用户身份信息,利用仿冒的身
份与他人交易,获取非法利益,从而破坏交易的可靠性。进行识别后就可防止“相互猜忌”的情况。 2.4、病毒 病毒问世二十几年来,各种新型病毒及其变种迅速增加,特别是互联网的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。 2.5、黑客问题 随着各种应用工具的传播,黑客已经大众化了,不想过去那样费计算机的高手不能成为黑客,现在只需要下载几个攻击软件并学会怎么使用,就可以互联网上大干一场,所以黑客问题也严重威胁着电子商务的发展。 三、电子商务的安全要素 3.1、有效性 电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。 3.2、机密性 电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境(如Internet)上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。 3.3、完整性 电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因
电子商务安全技术()
电子商务安全技术 简介:这是大学上课时学习的电子商务安全技术,是全书的概要,总结。大学期末考试,可以拿它做为参考。 第一篇电子商务安全概述 电子商务是由计算机、通信网络及程序化、标准化的商务流程和一系列安全、认证法律体系所组成的一个集合。 电子商务系统是由Internet、用户、配送中心、认证中心、银行和商家等组成 TCP/IP协议, 第1章电子商务安全基础 乙发送一条信息甲,信息内容是:请给乙向银行中打入10000元。落 款:乙. 甲收到:信息为:请给丙向银行中打入10000元,乙。 其实在传递信息的过程中已被丙修改了信息。 1.1电子商务安全概念 电子商务安全就是保护在电子商务系统里的企业或个人资产不受未经授权的访问、使用、窜改或破坏。电子商务安全覆盖了电子商务的各个环节。涉及到三方面:客户端-通信传输-服务器端。 电子商务安全的六项中心内容: 1.商务数据的机密性或保密性
通过加密来实现的。 2.电子商务数据的完整性或正确性 一定要保证数据没有被更改过。 3.商务对象的认证性 第三方认证。 CA认证中心。 4.商务服务的不可否认性 5.商务服务的不可拒绝性或可用性。6.访问的控制性 1.2电子商务安全问题 技术上的安全性,安全技术的实用可行性。要考虑以下三方面的问题: 1)安全性与方便性 2)安全性与性能 3)安全性与成本 一、问题的提出 二、电子商务的安全隐患 1.数据被非法截获,读取或修改 数据加密
2.冒名顶替和否认行为 数字签名、加密、认证 3.一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4.计算机病毒 杀毒软件 1.3电子商务安全需求 一、电子交易的安全需求 1.身份的可认证性 保证交易双方身份是真实的,可靠的,不被冒名顶替。2.信息的保密性 加密,即使泄露,别人也看不懂。 原文-密文 3.信息的完整性 正确性,一定要保存传递的信息,到达接收方没有被更改。4.可靠性/不可抵赖性 5.审查能力/不可假造。
电子商务安全技术复习指导
电子商务安全技术 一、主要内容与重点 1.网络交易风险和安全管理的基本思路:如今,网络交易风险凸现,国内的犯罪分 子也将触角伸向电子商务领域。为了保证交易的安全进行,通过对网络交易风险源 分析,从技术、管理、法律等方面对网络交易安全管理进行思考,进而形成网络交 易安全管理的基本思路。 2.客户认证技术:客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别 用户身份,保证通信双方的身份的真实性;后者用于保证通信双方的不可抵赖性和 信息的完整性。为此建立认证机构,通过数字签名等技术,保证交易的安全。在此 介绍了对我国电子商务认证机构的建设的设想。 3.防止黑客入侵:介绍了黑客的概念及网络黑客常用的攻击手段,同时也介绍了一 些防范黑客攻击的主要技术手段。 4.网络交易系统的安全管理制度:本节中,我们主要针对企业的网络交易系统加以 讨论,这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。 5.电子商务交易安全的法律保障:介绍了电子合同法律制度和电子签字法律制度, 对我国电子商务交易安全的法律和我国电子商务立法的若干基本问题提出设想。 通过本章的学习,要求了解网络交易的基本思路;掌握身份认证、基于对称密钥的信息认证及基于非对称密钥的信息认证的原理;了解认证机构的设置及证书,以及了解网络黑客常用的攻击手段及交易防范黑客攻击的主要技术手段。掌握网络交易系统的安全管理系统;了解电子商务安全的法律保障。 学习流程
二、网络交易风险和安全管理的基本思路 1.网络交易风险凸现 2.网络交易风险源分析 1.在线交易主体的市场准入问题。 2.信息风险。 3. 信用风险。 4. 网上欺诈犯罪。 5.电子合同问题。 6.电子支付问题 7.在线消费者保护问题 8.电子商务中产品交付问题 3.网络交易安全管理的基本思路 电子商务交易安全是也一个系统工程,一个完整的网络交易安全体系,至少应包括三类措施,并且三者缺一不可。一是技术方面的措施,二是管理方面的措施,三是社会的法律政策与法律保障。 三、客户认证技术 客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别用户身份,保证通信双方的身份的真实性;后者用于保证通信双方的不可抵赖性和信息的完整性。 1、身份认证 1) 身份认证的目标 (1)确保交易者是交易者本人,而不是其他人。 (2)避免与超过权限的交易者进行交易。 (3)访问控制。 2)用户身份认证的基本方式 (1)用户通过某个秘密信息。
电子商务网站的安全防范技术-
电子商务网站的安全防范技术 摘要:论述了在构建电子商务网站时应采取的安全措施:防火墙技术、入侵检测系统、网络漏洞扫描器、防病毒系统和安全认证系统,以及它们之间的相互配合。关键词:网站;安全;电子商务前言由于电子商务网站是在Internet这个完全开放的网络中运行,大量的支付信息、订货信息、谈判信息、商业机密文件等在计算机系统中存放、传输和处理,而网络黑客、入侵者、计算机病毒在网上随处可见,它们窃取、篡改和破坏商务信息。为了确保电子商务活动的健康发展和正常进行,除了应加大对黑客和计算机犯罪的打击力度外,加强电子商务网站自身的安全防护也是非常重要的。因此,当一个企业架设电子商务网站时,应选择有效的安全措施。 1电子商务网站安全的要求影响 电子商务网站安全的因素是多方面的。从网站内部看,网站计算机硬件、通信设备的可靠性、操作系统、网络协议、数据库系统等自身的安全漏洞,都会影响到网站的安全运行。从网站外部看,网络黑客、入侵者、计算机病毒也是危害电子商务网站安全的重要因素。电子商务网站的安全包括三个方面的要求: 1.1网站硬件的安全要求网站的计算机硬件、附属通信设备及网站传输线路稳定可靠,只有经过授权的用户才能使用和访问。1.2网站软件的安全网站的软件不被非法篡改,不受计算机病毒的侵害;网站的数据信息不被非法复制、破坏和丢失。1.3网站传输信息的安全指信息在传输过程中不被他人窃取、篡改或偷看;能确定客户的真实身份。本文主要论述当电子商务网站面对来自网站外部的安全威胁时,应采取哪些有效的安全措施保护网站的安全。 2电子商务网站的安全措施 2.1防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数
电子商务交易过程中的网络安全技术
电子商务交易过程中的网络安全技术 本文分析了电子商务首要的安全要素,以及将面临的一系列安全问题,并从网络平台和数据传输两个方面完整地介绍了一些相关的安全技术,通过它们来消除电子商务活动中的安全隐患。 一、引言 随着信息技术和计算机网络的迅猛发展,基于Internet的电子商务也随之而生,并在近年来获得了巨大的发展。电子商务作为一种全新的商业应用形式,改变了传统商务的运作模式,极大地提高了商务效率,降低了交易的成本。然而,由于互联网开放性的特点,安全问题也自始至终制约着电子商务的发展。因此,建立一个安全可靠的电子商务应用环境,已经成为影响到电子商务发展的关键性课题。 二、电子商务面临的安全问题 1.信息泄漏。在电子商务中主要表现为商业机密的泄露,包括两个方面:一是交易双方进行交易的内容被第三方窃取;二是交易一方提供给另一方使用的文件被第三方非法使用。 2.信息被篡改。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或被多次使用,这样就使信息失去了真实性和完整性。 3.身份识别。身份识别在电子商务中涉及两个方面的问题:一是如果不进行身份识别,第三方就有可能假冒交易一方的身份,破坏交易、败坏被假冒一方的信誉或盗取交易成果;二是不可抵赖性,交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。进行身份识别就是防止电子商务活动中的假冒行为和交易被否认的行为。 4.信息破坏。一是网络传输的可靠性,网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误;二是恶意破坏,计算机网络本身遭到一些恶意程序的破坏,例如病毒破坏、黑客入侵等。 三、电子商务的安全要素 1.有效性。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对一切潜在的威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。 2.机密性。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。解决数据机密性的一般方法是采用加密手段。
电子商务安全技术习题集 复习题
第七章电子商务安全技术 三、单项选择题 1.身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和_______。 (A)可信性 (B)访问控制 (C)完整性 (D)保密性 答案:B; 2.目前最安全的身份认证机制是_______。 (A)一次口令机制 (B)双因素法 (C)基于xx的用户身份认证 (D)身份认证的单因素法 答案:A; 3.下列是利用身份认证的双因素法的是_______。 (A)电话卡 (B)交通卡 (C)校园饭卡 (D)xx 答案:D;
4.下列环节中无法实现信息加密的是_______。 (A)链路xx (B)上传xx (C)节点xx (D)端到端xx 答案:B; 5.基于私有密钥体制的信息认证方法采用的算法是_______。 (A)素数检测 (B)非对称算法 (C) RSA算法 (D)对称加密算法 答案:D; 6.RSA算法建立的理论基础是_______。 (A) DES (B)替代相组合 (C)大数分解和素数检测 (D)哈希函数 答案:C; 7.防止他人对传输的文件进行破坏需要_______。 (A)数字签字及验证 (B)对文件进行xx
(C)身份认证 (D)时间戳 答案:A; 8.下面的机构如果都是认证中心,你认为可以作为资信认证的是_______。 (A)国家工商局 (B)著名企业 (C)商务部 (D)人民银行 答案:D; 9.属于黑客入侵的常用手段_______。 (A)口令设置 (B)邮件群发 (C)窃取情报 (D) IP欺骗 答案:D; 10.我国电子商务立法目前所处的阶段是_______。 (A)已有《电子商务示范法》 (B)已有多部独立的电子商务法 (C)成熟的电子商务法体系 (D)还没有独立的电子商务法 答案:D;