电子商务安全管理 (2)

电子商务弊端（二）引言概述：电子商务是指通过互联网或其他电子信息技术手段进行的商业活动。

尽管电子商务带来了无数的便利和机遇，但同时也存在一些弊端。

本文将从不安全性、消费权益保护、物流难题、信息不对称和经济泡沫等五个大点，对电子商务的弊端进行详细的阐述。

正文：一、不安全性1. 网络支付风险：电子商务中常用的网络支付方式，如支付宝、微信支付等，经常受到网络黑客的攻击。

2. 个人信息泄露：在网上购物过程中，个人信息难以保护，容易被非法获得并滥用。

3. 虚假商品骗局：一些不法商家通过电子商务平台销售虚假商品，损害消费者利益。

4. 不良商家行为：一些商家通过虚假宣传、夸大广告等手段，误导消费者并违反公平竞争原则。

5. 网络病毒威胁：通过电子商务平台进行的传染病毒行为，可能对用户设备造成严重危害。

二、消费权益保护1. 退换货纠纷：由于产品信息在网购过程中无法真实体验，退换货过程存在不便和争议。

2. 退款问题：一些电子商务平台对用户退款申请存在一定的难度和拖延，导致用户权益无法及时得到保护。

3. 售后服务不完善：一些电子商务平台在售后服务方面存在欠缺，导致消费者维权困难。

4. 虚假评论现象：一些商家通过刷单等手段，虚构消费者好评以提升商品销量，误导消费者。

5. 售后责任不清晰：在电子商务中，消费者对于退换货、维修保修等售后责任不清晰，增加了消费者的风险。

三、物流难题1. 配送延迟：由于配送环节繁琐且受天气、交通等因素影响，电子商务中常常出现配送延误问题。

2. 物流人员素质参差不齐：电子商务物流环节中，部分物流人员素质参差不齐，服务水平低，影响用户体验。

3. 物流监管不力：对于第三方物流公司的监管存在缺乏，导致一些不良商家利用漏洞进行欺诈行为。

4. 快递服务范围限制：一些偏远地区快递服务覆盖范围有限，导致电子商务无法普及。

5. 物流成本高昂：电子商务中的物流成本较高，对商家和消费者都带来了经济负担。

四、信息不对称1. 商品信息不准确：网上商家提供的商品信息可能存在不准确、夸大宣传等问题，导致消费者实际获得与预期不符的商品。

保证电子商务安全的措施电子商务的快速发展为人们的生活带来了极大的便利，然而同时也引发了一系列的安全隐患和风险。

在保证电子商务的安全上，采取一系列的措施至关重要。

本文将从技术、管理和教育三个方面，阐述一些重要的安全措施，以确保电子商务的安全进行。

1. 技术措施1.1 加密技术加密技术是保证电子商务安全的基础，通过使用公钥和私钥来对交互数据进行加密和解密，确保只有合法的用户才能访问敏感信息。

常用的加密技术包括SSL （Secure Socket Layer）和TLS（Transport Layer Security）等，通过建立安全的通信通道来保护交换的数据。

同时，持续更新加密算法和密钥管理系统，以抵御不断发展的安全威胁。

1.2 认证和授权认证和授权是电子商务安全的关键环节。

采用多因素认证的方式，如使用密码、生物识别技术和硬件令牌等，确保用户的身份真实性和合法性。

同时，建立严格的授权机制，对用户的权限进行明确和管理，以避免未经授权的用户访问和操作敏感数据。

1.3 防火墙和入侵检测系统防火墙和入侵检测系统是保护电子商务平台免受网络攻击的重要手段。

通过策略限制和监控网络流量，防止恶意攻击和非法访问。

及时发现和阻止入侵行为，减少安全事件对系统造成的损害。

同时，与安全公司建立合作，定期进行安全巡检和漏洞修复，保持系统的安全性。

2. 管理措施2.1 安全策略和规范制定明确的安全策略和规范是确保电子商务安全的基础。

明确安全责任和权限，并分配专门的人员负责安全管理工作。

同时，建立完善的安全管理制度，包括对员工进行安全培训、合规检查和安全事件报告等，提高员工的安全意识和能力。

2.2 定期风险评估定期进行风险评估是了解系统安全状况、发现潜在威胁并制定相应防范措施的重要手段。

它可以帮助企业评估电子商务系统的安全状况，发现可能的安全漏洞和风险，并及时采取相应的补救措施，防止安全事件的发生。

2.3 数据备份与恢复建立有效的数据备份与恢复机制，对电子商务系统的数据进行定期备份，确保数据的完整性和可用性。

D.文件复制技术C.远程磁盘镜像技B.数据库恢复1（）就是使计A.瞬时复制技C.远程磁盘镜像技B.数据库恢复D.瞬时复制技术A.文件复制技2（）是产生和B.硬盘逻辑1C.硬盘逻辑2扇区或D.硬盘逻辑3扇区或软盘逻辑3扇区A.硬盘逻辑03引导型病毒将B.图形C.图象D.特殊字体A.符号及代码4数字签名是指A.防御性B.完整性C.认证性D.保密性5电子商务安全C.网络安全D.信息安全A.密码安全B.计算机安全6通信安全最核7如果系统A将A.会话层 B.传输层 C.应用层 D.网络层A.完整性B.保密性C.认证性D.可访问性8电子商务安全A.引导B.混合C.文件D.源码9"大麻"属于（10（）信息在因A.秘密级B.保密级C.机密级D.绝密级A.行为检测B.检验和法C.特征代码法D.软件模拟法11利用病毒行为12OSI结构模型A.表示层 B.网络层 C.应用层 D.传输层13使用（）安全C.私有密钥加密D.数字证书A.数字签名B.公开密钥加D.发送方的私有密钥C.发送方的公开密A.接收方的公B.接收方的私14在数字签名的C.信息完整性和保B.一旦信息保D.两者只要有一个被破坏，则另一个也15在电子商务安A.一旦信息完B.A的私有密C.B的公开密钥D.B的私有密钥16A发送一份带A.A的公开密A.绝密级B.机密级C.秘密级D.保密级17企业信息可以C.源IP地址和目的B.源IP地址和D.HTTP地址和端口号A.目的IP地址18用户在进行网C.误报率比较低D.能检测未知病毒B.可识别病毒19下列关于病毒A.不能对付隐20OSI结构模型A.应用层 B.表示层 C.会话层 D.传输层21目前计算机病A.表现模块B.传染模块C.引导模块D.触发模块A.传染模块B.引导模块C.表现模块D.传染模块与引导模块一同22病毒的（）负B.屏蔽路由器D.屏蔽子网防火墙C.屏蔽主机防火墙A.双宿主机防23（）用一台装C.引导型病毒D.混合型病毒A.宏病毒B.文件型病毒24（）是计算机D.检测已知病毒的最简单的办法C.利用病毒行为特A.可以查杀多B.对文件内容25下列关于软件A.表现模块B.引导模块C.传染模块D.传染模块与引导模块一同26病毒的（）判B.双宿主机C.屏蔽主机D.屏蔽子网27（）是防火墙A.屏蔽路由器C.宏病毒D.混合型病毒B.文件型病毒A.引导型病毒28（）是PC机上C.行为监测法D.软件模拟法29（ ）即可以A.检验和法B.特征代码法C.混合型病毒D.宏病毒B.文件型病毒A.引导型病毒30（）是PC机上31OSI结构模型A .网络层 B.表示层 C.应用层 D.传输层32在防火墙技术A.流过滤技术B.智能防火墙C.代理服务器技术D.数据包过滤技术33（）可分为寄A.混合型病毒B.文件型病毒C.引导型病毒 D.宏病毒34智能防火墙技A.流过滤技术B.防攻击技术C.防欺骗技术 D.入侵防御技术35（）用一台装A.屏蔽路由器B.双宿主机防C.屏蔽主机防火墙D.屏蔽子网防火墙36（）可以感染A.混合型病毒B.文件型病毒C.引导型病毒 D.宏病毒37（）在内部网A.屏蔽子网防B.双宿主机防C.屏蔽主机防火墙D.屏蔽路由器防火墙38智能防火墙技A.代理服务B.防攻击技术C.防欺骗技术 D.入侵防御技术39（ ）可以感A .混合型病毒B.宏病毒 C.引导型病毒 D.文件型病毒40智能防火墙技A.数据包过滤B.防攻击技术C.防欺骗技术 D.入侵防御技术41设计加密系统A.密钥B.密码算法C.加密原理D.密码体制42（）网址、密A.保密级 B.秘密级 C.机密级D.绝密级43对Access数据A.关闭数据库B.打开数据库C.复制数据库 D.无法对数据库文件加密44将包含"[Enc A.禁止用户加B.禁止用户加C.禁止用户加密该D.禁止用户所有加密功能45使用SMTP和P A.客户端和服B.客户端和服C.服务器端安装SS D.服务器端安装SET证书即可46对Word文件加A.保存B.编辑C.文件位置D.兼容性47S/MIME是一种A.表格处理B.数据库管理C.文字处理D.电子邮件加密48（）体制，密A.对称密码B.非对称密码C.分组密码体制D.序列密码体制49在对称密码体A.DESB.RSAC.IDEAD.AES50（）体制中，A.对称密码B.非对称密码C.分组密码体制D.序列密码体制51Windows XP提A.仅对NTFS分B.仅对FAT分C .可对所有文件夹D.仅对FAT32分区中的文件夹加密52（ ）体制中A .对称密码B.非对称密码C.公开密码D.分组密码53（ ）的关键A .序列密码体B.秘密密码体C.分组密码体制D.公开密码体制54PGP是一种流A .电子邮件加B.杀毒软件C.防火墙技术 D.压缩软件55（ ）是按收A .POPB.SSLC.SMTPD.SET 56在设计加密系A.密码算法B.密钥C.加密密钥D.解密密钥57（ ）体制即A .非对称密码B.秘密密码C.传递密码 D.对称密码58S/MIME是一种A.电邮加密软B.杀毒软件C.防火墙 D.压缩软件59（ ）是发电A .SMTPB.SSLC.POPD.SET 60PGP是一种（A .电子邮件加B.数据库管理C.文字处理 D.表格处理61现代密码学的A.密钥B.密码算法C.明文D.秘文D.拥有发送方私有密钥的人C.拥有接收方公开B.拥有接收方A.拥有发送方62（）可以验证A.绝密级B.秘密级C.机密级D.保密级63（）网址、密C.文件复制技术D.瞬时复制技术B.数据库恢复A.远程磁盘镜64（）就是在远A.机密B.秘密C.私密D.绝密65公司日常管理66（ ）包括对A.审计制度B.跟踪制度C.稽核制度 D.维护67（ ）信息在A.秘密级 B.机密级 C.绝密级 D.私密级68（ ）要求企A.跟踪制度B.稽核制度C.审计制度 D.维护制度D.公开密钥加密算法C.Office文件加密69PGP是（）。

关键术语第一章电子商务安全导论1)电子商务安全问题：主要涉及信息的安全、信用的安全、安全的管理问题以及安全的法律法规保障问题。

2)完整性：防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改。

3)电子商务系统安全：从计算机信息系统的角度来阐述电子商务系统的安全，认为电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全这三个部分组成。

4)认证性：确保交易信息的真实性和交易双方身份的合法性。

5)电子商务安全保障：电子商务安全需要一个完整的保障体系，应当采用综合防范的思路，从技术、管理、法律等方面去认识、去思考，并根据我国的实际和国外的经验，提出行之有效的综合解决的办法和措施。

6)可控性：保证系统、数据和服务能由合法人员访问，保证数据的合法使用。

7)保密性：保护机密信息不被非法取存以及信息在传输过程中不被非法窃取8)不可否认性：有效防止通信或交易双方对已进行的业务的否认。

第二章：1.链路——链路加密链路加密(又称在线加密)是传输数据仅在物理层前的数据链路层进行加密。

接收方是传送路径上的各台节点机，信息在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。

2.对称加密称加密又叫秘密密钥加密，其特点是数据的发送方和接收方使用的是同一把密钥，即把明文加密成密文和把密文解密成明文用的是同一把密钥。

3、节点加密节点加密是指每对节点共用一个密钥，对相邻两节点间（包括节点本身）传送的数据进行加密保护。

尽管节点加密能给网络数据提供较高的安全性，但它在操作方式上与链路加密是类似的：两者均在通信链路上为信息提供安全性；都在中间节点先对信息进行解密，然后进行加密。

4、公开密钥加密不对称加密又叫做公开密钥加密，需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加解密。

5、端——端加密端—端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。

采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。

第7章电子商务安全管理一、填空题1.双人负责原则2.任期有限原则3.最小权限原则4. DES RSA5.控制地带二、名词解释1.防火墙是一种隔离控制技术，通过在内部网络（可信任网络）和外部网络（不可信任网络）之间设置一个或多个电子屏障来保护内部网络的安全。

2. 所谓加密，就是将有关信息进行编码，使它成为一种不可理解的形式。

3. 数字时间戳是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要，DTS 收到文件的日期和时间，DTS的数字签名。

4.数字证书也称公开密钥证书，是在网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。

5. 网络信息稽核制度是指工商管理、银行、税务人员利用计算机及网络系统进行执法的制度。

三、简答题1.从整个电子商务系统着手分析电子商务的安全问题分类风险：1. 信息传输风险这是指进行网上交易时，因传输的信息被非法篡改、窃取和丢失，而导致交易的损失。

①冒名偷窃。

如“黑客”为了获取重要的商业秘密、资源和信息，常常采用源 IP 地址欺骗攻击。

IP 欺骗就是伪造他人的源IP地址，其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的。

②篡改数据。

攻击者未经授权进入网络交易系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益，或干扰对方的正确决策，造成网上交易的信息传输风险。

③信息传递过程中的破坏。

信息在网络上传递时，要经过多个环节和渠道。

由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。

计算机病毒的侵袭、“黑客”非法攻击等很容易使数据在传递过程中泄露或丢失，威胁电子商务交易的安全。

此外，各种外界的物理性干扰，如硬件故障、通信线路质量差或电源被切断、自然灾害等，都可能使数据丢失或者失真，影响到数据的有效性、真实性和完整性。

由于传统交易中信息传递和保存主要是通过有形的单证进行的，即使信息在传递过程中出现丢失、篡改等情况，也可以通过留下的痕迹找出原因。

一、总则第一条为保障公司电子商务业务的正常运行，维护公司利益，确保客户信息安全，根据国家相关法律法规和行业标准，结合公司实际情况，制定本制度。

第二条本制度适用于公司所有电子商务业务及相关人员。

第三条公司电子商务安全管理工作遵循以下原则：1. 预防为主，防治结合；2. 安全责任到人，强化安全意识；3. 严格管理，持续改进。

二、人员管理制度第四条公司应建立健全电子商务安全人员管理制度，明确各级人员的职责和权限。

第五条电子商务安全管理人员应具备以下条件：1. 具有良好的职业道德和保密意识；2. 熟悉电子商务业务和安全知识；3. 具备较强的分析和解决问题的能力。

第六条公司应对电子商务安全管理人员进行定期培训和考核，确保其具备相应的业务水平和安全意识。

三、保密制度第七条公司应建立健全电子商务保密制度，确保客户信息、公司商业秘密等不被泄露。

第八条公司应明确保密范围，对涉及客户信息和公司商业秘密的岗位和人员进行保密培训。

第九条公司应制定严格的保密措施，包括但不限于：1. 制定保密协议，明确保密义务；2. 限制访问权限，对敏感信息进行加密存储；3. 加强物理防护，确保保密设施的安全；4. 对离职人员进行保密审查。

四、跟踪审计制度第十条公司应建立健全电子商务跟踪审计制度，对电子商务业务进行实时监控和审计。

第十一条公司应制定审计计划，对电子商务业务进行全面审计，确保业务合规、安全。

第十二条公司应定期对审计结果进行分析，针对存在的问题进行整改。

五、系统维护制度第十三条公司应建立健全电子商务系统维护制度，确保系统稳定、安全运行。

第十四条公司应定期对系统进行安全检查和漏洞扫描，及时修复漏洞。

第十五条公司应制定应急预案，应对突发事件，确保系统安全。

六、数据备份制度第十六条公司应建立健全电子商务数据备份制度，确保数据安全。

第十七条公司应定期对数据进行备份，并确保备份数据的完整性和可用性。

第十八条公司应制定数据恢复方案，确保在数据丢失或损坏的情况下能够迅速恢复。