电子商务安全与管理
电子商务的安全管理制度
电子商务的安全管理制度随着互联网的飞速发展,电子商务已经成为了现代商业中不可或缺的一部分。
然而,电子商务也伴随着各种风险和安全隐患,如数据泄露、网络攻击、交易欺诈等问题。
为了保护电子商务的安全,确保顺利进行,各个企业和组织都需要建立完善的安全管理制度。
一、数据安全管理数据安全是电子商务中最重要的方面之一,以下是一些常见的数据安全管理措施:1. 安全访问控制:建立严格的账号和权限管理系统,确保只有授权人员可以访问敏感数据。
2. 数据备份和恢复:制定定期备份数据的计划,并建立可靠的恢复机制,以防数据丢失或被破坏。
3. 加密技术:使用强大的加密算法保护数据的传输和存储过程,确保数据在传输和存储中不会被窃取或篡改。
4. 安全审计:定期对系统和数据进行安全审计,及时发现并解决潜在的安全漏洞。
二、支付安全管理支付安全是电子商务中最容易受到攻击的环节之一。
以下是一些常见的支付安全管理措施:1. 支付加密:使用SSL(Secure Sockets Layer)等安全协议来加密支付过程中的敏感信息,保证交易数据的安全性。
2. 多重认证:引入双因素认证,例如短信验证码、指纹识别等,提高支付系统的安全性。
3. 异常检测:建立异常交易检测机制,及时发现和阻止可疑的支付行为,防止欺诈交易的发生。
三、物流安全管理物流环节也是电子商务中容易出现问题的地方,以下是一些常见的物流安全管理措施:1. 运输安全:确保物品在运输过程中不会被丢失、损坏或被篡改,建立安全的运输网络和监控系统。
2. 入库验收:对入库的物品进行验收和记录,确保货物的数量、质量和完整性与订单一致。
3. 实时跟踪:利用物流追踪技术,让消费者和卖家可以实时了解物流进展情况,增加物流环节的透明度和安全性。
四、用户隐私保护用户隐私保护是电子商务安全管理中至关重要的一环。
以下是一些常见的用户隐私保护措施:1. 隐私政策:制定明确的隐私政策,告知用户个人信息的收集和使用方式,征得用户的同意。
电子商务安全的技术与管理
电子商务安全的技术与管理随着数字技术的飞速发展,电子商务成为了商业领域的一种新兴方式。
随着电子商务的流行,其中所蕴含的安全问题也越来越受到人们的关注。
在这个浩瀚的数字海洋里,如何保护自己的信息和财产安全,是每一个参与到电商交易中的人都需要考虑的事情。
本文将从技术和管理两个角度,探讨如何保障电子商务的安全。
一、技术篇1.1 SSL安全套接层协议SSL是一种安全套接字层协议,用于保护在线交易的安全性。
SSL通过对数据的加密传输和身份验证,可以保护用户数据免受黑客攻击和恶意软件侵害。
在电子商务中,常用的SSL证书提供商有Comodo、Symantec、GeoTrust等。
SSL证书有多种类型,其中最受欢迎的是“EV SSL证书”,即“增强型验证”,可提供更高的安全性和身份验证。
1.2 数据加密技术数据加密技术是指通过加密技术对数据进行加密,保障数据的安全性和隐私性。
在电子商务中,数据加密技术是防止黑客攻击和非法侵入的重要手段。
其中,对称性加密技术和非对称性加密技术应用最广。
对称性加密技术用于保护短期通信,如用户名和密码登录等;非对称性加密技术用于保护长期通信,如网站证书认证等。
1.3 防火墙技术防火墙技术是一种网络安全技术,用于保护网络系统免受黑客攻击和网络威胁。
在电子商务中,防火墙技术可以保护交易系统的安全,特别是信用卡信息安全。
防火墙技术还可以阻止攻击者从外部网络入侵,保护企业内部的数据资源和信息安全。
二、管理篇2.1 财务管理电子商务的一大难点是如何保护用户的付款安全。
为了保障用户的财产安全,网站应采取安全措施来保护用户的支付信息。
采用加密付款网关和支付系统来确保用户信息的安全。
另外,在电子商务中,通常会有第三方支付平台来处理付款,这是保障用户支付安全的重要手段。
2.2 管理员控制在电子商务中,管理者拥有对数据的绝对控制和保护责任。
管理者需要严格控制对交易和用户数据的访问权限,还需要制定安全规则和安全政策来确保系统的稳定性和保护用户数据的安全。
电子商务安全与管理第二版课后习题答案
关键术语第一章电子商务安全导论1)电子商务安全问题:主要涉及信息的安全、信用的安全、安全的管理问题以及安全的法律法规保障问题。
2)完整性:防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改。
3)电子商务系统安全:从计算机信息系统的角度来阐述电子商务系统的安全,认为电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全这三个部分组成。
4)认证性:确保交易信息的真实性和交易双方身份的合法性。
5)电子商务安全保障:电子商务安全需要一个完整的保障体系,应当采用综合防范的思路,从技术、管理、法律等方面去认识、去思考,并根据我国的实际和国外的经验,提出行之有效的综合解决的办法和措施。
6)可控性:保证系统、数据和服务能由合法人员访问,保证数据的合法使用。
7)保密性:保护机密信息不被非法取存以及信息在传输过程中不被非法窃取8)不可否认性:有效防止通信或交易双方对已进行的业务的否认。
第二章:1.链路——链路加密链路加密(又称在线加密)是传输数据仅在物理层前的数据链路层进行加密。
接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
2.对称加密称加密又叫秘密密钥加密,其特点是数据的发送方和接收方使用的是同一把密钥,即把明文加密成密文和把密文解密成明文用的是同一把密钥。
3、节点加密节点加密是指每对节点共用一个密钥,对相邻两节点间(包括节点本身)传送的数据进行加密保护。
尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为信息提供安全性;都在中间节点先对信息进行解密,然后进行加密。
4、公开密钥加密不对称加密又叫做公开密钥加密,需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加解密。
5、端——端加密端—端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。
采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
电子商务的安全管理制度
电子商务的安全管理制度随着互联网的迅猛发展,电子商务已经成为了现代商业模式中不可或缺的一部分。
然而,在电子商务的发展过程中,安全问题也愈发突出。
为了保障用户和企业的利益,建立一个完善的电子商务安全管理制度显得尤为重要。
本文将从以下几个方面介绍电子商务的安全管理制度。
一、信息安全管理信息安全是电子商务安全管理制度中的核心要素。
企业应该通过建立信息安全政策、规定和流程来确保信息的保密性和完整性。
在处理用户信息时,应遵循数据保护法律法规,明确保护用户隐私的具体措施,并获得用户的明确同意。
同时,企业还需要建立健全的信息安全技术措施,包括加密技术、防火墙、入侵检测系统等,以防止黑客攻击和数据泄露等安全事件的发生。
二、支付安全管理支付安全是电子商务中最关键的环节之一。
企业应该建立安全、可靠的支付系统,采用多层次的身份验证和加密技术,确保用户的支付信息得到保护。
同时,企业还需要与支付机构建立合作关系,共同防范支付风险,确保交易的安全进行。
三、网络安全管理网络安全是电子商务安全管理制度中的重要部分。
企业应该加强对网络基础设施的保护,确保网络的稳定运行和安全性。
建立完善的网络安全策略,包括网络入侵检测、漏洞扫描、安全审计等,及时发现和应对网络攻击和威胁。
此外,企业还应加强对员工的网络安全教育培训,提高员工的安全意识,防止社会工程学等安全风险。
四、物流安全管理物流安全涉及商品实体的配送和交付过程。
企业应建立完善的物流安全管理制度,从商品进货到最终交付,确保商品在整个物流过程中不被损坏或被替代。
通过建立监控系统、物流路线规划和加强仓库安全管理等措施,提高物流环节的安全性和效率。
五、售后服务安全管理售后服务是电子商务中不可或缺的一环。
企业应确保顾客在购买商品后能够得到及时、有效的售后服务。
建立健全的售后服务管理制度,包括投诉处理规范、退换货政策等,解决用户的问题,保护用户的权益,维护企业的声誉。
综上所述,电子商务安全管理制度包括信息安全、支付安全、网络安全、物流安全和售后服务安全等多个方面的内容。
电子商务的电子商务安全管理
促进电子商务发展
电子商务安全能够降低交 易风险和纠纷,增强消费 者和企业的信任,促进电 子商务的快速发展。
电子商务安全面临的威胁
网络攻击
包括黑客攻击、病毒、蠕虫、 木马等,可能导致系统瘫痪、
数据泄露或篡改。交易欺诈来自如虚假交易、钓鱼网站、诈骗 等,可能造成消费者经济损失 或个人信息泄露。
钓鱼网站
通过伪装成正规网站或服务, 诱导用户输入账号、密码等敏 感信息,进而窃取用户个人信 息。
防火墙技术的应用场景包括保护内部网络不受 外部攻击、防止未经授权的访问以及隔离敏感 信息等。
入侵检测技术
入侵检测技术用于检测和预防网 络攻击,通过实时监控网络流量 和系统日志,发现异常行为和潜
在的安全威胁。
常见的入侵检测技术包括基于特 征的入侵检测和基于行为的入侵 检测,这些技术能够提供实时的
安全预警和响应。
我国首部电子商务领域的综合性法律,于2019年1月1日起正式实施。该法规 定了电子商务经营者的义务,保障消费者的权益,促进电子商务持续健康发展 。
《网络安全法》
我国网络安全领域的基础性法律,对网络基础设施、网络信息安全、个人信息 保护等方面做出了明确规定,为电子商务安全提供了法律保障。
电子商务安全标准
电子商务的电子商务安全管理
• 电子商务安全概述 • 电子商务安全技术 • 电子商务安全管理策略 • 电子商务安全法规与标准 • 电子商务安全案例分析 • 电子商务安全未来发展趋势
01
电子商务安全概述
电子商务安全定义
电子商务安全是指通过采取技术和管 理措施,确保电子商务交易过程中的 数据和信息安全,防止未经授权的访 问、泄露、破坏、修改或滥用。
案例三:某电商平台的恶意软件传播事件
电子商务安全与管理
电子商务安全与管理在当今数字化时代,电子商务已经成为我们生活中不可或缺的一部分。
从日常的购物消费到企业间的大规模交易,电子商务的便捷性和高效性为我们带来了极大的便利。
然而,伴随着电子商务的迅猛发展,安全与管理问题也日益凸显,成为了制约其进一步发展的关键因素。
首先,我们来谈谈电子商务面临的安全威胁。
信息泄露是其中一个严重的问题。
当我们在网上进行购物、支付等操作时,个人的姓名、地址、银行卡号等敏感信息都需要被输入。
如果这些信息被不法分子获取,就可能导致信用卡被盗刷、身份被冒用等严重后果。
网络黑客的攻击也是电子商务的一大隐患。
他们可能通过各种手段入侵电商平台的数据库,窃取用户数据或者篡改交易信息,给消费者和商家带来巨大的损失。
此外,恶意软件的传播也不容忽视。
比如,一些伪装成正规软件的恶意程序,可能会在用户不知情的情况下窃取个人信息或者破坏电脑系统。
那么,为了应对这些安全威胁,我们需要采取一系列的安全措施。
加密技术是保障信息安全的重要手段之一。
通过对传输的数据进行加密,可以有效防止信息在传输过程中被窃取和篡改。
身份验证机制也必不可少。
比如常见的用户名和密码组合、指纹识别、面部识别等,能够确保只有合法的用户才能访问相关的账户和信息。
同时,防火墙和入侵检测系统能够有效地阻止黑客的攻击,保护电商平台的服务器和数据库。
除了技术层面的安全措施,管理方面的工作同样重要。
完善的内部管理制度是保障电子商务安全的基础。
电商企业需要建立严格的员工权限管理制度,确保不同岗位的员工只能访问其工作所需的信息,避免出现内部人员滥用职权窃取用户数据的情况。
对于合作伙伴,也要进行严格的审核和管理,确保其具备足够的安全保障能力。
此外,定期的安全培训和教育也是必不可少的。
让员工了解最新的安全威胁和防范措施,提高他们的安全意识和防范能力。
在电子商务的交易过程中,消费者的权益保护也是安全与管理的重要内容。
消费者在进行网购时,可能会遇到商品质量问题、虚假宣传、售后服务不到位等情况。
电子商务安全管理制度
电子商务安全管理制度随着互联网的普及和电子商务的迅速发展,电子商务安全问题日益凸显。
为了保障电子商务活动的正常进行,保护消费者的合法权益,维护企业的商业信誉,制定一套完善的电子商务安全管理制度至关重要。
一、人员管理1、员工招聘在招聘涉及电子商务业务的员工时,应进行严格的背景调查,包括学历、工作经历、信用记录等,确保招聘到可靠、诚信的人员。
2、培训与教育定期为员工提供电子商务安全方面的培训,包括网络安全知识、数据保护法规、欺诈防范等,提高员工的安全意识和技能。
3、权限管理根据员工的工作职责和级别,合理分配系统访问权限。
员工只能访问其工作所需的系统和数据,避免权限滥用。
4、离职管理员工离职时,应及时收回其系统访问权限,清理相关账户和数据,并办理好工作交接手续。
二、系统与技术管理1、网络安全(1)安装防火墙、入侵检测系统、防病毒软件等安全设备,定期进行更新和维护。
(2)对网络进行定期的安全扫描和漏洞检测,及时发现并修复安全漏洞。
(3)采用加密技术,对传输中的数据进行加密,保障数据的保密性和完整性。
2、操作系统与应用软件(1)及时为操作系统和应用软件打补丁,修复已知的安全漏洞。
(2)只从官方和可信赖的渠道下载和安装软件,避免使用盗版或来路不明的软件。
(3)定期对操作系统和应用软件进行安全评估,确保其符合安全标准。
3、数据管理(1)对重要数据进行定期备份,并将备份数据存储在安全的地方,防止数据丢失。
(2)建立数据访问控制机制,只有经过授权的人员才能访问和处理敏感数据。
(3)对数据进行分类和标记,根据数据的重要性和敏感性采取不同的安全措施。
4、应急响应(1)制定应急响应计划,明确在发生安全事件时的应对流程和责任分工。
(2)定期进行应急演练,检验和提高应急响应能力。
(3)在发生安全事件后,及时采取措施进行处理,降低损失,并按照规定向有关部门报告。
三、交易安全管理1、身份认证(1)要求用户在注册和登录时进行身份认证,如使用用户名、密码、短信验证码、指纹识别等多种认证方式。
电子商务的安全和风险管理
电子商务的安全和风险管理随着信息技术的迅速发展,电子商务已成为现代商业活动的主要形式之一。
然而,随之而来的也是安全和风险管理的问题。
在这篇文章中,我们将探讨电子商务中的安全和风险管理,以及如何应对这些挑战。
一、电子商务中的安全问题随着越来越多的人们在互联网上进行购物和支付,安全问题成为电子商务中的一个重要议题。
首先,网上交易涉及个人敏感信息的传输,如信用卡号码、身份证号码等。
这些信息一旦被黑客或不法分子获取,就会导致身份盗窃和金融诈骗等问题。
其次,电子商务平台也面临着网络攻击的威胁。
黑客可以利用漏洞和弱点来入侵电子商务平台,篡改数据、盗取用户信息,甚至中断服务。
这不仅损害了企业的声誉,也给消费者带来了不便和损失。
为了应对这些安全问题,电子商务平台需要采取一系列的保护措施。
首先,建立安全的传输通道,使用加密技术对用户信息进行保护。
其次,定期更新并维护服务器和软件系统,及时修复漏洞和弱点。
此外,还需要建立完善的身份认证和访问控制机制,以确保只有合法用户才能访问相关信息。
二、电子商务中的风险管理除了安全问题,电子商务还存在着一系列的商业风险。
首先,消费者在网上购物时往往无法亲自查看、触摸和试穿商品。
这时,他们只能依靠商家提供的商品描述和图片来判断商品的品质和适用性。
如果商品与描述不符,消费者可能会感到失望并要求退款。
其次,电子商务平台也面临着供应链管理的挑战。
电子商务的快速发展催生了大量的在线商家和供应商。
然而,由于供应链的复杂性,包括物流和库存管理等方面的问题,商家很难保证所有商品的及时交付和质量稳定。
为了降低风险,电子商务平台可以采取一些策略和措施。
首先,提供完善的售后服务,包括退货和换货政策,以解决由于商品与描述不符而引发的纠纷。
其次,与供应商和物流公司建立稳定可靠的合作关系,提高供应链的可视性和管理效率。
三、电子商务安全和风险管理的未来发展随着技术的不断进步,电子商务安全和风险管理也在不断演进。
电子商务安全管理与技术
➢2. NetBill协议 协议步骤如下:
(1)客户向商家查询某商品价格。 (2)商家向该客户报价。 (3)客户告知商家他接受该报价。 (4)商家将所请求的信息商品用密钥K
加密后发送给客户。 (5)客户准备一份电子采购订单
(Electronic Purchase Order, EPO) ,客户将该已数字签名的 EPO 发送给商家。
返回首页
数字签名使用方式是: (1)报文的发送方从报文文本中生成一个
128位或160位的单向散列值(或报文摘 要),并用自己的私有密钥对这个散列值 进行加密,形成发送方的数字签名。 (2)将这个数字签名作为报文的附件和报 文一起发送给报文的接收方。
返回首页
1
三.报文的接收方首先从接收到的原始报文中计算出128位的 散列值(或报文摘要),接着再用发送方的公开密钥来对
返回首页
➢2. 防火墙的发展
目前的防火墙经历了五个发展阶段。 第一代防火墙技术几乎与路由器同时出现,采用 了包过滤技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火 墙,即电路层防火墙,同时提出了第三代防火 墙——应用层防火墙(代理防火墙)的初步结构。 1992年,USC信息科学院的BobBraden开发出 了基于动态包过滤技术的第四代防火墙。1998年, NAI公司推出了一种自适应代理技术,并在其产品 Gauntlet Firewall for NT中得以实现,给代理 类型的防火墙赋予了全新的意义,可以称之为第 五代防火墙。
Internet电子邮件扩充)是在RFC1521所 描述的多功能Internet电子邮件扩充报文 基础上添加数字签名和加密技术的一种协 议。 (3)PEM-MIME(MOSS)。 MOSS(MIME对象安全服务)是将PEM和 MIME两者的特性进行了结合。
电子商务安全风险与管理
电子商务安全风险与管理第一章:引言随着电子商务的发展,电子商务的安全风险日益凸显。
电子商务的安全风险是指电子商务系统或网络中出现的可能损害电子商务系统或网络安全、影响电子商务业务运营的各种安全威胁和风险,包括网络攻击、数据泄露、信息丢失、软硬件破坏等。
电子商务安全是电子商务发展的重要基础,如何保护电子商务安全成为电子商务实践的重要议题。
本文将对电子商务安全风险与管理进行介绍,并提出基本管理框架,以期为电子商务安全风险管理提供一定的帮助。
第二章:电子商务安全风险的种类及特征电子商务安全风险主要包括以下几类:1.网络攻击:通过互联网等网络进行的黑客攻击、网络蠕虫、DDoS攻击、密码破解等危害网络安全的行为。
2.数据泄露:因为系统或网络漏洞导致敏感信息泄露、数据被盗取、篡改或丢失的情况。
3.信息丢失:由于硬件或软件故障、不当操作等因素导致数据损失或系统无法正常使用,可能会影响到企业的生产和经营。
4.软硬件破坏:指由于系统或硬件遭到破坏、病毒感染、恶意软件等导致的系统或软硬件无法正常使用。
以上电子商务安全风险的主要特征为具有隐蔽性、高风险性、不受时间、空间限制和误导性。
因此,电子商务企业必须重视电子商务安全风险。
第三章:电子商务安全管理框架电子商务安全管理框架包括风险评估、治理和事后处置等三个方面。
1.风险评估:风险评估是开展风险管理的第一步,它主要是通过对企业电子商务系统和网络进行全面的评估和分析,以确定电子商务系统和网络存在的各种风险。
评估结果还可以得出相关的统计和分析信息,使企业能够了解风险分布的情况,从而采取相应的对策。
2.治理:治理是指通过制定合理的、有效的电子商务安全政策,对电子商务的安全环境进行管理。
治理包括规章制度、安全培训、安全管理、安全监控、安全保障等方面。
企业需要建立完善的安全管理机制,对企业内部各项业务进行规范化管理。
3.事后处置:事后处置包括安全事件的应急处理和安全事件的追溯分析两个方面。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、电子商务交易活动中商家可能面临的问题:●中央系统安全性被破坏;●竞争者检索商品的销售情况;●客户资料被竞争者获悉;●被他人冒名而损害企业的名誉;●消费者提交订单后不付款;●虚假订单。
2、电子商务的安全问题主要涉及信息的安全问题、信用的安全问题、安全的管理问题、安全的法律法规保障问题。
3、从技术上看,电子商务面临的信息安全问题主要来自以下几个方面:冒名偷窃、篡改数据、信息丢失、信息传递出问题4、从计算机信息系统的角度来阐述电子商务系统的安全,认为电子商务系统的安全是由系统实体安全、系统运行安全、系统信息安全三部分组成。
5、所谓实体安全是指保护计算机的设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。
6、实体安全包括:环境安全、设备安全、媒体安全。
7、环境安全是指对电子商务系统所在的环境实施安全保护,主要包括受灾防护和区域防护。
8、受灾防护:是系统要具有受灾报警、受灾保护和受灾恢复等功能。
9、区域防护:是要对特定区域提供某种形式的保护和隔离措施。
10、设备安全是指对电子商务系统的设备进行安全保护,主要包括设备防盗、设备防毁、防止电磁信息泄露、防止线路截获、抗电磁干扰以及电源保护六个方面。
11、信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确保信息的完整性、保密性、可用性和可控性。
12、访问控制是指对主题访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)、限制使用计算机系统和计算机存储数据的过程(存取过程)。
访问控制主要包括出入控制和存取控制。
13、信息安全中的鉴别主要提供身份鉴别和信息鉴别。
身份鉴别是提供对信息收发方(包括用户、设备和进程)真是身份的鉴别,主要用于阻止非授权用户对系统资源的访问。
信息鉴别是提供对信息的正确性、完整性和不可否认性的鉴别。
14、完整性鉴别,是提供信息的完整性鉴别,使得用户、设备、进程可以证实接收到的信息的完整性,其主要功能是证实信息内容未被非法修改或遗漏。
15、不可否认性鉴别,是使得信息发送者不可否认对信息的发送和信息接受者不可否认对信息的接收。
16、电子商务安全需求17、病毒防范制度,20页,了解。
18、从信息的安全角度来说,主要会涉及五个方面的安全内容:信息的机密性、信息的完整性、对信息的验证、信息的不可否认性、对信息的访问控制19、信息安全问题与信息安全技术20、信息传输中的加密方式:链路-链路加密、节点加密、端-端加密。
21、链路加密的目的是保护网络节点之间的链路信息安全。
节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。
端-端加密目的是对源端用户到目的端用户的数据提供加密。
22、各加密方式的优点比较23、加密就是基于数学方法的程序和保密的密钥对信息进行编码,把计算机数据变成一堆杂乱无章难以理解的字符串,也就是把明文变成密文。
24、对称加密也叫秘密密钥加密,特点是数据的发送方和接收方使用的是同一把密钥,即把明文加密成密文和把密文解密成明文的是同一把密钥。
25、对称加密的主要优点是对信息加密解密的速度快、效率高。
主要缺点是密钥的管理比较困难,交易双方必须持有同一把密钥,且不能让他人知道。
26、常见的对称加密算法:数据加密标准DES,采用64位长度的数据块和56位长度的密钥。
高级加密标准AES,密钥长度可以是128、192、256位。
三重DES。
Rivest密码。
27、不对称加密又叫公开密钥加密,需要采用两个在数学上相关的密钥对—公开密钥和私有密钥来对信息进行加解密。
28、依据公开密钥是用作加密密钥还是解密密钥,公开密钥加密系统有两种基本的模式:加密模式和验证模式。
29、加密模式、验证模式了解原理,RSA算法计算,加密与验证模式结合过程。
37-40页。
30、数字签名其实是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项,发送方用自己的私有密钥进行签署由此产生数字签名。
31、密码散列函数也叫哈希函数(摘要函数),取任意长度的信息作自变量,结果产生规定长度的信息摘要。
如数字签名标准DSS中的信息摘要为160bit,然后签名信息摘要。
32、利用散列函数进行数字签名和验证的文件传输过程,45页。
33、美国国家标准技术局(NIST)发布了其所提议的数字签名标准(DSS),在该标准中定义了数字签名的算法(DSA)。
椭圆曲线加密系统是一种运用RSA和DSA来实施数字签名的方法。
盲签名是根据电子商务具体的应用需要而产生的一种签名应用,有时候需要某人对一个文件签名,而又不让他知道文件的内容,这时就需要盲签名。
盲签名一般用于电子货币和电子选举中。
多重签名主要应用于办公自动化、电子金融和CA认证中。
34、双联签名的使用方法。
54页。
双联签名解决了三方参加电子贸易过程中的安全通信问题。
35、Diffie-Hellman密钥协议提出了公开密钥加密技术。
该协议的运作方式为:系统A和B 各自生成一个随机的秘密值x和y,每个系统从自己的秘密值计算出相应的公开值X和Y,两个系统彼此交换公开值,然后每个系统可以从自己的秘密值和对方的公开值来计算出同一个密钥,即系统A用x和Y可以计算出密钥,系统B用y和X可以计算出同一个密钥。
只知道公开值而不知道秘密值的窃听者是不可能计算出密钥的。
36、验证是在远程通信中获得信任的手段,是安全服务中最基本的内容。
常见的验证技术包括:基于口令的验证、基于个人令牌的验证、基于生物统计特征的验证、基于地址的验证、数字时间戳验证。
37、对于基于口令的验证来说主要面临以下威胁:外部泄露、猜测、通信窃取、重放、危机主机安全。
38、服务器要对客户端的用户进行验证,可以使用下列因素建立验证协议:变换后的口令、提问-答复、时间戳、一次性口令、数字签名、零知识技术。
39、时间戳是用来标明一个事件所发生的日期和时间的一种记号,它一般是同生成该记号的人或机构的身份联系在一起的。
数字时间戳是一个经加密后形成的凭证文档,包括三个部分:●需要加时间戳的信息的摘要;●数字时间戳服务机构收到该信息的日期和时间;●数字时间戳服务机构的数字签名。
40、Internet安全的保护可以分为三类:网络层安全、应用层安全、系统安全。
网路层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。
应用层安全指的是建立在某个特定应用程序内部,不依赖于任何网络层安全措施而独立运行的安全措施。
系统安全指的是对特定终端系统及其局部环境的保护,而不考虑对网络层安全或应用层安全措施所承担的通信保护。
41、防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统,狭义上来讲,防火墙是指安装了防火墙软件的主机或路由器系统。
42、防火墙的功能:●过滤不安全的服务和非法用户;●控制对特殊站点的访问;●作为网络安全的集中监视点。
43、防火墙的不足之处:●不能防范不经由防火墙的攻击;●不能防止受到病毒感染的软件或文件的传输;●不能防止数据驱动式攻击。
44、防火墙按其处理的对象来说,基本上分为包过滤型防火墙和应用网关型防火墙。
包过滤防火墙通过检查数据流中每个数据包的源地址、目的地址、端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
应用网关型防火墙针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。
45、防火墙的实现方式:包过滤路由器、双穴防范网关、过滤主机网关、过滤子网防火墙。
46、包过滤路由器是众多防火墙中最基本、最简单的一种,它可以是带有数据包功能的商用路由器,也可以是基于主机的路由器。
47、虚拟专用网络(VPN)是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。
48、目前VPN主要采用四项技术来保证安全,分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
49、入侵检测的第一要素就是数据源,根据数据存在的位置不同数据源可以分类,进而根据数据源的分类就有了四种不同的检测策略:●基于主机的检测:收集通常在操作系统层、来自计算机内部的数据;●基于应用程序的检测:收集来自运行应用程序的数据;●基于目标机的检测:产生自己的数据;●基于网络的检测:收集网络数据包。
50、IP层安全标准(IPsec):其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全,弥补由于TCP/IP体系自身带来的安全漏洞,在IP层实现多种安全服务,包括访问控制、无连接完整性、数据源验证、抗重播、机密性(加密)和有限的业务流机密性。
51、认证头(AH)协议利用一种验证机制防止有人窃取其它用户的身份,启动或继续对话。
IP认证头协议AH是为IP数据项提供强认证的一种安全机制,它能为IP数据项提供无连接完整性、数据起源认证和抗重放攻击。
分组加密协议(ESP)将需要保护的用户数据进行加密后再封装到IP包中,其主要是支持IP数据项的机密性。
52、一个安全关联(SA)是在发送者和接收者这两个IPsec系统之间的一个简单的单向逻辑连接,是与给定的一个网络连接或一组连接相关的安全信息参数的集合。
53、增强的私密电子邮件(PEM)、安全多用途网际邮件扩充协议(S/MIME)、安全超文本传输协议(S-HTTP)。
54、安全套接层协议(SSL):是由Netscape公司研究制定的安全通信协议,是在因特网的基础上提供的一种保证机密性的安全协议,随后形成了IETF TLS规范。
该协议是目前电子商务中应用最广泛的安全协议之一。
55、SSL在因特网和其他TCP/IP网络上支持安全通信的基本功能:SSL服务器认证、确认用户身份、保证数据传输的机密性和完整性。
56、安全电子交易协议(SET)由MasterCard与Visa两大国际信用卡组织同一些计算机供应商共同开发,简称SET协议,它是一种应用于因特网环境下,以信用卡为基础的安全电子支付协议,它给出了一套电子交易的过程规范。
57、SET与SSL的比较:SET的安全需求较高,而在SSL中,只有商户端的服务器需要认证,客户认证则是有选择性的;SET保证了商户的合法性吗,使消费者在线购物更加轻松;一般公认的SET安全性较SSL 高;SET对于参与交易的各方定义了互操作接口;采用比率方面,SET的设置成本较SSL高很多,目前还是SSL的普及率高,但是SET的市场占有率会逐步增加。
58、数字证书是一个由使用数字证书的用户群所公认和信任的权威机构(即CA)签署了其数字签名的信息集合。
在电子商务应用中最重要的一种数字证书就是公钥数字证书。
59、目前的数字证书主要包括:个人数字证书、单位数字证书、服务器证书、安全邮件证书、代码签名证书。