第七章电子商务安全
2024年电子商务安全协议主要有哪两种
电子商务安全协议主要有哪两种合同编号:__________第一章:定义与解释1.1定义“电子商务”指通过电子手段进行的商业活动,包括但不限于商品或服务的购买和销售、电子支付、电子合同签订等。
“电子支付”指甲方或乙方通过电子手段进行的货币支付行为。
“电子合同”指甲方和乙方通过电子手段签订的合同。
1.2解释本协议的解释应遵循合同法的基本原则,以及相关法律法规的规定。
除非本协议另有规定,否则本协议的条款应优先适用于其他文件或协议。
第二章:合作范围2.1合作内容双方同意在电子商务领域开展合作,包括但不限于商品或服务的购买和销售、电子支付、电子合同签订等。
2.2合作方式双方将通过互相提供技术支持、信息共享、业务推广等方式进行合作。
第三章:安全措施3.1信息安全双方应采取必要的信息安全措施,包括但不限于数据加密、身份认证、访问控制等,保障信息的安全性和完整性。
3.2电子支付安全双方应确保电子支付的安全性,包括但不限于采用安全的支付通道、支付密码保护、支付限额控制等。
第四章:责任与义务4.1甲方责任与义务甲方应按照本协议的约定,履行合作内容,提供商品或服务,并保障商品或服务的质量。
4.2乙方责任与义务乙方应按照本协议的约定,履行合作内容,支付相应的款项,并保障支付的安全性。
第五章:违约责任5.1违约行为如一方违反本协议的约定,视为违约行为。
5.2违约责任违约方应承担违约责任,包括但不限于赔偿损失、支付违约金等。
第六章:争议解决6.1争议解决方式双方在履行本协议过程中发生的争议,应通过友好协商解决;协商不成的,任何一方均有权将争议提交至有管辖权的人民法院诉讼解决。
6.2争议解决成本争议解决过程中产生的诉讼费、律师费等合理费用,由败诉方承担。
如果双方都有责任,则按照双方责任的大小分担相应费用。
6.3继续履行在争议解决期间,除非争议事项涉及的内容必须暂停履行,否则双方应继续履行本协议其他不涉及争议的部分。
第七章:保密条款7.1保密义务7.2保密期限本协议终止或解除后,双方仍应继续承担保密义务,直至保密信息成为公开信息。
电子商务安全课后选择题答案及复习资料 唐四薪
电子商务安全课后选择题答案及复习资料唐四薪一、课后选择题答案第一章电子商务安全的概述1.关于电子商务安全,下列说法中错误的是D决定电子商务安全级别的最重要因素是技术 2.网上交易中订货数量发生改变,则破坏了安全需求中的()。
C/完整性; 3.()原则保证只有发送方和接收方才能访问消息内容。
D.访问控制; 4.电子商务安全中涉及的3种因素,没有()。
C设备5.在PDRR模型中,()是静态防护转为动态的关键,是动态响应的依据。
B检测;6.在电子商务交易中,消费者面临的威胁不包括()D非授权访问;7.B截获C伪造A篡改D中断第二章密码学基础1.棋盘密码属于()A单表替代密码;2.()攻击不能修改信息内容;A.被动;3.在RSA中,若两个质数p=7,q=13,则欧拉函数的值为()B。
72 解p-1=6.q-1=12;4.RSA算法理论基础()。
B大数分解;5.数字信封技术克服了()。
D公钥密码技术加密速度慢6.生成数字信封,我们用()加密()。
D接收方公钥、一次性会话秘钥7.如果发送方用自己的私钥加密信息,则可以实现()。
D鉴别 8.如果A和B安全通信,则B 不需要知道()A。
A的私钥 9.通常使用()验证消息的完整性。
A。
消息摘要10.两个不同的消息摘要具有相同散列值,称为()B。
冲突11.()可以保证信息的完整性和用户身份的确定性》C。
数字签名 12.与对称秘钥加密技术相比,公钥加密技术特点()。
D可以实现数字签名第三章认证技术1.确定用户的身份称为()。
A,身份认证2.下列技术不能对付重放攻击的是()。
A.线路加密3.D重放攻击;第四章数字证书和PKI1.关于认证机构CA,下列说法错误的是()。
B、CA有着严格的层次,其中根CA要求在线并且实时保护。
2.密钥交换最终方案是()。
C.数字证书3.CA用()签发数字证书。
D自己的私钥4.以下设施常处于在线状态的是()B。
OCSP C.RA5.数字证书将用户的共要与其()联系在一起。
电子商务安全与管理第二版课后习题答案
关键术语第一章电子商务安全导论1)电子商务安全问题:主要涉及信息的安全、信用的安全、安全的管理问题以及安全的法律法规保障问题。
2)完整性:防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改。
3)电子商务系统安全:从计算机信息系统的角度来阐述电子商务系统的安全,认为电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全这三个部分组成。
4)认证性:确保交易信息的真实性和交易双方身份的合法性。
5)电子商务安全保障:电子商务安全需要一个完整的保障体系,应当采用综合防范的思路,从技术、管理、法律等方面去认识、去思考,并根据我国的实际和国外的经验,提出行之有效的综合解决的办法和措施。
6)可控性:保证系统、数据和服务能由合法人员访问,保证数据的合法使用。
7)保密性:保护机密信息不被非法取存以及信息在传输过程中不被非法窃取8)不可否认性:有效防止通信或交易双方对已进行的业务的否认。
第二章:1.链路——链路加密链路加密(又称在线加密)是传输数据仅在物理层前的数据链路层进行加密。
接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
2.对称加密称加密又叫秘密密钥加密,其特点是数据的发送方和接收方使用的是同一把密钥,即把明文加密成密文和把密文解密成明文用的是同一把密钥。
3、节点加密节点加密是指每对节点共用一个密钥,对相邻两节点间(包括节点本身)传送的数据进行加密保护。
尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为信息提供安全性;都在中间节点先对信息进行解密,然后进行加密。
4、公开密钥加密不对称加密又叫做公开密钥加密,需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加解密。
5、端——端加密端—端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。
采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
第7章电子商务的安全管理课后习题答案
第7章电子商务安全管理一、填空题1.双人负责原则2.任期有限原则3.最小权限原则4. DES RSA5.控制地带二、名词解释1.防火墙是一种隔离控制技术,通过在内部网络(可信任网络)和外部网络(不可信任网络)之间设置一个或多个电子屏障来保护内部网络的安全。
2. 所谓加密,就是将有关信息进行编码,使它成为一种不可理解的形式。
3. 数字时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要,DTS 收到文件的日期和时间,DTS的数字签名。
4.数字证书也称公开密钥证书,是在网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。
5. 网络信息稽核制度是指工商管理、银行、税务人员利用计算机及网络系统进行执法的制度。
三、简答题1.从整个电子商务系统着手分析电子商务的安全问题分类风险:1. 信息传输风险这是指进行网上交易时,因传输的信息被非法篡改、窃取和丢失,而导致交易的损失。
①冒名偷窃。
如“黑客”为了获取重要的商业秘密、资源和信息,常常采用源 IP 地址欺骗攻击。
IP 欺骗就是伪造他人的源IP地址,其实质就是让一台机器来扮演另一台机器,以达到蒙混过关的目的。
②篡改数据。
攻击者未经授权进入网络交易系统,使用非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风险。
③信息传递过程中的破坏。
信息在网络上传递时,要经过多个环节和渠道。
由于计算机技术发展迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。
计算机病毒的侵袭、“黑客”非法攻击等很容易使数据在传递过程中泄露或丢失,威胁电子商务交易的安全。
此外,各种外界的物理性干扰,如硬件故障、通信线路质量差或电源被切断、自然灾害等,都可能使数据丢失或者失真,影响到数据的有效性、真实性和完整性。
由于传统交易中信息传递和保存主要是通过有形的单证进行的,即使信息在传递过程中出现丢失、篡改等情况,也可以通过留下的痕迹找出原因。
电子商务安全技术
第一章:一.电子商务的安全需求电子商务的安全需求包括两方面:1.电子交易的安全需求(1)身份的可认证性在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。
(2)信息的保密性要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。
(3)信息的完整性交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。
(4)不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
(5)不可伪造性电子交易文件也要能做到不可修改2.计算机网络系统的安全(1)物理实体的安全设备的功能失常电源故障由于电磁泄漏引起的信息失密搭线窃听(2)自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。
(3)黑客的恶意攻击所谓黑客,现在一般泛指计算机信息系统的非法入侵者。
黑客的攻击手段和方法多种多样,一般可以粗略的分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
(4)软件的漏洞和“后门”(5)网络协议的安全漏洞(6)计算机病毒的攻击二.电子商务安全技术电子商务安全从整体上可分为两大部分,1.计算机网络安全常用的网络安全技术:安全评估技术、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等①安全评估技术通过扫描器发现远程或本地主机所存在的安全问题。
②防火墙防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一,可用于防止未授权的用户访问企业内部网,也可用于防止企业内部的保密数据未经授权而发出。
③虚拟专用网虚拟专用网VPN(Virtual Private Networks)是企业内部网在Internet上的延伸,通过一个专用的通道来创建一个安全的专用连接,从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来,构成一个扩展的企业内部网。
中华人民共和国电子商务法(全文)
中华人民共和国电子商务法(全文)中华人民共和国电子商务法(全文)第一章总则第一条为了加强对电子商务活动的监督管理,促进经济健康发展,保护消费者和社会公共利益,制定本法。
第二条本法所称电子商务,是指利用信息网络,进行商品、服务交易和其他商务活动的行为。
第三条国家鼓励、支持和引导电子商务的发展,保证公平竞争,促进技术进步和信息化建设。
第四条电子商务应当遵循公平、诚信、安全、合法的原则,维护社会公共利益和消费者权益。
第五条国家依法保护电子商务经营者的合法权益,支持和推动电子商务创新发展。
第六条政府部门应当建立健全电子商务监管制度,加强对电子商务活动的监督。
第二章电子商务经营者第七条电子商务经营者是指在中华人民共和国境内设立经营机构,依法从事电子商务活动的法人、其他组织或者自然人。
第八条电子商务经营者应当依法注册登记,取得营业执照,并按照像关规定办理税务登记。
第九条电子商务经营者应当明示自己的身份信息、经营信息和商品信息,提供真实、准确、完整的交易信息。
第十条电子商务经营者应当履行商品质量、服务质量、信息安全等法定责任,保障交易双方的合法权益。
第十一条电子商务经营者不得通过虚构交易、刷单等方式夸大销售业绩,不得提供虚假广告和欺骗性宣传。
第十二条电子商务经营者应当保护个人信息和交易数据的安全,不得泄露、篡改、毁损信息。
第三章电子商务交易第十三条电子商务交易应当遵循平等、自愿、公平、诚信的原则,自愿达成合同。
第十四条电子商务交易双方应当按照合同约定履行各自的义务,不得违约。
第十五条电子商务交易双方应当遵守信息真实、完整和及时的原则,提供真实、准确的交易信息。
第十六条电子商务交易的支付方式应当符合法律法规的规定,保障交易安全和资金安全。
第十七条电子商务交易应当保护消费者的知情权、选择权、公平交易权和退换货等权益。
第四章电子商务合同第十八条电子商务合同是指通过信息网络订立的、具有交易内容和法律约束力的合同。
第十九条电子商务合同应当经过各方自愿、真实和意思表示一致进行订立。
电子商务安全技术习题集
第七章电子商务安全技术三、单项选择题1.身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和__ _____。
(A) 可信性(B) 访问控制(C) 完整性(D) 保密性答案:B;2. 目前最安全的身份认证机制是_______。
(A) 一次口令机制(B) 双因素法(C) 基于智能卡的用户身份认证(D) 身份认证的单因素法答案:A;3. 下列是利用身份认证的双因素法的是_______。
(A) 电话卡(B) 交通卡(C) 校园饭卡(D) 银行卡答案:D;4. 下列环节中无法实现信息加密的是_______。
(A) 链路加密(B) 上传加密(C) 节点加密(D) 端到端加密答案:B;5. 基于私有密钥体制的信息认证方法采用的算法是_______。
(A) 素数检测(B) 非对称算法(C) RSA算法(D) 对称加密算法答案:D;6. RSA算法建立的理论基础是_______。
(A) DES(B) 替代相组合(C) 大数分解和素数检测(D) 哈希函数答案:C;7. 防止他人对传输的文件进行破坏需要 _______。
(A) 数字签字及验证(B) 对文件进行加密(C) 身份认证(D) 时间戳答案:A;8. 下面的机构如果都是认证中心,你认为可以作为资信认证的是_______。
(A) 国家工商局(B) 著名企业(C) 商务部(D) 人民银行答案:D;9. 属于黑客入侵的常用手段_______。
(A) 口令设置(B) 邮件群发(C) 窃取情报(D) IP欺骗答案:D;10. 我国电子商务立法目前所处的阶段是_______。
(A) 已有《电子商务示范法》(B) 已有多部独立的电子商务法(C) 成熟的电子商务法体系(D) 还没有独立的电子商务法答案:D;二、多项选择题1. 网络交易的信息风险主要来自_______。
(A) 冒名偷窃(B) 篡改数据(C) 信息丢失(D) 虚假信息答案:A、B、C;2. 典型的电子商务采用的支付方式是_______。
第7章-电子商务安全协议
3.维护数据的完整性(完整性) 安全套接层协议采用Hash函数和机密共享的方法,提供 完整信息性的服务,来建立客户机与服务器之间的安全 通道,使所有经过安全套接层协议处理的业务在传输过 程中都能完整准确无误地到达目的地。
MDC PBA
SK1 EMB DES
SK1 PBB DEB
MDBC
双重数字签名
PVA
DS
RSA
C(PI) DS
MDB PBA
SK2 EMC DES
SK2 PBC DEC
双重数字签名-生成
发送给商户B的信息
B(OI) DS
MDC PBA
SK1 EMB DES
SK1 PBB DEB
发送给银行C的信息
C(PI) DS
7.3 安全套接层协议
SSL协议主要包含握手协议(handshake protocol)和 记录协议(record protocol),记录协议确定数据安全 传输的模式,握手协议用于客户和服务器建立起安全连 接之前交换一系列的安全信息,这些安全信息主要包括 以下内容: (1)客户确定服务器的身份。 (2)允许客户和服务器选择双方共同支持的一系列加密算 法。 (3)服务器确定客户的身份(可选)。 (4)通过公钥密码技术产生双方共同的密钥。 (5)建立SSL的加密安全通道。
RSA
C(PI) DS
MDC
MDB
PBA
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
因此,电子商务安全的技术水平的提高、管理制度的完善、法律制度的健全是一个长期不懈的重任。
2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过《电子认证服务管理办法》,自2005年4月1日起施行。
2009年4月,央行、银监会、公安部和国家工商总局联合发布《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》,国家监管部门开始真正着手加强第三方支付企业的监管。
2010年6月1日国家工商总局出台的《网络商品交易及有关服务行为管理暂行办法》明确规定,通过网络从事商品交易及有关服务行为的自然人,应提交其姓名和地址等真实身份信息。
便捷性
SSL在使用过程中无需在客户端安装电子钱包,因此操作简单;每天交易有限额规定,因此不利于购买大宗商品;支付迅速,几秒钟便可完成支付
SET协议在使用中必须使用电子钱包等进行付款,因此在使用前,必须先下载电子钱包等软件,因此操作复杂,耗费时间;每天交易无限额,利于购买大宗商品;由于存在着验证过程,因此支付缓慢,有时还不能完成交易
安全性
只有商家的服务器需要认证,客户端认证则是有选择的;缺少对商家的认证,因此客户的信用卡号等支付信息有可能被商家泄露
安全需求高,因此所有参与交易的成员—客户、商家、支付网关、网上银行都必须先申请数字证书来认证身份;保证了商家的合法性,并且客户的信用卡号不会被窃取,替消费者保守了更多的秘密,使其购物和支付更加放心
(1)必须安装防火墙和杀毒软件。
(2)创造一个伪造的、无实际权利的管理员(Administrator)用户。
(3)禁止所有磁盘自动运行。
(4)不双击U盘。
(5)经常检查开机启动项。
(6)经常备份重要数据。
(7)隐私文件要加密。
(8)使用复杂的密码。
(9)不要随便接收文件。
归纳与提高
通过本章的学习,使我们明白在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。
第一节电子商务的安全目标
电子商务的安全问题主要体现在安全技术问题、法律问题、复杂的管理问题这三方面。
一、电子商务面临的威胁
(一)个人电脑面临的威胁
在个人上网时,通常会遇到的威胁有以下几种:被他人盗取用户密码、信用卡账号等;计算机系统被木马攻击;用户在浏览网页时,被恶意程序进行攻击;个人计算机受计算机病毒感染;被黑客攻击等。
加密技术包括两个元素:算法和密钥。算法是将明文与一串字符(密钥)结合起来,进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换为明文的算法中输入的一串字符,它可以是数字、字母、词汇或语句。
由此可见,在加密和解密过程中,都涉及信息(明文、密文)、密钥(加密密钥、解密密钥)和算法(加密算法、解密算法)这3项内容。
引例2:如何预防病毒的危害
2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。卡通化外表的病毒,隐藏着巨大的传染力,短短几个月,“熊猫烧香”病毒给成千上万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。如何预防计算机病毒和网络病毒呢?
四、防火墙技术
防火墙实际上是一种隔离技术,是指一种将内部网和公众访问网(如互联网)分开的方法。
第三节电子商务的安全管理
一、机构制度管理
(一)认证机构
1.认证机构的功能
2.CA的国内外发展状况
(二)数字证书
1.数字证书的定义
图7பைடு நூலகம்6中国数字认证网的数字证书
2.数字证书的分类
从数字证书的应用角度来看,数字证书可以分为以下几种:服务器证书、电子邮件证书、客户端证书。
3.数字证书的应用
二、风险制度管理
电子商务风险管理就是跟踪、评估、监测和管理商务整个过程中所形成的电子商务风险,尽力避免电子商务风险给企业造成的经济损失、商业干扰以及商业信誉丧失等,以确保企业电子商务的顺利进行。
三、法律制度管理
2004年8月28日全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》。签名法是我国推进电子商务发展,扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正电子商务法意义上的立法。
(二)消息认证概述
1.消息摘要
2.数字签名
图7.3数字签名原理示意图
3.数字时间戳
三、安全协议
(一)传输层安全协议—SSL
SSL将对称密码技术和公开密码技术相结合,可以实现如下3个通信目标:秘密性、完整性、认证性。
图7.4支持SSL协议的锁形安全标志
(二)应用层安全协议—SET
图7.5 SET协议的交易流程
教学目的
1.了解电子商务面临的安全威胁和电子商务安全管理的政策与法规。
2.理解电子商务安全管理。
3.熟悉电子商务安全的目标。
4.掌握实现电子商务安全的相关技术。
教学重点
1.电子商务安全的目标
2.实现电子商务安全的相关技术
教学难点
1.实现电子商务安全的相关技术
教学方法
讲授法、探究法、案例法
课时数
4课时
3.非对称加密体制的算法
目前,非对称加密体制的算法使用最多的是RSA。RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法,算法以发明者名字的首字母来命名。它是第一个既可用于加密,也可用于数字签名的算法。
一般来说,RSA只用于少量数据加密,在互联网中广泛使用的电子邮件和文件加密软件PGP(pretty good privacy)就是将RSA作为传送会话密钥和数字签名的标准算法。
3.对称加密体制的算法
目前,比较常用的对称密钥算法有DES(data encryption standard,数据加密标准)。DES算法是一个对称的分组加密算法。
(二)非对称加密体制
1.非对称加密体制的工作过程
图7.2非对称加密体制的工作过程
2.非对称加密体制的优点与缺点
非对称加密体制在网络中容易实现密钥管理,只要管理好自己的私钥就可以;便于进行数字签名和身份认证,从而保证数据的不可抵赖性;不必记忆大量的密钥,发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。然而非对称加密算法实现过程较复杂,加密数据的速度和效率较低,对大报文加密困难。
2010年6月21日中国人民银行出台了《非金融机构支付服务管理办法》,要求第三方支付公司必须在2011年9月1日前申请取得《支付业务许可证》,且全国性公司注册资本最低为1亿元。该《办法》的出台意在规范当前发展迅猛的第三方支付行业。
四、安全提示
针对个人用户常用的Windows操作系统,对用户日常操作予以提示。
常用的现代加密体制有两种:对称加密体制和非对称加密体制。
(一)对称加密体制
1.对称加密体制的工作过程
图7.1对称加密体制的工作过程
2.对称加密体制的优点与缺点
对称加密体制具有算法简单,系统开销小;加密数据效率高,速度快的优点;适合加密大量数据。但是在发送、接收数据之前,对称加密体制需要产生大量的密钥,所以管理密钥会有一定的难度;第二,在网络通信中,密钥难以共享;即密钥的分发是对称加密体制中最薄弱、风险最大的环节,而且无法实现数字签名和身份验证;
第七章电子商务安全
教学内容
7.1电子商务安全需求
7.1.1电子商务面临的威胁
7.1.2电子商务的安全性要求
7.2电子商务安全技术
7.2.1加密技术
7.2.2认证技术
7.2.3安全协议
7.2.4防火墙技术
7.3电子商务安全管理
7.3.1机构制度管理
7.3.2风险制度管理
7.3.3法律制度管理
7.3.4安全提示
引例1:如何避免网络钓鱼攻击获取客户信息
根据英国的一互联网监测公司Netcraft声称,2006年3月12日,中国一家银行的服务器被网络骗子用做网络钓鱼(phishing)网站的主机,以复制美国一些银行和网络零售商的顾客资料。这是银行网络首次被犯罪分子用来偷取另一银行顾客资料的攻击事件。攻击中发出的电子邮件是伪装成摩根大通网上银行的调查,邮件中谎称用户只要填写账号和个人信息后,会收到20美元的辛苦费。那么什么是网络钓鱼攻击?如何识别垃圾邮件及假冒邮件?在发送和接收邮件时应该注意什么?
(二)网络安全威胁
1.黑客攻击
2.搭线窃听
3.伪装身份
4.信息泄密、篡改、销毁
5.间谍软件袭击
6.网络钓鱼
二、电子商务安全性要求
1.信息的保密性
2.信息的完整性
3.信息的不可否认性
4.交易者身份的真实性
5.系统的可靠性
第二节电子商务安全技术
一、加密技术
加密技术是利用技术手段把原始信息变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)信息。原始信息通常称为“明文”,加密后的信息通常称为“密文”。
(三)SSL协议与SET协议的比较
表7.2 SSL协议和SET协议的对比
对比项
SSL协议
SEL协议
参与方
客户、商家和网上银行
客户、商家、支付网关、认证中心和网上银行
软件费用
已被大部分浏览器和服务器所内置,因此可直接投入使用,无需额外的附加软件费用
必须在银行网络、商家服务器、客户机上安装相应的软件,因此增加了许多附加软件费用
(三)对称加密体系与非对称加密体系的对比
表7.1对称加密体系和非对称加密体系的对比
比较项目
对称加密体制
非对称加密体制