电子商务安全 期末复习
电子商务安全与管理期末复习
题型: 1. 选择题(30分:1.5分1题,共20题)
2. 判断并说明理由题(28分:4分1个,共7题。其中判断对错占2分,简要说明理由占2分)
3. 简答题(30分:6分1题,共5题)
4. 综合分析题(12分:6分1题,共2题)
1、电子商务涉及的安全问题有哪些?P4-6
A. 信息的安全问题:
冒名偷窃、篡改数据、信息丢失、信息传递出问题
B. 信用的安全问题:
来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况
C. 安全的管理问题
D. 安全的法律保障问题
2、电子商务系统安全的三个组成部分。P7
4、电子商务的安全保障主要由哪三方面去实现?P17-22
技术措施
①信息加密技术:保证数据流安全,密码技术和非密码技术
②数字签名技术:保证完整性、认证性、不可否认性
③TCP/IP服务:保证数据完整传输
④防火墙的构造选择:防范外部攻击,控制内部和病毒破坏
管理措施
①人员管理制度:
严格选拔
落实工作责任制
贯彻EC安全运作三项基本原则:多人负责、任期有限、最小权限
②保密制度
不同的保密信息有不同的安全级别
③跟踪、审计、稽核制度
跟踪:自动生成系统日志
审计:对日志进行审计(针对企业内部员工)
稽查:针对企业外部的监督单位
④系统维护制度
硬件和软件
⑤数据容灾制度
⑥病毒防范制度
⑦应急措施
法律环境
《中华人民共和国电子签名法》
5、风险分析和审计跟踪的主要功能P10-11
风险分析:
a.设计前:根据分析系统固有的脆弱性,旨在发现系统设计前的潜在风险。
b.运行前:根据系统运行期的运行状态和结果,分析潜在安全隐患。
c.运行期:根据系统运行记录,跟踪系统状态的变化,分析运行期的安全隐患。
d.运行后:分析系统运行记录,为改进系统的安全性提供分析报告。
审计跟踪:
a.记录和跟踪各种系统状态的变化。
b.实现对各种安全事故的定位。
c.保存、维护和管理审计日志
1、信息传输中的五种常见加密方式。P27
①链路-链路加密
②节点加密
③端-端加密
④A TM网络加密
⑤卫星通信加密
链路-链路加密与端端加密区别:
2、对称加密的原理及其优缺点,常见对称密码算法有DES,AES,三重DES,Rivest 密码,对称加密密钥的传输可使用RSA密钥传输法。
原理:
数据的发送方和接受方使用的是同一把密钥
过程:
发送方对信息加密
发送方将加密后的信息传送给接收方
接收方对收到信息解密,得到信息明文
优点:由于加密算法相同,操作起来比较简单,使用方便、计算量小、加密与解密效率高。
缺点:1)密钥管理较困难;2)由于密钥传输可能会被窃取,新密钥发送给接收方较为困难,需对新密钥进行加密;3)其规模很难适应互联网这样的大环境。
3、什么是信息验证码?数字摘要、数字签名与信息验证码的区别。
信息验证码(MAC)也称为完整性校验值或信息完整校验。MAC是附加的数据段,是由信息的发送方发出,与明文一起传送并与明文有一定的逻辑关系。
数字签名包括报文摘要。报文摘要和非对称加密一起,提供数字签名的方法。数字签名保证信息的完整和提供信息发送者的身份认证和不可否认性,报文摘要用来防止发送的报文被篡改。两者采用的算法不同,数字签名主要是利用公钥算法,常见的有HASH、、RSA签名。报文摘要主要是安全散列标准,常用SHA-1和MD5。数字签名在支持身份认证的同时也支持不可否认服务,但信息验证码不具有进行数字签名的功能,因为接收方知道用于生成信息验证码的密钥。
4、非对称加密(公开密钥加密)的原理及其优缺点,常用RSA算法加密。公开密钥加密的加密模式和验证模式是什么?两种模式如何结合?(图2-7)
原理:采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加解密。
优点:安全性能好,破解困难;密钥存储和传输方便
缺点:算法复杂,加密和解密的速度很慢,不适合对大量的文件信息进行加密。
加密模式:
1.发送方用接收方的公开密钥对信息进行加密。
2.发送方将加密后的信息通过网络传送给接收方。
3.接收方用自己的私有密钥对加密信息进行解密。
验证模式:
1.发送方用自己的私有密钥对信息进行加密。
2.发送方将加密后的信息通过网络传送给接收方。
3.接收方用发送方的公开密钥对加密信息进行解密。
加密与验证的结合:
1.发送方用自己的私有密钥对信息进行加密。
2.发送方用接受方的公开密钥对已加密的信息再次加密。
3.发送方将两次加密后的信息通过网络传送给接收方。
4.接收方用自己的私有密钥及发送方的公开密钥对加密信息进行解密。
5、综合使用对称和非对称加密的混合加密,教材图2-8。
6、数字签名的原理和作用。常见的数字签名算法有RSA,美国数字签名标准算法DSA,椭圆数字签名算法等。电子商务应用中常用的特殊数字签名——盲签名,多重签名,双联签名等,主要应用在什么场合下?
原理:通过一个单向函数对要传送的报文进行处理得到用以认证报文来源并核实报文是否发生变化的一个字母数字串。
作用:保证信息传输的完整性和发送者的身份认证、防止交易中的抵赖发生。
应用:盲签名:一般用于电子货币和电子选举中。
多重签名:用于办公自动化、电子金融、CA认证等方面。
双联签名:解决三方参加电子贸易过程中的安全通信问题。
7、密钥的生命周期包括哪几个阶段?
1、密钥建立(包括生成密钥和发布密钥)
2、密钥备份/恢复或密钥的第三者保管
3、密钥替换/更新
4、密钥吊销
5、密钥期满/终止(其中可能包含密钥的销毁或归档)
8、常见的验证技术有哪些?其中数字时间戳验证的主要作用是什么?
验证技术:(P61-65)
1 基于口令的验证
2 验证协议
3 基于个人令牌的验证
4 基于生物统计特征的验证
5 基于地址的验证
6 数字时间戳验证
数字时间戳的验证作用:
数字时间戳可以作为电子商务交易信息的时间认证,一旦发生争议时作为时间凭证提供验证依据。
1、典型的网络层安全服务包括认证和完整性、保密性,访问控制,以及对核心internet基础协议的保护。
2、Internet安全的保护分为网络层安全、应用层安全和系统安全三类。三类安全保护是相互独立进行的,存在部分重叠的服务内容。P70-72
3、防火墙的功能及类型
功能:
1、过滤不安全的服务和非法用户
2、控制对特殊站点的访问
3、作为网络安全的集中监视点
类型:
1、包过滤型防火墙
2、应用网关型防火墙
3、代理服务型防火墙
4、VPN的概念及三类VPN服务类型。VPN的安全策略包括隧道技术、加解密技术、密钥管理技术,使用者与设备身份认证技术。
虚拟专用网络(virtual private network, VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。
三类VPN服务类型:
Access VPN:远程访问虚拟专网——移动办公和B2C
Intranet VPN:企业内部虚拟专网——企业内部资源共享
Extranet VPN:扩展的企业内部虚拟专网
5、网络入侵检测主要有四种检测策略:基于主机的检测、基于应用程序的检测,基于目标的检测,基于网络的检测。主要方法有异常检测和误用检测。
6、Ipsec针对IP层安全性,包含三个重要的协议:认证头协议AH(提供强认证)和分组加密协议ESP(提供加密/认证)、密钥交换IKE(密钥的确定与分配)。AH和ESP的执行依赖安全关联SA的支持。
7、S/MIME协议的主要功能。
确保发送者身份认证、不可否认性,邮件的完整性、邮件的保密性
8、SSL能够实现什么功能?SSL握手协议和记录协议是最重要的两个子协议。
安全套接层协议(Secure Sockets Layer,SSL)建立在TCP协议之上,它的优势在于与应用层协议独立无关,应用层协议能透明地建立于SSL协议之上。
SSL协议的功能:
SSL服务器认证;确认用户身份;保证数据传输的机密性和完整性
9、SET协议的功能。SET交易的参与方包括持卡人、商户、发卡银行、收单银行、支付网关、认证中心。SSL与SET的比较。
安全电子交易协议(Secure Electronic Transaction,SET)是一种应用于因特网环境下,以信用卡为基础的安全电子支付协议。
功能:
通过SET 可以实现电子商务交易中的加密、认证、密钥管理等机制,保证在开放网络上使用信用卡进行在线购物的安全。
1、按使用对象分类,数字证书的常见类型有哪些?P120-121
按使用对象来分:①个人数字证书;②单位数字证书;③服务器证书;④安全邮件证书;⑤代码签名证书
2、了解基本的数字证书格式的内容(版本3)。数字证书扩展标准包括密钥信息扩展、政策信息扩展、主体及发放者属性扩展、认证路径约束扩展、与数字证书撤销表相关的扩展。P122
(看书)
3、数字证书密钥对生成的两种方法及优缺点
由密钥对持有者系统生成
优点:利用这一方法来生成密钥,可以保证任何其他的通信方都不会获得该密钥。
由密钥管理中心系统生成
优点:1)可以解决智能卡一类的密钥系统处理能力和存储空间有限带来的问题 2)可以利用强大的资源和处理能力生成高质量、安全可靠的密钥3)可以在密钥对中的私钥在中心系统进行备份或存档时带来便利。缺点:生成密钥的这两种方法在实际的使用中都需要适应环境的变化,它们在实际的数字证书生成和管理过程中都都需要根据环境的变化而有所变通。
4、三种私钥保护的方法。P131
A.将私钥存储在不可写的硬件模块或标记中,如智能卡中;
B.将私钥存储在计算机硬盘或其他数据存储媒介上的加密数据文件中;
C.将私钥存储在数字证书服务器上,当用户通过了服务器的鉴定,并在服务器上使用了一段时间后,该服
务器会将私钥传送给用户。
第一种私钥保护方法的安全性要比第二、第三种方法高,但第一种方法的成本也较高。
第二、三种常用来保护数字钱包中的私钥和敏感信息。
5、密钥对更新的要求P131
定期的、有规律的出现意外情况时,要更新密钥对
生成一个新密钥对时,要为新公钥生成新的数字证书
6、数字证书管理机构的作用。
认证机构CA,负责数字证书的管理工作。
注册机构RA,本身并不发放数字证书,但RA可以确认、批准或拒绝数字证书申请人的申请,随后由CA给经过批准的申请人发放数字证书。
7、撤销数字证书的方法主要有定期公布CRL,广播CRL,进行在线状态检查,发行短期数字证书等。
撤销表在P144
1、PKI的含义,PKI应用系统应具有哪些功能?
公钥基础设施PKI (public key infrastructure)又叫公钥体系,是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,用户可以利用PKI平台提供的服务进行安全通信。
PKI应用系统的功能:1、公钥数字证书的管理;2、证书撤销表的发布和管理;3、密钥的备份和恢复;
4、自动更新密钥;
5、自动管理历史密钥;
6、支持交叉认证
2、CA的结构有树型层次结构、森林型层次结构和通用结构。树型层次结构是最简单的形式,对于任一实体,只有唯一一条认证路径,且很容易找到,在其中根CA 的作用极其关键。通用结构使得任何团体都可以建立他们认为合适的各个认证机构与它们的PKI之间的结构关系,但是却以增加应用系统实施的复杂程度为代价。通用结构中的两个核心问题是寻找认证路径和确认认证路径。
3、PKI的三种不可否认机制及其实施方法P174
1)来源的不可否认机制(保护接收者):由发送方进行数字签名,由可信任的第三方进行数字签名,由可信任的第三方对摘要进行数字签名,内嵌可信任的第三方;
2)送递的不可否认机制(保护发送者):由接收方发送数字签名回执,利用可信任的送递代理,生成分段送递报告;
3)提交的不可否认机制(保护发送者):是否某一方传送或提交了特定数据消息,提交的时间如何等问题。
4、不可否认机制服务涉及哪五项活动?
不可否认的请求:服务请求者是最重要的角色
通信的一方或多方必须在信息的产生和送递之前同意使用不可否认机制服务,并生成必要的记录
记录的生成:争议时能够充当证据
保存某次通信中生成或接收的数据
记录的分发
让最终可能需要使用的一方或各方得到记录
记录的核实
服务请求者和指定者核实记录
记录的保存
由第三方来承担归档的角色,则证据的力度更大
1、我国CA分为哪三类,各有何特点?
A. 行业性CA:规模较大,由一个行业内的多家企业共同参与组建,为行业内的企业提供安全认证服务,同时也向非本行业的企业提供安全认证服务。
B.区域性CA:由政府授权建立,以公司机制运行,按照区域名称来命名的。它虽不是政府直接建立的,但仍有浓厚的政府背景。
C. 商业性CA:它们没有政府色彩,完全是市场化的结果。一些商业机构看到了商机,筹资组建。
2、CA数字证书的申请与使用基本流程。
电子商务安全风险及对策
电子商务安全风险及对策浅析
————————————————————————————————作者:————————————————————————————————日期:
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
电子商务安全实验报告
实验名称:电子商务安全技术 2010081126 吕吕 一、实验目的: 通过本实验加深对电子商务安全威胁、重要性的理解,了解电子商务安全的措施及相关技术。 二、实验内容: (1)上网搜集电子商务安全威胁的案例,分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个,了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有: PKI协议:PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议(S-HTTP):安全超文本传输协议(S-HTTP)是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议,主要利用密钥对加密的方法来保障W eb 站点上的信息安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本,正是这一特点使得S-HTTP 与SSL 有了本质上的区别,因为SSL 是一种会话保护协议。 S-HTTP 的主要功能是保护单一的处理请求或响应的消息,这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议(SSL):SSL 能使客户机与服务器之间的通信不被攻击者窃听,并且始终保持对服务器进行认证,还可选择对客户进行认证。SSL 建立在TCP 协议之上,它的优势在于与应用层协议独立无关,应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后,应用层协议所传送的数据都会被加密,从而保证了在因特网上通信的机密性。 安全电子交易协议(SET): SET 协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其采用的核心技术包括:电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\ 电子商务安全的措施有:
电子商务课程标准
电子商务学习领域课程标准 一、专业学习领域定位 电子商务课程是整个电子商务专业的专业基础知识和基础技能的学习和训练,是电子商务专业必须设置的一个专业基础学习领域,是后续专业学习领域学习的基础,其中包括电子商务应用基础知识及专业技能的学习,网络营销的基础知识,电子交易、电子支付基本知识及技能的学习以及电子商务安全基础知识的学习。 二、学习目标 电子商务学习领域主要培养学生掌握电子商务的基本理论、基本方法。对电子商务概念模型、体系结构、实现技术及其应用等多方面知识有较深刻的理解;对电子商务发展的现状和趋势有较好把握;熟练掌握电子商务所涉及的B2B、B2C、C2C等模块的软件能独立熟练操作,对电子支付、网络营销等电子商务手段能熟练掌握。具体描述如下: 1.专业能力目标 (1)能够熟练使用电子商务所涉及的B2B、B2C、C2C等模块的软件能独立熟练操作,能够独立建立网店,掌握电子交易的前后台一般操作流程。 (2)熟练使用电子支付方式进行商务活动的各个环节,对电子银行、第三方支付工具的操作流程有比较熟练的操作能力。 (3)熟练掌握包括CA认证在内的多种电子商务安全要求的基本知识和操作工具。 (4)能够初步了解建立和推广电子商务站点的一般流程,能够设计和申请域名、虚拟主机;能够建立简单的商务页面,能够借助互联网进行一般的商务推广。 (5)了解与国际贸易有关的电子商务操作技能,对EDI电子数据交换系统能够进行基本的操作。 2.方法能力目标 (1)具有上述知识的实际应用经验。 (2)能够从个案中找到共性,总结规律,从宏观上把握各类电子商务行业领域的基本流程。 (3)能够举一反三,理论实践相结合,自主学习提高。 (4)具备自主学习新技术、新知识的能力。 (5)熟知行业领域的安全规范。 3.社会能力目标 (1)具备优良的职业道德修养,能遵守职业道德规范。 (2)具有良好的团队协作精神和敬业精神。 (3)具备有良好的信息收集、分析和处理能力。 (4)具有良好的沟通能力和组织能力。 (5)具有善于总结、力求上进的工作精神 三、学习内容
电子商务安全与管理
1、简述电子商务流程 答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。 ②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型 答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。 3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险) 电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题? (1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。 8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。 9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。
电子商务安全风险管理研究
摘要该文基于目前电子商务安全所面临的各种风险问题,结合当前的一些风险管理方法,对电子商务系统安全风险管理进行一些基本的分析和研究,以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。关键词电子商务安全,风险管理,风险识别,风险控制1 引言随着开放的互联网络系统internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。2 电子商务面临的安全风险由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:1)信息的截获和窃取这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。2)信息的篡改网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。3)拒绝服务拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。4)系统资源失窃问题在网络系统环境中,系统资源失窃是常见的安全威胁。5)信息的假冒信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。6)交易的抵赖交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。3 风险管理规则针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。(1)评估阶段该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。对电子商务安全现状的评估是制定风险管理规则的基础。对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。(2)开发和实施阶段该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管理、修补程序管理、系统监视与审核等等。在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。(3)运行阶段运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。以上风险管理规则的三个阶段可以用下图来表示: 图1 风险管理规则的三个阶段
电子商务安全实验报告
实验名称:电子商务安全技术 26 吕吕 一、实验目的: 通过本实验加深对电子商务安全威胁、重要性的理解,了解电子商务安全的措施及相关技术。 二、实验内容: (1)上网搜集电子商务安全威胁的案例,分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个,了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有: PKI协议:PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议(S-HTTP):安全超文本传输协议(S-HTTP)是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议,主要利用密钥对加密的方法来保障W eb 站点上的信息安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本,正是这一特点使得S-HTTP 与SSL 有了本质上的区别,因为SSL 是一种会话保护协议。 S-HTTP 的主要功能是保护单一的处理请求或响应的消息,这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议(SSL):SSL 能使客户机与服务器之间的通信不被攻击者窃听,并且始终保持对服务器进行认证,还可选择对客户进行认证。SSL 建立在TCP 协议之上,它的优势在于与应用层协议独立无关,应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后,应用层协议所传送的数据都会被加密,从而保证了在因特网上通信的机密性。 安全电子交易协议(SET): SET 协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其采用的核心技术包括:电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\ 电子商务安全的措施有: 加密技术: 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密
电子商务客户服务课程标准
“电子商务客户服务”课程标准 1.课程性质 1.1课程定位 本课程是中等职业学校电子商务专业的一门专业方向课程,适用于中等职业学校电子商务专业,对学生的服务理念、客户服务执行技能的训练与养成起着关键作用,是满足学生从业需要的关键课程。 这是一门实践性很强的课程。通过对该课程的学习,不仅能够培养学生的服务理念,还可以帮助学生在实践活动中运用客户服务理论与技巧,去寻找问题、分析问题和解决问题,使学生真正了解企业客户服务的重要性,掌握客户服务类相关岗位所需要的基本专业知识和技能。 本课程的前导课程包括:《沟通技巧》、《网络广告设计与制作》等。 1.2设计思路 本课程标准围绕中等职业学校培养技术应用性专门人才的根本任务和适应社会需要的目标;紧扣中职学校教学大纲,以培养技术应用能力为主线设计学生的知识、技能、素质结构,以应用为主旨和特征来构建教学内容体系,以相关知识前后的关联性并结合实际营销工作流程为线索,来构建教学内容体系。具体的教学内容体系包括:网络客服工作岗位介绍、网络客户服务平台操作应用、订单处理、打包发货、售后服务、维护客户关系等。 建议本课程总课时为54学时,在第三学期开设。 2.课程目标 2.1知识目标 ●学习网络客服的基础知识和网络客服技巧,掌握网络客服岗位的基本技能,具备网络客服的基本素养;
●掌握客服的工作流程,做好售前知识储备,流程培训和准备; ●掌握客服沟通技巧; ●熟练应用各种客户关系管理工具及方法对客户进行管理和维护。 2.2技能目标 ●能够使用网络工具友好地与客户进行沟通; ●能够在线接待不同的客户; ●能够处理商品订单打包发送、售后服务工作; ●能够较好的维护客户关系。 2.3情感态度目标 ●培养学生爱岗敬业的精神,树立良好的学生职业形象; ●培养学生在客户接待等工作中热情、友善地与客户交流; ●养成顾客至上及诚信的服务宗旨。 3.课程内容和要求
电子商务安全技术研究
电子商务安全技术研究 董永东葛晓滨 (1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601) 摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。 关键词电子商务;安全;技术 1 引言 电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。 2 电子商务面对的安全问题及其对策 电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。 2.1 电子商务中的安全隐患 电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面: (1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。 (3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。 (4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。 2.2 电子商务面对的安全问题 2.2.1 计算机安全问题 计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具
实验四——电子商务安全
实验四电子商务安全 一、 1、什么是数字证书 数字证书又称为数字标识(Digital Certificate,Digit al ID)。它提供了一种在Internet上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件,与司机驾照或日常生活中的身份证相似。在网上进行电子商务、政务活动时,双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关的操作。通俗地讲,数字证书就是个人或单位在Internet的身份证。 数字证书主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥、证书颁发机构的签名. 一个标准的X。509格式数字证书通常包含以下内容:
1.证书的版本信息; 2.证书的序列号(每个证书都有一个唯一的证书序列号); 3.证书所使用的签名算法; 4.证书的发行机构名称(命名规则一般采用X.500格式)及其私 钥的签名; 5.证书的有效期; 6.证书使用者的名称及其公钥的信息. 2、什么是电子签名 电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据.所谓数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。 电子签名同时符合下列条件的,视为可靠的电子签名: (一)电子签名制作数据用于电子签名时,属于电子签名人专 有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。可靠的电子签名与手写签名或者盖章具有同等的法律效力。 电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人.
《电子商务安全》课程标准
海航集团 南方职业学院 《电子商务安全》 课程标准 课程编码: 适用年级: 学科带头人: 制订时间: 专业系审核: 教务处审核: 教学院长审批: 审批时间:年月日
目录 《电子商务安全》课程标准 (1) 一、课程系统性设计思路 (1) 二、课程性质与任务 (1) 三、课程培养目标 (1) 1.知识学习目标 (1) 2.能力培养目标 (2) 3.素质养成目标 (2) 四、教学容与学时分配 (2) 1.课程教学学时分配 (2) 2.课程教学容分配 (4) 五、教学资源选用 (8) 1.教材选用 (8) 2.参考书目 (8) 3.参考学习 (8) 4.其它教学资源目录与来源 (8) 六、课程考核标准 (9) 1.课程考核方式与成绩评定 (9) 2.课程考核评分细则 (9) 七、课程教学组织设计 (10) 八、课程教学案例设计 (15)
《电子商务安全》课程标准 一、课程系统性设计思路 高职教育的集中实践教学环节也要明确必要的理论知识深化和拓展的要求,不能局限于单纯的技能训练作用。单纯的技能训练不是高职教育的理想课程。通过实验容的精心选择,使其在理论验证上满足高职的“够用为度”的原则,着重安排一些实用性较强的容,使其理论与实践有机结合,符合目前我国当前发展的情况。 二、课程性质与任务 《电子商务安全》是一门必修的岗位职业技能课。电子商务信息安全技术是一门展示商务安全技术、密码技术、数字技术、人证技术、密钥管理技术、网络安全技术、PKI 技术、移动商务安全技术为手段,以促进学生掌握这些技术为目的的必修课程,是高职院校电子商务专业课程体系的重要组成部分,是实施素质教育和培养德智体美全面发展的高素质劳动者和技能型人才不可缺少的重要课程。 三、课程培养目标 1.知识学习目标 (1) 了解电子商务安全的基本常识。 (2) 掌握电子商务安全的目标和体系结构。 (3) 掌握电子商务安全涉及的基本技术。 (4) 了解电子商务安全的常用的安全协议标准和PKI技术一移动商务安全技术。
中国电子商务发展现状分析
中国电子商务发体现状分析 一、电子商务的概况 电子商务(EleetrohieCommeree简称EC)是在Internet开放的网络环境下,作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带人一个网络经济、数字化生存的新天地。电子商务,是指实现整个贸易活动的电子化。从涵盖范围方面能够定义为:交易各方以电子方式而不是通过当面交换或直接面谈方式实行的任何形式的商业交易.从技术方面能够定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。实现消费者的网上购物、商户之间的网上交易和在线电于支付的一种新型的商业运营模式。电子商务减少员工成本、文件处理成本,缩短了商业交易时间,提升服务质量,降低了安全库存量,减少错误信息,增加了贸易机会。综观而论,电子商务与传统贸易相比具有:世界性、直接性、便捷性、均等性等四大特点而得到人们的普遍欢迎。在国际竞争面前,从诸多的层次来看,电子商务为我们创造了崭新的市场机会。 电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成一个不可分割的整体;客户能以非常简捷的方式完成过去较为萦杂的商务活动。电子商务的内涵可认为是:信息内容,集成信息资源,商务贸易,协作交流。 电子商务的发展要以推动BZB(企业对企业)业务为重点,从四个方面人手:一要使企业成为主体,二要以专业切人点,三要展开国际贸易的网上交易,四要建立面向中小企业的中介服务网。1997年7月美国政府在泛征求了产业界、消费团体和In-ternet界的意见之后,指定的一个世界电子商务框架(AFrame-workforGlobalEleetro垃eCommeree)计划,其中体现了政府对电子商务的三项基本政策:(l)让企业在电子商务发展中起主导作用(2)政府参与管理应以积极促动电子商务发展为原则,(3)应在世界范围内促动Inter二t上的电子商务。
电子商务安全与管理实验报告
实验一系统安全设置 [实验目的和要求] 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 [实验容] 1、本地安全策略 2、资源共享 3、管理安全设置 [实验步骤] 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”,如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看:哪些用户不可以在本地登录?哪些用户可以从网络访问计算机?哪些用户可以关闭计算机? 答:分别见图1-2,1-3和1-4。
图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看:如何使计算机在登录前必须按“CTRL+ALT+DEL”?未签名驱动程序的安装是如何设置的?如何禁止网络用户访问CD-ROM? 答:找到“交互式登录:不需要按CTRL+ALT+DEL”,双击打开,选择“已禁用(S)”后单击“确定”按钮。 找到“设备:未签名驱动程序的安装操作”,在下拉菜单中选择“允许安装但发出警告”,单击“确定”按钮即可。 找到“设备:只有本地登录的用户才能访问CD-ROM”,打开选择“已启用(E)”,点击“确定”按钮即可。 二、文件共享 如何设置共享文件,并通过网上邻居访问共享文件? 设置共享文件: 方法一:“工具--文件夹选项--查看--使用简单文件夹共享”。这样设置后,其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二:“控制面板--管理工具--计算机管理”,在“计算机管理”这个对话框中,依次点击“文件夹共享--共享”,然后在右键中选择“新建共享”即可。 选择你要共享的文件,右击选择“属性”,打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便,你认为哪些设置必需放开?而哪些设置又可能引起安全问题? 我认为对于网络的大部分设置应设为启用可方便浏览网页;对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思?如何让某个应用程序不受防火墙限制?
电子商务实训报告范文
电子商务实训报告范文 电子商务实训报告不知道怎么写?下面为大家整理电子商务实训报告范文,希望你能从中获得想要的信息! 电子商务实训报告范文一 一、实训时间 20XX年6月7日-6月10日 二、实训目标和要求 1、加深对电子商务专业基本知识的理解; 2、掌握B2C、B2B、C2C等商务形式的基本操作流程; 3、掌握电子商务中各功能模块的基本功能,使学习者获取丰富的商务管理知识和电子商务操作的感性认识; 4、了解电子商务相关知识的发展动向; 5、熟练运用安全工具保障电子商务活动安全。 三、实训过程和内容 (一)浙科电子商务模拟软件应用 《浙科电子商务模拟教学软件》集培训、教学、实验和实践功能为一体,极大程度的满足了电子商务实践教学的需要。模拟环境包括了BTB、BTC、CTC、BTC和在线拍购几大交易类型。不同角色的学生可以在权限范围内自主操作和使用这些网络平台提供的服务项目,通过通过建立自己的企业,创建企业网站、企业邮箱申请、数字证书申请/安装、EDI申请、产品生产、采购、库存、财务管理、
信息发布、投标、出口、客户管理、事件任务管理、履行合同、金融业务、在线支付、转帐、记帐、出运货物、收货等操作,完成相关业务流程,小秘书的提醒功能,帮助学生及时处理各种业务,从而为自己扮演的角色获得利润或满足需求。主要是在电子商务实训室的模拟平台上面进行的操作,实训过程中我们自主组队,还选了小组长,模拟了B2C、B2B、C2C等商务形式的基本操作,各个成员都扮演不同的角色,刚开始我们都不是很熟练,要做好这些操作也并非一件容易的事,因为这里面每一个细节的操作都是很重要的,稍有错误就完成不了交易。但是我们有不懂的问题都向老师讨教,在老师认真的指导以及我们队员默契的配合下,我们团队都一一克服了困难,我们的操作进步很快,随着一个个角色的成功扮演和一个个流程的顺利操作后,我们都体会到了那份收获的喜悦感。这次的实训,我们学到的不仅仅是专业的理论知识,还体会到了团队精神的重要性,并且熟练地掌握了相关流程,为我们以后更好地学好自己专业打下了良好的基础。 (二)电子商务安全认识 一、从上世纪90开始出现电子商务模式,我国的电子商务取得了快速的发展。子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。但是,也有一些制约电子商务发展的因素,安全问题就是中之一。安全问题不仅造成巨大的经济损失,而且严重打击人们对电子商务的信心。电子商务的安全认识是我们实训的最后一个内容,通过这个学习的过程,我们基本上熟练地运用了安
学习电子商务安全与管理心得体会
学习电子商务安全与管理心得体会 随着经济的发展,电子商务也越来越普及,越来越多的公司、个人在网上来交易,电子商务在人们的心中越来越不可缺少。但是,随着网络的普及,各种木马病毒、网上欺骗事件越来越多,阻碍了电子商务的发展。所以,电子商务安全与合理的管理是电子商务发展的保障。 一、安全交易标准的制定 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 1、安全超文本传输协议:依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 2、安全套接层协议:是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。 3、安全交易技术协议:由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。 4、安全电子交易协议:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。 二、目前安全电子交易的手段 1、密码技术 采用密码技术息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种: (1)公共密钥和私用密钥 这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
电子商务的风险及其安全管理
电子商务的风险及其安全管理 摘要:随着21世纪人类社会步入知识经济时代以来,经济发展日益呈现出市场化、知识化、信息化和全球化的趋势。互联网络系统Internet的飞速发展,使得电子商务的应用和推广极大改变了人们工作和生活方式,也给众多的人带来了无限的商机。然而,电子商务发展所依托的平台——互联网络充满了较大而且复杂的安全风险。除此之外,电子商务的发展还面临着严峻的内部风险。因此,在电子商务运行的环境、提供电子商务安全解决方案的同时,应该将电子商务系统面临的风险问题以及对风险有效管理和控制方法充分的考虑。关键词:电子商务;发展状况;风险;管理;对策 一、我国电子商务的现状 我国的电子商务起步较晚。1997年,我国开始发展电子商务,较世界的其他国家而言,我国的电子商务发展是较晚的。随着信息技术的发展和互联网的逐渐普及,电子商务在我国的发展速度迅猛,其交易额近年来呈爆发式增长。另外,互联网及电子商务的发展同样令世界注目,吸引了很多外国的投资者进入中国的市场。中国互联网电子商务正进入一个务实发展的时期。随着国内外众多企业对电子商务网站精心经营和运作、国内联网用户和上机时间的持续上升以及国家对互联网电子商务软硬件平台 特别是有关法律规范的出台,中国电子商务正迎来一个蒸蒸日上的未来。
二、我国的电子商务存在的风险 1.客户面临的风险 客户面临的风险是指客户一方的私有信息被盗用或破坏的可能性。例如:客户的账号及密码、信用卡信息、客户计算机系统及数据等。被盗取的途径主要有以下四种: (1)欺骗性网址。 (2)从销售商和网络服务提供商那里盗取客户的信息。在电子商务中,客户在进行商务活动时要提供给销售商和网络服务提供的私有信息(如信用卡号等)。如果黑客入侵了销售商的服务器,客户的私有信息就可能被盗取。 (3)从文件中盗取客户的信息。当用户的计算机被非法访问或侵入时,文件的被盗就会导致用户信息的被盗。 (4)直接骗取。直接骗取是指黑客假扮系统管理员等,通过E-mail或电话与客户联系,谎称网络有故障,要求得到客户的密码。黑客知道密码后就很容易访问客户机器上的数据文件和应用程序,进一步对它们进行破坏、修改等。 2.销售商面临的风险 在电子商务中,销售商面临的风险主要有三方面,即假客户、被封锁服务和数据被窃。 (1)假客户,指一些人假扮客户来订购产品或服务。例如,用假信用卡号来骗取免费服务和免费产品,或者要求送货而没有人来支付。(2)数据被窃。黑客可以随时、随地作案,而且很难被追踪到。
电子商务安全实验
实验一数字证书 一、实验目的及要求 1.了解数字证书的作用; 2.了解数字证书的种类; 3.明确认证中心和数字证书的作用; 4.理解CPS,下载安装根证书。 二、实验内容与步骤 1、登录上海市数字证书认证中心https://www.360docs.net/doc/8018902738.html,,了解上海市数字认证中心提供的数字证书种类并了解个人证书的申请流程; 2、下载电子认证业务规则(CPS)和证书策略并阅读; 3、下载根证书; 4、安装根证书; 5、查看根证书; 6、回答下列问题。 1)上海市数字认证中心提供哪些数字证书种类? 2)上海市数字认证中心的个人证书的申请流程是怎样的? 3)电子认证业务规则 (CPS)和证书策略有什么作用? 其他数字认证网: 上海市数字证书认证中心:https://www.360docs.net/doc/8018902738.html, 中国数字认证网:https://www.360docs.net/doc/8018902738.html, 天威诚信网站:https://www.360docs.net/doc/8018902738.html, 中国金融认证网:https://www.360docs.net/doc/8018902738.html, 中国电子邮政安全证书管理中心:https://www.360docs.net/doc/8018902738.html,/ca/index.htm 北京数字证书认证中心:https://www.360docs.net/doc/8018902738.html, 广东省电子商务认证中心:https://www.360docs.net/doc/8018902738.html, 实验二安全电子邮件 一、实验目的及要求 1、了解个人数字证书在发送和接受安全电子邮件中的应用 2、掌握Outlook Express等邮件客户端软件中配置数字证书的使用方法 3、掌握利用个人数字证书收发签名邮件和加密邮件的方法 二、实验内容与步骤(各步骤需附操作结果截图) 1、登录上海市数字证书认证中心https://www.360docs.net/doc/8018902738.html,,,申请并下载一个免费的个人安全电子邮件数字证书。 2、按上一步得到的数字证书,在IE浏览器中进行数字证书的安装操作(注意:首先完成根证书安装)。 3、将安装好的个人数字证书及私钥以默认格式的文件导出备份至U盘中。 4、将U盘中的人数字证书及私钥一起倒入IE浏览器中。
《电子商务》课程标准
3.1电子商务学习领域课程标准 一、专业学习领域定位 电子商务课程是整个电子商务专业的专业基础知识和基础技能的学习和训练,是电子商务专业必须设置的一个专业基础学习领域,是后续专业学习领域学习的基础,其中包括电子商务应用基础知识及专业技能的学习,网络营销的基础知识,电子交易、电子支付基本知识及技能的学习以及电子商务安全基础知识的学习。 二、学习目标 电子商务学习领域主要培养学生掌握电子商务的基本理论、基本方法。对电子商务概念模型、体系结构、实现技术及其应用等多方面知识有较深刻的理解;对电子商务发展的现状和趋势有较好把握;熟练掌握电子商务所涉及的B2B、 B2C、C2C等模块的软件能独立熟练操作,对电子支付、网络营销等电子商务手段能熟练掌握。具体描述如下: 1.专业能力目标 (1)能够熟练使用电子商务所涉及的B2B、B2C、C2C等模块的软件能独立熟练操作,能够独立建立网店,掌握电子交易的前后台一般操作流程。 (2)熟练使用电子支付方式进行商务活动的各个环节,对电子银行、第三方支付工具的操作流程有比较熟练的操作能力。 (3)熟练掌握包括CA认证在内的多种电子商务安全要求的基本知识和操作工具。 (4)能够初步了解建立和推广电子商务站点的一般流程,能够设计和申请域名、虚拟主机;能够建立简单的商务页面,能够借助互联网进行一般的商务推广。 (5)了解与国际贸易有关的电子商务操作技能,对EDI电子数据交换系统能够进行基本的操作。 2.方法能力目标 (1)具有上述知识的实际应用经验。 (2)能够从个案中找到共性,总结规律,从宏观上把握各类电子商务行业领域的基本流程。 (3)能够举一反三,理论实践相结合,自主学习提高。 (4)具备自主学习新技术、新知识的能力。 (5)熟知行业领域的安全规范。 3.社会能力目标 (1)具备优良的职业道德修养,能遵守职业道德规范。 (2)具有良好的团队协作精神和敬业精神。 (3)具备有良好的信息收集、分析和处理能力。 (4)具有良好的沟通能力和组织能力。 (5)具有善于总结、力求上进的工作精神 三、学习内容
电子商务安全技术案例分析
第7章电子商务安全技术案例分析 7.4.1 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 7.4.2 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000