第六章电子商务安全保障体系
本章提要
◆电子商务的安全控制
◆安全电子交易的数据加密
◆安全电子交易的认证技术与数字证书
◆安全电子交易(SET )标准
◆安全电子交易的操作技术和网络建设的安全性
学习目标
◆掌握电子商务的安全控制的要求和安全交易标准和实施方法
◆了解安全电子交易的数据加密,理解一般的数据加密模型
◆掌握认证技术与数字证书和安全电子交易的相关知识
◆掌握网络建设的安全性中的网络安全面临的威胁和网络安全机制的实现知识结构图
6、1电子商务的安全控制
1、电子商务的安全控制
电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。用户对于安全的需要主要包括以下五个方面,(见下图)所示。
交易的不可否认性主要包括
1、源点不可否认性,即信息发送者事后无法否认其发送的信息;
2、接受不可否认性,即信息接收方无法否认其受到信息;
3、回执不可否认性,即发送责任回执的各个环节均无法推脱其应负的责任。
2、电子商务安全交易标准与实施方法
近年来,信息技术业界与金融行业为适应电子商务需要,共同研究颁布了一些Internet 标准,以保障交易的安全性,(见下图)所示。
安全电子交易协议
涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态成为未来“电子商务”的规范。
安全超文本传输协议
依靠密钥加密,保障Web站点间的交易信息传输的安全性。
安全交易技术协议
由Microsoft公司提出的安全交易协议,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。
安全套接层协议
由Netscape公司提出的安全交易协议,提供加密、认证服务和报文完整性。
6、2安全电子交易的数据加密
1、数据加密技术综述
加密技术与密码学紧密相连,利用密码技术可以把某些重要信息或数据从一个可理解的明文形式变换成为一种错乱的、不可理解的密文形式,称为加密过程;密文经过线路传送到达目的端后,用户按特定的解密方法将密文还原为明文,称为解密的过程。一般的数据加密模型,(见下图)所示。
2、对称密钥加密与数据加密标准(DES )
对称密钥加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。DES 算法的基本思想来自于分组密码,(见下图)所示。DES 算法有其一定的优势,但也
存在很多不足。
分组密码即将明文划分成固定的n比特的数据组,然后以组为单位,在密钥的控制下进行一系列的线性或非线性的变化而得到密文,这就是分组密码体制。
优势是加密/解密速度快,算法容易实现,安全性好,迄今未知尚未找到一种理论上破译DES 的行之有效的方法。
不足是密钥量短,容易被穷尽,在复杂网络中难于实现密钥管理。
3、公开密钥加密与RSA 算法
公开密钥密码体制简称公钥体制,它与传统密码体制不同的是,用户的加密密钥与解密密钥不再相同。
RSA 编码法是建立在“大数分解和素数检测”的理论基础上的。RSA 算法有在使用中有很多优点同时又存在很多缺点,RSA 体系的基础在于大素数因子分解困难。如果能有办法或者在一定条件下对大素数进行因子分解,就能够对密文进行破译。
大数分解和素数检测即两个大素数相乘在计算上是容易实现的,但将该乘积分解为两个大素数因子的计算量却相当巨大,大到甚至在计算机上也不可能实现。素数检测就是判定一个给定的正整数是否为素数。
优点是在网络中容易实现密钥管理,便于进行数字签名,从而保证数据的不可抵赖性。
缺点是算法复杂,加密、解密速度慢。
3、DES 与RSA 相结合的综合保密系统
为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA 算法和DES 算法相结合实现的综合保密系统,(见下图)所示。这样就构成一个简单的具有安全功能的电子商务系统。
4、安全套接协议SSL
SSL 是对Internet 上计算机之间对话进行加密的协议,用于Internet 上金融信息的保密处理。SSL 同时使用公共密钥和私有密钥加密技术,其运行机制,(见下图)所示。
采用SSL 协议的电子交易过程,(见下图)所示。
①表示客户购买的信息首先发往商家;
②表示商家再将信息转发银行;
③和⑤表示银行验证客户信息的合法性后,再通知商家和客户付款成功;
④表示商家再通知客户购买成功。
6、3认证技术与数字证书
1、身份认证
身份认证是判明和确认贸易双方真实身份的重要环节,也是电子商务交易过程中最薄弱的环节。用户身份认证可通过以下三种基本方式或其组合方式来实现。
第一,用户所知道的某个秘密信息;
第二,用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质;
第三,用户所具有的某些生物学特征。
2、数字摘要(digital digest )
数字摘要加密方法又可以称为安全Hash 编码法或M D5 。该编码法采用单向Hash 函数,将需加密的明文“摘要”成一串128 bit 的密文,它有固定的长度,且不同的明文摘要而成的密文,其结果总是不同的。只有完全一致,才可以证明信息在传送过程中是安全可靠。
3、数字签名(digital signature )
数字签名即是以数字化方式表明身份的标志信息。主要使用以下二种:
a公开密钥数字签名
是通过用密码算法对数据进行加密、解密交换实现的。
b对文件的数字签名
对文件的数字签名过程是通过一个哈希函数来实现的。要在公开的网络上实现安全的文件传输,必须在文件中假如数字签名及实现数字签名的验证。加入数字签名及实现验证的文件传输过程,(见下图)所示。
4、数字时间戳(digital time-stamp )
在电子交易中,需要对交易文件的日期和时间信息采取安全措施,而数字时间戳服务
就能提供电子文件发表时间的安全保护。
时间戳(time-stamp )是一个经加密后形成的凭证文档,它包括三个部分。
数字时间戳服务是一个网上安全服务项目,由专门的机构提供。
三个部分
1、需要加时间戳的文件的摘要;
2、DTS收到文件的日期和时间;
3、DTS的数字签名。
5、数字证书
a、安全电子邮件(E-mail )证书
安全E-mail 证书是指个人用户收发电子邮件时采用证书机制保证安全所必须具备的证书。用户到CA 中心申请安全E-mail 证书的流程分为五个步骤。
b、个人数字证书
个人数字证书是指个人使用电子商务应用系统应具备的证书。个人数字证书的离线申请操作流程分为十个步骤。
c、企业数字证书
企业数字证书是指单位、团体、企业作为被服务者,参与电子商务应用系统时应具备的证书。企业数字证书的申请操作流程需要十个步骤。
d、服务器数字证书
服务器数字证书通过业务受理点申请,密钥对由RA 中心产生,服务器证书用于电子商务应用系统中的服务器软件向其余企业和个人提供电子商务应用时使用,证书和密钥由服务器软件自身管理。服务器数字证书的申请操作流程需要十二个步骤。
e、服务器数字证书
服务器数字证书通过业务受理点申请,密钥对由RA 中心产生,服务器证书用于电子商务应用系统中的服务器软件向其余企业和个人提供电子商务应用时使用,证书和密钥由服务器软件自身管理。服务器数字证书的申请操作流程需要十二个步骤。
6、认证中心(certification authority ,简称CA)
CA 在电子商务中的显赫地位基本上是由电子商务的主流协议—SET 确定的。其主要目的是建立一整套标准的、基于银行卡的互联网上电子交易机制。在这套机制保证下,交易的各参与者—消费者、商家和银行之间能够形成广泛而一致的交易关系。认证中心与参与交易的各方的关系,(见下图)所示。
6、4安全电子交易
1、SET 概述
SET (安全电子交易)是为了在Internet 上进行在线交易时保证用卡支付的安全而设立的一个开放的规范。SET 协议涉及六个方面的内容。
SET 协议空间中的四个角色(见下图)所示。
持卡人
商家
发卡行
银行
2、SET 协议的交易模式
SET 协议的交易模式,(见下图)所示。它解决了三个问题。
3、SET 的加密技术
SET 协议所使用的加密技术,(见下图)所示。
3、SET 认证
1.证书
向对方提交一个由CA 签发的包含个人身份的证书,使对方相信自己的身份。在SET 中,证书分为持卡人证书、商家证书、支付网关证书、收单行证书和发卡行证书。
2.认证中心(CA)
CA 是提供身份验证的第三方机构,由一个或多个用户信任的组织实体组成。
3.CA的层次结构
在SET中,使用(见下图)所示的认证中心层次结构。
4.认证中心的基本功能
认证中心的核心职能是证书发放和证书管理。
4、持卡人注册
当持卡人打算使用SET 来完成网上支付时,他必须从认证中心(CA )获得一张公开密钥证书。(见下图)给出了持卡人获取一张以签发证书的方法。
5、SET 标准的应用与局限
SET 标准的应用与局限,见表1。
6、5网络建设的安全性
1、网络安全面临的威胁
能够对网络安全构成威胁的四个方面,(见下图)。
2、网络安全机制的实现
实现网络的安全需要多方面考虑,一方面,要从管理制度上提高安全防范水平,形成一套完整的适合于网络环境的安全管理制度;另一方面,要从网络结构设计上提高抵御外来入侵的能力。目前,从网络结构设计上讲,有以下两种常用的网络安全方案。
a、包过滤路由器
使用包过滤路由器(router )除了可以完成不同网段间的寻址功能以外,由于它独特的带有包过滤工作表的特性,还可以用来滤除不受欢迎的一些主机的地址和服务。
包过滤路由器是通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某
个特定主机或服务的访问。包过滤路由器的接入方法,(见下图)所示。
IP地址
端口地址
b、防火墙体系
包过滤技术的优点是不要求对主机和客户机的程序进行修改就能控制网络流量,它们在IP层和TCP层进行操作。因为包过滤规则的局限性,导致网络建设成本的增大。因此,必须在应用层加入防范,而防火墙就是运行于OSI(open system interconnection)的应用层。
由于防火墙的地位十分重要,如果只设立一级安全机制,容易被外界突破,后果不堪设想,所以一般均采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担,(见下图)所示。
自我测试
答案
1、B
2、D
3、B
4、A
5、A
6、C
7、B
8、D
9、A
10、D
电子商务安全与防护 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。 1、电子商务信息安全现状 现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至2007年6月,我国互联网用户已经从2001年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1 网络环境安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等,其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制
第五章电子商务组织与管理1。电子商务下企业组织的变迁 答:实体企业(功能化.科层化.集中化.规模化)→虚拟企业(资源分散化。联系信息化.动态联盟.并行分布作业)→企业电子商务(技术基础.组织创新。动态团队.企业文化)→电子商务企业(中介服务.有偿服务.电子经纪) 2.电子商务虚拟企业的基本要素 答:电子商务虚拟企业的基本要素是人,目标和连接。人是虚拟企业的基本存在要素;目标是凝聚虚拟企业的向心力;连接是一个纵横交错的网络。 3.CRM的要点 答:客户关系管理(CRM)作为完整的企业信息化解决方案,帮助解决以客户为中心的经营管理问题,使企业准确把握和快速响应客户的个性化需求,并让客户满意、忠诚,以保留客户,扩大市场。 4.SCM的要点 答:供应链管理(SCM)就是指对整个供应链系统进行计划、协调、操作、控制和优化的各种活动和过程,目标是使供应链上的各个主体形成极具竞争力的战略联盟,并使供应链运行的总成本最小或收益最大. 5 .ERP的要点 答:ERP系统是将企业的物流、资金流和信息流进行全面一体化管理的管理信息系统,一般包括生产控制、物流管理、财务管理、人
力资源管理等通用模块。 6 .BPR的要点 答:BPR就是流程重组,其目的是要对企业的业务流程进行彻底的变革,建立高效的运作机制,从而使企业在激烈的市场竞争中,缩短产品生命周期,降低成本,提高客户的响应度,使客户满意. 7.企业组织与管理如何适应电子商务发展的需要 ?答:传统企业进行EC建设增加网络经营,并且设立电子商务运营团队,把电子商务运营放在公司重要的位置,在销售网站增加团购功能。 第六章电子商务链分析 1、说明电子商务链的框架? 答: 2、电子商务活动的模式有哪些,如何界定? ?答电子商务活动的模式有:业务模式,经营模式,技术模式,资本模式,管理模式,信用模式和风险管理模式。业务模式又被称
电子商务安全风险及对策浅析
————————————————————————————————作者:————————————————————————————————日期:
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
第六章电子商务安全 【思考题】 1、电子商务系统具备哪几个安全要素?安全对策是什么? 电子商务系统必须具备有效性、机密性、完整性、认证性、不可抵赖性等五个安全要素。安全防范对策是(1)完善各项管理制度包括:建全法律法规、建立组织机构及人员管理制度、保密制度、跟踪审计制度、系统维护制度、病毒防范制度、应急措施等。(2)技术对策包括:网络安全检测设备、建立安全的防火墙体系、不间断电源的良好使用、建立认证中心,并进行数字证书的认证和发放、加强数据加密、较强的防入侵措施、严格的访问控制、通信流的控制、合理的鉴别机制、保护传输线路安全、开发各种具有较高安全性的访问设备、数据完整性的控制、端口保护,还有安全检测、审查和跟踪等技术对策。 2、什么是防火墙?防火墙有哪些功能和不足之处? 防火墙(firewall)是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列软件或硬件设备的组合。 防火墙具有如下功能:(1)保护易受攻击的服务(2)控制对特殊站点的访问(3)集中化的安全管理(4)对网络访问进行记录和统计 防火墙的不足之处主要表现在:(1)防火墙不能防范不经由防火墙的攻击(2)防火墙不能防止受到病毒感染的软件或文件的传输(3)防火墙不能防止数据驱动式攻击 3、防火墙的三种类型是什么?防火墙的体系结构有哪些? 防火墙的三种类型是数据包过滤型防火墙、应用级网关型防火墙和代理服务型防火墙。 防火墙的体系结构主要有双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。 4、什么是加密和解密?数据加密的三种方式是什么? 加密是一种限制对网络上传输数据的访问权的技术,一般由加密过程和解密过程组成。明文被加密设备(硬件或软件)和密钥加密而产生的经过编码的密文的过程称为加密;将密文还原为原始明文的过程称为解密,解密是加密的逆过程。 数据加密的三种方式是链路加密、节点加密、端对端加密。 5、常用对称加密算法有哪几种?非对称加密算法的原理是什么? 常用对称加密算法有传统加密算法(代换密码和置换密码)、数据加密标准(DES)、 AES 算法、三重DES、IDEA算法。
电子商务安全技术研究 董永东葛晓滨 (1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601) 摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。 关键词电子商务;安全;技术 1 引言 电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。 2 电子商务面对的安全问题及其对策 电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。 2.1 电子商务中的安全隐患 电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面: (1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。 (3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。 (4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。 2.2 电子商务面对的安全问题 2.2.1 计算机安全问题 计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具
( 安全论文 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 电子商务安全与防护(2021年) Safety is inseparable from production and efficiency. Only when safety is good can we ensure better production. Pay attention to safety at all times.
电子商务安全与防护(2021年) 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。? 1、电子商务信息安全现状 现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至2007年6月,我国互联网用户已经从2001年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。
在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1网络环境安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系
中国电子商务发体现状分析 一、电子商务的概况 电子商务(EleetrohieCommeree简称EC)是在Internet开放的网络环境下,作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带人一个网络经济、数字化生存的新天地。电子商务,是指实现整个贸易活动的电子化。从涵盖范围方面能够定义为:交易各方以电子方式而不是通过当面交换或直接面谈方式实行的任何形式的商业交易.从技术方面能够定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。实现消费者的网上购物、商户之间的网上交易和在线电于支付的一种新型的商业运营模式。电子商务减少员工成本、文件处理成本,缩短了商业交易时间,提升服务质量,降低了安全库存量,减少错误信息,增加了贸易机会。综观而论,电子商务与传统贸易相比具有:世界性、直接性、便捷性、均等性等四大特点而得到人们的普遍欢迎。在国际竞争面前,从诸多的层次来看,电子商务为我们创造了崭新的市场机会。 电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成一个不可分割的整体;客户能以非常简捷的方式完成过去较为萦杂的商务活动。电子商务的内涵可认为是:信息内容,集成信息资源,商务贸易,协作交流。 电子商务的发展要以推动BZB(企业对企业)业务为重点,从四个方面人手:一要使企业成为主体,二要以专业切人点,三要展开国际贸易的网上交易,四要建立面向中小企业的中介服务网。1997年7月美国政府在泛征求了产业界、消费团体和In-ternet界的意见之后,指定的一个世界电子商务框架(AFrame-workforGlobalEleetro垃eCommeree)计划,其中体现了政府对电子商务的三项基本政策:(l)让企业在电子商务发展中起主导作用(2)政府参与管理应以积极促动电子商务发展为原则,(3)应在世界范围内促动Inter二t上的电子商务。
电子商务安全防范技术 电子商务安全—数字签名技术 “数字签名”是通过密码技术实现电子交易安全的形象说法,是电子签名的主要实现形式。它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。 “数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。 电子商务安全—防火墙技术 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。 电子商务安全—入侵检测系统 入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。 电子商务安全—信息加密技术 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。 电子商务安全—安全认证技术 安全认证的主要作用是进行信息认证,信息认证的目的就是要确认信息发送者的身份,验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。 电子商务安全—防病毒系统 病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。
第6章电子商务安全实践 6.1 CA认证 【实践情景】 南京奥派科技想申请CA证书,在CA认证平台中,申请了3个CA证书。服务商(CA 证书颁发机构)颁发了其中的2个,吊销了其中的1个。 【实践步骤】 6.1.1 CA证书实现的流程 进入CA证书申请页面,南京奥派科技提出CA证书的申请,并查看其挂起的申请证书。 1.进入CA认证平台。点击“电子商务安全实践”中的【CA认证】,点击CA认证平台后 面的【进入】,进入CA认证平台。 2.申请证书。进入系统,点击页面上面【申请一个证书】,进入证书申请页面。 在证书申请页面中填写证书识别信息,点击【提交】按钮即可。
在这里,同样的步骤,我们操作4次,申请4个证书(下面删除一个挂起的申请)。 提交后,可查看到您申请的证书。点击证书标题,查看证书申请的状态详情。如图,系统提示“您的证书申请仍然挂起。您必须等待管理员颁发您申请的证书”。点击此处的【删除】按钮,则删除挂起的申请。 6.1.2 CA颁发机构功能 进入CA证书颁发机构平台。先在挂起的申请中颁发2个证书,拒绝1个证书;再在颁发的2个证书中吊销1个证书。客户端查看证书状态,下载证书。 1.进入CA证书颁发机构平台。点击服务商平台后面的【进入】,进入CA证书颁发机构平 台。 2.CA证书颁发机构颁发证书。点击【挂起的申请】可查看到客户端申请的所有证书记录。 鼠标放在记录上右击,选择“颁发”即可。此时在“颁发的证书”中就可看到该记录了。 若右击后选择“拒绝”则在“失败的申请”中可看到该记录。
3.CA证书颁发机构吊销证书。点击【颁发的证书】可查看到所有已经颁发的证书。鼠标放 在记录上,右击选择“吊销证书”。 系统弹出“吊销原因”的对话框,选择吊销的原因,点击【是】。这样证书就被吊销了。 (注意,只有在吊销证书时原因选择“证书待定”的,接下来才能解除吊销) 4.用户端查看证书状态,并下载已颁发的证书。进入CA认证平台,点击【查看挂起的证 书申请的状态】,进入查看挂起的证书申请的状态页面。 点击证书标题,查看证书申请的状态详情。 对于已颁发的证书,点击【下载证书】。
全国自考电子商务概论(电子商务安全保障体系)模拟试卷1 一、单项选择题 1 数字时间戳上的时间是由( )决定的。 (A)DTS机构 (B)信息发送方 (C)信息接收方 (D)信息双方 2 SET协议又称为( )。 (A)安全套接层协议 (B)安全电子交易协议 (C)信息传输安全协议 (D)网上购物协议 3 1996年6月,VISA与MasterCard两大信用卡国际组织发起制定保障在互联网上进行全电子交易的( )协议。 (A)SSL (B)IPSEC
(C)SET (D)数字签名 4 ( )技术是用来验证信息的完整性的。 (A)防火墙 (B)数字签名 (C)数字时间戳 (D)信息摘要 5 将密文还原成原来可理解的形式的技术是( )。(A)加密 (B)解密 (C)私钥 (D)密钥 6 ( )技术是用来验证交易者的身份的。 (A)防火墙 (B)数字签名 (C)数字时间戳
(D)信息摘要 7 公开密钥加密的优点不包括( )。 (A)在多人之间进行保密信息传输所需的密钥数量很小 (B)加密、解密速度快 (C)密钥的发布不存在问题 (D)公开密钥系统可实现数字签名 8 数字证书的作用是证明证书中列出的用户合法拥有证书中的( )。(A)私人密钥 (B)加密密钥 (C)解密密钥 (D)公开密钥 9 保证信息不泄露给未经授权的人称为信息的( )。 (A)保密性 (B)完整性 (C)有效性 (D)不可否认性
10 目前最安全的身份认证方法是( )。 (A)一次口令机制 (B)双因素法 (C)基于智能卡的用户身份认证 (D)身份认证的单因素法 二、多项选择题 11 对网络安全必须进行深入的分析,并从( )角度提出风险控制办法。(A)技术 (B)管理 (C)法律 (D)商务 12 下列有关防火墙的局限性的论述不正确的有( )。 (A)防火墙可以抵御来自内外部的攻击 (B)不能防范外来人为因素的攻击,但可以防止内部人员的恶意攻击(C)不能防止数据驱动式的攻击 (D)可以防止已感染的文件的扩散
探讨电子商务的安全与防护措施[摘要]随着个人计算机、计算机网络、互联网和电子商务的蓬勃发展, 如果不对它们进行妥善的保护,它们将越来越容易受到具有破坏性的攻 击的危害。黑客、病毒,甚至人为故障都会给网络带来巨大的威胁。电 子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文 针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息 安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善 电子商务发展的内外部环境,促进我国电子商务可持续发展。 [关键词]计算机网络互联网电子商务安全保护一、安全的重要性以及存 在的安全问题及其原因 撰写者 2011年12月20日 随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应 运而生并迅速发展。所谓电子商务(ElectronicCommerce,EC)就是借助于公共网络,如Internet或开放式计算机网络(OpenComputerNetwork)
进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、 商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等 商业交易活动。但是出于各种目的的网络入侵和攻击也越来越频繁,脆 弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看, 信息安全问题是保障电子商务的生命线。 1电子商务信息安全现存的问题 电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是 电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前 提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在: 1.电子商务安全问题的产生。(1)在线交易主体虚拟化带来的安全问题:在电子商务环境下,任何人不经登记就可以借助计算机网络发出或 接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使 电子商务交易安全受到严重威胁。(2)虚假信息的发布带来的安全问题: 当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供 求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。
第7章电子商务安全技术案例分析 7.4.1 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 7.4.2 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000
第5章电子商务安全管理 1、电子商务安全的内容包括p128 A、计算机网络安全 B、商务交易安全 C、电子商务系统安全管理制度 D、物流安全 2、电子商务安全的内容不包括(1分)P128 A、电子商务系统安全管理制度 B、商务交易安全 C、交易平台安全 D、计算机网络安全 3、计算机网络安全是指保护计算机网络系统中的硬件,软件和()。P128 A、服务 B、数据资源 C、人员 D、线路 4、以下哪个是网络安全威胁的主要来源之一?P129 A、网络诈骗 B、虚构产品 C、信息泄露 D、拒绝服务攻击 5、下面哪个不属于电子商务安全的威胁(1分)P129 A、计算机病毒 B、网络内部的安全威胁 C、允许服务攻击//dos攻击 D、黑客攻击 6、下面属于黑客在网上经常采用的手段的是?P129 A、寻找系统漏洞 B、更改IP C、偷取特权 D、截取口令 7、黑客主要是利用操作系统和网络的漏洞,缺陷,从网络的外部非法侵入,进行不法行为。(1分)P129 A.对B.错 8、黑客是指什么?(1分)P129 A.利用病毒破坏计算机的人 B.穿黑衣的人 C.令人害怕的人 D.非法入侵计算机系统的人 9、黑客的英文名称是()。 A、heike B、hacker C、waitker D、saidker 10、网络安全威胁的来源包括(2分)P129 A.网络内部的安全威胁 B.拒绝服务攻击 C.操作系统错误 D.计算机病毒 11、从网络安全威胁的承受对象看,网络安全威胁的来源包括(2分)P130 A、对数据库的安全威胁 B、对WWW服务器的安全威胁
C、对客户机的安全威胁 D、对邮件系统的安全威胁 12、从网络安全威胁的承受对象看,网络安全威胁的来源来自(1分)P130 A、对客户机的安全威胁 B、对交易双方身份的安全威胁 C、对交易平台的安全威胁 D、对物流的安全威胁 13、下面哪个不属于网络安全管理的技术手段?多选p131 A、防火墙 B、病毒防治 C、网络系统的日常维护制度 D、保密制度 14、下面哪种属于防火墙的作用(1分)P131 A、增加信息传输速度 B、阻止数据包传送 C、限制他人进入内部网络,过滤掉不安全服务和非法用户。 D、防止计算机病毒复制 15、防火墙可以为监视互联网安全提供方便。(1分)P131 A、对 B、错 16、防火墙主要包括层过滤型和代理服务型两种类型。P131 A、对 B、错 17、防火墙是一种被动式的防护手段。 A、对 B、错 18、防火墙的包过滤型是基于应用层的防火墙。(1分)P131 A.错B.对 19、防火墙的代理服务型是基于网络层的防火墙。(1分)P131 A.错B.对 20、下面哪个关于防火墙的叙述是错误的?1P131 A、防火墙可以限定内部网的用户对互联网上特殊站点的访问。 B、防火墙允许内部网的一部分主机被外部网访问,另一部分被保护起来。 C、防火墙不能防范新的网络安全问题。 D、防火墙能防范来自网络任何位置的攻击。 21、防火墙不能防范来自网络内部的的攻击。P132 A、对 B、错
第一章电子商务案例分析概述 1.1.1电子商务的定义: 电子商务交易当事人或参与人利用计算机技术和网络技术等现代信息技术所进行的各类商务活动,包括货物贸易、服务贸易和知识产权贸易。 一、对电子商务的理解,可从4方面考虑: 1 电子商务是一种采用最先进信息技术的买卖方式。 2 电子商务实质上形成了一个虚拟的市场交换场所。 3 电子商务是“现代信息技术”和“商务”两个子集的交集。 4 建立在企业全面信息化基础上、通过电子手段对企业的生产、销售、库存、 服务以及人才资源等环节实行全方位控制的电子商务才是真正意义上的电子商务。 二、电子商务的特点: 1 虚拟性 2 成本 3 个性化 4 敏捷性 5 全球性 1.1.2电子商务案例分析的重要性: 1 能够深化所学的理论知识,通过案例分析加深对理论知识的深层次理解。 2 能够使所学的知识转变成技能,理论学习与实践应用有机地结合。 3 在逼真模拟训练中做到教学相长。 1.2.1 电子商务案例的定义及作用: 电子商务案例分析的主要特点是:启迪性与实践性。 1.2.2 电子商务教学中使用的案例分为:
1 已决的问题的案例 包括电子商务活动的状况及问题、解决方法和措施、经验或教训的评估。 2 待解决问题案例 包括管理活动、存在问题的情景叙述和相关因素提示。 3 设想问题案例 包括经济活动的背景材料、发展趋势的相关迹象。 EDI主要应用于: 国际贸易和政府采购,用于企业与企业、企业与批发商、批发商与零售商之间的批发业务。 1.3.1 电子商务案例分析的主要内容: 1 电子商务网站背景资料 2 电子商务网站建设与维护方法分析: 网络平台技术分析、网站安全技术分析、网站维护方法分析。 3 电子商务网站经营特色分析: 内容设计分析、营销方法分析、支付方式分析、物流配送方式分析。 4 电子商务效益分析(全国统考考过多项选择题第21题) 电子商务案例分析的定义: 根据一定的分析目的,采用一种或几种分析方法,按照一定的程序,对通过调查并经过整理的资料进行分组、 汇总、检验和分析等,得到所研究事物或现象本质及规律性,进而指导实践的过程。 1.3.2 电子商务案例综合分析方法分为: 1 科学的逻辑思维方法 分为:形式逻辑思维方法和辩证逻辑思维方法 2 与案例研究有关的各专门学科的方法
电子商务第一章练习题 1 判断题 ⑴ 计算机网又称国际互联网,也被译为因特网。⑵ 电子是手段,商务是目的,做好商务活动才是电子商务的本质。⑶ 电子商务系统就是指在电子虚拟市场进行商务活动的物质基础和商务环境的总称。 ⑷ 网络用户是指连接在互联网上的个人和法人,它们构成电子商务交易的客体。⑸ 网络市场是提供给买卖双方进行网络交易的商品。⑹ 认证中心)是法律承认授权的权威机构,负责发放和管理数字证书,使网上交易的各方能互相确认身份。它是不直接从电子商务交易中获利的第三方机构。⑺ 电子商务产生的源动力是信息技术的进步和社会商业的发展。⑻ 信息技术与社会商业的融合发展,导致了社会网络化、经济数字化、竞争全球化、贸易自由化的趋势不断加强,真正意义上的电子商务正是在这种背景下应运而生。⑼ 电子商务是指交易当事人或参与人,利用计算机技术和网络技术等现代信息技术所进行的某种商务活动。⑽ 信用卡号或银行账号都是电子账户的一种标志。单项选择题 ⑴ 互联网起源于。 A.英国 B.美国 C.法国 D.中国⑵ 因特网又称为网络。
A.国际互联 B.局部计算机 C.城市计算网D.高速信息火车⑶ 中国“政府上网年”是在年提出来的。 A199 B1997 C19D199⑷ 通过互联网网络进行的商务活动称之为。 A.一般电子商务 B.广义电子商务 C.狭义电子商务 D.虚拟电子商务 ⑸ 电子商务系统实际是信息流、物质流、资金流三位一体的一个统一整体。电子商务是以信息流作为指导,通过资金流实现商品的价值,通过物流实现商品的使用价值。三者的关系是的。 A.相互分离各自独立 B.相互联系三位一体 C.既相互分离各自独立,又相互联系三位一体 D.前三者都不是 ⑹ 网络广告宣传就是采用了新媒体的广告形式,通过载体形式传播信息。 A.报纸B.电视 C.广播D.互联网 ⑺ 网上银行是指。 A.在营业厅的银行柜台 B.在互联网上的虚拟银行柜台
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
XXX商城安全等级保护定级报告 一、XXX商城网业务系统描述 XXX商城在线提供各种家居装饰品订购以及家居小饰品,想了解最新家纺装饰品价格,家纺饰品图片,家纺饰品品牌,家纺饰品资讯就到XXX商城。XXX商城开展业务新闻展示,供销信息展示,企业展示,产品展示。 (一)该网络于2016年由XXX立项,XXX搭建。目前该系统由XXX负责运行维护。XXX是该系统的主管部门和信息系统定级的责任单位。 (二)此系统是计算机及其相关的配套的设备、设施构成的,在线提供各种家居装饰品订购以及家居小饰品,最新家纺装饰品价格,家纺饰品图片,家纺饰品品牌,家纺饰品资讯。 (三)该信息系统业务主要包含:家纺产品销售,家纺产品购销,家纺饰品品牌展示,家纺饰品资讯展示。 二、XXX商城业务系统安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:家纺产品销售,家纺产品购销,家纺饰品品牌展示,家纺饰品资讯展示。 2、业务信息受到破坏时所侵害客体的确定(侵害的客体包括:1国家安全,2社会秩序和公共利益,3公民、法人和其他组织的合法权益等共三个客体)
该业务信息遭到破坏后,所侵害的客体是社会秩序和公共利益,公民、法人和其他组织的合法权益。 3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度) 损害程度表现为一般损害,即工作职能受到较轻影响,业务能力显著下降,出现较轻的社会问题和法律问题,较小的不良影响等。 4、确定业务信息安全等级 查《定级指南》表2知,业务信息安全保护等级为第一级。 (一)系统服务安全保护等级的确定 1、系统服务描述 该系统面向公众提供信息公开、电商购买等服务。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:1可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力
电子商务安全防范的技术策略 一、从科技层面加强防范措施 (一)几种主要的电子商务安全技术 1.加密技术 加密技术是电子商务才去的主要安全措施,是实现信息的保密性、完整性的核心。加密技术一方面以用于数据、文件加密,另一方面也是身份认证、数字签名等安全技术的基础。按照密钥的不同,加密技术主要有对称型密钥体制和非对称型密钥体制。对称密码体制也称为私钥密码体制,发送方和接受方都必须使用相同的密钥对消息进行加密和解密运算。目前比较通用的堆成加密算法有RC4和DES等。对称加密算法最大的优势就是开销小、加密速度快,所以广泛应用于对大量数据如文件进行加密。它的局限性在于通信双方要确保密钥的安全交换,密钥的分发和管理非常复杂,而且无法鉴别交易发起方或交易最终方。非对称型密钥加密也称为公开密钥算法,需要两个密钥:对外公开的公开密钥和自己保存的私有密钥。公开密钥用于对机密信息加密,私有密钥用于对机密信息解密。由于公开密钥是公开存放,迷药的分配和管理问题很容易解决。然而,公钥加密算法速度比私钥加密算法慢的多,同时公开加密方式对资源的占用较大,网络传输速度将受到影响。在实际应用中,通常将两种加密技术集合起来。数字信封即利用了两种加密技术的优
点,先采用公钥密码加密传送的信息,从而确保信息的安全性。 2.安全认证技术 一种是数字摘要与数字签名技术。数字摘要技术也称为散列技术。摘要技术采用Hash函数将徐加密的明文映射成一串较短的定长密文,这一串密文亦称为数字指纹,可以确保数据不被修改,保证信息的完整性。数字签名就运用了数字摘要技术,与传统签字具有同样的有效性,其原理如下:报文发送方从报文文体中生成一个128位的报文摘要,并用自己的私有密钥对这个摘要进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的消息摘要,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个摘要相同,那么接收方就能确认该数字签名是发送方的。数字签名技术可以保证信息传输过程中的完整性,提供信息发送者的身份认证和不可抵赖性。 另一种是数字证书。数字证书又称数字凭证,由可信任的、公正的权威机构——CA中性颁发。CA中心对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方身份的真实性、合法性及对网络资源的访问权限等,保证网上支付的安全性。