电子商务的安全策略
内容提要
在知识经济快速发展的的二十一世纪,“电子商务”无疑是当前最大的热门话题,电子商务以其高效、简捷、成本低、出现在经济生活的各个领域。电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经成为人类跨入知识经济新纪元的重要标志之一。但是随着而来的电子商务安全也成为了大家普遍关注的一个焦点。如何能使电子商务良好运转的同时保证其安全更加可靠已是一个主要的研究对象了。
关键词:电子商务电子商务技术安全
Abstract
In the rapid development of knowledge-based economy of the 21st century, "electronic commerce" is currently the most popular e-commerce for its efficient, simple, low cost, appear in the various areas of economic life. E-commerce as a computer application technology and modern economic and trade activities, have become a human into a new era of knowledge-based economy is. But to the e-commerce security has become a common focus. How to enable e-commerce functionality while maintaining their security more reliable is already a major study on the object.
Key words: Electronic Commerce E-Commerce Technology security
目录
一、不断发展的电子商务 ...................................................................................... -
2 -
(一我国电子商务发展现状 (2
(二电子商务安全策略中的技术概况 (4
二、电子商务安全策略中存在的问题 .................................................................. -
5 -
三、电子商务安全策略在不断完善 ...................................................................... -
6 -
(一电子商务安全需求要素 (6
(二电子商务安全策略的应用 (7
参考文献 ................................................................................................................ - 10 -
电子商务的安全策略
二十一世纪是知识经济时代。随着高新技术的迅猛发展,以互联网为基础,以交易双方为主体,以银行支付和结算为手段,以客户数据库为依托的全新商务模式-电子商务应运而生。电子商务逐渐成为二十一世纪国际贸易的主要方式。它的实用价值、网络的无国界渗透,向全球贸易、经济、科技、政治、法律各界提出无法回避的挑战。然而有利必有弊,电子商务要想有深远的发展也必须下一番苦功。比方说电子商务的安全就是一个日益凸显且非常严重的问题,可以说电子商务安全问题严重影响和制约着其发展。
一、不断发展的电子商务
(一我国电子商务发展现状
中国互联网络信息中心第二十四次互联网络发展状况统计报告指出:截至2009年6月30日,中国网民规模达到3.38亿人,普及率达到25.5%。网民规模较2008年底年增长4000万人,半年增长率为13.4%,中国网民规模依然保持快速增长之势。(如图1
(图1中国大陆网民规模与互联网普及率
既然有如此大的用户以及潜在顾客,可以预测到电子商务正朝着积极有力的方面发展。事实证明的确也是这样的。据互联网中心的调查指出,在2007——2008一年中,网络购物市场的增长趋势明显。网络购物用户人数已经达到7400万人,年增长率达到60%。比较国外的发展状况,韩国网民的网络购物比例为60.6%,美国为71%。均高于中国网络购物的使用率。
除网络购物外,网络售物和旅行预订也已经初具规模,网络售物网民数已经达到1100万人,通过网络进行旅行预订的网民数达到1700万人。而与网络购物密切关联的网络支付发展十分迅速,目前使用的网民规模已经达到5200万人,年增长率达到57.6%。有力地推动了网络购物的发展。(如表11
2007年底2008年底变化
使用率
网民规模
(万人使用率
网民规模
(万人
增长量
(万人
增长率
网络购物22.1% 4,600 24.8% 7,400 2,800 60.9%
网络售物- - 3.7% 1,100 - -
网上支付15.8% 3,300 17.6% 5,200 1,900 57.6%
旅行预订- - 5.6% 1,700 - -
(表12007-2008年电子商务类应用用户对比
在如此高增长、高普及的大环境下我们可以看到电子商务在经济生活的各个领域的广泛应用,可以看到电子商务以其高效、简捷、成本低等特点为人类活动带来了巨大的机会和利润。有人曾说:“电子商务犹如一把双刃剑,在给我们带来好处的同时也考验着我们。”正是电子商务中利益的追求使得其倍受争议。
1中国互联网络发展状况统计报告(2009年1月
同样是出自中国互联网络信息中心第二十四次互联网络发展状况统计报告。调查中,半年内有57.6%的网民在使用互联网过程中遇到过病毒或木马攻击。同时,有1.1亿网民在过去半年内遇到过账号或密码被盗的问题,占总体网民的31.5%,并且仅有29.2%的网民认为网上交易是安全的,不到四成的网民愿意在网络上填写真实信息。
这种种数据说明网络安全成为日前各界十分关注的问题,网络安全不容小视,安全隐患有可能制约电子商务、网上支付等交易类应用的发展。可以说在电子商务全球化的发展趋势中,电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。
(二电子商务安全策略中的技术概况
我们先看这样一个案例:2005年2月份发现的一种骗取美邦银行(Smith Barney 用户的帐号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。当用户点击链接时,实际连接的是钓鱼网站
http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面,而用户一旦输入了自己的帐号密码,这些信息就会被黑客窃取。
通过案例我们不难发现现在的高科技作案多么的层出不穷。电子商务安全隐患已是越来越突出了。
从目前看,电子商务安全技术还是传统的那样以:密码技术、访问控制、防火墙技术、时间戳、以及CA认证等为支柱。在了解相关技术之后我们在深入的分析:
(1密码技术
密码技术根据密钥性质的不同,可分为传统密码体制和公开钥密码体制两大类型。传统密码体制加密解密用同一个密钥,即Ke=Kd;而公开钥密码体制使用一对密钥即一个私钥和一个公钥,其对应关系是唯一的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。
(2访问控制
除了计算机网络硬设备之外,网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者,必须具备安全的控制策略和保护机制,防止非法入侵者攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制,即确保主体对客体的访问只能是授权的,末经授权的访问是不允许的,其操作是无效的。因此,授权策略和机制的安全性显得特别重要。保护可以从以下几个方面加以考虑:物理隔离、时间隔离、密码隔离。(3防火墙技术
设立防火墙的目的是保护内部网络不受外部网络的攻击,以及防止内部网络用户向外泄密。目前,防火墙技术主要有分组过滤和代理服务两种类型。
分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单,即借助数据分组中的IP地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据访问表(或黑名单对进出路由器的分组进行检查和过滤,凡符合要求的放行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效地防范非法攻击。目前,80%的防火墙都是采用这种技术。
代理服务:是一种基于代理服务的防火墙,它的安全性高,增加了身份认证与审计跟踪功能,但速度较慢。所谓审计跟踪是对网络系统资源的使用情况提供-个完备的记录,以便对网络进行完全监督和控制。通过不断收集与积累有关出入网络的完全事件记录,并有选择地对其中的某些进行审计跟踪,发现可能的非法行为并提供有力的证据,然后以秘密的方式向网上的防火墙发出有关信息如黑名单等。
(4数字时间戳
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS是网上安全服务项目,由专门的机构提供。时间戳(time-stamp是一个经加密后形成的凭证文档,它包括需加时间戳的文件的摘要(digest,DTS 收到文件的日期和时间和DTS的数字签名。
二、电子商务安全策略中存在的问题
尽管目前的电子商务技术可以在一定的条件环境下保证在电子商务的安全,但电子商务的安全依然不容乐观,举例来讲,电子商务在计算机系统安全、数据安全、网络安全和应用安全方面还是令人担忧的。
1.计算机安全
计算机是一种硬件设备,硬件设备难免出现故障,一旦出现,将会影响电子商务系统的运行。非凡是计算机的硬盘,一旦损坏,数据就会丢失,损失就无法挽回,需要对计算机硬件和数据进行备份。计算机系统安全主要是考虑提高用于电子商务系统的计算机硬件可靠性和稳定性。
2.网络安全
网络是用户进行数据交换,信息传递的主要途径。通过网络,用户可以访问网络中不同的计算机系统。网络安全主要是考虑限制用户对用于电子商务系统的计算机的访问权限,防止未授权的用户对系统的访问以及越权访问。
3.数据安全
在网络上传递的数据假如不采用任何安全措施,就会受到各种各样的攻击,如数据被截获,甚至数据被恶意篡改和破坏。数据安全主要是考虑防止数据被截获或截获后被破译,以及防止数据被恶意篡改和破坏。
4.应用安全
在网络环境下,计算机病毒猖獗,假如不加防范,就轻易导致应用软件被病毒感染,程序被非法入侵和破坏,系统的功能受到限制。更严重的是导致系统不能正常工作,数据和信息丢失。应用安全主要是考虑防止应用软件被各种病毒非法入侵和破坏。
5.电子商务交易安全问题
电子商务交易过程中,商家要发布产品信息,确认订购信息,收货款;客户要获取产品信息,传递订购信息,支付货款。买卖双方都存在安全问题,其中主要包括交易信息安全、支付安全和诚信安全。
这些不安全因素直接影响着电子商务的发展,一份阿里巴巴的《中国B2B电子商务市场2009年一季度诚信报告报告》中显示网民担心网上电脑文件丢的比例达29%;居于第二位的就是电脑瘫痪,比例占到了24%;紧跟其后的就是银行帐户被盗,其比例也占到22%;而个人资料被窃,其他方面的比例也分别达到:20%、5%。(如图32
可以说电子商务技术方面的安全已经是一个迫在眉睫的问题了。我们应该从多方面着手来解决这一问题,这样才能使电子商务朝着更好的方向发展。
三、电子商务安全策略在不断完善
(一电子商务安全需求要素
2中国B2B电子商务市场2009年一季度诚信报告报告,阿里巴巴
作为一个电子商务系统如何才算是安全的电子商务或者说电子商务安全的需求有哪些?这些都值得我们探讨研究一下。笔者认为电子商务安全需具备如下要素:
(1有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业、国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误以及计算机病毒所可能产生的潜在威胁加以控制和防范,以保证贸易数据在确定的时刻、确定的地点是有效的。
(2 机密性
是指防止非授权用户获得并使用该数据。商务信息在通过Internet这一公众网络时应不被第三方窃取、偷看而到达目的电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。
(3 完整性
指确保网络上的数据在传输过程中没有被篡改,电子商务简化了贸易过程,减少了人为的干预,同时也带来了维护贸易各方面商业信息完整统一的问题。由于数据输人时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息差异。贸易各方信息是否完整将影响贸易各方的交易和经营策略,因此,保持贸易各方信息的完整性是电子商务应用的基础。
(4 可靠性
鉴别电子商务可能会关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键,因此,要在交易信息的传输过程中为参与交易的个人、企业和国家进行可靠的识别。
(5 交易的不可抵赖性。
是指用户不能抵赖自己做出的行为,也不能否认接到对方的信息。在交易进行时,交易各方必须附带含有自身特征、无法由别人复制的信息,以保证交易后发生纠纷时有所对证,通常采用数字签名技术解决交易的不可抵赖性。
(二电子商务安全策略的应用
就电子商务安全来说,只有单个相关技术是不可能也完不成电商务的需求。只有形成一个体系或者说一个系统才能更好的满足电子商务的要求。而其总的框架结构应该是包含了多层次、多元化的整体结构。如图23
3 潘峰《电子商务安全策略综述》中国论文下载中心
笔者认这个系统中可以概括的叙述为一下四个层次,(如图3也只有四个层次中不难发现,只有层层相扣才能使得电子商务安全更加可靠。
(1从网络节点层
在这一层中我们可以采用防火墙、防火墙安全策略、安全操作系统等技术对其加以保护。
1.防火墙
防火墙是在连接Internet 和Intranet 保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。在现代电子商务应用中我们可以加入新的防控技术,比如说:防火墙技术,而在其中的可以加入透明的访问方式技术、灵活的代理系统技术、多级过滤技术、网络地址转换技术以及Internet 网关技术,这样就可以使得网络安全有了更多的保障。
2.防火墙安全策略网络节
点
的安全通讯的
安全性
用户的认证管理
应用程
序
的安全
电子商务
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
(2、通讯的安全
1.数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于:
(a客户浏览器端与电子商务WEB服务器端的通讯;
(b电子商务WEB服务器与电子商务数据库服务器的通讯;
(c银行内部网与业务网之间的数据通讯。
2.安全链路
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4O位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI。建立SSL 链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
(3、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可,程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
(4用户的认证管理
1.身份认证电子商务企业用户身份认证可以通过服务器 CA 证书与 IC 卡相结合实现的。证书用来认 CA 证服务器的身份,IC 卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用 ID 号和密码口令的身份确认机制。2.CA 证书要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是 CA 证书,它由认证授权中心(CA 中心)发行。CA 中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立 SSL 安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立 SSL 链接时客户只需用户下载该站点的服务器证书。(5)安全管理为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统
内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。安全实际上就是一种风险管理。任何技术手段都不能保证 1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。从以上概述中不难发现一个问题就是这四层应该是层层相扣,相互依存、相互促进的,如果缺少任何一环整个体系就不会很好的运作。这也是我们要认识到的。电子商务的本质是商务,技术是电子商务得以实现的手段。没有商务需求,技术的研究就失去了应用价值;没有技术实现,电子商务就不能得以实施,所以技术是电子商务的必要条件。而安全则是实现电子商务技术的前提,也是电子商务的必要条件。解决电子商务的安全问题不是一个单一的技术问题,它是由一系列工作组成,需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。参考文献 1.姜红波,《电子商务概论》,清华大学出版社 2.王芸,《电子商务法规》,高等教育出版社 3.宋文冠,《电子支付与网络银行》,东北财经大学出版社.2007 4 电子商务与传统商务相比有以下的优点 - 10 -
https://www.doczj.com/doc/7514868105.html,/formorwhy@126/blog/static/249482512007319102422174/ 5. 中国互联网络信息中心 2008 年中国网民信息网络安全状况研究报告,2008年
简)(度版 6. 第二十四次中国互联网络发展状况统计报告,2009 年 7 月 7.中国B2B 电子商务市场 2009 年一季度诚信报告报告,阿里巴巴 - 11 -
国电子商务发展中存在的主要问题及其对策 下面分析和归纳我国电子商务发展中存在的主要问题,给出解决问题的对策和建议。 1安全问题——电子商务高速发展的重要保证 长期以来,基于开放性网络的电子商务,由于电子线路的可窃听性、电子信息的可复制性以及互联网软、硬件存在的一些缺陷,致使黑客攻击、病毒侵害、网上欺骗、网上盗窃等非法现象时有发生,加之人们的安全防范意识还比较淡薄,电子商务的安全性(包括信息的保密性,完整性,有效性,不可抵赖性,交易身份的真实性)受到质疑,大大降低了大众对电子商务的信赖程度,阻碍了电子商务的快速发展。 对策:电子商务的安全问题包括(在线动态的)交易活动和(非在线静态的)商务信息的安全问题。为提高两方面的安全可靠性,信息技术研究机构和应用开发商应本着利国利民、勇于创新的原则,研究和创新提高电子商务安全性的新技术和新措施。 2技术问题——电子商务能否持续发展问题 信息技术的多样化快速发展,致使电子商务平台的开发技术五花八门,造成电子商务平台彼此不能协调一致,甚至商务信息无法交流和传输。 对策:为了维护国家的利益和经济安全,在电子商务相关技术方面一定要注重自主知识产权技术的开发和研究,各级研究机构和应用开发商应加大科研投入、研发拥有自主知识产权的软件开发技术,要
尽快打破在软件技术上对国外的依赖;国家和地方政府要加大对电子商务新技术开发成果的奖励和推广力度;要积极与外国政府和组织合作,建立全球电子商务系统。 3经济与费用问题——电子商务的效益问题 电子商务的重要内容和标志是资金支付的电子化,即资金流在网络上的实现。一是网上支付的效率不高,确认支付的时间还比较长;二是网上支付收取的费用过高。高昂的电子商务平台的运行费用和居高不下的支付费用,严重影响了电子商务的快速发展。 对策:电子商务系统运营商应进一步加强与企业、社会投资机构的联合,走合作开发或合资经营的道路,降低运营成本和交易成本。此外,应适当调低电子商务的网上支付费用,刺激和鼓励电子商务的发展。 4电信体制问题——电子商务发展的环境保障问题 长期垄断的电信体制、条块分割体制,致使我国的几大主干网络不能有机地协调和统一,互联网的效用没有得到最大限度的发挥,影响了电子商务的大发展。 对策:首先要真正打破电信业的行业垄断局面、克服区域条块分割现象,尽快实现真正意义上的多网合一、协作发展,而不是目前的形为“转制”,而实为你死我活的竞争局面。 5观念问题——电子商务的人文保障问题 长期的基于“现实世界”的传统商务模式在社会大众的商务行为意识中根深蒂固,人们对电子商务这种在“虚拟网络”环境下的电
电子商务安全问题及策略(一) 摘要]本文从电子商务中的各种安全隐患及电子商务安全需求对电子商务的各种安全技术进行分析,以探讨一种有效、安全的实现电子商务的策略。 关键词]电子商务、安全隐患、安全技术、策略 一、安全问题是实施电子商务的关键 传统的交易是面对面的,比较容易保证建立交易双方的信任关系和交易过程的安全性。而电子商务活动中的交易行为是通过网络进行的,买卖双方互不见面,因而缺乏传统交易中的信任感和安全感。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄露,从而导致巨大的利益损失。根据中国互联网络信息中心(CNNIC)发布的“中国互联网络发展状况统计报告”,在电子商务方面,52.26%的用户最关心的是交易的安全可靠性。由此可见,电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。 二、电子商务中的安全隐患和安全需求 1、电子商务中的安全隐患有:(1)篡改。电子的交易信息在网络上传输的过程中,可能被他人非法的修改,删除或重放(指只能使用一次的信息被多次使用),从而使信息失去了真实性和完整性。(2)信息破坏。包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。(3)身份识别。如果不进行身份识别.第三方就有可能假冒交易一方的身份,以破坏交易.败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别,交易的一方可不为自己的行为负责任,进行否认,相互欺诈。(4)信息泄密。主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。 2、电子商务的安全性需求:电子商务的安全性需求可以分为两个方面,一方面是对计算机及网络系统安全性的要求,表现为对系统硬件和软件运行安全性和可靠性的要求、系统抵御非法用户入侵的要求等;另一方面是对电子商务信息安全的要求。(1)信息的保密性:指信息在存储、传输及处理过程中不被他人窃取。(2)信息的完整性:包括信息在存储中不被篡改和破坏,以及在传输过程中收到的信息和原发送信息的一致性。(3)信息的不可否认性:指信息的发送方不可否认已经发送的信息.接收方也不可否认已经收到的信息。(4)交易者身份的真实性:指交易双方是确实存在的,不是假冒的。(5)系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性,是否会因为计算机故障或意外原因造成信息错误、失效或丢失。 三、电子商务的安全技术 根据电子商务的这些安全性需求通常采用的安全技术主要有:密钥加密技术、信息摘要技术、数字签名、数字证书及CA认证。 1、密钥加密技术:密码加密技术有对称密钥加密技术和非对称密钥加密技术。 (1)对称密钥加密技术:对称密钥加密技术使用DES(DataEn-cryptionStandard)算法,要求加密解密双方拥有相同的密钥,密钥的长度一般为64位或56位。这种加密方法可以解决信息的保密问题,但又带来了一些新的问题:一是在首次通信前,双方必须通过网络以外的途径传递统一的密钥:二是当通信对象增多时,需要相应数量的密钥,这就使密钥管理和使用的难度增大;三是对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄露都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。 (2)非对称密钥加密技术:为了克服对称密钥加密技术存在的密钥管理和分发上的问题,1976年Diffie和Hellman以及Merkle分别提出了公开密钥密码体制的思想:要求密钥成对出现,一个为加密密钥,另一个为解密密钥,且不可能从其中一个推导出另一个。根据这种思想自
电子商务的安全策略 内容提要 在知识经济快速发展的的二十一世纪,“电子商务”无疑是当前最大的热门话题,电子商务以其高效、简捷、成本低、出现在经济生活的各个领域。电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经成为人类跨入知识经济新纪元的重要标志之一。但是随着而来的电子商务安全也成为了大家普遍关注的一个焦点。如何能使电子商务良好运转的同时保证其安全更加可靠已是一个主要的研究对象了。 关键词:电子商务电子商务技术安全 Abstract In the rapid development of knowledge-based economy of the 21st century, "electronic commerce" is currently the most popular e-commerce for its efficient, simple, low cost, appear in the various areas of economic life. E-commerce as a computer application technology and modern economic and trade activities, have become a human into a new era of knowledge-based economy is. But to the e-commerce security has become a common focus. How to enable e-commerce functionality while maintaining their security more reliable is already a major study on the object. Key words: Electronic Commerce E-Commerce Technology security 目录 一、不断发展的电子商务 ...................................................................................... - 2 - (一我国电子商务发展现状 (2 (二电子商务安全策略中的技术概况 (4
电子商务的安全问题 摘要: 由于电子商务是建立在开放的、自由的Intemet平台上的,其安全的脆弱性阻碍了电子商务的发展。因此,要发展电子商务就必须解决安全问题,就必须要能保证电子商务的机密性、完整性、有效性、真实性以及不可否认性。电子商务安全交易中在线支付问题是最核 心、最关键的问题。本文从电子商务的安全问题入手,通过对多种安全技术的综合介绍和详细分析,有针对性地提出了相应的安全策略。提供了解决企业电子商务网站安全问题的有效办法,以保障电子商务活动的安全进行。 目录 一、引言 (1) 二、电子商务中存在的安全问题 (1) (一)、电子商务中网络安全的问题 (1) 网络信息泄漏 (1) 文件信息篡改 (1) 信息伪造 (1) 信用威胁 (2) 计算机病毒 (2) (二)、电子商务交易中安全问题 (2) 消费者、销售商和银行的利益更不易保护 (2) 安全面临的严重问题也是制约发展的关键因素 (2) 电子商务的支付结算问题 (2) 电子商务商家信誉的问题 (2) 三、电子商务网络安全问题解决对策 (3) (一)电子商务网上支付安全对策 (3) (二)安全管理过程监督 (3) 加强全过程的安全管理 (3) 建立动态的闭环管理流程 (4) (三)法律上的安全保障 (4) 有关电子商务交易各方合法身份证的法律 (4) 有关保护交易者介人及交易数据的法律 (4) 有关电子商务中电子合同合法性及如何进行认证的法律 (4) 有关网络知识产权保护的法律 (4) 参考文献 (5)
一、引言 随着在Internet全球性的推广,电子商务即被公认为是未来IT业最有潜力的新的增长点。但是随着Internet的高速发展,其开放性、国际性和自由性在增加电子商务应用自由度的同时,我们也正受到日益严重的来自网络的安全威胁,如黑客的侵袭、网络的数据盗窃、病毒的传播等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。 二、电子商务中存在的安全问题 (一)、电子商务中网络安全的问题 ●网络信息泄漏 在电子商务中表现为商业机密的泄漏,主要表现在: 交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。如果没有采用加密措施或加密强度不够,或是交易双方进行交易的内容被攻击者窃取,或者是交易一方提供给另一方使用的文件被攻击者非法使用。 ●文件信息篡改 在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据在中途篡改,如修改消息次序、时间,注入伪造消息等,然后再发向目的地,破坏数据的真实性和完整性。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。 ●信息伪造 由于掌握了数据的格式,并可以篡改通过的信息,如果不进行身份识别,攻击者就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。主要有这样几种情况:第一、虚开网站和商店,给用户发电子邮件,收订货单;第二、给伪造的用户发恶意的电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;第三、伪造用户,发大量的电子邮件,窃取商家的
1、简述电子商务流程 答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。 ②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型 答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。 3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险) 电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题? (1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。 8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。 9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。
21、电子商务安全面临的威胁 其中你问的问题是第二条,安全威胁问题。其实,就目前的各大银行的网上银行和电子支付而言,安全性已经很高,尤其是使用了口令卡、U盾、暗语等技术之后,安全性已经大大提高,基本可以杜绝安全隐患。只是,当前网络用户网络水平不高,对电子支付、电子商务心存疑虑,惧怕资金账户被人窃取或者担心购买的物品的质量,而不敢大胆网络消费。 目前主要的安全威胁是各类木马软件,用来记录密码、帐号等信息。对于网络安全意识不高、计算机水平不高的普通网民来说,无法彻底杜绝木马入侵,这是一个威胁。不过前面我说了,使用电子银行提供的口令卡(工商银行)、U盾(工行、建行),安全问题几乎100%保障。而且成本也极低(口令卡免费领取,U 盾60元上下)。 要克服这些问题,改变消费观念,加强网络安全普及最关键。健全物流系统,配货送货渠道解决,然后完善法规制度,保证有法可依。 电子商务的安全问题及对策研究 2009-04-09 14:53:09| 分类:默认分类| 标签:|字号大中小订阅 摘要:电子商务的开展面临着计算机网络的安全威胁和传统的商务活动在Internet上进行时由于Internet本身的隐患带来的安全威胁,这两个方面的安全威胁导致电子商务一系列的安全问题。通过利用电子商务安全技术,制定电子商务安全管理制度、加强诚信教育、建立社会诚信体系这三个方面的对策,我们可以营造一个能保证信息保密、信息完整、通信不可抵赖、不可否认、确认交易各方身份、信息有效、 个人隐私权得到保护的安全的电子商务环境。 关键词:电子商务、安全问题、安全技术、计算机网络 随着互联网的发展,电子商务成为了目前最时髦最吸引力的事物,同时由于电子商务具有传统商务不具有的优势,电子商务被越来越多的企业利用,电子商务也成为促进国家经济发展的一种重要力量。在电子商务的发展过程,很多问题也逐渐暴露出来,成为制约电子商务发展的重要原因,其中安全问题成为了众多问题中最重要最核心的问题。为了促进电子商务更好的发展,更好的为国民经济的发展服务,解决电 子商务中的安全问题就成了关键性的问题。 一、电子商务存在的安全问题
电子商务安全防范的技术策略 一、从科技层面加强防范措施 (一)几种主要的电子商务安全技术 1.加密技术 加密技术是电子商务才去的主要安全措施,是实现信息的保密性、完整性的核心。加密技术一方面以用于数据、文件加密,另一方面也是身份认证、数字签名等安全技术的基础。按照密钥的不同,加密技术主要有对称型密钥体制和非对称型密钥体制。对称密码体制也称为私钥密码体制,发送方和接受方都必须使用相同的密钥对消息进行加密和解密运算。目前比较通用的堆成加密算法有RC4和DES等。对称加密算法最大的优势就是开销小、加密速度快,所以广泛应用于对大量数据如文件进行加密。它的局限性在于通信双方要确保密钥的安全交换,密钥的分发和管理非常复杂,而且无法鉴别交易发起方或交易最终方。非对称型密钥加密也称为公开密钥算法,需要两个密钥:对外公开的公开密钥和自己保存的私有密钥。公开密钥用于对机密信息加密,私有密钥用于对机密信息解密。由于公开密钥是公开存放,迷药的分配和管理问题很容易解决。然而,公钥加密算法速度比私钥加密算法慢的多,同时公开加密方式对资源的占用较大,网络传输速度将受到影响。在实际应用中,通常将两种加密技术集合起来。数字信封即利用了两种加密技术的优
点,先采用公钥密码加密传送的信息,从而确保信息的安全性。 2.安全认证技术 一种是数字摘要与数字签名技术。数字摘要技术也称为散列技术。摘要技术采用Hash函数将徐加密的明文映射成一串较短的定长密文,这一串密文亦称为数字指纹,可以确保数据不被修改,保证信息的完整性。数字签名就运用了数字摘要技术,与传统签字具有同样的有效性,其原理如下:报文发送方从报文文体中生成一个128位的报文摘要,并用自己的私有密钥对这个摘要进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的消息摘要,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个摘要相同,那么接收方就能确认该数字签名是发送方的。数字签名技术可以保证信息传输过程中的完整性,提供信息发送者的身份认证和不可抵赖性。 另一种是数字证书。数字证书又称数字凭证,由可信任的、公正的权威机构——CA中性颁发。CA中心对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方身份的真实性、合法性及对网络资源的访问权限等,保证网上支付的安全性。
电子商务安全风险管理的规则、步骤及对策 随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险, 1 / 1
电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全风险管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。 1 / 1
电子商务安全风险管理thldl是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
一、电子商务面临的安全风险 由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险: 1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。 2)信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。 3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。 4)系统资源失窃问题 在网络系统环境中,系统资源失窃是常见的安全威胁。 5)信息的假冒 信息的假冒是指当攻击者掌握了网络信息数据规
电子商务的安全问题研究及分析对策 摘要 近年来,随着电子技术的发展,“电子商务”、“电子合同”等这类的词随处可见。的确,电子技术给我们的生活带来了很大的变化。我们现在可以实现网上购物;公司企业越来越重视网上销售和网上订货。这种新的交易方式的快速、便捷、高效率,满足了现代商业对交易效率的要求,使我们有理由相信,它还将继续深入我们的生活。随着计算机信息安全的发展、法律的逐渐完善,我国电子商务中的安全问题得到了有效解决,但是随着技术的发展我国电子商务中又产生了一些新的问题。 关键词:电子商务;隐私权;定型化契约;加密技术;入侵检测技术安全分析 电子商务具有跨越地域范围,不受时间因素制约等优势,随着全球经济一体化进程的不断发展,它将渗透到人们的日常生活中。随着技术水平的提高和发展,电子商务中的基本安全问题得到了解决,但同时也涌现出一些新的安全问题。我们可以通过制定、修善相关法律法规、采用新技术、强化安全管理、加强宣传教育等对策加以有效解决。 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。 一、电子商务安全中的法律问题及对策 在电子商务中,传统交易下所产生的纠纷及风险并没有随着高科技的发展而消失,相反网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。我国政府十分重视电子商务的法律法规的制定,目前制定的有关法律法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》、《电子签名法》等,它们直接约束了计算机安全和电子商务的安全。这些法律法规在电子商务中发挥着重大的作用,但是这些已经制订
电子商务安全问题的现状与未来 摘要:在全球信息化影响下,电子商务需要不断完善。针对电子商务现状制定实施恰当的产业政策十分必要。本文从电子商务技术发展环境、存在的问题、发展趋势探讨分析了我国电子商务发展的现状。 关键词:电子商务;发展趋势;教育产业;应用前景 电子商务源于英文ELECTRONIC COMMERCE,简写为EC。内容包含两方面,一是电子方式,二是商贸活动。一般指利用电子信息网络等电子化手段进行的商务活动以及商务活 动的电子化与网络化。电子商务还包括政府机构、企事业单位各种内部业务的电子化。电子商务是一种现代化商业和行政方法,通过改善产品和服务质量、提高服务传递速度,通过计算机网络加快信息交流以支持决策。 一、我国电子商务面临的困境与问题 1. 消费观念问题。我国金融体系的呆板和服务意识的淡漠,直接造成中国的消费市场缺乏信用消费概念支持,信用体系一直缺乏完善的保障机制与信用机制,货币电子化进程缓慢。银行与银行之间、银行与消费者之间画地为牢,迫使那些想尝试信用消费的人必须为此付出额外的精神和财力 代价。于是当电子商务这种新型商业模式出现时,众多消费
者只能是裹足不前,电子商务模式依然远不足与现实生活中的传统商业模式相匹敌。 2. 搜索技术与标准问题。搜索引擎看起来很简单:用户输入一个查询关键词,搜索引擎就按照关键词语到数据库去查找,并返回最合适的WEB页链接。但根据NEC研究所与INKTOMI公司最近研究结果表明,目前在互联网上至少10 亿网页需要建立索引。而现在搜索引擎仅仅能对5亿网页建立索引,仍然有一半不能索引。这主要不是由于技术原因,而是由于在线商家希望保护商品价格的隐私权。因此当用户在网上购物时,不得不一个网站一个网站搜索下去,直到找到满意价格的物品为止。各国电子商务的交易方式和手段存在差异,面对无国界、全球贸易,需要在电子商务交易过程中建立相关的统一标准,以解决电子商务活动的相互操作问题。 3. 电子商务的安全与管理问题。电子商务的安全问题仍是影响电子商务发展的主要因素。在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要 的因数之一。调查公司曾对电子商务的应用前景进行过在线调查,当问到为什么不愿意在线购物时,绝大多数人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,有一部分人或企业因担心安全问题而不愿意使用电子商务,安全成为电子商务发展中最大的障碍。管理的概念应该涵盖商务
实验一系统安全设置 [实验目的和要求] 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 [实验容] 1、本地安全策略 2、资源共享 3、管理安全设置 [实验步骤] 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”,如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看:哪些用户不可以在本地登录?哪些用户可以从网络访问计算机?哪些用户可以关闭计算机? 答:分别见图1-2,1-3和1-4。
图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看:如何使计算机在登录前必须按“CTRL+ALT+DEL”?未签名驱动程序的安装是如何设置的?如何禁止网络用户访问CD-ROM? 答:找到“交互式登录:不需要按CTRL+ALT+DEL”,双击打开,选择“已禁用(S)”后单击“确定”按钮。 找到“设备:未签名驱动程序的安装操作”,在下拉菜单中选择“允许安装但发出警告”,单击“确定”按钮即可。 找到“设备:只有本地登录的用户才能访问CD-ROM”,打开选择“已启用(E)”,点击“确定”按钮即可。 二、文件共享 如何设置共享文件,并通过网上邻居访问共享文件? 设置共享文件: 方法一:“工具--文件夹选项--查看--使用简单文件夹共享”。这样设置后,其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二:“控制面板--管理工具--计算机管理”,在“计算机管理”这个对话框中,依次点击“文件夹共享--共享”,然后在右键中选择“新建共享”即可。 选择你要共享的文件,右击选择“属性”,打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便,你认为哪些设置必需放开?而哪些设置又可能引起安全问题? 我认为对于网络的大部分设置应设为启用可方便浏览网页;对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思?如何让某个应用程序不受防火墙限制?
关键词:电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务系统的安全性提出了更高的要求,必须保证外部网络(internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。 就整个系统而言,安全性可以分为四个层次,如图1所示: 1.网络节点的安全 2.通讯的安全性 3.应用程序的安全性 4.用户的认证管理图1:安全性四个层次结构其中2、3、4层是通过操作系统和web服务器软件实现,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。一、网络节点的安全 1.防火墙防火墙是在连接internet和intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的intranet系统。 2.防火墙安全策略 应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。 3.安全操作系统防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。 二、通讯的安全 1.数据通讯 通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于: (1)客户浏览器端与电子商务web服务器端的通讯; (2)电子商务web服务器与电子商务数据库服务器的通讯; (3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。 2.安全链路 在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4o位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,ssl首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(ca中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(pki)。建立ssl链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(rsa)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。 三、应用程序的安全性
学习电子商务安全与管理心得体会 随着经济的发展,电子商务也越来越普及,越来越多的公司、个人在网上来交易,电子商务在人们的心中越来越不可缺少。但是,随着网络的普及,各种木马病毒、网上欺骗事件越来越多,阻碍了电子商务的发展。所以,电子商务安全与合理的管理是电子商务发展的保障。 一、安全交易标准的制定 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 1、安全超文本传输协议:依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 2、安全套接层协议:是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。 3、安全交易技术协议:由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。 4、安全电子交易协议:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。 二、目前安全电子交易的手段 1、密码技术 采用密码技术息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种: (1)公共密钥和私用密钥 这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
电子商务安全与管理总结 名词解释 密文:是明文经加密变换后的结果即消息被加密处理后的形式通常用c表示。 加密算法:是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程,通常用E表示即c=Ek(p) 对称密码体制 的基本特征是加密密钥与解密密钥相同。 Hash函数:Hash简单点讲就是把任意一段数据经过某种算法生成一段唯一的固定长题 误用检测:也叫特征检测,它假设入侵者活动可以用一种模式来表示,然后将观察对象与之比较,判别是否符合这些模式。 数字证书:就是互联网通信中标志通信各方身份信息的一系列数据,提供了一种在Internet 上验证匿名身份的方式。 CA: 简答题 1.防火墙应五大基本任务: 过滤进出网络的数据包; 管理进出网络的访问行为; 封堵某些禁止的访问行为; 记录通过防火墙的信息内容和活动; 对网络攻击进行检测和告警 2.防火墙有哪些局限性: 不能防范恶意的知情者; 防火墙不能防范不通过它的连接; 防火墙不能防备全部的威胁; 防火墙不能防范病毒; ①限制有用的网络服务②防火墙防外不防内③Internet防火墙无法防范通过防火墙以外的其他途径的攻击④防火墙不能完全防止传送感染病毒的软件或文件⑤防火墙不能防止新的网络安全问题 3.评估防火墙的抗攻击能力 抗IP 假冒攻击; 抗特洛伊木马攻击; 抗口令字探寻攻击; 抗网络安全性分析; 4.PKI技术可运用领域 即公钥基础设施,包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI技术可运用于众多领域,其中包括虚拟专用网络VPN,安全电子邮件,Web交互安全及倍受瞩目的电子商务安全领域。 5.在Internet上进行欺骗有哪些模式 采用假的服务器来欺骗用户的终端; 采用假的用户来欺骗服务器; 在信息的传输过程中截取信息; 在Web服务器及Web用户之间进行双方欺骗。 6.SET支付消息包括哪些?
电子商务的安全性问题及对策 电子商务就是计算机网络及应用,指的是利用简单,快捷,低成本的电子通讯方式,交易双方不谋面地进行各种商贸活动。从它的概念很明显可以看出电子商务是基于因特网的,可是因特网最明显的特性就开放性,而电子商务呢,则要求其信息的保密性。这就要求我们有一系列的电子安全技术来确保电子商务的正常,有序,快捷的进行。 ——(引自周学广《信息安全学》第二版机械工业出版社) 一、商务的安全要求。 随着电子商务的普及应用,安全性显得越来越重要。电子商务只是在表现形式上与传统的商业不同,但着并有改变其商业属性,这就要求电子商务必须遵循商业的一般规律——安全与效率。对于电子商务来说,其高效性已经得到人们的认可。可是电子商务作为一种新生事物,目前世界各国都还没有形成成熟的安全运营模式,所以对其安全性的研究越来越成为人们所关注,这方面的研究也越来越重要。电子商务本身呼吁有一个安全的环境来保证其本身的飞速发展。 ——(引自古月《走近电子商务. 计算机与生活》1999,11:8~14;龚炳铮等《从信息增值到电子商务. 计算机世界》2000,11,20(D45期)) 二、商务的安全威胁。 从安全和信任的角度来看,传统的交易双方是面对面的,因此很容易保证交易过程安全性和建立信任关系。但在电子商务中,交易双方是通过网络来联系的,由于存在空间的距离,交易双方要建立起信任关系相当的困难,交易双方都面临着威胁。这些威胁可以归结为以下几点。 ——(引自李剑《信息安全导论》北京邮电大学) (1)信息泄露 在电子上午中表现为商业的泄露,主要包括两个方面:交易双方在进行交易的内容被第三方窃取;交易一方提供给另一方的信息被第三方非法使用。 (2)信息窜改 在电子商务中表现为真实性和完整性的问题。电子交易的信息在网上传输的过程中,可能被他人非法修改,删除或重改,这样就使信息失去了真实性和完整性。 (3)身份识别 如果不进行身份识别,第三方有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信息或盗取被假冒一方的交易成果等,进去身份识别后就可以使交易双方增加对彼此的信任度。 ——(以上大部分引自《信息安全管理》作者: 影印清华大学出版社)(4)电脑病毒问题 自从有了计算机网络,电脑病毒问题就一直捆饶着广大计算机使用者。各种新型病毒及其变种迅速增加,互联网又为各种病毒的传播提供最好的媒介,传播到计算机上,威胁着电子商务,甚至是整个网络的安全。 (5)黑客问题 随着各种应用工具的传播与应用,黑客已经越来越大众化了,在过去的岁月里只有那些电脑高手才是黑客,而如今只要那些会一点应用工具的人都能成为黑客。要是没有足够好的安全技术,没有够“坚硬”防火墙,个人、企业的信息都
摘要:随着计算机信息安全的发展、法律的逐渐完善,我国电子商务中的安全问题得到了有效解决,但是随着技术的发展我国电子商务中又产生了一些新的问题,这里主要征对所出现的新问题进行了深入的研究,并提出了自己的建议、对策。关键词:电子商务;隐私权;定型化契约;加密技术;入侵检测技术 正文:电子商务具有跨越地域范围,不受时间因素制约等优势,随着全球经济一体化进程的不断发展,它将渗透到人们的日常生活中。随着技术水平的提高和发展,电子商务中的基本安全问题得到了解决,但同时也涌现出一些新的安全问题。我们可以通过制定、修善相关法律法规、采用新技术、强化安全管理、加强宣传教育等对策加以有效解决。 一、电子商务安全中的法律问题及对策 在电子商务中,传统交易下所产生的纠纷及风险并没有随着高科技的发展而消失,相反网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。我国政府十分重视电子商务的法律法规的制定,目前制定的有关法律法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》、《电子签名法》等,它们直接约束了计算机安全和电子商务的安全。这些法律法规在电子商务中发挥着重大的作用,但是这些已经制订的法律法规在实际操作过程中还有很多不够完善的地方,主要存在以下问题: ㈠子商务中信息不对称问题及对策 在电子商务环境中,经营者不仅不愿意充分展露自己商品和服务的真实内容,有些反而常常减少信息的披露,甚至散布虚假伪装的信息欺骗消费者,以实现自身利益的最大化,另一方面消费者不能直接接触到所要购买的商品,其消费依赖于经营者提供的信息。这一种消费者和经营者信息的不对称性造成电子商务环境中经营者侵害消费者权益的现象比传统的商业模式更为严重。其对策是通过修改现有法律法规,强制提高电子商务交易的信息透明度,严格电子商务企业的市场准入制度,加强对电子商务经营者的监管,加大对侵权行为的惩罚力度,设立专门机构对经营者进行身份认证和资产信誉评级。 ㈡消费者个人信息和隐私权的法律保护问题及对策 在电子商务中消费者个人信息甚至隐私权易受侵害。在现实的电子商务活动中,经营者为了降低生产成本,往往未经消费者授权而非法获取和使用消费者的个人信息甚至隐私,极大程度地侵害了消费者的合法权益特别是隐私权。建议在有关法律法规中规定如下基本原则:(1)依法收集和使用个人信息。(2)最低限度原则:经营者为某种合法的目的收集使用消费者个人信息,应在实现其目的的前提下,最低限度地收集和使用消费者个人信息。(3)向消费者说明及告知原则:经营者在收集和使用消费者个人信息前,应就其收集和使用的目的向消费者进行说明,在收集和使用之后,应告知消费者有关情况。(4)保证消费者个人信息安全的原则。 ㈢电子商务中定型化契约的问题及对策 目前在面向消费者的电子商务中大量应用定型化契约,即企业经营者为与不特定多数人订立契约之用而单方预先拟定之契约条款,其特点是经营者拟订好所有条款,消费者只需按下接受或者拒绝键,就决定了该购买合同是否成立。例如:一些经营者在网站上设置如下条款, “按下接受键”表示你已同意以下条件,另外值得注意的是,一些电子商务站点在具体交易流程虽然没有很多格式条款,但是服务条款通常出现在消费者注册为站点用户的程序中,并且消费者要成功注册,就只能按下“接受键”,这些服务条款中一般包含有免除经营者责任或加重消费者责任的条款,且多声明有权随时修改服务条款。为了保护消费者的权益可以在消费者权益保护法中对此作一些补充,规定在电子商务中定型化契约条款如有疑义时,应作有利于消费者的解释;定型化契约中的条款如违反诚信原则或者对消费者显失公平者,无效。 ㈣电子商务中纠纷的诉讼管辖问题及对策 依照传统民事诉讼管辖理论,合同纠纷由合同履行地或者被告住所地法院管辖。在电子商务活动中,大部分合同履行是在线完成,从而让合同履行地管辖变得难以确定,只能依据被告住所地法院。电子商务的跨地域性会让被告住所地法院来选择管辖法院,对原告极为不利。因此有必要根据电子商务的特点,公平地确定管辖法