加密技术在电子商务安全中的应用
摘要:随着Intemet的不断发展,我们开始接触到一个新名词:电子商务(EC,Electronic Commerce),即电子交易。Intemet正在改变我们访问和购买信息,通讯和支付服务费用等购物的方式,已经出现诸如网上帐单支付、股票经营、保险和家庭银行等金融服务,风起云涌的电子商务正掀起经济领域一次新的革命。由于这种新的完整的电子商务系统可以将内部网与Intemet连接,小至本企业的产品库存、购发货、帐款收支等商务运转,大至国家的政治、经济机密都将面临网上黑客与病毒的考验,因此,安全问题便成了电子商务生死攸关的首要问题。
关键词: 电子商务交易安全数据加密加密技术应用核心和关键问题
一、什么是电子商务?
电子商务(Electronic Commerce)的定义:以电子及电子技术为手段,以商务为核心,把原来传统的销售、购物渠道移到互联网上来,打破国家与地区有形无形的壁垒,使生产企业达到全球化,网络化,无形化,个性化、一体化。
电子商务是以计算机网络为基础。以电子化方式为手段,以商务活动为主体,在法律许可范围内所进行的商务活动过程。
电子商务是运用数字信息技术,对企业的各项活动进行持续优化的过程。电子商务涵盖的范围很广,一般可分为企业对企业(Business-to-Business),或企业对消费者(Business-to-Consumer)两种
二、电子商务交易中的不安全因素
当许多传统的商务方式应用在Intemet上时,便会带来许多源于安全方面的问题。由于Intemet的开放性,使网上交易存在许多危险,在Intemet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:窃取信息。如果没有采用加密措施,数据信息在网络上以明文形式传送,人侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
篡改信息。电子的交易信息在网上传输的过程中,可能被他人非法地修改、删除或重放,这样就使信息失去了真实性和完整性。
假冒。由于掌握了数据的格式,通过篡改信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户很难分辨。另外,第三方有可能假冒交易一方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。由于攻击者甚至可以接人网络,对网络中的信息进行修改,或者潜入网络内部、其后果则更为严重。
三加密技术的分析
1 、加密技术概述
加密是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。
加密之所以安全,绝非因不知道加密解密算法方法,而是加密的密钥是绝对的隐藏,现在流行的RSA和AES加密算法都是完全公开的,一方取得已加密的数据,就算知到加密算法也
好,若没有加密的密钥,也不能打开被加密保护的信息。单单隐蔽加密算法以保护信息,在学界和业界已有相当讨论,一般认为是不够安全的。公开的加密算法是给骇客和加密家长年累月攻击测试,对比隐蔽的加密算法要安全多。
在密码学中,加密是将明文信息隐匿起来,使之在缺少特殊信息时不可读。虽然加密作为通信保密的手段已经存在了几个世纪,但是只有那些对安全要求特别高的组织和个人才会使用它。在20世纪70年代中期,强加密(Strong Encryption)的使用开始从政府保密机构延伸至公共领域,并且目前已经成为保护许多广泛使用系统的方法,比如因特网电子商务、手机网络和银行自动取款机等。
加密可以用于保证安全性,但是其它一些技术在保障通信安全方面仍然是必须的,尤其是关于数据完整性和信息验证;例如,信息验证码(MAC)或者数字签名。另一方面的考虑是为了应付流量分析。
加密或软件编码隐匿(Code Obfuscation)同时也在软件版权保护中用于对付反向工程,未授权的程序分析,破解和软件盗版及数位内容的数位版权管理(DRM)等。
2 、什么是加密技术
加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
3 、1 对称密钥密码体制。
对称加密双方采用共同密钥,(当然这个密钥是需要对外保密的),凯撒密码通过对字母移位的方式进行加密,这是一种典型的对称加密算法。其算法是:如果密钥为3,将26个英文字母顺序不变,但使a,b,c,……,z分别对应d,e,f,……,c。如果明文为day,那么密文就是gdb。解密算法是加密算法的逆运算,即字母位置向前移动3位,并一一对应。但此种算法由于字母出现频率的高低容易被破解,并且只有26个字母,容易被穷举法分析得出密钥。
对称加密体制中,加密密钥与解密密钥相同。因此,密钥的保护尤为重要,如果第三方截获该密钥就会造成信息失密。在对称加密算法中,可以保障的只有信息的保密性。而无信息的完整性等其他性能。(附图1)
3.2 非对称密钥密码体制
与对称密钥密码体制相对应,非对称加密算法中,加密密钥与解密密钥不同。这对密钥在密钥生成过程中同时产生。在使用时,该对密钥持有人将其中一个密钥公开,而将另一密钥作为私有密钥加以保密,前者称为公钥,后者称为私钥。任何持有公钥的人都可加密信<优麦电子商务论文>息,但不能解密自己加密的密文,只有密钥持有者可以用私钥对收到的经过公钥加密的信息解密。由于在非对称密钥密码体制所使用的两个不同的密码中有一个需要向所有期望同密钥持有者进行安全通信的人随意公开,所以该密码体制又被称为公钥密码体制。
加密技术的应用
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。
电子商务(E-business)要求顾客可以在网上进行各种商务活动,不必担心自己的信用卡会被人盗用。在过去,用户为了防止信用卡的号码被窃取到,一般是通过电话订货,然后使用用户的信用卡进行付款。现在人们开始使用各种加密技术,提高信用卡交易的安全性,
从而使电子商务走向实用成为可能。
1、SET协议
SET是当前Internet上比较常用的加密方法,SET(Secure Electronic Transaction, 安全电子交易)协议是基于信用卡在线支付的电子商务系统的安全协议。
SET协议通过制定标准和采用各种技术手段, 解决了当时困扰电子商务发展的安全问题。由于得到了很多大公司的支持, 它已形成了事实上的工业标准,已获IETF 标准认可。
SET协议的购物系统由客户、商家、支付网关、收单银行和发卡银行五个部分组成。当持卡人在网上商店选择了要购买的商品,填写订单并选择付款方式为“在线支付”时,SET 协议开始介入工作,它的参与者之间的数据交换过程如图所示。
持卡人发送给商家一个完整的定单及要求付款的指令。在SET协议中,订单和付款指令由持卡人进行数字签名,同时利用双重签名技术保证商家看不到客户的银行账号信息;商家接受订单后,向为持卡人开户的金融机构发出支付请求;通过支付网关将银行账号传送到收单银行,再到发卡银行进行确认;当发卡银行批准交易后,返回确认信息给商家;商家发送订单确认信息给持卡人;持卡人计算机上的软件可记录交易日志,以备将来查询;商家给持卡人配送货物,完成订购服务,一个购物过程至此结束。
SET协议是适合于B2C模式电子商务的、以信用卡为基础的支付协议,SET <优麦电子商务论文>使用多种安全技术来达到安全支付的要求,其中对称密钥技术、非对称加密技术和Hash 算法是核心。
SET采用两种加密算法进行加密、解密处理,其中密钥加密是基础;公钥加密是应用的核心。密钥加密用同一个密钥来加密和解密数据,主要算法是DES;公开密钥要求使用一对密钥,一个公开发布,另一个由收信人保存。发信人用公开密钥加密数据,收信人则用私钥去解密,主要算法是RSA。
金融交易要求发送报文数据的同时发送签名数据作为认证。这种数字签名是一组加密的数字。SET要求用户在进行交易前首先进行数字签名,然后进行数据发送。
网上交易过程中必须确认用户、商家及所进行的交易本身是否合法可靠。SET体系中还有一个关键的机构认证中心(CA),它根据X.509 标准发布和管理数字证书。SET协议规定CA 发给每个持卡人一个数字证书,持卡人选中一个口令,用它对数字证书和私钥、信用卡号以及其他信息加密存储。这些与一个支持SET 协议的软件一起组成了一个SET电子钱包。
金融交易所使用的密钥必须经常更换,SET使用数字信封来传递更换密钥。其方法是由发送数据者自动生成专用密钥,用它加密原文,将生成的密文连同密钥本身一起再用公开密钥加密,然后传送出去。收信人在解密后同时得到专用密钥和用其加密后的密文。
SET协议可以很好地满足电子商务中对信息的安全提出的四项原则:数据的机密性、完整性、个体识别性、不可抵赖性。
SET协议是针对在线支付而设计的支付协议,而采用“货到付款方式”、“邮局汇款”等非在线支付方式则与SET协议无关。
1 在银行电子商务方面的应用
网上银行的业务量正在逐年攀升,对用户的账户,密码等个人私密信息的保护已经成为网银业务发展的关键和核心。在这方面,各大银行均推出自己的数据安全工具,其中使用比较普遍的有USB KEY,例如工商银行的U盾,农业银行的K宝等。USB KEY建立了基于公钥(PKI)技术的个人证书认证体系。在技术方面,客户证书通过个人证书认证和数字签名技术,对客户的网上交易实施身份认证,并且可以签署各种业务服务协议,能够自动生成RSA私有密钥和安全存储数字证书,确保交易和协议的惟一完整和不可否认。另外工商银行所提供的电子银行口令卡对客户来说也是一个不错的选择,它相当于一种动态的电子银行密码,一次一密的操作方法能有效抵御木马病毒和假网站的危害,最大限度地保障客户利益。
加密技术在电子出版版权中的应用
置乱加密技术
置乱技术是数据加密的一种方法。通过置乱技术,可以将数字信号变得杂乱无章,使非法获取者无法确知该数字信号的正确组织形式,无法从其中获得有用的信息。基于DirectShow对视频进行一系列的采集、分帧、合成等处理,同时采用Arnold变换对单帧图像进行置乱操作,使得置乱后的视频表现为黑白噪声的形式。所建立的视频处理框架可以处理各种格式的视频,如AVI、MPEG等格式的视频信号,置乱后的视频可以抵抗一定程度的压缩、帧处理等操作。视频文件由于不同的压缩方式、文件组织方式等,使得其格式繁多,所以处理时需要把不同格式的视频文件解码为统一的非压缩格式。另外考虑到视频文件通常数据量都很大,采用将视频文件按单帧图像进行处理的方式,将视频数据流分为单帧序列,经过解压、处理、存储一帧后,再读取下一帧的数据进行同样的处理。这样可以保证内存中只有单帧的数据量。数字水印技术
数字水印的基本思想是利用人类感觉器官的不敏感,以及数字信号本身存在的冗余,在图像音频和视频等数字产品中嵌入秘密的信息以便记录其版权,同时嵌入的信息能够抵抗一些攻击而生存下来,以达到版权认证和保护的功能。数字水印并不改变数字产品的基本特性和使用价值。一个完整的数字水印系统应包含三个基本部分:水印的生成、嵌入和水印的提取或检测。水印嵌入算法利用对称密钥或公开密钥实现把水印嵌入到原始载体信息中,得到隐秘载体。水印检测/提取算法利用相应的密钥从隐蔽载体中检测或恢复出水印,没有解密密钥,攻击者很难从隐秘载体中发现和修改水印。
根据水印所附载体的不同,可以将数字水印划分为图像水印、音频水印、视频水印、文本水印和用于三维网格模型的网格水印及软件水印等。
(1)图像水印。根据水印的嵌入方式不同,图像水印算法主要分为空间域方法和变换域方法。空间域方法是通过改变图像中某些像素值加入信息,再通过记录提取这些信息来检测水印,常用的LSB算法有两种:一种是将图像的LSB用伪随机序列来代替;另一种是在LSB中加入伪随机序列。
(2)音频水印。音频水印利用音频文件的冗余信息和人类听觉系统(human audio system)的特点来嵌入数字水印。对于一个实用的数字音频水印系统,最主要的评价指标首先是重建声音信号的质量和水印数据的误码率,其次是水印数据的比特率和所增加的计算量。目前的音频水印技术主要集中于研究低比特位编码、相位编码、回声隐藏和基于扩展频谱编码等四个方面。
(3)视频水印。相较于数字水印的一般特性,视频水印还有一些特殊的要求:实时处理性、随机检测性、与视频编码标准相结合。视频水印嵌入方法可分为三种:第一种是将水印信息直接嵌入到编码压缩之前的原始视频图像序列中,然后再对含有水印信息的视频图像进行编码压缩。这种方法可以利用静止图像的水印嵌入算法,但过程比较复杂,而且在压缩中水印信息有可能遭到破坏。第二种是在编码压缩时嵌入水印,这种方法过程比较简单,但水印的嵌入和提取算法需要修改编码器和解码器。第三种是在压缩域中嵌入水印,即将水印信息嵌入到编码压缩后的码流上,这种方法不需要完全解码和再编码过程,因此计算量小,实时性好。
(4)文本水印。文本水印算法的基本思想是通过轻微改变字符间距、行间距或增加、删除字符特征等方法来嵌入水印(如底纹线),但它无法抵御攻击。攻击者可通过对字符间距、行间距进行随机处理来破坏水印。文档中若不存在可插入标记的可辩认空间(perceptual headroom),则不能被插入水印。对于诸如PostScript、PDF、WPS、WORD等类型的文档,可以将一个水印嵌入版面布局信息(如字间距或行间距)或格式化编排中。Brassil和Low等人
提出了几种不同的在PostScript格式文本中嵌入水印的方法。如行移编码通过将文本的某一整行垂直移动插入标记,当一行被上移或下移时,不动的相邻行被看作是解码的参考位置;字移编码通过将文本的某一行中的一个单词水平移位插入标记,不动的相邻单词被看作是解码过程中的参考位置;特征编码通过改变某个单个字母的某一特殊特征来插入标记。
(5)网格水印。网格空间的利用率是评价网格水印的一个重要参数,而空间利用率和稳健性之间通常会存在矛盾,因此也要协调好空间利用率和稳健性之间的关系。空域3D网格水印嵌入算法直接在原始网格中通过调整网格几何、拓扑和其他属性的参数嵌入水印。最具代表性的算法是Ohbuchi等人提出的三角形相似四元组(Triangle Similarity Quadruple,TSQ)算法、四面体体积比(Tetrahedron Volume Ratio,TVR)算法。
(6)软件水印。所谓的软件水印就是把程序的版权信息和用户身份信息嵌入到程序中。根据水印的嵌入位置,软件水印可以分为代码水印和数据水印。代码水印隐藏在程序的指令部分中,而数据水印则隐藏在包括头文件字符串和调试信息等数据中。根据水印被加载的时刻,软件水印可分为静态水印和动态水印。静态水印存储在可执行程序代码中,动态水印保存在程序的执行状态中。静态水印又可分为静态数据水印和静态代码水印。动态水印主要有3类:Easter Egg水印、数据结构水印和执行状态水印。现有的软件水印算法有:Collberg和Thomborson提出的一种动态图水印技术,即把软件水印隐藏在程序动态建立的图结构拓扑中。
四、个人用户终端采取的安全措施
在电子商务中,客户终端一直以来都是安全的薄弱环节。从统计的数据来看,大约有85%的电子商务安全事件都是由于终端用户的安全问题引起的,针对用户终端的不安全性,使用如下措施来加强安全性:
(1)使用SSL(安全套接层)解决WEB终端的安全套接:使用户通过WEB的数据是经过加密的,如MD5用于防止篡改或伪造报文,MD5结合DES或RSA确保信息的完整性(即真伪)等。(2)软件键盘措施:用户使用鼠标点击软件键盘对应的按键,屏蔽了一些记录用户敲击真实键盘信息的软件。
(3)验证码措施:由系统自动生成随机伪序列,每一次的验证码不相同,可以防止重放攻击。
(4)确认体制:需要用户进行确认,这种确认可以是不同于网络的安全通道。
五、电子商务发展的核心和关键问题
电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。密码学提供以下信息安全服务。
信息的保密性。交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用。因此在电子商务的信息传播中一般均有加密的要求。
信息的完整性。交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
信息源鉴别。在商家发送信息过程中,可能出现伪装成商家的攻击者发送虚假信息,因此使用密码学中基于非对称加密技术的书签签名体制可以帮助数据接收方确认数据源自特定的用户。
不可否认性。如果交易双方一方产生抵赖,将会对交易活动的另一方带来不可避免的损失。因此,必须确保通信和交易双方无法对已进行的业务进行否认。
六、加密技术未来的发展趋势
尽管非对称密码体制比对称密码体制更为可靠,
但由于计算过于复杂,对称密码体制在进行大信息量
通信时,加密速率仅为对称体制的5 6 577,甚至是5 6
5777。正是由于不同体制的加密算法各有所长,所以
在今后相当长的一段时期内,各类加密体制将会共同
发展。而在由."# 等公司于5889 年联合推出的用于
电子商务的协议标准10:(1;<=3; 04;<>32?@< :3,?A, >@2?)中和588C 年由多国联合开发的&-& 技术中,均 采用了包含单钥密码、双钥密码、单向杂凑算法和随 机数生成算法在内的混合密码系统的动向来看,这似 乎从一个侧面展示了今后密码技术应用的未来。 在单钥密码领域,一次一密被认为是最为可靠的 机制,但是由于流密码体制中的密钥流生成器在算法 上未能突破有限循环,故一直未被广泛应用。如果找 到一个在算法上接近无限循环的密钥流生成器,该体 制将会有一个质的飞跃。近年来,混沌学理论的研究 给在这一方向产生突破带来了曙光。此外,充满生气 的量子密码被认为是一个潜在的发展方向,因为它是 基于光学和量子力学理论的。该理论对于在光纤通 信中加强信息安全、对付拥有量子计算能力的破译无 疑是一种理想的解决方法。 由于电子商务等民用系统的应用需求,认证加密 算法也将有较大发展。此外,在传统密码体制中,还 将会产生类似于./0! 这样的新成员,新成员的一个 主要特征就是在算法上有创新和突破,而不仅仅是对 传统算法进行修正或改进。密码学是一个正在不断 发展的年轻学科,任何未被认识的加6 解密机制都有 可能在其中占有一席之地。 七、总结 电子商务尚是一个机遇和挑战共存的新领域,这种挑战不仅来源于传统的习惯,来源于计划体制和市场体制的冲突、更来源于对可使用的安全技术的信赖。因此,电子商务的安全运行,不仅要从技术角度进行防范,更要从法律角度加强,从而保证电子商务快速健康地发展。电子商务安全只是数据加密技术在web安全方面的一个应用,同时它在电子邮件安全、IP安全性,入侵检测等方面的使用越来越广泛。值得注意的是,数据加密技术的安全只是暂时的,必须加强对数据加密技术的新技术、新理论研究,才能不断加强信息安全的广度与深度,密码技术的发展将会渗透到数据通信的每一个角落! ! 参考文献 [1] 汤惟.密码学与网络安全技术基础[M],北京:机械工业出版社,2004:11-17 [2] William Stalling.Cryptography and Network Security Principles and Practices,Third Edition[M],刘玉珍,王丽娜,傅建明等,译.北京:电子工业出版社,2004:188-198 [3] 陈兵.网络安全与电子商务[M],北京:北京大学出版社,2005:169-179 [4]张晓黎:数据加密技术在电子商务安全中的应用[J].计算机与数字工程,2005,(12) [5]马宜兴:网络安全与病毒防范.上海交通大学出版社,2007,(5-14) [6]张泽增赵霖:计算机加密算法[M].西安:西安电子科技大学出版社,2004 [7]丁文霞卢焕章谢剑斌王浩:基于混沌系统的独立密钥DES数字图像加密算法[J].计算机应用研究,2006,(2) [8]张学军夏长富:计算机网络.大连理工大学出版社,2005,(166-170) 1、简述电子商务流程 答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。 ②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型 答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。 3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险) 电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题? (1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。 8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。 9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。 信息加密技术研究 摘要:随着网络技术的发展,网络在提供给人们巨大方便的同时也带来了很多的安全隐患,病毒、黑客攻击以及计算机威胁事件已经司空见惯,为了使得互联网的信息能够正确有效地被人们所使用,互联网的安全就变得迫在眉睫。 关键词:网络;加密技术;安全隐患 随着网络技术的高速发展,互联网已经成为人们利用信息和资源共享的主要手段,面对这个互连的开放式的系统,人们在感叹现代网络技术的高超与便利的同时,又会面临着一系列的安全问题的困扰。如何保护计算机信息的安全,也即信息内容的保密问题显得尤为重要。 数据加密技术是解决网络安全问要采取的主要保密安全措施。是最常用的保密安全手段,通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。 1加密技术 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理。使其成为不可读的一段代码,通常称为“密文”传送,到达目的地后使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径达到保护数据不被人非法窃取、修改的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。 2加密算法 信息加密是由各种加密算法实现的,传统的加密系统是以密钥为基础的,是一种对称加密,即用户使用同一个密钥加密和解密。而公钥则是一种非对称加密方法。加密者和解密者各自拥有不同的密钥,对称加密算法包括DES和IDEA;非对称加密算法包括RSA、背包密码等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法等。 2.1对称加密算法 对称密码体制是一种传统密码体制,也称为私钥密码体制。在对称加密系统中,加密和解密采用相同的密钥。因为加解密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄漏出去,这样就可以实现数据的机密性和完整性。对于具有n个用户的网络,需要n(n-1)/2个密钥,在用户群不是很大的情况下,对称加密系统是有效的。DES算法是目前最为典型的对称密钥密码系统算法。 DES是一种分组密码,用专门的变换函数来加密明文。方法是先把明文按组长64bit分成若干组,然后用变换函数依次加密这些组,每次输出64bit的密文,最后将所有密文串接起来即得整个密文。密钥长度56bit,由任意56位数组成,因此数量高达256个,而且可以随时更换。使破解变得不可能,因此,DES的安全性完全依赖于对密钥的保护(故称为秘密密钥算法)。DES运算速度快,适合对大量数据的加密,但缺点是密钥的安全分发困难。 2.2非对称密钥密码体制 非对称密钥密码体制也叫公共密钥技术,该技术就是针对私钥密码体制的缺陷被提出来的。公共密钥技术利用两个密码取代常规的一个密码:其中一个公共密钥被用来加密数据,而另一个私人密钥被用来解密数据。这两个密钥在数字上相关,但即便使用许多计算机协同运算,要想从公共密钥中逆算出对应的私人密钥也是不可能的。这是因为两个密钥生成的基本原理根据一个数学计算的特性,即两个对位质数相乘可以轻易得到一个巨大的数字,但要是反过来将这个巨大的乘积数分解为组成它的两个质数,即使是超级计算机也要花很长的时间。此外,密钥对中任何一个都可用于加密,其另外一个用于解密,且密钥对中称为私人密钥的那一个只有密钥对的所有者才知道,从而人们可以把私人密钥作为其所有者的身份特征。根据公共密钥算法,已知公共密钥是不能推导出私人密钥的。最后使用公钥时,要安装此类加密程序,设定私人密钥,并由程序生成庞大的公共密钥。使用者与其向联系的人发送 一电子支付安全问题分析 社会信用度欠缺,用户对电子支付的安全性信心不足 据《中国电子商务诚信状况调查》显示,有%的企业和26. 34%的个人认为电子商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企业最关注的问题之一。目前,在网上传得沸沸扬扬的“江西精彩生活”利用传销电子商务“外衣”拉人事件就给了人们不良印象,唐庆南创办开通的太平洋直购官方网站,以“收取保证金”“购物返利”等形式推出了涉及供应商、渠道商、消费者和电子商务平台四方的BMC模式。以“拉人头”“收取入门费”等方式发展渠道商,收取保证金,获取非法利益,造成了严重的社会危害,涉嫌传销违法犯罪。这一案例使得人们对于网上交易又开始望而却步。电子支付产业发展迅速,但市场秩序仍不规范 随着互联网的迅猛发展,网上金融服务在世界范围内部如火如荼地开展了起来。2010年,江西省农村信用社网上银行--“百福网上银行”正式开通,江西省农村信用社发放的百福借记卡数量增长明显,同时积极与第三方机构合作,成功开发多功能受理终端并快速实现投放和应用,有效满足了江西省农村信用社持卡用户和中小商户的支付需求。与以往相比,用户可选择的支付手段和方式丰富了许多。 然而,电子支付的巨大市场前景与目前整体产业环境形成较大落差,造成了这一产业方向不明的现状。目前国内有关法律法规对电子支付的权利和义务规定不清晰,缺乏网络消费和服务权益保护管理规则,没有专门的法律来规范网络银行的经营和使用。特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验。第三方支付企业的法律性质的定位问题;第三方支付企业是否具备向用户提供电子支付服务的资质与能力的问题;银行与第三方支付机构对电子支付过程中应当采取哪些风险防范的问题;在电子支付过程中发生纠纷时责任的划分与举证责任的认定问题等。另外,我国网络银行的信息跟踪、检测、信息报告交流制度的相关法律规则都未建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处。网络侵权行为和网络信息恶意被盗行为时有发生网络侵权行为主要有: (1)互联网服务提供商(ISP Internet ServiceProvider)的侵权行为。例如:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。 (2)互联网内容提供商( ICP 电子商务安全技术研究 董永东葛晓滨 (1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601) 摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。 关键词电子商务;安全;技术 1 引言 电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。 2 电子商务面对的安全问题及其对策 电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。 2.1 电子商务中的安全隐患 电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面: (1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。 (3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。 (4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。 2.2 电子商务面对的安全问题 2.2.1 计算机安全问题 计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具 龙源期刊网 https://www.doczj.com/doc/7518684311.html, 数字加密技术及其在日常中的应用 作者:苏治中 来源:《电脑知识与技术》2012年第15期 摘要:随着科学技术现代化的发展,文件、图纸等数据的保密性变得越来越重要。面对计算机通信与网络的普及,数据传输安全越来越受到重视。如何确保网络之间的文件安全交换?如何在实际网络中达到网络保密传输?该文将介绍数据加密技术的发展情况和现在通用加密技术,在实际网络中的运行应用中,如何发挥网络数据加密强大的作用。当今主要分为私有密钥系统和公开密钥系统,而目前,RSA密码系统和MD5信息摘要算法为目前主流。 关键词:数据传输安全;私有密钥系统;公开密钥系统;RSA密码系统;MD5信息摘要算法 中图分类号:TP311文献标识码:A文章编号:1009-3044(2012)15-3668-02 Digital Encryption Technology and Daily Application SU Zhi-zhong (Guangzhou Open University,Guangzhou 510091,China) Abstract: With the development of modernization of science and technology, privacy of documents, drawings, etc data becomes more and more important. Face up to the popularity of computer communications and networking, data security becoming highly valued. How to ensure that files exchange safely on the internet In the actual network how to achieve the privacy of transmission This article will intro duce development of data encryption technology and general encryption technology at present. In the actual operation of the network ap plications, how to make the data encryption playing a strong role. There are private key system and public-key system at present,yet RSA cryptosystems and MD5 algorithm are mainline. Key words: data transmission security; private-key system; public-key system; RSA cryptosystems;MD5 algorithm 1数字加密技术产生的背景 在网络技术飞速发展的今天,计算机系统以及计算机网络,在提高了数据和设备的共享性的同时,也为确保国家机密或者企事业单位内部机密数据的安全性提出了挑战。为了保证数据的安全,许多企事业单位往往不惜成本,购入固件或软件等被动式的网络安全产品。但事实上仅仅依靠这些是远远不够的,所以引进了数字加密技术的概念确保数据的安全。 2数字加密技术的分类 课程标准 课程代码: 课程名称:电子支付安全编制人:周伟 制订时间:2016-3-01专业负责人: 所属系部:经济贸易系 《电子商务支付与安全》课程标准 适用专业:电子商务专业 课程类别:必修修课方式:理论 +实践 教学时数: 64 学时总学分数: 3.5学分 一、课程定位与课程设计 (一)课程性质与作用 课程的性质:《电子商务支付与安全》是电子商务专业的专业必修课程。 课程的作用:本课程以电子商务企业经营、管理和服务第一线的岗位需求为着眼点讲述电子商务安全基础、电子商务面临的安全问题、电子商务安全技术以及电子商务安全实际应用。通过学习该课程,使学生掌握电子商务安全方面的基本知识,树立电子商务安全意识,具备电子商务安全基本操作技能,培养学生的思维创新能力和实践动手能力,为电子商务企业的电子商务活动提供较为安全的工作环境。 与其他课程的关系:《电子商务概论》是它的前导课程,为整个电子商务 专业打基础;《网站架设与维护》、《网络营销》和《客户关系管理》是它的后 续课程,是电子商务专业从事职业活动的具体行为;而《电子商务安全》起到纽 带和支撑作用。 (二)课程基本理念 课程开发打破传统的教学理念,遵循现代职业教育指导思想,以开发职业能力为课程的目标,课程教学内容的取舍和内容排序遵循职业性原则,课程实施行动导向的教学模式,以实际的电子商务安全交易为载体设计教学过程,逐步培养学生综合能力。 (三)课程设计思路 1、课程设计思路 (1)以培养电子商务师、网络管理员为设计依据确定工作任务; (2)以行动导向教学方法为指导,将课程内容具体化学习情境; (3)以实际的电子商务安全交易为载体设计教学过程; (4)工作任务从易到难,从单个到综合,从浅到深,逐步培养学生综合能力; 《电子商务安全与支付》考纲、试题 、答案 一、考试说明 《电子商务安全与支付》是电子商务的分支学科,它主要针对翻新的网络破坏和犯罪形式,新的安全技术不断出现和被采用,有力地保障了电子商务的正常开展,本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题,同时涉及交易系统安全管理,介绍电子商务安全的相关法律和电子商务安全解决方案。 本课程闭卷考试,满分100分,考试时间90 分钟。考试试题题型及答题技巧如下: 一、单项选择题(每题2分,共20 分) 二、多选选择题(每题3分,共15 分) 三、名词解释题(每题 5 分,共20 分) 四、简答题(每题9分,共27 分) 答题技巧:能够完整例举出所有答题点,不需要全部展开阐述,适当展开一些,但一定要条理清晰,字迹工整,结构明朗。 五、分析题(每题9 分,共18分) 答题技巧:对所考查的问题进行比较详尽的分析,把握大的方向的同时要尽可能的展开叙述,对问题进行分析,回答问题要全面,同时注意书写流畅、条理清晰。 二、复习重点内容 第1xx 电子商务安全概述 1. 网络攻击的分类(重点掌握):WEB欺骗、网络协议攻击、IP欺骗、远程攻击 2. 电子商务的安全性需求(了解):有效性、不可抵赖性、严密性 3?因特网的主要安全协议(了解):SSL协议、S-HTTP协议、SET协议 4. 数字签名技术、防火墙技术(了解) 第2xx 信息系统安全防范技术、 1 .电子商务的安全性需求(重点掌握):有效性、不可抵赖性、严密性 2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒(了解) 3. 计算机病毒的传播途径(重点掌握):(1)因特网传播:① 通过电子邮件传播,② 通过浏览网页和下载软件传播,③ 通过及时通讯软件传播;(2)局域网传播;(3)通过不可转移的计算机硬件设备传播;(4)通过移动存储设备传播;(5)无线设备传播。 4. 特洛伊木马种类(重点掌握):破坏型特洛伊木马、破坏型特洛伊木马、 远程访问型特洛伊木马、常规的计算机病毒的防范措施(重点掌握):(1)建立良好的安全习惯;(2)关闭或删除系统中不键盘记录型特洛伊木马 5. 需要的服务;(3)经常升级操作系统的安全补丁;(4)使用复杂的密码;(5)迅速隔离受感染的计算机;(6) 安徽专业的防病毒软件进行全面监控;(7)及时安装防火墙 6.防火墙的类型(重点掌握):包过滤防火强、代理服务器防火墙 7?防火墙的安全业务(重点掌握):用户认证、域名服务、邮件处理、IP安全保护第 3 章虚拟专用网络技术 1. VPN网络安全技术包括(了解):隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。 2?隧道协议的构成(了解):PPTP协议、L2TP IPSec/SSTP 第4xx 数据备份与灾难恢复技术 中国电子商务发体现状分析 一、电子商务的概况 电子商务(EleetrohieCommeree简称EC)是在Internet开放的网络环境下,作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带人一个网络经济、数字化生存的新天地。电子商务,是指实现整个贸易活动的电子化。从涵盖范围方面能够定义为:交易各方以电子方式而不是通过当面交换或直接面谈方式实行的任何形式的商业交易.从技术方面能够定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。实现消费者的网上购物、商户之间的网上交易和在线电于支付的一种新型的商业运营模式。电子商务减少员工成本、文件处理成本,缩短了商业交易时间,提升服务质量,降低了安全库存量,减少错误信息,增加了贸易机会。综观而论,电子商务与传统贸易相比具有:世界性、直接性、便捷性、均等性等四大特点而得到人们的普遍欢迎。在国际竞争面前,从诸多的层次来看,电子商务为我们创造了崭新的市场机会。 电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成一个不可分割的整体;客户能以非常简捷的方式完成过去较为萦杂的商务活动。电子商务的内涵可认为是:信息内容,集成信息资源,商务贸易,协作交流。 电子商务的发展要以推动BZB(企业对企业)业务为重点,从四个方面人手:一要使企业成为主体,二要以专业切人点,三要展开国际贸易的网上交易,四要建立面向中小企业的中介服务网。1997年7月美国政府在泛征求了产业界、消费团体和In-ternet界的意见之后,指定的一个世界电子商务框架(AFrame-workforGlobalEleetro垃eCommeree)计划,其中体现了政府对电子商务的三项基本政策:(l)让企业在电子商务发展中起主导作用(2)政府参与管理应以积极促动电子商务发展为原则,(3)应在世界范围内促动Inter二t上的电子商务。 实验一系统安全设置 [实验目的和要求] 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 [实验容] 1、本地安全策略 2、资源共享 3、管理安全设置 [实验步骤] 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”,如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看:哪些用户不可以在本地登录?哪些用户可以从网络访问计算机?哪些用户可以关闭计算机? 答:分别见图1-2,1-3和1-4。 图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看:如何使计算机在登录前必须按“CTRL+ALT+DEL”?未签名驱动程序的安装是如何设置的?如何禁止网络用户访问CD-ROM? 答:找到“交互式登录:不需要按CTRL+ALT+DEL”,双击打开,选择“已禁用(S)”后单击“确定”按钮。 找到“设备:未签名驱动程序的安装操作”,在下拉菜单中选择“允许安装但发出警告”,单击“确定”按钮即可。 找到“设备:只有本地登录的用户才能访问CD-ROM”,打开选择“已启用(E)”,点击“确定”按钮即可。 二、文件共享 如何设置共享文件,并通过网上邻居访问共享文件? 设置共享文件: 方法一:“工具--文件夹选项--查看--使用简单文件夹共享”。这样设置后,其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二:“控制面板--管理工具--计算机管理”,在“计算机管理”这个对话框中,依次点击“文件夹共享--共享”,然后在右键中选择“新建共享”即可。 选择你要共享的文件,右击选择“属性”,打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便,你认为哪些设置必需放开?而哪些设置又可能引起安全问题? 我认为对于网络的大部分设置应设为启用可方便浏览网页;对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思?如何让某个应用程序不受防火墙限制? 学习电子商务安全与管理心得体会 随着经济的发展,电子商务也越来越普及,越来越多的公司、个人在网上来交易,电子商务在人们的心中越来越不可缺少。但是,随着网络的普及,各种木马病毒、网上欺骗事件越来越多,阻碍了电子商务的发展。所以,电子商务安全与合理的管理是电子商务发展的保障。 一、安全交易标准的制定 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 1、安全超文本传输协议:依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 2、安全套接层协议:是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。 3、安全交易技术协议:由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。 4、安全电子交易协议:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。 二、目前安全电子交易的手段 1、密码技术 采用密码技术息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种: (1)公共密钥和私用密钥 这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。 第7章电子商务安全技术案例分析 7.4.1 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 7.4.2 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000 电子商务安全管理 (学号:XXX 专业:安全科学与工程 XX大学环境与安全工程学院) 摘要:电子商务的发展是互联网上最大的应用趋势,是国际经贸全新的一种形式,是我国经济生活牛的新手段。文章通过简要分析电子商务安全管理存在的隐患,探讨了防范电子商务安全问题的法律手段、技术手段和监管手段,从而为达到完善电子商务安全管理的目的提供理论依据。 关键词:电子商务;安全管理;技术;原则 Safety Management of E-commerce Abstract:Development of electronic commerce on the Internet is the largest application trends, is a new form of international economic and trade . Through a brief analysis of the existence of e-commerce security management problems, discussed the legal means to prevent e-commerce security issues, technical means and means of supervision, so as to achieve the purpose of improving the safety management of e-commerce to provide a theoretical basis. Key words:electronic commerce; safety management; technology; principles 1.引言 电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。电子商务安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒。信息加密、身份认证、授权等。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。 2.电子商务中存在的安全问题 随着电子商务应用范围的日益扩大,呈现出大规模、跨行业、跨组织的发展趋势。但其发展也正面临着诸多瓶颈性问题,安全问题首当其冲,突出体现在以下几个方面。 1.交易的安全性得不到保障 电子商务的安全问题仍然是影响电子商务发展的主要因素。由于网络技术的迅速发展,电子商务引起大家的广泛注意,在开放的网络上进行商贸活动。但如何保证传输数据的安全成为电子商务能否普及的最重要的因素。交易双方进行交易的内容被第三方窃取.交易一方提供给另一方使用的证明文件被第三方非法使用,从而进行商业欺诈。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据篡改,然后再发向目的地,破坏数据的真实性和完整性。 详解加密技术概念加密方法以及应用 随着网络技术的发展,网络安全也就成为当今网络社会的焦点中的焦点,几乎没有人不在谈论网络上的安全问题,病毒、黑客程序、炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变,无所适从。 但我们必需清楚地认识到,这一切一切的安全问题我们不可一下全部找到解决方案,况且有的是根本无法找到彻底的解决方案,如病毒程序,因为任何反病毒程序都只能在新病毒发现之后才能开发出来,目前还没有哪能一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒,所以我们不能有等网络安全了再上网的念头,因为或许网络不能有这么一日,就象“矛”与“盾”,网络与病毒、黑客永远是一对共存体。 现代的电脑加密技术就是适应了网络安全的需要而应运产生的,它为我们进行一般的电子商务活动提供了安全保障,如在网络中进行文件传输、电子往来和进行合同文本的签署等。其实加密技术也不是什么新生事物,只不过应用在当今电子商务、电脑网络中还是近几年的历史。下面我们就详细介绍一下加密技术的方方面面,希望能为那些对加密技术还一知半解的朋友提供一个详细了解的机会! 一、加密的由来 加密作为保障数据安全的一种方式,它不是现在才有的,它产生的历史相当久远,它是起源于要追溯于公元前2000年(几个世纪了),虽然它不是现在我们所讲的加密技术(甚至不叫加密),但作为一种加密的概念,确实早在几个世纪前就诞生了。当时埃及人是最先使用特别的象形文字作为信息编码的,随着时间推移,巴比伦、美索不达米亚和希腊文明都开始使用一些方法来保护他们的书面信息。 近期加密技术主要应用于军事领域,如美国独立战争、美国战和两次世界大战。最广为人知的编码机器是German Enigma机,在第二次世界大战中德国人利用它创建了加密信息。此后,由于Alan Turing和Ultra计划以及其他人的努力,终于对德国人的密码进行了破解。当初,计算机的研究就是为了破解德国人的密码,人们并没有想到计算机给今天带来的信息革命。随着计算机的发展,运算能力的增强,过去的密码都变得十分简单了,于是人们又不断地研究出了新的数据加密方式,如利用ROSA算法产生的私钥和公钥就是在这个基础上产生的。 二、加密的概念 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。 第一章电子商务案例分析概述 1.1.1电子商务的定义: 电子商务交易当事人或参与人利用计算机技术和网络技术等现代信息技术所进行的各类商务活动,包括货物贸易、服务贸易和知识产权贸易。 一、对电子商务的理解,可从4方面考虑: 1 电子商务是一种采用最先进信息技术的买卖方式。 2 电子商务实质上形成了一个虚拟的市场交换场所。 3 电子商务是“现代信息技术”和“商务”两个子集的交集。 4 建立在企业全面信息化基础上、通过电子手段对企业的生产、销售、库存、 服务以及人才资源等环节实行全方位控制的电子商务才是真正意义上的电子商务。 二、电子商务的特点: 1 虚拟性 2 成本 3 个性化 4 敏捷性 5 全球性 1.1.2电子商务案例分析的重要性: 1 能够深化所学的理论知识,通过案例分析加深对理论知识的深层次理解。 2 能够使所学的知识转变成技能,理论学习与实践应用有机地结合。 3 在逼真模拟训练中做到教学相长。 1.2.1 电子商务案例的定义及作用: 电子商务案例分析的主要特点是:启迪性与实践性。 1.2.2 电子商务教学中使用的案例分为: 1 已决的问题的案例 包括电子商务活动的状况及问题、解决方法和措施、经验或教训的评估。 2 待解决问题案例 包括管理活动、存在问题的情景叙述和相关因素提示。 3 设想问题案例 包括经济活动的背景材料、发展趋势的相关迹象。 EDI主要应用于: 国际贸易和政府采购,用于企业与企业、企业与批发商、批发商与零售商之间的批发业务。 1.3.1 电子商务案例分析的主要内容: 1 电子商务网站背景资料 2 电子商务网站建设与维护方法分析: 网络平台技术分析、网站安全技术分析、网站维护方法分析。 3 电子商务网站经营特色分析: 内容设计分析、营销方法分析、支付方式分析、物流配送方式分析。 4 电子商务效益分析(全国统考考过多项选择题第21题) 电子商务案例分析的定义: 根据一定的分析目的,采用一种或几种分析方法,按照一定的程序,对通过调查并经过整理的资料进行分组、 汇总、检验和分析等,得到所研究事物或现象本质及规律性,进而指导实践的过程。 1.3.2 电子商务案例综合分析方法分为: 1 科学的逻辑思维方法 分为:形式逻辑思维方法和辩证逻辑思维方法 2 与案例研究有关的各专门学科的方法 食品电商安全管理 制度 食品安全管理规定 第一章总则 第一条为加强电商事业部(以下简称事业部)食品安全管理,保障店铺食品服务安全,根据国家、地方相关法律法规及其它要求制定本规定。 第二条本规定所指食品/产品是指事业部经过电商平台或线下销售渠道提供的各种供人食用或者饮用的成品和原料。 第三条食品安全是指食品无毒、无害,符合应当有的营养要求,对人体健康不造成任何急性、亚急性或者慢性危害。 第四条本规定适用于经过电商平台或线下销售渠道提供的各种供人食用或者饮用的成品和原料全过程的食品安全管理。 第二章机构及职责 第五条成立由公司分管领导、事业部负责人、公司相关职能部门及项目部组成的事业部食品安全领导小组,负责食品安全管理工作中重大事项的审议与决策。 第六条食品安全领导小组办公室设在分管领导办公室,承担领导小组的日常管理工作,并对食品安全工作归口管理,主要职责: (一)贯彻执行国家和地方有关食品安全的法律法规、规章和政策; (二)负责事业部食品安全工作计划和规章制度的制定,并组织实施; (三)负责食品采购供货方食品安全资质的考察、审核; (四)负责食品安全督察与管理,对事业部食品安全工作进行监督检查,对存在的食品安全问题提出整改与考核意见; (五)负责组织食品安全培训工作; (六)负责组织重大食品安全事故应急预案的编制,协调重大食品安全事故的应急救援和调查处理工作。 (七)负责组织召开食品安全领导小组工作会议,研究解决食品安全生产过程中存在的问题。 第七条产品部是食品采购、技术、品控及质量管理部门,负责食品采购计划的提出,负责公司电商所需经营产品和部分产品包装、赠品的渠道建设、采购及验收组织及食品库房管理;认真执行食品安全管理制度及食品加工技术规程,细化内部食品安全管理制度,负责从业人员食品安全培训、健康体检、食品安全风险辨识与关键控制点分析与控制以及应急预案的培训与演练,负责各项食品安全有关记录、档案的建立与保管。 第八条运营部是电商产品服务提供单位,负责产品销售及顾客回馈反馈,第一时间处理客户纠纷,并为制定更合理的产品方案提供决策依据。 第三章食品安全综合管理 第一节从业人员管理 第九条食品安全管理人员应具备以下基本要求:(一)具备2年以上电商或其它行业食品安全工作经历的管理人员; (二)身体健康并持有有效健康证明; (三)持有有效培训合格证明; 数据库加密技术及其应用探讨 摘要:随着信息水平的不断提高,数据库系统所应用的范围也越来越广泛,但是所涉及的安全性问题却日益突出。因此,对数据库加密技术进行研究拥有极大的实际意义。该文首先探讨数据库加密技术,然后探讨其具体的应用,希望能以此来保证信息系统安全运行。 关键词:数据库;加密;应用 中图分类号:TP393 文献标识码:A 文章编号: 1009-3044(2015)05-0015-02 在当前的信息管理系统中包含国家政策、经济等安全级别非常高的信息,也包含一般企业的加密信息,而数据库中几乎保存了信息管理系统之中的所有信息,一旦数据库之中的数据被窃取或者是篡改,会直接影响信息系统安全性。所以,做好数据库加密,才能确保信息管理系统本身的安全性。 1 数据库加密技术中的关键问题 1.1 加密执行层次 加密数据库数据主要是包含了操作系统层、DBMS内核层与外层这三种层次。就DBMS而言,其内核与外层加密见下图1、图2所示。 1)在OS层 在OS层进行加密和解密处理,无法正确辨认数据库元素以及各个元素之间的相互关系,因此也无法产生合理密钥。在OS层中,数据库文件要么不加密,要么就会整体性加密,无法合理执行加密、解密处理。特别是大型数据库,在数据库加密与解密处理上,很难的到保障[1]。 2)DBMS内核层的加密与解密 在内核层加密与解密中,包含下述特点: 执行时间:需要在存入数据库之前或者是在取出数据库之时,也就是在物理数据进行存取之前;执行主体:通过DBMS所提供的存储过程函数执行或者是由用户定制。 过程:在数据存储中,调用加密存储过程,触发器就可以实现数据的加密处理,之后,再将密文数据存入到相应的数据库之中。在数据读取中,利用相应的存储过程,触发器就可以调用解密数据,之后将结果读出。 算法:一般是由DBMS系统提供。大多数不提供自己算法的添加接口,所以,相对而言,在选择算法会受到限制。 在实现内核层加密中,需要数据库管理系统本身操作的支持,这一种加密需要在执行物理存取之前就要做好加密与解密处理。其优点在于拥有极强的加密功能,并且DBMS不会对其产生影响,能够实现数据库管理系统与加密功能之间的相互衔接。考虑到同DBMS系统之间的紧密连接,就可以确保粒度加密本身的灵活性,再配合DBMS的授权与访问两电子商务安全与管理
信息加密技术
电子支付安全问题分析
电子商务安全技术研究
数字加密技术及其在日常中的应用
电子商务支付与安全课程标准
《电子商务安全与支付》考纲、试题
中国电子商务发展现状分析
电子商务安全与管理实验报告
学习电子商务安全与管理心得体会
电子商务安全技术案例分析
电子商务的安全管理
详解加密技术概念加密方法以及应用
电子商务案例分析教案(DOC37页)
食品电商安全管理制度
数据库加密技术及其应用探讨
相关主题
文本预览