什么是公开密钥,对称密钥及各自的特点,主要运用的地方,是怎么使用的.
非对称密码体制的特点是加密密钥和解密密钥不同,但存在着对应关系,即用某个加密秘钥加密的信息必须用其所对应的解密密钥才能解开,但在计算机上不能由加密密钥退出解密密钥。把这样的一对密钥称为公有密钥和私有密钥,企业需要自己保存的密钥称为私有密钥,对外公布的密钥称为共开密钥。
对称加密方法的特点是无论加密还是解密都使用同一把密钥。比较著名的对称加密算法就是DES,其分组长度为64位,实际的密钥长度为56位,还有8位校验码(16次加密)。.对称密钥优点是速度快,效率高。缺点是保存和管理密钥是一大难题;需要一条安全的途径传送密钥;无法鉴别发送方和接收方的身份。
非对称加密体制的特点(不能提供无条件的安全性)优点: 1、可以支持众多的安全服务(如保密性、完整性、起源认证、不可抵赖性和数字签名等)2、简化了密钥发布和管理的难度3、非常适合于再分布系统下使用
缺点:1、与对称密码算法相比,非对称(即公有密钥)密码算法相对加解密速度较慢,他们可能要比同等强度的对称密码算法慢10到100倍。2、要想让非对称密钥算法相同的安全强度,就必须使用更长的密钥。3、非对称加密会导致得到的密文变长。
数字时间戳流程,打在什么上145.
数字时间戳是一个经加密后形成的凭证文档,它包括三部分:需要加时间戳的文件的摘要,DTS(数字时间戳服务)收到文件的日期和时间,DTS的数字签名。能提供电子文件发表时间的安全保护。
数字时间戳产生流程:用户首先将需要加时间戳的文件用哈希编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。hash函数,单项hash函数的安全特性,怎么保证安全69应用场合72.
Hash算法是把任意长度的的输入数据经过算法压缩,输出一个尺寸小了很多的固定长度的数据,即哈希值。哈希值也称为输入数据的数字指纹或消息摘要等。
单项哈希函数基本特征:1、单项哈希函数能够处理任意长度的明文(至少是在实际应用中可能碰到的长度的明文),其生成的消息摘要数据长度具有固定的大小,而且,对同一个消息反复执行该函数总能得到相同的信息摘要。2、单项哈希函数生成的信息摘要是不可预见的,消息摘要看起来和原始的数据没有任何的关系。而且,原始数据的任何微小变化都会对生成的信息摘要产生很大的影响。3、具有不可逆性,即通过生成的报文摘要得到原始数据的任何信息在计算机上是完全不可行的。
通过哈希值来“代表”信息本身,保证信息安全。
典型哈希函数(MD5、SHA、)
哈希函数的应用:文件效验、数字签名、鉴权协议
set协议怎样保障账户信息安全185.
Set协议(安全电子交易规范)主要目的是解决信用卡电子付款的安全保障性问题。
Set协议的加密技术:密钥加密系统、公钥加密系统、数字信封、数字签名、信息摘要、双重签名。1、通过加密保证信息机密性2、应用数字签名技术进行鉴别3、使用X.509v3数字证书来提供信任4、应用散列函数保证数据完整性。Set协议的加密技术:密钥加密系统、公钥加密系统、数字信封、数字签名、信息摘要、双重签名。
双联签名的基本原理及其使用过程ppt.
1、持卡人将发给商家的信息m1和发给第三方的信息m2分别生成报文摘要md1和md2
2、持卡人将md1和md2合在一起生成md,并签名
3、将m1,md2和md发给商家,m2,md1和md发给第三方
接收者根据接收到的报文生成报文摘要,再与收到的报文摘要合在一起,比较结合后的报文摘要和收到的md,确定持卡人身份和信息是否被修改。解决了三方参加电子贸易过程中安全通信的问题。
双重签名技术:在一项安全电子商务交易中,持卡人的定购信息和支付指令是相互对应的。商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货;而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的,SET协议采用了双重签
名技术来保证顾客的隐私不被侵犯。
数据完整性的保障,接收方怎么比较,怎么实现及定义11、143,
数据完整性就是确认没有修改,即无论是传输还是存储过程中的数据经过检查没有被修改过。采用奇偶校验或循环用余编码(crc)的机制也可以保证一定程度上的数据完整性,但主要用于检测偶发位错误,无法防范为了达到某种目的而故意修改数据内容的行为。通常希望提供数据完整性的实体和需要验证数据完整性的实体,需要协商合适的算法和密钥
ssl及set协议的主要内容及二者之间的区别
Set协议(安全电子交易规范)主要目的是解决信用卡电子付款的安全保障性问题。SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。
ssl协议(安全套接层)主要用于提高应用程序之间数据的安全系数。提供的服务归纳为:用户和服务器的合法性认证,加密数据以隐藏被传送的数据,保护数据的完整性
区别:SET和SSL两种协议都能应用于电子商务中都通过认证进行身份的识别,都通过对传输数据的加密实现保密性。
SSL位于传输层与应用层之间,能很好的封装应用层数据,对用户是透明的。SSL只需要一次“握手”过程即建立一条安全通信的通道,保证数据传输的安全。SSL并不是专为支持电子商务而设计,只支持双方认证,商家完全掌握用户的帐号信息。
SET协议专为电子商务系统设计,位于应用层,认证体系完善,能实现多方认证。用户账户信息对商家保密。SET协议复杂,要用到多个密钥以及多次加解密。SET中还有发卡行、CA、支付网关等其它参与者。ssl工作流程(简单)182.
分为单向认证和双向认证过程
1:客户端的浏览器向服务器传送客户端SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通信所需要的各类信息。2:服务器向客户端传送SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送本身的证书。3:客户利用服务器传过来的信息验证服务器的合法性4:用户端随机产生一个用于后面通信的“对称密码”,然后用服务器的公钥对其加密,然后将加密后的“预主密码”传给服务器。
5:如果服务器请求客户的身份认证,用户可以建立一个随机数然后对其进行数据签名6:如果服务器请求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性7:服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于SSL 协议的安全数据通信的加解密通信。8:客户端向服务器端发出信息,指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥9:服务器向客户端发出信息,指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥
10:SSL 的握手部分结束,SSL 安全通道的数据通信开始,客户和服务器开始使用相同的对称密钥进行数据通信,同时进行通信完整性的检验。
ssl是怎么抵御攻击的(分析)178、184
SSL协议采用加密技术保障信息安全,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用各种加密技术,以保证其机密性和数据完整性,并且经数字证书鉴别,防止非法用户破译。采用密码哈希函数和机密共享的方法,提供信息完整性的服务,建立客户机遇服务器之间的安全通道。
安全套接字层(SSL)协议,是对计算机之间整个会话进行加密的协议,它能提供Internet上通信的保密性。该协议允许客户∕服务器应用程序在通信时,能够阻止窃听、报文伪造等安全攻击。
重放攻击 :光靠使用报文鉴别码(MAC)不能防止对方重复发送过时的信息包。SSL通过在生成MAC的数据中加入隐藏的序列号,来防止重放攻击。这种机制也可以防止被耽搁的,被重新排序的,或者是被删除数据的干扰。序列号的长度是64bit,因此打包不会有问题。另外,序列号由每个连接方向分别维护,而且在每一次新的密钥交换时进行更新,所以不会有明显的弱点。
实体认证,数据来源认证79.
1、实体认证:身份由参与通信的一方提交的,用来认证实体本身的身份,决定是否进行访问及相应的授权;保障系统使用与管理的安全性,认证信息和具体实体对应,不会和实体要进行的活动联系起来。
2、数据来源认证:认证数据项提交者的实体身份,确定实体与数据项间的静态关系;保证数据的完整性,保障实体的身份是特点数据项的来源。
CA全称81,CA的格式标准82,层次结构83.
CA:认证授权中心,是电子商务和网上银行等应用中所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构,负责为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。数字证书保障信息的安全性、真实性、可靠性、完整性和不可抵赖性
CA证书的格式遵循X.509标准
层次结构,它由跟CA、品牌CA、地方CA及持卡人CA、商家CA、支付网关CA等不同层次构成,自上而下的信任链,下级CA信任上级CA,下级CA由上级CA颁发证书并认证。
CA证书的产生流程141.
交易双方向CA提交自己的公钥和其他代表自己身份的信息;CA验证双方身份,颁发一个用CA私钥加密的数字证书;
交易双方用CA的公钥验证CA,验证了CA就信任其签发了数字证书的每一个用户;交易双方从信任的CA
处获得了数字证书,通过交换数字证书获取对方的公钥;当用户私钥/公钥到期或证书有效期到,CA公布用户证书作废。
动态口令识别(主要了解)86.
动态口令方式:采用动态令牌的硬件,内置电源、密码生成芯片和显示屏,根据当前时间或次数生成当前密码,即“一次一密”,使用不太方便。
指纹识别两个基本原理88.
指纹:手指末端正面皮肤上凹凸不平产生的纹路。总体特征,有可能相同局部特征,不可能完全相同指纹识别技术涉及的四个功能:读取指纹图像、提取特征、保存数据和比对。
什么是拒识率、误识率,及两者的关系89。
拒识率是指将相同的指纹误认为是不同的,而加以拒绝的出错概率,FRR=(拒识的指纹数目/考察的指纹总数目)
误识率是指将不同的指纹误认为是相同的指纹,而加以接受的出错概率,FAR=(错判的指纹数目/考察的指纹总数目
循环测试方法给定一组图像,依次两两组合,提交进行比对,统计总的提交比对的次数及发生错误的次数,并计算出出错的比例,即FRR和FAR。两个指标互为相关的,FRR与FAR成反比关系。
什么是IC卡,IC卡存在的安全问题,与USB KEY的区别103.
IC卡:智能卡,在特定材料制成的塑料卡中嵌入微处理器和存储器等IC芯片的数据卡
安全问题:失或被窃的IC卡,冒充合法用户进入应用系统,获得非法利益;用伪造的或空白卡非法复制数据,进入应用系统;使用系统外的IC卡读写设备,对合法卡上的数据进行修改,改变操作级别等;在IC 卡交易过程中,用正常卡完成身份认证后,中途变换IC卡,从而使卡上存储的数据与系统中不一致;在IC 卡读写操作中,对接口设备与IC卡通信时所作交换的信息流进行截听,修改,甚至插入非法信息,以获取非法利益,或破坏系统。
常用的安全技术有: 身份鉴别和IC卡合法性确认,指纹鉴别技术,数据加密通讯技术等。总体上,IC卡的安全包括物理安全和逻辑安全。
USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
数字签名的定义112。
数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名。
RSA是基于怎样的一种问题建立它的加密原理115.
RSA是世界上第一个最为成功的公有密钥密码体制,基于“求两个素数的乘积是很容易计算,但要分解两
个大素数的乘积却是非常困难的,它属于NP-完全类,是一种幂模运算的加密体制”
什么是盲签名,盲签名的过程119.
盲签名是一种特殊的数字签名,他与通常的数字签名的不同之处在于,签名者并不知道它所要签发文件的具体内容。(不可伪造性、不可抵赖性、盲性、不可跟踪性)
过程:消息→用户盲交换→签名者生成签名→用户脱盲交换→最后签名
电子现金的三方及他们之间的关系126,1、取款?U 用身份认证协议向B证明身份?U将N份电子现金文件m(内含金额、用户ID及唯一的随机数等信息)用不同的盲因子盲化后交给B?B随机选择一部分(如:N 一1个)文件,向U 索要盲因子,恢复出文件(去盲),审查内容是否符合要求.?如果审查通过,B从未审查的文件中任取一份盲签名,并发给U,从U 的帐户中减去相应金额;否则协议终止?U对收到的签名文件去盲,得到电子现金。
2、支付U 与C交易时,把电子现金交给C
?C验证B的签名,如是伪造的,则拒收;否则进一步检测用户(可选),通过后接受电子现金,提供等价的服务。
3、存款C向B递交电子现金和帐户信息
?B验证签名,若是伪造的,则拒收;否则查询数据库是否有相同的签名(防止重复使用电子现金),若找到则C或U 重用电子现金,拒收;否则接受,在C的帐户中加上相应金额,在数据库中添加签名。
电子投票协议过程,是怎样实现的(简答题)127
使用盲签名的情况下,一个电子选举方案的实施均可按照以下4个基本步骤来完成。
U:投票人;R:注册机构,审核投票人资格;V:投票机构,接受投票
1、注册:U-R:U证明自己的身份,并提交两张内容分别为yes和no的选票,选票分别盲化;
R-U:R确认U的身份合法,并尚未参加投票,若符合条件则将两张选票签名后返回给U,否则拒绝U的请求。
2、投票U:去盲后得到两张合法选票;
U-V:U按照自己的意愿向V提交一张选票,并用V的公钥加密后发送给V;
V-U:V用私钥解密后,验证签名。若签名有效,再查看数据库,选票中的序列号是否有记录。若有则为重复选票,否则,计票,并记录该序列号。
3、计票V统计选票,并公布结果,以及选票对应的序列号。
4、验证投票者验证自己的选票是否被正确统计在选举结果中。
代理签名的分类129(选择题)代理签名分为三大类:完全代理签名、部分代理签名和具有证书的代理签名。
什么是PK,PKI的目标及优势
PKI是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。任何以公钥技术为基础的安全基础设施都是PKI。
PKI的主要目标:通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。
PKI的优势:密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。
由于密码技术的采用,保护机密性是PKI最得天独厚的优点。
由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。
PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。
PKI具有极强的互联能力。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。
PKI证书的格式146
.PKI是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。
一个标准的X.509数字证书包含以下一些内容:
①证书版本号:②证书序列号:③签名算法标示符:④颁发机构名称:这是必须说明的;⑤有效期:证书
有效的时间段,包括生效日期、时间和失效日期、时间⑥证书用户名(包括国家、省市、地区、组织机构、单位部门、通用名还可以包括E-mail地址和个人信息)⑦证书持有者公钥信息:证书持有者的公有密钥值和公有密钥使用的算法标识符–这是必须说明的;⑧颁发者唯一标识符:⑨证书持有者唯一标识符:⑩签名值,证书签发机构对证书上述内容的签名值。
PKI的申请与撤销(了解)149.
申请:在线申请,离线申请。在线申请通过浏览器或其他应用系统,用于普通用户证书。离线申请一般通过人工方式去证书机构受理点办理证书申请手续,用于比较重要的场合,如服务器证书和商家证书。
撤销:用户向特定操作员发一份加密签名邮件,声明自己希望撤销。操作员打开邮件,填写CRL注册表,并且进行数字签名,提交给CA,CA操作员验证注册机构操作员的数字签名,批准用户撤销证书,并且更新CRL,然后CA将不同格式的CRL输出给注册机构,公布到安全服务器上,这样其他人可以通过访问服务器得到CRL。
PKI证书的使用流程(问答)
将客户端发来的数据解密;将解密后的数据分解成原始数据,签名数据和客户证书三部分;用CA根证书验证客户证书的签名完整性;检查客户证书是否有效(当前时间在证书结构中所定义的有效期内);检查客户证书是否作废;验证客户证书结构中的证书用途;客户证书验证原始数据的签名完整性。
PKI的意义
1.通过PKI可以构建一个可管、可控、安全的互联网络;
通过认证机制建立证书服务系统,利用证书绑定每个网络实体的公钥,使网络的每个实体均可识别,从而解决“你是谁”的问题。2.通过PKI可以在互联网中构建一个完整的授权服务体系;构建授权服务系统,利用私钥的唯一性,保证使用者的权限。解决“你能干什么”的授权问题,保障领导的权益。3.通过PKI 可以建设一个普适性好、安全性高的统一平台;可以对物理层、网络层和应用层进行系统的安全结构设计,构建统一的安全域。可以在元素级实现签名和加密等功能,通过XML技术提供跨平台和移植的业务数据,提高平台的普适性、安全性和可移植性。
ipsec运行模式(选择)169.(ipsec隧道模式及ipsec传输模式)
ESP与AH的比较171、172.
ESP同AH一样是提供IP的安全性,但它比AH有更强的安全性。ESP的认证服务是通过使用消息认证码(MAC)来实现,这与AH认证的使用一样通过使用HMAC来达到对数据包的认证和完整性检测。ESP协议可以单独使用也可以与AH结合使用。
ESP 头可以放置在IP 头之后、上层协议头之前(传送层),或者在被封装的IP 头之前(隧道模式)。ESP 包含一个非加密协议头,后面是加密数据。
EDI是做什么的,三个要点191(选择)。
EDI(电子数据交换协议)是一种在公司之间传输订单、发票等作业文件的电子化手段。
包含了三个方面的内容:计算机应用、通信、网络和数据标准化。计算机应用是EDI的条件,通信环境是EDI的应用基础,标准化是EDI的特征。
数字信封(问答)212.
数字信封是用来确保信息安全传输的一种机制。克服了对称密钥体制中的对称密钥分发困难和公有密钥加密中加密时间过长的问题。实现过程如下:a.加密信息:产生一个对称密钥K;用对称密钥加密信息I,得到I~;获得接收方的公约;用接收方的公钥对对称密钥K加密,得到K~(数字信封);发送{K~,I~};b.解密信息:收至{K~,I~};用自己的私钥解密K~,得到原来的对称密钥K;再用K解密I~,得到原来的I。
数字签名(问答)213. a.签名信息:对信息M进行哈希函数处理,生成摘要K;用发送者的私钥加密K来获取数字签名S;发送(M,S);b.验证签名信息:接收(M,S),并且把它们区分开;对接收到的信息M进行哈希函数处理,生成摘要K~;获取发送者的公钥;用公钥解密S,来获取K;比较K和K~,如果两者是一样的,及说明信息在发送过程中没有被篡改,反之则说明信息已被篡改或信息发送方并不是你所期待的发送者。
电子商务支付安全6要素ppt,
机密性、完整性、认证性、不可否认性、不可拒绝性、访问控制性
电子商务环境体系安全: a.法律体系b.信用体系c.隐形体系d.道德体系e.应急响应体系f.风险控制体系
什么是诚实、诚信、尊信用42.道德的作用43.什么叫做应急响应44.
诚实就是以本真面目为人处世,以真心待人接物,不做假、不虚伪
信用是一种德行,就是要遵守自己做出的承诺
尊重:电子商务活动中,尊重具体化为对于人(包括法人)的特定权力的尊重,如对电子商务主体的人格权、隐私权、知识产权的尊重等
公正:即不偏私,不以不平等的尺度分别要求自己与他人。电子商务中公正表现为参与交易活动的双方在权利和义务上是对等的。
道德的作用机制两个方面:1、社会的道德舆论;2、主体的道德良心。
应急响应:“Incident Response”或“Emergengcy Response”,通常是指一个组织为了应对各种意外事件的发生所做的准备及在事件发生后所采取的措施。
应急响应活动的内容:1.“未雨绸缪”:事前做好准备;2.“亡羊补牢”:事后采取措施。
应急响应活动的分类1、公益性应急响应活动:政府或公益性组织资助的,对社会提供的公益性的服务
2、内部应急响应活动:组织内部的应急响应活动
3、商业的应急响应活动:专门的商业机构开展的应急服务,提供外包应急服务
电子商务企业风险管理程序50.。(风险识别、风险分析、风险应对、风险监控)
电子商务的定义:电子商务(Electronic Commerce)是各种具有商业活动能力和需求的实体为了跨越时空限制,提高商务活动效率,而采用计算机网络和各种数字化传媒技术等电子方式实现商品交易和服务交易的一种贸易形式。电商道德问题:商业欺诈、商业诽谤、网上隐私、商业信息的安全、商业信用问题
电子商务的安全涉及两个方面:
●Internet的环境安全(Internet安全威胁:1、黑客攻击:破坏性攻击与非破坏性攻击,主要手段如
下:木马程序攻击、信息炸弹攻击、拒绝服务攻击、网络监听攻击、密码破解攻击;2、计算机病毒的攻击:具有传染性的一段程序,破坏计算机系统的正常运行;3、安全产品使用不当:安全产品的配置具有一定的专业性;4、缺乏网络安全管理制度)
●商务交易流程安全(商务交易安全威胁:1、在线交易主体的市场准入机制;2、信用风险;3、电
子合同风险;4、电子支付风险;5、虚拟财产保护风险)
电子商务交易安全要求:①交易数据的传输安全:交易数据和信息的保密要求、交易数据和信息的完整性要求、交易各方身份的可认证性要求、交易本身的不可抵赖性要求、交易过程的有效性、访问控制性。②电子商务的支付安全
电子商务安全主要体系在四个方面:
1.环境体系安全;
2.技术安全;
3.管理安全;
4.应用安全;
●环境体系安全:(1)法律体系:安全的电子商务必须依靠法律手段、行政手段和技术手段的完美结合
来保障各方的利益。(2)信用体系商业信用的缺乏已经严重制约着中国电子商务的发展。(3)隐私体系网络隐私数据的安全保障,成为电子商务发展首要解决的问题。(4)道德体系传统商务中的道德问题在电子商务中变得更为严重。(5)应急响应体系建立电子商务赖以生存的网络和计算机系统的应急响应机制。(6)风险控制体系
●技术安全:(1)密码学技术:对称密码体制和非对称密码体制(2)认证机制;数学方式、物理方式、
生物方式;(3)数字签名:哈希函数,不同长度的数据生成定长的摘要,不同文件的摘要不同。(4)PKI:“公钥基础设施”,能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。(5)通信和交易协议:IPSec协议、SSL协议、SET协议、EDI协议; RADIUS协议:AAA (Authentication认证,Authorization授权, Accounting 计费)
●应用安全:网络银行安全、网络支付安全、网络营销安全、网络购物安全、网络证券安全、互联网服
务安全、电子邮件安全。管理安全
电子商务企业风险管理程序:风险识别—风险分析—风险应对—风险监控
1、风险识别:收集整理可能的风险,形成风险列表
2、风险分析:确定风险对企业的影响,进行量化估计;风险影响指标、风险概率、风险值
3、风险应对:制定风险应对策略,编制风险应对计划;可规避性、可转移性、可缓解性、可接受性
国电子商务发展中存在的主要问题及其对策 下面分析和归纳我国电子商务发展中存在的主要问题,给出解决问题的对策和建议。 1安全问题——电子商务高速发展的重要保证 长期以来,基于开放性网络的电子商务,由于电子线路的可窃听性、电子信息的可复制性以及互联网软、硬件存在的一些缺陷,致使黑客攻击、病毒侵害、网上欺骗、网上盗窃等非法现象时有发生,加之人们的安全防范意识还比较淡薄,电子商务的安全性(包括信息的保密性,完整性,有效性,不可抵赖性,交易身份的真实性)受到质疑,大大降低了大众对电子商务的信赖程度,阻碍了电子商务的快速发展。 对策:电子商务的安全问题包括(在线动态的)交易活动和(非在线静态的)商务信息的安全问题。为提高两方面的安全可靠性,信息技术研究机构和应用开发商应本着利国利民、勇于创新的原则,研究和创新提高电子商务安全性的新技术和新措施。 2技术问题——电子商务能否持续发展问题 信息技术的多样化快速发展,致使电子商务平台的开发技术五花八门,造成电子商务平台彼此不能协调一致,甚至商务信息无法交流和传输。 对策:为了维护国家的利益和经济安全,在电子商务相关技术方面一定要注重自主知识产权技术的开发和研究,各级研究机构和应用开发商应加大科研投入、研发拥有自主知识产权的软件开发技术,要
尽快打破在软件技术上对国外的依赖;国家和地方政府要加大对电子商务新技术开发成果的奖励和推广力度;要积极与外国政府和组织合作,建立全球电子商务系统。 3经济与费用问题——电子商务的效益问题 电子商务的重要内容和标志是资金支付的电子化,即资金流在网络上的实现。一是网上支付的效率不高,确认支付的时间还比较长;二是网上支付收取的费用过高。高昂的电子商务平台的运行费用和居高不下的支付费用,严重影响了电子商务的快速发展。 对策:电子商务系统运营商应进一步加强与企业、社会投资机构的联合,走合作开发或合资经营的道路,降低运营成本和交易成本。此外,应适当调低电子商务的网上支付费用,刺激和鼓励电子商务的发展。 4电信体制问题——电子商务发展的环境保障问题 长期垄断的电信体制、条块分割体制,致使我国的几大主干网络不能有机地协调和统一,互联网的效用没有得到最大限度的发挥,影响了电子商务的大发展。 对策:首先要真正打破电信业的行业垄断局面、克服区域条块分割现象,尽快实现真正意义上的多网合一、协作发展,而不是目前的形为“转制”,而实为你死我活的竞争局面。 5观念问题——电子商务的人文保障问题 长期的基于“现实世界”的传统商务模式在社会大众的商务行为意识中根深蒂固,人们对电子商务这种在“虚拟网络”环境下的电
浅谈电子商务网站的安全及应对措施 [摘要]近年来,由于电子商务网站提供在线销售、在线支付等功能因而它对网站的安全性要求非常高。基于此,本文探讨了网站安全存在的一些隐患,以及对影响网站安全方面的原因进行了简单的阐述,并论述了在构建电子商务网站时应采取的安全措施。 [关键词]电子商务,网站安全,防范技术 引言 随着电子商务网站影响力的不断扩大和人们需求的不断提升,商品的网络交易日益旺盛。电子商务网站发展成为企业展现自我、宣传产品的重要窗口,也成为商家与客户联系的网络平台。同时企业依靠电子商务网站提供在线销售、在线支付等功能。因此电子商务网站的安全性对企业及客户显得非常重要,尤其是实时交易网站其安全性更加重要。那么如何建设一个安全的电子商务网站,防范网络病毒和木马,保护商家、客户信息是企业面临的首要问题。 一、电子商务网站的安全隐患 电子商务网站主要存在物理和软件两个方面的安全隐患。 物理方面的安全隐患主要是设备的硬件损坏,如:硬件设备的功能失常、电源故障、自然灾害、受到外力的攻击造成硬件设备的损坏。 软件方面的安全隐患可分为两种:一种是服务器内部存在的隐患;另一种是在信息传输过程中存在的安全隐患。 服务器内部存在的安全隐患,主要在于操作系统的漏洞和企业内部管理的漏洞。操作系统的安全隐患主要表现在:一是操作系统本身的缺陷包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题,一般用户都采用系统的默认设置,这个是比较危险的。三是病毒和黑客对操作系统的威胁。四是操作系统中运行的大量应用软件存在安全问题。电子商务企业内部管理疏漏、管理不严也会使网站存在安全隐患,如系统管理员设置的口令过短或过于简单,导致很容易破解;员工管理不严,非系统管理人员随意进入机房;防盗和屏蔽工作不到位等等。 信息传输过程中的安全隐患主要表现在:一是互联网上传递的大多数信息没有被加密因而传输中的信息容易被窃取和篡改,而且目前网络上提供免费实现这些功能的软件。二是TCP/IP协议缺乏安全策略。三是网站系统的访问控制配置过于复杂,可能出现配置错误或配置不全面有漏洞。四是网络应用服务本身存在缺陷。 二、影响电子商务网站安全的主要因素 (一)在网站设计上安全理念不到位 大多数网站设计,一般只考虑实现用户所需求的功能,界面符合用户的要求,很少考虑到安全问题。由于大多数网站设计开发者、网站维护人员对网站攻防技术并不了解或了解的较少,一般只侧重于实现用户所需求的功能,写出的代码他们自认为比较好因为他们对网站攻防技术了解不多因而很难发现漏洞,即使开发出的网站存在安全漏洞,用户使用时也察觉不到。而这些漏洞就成为黑客进入系统的机会。 (二)网站缺乏有效的安全防护措施 只有少数的网站会投入资金到网站安全上,如购置防篡改系统等。大多数的网站为了节
电子商务系统安全需求分析 一、电子商务面临各种攻击和风险 由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险: 1.信息的截获和窃取 这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。 2.信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。 3.拒绝服务 拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。 4.系统资源失窃问题 在网络系统环境中,系统资源失窃是常见的安全威胁。5.信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。6.交易的抵赖 交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。 7.病毒攻击 随着互联网的出现,为病毒的传播提供了最好的媒介,不少新病毒直接利用网络作为自己的传播途径,动辄造成数百亿美元的经济损失。 8.黑客问题 现如今,黑客已经大众化,不像过去那样非计算机高手不能成为黑客。 二、明确电子商务安全策略 由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。 下面就各层的主要防御内容从外层到里层进行简要的说明:1.物理安全
对电子商务安全现状的看法 目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题,本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点: (一)木马病毒爆炸性增长,变种数量的快速增加 据统计,仅2009年上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。 (二)网络病毒传播方式的变化 过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。 (三)网络病毒给电子商务造成的损失继续增加
电子商务安全问题及策略(一) 摘要]本文从电子商务中的各种安全隐患及电子商务安全需求对电子商务的各种安全技术进行分析,以探讨一种有效、安全的实现电子商务的策略。 关键词]电子商务、安全隐患、安全技术、策略 一、安全问题是实施电子商务的关键 传统的交易是面对面的,比较容易保证建立交易双方的信任关系和交易过程的安全性。而电子商务活动中的交易行为是通过网络进行的,买卖双方互不见面,因而缺乏传统交易中的信任感和安全感。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄露,从而导致巨大的利益损失。根据中国互联网络信息中心(CNNIC)发布的“中国互联网络发展状况统计报告”,在电子商务方面,52.26%的用户最关心的是交易的安全可靠性。由此可见,电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。 二、电子商务中的安全隐患和安全需求 1、电子商务中的安全隐患有:(1)篡改。电子的交易信息在网络上传输的过程中,可能被他人非法的修改,删除或重放(指只能使用一次的信息被多次使用),从而使信息失去了真实性和完整性。(2)信息破坏。包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。(3)身份识别。如果不进行身份识别.第三方就有可能假冒交易一方的身份,以破坏交易.败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别,交易的一方可不为自己的行为负责任,进行否认,相互欺诈。(4)信息泄密。主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。 2、电子商务的安全性需求:电子商务的安全性需求可以分为两个方面,一方面是对计算机及网络系统安全性的要求,表现为对系统硬件和软件运行安全性和可靠性的要求、系统抵御非法用户入侵的要求等;另一方面是对电子商务信息安全的要求。(1)信息的保密性:指信息在存储、传输及处理过程中不被他人窃取。(2)信息的完整性:包括信息在存储中不被篡改和破坏,以及在传输过程中收到的信息和原发送信息的一致性。(3)信息的不可否认性:指信息的发送方不可否认已经发送的信息.接收方也不可否认已经收到的信息。(4)交易者身份的真实性:指交易双方是确实存在的,不是假冒的。(5)系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性,是否会因为计算机故障或意外原因造成信息错误、失效或丢失。 三、电子商务的安全技术 根据电子商务的这些安全性需求通常采用的安全技术主要有:密钥加密技术、信息摘要技术、数字签名、数字证书及CA认证。 1、密钥加密技术:密码加密技术有对称密钥加密技术和非对称密钥加密技术。 (1)对称密钥加密技术:对称密钥加密技术使用DES(DataEn-cryptionStandard)算法,要求加密解密双方拥有相同的密钥,密钥的长度一般为64位或56位。这种加密方法可以解决信息的保密问题,但又带来了一些新的问题:一是在首次通信前,双方必须通过网络以外的途径传递统一的密钥:二是当通信对象增多时,需要相应数量的密钥,这就使密钥管理和使用的难度增大;三是对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄露都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。 (2)非对称密钥加密技术:为了克服对称密钥加密技术存在的密钥管理和分发上的问题,1976年Diffie和Hellman以及Merkle分别提出了公开密钥密码体制的思想:要求密钥成对出现,一个为加密密钥,另一个为解密密钥,且不可能从其中一个推导出另一个。根据这种思想自
电子商务安全风险及对策浅析
————————————————————————————————作者:————————————————————————————————日期:
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
《电子商务安全与支付》考纲、试题 、答案 一、考试说明 《电子商务安全与支付》是电子商务的分支学科,它主要针对翻新的网络破坏和犯罪形式,新的安全技术不断出现和被采用,有力地保障了电子商务的正常开展,本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题,同时涉及交易系统安全管理,介绍电子商务安全的相关法律和电子商务安全解决方案。 本课程闭卷考试,满分100分,考试时间90 分钟。考试试题题型及答题技巧如下: 一、单项选择题(每题2分,共20 分) 二、多选选择题(每题3分,共15 分) 三、名词解释题(每题 5 分,共20 分) 四、简答题(每题9分,共27 分) 答题技巧:能够完整例举出所有答题点,不需要全部展开阐述,适当展开一些,但一定要条理清晰,字迹工整,结构明朗。 五、分析题(每题9 分,共18分) 答题技巧:对所考查的问题进行比较详尽的分析,把握大的方向的同时要尽可能的展开叙述,对问题进行分析,回答问题要全面,同时注意书写流畅、条理清晰。 二、复习重点内容 第1xx 电子商务安全概述 1. 网络攻击的分类(重点掌握):WEB欺骗、网络协议攻击、IP欺骗、远程攻击
2. 电子商务的安全性需求(了解):有效性、不可抵赖性、严密性 3?因特网的主要安全协议(了解):SSL协议、S-HTTP协议、SET协议 4. 数字签名技术、防火墙技术(了解) 第2xx 信息系统安全防范技术、 1 .电子商务的安全性需求(重点掌握):有效性、不可抵赖性、严密性 2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒(了解) 3. 计算机病毒的传播途径(重点掌握):(1)因特网传播:① 通过电子邮件传播,② 通过浏览网页和下载软件传播,③ 通过及时通讯软件传播;(2)局域网传播;(3)通过不可转移的计算机硬件设备传播;(4)通过移动存储设备传播;(5)无线设备传播。 4. 特洛伊木马种类(重点掌握):破坏型特洛伊木马、破坏型特洛伊木马、 远程访问型特洛伊木马、常规的计算机病毒的防范措施(重点掌握):(1)建立良好的安全习惯;(2)关闭或删除系统中不键盘记录型特洛伊木马 5. 需要的服务;(3)经常升级操作系统的安全补丁;(4)使用复杂的密码;(5)迅速隔离受感染的计算机;(6) 安徽专业的防病毒软件进行全面监控;(7)及时安装防火墙 6.防火墙的类型(重点掌握):包过滤防火强、代理服务器防火墙 7?防火墙的安全业务(重点掌握):用户认证、域名服务、邮件处理、IP安全保护第 3 章虚拟专用网络技术 1. VPN网络安全技术包括(了解):隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。 2?隧道协议的构成(了解):PPTP协议、L2TP IPSec/SSTP 第4xx 数据备份与灾难恢复技术
21、电子商务安全面临的威胁 其中你问的问题是第二条,安全威胁问题。其实,就目前的各大银行的网上银行和电子支付而言,安全性已经很高,尤其是使用了口令卡、U盾、暗语等技术之后,安全性已经大大提高,基本可以杜绝安全隐患。只是,当前网络用户网络水平不高,对电子支付、电子商务心存疑虑,惧怕资金账户被人窃取或者担心购买的物品的质量,而不敢大胆网络消费。 目前主要的安全威胁是各类木马软件,用来记录密码、帐号等信息。对于网络安全意识不高、计算机水平不高的普通网民来说,无法彻底杜绝木马入侵,这是一个威胁。不过前面我说了,使用电子银行提供的口令卡(工商银行)、U盾(工行、建行),安全问题几乎100%保障。而且成本也极低(口令卡免费领取,U 盾60元上下)。 要克服这些问题,改变消费观念,加强网络安全普及最关键。健全物流系统,配货送货渠道解决,然后完善法规制度,保证有法可依。 电子商务的安全问题及对策研究 2009-04-09 14:53:09| 分类:默认分类| 标签:|字号大中小订阅 摘要:电子商务的开展面临着计算机网络的安全威胁和传统的商务活动在Internet上进行时由于Internet本身的隐患带来的安全威胁,这两个方面的安全威胁导致电子商务一系列的安全问题。通过利用电子商务安全技术,制定电子商务安全管理制度、加强诚信教育、建立社会诚信体系这三个方面的对策,我们可以营造一个能保证信息保密、信息完整、通信不可抵赖、不可否认、确认交易各方身份、信息有效、 个人隐私权得到保护的安全的电子商务环境。 关键词:电子商务、安全问题、安全技术、计算机网络 随着互联网的发展,电子商务成为了目前最时髦最吸引力的事物,同时由于电子商务具有传统商务不具有的优势,电子商务被越来越多的企业利用,电子商务也成为促进国家经济发展的一种重要力量。在电子商务的发展过程,很多问题也逐渐暴露出来,成为制约电子商务发展的重要原因,其中安全问题成为了众多问题中最重要最核心的问题。为了促进电子商务更好的发展,更好的为国民经济的发展服务,解决电 子商务中的安全问题就成了关键性的问题。 一、电子商务存在的安全问题
电子商务安全性分析与解决办法 ——从用户安全意识角度出发[摘要]如今,解决电子商务问题的方法主要是技术措施。然而,调查表明用户安全意识匮乏,有必要向用户宣传普及各种应用场景下的信息安全知识。 [关键词]电子商务智能手机用户安全意识 1引言 如今,电子商务蓬勃发展,中国电子商务研究中心数据显示,截至2012年底,中国电子商务市场交易规模达7.85万亿,同比增长30.83%,按2012年的数据计算,电子商务占GDP的比重已经高达15%,成为经济发展新引擎。[1]电子商务搭建的交易平台,使最普通的一家街边小店都能接入互联网提供服务,使最平凡的每一个顾客都能成为电子支付产品的用户。但是,这也意味着买卖双方的电子商务安全意识不高。 2018年6月,在重庆沙坪坝的一家小吃店内,一名顾客用微信支付截屏吃了一个月的霸王餐。直到老板的女儿觉得不对劲,进行了查账,才揪出了这名顾客。最终在民警的监督下,顾客赔偿了店家300元。[2] 此外,在移动互联网时代,智能手机已经成为了电子商务最重要的载体。据统计,截至2016 年,手机网上支付打到了4.69亿人,年增长率为31,2%[3]然而,在2017年的《2017年中国Android手机隐私安全报告》中显示,APP 越界获取的各种隐私权限问题仍然非常严重。[4]此外,中国互联网络信息中心调查发现,近一半手机用户对于公共WiFi、二维码等手机安全风险缺乏基本的安全防范意识,有必要向手机用户宣传普及各种应用场景下的信息安全知识。[5] 2现有的技术措施[6] 交易安全技术是针对电子商务的安全问题而设计的一套安全技术,目的是在计算机网络安全的基础上确保电子商务过程的顺利进行。先采用采用的交易安全技术主要有加密技术、安全认证技术、交易协议技术。 加密技术是电子商务最基本的安全措施。现有 (1)对称密钥加密:对称加密采用相同的加密算法, 并只交换共享的专用密钥(加密和解密都使用相同的密钥)。 (2)非对称密钥加密:不同于对称加密, 非对称加密的密钥被分解为公开密钥和私有密钥。公开密钥和私有密钥构成一个密钥对, 密钥对生成后,公开密钥以非保密方式对外公开, 私有密钥则保存在密钥发布者手里。 安全认证技术则有 (1)报文摘要:报文摘要又称消息摘要, 是通过使用单向哈希(Hash)函数将需要加密的明文“摘要”成一个固定长度(如:128bit)的密文。不同的明文加密成不同的密文, 对明文的微小改动都会造成消息摘要的完全不同;相同的明文其消息摘要必然一样。这样,报文摘要便可成为验证明文是否是真实可靠。 (2)数字签名:把散列函数和公开密钥算法结合起来, 发送方从报文文本中生成一个散列值, 并用自己的私有密钥对这个散列值进行加密, 形成发送方的数字签名, 然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值, 接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同, 那么接收方就能确认该数字签名是发送方的。 (3)数字证书:数字证书用电子手段来标识一个用户的身份。电子商务涉及加解密问题, 必然要用到密钥。密钥的管理对策是采用数字证书。数字证书与传送密钥和签名密钥对的产生相对应。对每一个公钥做一张数字证书, 私钥用最安全的方式交给用户或由用户自己
实验一系统安全设置 [实验目的和要求] 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 [实验容] 1、本地安全策略 2、资源共享 3、管理安全设置 [实验步骤] 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”,如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看:哪些用户不可以在本地登录?哪些用户可以从网络访问计算机?哪些用户可以关闭计算机? 答:分别见图1-2,1-3和1-4。
图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看:如何使计算机在登录前必须按“CTRL+ALT+DEL”?未签名驱动程序的安装是如何设置的?如何禁止网络用户访问CD-ROM? 答:找到“交互式登录:不需要按CTRL+ALT+DEL”,双击打开,选择“已禁用(S)”后单击“确定”按钮。 找到“设备:未签名驱动程序的安装操作”,在下拉菜单中选择“允许安装但发出警告”,单击“确定”按钮即可。 找到“设备:只有本地登录的用户才能访问CD-ROM”,打开选择“已启用(E)”,点击“确定”按钮即可。 二、文件共享 如何设置共享文件,并通过网上邻居访问共享文件? 设置共享文件: 方法一:“工具--文件夹选项--查看--使用简单文件夹共享”。这样设置后,其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二:“控制面板--管理工具--计算机管理”,在“计算机管理”这个对话框中,依次点击“文件夹共享--共享”,然后在右键中选择“新建共享”即可。 选择你要共享的文件,右击选择“属性”,打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便,你认为哪些设置必需放开?而哪些设置又可能引起安全问题? 我认为对于网络的大部分设置应设为启用可方便浏览网页;对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思?如何让某个应用程序不受防火墙限制?
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
1. 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 2. 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出
电子商务的安全策略 内容提要 在知识经济快速发展的的二十一世纪,“电子商务”无疑是当前最大的热门话题,电子商务以其高效、简捷、成本低、出现在经济生活的各个领域。电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经成为人类跨入知识经济新纪元的重要标志之一。但是随着而来的电子商务安全也成为了大家普遍关注的一个焦点。如何能使电子商务良好运转的同时保证其安全更加可靠已是一个主要的研究对象了。 关键词:电子商务电子商务技术安全 Abstract In the rapid development of knowledge-based economy of the 21st century, "electronic commerce" is currently the most popular e-commerce for its efficient, simple, low cost, appear in the various areas of economic life. E-commerce as a computer application technology and modern economic and trade activities, have become a human into a new era of knowledge-based economy is. But to the e-commerce security has become a common focus. How to enable e-commerce functionality while maintaining their security more reliable is already a major study on the object. Key words: Electronic Commerce E-Commerce Technology security 目录 一、不断发展的电子商务 ...................................................................................... - 2 - (一我国电子商务发展现状 (2 (二电子商务安全策略中的技术概况 (4
提高电子商务安全性的对策 【摘要】随着时代的发展,信息技术的普及,人们的消费方式也在发生着改变,电子商务虽然从目前来看还不足以称之为主流的交易模式,但它发展的前景却是不容忽视的。然而,和电子商务的快速发展所并行的还有它的安全性的问题,电子商务的安全问题已经是在人们发展电子商务的同时所不能忽视的问题,可以说日益暴露的电子商务的安全问题,正在阻碍其的普及和发展。那么,如何去给广大用户提供一个即简捷方便又安全可靠的电子商务环境,消除电子商务在使用过程中的隐患,已经成了各行各业的电子商务用户十分关注的问题。本文通过分析电子商务使用中遇到的问题,从电子商务的安全威胁及其产生因素出发,提出了相应的提高电子商务安全性的解决对策。 【关键词】电子商务;提高安全性;对策 随着英特网发展至今,已有累积达到了几十个亿,他们当中一有不少一部分成为了电子商务的使用者,还有一些是准备后将来可能会使用电子商务的潜在用户。仅中国淘宝为例,它在2.13年的“双十一”中交易额突破350亿,这是任何一个市场都难以达到的交易数额,这表明电子商务市场有着巨大的发展潜力。正因为有着如此巨大的市场潜力,电子商务的安全性就显得尤为重要,可以说电子商务的安全性可以直接影响到电子商务的成败。 1.电子商务在使用中存在的问题 1.1 网络安全 电子商务的网络安全主要是指计算机和网络本身存在的安全问题,它的安全性直接关乎到电子商务的安全性,毕竟电子商务是依托在计算机网络这一载体上所产生的。而现在计算机程序被病毒感染,黑客入侵等等一系列的问题严重影响到互联网的安全使用。增加了电子商务用户在使用上的隐患[1]。 1.2 商务安全 电子商务的商务安全主要是指商务交易在网络上的交易中,中间的媒介出现了问题,这其中包括电子信息被篡改,窃取甚至伪造以及交易行为的抵赖。这也严重影响了电子商务用户的正常交易使用环境。造成了电子商务在使用中的不可靠性。 1.3 用户诚信 电子商务有着其不同于一般的现金交易方式,它主要是通过电子支电子钱包等等方式来支付,一般都要求用户要先付款,然后商家再发货。这种方式和以往的消费方式有很大的不同,给用户在心里上就带来了很大的不适应。再加上,一笔交易从形成之初到交易结束交易双方都不会有面对面的交流,这也让很多用户
第7章电子商务安全技术案例分析 7.4.1 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 7.4.2 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000
电子商务安全风险管理的规则、步骤及对策 随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险, 1 / 1
电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全风险管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。 1 / 1
电子商务安全风险管理thldl是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
一、电子商务面临的安全风险 由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险: 1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。 2)信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。 3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。 4)系统资源失窃问题 在网络系统环境中,系统资源失窃是常见的安全威胁。 5)信息的假冒 信息的假冒是指当攻击者掌握了网络信息数据规
国电子商务发展中存在的主要问题及其对策下面分析和归纳我国 电子商务发展中存在的主要问题,给出解决问题的对策和建议。 1安全问题——电子商务高速发展的重要保证 长期以来,基于开放性网络的电子商务,由于电子线路的可窃听性、电子信息的可复制性以及互联网软、硬件存在的一些缺陷,致使黑客攻击、病毒侵害、网上欺骗、网上盗窃等非法现象时有发生,加之人们的安全防范意识还比较淡薄,电子商务的安全性(包括信息的保密性,完整性,有效性,不可抵赖性,交易身份的真实性)受到质疑, 大大降低了大众对电子商务的信赖程度,阻碍了电子商务的快速发展。对策:电子商务的安全问题包括(在线动态的)交易活动和(非在线 静态的)商务信息的安全问题。为提高两方面的安全可靠性,信息技 术研究机构和应用开发商应本着利国利民、勇于创新的原则,研究和创新提高电子商务安全性的新技术和新措施。 2技术问题——电子商务能否持续发展问题 信息技术的多样化快速发展,致使电子商务平台的开发技术五花八门,造成电子商务平台彼此不能协调一致,甚至商务信息无法交流和传输。 对策:为了维护国家的利益和经济安全,在电子商务相关技术方面一定要注重自主知识产权技术的开发和研究,各级研究机构和应用要研发拥有自主知识产权的软件开发技术,开发商应加大科研投入、. 尽快打破在软件技术上对国外的依赖;国家和地方政府要加大对电子
商务新技术开发成果的奖励和推广力度;要积极与外国政府和组织合作,建立全球电子商务系统。 3经济与费用问题——电子商务的效益问题 电子商务的重要内容和标志是资金支付的电子化,即资金流在网络上的实现。一是网上支付的效率不高,确认支付的时间还比较长;二是网上支付收取的费用过高。高昂的电子商务平台的运行费用和居高不下的支付费用,严重影响了电子商务的快速发展。 对策:电子商务系统运营商应进一步加强与企业、社会投资机构的联合,走合作开发或合资经营的道路,降低运营成本和交易成本。此外,应适当调低电子商务的网上支付费用,刺激和鼓励电子商务的发展。 4电信体制问题——电子商务发展的环境保障问题 长期垄断的电信体制、条块分割体制,致使我国的几大主干网络不能有机地协调和统一,互联网的效用没有得到最大限度的发挥,影响了电子商务的大发展。 对策:首先要真正打破电信业的行业垄断局面、克服区域条块分割现象,尽快实现真正意义上的多网合一、协作发展,而不是目前的形为“转制”,而实为你死我活的竞争局面。 5观念问题——电子商务的人文保障问题 长期的基于“现实世界”的传统商务模式在社会大众的商务行人们对电子商务这种在“虚拟网络”环境下的电为意识中根深蒂固, 子交易方式心存疑虑,企业、公众对电子商务的信心有待提高。