第8章电子商务安全技术
(一) 单项选择
1、()是确保电子商务参与者无法抵赖(或否认)其网上行为的能力。
A 不可否认性
B 真实性
C 机密性
D 完整性
2、()是确认与你在Internet上交易的个人或者试题的身份的能力。
A 不可否认性
B 真实性
C 机密性
D 完整性
3、()是确保信息和数据只能被得到授权的人读取的能力。
A 不可否认性
B 真实性
C 机密性
D 完整性
4、SET是指()
A 安全电子交易
B 安全套接层协议
C 安全HTTP
D 安全电子技术
5、()是可以组织远程客户机登录到你的内部网络。
A 代理服务器
B 防病毒软件
C 操作系统控制
D 防火墙
6、()可以监视通过网络传递的信息,从网络上任何地方盗取企业的专有信息。
A 恶意代码
B 电子欺骗
C 网络窃听
D 内部人行为
7、()是用来保护信道安全的最常用的方式。
A 安全超文本传输协议
B 安全套接层协议
C 虚拟专用网
D 公共网络
8、()很可能成为电子商务中最典型的犯罪行为。
A 网上信用卡诈骗
B 电子欺骗
C 网络窃听
D 恶意代码
9、()通常感染可执行文件。
A 宏病毒
B 脚本病毒
C 文件感染型病毒
D 特洛伊木马
10、()向网站大量发送无用的通信流量从而淹没网络并使网络瘫痪。
A 拒绝服务攻击
B 阻止服务攻击
C 分布式拒绝服务攻击
D 分散式拒绝服务攻击
11.以下攻击手段中不属于欺骗攻击的是()
A.伪装B.会话劫持C.洪水攻击D.中间人攻击
12.签名者在不知道签名具体信息的情况下所做的签名称为()。
A.群签名B.盲签名C.团体签名D.防失败签名
13.以下匿名的实现机制中,()通过在群内随机转发消息来隐藏消息的发送者。A.群方案B.匿名转发器链C.假名D.代理机制
14.以下电子现金方案中,()系统的数字现金证书当天有效。
A.E--Cash B.Mini--Pay C.CyberCash D.Mondex
15.()是对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。
A.漏洞扫描B.入侵检测C.安全审计D.反病毒
16.散列函数对同一报文M,无论何时何地,反复执行该函数得到的输出结果都是一样的,是指散列函数的()。
A.单向性B.普适性C.不变性D.唯一性
17使用密钥将密文数据还原成明文数据,称为:()。
A:解码;B:解密C:编译;D:加密;
18、所谓对称加密系统就是指加密和解密用的是()的密钥。
A、不同
B、互补
C、配对D相同
19、在下面的选项中不符合非对称密钥体制特点的是()。
A、密钥分配简单
B、密钥的保存量少
C、密钥的保存量多
D、可实现身份识别
20、电子支票在使用过程中,需要通过()来鉴定电子支票的真伪。
A、密押
B、验证中心
C、商家
D、收单银行
21、出于安全性考虑,网上支付密码最好是()。
A、用字母和数字混合组成
B、用银行提供的原始密码
C、用常用的英文单词
D、用生日的数字组成
22、下列哪项不属于保障电子商务的交易安全的技术措施()。
A、信息加密存贮
B、防火墙技术
C、网络防毒
D、应急管理措施
23、数字证书不包含()。
A、证书的申请日期
B、颁发证书的单位
C、证书拥有者的身份
D、证书拥有者姓名
24、安全电子交易的英文缩写是()。
A、SSL
B、SET
C、CA
D、EDI
25、SSL的中文意思是()
A、安全电子交易
B、电子数据交换
C、安全套接层
D、认证中心
26、在下面的选项中不符合非对称密钥体制特点的是().
A、密钥分配简单
B、密钥的保存量少
C、密钥的保存量多
D、可实现身份识别
27、下列哪项不属于保障电子商务的交易安全的技术措施()。
A、信息加密存贮
B、防火墙技术
C、网络防毒
D、应急管理措施
28、数字证书不包含()。
A、证书的申请日期
B、颁发证书的单位
C、证书拥有者的身份
D、证书拥有者姓名
29.由MasterCard和Visa联合开发的一种被称为()的标准,为网上信息及资金的安全流通提供了充分的保障。
(A)A TM(B)PIN(C)SSL(D)SET
30.防火墙是一种计算机硬件和软件的结合,使互联网与内部网之间建立起一个(),从而保护内部网免受非法用户的侵入。
(A)安全等级保护制度(B)安全信息系统(C)安全网关(D)安全保护
31.安装防病毒软件文件夹时建议采用()。
(A)备份文件夹(B)暂时文件夹(C)命名文件夹(D)默认文件夹
32.当实时监控程序发现病毒时,都将显示出一个对话框,共有()选择方案,由用户自己选择要采取什么动作。
(A)1种(B)2种(C)3种(D)4种
33.计算机病毒按其入侵方式可分为:操作系统型病毒、()、外壳病毒、入侵病毒。(A)定时病毒(B)随机病毒(C)源码病毒(D)圆点病毒
34.大麻病毒是一种典型的()。
(A)入侵病毒(B)外壳病毒(C)源码病毒(D)操作系统病毒
35.()是网络通讯中标志通讯各方身份信息的一系列数据,提供一种在Internet上验证身份的方式。
(A)数字认证(B)数字证书(C)电子证书(D)电子认证
36.数字签名为保证其不可更改性,双方约定使用()。
(A)HASH算法(B)RSA算法(C)CAP算法(D)ACR算法
37.在公开密钥密码体制中,加密密钥即()。
(A)解密密钥(B)私密密钥(C)公开密钥(D)私有密钥
38.()是由VISACARD和MASTERCARD合作开发完成的,在互联网上实现安全电子交易的协议标准。
(A)SSL(B)SET(C)DES(D)RSA
39.SSL协议属于网络()的标准协议。
(A)物理层(B)传输层(C)应用层(D)对话层
40.以下哪一项不是保证网络安全的要素?()
(A)信息的保密性(B)发送信息的不可否认性
(C)数据交换的完整性(D)数据存储的唯一性
41.在数据的传输和通讯过程中,不易实现对信息加密的环节是()
(A)端对端加密(B)上传加密(C)链路加密(D)节点加密
42.目前功能较强的安全电子交易协议是()
(A)SET协议(B)TCP协议(C)IP协议(D)SSL协议
43、对于计算机病毒的潜伏性,下列较正确的说法是()
A. 病毒侵入后,立即活动
B. 病毒侵入后,一般不立即活动,条件成熟后也不作用
C. 病毒侵入后,一般不立即活动,需要等一段时间,条件成熟后才作用
D. 病毒侵入后,需要等一段时间才作用
44、驻留型病毒感染计算机后,把自身驻留部分放在什么中()
A. ROM
B. 软盘
C. 硬盘
D. RAM
45、数字证书采用公钥体制,即利用一对互相匹配的密钥进行()
A. 加密
B. 加密、解密
C. 解密
D. 安全认证
46、数字证书的作用是证明证书中列出的用户合法拥有证书中列出的()
A. 私人密钥
B. 加密密钥
C. 解密密钥
D. 公开密钥
47、电子商务系统必须保证具有十分可靠的安全保密技术,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性()。
A.不可修改性
B.信息的稳定性
C.数据的可靠性
D.交易者身份的确定性
48、SSL协议层包括两个协议子层:记录协议和()。
A.握手协议
B.牵手协议
C.拍手协议
D.拉手协议
49、网上交易的安全性是由谁来保证的()
(A)厂家
(B)认证中心
(C)银行
(D)信用卡中心
50、以下对防火墙的说法错误的是()。
(A)只能对两个网络之间的互相访问实行强制性管理的安全系统
(B)通过屏蔽未授权的网络访问等手段把内部网络隔离为可信任网络
(C)用来把内部可信任网络对外部网络或其他非可信任网的访问限制在规定范围之内(D)防火墙的安全性能是根据系统安全的要求而设置的,因系统的安全级别不同而有所不同
51、以下不属于入侵病毒按传染方式分类的是()。
(A)磁盘引导区传染的计算机病毒
(B)操作系统传染的计算机病毒
(C)一般应用程序传染的计算机病毒
(D)外壳病毒
52、关于计算机病毒的入侵方式说法错误的是()。
(A)操作系统型病毒,它可以导致整个系统的瘫痪
(B)源码病毒,在程序被编译之前插入到FORTRAN、C、或PASCAL等语言编制的源程序,完成这一工作的病毒程序一般是在语言处理程序或连接程序中
(C)外壳病毒,易于编写,不易发现
(D)入侵病毒,一般针对某些特定程序而编写
53、关于数字证书的原理说法正确的是()。
(A)每个用户自己设定一把公有密钥,用它进行解密和签名
(B)数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密
(C)设定一把私有密钥为一组用户所共享,用于加密和验证签名
(D)当发送一份保密文件时,发送方使用接收方的私钥对数据加密,而接收方则使用自己的私钥解密
54、SET协议涉及的对象不包括()。
(A)消费者
(B)离线商店
(C)收单银行
(D)认证中心(CA)
55、关于证书授证(Certificate Authority)中心的说法错误的是()。
(A)在SET交易中,CA对持卡人、商户发放证书,不能对获款的银行、网关发放证书(B)CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥
(C)CA机构的数字签名使得攻击者不能伪造和篡改证书
(D)作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任56、关于SET协议运行的目标说法不合理的是()。
(A)保证信息在互联网上安全传输
(B)保证电子商务参与者信息的相互沟通
(C)保证网上交易的实时性
(B)效仿EDI贸易的形式,规范协议和消息格式
57、下面哪一个不是信息失真的原因()。
A.信源提供的信息不完全、不准确
B.信息在编码、译码和传递过程中受到干扰
C.信宿(信箱)接受信息出现偏差
D.信息在理解上的偏差
58、在社会经济领域,网络安全主要是()。
A.党政机关网络安全问题
B.国家经济领域内网络安全问题
C.国防计算机网络安全问题
D.军队计算机网络安全问题
59、下列关于防火墙的说法正确的是()。
A.防火墙的安全性能是根据系统安全的要求而设置的
B.防火墙的安全性能是一致的,一般没有级别之分
C.防火墙不能把内部网络隔离为可信任网络
D.一个防火墙只能用来对两个网络之间的互相访问实行强制性管理的安全系统
60、效率最高、最保险的杀毒方式是()
(A)手工杀毒
(B)自动杀毒
(C)杀毒软件
(D)磁盘格式化
(二) 多项选择
1、电子商务安全的组成包括以下哪几方面()
A 完整性
B 不可否认性
C 真实性
D 机密性
2、恶意代码包括以下哪几种()
A 病毒
B 蠕虫
C 特洛伊木马
D “恶意程序”
3、黑客分为以下哪几种()
A 白帽黑客
B 黑帽黑客
C 红帽黑客
D 灰帽黑客
4、加密的目的是()
A 保证存储信息的安全
B 保证信息传送的安全
C 保证用户信息保密
D 保证企业信息的安全
5、加密为电子商务安全提供了以下哪几方面的保障()
A 信息完整性
B 不可否认性
C 身份认证
D 机密性
6.电子商务系统中涉及许多安全技术,下面说法中哪些是正确的()。
A:由于加密与解密是矛与盾的关系,因此商务信息在网上无须加密,加了也是白加。B:DES是美国IBM公司发明的一种非对称加密体制,采用公钥和私钥对信息加密。
C:公钥基础设施(PKI)支持SET协议、SSL协议、电子证书和数字签名等技术。
D:SET安全协议适合B2C方式电子商务,无法满足B2B方式下的电子商务要求。
7. 双重签名中商家所能看到的信息有()。
A.订单信息B.付款指示的报文摘要C.付款指示D.双重签名
8. 以下恶意代码中,()是需要宿主的程序。
A.逻辑炸弹B.细菌C.特洛伊木马D.蠕虫
9. 强制访问控制用于信息完整性保护的两个原则是()。
A.向上读B.向下读C.向下写D.向上写
10.以下攻击手段中属于被动攻击的是()。
A.篡改B.获取信息C.伪造D.业务流分析
11.MD5算法的输入是()比特,输出是()比特。
A.128 B.512 C.任意D.64
12.MD5算法为满足算法对处理长度的要求,需要对原报文进行填充,当初始报文为224比特时,需填充()比特,当初始报文为512比特时,需填充()比特,当初始报文为512448比特时,需填充()比特。
A.448 B.512 C.224 D.128
13、SET安全协议运行的目标是()。
A、统一格式,提高效率
B、解决多方认证,保证交易的实时性
C、保证电子商务参与者信息的相互沟通
D、保证信息安全
14、网上银行的基本特点包括()。
A、风险最低
B、经营成本低廉
C、服务方便、快捷、高效、可靠
D、全面实现无纸化交易
15、在下面论述中,符合对称密钥体制的是()
A、对称密钥体制也叫单密钥体制
B、加密所使用的密钥与解密所使用的密钥不相同
C、加密所使用的密钥与解密所使用的密钥相同
D、从其中一个密钥可推导出另一个密钥
E、从其中一个密钥无法推导出另一个密钥
16、电子商务主要的安全要素有()
A、有效性
B、机密性
C、完整性
D、可靠性
E、审查能力
17、在下面论述中,符合非对称密钥体制优点的是()
C、对称密钥体制也叫单密钥体制
D、密钥分配简单C、密钥的保存量少D、可以实现身份识别
18、电子商务主要的安全要素有()
B、有效性B、机密性
C、完整性
D、可靠性
E、审查能力
19、在下面的论述中符合非对称密钥体制特点的是()
A、密钥分配简单
B、密钥的保存量多
C、身份识别较困难
D、密钥的保存量少
E、身份识别较容易
20、根据影响安全的因素,可把电子商务安全分成以下()
A、网络系统的安全
B、用户财物安全
C、网络信息安全
D、传统交易风险在网络中的延续
21、在下面论述中,符合对称密钥体制的是()
A、对称密钥体制也叫单密钥体制
B、加密所使用的密钥与解密所使用的密钥不相同
C、加密所使用的密钥与解密所使用的密钥相同
D、从其中一个密钥可推导出另一个密钥
E、从其中一个密钥无法推导出另一个密钥
22、SET安全协议运行的目标是()。
A、统一格式,提高效率
B、解决多方认证,保证交易的实时性
C、保证电子商务参与者信息的相互沟通
D、保证信息安全
23、计算机病毒()。
A、不影响计算机的运算速度
B、可能会造成计算机器件的永久失效
C、不影响计算机的运算结果
D、影响程序执行、破坏数据与程序
24、在SET交易过程中,采用双重签名技术对客户的( )分别进行电子签名。
A、订单信息
B、支付信息
C、售后服务信息
D、询价信息
25、SSL协议能确保两个应用程序之间通讯内容的保密性和数据的完整性,以下对SSL协
议的解释错误的是()。
(A)SSL协议属于网络应用层的标准协议
(B)SSL记录协议基本特点:连接是专用的、连接是可靠的
(C)SSL握手协议基本特点:连接是专用的、连接是可靠的
(D)SSL可用于加密任何基于IPX/SPX的应用
26、SET是Secure Electronic Transaction,即安全电子交易的英文缩写。它是一个在互联网上实现安全电子交易的协议标准,它是()。
(A)会话层的网络标准协议
(B)规定了交易各方进行交易结算时的具体流程和安全控制策略
(C)SET通过使用公共密钥和对称密钥方式加密保证了数据的保密性
(D)SET通过使用数字签名来确定数据是否被篡改、保证数据的一致性和完整性,并可以完成交易防抵赖。
27、关于数字证书的原理说法错误的是()。
(A)数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密
(B)每个用户自己设定一把公有密钥,用它进行解密和签名
(C)当发送一份保密文件时,发送方使用接收方的私钥对数据加密,而接收方则使用自己的私钥解密
(D)设定一把公共密钥为一组用户所共享,用于加密和验证签名
28、对计算机病毒的防范,可以从以下几个方面进行()。
(A)对新购置的计算机系统用检测病毒软件检查已知病毒,证实没有病毒传染和破坏迹象再实际使用
(B)软盘做DOS的FORMAT格式化后,仍要检测病毒。
(C)在保证硬盘无病毒的情况下,能用硬盘引导启动的,尽量不要用软盘去启动
(D)新购置的硬盘或出厂时已格式化好的软盘中不可能有病毒,不需要对硬盘进行低级格式化
29、计算机病毒按其入侵方式可分为()。
(A)操作系统型病毒,它可以导致整个系统的瘫痪
(B)源码病毒,在程序被编译之前插入到FORTRAN、C、或PASCAL等语言编制的源程序,完成这一工作的病毒程序一般是在语言处理程序或连接程序中
(C)外壳病毒,常附在主程序的首尾,对源程序不作修改
(D)入侵病毒,一般针对某些特定程序而编写
30、根据病毒存在的媒体可分为()。
(A)网络病毒(B)文件病毒(C)引导型病毒
(D)以上三种情况的混合型
31、以下情况可能与病毒有关的是()。
(A)系统异常死机的次数增加
(B)系统运行速度异常慢
(C)出现莫名其妙的隐藏文件
(D)硬盘出现坏道
32、从总体上看,防火墙应具有以下属于防火墙应具有的基本功能的是()。
(A)过滤进出网络的数据包
(B)管理进出网络的访问行为
(C)记录通过防火墙的信息内容和活动
(D)封堵某些禁止的访问行为
33.在社会经济领域,网络安全主要考虑的内容有()
A.党政机关网络安全问题
B.市民上网的网络安全安全问题
C.国家经济领域内网络安全问题
D.国防和军队网络安全问题
34.在SET协议的支持下,参与网络商品直销流程的各方有()。
A.消费者
B.商家
C.支付网关
D.政府
35.若按入侵方式,病毒可分为哪几种?()
A.作系统型病毒
B.源码病毒
C.外壳病毒
D.入侵病毒
36.下面是计算机病毒破坏性表现的是()
A.修改别的程序,并不断复制自身
B.占用CPU时间和内存开销,从而造成进程堵塞
C.打乱屏幕的显示
D.对数据或文件进行破坏
37.SET协议运行的目标主要有()。
A.保证信息在互联网上安全传输
B.保证电子商务参与者信息的相互隔离
C.提供商品或服务
D.通过支付网关处理消费者和在线商店之间的交易付款问题
38、计算机的运行环境安全性问题包括?()
(A)风险分析
(B)数据库安全
(C)审计跟踪
(D)备份与恢复和应
39、计算机的实体安全技术包括?()
(A)电源防护技术
(B)防病毒软件
(C)电磁兼容
(D)防盗技术
40、SET协议运行的目标主要有()。
(A)保证信息在互联网上安全传输
(B)保证电子商务参与者信息的相互隔离
(C)提供商品或服务
(D)通过支付网关处理消费者和在线商店之间的交易付款问题
41、计算机病毒按其表现性质可分为()。
(A)良性的
(B)恶性的
(C)随机的
(D)定时的
42、SET协议运行的目标主要有()。
(A)保证信息在互联网上安全传输
(B)保证电子商务参与者信息的相互隔离
(C)提供商品或服务
(D)通过支付网关处理消费者和在线商店之间的交易付款问题
43、以下哪些是计算机病毒的主要特点()
A. 破坏性
B. 隐蔽性
C. 传染性
D. 时效性
44、网络安全的四大要素为()
A. 信息传输的保密性
B. 数据交换的完整性
C. 发送信息的不可否认性
D. 交易者身份的确定性
45、采用数字签名,能够确认以下几点()
A保证信息是由对方签名发送的,签名者不能否认或难以否认
B保证信息是由签名者自己签名发送的,签名者不能否认或难以否认
C保证信息签发后未曾作过任何修改,签发的文件是真实文件
D保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件
(三) 填空题
1.对传输信息进行加密处理,以防止交易过程中信息被非法截获或读取,确保商业机密信息不被泄露,属于电子商务系统的安全需求。
2.电子商务的最终目的是要实现,和的统一。3.是一个可自动检测并初步分析远程或本地主机安全性弱点的程序。
4.电子商务安全系统结构由、、、、电子商务应用系统层五个层次组成。
5.当使用授权关系来实现访问控制矩阵时,若该授权关系按照客体分类,则类似于。
6.访问能力表中的每一项包括两部分:和的访问权限。
7.隐蔽通道中,通过事件的发生速度来传递信息的是。
8.数字签名系统的5个构成要素为:、、、、。
(四) 判断题
1、网上零售商遭受比网上消费者更大的在线信用卡欺诈危险。()
2、数字信封对于大文件采用对称加密,但是对于对称密钥的加密和传输采用公钥加密的技术。()
3、数字签名可以通过Internet传输的“经过签名”的密文。()
4、认证中心是发放数字证书的受信任的第三方。()
5、防火墙是一种在企业的专用网络与Internet间起过滤器作用的软件。()
6、安装了防病毒软件的电脑就可以对病毒免疫了。()
7、在网上进行盗窃风险很小。()
8、风险评估是对整个网站各个环节进行评估。()
9、网络窃听是一种窃听程序,可以监视通过网络传递的信息。()
10、黑客是企图在未经授权的情况下进入计算机系统的人。()
11、SET协议主要是保障电子邮件的安全。()
12、匿名FIP服务器通常不允许用户上传文件()
13、计算机病毒按其表现性质可分为良性的和恶性的()
14、病毒程序大多夹在正常程序之中,很容易被发现()
15、防火墙的安全性能是固定的,不可以设置的。()
16、采用数字签名,能够保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。()
17、源码病毒是在程序被编译之后才插入到源程序中去的,而且病毒程序一般是在语言处理程序或连接程序中。()
18、数字证书就是网络通信中标志通讯各方身份信息的一系列数据。()
19、出于安全的需要,网上银行卡支付系统须在Internet与专用的金融网之间安装支付网关系统()
浅谈电子商务中的安全技术 王海 (南京航空航天大学信息科学与技术学院 南京 210016) E-mail:wwanghaih@https://www.doczj.com/doc/443736474.html, 摘 要:电子商务的安全保障是电子商务发展的基础,本文分析了电子商务所采用的主要的安全技术, 包括现代加密理论(对称加密、公钥体制)、完整性保障、数字签名以及认证技术在电子商务中的应用。 关键词:电子商务;加密技术;完整性保障;数字签名认证技术 1.引言 所谓电子商务(Electronic Commerce),是指通过电子手段来完成整个商业贸易活动的过程。电子商务主要涉及三方面内容:信息、电子数据交换和电子资金转帐。在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。 2.电子商务面临的安全威胁[1]及安全需求[2] 2.1电子商务面临的安全威胁 电子商务的安全性并不是一个孤立的概念,它不但面临着系统自身的安全性问题;而且,由于它是建立在计算机和通信网络基础上的,所以计算机及通信网络的安全性问题同样会蔓延到电子商务中来。电子商务在这样的环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类: 2.1.1信息的截获和窃取 如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。 2.1.2信息的篡改 攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段有三种: (1)篡改:改变信息流的次序。 (2)删除:删除某个消息或消息的某些部份。 - 1 -
5.2 电子商务网络安全技术 一、防火墙技术 1、什么是防火墙 防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了。 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、具有潜在破坏性的侵入。防火墙示意图:
2、防火墙种类 从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。 3、防火墙的使用 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 二、病毒防范措施 1、用户应养成及时下载最新系统安全漏洞补丁的安全习惯,从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时,升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。 2、请定期做好重要资料的备份,以免造成重大损失。 3、选择具备“网页防马墙”功能的杀毒软件(如KV2008),每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。 4、请勿随便打开来源不明的Excel或Word文档,并且要及时升级病毒库,开启实时监控,以免受到病毒的侵害。 5、上网浏览时一定要开启杀毒软件的实时监控功能,以免遭到病毒侵害。
6、上网浏览时,不要随便点击不安全陌生网站,以免遭到病毒侵害。 7、及时更新计算机的防病毒软件、安装防火墙,为操作系统及时安装补丁程序。 8、在上网过程中要注意加强自我保护,避免访问非法网站,这些网站往往潜入了恶意代码,一旦用户打开其页面时,即会被植入木马与病毒。 9、利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。 10、将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。 11、开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。 5.3 加密技术 一、加密技术 1、概念 加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多
一、电子商务存在的安全问题 电子商务简单的说就是利用Internet进行的交易活动,电子商务:“电子”+“商务”,从电子商务的定义可以了解电子商务的安全也就相应的分为两个方面的安全:一方面是“电子”方面的安全,就是电子商务的开展必须利用Internet来进行,而Internet本身也属于计算机网络,所以电子商务的第一个方面的安全就是计算机网络的安全,它包括计算机网络硬件的安全与计算机网络软件的安全,计算机网络存在着很多安全威胁,也就给电子商务带来了安全威胁;另一方面是“商务”方面的安全,是把传统的商务活动在Internet上开展时,由干Internet存着很多安全隐患给电子商务带来了安全威胁,简称为“商务交易安全威胁”。这两个方面的安全威胁也就给电子商务带来了很多安全问题: (一)计算机网络安全威胁 电子商务包含“三流”:信息流、资金流、物流,“三流”中以信息流为核心为最重要,电子商务正是通过信息流为带动资金流、物流的完成。电子商务跟传统商务的最重要的区别就是以计算机网络来传递信息,促进信息流的完成。计算机网络的安全必将影响电子商务中的“信息流”的传递,势必影响电子商务的开展。计算机网络存在以下安全威胁: 1.黑客攻击 黑客攻击是指黑客非法进入网络,非法使用网络资源。随着互联网的发展,黑客攻击也是经常发生,防不胜防,黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。2003年,仅美国国防部的“五角大楼”就受到了了230万次对其网络的尝试性攻击。从这里可以看出,目前黑客攻击已成为了电子商务中计算机网络的重要安全威胁。 2.计算机病毒的攻击 病毒是能够破坏计算机系统正常进行,具有传染性的一段程序。随着互联网的发展,病毒利用互联网,使得病毒的传播速度大大加快,它侵入网络,破坏资源,成为了电子商务中计算机网络的又一重要安全威胁。 3.拒绝服务攻击 拒绝服务攻击(DoS)是一种破坏性的攻击,它是一个用户采用某种手段故意占用大量的网络资源,使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。随着互联网的发展,拒绝服务攻击成为了网络安全中的重要威胁。
单项选择题 1.在电子商务系统可能遭受的攻击中,从信道进行搭线窃听的方式被称为( ) A.植入B.通信监视C.通信窜扰D.中断 2.消息传送给接收者后,要对密文进行解密是所采用的一组规则称作( ) A.加密B.密文C.解密D.解密算法 3.在以下签名机制中,一对密钥没有与拥有者的真实身份有唯一的联系的是( ) A.单独数字签名B.RSA签名C.ELGamal签名D.无可争辩签名4.MD-5是____轮运算,各轮逻辑函数不同。A.2 B.3 C.4 D.5 5.综合了PPTP和L2F的优点,并提交IETF进行标准化操作的协议是( ) A.IPSec B.L2TP C.VPN D.GRE 6.VPN按服务类型分类,不包括的类型是( ) A. Internet VPN B.Access VPN C. Extranet VPN D.Intranet VPN 7.目前发展很快的安全电子邮件协议是_______ ,这是一个允许发送加密和有签名 邮件的协议。( ) A.IPSec B.SMTP C.S/MIME D.TCP/1P 8. 对SET软件建立了一套测试的准则。( ) A.SETCo B.SSL C.SET Toolkit D.电子钱包 9.CFCA认证系统的第二层为( ) A.根CA B.政策CA C.运营CA D.审批CA 10. SHECA提供了_____种证书系统。A.2 B.4 C.5 D.7 11.以下说法不正确的是( ) A.在各种不用用途的数字证书类型中最重要的是私钥证书 B.公钥证书是由证书机构签署的,其中包含有持证者的确切身份 C.数字证书由发证机构发行 D.公钥证书是将公钥体制用于大规模电子商务安全的基本要素 12.以下说法不正确的是( ) A. RSA的公钥一私钥对既可用于加密,又可用于签名 B.需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C.一般公钥体制的加密用密钥的长度要比签名用的密钥长 D.并非所有公钥算法都具有RSA的特点 13. _______是整个CA证书机构的核心,负责证书的签发。( ) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器14.能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是( ) A. PKI B.SET C.SSL D.ECC 15. _______在CA体系中提供目录浏览服务。( ) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器 16. Internet上很多软件的签名认证都来自_______公司。( ) A.Baltimore B.Entrust C.Sun D.VeriSign 17.SSL支持的HTTP,是其安全版,名为( ) A.HTTPS B.SHTTP C.SMTP D.HTMS 18. SET系统的运作是通过个软件组件来完成的。A.2 B.3 C.4 D.5 19.设在CFCA本部,不直接面对用户的是( ) A.CA系统B.RA系统C.LRA系统D.LCA系统 20. CTCA的个人数字证书,用户的密钥位长为( ) A.128 B.256 C.512 D.1024
电子商务的安全问题研究及分析对策 摘要 近年来,随着电子技术的发展,“电子商务”、“电子合同”等这类的词随处可见。的确,电子技术给我们的生活带来了很大的变化。我们现在可以实现网上购物;公司企业越来越重视网上销售和网上订货。这种新的交易方式的快速、便捷、高效率,满足了现代商业对交易效率的要求,使我们有理由相信,它还将继续深入我们的生活。随着计算机信息安全的发展、法律的逐渐完善,我国电子商务中的安全问题得到了有效解决,但是随着技术的发展我国电子商务中又产生了一些新的问题。 关键词:电子商务;隐私权;定型化契约;加密技术;入侵检测技术安全分析 电子商务具有跨越地域范围,不受时间因素制约等优势,随着全球经济一体化进程的不断发展,它将渗透到人们的日常生活中。随着技术水平的提高和发展,电子商务中的基本安全问题得到了解决,但同时也涌现出一些新的安全问题。我们可以通过制定、修善相关法律法规、采用新技术、强化安全管理、加强宣传教育等对策加以有效解决。 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。 一、电子商务安全中的法律问题及对策 在电子商务中,传统交易下所产生的纠纷及风险并没有随着高科技的发展而消失,相反网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。我国政府十分重视电子商务的法律法规的制定,目前制定的有关法律法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》、《电子签名法》等,它们直接约束了计算机安全和电子商务的安全。这些法律法规在电子商务中发挥着重大的作用,但是这些已经制订
电子商务安全技术试卷
————————————————————————————————作者:————————————————————————————————日期:
XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项: 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求,在规定的位置填写答案。 3. 不要在试卷上乱写乱画,不要在装订线内填写无关的内容。 4. 满分100分,考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题(共10分,每空1分): 1.电子商务安全从整体上分为( )和电子商务交易安全两大部分。 2.所谓加密,就是用基于( )方法的程序和保密的密钥对信息进行编码,把明文变成密文。 3.密码体制从原理上可分为单钥体制和( )。 4.链路-链路加密中,由于传送的信息在每个节点处都将以( )形式存在,故要加强每个节点的实体安全。 5. 电子商务活动是需要诚信的,如何来确定交易双方的身份就显得特别重要。目前,是通过认证中心(CA )发放( )来实现的。 6. 数字证书是利用数字签名和( )来分发的。 7. ( )允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8. 分布式防火墙是一种( )的安全系统,用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9. ( )又称灾难恢复,是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人
10. 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题(共10分,每题1分) 1.故意攻击网站触发安全问题,以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 ( ) 2.分组密码是一种重要的对称加密机制,它是将明文按一定的位长分组,输出不定长 度的密文。 ( ) 3.在代理多重签名中,一个代理签名可以代表多个原始签名人。 ( ) 4.数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接受方用 发送方的公开密钥进行解密。 ( ) 5.SSL 建立在TCP 协议之上,它与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。 ( ) 6.认证机构CA 和注册机构RA 都可以发放数字证书。 ( ) 7.实现防火墙的网络安全策略时,可以遵循的两条原则是:一是未被明确允许的一定 都将被禁止;二是未被明确禁止的未必都被允许。 ( ) 8.不连网的计算机不会感染计算机病毒。 ( ) 9.为了确保系统管理人员的忠诚可靠,系统管理的工作应当长期由一人来负责。( ) 10.计算机信息媒体出入境的普遍办理过程一般为先申报,后检测,最后报送。 ( ) 三、选择题(共40分,每小题2分) 1. 软件开发人员为了方便,通常也会在软件里留下“后门”,通过在后门里植入 ( ),很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2.确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 ( ) A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信,她需要用 什么来加密 ( ) A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中,不正确的是 ( ) A 、收方能够确认或证实发方的签名,但不能伪造 得 分 评分人 得 分 评分人
电子商务交易中安全问题分析及对策研究 摘要:随着互联网不断发展,基于网络资源的电子商务交易渐渐火了,网上购物 在给人们带来众多实惠的同时,也存在诸多安全问题,电子商务交易双方都面临 安全威胁。如果这个核心问题得不到很好解决,将严重影响电子商务的发展。 关键词:电子商务网上交易安全问题安全技术对策 随着电子商务的高速发展,网上犯罪屡屡发生,网购骗局层出不穷。比如在Internet上进行恶意攻击、窃取商业机密、冒用他人的信用卡、篡改名单等犯罪 行为时有发生,人们对电子商务的安全提高了警惕,安全问题已经成为电子商务 发展的关键问题。 一、电子商务交易中存在的安全问题 1.网络系统存在的安全隐患。网络系统和应用软件中通常都会存在一些BUG,别有用心的人利用这些漏洞向买卖双方的电脑发起进攻,导致某个程序或网络丧 失功能。如:计算机病毒的侵袭、黑客非法入侵、线路窃听等很容易使重要数据 在传递过程中泄露,威胁电子商务交易的安全。 2.交易信息存在的安全隐患。(1)是网络交易中用明文传输的数据被非法入侵 者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏;(2) 是网络非法攻击通过假冒合法用户或者模拟虚假信息来实施诈骗行为;(3)是交易 抵赖,包括多个方面,如:购买者下了订单不承认,商家卖出的商品因价格差异 而不承认原有的交易等。 3.信用方面存在的危机。在电子商务交易中存在的信用问题主要表现在以下 几个方面: (1)是来自买方的信用问题,对于消费者来说,可能在网络上利用信用 卡进行恶意透支,或者使用伪造的信用卡来骗取卖方的货物;(2)是来自卖方的信 用问题,卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全根据 合同来履行合同内容,造成买方权益的损害。 4.支付结算方面存在的安全隐患。电子商务交易的核心内容是信息沟通和交流,交易双方通过Internet进行洽谈、支付结算。从交易的结算方式看,已经可 以通过支付宝、网上银行、QQ钱包和微信钱包等多种方式来完成结算。但存在 大量的虚假网站,骗取钱财。 5.物流配送服务方面存在的安全隐患。主要表现为: (1)是当消费者在网上购买的商品在运输过程中出现损毁时,网站、产品供应商、快递公司之间互相推诿,推卸 责任,导致消费者无法获得赔偿; (2)是快递公司规定不按商品的价值,只按运输 费用的几倍赔偿; (3)是快递公司自行规定消费者签字后再验货,验货发现商品缺 失或损坏,又以其已签字为由拒不承担赔偿责任。 二、解决电子商务交易安全问题的对策 1.加强计算机网络安全应采取的措施 (1)使用防火墙技术:防火墙是一种行之有效且应用广泛的网络安全机制, 防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个 层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。因此,买卖双方都应很好地使用这一技术,保障网络的安全运行。 (2)使用反病毒技术:计算机病毒的防范是网络安全性建设中重要的一环, 在网络环境下,病毒传播扩散加快,仅用单机版杀毒软件已经很难彻底清除网络 病毒,必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进 行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
浅谈电子商务中的安全问题 摘要:在互联网日益发展的今天,利用网络先进技术去发展贸易成了大势所趋,电子商务逐渐成为了我们生活中的一部分。但是日益严峻的电子商务安全问题,也成为影响电子商务功能发挥的一个重要内容,因此,如何处理好电子商务中的安全问题,至关重要。笔者通过长期的调研,在立足实践的基础上,根据技术及经验,对目前国内的电子商务的发展现状进行了分析和总结,对目前国内的电子商务困境也做出了相应的探析,针对目前存在的问题进行了探讨,以期能够通过深入的研究,对目前电子商务安全做出一些贡献,对应对电子商务的安全问题,提出一些可行性建议。 关键词:电子商务问题;技术保障 随着互联网技术的不断发展,它给人们带来了便捷的生活,也在不同程度上促进了电子商务的诞生和兴起。因此,就如何促进电子商务的发展问题,国内外学者对其做出了相应的探讨。但是在技术不断发展的今日,电子技术在进步的同时,黑客技术也在不断地发展,对人们的电子商务的安全问题造成了一定的困扰。在这样的一个背景下,如何在电子商务逐步发展的前提下,促进安全环境的营造,需要较高的技术以及管理经验。电子商务的固有属性是极端开放,在目
前防御技术尚不够先进的前提下,极端开放是一把双刃剑,它可以使得电子商务更便捷,更有利于人们的生活,同时也使得人们的个人信息安全遭受侵害,因此,如何更好地使用好这把双刃剑,对于技术和管理也提出了相应的挑战。 一、为何要提高电子商务的安全性 由于互联网本身极端开放的属性,因此在使用过程中,可以给更多的用户带来更便捷的方式来管理好自己的电子 商务,可以服务于大范围内的群体,为了能实现互联网的持续发展,也为了电子商务的发展,必须使得其用户对于电子商务环境有更大的信息,必须能够保证用户的信息安全受到有效的保护,因此,笔者归纳出用户在使用过程中的几点要求。 1.个人信息受到有效保护 在网络平台上的交易活动,必须利用好技术,实现用户信息安全。一般的互联网信息安全较网络信息安全,而电子商务由于涉及钱财往来,且在互联网这个开放的环境下,更容易受到外界环境的侵扰。在当前的环境下,根据实践观察,笔者认为,信息保密工作主要有两大部分组成,它们分为两个不同的群体:第一,是电子商务的商家群体,一般在互联网进行交易的商家,都会涉及商业信息问题,在这一过程中,应当确保其关键及敏感的商业机密不被侵犯,具体而言,包括重要客户订单、涉及金额等,在这样的前提下,如果电子
E-business电子商务 0802013年1月 https://www.doczj.com/doc/443736474.html, 电子商务交易的安全技术浅析 浙江财经学院信息学院 程亚星 摘 要:在当今人们的生活中,电子商务已成为不可或缺的元素。随着电子商务的迅速发展,电子商务交易、支付的迅猛增加,一些网络黑客任意截获、盗取或者恶意攻击电子商务网站,给电子商务交易的安全造成了威胁。在预防电子商务交易中个人信息泄露,防止信息被恶意篡改的技术探索中,得出了防火墙与入侵检测技术的恰当结合是解决电子商务交易网络安全的有效方法之一。本文主要探讨防火墙、入侵检测技术及二者联动在电子商务交易安全中的应用。 关键词:电子商务交易 防火墙 入侵检测 信息安全 中图分类号:F724 文献标识码:A 文章编号:1005-5800(2013)01(b)-080-02 近年来,随着越来越多的商家与企业加入电子商务大军,2012年天猫、京东、苏宁易购、腾讯都进行了不断的收购,腾讯投资10亿元到电商业务。据艾瑞咨询发布的统计数据,截至2012年6月底,中国网民数量达到5.38亿,受益于网购市场的高速发展全年网购交易规模突破13000亿,电子商务产业已成为我国经济中的亮丽风景。同时,电子商务交易安全问题日益严重,信息安全已成为未来电子商务顺利发展的重要保证,确保商务交易中的安全是当前电子商务发展面临的巨大挑战。近年来已经逐渐发展成熟的防火墙与入侵检测技术已颇具成效,成为解决电子商务交易网络安全的重要手段。其中,防火墙技术因其静态防御的特性而在策略完善和攻击的识别上还存在很多不足之处,入侵检测技术能够很好地对恶意攻击网络行为进行有效的识别,可以对防火墙的不足进行补充。它若与防火墙技术结合使用,便可对电子商务交易安全发挥重要作用。 1 防火墙的关键技术 防火墙是利用了IP封包过滤技术,被放置在Internet与被保护的网络两者之间的屏障。它可以对过往的信息与数据进行不安全因素监测与分析,对不良数据与恶意信息进行过滤,对各种病毒与木马入侵进行拦截;防止网络信息被攻击和篡改。一般的防火墙系统主要包括Telnet、Email、WWW、FTP等代理服务器,以及用户登录、加密、审计、过滤路由、身份审核与验证、堡垒主机等基本功能模块组成。各个服务器与各个功能模块分工明确,经过有效的配合,能够实现共同抵御不安全网络攻击行为的目标。 防火墙具有很多功能,主要体现在:(1)防火墙可以将网络内部的信息屏蔽起来,避免外界干扰和攻击。(2)防火墙可以监测、审计和分析进入和流出网络的数据信息,对恶意信息进行筛选。(3)壁垒主机功能模块可以有效阻断外部入侵。(4)防火墙可以阻止所有可疑的对网络的访问,拦截所有携带病毒攻击的报文,并且可以预防这些病毒与木马的传播和扩散。但是,具有了这些功能网络也并不是绝对安全的,实践证明防火墙体系还存在许多漏洞,诸如尽管防火墙可以记录一切网络访问的活动,但是却也为黑客提供了入侵的端口,也有些黑客也能够绕过防火墙而进入网络,这些漏洞需要我们认真对待,及时完善防火墙技术。 1.1 包过滤技术 包过滤技术是防火墙技术中的一种,该技术的主要通过数据包过滤来实现的。其作用是阻塞某些主机及网络对内部网络的连接,这种技术主要工作在网络层。它为危机四伏的网络提供着过滤路由器的技术。例如,利用这种技术可以限制网络访问者去访问非法、色情站点等。可以通过选择系统内部的访问控制表Access Control List,选取恰当的网络位置,并在这个位置对数据包选择性的滤取,满足网络传输要求的数据包被过滤出来,并且可以通过一些网络安全协议在网络间进行有序的传输,其余不符合网络传输要求的数据包则被过滤出来,并最终在数据流中彻底删除,避免危害网络安全。 数据包过滤技术也存在一定漏洞,例如它只能通过数据包的端口号码、目的地址及协议类型等对数据包进行分析和判断,是只工作在网络层的过滤技术。这就决定了该技术不能对网络应用层的数据进行筛选和分析,对于应用层内的不良网络入侵不发挥功效。 1.2 代理(Proxy)技术 代理(Proxy)技术是完全不同于数据包过滤技术的应用网关技术——Application Gateway。它主要拦截一切信息流,工作在网络层,不同的应用配有不同的程序实现防护功能。代理技术以状态性为主要特征,目标是在网络应用层实现不安全访问的防范。代理技术能够展现与应用和传输相关联的所有信息与数据的状态,并且能够规范管理甚至及时处理这些传输应用信息。 代理是内外网间的网关,是工作在网络应用层上的特殊服务,且网络应用服务与应用代理具有一对一的关系。这让通信的网络服务器与客户之间不会进行直接的联系,而是通过代理进行转接与中继。代理服务器主要分为服务器代理和客户代理两大分支,前者负责完成与服务器间的通讯,后者负责完成与客户的对接通讯。随之而来的是代理服务器与服务器方面以及地理服务器和客户方面的两大类连接,这些连接都需要代理技术来进行维持。对服务器方面而言,代理是客户端,负责访问服务。对客户方面,代理是服务器,负责目的服务器与客户的对接。 1.3 状态检测技术 状态检测技术是采用对网络通信各层的数据传输进行检测的手段,是利用检测模块对动态数据包过滤技术的完善。状态检测技术可以提取一些数据的状态信息,并能够将这些信息进行动态保存,目的是方便以后做出安全决策。这种技术本质上讲采用的还是以会话为基本原色的一种连接检测机制,将属于同一连接性质的数据包同一成一个数据流整体后形成连接状态表。通过这些表的相互协作达成对表中各个连接元素的分析和甄别,为提高传输效率可随意排列这些表中的记录。用户的访问到达网关以前,检测设备要对数据进行分析和提取,根据网络协议与传输要素,对这些用户数据进行分析、鉴定、识别和过滤。这样,提高了网络的安全级别。
电子商务中的安全问题 电子商务的发展是互联网上最大的应用趋势,是国际经贸全新的一种形式,是我国经济生活牛的新手段,也给我国的安全保密管理带来新课题。 人类社会的三大支柱有材料、能源和信息,说明信息非常重要。今天谈到的信息主要还是IT信息技术方面的信息。互联网的迅速发展牵动了全球经济的发展,我们把互联网的发展提得非常高。近年来出现一些新的概念,网络经济、数字化生存、信息战等. 信息化被日益全球化的经济带来什么样的安全威胁?涉及到国家经济运行与监管的安全问题,比如说东南亚金融风暴问题,以后再谈金融风暴怎么进行宏观结合。在金融资本的流动和资本安全,包括证券市场,特别开展网上证券、网上银行等等。另外金融网络和系统的安全,银行、税务、证券、保险方面的一些行业。这些网络和系统的安全非常重要,影响到国计民生。如果我们对网上的炒股行为和网上银行的存储行为不进行监管,如果别人调动一千亿元进行网上招股,这样的危险就会很大。经济信息安全问题,无论是易趣网还是股票网站也好,你的信息被改动,影响交易的真实性,这些给经济安全带来很多威胁。 80年代对信息安全理解为信息保密,90年代认识到除了保密以外,还有完整性,还有系统的可用性。如果我通过网上取钱,
本来想取一百块钱,被改成取一万块钱,这个损失是谁的?信息和系统可用性,如果说谁打一个电话追究的力度不大,但是谁把系统破坏掉,死机一个小时,损失很大。90年代后期,对信息安全的认识又了新的变化,现在谈的比较多的是对信息和系统的可控问题,还有对信息行为的不可否认追究问题。 过去谈计算机安全,昨天谈信息安全,今天谈信息保障。 计算机安全里面用加密的方式可以基本做到保密问题。今天有人讲中文我们听得懂,如果两个人站起来讲俄文我们就听不懂,这就是加密的方法。信息安全信息的保密性、完整性、可用性,从保障角度讲,还应该提到如何检测现在的信息脆弱性入侵,死机了怎么恢复。网络犯罪新的摩尔定律,网络犯罪是18个月翻一番。 整个社会对电子商务的安全有多方面的需求,归结起来要点主要是: 一、加密保证、使用者和数据的识别和鉴别要求,对存储和加密数据进行保密,对联网交易支付的可靠性保证,比较方便的安全管理,还有对数据的完整性进行验证,防止抵赖。 二、政府关心的问题:经济安全问题,执法部门需要相应的措施、相应的证据,另外采购与使用需要,网络安全和消费者的保护问题。
电子商务安全技术 简介:这就是大学上课时学习得电子商务安全技术,就是全书得概要,总结。大学期末考试,可以拿它做为参考。 第一篇电子商务安全概述 电子商务就是由计算机、通信网络及程序化、标准化得商务流程与一系列安全、认证法律体系所组成得一个集合。 电子商务系统就是由Internet、用户、配送中心、认证中心、银行与商家等组成 TCP/IP协议, 第1章电子商务安全基础 乙发送一条信息甲,信息内容就是:请给乙向银行中打入10000元。落款:乙、 甲收到:信息为:请给丙向银行中打入10000元,乙。 其实在传递信息得过程中已被丙修改了信息。 1.1电子商务安全概念 电子商务安全就就是保护在电子商务系统里得企业或个人资产不受未经授权得访问、使用、窜改或破坏。电子商务安全覆盖了电子商务得各个环节。涉及到三方面:客户端-通信传输-服务器端。
电子商务安全得六项中心内容: 1、商务数据得机密性或保密性 通过加密来实现得。 2.电子商务数据得完整性或正确性 一定要保证数据没有被更改过。 3.商务对象得认证性 第三方认证。 CA认证中心。 4.商务服务得不可否认性 5.商务服务得不可拒绝性或可用性。6.访问得控制性 1、2电子商务安全问题 技术上得安全性,安全技术得实用可行性。要考虑以下三方面得问题: 1)安全性与方便性 2)安全性与性能 3)安全性与成本
一、问题得提出 二、电子商务得安全隐患 1、数据被非法截获,读取或修改 数据加密 2、冒名顶替与否认行为 数字签名、加密、认证 3.一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4.计算机病毒 杀毒软件 1.3电子商务安全需求 一、电子交易得安全需求 1、身份得可认证性 保证交易双方身份就是真实得,可靠得,不被冒名顶替。2.信息得保密性
浅谈电子商务中的安全问题(一) 摘要]Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。 关键词]电子商务安全网络安全商务安全 2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。 Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。 电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。 一、网络安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。 二、计算机网络安全体系 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。 在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。 对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、
电子商务安全技术分析 摘要: 本文主要针对现在电子商务行业中存在的问题,从安全问题、安全要素、病毒与黑客防范技术、安全技术、安全电子交易等几个方面全面的阐述了电子商务的安全问题,重点分析了安全电子交易规范(SET),并对电子商务安全的未来进行了分析。 一、引言 电子商务为全球客户提供丰富商务信息、快捷的交易服务和低廉交易成本的同时,也给电子商务参与的主体带来了许多安全问题。电子商务所依赖的Internet具有虚拟性、动态性、高度开放性等特点,使电子商务面临众多的威胁与安全隐患,严重制约其进一步发展和应用。目前,电子商务的安全问题已经是制约电子商务广泛应用的主要瓶颈之一,所以电子商务安全技术也成为各界关注、研究的热点。 二、电子商务安全问题 由于电子商务师以计算机网络为基础的,因此它不可避免面临着一系列的安全问题。一般会遇到以下的五种安全问题。 2.1、信息泄露 在电子商务中表现为商业机密的泄露,也就是说电子商务的数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。 2.2、信息篡改 在电子商务中表现为商业信息的真实性和完整性的问题。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。 2.3、身份识别问题 如果不进行身份的识别,第三方就有可能假冒用户身份信息,利用仿冒的身
份与他人交易,获取非法利益,从而破坏交易的可靠性。进行识别后就可防止“相互猜忌”的情况。 2.4、病毒 病毒问世二十几年来,各种新型病毒及其变种迅速增加,特别是互联网的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。 2.5、黑客问题 随着各种应用工具的传播,黑客已经大众化了,不想过去那样费计算机的高手不能成为黑客,现在只需要下载几个攻击软件并学会怎么使用,就可以互联网上大干一场,所以黑客问题也严重威胁着电子商务的发展。 三、电子商务的安全要素 3.1、有效性 电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。 3.2、机密性 电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境(如Internet)上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。 3.3、完整性 电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因
电子商务安全技术 简介:这是大学上课时学习的电子商务安全技术,是全书的概要,总结。大学期末考试,可以拿它做为参考。 第一篇电子商务安全概述 电子商务是由计算机、通信网络及程序化、标准化的商务流程和一系列安全、认证法律体系所组成的一个集合。 电子商务系统是由Internet、用户、配送中心、认证中心、银行和商家等组成 TCP/IP协议, 第1章电子商务安全基础 乙发送一条信息甲,信息内容是:请给乙向银行中打入10000元。落 款:乙. 甲收到:信息为:请给丙向银行中打入10000元,乙。 其实在传递信息的过程中已被丙修改了信息。 1.1电子商务安全概念 电子商务安全就是保护在电子商务系统里的企业或个人资产不受未经授权的访问、使用、窜改或破坏。电子商务安全覆盖了电子商务的各个环节。涉及到三方面:客户端-通信传输-服务器端。 电子商务安全的六项中心内容: 1.商务数据的机密性或保密性
通过加密来实现的。 2.电子商务数据的完整性或正确性 一定要保证数据没有被更改过。 3.商务对象的认证性 第三方认证。 CA认证中心。 4.商务服务的不可否认性 5.商务服务的不可拒绝性或可用性。6.访问的控制性 1.2电子商务安全问题 技术上的安全性,安全技术的实用可行性。要考虑以下三方面的问题: 1)安全性与方便性 2)安全性与性能 3)安全性与成本 一、问题的提出 二、电子商务的安全隐患 1.数据被非法截获,读取或修改 数据加密
2.冒名顶替和否认行为 数字签名、加密、认证 3.一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4.计算机病毒 杀毒软件 1.3电子商务安全需求 一、电子交易的安全需求 1.身份的可认证性 保证交易双方身份是真实的,可靠的,不被冒名顶替。2.信息的保密性 加密,即使泄露,别人也看不懂。 原文-密文 3.信息的完整性 正确性,一定要保存传递的信息,到达接收方没有被更改。4.可靠性/不可抵赖性 5.审查能力/不可假造。