电子商务安全的要求
内容摘要因特网上商机无限,电子商务前景诱人,但许多商业机构对采用他仍有疑虑主要是其安全问题变得越来越严重,如何建立一个安全便捷的电子商务方案,如何创造一个安全的电子商务应用环境,已经成为广大商家和消费者都十分关心的焦点。从安全和信任关系来看,在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,彼此远隔千山万水,由于英特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。
关键词电子商务,安全性,保密性,身份确定性
1.1内部网的严密性
对于一个电子商务系统严密性主要是指保证一些敏感的商业资讯不被泄露。资讯加密主要就是解決這方面的問題。事實上,現存的任何一种加密方法在理論上都是可以破解的,只是时间长短的问题。尤其是硬件设备的快速发展,給密碼破译带來越來越多的便利。
因此在一个电子商务系统中,要对客户信息,商家信息加密防止泄露。一个电子商务系统的内部网严密性尤为重要,他只能被公司内部访问,修改,若是被入侵造成商业信息泄露将很危险。比如美团网的用户密码泄露,入侵者可能会用这个账号下虚假订单,给商家造成损失,或者支付宝密码泄露,那么用户将直接损失金钱。还有如商家的大宗交易信息泄露被对手知道后可能会造成大规模损失。这些活生生的例子都在威胁着电子商务安全,阻碍交易活动的开展。
在电子商务系统的内部网可以对特殊网段加密,进行身份验证,在有因特网相接处设立防火墙禁止外网访问。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,它可以阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出,是最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。防火墙有两个基本准则:一是未被允许的就是禁止的;二是未被禁止的就是允许的。基于该准则, 防火墙应转发所有信息流, 然后逐项屏蔽可能有
害的服务。这种方法构成了一种更为灵活的应用环境, 可为用户提供更多的服务。
1.2完整性
完整性包括信息的完整性,数据和交易的完整性。
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息的数据摘要方式来获得。
1.3保密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的(尤其Internet 是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过加密技术对传输的信息进行加密处理来实现。加密技术解决了传送信息的保密问题,可分对称加密和非对称加密。对称加密是一种传统的信息认证方法,通过信息交换的双方共同约定一个口令或一组密码,建立一个通信双方共享的密钥。非对称加密又称公开密钥加密,它使用一把公开发布的公开密钥和一把只能由生成密钥对的贸易方掌握的私用密钥来分别完成加密和解密操作。
加密技术对用户的密码、口令、数字证书、等信息加密,重要信息等加密,防止被盗取。而不需要对卖家的产品信息,买家的留言,评论等信息加密。从交易环节开始确保双方安全交易。
1.4不可修改性
对于某些信息商家和消费者都不能修改,如规定运费,商品信息,还有用户提交的订单等信息不可修改。
1.5身份确定性
由于网络电子商务交易系统的特殊性,企业或个人的交易通常都是在虚拟的网络环境中进行,所以对个人或企业实体进行身份性确认成了电子商务中十分重要的一环。对人或实体的身份进行鉴别,为身份的真实性提供保证,即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时,鉴别服务将提供一种方法来验证其声明的正确性,一般都通过证书机构CA和数字证书来实现。
1.6交易的无争议和不可抵赖性
无争议性是指交易的双方达成了协议,我愿意以多少钱的价格购买你的产品,而你也同意的这样的条件,在此条件下我们可以做成交易,如货到付款啊,或者先付款等等条件都说明白了没争议。
不可抵赖性:电子商务关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是所期望的贸易伙伴这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴身份,确定合同、契约、单据的可靠性,并预防抵赖行为的发生。这也就是人们常说的"白纸黑字"。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中,为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。
1.7有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
1.8授权的合法性
交易的双方要遵循相关的法律法规,有合法的授权卖东西或支付。
摘要:论述了在构建电子商务网站时应采取的安全措施:防火墙技术、入侵检测系统、网络漏洞扫描器、防病毒系统和安全认证系统,以及它们之间的相互配合。关键词:网站;安全;电子商务前言由于电子商务网站是在Internet这个完全开放的网络中运行,大量的支付信息、订货信息、谈判信息、商业机密文件等在计算机系统中存放、传输和处理,而网络黑客、入侵者、计算机病毒在网上随处可见,它们窃取、篡改和破坏商务信息。为了确保电子商务活动的健康发展和正常进行,除了应加大对黑客和计算机犯罪的打击力度外,加强电子商务网站自身的安全防护也是非常重要的。因此,当一个企业架设电子商务网站时,应选择有效的安全措施。 1电子商务网站安全的要求影响 电子商务网站安全的因素是多方面的。从网站内部看,网站计算机硬件、通信设备的可靠性、操作系统、网络协议、数据库系统等自身的安全漏洞,都会影响到网站的安全运行。从网站外部看,网络黑客、入侵者、计算机病毒也是危 害电子商务网站安全的重要因素。电子商务网站的安全包括三个方面的要 求:1.1网站硬件的安全要求网站的计算机硬件、附属通信设备及网站传输线 路稳定可靠,只有经过授权的用户才能使用和访问。1.2网站软件的安全网站 的软件不被非法篡改,不受计算机病毒的侵害;网站的数据信息不被非法复制、 破坏和丢失。1.3网站传输信息的安全指信息在传输过程中不被他人窃取、 篡改或偷看;能确定客户的真实身份。本文主要论述当电子商务网站面对来自网 站外部的安全威胁时,应采取哪些有效的安全措施保护网站的安全。 2电子商务网站的安全措施 2.1防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。代理防火墙能够将网络通信链路分为两段,使内部网与Internet不直接通信,而是使用代理服务器作为数据转发的中转站,只有那些被认为可信赖的数据才允许通过。这两种防火墙各有其优缺点:包过滤器只能结合源地址、目标地址和端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。代理防火墙比包过滤器慢,当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点,因而在实际应用中常将这两种防火墙组合使用。目前市场上最新的防火墙产品集成了代理和包过滤技术,提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时,能实行代理验证服务,在需要高速度时,它们能灵活地采用包过滤规则作为保护方法。 2. 2入侵检测系统防火墙是一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而
电子商务系统安全需求分析 一、电子商务面临各种攻击和风险 由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险: 1.信息的截获和窃取 这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。 2.信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。 3.拒绝服务 拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。 4.系统资源失窃问题 在网络系统环境中,系统资源失窃是常见的安全威胁。5.信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。6.交易的抵赖 交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。 7.病毒攻击 随着互联网的出现,为病毒的传播提供了最好的媒介,不少新病毒直接利用网络作为自己的传播途径,动辄造成数百亿美元的经济损失。 8.黑客问题 现如今,黑客已经大众化,不像过去那样非计算机高手不能成为黑客。 二、明确电子商务安全策略 由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。 下面就各层的主要防御内容从外层到里层进行简要的说明:1.物理安全
电子商务安全与防护 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。 1、电子商务信息安全现状 现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至2007年6月,我国互联网用户已经从2001年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1 网络环境安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等,其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制
电子商务安全案例总结 电子商务从产生至今虽然时间不长,但发展十分迅速,已经引起各国政府和企业的广泛关注和参与。但是,由于电子商务交易平台的虚拟性和匿名性,其安全问题也变得越来越突出,近些年的案例层出不穷。 1.台湾黑客对某政府网站的攻击(1999年8月) 该网站运行的系统是SunOS,版本比较旧。当时大陆黑客出于对李登辉"quot;两国论"quot;谬论的愤慨,为谴责李登辉的分裂行径,于8月份某日,一夜之间入侵了数十个台湾政府站点。台湾黑客采取了报复行动,替换了这个网站的首页。经本站技术人员P分析,在该系统上实际存在至少4个致命的弱点可以被黑客利用。其中有两个RPC守护进程存在缓冲区溢出漏洞,一个CGI程序也有溢出错误。对这些漏洞要采用比较特殊的攻击程序。但台湾黑客并没有利用这些比较高级的攻击技巧,而是从一个最简单的错误配置进入了系统。原来,其缺省帐号infomix 的密码与用户名相同!这个用户的权限足以让台湾黑客对web网站为所欲为。从这件事情可以看出,我们有部分系统管理员不具备最起码的安全素质。 2.东亚某银行 (1999年12月) 该网站为WindowsNT 4.0,是这个国家最大的银行之一。该网站BankServer 实际上有两道安全防线,首先在其路由器的访问控制表中(ACL)做了严格的端口过滤限制,只允许对80、443、65300进行incoming访问,另一道防火墙为全世界市场份额最大的软件防火墙FW,在FW防火墙上除了端口访问控制外,还禁止了很多异常的、利用已知CGI bug的非法调用。在12月某日,该银行网站的系统管理员Ymouse(呢称)突然发现在任务列表中有一个杀不死的CMD.exe进程,而在BankServer系统上并没有与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人员F求救。F认为这是一个典型的NT系统已经遭受入侵的迹象。通过Email授权,F开始分析该系统的安全问题,从外部看,除WWW服务外,BankServer并没有向外开放任何有安全问题的服务。但F在该网站的上游路由器发现一个安全问题,允许入侵者获取该路由器的配置文件和破解密码。经过系统管理员Ymouse的再次授权确认,F仅用了3分钟,就获取了该路由器的访问密码;登录路由器后,经过复杂的分析发现,虽然该银行网站没有incoming 的可疑通信,却发现BankServer正在向外连接着另一台NT服务器Wserver的139端口。通过进一步的分析,证实有人从BankServer登录到了Wserver的C 盘。Wserver是一台韩国的NT服务器,不受任何安全保护的裸机。F对Wserver 进行了一次简单的扫描,结果意外地发现Wserver的管理员帐号的密码极为简单,可以轻易获取对该系统的完全控制。更令人吃惊的是,在这台韩国的服务器的C盘上,保存着上面提到的东亚某银行的一个重要数据库文件!更多的文件正在从BankServer上往这台韩国的Wserver上传送! 3.借刀杀人,破坏某电子公司的数据库 (2001年2月12日)
( 安全论文 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 电子商务安全与防护(2021年) Safety is inseparable from production and efficiency. Only when safety is good can we ensure better production. Pay attention to safety at all times.
电子商务安全与防护(2021年) 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。? 1、电子商务信息安全现状 现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至2007年6月,我国互联网用户已经从2001年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。
在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1网络环境安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系
全国2010年4月高等教育自学考试 电子商务案例分析试题及答案 一、单项选择题(本大题共20小题,每小题1分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未 选均无分。 1.电子商务案例分析中,经营风险分析属于( B ) A.电子商务网站背景分析B.电子商务网站效益分析 C.电子商务网站经营指标分析D.电子商务网站建设与维护方法分析 2.根据美国学者的观点,电子商务作为现代商业方法,以满足企业、商人和顾客的需要为目的,其所采用的手段不. 包括 ..( A ) A.增加交易时间B.改善服务质量 C.增加服务传递速度D.降低交易费用 3.将平面文件转变成EDI标准格式的软件是( C ) A.转换软件B.通信软件 C.翻译软件D.编辑软件 4.与传统广播电视教学手段相比,网络教学所具备的特点是( C ) A.远程B.异地 C.交互式D.电子化 5.电子商务网站建设的核心是( A ) A.服务器B.网络 C.交换机D.存贮设备 6.微软IIS ( Internet Information Server)软件属于( D ) A.浏览器B.操作系统 C.数据库D.Web服务器 7.网上拍卖与传统拍卖最主要的区别是( D ) A.拍卖主体和客体的不同B.拍卖环境和主体的不同 C.拍卖手段和客体的不同D.拍卖环境和手段的不同 8.EDI网络传输的数据是( C ) A.平面文件B.映射软件 C.标准化的EDI报文D.商品检验报验单 9.到目前为止,电子支付仍旧存在的问题是( B ) A.速度B.安全 C.方便D.额度 10.保证数字证书难以仿造的方法是( A ) A.CA的数字签名B.CA的承诺 C.证书持有者的承诺D.信息的加密
实验报告书写要求 1.实验名称:电子商务安全支付现状及客户机安全调查 2.实验设备:计算机一台 3.实验目的和要求: 了解中国互联网发展状况,特别有关电子商务发展的现状。 了解电子商务客户机存在的安全风险及对应的安全措施。 4.实验步骤:请根据这份实验指导书填写。 5.实验结果与分析: 对下载的互联网状况及安全方面的分析报告进行总结并提出自己观点,形成500字以上的总结报告一份。 6.请用手写学校所发统一实验报告纸,每项都必须填写。分析报告需要打印,实验报告纸和分析报告装订在一起,请在左上角用一颗订书针钉上!
实验一、电子商务安全支付现状及客户机安全 一、任务 1、阅读比较CNNIC最新的《中国互联网络发展状况统计报告》中关于安全支 付的数据及分析,了解中国电子商务发展的现状。 2、防病毒软件的安装和使用、IE对安全区域的设置、处理cookie。 二、步骤 1、了解互联网发展动态 (1)进入中国互联网络信息中心网站:https://www.doczj.com/doc/8015583396.html, 输入网址进入中国互联网络信息中心主页,如图1所示。 图1.1中国互联网络信息中心主页1 (2)中国互联网发展研究报告下载 在主页中找到“中国互联网发展研究报告”(图1.1红圈所示),下载权威发 布的研究报告,还可查看不同研究观点。 2、了解互联网安全现状 (1)报告下载 在主页右下角的“互联网研究”分组中找到“报告下载”链接(图1.2红圈所示),点击进入,在列表中选择“第36次中国互联网络发展状况统计报告”、
“2014年中国网民信息安全状况研究报告”、“2014年中国网络支付安全状况报告”等和电子商务安全相关的最新调查报告下载至本地机。 (2)分析总结 查找并比较其中关于电子商务安全和支付方面的数据,分析变化的原因,形成并提交报告。 图1.2中国互联网络信息中心主页2 3、了解互联网发展动态 找到互联网发展大事记中近两年所发生大事,就其中熟悉且感兴趣的事件做深入了解。 4、防病毒软件的安装与使用 (1)了解防病毒软件的工作原理 如何扫描病毒、如何识别病毒、如何有效保护客户机的安全等方面。 (2)防病毒软件的使用 下载一款免费防病毒软件,安装后根据之前了解的工作原理对照查看。详细了解软件的相关设置,分析如何做到有效保护客户机安全。 5、IE对安全区域的设置 (1)了解IE中安全区域 通过网络搜索相关文档,了解IE安全区域的概念、意义及作用。 (2)浏览器安全级别设置 打开浏览器,按以下菜单进行操作:工具→Internet选项,选择“安全”标
1、简述电子商务流程 答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。 ②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型 答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。 3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险) 电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题? (1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。 8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。 9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。
一、简答: 1.简述电子商务的安全需求。 答:电子商务的安全需求主要包括:机密性,指信息在传送过程中不被他人窃取;完整性, 指保护信息不被未授权的人员修改;认证性, 指网络两端传送信息人的身份能够被确认;不可抵赖性,指信息的接受方和发送方不能否认自己的行为;不可拒绝性,指保证信息在正常访问方式下不被拒绝;访问的控制性,指能够限制和控制对主机的访问。 2.简述VPN中使用的关键技术。 答: VPN中使用的关键技术:隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端,QOS技术用来解决网络延迟与阻塞问题。 3.简述入侵检测的主要方法QOS。 答:入侵检测的主要方法有:静态配置分析法;异常性检测方法;基于行为的检测方法;智能检测法。 4.简述PKI的基本组成。 答: PKI的基本组成有:认证机构CA;数字证书库;密钥备份与恢复系统;证书作废系统;应用程序接口部分。 5.简述木马攻击必须具备的条件。 答:木马攻击必须具备三个基本条件,要有一个注册程序,要有一个注册程序可执行程序,可执行程序必须装入内存并运行;要有一个端口。 6.简述CA的基本组成。 答:CA的基本组成:注册服务器;CA服务器;证书受理与审核机构RA;这三个部分互相协调,缺一不可。 7.简述对称密钥加密和非对称密钥加密的区别。 答: 对称密钥算法是指使用同一个密钥来加密和解密数据。密钥的长度由于算法的不同而不同,一般位于40~128位之间。 公钥密码算法:是指加密密钥和解密密钥为两个不同密钥的密码算法。 公钥密码算法不同于单钥密码算法,它使用了一对密钥:一个用于加密信息,另一个则用于解密信息,通信双方无需事先交换密钥就可进行保密。 8.简述安全防范的基本策略。 答:安全防范的基本内容有:物理安全防范机制,访问权限安全机制,信息加密安全机制,黑客防范安全机制;风险管理与灾难恢复机制。 9.简述VPN中使用的关键技术。 答:VPN中使用的关键技术:隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端,QOS技术用来解决网络延迟与阻塞问题。 10.简述数字签名的使用原理。 答:发送方使用HASH函数处理原文,得到数字摘要;使用接受方的公钥对明文和数字摘要加密并通过网络发送;接受方使用私钥解密;接受方使用HASH函数重新得到数字摘要;对比数字摘要。 11.简述密钥的生命周期。
案例一: 淘宝“错价门”引发争议 互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。”这起“错价门”事件发生至今已有两周,导致“错价门”的真实原因依然是个谜,但与此同时,这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中,消费者与商家完成交易,成功付款下了订单,买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易,这种行为本身是否合法?蒋苏华认为,按照我国现行法律法规,淘宝网的行为涉嫌侵犯了消费者的自由交易权,损害了消费者的合法权益,应赔礼道歉并赔偿消费者的相应损失。 总结:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二: 黑客热衷攻击重点目标 国外几年前就曾经发生过电子商务网站被黑客入侵的案例,国内的电子商务网站近两年也发生过类似事件。浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击,网站图片几乎都不能显示,每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份的
网络黑客攻击,这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务器,企图破坏阿里巴巴全球速卖通台的正常运营。随着国内移动互联网的发展,移动电子商务也将迅速发展并给人们带来更大便利,但是由此也将带来更多的安全隐患。黑客针对无线网络的窃听能获取用户的通信内容、侵犯用户的隐私权。 总结:黑客攻击可以是多层次、多方面、多种形式的。攻击电子商务平台,黑客可以轻松赚取巨大的、实实在在的经济利益。比如:窃取某个电子商务企业的用户资料,贩卖用户的个人信息;破解用户个人账号密码,可以冒充他人购物,并把商品货物发给自己。黑客有可能受经济利益驱使,也有可能是同业者暗箱操作打击竞争对手。攻击电子商务企业后台系统的往往是专业的黑客团队,要想防范其入侵,难度颇大。尤其是对于一些中小型电子商务网站而言,比如数量庞大的团购网站,对抗黑客入侵更是有些力不从心。如果大量电子商务企业后台系统的安全得不到保障,我国整个电子商务的发展也将面临极大威胁。
探讨电子商务的安全与防护措施[摘要]随着个人计算机、计算机网络、互联网和电子商务的蓬勃发展, 如果不对它们进行妥善的保护,它们将越来越容易受到具有破坏性的攻 击的危害。黑客、病毒,甚至人为故障都会给网络带来巨大的威胁。电 子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文 针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息 安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善 电子商务发展的内外部环境,促进我国电子商务可持续发展。 [关键词]计算机网络互联网电子商务安全保护一、安全的重要性以及存 在的安全问题及其原因 撰写者 2011年12月20日 随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应 运而生并迅速发展。所谓电子商务(ElectronicCommerce,EC)就是借助于公共网络,如Internet或开放式计算机网络(OpenComputerNetwork)
进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、 商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等 商业交易活动。但是出于各种目的的网络入侵和攻击也越来越频繁,脆 弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看, 信息安全问题是保障电子商务的生命线。 1电子商务信息安全现存的问题 电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是 电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前 提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在: 1.电子商务安全问题的产生。(1)在线交易主体虚拟化带来的安全问题:在电子商务环境下,任何人不经登记就可以借助计算机网络发出或 接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使 电子商务交易安全受到严重威胁。(2)虚假信息的发布带来的安全问题: 当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供 求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。
编订:__________________ 单位:__________________ 时间:__________________ 探讨电子商务的安全与防护措施(正式) Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-1745-18 探讨电子商务的安全与防护措施(正 式) 使用备注:本文档可用在日常工作场景,通过对目的、要求、方式、方法、进度等进行具体、周密的部署,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 [摘要] 随着个人计算机、计算机网络、互联网和电子商务的蓬勃发展,如果不对它们进行妥善的保护,它们将越来越容易受到具有破坏性的攻击的危害。黑客、病毒,甚至人为故障都会给网络带来巨大的威胁。电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。 [关键词] 计算机网络互联网电子商务安全保护一、安全的重要性以及存在的安全问题及其原因撰写者
20xx年12月20 日 随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务(Electronic Commerce, EC)就是借助于公共网络,如Internet或开放式计算机网络(Open Computer Network)进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看,信息安全问题是保障电子商务的生命线。 1电子商务信息安全现存的问题 电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用
1. 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 2. 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出
In the schedule of the activity, the time and the progress of the completion of the project content are described in detail to make the progress consistent with the plan.电子商务安全与防护正式 版
电子商务安全与防护正式版 下载提示:此解决方案资料适用于工作或活动的进度安排中,详细说明各阶段的时间和项目内容完成的进度,而完成上述需要实施方案的人员对整体有全方位的认识和评估能力,尽力让实施的时间进度与方案所计划的时间吻合。文档可以直接使用,也可根据实际需要修订后使用。 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。? 1、电子商务信息安全现状
现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至20xx年6月,我国互联网用户已经从20xx年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的
电子商务典型案例淘宝的商业成功淘宝作为电子商务的典型成功案例,得到众人的口口相传,当然也成为业界的一个传奇。电子商务在中国的发展也进入了一个新阶段。 电子商务是指利用互联网为工具,使买卖双方不谋面地进行的各种商业和贸易活动。电子商务是以商务活动为主体,以计算机网络为基础,以电子化方式为手段,在法律许可范围内所进行的商务活动过程。 电子商务是运用数字信息技术,对企业的各项活动进行持续优化的过程。电子商务涵盖的范围很广,一般可分为企业对企业(Business-to-Business,) 企业对消费者(Business-to-Consumer)消费者对消费者(Consumer-to-Consumer)企业对政府(Business-to-government)业务流程(Businessprocess等 5 种模式,其中主要的有企业对企业(Business-to-Business)企业对消费者(Business-to-Consumer)业务流程(Busi nessprocess)34模式。随着国内In ternet使用人数的增加,利用In ternet 进行网络购物并以银行卡付款的消费方式已日渐流行,市场份额也在迅速增长,电子商务网站也层出不穷。电子商务最常见之安全机制有SSL(安全套接层协议) 及SET(安全电子交易协议)两种。 电子商务是一个不断发展的概念,电子商务的先驱IBM 公司于1996 年提出了Electronic Commerce (E-Commerce)的概念,到了1997 年,该公司又提出了Electro nic Bus in ess (E-Busi nes§的概念。但我国在引进这些概念的时候都翻译成电子商务,很多人对这两者的概念产生了混淆。事实上这两个概念及内容是有区别的,E-Commerce应翻译成电子商业,有人将E-Commerce称为狭义的电子商务。将E-Bus in ess称为广义的电子商务。E-Commerce是指实现整个贸易过程中各阶段贸易活动的电子化。E-Bus in ess是利用网络实现所有商务活动业务流程的电子化。E-Commerce集中于电子交易,强调企业与外部的交易与合作,而E-Bus in ess则把涵盖范围扩大了很多。广义上指使用各种电子工具从事商务或活动。狭义上指利用Internet 从事商务或活动。 从电子商务的含义及发展历程可以看出电子商务具有如下基本特征: 1. 普遍性 电子商务作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。 2. 方便性 在电子商务环境中,人们不再受地域的限制,客户能以非常简捷的方式完成过去较为繁杂的商务活动,如通过网络银行能够全天候地存取资金账户、查询信息等,同时使企业对客户的服务质量得以大大提高。 3. 整体性 电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用,也可以提高系统运行的严密性。 4. 安全性 在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,这与传统的商务活动有着很大的不同。
1、电子商务交易活动中商家可能面临的问题: ●中央系统安全性被破坏; ●竞争者检索商品的销售情况; ●客户资料被竞争者获悉; ●被他人冒名而损害企业的名誉; ●消费者提交订单后不付款; ●虚假订单。 2、电子商务的安全问题主要涉及信息的安全问题、信用的安全问题、安全的管理问题、安 全的法律法规保障问题。 3、从技术上看,电子商务面临的信息安全问题主要来自以下几个方面: 冒名偷窃、篡改数据、信息丢失、信息传递出问题 4、从计算机信息系统的角度来阐述电子商务系统的安全,认为电子商务系统的安全是由系 统实体安全、系统运行安全、系统信息安全三部分组成。 5、所谓实体安全是指保护计算机的设备、设施(含网络)以及其他媒体免遭地震、水灾、 火灾、有害气体和其他环境事故破坏的措施、过程。 6、实体安全包括:环境安全、设备安全、媒体安全。 7、环境安全是指对电子商务系统所在的环境实施安全保护,主要包括受灾防护和区域防 护。 8、受灾防护:是系统要具有受灾报警、受灾保护和受灾恢复等功能。 9、区域防护:是要对特定区域提供某种形式的保护和隔离措施。 10、设备安全是指对电子商务系统的设备进行安全保护,主要包括设备防盗、设备防毁、防止电磁信息泄露、防止线路截获、抗电磁干扰以及电源保护六个方面。 11、信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确保信息的完整性、保密性、可用性和可控性。 12、访问控制是指对主题访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)、限制使用计算机系统和计算机存储数据的过程(存取过程)。访问控制主要包括出入控制和存取控制。 13、信息安全中的鉴别主要提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方(包括用户、设备和进程)真是身份的鉴别,主要用于阻止非授权用户对系统资源的访问。信息鉴别是提供对信息的正确性、完整性和不可否认性的鉴别。 14、完整性鉴别,是提供信息的完整性鉴别,使得用户、设备、进程可以证实接收到的信息的完整性,其主要功能是证实信息内容未被非法修改或遗漏。 15、不可否认性鉴别,是使得信息发送者不可否认对信息的发送和信息接受者不可否认对信息的接收。 16、电子商务安全需求 17、病毒防范制度,20页,了解。
电子商务安全防范的技术策略 一、从科技层面加强防范措施 (一)几种主要的电子商务安全技术 1.加密技术 加密技术是电子商务才去的主要安全措施,是实现信息的保密性、完整性的核心。加密技术一方面以用于数据、文件加密,另一方面也是身份认证、数字签名等安全技术的基础。按照密钥的不同,加密技术主要有对称型密钥体制和非对称型密钥体制。对称密码体制也称为私钥密码体制,发送方和接受方都必须使用相同的密钥对消息进行加密和解密运算。目前比较通用的堆成加密算法有RC4和DES等。对称加密算法最大的优势就是开销小、加密速度快,所以广泛应用于对大量数据如文件进行加密。它的局限性在于通信双方要确保密钥的安全交换,密钥的分发和管理非常复杂,而且无法鉴别交易发起方或交易最终方。非对称型密钥加密也称为公开密钥算法,需要两个密钥:对外公开的公开密钥和自己保存的私有密钥。公开密钥用于对机密信息加密,私有密钥用于对机密信息解密。由于公开密钥是公开存放,迷药的分配和管理问题很容易解决。然而,公钥加密算法速度比私钥加密算法慢的多,同时公开加密方式对资源的占用较大,网络传输速度将受到影响。在实际应用中,通常将两种加密技术集合起来。数字信封即利用了两种加密技术的优
点,先采用公钥密码加密传送的信息,从而确保信息的安全性。 2.安全认证技术 一种是数字摘要与数字签名技术。数字摘要技术也称为散列技术。摘要技术采用Hash函数将徐加密的明文映射成一串较短的定长密文,这一串密文亦称为数字指纹,可以确保数据不被修改,保证信息的完整性。数字签名就运用了数字摘要技术,与传统签字具有同样的有效性,其原理如下:报文发送方从报文文体中生成一个128位的报文摘要,并用自己的私有密钥对这个摘要进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的消息摘要,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个摘要相同,那么接收方就能确认该数字签名是发送方的。数字签名技术可以保证信息传输过程中的完整性,提供信息发送者的身份认证和不可抵赖性。 另一种是数字证书。数字证书又称数字凭证,由可信任的、公正的权威机构——CA中性颁发。CA中心对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方身份的真实性、合法性及对网络资源的访问权限等,保证网上支付的安全性。