第一篇:电子商务的安全问题
电子商务的安全问题
摘要:
由于电子商务是建立在开放的、自由的Intemet平台上的,其安全的脆弱性阻碍了电子商务的发展。因此,要发展电子商务就必须解决安全问题,就必须要能保证电子商务的机密性、完整性、有效性、真实性以及不可否认性。电子商务安全交易中在线支付问题是最核
心、最关键的问题。本文从电子商务的安全问题入手,通过对多种安全技术的综合介绍和详细分析,有针对性地提出了相应的安全策略。提供了解决企业电子商务网站安全问题的有效 办法,以保障电子商务活动的安全进行。
目 录
一、引言...........................................................................................................................................1
二、电子商务中存在的安全问题...................................................................................................1
(一)、电子商务中网络安全的问题.....................................................................................1 网络信息泄漏..............................................................................................................1 文件信息篡改..............................................................................................................1 信息伪造......................................................................................................................1 信用威胁......................................................................................................................2 计算机病毒..................................................................................................................2
(二)、电子商务交易中安全问题.........................................................................................2 消费者、销售商和银行的利益更不易保护.............................................................2 安全面临的严重问题也是制约发展的关键因素.....................................................2 电子商务的支付结算问题.........................................................................................2 电子商务商家信誉的问题.........................................................................................2
三、电子商务网络安全问题解决对策...........................................................................................3
(一)电子商务网上支付安全对策.......................................................................................3
(二)安全管理过程监督.......................................................................................................3 加强全过程的安全管理..............................................................................................3 建立动态的闭环管理流程.........................................................................................4
(三)法律上的安全保障.......................................................................................................4 有关电子商务交易各方合法身份证的法律..............................................................4 有关保护交易者介人及交易数据的法律..................................................................4 有关电子商务中电子合同合法性及如何进行认证的法律......................................4 有关网络知识产权保护的法律..................................................................................4 参考文献...........................................................................................................................5
一、引言
随着在Internet全球性的推广,电子商务即被公认为是未来IT业最有潜力的新的增长点。但是随着Internet的高速发展,其开放性、国际性和自由性在增加电子商务应用自由度的同时,我们也正受到日益严重的来自网络的安全威胁,如黑客的侵袭、网络的数据盗窃、病毒的传播等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
二、电子商务中存在的安全问题
(一)、电子商务中网络安全的问题 网络信息泄漏
在电子商务中表现为商业机密的泄漏,主要表现在:
交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。如果没有采用加密措施或加密强度不够,或是交易双方进行交易的内容被攻击者窃取,或者是交易一方提供给另一方使用的文件被攻击者非法使用。 文件信息篡改
在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据在中途篡改,如修改消息次序、时间,注入伪造消息等,然后再发向目的地,破坏数据的真实性和完整性。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。 信息伪造
由于掌握了数据的格式,并可以篡改通过的信息,如果不进行身份识别,攻击者就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。主要有这样几种情况:第一、虚开网站和商店,给用户发电子邮件,收订货单;第二、给伪造的用户发恶意的电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;第三、伪造用户,发大量的电子邮件,窃取商家的
商品信息和用户信用等信息。 信用威胁
交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。 计算机病毒
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
(二)、电子商务交易中安全问题
消费者、销售商和银行的利益更不易保护
电子商务领域为欺诈提供了保护伞。它特殊的运行模式可以使欺诈行为人将其欺诈行为掩盖得惟天衣无缝,而被侵害者却无可奈何。他可以直接侵害消费者的公平交易权,因为消费者是根本看不到自己所要购买商品的实物,只能在网站上浏览销售商为该商品所做的信息数据。电子商务对消费者的隐私权也提出了新的考验。因特网技术使得对个人信息的收集、储存、处理和销售有着前所未有的能力和规模,在线消费者的信息随时都有被收集和扩散的危险,只要在网上用个人信箱发信,你的信箱就基本上是公开的了,个人资料也就很容易被窃取,使得消费者购非所需。
安全面临的严重问题也是制约发展的关键因素
保障电子商务活动的安全,一直是电子商务研究的核心领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。网络产品本身就隐藏着不安全隐患,加之受技术、人为等因素的影响,不安全因素更显突出。如:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等。若安全问题解决不好将对整个电子商务市场带来了巨大的损失。 电子商务的支付结算问题
电子商务的核心内容是信息的互相沟通和交流,交易双方通过Internet进行交流,洽谈确认,最后才能发生交易,进行支付结算,一般都要求先汇款再送货。但从整个电子商务网络的发展来看,将来要在网络上直接进行交易,就需要通过银行的信用卡等各种方式来完成交易,以及在国际贸易中通过与金融网络的连接来支付和收费。 电子商务商家信誉的问题
电子商务依其特有的经营模式对商家的信誉提出了更高的要求。因为电子商务的基石就是诚信、信誉。他不象传统的交易方式,消费者可到实地观察、挑选自己的商品,其完全凭借的是商家的信誉度,有信誉就有顾客这是对电子商务的真实写照。当传统的购物方式引发的各种纠分还在“3.15”消费者权益日频频曝光的环境下,消费者如何信任互不照面的网上交易?这个问题不解决电子商务就很难做大做强,这对我们也提出了新的挑战。
三、电子商务网络安全问题解决对策
(一)电子商务网上支付安全对策
由于引起电子商务安全问题的因素很多,所以解决安全问题也应从不同方面来考虑,提供不同的应对策略:
安全技术策略:为了确保通信的安全性,必须采取必要的措施加以防范。在通信连接方面,可以使用防火墙、代理服务器、虚拟专用网络(VPN)等技术;在鉴别和认证方面,可以采取加密和认证技术。
做好自身电脑的日常安全维护,注意以下几点: a.是经常给电脑系统升级
b.是安装杀毒软件、防火墙,经常升级和杀毒
c.在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒
d.尽量不要在公共电脑上使用自己的有关资金的账户和密码,五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。
e.在登录支付资金时,应注意:一是确认该网是否是官方网站,二是仔细核对该网的域名是否正确,注意小写“1”与“L”、“0”与“O”等情况,三保证良好的上网习惯,收藏常用的网址,减少网上链接。
电子商务网上支付实际上就是落实到网上银行转账结算的交易。为了防止了黑客木马程序和网上钓鱼的攻击,使用数字证书才是保障网银安全的较好办法。但是,证书尽可能不采用所谓“文件证书”,即下载到浏览器硬盘上的证书,因为,此种证书易被黑客用木马程序窃取。目前,各银行的应用实践证明:只有将数字证书装入UBKey中,才是确保安全的好办法。
2、法律保障。由于电子商务各项活动首先是一种商品的交易,因此安全问题应当通过相关法律加以保护,必须保证电子合同和数字签名的法律地位、签约双方对电子合同的认可、电子合同的不可否认或修改,确保电子合同能够得以实施。
3、完善的管理策略。由于电子商务交易系统是一个人机高度综合的系统,除了网络的安全之外,管理人员的管理也是非常重要的,而且是起决定性作用的因素。因此,对整个系统的管理权限的分配和监督、管理人员的培训和考核、道德和业务水平的培养都必须制定出一套完整的规章制度,以利于培养管理人员敬业爱岗的精神.(二)安全管理过程监督 加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。
2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查。
3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系
统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:
1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。
2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
(三)法律上的安全保障
在法律上,最子商务不同于传统商务在纸面上完成交易,有据可查的特点,电子交易如何认证,电子欺诈如何避免和惩治不仅是技术问题,同时也要涉及到法律领域,电子商务就像在现实世界之外又建立了一个虚拟世界,在这个虚拟世界里,更需要完善的法律体系来维持秩序。目前多个国家和地区已经开始行动制定电子商务法律法规。这就需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。其主要涉及的法律要素有: 有关电子商务交易各方合法身份证的法律
电子身份认证中心是电子商务中的核心角色,它担负着保证电子商务公正、安全进行的任务。因而必须由国家法律来规定CA中心的设立程序和资格以及必须承担的法律义务和责任,同时要由法律规定对CA中心进行监管的部门、监管方法以及违规后的处罚措施。 有关保护交易者介人及交易数据的法律
本着最小限度收集个人数据、最大限度保护个人隐私的原则来制定法律,以消除人们对泄露个人隐私以及重要个人信息的担扰,从而吸引更多的人上网参与电子商务。 有关电子商务中电子合同合法性及如何进行认证的法律
需要制定有关法律对电子合同的法律效力、数字签名、电子商务凭证的合法性予以确认;需要对电子商务作证、电子支付数据的伪造、变更、涂销做出相应的法律规定。 有关网络知识产权保护的法律
网络对知识产权的保护提出了新的挑战,因此在研究技术保护措施时,还必须建立适当的法律框架,以便侦测仿冒或欺诈行为,并在上述行为以生时提供有效的法律援助。
参考文献
[1]钟 诚.电子商务安全.重庆大学出版社.2004.6 [2]杨坚争.电子商务基础与运用 2008.5 [3]陈 进.电子商务金融与安全.清华出版社 2000 [4]冯登国.网络安全原理与技术.北京.科学出版社.2003 [5]邵晓薇 王维民 电子商务网站网上交易系统 人民邮电出版社 2000.6
第二篇:电子商务安全问题论文
摘要: 通过分析电子商务安全问题产生原因及电子商务对安全环境的要求,提出电子商务的安全防范策略,并对当前解决电子商务安全的主要技术进行了进一步的阐述和分析,为建立健全电子商务安全系统提供技术性参考。
关键词: 电子商务 安全技术 安全协议
电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。
一、电子商务的安全问题
1.电子商务安全问题的产生。(1)在线交易主体虚拟化带来的安全问题:在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全受到严重威胁。(2)虚假信息的发布带来的安全问题:当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。(3)过低的信用度带来的安全问题:①低信用度的买方带来的安全问题:低信用度的买方,可能存恶意透支或使用伪造的信用卡骗取卖方货物或存在拖延货款行为,卖方需要为此承担风险。②低信用度的买方带来的安全问题:卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。③低信用度的买卖双方都存在抵赖的情况。(4)网络欺诈的存在带来的安全问题:在电子交易活动中频繁欺诈用户这是网络骗子们常用的骗术,利用电子商务进行欺诈已经成为一种新型犯罪活动,目前这种网上欺诈也已经成为国际性的难题。(5)电子合同取代书面合同过程中带来的安全问题:在在线交易情形下,交易双方的所有信息都是以电子化的形式存储于计算机硬盘或其他电子介质中,这些记录不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。由此而引发诸多方面的安全问题(6)网上电子支付过程带来的安全问题:完电子商务的网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。(7)产品交付过程带来的安全问题:有形货物的在线交易中物流配送环节引发的一些特殊问题及无形的信息产品在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。(8)网络消费者维权时引发的安全问题:在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。比如质量问题,退赔、修理困难问题等。(9)网络恶意攻击者的破坏活动带来的安全问题:包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒绝服务、否认等。
2.电子商务对安全环境的要求。(1)确保信息的安全要求包括有效性、机密性、完整性、可靠性/不可抵赖性/鉴别等;(2)确保授权合法性;(3)确保交易者身份的确定性;(4)确保内部网的严密性。
二、电子商务的安全防范策略
经过数十年的探索,电子商务安全防范策略从最初的商务信息保密性发展到商务信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。目前,电子商务安全领域已经形成了9大核心技术,它们是:密码技术、身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病毒技术、信息泄露防治技术、网络安全漏洞扫描技术、入侵检测技术。
1.电子商务的主要安全技术。(1)加密技术。加密技术解决了传送信息的保密问题,可分对称加密和非对称加密。对称加密是一种传统的信息认证方法,通过信息交换的双方共同约定一个口令或一组密码,建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方,乙方用相同的私钥解密后获得甲方传递的信息。对称加密采用的主要加密算法有DES数据加密标准、三重DES,IDEA,和AES(高级加密算法)等。其最大优势是加/解密速度快, 适合于对大数据量进行加密,但密钥管理困难。非对称加密又称公开密钥加密,它使用一把公开发布的公开密钥和一把只能由生成密钥对的贸易方掌握的私用密钥来分别完成加密和解密操作。如贸易的甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易的方乙使用该密钥对信息进行加密后发送给甲方;甲方再用自己保存的另一把私用密钥对加密信息进行解密。公钥密码技术是密码技术核心,主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。优点是机制灵活,但加密和解密速度慢。(2)数字签名。数字签名解决了而防止他人对传输的文件进行破坏,以及如何确定发信人的身份的问题。数字签名与书面文件签名有相同功效,它代表了文件的特征,文件如果发生改变,数字签字的值也将发生变化,不同的文件将得到不同的数字签字。数字签名是采用双重加密的方法,通过流程:A、被发送文件用 SHA编码加密产生128 bit的数字摘要;B、发送方用自己的私用密钥对摘要再加密,形成数字签名;C、将原文和加密的摘要同时传给对方;D、对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要;E、将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。最终实现了防伪、防抵赖。
(3)数字时间戳。数字时间戳服务提供了对电子文件发表时间的安全保护,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。时间戳形成的流程为:①用户将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS;②DTS在加人了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。数字时间戳是由认证单位DTS来加的,以DTS收到文件的时间为依据。
(4)数字证书。数字证书是由CA认证中心签发的,用电子手段来证实一个用户的身份和对网络资源的访问权限的凭证。CA认证中心是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。数字证书为电子签名相关各方提供真实、可靠验证的公众服务,解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行。在网上的电子交易中,如双方出示了各自的数字证书,就可用它来进行安全交易操作了。
(5)防火墙技术。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,它可以阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出,是最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。防火墙有两个基本准则:一是未被允许的就是禁止的;二是未被禁止的就是允许的。基于该准则, 防火墙应转发所有信息流, 然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境, 可为用户提供更多的服务。
2.电子商务安全协议技术。电子商务安全协议主要有:安全套接层协议SSL和安全电子交易SET协议。此外,还有pCT(专用通信技术),它只是对SSL进行少量的改进。SSL协议是向基于TCp/Ip的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等的安全措施。它包括“SSL 记录协议”和“ SSL 握手协议”。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MDS等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。SSL协议已成为事实上的工业标准而被广泛应用。通常还采用“SSL+表单签名”的模式使得SSL在电子商务的应用中确保信息的真实性、完整性和保密性的基础上进一步提高电子商务的安全保障。
SET协议是Mastercard公司和Visa公司联合开发的一种应用于因特网环境下,以信用卡为基础的安全电子支付协议。它可以对交易各方进行认证,可防止商家欺诈,进行安全交易,它给出了一套电子交易的过程规范而成为目前公认的信用卡的网上交易的国际标准。
3.构建电子商务安全控制的框架和制订电子商务标准及法律法规。通过安全的控制和电子商务标准的推行,有利于解决电子商务的安全性和可靠性问题。
电子商务给企业、消费者和社会所带来的收益是不可估量的。特别是电子商务以其高效、低成本的优势,必将成为新兴的商业运作模式,推动着全球经济的快速发展。而商务信息的安全问题始终是电子商务的核心,是阻碍电子商务广泛应用的最大问题。电子商务的安全问题是能够通过综合运用各类电子商务安全技术,并不断改进和完善,加之建立健全电子商务的安全机制和相应的法律法规,推行电子商务的国际化标准而得以解决。
参考文献:
[1](美)埃弗雷姆.特白思戴维.金,杰李等著王理平张晓峰译:电子商务 管理新视角(第2版)[M].电子工业出版社,2005年9月
[2]杨坚争著:电子商务基础与应用(第五版)[M].西安电子科技大学出版社,2007年7月
第三篇:06电子商务的安全问题
电子商务的安全问题
一、选择题
1、在电子商务信息安全要求中,信息在传输过程中或存储中不被他人窃取指的是(B)。A、信息的保密性
B、信息的完成性
C、信息的不可否认性
D、交易者身份的真实性
2、加密和解密密钥不同的密码体制称为()。
A、DES密码体制
B、公开秘钥密码体制 C、通用秘钥密码体制
D、凯撒密码体制
3、加密后的内容称为()。
A、密钥
B、算法 C、密文
D、明文
4、用户识别方法不包括()。
A、根据用户知道什么来判断
B、根据用户拥有什么来判断 C、根据用户地址来判断
D、根据用户是什么来判断
5、一下身份认证技术中,属于生物特征识别技术的有()。
A、数字签名识别法
B、指纹识别法
C、语音识别法
D、头盖骨的轮廓识别法
6、触发电子商务安全问题的原因有()。
A、黑客的攻击
B、管理的欠缺 C、网络的缺陷
D、软件的漏洞
7、不属于病毒防范制度的内容是()。
A、为自己的电脑安装防病毒软件
B、不打开陌生地址的电子邮件 C、认真执行病毒定期清理制度
D、高度警惕网络陷阱
8、下面属于不安全口令的有()。A、使用用户名作为口令
B、使用自己或者亲友的生日作为口令 C、使用学号或者身份证号码等作为口令 D、使用常用的英文单词作为口令
9、在使用数字证书来为邮件签名之前,还应该为电子邮件地址申请()。A、密码
B、密钥 C、数字标识
D、账号
10、计算机病毒是指()。
A、具有破坏作用的特制程序
B、带细菌的磁盘 C、已经损坏的磁盘D、优良程序
11、对称密码技术中DES是()。
A、Data Encryption Standard
B、Data End System C、Data Encryption System
D、Data End Standard
12、()协议是用于开放网络进行信用卡电子支付的安全协议。
A、SSL
B、TCP/IP C、SET
D、HTTP
13、CA认证中心主要承担电子商务中的交易认证、()、身份审核等服务。A、伏路把关
B、数据加密 C、证书签发
D、信息传递
14、属于非对称加密算法的有()算法。
A、RSA
B、Rivest Code C、DES
D、AES
15、防火墙可以抵御的安全威胁有()。A、不经由防火墙的攻击
B、受到病毒感染的软件或文件的传输 C、来自内部的攻击 D、内部信息的外泄
16、以下关于防火墙的说法错误的是()。
A、包过滤型防火墙在网络层工作,其处理对象是数据包。
B、应用网关型防火墙在应用层工作,而代理服务器型防火墙却在最高层共工作,这是它们的不同点。
C、包过滤型防火墙、应用网关型防火墙和代理服务器型防火墙的防范方式与侧重点不同。D、包过滤型防火墙通常安装在路由器上,而应用网关型防火墙和代理服务器型防火墙大多是基于主机的。
17、在保密制度里,信息的安全级别不包括()。
A、绝密级
B、机密级 C、秘密级
D、保密级
18、数字指纹也叫()。
A、数字签名
B、消息摘要
C、消息验证
D、数字摘要
19、目前最安全的身份认证机制是()。
A、一次口令机制
B、双因素法
C、基于智能卡的用户身份认证
D、身份认证的单因素法
20、身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和()。
A、可信性
B、访问控制
C、完整性
D、保密性
二、填空题
1、互联网的安全隐患主要表现在、、、四个方面。
2、电子商务面临的主要安全隐患有、、、、对交易行为进行的抵赖和身份识别六个方面。
3、一个功能较为完整的防火墙基本组成包括、、和。
4、防火墙的类型有、、和。
5、加密算法的代表为算法。
6、不对称加密算法的代表为算法。
7、有效的身份认证的三个基础因素是、和。
8、动态口令是应用最广的一种身份识别方式,一般是长度为的字符串,由数字、字母、、等组成。
9、生物特征分为和两类。
10、访问控制的要素有、、、和。
11、目前主要的访问控制类型有3种:、、。
12、和是电子商务安全协议是在电子商务活动中比较常用的安全协议。
13、SSL协议提供的安全连接具有的3个基本特点分别是:、和。
14、现行Web浏览器普遍将和相结合,从而实现安全通信。
15、SSL记录协议为SSL连接提供了和服务。
三、简答题&论述题
1、简述电子商务面临的主要安全隐患问题。
答: 电子商务需要借助网络,而网络的开放性,会存在以下安全隐患:(1)对合法用户身份的仿冒。(2)网络传输数据的保密性。(3)网络传输数据的完整性。(4)利用网络数据恶意攻击网络硬件和软间,从而导致商务佶息传递的丢失、破坏。(5)商业诈和故意抵赖。
2、防火墙的基本概念。
答:
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障
3、简述防火墙的功能。
4、简述防火墙的局限性。
5、列举身份认证的方法。
6、短信密码认证方法具有哪些优点?
7、访问控制的定义。
8、简述访问控制的原理。
9、自主访问控制的最大的特点是什么?
10、简述SET协议采用的数据加密模型的特点。
四、案例题
案例一:360安全浏览器
360安全浏览器(360SE)是互联网上好用和安全的新一代浏览器,和360安全卫士、360杀毒等软件产品一同成为360安全中心的系列产品。木马已经取代病毒成为当前互联网上最大的威胁,90%的木马用挂马网站通过普通浏览器入侵,每天有200万用户访问挂马网站中毒。360安全浏览器拥有全国最大的恶意网址库,采用恶意网址拦截技术,可自动拦截挂马、欺诈、网银仿冒等恶意网址。独创沙箱技术,在隔离模式即使访问木马也不会受感染。除了在安全方面的特性,360安全浏览器在速度、资源占用、防假死不崩溃等基础特性上表现同样优异,在功能方面拥有翻译、截图、鼠标手势、广告过滤等几十种实用功能,在外观上设计典雅精致,是很多网民使用浏览器的选择之一。360安全浏览器在网络安全方面具有以下特点:
1.智能拦截钓鱼网站和恶意网站,开心上网安全无忧; 2.智能检测网页中恶意代码,防止木马自动下载;
3.集成全国最大的恶意网址库,网站好坏大家共同监督评价; 4.即时扫描下载文件,放心下载安全无忧;
5.内建深受好评的360安全卫士流行木马查杀功能,即时扫描下载文件; 6.木马特征库每日更新,查杀能力媲美收费级安全软件;
7.采用“沙箱”技术,真正做到百毒不侵(木马与病毒会被拦截在沙箱中无法释放威力); 8.将网页程序的执行与真实计算机系统完全隔离,使得网页上任何木马病毒都无法感染计算机系统;
9.颠覆传统安全软件“滞后查杀”的现状,所有已知未知木马均无法穿透沙箱,确保安全。
请分析案例回答以下问题:
(1)分析360安全浏览器主要解决网络安全隐患中的哪一类问题。(2)浅谈电子商务中网络客户端方面应该注意的安全问题。
案例二:泄密案例
受害者:HBGary Federal公司(2011年2月)
随着为美国政府和500强企业提供信息安全技术服务的HBGary Federal公司CEO的黯然辞职,人们骤然醒悟,云时代保障企业信息资产安全的核心问题不是技术,而是人,不是部门职能,而是安全意识!企业门户大开的原因不是没有高价安全技术,而是缺乏一道“人力防火墙”。2011年2月6日,在美式橄榄球超级碗决赛之夜,HBGary Federal公司创始人Greg Hoglund尝试登录Google企业邮箱的时候,发现密码被人修改了,这位以研究“rootkit”而著称的安全业内资深人士立刻意识到了事态的严重性:作为一家为美国政府和500强企业提供安全技术防护的企业,自身被黑客攻陷了!更为糟糕的是,HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。
对HBgary Federal公司实施攻击的黑客组织“匿名者”随后将战利品——6万多封电子邮件在互联网上公布,直接导致HBgary Federal公司CEO Aaron Barr引咎辞职,由于此次信息泄露涉及多家公司甚至政府部门的“社交网络渗透”、“商业间谍”、“数据窃取”、“打击WikiLeak”计划,HBGary公司的员工还纷纷接到恐吓电话,整个公司几乎一夜间被黑客攻击彻底击垮。
失窃/受影响的资产:60000封机密电子邮件、公司主管的社交媒体账户和客户信息。安全公司HBGary Federal宣布打算披露关于离经叛道的Anonymous黑客组织的信息后不久,这家公司就遭到了Anonymous组织成员的攻击。Anonymous成员通过一个不堪一击的前端Web应用程序,攻入了HBGary的内容管理系统(CMS)数据库,窃取了大量登录信息。之后,他们得以利用这些登录信息,闯入了这家公司的多位主管的电子邮件、Twitter和LinkedIn账户。他们还完全通过HBGary Federal的安全漏洞,得以进入HBGary的电子邮件目录,随后公开抛售邮件信息。
汲取的经验教训:这次攻击事件再一次证明,SQL注入攻击仍是黑客潜入数据库系统的首要手段;Anonymous成员最初正是采用了这种方法,得以闯入HBGary Federal的系统。但要是存储在受影响的数据库里面的登录信息使用比MD5更强大的方法生成散列,这起攻击的后果恐怕也不至于这么严重。不过更令人窘迫的是这个事实:公司主管们使用的密码很简单,登录信息重复使用于许多账户。
请结合案例谈谈对该事件的看法,并说说今后该如何做。
第四篇:电子商务安全问题典型案例
案例一:
淘宝“错价门”引发争议
互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。”这起“错价门”事件发生至今已有两周,导致“错价门”的真实原因依然是个谜,但与此同时,这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中,消费者与商家完成交易,成功付款下了订单,买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易,这种行为本身是否合法?蒋苏华认为,按照我国现行法律法规,淘宝网的行为涉嫌侵犯了消费者的自由交易权,损害了消费者的合法权益,应赔礼道歉并赔偿消费者的相应损失。
总结:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。
案例二:
黑客热衷攻击重点目标
国外几年前就曾经发生过电子商务网站被黑客入侵的案例,国内的电子商务网站近两年也发生过类似事件。浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击,网站图片几乎都不能显示,每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份的网络黑客攻击,这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务器,企图破坏阿里巴巴全球速卖通台的正常运营。随着国内移动互联网的发展,移动电子商务也将迅速发展并给人们带来更大便利,但是由此也将带来更多的安全隐患。黑客针对无线网络的窃听能获取用户的通信内容、侵犯用户的隐私权。
总结:黑客攻击可以是多层次、多方面、多种形式的。攻击电子商务平台,黑客可以轻松赚取巨大的、实实在在的经济利益。比如:窃取某个电子商务企业的用户资料,贩卖用户的个人信息;破解用户个人账号密码,可以冒充他人购物,并把商品货物发给自己。黑客有可能受经济利益驱使,也有可能是同业者暗箱操作打击竞争对手。攻击电子商务企业后台系统的往往是专业的黑客团队,要想防范其入侵,难度颇大。尤其是对于一些中小型电子商务网站而言,比如数量庞大的团购网站,对抗黑客入侵更是有些力不从心。如果大量电子商务企业后台系统的安全得不到保障,我国整个电子商务的发展也将面临极大威胁。
第五篇:企业电子商务安全问题分析---电子商务毕业论文
课程名:电子商务
课程编号:2104013
电子商务课程结课论文论文题目所在班级学生学号学生姓名任课教师
企业电子商务安全问题分析
《电子商务》课程结课论文
电子商务课程结课论文
--------企业电子商务安全问题分析
随着电子信息技术的迅速普及和广泛应用,电子商务以其快捷、便利等优点越来越受到社会的认可。电子商务的发展前景十分诱人,但商业信息的安全依然是电子商务的首要问题。本文从实现电子商务安全性的基本框架出发,对电子商务中的各种安全技术进行了分析,以探讨一种有效、安全的实现电子商务的途径。
一、我国电子商务现状
根据CNNIC发布的《中国互联网络热点调查报告》中显示:网上购物大军达到2000 万人,在全体互联网网民中,有过购物经历的网民占近20% 的比例。根据国家信息化办公室公布的数据,目前仍有60%的中小企业的信息化程度处于初级阶段。
因此,电子商务是互联网应用发展的必然趋势,也是国际金融贸易中越来越重要的经营模式,以后它还会逐渐地成为我们经济生活中一个重要部分。但同时我们也看到,我国的电子商务还处于了发展的初级阶段还有很长的路要走,从而安全是保证电子商务健康有序发展的关键因素。
根据调查显示,目前电子商务安全主要存在的问题是:
(1)计算机网络安全
(2)商品的品质
(3)商家的诚信
(4)货款的支付
(5)商品的递送
(6)买卖纠纷处理
(7)网站售后服务
以上问题可以归结为两大部分:计算机网络安全和商务交易安全。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。只有解决好以上的矛盾,电子商务才能保证又快又好的发展。
二、网络安全技术策略
电子商务的安全问题,可以归结两大类问题:一是支付安全,二是认证安全。
1、支付安全
由于网络天生的不安全性,特别是其网上支付领域有着各种各样的交易风险。但无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。
(1)密码管理问题
大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。许多攻击者还会直接使用软件强力破解一些安全性弱的密码。
《电子商务》课程结课论文
因此,因此建议用户使用复杂的密码,降低被病毒破译密码的可能性,提高计算机系统的安全性。需要注意:一是密码不要设置为姓名、普通单词
一、电话号码、生日等简单密码;二是结合字母、数字、大小写共组密码;三是密码位数应尽量大于9 位。
(2)网络病毒、木马问题
现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视lE浏览器正在访问的网页,如果发现用户正在登录个人银行,直接进行键盘记录输入的帐号、密码,或者弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码.然后通过邮件将窃取的信息发送出去。
因此,需要做好自身电脑的日常安全维护,注意以下几点: 一是经常给电脑系统升级,二是安装杀毒软件、防火墙,经常升级和杀毒,三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒,四尽量不要在公共电脑上使用自己的有关资金的帐户和密码,五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金帐户前做一次系统恢复。
(3)钓鱼平台
“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web 站点来进行诈骗活动,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露自己的财务数据,如信用卡号、账户号和口令等。
因此,在登录支付资金时,应注意:
一是确认该网是否是官方网站,二是仔细核对该网的域名是否正确,注意小写“1 ”与“L ”、“0 ”与“O ”等情况,三保证良好的上网习惯,收藏常用的网址,减少网上链接。
(4)硬件数字认证
在电子商务体系构建的过渡时期,道高一尺,魔高一丈。各类病毒层出不穷,木马也在天天更新,今天这种技术安全,明天就不一定安全。
因此,数字证书的引入是在线支付安全问题的最终解决方案之一。网上支付不安全,选择网下加以弥补。
以工商银行2003年推出并获得国家专利的客户证书USBkey(U 盾)为例。从技术角度看.u 盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024 位非对称密钥算法对数据进行加密、解密和数字签名.确保网上交易的保密性、真实性、完整性和不可否认性。它顺利地解决了当前网银密码泄漏的问题。有了硬件数字证书的应用,即使你的密码泄漏了。没有证书,黑客还是不能够使用你的帐户。
动态电子密码的应用也可以确保电子银行帐号的安全。现行的有两种方式,一种是在使用时查看当前的动态电子密码。另一种是临时通过绑定手机、密宝等通信工具,向帐户所在银行申请临时密码。由于具有较强的时效性,从而保障帐户资金的安全。还有其它消极的防护措施。如某些网上银行交易金额限制,单次为300 元,每日限额为3000元。主要是为了降低电子支付交易风险.但在一定程度上会给大额交易带来不便。这种措施其实治标不治本。
2、认证安全
电子商务为了保证网络上传递信息的安全,通常采用加密的方法。但这是不够的,如何确定交易双方的身份,如何获得通讯对方的公钥并且相信此公钥是由某个身份确定的人拥有的,解决方法就是找一个大家共同信任的第三方,即认证中心(CertificateAuthority,CA)颁发电子证书。用户之间利用证书来保证安全性和双方身份的合法性,只有确定身份后,交易的纠纷,才得到有效的裁决。
总之,电子商务的安全是个非常复杂的问题,它的保障机制必须是有机的,多层次的,需要有企业管理方面,技术支持方面的协调来实现。它是一个系统有机的整体,不仅需要
《电子商务》课程结课论文
计算机网络安全的保证,也需要商务交易安全上的保障,更需要管理上的进步,才能确保电子商务的安全。同时我国在电子商务技术性较为落后,必须加强具有自主产权的信息安全产品的研究,注意加强信息安全人才的培养,多方共同努力建立科学的电子商务安全机制,才能为我国的电子商务又快又好的发展保驾护行。
三、对电子商务活动安全性的要求
(1)服务的有效性要求。电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
(2)交易信息的保密性要求。电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
(3)数据完整性要求。数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
(4)身份认证的要求。电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
四、电子商务的主要安全要素
(1)信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
(2)信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
(3)信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
(4)信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在-3-
《电子商务》课程结课论文
internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
五、电子商务采用的主要安全技术
1.网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
2.通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制, SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[ ]
3.应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现
《电子商务》课程结课论文 的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。
六、用户的认证管理
(1)身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
(2)CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。
(3)安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
七、电子商务安全需要进一步完善的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:(1)突破关键技术受制于人的瓶颈。
(2)我国应尽快对电子商务的有关细则进行立法。
(3)大力开发大型商务网站,发展与之相配套的物流公司。
《电子商务》课程结课论文
(4)为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。
(5)建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。
(6)对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
点击咨询 