第一篇:电子商务安全总结
什么是公开密钥,对称密钥及各自的特点, 主要运用的地方,是怎么使用的.非对称密码体制的特点是加密密钥和解密密钥不同,但存在着对应关系,即用某个加密秘钥加密的信息必须用其所对应的解密密钥才能解开,但在计算机上不能由加密密钥退出解密密钥。把这样的一对密钥称为公有密钥和私有密钥,企业需要自己保存的密钥称为私有密钥,对外公布的密钥称为共开密钥。
对称加密方法的特点是无论加密还是解密都使用同一把密钥。比较著名的对称加密算法就是DES,其分组长度为64位,实际的密钥长度为56位,还有8位校验码(16次加密)。.对称密钥优点是速度快,效率高。缺点是保存和管理密钥是一大难题;需要一条安全的途径传送密钥;无法鉴别发送方和接收方的身份。
非对称加密体制的特点(不能提供无条件的安全性)优点:
1、可以支持众多的安全服务(如保密性、完整性、起源认证、不可抵赖性和数字签名等)
2、简化了密钥发布和管理的难度
3、非常适合于再分布系统下使用
缺点:
1、与对称密码算法相比,非对称(即公有密钥)密码算法相对加解密速度较慢,他们可能要比同等强度的对称密码算法慢10到100倍。
2、要想让非对称密钥算法相同的安全强度,就必须使用更长的密钥。
3、非对称加密会导致得到的密文变长。数字时间戳流程,打在什么上145.数字时间戳是一个经加密后形成的凭证文档,它包括三部分:需要加时间戳的文件的摘要,DTS(数字时间戳服务)收到文件的日期和时间,DTS的数字签名。能提供电子文件发表时间的安全保护。
数字时间戳产生流程:用户首先将需要加时间戳的文件用哈希编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。Hash算法是把任意长度的的输入数据经过算法压缩,输出一个尺寸小了很多的固定长度的数据,即哈希值。哈希值也称为输入数据的数字指纹或消息摘要等。
单项哈希函数基本特征:
1、单项哈希函数能够处理任意长度的明文(至少是在实际应用中可能碰到的长度的明文),其生成的消息摘要数据长度具有固定的大小,而且,对同一个消息反复执行该函数总能得到相同的信息摘要。
2、单项哈希函数生成的信息摘要是不可预见的,消息摘要看起来和原始的数据没有任何的关系。而且,原始数据的任何微小变化都会对生成的信息摘要产生很大的影响。
3、具有不可逆性,即通过生成的报文摘要得到原始数据的任何信息在计算机上是完全不可行的。
通过哈希值来“代表”信息本身,保证信息安全。
典型哈希函数(MD5、SHA、)
哈希函数的应用:文件效验、数字签名、鉴权协议
Set协议(安全电子交易规范)主要目的是解决信用卡电子付款的安全保障性问题。
Set协议的加密技术:密钥加密系统、公钥加密系统、数字信封、数字签名、信息摘要、双重签名。
1、通过加密保证信息机密性
2、应用数字签名技术进行鉴别
3、使用X.509v3数字证书来提供信任
4、应用散列函数保证数据完整性。Set协议的加密技术:密钥加密系统、公钥加密系统、数字信封、数字签名、信息摘要、双重签名。
双联签名的基本原理及其使用过程ppt.1、持卡人将发给商家的信息m1和发给第三方的信息m2分别生成报文摘要md1和md2
2、持卡人将md1和md2合在一起生成md,并签名
3、将m1,md2和md发给商家,m2,md1和md发给第三方
接收者根据接收到的报文生成报文摘要,再与收到的报文摘要合在一起,比较结合后的报文摘要和收到的md,确定持卡人身份和信息是否被修改。解决了三方参加电子贸易过程中安全通信的问题。双重签名技术:在一项安全电子商务交易中,持卡人的定购信息和支付指令是相互对应的。商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货;而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的,SET协议采用了双重签
名技术来保证顾客的隐私不被侵犯。
数据完整性的保障,接收方怎么比较,怎么实现及定义11、143,数据完整性就是确认没有修改,即无论是传输还是存储过程中的数据经过检查没有被修改过。采用奇偶校验或循环用余编码(crc)的机制也可以保证一定程度上的数据完整性,但主要用于检测偶发位错误,无法防范为了达到某种目的而故意修改数据内容的行为。通常希望提供数据完整性的实体和需要验证数据完整性的实体,需要协商合适的算法和密钥
Set协议(安全电子交易规范)主要目的是解决信用卡电子付款的安全保障性问题。SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。
ssl协议(安全套接层)主要用于提高应用程序之间数据的安全系数。提供的服务归纳为:用户和服务器的合法性认证,加密数据以隐藏被传送的数据,保护数据的完整性
区别:SET和SSL两种协议都能应用于电子商务中都通过认证进行身份的识别,都通过对传输数据的加密实现保密性。
SSL位于传输层与应用层之间,能很好的封装应用层数据,对用户是透明的。SSL只需要一次“握手”过程即建立一条安全通信的通道,保证数据传输的安全。SSL并不是专为支持电子商务而设计,只支持双方认证,商家完全掌握用户的帐号信息。
SET协议专为电子商务系统设计,位于应用层,认证体系完善,能实现多方认证。用户账户信息对商家保密。SET协议复杂,要用到多个密钥以及多次加解密。SET中还有发卡行、CA、支付网关等其它参与者。分为单向认证和双向认证过程
1:客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通信所需要的各类信息。2:服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送本身的证书。3:客户利用服务器传过来的信息验证服务器的合法性4:用户端随机产生一个用于后面通信的“对称密码”,然后用服务器的公钥对其加密,然后将加密后的“预主密码”传给服务器。
5:如果服务器请求客户的身份认证,用户可以建立一个随机数然后对其进行数据签名6:如果服务器请求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性7:服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通信的加解密通信。8:客户端向服务器端发出信息,指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥9:服务器向客户端发出信息,指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥
10:SSL 的握手部分结束,SSL 安全通道的数据通信开始,客户和服务器开始使用相同的对称密钥进行数据通信,同时进行通信完整性的检验。
SSL协议采用加密技术保障信息安全,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用各种加密技术,以保证其机密性和数据完整性,并且经数字证书鉴别,防止非法用户破译。采用密码哈希函数和机密共享的方法,提供信息完整性的服务,建立客户机遇服务器之间的安全通道。
安全套接字层(SSL)协议,是对计算机之间整个会话进行加密的协议,它能提供Internet上通信的保密性。该协议允许客户∕服务器应用程序在通信时,能够阻止窃听、报文伪造等安全攻击。
重放攻击 :光靠使用报文鉴别码(MAC)不能防止对方重复发送过时的信息包。SSL通过在生成MAC的数据中加入隐藏的序列号,来防止重放攻击。这种机制也可以防止被耽搁的,被重新排序的,或者是被删除数据的干扰。序列号的长度是64bit,因此打包不会有问题。另外,序列号由每个连接方向分别维护,而且在每一次新的密钥交换时进行更新,所以不会有明显的弱点。
实体认证,数据来源认证79.1、实体认证:身份由参与通信的一方提交的,用来认证实体本身的身份,决定是否进行访问及相应的授权;保障系统使用与管理的安全性,认证信息和具体实体对应,不会和实体要进行的活动联系起来。
2、数据来源认证:认证数据项提交者的实体身份,确定实体与数据项间的静态关系;保证数据的完整性,保障实体的身份是特点数据项的来源。
CA:认证授权中心,是电子商务和网上银行等应用中所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构,负责为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。数字证书保障信息的安全性、真实性、可靠性、完整性和不可抵赖性 CA证书的格式遵循X.509标准
层次结构,它由跟CA、品牌CA、地方CA及持卡人CA、商家CA、支付网关CA等不同层次构成,自上而下的信任链,下级CA信任上级CA,下级CA由上级CA颁发证书并认证。
交易双方向CA提交自己的公钥和其他代表自己身份的信息;CA验证双方身份,颁发一个用CA私钥加密的数字证书;
交易双方用CA的公钥验证CA,验证了CA就信任其签发了数字证书的每一个用户;交易双方从信任的CA处获得了数字证书,通过交换数字证书获取对方的公钥;当用户私钥/公钥到期或证书有效期到,CA公布用户证书作废。
动态口令识别(主要了解)86.动态口令方式:采用动态令牌的硬件,内置电源、密码生成芯片和显示屏,根据当前时间或次数生成当前密码,即“一次一密”,使用不太方便。
指纹识别两个基本原理88.指纹:手指末端正面皮肤上凹凸不平产生的纹路。总体特征,有可能相同局部特征,不可能完全相同指纹识别技术涉及的四个功能:读取指纹图像、提取特征、保存数据和比对。
什么是拒识率、误识率,及两者的关系89。
拒识率是指将相同的指纹误认为是不同的,而加以拒绝的出错概率,FRR=(拒识的指纹数目/考察的指纹总数目)
误识率是指将不同的指纹误认为是相同的指纹,而加以接受的出错概率,FAR=(错判的指纹数目/考察的指纹总数目
循环测试方法给定一组图像,依次两两组合,提交进行比对,统计总的提交比对的次数及发生错误的次数,并计算出出错的比例,即FRR和FAR。两个指标互为相关的,FRR与FAR成反比关系。
什么是IC卡,IC卡存在的安全问题,与USB KEY的区别103.IC卡:智能卡,在特定材料制成的塑料卡中嵌入微处理器和存储器等IC芯片的数据卡
安全问题:失或被窃的IC卡,冒充合法用户进入应用系统,获得非法利益;用伪造的或空白卡非法复制数据,进入应用系统;使用系统外的IC卡读写设备,对合法卡上的数据进行修改,改变操作级别等;在IC卡交易过程中,用正常卡完成身份认证后,中途变换IC卡,从而使卡上存储的数据与系统中不一致;在IC卡读写操作中,对接口设备与IC卡通信时所作交换的信息流进行截听,修改,甚至插入非法信息,以获取非法利益,或破坏系统。
常用的安全技术有: 身份鉴别和IC卡合法性确认,指纹鉴别技术,数据加密通讯技术等。总体上,IC卡的安全包括物理安全和逻辑安全。
USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
数字签名的定义112。
数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名。
RSA是世界上第一个最为成功的公有密钥密码体制,基于“求两个素数的乘积是很容易计算,但要分解两
个大素数的乘积却是非常困难的,它属于NP-完全类,是一种幂模运算的加密体制”
什么是盲签名,盲签名的过程119.盲签名是一种特殊的数字签名,他与通常的数字签名的不同之处在于,签名者并不知道它所要签发文件的具体内容。(不可伪造性、不可抵赖性、盲性、不可跟踪性)
过程:消息 →用户盲交换 →签名者生成签名 →用户脱盲交换 →最后签名
电子现金的三方及他们之间的关系126,1、取款• U 用身份认证协议向B证明身份• U将N份电子现金文件m(内含金额、用户ID及唯一的随机数等信息)用不同的盲因子盲化后交给B•B随机选择一部分(如:N一1个)文件,向U 索要盲因子,恢复出文件(去盲),审查内容是否符合要求.• 如果审查通过,B从未审查的文件中任取一份盲签名,并发给U,从U 的帐户中减去相应金额;否则协议终止• U对收到的签名文件去盲,得到电子现金。
2、支付U 与C交易时,把电子现金交给C
• C验证B的签名,如是伪造的,则拒收;否则进一步检测用户(可选),通过后接受电子现金,提供等价的服务。
3、存款C向B递交电子现金和帐户信息
• B验证签名,若是伪造的,则拒收;否则查询数据库是否有相同的签名(防止重复使用电子现金),若找到则C或U 重用电子现金,拒收;否则接受,在C的帐户中加上相应金额,在数据库中添加签名。电子投票协议过程,是怎样实现的(简答题)127
使用盲签名的情况下,一个电子选举方案的实施均可按照以下4个基本步骤来完成。
U:投票人;R:注册机构,审核投票人资格;V:投票机构,接受投票
1、注册:U-R:U证明自己的身份,并提交两张内容分别为yes和no的选票,选票分别盲化;
R-U:R确认U的身份合法,并尚未参加投票,若符合条件则将两张选票签名后返回给U,否则拒绝U的请求。
2、投票U:去盲后得到两张合法选票;
U-V:U按照自己的意愿向V提交一张选票,并用V的公钥加密后发送给V;
V-U:V用私钥解密后,验证签名。若签名有效,再查看数据库,选票中的序列号是否有记录。若有则为重复选票,否则,计票,并记录该序列号。
3、计票V统计选票,并公布结果,以及选票对应的序列号。
4、验证投票者验证自己的选票是否被正确统计在选举结果中。
代理签名的分类129(选择题)代理签名分为三大类:完全代理签名、部分代理签名和具有证书的代理签名。
什么是PK,PKI的目标及优势
PKI是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。任何以公钥技术为基础的安全基础设施都是PKI。
PKI的主要目标:通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。
PKI的优势:密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。
由于密码技术的采用,保护机密性是PKI最得天独厚的优点。
由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。
PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。
PKI具有极强的互联能力。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。.PKI是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。
一个标准的X.509数字证书包含以下一些内容:
①证书版本号:②证书序列号:③签名算法标示符:④颁发机构名称:这是必须说明的;⑤有效期:证书
有效的时间段,包括生效日期、时间和失效日期、时间⑥证书用户名(包括国家、省市、地区、组织机构、单位部门、通用名还可以包括E-mail地址和个人信息)⑦证书持有者公钥信息:证书持有者的公有密钥值和公有密钥使用的算法标识符–这是必须说明的;⑧颁发者唯一标识符:⑨证书持有者唯一标识符:⑩签名值,证书签发机构对证书上述内容的签名值。
申请:在线申请,离线申请。在线申请通过浏览器或其他应用系统,用于普通用户证书。离线申请一般通过人工方式去证书机构受理点办理证书申请手续,用于比较重要的场合,如服务器证书和商家证书。
撤销:用户向特定操作员发一份加密签名邮件,声明自己希望撤销。操作员打开邮件,填写CRL注册表,并且进行数字签名,提交给CA,CA操作员验证注册机构操作员的数字签名,批准用户撤销证书,并且更新CRL,然后CA将不同格式的CRL输出给注册机构,公布到安全服务器上,这样其他人可以通过访问服务器得到CRL。
将客户端发来的数据解密;将解密后的数据分解成原始数据,签名数据和客户证书三部分;用CA根证书验证客户证书的签名完整性;检查客户证书是否有效(当前时间在证书结构中所定义的有效期内);检查客户证书是否作废;验证客户证书结构中的证书用途;客户证书验证原始数据的签名完整性。
1.通过PKI可以构建一个可管、可控、安全的互联网络;
通过认证机制建立证书服务系统,利用证书绑定每个网络实体的公钥,使网络的每个实体均可识别,从而解决“你是谁”的问题。2.通过PKI可以在互联网中构建一个完整的授权服务体系;构建授权服务系统,利用私钥的唯一性,保证使用者的权限。解决“你能干什么”的授权问题,保障领导的权益。3.通过PKI可以建设一个普适性好、安全性高的统一平台;可以对物理层、网络层和应用层进行系统的安全结构设计,构建统一的安全域。可以在元素级实现签名和加密等功能,通过XML技术提供跨平台和移植的业务数据,提高平台的普适性、安全性和可移植性。
(ipsec隧道模式及ipsec传输模式)
ESP同AH一样是提供IP的安全性,但它比AH有更强的安全性。ESP的认证服务是通过使用消息认证码(MAC)来实现,这与AH认证的使用一样通过使用HMAC来达到对数据包的认证和完整性检测。ESP协议可以单独使用也可以与AH结合使用。
ESP 头可以放置在 IP 头之后、上层协议头之前(传送层),或者在被封装的 IP 头之前(隧道模式)。ESP 包含一个非加密协议头,后面是加密数据。
EDI(电子数据交换协议)是一种在公司之间传输订单、发票等作业文件的电子化手段。
包含了三个方面的内容:计算机应用、通信、网络和数据标准化。计算机应用是EDI的条件,通信环境是EDI的应用基础,标准化是EDI的特征。
数字信封(问答)212.数字信封是用来确保信息安全传输的一种机制。克服了对称密钥体制中的对称密钥分发困难和公有密钥加密中加密时间过长的问题。实现过程如下:a.加密信息:产生一个对称密钥K;用对称密钥加密信息I,得到I~;获得接收方的公约;用接收方的公钥对对称密钥K加密,得到K~(数字信封);发送{K~,I~};b.解密信息:收至{K~,I~};用自己的私钥解密K~,得到原来的对称密钥K;再用K解密I~,得到原来的I。数字签名(问答)213.a.签名信息:对信息M进行哈希函数处理,生成摘要K;用发送者的私钥加密K来获取数字签名S;发送(M,S);b.验证签名信息:接收(M,S),并且把它们区分开;对接收到的信息M进行哈希函数处理,生成摘要K~;获取发送者的公钥;用公钥解密S,来获取K;比较K和K~,如果两者是一样的,及说明信息在发送过程中没有被篡改,反之则说明信息已被篡改或信息发送方并不是你所期待的发送者。
电子商务支付安全6要素ppt,机密性、完整性、认证性、不可否认性、不可拒绝性、访问控制性
电子商务环境体系安全: a.法律体系b.信用体系c.隐形体系d.道德体系e.应急响应体系f.风险控制体系什么是诚实、诚信、尊信用42.道德的作用43.什么叫做应急响应44.诚实就是以本真面目为人处世,以真心待人接物,不做假、不虚伪
信用是一种德行,就是要遵守自己做出的承诺
尊重:电子商务活动中,尊重具体化为对于人(包括法人)的特定权力的尊重,如对电子商务主体的人格权、隐私权、知识产权的尊重等
公正:即不偏私,不以不平等的尺度分别要求自己与他人。电子商务中公正表现为参与交易活动的双方在权利和义务上是对等的。
道德的作用机制两个方面:
1、社会的道德舆论;
2、主体的道德良心。
应急响应:“Incident Response”或“Emergengcy Response”,通常是指一个组织为了应对各种意外事件的发生所做的准备及在事件发生后所采取的措施。
应急响应活动的内容:1.“未雨绸缪”:事前做好准备;2.“亡羊补牢”:事后采取措施。
应急响应活动的分类
1、公益性应急响应活动:政府或公益性组织资助的,对社会提供的公益性的服务
2、内部应急响应活动:组织内部的应急响应活动
3、商业的应急响应活动:专门的商业机构开展的应急服务,提供外包应急服务
电子商务企业风险管理程序50.。(风险识别、风险分析、风险应对、风险监控)
电子商务的定义:电子商务(Electronic Commerce)是各种具有商业活动能力和需求的实体为了跨越时空限制,提高商务活动效率,而采用计算机网络和各种数字化传媒技术等电子方式实现商品交易和服务交易的一种贸易形式。电商道德问题:商业欺诈、商业诽谤、网上隐私、商业信息的安全、商业信用问题 电子商务的安全涉及两个方面:
Internet安全威胁:
1、黑客攻击:破坏性攻击与非破坏性攻击,主要手段如
下:木马程序攻击、信息炸弹攻击、拒绝服务攻击、网络监听攻击、密码破解攻击;
2、计算机病毒的攻击:具有传染性的一段程序,破坏计算机系统的正常运行;
3、安全产品使用不当:安全产品的配置具有一定的专业性;
4、缺乏网络安全管理制度)
(商务交易安全威胁:
1、在线交易主体的市场准入机制;
2、信用风险;
3、电
子合同风险;
4、电子支付风险;
5、虚拟财产保护风险)
电子商务交易安全要求:①交易数据的传输安全:交易数据和信息的保密要求、交易数据和信息的完整性要求、交易各方身份的可认证性要求、交易本身的不可抵赖性要求、交易过程的有效性、访问控制性。②电子商务的支付安全
电子商务安全主要体系在四个方面:
1.环境体系安全;2.技术安全;3.管理安全;4.应用安全;
1)法律体系:安全的电子商务必须依靠法律手段、行政手段和技术手段的完美结合来保障各方的利益。(2)信用体系商业信用的缺乏已经严重制约着中国电子商务的发展。(3)隐私体系网络隐私数据的安全保障,成为电子商务发展首要解决的问题。(4)道德体系传统商务中的道德问题在电子商务中变得更为严重。(5)应急响应体系 建立电子商务赖以生存的网络和计算机系统的应急响应机制。(6)风险控制体系
技术安全:(1)密码学技术:对称密码体制和非对称密码体制(2)认证机制;数学方式、物理方式、生物方式;(3)数字签名:哈希函数,不同长度的数据生成定长的摘要,不同文件的摘要不同。(4)PKI:“公钥基础设施”,能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。(5)通信和交易协议:IPSec协议、SSL协议、SET协议、EDI协议; RADIUS协议:AAA(Authentication认证,Authorization授权,Accounting 计费)
务安全、电子邮件安全。管理安全
电子商务企业风险管理程序:风险识别—风险分析—风险应对—风险监控
1、风险识别:收集整理可能的风险,形成风险列表
2、风险分析:确定风险对企业的影响,进行量化估计;风险影响指标、风险概率、风险值
3、风险应对:制定风险应对策略,编制风险应对计划;可规避性、可转移性、可缓解性、可接受性
第二篇:电子商务安全案例总结
电子商务安全案例总结
电子商务从产生至今虽然时间不长,但发展十分迅速,已经引起各国政府和企业的广泛关注和参与。但是,由于电子商务交易平台的虚拟性和匿名性,其安全问题也变得越来越突出,近些年的案例层出不穷。
1.台湾黑客对某政府网站的攻击(1999年8月) 该网站运行的系统是SunOS,版本比较旧。当时大陆黑客出于对李登辉“quot;两国论”quot;谬论的愤慨,为谴责李登辉的分裂行径,于8月份某日,一夜之间入侵了数十个台湾政府站点。台湾黑客采取了报复行动,替换了这个网站的首页。经本站技术人员P分析,在该系统上实际存在至少4个致命的弱点可以被黑客利用。其中有两个RPC守护进程存在缓冲区溢出漏洞,一个CGI程序也有溢出错误。对这些漏洞要采用比较特殊的攻击程序。但台湾黑客并没有利用这些比较高级的攻击技巧,而是从一个最简单的错误配置进入了系统。原来,其缺省帐号infomix的密码与用户名相同!这个用户的权限足以让台湾黑客对web网站为所欲为。从这件事情可以看出,我们有部分系统管理员不具备最起码的安全素质。
2.东亚某银行(1999年12月)
该网站为WindowsNT 4.0,是这个国家最大的银行之一。该网站BankServer实际上有两道安全防线,首先在其路由器的访问控制表中(ACL)做了严格的端口过滤限制,只允许对80、443、65300进行incoming访问,另一道防火墙为全世界市场份额最大的软件防火墙FW,在FW防火墙上除了端口访问控制外,还禁止了很多异常的、利用已知CGI bug的非法调用。在12月某日,该银行网站的系统管理员Ymouse(呢称)突然发现在任务列表中有一个杀不死的CMD.exe进程,而在BankServer系统上并没有与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人员F求救。F认为这是一个典型的NT系统已经遭受入侵的迹象。通过Email授权,F开始分析该系统的安全问题,从外部看,除www.xiexiebang.coming的可疑通信,却发现BankServer正在向外连接着另一台NT服务器Wserver的139端口。通过进一步的分析,证实有人从BankServer登录到了Wserver的C盘。Wserver是一台韩国的NT服务器,不受任何安全保护的裸机。F对Wserver进行了一次简单的扫描,结果意外地发现Wserver的管理员帐号的密码极为简单,可以轻易获取对该系统的完全控制。更令人吃惊的是,在这台韩国的服务器的C盘上,保存着上面提到的东亚某银行的一个重要数据库文件!更多的文件正在从BankServer上往这台韩国的Wserver上传送!
3.借刀杀人,破坏某电子公司的数据库(2001年2月12日)1999年11月该网站运行于Windows NT 4.0上,web server为IIS4.0,补丁号为Service Pack5。该网站管理员在11月的某一天发现其web网站上的用户资料和电子配件数据库被入侵者完全删除!严重之处更在于该数据库没有备份,网站运行半年来积累的用户和资料全部丢失。系统管理员反复检查原因,通过web日志发现破坏者的调用web程序记录,确定了当时用户的IP是202.103.xxx.xxx(出于众所周知的原因这里隐藏了后两位),而这个IP来自于某地一个ISP的一台代理服务器。这个202.103.xxx.xx的服务器安装了Wingate的代理软件。破坏者浏览电子公司的网站是用该代理访问的。这件事情给电子公司带来的损失是很严重的,丢失了半年的工作成果。入侵者同时给202.103.xxx.xxx带来了麻烦,电子公司报了案,协查通报到了202.103.xxx.xxx这个ISP所在地的公安局。该代理服务器的系统管理员是本站一位技术人员F的朋友。F通过对受害者的服务器进行安全检查发现了原因。首先,其端口1433为开放,SQL数据库服务器允许远程管理访问;其次,其IIS服务器存在ASP的bug,允许任何用户查看ASP源代码,数据库管理员帐号sa和密码以明文的形式存在于ASP文件中。有了这两个条件,破坏者可以很容易地连上SQL数据库,以最高身份对数据库执行任意操作。对于该漏洞的补丁,请下载本站的ASP bug补丁修复程序。
4.熊猫烧香(2006年12月)
2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种.一只憨态可掬,颔首敬香的“熊猫”在互联网上疯狂“作案”.在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户,网吧及企业局域网用户,造成直接和间接损失超过1亿元.2007年2月3日,“熊猫烧香”病毒的制造者李俊落网.李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现.李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元.而在链条下端的涉案人员张顺目前已获利数十万了.一名涉案人员说,该产业的利润率高于目前国内的房地产业.有了大量盗窃来的游戏装备,账号,并不能马上兑换成人民币.只有通过网上交易,这些虚拟货币才得以兑现.盗来的游戏装备,账号,QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖.一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币.李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元.经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播.据估算,被“熊猫烧香”病毒控制的电脑数以百万计
5.华硕官方网站遭黑客攻击 公司被迫关闭服务器(2011年4月6日)
Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露,该代码隐藏在网站主页的一个HTML元素中,并试图从另一台服务器上下载恶意代码。截止周五下午,这台服务器已经停止工作,虽然黑客们还可转移攻击目标,不过此次攻击的危险性已经下降。4月6日据外电报道电脑零部件生产商华硕的网站遭到黑客攻击,黑客利用本周才修复的一个Windows系统中的紧急漏洞,通过该网站的服务器发送恶意代码。Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露,该攻击代码隐藏在网站主页的一个HTML元素中,并试图从另一台服务器上下载恶意代码。截止周五下午,这台服务器已经停止工作,虽然黑客们还可转移攻击目标,不过此次攻击的危险性已经下降。
通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的.目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白.除了下载补丁,升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全.电子商务交易安全的一些典型技术和协议都是对有关电子商务交易安全的外部防范,但是要想使一个商用网络真正做到安全,不仅要看它所采用的防范措施,而且还要看它的管理措施。只有将这两者综合起来考察,才能最终得出该网络是否安全的结论。因此,只有每个电子商务系统的领导、网络管理员和用户都能提高安全意识,健全并严格有关网络安全措施,才能在现有的技术条件下,将电子商务安全风险降至最低.
第三篇:电子商务安全
电子商务安全
一、IBM、HP公司是如何展开电子商务的,他们有哪些好的电子商务安全措施以及他们对电子商务有什么新的看法。
IBM的展开“电子商务e代”
1997年3月,IBM第一个提出“电子商务”的概念,希望以此来推动IBM的整体业务,包括软件、硬件与服务。以当年美国为例,只有20%的美国人了解“电子商务”。IBM为了推广“电子商务”的概念发动了一个大型品牌营销战役。IBM当时的策划营销宣传战的主旨是,借助互联网引起讨论电子商务问题的热潮。IBM采取了全方位的品牌传播策略,以使目标受众群理解电子商务的概念,认识到它的优势。当时电子商务方兴未艾,营销宣传战役明确了电子商务所面临的问题,将IBM定位为解决问题的方案提供者,从而使IBM在虚拟世界新兴的“圈地运动”中,夺取了更广泛的领地。整个战役十分成功,同时引发了全球的电子商务热潮。网络发展的命运确令人们始料不及。2000年下半年,网络经济泡沫破裂,大批.com公司倒闭,人们依托互联网的电子商务能否真正盈利,深表怀疑。此时,谁如果能够迅速指出电子商务的发展方向,阐明发展前景,必将获得电子商务进入大发展时期的主动权与领导权。
IBM推出“电子商务e代”的营销宣传战役。IBM通过整个战役希望达到以下两个目标:第一、增加品牌认知度;第二、保持与电子商务概念紧密联系的领导地位。
这次的宣传战主要是推出IBM对于电子商务的全新诠释。宣传战前后分为两个战役。前一个战役的主题信息是“宣告电子商务的本质:就是商务”;紧接着的后一战役,着力推广“电子商务基础设施与电子商务解决方案”的核心思想。IBM HP安全措施:惠普安全智能和风险管理平台可以帮助客户转型其安全环境的关键,它是一个整合与关联平台,能够在成百上千的输入源中寻找威胁模式。这些输入源包括日志文件、应用安全情报、防火墙和入侵检测,以及保护服务数据。该平台包括ArcSight Express 3.0,通过CORR引擎驱动的先进的日志分析、关联分析和报告功能,帮助客户检测并防御网络威胁。CORR将每秒处理的事件数量提升500%,从而加快了分析和检测速度。它还将每个ArcSight设备上可存储和可搜索的数据量提高1000%,从而降低了成本。现在很多网络攻击80%都是从应用层面开展的,惠普Fortify安全中心通过静态编码分析,识别并消除应用漏洞,通过消除已部署应用中的安全隐患,保护软件免受网络工具,为安全的应用提供更快的价值转化。
IBM、HP公司对电子商务新的看法
2010年 3月 5日,IBM 在古都西安成功举办了“2010 IBM 智慧的地球之动态架构高峰论坛”。会议当天盛况空前,到会专家与现场 149名客户嘉宾,共同探讨了如何在“智慧的地球”理念下,创建一个灵活、弹性、智能、面向服务的世界级数据中心,使之成为探索创新商业模式的“智慧”引擎。会议围绕依托动态架构创建世界级数据中心,带来了云计算、动态工作负载优化、业务连续性规划
等多领域精彩内容;同时,期待已久的 POWER7 也隆重登场,带来了高端服务器发展的最新旗舰!
惠普海航战略合作四大领域 信息产业化突破未来。中国惠普有限公司与海航集团有限公司在海南省海口市共同签署了战略性合作框架协议。根据协议,海航集团和惠普公司将在四大领域建立战略合作伙伴关系:双方将共建海航-惠普信息管理培训中心和海航新一代绿色数据中心、合作运营互联网数据中心
(IDC),并在IT基础架构产品和解决方案领域进行深入合作,以推动地区和相关行业的信息化进程。惠普公司全球副总裁、中国惠普总裁符标榜,中国惠普副总裁潘家驰,海航集团董事局董事长陈峰,海航集团执行总裁助理喻龑冰等出席了签字仪式。
海航集团执行总裁助理兼信息管理部总经理喻龑冰说:“在数字化战略的指引下,经过多年的不断发展,海航集团信息化建设取了骄人的成果,在2008年中国企业信息化500强中排名第31名。在服务集团信息化的过程中,海航集团旗下的海南海航航空信息系统有限公司在IT技术、产品、人才等方面实现了雄厚的积累,通过多次卓越的技术实践为海南经济社会的发展作出了贡献。为了不断加强海航的信息化建设力度,实现信息产业化的发展目标,进一步推动区域经济的发展,海航希望通过强强合作,借助惠普公司的力量加快这一进程。海航相信,惠普在企业战略规划、新一代数据中心、IT基础设施和服务等方面的领先技术和雄厚实力,将为海航的战略发展提供更多新鲜血液。”惠普公司全球副总裁、中国惠普有限公司总裁暨中国惠普企业计算及专业服务集团总经理符标榜表示:“海航是中国信息化建设领域的领导者,制定了面向未来的清晰发展战略。惠普是全球最大的IT企业之一,也是全球新一代数据中心建设的领导者,以及全球信息服务业的领导者。此次战略合作,将惠普公司在企业战略和信息化规划、新一代绿色数据中心建设以及IT设备和IT外包服务等方面的优势,与海航集团的信息化建设和信息产业化发展战略相结合,全面扩展了双方既有的合作关系,加快了海航集团在信息服务领域的发展步伐。双方的合作同时也将更好地促进海南本地的IT人才培养,提升就业,助力海南信息产业发展和国际旅游岛的建设步伐
二、生活中你所涉及到的和电子商务有关的安全问题都有哪些?
1、对电子商务活动安全性的要求:
(1)服务的有效性要求。
(2)交易信息的保密性要求。
(3)数据完整性要求。
(4)身份认证的要求。
2、电子商务的主要安全要素
(1)信息真实性、有效性。
(2)信息机密性。
(3)信息完整性。
(4)信息可靠性、可鉴别性和不可抵赖性。
三、作为一名电子商务专业的学生,请罗列出你记忆中所参与过的电子商务活动并搜集中国2009年电子商务大事记。
中国2009年电子商务大事记:
2009年1月,网易“有道”搜索推出国内首个面向普通大众提供购物搜索服务的购物搜索,随后谷歌(中国)也采取市场跟进策略,推出类似搜索产品,这标志着“购物搜索时代”的启幕。
2009年1月,今日资本、雄牛资本等向京东商城联合注资2100万美元,引发国内家电B2C领域投资热。
2009年2月,慧聪网行业公司获ISO9001质量管理体系的证书,成国内首家获得ISO质量管理体系认证的互联网企业。
2009年4月8日,B2B上市公司生意宝宣布“同时在线人数”与“日商机发布量”这两大B2B平台重要指标,双双突破百万大关,参照国内外同行已位居全球领先水平,仅用两年走完了同行近10年的历程,创造了我国B2B乃至电子商务历史上的又一“中国式速度”。
2009年5月1日起,由中国国际经济贸易仲裁委员会颁布的《中国国际经济贸易仲裁委员会网上仲裁规则》正式施行,该规则特别适用于解决电子商务争议。
2009年5月3日,当当网宣布率先实现盈利,平均毛利率达20%,成为目前国内首家实现全面盈利的网上购物企业。
2009年5月,继生意宝推出“生意人脉圈”涉水SNS后,淘宝、阿里巴巴也随之先后推出相应SNS产品,由此,标志着当前最热门的SNS在我国跨入“电子商务时代”。
2009年6月,宁波市在提出打造“行业网站总部基地”之后,又宣布打造“电子服务之都”的目标。
2009年6月,视频网站土豆网、优酷网先后启动将视频技术与淘宝的网购平台相结合,共同提升用户网络购物的真实体验,推出“视频电子商务”应用技术。
2009年6月,“国家队”银联支付与B2C企业当当网签订合作协议,这是银联支付成立七年来,首度进入电子商务支付领域,与在线第三方支付市场领导支付宝形成了正面竞争。
2009年7月24日,淘宝网“诚信自查系统”上线,为C2C历史上规模最大的一次反涉嫌炒作卖家的自查举措。
2009年8月,百度宣布以“X2C”为核心的电子商务战略,并公布“凤鸣计划”。
2009年8月,中国电子商务协会授予金华为“中国电子商务应用示范城市”。2009年9月,卓越亚马逊再次推出全场免运费与当当网相持,这是两大行
业竞争者十年来首次同时免运费,标志着“免运费”将开始成为B2C行业标准规则。
2009年9月,“首届电子商务与快递物流大会”在杭州休博园召开,其宏观背景是,物流快递行业作为电子商务的支撑产业之一,近几年在第三方电子商务平台的带动下得到了快速发展
2009年9月,杭州政府发布鼓励电子商务创业优惠政策,杭州市居民在家开网店每月可领200元补贴。
2009年9月,中国电子商务研究中心发布了《1997—2009:中国电子商务十二年调查报告》,该报告是我国电子商务12年来首份较为系统、全面、详实的第三方调查报告,首度对我国电子商务12年来发生的大事记进行了梳理归类与历史记录。
2009年12月,申通“封杀”淘宝,圆通、韵达、中通齐涨价。淘宝、京东商城纷纷自建配送中心。
2009年12月,中国制造网在国内A股市场上市,成为B2B市场中除阿里巴巴、环球资源、网盛生意宝、慧聪网外的第五家上市公司。
4、请简单总结2009年电子商务安全领域在国际和国内发生的重要事件,从中你能得到什么启发?
答:1月,淘宝网对外宣布2008年交易额达999.6亿元,同比增长131%,已成为亚洲最大网上零售商圈
3月,阿里软件全面进入管理软件市场,将投入十亿元巨资,向中小企业推广管理软件,并承诺未来三年免费
5月,首届网货交易会在广州举行
6月,淘宝开放平台(Taobao Open Platform,简称TOP)Beta发布,“大淘宝战略”又有了实质性的进展
7月,阿里软件与阿里巴巴集团研发院合并
8月,阿里软件的业务管理软件分部注入阿里巴巴B2B公司;作为“大淘宝”战略的一部分,口碑网注入淘宝,使淘宝成为一站式电子商务服务提供商,为更多的电子商务用户提供服务
9月,阿里巴巴集团庆祝创立十周年,同时成立阿里云计算
从以上事件中,可以看到电子商务发展的神速,未来电子商务还有限发展。
第四篇:电子商务安全
电子商务安全练习题一附答案
(2012-04-03 10:10:09)转载▼
标签: 分类: 助理电子商务师试题
it
1、防火墙能够防范来自网络内部和外部的的攻击。(1分)B A、对 B、错
------------------
2、防火墙的管理一般分为本地管理、远程管理和(D)。(1分)A、统筹管理 B、登录管理 C、分类管理 D、集中管理
3、电子商务安全的内容包括(2分)ABC A、电子商务系统安全管理制度 B、商务交易安全 C、计算机网络安全 D、数据安全
4、黑客在网上经常采用的手段包括(1分)D A、占据内存 B、加密口令 C、虚构产品
D、偷取特权
5、病毒防范制度应该包括(1分)C A、不允许用户登录外部网站 B、不泄露管理员密码
C、不随意拷贝和使用未经安全检测的软件 D、不要随意发送邮件
6、下面哪种属于计算机病毒的特点?(1分)A A、针对性 B、多发性 C、危险性 D、盲目性
7、下面哪个属于计算机病毒按照病毒传染方式的分类?(1分)B A、操作系统病毒 B、引导区病毒 C、浏览器病毒 D、传输系统病毒
8、从网络安全威胁的承受对象看,下面哪个属于网络安全威胁的来源?(1分)B A、对交易双方的安全威胁 B、对数据库的安全威胁 C、对交易平台的安全威胁 D、对交易客户的安全威胁
9、网页病毒多是利用操作系统和浏览器的漏洞,使用_____技术来实现的。(1分)A A.ActiveX 和 JavaScript B.Activex 和 Java
C.Java 和 HTML D.Javascritp 和 HTML
10、下述哪一项不属于计算机病毒的特点?(1分)p107 D A.破坏性 B.针对性 C.可触发性 D.强制性
11、病毒程序的引导功能模块是伴随着____的运行,将病毒程序从外部引入内存。(1分)C A..com程序 B.邮件程序 C.宿主程序 D..exe程序
12、黑客是指什么?(1分)D A.利用病毒破坏计算机的人 B.穿黑衣的人 C.令人害怕的人
D.非法入侵计算机系统的人
13、黑客主要是利用操作系统和网络的漏洞,缺陷,从网络的外部非法侵入,进行不法行为。A A.对 B.错
14、防火墙的包过滤型是基于应用层的防火墙。(1分)P103 A A.错
B.对
15、防火墙的代理服务型是基于网络层的防火墙。(1分)P103 A A.错 B.对
16、下述哪个是防火墙的作用?(1分)A A.可限制对internet特殊站点的访问 B.对整个网络系统的防火方面起安全作用 C.内部网主机无法访问外部网
D.可防止计算机因电压过高而引起的起火
17、最难防御的安全问题是病毒攻击。(1分)A A.错 B.对
18、下述哪个不是常用国外防病毒软件?(1分)D A.PC-cillin B.Norton C.Mcafee D.AV95
18、下述哪项不是计算机病毒在技术方面的防范措施? 1分 理论
A A、不要频繁更新系统软件,防止病毒在更新过程中进行感染
B、在系统开机设置中进行设置,防止病毒感染硬盘引导区
C、选用防病毒软件对病毒进行实时监测
D、及时更新病毒软件及病毒特征库,防止新病毒的侵入
19、按照计算机病毒的链接方式分类,下述哪个不属于计算机病毒的分类?分 理论
A
A、感染型病毒
B、源码型病毒
C、嵌入型病毒
D、外壳型病毒
20、下述哪项是选择防毒软件应考虑的要素? 1分 理论
A A、技术的先进性和稳定性、病毒的响应速度
B、技术支持程度、防病毒软件使用界面是否漂亮
C、用户的操作系统、技术的先进性和稳定性
D、防病毒软件使用界面是否漂亮、技术支持程度 按照计算机病毒的链接方式分类,下述哪个不属于计算机病毒的分类? 1分 理论 A A、感染型病毒 B、源码型病毒 C、嵌入型病毒 D、外壳型病毒
22.下述哪个不是常用的国产防病毒软件? A A)PC-clillin B)Kill C)KV3000 D)瑞星
22.特洛伊木马类型病毒的主要危害是: D A)损害引导扇区
B)删除硬盘上的数据文件 C)删除硬盘上的系统文件 D)窃取系统的机密信息
23.计算机的防范应树立___为主的思想防止病毒进入自己的计算机系统。A A)预防 B)备份 C)检测 D)隔离
24、计算机病毒能通过下述哪个传播媒介进行传播?(1分)C A.电波
B.纸张文件 C.互联网 D 空气
第五篇:电子商务安全技术总结
《电子商务与电子政务安全模型》
读书笔记
姓名: 黄佳
班级: 2班
学号: 104972101414
学院: 计算机科学与技术
2011年 6 月 29 日
电子商务安全技术总结
引言
电子商务是一种依托现代信息技术和网络技术集金融电子化、管理信息化、商贸信息网络化为一体,旨在实现物流、资金流与信息流和谐统一的新型贸易方式,是网络技术应用的全新 发展方向。因特网本身具有的开放性、全球性、低成本和高效率的特点成为电子商务的内在特征,并使得电子商务很容易遭到别有用心者的恶意攻击和破坏,信息的泄露问题也变得日益严重。因此,计算机网络的安全性问题就变得越来越重要,如何保证以网络为载体的电子商务的安全性 已成为一个不容忽视 的问题。电子商务的安全隐患
电子商务 的活动是在一个开放、虚拟的场所进行的,容易受到黑客的攻击,普遍存在以下几种隐患:
(1)信息泄露。攻击者可能通过截收装置,截获机密信息,推断出有用信息,如消费的银行帐号、密码等。交易双方的内容被第三方窃取,交易一方提供给另一方的文件被第三方使用。
(2)信息破坏。交易信息在网络上进行传输的过程中,被他人非法修改、删除或伪造,使信息失去了真实性和完整性。
(3)身份的识别。如果不进行身份的识别,第三方就有可能假冒交易一方的身份介入交易过程,以破坏交易、破坏一方的信誉或盗取交易成果等。
(4)黑客。黑客利用自己在计算机方面的高超技能,对网络中的一些重要信息进行修改或伪造,造成重大的经济损失和极为恶劣的影响。电子商务的安全技术措施
3.1 计算机网络安全措施
计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络 自身的安全性为目标。计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护 的物理安全、防火墙安全、信息安全、Web安全、媒体安全等等。
(1)保护网络安全
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访 问控制性是网络安全的重要因素。保护网络安全的主要措施如下:全面规划网络平台的安全策略。
1)制定网络安全的管理措施。2)使用防火墙。
3)尽可能记录网络上的一切活动 4)注意对网络设备的物理保护。5)检验网络平台系统的脆弱性。6)建立可靠的识别和鉴别机制。(2)保护应用安全
保护应用安全,主要是针对特定应用(如Web 服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于 网络的任何其他安全防护措施 虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web 浏览器和web 服务器在应用层上对 网络支付结算信息包的加密,都通过IP 层加密,但是许多应用还有 自己的特定安全要求。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web 安全性、EDI 和网络支付等应用的安全性。
(3)保护安全系统
保护安全系统,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:
1)在安装 的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。
2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有介入数据必须进行审计,对系统用户进行严格安全管理。3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
3.2 电子商务交易中的安全协议
SSL 协议是美 国Netscape 公司于1996 年提出的一种主要用于W e b 的安全传输协议,可以为服务器和客户问的通信连接提供数据加密、服务器身份验证和消息完整性等服务,根据服务器 的选项再提供对客户端的认证。SSL 协议要求 建立在可靠的传输层协议上,如TCP,同时,高层的应用协议,如HTTP、FTP、TELNET 等可以透明地建立于SSL 协议之上。
SSL 协议是 由SSL 记录 协议、SSL 握手协 议和SSL 警报协议组成 的。SSL 握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash 算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash 算法参数。SSL 记录协议根据SSL 握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经 网络传输层发送给对方。SSL 警报协议用来在客户和服务器之间传递SSL 出错信息。
在电子商务交易过程中,由于有银行参与,按照SSL 协议,客户的购买信息首先发往商家,商家再将信 息转发银行,银行验证客户的信息后,通知商家付款成功,商家再通知客户购买成功,并将商品寄送客户。在上述流程中我们也可以注意到,SSL 协议有利于商家而不利于客户。客户信息首先传到商家,商家阅读后再传到银行,这样,客户资料的安全性便受到威胁。商家认证客户是必要的,但整个过程中缺少了客户对商家的认证。在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。随着 电子商务参与的厂商迅速增加,对厂商的认证问题越来越突出,SSL 协议的缺点完全暴露出来。
3.3 加密技术
加密技术分为私钥加密和公钥加密技术。
私钥加密(又称对称加密)的特点是文件的加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥。私钥加密的优点:具有很高的保密性,算法使用简单快捷,密钥较短,且破译困难;通信双方不仅可以把数据加密发给对方,而且可以把对方发来的加密文件进行解密。只要密钥没有泄露,并且能够证 明发送方身份的合法性,该方式的保密性就可以得到保证。
私钥加密的缺点:容易造成密钥泄露,并且必须要按照安全途径进行传递,而这些恰恰是影响安全性的关键因素,所以难于满足开放式计算机网络的需求。
公钥加密又称非对称加密,相对于私钥加密而言,公钥加密的优点是密钥分配简单;密钥的保存量少;可 以满足互不相识的人之间进行私人谈话时的保密性需求;可以完成数字签名的数字鉴别。其缺点就是速度较慢。
公钥加密技术要求密钥成对出现,一个为加密密钥,一个为解密密钥。在私钥加密技术中,加密和解密双方使用相同的密钥。双方虽然在通信时加了密,比较保险,但是,密钥却要事先约定或通过信使传递。如果通过信使传递,一方面可能会导致失密;另一方面,在高度自动化的大型计算机 网络中,用信使传递密钥是不合适的。如果事先约定密钥,则进行网络通信的每个人都要保留其他所有人的密钥,就给密钥的管理和更新带来了困难。
公钥加密正是为了解决这些问题而产生的。公钥加密算法不需要联机密钥服务器,密钥分配协议简单,所 以极大简化了密钥管理。但是,公钥算法要比私钥算法慢很多,所以在实际应用中,通常使用公钥密码技术交换密钥,而利用私钥密码技术传递正文。
3.4 认证技术
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过,认证技术包含数字签名和数字证书两种。
数字签名:数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。
数字证书:数字证书是一个经证书授权中心数字签名的,包含公钥拥有者信息以及公钥的文件。数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名。第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的 信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
3.5 防火墙
防火墙是保护网络服务和内部数字信息时使用最广泛的技术,它是防御外来攻击的第一道防护。防火墙是指位于两个信任度不同的网络之间(如企业内部网络和Inter net 之问)的软件或硬件设备的组合。它除了用于将企业 内部局域网与外界Internet 隔离,还可以用于划分、隔离和控制网络问的访问控制。防火墙技术是指在专用设备上使用过滤路由和应用代理技术。
防火墙主要对提供给外界的服务进行控制。一个最简单的屏蔽入侵的方法就是断开一切外界的网络连接,不允许外界访 问,然而,对那些需要网络服务(如E-mail、Web服务和TFP)的商业合作来说,这并不是一个好办法;反之,如果简单的使内部设备与外界进行无限制的连接而不考虑计算机的安全,将会使企业内部信息随时面临着被攻击的危险。因此,防火墙正是它们之间的最好折中方法,它可以在这两个极端的方法之间实现比较好的安全保障。防火墙有许多形式,可以分为三种:包过滤防火墙、应用级网关和状态监视器。
结论
电子商务安全技术并不仅限于以上几种。还有很多其他技术,如物理安全措施、虚拟专用 网(VPN)等,实际应用中应将各种技术结合起来,以最大限度地提高电子商务的安全性。但电子商务的安全运行仅从技术 角度 防范是远远不够的,还必须在加强安全管理的同时健全信用体系、完善法律保障,以确保和促进电子商务的健康发展。
点击咨询 