电子商务安全要素_范文大全

电子商务安全要素

【范文精选】电子商务安全要素

【范文大全】电子商务安全要素

【专家解析】电子商务安全要素

【优秀范文】电子商务安全要素

范文一:电子商务的安全要素 投稿:潘懊懋

电子商务的安全要素

1、有效性、真实性

有效性。真实性是指能对信息、实体的有效性。真实性进行鉴别

电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业和国家的经济利益和声誉。如何保证这种电子贸易信息的有效性和真实性成了经营电子商务的前提。因此,要对网络故障、操作失误、应用程序错误、硬件故障、系统软件错误及计算机病毒的潜在威胁加以控制和预防,保障贸易数据在确定的地点的有效性和真实性

2、机密性

机密性是指保证信息不会泄漏给非授权人或实体

电子商务作为一种贸易手段,其信息是个人、企业或国家的商业机密。网络交易必须保证发送者和接受者之间交换信息的保密性,而电子商务建立在一个较为开放的网络环境上,商业保密就成为电子商务全面推广应用的重点保护对象。因此,要预防非法信息存取和信息在传输过程中被非法窃取,确保只有合法的用户才能看到数据,防止泄密事件的发生

3、数据的完整性

数据的完整性要求防止数据非授权的输入、修改、删除或破

坏,保证数据的一致性

信息的完整性将影响到贸易各方的交易和经营策略,保持这种完整性是电子商务应用的基础,数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。数据传输过程中的信息丢失、信息重发或信息传送次序的差异也会导致贸易各方信息不相同。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中和重复信息并保证信息传送次序的统一

4、可靠性、不可抵赖性

可靠性是要求保证合法用户对信息和资源的使用不会遭到不正当的拒绝;不可抵赖性是要求建立有效的责任机制,防止实体否认其行为

在互联网上每个人都是匿名的,原发方字发送数据后不能抵赖;接收方在接收数据后也不能抵赖。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,为了做交易,各方必须能够鉴别另一方的身份。一旦一方签订交易后。这项交易就应收到保护以防止被篡改或伪造

范文二:什么是电子商务安全 投稿:丁巯巰

什么是子电商安务?电全子商已经务渐成为逐们进行人商务动活新模的式。越来多的越通过I人tennret进行商活务。电动子商务发展的前十景分人,诱而其安全问也题变越来得突出,如越建何一立个安、全捷的电子便商务用环境应对,信提供足息的够保护已,经成为家商用户和都分十心关的话。 题

电商子安务技全术

子电商务一个的要技重术特征是用利I技术T来传和处输商理业信息。因,此子电商安务全从整上体分可两为大分部计算机:网安全络和务交易安商全 。

算机络网全安的容内包:括计算机网设备安全络、计算网络系统安机、全数库安据全。其等特是征对计算针机网本身络可存在的安能问题全实,网施安全络强方增案,保证以计算机网自络的安身全为目性标

。商交务易全安紧紧围绕传统商务则在联互络上应用时网产的生种安全各问,题在计算机网安全络基础的,上何如障电子商保务程过的利进顺。即实现行电子务的商保性、密完性整可鉴、别、不可伪造性和性不可赖抵性

计算网机络全安商务交易安与实际上全是密不分的可,两者相相成辅缺,不一可没。有算计机络网全安为作础基商务交易,安就犹全空中楼阁,如从无谈起。没有务商交易安保障全即,使算计机络本网身安全,再然仍法达到无电子商所务有的安特全要求 。

子商电安务全素要

什是么电商子务全?了安电解商务安子基本情况全和安全技,术接介下绍子电务主要商的安要素:全(1)有性E效以C电子式取形了代张,那么纸如何证保种这电子形的式贸信息易有效的性则开展是的E提。前EC作贸为易的一种式形其,息的信效有性直接将关系个到人企、或业家的经国济益和声利誉因此,要对网。络障、操作错故、误应程用序误、硬错件故障系统、件错软及误计算病机毒所产生的潜威胁加在控制以预防和,以证贸易数据在保确的定刻、确定的地时点是效的有。2)(密性EC作机贸易为的种一段,其手信息直代接着表人个企业或、家国的业机密。商传统的面纸易贸是都过邮寄通装封信件或的通可过的通靠渠信发送商业报道文达来保到机守的密目的EC。是建在一立较为开放个网络的境上的(尤其I环ternen是更为t放开网络的,)维护业商机是EC全面密推应用的广要保重。因此障要预,非防的法息存取信和息信传输在程中过被法非窃取。3(完)整性C简E化贸易了程过减少,人为了干的预,同也带来时护维贸易方商业信息的完各整统一的、问题。于由数据输入的时意外差或欺诈错行为可能导致贸,各方信息易的异。差此,外据传输过数程信息中的丢、信息重复失或息信传送的序次差异会也致贸易

导各方信的不同息。贸各易信息方完的整将影响到贸性各方的易易交和营策略,保经贸持易方信各息完整的性是E应用C基的。础此,因要预对信息的随防意成、生改和删修,同时要防除数据止送传过中程息的丢信和重复失保并信息证送传次序的一。 统

电子商安全防务范术技

为 了足电子满商的安务要求,电全子务系商统须利用安全技必术为子商务活动电与者提参供靠可安全服的,具务可采体的技术用如:1、数字下名签术;2技、火防墙术:技火防是近墙发展起期的来种一护保计算机络安网全的术技性施,它措一个用以阻止是络中网的客访问某黑机个网络的屏障构,也可称为之控进制/出个方两向信的通门。在槛络边网上界通过建立来的相起应网络通信监控统系隔离内部来和部外络,以阻网档外网络部的侵入。前目防火的墙要主以下三种有类:型包过防滤火、墙代理火墙、防双穴机主防火。墙3入、侵测系统;4、检信息加密术;5技安全认证技术、;6防病毒、系:统病在网络毒中储存传、、感染的途播径、速多快度、式方异各,对站网的危害较。大此,因利用全方位应病毒产品防实,施“层层设、防集中制、控防以主、为杀结防”合防病的策略,构毒建全面防的毒病系体 。

范文三:电子商务安全分析 投稿:贺糱糲

【摘 要】电子商务安全是电子商务活动的基础和关键。文章从电子商务所面临的安全威胁入手,提出了开展电子商务活动必须满足的安全需求,最后探讨了电子商务安全解决方案及其实现技术。

  【关键词】电子商务安全;加密;数字签名;认证;协议

  随着网络通信技术的迅猛发展和Internet的不断普及,电子商务作为一种新型的商务模式,在全球范围内正以惊人的速度迅猛发展。然而由于它是基于Internet开展的商务活动,大量重要的信息都需要在互联网上进行传递,尤其还涉及到资金的流动,必然要求传递信息的过程足够安全。因此如何保障交易过程和传递信息的安全性就成为影响电子商务发展的一个至关重要的问题,也是技术难点。

  一、电子商务的安全威胁

  电子商务是基于网络信息传输的,依靠从信息终端之间信息的传递完成商务交易。与传统商务的面对面交易不同,电子商务的安全就是要确保这些信息的传递是稳定的、完整的、可靠的、保密的,是反映信息发送者的真实意愿的。而威胁互联网安全的因素很多。

  1.截获

  攻击者获取了对资源的访问权,这是对机密性的攻击。例如,在网络上搭线或安装电磁波截获装置以获取银行账号、用户密码等有用数据。

  2.篡改

  攻击者不仅获得了访问权而且篡改了某些资源,这是对完整性的攻击。例如,修改资金额度、货物数量、商品价格等交易信息。

  3.伪造

  攻击者将伪造的对象插入系统,这是对真实性的攻击。例如,冒充合法用户进行交易,给合法用户造成损失。

  4.否认或抵赖

  商家或用户否认自己曾经发送或接收到信息,这是对不可抵赖性的攻击。例如,合法用户可能会赖账,商家也有可能因为商品价格差而不承认原有交易。

  二、电子商务的安全需求

  在电子商务面临上述安全隐患的情况下,要在因特网中建立并维持一个令人可以信任的环境和机制,也为了保障交易各方的合法权益,需要满足以下几个方面的安全需求。

  1.信息的机密性

  信息的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。机密性可用加密和信息隐匿技术实现,使截获者不能解读加密信息的内容。机密性的另一方面是保护通信流特性以防止被分析。

  2.信息的完整性

  信息的完整性或称正确性是保护数据不被伪授权者修改、建立、嵌入、删除、重复传送或由于其他的原因使原始数据被更改。在存储时,要防止非法篡改,防止网站上的信息被破坏。在传输过程中,如果接收方收到的信息与发送方的信息完全一样则说明在传输过程中信息没有遭到破坏,具有完整性。针对信息的完整性,目前的主要措施是通过散列算法(也称消息摘要算法)来检查信息的完整性。

  3.商务对象的认证性

  商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性。分辨参与者声称身份的真伪,防止伪装攻击。认证性采用由认证中心向各交易主体发放数字证书并进行验证。

  4.信息的不可抵赖性

  信息的不可抵赖性是指信息的发送方不能否认已发送的信息,信息的接受方不能否认已收到的信息。这是一种法律有效性要求。交易一旦达成是不能被否认的。否则必然会损害一方的利益。目前的主要措施是采用数字签名技术。

  三、电子商务安全技术

  1.加密技术

  加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法,将明文转换成难以识别和理解的密文并进行传输,从而确保数据的机密。主要有对称加密技术、非对称加密技术和数字信封技术。

  (1)对称加密技术

  对称加密技术,即信息的发送方和接收方用一个密钥去加密和解密数据,也就是说加密和解密用同一个密钥。它要求发送方、接收方在安全通信之前,商定一个密钥,对称密钥算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加、解密。只要通信需要保密,密钥就必须保密。它的最大优势是加、解密速度快,便于用硬件实现、适合于对大数据量进行加密等,但密钥管理困难。

  (2)非对称加密技术

  非对称加密技术就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”。“公钥”和“私钥”不能由一个推出另一个,但是“公钥”加密的信息只能由“私钥”解密,反之亦然。非对称密钥机制灵活,但加密和解密速度比对称密钥加密慢得多,所以它不适合于对文件进行加密,而只适用于对少量数据进行加密。

  (3)数字信封技术

  鉴于对称加密技术和非对称加密技术各自的特点,在实际应用中将两种加密技术结合使用,从而获得对称加密技术的高效性和非对称加密技术的灵活性。这种把对称加密技术和非对称加密技术结合使用的技术称数字信封技术。

  2.数字签名技术

  数字签名技术主要解决电子商务中信息的不可抵赖性问题。其工作原理是:将报文按双方约定的HASH算法计算,得到一个固定位数的HASH值,在数学上保证只要改动报文的任何一位,重新计算出的HASH值就会与原值不符。然后把该HASH值用发送者的私钥加密,然后将该密文同原报文一起发送给接收者,产生的报文即数字签名。接收方收到数字签名后,用同样的HASH算法对报文计算HASH值,然后与用发送者的公钥进行解密解开的HASH值进行比较,如相等则说明报文确实来自发送者从而保证了数据的真实性。通过数字签名还能够实现对原信息的鉴别,从而保证信息在传输过程中的信息完整性和信息发送方的不可抵赖性。

  3.认证技术

  对数字签名和公开密钥加密技术来说,都会面临公钥的分发问题。这就要求管理公钥的系统必须是值得信赖的,数字证书就是解决这一问题的有效方法。它通常是一个签名文档,标记特定对象的公开密钥。由认证中心CA签发,CA通常是一个服务性机构,主要任务是受理数字证书的申请、签发和管理数字证书,是一个普遍可信的第三方。当通信双方都信任同一个CA时,两者就可以相互得到对方的公钥从而能进行秘密通信、数字签名和认证。

  4.数字时间戳技术

  在电子商务交易中,时间是十分重要的信息。数字时间戳服务DTS就是为电子文件的时间信息进行安全保护的网上安全服务项目。时间戳是经过加密后形成的文档,它包括三部分内容:①需加时间戳的文件的摘要;②DTS收到文件的日期和时间;③DTS的数字签名。

  5.与电子商务安全有关的协议技术

  (1)SSL-安全套接层协议

  SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和加密密钥的用于浏览器和Web服务器之间的安全连接技术。它在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。SSL协议独立于应用层协议,且被大部分的浏览器和Web服务器所内置,便于在电子交易中应用,因此,在电子交易中被用来安全传送信用卡号码。国际著名的CyberCash信用卡支付系统就支持这种简单加密模式,IBM等公司也提供了这种简单加密模式的支付系统。

  但SSL协议它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。因此,为了实现更加完善的电子交易,制订发布了SET协议。

  (2)SET-安全电子交易协议

  SET协议是目前唯一保证信用卡信息能安全可靠地通过因特网传输的新协议。它为在Internet上进行安全的电子商务活动提供了一个开放的标准,为Internet上支付交易提供高层的安全和反欺诈保证。SET协议为基于信用卡进行电子交易的应用提供了安全措施,保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性。SET是专门为电子商务而设计的协议,它在很多方面优于SSL协议,但仍不能解决电子商务所遇到的全部问题。

  四、结束语

  电子商务安全是电子商务活动的核心,我们要坚持引进和吸收的原则,组织各方面力量,研制和开发出具有自主知识产权的网络安全和电子商务安全产品,逐步掌握电子商务安全的核心技术,我国的电子商务安全现状一定会得到极大的改善,从而为我国电子商务的发展创建良好的安全环境。

  参考文献:

  [1]陈建斌.电子商务与电子政务[M].北京:机械工业出版社,2008.

  [2]杨爱民.电子商务安全现状及对策探讨[J].科技资讯,2006(6).

  [3]张斌.电子商务中的信息安全[J].晋中师范高等专科学校学报,2003(2).

范文四:电子商务安全的要求 投稿:范坖块

电子商务安全的要求

内容摘要因特网上商机无限,电子商务前景诱人,但许多商业机构对采用他仍有疑虑主要是其安全问题变得越来越严重,如何建立一个安全便捷的电子商务方案,如何创造一个安全的电子商务应用环境,已经成为广大商家和消费者都十分关心的焦点。从安全和信任关系来看,在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过 程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,彼此远 隔千山万水,由于英特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困 难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。

关键词 电子商务,安全性,保密性,身份确定性

1.1内部网的严密性

对于一个电子商务系统严密性主要是指保证一些敏感的商业资讯不被泄露。资讯加密主要就是解決這方面的問題。事實上,現存的任何一种加密方法在理論上都是可以破解的,只是时间长短的问题。尤其是硬件设备的快速发展,給密碼破译带來越來越多的便利。

因此在一个电子商务系统中,要对客户信息,商家信息加密防止泄露。一个电子商务系统的内部网严密性尤为重要,他只能被公司内部访问,修改,若是被入侵造成商业信息泄露将很危险。比如美团网的用户密码泄露,入侵者可能会用这个账号下虚假订单,给商家造成损失,或者支付宝密码泄露,那么用户将直接损失金钱。还有如商家的大宗交易信息泄露被对手知道后可能会造成大规模损失。这些活生生的例子都在威胁着电子商务安全,阻碍交易活动的开展。

在电子商务系统的内部网可以对特殊网段加密,进行身份验证,在有因特网相接处设立防火墙禁止外网访问。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,它可以阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出,是最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。防火墙有两个基本准则:一是未被允许的就是禁止的;二是未被禁止的就是允许的。基于该准则, 防火墙应转发所有信息流, 然后逐项屏蔽可能有

害的服务。这种方法构成了一种更为灵活的应用环境, 可为用户提供更多的服务。

1.2完整性

完整性包括信息的完整性,数据和交易的完整性。

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息的数据摘要方式来获得。

1.3保密性

电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的(尤其Internet 是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过加密技术对传输的信息进行加密处理来实现。加密技术解决了传送信息的保密问题,可分对称加密和非对称加密。对称加密是一种传统的信息认证方法,通过信息交换的双方共同约定一个口令或一组密码,建立一个通信双方共享的密钥。非对称加密又称公开密钥加密,它使用一把公开发布的公开密钥和一把只能由生成密钥对的贸易方掌握的私用密钥来分别完成加密和解密操作。

加密技术对用户的密码、口令、数字证书、等信息加密,重要信息等加密,防止被盗取。而不需要对卖家的产品信息,买家的留言,评论等信息加密。从交易环节开始确保双方安全交易。

1.4不可修改性

对于某些信息商家和消费者都不能修改,如规定运费,商品信息,还有用户提交的订单等信息不可修改。

1.5身份确定性

由于网络电子商务交易系统的特殊性,企业或个人的交易通常都是在虚拟的网络环境中进行,所以对个人或企业实体进行身份性确认成了电子商务中十分重要的一环。对人或实体的身份进行鉴别,为身份的真实性提供保证,即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时,鉴别服务将提供一种方法来验证其声明的正确性,一般都通过证书机构CA和数字证书来实现。

1.6交易的无争议和不可抵赖性

无争议性是指交易的双方达成了协议,我愿意以多少钱的价格购买你的产品,而你也同意的这样的条件,在此条件下我们可以做成交易,如货到付款啊,或者先付款等等条件都说明白了没争议。

不可抵赖性:电子商务关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是所期望的贸易伙伴这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴身份,确定合同、契约、单据的可靠性,并预防抵赖行为的发生。这也就是人们常说的

1.7有效性

电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

1.8授权的合法性

交易的双方要遵循相关的法律法规,有合法的授权卖东西或支付。

范文五:电子商务的安全管理 投稿:汪匋匌

电子商务安全管理

(学号:XXX 专业:安全科学与工程

XX大学环境与安全工程学院)

摘要:电子商务的发展是互联网上最大的应用趋势,是国际经贸全新的一种形式,是我国经济生活牛的新手段。文章通过简要分析电子商务安全管理存在的隐患,探讨了防范电子商务安全问题的法律手段、技术手段和监管手段,从而为达到完善电子商务安全管理的目的提供理论依据。

关键词:电子商务;安全管理;技术;原则

Safety Management of E-commerce

Abstract:Development of electronic commerce on the Internet is the largest application trends, is a new form of international economic and trade . Through a brief analysis of the existence of e-commerce security management problems, discussed the legal means to prevent e-commerce security issues, technical means and means of supervision, so as to achieve the purpose of improving the safety management of e-commerce to provide a theoretical basis.

Key words:electronic commerce; safety management; technology; principles

1.引言

电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。电子商务安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒。信息加密、身份认证、授权等。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。

2.电子商务中存在的安全问题

随着电子商务应用范围的日益扩大,呈现出大规模、跨行业、跨组织的发展趋势。但其发展也正面临着诸多瓶颈性问题,安全问题首当其冲,突出体现在以下几个方面。

1.交易的安全性得不到保障

电子商务的安全问题仍然是影响电子商务发展的主要因素。由于网络技术的迅速发展,电子商务引起大家的广泛注意,在开放的网络上进行商贸活动。但如何保证传输数据的安全成为电子商务能否普及的最重要的因素。交易双方进行交易的内容被第三方窃取.交易一方提供给另一方使用的证明文件被第三方非法使用,从而进行商业欺诈。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据篡改,然后再发向目的地,破坏数据的真实性和完整性。

2.电子商务的管理不规范

电子商务的发展给传统贸易带来了巨大的冲击,带动了经济结构的变革,电子商务给世界带来全新的商务规则和销售方式,这要求在管理卜要做到科学规范。政府应积极介入依存于网络的电子商务管理,促进网络健康稳定的发展,制约网络上的违法行为。电子商务交易平台也是非常重要的,Web交易平台直接面向消费者,是电子商务的门面,内部经营管理体系则是完成电子商务活动的必备条件,它关系到业务最终能不能实现。

3.电子支付问题

近年来电子商务快速发展,为了完成电子商务交易,不同的现金支付工具,如信用卡、电子收费等不断出现。人们最常用的还是信用卡,然而,正是信用卡成了影响电子商务进一步发展的主要障碍。信用卡欺诈问题一直困扰着商家和消费者,并且愈演愈烈。银行家和电子技术专家没有对电子银行和电子商务的网络标准完全达成一致,但他们都认识到存在于虚拟空间的网络标准是和金融交易存在着联系的。网络标准是和金融交易存在着联系的。

3.电子商务安全管理对策

电子商务安全管理,不应当只是从单纯技术角度考虑如何懈决的问题,而是应该从综合的安全管理思路来考虑,因为从电子商务的运行环境来看,技术环境是一个重要方面。但是良好的法律法规、政策环境和科学管理环境也是电子商务的顺利运行不可或缺的两个方面。

1.加强电子商务安全的技术保障

电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题,任何一点漏洞都可能导致大量资金流失,这些安全首先是对信息技术的依赖。目前电子商务比较成熟的技术安全措施有以下几种:

(1)加密技术

为了实现信息的私密性,必须采用信息加密技术。信息加密技术是一种主动的信息安全防范措施,其原理是利一用一定的加密算法,将明文转换成为看似无意义的密文,阻止非法用户理解原始信息,从而确保信息数据的保密性。基于密钥的算法通常有两类:对称密钥算法和非对称密钥算法。

(2)安全认证技术

随着电子商务的发展,以互联网为交易平台的交易将越来越多。由于是通过网络签订的合作协议,其中的签名,图章透过—些计算机技术就能够伪造,不少企业因此遭受了巨大的损失。但是如果采用传统的签名方式,将大大降低电子商务的效率,或者就不存在电子商务。目前,在技术上解决这个问题的手段有电子签名技术。电子签名是指在一个数据信息中或附在其后或逻辑上与其有联系的电子形式的签名,其在形式上,与传统签名差别很大,但在功能上,两者却很接近,都是用来鉴别合同的当事人并表明其同意该数据信息的内容。电子签名一方面解决了对用户的认证问题,另一方面解决了用户对商家的认证问题,建立了完善的双向认证机制。在具体的应用中,电子签名技术是通过和加密技术相结合实现的,数字签名保证了电子商务主体的身份,加密技术保证了数字签名的安全。

(3)电子商务中的第三方支付

在电子商务活动中,网上支付是必不可少的环节。在这个环节中,消费者、网上商家、交易双方银行、信用卡组织之间都要承担相应的安全方面的义务。但是,尽管目前存在着网

上支付的SET、SSL协议等安全协议,作为网上支付工具的网上银行中的资金仍然出现了被他人恶意交易,或者直接被盗走的现象。目前,为了解决网上支付的安全问题,采用第三方支付平台是比较先进的做法。第三方支付平合有两种代表,一种是以首信为代表的网关型支付平台,它为电子商务提供了统一的支付界面、手续费用标准,结算较为便利。另一种是以支付宝为代表的信用担保型第三方支付平台,支付宝保障了电子商务过程中双方尤其是买方的利益,保证了资金流和货物流的顺利对流,它为交易提供了担保,通过改造支付流程,保障了交易资金的安全。

(4)病毒防范技术

电子商务系统虽然可以提高交易效率,但也不可避免地为计算机病毒的传播创造了条件。病毒影响并且威胁着电子商务交易的顺利进行,计算机病毒轻则影响计算机的运行速度,重则盗取用户的信息,“替”用户交易,给用户造成巨大的损失。

随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,病毒防范技术是必不可少的。由于病毒的攻击需要突破网关,所以网关防御是至关重要的。

当前CSG(Content Security Galway)内容安全网关是解决网关病毒攻击的一种技术,它支持多种形式的防护,包括使用双病毒扫描引擎的防病毒检测、防垃圾邮件、URL过滤、关键词过滤等。CSG能够真正做到即插式完全透明的网关解决方案,部署到客户网络环境中而无需修改任何设置,即可为客户提供防御保护。基于流式的病毒扫描技术。CSG可满足用户对“高吞吐量、高并发连接、低延迟”的需要。

(5)防火墙技术

防火墙是建立在通信技术和信息安全技术之上,由软件或软件和硬件设备组合而成的,主要用于Internet接入和专用网与公用网之间的安全连接。只有被允许的通信才能通过防火墙,在网络之间建立起一个安全屏障,从而起到内部网络与外部公网的隔离,根据制定的策略对网络数据进行过滤、分析和审计,限制外界用户对内部网络的访问,管理内部用户访问外界网络的权限。并对各种攻击提供有效地防范。

防火墙按照基于对象可分为两类:一类是基于包过滤,这类防火墙通常只包括对源和目的IP地址及端口的检查,它对用户完全透明,速度很快,但是不能够对用户进行区分,另一类防火墙是基于代理服务,这种类型的防火墙使用一个客户程序与特定的中间节点(即防火墙)连接,然后中间节点与服务器进行实际连接。这使得内网与外网之间不存在直接连接,大大提高了网络的安全性。但是,这种防火墙在使用过程中会导致网络性能的明显下降,有一定的局限性。在具体应用上可以将这两类防火墙结合起来组成复合式防火墙,充分发挥各自的优势,进而满足安全性要求更高的电子商务的企业需求。

2.电子商务安全的管理措施

(1)提高网络安全防范意识

现在许多企业虽然建立了技术防范机制,就是运用先进适用的信息安全技术建造起—道道的屏障,阻隔罪犯或竞争对手的入侵,防范和化解风险,保证电子商务的顺利进行。但没有意识到互联网的易受攻击性,据调查,目前国内的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客

的攻击目标,如此态度.网络安全更是无从谈起。只有提高网络安全防范意识,构建防范信息风险的心理屏障,才能维护电子商务的信息安全。

(2)建立电子商务安全管理组织体系

完善的组织体系应该根据企业目标及安全方针,建立信息安全指导委员会,委员会要由企业高层领导挂帅,各职能部分相关负责人参加,定期召开会议,对组织内的信息安全问题进行讨论并作为决策,为组织的信息安全提供指导与支持。主要职能有:审批信息安全方针、政策,分配信息安全管理职责;确认风险评估,审批信息安全预算计划及设施的购置;评审与监测信息安全措施的实施及安全事故的处理对与信息安全管理有关的重大更改事项进行决策,协调信息安全管理队伍与各部门之间的关系。信息安全管理的队伍,—般由信息安全主管为核心,并由信息安全日常管理、信息安全技术操作两方面的人员组成,在信息安全委员会的指导下具体负责安全管理工作。

(3)建立电子商务的信息安全管理制度

制度是搞好管理的依据,应制定科学合理的电子商务信息安全管理制度。每个企业都应该根据自身的特点为网络或网络的各部门划分安全等级,确定具体的安全目标。企业电子商务信息安全管理制度主要包括人员管理制度、保密制度、系统维护制度、病毒防范制度等。

3.电子商务安全的法制建设策略

电子商务法制建设是一项非常复杂的系统工程,它包括立法、司法和行政多个方面,涵盖了行业市场准人、信息安全和认证、知识产权保护、电子支付、数字签名、互联网内容管理以及赔偿责任等诸多法律问题。

三、结论及展望

综上所述,电子商务管理体系应具备的特点是与经济体制的一致性,与信息安全保密管理的一致性,与经济安全监督的一致性,与信用体制的一致性。所以政府和企业部门应该重视电子商务安全,只有在法律提供者、安全需求者、信息技术专家和产品供应者的共同努力下,才能创造一个安全的系统环境,促进电子商务的发展。

参考文献

[1]吴渤,张群.电子商务安全管理体制的探讨[J].信息安全,2010,(2).

[2]王林国.基于电子商务安全问题的探讨[J].中国商贸,2011,(3).

[3]囊峰,蒋文扬,潘雪松.电子商务安全管理的现状及其对策[J].物流科技,2003(4).

[4]申蓓蓓.探析电子商务安全管理思路[J].经济技术协作信息,2010,(18).

[5]杨坚争.电子商务安全与电子支付[M].2版,北京:机械工业出版社,2011.

范文六:电子商务安全 投稿:王勐勑

电子商务安全概述

案例:

A.在使用www时,你在连续不断地暴露自己的信息,其中包括你的IP地址和所用的浏览器。

B.某人非法进入银行系统将自己账户上的信息由“取”改为“存”,获取非法收入;或者将电子邮件的收件地址添加一个字母,导致邮件传输失败。

(1)什么是计算机安全?计算机系统安全主要包括哪些内容?

(2)电子商务的安全威胁主要涉及哪些方面?

分析如下:

(1) 计算机安全:国际标准化组织(ISO)将计算机安全定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶尔和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。如果注重于动态意义描述可以将“计算机安全”定义为:“计算机的硬件、软件和数据受到保护,不因偶尔和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。”

计算机系统安全主要包含以下五个方面的内容。

1) 系统设备安全

系统硬件设备是电子商务赖以存在的物理基础,它包括机房、机房内的各种设备和网络通信线路等,以及系统的物理条件及设施的安全标准、硬件的安装及配置等。系统设施安全即电子商务实体安全,就是指保护这些计算机硬件设备和物理线路的安全,保证其自身的可靠性和为系统提供基本安全前提。

在系统设计和施工中,要符合相关国家和国际标准,设备选型要满足安全性要求:必须优先考虑人和网络设备不受电、火灾和雷击的侵害,并努力防止和减少人为操作失误或者错误以及设备被盗、被毁、非法使用、电磁干扰、线路截获等侵害机会,同时还要考虑

可靠的系统和数据的恢复机制,对关键的设备和通信线路采用必要的冗余配置。常用的安全技术有系统备份、系统加密等。

2) 网络结构安全

电子商务系统网络拓扑结构的不同设计决定了网络系统的结构安全。系统设计时有必要将公开服务器(Web、DNS、E-mail等)和外网及内部其他业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝,从而确保网络系统的保密性、完整性和可用性。常用的安全措施有防火墙、防病毒软件、入侵检测等。

3) 系统平台安全

系统平台安全是指整个系统软件、应用软件和硬件平台防止意外和抵抗侵害的能力。系统软件是电子商务的核心驱动力,它指挥着电子商务的运作。系统软件主要包括操作系统、数据库系统和网络管理系统等;应用软件包括电子商务相关业务处理软件、服务软件等。用户不但要选用尽可能可靠的系统软件、应用软件和硬件平台,并对操作系统进行安全配置,保护系统软件和应用软件不被非法复制、不受病毒的侵害等,必须加强登陆过程的认证和操作权限的限制。

4) 网络数据安全

在电子商务系统资源中,最重要的资源是数据。数据安全是电子商务安全的核心,电子商务必须对数据的产生、处理、传输、管理和利用全过程实施保护,才有可能确保数据的保密性、完整性、不可修改性和不可否认性。数据安全包括网络信息的数据安全,数据库系统的安全,敏感数据的传输、存储和访问等。

数据安全也是电子商务安全中最难实现的部分,其中网络数据备份时一项重要措施。网络备份时对整个网络系统的一套备份体系,需要能够完成网络文件的备份和恢复、网络数据库的备份和恢复、网络系统的灾难性恢复、网络任务管理等功能。对于电子商务站点要特别注意保证各种数据的备份。

5) 系统管理安全

电子商务管理安全是网络中安全最重要的部分,是指从管理制度的设计和执行过程中,有效保护电子商务系统资源和信息不受侵害。为了提高对系统的可控性与可审查性,当系统受到攻击或其他

安全威胁时,系统应进行实时的检测、监控、报告与预警;当事故发生后,应能够提供攻击行为的追踪线索及破案依据。

为此,电子商务系统必须通过管理制度,落实对系统中访问活动的多层次记录,以及时发现非法入侵行为。如果电子商务系统中责权不明、安全管理制度不健全或者制度缺乏可操作性,都会引起系统安全管理方面的问题。

(2) 电子商务安全威胁涉及的方面如下。

1.计算机网络系统的安全威胁

1) 系统层安全性漏洞

由于电子商务系统的运作必须以计算机系统层的软硬件为基础,因此计算机系统层所使用的硬件设备、软件系统、数据库及网络整体结构中的安全漏洞将直接造成电子商务中的安全隐患。

2) 数据安全性威胁

(1)跨平台数据交换引起的数据丢失:Internet的发展使电子商务由最初的基于专线和增值网的封闭式电子数据交换(EDI)系统,逐步向跨平台的多信源电子商务万维网转变。在同一个电子商务网络中,可能同时存在多个操作系统,有多种型号的电脑设备,使用多种数据传输介质,并要求同时支持多国语言。如果平台之间的兼容性存在问题,有可能导致电子商务系统中的数据丢失。

(2)意外情况造成的数据破坏:如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情况造成的数据破坏时不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。

(3)传输过程中的数据截获:电子商务系统中的数据在传输过程中可能受到截获。攻击者可能通过互联网、公共电话网、搭线或在电磁波辐射范围内安装接收装置等方式,截获传输的机密信息,或通过对信息量和流向、通信频度和长度等参数的分析,获取有用的信息,如消费者的银行账号、密码等。

(4)传输过程中的数据完整性破坏:攻击者可能从中断、篡改、删除、插入和伪造等方面破坏信息的完整性。中断使系统不能正常工作;篡改,即改变信息流的次序,更改原始数据和信息的内容,如更改购买商品的出货地址等,影响客户信誉;删除,即删除某个

消息或消息的某部分;插入,即在消息中插入一些信息;伪造直接破坏真实性,使电子交易合法性受到挑战。

3) 计算机病毒的危害

从理论上来说,由于任何计算机系统和网络都要薄弱点,因此可以针对这些薄弱点设计出各式各样的病毒,没有一种计算机系统能够幸免于病毒的攻击。计算机病毒的危害可以分为对计算机的危害和对计算机网络的危害两个方面。

(1)病毒对计算机的危害:破坏磁盘文件分配表,使用户在磁盘上的信息丢失;将非法数据输入操作系统或修改破坏文件的数据;影响内存常驻程序的正常执行;在磁盘上产生虚假坏分区,从而破坏有关的程序或数据文件;更改或从新写入磁盘的卷标号;不断反复传染复制,造成存储空间减少,并影响系统运行效率;对整个磁盘或磁盘上的特定磁道进行格式化。如:引导区病毒、文件型病毒、宏病毒等。

(2)病毒对网络的主要危害:病毒程序通过“自我复制”传染正在运行的其他程序,并与正常运行的程序争夺计算机资源;病毒程序可冲毁存储器中的大量数据,致使计算机其他用户的数据蒙受损失,病毒不仅侵害所使用的计算机系统,而且侵害与该系统联网的其他计算机系统;病毒程序可导致计算机为核心的网络失灵。如:脚本病毒、蠕虫等。

4) “黑客”的攻击

电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重的危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。

2.商务交易的安全威胁

1) 交易销售方面临的威胁

对销售者而言,所面临的安全威胁主要有如下几项。

 竞争者检索商品递送状况,恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况,这样客户资料就被竞争者获悉。

 被他人假冒而损害公司的信誉,不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。

 获取他人的机密数据,比如:某人想要了解另一个人在销售商处的信誉时,他以另一个人的名字向销售商订购昂贵的商品,然后观察销售商的行动。

 消费者提交订单后不付款,或者使用信用卡进行支付时恶意透支、使用伪造的信用卡骗取货物等。

2) 交易购买方面临的威胁

对购买者而言,所面临的安全威胁主要有如下几个方面。

 虚假订单。一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,从此时客户却被要求付款或返还商品。

 付款后不能按质、按量、按时收到商品。在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品。

 机密性丧失。客户有可能将秘密的个人数据或自己的身份数据发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。

 拒绝服务。攻击者可能向销售商的服务器发送大量的虚假订单来穷竭它的资源,从而使合法用户不能得到正常的服务。

3) 交易双方面临的威胁

由于没有可靠的安全机制保证,交易双方否认现象时有发生。例如,发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者作了订货单不承认;商家收到订货单不承认,等等,不论这种行为是有意还是无意,但双方争执在网上解决难度较大,不正当竞争威胁加剧。

姓名:丁海玲

班级:2009级物流管理三班

学号:200903205316

范文七:电子商务安全分析 投稿:汪奋奌

电子商务安全实验报告

一. 网络银行如何解决网上支付的安全问题

试叙述这几种安全措施的优缺点。

USB KEY:

优点: USB KEY一般是储存数字证书的,有的还有加密功效,建设银行和农业银行用的是鼠标密码输入,而且数字是不规则生成的,不会被木马记录键盘的,建设银行的个人你最好备份到U盘上,在备份的过程中也有加密码的过程,所以不用担心被偷.保存好数字证书就可以了,在有要汇款还需要设置一个交易密码,和登陆查询密码是不一样的密码,也就是双保护,你放心.很安全的..工行的要用键盘输入的.所以要用U顿的数字加密方法的。

缺点:USB Key虽然在一些地方优于动态密码技术,但是实际使用中却有一些动态密码所没有的安全性问题,这个安全问题主要在于客户端而不是服务器,由于PIN码是在用户电脑上输入的,因此黑客依然可以通过程序截获用户PIN码,如果用户不及时取走USB Key,那么黑客可以通过截获的PIN码来取得虚假认证,仍然存在安全隐患。而动态密码锁使用随机的一次性密码,不存在这样的问题。 动态密码锁

优点:动态密码技术可以完美解决客户端用户的安全性问题,因为黑客无论使用什么方法,也无法方便的窃取用户的密码,即使黑客窃取了一次密码也无法登录使用。从技术上将,动态密码技术是比较完美的方案,然而可惜的是,动态密码锁的成本过高,大部分成本都高于100元,不太利于大规模使用。中国目前有一些银行图便宜,使用一种文字卡片类型的所谓的“动态密码卡”,也是用来实现较为原始的动态密码技术。实际上,这种低成本的卡片具有的缺陷是非常明显的,卡片内容极易被复制,且没有保护PIN码,别人偷盗或者复制这张卡片即可冒名登录,其安全性远不及真正的动态密码锁身份认证系统。 缺点:虽然动态密码锁的安全性的确不错,然而,动态密码技术也有一个安全隐患,就是服务器端的安全性。动态密码的本质是单钥加密,密钥只有一个。在服务器端的认证系统里,可以计算出所有动态密码,因此黑客如果将精力放在破解银行认证服务器系统,那么还是有可能对银行系统造成一定安全威胁,另外这个系统也依赖于网银的管理员,网银的管理员可以在服务器端修改动态密码锁的规则,也具有一定的安全隐患。

数字证书

优点:信息的保密性;交易者身份的确定性;不可修改性。 缺点:不安全容易被盗。

二. 目前主要的第三方支付平台

二、比较这些第三方支付平台

1.支付宝支付宝由阿里巴巴公司创办,最初作为淘宝网公司为了解决网络交易安全所设的一个功能,该功能为首先使用的“第三方担保交易模式”。用户便覆盖了整个C2C、B2C、以及B2B领域

目前除淘宝和阿里巴巴外,支持使用支付宝交易服务的商家已经超过46万家;涵盖了虚拟游戏、数码通讯、商业服务、机票等行业。这些商家在享受支付宝服务的同时,更是拥有了一个极具潜力的消费市场。

2.快钱

快钱公司是国内领先的独立第三方支付企业,旨在为各类企业及个人提供安全、便捷和保密的综合电子支付服务。其推出的支付产品包括人民币支付、外卡支付,神州行支付,代缴/收费业务,VPOS服务,集团账户管理等众多支付产品,还支持互联网、手机、电话和POS等多种终端。快钱已经和多家国内外知名企业如网易、搜狐、百度、TOM、当当、柯达、神州数码、万网、国美、三联家电等公司达成战略合作。

3.财付通

财付通由腾讯公司创办,个人用户注册财付通后,即可在拍拍网及40多万家购物网站轻松进行购物。财付通支持全国各大银行的网银支付,支持提现、收款、付款等配套账户功能,还提供了手机充值、游戏充值、信用卡还款、机票专区等特色便民服务。针对企业用户,财付通构建全新的综合支付平台,业务覆盖B2B、B2C和C2C各领域,提供卓越的网上支付及清算服务。还提供了安全可靠的支付清算服务和极富特色的QQ营销资源支持,与广大商户共享3亿腾讯用户资源。

4.易宝

易宝支付(YeePay.com)是国内领先的独立第三方支付公司。自2003年8月成立以来一直致力于为广大商家和消费者提供“安全、简单、快乐”的专业电子支付解决方案和服务。

在立足网上支付的同时,易宝支付不断创新,首家推出电话支付,将互联网、手机、固定电话整合在一个平台上,使电子支付实现了“网上线下”全覆盖。并以随需应变,量身定制为原则,陆续推出了航旅,游戏、网上购物、教育考试等行业的专用支付解决方案。目前签约的中大型商家已超过10000家。其中包括:百度、搜狐、易趣、当当、慧聪、九城、盛大、完美世界,海南航空、深圳航空、四川航空、南航电子商务公司等。

5.贝宝

贝宝是由上海网付易信息技术有限公司与世界领先的网络支付公司—— PayPal 公司通力合作为中国市场度身定做的网络支付服务。贝宝利用 PayPal 公司在电子商务支付领域先进的技术、风险管理与控制以及客户服务等方面的能力,通过开发适合中国电子商务市场与环境的产品,为电子商务的交易平台和交易者提供安全、便捷和快速的交易支付支持。

上海网付易信息技术有限公司成立于 2004 年 8 月,注册于张江高科技园区的浦东软件园。公司已同国内多家主要银行以及中国银联支付服务公司(Chinapay)等结成战略合作,为网上交易的个人与企业提供支付服务。

PayPal 公司成立于 1998 年 12 月,是美国 eBay 公司的全资子公司。PayPal利用现有的银行系统和信用卡系统,通过先进的网络技术和网络安全防范技术,在全球 190 个国家为超过 1.5亿个人以及网上商户提供安全便利的网上支付服务。您可以在

https://www.paypal.com 网站上了解到更多有关 PayPal 公司的信息。

6.首信易

1998年11月12日,由北京市政府与中国人民银行、信息产业部、国家内贸局等中央部委共同发起的首都电子商务工程正式启动,确定首都电子商城(首信易支付的前身)为网上交易与支付中介的示范平台。首信易支付自1999年3月开始运行,是中国首家实现跨银行跨地域提供多种银行卡在线交易的网上支付服务平台,现支持全国范围23家银行及全球范围4种国际信用卡在线支付,拥有千余家大中型企事业单位、政府机关、社会团体组成的庞大客户群。

首信易支付作为具有国家资质认证、政府投资背景的中立第三方网上支付平台拥有雄厚的实力和卓越的信誉。同时,它也是国内唯一通过 ISO 9001:2000质量管理体系认证的支付平台。规范的流程及优异的服务品质为首信易支付于2005、2006和2007年连续三年赢得“电子支付用户最佳信任奖”;2006年度“B2B支付创新奖”;2007年度“挪威船级社(DNV)的ISO/IEC 27001:2005(信息安全管理体系ISMS)国际认证”和2007年度“高新技术企业认定证书”殊荣奠定了坚实的基础。 拥有最高诚信标识“红标”的首信易支付除

具备公正与安全的特点外,秉承“科技为先,诚信为本”的宗旨,凭借其自身具有的便捷、开放、安全的优势在竞争激烈的支付业务领域始终处于行业领导者的地位。

三. 手机银行以及其支付方式,手机支付存在的问题

所谓“手机银行”就是通过移动通讯网络将客户的手机连接至银行,实现通过手机界面直接完成各种金融理财业务的服务系统。手机银行服务是移动通信网络上的一项电子商务。客户使用装有银行密钥的大容量SIM卡,即STK卡,通过移动电话网的短消息系统,利用其提供的智能菜单进行操作,将手机银行服务的有关银行帐户、个人密码、业务代码、交易数额等信息送至相关银行,由银行计算机处理后将结果返送回手机,完成手机银行的服务项目。足不出户就可通过手机交付由银行代收的电话费、水电费等,查询帐户余额和股票、外汇信息,完成转帐、股票交易、外汇交易和其它银行业务。 手机支付三种方式 。

第一种途径:费用通过手机账单收取,用户在支付其手机账单的同时支付了这一费用,在这种方式中,移动运营商为用户提供了信用,但这种代收费的方式使得电信运营商有超范围经营金融业务之嫌,因此其范围仅限于下载手机铃声等有限业务,交易额度受限。(手机话费支付方式)

第二种途径:费用从用户的开通电话银行账户(即借记账户)信用卡账户中扣除,在该方式中,手机只是一个简单的信息通道,将用户的

银行账号或信用卡号与其手机号联接起来,如果更换手机号则需要到开户行做变更。(指定绑定银行支付)

第三种途径:无绑定手机支付,个人用户无需在银行开通手机支付功能,即可实现各种带有银联标识的借记卡进行支付,采用双信道通讯方式进行通讯,非同步传输,更加安全快捷,相对而言此种方式最为简单,方便,快捷。(即称:银联快捷支付)

目前,手机支付存在的一系列问题,无论是从法律,还是从一些金融和市场管制体系方面都存在着不足,从很大程度上制约了手机支付的发展。

四. SEL与SSL协议产品的应用区域 SET协议是美国的公司发起并联合开发的,因此,SET协议支持信用卡支付这一支付方式比较符合欧美各国的使用情况。可是实际应用上,SET要求持卡人在客户端安装电子钱包,增加了顾客交易成本,交易过程又相对复杂,因此比较少顾客接受这种网上即时支付方式。 而在中国,信用卡支付这种方式还没有普及,因此SET协议在我国的使用也相对较少。电子支付无论要采取哪种支付协议,都应该考虑到安全因素,成本因素和使用的便捷性这三方面,由于这三者在SET协议和SSL协议里的任何一个协议里面无法全部体现,这就造成现阶段SSL协议和SET协议并存使用的局面。但即便将来业界开发结合这三个优点的电子支付协议,也未必能完全保证电子支付和网上银行的安全。

因为网上银行的安全涉及到方方面面,不只是一个完善的安全支付协议,一堵安全的防火墙或者一个电子签名就能简单解决的问题。所以,银行必须加大加强管理力度,加大宣传力度,帮助顾客树立起安全意识,指导用户该如何正确使用网上银行,并发动社会各方面的力量,寻求多方联动的策略来保证网上银行的安全。只有社会各界一起努力,才能保证电子支付的安全;只有社会各界一起努力,才能保证网上银行的安全;也只有社会各界一起努力,才可以保证电子商务的安全,保证电子商务的快速有序的发展。

extended validation ssl certificates翻译为中文即扩展验证(EV)SSL证书,该证书经过最彻底的身份验证,确保证书持有组织的真实性。独有的绿色地址栏技术将循环显示组织名称和作为CA的

GlobalSign名称,从而最大限度上确保网站的安全性,树立网站可信形象,不给欺诈钓鱼网站以可乘之机。

对线上购物者来说,绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用扩展验证(EV)SSL证书的网站的浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,这些均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。

范文八:电子商务安全与管理 投稿:唐斨斩

1、简述电子商务流程

答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。

②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型

答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。

3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险)

电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。

4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题?

(1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。

电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面 7、电子商务安全管理的制度体现在哪些方面? 答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。

8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。

9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则 它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。

10、风险分析的步骤:1)确定范围 2)找出风险 3)风险评估 4)风险控制。 11、什么是风险,它具备哪些特征?

答:风险就是指危险发生的意外性和不确定性,包括损失发生与否及损失程度大小的不确定性。风险的特征:首先,风险是客观的,也是主观的;其次,决定某事有风险的需要个人的判断,甚至对于客观的风险也是如此;再次,有风险的行为和因此产生的风险,通常是能选择或避免的。 22、加密:将明文变换成另一种隐蔽形式,这种变换称为加密。

对称式加密:指使用同一个密钥对报文进行加密和解密,也称为单钥加密技术或传统加密技术。 优点:效率高,算法简单,系统开销小,速度比公钥加密技术快得多,适合加密大量的数据,应用广泛。缺点:主要问题是发送方和接收方必须预先共享秘密密钥,而不能让其他任何人知道,通常必须通过安全信道私下商定。

*12、简述风险分析的作用。 13、Internet风险等级划分(P32)

(1)一般警戒(Regular Vigilance):(2)增进警戒(Increased Vigilance)(3)焦点攻击(Focused Attacked)(4)灾难性威胁(Catastrophic Threat)(风险最高)

14、Internet协议中的安全风险:1)TCP序号袭击 2)IP地址欺骗 3)ICMP袭击(ping命令) 4)IP碎片袭击 5)ARP欺骗攻击 6)UDP欺骗 15、OSI模型的分层有哪几层?TCP协议在哪一层?第一层和最后一层是什么?

OSI模型总共有七层,从第一层到最后一层分别为:物理层,数据链路层,网络层,传输层,会话层,表示层,应用层。TCP协议在传输层第四层,IP在第三层。第一层是物理层,最后一层是应用层。 16、协议(通信协议)是关于通信过程的规则或条例,它规定了如何传输信号,如何在宿主计算机上将数据包重新组成计算机信息等。 17、IP数据报文格式(P37)

IPv6 的特点:一、扩大了地址空间;二、简化了数据报头格式;三、易于扩充;四、内置安全特性。 18、ICMP袭击(P44)

若网页打不开,判断是该网页服务器的问题还是本地网络的问题,用ping命令。

19、FTP(File Transfer Protocol)文件传输协议 的应用:文本传输,上传下载文件 20、WWW的安全问题(了解)(P49)

(1)攻击者利用Web服务器或CGI程序中的缺陷访问系统中未经许可的文件,甚至盗取系统控制权。(2)攻击者利用Web浏览器中的缺陷,窃听或截获Web浏览器和Web服务器之间的机密信息。 CGI程序的安全威胁,Java程序的安全威胁,Cookie的安全威胁,Web欺骗连接。

21、DNS(域名服务器系统Domain Name Service) (P52)作用:把域名解析成IP地址

非对称(公钥)加密:优点:(1)密钥分配简单(2)密钥的保存量少(3)可以满足相互不认识的人之间进行私人谈话时的保密性要求(4)可以完成数字签名和数字鉴别。缺点:(1)产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密(2)安全性(3)速度太慢

23、数字签名的定义:数字签名是指用户用自己的私钥对原始数据的数字摘要进行加密所得的数据。作用:保证消息来源的真实性和数据传输的完整性。基本要求:(1)签名是可信的。(2)签名是不可伪造的(3)签名不可重用(4)签名后的文件是不可变的(5)签名是不可否认的

24、计算机病毒是一种在计算机系统运行过程中能够把自身精确复制或有修改地复制到其他程序体内的程序,它是一种人为编制的软件。 特点:

它与杀毒软件的区别和联系(是否杀完全,复发)25、反病毒管理(主要谈谈怎样从企业内部管理来进行反病毒,如何防范,以及如何将危害控制到最小)(P101)

反病毒管理包括:(1)数据通信管理;(2)软件来源管理;(3)客户访问与商业联系的管理,还应包括拟定系统化的措施来防范或对付病毒。 (1)病毒防范。病毒防范的第一步,是要查出病毒进入系统的方式,以尽快找到阻挡病毒侵袭的办法。(2)病毒响应计划。当发现病毒已进入时,正是采取病毒响应计划的时机。病毒响应计划的主要目的是利用每种可能的方法来彻底清除所有的病毒。欲从根本上清除病毒,就应首先找到病毒侵袭的方式。如果找不到病毒侵袭的路径,那么最好的方法就是设法使系统具有免疫力,且应对存储区域定期进行深入检查。

26、计算机犯罪:指以计算机为工具,采用非法手段使自己获利或使他人遭受损失的犯罪行为。 27、计算机犯罪的类型:1)破坏计算机;2)窃用

计算机;3)滥用计算机;4)破坏安全系统。 28、计算机犯罪的特点:1)破坏性大。2)智慧型犯罪。3)白领犯罪。所谓白领犯罪,是指社会上有相当名望或社会地位的人,在其职业活动上谋取不法利益的犯罪行为。4)不易察知。5)侦查困难。 议哄骗)的袭击。防火墙对于内部计算机系统未经授权的物理袭击,也不能提供安全的保证。欲阻止这类袭击,就需要:1)无漏洞地访问控制系统;2)确实真正保护关键性部件;3)以光纤代替铜管导线(尤其是采用共享媒体技术);4)高度机密数据29、口令的选择

通常,口令应做到:1)即使使用很长的代码表也很难或不可能探出口令;2)容易记忆;3)定期变化;4)存储在目标系统上,要得到很好的保护(加密/不能访问)。 30、黄皮书(TCSEC)

将IT系统从低到高分为D、C1、C2、B1、B2、B3和A1七个安全等级。D安全水平最低。A1比D高。大部分UNIX系统满足C1标准。

31、防火墙:防火墙系统是一种网络组成部件。它是连接内部与外部、专用网络与公用网络。防火墙系统能保障网络用户访问公用网络具有最低风险,也保护专用网络免遭外部袭击。

益处:(1)所有风险区域都集中在单一系统即防火墙系统上,安全管理者就可针对网络的某个方面进行管理,而采用的安全措施对网络中的其他区域并不会有多大影响。(2)监测与控制装置仅需要安装在防火墙系统中(3)内部网络与外部的一切联系都必须通过防火墙系统进行,因此,防火墙系统能够监视与控制所有联系过程。 32、防火墙系统的体系结构

网络对外呈现的安全水平依赖于所用防火墙系统的系统结构。一般将防火墙的体系结构区分如下:1)边界路由器;2)带安全中间网络的边界路由器(筛选性子网、安全子网);3)带信息包过滤器的双归宿防御主机;4)带线路中继器的双归宿防御主机;5)带应用网关的双归宿防御主机;6)带无防卫区域的(DMZ)双归宿防御主机;7)级联的双归宿防御主机。其中简单的边界路由器提供最低保护,级联的双归宿防御主机提供最高保护。 33、三种防火墙:基于信息包过滤器的防护墙,线路中继器,应用网关防火墙。

34、基于信息包过滤器的防护墙的工作原理:1)输入过滤以防止地址欺骗;2)区分TCP的发送与应答信息包;3)交换过滤条件—“路由器访问表”。 35、防火墙系统的局限性

防火墙的所有作用在于监视OSI2层到7层之间网络的活动状况。它们不能防止内部应用软件所携带的数据,也不能保护网络免受病毒或其他方式(协

在发送前应加密。

36、操作系统:操作系统是一组用于控制、管理计算机系统中软硬件资源,提高资源管理效率、方便用户使用计算机的程序集合,它是紧挨着硬件的第一层软件,提供其他软件的运行环境,可以将其看成是用户与硬件的接口,是整个计算机系统的控制和指挥中心,所以操作系统是电子商务环境中非常重要的系统软件。

类型:windows操作系统,UNIX操作系统,Linux操作系统,MacOS操作系统

37、数据库系统的安全框架可以划分为3个层次:1)网络系统层次;2)宿主操作系统层次;3)数据库管理系统层次。

38、数据库管理系统的安全性主要包括3个方面:1)数据库完整性;2)数据库保密性;3)数据库可用性。

39、数据库安全管理具体要求包括以下几点:1)防止不适当访问;2)分级保护;3)防止推断性攻击;4)数据库的存取安全性;5)数据的操作完整性;6)数据的语义完整性;7)数据库加密保护;8)审计功能。

40、消费者所面临的风险(了解P184)

1)虚假的或恶意的网站;2)从销售代理及Internet服务商(ISP)处窃取用户数据;3)隐私与Cookie的使用。

41、销售代理所面临的风险(了解P188) 1)客户假冒;2)拒绝服务袭击;3)数据的失窃。 42、电子商务风险类型:1)完整性风险。它主要在系统以下部分表现出来:用户界面、处理、错误处理、界面、变化处理、数据;2)接入风险。它可能在如下方面表现出来:业务流程、应用软件、数据和数据管理、流程的环境、网络、硬件设备;3)基础设施风险:组织计划、应用系统的定义和开发、逻辑安全和安全管理、计算机和网络操作、数据和数据库管理、核心业务数据恢复;4)获得性风险 ;5)其他与商务相关的风险:正确性风险、效率风险、周期性风险、报废风险、业务中断风险、产品失败风险。

范文九:电子商务安全管理 投稿:周渱渲

摘要:目前电子商务安全是互联网上的首要问题,这就涉及了无线局域网安全漏洞分析。现在无线局域网的技术主要有IEEE802.11、HomeRF和蓝牙。相对于蓝牙、HomeRF等无线技术,基于IEEE802.11的无线局域网正成为当前无线领域中一个引入关注的热点,相应的基于IEEE802.11的无线局域网的安全问题也成为目前人们主要争论的焦点。

  关键词:电子商务;IEEE802.11;HomeRF;蓝牙

  中图分类号:TP393 文献标识码:A 文章编号:1005-6432(2008)41-0042-02

  

  随着电子商务在网络上的飞速发展,无线局域网逐渐发展壮大起来。安全性将是在无线局域网中被考虑的一个重要的部分,全面了解无线局域网的安全机制之前,首先应该正确地认识到无线局域网可能存在的安全问题。

  

  一、无线局域网概念

  

  无线局域网(Wireless Local-area Network,WLAN)是计算机网络与无线通信技术相结合的产物。利用红外线、微波等无线技术进行信息的传递,无线局域网可以从广义和狭义上进行定义:GSM/GPRS和CDMA,定义了多种类型的无线局域网,涉及多种标准,但大致可分为两大发展方向:以高速传输应用发展为主(IEEE802.11a、IEEE802.11b和IEEE802.11g等);以低速短距离的应用为主(Bluetooth、HomeRF和HiperLAN等),从发展趋势来看,IEEE802.11协议系列大有一统无线局域网协议标准之势。从狭义上讲,无线局域网(WLAN)一般指的是遵循IEEE802.11系列协议的无线局域技术的网络。

  

  二、IEEE802.11无线局域网安全综述

  

  在了解无线局域网的安全机制之前,应该考虑到无线局域网可能存在的安全漏洞。某个网络用户(即黑客)能够通过偷听(被动攻击)、非法登录、链接、侦测和配置网络(主动攻击)、人为干扰等方式破坏无线局域 网。

  非法登录是通过一个无线基站连接到一个无线局域网上,某个用户可能更深入地穿透或进入一个网络,为了获取对于服务器的访问以得到有价值的数据,为了恶意的目的使用公司的Internet访问,甚至改变网络的界面配置,从而改变无线局域网自身,这是一种主动攻击。方式如下图所示:

  

  干扰攻击则并不是为了网络中的数据而来,可能只是为了使我们的无线局域网瘫痪。某个用户利用压制性的微波信号(不明的高功率发射物)对原来信号产生影响,并且信号发生设备可能是可移除的或是不可移除的。若这个信号来源是无目的的,我们称之为干扰源;而如果它是有目的地破坏和影响当前网络,我们则称之为干扰攻击。

  无线局域网由于媒介的不同,在自由空间中进行传输,是相对开放的,所以对于网络的访问就少了一层障碍,无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取。所以在无线局域网被广泛采用之前,最需要解决的就是网络安全问题。网络的完全性是IT专业人士、业务管理者、承担无线基础设施安全责任的相关人员所必须关注的。

  

  三、结束语

  

  无论是在有线局域网还是无线局域网实施电子商务,在组网之前应该首先考虑到网络的安全问题,使用恰当的安全机制,配备响应的网络管理员,有效防止网络安全漏洞。建立一个有线、无线网络安全框架是整个业界的目标。安全问题对于公共无线局域网的重要性要远超过专用网络。

   作者单位:张奇华北电力大学

  杨宁侠邹智凯河北软件职业技术学院

  

  参考文献:

  钱进.无线局域网技术与应用[M].北京:电子工业出版社,2007:35-37.

范文十:论电子商务的安全性 投稿:董輜輝

论电子商务的安全性

随着社会信息化步伐的加快,利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化,已成为全球商务发展的趋势。电子商务以英特网为基础,可以提供跨国、多种语言、多种货币的在线服务(包括银行、保险、旅游、购物),还可以提供包括产品寻求、讨价还价、作出决定、支付、送货及解决纠纷等全面的商业交易服务。特别是信息产品还可以直接在线递送,从而大大降低了交易费用。成本低、及时性和互通性好,以及在拓展市场等方面的优势,使得电子商务受到全球的广泛关注。据统计,1997年美国企业间通过电子商务的交易额已达80亿美元,估计到2000年在英特网上,公司对公司的交易额将增长到1340亿美元,消费者购物将增长到100亿美元,到2001年电子商务的交易额将达到3270亿美元,其增长速度惊人地高达4000%。在我国,电子商务的发展速度也较快,深圳CHINAEDI是统一规划和建设的庞大的公用电子商务系统,在北京、上海、天津、广州、深圳、青岛、沈阳、南京、杭州、西安、武汉、海口、郑州13个城市也都建了CHINAEDI的节点,系统服务覆盖全国各地,并且与国际EDI网络相连接。网上银行也正在开通之中。电子商务不仅提供了进行商务活动的新方式,而且从更深的层面来看,由于通过它形成了与地域、空间无关的一体化市场,因而正在改变着全球的经济环境。

但是,当今电子商务在全球贸易额中仍是极小的一部分。比如,1997年美国的整个贸易交易额为25200亿美元,所以80亿美元的电子商务显得微不足道,即使是2001年的电子商务估计贸易额3270亿美元也不到1997年美国两个月的贸易交易额。这是什么原因呢?也许人们会将这一事实归因于全球网络化水平较低,但这只是部分原因。从网络化水平相当高的美国来看,事实上仍有大多数网络化水平很高的公司并未使用电子商务这种新的商业方式。

人们不禁要问,是什么因素阻碍了电子商务更广泛的普及呢?为此,不少调查机构进行了广泛的调查。众多的调查都发现,一个主要的障碍就是电子商务的安全问题。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。的确,由于英特网的全球性、开放性、无缝连通性、共享性、动态性发展,使得任何人都可以自由地接入英特网,特别是“黑客”们可能会采用各种攻击手段进行破坏等犯罪活动。此外,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。另外,“黑客”的犯罪行为大都具有瞬时性、广域性、专业性、时空分离性等特点。通常“黑客”很难留下犯罪证据,这大大刺激了“黑客”们以身试法。可见,以英特网为基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。因此,我国在建立电子商务应用系统时,必须将安全作为一个重要方面来加以考虑。

一、电子商务概况

目前尚未有一个关于电子商务的准确定义。广义地讲,电子商务是指在计算机与通信网络基础上,利用电子工具实现商业交换和商业作业活动的全过程。一般情况下,电子商务主要是指将购物和商业谈判等传统商务活动的网络化。直观地看,电子商务就是将传统商务移植到信息网络上。与传统商务相似,电子商务

为销售者和消费者建立交易关系,使他们能商谈和进行交易。电子商务应对所有用户都是开放的,且至少应像传统商务那样方便、可靠和安全。 早在80年代后期和90年代初期,电子商务就以建立在专用网络基础上的EDI形式出现,当时主要解决企业间的商务活动。90年代中期,基于英特网的电子商务成为主流。它利用TCP/IP 公众网络和技术进行在线交易和商业作业,涉及的对象包括:金融机构、商家、生产企业,网络服务提供商家、个人用户、政府部门和事业单位等。

电子商务业务可以分为两大类:非支付型业务和支付型业务。前者包括税务申报、电子选举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。

电子商务形式多样。从电子商务的参与者来看,电子商务可分为:企业 FY(NFY)企业企业FY(NFY)消费者企业FY(NFY)政府消费者FY(NFY)政府。

二、电子商务的安全需求

从安全和信任关系来看,在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,彼此远隔千山万水,由于英特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。

1.对销售者而言,他面临的安全威胁主要有:

(1)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地方)、解除用户订单或生成虚假订单。

(2)竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况及货物和库存情况。

(3)客户资料被竞争者获悉。

(4)被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。

(5)消费者提交订单后不付款。

(6)虚假订单。

(7)获取他人的机密数据:比如,某人想要了解另一人在销售商处的信誉时,他以另一人的名字向销售商订购昂贵的商品,然后观察销售商的行动。假如销售商认可该定单,则说明被观察的信誉高,否则,则说明被观察者的信誉不高。

2.对消费者而言,他面临的安全威胁主要有:

(1)虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而此时客户却被要求付款或返还商品。

(2)付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,因而使客户不能收到商品。

(3)机密性丧失:客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃听。

(4)拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源,从而使合法用户不能得到正常的服务。

由此可见,“黑客”们攻击电子商务系统的手段可以大致有以下几种: 一是中断(攻击系统的可用性):破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作。

二是窃听(攻击系统的机密性):通过搭线和电磁泄漏等手段造成泄密,或对业务流量进行分析,获取有用情报。

三是窜改(攻击系统的完整性):窜改系统中数据内容,修正消息次序、时间(延时和重放)。

四是伪造(攻击系统的真实性):将伪造的假消息注入系统、假冒合法人接入系统、重放截获的合法消息实现非法目的,否认消息的接收或发送等。 综合而言,电子商务系统的安全性要求可归纳为:

真实性要求:能对信息、实体的真实性进行鉴别。

机密性要求:保证信息不被泄露给非授权的人或实体。

完整性要求:保证数据的一致性,防止数据被非授权建立、修改和破坏。 可用性要求:保证合法用户对信息和资源的使用不会被不正当的拒绝。 不可否认要求:建立有效的责任机制,防止实体否认其行为。

可控性要求:能控制使用资源的人或实体的使用方式。

三、电子商务安全体系结构

由于英特网在物理上覆盖全球、在信息内容上无所不包、其用户群结构复杂,因此几乎不可能对其进行集中统一管理、控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、保证通信的可靠性和敏感信息的安全、提供源和目标的认证、实施法律意义上的公证和仲裁等。面对如此严峻的现实,必须花大力气

对安全问题进行认真研究,除了加强制度、法规等管理措施外,还要强化信息系统的安全能力。

当前的主流思路是从内联网出发来考虑以英特网为基础的电子商务安全问题。内联网将英特网技术用于单位、部门和企业专用网,它在原有专用网的基础上增加了服务器和服务器软件,Web内容制作工具和浏览器,并与英特网联通。内联网为公司和单位信息的传播和利用提供了极为便利的条件。内联网中存有大量的内部敏感信息,具有极高的商业、政治和军事价值。内联网是一种半封闭的集中式可控网。既要保证内联网不被非法入侵和破坏,网中的敏感信息不被非法窃取和窜改,同时还要保证网内用户和网外用户之间正常联通,并提供应有的服务。要保证英特网基础上建立的电子商务安全性,最根本的是要发展各商家、各部门的内联网并保证它们的安全性。

由于电子商务系统把服务商、客户和银行三方通过英特网连接起来,并实现具体的业务操作,因此电子商务安全系统可由三个安全代理服务器及CA认证系统构成,它们遵循相同的协议,协调工作,来实现整个电子商务交易数据的完整性、保密性、不可否认性等安全功能。银行方主要包括银行端安全代理、数据库管理系统、审计信息管理系统业务系统等几部分组成。它与服务商或客户进行通信,实现对服务商或者客户的身份认证机制,认证客户和服务商的身份及账号的合法性,保证业务的安全进行。

服务商方主要包括服务商端安全代理、数据库管理系统、审计信息管理系统、Web服务器系统等几部分组成。在进行电子商务活动时,服务商的服务器与客户和银行进行双方通信。在客户方,电子商务的用户通过自己的计算机与英特网相连,在客户计算机中,除了WWW浏览器软件外,还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责对客户敏感信息(如交易信息等)进行加密、解密和数字签名,以密文的形式与服务商或银行进行通信,并通过CA和服务器端安全代理或银行端安全代理一起实现用户身份认证机。 CA认证系统是为用户签发证书的机构。CA服务器由5个部分组成:用户注册机构、证书管理机构、存放有效证书和作废证书的数据库、密钥恢复中心及CA自身密钥和证书管理中心。

电子商务系统的安全体系结构主要包括:

H1.支持服务层。包括密码服务、通信、归档、用户接口和访问控制等模块,它提供了实现安全服务的安全通信服务。

H2.传输层。传输层发送、接收、组织商业活动所需的封装数据条,实现客户和服务器之间根据规定的安全角色来传递信息。数据条的基本类型为:签名文本、证书、收据、已签名的陈述、信息、数字化的商品、访问某种服务所需的信息、获得物理商品所需的信息、电子钱。传输层包括付款模块、文档服务模块和证书服务模块。

H3.交换层。交换层提供封装数据的公平交换服务。所谓公平是指,A和B同意进行交换,则A收到B的封装数据条的充要条件是B收到A的封装数据条。

H4.商务层。商务层提供了商业方案,如“邮购零售”、“在线销售信息”等。

四、电子商务中使用的核心安全技术

目前,电子商务系统中使用的核心安全技术包括加密、电子签名、电子信封、电子证书、防火墙等。

H1.加密。加密技术是最基本的安全技术,其主要功能是提供机密性服务,但在实现其他安全服务时也会使用加密技术。加密技术包括私钥加密和公钥加密。

1. 私钥加密。又称对称密钥加密,即收发信双方同用一个密钥去加密和解密数据。民间常用的私钥加密算法包括DES和IDEA等。

2. 公钥加密。又称为非对称密钥加密,需要使用一对密钥,一个公开,一个由收信者保存,发信人用公开密钥去加密,而收信人则用私用密钥去解密。民间常用的公钥密码算法有RSA 和EIGamal等。

H2.电子数据签名。日常生活中时常会有报文与签名同时发送以作为日后查证的保证。在因特网环境中,这可以用电子数字签名作为模拟。电子签名保持了常规手写签名的本质特点,但在形式上可以完全不同。

H3.电子信封。为解决每次传送更换密钥的问题,结合对称加密技术和公开密钥加密技术的优点,提出电子信封的概念:发送者自动生成对称密钥,用它加密原文,将生成的密文连同密钥本身一起再用公开密钥手段传送出去。收信者在解密以后同时得到对称密钥和用它加密的密文。这样保证每次传送都可由发送方选定不同密钥进行。

H4.电子证书。在因特网上设立一个认证机构(CA),它核实了用户的A真实身份以后,签名一份报文给A,其中含有A的名字和A的公开密钥。该报文称为“电子证书”。以后A发出的任何报文中都带有这份电子证书,以便收信方核实。同样,CA也可以给商户、银行等任何参与网上购物的个人或集团发电子证书。 H5.防火墙技术。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。

五、电子商务安全还需要解决的问题

安全电子商务在如下几个方面还没有满意的结果:

1.没有一种电子商务安全的完整解决方案和完整模型与体系结构。

2.尽管一些系统正逐渐成为标准,但仅有很少几个标准的API。从开放市场的角度来看,协议间的通用API和网关是绝对需要的。

3.大多数电子商务系统都是封闭式的,即它们使用独有的技术,仅支持一些特定的协议和机制。它们常常需要一个中央服务器来作为所有参与者的可信第三方。有时它们还要求使用特定的服务器或浏览器。

4.尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够。没有建立一种解决争议的决策程序。

5.客户的匿名性和隐私尚未得到充分的考虑。

6.大多数系统都将销售商的服务器和消费者的浏览器间的关系假设为主从关系,这种非对称关系限制了在这些系统中执行复杂的协议,而且不允许用户间进行直接交易。

7.大多数系统都限制为两方,因此难于集成一个安全连接到第三方。

8.所有方案和产品都仅考虑了在线销售,但很少考虑多方交易问题(如拍卖)和公文交换问题(如签合同,可证实电子邮件)。

为了国家的安全,电子商务系统中所涉及到的一些关键技术特别是安全理论和技术只能依靠开放,不能靠引进。由此可见,在我国研究电子商务中的安全性问题不仅具有特别重要的理论价值和实用价值,而且具有重要的现实意义。

字典词典进出口商品名称与编码进出口商品名称与编码【范文精选】进出口商品名称与编码【专家解析】行业准入条件行业准入条件【范文精选】行业准入条件【专家解析】关于端午节诗关于端午节诗【范文精选】关于端午节诗【专家解析】