第一篇:電子商務的安全問題
電子商務的安全問題
摘要:
由于電子商務是建立在開放的、自由的Intemet平臺上的,其安全的脆弱性阻礙了電子商務的發展。因此,要發展電子商務就必須解決安全問題,就必須要能保證電子商務的機密性、完整性、有效性、真實性以及不可否認性。電子商務安全交易中在線支付問題是最核
心、最關鍵的問題。本文從電子商務的安全問題入手,通過對多種安全技術的綜合介紹和詳細分析,有針對性地提出了相應的安全策略。提供了解決企業電子商務網站安全問題的有效 辦法,以保障電子商務活動的安全進行。
目 錄
一、引言...........................................................................................................................................1
二、電子商務中存在的安全問題...................................................................................................1
(一)、電子商務中網絡安全的問題.....................................................................................1 ??網絡信息泄漏..............................................................................................................1 ??文件信息篡改..............................................................................................................1 ??信息偽造......................................................................................................................1 ??信用威脅......................................................................................................................2 ??計算機病毒..................................................................................................................2
(二)、電子商務交易中安全問題.........................................................................................2 ??消費者、銷售商和銀行的利益更不易保護.............................................................2 ??安全面臨的嚴重問題也是制約發展的關鍵因素.....................................................2 ??電子商務的支付結算問題.........................................................................................2 ??電子商務商家信譽的問題.........................................................................................2
三、電子商務網絡安全問題解決對策...........................................................................................3
(一)電子商務網上支付安全對策.......................................................................................3
(二)安全管理過程監督.......................................................................................................3 ??加強全過程的安全管理..............................................................................................3 ?? 建立動態的閉環管理流程.........................................................................................4
(三)法律上的安全保障.......................................................................................................4 ??有關電子商務交易各方合法身份證的法律..............................................................4 ??有關保護交易者介人及交易數據的法律..................................................................4 ??有關電子商務中電子合同合法性及如何進行認證的法律......................................4 ??有關網絡知識產權保護的法律..................................................................................4 參考文獻...........................................................................................................................5
一、引言
隨著在Internet全球性的推廣,電子商務即被公認為是未來IT業最有潛力的新的增長點。但是隨著Internet的高速發展,其開放性、國際性和自由性在增加電子商務應用自由度的同時,我們也正受到日益嚴重的來自網絡的安全威脅,如黑客的侵襲、網絡的數據盜竊、病毒的傳播等。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為影響到電子商務健康發展的關鍵性課題。
二、電子商務中存在的安全問題
(一)、電子商務中網絡安全的問題 ? 網絡信息泄漏
在電子商務中表現為商業機密的泄漏,主要表現在:
交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。攻擊者主要通過截獲和竊取的方式造成信息泄漏。如果沒有采用加密措施或加密強度不夠,或是交易雙方進行交易的內容被攻擊者竊取,或者是交易一方提供給另一方使用的文件被攻擊者非法使用。? 文件信息篡改
在電子商務中表現為商業信息的真實性和完整性的問題。當攻擊者掌握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳輸的信息數據在中途篡改,如修改消息次序、時間,注入偽造消息等,然后再發向目的地,破壞數據的真實性和完整性。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。? 信息偽造
由于掌握了數據的格式,并可以篡改通過的信息,如果不進行身份識別,攻擊者就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等。主要有這樣幾種情況:第一、虛開網站和商店,給用戶發電子郵件,收訂貨單;第二、給偽造的用戶發惡意的電子郵件,窮盡商家資源,使合法用戶不能正常訪問網絡資源,使有嚴格時間要求的服務不能及時得到響應;第三、偽造用戶,發大量的電子郵件,竊取商家的
商品信息和用戶信用等信息。? 信用威脅
交易者否認參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。? 計算機病毒
電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。
(二)、電子商務交易中安全問題
? 消費者、銷售商和銀行的利益更不易保護
電子商務領域為欺詐提供了保護傘。它特殊的運行模式可以使欺詐行為人將其欺詐行為掩蓋得惟天衣無縫,而被侵害者卻無可奈何。他可以直接侵害消費者的公平交易權,因為消費者是根本看不到自己所要購買商品的實物,只能在網站上瀏覽銷售商為該商品所做的信息數據。電子商務對消費者的隱私權也提出了新的考驗。因特網技術使得對個人信息的收集、儲存、處理和銷售有著前所未有的能力和規模,在線消費者的信息隨時都有被收集和擴散的危險,只要在網上用個人信箱發信,你的信箱就基本上是公開的了,個人資料也就很容易被竊取,使得消費者購非所需。
? 安全面臨的嚴重問題也是制約發展的關鍵因素
保障電子商務活動的安全,一直是電子商務研究的核心領域。作為一個安全的電子商務系統,首先必須具有一個安全、可靠的通信網絡,以保證交易信息安全、迅速地傳遞;其次必須保證數據庫服務器絕對安全,防止黑客闖入網絡盜取信息。網絡產品本身就隱藏著不安全隱患,加之受技術、人為等因素的影響,不安全因素更顯突出。如:非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、病毒與惡意攻擊、線路竊聽等。若安全問題解決不好將對整個電子商務市場帶來了巨大的損失。? 電子商務的支付結算問題
電子商務的核心內容是信息的互相溝通和交流,交易雙方通過Internet進行交流,洽談確認,最后才能發生交易,進行支付結算,一般都要求先匯款再送貨。但從整個電子商務網絡的發展來看,將來要在網絡上直接進行交易,就需要通過銀行的信用卡等各種方式來完成交易,以及在國際貿易中通過與金融網絡的連接來支付和收費。? 電子商務商家信譽的問題
電子商務依其特有的經營模式對商家的信譽提出了更高的要求。因為電子商務的基石就是誠信、信譽。他不象傳統的交易方式,消費者可到實地觀察、挑選自己的商品,其完全憑借的是商家的信譽度,有信譽就有顧客這是對電子商務的真實寫照。當傳統的購物方式引發的各種糾分還在“3.15”消費者權益日頻頻曝光的環境下,消費者如何信任互不照面的網上交易?這個問題不解決電子商務就很難做大做強,這對我們也提出了新的挑戰。
三、電子商務網絡安全問題解決對策
(一)電子商務網上支付安全對策
由于引起電子商務安全問題的因素很多,所以解決安全問題也應從不同方面來考慮,提供不同的應對策略:
? 安全技術策略:為了確保通信的安全性,必須采取必要的措施加以防范。在通信連接方面,可以使用防火墻、代理服務器、虛擬專用網絡(VPN)等技術;在鑒別和認證方面,可以采取加密和認證技術。
做好自身電腦的日常安全維護,注意以下幾點: a.是經常給電腦系統升級
b.是安裝殺毒軟件、防火墻,經常升級和殺毒
c.在平時上網是盡量不上一些小型網站,選大型網站,知名度比較高的網站,避免網站掛有病毒、木馬造成中毒
d.盡量不要在公共電腦上使用自己的有關資金的賬戶和密碼,五有條件的情況下,在初裝系統后確認電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統恢復。
e.在登錄支付資金時,應注意:一是確認該網是否是官方網站,二是仔細核對該網的域名是否正確,注意小寫“1”與“L”、“0”與“O”等情況,三保證良好的上網習慣,收藏常用的網址,減少網上鏈接。
電子商務網上支付實際上就是落實到網上銀行轉賬結算的交易。為了防止了黑客木馬程序和網上釣魚的攻擊,使用數字證書才是保障網銀安全的較好辦法。但是,證書盡可能不采用所謂“文件證書”,即下載到瀏覽器硬盤上的證書,因為,此種證書易被黑客用木馬程序竊取。目前,各銀行的應用實踐證明:只有將數字證書裝入UBKey中,才是確保安全的好辦法。
2、法律保障。由于電子商務各項活動首先是一種商品的交易,因此安全問題應當通過相關法律加以保護,必須保證電子合同和數字簽名的法律地位、簽約雙方對電子合同的認可、電子合同的不可否認或修改,確保電子合同能夠得以實施。
3、完善的管理策略。由于電子商務交易系統是一個人機高度綜合的系統,除了網絡的安全之外,管理人員的管理也是非常重要的,而且是起決定性作用的因素。因此,對整個系統的管理權限的分配和監督、管理人員的培訓和考核、道德和業務水平的培養都必須制定出一套完整的規章制度,以利于培養管理人員敬業愛崗的精神.(二)安全管理過程監督 ? 加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。
2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查。
3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系
統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。?
建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:
1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。
2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
(三)法律上的安全保障
在法律上,最子商務不同于傳統商務在紙面上完成交易,有據可查的特點,電子交易如何認證,電子欺詐如何避免和懲治不僅是技術問題,同時也要涉及到法律領域,電子商務就像在現實世界之外又建立了一個虛擬世界,在這個虛擬世界里,更需要完善的法律體系來維持秩序。目前多個國家和地區已經開始行動制定電子商務法律法規。這就需要在企業和企業之間、政府和企業之間、企業和消費者之間、政府和政府之間明確各自需要遵守的法律義務和責任。其主要涉及的法律要素有: ? 有關電子商務交易各方合法身份證的法律
電子身份認證中心是電子商務中的核心角色,它擔負著保證電子商務公正、安全進行的任務。因而必須由國家法律來規定CA中心的設立程序和資格以及必須承擔的法律義務和責任,同時要由法律規定對CA中心進行監管的部門、監管方法以及違規后的處罰措施。? 有關保護交易者介人及交易數據的法律
本著最小限度收集個人數據、最大限度保護個人隱私的原則來制定法律,以消除人們對泄露個人隱私以及重要個人信息的擔擾,從而吸引更多的人上網參與電子商務。? 有關電子商務中電子合同合法性及如何進行認證的法律
需要制定有關法律對電子合同的法律效力、數字簽名、電子商務憑證的合法性予以確認;需要對電子商務作證、電子支付數據的偽造、變更、涂銷做出相應的法律規定。? 有關網絡知識產權保護的法律
網絡對知識產權的保護提出了新的挑戰,因此在研究技術保護措施時,還必須建立適當的法律框架,以便偵測仿冒或欺詐行為,并在上述行為以生時提供有效的法律援助。
參考文獻
[1]鐘 誠.電子商務安全.重慶大學出版社.2004.6 [2]楊堅爭.電子商務基礎與運用 2008.5 [3]陳 進.電子商務金融與安全.清華出版社 2000 [4]馮登國.網絡安全原理與技術.北京.科學出版社.2003 [5]邵曉薇 王維民 電子商務網站網上交易系統 人民郵電出版社 2000.6
第二篇:電子商務安全問題論文
摘要: 通過分析電子商務安全問題產生原因及電子商務對安全環境的要求,提出電子商務的安全防范策略,并對當前解決電子商務安全的主要技術進行了進一步的闡述和分析,為建立健全電子商務安全系統提供技術性參考。
關鍵詞: 電子商務 安全技術 安全協議
電子商務的發展已將全球的商務企業都推進到一場真的商業革命大潮中,潮起潮落,安全問題是關鍵。電子商務系統是活動在Internet平臺上的一個涉及信息、資金和物資交易的綜合交易系統,其安全對象是一個開放的、人在其中頻繁活動的、與社會系統緊密耦合的復雜系統,它是由商業組織本身(包括營銷系統、支付系統、配送系統等)與信息技術系統復合構成的。系統的安全目標與安全策略,是由組織的性質與需求所決定的。
一、電子商務的安全問題
1.電子商務安全問題的產生。(1)在線交易主體虛擬化帶來的安全問題:在電子商務環境下,任何人不經登記就可以借助計算機網絡發出或接受網絡信息,并通過一定程序與其他人達成交易。虛擬主體的存在使電子商務交易安全受到嚴重威脅。(2)虛假信息的發布帶來的安全問題:當用戶以合法身份進入系統后,買賣雙方都可能在網絡上發布虛假的供求信息,或以過期的信息冒充現在的信息,以騙取對方的錢款或貨物。(3)過低的信用度帶來的安全問題:①低信用度的買方帶來的安全問題:低信用度的買方,可能存惡意透支或使用偽造的信用卡騙取賣方貨物或存在拖延貨款行為,賣方需要為此承擔風險。②低信用度的買方帶來的安全問題:賣方不能按質、按量、按時寄送消費者購買的貨物,或者不能完全履行與集團購買者簽訂的合同,造成買方的風險。③低信用度的買賣雙方都存在抵賴的情況。(4)網絡欺詐的存在帶來的安全問題:在電子交易活動中頻繁欺詐用戶這是網絡騙子們常用的騙術,利用電子商務進行欺詐已經成為一種新型犯罪活動,目前這種網上欺詐也已經成為國際性的難題。(5)電子合同取代書面合同過程中帶來的安全問題:在在線交易情形下,交易雙方的所有信息都是以電子化的形式存儲于計算機硬盤或其他電子介質中,這些記錄不僅容易被涂擦、刪改、復制、遺失,而且不能脫離其記錄工具(計算機)而作為證據獨立存在。由此而引發諸多方面的安全問題(6)網上電子支付過程帶來的安全問題:完電子商務的網上支付通過信用卡支付和虛擬銀行的電子資金劃撥來完成。而實現這一過程涉及網絡銀行與網絡交易客戶之間的協議、網絡銀行與網站之間的合作協議以及安全保障問題。(7)產品交付過程帶來的安全問題:有形貨物的在線交易中物流配送環節引發的一些特殊問題及無形的信息產品在交付中對于其權利的移轉、退貨、交付的完成等帶來的安全問題。(8)網絡消費者維權時引發的安全問題:在線市場的虛擬性和開放性以及網上購物的便捷性都使消費者保護成為突出的問題。比如質量問題,退賠、修理困難問題等。(9)網絡惡意攻擊者的破壞活動帶來的安全問題:包括系統穿透、違反授權原則、植入、通信監聽、通信干擾、中斷、拒絕服務、否認等。
2.電子商務對安全環境的要求。(1)確保信息的安全要求包括有效性、機密性、完整性、可靠性/不可抵賴性/鑒別等;(2)確保授權合法性;(3)確保交易者身份的確定性;(4)確保內部網的嚴密性。
二、電子商務的安全防范策略
經過數十年的探索,電子商務安全防范策略從最初的商務信息保密性發展到商務信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻、防、測、控、管、評”等多方面的基礎理論和實施技術。目前,電子商務安全領域已經形成了9大核心技術,它們是:密碼技術、身份驗證技術、訪問控制技術、防火墻技術、安全內核技術、網絡反病毒技術、信息泄露防治技術、網絡安全漏洞掃描技術、入侵檢測技術。
1.電子商務的主要安全技術。(1)加密技術。加密技術解決了傳送信息的保密問題,可分對稱加密和非對稱加密。對稱加密是一種傳統的信息認證方法,通過信息交換的雙方共同約定一個口令或一組密碼,建立一個通信雙方共享的密鑰。通信的甲方將要發送的信息用私鑰加密后傳給乙方,乙方用相同的私鑰解密后獲得甲方傳遞的信息。對稱加密采用的主要加密算法有DES數據加密標準、三重DES,IDEA,和AES(高級加密算法)等。其最大優勢是加/解密速度快, 適合于對大數據量進行加密,但密鑰管理困難。非對稱加密又稱公開密鑰加密,它使用一把公開發布的公開密鑰和一把只能由生成密鑰對的貿易方掌握的私用密鑰來分別完成加密和解密操作。如貿易的甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開;得到該公開密鑰的貿易的方乙使用該密鑰對信息進行加密后發送給甲方;甲方再用自己保存的另一把私用密鑰對加密信息進行解密。公鑰密碼技術是密碼技術核心,主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。優點是機制靈活,但加密和解密速度慢。(2)數字簽名。數字簽名解決了而防止他人對傳輸的文件進行破壞,以及如何確定發信人的身份的問題。數字簽名與書面文件簽名有相同功效,它代表了文件的特征,文件如果發生改變,數字簽字的值也將發生變化,不同的文件將得到不同的數字簽字。數字簽名是采用雙重加密的方法,通過流程:A、被發送文件用 SHA編碼加密產生128 bit的數字摘要;B、發送方用自己的私用密鑰對摘要再加密,形成數字簽名;C、將原文和加密的摘要同時傳給對方;D、對方用發送方的公共密鑰對摘要解密,同時對收到的文件用SHA編碼加密產生又一摘要;E、將解密后的摘要和收到的文件在接收方重新加密產生的摘要互對比。最終實現了防偽、防抵賴。
(3)數字時間戳。數字時間戳服務提供了對電子文件發表時間的安全保護,由專門的機構提供。時間戳是一個經加密后形成的憑證文檔,它包括需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數字簽字三個部分。時間戳形成的流程為:①用戶將需要加時間戳的文件用HASH編碼加密形成摘要,然后將該摘要發送到DTS;②DTS在加人了收到文件摘要的日期和時間信息后再對該文件加密(數字簽名),然后送回用戶。數字時間戳是由認證單位DTS來加的,以DTS收到文件的時間為依據。
(4)數字證書。數字證書是由CA認證中心簽發的,用電子手段來證實一個用戶的身份和對網絡資源的訪問權限的憑證。CA認證中心是承擔網上安全電子交易認證服務、能簽發數字證書、并能確認用戶身份的服務機構。數字證書為電子簽名相關各方提供真實、可靠驗證的公眾服務,解決電子商務活動中交易參與各方身份、資信的認定,維護交易活動的安全,從根本上保障電子商務交易活動順利進行。在網上的電子交易中,如雙方出示了各自的數字證書,就可用它來進行安全交易操作了。
(5)防火墻技術。網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障,是最先受到人們重視的網絡安全技術,它可以阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出,是最適合于相對獨立的與外部網絡互連途徑有限、網絡服務種類相對集中的單一網絡。防火墻有兩個基本準則:一是未被允許的就是禁止的;二是未被禁止的就是允許的。基于該準則, 防火墻應轉發所有信息流, 然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境, 可為用戶提供更多的服務。
2.電子商務安全協議技術。電子商務安全協議主要有:安全套接層協議SSL和安全電子交易SET協議。此外,還有pCT(專用通信技術),它只是對SSL進行少量的改進。SSL協議是向基于TCp/Ip的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等的安全措施。它包括“SSL 記錄協議”和“ SSL 握手協議”。該協議通過在應用程序進行數據交換前交換SSL初始握手信息來實現有關安全特性的審查。在SSL握手信息中采用了DES、MDS等加密技術來實現機密性和數據完整性,并采用X.509的數字證書實現鑒別。SSL協議已成為事實上的工業標準而被廣泛應用。通常還采用“SSL+表單簽名”的模式使得SSL在電子商務的應用中確保信息的真實性、完整性和保密性的基礎上進一步提高電子商務的安全保障。
SET協議是Mastercard公司和Visa公司聯合開發的一種應用于因特網環境下,以信用卡為基礎的安全電子支付協議。它可以對交易各方進行認證,可防止商家欺詐,進行安全交易,它給出了一套電子交易的過程規范而成為目前公認的信用卡的網上交易的國際標準。
3.構建電子商務安全控制的框架和制訂電子商務標準及法律法規。通過安全的控制和電子商務標準的推行,有利于解決電子商務的安全性和可靠性問題。
電子商務給企業、消費者和社會所帶來的收益是不可估量的。特別是電子商務以其高效、低成本的優勢,必將成為新興的商業運作模式,推動著全球經濟的快速發展。而商務信息的安全問題始終是電子商務的核心,是阻礙電子商務廣泛應用的最大問題。電子商務的安全問題是能夠通過綜合運用各類電子商務安全技術,并不斷改進和完善,加之建立健全電子商務的安全機制和相應的法律法規,推行電子商務的國際化標準而得以解決。
參考文獻:
[1](美)埃弗雷姆.特白思戴維.金,杰李等著王理平張曉峰譯:電子商務 管理新視角(第2版)[M].電子工業出版社,2005年9月
[2]楊堅爭著:電子商務基礎與應用(第五版)[M].西安電子科技大學出版社,2007年7月
第三篇:06電子商務的安全問題
電子商務的安全問題
一、選擇題
1、在電子商務信息安全要求中,信息在傳輸過程中或存儲中不被他人竊取指的是(B)。A、信息的保密性
B、信息的完成性
C、信息的不可否認性
D、交易者身份的真實性
2、加密和解密密鑰不同的密碼體制稱為()。
A、DES密碼體制
B、公開秘鑰密碼體制 C、通用秘鑰密碼體制
D、凱撒密碼體制
3、加密后的內容稱為()。
A、密鑰
B、算法 C、密文
D、明文
4、用戶識別方法不包括()。
A、根據用戶知道什么來判斷
B、根據用戶擁有什么來判斷 C、根據用戶地址來判斷
D、根據用戶是什么來判斷
5、一下身份認證技術中,屬于生物特征識別技術的有()。
A、數字簽名識別法
B、指紋識別法
C、語音識別法
D、頭蓋骨的輪廓識別法
6、觸發電子商務安全問題的原因有()。
A、黑客的攻擊
B、管理的欠缺 C、網絡的缺陷
D、軟件的漏洞
7、不屬于病毒防范制度的內容是()。
A、為自己的電腦安裝防病毒軟件
B、不打開陌生地址的電子郵件 C、認真執行病毒定期清理制度
D、高度警惕網絡陷阱
8、下面屬于不安全口令的有()。A、使用用戶名作為口令
B、使用自己或者親友的生日作為口令 C、使用學號或者身份證號碼等作為口令 D、使用常用的英文單詞作為口令
9、在使用數字證書來為郵件簽名之前,還應該為電子郵件地址申請()。A、密碼
B、密鑰 C、數字標識
D、賬號
10、計算機病毒是指()。
A、具有破壞作用的特制程序
B、帶細菌的磁盤 C、已經損壞的磁盤D、優良程序
11、對稱密碼技術中DES是()。
A、Data Encryption Standard
B、Data End System C、Data Encryption System
D、Data End Standard
12、()協議是用于開放網絡進行信用卡電子支付的安全協議。
A、SSL
B、TCP/IP C、SET
D、HTTP
13、CA認證中心主要承擔電子商務中的交易認證、()、身份審核等服務。A、伏路把關
B、數據加密 C、證書簽發
D、信息傳遞
14、屬于非對稱加密算法的有()算法。
A、RSA
B、Rivest Code C、DES
D、AES
15、防火墻可以抵御的安全威脅有()。A、不經由防火墻的攻擊
B、受到病毒感染的軟件或文件的傳輸 C、來自內部的攻擊 D、內部信息的外泄
16、以下關于防火墻的說法錯誤的是()。
A、包過濾型防火墻在網絡層工作,其處理對象是數據包。
B、應用網關型防火墻在應用層工作,而代理服務器型防火墻卻在最高層共工作,這是它們的不同點。
C、包過濾型防火墻、應用網關型防火墻和代理服務器型防火墻的防范方式與側重點不同。D、包過濾型防火墻通常安裝在路由器上,而應用網關型防火墻和代理服務器型防火墻大多是基于主機的。
17、在保密制度里,信息的安全級別不包括()。
A、絕密級
B、機密級 C、秘密級
D、保密級
18、數字指紋也叫()。
A、數字簽名
B、消息摘要
C、消息驗證
D、數字摘要
19、目前最安全的身份認證機制是()。
A、一次口令機制
B、雙因素法
C、基于智能卡的用戶身份認證
D、身份認證的單因素法
20、身份認證的主要目標包括:確保交易者是交易者本人、避免與超過權限的交易者進行交易和()。
A、可信性
B、訪問控制
C、完整性
D、保密性
二、填空題
1、互聯網的安全隱患主要表現在、、、四個方面。
2、電子商務面臨的主要安全隱患有、、、、對交易行為進行的抵賴和身份識別六個方面。
3、一個功能較為完整的防火墻基本組成包括、、和。
4、防火墻的類型有、、和。
5、加密算法的代表為算法。
6、不對稱加密算法的代表為算法。
7、有效的身份認證的三個基礎因素是、和。
8、動態口令是應用最廣的一種身份識別方式,一般是長度為的字符串,由數字、字母、、等組成。
9、生物特征分為和兩類。
10、訪問控制的要素有、、、和。
11、目前主要的訪問控制類型有3種:、、。
12、和是電子商務安全協議是在電子商務活動中比較常用的安全協議。
13、SSL協議提供的安全連接具有的3個基本特點分別是:、和。
14、現行Web瀏覽器普遍將和相結合,從而實現安全通信。
15、SSL記錄協議為SSL連接提供了和服務。
三、簡答題&論述題
1、簡述電子商務面臨的主要安全隱患問題。
答: 電子商務需要借助網絡,而網絡的開放性,會存在以下安全隱患:(1)對合法用戶身份的仿冒。(2)網絡傳輸數據的保密性。(3)網絡傳輸數據的完整性。(4)利用網絡數據惡意攻擊網絡硬件和軟間,從而導致商務佶息傳遞的丟失、破壞。(5)商業詐和故意抵賴。
2、防火墻的基本概念。
答:
防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障
3、簡述防火墻的功能。
4、簡述防火墻的局限性。
5、列舉身份認證的方法。
6、短信密碼認證方法具有哪些優點?
7、訪問控制的定義。
8、簡述訪問控制的原理。
9、自主訪問控制的最大的特點是什么?
10、簡述SET協議采用的數據加密模型的特點。
四、案例題
案例一:360安全瀏覽器
360安全瀏覽器(360SE)是互聯網上好用和安全的新一代瀏覽器,和360安全衛士、360殺毒等軟件產品一同成為360安全中心的系列產品。木馬已經取代病毒成為當前互聯網上最大的威脅,90%的木馬用掛馬網站通過普通瀏覽器入侵,每天有200萬用戶訪問掛馬網站中毒。360安全瀏覽器擁有全國最大的惡意網址庫,采用惡意網址攔截技術,可自動攔截掛馬、欺詐、網銀仿冒等惡意網址。獨創沙箱技術,在隔離模式即使訪問木馬也不會受感染。除了在安全方面的特性,360安全瀏覽器在速度、資源占用、防假死不崩潰等基礎特性上表現同樣優異,在功能方面擁有翻譯、截圖、鼠標手勢、廣告過濾等幾十種實用功能,在外觀上設計典雅精致,是很多網民使用瀏覽器的選擇之一。360安全瀏覽器在網絡安全方面具有以下特點:
1.智能攔截釣魚網站和惡意網站,開心上網安全無憂; 2.智能檢測網頁中惡意代碼,防止木馬自動下載;
3.集成全國最大的惡意網址庫,網站好壞大家共同監督評價; 4.即時掃描下載文件,放心下載安全無憂;
5.內建深受好評的360安全衛士流行木馬查殺功能,即時掃描下載文件; 6.木馬特征庫每日更新,查殺能力媲美收費級安全軟件;
7.采用“沙箱”技術,真正做到百毒不侵(木馬與病毒會被攔截在沙箱中無法釋放威力); 8.將網頁程序的執行與真實計算機系統完全隔離,使得網頁上任何木馬病毒都無法感染計算機系統;
9.顛覆傳統安全軟件“滯后查殺”的現狀,所有已知未知木馬均無法穿透沙箱,確保安全。
請分析案例回答以下問題:
(1)分析360安全瀏覽器主要解決網絡安全隱患中的哪一類問題。(2)淺談電子商務中網絡客戶端方面應該注意的安全問題。
案例二:泄密案例
受害者:HBGary Federal公司(2011年2月)
隨著為美國政府和500強企業提供信息安全技術服務的HBGary Federal公司CEO的黯然辭職,人們驟然醒悟,云時代保障企業信息資產安全的核心問題不是技術,而是人,不是部門職能,而是安全意識!企業門戶大開的原因不是沒有高價安全技術,而是缺乏一道“人力防火墻”。2011年2月6日,在美式橄欖球超級碗決賽之夜,HBGary Federal公司創始人Greg Hoglund嘗試登錄Google企業郵箱的時候,發現密碼被人修改了,這位以研究“rootkit”而著稱的安全業內資深人士立刻意識到了事態的嚴重性:作為一家為美國政府和500強企業提供安全技術防護的企業,自身被黑客攻陷了!更為糟糕的是,HBGary Federal企業郵箱里有涉及包括美商會、美國司法部、美洲銀行和WikiLeak的大量異常敏感的甚至是見不得光的“商業機密”。
對HBgary Federal公司實施攻擊的黑客組織“匿名者”隨后將戰利品——6萬多封電子郵件在互聯網上公布,直接導致HBgary Federal公司CEO Aaron Barr引咎辭職,由于此次信息泄露涉及多家公司甚至政府部門的“社交網絡滲透”、“商業間諜”、“數據竊取”、“打擊WikiLeak”計劃,HBGary公司的員工還紛紛接到恐嚇電話,整個公司幾乎一夜間被黑客攻擊徹底擊垮。
失竊/受影響的資產:60000封機密電子郵件、公司主管的社交媒體賬戶和客戶信息。安全公司HBGary Federal宣布打算披露關于離經叛道的Anonymous黑客組織的信息后不久,這家公司就遭到了Anonymous組織成員的攻擊。Anonymous成員通過一個不堪一擊的前端Web應用程序,攻入了HBGary的內容管理系統(CMS)數據庫,竊取了大量登錄信息。之后,他們得以利用這些登錄信息,闖入了這家公司的多位主管的電子郵件、Twitter和LinkedIn賬戶。他們還完全通過HBGary Federal的安全漏洞,得以進入HBGary的電子郵件目錄,隨后公開拋售郵件信息。
汲取的經驗教訓:這次攻擊事件再一次證明,SQL注入攻擊仍是黑客潛入數據庫系統的首要手段;Anonymous成員最初正是采用了這種方法,得以闖入HBGary Federal的系統。但要是存儲在受影響的數據庫里面的登錄信息使用比MD5更強大的方法生成散列,這起攻擊的后果恐怕也不至于這么嚴重。不過更令人窘迫的是這個事實:公司主管們使用的密碼很簡單,登錄信息重復使用于許多賬戶。
請結合案例談談對該事件的看法,并說說今后該如何做。
第四篇:電子商務安全問題典型案例
案例一:
淘寶“錯價門”引發爭議
互聯網上從來不乏標價1元的商品。近日,淘寶網上大量商品標價1元,引發網民爭先恐后哄搶,但是之后許多訂單被淘寶網取消。隨后,淘寶網發布公告稱,此次事件為第三方軟件“團購寶”交易異常所致。部分網民和商戶詢問“團購寶”客服得到自動回復稱:“服務器可能被攻擊,已聯系技術緊急處理。”這起“錯價門”事件發生至今已有兩周,導致“錯價門”的真實原因依然是個謎,但與此同時,這一事件暴露出來的我國電子商務安全問題不容小覷。在此次“錯價門”事件中,消費者與商家完成交易,成功付款下了訂單,買賣雙方之間形成了合同關系。作為第三方交易平臺的淘寶網關閉交易,這種行為本身是否合法?蔣蘇華認為,按照我國現行法律法規,淘寶網的行為涉嫌侵犯了消費者的自由交易權,損害了消費者的合法權益,應賠禮道歉并賠償消費者的相應損失。
總結:目前,我國電子商務領域安全問題日益凸顯,比如,支付寶或者網銀被盜現象頻頻發生,給用戶造成越來越多的損失,這些現象對網絡交易和電子商務提出了警示。然而,監管不力導致消費者權益難以保護。公安機關和電信管理機關、電子商務管理機關應當高度重視電子商務暴露的安全問題,嚴格執法、積極介入,徹查一些嚴重影響互聯網電子商務安全的惡性事件,切實保護消費者權益,維護我國電子商務健康有序的發展。
案例二:
黑客熱衷攻擊重點目標
國外幾年前就曾經發生過電子商務網站被黑客入侵的案例,國內的電子商務網站近兩年也發生過類似事件。浙江義烏一些大型批發網站曾經遭到黑客近一個月的輪番攻擊,網站圖片幾乎都不能顯示,每天流失訂單金額達上百萬元。阿里巴巴網站也曾確認受到不明身份的網絡黑客攻擊,這些黑客采取多種手段攻擊了阿里巴巴在我國大陸和美國的服務器,企圖破壞阿里巴巴全球速賣通臺的正常運營。隨著國內移動互聯網的發展,移動電子商務也將迅速發展并給人們帶來更大便利,但是由此也將帶來更多的安全隱患。黑客針對無線網絡的竊聽能獲取用戶的通信內容、侵犯用戶的隱私權。
總結:黑客攻擊可以是多層次、多方面、多種形式的。攻擊電子商務平臺,黑客可以輕松賺取巨大的、實實在在的經濟利益。比如:竊取某個電子商務企業的用戶資料,販賣用戶的個人信息;破解用戶個人賬號密碼,可以冒充他人購物,并把商品貨物發給自己。黑客有可能受經濟利益驅使,也有可能是同業者暗箱操作打擊競爭對手。攻擊電子商務企業后臺系統的往往是專業的黑客團隊,要想防范其入侵,難度頗大。尤其是對于一些中小型電子商務網站而言,比如數量龐大的團購網站,對抗黑客入侵更是有些力不從心。如果大量電子商務企業后臺系統的安全得不到保障,我國整個電子商務的發展也將面臨極大威脅。
第五篇:企業電子商務安全問題分析---電子商務畢業論文
課程名:電子商務
課程編號:2104013
電子商務課程結課論文論文題目所在班級學生學號學生姓名任課教師
企業電子商務安全問題分析
《電子商務》課程結課論文
電子商務課程結課論文
--------企業電子商務安全問題分析
隨著電子信息技術的迅速普及和廣泛應用,電子商務以其快捷、便利等優點越來越受到社會的認可。電子商務的發展前景十分誘人,但商業信息的安全依然是電子商務的首要問題。本文從實現電子商務安全性的基本框架出發,對電子商務中的各種安全技術進行了分析,以探討一種有效、安全的實現電子商務的途徑。
一、我國電子商務現狀
根據CNNIC發布的《中國互聯網絡熱點調查報告》中顯示:網上購物大軍達到2000 萬人,在全體互聯網網民中,有過購物經歷的網民占近20% 的比例。根據國家信息化辦公室公布的數據,目前仍有60%的中小企業的信息化程度處于初級階段。
因此,電子商務是互聯網應用發展的必然趨勢,也是國際金融貿易中越來越重要的經營模式,以后它還會逐漸地成為我們經濟生活中一個重要部分。但同時我們也看到,我國的電子商務還處于了發展的初級階段還有很長的路要走,從而安全是保證電子商務健康有序發展的關鍵因素。
根據調查顯示,目前電子商務安全主要存在的問題是:
(1)計算機網絡安全
(2)商品的品質
(3)商家的誠信
(4)貨款的支付
(5)商品的遞送
(6)買賣糾紛處理
(7)網站售后服務
以上問題可以歸結為兩大部分:計算機網絡安全和商務交易安全。
計算機網絡安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。沒有計算機網絡安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網絡本身再安全,仍然無法達到電子商務所特有的安全要求。只有解決好以上的矛盾,電子商務才能保證又快又好的發展。
二、網絡安全技術策略
電子商務的安全問題,可以歸結兩大類問題:一是支付安全,二是認證安全。
1、支付安全
由于網絡天生的不安全性,特別是其網上支付領域有著各種各樣的交易風險。但無論是何種風險,其根本原因都是由于登錄密碼或支付密碼泄露造成的。
(1)密碼管理問題
大部分公司和個人受到網絡攻擊的主要原因是密碼政策管理不善。大多數用戶使用的密碼都是字典中可查到的普通單詞姓名或者其他簡單的密碼。有86%的用戶在所有網站上使用的都是同一個密碼或者有限的幾個密碼。許多攻擊者還會直接使用軟件強力破解一些安全性弱的密碼。
《電子商務》課程結課論文
因此,因此建議用戶使用復雜的密碼,降低被病毒破譯密碼的可能性,提高計算機系統的安全性。需要注意:一是密碼不要設置為姓名、普通單詞
一、電話號碼、生日等簡單密碼;二是結合字母、數字、大小寫共組密碼;三是密碼位數應盡量大于9 位。
(2)網絡病毒、木馬問題
現今流行的很多木馬病毒都是專門用于竊取網上銀行密碼而編制的。木馬會監視lE瀏覽器正在訪問的網頁,如果發現用戶正在登錄個人銀行,直接進行鍵盤記錄輸入的帳號、密碼,或者彈出偽造的登錄對話框,誘騙用戶輸入登錄密碼和支付密碼.然后通過郵件將竊取的信息發送出去。
因此,需要做好自身電腦的日常安全維護,注意以下幾點: 一是經常給電腦系統升級,二是安裝殺毒軟件、防火墻,經常升級和殺毒,三在平時上網是盡量不上一些小型網站,選大型網站,知名度比較高的網站,避免網站掛有病毒、木馬造成中毒,四盡量不要在公共電腦上使用自己的有關資金的帳戶和密碼,五有條件的情況下,在初裝系統后確認電腦安全的后,給自己的電腦做上備份,在使用資金帳戶前做一次系統恢復。
(3)釣魚平臺
“網絡釣魚”攻擊者利用欺騙性的電子郵件和偽造的Web 站點來進行詐騙活動,如將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌。受騙者往往會泄露自己的財務數據,如信用卡號、賬戶號和口令等。
因此,在登錄支付資金時,應注意:
一是確認該網是否是官方網站,二是仔細核對該網的域名是否正確,注意小寫“1 ”與“L ”、“0 ”與“O ”等情況,三保證良好的上網習慣,收藏常用的網址,減少網上鏈接。
(4)硬件數字認證
在電子商務體系構建的過渡時期,道高一尺,魔高一丈。各類病毒層出不窮,木馬也在天天更新,今天這種技術安全,明天就不一定安全。
因此,數字證書的引入是在線支付安全問題的最終解決方案之一。網上支付不安全,選擇網下加以彌補。
以工商銀行2003年推出并獲得國家專利的客戶證書USBkey(U 盾)為例。從技術角度看.u 盾是用于網上銀行電子簽名和數字認證的工具,它內置微型智能卡處理器,采用1024 位非對稱密鑰算法對數據進行加密、解密和數字簽名.確保網上交易的保密性、真實性、完整性和不可否認性。它順利地解決了當前網銀密碼泄漏的問題。有了硬件數字證書的應用,即使你的密碼泄漏了。沒有證書,黑客還是不能夠使用你的帳戶。
動態電子密碼的應用也可以確保電子銀行帳號的安全。現行的有兩種方式,一種是在使用時查看當前的動態電子密碼。另一種是臨時通過綁定手機、密寶等通信工具,向帳戶所在銀行申請臨時密碼。由于具有較強的時效性,從而保障帳戶資金的安全。還有其它消極的防護措施。如某些網上銀行交易金額限制,單次為300 元,每日限額為3000元。主要是為了降低電子支付交易風險.但在一定程度上會給大額交易帶來不便。這種措施其實治標不治本。
2、認證安全
電子商務為了保證網絡上傳遞信息的安全,通常采用加密的方法。但這是不夠的,如何確定交易雙方的身份,如何獲得通訊對方的公鑰并且相信此公鑰是由某個身份確定的人擁有的,解決方法就是找一個大家共同信任的第三方,即認證中心(CertificateAuthority,CA)頒發電子證書。用戶之間利用證書來保證安全性和雙方身份的合法性,只有確定身份后,交易的糾紛,才得到有效的裁決。
總之,電子商務的安全是個非常復雜的問題,它的保障機制必須是有機的,多層次的,需要有企業管理方面,技術支持方面的協調來實現。它是一個系統有機的整體,不僅需要
《電子商務》課程結課論文
計算機網絡安全的保證,也需要商務交易安全上的保障,更需要管理上的進步,才能確保電子商務的安全。同時我國在電子商務技術性較為落后,必須加強具有自主產權的信息安全產品的研究,注意加強信息安全人才的培養,多方共同努力建立科學的電子商務安全機制,才能為我國的電子商務又快又好的發展保駕護行。
三、對電子商務活動安全性的要求
(1)服務的有效性要求。電子商務系統應能防止服務失敗情況的發生,預防由于網絡故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能準確快速的傳送。
(2)交易信息的保密性要求。電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。
(3)數據完整性要求。數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。
(4)身份認證的要求。電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
四、電子商務的主要安全要素
(1)信息真實性、有效性。電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
(2)信息機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
(3)信息完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
(4)信息可靠性、可鑒別性和不可抵賴性。可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在-3-
《電子商務》課程結課論文
internet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
五、電子商務采用的主要安全技術
1.網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
2.通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制, SSL 首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。[ ]
3.應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現
《電子商務》課程結課論文 的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現像這些問題一樣的錯誤。
六、用戶的認證管理
(1)身份認證。電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份, IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
(2)CA證書。要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。
(3)安全套接層SSL協議。安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,Certificate Authority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Ht2tp、Ftp、Telnet等)以保證應用層數據傳輸的安全性。SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
七、電子商務安全需要進一步完善的配套措施
電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須從以下幾個方面來完善配套措施:(1)突破關鍵技術受制于人的瓶頸。
(2)我國應盡快對電子商務的有關細則進行立法。
(3)大力開發大型商務網站,發展與之相配套的物流公司。
《電子商務》課程結課論文
(4)為了確保系統的安全性,除了采用技術手段外,還必須建立嚴格的內部安全機制。
(5)建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。
(6)對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。
點擊咨詢 