电子商务信息安全与技术研究
电子商务中的信息安全问题研究
1 前言 随着因特网的发展,电子商务已成为目前最时髦、最具吸引力的事物。同时,由于电子商务具有传统商务不具备的优势,如高效、便携、低成本等,电子商务被越来越多的企业利用,电子商务也因此成为促进国家经济发展的一种重要力量。但在电子商务的发展过程中,逐渐暴露出很多问题,这些问题已成为制约电子商务发展的重要因素,其中信息安全问题是众多问题中最重要、最核心的问题。为了促进电子商务更好的发展,更好的为国民经济的发展服务,解决电子商务中的信息安全问题便成了关键性的问题。 2 电子商务的概念及特点 20世纪90年代以来,随着Internet的迅速发展,其踪迹已经遍布企业、科研机构、商场、学校乃至家庭的每个角落。这说明电子商务作为一种新型的交易方式,为企业、消费者和政府建立了一种网络经济环境,人们不再受地域的限制,能够以快捷的方式完成繁杂的商务活动,以规范的工作流程提高人、财、物的利用率。 2.1 电子商务的概念 电子商务至今仍没有一个很清晰的概念。各国政府、学者、企业人士都根据自己所处的地位和对电子商务的参与程度,给出了许多表述不同的定义。 参考以往的国内的一些学士和专家的观点,将电子商务的定义归纳为广义的电子商务和狭义的电子商务。 广义的电子商务(Electronic Business,EB)是指交易当事人或参与人利用计算机技术和网络技术等现代信息技术进行的各类商务活动,包括货物贸易、服务贸易和知识产权贸易。也可以理解为利用各种信息技术对整个商务活动实现电子化[1]。 狭义的电子商务定义仅仅将通过Internet进行的商务活动归属于电子商务。主要是指利用网络与计算机进行钱和物的交易[2]。 2.2 电子商务的特点 电子商务将传统商业活动中物流、资金流、信息流的传递方式利用网络科技整合,企业将重要的信息以全球信息网、企业内部网(Internet)或外联网(Ex-tranet)直接与分布各地的客户、员工、经销商及供应商连接,创造更具竞争力的经营优势[3]。与传统的商务活动相比,电子商务具有以下特点: (1)交易网络化 交易过程均通过计算机互联网络完成,整个交易完全虚拟化。整个交易都在网络这个虚拟的环境中进行。 (2)交易成本低
电子商务信息安全整体解决方案
课程设计说明书 课程名称: 信息安全技术 设计题目:电子商务信息安全整体解决方案 院系: 计算机科学与信息工程学院 学生姓名: 刘长兴 学号: 201203010054 专业班级: 12—物联网 指导教师: 李阳
目录 摘要 (1) 正文 (2) 1.电子商务信息安全问题 (2) 1.1 身份冒充问题 (2) 1.2 网络信息安全问题 (2) 1.3 拒绝服务问题 (2) 1.4 交易双方抵赖问题 (2) 1.5计算机系统安全问题 (3) 2.电子商务安全机制 (3) 2.1 加密和隐藏机制 (3) 2.2 认证机制 (3) 2.3 审计机制 (3) 2.4完整性保护机制 (4) 2.5权力控制和存取控制机制 (4) 2.6业务填充机制 (4) 3.电子商务安全关键技术 (4) 3.1防火墙技术 (4) 3.2虚拟专网技术(VPN) (5) 3.3数据加密技术 (5) 3.4安全认证技术 (6) 3.5数字签名 (6) 3.7数字证书 (7) 4. 电子商务安全的网络实现技术 (8) 4.1 安全套接层协议(SSL) (8) 4.2 安全电子交易协议(SET) (9) 4.3Netbill协议 (10)
4.4匿名原子交易协议 (11) 5.电子商务交易形式和诚信安全解决方案 (11) 5.1 电子商务的交易形式 (11) 5.2电子商务诚信安全解决方案 (12) 6.电子商务信息安全的防范策略 (13) 6.1通用技术 (13) 6.2电子支付协议 (14) 总结 (16) 参考文献 (16)
电子商务是利用Internet进行的各项商务活动,主要包括非支付型业务和支付型业务,非支付型业务指广告、售后服务等业务,支付型业务指交易、支付等业务。 电子商务改变了传统的买卖双方面对面的交流方式,它通过网络使企业面对整个世界,电子商务的规模正在逐年迅速增长,它带来的商机是巨大而深远的。由于电子商务所依托的Internet的全球性和开放性,电子商务的影响也是全面的,它不仅在微观上影响企业的经营行为和消费者的消费行为,而且在宏观上影响到国际贸易关系和国家未来竞争力。因此电子商务引起包括我国在内的许多国家政府部门的高度重视,纷纷出台了有关政策和举措推动电子商务的发展。 确保有效开展电子商务活动,关键是要保证电子商务系统的安全性,也就是要保证基于Internet的电子商务环境的安全和电子商务交易过程的安全。如何确保电子商务环境的安全和电子商务交易过程的安全,为客户在网上从事商务活动提供信心保证,是决定电子商务系统成败的关键,是电子商务健康全面发展的保障。 关键字:电子商务、信息安全、认证技术、第三方支付
信息安全技术题库及答案(全)
1 连云港专业技术继续教育—网络信息安全总题库及答案 1282 信息网络的物理安全要从环境安全和设备安全两个角度来考虑. A 正确 B 错误 1283 计算机场地可以选择在公共区域人流量比较大的地方。 A 正确 B 错误 1284 计算机场地可以选择在化工厂生产车间附近。 A 正确 B 错误 1285 计算机场地在正常情况下温度保持在18~28摄氏度。 A 正确 B 错误 1286 机房供电线路和动力、照明用电可以用同一线路。 A 正确 B 错误 1287 只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。 A 正确 B 错误 1288 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。 A 正确 B 错误 1289 屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播。 A 正确 B 错误 1290 屏蔽室的拼接、焊接工艺对电磁防护没有影响。 A 正确 B 错误 1291 由于传输的内容不同,电力线可以与网络线同槽铺设。 A 正确 B 错误 1292 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通。地线做电气连通。 A 正确 B 错误 1293 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记,以防更换和方便查找赃物。 A 正确 B 错误
2 1294 TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施,从而达到减少计算机信息泄露的最终目的。 A 正确 B 错误 1295 机房内的环境对粉尘含量没有要求。 A 正确 B 错误 1296 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。 A 正确 B 错误 1297 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。 A 正确 B 错误 1298 纸介质资料废弃应用碎纸机粉碎或焚毁。 A 正确 B 错误 1299 以下不符合防静电要求的是____。 A 穿合适的防静电衣服和防静电鞋 B 在机房内直接更衣梳理 C 用表面光滑平整的办公家具 D 经常用湿拖布拖地 1300 布置电子信息系统信号线缆的路由走向时,以下做法错误的是____。 A 可以随意弯折 B 转弯时,弯曲半径应大于导线直径的10倍 C 尽量直线、平整 D 尽量减小由线缆自身形成的感应环路面积 1301 对电磁兼容性(Electromagnetic Compatibility ,简称EMC)标准的描述正确的是____。 A 同一个国家的是恒定不变的 B 不是强制的 C 各个国家不相同 D 以上均错误 1302 物理安全的管理应做到____。 A 所有相关人员都必须进行相应的培训,明确个人工作职责 B 制定严格的值班和考勤制度,安排人员定期检查各种设备的运行情况 C 在重要场所的进出口安装监视器,并对进出情况进行录像 D 以上均 正确 1303 场地安全要考虑的因素有____。 A 场地选址 B 场地防火 C 场地防水防潮 D 场地温度控制 E 场地电源供应 1304 火灾自动报警、自动灭火系统部署应注意____。 A 避开可能招致电磁干扰的区域或设备 B 具有不间断的专用消防电源 C 留备用电源 D 具有自动
浅析电子商务网络安全的重要性
浅析电子商务网络安全的重要性 摘要网络上的信息安全是交易安全的保障,而信息安全的保障则是网络系统的安全。但由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,其危害程度不可想象。所以,构筑安全网络环境,就成为网络时代发展到一定阶段而不可逾越的“瓶颈”性问题,愈来愈受到国际社会的高度关注。 关键词网络安全加密技术;电子商务 网络系统的安全问题来源于网络的开放性、无边界性、自由性,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、可管理的内部系统。可实现这一目的技术有:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。 1电子商务中的信息安全技术 1.1防火墙技术 防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”;二是“凡是未被禁止的就是允许的”。网络是动态发展的,在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有:①包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP 地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。②代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。③状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用(Check Point)提出的虚拟机方式(Inspect Virtual Machine)。 1.2 加密技术 数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,
影响电子商务信息安全的因素及其防范措施
影响电子商务信息安全的因素及其防范措施 宇凡 (广西区委党校广西南宁邮编:530023) 摘要:本文较系统地叙述了影响电子商务信息安全的诸多因素.针对这些因素,提出在实际应用中应采取的防范措施和技术手段,以减少信息不安全所造成的损失。 关键词:电子商务IntemetIntmnet网络信息安全 电子商务是以Intemet/Intranet(因特网/企业内部网)网络为架构,以交易双方为主体,以银行支付和结算为手段,以客户数据库为依托的全新的商业模式。换句话来说,电子商务是通过IxRemet和h1.tranet进行的商务活动。这些活动不但包括与购销直接有关的网上广告、网上洽谈、订货、收款、付款、客户服务、货物递交等活动,还包括网上市场调查、财务核算、生产安排等利用计算机网络开展的商务活动。由于计算机网络本身存在着安全漏洞,因此,电子商务中的信息不可避免地存在着安全隐患。影响信息安全的因素主要有两个方面:一是网络本身的不安全因素,二是进行网上交易时的不安全因素。1.网络本身的不安全因素影响计算机网络信息的不安全因素有自然因素,也有人为因素。前者包括有雷电、火灾、水灾、地震、强磁场、强电子脉冲等,这些都可以直接损坏计算机系统的硬件和破坏系统的软件和数据。而后者主要包括以下几种方式:2黑客的攻击计算机黑客是指采用不正当手段窃取计算机信息系统的1:3令和密码,从而非法进入他人计算机网络系统的人,他们或翻阅别人的资料、侵犯他人隐私、或者收集军事机密情报、窃取商业机密.利用计算机进行高科技犯罪。黑客的存在主要是由于网络的不健全造成的。黑客攻击网络的方式有很多种,常用的有:(1)利用电子邮件往对方的电子邮件中发送一个很大的文件,将对方的电子信箱“撑破”,这是最广泛运用的攻击方式;利用测试网络速度的“PING”程序不问断地向服务器发送数据包,导致服务器“阻塞”最终瘫痪;(3)黑客通过分析DNS(域名管理系统)而直接获取Web服务器等主机的口地址,进而伪造Web服务器等主机的IP地址,并根据这个伪造的口地址以进行非授权操作,偷盗、篡改信息;(4)黑客通过软件程序跟踪检测软件,捕获到用户的登录名和密码,对用户的信息内容胡乱加以修改.毁坏数据,甚至输入病毒,使整个数据库陷于瘫痪。1.2计算机病毒计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。计算机病毒具有传染性、隐蔽性、潜伏性、危害一117—万方数据性、攻击的主动性、针对性和不可预见性等特征,它是一些人利用计算机软、硬件所固有的脆弱性而编制出来的。早期的计算机病毒主要通过软盘、光盘等介质交换文件进行传播,但随着网络的兴起,特别是随着Intemet的迅速普及,计算机病毒的传播方式也转向通过Intemet传播。在Intemet上广泛使用电子邮件已经成为病毒传染的主要途径。据英国反病毒公司信息实验室公司发布的消息显示,过去三年计算机感染上病毒的电子邮件持续增长,该公司2002年监控的每212个电子邮件中就有一个是感染病毒的邮件,而在2001年里每380个电子邮件才有一个被病毒感染,涨幅达80%。另外,通过网络下载软件和使用盗版软件也成为病毒程序传播的一个重要途径。1.3Intemet本身的缺陷由于当初设计Intemet时只是为了共享网络的资源并促进大学、政府研究机构、开发机构和军事部门的科学研究工作,许可进人网络的单位都被认定是可靠的和可以信赖的,并且已经参与研究和共享数据,因此当时制定的网络协议,几乎没有注意到安全性问题(因为Intemet上的TCP/IP协议只是保证网络信息准确完整地传送到目的地)。直到1991年,Inlcmet主干网(NSF,美国国家基金会)取消了Intemet上不允许商业活动的限制后,Inteme
信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求内容
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》(征求意见稿) 编制说明 1 工作简况 1.1任务来源 2015年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号:2015bzzd-WG5-001。该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心(以下简称“检测中心”)负责主编。 国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》,开展实施工业控制等多个领域的信息安全专用产品扶持工作。面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一,其中包含了隔离类设备,表明了工控隔离产品在工控领域信息安全产品中的地位,其标准的建设工作至关重要。因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。 1.2协作单位
在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后,检测中心立即与产品生产厂商、工业控制厂商进行沟通,并得到了多家单位的积极参与和反馈。最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。 1.3编制的背景 目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业,工控系统已是国家安全战略的重要组成部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏,将对工业生产和国家经济安全带来重大安全风险。 随着计算机和网络技术的发展,特别是信息化与工业化深度融合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从而面临着来自互联网的威胁。同时,随着工控系统产品越来越多地采用通用协议、通用硬件和通用软件,病毒、木马等威胁正在向工控系统扩散,工控系统信息安全问题日益突出,因此如何将工控系统与管理系统进行安全防护已经破在眉捷,必须尽快建立安全标准以满足国家信息安全的战略需要。 1.4编制的目的 在标准制定过程中,坚持以国内外产品发展的动向为研究基础,对工控隔离产品的安全技术要求提出规范化的要求,并结合工业控制
浅谈电子商务信息安全问题与对策
浅谈电子商务信息安全问题与对策 由于电子商务的开放性及其所基于的网络全球性、无缝连通性、共享性、动态性的发展,使得电子商务的安全问题成为现今的聚焦中心,并制约着电子商务的进一步发展。所以,搭建一个安全可靠的商务平台,成为电子商务发展的关键问题。电子商务技术的推广,很大程度依赖信息安全技术的完善和提高。电子商务信息安全技术也随之摆上了人们的重要议事日程。 一、电子商务信息安全的主要问题 电子商务主要依托Internet平台完成交易过程中双方的身份、资金等信息的传输。由于Internet的开放性、共享性、无缝连通性,安全问题是电子商务的主要技术问题,安全问题是商家和消费者以及银行最关心的问题,主要面临以下威胁:一是信息篡改,电子的交易信息在网络传输过程中,信息可能会被人、被第三者非法篡改,导致信息失去了真实性和完整性。二是信息破坏,由于一些硬件和软件问题或者是一些恶意病毒使一些信息遭到破坏。三是身份识别,若没有身份识别,交易的一方就可以对交易内容否认或者是欺诈,或者会有第三方来冒充交易的一方。四是信息泄密,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一
方使用的文件被第三方非法使用。 二、问题的成因分析 信息安全问题的出现,既有管理原因,也有技术原因,既有本身缺陷,也有外来因素所致,归结起来,主要有以下四方面的原因: 1.电脑黑客 黑客对于系统和编程语言大多有着深刻的认识,它是指对于电脑系统的非法入侵者,他们对于网络存在着一定程度的攻击性,也进一步恶化了网络环境。 2.计算机病毒 计算机病毒的主要危害在于激发对计算机数据信息的直接破坏作用,占用磁盘空间和对信息的破坏,抢占系统资源,影响计算机运行速度,出现计算机病毒错误与不可预见的危害。 3.技术因素 网络软件设计时不可能完美无缺,总会出现一些缺陷和漏洞。这些漏洞和缺陷正是黑客进行攻击的首选目标,而且目前还没有一些技术能提前全部防范这些病毒和黑客。 4.管理因素 用户安全意识淡薄、管理不善是当前存在的一个严重的问题。主要有以下三点:一是一些国家如中国缺乏强有力的权威管理机构,网络安全立法滞后;二是缺乏安全审计,安
电子商务信息安全(一)
电子商务信息安全(一) 摘要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。 关键词]电子商务信息技术信息安全 随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务(ElectronicCommerce,EC)就是借助于公共网络,如Internet或开放式计算机网络(OpenComputerNetwork)进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看,信息安全问题是保障电子商务的生命线。 一、电子商务信息安全现存的问题 电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在: 1.计算机网络的安全 (1)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。 (2)信息的安全问题。非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密;或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易;还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。 (3)防病毒问题。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。 (4)服务器的安全问题。电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些敏感数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。目前为止服务器的安全问题尚无有效措施予以阻止。主要表现在:非法用户向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正常的网络服务;利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。 2.商务交易的安全 (1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法收入。 (2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。 (3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
2019信息网络安全专业技术人员继续教育(信息安全技术)习题及解答
信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。(对) 2.对称密码体制的特征是:加密密钥和解密密钥完全相同,或者一个密钥很容易从另ー个密钥中导出。(对) 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信困难的问题。(错) 4.公钥密码体制算法用一个密钥进行加密,!而用另一个不同但是有关的密钥进行解密。(对) 5.公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型(错) 6.Rabin体制是基于大整数因子分解问题的,是公钥系统最具典型意义的方法。(错) 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道的限制,可实现数字签名和认证的优点。(错) 8.国密算法包括SM2,SM3和SM4. (对)
9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。(对) 10.Hash函数的输人可以是任意大小的消息,其输出是一个长度随输入变化的消息摘要。(错) 11.数字签名要求签名只能由签名者自己产生。(对) 12、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。(错) 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行访问控制,而不是基于主体的身份。(对) 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的,有两个不同密钥 D.是对称的,使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )
论电子商务中的信息安全问题
网上贸易的安全问题论文摘要:本文根据相关文献电子商务和电子采购, 从计算机系统安全问题、网络信息安全问题、身份冒充问题、交易双方抵赖问题、C2C、B2B商业模式等方面总结了存在的信息安全问题,并从电子商务和电子采购安全机制及安全关键技术等方面提出了若干解决方法。 关键词:C2C、B2B、电子采购、身份冒充、交易抵赖 引言 近年来随着互联网的普及,截止2011年,中国拥有网民数量已经超过5亿的大关,21世纪是信息化最发达的时代,电脑进入千家万户,相信我们对于电子商务并不是那么陌生,比如网上购物,网上交水电费、网上报名等其他的活动。我相信大家都有看到新闻,仅2012年11月11日一天淘宝网交易金额就高达一百七十多亿,当我看到这个数据时我们不禁的感叹中国的改革开放确实取得了令人惊叹的成绩。然而,我们也可能听到或者遇到过网络安全的问题,例如,一些网民在网上购物中,付款了却未收到商品。现如今,类似这样的问题已经数见不鲜,还有就是一些网民贪图小便宜,误信中奖彩票之类的虚假消息,以至于上当受骗的。当然,本篇论文中不仅仅从用户自身说起更重要的是从计算机本身的缺陷来阐述网络安全的问题。 一、网络安全的概念 网络安全从其本质上来讲就是网络上的信息安全。网络安全主要指网络系统的硬件软件及其系统中的数据受到保护 不因偶然的或者恶意的原因而遭受到破坏、更改、泄露系统连续可靠正常地运行。网络服务不中断。从广义来说凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安会的研究领域。网络安全应具有保密性、完整性、可用性、可控性、可审查性等五个方面的特征。网络安全是涉及到计算机科学、网络技术、通信技术、
电子商务网络信息安全问题
电子商务网络信息安全问题 【内容提要】构筑安全电子商务信息环境是网络时代发展到一定阶段的“瓶颈”性课题。本文侧重讨论了其中的信息安全技术、数字认证、信息安全协议、信息安全对策等核心问题。 【摘要题】信息法学 【关键词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策 美国著名未来学家阿尔温·托夫勒说:“电脑网络的建立和普及将彻底改变人类生存及生活的模式,控制与掌握网络的人就是未来命运的主宰。谁掌握了信息,控制了网络,谁就拥有整个世界。”的确,网络的国际化、社会化、开放化、个人化诱发出无限的商机,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,就成为了网络时代发展到一定阶段而不可逾越的“瓶颈”性问题,愈来愈受到国际社会的高度关注。 电子商务中的信息安全技术 电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。 1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安
全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。 防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类: ●包过滤技术(PackctFiltering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP 源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。 ●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服
关于电子商务中的网络信息安全
关于电子商务中的网络信息安全 论文关键词:电子商务网络信息安全 论文摘要:电子商务是基于网络盼新兴商务模式,有效的网络信息安全保证是电子商务健康进展的前提。本文着重分析了电子商务活动申存在的网络信息安全问题,提出保证电子商务信息安全的技术计策、治理策略和构建网络安全体系结构等措施,促进我国电子商务可连续进展。 随着互联网技术的蓬勃进展,基于网络和多媒体技术的电子商务应运而生并迅速进展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于扫瞄器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网购物、商户之间的网上交易和在线电子支付以及各种商务活动和相关的综合眼务活动的一种新型的商业运营模式。信息技术和运算机网络的迅猛进展使电子商务得到了极大的推广,然而由于互联网的开放性,网络安全问题日益成为制约电予商务进展的一个关键性问题。 一、电子商务网络信息安全存在的问题 电子商务的前提是信息的安全性保证,信息安全性的含义要紧是信息的完整性、可用性、保密和可靠。因此电商务活动中的信息安全问题丰要表达在以下两个方面: 1网络信息安全方面 (1)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全治理方面还存在专门大
隐患,普遍难以抵御黑客的攻击。 (3)防病毒问题。互联网的显现为电脑病毒的传播提供了最好的媒介,许多新病毒直截了当以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。 (4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电予商务的核心,因此服务器专门容易受到安全的威逼,同时一旦显现安全问题,造成的后果会专门严峻。 2.电子商务交易方面 (1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在那个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者能够通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。 (2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。 (3)交易的修改问题。交易文件是不可修改的,否则必定会阻碍到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公平。 二电子商务中的网络信息安全计策 1电子商务网络安全的技术计策 (1)应用数字签名。数字签名是用来保证信息传输过程中信皂的完整和提供信包发送者身份的认证,应用数字签名可在电子商务中安
电子商务信息安全技术
电子商务信息安全技术 摘要文章主要从技术角度阐述了电子商务信息安全问题,详细说明了电子商务信息存有的问题,并提出了相对应的技术解决方案。 关键词电子商务信息安全数据加密网络安全 一、电子商务信息安全问题 因为Internet 本身的开放性,使电子商务系统面临着各种各样的安全威胁。当前,电子商务主要存有的安全隐患有以下几个方面。 1. 身份冒充问题 攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份 与他人实行交易,实行信息欺诈与信息破坏,从而获得非法利益。主 要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。 2. 网络信息安全问题 主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,实行信息截获、篡改、删除、插入。截获,攻击者可能通过度析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。 3. 拒绝服务问题 攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚 假资讯,扰乱正常的资讯通道。包括:虚开网站和商店,给用户发电 子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能即时得到响应。 4. 交易双方抵赖问题 某些用户可能对自己发出的信息实行恶意的否认,以推卸自己应承担
的责任。如:发布者事后否认以前发送过某条信息或内容;收信者事 后否认以前收到过某条信息或内容;购买者做了订货单不承认;商家 卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷实行公证、仲裁。 5. 计算机系统安全问题 计算机系统是实行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。计算机设备本身存有物理损坏,数据丢失,信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时,计算机系统存有工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。 二、电子商务安全机制 1. 加密和隐藏机制 加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,不但实现了信息的保密,也保护了通信本身。 2. 认证机制 网络安全的基本机制,网络设备之间应互相认证对方身份,以保证准 确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份,以保证准确的用户实行准确的操作并实行准确的审计。 3. 审计机制 审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要的事件实行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。 4. 完整性保护机制 用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法 篡改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性能够被验证
电子商务信息安全习题
电子商务信息安全习题 一、单选题 1.电子商务系统必须保证具有十分可靠的安全保密技术,必须保证网络安全的四大要素,即信息传输的保密性.信息的完整性.信息的不可否认性和() A. 不可修改性 B. 信息的稳定性 C. 数据的可靠性 D. 交易者身份的确定性 2.所谓信息加密技术,就是采用数学方法对原始信息进行再组织,这些原始信息通常称为() A.明文 B.密文 C.短文 D.正文 3.在安全策略中,认证是指() A.谁想访问电子商务网站 B.允许谁登录电子商务网站 C.在何时由谁导致了何事 D.谁由权查看特定信息 4.下面哪种行为破坏了计算机通讯信道的完整性() A.强注域名 B.电子伪装 C.个人信息被窃 D.拒绝攻击 5.在计算机的安全问题中,保密是指() A.未经授权的数据修改 B.数据传输出现错误 C.延迟或拒绝服务 D.未经授权的数据暴露 6.假如一个电子邮件的内容被篡改成完全相反的意思,我们就说破坏了() A.数据的完整性 B.数据的可靠性 C.数据的及时性
D.数据的延迟性 7.在加密类型中,RSA是() A.随机编码 B.散列编码 C.对称加密 D.非对称加密 8.下列说法错误的是() A.信息的完整性是指信息在传输过程中没有遭到破坏 B.用数字签名可以保证信息的不可否认 C.数字证书可以证明交易者身份的真实性 D.数字信封可以防止信息被窃听 9.数字证书是由()颁发的 A.银行 B.商家 C.用户 D.认证中心 10.公钥密码技术可以实现数字签名,其中() A.发送方对明文M使用私钥加密,然后将密文传给接受方,接受方使用公钥对其解密,恢复原 文。 B.发送方对明文M使用私钥加密,然后将密文及密钥传给接受方,接受方使用已知的公钥对其 解密,恢复原文。 C.发送方对明文M使用私钥加密,然后将密文传给接受方,然后再将私钥传给接受方,接受方 使用私钥对其解密,恢复原文。 D.发送方对明文M使用私钥加密,然后将密文传给接受方,接受方使用公钥解出包含的私钥, 再用私钥解密,恢复原文。 11.认证中心将发给用户一个(),同时还附有认证中心的签名信息。 A.数字摘要 B.数字签名 C.数字证书 D.数字信封 12.数字证书所采用的技术是() A.公开密码密钥体系 B.数字摘要 C.对称密码密钥体系
中南网络教育《电子商务信息安全》在线作业二及参考答案
(一) 单选题 1. 以下不属于网络系统的安全机制的是( )。 (A) 安全防护 (B) 风险分析 (C) 系统维护 (D) 实时响应 参考答案: (C) 2. 下列不属于PKI服务内容的是( )。 (A) 认证服务 (B) 数据保密性服务 (C) 公证服务 (D) 数据存储服务 参考答案: (D) 3. 下列关于证书的撤销说法错误的是( )。 (A) 使用CRL存在一个缺陷就是,实时性受证书发放周期的限制
(B) OSPT响应者提供的信息的实时性就取决于获得这些信息的来源的延迟 (C) OSPT不仅能说明一个证书是否已被撤销,还可验证证书是否还在有效期 (D) 前向安全数字签名方案保证了密钥泄漏之前的数字签名仍然是安全的 参考答案: (C) 4. 最简单的防火墙类型是( )。 (A) 包过滤型防火墙 (B) 应用网关型防火墙 (C) 代理服务型防火墙 (D) 自适应代理型防火墙 参考答案: (A) 5. 防火墙不能防范( )。 (A) 非法数据的入侵 (B) 未经授权的数据流出 (C) 来自本地网络外部的攻击 (D) 来自本地网络外部的攻击 参考答案: (D)
6. 用户可以采用自己的私钥对信息加以处理,由于密钥仅为( )所有,因此形成了数字签名。 (A) 本人 (B) 一组用户 (C) 一对用户 (D) 金融机构 参考答案: (A) 7. PKI的核心机构是( )。 (A) RA (B) CA (C) PCA (D) OCA 参考答案: (B) 8. SSL协议工作在TCP/IP结构的( )之间。
(A) 应用层与传输层 (B) 传输层与网络层 (C) 网络层与链路层 (D) 链路层与物理层 参考答案: (A) 9. 关于SET协议,以下说法不正确的是( )。 (A) SET是“安全电子交易”的英文缩写 (B) 属于网络对话层标准协议 (C) .与SSL协议一起同时在被应用 (D) 规定了交易各方进行交易结算时的具体流程和安全控制策略 参考答案: (B) 10. 本身并不发放数字证书,但可以确认、批准或拒绝数字证书申请人的申请的机构是( )。 (A) 注册机构(B) 认证机构(C) ITU-T (D) IETF 参考答案: (B)
电子商务中的信息安全研究(一)
电子商务中的信息安全研究(一) 摘要]本文对电子商务的信息安全问题进行探讨,分析了信息安全的基本原理并对信息安全技术深入研究。 关键词]电子商务信息安全安全技术 伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。 一、电子商务的信息安全问题 电子商务信息安全问题主要有: 1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。 2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。 3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。 4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。 二、信息安全要求 电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面: 1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。 2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。 3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。 4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。 三、信息安全技术 1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。 防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)代理服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。代理服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务代理防火墙功能。(4)复合型技术:把过滤和代理服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供代理服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。