浅析认证技术在电子商务安全中的应用
浅析认证技术在电子商务安全中的应用
摘要:认证技术是建立电子商务安全交易系统必不可少的基本组成部分。文中分析了电子商务的网络设施不完善、信用问题及交易安全问题等存在的安全隐患,同时介绍了电子商务安全交易中常用的身份认证技术和信息认证技术,并分析认证技术如何确保电子商务信息机密性和完整性,从而为电子商务的信息安全提供理论基础。
关键词:电子商务身份认证信息认证 pki
中图分类号:tp393.08 文献标识码:a 文章编号:1007-9416(2012)08-0162-02
1、导入
电子商务是在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,同时,人们不再受地域的限制,能以非常简捷的方式完成过去较为繁杂的商务活动。通过这样的交易方式不仅降低了经营成本,而且大大地提高了生产效率,优化了资源配置,所以电子商务现在已是全球化的发展趋势,然而,这是商业模式给经济带来机遇的同时也带来了一定的挑战,其中,交易的安全成为其核心和关键问题。
2、电子商务存在的安全隐患
电子商务中所有的交易都是基于开放的网络环境下进行的。这样,开放网络环境下的网络安全隐患问题自然也是电子商务交易所存
在的问题,且这些安全隐患不能很好的解决,势必阻碍电子商务的发展。
2.1 网络设施不完善
国内计算机网络设施与发达国家相比,有待进一步完善。近几年,随着电子技术的发展,我国的计算机信息网络技术及设施也在不断的发展。但是跟发达国家相比,依然存在一定的差距,例如容量不是足够大,速度还有待进步提高,技术指标还存在差异,管理水平、使用成本、安全性和协调性等也都存在较大差距,这样的硬件环境本身就为电子商务安全交易隐患提供了土壤。
2.2 信用问题
一个完整的电子商务交易体系涉及买卖双方,因为互联网的存在,买卖双方可以不见面进行大量的商业交易。然而由于市场还不很成熟,假冒伪劣商品泛滥,而网上交易又不能让消费者对商品亲自试用鉴别,所以有许多消费者对电子商务望而却步。这样的话,网上交易中买卖双钩相互信任就成了成交的根本保证。
2.3 交易安全
电子商务中核心的问题就是交易安全问题。由于网络的开放性,一些虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这样使电子商务面临种种风险。如何保障电子商务的安全一直是电子商务的核心研究领域。
3、认证技术在电子商务中的应用
认证是建立网络安全系统必不可少的基本组成部分,它是网络安全的基础。同样,认证在电子商务安全中也是必不可少的重要组成部分。在电子商务交易安全中,认证技术主要包括身份认证和信息认证。身份认证用于鉴别用户身份,验证信息的发送者是真的,而不是冒充的;信息认证是验证信息的完整性,即验证数据在传送或存储过程中未被窜改、重放或延迟等。在电子商务交易中,通过这两种认证技术的结合,才能保证交易的顺利进行。
3.1 身份认证
在网上进行交易,身边认证是第一道防线,只有确认了对方的身份才可能使交易流程顺利展开。所以,身份认证是电子商务交易中首要的安全保证。网上交易进行身份认证最常用的有口令认证和基于生物特征认证。
3.1.1 口令认证
口令认证分为静态口令认证和动态口令认证两种方式。静态口令认证就是传统的用户名密码认证,是最简单的认证方法。采用此类的认证方式,系统为每一个合法用户建立一个二元组信息(用户id、口令),当用户登录系统时,提示用户输入自己的用户名和口令,系统服务器通过核对用户输入的用户名、口令与系统维护的信息进行匹配来判断用户身份的合法性。这种认证方法操作简单,但是系统安全性极差,一旦口令泄露,后果将不堪设想。动态口令技术是为解决传统的静态口令认证的缺陷而设计的一种认证方式,也称
“一次性口令认证”,在认证过程中,用户的密码按照时间或使用的次数不断动态变化,且保证一次一密且任何人都无法预知,有效抵御重放攻击行为。这种认证技术有效地保证了用户身份的安全性[2]。
在电子商务交易中,由于密码口令很容易被遗忘或被其他人进行攻击或破解,相对于其他保密技术,这种认证技术是安全级别相对较低的一种。
3.1.2 基于生物学特征的认证
生物特征认证是依赖用户特有的生物信息的一种认证方式。这种认证方式与口令认证最大的不同是,口令认证是依赖用户知道的某个秘密信息,而生物特征认证依赖独一无二的用户特征生物信息,且生物特征很难在个体之间传递。这种认证主要是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性来进行个人身份的鉴定。基于生物学特征的认证包括基于指纹识别的身份认证、基于声音识别的身份认证以及近来流行的基于虹膜识别的身份认证等。
目前,在保密性较高的系统中采用基于生物特征的认证技术,在电子商务交易中,这种认证技术由于高成本性等原因还没有广泛的应用。
3.2 信息认证
信息认证技术是电子商务系统中的重要组成部分,是确保电子商
务安全、可靠以及一致性。在电子商务交易中,由于开放的网络环境下,网络上传输的信息很容易被篡改、伪造,或者被冒充,或信息接收方事后否认,同时,通过电子数据方式达成的交易文件又必须与传统的商务交易一样,必须具有严肃性和公正性,且是不能被否认的,为实现这一目标,除了采用身份认证起到确保网上交易者身份的真实可信外,信息认证就用来确保交流的信息完整、不可抵赖性,以及信息访问的权限控制。
3.2.1 基于密钥体制的认证体制
在密钥体制中,主要包括基于对称的密钥体制和基于非对称的密钥体制两种认证体制。
(1)对称密钥体制又称私有密钥体制,是一种传统、简单的密钥体制,即加密和解密使用同一个密钥的密码技术,且通信双方必须保存好他们共同的密钥,同时通信各方必须得相互信任,对方不会把密钥泄露出去。以一个具体例子来说明其加密原理:假设用户a需要把一份明文为m的资料发给用户b,但是因为担心资料在传输的中途被窃听或者篡改,故用户a用了对称加密法将m经过一个加密函数fk处理后生成m’’加密文,而用户b接受到加密文后通过事先商定好的fk函数再次处理m’’便可以还原成明文m,从而达到安全传输信息的目的。
用户a:m’’=fk(m)
用户b:m=fk(m’’)
在该体制中,需要强大的加密算法,一旦密钥泄露,且知道了算法,那么使用此密匙的所有通信便都是可读取的,这样就没有任何安全可言,后果可想而知。
(2)非对称密钥机制也叫公开密钥体制,在该体制中有两个不同的密钥:公钥和私钥,使用公钥(私钥)加密的数据,只能使用其对应的私钥(公钥)解密,且公钥和私钥不能由一个推出另一个。以一个具体例子来说明其加密原理:假设用户a需要把一份明文为m 的资料发给用户b,但是因为担心资料在传输的中途被窃听或者篡改,故用户a用了加密算法ek将m处理后生成m’’加密文,而用户b接受到m’’加密文后,通过解密算法dk再次处理m’’便可以还原成明文m,从而达到安全传输信息的目的。其中,加密算法ek实质就是利用公钥进行加密,而解密算法就是利用私钥dk解密。客户a:m’’=ek(m)
客户b:m=dk(m’’)
在电子商务交易中,买卖双方之间的交易都是建立在相互“信任”的基础之上的,而公钥基础设施pki(public-key infrastru cture,简称pki)就是是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。在pki中,用户之间的通信都是建立在相互“信任”的基础之上的,通过对通信对方证书的认证达到建立“信任”的目的。在严格的层次结构中,由于证书的声称者(用户)与证书的验证者具有相同的可信任第三方根
ca(certification authority,简称ca),因此,对用户证书的验证只需找到根ca的公钥即可进行认证。
在电子商务交易中,只有对称和非对称加密体制有机的相结合,能够确保电子商务信息的完整性和机密性。
3.2.2 数字签名技术
在电子商务交易中,除了要防止他人破坏传输的数据之外,还要确定发送信息人的身份,这就需要采取另外一种手段——数字签名。数字签名技术是指接收者通过计算机网络接收数据时,可以利用它来确认所接收的数据确实是由发送者发送的,并且能够确认该接收的数据并没有被篡改。具体实现是报文的发送方从报文文本中生成一个128位的单向散列值(即hash函数根据报文文本而产生的具有固定长度的单向hash值),有时这个单向hash值也叫做报文摘要,它与报文文本的数字指纹或标准校验相似。数字签名工作流程如下:(1)发送方首先用公开的散列函数对报文进行一次变换,得到数字签名,然后利用私有密钥对数字签名进行加密后附在报文后同时发送给接收方;(2)接收方用发送方的公开密钥对数字签名进行解密,得到一个数字签名的明文;(3)接收方将得到的明文通过散列函数进行计算,也得到一个数字签名,再将两个数字签名比较,如果相同,则证明签名有效;如果不同,则说明签名无效。
通过数字签名能够实现对原始报文的鉴别和不可抵赖性。数字签名机制提供了一种鉴别方法,用于解决伪造、抵赖、冒充、篡改等
问题。
4、结语
认证技术是电子商务安全交易中必不可少的基本组成部分。其中,身份认证是确保电子商务交易中首要的安全保证,用来防止非法用户假冒合法用户窃取敏感数据;而信息认证技术是确保电子商务交易中信息机密性、完整性及不可否认性。在电子商务交易中,身份认证和信息认证的有效结合是电子商务交易安全的基础,也是电子商务交易顺利的重要的保障。
参考文献
[1]张建兵,程财军.电子商务安全问题探析[j].现代商贸工
业,2009,23.
[2]尉永青,刘培德.电子商务环境下主要的身份认证分析[j].商
城现代化,2005,13.
[3]鲁军,汪同庆,任莉.身份认证系统的设计与实现[j].网络安全技术与应用,2004,30(2):24-26.
[4]陈云,彭春山,邓亚平.kerberos认证协议的研究和改进[j].电子技术学报,2006,32(10):206-209.
[5]孙鹏,黄鑫,庄雷.认证技术在p2p网络中的应用研究[j].计算机应用与软件,2005,22(6):115-118.
[6]史创明,王立新.数字签名及技术原理与应用[j].微计算机信息,2005,21(8):122-124.
[7]刘知贵,杨立春,蒲洁等.基于pki技术的数字签名身份认证系统[j].计算机应用研究,2004,21(9):158-160.
电子商务安全协议及支付安全
5.1.1 SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。 图5-1 SSL协议的分层结构 5.1.2 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示: 图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的
MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。 图5-3 SSL记录协议中数据项的格式 5.1.3 SSL握手协议 图5-4 SSL建立新会话时的握手过程 1)建立新会话时的握手过程 握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别,同时通过服务器和客户协商,决定采用的协议版本、加密算法,并确定加密数据所需的对称密钥,随后采用公钥加密技术产生共享机密信息(例如对称密钥)。每次连接,握手协议都要建立一个会话。会话中包含了一套可在多次会话中使用的加密安全参数,从而减轻了每次建立会话的负担。然而,必须指出的是,SSL中的每次连接时,在握手协议中产生的对称密钥都是独特的,这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。 根据是否验证对方的证书,SSL的握手过程可以分为以下三种验证模式:客户和服务器都被验证;只验证客户机,不验证服务器,这是Internet上使用最广泛的形式;客户和服务器都不验证,也称为完全匿名模式。SSL握手协议建立一个新的会话的过程如图5-4所示,具体如下: 阶段1:确定一些相关参数,包括协议版本、会话ID、加密规格、压缩算法和初始随机数 (1)客户端发送client_hello消息给服务器,向服务器传送客户端支持的SSL协议的版
电子商务安全与管理
1、简述电子商务流程 答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。 ②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型 答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。 3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险) 电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题? (1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。 8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。 9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。
电子商务安全技术研究
电子商务安全技术研究 董永东葛晓滨 (1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601) 摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。 关键词电子商务;安全;技术 1 引言 电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。 2 电子商务面对的安全问题及其对策 电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。 2.1 电子商务中的安全隐患 电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面: (1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。 (3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。 (4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。 2.2 电子商务面对的安全问题 2.2.1 计算机安全问题 计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具
电子商务安全与支付
【实验报告】 实验小组小组成员姓名,组长写到第一位实验名称PC机的安全设置 实验目的1、强化计算机系统安全意识; 2、了解操作系统的安全保护措施; 3、学会使用Windows操作系统中常用的安全设置方法。 实验环境进行实验的PC机硬件配置及Windows操作系统版本 实验设计杨阳:1-4步骤王今喜:5-8步骤包威:9-12步骤 孟云:分析及记录实验结果 详细过程(重点操作环节) 序号操作内容操作流程 1 加密文件或文件夹选中自己要加密的文件夹,右键选择属性,然后在 常规窗口的属性里面选择隐藏。 2 将文件夹设为某账 户的专用文件夹, 禁止其他账户使用1)使用【管理员】账户登录系统。 2)选定某个希望加密的文件夹,比如图片中的ELOGO,单击右键,选择“属性”。 3)单击“属性”中的“安全”选项卡。 4)点击“高级”按钮,选择“更改”。 5)单击“高级”按钮,选择“立即查找”,将用户变更为自己当前的用户名(不记得的先锁定计算机,然后再登陆界面上就能看到自己的用户名了)。然后单击“确定”按钮。 6)点击“确定”按钮,然后在点击“确定”按钮。然后便可看到所有者变成了当前用户。 7)再次单击“确定”按钮,然后再次单击“确定”按钮。 8)重复第2~3步。 9)单击“审核”选项卡后,点击“继续”。 10)然后返回“权限”选项卡。 11)点击“禁用继承”。 12)根据图示操作。 13)单击“User\XXXXXX”,然后单击“编辑”(XXXXXX代表计算机名)。 14)取消勾选所有权限即可。 15)单击三个“确定”按钮即可保存。 3 关闭简单文件共享 功能1)首先点击打开菜单,在开始输入栏中输入“计算机管理”,按下回车键打开“计算机管理”窗口。2)打开窗口后在窗口左边依次找到“计算机管理(本地)”—“系统工具”—“共享文件夹”—“共享”,双击共享即可在右边看到“共享文件夹”。3)接着使用鼠标右键点击默认开启的文件夹,选择“停止共享”即可关闭系统默认共享文件夹。
中国电子商务发展现状分析
中国电子商务发体现状分析 一、电子商务的概况 电子商务(EleetrohieCommeree简称EC)是在Internet开放的网络环境下,作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带人一个网络经济、数字化生存的新天地。电子商务,是指实现整个贸易活动的电子化。从涵盖范围方面能够定义为:交易各方以电子方式而不是通过当面交换或直接面谈方式实行的任何形式的商业交易.从技术方面能够定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。实现消费者的网上购物、商户之间的网上交易和在线电于支付的一种新型的商业运营模式。电子商务减少员工成本、文件处理成本,缩短了商业交易时间,提升服务质量,降低了安全库存量,减少错误信息,增加了贸易机会。综观而论,电子商务与传统贸易相比具有:世界性、直接性、便捷性、均等性等四大特点而得到人们的普遍欢迎。在国际竞争面前,从诸多的层次来看,电子商务为我们创造了崭新的市场机会。 电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成一个不可分割的整体;客户能以非常简捷的方式完成过去较为萦杂的商务活动。电子商务的内涵可认为是:信息内容,集成信息资源,商务贸易,协作交流。 电子商务的发展要以推动BZB(企业对企业)业务为重点,从四个方面人手:一要使企业成为主体,二要以专业切人点,三要展开国际贸易的网上交易,四要建立面向中小企业的中介服务网。1997年7月美国政府在泛征求了产业界、消费团体和In-ternet界的意见之后,指定的一个世界电子商务框架(AFrame-workforGlobalEleetro垃eCommeree)计划,其中体现了政府对电子商务的三项基本政策:(l)让企业在电子商务发展中起主导作用(2)政府参与管理应以积极促动电子商务发展为原则,(3)应在世界范围内促动Inter二t上的电子商务。
电子商务的支付安全问题
电子商务的支付安全问题S40dxx 电子商务是国际贸易发展的必然趋势,随着国际电子商务环境的规范和完善,中国电子商务企业必然迅猛发展,但电子支付的安全性直接影响电子商务的发展,解决不好,将成为制约电子商务发展最严重的瓶颈。 电子支付系统的各种安全需求依赖于系统的特征和定义在其操作上的信用假设。一般来说,电子支付系统必须具备授权、完整性、保密性、可用性和可靠性,电子支付系统的各种安全需求依赖于系统的特征和定义在其操作上的信用假设。 1.完整性与授权 一个具有完整性的支付系统不允许一个用户在没有另一个用户明确授权的情况下取走资金。为了防止行贿受贿,没有允许,系统也不能接收款项。授权构成支付系统中最重要的环节。支付授权有三种方式:外部授权、口令和签名。 (1)外部授权。在这种方式中,检验方(银行)通知交易的授权方(付款人),授权方通过一个安全的外部通道(如邮件或电话)同意或否定支付,这是目前用信用卡进行邮汇和电汇的通用方法。任何知道用户信用卡数据的人都可以发起交易,所以合法用户必须检查有关记录并主动地控告非授权交易。如果用户没有在一定时间内(通常为三个月)提出控告,所做交易被默认为有效。 (2)口令授权。对于一个用口令保护的交易,每个从授权方发来的信息需要一个密码检查值,这个值由只有授权方和检验方知道的密码计算得出,而这个密码可以是一个个人标识号(PIN)、一个口令或一个任意形式的共享密码。然而,短的共享PIN ,如一个六位数字很容易遭受攻击,它们本身不能提供高级的安全性,应该只用于控制访问对象智能卡这样的物理标记,因为智能卡采用安全密码机制(如数字签名)执行实际授权。 (3)数字签名。在这种类型的交易中,检验方要求授权方的数字签名。数字签名提供一个原始的非拒绝支付证据,因为只有签名密码的拥有者才能签署有关信息,而知道相应公开密钥的任何人都可以验证签名的真实性。 我国现有的支付方式主要有以下几种: (1)网银支付: 开通了网上银行的卡片进行支付,该方式适用范围广,操作简便; (2)电子现金:是以数据形式存在的现金货币,这种支付方式可以存、取、转让,适用于小额支付,并且可以通过对数字签名的验证来确定此电子货币是否有效,进而实现匿名消费; (3)第三方支付:是具备一定实力和信誉保障的独立机构,采用与各大银行 签约的方式, 提供与银行支付结算系统接口的交易支持平台的网络支付模式,如支付宝平台。 2、我国网上支付的主要流程: 我国目前网上支付方式主要是通过第三方平台还有网上银行进行支付。第三方平台以支付宝为例,不管是通过哪种方式进行支付最终都是通过支付宝平台实现买卖双方的交易,支付宝平台结算支付模式的资金划拨是在平台内部进行,此时划拨的是虚拟的资金。真正的实体资金还需要通过收货后确认收货客户输入自己的支付宝支付密码支付之后的实际支付层来完成。 对于网上银行进行支付,点击立即购买后会出现选择网上银行支付的界面,买家只需要开通银行卡的网上银行即可,点击登录到网上银行付款,然后输入自己的银行卡号和密码就可以完成支付了。 3、网上支付存在的安全问题 ( 1)身份真实性
电子商务安全与管理实验报告
实验一系统安全设置 [实验目的和要求] 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 [实验容] 1、本地安全策略 2、资源共享 3、管理安全设置 [实验步骤] 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”,如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看:哪些用户不可以在本地登录?哪些用户可以从网络访问计算机?哪些用户可以关闭计算机? 答:分别见图1-2,1-3和1-4。
图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看:如何使计算机在登录前必须按“CTRL+ALT+DEL”?未签名驱动程序的安装是如何设置的?如何禁止网络用户访问CD-ROM? 答:找到“交互式登录:不需要按CTRL+ALT+DEL”,双击打开,选择“已禁用(S)”后单击“确定”按钮。 找到“设备:未签名驱动程序的安装操作”,在下拉菜单中选择“允许安装但发出警告”,单击“确定”按钮即可。 找到“设备:只有本地登录的用户才能访问CD-ROM”,打开选择“已启用(E)”,点击“确定”按钮即可。 二、文件共享 如何设置共享文件,并通过网上邻居访问共享文件? 设置共享文件: 方法一:“工具--文件夹选项--查看--使用简单文件夹共享”。这样设置后,其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二:“控制面板--管理工具--计算机管理”,在“计算机管理”这个对话框中,依次点击“文件夹共享--共享”,然后在右键中选择“新建共享”即可。 选择你要共享的文件,右击选择“属性”,打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便,你认为哪些设置必需放开?而哪些设置又可能引起安全问题? 我认为对于网络的大部分设置应设为启用可方便浏览网页;对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思?如何让某个应用程序不受防火墙限制?
电子商务安全认证期末复习
电子商务安全认证期末复习 题型:填空题30分(1分1空),判断并说明理由题20分(5分1个),简答30分(6分1个),综合分析题(20分,第1小题8分,第2与3小题各6分)第1章电子商务安全导论 1、电子商务涉及得安全问题有哪些?P4--6 1、信息得安全问题 冒名偷窃 篡改数据 信息丢失 信息传递出问题 2、信用得安全问题 来自买方得安全问题 来自卖方得安全问题 买卖双方都存在抵赖得情况 3、安全得管理问题 4、安全得法律保障问题 2、电子商务系统安全得三个组成部分。P7 实体安全、运行安全、信息安全 3、电子商务安全得五方面基本需求。P16 保密性、完整性、认证性、可控性、不可否认性 4、电子商务得安全保障主要由哪三方面去实现?P17--22 1、技术措施信 ①息加密技术:保证数据流安全,密码技术与非密码技术 ②数字签名技术:保证完整性、认证性、不可否认性 ③TCP/IP服务:保证数据完整传输 ④防火墙得构造选择:防范外部攻击,控制内部与病毒破坏 2、管理措施 ①人员管理制度: 严格选拔 落实工作责任制 贯彻EC安全运作三项基本原则:多人负责、任期有限、最小权限 ②保密制度 不同得保密信息有不同得安全级别 ③跟踪、审计、稽核制度 跟踪:自动生成系统日志 审计:对日志进行审计(针对企业内部员工) 稽查:针对企业外部得监督单位 ④系统维护制度 硬件与软件 ⑤数据容灾制度 ⑥病毒防范制度 ⑦应急措施 3、法律环境 第2章信息安全技术
1、信息传输中得五种常见加密方式。P27 ①链路-链路加密 ②节点加密 ③端-端加密 ④A TM网络加密 ⑤卫星通信加密 2、对称加密得原理及其优缺点,常见对称密码算法有DES,AES,三重DES,Rivest 密码。 1、对称加密 特点: 数据得发送方与接受方使用得就是同一把密钥 过程: 发送方对信息加密 发送方将加密后得信息传送给接收方 接收方对收到信息解密,得到信息明文 答:对称加密(在对称密钥体制中,它得加密密钥与解密密钥得密码体制就是相同得,且收发双方必须共享密钥,对称密码得密钥就是保密得,没有密钥,解密就不可行,知道算法与若干密文不足以确定密钥。) 优点:由于加密算法相同,从而计算机速度非常快,且使用方便、计算量小、加密与解密效率高。 缺点:1)密钥管理较困难;2)新密钥发送给接收方也就是件较困难得事情,因为需对新密钥进行加密;3)其规模很难适应互联网这样得大环境。 3、什么就是信息验证码?数字签名与信息验证码得区别。P36 信息验证码(MAC)也称为完整性校验值或信息完整校验。MAC就是附加得数据段,就是由信息得发送方发出,与明文一起传送并与明文有一定得逻辑关系。 信息验证码与数字签名有何区别 P42 答:数字签名类似于信息验证码,但它们也有不同之处。主要得不同在于,数字签名可以支持不可否认服务,也就就是说,信息得接收方可以用数字签名来证明作为发送方第三方得身份。如果数字签名来解决电子商务交易中发送方与接收方在交易信息上得争端,则最可能得到伪造信息得一般就是接收方,所以对接收方来说,应该不能生成与发送方所生成得签名信息一样得数字签名。但信息验证码不具有进行数字签名得功能,因为接收方知道用于生成信息验证码得密钥。 4、非对称加密得原理及其优缺点。 答:不对称加密(非对称式加密就就是加密与解密所使用得不就是同一个密钥,通常有两个密钥,称为“公钥”与“私钥”,它们两个必需配对使用,否则不能打开加密文件。) 优点:由于公开密钥加密必须由两个密钥得配合使用才能完成加密与解密得全过程,因此有助于加强数据得安全性。 缺点:加密与解密得速度很慢,不适合对大量得文件信息进行加密。 基本原理(加密模式过程): —发送方用接收方得公开密钥对要发送得信息进行加密 —发送方将加密后得信息通过网络传送给接收方 —接收方用自己得私有密钥对接收到得加密信息进行解密,得到信息明文 非对称密码算法得优缺点: 优点安全性能好,破解困难 密钥存储与传输方便
学习电子商务安全与管理心得体会
学习电子商务安全与管理心得体会 随着经济的发展,电子商务也越来越普及,越来越多的公司、个人在网上来交易,电子商务在人们的心中越来越不可缺少。但是,随着网络的普及,各种木马病毒、网上欺骗事件越来越多,阻碍了电子商务的发展。所以,电子商务安全与合理的管理是电子商务发展的保障。 一、安全交易标准的制定 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 1、安全超文本传输协议:依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 2、安全套接层协议:是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。 3、安全交易技术协议:由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。 4、安全电子交易协议:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。 二、目前安全电子交易的手段 1、密码技术 采用密码技术息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种: (1)公共密钥和私用密钥 这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
电子商务安全问题的现状与未来
电子商务安全问题的现状与未来 摘要:在全球信息化影响下,电子商务需要不断完善。针对电子商务现状制定实施恰当的产业政策十分必要。本文从电子商务技术发展环境、存在的问题、发展趋势探讨分析了我国电子商务发展的现状。 关键词:电子商务;发展趋势;教育产业;应用前景 电子商务源于英文ELECTRONIC COMMERCE,简写为EC。内容包含两方面,一是电子方式,二是商贸活动。一般指利用电子信息网络等电子化手段进行的商务活动以及商务活 动的电子化与网络化。电子商务还包括政府机构、企事业单位各种内部业务的电子化。电子商务是一种现代化商业和行政方法,通过改善产品和服务质量、提高服务传递速度,通过计算机网络加快信息交流以支持决策。 一、我国电子商务面临的困境与问题 1. 消费观念问题。我国金融体系的呆板和服务意识的淡漠,直接造成中国的消费市场缺乏信用消费概念支持,信用体系一直缺乏完善的保障机制与信用机制,货币电子化进程缓慢。银行与银行之间、银行与消费者之间画地为牢,迫使那些想尝试信用消费的人必须为此付出额外的精神和财力 代价。于是当电子商务这种新型商业模式出现时,众多消费
者只能是裹足不前,电子商务模式依然远不足与现实生活中的传统商业模式相匹敌。 2. 搜索技术与标准问题。搜索引擎看起来很简单:用户输入一个查询关键词,搜索引擎就按照关键词语到数据库去查找,并返回最合适的WEB页链接。但根据NEC研究所与INKTOMI公司最近研究结果表明,目前在互联网上至少10 亿网页需要建立索引。而现在搜索引擎仅仅能对5亿网页建立索引,仍然有一半不能索引。这主要不是由于技术原因,而是由于在线商家希望保护商品价格的隐私权。因此当用户在网上购物时,不得不一个网站一个网站搜索下去,直到找到满意价格的物品为止。各国电子商务的交易方式和手段存在差异,面对无国界、全球贸易,需要在电子商务交易过程中建立相关的统一标准,以解决电子商务活动的相互操作问题。 3. 电子商务的安全与管理问题。电子商务的安全问题仍是影响电子商务发展的主要因素。在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要 的因数之一。调查公司曾对电子商务的应用前景进行过在线调查,当问到为什么不愿意在线购物时,绝大多数人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,有一部分人或企业因担心安全问题而不愿意使用电子商务,安全成为电子商务发展中最大的障碍。管理的概念应该涵盖商务
电子商务安全保障体系
目的要求:通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案 重点难点:解决安全威胁的技术手段和方案 组织教学:点名考勤;复习;引入新课;讲解理论知识;实例演示;指导学生练习;总结 总结复习导入新课:。 提问:1、什么是电子商务? 教学方式、手段、媒介:讲授、多媒体;媒介:教材 教学内容: 第一节电子商务 一、公钥基础设施 公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成,管理密钥和证书的系统或平台。 用于解决电子商务中安全问题的PKI 技术。PKI(Public Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分 CA(Certification Authority),即认证中心,它是数字证书的签发机构。数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。 1、认证中心 认证中心(Certificate Authority, 简称CA),也称之为电子认证中心,是电子商务的一个核心环节,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份,与具体交易行为无关权威第三方权威机构。 为安全电子交易中之重要单位,为一公正、公开的代理组织,接受持卡人和特约商店的申请,会同发卡及收单银行核对其申请资料是否一致,并负责电子证书之发放、管理及取消等事宜。是在线交易的监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。CA类似于现实生活中公证人的角色,具有权威性,是一个普遍可信的第三方。 认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书,就可能会出现这样一个机构。Netscape和Xcert提供了用于管理数字证书的证明服务器。 当很多用户共用一个证明权威时,证明权威应该是个受到大家信赖的可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体,比如GTE、Nortel或Verisign,它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。
电子商务安全技术案例分析
第7章电子商务安全技术案例分析 7.4.1 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 7.4.2 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000
电子商务的安全管理
电子商务安全管理 (学号:XXX 专业:安全科学与工程 XX大学环境与安全工程学院) 摘要:电子商务的发展是互联网上最大的应用趋势,是国际经贸全新的一种形式,是我国经济生活牛的新手段。文章通过简要分析电子商务安全管理存在的隐患,探讨了防范电子商务安全问题的法律手段、技术手段和监管手段,从而为达到完善电子商务安全管理的目的提供理论依据。 关键词:电子商务;安全管理;技术;原则 Safety Management of E-commerce Abstract:Development of electronic commerce on the Internet is the largest application trends, is a new form of international economic and trade . Through a brief analysis of the existence of e-commerce security management problems, discussed the legal means to prevent e-commerce security issues, technical means and means of supervision, so as to achieve the purpose of improving the safety management of e-commerce to provide a theoretical basis. Key words:electronic commerce; safety management; technology; principles 1.引言 电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。电子商务安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒。信息加密、身份认证、授权等。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。 2.电子商务中存在的安全问题 随着电子商务应用范围的日益扩大,呈现出大规模、跨行业、跨组织的发展趋势。但其发展也正面临着诸多瓶颈性问题,安全问题首当其冲,突出体现在以下几个方面。 1.交易的安全性得不到保障 电子商务的安全问题仍然是影响电子商务发展的主要因素。由于网络技术的迅速发展,电子商务引起大家的广泛注意,在开放的网络上进行商贸活动。但如何保证传输数据的安全成为电子商务能否普及的最重要的因素。交易双方进行交易的内容被第三方窃取.交易一方提供给另一方使用的证明文件被第三方非法使用,从而进行商业欺诈。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据篡改,然后再发向目的地,破坏数据的真实性和完整性。
电子商务安全体系结构
安全体系结构 (一)安全体系结构图 如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。 图3 电子商务网站安全体系结构 (二)安全体系分层 整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。下面就来看一下每一层分别有哪些作用。 (1)网络安全层 网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反
病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。 (2)加密技术层 加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。加密技术一般分为对称加密技术与非对称加密技术。 (3)安全认证层 安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。安全认证层可以验证交易双方数据的完整性、真实性及有效性。(4)安全协议层 安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。一般电子商务中使用的安全协议有SSL协议和SET协议。 访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。 数字认证技术 数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。 数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。
电子商务案例分析教案(DOC37页)
第一章电子商务案例分析概述 1.1.1电子商务的定义: 电子商务交易当事人或参与人利用计算机技术和网络技术等现代信息技术所进行的各类商务活动,包括货物贸易、服务贸易和知识产权贸易。 一、对电子商务的理解,可从4方面考虑: 1 电子商务是一种采用最先进信息技术的买卖方式。 2 电子商务实质上形成了一个虚拟的市场交换场所。 3 电子商务是“现代信息技术”和“商务”两个子集的交集。 4 建立在企业全面信息化基础上、通过电子手段对企业的生产、销售、库存、 服务以及人才资源等环节实行全方位控制的电子商务才是真正意义上的电子商务。 二、电子商务的特点: 1 虚拟性 2 成本 3 个性化 4 敏捷性 5 全球性 1.1.2电子商务案例分析的重要性: 1 能够深化所学的理论知识,通过案例分析加深对理论知识的深层次理解。 2 能够使所学的知识转变成技能,理论学习与实践应用有机地结合。 3 在逼真模拟训练中做到教学相长。 1.2.1 电子商务案例的定义及作用: 电子商务案例分析的主要特点是:启迪性与实践性。 1.2.2 电子商务教学中使用的案例分为:
1 已决的问题的案例 包括电子商务活动的状况及问题、解决方法和措施、经验或教训的评估。 2 待解决问题案例 包括管理活动、存在问题的情景叙述和相关因素提示。 3 设想问题案例 包括经济活动的背景材料、发展趋势的相关迹象。 EDI主要应用于: 国际贸易和政府采购,用于企业与企业、企业与批发商、批发商与零售商之间的批发业务。 1.3.1 电子商务案例分析的主要内容: 1 电子商务网站背景资料 2 电子商务网站建设与维护方法分析: 网络平台技术分析、网站安全技术分析、网站维护方法分析。 3 电子商务网站经营特色分析: 内容设计分析、营销方法分析、支付方式分析、物流配送方式分析。 4 电子商务效益分析(全国统考考过多项选择题第21题) 电子商务案例分析的定义: 根据一定的分析目的,采用一种或几种分析方法,按照一定的程序,对通过调查并经过整理的资料进行分组、 汇总、检验和分析等,得到所研究事物或现象本质及规律性,进而指导实践的过程。 1.3.2 电子商务案例综合分析方法分为: 1 科学的逻辑思维方法 分为:形式逻辑思维方法和辩证逻辑思维方法 2 与案例研究有关的各专门学科的方法
食品电商安全管理制度
食品电商安全管理 制度
食品安全管理规定 第一章总则 第一条为加强电商事业部(以下简称事业部)食品安全管理,保障店铺食品服务安全,根据国家、地方相关法律法规及其它要求制定本规定。 第二条本规定所指食品/产品是指事业部经过电商平台或线下销售渠道提供的各种供人食用或者饮用的成品和原料。 第三条食品安全是指食品无毒、无害,符合应当有的营养要求,对人体健康不造成任何急性、亚急性或者慢性危害。 第四条本规定适用于经过电商平台或线下销售渠道提供的各种供人食用或者饮用的成品和原料全过程的食品安全管理。 第二章机构及职责 第五条成立由公司分管领导、事业部负责人、公司相关职能部门及项目部组成的事业部食品安全领导小组,负责食品安全管理工作中重大事项的审议与决策。 第六条食品安全领导小组办公室设在分管领导办公室,承担领导小组的日常管理工作,并对食品安全工作归口管理,主要职责: (一)贯彻执行国家和地方有关食品安全的法律法规、规章和政策; (二)负责事业部食品安全工作计划和规章制度的制定,并组织实施; (三)负责食品采购供货方食品安全资质的考察、审核;
(四)负责食品安全督察与管理,对事业部食品安全工作进行监督检查,对存在的食品安全问题提出整改与考核意见; (五)负责组织食品安全培训工作; (六)负责组织重大食品安全事故应急预案的编制,协调重大食品安全事故的应急救援和调查处理工作。 (七)负责组织召开食品安全领导小组工作会议,研究解决食品安全生产过程中存在的问题。 第七条产品部是食品采购、技术、品控及质量管理部门,负责食品采购计划的提出,负责公司电商所需经营产品和部分产品包装、赠品的渠道建设、采购及验收组织及食品库房管理;认真执行食品安全管理制度及食品加工技术规程,细化内部食品安全管理制度,负责从业人员食品安全培训、健康体检、食品安全风险辨识与关键控制点分析与控制以及应急预案的培训与演练,负责各项食品安全有关记录、档案的建立与保管。 第八条运营部是电商产品服务提供单位,负责产品销售及顾客回馈反馈,第一时间处理客户纠纷,并为制定更合理的产品方案提供决策依据。 第三章食品安全综合管理 第一节从业人员管理 第九条食品安全管理人员应具备以下基本要求:(一)具备2年以上电商或其它行业食品安全工作经历的管理人员; (二)身体健康并持有有效健康证明; (三)持有有效培训合格证明;