电子商务安全技术
电子商务安全技术
简介:这是大学上课时学习的电子商务安全技术,是全书的概要,总结。大学期末考试,可以拿它做为参考。
第一篇电子商务安全概述
电子商务是由计算机、通信网络及程序化、标准化的商务流程和一系列安全、认证法律体系所组成的一个集
合。
电子商务系统是由Internet、用户、配送中心、认证中心、银行和商家等组成
TCP/IP协议,
第1章电子商务安全基础
乙发送一条信息甲,信息内容是:请给乙向银行中打入10000元。落款:乙.
甲收到:信息为:请给丙向银行中打入10000元,乙。
其实在传递信息的过程中已被丙修改了信息。
1.1电子商务安全概念
电子商务安全就是保护在电子商务系统里的企业或个人资产不受未经授权的访问、使用、窜改或破坏。电子商务安全覆盖了电子商务的各个环节。涉及到三方面:客户端-通信传输-服务器端。
电子商务安全的六项中心内容:
1.商务数据的机密性或保密性
通过加密来实现的。
2.电子商务数据的完整性或正确性
一定要保证数据没有被更改过。
3.商务对象的认证性
第三方认证。
CA认证中心。
4.商务服务的不可否认性
5.商务服务的不可拒绝性或可用性。6.访问的控制性
1.2电子商务安全问题
技术上的安全性,安全技术的实用可行性。要考虑以下三方面的问题:
1)安全性与方便性
2)安全性与性能
3)安全性与成本
一、问题的提出
二、电子商务的安全隐患
1.数据被非法截获,读取或修改
数据加密
2.冒名顶替和否认行为
数字签名、加密、认证
3.一个用户未经授权访问了另一个网络。Intranet:企业内部网
Internet:因特网
防火墙
4.计算机病毒
杀毒软件
1.3电子商务安全需求
一、电子交易的安全需求
1.身份的可认证性
保证交易双方身份是真实的,可靠的,不被冒名顶替。2.信息的保密性
加密,即使泄露,别人也看不懂。
原文-密文
3.信息的完整性
正确性,一定要保存传递的信息,到达接收方没有被更改。
4.可靠性/不可抵赖性
5.审查能力/不可假造。
6.内部网的严密生
二、计算机网络系统的安全
1.物理实体的安全
1)设备的功能失常
2)电源故障
3)由于电磁泄漏引起的信息失密
4)搭线窃听
2.自然灾害的威胁
3.黑客的恶意攻击
所谓黑客,一般泛指计算机信息的非法入侵者
黑客的攻击手段有两种:一种主动攻击,一种是被动攻击。
4.软件的漏洞和后门
5.网络协议的安全漏洞
各种协议都有一定的缺陷,黑客专门查找这些漏洞。
复习:
1.电子商务安全概念?
2.电子商务安全的六项中心内容。
3.电子商务安全问题的提出
4.电子商务的安全隐患
5.电子商务安全需求
电子交易过程中的安全需求
计算机网络系统的安全需求
6.计算机病毒的攻击
1)什么
是计算机病毒?
指编制或者在计算机程序插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。CIH病毒
2)计算机病毒的分类
引导型病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马、internet语言病毒(脚本病毒)
……
3)反病毒软件
瑞星,趋势软件、金山、诺顿、360免费病毒软件
4)目前病毒的安全状态
。病毒的数量急聚增加。
。一些商业公司流氓软件很严重
。木马
。病毒的传播途径比较广。
。软件的漏洞成为病毒的突破口
5)病毒的破坏目标和攻击部位
。攻击系统数据区
。攻击文件
。攻击内存
。干扰系统运行
。使计算机速度下降
。攻击磁盘
。扰乱屏幕显示
。干扰键盘
。攻击CMOS
。干扰打印机
1.4 电子商务安全技术
目前电子商务安全有许多的解决方案,安全技术主要有加密技术、授权认证技术、CA安全认证技术、安全电子交易协议、虚拟专用网技术、反病毒技术、黑客防范技术。
从电子交易的过程来看,主要考虑三方面的安全技术:
客户端的安全技术、网络通信的安全技术、服务器端的安全技术
一、客户端安全技术
主要包括操作系统的安全描述和应用系统安全技术
1.操作系统的安全描述
如windows xp,windows 2000,windows
vista,windows win7,国际上将操作系统的安全进行了分类级别,D级、C1级、C2级、B1级、B2级、A级。
2.应用系统的安全技术
安全都是相对的。
域控制器,所以的客户端登录必须经过域控制器验证。
二、网络信息安全技术
主要包括网络安全技术和信息安全技术
1.网络安全技术
分为四个相互交织的部分,保密、鉴别、反拒和完整性控制。
网络安全技术的主要作用:
2.信息安全技术
由于互联网的开放性、连通性和自由性,用户在共享资源的同时,也存在着被侵犯或恶意破坏的危险。信息安全技术的目标就是保护有可能被侵犯的机密信息不被外界非法操作、控制。保存进行身份验证,数据加密等。
三、服务器端的安全技术
服务器端的安全技术主要包括网络操作系统安全、电子商务网站的安全设置、数据库服务器安全技术和应用程序安全技术四部分。
1.网络操作系统的安全
微软公司的网络操作系统有:windows NT4.0,windows 2000 server,windows 2003
server,windows 2008 server
Linux操作系统,Unix操作系统,NetWare (NOVELL)操作系统。
IDE接口,STAT接口,scsi接口(服务器)
2.电子商务网站的安全技术
主要包括web服务器的安全设置,强化服务器的软件和信息传输的安全问题。
IIS,internet信息服务
管理器,
3.数据库服务器安全技术
数据库管理系统有多种,目前常用的都是关系型的数据库管理系统,access数据库,sql server 2005,oracle 数据库。
4.应用系统安全技术
主要包括j2ee安全技术和https://www.wendangku.net/doc/ea16079543.html,安全技术。
国内用的比较多的是.NET,国外用的比较多的是java 技术。
跨平台。
.net的开发体系主要包括几层:
表示层:业务层,业务数据访问层
三层架构。
https://www.wendangku.net/doc/ea16079543.html,
Ajax技术。这是一种目前比较流行的java技术。
LINQ支持。
四、电子商务支付安全技术
包括电子商务支付系统和电子支付安全技术两部分。
1.电子商务支付系统
电子支付网关,
电子支付:是指电子商务交易的当事人,包括消费者、商家和金融机构,使用安全电子支付手段通过网络进行的货币或资金的流转。
传统支付和电子支付的区别:
五、电子商务安全协议
目前有两种安全在线支付协议:安全套接层协议SSL,安全电子交易协议SET。
SSL协议:是由网景公司推的一种安全通信协议。它能够对信用卡和个人信息提供保护。
SET协议是由visa和mastercard以及其他一些业界主流厂商联合推出的一种规范。用来保证银行卡支付交易的安全性。
1.5电子商务安全法律
上机:
1.查找五个电子商务网站,了解国内和国际的电子商务安全技术发展状态,并了解电子商务安全方法有哪些?效果如何?
2.计算机病毒软件有哪些?分别具有什么功能。
第2章电子商务网站常见的攻击
本章重点:
1.端口扫描
2.特洛伊木马
3.缓冲区溢出攻击
4.拒绝服务攻击
5.网络监听
2.1端口扫描
计算机中存放着65535个端口,常用端口为1024以下,端口就是一个通信通道,通过端口扫描,可以得到许多目标计算机中有用的信息。对于端口的扫描可以通过软件实现,也可以通过手工实现。
一、扫描器的定义
扫描器就是一种自动检测远程或本地主机安全弱点的程序,通过扫描器可不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它的软件版本等,从而直接了解远程计算机的安全性。
扫描器不攻击远程计算机,只是得到有用的信息。
二、扫描器的工作原理
选用远程TCP/IP不同端口的服务,来记录目标给予的回答。可以搜集到许多关于目标计算机的各种有用的信息。
三、扫描器的功能
1.发现主机或网络的功能
2.发现主机上运行服务的功能
3.发现漏洞的功能
四、常用的端口扫描技术
1.TCP connect扫描技术
优点有两个:不需要任何权限,系统中的任何用户都有权利使用这个调用。速度快,通过同时打开多个套接字,加速扫描。
缺点:很容易被发现,并且被过滤掉。
TCP:传输控制协议。
2.T
CP SYN扫描
半开放扫描,优点在于一般不会在目标计算机上留下记录,缺点必须具有root权限才能建立自己的SYN数据包。
3.TCP FIN扫描
TCP FIN扫描能够避开防火墙的监视,FIN数据包,此种技术可以确定扫描端口的状态。该方法可以用来区分unix和windowsNT。
4,IP段扫描
IDENT协议,这种方法必须和目标端口建立一个完整的TCP连接后才能被使用。
5.TCP反向IDENT扫描
6.FTP返回攻击
该方法从一个代理的FTP服务器来扫描TCP端口,优点是难以被跟踪,容易穿过防火墙,缺点速度慢。
7.UDP ICMP端口不能到达扫描
使用的是UDP协议,缺点是速度较慢,需root权限。
8.UDP Recvfrom和write扫描
只适合于unix系统,套接字函数对UDP端口进行扫描。
9.ICMP echo扫描
不是真正意义的扫描,但有时通过ping,在判断一个网络上的主机是否开机。
2.2特洛伊木马
1.特洛伊木马
是一个包含在合法程序中的非法程序,非法程序被用户在不知情的情况下执行。
2.特洛伊木马的组成
一般的木马都包括客户端和服务器端,客户端就是控制其他计算机的机器。远程计算机上。服务器端程序就是木马程序,攻击者通过客户端控制服务器端实施攻击。
3.木马入侵的途径
木马必须通过一定的方法植入或复制到被攻击的计算机上,主要通过邮件附件、下载软件、或者通过一些提示故意误导被攻击者打开执行文件。木马还可以通过script、activx以及CGI交互脚本的方式植入。木马可以通过系统的一些漏洞植入。
4.木马程序入侵使用的协议
木马程序使用的协议绝大多数是TCP/IP协议,也有使用UDP协议进行通信。
一、特洛伊木马的隐藏方式
1.在任务栏里隐藏
2.在任务管理器里隐藏
计算机系统启动后,会启动许多服务,这些服务可以通过任务管理器来管理。一般使用ctrl+alt+delete三键打开任务管理器查看,它分为用户进程和系统进程,一般木马都装成为”系统服务“,从而从正在运行的进程中消失。
3.端口
一台机器有65535个端口,常用的是1024以下的,木马常常隐藏在1024以上。
4.隐藏通令
1024以上的端口,先进的木马,会使用80端口.
5.隐藏加载方式
6.最新隐身技术
最简单的放在windows的注册表中,最新的木马隐藏方式,通过修改虚拟设备驱动程序VXD或修改动态链接库DLL来加载木马。
二、特洛伊木马的工作原理
1.木马服务器端程序的植入
2.木马将入侵主机信息发送给攻击者
3.木马程序启动并发挥作用
木马要发挥作用必须具备以下三个因素:
1)木马需要一种启动方式,木马必须启动才能发挥作用。
2)木马需要在内存中才能发挥作用
3)木马会打开特别的端口。
三、木马程序的存在
形式(启动方式)
1.放在win.ini:run=或load=项目中的程序名会自动启动。
2.system.ini:shell=explorer.exe项后的程序名.
3.注册表:run项中的程序
4.附在合法的自启动程序中。
四、木马的特性
1.隐藏性
主要体现在两个方面:不产生图标,自动在任务管理器中隐藏。
2.自动运行性
3.功能的特殊性
可以实现远程控制
4.自动恢复功能
自动复制功能
5.自动打开特别的端口
五、木马的种类
1.破坏型木马
2.密码发送型
Cookie对象,session,application对象
3.远程访问型
远程控制,就是攻击者在本机,可以操作你的计算机。
4.键盘记录型
5.dos攻击型
拒绝服务攻击
6.代理木马
7.FTP木马
8.程序杀手
9.反弹端口
六、木马的入侵
1.集成到程序中
2.隐藏在配置文件中Autoexec.bat或config.sys
3.潜伏在win.ini中
4.装在普通文件中
Jpg
5.内置到注册表中
6.放在system.ini中
7.隐藏在启动组中
8.隐藏在winstart.bat中
9.捆绑在启动文件中
10.设置在超链接中
x-scan3.3扫描工具
复习:
1.端口扫描
1)扫描器的定义
2)扫描器的工作原理
3)扫描器的功能
4)常用的端口扫描技术
2.特咯伊木马
2.3缓冲区溢出攻击
一、缓冲区溢出攻击的原理
1.缓冲区
缓冲区是程序运行时机器内存中的一个连续块,保存了给定类型的数据和动态分配变量可能会出现的问题。
缓冲区不是太大,如果放大文本,大字符串存储到缓冲区中,缓冲区就会溢出。
2.缓冲区溢出的原因
在于数据超长,造成的后果,一是过长的字符串覆盖了相邻的存储单元,相起程序运行失败,二是利用这种漏洞可以执行任意指令甚至可以取得系统特权。
二、缓冲区溢出攻击的方法
1.植入法
此种方法不是使缓冲区溢出,只需将攻击代码放入缓冲区能正常执行即可。
2.利用已存在的代码
攻击者攻击的程序已经在被攻击的代码中,攻击者只需向代码传递一些参数,然后使程序跳转到目标程序,从而扰乱程序的正常执行顺序。
3.长跳转缓冲区
是在一个字符串里综合了代码植入和激活记录。
C#语言继承了C和C++语言的优点,C#主要编写WEB应用程序,从而将C和C++的指针部分取消了。
计算机语言分为机器语言、低级语言和高级语言。
三、缓冲区溢出攻击的防范技术
浅谈电子商务中的安全技术
浅谈电子商务中的安全技术 王海 (南京航空航天大学信息科学与技术学院 南京 210016) E-mail:wwanghaih@https://www.wendangku.net/doc/ea16079543.html, 摘 要:电子商务的安全保障是电子商务发展的基础,本文分析了电子商务所采用的主要的安全技术, 包括现代加密理论(对称加密、公钥体制)、完整性保障、数字签名以及认证技术在电子商务中的应用。 关键词:电子商务;加密技术;完整性保障;数字签名认证技术 1.引言 所谓电子商务(Electronic Commerce),是指通过电子手段来完成整个商业贸易活动的过程。电子商务主要涉及三方面内容:信息、电子数据交换和电子资金转帐。在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。 2.电子商务面临的安全威胁[1]及安全需求[2] 2.1电子商务面临的安全威胁 电子商务的安全性并不是一个孤立的概念,它不但面临着系统自身的安全性问题;而且,由于它是建立在计算机和通信网络基础上的,所以计算机及通信网络的安全性问题同样会蔓延到电子商务中来。电子商务在这样的环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类: 2.1.1信息的截获和窃取 如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。 2.1.2信息的篡改 攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段有三种: (1)篡改:改变信息流的次序。 (2)删除:删除某个消息或消息的某些部份。 - 1 -
电子商务网络安全技术
5.2 电子商务网络安全技术 一、防火墙技术 1、什么是防火墙 防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了。 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、具有潜在破坏性的侵入。防火墙示意图:
2、防火墙种类 从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。 3、防火墙的使用 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 二、病毒防范措施 1、用户应养成及时下载最新系统安全漏洞补丁的安全习惯,从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时,升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。 2、请定期做好重要资料的备份,以免造成重大损失。 3、选择具备“网页防马墙”功能的杀毒软件(如KV2008),每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。 4、请勿随便打开来源不明的Excel或Word文档,并且要及时升级病毒库,开启实时监控,以免受到病毒的侵害。 5、上网浏览时一定要开启杀毒软件的实时监控功能,以免遭到病毒侵害。
6、上网浏览时,不要随便点击不安全陌生网站,以免遭到病毒侵害。 7、及时更新计算机的防病毒软件、安装防火墙,为操作系统及时安装补丁程序。 8、在上网过程中要注意加强自我保护,避免访问非法网站,这些网站往往潜入了恶意代码,一旦用户打开其页面时,即会被植入木马与病毒。 9、利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。 10、将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。 11、开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。 5.3 加密技术 一、加密技术 1、概念 加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多
浙师大电子商务安全技术单选题题目
单项选择题 1.在电子商务系统可能遭受的攻击中,从信道进行搭线窃听的方式被称为( ) A.植入B.通信监视C.通信窜扰D.中断 2.消息传送给接收者后,要对密文进行解密是所采用的一组规则称作( ) A.加密B.密文C.解密D.解密算法 3.在以下签名机制中,一对密钥没有与拥有者的真实身份有唯一的联系的是( ) A.单独数字签名B.RSA签名C.ELGamal签名D.无可争辩签名4.MD-5是____轮运算,各轮逻辑函数不同。A.2 B.3 C.4 D.5 5.综合了PPTP和L2F的优点,并提交IETF进行标准化操作的协议是( ) A.IPSec B.L2TP C.VPN D.GRE 6.VPN按服务类型分类,不包括的类型是( ) A. Internet VPN B.Access VPN C. Extranet VPN D.Intranet VPN 7.目前发展很快的安全电子邮件协议是_______ ,这是一个允许发送加密和有签名 邮件的协议。( ) A.IPSec B.SMTP C.S/MIME D.TCP/1P 8. 对SET软件建立了一套测试的准则。( ) A.SETCo B.SSL C.SET Toolkit D.电子钱包 9.CFCA认证系统的第二层为( ) A.根CA B.政策CA C.运营CA D.审批CA 10. SHECA提供了_____种证书系统。A.2 B.4 C.5 D.7 11.以下说法不正确的是( ) A.在各种不用用途的数字证书类型中最重要的是私钥证书 B.公钥证书是由证书机构签署的,其中包含有持证者的确切身份 C.数字证书由发证机构发行 D.公钥证书是将公钥体制用于大规模电子商务安全的基本要素 12.以下说法不正确的是( ) A. RSA的公钥一私钥对既可用于加密,又可用于签名 B.需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C.一般公钥体制的加密用密钥的长度要比签名用的密钥长 D.并非所有公钥算法都具有RSA的特点 13. _______是整个CA证书机构的核心,负责证书的签发。( ) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器14.能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是( ) A. PKI B.SET C.SSL D.ECC 15. _______在CA体系中提供目录浏览服务。( ) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器 16. Internet上很多软件的签名认证都来自_______公司。( ) A.Baltimore B.Entrust C.Sun D.VeriSign 17.SSL支持的HTTP,是其安全版,名为( ) A.HTTPS B.SHTTP C.SMTP D.HTMS 18. SET系统的运作是通过个软件组件来完成的。A.2 B.3 C.4 D.5 19.设在CFCA本部,不直接面对用户的是( ) A.CA系统B.RA系统C.LRA系统D.LCA系统 20. CTCA的个人数字证书,用户的密钥位长为( ) A.128 B.256 C.512 D.1024
电子商务安全技术试卷
电子商务安全技术试卷
————————————————————————————————作者:————————————————————————————————日期:
XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项: 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求,在规定的位置填写答案。 3. 不要在试卷上乱写乱画,不要在装订线内填写无关的内容。 4. 满分100分,考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题(共10分,每空1分): 1.电子商务安全从整体上分为( )和电子商务交易安全两大部分。 2.所谓加密,就是用基于( )方法的程序和保密的密钥对信息进行编码,把明文变成密文。 3.密码体制从原理上可分为单钥体制和( )。 4.链路-链路加密中,由于传送的信息在每个节点处都将以( )形式存在,故要加强每个节点的实体安全。 5. 电子商务活动是需要诚信的,如何来确定交易双方的身份就显得特别重要。目前,是通过认证中心(CA )发放( )来实现的。 6. 数字证书是利用数字签名和( )来分发的。 7. ( )允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8. 分布式防火墙是一种( )的安全系统,用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9. ( )又称灾难恢复,是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人
10. 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题(共10分,每题1分) 1.故意攻击网站触发安全问题,以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 ( ) 2.分组密码是一种重要的对称加密机制,它是将明文按一定的位长分组,输出不定长 度的密文。 ( ) 3.在代理多重签名中,一个代理签名可以代表多个原始签名人。 ( ) 4.数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接受方用 发送方的公开密钥进行解密。 ( ) 5.SSL 建立在TCP 协议之上,它与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。 ( ) 6.认证机构CA 和注册机构RA 都可以发放数字证书。 ( ) 7.实现防火墙的网络安全策略时,可以遵循的两条原则是:一是未被明确允许的一定 都将被禁止;二是未被明确禁止的未必都被允许。 ( ) 8.不连网的计算机不会感染计算机病毒。 ( ) 9.为了确保系统管理人员的忠诚可靠,系统管理的工作应当长期由一人来负责。( ) 10.计算机信息媒体出入境的普遍办理过程一般为先申报,后检测,最后报送。 ( ) 三、选择题(共40分,每小题2分) 1. 软件开发人员为了方便,通常也会在软件里留下“后门”,通过在后门里植入 ( ),很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2.确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 ( ) A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信,她需要用 什么来加密 ( ) A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中,不正确的是 ( ) A 、收方能够确认或证实发方的签名,但不能伪造 得 分 评分人 得 分 评分人
电子商务安全技术试卷及答案
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
电子商务安全技术
第8章电子商务安全技术 (一) 单项选择 1、()是确保电子商务参与者无法抵赖(或否认)其网上行为的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 2、()是确认与你在Internet上交易的个人或者试题的身份的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 3、()是确保信息和数据只能被得到授权的人读取的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 4、SET是指() A 安全电子交易 B 安全套接层协议 C 安全HTTP D 安全电子技术 5、()是可以组织远程客户机登录到你的内部网络。 A 代理服务器 B 防病毒软件 C 操作系统控制 D 防火墙 6、()可以监视通过网络传递的信息,从网络上任何地方盗取企业的专有信息。 A 恶意代码 B 电子欺骗 C 网络窃听 D 内部人行为 7、()是用来保护信道安全的最常用的方式。 A 安全超文本传输协议 B 安全套接层协议 C 虚拟专用网 D 公共网络 8、()很可能成为电子商务中最典型的犯罪行为。 A 网上信用卡诈骗 B 电子欺骗 C 网络窃听 D 恶意代码 9、()通常感染可执行文件。 A 宏病毒 B 脚本病毒 C 文件感染型病毒 D 特洛伊木马 10、()向网站大量发送无用的通信流量从而淹没网络并使网络瘫痪。 A 拒绝服务攻击 B 阻止服务攻击 C 分布式拒绝服务攻击 D 分散式拒绝服务攻击 11.以下攻击手段中不属于欺骗攻击的是() A.伪装B.会话劫持C.洪水攻击D.中间人攻击 12.签名者在不知道签名具体信息的情况下所做的签名称为()。 A.群签名B.盲签名C.团体签名D.防失败签名 13.以下匿名的实现机制中,()通过在群内随机转发消息来隐藏消息的发送者。A.群方案B.匿名转发器链C.假名D.代理机制 14.以下电子现金方案中,()系统的数字现金证书当天有效。 A.E--Cash B.Mini--Pay C.CyberCash D.Mondex 15.()是对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。 A.漏洞扫描B.入侵检测C.安全审计D.反病毒 16.散列函数对同一报文M,无论何时何地,反复执行该函数得到的输出结果都是一样的,是指散列函数的()。 A.单向性B.普适性C.不变性D.唯一性 17使用密钥将密文数据还原成明文数据,称为:()。 A:解码;B:解密C:编译;D:加密; 18、所谓对称加密系统就是指加密和解密用的是()的密钥。 A、不同 B、互补 C、配对D相同 19、在下面的选项中不符合非对称密钥体制特点的是()。 A、密钥分配简单 B、密钥的保存量少 C、密钥的保存量多 D、可实现身份识别 20、电子支票在使用过程中,需要通过()来鉴定电子支票的真伪。
电子商务交易的安全技术
E-business电子商务 0802013年1月 https://www.wendangku.net/doc/ea16079543.html, 电子商务交易的安全技术浅析 浙江财经学院信息学院 程亚星 摘 要:在当今人们的生活中,电子商务已成为不可或缺的元素。随着电子商务的迅速发展,电子商务交易、支付的迅猛增加,一些网络黑客任意截获、盗取或者恶意攻击电子商务网站,给电子商务交易的安全造成了威胁。在预防电子商务交易中个人信息泄露,防止信息被恶意篡改的技术探索中,得出了防火墙与入侵检测技术的恰当结合是解决电子商务交易网络安全的有效方法之一。本文主要探讨防火墙、入侵检测技术及二者联动在电子商务交易安全中的应用。 关键词:电子商务交易 防火墙 入侵检测 信息安全 中图分类号:F724 文献标识码:A 文章编号:1005-5800(2013)01(b)-080-02 近年来,随着越来越多的商家与企业加入电子商务大军,2012年天猫、京东、苏宁易购、腾讯都进行了不断的收购,腾讯投资10亿元到电商业务。据艾瑞咨询发布的统计数据,截至2012年6月底,中国网民数量达到5.38亿,受益于网购市场的高速发展全年网购交易规模突破13000亿,电子商务产业已成为我国经济中的亮丽风景。同时,电子商务交易安全问题日益严重,信息安全已成为未来电子商务顺利发展的重要保证,确保商务交易中的安全是当前电子商务发展面临的巨大挑战。近年来已经逐渐发展成熟的防火墙与入侵检测技术已颇具成效,成为解决电子商务交易网络安全的重要手段。其中,防火墙技术因其静态防御的特性而在策略完善和攻击的识别上还存在很多不足之处,入侵检测技术能够很好地对恶意攻击网络行为进行有效的识别,可以对防火墙的不足进行补充。它若与防火墙技术结合使用,便可对电子商务交易安全发挥重要作用。 1 防火墙的关键技术 防火墙是利用了IP封包过滤技术,被放置在Internet与被保护的网络两者之间的屏障。它可以对过往的信息与数据进行不安全因素监测与分析,对不良数据与恶意信息进行过滤,对各种病毒与木马入侵进行拦截;防止网络信息被攻击和篡改。一般的防火墙系统主要包括Telnet、Email、WWW、FTP等代理服务器,以及用户登录、加密、审计、过滤路由、身份审核与验证、堡垒主机等基本功能模块组成。各个服务器与各个功能模块分工明确,经过有效的配合,能够实现共同抵御不安全网络攻击行为的目标。 防火墙具有很多功能,主要体现在:(1)防火墙可以将网络内部的信息屏蔽起来,避免外界干扰和攻击。(2)防火墙可以监测、审计和分析进入和流出网络的数据信息,对恶意信息进行筛选。(3)壁垒主机功能模块可以有效阻断外部入侵。(4)防火墙可以阻止所有可疑的对网络的访问,拦截所有携带病毒攻击的报文,并且可以预防这些病毒与木马的传播和扩散。但是,具有了这些功能网络也并不是绝对安全的,实践证明防火墙体系还存在许多漏洞,诸如尽管防火墙可以记录一切网络访问的活动,但是却也为黑客提供了入侵的端口,也有些黑客也能够绕过防火墙而进入网络,这些漏洞需要我们认真对待,及时完善防火墙技术。 1.1 包过滤技术 包过滤技术是防火墙技术中的一种,该技术的主要通过数据包过滤来实现的。其作用是阻塞某些主机及网络对内部网络的连接,这种技术主要工作在网络层。它为危机四伏的网络提供着过滤路由器的技术。例如,利用这种技术可以限制网络访问者去访问非法、色情站点等。可以通过选择系统内部的访问控制表Access Control List,选取恰当的网络位置,并在这个位置对数据包选择性的滤取,满足网络传输要求的数据包被过滤出来,并且可以通过一些网络安全协议在网络间进行有序的传输,其余不符合网络传输要求的数据包则被过滤出来,并最终在数据流中彻底删除,避免危害网络安全。 数据包过滤技术也存在一定漏洞,例如它只能通过数据包的端口号码、目的地址及协议类型等对数据包进行分析和判断,是只工作在网络层的过滤技术。这就决定了该技术不能对网络应用层的数据进行筛选和分析,对于应用层内的不良网络入侵不发挥功效。 1.2 代理(Proxy)技术 代理(Proxy)技术是完全不同于数据包过滤技术的应用网关技术——Application Gateway。它主要拦截一切信息流,工作在网络层,不同的应用配有不同的程序实现防护功能。代理技术以状态性为主要特征,目标是在网络应用层实现不安全访问的防范。代理技术能够展现与应用和传输相关联的所有信息与数据的状态,并且能够规范管理甚至及时处理这些传输应用信息。 代理是内外网间的网关,是工作在网络应用层上的特殊服务,且网络应用服务与应用代理具有一对一的关系。这让通信的网络服务器与客户之间不会进行直接的联系,而是通过代理进行转接与中继。代理服务器主要分为服务器代理和客户代理两大分支,前者负责完成与服务器间的通讯,后者负责完成与客户的对接通讯。随之而来的是代理服务器与服务器方面以及地理服务器和客户方面的两大类连接,这些连接都需要代理技术来进行维持。对服务器方面而言,代理是客户端,负责访问服务。对客户方面,代理是服务器,负责目的服务器与客户的对接。 1.3 状态检测技术 状态检测技术是采用对网络通信各层的数据传输进行检测的手段,是利用检测模块对动态数据包过滤技术的完善。状态检测技术可以提取一些数据的状态信息,并能够将这些信息进行动态保存,目的是方便以后做出安全决策。这种技术本质上讲采用的还是以会话为基本原色的一种连接检测机制,将属于同一连接性质的数据包同一成一个数据流整体后形成连接状态表。通过这些表的相互协作达成对表中各个连接元素的分析和甄别,为提高传输效率可随意排列这些表中的记录。用户的访问到达网关以前,检测设备要对数据进行分析和提取,根据网络协议与传输要素,对这些用户数据进行分析、鉴定、识别和过滤。这样,提高了网络的安全级别。
电子商务安全技术
电子商务安全技术 简介:这就是大学上课时学习得电子商务安全技术,就是全书得概要,总结。大学期末考试,可以拿它做为参考。 第一篇电子商务安全概述 电子商务就是由计算机、通信网络及程序化、标准化得商务流程与一系列安全、认证法律体系所组成得一个集合。 电子商务系统就是由Internet、用户、配送中心、认证中心、银行与商家等组成 TCP/IP协议, 第1章电子商务安全基础 乙发送一条信息甲,信息内容就是:请给乙向银行中打入10000元。落款:乙、 甲收到:信息为:请给丙向银行中打入10000元,乙。 其实在传递信息得过程中已被丙修改了信息。 1.1电子商务安全概念 电子商务安全就就是保护在电子商务系统里得企业或个人资产不受未经授权得访问、使用、窜改或破坏。电子商务安全覆盖了电子商务得各个环节。涉及到三方面:客户端-通信传输-服务器端。
电子商务安全得六项中心内容: 1、商务数据得机密性或保密性 通过加密来实现得。 2.电子商务数据得完整性或正确性 一定要保证数据没有被更改过。 3.商务对象得认证性 第三方认证。 CA认证中心。 4.商务服务得不可否认性 5.商务服务得不可拒绝性或可用性。6.访问得控制性 1、2电子商务安全问题 技术上得安全性,安全技术得实用可行性。要考虑以下三方面得问题: 1)安全性与方便性 2)安全性与性能 3)安全性与成本
一、问题得提出 二、电子商务得安全隐患 1、数据被非法截获,读取或修改 数据加密 2、冒名顶替与否认行为 数字签名、加密、认证 3.一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4.计算机病毒 杀毒软件 1.3电子商务安全需求 一、电子交易得安全需求 1、身份得可认证性 保证交易双方身份就是真实得,可靠得,不被冒名顶替。2.信息得保密性
浅谈电子商务中的安全问题(一)
浅谈电子商务中的安全问题(一) 摘要]Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。 关键词]电子商务安全网络安全商务安全 2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。 Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。 电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。 一、网络安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。 二、计算机网络安全体系 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。 在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。 对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、
电子商务安全技术分析
电子商务安全技术分析 摘要: 本文主要针对现在电子商务行业中存在的问题,从安全问题、安全要素、病毒与黑客防范技术、安全技术、安全电子交易等几个方面全面的阐述了电子商务的安全问题,重点分析了安全电子交易规范(SET),并对电子商务安全的未来进行了分析。 一、引言 电子商务为全球客户提供丰富商务信息、快捷的交易服务和低廉交易成本的同时,也给电子商务参与的主体带来了许多安全问题。电子商务所依赖的Internet具有虚拟性、动态性、高度开放性等特点,使电子商务面临众多的威胁与安全隐患,严重制约其进一步发展和应用。目前,电子商务的安全问题已经是制约电子商务广泛应用的主要瓶颈之一,所以电子商务安全技术也成为各界关注、研究的热点。 二、电子商务安全问题 由于电子商务师以计算机网络为基础的,因此它不可避免面临着一系列的安全问题。一般会遇到以下的五种安全问题。 2.1、信息泄露 在电子商务中表现为商业机密的泄露,也就是说电子商务的数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。 2.2、信息篡改 在电子商务中表现为商业信息的真实性和完整性的问题。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。 2.3、身份识别问题 如果不进行身份的识别,第三方就有可能假冒用户身份信息,利用仿冒的身
份与他人交易,获取非法利益,从而破坏交易的可靠性。进行识别后就可防止“相互猜忌”的情况。 2.4、病毒 病毒问世二十几年来,各种新型病毒及其变种迅速增加,特别是互联网的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。 2.5、黑客问题 随着各种应用工具的传播,黑客已经大众化了,不想过去那样费计算机的高手不能成为黑客,现在只需要下载几个攻击软件并学会怎么使用,就可以互联网上大干一场,所以黑客问题也严重威胁着电子商务的发展。 三、电子商务的安全要素 3.1、有效性 电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。 3.2、机密性 电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境(如Internet)上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。 3.3、完整性 电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因
电子商务安全技术()
电子商务安全技术 简介:这是大学上课时学习的电子商务安全技术,是全书的概要,总结。大学期末考试,可以拿它做为参考。 第一篇电子商务安全概述 电子商务是由计算机、通信网络及程序化、标准化的商务流程和一系列安全、认证法律体系所组成的一个集合。 电子商务系统是由Internet、用户、配送中心、认证中心、银行和商家等组成 TCP/IP协议, 第1章电子商务安全基础 乙发送一条信息甲,信息内容是:请给乙向银行中打入10000元。落 款:乙. 甲收到:信息为:请给丙向银行中打入10000元,乙。 其实在传递信息的过程中已被丙修改了信息。 1.1电子商务安全概念 电子商务安全就是保护在电子商务系统里的企业或个人资产不受未经授权的访问、使用、窜改或破坏。电子商务安全覆盖了电子商务的各个环节。涉及到三方面:客户端-通信传输-服务器端。 电子商务安全的六项中心内容: 1.商务数据的机密性或保密性
通过加密来实现的。 2.电子商务数据的完整性或正确性 一定要保证数据没有被更改过。 3.商务对象的认证性 第三方认证。 CA认证中心。 4.商务服务的不可否认性 5.商务服务的不可拒绝性或可用性。6.访问的控制性 1.2电子商务安全问题 技术上的安全性,安全技术的实用可行性。要考虑以下三方面的问题: 1)安全性与方便性 2)安全性与性能 3)安全性与成本 一、问题的提出 二、电子商务的安全隐患 1.数据被非法截获,读取或修改 数据加密
2.冒名顶替和否认行为 数字签名、加密、认证 3.一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4.计算机病毒 杀毒软件 1.3电子商务安全需求 一、电子交易的安全需求 1.身份的可认证性 保证交易双方身份是真实的,可靠的,不被冒名顶替。2.信息的保密性 加密,即使泄露,别人也看不懂。 原文-密文 3.信息的完整性 正确性,一定要保存传递的信息,到达接收方没有被更改。4.可靠性/不可抵赖性 5.审查能力/不可假造。
电子商务安全技术复习指导
电子商务安全技术 一、主要内容与重点 1.网络交易风险和安全管理的基本思路:如今,网络交易风险凸现,国内的犯罪分 子也将触角伸向电子商务领域。为了保证交易的安全进行,通过对网络交易风险源 分析,从技术、管理、法律等方面对网络交易安全管理进行思考,进而形成网络交 易安全管理的基本思路。 2.客户认证技术:客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别 用户身份,保证通信双方的身份的真实性;后者用于保证通信双方的不可抵赖性和 信息的完整性。为此建立认证机构,通过数字签名等技术,保证交易的安全。在此 介绍了对我国电子商务认证机构的建设的设想。 3.防止黑客入侵:介绍了黑客的概念及网络黑客常用的攻击手段,同时也介绍了一 些防范黑客攻击的主要技术手段。 4.网络交易系统的安全管理制度:本节中,我们主要针对企业的网络交易系统加以 讨论,这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。 5.电子商务交易安全的法律保障:介绍了电子合同法律制度和电子签字法律制度, 对我国电子商务交易安全的法律和我国电子商务立法的若干基本问题提出设想。 通过本章的学习,要求了解网络交易的基本思路;掌握身份认证、基于对称密钥的信息认证及基于非对称密钥的信息认证的原理;了解认证机构的设置及证书,以及了解网络黑客常用的攻击手段及交易防范黑客攻击的主要技术手段。掌握网络交易系统的安全管理系统;了解电子商务安全的法律保障。 学习流程
二、网络交易风险和安全管理的基本思路 1.网络交易风险凸现 2.网络交易风险源分析 1.在线交易主体的市场准入问题。 2.信息风险。 3. 信用风险。 4. 网上欺诈犯罪。 5.电子合同问题。 6.电子支付问题 7.在线消费者保护问题 8.电子商务中产品交付问题 3.网络交易安全管理的基本思路 电子商务交易安全是也一个系统工程,一个完整的网络交易安全体系,至少应包括三类措施,并且三者缺一不可。一是技术方面的措施,二是管理方面的措施,三是社会的法律政策与法律保障。 三、客户认证技术 客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别用户身份,保证通信双方的身份的真实性;后者用于保证通信双方的不可抵赖性和信息的完整性。 1、身份认证 1) 身份认证的目标 (1)确保交易者是交易者本人,而不是其他人。 (2)避免与超过权限的交易者进行交易。 (3)访问控制。 2)用户身份认证的基本方式 (1)用户通过某个秘密信息。
电子商务网站的安全防范技术-
电子商务网站的安全防范技术 摘要:论述了在构建电子商务网站时应采取的安全措施:防火墙技术、入侵检测系统、网络漏洞扫描器、防病毒系统和安全认证系统,以及它们之间的相互配合。关键词:网站;安全;电子商务前言由于电子商务网站是在Internet这个完全开放的网络中运行,大量的支付信息、订货信息、谈判信息、商业机密文件等在计算机系统中存放、传输和处理,而网络黑客、入侵者、计算机病毒在网上随处可见,它们窃取、篡改和破坏商务信息。为了确保电子商务活动的健康发展和正常进行,除了应加大对黑客和计算机犯罪的打击力度外,加强电子商务网站自身的安全防护也是非常重要的。因此,当一个企业架设电子商务网站时,应选择有效的安全措施。 1电子商务网站安全的要求影响 电子商务网站安全的因素是多方面的。从网站内部看,网站计算机硬件、通信设备的可靠性、操作系统、网络协议、数据库系统等自身的安全漏洞,都会影响到网站的安全运行。从网站外部看,网络黑客、入侵者、计算机病毒也是危害电子商务网站安全的重要因素。电子商务网站的安全包括三个方面的要求: 1.1网站硬件的安全要求网站的计算机硬件、附属通信设备及网站传输线路稳定可靠,只有经过授权的用户才能使用和访问。1.2网站软件的安全网站的软件不被非法篡改,不受计算机病毒的侵害;网站的数据信息不被非法复制、破坏和丢失。1.3网站传输信息的安全指信息在传输过程中不被他人窃取、篡改或偷看;能确定客户的真实身份。本文主要论述当电子商务网站面对来自网站外部的安全威胁时,应采取哪些有效的安全措施保护网站的安全。 2电子商务网站的安全措施 2.1防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数
电子商务交易过程中的网络安全技术
电子商务交易过程中的网络安全技术 本文分析了电子商务首要的安全要素,以及将面临的一系列安全问题,并从网络平台和数据传输两个方面完整地介绍了一些相关的安全技术,通过它们来消除电子商务活动中的安全隐患。 一、引言 随着信息技术和计算机网络的迅猛发展,基于Internet的电子商务也随之而生,并在近年来获得了巨大的发展。电子商务作为一种全新的商业应用形式,改变了传统商务的运作模式,极大地提高了商务效率,降低了交易的成本。然而,由于互联网开放性的特点,安全问题也自始至终制约着电子商务的发展。因此,建立一个安全可靠的电子商务应用环境,已经成为影响到电子商务发展的关键性课题。 二、电子商务面临的安全问题 1.信息泄漏。在电子商务中主要表现为商业机密的泄露,包括两个方面:一是交易双方进行交易的内容被第三方窃取;二是交易一方提供给另一方使用的文件被第三方非法使用。 2.信息被篡改。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或被多次使用,这样就使信息失去了真实性和完整性。 3.身份识别。身份识别在电子商务中涉及两个方面的问题:一是如果不进行身份识别,第三方就有可能假冒交易一方的身份,破坏交易、败坏被假冒一方的信誉或盗取交易成果;二是不可抵赖性,交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。进行身份识别就是防止电子商务活动中的假冒行为和交易被否认的行为。 4.信息破坏。一是网络传输的可靠性,网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误;二是恶意破坏,计算机网络本身遭到一些恶意程序的破坏,例如病毒破坏、黑客入侵等。 三、电子商务的安全要素 1.有效性。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对一切潜在的威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。 2.机密性。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。解决数据机密性的一般方法是采用加密手段。
电子商务安全技术习题集 复习题
第七章电子商务安全技术 三、单项选择题 1.身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和_______。 (A)可信性 (B)访问控制 (C)完整性 (D)保密性 答案:B; 2.目前最安全的身份认证机制是_______。 (A)一次口令机制 (B)双因素法 (C)基于xx的用户身份认证 (D)身份认证的单因素法 答案:A; 3.下列是利用身份认证的双因素法的是_______。 (A)电话卡 (B)交通卡 (C)校园饭卡 (D)xx 答案:D;
4.下列环节中无法实现信息加密的是_______。 (A)链路xx (B)上传xx (C)节点xx (D)端到端xx 答案:B; 5.基于私有密钥体制的信息认证方法采用的算法是_______。 (A)素数检测 (B)非对称算法 (C) RSA算法 (D)对称加密算法 答案:D; 6.RSA算法建立的理论基础是_______。 (A) DES (B)替代相组合 (C)大数分解和素数检测 (D)哈希函数 答案:C; 7.防止他人对传输的文件进行破坏需要_______。 (A)数字签字及验证 (B)对文件进行xx
(C)身份认证 (D)时间戳 答案:A; 8.下面的机构如果都是认证中心,你认为可以作为资信认证的是_______。 (A)国家工商局 (B)著名企业 (C)商务部 (D)人民银行 答案:D; 9.属于黑客入侵的常用手段_______。 (A)口令设置 (B)邮件群发 (C)窃取情报 (D) IP欺骗 答案:D; 10.我国电子商务立法目前所处的阶段是_______。 (A)已有《电子商务示范法》 (B)已有多部独立的电子商务法 (C)成熟的电子商务法体系 (D)还没有独立的电子商务法 答案:D;