• 欢迎访问我的个人博客网站,本站专注电商运营,建站SEO推广服务,欢迎大家的访问,有需求可以与我联系!

第八章 电子商务安全系统

二、基本安全问题从用户的角度来看如何确定网络服务器的所有者和操作者是合法的公司呢?如何知道网页和表格不包含一些恶意或者危险的代码与内容呢?如何知道网站服务器的拥有者不会将其提供的个人信息泄露给其他人呢?从公司的角度来看如何知道用户不会试图闯入网络服务器或者修改网站网页内容?如何知道用户不会试图干扰网站服务使得其他用户无法访问呢?三、电子商务安全需求身份的确认性信息的保密性信息的完整性信息的不可否定性系统的可用性

一、技术安全问题技术安全问题是指利用软件或系统等技术对系统或使用者利益造成损害的安全问题。主要的技术安全问题有:病毒(蠕虫、木马等)、拒绝服务、网页劫持、僵尸网络、恶意广告。病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机、并盗取重要信息的病毒。
拒绝服务:通过向服务器发送大量垃圾信息或干扰信息的方式,导致服务器无法向正常用户提供服务的现象。网页劫持:通过制作一个入门网站的流氓拷贝吸引受害者访问该网站,从而盗取信息甚至金钱。
僵尸网络:利用大量受到劫持并被设置成自动匿名运行的网络计算机抓法垃圾邮件、病毒等信息到其他电脑从而使受害电脑被控制。恶意广告:引诱用户下载恶意软件,从而控制和危害他人电脑。
二、非技术安全问题非技术安全问题是指犯罪分子以欺骗或引诱受害者的方式时期泄露信息获进行某些可能危及网络安全的操作。主要的非技术安全问题包括:网络欺诈、交易抵赖等。网络欺诈:通过隐瞒、欺骗等方式获取网络用户信任,继而实施诈骗的行为。常见的有身份盗窃等,社交网络的使用在一定程度上助长了网络欺诈的存在。

交易抵赖:不承认或抵赖已经做过的交易,如发信者事后否认曾经发送过某条消息或内容;收信者事后否认曾经收到过某条消息或内容;购买者确认了订货单不承认;商家卖出的商品因价格差而不承认原有的交易等。

一、数据加密、解密基本过程通常情况下,人们将可懂的文本称为明文(plaintext),将明文变换成的不可懂形式的文本称为密文(ciphertext),把明文变换成密文的过程叫加密 (encipher),其逆过程即把密文变换成明文的过程叫解密(decipher)。密钥(keyword)是用于加解密的一些特殊信息,它是控制明文与密文之间变换的关键,它可以是数字、词汇或语句。密钥分为加密密钥(En-cryption Key)和解密密钥(Decryption Key)。完成加密和解密的算法称为密码体制(Cipher System),传统的密码体制所用的加密密钥和解密密钥相同,形成了对称式密钥加密技术。在一些新体制中,加密密钥和解密密钥不同,形成非对称式密码加密技术,即公开密钥加密技术。

二、对称式密钥加密技术1.基本概念对称式密钥加密技术是指加密和解密均采用同一把秘密钥匙,而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。当给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。故它也称为秘密钥匙加密法。2.加密算法实现对称式密钥加密技术的加密算法主要有以下两种:① DES(Data Encryption Standard)算法 DES 即数据加密标准,是 1977 年美国国家标准局宣布用于非国家保密机关的数据保护。② IDEA(International Data Encryption Algorithm)算法 IDEA 是一种国际信息加密算法。它是 1991 年在瑞士 ETH Zurich 由 James Massey 和 Xueiia Lai 发明,于 1992 年正式公开,是一个分组大小为 64 位,密钥为 128 位,迭代轮数为八轮的迭代型密码体制。此算法使用长达 128 位的密钥,有效地消除了任何试图穷尽搜索密钥的可能性。3.对称式密钥加密技术的优缺点对称式密钥加密技术具有加密速度快,保密度高等优点。其缺点有以下:① 密钥是保密通信安全的关键,发信方必须安全、妥善地把钥匙护送到收信方,不能泄露其内容,如何才能把密钥安全地送到收信方,是对称密钥加密技术的突出问题。可见,此方法的密钥分发过程十分复杂,所花代价高。② 多人通信时密钥的组合的数量会出现爆炸性的膨胀,使密钥分发更加复杂化,n 个人进行两两通信,总需要的密钥数为 n(n-1)/2。③ 通信双方必须统一密钥,才能发送保密的信息。如果发信者与收信人是素不相识的,这就无法向对方发送秘密信息了。三、公开密钥加密技术  1.基本概念公开密钥加密技术要求密钥成对使用,即加密和解密分别由两个密钥来实现。每个用户都有一对选定的密钥,一个可以公开,即公共密钥,用于加密。另一个由用户安全拥有,即秘密密钥,用于解密。当给对方发信息时,用对方的公开密钥进行加密,而在接收方收到数据后,用自己的秘密密钥进行解密。故此技术也称为非对称密码加密技术。2.加密算法公开密钥加密算法主要是 RSA 加密算法。此算法是美国 MIT 的 Rivest、Shamir 和 Adleman 于 1978 年提出的。它是第一个成熟的、迄今为止理论上最为成功的公开密钥密码体制。RSA 加密、解密过程由密钥生成、加密过程和解密过程组成。3.公开密钥加密技术的优缺点公开密钥加密技术的优点是:①密钥少便于管理。网络中的每一用户只需保存自己的解密密钥,则 N 个用户仅需产生 N 对密钥。②密钥分配简单。加密密钥分发给用户,而解密密钥则由用户自己保管。③不需要秘密的通道和复杂的协议来传送密钥。④可以实现数字签名和数字鉴别。公开密钥加密技术的缺点是加、解密速度慢。四、数字证书用电子手段来证实一个用户的身份和对网络资源的访问的权限。个人证书:帮助其个人在网上进行安全交易操作。企业证书:拥有 Web 服务器的企业就可以用具有证书的万维网站点来进行安全电子交易。证书一方面可以用来向系统中的其它实体证明自己的身份,另一方面由于每份证书都携带着证书持有者的公钥。五、数字签名与数字信封1.数字信封数字信封技术结合了对称密钥和公开密钥加密技术的优点,并可克服对称密钥加密中对称密钥分发困难和公开密钥加密中加密时间长的问题,它使用两个层次的加密从而既有公开密钥技术的灵活性,又有对称密钥技术的高效性。数字信封技术在外层使用公开密钥加密技术,享受到公开密钥技术的灵活性,内层的对称密钥长度通常较短,使得公开密钥加密的相对低效率被限制在最低限度。2.数字签名数字签名是公开密钥加密技术的另一类应用,用DES算法、RSA算法都可实现。它的主要方式是:报文的发送方从报文文本中生成一个128bit的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128bit的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别,保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。

一、防火墙防火墙:把内部安全网络、计算机和外部不可信的互联网分割开来的屏障。防火墙的主要用途:防护远程登录、后门接入、垃圾邮件和各种恶意软件。二、虚拟专用网络虚拟专用网络:使用公共互联网传输信息,通过把信息加密技术和认证技术相结合以保障信息的私密性。三、入侵检测系统入侵检测系统:是设计用于检测通过网络尝试非法接入、修改或破坏计算机系统的一种软件或硬件。四、灾害恢复计划目的:在发生灾难后,可以保持业务的持续运行。灾难避免:预防灾害的方法,尽可能降低灾害发生的可能性。

电子商务安全管理制度是用文字形式对各项安全要求所做的规定,它是保证企业电子商务取得成功的重要基础,是企业电子商务人员安全工作的规范和准则。企业在参与电子商务伊始,就应当形成一套完整的、适应于网络环境的安全管理制度。这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。.一、人才制度1. 严格网络营销人员的选拔。将经过一定时间的考察、责任心强、讲原则、守纪律、了解市场、懂得营销、具有基本网络知识的人员委派到这种岗位上。2. 落实工作责任制。不仅要求网络营销人员完成规定的营销任务,而且要求他们严格遵守企业的网络营销安全制度。特别是在当前企业人员流动频率较高的情况下,更要明确网络营销人员的责任,对违反网络交易安全规定的行为应坚决进行打击,对有关人员要进行及时的处理。3. 贯彻电子商务安全运作基本原则。这些原则包括双人负责原则,重要业务不要安排一个人单独管理,实行两人或多人相互制约的机制;任期有限原则,任何人不得长期担任与交易安全有关的职务;最小权限原则,明确规定只有网络管理员才可进行物理访问,只有网络人员才可进行软件安装工作。二、保密制度 电子商务涉及企业的市场、生产、财务、供应等多方面的机密,需要很好地划分信息的安全级别,确定安全防范重点,提出相应的保密措施。信息的安全级别一般可分为三级:(1) 绝密级。如公司经营状况报告、进/出货价格、公司的发展规划等。此部分网址、密码不在互联网络上公开,只限于公司高层人员掌握。 (2) 机密级。如公司的日常管理情况、会议通知等,此部分网址、密码不在互联网络上公开,只限于公司中层以上人员使用。(3) 秘密级。如公司简介、新产品介绍及订货方式等。此部分网址、密码在互联网络上公开,供消费者浏览,但必须有保护程序,防止黑客入侵。三、跟踪、审计、稽核制度 跟踪制度要求企业建立网络交易系统日志机制,用来记录系统运行的全过程。系统日志文件是自动生成的,内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。它对于系统的运行监督、维护分析、故障恢复,对于防止案件的发生或在发生案件后为侦破提供监督数据,都可以起到非常重要的作用。审计制度包括经常对系统日志进行检查、审核,及时发现故意入侵系统行为的记录和违反系统安全功能的记录,监控和捕捉各种安全事件,保存、维护和管理系统日志。四、网络系统的日常维护制度 1.硬件的日常管理和维护企业通过自己的 Intranet 参与电子商务活动,Intranet 的日常管理和维护变得至关重要,特别是对那些运行关键任务的企业内部网,对银行、邮电、税务等部门更是如此。但 Intranet 的日常管理和维护又是一件非常繁重的工作,因为计算机主机机型和其它网络设备多,网管人员水平参差不齐,所以管理和维护的难度可想而知。 2. 软件的日常管理和维护对于操作系统,一般需要进行以下维护工作:(1) 定期清理日志文件、临时文件。(2) 定期整理文件系统。(3) 监测服务器上的活动状态和用户注册数。(4) 处理运行中的死机情况等。 应用软件的管理和维护主要是版本控制。为了保持各客户机上应用软件版本一致,应设置一台安装服务器,当远程客户机应用软件需要更新时,就可以从网络上进行远程安装。 3.数据备份制度备份与恢复主要是指利用多种介质,如磁介质、纸介质、光碟、微缩载体等,对信息系统数据进行存储、备份和恢复。这种保护措施还包括对系统设备的备份。五、用户管理广域网上一般都有几个至十几个应用系统,每个应用系统都设置了若干角色,用户管理的任务就是增加/删除用户、增加/修改用户组号。六、病毒防范制度1. 安装防病毒软件应用于网络的防病毒软件有两种:一种是单机版防病毒产品;另一种是联机版防病毒产品。2. 认真执行病毒定期清理制度许多病毒都有一个潜伏期。有时候,虽然计算机还可以运行,但实际上已经染上了病毒。病毒定期清理制度可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好的工作状态。3. 控制权限可以将网络系统中易感染病毒文件的属性、权限加以限制,对各终端用户,规定他们具有只读权限,断绝病毒入侵的渠道,达到预防的目的。4. 高度警惕网络陷阱网络上常常会出现非常诱人的广告、免费使用的承诺,在从事网络营销时对此应保持高度的警惕。

1. 基本安全问题:从用户的角度来看:如何确定网络服务器的所有者和操作者是合法的公司呢?如何知道网页和表格不包含一些恶意或者危险的代码与内容呢?如何知道网站服务器的拥有者不会将其提供的个人信息泄露给其他人呢?从公司的角度来看:如何知道用户不会试图闯入网络服务器或者修改网站网页内容?如何知道用户不会试图干扰网站服务使得其他用户无法访问呢?2. 技术安全问题是指利用软件或系统等技术对系统或使用者利益造成损害的安全问题。3. 主要的技术安全问题有:病毒(蠕虫、木马等)、拒绝服务、网页劫持、僵尸网络、恶意广告。4. 非技术安全问题是指犯罪分子以欺骗或引诱受害者的方式时期泄露信息获进行某些可能危及网络安全的操作。主要的非技术安全问题包括:网络欺诈、交易抵赖等。5. 可懂的文本称为明文(plaintext),将明文变换成的不可懂形式的文本称为密文(ciphertext),把明文变换成密文的过程叫加密 (encipher),其逆过程即把密文变换成明文的过程叫解密(decipher)。密钥(keyword)是用于加解密的一些特殊信息,它是控制明文与密文之间变换的关键,它可以是数字、词汇或语句。6. 对称式密钥加密技术是指加密和解密均采用同一把秘密钥匙,而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。7. 对称式密钥加密技术具有加密速度快,保密度高等优点。其缺点有以下:① 密钥是保密通信安全的关键,发信方必须安全、妥善地把钥匙护送到收信方,不能泄露其内容,如何才能把密钥安全地送到收信方,是对称密钥加密技术的突出问题。可见,此方法的密钥分发过程十分复杂,所花代价高。② 多人通信时密钥的组合的数量会出现爆炸性的膨胀,使密钥分发更加复杂化,n 个人进行两两通信,总需要的密钥数为 n(n-1)/2。③ 通信双方必须统一密钥,才能发送保密的信息。如果发信者与收信人是素不相识的,这就无法向对方发送秘密信息了。8. 公开密钥加密技术要求密钥成对使用,即加密和解密分别由两个密钥来实现。每个用户都有一对选定的密钥,一个可以公开,即公共密钥,用于加密。另一个由用户安全拥有,即秘密密钥,用于解密。9. 公开密钥加密技术的优点是:①密钥少便于管理。网络中的每一用户只需保存自己的解密密钥,则 N 个用户仅需产生 N 对密钥。②密钥分配简单。加密密钥分发给用户,而解密密钥则由用户自己保管。③不需要秘密的通道和复杂的协议来传送密钥。④可以实现数字签名和数字鉴别。公开密钥加密技术的缺点是加、解密速度慢。10. 数字证书:用电子手段来证实一个用户的身份和对网络资源的访问的权限。个人证书:帮助其个人在网上进行安全交易操作。企业证书:拥有 Web 服务器的企业就可以用具有证书的万维网站点来进行安全电子交易。证书一方面可以用来向系统中的其它实体证明自己的身份,另一方面由于每份证书都携带着证书持有者的公钥。11. 数字信封技术在外层使用公开密钥加密技术,享受到公开密钥技术的灵活性,内层的对称密钥长度通常较短,使得公开密钥加密的相对低效率被限制在最低限度。12. 通过数字签名能够实现对原始报文的鉴别,保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。13. 防火墙:把内部安全网络、计算机和外部不可信的互联网分割开来的屏障。防火墙的主要用途:防护远程登录、后门接入、垃圾邮件和各种恶意软件。虚拟专用网络:使用公共互联网传输信息,通过把信息加密技术和认证技术相结合以保障信息的私密性。入侵检测系统:是设计用于检测通过网络尝试非法接入、修改或破坏计算机系统的一种软件或硬件。灾害恢复计划:目的:在发生灾难后,可以保持业务的持续运行。灾难避免:预防灾害的方法,尽可能降低灾害发生的可能性。14.电子商务安全管理制度:人才制度、保密制度、跟踪、审计、稽核制度、网络系统的日常维护制度、用户管理、病毒防范制度、应急措施。


张从飞个人博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:第八章 电子商务安全系统
喜欢 (0)
[xklkey@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址