未来电子商务信息安全问题安全问题及预防措施
点击联系发帖人
时间:2018-06-20 02:03
电子商务安全与发展前景_百度文库
您的浏览器Javascript被禁用,需开启后体验完整功能,
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
电子商务安全与发展前景
阅读已结束,下载本文需要
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,同时保存到云知识,更方便管理
加入VIP
还剩8页未读,
定制HR最喜欢的简历
你可能喜欢 上传我的文档
 下载
 收藏
该文档贡献者很忙,什么也没留下。
 下载此文档
电子商务安全问题分析-毕业论文【Word版】
下载积分:1000
内容提示:电子商务安全问题分析-毕业论文【Word版】
文档格式:DOCX|
浏览次数:185|
上传日期: 19:41:57|
文档星级:
全文阅读已结束,如果下载本文需要使用
 1000 积分
下载此文档
该用户还上传了这些文档
电子商务安全问题分析-毕业论文【Word版】
关注微信公众号已解决问题
电子商务安全威胁及防范措施有哪些?
浏览次数:7128
用手机阿里扫一扫
最满意答案
该答案已经被保护
一、NGN安全问题的引出
随着信息产业的发展,信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化,就必须重视信息网络安全,它绝不仅是IT行业问题,而是一个社会问题以及包括多学科系统安全工程问题,它直接关系到国家安全。因此,知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全问题。NGN作为下一代通信网络,是未来信息传递的主要载体。网络安全事关国家经济、政治、文化、国防,因此在NGN研究中安全将是最重要的课题之一。
1.NGN安全相关经济领域:随着我国网上银行的建设、电子商务的发展,无数财富将以比特的形式在网络上传输。
2.NGN安全相关文化领域:当前网上聊天已成为一种重要沟通手段,生存在网络中的虚拟社会已成为人们的第二生活方式,网络已成为继报刊杂志、广播和电影电视后的重要媒体。
3.NGN安全相关政府职能:当前我国正在大量建设电子政务网,也就是政府职能上网,在网上建立一个虚拟的政府,实现政府的部分职能性工作。
4.NGN安全相关国防:随着军事国防信息化的进展,信息对抗已成为战争的一部分。大量的信息都可能在网络上传输。除泄密可能外,网络安全问题还可能导致指挥系统的瘫痪。
5.NGN安全相关国家重要基础设施:大多数国家重要基础设施都依赖网络。网络瘫痪可能造成电网故障、机场封闭、铁路停运等问题,进而引发更多更严重的问题。
二、NGN面临的安全威胁
就目前通信网络现状而言,NGN可能面临如下安全威胁。
1.电磁安全:随着侦听技术的发展以及计算机处理能力的增强,电磁辐射可能引发安全问题。
2.设备安全:当前设备容量越来越大,技术越来越复杂,复杂的技术和设备更容易发生安全问题。
3.链路安全:通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时,基本都敷设并集中在铁路桥(或公路桥)上,可能出现&桥毁缆断&通信中断的严重局面。
4.通信基础设施过于集中:国内几个主要运营商在省会城市的长途通信局(站)采用综合楼方式,在发生地震火灾等突发事件时,极易产生通信大规模中断的局面。
5.信令网安全:传统电话网络的信令网曾经是一个封闭的网络,相对安全。然而随着软交换等技术的引入,信令网逐渐走向开放,增加了安全隐患。
6.同步外安全:同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GPS系统出现问题将对现有网络造成不可估量的损失。
7.网络遭受战争、自然灾害:在网络遭受战争或自然灾害时,网络节点可能会遭受毁灭性打击,导致链路大量中断。
8.网络被流量冲击:当网络受到流量冲击时,可能产生雪崩效应,网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起,也可能是受到恶意攻击。
9.终端安全:典型的多业务终端是一个计算机,与传统的专用傻终端例如电话相比,智能终端故障率以及配置难度都大大提高。
10.网络业务安全:多业务网络很少基于物理端口或者线路区分用户,因此业务被窃取时容易产生纠纷。
11.网络资源安全:多业务网络中,用户恶意或无意(感染病毒)滥用资源(例如带宽资源)会严重威胁网络正常运行。
12.通信内容安全:网络传输的内容可能被非法窃取或被非法使用。
13.有害信息扩散:传统电信网不负责信息内容是否违法。随着新业务的开展,对于有害信息通过网络扩散传播的问题应引起NGN的高度重视。
三、NGN安全问题分析
1.网络多业务影响网络安全
网络提供的多业务以及随之而来的终端智能化为网络带来了更多安全隐患。
在传统电信网络上,大多数网络捆绑单一业务:电话网提供电话业务以及部分补充业务;DDN网络提供点到点数据专线业务;帧中继网络提供数据专线以及虚拟专用网业务;同步网提供网络同步服务;信令网为电话网提供信令服务;即使是号称多媒体网络的ATM也基本用作数据专线以及虚拟专用网。大多数用户终端智能性较低并且与网络信令隔离,因此一般不会影响网络安全。
随着新业务的出现,新兴运营商已不满足于每个业务建一张网的思路:网络不但需要承载多种业务,还必须在用户使用同一个接入线路的条件下提供多种业务。为此,网络为识别统一接入线路上的多种业务,不可避免地将部分智能性转移到终端,IP网络成为承载多业务网络的重要选择。IP网络是典型的&智能终端傻网络&:网络只负责转发数据,不参与具体业务流程。IP网络的终端主要是计算机系统,因此用户设备需要参与到业务流程中。恶意用户可以使用计算机系统干扰业务流程,甚至发起黑客攻击使网络瘫痪,这样的模式严重影响了IP网络安全。由于当前分组语音的大量使用,IP网络需要与传统电话网络互通,IP网络的安全隐患进而会影响传统电话网络的安全。
2.多运营商竞争影响网络安全
多运营商竞争在开拓通信市场以及增加网络备份的同时也带来新的安全隐患。我国通信网络历经了一个从单运营商走向多运营商的过程。在原有邮电部领导中国电信建立通信网络时,网络承载单一业务,支撑网统一设计,业务普遍开展,缆线敷设统一规划,服务质量全程全网统一设计,电信业务与网络安全性基本满足当时需求。在当前多运营商竞争环境下,我国网络规模有了极大增长,适应了国民经济对通信网络的需求,但是也引入了一些对安全不利的因素:由于快速建设的压力以及缺少网络建设经验,部分运营商网络建设缺乏技术体制的总体指导,而没有技术体制指导的网络缺乏全程全网统一考虑,不利于网络安全;出于对投入成本与利润产出率的考虑,部分运营商在降价吸引客户以及快速大规模网络建设中忽略网络安全设施与投入;新兴运营商运营在建设初期缺乏长期电信运营的经验与理念,在网络安全方面缺乏重视。虽然六大运营商网络资源总量大于原中国电信,但是当前任何一个运营商都不能像原中国电信那样拥有如此丰富的资源;六大运营商网络互连互通,但是安全策略、安全管理力度以及安全设施各不相同,容易出现安全隐患;由于恶性竞争的存在,运营商互连互通时还可能造成人为的安全事故。
3.网络规模和设备容量的扩大影响网络安全
网络规模和容量的不断增加在带来效益的同时也引起设备的复杂化以及管理的复杂化,随之而来的便是为网络带来更多安全隐患。
随着国民经济的增长,通信需求不断扩大。我国电信网络已发展成全球最大固网和移动网络之一,运维如此一个巨大网络没有先例也没有参照对象,极有可能出现一些意想不到的安全问题。随着网络规模的扩大以及设备容量的扩大,设备越来越复杂,不可控因素随之增加。在一个规模空前的网络上因网管操作失误、用户恶意攻击、故障的不恰当处理等原因引起大量用户无法正常使用业务则会导致安全事故的发生。而且最新型、大容量的新设备大多是引进产品,至少使用的芯片大多数是国外产品,引进产品、芯片的安全性无法评估,因此也使通信网络安全隐患难以预测。
4.管理比技术更影响网络安全
先进的安全技术和设备会因管理不善而崩溃,完善的管理可以在一定程度上消除技术落后带来的不利因素。因此就网络安全而言,管理比技术更重要。这里所说的管理并不局限于一般所说的TNM电信网管或者互联网的简单网管,还包括管理制度、应急体系、运维规章、人员培训、密钥分发、保密制度等方方面面。
在很多情况下通过管理可以轻易解决的问题如果使用纯技术方案解决,可能需要付出十倍甚至百倍的努力和成本。例如电话网络号码资源统一分配,再大规模的程控交换机也只需要近百个局向就可以解决电话选路;而在IP地址随意分配的互联网络上,骨干路由器需要保留十万个以上的路由表条目才能保证IP包的正常选路,由此带来的协议和设备的复杂性为网络带来了极大的安全隐患。而网络完善的管理机制便可以更有效地保障网络安全。
网络内部的安全审计与对网络外部内容的过滤一样重要。内部人员的安全意识和安全管理的重要性一点也不亚于使用复杂昂贵的防火墙设备。此外任何安全技术最终都会落实到人,再安全的操作系统也会需要管理人员来实现;再复杂的安全设备也需要人来维护;[WL2]再精密的加密算法和加密机制也不能防范密钥泄漏或设置简单密码。
5.新技术新业务新运营模式影响网络安全
新技术、新业务带来新的运营模式,在建立新的价值链的同时也带来新的安全隐患。
随着IP网络的普遍应用,信息机密性、完整性和不可否认性成为网络安全的重要内容;随着分组语音业务的开展,电信运营商必须关注来自IP网络的来源追查;随着软终端的出现,运营商必须从基于端口认证与计费扩展到基于用户标识认证和计费;随着短信业务的爆炸性发展,移动运营商必须关注恶意发送以及短信诈骗;随着电子邮件业务的开展,运营商必须关注垃圾邮件;随着BBS的广泛使用以及巨大的影响力,BBS的管理与监管已迫在眉睫。因此新技术新业务和新运营模式在为运营商带来增长点的同时,也为网络带来了安全上的不确定性。
6.IP技术的使用影响网络安全
IP技术的使用一方面为产业带来新业务、新活力,另一方面为网络带来新的安全隐患。当前IP技术应用广泛,但IP并不是一个完美的网络层技术,也存在服务质量、安全、运营模式等问题,其中安全问题一直是最受关注的问题之一。IP网络的安全问题部分是因为计算机网络设计理念与电信网络设计理念有差异:计算机网络中不是问题的问题在电信网络中却成为严重问题;另一方面是因为IP网络在电信中使用缺乏运维管理的经验和手段。由于IP网络不能有效地对源地址进行检验,用户终端可以伪造源地址对网络发起流量冲击进而影响控制层面。
四、NGN安全威胁应对原则
面对上述以及未来可能出现的未知的安全威胁,首先应明确如下应对原则:
1.安全不是绝对的,安全威胁永远存在。
安全不是一种稳定的状态,永远不能认为采用了怎样的安全措施就能到达安全状态。首先,付出资源、管理代价可以增加安全性,但是无论多少代价也不能达到永远、绝对的安全。其次,安全是一个不稳定的状态,随着新技术的出现以及时间的推移,原本相对安全的措施和技术也会变得相对不安全。第三,安全技术和管理措施是有针对性、有范围的,通常只对已知或所假想的安全威胁有效。安全技术和安全管理措施不确保对未知或未预想的安全威胁生效。
2.安全应作为基础研究,需要长期努力。
NGN安全研究范围广泛,包括法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领域。因此安全研究不是一蹴而就,需要长期努力。安全投入本身不能产生直接效益,只能防止和减少因不安全因素而造成的损失。安全研究应当作为一项基础研究,由国家、运营商和相关企业长期投入,共同努力。
3.安全需要付出代价,安全要求应当适度。
NGN安全是所有人都希望的,但不是所有人都能意识到为达到一定的安全标准所需要付出的代价。为安全付出的代价可能是人力、物力、财力,也可能是降低效率。因此安全要求应当适度,为机密性付出的代价大于因泄密可能受到的损失时该安全要求便意义不大。在日常通话中能保证机密性当然理想,但是如需要增加几倍的通话费用来增加机密性(机密性通常只能增加,无法绝对确保),相信大多数用户都无法接受。
4.安全隐患有大有小,应分轻重缓急。
当前NGN上存在大量已知和未知的安全隐患。对于众多的安全隐患,应当视可能造成的危害以及需要付出的成本,分轻重缓急分别解决。一般来说可能大面积影响网络业务提供的安全隐患应当优先解决,例如影响同步网安全、网络路由协议正常运行的安全隐患等。对于不影响业务正常开展,或者只以较小可能影响少量用户同时需要资金人员较多的安全隐患例如无线接口用户数据未加密等可以稍稍延后解决。
5.安全不仅是技术问题,更重要的是管理。
绝大多数安全隐患可以通过技术手段解决,但是安全更重要的是管理。当前技术条件下任何安全技术都是需要人来参与。完善的管理机制能最大程度上防止管理人员有意或无意的增加安全隐患的行为。通常这样的管理机制是以日志和审计作后盾,以降低效率作代价。因此没有完善管理机制的网络不可能是安全的网络。此外一些通过管理可以轻易解决的问题可能需要极其复杂的技术手段才能解决。
6.安全问题有范围,不是包罗万象的。
NGN安全有自身的范围界定,并不是所有的问题都会影响NGN和信息安全。随意扩展安全研究范围,将大量与安全无关的课题归结到NGN与信息安全研究中,可能会失去重点,不利于安全研究与安全隐患的解决。例如传输网络设计指标范围内的误码与安全问题无关;同样IP网络上设计范围内的丢包率、电话网上掉线率范围内的掉线等都与NGN安全无关,用户丢失密码造成的损失也与网络安全无关。
7.网络安全不仅仅是定性的,还应当定量评估。
当前计算机系统有安全登机评估标准,可以定量评估。长期以来,通信网络主要提供话音服务,对话音自身的信息安全以及内容是否合法并不关心。因此主要采用业务可用性以及设备可靠性来体现网络安全。但是当前通信网络支撑着国家重要安全设施的正常运行,因此网络安全有必要定量评估并划分等级。不同的网络应用应当有最低安全等级要求。对所有通信都提供最高安全等级固然很好,但是为此付出几倍甚至几十倍的成本显然不是公众和运营商所期望的。
8.不同网络上关注的安全问题应当各有侧重。
传统电信网络主要提供专线型的数据传输以及点到点的话音业务。因此传统电信网主要关注的是网络自身的安全以及网络服务的安全。而互联网是为教育科研网络设计,服务可控性较差,并缺乏有效的商业模式,且其所具有的可大量传递数据信息并开展BBS以及点到多点、匿名发送等业务的特性也决定了互联网应更关注服务可控性以及网络上的信息安全。
答案创立者
以企业身份回答&
正在进行的活动
生意经不允许发广告,违者直接删除
复制问题或回答,一经发现,拉黑7天
快速解决你的电商难题
店铺优化排查提升2倍流量
擅长  店铺优化
您可能有同感的问题
扫一扫用手机阿里看生意经
问题排行榜
当前问题的答案已经被保护,只有知县(三级)以上的用户可以编辑!写下您的建议,管理员会及时与您联络!
server is ok电子商务网站安全问题研究--《经济视角(下)》2011年06期
电子商务网站安全问题研究
【摘要】:随着网络技术和计算机技术的发展,普及电子商务安全问题开始涌现,网站的安全就成为其中的重中之重。本文着重分析了电子商务网站存在的身份认证,信息的机密性、完整性等问题并给出相关的解决方案,同时展望了电子商务的未来发展趋势。
【作者单位】:
【分类号】:TP393.092
欢迎:、、)
支持CAJ、PDF文件格式,仅支持PDF格式
【参考文献】
中国期刊全文数据库
黄慧,陈闳中;[J];计算机安全;2005年09期
【共引文献】
中国期刊全文数据库
邓长春;;[J];电脑与电信;2007年03期
应根基;;[J];中国科技信息;2006年16期
中国硕士学位论文全文数据库
董广龙;[D];山东大学;2006年
【相似文献】
中国期刊全文数据库
;[J];计算机与网络;2010年Z1期
朱烜璋;;[J];网络安全技术与应用;2011年09期
张丽勇;;[J];科技致富向导;2011年27期
魏玮;;[J];科技创新导报;2011年17期
何铁流;;[J];科技促进发展(应用版);2010年10期
王茂昌;黄甜;王普彪;赖培辉;;[J];安阳师范学院学报;2011年02期
王凤利;刘兴纲;许唯玮;;[J];河北北方学院学报(自然科学版);2011年03期
红客王子;;[J];电脑爱好者;2011年09期
刘兵;;[J];电脑知识与技术;2011年18期
白兴瑞;刘耀炎;;[J];衡水学院学报;2011年04期
中国重要会议论文全文数据库
许栋彪;;[A];广西计算机学会25周年纪念会暨2011年学术年会论文集[C];2011年
杨雪;;[A];安全生产与可持续发展论文选编[C];2004年
李胜;刘娟;;[A];2011年中国气象学会气象通信与信息技术委员会暨国家气象信息中心科技年会论文摘要[C];2011年
夏钧;;[A];全国计算机网络应用年会论文集(2001)[C];2001年
杜玉梅;杜习英;刘晓云;;[A];计算机模拟与信息技术会议论文集[C];2001年
李蒙;金燕;;[A];中国气象学会2006年年会“卫星遥感技术进展及应用”分会场论文集[C];2006年
李华;;[A];2007中国环境科学学会学术年会优秀论文集(下卷)[C];2007年
徐娜;;[A];第26次全国计算机安全学术交流会论文集[C];2011年
王烁;;[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
祝凤杰;杨进;吴伟杰;;[A];2008年MIS/S&A学术交流会议论文集[C];2008年
中国重要报纸全文数据库
那罡;[N];中国计算机报;2010年
;[N];中国计算机报;2001年
张琦;[N];中国电脑教育报;2005年
那罡;[N];中国计算机报;2010年
鼎宏;[N];人民邮电;2009年
李茁?通讯员
田大勇;[N];湖南日报;2008年
宋丹;[N];人民邮电;2010年
郑昊;[N];中国计算机报;2007年
那罡;[N];中国计算机报;2008年
;[N];中国计算机报;2005年
中国博士学位论文全文数据库
綦朝晖;[D];天津大学;2006年
中国硕士学位论文全文数据库
王妮;[D];华东师范大学;2011年
刘雅静;[D];内蒙古大学;2011年
张军;[D];电子科技大学;2009年
张璐璐;[D];天津大学;2010年
赵春争;[D];北京邮电大学;2010年
李敏;[D];北京交通大学;2011年
廉勇;[D];北京邮电大学;2011年
王春英;[D];电子科技大学;2011年
黄信海;[D];郑州大学;2011年
王军有;[D];北京邮电大学;2011年
&快捷付款方式
&订购知网充值卡
400-819-9993概况/电子商务安全技术
电子商务安全技术随着Internet的发展,已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。电子商务的一个重要技术特征是利用IT技术来传输和处理。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。 计算机的网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全的保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
网络安全/电子商务安全技术
1.计算机网络的潜在安全隐患未进行操作系统相关安全配置不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。未进行CGI程序代码审计如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。拒绝服务(DoS,Denial of Service)攻击随着电子商务的兴起,对的实时性要求越来越高,或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月“”、“亚马逊”受攻击事件就证明了这一点。安全产品使用不当虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。缺少严格的网络安全管理制度网络安全最重要的还是要思想上高度重视,网站或内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。2.计算机网络安全体系一个全方位的包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
安全防范措施/电子商务安全技术
图书在实施网络安全防范措施时:首先要加强主机本身的安全,做好安全配置,及时安装安全,减少;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。
商务交易安全/电子商务安全技术
当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付/保证方案及数据保护方法、、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间,但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:窃取信息由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。篡改信息当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。假冒由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。恶意破坏由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。因此,电子商务的安全交易主要保证以下四个方面:信息保密性交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。交易者身份的确定性网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。不可否认性由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。不可修改性交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。电子商务交易中的安全措施在早期的电子交易中,曾采用过一些简易的安全措施,包括:部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。另行确认(Order Confirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。此外还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。主要的协议标准有:(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。安全套接层协议(SSL):由提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。安全交易技术协议(STT,Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。安全电子交易协议(SET,Secure Electronic Transaction) 1996年6月,由、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告,并于1997年5月底发布了SET Specification Version 1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、等。SET 2.0预计今年发布,它增加了一些附加的交易要求。这个版本是向后兼容的,因此符合SET 1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
安全技术/电子商务安全技术
电子商务安全技术考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以实施。但是,在两个贸易伙伴间进行的EC,安全服务通常是以“端到端”形式实施的(即不考虑通信网络及其节点上所实施的安全措施)。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。(1)加密技术加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。①对称加密/对称密钥加密/专用密钥加密在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有“n”个贸易关系,那么他就要维护“n”个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。数据加密标准(DES)由提出,是广泛采用的对称加密方式之一,主要应用于业中的电子资金转帐(EFT)领域。DES的密钥长度为56位。三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使其有效密钥长度达到112位。RC2和RC4方法是RSA数据安全公司的对称加密专利算法。RC2和RC4不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RC2和RC4能够提高或降低安全的程度。一些电子邮件产品(如Lotus Notes和Apple的Opn Collaboration Environment)已采用了这些算法。②非对称加密/公开密钥加密在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。RSA(即Rivest, Shamir Adleman)算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢。因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。(2)密钥管理技术①对称密钥管理对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。②公开密钥管理/数字证书贸易伙伴间可以使用数字证书(公开)来交换公开密钥。(ITU)制定的标准X.509(即信息技术--开放系统互连--目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC 标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前EC广泛采用的技术之一。微软公司的InternetExplorer 3.0和网景公司的Navigator 3.0都提供了数字证书的功能来作为身份鉴别的手段。③密钥管理相关的标准规范国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会(JTC1)已起草了关于密钥管理的国际标准规范。该规范主要由3部分组成:第1部分是密钥管理框架;第2部分是采用对称技术的机制;第3部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。(3)数字签名数字签名是的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是"信息技术安全技术带附件的数字签名方案",它由概述和基于身份的机制两部分构成。(4)Internet电子邮件的安全协议是Internet上主要的信息传输手段,也是EC应用的主要途径之一。但它并不具备很强的安全防范措施。Internet工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的规范。①PEM PEM是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。有关它的详细内容可参阅Internet工程任务组公布的RFC 1421、RFC 1422、RFC143 和RFC 1424等4个文件。PEM有可能被S/MIME和PEM-MIME规范所取代。②S/MIME S/MIME(安全的多功能Internet电子邮件扩充)是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。MIME是正式的Internet电子邮件扩充标准格式,但它未提供任何的安全服务功能。S/MIME的目的是在MIME上定义安全服务措施的实施方式。S/MIME已成为产界业广泛认可的协议,如微软公司、Netscape公司、Novll公司、Lotus公司等都支持该协议。③PEM-MIME(MOSS) MOSS(MIME对象安全服务)是将PEM和MIME两者的特性进行了结合。(5)Internet主要的安全协议①SSL SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Intrnet网络产品的公司已在使用该协议。此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。该协议只是对SSL进行少量的改进。②S-HTTP S-HTTP(安全的超文本传输协议)是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。目前,该协议正由Internet工程任务组起草RFC草案。(6)UN/的安全EDI是EC最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。联合国下属的专门从事UN/EDIFACT标准研制的组织--UN/ECE/WP4(即贸易简化工作组)于1990年成立了安全联合工作组(UN-SJWG),来负责研究UN/EDIFACT标准中实施安全的措施。该工作组的工作成果将以ISO的标准形式公布。在ISO将要发布的ISO9735(即UN/EDIFACT语法规则)新版本中包括了描述UN/EDIFACT中实施安全措施的5个新部分。它们分别是:第5部分--批式EDI(可靠性、完整性和不可抵赖性)的安全规则;第6部分--安全鉴别和确认报文(AUTACK);第7部分--批式EDI(机密性)的安全规则;第9部分--安全密钥和证书管理报告(KEYMAN);第10部分--交互式EDI的安全规则。UN/EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性;而分离式途径则是通过发送3种特殊的UN/EDIFACT报文(即AU TCK、KEYMAN和CIPHER来达到保障安全的目的。(7)安全电子交易规范(SET)SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET1.0版已经公布并可应用于任何银行支付服务。
&|&相关影像
互动百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将按照法律之相关规定及时进行处理。未经许可,禁止商业网站等复制、抓取本站内容;合理使用者,请注明来源于www.baike.com。
登录后使用互动百科的服务,将会得到个性化的提示和帮助,还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数:16次
参与编辑人数:9位
最近更新时间: 14:47:41
扫码免费获得此书, 新用户手机专享特权。
贡献光荣榜
猜你想了解
扫码下载APP}
您的浏览器Javascript被禁用,需开启后体验完整功能,
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
电子商务安全与发展前景
阅读已结束,下载本文需要
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,同时保存到云知识,更方便管理
加入VIP
还剩8页未读,
定制HR最喜欢的简历
你可能喜欢 上传我的文档
 下载
 收藏
该文档贡献者很忙,什么也没留下。
 下载此文档
电子商务安全问题分析-毕业论文【Word版】
下载积分:1000
内容提示:电子商务安全问题分析-毕业论文【Word版】
文档格式:DOCX|
浏览次数:185|
上传日期: 19:41:57|
文档星级:
全文阅读已结束,如果下载本文需要使用
 1000 积分
下载此文档
该用户还上传了这些文档
电子商务安全问题分析-毕业论文【Word版】
关注微信公众号已解决问题
电子商务安全威胁及防范措施有哪些?
浏览次数:7128
用手机阿里扫一扫
最满意答案
该答案已经被保护
一、NGN安全问题的引出
随着信息产业的发展,信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化,就必须重视信息网络安全,它绝不仅是IT行业问题,而是一个社会问题以及包括多学科系统安全工程问题,它直接关系到国家安全。因此,知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全问题。NGN作为下一代通信网络,是未来信息传递的主要载体。网络安全事关国家经济、政治、文化、国防,因此在NGN研究中安全将是最重要的课题之一。
1.NGN安全相关经济领域:随着我国网上银行的建设、电子商务的发展,无数财富将以比特的形式在网络上传输。
2.NGN安全相关文化领域:当前网上聊天已成为一种重要沟通手段,生存在网络中的虚拟社会已成为人们的第二生活方式,网络已成为继报刊杂志、广播和电影电视后的重要媒体。
3.NGN安全相关政府职能:当前我国正在大量建设电子政务网,也就是政府职能上网,在网上建立一个虚拟的政府,实现政府的部分职能性工作。
4.NGN安全相关国防:随着军事国防信息化的进展,信息对抗已成为战争的一部分。大量的信息都可能在网络上传输。除泄密可能外,网络安全问题还可能导致指挥系统的瘫痪。
5.NGN安全相关国家重要基础设施:大多数国家重要基础设施都依赖网络。网络瘫痪可能造成电网故障、机场封闭、铁路停运等问题,进而引发更多更严重的问题。
二、NGN面临的安全威胁
就目前通信网络现状而言,NGN可能面临如下安全威胁。
1.电磁安全:随着侦听技术的发展以及计算机处理能力的增强,电磁辐射可能引发安全问题。
2.设备安全:当前设备容量越来越大,技术越来越复杂,复杂的技术和设备更容易发生安全问题。
3.链路安全:通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时,基本都敷设并集中在铁路桥(或公路桥)上,可能出现&桥毁缆断&通信中断的严重局面。
4.通信基础设施过于集中:国内几个主要运营商在省会城市的长途通信局(站)采用综合楼方式,在发生地震火灾等突发事件时,极易产生通信大规模中断的局面。
5.信令网安全:传统电话网络的信令网曾经是一个封闭的网络,相对安全。然而随着软交换等技术的引入,信令网逐渐走向开放,增加了安全隐患。
6.同步外安全:同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GPS系统出现问题将对现有网络造成不可估量的损失。
7.网络遭受战争、自然灾害:在网络遭受战争或自然灾害时,网络节点可能会遭受毁灭性打击,导致链路大量中断。
8.网络被流量冲击:当网络受到流量冲击时,可能产生雪崩效应,网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起,也可能是受到恶意攻击。
9.终端安全:典型的多业务终端是一个计算机,与传统的专用傻终端例如电话相比,智能终端故障率以及配置难度都大大提高。
10.网络业务安全:多业务网络很少基于物理端口或者线路区分用户,因此业务被窃取时容易产生纠纷。
11.网络资源安全:多业务网络中,用户恶意或无意(感染病毒)滥用资源(例如带宽资源)会严重威胁网络正常运行。
12.通信内容安全:网络传输的内容可能被非法窃取或被非法使用。
13.有害信息扩散:传统电信网不负责信息内容是否违法。随着新业务的开展,对于有害信息通过网络扩散传播的问题应引起NGN的高度重视。
三、NGN安全问题分析
1.网络多业务影响网络安全
网络提供的多业务以及随之而来的终端智能化为网络带来了更多安全隐患。
在传统电信网络上,大多数网络捆绑单一业务:电话网提供电话业务以及部分补充业务;DDN网络提供点到点数据专线业务;帧中继网络提供数据专线以及虚拟专用网业务;同步网提供网络同步服务;信令网为电话网提供信令服务;即使是号称多媒体网络的ATM也基本用作数据专线以及虚拟专用网。大多数用户终端智能性较低并且与网络信令隔离,因此一般不会影响网络安全。
随着新业务的出现,新兴运营商已不满足于每个业务建一张网的思路:网络不但需要承载多种业务,还必须在用户使用同一个接入线路的条件下提供多种业务。为此,网络为识别统一接入线路上的多种业务,不可避免地将部分智能性转移到终端,IP网络成为承载多业务网络的重要选择。IP网络是典型的&智能终端傻网络&:网络只负责转发数据,不参与具体业务流程。IP网络的终端主要是计算机系统,因此用户设备需要参与到业务流程中。恶意用户可以使用计算机系统干扰业务流程,甚至发起黑客攻击使网络瘫痪,这样的模式严重影响了IP网络安全。由于当前分组语音的大量使用,IP网络需要与传统电话网络互通,IP网络的安全隐患进而会影响传统电话网络的安全。
2.多运营商竞争影响网络安全
多运营商竞争在开拓通信市场以及增加网络备份的同时也带来新的安全隐患。我国通信网络历经了一个从单运营商走向多运营商的过程。在原有邮电部领导中国电信建立通信网络时,网络承载单一业务,支撑网统一设计,业务普遍开展,缆线敷设统一规划,服务质量全程全网统一设计,电信业务与网络安全性基本满足当时需求。在当前多运营商竞争环境下,我国网络规模有了极大增长,适应了国民经济对通信网络的需求,但是也引入了一些对安全不利的因素:由于快速建设的压力以及缺少网络建设经验,部分运营商网络建设缺乏技术体制的总体指导,而没有技术体制指导的网络缺乏全程全网统一考虑,不利于网络安全;出于对投入成本与利润产出率的考虑,部分运营商在降价吸引客户以及快速大规模网络建设中忽略网络安全设施与投入;新兴运营商运营在建设初期缺乏长期电信运营的经验与理念,在网络安全方面缺乏重视。虽然六大运营商网络资源总量大于原中国电信,但是当前任何一个运营商都不能像原中国电信那样拥有如此丰富的资源;六大运营商网络互连互通,但是安全策略、安全管理力度以及安全设施各不相同,容易出现安全隐患;由于恶性竞争的存在,运营商互连互通时还可能造成人为的安全事故。
3.网络规模和设备容量的扩大影响网络安全
网络规模和容量的不断增加在带来效益的同时也引起设备的复杂化以及管理的复杂化,随之而来的便是为网络带来更多安全隐患。
随着国民经济的增长,通信需求不断扩大。我国电信网络已发展成全球最大固网和移动网络之一,运维如此一个巨大网络没有先例也没有参照对象,极有可能出现一些意想不到的安全问题。随着网络规模的扩大以及设备容量的扩大,设备越来越复杂,不可控因素随之增加。在一个规模空前的网络上因网管操作失误、用户恶意攻击、故障的不恰当处理等原因引起大量用户无法正常使用业务则会导致安全事故的发生。而且最新型、大容量的新设备大多是引进产品,至少使用的芯片大多数是国外产品,引进产品、芯片的安全性无法评估,因此也使通信网络安全隐患难以预测。
4.管理比技术更影响网络安全
先进的安全技术和设备会因管理不善而崩溃,完善的管理可以在一定程度上消除技术落后带来的不利因素。因此就网络安全而言,管理比技术更重要。这里所说的管理并不局限于一般所说的TNM电信网管或者互联网的简单网管,还包括管理制度、应急体系、运维规章、人员培训、密钥分发、保密制度等方方面面。
在很多情况下通过管理可以轻易解决的问题如果使用纯技术方案解决,可能需要付出十倍甚至百倍的努力和成本。例如电话网络号码资源统一分配,再大规模的程控交换机也只需要近百个局向就可以解决电话选路;而在IP地址随意分配的互联网络上,骨干路由器需要保留十万个以上的路由表条目才能保证IP包的正常选路,由此带来的协议和设备的复杂性为网络带来了极大的安全隐患。而网络完善的管理机制便可以更有效地保障网络安全。
网络内部的安全审计与对网络外部内容的过滤一样重要。内部人员的安全意识和安全管理的重要性一点也不亚于使用复杂昂贵的防火墙设备。此外任何安全技术最终都会落实到人,再安全的操作系统也会需要管理人员来实现;再复杂的安全设备也需要人来维护;[WL2]再精密的加密算法和加密机制也不能防范密钥泄漏或设置简单密码。
5.新技术新业务新运营模式影响网络安全
新技术、新业务带来新的运营模式,在建立新的价值链的同时也带来新的安全隐患。
随着IP网络的普遍应用,信息机密性、完整性和不可否认性成为网络安全的重要内容;随着分组语音业务的开展,电信运营商必须关注来自IP网络的来源追查;随着软终端的出现,运营商必须从基于端口认证与计费扩展到基于用户标识认证和计费;随着短信业务的爆炸性发展,移动运营商必须关注恶意发送以及短信诈骗;随着电子邮件业务的开展,运营商必须关注垃圾邮件;随着BBS的广泛使用以及巨大的影响力,BBS的管理与监管已迫在眉睫。因此新技术新业务和新运营模式在为运营商带来增长点的同时,也为网络带来了安全上的不确定性。
6.IP技术的使用影响网络安全
IP技术的使用一方面为产业带来新业务、新活力,另一方面为网络带来新的安全隐患。当前IP技术应用广泛,但IP并不是一个完美的网络层技术,也存在服务质量、安全、运营模式等问题,其中安全问题一直是最受关注的问题之一。IP网络的安全问题部分是因为计算机网络设计理念与电信网络设计理念有差异:计算机网络中不是问题的问题在电信网络中却成为严重问题;另一方面是因为IP网络在电信中使用缺乏运维管理的经验和手段。由于IP网络不能有效地对源地址进行检验,用户终端可以伪造源地址对网络发起流量冲击进而影响控制层面。
四、NGN安全威胁应对原则
面对上述以及未来可能出现的未知的安全威胁,首先应明确如下应对原则:
1.安全不是绝对的,安全威胁永远存在。
安全不是一种稳定的状态,永远不能认为采用了怎样的安全措施就能到达安全状态。首先,付出资源、管理代价可以增加安全性,但是无论多少代价也不能达到永远、绝对的安全。其次,安全是一个不稳定的状态,随着新技术的出现以及时间的推移,原本相对安全的措施和技术也会变得相对不安全。第三,安全技术和管理措施是有针对性、有范围的,通常只对已知或所假想的安全威胁有效。安全技术和安全管理措施不确保对未知或未预想的安全威胁生效。
2.安全应作为基础研究,需要长期努力。
NGN安全研究范围广泛,包括法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领域。因此安全研究不是一蹴而就,需要长期努力。安全投入本身不能产生直接效益,只能防止和减少因不安全因素而造成的损失。安全研究应当作为一项基础研究,由国家、运营商和相关企业长期投入,共同努力。
3.安全需要付出代价,安全要求应当适度。
NGN安全是所有人都希望的,但不是所有人都能意识到为达到一定的安全标准所需要付出的代价。为安全付出的代价可能是人力、物力、财力,也可能是降低效率。因此安全要求应当适度,为机密性付出的代价大于因泄密可能受到的损失时该安全要求便意义不大。在日常通话中能保证机密性当然理想,但是如需要增加几倍的通话费用来增加机密性(机密性通常只能增加,无法绝对确保),相信大多数用户都无法接受。
4.安全隐患有大有小,应分轻重缓急。
当前NGN上存在大量已知和未知的安全隐患。对于众多的安全隐患,应当视可能造成的危害以及需要付出的成本,分轻重缓急分别解决。一般来说可能大面积影响网络业务提供的安全隐患应当优先解决,例如影响同步网安全、网络路由协议正常运行的安全隐患等。对于不影响业务正常开展,或者只以较小可能影响少量用户同时需要资金人员较多的安全隐患例如无线接口用户数据未加密等可以稍稍延后解决。
5.安全不仅是技术问题,更重要的是管理。
绝大多数安全隐患可以通过技术手段解决,但是安全更重要的是管理。当前技术条件下任何安全技术都是需要人来参与。完善的管理机制能最大程度上防止管理人员有意或无意的增加安全隐患的行为。通常这样的管理机制是以日志和审计作后盾,以降低效率作代价。因此没有完善管理机制的网络不可能是安全的网络。此外一些通过管理可以轻易解决的问题可能需要极其复杂的技术手段才能解决。
6.安全问题有范围,不是包罗万象的。
NGN安全有自身的范围界定,并不是所有的问题都会影响NGN和信息安全。随意扩展安全研究范围,将大量与安全无关的课题归结到NGN与信息安全研究中,可能会失去重点,不利于安全研究与安全隐患的解决。例如传输网络设计指标范围内的误码与安全问题无关;同样IP网络上设计范围内的丢包率、电话网上掉线率范围内的掉线等都与NGN安全无关,用户丢失密码造成的损失也与网络安全无关。
7.网络安全不仅仅是定性的,还应当定量评估。
当前计算机系统有安全登机评估标准,可以定量评估。长期以来,通信网络主要提供话音服务,对话音自身的信息安全以及内容是否合法并不关心。因此主要采用业务可用性以及设备可靠性来体现网络安全。但是当前通信网络支撑着国家重要安全设施的正常运行,因此网络安全有必要定量评估并划分等级。不同的网络应用应当有最低安全等级要求。对所有通信都提供最高安全等级固然很好,但是为此付出几倍甚至几十倍的成本显然不是公众和运营商所期望的。
8.不同网络上关注的安全问题应当各有侧重。
传统电信网络主要提供专线型的数据传输以及点到点的话音业务。因此传统电信网主要关注的是网络自身的安全以及网络服务的安全。而互联网是为教育科研网络设计,服务可控性较差,并缺乏有效的商业模式,且其所具有的可大量传递数据信息并开展BBS以及点到多点、匿名发送等业务的特性也决定了互联网应更关注服务可控性以及网络上的信息安全。
答案创立者
以企业身份回答&
正在进行的活动
生意经不允许发广告,违者直接删除
复制问题或回答,一经发现,拉黑7天
快速解决你的电商难题
店铺优化排查提升2倍流量
擅长  店铺优化
您可能有同感的问题
扫一扫用手机阿里看生意经
问题排行榜
当前问题的答案已经被保护,只有知县(三级)以上的用户可以编辑!写下您的建议,管理员会及时与您联络!
server is ok电子商务网站安全问题研究--《经济视角(下)》2011年06期
电子商务网站安全问题研究
【摘要】:随着网络技术和计算机技术的发展,普及电子商务安全问题开始涌现,网站的安全就成为其中的重中之重。本文着重分析了电子商务网站存在的身份认证,信息的机密性、完整性等问题并给出相关的解决方案,同时展望了电子商务的未来发展趋势。
【作者单位】:
【分类号】:TP393.092
欢迎:、、)
支持CAJ、PDF文件格式,仅支持PDF格式
【参考文献】
中国期刊全文数据库
黄慧,陈闳中;[J];计算机安全;2005年09期
【共引文献】
中国期刊全文数据库
邓长春;;[J];电脑与电信;2007年03期
应根基;;[J];中国科技信息;2006年16期
中国硕士学位论文全文数据库
董广龙;[D];山东大学;2006年
【相似文献】
中国期刊全文数据库
;[J];计算机与网络;2010年Z1期
朱烜璋;;[J];网络安全技术与应用;2011年09期
张丽勇;;[J];科技致富向导;2011年27期
魏玮;;[J];科技创新导报;2011年17期
何铁流;;[J];科技促进发展(应用版);2010年10期
王茂昌;黄甜;王普彪;赖培辉;;[J];安阳师范学院学报;2011年02期
王凤利;刘兴纲;许唯玮;;[J];河北北方学院学报(自然科学版);2011年03期
红客王子;;[J];电脑爱好者;2011年09期
刘兵;;[J];电脑知识与技术;2011年18期
白兴瑞;刘耀炎;;[J];衡水学院学报;2011年04期
中国重要会议论文全文数据库
许栋彪;;[A];广西计算机学会25周年纪念会暨2011年学术年会论文集[C];2011年
杨雪;;[A];安全生产与可持续发展论文选编[C];2004年
李胜;刘娟;;[A];2011年中国气象学会气象通信与信息技术委员会暨国家气象信息中心科技年会论文摘要[C];2011年
夏钧;;[A];全国计算机网络应用年会论文集(2001)[C];2001年
杜玉梅;杜习英;刘晓云;;[A];计算机模拟与信息技术会议论文集[C];2001年
李蒙;金燕;;[A];中国气象学会2006年年会“卫星遥感技术进展及应用”分会场论文集[C];2006年
李华;;[A];2007中国环境科学学会学术年会优秀论文集(下卷)[C];2007年
徐娜;;[A];第26次全国计算机安全学术交流会论文集[C];2011年
王烁;;[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
祝凤杰;杨进;吴伟杰;;[A];2008年MIS/S&A学术交流会议论文集[C];2008年
中国重要报纸全文数据库
那罡;[N];中国计算机报;2010年
;[N];中国计算机报;2001年
张琦;[N];中国电脑教育报;2005年
那罡;[N];中国计算机报;2010年
鼎宏;[N];人民邮电;2009年
李茁?通讯员
田大勇;[N];湖南日报;2008年
宋丹;[N];人民邮电;2010年
郑昊;[N];中国计算机报;2007年
那罡;[N];中国计算机报;2008年
;[N];中国计算机报;2005年
中国博士学位论文全文数据库
綦朝晖;[D];天津大学;2006年
中国硕士学位论文全文数据库
王妮;[D];华东师范大学;2011年
刘雅静;[D];内蒙古大学;2011年
张军;[D];电子科技大学;2009年
张璐璐;[D];天津大学;2010年
赵春争;[D];北京邮电大学;2010年
李敏;[D];北京交通大学;2011年
廉勇;[D];北京邮电大学;2011年
王春英;[D];电子科技大学;2011年
黄信海;[D];郑州大学;2011年
王军有;[D];北京邮电大学;2011年
&快捷付款方式
&订购知网充值卡
400-819-9993概况/电子商务安全技术
电子商务安全技术随着Internet的发展,已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。电子商务的一个重要技术特征是利用IT技术来传输和处理。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。 计算机的网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全的保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
网络安全/电子商务安全技术
1.计算机网络的潜在安全隐患未进行操作系统相关安全配置不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。未进行CGI程序代码审计如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。拒绝服务(DoS,Denial of Service)攻击随着电子商务的兴起,对的实时性要求越来越高,或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月“”、“亚马逊”受攻击事件就证明了这一点。安全产品使用不当虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。缺少严格的网络安全管理制度网络安全最重要的还是要思想上高度重视,网站或内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。2.计算机网络安全体系一个全方位的包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
安全防范措施/电子商务安全技术
图书在实施网络安全防范措施时:首先要加强主机本身的安全,做好安全配置,及时安装安全,减少;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。
商务交易安全/电子商务安全技术
当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付/保证方案及数据保护方法、、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间,但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:窃取信息由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。篡改信息当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。假冒由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。恶意破坏由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。因此,电子商务的安全交易主要保证以下四个方面:信息保密性交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。交易者身份的确定性网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。不可否认性由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。不可修改性交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。电子商务交易中的安全措施在早期的电子交易中,曾采用过一些简易的安全措施,包括:部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。另行确认(Order Confirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。此外还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。主要的协议标准有:(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。安全套接层协议(SSL):由提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。安全交易技术协议(STT,Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。安全电子交易协议(SET,Secure Electronic Transaction) 1996年6月,由、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告,并于1997年5月底发布了SET Specification Version 1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、等。SET 2.0预计今年发布,它增加了一些附加的交易要求。这个版本是向后兼容的,因此符合SET 1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
安全技术/电子商务安全技术
电子商务安全技术考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以实施。但是,在两个贸易伙伴间进行的EC,安全服务通常是以“端到端”形式实施的(即不考虑通信网络及其节点上所实施的安全措施)。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。(1)加密技术加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。①对称加密/对称密钥加密/专用密钥加密在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有“n”个贸易关系,那么他就要维护“n”个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。数据加密标准(DES)由提出,是广泛采用的对称加密方式之一,主要应用于业中的电子资金转帐(EFT)领域。DES的密钥长度为56位。三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使其有效密钥长度达到112位。RC2和RC4方法是RSA数据安全公司的对称加密专利算法。RC2和RC4不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RC2和RC4能够提高或降低安全的程度。一些电子邮件产品(如Lotus Notes和Apple的Opn Collaboration Environment)已采用了这些算法。②非对称加密/公开密钥加密在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。RSA(即Rivest, Shamir Adleman)算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢。因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。(2)密钥管理技术①对称密钥管理对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。②公开密钥管理/数字证书贸易伙伴间可以使用数字证书(公开)来交换公开密钥。(ITU)制定的标准X.509(即信息技术--开放系统互连--目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC 标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前EC广泛采用的技术之一。微软公司的InternetExplorer 3.0和网景公司的Navigator 3.0都提供了数字证书的功能来作为身份鉴别的手段。③密钥管理相关的标准规范国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会(JTC1)已起草了关于密钥管理的国际标准规范。该规范主要由3部分组成:第1部分是密钥管理框架;第2部分是采用对称技术的机制;第3部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。(3)数字签名数字签名是的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是"信息技术安全技术带附件的数字签名方案",它由概述和基于身份的机制两部分构成。(4)Internet电子邮件的安全协议是Internet上主要的信息传输手段,也是EC应用的主要途径之一。但它并不具备很强的安全防范措施。Internet工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的规范。①PEM PEM是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。有关它的详细内容可参阅Internet工程任务组公布的RFC 1421、RFC 1422、RFC143 和RFC 1424等4个文件。PEM有可能被S/MIME和PEM-MIME规范所取代。②S/MIME S/MIME(安全的多功能Internet电子邮件扩充)是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。MIME是正式的Internet电子邮件扩充标准格式,但它未提供任何的安全服务功能。S/MIME的目的是在MIME上定义安全服务措施的实施方式。S/MIME已成为产界业广泛认可的协议,如微软公司、Netscape公司、Novll公司、Lotus公司等都支持该协议。③PEM-MIME(MOSS) MOSS(MIME对象安全服务)是将PEM和MIME两者的特性进行了结合。(5)Internet主要的安全协议①SSL SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Intrnet网络产品的公司已在使用该协议。此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。该协议只是对SSL进行少量的改进。②S-HTTP S-HTTP(安全的超文本传输协议)是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。目前,该协议正由Internet工程任务组起草RFC草案。(6)UN/的安全EDI是EC最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。联合国下属的专门从事UN/EDIFACT标准研制的组织--UN/ECE/WP4(即贸易简化工作组)于1990年成立了安全联合工作组(UN-SJWG),来负责研究UN/EDIFACT标准中实施安全的措施。该工作组的工作成果将以ISO的标准形式公布。在ISO将要发布的ISO9735(即UN/EDIFACT语法规则)新版本中包括了描述UN/EDIFACT中实施安全措施的5个新部分。它们分别是:第5部分--批式EDI(可靠性、完整性和不可抵赖性)的安全规则;第6部分--安全鉴别和确认报文(AUTACK);第7部分--批式EDI(机密性)的安全规则;第9部分--安全密钥和证书管理报告(KEYMAN);第10部分--交互式EDI的安全规则。UN/EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性;而分离式途径则是通过发送3种特殊的UN/EDIFACT报文(即AU TCK、KEYMAN和CIPHER来达到保障安全的目的。(7)安全电子交易规范(SET)SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET1.0版已经公布并可应用于任何银行支付服务。
&|&相关影像
互动百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将按照法律之相关规定及时进行处理。未经许可,禁止商业网站等复制、抓取本站内容;合理使用者,请注明来源于www.baike.com。
登录后使用互动百科的服务,将会得到个性化的提示和帮助,还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数:16次
参与编辑人数:9位
最近更新时间: 14:47:41
扫码免费获得此书, 新用户手机专享特权。
贡献光荣榜
猜你想了解
扫码下载APP}
我要回帖
更多关于 电子商务安全问题案例 的文章
更多推荐
- ·穆罕默德-班巴·扎比亚个人简介
- ·美术集训是什么样的过程一般什么时间开始?
- ·建筑受拉钢筋搭接长度度规范是多少?
- ·我的阿勒泰定居怎么样经典语录,高质量情感短句分享
- ·海军白色军装军服为什么没有用大海的蓝色而是采用白色?
- ·懒人听书的《斗破苍穹听书大灰狼》大灰狼 讲的824 以后的mp3
- ·DX7 prime95跟老款DX7对比增加了什么配置?
- ·这些最高配置的电脑多少钱得花多少钱
- ·别人都说小米超神哪个英雄最强手机很好称得上是全国最强旗舰机,但到手机店里别人都说vivo比小米超神哪个英雄最强强所以我买的vivo
- ·为什么我微博钱包提现不了总说密码错误,改完了还说错误?
- ·GLFore的声学环境噪声测量方法照相机对于使用环境要求高吗?
- ·三星s8微信消息悬浮才入手回复朋友微信发消息不显示
- ·重庆南坪什么地方可以换助听器电池什么牌子好的?
- ·真实评测格力海尔空调质量比较空调和美的空调哪个质量好
- ·请问有DBJT04-35-2012 12系列国家建筑标准图集下载
- ·华为公司发展史Mate系列发展史:高端品牌力是怎样炼成的
- ·京师企服靠谱吗的一站式服务都分为哪些板块?提供的信息会泄露吗?
- ·股市1.5倍中国股市涨停板制度是什么意思?
- ·宁波海达注塑机机怎样从上位机或下位机取生产数据
- ·未来电子商务信息安全问题安全问题及预防措施
- ·如何选择正规的正规股票配资资平台,慧投金融正规股票配资资算是么?
- ·求求各位说交199帮忙办理贷款贷三万块钱给我,急用
- ·融易贷这个软件怎么样,先付融资租赁服务费入账的是不是骗子
- ·请问昂轻官网是哪里的产品,好不好?
- ·修美堂事业部是修正新药医疗事业部公司吗?它俩有什么关系?
- ·车后备箱凹进去加后保险杠全喷漆要多少钱
- ·沈阳奶茶培训哪家店教奶茶
- ·想到海外投资房产,有什么好的房地产投资机构构吗?
- ·怎么方舟生存进化畸变建家还有建家
- ·LP的比特币总发行量量多少?如何分配?
- ·房产证上标的空地上的奶牛没说多少
- ·芙蓉王专供出口真假出口专供哪里出品
- ·请问你投资过中南信达金融app吗?我投资了半年的还没到期,投资了三个平台,有两个已经跑路了就剩中南信达金融app了,怕
- ·天津做特色文化小镇被叫停小镇前景如何?
