Ⅰ 請舉例談談對電子商務安全三個方面的理解和認識
從定義上講,電子商務是在互聯網、企業內部網和增值網上以電子交易方式進行交易活動和相關服務活動,是傳統商業活動各環節的電子化、網路化。
從客觀上講,電子商務是在技術、經濟高度發達的現代社會里,由掌握現代信息技術與商務理論及實務活動規則的人,系統化的運用網路手段和使用各類電子工具,高效率、低成本、安全、方便地從事以泛商品交換為中心的各種經濟事務活動。
從應用上講,電子商務是電子工具在商務活動中的應用。這些工具無論是初級的還是高級的,均涵蓋在其中,如電話、電報、Internet等。而商務活動是從泛商品的需求活動到泛商品的合理、合法的消費除去典型的生產過程後的所有活動。
從問題上講,電子商務通過互聯網等媒介,傳遞商品交易信息,以促成交易的一種商業形態。要完成整個電子商務過程,需要解決三個問題:信息流、資金流、物流。
(1)電子商務安全和網路安全擴展閱讀
一、安全法則:
《電子商務法》中第三十八條規定:電子商務平台經營者知道或者應當知道平台內經營者銷售的商品或者提供的服務不符合保障人身、財產安全的要求,或者有其他侵害消費者合法權益行為,未採取必要措施的,依法與該平台內經營者承擔連帶責任。
二、違規罰款:
《電子商務法》中規定:電商平台經營者對平台內經營者侵害消費者合法權益行為未採取必要措施,或者對平台內經營者未盡到資質資格審核義務,對消費者未盡到安全保障義務的。
由市場監督管理部門責令限期改正,可以處五萬元以上五十萬元以下的罰款;情節嚴重的,責令停業整頓,並處五十萬元以上二百萬元以下的罰款。
Ⅱ 電子商務安全威脅及防範措施分別是什麼
1、未進行操作系統相關安全配置
不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。
2、未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
3、拒絕服務(DoS,DenialofService)攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。
4、安全產品使用不當
雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
5、缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
6、竊取信息
由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
7、篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
8、假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
9、惡意破壞
由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。
安全對策
1、保護網路安全。
保護網路安全的主要措施如下:全面規劃網路平台的安全策略,制定網路安全的管理措施,使用防火牆,盡可能記錄網路上的一切活動,注意對網路設備的物理保護,檢驗網路平台系統的脆弱性,建立可靠的識別和鑒別機制。
2、保護應用安全。
應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
3、保護系統安全。
在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
4、加密技術
加密技術為電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
5、認證技術。
用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。包括數字簽名、數字證書。
6、電子商務的安全協議。
電子商務的運行還有一套完整的安全協議,有SET、SSL等。
(2)電子商務安全和網路安全擴展閱讀
從電子商務的含義及發展歷程可以看出電子商務具有如下基本特徵:
1、普遍性。電子商務作為一種新型的交易方式,將生產企業、流通企業以及消費者和政府帶入了一個網路經濟、數字化生存的新天地。
2、方便性。在電子商務環境中,人們不再受地域的限制,客戶能以非常簡捷的方式完成過去較為繁雜的商業活動。如通過網路銀行能夠全天候地存取賬戶資金、查詢信息等,同時使企業對客戶的服務質量得以大大提高。在電子商務商業活動中,有大量的人脈資源開發和溝通,從業時間靈活,完成公司要求,有錢有閑。
3、整體性。電子商務能夠規范事務處理的工作流程,將人工操作和電子信息處理集成為一個不可分割的整體,這樣不僅能提高人力和物力的利用率,也可以提高系統運行的嚴密性。
4、安全性。在電子商務中,安全性為一個至關重要的核心問題,它要求網路能提供一種端到端的安全解決方案,如加密機制、簽名機制、安全管理、存取控制、防火牆、防病毒保護等等,這與傳統的商務活動有著很大的不同。
5、協調性。商業活動本身為一種協調過程,它需要客戶與公司內部、生產商、批發商、零售商間的協調。在電子商務環境中,它更要求銀行、配送中心、通信部門、技術服務等多個部門的通力協作,電子商務的全過程往往是一氣呵成的。
Ⅲ 電子商務安全與網路安全的區別
當然有區別
一個是搞信息安全,專攻網路安全和信息化安全的方向,范圍比較大
一個是從事電子商務網上交易的時候的安全保障問題,范圍比較局限
Ⅳ 電子商務安全包括哪些方面
電子商務安全要求包括四個方面:
(1)數據傳輸的安全性。對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。對數據的安全性保護是通過採用數據加密(包括秘密密鑰加密和公開密鑰加密)來實現的,數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。
(2)數據的完整性。對數據的完整性需求是指數據在傳輸過程中不被篡改。數據的完整性是通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。
(3)身份驗證。由於網上的通信雙方互不見面,必須在交易時(交換敏感信息時)確認對方等真實身份;在涉及到支付時,還需要確認對方的賬戶信息是否真實有效。身份認證是採用口令字技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。
(4)交易的不可抵賴。網上交易的各方在進行數據傳輸時,必須帶有自身特有的、無法被別人復制的信息,以保證交易發生糾紛時有所對證。這是通過數字簽名技術和數字證書技術來實現的。
電子商務系統安全系統結構包括以下部分:
(1)基本加密演算法;
(2)以基本加密演算法為基礎的CA體系以及數字信封、數字簽名等基本安全技術;
(3)以基本加密演算法、安全技術、CA體系為基礎的各種安全應用協議。
以上部分構成了電子商務的安全體系,在此安全體系之上建立電子商務的支付體系和各種業務應用系統。有關基本加密演算法、數字信封、數字簽名以及各種安全協議的實現應符合相關標準的規定。
CA認證體系通常以各種基本加密演算法為基礎,同時採用各種基本安全技術,為上層的安全應用協議提供證書認證功能。
Ⅳ 電子商務安全定義概念是什麼
電子商務安全定義:由於電子商務是在開放的網上進行的貿易,大量的商務信息計算機上存放,傳輸,從而形成信息傳輸風險 ,交易信用風險,管理方面的風險,法律方面的風險等各種風險,為了對付這種風險,從而形成了電子商務安全體系。
電子商務安全要求包括四個方面:
1、數據傳輸的安全性。對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。對數據的安全性保護是通過採用數據加密(包括秘密密鑰加密和公開密鑰加密)來實現的,數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。
2、數據的完整性。對數據的完整性需求是指數據在傳輸過程中不被篡改。數據的完整性是通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。
3、身份驗證。由於網上的通信雙方互不見面,必須在交易時(交換敏感信息時)確認對方等真實身份;在涉及到支付時,還需要確認對方的賬戶信息是否真實有效。身份認證是採用口令字技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。
4、交易的不可抵賴。網上交易的各方在進行數據傳輸時,必須帶有自身特有的、無法被別人復制的信息,以保證交易發生糾紛時有所對證。這是通過數字簽名技術和數字證書技術來實現的。
(5)電子商務安全和網路安全擴展閱讀:
電子商務系統安全系統結構包括以下部分:
1、基本加密演算法;
2、以基本加密演算法為基礎的CA體系以及數字信封、數字簽名等基本安全技術;
3、以基本加密演算法、安全技術、CA體系為基礎的各種安全應用協議。
Ⅵ 網路安全對電子商務的影響
一、電子商務面臨的安全問題
電子商務活動中有大量的數據需要傳輸與存儲,數據傳輸依靠互聯網技術,而互聯網是一個天然脆弱和不安全的網路,數據容易丟失和被截獲。而數據的存儲主要依靠資料庫技術,資料庫也是非法分子常常入侵和破壞的對象。所以網路通信安全與資料庫安全,是電子商務長期面臨的的主要問題。
1.資料庫安全。企業在電子商務活動中產生的大量數據是他們進行不間斷經營的重要支撐,產品數據資料、客戶關系管理都涉及到龐大的數據群。採用流行的關系型資料庫進行數據存儲與管理,是電子商務企業必要的選擇。但是網路黑客從未間斷過對企業資料庫的攻擊,一旦他們竊取到企業資料庫的訪問權、管理權,就可以獲得他們想要的數據,甚至篡改或刪除這些對企業來說至關重要的數據。
2.網路通信安全。數據傳輸過程中容易丟失、損壞或被黑客篡改、竊取,所以首先要保證通信線路的安全可靠性,採用性能穩定的設備和較為強大的軟體來保證傳輸穩定性。其次為了防止黑客攻擊,例如木馬、病毒等程序,要再傳輸過程中使用數據加密及數字簽名等技術保障數據的安全性。
二、電子商務安全策略
1. 虛擬專用網(VPN)
由於TCP/IP協議的不安全性,對電子商務安全無有效的認證機制,真實性難有保證;缺乏保密機制,網上數據隱私性不能得到保護;不能提供對網上數據流的完整性保護等問題。因此,在電子商務中通常採用VPN技術,通過加密和驗證網路流量來保護在公共網路上傳輸私有信息,而不會被竊取或篡改。對於用戶來說,就象使用他們自己的私有網路一樣。
2.加密(Encryption)技術
加密技術是電子商務採取的主要安全保密措施,是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。加密技術包括兩個元素:演算法和密鑰。演算法是將普通的文本(或者可以理解的信息)與一竄數字(密鑰)的結合,產生不可理解的密文的步驟,密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數據加密標准(DES,Data Encryption Standard)演算法為典型代表,非對稱加密通常以RSA(Rivest Shamir Ad1eman)演算法為代表。對稱加密的加密密鑰和解密密鑰相同,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。
3. 數字信封技術
數字信封中採用了單鑰密碼體制和公鑰密碼體制。信息發送者首先利用隨機產生的對稱密碼加密信息,再利用接收方的公鑰加密對稱密碼,被公鑰加密後的對稱密碼稱之為數字信封。信息接收方要解密信息時,必須先用自己的私鑰解密數字信封,得到對稱密碼,再利用對稱密碼解密所得到的信息,這樣就保證了數據傳輸的真實性和完整性。
4.認證技術
CA認證中心。它為電子商務環境中各個實體頒發數字證書,以證明各實體身份的真實性,並負責在交易中檢驗和管理證書。它是電子商務及網上銀行操作中,具有權威性、可信賴性及公正性的第三方機構。如中國金融認證中心(CFCA)。
有關的認證技術包括數字簽名與數字證書。數字簽名是指用戶用自己的私鑰對原始數據的哈希摘要進行加密所得的數據。信息接收者使用信息發送者的公鑰對數字簽名進行解密,獲得哈希摘要。並將收到的原始數據產生的哈希摘要與獲得的哈希摘要相對照,便可確信原始信息是否被篡改,這樣就保證了數據傳輸的不可否認性。數字證書是各類實體(持卡人/個人、商戶/企業、網關/銀行等)在網上進行信息交流及商務活動的身份證明,在電子交易的各個環節,交易的各方都需驗證對方證書的有效性,從而解決相互間的信任問題。證書是一個經證書認證中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。 5.防火牆技術
防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網路和信息安全的基礎設施。在邏輯上,防火牆是一個分離器、一個限制器,也是一個分析器,有效地監控了內部網和 Internet 之間的任何活動,保證了內部網路的安全。
Ⅶ 電子商務安全主要包括網路安全與電商安全,網路安全有哪些主要技術
電子商務安全主要包括網路安全與電商安全,網路安全主要有以下幾方面主要技術:
一.虛擬網技術
虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換)。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此,網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器 網路層通訊可以跨越路由器,因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善,因此,在網路層發現的安全漏洞相對更多,如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。
二.防火牆技術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統 如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施控制對系統的訪問 集中的安全管理
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Finger和DNS。 記錄和統計網路利用數據以及非法使用數據 Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據,來判斷可能的攻擊和探測。 策略執行
5、選擇防火牆的要點
(1) 安全性:即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力:對典型攻擊的防禦能力
(3) 性能:是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力
三.病毒防護技術
病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯,病毒的傳播途徑和速度大大加快。 病毒防護的主要技術如下:
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新,並下發到桌面系統。
4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體,禁止未經許可的控制項下載和安裝。
四.入侵檢測技術
利用防火牆技術,經過仔細的配置,通常能夠在內外網之間提供安全的網路保護,降低了網路安全風險。
五.安全掃描技術
網路安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
六. 認證和數宇簽名技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用於通信過程中的不可抵賴要求的實現。 認證技術將應用到企業網路中的以下方面: (1) 路由器認證,路由器和交換機之間的認證。 (2) 操作系統認證。操作系統對用戶的認證。 (3) 網管系統對網管設備之間的認證。 (4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。 (7) 電子郵件通訊雙方的認證。
七.VPN技術
1、 企業對VPN 技術的需求
企業總部和各分支機構之間採用internet網路進行連接,由於internet是公用網路,因此,必須保證其安全性。我們將利用公共網路實現的私用網路稱為虛擬私用網(VPN)。 因為VPN利用了公共網路,所以其最大的弱點在於缺乏足夠的安全性。企業網路接入到internet,暴露出兩個主要危險:
來自internet的未經授權的對企業內部網的存取。
當企業通過INTERNET進行通訊時,信息可能受到竊聽和非法修改。 完整的集成化的企業范圍的VPN安全解決方案,提供在INTERNET上安全的雙向通訊,以及透明的加密方案以保證數據的完整性和保密性。 企業網路的全面安全要求保證: 保密-通訊過程不被竊聽。
通訊主體真實性確認-網路上的計算機不被假冒。
八.應用系統的安全技術
在利用域名服務時,應該注意到以上的安全問題。
主要的措施有:
(1) 內部網和外部網使用不同的域名伺服器,隱藏內部網路信息。
(2) 域名伺服器及域名查找應用安裝相應的安全補丁。
(3) 對付Denial-of-Service攻擊,應設計備份域名伺服器。
但Web伺服器越來越復雜,其被發現的安全漏洞越來越多。為了防止Web伺服器成為攻擊的犧牲品或成為進入內部網路的跳板,我們需要給予更多的關心:
加強電子郵件系統的安全性,通常有如下辦法:
(1) 設置一台位於停火區的電子郵件伺服器作為內外電子郵件通訊的中轉站(或利用防火牆的電子郵件中轉功能)。所有出入的電子郵件均通過該中轉站中轉。
(2) 同樣為該伺服器安裝實施監控系統。
(3) 該郵件伺服器作為專門的應用伺服器,不運行任何其它業務(切斷與內部網的通訊)。
(4) 升級到最新的安全版本。
Ⅷ 電子商務平台經營者應該採取什麼措施保障網路安全
法律分析:電子商務平台經營者應當採取技術措施和其他必要措施保證其網路安全、穩定運行,防範網路違法犯罪活動,有效應對網路安全事件,保障電子商務交易安全。
法律依據:《中華人民共和國電子商務法》
第三十條 電子商務平台經營者應當採取技術措施和其他必要措施保證其網路安全、穩定運行,防範網路違法犯罪活動,有效應對網路安全事件,保障電子商務交易安全。
電子商務平台經營者應當制定網路安全事件應急預案,發生網路安全事件時,應當立即啟動應急預案,採取相應的補救措施,並向有關主管部門報告。
第三十一條 電子商務平台經營者應當記錄、保存平台上發布的商品和服務信息、交易信息,並確保信息的完整性、保密性、可用性。商品和服務信息、交易信息保存時間自交易完成之日起不少於三年;法律、行政法規另有規定的,依照其規定。
Ⅸ 電子商務中常見的網路安全問題有哪些
電子商務中的網路安全問題:
防火牆技術:防火牆(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網路之間的訪問控制,防止外部網路進入內部網路;
加密技術:數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防範策略。數據加密就是按照確定的密碼演算法將敏感的明文數據變換成難以識別的密文數據;
數字簽名技術:數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術;
數字時間戳技術:在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。
Ⅹ 電子商務安全是指什麼
電子商務安全是指:簡單說就是計算機網路安全和商務交易安全。
網路安全從其本質上來講就是網路上的信息安全,它涉及的領域相當廣,。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅,從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網路安全所要研究的領域,包括物理安全、網路安全、傳輸安全、應用安全、用戶安全。