Ⅰ 请举例谈谈对电子商务安全三个方面的理解和认识
从定义上讲,电子商务是在互联网、企业内部网和增值网上以电子交易方式进行交易活动和相关服务活动,是传统商业活动各环节的电子化、网络化。
从客观上讲,电子商务是在技术、经济高度发达的现代社会里,由掌握现代信息技术与商务理论及实务活动规则的人,系统化的运用网络手段和使用各类电子工具,高效率、低成本、安全、方便地从事以泛商品交换为中心的各种经济事务活动。
从应用上讲,电子商务是电子工具在商务活动中的应用。这些工具无论是初级的还是高级的,均涵盖在其中,如电话、电报、Internet等。而商务活动是从泛商品的需求活动到泛商品的合理、合法的消费除去典型的生产过程后的所有活动。
从问题上讲,电子商务通过互联网等媒介,传递商品交易信息,以促成交易的一种商业形态。要完成整个电子商务过程,需要解决三个问题:信息流、资金流、物流。
(1)电子商务安全和网络安全扩展阅读
一、安全法则:
《电子商务法》中第三十八条规定:电子商务平台经营者知道或者应当知道平台内经营者销售的商品或者提供的服务不符合保障人身、财产安全的要求,或者有其他侵害消费者合法权益行为,未采取必要措施的,依法与该平台内经营者承担连带责任。
二、违规罚款:
《电子商务法》中规定:电商平台经营者对平台内经营者侵害消费者合法权益行为未采取必要措施,或者对平台内经营者未尽到资质资格审核义务,对消费者未尽到安全保障义务的。
由市场监督管理部门责令限期改正,可以处五万元以上五十万元以下的罚款;情节严重的,责令停业整顿,并处五十万元以上二百万元以下的罚款。
Ⅱ 电子商务安全威胁及防范措施分别是什么
1、未进行操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。
2、未进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
3、拒绝服务(DoS,DenialofService)攻击
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。
4、安全产品使用不当
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
5、缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
6、窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
7、篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
8、假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
9、恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
安全对策
1、保护网络安全。
保护网络安全的主要措施如下:全面规划网络平台的安全策略,制定网络安全的管理措施,使用防火墙,尽可能记录网络上的一切活动,注意对网络设备的物理保护,检验网络平台系统的脆弱性,建立可靠的识别和鉴别机制。
2、保护应用安全。
应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
3、保护系统安全。
在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
4、加密技术
加密技术为电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。
5、认证技术。
用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。包括数字签名、数字证书。
6、电子商务的安全协议。
电子商务的运行还有一套完整的安全协议,有SET、SSL等。
(2)电子商务安全和网络安全扩展阅读
从电子商务的含义及发展历程可以看出电子商务具有如下基本特征:
1、普遍性。电子商务作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。
2、方便性。在电子商务环境中,人们不再受地域的限制,客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等,同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中,有大量的人脉资源开发和沟通,从业时间灵活,完成公司要求,有钱有闲。
3、整体性。电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用率,也可以提高系统运行的严密性。
4、安全性。在电子商务中,安全性为一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,这与传统的商务活动有着很大的不同。
5、协调性。商业活动本身为一种协调过程,它需要客户与公司内部、生产商、批发商、零售商间的协调。在电子商务环境中,它更要求银行、配送中心、通信部门、技术服务等多个部门的通力协作,电子商务的全过程往往是一气呵成的。
Ⅲ 电子商务安全与网络安全的区别
当然有区别
一个是搞信息安全,专攻网络安全和信息化安全的方向,范围比较大
一个是从事电子商务网上交易的时候的安全保障问题,范围比较局限
Ⅳ 电子商务安全包括哪些方面
电子商务安全要求包括四个方面:
(1)数据传输的安全性。对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。对数据的安全性保护是通过采用数据加密(包括秘密密钥加密和公开密钥加密)来实现的,数字信封技术是结合秘密密钥加密和公开密钥加密技术实现的保证数据安全性的技术。
(2)数据的完整性。对数据的完整性需求是指数据在传输过程中不被篡改。数据的完整性是通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。
(3)身份验证。由于网上的通信双方互不见面,必须在交易时(交换敏感信息时)确认对方等真实身份;在涉及到支付时,还需要确认对方的账户信息是否真实有效。身份认证是采用口令字技术、公开密钥技术或数字签名技术和数字证书技术来实现的。
(4)交易的不可抵赖。网上交易的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证。这是通过数字签名技术和数字证书技术来实现的。
电子商务系统安全系统结构包括以下部分:
(1)基本加密算法;
(2)以基本加密算法为基础的CA体系以及数字信封、数字签名等基本安全技术;
(3)以基本加密算法、安全技术、CA体系为基础的各种安全应用协议。
以上部分构成了电子商务的安全体系,在此安全体系之上建立电子商务的支付体系和各种业务应用系统。有关基本加密算法、数字信封、数字签名以及各种安全协议的实现应符合相关标准的规定。
CA认证体系通常以各种基本加密算法为基础,同时采用各种基本安全技术,为上层的安全应用协议提供证书认证功能。
Ⅳ 电子商务安全定义概念是什么
电子商务安全定义:由于电子商务是在开放的网上进行的贸易,大量的商务信息计算机上存放,传输,从而形成信息传输风险 ,交易信用风险,管理方面的风险,法律方面的风险等各种风险,为了对付这种风险,从而形成了电子商务安全体系。
电子商务安全要求包括四个方面:
1、数据传输的安全性。对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。对数据的安全性保护是通过采用数据加密(包括秘密密钥加密和公开密钥加密)来实现的,数字信封技术是结合秘密密钥加密和公开密钥加密技术实现的保证数据安全性的技术。
2、数据的完整性。对数据的完整性需求是指数据在传输过程中不被篡改。数据的完整性是通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。
3、身份验证。由于网上的通信双方互不见面,必须在交易时(交换敏感信息时)确认对方等真实身份;在涉及到支付时,还需要确认对方的账户信息是否真实有效。身份认证是采用口令字技术、公开密钥技术或数字签名技术和数字证书技术来实现的。
4、交易的不可抵赖。网上交易的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证。这是通过数字签名技术和数字证书技术来实现的。
(5)电子商务安全和网络安全扩展阅读:
电子商务系统安全系统结构包括以下部分:
1、基本加密算法;
2、以基本加密算法为基础的CA体系以及数字信封、数字签名等基本安全技术;
3、以基本加密算法、安全技术、CA体系为基础的各种安全应用协议。
Ⅵ 网络安全对电子商务的影响
一、电子商务面临的安全问题
电子商务活动中有大量的数据需要传输与存储,数据传输依靠互联网技术,而互联网是一个天然脆弱和不安全的网络,数据容易丢失和被截获。而数据的存储主要依靠数据库技术,数据库也是非法分子常常入侵和破坏的对象。所以网络通信安全与数据库安全,是电子商务长期面临的的主要问题。
1.数据库安全。企业在电子商务活动中产生的大量数据是他们进行不间断经营的重要支撑,产品数据资料、客户关系管理都涉及到庞大的数据群。采用流行的关系型数据库进行数据存储与管理,是电子商务企业必要的选择。但是网络黑客从未间断过对企业数据库的攻击,一旦他们窃取到企业数据库的访问权、管理权,就可以获得他们想要的数据,甚至篡改或删除这些对企业来说至关重要的数据。
2.网络通信安全。数据传输过程中容易丢失、损坏或被黑客篡改、窃取,所以首先要保证通信线路的安全可靠性,采用性能稳定的设备和较为强大的软件来保证传输稳定性。其次为了防止黑客攻击,例如木马、病毒等程序,要再传输过程中使用数据加密及数字签名等技术保障数据的安全性。
二、电子商务安全策略
1. 虚拟专用网(VPN)
由于TCP/IP协议的不安全性,对电子商务安全无有效的认证机制,真实性难有保证;缺乏保密机制,网上数据隐私性不能得到保护;不能提供对网上数据流的完整性保护等问题。因此,在电子商务中通常采用VPN技术,通过加密和验证网络流量来保护在公共网络上传输私有信息,而不会被窃取或篡改。对于用户来说,就象使用他们自己的私有网络一样。
2.加密(Encryption)技术
加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Ad1eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
3. 数字信封技术
数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码称之为数字信封。信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,再利用对称密码解密所得到的信息,这样就保证了数据传输的真实性和完整性。
4.认证技术
CA认证中心。它为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。它是电子商务及网上银行操作中,具有权威性、可信赖性及公正性的第三方机构。如中国金融认证中心(CFCA)。
有关的认证技术包括数字签名与数字证书。数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对数字签名进行解密,获得哈希摘要。并将收到的原始数据产生的哈希摘要与获得的哈希摘要相对照,便可确信原始信息是否被篡改,这样就保证了数据传输的不可否认性。数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 5.防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。
Ⅶ 电子商务安全主要包括网络安全与电商安全,网络安全有哪些主要技术
电子商务安全主要包括网络安全与电商安全,网络安全主要有以下几方面主要技术:
一.虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器 网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
二.防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统 如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施控制对系统的访问 集中的安全管理
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。 记录和统计网络利用数据以及非法使用数据 Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。 策略执行
5、选择防火墙的要点
(1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力
(4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力
三.病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。 病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
四.入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。
五.安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
六. 认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 认证技术将应用到企业网络中的以下方面: (1) 路由器认证,路由器和交换机之间的认证。 (2) 操作系统认证。操作系统对用户的认证。 (3) 网管系统对网管设备之间的认证。 (4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。 (7) 电子邮件通讯双方的认证。
七.VPN技术
1、 企业对VPN 技术的需求
企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。 因为VPN利用了公共网络,所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet,暴露出两个主要危险:
来自internet的未经授权的对企业内部网的存取。
当企业通过INTERNET进行通讯时,信息可能受到窃听和非法修改。 完整的集成化的企业范围的VPN安全解决方案,提供在INTERNET上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。 企业网络的全面安全要求保证: 保密-通讯过程不被窃听。
通讯主体真实性确认-网络上的计算机不被假冒。
八.应用系统的安全技术
在利用域名服务时,应该注意到以上的安全问题。
主要的措施有:
(1) 内部网和外部网使用不同的域名服务器,隐藏内部网络信息。
(2) 域名服务器及域名查找应用安装相应的安全补丁。
(3) 对付Denial-of-Service攻击,应设计备份域名服务器。
但Web服务器越来越复杂,其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心:
加强电子邮件系统的安全性,通常有如下办法:
(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。
(2) 同样为该服务器安装实施监控系统。
(3) 该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯)。
(4) 升级到最新的安全版本。
Ⅷ 电子商务平台经营者应该采取什么措施保障网络安全
法律分析:电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。
法律依据:《中华人民共和国电子商务法》
第三十条 电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。
电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。
第三十一条 电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。
Ⅸ 电子商务中常见的网络安全问题有哪些
电子商务中的网络安全问题:
防火墙技术:防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络进入内部网络;
加密技术:数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据;
数字签名技术:数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术;
数字时间戳技术:在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。
Ⅹ 电子商务安全是指什么
电子商务安全是指:简单说就是计算机网络安全和商务交易安全。
网络安全从其本质上来讲就是网络上的信息安全,它涉及的领域相当广,。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁,从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域,包括物理安全、网络安全、传输安全、应用安全、用户安全。