《电子商务概论报告剖析》由会员分享,可在线阅读,更多相关《电子商务概论报告剖析(8页珍藏版)》请在金锄头文库上搜索。
1、8 杭州电子科技大学信息工程学院电子商务概论“关于电子商务交易安全”课程报告8摘要:在我们的生活中,有不少的人一直在担忧在互联网进行电子商务交易的安全问题。因为黑客会抓住漏洞的机会入侵,所以用户害怕在网络上进行商务交易时密码会泄漏。这些担忧难免的,因为我本身也会担心这个问题。不过我们所担心的问题都有办法维护好我们的利益,我们把用户安全各方面的问题都做足,这样就会得到保障。依据本学期电子商务概论第五章知识的学习,结合自己在课中所收获的,整理成这篇课程报告。关键词: 电子商务 交易安全 数字证书 交易协议目录目录21电子商务安全概述31.1电子商务的安全问题31.2电子商务安全体系32电子商务安全
2、管理32.1保密制度32.2日常维护制度42.2.1硬件维护42.2.2软件维护42.2.3数据备份制度42.2.4用户管理42.3病毒防范制度42.4应急措施52.5游览器安全设置53电子商务安全技术53.1数据加密技术53.1.1加密和解密53.1.2通过密钥密码体制63.2数字证书64电子商务安全交易协议74.1SSL协议74.1.1工作流程74.2SET协议74.2.1工作流程75我的认识与收获81 电子商务安全概述1.1 电子商务的安全问题没有了传统交易的面对面模式,存在于网络中交易模式,其实是对彼此信任的考验,在交易过程中,不仅仅是卖方将面临问题,买方同样也面临着选择与挑战。卖方面
3、临的挑战:中央系统安全性被破坏 竞争对手检索商品递送状况 被他人假冒而损害公司的信誉 买方提交订单后不付款 获取他人的机密数据买方面临的问题:付款后不能收到商品 机密性丧失 拒绝服务 1.2 电子商务安全体系电子商务系统是一个计算机系统,其安全性是一个系统的概念,不仅与计算机系统结构有关,还与电子商务应用的环境,人员素质和社会因素有关。它包括电子商务系统硬件安全,软件安全,运行安全和电子商务安全立法。硬件安全:指保护计算机系统硬件(包括外部设备)的安全软件安全:保护软件和数据不被篡改,破坏和非法复制。运行安全:保护系统能连续和正常地运行安全立法:对电子商务罪犯的约束,它是利用国家机器,通过安全
4、立法,体现与罪犯斗争的国家意志。2 电子商务安全管理参与网络交易的个人或企业,都有维护网上交易系统的安全的责任,对于在网上从事大量贸易活动的企业来说尤为重要。下面是针对企业的网上交易系统进行研究的安全管理制度,但其中的许多方法对于个人网络消费者也具有较高的借鉴意义。网上交易系统安全管理制度是用文字形式对各项安全要求的规定,它是保证企业在网上经营管理取得成功的基础。企业安全制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。是否健全及实施安全管理制度关系到网上交易能否安全地、顺利地运作。2.1 保密制度信息的安全级别一般分为三级:绝密级(此部分网址,
5、密码不在因特网上公开,只限高层管理人员掌握) 机密级(只限公司中层管理人员使用) 机密级(在因特网上公开,但必须保护程序,防止黑客入侵)2.2 日常维护制度对于企业的电子商务系统来说,企业网络系统的日常维护就是针对内部网(Internet)的日常管理和维护,它是一件非常繁重的工作,因为计算机主机机型和其他网络设备多。对网络系统的日常维护可以从几个方面进行:一是对于可管设备,通过安装网管软件进行系统故障诊断、显示及通告,网络流量与状态的监控、统计与分析,以及网络性能调优、负载平衡等。二是对于不可管设备应通过手工操作来检查状态,做到定期检查与随机抽查相结合,以便及时准确地掌握网络的运行状况,一旦有
6、故障发生能及时处理。三是定期进行数据备份,数据备份与恢复主要是利用多种介质,如磁介质、纸介质、光碟、微缩载体等,对信息系统数据进行存储、备份和恢复。这种保护措施还包括对系统设备的备份。2.2.1 硬件维护网管人员必须建立系统档案,其内容应包括设备型号,生产厂家,配置参数,安装时间,安装地点,IP地址,上网目录和内容等2.2.2 软件维护对于应用软件主要是版本控制。设置一台安装服务器,当远程客户机软件需要更新时,可从网络上远程安装。注意选择网络负载较低时运行,以免影响网络的正常行2.2.3 数据备份制度传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障,
7、而且其恢复时间也很长。随着技术的不断发展,数据的海量增加,不少的企业开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。2.2.4 用户管理每个系统都设置了若干角色,用户管理等任务就是添加或者删除用户和用户组号。如添加一个用户,需要在客户机上添加用户并分配组号。2.3 病毒防范制度防范有一下几种1 给电脑安装防病毒软件2 不打开陌生的电子邮件3 认真执行病毒定期清理制度4 控制权限5 高度警惕网络陷阱2.4 应急措施1. 瞬时复制技术2. 远程磁盘镜像技术3. 数据库恢复技术2.5 游览器安全设置1、临时文件 IE在上网的过程中会在系统盘内自动的把浏览过的图
8、片、动画、文本等数据信息保留在系统C:Documents and Settingswork hardLocal SettingsTemporaryInternet Files内。方法是在打开IE,依次点击“工具” “Internet选项” “Internet临时文件” “设置”,选择“移动文件夹”的命令按钮并设定C盘以外的路径,然后再依据自己硬盘空间的大小来设定临时文件夹的容量大小(50M)。2、历史记录 点击“工具” “Internet选项”,找到位于下方的“历史记录”,可根据个人喜好输入数字来设定“网页保留在历史记录中的天数” (可设为1,好的网站可以加入到收藏夹嘛),或直接按下“清除历史
9、记录”的按钮,选择所要删除的文件类型并确认。 3、自动完成 在IE工作状态下依次点击菜单栏上的“工具” “Internet 选项” “内容”。 在个人信息出单击“自动完成”按钮。在这可设置自动完成的功能范围:“web地址”,“表单”,“表单上的用户名和密码”。还可通过“清除密码”和“清除表单”来去掉自动完成保留下了的密码和相关权限。这这建议在网吧上网的朋友们一定要清除相关记录哦。 4、脚本设置 点击IE菜单栏中的“工具” “Internet选项” “安全” “Internet” “自定义级别”,然后进行相关的设置。在这里可以对 “ActiveX控件和插件”、“Java”、“脚本”、“下载”、“
10、用户验证”等安全选项进行选择性设置:如“启用”,“禁用”或“提示”。 5、cookies陷阱 进入IE的“Internet选项”;在“隐私”标签中找到设置,然后通过滑杆来设置cookies的隐私设置,从高到低划分为:“阻止所有Cookie”、“高”、“中高”、“中”、 “低”、“接受所有Cookie”六个级别(默认级别为“中”)。 6、信息限制 进入“Internet选项”,然后选择“内容”标签,将“分级审查”设为启用。3 电子商务安全技术3.1 数据加密技术所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption k
11、ey)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。3.1.1 加密和解密常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有:RSA、背包密码、Rabin、零知识证明的算法、椭圆曲线、等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以
12、适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂,加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。3.1.2 通过密钥密码体制专用密钥,又称为对称密钥或单密钥,加密和解密时使用同一个密钥,即同一个算法。如DES和MIT的Ker
13、beros算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。当一个文本要加密传送时,该文本用密钥加密构成密文,密文在信道上传送,收到密文后用同一个密钥将密文解出来,形成普通文体供阅读。在对称密钥中,密钥的管理极为重要,一旦密钥丢失,密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。对称密钥是最古老的,一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高,因而如今仍广泛被采用。DES是一种数据分组的加密算法,它将数据分成长度
14、为64位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到64位的杂乱无章的数据组;第二步将其分成均等两段;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。公开密钥,又称非对称密钥,加密和解密时使用不同的密钥,即不同的算法,虽然两者之间存在一定的关系,但不可能轻易地从一个推导出另一个。有一把公用的加密密钥,有多把解密密钥,如RSA算法。非对称密钥由于两个密钥(加密密钥和解密密钥)各不相同,因而可以将一个密钥公开,而将另一个密钥保密,同样可以起到加密的作用。3.2 数字证书数字证书是一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发的证书。数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。能提供在Internet上进行身份验证的一种权威性电子文档,人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。当然在数字证书认证的过程中证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的.如何判断数字认证中心公正第三方的地位是权威可信的,国家工业
