簡述電子商務安全控制要求並能舉例證實

① 電子商務的安全需求的具體內容

電子商務的安全需求大體上包括：
穩定運營：系統不被崩潰，如果有電回腦宕機可以自動答切換，遇到線路出故障有備用線路
防止被攻擊：主動防禦、遇到攻擊可以迅速修復，軟體系統避免漏洞
數據安全：數據定期備份，包括會員數據/交易數據，防止被破壞/丟失/或被竊
金融安全：保證往來資金流的安全，交易賬戶及相關數據安全

② 電子商務安全措施有哪些

就整個系統而言，安全性可以分為四個層次
．網路節點的安全
2．通訊的安全性
3．程序的安全性
4．用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現，網路節點的安全性依靠防火牆保證，我們應該首先保證網路節點的安全性。
一、網路節點的安全
1．防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。
2．防火牆安全策略
應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。
3．安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1．數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於：
（1）客戶瀏覽器端與電子商務WEB伺服器端的通訊；
（2）電子商務WEB伺服器與電子商務資料庫伺服器的通訊；
（3）銀行內部網與業務網之間的數據通訊。其中（3）不在本系統的安全策略范圍內考慮。

2．安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制，SSL首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法（RSA）與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則，要滿足機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1．身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用ID號和密碼口令的身份確認機制。
2．CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心（CA中心）發行。CA中心一般是公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時進行）。
五、安全管理
為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。
按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO％的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。

③ 電子商務安全的基本要求有哪些

一、建立和完善我國電子商務安全法律法規體系電子商務實踐要求有透明、和諧的交易秩序和環境保障,為此,須建立和完善相應的法律體系。目前,我國已頒布相當數量的信息安全方面的法律規范,但立法層次不高,法律協調性 本論文由無憂論文網整理提供差,立法理念和立法技術相對滯後。我國電子商務法律體系的構建中,首先應當考慮原有法律對電子商務行為的適用,對於原有法律不能適應可以採取修改原有法律和單獨立法的方式予以解決。對於一些全新領域可以進行單獨立法,可以參照聯合國《電子商務示範法》制定我國的電子商務基本法,從而形成我國電子商務完整、有機的法律體系。電子商務安全方面的法制建設則應涵蓋:保護隱私權;保護消費者權益;保證信息的合法訪問;數字簽名與認證機構;計算機違法與犯罪的問題的控制等。

二、完善電子商務企業內部安全管理體制,增強相關人員的安全意識首先必須對企業內部所有人員進行信息安全意識教育,充分理解安全對企業的重要性。系統管理員要將系統安全放在首位,依靠可行的、詳細的信息安防制度,消除安全隱患,防患於未然。其次,須針對信息存儲的不安全因素採取適當的防範措施:硬體的電源故障可設置合適的不間斷電源;操作系統和應用軟體的不安全因素可採用經常升級和下載軟體補丁程序的方法;軟體漏洞可進行有針性的設置加以彌補;計算機病毒可使用防毒、殺毒軟體,並經常升級。

三、構建電子商務信息安全技術框架體系：

(1)、防火牆技術是近年來發展的最重要的安全技術,用來加強網路之間的訪問控制,防止外部網路用戶以非法手段通過外部網路進人內部網路(被保護網路)。防火牆技術主要有包過濾、代理服務、狀態監控等技術。防火牆技術的優點主要是:通過過濾不安全的服務,提高網路安全和減少子網中主機的風險;提供對系統的訪問控制;阻擊攻擊者獲取攻擊網路系統的有用信息;記錄與統計通過它的網路通信,提供關於網路使用的統計數據,根據統計數據來判斷可能的攻擊和探測;提供製定與執行網路安全策略的手段,對企業內部網實現集中的安全管理。

(2)、信息加密技術作為主動的信息安全防範措施,利用加密演算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。

(3)、數字證書和認證技術是網路通信中標志通信 無憂論文網各方身份信息的一系列數據,通過運用對稱和非對稱密碼體制建立起一套嚴密的身份認證系統。具有信息除發送方和接收方外不被其他人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對於自己發送的信息不能抵賴等多項功能。另外,報文的發送方從報文文本中生成一個特定長度的散列值,發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名,通過數字簽名能夠實現對原始報文的完整性鑒別和不可抵賴性,實現電子文檔的辨認和驗證。

(4)、安全協議中,安全套接層協議(SSL)是一種安全通信協議。SSL提供了兩台計算機之間的安全連接,對整個會話進行了加密,從而保證了信息的安全傳輸。它提供的安全連接具有三個特點:連接是保密的,對於每個連接都有一個唯一的會話加密,採用對稱密碼體制來加密數據;連接是可靠的,消息的傳輸採用信息驗證演算法進行完整性檢驗;對端實體的鑒別採用非對稱密碼體制進行認證。安全電子交易(SET)是通過開放網路進行安全資金支付的技術標准,SET向基於信用卡進行電子化交易的應用提供實現安全措施的規則:信息在Internet上安全傳輸,保證傳輸的數據不被黑客竊取;其定單信息和個人帳號信息的隔離,當包含持卡人帳號信息的定單送到商家時,商家只能看到定貨信息,而看不到持卡人的帳戶信息;持卡人和商家相互認證,以確定通信雙方的身份,一般由第三方機構負責為在線通信雙方提供信用擔保;要求軟體遵循相同協議和報文格式,使不同廠家開發的軟體具有兼容和互操作功能,並可運行在不同的硬體和操作系統平台上。

④ 電子商務安全要求有哪些

因為有抄了互聯網，我們的世界變襲成了地球村。所以，通過互聯網在家創業，已成為一種潮流。 世界首富比爾蓋茨早在上個世紀就說過：21世紀，要麼電子商務、要麼無商可務。中國創業教父馬雲也曾說過：不做電子商務，五年後您一定會後悔。並且預言：中國電子商務產業格局將有巨變，一個新的互聯網人群「網商」將成為焦點，中國互聯網將由「網民」和「網友」時代轉入「網商」時代。 「網商」群體也正在改變中國企業的運作方式，改變著中國經濟的競爭格局，也將改變人類的消費方式和生活速度。

⑤ 簡述電子商務的安全隱患與解決措施

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易，大量的商務信息在計算機和網路上上存放、傳輸，從而形成信息傳輸風險。因此措施可以通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

3、身份驗證的安全隱患。

網上通信雙方互不見面，在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否，為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

4、交易抵賴的安全隱患。

網上交易的各方在進行數據傳輸時，當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證，可以通過數字簽名技術和數字證書技術來實現的。

(5)簡述電子商務安全控制要求並能舉例證實擴展閱讀：

電子商務分類：

1、企業對企業的電子商務（B2B）；

2、企業對消費者的電子商務（B2C）；

3、企業對政府的電子商務（B2G）；

4、消費者對政府的電子商務（C2G）；

5、消費者對消費者的電子商務（C2C）；

6、企業、消費者、代理商三者相互轉化的電子商務（ABC）；

7、以消費者為中心的全新商業模式（C2B2S）；

8、以供需方為目標的新型電子商務（P2D）。

⑥ 簡述電子商務安全性的要求

從安全和信任關系來看，在傳統交易過程中，買賣雙方是面對面的版，因此很容易保證交易權過 程的安全性和建立起信任關系。但在電子商務過程中，買賣雙方是通過網路來聯系的，彼此遠 隔千山萬水，由於英特網既不安全，也不可信，因而建立交易雙方的安全和信任關系相當困 難。電子商務交易雙方(銷售者和消費者)都面臨不同的安全威脅。

⑦ 電子商務系統的安全控制要求包括哪些要素

大多數一提到電子商務模式首先想到的就是B2B B2C C2C G2C等等模式，實際上這樣理解電子商務模式都是不全面的，一般來說，凡是能夠通過互聯網等形式利用特定的工具開展的商務活動都叫做電子商務，那麼從此出發，有諸如，基於搜索引擎開展的搜索引擎商務模式典型的google ，網路等，利用廣告開展互聯網廣告模式，如網路聯盟，google 廣告聯盟，新浪等；網路經紀模式，典型的算阿里巴巴了；用戶貢獻模式，如起點文學網站、一些視頻分享網站等。網路社區模式，典型的天涯等等，隨著互聯網技術的發展，電子商務模式遠遠不止這些模式。要界定這些模式必須知道該種模式通過什麼來實現盈利，運作流程，涉及的（受益）對象。在開展電子商務活動時，安全是一個非常重要的要素，無論從商務的角度還是從技術的角度，總的一條原則，保證整個商務過程中系統的安全。至於具體的要素涉及的就比較多了，在闡述這方面的內容時，最好從技術的角度分析，因為電子商務之所以高度重視安全問題根結就在技術上面。

一、系統實體安全
1.環境安全
(1)受災防護
(2)區域防護
二、設備安全
(1)設備防盜
(2)設備防毀
(3)防止電磁信息泄漏
(4)防止線路截獲
(5)抗電磁干擾
(6)電源保護
三、.媒體安全
(1)媒體的安全
媒體的防盜
媒體的防毀
(2)媒體數據的安全
媒體數據的防盜
媒體數據的銷毀
媒體數據的防毀
四、 系統運行安全
包括1.風險分析
系統設計前的風險分析——潛在的安全隱患
系統試運行前的風險分析——設計的安全漏洞
系統運行期的風險分析——運行的安全漏洞
系統運行後的風險分析——系統的安全隱患

2.審計跟蹤
紀錄和跟蹤各種系統狀態的變化
實現對各種安全事故的定位
保存、維護和管理審計日誌
3.備份與恢復
提供場點內高速度、大容量自動的數據存儲、備份和恢復
提供場點外的數據存儲、備份和恢復
提供對系統設備的備份
4.應急
（1）應急計劃輔助軟體
緊急事件或安全事故發生時的影響分析
應急計劃的概要設計或詳細制定
應急計劃的測試與完善
（2）應急設施
提供實時應急設施
提供非實時應急設施
3、信息安全
1.操作系統安全
2.資料庫安全
3.網路安全
4.病毒防護安全
5.訪問控制安全
6.加密
7.鑒別

⑧ 簡述電子商務的安全技術有哪些,舉實例

簡述電子商務的安全技術事實應該有：

(1)對稱加密/對稱密鑰加密/專用密鑰加密

(2)非對稱加密/公開密鑰加密

(3)數字摘要

⑨ 電子商務安全要素有哪些

電子商務安全要素有以下四點：

1、有效性、真實性

有效性、真實性是指能對信息、實體的有效性。真實性進行鑒別，電子商務作為貿易的一種形式，其信息的有效性和真實性將直接關繫到個人、企業和國家的經濟利益和聲譽。如何保證這種電子貿易信息的有效性和真實性成了經營電子商務的前提。

2、機密性

機密性是指保證信息不會泄漏給非授權人或實體電子商務作為一種貿易手段，其信息是個人、企業或國家的商業機密。網路交易必須保證發送者和接受者之間交換信息的保密性，而電子商務建立在一個較為開放的網路環境上，商業保密就成為電子商務全面推廣應用的重點保護對象。

3、數據的完整性

數據的完整性要求防止數據非授權的輸入、修改、刪除或破壞，保證數據的一致性信息的完整性將影響到貿易各方的交易和經營策略，保持這種完整性是電子商務應用的基礎，數據輸入時的意外差錯或欺詐行為可能導致貿易各方信息的差異。數據傳輸過程中的信息丟失、信息重發或信息傳送次序的差異也會導致貿易各方信息不相同。

4、可靠性、不可抵賴性

可靠性是要求保證合法用戶對信息和資源的使用不會遭到不正當的拒絕；不可抵賴性是要求建立有效的責任機制，防止實體否認其行為在互聯網上每個人都是匿名的，原發方字發送數據後不能抵賴；接收方在接收數據後也不能抵賴。在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已經不可能。