导航:首页 > 电商促销 > web安全与电子商务

web安全与电子商务

发布时间:2021-04-14 00:31:01

『壹』 国内外有哪些关于web安全的开发和研究,现水平如何

web安全 是未来主要的被攻击对象,占安全威胁35%以上,目前最先进的技术是 AI Security 使用人工湖智能的方式去防御不知道或已经知道的安全威胁,这方面国内只有两家企业有这块核心的技术,分别是:网络安全 与 中云网安。为甚么要用人工智能去抵御攻击,不是人工智能有多先进,而是黑客行为已经在使用 AI 人工智能的方式在制造传统无法抵御与方法在攻击比以往成百倍计算能力的攻击行为,所有一切传统的安全防范只要一击必垮,所以,只有一物治一物,必须对症下药才能防护得住 。

『贰』 电子商务安全主要包括网络安全与电商安全,网络安全有哪些主要技术

电子商务安全主要包括网络安全与电商安全,网络安全主要有以下几方面主要技术:
一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器 网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
二.防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统 如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施控制对系统的访问 集中的安全管理
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。 记录和统计网络利用数据以及非法使用数据 Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。 策略执行
5、选择防火墙的要点
(1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力
(4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力
三.病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。 病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
四.入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。
五.安全扫描技术

网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
六. 认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 认证技术将应用到企业网络中的以下方面: (1) 路由器认证,路由器和交换机之间的认证。 (2) 操作系统认证。操作系统对用户的认证。 (3) 网管系统对网管设备之间的认证。 (4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。 (7) 电子邮件通讯双方的认证。
七.VPN技术
1、 企业对VPN 技术的需求
企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。 因为VPN利用了公共网络,所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet,暴露出两个主要危险:
来自internet的未经授权的对企业内部网的存取。
当企业通过INTERNET进行通讯时,信息可能受到窃听和非法修改。 完整的集成化的企业范围的VPN安全解决方案,提供在INTERNET上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。 企业网络的全面安全要求保证: 保密-通讯过程不被窃听。
通讯主体真实性确认-网络上的计算机不被假冒。
八.应用系统的安全技术
在利用域名服务时,应该注意到以上的安全问题。
主要的措施有:
(1) 内部网和外部网使用不同的域名服务器,隐藏内部网络信息。
(2) 域名服务器及域名查找应用安装相应的安全补丁。
(3) 对付Denial-of-Service攻击,应设计备份域名服务器。

但Web服务器越来越复杂,其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心:
加强电子邮件系统的安全性,通常有如下办法:
(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。
(2) 同样为该服务器安装实施监控系统。
(3) 该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯)。
(4) 升级到最新的安全版本。

『叁』 什么是WEB安全是网络安全么

网站安全
§1、网站安全概述
一、 常见的网站提供的服务:DNS SERVER,WEB SERVER,E-MAIL SERVER,FTP SERVER,此外网站还需要有个主服务器(最好不要把网站的操作系统服务器与上述的SERVER 放在一起)(不一定全对互联网开放)
1、 这些常见的服务属于TCP/IP协议栈,如果低层安全性被攻击了,则高层安全成了空中楼阁。所以要进行安全分析(安全只是个动态的状态)
2、 TCP/IP协议栈各层常见的攻击(回忆TCP/IP各层结构图)
(1)物理层:数据通过线传输是特点
威胁:监听网线,sniffer软件进行抓包,拓朴结构被电磁扫描攻破
保护:加密,流量填充等
(2)internet层:提供寻址功能是其特点-----路由,IP,ICMP,ARP,RARP
威胁:IP欺骗(工具完成将数据包源地址IP改变)
保护:补丁、防火墙、边界路由器设定
(3)传输层:控制主机间的信息流量-----TCP,UDP
威胁:DOS(图),DDOS,会话劫持等
保护:补丁、防火墙、开启操作系统抗DDOS攻击特性
(4)应用层:协议最多最难防
①SMTP协议:
威胁:邮件风暴(黑客给邮件服务器不断发木马或病毒),企业用户内网与外网采用同样的邮箱名,邮件的中继与转发(图)
保护:防病毒网关,邮件服务器软件及时打补丁
②FTP协议:
威胁:匿名用户如果具有写权限,会上传非法服务给FTP SERVER; 用户名、口令在FTP客户端与服务器端之间是明文传输
保护:FTP数据存放于独立分区,不允许匿名的FTP连接,上传与下载位于不同的NTFS分区,FTP客户端与服务器端的通讯进行加密SSH
③HTTP协议:
威胁:Java script,CGI,ASP,ActiveX
保护:禁止这些不安全的控件,杀毒软件
④Telnet协议:
威胁:明文传输敏感数据
保护:加密
⑤SNMP协议:
威胁:public默认社区名,明文传输敏感信息
保护:将默认社区名改名,防火墙
⑥DNS协议:
威胁:DNS欺骗
保护:防火墙阻止,在DNS zone中设定成只允许几个主机的zone传输
3、 网站业务流(电子商务与普通企业网站业务流不同,重点是认证)、采用的拓朴、防火墙体系结构、操作系统等的不同,受到的威胁也不同
二、 在网站业务流、采用的拓朴、防火墙体系结构、操作系统等体系结构确定的前提下,还存在的安全问题
1、未授权存取(匿名用户具有写权限----IIS写权限扫描工具+桂林老兵可以完成)
2、窃取系统信息:帐号,银行
3、破坏系统:破坏数据(删除数据)
4、非法使用:利用FTP服务器存放非法软件
5、病毒木马:不小心执行病毒、木马
三、web站点典型安全漏洞
1、操作系统类:通用安全漏洞,各操作系统特有的安全漏洞
2、路由器等网络系统漏洞:如路由器、防火墙等的缺省配置及配置错误(一部分边界路由器有自动配置的功能,但这种自动配置功能必须手工开启)(见校园网拓朴结构图)
3、应用系统安全漏洞:协议漏洞
4、网络安全防护系统不健全:缺乏安全意识,缺少定期的安全检测、安全监控
5、其它漏洞:易被欺骗,弱认证,对电邮队服附件病毒及WEB浏览可能存在的恶意java/ActiveX小控件进行有效控制。
正因为存在这些安全漏洞所以要制定安全策略。
§2、WEB站点安全策略
允许远程执行CGI脚本,脚本中的bug会成为保护操作系统的漏洞;但如果限制CGI限制得过头了,web使用起来不方便(安全是使用方便与安全配置之间的一个平衡点)
一、 安全策略定制原则:
1、风险分析:搞清站点属于低端安全、中端安全、还是高端安全?易受哪些威胁?(默认配置)?根据威胁进行安全评估(使用启明星辰的工具)
2、服务器记录原则:web服务器会记录它们收到的每一次连接(如果web server采用认证的方式还会记录下用户名),该用户在此期间填写的表格会被记录下来,会对用户构成威胁。
解决方案:web服务器管理者可以查阅用户资料,但无需打开(审计人员查管理员好些)
二、 配置web server的安全特性
1、用户与站点建立连接的过程中可能会造成因域名欺骗而使得用户得不到授权访问及要求的信息或者把黑客当作合法用户来允许其访问
2、加强各服务器的措施
①web server:主分区存放操作系统,web server放至另一分区;CGI脚本放至第三个NTFS分区;不以administrator身份运行web server(而以另一用户身份运行web server)其余见winnt站点解决方案
②ftp server:与web server不同分区,允许只读访问,进行访问控制的设置(一般只对内网开放)
③电子邮件服务器:安装网络级电子邮件扫描软件;禁掉中继任何未授权用户;设置垃圾邮件过滤及巨型邮件过滤条件
三、 排除站点中的安全漏洞,尽量减少安全漏洞
1、物理漏洞:未授权人员访问引起的
2、软件漏洞:由软件应用程序的错误授权引起。首要规则----不轻易相信脚本、java applet
3、不兼容问题
4、缺乏安全策略
四、 监视控制出入web站点的出入情况
1、 Webtrends:查访问次数最多的站点、最频繁的用户。它可以完成监控请求(如:sever访问次数,用户来自何处,服务器上哪类信息被访问、访问的浏览器类型、用户提交方式等);它可以测算命中次数(可以确定出站点的命中次数----一个用户详细地读站点时一次简单的会话可以形成几次命中;还可以通过站点上某个文件的访问次数来确定站点访问者的数目)
2、 入侵检测系统:免费的snort
3、 传输更新:web三元素----HTTP协议,数据格式HTML,浏览器。三元素以HTML为中心,必须保持其更新

『肆』 安全电子商务交易协议有ssl和set两种,各有哪些优缺点

SSL(Secure Socket Layer)

SSL协议是由首先发表的网络资料安全传输协定,其首要目的是在两个通信间提供秘密而可靠的连接。该协议由两层组成,底层是建立在可靠的传输协议(例如:TCP)上的是SSL的记录层,用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前,能够通过特定的加密算法相互鉴别。SSL的先进之处在于它是一个独立的应用协议,其它更高层协议能够建立在SSL协议上。

目前大部分的Web
Server及Browser大多支持SSL的资料加密传输协定。因此,可以利用这个功能,将部分具有机密性质的网页设定在加密的传输模式,如此即可避免资料在网络上传送时被其他人窃听。

SSL是利用公开密钥的加密技术(RSA)来作为用户端与主机端在传送机密资料时的加密通讯协定。目前,大部分的Web
Server及Browser都广泛使用SSL 技术。

SET(Secure Electronic Transaction)

SET是IBM、信用卡国际组织(VISA/MasterCard)以及相关厂商针对网络电子交易共同制定的安全协议,它运用了RSA安全的公钥加密技术,具有资料保密性、资料完整性、资料来源可辨识性及不可否认性,是用来保护消费者在Internet持卡付款交易安全中的标准。SET
1.0版于1997年6月正式问世。现在,SET已成为国际上所公认的在Internet电子商业交易中的安全标准。

SET协议用在安全电子银行卡的支付系统中,使用客户端的浏览器,应用于从商业站点到商业银行中。网上银行使用已经存在的程序和设备通过确认信用卡,清算客户银行户头完成交易。SET协议则通过隐藏信用卡号来保证整个支付过程的安全。所以,SET必须保证信用卡持有者与银行在现存系统和网络上,能够保持持续的联系。SET协议为在不同的系统中使用信用卡创建了一套完整的解决办法。可靠的身份验证使SET成为一个非常好的在线支付系统。它使交易中每个合法参与者能够拥有一个合理的身份,而对持卡者的身份验证是由银行来进行的。当然这其中还包括其它服务,比如:身份认证、客户服务等。这是建立另外一个可靠的用户连接的方法。同时可以方便在发生纠纷时进行仲裁。

SET与SSL都是做消费者的认证工作的,也就是说不仅全球数据网购物站需要在认证单位进行认证,消费者也必须从认证机构获取认证。

SET是由Electronic Wallet(电子钱包)、Merchant Server(商店端服务机)、Payment
Gateway(付款转接站)和Certification Authority(认证中心)组成的,它们构成了Internet
上符合SET标准的信用卡授权交易。

一般来说,在开放式网络上进行金融交易以SSL及SET交易协定为主,其中又以
SET被国际公认为最安全的。有鉴于此,VISA/MASTER在1997年6月提出了名为电子交易(SET:Secure Electronic
Transaction)的网络交易安全规格,这个规格基本上也是利用与SSL同样的大数值编码技术,来保证资料保密与使用者认证的工作。

目前信用卡的安全交易标准SET仍在进行前期建设。在该系统尚未正式运作前,消费者在网络上利用信用卡进行购物时,仍须承担信用卡资料被盗用的风险。

敏感性资料在传递过程中被窃听,交易资料在传递过程中被篡改,交易的双方身份被假冒,完全相同的订单重复送出,这些问题即使对于目前SET安全交易标准来说仍旧有一定困难。利用WWW给用户提供机密性的资料时更多的会使用User
Profile、SSL或CA,以避免资料在网络上传送时被其他人窃听。
SSL(Secure Sockets Layer 安全套接层)

SSL及其继任者传输层安全(Transport Layer
Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

SSL (Secure Socket
Layer)为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40
bit之安全标准,美国则已推出128 bit之更高安全标准,但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。

当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:
SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL握手协议(SSL Handshake
Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SET协议为电子交易提供了许多保证安全的措施。它能保证电子交易的机密性,数据完整性,交易行为的不可否认性和身份的合法性。SET协议设计的证书中包括:银行证书及发卡机构证书、支付网关证书和商家证书。

(1)保证客户交易信息的保密性和完整性

SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。

(2)确保商家和客户交易行为的不可否认性

SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性。其理论基础就是不可否认机制,采用的核心技术包括X.509电子证书标准,数字签名,报文摘要,双重签名等技术。

(3)确保商家和客户的合法性

SET协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。

电商网站要实现SSL协议即https加密访问,需要到合法第三方CA机构申请SSL证书,必须是第三方合法CA,比如沃通CA等,自签名SSL证书不能保证电商网站的数据安全。

『伍』 电子商务安全定义概念是什么

电子商务安全是指指导安全电子交易的原则,允许通过互联网购买和销售商品和服务,但有适当的协议为相关人员提供安全保障。成功的在线业务取决于客户对公司拥有电子商务安全基础的信任。

电子商务安全要求包括四个方面:

(1)数据传输的安全性。对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。对数据的安全性保护是通过采用数据加密(包括秘密密钥加密和公开密钥加密)来实现的,数字信封技术是结合秘密密钥加密和公开密钥加密技术实现的保证数据安全性的技术。

(2)数据的完整性。对数据的完整性需求是指数据在传输过程中不被篡改。数据的完整性是通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

(3)身份验证。由于网上的通信双方互不见面,必须在交易时(交换敏感信息时)确认对方等真实身份;在涉及到支付时,还需要确认对方的账户信息是否真实有效。身份认证是采用口令字技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

(4)交易的不可抵赖。网上交易的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证。这是通过数字签名技术和数字证书技术来实现的。

(5)web安全与电子商务扩展阅读:

保护电子商务或在线商店的5种最佳方式

1.选择安全的电子商务平台

正如他们所说,“掌握基本知识,其余部分将落实到位。”构建安全电子商务网站的第一步是使用安全平台。有很多开源和专有的电子商务平台可供选择最适合您的电子商务平台。但是,超过三分之二的活跃电子商务网站都在使用Magento或WordPress WooCommerce。

无论您决定使用哪个平台,请确保您的服务器符合PCI合规性要求。在服务器上运行PCI扫描以验证您是否符合要求。此外,请确保您运行的是最新版本的软件。每当有新补丁可用时,请确保立即安装。

2.实施SSL证书

在保护在线交易时,SSL是事实上的标准。SSL证书在存储和传输时验证用户的身份并加密数据。实施SSL对于电子商务网站在最终用户系统和您的网站之间建立安全连接至关重要。对于精通技术的买家,地址栏中带有HTTPS的挂锁图标是提供个人详细信息和信用卡信息的必要先决条件。如果消费者认为供应商正在尽一切可能保护他们的交易,他们更有可能与他们做生意。

3.考虑双因素身份验证

被盗或受损的用户凭据是导致Web安全漏洞的常见原因。有多种“网络钓鱼”方法可以窃取或猜测有效的用户凭据并损害在线商店的安全性。这就是需要成熟的用户认证机制的地方。它是保护您的在线商店免受黑客攻击的基础。

许多电子商务网站正在实施双因素身份验证(2FA),以便为其在线商店增加额外的安全保障。双因素身份验证是一种安全流程,其中有效用户需要提供两种识别方式,一种通常是用户名/密码组合,而第二种方式通常是实时生成的代码,并发送到由用户。黑客可能会破解密码,但他们无法窃取此代码,通常会在短时间后过期。

4.使用虚拟专用网络

在处理金融交易时,在使用公共网络时要非常小心。通过公共网络传输的数据很容易被恶意用户拦截。在这种情况下,VPN服务可以派上用场。它通过加密连接将您连接到安全的非现场服务器,这可防止第三方在您和服务器之间插入自身。

如果您担心传统VPN服务所涉及的成本,那么您可以选择基于SSL的VPN来降低成本。OpenVPN是一个受欢迎的选择,它提供了一个基于社区的开源版本,您可以免费使用。

5.教育客户和员工

用户需要对影响客户数据的法律和政策进行培训。因此,要教育您的客户以及您的员工,了解您的信息安全实践。让他们知道您如何保护客户的信用卡信息,以及他们应该如何做到以保证财务信息的安全。

突出显示组织的数据安全最佳实践,并告诉他们不要通过电子邮件,文本或聊天通信来披露敏感数据。您的员工还必须接受有关保证客户数据安全所需的操作的培训。指导您的员工严格遵守强制性安全协议和政策,以保护您的企业免受潜在的法律后果。

参考资料:网络——电子商务安全体系

『陆』 关于电子商务论文《电子商务的安全与管理》

电子商务的安全策略

摘要:

关键词:

电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务系统的安全性提出了更高的要求,必须保证外部网络(internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。

就整个系统而言,安全性可以分为四个层次,如图1所示

1.网络节点的安全

2.通讯的安全性

3.应用程序的安全性

4.用户的认证管理

图1:安全性四个层次结构
其中2、3、4层是通过操作系统和web服务器软件实现,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。

一、网络节点的安全

1.防火墙

防火墙是在连接internet和intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的intranet系统。

2.防火墙安全策略

应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

3.安全操作系统

防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。

二、通讯的安全

1.数据通讯

通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于:

(1)客户浏览器端与电子商务web服务器端的通讯;

(2)电子商务web服务器与电子商务数据库服务器的通讯;

(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。

2.安全链路

在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4o位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,ssl首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(ca中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(pki)。建立ssl链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(rsa)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

三、应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。

四、用户的认证管理

1.身份认证

电子商务企业用户身份认证可以通过服务器ca证书与ic卡相结合实现的。ca证书用来认证服务器的身份,ic卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用id号和密码口令的身份确认机制。

2.ca证书

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是ca证书,它由认证授权中心(ca中心)发行。ca中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立ssl安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

五、安全管理

为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。

对于所有接触系统的人员,按其职责设定其访问系统的最小权限。

按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证1oo%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

『柒』 电子商务安全是指什么

简单说就是计算机网络安全和商务交易安全。
网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域,包括物理安全、网络安全、传输安全、应用安全、用户安全。
电子商务安全要素体现在:
信息的机密性:密码技术
信息的完整性:散列函数
数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异;
数据传输过程中的信息丢失、重复、差异;
黑客对信息的篡改和假冒
完整性一般可通过提取消息文摘获得,包括两方面:
数据传输的完整性
完整性检查、上下文检查:内容的差异和语法规则
信息的有效性:电子文档的法律确认
认证性:身份确认
信息的不可抵赖性:数字签名
不可修改性:完整性
部分告知:交易与支付的部分分离
另行确认
系统的可靠性
计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒、自然灾害等

电子商务安全技术主要有:
密码技术
加密技术是保证电子商务安全的重要手段,是信息安全的核心。
密钥管理技术
最棘手的问题:分发和存储
数字签名:公钥加密技术
网络安全技术
操作系统安全、防火墙技术、VPN、漏洞检测、审核技术等

『捌』 简述电子商务安全的重要性

电子商务安全的重要性:电子商务安全研究的主要内容涉及到安全电子商内务的体系结构、现代容密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。最主要的还是一下这三大安全问题。
一、保护网络安全:
网络安全是为保护商务各方网络端系统之间通信过程的安全性。
二、保护应用安全:保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
三、保护系统安全:保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。

『玖』 安全在电子商务中有什么地位和作用

随着信息技术、网络技术和Internet的飞速发展,电子商务成为越来越多的人关注的焦点。电子商务使得人们可以在网上通过建立网站树立自己的形象,发布自己的产品信息,宣传产品广告,提供售后服务,甚至可以提供网上交谈、电子合同签订、电子交易和资金结算等。但是,事物的发展都存在两面性,一方面电子商务给我们带来了便利,同时在进行电子商务活动时,需要在Internet上传输消费者和商家的一些机密信息,如用户信用卡、商家用户信息和订购信息等,而这些信息一直是网络非法入侵者或黑客的攻击目标。如何保证电子商务安全,如何对敏感信息和个人信息提供机密性保障、认证交易双方的合法身份以及数据的完整性和交易的不可否认性,已经成为电子商务发展的瓶颈,对这些问题的担心也是导致很多人不愿意进行网上购物和支付的主要要原因。
所以在当代电子商务盛行的时代,确宝电子商务的安全是非常有必要的。

阅读全文

与web安全与电子商务相关的资料

热点内容
小学语文教师培训方案主持 浏览:564
色文下载 浏览:993
轻小说免费看书网站 浏览:140
肉文小说免费下载 浏览:919
p开头的网站叫啥来着 浏览:767
和血恋1一样真军级别 浏览:137
有一本异能小说主角叫林枫 浏览:415
经典都市小说100部 浏览:940
基本全是肉的后宫玄幻小说 浏览:501
有个小说主角开局造机甲 浏览:21
男主在山洞个女主双修三天 浏览:734
男人看的小电影网站 浏览:216
互换伴侣的电影叫什么 浏览:350
冰海陷落2电影 浏览:985
女主叫绾绾的快穿系统 浏览:649
电影精选0855 浏览:944
日剧生活中玛丽谁演的 浏览:544
主角叫李毅赵妃嫣的小说 浏览:701
基努里思维电影 浏览:722
与凤行txt 浏览:288