电子商务库存管理网络信息安全建设

A. 电子商务安全威胁及防范措施分别是什么

1、未进行操作系统相关安全配置

不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。

2、未进行CGI程序代码审计

如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

3、拒绝服务（DoS，DenialofService）攻击

随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。

4、安全产品使用不当

虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

5、缺少严格的网络安全管理制度

网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

6、窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

7、篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

8、假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

9、恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

安全对策

1、保护网络安全。

保护网络安全的主要措施如下：全面规划网络平台的安全策略，制定网络安全的管理措施，使用防火墙，尽可能记录网络上的一切活动，注意对网络设备的物理保护，检验网络平台系统的脆弱性，建立可靠的识别和鉴别机制。

2、保护应用安全。

应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

3、保护系统安全。

在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

4、加密技术

加密技术为电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

5、认证技术。

用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。包括数字签名、数字证书。

6、电子商务的安全协议。

电子商务的运行还有一套完整的安全协议，有SET、SSL等。

(1)电子商务库存管理网络信息安全建设扩展阅读

从电子商务的含义及发展历程可以看出电子商务具有如下基本特征：

1、普遍性。电子商务作为一种新型的交易方式，将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。

2、方便性。在电子商务环境中，人们不再受地域的限制，客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等，同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中，有大量的人脉资源开发和沟通，从业时间灵活，完成公司要求，有钱有闲。

3、整体性。电子商务能够规范事务处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体，这样不仅能提高人力和物力的利用率，也可以提高系统运行的严密性。

4、安全性。在电子商务中，安全性为一个至关重要的核心问题，它要求网络能提供一种端到端的安全解决方案，如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等，这与传统的商务活动有着很大的不同。

5、协调性。商业活动本身为一种协调过程，它需要客户与公司内部、生产商、批发商、零售商间的协调。在电子商务环境中，它更要求银行、配送中心、通信部门、技术服务等多个部门的通力协作，电子商务的全过程往往是一气呵成的。

B. 电子商务安全及如何构建交易安全

一． 交易者身份的确认

1．简述PKI的定义和服务。
答题思路：PKI是一种遵循标准的密钥管理平台，它能够为所有网络应用提供采用加密和数字签字等密码服务所必需的密钥和证书管理。PKI系统必须具有认证机关（CA）、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等组成部分。一般认为PKI提供了以下3种主要安全服务：认证、完整性、机密性。详细内容请参看教材。

2．论述PKI的信任模式。
答题思路：PKI的信任模式解决：（1）一个实体能够信任的证书是怎样被确定的；（2）这种信任是怎样被建立的；（3）在一定的环境下，这种信任在什么情形下能够被限制或控制？目前流行的PKI信任模型主要有4种：认证机构（CA）的严格层次结构；分布式信任结构；Web 模型；以用户为中心的信任。

二． 制定交易安全管理制度

1．简述电子商务安全需求。
答题思路：电子商务安全需求包括交易实体身份真实性的需求；信息保密性的需求；信息完整性的需求；交易信息认可的需求；访问控制的需求；信息的有效性需求。具体内容请参加教材。

2．简述OSI安全体系的通信方式。
答题思路：OSI安全体系结构中，各系统进行通信的方式如下：信息从一个计算机系统的应用软件传输到另一个计算机系统的应用软件，必须经过OSI参考模型的每一层次。可参加教材中的举例。

C. 电子商务网络基础设施建设有哪些问题

• 要想实现真正实时的网上交易，要求网络有非常快的响应速度和较高的带宽，这必须由硬内件提供对容高速网络的支持。

• 而我国由于经济实力和技术方面的原因等，网络的基础设施建设还比较缓慢和滞后，已建成的网络其质量离电子商务的要求相距甚远。

• 另一方面，上网用户少，网络利用率低，致使网络资源大量闲置和浪费，投资效益低，严重制约着网络的进一步发展。

• 同时，与银行、税务等十几个部门的联网尚未实现。因此，如何加大基础设施建设的力度，提高投资效益，改变网络通信方面的落后面貌，应是促进电子商务应用普及的首要问题。
  

D. 电子商务安全的措施

适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施，整个系统的安全取决于系统中最薄弱环节的安全水平，这就需要从系统设计上进行全面的考虑，折中选取。电子商务中的安全措施包括有下述几类：
(1)保证交易双方身份的真实性：
常用的处理技术是身份认证，依赖某个可信赖的机构(CA认证中心)发放证书，并以此识别对方。目的是保证身份的精确性，分辨参与者身份的真伪，防止伪装攻击。
(2)保证信息的保密性：
保护信息不被泄露或被披露给未经授权的人或组织，常用的处理技术是数据加密和解密，其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。(3)保证信息的完整性：
常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。
(4)保证信息的真实性：
常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈，如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等，而不是对付未知的攻击者，其基础是公开密钥加密技术。目前，可用的数字签名算法较多，如RSA数字签名、ELGamal数字签名等。
(5)保证信息的不可否认性：
通常要求引入认证中心(CA)进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。
(6)保证存储信息的安全性：
规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。

E. 从事信息管理，信息化建设，网络信息安全是做什么

档案信息化建设主要包括：基础设施建设、档案信息资源建设、应用系统建设、标准规范建设和人才队伍建设等五个方面的内容。
1、
基础设施建设。主要指档案信息网络系统和档案数字化设备。它是档案信息传输、交换和资源共享的基础条件，只有建设先进的档案信息网络，才能充分发挥档案信息化的整体效益。
2、档案信息资源建设。档案信息资源建设是档案信息化建设的基础和核心，是一项长期的工作。档案信息是国民经济和社会发展的战略资源之一，它的开发和利用是档案信息化建设取得成败的关键，也是衡量档案信息化水平的一个重要标志。档案信息资源建设主要内容包括馆藏档案的数字化和电子文件的采集和接收。档案信息资源建设主要形式包括馆藏档案目录中心数据库建设、各种数字化档案全文及专门数据库建设。
3、应用系统建设。应用系统建设主要内容包括档案信息的收集、档案信息的管理、档案信息的利用、档案信息的安全等方面，它关系到档案信息化建设的速度与质量、集中体现了档案信息化建设的效益和档案信息服务的效果。
4、标准规范建设。是对电子文件的形成、归档和电子档案信息资源标识、描述、存储、查询、交换、网上传输和管理等方面，制定标准、规范，并指导实施的过程。档案信息化的标准、规范相当于信息高速公路上的“交通规则”，对于确保计算机管理的档案信息和网络运行的安全、畅通，具有十分重大的意义。
5、人才队伍建设。档案信息化建设，人才是关键。人才是最宝贵的资源。它不仅需要档案专业人才，计算机专业人才，更需要既懂档案业务，又熟悉信息技术的复合型人才。

F. 电子商务与网络信息安全的关系

［ 摘要］ 电子商务对人类社会经济产生了重大影响，在创造巨大经专济效益的同时，也从根本属上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中，已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题，对加快电子商务的发展步伐提出了一些重要思考。 ［ 关键词］ 电子商务；安全需求；安全技术；协议技术电子商务（ Electronic Commerce)是上世纪90 年代初期在西方发达国家首先兴起的一种崭新的利用国际互联网络Internet 这种先进通讯工具的企业经营方式。它是通过网络技术的应用，快速而且有效的进行各种商务活动的全新方法。电子商务无疑是近几年来使用频率最高的词汇之一， 随着电子商务的兴起，它的信息安全问题也日益引人注目。由于电子商务是在公开的网上进行的，支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理，所以如果不能很好地解决信息安全问题，电子商务的发展肯定会受到影响。

G. 网络信息安全的重要性

网络来信息安全的重要性：

当今自社会信息安全越来越受到重视是因为它己经成为影响国家安全的一个权重高的因素，

它直接关系到国家的金融环境、意识形态、政治氛围等各个方面，信息安全问题无忧，国家安全和社会稳定也就有了可靠的保障。

资料拓展：

提升信息安全的技术方法

（1）信息流通过程中加密：通常信息在流通过程中，没有安全措施，易失窃，毫无安全性可言。通过加密等技术的使用，大大减小信息在流通中失窃的机率。

例如，保密线路应用在有线通信中；激光通信等技术应用在无线通信中，这都是比较有效的防窃措施。

（2）电磁辐射控制技术在计算机中的应用：由于电磁辐射的存在，计算机上的信息，在较远的地方使用相关专用的设备。

经分析技术就可以直接接收，拥有高超技术的黑客通过对电磁辐射的分析，窃取一些加密信息内容。

（3）防火墙的设置：防火墙是一种软件的防护形式。防火墙有自己的防护条例，对通信数据的来源和途径进行检测，对于危险的网站或信息，会自动防御，其防御效果还是不错的。

但从其防护方式上看，它是一种比较被动的防御方式，只有外面有进攻，它才能发挥作用。网络安全

H. 电子商务网络安全要素有哪几个方面

(1)网络硬件的不安全抄因素，包括通讯监视、非法终端、线路干扰、运行中断、病毒入侵等 (2)网络软件的不安全因素，包括操作系统、网络协议和网络软件方面的不安全因素(3)工作人员的不安全因素，包括保密观念、规章制度、责任心等方面不健全的因素(4)交易信用的风险因素 (5)计算机病毒和黑客攻击 (6)法方面的风险因素 (7)环境的不安全因素。