㈠ 谁能给个电子商务风险及安全管理的论文参考
电子商务安全风险管理研究
林黎明1 李新春2
( 中国矿业大学 管理学院,江苏 徐州 221008 )
摘要 该文基于目前电子商务安全所面临的各种风险问题,结合当前的一些风险管理方法,对电子商务系统安全风险管理进行一些基本的分析和研究,以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。
关键词 电子商务安全,风险管理,风险识别,风险控制
1 引言
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:
1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
2)信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。
3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。
4)系统资源失窃问题
在网络系统环境中,系统资源失窃是常见的安全威胁。
5)信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。
6)交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。
一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。
(1)评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
(2)开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管
理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
(3)运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。
以上风险管理规则的三个阶段可以用下图来表示:
图1 风险管理规则的三个阶段
4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。
(1)风险识别
电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。
(2)风险分析
风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。
风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。
目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。
(3)风险控制
风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
一般来说,风险控制方法有两类:
第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。
第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。
此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。
对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。
5 风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。
下图为一个有效的纵深防御策略:
图2 有效的纵深防御策略
下面就各层的主要防御内容从外层到里层进行简要的说明:
1)物理安全
物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。
2)周边防御
对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。
3)网络防御
网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。
4)主机防御
主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。
5)应用程序防御
作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。
6)数据防御
对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义
6 结论
一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。
风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。
参考文献
[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.2003.9
[2]钟诚.电子商务安全.重庆大学出版社.2004.6
[3]才书训.电子商务安全风险管理与控制.东北大学出版社.2004.6
[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5
[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.2005.8
[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7
[7]李晶.电子商务安全防范措施.安徽科技.2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998
-------------------------------------------------------------------
参考资料:http://www.xinxijishu.org/Article/pc/jingyan/200607/2558.html
㈡ 电子商务安全问题探讨的论文
电子商务安全技术的分析与研究
[摘 要] 本文首先介绍了电子商务安全的现状,分析了存在的主要问题,然后从网络安全技术、数据加密技术、用户认证技术等方面介绍了主要的电子安全技术,并提出了一个合理的电子商务安全体系架构。
[关键词] 电子商务电子支付 安全技术
一、引言
随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机,也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,安全性问题成为首要问题。
二、目前电子商务存在的安全性问题
1.网络协议安全性问题:目前,TCP/IP协议是应用最广泛的网络协议,但由于TCP/IP本身的开放性特点,企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。
2.用户信息安全性问题:目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易,由于用户在登录时使用的可能是公共计算机,如网吧、办公室的计算机等情况,那么如果这些计算机中有恶意木马程序或病毒,这些用户的登录信息如用户名、口令可能会有丢失的危险。
3.电子商务网站的安全性问题:有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取,给企业和用户造成难以估量的损失。
三、电子商务安全性要求
1.服务的有效性要求:电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
2.交易信息的保密性要求:电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
3.数据完整性要求:数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
4.身份认证的要求:电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
四、电子商务安全技术措施
1.数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措施.其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。
(1)对称密钥加密(SecretKeyEncryption)。对称密钥加密也叫秘密/专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。
(2)非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺点是算法复杂,加密速度慢。
(3)复杂加密技术。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密,生成的密文后再用接收方的公钥加密对称密钥生成数字信封,然后将密文和数字信封同时发送给接收方,接收方按相反方向解密后得到明文。
2.数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。
3.认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行,所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发的数字证书来证明自己的身份。
4.使用安全电子交易协议(SET:Secure Electronic Transactions)。是由VISA 和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。
五、结束语
电子商务是国民经济和社会信息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因素。电子商务的安全是一个复杂系统工程,仅从技术角度防范是远远不够的,还必须完善电子商务方面的立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进电子商务又好又快地发展。
参考文献:
[1]覃 征 李顺东:电子商务概论[M].北京:高等教育出版社,2002.06.
[2]余小兵:浅谈电子商务中的安全问题[J].科技咨询导报,2007.02
[3]曾凤生:电子商务安全需求及防护策略[J].数据库及信息管理,2007.06
仅供参考,请自借鉴。
希望对您有帮助。
㈢ 求一篇《浅析我国电子商务安全现状与应对策略》论文
你好,可以给我一个邮箱吗,我上图书馆资源数据库搜索的以下文章,我把他们发给你
四篇文章题名为:
《电子商务安全管理的现状及其对策》
《我国电子商务安全防范的现状及解决途径》
《我国电子商务安全现状及防范对策探讨》
《浅析我国电子商务安全现状》
希望对你有帮助~
知道 举手之劳团队 队长:晓斌
㈣ 电子商务信息安全与策略毕业论文怎么写
指出电子商务信息中的安全问题,再一一提出自己的建议和解决办法就好了,这是论文或者答辩时中鹏给出的一点模式建议
㈤ 求关于“电子商务的风险及其安全管理”的电子商务专业论文
电子商务的风险及其安全管理
摘要】 指出了网络系统的安全是电子商务运行的一个关键性前提。全面分析了电子商务中可能出现的各类风险 :顾客面临的风险、销售商面临的风险和企业自身面临的风险。最后提出了电子商务的风险管理及其安全防范措施。
感兴趣与我索取全文
㈥ 关于电子商务系统的安全问题研究的毕业论文怎么写
1、你要去了解电子商务安全现状:就是有哪些不安全的因素2、采取某种归来方法进行分析这些因素。3、提出一些可行的方案。最好能结合实例。或者你知道的,熟悉的、或者工作的公司的实例。4、类似楼上的说的支付宝系统也是最经常被引用的。
㈦ 求电子商务的风险及其安全管理论文10000字左右
有是有哦 只是你这分也太少了吧 10000字呢 上次一个6000字的都200分的
㈧ 关于电子商务论文《电子商务的安全与管理》
电子商务的安全策略
摘要:
关键词:
电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务系统的安全性提出了更高的要求,必须保证外部网络(internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。
就整个系统而言,安全性可以分为四个层次,如图1所示
1.网络节点的安全
2.通讯的安全性
3.应用程序的安全性
4.用户的认证管理
图1:安全性四个层次结构
其中2、3、4层是通过操作系统和web服务器软件实现,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
一、网络节点的安全
1.防火墙
防火墙是在连接internet和intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的intranet系统。
2.防火墙安全策略
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1.数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于:
(1)客户浏览器端与电子商务web服务器端的通讯;
(2)电子商务web服务器与电子商务数据库服务器的通讯;
(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。
2.安全链路
在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4o位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,ssl首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(ca中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(pki)。建立ssl链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(rsa)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
四、用户的认证管理
1.身份认证
电子商务企业用户身份认证可以通过服务器ca证书与ic卡相结合实现的。ca证书用来认证服务器的身份,ic卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用id号和密码口令的身份确认机制。
2.ca证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是ca证书,它由认证授权中心(ca中心)发行。ca中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立ssl安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
五、安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。
对于所有接触系统的人员,按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1oo%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。
㈨ 有关电子商务风险及其安全管理的毕业论文
论文要想写好,写出色,先确定题目,一定要和老师商量,因为你喜欢的并不一定是老师喜欢的,然后把要写作的论点确定了,然后再找资料选择论据证明你的论点是正确的。最后给老师列个大纲看一下确定框架,同意了在开始着手写。
你的电子商务风险及其安全管理方面论文准备往什么方向写,选题老师审核通过了没,有没有列个大纲让老师看一下写作方向?
老师有没有和你说论文往哪个方向写比较好?写论文之前,一定要写个大纲,这样老师,好确定了框架,避免以后论文修改过程中出现大改的情况!!
学校的格式要求、写作规范要注意,否则很可能发回来重新改,你要还有什么不明白或不懂可以问我,希望你能够顺利毕业,迈向新的人生。
1,论文应该是单一主题还是面面俱到?
大学生碰到的第一个诱惑是想在论文里写很多东西。比如有个学生对文学感兴趣,他第一个念头就是给论文起一个《今日文学》这样的标题。如果迫不得已要缩小范围,他会选择《从战后到70年代的西班牙文学》。
这类论文是非常危险的。这种题目会让即使是成熟得多的研究者们也直挠头的。对一个20多岁的大学生来说这是不可能完成的挑战。它要么会变成各种名字和主流观点的简单罗列,要么对原始材料的引用会有失偏颇(这常常是由于省略了不该省略的东西引起的)。1961年,当代作家冈萨罗·托兰特·巴雷斯特写了一本《当代西班牙文学面面观》(瓜德拉玛版),然而,如果这是一篇博士论文的话,人们是一定会把它毙了的,虽然它厚达几百页。它被指责出于疏忽或者无知而没有提到一些被认为非常重要的人物的名字,或者他有时会花一整个章节来写一些“不怎么样”的作家,而对于一些被认为是“重要人物”的则只给了寥寥数笔。当然,我们知道该作者的历史学识以及批评能力都是得到认可的,所以这些遗漏或者比例失调都是有意为之,对某个人物避而不谈比为他洋洋洒洒地写上一整页更能够说明问题。不过如果同样的事情发生在一个二十二岁的大学生身上,谁又能保证他的沉默背后不是别有用心呢?或者他的避而不谈是因为会在其他地方花上几页纸来讨论这个问题?或者这个作者到底知不知道应该怎样写啊?
写这种论文的学生常常会向评审委员会的成员抱怨说他们没看懂自己的意思,但是那些成员实际上“无法”看懂他的意思,所以一篇面面俱到的论文常常被看作是傲慢的表现。并不是说(论文中所体现的)学术上的傲慢就一定要被否定掉,我们甚至可以说但丁是个糟糕的诗人,但必须至少先写个300页,对但丁的文本进行深入的分析之后才能说。而这些在一片面面俱到的论文中是看不到的。正因为这样,对于一个大学生来说,与其写什么《从战后到70年代的西班牙文学》,还不如选一个更切实际的低调一点的题目。
我可以很直接地告诉你什么才是好题目,它并不是《阿尔代科阿的小说》,而是《“天堂鸟”的两种不同版本》。听上去是不是有点无趣?可能吧,不过那会是更加有趣的挑战。
只要好好想一想你就会看到归根到底这是一个如何讨巧的问题。如果写一篇关于四十年的文学的面面俱到的论文,学生将会面对各种可能的反对声音。如果有个提案人或者评审委员会的成员正好想要标榜自己知道某个不太知名的作家,如果那个学生正好又没有把那个作家包括在论文内,他将如何面对前者的发难呢?只要每个评审委员会的成员在看目录时都发现了三个没有被提到的人,那个学生就将在一顿猛烈的轰炸中变得脸色惨白,他的论文顿时好像变成了屁话连篇。相反的,如果学生认真地选择一个范围很小的题目,他就只需要牢牢把握住一份评审委员会大多数成员都不知道的材料就可以了。我并不是在兜售什么下三滥的伎俩,这的确是一种伎俩,但并不低俗,而且它很管用。只要学位申请人以“专家”的面目出现在不如他专业的公众面前,而且看得出为了成为专家他是花了一番心血的,这样占一点便宜是无可厚非的。
在这两种极端之间(也就是写四十年文学史的面面俱到的论文以及两种文本之间区别这样严格的单一主题论文)存在着许多中间形式。比如我们可以写《四十年代先锋派文学家的经历》或者《胡安·贝内特和桑切斯·菲尔罗西奥对地理的文学处理》,甚至《卡洛斯·埃德蒙多·德·奥利,埃杜瓦多·奇恰罗以及格罗里亚·富埃尔特斯:三位后岛屿诗人的异同》。
我们来看一下一本小册子上的一段话,虽然那是科学领域的,但它所给出的建议适用于所有学科:
比如说,《地质学》这个题目就太宽泛了。《火山学》是地质学的一个分支,但是也太大了。《墨西哥的火山》是个不错的着手点,但是同样不够深入。我们把范围在缩小一点就有可能引出非常有价值的研究了:《波波卡莱佩伊尔火山的历史》(科尔特斯的征服者中的某人可能在1591年登上过那里,直到1702年它都没有猛烈喷发过)。一个范围更小,所涉及年份更少的题目是《帕里库丁火山的诞生和死亡》(它的生命仅仅从1943年2月20日延续到了到1952年3月4日)。
好吧,我还是推荐最后一个题目。因为到了这个地步,只要申请人能够对那座不幸的火山知无不言,言无不尽就可以了。
很久以前,有个学生跑来跟我说他要写一篇题为《当代思想中的符号》的论文。这样的论文是不可能的。连我也不知道“符号”到底指的是什么,实际上这个词在不同的作者那里具有不同的意思,有时,两个作者会用它来表达意思完全相反的两件东西。我们只要考虑一下形式逻辑学家或者数学家所理解的“符号”,它们是没有意义的,在计算公式中占据特定位置,具有特定功能的东西(比如代数公式中的a,b,x,y神马的),而其他一些作者则可能把它们看做充满了模棱两可含义的东西,比如梦中出现的那些图像,它们可能指一棵树,或者性器官,或者想要长大的愿望等等。所以,我们怎么能把这个作为论文的题目呢?我们必须分析当代文化中所有关于符号的理论,列出它们的共同点和不同点,在它们的不同点里寻找所有作者和理论共有的基本的单一概念,看一下这些不同在不同理论中是否是不相容的。没有当代的哲学家,语言学家或者心理分析学家能够令人满意地解决这个问题。一个初出茅庐的大学生,即使他早慧也只不过接受了最多六七年的成年人的教育,他又怎么能够完成这样的研究呢?最多又是一个像托兰特·巴雷斯那样有失偏颇的东西了。或者他会提出自己的关于符号的理论,而把前人所说的东西晾在一边,下一节我们还要再来说说这种做法值得商榷的地方。我和这个学生交谈了一会儿,我建议他可以写弗洛伊德和荣格的符号,他需要忘记其他各种观点,专心考虑上面的两个作者。可惜这个学生不懂德语(关于语言的问题我们会在第五节谈到)。最后我们决定将题目定为《皮尔士,弗莱和荣格的符号概念》,论文将讨论这三位分别是哲学家,评论家和心理分析家的不同作者那里的三个用同一个词表示的不同概念。由于他们用了同一个词结果造成了混乱,常常有人把其中一位的概念安到另一个人身上。在文章的最后,作为假设的结论,这个学生试图在这些同名异义的概念间寻找平衡,找出它们的相似点。他还提到了一些自己所知道的其他作者,但表示因为论文篇幅所限就无法对他们更多展开了。这样,虽然他的论文只提到了作者X,Y,Z,但没有人能够指责他没有考虑作者K。也没有人能指摘他对引述的那些其他作者不够详细,因为那是在论文的结尾处顺带说一下的,而论文的主体是讨论题目中所出现的那三位作者。
现在我们看到了论文不必非要恪守单一主题,一篇面面俱到的论文也可以变得中规中矩,让所有人都接受。
需要指出的是,“单一”这个词的意思比我们在这里所用的要多得多。一篇单一论文只涉及一个主题,与“XXX的历史”或者一本手册或者一本网络全书完全相反。从这个意义上来说,《中世纪作家的“颠倒的世界”这个主题》应该也是一个单一主题。它涉及许多作家,但全都是围绕一个具体的主题(从他们想象的假设到所举的例子,悖论和寓言,比如在天上飞的鱼,在水里游的鸟神马的)。看上去这是一个理想的单一主题。但事实上,为了写这样一篇论文,我们需要讨论所有与这个主题有关的作者,特别是那些没有得到公认的不知名作者。所以这个题目还是要被归在“具有单一主题的面面俱到式论文”中,它是很难写的,需要准备无数的材料。如果有人一定要写的话,我建议把题目改成《卡洛林王朝时期的诗人的“颠倒的世界”这个主题》,范围一缩小,我们就知道该到哪儿不该到哪儿去寻找材料了。
当然,面面俱到的论文写起来更加有劲,毕竟花一两年甚至更长的时间研究一位作家显得很无聊。但是我们要明白,写一篇严格意义上的单一主题的论文并不意味着在视角上不能做到面面俱到。写一篇关于阿尔德科阿的小说的论文需要我们深入了解西班牙的现实主义,我们还需要读桑切斯·菲尔罗西奥或者加西亚·奥尔特拉诺,需要研究阿尔德科阿度过的美洲小说以及古典文学。只有把作者放到全景当中我们才能理解和诠释他。但是把全景用作背景和绘出一幅全景的图画是两回事。前者只是以一片田野和一条河流作为背景画了一幅骑士的肖像,后者则要画许多田野,山谷和河流。我们必须要改变技法,或者用摄影的术语来说,改变焦距。从单一作者的角度出发拍摄的全景是有点失焦的,不完整的和劣质的。
最后我们要记住下面这个基本结论:范围越小,干起活来就越是省心和安心。单一主题由于面面俱到,论文看起来最好像是随笔,而不是历史或者网络全书。
㈩ 求一篇关于电子商务安全的论文
这里我看到很抄多关于电子商务安全方面的论文,你可以自己查看下
http://www.paper521.com/news.asp?anclassid=131