第九章电子商务安全与风险管理

① 求关于“电子商务的风险及其安全管理”的电子商务专业论文

电子商务的风险及其安全管理

摘要】 指出了网络系统的安全是电子商务运行的一个关键性前提。全面分析了电子商务中可能出现的各类风险 :顾客面临的风险、销售商面临的风险和企业自身面临的风险。最后提出了电子商务的风险管理及其安全防范措施。

感兴趣与我索取全文

② 求电子商务的风险及其安全管理论文10000字左右

有是有哦 只是你这分也太少了吧 10000字呢 上次一个6000字的都200分的

③ 电子商务安全的管理方法有哪些

电子商务是利用各种电子化手段进行的商务活动,其价值的实现主要依托于网络,尤其是互联网,它已经成为互联网应用的一个必然趋势和金融商贸的主要模式之一.如何建立一个安全的电子商务应用环境,对信息提供足够的保护,已经成为电子商务必须直面的一个问题.
由于电子商务的重要技术特征是利用网络来传输和处理商业信息,因此,电子商务安全主要包括两个方面:网络安全和商务安全.而这些安全的实现又依托于一些具体的安全技术,遵循相关安全协议.
1 网络安全问题
网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性.网络安全是电子商务的基础,其问题一般表现为:
1.1 计算机本身潜在的安全隐患带来的网络安全问题
计算机使用的是未经过相关的网络安全配置的操作系统,不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题,而仅仅将操作系统按缺省安装后,再配上很长的密码就认为安全的想法是不可靠的.因为计算机本身存在的软件漏洞和"后门"往往是网络攻击的首选目标.
1.2 入侵者风险降低获利升高带来的刺激引发的网络安全问题
由于网络的全球性,开放性,共享性的发展,使得任何人都可以自由地接入互联网,而这其中也包括了黑客,入侵者和病毒制造者.他们采用的攻击方法越来越多,对电子商务的威胁也显得越来越明显.相对而言,袭击者本身的风险却非常小,甚至可以在袭击后很快就消失得无影无踪,使对方几乎没有实行报复打击的可能,这使他们的活动更加猖獗.美国的"雅虎"和"亚马逊"曾受到攻击的事件就说明了这一点.
1.3 安全设备使用不当带来的网络安全问题
虽然绝大多数网站采用了网络安全设备,有的甚至还耗费巨资,但由于安全设备本身因素或使用问题,这些设备并没有起到应有的或期望的作用.很多安全厂商的产品对配置人员的技术背景要求很高,往往超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确地安装,配置,一旦系统改动,需要改动相关安全设备的设置时,很容易产生许多安全问题.而通常意义上的网络管理者往往无法胜任这样的工作.
因此在实施网络安全防范措施时应做到:首先要加强主机本身的安全,做好安全配置;及时安装安全补丁程序,减少漏洞;安装防病毒软件和软件防火墙,加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志,以便检测并跟踪入侵攻击.同时充分利用已经公布的有关交易安全和计算机安全的法律法规为电子商务交易护航.再者,面对普通网络管理员的技术水平,在网络的建设和维护中可采用联合开发维护的方式,通过前期的建设和维护不断提高和完善自身团队的技术水平,使其在成长中逐步胜任企业对网络安全的要求.
网络管理者在思想上高度重视安全问题也是相当有必要的.技术的产生一般相对于人们的需求有一定的滞后性,而建立和实施严密完善的网络安全制度和策略往往可以代替暂时无法实现的技术,毕竟这才是真正实现网络安全的基础.
一个全方位的计算机网络安全体系结构通常包含网络的物理安全,访问控制安全,系统安全,用户安全,信息加密,安全传输和管理安全.这一切的实现依赖于各种先进的主机安全技术,身份认证技术,访问控制技术,密码技术,防火墙技术,安全审计技术,安全管理技术,系统漏洞检测技术,黑客跟踪技术.随着安全核心系统,VPN安全隧道,身份认证,网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术的应用,从不同层面加强了计算机网络的整体安全性,渐渐在攻击者和受保护的资源间建立了多道严密的安全防线,增加了恶意入侵的难度.
为了保证电子商务活动的顺利进行,必须有安全完善的网络体系为其提供稳定可靠,强有力的支撑.
2 商务安全问题
商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性.
在早期的电子交易中,曾采用过一些简单的安全措施.例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性.这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性.
2.1 商务安全中普遍存在的几种安全隐患
2.1.1 窃取信息
信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送.入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄.
2.1.2 篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性.入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策.
2.1.3 信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨.常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等.
2.1.4 信息破坏
由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的.
2.2 商务安全的要求
2.2.1 信息的保密性
交易中的商务信息都需要遵循一定的保密规则.因为其信息往往代表着国家,企业和个人的商业机密.在以往传统的纸面贸易中采用邮寄封装或通过可靠的通信渠道传送商业信息来达到保密的目的和要求.而电子商务是建立在一个较为开放的互联网络环境上的,它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务,因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性.一般用密码技术来实现.
2.2.2 信息的完整性
不可否认电子商务的出现以计算机代替了人们大多数复杂的劳动,也以信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整,统一出现了问题.由于数据输入时的意外差错(如计算机自动处理过程中死机,停电等),可能导致贸易各方信息的不一致.此外,数据传输过程中人为的或自然的信息丢失(如数据包丢失),信息重复或信息传送的次序差异(如网络堵塞重发)也会导致贸易各方信息的不同.而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略.因此保持贸易各方信息的完整性是电子商务应用必备的基础.完整性一般可通过提取信息消息摘要的方式来获得.
2.2.3 信息的不可抵赖性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息,或与之相反,接受方收到信息后并不承认曾经收到过该条消息.因此如何确定交易中的任何一方在交易过程中所收到的交易信息正是自己的合作对象发出的,而对方本身也没有被假冒,是电子商务活动和谐顺利进行的保证.信息的保证可以通过对发送的消息进行数字签名来获取.身份的确定一般都采用证书机构CA和证书的方法来实现.让素昧平生,相隔千里的双方成为合作伙伴毕竟不是一件容易的事情.
当然,在电子商务活动中还有许多要求,比如交易信息的时效界定问题,交易一旦达成后有无撤消和修改的可能等.相信在电子商务的发展中必将涌现各种技术和各项法律法规,规范人们的需求并帮助其实现,以保证电子商务交易的严肃性和公正性.
3 电子商务的安全技术
3.1 加密技术
加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务.
3.1.1 加密技术的现状
如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准.
另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景.
3.1.2 常用的加密技术
对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类.
不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管.
不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密.
3.1.3 电子商务领域常用的加密技术
数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致.
数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒.
数字时间戳:是对交易文件的时间信息所采取的安全措施.该网上安全服务项目,由专门的机构提供.时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名.
数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种.
3.2 身份认证技术
在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份.前面所提到的数字时间戳服务和数字证书的发放,也都是由这个认证中心来完成的.
3.3 支付网关技术
支付网关,通常位于公网和传统的银行网络之间(或者终端和收费系统之间),其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密.支付网关技术主要完成通信,协议转换和数据加解密功能,并且可以保护银行内部网络.此外,支付网关还具有密钥保护和证书管理等其它功能(有些内部使用网关还支持存储和打印数据等扩展功能).
4 与电子商务安全有关的协议技术
4.1 SSL协议(Secure Sockets Layer)
SSL协议也叫安全套接层协议,面向连接的协议,是现在使用的主要协议之一,但当初并非为电子商务而设计.该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性.SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP,FTP,TELNET等)以保证应用层数据传输的安全性.由于其独立于应用层协议,在电子交易中常被用来安全传送信用卡号码,但由于它是个面向连接的协议,只适合于点对点之间的信息传输,即只能提供两方的认证,而无法满足现今主流的加入了认证方的三方协作式商务模式,因此在保证信息的不可抵赖性上存在着缺陷.
4.2 SET协议(Secure Electronic Transaction)
SET协议也叫安全电子交易,对基于信用卡进行电子化交易的应用提供了实现安全措施的规则,与SSL协议相比较,做了些改进.在商务安全问题中,往往持卡人希望在交易中对自己的交易信息保密,使之不会被人窃取,商家希望客户的定单真实有效,并且在交易过程中,交易各方都希望验明对方的身份,以防止被欺骗.针对这种情况,Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议,一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准.它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性.由于SET 提供了消费者,商家和银行之间的认证,弥补了SSL的不足,确保了交易数据的安全性,完整性,可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准.
除此之外还有安全超文本传输协议(SHTTP),安全交易技术协议(STT)等.协议为电子商务提供了规范.
5 结语
安全是电子商务的核心和灵魂.电子商务对网络安全与商务安全的双重要求,使网络安全与商务安全密不可分.没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起;没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求.而电子商务相应的实现技术和各种协议正是安全得以实现的保证.

④ 简述电子商务安全风险的类型及安全管理的方法

电子商务网络系统自身的安全问题
（1）物理实体安全问题
（2）计算机软件系统潜回在的安全答问题
（3）网络协议的安全漏洞
（4）黑客的恶意攻击
（5）计算机病毒攻击
（6）安全产品使用不当
5、电子商务交易信息传输过程中面临哪些安全问题？
（1）信息机密性面临的威胁：主要指信息在传输过程中被盗取。
（2）信息完整性面临的威胁：主要指信息在传输的过程中被篡改、删除或插入
（3）交易信息的可认性面临的威胁：主要指交易双方抵赖已经做过的交易或传输的信息。
（4）交易双方身份真实性面临的威胁：主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题（1）网络安全管理制度问题（2）硬件资源的安全管理问题（3）软件和数据的维护与备份安全管理问题
有什么不懂的可以问我，我是#华农@百灵#的。

⑤ 电子商务的安全风险有哪些

1. 客户来面临的风险
   客户面临的风险是指客源户一方的私有信息被盗用或破坏的可能性。例如：客户的账号及密码、信用卡信息、客户计算机系统及数据等。

2. 销售商面临的风险
   在电子商务中，销售商面临的风险主要有三方面，即假客户、被封锁服务和数据被窃。

3. 企业自身面临的风险
   （1）人为制造的灾难包括计算机病毒和硬件设备的人为破坏。

   （2）企业内部网的风险。据统计，对网络系统的攻击有85%是来自企业内部的黑客。

   （3）企业与其他企业进行商务活动时的风险。企业在与其他企业进行商务合作或竞争时，其他企业可能利用非法手段窃取该企业的文件或数据。其中的风险为：传输中数据的被盗、企业计算机上的数据及文件的被盗。

4. 电子商务在网络上的运行还不够规范

   对于网上的税收、合同以及保险等方面都存在着不规范的现象,在加之法律在网络上的不健全,这些都制约着电子商务在网络的发展。
   

   
   

⑥ 求毕业论文一篇！题目：电子商务的风险及其安全管理

电子商务安全风险管理研究
林黎明1 李新春2
（ 中国矿业大学 管理学院，江苏 徐州 221008 ）

摘要 该文基于目前电子商务安全所面临的各种风险问题，结合当前的一些风险管理方法，对电子商务系统安全风险管理进行一些基本的分析和研究，以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。
关键词 电子商务安全，风险管理，风险识别，风险控制

1 引言
随着开放的互联网络系统Internet的飞速发展，电子商务的应用和推广极大了改变了人们工作和生活方式，带来了无限的商机。然而，电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境、提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性，以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说，电子商务普遍存在着以下几个安全风险：
1）信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
2）信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入，并发往目的地，从而达到破坏信息完整性的目的。
3）拒绝服务
拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。
4）系统资源失窃问题
在网络系统环境中，系统资源失窃是常见的安全威胁。
5）信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。
6）交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险，电子商务企业不能被动、消极地应付，而应该主动采取措施维护电子商务系统的安全，并监视新的威胁和漏洞。因此，这就需要制定完整高效的电子商务安全风险管理规则。
一般来说，风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。
（1）评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估，以便确定相适应的风险管理规则，从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险，应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险，收集信息，对可能造成的损失进行评价以估计风险的级别，以便做出明智的决策，从而采取措施来规避安全风险。
（2）开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略，其中涉及配置管
理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后，即进行安全风险补救措施的测试，在测试过程中，将按照安全风险的控制效果来评估对策的有效性。
（3）运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程，也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。

以上风险管理规则的三个阶段可以用下图来表示：

图1 风险管理规则的三个阶段

4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法，它包括风险识别、风险分析、风险控制以及风险监控等四个方面。
（1）风险识别
电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险，识别安全风险是风险管理的第一步。
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上，识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门，对于电子商务系统的安全来说，风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
需要注意的是，并非所有的电子商务安全风险都可以通过风险识别来进行管理，风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险，则依赖于风险分析和控制来加以解决或降低。
（2）风险分析
风险分析是运用分析、比较、评估等各种定性、定量的方法，确定电子商务安全各风险要素的重要性，对风险排序并评估其对电子商务系统各方面的可能后果，从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上，使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法，它是制定安全措施的依据。
风险分析的目标是：确定风险，对可能造成损坏的潜在风险进行定性化和定量化，以及最后在经济上寻求风险损失和对风险投入成本的平衡。
目前，风险分析主要采用的方法有：风险概率/影响评估矩阵，敏感性分析，模拟等。在进行电子商务安全风险分析时，由于各影响因素量化在现实上的困难，可根据实际需要，主要采用定性方法为主辅以少量定量方法相结合来进行风险分析，为制定风险管理制度和风险的控制提供理论上的依据。
（3）风险控制
风险控制就是选择和运用一定的风险控制手段，以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节，是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
一般来说，风险控制方法有两类：
第一类是风险控制措施，比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中，比较常用的是转移风险和损失管理。
第二类为风险补偿的筹资措施，包括保险与自担风险。在电子商务安全风险管理中，管理人员需要对风险补偿的筹资措施进行决策，即选择保险还是自担风险。
此外，风险控制方法的选择应当充分考虑相对风险造成损失的成本，当然其它方面的影响也是不容忽视的，如企业商誉等。
对电子商务安全来说，其有效可行的风险控制方法是：建立完整高效的降低风险的安全性解决方案，掌握保障安全性所需的一些基础技术，并规划好发生特定安全事故时企业应该采取的解决方案。
5 风险管理对策
由于电子商务安全的重要性，所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞，从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中，较为常用的是纵深防御战略，所谓纵深防御战略，就是深层安全和多层安全。通过部署多层安全保护，可以确保当其中一层遭到破坏时，其它层仍能提供保护电子商务系统资源所需的安全。比如，一个单位外部的防火墙遭到破坏，由于内部防火墙的作用，入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下，每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。
下图为一个有效的纵深防御策略：

图2 有效的纵深防御策略

下面就各层的主要防御内容从外层到里层进行简要的说明：
1）物理安全
物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。
2）周边防御
对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说，防火墙是网络周边防御的最主要的手段，电子商务系统应当安装一道或多道防火墙，以确保最大限度地降低外界攻击的风险，并利用入侵检测功能来及时发现外界的非法访问和攻击。
3）网络防御
网络防御是对网络系统环境进行评估，采取一定措施来抵御黑客的攻击，以确保它们得到适当的保护。就目前来说，网络安全防御行为是一种被动式的反应行为，而且，防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力，使网络安全防护系统在攻击与防护的对抗中占据主动地位，在网络安全防护系统中，除了使用被动型安全工具（防火墙、漏洞扫描等）外，也需要采用主动型安全防护措施（如：网络陷阱、入侵取证、入侵检测、自动恢复等）。
4）主机防御
主机防御是对系统中的每一台主机进行安全评估，然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中，安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架，对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线，其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。
5）应用程序防御
作为一个防御层，应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此，电子商务系统的开发人员有责任将安全保护融入到应用程序中，以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。
6）数据防御
对许多电子商务企业来说，数据就是企业的资产，一旦落入竞争者手中或损坏将造成不可挽回的损失。因此，加强对电子商务交易及相关数据的防护，对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义
6 结论
一般来说，风险管理有基本的三个对策，包括管理者采取适当措施来降低风险事故发生的概率；管理者准备并实施一个意外事故应急计划以备不测；还有就是管理者什么都不做。对已选定的对策，应对其潜在的风险有充分的估计，并制定相应的应变计划，以使可能的风险损失降到最低。
风险管理没有铁定的规则，对于电子商务安全风险管理来说，首先是扫描和检测电子商务系统的内外部环境，检查系统的脆弱性和薄弱环节，及时打上补丁和追加设备，以便当风险产生时尽可能地减少损失；其次是对电子商务安全风险进行充分地分析，然后制定相应的规划和措施，并在其实施的每个阶段进行监控和跟踪；最后是根据环境的变化随时调整风险管理措施，制定完备的灾难恢复计划。

参考文献
[1]甘早斌．电子商务概论（第二版）．华中科技大学出版社．2003.9
[2]钟诚．电子商务安全．重庆大学出版社．2004.6
[3]才书训．电子商务安全风险管理与控制．东北大学出版社．2004.6
[4]易珊，张学哲．电子商务安全策略分析．科技情报开发与经济．2004.5
[5]高新亚，邹静．电子商务安全的风险分析和风险管理．武汉理工大学学报.信息与管理工程版．2005.8
[6]郭学勤，陈怡．电子商务安全对策．计算机与数字工程．2001.7
[7]李晶．电子商务安全防范措施．安徽科技．2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998

-------------------------------------------------------------------

⑦ 关于电子商务论文《电子商务的安全与管理》

电子商务的安全策略

摘要：

关键词：

电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接，这对于电子商务系统的安全性提出了更高的要求，必须保证外部网络（internet）用户不能对生产系统构成威胁。为此，需要全方位地制定系统的安全策略。

就整个系统而言，安全性可以分为四个层次，如图1所示

1．网络节点的安全

2．通讯的安全性

3．应用程序的安全性

4．用户的认证管理

图1：安全性四个层次结构
其中2、3、4层是通过操作系统和web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

一、网络节点的安全

1．防火墙

防火墙是在连接internet和intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的intranet系统。

2．防火墙安全策略

应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

3．安全操作系统

防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。

二、通讯的安全

1．数据通讯

通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于：

（1）客户浏览器端与电子商务web服务器端的通讯；

（2）电子商务web服务器与电子商务数据库服务器的通讯；

（3）银行内部网与业务网之间的数据通讯。其中（3）不在本系统的安全策略范围内考虑。

2．安全链路

在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4o位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，ssl首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（ca中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（pki）。建立ssl链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（rsa）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

三、应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。

四、用户的认证管理

1．身份认证

电子商务企业用户身份认证可以通过服务器ca证书与ic卡相结合实现的。ca证书用来认证服务器的身份，ic卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用id号和密码口令的身份确认机制。

2．ca证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是ca证书，它由认证授权中心（ca中心）发行。ca中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立ssl安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。

五、安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。

对于所有接触系统的人员，按其职责设定其访问系统的最小权限。

按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证1oo％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

⑧ 电子商务安全与管理的目录

第一部分电子商务安全与管理总论
第1章电子商务基础理论
1.1电子商务流程
1.1.1电子商务的基本交易过程
1.1.2网上商品交易流程
1.2电子商务模式
1.2.1网上直销型电子商务模式
1.2.2网上中介型电子商务模式
复习题
思考题
第2章电子商务安全与管理总论
2.1电子商务面临的安全问题
2.1.1电子商务网络系统自身的安全问题
2.1.2电子商务交易信息传输过程中的安全问题
2.1.3电子商务企业内部安全管理问题
2.1.4电子商务安全法律保障问题
2.1.5电子商务的信用安全问题
2.1.6电子商务安全支付问题
2.2电子商务安全管理
2.2.1电子商务安全管理的思路
2.2.2电子商务安全管理方法
复习题
思考题
第二部分电子商务通信过程的安全风险与控制
第3章电子商务通信过程的安全风险
3.1Internet安全与风险
3.1.1风险分析理论
3.1.2Internet上的安全风险分析
3.1.3Internet中最容易受到侵袭的薄弱环节
3.2Internet通信协议中的安全风险
3.2.1Internet通信协议简介
3.2.2Internet协议中的安全风险
3.3Internet应用风险
3.3.1文件传输（FTP）的安全问题
3.3.2远程登录（Telnet）的安全问题
3.3.3WWW的安全问题
3.3.4E-mail的安全问题
3.3.5DNS服务的安全问题
3.3.6网络文件系统（NFS）的安全问题
复习题
思考题
第4章电子商务通信过程的安全控制
4.1保证非安全网络安全通信的加密技术
4.1.1密码学的理论基础
4.1.2网络加密方式
4.1.3对称密码加密技术
4.1.4公钥加密技术
4.2电子商务应用安全协议
4.2.1安全套接层（SSL）协议
4.2.2安全电子交易（SET）协议
4.2.3其他安全协议
4.3数字证书
4.3.1数字证书
4.3.2认证中心（CA）
4.4公钥基础设施
4.4.1PKI简介
4.4.2PKI技术的信任服务及意义
4.4.3PKI的标准及体系结构
4.4.4PKI的应用
复习题
思考题
第三部分电子商务站点的安全风险与控制
第5章网站的安全风险
5.1信息安全与计算机犯罪
5.1.1网站的信息安全
5.1.2反病毒管理
5.1.3计算机犯罪
5.2访问控制（认证系统）中的安全风险
5.2.1口令的选择
5.2.2口令捕捉的常见方法
5.2.3口令文件的保护
5.3WWW、Gopher及FTP信息服务的安全风险
5.3.1WWW服务器的安全风险
5.3.2Gopher服务器的安全风险
5.3.3匿名FTP服务器的安全风险
复习题
思考题
第6章网站的安全控制
6.1系统安全的标准与组织
6.1.1黄皮书（TCSEC）
6.1.2欧洲的ITSEC标准目录
6.2网站的安全配置
6.2.1WindowsNT环境常用服务器的安装
6.2.2网站的安全配置
6.3防火墙的体系结构、分类与功能
6.3.1防火墙的定义及其宗旨
6.3.2防火墙的主要设计特征
6.3.3防火墙系统的体系结构
6.3.4基于信息包过滤器的防火墙
6.3.5线路中继器和应用网关防火墙
6.3.6防火墙系统的局限性
6.4侵袭模拟器
6.4.1侵袭模拟器简介
6.4.2系统安全性检查软件
6.4.3其他监视工具
复习题
思考题
第7章操作系统安全与控制
7.1操作系统及其安全控制措施
7.1.1操作系统的功能和安全控制
7.1.2操作系统的类型
7.2Windows操作系统的安全管理
7.2.1Windows操作系统简介
7.2.2Windows操作系统安全控制
7.3UNIX操作系统的安全管理
7.3.1UNIX操作系统简介
7.3.2UNIX操作系统的版本简介
7.3.3UNIX操作系统安全控制
7.4Linux操作系统的安全管理
7.4.1Linux操作系统简介
7.4.2主流Linux操作系统版本简介
7.4.3Linux操作系统安全控制
复习题
思考题
第8章数据库管理系统安全与控制
8.1数据库管理系统简述
8.1.1数据库系统含义和功能
8.1.2发展历史和主要产品
8.2数据库管理系统安全需求
8.2.1数据库安全管理框架
8.2.2数据库的安全需求
8.3数据库管理系统安全控制
8.3.1安全性控制
8.3.2完整性控制
8.3.3并发控制
8.3.4数据库恢复策略
复习题
思考题
第9章不安全系统中的商务风险与管理
9.1与不安全通信网络相关的风险
9.1.1消费者所面临的风险
9.1.2销售代理所面临的风险
9.2与企业内部网相关的风险
9.2.1离职员工的破坏活动
9.2.2在职员工的威胁
9.3贸易伙伴间商业交易数据传输中的风险
9.3.1企业内部网、企业外部网及互联网之间的关系
9.3.2数据截取
9.3.3受保密措施维护的档案文件、主文件与参考数据所面临的风险
9.4风险管理模式
9.4.1风险管理模式
9.4.2电子商务风险类型
9.4.3内部控制体系
9.4.4内部控制在风险管理中的作用
9.5控制风险与实施计划
9.5.1控制支出不足与控制支出风险
9.5.2灾害拯救计划
9.6电子商务的第三方保证
9.6.1标准制定
9.6.2合法性确认
9.6.3影响机制
9.6.4解决纠纷
9.7智能代理与电子商务
9.7.1智能代理的定义
9.7.2智能代理的能力
9.7.3代理组合
9.7.4智能代理与电子商务
9.7.5代理的局限性
9.7.6代理与安全
复习题
思考题
附录A国际电子商务立法大事记
附录B国内有关电子商务的颁布与实施
附录C与网络安全有关的请求说明（RFC）索引
参考文献
……

⑨ 电子商务安全威胁及防范措施分别是什么

1、未进行操作系统相关安全配置

不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。

2、未进行CGI程序代码审计

如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

3、拒绝服务（DoS，DenialofService）攻击

随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。

4、安全产品使用不当

虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

5、缺少严格的网络安全管理制度

网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

6、窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

7、篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

8、假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

9、恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

安全对策

1、保护网络安全。

保护网络安全的主要措施如下：全面规划网络平台的安全策略，制定网络安全的管理措施，使用防火墙，尽可能记录网络上的一切活动，注意对网络设备的物理保护，检验网络平台系统的脆弱性，建立可靠的识别和鉴别机制。

2、保护应用安全。

应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

3、保护系统安全。

在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

4、加密技术

加密技术为电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

5、认证技术。

用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。包括数字签名、数字证书。

6、电子商务的安全协议。

电子商务的运行还有一套完整的安全协议，有SET、SSL等。

(9)第九章电子商务安全与风险管理扩展阅读

从电子商务的含义及发展历程可以看出电子商务具有如下基本特征：

1、普遍性。电子商务作为一种新型的交易方式，将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。

2、方便性。在电子商务环境中，人们不再受地域的限制，客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等，同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中，有大量的人脉资源开发和沟通，从业时间灵活，完成公司要求，有钱有闲。

3、整体性。电子商务能够规范事务处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体，这样不仅能提高人力和物力的利用率，也可以提高系统运行的严密性。

4、安全性。在电子商务中，安全性为一个至关重要的核心问题，它要求网络能提供一种端到端的安全解决方案，如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等，这与传统的商务活动有着很大的不同。

5、协调性。商业活动本身为一种协调过程，它需要客户与公司内部、生产商、批发商、零售商间的协调。在电子商务环境中，它更要求银行、配送中心、通信部门、技术服务等多个部门的通力协作，电子商务的全过程往往是一气呵成的。

⑩ 电子商务安全的图书4

书名：电子商务安全实用教程
适用专业：电子商务专业
书号：978-7-113-12135-8
版次：1版1次
开本：16开
作者：唐四薪
出版时间：2011-01-05
定价：30 元
出版社：中国铁道出版社 《电子商务安全实用教程》在写作过程中力求突出电子商务安全的特色，这主要表现在以下几方面。
(1)将密码学与网络安全中涉及较深数学知识及较复杂的密码算法的部分删除掉，但保留一些基本的密码学原理和一些必要的数学知识。例如，在公钥密码算法方面，主要介绍rsa和dh两种算法，因为这两种算法比较简单，但又能使学生明白公钥密码体制的原理，而且在目前仍然是使用最广泛的密码算法。这是考虑到电子商务专业学生学习基础而定的。
(2)处理好电子商务安全原理和应用之间的关系。原理是基础，对电子商务安全的基础问题加密技术和认证技术做了较详细通俗且符合认知逻辑的阐述，使读者能更深刻的理解电子商务安全问题的产生原因。同时增加了单点登录技术、电子现金与微支付的安全机制和电子商务网站安全这些极具实用性和富有特色的内容。在编写形式上，叙述详细，重点突出。在阐述基本原理时大量的结合实例来分析，做到通俗生动。采用问题启发式教学，一步步引出各种加密、认证技术的用途。
(3)辩证地看待电子商务安全在技术和管理方面的教学需要。虽然说电子商务安全是“三分技术、七分管理”。但毋庸置疑的事实是，目前绝大多数电子商务安全教材在篇幅安排上都是“七分技术、三分管理”，这样安排是有道理的。因为大学教育的主要目是为学生打基础，对于技术知识，学生要自学掌握是比较困难的，因此，教师必须重点阐述使学生能理解这部分知识，而管理知识学生可以通过以后自学并在工作实践中掌握，只有有了一定的实践经验才能更有效地学习安全管理方需的知识。 第一章 电子商务安全概述
1.1 电子商务的现状及实现方式
1.1.1 电子商务在我国的发展现状
1.1.2 电子商务的主要类型
1.1.3 电子商务系统的组成
1.1.4电子商务基础平台
1.2 电子商务安全的内涵
1.2.1 计算机网络的安全
1.2.2 交易安全
1.2.3 电子商务安全的特点
1.3 电子商务安全的基本需求
1.3.1 电子商务面临的安全威胁
1.3.2 电子商务安全要素
1.4电子商务安全技术
1.5 电子商务安全体系结构
1.5.1 电子商务安全体系结构的组成
1.5.2 电子商务安全的管理架构
1.5.3 电子商务安全的基础环境
习题
第二章密码学基础
2.1 密码学的基本知识
2.1.1 密码学的基本概念
2.1.2 密码体制的分类
2.1.3 密码学的发展历程
2.1.4 密码分析与密码系统的安全性
2.2 对称密码体制
2.2.1 古典密码
2.2.2 分组密码与DES
2.2.3 流密码
2.3 密码学的数学基础
2.3.1 数论的基本概念
2.3.2 欧拉定理与费马定理
2.3.3 欧几里得（Euclid）算法
2.3.4 离散对数
2.4 公钥密码体制
2.4.1 公钥密码体制的基本思想
2.4.2 RSA公钥密码体制
2.4.3 Diffie-Hellman密钥交换算法
2.5 公钥密码体制解决的问题
2.5.1 密钥分配
2.5.2密码系统密钥管理问题
2.5.3 数字签名问题
2.6 混合密码体制（数字信封）
2.7 不可逆加密体制（散列函数）
2.7.1 单向散列函数的性质
2.7.2 对散列函数的攻击
2.7.3 散列函数的设计及MD5算法
2.7.4 散列函数的分类
2.8 数字签名
2.8.1 数字签名的特点
2.8.2 数字签名的过程
2.8.3 数字签名的算法实现
2.8.4 特殊的数字签名
2.9 密钥管理与密钥分配
2.9.1 密钥管理
2.9.2 密钥的分配
2.10 信息隐藏技术
习题
第三章 认证技术
3.1 消息认证
3.1.1 利用对称加密体制实现消息认证
3.1.2 利用公钥密码体制实现消息认证
3.1.3 基于散列函数的消息认证
3.1.4 基于消息认证码的消息认证
3.2 身份认证
3.2.1 身份认证的依据
3.2.2 身份认证系统的组成
3.2.3 身份认证的分类
3.3 口令机制
3.3.1 口令的基本工作原理
3.3.2 对口令机制的改进
3.3.3 对付重放攻击的措施
3.3.4基于挑战-应答的口令机制
3.3.5口令的维护和管理措施
3.4 零知识证明协议
3.5 其他身份认证的机制
3.6 单点登录技术
3.6.1 单点登录的好处
3.6.2 单点登录系统的分类
3.6.3 单点登录系统的一般实现技术
3.6.4 Kerberos认证协议
3.6.5 SAML标准
习题
第四章 数字证书和PKI
4.1 数字证书
4.1.1 数字证书的概念
4.1.2 数字证书的原理
4.1.3 数字证书的生成过程
4.1.4 数字证书的验证过程
4.1.5 数字证书的内容和格式
4.1.6 数字证书的类型
4.2 数字证书的功能
4.2.1 数字证书用于加密和签名
4.2.2 利用数字证书进行身份认证
4.3 公钥基础设施PKI
4.3.1 PKI的核心——CA.
4.3.2注册机构——RA.
4.3.3 数字证书库
4.3.4 PKI的组成
4.3.5 PKI的信任模型
4.3.6 PKI的技术标准
4.4 个人数字证书的申请和使用
4.4.1 申请数字证书
4.4.2 查看个人数字证书
4.4.3 证书的导入和导出
4.4.4 利用数字证书实现安全电子邮件
习题
第五章网络安全基础
5.1 网络安全体系模型
5.1.1 网络体系结构及其安全缺陷
5.1.2 ISO/OSI安全体系结构
5.1.3 网络安全的加密方式
5.2 网络安全的常见威胁
5.2.1 端口扫描
5.2.2 拒绝服务攻击
5.2.3 欺骗
5.2.4 伪装
5.2.5 嗅探
5.3 计算机病毒及其防治
5.3.1 计算机病毒的定义和特征
5.3.2 计算机病毒的分类
5.3.3 计算机病毒的防治
5.3.4 计算机病毒的发展趋势
习题
第六章 防火墙和入侵检测系统
6.1 访问控制概述
6.1.1 访问控制和身份认证的区别
6.1.2 访问控制的相关概念
6.1.3 访问控制的具体实现机制
6.1.4 访问控制策略
6.1.5 访问控制与其他安全服务的关系
6.2 防火墙概述
6.2.1 防火墙的概念
6.2.2 防火墙的用途
6.2.3 防火墙的弱点和局限性
6.2.4 防火墙的设计准则
6.3 防火墙的主要技术
6.3.1 静态包过滤技术
6.3.2 动态状态包过滤技术
6.3.3 应用层网关
6.3.4 防火墙的实现技术比较
6.4 防火墙的体系结构
6.4.1 包过滤防火墙
6.4.2双重宿主主机防火墙
6.4.3屏蔽主机防火墙
6.4.4 屏蔽子网防火墙
6.5 入侵检测系统
6.5.1 入侵检测系统概述
6.5.2 入侵检测系统的数据来源
6.5.3入侵检测技术
6.5.4 入侵检测系统的结构
6.5.5 入侵检测系统与防火墙的联动
习题
第七章 电子商务安全协议
7.1安全套接层协议SSL.
7.1.1 SSL协议的基本原理
7.1.2 SSL协议解决的问题
7.2 SSL协议的工作过程
7.2.1 SSL握手协议
7.2.2 SSL记录协议
7.2.3 SSL协议的应用
7.3 安全电子交易协议SET.
7.3.1 SET协议概述
7.3.2 SET系统的参与者
7.3.3 SET协议的工作流程
7.3.4 对SET协议的分析
7.4 SET协议与SSL协议的比较
7.4.1 两种协议的比较
7.4.2 两种协议的应用案例
7.5 IPSec协议
7.5.1 IPSec协议概述
7.5.2 IPSec协议的功能
7.5.3 IPSec的体系结构
7.5.4 IPSec的工作模式
7.5.5 IPSec的工作过程
7.6 虚拟专用网VPN..
7.6.1 VPN概述
7.6.2 VPN的类型.
7.6.3 VPN的关键技术
7.6.4 隧道技术
习题
第八章 电子支付系统及其安全
8.1电子支付安全性概述
8.1.1电子支付的安全性需求
8.1.2电子支付与传统支付的比较
8.1.3 电子支付的分类
8.2 电子现金
8.2.1 电子现金应具有的基本特性
8.2.2 电子现金系统中使用的密码技术
8.2.3 电子现金的支付模型
8.2.5 电子现金支付方式存在的问题
8.3电子现金安全需求的实现方法
8.3.1 不可伪造性和独立性
8.3.2 匿名性
8.3.3 不可重用性
8.3.4 电子现金的可分性
8.4 电子支票
8.4.1电子支票的支付过程
8.4.2 电子支票的安全方案和特点
8.4.3 电子支票实例——NetBill
8.5 微支付
8.5.1 微支付的交易模型
8.5.2 基于票据的微支付模型
8.5.3 MicroMint微支付系统
8.5.4 基于散列链的微支付模型
8.5.5 Payword微支付系统
习题
第九章 电子商务网站的安全
9.1 网站面临的安全威胁和风险概述
9.1.1 网站的安全性分析
9.1.2网站服务器的基本安全设置
9.2 SQL注入攻击
9.2.1 SQL注入攻击的特点
9.2.2 SQL注入攻击的方法
9.2.3 SQL注入攻击的检测与防范
9.2.4 防止数据库被下载的方法
9.3 跨站脚本攻击
9.3.1 跨站脚本攻击的原理及危害
9.3.2 防范跨站脚本攻击的方法
9.4 网页挂马及防范
9.4.1 网页挂马的常见形式
9.4.2 网页挂马的方法
习题
第十章电子商务安全管理
10.1 电子商务安全管理体系
10.1.1电子商务安全管理的内容
10.1.2电子商务安全管理策略
10.1.3 安全管理的PDCA模型
10.2 电子商务安全评估
10.2.1 电子商务安全评估的内容和方法
10.2.2 安全评估标准
10.2.3 信息管理评估标准
10.3 电子商务安全风险管理
10.3.1 风险管理概述
10.3.2 风险评估
10.4 电子商务信用管理
10.4.1 电子商务信用管理概述
10.4.2 电子商务信用管理的必要
10.4.3 信用管理体系的构成
10.4.4 信用保障和评价机制
习题
参考文献