1. 電子商務安全及如何構建交易安全
一. 交易者身份的確認
1.簡述PKI的定義和服務。
答題思路:PKI是一種遵循標準的密鑰管理平台,它能夠為所有網路應用提供採用加密和數字簽字等密碼服務所必需的密鑰和證書管理。PKI系統必須具有認證機關(CA)、證書庫、密鑰備份及恢復系統、證書作廢處理系統、客戶端證書處理系統等組成部分。一般認為PKI提供了以下3種主要安全服務:認證、完整性、機密性。詳細內容請參看教材。
2.論述PKI的信任模式。
答題思路:PKI的信任模式解決:(1)一個實體能夠信任的證書是怎樣被確定的;(2)這種信任是怎樣被建立的;(3)在一定的環境下,這種信任在什麼情形下能夠被限制或控制?目前流行的PKI信任模型主要有4種:認證機構(CA)的嚴格層次結構;分布式信任結構;Web 模型;以用戶為中心的信任。
二. 制定交易安全管理制度
1.簡述電子商務安全需求。
答題思路:電子商務安全需求包括交易實體身份真實性的需求;信息保密性的需求;信息完整性的需求;交易信息認可的需求;訪問控制的需求;信息的有效性需求。具體內容請參加教材。
2.簡述OSI安全體系的通信方式。
答題思路:OSI安全體系結構中,各系統進行通信的方式如下:信息從一個計算機系統的應用軟體傳輸到另一個計算機系統的應用軟體,必須經過OSI參考模型的每一層次。可參加教材中的舉例。
2. 電子商務交易安全的案例
案例一:
淘寶「錯價門」引發爭議
互聯網上從來不乏標價1元的商品。近日,淘寶網上大量商品標價1元,引發網民爭先恐後哄搶,但是之後許多訂單被淘寶網取消。隨後,淘寶網發布公告稱,此次事件為第三方軟體「團購寶」交易異常所致。部分網民和商戶詢問「團購寶」客服得到自動回復稱:「伺服器可能被攻擊,已聯系技術緊急處理。」這起「錯價門」事件發生至今已有兩周,導致「錯價門」的真實原因依然是個謎,但與此同時,這一事件暴露出來的我國電子商務安全問題不容小覷。在此次「錯價門」事件中,消費者與商家完成交易,成功付款下了訂單,買賣雙方之間形成了合同關系。作為第三方交易平台的淘寶網關閉交易,這種行為本身是否合法?蔣蘇華認為,按照我國現行法律法規,淘寶網的行為涉嫌侵犯了消費者的自由交易權,損害了消費者的合法權益,應賠禮道歉並賠償消費者的相應損失。
總結:目前,我國電子商務領域安全問題日益凸顯,比如,支付寶或者網銀被盜現象頻頻發生,給用戶造成越來越多的損失,這些現象對網路交易和電子商務提出了警示。然而,監管不力導致消費者權益難以保護。公安機關和電信管理機關、電子商務管理機關應當高度重視電子商務暴露的安全問題,嚴格執法、積極介入,徹查一些嚴重影響互聯網電子商務安全的惡性事件,切實保護消費者權益,維護我國電子商務健康有序的發展。
3. 電子商務交易過程中包括哪些安全問題
電子商務交易過程中的安全問題主要包括四個方面:
1、信息被泄露。
主要表現為交易雙方進行交易的內容被第三方竊取,交易一方提供給另一方使用的文件被第三方非法使用兩個方面。
攻擊者可以通過互聯網、公用電話網、搭線或在電磁波輻射范圍內安裝截收裝置等方式,截獲在網上傳輸的機密信息,或通過對網上信息流量和流向、通信頻度和長度等參數的分析,獲取有用信息,如銀行賬號、密碼等。
2、信息被篡改。
表現為電子的交易信息在網路上傳輸的過程中,被他人非法地修改、刪除、插入或重放(即只能使用一次的信息被多次使用),使接收方接收到錯誤的信息,使信息失去了真實性和完整性。
3、身份識別。
進行身份識別後,就不會出現第三方假冒交易一方的身份破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等情形,同時,還可以約束交易雙方對自己的行為負責,對發送和接收的信息都不能予以否認。
4、信息被破壞。
表現為由於網路的硬體或軟體出現問題而導致信息傳遞的丟失與謬誤,以及計算機網路本身遭到一些惡意程序的破壞,而使得電子商務信息遭到破壞兩個方面。
(3)如何電子商務交易安全擴展閱讀:
電子商務交易過程中防範安全問題的方法:
1、信息保密性。
交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此,在電子商務信息傳播中一般均有加密的要求。
2、交易者身份的確定性。
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店是不是一個玩弄欺詐的黑店。因此,能方便而可靠地確認對方身份是交易的前提。
3、不可否認性。
由於商情的千變萬化,交易一旦達成是不能被否認的,否則必然會損害一方的利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,若收單方能否認收到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。
因此,電子交易通信過程中的各個環節都必須是不可否認的。
4、信息的完整性。
交易的文件是不可被修改的,信息接收方可以驗證收到的信息是否完整一致,是否被人篡改。如上例所舉的訂購黃金,供貨單位在收到訂單後,發現金價大幅上漲了。
若其能改動文件內容,將訂購數1kg改為1g,則可大幅受益,那麼訂貨單位可能就會因此而蒙受損失。因此,電子交易文件也必須做到不可修改,以保障交易的嚴肅和公正。
5、系統的可靠性。
電子商務系統是計算機系統,其可靠性是指防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。
4. 如何理解電子商務安全
電子商務安全是指指導安全電子交易的原則,允許通過互聯網購買和銷售商品和服務,但有適當的協議為相關人員提供安全保障。成功的在線業務取決於客戶對公司擁有電子商務安全基礎的信任。
電子商務安全要求包括四個方面:
(1)數據傳輸的安全性。對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。對數據的安全性保護是通過採用數據加密(包括秘密密鑰加密和公開密鑰加密)來實現的,數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。
(2)數據的完整性。對數據的完整性需求是指數據在傳輸過程中不被篡改。數據的完整性是通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。
(3)身份驗證。由於網上的通信雙方互不見面,必須在交易時(交換敏感信息時)確認對方等真實身份;在涉及到支付時,還需要確認對方的賬戶信息是否真實有效。身份認證是採用口令字技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。
(4)交易的不可抵賴。網上交易的各方在進行數據傳輸時,必須帶有自身特有的、無法被別人復制的信息,以保證交易發生糾紛時有所對證。這是通過數字簽名技術和數字證書技術來實現的。
5. 實現電子商務安全交易,從個人角度如何做到
實現電子商務安全交易,從個人角度應該做到以下幾點:
個人可以依靠防火牆(軟、硬體)、殺毒軟體和數字加密等先進的軟體技術,保證電子商務的安全;
個人可以選擇能夠保證電子商務交易安全的交易模式和平台;
個人應該對自己的網上銀行等有效信息核實正確無誤,提高警惕;
個人應該對網站或者平台的交易模式有所了解,該模式必須有第三方服務機構參與,有完善嚴謹的交易流程,所有關聯各方都嚴格依法遵守相應的交易流程;
個人應該知道該交易模式所有關聯各方,都依法簽定有規范的協議等;
個人信息的保密,公共WiFi、網吧等公眾網路環境下不進行隱私性的操作,避免個人信息泄露,保證電子商務環境的安全;
陌生的信息、鏈接、二維碼,平台、網店、不隨便掃描或者點擊;
不把自己的個人信息,地址,銀行密碼等重要信息給陌生人,不給陌生人匯款;
把個人的密碼等重要數字安全的設置,盡量復雜一點等。
6. 怎樣確保網路交易安全
分網站,有的安裝了SSL證書的網站,相對應安全些。這里有一些介紹,供參考:
在中國互聯網信息中心7月份公布的《第22次中國互聯網發展狀況報告》結果顯示,中國網民已經增長到2.53億,成為世界第一,大家開始依賴網路生活,但是對網上交易安全性卻極度缺乏信任,甚至給出了不及格的評價。難道網上銀行、網路交易真的處處陷阱,步步驚心嗎?
面對這種局面,金融站點、購物網站並未坐以待斃,都在積極採取應對措施,如何重新獲得網民的信任,並將這種信任加以鞏固?全新的EVSSL證書的登台獻藝,為正處在信任危機中的國內網站帶來新的契機。金融機構的各大網上銀行,目前正陸續開始換裝新一代EVSSL伺服器證書,用戶在登錄有EVSSL證書保護的銀行網站時,網站地址欄將變成綠色,真假網站一目瞭然。
安全防範源於嚴格
一張我們既看不到也摸不到的所謂「證書」就真能保障消費者利益?
伺服器證書是通過在客戶端瀏覽器與Web伺服器之間建立一條SSL安全通道從而保證雙方信息在網路上傳輸的安全性,用戶可以通過查看伺服器證書屬性信息便可得知所訪問站點的真實與否。新一代EVSSL伺服器證書的產生更是為了杜絕在全球方位內頻頻發生的在線欺詐泛濫問題。它是全球著名的數字證書頒發機構(如:VeriSign、GeoTrust、Thawte等等)聯合主流瀏覽器開發商一起構建起的安全防護網路。
所謂「EVSSL證書」,是遵循全球統一的嚴格身份驗證標准頒發的SSL證書,用來保護用戶不與沒有經過嚴格身份驗證的網上商戶進行在線交易。所有頒發EVSSL證書的數字證書頒發機構必須按照統一標准來對申請者進行嚴格的身份審核,而瀏覽器能自動識別出EVSSL證書,使得地址欄主動變成綠色。這樣以來在線消費者便可安心交易,因為消費者能非常清楚地知道他們正在與誰交易,並且他們的交易數據正在安全加密通道的保衛之下。EVSSL證書通過在業務層面上對申請機構的嚴格審核,盡可能地規避了由於審核標准不同而產生伺服器證書擁有者身份不真實所帶來的安全隱患。
一紙應運,效益顯見
EVSSL伺服器證書的廣泛應運,在全球范圍內都得到了使用者的贊譽。全球最值得信任的網路基礎架構供應商—威瑞信(VeriSign)在EVSSL推出之後,曾做過一個關於EVSSL的調查,結果顯示:相比由常規伺服器證書保護的站點,93%的互聯網用戶更青睞綠色標記的EVSSL站點;同時97%的購物者看見綠色標志時會使用信用卡,而沒有看見綠色標志時,這一意願下降到63%。同時國外著名的購物網站在使用EVSSL伺服器證書後交易量也有顯著變化:Overstock..com使用EVSSL後,購物車定單放棄率降低了8.6%;Paypal在使用EVSSL後,「購物車定單放棄率也降低了幾個百分點」;VirtualSheetMusic網站在使用EVSSL交易量則增長13%。由於EVSSL更具識別性,它正開始讓交易變得更加便捷可信。
天威誠信作為國內技術力量強大的第三方CA機構,同時也是威瑞信(VeriSign)在中國的首要合作夥伴,一直在積極推進EVSSL伺服器證書的廣泛使用。為了讓更多客戶能夠了解EVSSL伺服器證書,保障電子商務在中國的健康發展。7月天威誠信與威瑞信在上海隆重舉辦了華東地區EVSSL高端用戶答謝會,面對面地為大家講解和展示了EVSSL伺服器證書的功能和相關技術,雙方相信構建一個規范運營,誠實守信的網路商圈,需要各方積極參與,商家、網民、第三方數字認證機構需要同心協力,EVSSL才能在國內發揮更佳的作用。
附:
EV伺服器證書在瀏覽器地址欄的顏色的不同含義:
紅色:在線客戶正在登陸一個已知的釣魚網站,同時顯示網站證書有錯誤或來自不可信的數字證書簽發機構,強烈建議客戶不要繼續在此類網站繼續交易。
黃色:無法驗證該證書或頒發該證書的證書頒發機構的身份,這可能表示該證書頒發機構的網站出現問題。
白色:該伺服器證書已正常驗證,這表示瀏覽器和該網站之間的通信已加密。不過,該證書非EVSSL證書,頒發機構未對該網站的商業行為做出任何聲明。
綠色:EVSSL獨有標志,表示該證書使用了擴展驗證。這表示瀏覽器和網站之間的通信已加密,並且該證書頒發機構已確認該網站由某企業所有或運行,該企業是根據該證書和安全狀態欄上顯示的許可權進行合法組織的。
7. 電子商務安全的措施
在互聯網上的電子商務交易過程中,最核心和關鍵的向題就是交易的安全性,由於Internet本身的開放性;使網上交易面臨著種種危險:使用者擔心在網路上傳輸信用卡及...
8. 電子商務中如何保證交易安全
一個第三方支付擔保平台
9. 如何保障電子商務的安全
一、提高服務的安全性
首先,應用防火牆技術。所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合。防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型:包過濾防火牆、代理防火牆、雙穴主機防火牆。其次,應用網關技術。應用級網關是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。應用網關對某些易於登錄和控制所有輸入輸出的通訊環境給予嚴格的控制,以防有價值的程序和數據被竊取。
二、數據加密技術
加密技術和身份認證技術是電子商務交易安全的基礎技術,加密技術用於對信息的加密,保證信息的機密性。數字簽名和數字信封技術應用了加密技術,建立在公共密鑰體制基礎上。數字簽名技術對信息進行數字簽名,保證信息的完整性和不可抵賴性。由於交易信息在傳輸過程中有可能遭到侵犯者的竊聽而失去機密性,加密技術是電子商務採取的主要保密安全措施,是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。加密包括兩個元素:演算法和密鑰。密鑰和演算法對加密同等重要。密鑰加密技術的密碼體制分為對稱密鑰體制和公共密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密和非對稱加密。對稱加密以數據加密標准演算法為典型代表,非對稱加密通常以演算法為代表。如果不採用加密技術,則會影響電子商務的發展,或者成為發展的瓶頸。
三、完善管理機制
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防範是遠遠不夠的。安全方案的實施,離不開管理。信息安全意識的加強和培育是實現安全管理的必備條件。它的基本原則是:要求發生在系統中的行為都是有許可權的行為,並且符合程序控制的要求。從管理上完善機制,加強其有效性,往往可以解決許多技術層次解決不了的問題。