1. 电子商务安全及如何构建交易安全
一. 交易者身份的确认
1.简述PKI的定义和服务。
答题思路:PKI是一种遵循标准的密钥管理平台,它能够为所有网络应用提供采用加密和数字签字等密码服务所必需的密钥和证书管理。PKI系统必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等组成部分。一般认为PKI提供了以下3种主要安全服务:认证、完整性、机密性。详细内容请参看教材。
2.论述PKI的信任模式。
答题思路:PKI的信任模式解决:(1)一个实体能够信任的证书是怎样被确定的;(2)这种信任是怎样被建立的;(3)在一定的环境下,这种信任在什么情形下能够被限制或控制?目前流行的PKI信任模型主要有4种:认证机构(CA)的严格层次结构;分布式信任结构;Web 模型;以用户为中心的信任。
二. 制定交易安全管理制度
1.简述电子商务安全需求。
答题思路:电子商务安全需求包括交易实体身份真实性的需求;信息保密性的需求;信息完整性的需求;交易信息认可的需求;访问控制的需求;信息的有效性需求。具体内容请参加教材。
2.简述OSI安全体系的通信方式。
答题思路:OSI安全体系结构中,各系统进行通信的方式如下:信息从一个计算机系统的应用软件传输到另一个计算机系统的应用软件,必须经过OSI参考模型的每一层次。可参加教材中的举例。
2. 电子商务交易安全的案例
案例一:
淘宝“错价门”引发争议
互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。”这起“错价门”事件发生至今已有两周,导致“错价门”的真实原因依然是个谜,但与此同时,这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中,消费者与商家完成交易,成功付款下了订单,买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易,这种行为本身是否合法?蒋苏华认为,按照我国现行法律法规,淘宝网的行为涉嫌侵犯了消费者的自由交易权,损害了消费者的合法权益,应赔礼道歉并赔偿消费者的相应损失。
总结:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。
3. 电子商务交易过程中包括哪些安全问题
电子商务交易过程中的安全问题主要包括四个方面:
1、信息被泄露。
主要表现为交易双方进行交易的内容被第三方窃取,交易一方提供给另一方使用的文件被第三方非法使用两个方面。
攻击者可以通过互联网、公用电话网、搭线或在电磁波辐射范围内安装截收装置等方式,截获在网上传输的机密信息,或通过对网上信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如银行账号、密码等。
2、信息被篡改。
表现为电子的交易信息在网络上传输的过程中,被他人非法地修改、删除、插入或重放(即只能使用一次的信息被多次使用),使接收方接收到错误的信息,使信息失去了真实性和完整性。
3、身份识别。
进行身份识别后,就不会出现第三方假冒交易一方的身份破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等情形,同时,还可以约束交易双方对自己的行为负责,对发送和接收的信息都不能予以否认。
4、信息被破坏。
表现为由于网络的硬件或软件出现问题而导致信息传递的丢失与谬误,以及计算机网络本身遭到一些恶意程序的破坏,而使得电子商务信息遭到破坏两个方面。
(3)如何电子商务交易安全扩展阅读:
电子商务交易过程中防范安全问题的方法:
1、信息保密性。
交易中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此,在电子商务信息传播中一般均有加密的要求。
2、交易者身份的确定性。
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,商家要考虑客户端不能是骗子,而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此,能方便而可靠地确认对方身份是交易的前提。
3、不可否认性。
由于商情的千变万化,交易一旦达成是不能被否认的,否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,若收单方能否认收到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。
因此,电子交易通信过程中的各个环节都必须是不可否认的。
4、信息的完整性。
交易的文件是不可被修改的,信息接收方可以验证收到的信息是否完整一致,是否被人篡改。如上例所举的订购黄金,供货单位在收到订单后,发现金价大幅上涨了。
若其能改动文件内容,将订购数1kg改为1g,则可大幅受益,那么订货单位可能就会因此而蒙受损失。因此,电子交易文件也必须做到不可修改,以保障交易的严肃和公正。
5、系统的可靠性。
电子商务系统是计算机系统,其可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
4. 如何理解电子商务安全
电子商务安全是指指导安全电子交易的原则,允许通过互联网购买和销售商品和服务,但有适当的协议为相关人员提供安全保障。成功的在线业务取决于客户对公司拥有电子商务安全基础的信任。
电子商务安全要求包括四个方面:
(1)数据传输的安全性。对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。对数据的安全性保护是通过采用数据加密(包括秘密密钥加密和公开密钥加密)来实现的,数字信封技术是结合秘密密钥加密和公开密钥加密技术实现的保证数据安全性的技术。
(2)数据的完整性。对数据的完整性需求是指数据在传输过程中不被篡改。数据的完整性是通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。
(3)身份验证。由于网上的通信双方互不见面,必须在交易时(交换敏感信息时)确认对方等真实身份;在涉及到支付时,还需要确认对方的账户信息是否真实有效。身份认证是采用口令字技术、公开密钥技术或数字签名技术和数字证书技术来实现的。
(4)交易的不可抵赖。网上交易的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证。这是通过数字签名技术和数字证书技术来实现的。
5. 实现电子商务安全交易,从个人角度如何做到
实现电子商务安全交易,从个人角度应该做到以下几点:
个人可以依靠防火墙(软、硬件)、杀毒软件和数字加密等先进的软件技术,保证电子商务的安全;
个人可以选择能够保证电子商务交易安全的交易模式和平台;
个人应该对自己的网上银行等有效信息核实正确无误,提高警惕;
个人应该对网站或者平台的交易模式有所了解,该模式必须有第三方服务机构参与,有完善严谨的交易流程,所有关联各方都严格依法遵守相应的交易流程;
个人应该知道该交易模式所有关联各方,都依法签定有规范的协议等;
个人信息的保密,公共WiFi、网吧等公众网络环境下不进行隐私性的操作,避免个人信息泄露,保证电子商务环境的安全;
陌生的信息、链接、二维码,平台、网店、不随便扫描或者点击;
不把自己的个人信息,地址,银行密码等重要信息给陌生人,不给陌生人汇款;
把个人的密码等重要数字安全的设置,尽量复杂一点等。
6. 怎样确保网络交易安全
分网站,有的安装了SSL证书的网站,相对应安全些。这里有一些介绍,供参考:
在中国互联网信息中心7月份公布的《第22次中国互联网发展状况报告》结果显示,中国网民已经增长到2.53亿,成为世界第一,大家开始依赖网络生活,但是对网上交易安全性却极度缺乏信任,甚至给出了不及格的评价。难道网上银行、网络交易真的处处陷阱,步步惊心吗?
面对这种局面,金融站点、购物网站并未坐以待毙,都在积极采取应对措施,如何重新获得网民的信任,并将这种信任加以巩固?全新的EVSSL证书的登台献艺,为正处在信任危机中的国内网站带来新的契机。金融机构的各大网上银行,目前正陆续开始换装新一代EVSSL服务器证书,用户在登录有EVSSL证书保护的银行网站时,网站地址栏将变成绿色,真假网站一目了然。
安全防范源于严格
一张我们既看不到也摸不到的所谓“证书”就真能保障消费者利益?
服务器证书是通过在客户端浏览器与Web服务器之间建立一条SSL安全通道从而保证双方信息在网络上传输的安全性,用户可以通过查看服务器证书属性信息便可得知所访问站点的真实与否。新一代EVSSL服务器证书的产生更是为了杜绝在全球方位内频频发生的在线欺诈泛滥问题。它是全球着名的数字证书颁发机构(如:VeriSign、GeoTrust、Thawte等等)联合主流浏览器开发商一起构建起的安全防护网络。
所谓“EVSSL证书”,是遵循全球统一的严格身份验证标准颁发的SSL证书,用来保护用户不与没有经过严格身份验证的网上商户进行在线交易。所有颁发EVSSL证书的数字证书颁发机构必须按照统一标准来对申请者进行严格的身份审核,而浏览器能自动识别出EVSSL证书,使得地址栏主动变成绿色。这样以来在线消费者便可安心交易,因为消费者能非常清楚地知道他们正在与谁交易,并且他们的交易数据正在安全加密通道的保卫之下。EVSSL证书通过在业务层面上对申请机构的严格审核,尽可能地规避了由于审核标准不同而产生服务器证书拥有者身份不真实所带来的安全隐患。
一纸应运,效益显见
EVSSL服务器证书的广泛应运,在全球范围内都得到了使用者的赞誉。全球最值得信任的网络基础架构供应商—威瑞信(VeriSign)在EVSSL推出之后,曾做过一个关于EVSSL的调查,结果显示:相比由常规服务器证书保护的站点,93%的互联网用户更青睐绿色标记的EVSSL站点;同时97%的购物者看见绿色标志时会使用信用卡,而没有看见绿色标志时,这一意愿下降到63%。同时国外着名的购物网站在使用EVSSL服务器证书后交易量也有显着变化:Overstock..com使用EVSSL后,购物车定单放弃率降低了8.6%;Paypal在使用EVSSL后,“购物车定单放弃率也降低了几个百分点”;VirtualSheetMusic网站在使用EVSSL交易量则增长13%。由于EVSSL更具识别性,它正开始让交易变得更加便捷可信。
天威诚信作为国内技术力量强大的第三方CA机构,同时也是威瑞信(VeriSign)在中国的首要合作伙伴,一直在积极推进EVSSL服务器证书的广泛使用。为了让更多客户能够了解EVSSL服务器证书,保障电子商务在中国的健康发展。7月天威诚信与威瑞信在上海隆重举办了华东地区EVSSL高端用户答谢会,面对面地为大家讲解和展示了EVSSL服务器证书的功能和相关技术,双方相信构建一个规范运营,诚实守信的网络商圈,需要各方积极参与,商家、网民、第三方数字认证机构需要同心协力,EVSSL才能在国内发挥更佳的作用。
附:
EV服务器证书在浏览器地址栏的颜色的不同含义:
红色:在线客户正在登陆一个已知的钓鱼网站,同时显示网站证书有错误或来自不可信的数字证书签发机构,强烈建议客户不要继续在此类网站继续交易。
黄色:无法验证该证书或颁发该证书的证书颁发机构的身份,这可能表示该证书颁发机构的网站出现问题。
白色:该服务器证书已正常验证,这表示浏览器和该网站之间的通信已加密。不过,该证书非EVSSL证书,颁发机构未对该网站的商业行为做出任何声明。
绿色:EVSSL独有标志,表示该证书使用了扩展验证。这表示浏览器和网站之间的通信已加密,并且该证书颁发机构已确认该网站由某企业所有或运行,该企业是根据该证书和安全状态栏上显示的权限进行合法组织的。
7. 电子商务安全的措施
在互联网上的电子商务交易过程中,最核心和关键的向题就是交易的安全性,由于Internet本身的开放性;使网上交易面临着种种危险:使用者担心在网络上传输信用卡及...
8. 电子商务中如何保证交易安全
一个第三方支付担保平台
9. 如何保障电子商务的安全
一、提高服务的安全性
首先,应用防火墙技术。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。其次,应用网关技术。应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。应用网关对某些易于登录和控制所有输入输出的通讯环境给予严格的控制,以防有价值的程序和数据被窃取。
二、数据加密技术
加密技术和身份认证技术是电子商务交易安全的基础技术,加密技术用于对信息的加密,保证信息的机密性。数字签名和数字信封技术应用了加密技术,建立在公共密钥体制基础上。数字签名技术对信息进行数字签名,保证信息的完整性和不可抵赖性。由于交易信息在传输过程中有可能遭到侵犯者的窃听而失去机密性,加密技术是电子商务采取的主要保密安全措施,是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密包括两个元素:算法和密钥。密钥和算法对加密同等重要。密钥加密技术的密码体制分为对称密钥体制和公共密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密和非对称加密。对称加密以数据加密标准算法为典型代表,非对称加密通常以算法为代表。如果不采用加密技术,则会影响电子商务的发展,或者成为发展的瓶颈。
三、完善管理机制
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全方案的实施,离不开管理。信息安全意识的加强和培育是实现安全管理的必备条件。它的基本原则是:要求发生在系统中的行为都是有权限的行为,并且符合程序控制的要求。从管理上完善机制,加强其有效性,往往可以解决许多技术层次解决不了的问题。