电子商务安全作业

电子商务安全研究。

网络无处不在，但我们也许没有意识到我们很多时候点击的是一个易窥视和易打击的“玻璃网”。按信息安全专家、中国科学院研究员许榕生的话说，我们的网络建得很多很快，但由于缺乏自主技术支撑，cpu芯片、操作系统和数据库、网关软件大多依赖进口，使我国计算机网络的安全性能大大降低。

但技术问题还不是最终的问题。在这次由中国信息协会信息安全专业委员会主办的“十一五”信息安全发展趋势高峰论坛上，专家提出，“信息安全系统是三分技术，七分管理。”有数据显示，超过85%的安全威胁来自内部，内部人员或者内外勾结造成的泄密损失是黑客所造成损失的16倍，病毒所造成损失的12倍，而且呈不断上升的趋势。

信息安全关系到国家发展战略。在全球信息化大趋势下，各国**对网络与信息安全问题越来越重视，争相抢占网络信息安全“战略制高点”。比如，美国率先提出“网络信息安全关系国家战略安全”的命题，加大对网络信息安全的投入；俄罗斯把信息安全作为重振“大国雄风”的突破口；西欧各国和日本、韩国、印度、新加坡等也都从国家发展战略、安全战略和军事战略的高度奋起直追，加强了安全战略的制定，并围绕创建网络安全、打击网络犯罪、保护数据和资源等课题展开探索。

这些国家的经验值得我们借鉴。

世界各国对电子商务安全问题的研究非常重视，美国**很早就致力于研究密码技术，韩国一些公司也建立联盟，力图制定电子商务的标准。我国于2023年起发展电子商务安全产业，其信息安全研究经历了通信保密、计算机数据保护两个发展阶段，市场也从小到大逐步发展起来，虽已初具规模但仍不成熟。近年来，我国因特网用户激增，至今已超过130万，而不少企业更是拥有自己的独立**，网络交易热潮随之而来。

根据cnnic发布的《中国互联网络热点调查报告》中显示：网上购物大军达到2000万人，在全体互联网网民中，有过购物经历的网民占近20%的比例。因为internet自身的开放性，安全事故和黑客事件时有发生，据公安部的资料，利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，更有媒介报道，中国95%的与internet相连的网络管理中心遭到过境内外黑客的攻击或侵入，由此可见，安全隐患已成为电子商务发展的严重阻碍。

1）防火墙技术。

防火墙是一种将内部网和公众网分开的方法，它监管网络数据的进出，对未经授权的访问和数据传递进行筛选与屏蔽，不许外部网络用户以非法手段进入内部网络，从而保证了内部网络数据和计算机的安全。防火墙技术主要有包过滤、**服务、状态监控等技术。在电子商务中，防火墙的主要功能是防止黑客利用不安全的服务对传输数据和信息进行攻击，对网络实施检查并监管网络的进行状态。

2）数字摘要技术。

通过使用单向散列函数(hash)将需要加密的明文“摘要”成一个固定长度(128bit)的密文。该密文有固定的长度，同明文是一一对应的，其优势在于：对于任意一个x进行hash运算后，都有唯一一个y值与之对应；对于任何一个y值，想通过逆运算得出x值都是行不通的。

在传输信息的时候将之加入文件一同发给对方，对方接到文件后，可以用相同的方法进行运算，若得到结果与发送的摘要码相同，则表明安全，反之，则说明被篡改过。这也是电子商务领域经常用到的一种安全认证技术。

3）身份认证技术。

一般来说，可以通过ca中心的认证来确保用户的真实身份。ca中心是一个电子认证机构，为交易的当事人进行信任担保，数字证书就是其通过的一项重要认证。数字证书是指用电子手段来证实一个用户的身份和对网络资源进行访问的权限，它是一个数字标识，可实现身份的鉴别认证。

由于电子商务中的交易一般不会面对面的进行，所以对交易双方身份的认定就成为保障电子商务交易的前提，当前数字证书的广泛运用正说明了这个问题。

4）病毒防范技术。

电子商务的发展，一方面提高了交易效率，另一方面也为计算机病毒的传播创造了条件。计算机病毒具有不可估量的破坏力和威胁性，所以加强计算机病毒的防治工作势在必行。为防范病毒，可采取一下措施：

(1)安装防病毒软件，加强内部网的整体防毒措施；(2)加强数据备份和恢复措施，做到有备无患；(3)对敏感的设备和数据要建立必要的物理或逻辑隔离措施等，防患于未然。

5）加强电子商务法律体系的建设。

从法律层面入手维护电子商务安全问题尤为重要。当前我国在电子商务法律法规方面还有很多缺失，虽然早在2023年就正式颁布实施了《电子签名法》，但成效有限，一些犯罪分子仍钻了法律的空子，损害了公众的合法利益。所以我国立法部门要立足于国情，并吸取和借鉴外国立法的先进经验，加快我国的立法进程，早日使我国的电子商务安全管理走上法制化轨道。

两种加密技术的安全性如何：（rsa\des）

rsa属于非对称加密，而esa是对称加密。两个其实都安全性都很高，rsa要好一些。

des是对称密码体系加密解密密钥是相同的，rsa是公钥密码体系，加密解密密钥是不同的，都是主流的加密算法都很安全。

des一次安全你觉得不够可以用des加密三次。rsa你觉得安全不够可以加大密钥长度。

des加密的时候因为加密解密同一个密钥，所以如果该密钥被截获，则毫无安全性可以言。

rsa不同，可以diniffer-hellman算法很安全的交换rsa的密钥，直接别人截获信息，他也解不出密钥。

在密钥交换方面，公钥密码体系有着对称密码体系无法比拟的优点。des比rsa快很多，毫无疑问。

总结，公钥密码体系优势在于交换密钥安全，但速度慢。

对称密码体系优势在于速度快，但交换密钥是大问题。

两者互补，所以常规的做法是：用公钥密码体系交换密钥，用对称密码体系加密信息。

数字签名的原理及安全隐患：

数字签名的原理是一种对文件的加密方法，一旦文件插入数字签名，就不能对其改动。数字签名对许多办公文件帮助很大，比如设计图纸，没一张都要签名，使用数字签名可以批量解决，而且别人不能修改。

数字签名是涉及签名信息和签名人私匙的计算结果。首先，签名人的软件对发送信息进行散列函数运算后，生成信息摘要（messag e digest）——这段信息所特有的长度固定的信息表示。然后，软件使用签名人的私匙对摘要进行解密，将结果连同信息和签名人的数字证书一同传送给预定的接受者。

而接受者的软件会对收到的信息生成信息摘要（使用同样的散列函数），并使用签名人的公匙对签名人生成的摘要进行解密。接受者的软件也可以加以配置，验证签名人证书的真伪，确保证书是由可信赖的ca颁发，而且没有被ca吊销。如果两个摘要一样，就表明接受者成功核实了数字签名。

这正是症结所在。更确切地说，经核实的数字签名向接受者保证信息未经改动，而且信息是用签名人的私匙签名的。但仍存在欺诈的可能性。

在私匙持有人毫不知情的情形下，有人会利用无人照管的台式机对合同进行数字签名。由于“始终联通”的互联网连接如线缆调制解调器和dsl日益普及，黑客窃取私匙的机会也随之激增。消费者的利益就容易受到侵害。

还存在另一种可怕的情景：将欺诈作为理由，即完全是想终止签署合同的签名人可能以合乎法律为由，拒绝履行合法签署的合同。这样，企业的利益就容易受到侵害。

明智的个人和机构一定要意识到这些危险。大多数企业和个人知道，始终没法消除所有风险，于是专注于如何降低风险，而不是完全避免风险。

常用身份认证函数(hash)以及验证码的作用：

hash，一般翻译做“散列”，也有直接音译为”哈希“的，就是把任意长度的输入（又叫做预映射， pre-image），通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

hash主要用于信息安全领域中加密算法，他把一些不同长度的信息转化成杂乱的128位的编码里，叫做hash值。也可以说，hash就是找到一种数据内容和数据存放地址之间的映射关系。

hash算法在信息安全方面的应用主要体现在以下的3个方面：

1) 文件校验。

我们比较熟悉的校验算法有奇偶校验和crc校验，这2种校验并没有抗数据篡改的能力，它们一定程度上能检测并纠正数据传输中的信道误码，但却不能防止对数据的恶意破坏。

md5 hash算法的"数字指纹"特性，使它成为目前应用最广泛的一种文件完整性校验和(checksum)算法，不少unix系统有提供计算md5 checksum的命令。

2) 数字签名。

hash 算法也是现代密码体系中的一个重要组成部分。由于非对称算法的运算速度较慢，所以在数字签名协议中，单向散列函数扮演了一个重要的角色。对 hash 值，又称"数字摘要"进行数字签名，在统计上可以认为与对文件本身进行数字签名是等效的。

而且这样的协议还有其他的优点。

3) 鉴权协议。

电子商务安全作业

电子商务作业四电子商务安全技术

电子商务安全作业

电子商务安全作业

其他用户还读了

电子商务安全作业

电子商务作业 四电子商务安全技术

电子商务安全作业

电子商务安全作业

其他用户还读了

电子商务作业四电子商务安全技术