电子商务报告资料

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业杭州电子科技大学信息工程学院电子商务概论“关于电子商务交易安全”课程报告

摘要：在我们的生活中，有不少的人一直在担忧在互联网进行电子商务交易的安全问题。因为黑客会抓住漏洞的机会入侵，所以用户害怕在网络上进行商务交易时密码会泄漏。这些担忧难免的，因为我本身也会担心这个问题。不过我们所担心的问题都有办法维护好我们的利益，我们把用户安全各方面的问题都做足，这样就会得到保障。依据本学期电子商务概论第五章知识的学习，结合自己在课中所收获的，整理成这篇课程报告。关键词:电子商务交易安全数字证书交易协议目录电子商务安全概述电子商务的安全问题没有了传统交易的面对面模式，存在于网络中交易模式，其实是对彼此信任的考验，在交易过程中，不仅仅是卖方将面临问题，买方同样也面临着选择与挑战。卖方面临的挑战：中央系统安全性被破坏竞争对手检索商品递送状况被他人假冒而损害公司的信誉买方提交订单后不付款获取他人的机密数据买方面临的问题：付款后不能收到商品机密性丧失拒绝服务电子商务安全体系电子商务系统是一个计算机系统，其安全性是一个系统的概念，不仅与计算机系统结构有关，还与电子商务应用的环境，人员素质和社会因素有关。它包括电子商务系统硬件安全，软件安全，运行安全和电子商务安全立法。硬件安全：指保护计算机系统硬件（包括外部设备）的安全软件安全：保护软件和数据不被篡改，破坏和非法复制。运行安全：保护系统能连续和正常地运行安全立法：对电子商务罪犯的约束，它是利用国家机器，通过安全立法，体现与罪犯斗争的国家意志。电子商务安全管理参与网络交易的个人或企业，都有维护网上交易系统的安全的责任，对于在网上从事大量贸易活动的企业来说尤为重要。下面是针对企业的网上交易系统进行研究的安全管理制度，但其中的许多方法对于个人网络消费者也具有较高的借鉴意义。网上交易系统安全管理制度是用文字形式对各项安全要求的规定，它是保证企业在网上经营管理取得成功的基础。企业安全制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。是否健全及实施安全管理制度关系到网上交易能否安全地、顺利地运作。保密制度信息的安全级别一般分为三级：绝密级(此部分网址，密码不在因特网上公开，只限高层管理人员掌握)机密级（只限公司中层管理人员使用）机密级（在因特网上公开，但必须保护程序，防止黑客入侵）日常维护制度对于企业的电子商务系统来说，企业网络系统的日常维护就是针对内部网(Internet)的日常管理和维护，它是一件非常繁重的工作，因为计算机主机机型和其他网络设备多。对网络系统的日常维护可以从几个方面进行：一是对于可管设备，通过安装网管软件进行系统故障诊断、显示及通告，网络流量与状态的监控、统计与分析，以及网络性能调优、负载平衡等。二是对于不可管设备应通过手工操作来检查状态，做到定期检查与随机抽查相结合，以便及时准确地掌握网络的运行状况，一旦有故障发生能及时处理。三是定期进行数据备份，数据备份与恢复主要是利用多种介质，如磁介质、纸介质、光碟、微缩载体等，对信息系统数据进行存储、备份和恢复。这种保护措施还包括对系统设备的备份。硬件维护

网管人员必须建立系统档案，其内容应包括设备型号，生产厂家，配置参数，安装时间，安装地点，IP地址，上网目录和内容等软件维护

对于应用软件主要是版本控制。设置一台安装服务器，当远程客户机软件需要更新时，可从网络上远程安装。注意选择网络负载较低时运行，以免影响网络的正常行数据备份制度传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障，而且其恢复时间也很长。随着技术的不断发展，数据的海量增加，不少的企业开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。用户管理每个系统都设置了若干角色，用户管理等任务就是添加或者删除用户和用户组号。如添加一个用户，需要在客户机上添加用户并分配组号。病毒防范制度防范有一下几种给电脑安装防病毒软件不打开陌生的电子邮件认真执行病毒定期清理制度控制权限高度警惕网络陷阱应急措施瞬时复制技术远程磁盘镜像技术数据库恢复技术游览器安全设置1、临时文件IE在上网的过程中会在系统盘内自动的把浏览过的图片、动画、文本等数据信息保留在系统C:＼DocumentsandSettings＼workhard＼LocalSettings＼Temporary＼InternetFiles内。方法是在打开IE，依次点击“工具”→“Internet选项”→“Internet临时文件”→“设置”，选择“移动文件夹”的命令按钮并设定C盘以外的路径，然后再依据自己硬盘空间的大小来设定临时文件夹的容量大小（50M）。2、历史记录点击“工具”→“Internet选项”，找到位于下方的“历史记录”，可根据个人喜好输入数字来设定“网页保留在历史记录中的天数”(可设为1，好的网站可以加入到收藏夹嘛)，或直接按下“清除历史记录”的按钮，选择所要删除的文件类型并确认。3、自动完成在IE工作状态下依次点击菜单栏上的“工具”→“Internet选项”→“内容”。在个人信息出单击“自动完成”按钮。在这可设置自动完成的功能范围：“web地址”，“表单”，“表单上的用户名和密码”。还可通过“清除密码”和“清除表单”来去掉自动完成保留下了的密码和相关权限。这这建议在网吧上网的朋友们一定要清除相关记录哦。4、脚本设置点击IE菜单栏中的“工具”→“Internet选项”→“安全”→“Internet”→“自定义级别”，然后进行相关的设置。在这里可以对“ActiveX控件和插件”、“Java”、“脚本”、“下载”、“用户验证”等安全选项进行选择性设置：如“启用”，“禁用”或“提示”。5、cookies陷阱进入IE的“Internet选项”；在“隐私”标签中找到设置，然后通过滑杆来设置cookies的隐私设置，从高到低划分为：“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别(默认级别为“中”)。6、信息限制进入“Internet选项”，然后选择“内容”标签，将“分级审查”设为启用。电子商务安全技术数据加密技术所谓数据加密(DataEncryption)技术是指将一个信息(或称明文，plaintext)经过加密钥匙(Encryptionkey)及加密函数转换，变成无意义的密文(ciphertext)，而接收方则将此密文经过解密函数、解密钥匙(Decryptionkey)还原成明文。加密技术是网络安全技术的基石。加密和解密常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有：RSA、背包密码、Rabin、、零知识证明的算法、椭圆曲线、等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。通过密钥密码体制

专用密钥，又称为对称密钥或单密钥，加密和解密时使用同一个密钥，即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式，通信双方必须交换彼此密钥，当需给对方发信息时，用自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。当一个文本要加密传送时，该文本用密钥加密构成密文，密文在信道上传送，收到密文后用同一个密钥将密文解出来，形成普通文体供阅读。在对称密钥中，密钥的管理极为重要，一旦密钥丢失，密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂，而且密钥本身的安全就是一个问题。对称密钥是最古老的，一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高，因而如今仍广泛被采用。DES是一种数据分组的加密算法，它将数据分成长度为64位的数据块，其中8位用作奇偶校验，剩余的56位作为密码的长度。第一步将原文进行置换，得到64位的杂乱无章的数据组；第二步将其分成均等两段；第三步用加密函数进行变换，并在给定的密钥参数条件下，进行多次迭代而得到加密密文。公开密钥，又称非对称密钥，加密和解密时使用不同的密钥，即不同的算法，虽然两者之间存在一定的关系，但不可能轻易地从一个推导出另一个。有一把公用的加密密钥，有多把解密密钥，如RSA算法。非对称密钥由于两个密钥（加密密钥和解密密钥）各不相同，因而可以将一个密钥公开，而将另一个密钥保密，同样可以起到加密的作用。数字证书数字证书是一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发的证书。数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性。使用了数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。当然在数字证书认证的过程中证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的.如何判断数字认证中心公正第三方的地位是权威可信的，国家工业和信息化部以资质合规的方式，陆续向天威诚信数字认证中心等30家相关机构颁发了从业资质。电子商务安全交易协议SSL协议SSL全称安全套接层协议（SecureSocketsLayer)，是(网景）公司于1994年提出的互联网信息加密传输协议，其目的是为客户端(浏览器)到服务器端之间搭建一条加密通道，建立SSL连接保证数据在传输过程中不被窃取或篡改，确保机密信息的保密性、完整性和可信性，SSL协议目前已成为国际标准。SSL证书就是遵守SSL协议的服务器数字证书，由受信任的证书颁发机构验证服务器身份后颁发，具有网站身份验证和加密传输双重功能工作流程服务器认证阶段：1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器回复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。SET协议为了实现更加完善的即时电子支付，SET协议应运而生。SET协议（SecureElectronicTransaction），被称之为安全电子交易协议，是由MasterCard和Visa联合Netscape，Microsoft等公司，于1997年6月1日推出的一种新的电子支付模型。SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。工作流程SET交易过程中要对商家、客户、支付网关等交易各方进行身份认证，因此它的交易过程相对复杂。(1)客户在网上商店看中商品后，和商家进行磋商，然后发出请求购买信息。(2)商家要求客户用电子钱包付款。(3)电子钱包提示客户输入口令后与商家交换握手信息，确认商家和客户两端均合法。(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。(5)商家将含有客户支付指令的信息发送给支付网关。(6)支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文。(7)商家向客户的电子钱包发送一个确认信息。(8)将款项从客户帐号转到商家帐号，然后向顾客送货，交易结束。我的认识与收获电子商务交易必须依靠互联网才能交易，在现代，随着生活水平的提高，科学技术的发展，电子商