電子商務(wù)安全考前輔導(dǎo)

電子商務(wù)平安考前輔導(dǎo)邵波206年12月電子商務(wù)平安考試大綱電子商務(wù)平安課程是一門(mén)應(yīng)用性課程，本課程以電子商務(wù)運(yùn)作流程為主線(xiàn)，系統(tǒng)闡述電子商務(wù)平安技術(shù)與管理及相關(guān)應(yīng)用。在學(xué)習(xí)根底局部時(shí)，應(yīng)該注重理解相關(guān)概念、掌握根底知識(shí)、熟練運(yùn)用網(wǎng)絡(luò)與電子商務(wù)相關(guān)知識(shí)；在學(xué)習(xí)技術(shù)主體局部時(shí)，應(yīng)該了解各類(lèi)技術(shù)的根本原理、掌握其應(yīng)用條件、學(xué)會(huì)判斷其使用場(chǎng)合。由于某些技術(shù)與方法需要使用相關(guān)軟件才能完成，考試時(shí)要求掌握一些較為簡(jiǎn)單的、不太需要復(fù)雜公式的計(jì)算和軟件操作步驟；在學(xué)習(xí)評(píng)估、管理與法律保障局部時(shí)，著重對(duì)相關(guān)框架體系的了解。題型說(shuō)明

〔1〕選擇題：〔共20小題，每題1分，小計(jì)20分〕〔2〕填空題：〔共10小題，每題1分，小計(jì)10分〕〔3〕簡(jiǎn)答題：〔共6小題，每題5分，小計(jì)30分〕〔4〕論述題：〔共2小題，每題10分，小計(jì)20分〕主要考核多個(gè)知識(shí)點(diǎn)的融會(huì)貫穿和綜合運(yùn)用的能力，要求不僅列出知識(shí)要點(diǎn)，而且需要展開(kāi)論述?！?〕應(yīng)用題：〔共2小題，每題10分，小計(jì)20分〕主要考核電子商務(wù)平安中的一些常用軟件的使用、局部密碼的算法計(jì)算和重要技術(shù)的運(yùn)作步驟。1電子商務(wù)平安電子商務(wù)平安從整體上可分為兩大局部計(jì)算機(jī)網(wǎng)絡(luò)平安和商務(wù)交易平安。計(jì)算機(jī)網(wǎng)絡(luò)平安的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備平安計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)平安、數(shù)據(jù)庫(kù)平安等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的平安問(wèn)題，實(shí)施網(wǎng)絡(luò)平安增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身平安性的目標(biāo)。網(wǎng)絡(luò)平安的結(jié)構(gòu)層次主要包括：物理平安、平安控制和平安效勞。商務(wù)交易平安那么緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種平安問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)平安的根底上，如何保障電子商務(wù)過(guò)程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴(lài)性。電子數(shù)據(jù)交換技術(shù)〔EDI〕國(guó)際標(biāo)準(zhǔn)化組織(ISO)將EDI描述成“將貿(mào)易((商業(yè))或行政事務(wù)處理按照一個(gè)公認(rèn)的標(biāo)準(zhǔn)變成結(jié)構(gòu)化的事務(wù)處理或信息數(shù)據(jù)格式,從計(jì)算機(jī)到計(jì)算機(jī)的電子傳輸〞。EDI軟件由格式轉(zhuǎn)換軟件和翻譯軟件組成。EDI語(yǔ)義語(yǔ)法標(biāo)準(zhǔn)(又稱(chēng)EDI報(bào)文標(biāo)準(zhǔn))是要解決各種報(bào)文類(lèi)型格式、數(shù)據(jù)元編碼、字符集和語(yǔ)法規(guī)那么以及報(bào)表生成應(yīng)用程序設(shè)計(jì)語(yǔ)言等。SSL協(xié)議

SSL是在Internet根底上提供的一種保證私密性的平安協(xié)議。它能使客戶(hù)/效勞器應(yīng)用之間的通信不被攻擊者竊聽(tīng)，并且始終對(duì)效勞器進(jìn)行認(rèn)證，還可選擇對(duì)客戶(hù)進(jìn)行認(rèn)證，SSL協(xié)議要求建立在可靠的傳輸層協(xié)議之上。SSL記錄協(xié)議為更高層提供根本平安效勞。特別是HTTP，它提供了Web的client/server交互的傳輸效勞，可以構(gòu)造在SSL之上。SSL的應(yīng)用優(yōu)勢(shì)

SSL協(xié)議在電子商務(wù)中的應(yīng)用優(yōu)勢(shì)主要有以下三點(diǎn)：1〕支持廣泛：目前，幾乎所有操作平臺(tái)上的WEB瀏覽器〔IE、Netscatp〕以及流行的Web效勞器〔Apache、IIS、NetscapeEnterpriseServer等〕都支持SSL協(xié)議。因此使得使用該協(xié)議廉價(jià)且開(kāi)發(fā)本錢(qián)小。2〕設(shè)置本錢(qián)低：SSL交易不需要另外安裝軟件，消費(fèi)者使用方便。3〕SSL的自主開(kāi)發(fā)性強(qiáng)：我國(guó)已有很多單位均已自主開(kāi)發(fā)了128位對(duì)稱(chēng)加密算法，并通過(guò)了檢測(cè)，這大大提高了它的破譯難度；并且SSL協(xié)議已開(kāi)展到能進(jìn)行表單簽名，在一定程度上彌補(bǔ)了無(wú)數(shù)字簽名的缺乏。SET協(xié)議

SET(SecureElectronicTransaction)平安電子交易協(xié)議是由美國(guó)Visa和MasterCard兩大信用卡組織提出的應(yīng)用于Internet上的以信用卡為根底的電子支付系統(tǒng)協(xié)議。它采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)，要應(yīng)用于BtoC模式中保障支付信息的平安性。SET協(xié)議本身比較復(fù)雜，設(shè)計(jì)比較嚴(yán)格，平安性高，它能保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。SET協(xié)議是PKI框架下的一個(gè)典型實(shí)現(xiàn)，同時(shí)也在不斷升級(jí)和完善，如SET2.0將支持借記卡電子交易。數(shù)字信封SET依靠密碼系統(tǒng)保證消息的可靠傳輸，在SET中，使用隨機(jī)產(chǎn)生的對(duì)稱(chēng)密鑰來(lái)加密數(shù)據(jù)，然后，將此對(duì)稱(chēng)密鑰用接收者的公鑰加密，稱(chēng)為消息的“數(shù)字信封〞，將其和數(shù)據(jù)一起送給接收者，接收者先用他的私鑰解密數(shù)字信封，得到對(duì)稱(chēng)密鑰，然后使用對(duì)稱(chēng)密鑰解開(kāi)數(shù)據(jù)。2電子商務(wù)系統(tǒng)的平安平安需求可分為交易環(huán)境的平安性、交易對(duì)象的平安性、交易過(guò)程的平安性和支付的平安性四個(gè)方面。交易環(huán)境的平安性是指電子商務(wù)系統(tǒng)所采用的軟硬件環(huán)境的平安，包括系統(tǒng)平臺(tái)、網(wǎng)絡(luò)通信、數(shù)據(jù)以及應(yīng)用軟件的平安；交易對(duì)象的平安性是指電子交易涉及的持卡人(客戶(hù))、發(fā)卡機(jī)構(gòu)、商家、受卡行和支付網(wǎng)關(guān)等主體對(duì)象的真實(shí)性和可信性；交易過(guò)程的平安性是指各交易對(duì)象進(jìn)行網(wǎng)上交易的可信性和不可抵賴(lài)性；支付的平安性那么是要為電子貨幣的應(yīng)用和開(kāi)展鋪平道路。電子商務(wù)環(huán)境中的主要因素

〔1〕網(wǎng)絡(luò)根底設(shè)施；〔2〕多媒體內(nèi)容和網(wǎng)絡(luò)宣傳；〔3〕消息和信息傳播的根底設(shè)施；〔4〕貿(mào)易效勞的根底設(shè)施；〔5〕電子商務(wù)應(yīng)用；〔6〕政策法規(guī)、標(biāo)準(zhǔn)及平安協(xié)議。電子商務(wù)交易中的平安威脅〔1〕電子商務(wù)數(shù)據(jù)庫(kù)的不平安性。數(shù)據(jù)庫(kù)中存儲(chǔ)有：用戶(hù)數(shù)據(jù)、產(chǎn)品信息、其他有價(jià)值的信息或隱私信息?，F(xiàn)在大多數(shù)數(shù)據(jù)庫(kù)都使用基于用戶(hù)名和口令的平安措施，一旦有人通過(guò)口令而獲準(zhǔn)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，就可自由查看數(shù)據(jù)庫(kù)。如果有人得到用戶(hù)的認(rèn)證信息，就能偽裝成合法的數(shù)據(jù)庫(kù)用戶(hù)來(lái)下載機(jī)密信息。隱藏在數(shù)據(jù)庫(kù)系統(tǒng)里的特洛伊木馬程序可通過(guò)將數(shù)據(jù)權(quán)限降級(jí)來(lái)泄露信息。包括1〕篡改數(shù)據(jù)庫(kù)數(shù)據(jù)。篡改就是修改數(shù)據(jù)，使其不真實(shí)。2〕竊取數(shù)據(jù)庫(kù)數(shù)據(jù)。數(shù)據(jù)庫(kù)的數(shù)據(jù)被竊取是一件非常令人頭疼的事情，一方面是因?yàn)樯虡I(yè)數(shù)據(jù)可能價(jià)值連城，另一方面是難以發(fā)現(xiàn)。竊取通常是工業(yè)間諜、不滿(mǎn)而要離開(kāi)的雇員進(jìn)行的。另外，人為的破壞、惡作劇和病毒都可能刪除、移走或損壞數(shù)據(jù)庫(kù)中表或整個(gè)數(shù)據(jù)庫(kù)。〔2〕數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)。包括1〕數(shù)據(jù)截取。數(shù)據(jù)截獲是一個(gè)很大的顧慮。鑒于信息在傳輸時(shí)都被分成數(shù)據(jù)包，而各個(gè)數(shù)據(jù)包又會(huì)沿著不同的路徑到達(dá)其終點(diǎn)，所以最有價(jià)值的數(shù)據(jù)截取點(diǎn)就是信息的入網(wǎng)與出網(wǎng)點(diǎn)。2〕電子商務(wù)從業(yè)人員的管理。隨著電子商務(wù)的開(kāi)展，從事電子商務(wù)的人員將會(huì)迅猛增加，他們經(jīng)手著大數(shù)量的電子貨幣或有價(jià)值的商業(yè)電子信息。這些人員的無(wú)意失誤和有意犯罪不僅會(huì)給本單位本部門(mén)帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失，也可能給合作單位制造很大的麻煩。必須制定平安策略和規(guī)劃，對(duì)從事電子商務(wù)的人員進(jìn)行嚴(yán)密的管理。電子商務(wù)平安解決方案電子商務(wù)平安解決完整方案分為四個(gè)層次:根底設(shè)備平安、終端設(shè)備平安、網(wǎng)絡(luò)設(shè)備平安、系統(tǒng)設(shè)備平安，采用平安技術(shù)實(shí)現(xiàn)根底或終端設(shè)備與網(wǎng)絡(luò)或系統(tǒng)的交互。一般地，根底平安設(shè)備包括加密卡、身份識(shí)別卡等；終端平安設(shè)備包括密碼機(jī)、密碼機(jī)等；系統(tǒng)平安設(shè)備包括平安效勞器、平安加密件、金融加密機(jī)等；網(wǎng)絡(luò)平安設(shè)備包括平安路由器、防火墻以及平安協(xié)議等。平安技術(shù)主要有身份認(rèn)證技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、加密技術(shù)、智能卡技術(shù)、虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)以及PKI技術(shù)等。Superscan應(yīng)用實(shí)例

Superscan應(yīng)用實(shí)例Superscan一款老牌的端口掃描工具，其突出特點(diǎn)就是掃描速度快。除端口掃描，它還有許多其它功能，Superscan黑客進(jìn)行端口掃描經(jīng)常用到的工具。主要功能：檢測(cè)一定范圍內(nèi)目標(biāo)主機(jī)是否在線(xiàn)和端口開(kāi)放情況，檢測(cè)目標(biāo)主機(jī)提供的各種效勞，通過(guò)Ping命令檢驗(yàn)IP是否在線(xiàn)，進(jìn)行IP與域名的轉(zhuǎn)換等。3電子商務(wù)的平安體系層次根本加密算法,其中包括單鑰密碼體制和公鑰密碼體制、平安雜湊函數(shù)等算法；以根本加密算法為根底的CA體系、數(shù)字證書(shū)等根本平安技術(shù)；以根本加密算法、平安技術(shù)、CA體系為根底的各種平安應(yīng)用協(xié)議,如X.509、SET、SSL(TSL)、PGP、S/MIME等。電子商務(wù)平安體系結(jié)構(gòu)〔1〕網(wǎng)絡(luò)效勞層。網(wǎng)絡(luò)效勞層是電子商務(wù)系統(tǒng)根本的網(wǎng)絡(luò)效勞平臺(tái)。它包括網(wǎng)絡(luò)隱患掃描、網(wǎng)絡(luò)平安監(jiān)控、內(nèi)容識(shí)別、防火墻、用戶(hù)接口和訪(fǎng)問(wèn)控制等模塊。〔2〕加密技術(shù)層。為確保電子商務(wù)系統(tǒng)全面平安，必須建立完善的加密技術(shù)和認(rèn)證機(jī)制。加密技術(shù)是保證電子商務(wù)系統(tǒng)平安所采用的最根本的平安措施，它用于滿(mǎn)足電子商務(wù)對(duì)保密性的需求?！?〕平安認(rèn)證層。通過(guò)數(shù)字摘要、數(shù)字簽名、數(shù)字證書(shū)和CA認(rèn)證等技術(shù)去驗(yàn)證商務(wù)信息和商務(wù)對(duì)象的真實(shí)性和不可否認(rèn)性。電子商務(wù)平安體系結(jié)構(gòu)〔4〕交易協(xié)議層。平安交易協(xié)議提供電子商務(wù)封裝數(shù)據(jù)的公平交換效勞。比較成熟的協(xié)議有Netbill、SET、SSLCybercash、JEPI、Netcash等。不同交易協(xié)議的復(fù)雜性、開(kāi)銷(xiāo)和平安性各不相同。不同的應(yīng)用環(huán)境對(duì)協(xié)議的目標(biāo)要求也不盡相同。〔5〕商務(wù)系統(tǒng)層。提供商業(yè)解決方案,如BtoB、BtoC等各種電子商務(wù)應(yīng)用系統(tǒng)。商務(wù)系統(tǒng)層是結(jié)構(gòu)體系最上層結(jié)構(gòu)。根據(jù)電子交易要求,為客戶(hù)提供全新的功能,包括內(nèi)容管理、市場(chǎng)推廣、訂購(gòu)管理、支付管理等,實(shí)現(xiàn)全方位的商務(wù)活動(dòng)的數(shù)字自動(dòng)化。4密碼按應(yīng)用技術(shù)或歷史開(kāi)展的幾個(gè)階段〔1〕手工密碼。以手工完成加密作業(yè)，或者以簡(jiǎn)單器具輔助操作的密碼，叫做手工密碼?！?〕機(jī)械密碼。以機(jī)械密碼機(jī)或電動(dòng)密碼機(jī)來(lái)完成加解密作業(yè)的密碼，叫做機(jī)械密碼?！?〕電子機(jī)內(nèi)亂密碼。通過(guò)電子電路，以嚴(yán)格的程序進(jìn)行邏輯運(yùn)算，以少量制亂元素生產(chǎn)大量的加密亂數(shù)，因?yàn)槠渲苼y是在加解密過(guò)程中完成的而不需預(yù)先制作，所以稱(chēng)為電子機(jī)內(nèi)亂密碼。〔4〕計(jì)算機(jī)密碼，是以計(jì)算機(jī)軟件編程進(jìn)行算法加密為特點(diǎn)，適用于計(jì)算機(jī)數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)通訊等廣泛用途的密碼。一般的數(shù)據(jù)加密模型

明文XE加密算法D解密算法加密密鑰K解密密鑰K明文X密文Y=EK(X)截取者截獲篡改密鑰源安全信道數(shù)據(jù)加密標(biāo)準(zhǔn)DES數(shù)據(jù)加密標(biāo)準(zhǔn)DES屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對(duì)整個(gè)明文進(jìn)行分組。每一個(gè)組長(zhǎng)為64bit。然后對(duì)每一個(gè)64bit二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組64bit密文數(shù)據(jù)。最后將各組密文串接起來(lái)，即得出整個(gè)的密文。使用的密鑰為64bit〔實(shí)際密鑰長(zhǎng)度為56bit，有8bit用于奇偶校驗(yàn))。公開(kāi)密鑰密碼體制公開(kāi)密鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的〞密碼體制。公開(kāi)密鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€(gè)方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問(wèn)題，另一是由于對(duì)數(shù)字簽名的需求。公開(kāi)密鑰密碼體制現(xiàn)有三種公開(kāi)密鑰密碼體制，其中最著名的是RSA體制，它基于數(shù)論中大數(shù)分解問(wèn)題的體制，由美國(guó)三位科學(xué)家Rivest,Shamir和Adleman于1976年提出并在1978年正式發(fā)表的。在公開(kāi)密鑰密碼體制中，加密密鑰(即公開(kāi)密鑰)PK是公開(kāi)信息，而解密密鑰(即秘密密鑰)SK是需要保密的。加密算法E和解密算法D也都是公開(kāi)的。雖然秘密密鑰SK是由公開(kāi)密鑰PK決定的，但卻不能根據(jù)PK計(jì)算出SK。公開(kāi)密鑰密碼體制

接收者發(fā)送者E加密算法D解密算法加密密鑰PK解密密鑰SK明文X密文Y=EPK(X)密鑰對(duì)產(chǎn)生源明文X=DSK(EPK(X))加密金剛鎖應(yīng)用實(shí)例

加密金剛鎖應(yīng)用實(shí)例主要功能：能加密任意類(lèi)型任意長(zhǎng)度的文件，加密時(shí)可以設(shè)置一個(gè)授權(quán)盤(pán)，這樣，即使密碼被別人知道了，但只要他沒(méi)有授權(quán)盤(pán)，他仍然無(wú)法破解該文件。具有隱藏文件夾功能，對(duì)文件夾采用三重保護(hù)，保密性強(qiáng)，隱藏的文件夾在平安模式甚至在純DOS下仍有效，并可充分抵抗WINRAR等工具的攻擊。具有文件夾加鎖功能，加鎖后的文件夾無(wú)法被刪除。具有對(duì)可執(zhí)行文件加密碼保護(hù)、平安地刪除文件、對(duì)批量文件進(jìn)行處理、壓縮文件、隱藏軟驅(qū)、光驅(qū)或硬盤(pán)分區(qū)等功能?？芍С置艽a算法:AESA、DES、3DES等。5《中華人民共和國(guó)電子簽名法》

2004年8月誕生，2005年4月1日正式實(shí)施，第一次從法律的角度，賦予可靠的電子簽名與手寫(xiě)簽名或蓋章具有同等的法律效力，并明確了電子認(rèn)證效勞的市場(chǎng)準(zhǔn)入制度。因此，推廣數(shù)字證書(shū)應(yīng)用以及標(biāo)準(zhǔn)認(rèn)證機(jī)構(gòu)，對(duì)于促進(jìn)我國(guó)平安可信的電子交易環(huán)境的建立，推動(dòng)電子商務(wù)應(yīng)用開(kāi)展，增強(qiáng)國(guó)際競(jìng)爭(zhēng)力有著重大的意義。數(shù)字證書(shū)

作為網(wǎng)上交易雙方真實(shí)身份證明的依據(jù)，數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心〔CA〕數(shù)字簽名的、包含證書(shū)申請(qǐng)者(公開(kāi)密鑰擁有者〕個(gè)人信息及其公開(kāi)密鑰的文件?；诠_(kāi)密鑰體制(PKI〕的數(shù)字證書(shū)是電子商務(wù)平安體系的核心，用途是利用公共密鑰加密系統(tǒng)來(lái)保護(hù)與驗(yàn)證公眾的密鑰，由可信任的的權(quán)威機(jī)構(gòu)CA頒發(fā)。CA對(duì)申請(qǐng)者所提供的信息進(jìn)行驗(yàn)證，然后通過(guò)向電子商務(wù)各參與方簽發(fā)數(shù)字證書(shū)，來(lái)確認(rèn)各方的身份，保證網(wǎng)上支付的平安性。數(shù)字證書(shū)技術(shù)滿(mǎn)足電子商務(wù)中的平安需求

實(shí)現(xiàn)方式數(shù)據(jù)保密性〔加密〕：證書(shū)使用者使用證書(shū)中公鑰加密消息，傳送給證書(shū)持有者，證書(shū)持有者收到加密后的消息，用相應(yīng)的私鑰解密；數(shù)據(jù)的完整性〔加密〕：證書(shū)使用者將要發(fā)送的消息加密后與明文一同發(fā)送給證書(shū)持有者，證書(shū)持有者使用私鑰將密文解密，并與收到的明文比較，以此來(lái)判斷消息在傳送過(guò)程中是否被更改正；身份鑒別〔數(shù)字簽名〕：證書(shū)使用者使用證書(shū)中公鑰加密一段消息，發(fā)送給證書(shū)持有者，證書(shū)持有者使用私鑰將密文解密后發(fā)送給證書(shū)使用者，證書(shū)使用者檢查收到的消息是否與原來(lái)的消息一致，以此來(lái)判斷證書(shū)持有者是否真的擁有私鑰；不可否認(rèn)性〔數(shù)字簽名〕：在進(jìn)行某此交易時(shí)，交易雙方使用他們的私鑰加密一段消息并附上時(shí)戳發(fā)送給對(duì)方或某一公正機(jī)構(gòu)。PKI(PublicKeyInfrastructure)PKI不是電子商務(wù)或電子政務(wù)的附屬物，也不是單純的密碼算法或密碼產(chǎn)品。PKI是在數(shù)字社會(huì)里實(shí)現(xiàn)身份公證、進(jìn)而實(shí)現(xiàn)基于身份公證的各種信息平安手段的公共信息根底設(shè)施。它可以為數(shù)字社會(huì)里各種需要身份公證的現(xiàn)實(shí)的與潛在的業(yè)務(wù)提供支撐。PKI的唯一和最終目的是證明“Youarewhoyousayyouare〔你是你聲稱(chēng)你是的那個(gè)人〕〞數(shù)字簽名技術(shù)

數(shù)字簽名必須保證以下幾點(diǎn)：接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；發(fā)送者事后不能抵賴(lài)對(duì)報(bào)文的簽名；接收者不能偽造對(duì)報(bào)文的簽名。數(shù)字簽名的加密算法

數(shù)字簽名的加密算法很多，應(yīng)用最為廣泛的三種是：Hash簽名、DSS簽名、RSA簽名。這三種算法可單獨(dú)使用，也可綜合在一起使用。數(shù)字簽名是通過(guò)密碼算法對(duì)數(shù)據(jù)進(jìn)行加、解密變換實(shí)現(xiàn)的，常用的HASH算法有MD2、MD5、SHA-1，用DES算法、RSA算法都可實(shí)現(xiàn)數(shù)字簽名。

6電子商務(wù)的身份認(rèn)證需求

一是身份的惟一性，用以保證身份確實(shí)定性；二是身份確實(shí)定性，用以保證交易方代表性；三是身份的有效性，防止商務(wù)交易方的交易行為的抵毀性；四是身份機(jī)密性，以保證商務(wù)密秘的平安性。電子商務(wù)環(huán)境下主要身份認(rèn)證方式

基于口令的傳統(tǒng)認(rèn)證方式基于物理證件的認(rèn)證方式基于動(dòng)態(tài)口令的認(rèn)證方式基于生物特征的認(rèn)證方式身份認(rèn)證是整個(gè)電子商務(wù)平安的根底，是電子商務(wù)平安的第一道關(guān)。只有實(shí)現(xiàn)了有效的身份認(rèn)證，才能保證訪(fǎng)問(wèn)控制、平安審計(jì)、入侵防范等平安機(jī)制的有效實(shí)施。在電子商務(wù)環(huán)境下，要想實(shí)現(xiàn)高平安強(qiáng)度的電子身份認(rèn)證，需要把上述幾種方式結(jié)合使用。當(dāng)然，要想真正實(shí)現(xiàn)平安的身份認(rèn)證，還需要綜合考慮高平安性的加密算法以及相關(guān)的法律保障。網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證的威脅〔1〕中間人攻擊。非法用戶(hù)截獲信息，替換或修改信息后再傳送給接收者，以冒充合法用戶(hù)發(fā)送信息?！?〕重放攻擊。網(wǎng)絡(luò)認(rèn)證還需防止認(rèn)證信息在網(wǎng)絡(luò)傳輸過(guò)程中被第三方獲取，并記載下來(lái)，然后再傳送給接收者。〔3〕密碼分析攻擊。攻擊者通過(guò)密碼分析，破譯用戶(hù)口令/身份信息或猜測(cè)下一次用戶(hù)身份認(rèn)證信息?！?〕口令猜測(cè)攻擊。偵聽(tīng)者在知道了認(rèn)證算法后，可以對(duì)用戶(hù)的口令字進(jìn)行猜測(cè)：使用計(jì)算機(jī)猜測(cè)口令字，利用得到的報(bào)文進(jìn)行驗(yàn)證?！?〕身份信息的暴露。網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略

入網(wǎng)訪(fǎng)問(wèn)控制網(wǎng)絡(luò)的權(quán)限控制目錄級(jí)平安控制屬性平安控制網(wǎng)絡(luò)效勞器平安控制網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制網(wǎng)絡(luò)端口和節(jié)點(diǎn)的平安控制防火墻控制7防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)〔如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)〕或網(wǎng)絡(luò)平安域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)企業(yè)的平安政策控制〔允許、拒絕、監(jiān)測(cè)〕出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息平安效勞，實(shí)現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。防火墻技術(shù)防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)，它通過(guò)單一集中的平安檢查點(diǎn)，強(qiáng)制實(shí)施相應(yīng)的平安策略進(jìn)行檢查，防止對(duì)重要信息資源進(jìn)行非法存取和訪(fǎng)問(wèn)，以到達(dá)保護(hù)系統(tǒng)平安的目的。防火墻信任網(wǎng)絡(luò)非信任網(wǎng)絡(luò)防火墻能做什么?1.防火墻是網(wǎng)絡(luò)平安的屏障：一個(gè)防火墻〔作為阻塞點(diǎn)、控制點(diǎn)〕能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的平安性，并通過(guò)過(guò)濾不平安的效勞而降低風(fēng)險(xiǎn)。2.防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。3.防火墻可以強(qiáng)化網(wǎng)絡(luò)平安策略：通過(guò)以防火墻為中心的平安方案配置，能將所有平安軟件〔如口令、加密、身份認(rèn)證、審計(jì)等〕配置在防火墻上。4.防止內(nèi)部信息的外泄：通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)平安問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。防火墻的根本功能數(shù)據(jù)包過(guò)濾〔PacketFiltering〕網(wǎng)絡(luò)地址轉(zhuǎn)換〔NetworkAddressTranslation〕應(yīng)用級(jí)代理〔ProxyService〕身份認(rèn)證〔Authentication〕虛擬專(zhuān)用網(wǎng)〔VirtualPrivateNetwork〕防火墻種類(lèi)1.分組過(guò)濾〔Packetfiltering〕：作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號(hào)、協(xié)議類(lèi)型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。應(yīng)用代理〔ApplicationProxy〕：也叫應(yīng)用網(wǎng)關(guān)〔ApplicationGateway〕，它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔〞了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用效勞編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。電路中繼(CircuitRelay)：也叫電路網(wǎng)關(guān)(CircuitGateway)或TCP代理〔TCP－Proxy〕，其工作原理與應(yīng)用代理類(lèi)似，不同之處是該代理程序是專(zhuān)門(mén)為傳輸層的TCP協(xié)議編制的。8入侵檢測(cè)入侵檢測(cè)即通過(guò)從網(wǎng)絡(luò)系統(tǒng)中的假設(shè)干關(guān)鍵節(jié)點(diǎn)收集并分析信息，監(jiān)控網(wǎng)絡(luò)中是否有違反平安策略的行為或者是否存在入侵行為。作用：它能夠提供平安審計(jì)、監(jiān)視、攻擊識(shí)別和反攻擊等多項(xiàng)功能，對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)監(jiān)控，在網(wǎng)絡(luò)平安技術(shù)中起到了不可替代的作用。入侵檢測(cè)系統(tǒng)工作原理：實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)，與的攻擊手段進(jìn)行匹配，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和遭到襲擊的跡象。使用方式：作為防火墻后的第二道防線(xiàn)。入侵檢測(cè)的主要功能

實(shí)時(shí)入侵檢測(cè)與響應(yīng)警報(bào)信息分類(lèi)、查詢(xún)功能引擎集中管理功能策略管理功能警報(bào)信息的統(tǒng)計(jì)和報(bào)表功能分級(jí)用戶(hù)管理功能入侵檢測(cè)的局限性〔1〕網(wǎng)絡(luò)局限?！?〕網(wǎng)絡(luò)拓?fù)渚窒蕖！?〕檢測(cè)方法局限?！?〕異常檢測(cè)的局限?！?〕TCP/IP協(xié)議局限。入侵檢測(cè)系統(tǒng)的分類(lèi)按獲得原始數(shù)據(jù)的方法可以將入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測(cè)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。1、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。2、基于主機(jī)的入侵檢測(cè)系統(tǒng)使用主機(jī)上的數(shù)據(jù)源。如效勞器固有的日志。檢測(cè)原理--誤用檢測(cè)通過(guò)定義攻擊行為特征，檢測(cè)時(shí)判斷監(jiān)測(cè)目標(biāo)是否符合攻擊特征來(lái)實(shí)施檢測(cè)。誤用檢測(cè)使用模式匹配技術(shù)，對(duì)發(fā)生事件的模式進(jìn)行匹配，以發(fā)現(xiàn)問(wèn)題。它可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。漏報(bào)率高。檢測(cè)原理--異常檢測(cè)通過(guò)定義合法行為，檢測(cè)時(shí)判斷監(jiān)測(cè)目標(biāo)是否滿(mǎn)足合法行為定義來(lái)實(shí)施檢測(cè)。檢測(cè)過(guò)程中僅依賴(lài)于對(duì)系統(tǒng)正常行為的知識(shí)，能夠檢測(cè)未知的攻擊，但其準(zhǔn)確性仍不能滿(mǎn)足實(shí)際應(yīng)用的需求。使用統(tǒng)計(jì)技術(shù)發(fā)現(xiàn)異常的事件模式。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔〞以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵〞或忽略真正的“入侵〞行為。9數(shù)據(jù)庫(kù)平安(DatabaseSecurity)數(shù)據(jù)庫(kù)平安是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。平安性問(wèn)題不是數(shù)據(jù)庫(kù)系統(tǒng)所獨(dú)有的，所有計(jì)算機(jī)系統(tǒng)都有這個(gè)問(wèn)題，只是在數(shù)據(jù)庫(kù)系統(tǒng)中大量數(shù)據(jù)集中存放，而且為許多最終用戶(hù)直接共享，從而使平安性問(wèn)題更為突出。數(shù)據(jù)庫(kù)的平安性和計(jì)算機(jī)系統(tǒng)的平安性，包括操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的平安性是緊密聯(lián)系、相互支持的。數(shù)據(jù)庫(kù)加密系統(tǒng)根本要求〔1〕字段加密。在目前條件下，加/解密的粒度是每個(gè)記錄的字段數(shù)據(jù)。如果以文件或列為單位進(jìn)行加密，必然會(huì)形成密鑰的反復(fù)使用，從而降低加密系統(tǒng)的可靠性或者因加/解密時(shí)間過(guò)長(zhǎng)而無(wú)法使用。只有以記錄的字段數(shù)據(jù)為單位進(jìn)行加/解密，才能適應(yīng)數(shù)據(jù)庫(kù)操作，同時(shí)進(jìn)行有效的密鑰管理并完成“一次一密〞的密碼操作?！?〕密鑰動(dòng)態(tài)管理。數(shù)據(jù)庫(kù)客體之間隱含著復(fù)雜的邏輯關(guān)系，一個(gè)邏輯結(jié)構(gòu)可能對(duì)應(yīng)著多個(gè)數(shù)據(jù)庫(kù)物理客體，所以數(shù)據(jù)庫(kù)加密不僅密鑰量大，而且組織和存儲(chǔ)工作比較復(fù)雜，需要對(duì)密鑰實(shí)現(xiàn)動(dòng)態(tài)管理。數(shù)據(jù)庫(kù)加密系統(tǒng)根本要求〔3〕合理處理數(shù)據(jù)。這包括幾方面的內(nèi)容。首先要恰當(dāng)?shù)靥幚頂?shù)據(jù)類(lèi)型，否那么DBMS將會(huì)因加密后的數(shù)據(jù)不符合定義的數(shù)據(jù)類(lèi)型而拒絕加載；其次，需要處理數(shù)據(jù)的存儲(chǔ)問(wèn)題，實(shí)現(xiàn)數(shù)據(jù)庫(kù)加密后，應(yīng)根本上不增加空間開(kāi)銷(xiāo)。在目前條件下，數(shù)據(jù)庫(kù)關(guān)系運(yùn)算中的匹配字段，如表間連接碼、索引字段等數(shù)據(jù)不宜加密。文獻(xiàn)字段雖然是檢索字段，但也應(yīng)該允許加密，因?yàn)槲墨I(xiàn)字段的檢索處理采用了有別于關(guān)系數(shù)據(jù)庫(kù)索引的正文索引技術(shù)?！?〕不影響合法用戶(hù)的操作。加密系統(tǒng)影響數(shù)據(jù)操作響應(yīng)時(shí)間應(yīng)盡量短，在現(xiàn)階段，平均延遲時(shí)間不應(yīng)超過(guò)1/10秒。此外，對(duì)數(shù)據(jù)庫(kù)的合法用戶(hù)來(lái)說(shuō)，數(shù)據(jù)的錄入、修改和檢索操作應(yīng)該是透明的，不需要考慮數(shù)據(jù)的加/解密問(wèn)題。數(shù)據(jù)庫(kù)備份

對(duì)當(dāng)前的商業(yè)系統(tǒng)來(lái)說(shuō)，保持系統(tǒng)的可用性和運(yùn)行業(yè)務(wù)的連續(xù)性變得越來(lái)越重要，很多系統(tǒng)要求7×24小時(shí)完全在線(xiàn)的運(yùn)行。無(wú)論是一些潛在可能發(fā)生的故障如磁盤(pán)失敗、處理器故障、電源故障、網(wǎng)絡(luò)故障還是方案內(nèi)停機(jī)維護(hù)，都對(duì)系統(tǒng)的可用性和業(yè)務(wù)連續(xù)性構(gòu)成了不同程度的威脅。當(dāng)故障或?yàn)?zāi)難發(fā)生導(dǎo)致系統(tǒng)的停頓時(shí)，企業(yè)損失的不僅僅是一些有形資產(chǎn)如金錢(qián)、硬件等，更重要的是失去了無(wú)形資產(chǎn)，如客戶(hù)與合作伙伴的忠誠(chéng)度與信任。數(shù)據(jù)庫(kù)恢復(fù)

盡管數(shù)據(jù)庫(kù)系統(tǒng)中采取了各種保護(hù)措施來(lái)防止數(shù)據(jù)庫(kù)的平安性和完整性被破壞，保證并發(fā)事務(wù)的正確執(zhí)行，但是計(jì)算機(jī)系統(tǒng)中硬件的故障、軟件的錯(cuò)誤、操作員的失誤以及惡意的破壞仍是不可防止的，這些故障輕那么造成運(yùn)行事務(wù)非正常中斷，影響數(shù)據(jù)庫(kù)中數(shù)據(jù)的正確性，重那么破壞數(shù)據(jù)庫(kù)，使數(shù)據(jù)庫(kù)中全部或局部數(shù)據(jù)喪失，因此數(shù)據(jù)庫(kù)管理系統(tǒng)〔恢復(fù)子系統(tǒng)〕必須具有把數(shù)據(jù)庫(kù)從錯(cuò)誤狀態(tài)恢復(fù)到某一的正確狀態(tài)〔亦稱(chēng)為一致?tīng)顟B(tài)或完整狀態(tài)〕的功能，這就是數(shù)據(jù)庫(kù)的恢復(fù)。日志文件的作用

日志文件在數(shù)據(jù)庫(kù)恢復(fù)中起著非常重要的作用?？梢杂脕?lái)進(jìn)行事務(wù)故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)。具體地講：事務(wù)故障恢復(fù)和系統(tǒng)故障必須用日志文件。在動(dòng)態(tài)轉(zhuǎn)儲(chǔ)方式中必須建立日志文件，后援副本和日志文件綜合起來(lái)才能有效地恢復(fù)數(shù)據(jù)庫(kù)。10移動(dòng)電子商務(wù)

移動(dòng)電子商務(wù)是指通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)，利用、傳呼機(jī)、個(gè)人數(shù)字助理(PDA)、筆記本電腦等移動(dòng)終端設(shè)備進(jìn)行的電子商務(wù)活動(dòng)，它是移動(dòng)通信網(wǎng)和因特網(wǎng)的有機(jī)結(jié)合。移動(dòng)電子商務(wù)是電子商務(wù)從有線(xiàn)通信到無(wú)線(xiàn)通信、從固定地點(diǎn)的商務(wù)形式到隨時(shí)隨地的商務(wù)形式的延伸，是電子商務(wù)的一個(gè)新的分支，但是從應(yīng)用角度來(lái)看，它的開(kāi)展是對(duì)有線(xiàn)電子商務(wù)的整合與開(kāi)展，是電子商務(wù)開(kāi)展的新形態(tài)。移動(dòng)電子商務(wù)業(yè)務(wù)

移動(dòng)電子商務(wù)不僅提供電子購(gòu)物環(huán)境，還提供一種全新的銷(xiāo)售和信息發(fā)布渠道。從信息流向的角度，移動(dòng)電子商務(wù)提供的業(yè)務(wù)可分為以下三個(gè)方面:〔1〕“推(Push)〞業(yè)務(wù):主要用于公共信息發(fā)布。應(yīng)用領(lǐng)域包括時(shí)事新聞、天氣預(yù)報(bào)、股票行情、彩票中獎(jiǎng)公布、交通路況信息、招聘信息和廣告等等?！?〕“拉(Pull)〞業(yè)務(wù):主要用于信息的個(gè)人定制接收。應(yīng)用領(lǐng)域包括效勞賬單、號(hào)碼、旅游信息、航班信息、影院節(jié)目安排、列車(chē)時(shí)刻表、行業(yè)產(chǎn)品信息等等?！?〕“交互式(Interactive)〞業(yè)務(wù):包括電子購(gòu)物、博彩、游戲、證券交易、在線(xiàn)競(jìng)拍等等。

移動(dòng)電子商務(wù)中平安問(wèn)題平安性是移動(dòng)電子商務(wù)能否取得成功的關(guān)鍵。移動(dòng)電子商務(wù)中平安問(wèn)題包括如下幾個(gè)問(wèn)題：交易的可靠性、數(shù)據(jù)傳輸?shù)臋C(jī)密性、交易的不可否認(rèn)性和數(shù)據(jù)的完整性?？煽啃允侵副ＷC交易的對(duì)象是真實(shí)的。機(jī)密性是指消息內(nèi)容不被無(wú)關(guān)者看到。不可否認(rèn)性那么是為了保證交易參與雙方無(wú)法否認(rèn)曾經(jīng)參與了交易活動(dòng)。數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過(guò)程中不會(huì)被惡意的改變，也即接受者所收到的數(shù)據(jù)就是發(fā)送者所發(fā)出的數(shù)據(jù)，同時(shí)，發(fā)送者發(fā)送的數(shù)據(jù)能夠準(zhǔn)確無(wú)誤的傳送到接收者手中。實(shí)現(xiàn)移動(dòng)電子商務(wù)的技術(shù)

〔1〕無(wú)線(xiàn)應(yīng)用協(xié)議(WAP)，WAP是開(kāi)展移動(dòng)電子商務(wù)的核心技術(shù)之一；〔2〕移動(dòng)IP，移動(dòng)IP通過(guò)在網(wǎng)絡(luò)層改變IP協(xié)議，從而實(shí)現(xiàn)移動(dòng)計(jì)算機(jī)在Internet中的無(wú)縫漫游；〔3〕“藍(lán)牙〞(Bluetooth)；〔4〕通用分組無(wú)線(xiàn)業(yè)務(wù)(GPRS)；〔5〕移動(dòng)定位系統(tǒng)；〔6〕第三代〔3G〕移動(dòng)通信系統(tǒng)。移動(dòng)電子商務(wù)面臨的平安威脅盡管移動(dòng)商務(wù)給工作效率的提高帶來(lái)了諸多優(yōu)勢(shì)〔如：減少了效勞時(shí)間、降低了本錢(qián)和增加了收入〕，但平安問(wèn)題仍是移動(dòng)商務(wù)推廣應(yīng)用的瓶頸。有線(xiàn)網(wǎng)絡(luò)平安的技術(shù)手段不完全適用于無(wú)線(xiàn)設(shè)備，由于無(wú)線(xiàn)設(shè)備的內(nèi)存和計(jì)算能力有限而不能承載大局部的病毒掃描和入侵檢測(cè)的程序。例如：目前還沒(méi)有有效抵抗病毒的防護(hù)軟件。移動(dòng)電子商務(wù)平安的內(nèi)容〔1〕移動(dòng)終端的平安問(wèn)題。移動(dòng)終端的平安問(wèn)題包括終端可能被盜用，盜用者在偷來(lái)的終端上使用合法的SIM卡訪(fǎng)問(wèn)系統(tǒng)資源；〔2〕無(wú)線(xiàn)通信網(wǎng)絡(luò)的平安問(wèn)題。主要包括非授權(quán)訪(fǎng)問(wèn)數(shù)據(jù)、完整性的威脅、拒絕效勞攻擊；〔3〕效勞網(wǎng)絡(luò)的平安問(wèn)題。主要包括非授權(quán)訪(fǎng)問(wèn)數(shù)據(jù)、完整性威脅、拒絕效勞攻擊、否認(rèn)、非授權(quán)訪(fǎng)問(wèn)效勞五個(gè)方面。移動(dòng)電子商務(wù)的平安實(shí)現(xiàn)方式通過(guò)WPKI的不同認(rèn)證方式來(lái)實(shí)現(xiàn)不同的平安等級(jí)利用WAP網(wǎng)關(guān)來(lái)實(shí)現(xiàn)不同的平安效勞端到端平安模式。移動(dòng)電子商務(wù)平安性分析〔1〕端到端平安。提供用戶(hù)和效勞提供商間的端到端短消息平安機(jī)制，從而在最大程度上防止交易消息遭到竊聽(tīng)，同時(shí)該平安協(xié)議對(duì)于用戶(hù)而言是透明的?！?〕機(jī)密性與完整性。采用MAC碼檢測(cè)數(shù)據(jù)的完整性，并通過(guò)對(duì)稱(chēng)密鑰加密算法防止交易數(shù)據(jù)和用戶(hù)隱私泄漏?！?〕一次性雙向身份認(rèn)證。采用一次性口令，每次提交的認(rèn)證信息都不相同，同時(shí)業(yè)務(wù)數(shù)據(jù)與認(rèn)證信息一起發(fā)送從而防止了傳統(tǒng)的“挑戰(zhàn)—應(yīng)答〞式身份認(rèn)證中的客戶(hù)與效勞器的屢次交互，大大節(jié)約了通信本錢(qián)并降低了短消息信道的通信壓力。〔4〕有線(xiàn)網(wǎng)平安和無(wú)線(xiàn)網(wǎng)平安的有效結(jié)合。充分考慮無(wú)線(xiàn)網(wǎng)通信帶寬的有限性，以及移動(dòng)設(shè)備計(jì)算能力的局限性，采用基于對(duì)稱(chēng)密鑰的平安協(xié)議來(lái)保證移動(dòng)設(shè)備和移動(dòng)網(wǎng)絡(luò)通信的平安性，同時(shí)采用PKI及平安強(qiáng)度高的支付協(xié)議來(lái)保證系統(tǒng)的整體平安?！?〕協(xié)議的可靠性。WAP2.0平安機(jī)制WAP2.0在手機(jī)終端、WAP網(wǎng)關(guān)和應(yīng)用效勞器間均與WAP1.x有很大區(qū)別。WAP網(wǎng)關(guān)僅對(duì)TCP、IP層進(jìn)行協(xié)議實(shí)現(xiàn)，對(duì)TLS〔安全連接〕、HTTP及之上的WAE實(shí)現(xiàn)透明傳輸。終端和應(yīng)用效勞器都采用基于TCP之上的TLS加密。從技術(shù)實(shí)現(xiàn)上，在WAP網(wǎng)關(guān)不存在解密和加密的過(guò)程，所以說(shuō)，在WAP2.0中，從終端到應(yīng)用效勞器間能夠?qū)崿F(xiàn)移動(dòng)數(shù)據(jù)端到端的加密。目前在中國(guó)移動(dòng)和中國(guó)聯(lián)通，從網(wǎng)絡(luò)根底設(shè)施上〔比方WAP網(wǎng)關(guān)、WAP管理和業(yè)務(wù)平臺(tái)〕看，已經(jīng)完全具備大規(guī)模支持WAP2.0應(yīng)用的能力。由于WAP2.0能夠提供端到端的平安機(jī)制，隨著市場(chǎng)上WAP2.0的不斷推出和增多，開(kāi)展基于WAP2.0之上的移動(dòng)電子商務(wù)的條件將越來(lái)越成熟。移動(dòng)商務(wù)、移動(dòng)證券、移動(dòng)銀行將成為移動(dòng)互聯(lián)網(wǎng)應(yīng)用的主要效勞之一。

WPKI可應(yīng)用于移動(dòng)電子商務(wù)環(huán)境的加密體系是由有線(xiàn)網(wǎng)絡(luò)的公開(kāi)密鑰體系PKI(PublicKeyInfrastructure)發(fā)展而來(lái)的WPKI(WirelessPublicKeyInfrastructure)技術(shù)。它是一套遵循既定標(biāo)準(zhǔn)的密鑰及證書(shū)管理平臺(tái)體系，用此體系來(lái)管理移動(dòng)網(wǎng)絡(luò)環(huán)境中使用的公開(kāi)密鑰和數(shù)字證書(shū)，有效建立平安和值得信賴(lài)的無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境。與PKI系統(tǒng)相似，一個(gè)完整的WPKI系統(tǒng)必須具有以下五個(gè)局部:客戶(hù)端;注冊(cè)機(jī)構(gòu)(RA);認(rèn)證機(jī)構(gòu)(CA);證書(shū)庫(kù)以及應(yīng)用接口等，其構(gòu)建也圍繞著這五大系統(tǒng)進(jìn)行。3G對(duì)移動(dòng)電子商務(wù)的保障

(1)網(wǎng)絡(luò)接入的平安性。只有有權(quán)用戶(hù)得到認(rèn)證以后才能接人網(wǎng)絡(luò)，防止惡意用戶(hù)攻擊網(wǎng)絡(luò)竊取其他移動(dòng)電子商務(wù)用戶(hù)的商務(wù)信息流。這個(gè)平安機(jī)制的實(shí)現(xiàn)是通過(guò)3G網(wǎng)絡(luò)極其嚴(yán)密地認(rèn)證機(jī)制來(lái)實(shí)現(xiàn)的。(2)網(wǎng)絡(luò)域的平安機(jī)制。通過(guò)對(duì)于商務(wù)用戶(hù)的信息流進(jìn)行加密和對(duì)信令的一致性檢驗(yàn)來(lái)確保用戶(hù)的信息流平安傳輸和網(wǎng)絡(luò)控制機(jī)制的正常運(yùn)轉(zhuǎn)。(3)用戶(hù)域的平安機(jī)制。保證用戶(hù)的喪失或者被盜以后，其他非法用戶(hù)無(wú)法訪(fǎng)間存儲(chǔ)在終端中私密的個(gè)人信息。(4)應(yīng)用領(lǐng)域的平安機(jī)制。通過(guò)應(yīng)用層加密機(jī)制來(lái)實(shí)現(xiàn)從信息流端到端傳輸?shù)慕嵌葋?lái)保證電子商務(wù)的信息平安傳送。移動(dòng)電子商務(wù)存在的問(wèn)題與對(duì)策

〔1〕平安性是影響移動(dòng)電子商務(wù)開(kāi)展的關(guān)鍵問(wèn)題：相對(duì)于傳統(tǒng)的電子商務(wù)模式，移動(dòng)電子商務(wù)的平安性更加薄弱。如何保護(hù)用戶(hù)的合法信息〔賬戶(hù)、密碼等〕不受侵犯，是一項(xiàng)迫切需要解決的問(wèn)題。除此之外，目前我國(guó)還應(yīng)解決好電子支付系統(tǒng)、商品配送系統(tǒng)等平安問(wèn)題?？梢圆扇〉姆椒ㄊ俏諅鹘y(tǒng)電子商務(wù)的平安防范措施，并根據(jù)移動(dòng)電子商務(wù)的特點(diǎn)，開(kāi)發(fā)輕便高效的平安協(xié)議，如面向應(yīng)用層的加密〔如電子簽名〕和簡(jiǎn)化的IPSEC協(xié)議等。〔2〕無(wú)線(xiàn)信道資源短缺、質(zhì)量較差：與有線(xiàn)相比，對(duì)無(wú)線(xiàn)頻譜和功率的限制使其帶寬較小，帶寬本錢(qián)較高，同時(shí)分組交換的開(kāi)展使得信道變?yōu)楣蚕?；時(shí)延較大；連接可靠性較低，超出覆蓋區(qū)域時(shí)，效勞那么拒絕接入。所以效勞提供商應(yīng)優(yōu)化網(wǎng)絡(luò)帶寬的使用，同時(shí)增加網(wǎng)絡(luò)容量，以提供更加可靠的效勞。移動(dòng)電子商務(wù)存在的問(wèn)題與對(duì)策〔3〕面向用戶(hù)的業(yè)務(wù)還需改善和加強(qiáng)：就目前的應(yīng)用情況來(lái)看，移動(dòng)電子商務(wù)的應(yīng)用更多的集中于獲取信息、訂票、炒股等個(gè)人應(yīng)用，缺乏更多、更具吸引力的應(yīng)用，這無(wú)疑將制約移動(dòng)電子商務(wù)的開(kāi)展?！?〕改進(jìn)移動(dòng)終端的設(shè)計(jì)：為了能夠吸引更多的人從事移動(dòng)電子商務(wù)活動(dòng)，必須提供方便可靠和具備多種功能的移動(dòng)設(shè)備。例如，基于WAP的應(yīng)用必須比PC易于操作〔如那樣〕；無(wú)線(xiàn)設(shè)備采用WAP后，僅允許提高較小的本錢(qián)。11風(fēng)險(xiǎn)評(píng)估

對(duì)于風(fēng)險(xiǎn)評(píng)估來(lái)說(shuō)，其三個(gè)關(guān)鍵要素是信息資產(chǎn)、弱點(diǎn)/脆弱性以及威脅。每個(gè)要素有其各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值，弱點(diǎn)的屬性是弱點(diǎn)被威脅利用后對(duì)資產(chǎn)帶來(lái)的影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性。

電子商務(wù)風(fēng)險(xiǎn)類(lèi)型

1完整性風(fēng)險(xiǎn)完整性風(fēng)險(xiǎn)(IntegrityRisk)大多來(lái)自應(yīng)用系統(tǒng)，包括對(duì)商業(yè)數(shù)據(jù)的輸入、處理、歸納和儲(chǔ)存等。當(dāng)系統(tǒng)出現(xiàn)障礙時(shí)，可以造成數(shù)據(jù)未經(jīng)授權(quán)而被使用，或數(shù)據(jù)不完整、不準(zhǔn)確而造成風(fēng)險(xiǎn)。它主要在系統(tǒng)的以下局部表現(xiàn)出來(lái)。2根底設(shè)施風(fēng)險(xiǎn)根底設(shè)施風(fēng)險(xiǎn)(infrastructurerisk)指企業(yè)不具備完整的信息技術(shù)根底設(shè)施而造成的風(fēng)險(xiǎn)。這種根底設(shè)施是指能夠以低本錢(qián)、高效率的方式，構(gòu)建信息技術(shù)的商業(yè)應(yīng)用模式，它包括信息技術(shù)根底。信息技術(shù)根底設(shè)施主要包括硬件、網(wǎng)絡(luò)、軟件、人員、程序。電子商務(wù)風(fēng)險(xiǎn)類(lèi)型3獲得性風(fēng)險(xiǎn)獲得性風(fēng)險(xiǎn)(availabilityrisk)是指企業(yè)在獲得數(shù)據(jù)時(shí)的風(fēng)險(xiǎn)，如破壞者經(jīng)常利用郵件轟炸來(lái)阻礙效勞，或者對(duì)效勞系統(tǒng)提出虛假請(qǐng)求，這給網(wǎng)絡(luò)用戶(hù)提供效勞帶來(lái)了一種危險(xiǎn)。金融效勞業(yè)是典型的依賴(lài)于準(zhǔn)確、及時(shí)信息而運(yùn)作的行業(yè)，在這方面的風(fēng)險(xiǎn)較大。所以企業(yè)要有一個(gè)有效的方式來(lái)管理價(jià)格風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)和信用風(fēng)險(xiǎn)，必須具備特定的系統(tǒng)。這種系統(tǒng)要使需求者對(duì)所需信息實(shí)時(shí)可用、隨時(shí)可得，并能進(jìn)行評(píng)價(jià)。這種系統(tǒng)應(yīng)當(dāng)嚴(yán)格控制數(shù)據(jù)，防止未經(jīng)授權(quán)的存取改變數(shù)據(jù)。4其他與商務(wù)相關(guān)的風(fēng)險(xiǎn)信息策略和商務(wù)策略整合后，還產(chǎn)生了一些與此相關(guān)的風(fēng)險(xiǎn)，這也是管理應(yīng)加以注意的局部，因?yàn)樗鼈兛赡軐?duì)企業(yè)商務(wù)產(chǎn)生不利的影響。風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別又稱(chēng)風(fēng)險(xiǎn)辯識(shí),是指通過(guò)對(duì)大量來(lái)源可靠的信息資料進(jìn)行系統(tǒng)分析,找出風(fēng)險(xiǎn)之所在和引起風(fēng)險(xiǎn)的主要因素,并對(duì)其后果作出定性的估計(jì)。一般性的風(fēng)險(xiǎn)識(shí)別方法有分析方法(包括層次分解和風(fēng)險(xiǎn)樹(shù))、專(zhuān)家調(diào)查方法(包括頭腦風(fēng)暴法和德?tīng)柗品?、幕景分析法及蒙特卡洛方法。風(fēng)險(xiǎn)識(shí)別包括三個(gè)局部：分析風(fēng)險(xiǎn)來(lái)源；識(shí)別區(qū)域風(fēng)險(xiǎn)；風(fēng)險(xiǎn)關(guān)聯(lián)分析。為了保障電子商務(wù)平安，從管理上來(lái)看可以需要建立哪些管理制度〔1〕人員管理制度。a.嚴(yán)格網(wǎng)絡(luò)管理人員選拔。b.落實(shí)工作責(zé)任制。c．貫徹電子商務(wù)平安運(yùn)作根本原那么：多人負(fù)責(zé)原那么、任期有限原那么和最小權(quán)限原那么。(2)保密制度。網(wǎng)絡(luò)管理涉及企業(yè)的市場(chǎng)、生產(chǎn)、財(cái)務(wù)、供給等多方面的機(jī)密,需要很好地劃分信息的平安防范重點(diǎn)，提出相應(yīng)的保密措施。信息的平安級(jí)別一般可分為絕密級(jí)、機(jī)密級(jí)和敏感級(jí)三級(jí)。(3)跟蹤、審計(jì)、稽核制度。(4)網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度。硬件的日常管理和維護(hù)。定期檢測(cè)各種設(shè)備及通訊線(xiàn)路。軟件的日常管理和維護(hù)?！?〕數(shù)據(jù)備份制度。(6)病毒防范制度。a.給自己的電腦安裝防病毒軟件；b.不翻開(kāi)陌生地址的電子郵件；c．認(rèn)真執(zhí)行病毒定期清理制度；d．控制權(quán)限；e．高度警惕網(wǎng)絡(luò)陷阱?！?〕應(yīng)急措施。應(yīng)急措施是指在計(jì)算機(jī)發(fā)生災(zāi)難事件，即緊急事件或平安事故發(fā)生時(shí)，利用應(yīng)急方案輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)。“網(wǎng)絡(luò)執(zhí)法官〞局域網(wǎng)管理軟件“網(wǎng)絡(luò)執(zhí)法官〞主要功能(1)實(shí)時(shí)檢測(cè)各用戶(hù)的IP、MAC、主機(jī)名并記錄下來(lái)以供查詢(xún)；可顯示各用戶(hù)的網(wǎng)卡生產(chǎn)廠家，以大致推斷該設(shè)備類(lèi)型〔交換機(jī)、路由器還是普通PC機(jī)〕。(2)以網(wǎng)卡作為識(shí)別用戶(hù)的依據(jù)，可限定各用戶(hù)的權(quán)限：所用的IP范圍〔實(shí)現(xiàn)靜態(tài)IP-MAC綁定〕、上線(xiàn)的時(shí)段等。(3)能穿透對(duì)方的防火墻，對(duì)違反權(quán)限的用戶(hù)進(jìn)行管理，強(qiáng)制其離線(xiàn)。(4)禁止未經(jīng)確認(rèn)的網(wǎng)卡接入網(wǎng)絡(luò)，提高整個(gè)局域網(wǎng)平安性。局域網(wǎng)查看工具(LanSee1.3版)

主要功能1〕搜索出局域網(wǎng)內(nèi)的工作組2〕搜索局域網(wǎng)內(nèi)的所有活動(dòng)的計(jì)算機(jī),顯示這些計(jì)算機(jī)的IP地址,工作組，MAC地址(物理地址)以及用戶(hù)3〕搜索所有計(jì)算機(jī)的所有共享資源.4)搜索出共享資源列表內(nèi)的共享文件5)翻開(kāi)某個(gè)指定的計(jì)算機(jī)/共享目錄/共享文件.