1. 万分着急!!!!
楼上的打不开~
第1章 电子商务安全与管理导论
1. 1 电子商务面临的安全问题
1. 1. 1 电子商务网络系统自身的安全问题
1. 1. 2 电子商务交易信息传输过程中的安全问题
1. 1.3 电子商务企业内部安全管理问题
1. 1. 4 电子商务安全法律保障问题
1. 1. 5 电子商务的信用安全问题
1. 1. 6 电子商务安全支付问题
1. 2 电子商务流程
1. 2. 1 电子商务的基本交易过程
1. 2. 2 网上商品交易流程
1. 3 电子商务模式
l. 3. 1 网上直销型电子商务模式
1. 3. 2 网上中介型电子商务模式
1.4 电子商务安全管理
1. 4. 1 电子商务安全管理的思路
1. 4. 2 电子商务安全管理方法
复习题
思考题
第2章 通信过程的安全风险
2. 1 Internet安全与风险
2. 1. 1 风险分析理论
2. 1. 2 Internet上的安全风险分析
2. 1. 3 Internet上最容易受到侵袭的薄弱环节
2. 2 Internet通信协议中的安全风险
2. 2. 1 Intemet通信协议简介
2. 2. 2 Internet协议中的安全风险
2. 3 Intemet应用风险
2. 3. 1 文件传输(FTP)的安全问题
2. 3. 2 远程登录(Telnet)的安全问题
2. 3. 3 WWW的安全问题
2. 3. 4 电子邮件的安全问题
2. 3. 5 DNS服务的安全问题
2. 3. 6 网络文件系统(NFS)的安全问题
复习题
思考题
第3章 通信过程的安全控制
3. 1 保证非安全网络安全通信的加密技术
3. 1. 1 密码学的理论基础
3. 1. 2 对称密钥加密技术
3. 1. 3 公钥加密技术
3. 2 电子商务应用安全协议
3. 2. 1 安全套接层(SSL)协议
3. 2. 2 安全电子交易(SET)协议
3. 2. 3 其他安全协议
3. 3 数字证书
3. 3. 1 数字证书的原理与认证
3. 3. 2 认证中心(CA)
3. 4 公钥基础设施
3. 4. 1 PKI简介
3. 4. 2 PKI技术的信任服务及意义
3. 4. 3 PKI的标准及体系结构
3. 4. 4 PKI的应用
复习题
思考题
第4章 网站的安全风险
4. 1 信息安全与计算机犯罪
4. 1. 1 网站的信息安全
4. 1. 2 反病毒管理
4. 1. 3 计算机犯罪
4. 2 访问控制(认证系统)中的安全风险
4. 2. 1 口令的选择
4. 2. 2 口令捕捉的常见方法
4. 2. 3 口令文件的保护
4. 3 www、Gopher及FTP信息服务的安全风险
4. 3. 1 www服务器的安全风险
4. 3. 2 Gopher服务器的安全风险
4. 3. 3 匿名FTP服务器的安全风险
复习题
思考题
第5章 网站的安全控制
5. 1 系统安全的标准与组织
5. 1. 1 黄皮书(美国)(TCSEC)
5. 1. 2 欧洲的ITSEC标准目录
5. 2 网站的安全配置
5. 2. 1 Windows NT环境常用服务器的安装与配置
5. 2. 2 网站的安全配置
5. 3 防火墙的体系结构、分类与功能
5. 3. 1 防火墙的定义及其宗旨
5. 3. 2 防火墙的主要设计特征
5. 3. 3 防火墙系统的体系结构
5. 3. 4 基于信息包过滤器的防火墙
5. 3. 5 线路中继器和应用网关防火墙
5. 3. 6 防火墙系统的局限性
5. 4 侵袭模拟器
5. 4. 1 侵袭模拟器概述
5. 4. 2 系统安全性检查软件
5. 4. 3 其他监视工具
5. 5 数据库安全控制
5. 5. 1 安全性
5. 5. 2 完整性
5. 5. 3 并发控制
5. 5. 4 数据库恢复
复习题
思考题
第6章 不安全系统中的商务风险与管理
6. 1 与不安全通信网络相关的风险
6. 1. 1 消费者所面临的风险
6. 1. 2 销售代理所面临的风险
6. 2 与企业内部网相关的风险
6. 2. 1 离职员工的破坏活动
6. 2. 2 在职员工的威胁
6. 3 贸易伙伴间商业交易数据传输中的风险
6. 3. 1 企业内部网、企业外部网及互联网之间的关系
6. 3. 2 数据截取
6. 3. 3 受保密措施维护的档案文件、主文件与参考数据所面临的风险
6. 4 风险管理模式
6. 4. 1 风险管理模式
6. 4. 2 电子商务风险类型
6. 4. 3 内部控制体系
6. 4. 4 内部控制在风险管理中的作用
6. 5 控制风险与实施计划
6. 5. 1 控制支出不足与控制支出风险
6. 5. 2 灾害拯救计划
6. 6 电子商务的第三方保证
6. 6. 1 标准制定
6. 6. 2 合法性确认
6. 6. 3 影响机制
6. 6. 4 解决纠纷
6. 7 智能代理与电子商务
6. 7. 1 智能代理的定义
6. 7. 2 智能代理的能力
6. 7. 3 代理组合
6. 7. 4 智能代理与电子商务
6. 7. 5 代理的局限性
6. 7. 6 代理与安全
复习题
思考题
第7章 电子商务法律法规环境
7. 1 国内外电子商务的立法现状
7. 1. 1 国外电子商务的立法的现状
7. 1. 2 我国电子商务立法现状
7. 2 加密技术的相关政策与法律问题
7. 2. 1 密钥长度问题
7. 2. 2 密钥第三者保存与密钥复原问题
7. 2. 3 国际加密问题
7. 3 网络隐私问题
7. 3. 1 隐私权与网络隐私权概述
7. 3. 2 网络隐私权的侵权根源
7. 3. 3 国外关于网络隐私权的法律保护
7. 3. 4 网络隐私权的相关法律保护
7. 4 网络链接的法律问题
7. 4. 1 网络链接概述
7. 4. 2 网络链接引起的争议和法律纠纷
7. 5 域名侵权纠纷
7. 5. 1 域名的概念和法律特征及作用
7. 5. 2 域名侵权纠纷的界定
7. 5. 3 域名侵权纠纷的表现形式
7. 5. 4 国外关于域名侵权纠纷的立法
7. 5. 5 我国当前关于域名侵权纠纷的立法状况
7. 6 电子商务税收问题
7. 6. 1 税收的基本理论
7. 6. 2 电子商务对现行税收体系的挑战与冲击
7. 6. 3 国外电子商务税收对策
7. 6. 4 我国电子商务税收政策的选择
复习题
思考题
附录A 国际电子商务立法大事记
附录B 国内有关电子商务的颁布与实施
附录C 与网络安全有关的请求说明(RFC)索引
* 国立中正大学资讯工程研究所教授兼教育部顾问室主任
** 国立中正大学资讯工程研究所博士生
前言
网际网路(Internet) 和全球资讯网(World Wild Web, 简称WWW)可说是二十世纪末最热门且影响最深远的资讯技术。由于网际网路的蓬勃发展与迅速成长,及其无远弗界的特性,再加上WWW 技术的推波助澜,造就了网际网路成为现代最大的资讯传播网及行销媒体。在可以预见的将来网路空间(Cyberspace) 势必发展成为二十一世纪最大的商场。
而以网际网路为应用主干的电子商务(Electronic Commerce) ,不仅为企业带来了无限商机,提供商业竞争的优势,并也逐渐地影响到国家整体经济的竞争力。因此,国内不少企业与商家纷纷投入此新兴的的电子商场,政府相关单位并积极地拟订相关政策和研拟各种因应措施,而学术研究机构也致力于安全交易架构及技术的研究发展,以因应此波电子商务热潮所衍生的资讯安全问题及交易纠纷。
本文主要探讨电子商务的交易安全和介绍电子付款系统。
一、电子商务简介
首先,我们对电子商务作一简单的介绍。电子商务发展起源于企业为了简化内部的作业流程、改善与客户间的互动,以及企业和企业伙伴间资讯交换之需求。常见的应用如银行间透过网路来做电子资金转换,企业间的电子付款,以及连锁企业利用网路来进行电子资料交换(EDI) 和电子邮件(e-mail) 的传递[1, 2, 3, 4] 。直到1990 年代WWW 技术出现于网际网路上,不但提供了网际网路一个多元化的资讯传播方式,也让电子商务的发展变得更容易。电子商务提供企业一个比较便宜的广告行销及交易方式,开辟了一个虚拟的电子商场[4],而创造出更多的生意机会。
利用全球性的资讯分享及广告,可降低行销成本并提供快速回应且低廉的客户服务,所以大部分的企业都被电子商务所提供的经济效益,以及广阔而无国界的消费市场所吸引,积极进攻此网路商场以维持竞争力。我们可以说举凡经由网际网路所进行的资讯传送、产品行销、服务或付款的商业行为都是电子商务的范畴。
二、电子商务架构
电子商务不仅改变交易进行的方式(无实体的资讯货物、资讯服务及电子钱),与传统市场也有很大的差异,接下来我们将介绍电子商务的一般架构( 如图1 所示[2]) 。
图1 电子商务的一般架构图
( 一 ) 、网路基础架构
所谓的网路空间除了现有的资讯网路外,应该整合不同类型的传送系统及各种形式的传输网路,包括区域网路、电话线路、有线电视网、无线电及卫星通讯系统,以便发展成为资讯高速公路系统。有了完整快速的资讯网之后各种多媒体资料(含文字、声音、影像、图形及影片的),才有可能在网路上畅行无阻。而透过彼此互相连接之不同形式的传输网路,我们便可以在家里,利用PC 经由电话拨接连上网际网路,进入到美国迪士尼公司的主机,浏览该公司的各类产品,或者欣赏最新的动画电影。
( 二) 、多媒体内容及网路出版基础架构
资讯高速公路是实现多媒体资料传输的一个传送基础。WWW 是目前最流行的网路出版及资源分享的技术,个人或企业可以很容易地将研究成果或产品资讯,经由超文字标示语言(Hyper Text Markup Language, 简称HTML )的描述,将其出版于Web 服务器上面。除了HTML 之外,目前各种视觉或物件导向语言( 如JAVA、VB) 也都有支援多媒体内容及网路出版的相关技术。
( 三 ) 、讯息传送及资讯收发基础架构
数位化资讯在网路上传送时,是由一连串的0和1 所组成,如果没有资料类型或格式的相关资讯就无法区别资讯原来代表的意义(可能是文字、数字、声音或影像),所以讯息传送方式对格式化或未格式化的资料都要提供沟通方式,而资讯收发的同时必须处理资料的解译及转换。而为了确保电子商务的安全起见,讯息传送方式必须保证讯息在传送的过程中没有被别人偷偷地复制或变造过。
( 四) 、一般的商业服务基础架构
商业服务基础建设主要是要解决线上付款工具的不足,以及不够坚实的资讯安全防护。为了使线上付款能够成功,并且保证相关资讯能安全传递,付款服务的基础建设必须发展出具有密码编码及身分鉴别的方法,来确保资讯在网路上传递的安全性及防止冒名交易。所以安全交易及安全的线上付款工具(如:电子钱包)的研究发展是推展电子商务的首要工作,也是电子商务成败的重要关键。
( 五 )、电子商务的两大支柱
对电子商务应用及各种基础建设的推展而言,公共政策的配合和技术标准的研拟是两大重要支柱。关于着作权、隐私权的保障、消费者的保护、非法交易的侦察、网路资讯的监督,以及交易纠纷的仲裁等,都须要制定相关的公共政策及法律条文来配合。此外,为了确保整体网路的相容性,在发展各项基础建设及电子商务应用时,各种工具、使用者界面及传输协定的标准化是绝对必要的。
三、交易安全
有越来越多的公司透过网际网路来提供产品及服务资讯,但是对于在公众网路上实施线上交易仍然兢兢业业,主要原因是对于网路及交易安全仍然有所疑虑。相同的,基于交易安全的考量,许多消费者对直接在网际网路上付款也有所顾忌。目前资讯在网际网路上传送,尚有被第三者窃取或变造的可能,特别是敏感的个人及财务重要资讯( 如:帐号及密码、信用卡卡号) ;资料库或网路资源仍有被骇客侵入,而导致资料被破坏、涂改、泄漏或滥用的可能性。
如果无法保证交易可以安全地进行,消费者就不会愿意在网际网路上面提供信用卡及付款的相关资讯。而且商家为了避免发生交易纠纷,也就不敢冒然提供线上购物的服务。若要电子商务成功且蓬勃地发展,则必须提升消费者对交易可靠性的信心,以及增强公众网路对外来非法入侵的防护措施。所以,交易安全是目前电子商务发展中,急待克服且深受嘱目的问题。
( 一)、交易安全的要求
一个安全交易系统需要具备下列特质:
隐私性:交易必须保持其不可侵犯性,经由网际网路送出及接收的讯息是不能被任何闯入者读取、修改或拦截的。骇客入侵电脑系统之前,往往是利用网路窥视,并事先搜集使用者在登入系统前所输入的帐号、密码及使用者姓名等重要讯息,再冒名侵入系统。
机密性:交易不能经由公共网路来追踪,未经授权的中间人无法取得交易复本。电子商务的环境中所有的讯息交通都是保密的,讯息在成功地送达目的地之后,除了稽核资讯外,所有存在于公共环境中的相关资讯会被删除。且讯息的储存必须在具备完善保护的系统下进行。
完整性:交易一定不能被破坏或干扰。电子交易的内容在用户端和服务器间传递的过程中确认没有被改变,也就是讯息在交易的处理过程中不能被任意地加入、删除或修改。
因此,要确保交易的安全,必须要有坚固的网路安全防卫措施(如防火墙),以及安全的资讯保密技术(如加密技术、数位签章及凭证) 之辅助。
(二)、网路安全 – 防火墙
防火墙的使用是在企业内部网路(可信赖的安全网路)和外在的公众网路(不可靠的网路环境)之间建立一道安全屏障,以阻隔外来电脑骇客的侵扰,而内部人士仍然可以对外取得整体的服务。防火墙可以说是一种安全策略的实现,只有某些合法授权或遵循特定服务规则的使用者,才可连接上企业内部受保护的网路,也就是说,防火墙强迫所有的连接都必需经由它,并让资料可以根据既定的存取规范进行审查。
路由器(Router) 过滤封包(Packets) :第一代的防火墙技术是路由器过滤封包,由检查路由器根据检查法则来过滤通过防火墙的资讯封包,以查验出有问题的封包。
代理服务器(Proxy Server) :第二代的防火墙技术是代理服务器,执行代理服务的主机电脑称为应用闸道(Application Gateway) ,位于公司网路和网际网路之间,对两边的使用者提供代理服务或中间人服务。所有进出公司网路的资讯,都必须透过此中间人代为传送。
( 三 )、 WWW 安全
为了进行电子商务,在不可信任的公众网路上,客户和服务器之间的相互身份验证与确认是十分重要的。一个讯息进入公开的网际网路传送时,必须包含一些表示它的来源系统之资料。WWW并不会将通过它的资料予以加密,任何拦截WWW 资料传送的人都可取用包含在里面的资料。为了安全起见,Netscape公司发展出SSL (Secure Socket Layer) ,用以解决WWW 上资讯传送的安全顾虑,使用SSL 如果资料传错了目标,除了发送者及合法的接收者之外它所包含的资讯(如信用卡号码)第三者是无法阅读的。透过SSL ,资料在传送出去之前就自动加密了,并会在合法的接收端被解密。对于没有解密金钥的人来说,所收到的资料只是一堆没有意义的0 和1 而已。
( 四)、资讯保密技术
电子商务是十分依赖密码技术的,在网路上传送的资料可采用密码技术加以保护,加密过的讯息在网路上流通时就算被骇客窃取,他也无法将讯息还原(解密)。目前最常用的加密技术可归类成两种:传统( 秘密金钥) 加密法(Private-key) 和公开金钥(Public-key) 加密法[5, 6] 。
1 秘密金钥加密法(Private-key Encryption)
秘密金钥加密法又称对称(Symmetric) 加密法,讯息的加密和解密采用相同的金钥(密钥) 。所有参与者都必须完全信任且彼此了解,而每一位参与者都保有一把金钥复本。传送者和接收者在交换讯息之前,必须分享相同的金钥。而在协调产生金钥的过程中,任何有关金钥产生的讯息都必须保证不会被窃听( 透过安全通道来分配) 。一但金钥被第三者取得或算出,则讯息不保。最常被使用的秘密金钥加密法是资料加密标准(Data Encryption Standard, 简称DES)。
传统加密法速度快,适合加密大量资料。然而,在公众网路上通讯者之间的金钥分配( 金钥产生、传送和储存)是很麻烦的。所以,秘密金钥加密法很难直接应用于电子商务上,除非有安全的金钥分配方式。
2 公开金钥加密法(Public-key Encryption)
公开金钥加密法又称非对称(Asymmetric) 加密法,讯息的加密和解密采用不同的金钥,一把金钥用来加密讯息,而用另外一把金钥则用以将讯息还原。在网路上的通讯者,每人都拥有两把金钥:一把公开让所有人知道( 公钥) ,一把自己秘密保存( 密钥) 。但是两把都必须加以保护,防止被修改或窃取。假设甲方要传送资料给乙方,则甲方先用乙方的公钥将资料加密再送出,而乙方在接收到资料后,用自己的密钥就可解密而取得原来的资料了。最有名的公开金钥加密法是RSA 。
公开金钥加密法虽然没有金钥分配的问题,但是加解密计算较费时间,比较适合用来加密讯息或者摘要资料。而且放于网路上的公钥有被非法更改的可能。因此在电子商务的应用上,必须有数位凭证及可靠第三者的配合来提高安全性及可靠性,或者采用混合加密法( 即采用公开金钥加密法来分配秘密金钥加密法的金钥) 来提升加解密之速度。
3 数位签章(Digital Signature)
数位签章是由公开金钥加密法研发得来,用以证明一个讯息的来源和内容之真确性。在网路上通讯者之间无法彼此确认对方的身份,数位签章[6]可被用来验证传送者的身份。接收者可确保某一讯息确实是由传送者所送出,没有被更改过,而传送者也无法否认曾经传送过此一讯息。
其实数位签章就像我们的印章一样。通常为了证明文件是我们所发出的,我们会在文件上加盖自己的印章或亲笔签名以资证明。当传送者要传送文件之前先透过一个Hash 函数将资料转换成一段讯息摘要,再将此讯息摘要和文件一齐送出。如果中途有人修改过此文件,那么接收者将被修过的文件经过Hash 函数重新计算过后,将会发现算出来的摘要和传送者送来的摘要不相吻合,这就表示传输的文件在中途被人动过手脚了,如此我们就能顺利侦测到别人的伪造行为了。
至于如何验证传送者的身份呢?传送者只要在讯息摘要送出前用自己的密钥加密(签章),接收方在得到加密过的摘要后如果能用传送者的公钥正确解密(验证),那么接收方就可以百分之百确信这个文件的确来自传送方。
4 数位凭证(Digital Certificate)
公钥是在公众网路上让别人作为传送资料给自己的加密工具,如果公钥被伪造散布,那么伪造者就可以假冒你拦截传送给你的资料,并用对等的密钥将资料解开。所以我们在传送资料之前也必须先识别对方身分,确认公钥确实是接收者的,才可将资料送出。为了做到公钥的确认,可经由公钥的认证来完成,此即数位凭证[2] 。
在电子商务的应用上我们需要一位可信赖的第三者来做公钥的认证工作。这个第三者就是所谓的凭证管理中心(Certificate Authority, 简称CA) ,而CA 必须是可被传送者和接收者信赖的角色,他会依据合法申请者的请求发出数位凭证,数位凭证里面包含了申请人的辨识资料( 姓名) 、公钥及CA 对这把公钥的签章,有CA 的签章背书后,我们就可以信赖这把公钥。在网路上只要透过CA的公钥的验证我们就可以辨识对方的身份,如此一来,不同的个体就可以在高度的信赖下进行电子商务了。
有了数位凭证的使用,我们更进一步的加强了身份的验证,借由使用一个共同的凭证管理中心,数位凭证对电子商务交易的参与者之间的互相信任,提供了一个既简单又便利的方法。
四、安全电子交易标准(Secure Electronic Transaction, SET)
SET 是VISA和MasterCard 两大发卡组织为了确保消费者在网路上使用信用卡交易的安全与IBM 共同发起制订的安全电子交易标准[7, 8, 9] ,让使用者能在公众网路上透过安全付款协定的使用,安心地使用信用卡进行交易。
( 一) 、SET 架构
一个标准的SET 环境包含下列元件( 如图2所示[7]) :
l SET 通讯协定:提供私密的付款资讯、信用卡认证资讯、商店及请款机构。
l 持卡人(Card Holder) :使用含SET标准的电子钱包(Electronic Wallet) ,辅助持卡人至认证中心(CA) 取得信用卡电子证书、产生公钥及密钥、储存与管理电子证书与密钥、电子证书更新与查询、提供交易时所需的授权与SET 协定、管理交易历史资料与查询、E-Cash ,E-Check与Micropayment 的整合( 未来) 、Configuration 之设定。
l 发卡单位(Card Issuer):提供消费者对信用卡的申请与消费之管理,发卡单位须提供持卡人一个电子钱包,由申请人经由WWW或E-mail 到认证中心认证。
l 请款机构、付款闸道(Payment Gateway):辅助请款机构至认证中心(CA)取得信用卡电子证书、产生公钥及密钥、储存与管理电子证书与密钥、电子证书更新与查询、与收单行交换加密公钥、提供交易时所需的授权及SET 协定、提供交易后请款、清算及SET 协定、与银行主机连线、报表与历史资料记录的产生、Configuration 之设定。
l 商店(Merchant Server) :辅助电子商家至认证中心(CA)取得信用卡电子证书、储存与管理电子证书与密钥、电子证书更新与查询、与收单行交换加密公钥、提供交易时所需的授权及SET协定、提供交易后请款与清算及SET协定、提供交易相关资料记录、回传服务、Configuration之设定。
l 认证机构(又称凭证管理中心):提供持卡人、商店、付款闸道之认证服务。
SET架构图如图2所示:
图2 SET架构图
(二)、网际网路付款
在电子交易过程中使用者是使用电子现金和商家进行交易,电子现金顾名思义就是可在网路上流通的现金,使用现金的好处在于消费者可保持隐私,也不用像信用卡交易一样将重要的个人资料泄露出去,再加上消费者大多会在网路上交易的东西通常都是属于较低价位的资讯类产品,这时候现金就比信用卡好用多了!而且大多数的消费者对于现金的接受程度通常都比信用卡高,所以电子现金将会逐渐成为一股新主流。
在SET机制中,每个想要上网消费的消费者都必须在自己的电脑里安装一个称为“电子钱包”的软体,这个电子钱包就像真实生活中的钱包一样,负责存放消费者向银行买来的电子现金。底下,我们列出一个完整交易之过程:
步骤1: 首先消费者先向银行提领电子现金。
步骤2: 银行在验证了消费者的身份后,对消费者的真实帐户作扣款动作,并将等值的电子现金存入消费者的电子钱包。
步骤3: 当消费者透过WWW浏览器连接到网路商店观看商品并决定要购买某项商品时,他按下了“购买”键,商店端的软体就会将此商品的订单送给予消费者的电子钱包软体。
步骤4: 电子钱包就开始启动管理功能,将订单上所列的电子现金支付给商店端软体。
步骤5: 商店端在收到消费者送来的电子现金后就会传送到银行去验证这笔电子现金是否为银行发行的合法电子现金。
步骤6:如果验证无误的话银行就会通知商店验证成功,并将电子现金转成相对的真实现金金额存入商店的帐户。商店这时就可安心地将消费者所订的货品送出去了!这样就完成了一笔网路交易。
图3 网际网路付款流程
五、结论
电子商务是建立在网际网路上的一种商业应用,WWW让电子商务成为以比较低廉的成本来从事较大经济规模的商业活动。而电子商务是否可以蓬勃发展,进而掌控未来的经济命脉,则完全依赖各种资料安全技术的研究发展,以及安全交易架构之建立。
网路的应用带来商机,许多经济行为随之改变,此股热潮不仅对企业带来冲击和转机,也将引导使用者进入一个虚拟商城的购物世界。例如:没有店面的网路商店、没有柜台的网路银行、没有营业场所的网路证券商、没有会场的网路研讨会、没有纸张的电子书店及数位化图书馆及博物馆等。使用者将如何调适,政府机关将如何因应各种电子商务所引发的问题及纠纷,将是我们进入二十一世纪之前的一大挑战。
参考文献
R. Kalakota and A. B. Whinston (1996), Frontiers of Electronic Commerce, New York, Addison-Wesley publishing Company, 1996
R. Kalakota and A. B. Whinston (1997), Electronic Commerce: A Manager's Guide, New York, Addison-Wesley publishing Company, 1997.
果芸(1997) :电子商务时代企业的新面貌,
URL:http://www.ec.org.tw/info/others/ectime.htm 。
果芸(1998) :电子商务带来的机会与挑战,资讯与电脑,2 月号,pp. 22-25 。
张真诚(1990) :电脑密码学与资讯安全,松岗电脑图书资料有限公司,1990 年十月第二版。
赖溪松、韩亮与张真诚(1995) :近代密码学及其应用,松岗电脑图书资料有限公司, 1997 年五月第二版。
VISA/Master Card, "The Secure Electronic Transaction (SET) Specification," URL :http://www.visa.com/cgi-bin/vee/sf/set , June 1996.
连维礼(1998) :电子商业—安全交易架构,Fortune News ,12 月号,pp. 11-16 。
经济部网际网路商业应用网站,
URL: http://www.ec.org.tw/ 。
2. 网络安全基础知识大全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。下面就让我带你去看看网络安全基础知识,希望能帮助到大家!
↓↓↓点击获取“网络安全”相关内容↓↓↓
★ 网络安全宣传周活动总结 ★
★ 网络安全教育学习心得体会 ★
★ 网络安全知识主题班会教案 ★
★★ 网络安全知识内容大全 ★★
网络安全的基础知识
1、什么是防火墙?什么是堡垒主机?什么是DMZ?
防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统。
堡垒主机是一种配置了安全防范 措施 的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点,也可以说,如果没有堡垒主机,网络间将不能互相访问。
DMZ成为非军事区或者停火区,是在内部网络和外部网络之间增加的一个子网。
2、网络安全的本质是什么?
网络安全从其本质上来讲是网络上的信息安全。
信息安全是对信息的保密性、完整性、和可用性的保护,包括物理安全、网络 系统安全 、数据安全、信息内容安全和信息基础设备安全等。
3、计算机网络安全所面临的威胁分为哪几类?从人的角度,威胁网络安全的因素有哪些?
答:计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁。从人的因素考虑,影响网络安全的因素包括:
(1)人为的无意失误。
(2)人为的恶意攻击。一种是主动攻击,另一种是被动攻击。
(3)网络软件的漏洞和“后门”。
4、网络攻击和防御分别包括那些内容?
网络攻击:网络扫描、监听、入侵、后门、隐身;
网络防御: 操作系统 安全配置、加密技术、防火墙技术、入侵检测技术。
5、分析TCP/IP协议,说明各层可能受到的威胁及防御 方法 。
网络层:IP欺骗攻击,保护措施;防火墙过滤、打补丁;
传输层:应用层:邮件炸弹、病毒、木马等,防御方法:认证、病毒扫描、 安全 教育 等。
6、请分析网络安全的层次体系
从层次体系上,可以将网络安全分成四个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。
7、请分析信息安全的层次体系
信息安全从总体上可以分成5个层次:安全的密码算法,安全协议,网络安全,系统安全以及应用安全。
8、简述端口扫描技术的原理
端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的相应。通过分析相应来判断服务端口是打开还是关闭,就可以知道端口提供的服务或信息。端口扫描可以通过捕获本地主机或服务器的注入/流出IP数据包来监视本地主机运行情况。端口扫描只能对接受到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。
9、缓冲区溢出攻击的原理是什么?
缓冲区溢出攻击是一种系统的攻击手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。
缓冲区溢出攻击最常见的方法是通过使某个特殊的程序的缓冲区溢出转而执行一个shell,通过shell的权限可以执行高级的命令。如果这个特殊程序具有system权限,攻击成功者就能获得一个具有shell权限的shell,就可以对程序进行操控。
10、列举后门的三种程序,并阐述其原理和防御方法。
(1)远程开启TELNET服务。防御方法:注意对开启服务的监护;
(2)建立WEB和TELNET服务。防御方法:注意对开启服务的监控;
(3)让禁用的GUEST用户具有管理权限。防御方法:监护系统注册表。
11、简述一次成功的攻击,可分为哪几个步骤?
隐藏IP-踩点扫描-获得系统或管理员权限- 种植 后门-在网络中隐身。
12、简述SQL注入漏洞的原理
利用恶意SQL语句(WEB缺少对SQL语句的鉴别)实现对后台数据库的攻击行为。
13、分析漏洞扫描存在问题及如何解决
(1)系统配置规则库问题存在局限性
如果规则库设计的不准确,预报的准确度就无从谈起;
它是根据已知的是安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁确实来自未知的漏洞,这样,如果规则库更新不及时,预报准确度也会相应降低;
完善建议:系统配置规则库应能不断地被扩充和修正,这样是对系统漏洞库的扩充和修正,这在目前开将仍需要专家的指导和参与才能实现。
(2)漏洞库信息要求
漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库
完善建议:漏洞库信息不但应具备完整性和有效性,也应具备简易性的特点,这样即使是用户自己也易于对漏洞库进行添加配置,从而实现对漏洞库的及时更新。
14、按照防火墙对内外来往数据的处理方法可分为哪两大类?分别论述其技术特点。
按照防护墙对内外来往数据的处理方法,大致可以分为两大类:包过滤防火墙和应用代理防火墙。
包过滤防火墙又称为过滤路由器,它通过将包头信息和管理员设定的规则表比较,如果有一条规则不允许发送某个包,路由器将其丢弃。
在包过滤系统中,又包括依据地址进行过滤和依据服务进行过滤。
应用代理,也叫应用网关,它作用在应用层,其特点是完全“阻隔”了网络的通信流,通过对每个应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
代理服务器有一些特殊类型,主要表现为应用级和回路级代理、公共与专用代理服务器和智能代理服务器。
15、什么是应用代理?代理服务有哪些优点?
应用代理,也叫应用网关,它作用在应用层,其特点是完全“阻隔”了网络的通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
代理服务器有以下两个优点:
(1)代理服务允许用户“直接”访问互联网,采用代理服务,用户会分为他们是直接访问互联网。
(2)代理服务适合于进行日志记录,因为代理服务遵循优先协议,他们允许日志服务以一种特殊且有效的方式来进行。
史上最全的计算机 网络 安全知识 汇总
一、计算机网络面临的安全性威胁计算机网络上的通信面临以下的四种威胁:
截获——从网络上窃听他人的通信内容。
中断——有意中断他人在网络上的通信。
篡改——故意篡改网络上传送的报文。
伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。
二、被动攻击和主动攻击被动攻击
攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。
主动攻击
指攻击者对某个连接中通过的 PDU 进行各种处理,如:
更改报文流
拒绝报文服务
伪造连接初始化
三、计算机网络通信安全的目标
(1) 防止析出报文内容;
(2) 防止通信量分析;
(3) 检测更改报文流;
(4) 检测拒绝报文服务;
(5) 检测伪造初始化连接。
四、恶意程序(rogue program)
计算机病毒——会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。
计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。
特洛伊木马——一种程序,它执行的功能超出所声称的功能。
逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。
五、计算机网络安全的内容
保密性
安全协议的设计
访问控制
六、公钥密码体制
公钥密码体制使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
1、公钥和私钥:
在公钥密码体制中,加密密钥(即公钥) PK(Public Key) 是公开信息,而解密密钥(即私钥或秘钥) SK(Secret Key) 是需要保密的。
加密算法 E(Encrypt) 和解密算法 D 也都是公开的。
虽然秘钥 SK 是由公钥 PK 决定的,但却不能根据 PK 计算出 SK。
tips:
在计算机上可容易地产生成对的 PK 和 SK。
从已知的 PK 实际上不可能推导出 SK,即从 PK 到 SK 是“计算上不可能的”。
加密和解密算法都是公开的。
七、 数字签名1、数字签名必须保证以下三点:
(1) 报文鉴别——接收者能够核实发送者对报文的签名;
(2) 报文的完整性——发送者事后不能抵赖对报文的签名;
(3) 不可否认——接收者不能伪造对报文的签名。
现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。
2、数字签名的实现 :
因为除 A 外没有别人能具有 A 的私钥,所以除 A 外没有别人能产生这个密文。因此 B 相信报文 __ 是 A 签名发送的。
若 A 要抵赖曾发送报文给 B,B 可将明文和对应的密文出示给第三者。第三者很容易用 A 的公钥去证实 A 确实发送 __ 给 B。
反之,若 B 将 __ 伪造成 __‘,则 B 不能在第三者前出示对应的密文。这样就证明了 B 伪造了报文。
八、鉴别
在信息的安全领域中,对付被动攻击的重要措施是加密,而对付主动攻击中的篡改和伪造则要用鉴别(authentication) 。
报文鉴别使得通信的接收方能够验证所收到的报文(发送者和报文内容、发送时间、序列等)的真伪。
使用加密就可达到报文鉴别的目的。但在网络的应用中,许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。
鉴别的手段
1 报文鉴别(使用报文摘要 MD (Message Digest)算法与数字签名相结合)
2 实体鉴别
九、运输层安全协议1、安全套接层 SSL(Secure Socket Layer)
SSL可对万维网客户与服务器之间传送的数据进行加密和鉴别。
SSL 在双方的联络阶段协商将使用的加密算法和密钥,以及客户与服务器之间的鉴别。
在联络阶段完成之后,所有传送的数据都使用在联络阶段商定的会话密钥。
SSL 不仅被所有常用的浏览器和万维网服务器所支持,而且也是运输层安全协议 TLS (Transport Layer Security)的基础。
1.1 SSL 的位置
1.2 SSL的三个功能:
(1) SSL 服务器鉴别 允许用户证实服务器的身份。具有 SS L 功能的浏览器维持一个表,上面有一些可信赖的认证中心 CA (Certificate Authority)和它们的公钥。
(2) 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密,在接收方解密。
(3) SSL 客户鉴别 允许服务器证实客户的身份。
2、安全电子交易SET(Secure Electronic Transaction)
SET 的主要特点是:
(1) SET 是专为与支付有关的报文进行加密的。
(2) SET 协议涉及到三方,即顾客、商家和商业银行。所有在这三方之间交互的敏感信息都被加密。
(3) SET 要求这三方都有证书。在 SET 交易中,商家看不见顾客传送给商业银行的信用卡号码。
十、防火墙(firewall)
防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。
防火墙内的网络称为“可信赖的网络”(trusted network),而将外部的因特网称为“不可信赖的网络”(untrusted network)。
防火墙可用来解决内联网和外联网的安全问题。
防火墙在互连网络中的位置
1、防火墙的功能
防火墙的功能有两个:阻止和允许。
“阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)。
“允许”的功能与“阻止”恰好相反。
防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。
2、防火墙技术的分类
(1) 网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制订好的一套准则的数据,而后者则是检查用户的登录是否合法。
(2) 应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止 FTP 应用的通过。
网络安全知识有哪些?
什么是网络安全?
网络安全是指网络系统的硬件、软件及系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。
什么是计算机病毒?
计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
什么是木马?
木马是一种带有恶意性质的远程控制软件。木马一般分为客户端和服务器端。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会象病毒那样去感染文件。
什么是防火墙?它是如何确保网络安全的?
使用功能防火墙是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。
什么是后门?为什么会存在后门?
后门是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或者在发布软件之前没有删除,那么它就成了安全隐患。
什么叫入侵检测?
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。
什么叫数据包监测?它有什么作用?
数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求一个网页,这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
网络安全基础知识相关 文章 :
★ 网络安全基础知识大全
★ 【网络安全】:网络安全基础知识点汇总
★ 计算机网络基础技能大全
★ 网络安全的基础知识
★ 【网络安全】:学习网络安全需要哪些基础知识?
★ 局域网络安全防范基础知识大全
★ 计算机网络知识大全
★ 计算机网络安全基本知识
★ 信息网络安全管理
★ 系统安全基础知识大全
var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm..com/hm.js?"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })();3. cctalk怎么录制加密课程
cctalk 的加密课程录制需要经过授权和认证的合法程序,非法录制可能涉嫌侵权或者违法。如果您有合法的授权并且需要录制加密课程,可以参考以下步骤:
1. 联系 cctalk 官方并获取授权:您需要联系 cctalk 官方并提供所需信息进行申请和审核,举碰获取录制授权。
2. 下载cctalk录制工具:cctalk 官方提供了录制工具,您可以前往官方网站下载安装,同时需要配合授权使用。
3. 充分准备:在录制前,您需要确保录制设备的稳定性和网络环境的隐改畅通度,准备好需要录制的内容和课程设计。
4. 开始录制:打开 cctalk 录制工具,按照提示操作,开始录制加密课程。
5. 结束录制:在觉得录制完成后,您可以停止录制,然后生成录像文件,保存好录制内容。
总之,在进行 cctalk 加密课灶答判程录制时,一定要遵守相关法律法规,并严格遵循 cctalk 官方对授权和录制的要求。
4. onenote 能否锁定某个页面使得该页面只读,而不能被修改
很遗憾,至少到目前o365的版本都没有提供锁定页面或者防止页面篡改的功能,其他的临时方法包括什么用图片代替等等都对日常使用带来极大麻烦。我们只能期望微软提供这个功能。不过微软的鸟性真心不知道什么时候能有这个功能。
说实话,我现在比问主还需要这个功能。因为我上课的课堂笔记是把老师的教案做截图存放,然后在截图上添加自己的笔记。但是onenote有个但疼的特性是,如果不小心动了截图的位置,那么整个顺延截图的位置都会相对变动,想想看结果就是所有自己手敲的笔记全部错位,甚至排版都混乱了。而onenote很容易不小心就敲个符号或者空格上去。然后不知不觉自己的辛苦一堂课的笔记就全部乱七八糟了。 ……%¥#@
我知道基本算没有回答问主的问题,当我是个同病相怜的病友在这里发个牢骚把。
PS. 本人在本公司是认证的onenote培训讲师……
微软我……%¥#@