电子商务安全事件汇编(三篇)

绪论：一篇引人入胜的电子商务安全事件，需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文，供您参考和学习。

篇1

中图分类号：G642.4 文献标志码：A 文章编号：1674-9324（2013）35-0039-02

伴随着知识经济的兴起，高等教育的历史使命和人才培养目标发生了巨大变化，创新教育成为各国教育改革的主题。为了适应创新教育，培养创新型人才，教育教学的传统方式必须变革[1]。中央和各级政府教育行政部门、各高等学校十分重视对大学生实践和创新能力的培养，教育部把实践教学作为高校本科教学工作水平评估的关键指标之一，各高等学校采取切实有效措施，积极开展实践教学改革，多渠道筹措经费加大实验室建设投入，极大地改善了实验教学条件，对提高学生的实践创新能力产生了积极影响[2]。

一、实践教学体系概述

实践教学指具有实践性的教学活动。实践教学存在于整个教学过程之中，包括理论实践教学和社会实践教学。要做好实践教学工作，首先应该建立并完善实践教学体系，通常实践教学体系分为实践教学目标体系、实践教学内容体系、实践教学管理体系、实践教学保障体系和实践教学评价体系。实践教学体系的建设应该遵循以下几个原则：

1.特色性原则：确立以素质教育为核心，技术应用能力培养为主线，应变能力培养为关键，产学研结合为途径，与时俱进的人才教育培养模式是实践教学体系构建中遵循的原则。

2.实用型原则：实践教学体系的构建，要充分体现专业岗位的要求，与专业岗位群发展紧密相关。以此为原则组成一个层次分明、分工明确的实践教学体系。

3.混合型原则：混合型体现在教师类型的混合、理论教学和实践教学的混合、教室与实验室的混合等方面，淡化理论教学与实践教学、专业教师与实践指导教师、教室与实验室的界限，打破原来按学科设置实验室的传统布局，对实践教学设施进行重新整合，形成一体化混合实践教学模式。

实践教学体系的目标是：以职业能力培养为主线，使学生获得实践知识、开阔眼界，丰富并活跃学生的思想，加深对理论知识的理解掌握，进而在实践中对理论知识进行修正、拓展和创新。在确定具体课程实践教学体系目标的前提下，如何有针对性地设置具体的实践教学内容尤为重要。实践教学的内容是实践教学目标任务的具体化，将实践教学环节通过合理配置，构建成以技术应用能力培养为主体，按基本技能、专业技能和综合技术应用能力等层次，循序渐进地安排实践教学内容，将实践教学的目标和任务具体落实到各个实践教学环节中，让学生在实践教学中掌握必备的、完整的、系统的技能和技术[3]。

二、电子商务安全实践教学内容设置

电子商务安全课程是新兴的边缘交叉性课程，是在网络安全的基础上结合电子商务的领域的实际应用发展而来的一门具有一定针对性的课程，也是电子商务专业学生的一门专业主干课程。考虑到经营管理活动中计算机的普及和网络通信的快速发展，该课程是作为21世纪大学生尤其是电子商务专业的学生应该了解、掌握的一门学科，通过该课程的教学，学生初步了解电子商务安全的内涵和电子商务支付系统的构成，并且对网络常见的攻击手段、主要安全产品的功能、常用的电子支付工具等进行了解，以解决实际应用中遇到的问题[4]。

1.实验项目安排。本课程实践教学部分主要让学生对电子商务安全与支付在理论和实践上有一个全面的认识。要求学生通过大纲中的实验设置，了解电子商务安全与支付的现实环境；了解电子商务客户机和服务器的安全设置；熟悉基本的电子支付工具的使用，掌握数字证书的申请、安装和使用流程；了解SSL证书的申请流程。针对本课程的培养目标进行合理的实验教学安排，具体实验项目如表1所示。

2.实验项目的具体内容。实验1：了解电子商务安全与支付的现实环境：通过本次实验了解中国互联网发展状况，特别是有关电子商务发展的现状，认真体会，结合自己课余所见的实际情况进行总结。实验内容：阅读比较CNNIC最新的《中国互联网络发展状况统计报告》中关于安全支付的数据及分析，了解中国电子商务发展的现状。实验2：电子商务客户机安全：通过本次实验了解电子商务客户机存在的安全风险及对应的安全措施。实验内容：防病毒软件的安装和使用、IE对安全区的设置、检测活动内容、处理cookie。实验3：中银电子钱包及网上银行：通过本次实验了解电子钱包、电子信用卡在网上支付中的功能及使用过程。实验内容：中银电子钱包的使用、个人网上银行专业版的设置及使用。实验4：个人数字证书：通过本次实验了解数字证书的基本类型，个人数字证书的下载安装。实验内容：个人数字证书的下载、安装、查看、导入和导出。实验5：SSL证书申请：通过本次实验了解利用Microsoft IIS Web Server申请SSL证书的基本流程。实验内容：在Microsoft IIS上生成公私钥对和证书请求、保存证书请求文件、安装CA中心的根证书、安全Web Server证书。

电子商务安全是一门实践性很强的课程，有难度且极具挑战性，因此，电子商务安全的实践教学应该根据学生的实际情况酌情安排。笔者在几年的课程教学过程中尝试了一些改进本课程教学的方法。总结得出：最优方式是让学生置身于其中，让学生积极参与其中，享受创造的乐趣。经过对本实践课程安排前后的对比发现，学生对本课程的兴趣有极大提高，对理论教学部分的理解也大大加深。

参考文献：

[1]曹凤月.课堂实践教学：高校实践教学的基础环节[J].中国劳动关系学院学报，2009，4（23）：106-109.

[2]郑春龙，邵红艳.以创新实践能力培养为目标的高校实践教学体系的构建与实施[J].中国高教研究，2007，（4）：85-86.

篇2

(一)含义

私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。此加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。

(二)应用原理

具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。

(三)常用算法

世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES（DataEncryptionStandard，数据加密标准）算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES（AdvancedEncryptionStandard，先进加密标准）将会替代DES成为新一代加密标准。

(四)优缺点

私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。

二、公开密钥加密法

(一)定义与应用原理

公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。

(二)应用过程

具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。

1.客户甲传送一“支付通知”给网络银行乙,要求

“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。

2.网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。

(三)算法

篇3

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 （2014） 02-0000-02

经常在各种媒体上听闻电子商务的B2C模式，B2C的中文含义就是“商对客”模式。“商对客”是一种电子商务的服务模式。也就是传统行业经常提到的零售。是商家直接面对顾客的一种销售模式。因为电子商务的发展情况，B2C的模式也成了网络上最常见的电子商务模式。B2C的电子商务模式为所有消费者在网络上提供一个全新的购物模式。消费者将选购、购买、付款等一系列活动全部通过网上来完成。电子商务公司需要通过技术层面完成自己商业模式的整体构建。节约了大量顾客的时间和精力相较于传统购物模式，大幅度提高了成交率和交易速度。尤其在这个生活和工作节奏越来越快的今天，这样的优势显得尤为突出。随着各个企业的电子商务的开展以及各自的内部资源进行了不同程度的公开化，使得企业某些比较重要的信息财产安全得到威胁，特别是在当前信息比较快捷的情况下，很多信息背后都相应对应着资产，这也就使得很多客户和企业的资产受到威胁。目前企业的当务之急就是对这些相关信息的私密性、完整性以及真实可靠性进行立体化的管理和保护，提高自身管理的安全系数。

一、B2C商务网站存在的主要安全隐患

（一）网站的安全技术和安全理念不合理

对于大多数B2C电子商务网站而言。通常优先考虑的是用户购买需求。只要界面能满足和方便用户购物就足够。而对于电子商务的安全问题考虑非常不足。而B2C电子商务网站的开发阶段也因为工作人员、网站维护人员对于网络攻击的技术了解很少，而使得网站在建立之初就存在很多安全缺陷。虽然程序员写出来的代码很好的实现了电子商务的各项功能，可是不可避免的产生了一些技术漏洞，这些漏洞用户是很难察觉到的，但是黑客们却跃跃欲试，给了黑客们的可乘之机。这样整个网站的服务企业就存在了大量的安全隐患。隐患主要集中在操作系统层面和管理系统层面。而安全漏洞的体现有：一、编写代码的操作系统本身的安全漏洞，例如访问漏洞、身份识别漏洞、系统安全漏洞等等。二、对于在操作系统的设置不合理。系统有专门针对安全的设置，但是需要用户自行设置，而用户又往往采取默认的系统设置，这样非常危险。三、使用网络时，来自网络上的各类病毒、黑客对于操作系统的威胁。四、操作系统中安装了很多软件。很多软件本身带有漏洞，这些漏洞也会影响整个系统的安全。五、线下管理安全，在服务器机房的管理上，应该安装监控。通过实施24小时双人轮岗制。严禁无关人员进入机房。同时做好服务器机房本身的防盗工作。

（二）网站运行时缺乏合理的安全防护措施

很多B2C电子商务网站为了尽快盈利，将绝大部分资金投入到网站的建设上，而关于安全方面的投入非常的少。就连最基本的防篡改系统很多时候都不会选择购买。另外网站的各个层面的管理人员对于网络安全防护的认识和经验严重匮乏。只有当黑客入侵的时候才会意识到一切，但为时已完。造成了大量的经济损失才会发现安全措施的重要性。所以应该加强对于网站安全管理人员的培训，作为B2C电子商务网站的最有效屏障，安全管理人员应该时刻保持警惕，对于来往的网站流量进行监督。对于很多在网上流动的但未加密的信息进行适当的保护。对于很多免费的管理软件的使用要特别慎重。注重TCP/IP安全协议的防护，对于网络应用服务本身的缺陷加以修复。

（三）对于日常积累的安全问题未进行及时解决

网络安全问题的成因、过程以及解决都变得日益复杂，例如：操作系统层面的问题、设计架构代码的问题、网站系统的问题、入侵防护机制的管理问题等、因为互联网技术发展非常迅速。设计人员的安全知识水平不能及时的跟进。对于新兴的技术不能很好的理解，在日常的安全管理上会出现问题积累的情况，日积月累，小问题变成了大问题。类似问题都存在着巨大的安全隐患。

二、B2C商务网站主要采用的安全措施

（一）防火墙技术

防火墙技术是伴随网络技术成长的一项安全管理技术。对于防火墙的设置分为内网和外网之分。它可能是硬件层面的防火墙也有可能是软件层面的。防火墙的作用是利用各种计算机技术保护内部网络系统的信息、资源。保障整个内部系统不受到来自外网的任何侵害。

防火墙主要由路由器、堡垒主机、服务器、用户安全管理系统等软硬件设备构成。一般情况下在较高访问级别的网关和网络端口处进行限制，用作网络防护安全系统。对于一切经过外网进入内网的信息必须经过防火墙的过滤。只有通过授权的信息才能进入内网。

“防火墙的防护类型由以下两种模式构成：过滤式和式。”过滤式防火墙的技术模式是通过对来往的数据包进行解析、筛选。依靠系统设定的规则确定数据包是否能通过检测。式防火墙在检测数据包的同时，进行数据的复制传递。防止数据包直接接触内网，通过一种镜像的模式在主机和外网建立一种连接。防止内网受到污染。直接切断内网和外网的直接联系。有效保障B2C电子商务网站的安全。两种防火墙各有优缺点，过滤式防火墙遵照的模式有助于日常防护，但是一旦系统设置的方式被破解。那么这个网站就相当于公开了。式的防火墙虽然效率没有过滤式的高，但是直接切断内网和外网的联系，保证不会有数据直接进入内网也有着非常大的优势。所以在日常的B2C电子商务网站的安全防护过程中，应该将两种防火墙组合使用。

（二）病毒防护

病毒自从出现以来就成了互联网技术领域的一块顽疾。病毒以其在网络上传播速度快、传播范围广、造成了的危害大、变种类型多等多种方面严重影响了网络的正常运转和使用。当电脑被病毒入侵的时候会造成数据被破坏，大量有经济价值的信息丢失，直接造成了大量经济损失。所以对于病毒的防护一定要做到全方位。构建一个整体的防病毒体系。

（三）入侵检测技术

防火墙虽然满足了日常的B2C电子商务网站的安全防护。但是一旦系统被打通、被入侵，那防火墙的作用就荡然无存了。在被入侵的系统中要求其他的入侵检测技术进行对于入侵者的清除。所以应该发生安全问题时，对内网进行切断网络、记录数据信息、利用内网杀毒系统进行清理等。入侵检测技术是一种主动被安全管理人员启动的技术，被称为安全管理的最后一道屏障。

三、结束语

伴随着社会的快速发展。电子商务已经成了一种新型的消费购物趋势。电子商务的成交量逐年递增。所以对于电子商务网站的安全也应该更加受到重视。影响B2C电子商务安全的隐患非常多，排查起来也很复杂。对于网站设计的安全理念不足、网站缺乏对应级别的安全防护系统，网站的管理者有必要加强对于网站安全的投入和人才利用。同时做好日常的安全防护工作，增强各个层面的认证管理机制、病毒防护系统。培养和增强B2C电子商务公司内部安全管理人员的安全防护意识。

参考文献：

[1]陈芳.基于Portal的企业信息门户系统研究[J].计算机与数字工程，2011（11）：115-117.