电子商务安全风险管理研究(共9篇)
1.电子商务安全风险管理研究 篇一
随着“互联网+”的不断发展,网络与信息化已经不再是辅助工具,它应经成为促进社会发展和生产力进步的重要基础,而承载这些虚拟基石的正是电子信息系统机房。各种规模的机房为社会提供或大或小的网络和信息化服务,这些网络和服务已经融入到各行各业的运转和人们日常工作、生活的方方面面。因此,加强对机房的安全管理,保障机房能够正常运转,为社会提供高效、稳定的网络和服务就显得十分重要。
2 现状分析
目前部分机房由于工程设计、建设投资、人力资源等多方面的原因,或多或少的存在以下问题。1、机房环境不符合或者达不到机房建设要求。机房在建设初期的选址不合时宜,周边环境变化后机房没有积极调整等因素,对机房安全造成了一些隐患。2、不重视相关配套设施。配套设施大部分是在机房建设初期根据设计完成,对于这部分设施,重视程度往往不够,很容易出现配套设施不能跟上信息化建设扩容或超负荷运行的现象。3、维护人员技能不足,培训力度不够,实际操作不够熟练。4、相当一部分设备应急方案执行力不足。5、考虑到投资成本,机房面积在建设完成后是很难再改变的,这就要求在机房内部设计时要合理规划,让有限的机房空间发挥最大的效用。
因此,在电子信息系统机房管理、使用过程中必须对机房安全管理足够的重视。机房安全管理一般从机房环境(供配电、空气调节、给水排水、机房监控、消防等方面),机房信息化硬件设备,人员、机房制度等方面对机房使用过程中的安全管理进行要求。但对于不同种类、不同规模的机房,对上述各方面的要求有所差异。因此,在实际机房管理过程中要求根据机房的差异性,采用不同的标准做到精细化管理,达到使用最少的管理成本,实现对机房有效的安全管理。
3 机房环境安全管理
机房中所有物理设施的使用的整个生命周期都处在机房环境之中,机房环境是否达到要求直接关系到机房设施能否正常运行,能否高效、稳定的提供网络和服务,因此,在机房安全管理中机房环境安全管理是最重要的部分之一。
3.1 供配电安全管理
机房用电负荷等级及供电要求应符合国标GB 50052-2009的要求。机房照明应有应急备用设备,各种照明设备应有专人负责,定期检修。机房应配备UPS不间断电源,UPS使用环境最低要求温度保持在18~30℃,湿度保持在30~80%,并尽量远离具有强磁性的装置,UPS应定期进行充放电对电池组进行维护,且负载不应高于50%,有条件的机房尽量应采用双机、模块化等方式提供冗余配置,若随着机房设备功率不断增大,负载太高时,应对UPS进行扩容。机房应选用机房专用PDU,不能使用其他插排代替,且重要设备必须采用双电源,避免一条电路出现问题影响设备的正常运行。
3.2 空气调节安全管理
机房内的温度、湿度最低标准温度维持在18℃~28℃,相对湿度维持在35%~75%。机房应配备空调系统,并定期检查空调的制冷、供热、新风及电气控制等部分,发现问题及时排除,以满足机房对温度、湿度和空气含尘浓度的要求。
3.3 给水排水安全管理
机房的给水排水系统应根据机房的设备、空调、生活及消防队水质、水温、水压的不同要求分别设置。机房处于建筑物顶层或为独立建筑物时,要特别注意顶面防水处理。机房不能接入大楼中央空调系统,避免产生空调冷凝水的泄漏。
3.4 机房监控安全管理
机房应该配备机房监控系统对机房环境、供配电、UPS、空调、消防等相关设施进行实时监控,并有声光报警及短信、电话报警功能。机房监控要包括视频监控,配置要做到对机房监控无死角,视频监控录像应至少保存三个月。
3.5 消防安全管理
机房需配备两个以上灭火器,并放到门口靠墙壁的位置,灭火器必须采用对设备不腐蚀不短路的灭火器,并定期检查确保其在有效期内,任何人不得随意挪动。机房中要有自动消防装置,并配备声光报警装置,在发生火灾时自动进行喷洒,通过声光报警可以引导人员快速脱离火场。
4 机房硬件设备安全管理
由于是在机房安全管理的范畴下进行机房硬件设备安全管理的研究,因此,这里只涉及到硬件设备的进出和部署规划等内容。
在机房硬件设备安全管理中,对于拟放置于机房内的设备,应向机房主管部门提出申请,主管部门组织人员对设备进行技术鉴定并完成登记后接收;对于拟迁出机房的设备,应向机房主管部门提出申请,主管部门组织人员对设备进行技术鉴定并完成登记后同意迁出;而机房内所有设备的部署应遵循机房主管部门统一规划,未经同意,任何人员不得擅自挪移。机房主管部门应绘制机房设备部署图,并在设备部署发生变化时对设备部署图进行及时变更。
5 机房人员、制度、保密、应急等安全管理
5.1 人员安全管理
作为管理核心的人,机房安全管理主要从对不同角色人员的要求以及人员的进出等方面进行研究。
5.1.1 管理人员职责
机房主管部门对机房安全工作负全面领导责任,负责监督各部门建立健全人员安全体系,检查安全管理的落实,负责制定建立机房设备维护、巡检和实施计划,负责出入机房人员管理,负责外来人员管理。
5.1.2 值班人员安全管理
机房应建立值班制度,值班人员应注意监控机房环境及设备运行情况,发现故障及时处理,对于重大故障,在对故障进行处理的同时要按传报流程向上汇报。处理完毕后认真填写相关记录,并留存。
5.1.3 外来人员安全管理
外来人员进入机房工作,应在机房管理人员陪同下,方可进入机房。严禁非系统维护人员上机操作和对运行设备及各种配置进行更改。系统维护人员只允许操作本次维护任务范畴内的设备。恪守保密制度,不得擅自泄露机房各种信息资料与数据。
5.1.4 人员出入安全管理
所有人员必须通过门禁系统授权进出机房。非机房工作人员进入机房必须由机房工作人员陪同。机房内各种图纸资料、文件、工具仪表未经允许不准擅自带出机房,使用后归还原处。严禁将与工作无关的物品带入机房。进入机房的人员应干净整洁,自觉维护机房清洁卫生,禁止在机房内做任何与工作无关的事情。
5.2 机房制度管理
制度建设也是机房安全管理的重要组成部分,机房一般应建机房管理制度、网络与信息安全(包括机房内容)管理办法、机房突发事件应急响应预案等制度,从制度层面对机房管理工作进行指导和约束,提升机房安全管理水平。
5.3 机房保密安全管理
这里的机房保密安全管理不涉及任何国家秘密,与我们常提的国家秘密的保密管理没有任何联系,这里仅指机房的一些数据、信息、记录等在未经允许的情况下不能泄露给他人。
机房保密安全管理中,机房所有人员必须严格遵守各项安全保密制度,高度重视信息系统的安全保密工作,积极参加各种形式的安全保密工作的学习培训活动,接受安全检查。
机房信息系统涉及管理、业务等核心信息,任何人员不得窥探、抄录、复制、不得转告他人。机房所有人员未经允许不得访问信息系统中用户信息、公文、报表、邮件等属于授权访问数据信息或私人信息。机房内部所有维护和管理人员,均应熟悉并严格执行安全保密规定,并定期检查安全规则的执行情况,发现问题隐患及时处理
5.4 机房应急安全管理
机房必须建立突发事件应急响应预案,对重要设备,突发事件要做好应急操作方案,并定期对方案进行演练,发生应急事件时进行快速处置,把影响控制到最小。
机房必须建立应急事故处理程序,包括事故判别及事故级别、应急预案及处理方法、通信联络制度、监督检查制度以及技术储备与保障等。应急事故发生后,应严格按照检验检疫信息化突发事件应急响应预案的应急事故处理程序进行处理,事后进行总结,避免类似事件再次发生。
6 总结
随着网络的飞速发展,越来越多的社会职能和个人需求需要通过网络和服务实现,电子信息系统机房作为承载信息化网络和服务的实体,能否正常运行不仅关系到社会职能的正常运转,同时也影响着我们个人日常工作和生活的方方面面。因此,为了保障机房可以安全、稳定、高效的运转,我们既要重视对机房的安全管理,也要根据机房的不同功能和重要性进行分类的精细管理,根据不同的标准去管理不同的机房,以最小的维护成本来满足社会对信息化网络和服务的需求。
摘要:随着信息技术的不断发展,各行各业的运转越来越依赖信息化系统高效、稳定运行,而电子信息系统机房作为信息化的重要基础设施,它体现着行业的信息化建设水平,直接关系着行业的发展。因此,为保障电子信息系统机房设施高效、稳定运行,加强对机房的安全管理就显得十分重要。文章从电子信息系统机房的环境设施、硬件设备、人员、保密、应急等几个方面对机房安全管理进行深入的研究分析。
关键词:电子信息系统机房,安全管理,机房设备
参考文献
[1]GB 50052-2009供配电系统设计规范[S].
[2]GB 50174-2008电子信息系统机房设计规范[S].
2.电子商务安全风险管理研究 篇二
【关键词】PKI;电子商务;安全管理
【中图分类号】TP399
【文献标识码】A
【文章编号】1672—5158(2012)10-0107-01
1 引言
电子商务随着计算机技术的发展,已经进入了人们的日常生活,得到了普及。但是,得不到安全保障,电子商务在生活中会发生虚假和欺骗,任何人和公司都不想让自己的重要个人信息受到侵犯。所以说,安全是电子商务的核心,是基础。越来越多的技术已经实施在电子商务的安全上,这些技术都是基于PKI技术的支持。PKI技术具有良好的体系,是一项有效保证电子商务安全性的解决方案,它已经为安全的网络环境奠定了基础。
2 PKI和电子商务的概念
2.1 PKI是英文Public Key Infrastructure的缩写形式,意思是公开密钥基础设施。它是网络安全体系和认证体系。随着电子商务的发展,PKI诞生。PKI的价值是使用户可以方便操作加密,数字签名等等服务,是网络安全建设的核心,是基础部分,更是安全实施电子商务的重要保障,作为电子商务的安全基础和核心技术,PKI用来建立不同实体问的信任关系,它可以提供的安全要求有完整性,不可否认性,身份认证,机密『生和存取控制几大方面。
数字证书由证书授权认证中心CA签发,结合了加密技术,人们使用它,可以保证交易的正常进行,可以保证对通信内容的保密,信息的完整可靠,可以进行识别用户身份。加密技术是PKI的基础,证书服务是PKI核心。通常情况下PKI系统包括了四个部分:注册机构RA,证书机构CA,PKI策略软硬件系统,证书发布系统和PKI应用。一、证书机构CA的作用是发放证书,规定证书的有效期,通过发布证书废除列表CRL,确保必要时可以废除证书。证书机构CA是PKI的信任基础。它负责管理公钥的整个生命周期。二、注册机构RA的作用是增强应用系统的安全,它在用户和CA之间提供一个接口,获取和认证用户的身份,向证书机构CA提出请求。有时候不另外设立独立运行的RA,而把注册管理的职能可以交由证书机构CA来操作。但国际上的标准还是赞成由一个独立的RA来完成注册管理的任务。三、证书发布系统的作用是通过PKI应用发放证书或者通过用户自己发放证书,通过电子数据和电子邮件中交换EDI,或者在浏览器和Web服务器之间的通讯发放证书,或者通过虚拟私有网VPN发放证书等等,通过在Internet上的信用卡交易发放证书。四、PKI策略的作用是对密码系统使用的处理方法和原则进行定义,同时对一个在组织信息安全方面的指导方针进行建立和定义,PKI策略还包括一个组织怎样根据风险的级别,对安全控制的级别进行定义。
2.2 电子商务就是通过计算机互联网进行商务贸易和交易,包括商户之间的网上交易,消费者的网上购物,以及在线电子支付等。电子商务主要依靠电子数据交换(EDI)和互联网来完成。目前电子商务的经营模式有B2C(企业到消费者)、B2B(企业与企业)、C2B(消费者到企业)、C2C(消费者与消费者)、B2G(企业与政府)等等。不断增多的电子交易,使电子商务的安全性受到威胁,网络环境开放中怎样预防未被授权的非法入侵者,怎样保证信息传递过程中的可靠性,完整性,都成为需要解决的问题。
3 基于PKI的电子商务安全问题
3.1 认证身份的安全
电子交易中,如果不进行身份认证的工作,不法者就有机会冒充是电子交易的一方,或破坏其信誉,或窃取交易利益等等对正常交易造成破坏。如果可以进行识别身份,交易的双方就可避免不确定不信任的情况,从而放心交易。所以人们首先要可以确定对方身份是否真实,并要确定和对方所说的是否相同。尤其在涉及到网上支付时,更要确定和核实对方的账户,信用卡等是不是真实可靠和有效的。
3.2 泄露信息的安全
在电子商务中,泄露的信息主要就是泄露的商业机密。电子交易的双方在进行交易的时候,交易内容存在被不法者窃取的可能,交易这方提供给交易那方的信息存在被未授权用户私自使用的可能。尤其是网上支付等流程中,如账号这些重要的商务信息。
3.3 交易抵赖情况
电子交易时,当一项操作发生,信息正常传送,交易抵赖情况就是买卖的双方对发送消息或者接收消息出现否认行为。这时就要确定买卖双方的身份,并且有足够的证据来证明买卖双方确实发送或接收过信息,使电子交易产生纠纷有确凿的证据可用。
3.4 篡改信息情况
篡改信息的情况主要是指信息传递中失去了完整性,公证性和真实性。
因为电子交易中,在网络上传输的信息,存在被另外不相关者的删除,修改。
3.5 数据非法截获,读取或者修改
在电子商务中,信息流和资金流以数据形式在计算机网络中传输,很多传输还是远距离的。在这一过程当中,数据可能被别有用心者截获,读取,从而造成商业机密和个人隐私的泄密。更为严重的是,别有用心者还可能修改截获的数据,如把资金的数量,货物的数量,交货方式等进行修改,这会严重地影响电子商务的正常进行。
4 基于PKI的电子商务安全管理措施
从理论上来讲,公钥加密是PKI的基础,应该是可以保证数据的完整性和可靠性,并可以实现电子交易双方身份认证。但是在网络操作的实际情况里,还是有一定的安全问题相继出现,这些安全问题主要表现在攻击安全协议,攻击公钥,攻击私钥,所以为保护电子交易双方的利益,需要采取一系列的安全保障措施。
4.1 针对定制协议的攻击
定制协议攻击就是另外定制一个协议,然后用它来与安全协议交流,进而对安全协议中可以利用的消息造成影响。对于公钥的认证协议来说,这类攻击是最多的,PKI中允许在多个协议中使用相同的公钥是它攻击的前提,这样的攻击中,是用另外定制的协议来侵犯安全协议,用安全协议中的交易信息来冒充某一方达到完成协议。
保证定制协议的完善和安全是PKI中十分重要的内容,安全的协议才是PKI安全的基础。但是,即使安全的协议,也不是百分之百没有问题,攻击者也可能利用这些安全协议。
从本质上说,攻击定制协议就是使几个定制协议相互交流的办法来进行攻击,避免这类攻击有一个基本原则就是在使用某一个密钥时,在产生的消息和消息标示符之间,加以密码绑定,使定制协议中的消息受到保护,就可以不被另一个协议中的虚假信息替代。
4.2 针对CRL的攻击
CRL是常用的注销证书的方法,它们的原理是,用链表的形式将组织申请注销的证书,在PKI中发布和传播。因为证书的注销信息需要一段时间才在PKI中传播开来,如果攻击者可以阻止注销的进程,那么攻击者就达到破坏PKI注销流程的目的,进而就可以用被某个CA注销的证书来非法访问。
PKI中,如果用户发生证书过期的情况,私钥泄露的情况,或者要变更证书中一些内容的时候,用户必须向CA申请注销旧的证书。当旧的证书被注销后,相关的公钥和私钥就会失效,用它们进行交易的行为也相应是失效。
4.3 针对证书持有者态度的攻击
由于证书持有者的安全态度不积极,表现在可能泄露私钥了而不申请注销证书,长时间不用证书,盲目签名证书等等方面,这些薄弱的防范意思给攻击者提供了不法行为的机会。
5 结语
目前,电子商务还只能说是机遇和挑战并存,因为在交易活动中,这种挑战必须依赖于可靠的安全技术保障,信息铭文传送是交易信息传送的基础,虽然使用PKI作为安全基础,但电子商务交易双方无论买方、卖方,都面临安全威胁因此对于安全问题,技术和自身都需要加以防范。
参考文献
[1]李晶.电子商务安全及其防范措施[J].当代通信.2002(24)
[2]胡红升,马东平.电子商务安全策略[J].电子商务世界.2001(12)
3.电子商务安全管理论文 篇三
源莲山 课
件 w w w.5Y
k J.Com 7
摘要:防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文从防火墙的概念和技术出发,详细分析了防火墙的功能,并对其保证安全方法的不同进行了分类研究。
关键词:信息安全防火墙过滤代理迁移
在信息社会中,信息具有和能源、物源同等的价值,在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题,对于企业更是如此。经济社会的发展更要求各用户之间的通信和资源共享,需要将一批计算机连成网络才能保证电子商务活动的正常开展,这样就带来了更多的安全隐患。特别是对当今最大的网络——国际互联网,很容易遭到别有用心者的恶意攻击和破坏。信息的泄露问题也变得日益严重,因此,计算机网络的安全性问题就变得越来越重要。
如何来保证计算机网络的安全性呢?方法虽然很多,但防火墙技术绝对是其中最高效、实用的方法之一。在构建安全的网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。通常一个公司在购买网络安全设备时,总是把防火墙放在首位。目前,防火墙已经成为世界上用得最多的网络安全产品之一。那么,防火墙是如何保证网络系统的安全,又如何实现自身安全的呢?本文从防火墙的概念出发,详细分析了防火墙的功能,并按其保证安全方法的不同进行了分类:包过滤式防火墙、服务代理式防火墙、地址迁移式防火墙等。
一、防火墙介绍
防火墙是指一种将内部网和公众访问网分开的方法,是网络之间一种特殊的访问控制设施。在Internet网络与内部网之间设置的一道屏障,防止黑客进入内部网,由用户制定安全访问策略,抵御各种侵袭的一种隔离技术。它能允许你“同意”的人和数据进入你的网络,将“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息;能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作;能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙的安全技术包括包过滤技术、代理技术和地址迁移技术等。
二、防火墙的作用
1.作为网络安全的屏障
只有经过精心选择的应用协议才能通过防火墙,可使网络环境变得更安全。如防火墙可以禁止NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如Ip选项中的源路由攻击和ICMp重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
3.可以对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等也是非常重要的。
4.可以防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
三、防火墙的技术分类
1.包过滤技术(packet Filter)式防火墙
包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址,以及包所使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的Ip地址和接收者的Ip地址。当这些包被送上互联网时,路由器会读取接收者的Ip并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的Ip地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一Ip为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者“有问题”的国外站点。包过滤路由器的最大的优点就是它对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常做为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的。如“信息包冲击”是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的Ip地址已经被替换掉了,取而代之的是一串顺序的Ip地址。一旦有一个包通过了防火墙,黑客便可以用这个Ip地址来伪装他们发出的信息。通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录;此外,配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止ip地址盗用。所以说包过滤型防火墙是某种意义上的安全系统。
2.代理服务式防火墙
代理服务是另一种类型的防火墙,它通常是一个软件模块,运行在一台主机上。代理服务器与路由器的合作,路由器实现内部和外部网络交互时的信息流导向,将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。代理服务的实质是中介作用,它不允许内部网和外部网之间进行直接的通信。
用户希望访问内部网某个应用服务器时,实际上是向运行在防火墙上的代理服务软件提出请求,建立连接;理服务器代表它向要访问的应用系统提出请求,建立连接;应用系统给予代理服务器响应;代理服务器给予外部网用户以响应。外部网用户与应用服务器之间的数据传输全部由代理服务器中转,外部网用户无法直接与应用服务器交互,避免了来自外部用户的攻击。通常代理服务是针对特定的应用服务而言的,不同的应用服务可以设置不同的代理服务器。目前,很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性,并且取得了较好的效果。
3.地址迁移式防火墙
由于多种原因,Ipv4地址逐步面临耗尽的危机,而Ipv6的实际应用还有待时日。随着企业上网的人数增多,企业获得的公共Ip地址(称全局Ip地址,或者实际Ip地址)可能难以和企业上网的实际设备数目匹配,这种现象具有加剧的倾向。一种可能的解决方案是为每个企业分配若干个全局Ip地址,企业网内部使用自定义的Ip地址(称为本地Ip地址或者虚拟Ip地址)。当内外用户希望相互访问时,专门的路由器(NAT路由器)负责全局/本地Ip地址的映射。NAT路由器位于不同地址域的边界处,通过保留部分全局Ip地址的分配权来支持Ip数据报的跨网传输。其工作原理:(1)地址绑定(静态或者动态的建立本地/全局地址的映射关系);(2)地址查找和转换(对数据报中的相关地址信息进行修改);(3)地址解绑定(释放全局地址)。
地址迁移式防火墙实际上融合了分组过滤和应用代理的设计思想,可以根据应用的需求限定允许内外网访问的结点;可以屏蔽内网的地址,保证内网的安全性。数据报分析是NAT路由器必须做的工作(例如,修改Ip数据报携带的高层协议数据单元中的地址信息),因此可以有选择地提供/拒绝部分跨网的应用服务。
四、小结
在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。随着电子商务的不断发展,防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。
参考文献:
[1]高峰许南山:防火墙包过滤规则问题的研究[J].应用,2003,23(6)
[2]赵启斌梁京章:防火墙过滤规则异常的研究[J].工程,2005.12
[3]谢希仁:计算机网络技术[M].北京:电子工业出版社,1999
文 章来
源莲山 课
件 w w w.5Y
4.电子商务安全风险管理研究 篇四
二、复习重点内容
第一章《电子商务安全导论》
1、信息安全问题
从技术上看,电子商务面临的安全问题主要来自以下几个方面:1)冒名偷窃2)篡改数据3)信息丢失4)信息传递出问题
2、信息安全的组成信息安全是指防止信息财产被故意的或偶然的非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确保信息的完整性、保密性、可用性和可控性。信息安全安具体由下面七个部分组成:1)操作系统安全2)数据库安全3)网络安全4)病毒防护安全
5)访问控制安全6)加密7)鉴别。
第二章《电子商务安全管理》
1、开放系统互连模型提供的安全服务
1)验证服务:包括对等实体验证和数据源验证;2)访问控制服务;3)数据保密服务;4)数据完整性服务;5)不可否认服务。
2、机构或部门安全管理原则
规范原则、预防原则、立足国内原则、注重实效原则、系统化原则、均衡防护原则、分权制衡原则、应急原则、灾难恢复原则。
3、电子商务安全管理制度
网络系统的日常维护制度、病毒防范制度、人员管理制度、保密制度、跟踪审计稽核制度、应急措施制度。
4、我国电子商务立法应遵循的指导或基本原则
鼓励和发展电子商务是中国电子商务立法的首要前提。2)电子商务立法要与宪法和其他已存在的法律法规及我国认同的国际法保持一致。3)电子商务立法要适合中国国情。
第三章《信息安全技术》
1、加密
所谓加密就是用基于数学方法的程序和保密的密钥对信息进行编码,把计算机数据变成一堆杂乱无章难以理解的字符串,也就是把明文变成密文。
2、常见的对称密钥
对称加密是指数据的发送方和接受方使用的是同一把私有密钥,即把明文加密成密文和把密文解密成明文用的是同一把私有密钥。
对称加密的过程:
(1)发送方用自己的私有密钥对信息进行加密;
(2)发送方将加密的信息通过网络传送给接收方;
(3)接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密,得到信息明文。
3、RSA密钥传输
发送方生成随机对称密钥K;发送方用对称密钥K对信息内容进行加密;发送方用接收方的公开密钥对加密用的对称密钥K进行加密;发送方把加密后的密钥附加在加密后的信息上一起发送;接受方用自己的私有密钥解密加密后的密钥,得到对称密钥K;接收方用对称密钥K对加密的内容进行解密,得到明文的内容。
4、散列函数
散列函数是一种计算相对简单但却很难进行逆运算的函数。必须是单向的,散列计算不 1
可能对两条信息求出相同的摘要。
5、密钥的生命周期
1)密钥建立,包括生成密钥和发布密钥;2)密钥备份/更新或密钥的第三者保管;3)密钥替换/更新;4)密钥吊销;5)密钥期满/终止,其中可能包含密钥的销毁或归档。
5、数字证书的内容
数字证书中一般包含证书持有者的名称、公开密钥、认证机构的数字签名,此外还包括密钥的有效时间、认证机构的名称以及该证书的序列号等信息。交易伙伴可以利用数字证书来交换彼此的公开密钥。
5、数字证书的类型
1)服务器数字证书:能准确无误地鉴别确认服务器和浏览器之间传送的信息加密,保证了网络服务器在安全模式下运行。2)针对软件开发商的开发者数字证书:软件开发者可以为软件做数字标识,从而在因特网上安全传送。3)用于网络浏览和S/MIME的个人数字证书:用来在个人用户和其他用户交换信息或者在使用在先服务时,验证用户的身份,保证信息的安全。
6、认证机构
认证机构CA又称认证中心、证书授予机构,是承担网上认证服务,能签发数字证书并能确认用户身份的受大家信任的第三方机构。CA通常是企业性的服务机构,其主要任务是受理数字证书的申请、签发、及对数字证书进行管理。CA主要功能:
接收验证用户数字证书的申请
确定是否接受用户数字证书的申请
向申请者颁发数字证书接收、处理用户的数字证书的查询、撤销
产生和发布数字证书撤销表
数字证书的归档秘要归档
历史数据归档
7、利用数字证书实现信息安全(重点)
发送方的工作主要有:
1)发送方利用散列函数,把要发送的信息散列成固定长度的数字摘要;
2)发送方用自己的私有密钥对数字摘要进行加密,形成数字签名;
3)发送方把数字签名和自己的数字证书附加在原信息上,利用对称密钥进行对称加密,形成加密后的信息;
4)发送方用接受方数字证书中给出的公开密钥,来对发送方进行对称加密的密钥进行加密,将加密结果装入数字信封;
5)发送方把加密后的信息与数字信封一起通过网络发送出去。
接受方的工作主要有:
1)接受方用自己的私有密钥对接收到的数字信封进行解密,得到发送方用于加密的对称密钥;
2)接受方用解密得到的对称密钥对接收到的加密后信息进行解密,得到信息、数字签名和发送方的数字证书;
3)接收方用得到的发送方数字证书中的公开密钥对数字签名进行解密,得到数字摘要;
4)接收方运用同样的散列函数,把解密得到的信息散列成固定长度的数字摘要;
5)接受方比较两个数字摘要。如比较结果一致,则说明信息在传递的过程中为被篡改过,即保证了数据的完整性。
第四章《Internet安全》
1、防火墙的特性和不足
防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统。从狭义上来讲,防火墙是指安装了防火墙软件的主机或路由器系统。防火墙被放在两个网络之间,并具有下列特性:1)所有的从内部到外部或从外部到内部的通信都必须经过它;2)只有有内部访问策略授权的通信才被允许通过;3)系统本身具有高可靠性。
不足之处:1)不能防范不经由防火墙的攻击;2)不能防止受到病毒感染的软件或文件的传输;3)不能防止数据驱动式攻击。
2、防火墙的功能
1)过滤不安全的服务和非法用户。2)控制对特殊站点的访问。3)作为网络安全的集中监视点。
3、防火墙的基本原理
1)包过滤型防火墙2)应用网关型防火墙3)代理服务器型防火墙
4、增强的私密电子邮件(PEM)
PEM即增强的私密电子邮件,是因特网工程任务组从20世纪80年代后期开始的一项工作的成果,这也是试图建立因特网邮件安全系统的首次正式努力。PEM规范非常复杂,其第I部分定义了一个消息安全协议,而第II部分则定义了一个支持公开密钥的基础设施系统。PEM的消息安全协议主要用于支持基本的消息保护服务。PEM是这样运作的,首先获得一个未保护的消息,将其内容转换为一条PEM消息,这样,PEM消息就可以象其他消息一样通过正常的通信网络来进行传递了。PEM规范认可两种可选的方法来进行网络身份验证和密钥的管理:一种是对称方案,还有一种是公开密钥方案。在商业上很少应用,是因为它与在同其发展起来的多用途网际邮件扩充协议MIME不兼容。
5、IPsec及其提供的服务
IPsec是指IETF以RFC形式公布的一组IP安全协议集。IPsec主要提供以下服务:访问控制;无连接完整性;数据源的鉴别;拒绝重放的分组;机密性(加密);有限的通信量机密性。
6、安全套接层协议SSL概述
最初是由Netcape公司研究制定的安全通信协议,是在因特网基础上提供的一种保证机密性的安全协议。SSL能使客户机与服务器之间的通信不被攻击者窃听,并且始终保持对服务器进行认证,还可选择对客户进行认证。SSL是目前在电子商务中应用最广泛的安全协议之一。
7、SSL协议的功能
SSL服务器认证
允许客户机确认服务器身份。支持SSL协议的客户机软件能使用公钥密码技术来检查服务器的数字证书,判断该证书是否是由在客户所信任的认证机构列表内的认证机构所发放。
确认用户身份
使用同样的技术,支持SSL协议的服务器软件能检查客户所持有的数字证书的合法性。保证数据传输的机密性和完整性
一个加密的SSL里连接要求所有在客户机与服务器之间发送的信息由发送方软件加密和有接受方软件解密,这就提供了高度机密性。另外,所有通过SSL连接发送的数据都被一种检测篡改的机制所保护,这种机制自动判断传输中数据是否已经被更改,从而保证了数据的完整性。
8、SSL的体系结构:
SSL协议包含两层协议,即SSL记录协议和之上的三个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议。记录协议定义了要传输数据的格式,它
位于TCP协议之上,从高层SSL子协议收到数据后,对它们进行封装、压缩、认证、和加密。SSL 握手协议是高层SSL子协议中最重要的一个协议, SSL握手
协议允许服务器与客户机在应用程序传输和接受数据之前互相认证、协商加密算
法和密钥,SSL握手协议包括在初次建立SSL连接时使用SSL记录协议在支持
SSL协议的服务器与支持SSL协议的客户机之间的一系列信息。
9、基于SSL的银行卡支付过程:
持卡人登录商品发布站点,验证商户身份;
持卡人决定购买,向商户发出购买请求;
商户返回同意支付等信息;持卡人验证支付网关的身份,填写支付信息,将
定购信息和支付信息通SSL传给商户,但支付信息被支付网关的公开密钥加
密过,对商户来说是不可读的。
商户用支付网关的公开密钥加密支付信息,传给支付网关,要求支付;
支付网关解密商户传来的信息,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并及时划账;
支付网关用它的私有密钥加密结果,将结果返回商户;商户用支付网关的公开密钥解密后返回信息给持卡人,送货,交易结束。
第五章《数字证书》
1、X.509数字证书格式
1)版本号2)数字证书序列号3)签名算法标识符4)数字证书发放者5)有效期6)主体7)主体的公钥信息8)数字证书发放者的唯一标识符9)主体的唯一标识符
2、数字证书的撤销
X.509的数字证书撤销表:版本、签名算法、发放者、本次更新、下次更新、数字证书序列号、撤销时间、数字证书撤销表扩展条目、数字证书撤销表扩展部分、发放者的数字签名。
第六章《公共基础设施PKI》
1、PKI概述
公钥基础设施PKI又叫公钥体系,是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,用户可以利用PKI平台提供的服务进行安全通讯。
2、PKI应用系统的功能
1)公钥数字证书的管理2)证书撤消表的发布和管理3)密钥的备份和恢复4)自动更新密钥
5)自动管理历史密钥6)支持交叉认证。
3、证书策略CP与证书实施说明CPS
证书策略CP,是指一套制定的规则,用于说明满足一般安全性要求的数字证书在某个特定的团体里和(或)某一类应用程序中的应用能力。证书实施说明CPS,规定了在认证过程中要遵循的操作程序。证书实施说明的内容包括数字证书的复杂性及长度说明,但主要的是公开说明了认证机构的运作方式。
第七章《安全认证实例》
1、CA建设概况
2、CFCA的证书管理策略
CFCA的两大CA体系:
两大CA体系即SET CA和Non-SET CA系统。其中SET CA系统是为在网上购物时用银行卡来进行结算这类业务而建立的。SET的系统结构分为三层,第一层为根CA(RCA),第二层为品牌CA(BCA),第三层则根据证书使用者的不同分为CCA(持卡人CA)、MCA(商户CA)、PCA(网关CA)。另外还可以根据以后的发展,在第二层CA和第三层CA之间扩展出GCA(地区CA)。
Non-SET 系统对于业务应用的范围没有严格的定义,结合电子商务具体的、实际的应用,根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高
级/企业级证书),Non-SET 系统分为两部分。
Non-SET-CA 系统分为三层结构,第一层为根CA,第二层为政策CA,第三层为运营CA。
3、SHECA数字证书的申请与使用
4、VeriSign数字证书的申请与使用
服务器数字证书:能准确无误地鉴别确认服务器和浏览器之间传送的信息加密,保证了网络服务器在安全模式下运行。
针对软件开发商的开发者数字证书:软件开发者可以为软件做数字标识,从而在因特网上安全传送。
用于网络浏览和S/MIME的个人数字证书:用来在个人用户和其他用户交换信息或者在使用在先服务时,验证用户的身份,保证信息的安全。
三、重点习题
(一)判断题
1、为进行网络中的数据交换而建立的规则、标准或约定叫做网络协议(对)
2、网络中HTTP协议端口号默认为80,但有时为了安全,也可以对端口号重新定义。(对)
3、SET协议能确保两个应用程序之间通讯内容的保密性和数据的完整性。(错)
4、SSL协议可用于加密任何基于TCP/IP的应用。(对)
5、从发展趋势来看,数字证书的应用很有可能将只限于商务活动。(对)
6、中国金融认证中心全面支持电子商务的两种主要模式:SET CA 和No-SET CA。(对)
7、数字证书实际使用期和原定的有效期一样长。(错)
(二)单选题
1、Internet所使用的协议中,(A)协议提供了网间网连接的完善功能。
A.IPB.TCPC.IEEE802D.FTP2、公钥密码体系最主要的特点就是加密和解密使用(A)密钥。
A.不同的B.相同的C.公开的D.秘密的3、DES算法属于(A)。
A.对称加密体制B.不对称加密体制C.单向散列函数D.数字签名算法
4、RFC 791文件公布的是下面哪个协议(A)
A、IPB、TCPC、SMTPD、HTTP5、下列哪一种是公开密钥加密算法:(C)
A、DESB、AESC、RSAD、MAC
(三)多选题
1、所有电子商务应用和基础设施的支柱是(AC)
A.公共政策B.WWWC.技术标准D.INTERNETE.密码
2、内置的防止或减少客户机安全威胁的机制有(AB)
A.数字证书B.防病毒软件C.防火墙D.操作系统控制E.电子结算
3、以下哪些内容属于标准X.509数字证书的内容(ABD)
A.证书的版本信息;
B.证书的序列号,每个证书都有一个唯一的证书序列号;
C.证书使用者对证书的签名;
D.证书所使用的签名算法。
(四)填空题
1、从技术上看,电子商务面临的信息安全问题主要来自:冒名偷窃、篡改数据、信息丢失、信息传递出问题 几方面。
2、安全关联有两种类型:传输模式、隧道模式。
3、包过滤防火墙是应用技术在对数据包进行选择,截获每个通过防火墙的IP包,并进行安全检查。
(五)简答题
1、ISO的开放系统互连(OSI)参考模型中,提供了哪几种安全服务?
1)验证服务:包括对等实体验证和数据源验证;2)访问控制服务;3)数据保密服务;4)数据完整性服务;5)不可否认服务。
2、基本数字证书格式中包含哪些内容?
数字证书中一般包含证书持有者的名称、公开密钥、认证机构的数字签名,此外还包括密钥的有效时间、认证机构的名称以及该证书的序列号等信息。交易伙伴可以利用数字证书来交换彼此的公开密钥。
(六)问答题
机构或部门在进行信息安全管理是要遵循的基本原则?
规范原则、预防原则、立足国内原则、注重实效原则、系统化原则、均衡防护原则、分权制衡原则、应急原则、灾难恢复原则。
(七)阐述题
在利用数字证书实现信息安全时,发送方主要有哪些工作?接收方又有哪些工作? 发送方的工作主要有:
1)发送方利用散列函数,把要发送的信息散列成固定长度的数字摘要;
2)发送方用自己的私有密钥对数字摘要进行加密,形成数字签名;
3)发送方把数字签名和自己的数字证书附加在原信息上,利用对称密钥进行对称加密,形成加密后的信息;
4)发送方用接受方数字证书中给出的公开密钥,来对发送方进行对称加密的密钥进行加密,将加密结果装入数字信封;
5)发送方把加密后的信息与数字信封一起通过网络发送出去。
接受方的工作主要有:
1)接受方用自己的私有密钥对接收到的数字信封进行解密,得到发送方用于加密的对称密钥;
2)接受方用解密得到的对称密钥对接收到的加密后信息进行解密,得到信息、数字签名和发送方的数字证书;
3)接收方用得到的发送方数字证书中的公开密钥对数字签名进行解密,得到数字摘要;
4)接收方运用同样的散列函数,把解密得到的信息散列成固定长度的数字摘要;
5.电子商务安全风险管理研究 篇五
一、电子档案的安全管理
由于电子档案存在着一定风险因素,所以,加强安全管理很有必要。主要可以通过人员监管、严格制度、技术措施、人才培养、政府监管等几个方面加强管理。(一)具体人员监管。电子档案存在着高度保密性,需要具体人员专门对电子档案进行负责和监管,对保存的相关文字、图表、数据和图像等需要一个有经验、有知识、有责任心的专人负责此项工作,做到精益求精。要对工作人员进行专业培训,使他们能够用专业知识加强安全管理,强化责任监督,把电子档案的安全性通过专业技能加以提升。除了有专业人员负责这项工作外,还需要有专门人员加强网络监管,随时对网络进行安全管理,通过技术防备进行监督和处理。(二)落实严格的保护制度。有了专门的人员负责之外,还需要严格的制度加以落实。从制度上要对档案的`真实性、完整性、保密性加以落实,对于那些需要经过处理的电子档案应该加强技术完善,以确保电子档案的准确性。同时还要保证电子档案是否与纸质版文本的内容相一致,是否完成最终稿本,以及是否有病毒存在,是否已经保存完整等等,这些都需要严格的执行与落实。对所有的归档落实保护制度,对于转换硬件和软件的时候要转换打开格式,防止信息失效,在发生安全隐患存在时,要及时进行安全处理,进行修复或者拷贝。(三)技术措施的处理。技术措施的处理需要专门精通计算机网络使用的人来操作和处理,当遇到一些技术性难题时,需要对电子档案的真实性、保密性、安全性进行技术处理。当电子档案需要变更载体时,需要做好防护措施,对每份电子档案做好修改、删除、保存的措施,以密码形式进行保存。(四)专业人员培训和政府监管。定期对专业人员进行培训,及时更新计算机网络新的知识,用最新知识武装自己,在遇到电子档案处理时,能够用新的知识及时处理,以保证信息的安全性和真实性。政府作为社会监管者,有责任把网络监管到位,解决和打击网络犯罪。当然,加强电子档案安全管理的措施不止这些,只有把以上措施落实得当就基本可以保障电子档案的安全性和真实性。
二、电子档案的风险防范
电子档案的风险是多方面的,必须采取牢固的风险防范措施,加强网络监管,这也是做好电子档案工作的必备要求。主要可以从以下几个方面入手,加强风险防范。(一)实施规范化管理。规范化管理首先对人的管理,因为电子档案从建立到流转到存储甚至销毁都是人在操作,所以加强人的职业素质培训很重要。其次,应对整个内部流程进行规范化管理,每一个环节都应该高度重视,防范风险应该从每个环节开始防范。加强内部管理显得很重要。确保电子档案的形成、鉴定、销毁整个流程的把握,保障工作的连续。(二)技术措施处理。电子档案进行安全处理需要高端技术措施,这是风险防范的必用手段,这些常用的技术措施有数据加密处理、网络安全技术、病毒防护技术、身份认证技术和病毒修复以及防火墙等。所以,计算机网络技术的前沿知识必须让责任人员学习和理解透彻,各种规范应该让操作人员灵活掌握,在遇到各种技术问题时还得加强学习或者资料的查阅,保障电子档案信息的真实性、准确性、连续性。(三)风险处理。当风险即将发生之时,应该立即通过一定的技术处理把风险进行拦截或者解除。这就需要采取预期措施在即将出现时立刻处理,进行事先控制,防止风险的继续恶化和蔓延。当风险已经发生后,应该立即通过技术手段把风险带来的损失降至最低。所以,对风险的处理对于防范风险来说也非常重要,要做到识别风险、回避风险、转移风险、分散风险、控制风险等每个步骤。(四)相关法规的完善。形成一个健全的法规体系,依法防范和控制风险是完善电子档案工作的必要前提。虽然电子文件归档与管理的相关规范已经在实施,但是,电子档案的效率化、规范化还是应该加强与改善。电子档案的安全管理与风险防范是各位电子档案工作人员理应具备的基础知识,只有强化理论与实践规范化、实践化、效率化,才可以满足在信息技术高速发展下的各项需求。
【参考文献】
[1]罗芳,谢钰荣.电子档案安全管理措施的研究[J].兰台世界,(14):76-77.
[2]罗金光.从风险管理视角透视电子档案安全管理[J].兰台世界,2013(26):95-96.
[3]乔振涛.从风险管理视角加强电子档案安全管理[J].档案管理,(05):43.
6.电子商务安全风险管理研究 篇六
关键词:电子档案信息,安全管理,计算机
1 电子档案信息管理的现状
电子档案信息化是近几年发展起来的新兴技术,也是数字化在工作领域的具体应用。由于国家对这一新兴技术还缺乏具体的管理细则,多数企业单位电子档案建立还只靠学习摸索和经验总结,电子档案信息管理模式上千篇一律的现象还相当普遍,司法机关等单位的电子档案建立工作开展的也较为缓慢。总的来说,传统档案数字信息化的过程在为资料收集、整理工作带来便利的同时也还有诸多方面的不足,有待改进。
1.1 人员技术水平不过关
电子信息档案管理是一项利用计算机数据库技术来实现的信息记录和整理工作。简单来说,档案信息化的过程正是操作人员将纸质信息转为电脑数据的过程。然而,由于相关技术开展较晚,部分单位还缺乏能够熟练运用相关软件的技术型人才,这大大降低了工作人员收录信息的速度,也使得他们无法结合实际情况对档案搜集整理工程中出现的相关问题进行及时解决,从而导致工作进程被拖慢,进而影响整体的工作进展。另外,由于部分工作人员对电子档案信息的理解和认识还不够清晰,操作流程掌握的不够牢固,所以比较容易出现数据信息排列不当、相关软件应用不合理的情况,这使得电子档案无法发挥其预期的功效,进而产生电子信息管理不低人工管理的奇怪现象。
1.2 存放环境存在安全隐患
电子信息档案存放于专用电脑的数据硬盘之中,而计算机自身的精密性则决定了其存放环境必须达到一定的要求,以此确保数据存放的物理安全。事实上,相较于传统纸质档案,电子档案对存储环境的要求已经有了一定下降,这使得工作人员不用再为环境过于潮湿而导致的纸质发霉破损而担心,然而,计算机数据的特殊性与易携带性则要求技术人员在管理数据时需要更加仔细认真。司法部门内部的电子档案除人员的个人信息外,另可能存放相关案件信息的电子记录,此类信息的特殊性决定了其需要较高的保密性。然而,由于重视程度不足,或场地经费条件等的限制,不少单位的档案室并没有设立严格的进出管理制度,工作人员在进出工作室时也不会被检查和监督,而这一点其恰为信息的泄露提供了可能,进而形成了存放环境上的安全隐患。此外,电子信息档案室多为原有办公室改建而成,缺乏抵御自然灾害、电磁干扰和人为破坏的能力,这使得内部存储信息较容易受到外部环境的影响,从而给信息安全造成隐患。
1.3 软件安全存在隐患
计算机技术是伴随着网络黑客、电脑病毒等一系列名词兴起的,这也意味着存储在计算机上的数据信息容易受到外界的攻击,进而导致数据泄露、资料破坏、篡改等问题的发生。电子档案的特殊性与保密性要求相关工作人员必须严格按照操作流程进行数据的等级、整理和修改工作,以此避免程序运行中有异常情况发生。当下,相关单位和部门在制定相关安全条例的工作上还存在诸多不足,非法用户通过破解防火墙登录内网,拷贝修改相关数据的情况偶有发生。信息安全工程负责人员数量缺失,导致软件运行安全无法被即时监督监管,给电子档案的保管工作带来了隐患。
此外,由于电子档案的数量庞大,数据信息繁杂,负责记录管理相关内容的工作人员较少,所以部分单位出于节约人力物力的考虑忽视了对档案信息的备份工作。这使得相关数据一旦因某种原因而被破坏和修改,几乎就无法复原,进而造成难以弥补的损失。此外,也存在着对备份数据管理不当,将原件与复印件存放在一处,或缺乏对软硬件环境同时开展备份的意识,导致原始数据被破坏时,备份数据也会出现无法读取的现象,进而导致档案备份无用化。
2 电子档案信息安全管理的原则
电子档案信息管理工作细致而繁复,需要相关人员严格按照操作规定进行数据收录工作,以此确保档案信息的完整化与保密性。
开展电子档案信息安全管理,首先要遵循系统化原则。档案资料的积累性和庞杂性使其始终处于动态变化的模式下,这要求记录人员必须对有关内容进行实时更新和修改,以满足被记录人的实际需求。通过建立完整的信息安全保证体系,司法机关的档案管理人员能对已经收录的信息进行妥善的保护和存储,从而确保资料处于整齐有序的状态。安全管理系统的存在使得相关工作的开展和进行更富条理性,使工作人员有理可循、有据可依,真正将档案的安全管理工作重视起来,使工作运行逐步走上正轨。该体系通过涵盖信息管理、硬件软件监管、技术监督等环节来加强安全管理的质量和效率,为电子档案的规范化管理提供可能。
其次,电子档案信息管理必须遵循适度保护原则,即通过具体保护手段减少档案信息丢失、泄露的风险。由于客观条件限制,纸质材料依然是电子信息档案的主要来源之一,是以必须对相关纸质材料进行为期三年左右的保留,避免计算机数据异常时无法查询原始数据。其次,档案信息在进行修改和转移整理工作执勤,必须提前进行复制备份工作,从而保证相关信息失效前始终得到严密保护。通过研究相关安全软件或建立新型防火墙,技术人员可以确保数据信息不会被非法用户所窃取,同时也能保证用户在日常登录使用时不会泄露个人信息,确保使用安全。
第三,电子档案信息管理还必须遵循简单可行的原则。该工作对操作人员的技术水平和耐心程度都提出了较高标准,这也从侧面要求相关操作技术必须简单可行,以此降低技术难度,保证用户的使用顺畅。当然,简单可行的操作必须建立在系统安全的基础上,通过为使用者提供更加高效便捷的信息查阅和修改途径,不仅能有效提高工作效率,降低操作人员的工作强度,还能使操作者始终保持积极向上的工作态度,进而促进档案信息管理工作的良性发展。
3 维护电子档案信息安全的相关管理手段
3.1 建立信息安全评价体系
电子档案信息安全评价体系包括物理安全评价、软件安全评鉴与数据人员安全评价三个大方面。安全评价体系的建立,方便了监督检查工作的开展,也弥补了安全技术人才短缺造成的信息档案管理困难。由专业的安全工程师对档案管理的外部环境,如气候、自然、辐射等参数进行参考,分析其是否对档案管理造成影响,并选择合适的办公场所。随后深入考察电子档案信息管理的软件和数据安全,帮助相关单位开发制定安全防护体系,并指导工作人员正确进行档案信息的登记录入工作,从而将管理风险降至最低。
3.2 提高管理人员从业素质
有效提高管理水平是确保电子档案信息安全最为有效的手段。通过强化相关人员的操作技术水平,提高他们的安全责任意识,档案管理部门能加快实现原有档案的数字信息化进程,并避免了因操作不当而造成的数据遗失、泄露等情况。另外,人员水平的提高也代表着内部安全水平的提高。通过传授他们一些基本技能,可以使他们及时解决软件的相关故障,从而确保档案登记管理工作的及时可靠。同时,也能使工作人员能更为敏锐的发现现行管理方法中存在的缺点与不足,进而提出相关管理意见,减少非法用户、黑客破坏或篡改数据的可能。
3.3 加强信息安全防护
7.电子商务的安全风险及防火墙技术 篇七
信息技术的发展使电子商务在企业中广泛应用。电子商务通过使交易活动各环节电子化,能够帮助企业拓展商机,降低成本,创造更多的利润。但电子商务作为一种新的经营方式,在发展过程中也具有不可忽视的风险。企业必须对电子商务面临的风险问题给予高度重视,及时开展风险评估,制定风险控制策略,从而防范电子商务风险给企业带来的损失。
一、安全风险控制
电子商务应用需要依托于计算机网络,而互联网是全球性的开放网络,这一特点决定了网络的不安全性。黑客通过入侵网络窃取数据,使计算机系统瘫痪的问题屡见不鲜。随着信息技术的飞速发展,很多新型病毒迅速蔓延,黑客攻击早已大众化。而且互联网的TCP/IP协议本身就存在缺陷,网络黑客正是利用了协议的安全漏洞才能成功实现攻击。其次,网络软件的漏洞也容易引发安全风险。企业规模的扩大对应用软件也提出更高的要求,而对较大的应用软件实施彻底的测试尤为困难,因此软件测试留下的漏洞就会成为被攻击的对象。最后,企业的电子商务系统中存在多种操作系统,拥有不同型号的设备,传输介质不同,都有可能导致数据信息的泄漏或丢失。
为控制安全风险,企业应采用数据加密技术,对传输中的数据进行加密,在密钥、口令信息传递时加强对用户身份的鉴别,并注意随时更新数据完整性加密技术。其次,企业可使用防火墙和杀毒软件增强安全防护。防火墙通过设置网络屏障,能够阻止未经授权的用户访问信息,以屏蔽各种危险用户。企业安装正版杀毒软件也可随时升级,实现对病毒的动态监测。最后,企业还可使用数字签名实现对原始报文的鉴别。
二、防火墙技术
电子商务的安全问题,主要是在开放的网络环境中信息传递的完整、可靠和不失真,以及应对未经授权的非法入侵等方面的问题。防火墙是一种由计算机软件和硬件组成的隔离系统设备,用于在安全的企业内部网internet和大众的不安全的internet之间构筑一道防护屏障,能够按预先设置的条件对进出实体进行区分,实现内外有别。防火墙系统本身必须建立在“安全的”操作系统所提供的安全环境中,安全操作系统可以保护防火墙的代码和文件免遭攻击。防火墙能保护站点不被任意链接,甚至能建立反向跟踪工具,帮助总结并记录有关正在进行的连接资源、服务器提供的通信量以及试图闯入者的任何企图。一般来说,一个功能较为完整的防火墙基本组成包括外部过滤器、网关和内部过滤器。
在电子商务中,利用防火墙技术主要用来对支撑电子商务各种业务开展的网络平台进行安全防护,也可以说是商家、银行等组织的内部网络的第一道防护措旋,例如用于支撑网络支付的银行内部网络、商家的电子商务网站、客户的采购网络等。对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。
防火墙目的只是加强网络安全性,其应用也只是许多安全防护手段的一种,虽然具有上述许多优点,但并不能完全、绝对保证企业内部网络比如银行网络银行系统的安全。因为防火墙仍然存在许多缺陷和不足,而且有些缺陷是目前根本无法解决的。总体上讲,防火墙是一种被动式的安全防护手段,它只能对现在已知的网络威胁起作用。随着网络攻击手段的不断更新和一些新的网络应用服务的出现,不可能靠一次性的防火墙设置来永远解决网络安全问题,而必须不断研发与升级。
全球电子商务作为网络化的新型经济活动,正以前所未有的速度迅猛发展,并成为各国增强经济竞争实力,赢得全球资源配置优势的有效手段。电子商务面临的安全隐患产生了对电子商务安全的需求。这一需求包括真正实现一个安全电子商务系统所要求做到的各个方面。防火墙技术可以大大提高网络的安全性。值得注意的是,要保证电子商务的安全,除r技术手段外,加强内部管理和制定相应的法律、法规也非常重要。
参考文献
[1]欧阳清洁.电子商务的风险及其防范措施[J].硅谷,2013(04).
[2]张森,俞鱼.电子商务风险控制[J].经营与管理,2012(01).
[3]赵松,李月华.企业电子商务风险管理探讨[J].中国商贸,2012(10).
8.农产品电子商务安全策略研究论文 篇八
2.1基于多重防范的网络安全策略
1) 防火墙技术
防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。
防火墙具有很好的保护作用。论文大全,信息安全。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。论文大全,信息安全。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。论文大全,信息安全。
2) VPN 技术
VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。
性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。
管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。论文大全,信息安全。
2.2基于角色访问的权限控制策略
农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。
目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。角色访问控制策略主要是两方面的工作:
(1)确定角色
根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。
(2)分配权限策略
根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。论文大全,信息安全。论文大全,信息安全。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。
2.3基于数据加密的数据安全策略
在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。
1)数据库加密系统措施
(1)在用户进入系统进行两级安全控制
这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。
2)防止非法复制
对于服务器来说,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。
3)安全的数据抽取方式
提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用dbms提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用dbms提供的卸出、装入工具完成。
3结束语
随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。
参考文献:
[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),,(12):71-73.
[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35
9.电子商务安全风险管理研究 篇九
论文关键词:信息窃取 信息篡改 加密技术 防火墙
论文摘要:随着网络技术的广泛应用,网上购物的日益普及我国电子商务安全的问题日益严重。首先,分析了电子商务安全的现状,其次,着重对电子商务存在的问题及其原因进行深入地探索并指出了电子商务安全的需求,最后给出相应的解决方案。
随着网络技术的广泛应用,我国电子商务的安全问题也日益突出。根据“上半年,计算机病毒和互联网安全报告疫情”的数据表明,20上半年,计算机病毒,木马的数量依然保持快速增长,新病毒不断出现,一些“老”的病毒推出了众多变种。年上半年计算机病毒,木马数量迅速增加,超出了近五年病毒数量的总和。在日益增多的电子商务安全问题面前,需要我们采取新措施来进行防范。
一、电子商务的安全现状
目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题,本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点:
(一)木马病毒爆炸性增长,变种数量的快速增加
据统计,仅上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。wWW.133229.COm同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。
(二)网络病毒传播方式的变化
过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于u盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行u盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他u盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。
(三)网络病毒给电子商务造成的损失继续增加
调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒大量出现,如:仇英、艾妮等病毒。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
二、电子商务的安全问题及存在原因
1.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能。
3.对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
4.拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
5.对发出的信息予以否认.某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
6.信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款i用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
7.电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,cih病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
三、电子商务的`安全需求
电子商务威胁的出现导致了对电子商务安全的需求,主要包括有效性、完整性、不可抵赖性、匿名性。
1.有效性。保证信息的有效性是开展电子商务的前提,一旦签订交易,这项交易就应得到保护以防止被篡改或伪造。
2.完整性。贸易双方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易双方信息的完整性是电子商务的基础。
3.不可抵赖性。交易一旦达成,原发送方在发送数据后就不能抵赖,接收方接到数据后也不能抵赖。
4.匿名性。电子商务系统应确保交易的匿名性,防止交易过程被跟踪,保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体。
四、电子商务安全防治措施及安全举措
防范电子商务网络犯罪是一个系统工程,不仅需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设,而且.还需要技术上不断更新和完善,为此,需要做好以下几方面的工作。
1.加强教育和宣传,提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提,从而牢同树立网上交易,安全第一的思想。主要采取以下措施:一是通过大众媒体,普及电子商务的安全知识,提高用户的认识。二是积极组织研讨会和培训课程,培养电子商务网络营销安全管理人才。
2.采用多重网络技术,保证网络信息安全。目前,常用的电子商务安全技术,主要包括:防火墙,物理隔离,vpn(虚拟专用网)。防火墙是实现内部网与外部网安全代理和入侵隔离的常规技术。使用防火墙,一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此,电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用vpn新技术,为使用者提了一种通过公用网络,安全地对食业网络进行远程访问,同时又能保证企业的系统安全。包括操作系统、数据库和服务器(如web服务器、e-maii。服务器)的安全。
3.运用密码技术,强化通信安全。应围绕数字证书应用,为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。“在涉及多个对等实体间的交互认征时,应采用基于pki技术,借助第三方(ca)颁发的数字证书数字签名来确认彼此身份。”为了从根本上保证我国网络的安全,我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考,但不能完全照搬。政府应该鼓励和扶植一批企业加快数字安全技术的研究,以提高我国信息企业的技术和管理水平,促进我同电子商务安全建设。
4.加强技术管理,努力做到使用安全。首先是在内部严格控制企业内部人员对网络共享资源的随意使用。在内网中,除有特殊需要不要轻易开放共享目录,对有经常交换信息要求的用户,在共享时应该加密,即只有通过密码的认证才允许访问数据。二是对涉及秘密信息的用户主机,使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务,同时封闭一些不用的端口。并对服务器中的数据库进行安全备份。三是切实保证媒体安全。包括媒体数据的安全及媒体本身的安全。要防止系统信息在物理空间上的扩散。为了防止系统中的信息在物理空间上的扩散,应在物理上采取一定的防护措施,如进行一定的电磁屏蔽,减少或干扰扩散出去的空间信号。这样做,对确保企业电子商务安全将发挥重要作用。
5.健全法律,严格执法。目前我国在电子商务法律法规方面还有很多缺失,不能有效地保护公众的合法权益,给一些犯罪分子带来了可乘之机。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《电子凭证(票据)法》、《网上知识产权法》等一系列法律,使电子商务安全管理走上法制化轨道。使网络控制、信息控制、信息资源管理和防止泄密有法可依,并得到技术上的支撑。健全电子商务安全标准认证和质量检测机制,由国家主管部门组织制定有关电子商务安全条例规定,并发挥职能部门的监管作用。通过建立电子商务安全法规体系,规范和维持网络的正常运行。
参考文献:
[1]许宁宁.电子商务安全的现状与趋势[j].中国电子商务,2010,(1).
[2]濮小金.电子商务安全的政策选择[j].全国商情经济理论研究,,(3).
[3]王建宏.电子商务安全技术研究[j].中国商贸,2009,(15).
【电子商务安全风险管理研究】推荐阅读:
中国电子商务研究中心08-02
电子商务网站评价研究与应用分析07-12
高职院校电子商务专业IT类课程体系的研究09-03
《电子商务安全导论》读书笔记1007-10
电子商务安全技术对策研讨论文09-05
郑州市电子商务服务平台项目可行性研究报告08-27
跨境电子商务管理办法07-07
2023秋-电子商务网络安全实验报告07-25
电子商务网站建设与管理09-08
初探电子商务的工商行政管理08-17