收藏
下载资源 加入VIP免费专享

电子商务安全技术复习要点.docx

上传人:小飞机 文档编号:3661710 上传时间:2023-03-14 格式:DOCX 页数:23 大小:48.06KB
返回 下载 相关 举报
电子商务安全技术复习要点.docx_第1页
第1页 / 共23页
电子商务安全技术复习要点.docx_第2页
第2页 / 共23页
电子商务安全技术复习要点.docx_第3页
第3页 / 共23页
电子商务安全技术复习要点.docx_第4页
第4页 / 共23页
电子商务安全技术复习要点.docx_第5页
第5页 / 共23页
亲,该文档总共23页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《电子商务安全技术复习要点.docx》由会员分享,可在线阅读,更多相关《电子商务安全技术复习要点.docx(23页珍藏版)》请在三一办公上搜索。

1、电子商务安全技术复习要点电子商务安全技术 复习要点 第一章 电子商务安全概述 1、电子商务安全的含义或需求 2、电子商务安全问题有哪些?能举例说明 3、电子商务安全的构成 4、电子商务安全特点 第二章 信息安全技术 1. 概念:对称加密,非对称加密,数字签名 2. RSA加密算法计算 3. 数字签名目的、原理、特点、类型、常用数字签名方法 4. RSA数字签名原理 5. 验证技术:目的、身份验证原理 6. 基于个人令牌的验证 7. 基于生物特征的验证 8. 基于数字时间戳的验证 9. 基于数字证书的验证 第三章 互联网安全技术 1、网络层安全、应用层安全、系统安全 2、防火墙技术 3、IP协议

2、安全 4、VPN技术 5、SSL、SET协议 第四章 数字证书 1、 数字证书的概念、主要内容、类型及其作用、格式 2、 证书管理机构 3、 证书申请、分发、撤销 第五章 公钥基础设施与应用 1、PKI的概念、PKI平台构成 2、CA结构 3、认证路径的概念 4、什么是CP、CPS 第六章 电子商务安全策略与管理 1、 电子商务安全策略的概念 2、 制定安全策略的原则 3、 制定安全策略考虑的有关项目 4、 网络安全策略、主机安全策略、设施安全策略、数据管理策略、安全交易策略 题型:名词解释、填空、问答、计算题、案例分析 第一章 电子商务安全概述 1、电子商务安全的含义或需求 (1)机密性:信

3、息传输或存储过程中不被窃取、泄露,或未经授权者无法了解其内容。 (2)完整性:信息不被未授权者修改、假冒。 (3)认证性:对电子商务参与者的身份进行确认,保证信息发送与接受者的身份真实性。 (4)不可抵赖性:电子商务交易法律有效性的要求。接收者不可否认已收到信息,发送者不可否认已发送信息。 (5)不可拒绝性:保证授权用户在正常访问信息和其他资源时不被拒绝,为用户提供稳定的服务。 (6)访问控制性:在网络上限制和控制通信链路对主机系统和应用系统的访问;用于保护计算机系统的资源不被未经授权人或未经授权方式接入、使用、修改、破坏、发出指令或植入程序。 (7)匿名性:隐匿参与者身份,保护个人、组织隐私

4、。 n 相关的技术: (1)密码技术:信息安全的核心技术。包括加密、签名认证和密钥管理三大技术。 加密技术:用数学方法对原数据重组,实现信息的保密性。 签名认证:用公钥密码技术,保证信息的真实性,包括信息发送者身份的真实性,信息的完整性和不可否认性。 密钥管理:密码技术的关键。包括密钥的产生、分发、更新、归档、恢复、审计的处理。 (2)网络安全技术: 网络是电子商务基础。包括所有网络基础设施的安全技术,常用的包括防火墙技术、VPN技术、入侵检测技术。 (3)公钥基础设施(Public Key Infrastructure,PKI)技术: 通过认证机构签发、管理数字证书,为电子商务提供一套安全基

5、础平台。 n 电子商务安全技术体系 2、电子商务安全问题有哪些?能举例说明 n 电商网站安全环境与信息泄露(漏洞) n 黑客针对电商网站攻击 n 网上交易服务安全 n 信息安全问题 n 安全管理问题 n 安全法律保障问题 3、电子商务安全的构成 n 从安全等级划分,包括计算机密码安全、局域网安全、互联网安全、信息安全。 n 从电子商务系统划分,包括实体安全、运行安全、信息安全、交易安全。 电子商务 实体安全 运行安全 信息安全 操作系统安风险分析 审计跟踪 备份与恢复 应急 环境安全 设备安全 数据库安全 网络安全 媒体安全 病毒防护 访问控制 加密 鉴别 4、电子商务安全特点 n 基础性 企

6、业实施电子商务的前提条件。 电子商务系统分析设计实施的必不可少的重要内容。 n 系统性 技术:安全技术体系完整程度及安全有效程度。 管理:安全意识及内部监控制度完善程度。 社会:法律体系、监管体系、服务体系、行业规范等完善程度。 个人:社会责任、行为道德、法律意识。 n 相对性 没有不受攻击的系统、攻不破的系统、不出安全问题的系统。 n 动态性 安全攻防技术此消彼长,在对抗中共同发展。 电子商务安全需要持续检查、评估和改进。 n 效用性 用1单位的安全投入保护10个单位的企业利益而不是相反。 第二章 信息安全技术 1. 概念:对称加密,非对称加密,数字签名 对称加密:收发双方相同密钥。 非对称

7、加密:收发双方不同密钥。 数字签名: 在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,和与数据电文有关的任何方法,它可以用于数据电文有关的签字持有人和表明此人认可数据电文所含信息。 2. RSA加密算法计算 原理:找一个大数的质因数很困难 算法: 任选两个很大的质数p、q,取公共模数(加密/解密用)n = pq 任选一个大数e,(1, (p - 1) * (q - 1) ), 与(p - 1) * (q - 1)互质,与 n 共同构成公钥 找一个大数 d, 与n互质, 且使: (d*e - 1) mod (p - 1)*(q - 1) = 0 与 n 共同构成密钥(d,n)

8、。 用模数运算方法和公钥对明文M(0(n-1)加密,得到密文M : M = Me mod n。 用模数运算方法和密钥对密文M解密,得到明文M: M = Md mod n。 例: 加密的明文m = 14 n 选择: p = 5,q = 11, e =3; n 计算: n = pq = 55,(p1)(q1) = 40,d = 27; n 公钥: (3, 55) ;私钥: (27, 55) n 验证:(ed) mod (p1)(q1) = 81 mod 40 = 1; n 加密:m = me mod n = 143 mod 55 = 49; n 解密:m = md mod n = 4927 mod

9、 55 = 14。 n 扩展欧几里德算法 n 求e的乘法逆元d:(e*d 1) mod f = 0 n RSA算例:p = 5,q = 7, e =11, m = 3. n=pq=35, f=(p-1)(q-1)=24 n X1 (1) 1 0 X2 (0) 0 1 X3 (f) 24 11 Y1 (0) 0 1 Y2 (1) 1 -2 Y3 (e) 11 2 Q (X3/Y3) 2 5 T1 (X1-Q*Y1) 1-2*0=1 0-5*1=-5 T2 (X2-Q*Y2) 0-2*1=-2 1-5*(-2)=11 T3 (X3-Q*Y3) 24-2*11=2 11-5*2=1 1 -2 2 -

10、5 11 1 n 加密:m=me mod n=311mod 35 = 12 n 解密:m= md mod n = 1211 mod 35 = 3 如果y3=1,y20,则d=f+y2;如果y3=0,则无逆元 3. 数字签名目的、原理、特点、类型、常用数字签名方法 n 目的: a) 身份鉴别:接收方通过发送方的数字签名能确认发送方的确切身份,但无法伪造。 b) 完整性:信息内容无法篡改。 c) 机密性:信息内容保密,第三方无法知道。 d) 不可抵赖:发送方对已发送的信息无法否认。 n 原理: n e) f) g) h) n i) 数字签名特点 由签名者随信息发出,与信息不可分离。 签名随信息内容

11、改变而不同,可确认信息自发出至接收未做过任何修改。 不可假冒、不可篡改、不可抵赖。 电子签名相关法律仲裁的依据。 数字签名类型 基于数学难题的签名类型 i. DSA数字签名:基于离散对数问题的签名。 ii. RSA数字签名:基于质因数分解问题的签名。 j) 基于签名用户的签名类型 i. 单个用户的数字签名 ii. 多个用户的数字签名 k) 基于数字签名所涉及角色的签名类型 i. 直接数字签名(通信双方) ii. 需仲裁的数字签名(通信双方+第三方/仲裁方) l) 其他签名类型 i. 消息自动恢复的签名 ii. 无消息自动恢复的签名 n 常用数字签名方法: RSA数字签名: RSA+Hash函数

12、数字签名 签名与验证过程: 发送方对消息用Hash函数加密,形成固定长度的数字摘要。 发送方用自己的私钥对数字摘要加密,形成数字签名。 发送方将消息附上数字签名发送给接收方。 接收方用发送方的公钥对数字签名解密,得到数字摘要。 接收方对收到的消息用Hash函数加密,得到数字摘要,并将该摘要与解密得到的数字摘要对比,验证消息是否篡改。 数字签名算法DSA(Digital Signature Algorithm) 椭圆曲线数字签名ECDSA 4. RSA数字签名原理 签名与验证过程 发送方用私钥对消息加密,形成数字签名。 发送方将消息附上数字签名发送给接收方。 接收方用发送方的公钥对数字签名解密,

13、得到消息明文。 接收方将解密得到的消息明文与接收到的消息对比,验证消息是否篡改。 5. 验证技术:目的、身份验证原理 n 目的: a) 完整性 b) 身份鉴别、访问控制 c) 不可否认 验证方法: 6. 基于个人令牌的验证 USB令牌/加密卡: USB接口,有处理和存储能力。内含安全文件系统,可以存储数字证书、密钥和其它机密信息。可应用于存储数字证书、个人机密资料、数字签名、电子商务身份认证、银行在线交易 、安全电子邮件、VPN 、安全通信系统集成、内部系统权限管理。 智能卡(SC卡):含处理器和存储器。类似的信用卡。除接口外,功能与USB-Token类似 PCMCIA卡(PC卡):移动设备网

14、络接入接口。可存储个人及移动设备地址信息,带有加解密功能。允许移动用户通过因特网安全地访问企业网络。 人机界面令牌:手持式移动输入设备,带有输入界面、口令验证。 软件令牌: 在智能卡等硬件设备上安装的、在客户端上运行的,或作为 Web 浏览器插件运行的二进制程序。软件令牌运行时,显示一个用户可以输入个人识别号码的窗口,软件令牌计算其通行代码。该用户可以通过将通行代码输入登录表单而得到认证 。 7. 基于生物特征的验证 a) 生理特征:手形、手纹、指纹、脸型、耳廓、视网膜、虹膜、脉搏。 b) 行为特征:签字、声音、步态。 c) 验证技术:手形识别、指纹识别、面容识别、耳形识别、视网膜识别、虹膜识

15、别、语音识别。统称模式识别。即生物识别系统对生物特征取样,并将其数字化,形成特征模板,保存在数据库中。身份验证时,识别系统提取用户特征,并将它与数据库中相应用户特征模板比较。 8. 基于数字时间戳的验证 a) 由受信任的第三方提供的经加密后形成的凭证,是数字签名的一种应用。 b) 目的:对交易信息的时间验证。 c) 构成:交易信息的数字摘要;DTS机构收到信息的日期和时间; DTS机构的数字签名。 9. 基于数字证书的验证 1.拆封证书 所谓证书的拆封,是验证发行者CA的公钥能否正确解开客户实体证书中的“发行者的数字签名”。两个证书在交换传递之后,要进行拆封,看是否能够拆封。一个证书或证书链的

16、拆封操作,是为了从中获得一个公钥。可示为X1pX1,这为一个中缀操作,其左操作数为一个认证机构的公钥,右操作数则为该认证机构所颁发的一个证书。如果能正确解开,输出结果为用户的公钥。 从证书内容列表中可以看出,证书结构的最后内容是认证机构CA的数字签名,即一个可信任的CA已经在证书上用自己的私钥做了签名。如果用该CA的公钥就可以拆封一个用户实体的证书,那么,这个签名被验证是正确的。因为它证明了这个证书是由权威的、可信任的认证机构所签发。因此,这个实体证书是真实可信的。 2.证书链的验证 所谓证书链的验证,是想通过证书链追溯到可信赖的CA的根。换句话说,要验证签发用户实体证书的CA是否是权威可信的

17、CA,如CFCA。证书链验证的要求是,路径中每个证书从最终实体到根证书都是有效的,并且每个证书都要正确地对应发行该证书的权威可信任性CA。操作表达式为ApAB,指出该操作使用A的公钥,从B的证书中获得B的公钥Bp,然后再通过Bp来解封C的证书。操作的最终结果得到了C的公钥Cp。这就是一个证书链的认证拆封过程。 第三章 互联网安全技术 1、网络层安全、应用层安全、系统安全 互联网安全:网络层安全、应用层安全、系统安全 系统安全:网络终端系统的安全。不依赖应用与网络层安全,包括系统本身即系统环境的安全。 网络层安全:网络终端之间的通信安全,不包括终端系统内部的安全问题。从最终系统角度提高网络安全。

18、不依赖最终系统安全。 应用层安全:互联网应用程序内部的安全。不依赖于网络层安全。 2、防火墙技术 n 目的:通过访问控制将可信网络与不可信网络隔离外部防火墙;也可用于在内部网不同的子网之间或关键设备进行隔离 内部防火墙。 n 特点:被隔离网络之间的唯一出入口;有较强的抗攻击能力;能根据安全策略,控制出入网络的信息流。 n 功能: l 过滤不安全的服务和非法用户; l 控制对特殊站点的访问,限制内部重点或敏感或漏洞网络/站点的安全问题对全局网络造成的影响;防止内部信息外泄。 l 对网络访问进行集中监控和审计; l 抗攻击能力:IP地址假冒攻击、病毒攻击、口令探询攻击、邮件炸弹攻击等等。 n 局限

19、:不能防范拨号连接的访问、携带病毒的文件/软件/数据的攻击、内部攻击。 n 基本类型: 数据包过滤型防火墙: 应用:安装在路由器,通常与应用网关配合使用,适用安全性要求较低的小型电子商务系统。 应用层网关(Application Level Gateway)型防火墙 应用:安装在专用网络工作站上 代理服务(Proxy Service)型防火墙克服了包过滤防火墙和应用代理服务器的局限性 状态检测防火墙: 3、IP协议安全 IP层安全: 实现IP层多种安全服务。 IPsec(IP安全标准)基本功能 在IP层提供安全服务。 选择安全协议。 确定加密算法。 管理加密密钥。 IPsec的特点 可应用于所

20、有的数据通信,内部通信不影响安全处理负荷; 安装IPsec的防火墙可抵制旁路; IPsec在传输层以下,因此对应用透明、用户透明。 可以为单个用户提供安全性。便于建立基于内部网络、互联网络的虚拟网络。 IPsec的应用 应用:远程登录(Telnet)、客户机/服务器应用、电子邮件、文件传输、Web应用。 安全关联SA 两个IPsec系统之间的一个逻辑连接的相关安全信息参数的集合,包括:IPSec协议、协议的操作模式、加密/认证算法、密钥、密钥的生存期等等 AH与ESP协议提供的安全服务 AH的两种模式 传输模式(Transport Mode):仅对上层协议数据和选择的IP头字段提供保护,适用于

21、两个主机之间的端到端通信。 隧道模式(Tunnel Mode):对整个IP数据项提供认证保护。既适用于主机、也适用于安全网关。且当通信双方只要有一方是安全网关时,就必须用隧道模式。 ESP的两种模式 传输模式(Transport Mode):仅对上层协议数据,不包括选择的IP头,适用于两个主机之间。 隧道模式(Tunnel Mode):对整个IP数据项提供认证保护。既适用于主机、也适用于安全网关。且当通信双方只要有一方是安全网关时,就必须用隧道模式。 分组加密协议ESP功能:提供IP数据的机密性、验证性、无连接的完整性、抗重放服务。 认证头协议(AH,Authentication Header

22、 )功能:为IP数据项提供强认证、无连接完整性、数据源认证、抗重放。 4、VPN技术 VPN:Virtual Private Network,虚拟专用网。指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。解决内部网络数据如何在Internet上安全传输问题。 VPN应用:远程用户、公司分支机构、商业伙伴及供应商同公司内部网络建立安全连接,并保证数据安全传输。 VPN原理: 发送进程通过可信任内部网发送明文到VPN服务器。 VPN根据安全策略对数据包加密并附上数字签名,然后VPN服务器对数据包加上新的数据包头,其中包括一些安全信息和参数,对加密后的数据包重新封装,通过

23、Internet上的隧道传输到达目的方的VPN服务器。 目的方VPN服务器解包,核对数字签名,并解密。最后,明文信息通过内部网传输到目的地。 VPN的基本类型 按接入方式 专线VPN。为通过专线接入ISP的用户提供的VPN。 拨号VPN。为拨号方式通过PSTN/ISDN接入ISP的用户提供的VPN。 按VPN业务类型 Intranet VPN。公司总部与分支机构之间通过公共网络建立的VPN。 Access VPN。公司员工或小的分支机构与公司总部之间通过拨号方式建立的VPN。 Extranet VPN。公司与客户、供应商、商业伙伴等等之间通过公共网络建立的VPN。 按VPN应用平台 软件VPN

24、。利用软件VPN产品实现。 硬件VPN。利用VPN专用硬件产品实现。 5、SSL、SET协议 安全套接层协议 (Secure Socket Layer,SSL) SSL处于应用层与传输层之间。对应用层协议(如HTTP、FTP、Telnet等)透明。在应用层协议通信前,即完成加密算法、通信密钥的协商以及服务器认证。之后对应用层协议传输的全部数据都会被加密。 SSL协议的功能 用户和服务器认证。客户机与服务器使用公钥密码技术验证对方的数字证书的合法性。允许它们之间建立加密连接。 数据传输的机密性。SSL协议采用对称和公开密钥技术加密,并且用数字证书进行鉴别。 数据的完整性。SSL采用Hash函数和

25、机密共享的方法提供信息的完整性服务。 安全电子交易协议 (Secure Electronic Transaction,SET) 以信用卡为基础的安全电子支付协议,实现电子商务交易中的加密、认证机制、密钥管理机制,保证在开放网络中使用信用卡在线购物的安全。 SET协议的安全服务 通过加密、双重数字签名,保证支付系统中的支付信息与订购信息的安全性; 通过数字签名,保证数据传输过程中的完整性; 对参与方身份认证;保证参与方的合法性; 不依赖于传输安全技术; SET交易参与方: SET与SSL比较 SET认证要求比较高,要求对所有参与方身份认证。SSL只要求对商户的服务器认证,对客户认证可选。 对商家

26、而言,可免受欺诈。降低运营成本。 对消费者而言,SET保证商户的合法性,并且支付信息对商户保密。 SET对参与各方定义了互操作接口,系统可由不同厂商的产品构筑。 SET要求在各方配置相应的软件,配置成本较高。 SET与SSL结合:商户与消费者之间采用SSL,在于银行之间采用SET。 第四章 数字证书 1、 数字证书的概念、主要内容、类型及其作用、格式 数字证书概念 基于公钥技术、数字签名技术的电子商务参与各方、设备或其他实体的身份证书。由认证机构在确认了数字证书持有者的身份或其他属性并用数字方式签名签发和统一管理。数字证书是公钥技术、数字签名技术广泛应用于电子商务的关键。 主要内容 证书序列号

27、、持有者的名称、公开密钥、有效期、认证机构的名称与数字签名。 类型 个人证书:颁发给个人,用于身份验证和安全电子邮件的数字证书。 服务器证书:颁发给指定Web服务器,用于声明特定的网站服务器是安全的及安全站点的身份。 开发者证书:颁发给软件开发者,并用作其软件身份的数字标识。匹配发布者的身份与软件身份证书。 单位证书: 颁发给单位、组织,包括单位员工。 2、 证书管理机构 3、 证书申请、分发、撤销 数字证书的生成步骤: 数字证书申请人将申请数字证书所需要的数字证书内容信息提供给认证机构。 认证机构确认申请人所提交信息的正确性,这些信息将包含在数字证书中。 由持有认证机构私钥的签证设备给数字证

28、书加上数字签名。 将数字证书的一个副本传送给用户,必要时,用户在收到数字证书后返回确认信息。 将数字证书的一个副本传送到数字证书数据库/目录服务,以便公布。 作为一种可供选择的服务,数字证书的一个副本可以由认证机构或其他实体存档,以加强档案服务、提供证据服务以及不可否认服务。 认证机构将数字证书生成过程中的相关细节,以及其他在数字证书发放过程中的原始活动都记录在审计日志中。 请求撤销数字证书 用户请求撤销自己的数字证书。 认证机构撤销用户的数字证书。 其他人请求撤销数字证书。 认证机构在撤销数字证书后,通过定期公布的数字证书撤销表通知数字证书用户。 第五章 公钥基础设施与应用 1、PKI的概念

29、、PKI平台构成 公钥基础设施PKI(Public Key Infrastructure):指用公钥技术通过认证机构来实施和提供安全服务的具有普适性的安全基础设施。 PKI平台:为PKI体系中的各成员提供安全服务所需要的全部硬件、软件、人力资源、相关政策和操作程序。具体包括: 认证机构CA(Certificate Authority)。PKI的核心。电子商务中权威的、可信赖的、公正的第三方机构,检查核实实体身份,通过数字证书把实体的身份信息与其公钥捆绑在一起,负责颁发、管理所有参与网上活动的实体所需的数字证书。 X.500目录服务器。发布用户的数字证书和数字证书撤销表信息。 Web安全通信平台

30、。包括应用安全保护的Client和www Server(RA、CA服务器、证书作废系统、密钥备份与恢复系统、数字证书数据库、应用接口API)。 安全应用系统。这是指各行业自行开发的各种具体应用系统,如银行、证券的应用系统等。 认证政策、认证规则、运作制度、所涉及的各方法律关系等。 2、CA结构 CA结构: CA认证关系,又称为信任模型。树形层次结构、森林型层次结构、通用结构、Web、用户中心。 5. 2 CA结构树形层次结构有唯一受信任的根认证机构。所有的认证路径都是从根认证机构开始。任何最终实体都只有唯一的一条认证路径。至少包含两个层次:离线根认证机构、在线认证机构特别适合用户团体内部的PK

31、I。RootCACA5. 2 CA结构森林层次结构用户信任由某个外部机构给他们的内部团体签发的数字证书。用户信任由多个独立的认证机构签发的数字证书。证书用户信任CACAxCAqCAr信任CAyCAsCAtCAxCAqCArbcdeCAyCAsfgCAth-7-用户a用户abcdefgh-8-Technology of Electronic Business Security XX年x月x日Technology of Electronic Business Security XX年x月x日 通用结构 有多个独立的完成不同任务或支持不同应用的PKI。 Web结构 浏览器预装了许多CA的公钥证书。浏

32、览器起到这些CA的根CA的作用。可以看作树形/森林层次结构。 以用户为中心的结构 用户自己决定信任的CA。一个用户通过自己担当CA并使其公钥被其他人所认证来建立或参加“信任网”。 3、认证路径的概念:认证机构之间认证(交叉认证)形成的认证链。 4、什么是CP、CPS 证书策略CP X.509v3中定义的证书策略:一套指定的规则,用于说明满足一般安全性要求的数字证书在某个特定的团体里和某一类应用程序中的应用能力。 CP需要得到数字证书的签发方和使用方的共同承认。使用者可以根据证书策略,判断该证书是否适合某个特定的使用目的。一个PKI可以支持多种CP,以满足不同应用的需要。 证书实施说明CPS 规

33、定在认证过程中要遵循的操作程序。内容包括数字证书的复杂性及长度说明等,认证机构的运作方式。 第六章 电子商务安全策略与管理 1、 电子商务安全策略的概念 电子商务安全策略: 企业在电子商务中关于安全的纲领性的条例, 用于指导安全管理,保证电子商务信息安全。 2、 制定安全策略的原则 安全策略制定原则 a) 需求、风险、代价平衡分析的原则 b) 综合性、整体性原则 c) 一致性原则:安全体系与安全需求一致。 d) 易操作性原则:安全体系不能太复杂,影响实施、管理及系统效率。 e) 适应性、灵活性原则:能适应需求及系统的变化。 f) 多重保护原则:安全体系有层次性。 3、 制定安全策略考虑的有关项

34、目 a) 网络系统。 b) 业务。 c) 信息。 d) 用户管理 4、 网络安全策略、主机安全策略、设施安全策略、数据管理策略、安全交易策略 数据管理 当重要数据的文件不再使用时,应先清除数据,再清除或销毁将存储介质。 数据的存储介质,做好保管场所出入的管理,数据用密码保护。 根据需要应对存储介质采取数据加密或物理方法禁止写入等措施。 备份 定期或尽可能频繁地备份。制定数据备份介质的保存办法、保存期限,异地安全保存。 审计 应从安全性、保全性等角度进行审计; 制定审计的方法并制成手册; 定期地进行审计。有安全事故发生或有危险发生的可能性时,应即时进行审计; 提交审计报告; 安全管理员应根据审计结果迅速采取必要的措施。 防止欺诈活动、交易纠纷以及泄露或修改信息的安全策略。 验证商家、客户身份,防止欺诈。 保证交易中的关键文档的机密性、完整性和证据性。对其妥善保存。 检查客户信用。选择最适合防止欺诈的付款形式。 建立交易人员严密授权机制。实现内部交易监督控制。 对电子公布信息实施监控;保护其完整性,防止非法进行修改。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号