【正文】 但是SET協(xié)議十分復(fù)雜，交易數(shù)據(jù)需進(jìn)。它位于應(yīng)用層，其認(rèn)證體系十分完善，能實(shí)現(xiàn)多方認(rèn)證。SET協(xié)議保證了電子商務(wù)系統(tǒng)的機(jī)密性、數(shù)據(jù)的完整性、身份的合法性。SET協(xié)議用于劃分與界定電子商務(wù)活動中消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系，給定交易信息傳送流程標(biāo)準(zhǔn)。SSL警報(bào)協(xié)議用來在客戶和服務(wù)器之間傳遞SSL出錯信息。當(dāng)客戶與服務(wù)器第一次通信時，雙方通過握手協(xié)議在版本號、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達(dá)成一致，然后互相驗(yàn)證對方身份，最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個只有雙方知道的秘密信息，客戶和服務(wù)器各自根據(jù)此秘密信息產(chǎn)生數(shù)據(jù)加密算法和Hash算法參數(shù)。SSL協(xié)議位于傳輸層和應(yīng)用層之間，由SSL記錄協(xié)議、SSL握手協(xié)議和SSL警報(bào)協(xié)議組成的。比較成熟的協(xié)議有SET、SSL等。（三）電子商務(wù)的安全協(xié)議。任何需要用戶公鑰的人都可以得到此證書，并通過相關(guān)的信任簽名來驗(yàn)證公鑰的有效性。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公鑰擁有者信息以及公鑰的文件數(shù)字證書的最主要構(gòu)成包括一個用戶公鑰，加上密鑰所有者的用戶身份標(biāo)識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權(quán)威機(jī)構(gòu)（CA），如政府部門和金融機(jī)構(gòu)。數(shù)字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認(rèn)證、核準(zhǔn)和生效的作用。認(rèn)證技術(shù)是用電子手段證明發(fā)送者和接收者身份及其文件完整性的技術(shù)，即確認(rèn)雙方的身份信息在傳送或存儲過程中未被篡改過。信息交換的過程是：甲方生成一對密鑰并將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進(jìn)行加密后再發(fā)送給甲方，甲方再用自己保存的私鑰對加密信息進(jìn)行解密。（2）非對稱加密。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。（1）對稱加密。加密技術(shù)是電子商務(wù)采取的基本安全措施，交易雙方可根據(jù)需要在信息交換的階段使用。商務(wù)交易安全措施各種商務(wù)交易安全服務(wù)都是通過安全技術(shù)來實(shí)現(xiàn)的，主要包括加密技術(shù)、認(rèn)證技術(shù)和電子商務(wù)安全協(xié)議等。（3）建立詳細(xì)的安全審計(jì)日志，以便檢測并跟蹤入侵攻擊等。（2）技術(shù)與管理相結(jié)合，使系統(tǒng)具有最小穿透風(fēng)險性。保護(hù)系統(tǒng)安全，是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進(jìn)行安全防護(hù)，它與網(wǎng)絡(luò)系統(tǒng)硬件平臺、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)。應(yīng)用層上的安全業(yè)務(wù)可以涉及認(rèn)證、訪問控制、機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。由于電子商務(wù)中的應(yīng)用層對安全的要求最嚴(yán)格、最復(fù)雜，因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。保護(hù)應(yīng)用安全，主要是針對特定應(yīng)用（如Web服務(wù)器、網(wǎng)絡(luò)支付專用軟件系統(tǒng)）所建立的安全防護(hù)措施，它獨(dú)立于網(wǎng)絡(luò)的任何其他安全防護(hù)措施。（7）建立可靠的識別和鑒別機(jī)制。（5）注意對網(wǎng)絡(luò)設(shè)備的物理保護(hù)。（3）使用防火墻。保護(hù)網(wǎng)絡(luò)安全的主要措施如下：（1）全面規(guī)劃網(wǎng)絡(luò)平臺的安全策略。網(wǎng)絡(luò)安全是為保護(hù)商務(wù)各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的安全性。計(jì)算機(jī)網(wǎng)絡(luò)安全措施計(jì)算機(jī)網(wǎng)絡(luò)安全措施主要包括保護(hù)網(wǎng)絡(luò)安全、保護(hù)應(yīng)用服務(wù)安全和保護(hù)系統(tǒng)安全三個方面，各個方面都要結(jié)合考慮安全防護(hù)的物理安全、防火墻、信息安全、Web安全、媒體安全等等。安全對策電子商務(wù)的一個重要技術(shù)特征是利用計(jì)算機(jī)技術(shù)來傳輸和處理商業(yè)信息。（3）假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠(yuǎn)端用戶通常很難分辨。（2）篡改信息當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。（二）計(jì)算機(jī)商務(wù)交易安全的內(nèi)容包括：（1）竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。（5）缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。（4）安全產(chǎn)品使用不當(dāng)雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。（3）拒絕服務(wù)（DoS，Denial　of　Service）攻擊隨著電子商務(wù)的興起，對網(wǎng)站的實(shí)時性要求越來越高，DoS或DDoS對網(wǎng)站的威脅越來越大。網(wǎng)絡(luò)軟件的漏洞和“后門”　是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。（一）計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：（1）未進(jìn)行操作系統(tǒng)相關(guān)安全配置不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。一個安全有效的計(jì)算機(jī)信息系統(tǒng)可以同時支持機(jī)密性、真實(shí)性、可控性、可用性這四個核心安全屬性，而提供信息安全業(yè)務(wù)的基本目標(biāo)就是幫助信息系統(tǒng)實(shí)現(xiàn)上述全部或大部分內(nèi)容。身份認(rèn)證技術(shù)用來確定訪問或介入信息系統(tǒng)用戶或者設(shè)備身份的合法性的技術(shù)，典型的手段有用戶名口令、身份識別、PKI證書和生物認(rèn)證等。安全檢測與監(jiān)控技術(shù)對信息系統(tǒng)中的流量以及應(yīng)用內(nèi)容進(jìn)行二至七層的檢測并適度監(jiān)管和控制，避免網(wǎng)絡(luò)流量的濫用、垃圾信息和有害信息的傳播。安全審計(jì)技術(shù)包含日志審計(jì)和行為審計(jì)，通過日志審計(jì)協(xié)助管理員在受到攻擊后察看網(wǎng)絡(luò)日志，從而評估網(wǎng)絡(luò)配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，并能為實(shí)時防御提供手段。從根源解決信息泄密?！鬌G圖文檔加密:能夠智能識別計(jì)算機(jī)所運(yùn)行的涉密數(shù)據(jù)，并自動強(qiáng)制對所有涉密數(shù)據(jù)進(jìn)行加密操作，而不需要人的參與。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機(jī)密性、可審計(jì)性及存取控制與用戶身份識別等?！羧肭址烙到y(tǒng)（IPS）：入侵防御，入侵防御系統(tǒng)作為IDS很好的補(bǔ)充，是信息安全發(fā)展過程中占據(jù)重要位置的計(jì)算機(jī)網(wǎng)絡(luò)硬件。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)，將成為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件。◆電子簽證機(jī)構(gòu)CA和PKI產(chǎn)品：電子簽證機(jī)構(gòu)（CA）作為通信的第三方，為各種服務(wù)提供可信任的認(rèn)證服務(wù)。VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。網(wǎng)絡(luò)安全隔離與防火墻的區(qū)別可參看參考資料。隔離卡主要用于對單臺機(jī)器的隔離，網(wǎng)閘主要用于對于整個網(wǎng)絡(luò)的隔離。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。主要技術(shù)有：包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)?！舴阑饓Γ悍阑饓υ谀撤N意義上可以說是一種訪問控制產(chǎn)品。面對日趨嚴(yán)重的網(wǎng)絡(luò)上犯罪，必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動。計(jì)算機(jī)網(wǎng)絡(luò)是一種新生事物。用戶對自身面臨的威脅進(jìn)行風(fēng)險評估，決定其所需要的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，形成一個全方位的安全系統(tǒng)；◆嚴(yán)格的安全管理。實(shí)現(xiàn)信息安全，不但靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的安全管理，法律約束和安全教育：◆DG圖文檔加密：能夠智能識別計(jì)算機(jī)所運(yùn)行的涉密數(shù)據(jù)，并自動強(qiáng)制對所有涉密數(shù)據(jù)進(jìn)行加密操作，而不需要人的參與，體現(xiàn)了安全面前人人平等，從根源解決信息泄密。信息系統(tǒng)安全涉及政策法規(guī)、教育、管理標(biāo)準(zhǔn)、技術(shù)等方面，任何單一層次的安全措施都不能提供全方位的安全，安全問題應(yīng)從系統(tǒng)工程的角度來考慮。（2）操作，主要包括加強(qiáng)機(jī)制和方法、糾正運(yùn)行缺陷、各種威脅造成的運(yùn)行缺陷、物理進(jìn)入控制、備份能力、免予環(huán)境威脅的保護(hù)。美國NIST將信息安全控制分為3類。英國計(jì)算機(jī)科學(xué)之父阿蘭埃及人在石碑上鐫刻了令人費(fèi)解的象形文字；斯巴達(dá)人使用一種稱為密碼棒的工具傳達(dá)軍事計(jì)劃，羅馬時代的凱撒大帝是加密函的古代將領(lǐng)之一，“凱撒密碼”據(jù)傳是古羅馬凱撒大帝用來保護(hù)重要軍情的加密系統(tǒng)。嗅探器可以竊聽網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包。(19)業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等等。(17)物理侵入：侵入者繞過物理控制而獲得對系統(tǒng)的訪問。(15)人員不慎：一個授權(quán)的人為了某種利益，或由于粗心，將信息泄露給一個非授權(quán)的人。(13)重放：出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝，而重新發(fā)送。(11)陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時，允許違反安全策略。(10)特洛伊木馬：軟件中含有一個覺察不出的有害的程序段，當(dāng)它被執(zhí)行時，會破壞用戶的安全。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。黑客大多是采用假冒攻擊。(6)業(yè)務(wù)流分析：通過對系統(tǒng)進(jìn)行長期監(jiān)聽，利用統(tǒng)計(jì)分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律。(5)竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。(3)拒絕服務(wù)：對信息或其他資源的合法訪問被無條件地阻止。安全威脅(1)信息泄露：信息被泄露或透露給某個非授權(quán)的實(shí)體?！舨豢傻仲囆裕航⒂行У呢?zé)任機(jī)制，防止用戶否認(rèn)其行為，這一點(diǎn)在電子商務(wù)中是極其重要的?！敉暾裕罕ＷC數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。五、主要威脅實(shí)現(xiàn)目標(biāo)◆真實(shí)性：對信息的來源進(jìn)行判斷，能對偽造來源的信息予以鑒別。資源控制通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；限制單個用戶對系統(tǒng)資源的最大或最小使用限度；當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時，能檢測和報(bào)警。剩余信息保護(hù)保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報(bào)警；能夠?qū)χ匾绦蛲暾赃M(jìn)行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新?？尚怕窂皆谙到y(tǒng)對用戶進(jìn)行身份鑒別時，系統(tǒng)與用戶之間能夠建立一條安全的信息傳輸路徑。網(wǎng)絡(luò)設(shè)備防護(hù)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；主要網(wǎng)絡(luò)設(shè)備對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別主機(jī)身份鑒別對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；自主訪問控制依據(jù)安全策略控制主體對客體的訪問。網(wǎng)絡(luò)入侵防范在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等入侵事件的發(fā)生；當(dāng)檢測到入侵事件時，記錄入侵源IP、攻擊類型、攻擊目的、攻擊時間等，并在發(fā)生嚴(yán)重入侵事件時提供報(bào)警（如可采取屏幕實(shí)時提示、Email告警、聲音告警等幾種方式）及自動采取相應(yīng)動作。撥號訪問控制不開放遠(yuǎn)程撥號訪問功能（如遠(yuǎn)程撥號用戶或移動VPN用戶）。10)管理地址泄露檢測Web網(wǎng)站是否存在管理地址泄露功能，如果存在此漏洞，攻擊者可輕易獲得網(wǎng)站的后臺管理地址。8)數(shù)據(jù)庫泄露檢測Web網(wǎng)站是否在數(shù)據(jù)庫泄露的漏洞，如果存在此漏洞，攻擊者通過暴庫等方式，可以非法下載網(wǎng)站數(shù)據(jù)庫。6)源代碼泄露檢測Web網(wǎng)絡(luò)是否存在源代碼泄露漏洞，如果存在此漏洞，攻擊者可直接下載網(wǎng)站的源代碼。4)緩沖區(qū)溢出檢測Web網(wǎng)站服務(wù)器和服務(wù)器軟件，是否存在緩沖區(qū)溢出漏洞，如果存在，攻擊者可通過此漏洞，獲得網(wǎng)站或服務(wù)器的管理權(quán)限。2)XSS跨站腳本檢測Web網(wǎng)站是否存在XSS跨站腳本漏洞，如果存在該漏洞，網(wǎng)站可能遭受Cookie欺騙、網(wǎng)頁掛馬等攻擊。它是通過技術(shù)手段對網(wǎng)站進(jìn)行漏洞掃描，檢測網(wǎng)頁是否存在漏洞、網(wǎng)頁是否掛馬、網(wǎng)頁有沒有被篡改、是否有欺詐網(wǎng)站等，提醒網(wǎng)站管理員及時修復(fù)和加固，保障web網(wǎng)站的安全運(yùn)行。對政府及企業(yè)的各種敏感數(shù)據(jù)文檔，包括設(shè)計(jì)文檔、設(shè)計(jì)圖紙、源代碼、營銷方案、財(cái)務(wù)報(bào)表及其他各種涉及企業(yè)商業(yè)秘密的文檔，都能實(shí)現(xiàn)穩(wěn)妥有效的保護(hù)。安全軟件數(shù)據(jù)安全保護(hù)系統(tǒng)能夠?qū)崿F(xiàn)數(shù)據(jù)文檔的透明加解密保護(hù)，可指定類型文件加密、指定程序創(chuàng)建文件加密，杜絕文檔泄密。終端方案終端安全解決方案是以終端安全保護(hù)系統(tǒng)全方位綜合保障終端安全，并以數(shù)據(jù)安全保護(hù)系統(tǒng)重點(diǎn)保護(hù)終端敏感數(shù)據(jù)的安全。三、產(chǎn)品信息安全產(chǎn)業(yè)將步入高速發(fā)展階段，而整個互聯(lián)網(wǎng)用戶對安全產(chǎn)品的要求也轉(zhuǎn)入“主動性安全防御”。信息產(chǎn)業(yè)鏈上下游行業(yè)在綜合實(shí)力、產(chǎn)品成熟度、產(chǎn)品國際市場占有率等方面，與國際先進(jìn)企業(yè)相比差距較大。中國信息安全產(chǎn)業(yè)與國際先進(jìn)水平相比差距很大。在系統(tǒng)安全方面，以提高防御、應(yīng)急處置能力為主的傳統(tǒng)安全管理已經(jīng)不能適應(yīng)新計(jì)算、新網(wǎng)絡(luò)、新應(yīng)用和新數(shù)據(jù)為新特征的信息安全產(chǎn)業(yè)發(fā)展的需要。學(xué)生除要完成信息安全體系不同層次上的各種實(shí)驗(yàn)和課程設(shè)計(jì)外，還將在畢業(yè)設(shè)計(jì)中接受嚴(yán)格訓(xùn)練。學(xué)生除學(xué)習(xí)理工專業(yè)公共基礎(chǔ)課外，學(xué)習(xí)的專業(yè)基礎(chǔ)和專業(yè)課主要有：高等數(shù)學(xué)、線性代數(shù)、計(jì)算方法、概率論與數(shù)理統(tǒng)計(jì)、計(jì)算機(jī)與算法初步、C++語言程序設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)與算法、計(jì)算機(jī)原理與匯編語言、數(shù)據(jù)庫原理、操作系統(tǒng)、大學(xué)物理、集合與圖論、代數(shù)與邏輯、密碼學(xué)原理、編碼理論、信息論基礎(chǔ)、信息安全體系結(jié)構(gòu)、軟件工程、數(shù)字邏輯、計(jì)算機(jī)網(wǎng)絡(luò)等。不難看出，單一的保密措施已很難保證通信和信息的安全，必須綜合應(yīng)用各種保密措施，即通過技術(shù)的、管理的、行政的手段，實(shí)現(xiàn)信源、信號、信息三個環(huán)節(jié)的保護(hù)，藉以達(dá)到秘密信息安全的目的。傳輸信息的方式很多，有局域計(jì)算機(jī)網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫，有蜂窩式無線、分組交換式無線、衛(wèi)星電視會議、電子郵件及其它各種傳輸技術(shù)。在20世紀(jì)后50年中，從社會所屬計(jì)算機(jī)中了解一個社會的內(nèi)幕，正變得越來越容易。與此同時，國外敵對勢力為了竊取中國的政治、軍事、經(jīng)濟(jì)、科學(xué)技術(shù)等