旅游电子商务安全管理策略有哪些

A. 景区安全管理有哪些策略

安全是指不受威胁、没有危险、危害、损失。人类的整体与生存环境资源的和谐相处，互相不伤害，不存在危险、危害的隐患, 是免除了不可接受的损害风险的状态。安全是在人类生产过程中，将系统的运行状态对人类的生命、财产、环境可能产生的损害控制在人类能接受水平以下的状态。
近些年来，旅游景区安全事故不断频发，给广大游客带来较为严重的生命财产危险，也在很大程度上影响了旅游景区的可持续发展。那么是什么原因导致景区安全事故频发?旅游景区管理部门该如何对安全事故进行有效的预防与应对呢?本文将对这两个问题进行探讨。
影响景区的安全因素分析
1.安全意识薄弱
主要是指景区管理者与游客的安全意识薄弱。前者主要表现在管理人员工作疏忽、思想麻痹大意，抱着侥幸心理，在节假日安保人员短缺，临时抽调无任何相关工作经验的人员充数，对安全隐患重视不够而引起的安全事故。后者主要包括游客出游前的准备意识与旅游过程中的安全意识。然而许多游客在出行前为自我保护的准备和自救、求救的安排一无所知，就开展探险旅游等高危险旅游活动;而在旅游活动过程中过于兴奋，高估自身应对能力，不遵照景区规定及相关管理人员的指挥，开展具有挑战性且高危的旅游活动而出现的旅游安全事件。
2.交通游线设计与旅游活动组织不合理
从许多景区安全事故中可看出，交通游线与旅游活动组织不合理的破坏性非常大。由于旅游线路设计不合理和疏导管理不畅通，容易导致局部旅游节点过于拥挤，游客相互践踏，非常容易出现安全事故。如2004年北京密云事故与活动组织、游览线路设计密切关系，导致惨案发生。
3.景区设备设施不足
我国许多景区的设备设施较为滞后，主要表现在设备设施不足与维护不及时。具体而言表现在以下几个方面：景区游览设施设备老化、配套不齐全、产品质量不合格;设施设备设计不合理，缺乏设施功能性、实用性考虑;景区游步道、护栏等不安全的设备设施。例如，旅游景区餐饮卫生设施不达标，容易造成游客疾病或食物中毒;景区缺乏卫生医疗设施等;开发探险旅游产品，但相关配套安保设施却未能跟上。
4.社会治安问题
旅游经济活动开展滋生了景区当地的刑事和社会治安问题，最为典型的是违法犯罪，其给游客带来创伤的严重性和影响的广泛性，成为旅游景区安全中最引人注目的表现之一。旅游景区的违法犯罪可分为三类：一是侵犯公私财产类违法犯罪，这类犯罪数量较多，作案范围广，包括盗窃、欺骗、抢劫、敲诈勒索等;二是危害游客的人身安全与财产安全类违法犯罪;三是与性犯罪和毒品、赌博、淫秽有关的违法犯罪。
5.安全管理机制不健全
主要表现在旅游景区管理者与政府主管部门两方面。景区管理者对安全管理的认识不足、安全管理专业人才较少、管理水平较低，导致预警体系、应对方案等管理机制不健全;而政府对景区安全管理不够重视，监管力度较小，尤其是不少私营景区，权责不明晰。
6.突发自然灾害
日益加剧的全球气候变化直接引发了冰雪、洪水、泥石流、滑坡、地震、海啸等自然灾害，这些自然灾害对景区安全管理带来严重的威胁，而当前许多景区对这些自然灾害的应对能力非常薄弱。近年来的印尼海啸、汶川地震等无不对当地旅游景区带来了灾难性的毁灭。
景区安全管理策略探讨
1.增强旅游安全意识
首先，提高旅游景区从业人员的安全意识，尤其是领导干部与管理者，让其充分认识到旅游安全对于旅游业的重要性;其次，通过旅行社、景区网站、景区工作人员等方面的积极宣传来提高游客的安全防范意识。第三，鼓励游客在出行前应有充分的自我保护的准备和自救、求救的安排，即游客的体质和适应力是否适合旅游景区的各种旅游活动，增强游客的景区旅游安全意识。
2.建立健全景区安全管理机制
一方面，景区安全管理应以政府为核心，严格落实领导责任制，坚持安全发展理念，落实安全主体责任。政府应从政策法规上制定景区的安全管理机制，从法律上规定其责任与义务，邀请专家评估旅游景区安全，预测可能发生的安全问题，采取相应的措施，使损失降到最低。另一方面，景区管理部门与旅游从业人员应建立景区安全保障机制，要将景区安全责任到人，积极组织景区管理人员参与相关的培训，加强景区安全保障能力建设。
3.加强政府部门协作
旅游安全管理部门涉及多个政府职能机构，如旅游、工商、交通、林业、环保、安监、水利等诸多部门。景区管理者要主动与这些相关部门加强联系，签订景区安全事故救援协议。当景区安全事件发生时，各部门可以及时提供救助，将景区的损失降低到最小。
4.强化旅游安全保护设施建设与管理
首先，科学设计与合理组织景区游线，并在景区游线地图上明确标明哪些地段可能存在哪些具体的安全隐患，让游客提早针对性做好防范措施，例如在雨雪天气中某些山地景区的部分游线无法正常运营，就应提早告知游客，并适当向游客退费。其次，加强旅游景区安全保护设施的建设与维护，景区内放置的警示牌上应加注英文、日文、韩文等多种语言进行安全提示以提醒自助游的外国游客，并加注景区紧急电话。第三，严格监控景区游客数量，当景区旅游接待设施已经到达阈值，就必须停止接待游客，并根据情况及时启动安全事故初步预案。
5.加强景区安全管理预警系统建设
景区安全预警系统建设具有如下几个主要手段：
第一，利用多种媒介方式及时发布景区安全信息，例如在景区网站、景区内部重要服务节点发布安全提示、出行准备、避免方式与自救方法，及时向旅行团队的负责人电话或短信告知安全提示。
第二，在景区网站、景区门票、景区宣传单上进行危险标注，做出行为规范提醒。第三，通过景区吉祥物的形式在现场发放安全文本材料，建立安全档案，要求人员对安全问题高度重视、突出重点。第四，在景区安全隐患处设立警告牌，并随时检查警告牌的情况，做到及时醒目地提醒游客。
6.建立景区安全应急救援体系
第一，对景区内高风险区域可能发生的安全事故，要科学制定科学合理的事故应急预案及疏散避难对策。
第二，在这些区域应提供简单有效的救生防护设施，并定期组织旅游管理安保人员进行救援演习，熟悉救援程序，掌握相关技术规范及技能要领，以便在事故发生时能为游客提供及时有效的救助。
第三，定期举行必要的景区安全知识与救援技能培训，要增强旅游者和旅游从业人员双方面的安全意识，增强游客自救和景区救援能力。
7.营造良好的旅游环境
第一，旅游景区要严格遵守景区规划，合理设置景区容量，建立生态环境和旅游资源保护制度，防止忽视资源保护的管理方式，从景区收入中拿出固定比例用于旅游资源与生态环境的保护工作。
第二，与工商局等政府部门合作，加强景区内外运营旅游企业的规范化统一管理，营造景区良好的经营与消费环境。
第三，制定治安巡防措施，安排保安对景区内的治安做出规范管理，尤其是对夜间的景区要做好巡逻工作，避免出现重大盗窃、纵火、杀人、投毒、爆炸、骚乱以及蒙骗游客、强拉强卖等违法行为的发生，维护旅游景区的治安秩序。

B. 电子商务安全方面的措施有哪些

适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施，整个系统的安全取决于系统中最薄弱环节的安全水平，这就需要从系统设计上进行全面的考虑，折中选取。

电子商务中的安全措施包括有下述几类：

(1)保证交易双方身份的真实性：常用的处理技术是身份认证，依赖某个可信赖的机构(CA认证中心)发放证书，并以此识别对方。目的是保证身份的精确性，分辨参与者身份的真伪，防止伪装攻击。

(2)保证信息的保密性：保护信息不被泄露或被披露给未经授权的人或组织，常用的处理技术是数据加密和解密，其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。

(3)保证信息的完整性：常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。

(4)保证信息的真实性：常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈，如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等，而不是对付未知的攻击者，其基础是公开密钥加密技术。目前，可用的数字签名算法较多，如RSA数字签名、ELGamal数字签名等。

(5)保证信息的不可否认性：通常要求引入认证中心(CA)进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。

(6)保证存储信息的安全性：规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时，应注意数据的备份和恢复，并采用防火墙技术保护内部网络的安全性。

C. 电子商务安全要素有哪些

电子商务安全要素有以下四点：

1、有效性、真实性

有效性、真实性是指能对信息、实体的有效性。真实性进行鉴别，电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业和国家的经济利益和声誉。如何保证这种电子贸易信息的有效性和真实性成了经营电子商务的前提。

2、机密性

机密性是指保证信息不会泄漏给非授权人或实体电子商务作为一种贸易手段，其信息是个人、企业或国家的商业机密。网络交易必须保证发送者和接受者之间交换信息的保密性，而电子商务建立在一个较为开放的网络环境上，商业保密就成为电子商务全面推广应用的重点保护对象。

3、数据的完整性

数据的完整性要求防止数据非授权的输入、修改、删除或破坏，保证数据的一致性信息的完整性将影响到贸易各方的交易和经营策略，保持这种完整性是电子商务应用的基础，数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。数据传输过程中的信息丢失、信息重发或信息传送次序的差异也会导致贸易各方信息不相同。

4、可靠性、不可抵赖性

可靠性是要求保证合法用户对信息和资源的使用不会遭到不正当的拒绝；不可抵赖性是要求建立有效的责任机制，防止实体否认其行为在互联网上每个人都是匿名的，原发方字发送数据后不能抵赖；接收方在接收数据后也不能抵赖。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已经不可能。

D. 电子商务安全包括哪些方面

电子商务安全要求包括四个方面：

（1）数据传输的安全性。对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。对数据的安全性保护是通过采用数据加密（包括秘密密钥加密和公开密钥加密）来实现的，数字信封技术是结合秘密密钥加密和公开密钥加密技术实现的保证数据安全性的技术。

（2）数据的完整性。对数据的完整性需求是指数据在传输过程中不被篡改。数据的完整性是通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

（3）身份验证。由于网上的通信双方互不见面，必须在交易时（交换敏感信息时）确认对方等真实身份；在涉及到支付时，还需要确认对方的账户信息是否真实有效。身份认证是采用口令字技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

（4）交易的不可抵赖。网上交易的各方在进行数据传输时，必须带有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证。这是通过数字签名技术和数字证书技术来实现的。

电子商务系统安全系统结构包括以下部分：

（1）基本加密算法；

（2）以基本加密算法为基础的CA体系以及数字信封、数字签名等基本安全技术；

（3）以基本加密算法、安全技术、CA体系为基础的各种安全应用协议。

以上部分构成了电子商务的安全体系，在此安全体系之上建立电子商务的支付体系和各种业务应用系统。有关基本加密算法、数字信封、数字签名以及各种安全协议的实现应符合相关标准的规定。

CA认证体系通常以各种基本加密算法为基础，同时采用各种基本安全技术，为上层的安全应用协议提供证书认证功能。

E. 电子商务安全的管理方法有哪些

电子商务的安全技术
1.1 加密技术
加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务.
1.1.1 加密技术的现状
如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准.
另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景.
11.2 常用的加密技术
对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类.
不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管.
不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密.
1.1.3 电子商务领域常用的加密技术
数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致.
数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒.
数字时间戳:是对交易文件的时间信息所采取的安全措施.该网上安全服务项目,由专门的机构提供.时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名.
数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种.
1.2 身份认证技术
在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份.前面所提到的数字时间戳服务和数字证书的发放,也都是由这个认证中心来完成的.
1.3 支付网关技术
支付网关,通常位于公网和传统的银行网络之间(或者终端和收费系统之间),其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密.支付网关技术主要完成通信,协议转换和数据加解密功能,并且可以保护银行内部网络.此外,支付网关还具有密钥保护和证书管理等其它功能(有些内部使用网关还支持存储和打印数据等扩展功能).
2 与电子商务安全有关的协议技术
2.1 SSL协议(Secure Sockets Layer)
SSL协议也叫安全套接层协议,面向连接的协议,是现在使用的主要协议之一,但当初并非为电子商务而设计.该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性.SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP,FTP,TELNET等)以保证应用层数据传输的安全性.由于其独立于应用层协议,在电子交易中常被用来安全传送信用卡号码,但由于它是个面向连接的协议,只适合于点对点之间的信息传输,即只能提供两方的认证,而无法满足现今主流的加入了认证方的三方协作式商务模式,因此在保证信息的不可抵赖性上存在着缺陷.
2.2 SET协议(Secure Electronic Transaction)
SET协议也叫安全电子交易,对基于信用卡进行电子化交易的应用提供了实现安全措施的规则,与SSL协议相比较,做了些改进.在商务安全问题中,往往持卡人希望在交易中对自己的交易信息保密,使之不会被人窃取,商家希望客户的定单真实有效,并且在交易过程中,交易各方都希望验明对方的身份,以防止被欺骗.针对这种情况,Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议,一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准.它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性.由于SET 提供了消费者,商家和银行之间的认证,弥补了SSL的不足,确保了交易数据的安全性,完整性,可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准.
除此之外还有安全超文本传输协议(SHTTP),安全交易技术协议(STT)等.协议为电子商务提供了规范

F. 电子商务的安全策略包括哪些

一、网络节点的安全

1.防火墙

防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。

2.防火墙安全策略

应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

3.安全操作系统

防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。

二、通讯的安全

1.数据通讯

通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于：

(1)客户浏览器端与电子商务WEB服务器端的通讯;

(2)电子商务WEB服务器与电子商务数据库服务器的通讯;

(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。

2.安全链路

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

三、应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件，特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制(最少许可)，程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。

四、用户的认证管理

1.身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

2.CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

五、安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。

对于所有接触系统的人员，按其职责设定其访问系统的最小权限。

按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

G. 旅游电子商务有哪些基础性的管理

降低了旅游企业经营成本。首先,减少企业交换信息的成本。企业之间的信息沟通与交流是企业间形成各种关系的基础,开通电子商务的旅游企业,借助于Internet可以很方便地与其他企业建立网络型商务联系。而这种企业间网络型商务关系形成的直接效果是减少企业的交换信息成本。其次,降低企业的交易成本。

H. 旅游电子商务系统安全威胁类型是什么举例说明

安全威胁

1、信息截获及窃取
在没有加密措施或加密强度较弱的情况下，攻击者可以利用互联网、公共电话网、搭线、电池波辐射范围内安装截收装置等方法，在数据包通过的网关和路由器上截获数据，获取机密信息，也可以通过对信息流量和流向、通信频度和长度等参数进行分析，推断出需要的信息，例如银行帐号、密码及企业机密等信息。
2、信息篡改
当蓄意攻击者掌握了网络信息格式后,通过网络技术手段对网络中传输的报文进行欺骗、拦截和修改后发往目的地，这样就破坏了传输信息的完整性。这种方式主要表现为：篡改授权，使信息变成某个未经授权的人所取得；删除部分消息；修改消息中的部分信息,让接收方对接收的信息不能很好的识别或者接收到一个错误消息。
3、信息假冒
当攻击者掌握网络信息数据规律或解密商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户。主要表现为：伪造电子邮件；假冒他人身份。
4、交易抵赖
这种方式主要表现为：发送消息者否认发送过某些信息；接收消息者否认收到过某些信息；交易中下了订单但是不承认；接收到订单后由于某些原因而不承认本次交易。

比如可以实施的措施：

1、法律措施
在电子商务中，网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。目前制定的有关法律法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》、《电子签名法》等,它们直接约束了计算机安全和电子商务的安全。
2、管理措施
要保证电子商务的安全,行之有效的管理也是必不可少的。电子商务的安全管理是一项复杂的任务,包括了人事管理、密钥管理、软件管理、设备管理、场地管理等多个方面。

I. 移动电子商务有哪些安全问题应对策略有哪些

（一）无线网络自身的安全问题

移动网络自身存在一定的安全性问题，在移动电子商务给使用者带来方便的同时也隐藏着诸多安全问题，如通信被窃听、通信双方身份欺骗与通信内容被篡改等。由于通信媒介的不同，信息的传输与转换也可能造成不安全的隐患。

（二）通信终端的安全问题

目前手持移动设备的安全成胁主要有：移动设备的物理安全，用户身份、账户信息和认证密钥丢失，SIM卡被复制，RFID被解密等方面。

（三）软件病毒造成的安全威胁

目前，手机软件病毒呈加速增长的趋势加重了这种安全威胁，软件病毒会传播非法信息，破坏手机软硬件，导致手机无法正常工作。主要安全问题表现在用户信息、银行账号和密码等被窃等方面。

（四）运营管理漏洞

目前有着众多的移动商务平台，而其明显的特点是平台良莠不齐，用户很难甄别这些运营平台的真伪和优劣。在平台开发过程中一些控制技术缺少论证，在使用过程中往往出现诸多问题，而服务提供者对平台的运营疏于管理，机制不健全，这些都导致了诸多的安全问题。

移动电子商务安全策略

安全问题是移动电子商务服务提供者首要考虑的问题，在开发的初期及运营过程中都必须注重移动商务的安全性，安全策略的开发可以借鉴传统电子商务，但不可忽视自身的特点，只有二者兼顾才能更好的为用户提供安全的交易环境，才能促进移动商务的快速发展。

（一）端到端的安全

数据在传输的过程中，自始至终都必须保障它的安全性、完整性，移动电子商务中的终端设备有不尽相同的操作系统且采用不同标准，这就要求制订安全策略时需考虑企业和客户的实际需求以及移动应用的要求，如性能、可扩展性及系统管理通用性等。安全策略应对商业安全问题产生的影响，系统的制定全局策略。

（二）安全技术防护策略

1.无线公共密钥技术（WPKI）o WPKI可以用来管理公开密钥和数字证书，它确保了数据传输路径真正的端到端安全及可信交易，可信的WPKI还能够使企业实施非复制功能，并能保证信息的不可抵赖性。

2.CA认证中心。通过对密钥进行有效管理，并发数字证书证明密钥的有效性，将公开密钥与使用移动电子商务的企业和用户结合，利用数字证书、数字签名、加密算法等加密技术，建立起加解密和认证系统，防止电子商务交易中一些重要数据在传输过程中被窃取篡改与欺诈等问题的威胁，确保电子商务交易安全进行，并保障支付安全。

3.防病毒技术。防病毒技术主要做到病毒查杀、新病毒迅速反应、病毒实时监测、快速方便的升级与系统兼容性等方面，以保证移动设备终处于较好较稳定的工作状态。

（三）安全管理策略

1.规范行业管理。为了保证移动电子商务交易的高效与可靠，必须建立一个移动电子商务行业的安全标准，并提高交易各方的安全意识。建立交易过程中的相互作用机制，以促进健康，快速发展的移动电子商务。

2.完善相关法律。国家应在已经建立的法律法规基础之上逐步完善移动电子商务相关法律和制度，明确行业政策导向，保障公平的竞争环境。随着更有意义的安全法律制定，双方可以放心地参与方便，快捷，安全的移动电子商务活动纠。