第一篇：電子商務安全案例總結(jié)

電子商務安全案例總結(jié)

電子商務從產(chǎn)生至今雖然時間不長，但發(fā)展十分迅速，已經(jīng)引起各國政府和企業(yè)的廣泛關注和參與。但是，由于電子商務交易平臺的虛擬性和匿名性，其安全問題也變得越來越突出，近些年的案例層出不窮。

1.臺灣黑客對某政府網(wǎng)站的攻擊（1999年8月） 該網(wǎng)站運行的系統(tǒng)是SunOS，版本比較舊。當時大陸黑客出于對李登輝“quot;兩國論”quot;謬論的憤慨，為譴責李登輝的分裂行徑，于8月份某日，一夜之間入侵了數(shù)十個臺灣政府站點。臺灣黑客采取了報復行動，替換了這個網(wǎng)站的首頁。經(jīng)本站技術人員P分析，在該系統(tǒng)上實際存在至少4個致命的弱點可以被黑客利用。其中有兩個RPC守護進程存在緩沖區(qū)溢出漏洞，一個CGI程序也有溢出錯誤。對這些漏洞要采用比較特殊的攻擊程序。但臺灣黑客并沒有利用這些比較高級的攻擊技巧，而是從一個最簡單的錯誤配置進入了系統(tǒng)。原來，其缺省帳號infomix的密碼與用戶名相同!這個用戶的權限足以讓臺灣黑客對web網(wǎng)站為所欲為。從這件事情可以看出，我們有部分系統(tǒng)管理員不具備最起碼的安全素質(zhì)。

2.東亞某銀行（1999年12月）

該網(wǎng)站為WindowsNT 4.0，是這個國家最大的銀行之一。該網(wǎng)站BankServer實際上有兩道安全防線，首先在其路由器的訪問控制表中(ACL)做了嚴格的端口過濾限制，只允許對80、443、65300進行incoming訪問，另一道防火墻為全世界市場份額最大的軟件防火墻FW，在FW防火墻上除了端口訪問控制外，還禁止了很多異常的、利用已知CGI bug的非法調(diào)用。在12月某日，該銀行網(wǎng)站的系統(tǒng)管理員Ymouse(呢稱)突然發(fā)現(xiàn)在任務列表中有一個殺不死的CMD.exe進程，而在BankServer系統(tǒng)上并沒有與CMD.exe相關的服務。該系統(tǒng)管理員在一黑客聊天室向本站技術人員F求救。F認為這是一個典型的NT系統(tǒng)已經(jīng)遭受入侵的跡象。通過Email授權，F(xiàn)開始分析該系統(tǒng)的安全問題，從外部看，除004km.cning的可疑通信，卻發(fā)現(xiàn)BankServer正在向外連接著另一臺NT服務器Wserver的139端口。通過進一步的分析，證實有人從BankServer登錄到了Wserver的C盤。Wserver是一臺韓國的NT服務器，不受任何安全保護的裸機。F對Wserver進行了一次簡單的掃描，結(jié)果意外地發(fā)現(xiàn)Wserver的管理員帳號的密碼極為簡單，可以輕易獲取對該系統(tǒng)的完全控制。更令人吃驚的是，在這臺韓國的服務器的C盤上，保存著上面提到的東亞某銀行的一個重要數(shù)據(jù)庫文件！更多的文件正在從BankServer上往這臺韓國的Wserver上傳送！

3.借刀殺人，破壞某電子公司的數(shù)據(jù)庫(2001年2月12日)1999年11月該網(wǎng)站運行于Windows NT 4.0上,web server為IIS4.0,補丁號為Service Pack5。該網(wǎng)站管理員在11月的某一天發(fā)現(xiàn)其web網(wǎng)站上的用戶資料和電子配件數(shù)據(jù)庫被入侵者完全刪除!嚴重之處更在于該數(shù)據(jù)庫沒有備份，網(wǎng)站運行半年來積累的用戶和資料全部丟失。系統(tǒng)管理員反復檢查原因，通過web日志發(fā)現(xiàn)破壞者的調(diào)用web程序記錄，確定了當時用戶的IP是202.103.xxx.xxx(出于眾所周知的原因這里隱藏了后兩位)，而這個IP來自于某地一個ISP的一臺代理服務器。這個202.103.xxx.xx的服務器安裝了Wingate的代理軟件。破壞者瀏覽電子公司的網(wǎng)站是用該代理訪問的。這件事情給電子公司帶來的損失是很嚴重的，丟失了半年的工作成果。入侵者同時給202.103.xxx.xxx帶來了麻煩，電子公司報了案，協(xié)查通報到了202.103.xxx.xxx這個ISP所在地的公安局。該代理服務器的系統(tǒng)管理員是本站一位技術人員F的朋友。F通過對受害者的服務器進行安全檢查發(fā)現(xiàn)了原因。首先，其端口1433為開放，SQL數(shù)據(jù)庫服務器允許遠程管理訪問；其次，其IIS服務器存在ASP的bug，允許任何用戶查看ASP源代碼，數(shù)據(jù)庫管理員帳號sa和密碼以明文的形式存在于ASP文件中。有了這兩個條件，破壞者可以很容易地連上SQL數(shù)據(jù)庫，以最高身份對數(shù)據(jù)庫執(zhí)行任意操作。對于該漏洞的補丁，請下載本站的ASP bug補丁修復程序。

4.熊貓燒香（2006年12月）

2006年12月初,我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種.一只憨態(tài)可掬,頷首敬香的“熊貓”在互聯(lián)網(wǎng)上瘋狂“作案”.在病毒卡通化的外表下,隱藏著巨大的傳染潛力,短短三四個月,“燒香”潮波及上千萬個人用戶,網(wǎng)吧及企業(yè)局域網(wǎng)用戶,造成直接和間接損失超過1億元.2007年2月3日,“熊貓燒香”病毒的制造者李俊落網(wǎng).李俊向警方交代,他曾將“熊貓燒香”病毒出售給120余人,而被抓獲的主要嫌疑人僅有6人,所以不斷會有“熊貓燒香”病毒的新變種出現(xiàn).李俊處于鏈條的上端,其在被抓捕前,不到一個月的時間至少獲利15萬元.而在鏈條下端的涉案人員張順目前已獲利數(shù)十萬了.一名涉案人員說,該產(chǎn)業(yè)的利潤率高于目前國內(nèi)的房地產(chǎn)業(yè).有了大量盜竊來的游戲裝備,賬號,并不能馬上兌換成人民幣.只有通過網(wǎng)上交易,這些虛擬貨幣才得以兌現(xiàn).盜來的游戲裝備,賬號,QQ賬號甚至銀行卡號資料被中間批發(fā)商全部放在網(wǎng)上游戲交易平臺公開叫賣.一番討價還價后,網(wǎng)友們通過網(wǎng)上銀行將現(xiàn)金轉(zhuǎn)賬,就能獲得那些盜來的網(wǎng)絡貨幣.李俊以自己出售和由他人代賣的方式,每次要價500元至1000元不等,將該病毒銷售給120余人,非法獲利10萬余元.經(jīng)病毒購買者進一步傳播,該病毒的各種變種在網(wǎng)上大面積傳播.據(jù)估算,被“熊貓燒香”病毒控制的電腦數(shù)以百萬計

5.華碩官方網(wǎng)站遭黑客攻擊 公司被迫關閉服務器（2011年4月6日）

Exploit Prevention Labs的首席技術官羅杰-湯姆森（Roger Thompson）透露，該代碼隱藏在網(wǎng)站主頁的一個HTML元素中，并試圖從另一臺服務器上下載惡意代碼。截止周五下午，這臺服務器已經(jīng)停止工作，雖然黑客們還可轉(zhuǎn)移攻擊目標，不過此次攻擊的危險性已經(jīng)下降。4月6日據(jù)外電報道電腦零部件生產(chǎn)商華碩的網(wǎng)站遭到黑客攻擊，黑客利用本周才修復的一個Windows系統(tǒng)中的緊急漏洞，通過該網(wǎng)站的服務器發(fā)送惡意代碼。Exploit Prevention Labs的首席技術官羅杰-湯姆森（Roger Thompson）透露，該攻擊代碼隱藏在網(wǎng)站主頁的一個HTML元素中，并試圖從另一臺服務器上下載惡意代碼。截止周五下午，這臺服務器已經(jīng)停止工作，雖然黑客們還可轉(zhuǎn)移攻擊目標，不過此次攻擊的危險性已經(jīng)下降。

通過上述案例可以看出隨著互聯(lián)網(wǎng)和電子商務的快速發(fā)展,利用網(wǎng)絡犯罪的行為會大量出現(xiàn),為了保證電子商務的順利發(fā)展,法律保障是必不可少的.目前對我國的網(wǎng)絡立法明顯滯后,如何保障網(wǎng)絡虛擬財物還是個空白.除了下載補丁,升級殺毒軟件外,目前還沒有一部完善的法律來約束病毒制造和傳播,更無法來保護網(wǎng)絡虛擬錢幣的安全.電子商務交易安全的一些典型技術和協(xié)議都是對有關電子商務交易安全的外部防范，但是要想使一個商用網(wǎng)絡真正做到安全，不僅要看它所采用的防范措施，而且還要看它的管理措施。只有將這兩者綜合起來考察，才能最終得出該網(wǎng)絡是否安全的結(jié)論。因此，只有每個電子商務系統(tǒng)的領導、網(wǎng)絡管理員和用戶都能提高安全意識，健全并嚴格有關網(wǎng)絡安全措施，才能在現(xiàn)有的技術條件下，將電子商務安全風險降至最低.

第二篇：電子商務安全案例分析及總結(jié)

c(2011-10-28 14:43:48)轉(zhuǎn)載雜談 ▼

標簽：

互聯(lián)網(wǎng)的發(fā)展及全面普及，給現(xiàn)代商業(yè)帶來了新的發(fā)展機遇，基于互聯(lián)網(wǎng)的電子商務應運而生，并成為一種新的商務模式。以互聯(lián)網(wǎng)為基礎的這種新的商務模式，也存在著許多亟待解決的問題。調(diào)查顯示，網(wǎng)絡安全、互聯(lián)網(wǎng)基礎設施建設等九大問題是阻礙電子商務發(fā)展的主要因素。其中，安全問題被調(diào)查對象列在首位人們在享受電子商務帶來極大方便的同時，也經(jīng)常會被安全問題所困擾，安全問題成為電子商務的核心問題。

案例一：計算機病毒事件時常發(fā)生如：2006年12月初,我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種.一只憨態(tài)可掬,頷首敬香的“熊貓”在互聯(lián)網(wǎng)上瘋狂“作案”.在病毒卡通化的外表下,隱藏著巨大的傳染潛力,短短三四個月,“燒香”潮波及上千萬個人用戶,網(wǎng)吧及企業(yè)局域網(wǎng)用戶,造成直接和間接損失超過1億元，計算機網(wǎng)絡設備，電子商務依賴計算機系統(tǒng)的正常運行得以開展業(yè)務，網(wǎng)絡設備本身的物理故障，將導致電子商務無法正常進行；網(wǎng)絡惡意攻擊，使得網(wǎng)絡被破壞、導致系統(tǒng)癱瘓。由此可見，網(wǎng)絡一方面給我們帶來方便，另一方面也給我們帶來了不可估量的損失，來自網(wǎng)絡的安全威脅是實際存在的，特別是在網(wǎng)絡上運行關鍵業(yè)務時，網(wǎng)絡安全是首先要解決的問題。

案例二：作為高科技犯罪的典型代表之一，銀行網(wǎng)絡安全事故近兩年來在國內(nèi)頻頻發(fā)生。去年年末，互聯(lián)網(wǎng)上連續(xù)出現(xiàn)的假銀行網(wǎng)站事件曾經(jīng)轟動一時。一個行標、欄目、新聞、圖片樣樣齊全的假冒中國銀行網(wǎng)站，竟然成功劃走了呼和浩特一名市民銀行卡里的2.5萬元。且隨后不久，假工行、假農(nóng)行、假銀聯(lián)網(wǎng)站也相繼跟風出現(xiàn)。而早在2003年下半年，我國香港地區(qū)也曾出現(xiàn)不法分子偽冒東亞、花旗、匯豐、寶源投資及中銀國際網(wǎng)站。由此可知，交易隱患是困擾電子商務正常健康交易的最大障礙。在交易過程中，常存在以下隱患。假冒問題，攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，進行信息欺詐與信息破壞，從而獲得非法利益

案例三：有些人有了大量盜竊來的游戲裝備,賬號,并不能馬上兌換成人民幣.只有通過網(wǎng)上交易,這些虛擬貨幣才得以兌現(xiàn).盜來的游戲裝備,賬號,QQ賬號甚至銀行卡號資料被中間批發(fā)商全部放在網(wǎng)上游戲交易平臺公開叫賣.一番討價還價后,網(wǎng)友們通過網(wǎng)上銀行將現(xiàn)金轉(zhuǎn)賬,就能獲得那些盜來的網(wǎng)絡貨幣?？梢娪行┤顺脵C而入利用網(wǎng)路的虛擬性來謀取個人的利益，我們生活中常常會不知不覺上當受騙，甚至不會想到你自己也會成為目標的時候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極大的損失。選擇適當?shù)募夹g和產(chǎn)品，制訂靈活的網(wǎng)絡安全策略，在保證網(wǎng)絡安全的情況下，提供靈活的網(wǎng)絡服務通道。

案例四：我們身邊時常發(fā)生一些有關電子商務的安全問題：隨著網(wǎng)絡的迅速發(fā)展不斷有用戶投訴密碼被更改，郵箱郵件被別人收走。還有的欄目信息被入侵者修改，換成莫名其妙的內(nèi)容，更猖狂的是，該入侵者居然公然加了一個自己的帳號，并將其設置為管理員。經(jīng)本站安全技術人員C檢查，其網(wǎng)站至少存在2個致命漏洞，一個中等程度的漏洞和若干個配置錯誤。其中一個致命漏洞在于RPC程序中的一個守護進程。該守護進程的漏洞在Internet上發(fā)布已經(jīng)有半年，但管理員既沒有對該進程的程序打補丁，也沒有關掉該服務。實際上這個服務是沒有必要打開的。這個守護進程中存在一個緩沖區(qū)溢出錯誤，并且有黑客針對該錯誤寫了一段攻擊程序，公布在黑客BBS上。該攻擊程序通過緩沖區(qū)溢出錯誤可以使入侵者在這臺機器上用任何身份執(zhí)行任何指令。該溢出發(fā)生的時候這個守護進程程序報錯，這表明入侵者的確是利用這個漏洞進入系統(tǒng)的。該網(wǎng)站上的另一個中等程度的漏洞是finger服務，該服務暴露了這臺機器的用戶名。本站安全技術人員通過修改系統(tǒng)初始化文件和修補漏洞的工作以后，有效地防止了以后同類現(xiàn)象發(fā)生。該網(wǎng)站的運行沒有出現(xiàn)過有關安全的投訴。此類問題未能得到很好的解決，更多的用戶的權益受到侵害。

由于電子商務是建立在開放的、自由的Internet平臺上的,其安全的脆弱性阻礙了電子商務的發(fā)展.因此,要發(fā)展電子商務就必須解決安全問題,就必須要能保證電子商務的機密性、完整性、有效性、真實性以及不可否認性。為應對電子商務出現(xiàn)的各種安全問題，電子商務安全技術雖然已經(jīng)取得了一定的成績，但是電子商務要真正成為一種主導的商務模式，還必須在其安全技術上有更大的發(fā)展和突破。

第三篇：電子商務安全及案例

1、五個網(wǎng)絡漏洞工作原理與防治方法

1）Unicode編碼漏洞

微軟IIS 4.0和5.0都存在利用擴展UNICODE字符取代“/”和“"而能利用”../"目錄遍歷的漏洞。消除該漏洞的方式是安裝操作系統(tǒng)的補丁，只要安裝了SP1以后，該漏洞就不存在了。2）RPC漏洞

此漏洞是由于 Windows RPC 服務在某些情況下不能正確檢查消息輸入而造成的。如果攻擊者在 RPC 建立連接后發(fā)送某種類型的格式不正確的 RPC 消息，則會導致遠程計算機上與 RPC 之間的基礎分布式組件對象模型(DCOM)接口出現(xiàn)問題，進而使任意代碼得以執(zhí)行。此問題的修補程序?qū)ㄔ?Windows 2000 Service Pack

5、Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中。3）ASP源碼泄漏和MS SQL Server攻擊

通過向web服務器請求精心構(gòu)造的特殊的url就可以看到不應該看到的asp程序的全部或部分源代碼，進而取得諸如MS SQL Server的管理員sa的密碼，再利用存儲過程xp_cmdshell就可遠程以SYSTEM賬號在服務器上任意執(zhí)行程序或命令。設置較為復雜的密碼。4）BIND緩沖溢出

在最新版本的Bind以前的版本中都存在有嚴重的緩沖溢出漏洞，可以導致遠程用戶直接以root權限在服務器上執(zhí)行程序或命令，極具危險性。但由于操作和實施較為復雜，一般也為黑客高手所用。這種攻擊主要存在于Linux、BSDI和Solaris等系統(tǒng)中。打補丁。5）IIS緩沖溢出

對于IIS4.0和IIS5.0來說都存在有嚴重的緩沖溢出漏洞，利用該漏洞遠程用戶可以以具有管理員權限的SYSTEM賬號在服務器上任意執(zhí)行程序或命令，極具危險性。但由于操作和實施較為復雜，一般為黑客高手所用。

2、三種網(wǎng)絡病毒的產(chǎn)生與防治方法

1）Checker/Autorun“U盤寄生蟲”

Checker/Autorun“U盤寄生蟲”是一個利用U盤等移動存儲設備進行自我傳播的蠕蟲病毒?！癠盤寄生蟲” 運行后，會自我復制到被感染計算機系統(tǒng)的指定目錄下，并重新命名保存?！癠盤寄生蟲”會在被感染計算機系統(tǒng)中的所有磁盤根目錄下創(chuàng)建“autorun.inf”文件和蠕蟲病毒主程序體，來實現(xiàn)用戶雙擊盤符而啟動運行“U盤寄生蟲”蠕蟲病毒主程序體的目的。“U盤寄生蟲”還具有利用U盤、移動硬盤等移動存儲設備進行自我傳播的功能。“U盤寄生蟲”運行時，可能會在被感染計算機系統(tǒng)中定時彈出惡意廣告網(wǎng)頁，或是下載其它惡意程序到被感染計算機系統(tǒng)中并調(diào)用安裝運行，會被用戶帶去不同程度的損失?！癠盤寄生蟲”會通過在被感染計算機系統(tǒng)注冊表中添加啟動項的方式，來實現(xiàn)蠕蟲開機自啟動。

2）Backdoor/Huigezi “灰鴿子”

Backdoor/Huigezi “灰鴿子”是后門家族的最新成員之一，采用Delphi語言編寫，并經(jīng)過加殼保護處理?！盎银澴印边\行后，會自我復制到被感染計算機系統(tǒng)的指定目錄下，并重新命名保存（文件屬性設置為：只讀、隱藏、存檔）。“灰鴿子”是一個反向連接遠程控制后門程序，運行后會與駭客指定遠程服務器地址進行TCP/IP網(wǎng)絡通訊。中毒后的計算機會變成網(wǎng)絡僵尸，駭客可以遠程任意控制被感染的計算機，還可以竊取用戶計算機里所有的機密信息資料等，會給用戶帶去不同程度的損失。“灰鴿子”會把自身注冊為系統(tǒng)服務，以服務的方式來實現(xiàn)開機自啟動運行?！盎银澴印敝靼惭b程序執(zhí)行完畢后，會自我刪除。3）Trojan/PSW.QQPass“QQ大盜”

Trojan/PSW.QQPass“QQ大盜”是木馬家族的最新成員之一，采用高級語言編寫，并經(jīng)過加殼保護處理。“QQ大盜”運行時，會在被感染計算機的后臺搜索用戶系統(tǒng)中有關QQ注冊表項和程序文件的信息，然后強行刪除用戶計算機中的QQ醫(yī)生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件，從而來保護自身不被查殺?！癚Q大盜”運行時，會在后臺盜取計算機用戶的QQ帳號、QQ密碼、會員信息、ip地址、ip所屬區(qū)域等信息資料，并且會在被感染計算機后臺將竊取到的這些信息資料發(fā)送到駭客指定的遠程服務器站點上或郵箱里，會給被感染計算機用戶帶去不同程度的損失?！癚Q大盜”通過在注冊表啟動項中添加鍵的方式，來實現(xiàn)開機木馬自啟動。防止病毒的方法，安全上網(wǎng)，裝殺毒軟件。

3、幾種加密算法的描述

1）分組加密的DES算法

DES 使用一個 56 位的密鑰以及附加的 8 位奇偶校驗位，產(chǎn)生最大 64 位的分組大小。這是一個迭代的分組密碼，使用稱為 Feistel 的技術，其中將加密的文本塊分成兩半。使用子密鑰對其中一半應用循環(huán)功能，然后將輸出與另一半進行“異或”運算；接著交換這兩半，這一過程會繼續(xù)下去，但最后一個循環(huán)不交換。DES 使用 16 個循環(huán)，使用異或，置換，代換，移位操作四種基本運算。

DES破解方法：攻擊 DES 的主要形式被稱為蠻力的或徹底密鑰搜索，即重復嘗試各種密鑰直到有一個符合為止。如果 DES 使用 56 位的密鑰，則可能的密鑰數(shù)量是 2 的 56 次方個。隨著計算機系統(tǒng)能力的不斷發(fā)展，DES 的安全性比它剛出現(xiàn)時會弱得多，然而從非關鍵性質(zhì)的實際出發(fā)，仍可以認為它是足夠的。不過，DES 現(xiàn)在僅用于舊系統(tǒng)的鑒定，而更多地選擇新的加密標準 — 高級加密標準（Advanced Encryption Standard，AES）。2）大數(shù)分解的RSA算法

解析：RSA公鑰加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在（美國麻省理工學院）開發(fā)的。RSA取名來自開發(fā)他們?nèi)叩拿帧SA是目前最有影響力的公鑰加密算法，它能夠抵抗到目前為止已知的所有密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標準。RSA算法基于一個十分簡單的數(shù)論事實：將兩個大素數(shù)相乘十分容易，但那時想要對其乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰。

安全性：RSA的安全性依賴于大數(shù)分解，但是否等同于大數(shù)分解一直未能得到理論上的證明，因為沒有證明破解 RSA就一定需要作大數(shù)分解。假設存在一種無須分解大數(shù)的算法，那它肯定可以修改成為大數(shù)分解算法。目前，RSA 的一些變種算法已被證明等價于大數(shù)分解。不管怎樣，分解n是最顯然的攻擊方法?，F(xiàn)在，人們已能分解多個十進制位的大素數(shù)。因此，模數(shù)n 必須選大一些，因具體適用情況而定。

3）基于NP完全理論的背包加密算法

安全性：影響陷門背包的安全性的一個重要的參數(shù)是背包密度，背包密度小于0.9408 的陷門背包都容易遭受低密度子集和攻擊。因而，要設計安全的背包型公鑰密碼，其背包密度必須大于0.9408。如果背包密度大于1，則該體制在實現(xiàn)過程中就會存在解密不唯一的問題。因此，要設計安全的背包型公鑰密碼必須兼顧到背包密度不能太小以及解密必須唯一這兩個要求。低密度子集和攻擊的基本思想是，把求解低密度子集和問題與格理論中的基規(guī)約算法聯(lián)系起來。通過低密度子集和問題來構(gòu)造格基，對該基實施LLL 算法或者它的改進算法，找到格基的一個規(guī)約基，該規(guī)約基的第一個向量很短，這個短向量以很大的概率等于低密度子集和問題的解向量。4）基于離散對數(shù)的EIGamal加密算法

ElGamal算法既能用于數(shù)據(jù)加密也能用于數(shù)字簽名，其安全性依賴于計算有限域上離散對數(shù)這一難題。

密鑰對產(chǎn)生辦法。首先選擇一個素數(shù)p，兩個隨機數(shù), g 和x，g, x < p, 計算 y = g^x(mod p)，則其公鑰為 y, g 和p。私鑰是x。g和p可由一組用戶共享。

安全性：ElGamal簽名的安全性依賴于乘法群(IFp)* 上的離散對數(shù)計算。素數(shù)p必須足夠大，且p-1至少包含一個大素數(shù)，因子以抵抗Pohlig & Hellman算法的攻擊。M一般都應采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依賴于p和g，若選取不當則簽名容易偽造，應保證g對于p-1的大素數(shù)因子不可約。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻擊方法和對策。ElGamal的一個不足之處是它的密文成倍擴張。

美國的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是經(jīng)ElGamal算法演變而來。

第四篇：電子商務案例課程總結(jié)

《電子商務案例分析》

課程總結(jié)與心得

電子商務案例是指對某一特定電子商務活動的內(nèi)容、情景與過程，進行客觀描述的教學資料。通過對電子商務案例的分析研究，能夠揭示電子商務活動的內(nèi)在規(guī)律，提高人們利用理論知識分析、解決實際問題的能力。

它是一門交叉性和綜合性很強的學科，它集經(jīng)濟、管理、計算機網(wǎng)絡技術、電子與信息技術、法律等相關學科內(nèi)容于一體，知識涉及面很廣，強調(diào)在實踐中綜合運用能力和創(chuàng)新能力。電子商務案例分析的主要特點在于它的啟迪性與實踐性。

在學習電子商務案例分析這門課的同時，我深刻認識到學習方法的重要性，通過我的總結(jié)，針對這門課，要特別注重以下三個方面：一是要深化所學的理論知識，通過案例分析加深對理論知識的深層次理解；二是能夠使所學的知識轉(zhuǎn)變成為技能，理論學習與實踐應用有機地結(jié)合；三是在逼真模擬訓練中做到教學相長，老師和學生或者學生與學生之間在共同的分析討論過程中，通過發(fā)散性思維，激發(fā)靈感，做到相互啟迪，相互學習。

再來談談關于我認為的對于電子商務案例學習所應該具備的一些基本能力。

一、應該具備一種學習的能力，電子商務是一個新興的行業(yè)，新的信息技術與理論知識不斷充斥著我們，如果沒有擁有足夠的知識，鍛煉一種快速認識新事物的能力，就不能順應時代的發(fā)展。在信息社會的背景下，學習能力是人才自我發(fā)展不斷適應社會需要必須具備的一項重要能力。

二、對信息的獲取以及解決能力。在這個互連網(wǎng)的時代，網(wǎng)上的信息是最新最快的，我們應該有針對性時時刻刻了解我們感興趣的東西，擴展我們的知識面?；ミB網(wǎng)又是一個信息共享的介質(zhì)，我們應該利用它解決我們一時不能解決的問題或疑問。

三、溝通的能力。無論是你偏向技術的，還是以管理為主的，溝通能夠互相學習，互相進步，使信息流通更有效。有時可能人家的一句話，勝過你讀四年書。

當然我們也要具備基本語言文字表達能力和禮儀等等一些基本問題，這些是我們的基本素質(zhì)。我們也要有一種認真的態(tài)度，在學習技術與管理的同時，還須注意在道德、誠信自律這方面的素質(zhì)培養(yǎng)。電子商務的開展需要誠信，人才是電子商務發(fā)展的源動力，誠信意識應該在學校就應該可以建立，在工作后才能形成很強的敬業(yè)精神和職業(yè)道德。

通過對電子商務案例分析這門課的學習，使我不僅能夠更加全面的認識電子商務，掌握網(wǎng)絡營銷技巧，提高自身的實踐能力和創(chuàng)新能力，而且讓我們深刻體會到自主學習、合作學習、研究性學習和探索性學習的開放型的學習氛圍，收到良好的學習效果，使我受益匪淺。

第五篇：電子商務安全法律案例分析

實訓三 電子商務安全法律案例分析

學號：126204050110姓名：杜其芬班級：12電商

1實訓目標：通過實驗，了解電子商務安全法律有哪些，并能夠通過具體的案例，來分析該案例適用哪個安全法律，從而讓學生知道與我們生活息息相關的法律及預防不經(jīng)意的網(wǎng)絡犯罪。

實訓要求：

1、了解電子商務安全法律。

2、能夠掌握電子商務安全法律分析。

3、參照課本的電子商務法律內(nèi)容，選擇至少3個方面的法律問題來進行案例分析，選擇的案例必須是2010年（含）以后的。

實訓內(nèi)容：

一、虛擬財產(chǎn)在何種情形下應受到法律的保護法律問題。

1、案例：李某為某網(wǎng)絡游戲的玩家，一日發(fā)現(xiàn)自己ＩＤ內(nèi)所有的虛擬裝備丟失，包括生化裝備１０件、毒藥２個、生命水２份、戰(zhàn)神甲１件等。李某與網(wǎng)絡游戲運營商聯(lián)系，該運營商僅能查詢裝備的流向：寄給玩家某某。李某向運營商索要玩家某某的詳細資料，運營商以玩家資料屬于個人隱私為由而拒絕提供。于是李某將該運營商告到法院，要求運營商賠償其丟失的裝備。該運營商認為，網(wǎng)絡游戲中的裝備等財產(chǎn)只是游戲中的信息，實質(zhì)上只是一組電腦數(shù)據(jù)，本身并不以“物”的形式存在，運營商不能為不存在的東西負責。

2、適用的法律及條款：《合同法》、《中華人民共和國財產(chǎn)安全法》

3、法院判決： 法院認為，雖然虛擬裝備是無形的且存在于特殊的網(wǎng)絡游戲環(huán)境中，但并不影響虛擬物品作為無形財產(chǎn)的一種獲得法律上的適當評價和救濟。由于玩家在網(wǎng)絡游戲預先設定的環(huán)境下進行活動，活動的自主性受環(huán)境設定的限制，而運營商掌握服務器的運行，并可控制服務器數(shù)據(jù)，因此要對玩家承擔更嚴格的保障義務。法院認定運營商應對李某虛擬物品的丟失承擔保障不利的責任，判決運營商通過技術手段將查實丟失的李某虛擬裝備予以恢復。

4、案例分析及個人感想：網(wǎng)絡游戲中形成的虛擬財產(chǎn)具備許多與現(xiàn)實財產(chǎn)相同的屬性，擬財產(chǎn)可以用來交換，具有交換價值，從法律視野來看，虛擬財產(chǎn)同樣可以被占有、使用、收益和處分，并因此可以成為法律關系的客體。所以，本案法官認為“雖然虛擬裝備是無形的且存在于特殊的網(wǎng)絡游戲環(huán)境中，但并不影響虛擬物品作為無形財產(chǎn)的一種獲得法律上的適當評價和救濟”，這是一個十分正確的判斷。

二、由網(wǎng)上交易引起的法律問題。

1、案例：二OO四年十月，家住江西省南昌市賢士湖住宅區(qū)54棟3單元601室的毛源宏在新浪“一拍網(wǎng)”注冊，并在網(wǎng)上拍下商品編號為5596482的二手筆記本電腦一臺，價格為3350元，賣家為湖南省長沙市建設北路華天商城楓祥科技，聯(lián)系人是李鳳。十一月一日，毛源宏按照網(wǎng)上資料向楓祥科技的個人（財務人員楊永花）帳戶匯款3400元，但沒有收到電腦。此后，聯(lián)系人李鳳手機關機。經(jīng)向湖南省長沙市工商管理局查詢，發(fā)現(xiàn)長沙市并無建設北路，也沒有華天商城，設在華天商城的楓祥科技更屬子虛烏有。

二00五年三月十六日毛源宏向南昌市東湖區(qū)法院提起訴訟，狀告新浪“一拍網(wǎng)”的所有人和經(jīng)營者北京陽光山谷信息技術有限公司，要求其賠償經(jīng)濟損失3400元并承擔全部訴訟費用（含旅差費）。

2、適用的法律及條款：《商用密碼管理條例》、《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》、《互聯(lián)網(wǎng)信息服務管理辦法》和《網(wǎng)上銀行業(yè)務管理暫行辦法》

3、法院判決：經(jīng)東湖區(qū)法院審理后認為：新浪“一拍網(wǎng)”提供雙方買賣這一平臺，負有對賣家起碼的審查義務。但“一拍網(wǎng)”向網(wǎng)民提供完全虛假的交易信息，而原告完全是基于對“一拍網(wǎng)”此知名網(wǎng)站的信任，與虛假的楓祥科技進行交易，造成的損失“一拍網(wǎng)”負有不可推卸的責任。

4、案例分析及個人感想：網(wǎng)上交易的出現(xiàn)與發(fā)展是時代的需要，它必將促使傳統(tǒng)相關業(yè)務的轉(zhuǎn)型，并對未來社會產(chǎn)生深遠影響，一拍網(wǎng)作為網(wǎng)上購物交易網(wǎng)站，就必須要對消費者的交易安全作出保證，必須要證明網(wǎng)絡交易賣家的信息真實可靠，一拍網(wǎng)提供雙方交易這個平臺，負有對賣家的審查義務，然而買家基于對其網(wǎng)站的信任，而與虛假的楓祥科技進行交易造成的損失，一拍網(wǎng)負有很大的責任。

雖然目前我國已相繼頒布了各種網(wǎng)上交易安全的法規(guī)規(guī)章，這些為我國網(wǎng)上交易的發(fā)展提供了一定的法律保障和支持。但同時，隨著我國信息基礎建設的規(guī)范和完善，實施網(wǎng)上交易的條件已經(jīng)逐漸成熟且發(fā)展?jié)摿薮?，而相關法律支持與其發(fā)展規(guī)模的差距還很大。我國目前有關電子商務的立法也基本呈空白狀態(tài)，行業(yè)間的監(jiān)管對于網(wǎng)上交易毫無力度且法律上對行規(guī)以難以認同，相關的法律規(guī)范和有效的市場信用體系極不完善，嚴重影響網(wǎng)上交易業(yè)務的發(fā)展，也為不法之徒提供了可乘之機，其中有相當多的法律問題是不容回避且又亟需解決的。

三、電子簽名法律問題。

1、案例：楊先生結(jié)識了女孩韓某。同年8月27日，韓某發(fā)短信給楊先生，向他借錢應急，短信中說：“我需要5000元，剛回北京做了眼睛手術，不能出門，你匯到我卡里。”楊先生隨即將錢匯給了韓某。一個多星期后，楊先生再次收到韓某的短信，又借給韓某6000元。因都是短信來往，兩次匯款楊先生都沒有索要借據(jù)。此后，因韓某一直沒提過借款的事，而且又再次向楊先生借款，楊先生產(chǎn)生了警惕，于是向韓某催要。但一直索要未果，于是起訴至北京市海淀區(qū)法院，要求韓某歸還其11000元錢，并提交了銀行匯款單存單兩張。但韓某卻稱這是楊先生歸還以前欠她的欠款。為此，在庭審中，楊先生在向法院提交的證據(jù)中，除了提供銀行匯款單存單兩張外，還提交了自己使用的號碼為“1391166ⅹⅹⅹⅹ”的飛利浦移動電話一部，其中記載了部分短信息內(nèi)容。后經(jīng)法官核實，楊先生提供的發(fā)送短信的手機號碼撥打后接聽者是韓某本人。而韓某本人也承認，自己從2006年7,8月開始使用這個手機號碼。

2、適用的法律及條款：《中華人民共和國電子簽名法》

3、法院判決：楊先生提供真實有效的證據(jù)，法院對楊先生要求韓女士償還借款的訴訟請求予以支持。

4、案例分析及個人感想：依據(jù)2005年4月1日起施行的《中華人民共和國電子簽名法》中第8條的規(guī)定，經(jīng)法院對楊先生提供的移動電話短信息生成、儲存、傳遞數(shù)據(jù)電文方法的可靠性；保持內(nèi)容完整性方法的可靠性；用以鑒別發(fā)件人方法的可靠性進行審查，可以認定該移動電話短信息內(nèi)容作為證據(jù)的真實性。根據(jù)證據(jù)規(guī)則的相關規(guī)定，錄音錄像及數(shù)據(jù)電文可以作為證據(jù)使用，但數(shù)據(jù)電文直接作為認定事實的證據(jù)，還應有其它書面證據(jù)相佐證。楊先生提供的通過韓女士使用的號碼發(fā)送的移動電話短信息內(nèi)容中載明款項往來金額、時間與中國工商銀行個人業(yè)務憑證中體現(xiàn)的楊先生給韓女士匯款的金額、時間相符，且移動電話短信息內(nèi)容中亦載明了韓女士償還借款的意思表示，兩份證據(jù)之間相互印證，可以認定韓女士向楊先生借款的事實。

在平常的生活中可能時時都存在著犯罪的現(xiàn)象，特別是借錢的問題，我們需要時時提高警惕，保留必要的證據(jù)，在需要的場合才能有事實證明。