電子商務(wù)安全的重要性精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子商務(wù)安全的重要性主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:電子商務(wù)安全的重要性范文
關(guān)鍵詞:電子商務(wù) 計(jì)算機(jī)時(shí)代 安全策略
一、信息安全
電子信息作為公眾開(kāi)放的信息,公眾信息是否能夠得到安全的保障是很電子商務(wù)中面臨的重要問(wèn)題。可靠性、完整性、可用性、和保密性是信息安全的最重要的四個(gè)特性。相對(duì)于完全為群眾開(kāi)放的電子商務(wù),這四個(gè)性質(zhì)必須得到有效的保障,才能保證廣大群眾的財(cái)產(chǎn)和隱私安全。
(一)信息的完整性
為了確保交易能夠正常完成,信息首先完整的具備。確保不會(huì)破壞已經(jīng)長(zhǎng)傳與網(wǎng)絡(luò)上的信息,傳輸?shù)男畔⒁WC不會(huì)出現(xiàn)刪除修改等現(xiàn)象,同時(shí)傳輸失真、重復(fù)傳送以及無(wú)序傳送等現(xiàn)象也要確保不會(huì)出現(xiàn)。
(二)信息的保密性
不會(huì)泄露商業(yè)機(jī)密的在推廣電子商務(wù)過(guò)程中的必要也是首要條件,保障信息不會(huì)被非法存取,杜絕盜竊現(xiàn)象出現(xiàn)在信息傳輸過(guò)程中。
(三)信息的可用性
可用且有效的信息是雙方利益達(dá)成的基本條件。一定要防止電子商務(wù)中的網(wǎng)絡(luò)故障、程序出錯(cuò)以及硬件損壞等情況出現(xiàn),信息的可用性也要通過(guò)科學(xué)有效的措施來(lái)保障其自身的有效性。
(四)信息的可靠性
交易的雙方能夠達(dá)到對(duì)方的預(yù)期情況是電子商務(wù)中的重點(diǎn)環(huán)節(jié)。所以,必須要具有安全的交易程序以及交易系統(tǒng)。而要保證安全交易就必須使用到計(jì)算機(jī)網(wǎng)絡(luò)中的安全系統(tǒng)。
二、現(xiàn)今存在的信息安全隱患
因?yàn)樾畔踩?a href="http://www.shiyuli.com/haowen/178325.html" target="_blank">重要性,必須將信息安全作為電子商務(wù)中首要解決的任務(wù),將其中的難題也要重點(diǎn)進(jìn)行解決。以下信息安全是現(xiàn)今的電子商務(wù)中主要存在的問(wèn)題.
(一)信息儲(chǔ)存
靜態(tài)存放系統(tǒng)信息時(shí)候的安全便稱之為儲(chǔ)存安全。儲(chǔ)存信息在面對(duì)開(kāi)放的環(huán)境時(shí)主要面臨的問(wèn)題如下:
因?yàn)閮?nèi)部的人員在沒(méi)有授權(quán)的情況下隨意刪減信息,導(dǎo)致不安全的企業(yè)內(nèi)部因素存在。
計(jì)算機(jī)受到外部的惡意入侵,例如黑客、間諜等對(duì)信息系統(tǒng)的攻擊,造成電子商務(wù)信息受到蓄意的更改或者刪減。而這些安全因素都存在于外部。
(二)信息傳輸
信息處于運(yùn)動(dòng)傳遞狀態(tài)時(shí)候的安全即信息傳輸安全,信息被惡意篡改、偽造、否認(rèn)交易、程序出錯(cuò)等現(xiàn)象是傳輸過(guò)程中經(jīng)常出現(xiàn)的安全問(wèn)題,也導(dǎo)致了數(shù)據(jù)經(jīng)常出現(xiàn)丟失以及數(shù)據(jù)失真的情況大量出現(xiàn)。
(三)交易過(guò)程的問(wèn)題
傳統(tǒng)的交易與服務(wù)方式存在空間和形式的局限性,而電子商務(wù)交易突破了這些局限,交易過(guò)程中利用電子商務(wù)系統(tǒng)就能夠快速完成。而正是因?yàn)檫@些方便的交易方式,交易中的安全問(wèn)題也隨之出現(xiàn)。
(1)賣(mài)方受到的威脅。賣(mài)方主要存在下述信息安全的威脅:1.電子商務(wù)中的信息會(huì)受到各種惡意程序的破壞,導(dǎo)致賣(mài)方存在信息安全的威脅;2.商業(yè)交易中的內(nèi)部秘密也容易被使用尖端科技技術(shù)的商業(yè)間諜竊取;3.在競(jìng)爭(zhēng)過(guò)程中有許多惡意競(jìng)爭(zhēng)對(duì)手利用非法手段將客戶的資料竊取;4.交易系統(tǒng)有時(shí)候也會(huì)因惡意的網(wǎng)絡(luò)攻擊而無(wú)法正常使用;5.交易過(guò)程中經(jīng)常出現(xiàn)交易內(nèi)容被惡意更改的現(xiàn)象,導(dǎo)致用戶的切身利益和整個(gè)商家的名譽(yù)都可能因此受到損害。
(2)買(mǎi)方受到的威脅買(mǎi)方可以是任何角色,個(gè)人、組織、銀行等 都有可能。如下是買(mǎi)方在交易過(guò)程中可能受到的信息安全威脅:1.交易的信息在傳遞過(guò)程中被惡意修改、截取,交易也因此不能正常完成,而大量的個(gè)人信息也被他人獲取;2.因?yàn)閭€(gè)人信息的大量泄露,許多不法分子假冒用戶的身份進(jìn)行交易,導(dǎo)致用戶的資金和信譽(yù)很大程度到威脅;3.設(shè)備因?yàn)楹诳凸舫霈F(xiàn)損壞而造成數(shù)據(jù)大量的丟失;4.因?yàn)橘I(mǎi)方的域名被大量偽劣商家監(jiān)聽(tīng),大量的垃圾消息給用戶帶來(lái)很多麻煩,用戶的隱私也有可能被竊取;5.用戶因?yàn)橛蛎槐O(jiān)聽(tīng)而被迫接受大量的虛假?gòu)V告,在購(gòu)買(mǎi)之后會(huì)因?yàn)樯唐妨淤|(zhì)而無(wú)法使用。
三、信息安全的保障措施
(一)各種安全技術(shù)的研究
計(jì)算機(jī)在發(fā)展過(guò)程中必然會(huì)廣泛使用到電子商務(wù),信息是否具有安全保障也取決于是否完善了各種安全技術(shù)。所以,先進(jìn)的網(wǎng)絡(luò)技術(shù)研究策略亟待完善,其中關(guān)鍵的研究問(wèn)題如下:
(二)防火墻
為了能夠抵御外部網(wǎng)絡(luò)的入侵,防火墻必須有效建立起,因?yàn)榉阑饓δ艿钟W(wǎng)絡(luò)與網(wǎng)絡(luò)之間的控制,網(wǎng)絡(luò)中由內(nèi)到外的流量數(shù)據(jù)也能夠全過(guò)程適時(shí)監(jiān)控,而具有防控免疫力也是防火墻系統(tǒng)的重要特點(diǎn),同時(shí)非法入侵也能夠被其有效抵御。安全的防火墻設(shè)計(jì)是首先需要具備的,例如將所有未經(jīng)授權(quán)的服務(wù)器都拒絕,同時(shí)還能對(duì)訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行設(shè)置,可以將站點(diǎn)訪問(wèn)Internet的雙向訪問(wèn)設(shè)置為Internet對(duì)站點(diǎn)的單向訪問(wèn),將一些不安全的站點(diǎn)以及協(xié)議進(jìn)行過(guò)濾,能夠最大限度的保證網(wǎng)絡(luò)信息的安全。
(三)識(shí)別身份
特別針對(duì)交易兩方的身份而采用身份識(shí)別來(lái)確認(rèn),首先要對(duì)信息發(fā)送者的身份進(jìn)行確認(rèn),確認(rèn)信息在發(fā)送之前、之后是否都完整,是否存在被篡改的現(xiàn)象。1.對(duì)于用戶的訪問(wèn)權(quán)限以及身份的辨別能夠使用電子方式,而數(shù)字證書(shū)是最好的辨別工具,一般數(shù)字證書(shū)直接由認(rèn)真中心頒發(fā)。2.而網(wǎng)上交易過(guò)程中的安全證的服務(wù)都是由認(rèn)證中心來(lái)承擔(dān)。
(四)病毒的防護(hù)
1.首先要使用科學(xué)的檢測(cè)病毒的技術(shù),要根據(jù)計(jì)算機(jī)感染的病毒的特性選取相應(yīng)的方式來(lái)將病毒清除;2.獲取到控制系統(tǒng)的特權(quán)后 將系統(tǒng)內(nèi)病毒情況進(jìn)行適時(shí)監(jiān)控,而病毒在計(jì)算機(jī)系統(tǒng)中的進(jìn)一步破壞則需要實(shí)用的科學(xué)技術(shù)來(lái)阻止;3.分析計(jì)算機(jī)內(nèi)的病毒情況以及病毒類型,使用相關(guān)的措施和技術(shù)來(lái)將病毒清除系統(tǒng),同時(shí)要保障原文件的完整性。
參考文獻(xiàn):
[1]黃云,胡淑紅,劉建蘭等.發(fā)展我國(guó)電子商務(wù)的模式和策略探討[J].企業(yè)經(jīng)濟(jì),2007,(2):159-161.
[2]薛順利,徐渝,宋悅林等.電子商務(wù)環(huán)境下定價(jià)與退貨策略整合優(yōu)化研究[J].運(yùn)籌與管理,2006,15(5):133-137.
[3]何勇,楊德禮,黃超等.電子商務(wù)環(huán)境下供應(yīng)鏈協(xié)作策略研究綜述[J].計(jì)算機(jī)工程與應(yīng)用,2006,42(27):12-15.
第2篇:電子商務(wù)安全的重要性范文
但與此同時(shí),中國(guó)保險(xiǎn)電子商務(wù)仍處于發(fā)展初級(jí)階段,市場(chǎng)發(fā)展仍需要面臨各種問(wèn)題,這些問(wèn)題共同制約著中國(guó)保險(xiǎn)電子商務(wù)的發(fā)展前景。
1 傳統(tǒng)渠道的不規(guī)范制約電子商務(wù)發(fā)展
目前,中國(guó)保險(xiǎn)市場(chǎng)還存在很多不規(guī)范的現(xiàn)象。客戶可以通過(guò)傳統(tǒng)渠道的不規(guī)范操作,獲得更多的利益和超出規(guī)定的服務(wù)。這些通過(guò)不規(guī)范操作而提供的所謂人性化服務(wù)很容易讓客戶產(chǎn)生依賴感。
這種依賴感的產(chǎn)生不僅會(huì)增加保險(xiǎn)公司的賠付等成本支出,也會(huì)影響客戶對(duì)電子商務(wù)渠道的選擇。相比而言,電子商務(wù)是一個(gè)規(guī)范化的平臺(tái),保險(xiǎn)市場(chǎng)中不規(guī)范行為的存在,導(dǎo)致兩種渠道不在同一水平線上競(jìng)爭(zhēng),必然會(huì)限制電子商務(wù)的發(fā)展。
賽迪顧問(wèn)認(rèn)為,未來(lái)整個(gè)行業(yè)必然朝著規(guī)范化發(fā)展,電子商務(wù)將逐步體現(xiàn)它應(yīng)呈現(xiàn)的價(jià)值,也必然成為保險(xiǎn)行業(yè)的重要渠道。
2 與傳統(tǒng)渠道的業(yè)務(wù)沖突
電子商務(wù)的出現(xiàn)對(duì)企業(yè)的管理會(huì)產(chǎn)生影響,隨著經(jīng)營(yíng)模式的不同,管理上肯定會(huì)和傳統(tǒng)不同,因?yàn)榍赖闹黧w發(fā)生了變化。新生的電子商務(wù)作為一個(gè)渠道,會(huì)分流部分屬于傳統(tǒng)渠道的業(yè)務(wù),因此,未來(lái)保險(xiǎn)公司必然需要通過(guò)明確渠道邊界或建立合理的內(nèi)部管理、利益分配制度等手段去解決該問(wèn)題。
3 產(chǎn)品標(biāo)準(zhǔn)化與需求差異化的矛盾存在于整個(gè)電子商務(wù)業(yè)務(wù)中
作為電子商務(wù)平臺(tái),它所提供的產(chǎn)品應(yīng)是規(guī)范化、標(biāo)準(zhǔn)化的,這樣才能讓客戶使用時(shí),感覺(jué)到電子商務(wù)平臺(tái)方便快捷的特點(diǎn)。但不同地區(qū)的客戶可能有不同的消費(fèi)習(xí)慣,因而在保險(xiǎn)需求上存在差異,這是保險(xiǎn)企業(yè)開(kāi)展電子商務(wù)過(guò)程中必然遇到的矛盾。保險(xiǎn)公司需要在做到產(chǎn)品標(biāo)準(zhǔn)化的前提下,盡量分析客戶需求,對(duì)于需求間的共性,在前臺(tái)銷售環(huán)節(jié)給予解決,對(duì)需求間的特性,在后臺(tái)服務(wù)中給予彌補(bǔ)。
4 金融電子化支付手段不完善
保險(xiǎn)電子商務(wù)的運(yùn)營(yíng)需要有快速、高效的電子化支付與結(jié)算手段的配合。目前中國(guó)金融服務(wù)的水平和電子化程度不高,保險(xiǎn)電子商務(wù)通常是處于“網(wǎng)上投保申請(qǐng),網(wǎng)下核保、出單與付款”的狀態(tài)。網(wǎng)上支付在安全方面受到眾多質(zhì)疑的問(wèn)題,還沒(méi)有完全得到解決。現(xiàn)有的支付方式又過(guò)于復(fù)雜,缺乏跨平臺(tái)支付的兼容性和通用性,應(yīng)用領(lǐng)域狹窄。
第3篇:電子商務(wù)安全的重要性范文
論文摘要:隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,網(wǎng)上購(gòu)物的日益普及我國(guó)電子商務(wù)安全的問(wèn)題日益嚴(yán)重。首先,分析了電子商務(wù)安全的現(xiàn)狀,其次,著重對(duì)電子商務(wù)存在的問(wèn)題及其原因進(jìn)行深入地探索并指出了電子商務(wù)安全的需求,最后給出相應(yīng)的解決方案。
隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,我國(guó)電子商務(wù)的安全問(wèn)題也日益突出。根據(jù)“2010年上半年,計(jì)算機(jī)病毒和互聯(lián)網(wǎng)安全報(bào)告疫情”的數(shù)據(jù)表明,2010年上半年,計(jì)算機(jī)病毒,木馬的數(shù)量依然保持快速增長(zhǎng),新病毒不斷出現(xiàn),一些“老”的病毒推出了眾多變種。2010年上半年計(jì)算機(jī)病毒,木馬數(shù)量迅速增加,超出了近五年病毒數(shù)量的總和。在日益增多的電子商務(wù)安全問(wèn)題面前,需要我們采取新措施來(lái)進(jìn)行防范。
一、電子商務(wù)的安全現(xiàn)狀
目前電子商務(wù)的安全問(wèn)題比較嚴(yán)重,最突出的表現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)安全和商業(yè)誠(chéng)信問(wèn)題上。因?yàn)槠鶈?wèn)題,本文只側(cè)重于計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的描述和解決對(duì)于其他方面的問(wèn)題不作詳細(xì)的分析。與以往相比電子商務(wù)安全呈現(xiàn)出以下特點(diǎn):
(一)木馬病毒爆炸性增長(zhǎng),變種數(shù)量的快速增加
據(jù)統(tǒng)計(jì),僅2009年上半年掛載木馬網(wǎng)頁(yè)數(shù)量累計(jì)達(dá)2.9億個(gè),共有11.2億人次網(wǎng)民訪問(wèn)掛載木馬,2010年元旦三天就新增電腦病毒50萬(wàn)。病毒的數(shù)量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個(gè)特征。總體而言,目前的新木馬不多,更多的是它的變種,因?yàn)槟壳胺床《拒浖纳?jí)速度越來(lái)越快,病毒存活時(shí)間越來(lái)越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過(guò)病毒下載器來(lái)進(jìn)行病毒投放,可以自動(dòng)從指定的網(wǎng)址上下載新病毒,并進(jìn)行自動(dòng)更新,永遠(yuǎn)也無(wú)法斬盡殺絕所有的病毒。同時(shí)病毒制造、傳播者利用病毒木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙活動(dòng),通過(guò)網(wǎng)絡(luò)販賣(mài)病毒、木馬,教授病毒編制技術(shù)和網(wǎng)絡(luò)攻擊技術(shù)等形式的網(wǎng)絡(luò)犯罪活動(dòng)明顯增多,電子商務(wù)網(wǎng)絡(luò)犯罪也逐漸開(kāi)始呈公開(kāi)化、大眾化的趨勢(shì)。
(二)網(wǎng)絡(luò)病毒傳播方式的變化
過(guò)去,傳播病毒通過(guò)網(wǎng)絡(luò)進(jìn)行。目前,通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播的案例顯著增加,存儲(chǔ)介質(zhì)已經(jīng)成為電子商務(wù)網(wǎng)絡(luò)病毒感染率上升的主要原因。由于u盤(pán)和移動(dòng)存儲(chǔ)介質(zhì)廣泛使用,病毒、木馬通過(guò)autorun.inf文件自動(dòng)調(diào)用執(zhí)行u盤(pán)中的病毒、木馬等程序,然后感染用戶的計(jì)算機(jī)系統(tǒng),進(jìn)而感染其他u盤(pán)。與往年相比,今年通過(guò)網(wǎng)絡(luò)瀏覽或下載該病毒的比例在下降。不過(guò),從網(wǎng)絡(luò)監(jiān)測(cè)和用戶尋求幫助的情況來(lái)看,大量的網(wǎng)絡(luò)犯罪通過(guò)“掛馬”方式來(lái)實(shí)現(xiàn)。“掛馬”是指在網(wǎng)頁(yè)中嵌入惡意代碼,當(dāng)存在安全漏洞的用戶訪問(wèn)這些網(wǎng)頁(yè)時(shí),木馬會(huì)侵入用戶系統(tǒng),然后盜取用戶敏感信息或者進(jìn)行攻擊、破壞。通過(guò)瀏覽網(wǎng)頁(yè)方式進(jìn)行攻擊的方法具有較強(qiáng)的隱蔽性,用戶更難于發(fā)現(xiàn),潛在的危害性也更大。
(三)網(wǎng)絡(luò)病毒給電子商務(wù)造成的損失繼續(xù)增加
調(diào)查顯示,瀏覽器配置被修改,損壞或丟失數(shù)據(jù),系統(tǒng)的使用受限,網(wǎng)絡(luò)無(wú)法使用,密碼被盜造成都給電子商務(wù)造成嚴(yán)重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲(chóng)病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經(jīng)濟(jì)利益,給被感染的用戶帶來(lái)重大損失。繼“熊貓燒香”之后,復(fù)合型病毒大量出現(xiàn),如:仇英、艾妮等病毒。同時(shí),網(wǎng)上販賣(mài)病毒、木馬和僵尸網(wǎng)絡(luò)的活動(dòng)不斷增多,利用病毒、木馬技術(shù)傳播垃圾郵件和進(jìn)行網(wǎng)絡(luò)攻擊、破壞的事件呈上升趨勢(shì)。
二、電子商務(wù)的安全問(wèn)題及存在原因
1.對(duì)合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進(jìn)行交易,從而獲得非法利益。
2.對(duì)信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上。通過(guò)物理或邏輯的手段,對(duì)數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽(tīng),從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號(hào),還能以欺騙的手法進(jìn)行產(chǎn)品交易,甚至能洗黑錢(qián)。
3.對(duì)信息的篡改。攻擊者有可能對(duì)網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容,如修改消息次序、時(shí)間,注人偽造消息等,從而使信息失去真實(shí)性和完整性。
4.拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。
5.對(duì)發(fā)出的信息予以否認(rèn).某些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。
6.信用威脅。交易者否認(rèn)參加過(guò)交易,如買(mǎi)方提交訂單后不付款,或者輸人虛假銀行資料使賣(mài)方不能提款i用戶付款后,賣(mài)方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問(wèn)世十幾年來(lái),各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。如,cih病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬(wàn)計(jì)的計(jì)算機(jī)以沉重打擊。
三、電子商務(wù)的安全需求
電子商務(wù)威脅的出現(xiàn)導(dǎo)致了對(duì)電子商務(wù)安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開(kāi)展電子商務(wù)的前提,一旦簽訂交易,這項(xiàng)交易就應(yīng)得到保護(hù)以防止被篡改或偽造。
2.完整性。貿(mào)易雙方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略,保持貿(mào)易雙方信息的完整性是電子商務(wù)的基礎(chǔ)。
3.不可抵賴性。交易一旦達(dá)成,原發(fā)送方在發(fā)送數(shù)據(jù)后就不能抵賴,接收方接到數(shù)據(jù)后也不能抵賴。
4.匿名性。電子商務(wù)系統(tǒng)應(yīng)確保交易的匿名性,防止交易過(guò)程被跟蹤,保證交易過(guò)程中不把用戶的個(gè)人信息泄露給未知的或不可信的個(gè)體。
四、電子商務(wù)安全防治措施及安全舉措
防范電子商務(wù)網(wǎng)絡(luò)犯罪是一個(gè)系統(tǒng)工程,不僅需要人們提高防范電子商務(wù)網(wǎng)絡(luò)犯罪的意識(shí),加強(qiáng)防范電子商務(wù)網(wǎng)絡(luò)犯罪的制度建設(shè),而且.還需要技術(shù)上不斷更新和完善,為此,需要做好以下幾方面的工作。
1.加強(qiáng)教育和宣傳,提高公眾電子商務(wù)的安全意識(shí)。信息安全意識(shí)是指人們?cè)谏暇W(wǎng)的過(guò)程中,對(duì)信息安全重要性的認(rèn)識(shí)水平,發(fā)現(xiàn)影響網(wǎng)絡(luò)安全行為的敏銳性,維護(hù)網(wǎng)絡(luò)安全的主動(dòng)性。強(qiáng)化上網(wǎng)人員的信息安全意識(shí),就是要讓上網(wǎng)人員認(rèn)識(shí)到,網(wǎng)絡(luò)信息安全是電子商務(wù)正常而高效運(yùn)轉(zhuǎn)的基礎(chǔ),是保障企業(yè)、公民和國(guó)家利益的重要前提,從而牢同樹(shù)立網(wǎng)上交易,安全第一的思想。主要采取以下措施:一是通過(guò)大眾媒體,普及電子商務(wù)的安全知識(shí),提高用戶的認(rèn)識(shí)。二是積極組織研討會(huì)和培訓(xùn)課程,培養(yǎng)電子商務(wù)網(wǎng)絡(luò)營(yíng)銷安全管理人才。
2.采用多重網(wǎng)絡(luò)技術(shù),保證網(wǎng)絡(luò)信息安全。目前,常用的電子商務(wù)安全技術(shù),主要包括:防火墻,物理隔離,vpn(虛擬專用網(wǎng))。防火墻是實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)安全和入侵隔離的常規(guī)技術(shù)。使用防火墻,一方面是抵御來(lái)自外界的攻擊。另一方面是為了防止在服務(wù)器內(nèi)部部分未經(jīng)授權(quán)的用戶攻擊。因此,電子商務(wù)內(nèi)外網(wǎng)與互聯(lián)網(wǎng)之間要設(shè)置防火墻。網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補(bǔ)丁程序,以便進(jìn)行網(wǎng)絡(luò)維護(hù),同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò),發(fā)現(xiàn)任何安全隱患及時(shí)更改,做到有備無(wú)患。企業(yè)上網(wǎng)必須實(shí)行內(nèi)外網(wǎng)劃分和內(nèi)外網(wǎng)的物理隔離。要運(yùn)用vpn新技術(shù),為使用者提了一種通過(guò)公用網(wǎng)絡(luò),安全地對(duì)食業(yè)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn),同時(shí)又能保證企業(yè)的系統(tǒng)安全。包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和服務(wù)器(如web服務(wù)器、e-maii。服務(wù)器)的安全。
3.運(yùn)用密碼技術(shù),強(qiáng)化通信安全。應(yīng)圍繞數(shù)字證書(shū)應(yīng)用,為電子政府信息網(wǎng)絡(luò)中各種業(yè)務(wù)應(yīng)用提供信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性保證。在業(yè)務(wù)系統(tǒng)中建立有效的信任管理機(jī)制、授權(quán)控制機(jī)制和嚴(yán)密的責(zé)任機(jī)制。目前要加強(qiáng)身份認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)加密、數(shù)字簽名等工作。對(duì)于電子商務(wù)中的各種敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)加密處理,并且在數(shù)據(jù)傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務(wù)信息交換中的各種信息,必須通過(guò)身份認(rèn)證來(lái)確認(rèn)其合法性,然后確定這個(gè)用戶的個(gè)人數(shù)據(jù)和特定權(quán)限。“在涉及多個(gè)對(duì)等實(shí)體間的交互認(rèn)征時(shí),應(yīng)采用基于pki技術(shù),借助第三方(ca)頒發(fā)的數(shù)字證書(shū)數(shù)字簽名來(lái)確認(rèn)彼此身份。”為了從根本上保證我國(guó)網(wǎng)絡(luò)的安全,我同安全產(chǎn)品的應(yīng)用應(yīng)建立在國(guó)內(nèi)自主研發(fā)的產(chǎn)品基礎(chǔ)上,國(guó)外的先進(jìn)技術(shù)可以參考,但不能完全照搬。政府應(yīng)該鼓勵(lì)和扶植一批企業(yè)加快數(shù)字安全技術(shù)的研究,以提高我國(guó)信息企業(yè)的技術(shù)和管理水平,促進(jìn)我同電子商務(wù)安全建設(shè)。
4.加強(qiáng)技術(shù)管理,努力做到使用安全。首先是在內(nèi)部嚴(yán)格控制企業(yè)內(nèi)部人員對(duì)網(wǎng)絡(luò)共享資源的隨意使用。在內(nèi)網(wǎng)中,除有特殊需要不要輕易開(kāi)放共享目錄,對(duì)有經(jīng)常交換信息要求的用戶,在共享時(shí)應(yīng)該加密,即只有通過(guò)密碼的認(rèn)證才允許訪問(wèn)數(shù)據(jù)。二是對(duì)涉及秘密信息的用戶主機(jī),使用者在應(yīng)用過(guò)程中應(yīng)該做到盡可能少開(kāi)放一些不常用的網(wǎng)絡(luò)服務(wù),同時(shí)封閉一些不用的端口。并對(duì)服務(wù)器中的數(shù)據(jù)庫(kù)進(jìn)行安全備份。三是切實(shí)保證媒體安全。包括媒體數(shù)據(jù)的安全及媒體本身的安全。要防止系統(tǒng)信息在物理空間上的擴(kuò)散。為了防止系統(tǒng)中的信息在物理空間上的擴(kuò)散,應(yīng)在物理上采取一定的防護(hù)措施,如進(jìn)行一定的電磁屏蔽,減少或干擾擴(kuò)散出去的空間信號(hào)。這樣做,對(duì)確保企業(yè)電子商務(wù)安全將發(fā)揮重要作用。
5.健全法律,嚴(yán)格執(zhí)法。目前我國(guó)在電子商務(wù)法律法規(guī)方面還有很多缺失,不能有效地保護(hù)公眾的合法權(quán)益,給一些犯罪分子帶來(lái)了可乘之機(jī)。我國(guó)立法部門(mén)應(yīng)加快立法進(jìn)程,吸取和借鑒國(guó)外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn),盡快制定和頒布《個(gè)人隱私保護(hù)法》、《商業(yè)秘密保護(hù)法》、《數(shù)據(jù)庫(kù)振興法》、《信息網(wǎng)絡(luò)安全法》、《電子憑證(票據(jù))法》、《網(wǎng)上知識(shí)產(chǎn)權(quán)法》等一系列法律,使電子商務(wù)安全管理走上法制化軌道。使網(wǎng)絡(luò)控制、信息控制、信息資源管理和防止泄密有法可依,并得到技術(shù)上的支撐。健全電子商務(wù)安全標(biāo)準(zhǔn)認(rèn)證和質(zhì)量檢測(cè)機(jī)制,由國(guó)家主管部門(mén)組織制定有關(guān)電子商務(wù)安全條例規(guī)定,并發(fā)揮職能部門(mén)的監(jiān)管作用。通過(guò)建立電子商務(wù)安全法規(guī)體系,規(guī)范和維持網(wǎng)絡(luò)的正常運(yùn)行。
參考文獻(xiàn):
[1]許寧寧.電子商務(wù)安全的現(xiàn)狀與趨勢(shì)[j].中國(guó)電子商務(wù),2010,(1).
[2]濮小金.電子商務(wù)安全的政策選擇[j].全國(guó)商情經(jīng)濟(jì)理論研究,2009,(3).
第4篇:電子商務(wù)安全的重要性范文
關(guān)鍵詞: 電子商務(wù);風(fēng)險(xiǎn)評(píng)價(jià);層次分析法;模糊綜合評(píng)價(jià)法
1.引言
在科技發(fā)達(dá)的21世紀(jì)電子商務(wù)幾乎呈幾何增長(zhǎng),淘寶、當(dāng)當(dāng)、京東等在線電子商務(wù)公司的快速發(fā)展,傳統(tǒng)的思維方式和購(gòu)物方式受到?jīng)_擊,這些不僅改變了人們的消費(fèi)也改變了人們的生活。但在它給企業(yè)機(jī)會(huì)的同時(shí)也存在著一定風(fēng)險(xiǎn),因此,在企業(yè)與學(xué)術(shù)界進(jìn)一步探究電子商務(wù)風(fēng)險(xiǎn)是一個(gè)重要的主題。電子商務(wù)是傳統(tǒng)業(yè)務(wù)與網(wǎng)絡(luò)技術(shù)的結(jié)合,是傳統(tǒng)商業(yè)的發(fā)展和推廣,電子商務(wù)系統(tǒng)中存在的機(jī)密甚至是核心機(jī)密的一部分信息,比如用戶信息和銀行信息等,所以電子商務(wù)的安全問(wèn)題不僅是經(jīng)濟(jì)安全的關(guān)系,也與社會(huì)保障有關(guān)。所以,電子商務(wù)的風(fēng)險(xiǎn)和安全問(wèn)題應(yīng)該引起足夠重視,在分析過(guò)程中可能會(huì)有各種電子商務(wù)風(fēng)險(xiǎn),評(píng)估風(fēng)險(xiǎn),然后最為重要的是采取相應(yīng)的風(fēng)險(xiǎn)管理和安全措施。
關(guān)于“風(fēng)險(xiǎn)”一詞的定義,自從1901年Willett認(rèn)為風(fēng)險(xiǎn)是不確定的目標(biāo)、危險(xiǎn)的概念,至此之后關(guān)于風(fēng)險(xiǎn)的定義就在不斷的演變。特納指出,“任何風(fēng)險(xiǎn)的概念都不可以宣稱其權(quán)威,都只是僅僅是可以接受。”雖然沒(méi)有統(tǒng)一定義,但有這些定義都可以加以利用。風(fēng)險(xiǎn)被普遍認(rèn)為是可能發(fā)生的事件的結(jié)果。對(duì)于電子商務(wù)風(fēng)險(xiǎn)評(píng)價(jià)學(xué)術(shù)界有更為廣泛的研究,具有代表性的一些觀點(diǎn)如下:Greenstein.M(2001)認(rèn)為可能丟失的秘密數(shù)據(jù), 或在金融運(yùn)行機(jī)制上導(dǎo)致傷害另一方的數(shù)據(jù)或程序的破壞,建立或使用,損害硬件的可能性就是電子商務(wù)的風(fēng)險(xiǎn)。羅婭麗(2008)把電子商務(wù)風(fēng)險(xiǎn)劃分為經(jīng)濟(jì)風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、制度風(fēng)險(xiǎn)等幾類,劃分依據(jù)是電子商務(wù)所涉及的領(lǐng)域。姚敏(2010)從技術(shù)特性思考,把電子商務(wù)風(fēng)險(xiǎn)劃分為客戶信息泄密風(fēng)險(xiǎn)、破壞系統(tǒng)風(fēng)險(xiǎn)、篡改和假冒風(fēng)險(xiǎn)這四類。趙春燕(2010)根據(jù)電子商務(wù)交易流程,將電子商務(wù)風(fēng)險(xiǎn)劃分為質(zhì)量控制與服務(wù)風(fēng)險(xiǎn)、 網(wǎng)上支付風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。而對(duì)于電子商務(wù)風(fēng)險(xiǎn)評(píng)價(jià)的方法,劉偉江(2005)提出了戰(zhàn)略評(píng)估方法,也就是SWOT分析法,這一觀點(diǎn)是基于戰(zhàn)略風(fēng)險(xiǎn)的角度。尹全喜(2010)提出的觀點(diǎn)是可以從系統(tǒng)的角度來(lái)看,規(guī)避風(fēng)險(xiǎn),實(shí)現(xiàn)企業(yè)組織結(jié)構(gòu)優(yōu)化的目標(biāo):一是建立和完善投資風(fēng)險(xiǎn)預(yù)防機(jī)制;第二完善投資風(fēng)險(xiǎn)管理的整個(gè)過(guò)程,并建立財(cái)務(wù)信息系統(tǒng),試圖化解風(fēng)險(xiǎn)。高晨光(2011)提出了一種降低電子商務(wù)風(fēng)險(xiǎn)最簡(jiǎn)單的方法,就是要努力減少電子商務(wù)項(xiàng)目的周期,建議項(xiàng)目周期不超過(guò)90天。
基于上述的研究背景,根據(jù)以往學(xué)者對(duì)于電子商務(wù)風(fēng)險(xiǎn)評(píng)價(jià)的方法和當(dāng)前的研究熱點(diǎn),通過(guò)對(duì)各種評(píng)價(jià)方法的比較發(fā)現(xiàn),層次分析法與模糊綜合評(píng)價(jià)法相結(jié)合更適合電子商務(wù)風(fēng)險(xiǎn)評(píng)價(jià)的研究,本文通過(guò)建立電子商務(wù)風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系,將層次分析法與模糊綜合評(píng)價(jià)法相結(jié)合,以此來(lái)確定各個(gè)安全風(fēng)險(xiǎn)指標(biāo)的權(quán)重和各種風(fēng)險(xiǎn)因素之間的模糊隸屬關(guān)系,并通過(guò)計(jì)算得出電子商務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果,彌補(bǔ)了傳統(tǒng)層次分析法的缺陷,使得出的評(píng)價(jià)結(jié)果更加具有科學(xué)性與合理性。
2.模型構(gòu)建
2.1層次分析法與模糊綜合評(píng)價(jià)法的數(shù)學(xué)原理
美國(guó)運(yùn)籌學(xué)家T.L.Saaty(薩蒂)于20世紀(jì)70年代初提出層次分析法。建立層次結(jié)構(gòu)模型、構(gòu)造判斷矩陣、層次單排序及一致性檢驗(yàn)、層次總排序及一致性檢驗(yàn)分別為層次分析法解決問(wèn)題的一般步驟。而通過(guò)模糊集合論方法對(duì)決策活動(dòng)中的人、物、事、方案等進(jìn)行多因素、多目標(biāo)的評(píng)價(jià)和判斷就是模糊綜合評(píng)價(jià)法的一般原理。
2.2建立層次結(jié)構(gòu)模型
本文構(gòu)建了如表3所示的電子商務(wù)風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系:
3.模型與算例分析
電子商務(wù)系統(tǒng)是復(fù)雜的相關(guān)性,是一個(gè)高度集成的協(xié)調(diào)與應(yīng)用程序在同一時(shí)間的系統(tǒng)工程,無(wú)論是在硬件還是軟件;既有外 部的影響,和內(nèi)部的影響,各種因素之間的關(guān)系都相互影響和制約。總之,指標(biāo)的選擇應(yīng)該是全面反映電子商務(wù)信息安全的風(fēng)險(xiǎn)。綜合考慮各種影響因素的安全電子商務(wù)系統(tǒng),首先,目標(biāo)層為建立電子商務(wù)安全風(fēng)險(xiǎn),然后建立規(guī)則層有四個(gè)(C1 - C4):技術(shù)安全風(fēng)險(xiǎn),安全風(fēng)險(xiǎn)管理,通信操作安全、基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)和設(shè)置基礎(chǔ)設(shè)施,并且分別設(shè)定對(duì)應(yīng)的評(píng)價(jià)指標(biāo),總共12項(xiàng)(I1-I12)這樣一個(gè)多層次的電子商務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系。現(xiàn)在依據(jù)所構(gòu)建的指標(biāo)體系,運(yùn)用層次分析法和模糊綜合評(píng)價(jià)法,首先構(gòu)造判斷矩陣,然后計(jì)算指標(biāo)層各指標(biāo)的組合權(quán)重并進(jìn)行一致性檢驗(yàn),最后進(jìn)行模糊綜合評(píng)價(jià),得出電子商務(wù)各指標(biāo)風(fēng)險(xiǎn)的安全評(píng)價(jià)結(jié)果。
本文以某企業(yè)的電子商務(wù)系統(tǒng)作為安全風(fēng)險(xiǎn)分析樣本,通過(guò)運(yùn)用層次分析法與模糊綜合評(píng)價(jià)法相結(jié)合來(lái)評(píng)判該企業(yè)的電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)問(wèn)題。具體表現(xiàn)在如下幾方面:構(gòu)造判斷矩陣、計(jì)算指標(biāo)層各指標(biāo)的組合權(quán)重、進(jìn)行一致性檢驗(yàn)、模糊綜合評(píng)價(jià)、評(píng)價(jià)結(jié)果分析。
4.結(jié)論
如今,社會(huì)信息化的重要領(lǐng)域就是電子商務(wù),電子商務(wù)也有助于建立社會(huì)主義和諧。但是電子商務(wù)風(fēng)險(xiǎn)的復(fù)雜性較大并且影響其風(fēng)險(xiǎn)的因素多種多樣,綜合國(guó)內(nèi)外形勢(shì)來(lái)看,目前能夠建立起的定性且定量衡量電子商務(wù)風(fēng)險(xiǎn)的模型不多。而可以用于多準(zhǔn)則評(píng)估,并且根據(jù)相對(duì)重要性判斷矩陣來(lái)計(jì)算出每一個(gè)指標(biāo)的綜合重要程度是層次分析法的優(yōu)點(diǎn),但是這一方法缺乏對(duì)權(quán)重系數(shù)的抗干擾性,還有對(duì)模糊信息的處理能力較差;相比較之下模糊評(píng)價(jià)綜合法則可以處理不夠準(zhǔn)確的信息,所以,兩者相結(jié)合來(lái)評(píng)價(jià)電子商務(wù)風(fēng)險(xiǎn),就能夠?qū)崿F(xiàn)定量和定性相結(jié)合的評(píng)價(jià)方法,克服兩種方法各自的不足之處。從而通過(guò)綜合分析得出電子商務(wù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果,以此達(dá)到避免或減少電子商務(wù)風(fēng)險(xiǎn)的目的。 (作者單位:廣西科技大學(xué)管理學(xué)院)
參考文獻(xiàn):
[1] Greenstein Marilyn.,F(xiàn)einman Todd M.E-Commerce: security risk management and control [M].北京: 華夏出版社, 2001.
[2] 曾小春,孫寧.基于消費(fèi)者的電子商務(wù)風(fēng)險(xiǎn)界定及度量[J].當(dāng)代經(jīng)濟(jì)科學(xué),2007(03).
[3] 劉偉江,王勇.電子商務(wù)風(fēng)險(xiǎn)及控制策略[J].東北師大學(xué)報(bào), 2005(01).
第5篇:電子商務(wù)安全的重要性范文
[關(guān)鍵詞]互聯(lián)網(wǎng);電子商務(wù);系統(tǒng)安全;數(shù)據(jù)安全;網(wǎng)絡(luò)系統(tǒng)
一、前言
近年來(lái),隨著因特網(wǎng)的普及日漸迅速,電子交易開(kāi)始融入人們的日常生活中,網(wǎng)上訂貨、網(wǎng)上繳費(fèi)等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式,越來(lái)越多的人開(kāi)始使用電子商務(wù)網(wǎng)站來(lái)傳遞各種信息,并進(jìn)行各種交易。電子商務(wù)網(wǎng)站傳遞各種商務(wù)信息依靠的是互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個(gè)完全開(kāi)放的網(wǎng)絡(luò),任何一臺(tái)計(jì)算機(jī)、任何一個(gè)網(wǎng)絡(luò)都可以與之相連。它又是無(wú)國(guó)界的,沒(méi)有管理權(quán)威,“是世界唯一的無(wú)政府領(lǐng)地”,因此,網(wǎng)上的安全風(fēng)險(xiǎn)就構(gòu)成了對(duì)電子商務(wù)的安全威脅。
從發(fā)展趨勢(shì)來(lái)看,電子商務(wù)正在形成全球性的發(fā)展潮流。電子商務(wù)的存在和發(fā)展,是以網(wǎng)絡(luò)技術(shù)的革新為前提。電子商務(wù)系統(tǒng)的構(gòu)建、運(yùn)行及維護(hù),都離不開(kāi)技術(shù)的支持。同時(shí),因?yàn)殡娮由虅?wù)適合于各種大、小型企業(yè),所以應(yīng)充分考慮如何保證電子商務(wù)網(wǎng)站的安全。
二、電子商務(wù)網(wǎng)站的安全控制
電子商務(wù)的基礎(chǔ)平臺(tái)是互聯(lián)網(wǎng),電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題就是交易的安全性。由于Internet本身的開(kāi)放性,使網(wǎng)上交易面臨了種種危險(xiǎn),也由此提出了相應(yīng)的安全控制要求。
下面從技術(shù)手段的角度,從系統(tǒng)安全與數(shù)據(jù)安全的不同層面來(lái)探討電子商務(wù)中出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題。
(一)系統(tǒng)安全
在電子商務(wù)中,網(wǎng)絡(luò)安全一般包括以下兩個(gè)方面:
1.信息保密的安全
交易中的商務(wù)信息均有保密的要求。如信用卡的帳號(hào)和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競(jìng)爭(zhēng)對(duì)手獲悉,就可能喪失商機(jī)。因此在電子商務(wù)的信息傳播中一般均有加密的要求。
2.交易者身份的安全
網(wǎng)上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認(rèn)對(duì)方的身份,對(duì)商家要考慮客戶端不能是騙子,而客戶也會(huì)考慮網(wǎng)上的商店是否是黑店。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。
對(duì)于一個(gè)企業(yè)來(lái)說(shuō),信息的安全尤為重要,這種安全首先取決于系統(tǒng)的安全。系統(tǒng)安全主要包括網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)三個(gè)層次。系統(tǒng)安全采用的技術(shù)和手段有冗余技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、訪問(wèn)控制技術(shù)、身份鑒別技術(shù)、加密技術(shù)、監(jiān)控審計(jì)技術(shù)、安全評(píng)估技術(shù)等。
(1)網(wǎng)絡(luò)系統(tǒng)
網(wǎng)絡(luò)系統(tǒng)安全是網(wǎng)絡(luò)的開(kāi)放性、無(wú)邊界性、自由性造成,安全解決的關(guān)鍵是把被保護(hù)的網(wǎng)絡(luò)從開(kāi)放、無(wú)邊界、自由的環(huán)境中獨(dú)立出來(lái),使網(wǎng)絡(luò)成為可控制、管理的內(nèi)部系統(tǒng),由于網(wǎng)絡(luò)系統(tǒng)是應(yīng)用系統(tǒng)的基礎(chǔ),網(wǎng)絡(luò)安全便成為首要問(wèn)題。解決網(wǎng)絡(luò)安全主要方式有:
網(wǎng)絡(luò)冗余——它是解決網(wǎng)絡(luò)系統(tǒng)單點(diǎn)故障的重要措施。對(duì)關(guān)鍵性的網(wǎng)絡(luò)線路、設(shè)備,通常采用雙備份或多備份的方式。網(wǎng)絡(luò)運(yùn)行時(shí)雙方對(duì)運(yùn)營(yíng)狀態(tài)相互實(shí)時(shí)監(jiān)控并自動(dòng)調(diào)整,當(dāng)網(wǎng)絡(luò)的一段或一點(diǎn)發(fā)生故障或網(wǎng)絡(luò)信息流量突變時(shí)能在有效時(shí)間內(nèi)進(jìn)行切換分配,保證網(wǎng)絡(luò)正常的運(yùn)行。
系統(tǒng)隔離——分為物理隔離和邏輯隔離,主要從網(wǎng)絡(luò)安全等級(jí)考慮劃分合理的網(wǎng)絡(luò)安全邊界,使不同安全級(jí)別的網(wǎng)絡(luò)或信息媒介不能相互訪問(wèn),從而達(dá)到安全目的。對(duì)業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)采用VLAN技術(shù)和通信協(xié)議實(shí)行邏輯隔離劃分不同的應(yīng)用子網(wǎng)。
訪問(wèn)控制——對(duì)于網(wǎng)絡(luò)不同信任域?qū)崿F(xiàn)雙向控制或有限訪問(wèn)原則,使受控的子網(wǎng)或主機(jī)訪問(wèn)權(quán)限和信息流向能得到有效控制。具體相對(duì)網(wǎng)絡(luò)對(duì)象而言需要解決網(wǎng)絡(luò)的邊界的控制和網(wǎng)絡(luò)內(nèi)部的控制,對(duì)于網(wǎng)絡(luò)資源來(lái)說(shuō)保持有限訪問(wèn)的原則,信息流向則可根據(jù)安全需求實(shí)現(xiàn)單向或雙向控制。訪問(wèn)控制最重要的設(shè)備就是防火墻,它一般安置在不同安全域出入口處,對(duì)進(jìn)出網(wǎng)絡(luò)的IP信息包進(jìn)行過(guò)濾并按企業(yè)安全政策進(jìn)行信息流控制,同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實(shí)時(shí)信息審計(jì)警告等功能,高級(jí)防火墻還可實(shí)現(xiàn)基于用戶的細(xì)粒度的訪問(wèn)控制。
身份鑒別——是對(duì)網(wǎng)絡(luò)訪問(wèn)者權(quán)限的識(shí)別,一般通過(guò)三種方式驗(yàn)證主體身份,一是主體了解的秘密,如用戶名、口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動(dòng)態(tài)口令卡和令牌卡等;三是主體特征或能力,如指紋、聲音、視網(wǎng)膜、簽名等。加密是為了防止網(wǎng)絡(luò)上的竊聽(tīng)、泄漏、篡改和破壞,保證信息傳輸安全,對(duì)網(wǎng)上數(shù)據(jù)使用加密手段是最為有效的方式。目前加密可以在三個(gè)層次來(lái)實(shí)現(xiàn),即鏈路層加密、網(wǎng)絡(luò)層加密和應(yīng)用層加密。鏈路加密側(cè)重通信鏈路而不考慮信源和信宿,它對(duì)網(wǎng)絡(luò)高層主體是透明的。網(wǎng)絡(luò)層加密采用IPSEC核心協(xié)議,具有加密、認(rèn)證雙重功能,是在IP層實(shí)現(xiàn)的安全標(biāo)準(zhǔn)。通過(guò)網(wǎng)絡(luò)加密可以構(gòu)造企業(yè)內(nèi)部的虛擬專網(wǎng)(VPN),使企業(yè)在較少投資下得到安全較大的回報(bào),并保證用戶的應(yīng)用安全。
安全監(jiān)測(cè)——采取信息偵聽(tīng)的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試和違規(guī)行為,包括網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警、阻斷、記錄、跟蹤等,從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡(luò)掃描監(jiān)測(cè)系統(tǒng)作為對(duì)付電腦黑客最有效的技術(shù)手段,具有實(shí)時(shí)、自適應(yīng)、主動(dòng)識(shí)別和響應(yīng)等特征,廣泛用于各行各業(yè)。網(wǎng)絡(luò)掃描是針對(duì)網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測(cè)和分析,包括網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器等,從而識(shí)別能被入侵者利用非法進(jìn)入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對(duì)檢測(cè)到的漏洞信息形成詳細(xì)報(bào)告,包括位置、詳細(xì)描述和建議的改進(jìn)方案,使網(wǎng)管能檢測(cè)和管理安全風(fēng)險(xiǎn)信息。
(2)操作系統(tǒng)
操作系統(tǒng)是管理計(jì)算機(jī)資源的核心系統(tǒng),負(fù)責(zé)信息發(fā)送、管理設(shè)備存儲(chǔ)空間和各種系統(tǒng)資源的調(diào)度,它作為應(yīng)用系統(tǒng)的軟件平臺(tái)具有通用性和易用性,操作系統(tǒng)安全性直接關(guān)系到應(yīng)用系統(tǒng)的安全,操作系統(tǒng)安全分為應(yīng)用安全和安全漏洞掃描。
應(yīng)用安全——面向應(yīng)用選擇可靠的操作系統(tǒng),可以杜絕使用來(lái)歷不明的軟件。用戶可安裝操作系統(tǒng)保護(hù)與恢復(fù)軟件,并作相應(yīng)的備份。
系統(tǒng)掃描——基于主機(jī)的安全評(píng)估系統(tǒng)是對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別進(jìn)行劃分,并提供完整的安全漏洞檢查列表,通過(guò)不同版本的操作系統(tǒng)進(jìn)行掃描分析,對(duì)掃描漏洞自動(dòng)修補(bǔ)形成報(bào)告,保護(hù)應(yīng)用程序、數(shù)據(jù)免受盜用、破壞。
(3)應(yīng)用系統(tǒng)
辦公系統(tǒng)文件(郵件)的安全存儲(chǔ):利用加密手段,配合相應(yīng)的身份鑒別和密鑰保護(hù)機(jī)制(IC卡、PCMCIA安全PC卡等),使得存儲(chǔ)于本機(jī)和網(wǎng)絡(luò)服務(wù)器上的個(gè)人和單位重要文件處于安全存儲(chǔ)的狀態(tài),使得他人即使通過(guò)各種手段非法獲取相關(guān)文件或存儲(chǔ)介質(zhì)(硬盤(pán)等),也無(wú)法獲得相關(guān)文件的內(nèi)容。
文件(郵件)的安全傳送:對(duì)通過(guò)網(wǎng)絡(luò)(遠(yuǎn)程或近程)傳送給他人的文件進(jìn)行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過(guò)相應(yīng)的安全鑒別機(jī)制(IC卡、PCMCIAPC卡)才能解密并閱讀,杜絕了文件在傳送或到達(dá)對(duì)方的存儲(chǔ)過(guò)程中被截獲、篡改等,主要用于信息網(wǎng)中的報(bào)表傳送、公文下發(fā)等。
業(yè)務(wù)系統(tǒng)的安全:主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求。對(duì)通用信息服務(wù)系統(tǒng)(電子郵件系統(tǒng)、WEB信息服務(wù)系統(tǒng)、FTP服務(wù)系統(tǒng)等)采用基于應(yīng)用開(kāi)發(fā)安全軟件,如安全郵件系統(tǒng)、WEB頁(yè)面保護(hù)等;對(duì)業(yè)務(wù)信息可以配合管理系統(tǒng)采取對(duì)信息內(nèi)容的審計(jì)稽查,防止外部非法信息侵入和內(nèi)部敏感信息泄漏。
(二)數(shù)據(jù)安全
數(shù)據(jù)安全牽涉到數(shù)據(jù)庫(kù)的安全和數(shù)據(jù)本身安全,針對(duì)兩者應(yīng)有相應(yīng)的安全措施。
數(shù)據(jù)庫(kù)安全——大中型企業(yè)一般采用具有一定安全級(jí)別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫(kù),基于數(shù)據(jù)庫(kù)的重要性,應(yīng)在此基礎(chǔ)上開(kāi)發(fā)一些安全措施,增加相應(yīng)控件,對(duì)數(shù)據(jù)庫(kù)分級(jí)管理并提供可靠的故障恢復(fù)機(jī)制,實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)、存取、加密控制。具體實(shí)現(xiàn)方法有安全數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)庫(kù)保密系統(tǒng)、數(shù)據(jù)庫(kù)掃描系統(tǒng)等。
數(shù)據(jù)安全——指存儲(chǔ)在數(shù)據(jù)庫(kù)數(shù)據(jù)本身的安全,相應(yīng)的保護(hù)措施有安裝反病毒軟件,建立可靠的數(shù)據(jù)備份與恢復(fù)系統(tǒng),某些重要數(shù)據(jù)甚至可以采取加密保護(hù)。
(三)網(wǎng)絡(luò)交易平臺(tái)的安全
網(wǎng)上交易安全位于系統(tǒng)安全風(fēng)險(xiǎn)之上,在數(shù)據(jù)安全風(fēng)險(xiǎn)之下。只有提供一定的安全保證,在線交易的網(wǎng)民才會(huì)具有安全感,電子商務(wù)網(wǎng)站才會(huì)具有發(fā)展的空間。
交易安全標(biāo)準(zhǔn)——目前在電子商務(wù)中主要的安全標(biāo)準(zhǔn)有兩種:應(yīng)用層的SET(安全電子交易)和會(huì)話層SSL(安全套層)協(xié)議。前者由信用卡機(jī)構(gòu)VISA及MasterCard提出的針對(duì)電子錢(qián)包/商場(chǎng)/認(rèn)證中心的安全標(biāo)準(zhǔn),主要用于銀行等金融機(jī)構(gòu);后者由NETSCAPE公司提出針對(duì)數(shù)據(jù)的機(jī)密性/完整性/身份確認(rèn)/開(kāi)放性的安全協(xié)議,事實(shí)上已成為WWW應(yīng)用安全標(biāo)準(zhǔn)。
交易安全基礎(chǔ)體系——交易安全基礎(chǔ)是現(xiàn)代密碼技術(shù),依賴于加密方法和強(qiáng)度。加密分為單密鑰的對(duì)稱加密體系和雙密鑰的非對(duì)稱加密體系。兩者各有所長(zhǎng),對(duì)稱密鑰具有加密效率高,但存在密鑰分發(fā)困難、管理不便的弱點(diǎn);非對(duì)稱密鑰加密速度慢,但便于密鑰分發(fā)管理。通常把兩者結(jié)合使用,以達(dá)到高效安全的目的。
交易安全的實(shí)現(xiàn)——交易安全的實(shí)現(xiàn)主要有交易雙方身份確認(rèn)、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性、防止雙方對(duì)交易結(jié)果的抵賴等等。具體實(shí)現(xiàn)的途徑是交易各方具有相關(guān)身份證明,同時(shí)在SSL協(xié)議體系下完成交易過(guò)程中電子證書(shū)驗(yàn)證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認(rèn)審計(jì)等。
隨著電子商務(wù)的發(fā)展,網(wǎng)上交易越來(lái)越頻繁,調(diào)用每項(xiàng)服務(wù)時(shí)需要用戶證明身份,也需要這些服務(wù)器向客戶證明他們自己的身份。而保障身份安全的最有效的技術(shù)就是PKI技術(shù)。
PKI的應(yīng)用在我國(guó)還處于起步階段,目前我國(guó)大多數(shù)企業(yè)只是在應(yīng)用它的CA認(rèn)證技術(shù)。CA(CertificationAuthorty)是一個(gè)確保信任度的權(quán)威實(shí)體,主要職責(zé)是頒發(fā)證書(shū)、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書(shū),任何相信該CA的人,按照第三方信任原則,都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書(shū)被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的,這不僅與密碼學(xué)有關(guān)系,而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外,靈活也是CA能否得到市場(chǎng)認(rèn)同的一個(gè)關(guān)鍵,它不需支持各種通用的國(guó)際標(biāo)準(zhǔn),并能很好地和其他廠家的CA產(chǎn)品兼容。在不久的將來(lái),PKI技術(shù)會(huì)在電子商務(wù)和網(wǎng)絡(luò)安全中得到更廣泛的應(yīng)用,從而真正保障用戶和商家的身份安全。
三、目前信息安全的研究方向
從歷史角度看,我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段,正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段,現(xiàn)已開(kāi)發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域,它綜合利用了數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果,提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案,從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開(kāi)展研究,各部分相互協(xié)同形成有機(jī)整體。
安全協(xié)議作為信息安全的重要內(nèi)容,其形式化方法分析始于80年代初,目前有基于狀態(tài)機(jī)、模態(tài)邏輯和代數(shù)工具的三種分析方法,但仍有局限性和漏洞,處于發(fā)展的提高階段。作為信息安全關(guān)鍵技術(shù)密碼學(xué),近年來(lái)空前活躍,美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會(huì)議頻繁。1976年美國(guó)學(xué)者提出的公開(kāi)密鑰密碼體制,克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難,同時(shí)解決了數(shù)字簽名問(wèn)題,它是當(dāng)前研究的熱點(diǎn)。
目前電子商務(wù)的安全性已是當(dāng)前人們普遍關(guān)注的焦點(diǎn),它正處于研究和發(fā)展階段,并帶動(dòng)了論證理論、密鑰管理等研究。由于計(jì)算機(jī)運(yùn)算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術(shù)出處于探索之中。在我國(guó),信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開(kāi)發(fā)雖處于起步階段,有大量的工作需要我們?nèi)パ芯俊㈤_(kāi)發(fā)和探索,但我們相信在不久的將來(lái),會(huì)走出一條有中國(guó)特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路,趕上或超過(guò)發(fā)達(dá)國(guó)家的水平,以此保證我國(guó)信息網(wǎng)絡(luò)的安全,推動(dòng)我國(guó)國(guó)民經(jīng)濟(jì)的高速發(fā)展。
四、結(jié)束語(yǔ)
電子商務(wù)是以互聯(lián)網(wǎng)為活動(dòng)平臺(tái)的電子交易,它是繼電子貿(mào)易(EDI)之后的新一代電子數(shù)據(jù)交換形式。計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展與普及,直接帶動(dòng)電子商務(wù)的發(fā)展。因此計(jì)算機(jī)網(wǎng)絡(luò)安全的要求更高,涉及面更廣,不但要求防治病毒,還要提高系統(tǒng)抵抗外來(lái)非法黑客入侵的能力,還要提高對(duì)遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋C苄?避免在傳輸途中遭受非法竊取,以保證系統(tǒng)本身安全性,如服務(wù)器自身穩(wěn)定性,增強(qiáng)自身抵抗能力,杜絕一切可能讓黑客入侵的渠道等等。對(duì)重要商業(yè)應(yīng)用,還必須加上防火墻和數(shù)據(jù)加密技術(shù)加以保護(hù)。在數(shù)據(jù)加密方面,更重要的是不斷提高和改進(jìn)數(shù)據(jù)加密技術(shù),使不法分子難有可乘之機(jī)。
參考文獻(xiàn):
[1]佚名.解析電子商務(wù)安全[EB/OL].
[2]佚名.網(wǎng)絡(luò)構(gòu)建與維護(hù)[EB/OL].2006-07-16.
[3]洪國(guó)彬.電子商務(wù)安全與管理[M].北京:電子工業(yè)出版社,2006.
第6篇:電子商務(wù)安全的重要性范文
此次調(diào)查以國(guó)內(nèi)120家企事業(yè)單位為調(diào)查對(duì)象,涉及教育、信息技術(shù)單位、機(jī)械制造、政府機(jī)關(guān)、金融服務(wù)等五個(gè)行業(yè),大多數(shù)處于江蘇省南京地區(qū)。調(diào)查時(shí)間范圍從2002年3月到2002年12月。有72家被調(diào)查單位填寫(xiě)并寄回問(wèn)卷,有效率為60%。
被訪單位以中小型單位居多,其中200-400人以上的單位占六成以上,另外值得強(qiáng)調(diào)的是,本次調(diào)查的針對(duì)性極強(qiáng),被訪者多為單位的科技、信息或電腦主管、計(jì)算機(jī)專業(yè)人員和管理決策層人士,對(duì)網(wǎng)絡(luò)安全產(chǎn)品有極高的認(rèn)知程度。從事計(jì)算機(jī)相關(guān)工作的被訪者達(dá)90%強(qiáng),其中科技、信息或電腦主管占56.1%。
調(diào)查的內(nèi)容主要包括被調(diào)查單位自然狀況、網(wǎng)絡(luò)應(yīng)用狀況、網(wǎng)絡(luò)信息安全的軟硬件(包括規(guī)章制度)、緊急情況及應(yīng)對(duì)措施和政府政策的支持等五個(gè)方面。
由此可見(jiàn),本次調(diào)查的結(jié)果具有一定的代表性。
一、網(wǎng)絡(luò)安全問(wèn)題不容樂(lè)觀
Internet技術(shù)的高速發(fā)展帶動(dòng)了單位及政府各部門(mén)的上網(wǎng)工程,他們紛紛采用先進(jìn)的互聯(lián)網(wǎng)技術(shù)建立自己的內(nèi)部辦公網(wǎng)(Intranet)。在被訪的單位中,“已經(jīng)建立”單位內(nèi)部網(wǎng)(Intranet)的單位達(dá)82.3%,“正在規(guī)劃”的單位占15.0%,只有2.7%的單位還未考慮單位內(nèi)部網(wǎng)的建設(shè)。在Intranet已建成的單位中,平均每單位擁有1.3臺(tái)服務(wù)器及28.4臺(tái)客戶終端。
當(dāng)問(wèn)及被訪者對(duì)于信息系統(tǒng)安全的認(rèn)識(shí)時(shí),92.2%的被訪者認(rèn)為信息系統(tǒng)的安全事關(guān)單位運(yùn)行,其余認(rèn)為不很重要的被訪單位均還未建立單位內(nèi)部網(wǎng)。由此看來(lái),享受到信息共享的單位已充分意識(shí)到網(wǎng)絡(luò)安全的重要性。在信息安全的六個(gè)領(lǐng)域,被訪者對(duì)其重要性的認(rèn)知不一,90.3%的被訪者認(rèn)為病毒防護(hù)最重要,81.7%的被訪者認(rèn)為防止來(lái)自Internet的惡意入侵的重要性次之,排名第三重要的為服務(wù)器及數(shù)據(jù)庫(kù)應(yīng)用的訪問(wèn)控制和內(nèi)部用戶口令管理、安全審計(jì)(均為75.9%),第四、五位為數(shù)據(jù)加密和虛擬單位網(wǎng)(59.4%)和身份鑒別、電子簽名(58.8%)。
在已建立單位內(nèi)部網(wǎng)的單位中,其信息安全領(lǐng)域亟待解決的問(wèn)題分別有病毒防護(hù)、防止來(lái)自Internet的惡意入侵、服務(wù)器及數(shù)據(jù)庫(kù)應(yīng)用的訪問(wèn)控制、內(nèi)部用戶口令管理、安全審計(jì)、身份鑒別、電子簽名、數(shù)據(jù)加密和虛擬單位網(wǎng)。電腦主管對(duì)以上問(wèn)題處理的緊急程度可以體現(xiàn)出其問(wèn)題的重要性。在以上單位中,68.2%的被訪單位已感受到網(wǎng)絡(luò)安全的威脅,其中35.8%的被訪者認(rèn)為威脅主要來(lái)自于單位外部,另外32.4%的被訪者認(rèn)為威脅主要源于內(nèi)部。
二、安全投入有待提高
從技術(shù)層面來(lái)看,網(wǎng)絡(luò)安全現(xiàn)在已經(jīng)有了各種各樣的解決方案,但在實(shí)際應(yīng)用過(guò)程中,真正重視網(wǎng)絡(luò)安全的單位并不是很多。在國(guó)外單位的IT投資中,網(wǎng)絡(luò)安全投資將占20~30%,而在中國(guó),單位對(duì)網(wǎng)絡(luò)安全的投資在整個(gè)IT系統(tǒng)投資中的比例不到10%。本次調(diào)查結(jié)果驗(yàn)證了這一說(shuō)法,高達(dá)75.5%的被訪單位能夠接受網(wǎng)絡(luò)安全產(chǎn)品投資在信息化建設(shè)總投資中的比例都在五個(gè)百分點(diǎn)以下。
“服務(wù)是增值商品”的概念在中國(guó)還不普及。在問(wèn)及被訪者是否愿意接受免費(fèi)或低價(jià)但需為此支付服務(wù)費(fèi)用的網(wǎng)絡(luò)安全產(chǎn)品時(shí),53.8%被訪者愿意,29.5%的被訪者認(rèn)為無(wú)所謂,16.7%被訪者明確表示不愿意。在愿意接受服務(wù)費(fèi)用的被訪者中,比例也不高,通常都在3%以下。
三、曾遇到的網(wǎng)絡(luò)安全問(wèn)題及其處理
在問(wèn)及被訪單位遭受病毒侵害的悲慘遭遇時(shí),有18.0%的被訪單位很慶幸地回答“從沒(méi)有”遭受過(guò)病毒的侵害。在遭受侵害的單位中,頻率多為一年或更長(zhǎng)(21.3%)、一個(gè)季度(21.0%)、半年(18.3%)和一個(gè)月(16.2%)。為免遭病毒和黑客的侵?jǐn)_造成損失,14.8%的單位時(shí)時(shí)備份數(shù)據(jù),25.3%的單位每天備份一次數(shù)據(jù),28.2%的單位每周做一次備份,23.0%的被訪單位的備份頻率較為稀疏,為8天或更長(zhǎng)時(shí)間。從以上數(shù)據(jù)中我們發(fā)現(xiàn),單位備份數(shù)據(jù)的周期通常為時(shí)時(shí)備份、當(dāng)天、一周。在從不備份的單位中,多是從未嘗試到病毒威力或長(zhǎng)時(shí)間未遭受侵害的單位。在單位備份數(shù)據(jù)和文件時(shí)使用最多的介質(zhì)是可擦寫(xiě)光盤(pán)(48.8%)、軟盤(pán)(44.2%)和磁帶機(jī)(37.8%)。
隨著互聯(lián)網(wǎng)的日益普及,計(jì)算機(jī)安全問(wèn)題不再僅僅局限于單機(jī)安全。由于病毒不僅可以通過(guò)軟盤(pán),而且能通過(guò)網(wǎng)絡(luò)傳播,隨著聯(lián)入因特網(wǎng)的用戶不斷增加,受國(guó)際病毒傳播的機(jī)率大大增加,所以,使得計(jì)算機(jī)病毒防范、防治范圍也不斷擴(kuò)大,加之計(jì)算機(jī)犯罪的手段近年來(lái)出現(xiàn)日趨新穎化、多樣化和隱蔽化的發(fā)展態(tài)勢(shì)。據(jù)被訪者對(duì)于不同類別的安全防護(hù)產(chǎn)品的市場(chǎng)潛力預(yù)測(cè)顯示,網(wǎng)絡(luò)防病毒產(chǎn)品的市場(chǎng)潛力最大,為54.3%,其次為網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品(20.1%),再次為端到端安全通道及認(rèn)證(13.8%),網(wǎng)絡(luò)安全評(píng)估審計(jì)產(chǎn)品和VPN產(chǎn)品的潛力較小,分別為7.9%和3.9%,由此可見(jiàn)病毒給單位帶來(lái)的巨大壓力。
調(diào)查顯示,所有單位遇到的首要網(wǎng)絡(luò)安全問(wèn)題是病毒襲擊,其他安全問(wèn)題依次是:未授權(quán)的信息存取、網(wǎng)站內(nèi)容遭破壞、未授權(quán)的數(shù)據(jù)或配置的更改。從規(guī)模來(lái)看,50~100人的單位遇到的安全問(wèn)題最多;
對(duì)于網(wǎng)絡(luò)安全產(chǎn)品,目前使用最多的是防病毒軟件,在200個(gè)被訪用戶中,有191個(gè)正在使用防病毒產(chǎn)品,占總數(shù)的95.5%;其次是防火墻產(chǎn)品,使用者占45.0%。
在問(wèn)及遭到攻擊后是否向政府相關(guān)法律部門(mén)報(bào)告時(shí),65%的單位選擇不會(huì),其中70%認(rèn)為報(bào)告會(huì)引發(fā)消極影響(例如客戶對(duì)其保護(hù)其私人信息安全的能力的懷疑),12%的人為不知道向哪個(gè)部門(mén)報(bào)告,還有8%的認(rèn)為采取內(nèi)部補(bǔ)救措施比報(bào)告來(lái)得更好。
四、最迫切需要的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)
調(diào)查顯示,目前有36.5%的用戶對(duì)網(wǎng)絡(luò)安全產(chǎn)品無(wú)需求,無(wú)需求主要有兩種情況:一是已有網(wǎng)絡(luò)安全產(chǎn)品,暫無(wú)需求(70%);二是目前未遇到安全問(wèn)題,購(gòu)買(mǎi)安全產(chǎn)品還未納入議事日程(30%)。接下來(lái),需要的網(wǎng)絡(luò)安全產(chǎn)品是防火墻、防病毒、黑客入侵監(jiān)測(cè),分別占被訪者的31.5%、26.0%和18.5%。前兩種產(chǎn)品又是目前使用最多的產(chǎn)品,對(duì)于防病毒產(chǎn)品,單機(jī)版占近一半。黑客入侵監(jiān)測(cè)、漏洞掃描等也有許多用戶迫切需求,這說(shuō)明一些用戶的總體網(wǎng)絡(luò)安全意識(shí)已經(jīng)提高。
在問(wèn)及希望政府的支持方面,76.3%的單位認(rèn)為政府相關(guān)部門(mén)應(yīng)開(kāi)通企業(yè)信息化管理咨詢熱線提供對(duì)口技術(shù)支持,20%希望政府開(kāi)設(shè)信息安全方面的免費(fèi)講座。96%的認(rèn)為應(yīng)該加強(qiáng)相關(guān)法律建設(shè)。
調(diào)查報(bào)告最后認(rèn)為,我國(guó)國(guó)內(nèi)企業(yè)的信息化基礎(chǔ)建設(shè)整體還比較落后,投入較少,對(duì)網(wǎng)絡(luò)信息安全缺乏足夠的重視,網(wǎng)絡(luò)信息安全前景不容樂(lè)觀。
南京審計(jì)學(xué)院《網(wǎng)絡(luò)經(jīng)濟(jì)及其風(fēng)險(xiǎn)防范》課題組
第7篇:電子商務(wù)安全的重要性范文
關(guān)鍵詞:實(shí)訓(xùn)設(shè)置;實(shí)訓(xùn)探討;商務(wù)安全
中圖分類號(hào):G424文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)32-1260-02
1引言
隨著電子商務(wù)應(yīng)用的推廣,近年來(lái),各院校都開(kāi)設(shè)了電子商務(wù)專業(yè)。電子商務(wù)專業(yè)作為一門(mén)交叉學(xué)科,目前專業(yè)體系建設(shè)很不完善。《電子商務(wù)安全》作為電子商務(wù)主干課程,在實(shí)訓(xùn)中同樣存在很多問(wèn)題,如何借助網(wǎng)絡(luò)資源、實(shí)訓(xùn)平臺(tái),如何整合電子商務(wù)知識(shí),如何做到實(shí)訓(xùn)內(nèi)容的開(kāi)放式教學(xué),就成為課程改革的重點(diǎn)。
2 《電子商務(wù)安全》課程的必要性、重要性
電子商務(wù)使得人們可以在網(wǎng)上通過(guò)建立網(wǎng)站樹(shù)立企業(yè)的形象,自己的產(chǎn)品信息,宣傳產(chǎn)品廣告,提供售后服務(wù),甚至可以進(jìn)行網(wǎng)上談判、電子合同簽定、電子交易和資金結(jié)算等。但是,一方面電子商務(wù)給我們帶來(lái)了便利,同時(shí)在進(jìn)行電子商務(wù)活動(dòng)時(shí),需要在internet上傳輸消費(fèi)者和商家的一些機(jī)密信息,如用戶信用卡號(hào)、商家用戶信息和訂購(gòu)信息等,而這些信息一直是網(wǎng)絡(luò)非法入侵者或黑客攻擊目標(biāo)。如何保證電子商務(wù)安全,如何對(duì)敏感信息和個(gè)人信息提供機(jī)密性保障、認(rèn)證交易雙方的合法身份以及保證數(shù)據(jù)的完整性和交易的不可否認(rèn)性等,已經(jīng)成為電子商務(wù)發(fā)展的瓶頸,這些問(wèn)題的擔(dān)心也是導(dǎo)致很多人不愿意進(jìn)行網(wǎng)上購(gòu)物和支付的主要原因。所以掌握電子商務(wù)安全是必要的。
3 《電子商務(wù)安全》課程內(nèi)容介紹
《電子商務(wù)安全》課程內(nèi)容主要包括:電子商務(wù)安全概述、信息安全技術(shù)、網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全技術(shù)、電子商務(wù)的認(rèn)證與安全電子郵件技術(shù)、電子支付、安全電子交易協(xié)議SET、安全套接層協(xié)議SSL和安全電子商務(wù)應(yīng)用等內(nèi)容。高職計(jì)算機(jī)專業(yè)學(xué)生在學(xué)習(xí)《網(wǎng)絡(luò)安全》時(shí)更注重理論學(xué)習(xí),而電子商務(wù)專業(yè)的高職高專,技校學(xué)生,在學(xué)習(xí)《電子商務(wù)安全》理論以夠用為度,要求突出實(shí)用性,突出對(duì)基本理論、基本技能和技術(shù)應(yīng)用能力的培養(yǎng)。所以在設(shè)置實(shí)訓(xùn)時(shí)要把握這個(gè)度。
4 《電子商務(wù)安全》課程實(shí)訓(xùn)特色、存在的問(wèn)題
《電子商務(wù)安全》課程實(shí)訓(xùn)顯著特色商務(wù)性,可操作性,實(shí)用性。上機(jī)時(shí)還涉及銀行卡網(wǎng)上支付,所以對(duì)安全要求更高。實(shí)訓(xùn)課時(shí)一般20學(xué)時(shí)左右,按2個(gè)學(xué)時(shí)完成一個(gè)實(shí)驗(yàn),就要有10個(gè)實(shí)驗(yàn)。目前許多《電子商務(wù)安全》教材在實(shí)訓(xùn)設(shè)置方面做得不好,配套的實(shí)訓(xùn)手冊(cè)很少,主要存在以下問(wèn)題:一是偏重網(wǎng)絡(luò)安全技術(shù)方面;二是內(nèi)容少,重復(fù)性較多,體現(xiàn)不了電子商務(wù)安全應(yīng)用與網(wǎng)絡(luò)安全應(yīng)用結(jié)合;三是實(shí)訓(xùn)目的不夠明確,實(shí)訓(xùn)操作過(guò)程不夠清楚,沒(méi)有很好結(jié)合理論知識(shí)。
5 《電子商務(wù)安全》課程實(shí)訓(xùn)改革的思路與對(duì)策
《電子商務(wù)安全》實(shí)訓(xùn)設(shè)置應(yīng)強(qiáng)調(diào)理論與實(shí)際的結(jié)合,強(qiáng)調(diào)商務(wù)應(yīng)用。每個(gè)實(shí)訓(xùn)的實(shí)現(xiàn)都能讓學(xué)生學(xué)到實(shí)操技能,體驗(yàn)到商務(wù)安全的重要性,樹(shù)立商務(wù)保密意識(shí),掌握從事電子商務(wù)行業(yè)應(yīng)具備的安全操作技能。根據(jù)電子商務(wù)安全課程要求,對(duì)實(shí)訓(xùn)內(nèi)容分析如下:
在教學(xué)過(guò)程中,每個(gè)模塊可以分配2-4個(gè)學(xué)時(shí)。考慮實(shí)驗(yàn)所使用的軟件更新速度較快,任課老師可以根據(jù)當(dāng)時(shí)情況調(diào)整所使用的軟件和相關(guān)內(nèi)容。
下面以模塊3為例,談實(shí)訓(xùn)設(shè)計(jì)思路。
實(shí)訓(xùn)課題:安全電子郵件。
安全電子郵件是指收發(fā)郵件雙方都擁有電子郵件數(shù)字證書(shū)的前提下,發(fā)件人通過(guò)收件人的數(shù)字證書(shū)對(duì)郵件加密, 如此一來(lái),只有收件人才能閱讀加密的郵件,在Internet上傳遞的電子郵件信息不會(huì)被人竊取,即使郵件被截留或發(fā)錯(cuò)郵件,別人也無(wú)法看到郵件內(nèi)容,保證了用戶之間通信的安全性。
實(shí)訓(xùn)任務(wù):老師的數(shù)字證書(shū)已經(jīng)發(fā)給學(xué)生,學(xué)生用outlook Express(OE)發(fā)三封郵件到老師郵箱,分別是簽名郵件,加密郵件,簽名和加密郵件。
實(shí)訓(xùn)環(huán)境:能夠上網(wǎng)的電腦機(jī)房。
實(shí)訓(xùn)目標(biāo):掌握認(rèn)證中心的功能、OE的配置、證書(shū)的申請(qǐng)/備份、試用型個(gè)人數(shù)字證書(shū)應(yīng)用、用OE發(fā)加密簽名的郵件。
相關(guān)理論:熟悉數(shù)字簽名技術(shù)和郵件加密技術(shù),密碼、公鑰、私鑰、CA、數(shù)字證書(shū)定義及作用。
教學(xué)方式:機(jī)房現(xiàn)場(chǎng)演示實(shí)操,將屏幕錄制專家錄好的操作過(guò)程發(fā)給學(xué)生看。
檢查方式:每次對(duì)完作業(yè)的學(xué)生進(jìn)行登記作為平時(shí)成績(jī)。
安全電子郵件操作步驟:
操作細(xì)則及要點(diǎn):
1) 如何配置OE?
啟動(dòng)OE--點(diǎn)擊菜單欄工具--賬戶--郵件--添加--郵件--輸入姓名,電子郵件地址--設(shè)置好接收郵件,發(fā)送郵件服務(wù)器--輸入密碼--下一步確認(rèn)。常規(guī)設(shè)置中選中“接收郵件或同步時(shí)包含此賬戶”,服務(wù)器設(shè)置中選取中“我的服務(wù)器要求身份驗(yàn)證”。
收郵件,發(fā)送郵件服務(wù)器的設(shè)置可以以web方式登陸郵箱查看。
由于有些郵箱不支持OE客戶端登陸,建議大家注冊(cè)21CN的郵箱。
2) 如何申請(qǐng)證書(shū)?
以在廣東電子商務(wù)認(rèn)證中心為例。登陸/submenu1.asp,點(diǎn)擊試用型個(gè)人數(shù)字證書(shū)申請(qǐng)---安裝證書(shū)鏈,再點(diǎn)繼續(xù)--輸入基本信息,選擇CPS,補(bǔ)充信息--點(diǎn)繼續(xù)--安裝證書(shū)--輸入申請(qǐng)得到的業(yè)務(wù)受理號(hào)和密碼--確認(rèn)--安裝證書(shū)。
證書(shū)申請(qǐng)成功后,打開(kāi)IE--工具--internet選項(xiàng)--內(nèi)容--證書(shū),就可看到申請(qǐng)的證書(shū)詳細(xì)信息。
3) 如何發(fā)簽名郵件?
要發(fā)簽名郵件,先加載證書(shū)到OE。打開(kāi)OE賬戶屬性--安全--選擇對(duì)應(yīng)證書(shū)。
創(chuàng)建新郵件,輸入收件人電子郵件、主題、內(nèi)容,點(diǎn)擊工具欄上的加密圖標(biāo),點(diǎn)擊發(fā)送即可。收到簽名的郵件后會(huì)有一個(gè)“金牌” 的標(biāo)識(shí)。
4) 如何發(fā)加密的郵件?
發(fā)加密的郵件自己不用申請(qǐng)數(shù)字證書(shū)。操作方法一:對(duì)簽名郵件直接進(jìn)行加密回復(fù);方法二:得到收件人的數(shù)字證書(shū)(公鑰),編輯收件人通訊簿時(shí),在“數(shù)字標(biāo)識(shí)”選項(xiàng)卡中,導(dǎo)入收件人的數(shù)字證書(shū)。收到加密的郵件有“鎖” 標(biāo)識(shí)。
5) 如何發(fā)簽名/加密的郵件?
發(fā)簽名/加密郵件自己要申請(qǐng)數(shù)字證書(shū),同時(shí)也要獲得對(duì)方的數(shù)字證書(shū),兩人必須在同一個(gè)認(rèn)證中心申請(qǐng)的證書(shū)。如果一位學(xué)生是在CA365申請(qǐng)證書(shū),另一位學(xué)生是在廣東電子商務(wù)認(rèn)證中心申請(qǐng)證書(shū),則會(huì)出現(xiàn)證書(shū)不兼容性,發(fā)送時(shí)會(huì)提示出錯(cuò)。
6) 如何對(duì)數(shù)字證書(shū)進(jìn)行備份?
打開(kāi)IE--工具--internet選項(xiàng)--內(nèi)容--證書(shū)--選中證書(shū)--導(dǎo)出--下一步--“是,導(dǎo)出私鑰”--下一步--輸入密碼--選擇保存位置--確認(rèn)。如果選擇“不,不要導(dǎo)出私鑰”則不要輸入密碼。當(dāng)在另一臺(tái)電腦接收加密的郵件時(shí),就必須導(dǎo)入證書(shū),否則提示加密出錯(cuò)。
7) 完成實(shí)訓(xùn)報(bào)告
實(shí)訓(xùn)中遇到問(wèn)題及解決程度。
6 實(shí)訓(xùn)準(zhǔn)備
要求機(jī)房能上網(wǎng),考慮到機(jī)房安裝了還原,所以要事先安裝好以下軟件:PGP,Esign,瑞星,360防火墻,超級(jí)兔子或優(yōu)化大師,U盾或K寶證書(shū)客戶端軟件,能夠添加windows組件。
要求每位學(xué)生辦理一張銀行卡并開(kāi)通網(wǎng)上銀行,有工商銀行的U盾或者農(nóng)業(yè)銀行K寶證書(shū)或者是相應(yīng)的口令卡。
第8篇:電子商務(wù)安全的重要性范文
電子商務(wù)(Electronic Commerce),是指對(duì)整個(gè)貿(mào)易活動(dòng)實(shí)現(xiàn)電子化。從涵蓋范圍方面可以定義為:交易各方以電子交易方式而不是通過(guò)當(dāng)面交換或直接面談的方式進(jìn)行的任何形式的商業(yè)交易;從技術(shù)方面可定義為:電子商務(wù)是一種多技術(shù)的集合體,包括交換數(shù)據(jù)(如電子數(shù)據(jù)交換、電子郵件)、獲得數(shù)據(jù)(共享數(shù)據(jù)庫(kù)、電子公告牌)以及自動(dòng)捕獲數(shù)據(jù)(條形碼)等。
一、電子商務(wù)的安全要素
1.真實(shí)性、有效性
真實(shí)性、有效性,即是能對(duì)信息、實(shí)體的真實(shí)性、有效性進(jìn)行鑒別。要對(duì)可能出現(xiàn)的假冒、偽造、篡改等網(wǎng)絡(luò)安全的潛在威脅加以控制和預(yù)防,保證交易數(shù)據(jù)的有效性和真實(shí)性。
2.機(jī)密性
機(jī)密性,即是保證信息不能泄露給非授權(quán)的人或?qū)嶓w。要確保只有合法用戶才能看到數(shù)據(jù),預(yù)防對(duì)信息進(jìn)行的非法存取和信息在傳輸過(guò)程中被非法竊取。
3.完整性
完整性即是保證數(shù)據(jù)的一致性,防止數(shù)據(jù)被非授權(quán)建立、修改和破壞。必須對(duì)電子商務(wù)報(bào)文進(jìn)行完整性檢查,拋棄那些不完整或有修改痕跡的數(shù)據(jù),防止對(duì)信息的隨意生成、修改和刪除,同時(shí)預(yù)防數(shù)據(jù)在傳送過(guò)程中的丟失或重復(fù)。
4.不可否認(rèn)性
不可否認(rèn)性,就是建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為。電子商務(wù)是關(guān)系到雙方或多方的商業(yè)交易,如何確定對(duì)方正是自己期望交易的一方是商務(wù)活動(dòng)順利進(jìn)行的關(guān)鍵。
二、電子商務(wù)的安全技術(shù)
為了保證以上的安全要素在電子商務(wù)中的實(shí)施,滿足電子商務(wù)為交易參與者提供可靠的安全服務(wù)的要求,電子商務(wù)系統(tǒng)必須利用安全技術(shù)來(lái)搭建自己的交易平臺(tái),主要用到的安全技術(shù)有:防火墻技術(shù)、加密技術(shù)、數(shù)字簽名及消息認(rèn)證、數(shù)字證書(shū)和CA體系。
1.防火墻技術(shù)
防火墻(Firewall)是近年來(lái)發(fā)展的最重要的安全技術(shù),它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。簡(jiǎn)單防火墻技術(shù)可以在路由器上實(shí)現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。
2.加密技術(shù)
加密技術(shù)是用來(lái)保證電子商務(wù)機(jī)密性的安全需要。加密就是使用基于數(shù)學(xué)算法的程序和保密的密鑰對(duì)信息進(jìn)行編碼,生成難以理解的字符串。密碼技術(shù)是對(duì)計(jì)算機(jī)信息進(jìn)行保護(hù)的最實(shí)用和最可靠的方法。
3.消息認(rèn)證、數(shù)字簽名和CA體系
(1)消息認(rèn)證。消息認(rèn)證算法,其原理是將任意長(zhǎng)的消息M映射為較短的,固定長(zhǎng)度的一個(gè)值H (M)。H (M)相當(dāng)于消息的指紋,稱為消息摘要,它對(duì)每條消息都是惟一的。它可以用于判別信息在傳遞過(guò)程中是否遭他人修改,如果信息被修改,就可認(rèn)定消息無(wú)效。
(2)數(shù)字簽名。加密后的消息摘要稱為數(shù)字簽名。它的功能是通過(guò)數(shù)字簽名證明當(dāng)事人身份與數(shù)據(jù)的真實(shí)性。數(shù)據(jù)加密是保護(hù)數(shù)據(jù)的最基本的方式,數(shù)字簽名則可以解決否認(rèn)、偽造、篡改及冒名等問(wèn)題。
(3)數(shù)字證書(shū)和認(rèn)證中心CA (Certificate Authority)。數(shù)字證書(shū)解決了網(wǎng)上交易和結(jié)算中的認(rèn)證問(wèn)題,建立起了電子商務(wù)各主體之間的信任關(guān)系。CA是電子商務(wù)中高度受信的第三方,它代替電子商務(wù)交易中的一方向另一方保證其身份的真實(shí)有效性。最早也是最知名的認(rèn)證中心是VeriSign,在網(wǎng)絡(luò)的使用過(guò)程中,你經(jīng)常會(huì)遇到由VeriSign簽署的數(shù)字證書(shū)。
三、電子商務(wù)信息安全協(xié)議
1.安全套接層協(xié)議(Secure Sockets Layer,SSL)
SSL是由Netscape Communication公司1994年設(shè)計(jì)開(kāi)發(fā)的,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL的整個(gè)概念可以被總結(jié)為:一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶、服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。
2.安全電子交易公告(Secure Electronic Transactions,SET)
SET是為在線交易設(shè)立的一個(gè)開(kāi)放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對(duì)客戶信用卡認(rèn)證的前提下,又增加了對(duì)商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。
3.安全超文本傳輸協(xié)議(S-HTTP)
依靠密鑰的加密,保證Web站點(diǎn)間的交換信息傳輸?shù)陌踩浴HTTP對(duì)HT-TP的安全性進(jìn)行了擴(kuò)充,增加了報(bào)文的安全性,是基于SSL技術(shù)上發(fā)展的。該協(xié)議向互聯(lián)網(wǎng)的應(yīng)用提供完整性、可鑒別性、不可抵賴性及機(jī)密性等安全措施。
4.安全交易技術(shù)協(xié)議(STT)
STT將認(rèn)證與解密在瀏覽器中分離開(kāi),以提高安全控制能力。
5.UN/EDIFACT標(biāo)準(zhǔn)
UN/EDIFACT報(bào)文是惟一的國(guó)際通用的電子商務(wù)標(biāo)準(zhǔn)。
四、電子商務(wù)中的信息安全對(duì)策
第9篇:電子商務(wù)安全的重要性范文
[關(guān)鍵詞]電子商務(wù)系統(tǒng)安全安全對(duì)策安全技術(shù)
2003年2月初,美國(guó)一名計(jì)算機(jī)黑客攻破了一家負(fù)責(zé)商家處理信用卡交易業(yè)務(wù)的企業(yè)數(shù)據(jù)庫(kù),致使萬(wàn)事達(dá)、維薩、運(yùn)通這世界三大信用卡組織的800多萬(wàn)用戶的信用卡信息被盜用,造成幾千萬(wàn)美元的損失,構(gòu)成有史以來(lái)最大的信用卡資料泄密事件。世界上最大的、最安全的信用卡組織的賬戶信息都被泄密,可見(jiàn)網(wǎng)絡(luò)黑客有多么可怕。如何如何建立一個(gè)安全的電子商務(wù)應(yīng)用環(huán)境,對(duì)信息提供足夠的保護(hù),已成為人們熱切關(guān)注的焦點(diǎn)。下面分別從管理和技術(shù)的角度闡述了解決電子商務(wù)系統(tǒng)安全的方法。
一、電子商務(wù)信息安全的管理
要實(shí)現(xiàn)電子商務(wù)系統(tǒng)安全,僅有技術(shù)上的安全是不行的。首先必須制定一套完備的網(wǎng)絡(luò)安全管理?xiàng)l例,才能從根本上杜絕不安全事件的發(fā)生。就象我們常講的先要從體制上抓起。我們可以建立以下的安全管理制度。
1.提高對(duì)網(wǎng)絡(luò)信息安全重要性的認(rèn)識(shí)
信息技術(shù)的發(fā)展,使網(wǎng)絡(luò)逐漸滲透到社會(huì)的各個(gè)領(lǐng)域,在未來(lái)的軍事和經(jīng)濟(jì)競(jìng)爭(zhēng)與對(duì)抗中,因網(wǎng)絡(luò)的崩潰而促成全部或局部的失敗,決非不可能。我們?cè)谒枷肷弦研畔①Y源共享與信息安全防護(hù)有機(jī)統(tǒng)一起來(lái),樹(shù)立維護(hù)信息安全就是保生存、促發(fā)展的觀念。
2.開(kāi)展網(wǎng)絡(luò)安全立法和執(zhí)法
一是要加快立法進(jìn)程,健全法律體系。自1973年世界上第一部保護(hù)計(jì)算機(jī)安全法問(wèn)世以來(lái),各國(guó)與有關(guān)國(guó)際組織相繼制定了一系列的網(wǎng)絡(luò)安全法規(guī)。我國(guó)也陸續(xù)頒布了很多網(wǎng)絡(luò)安全法規(guī)。這些法規(guī)對(duì)維護(hù)網(wǎng)絡(luò)安全發(fā)揮了重要作用,但不健全之處還有許多。一是應(yīng)該結(jié)合我國(guó)實(shí)際,吸取和借鑒國(guó)外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn),對(duì)現(xiàn)行法律體系進(jìn)行修改與補(bǔ)充,使法律體系更加科學(xué)和完善;二是要執(zhí)法必嚴(yán),違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機(jī)關(guān)辦案的制度,提高執(zhí)法的效率和質(zhì)量。
3.抓緊網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)
一個(gè)網(wǎng)絡(luò)信息系統(tǒng),不管其設(shè)置有多少道防火墻,加了多少級(jí)保護(hù)或密碼,只要其芯片、中央處理器等計(jì)算機(jī)的核心部件以及所使用的軟件是別人設(shè)計(jì)生產(chǎn)的,就沒(méi)有安全可言;這正是我國(guó)網(wǎng)絡(luò)信息安全的致命弱點(diǎn)。國(guó)民經(jīng)濟(jì)要害部門(mén)的基礎(chǔ)設(shè)施要通過(guò)建設(shè)一系列的信息安全基礎(chǔ)設(shè)施來(lái)實(shí)現(xiàn)。為此,需要建立中國(guó)的公開(kāi)密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測(cè)評(píng)估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。
4.把好網(wǎng)絡(luò)建設(shè)立項(xiàng)關(guān)
我國(guó)網(wǎng)絡(luò)建設(shè)立項(xiàng)時(shí)的安全評(píng)估工作沒(méi)有得到應(yīng)有重視,這給出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題埋下了伏筆。在對(duì)網(wǎng)絡(luò)的開(kāi)放性、適應(yīng)性、成熟性、先進(jìn)性、靈活性、易操作性、可擴(kuò)充性綜合把關(guān)的同時(shí),在立項(xiàng)時(shí)更應(yīng)注重對(duì)網(wǎng)絡(luò)的可靠性、安全性評(píng)估,力爭(zhēng)將安全隱患杜絕于立項(xiàng)、決策階段。
5.注重網(wǎng)絡(luò)建設(shè)的規(guī)范化
沒(méi)有統(tǒng)一的技術(shù)規(guī)范,局部性的網(wǎng)絡(luò)就不能互連、互通、互動(dòng),沒(méi)有技術(shù)規(guī)范也難以形成網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模。目前,國(guó)際上出現(xiàn)許多關(guān)于網(wǎng)絡(luò)安全的技術(shù)規(guī)范、技術(shù)標(biāo)準(zhǔn),目的就是要在統(tǒng)一的網(wǎng)絡(luò)環(huán)境中保證信息的絕對(duì)安全。我們應(yīng)從這種趨勢(shì)中得到啟示,在同國(guó)際接軌的同時(shí),拿出既符合國(guó)情又順應(yīng)國(guó)際潮流的技術(shù)規(guī)范。
二、電子商務(wù)網(wǎng)絡(luò)安全技術(shù)
有了制度,就有了根基。電子商務(wù)信息安全在很大程度上依賴于技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問(wèn)控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)、病毒檢測(cè)及清除技術(shù)、內(nèi)容分類識(shí)別和過(guò)濾技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測(cè)報(bào)警與審計(jì)技術(shù)等。
1.防火墻技術(shù)
防火墻(Firewall)是近年來(lái)發(fā)展的最重要的安全技術(shù),它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。簡(jiǎn)單防火墻技術(shù)可以在路由器上實(shí)現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。防火墻技術(shù)主要有包過(guò)濾技術(shù)、服務(wù)技術(shù)與狀態(tài)監(jiān)控技術(shù)。
2.加密技術(shù)
數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動(dòng)安全防范策略。密鑰加密技術(shù)分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密兩類。對(duì)稱加密技術(shù)是在加密與解密過(guò)程中使用相同的密鑰加以控制,它的保密度主要取決于對(duì)密鑰的保密。它的特點(diǎn)是數(shù)字運(yùn)算量小,加密速度快,弱點(diǎn)是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對(duì)稱密鑰加密法是在加密和解密過(guò)程中使用不同的密鑰加以控制,加密密鑰是公開(kāi)的,解密密鑰是保密的。它的保密度依賴于從公開(kāi)的加密密鑰或密文與明文的對(duì)照推算解密密鑰在計(jì)算上的不可能性。算法的核心是運(yùn)用一種特殊的數(shù)學(xué)函數(shù)——單向陷門(mén)函數(shù),即從一個(gè)方向求值是容易的,但其逆向計(jì)算卻很困難,從而在實(shí)際上成為不可能。除了密鑰加密技術(shù)外,還有數(shù)據(jù)加密技術(shù)。一是鏈路加密技術(shù)。鏈路加密是對(duì)通信線路加密;二是節(jié)點(diǎn)加密技術(shù)。節(jié)點(diǎn)加密是指對(duì)存儲(chǔ)在節(jié)點(diǎn)內(nèi)的文件和數(shù)據(jù)庫(kù)信息進(jìn)行的加密保護(hù)。
3.數(shù)字簽名技術(shù)
數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務(wù)安全服務(wù)中的源鑒別、完整、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。在書(shū)面文件上簽名是確認(rèn)文件的一種手段,其作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)文件已簽署這一事實(shí);二是因?yàn)楹灻灰追旅埃瑥亩_定了文件是真的這一事實(shí)。數(shù)字簽名與書(shū)面簽名有相同相通之處,也能確認(rèn)兩點(diǎn),一是信息是由簽名者發(fā)送的,二是信息自簽發(fā)后到收到為止未曾做過(guò)任何修改。這樣,數(shù)字簽名就可用來(lái)防止:電子信息因易于修改而有人作偽;冒用別人名義發(fā)送信息;發(fā)出(收到)信件后又加以否認(rèn)。廣泛應(yīng)用的數(shù)字簽名方法有RSA簽名、DSS簽名和Hash簽名三種。RSA的最大方便是沒(méi)有密鑰分配問(wèn)題。公開(kāi)密鑰加密使用兩個(gè)不同的密鑰,其中一個(gè)是公開(kāi)的,另一個(gè)是保密的。公開(kāi)密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁(yè)上或公告牌里,網(wǎng)上的任何用戶都可獲得公開(kāi)密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對(duì)公開(kāi)密鑰加密的信息解密。DSS數(shù)字簽名是由美國(guó)政府頒布實(shí)施的,主要用于跟美國(guó)做生意的公司。它只是一個(gè)簽名系統(tǒng),而且美國(guó)不提倡使用任何削弱政府竊聽(tīng)能力的加密軟件。Hash簽名是最主要的數(shù)字簽名方法,跟單獨(dú)簽名的RSA數(shù)字簽名不同,它是將數(shù)字簽名和要發(fā)送的信息捆在一起,所以更適合電子商務(wù)。
4.數(shù)字時(shí)間戳技術(shù)
在電子商務(wù)交易的文件中,時(shí)間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記,即有數(shù)字時(shí)間戳的數(shù)字簽名方案:驗(yàn)證簽名的人或以確認(rèn)簽名是來(lái)自該小組,卻不知道是小組中的哪一個(gè)人簽署的。指定批準(zhǔn)人簽名的真實(shí)性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗(yàn)證簽名。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔,包括三個(gè)部分。一是需加時(shí)間戳的文件的摘要,二是DTS收到文件的日期與時(shí)間,三是DTS數(shù)字簽名。時(shí)間戳產(chǎn)生的過(guò)程是:用戶首先將需要加時(shí)間的文件用HASH編碼加密形成摘要,然后將該摘要發(fā)送到DTS,DTS在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密(數(shù)字簽名),然后送回用戶。書(shū)面簽署文件的時(shí)間是由簽署人自己寫(xiě)上的,數(shù)字時(shí)間則不然,它是由認(rèn)證單位DTS來(lái)加的,以DTS收到文件的時(shí)間為依據(jù)。
5.電子商務(wù)信息安全協(xié)議
(1)安全套接層協(xié)議。安全套接層協(xié)議是由NetscapeCommunication公司1994年設(shè)計(jì)開(kāi)發(fā)的,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的整個(gè)概念可以被總結(jié)為:一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。SSL安全協(xié)議主要提供三方面的服務(wù)。一是用戶和服務(wù)器的合法性保證,使得用戶與服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。客戶機(jī)與服務(wù)器都有各自的識(shí)別號(hào),由公開(kāi)密鑰編排。為了驗(yàn)證用戶,安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認(rèn)證,以此來(lái)確保用戶的合法性;二是加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。安全套接層協(xié)議采用的加密技術(shù)既有對(duì)稱密鑰,也有公開(kāi)密鑰,在客戶機(jī)和服務(wù)器交換數(shù)據(jù)之前,先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù),以保證其機(jī)密性與數(shù)據(jù)的完整性,并且經(jīng)數(shù)字證書(shū)鑒別;三是維護(hù)數(shù)據(jù)的完整性。安全套接層協(xié)議采用Hash函數(shù)和機(jī)密共享的方法來(lái)提供完整的信息服務(wù),建立客戶機(jī)與服務(wù)器之間的安全通道,使所有經(jīng)過(guò)安全套接層協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無(wú)誤地到達(dá)目的地。
(2)安全電子交易公告。安全電子交易公告是為在線交易設(shè)立的一個(gè)開(kāi)放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對(duì)客戶信用卡認(rèn)證的前提下,又增加了對(duì)商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。SET安全協(xié)議的主要對(duì)象包括:消費(fèi)者(包括個(gè)人和團(tuán)體),按照在線商店的要求填寫(xiě)定貨單,用發(fā)卡銀行的信用卡付款;在線商店,提供商品或服務(wù),具備使用相應(yīng)電子貨幣的條件;收單銀行,通過(guò)支付網(wǎng)關(guān)處理消費(fèi)者與在線商店之間的交易付款;電子貨幣發(fā)行公司以及某些兼有電子貨幣發(fā)行的銀行。負(fù)責(zé)處理智能卡的審核和支付;認(rèn)證中心,負(fù)責(zé)確認(rèn)交易對(duì)方的身份和信譽(yù)度,以及對(duì)消費(fèi)者的支付手段認(rèn)證。SET協(xié)議規(guī)范的技術(shù)范圍包括:加密算法的應(yīng)用,證書(shū)信息與對(duì)象格式,購(gòu)買(mǎi)信息和對(duì)象格式,認(rèn)可信息與對(duì)象格式。SET協(xié)議要達(dá)到五個(gè)目標(biāo):保證電子商務(wù)參與者信息的相應(yīng)隔離;保證信息在互聯(lián)網(wǎng)上安全傳輸,防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取;解決多方認(rèn)證問(wèn)題;保證網(wǎng)上交易的實(shí)時(shí)性,使所有的支付過(guò)程都是在線的;效仿BDZ貿(mào)易的形式,規(guī)范協(xié)議和消息格式,促使不同廠家開(kāi)發(fā)的軟件具有兼容性與交互操作功能,并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。
在傳統(tǒng)的商務(wù)環(huán)境下進(jìn)行面對(duì)面的交易也存在著這樣那樣的安全風(fēng)險(xiǎn),因此在電子商務(wù)活動(dòng)中偶爾的信用卡密碼被盜、交易抵賴等情況也不足為奇。電子商務(wù)的安全性是相對(duì)的,但隨著電子商務(wù)的發(fā)展、計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的不斷提高,以及各項(xiàng)網(wǎng)絡(luò)安全管理制度與立法的不斷完善,電子商務(wù)的安全性將會(huì)越來(lái)越高。
參考文獻(xiàn):
[1]鄒文健:電子商務(wù)[M].北京:企業(yè)管理出版社,2005
