電子商務信息安全精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子商務信息安全主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:電子商務信息安全范文
伴隨經濟的迅猛發展,電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優勢,必須保證電子商務中信息交流的安全。
一、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據,獲取機密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息。2.信息的篡改:當攻擊者熟悉網絡信息格式后,通過技術手段對網絡傳輸信息中途修改并發往目的地,破壞信息完整性。3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后,假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發信者事后否認曾發送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。
二、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中,要預防非法信息存取和信息傳輸中被竊現象發生。2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎,影響到交易和經營策略。要保證網絡上傳輸的信息不被篡改,預防對信息隨意生成、修改和刪除,防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性:保證信息有效性是開展電子商務前提,關系到企業或國家的經濟利益。對網絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿易數據在確定時刻和地點有效。4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統軟件錯誤等威脅,通過控制與預防確保系統安全可靠。
三、信息安全技術
1.防火墻技術。防火墻在網絡間建立安全屏障,根據指定策略對數據過濾、分析和審計,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉發所有信息,然后逐項剔除有害內容。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過,核心是安全策略即過濾算法設計。(2)服務技術:提供應用層服務控制,起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控、過濾、記錄等功能。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻,所用主機稱為堡壘主機,提供服務。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志,對日志統計分析,對資源使用情況分析,對異常現象跟蹤監視。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮,再通過外部網絡傳輸到目的端解壓縮和解密。2.加密技術。為保證數據和交易安全,確認交易雙方的真實身份,電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方,保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數字指紋,有固定長度且不同明文摘要成密文結果不同,而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段。簽名作用有兩點:一是因為自己簽名難以否認,從而確認文件已簽署;二是因為簽名不易仿冒,從而確定文件為真。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容,數字時間戳服務能提供電子文件發表時間的安全保護。
3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字證書:也叫數字憑證、數字標識,用電子手段證實用戶身份及對網絡資源的訪問權限,可控制被查看的數據庫,提高總體保密性。交易支付過程中,參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數字時間戳服務還是數字證書發放,都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
4.防病毒技術。(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術,如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發,使計算機始終處于良好工作狀態。
四、結語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術,提高電子商務系統的安全性和可靠性。但電子商務的安全運行,僅從技術角度防范遠遠不夠,還必須完善電子商務立法,以規范存在的各類問題,引導和促進我國電子商務快速健康發展。
參考文獻:
[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006
第2篇:電子商務信息安全范文
[關鍵詞]電子商務;PKI;公鑰密碼系統
前言
電子商務(E-Commerce)是在Internet開放的網絡環境下,基于瀏覽器服務器的應用方式,實現消費者的網上購物商戶之間的網上交易和在線電子支付的商業運營模式最近幾年,電子商務以其便利快捷的特點迅速發展起來,但是安全問題一直是阻礙其發展的關鍵因素雖然PKI的研究和應用為互聯網絡安全提供了必要的基礎設施,但是電子商務信息的機密性和完整性仍然是迫切需要解決的問題,本文針對這一問題展開了深入研究并提出了解決方法
1PKI的定義和功能
PKI——公鑰基礎設施,是構建網絡應用的安全保障,專為開放型大型互聯網的應用環境而設計PKI是對公鑰所表示的信任關系進行管理的一種機制,它為Internet用戶和應用程序提供公鑰加密和數字簽名服務,目的是為了管理密鑰和證書,保證網上數字信息傳輸的機密性真實性完整性和不可否認性,以使用戶能夠可靠地使用非對稱密鑰加密技術來增強自己的安全水平PKI的功能主要包括:公鑰加密證書證書確認證書撤銷
2公鑰密碼系統
由于PKI廣泛應用于電子商務,故文章重點放在討論RSA公鑰密碼系統上RSA的安全性是基于數論和計算復雜性理論中的下述論斷:求兩個大素數的乘積在計算上是容易的,但若分解兩個大素數的積而求出它的因子則在計算上是困難的,它屬于NPI類
2.1RSA系統
RSA使用的一個密鑰對是由兩個大素數經過運算產生的結果:其中一個是公鑰,為眾多實體所知;另外一個是私鑰,為了確保其保密性和完整性,必須嚴格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密鑰對中的一個密鑰加密的消息只能用另外一個解密,這也就體現了RSA系統的非對稱性RSA具有加密和數字簽名功能RSA產生公鑰/私鑰對加解密的過程如下:
2.1.1產生一個公鑰/私鑰對
(1)選取兩個大素數p和q,為了獲得最大程度的安全性,兩個數的長度最好相同兩個素數p和q必須保密
(2)計算p與q的乘積:n=p*q
(3)再由p和q計算另一個數z=(p-1)*(q-1)
(4)隨機選取加密密鑰e,使e和z互素
(5)用歐幾里得擴展算法計算解密密鑰d,以滿足e*d=1mod(z)
(6)由此而得到的兩組數(n,e)和(n,d)分別被稱為公鑰和私鑰
2.1.2加密/解密過程
RSA的加密方法是一個實體用另外一個實體的公鑰完成加密過程,這就允許多個實體發送一個實體加密過的消息而不用事先交換秘密鑰或者私鑰,并且由于加密是用公鑰執行的,所以解密只能用其對應的私鑰來完成,因此只有目標接受者才能解密并讀取原始消息
在實際操作中,RSA采用一種分組加密算法,加密消息m時,首先將它分成比n小的數據分組(采用二進制數,選取小于n的2的最大次冪),加密后的密文c,將由相同長度的分組ci組成加密公式簡化為:
ci=mie(modn)
即對于明文m,用公鑰(n,e)加密可得到密文c:
c=memodn,其中m={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)
解密消息時,取每一個加密后的分組ci并計算:mi=cid(modn),便能恢復出明文即對于密文c,用接收者的私鑰(n,d)解密可得到明文m:
m=cdmodnm={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)
2.1.3數字簽名
RSA的數字簽名是加密的相反方式,即由一個實體用它的私鑰將明文加密而生成的這種加密允許一個實體向多個實體發送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發送者的公鑰就可以解密
RSA的數字簽名過程如下:
s=mdmodn,其中m是消息,s是數字簽名的結果,d和n是消息發送者的私鑰
消息的解密過程如下:
m=semodn,其中e和n是發送者的公鑰
2.1.4散列(Hash)函數
MD5與SHA1都屬于Hash函數標準算法中兩大重要算法,就是把一個任意長度的信息經過復雜的運算變成一個固定長度的數值或者信息串,主要用于證明原文的完整性和準確性,是為電子文件加密的重要工具一般來說,對于給出的一個文件要算它的Hash碼很容易,但要從Hash碼找出相應的文件算法卻很難Hash函數最根本的特點是這種變換具有單向性,一旦數據被轉換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結果,達到防止信息被篡改的目的由于Hash函數的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數字簽名
2.2對稱密碼系統
對稱密碼系統的基本特點是解密算法就是加密算法的逆運算,加秘密鑰就是解秘密鑰它通常用來加密帶有大量數據的報文和問卷通信的信息,因為這兩種通信可實現高速加密算法在對稱密碼系統中發送者和接收者之間的密鑰必須安全傳送,而雙方實體通信所用的秘密鑰也必須妥善保管
3應用模型
利用公鑰加密系統可以解決電子商務中信息的機密性和完整性的要求,下面是具體的應用模型在本例中,Alice與Bob兩個實體共享同一個信任點,即它們使用同一CA簽發的數字證書因此,它們無需評價信任鏈去決定是否信任其他CA
3.1準備工作
(1)Alice與Bob各自生成一個公鑰/私鑰對;
(2)Alice與Bob向RA(機構)提供各自的公鑰名稱和描述信息;
(3)RA審核它們的身份并向CA提交證書申請;
(4)CA格式化Alice和Bob的公鑰及其他信息,為Alice和Bob分別生成公鑰證書,然后用自己的私鑰對證書進行數字簽名;
(5)上述過程的結果是,Alice與Bob分別擁有各自的一個公鑰/私鑰對和公鑰證書;
(6)Alice與Bob各自生成一個對稱秘密鑰
現在,Alice和Bob擁有各自的一個公鑰/私鑰對,由共同信任的第三方頒發的數字證書以及一個對稱密鑰
3.2處理過程
假設現在Alice欲發送消息給Bob,并且要求確保數據的完整性,即消息內容不能發生變動;同時Alice和Bob都希望確保信息的機密性,即不容許除雙方之外的其他實體能夠查看該消息完成這樣要求的處理過程如下:其中步驟1~5說明Alice加密消息過程;步驟6~10說明Bob解密消息的過程了消息的完整性,而沒有確保其機密性
(3)由于Alice和Bob之間想保持消息的機密性,所以Alice用它的對稱秘密鑰加密被簽名的消息和散列值這一對稱秘密鑰只有Alice和Bob共享而不被其他實體所用注意,在本例中,我們使用了一個對稱秘密鑰,這是因為對于加密較長消息諸如訂購信息來說,利用對稱加密比公鑰加密更為有效
(4)Alice必須向Bob提供它用來給消息加密的對稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息Alice用Bob的公鑰將自己的對稱秘密鑰簽名(加密),這里我們假設Alice事先已經獲得Bob的公鑰,這樣就形成了一個數字信箋,并且只有Bob才能將其打開(解密),因為只有Bob能夠訪問用來打開該數字信箋的私鑰注意,一個公鑰/私鑰對中,用其中一個密鑰加密的信息只有用另外一個密鑰才能解密這就為Alice向Bob傳輸對稱秘密鑰提供了機密性
(5)Alice發送給Bob的信息包括它用對稱秘密鑰加密的原始消息和散列值,以及用Bob公鑰加密的包含Alice的對稱秘密鑰的數字信箋圖1描述了Alice使用數字簽名向Bob發送消息(步驟1~5)
(6)Bob用它的私鑰打開(解密)來自于Alice的數字信箋完成這一過程將使Bob獲得Alice以前用來加密消息和散列值的對稱秘密鑰
(7)Bob現在可以打開(解密)用Alice的對稱秘密鑰加密的消息和散列值解密后Bob得到了用Alice的私鑰簽名的消息和散列值
(8)Bob用Alice的公鑰解密簽名的消息和散列值注意,一個公鑰/私鑰對中,用其中一個密鑰加密的信息只有用另外一個密鑰才能解密
(9)為了證實消息沒有經過任何改動,Bob將原始消息采用與Alice最初使用的完全一致的Hash函數進行轉化
(10)最后,Bob將得出的散列值與它從所收消息中解密出來的散列值對比,若二者相同,則證明了消息的完整性圖2描述了Bob解密和對比散列值的過程(步驟6~10)
3.3實現方法
采用Java語言實現系統,Java語言本身提供了一些基本的安全方面的函數,我們可以在此基礎上實現更為復雜和有效的應用系統系統中主要的類實現如下:
(1)DataEncryption類該類主要實現明文向密文的轉換,依據RSA算法的規則實現非對稱加密,其中密鑰長度為128位每次可加密數據的最大長度為512字節,因此對于較長數據的加密需要劃分適當大小的數據塊
(2)DataHash類該類完成對所要加密消息產生對應的散列值,對于不同的消息,散列值是不相同的可以借助Java中提供的Hash函數來實現
(3)DataDecryption類該類主要實現密文向明文的轉換,依據依據RSA算法的規則,利用加密方的公鑰對密文進行解密,并將解密后的明文按序排好
4結束語
文章以PKI理論為基礎,利用公鑰密碼系統確保了電子商務過程中所傳輸消息的完整性,使用對稱加密系統實現對較長消息的加密,并保證了消息的機密性文章的理論研究和實現方法,對于保障電子商務活動中消息的完整性和機密性具有重要的指導意義
主要參考文獻
[1]周學廣,劉藝.信息安全學[M].北京:機械工業出版社,2004.
第3篇:電子商務信息安全范文
【 關鍵詞 】 電子商務;信息;安全;管理
Electronic Business Information Security Situation and Information Security Management Countermeasures
Wang Jing
(JiLinHua Zhongyou Construction Engineering Co., LTD Jilin 132021 )
【 Abstract 】 with the height of the information and network in China, the electronic commerce the strange term began to get people's attention. It will appear to the life of people brought great convenience, but there are a number of people have questioned the electronic commerce attitude, so the electronic commerce safety have to take seriously. This paper combines the electronic business information security situation and information security management countermeasures were discussed.
【 Keywords 】 electronic commerce; information; security; management
1 現階段電子商務發展的情況
隨著我國進入了信息時代,網絡不斷得到普及,因此網絡業也出現了不少的問題,比如網絡傳輸光纖的阻斷,嚴重影響著信息的流暢;電腦黑客的入侵,電腦病毒惡意攻擊網站等,無時無刻不在威脅著電子商務的正常運行。如何從根本上解決問題,這需要長期大量的進行防范。電子商務的網絡化主要是企業通過網絡與商家進行交易,如果在交易中網絡的安全出現了疏漏,使得病毒以及黑客得以入侵,由此所造成的損失是巨大的。電子商務在網絡上的運行還不夠規范,對于網上的稅收、合同以及保險等方面都存在著不規范的現象,在加之法律在網絡上的不健全,這些都制約著電子商務在網絡的發展。
因特網是在虛擬空間運行的,看似并不需要現實的空間。但隨著網絡的不斷壯大,要想有著更好的發展,就必須建立起強大的通訊設施作為基礎,通訊設施也是電子商務安全的基礎。在我國網絡的現階段,網絡管理信息內容、網絡技術、通訊速度、資費水平、安全的保障條件等方面都無法跟上高速發展的電子商務步伐。銀行作為電子商務中商家與企業的紐帶,必須具備網絡結算、支付的功能。但電子商務的快速發展對銀行的電子結算與支付提出了更為嚴格的要求,它不光要求銀行有上網支付和結算的功能,還要保證網絡交易的安全性、用戶的密碼以及個人信息的保密。要想建立完備的電子商務網絡設施,就要建立全國性的數據通信網絡,對寬帶的傳輸速度要滿易時的通信要求,這是實現電子商務信息化的必要條件。
2 電子商務在網絡交易中常出現的隱患
2.1 安全防范意識不強
我國信息技術正在飛速的發展,但電子商務才剛剛得以發展,有很多電子商務平臺的規模不是很大,自認為對市場的作用不大,根本引起不了一些病毒或黑客的惡意攻擊,很多商家正是存在著這種安全意識不強的原因,使得平臺和網站頻頻受到惡意的攻擊,嚴重的影響著交易的正常運行,嚴重的還會泄漏個人的信息。還有盲目的使用各種安全產品,認為安裝了這些軟件就不會出現安全的隱患,這就是對安全技術缺少了解的表現。
2.2 安全產品的鑒定
上面就提到了一些交易平臺濫用安全產品的現象。隨著人們對網絡安全的不斷重視,互聯網一些相關的安全產品也越來越火爆。盡管這些安全產品能夠對交易平臺起到一定的保護作用,但這并不是說明安裝了這些安全產品就可以放心使用,不會出現安全的隱患,這種想法是錯的。計算機安全產品在計算機的安全中只能起到輔助的作用,并不能對計算機的安全起到主導的作用,更何況安全產品自身的安全性還有待鑒定,一旦安全產品出現了問題,輕則可能會失去保護計算機的功能,重則有可能對互聯網自身帶來安全隱患。
2.3 安全技術方面的不足
我國網絡雖然得到了迅猛的發展,但距離發達國家的水平還有很大的差距,計算機安全技術的研究也并不算長,許多技術還是照國外借鑒的,因此優秀的網絡系統和技術全面的安全專家是我國所缺少的。這樣一來,我國電子商務的平臺以及網站的安全就得不到保障。
第4篇:電子商務信息安全范文
關鍵詞: 信息安全; 電子商務;安全技術
隨著Internet 的日益普及, 越來越多的應用必須通過網絡來完成, 電子商務因其便捷高效也得到迅速發展。盡管電子商務的發展勢頭非常驚人的,但它在全球貿易額中只占極小的一部分, 主要的障礙就是如何保證數據的安全和身份確認, 也就是涉及到信息保障技術等方面的內容,這對電子商務的安全提出了嚴峻挑戰。為保障電子商務的順利發展,建立人們對電子商務的信心,必須首先解決安全問題。包括電子商務系統的硬件安全,軟件安全和電子商務安全立法等,但主要指信息安全。
1 信息安全內容
1.1 信息的保密性
保密性是指信息在存儲或傳輸過程中不被他人竊取或泄漏。電子商務建立在一個開放的網絡環境基礎之上,維護商業機密是電子商務全面推廣應用的重要保障。
1.2 信息的完整性
完整性是指信息在傳輸過程中沒有被歪曲! 丟失或重復。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎。
1.3 信息的有效性
有效性是指信息接收方得到的是經原發送方確認的信息,發送方不可抵賴。貿易數據在確定的時刻! 確定的地點是有效的。電子商務以電子形式取代了紙張,如何保證這種電子貿易信息的有效性是開展電子商務的前提。
1.4 信息的可靠性
如何確定要進行交易的貿易方正是所期望的貿易方,是保證電子商務順利進行的關鍵。在無紙化的貿易方式下,通過手寫簽名和加蓋印章進行貿易方的鑒別已不可能,因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
2 影響網絡信息安全的因素
2.1 技術因素
雖然我國電腦業近年來有一定的發展, 但所有的核心部件完全受制于人。在軟件方面, 美國微軟公司的Windows 操作系統和辦公軟件在我國已占90%的市場份額。離開了微軟的操作系統,絕大多數國產軟件將會失去操作平臺。因此在這種核心技術嚴重依賴國外的情況下, 如果國外商家在硬件和軟件中隱藏。特洛伊木馬, 一旦需要時被激活,其后果不堪設想。況且, 網絡軟件設計時不可能完美無缺, 總會出現一些缺陷和漏洞,這些漏洞和缺陷正是黑客進行攻擊的首選目標。
2.2 計算機病毒
計算機病毒是專門用來破壞計算機正常工作, 具有高級技巧的程序, 它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網絡技術的不斷發展,網絡空間的廣泛運用, 病毒的種類急劇增加.目前全世界的計算機活體病毒達1.4 萬多種, 平均每隔20 分鐘產生一個新病毒, 其傳播途徑不僅經過軟盤、硬盤傳播, 還可以通過網絡的電子郵件和下載軟件中傳播。病毒通過網絡傳播比以往通過軟硬盤傳播方式具有速度更快、影響更廣、損失更大等特點。
2.3 電腦黑客
黑客指利用不正當的手段竊取計算機網絡系統的口令和密碼, 從而非法進入計算機網絡的人。他們篡改用戶數據, 搜索和盜竊私人文件, 甚至破壞整個系統的信息, 導致網絡癱瘓。目前, 世界上有20 多萬個黑客網站, 其攻擊方法達幾千種之多, 已超過現有的計算機病毒種類。每當一種新的攻擊手段產生, 便能在一周內傳遍世界, 對計算機網絡造成各種破壞。
2.4 管理因素
用戶安全意識淡薄, 管理不善是當前存在的一個嚴重的問題。目前我國安全管理方面存在的問題主要有: 一是缺乏強有力的權威管理機構, 由于我國網絡安全立法滯后, 安全管理部門受人力、技術等條件的限制影響著安全管理措施的有效實施。二是缺乏安全審計,安全審計是把與安全相關的事件記錄到安全日志中,我國現有的網絡系統大多數缺少安全審計, 安全日志形同虛設。三是安全意識淡薄。人們對信息安全認識不夠, 過分依賴信息安全產品, 缺乏細致的內部網絡管理機制, 一些用戶警惕性不高, 操作麻痹, 甚至把自己賬號隨意給他人。
3 常見的網絡安全技術
3.1 防火墻技術
網絡防火墻技術是一種用來加強網絡之間訪問控制和防止外部網絡用戶以非法手段進入內部網絡、訪問內部網絡資源! 保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包, 按照一定的安全策略來實施檢查, 決定網絡之間通信的權限, 并監視網絡的運行狀態。
3.2 反病毒軟件
反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術特色。首先, 出現了病毒防火墻。該技術為用戶提供了一個實時監防止病毒發作的工具, 它對用戶訪問的每一個文件進行病毒檢測, 確認無毒后才會讓系統接管進行下一步的工作。其次, 反病毒軟件提出了在線升級的方式。第三, 完成了統一的防病毒管理。第四, 嵌入式查毒技術的形成, 它將殺毒引擎直接嵌掛到IE 瀏覽器和流行辦公軟件Office2000 和OfficeXP 組件當中, 使其與可能發生病毒侵擾的應用程序有機地結合為一體, 在占用系統資源最小的情況下查殺病毒。
3.3 密碼技術
為了實現信息的安全, 可采用密碼技術對信息進行加解密處理。密碼技術包括加密和解密兩個方面, 兩者互相依存、密不可分。加密是指采用數學方法對原始信息進行加工, 使得加密后在網絡上公開傳輸的內容對于非法接收者只是毫無意義的字符, 對于合法的接收者, 因其掌握正確的密鑰, 可以通過解密得到原始內容。密碼系統至少包含以下幾個部分: 明文, 密文, 密碼技術, 密鑰。
3.4 入侵檢測技術
隨著網絡安全風險系數的不斷提高, 作為對防火墻及其有益的補充, IDS( 入侵檢測系統) 能夠幫助網絡系統快速發現攻擊的發生, 它擴展了系統管理員的安全管理能力包括安全審計、監視、進攻識別和響應, 提高了信息安全基礎結構的完整性。
入侵檢測系統是一種對網絡活動進行實時監測的專用系統, 該系統處于防火墻之后, 可以和防火墻及路由器配合工作, 用來檢查一個LAN 網段上的所有通信,記錄和禁止網絡活動, 可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析, 通過集中控制臺來管理、檢測。
3.5 VPN 技術
即虛擬專用網絡, 利用隧道技術和加解密等技術將多個內部網絡通過公共網絡進行遠程連接起來, 是通過網絡數據的封包和加密傳輸建立安全傳輸通道的技術。該技術可以使用戶跨越公共網絡, 采用統一規劃的內部網絡地址彼此訪問。按服務類型VPN 可分為: 遠程訪問虛擬網( 又稱為撥號VPN) 、企業內部虛擬網和企業擴展虛擬網。目前VPN 主要采用以下四項技術來保證安全。
( 1) 隧道技術。類似于點對點連接技術, 在公用網建立一條數據通道( 遂道) , 讓數據包通過這條遂道傳輸。
( 2) 加解密技術。通過一定的算法和密鑰對數據進行加密和解密。
( 3) 密鑰管理技術。利用ISAKMP /OAKLEY 等管理技術安全地在公用數據網上傳遞密鑰而不被竊取。
參考文獻
[1] 王云峰. 信息安全技術及策略[J]. 廣東廣播電視大學學報,2006, (1):101~104.
[2] 劉明珍.電子商務中的信息安全技術[J].湖南人文科技學院學報, 2006, (6):89~93.
[3] 呂金剛.計算機網絡信息安全技術分析[J].中國新通信, 2006,(15):21~25.
第5篇:電子商務信息安全范文
[關鍵詞]電子商務;網絡;信息安全
[中圖分類號]TP393 [文獻標識碼]A [文章編號]1005-6432(2009)02-0103-02
1 引言
隨著計算機網絡與通信技術的迅猛發展,電子商務作為一種新型的商務模式,在全球范圍內正以驚人的速度向前發展。電腦網絡的建立與普及以及由此所產生的網絡的國際化、社會化、開放化、個人化已經在很大程度上改變了人類原始的商務活動。
2 電子商務的信息安全
2.1 電子商務信息安全的主要內容
在目前的條件下,電子商務系統的安全問題除了包含計算機系統本身存在的安全隱患外,還包含了電子商務中數據的安全隱患和交易的安全隱患。主要有以下幾個方面,一是商務數據的機密性與完整性,二是商務對象的認證性,網絡兩端的使用者在溝通之前相互確認對方的身份,保證身份的正確性。
2.2目前電子商務安全解決方案
電子商務的信息安全在很大程度上依賴于技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術等。
首先是從網絡安全技術來說,網絡安全是保證電子商務安全最基本的技術,通常采用的主要有防火墻技術、VPN技術、反病毒技術等。
其次是數據加密技術。目前,經常被用到的加密技術主要有對稱加密技術和非對稱加密技術兩種。
再次是認證技術。僅有加密技術不足以保證電子商務中的交易安全,身份認證技術是保證電子商務安全的又一重要技術手段。
最后是安全協議技術。電子商務安全,除了取決于已經提到的各種安全控制技術之外,還需要一套完整的安全協議。目前,比較成熟的協議有SET、SSL等。
以上這些結合起來保證了電子商務交易過程和數據的安全。
3 第二代互聯網絡
3.1第二代計算機互聯網絡的發展情況
20世紀90年代,第二代互聯網的研究在美國開始起步,目前,它的研究已經擴大到整個世界。代表網絡是由美國大學發起的用來進行科學研究的Internet2。其主要任務是要研究和開發高級的網絡與應用技術,換言之,就是加速推動下一代網絡的產生,在推動網絡技術本身的發展的同時推動它的應用。
3.9第二代計算機互聯網絡的優點
第二代計算機互聯網絡的優點簡而言之就是更大、更快、更安全、更及時、更方便。
(1)第二代互聯網將有更大的發展空間。基于IPV6協議的地址分配與現在的由32位2進制位表達的IP地址相比,可以使我們獲得比現在的地址空間不知道要大多少倍的地址空間。
(2)速度更快。第二代計算機互聯網絡比我們現在的網絡速度要快一千倍一萬倍,也只有在這樣的快速度下,才能夠支持下一代互聯網的應用。
(3)更安全。第二代計算機互聯網絡可進行網絡對象識別、身份認證和訪問授權,具有數據加密和完整性,實現一個可信任的網絡。將從IP協議上,從根上,從路由器上去徹底解決安全的問題。
(4)傳輸與控制更及時。第二代互聯網絡不僅可以用來傳輸數據,更多的是傳輸電話、電視信號以及其他各種不同的信號。提供更好的實時控制,使得各種不同的信號都能夠保質保量地在互聯網上傳送。
(5)使用更方便。第二代互聯網絡的網絡終端不再局限于固定用戶、固定的計算機,還可以是我們現在使用的移動電子設備。
第6篇:電子商務信息安全范文
【關鍵詞】電子商務 信息安全問題 提升策略
與傳統的商貿形式相比,電子商務更為靈活、高效,因而受到社會人群的普遍喜愛。然而,網絡中的信息安全問題對電子商務影響極大,如果無法實現對商務信息的有效保持和安全防護,將導致電子商務的開展基礎遭受破壞。所以,應該提高信息安全的應對和防護水平,為電子商務的開展提供必要的信息防護。
1 當前電子商務對信息的安全要求
1.1 保密性
與常規的貿易形式相比,電子商務的所有過程均在開發的網絡上進行,如果保護不當,極易造成商業機密的泄漏,給貿易雙方造成極大的損失。因此,保密性是電子商務對信息安全的最為基本的要求,是電子商務的開展前提。
1.2 完整性
由于電子商務無法實現實際的面對面交流,因而商務模式和流程更加簡練,提高商務活動的效率。但是,電子商務仍然屬于貿易,其核心的商業信息必須齊備,這是由商業活動的基本屬性決定的。
1.3 可靠性
可靠性是貿易的基礎屬性,必須具有唯一性的證物作為鑒別依據。傳統的貿易中,雙方通過簽字、印章等方式進行身份的鑒別、約定的確認等工作,實現貿易的可靠性。而電子商務領域,傳統的可靠性實現手段都將無法實現,只能借助數字手段進行企業、個人的標定。
1.4 有效性
所謂信息的有效性是指商務活動雙方認可的事項、達成的協議應該以特定的電子形式存儲下來,避免信息更改或單方違約抵賴的情況出現,這是電子商務的信息安全應該重點關注的內容。如果無法保證信息的有效性,商務活動的基礎將遭受質疑,電子商務活動也將無從開展。除了人為因素以外,有效性還應考慮網絡故障、系統或軟件出錯等問題產生的影響。
2 當前電子商務各環節的信息安全隱患分析
2.1 電子商務信息存儲安全隱患
信息存儲是指電子商務的相關數據的靜態存放,其安全隱患受到軟硬件及人為因素的影響,根據隱患來源的不同分為內部隱患和外部隱患。具體表現如下:
2.1.1 內部隱患
內部隱患是來自貿易雙方自身的行為,主要為雙方工作人員的對商務基礎信息的處理,如刪減雙方的協議內容,變更信息的基礎參數等,都會對信息的存儲安全造成威脅。
2.1.2 外部隱患
外部隱患是指來自企業外部的行為影響,是來自商務活動外界的影響,諸如黑客等的網絡入侵等,將會導致信息的失竊、內容的變動等,對正常的電子商務活動影響極大。
2.1.3 硬件隱患
除了上述的信息安全以外,信息存儲的硬件設施如果發生損毀或遭受破壞,也將導致信息受損,造成信息的無法讀取。
2.2 子商務信息在傳輸過程中的安全隱患
當前,電子商務的信息傳輸是借助網絡實現的,包含商務活動的資金、物流等內容,一旦發生傳輸安全問題,將造成信息的泄漏或雙方的溝通不暢,影響實體貨物、資金的正常交接,給教育雙方造成極大的經濟損失。
2.3 電子商務交易雙方的信息安全隱患
2.3.1 賣方面臨的信息安全威脅
該方面,賣方面臨的主要威脅有兩方面:一是其他商戶冒用企業名義從事電子商務活動或變更賣方現有的商務信息,導致賣方的商務形象受損或活動中斷;二是網絡黑客通過入侵商務系統或賣方電腦終端進行商務信息的竊取或商務資源的侵占,威脅賣方的信息安全。
2.3.2 買方面臨的信息安全威脅
與賣方相比,買方遭受的信息安全威脅更為嚴重,其主要的表現有:一是商務信息被竊取,遭遇付賬詐騙;二是信息被泄露給類似產品企業,導致垃圾信息和廣告充斥買方聯系平臺,遭受信息騷擾;三是網絡遭受入侵,導致信息被竊取或篡改,導致商品交接出現問題。四是硬件設施發生故障造成信息損壞。
3 電子商務信息安全的保障措施
當前,電子商務安全體系的層次結構如表1。
下面對其中主要的安全保障措施進行詳細論述。
3.1 數據加密策略
所謂數據加密是指借助特殊的算法實現網絡加密,被廣泛應用到數據傳輸、存儲和身份鑒定等方面,該策略的實現是對信息的主動加密保護,是人為的密碼設置,能夠避免信息失竊或泄漏導致的商務損失的出現。
3.2 防火墻技術
防火墻技術屬于網絡服務層的內容,是借助特定的軟硬件實現對網絡訪問的有效控制,能夠起到過濾訪問者,阻止來源不明的數據或高風險數據的目的,起到較好的安全防護效果。應用于電子商務的信息防護工作中,能夠提高信息的安全性,有效抵抗來自網絡的黑客侵入和計算機病毒等威脅。
3.3 數字證書與安全協議
3.3.1 數字證書
數字證書的應用能夠實現數字簽名和加密的功能,實現用戶身份的網絡標定,由權威機構頒發,能夠保證數字證書的真實性和有效性,是當前網絡身份識別的基礎。
3.3.2 SSL協議
SSL協議主要用于提高應用程序之間的數據的安全系數,能夠保證任何應用SSL的客戶和服務器之間的安全傳輸。
3.3.3 SET協議
SET是用于internet上的以信用卡為基礎的電子支付系統協議,能夠提供對消費者、商戶等參與方的認證。該協議的應用能夠大幅提高信息的安全性,成為網絡信息交易的基礎性安全標準。
4 結束語
總體而言,基于電子商務開展的信息安全要求,應該針對其各環節存在的安全隱患開展針對性的信息安全提升工作,借助先進的網絡技術實現信息的有效保護,提高電子商務的安全性。
參考文獻
[1]張鑫水.電子商務背景下計算機網絡安全問題研究[J].山東工業技術, 2016(21):165-165.
[2]梁碩.電子商務的安全問題及對策研究[J].科技信息:科學?教研,2007(08):66-66.
[3]王如海.內部網系統的網絡信息安全管理[J].計算機安全,2007(07):69-71.
[4]杜明凱.電子商務系統安全問題及對策分析[J].品牌月刊,2015(01).
作者單位
第7篇:電子商務信息安全范文
關鍵詞:電商環境;通信安全;網絡安全
Abstract: With the popularity of the Internet, e-commerce to become an important industry in the era of information revolution, through a combination of Internet technology and solid business model, e-commerce in the free exchange of people have become more sophisticated. With the upgrading of IT communication technology, network operations security issues are gradually emerging in the people's eyes, but also increasingly attracted the attention of professionals.
Keywords: electrical business environment; communications security; network security
中圖分類號:TN91文獻標識碼: A 文章編號:
1 網絡安全與通信安全:隨著中國經濟的高速發展,網絡應用在人民生活中的利用越來越廣泛,這為電子商務的發展奠定了前提條件,近幾年,電子商務在網絡經濟下飛速發展,電子商務的安全環境也逐漸惡化,并引起了專業人士的強烈關注。如果電子商務的網絡通信安全問題得不到完美解決,勢必影響電子商務的可持續發展。為電子商務打造一個安全的網絡環境。提高電子商務運營通信技術,提供網絡安全環境。但也不僅僅針對于網絡經濟交易形式,同時也包括技術層面,提高網絡安全運行環境,避免病毒、木馬侵入等;應該強調的是系統內部的各種應用軟件能夠合理規范使用,杜絕非法使用。也就是說,這些計算機安全防范內容顯然與電子商務通信安全所強調的意義是相通的。因此,為了保證電子商務通信安全,必然應當采取合理、有效、規范的防治舉措,這樣才能使其達到安全標準。
1.1 保密性電子商務運作環境下,通常把信息資源以電子化的形式傳遞出去,同時傳遞或傳送的信息資源一般需要具備一定的保密性。顯然,這種保密性要求是發送雙方都認可的。也就是說,電子商務通信顯然要比普通形式上的通信要求更高。這主要因為在普通通信過程中,信息資源中有不少比重都是個人信息。而電子商務的信息資源有很大比重是商務機密,如果不能做到保密性良好,勢必會導致信息泄密,進而給商務持續交易的過程中帶來一筆不小損失。舉個簡單例子,如果某個經常聯系的客戶信用卡信息保密工作未能做好,導致信用卡賬戶作廢且卡內資金被提取,勢必會給客戶帶來經濟損失。即保持信息安全的關鍵因素也是保密性是否良好,如果電子商務通信安全不能保證信息的保密性良好,勢必會給電子商務下的通信安全帶來重大隱患,所以為了強調這種保密性,確保信息安全,應當利用當前先進技術加以防范。
1.2 完整性電子商務下的信息和數據用電子化形式進行傳遞,同時在確保對方接受信息時能夠保持信息有效,就要保持發送方信息的完整程度,這種信息完整程度就是信息的完整性。同樣,保證傳遞信息的完整性,確保信息內容完整也是發送雙方樂意見到的。所以,如果在發送雙方的信息完整性不能確保時,同樣也會給接受的客戶一方造成經濟損失。如,在電子商務相關交易流程進行過程中,如果客戶接受的訂單未能完整傳送接受,那么造成的商務損失顯然是不可避免的。因此,為了能夠保證發送雙方信息的完整、可靠程度,各種技術手段就由此應運而生了。
1.3 驗證驗證是電子商務進行過程中的必要客觀要求,它的產生顯然有著它的現實意義,即主要傾向于身份驗證,確保對方是交流或交易的對象。同樣,如果驗證身份的要求一經發出,對方得不到正常程序上的驗證,整個交易過程也就停滯無法繼續執行了。雖然,在電子交易過程中,往往有時很難驗證對方是否是自身所交易、驗證的對象。但是,如果通過正常、合理的身份驗證方式進行身份確認,確實能夠避免偽造、作假的行為發生,保證個人電子商務形式下的電子現金與電子貨單可以及時轉移并合法有效。所以,在這種背景下,電子商務下的數字簽名驗證形式由此誕生,為雙方進行身份驗證提供了方便。總體來說,為了使驗證做到萬無一失和準確,我們可以采取以下多種方法:即單因素驗證、雙因素驗證、三因素驗證。通過驗證,可以發現在電子商務過程中,企圖假冒他人的身份來進行電子交易的人。在條件許可時,我們盡量采用三因素的身份驗證,因為其他因素的驗證,存在著有使犯罪分子得逞的可能,達到其利用因特網進行犯罪的目的。作為具體的手段,我們可以采用數字簽名、一次性口令、提問應答等各種驗證措施來保證這種安全。
1.4 認可電子交易過程中,如果對方已經承諾某件事情或答應過此件事情,但出于多種因素最終未能承認當時承諾過的事情,這種狀況發生還是經常存在的。而隨著這種事件發生,必然會引起雙方的責任負責問題。所以,電子商務交易系統模塊的設計過程中,必然會考慮到此種境況的發生,設計出合理適合的交易程序,令雙方認可,從而才能確保電子商務交易有效進行。但值得指出的是,在商務交易完成后,應當做好發票、合同、支票以及其他關鍵文件的確認、認可,這樣才能為雙方提供最為直接的交易依據或憑證,并實現責任劃分。所以,在商務交易過程中,為了考慮交易安全,必然要有著認可、確認的憑證功能設定。
2 確保電子商務通信安全的實行:對策電子商務通信安全起碼應當滿足上文提到的基本五項要求,才能在技術與控制手段并用的情況下確保通信安全。此外,隨著產業技術、電子商務的不斷發展,新興的產業技術也會逐漸更新并完善,更加安全、功能性更強的新技術會逐漸浮出水面。具體而言,加強電子商務通信安全的基本技術有以下幾個方面。
2.1 加密技術加密技術的誕生歷史悠久,不論是在現實工作還是個人生活中,這種加密技術對我們來說也并不陌生。而在電子商務中,為了提倡商務交易過程更加安全,通常會沿用密鑰技術對數據、信息加以保密,從而才能提高信息資源的保密程度。簡單而言,密鑰有對稱與不對稱的兩種形式,而密鑰的長度也決定了保密性的強大與否。而像以往 64 位的密鑰在當前來看其保密性,顯然已經略顯不足。也就是說,在當前產業技術背景下,可能會通過很短的時間就能將其破譯出來。所以,目前,為了保證該項加密技術的可靠程度,應當進一步完善密鑰技術,對其加以重點研究,實現徹底掌握該項技術,也僅有如此才能更加可靠、安全地保證電子商務交易過程順利進行。
2.2 信息摘要信息摘要技術的出現,主要作用是保證信息完整、可靠程度,且它也被稱為 HASH。它主要通過單向 HASH 加密算法去作用一個信息載體,從而取得該信息載體的一個對應值,而這種信息對應值通常有著固定的長度。也就是說,單行HASH 作用下完成的對應值信息的信息摘要完整性很強,不易被破解,同時不同種類的信息摘要也不相同;信息摘要同樣可以比作信息指紋,用以驗證對方是否是交易對象。在服務器傳遞信息的過程中,發送端會把信息同摘要一并發送,當接收端接收到內容時,會利用 HASH 函數對收到的信息內容加以加工,從而才能產生一個對應的摘要,這樣在通過對應摘要和收到的摘要加以對比,就會看出信息在傳遞過程中是否經過改變,如果改變說明就不是原有信息,即被篡改過。即信息摘要解決了信息的完整性問題,有助于電子商務的發展。
2.3 數字簽名在電子商務過程中,我們可以用數字簽名技術來保證身份的認證,確認發送者的身份;也可以用在認可方面,對發送方、接收方的相關重要商務信息認證,以確保重要單據的不可否認性。數字簽名是將摘要用發送者的私鑰加密,與原文一起傳送給接受者,接受者要有發送者的公鑰才能解密被加密的摘要,然后用HASH函數對收到的原文產生一個摘要,與解密的材料作對比,若相同則說明收到的信息是完整的,在傳輸過程中沒有被修改,否則,則被修改過,不是原信息。同時,也證明發送者不能否認自己發送的信息。這樣,我們就保證了信息完整性和不可否認性。
3 結語:總之,保證電子商務通信安全對網絡時代下的商務交易所具備的指導意義和實用價值很大,我們應當根據當前實用的安全防范技術手段對電子商務交易過程加以控制,這樣才能確保交易安全,并保證了電子商務交易環境的健康,且促進了電子商務的健康發展。
參考文獻:
[1] 黃紅兵.電子商務安全面臨的問題及解決策略[J].商場現代化, 2005(18).
[2] 劉培德.電子商務的安全要求及其保障措施 [J]. 山東經濟,2005(3).
[3] 楊穎.電子商務安全問題分析[J].中國科技信息,2005(20).
[4] 王東偉.淺談電子商務信息安全[J].電腦知識與技術,2006(23).
[5] 范德明.電子商務信息安全問題與對策研究[J].科技信息(學術研究), 2007(4) .
[6] 王曉鑫.電子商務信息安全問題與對策研究[J].科技信息(學術研究), 2008(9).
第8篇:電子商務信息安全范文
【關鍵詞】電子商務;信息安全;信息安全技術
1.電子商務及信息安全概述
1.1 電子商務中的信息
既然電子商務涵蓋了商品和服務相關人員活動和行為的各個方面,那么必然電子商務的活動中會涉及許多方面的信息。因為電子商務涉及的領域非常廣泛,包括了商品和服務的交易的所有環節,如商品購買、廣告、推銷、信息咨詢、銀行服務、網絡支付等等,它把商家、顧客、銀行、中介、信用卡公司,甚至包括政府都通過網絡的方式連接起來。如此,在整個的過程中,她涵蓋了廣泛、復雜的信息量,既包括商家的商品信息、競爭信息、商業秘密等,也包括個人的隱私信息、財產信息等等。這些信息數量廣泛、內容繁雜、真實性很強,一旦被蓄意泄露或利用,將會產生非常不利的影響。
1.2 電子商務中信息安全的重要性
電子商務的受體是公眾,那么電子商務能夠正常運行的前提就是保障公眾的信息安全。信息安全是指信息的完整性、可用性、可靠性和保密性。目前電子商務是在完全開放的網絡環境中進行的,能否保障各個相關主體的信息安全,是非常重要的事情,現在不斷增加的網絡入侵、黑客攻擊和網絡的脆弱的防御能力不得不引起人們的擔憂
2.電子商務中存在的信息安全問題
從上面的信息安全的基本需求中,我們可以看出,電子商務交易對信息的安全保護至關重要,也是一件棘手的事情。目前,電子商務中的信息安全主要存在以下幾個方面的問題:
2.1 信息存儲中的安全問題
信息存儲安全是指電子商務信息在靜態存放時的安全。企業在網絡開放的運行環境中,電子商務的信息安全就存在以下問題:
內部不安全要素。主要是企業內部之間、企業的顧客隨意非授權的調用或隨意增改刪電子商務信息。
外部不安全要素。主要是外部人員私自侵入計算機網絡,故意或過失的非授權調用或隨意增改刪電子商務信息。這個隱患的主要來源有:黑客入侵,競爭對手的惡意破壞,還有信息間諜的非法闖入。
2.2 信息傳輸中的安全問題
信息傳輸安全是指點在商務信息在動態的傳輸過程中的安全。表現形式有:信息在網絡的傳輸過程中被篡改;偽造電子郵件;傳輸的信息被截獲;否認已經做過的交易;網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤。
2.3 交易雙方存在的信息安全問題
電子商務交易改變了傳統的交易方式,打破了雙方面對面的交流。這樣,買賣雙方只能通過網絡交流各自的信息來完成交易,這樣雙方會對電子商務的交易安全和信息安全存在疑慮。
2.3.1 買方存在的信息安全威脅。
電子商務交易中的買方,既可以是個人,也可以是公司、銀行等。買方存在的信息安全威脅主要有:(1)身份被假冒。用戶身份信息被攔截、假冒以致被要求付賬或返還商品;(2)發送的交易信息不完整或被截獲篡改,用戶無法正常收到商品;(3)域名被擴散和監聽,無奈接收許多垃圾信息甚至個人隱私被竊用;(4)遭黑客攻擊,計算機設備發生故障導致信息丟失等;(5)受虛假廣告信息誤導購買假冒偽劣商品或被詐騙錢財等。
2.3.2 賣方存在的信息安全威脅。
賣方存在的信息安全威脅主要有:(1)惡意競爭者假冒用戶名惡意侵入網絡內部以獲取營銷信息和客戶信息;(2)冒名改變交易內容,致使電子商務活動中斷,造成商家名譽和用戶利益等方面的受損;(3)信息間諜通過高技術手段竊取并泄露商業秘密;(4)一些惡意程序的破壞而導致電子商務信息遭到破壞,比如特洛伊木馬程序;(5)黑客攻擊服務器,產生大量虛假訂單擠占系統資源,令其無法正常操作。
3.保障電子商務中信息安全的措施
現在,電子商務作為一種新興且快速發展的商務交易模式,已經被廣泛使用,例如網上銀行支付,淘寶購物等等,發展前景也十分光明。但是,如何保護電子商務中的信息安全,建立一個安全、便捷、高效的電子商務環境,也是一個越來越值得探討的問題。這就需要發展有效的信息安全技術,同時輔助于必要的措施。本人認為,保護電子商務中的信息安全應該做到以下幾點:
3.1 研究保障信息安全的各種信息安全技術
為保證電子商務的正常發展,對電子商務中的網絡安全技術進行研究,發展自主的網絡安全技術是至關重要的。現在應該重點研究的信息安全技術有:
3.1.1 數據加密技術
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網絡會話的完整性。加密是利用基于數學算法的程序和保密的密鑰對信息主要是普通的文本(明文)進行編碼,生成難以理解的字符串(密文),以便只有接收者和發送者才能理解。加密技術一般采用對稱加密技術、非對稱加密技術以及二者的結合等方法。目前常用的常規密鑰密碼體系的算法有:數據加密標準DES、三重DES、國際數據加密算法IDEA等
3.1.2 身份識別技術
身份識別技術是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字標識,用電子手段驗證用戶身份及對網絡資源的訪問權限,參與各方必須利用認證中心簽發的數字證書證明身份。(2)電子商務認證中心,CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
3.1.3 防病毒技術
(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。
3.2 加強網絡安全基礎設施建設
一個網絡信息系統,不管其設置有多少道防火墻,加了多少級保護或密碼,只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的,就沒有安全可言,這正是我國網絡信息安全的致命弱點。國民經濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此,需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
4.結束語
電子商務領域的安全問題一直備受關注,是制約其發展的瓶頸,如果解決的好,便能推動商務更好更快發展的動力。目前對電子商務信息進行保護的主要措施就是信息安全技術,因此必須加大投入,研究新的、有效的信息安全技術,進一步改進已有的信息技術。同時,國家必須加強對電子商務的管理和投入,將電子商務做大做強。
參考文獻
[1]李玉海,桂學勤.電子商務安全問題及其解決方案[J].電子商務,2006(12).
第9篇:電子商務信息安全范文
[ 關鍵詞] 電子商務;安全需求;安全技術;協議技術電子商務( Electronic Commerce)是上世紀90 年代初期在西方發達國家首先興起的一種嶄新的利用國際互聯網絡Internet 這種先進通訊工具的企業經營方式。它是通過網絡技術的應用,快速而且有效的進行各種商務活動的全新方法。電子商務無疑是近幾年來使用頻率最高的詞匯之一, 隨著電子商務的興起,它的信息安全問題也日益引人注目。由于電子商務是在公開的網上進行的,支付信息、訂貨信息、談判信息、機密的商務往來文件等大量商務信息在計算機系統中存放、傳輸和處理,所以如果不能很好地解決信息安全問題,電子商務的發展肯定會受到影響。
一、電子商務的安全需求
1.信息有效性、真實性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
2.信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3.信息完整性
電子商務簡化了貿易過程, 減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各信息的差異。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可抵賴性要求即是能建立有效的責任機制,防止實體否認其行為;可鑒別性要求即是能控制使用資源的人或實體的使用方式。
5.系統的可靠性
電子商務系統是計算機系統,其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。
二、電子商務的信息安全技術
1.數據加密技術
加密技術用于網絡安全通常有二種形式,即面向網絡或面向應用服務。面向網絡的加密技術通常工作在網絡層或傳輸層, 使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息,從而保證網絡的連通性和可用性不受損害。面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法, 這一類加密技術的優點在于實現相對較為簡單,不需要對電子信息( 數據包) 所經過的網絡的安全性能提出特殊要求,對電子郵件數據實現了端到端的安全保障。
1) 電子商務領域常用的加密技術數字摘要(digital digest)
這一加密方法亦稱安全Hash 編碼法, 由RonRivest 所設計。該編碼法采用單向Hash 函數將需加密的明文“ 摘要”成一串128bit 的密文,這一串密文亦稱為數字指紋(Finger Print),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“ 真身”的“ 指紋”了。
數字簽名(digital signature)
數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。主要方式是報文的發送方從報文文本中生成一個128 位的散列值(或報文摘要),用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名。然后,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128 位的散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密,如果兩個散列值相同,那么接收方就能確認該數字簽名是發送方的,通過數字簽名能夠實現對原始報文的鑒別。概括的說,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。
數字時間戳(digital time-stamp)交易文件中,時間是十分重要的信息。在電子交易中, 需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務(DTS)就能提供電子文件發表時間的安全保護。時間戳(time-stamp) 是一個經加密后形成的憑證文檔,它包括三個部分:需加時間戳的文件的摘要(digest);DTS 收到文件的日期和時間;DTS的數字簽名。
數字證書(digital certificate,digital ID)數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。目前,最有效的認證方式是由權威的認證機構為參與電子商務的各方發放證書,證書作為網上交易參與各方的身份識別,就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任,是一個負責發放和管理數定證書的權威機構。因而網絡中所有用戶可以將自己的公鑰交給這個中心,并提供自己的身份證明信息,證明自己是相應公鑰的擁有者,認證中心審查用戶提供的信息后, 如果確認用戶是合法的,就給用戶一個數字證書。這樣,每個成員只需和認證中心打交道, 就可以查到其他成員的公鑰信息了。對于在網上進行交易的雙方來說,數字證書對他們之間建立信任是至關重要的。數字憑證有三種類型:個人憑證、企業( 服務器) 憑證、軟件( 開發者) 憑證;大部分認證中心提供前兩類憑證。 [論/文/網 LunWenData/Com]
2.身份認證技術
為解決Internet 的安全問題,初步形成了一套完整的Internet 安全解決方案,即被廣泛采用的公鑰基礎設施( PKI) 體系結構。PKI 體系結構采用證書管理公鑰,通過第三方的可信機構CA,把用戶的公鑰和用戶的其他標識信息( 如名稱、e-mail、身份證號等) 捆綁在一起,在Internet 網上驗證用戶的身份,PKI 體系結構把公鑰密碼和對稱密碼結合起來,在Internet 網上實現密鑰的自動管理, 保證網上數據的機密性、完整性。
1 ) 認證系統的基本原理
利用RSA 公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性,可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA,CA 為用戶發放電子證書,用戶之間利用證書來保證信息安全性和雙方身份的合法性。
2 ) 認證系統結構
整個系統是一個大的網絡環境,系統從功能上基本可以劃分為CA、RA 和Web Publisher。
核心系統跟CA 放在一個單獨的封閉空間中,為了保證運行的絕對安全,其人員及制度都有嚴格的規定,并且系統設計為一離線網絡。CA 的功能是在收到來自RA 的證書請求時,頒發證書。
證書的登記機構Register Authority,簡稱RA,分散在各個網上銀行的地區中心。RA 與網銀中心有機結合,接受客戶申請,并審批申請,把證書正式請求通過建設銀行企業內部網發送給CA 中心。
證書的公布系統Web Publisher,簡稱WP,置于Internet 網上,是普通用戶和CA 直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA 頒發之后,CA 用E-mail 通知用戶, 然后用戶須用瀏覽器從這里下載證書。
3.網上支付平臺及支付網關
網上支付平臺分為CTEC 支付體系( 基于CTCA/GDCS) 和SET 支付體系( 基于CTCA/SET) 。網上支付平臺支付型電子商務業務提供各種支付手段,包括基于SET 標準的信用卡支付方式、以及符合CTEC 標準的各種支付手段。
支付網關位于公網和傳統的銀行網絡之間,其主要功能為:將公網傳來的數據包解密,并按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部的傳回來的響應消息,將數據轉換為公網傳送的數據格式,并對其進行加密。此外,支付網關還具有密鑰保護和證書管理等其它功能。
三、電子商務信息安全中的其它問題
1.內部安全
最近的調查表明, 至少有75% 的信息安全問題來自內部,在信用卡和商業詐騙中,內部人員所占的比例最大;
2.惡意代碼
它們將繼續對所有的網絡系統構成威脅, 并且,其數量將隨著Internet 的發展和編程環境的豐富而增多,擴散起來也更加便利,因此,造成的破壞也就越大;
3.可靠性差
目前,Internet 主干網和DNS 服務器的可靠性還遠遠不能滿足人們的要求, 而絕大部分撥號PPP 連接質量并不可靠,且速度很慢;
4.技術人才短缺
由于Internet 和網絡購物都是在近幾年得到了迅猛的發展,因而,許多地方都缺乏足夠的技術人才來處理其中遇到的各種問題, 尤其是網絡購物具有24 x 7( 每天24 小時,每周7 天都能工作) 的要求,因而迫切需要有一大批專業技術人員對其進行管理。如果說加密技術是電子交易安全的“ 硬件”,那么人才問題則可以說是“ 軟件”。從某種意義上講,軟件的問題解決起來可能更不容易,因此,技術人才的短缺可能成為阻礙網絡購物發展的一個重要因素。
5.Web 服務器的保護意識差
在交易過程中對數據進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務器上,因此,即使保密信息被客戶端接收之后,也必須對存儲在服務器中的數據進行保護。目前,Web 服務器是黑客們最喜歡攻擊的目標。因此, 建議盡量不要將Web 服務和連接到任何內部網絡,而且要定期對數據進行備份, 以便于服務器被攻擊之后對數據進行恢復。當然,這畢竟有些不太現實,現在許多流行的Web應用都需要Web 服務器與公司的數據庫進行交互式操作, 這就要求服務器必須與公司內部網絡相連,而這個連接也就成為黑客們從Web 站點侵入企業內部網絡的一條通路。雖然防火墻技術有助于對web 站點進行保護,但商家卻很少安裝防火墻或對其缺乏有效的維護,因而沒有對Web 服務器進行很好的保護,這是商家的Web 站點尤其要引起注意的地方。
四、與電子商務安全有關的協議技術討論
1.SSL 協議( Secure Sockets Layer) 安全套接層協議———面向連接的協議。
SSL 協議主要是使用公開密鑰體制和X.509 數字證書技術保護信息傳輸的機密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸,常用Web Server 方式。但它是一個面向連接的協議,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證, 而電子商務往往是用戶、網站、銀行三家協作完成, SSL 協議并不能協調各方間的安全傳輸和信任關系。
2.SET 協議( Secure Electronic Transaction) 安全電子交易———專門為電子商務而設計的協議。由于SET 提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點, 因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。雖然它在很多方面優于SSL 協議,但仍然不能解決電子商務所遇到的全部問題。
結束語
本文分析了目前電子商務的安全需求,使用的安全技術及仍存在的問題,并指出了與電子商務安全有關的協議技術使用范圍及其優缺點,但必須強調說明的是,電子商務的安全運行,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。 [論-文-網]
[參考文獻]
① 姚立新,新世紀商務:電子商務的知識發展與運作,中國發展出版社,1999 年。
②《中國電子商務年鑒》2003 卷。
