序論:在您撰寫電子商務信息安全時,參考他人的優秀作品可以開闊視野�,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情�����,引導您走向新的創作高度�。
第1篇
[關鍵詞]電子商務系統���;信息安全��;技術分析
近年來�,我國網絡技術快速發展����,電子商務經營模式在各行各業中的應用愈加廣泛。電子商務經營模式主要通過網絡開運行�,其開放性的特點不但保證了商務活動的高效性和快捷性,還極大地提高了企業的經營管理效率�����,而同時也給企業帶來許多問題��,如黑客、病毒入侵�����,給企業造成了極大的經濟損失����,因此,為了保證電子商務系統給企業帶來的效益����,迫切需要解決電子商務信息安全問題。
一��、我國電子商務發展概況
由于網絡環境具有開放性的特點����,電子商務使企業、消費者可以通過網絡進行交易�����,極大的豐富了人們購物的方式�。而隨著計算機網絡技術的快速發展,電子商務相關技術也越來越完善�,市場環境愈加成熟,以電子商務為主的網上交易模式得到了廣大人民的青睞。電子商務不但使得交易模式更加快捷����,讓消費者可以通過電子商務平臺輕松購買到自己想要的商品,從商家的立場來說�,還促使商家構建出自己的電子商務網絡平臺,實現商品的網絡在線銷售�����,極大的提高了企業的經濟效益��。我國企業電子商務模式種類繁多����,其差異主要體現在交易模式及付款方式的不同�����,有B2B���、B2C�、C2C等模式����,這里B指的是Business�����,即企業�,C指的是Customer��,即客戶����。
B2B模式中的交易雙方都是企業用戶,大多通過網絡形成交易合同���,然后通過現實銀行支票或轉賬等方式進行付款�����;在C2C模式中����,交易雙方是個人對個人的交易形式����,其中以淘寶店主作為主要代表�,商務活動主要是個人與個人之見的交易活動��,雙方通過第三方網站支付平臺進行相應的付款與收款交接�����;在B2C模式中����,交易雙方中的一方是企業,另外一方是個人�,電商企業通過電子商務銷售平臺將商品推銷給個體消費者。這種電子商務經營模式����,徹底的改變了傳統的賣家―經銷商―買家的交易模式,極大的提高了企業的經濟效益�����,并且縮短了交易的時間���。
二、當前電子商務信息安全現狀
電子商務作為一種新型的商業經營模式�,使商務活動交易雙方在不見面的情況下����,通過互聯網手段完成商業交易��,而這一特點也給電子商務信息埋下了安全隱患����。電子商務高度網絡化的特點,對電子商務安全性有著較高的要求���。第一�,要嚴格化用戶信息數據傳輸�����、處理以及存儲的過程��,確保在商務活動交易過程中交易雙方信息的完整性���,避免交易雙方信息在處理的過程中出現錯誤�;第二�,要對交易雙方的身份進行核實認證,保障交易過程中交易雙方身份信息的真實性���,第三�����,要保障電子商務交易平臺系統軟件的穩定性�,定期更新硬件設備,在最大程度上保證電子商務信息安全��,加強電子商務的安全技術和安全管理�,以確保電子商務的信息安全性。當前電子信息安全問題主要表現為以下形式:
(一)病毒與黑客
由于網絡環境的開放性特點���,網絡病毒具有極強的傳染力和破壞力����,它侵入到電子商務的系統中�����,破壞商務交易數據程序�����,對電子商務系統造成無法估量的損失����。而網絡黑客主要通過黑客程序進入電子商務信息系統漏洞,進而侵入到電子商務系統中����,竊取用戶私人信息進行惡意利用,有些黑客竊取競爭對手的商業機密對其進行商業打擊��。
(二)軟件漏洞
由于計算機軟件編程具有復雜多樣的特點�,電子商務系統軟件經常出現信息泄露的問題。如果程序中的文檔秘密入口被其他程序員惡意使用�,將導致無法估量的損失;而由于操作系統自身的安全漏洞��,例如訪問控制混亂���、I/O非法訪問���、不完全中介、數據庫安全漏洞等等�����,都將嚴重危害電子商務系統的信息安全��,在TCP/IP的通信協議設計初期階段,程序員沒有充分考慮軟件安全的問題�,導致計算機在連接Internet時,經常受到外界各類惡意軟件的攻擊��,使得信息被竊取��。
(三)技術落后
由于我國網絡信息技術發展滯后���,當前電子商務系統中仍存在信息安全問題�。當前我國多數計算機設備皆來源于進口����,計算機芯片技術不成熟,網絡設備的技術及維護技術大多從國外引進��,如果軟件中隱性漏洞被人惡意利用����,將造成嚴重的電子商務信息安全問題。
三���、電子商務信息安全防范措施分析
(一)電子商務法規制度
企業需要做好管理體制的建設工作��,不斷加強內部的安全管理�����,提高企業的安全意識���,為了保證電子商務活動中用戶的隱私。同時政府需要不斷完善電子商務相關法規�����,制定科學合理的賠償制度�,為電子商務的發展創造必要的法律環境。
(二)病毒防范處理技術
計算機病毒防范處理技術是保證電子商務系統信息安全的重要途徑���。病毒管理工作要堅持防范大于治療的原則����,使用各種病毒預防方法來進行預防���,例如對新購入的計算機硬件及軟件進行嚴格化檢測�����、定期進行數據備份等���,同時設置合理的文件訪問權限�����、對文件進行定期掃描檢測�����。此外���,定期更改系統管理員口令,以免不法分子非法獲取管理員口令���,安裝防病毒芯片��,做好病毒防御工作���。若電子商務的計算機系統感染病毒,必須立即對其進行清除和系統恢復的工作����。在清除病毒時需要使用干凈盤來進行系統恢復����,保證殺毒工作處于無病毒環境中��,同時盡快找出病毒宿主程序��,在啟動盤和殺毒盤上安裝保護程序�,防止病毒的進一步傳染����。此外,要保證病毒清除工作的全面性與準確性���,及時清除病毒文件��。如此才能徹底清除電子商務系統感染的病毒�����,保證電子商務用戶的信息安全����。
(三)數據加密技術
加密技術是計算機網絡信息安全技術的基礎技術之一����,大多被應用于數據存儲與傳輸的過程中���。數據加密技術使用數學方法將信息進行再組織和加密,使非法接受者無法正常接收網絡數據���,而合法接受者可以通過密鑰��,對數據進行解密來得到信息����,極大地保證了信息安全�����。由于在數據安全保護方面獨具優勢���,數據加密技術被廣泛應用于電子商務信息安全管理工作中��。
(四)防火墻技術
防火墻技術是保障電子商務信息安全的重要方法����,它極大的限制了公共數據與服務對于防火墻內資源的訪問權限���,然而防火墻對病毒沒有防范的作用��,并且由于防火墻數據時常無法及時更新�,導致產生數據延遲,極大地制約了實時服務支持請求�。同時防火墻通常采取的濾波技術會使網絡性能降低一半以上,而為了保證網絡性能����,企業需要配置高速路由器��,這不利于企業經濟效益的提高����。防火墻技術是一種大眾化的電子商務信息安全防范技術,擁有頗高的透明度�����,并且易于操作��,能在一定程度上保證電子商務信息安全�����。然而,如果防火墻被入侵��,電子商務系統信息安全將受到極大的損害��。同時防火墻也無法滿足企業與個體之間商業網絡通信的需求���。
(五)授權認證技術分析
目前國際電子商務大多采用CA認證技術來處理電子商務信息的安全問題�����。作為電子商務系統中的權威機構�,所有的電子商務系統數字證書都要通過CA認證中心的授權����,因此CA認證技術中心受到了廣大用戶的信任。其主要通過身份識別�����、數字化簽名等技術途徑來處理電子商務系統中身份認證的問題����,確保商務互動交易雙方身份的真實有效,使數據存儲�、傳輸的安全得到保證����。
結束語
總而言之��,電子商務雖然給企業帶來了極大的經濟效益�,然而由于網絡環境具有開放性的特點,易產生安全漏洞和信息泄露等問題���,從而使電子商務活動中雙方帶來重大的經濟損失���,因此要不斷完善對計算機信息安全技術,電子商務活動環節進行有效監測����,保證電子商務信息安全����,促使電子商務系統健康發展。
參考文獻
[1]崔曉慧.關于電子商務信息安全的探討[J].現代營銷���,2013��,(4).
[2]黃福偉.提高計算機電子商務信息安全的策略分析[J].中國電子商務����,2014,(12).
第2篇
關鍵詞:電子商務�����;信息安全��;計算機網絡
1 問題的提出
隨著Internet網絡技術飛速發展及普及����,電子商務(Electronic Commerce,簡稱EC)已經逐漸成為人們進行商務活動的新模式�����,越來越多的人通過Internet進行商務活動�。電子商務是利用網絡技術、計算機技術和通信技術�����,實現數字化��、電子化,商務化��,網絡化的整個商務過程�,它與傳統商業活動相比,最大的一個特征就是基于B/S方式下�,交易雙方在不見面的情況下完成商品貿易活動。
由于Internet自身的共享性����、開放性、無縫性�����,那么以此為平臺的在線商務交易安全也面臨著日益嚴峻的挑戰�����。據國家信息中心信息安全研究與服務中心統計���,2012年發生了2起源代碼被盜事件,2起重大黑客攻擊事件����,6起信息泄密事件,3起重大漏洞事件���。2013年的棱鏡門����,谷歌抓取支付寶轉賬信息,酒店開房記錄泄露等��。據中國互聯網產業統計��,中國網民在2013年損近1500億元���。對于以上的這些問題�,本文將對電子商務信息安全應用進行研究���,并提出一些合理的安全解決方法����,提高電子商務交易過程中的安全性����,降低實施風險。
2 國內外電子商務安全研究現狀
2.1 國際電子商務安全研究現狀
在電子商務安全研究方面��,美國是處于領先地位。美國國家安全局(NSA)在1983年正式頒布“受信計算機系統評量基準”��,是目前頗具權威的計算機系統安全標準之一���。自“911”恐怖襲擊事件之后�,美國公司增強了信息技術安全觀念����,投入大量的經費,同時加強信息技術安全方面的工作����。從現在的網絡安全研究情況的現實看,解決網絡安全問題的根本途徑和方向是網絡技術創新�,即研發新一代網絡技術,采取“立體”措施�����,包括引入“中間件”層及其安全結構�����,在“網絡層”增設面向連接的實時協議���、強化整個網絡系統的管控智能以及改進終端加密和反黑等措施�。
2.2 我國電子商務安全研究現狀
國務院在1996年了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》���,公安部在1997年了《計算機信息網絡國際聯網安全保護管理辦法》��,2000年由國家信息化推進工作辦公室牽頭起草的《關于發展我國電子商務的若干意見》上報國家最高決策層進行審議���。網絡信息安全問題不但得到了政府、企業的高度重視�����,同時國內的大專院校�、研究所和有實力的大公司也紛紛進入網絡信息安全問題的研究領域。
3 電子商務信息安全隱患
電子商務的信息存儲安全隱患主要包括:(1)內部隱患���。主要是網內用戶未經許可隨意增加�����、刪除���、修改或無意或故意地非授權調用電子商務信息��。(2)外部隱患��。主要是因為軟件問題造成外部人員非法闖入內網��,造成電子商務信息被增加���、刪除、修改或調用�����。
電子商務的信息流動安全隱患主要包括:(1)竊取商業機密����。多數電子商務的信息是以明文的方式傳輸,那么攻擊者很容易的對電子商務信息進行監聽和截取����。(2)攻擊商務網站。攻擊者通過傳播計算機病毒����,繞過電子商務網站的防火墻,篡改信息����,使其無法正常運轉。(3)實施商務詐騙���。不法分子通過Internet虛假信息騙取帳號�����、現金�����,用戶對電子商務產生不信任感�,阻礙了電子商務的順利發展�����。(4)傳播不良信息�����。不法分子為了達到自己既有目的���,在電子商務信息中推送不良信息���。
電子商務交易雙方的信息安全隱患主要是:(1)商家的信息安全隱患�����。不法分子冒充合法用戶修改商務信息內容����,致使電子商務活動中斷�,造成商家無法從事正常的業務活動。(2)用戶的信息安全隱患����。不法分子竊用攔截合法用戶身份信息,以合法的用戶進行電子商務活動����,使用戶蒙受損失。
4 電子商務信息安全管理
在電子商務活動中�����,有些信息屬于商業秘密��,如果失竊����,將帶來不可估量的損失�����,因此需有一個能不中斷地提供服務及可靠穩定的電子商務平臺,任何系統的中斷�����,如軟硬件錯誤�,病毒,網絡故障等都可能導致電子商務系統不能正常工作����,所以電子商務信息的安全管理問題就成了電子商務順利推進的保障。隨著電子商務的深入應用���,攻擊網絡技術和手段不斷改進���,這就對電子商務信息系統的安全性提出了更高的要求,必須保證外網用戶不能對系統構成威脅�����,所以人們對這些基本技術進行了反復改進以適應更高的安全需求。
4.1 電子商務安全的法制建設及企業內部管理
為了保護用戶信息在電子商務活動中不受侵犯�����,政府應該完善電子商務信息法規���,同時����,還需制定詳盡�、具體、具有可操作性的賠償制度��,包括精神賠償和物質賠償����,為電子商務的發展提供必要的法律保證。
在國內對個人信息安全保護的監管分別由公安部�、工業與信息化部等部門管理,多頭管理難免會出現監管漏洞�。對此可以建議由國安委統一管理,只有權力清晰才能保證監管沒有漏洞�����。
有些安全事件是“禍起蕭墻”,這就要求加強企業內部安全管理��,培育和加強企業安全意識�,通過企業和用戶的共同努力來實現。它的基本原則是在系統內發生的所有行為都必須被定義好的����,并且符合相應的程序控制要求,所有行為的發生都有審計記錄�,可以解決許多技術層次解決不了的安全性問題����。
4.2 防火墻技術
目前的防火墻分可為兩大類,一類是簡單的包過濾技術����,它是在網絡層對數據包實施有選擇的通過。依據系統內事先制定好的過濾邏輯�����,檢查數據流中每個數據包后��,根據數據包的源地址、目的地址等因素來確定是否允許數據包通過�����。另一類是應用網管和服務器�����,其顯著的優點是能提供小顆度的存取控制��,可針對特別的數據過濾協議和網絡應用服務����,并且能夠對數據包分析并形成相關的報告。通過防火墻技術�����,可以過濾掉不安全的服務�����,提高網絡安全和減少網絡中主機的風險�����。但防火墻是一種被動安全技術,不能阻止來自內部網絡的攻擊����。唯一的解決辦法就是,在每臺計算機上都裝反病毒軟件�。
4.3 病毒防范技術
計算機病毒實際上就是在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼��。病毒繞過系統或違反授權入侵成功后�,在系統中植入木馬等病毒程序,為以后攻擊系統����、竊取信息做好準備。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監測����,工作站上對網絡目錄及文件設置訪問權限等�。
現在較流行的反病毒技術基于病毒的特征碼掃描法、文件實時監控技術并輔以指令虛擬技術��。掃描病毒:分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中�,在掃描時將掃描對象與特征代碼庫比較,如有吻合則判斷為染上病毒���。該技術實現簡單有效��,安全徹底��。監控病毒:通過利用操作系統底層接口技術����,對系統中的指定類型的文件進行實時的行為監控,一旦有病毒傳染或發作時就及時報警�����。從而實現了對病毒的實時����、永久、自動監控��。刪除病毒:在刪除時采用虛擬技術對變種的病毒進行處理或編寫出相應的程序���,將病毒移除計算機內存��。
4.4 認證技術
安全認證技術主要有:(1)數字摘要技術����,也稱安全HASH編碼法。用于對所要傳輸的數據進行運算生成信息摘要��,它并不是一種加密機制�����,但能產生信息的數字"指紋"��,目的是為了確保數據沒有被篡改�,從而保證數據的完整性和有效性。(2)數字簽名技術���,又稱電子簽章��、公鑰數字簽名��。是一種類似寫在紙上的普通的物理簽名����,就是附加在數據單元上的一些數據��,或是對數據單元所作的密碼變換����。這種變換或數據允許數據單元的接收者用以確認完整性和數據單元的來源并保護數據,防止被人偽造����。它是對電子形式的消息進行簽名的一種方法,一個簽名消息能在一個通信網絡中傳輸�����。主要功能是保證信息傳輸的完整性�、發送者的身份認證、防止交易中發生抵賴��。(3)數字證書技術����,又稱為數字憑證。負責用電子手段來證實用戶的身份和對網絡資源訪問的權限����。(4)數字時間戳技術(DTS)。在文件交易中����,時間是十分重要的信息,需對文件交易的時間和日期信息采取安全措施�,而數字時間戳服務就能提供電子文件交易時間的安全保護��。時間戳是一個經加密后形成的憑證文檔�,它包括三個部分:需加時間戳的文件摘要���,DTS的數字簽名���,DTS收到文件的日期和時間。(5)身份認證實際���。是計算機系統通過審查用戶身份證明的過程�,提供確認和判別用戶身份的機制���,確定用戶是否具有對系統資源操作和訪問權限��。本質是確認用戶身份�����,用戶必須能夠證明其身份標識合法性�����。身份認證技術是訪問控制�����、安全審計��、入侵檢測等安企機制的基礎�,在電子商務信息安全理論與技術中占有至關重要的位�。目身份認證技術主要有基于口令的認證技術、基于密碼學的認證技術��、基于智能卡的認證技術以及基于生物學特征的認證技術等��。
4.5 安全協議技術
電子商務安全問題的核心是電子交易的安全性��,為了徹底解決電子商務的安全機制�����,人們開發了各種用于加強電子商務安全的協議�。當前廣泛應用的電子商務安全協議主要有SET協議(Secure Electronic Transaction,安全電子交易)和SSL協議(Secure Sockets Layer��,安全套接層)���,二者都采用了RSA算法加密��。
SSL協議提供加密的SSL會話服務���、SSL服務器鑒別服務以及SEL客戶鑒別服務�,實現了瀏覽器等客戶端應用軟件與TC/IP協議之間的接口�����,可以對萬維網客戶與服務器之間傳送的數據信息進行加密和鑒別�,在雙方握手階段,對將要使用加密算法和雙方共享的會話密朗進行協商���,完成客戶與服務器之間的鑒別�����。目前許多運營商利用本身的便利性�����,使用一些的數據收集工具��,分析出客戶的需求��,并為客戶提供同類商品信息�����,或者是分析其他運營商的數據���,產生一種惡性競爭。對于客戶來講�����,提供相關的其他同類商品的信息��,看似是一種個性化的服務���,但是同時也是在侵犯用戶的隱私�,為此在應用層也就客戶在瀏覽網頁時�,如果客戶需要商家提供相關的同類商品的信息時,商家才能對客戶的數據進行分析���,否則不應任意分析用戶的數據��。
SET協議是基于應用層的協議��,是一種新的電子支付模式���,它保證了開放網絡上使用信用卡進行在線購物的安全�。SET協議具有強大的驗證功能����,主要是為了解決用戶、銀行�、商家之間通過信用卡的交易而設計的,它具有保證交易數據的完整性���,交易的不可抵賴性等優點���,因此它成為目前公認的信用卡網上交易的國際標準。
5 結束語
電子商務信息的安全問題是一項復雜的系統工程��,隨著電子商務的發展���,通過各種網絡的交易手段也會更加多樣化��,安全問題變得更加突出���。它不僅涉及到動態傳輸信息及靜態存儲信息的安全問題�����,還需要保證電子商務信息安全��,加快電子商務的發展�����。還有在非技術方面,需要完善法律制度�����、管理制度和誠信制度�,促進社會公眾商務觀念的轉變等,營造電子商務信息安全的社會大環境���。
[參考文獻]
[1]金勝男.電子商務的信息安全技術研究.技術研發�,2013年第12期.
[2]孟慧敏.電子商務對國際貿易的影響及應用.電腦知識與技術����,2013年2月第9卷第5期.
[3]韓文虹.電子商務中安全技術的應用研究.電子商務,2013年2月.
[4]崔敏.基于電子商務的安全技術討論.網絡安全���,2013年7月.
[5]龍愛民.電子商務的信息安全技術分析.信息技術����,2013年9月.
[6]牟童.電子商務安全體系結構淺析.電子商務與電子政務,2013年3月.
第3篇
[關鍵詞] 電子商務 信息技術 信息安全
隨著互聯網技術的蓬勃發展,基于網絡和多媒體技術的電子商務應運而生并迅速發展���。所謂電子商務 ( Electronic Commerce, EC) 就是借助于公共網絡,如 Internet 或開放式計算機網絡 (Open Computer Network) 進行網上交易,快速而又有效地實現各種商務活動過程的電子化����、網絡化����、直接化。這種商務過程包括商品和服務交易的各個環節,如廣告��、商品購買��、產品推銷��、信息咨詢�、商務洽談、金融服務��、商品的支付等商業交易活動���。但是出于各種目的的網絡入侵和攻擊也越來越頻繁,脆弱的網絡和不成熟的電子商務增強了人們的防范心理�����。從這點上來看,信息安全問題是保障電子商務的生命線��。
一����、電子商務信息安全現存的問題
電子商務是實現整個貿易過程中各階段貿易活動的電子化。公眾是電子商務的對象,信息技術是實現電子商務的基礎,電子商務實施的前提是信息的安全保障�����。信息安全性的含義主要是信息的完整性�����、可用性���、保密性和可靠性。因此電子商務活動中的信息安全問題主要體現在:
1.計算機網絡的安全
(1)安全協議問題����。目前安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動�。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊�����。
(2)信息的安全問題�。非法用戶在網絡的傳輸上,通過不正當手段,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密;或者是非法用戶對截獲的網絡數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易;還有一些非法用戶利用截獲的網絡數據包再次發送,惡意攻擊對方的網絡硬件和軟件����。
(3)防病毒問題。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失���。
(4)服務器的安全問題���。電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數據庫里有企業的一些敏感數據,如價格、成本等,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果也是非常嚴重的��。目前為止服務器的安全問題尚無有效措施予以阻止�����。主要表現在: 非法用戶向網絡或主機發送大量非法或無效的請求,使其消耗可用資源卻無法繼續提供正常的網絡服務; 利用操作系統���、軟件��、網絡協議����、網絡服務等的安全漏洞,通過網站發送特制的數據請求,使網絡應用服務器崩潰而停止服務。
2.商務交易的安全
(1)身份的不確定問題�����。由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性�����。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法收入����。
(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴性��。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任���。
(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業利益�����。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
3.其他方面的安全
電子商務安全威脅種類繁多�、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題: 網絡交易糾紛的仲裁、網絡交易契約等問題,急需為電子商務提供法律保障����。還有諸如非法使用、操作人員不慎泄露信息�、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅。
二��、保障電子商務信息安全技術性措施
電子商務安全是信息安全的上層應用,它包括的技術范圍比較廣,主要分為數據加密技術和身份認證技術兩大類��。
1.數據加密技術
加密技術是保證電子商務中采用的主要安全措施,交易雙方可根據需要在信息交換階段使用����。在一個加密過程中有兩個基本元素:算法和密鑰。加密過程就是根據一定的算法,將可理解的數據(明文)與一串數字(密鑰)相結合,從而產生不可理解的密文的過程,主要加密技術是:
(1)常規密鑰密碼加密�。所謂常規密鑰密碼加密,即加密密鑰與解密密鑰是相同的。在早期的常規密鑰密碼體制中,典型的有代替密碼,其原理可以用一個例子來說明:字母 A,B,C,D,…,W,X,Y,Z的 自然順序保持不變,但使之與 D,E,F,G,…,Z,A,B,C 分別對應 (即相差3個字符)��。 若明文為WELL則對應的密文為 ZHOO (此時密鑰為3)���。
由于英文字母中各字母出現的頻度早已有人進行過統計,所以根據字母頻度表可以很容易對這種代替密碼進行破譯����。
(2)對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密,即收發雙方采用相同的密鑰來進行加密和解密��。對稱密鑰加密的最大優點是加解密速度快,適合于進行大量數據加密,但也存在密鑰管理�����、困難以及無法進行身份鑒別的缺點�����。
(3)非對稱密鑰加密�����。非對稱密鑰加密也稱為公開密鑰加密,每個用戶有一對密鑰: 一個用于加密,一個用于解密,兩把密鑰實際上是兩個很大的質數����。其中,加密密鑰(公鑰)可以在網絡服務器、報刊等場合公開,而解密密鑰(私鑰)則屬用戶的私有密鑰,由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現的�。
與對稱密鑰加密相比,采用非對稱密鑰加密方式密鑰管理較方便,且保密性比較強,但加解密實現速度比較慢,不適用于通信負荷較重的應用。
2.身份驗證技術
(1)認證系統�。網上安全交易的基礎是數字證書�。數字證書類似于現實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發機構叫做 Certificate Authority,通常簡稱為 CA���。要建立安全的電子商務系統,首先必須建立一個穩固���、健全的 CA,否則,一切網上的交易都沒有安全保障���。
(2)SSL協議。SSL協 議 (Secure Socket Layer,安全套接層)主要目的是解決 TCP/IP 協議不能確認用戶身份的問題,在 Socket 上使用非對稱的加密技術,以保證網絡通信服務的安全性�。SSL協議易于實現。
SSL協議還是最值得信賴的協議���。但是由于 SSL協 議當初并不是為支持電子商務而設計的,所以在電子商務系統的應用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶�、網站�、銀行三家協作完成,SSL協 議并不能協調各方間的安全傳輸和信任關系。
(3)SET協 議�����。SET (Secure Electronic Transaction) 安全電子交易協議是用于 Internet 上的以信用卡為基礎的電子支付系統協議�����。主要應用于B/C模式中保障支付信息的安全性�����。SET協 議提供對消費者、商戶和銀行的認證,協議本身比較復雜,設計比較嚴格,安全性高,確保電子交易的機密性���、數據完整性����、身份的合法性和抗否認性,特別是保證了不會將持卡人的信用卡號泄露給商戶�����。其核心技術主要有公開密匙加密�、電子數字簽名、電子信封���、電子安全證書等�����。它的交易規范成為了未來電子商務發展的方向�����。
3.其他安全技術
防火墻技術:防火墻主要是用來隔離內部網和外部網,對內部網的應用系統加以保護����。目前的防火墻分為兩大類:一類是簡單的包過濾技術,它是在網絡層對數據包實施有選擇的通過���。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址�����、目的地址��、所用的TCP端口和TCP鏈路狀態等因素來確定是否允許數據包通過�����。另一類是應用網管和服務器,可針對特別的網絡應用服務協議及數據過濾協議,并且能夠對數據包分析并形成相關的報告�。
數字簽名:數字簽名是公開密鑰加密技術的另一種應用,報文的發送方從報文文本中生成一個 128位的散列值,發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名,通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性���。
三�����、保障電子商務信息安全措施
1.加快網絡基礎設施建設,推動企業信息化進程
信息基礎設施是電子商務發展的物質基礎和載體���。發展信息基礎設施需要政府和業界的共同努力,尤其是政府的大力投資和宏觀調控�。
2.普及計算機網絡知識和電子商務常識,提高全民族電子商務意識
普及信息技術的教育,培養信息技術人才�。增強企業和公眾對電子商務的信心。
3.加快銀行�、稅務以及郵政等物流環節的信息化建設
建立企業到企業、企業到客戶的商務溝通,實現網上資金流動,解決目前有形商品交易環節中的流通困難�。
參考文獻:
[1]周均:電子商務信息安全的政策法律研究[J].科技文獻信息管理,2004(4):57
[2]楊穎:電子商務安全問題分析[J].中國科技信息,2005(20):53
第4篇
1商務主要的信息安全要素
1.1有效性
有效性是指信息發送方發送給信息接收方的信息是未經外人加工、改變的信息���。貿易數據都具有特定型性���,是指貿易信息只有在特定的時刻和確定的地點才是有效的。電子商務改變了過去紙質的方式����,以電子的形式傳遞信息,如何確保電子信息在傳送過程中的未經加工是確保信息有效的前提�����。電子商務中信息的有效性對企業��、個人��、甚至國家的經濟利益有著重大的影響���,所以�,要及時對網絡故障、應用程序錯誤�����、系統軟件錯誤或者計算機病毒引起的信息安全隱患進行防范����,以確保數據的有效性�����。
1.2保密性
保密性是指貿易信息在存儲或傳遞過程中未經他人竊取或泄露��。傳統的紙質貿易信息一般是通過郵寄的信件及其他可靠的傳遞渠道來互送商業貿易文件以確保信息的安全?���,F代電子網絡是一個開放的傳遞平臺,維護商業貿易信息顯得更加重要�,確保商業機密的保密性是電子商務全面推廣應用的基本保障。所以�,必須確保貿易信息在傳遞過程中的保密性,防止非法竊取及泄露���。
1.3完整性
完整性是指電子貿易信息在傳遞的過程中沒有沒被修改����、歪曲和重復,信息的接受者接收到的信息與信息發送方發送的信息完全相同�����。貿易信息的完整性會對貿易各方經濟利潤�����、營銷策略和貿易合同產生巨大影響�。確保貿易信息的完整性是電子商務實際應用的重要基礎。所以�����,在信息傳遞過程中要防范信息被隨意生成���、修改和刪除����,防止信息的丟失與重復�����,同時信息的傳遞次序要保證統一。
1.4可靠性
電子商務信息直接關系到貿易雙方的商業交易��,在交易過程中如何確保進行交易的對方與交易所期望的貿易方是同一者����,這就需要電子商務信息必須確保本身的可靠性。在傳統的商業交易中���,雙放當事人可以通過手寫簽名或印章等形式確保雙方的身份,但是電子商業貿易利用網絡這一形式��,無法采取傳統的身份認定形式����,就必須確保貿易信息的可靠性,從而為貿易雙方進行商業交易奠定重要基礎����。
2電子商務安全的技術要求
2.1物理安全
要根據國家標準、信息安全等級�、信息技術情況,制定切實可行����、符合實際情況的的物理安全標準體系��。本體系可以防范設備功能失常��、電源事故����、電磁泄漏等引起的信息失密等�����。
2.2網絡安全
為了保證電子商務交易的安全可靠����,電子商務平臺須穩定可靠,能夠全天候正常運行�����。系統在運行的任何中斷�����,如病毒入侵、網絡故障或硬件軟件錯誤等都會對正在進行電子商務交易的雙方造成重大損失�����,尤其是丟失或失密的貿易信息�����,將是不可恢復性的�。
2.3商務安全
商務安全是指商務交易中的安全問題,商務安全的不同方面需要通過不同的網絡安全技術和安全交易標準來確保實現����。確保電子商務安全的技術主要有安全電子交易SET協議、在線支付協議��、文件加密技術���、數字簽名技術等。
2.4系統安全
系統安全主要是指主機的操作系統和數據庫系統的安全情況����。對系統安全的防范和保護,要通過安全技術升級�,加強安全保護設施的投資建設,提高系統的安全防護能力��。
3目前我國電子商務存在的問題
就我國電子商務而言,我國的科學技術水平目前還處于較低層次�,技術含量不高,資金投入又不足��,在安全保密方面存在較大的隱患��,網絡安全性較低����,主要表現在我國的網絡信息易擾、欺騙等����,再加上我國人民對于網絡安全這方面的安全意識不高,網絡安全處于十分薄弱的環境中��。
3.1電子商務安全存在的隱患
(1)網絡協議方面的安全問題����。在電子商務中,交易雙方在交易中是通過傳送數據包的形式來交換數據���,傳送過程中��,不法惡意攻擊者會攔截數據包�����,甚至在一定程度上破壞��,這使得接收方接收的信息是不正確的��。
(2)用戶信息的安全問題�。用戶和商家是在B/S結構的電子商務網站使用瀏覽器登錄進行交易,在登陸瀏覽器時勢必會使用電腦����,有的用戶在使用電腦時,如果計算機中存在木馬��,那么登陸者的信息存在泄露的危險�,有的用戶在不方便使用自己電腦的情況下使用公共計算機,有些不法分子會通過電腦技術竊取交易信息�。
(3)商家商務網的安全問題��。有些企業在制作自己的商務網站時由于技術不過硬�����,本身的商務網站就存在隱患,服務器安全性低����,不法分子利用電腦技術攻擊商務網站,竊取用戶信息和交易信息�����。
3.2電子商務安全問題的具體表現
(1)交易信息被竊取�、毀壞。電子商務交易在數據包的傳送過程中��,可能會被一些不法分子運用電腦技術非法篡改交易信息�,使得交易信息失去真實性和可靠性。無論是在網絡硬件還是軟件方面����,都存在導致傳送過程中信息的誤傳的可能性。
(2)假冒身份問題��。電子商務交易是通過瀏覽器登錄進行交易���,交易雙方沒有機會面對面洽談��,這就給了第三人一個假冒交易某一方破壞交易����、騙取交易成果,甚至敗壞交易某一方的聲譽等的機會�����。
(3)交易抵賴問題�����。例如�����,在電子商務交易中��,買家收到貨之后���,不確認收貨�。
(4)計算機病毒感染問題����。電子商務交易勢必會使用計算機���,交易者在使用計算機時���,存在選中有病毒的計算機的可能性�����,這樣給商務交易帶來了問題����。另外���,我國網上的蠕蟲病毒等在網絡流域的傳播極易發生����,傳播過程中會產生巨大的攻擊流量�����,會導致訪問速度滯停的問題���。
4電子商務安全防范技術
為確保電子商務貿易的有效進行�,一方面要保證電子商務平臺的運行可靠穩定���,能夠全天候持續不斷地提供網絡服務�;另一方面,電子商務系統還必須不斷更新和采用最新安全技術來保證電子商務的整個交易過程的安全����,防止交易抵賴行為。在現實生活中����,電子商務安全防范技術主要有以下幾種:
4.1數據加密技術
數據加密技術分為常規密鑰密碼體系和公開密鑰密碼體系兩大類。在交易雙方可以保證密鑰在交換階段未曾發生丟失或泄露的情況下���,通常采用常規密鑰密碼技術為機密信息加密����。在公開密鑰密碼體系中��,加密密鑰是公開的信息�����,加密算法和解密算法也是公開的信息��,而解密密鑰是機密的���。重要的公開密鑰密碼體系有:基于NP完全理論的Merkel-Hellman背包體系�、基于數論中大數分解的RSA體系����、基于編碼理論的McEliece體系。以上兩種加密體系各有優缺點:常規密鑰密碼體系的優點是加密速度快��、效率高���,主要用于大量數據的加密���,但是常規密鑰密碼體系中密鑰在傳遞過程中容易被竊取,對于大量密鑰的管理存在缺陷����;公開密鑰體系在大范圍密鑰的安全方面很好的解決了常規密鑰密碼體系存在的問題,保密性能比常規密鑰密碼體系高�,但是公開密鑰密碼體系項目復雜,加密速度較慢��。實踐中通常將常規密鑰密碼體系和公開密鑰密碼體系結合起來使用�。
4.2防火墻技術
防火墻技術分為兩類:服務技術和數據包過濾技術。其中����,數據包過濾技術較為簡單�,也最常用���,它通過檢查接收到的每個數據包的頭����,來分析該數據包是否已經發送到目的地��。防火墻技術通過對數據進行分析并有選擇的過濾����,從而有效地避免外來因素對數據包進行的破壞,保證網絡的安全��。實踐中�����,也常常將數據包過濾防火墻與服務器結合使用�,可以更加有效地保護網絡安全。
4.3虛擬專網技術VPN
VPN具有適應性強�、投資小、易管理等優點,通過使用信息加密技術����、安全隧道技術、用戶認證技術�����、訪問控制技術等實現對網絡信息的保護���。VPN可以使商業伙伴、公司���、供應商�、遠程用戶的內部網之間建立可靠穩定的安全連接���,確保貿易信息的安全傳輸���,從而保證在公共的Internet或企業局域網之間安全進行電子交易。
4.4安全認證技術
安全認證技術包括以下幾種:
(1)數字簽名技術���。數字簽名技術可以確保原始報文的不可否認性以及鑒別��,并且可以防止虛假簽名�。
(2)數字摘要技術。數字摘要技術通過驗證網絡傳輸的明文���,鑒別其是否經過篡改��,進而確保數據的有效性和完整性����。
(3)數字憑證技術�����。數字憑證技術通過運用電子手段來鑒別用戶身份以及管理用戶對網絡資源訪問的權限��。
(4)認證中心����。認證中心專門負責審核網絡用戶的真實身份并提供相應的證明,且只管理每個用戶的一個公開密鑰�����,在一定程度上大大降低了密鑰管理的復雜性�。
(5)智能卡技術。智能卡具有存儲數據和讀寫數據的能力,可以對數據進行簡單地處理�����,能夠對數據進行加密和解密�,其特點是存儲器部分具有外部不可讀性,可以使用戶身份鑒別更加安全�。
5電子商務中的信息安全對策
5.1不斷完善網絡安全管理體系
我國應在現有網絡安全管理部門之外建立一個具有權威的信息安全領導機構。該部門應宏觀地����、有效統一地協調各部門的職能����,對市場網絡信息安全現狀進行及時的分析,制定科學的政策���。對于使用計算機網絡的單位及個人���,必須嚴格遵守《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡安全保護管理辦法》,建立完善的責任問責制度���。
5.2大力培養網絡安全專業人才
面對現代網絡應用高速普及的情況��,網絡安全專業人才顯得捉襟見肘�����,我國需要大量的網絡安全人才維護網絡的安全��。我國應加大對培養網絡安全人才的科研教育機構的投入力度�,同時積極組織人才及組織與國外的相關部門進行技術經驗交流,不斷引進國外先進網絡安全保護技術��,并及時對我國專業人員進行技術培訓���。
5.3建立網絡風險防范機制
現階段我國的網絡安全技術較滯后����、相關法律法規不是很健全�����,網絡安全面臨很多威脅因素�,這就要求電子貿易用戶建立網絡風險防范機制,為存在的安全因素建立補救措施�����。電子商務交易用戶可以根據交易具體情況為標的物進行投保,通過這些措施��,可在很大程度上減少網絡安全事故造成的經濟損失�����。
第5篇
[關鍵詞]移動電子商務信息安全自組網隱私法律
移動電子商務(M-Commerce)�,是通過手機、PDA(個人數字助理)�����、呼機等移動通信設備與因特網有機結合所進行的電子商務活動�。移動電子商務能提供以下服務:PIM(個人信息服務)、銀行業務���、交易、購物�、基于位置的服務、娛樂等�。
移動電子商務因其快捷方便、無所不在的特點����,已經成為電子商務發展的新方向���。因為只有移動電子商務才能在任何地方、任何時間�,真正解決做生意的問題。
但是對于任何通過無線網路(如:GSM網路)進行金融交易的用戶��,安全和隱私問題無疑是其關注的焦點����。由于移動電子商務的特殊性,移動電子商務的安全問題尤其顯得重要��。尤其對于有線電子商務用戶來說��,通常認為物理線纜能帶來更好的安全性�,從而排斥使用移動電子商務。移動電子商務是一個系統工程�����,本文從技術����、安全、隱私和法制等方面討論了移動商務的展所面臨的種種問題���,并指出這些問題的有效解決是建設健康���、安全的移動電子商務的重要保證���。
一、移動通信新技術的驅動
1.無線應用協議(WAP)
無線應用協議WAP是無線通信和互聯網技術發展的產物����,它不僅為無線設備提供豐富的互聯網資源,也提供了開發各種無線網路應用的途徑����。1998年,WAP論壇公布了WAP1.0版本���,制定了一套專門為移動互聯網而設計的應用協議��,具有良好的開放性和互通性����。隨著移動通信網傳輸速率的顯著提高�,WAP論壇于2001年頒布了WAP2.0版本�,該版本增加了對HTTP��、TLS和TCP等互聯網協議的支持��,WAP的工作大大簡化����。WAP2.0模式有利于實現電子商務所需的端到端安全性�����,可以提供TLS隧道����。
2.移動IP技術
移動IP技術,是指移動用戶可在跨網絡隨意移動和漫游中���,使用基于TCP/IP協議的網絡時����,不用修改計算機原來的IP地址�,同時,也不必中斷正在進行的通信����。移動IP通過AAA(Authentication,Authorization,Accounting)機制����,實現網絡全方位的安全移動或者漫游功能�����。移動IP在一定程度上能夠很好地支持移動商務的應用�。
3.第三代(3G)移動通信系統
第三代移動通信系統,簡稱3G�����,是指將無線通信與互聯網等多媒體通信結合的移動通信系統��。它能夠處理圖像�����、話音�、視頻流等多種媒體形式,提供包括網頁瀏覽��、電話會議���、電子商務等多種信息服務�����。與2G相比����,3G產品可提供數據速率高達2Mbps的多媒體業務����。在我國,以TD-SCDMA技術為基礎的3G基礎設施和產品的建設和研制發展迅速���,我國發展3G的條件已經基本具備�����。由于3G帶來的高速率�、移動性和高安全性等特點�,必然會給移動電子商務的應用帶來巨大商機。
4.無線局域網(WLAN)技術
美國電子電器工程師協會IEEE在1991年就啟動了WLAN標準工作組�,稱為IEEE802.11,并在1997年產生了WLAN標準-IEEE802.11�����,后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標準。802.11WLAN標準自公布之日起�,安全問題一直是其被關注的焦點問題。802.11b采用了基于RC4算法的有線對等保密(WEP)機制�����,為網絡業務流提供安全保障�,但其加密和認證機制都存在安全漏洞。802.11i是2004年6月批準的WLAN標準�,其目的是解決802.11標準中存在的安全問題。802.11i應用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級加密標準的CBC-MACProtocol(CCMP)���。其中TKIP仍然采用RC4作為其加密算法����,可以向后兼容802.11a/b/g等硬件設備���。中國寬帶無線IP標準工作組制訂了WLAN國家標準GB15629.11�����,定義了無線局域網鑒別與保密基礎結構WAPI����,大大減少了WLAN中的安全隱患。
二�、移動電子商務面臨的安全威脅
盡管移動電子商務給工作效率的提高帶來了諸多優勢(如:減少了服務時間�,降低了成本和增加了收入),但安全問題仍是移動商務推廣應用的瓶頸�����。有線網絡安全的技術手段不完全適用于無線設備���,由于無線設備的內存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序��。例如:目前還沒有有效抵制手機病毒的防護軟件�����。
1.網絡本身的威脅
無線通信網絡可以不像有線網絡那樣受地理環境和通信電纜的限制就可以實現開放性的通信�。無線信道是一個開放性的信道���,它給無線用戶帶來通信自由和靈活性的同時��,也帶來了諸多不安全因素:如通信內容容易被竊聽����、通信雙方的身份容易被假冒,以及通信內容容易被篡改等���。在無線通信過程中��,所有通信內容(如:通話信息�,身份信息�,數據信息等)都是通過無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取無線信道上傳輸的內容���。這對于無線用戶的信息安全��、個人安全和個人隱私都構成了潛在的威脅���。
2.無線adhoc應用的威脅
除了互聯網在線應用帶來的威脅外,無線裝置給其移動性和通信媒體帶來了新的安全問題����。考慮無線裝置可以組成adhoc網路�����。Adhoc網絡和傳統的移動網絡有著許多不同,其中一個主要的區別就是AdHoc網絡不依賴于任何固定的網絡設施�����,而是通過移動節點間的相互協作來進行網絡互聯�����。由于其網絡的結構特點�,使得AdHoc網絡的安全問題尤為突出�。Adhoc網路的一個重要特點是網絡決策是分散的,網絡協議依賴于所有參與者之間的協作���。敵手可以基于該種假設的信任關系入侵協作的節點����。
3.網路漫游的威脅
無線網路中的攻擊者不需要尋找攻擊目標����,攻擊目標會漫游到攻擊者所在的小區。在終端用戶不知情的情況下����,信息可能被竊取和篡改����。服務也可被經意或不經意地拒絕��。交易會中途打斷而沒有重新認證的機制��。由刷新引起連接的重新建立會給系統引入風險��,沒有再認證機制的交易和連接的重新建立是危險的�。連接一旦建立,使用SSL和WTLS的多數站點不需要進行重新認證和重新檢查證書�����。攻擊者可以利用該漏洞來獲利����。
4.物理安全
無線設備另一個特有的威脅就是容易丟失和被竊。因為沒有建筑�、門鎖和看管保證的物理邊界安全和其小的體積,無線設備很容易丟失和被盜竊���。對個人來說��,移動設備的丟失意味著別人將會看到電話上的數字證書�����,以及其他一些重要數據����。利用存儲的數據,拿到無線設備的人就可以訪問企業內部網絡����,包括Email服務器和文件系統。目前手持移動設備最大的問題就是缺少對特定用戶的實體認證機制�����。
三����、移動商務面臨的隱私和法律問題
1.垃圾短信息
在移動通信給人們帶來便利和效率的同時��,也帶來了很多煩惱��,遍地而來的垃圾短信廣告打擾著我們的生活��。在移動用戶進行商業交易時����,會把手機號碼留給對方�。通過街頭的社會調查時��,也往往需要被調查者填入手機號碼�����。甚至有的用戶把手機號碼公布在網上�。這些都是公司獲取手機號碼的渠道。垃圾短信使得人們對移動商務充滿恐懼�����,而不敢在網絡上使用自己的移動設備從事商務活動���。目前�����,還沒有相關的法律法規來規范短信廣告��,運營商還只是在技術層面來限制垃圾短信的群發��。目前��,信息產業部正在起草手機短信的規章制度��,相信不久的將來會還手機短信一片綠色的空間��。
2.定位新業務的隱私威脅
定位是移動業務的新應用�,其技術包括:全球定位系統,該種技術利用24顆GPS衛星來精確(誤差在幾米之內)定位地面上的人和車輛����;基于手機的定位技術TOA,該技術根據從GPS返回響應信號的時間信息定位手機所處的位置�。定位在受到歡迎的同時,也暴露了其不利的一面——隱私問題���。移動酒吧就是一個典型的例子���,當你在路上時�,這種服務可以在你的PDA上列出離你最近的5個酒吧的位置和其特色?;蛘弋斈阃窘浺粋€商店時,會自動向你的手機發送廣告信息����。定位服務在給我們帶來便利的同時����,也影響到了個人隱私�。利用這種技術,執法部門和政府可以監聽信道上的數據�����,并能夠跟蹤一個人的物理位置�。
3.移動商務的法律保障
電子商務的迅猛發展推動了相關的立法工作。2005年4月1日���,中國首部真正意義上的信息化法律《電子簽名法》正式實施�����,電子簽名與傳統的手寫簽名和蓋章將具有同等的法律效力�����,標志著我國電子商務向誠信發展邁出了第一步�����?!峨娮雍灻ā妨⒎ǖ闹匾康氖菫榱舜龠M電子商務和電子政務的發展,增強交易的安全性�����。
參考文獻:
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
第6篇
電子商務所具有的廣闊發展前景��,越來越為世人所矚目�。但電子商務中的安全問題如得不到妥善解決,電子商務應用就只能是紙上談兵����。從事電子商務活動的主體都已普遍認識到電子商務的交易安全是電子商務成功實施的基礎,是企業制訂電子商務策略時必須首先要考慮的問題����。對于實施電子商務戰略的企業來說,保證電子商務的安全已成為當務之急����。
一、電子商務信息安全需求
1��、信息的保密性
電子商務是建立在一個開放性很強的網絡環境中�,維護商業機密是電子商務全面推廣應用的重要保障。因此�����,要預防非法的信息存取和信息在傳輸過程中被非法竊取�,保密性一般通過密碼技術對傳輸的信息進行加密處理來實現。
2�、信息的不可抵賴性
對進行電子商務交易的貿易雙方來說,一個很關鍵問題就是如何確定進行交易的貿易方正是交易所期望的貿易方����。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已經不可能�。因此,要在交易信息的傳輸過程中為參與交易的個人��、企業或國家提供可靠的標識���,使原發方對已發送的數據����、接收方對已接收的數據都不能否認�。通常可通過對發送的消息進行數字簽名來實現信息的不可抵賴性�����。
3、信息的真實性
由于在電子商務過程中�����,買賣雙方的所有交易活動都通過網絡聯系�,交易雙方可能素昧平生,相隔萬里���。要使交易成功�,首先要確認對方的身份�����。對于商家而言��,要考慮客戶端不能是騙子����,而客戶端也會擔心網上商店是否是_個玩弄欺詐的黑店,因此���,電子商務的開展要求能夠對交易主體的真實身份進行鑒別��。
4��、信息的完整性
電子商務簡化了貿易過程��,減少了人為的干預�,同時也帶來維護貿易各方商業信息的完整���、統一的問題�。數據輸入時的意外差錯或欺詐行為�����,可能會導致貿易各方信息的差異��。另外�,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同�����。因此�,貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎�����。一般可通過提取信息摘要的方式來保持信息的完整性。
5�、信息的有效性
電子商務作為貿易的一種形式,其信息的有效性將直接關系到個人�、企業或國家的經濟利益和聲譽,那么保證信息的有效性就成為開展電子商務的前提��。因此��,要對網絡故障���、操作錯誤����、應用程序錯誤��、硬件故障���、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防��,以保證貿易數據在確定的時刻���、確定的地點是有效的����。
二��、電子商務安全技術
1���、防火墻技術
防火墻是企業網安全問題的流行方案,即把公共數據和服務置于防火墻外��,使其對防火墻內部資源的訪問受到限制����。一般說來,防火墻是不能防病毒的��,盡管有不少的防火墻產品聲稱其具有這個功能��。防火墻技術的另外一個弱點在于數據在防火墻之間的更新是一個難題����,如果延遲太大將無法支持實時服務請求。此外���,防火墻采用濾波技術��,濾波通常使網絡的性能降低50%以上�����,如果為了改善網絡性能而購置高速路由器�,又會大大提高經濟預算。作為一種網絡安全技術��,防火墻具有簡單實用的特點����,并且透明度高,可以在不修改原有網絡應用系統的情況下達到一定的安全要求�����。但是��,如果防火墻系統被攻破���,則被保護的網絡處于無保護狀態���。如果一個企業希望在Internet上開展商業活動,與眾多的客戶進行通信,則防火墻不能滿足要求���。
2��、數據加密技術
加密技術是最基本的網絡安全技術�����,主要用于保證數據在存儲和傳輸過程中的保密性���。該技術采用數學方法對原始信息進行再組織�����,使得加密后在網絡上公開傳輸的內容對于非法接收者來說成為不可理解的字符�。而對于合法的接受者,可以利用其掌握的密鑰�,通過解密過程得到原始數據,從而達到保護信息的目的��。數據加密的方法很多常用的有兩大類:一種是對稱加密��,一種是非對稱密鑰加密�����。(1)對稱密鑰加密體制。在對稱密鑰加密體制中��,加結果為:-1.5915,當初值為:x0=[1,1]時�����,結果為:-0.8949��。由此可見����,傳統方法求解具有多個極小值點的函數時,求解結果的值與初始值的選擇有關��,所得的最優解為局部最優解����。同時通過畫該目標函數的曲面圖1-1可知,該曲面存在多個局部極小點����。所以,應用傳統的解法���,容易陷入局部極小值區域���。對于這樣的問題�,用傳統的非線性規劃求解算法不容易求得全局最優解���。
用染色體(�����、&)作為解的代碼�����,用以下方法把染色體X變成染色體(%,&)并把v作為相應的解���,密所使用的密鑰和解密所使用的密鑰相同�,或者雖不相同,但可以從其中_個密鑰推導出另_個�����,即發送方和接收方使用同樣密鑰�。使用對稱密鑰體制不必交換加密算法,只需交換加密密鑰,因而簡化了加密過程�����,加解密速度快�����,但存在密鑰的分配�����、保存和管理的問題��。目前廣泛應用的對稱加密算法是DES算法����。(2)非對稱密鑰加密體制。在非對稱密鑰加密體制中�����,對信息加密和解密所使用的密鑰是不同的���。并且從其中一個密鑰無法推導出另一個密鑰�。非對稱密鑰加密體制解決了對稱密鑰加密體制存在的密鑰分配、保存和管理的問題��,但加密算法復雜��,加解密速度慢���。非對稱密鑰加密體制最早的代表算法是RSA算法����。由此可見,兩種加密技術各有優缺點�����,在Internet開放網絡環境中可以互補�。
3、認證技術
基本的加密技術不足以保證電子商務中的交易安全����,信息鑒別和身份認證技術是保證電子商務安全不可缺少的重要技術手段�。認證技術是防止交易信息被篡改、刪除�����、重復和偽造的一種有效方法,主要有數字簽名��、數字信封���、數字摘要�、數字時間戳��、數字證書等���。(1)數字簽名��。數字簽名是使用某人的私鑰加密特定消息摘要散列值而得到的結果��,通過這種方法把人同特定消息聯系起來��,類似于手書簽名�����。日常生活中����,通常用對某_文檔進行簽名來保證文檔的真實有效性�,防止其抵賴���。在網絡環境中,可以用電子數字簽名作為模擬�����。(2)數字信封�����。數字信封是用加密技術來保證只有規定的特定收信人才能閱讀信的內容����。在數字信封中,信息發送方采用對稱密鑰來加密信息�,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數字信封)之后,將它和信息一起發送給接收方��,接收方先用相應的私有密鑰打開數字信封����,得到對稱密鑰,然后使用對稱密鑰解開信息����。這種技術的安全性相當高。(3)數字摘其中V可由下面的檢驗函數檢若(VP3L1V,<-3:1v2>3Uv2<-3)����,返回〇;否則返回這里檢驗數數值為0表示不可行,1表示可行�。易知該模型的可行集包含在下列的超幾何體中={(V1?V2)|°^V1^^0^V2^1}然后就可以容易地從這個超幾何中抽取初始染色體vL=u(0,1),v2=u<0,1)(1)
第7篇
關鍵詞:電子商務信息安全安全技術
伴隨經濟的迅猛發展,電子商務成為當今世界商務活動的新模式����。要在國際競爭中贏得優勢,必須保證電子商務中信息交流的安全���。
一�����、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊?���。喝绻捎眉用艽胧┎粔?���,攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據�����,獲取機密信息或通過對信息流量、流向����、通信頻度和長度分析,推測出有用信息��。2.信息的篡改:當攻擊者熟悉網絡信息格式后�����,通過技術手段對網絡傳輸信息中途修改并發往目的地�,破壞信息完整性。3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后�����,假冒合法用戶或發送假冒信息欺騙其他用戶�����。4.交易抵賴:交易抵賴包括多方面���,如發信者事后否認曾發送信息����、收信者事后否認曾收到消息���、購買者做了定貨單不承認等�。
二���、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性���、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障���。由于建立在開放網絡環境中��,要預防非法信息存取和信息傳輸中被竊現象發生���。2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎,影響到交易和經營策略���。要保證網絡上傳輸的信息不被篡改����,預防對信息隨意生成、修改和刪除�,防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性:保證信息有效性是開展電子商務前提����,關系到企業或國家的經濟利益。對網絡故障�����、應用程序錯誤��、硬件故障及計算機病毒的潛在威脅控制和預防���,以保證貿易數據在確定時刻和地點有效����。4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵����。為防止計算機失效、程序錯誤�����、系統軟件錯誤等威脅,通過控制與預防確保系統安全可靠��。
三�、信息安全技術
1.防火墻技術。防火墻在網絡間建立安全屏障����,根據指定策略對數據過濾�����、分析和審計�,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準許就是禁止”�����。防火墻先封閉所有信息流����,再審查要求通過信息,符合條件就通過����;二是“凡是未被禁止就是允許”����。防火墻先轉發所有信息��,然后逐項剔除有害內容��。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過���,核心是安全策略即過濾算法設計�。(2)服務技術:提供應用層服務控制����,起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控���、過濾���、記錄等功能。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能�����。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻,所用主機稱為堡壘主機�����,提供服務�。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志,對日志統計分析�,對資源使用情況分析,對異?�,F象跟蹤監視�。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮�����,再通過外部網絡傳輸到目的端解壓縮和解密����。2.加密技術。為保證數據和交易安全����,確認交易雙方的真實身份,電子商務采用加密技術�。數據加密是最可靠的安全保障形式和主動安全防范的策略�。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法����。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密�����。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方�,保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法�����。將需加密的明文“摘要”成一串密文亦稱數字指紋��,有固定長度且不同明文摘要成密文結果不同��,而同樣明文摘要必定一致���。這串摘要成為驗證明文是否真身的“指紋”�����。(3)數字簽名:將數字摘要�����、公用密鑰算法兩種加密方法結合�。在書面文件上簽名是確認文件的手段。簽名作用有兩點:一是因為自己簽名難以否認�,從而確認文件已簽署;二是因為簽名不易仿冒���,從而確定文件為真�。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容�����,數字時間戳服務能提供電子文件發表時間的安全保護�。
3.認證技術�����。安全認證的作用是進行信息認證����。信息認證是確認信息發送者的身份,驗證信息完整性�,確認信息在傳送或存儲過程中未被篡改����。(1)數字證書:也叫數字憑證��、數字標識����,用電子手段證實用戶身份及對網絡資源的訪問權限,可控制被查看的數據庫����,提高總體保密性。交易支付過程中�,參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心����。無論是數字時間戳服務還是數字證書發放,都需要有權威性和公正性的第三方完成�����。CA是承擔網上安全交易認證服務����、簽發數字證書并確認用戶身份的企業機構�����,受理數字證書的申請���、簽發及對數字證書管理。
4.防病毒技術��。(1)預防病毒技術�����,通過自身常駐系統內存���,優先獲取系統控制權�,監視系統中是否有病毒�����,阻止計算機病毒進入計算機系統和對系統破壞����。(2)檢測病毒技術����,通過對計算機病毒特征進行判斷的偵測技術�,如自身校驗��、關鍵字����、文件長度變化。(3)消除病毒技術���,通過對計算機病毒分析���,開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度��,可以清除處于潛伏期的病毒�����,防止病毒突然爆發����,使計算機始終處于良好工作狀態。
四、結語
信息安全是電子商務的核心����。要不斷改進電子商務中的信息安全技術,提高電子商務系統的安全性和可靠性��。但電子商務的安全運行�,僅從技術角度防范遠遠不夠,還必須完善電子商務立法����,以規范存在的各類問題,引導和促進我國電子商務快速健康發展�����。
參考文獻:
[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006
