序論:在您撰寫電子商務信息安全時����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導您走向新的創(chuàng)作高度。
第1篇
[關(guān)鍵詞]電子商務系統(tǒng)���;信息安全�����;技術(shù)分析
近年來���,我國網(wǎng)絡技術(shù)快速發(fā)展����,電子商務經(jīng)營模式在各行各業(yè)中的應用愈加廣泛�。電子商務經(jīng)營模式主要通過網(wǎng)絡開運行,其開放性的特點不但保證了商務活動的高效性和快捷性��,還極大地提高了企業(yè)的經(jīng)營管理效率���,而同時也給企業(yè)帶來許多問題�����,如黑客、病毒入侵�����,給企業(yè)造成了極大的經(jīng)濟損失��,因此����,為了保證電子商務系統(tǒng)給企業(yè)帶來的效益��,迫切需要解決電子商務信息安全問題���。
一、我國電子商務發(fā)展概況
由于網(wǎng)絡環(huán)境具有開放性的特點�����,電子商務使企業(yè)���、消費者可以通過網(wǎng)絡進行交易�,極大的豐富了人們購物的方式�����。而隨著計算機網(wǎng)絡技術(shù)的快速發(fā)展���,電子商務相關(guān)技術(shù)也越來越完善��,市場環(huán)境愈加成熟���,以電子商務為主的網(wǎng)上交易模式得到了廣大人民的青睞��。電子商務不但使得交易模式更加快捷�����,讓消費者可以通過電子商務平臺輕松購買到自己想要的商品����,從商家的立場來說��,還促使商家構(gòu)建出自己的電子商務網(wǎng)絡平臺�,實現(xiàn)商品的網(wǎng)絡在線銷售,極大的提高了企業(yè)的經(jīng)濟效益�。我國企業(yè)電子商務模式種類繁多,其差異主要體現(xiàn)在交易模式及付款方式的不同����,有B2B����、B2C、C2C等模式����,這里B指的是Business���,即企業(yè),C指的是Customer���,即客戶��。
B2B模式中的交易雙方都是企業(yè)用戶�,大多通過網(wǎng)絡形成交易合同����,然后通過現(xiàn)實銀行支票或轉(zhuǎn)賬等方式進行付款;在C2C模式中�,交易雙方是個人對個人的交易形式,其中以淘寶店主作為主要代表���,商務活動主要是個人與個人之見的交易活動���,雙方通過第三方網(wǎng)站支付平臺進行相應的付款與收款交接;在B2C模式中���,交易雙方中的一方是企業(yè)����,另外一方是個人,電商企業(yè)通過電子商務銷售平臺將商品推銷給個體消費者����。這種電子商務經(jīng)營模式,徹底的改變了傳統(tǒng)的賣家―經(jīng)銷商―買家的交易模式���,極大的提高了企業(yè)的經(jīng)濟效益���,并且縮短了交易的時間。
二�����、當前電子商務信息安全現(xiàn)狀
電子商務作為一種新型的商業(yè)經(jīng)營模式���,使商務活動交易雙方在不見面的情況下���,通過互聯(lián)網(wǎng)手段完成商業(yè)交易,而這一特點也給電子商務信息埋下了安全隱患���。電子商務高度網(wǎng)絡化的特點,對電子商務安全性有著較高的要求。第一���,要嚴格化用戶信息數(shù)據(jù)傳輸�����、處理以及存儲的過程�����,確保在商務活動交易過程中交易雙方信息的完整性���,避免交易雙方信息在處理的過程中出現(xiàn)錯誤;第二��,要對交易雙方的身份進行核實認證�,保障交易過程中交易雙方身份信息的真實性,第三��,要保障電子商務交易平臺系統(tǒng)軟件的穩(wěn)定性���,定期更新硬件設備�,在最大程度上保證電子商務信息安全���,加強電子商務的安全技術(shù)和安全管理��,以確保電子商務的信息安全性����。當前電子信息安全問題主要表現(xiàn)為以下形式:
(一)病毒與黑客
由于網(wǎng)絡環(huán)境的開放性特點,網(wǎng)絡病毒具有極強的傳染力和破壞力����,它侵入到電子商務的系統(tǒng)中,破壞商務交易數(shù)據(jù)程序�����,對電子商務系統(tǒng)造成無法估量的損失��。而網(wǎng)絡黑客主要通過黑客程序進入電子商務信息系統(tǒng)漏洞���,進而侵入到電子商務系統(tǒng)中��,竊取用戶私人信息進行惡意利用��,有些黑客竊取競爭對手的商業(yè)機密對其進行商業(yè)打擊��。
(二)軟件漏洞
由于計算機軟件編程具有復雜多樣的特點�����,電子商務系統(tǒng)軟件經(jīng)常出現(xiàn)信息泄露的問題��。如果程序中的文檔秘密入口被其他程序員惡意使用���,將導致無法估量的損失;而由于操作系統(tǒng)自身的安全漏洞���,例如訪問控制混亂��、I/O非法訪問�����、不完全中介���、數(shù)據(jù)庫安全漏洞等等,都將嚴重危害電子商務系統(tǒng)的信息安全�����,在TCP/IP的通信協(xié)議設計初期階段����,程序員沒有充分考慮軟件安全的問題��,導致計算機在連接Internet時�,經(jīng)常受到外界各類惡意軟件的攻擊�,使得信息被竊取。
(三)技術(shù)落后
由于我國網(wǎng)絡信息技術(shù)發(fā)展滯后���,當前電子商務系統(tǒng)中仍存在信息安全問題��。當前我國多數(shù)計算機設備皆來源于進口�����,計算機芯片技術(shù)不成熟��,網(wǎng)絡設備的技術(shù)及維護技術(shù)大多從國外引進�����,如果軟件中隱性漏洞被人惡意利用�,將造成嚴重的電子商務信息安全問題���。
三�����、電子商務信息安全防范措施分析
(一)電子商務法規(guī)制度
企業(yè)需要做好管理體制的建設工作���,不斷加強內(nèi)部的安全管理���,提高企業(yè)的安全意識�,為了保證電子商務活動中用戶的隱私。同時政府需要不斷完善電子商務相關(guān)法規(guī)��,制定科學合理的賠償制度�����,為電子商務的發(fā)展創(chuàng)造必要的法律環(huán)境�。
(二)病毒防范處理技術(shù)
計算機病毒防范處理技術(shù)是保證電子商務系統(tǒng)信息安全的重要途徑。病毒管理工作要堅持防范大于治療的原則����,使用各種病毒預防方法來進行預防,例如對新購入的計算機硬件及軟件進行嚴格化檢測����、定期進行數(shù)據(jù)備份等�,同時設置合理的文件訪問權(quán)限����、對文件進行定期掃描檢測。此外����,定期更改系統(tǒng)管理員口令,以免不法分子非法獲取管理員口令����,安裝防病毒芯片,做好病毒防御工作����。若電子商務的計算機系統(tǒng)感染病毒,必須立即對其進行清除和系統(tǒng)恢復的工作���。在清除病毒時需要使用干凈盤來進行系統(tǒng)恢復����,保證殺毒工作處于無病毒環(huán)境中�,同時盡快找出病毒宿主程序,在啟動盤和殺毒盤上安裝保護程序,防止病毒的進一步傳染�。此外,要保證病毒清除工作的全面性與準確性����,及時清除病毒文件。如此才能徹底清除電子商務系統(tǒng)感染的病毒���,保證電子商務用戶的信息安全�。
(三)數(shù)據(jù)加密技術(shù)
加密技術(shù)是計算機網(wǎng)絡信息安全技術(shù)的基礎技術(shù)之一�,大多被應用于數(shù)據(jù)存儲與傳輸?shù)倪^程中�����。數(shù)據(jù)加密技術(shù)使用數(shù)學方法將信息進行再組織和加密�����,使非法接受者無法正常接收網(wǎng)絡數(shù)據(jù)�,而合法接受者可以通過密鑰,對數(shù)據(jù)進行解密來得到信息�����,極大地保證了信息安全。由于在數(shù)據(jù)安全保護方面獨具優(yōu)勢���,數(shù)據(jù)加密技術(shù)被廣泛應用于電子商務信息安全管理工作中��。
(四)防火墻技術(shù)
防火墻技術(shù)是保障電子商務信息安全的重要方法�����,它極大的限制了公共數(shù)據(jù)與服務對于防火墻內(nèi)資源的訪問權(quán)限�����,然而防火墻對病毒沒有防范的作用�,并且由于防火墻數(shù)據(jù)時常無法及時更新���,導致產(chǎn)生數(shù)據(jù)延遲�����,極大地制約了實時服務支持請求���。同時防火墻通常采取的濾波技術(shù)會使網(wǎng)絡性能降低一半以上,而為了保證網(wǎng)絡性能����,企業(yè)需要配置高速路由器�,這不利于企業(yè)經(jīng)濟效益的提高���。防火墻技術(shù)是一種大眾化的電子商務信息安全防范技術(shù)�,擁有頗高的透明度���,并且易于操作����,能在一定程度上保證電子商務信息安全��。然而�����,如果防火墻被入侵��,電子商務系統(tǒng)信息安全將受到極大的損害�。同時防火墻也無法滿足企業(yè)與個體之間商業(yè)網(wǎng)絡通信的需求��。
(五)授權(quán)認證技術(shù)分析
目前國際電子商務大多采用CA認證技術(shù)來處理電子商務信息的安全問題��。作為電子商務系統(tǒng)中的權(quán)威機構(gòu),所有的電子商務系統(tǒng)數(shù)字證書都要通過CA認證中心的授權(quán)�����,因此CA認證技術(shù)中心受到了廣大用戶的信任����。其主要通過身份識別、數(shù)字化簽名等技術(shù)途徑來處理電子商務系統(tǒng)中身份認證的問題�����,確保商務互動交易雙方身份的真實有效����,使數(shù)據(jù)存儲、傳輸?shù)陌踩玫奖WC���。
結(jié)束語
總而言之�����,電子商務雖然給企業(yè)帶來了極大的經(jīng)濟效益�����,然而由于網(wǎng)絡環(huán)境具有開放性的特點�����,易產(chǎn)生安全漏洞和信息泄露等問題�����,從而使電子商務活動中雙方帶來重大的經(jīng)濟損失��,因此要不斷完善對計算機信息安全技術(shù)�,電子商務活動環(huán)節(jié)進行有效監(jiān)測,保證電子商務信息安全�,促使電子商務系統(tǒng)健康發(fā)展。
參考文獻
[1]崔曉慧.關(guān)于電子商務信息安全的探討[J].現(xiàn)代營銷���,2013���,(4).
[2]黃福偉.提高計算機電子商務信息安全的策略分析[J].中國電子商務,2014����,(12).
第2篇
關(guān)鍵詞:電子商務�;信息安全�;計算機網(wǎng)絡
1 問題的提出
隨著Internet網(wǎng)絡技術(shù)飛速發(fā)展及普及���,電子商務(Electronic Commerce���,簡稱EC)已經(jīng)逐漸成為人們進行商務活動的新模式,越來越多的人通過Internet進行商務活動�����。電子商務是利用網(wǎng)絡技術(shù)����、計算機技術(shù)和通信技術(shù),實現(xiàn)數(shù)字化��、電子化��,商務化�����,網(wǎng)絡化的整個商務過程��,它與傳統(tǒng)商業(yè)活動相比�,最大的一個特征就是基于B/S方式下����,交易雙方在不見面的情況下完成商品貿(mào)易活動��。
由于Internet自身的共享性��、開放性�、無縫性,那么以此為平臺的在線商務交易安全也面臨著日益嚴峻的挑戰(zhàn)���。據(jù)國家信息中心信息安全研究與服務中心統(tǒng)計�,2012年發(fā)生了2起源代碼被盜事件�,2起重大黑客攻擊事件,6起信息泄密事件�����,3起重大漏洞事件�。2013年的棱鏡門,谷歌抓取支付寶轉(zhuǎn)賬信息��,酒店開房記錄泄露等��。據(jù)中國互聯(lián)網(wǎng)產(chǎn)業(yè)統(tǒng)計�����,中國網(wǎng)民在2013年損近1500億元�。對于以上的這些問題,本文將對電子商務信息安全應用進行研究��,并提出一些合理的安全解決方法�,提高電子商務交易過程中的安全性,降低實施風險�。
2 國內(nèi)外電子商務安全研究現(xiàn)狀
2.1 國際電子商務安全研究現(xiàn)狀
在電子商務安全研究方面,美國是處于領(lǐng)先地位���。美國國家安全局(NSA)在1983年正式頒布“受信計算機系統(tǒng)評量基準”����,是目前頗具權(quán)威的計算機系統(tǒng)安全標準之一���。自“911”恐怖襲擊事件之后�����,美國公司增強了信息技術(shù)安全觀念����,投入大量的經(jīng)費,同時加強信息技術(shù)安全方面的工作��。從現(xiàn)在的網(wǎng)絡安全研究情況的現(xiàn)實看��,解決網(wǎng)絡安全問題的根本途徑和方向是網(wǎng)絡技術(shù)創(chuàng)新��,即研發(fā)新一代網(wǎng)絡技術(shù)�����,采取“立體”措施����,包括引入“中間件”層及其安全結(jié)構(gòu),在“網(wǎng)絡層”增設面向連接的實時協(xié)議��、強化整個網(wǎng)絡系統(tǒng)的管控智能以及改進終端加密和反黑等措施�。
2.2 我國電子商務安全研究現(xiàn)狀
國務院在1996年了《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》,公安部在1997年了《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》���,2000年由國家信息化推進工作辦公室牽頭起草的《關(guān)于發(fā)展我國電子商務的若干意見》上報國家最高決策層進行審議��。網(wǎng)絡信息安全問題不但得到了政府�、企業(yè)的高度重視,同時國內(nèi)的大專院校�����、研究所和有實力的大公司也紛紛進入網(wǎng)絡信息安全問題的研究領(lǐng)域�。
3 電子商務信息安全隱患
電子商務的信息存儲安全隱患主要包括:(1)內(nèi)部隱患��。主要是網(wǎng)內(nèi)用戶未經(jīng)許可隨意增加���、刪除�、修改或無意或故意地非授權(quán)調(diào)用電子商務信息�����。(2)外部隱患��。主要是因為軟件問題造成外部人員非法闖入內(nèi)網(wǎng)����,造成電子商務信息被增加、刪除����、修改或調(diào)用。
電子商務的信息流動安全隱患主要包括:(1)竊取商業(yè)機密。多數(shù)電子商務的信息是以明文的方式傳輸���,那么攻擊者很容易的對電子商務信息進行監(jiān)聽和截取��。(2)攻擊商務網(wǎng)站��。攻擊者通過傳播計算機病毒��,繞過電子商務網(wǎng)站的防火墻��,篡改信息��,使其無法正常運轉(zhuǎn)���。(3)實施商務詐騙。不法分子通過Internet虛假信息騙取帳號����、現(xiàn)金,用戶對電子商務產(chǎn)生不信任感�����,阻礙了電子商務的順利發(fā)展��。(4)傳播不良信息。不法分子為了達到自己既有目的���,在電子商務信息中推送不良信息�。
電子商務交易雙方的信息安全隱患主要是:(1)商家的信息安全隱患����。不法分子冒充合法用戶修改商務信息內(nèi)容,致使電子商務活動中斷��,造成商家無法從事正常的業(yè)務活動�����。(2)用戶的信息安全隱患�。不法分子竊用攔截合法用戶身份信息����,以合法的用戶進行電子商務活動,使用戶蒙受損失����。
4 電子商務信息安全管理
在電子商務活動中,有些信息屬于商業(yè)秘密��,如果失竊,將帶來不可估量的損失��,因此需有一個能不中斷地提供服務及可靠穩(wěn)定的電子商務平臺����,任何系統(tǒng)的中斷,如軟硬件錯誤���,病毒�����,網(wǎng)絡故障等都可能導致電子商務系統(tǒng)不能正常工作���,所以電子商務信息的安全管理問題就成了電子商務順利推進的保障。隨著電子商務的深入應用�,攻擊網(wǎng)絡技術(shù)和手段不斷改進,這就對電子商務信息系統(tǒng)的安全性提出了更高的要求�����,必須保證外網(wǎng)用戶不能對系統(tǒng)構(gòu)成威脅���,所以人們對這些基本技術(shù)進行了反復改進以適應更高的安全需求�。
4.1 電子商務安全的法制建設及企業(yè)內(nèi)部管理
為了保護用戶信息在電子商務活動中不受侵犯,政府應該完善電子商務信息法規(guī)�,同時,還需制定詳盡��、具體���、具有可操作性的賠償制度�����,包括精神賠償和物質(zhì)賠償���,為電子商務的發(fā)展提供必要的法律保證�。
在國內(nèi)對個人信息安全保護的監(jiān)管分別由公安部、工業(yè)與信息化部等部門管理�����,多頭管理難免會出現(xiàn)監(jiān)管漏洞����。對此可以建議由國安委統(tǒng)一管理,只有權(quán)力清晰才能保證監(jiān)管沒有漏洞�。
有些安全事件是“禍起蕭墻”��,這就要求加強企業(yè)內(nèi)部安全管理����,培育和加強企業(yè)安全意識�,通過企業(yè)和用戶的共同努力來實現(xiàn)。它的基本原則是在系統(tǒng)內(nèi)發(fā)生的所有行為都必須被定義好的�����,并且符合相應的程序控制要求�,所有行為的發(fā)生都有審計記錄,可以解決許多技術(shù)層次解決不了的安全性問題����。
4.2 防火墻技術(shù)
目前的防火墻分可為兩大類,一類是簡單的包過濾技術(shù)����,它是在網(wǎng)絡層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先制定好的過濾邏輯��,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后��,根據(jù)數(shù)據(jù)包的源地址�、目的地址等因素來確定是否允許數(shù)據(jù)包通過�。另一類是應用網(wǎng)管和服務器����,其顯著的優(yōu)點是能提供小顆度的存取控制,可針對特別的數(shù)據(jù)過濾協(xié)議和網(wǎng)絡應用服務�����,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告�。通過防火墻技術(shù),可以過濾掉不安全的服務�����,提高網(wǎng)絡安全和減少網(wǎng)絡中主機的風險��。但防火墻是一種被動安全技術(shù)��,不能阻止來自內(nèi)部網(wǎng)絡的攻擊����。唯一的解決辦法就是�,在每臺計算機上都裝反病毒軟件。
4.3 病毒防范技術(shù)
計算機病毒實際上就是在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)�����,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒繞過系統(tǒng)或違反授權(quán)入侵成功后����,在系統(tǒng)中植入木馬等病毒程序,為以后攻擊系統(tǒng)�����、竊取信息做好準備����。網(wǎng)絡防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁的掃描和監(jiān)測,工作站上對網(wǎng)絡目錄及文件設置訪問權(quán)限等����。
現(xiàn)在較流行的反病毒技術(shù)基于病毒的特征碼掃描法�����、文件實時監(jiān)控技術(shù)并輔以指令虛擬技術(shù)。掃描病毒:分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中��,在掃描時將掃描對象與特征代碼庫比較,如有吻合則判斷為染上病毒��。該技術(shù)實現(xiàn)簡單有效��,安全徹底�。監(jiān)控病毒:通過利用操作系統(tǒng)底層接口技術(shù),對系統(tǒng)中的指定類型的文件進行實時的行為監(jiān)控��,一旦有病毒傳染或發(fā)作時就及時報警���。從而實現(xiàn)了對病毒的實時�、永久��、自動監(jiān)控�����。刪除病毒:在刪除時采用虛擬技術(shù)對變種的病毒進行處理或編寫出相應的程序�����,將病毒移除計算機內(nèi)存�����。
4.4 認證技術(shù)
安全認證技術(shù)主要有:(1)數(shù)字摘要技術(shù)��,也稱安全HASH編碼法�����。用于對所要傳輸?shù)臄?shù)據(jù)進行運算生成信息摘要����,它并不是一種加密機制,但能產(chǎn)生信息的數(shù)字"指紋"�����,目的是為了確保數(shù)據(jù)沒有被篡改�,從而保證數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術(shù)���,又稱電子簽章��、公鑰數(shù)字簽名�����。是一種類似寫在紙上的普通的物理簽名���,就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)���,或是對數(shù)據(jù)單元所作的密碼變換。這種變換或數(shù)據(jù)允許數(shù)據(jù)單元的接收者用以確認完整性和數(shù)據(jù)單元的來源并保護數(shù)據(jù)�,防止被人偽造。它是對電子形式的消息進行簽名的一種方法���,一個簽名消息能在一個通信網(wǎng)絡中傳輸��。主要功能是保證信息傳輸?shù)耐暾?���、發(fā)送者的身份認證�����、防止交易中發(fā)生抵賴����。(3)數(shù)字證書技術(shù),又稱為數(shù)字憑證���。負責用電子手段來證實用戶的身份和對網(wǎng)絡資源訪問的權(quán)限�。(4)數(shù)字時間戳技術(shù)(DTS)。在文件交易中����,時間是十分重要的信息�����,需對文件交易的時間和日期信息采取安全措施��,而數(shù)字時間戳服務就能提供電子文件交易時間的安全保護�����。時間戳是一個經(jīng)加密后形成的憑證文檔����,它包括三個部分:需加時間戳的文件摘要,DTS的數(shù)字簽名����,DTS收到文件的日期和時間。(5)身份認證實際����。是計算機系統(tǒng)通過審查用戶身份證明的過程��,提供確認和判別用戶身份的機制����,確定用戶是否具有對系統(tǒng)資源操作和訪問權(quán)限���。本質(zhì)是確認用戶身份��,用戶必須能夠證明其身份標識合法性�。身份認證技術(shù)是訪問控制���、安全審計����、入侵檢測等安企機制的基礎��,在電子商務信息安全理論與技術(shù)中占有至關(guān)重要的位��。目身份認證技術(shù)主要有基于口令的認證技術(shù)����、基于密碼學的認證技術(shù)、基于智能卡的認證技術(shù)以及基于生物學特征的認證技術(shù)等����。
4.5 安全協(xié)議技術(shù)
電子商務安全問題的核心是電子交易的安全性�,為了徹底解決電子商務的安全機制��,人們開發(fā)了各種用于加強電子商務安全的協(xié)議���。當前廣泛應用的電子商務安全協(xié)議主要有SET協(xié)議(Secure Electronic Transaction,安全電子交易)和SSL協(xié)議(Secure Sockets Layer��,安全套接層)�,二者都采用了RSA算法加密。
SSL協(xié)議提供加密的SSL會話服務�����、SSL服務器鑒別服務以及SEL客戶鑒別服務����,實現(xiàn)了瀏覽器等客戶端應用軟件與TC/IP協(xié)議之間的接口,可以對萬維網(wǎng)客戶與服務器之間傳送的數(shù)據(jù)信息進行加密和鑒別�����,在雙方握手階段���,對將要使用加密算法和雙方共享的會話密朗進行協(xié)商��,完成客戶與服務器之間的鑒別����。目前許多運營商利用本身的便利性,使用一些的數(shù)據(jù)收集工具�����,分析出客戶的需求����,并為客戶提供同類商品信息,或者是分析其他運營商的數(shù)據(jù)�,產(chǎn)生一種惡性競爭。對于客戶來講����,提供相關(guān)的其他同類商品的信息,看似是一種個性化的服務�,但是同時也是在侵犯用戶的隱私,為此在應用層也就客戶在瀏覽網(wǎng)頁時�,如果客戶需要商家提供相關(guān)的同類商品的信息時,商家才能對客戶的數(shù)據(jù)進行分析,否則不應任意分析用戶的數(shù)據(jù)����。
SET協(xié)議是基于應用層的協(xié)議,是一種新的電子支付模式����,它保證了開放網(wǎng)絡上使用信用卡進行在線購物的安全。SET協(xié)議具有強大的驗證功能�����,主要是為了解決用戶��、銀行�����、商家之間通過信用卡的交易而設計的�,它具有保證交易數(shù)據(jù)的完整性����,交易的不可抵賴性等優(yōu)點,因此它成為目前公認的信用卡網(wǎng)上交易的國際標準��。
5 結(jié)束語
電子商務信息的安全問題是一項復雜的系統(tǒng)工程��,隨著電子商務的發(fā)展,通過各種網(wǎng)絡的交易手段也會更加多樣化�,安全問題變得更加突出。它不僅涉及到動態(tài)傳輸信息及靜態(tài)存儲信息的安全問題����,還需要保證電子商務信息安全,加快電子商務的發(fā)展��。還有在非技術(shù)方面�����,需要完善法律制度���、管理制度和誠信制度���,促進社會公眾商務觀念的轉(zhuǎn)變等,營造電子商務信息安全的社會大環(huán)境�����。
[參考文獻]
[1]金勝男.電子商務的信息安全技術(shù)研究.技術(shù)研發(fā)����,2013年第12期.
[2]孟慧敏.電子商務對國際貿(mào)易的影響及應用.電腦知識與技術(shù)��,2013年2月第9卷第5期.
[3]韓文虹.電子商務中安全技術(shù)的應用研究.電子商務�,2013年2月.
[4]崔敏.基于電子商務的安全技術(shù)討論.網(wǎng)絡安全�����,2013年7月.
[5]龍愛民.電子商務的信息安全技術(shù)分析.信息技術(shù)���,2013年9月.
[6]牟童.電子商務安全體系結(jié)構(gòu)淺析.電子商務與電子政務����,2013年3月.
第3篇
[關(guān)鍵詞] 電子商務 信息技術(shù) 信息安全
隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡和多媒體技術(shù)的電子商務應運而生并迅速發(fā)展�����。所謂電子商務 ( Electronic Commerce, EC) 就是借助于公共網(wǎng)絡,如 Internet 或開放式計算機網(wǎng)絡 (Open Computer Network) 進行網(wǎng)上交易,快速而又有效地實現(xiàn)各種商務活動過程的電子化��、網(wǎng)絡化�����、直接化�。這種商務過程包括商品和服務交易的各個環(huán)節(jié),如廣告、商品購買����、產(chǎn)品推銷、信息咨詢����、商務洽談、金融服務��、商品的支付等商業(yè)交易活動��。但是出于各種目的的網(wǎng)絡入侵和攻擊也越來越頻繁,脆弱的網(wǎng)絡和不成熟的電子商務增強了人們的防范心理�����。從這點上來看,信息安全問題是保障電子商務的生命線����。
一、電子商務信息安全現(xiàn)存的問題
電子商務是實現(xiàn)整個貿(mào)易過程中各階段貿(mào)易活動的電子化����。公眾是電子商務的對象,信息技術(shù)是實現(xiàn)電子商務的基礎,電子商務實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性�、可用性�、保密性和可靠性��。因此電子商務活動中的信息安全問題主要體現(xiàn)在:
1.計算機網(wǎng)絡的安全
(1)安全協(xié)議問題�����。目前安全協(xié)議還沒有全球性的標準和規(guī)范,相對制約了國際性的商務活動���。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊�����。
(2)信息的安全問題���。非法用戶在網(wǎng)絡的傳輸上,通過不正當手段,非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息,最終導致合法用戶的一些核心業(yè)務數(shù)據(jù)泄密;或者是非法用戶對截獲的網(wǎng)絡數(shù)據(jù)進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易;還有一些非法用戶利用截獲的網(wǎng)絡數(shù)據(jù)包再次發(fā)送,惡意攻擊對方的網(wǎng)絡硬件和軟件�����。
(3)防病毒問題����。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失����。
(4)服務器的安全問題�����。電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關(guān)的軟件和商家信息,并且服務器上的數(shù)據(jù)庫里有企業(yè)的一些敏感數(shù)據(jù),如價格����、成本等,所以服務器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果也是非常嚴重的�。目前為止服務器的安全問題尚無有效措施予以阻止。主要表現(xiàn)在: 非法用戶向網(wǎng)絡或主機發(fā)送大量非法或無效的請求,使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡服務; 利用操作系統(tǒng)�、軟件、網(wǎng)絡協(xié)議�����、網(wǎng)絡服務等的安全漏洞,通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求,使網(wǎng)絡應用服務器崩潰而停止服務���。
2.商務交易的安全
(1)身份的不確定問題��。由于電子商務的實現(xiàn)需要借助于虛擬的網(wǎng)絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性���。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法收入。
(2)交易的抵賴問題�����。電子商務的交易應該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任����。
(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益�����。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正���。
3.其他方面的安全
電子商務安全威脅種類繁多�����、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題: 網(wǎng)絡交易糾紛的仲裁����、網(wǎng)絡交易契約等問題,急需為電子商務提供法律保障����。還有諸如非法使用���、操作人員不慎泄露信息����、媒體廢棄物導致泄露信息等均可構(gòu)成不同程度后果的威脅。
二����、保障電子商務信息安全技術(shù)性措施
電子商務安全是信息安全的上層應用,它包括的技術(shù)范圍比較廣,主要分為數(shù)據(jù)加密技術(shù)和身份認證技術(shù)兩大類。
1.數(shù)據(jù)加密技術(shù)
加密技術(shù)是保證電子商務中采用的主要安全措施,交易雙方可根據(jù)需要在信息交換階段使用���。在一個加密過程中有兩個基本元素:算法和密鑰�����。加密過程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文)與一串數(shù)字(密鑰)相結(jié)合,從而產(chǎn)生不可理解的密文的過程,主要加密技術(shù)是:
(1)常規(guī)密鑰密碼加密�����。所謂常規(guī)密鑰密碼加密,即加密密鑰與解密密鑰是相同的�����。在早期的常規(guī)密鑰密碼體制中,典型的有代替密碼,其原理可以用一個例子來說明:字母 A,B,C,D,…,W,X,Y,Z的 自然順序保持不變,但使之與 D,E,F,G,…,Z,A,B,C 分別對應 (即相差3個字符)��。 若明文為WELL則對應的密文為 ZHOO (此時密鑰為3)��。
由于英文字母中各字母出現(xiàn)的頻度早已有人進行過統(tǒng)計,所以根據(jù)字母頻度表可以很容易對這種代替密碼進行破譯���。
(2)對稱密文加密�。對稱密鑰加密又稱為秘密密鑰加密,即收發(fā)雙方采用相同的密鑰來進行加密和解密�。對稱密鑰加密的最大優(yōu)點是加解密速度快,適合于進行大量數(shù)據(jù)加密,但也存在密鑰管理、困難以及無法進行身份鑒別的缺點�����。
(3)非對稱密鑰加密����。非對稱密鑰加密也稱為公開密鑰加密,每個用戶有一對密鑰: 一個用于加密,一個用于解密,兩把密鑰實際上是兩個很大的質(zhì)數(shù)。其中,加密密鑰(公鑰)可以在網(wǎng)絡服務器��、報刊等場合公開,而解密密鑰(私鑰)則屬用戶的私有密鑰,由公開的加密密鑰導出私有的解密密鑰在技術(shù)上是不可實現(xiàn)的�。
與對稱密鑰加密相比,采用非對稱密鑰加密方式密鑰管理較方便,且保密性比較強,但加解密實現(xiàn)速度比較慢,不適用于通信負荷較重的應用。
2.身份驗證技術(shù)
(1)認證系統(tǒng)���。網(wǎng)上安全交易的基礎是數(shù)字證書���。數(shù)字證書類似于現(xiàn)實生活中的身份證,用于在網(wǎng)絡上鑒別個人或組織的真實身份。數(shù)字證書的頒發(fā)機構(gòu)叫做 Certificate Authority,通常簡稱為 CA。要建立安全的電子商務系統(tǒng),首先必須建立一個穩(wěn)固�、健全的 CA,否則,一切網(wǎng)上的交易都沒有安全保障。
(2)SSL協(xié)議��。SSL協(xié) 議 (Secure Socket Layer,安全套接層)主要目的是解決 TCP/IP 協(xié)議不能確認用戶身份的問題,在 Socket 上使用非對稱的加密技術(shù),以保證網(wǎng)絡通信服務的安全性�。SSL協(xié)議易于實現(xiàn)��。
SSL協(xié)議還是最值得信賴的協(xié)議����。但是由于 SSL協(xié) 議當初并不是為支持電子商務而設計的,所以在電子商務系統(tǒng)的應用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網(wǎng)站��、銀行三家協(xié)作完成,SSL協(xié) 議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系�����。
(3)SET協(xié) 議��。SET (Secure Electronic Transaction) 安全電子交易協(xié)議是用于 Internet 上的以信用卡為基礎的電子支付系統(tǒng)協(xié)議�。主要應用于B/C模式中保障支付信息的安全性。SET協(xié) 議提供對消費者�����、商戶和銀行的認證,協(xié)議本身比較復雜,設計比較嚴格,安全性高,確保電子交易的機密性、數(shù)據(jù)完整性�����、身份的合法性和抗否認性,特別是保證了不會將持卡人的信用卡號泄露給商戶��。其核心技術(shù)主要有公開密匙加密�、電子數(shù)字簽名、電子信封����、電子安全證書等。它的交易規(guī)范成為了未來電子商務發(fā)展的方向�。
3.其他安全技術(shù)
防火墻技術(shù):防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng),對內(nèi)部網(wǎng)的應用系統(tǒng)加以保護。目前的防火墻分為兩大類:一類是簡單的包過濾技術(shù),它是在網(wǎng)絡層對數(shù)據(jù)包實施有選擇的通過��。依據(jù)系統(tǒng)內(nèi)事先設定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址����、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過��。另一類是應用網(wǎng)管和服務器,可針對特別的網(wǎng)絡應用服務協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告��。
數(shù)字簽名:數(shù)字簽名是公開密鑰加密技術(shù)的另一種應用,報文的發(fā)送方從報文文本中生成一個 128位的散列值,發(fā)送方用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性��。
三、保障電子商務信息安全措施
1.加快網(wǎng)絡基礎設施建設,推動企業(yè)信息化進程
信息基礎設施是電子商務發(fā)展的物質(zhì)基礎和載體���。發(fā)展信息基礎設施需要政府和業(yè)界的共同努力,尤其是政府的大力投資和宏觀調(diào)控����。
2.普及計算機網(wǎng)絡知識和電子商務常識,提高全民族電子商務意識
普及信息技術(shù)的教育,培養(yǎng)信息技術(shù)人才����。增強企業(yè)和公眾對電子商務的信心����。
3.加快銀行、稅務以及郵政等物流環(huán)節(jié)的信息化建設
建立企業(yè)到企業(yè)����、企業(yè)到客戶的商務溝通,實現(xiàn)網(wǎng)上資金流動,解決目前有形商品交易環(huán)節(jié)中的流通困難。
參考文獻:
[1]周均:電子商務信息安全的政策法律研究[J].科技文獻信息管理,2004(4):57
[2]楊穎:電子商務安全問題分析[J].中國科技信息,2005(20):53
第4篇
1商務主要的信息安全要素
1.1有效性
有效性是指信息發(fā)送方發(fā)送給信息接收方的信息是未經(jīng)外人加工��、改變的信息���。貿(mào)易數(shù)據(jù)都具有特定型性���,是指貿(mào)易信息只有在特定的時刻和確定的地點才是有效的。電子商務改變了過去紙質(zhì)的方式,以電子的形式傳遞信息����,如何確保電子信息在傳送過程中的未經(jīng)加工是確保信息有效的前提。電子商務中信息的有效性對企業(yè)�����、個人����、甚至國家的經(jīng)濟利益有著重大的影響,所以���,要及時對網(wǎng)絡故障��、應用程序錯誤����、系統(tǒng)軟件錯誤或者計算機病毒引起的信息安全隱患進行防范����,以確保數(shù)據(jù)的有效性。
1.2保密性
保密性是指貿(mào)易信息在存儲或傳遞過程中未經(jīng)他人竊取或泄露��。傳統(tǒng)的紙質(zhì)貿(mào)易信息一般是通過郵寄的信件及其他可靠的傳遞渠道來互送商業(yè)貿(mào)易文件以確保信息的安全。現(xiàn)代電子網(wǎng)絡是一個開放的傳遞平臺����,維護商業(yè)貿(mào)易信息顯得更加重要,確保商業(yè)機密的保密性是電子商務全面推廣應用的基本保障�。所以,必須確保貿(mào)易信息在傳遞過程中的保密性�����,防止非法竊取及泄露�。
1.3完整性
完整性是指電子貿(mào)易信息在傳遞的過程中沒有沒被修改��、歪曲和重復�,信息的接受者接收到的信息與信息發(fā)送方發(fā)送的信息完全相同。貿(mào)易信息的完整性會對貿(mào)易各方經(jīng)濟利潤�、營銷策略和貿(mào)易合同產(chǎn)生巨大影響。確保貿(mào)易信息的完整性是電子商務實際應用的重要基礎���。所以�����,在信息傳遞過程中要防范信息被隨意生成�����、修改和刪除��,防止信息的丟失與重復����,同時信息的傳遞次序要保證統(tǒng)一。
1.4可靠性
電子商務信息直接關(guān)系到貿(mào)易雙方的商業(yè)交易�����,在交易過程中如何確保進行交易的對方與交易所期望的貿(mào)易方是同一者��,這就需要電子商務信息必須確保本身的可靠性�。在傳統(tǒng)的商業(yè)交易中,雙放當事人可以通過手寫簽名或印章等形式確保雙方的身份�,但是電子商業(yè)貿(mào)易利用網(wǎng)絡這一形式,無法采取傳統(tǒng)的身份認定形式�����,就必須確保貿(mào)易信息的可靠性���,從而為貿(mào)易雙方進行商業(yè)交易奠定重要基礎�。
2電子商務安全的技術(shù)要求
2.1物理安全
要根據(jù)國家標準、信息安全等級�����、信息技術(shù)情況�����,制定切實可行��、符合實際情況的的物理安全標準體系����。本體系可以防范設備功能失常、電源事故����、電磁泄漏等引起的信息失密等�����。
2.2網(wǎng)絡安全
為了保證電子商務交易的安全可靠��,電子商務平臺須穩(wěn)定可靠�����,能夠全天候正常運行。系統(tǒng)在運行的任何中斷���,如病毒入侵����、網(wǎng)絡故障或硬件軟件錯誤等都會對正在進行電子商務交易的雙方造成重大損失���,尤其是丟失或失密的貿(mào)易信息���,將是不可恢復性的。
2.3商務安全
商務安全是指商務交易中的安全問題����,商務安全的不同方面需要通過不同的網(wǎng)絡安全技術(shù)和安全交易標準來確保實現(xiàn)。確保電子商務安全的技術(shù)主要有安全電子交易SET協(xié)議�、在線支付協(xié)議、文件加密技術(shù)�、數(shù)字簽名技術(shù)等。
2.4系統(tǒng)安全
系統(tǒng)安全主要是指主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全情況��。對系統(tǒng)安全的防范和保護�����,要通過安全技術(shù)升級,加強安全保護設施的投資建設�,提高系統(tǒng)的安全防護能力。
3目前我國電子商務存在的問題
就我國電子商務而言���,我國的科學技術(shù)水平目前還處于較低層次����,技術(shù)含量不高���,資金投入又不足��,在安全保密方面存在較大的隱患�,網(wǎng)絡安全性較低����,主要表現(xiàn)在我國的網(wǎng)絡信息易擾、欺騙等����,再加上我國人民對于網(wǎng)絡安全這方面的安全意識不高����,網(wǎng)絡安全處于十分薄弱的環(huán)境中��。
3.1電子商務安全存在的隱患
(1)網(wǎng)絡協(xié)議方面的安全問題�����。在電子商務中�����,交易雙方在交易中是通過傳送數(shù)據(jù)包的形式來交換數(shù)據(jù)�,傳送過程中�����,不法惡意攻擊者會攔截數(shù)據(jù)包��,甚至在一定程度上破壞����,這使得接收方接收的信息是不正確的。
(2)用戶信息的安全問題��。用戶和商家是在B/S結(jié)構(gòu)的電子商務網(wǎng)站使用瀏覽器登錄進行交易,在登陸瀏覽器時勢必會使用電腦���,有的用戶在使用電腦時����,如果計算機中存在木馬���,那么登陸者的信息存在泄露的危險���,有的用戶在不方便使用自己電腦的情況下使用公共計算機,有些不法分子會通過電腦技術(shù)竊取交易信息�����。
(3)商家商務網(wǎng)的安全問題�����。有些企業(yè)在制作自己的商務網(wǎng)站時由于技術(shù)不過硬����,本身的商務網(wǎng)站就存在隱患,服務器安全性低��,不法分子利用電腦技術(shù)攻擊商務網(wǎng)站����,竊取用戶信息和交易信息。
3.2電子商務安全問題的具體表現(xiàn)
(1)交易信息被竊取���、毀壞����。電子商務交易在數(shù)據(jù)包的傳送過程中�����,可能會被一些不法分子運用電腦技術(shù)非法篡改交易信息���,使得交易信息失去真實性和可靠性�����。無論是在網(wǎng)絡硬件還是軟件方面�����,都存在導致傳送過程中信息的誤傳的可能性��。
(2)假冒身份問題�����。電子商務交易是通過瀏覽器登錄進行交易�����,交易雙方?jīng)]有機會面對面洽談���,這就給了第三人一個假冒交易某一方破壞交易���、騙取交易成果,甚至敗壞交易某一方的聲譽等的機會���。
(3)交易抵賴問題��。例如��,在電子商務交易中��,買家收到貨之后�,不確認收貨�。
(4)計算機病毒感染問題���。電子商務交易勢必會使用計算機,交易者在使用計算機時���,存在選中有病毒的計算機的可能性,這樣給商務交易帶來了問題���。另外��,我國網(wǎng)上的蠕蟲病毒等在網(wǎng)絡流域的傳播極易發(fā)生����,傳播過程中會產(chǎn)生巨大的攻擊流量�,會導致訪問速度滯停的問題。
4電子商務安全防范技術(shù)
為確保電子商務貿(mào)易的有效進行��,一方面要保證電子商務平臺的運行可靠穩(wěn)定�����,能夠全天候持續(xù)不斷地提供網(wǎng)絡服務����;另一方面����,電子商務系統(tǒng)還必須不斷更新和采用最新安全技術(shù)來保證電子商務的整個交易過程的安全�����,防止交易抵賴行為����。在現(xiàn)實生活中,電子商務安全防范技術(shù)主要有以下幾種:
4.1數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類���。在交易雙方可以保證密鑰在交換階段未曾發(fā)生丟失或泄露的情況下��,通常采用常規(guī)密鑰密碼技術(shù)為機密信息加密�����。在公開密鑰密碼體系中���,加密密鑰是公開的信息,加密算法和解密算法也是公開的信息�,而解密密鑰是機密的。重要的公開密鑰密碼體系有:基于NP完全理論的Merkel-Hellman背包體系��、基于數(shù)論中大數(shù)分解的RSA體系、基于編碼理論的McEliece體系�����。以上兩種加密體系各有優(yōu)缺點:常規(guī)密鑰密碼體系的優(yōu)點是加密速度快���、效率高�����,主要用于大量數(shù)據(jù)的加密,但是常規(guī)密鑰密碼體系中密鑰在傳遞過程中容易被竊取��,對于大量密鑰的管理存在缺陷�;公開密鑰體系在大范圍密鑰的安全方面很好的解決了常規(guī)密鑰密碼體系存在的問題,保密性能比常規(guī)密鑰密碼體系高��,但是公開密鑰密碼體系項目復雜����,加密速度較慢。實踐中通常將常規(guī)密鑰密碼體系和公開密鑰密碼體系結(jié)合起來使用����。
4.2防火墻技術(shù)
防火墻技術(shù)分為兩類:服務技術(shù)和數(shù)據(jù)包過濾技術(shù)��。其中�����,數(shù)據(jù)包過濾技術(shù)較為簡單��,也最常用�����,它通過檢查接收到的每個數(shù)據(jù)包的頭��,來分析該數(shù)據(jù)包是否已經(jīng)發(fā)送到目的地����。防火墻技術(shù)通過對數(shù)據(jù)進行分析并有選擇的過濾��,從而有效地避免外來因素對數(shù)據(jù)包進行的破壞����,保證網(wǎng)絡的安全。實踐中��,也常常將數(shù)據(jù)包過濾防火墻與服務器結(jié)合使用�,可以更加有效地保護網(wǎng)絡安全���。
4.3虛擬專網(wǎng)技術(shù)VPN
VPN具有適應性強、投資小���、易管理等優(yōu)點�����,通過使用信息加密技術(shù)�、安全隧道技術(shù)���、用戶認證技術(shù)、訪問控制技術(shù)等實現(xiàn)對網(wǎng)絡信息的保護���。VPN可以使商業(yè)伙伴�、公司��、供應商��、遠程用戶的內(nèi)部網(wǎng)之間建立可靠穩(wěn)定的安全連接����,確保貿(mào)易信息的安全傳輸��,從而保證在公共的Internet或企業(yè)局域網(wǎng)之間安全進行電子交易�。
4.4安全認證技術(shù)
安全認證技術(shù)包括以下幾種:
(1)數(shù)字簽名技術(shù)��。數(shù)字簽名技術(shù)可以確保原始報文的不可否認性以及鑒別�����,并且可以防止虛假簽名����。
(2)數(shù)字摘要技術(shù)。數(shù)字摘要技術(shù)通過驗證網(wǎng)絡傳輸?shù)拿魑?,鑒別其是否經(jīng)過篡改,進而確保數(shù)據(jù)的有效性和完整性���。
(3)數(shù)字憑證技術(shù)�。數(shù)字憑證技術(shù)通過運用電子手段來鑒別用戶身份以及管理用戶對網(wǎng)絡資源訪問的權(quán)限����。
(4)認證中心。認證中心專門負責審核網(wǎng)絡用戶的真實身份并提供相應的證明����,且只管理每個用戶的一個公開密鑰�,在一定程度上大大降低了密鑰管理的復雜性�����。
(5)智能卡技術(shù)���。智能卡具有存儲數(shù)據(jù)和讀寫數(shù)據(jù)的能力����,可以對數(shù)據(jù)進行簡單地處理���,能夠?qū)?shù)據(jù)進行加密和解密��,其特點是存儲器部分具有外部不可讀性�,可以使用戶身份鑒別更加安全�。
5電子商務中的信息安全對策
5.1不斷完善網(wǎng)絡安全管理體系
我國應在現(xiàn)有網(wǎng)絡安全管理部門之外建立一個具有權(quán)威的信息安全領(lǐng)導機構(gòu)�����。該部門應宏觀地��、有效統(tǒng)一地協(xié)調(diào)各部門的職能,對市場網(wǎng)絡信息安全現(xiàn)狀進行及時的分析�,制定科學的政策。對于使用計算機網(wǎng)絡的單位及個人���,必須嚴格遵守《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《計算機信息網(wǎng)絡安全保護管理辦法》�,建立完善的責任問責制度�����。
5.2大力培養(yǎng)網(wǎng)絡安全專業(yè)人才
面對現(xiàn)代網(wǎng)絡應用高速普及的情況�,網(wǎng)絡安全專業(yè)人才顯得捉襟見肘,我國需要大量的網(wǎng)絡安全人才維護網(wǎng)絡的安全��。我國應加大對培養(yǎng)網(wǎng)絡安全人才的科研教育機構(gòu)的投入力度�����,同時積極組織人才及組織與國外的相關(guān)部門進行技術(shù)經(jīng)驗交流����,不斷引進國外先進網(wǎng)絡安全保護技術(shù),并及時對我國專業(yè)人員進行技術(shù)培訓�。
5.3建立網(wǎng)絡風險防范機制
現(xiàn)階段我國的網(wǎng)絡安全技術(shù)較滯后、相關(guān)法律法規(guī)不是很健全����,網(wǎng)絡安全面臨很多威脅因素����,這就要求電子貿(mào)易用戶建立網(wǎng)絡風險防范機制�����,為存在的安全因素建立補救措施����。電子商務交易用戶可以根據(jù)交易具體情況為標的物進行投保,通過這些措施�,可在很大程度上減少網(wǎng)絡安全事故造成的經(jīng)濟損失。
第5篇
[關(guān)鍵詞]移動電子商務信息安全自組網(wǎng)隱私法律
移動電子商務(M-Commerce)���,是通過手機���、PDA(個人數(shù)字助理)、呼機等移動通信設備與因特網(wǎng)有機結(jié)合所進行的電子商務活動���。移動電子商務能提供以下服務:PIM(個人信息服務)、銀行業(yè)務�、交易、購物、基于位置的服務����、娛樂等。
移動電子商務因其快捷方便�����、無所不在的特點��,已經(jīng)成為電子商務發(fā)展的新方向���。因為只有移動電子商務才能在任何地方����、任何時間��,真正解決做生意的問題�����。
但是對于任何通過無線網(wǎng)路(如:GSM網(wǎng)路)進行金融交易的用戶����,安全和隱私問題無疑是其關(guān)注的焦點�����。由于移動電子商務的特殊性����,移動電子商務的安全問題尤其顯得重要�����。尤其對于有線電子商務用戶來說���,通常認為物理線纜能帶來更好的安全性����,從而排斥使用移動電子商務�����。移動電子商務是一個系統(tǒng)工程�����,本文從技術(shù)����、安全、隱私和法制等方面討論了移動商務的展所面臨的種種問題���,并指出這些問題的有效解決是建設健康���、安全的移動電子商務的重要保證。
一����、移動通信新技術(shù)的驅(qū)動
1.無線應用協(xié)議(WAP)
無線應用協(xié)議WAP是無線通信和互聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物,它不僅為無線設備提供豐富的互聯(lián)網(wǎng)資源���,也提供了開發(fā)各種無線網(wǎng)路應用的途徑����。1998年�����,WAP論壇公布了WAP1.0版本����,制定了一套專門為移動互聯(lián)網(wǎng)而設計的應用協(xié)議��,具有良好的開放性和互通性�����。隨著移動通信網(wǎng)傳輸速率的顯著提高�����,WAP論壇于2001年頒布了WAP2.0版本�,該版本增加了對HTTP�、TLS和TCP等互聯(lián)網(wǎng)協(xié)議的支持,WAP的工作大大簡化��。WAP2.0模式有利于實現(xiàn)電子商務所需的端到端安全性����,可以提供TLS隧道。
2.移動IP技術(shù)
移動IP技術(shù)�����,是指移動用戶可在跨網(wǎng)絡隨意移動和漫游中��,使用基于TCP/IP協(xié)議的網(wǎng)絡時,不用修改計算機原來的IP地址�,同時,也不必中斷正在進行的通信���。移動IP通過AAA(Authentication,Authorization,Accounting)機制��,實現(xiàn)網(wǎng)絡全方位的安全移動或者漫游功能。移動IP在一定程度上能夠很好地支持移動商務的應用�����。
3.第三代(3G)移動通信系統(tǒng)
第三代移動通信系統(tǒng)�����,簡稱3G���,是指將無線通信與互聯(lián)網(wǎng)等多媒體通信結(jié)合的移動通信系統(tǒng)���。它能夠處理圖像、話音��、視頻流等多種媒體形式�,提供包括網(wǎng)頁瀏覽、電話會議���、電子商務等多種信息服務�。與2G相比,3G產(chǎn)品可提供數(shù)據(jù)速率高達2Mbps的多媒體業(yè)務����。在我國,以TD-SCDMA技術(shù)為基礎的3G基礎設施和產(chǎn)品的建設和研制發(fā)展迅速�����,我國發(fā)展3G的條件已經(jīng)基本具備�。由于3G帶來的高速率、移動性和高安全性等特點��,必然會給移動電子商務的應用帶來巨大商機��。
4.無線局域網(wǎng)(WLAN)技術(shù)
美國電子電器工程師協(xié)會IEEE在1991年就啟動了WLAN標準工作組���,稱為IEEE802.11�����,并在1997年產(chǎn)生了WLAN標準-IEEE802.11���,后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標準�����。802.11WLAN標準自公布之日起����,安全問題一直是其被關(guān)注的焦點問題�。802.11b采用了基于RC4算法的有線對等保密(WEP)機制,為網(wǎng)絡業(yè)務流提供安全保障���,但其加密和認證機制都存在安全漏洞。802.11i是2004年6月批準的WLAN標準��,其目的是解決802.11標準中存在的安全問題��。802.11i應用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級加密標準的CBC-MACProtocol(CCMP)�。其中TKIP仍然采用RC4作為其加密算法,可以向后兼容802.11a/b/g等硬件設備����。中國寬帶無線IP標準工作組制訂了WLAN國家標準GB15629.11,定義了無線局域網(wǎng)鑒別與保密基礎結(jié)構(gòu)WAPI�,大大減少了WLAN中的安全隱患。
二、移動電子商務面臨的安全威脅
盡管移動電子商務給工作效率的提高帶來了諸多優(yōu)勢(如:減少了服務時間�,降低了成本和增加了收入),但安全問題仍是移動商務推廣應用的瓶頸�。有線網(wǎng)絡安全的技術(shù)手段不完全適用于無線設備,由于無線設備的內(nèi)存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序���。例如:目前還沒有有效抵制手機病毒的防護軟件����。
1.網(wǎng)絡本身的威脅
無線通信網(wǎng)絡可以不像有線網(wǎng)絡那樣受地理環(huán)境和通信電纜的限制就可以實現(xiàn)開放性的通信�����。無線信道是一個開放性的信道��,它給無線用戶帶來通信自由和靈活性的同時�����,也帶來了諸多不安全因素:如通信內(nèi)容容易被竊聽�、通信雙方的身份容易被假冒,以及通信內(nèi)容容易被篡改等�����。在無線通信過程中,所有通信內(nèi)容(如:通話信息���,身份信息���,數(shù)據(jù)信息等)都是通過無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取無線信道上傳輸?shù)膬?nèi)容���。這對于無線用戶的信息安全���、個人安全和個人隱私都構(gòu)成了潛在的威脅。
2.無線adhoc應用的威脅
除了互聯(lián)網(wǎng)在線應用帶來的威脅外���,無線裝置給其移動性和通信媒體帶來了新的安全問題?�?紤]無線裝置可以組成adhoc網(wǎng)路�。Adhoc網(wǎng)絡和傳統(tǒng)的移動網(wǎng)絡有著許多不同,其中一個主要的區(qū)別就是AdHoc網(wǎng)絡不依賴于任何固定的網(wǎng)絡設施����,而是通過移動節(jié)點間的相互協(xié)作來進行網(wǎng)絡互聯(lián)。由于其網(wǎng)絡的結(jié)構(gòu)特點��,使得AdHoc網(wǎng)絡的安全問題尤為突出。Adhoc網(wǎng)路的一個重要特點是網(wǎng)絡決策是分散的����,網(wǎng)絡協(xié)議依賴于所有參與者之間的協(xié)作。敵手可以基于該種假設的信任關(guān)系入侵協(xié)作的節(jié)點��。
3.網(wǎng)路漫游的威脅
無線網(wǎng)路中的攻擊者不需要尋找攻擊目標��,攻擊目標會漫游到攻擊者所在的小區(qū)���。在終端用戶不知情的情況下����,信息可能被竊取和篡改�。服務也可被經(jīng)意或不經(jīng)意地拒絕。交易會中途打斷而沒有重新認證的機制����。由刷新引起連接的重新建立會給系統(tǒng)引入風險,沒有再認證機制的交易和連接的重新建立是危險的�����。連接一旦建立���,使用SSL和WTLS的多數(shù)站點不需要進行重新認證和重新檢查證書����。攻擊者可以利用該漏洞來獲利。
4.物理安全
無線設備另一個特有的威脅就是容易丟失和被竊�����。因為沒有建筑���、門鎖和看管保證的物理邊界安全和其小的體積���,無線設備很容易丟失和被盜竊。對個人來說�,移動設備的丟失意味著別人將會看到電話上的數(shù)字證書,以及其他一些重要數(shù)據(jù)�。利用存儲的數(shù)據(jù),拿到無線設備的人就可以訪問企業(yè)內(nèi)部網(wǎng)絡���,包括Email服務器和文件系統(tǒng)。目前手持移動設備最大的問題就是缺少對特定用戶的實體認證機制�����。
三、移動商務面臨的隱私和法律問題
1.垃圾短信息
在移動通信給人們帶來便利和效率的同時��,也帶來了很多煩惱�����,遍地而來的垃圾短信廣告打擾著我們的生活���。在移動用戶進行商業(yè)交易時�,會把手機號碼留給對方�����。通過街頭的社會調(diào)查時��,也往往需要被調(diào)查者填入手機號碼�。甚至有的用戶把手機號碼公布在網(wǎng)上。這些都是公司獲取手機號碼的渠道���。垃圾短信使得人們對移動商務充滿恐懼���,而不敢在網(wǎng)絡上使用自己的移動設備從事商務活動。目前����,還沒有相關(guān)的法律法規(guī)來規(guī)范短信廣告��,運營商還只是在技術(shù)層面來限制垃圾短信的群發(fā)�����。目前��,信息產(chǎn)業(yè)部正在起草手機短信的規(guī)章制度��,相信不久的將來會還手機短信一片綠色的空間�����。
2.定位新業(yè)務的隱私威脅
定位是移動業(yè)務的新應用����,其技術(shù)包括:全球定位系統(tǒng)�����,該種技術(shù)利用24顆GPS衛(wèi)星來精確(誤差在幾米之內(nèi))定位地面上的人和車輛���;基于手機的定位技術(shù)TOA��,該技術(shù)根據(jù)從GPS返回響應信號的時間信息定位手機所處的位置�。定位在受到歡迎的同時���,也暴露了其不利的一面——隱私問題��。移動酒吧就是一個典型的例子����,當你在路上時��,這種服務可以在你的PDA上列出離你最近的5個酒吧的位置和其特色���?����;蛘弋斈阃窘?jīng)一個商店時����,會自動向你的手機發(fā)送廣告信息���。定位服務在給我們帶來便利的同時��,也影響到了個人隱私�����。利用這種技術(shù)���,執(zhí)法部門和政府可以監(jiān)聽信道上的數(shù)據(jù)�,并能夠跟蹤一個人的物理位置�。
3.移動商務的法律保障
電子商務的迅猛發(fā)展推動了相關(guān)的立法工作。2005年4月1日�����,中國首部真正意義上的信息化法律《電子簽名法》正式實施����,電子簽名與傳統(tǒng)的手寫簽名和蓋章將具有同等的法律效力,標志著我國電子商務向誠信發(fā)展邁出了第一步�����?�!峨娮雍灻ā妨⒎ǖ闹匾康氖菫榱舜龠M電子商務和電子政務的發(fā)展,增強交易的安全性���。
參考文獻:
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
第6篇
電子商務所具有的廣闊發(fā)展前景,越來越為世人所矚目����。但電子商務中的安全問題如得不到妥善解決,電子商務應用就只能是紙上談兵��。從事電子商務活動的主體都已普遍認識到電子商務的交易安全是電子商務成功實施的基礎�,是企業(yè)制訂電子商務策略時必須首先要考慮的問題。對于實施電子商務戰(zhàn)略的企業(yè)來說�,保證電子商務的安全已成為當務之急。
一��、電子商務信息安全需求
1����、信息的保密性
電子商務是建立在一個開放性很強的網(wǎng)絡環(huán)境中,維護商業(yè)機密是電子商務全面推廣應用的重要保障�。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取�����,保密性一般通過密碼技術(shù)對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。
2�����、信息的不可抵賴性
對進行電子商務交易的貿(mào)易雙方來說����,一個很關(guān)鍵問題就是如何確定進行交易的貿(mào)易方正是交易所期望的貿(mào)易方。在無紙化的電子商務方式下�,通過手寫簽名和印章進行貿(mào)易方的鑒別已經(jīng)不可能。因此���,要在交易信息的傳輸過程中為參與交易的個人��、企業(yè)或國家提供可靠的標識��,使原發(fā)方對已發(fā)送的數(shù)據(jù)�����、接收方對已接收的數(shù)據(jù)都不能否認�����。通?�?赏ㄟ^對發(fā)送的消息進行數(shù)字簽名來實現(xiàn)信息的不可抵賴性����。
3、信息的真實性
由于在電子商務過程中��,買賣雙方的所有交易活動都通過網(wǎng)絡聯(lián)系�,交易雙方可能素昧平生�,相隔萬里。要使交易成功�,首先要確認對方的身份。對于商家而言���,要考慮客戶端不能是騙子�����,而客戶端也會擔心網(wǎng)上商店是否是_個玩弄欺詐的黑店�����,因此���,電子商務的開展要求能夠?qū)灰字黧w的真實身份進行鑒別���。
4、信息的完整性
電子商務簡化了貿(mào)易過程�����,減少了人為的干預���,同時也帶來維護貿(mào)易各方商業(yè)信息的完整���、統(tǒng)一的問題。數(shù)據(jù)輸入時的意外差錯或欺詐行為���,可能會導致貿(mào)易各方信息的差異�����。另外��,數(shù)據(jù)傳輸過程中信息的丟失���、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。因此����,貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略���,保持貿(mào)易各方信息的完整性是電子商務應用的基礎。一般可通過提取信息摘要的方式來保持信息的完整性����。
5、信息的有效性
電子商務作為貿(mào)易的一種形式���,其信息的有效性將直接關(guān)系到個人����、企業(yè)或國家的經(jīng)濟利益和聲譽�����,那么保證信息的有效性就成為開展電子商務的前提�����。因此��,要對網(wǎng)絡故障�、操作錯誤、應用程序錯誤�����、硬件故障���、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防�,以保證貿(mào)易數(shù)據(jù)在確定的時刻�����、確定的地點是有效的�����。
二����、電子商務安全技術(shù)
1、防火墻技術(shù)
防火墻是企業(yè)網(wǎng)安全問題的流行方案�,即把公共數(shù)據(jù)和服務置于防火墻外,使其對防火墻內(nèi)部資源的訪問受到限制���。一般說來�����,防火墻是不能防病毒的����,盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。防火墻技術(shù)的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題��,如果延遲太大將無法支持實時服務請求�����。此外�,防火墻采用濾波技術(shù),濾波通常使網(wǎng)絡的性能降低50%以上�����,如果為了改善網(wǎng)絡性能而購置高速路由器���,又會大大提高經(jīng)濟預算。作為一種網(wǎng)絡安全技術(shù)����,防火墻具有簡單實用的特點��,并且透明度高����,可以在不修改原有網(wǎng)絡應用系統(tǒng)的情況下達到一定的安全要求�����。但是�����,如果防火墻系統(tǒng)被攻破���,則被保護的網(wǎng)絡處于無保護狀態(tài)����。如果一個企業(yè)希望在Internet上開展商業(yè)活動����,與眾多的客戶進行通信,則防火墻不能滿足要求���。
2��、數(shù)據(jù)加密技術(shù)
加密技術(shù)是最基本的網(wǎng)絡安全技術(shù)��,主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性��。該技術(shù)采用數(shù)學方法對原始信息進行再組織�����,使得加密后在網(wǎng)絡上公開傳輸?shù)膬?nèi)容對于非法接收者來說成為不可理解的字符����。而對于合法的接受者,可以利用其掌握的密鑰��,通過解密過程得到原始數(shù)據(jù)�����,從而達到保護信息的目的�。數(shù)據(jù)加密的方法很多常用的有兩大類:一種是對稱加密���,一種是非對稱密鑰加密�。(1)對稱密鑰加密體制。在對稱密鑰加密體制中���,加結(jié)果為:-1.5915,當初值為:x0=[1,1]時�����,結(jié)果為:-0.8949�����。由此可見��,傳統(tǒng)方法求解具有多個極小值點的函數(shù)時�,求解結(jié)果的值與初始值的選擇有關(guān)�����,所得的最優(yōu)解為局部最優(yōu)解�。同時通過畫該目標函數(shù)的曲面圖1-1可知,該曲面存在多個局部極小點��。所以���,應用傳統(tǒng)的解法���,容易陷入局部極小值區(qū)域�。對于這樣的問題���,用傳統(tǒng)的非線性規(guī)劃求解算法不容易求得全局最優(yōu)解����。
用染色體(�、&)作為解的代碼,用以下方法把染色體X變成染色體(%��,&)并把v作為相應的解�����,密所使用的密鑰和解密所使用的密鑰相同���,或者雖不相同,但可以從其中_個密鑰推導出另_個��,即發(fā)送方和接收方使用同樣密鑰��。使用對稱密鑰體制不必交換加密算法�����,只需交換加密密鑰��,因而簡化了加密過程����,加解密速度快��,但存在密鑰的分配�、保存和管理的問題。目前廣泛應用的對稱加密算法是DES算法���。(2)非對稱密鑰加密體制����。在非對稱密鑰加密體制中�����,對信息加密和解密所使用的密鑰是不同的�����。并且從其中一個密鑰無法推導出另一個密鑰��。非對稱密鑰加密體制解決了對稱密鑰加密體制存在的密鑰分配、保存和管理的問題���,但加密算法復雜���,加解密速度慢。非對稱密鑰加密體制最早的代表算法是RSA算法���。由此可見,兩種加密技術(shù)各有優(yōu)缺點�,在Internet開放網(wǎng)絡環(huán)境中可以互補�。
3、認證技術(shù)
基本的加密技術(shù)不足以保證電子商務中的交易安全�,信息鑒別和身份認證技術(shù)是保證電子商務安全不可缺少的重要技術(shù)手段。認證技術(shù)是防止交易信息被篡改����、刪除、重復和偽造的一種有效方法��,主要有數(shù)字簽名����、數(shù)字信封、數(shù)字摘要�����、數(shù)字時間戳、數(shù)字證書等����。(1)數(shù)字簽名���。數(shù)字簽名是使用某人的私鑰加密特定消息摘要散列值而得到的結(jié)果���,通過這種方法把人同特定消息聯(lián)系起來,類似于手書簽名����。日常生活中,通常用對某_文檔進行簽名來保證文檔的真實有效性���,防止其抵賴�。在網(wǎng)絡環(huán)境中����,可以用電子數(shù)字簽名作為模擬。(2)數(shù)字信封�����。數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中����,信息發(fā)送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后��,將它和信息一起發(fā)送給接收方�����,接收方先用相應的私有密鑰打開數(shù)字信封�����,得到對稱密鑰�����,然后使用對稱密鑰解開信息�。這種技術(shù)的安全性相當高。(3)數(shù)字摘其中V可由下面的檢驗函數(shù)檢若(VP3L1V,<-3:1v2>3Uv2<-3)�,返回〇;否則返回這里檢驗數(shù)數(shù)值為0表示不可行,1表示可行。易知該模型的可行集包含在下列的超幾何體中={(V1?V2)|°^V1^^0^V2^1}然后就可以容易地從這個超幾何中抽取初始染色體vL=u(0,1),v2=u<0,1)(1)
第7篇
關(guān)鍵詞:電子商務信息安全安全技術(shù)
伴隨經(jīng)濟的迅猛發(fā)展�����,電子商務成為當今世界商務活動的新模式����。要在國際競爭中贏得優(yōu)勢,必須保證電子商務中信息交流的安全�。
一�����、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊?��。喝绻捎眉用艽胧┎粔?���,攻擊者通過互聯(lián)網(wǎng)�����、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)���,獲取機密信息或通過對信息流量��、流向��、通信頻度和長度分析��,推測出有用信息�����。2.信息的篡改:當攻擊者熟悉網(wǎng)絡信息格式后���,通過技術(shù)手段對網(wǎng)絡傳輸信息中途修改并發(fā)往目的地�����,破壞信息完整性���。3.信息假冒:當攻擊者掌握網(wǎng)絡信息數(shù)據(jù)規(guī)律或解密商務信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶�。4.交易抵賴:交易抵賴包括多方面,如發(fā)信者事后否認曾發(fā)送信息�、收信者事后否認曾收到消息、購買者做了定貨單不承認等�。
二、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護�����。信息安全包括以下幾方面:
1.信息保密性:維護商業(yè)機密是電子商務推廣應用的重要保障����。由于建立在開放網(wǎng)絡環(huán)境中,要預防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生��。2.信息完整性:貿(mào)易各方信息的完整性是電子商務應用的基礎����,影響到交易和經(jīng)營策略。要保證網(wǎng)絡上傳輸?shù)男畔⒉槐淮鄹?�,預防對信息隨意生成�����、修改和刪除���,防止數(shù)據(jù)傳送中信息的失和重復并保證信息傳送次序的統(tǒng)一。3.信息有效性:保證信息有效性是開展電子商務前提�,關(guān)系到企業(yè)或國家的經(jīng)濟利益。對網(wǎng)絡故障、應用程序錯誤�、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿(mào)易數(shù)據(jù)在確定時刻和地點有效�。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務順利進行的關(guān)鍵。為防止計算機失效�����、程序錯誤����、系統(tǒng)軟件錯誤等威脅,通過控制與預防確保系統(tǒng)安全可靠��。
三����、信息安全技術(shù)
1.防火墻技術(shù)。防火墻在網(wǎng)絡間建立安全屏障�,根據(jù)指定策略對數(shù)據(jù)過濾、分析和審計���,并對各種攻擊提供防范���。安全策略有兩條:一是“凡是未被準許就是禁止”���。防火墻先封閉所有信息流,再審查要求通過信息����,符合條件就通過;二是“凡是未被禁止就是允許”���。防火墻先轉(zhuǎn)發(fā)所有信息���,然后逐項剔除有害內(nèi)容。
防火墻技術(shù)主要有:(1)包過濾技術(shù):在網(wǎng)絡層根據(jù)系統(tǒng)設定的安全策略決定是否讓數(shù)據(jù)包通過����,核心是安全策略即過濾算法設計。(2)服務技術(shù):提供應用層服務控制�,起到外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請服務時中間轉(zhuǎn)接作用。服務還用于實施較強數(shù)據(jù)流監(jiān)控��、過濾��、記錄等功能�。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡層完成所有必要的包過濾與網(wǎng)絡服務防火墻功能�����。(4)復合型技術(shù):把過濾和服務兩種方法結(jié)合形成新防火墻,所用主機稱為堡壘主機�����,提供服務���。(5)審計技術(shù):通過對網(wǎng)絡上發(fā)生的訪問進程記錄和產(chǎn)生日志���,對日志統(tǒng)計分析,對資源使用情況分析�,對異常現(xiàn)象跟蹤監(jiān)視��。(6)路由器加密技術(shù):加密路由器對通過路由器的信息流加密和壓縮�,再通過外部網(wǎng)絡傳輸?shù)侥康亩私鈮嚎s和解密。2.加密技術(shù)�。為保證數(shù)據(jù)和交易安全,確認交易雙方的真實身份����,電子商務采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動安全防范的策略����。目前廣泛應用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法���。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對加密信息解密�。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方,保證傳輸信息的保密和安全��。(2)數(shù)字摘要:也稱安全Hash編碼法���。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋��,有固定長度且不同明文摘要成密文結(jié)果不同�,而同樣明文摘要必定一致���。這串摘要成為驗證明文是否真身的“指紋”�。(3)數(shù)字簽名:將數(shù)字摘要�、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認文件的手段�����。簽名作用有兩點:一是因為自己簽名難以否認�,從而確認文件已簽署;二是因為簽名不易仿冒����,從而確定文件為真。(4)數(shù)字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容�����,數(shù)字時間戳服務能提供電子文件發(fā)表時間的安全保護��。
3.認證技術(shù)����。安全認證的作用是進行信息認證。信息認證是確認信息發(fā)送者的身份�����,驗證信息完整性�,確認信息在傳送或存儲過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證�����、數(shù)字標識�����,用電子手段證實用戶身份及對網(wǎng)絡資源的訪問權(quán)限,可控制被查看的數(shù)據(jù)庫����,提高總體保密性。交易支付過程中�����,參與各方必須利用認證中心簽發(fā)的數(shù)字證書證明身份����。(2)安全認證機構(gòu):電子商務授權(quán)機構(gòu)也稱電子商務認證中心。無論是數(shù)字時間戳服務還是數(shù)字證書發(fā)放��,都需要有權(quán)威性和公正性的第三方完成���。CA是承擔網(wǎng)上安全交易認證服務�����、簽發(fā)數(shù)字證書并確認用戶身份的企業(yè)機構(gòu)���,受理數(shù)字證書的申請����、簽發(fā)及對數(shù)字證書管理����。
4.防病毒技術(shù)�。(1)預防病毒技術(shù),通過自身常駐系統(tǒng)內(nèi)存�����,優(yōu)先獲取系統(tǒng)控制權(quán)���,監(jiān)視系統(tǒng)中是否有病毒��,阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)破壞�����。(2)檢測病毒技術(shù)�,通過對計算機病毒特征進行判斷的偵測技術(shù)�,如自身校驗、關(guān)鍵字、文件長度變化��。(3)消除病毒技術(shù)���,通過對計算機病毒分析�����,開發(fā)出具有殺除病毒程序并恢復原文件的軟件���。另外要認真執(zhí)行病毒定期清理制度,可以清除處于潛伏期的病毒�����,防止病毒突然爆發(fā)��,使計算機始終處于良好工作狀態(tài)���。
四���、結(jié)語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術(shù)���,提高電子商務系統(tǒng)的安全性和可靠性�。但電子商務的安全運行,僅從技術(shù)角度防范遠遠不夠����,還必須完善電子商務立法,以規(guī)范存在的各類問題��,引導和促進我國電子商務快速健康發(fā)展�����。
參考文獻:
[1]譚衛(wèi):電子商務中安全技術(shù)的研究.哈爾濱工業(yè)大學,2006
