欢迎访问发表云网!为您提供杂志订阅、期刊咨询服务!
首页 期刊杂志 科普杂志 SCI杂志 经营许可 购物车(0)
免费咨询
首页 精选范文 电子商务安全论文

电子商务安全论文大全11篇

时间:2023-03-22 17:34:01

绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇电子商务安全论文范文,希望它们能为您的写作提供参考和启发。

电子商务安全论文

篇(1)

如果不采用特别的保护措施,包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径,想任意窃听一组数据传输是不可能,但是一些设置在web服务器的黑客程序却可以查找和收集特定类型的数据,这些数据包括信用卡、存款的账号和相应的口令。同时,因为internet的开放性设计,数据私有性和安全性还包括数据传输之外的问题,例如:连入internet的数据存储网络驱动器的安全性。所以,任何存储在web服务器上的数据必须采取保护措施。

(二)数据的完整性

对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整性的攻击。当然,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃取者肯定能阅读此信息。完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息。而对完整性的安全威胁是指某人改动了关键的传输。破坏他人网站就是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就说发生了破坏他人网站的行为。由于internct的开放体系,如果具备了特定的知识和工具,则完全可以更改传输中的数据。同时,要采取适当的存取访问控制,以保证数据存取系统的安全。在电子商务中务必保存数据最初的格式和内容。

(三)认证

在猖獗的网络欺诈或者反悔中,网络交易者隐身在电脑屏幕背后,身份难以识别的问题是其重要渊源。建立有效的网上交易身份认证机制,提升交易双方的信用度是有效控制网络欺诈的重要途径,对于电子商务的健康发展有着重要作用。交易方的信用问题已经成为制约电子商务发展的重要瓶颈之一。在现实社会中,即便有着诸多因素的制约,仍然普遍地存在着信用缺乏的现象,建立完善的信用机制已经成为社会各界的共识。在电子商务的具体实现中,首先要确认当前的通讯、交易和存取要求是合法的。例如,internet中的计算机系统的身份是其由IP地址确认的。黑客通过IP欺骗,使用虚假的IP地址,从而达到隐瞒自己身份盗用他人身份的目的。在日常电子邮件的使用中可以很容易地发匿名邮件,或者使用不真实的邮件用户名。因此,在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。

(四)不可否认性

不可否认主要包含数据的原始记录和发送记录,确认数据已经完成发送和接收,防止接收用户更改原始记录,防止用户在已经收到数据以后否认收到数据,并拖延自己的下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性。

简言之,在internet上实现电子商务面临的任务:(1)私有性,即保证只有发送者和接收者可以接触到信息;(2)完整性,即信息在传输过程中未经任何改动;(3)身份认证,即接收方可以确信信息来自发信者,而不是第三者冒名发送,发送方可以确信接收方的身份是真实的,而不至于发往与交易无关的第三方;(4)不可否认性,在交易数据发送完成以后,双方都不能否认自己曾经发出或接收过信息。

电子商务面临的上述问题主要是由对系统的非法入侵造成的。首先是网络黑客,他们通过发现web服务器、操作系统或者主页部件在配置方面的漏洞,攻击网络系统。其次是内部入侵,这主要是由企业IT部门的员工造成的,保护网络的物理安全(如主控机房)及严格的口令管理制度,是防范该类问题的关键。还有恶意代码(如计算机病毒),它们在企业的传播会给电子商务系统造成严重的损失。另外,值得关注的是计算机系统本身的问题,例如,由于电源造成的系统宕机,以及广域网络的通讯,这些都会直接造成服务的突然中止,影响电子商务的形象。我们还应关注系统管理方面的问题,有时电子商务出现的问题既非黑客也非系统本身的毛病,而是源于对敏感数据处理不善或者是安全系统(如防火墙)的不正确配置。用户的身份认证是计算机系统安全的基础工作,数字签名加密等技术在这里可以充分起到作用。

二、电子商务安全系统关键技术

(一)ssLVPN技术

SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

VPN(虚拟专用网)则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。VPN是一项非常实用的技术,它可以扩展企业的内部网络,允许企业的员工、客户以及合作伙伴利用Internet访问企业网,而成本远远低于传统的专线接人。过去,VPN总是和IPSec联系在一起,因为它是VPN加密信息实际用到的协议。IPSec运行于网络层,IPSeeVPN则多用于连接两个网络或点到点之间的连接。所谓的SSLVPN,其实是YPN设备厂商为了与IPsecVPN区别所创造出来的名词,指的是使用者利用浏览器内建的SecureSocketLayer封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(ssL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSLVPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间,SSLVPN克服了IPSecVPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSecVPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。(二)加密技术

数据加密技术作为一项基本技术,是电子商务的基石,是电子商务最基本的信息安全防范措施。其实质是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取真实信息的一种技术手段,确保数据的保密性。基于加/解密所使用的密钥是否相同,可分为对称加密和非对称加密两类。

(1)对称加密。对称加密的加密密钥和解密密钥相同,即在发送方和接收方进行安全通信之前,商定一个密钥,用这个密钥对传输数据进行加密、解密。对称加密的突出特点是加解密速度快,效率高,适合对大量数据加密。缺点是密钥的传输与交换面临安全问题,且若和大量用户通信时,难以安全管理大量密钥。目前,常用的对称加密算法有DES、3DES、IDEA、Blowfish等。其中,DES(DataEncryptionStandard)算法由IBM公司设计,是迄今为止应用最广泛的一种算法,也是一种最具代表性的分组加密体制。DES是一种对二元数据进行加密的算法,数据分组长度为64bit,密文分组长度也是64bit,没有数据扩展,密钥长度为64bit,其中有8bit奇偶校验,有效密钥长度为56bit。加密过程包括16轮的加密迭代,每轮都采用一种乘积密码方式(代替和移位)。DES整个体制是公开的,系统的安全性全靠密钥的保密。DES算法的入口参数有3个:Key、Data、Mode。其中,Key为8个字节共64位,是DES算法的工作密钥。Data也是8个字节64位,是需被加密或解密的数据。Mode为DES的工作方式,分为加密或解密两种。DES算法的步骤为:如Mode为加密,则用Key去对数据进行加密,生成Data的密码形式(64位)作为DES输出结果。如Mode为解密,则用Key去把密码形式的数据Data解密,还原为Data的明码形式(64位)作为DES的输出结果。DES是一种世界公认的较好的加密算法,具有较高的安全性,到目前为止除了用穷举搜索法对DES算法进行攻击外,尚未发现更有效的方法。

(2)非对称加密。非对称加密的最大特点是采用两个密钥将加密和解密能力分开。一个公开作为加密密钥;一个为用户专用,作为解密密钥,通信双方无需事先交换密钥就可进行保密通信。而要从公开的公钥或密文分析出明文或密钥,在计算上是不可行的。若以公开钥作为加密密钥,以用户专用钥作为解密密钥,则可实现多个用户加密的信息只能由一个用户解读。反之,以用户专用钥作为加密密钥而以公开钥作为解密密钥,则可实现由一个用户加密的消息而使多个用户解读,前者可用于保密通信,后者可用于数字签字。非对称加密体制的出现是密码学史上划时代的事件,为解决计算机信息网中的安全提供了新的理论技术基础。其优点是很好地解决了对称加密中密钥数量过多难以管理的不足,且保密性能优于对称加密算法;缺点是算法复杂,加密速度不是很理想。

目前,RSA算法是最著名且应用最广泛的公钥算法,其安全性基于模运算的整数因子分解的困难性。

算法内容简要描述如下:①独立选取两大素数p和q,计算n=p×q;其欧拉函数值z=(p-1)×(q-1)。②随机选一整数e,1≤e由于RSA涉及大数计算,无论是硬件或软件实现的效率都比较低,不适用对长的明文加密,常用来对密钥加密,即与对称密码体制结合使用。

(三)网上交易身份认证机制

网上交易身份认证对于建立电子商务业界的信用机制起着重要作用,因此如何确认网上交易者的身份便成为诸多电子商务网站迫切希望解决的问题。

(1)在目前网络法律制度还不健全的时代,自律机制非常重要,网络交易的有效性和真实性在一定程度上能够反映这个国家的信用机制的完善程度。相对而言,国外的电子商务信用体系相对较高,其交易身份认证多与信用卡等银行信用记录挂钩,而我国则更多的是通过手机和身份证等方式进行。

(2)一些网上交易平台为了帮助交易双方打消顾虑,顺利进行交易,提供第三方介入的支付方式,以保护双方的合法利益,这种机制对于维护网上交易的诚信起到了很好的作用。

(3)电子邮件在电子商务交易中对子商务交易者的身份认证机制起着重要作用。电子邮件一旦重复则易造成无法注册,甚至很多网站要求用户两次输入有效的电子邮件以进行确认,以确保之后的所有信息能够顺利进行,所有的网站均将用户的电子邮件作为联系用户和确认用户诸多信息的重要联系方式,其便捷性毋庸置疑。但是,在电子邮件收费的模式基本上发展前景不甚明朗的今天其有效性和真实性还值得商榷。

(4)用户注册中所提交的资料即身份认证过程中会涉及到很多可以列为用户隐私权保护的信息,因此,在进行身份认证时还需要考虑隐私权保护问题。现在几乎所有的电子商务网站上都有隐私权法律声明,或者在用户填写过程中就通过链接的形式弹出窗口声明用户的这些资料将被用于那些用途。尽管如此,由于网络上没有绝对的安全,如果由于技术上的原因导致用户的身份认证资料泄露给他人,甚至被他人用于牟利或者其他非法目的,网站是否应该承担责任、应该承担什么样的责任,也是身份认证机制应该考虑的问题。

篇(2)

电子商务是一个跨国界,跨地区,跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突,不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本,从各主体的角度思考,综合协调了各个市场主体的行为,从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益,它为实现电子商务提供了统一的基础平台和安全屏障。

一、电子商务安全技术保障策略

安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种:

1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换,变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。

2.身份验证技术。电子商务主体向系统证明自己身份,并由系统查核该主体的过程,是确认真实有效身份的重要环节,这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。

3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认,防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。

4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类:分组过滤、应用、电路网关。

二、企业电子商务安全运营管理制度保障策略

企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。

1.人员管理制度人员管理制度主要从人员的选拔,工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。

2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密,这些方面都是需要很好地划分信息安全级别,并确定安全防范重点,提出相应的保密措施。

3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制,来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核,及时发现对系统有安全隐患的记录,监控各种安全事故,维护和管理系统日志。

4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护,硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修;软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。

5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储,定期为重要信息备份、系统设备备份,并定期更新,以减少安全事故发生时造成的损失。

三、电子商务立法策略

电子商务安全得到法律保障,首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。

1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。

2.立法范围电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;电子商务调整的对象是电子商务中的各种社会关系。[3.立法途径电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。对于传统法律没有规定的,即由电子商务带来的新的社会关系,应尽快制定法律规范;第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确,或与电子商务新型社会关系有冲突甚至存在缺欠的,可以修改或重新解释既定的法律规范。

四、政府监督管理策略

电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。

1.计算机信息系统安全管理计算机信息系统,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度,计算机系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护,有利于保障国家的安全和社会安定,促进电子商务的安全交易过程,有利电子商务的健康发展。

2.网络广告和网络服务业管理由于网络的开放性,自由性等特征决定了网络广告监管的难度,虚假广告、广告充斥着网络空间,网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手:第一,网络广告组织的管理,必须对网站广告经营主体资格进行管制,第二,规范网络广告内容,确保广告内容的真实性、合法性和科学性。第三,需要有具体的广告审查管制、评估与监测部门。

国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》,其中提出了详细具体的限制条件。但是,网络飞速发展,面对网络中的新问题,还必须进一步深入全面地研究。

3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构,对电子商务交易活动顺利进行,电子商务活动中交易参与各方身份和信息认定,维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督;同时,还要针对其资产和财务状况定期审查,以免发生财务危机,对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。

4.加强社会信用道德建设,构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的,在我国尤其严重,甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式,必然存在不少漏洞,这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施,更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律,充分利用网络新闻舆论监督,消费者舆论监督和行业协会的管理监督。

五、结束语

电子商务安全不仅涉及到电子商务公司、企业、消费者的利益,而且更加广泛地涉及经济、政治、国防、文化等诸多方面,关系到国家的安全、和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈,只有解决了电子商务安全,保障了市场主体的利益,才能得到网络用户的认可和参与,电子商务自身也才能得到快速、健康地发展。

参考文献

[1]林宁,吴志刚.我国信息安全技术标准化现状[J].中国标准化,2007(4)

篇(3)

电子商务是一个跨国界,跨地区,跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突,不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本,从各主体的角度思考,综合协调了各个市场主体的行为,从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益,它为实现电子商务提供了统一的基础平台和安全屏障。

一、电子商务安全技术保障策略

安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种:

1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换,变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。

2.身份验证技术。电子商务主体向系统证明自己身份,并由系统查核该主体的过程,是确认真实有效身份的重要环节,这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。

3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认,防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。

4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类:分组过滤、应用、电路网关。

二、企业电子商务安全运营管理制度保障策略

企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。

1.人员管理制度人员管理制度主要从人员的选拔,工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。

2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密,这些方面都是需要很好地划分信息安全级别,并确定安全防范重点,提出相应的保密措施。

3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制,来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核,及时发现对系统有安全隐患的记录,监控各种安全事故,维护和管理系统日志。

4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护,硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修;软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。

5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储,定期为重要信息备份、系统设备备份,并定期更新,以减少安全事故发生时造成的损失。

三、电子商务立法策略

电子商务安全得到法律保障,首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。

1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。

2.立法范围电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;电子商务调整的对象是电子商务中的各种社会关系。

3.立法途径电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。对于传统法律没有规定的,即由电子商务带来的新的社会关系,应尽快制定法律规范;第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确,或与电子商务新型社会关系有冲突甚至存在缺欠的,可以修改或重新解释既定的法律规范。

四、政府监督管理策略

电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。

1.计算机信息系统安全管理计算机信息系统,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度,计算机系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护,有利于保障国家的安全和社会安定,促进电子商务的安全交易过程,有利电子商务的健康发展。

2.网络广告和网络服务业管理由于网络的开放性,自由性等特征决定了网络广告监管的难度,虚假广告、广告充斥着网络空间,网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手:第一,网络广告组织的管理,必须对网站广告经营主体资格进行管制,第二,规范网络广告内容,确保广告内容的真实性、合法性和科学性。第三,需要有具体的广告审查管制、评估与监测部门。

国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》,其中提出了详细具体的限制条件。但是,网络飞速发展,面对网络中的新问题,还必须进一步深入全面地研究。

3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构,对电子商务交易活动顺利进行,电子商务活动中交易参与各方身份和信息认定,维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督;同时,还要针对其资产和财务状况定期审查,以免发生财务危机,对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。

4.加强社会信用道德建设,构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的,在我国尤其严重,甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式,必然存在不少漏洞,这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施,更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律,充分利用网络新闻舆论监督,消费者舆论监督和行业协会的管理监督。

五、结束语

电子商务安全不仅涉及到电子商务公司、企业、消费者的利益,而且更加广泛地涉及经济、政治、国防、文化等诸多方面,关系到国家的安全、和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈,只有解决了电子商务安全,保障了市场主体的利益,才能得到网络用户的认可和参与,电子商务自身也才能得到快速、健康地发展。

参考文献

[1]林宁,吴志刚.我国信息安全技术标准化现状[J].中国标准化,2007(4)

篇(4)

2电子商务安全教学方法改革

目前电子商务安全课程在教学过程中,学生对教材的知识缺乏主动理解和接受,学习的兴趣和主动性不高。因此要对现有以教学大纲为主要目标的方法进行改革,能让学生融会贯通理论知识,主动思考问题,具有理解分析解决实际问题能力。本文提出电子商务安全课程在课堂讲授的进行:教师准备阶段,学生准备阶段,小组讨论阶段、集中讨论阶段和总结阶段。主要目的是使老师和学生在课堂上有较大的自我发挥空间。在教学法的五个阶段中,教师准备阶段和学生预备阶段是教学法中最为关键的环节。教师准备阶段:教师准备是教学的第一环节,也是为明确教学目而准备,是有序进行教学组织与设计的基础。明确教学目标后,就应选择合适教学背景,教学背景应且具有高启发性素材,并且满足教学目标切合实际的教学案例。对选择的教学案例或素材还需要对及进行典型化处理,最后准备在课堂上提出让学生思考的问题,引导介绍学生学习相关资料。学生预备阶段:课前让学生阅读典型化处理相关学习资料,老师指导学生查阅相关学习资料,让学生课前主动准备课堂讲授知识的信息,对老师提出的思考问题要求学生独立思考并形成初步的解决方法。小组讨论阶段:首先根据学生人数将学生分为3到5人小组,然后在小组范围内自行组织讨论,再确定小组成员的任务分工,最后形成小组在课堂上展示方案。课堂展示阶段:在时间控制在半个课时以内前提条件下各小组派代表对问题解决方案进行展示,其他小组对解决方法进行互动式提问和回答,这个过程需要教师加以正确引导。老师总结阶段:老师总结出意见比较集中的问题,针对重点问题组织大家集中讨论,并提出引导性建议扩展深化学生对有疑虑问题的理解。

3电子商务安全课程实践

传统的电子商务安全课程教学是以理论知识为中心的教育体系,对实践操作课程和技能的要求不高,很可能会导致学生在毕业后难以适应工作的要求,在现行教育模式中,用人单位也很难选择到合格的专业技术人才。为此,本课题对信息安全专业开设的电子商务安全课程特点及开发合适的教学模式,尤其是如何建立创新性实践教学体系进行了研究,以教学目标为指导、以社会需求为导向,开发以学生就业为宗旨的高技能型人才培养模式,根据电子商务安全课程特点,将信息安全未来发展的创新技术运用到电子商务安全教学方法中,建立较为全面的以人才培养目标为基础的创新环境和教学模式。另外,本课程实践教学内容的要求是让学生对电子商务安全和信息安全的理论和实践联系建立一个全面的知识结构。通过实践环节设置,让学生了解电子商务安全加密技术及使用技能;了解电子商务邮件和数字签名的联系及作用;熟练掌握电子商务安全协议的设置;掌握PKI的应用及数字证书的申请、安装和使用流程;熟悉基本的电子支付工具的使用。本课程的为实现实践培养目标对实验教学进行合理的安排。

篇(5)

1.身份冒充问题

攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。

2.网络信息安全问题

主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,进行信息截获、篡改、删除、插入。截获,攻击者可能通过分析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。

3.拒绝服务问题

攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。

4.交易双方抵赖问题

某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷进行公证、仲裁。

5.计算机系统安全问题

计算机系统是进行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。计算机设备本身存在物理损坏,数据丢失,信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时,计算机系统存在工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。

二、电子商务安全机制

1.加密和隐藏机制

加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,不仅实现了信息的保密,也保护了通信本身。

2.认证机制

网络安全的基本机制,网络设备之间应互相认证对方身份,以保证正确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份,以保证正确的用户进行正确的操作并进行正确的审计。

3.审计机制

审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。

4.完整性保护机制

用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性可以被验证却无法模仿时,收到信息的一方可以认定信息的发送者,数字签名就可以提供这种手段。

5.权力控制和存取控制机制

主机系统必备的安全手段,系统根据正确的认证,赋予某用户适当的操作权力,使其不能进行越权的操作。该机制一般采用角色管理办法,针对系统需要定义各种角色,如经理、会计等,然后对他们赋予不同的执行权利。

6.业务填充机制

在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难。同时,也增加了密码通信的破译难度。发送的随机数据应具有良好模拟性能,能够以假乱真。

三、电子商务安全关键技术

安全问题是电子商务的核心,为了满足安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等,综合起来主要有以下几种技术。

1.防火墙技术

现有的防火墙技术包括两大类:数据包过滤和服务技术。其中最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于:防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击;防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。

2.虚拟专网技术(VPN)

VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。VPN具投资小、易管理、适应性强等优点。VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接,并保证数据的安全传输,以此达到在公共的Internet上或企业局域网之间实现完全的电子交易的目的。

3.数据加密技术

加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。加密技术分为常规密钥密码体系和公开密钥密码体系两大类。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露,可通过常规密钥密码体系的方法加密机密信息,并随报文发送报文摘要和报文散列值,以保证报文的机密性和完整性。目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等,其中DES使用最普遍,被ISO采用为数据加密的标准。在公开密钥密码体系中,加密密钥是公开信息,而解密密钥是需要保护的,加密算法和解密算法也都是公开的。典型的公开密钥密码体系有:基于数论中大数分解的RSA体系、基于NP完全理论的Merkel-Hellman背包体系和基于编码理论的McEliece体系。在以上两类加密体系中,常规密钥密码体系的特点是加密速度快、效率高,被广泛用于大量数据的加密,但该方法的致命缺点是密钥的传输易被截获,难以安全管理大量的密钥,因此大范围应用存在一定问题。而公开密钥密码体系很好地解决了上述不足,保密性能也优于常规密钥密码体系,但公开密钥密码体系复杂,加密速度不够理想。目前电子商务实际运用中常将两者结合使用。

4.安全认证技术

安全认证技术主要有:(1)数字摘要技术,可以验证通过网络传输收到的明文是否被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,能够实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。(3)数字时间戳技术,用于提供电子文件发表时间的安全保护。(4)数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。(5)认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题,而且只须管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性,这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。(6)智能卡技术,它不但提供读写数据和存储数据的能力,而且还具有对数据进行处理的能力,可以实现对数据的加密和解密,能进行数字签名和验证数字签名,其存储器部分具有外部不可读特性。采用智能卡,可使身份识别更有效、安全,但它仅仅为身份识别提供一个硬件基础,如果要使身份认证更安全,还需要与安全协议的配合。

5.电子商务安全协议

篇(6)

二、数字签名

在网络环境中,网络安全的最基本要求就是通信信息的真实和不可否认性,它要求通信双方能互相证实,以防止第三者假冒通信的一方窃取、伪造信息。在网络中实现通信真实性的方法是数字签名(DigitalSignature)。我们在教学过程中让学生能掌握的是正确使用自己的数字签名,学生走上社会做的不是科学研究,是应用型电子商务,主要包括银行账号的安全、交易账号的安全,可以使用不同的认证方法保证信息安全,数字签名就是一种很好的方法。例如,作为商业机构可以选择一家公信度较强、通过国际认证的CA认证中心,CA认证中心会对于你每次交易中数字签名进行处理,证明交易中的身份,保证签名的不可否认性,加快交易速度,节省交易时间。

三、不轻易打开网站链接

在日常店铺管理中,交易身份的假冒和网站的假冒时有发生,为了防范这种骗局,我们要做的就是不打开不信任的网站,不打开别人发来的链接。现在有一些骗子不仅是把自己伪装成购物网站去骗买家,从而盗取买家的账号、密码。也有一些骗子专门去搜索一些新开的网店去欺骗卖家,一是因为新卖家经验不足防骗知识薄弱,二是新卖家急于让店铺发生买卖,因此在交易时当这些不法分子告诉卖家自己进行的交易出现问题而发送链接时,卖家没有仔细查看确认交易就贸然打开了链接,给店铺造成了损失。

四、防火墙设置

近年来,作为保护计算机系统网络安全的重要措施,防火墙技术正日趋成熟。对于一些与防火墙相冲突的软件,需要关闭防火墙,有时网络安全有问题时,又需要启用防火墙。我们作为专业电子商务人员,要会对自己的电脑进行防火墙设置,设置时可以通过电脑的“控制面板”找到“防火墙”,打开“防火墙”自行设置。防火墙应该一直都处于打开的状态。

五、计算机病毒防范

电子商务强调企业与商家通过网络进行实时交流,安全防护的一点疏漏就可能使计算机病毒扩散到整个企业的网络,可能感染客户的计算机。因此应对计算机病毒进行防范。要想安全、可靠地防杀病毒,至少应该进行如下的工作:选择好的防杀病毒软件保护工作站、服务器;定期进行文件备份工作;定期对网络进行病毒扫描,异常检测;尽量多用无盘工作站;对远程工作站的登陆权限实施严格控制,尽量少用超级用户登录;定期更新病毒库;对网络设备的安全隔离。

篇(7)

随着无线通信技术的发展,移动电子商务已经成为电子商务研究热点。移动电子商务是将现代信息科学技术和传统商务活动相结合,随时随地为用户提供各种个性化的、定制的在线动态商务服务。

但在无线世界里,人们对于进行商务活动安全性的考虑比在有线环境中要多。只有当所有的用户确信,通过无线方式所进行的交易不会发生欺诈或篡改、进行的交易受到法律的承认和隐私信息被适当的保护时,移动电子商务才有可能蓬勃开展。

移动电子商务通信安全的现状

由于无线通讯接入方式非常灵活,所以其对安全的要求更高。实际上,主要的无线通信技术都有各自的措施、协议和方法来保证各自体制下的通信安全。这里我们将从无线网络和电子商务应用两个方面作简要讨论。

无线局域网

无线局域网络是以无线连接至局域网络的通讯方式。它采用的是IEEE802.11系列标准。在该标准中,无线局域网的安全机制采用的是WEP协议(有线对等安全协议)。在数据链路用WEP加密数据,保证了信道上传送数据的安全。另外,无线局域网的网络管理员分配给每个授权用户一个基于WEP算法的密钥,这样就有效阻止了非授权用户的访问。

WAP(无线应用协议)技术

WAP由一系列协议组成,用来标准化无线通信设备,例如:移动电话、移动终端;它负责将Internet和移动通信网连接到一起,客观上已成为移动终端上网的标准。WAP协议可以广泛地运用于GSM、CDMA、TDMA、3G等多种网络。

WAP的安全机制是通过WTLS(无线传输层安全)协议来实现的。WTLS协议类似于互联网传输层安全协议。在无线技术的有限的发送功率、存储容量及带宽的条件下,WTLS能够实现鉴定,保证数据的完整性和提供保密服务的目标。

数字认证技术

对诸如移动电子商务和有重要使命的合作通信等活动,其安全性的一个关键方面是能否对信息发送者的身份进行论证,通常都要利用有线安全的公开密钥基本构架(PKI)。

PKI提供与加密和数字证书有关的一系列技术。但在无线通信环境中,PKI是很难实现的。在只有有限计算能力和低数据流通率的设备上实现PKI中的服务一直是一个有挑战性的难题。同时在PKI的基础上,要将无线设备与有线设备之间进行互通也是有难度的。因此无线PKI(WPKI)协议是要将标准的PKI进行修正和简化,使其在无线通信的环境下达到最优。

移动电子商务安全分析

IEEE802.11的安全

IEEE802.11标准规定了MAC层的存取控制规范,也定义了加密机制,即上述的WEP。WEP的目的是通过对信息流加密并利用WEP认证节点,使无线通信传输像有线网络一样安全。

WEP加密使用共享密钥和RC4加密算法。访问点(AP)和连接到该访问点的所有工作站必须使用同样的共享密钥。对于往任一方向发送的数据包,传输程序都将数据包的内容与数据包的检验组合在一起。然后,WEP标准要求传输程序创建一个特定于数据包的初始化向量(IV),后者与密钥k相组合在一起,用于对数据包进行加密。接收器生成自己的匹配数据包密钥并用之对数据包进行解密。在理论上,这种方法优于单独使用共享私钥的显式策略,应该使对方更难于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相当于有线局域网基本安全的安全级别,根本不是一种全面的安全方案。越来越多的安全专家和研究人员发现IEEE802.11存在安全漏洞,有经验的黑客会利用这些漏洞进行攻击。其缺陷主要有:RC4算法本身就有一个小缺陷。WEP标准允许IV重复使用(平均大约每5小时重复一次)。WEP标准不提供自动修改密钥的方法。

最早的WEP实施只提供40位加密,这使得它抗暴力攻击能力差。现代的系统提供128位的WEP,128位的密钥长度减去24位的IV后,实际上有效的密钥长度为104位。尽管如此,128位的WEP版本也不能保证绝对安全。最好的解决办法是把无线网络放在机构防火墙之外,这种防范措施会强制要求将无线连接当作不受信任的连接来看待,就像看待其他任何来自Internet的连接一样。

所以,WEP应该与其他安全机制一起应用才能提供较强的安全。

WAP的安全

WAP规范的安全特性包括几个部分:WTLS协议、用于存储用户证书的WAP身份模块(WIM)和允许WAP交易签名的SignText功能。

WTLS协议:WTLS基于IETF小组的SSL/TLS协议,提供了实体鉴别、数据加密和保护数据完整性的功能,所以可以确保在WAP装置和WAP网关之间的安全通信。有三种不同级别的WTLS:

1级:执行未经证实的Diffie-Hellman密钥交换以建立会话密钥。

2级:使用与SSL/TLS协议相类似的公开密钥证书机制进行服务器端鉴别。

3级:客户端和服务器端采用X.509格式证书相互进行鉴别。

早期WAP装置仅仅采用了第1级别的WTLS,这种级别的安全不够,所以不能用于电子商务。目前,支持第2和第3级别WTLS的移动装置从市场上可以得到,它们可以确保网上银行交易和购物等应用的机密性。

WIM:为了便于客户端的鉴别,新一代的WAP电话提供了WIM。WIM包含了WTLS3级的功能,并嵌入了对公开密钥加密技术的支持(RSA是强制的,而ECC是可选的)。生产厂家为WIM配备了两套公私密钥对(一套用于签名,另一套用于鉴别)和两个厂商的证书。用配置在WIM上的公匙把厂商的证书和厂商名字捆绑在一起。这样,通过WIM和WAP网关建立的所有WTLS会话都将使用相同的公匙用作初始会话。每一个会话都将包括与此密钥对应的一个不同的证书。WIM的基本要求是它们要具有抗篡改的能力。

SignText功能:这个功能为WAP用户提供了数字签名。同电子签名功能一样,这个功能可以被应用于其他无线设备,或者是手持设备,或者是内嵌SIM卡。

WAP的安全分析:由WAP提供的最好的安全是WTLS3级,多数情况下WTLS已足以确保WAP的安全。但是,由于WAP网关在WAP设备和Web服务器之间起着翻译的作用,相应的带来了安全问题:WTLS安全会话建立在手机与WAP网关之间,而与终端服务器无关。这意味着数据只在WAP手机与网关之间加密,网关将数据解密后,利用其他方法将数据再次加密,然后经过TLS连接发送给终端服务器。由于WAP网关可以看见所有的数据明文,而该WAP网关可能并不为服务器所有者所拥有,这样,潜在的第三方可能获得所有的传输数据。

目前,针对上述安全性问题,可以采用这样的措施来提高WAP的安全性:尽力确保WAP网关的安全。如果WAP网关位于WAP服务供应商范围之内,可以通过诸如在内存中对加密和解密过程进行最优化以减少数据明文存在的时间、在释放前覆盖加密解密进程使用的内存以确保数据的安全性。对于安全要求较高的公司可以拥有自己的WAP网关,从而保障数据端到端的安全性。通过WIM实现数据安全性。

WPKI技术

在有线通信中,电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题,但在应用PKI的同时要考虑到移动通信环境的特点,并据此对PKI技术进行改进。

WPKI技术满足移动电子商务安全的要求:即保密性、完整性、真实性、不可抵赖性,消除了用户在交易中的风险。WPKI技术主要包含以下几个方面:

认证机构(CA)CA系统是PKI的信任基础,负责分发和验证数字证书,规定证书的有效期,证书废除列表。

注册机构(RA)RA提供用户和CA之间的一个接口。作为认证机构的校验者,在数字证书分发给请求者之前对证书进行验证。

智能卡智能卡将具有存储、加密及数据处理能力的集成电路芯片镶嵌于塑料基片中,具有体积小、难于破解等特点,在生产过程、访问控制方面有很强的安全保障。很多种需要客户端认证的应用都可以使用智能卡来实现。并且智能卡也是存储移动电子商务密钥及相关数字证书的最佳选择。

加密算法加密算法越复杂,密钥越长则安全性越高,但执行运算所需的时间也越长(或需要计算能力更强的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有协处理器的芯片。而ECC使用较短的密钥就可以达到和RSA算法相同的加密强度。由于智能卡受CPU处理能力和RAM大小的限制,因而采用一种运算量小同时能提供高加密强度的公钥密码体制对在智能卡上实现数字签名应用是至关重要的,ECC在这方面具有很大的优势。

综上所述,在WPKI机制下,数字证书非常重要,但是由于无线信道和移动终端的限制,如何安全、便捷地交换用户的数字证书是WPKI所必须解决的问题。可以采用以下2种办法解决:WTLS证书,WTLS证书的功能与X.509证书相同,但更小、更简化,利于在资源受限的手持终端中处理。但所有证书必须含有与密钥交换算法相一致的密钥,除非特别指定,签名算法必须与证书中密钥的算法相同:移动证书标识,将标准的一个X.509证书与移动证书标识唯一对应,并且在移动终端中嵌入移动证书标识,用户每次只需要将自己的移动证书标识与签名数据一起提交给对方,对方再根据移动证书标识检索相应的数字证书即可。

目前,大多数移动电子商务采用的安全方式是非PKI的方式,这种方式主要采用对称加密算法和单向散列函数来提供安全服务,其密钥的管理是由移动运营商建立一套主密钥管理系统,为不同的服务提供商分配不同的密钥,每次交易过程中,服务提供商与用户协商产生会话加密密钥。显然,采用这种方式构建的系统的安全性主要取决于主密钥的安全。

尽管非PKI方式对于无线终端有限的处理能力来说尤其适合,而且通过黑名单管理等方法可以使系统的安全得到较好的保障,但是从长远来说,移动电子商务有必要逐步过渡到PKI方式。

移动电子商务随着移动互联网技术的成熟发展迅速,其独特的应用领域使得其安全问题倍受关注。从技术角度上看,一方面无线通信的安全处在不断地发展和完善之中,其应用到移动电子商务中时要与其它的安全机制相结合才能满足实际应用的需要;另一方面有线电子商务的安全技术不能解决移动电子商务的安全问题,所以WPKI技术是一个现实的选择。因此,将这两方面进行改进并进行有机整合,才能营造一个安全的移动电子商务环境。

参考文献:

1.储节旺,郭春侠.移动电子商务研究[J].现代情报,2002,3(3)

篇(8)

计算机安全技术多种多样,要结合实际进行应用才能发挥其自身的作用。电子商务的快速发展在安全问题上也不断出现,将计算机安全技术在其中得以应用能从很大程度上解决其安全问题。将计算机安全技术中的数据加密技术在电子商务中进行应用能起到很好的效果,电子商务交易中数据信息进行加密处理的方式主要就是采取专用密钥以及公开密钥,不仅能够对电子商务的活动得以安全保障,同时也能对入侵者对信息的破坏进行有效防止,从而对电子商务交易活动的信息安全性以及可靠性得到保证。

2、电子商务中计算机安全内核技术应用

安全内核技术主要是将所产生的问题部分内核从系统中进行抽离,从而保障系统的安全性。在电子商务交易活动中,所出现的问题主要是在系统的某一内核发生了异常情况,只有保障内核的安全就能解决实际的问题。最为常见的就是操作系统将一些口令放置在了隐含文件当中,这样就能保障系统的安全性。

3、电子商务中计算机防火墙技术应用

防火墙主要是软件及硬件设备所组合而成的,这是对电子商务活动中信息保障的有效屏障,其中的包过滤技术防火墙主要是对通过的每个数据包进行的检验,然后根据其属性对数据包的通过与否进行判断,这是计算机的首道防线,倘若防火墙所设定的IP是危险的,那么所输出的数据也会被防火墙拦截。还有地址迁移防火墙技术以及服务防火墙技术,前者主要是结合应用需求进行的限定,可以屏蔽内网地址保障其安全;后者则主要是起中介作用,监视以及控制应用层的通信信息。

4、电子商务中计算机身份认证技术的应用

在电子商务平台上进行购物或是通过网络平台进行业务的开展,就要在身份识别技术上进行规范化,如此才能真正解决实质问题。也只有经过身份识别技术才能正常的登录网络,网络交往由于身份的不确定性,所以身份识别技术是有着其必要性的。不只是身份识别技术,访问控制技术的应用也比较重要,它能对数据以及信息内容的访问有效控制,可预防入侵者的恶意攻击和破坏,从而保障电子商务交易活动的正常有序运行。

篇(9)

1.1电子商务交易系统的可靠性

确保电子商务系统的可靠性主要是为了通过一定的控制及预防措施对其系统安全性进行保证,以防出现计算机瘫痪、硬件故障、软件失效及信息传输错误等现象的发生。电子商务系统的可靠性及安全性对其传输、存储的信息数据有着十分重要的保证作用,同时对系统的完整性也能够起到监测作用,利用网络安全技术能够有效提高电子商务系统的可靠性。

1.2电子商务交易中的信息真实性

在电子商务交易过程中,交易双方的身份信息安全性及真实性必须得到保证,即交易双方必须是实际存在的。由于电子商务交易模式的特殊性,使得交易双方能够不同时出现在同地点就能够通过网络进行交易,因此在交易前必须先确定双方建立起信任的关系,并对身份可靠性进行确认。在电子商务交易过程中供应商在履行约定后是否能准时收到货款,而采购方在交付货款后收到的货物质量等问题是否与约定的内容相符,这两方面的问题对电子商务交易中的信息真实性提出了很高的要求。

1.3电子商务交易中的数据安全性

在电子商务交易过程中所传输的数据信息,其安全性必须得到保证。信息若被泄露给未授权方会直接导致经济等方面的损失。电子商务这种新型的交易方式,其交易信息能够直接反映出个人、公司或机构等的商业机密。因此,保证传输数据不被非法窃取是其交易过程中的关键问题之一。

1.4电子商务交易中信息的完整性

在交易过程中通过网络产生的数据信息完成性须得到保证,并且不能被随意篡改。相较于传统的交易方式,电子商务的交易过程具有较大的简便性,相对简化的交易程序对人为干扰因素进行了有效避免。但是,在其交易信息的传输过程中常常存在数据丢失、交易方欺诈行为等现象,导致最终交易双方确认的信息不一致。因此,保证资料信息的完整性作为电子商务交易的基础必须进行提高。

1.5电子商务交易的不可否认性

相较于传统交易方式通过实际签字或盖章的形式对交易信息进行确认,在电子商务交易过程中,交易双方需要以一种特定的形式对信息进行确认,并且承认信息的发送或者接受,不能随意抵赖。这就要求电子商务交易中对交易双方的信息交换通过利用无法复制、具有特点的信息对交易进行确认和保证。

2网络信息安全对电子商务交易产生影响的主要问题

随着计算机信息技术的广泛使用,电子商务通过对其技术进行应用使得自身发展得到促进,同时其便捷性得到了人们的高度认可。电子商务的未来发展空间十分可观。同时,其交易信息的安全性引起了人们的重视。在网络信息安全技术的基础上,电子商务通过利用互联网信息的开放性特点,实现了不同地域的线上交易形式及其他商业活动的交易全部过程。电子商务这一新型交易模式成为了新时期全球的经济热点。由于其交易过程的开放性特征,以及其交易的全球性、共享性及发展动态性的特点,使得电子商务发展中的安全问题受到了社会各界的关注,同时对其自身发展也有一定的制约性。因此,对网络信息安全对电子商务交易产生影响的主要问题进行研究十分必要。

2.1电子商务系统在运行过程中其网络信息常常会遭到外界的攻击,其中有服务性攻击与非服务性攻击两种

非服务性攻击是指指攻击者通过利用各种非法手段对网络的路由器等通信设名进行篡改,导致网络通信设备无法正常使用或网络无法正常工作;服务性攻击即攻击者通过利用服务器提供某类服务从而使网络无法运行。拒绝服务是最典型的攻击行为,通过使电子商务系统的网络服务器充斥大量待回复的消息致使系统负荷超载、网络瘫痪。

2.2计算机软件、硬件的各方面情况对电子商务交易中的网络信息系统会直接产生影响

计算机硬件主要有交换机、服务器及客户端等;计算机软件主要包括应用软件、网络操作系统及数据库系统等。软件漏洞是其网络信息系统中最为典型的问题之一,缓冲区溢出现象时常发生并且会造成很严重的影响,使得系统程序运行失败、计算机死机及系统重启等。因此,必须通过有效措施对计算机网络的硬件及软件工作情况进行保证,以确保电子商务系统的正常操作。

2.3在电子商务交易中对信息的存储和传输安全性要进行有效保证

信息的存储安全性即对联网状态中的计算机存储的信息安全进行保证,以实现未经授权的网络用户无法获得存储信息。未授权用户通常会对用户密码进行猜测或者窃取,通过各种手段绕过网络系统的安全认证,并对未授权信息进行非法修改、查看或者删除;信息的传输安全性即对网络传输中的信息数据的安全性进行保证,使其免遭攻击或者泄露。

2.4电子商务的网络系统有时也会受到内部的授权用户的破坏

部分授权的合法用户在运行电子商务网络系统时,警惕性较低,将系统的安全密码等机密信息无意泄露出去,从而导致安全性降低或者网络受到攻击。由于系统内部授权用户自身的专业计算机知识缺乏,错删系统文件等行为都会直接对电子商务网络信息系统的安全性造成破坏。

3提高电子商务中网络信息安全性的对策

在电子商务交易平台中,网络信息的安全问题会出现各种需要解决的情况,为了保证电子商务交易能够顺利进行,对其网络信息安全必须采取相应措施进行保证,当前主要有以下几种解决对策:

3.1防火墙

防火墙的由来是中世纪的城堡防御技术,想要进入城堡的人必须通过吊桥并且接受士兵的检查。从而引申出网络防火墙技术的概念,即电子商务系统需要以一定的防护措施对用户的授权等进行把关。

3.2黑客

随着科学技术水平的提升,很多电脑爱好者的计算机水平也逐渐提高。目前已出现部分计算机水平较高的黑客设法绕过防火墙技术的控制,对电子商务网路系统进行干扰和入侵。因此,应利用相关入侵检测技术即时地对外界产生的入侵或攻击进行主动防御,以弥补防火墙技术的漏洞。通过在应用中采取监控措施、在电脑主机上进行监控措施及对网络信息系统进行监控等办法能够有效抵御外界攻击。

3.3病毒防御软件

网络病毒的数量及多样性对计算机系统及信息等多方面都造成了严重的影响。网络病毒对电子商务系统的运行也造成了恶劣影响。为保证电子商务网络信息系统的安全运行应利用网络病毒防御软件进行保护,并保证交易信息的安全可靠性及速度。

3.4加密和秘钥

为保证电子商务信息的安全性,应通过使用加密算法对其进行加密,将信息含义隐藏起来,以防外界入侵者的攻击行为。同时利用密钥管理技术作为加密信息的解密手段,只有授权合法的使用者能够操作。

3.5数字信封

在公共网络上使用传统的信息加密技术及密钥管理技术进行信息传输十分容易遭到外界的攻击,可以通过数字信封技术来解决这一问题,能够对信息在传输过程中的安全性进行保证。同时,为保证电子商务交易中的交易双方能有有效辨识身份信息,通过数字签名技术能够实现这一目的,并且对交易信息的可靠性、安全性进行保障,最大程度地提高电子商务交易的效率及质量。

4通过建立电子商务安全机制保证其交易过程

信息及结算信息。同时商务主机需要向相关交易认证机构对客户的订单信息进行确认和反馈。因此,保证信息的安全性及完整性十分重要,以避免信息在传输的中途被篡改或者窃取,这对交易双方来说极为重要。确保交易信息的完整性、有效性需要考虑的因素有很多,例如安全管理问题、物理安全问题、介质安全等各种问题,同时在技术上还需保证高要求。应采取相应措施对电子商务系统的访问权限进行设置并建立安全防务机制。采取验证身份信息等手段以杜绝信息窃取等危险的发生。通过对数据信息文件进行加密并提升防护安全的级别也可以对信息进行有效保护。在保障信息完整性时即通过建立安全机制确保数据信息不会被篡改或者盗取。安全机制包括访问限制机制、信息完整性机制及交换鉴别机制等。

4.1无权限访问控制机制

访问控制指的是根据已确定好的过滤规则来判定决定访问者是否拥有对于服务器的访问权限。访问控制可确保未无授权权限的访问者或以未经授权的方式对数据、服务器以及通信系统等资源进行非法的修改、破坏与运行恶意代码。

4.2数据单元的完整性机制

数据的完整性指的是数据单元的完整性与其序列的完整性。为确保数据的完整性,通常使用如下方式:发送者会在某个数据单元中加上一个经过加密的类似分组校验、密码校验函数等数据自身函数的标记。接收者拥有对应的加密标记,在受到数据后可将对应的加密标记跟接收数据中的标记进行比对,便可以保证数据在传输时的完整性。数据单元的序列完整性指的是确定数据的时间标记的正确性与数据的编号连续性,这样可确保无权限者不会对数据进行创建、删除、修改等非法操作。如果发生这类对数据的非法修改等恶意操作,会对经济产生巨大的冲击。

4.3信息交换鉴别机制

交换鉴别指的是通过进行信息交换的方法来确保实体身份有效合法的机制。进行信息交换鉴别时,通常用到的技术有以下几种:①口令:发送方设置口令,然后由接收方进行校验。②数据加密:对将要进行交换的数据进行加密处理,只有拥有权限的用户方可进行解密,从而得到正确的明文数据。通常实际中,数据加密往往与以下两种技术混合使用:双方、三方“握手”或是时间标记。③经公证机构认可的数字签名:数字签名指的是通过实体的法律所有权与生理特征进行实体身份的鉴别,实际中一般使用指纹识别与身份信息卡等。

4.4随机数据发送机制

随机数据发送指的是保密装置会网络中无信息传输的任务时,无目的性的发出随机的数据序列。这样可以迷惑非法的监听者,使其无法得知监听到的数据序列中是否存在有用信息。此种方式一般用来阻止非法的监听者在传输时对数据序列进行监听、流量流向分析等。

4.5路由器选择机制

实际中的大型网络中往往从源节点到目标节点之间会存在很多线路,这其中就存在各条线路安全与否的问题。路由器选择机制可以为发送方提供选择安全路由的选项,为数据的安全提供保障。

篇(10)

随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。

一、网络隐私权侵权现象

1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。

2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,、Toysmart和等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。

3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。

4.网络提供商的侵权行为

(1)互联网服务提供商(ISPInternetServiceProvider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。

(2)互联网内容提供商(ICPInternetContentProvider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。

5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。

二、网络隐私权问题产生的原因

网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。

1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。

2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。

3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。

目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。

三、安全技术对网络隐私权保护

1.电子商务中的信息安全技术

电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。

(1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。

(2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。

(3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。

(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTime-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。

2.电子商务信息安全协议

(1)安全套接层协议(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。

(2)安全电子交易公告(SecureElectronicTransactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。

(3)安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。

(4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。

(5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。

3.P2P技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。

(1)隐私安全性

①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。

②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。

(2)对等诚信

为使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。

对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。

每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为:

Sij=sat(i,j)-unsat(i,j)

四、电子商务中的隐私安全对策

1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。

2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。

3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。

4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。

5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。

6.强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。

7.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。

参考文献:

[1]屈云波.电子商务[M].北京:企业管理出版社,1999.

[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.

篇(11)

电子商务是在Internet开放的网络环境下,实现消费者的网上购物、企业之间的网上交易和在线电子支付的一种新型的交易方式。由于电子商务具有高效益、低成本、高效率、范围全球性等特点很快遍及全世界。电子商务已成为全球经济最具活力的增长点,它的应用和推广将给社会和经济发展带来巨大的变革和收益。然而,目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的实施还依赖于相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全是制约电子商务发展的一个关键问题。

一、电子商务的安全性需求

有效性:电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此,要对网络过障、操作错误、应用程序错误等所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

1.机密性:电子商务作为贸易的一种手段,其信息直接代表着个人、企业或者国家的商业机密。因此,能否维护好商业机密成为了电子商务全面推广应用的前提条件。电子商务系统应能够对公众网络上传输的信息进行加密处理,防止交易中信息被非法截获或读取。

2.完整性:电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、同意问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,在数据传输过程中信息丢失、信息重复或者信息传送的次序差异也会导致贸易各方信息不同。贸易各方信息的完整性将影响贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息丢失和重复,并保证信息传送次序的统一。

3.可靠性:由于网上通信双方互不见面,所以在交易前必须首先确认对方的真实身份;支付时还要确认对方帐号等信息是否真实有效。电子商务系统应提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认,对私有密钥和口令的有效保护,对非法攻击能够防范,防止假冒身份在网上进行交易。

4.法律性:电子商务系统应有效防止商业欺诈行为的发生。最新《合同法》已确认双方同意电子贸易的电子档案为有效书面合同,为产生贸易纠纷双方提供法律凭证。网上交易的各方在进行数据传输时必须携有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,以保证商业信任和行为的不可否认性,保证交易各方对已做的交易无法抵赖,为法律举证提高有效数据。

审查能力:根据机密性和完整性的要求,应对数据审查的结果进行记录。

二、电子商务面临的安全威胁

1.信息在网络的传输中被截获:攻击者可能通过互联网、公共电话网或在电磁波辐射范围内安装装置等方式,截获机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的账号、密码等。

2.传输的文件可能被篡改:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个信息或信息的某些部分;在信息中插入一些信息,让收方读不懂或接受错误的信息。

3.伪造电子邮件:虚开网站和商店,给用户发电子邮件,收定货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户等信息。

4.假冒他人身份:冒充他人身份,如冒充领导命令、调阅文件;冒充他人消费、栽赃;冒充网络控制程序,套取或修改使用权限、密钥等信息。

5.否认已经做过的交易:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差,但不承认原有的交易。三、电子商务活动的安全保证

为了满足电子商务在安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全控制技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等。具体实现有以下几种技术。

1.加密技术是电子商务的最基本的安全措施。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。

(1)对称密钥加密:采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍,被ISO采用作为数据加密的标准。

(2)非对称密钥加密:非对称加密不同于对称加密,其密钥被分解为公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者,私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被ISO/TC的数据加密技术分委员会SC20推荐为非对称密钥数据加密标准。

在对称和非对称两类加密方法中,对称加密的突出特点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截获,而且,若和大量用户通信,难以安全管理大量的密钥,因此大范围应用存在一定问题。而非对称密钥则相反,很好地解决了对称加密中密钥数量过多难管理及费用高的不足,也无需担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。

2.防火墙技术是确保基础设施完整性一种常用方法。它通过在网络边界上建立起来的相应网络通信监控系统来隔离内部和外部网络,控制进/出两个方向的通信流。它制定一系列规则来准许或拒绝不同类型的通信,并执行所做的路由决策,以阻挡外部的侵入。目前,防火墙技术主要有分组过滤和服务两种类型。

上一篇 消费经济学论文 下一篇 教师继续教育论文
返回列表
推荐精选
推荐范文
相关期刊