你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
咨询热线:400-838-9661
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 SCI杂志 生活杂志
当前位置: 首页 精选范文 电子商务安全的重要性

电子商务安全的重要性范文

发布时间:2023-09-21 17:32:31

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇电子商务安全的重要性范例,将为您的写作提供有力的支持和灵感!

电子商务安全的重要性

篇1

伴随着计算机的普及和互联网的运用,各类商务信息利用互联网共享、开放的功能,实现了共享和网上交易,因而产生了电子商务,商户与客户之间不谋面便可以开展各种商务交易和谈判,并通过在线电子支付平成交易。但互联网的共享性和开放性也给电子商务带来了一定的不安全因素,而各种网络漏洞带来的不仅仅是安全隐患,更给商户与客户之间造成了经济和精神上损失。

由此可见,电子商务网络安全的技术问题不容忽视,那么如何加强技术防范呢?笔者认为,首先要清楚网络安全的重要性,这是基础;其次,要明确了解电子商务网络安全的技术问题有哪些,这是根本;再次,就是要对电子商务网络安全的对策进行研究和探索,这是关键。

一、网络安全的重要性

要解决好电子商务网络安全技术问题,首先要从思想上充分认识到网络安全技术对于电子商务的重要性和网络中的不安全因素对于电子商务交易双方的危害,只有在这样的基础上我们才能够对网络安全技术进行深入的钻研和探索。

从计算机信息安全的角度而言,网络安全是核心。我们常说“网络安全是核心,系统安全是目标,计算机安全是基础”,可见,网络安全需要一个大安全的环境来支撑和保护,是保障计算机信息安全的核心环节。具体说,网络安全是确保网络系统的软件和硬件以及网络中的有效数据不被非法用户进行有目的或恶意性的破坏、篡改和泄露,以此来保障网络系统能够稳定、持续、正常地工作和运行。

从维护国家和社会稳定的角度而言,网络的安全可以有效保障国家相关法律法规的落实。近年来,随着网络的迅速普及,网络对社会发展的影响也越来越大,如电子商务、电子政务、网上银行等各类网络新业务的兴起,使机密性质的信息传输渠道进行了改变,随之而来的是计算机犯罪事件的逐年增多,利用计算机网络发起的犯罪事件呈上升态势,对国家和社会的稳定造成了一定的影响。所以,网络安全技术措施的研究和开发就显得非常重要。

从网络安全的防范角度而言,根据不同的应用环境选用合适的网络安全技术手段是关键。网络安全技术的本质是保证网络信息的安全,但是如果不根据应用环境的变化而采用相同的安全防范策略,不结合应用环境的特性忽视安全技术的综合应用,就会给网络入侵提供条件,最终使网络使用者或商务交易双方蒙受不必要的损失。同时,网络安全产品的自身安全防护技术是网络安全设备安全防护的关键,一个自身不安全的设备不仅不能保护被保护的网络,而且一旦被入侵,反而会变为入侵者进一步入侵的平台。可见,网络安全技术的应用和选择也是非常重要的。

二、电子商务网络安全的技术问题

电子商务网络安全可以从计算机网络安全和商务交易安全两个部分进行分析。这可以为研究制定电子商务网络安全的技术对策提供帮助和依据。

(一)计算机网络安全的技术问题

计算机网络安全的技术问题从宏观上看,主要体现在四个方面,而且都是非常重要的技术节点。首先应该提到的是,因软件自及或操作过程等原因可能导致网络不安全现象的发生。计算机操作系统在默认安装状态下,都存在网络漏洞,这给网络安全带来了“天生”的隐患,需要我们在进行电子商务交易之前安装相关安全软件进行完善或通过安装系统补丁等技术措施加以完善,才能达到预期的安全程度;其次,非法用户通过技术手段使合法用户不能正常进行网络交易、网络服务以及无法访问网站,也就是拒绝服务攻击,也是网站的安全隐患之一;同时,有些用户因为缺少相关的技术知识,由于使用安全软件不当,不能够起到保护网络安全运行的目的,由此产生了不安全隐患;还有就是由少管理而产生的不安全因素,缺少严格的网络安全管理制度。加强网络安全制度建设的根本,就是使网络安全管理工作有效、有序、规范的开展,就是要从思想上引起网络管理人员的重视,保障网络的安全和技术措施的落实。

(二)电子商务网络交易的安全技术问题

电子商务网络交易的安全技术问题,最主要危害就是电子交易信息被窃取。其主要原因是未采用有效的安全措施,如:加密、安装验证软件等。未采用网络安全措施的网络交易,其交易相关信息和数据在网络上是以明文的方式进行传输,入侵者在数据包经过的网关或路由器上可以截获传送的信息,再对数据进行分析,可以寻求到交易信息的相关规律及形式,从而获取交易信息的详细内容,致使信息泄密,对电子商务网络交易造成隐患;其次是对交易信息进行篡改。当入侵者掌握了交易信息的相关规律及形式后,通过技术手段和方法,将交易信息在传输过程中进行修改,再发向传送目的地,这种方法在路由器或网关上都可能出现;再次就是伪装合法用户进行商务交易。由于入侵者掌握了数据的格式,并可以篡改信息,攻击者可以冒充合法用户发送虚假的信息,而交易双方通常很难分辨和发现。

三、电子商务网络安全对策

在了解了网络安全的重要性和电子商络网络安全的技术问题后,关键就是研究制定对策,主要应该包含计算机网络安全措施和商务交易安全措施两大部分。

(一)计算机网络的安全措施

笔者认为,计算机网络安全措施应该包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等项目。

其中,保护网络安全,就是要做到全面分析、研究、规划好安全策略,加强制度建设、使用有效的防火墙技术、加强对硬件设备的物理保护、检验系统的漏洞、建立可靠的识别和鉴别机制;保护应用安全,就是要利用电子商务支付平台的软件系统建立安全防护措施,但应独立于网络的任何其他安全防护措施;保护系统安全,是指从整体电子商务系统或电子商务支付系统的角度进行安全防护,应与系统的硬件、操作系统等软件相关联。

(二)电子商务交易安全措施

各种电子商务交易安全服务都是通过网络安全技术来实现的,可以采用加密技术、认证技术和电子商务安全协议等加强电子商务交易的安全性。

其中,采用加密技术,就是交易双方可根据需要在信息交换的阶段使用密钥去加密和解密数据,建议最好使用非对称加密技术,交易双方一个使用公钥和另一个由用户自己秘密保存的私钥;采用认证技术,可以防止交易信息被篡改,以证明交易双方身份和信息的准备性,如:数字签名、数字证书等;除上述提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议,可以采用电子商务的安全协议加强电子商务的网络安全。目前,比较成熟的协议有SET、SSL等,都是加强电子商务网络安全的有效措施。

综上所述,电子商务网络安全的技术,需要我们做到与时俱进,要随着技术的进步,不断研究和探索新的技术防范措施,以保证电子商务的网络安全。

参考文献

篇2

1.电子商务及信息安全概述

1.1 电子商务中的信息

既然电子商务涵盖了商品和服务相关人员活动和行为的各个方面,那么必然电子商务的活动中会涉及许多方面的信息。因为电子商务涉及的领域非常广泛,包括了商品和服务的交易的所有环节,如商品购买、广告、推销、信息咨询、银行服务、网络支付等等,它把商家、顾客、银行、中介、信用卡公司,甚至包括政府都通过网络的方式连接起来。如此,在整个的过程中,她涵盖了广泛、复杂的信息量,既包括商家的商品信息、竞争信息、商业秘密等,也包括个人的隐私信息、财产信息等等。这些信息数量广泛、内容繁杂、真实性很强,一旦被蓄意泄露或利用,将会产生非常不利的影响。

1.2 电子商务中信息安全的重要性

电子商务的受体是公众,那么电子商务能够正常运行的前提就是保障公众的信息安全。信息安全是指信息的完整性、可用性、可靠性和保密性。目前电子商务是在完全开放的网络环境中进行的,能否保障各个相关主体的信息安全,是非常重要的事情,现在不断增加的网络入侵、黑客攻击和网络的脆弱的防御能力不得不引起人们的担忧

2.电子商务中存在的信息安全问题

从上面的信息安全的基本需求中,我们可以看出,电子商务交易对信息的安全保护至关重要,也是一件棘手的事情。目前,电子商务中的信息安全主要存在以下几个方面的问题:

2.1 信息存储中的安全问题

信息存储安全是指电子商务信息在静态存放时的安全。企业在网络开放的运行环境中,电子商务的信息安全就存在以下问题:

内部不安全要素。主要是企业内部之间、企业的顾客随意非授权的调用或随意增改删电子商务信息。

外部不安全要素。主要是外部人员私自侵入计算机网络,故意或过失的非授权调用或随意增改删电子商务信息。这个隐患的主要来源有:黑客入侵,竞争对手的恶意破坏,还有信息间谍的非法闯入。

2.2 信息传输中的安全问题

信息传输安全是指点在商务信息在动态的传输过程中的安全。表现形式有:信息在网络的传输过程中被篡改;伪造电子邮件;传输的信息被截获;否认已经做过的交易;网络硬件和软件的问题而导致信息传递的丢失与谬误。

2.3 交易双方存在的信息安全问题

电子商务交易改变了传统的交易方式,打破了双方面对面的交流。这样,买卖双方只能通过网络交流各自的信息来完成交易,这样双方会对电子商务的交易安全和信息安全存在疑虑。

2.3.1 买方存在的信息安全威胁。

电子商务交易中的买方,既可以是个人,也可以是公司、银行等。买方存在的信息安全威胁主要有:(1)身份被假冒。用户身份信息被拦截、假冒以致被要求付账或返还商品;(2)发送的交易信息不完整或被截获篡改,用户无法正常收到商品;(3)域名被扩散和监听,无奈接收许多垃圾信息甚至个人隐私被窃用;(4)遭黑客攻击,计算机设备发生故障导致信息丢失等;(5)受虚假广告信息误导购买假冒伪劣商品或被诈骗钱财等。

2.3.2 卖方存在的信息安全威胁。

卖方存在的信息安全威胁主要有:(1)恶意竞争者假冒用户名恶意侵入网络内部以获取营销信息和客户信息;(2)冒名改变交易内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;(3)信息间谍通过高技术手段窃取并泄露商业秘密;(4)一些恶意程序的破坏而导致电子商务信息遭到破坏,比如特洛伊木马程序;(5)黑客攻击服务器,产生大量虚假订单挤占系统资源,令其无法正常操作。

3.保障电子商务中信息安全的措施

现在,电子商务作为一种新兴且快速发展的商务交易模式,已经被广泛使用,例如网上银行支付,淘宝购物等等,发展前景也十分光明。但是,如何保护电子商务中的信息安全,建立一个安全、便捷、高效的电子商务环境,也是一个越来越值得探讨的问题。这就需要发展有效的信息安全技术,同时辅助于必要的措施。本人认为,保护电子商务中的信息安全应该做到以下几点:

3.1 研究保障信息安全的各种信息安全技术

为保证电子商务的正常发展,对电子商务中的网络安全技术进行研究,发展自主的网络安全技术是至关重要的。现在应该重点研究的信息安全技术有:

3.1.1 数据加密技术

信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网络会话的完整性。加密是利用基于数学算法的程序和保密的密钥对信息主要是普通的文本(明文)进行编码,生成难以理解的字符串(密文),以便只有接收者和发送者才能理解。加密技术一般采用对称加密技术、非对称加密技术以及二者的结合等方法。目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等

3.1.2 身份识别技术

身份识别技术是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字标识,用电子手段验证用户身份及对网络资源的访问权限,参与各方必须利用认证中心签发的数字证书证明身份。(2)电子商务认证中心,CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。

3.1.3 防病毒技术

(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。

3.2 加强网络安全基础设施建设

一个网络信息系统,不管其设置有多少道防火墙,加了多少级保护或密码,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言,这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。

4.结束语

电子商务领域的安全问题一直备受关注,是制约其发展的瓶颈,如果解决的好,便能推动商务更好更快发展的动力。目前对电子商务信息进行保护的主要措施就是信息安全技术,因此必须加大投入,研究新的、有效的信息安全技术,进一步改进已有的信息技术。同时,国家必须加强对电子商务的管理和投入,将电子商务做大做强。

参考文献

篇3

关键词 :网络安全;电子商务;影响

随着计算机技术的发展和网络的普及,商业运行模式在网络环境下发生了很大的改变,一种新的商业运行模式——电子商务被催生。电子商务是运用网络技术、通讯技术、计算机技术等先进技术进行的贸易行为。目前越来越多的贸易往来利用网络进行,电子商务安全问题越来越受到人们的关注,用户在电子商务贸易往来中最关心的话题就是安全问题,网络安全成为电子商务进一步发展的关键因素。

1、电子商务中网络安全的重要性分析

电子商务是在网络环境下运行,其具有网络信息所共有的开放性和资源共享性特点,交易双方可以通过网络互相访问对方的计算机,在此过程中容易被不法分子侵入,造成信息泄露和破坏,威胁电子商务交易的安全进行,网络安全问题是电子商务首先要解决的问题,网络安全不仅对电子商务发展具有重要的意义,而且对于计算机发展、网络发展以及社会稳定等都有较大的意义。

1.1 计算机安全问题

计算机的运行需要在网络环境下进行数据传输,网络安全是计算机信息安全的最好保障,网络中不安全因素对电子商务具有很大的威胁,电子商务本身是虚拟交易,存在较大的安全隐患,如果网络不安全会给交易双方带来较大的损失。而相对安全的网络可以确保网络数据与信息不被不法分子篡改、窃取,保障网络运行环境的稳定安全。

1.2 促进社会稳定发展

计算机网络技术的普及使电子商务、电子政务、网上银行等业务越来越普及,已经成为人们生活中不可或缺的一部分。同时网络也成为各种各样犯罪事件的主要应用工具,从这方面来说给国家和社会稳定带来一定的威胁,而网络安全能够保障网络数据信息的安全性,阻碍网络犯罪事件的发生,促进社会稳定发展。

1.3 网络安全防范

一般情况下,网络安全的防范措施是网络安全技术,以此来保障网络运行环境的安全,但是仍然有较多不法分子专门利用网络安全技术中的漏洞对网络发起攻击,设备平台危害网络安全,严重威胁电子商务交易的发展。所以说网络安全防范技术对网络安全有着重要的意义,必须确保安全问题及时解决。

2、电子商务运行中存在的主要网络安全隐患

据有关数据统计,网络安全的主要隐患是黑客和病毒,我国95%的网络管理中心曾遭受黑客的攻击,另外还有一些其他的安全隐患,我国的网络安全问题越来越突出,网络安全已经成为阻碍电子商务发展的主要因素。

2.1 网络自身安全隐患

威胁网络安全的首要因素是网络自身的安全性,众所周知网络系统软件、设备、技术等都时刻在发生变化,网络自身存在较多的问题与不足,而且有些网络系统由于自身设计、管理方面存在的缺陷,导致网络系统软件和设备功能不齐全,存在较多的漏洞,这种安全隐患给电子商务的运行带来很大的安全隐患。另外,由于网络信息数据大多存放于网络数据库中,为不同商户提供共同的享用权利。但是网络设计、管理等在使用过程中存在一定的安全性问题,在使用过程中一些非法用户能够避开安全内核,非法盗取网络数据和信息资源,给网络用户带来较大的安全隐患。

2.2 数据信息传输过程中的安全隐患

现代电子商务普遍存在的安全隐患是传输路径的安全隐患,事实上不存在绝对安全的网络传输途径,在网络运行中或多或少都存在一些安全隐患。同时在网络传输过程中无论采用哪种信息传输途径与路线,信息传输过程中网络状态不够优良的情况下,都会存在网络连接不够好的问题,甚至会导致网络传输的中断,这样就容易危害商务活动相关数据的完整性,从而影响整个电子商务活动的正常进行。

2.3 网络管理方面的安全隐患

在电子商务运行过程中来自网络管理方面的安全隐患是其最直接、最普遍的安全隐患,网络稳定运行的保障就是有良好的网络管理技术与措施,其中网络安全问题是网络管理的核心内容。电子商务在运行过程中,如果用户对各种信息技术、网络技术、设备安全等进行科学、合理的管理,就能够有效的控制。预防安全隐患的发生。同时如果用户在使用过程中没有对网络进行合理的管理,网络就会存在较多的问题,从而影响网络运行环境。而且网络资源一般都是有各种网络技术、设备、服务器、终端等组成,网络中不可避免的存在安全隐患,如果再不用心管理,肯定会出现安全问题。随着网络技术的发展,网络覆盖范围越来越广,网络安全显得尤为重要,网络安全已经成为网络管理中关键问题。

2.4 交易过程中的安全隐患

电子商务交易是在网络环境下进行的虚拟交易,它依托网络环境的稳定、安全运行,交易中存在安全隐患也是不可避免的。在现实交易中尚存在一定的交易安全隐患,电子商务交易安全隐患更加普遍,比如在电子商务交易过程中,购买双方已经进行接货、定货协议,但是确迟不发货,甚至还有些商家在交易过程中因为价格问题不承认原有的交易,这些问题都对电子商务的正常开展具有很大的阻碍。

2.5 黑客、病毒攻击

网络黑客是网络运行中最常见的一种安全隐患,网络黑客专门非法进入他人网站,他们一般具有较高的网络技术能力,能够迅速破坏电子商务网站的防护技术,进而篡改网站内部信息,盗取用户账户、密码,挪用用户资金,严重影响电子商务的安全运行。电脑病毒也是一种比较普遍的网络安全运行隐患,病毒的传输速度非常快,在互联网的普及下,为新病毒提供了强大的媒介。很多新型病毒能够直接借助网络进行快速传播,会给用户造成严重的经济损失。

2.6 其他网络安全隐患

网络安全隐患有很多类型,除了以上类型之外还有一些因为网络管理人员监管不力、渎职自盗、程序共享等带来的网络矛盾和冲突,这些也是威胁网络安全的重要因素,制约着现代电子商务的稳定、安全运行。不管是何种类型的网络安全隐患都必须给予高度的重视,采取积极有效的措施,做好安全防范工作,保障电子商务活动的稳定开展。

3、电子商务安全运行的措施

电子商务安全隐患是其在运行中必须解决的问题,我们必须采取积极的措施解决电子商务安全问题,为电子商务的发展提供良好的运行环境。电子商务用户也应该采取积极的措施加强网络运行管理,加强技术投入,预防安全问题的出现。

3.1 加强电子商务安全管理工作

电子商务安全隐患归根到底还是人的问题,即管理问题。具有关资料显示,网络安全中最主要的人为因素是信息安全威胁。但是在实际网络安全运行管理过程中人们往往只关注技术方面的安全隐患,注重技术管理,对人的管理不够重视,对网络安全中人为因素造成的安全隐患只是简单的提起,并没有做详细点的分析与处理,导致网络安全管理工作滞后于网络技术的发展。实际上,不管是从技术上还是从人为的操作汇总都应该由人来设计、配置、组织、管理、调整、维修等,建立一个综合性的网络管理团队,提高网络安全管理能力,为网络安全运行提供一个良好的内部环境。

3.2 提高网络防范技术的应用

1)防火墙技术

电子商务运行依赖于资源共享,而防火墙技术能够保障网络用户访问公用网络时具有最低风险,而且又能保护网络免遭袭击。网络运行中所有专用网、内部网、外部网、公用网之间的连接都经过防火墙的检查和认证,数据的传输与通信只有在授权的条件下才能进行,有力的保障了网络环境的安全。

2)信息加密技术

信息加密技术是一种主动的信息安全防范意识,它主要利用加密算法将网络信息明文转化成无意义的密文,防治非法用户理解原始数据,使数据具有保密性。在电子商务中信息加密技术是其他安全技术的基础条件,加密技术包括对称加密和非对称加密,这两种加密技术具有各自的优点,但是在实际运行中,为了充分发挥加密技术的优点,往往会把这两种技术结合使用,确保网络的安全运行。

3)反病毒技术

这种技术是基于病毒入侵隐患而建立,防病毒技术种类也比较多,比如病毒检测、病毒预防、病毒消除等。反病毒技术的具体实施措施是对网络服务器的文件进行实时扫描和检测,一旦发现病毒立刻清理。近几年,很多网络运行专家不断推出新的病毒防范产品,这些产品能够在互联网技术下监视网络传输中的数据,准确辨别数据所携带的病毒,防治病毒的入侵,从而有效提高网络安全。

3.3 加强安全防范意识

对于无处不在的安全隐患,除了要加强网络管理与网络技术之外,普通网民也要提高网络安全防范意识。在电子商务安全防范下,做好计算机安全防护工作,养成良好的上网习惯,掌握一些技术的网络安全防范知识,对于不安全的网站尽量不要访问,同时也不下载不安全的网络软件,减少电脑被病毒入侵的几率。同时在电脑中安装杀毒软件和防火墙,养成经常扫描电脑的习惯,这样能够最大限度的防治电脑被病毒、黑客等攻击,建立良好的网络运行环境。

结语

随着网络技术的发展与普及,电子商务的发展越来越受到重视,而网络安全与电子商务有着密不可分的关系,网络安全是电子商务运行的保障。电子商务安全隐患的种类有很多,在实际运行中我们不能对这些安全隐患掉以轻心,必须重视他们,采用积极有效的措施解决安全隐患问题。加强网络安全运行的管理工作,提高网络安全技术,为电子商务发展提供良好的运行环境,保证电子商务交易安全进行,促进电子商务交易的发展。

参考文献:

[1] 谢.网络安全对现代电子商务的影响及对策研究[J].中国商贸,2010(19):110-111.

[2] 徐卫红,刘婷.网络安全对电子商务发展的影响和策略[J].成功(教育版),2010(3):273-274.

[3] 蒲天银,秦拯,饶正婵.网络安全对现代电子商务的影响及对策研究[J].商场现代化,2008(35):160-161.

[4] 周二鹏.网络安全对电子商务的影响及对策[J].大观周刊,2011(37):141-142.

篇4

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)10-0213-01

现在,电子商务购物活动发展迅速,特别是中国的电商市场,随着阿里的buy+上市推广,电商在中国的市场推广将更加广阔。可就在我们畅游在电商世界的同时,我们的电商安全也成了我们最大的敌人,各大报纸媒体每天都有报到关于某人支付宝的钱一瞬间被盗多少万。我们的个人电话号泄露,身份证号泄露,名字与银行卡号泄露,账号丢失、密码和银行卡里的钱被盗等等。现如今,建立一个安全的电子商务环境是对技术人员的一个时代性的挑战,而对电子商务活动过程中所涉及的信息提供安全的加密和保护,也已经是客户和电子商务商家最关心的问题。

我们现在的电商安全问题主要来自于两个方面,意识我们计算机或者网络本身存在漏洞,再有就是从事电子商务活动的用户安全意识薄弱,所以,在进行商务活动中,商家或者是个人的利益受到了严重的损害。网络信息安全首先要求信息必须具有:可用性、完整性、保密性、真实性、不可否认性。只有这样,才是电子商务顺利进行的前提。

1 电子商务所面临的网络威胁

1.1 操作系统漏洞

每个操作系统都是有漏洞的,而网络的入侵者为了在电子商务活动中得到利益,他能够利用系统本身的安全漏洞,进入系统,得到很多数据操作权限,从而为所欲为,得到他想得到的一切。那么这些漏洞是如何产生的呢,其实就是我们没有及时为系统打补丁再有就是可能借助第三方软件进行了打补丁,在设置中,总是选择默认的最低级别。再有,就是我们没有为系统加强防护,例如:防火墙系统,入侵检测系统,还有就是别有用心的人给你下的木马。这些都是给入侵者提供了很好的便利条件。

1.2 黑客的攻击

黑客是电子商务安全中的最大的危险。他的目的就是窃取利益,例如商业机密和个人的账号和密码,以达到经济的利益。而黑客也是我们现在安全威胁中最大的隐患。他们的攻击方法和手段之多,真是让人防不胜防。

1.3 管理者意识薄弱

良好的企业和个人账户都有严密的管理机制,使我们的利益免于损害。但是,其实很多电商企业都没有建立严密的系统和硬件管理系统,没有专人负责,即使有的电商企业意识到安全的重要性,买了产品,例如:防火墙,入侵检测系统(IDS),杀毒软件,在设置上和更新上也是疏于管理,更有甚者,使用的都是盗版软件,这些对我们的网络安全都造成了重大的影响,纠于原因,都是我们的安全意识薄弱,等到出现了问题,才想到亡羊补牢,但是,这时,我们已经造成了巨大的损失。而中国今年的315晚会上,也是公布了很惊人的数据,由于酒店管理的疏漏,泄露了个人信息,而这些信息有的已经和淘宝,苹果的ID等账号绑定,多少iPhone手机变成了砖头,同时,这也就造成了很多的个人机密信息的泄露,给人们造成无法挽回的经济损失。

2 解决电子商务安全的方案

2.1 完善的网络操作系统为电商提供良好的环境和平台

电子商务的平台依附于网络的操作系统,而无论是Windows操作系统,Android操作系统还是苹果的ios的操作系统,都有漏洞的存在,而盗取经济利益的网络黑客分子就是根据操作系统本身的漏洞,进入我们的系统,看看有没有可图的利益,而这些问题产生的原因都是我们平时没有及时给系统打上补丁,或者是利用第三方软件进行打补丁。这就要求我们在使用系统的时候一定要从官方网站及时下载系统的补丁,而不要借助于第三方软件平台进行漏洞补丁。针对这种问题,我们需要在系统中装上网络入侵检测系统(IDS)和网络防火墙(firewall)。作为保护我们网络系统的强有力的支撑。

2.2 完善的防御系统为其提供安全的保证

黑客的攻击手段很多,我们没办法主动攻击,只能被动防范,第一,安装杀毒软件,阻止其对端口的扫描和对系统的病毒的投放。还要及时的更新病毒库,这样才能有效的防范黑客的攻击。第二,关闭不必要的端口。比如:ftp的21端口,远程登录的23号端口,为了不影响上网,只要开启80号端口即可。第三,取消其共享,这个需要在注册表里改,可以请教专业人士或者百度都可以。第四,提高浏览器的安全指标。设置高的安全值。第五,就是不要上一些不好的网站,扫码,点图片都可能是黑客在你的客户端下马的惯用伎俩。总之,黑客无处不在,我们提高安全意识,才是重中之重。

2.3 管理者高度的安全意识才是电商安全的重中之重

任何的问题都不仅仅是技术可以解决的,涉及到人的问题,就是管理的问题,只有管理者的高度重视,才能使安全意识提高,而各大媒体的宣传,也是提高管理者意识的一个重要方面,意识上来接下来就是全方位的制定合理的安全方案,加强网络安全的管理,制定相关的制度,定期的检查,更新网络设备等等,只有这样,才能让我们的电子商务环境安全、可靠,用户才能更放心的进行网络购物。

3 结语

综上所述,电子商务的安全问题变得越来越严重,如何建立一个安全可靠的电子商务技术方案,如何创造一个安全可靠的电子商务应用环境,已经成为广大电商和用户都迫切关心的问题。但是,网络中没有绝对的安全,只有相对的安全,要做到电子商务的网络安全,需要我们全社会的共同努力,营造一个健康,安全的网络环境。

参考文献

[1]吴凌娇.网上购物安全问题探讨[J].江苏技术师范学院学报,2006,(04).

[2]阚晓初.浅谈电子商务安全策略与技术[J].商场现代化,2007,(01).

[3]徐效美,林冬梅. 浅析电子商务的安全[J].商场现代化,2007,(01).

篇5

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-03

1 引言

随着计算机网络技术的快速发展,电子商务已经在各行业应用开来,其表现形式也非常丰富。比如:可以通过电脑、Internet、交易平台,预订机票、火车票,随时随地足不出户地进行个人财务管理、股票交易,网上购物、转帐及接收付款等等。在日常生活中,电子商务给我们带来了无尽的便利。

但是,在我们享受电子商务给我们带来的便捷的同时,我们也必须认识到电子商务安全的重要性。由于在电子商务交易中,交易双方是不见面的,交易双方缺乏面对面的沟通,我们也无法审核交易双方的真实身份,这些就会增加电子商务交易的风险,因此,本文针对电子商务安全现状进行简要分析。

本文将从电子商务的概念开始,并对电子商务安全发展现状和技术策略进行介绍。

2 电子商务的概念

电子商务是指在因特网开放的网络环境下,在全球各地广泛的商业活动中,基于浏览器/服务器的模式,在买卖双方不见面的情况下,进行商务活动,从而能够满足消费者进行网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动,它是一种新型的商业运营模式.

电子商务主要是通过电子数据传输技术,进而开展商务活动,如企业间交易活动、在网络上做营销、客户服务等,它统一了资金、信息、商流和物流四个方面。随着网络和Internet技术的日益成熟,真正意义上的电子商务是建立在Internet技术上的,所以也简称为IC。

2 电子商务安全概述及其发展现状

2.1 电子商务安全的主要内容

电子商务安全由IT安全和商务交易安全两部分组成。

IT安全主要由以下几个部分组成:网络运行环境安全、用户信息与网上交易服务器传递之间的安全、网络硬件设备安全、网络软件安全、数据资料安全、客户端计算机及其他连接互联网设备的安全等等。基于这些IT本身可能存在的安全问题,旨在保证IT安全,实施IT安全增强方案。

另一方面,商务交易安全是针对传统商务在互联网络上应用时产生的各种安全问题,基于计算机网络安全,从而保障电子商务过程的顺利进行。目的在于实现电子商务的完整性、可鉴别性、保密性、不可伪造性和不可抵赖性。计算机网络安全与电子商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。计算机网络安全是商务交易安全的基石,如果缺少计算机网络安全,商务交易安全就无从谈起。同样,缺少了商务交易安全的保证,即使计算机网络本身再安全,仍然无法保证电子商务的安全进行。

2.2 电子商务安全的原则

(1)真实性、可靠性

电子商务以电子形式取代了以前纸质的形式,因此,开展电子商务的前提就是保证电子形式的贸易信息的真实性和有效性。电子商务作为贸易的一种形式,其信息的真实性和有效性将直接关系到个人、企业或国家的经济利益和声誉。

(2)身份的唯一

电子商务系统要建立身份唯一性认证制度,在身份合法认证时做到有法可依,双方在网上进行交易或者数据传送时,必须首先认证双方身份的合法性和真实性,只有这样,才能保证在交易发生纠纷时,双方身份都有所证明,从而有效防止商业欺诈行为的发生。

(3)保密性

电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。由于电子商务是在开放的网络环境上进行的,所有商业防泄密工作在电子商务过程中显得尤为重要。

(4)完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来如何维护商业信息完整的问题。如果交易双方数据输入时,意外出现差错或者有一方有欺诈行为,都有可能导致贸易各方信息不同。因此,电子商务系统必须可靠和正确地保证数据传输、存储及电子商务的完整性。

(5)实名制

电子商务活动的每一方都必须实名参加,相关部门应当对各方身份、企业资质、信誉等进行严格的审查登记,做到有据可查。

2.3 电子商务安全发展现状

上世纪七十年代,电子商务开始出现萌芽,当时,有一些大公司利用计算机网络,将各个机构之间和各个商业伙伴之间的信息共享起来,这个过程就是EDI(电子数据交换),电子数据交换就成了后来电子商务的雏形,同时也是电子商务的基础。近些年来,由于计算机网络技术飞速发展,电子商务也迅速发展起来。

但是,目前,电子商务面临着比较严峻的信息安全现状。据权威杂志披露,从事电子商务的企业相比于普通企业,承受着更大的商业风险。其中,从事电子商务的企业更容易被黑客攻击,感染病毒、恶意代码的概率高出9%,被非法入侵的频率高出10%,而且更容易被商业欺诈。

在我国,电子商务安全的现状同样并不乐观。调查显示,近年来,我国发生了200起网络进行的电子商务经济犯罪,带来了上亿元的经济损失。我国网民对于网上交易,最担心的就是网上支付交易的安全问题,超过百分之八十的网民对网上交易的安全性表示担忧。信息安全问题已然成为阻碍网上交易的一大难题。

1995年起,我国开始发展电子商务安全产业,与此同时,电子商务安全科研、生产与应用也开始起步,迄今为止,已经实现了科研与生产从无到有,市场从小到大逐步发展起来。电子商务信息安全研究已经走过了通信保密、计算机数据保护两个发展阶段,目前正处于网络信息安全研究阶段。在现阶段中,我们已逐步掌握了部分网络安全和电子商务安全技术,研制和探索了安全操作系统、多级安全数据库方面的技术,但掌握系统核心技术还有很大困难,所以目前还不能开发出有自主知识产权的信息产品。

截止到目前,我国电子商务安全的发展还存在以下几点问题:

(1)安全防范意识薄弱

国内不少电子商务企业对网络信息安全意识不强。这些企业在进行电子商务交易的时候,考虑的更多的还是自己的效益、方便、快捷,却把交易的安全性、保密性、抗攻击性放在了较低的位置。

(2)体系结构不健全

我国的电子商务安全一直都缺乏一个健全的体系结构,总是等到出现问题才去解决问题,从而导致问题不断变化、层出不穷,却缺乏有效的解决办法。

(3)软硬件缺乏强有力的支持

目前我国IT设施的软件、硬件等的核心产品主要还是依靠从国外发达国家进口,市场上不少的安全措施也是照搬过来的,很多电子商务安全方面的产品都没有通过安全认证。

(4)频繁遭受威胁

目前我国的电子商务产业主要遭受三方面的安全威胁:

1)非人为因素造成的数据丢失;

2)人为因素造成的数据丢失;

3)黑客、病毒等的恶意攻击和入侵。

3 电子商务安全技术及策略

3.1 电子商务安全技术架构

电子商务安全技术体系包括网络服务层、加密技术层、安全认证层、安全协议层四个部分,它是确保电子商务交易中数据的安全性和完整性的逻辑结构。在这个四层结构中,下一层作为上一层的基石,为上一层提供技术支持;由安全控制技术实现安全策略,从而形成一个统一的整体,相互关联、相互依存,从而实现电子商务的安全进行。

如图1所示,即为电子商务安全技术体系架构

图1 电子商务安全技术体系架构

(1)网络服务层

网络安全作为电子商务安全的基础,涉及面很广,如防火墙技术、网络隐患扫描、网络监控、及各种反黑客技术等,其中防火墙技术最为关键。防火墙的主要是通过加强网络之间的访问控制,从而使得外部网络用户,不能利用非法手段侵入我们需要保护的网络。防火墙按照一定的安全策略,检查两个或多个网络之间传输的数据包和链接方式,继而决定是否允许网络之间进行通信,而且还能监视网络运行状态。路由器可以实现简单防火墙技术,而更加可靠的网络安全控制需要专用防火墙来提供。

为了保证连接Internet和Intranet的安全,防火墙是最为有效的方法,防火墙通过有效监视网络的通信信息,记忆通信状态,从而作出正确的判断,来决定是否允许访问。如果能灵活有效地运用这些功能,制定正确的安全策略,就能就能保证Intranet系统的完整性、安全性。

(2)加密技术层

电子商务信息加密技术作为最基本的安全措施,它是一种主动的信息安全防范措施。实质就是一种交换算法,它通过置换和移位的方法,对以符号为基础的数据进行加密,加密受密钥的关键符号串控制。加密技术分为对称加密和非对称加密两类。

1)对称加密。对称加密包括两种情况:1.加密系统的加密密钥和解密密钥相同。2.如果不相同,但是由其中任意一个可以很容易的推导出另一个。现在常用的对称加密算法有DES、RC2、RC4等,DES算法被广泛采用,它由美国国家标准局提出的,被ISO作为数据加密的标准。

2)非对称加密。非对称加密只包括一种情况:加密系统的加密密钥和解密密钥不相同,并且不管是由加密密钥推导出解密密钥或者由解密密钥推导出加密密钥,都是计算不出来的。RSA算法是非对称加密领域最著名的算法,该算法是非对称数据加密的标准算法。

(3)安全认证层

为了确保电子商务交易安全,光有加密技术是不够的,还必须依靠安全认证层中的身份认证技术。

认证技术通过用户的客户主机IP地址进行认证,在认证技术中,系统管理员授予不同IP地址的授权用户不同的访问权限。认证技术主要有身份认证和通过电子认证中心的认证。身份认证是主要用于判断交易双方的真实身份,而目前这也是电子商务安全中急需加强的重要技术。身份认证主要有三种方式:用户口令、智能卡、生物学特征认证。

(4)安全协议层

由于电子商务需要通过Internet完成在线支付,所有我们必须安全传输支付信息、确认交易方的真实身份、完整进行支付过程,这就需要我们使用安全协议来保证。不同交易协议的复杂性、开销、安全性各不相同。

目前国际上比较有代表性的协议是SSL协议和SET协议。

1)SSL协议。SSL(安全槽层)向客户/服务器应用程序提供客户端和服务器的认证服务、加密、数据完整等安全措施,它在应用程序进行数据交换前,通过交换SSL初始握手信息来实现有关安全特性的审查。

2)SET协议。SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET增加了对商家身份的认证,同时还保留对客户信用卡认证。

3.2 电子商务安全策略

(1)建立健全的电子商务的法律制度,并强化执法力度

随着电子商务的发展,建立了很多电子商务网站,进而许多网络交易中的法律问题就凸显出来,这样一来,解决网络交易的安全问题就需要遵循一个共同的法律法规,而目前我们的电子商务法律制度还不健全,还需要建立必要的健全的法律框架。另一方面,对那些网络交易中的违法犯罪行为,我们一定要加强执法力度,从而达到规范电子商务交易的目的

(2)建立完善的信用体系,提高电子商务的安全意识

由于电子商务的虚拟性、非接触性,信用在电子商务中显得尤为重要。电子商务对信用体系的需求最强,电子商务如果缺少了信用体系的支撑,就毫无安全可言,风险度极高。因此,信用体系是电子商务的规范与发展的基础。然而,我国的电子商务的信用管理体系还比较落后,社会整体信用制度还有待健全,在交易过程中经常会发生不讲信用甚至欺诈行为,因此,为了促进电子商务的良性发展,有必要建立完善的信用体系。另一方面,我们也需要加强电子商务安全意识,不能总把利益放在第一位,要引起对安全性的足够重视。

(3)用加密技术、安全认证、交易协议等保护交易信息的安全

积极借鉴国外先进经验和技术,尽可能建立一套完整的电子商务安全体系;采用不同的加解密算法完善和提高电子商务交易安全,定期检查更换交易密钥。

(4)加强互联网络的安全性,防止信息泄漏

最常用的网络安全保护手段是防火墙技术。电子商务内外网和互联网之间最好设置专用防火墙,这样不仅可以提升内部局域网络的速度,同时还能阻止恶意病毒和木马攻击内部网络。

(5)加强电子商务的安全管理,构建良好的电子商务环境

目前,我国电子商务发展的环境还存在不少虚拟环境的特有问题,如领头企业的资源整合能力有待提升,电子商务企业散、小,电子商务支付、物流等支撑服务能力有待于加强。电子商务交易的管理也需要进一步加强。此外,为了构建良好的电子商务环境,还需要增加第三方支付平台和物流的支持。

4 结束语

基于目前我国的电子商务安全发展还处于初步阶段,还有许多问题需要解决,所以,我们要对电子商务安全给予足够的重视,积极借鉴国外的先进技术和经验,在享受电子商务给我们带来的便利的同时,也做到可以放心交易。

参考文献:

[1]加里P·施奈德.电子商务[M].北京:机械工业出版社,2008.

[2]张爱菊.电子商务安全技术[M].北京:清华大学出版社,2006.

[3]李振汕.电子商务安全管理体系的构建[J].计算机安全,2010,17(10):65-70.

[4]王建宏,李广振,闵旭光.电子商务安全技术研究[J].中国商贸,2009,16(12):16-19.

[5]贾树良,樊鑫国.电子商务安全问题分析[J].辽宁工程技术大学学报,2009,25(3):83-85.

[6]柳艳茹.浅谈电子商务的安全问题[J].赤峰学院学报,2012,28(8):51-53.

[7]王改香.浅谈电子商务安全策略[J].电脑知识与技术,2008,4(3):559-560.

[8]李岩,宋朝.电子商务安全现状及对策研究[J].经济研究,2011,9(6):59-62.

[9]许宁宁.电子商务安全的现状与趋势[J].中国电子商务,2010,13(8):91-93.

[10]张建兵.电子商务安全问题解析[J].现代商贸工业,2009,8(21):123-126.

[11]赵全.网络安全与电子商务[M].北京:清华大学出版社,2005.

[12]谭逊,王学芳,谭翊.浅谈我国电子商务安全现状[J].科技资讯,2007,10(11):140-143.

[13]http://.cn/cj/cj-xfsh/news/2009/12-03/1997652.shtml.中国经济时报,2009,12,3.

[14]唐作莉.电子商务安全技术研究[D].贵州大学硕士研究生学位论文,2008.

[15]张庆丽.电子商务安全策略研究[D].河南大学硕士研究生学位论文,2012.

篇6

1.调查方法和对象

1.1调查对象

本次调查对象的选择采取随机选取的方式。

1.2调查方法

通过对调查问卷的填写和反馈,实现调查目的。

1.3调查时间

2014年9月1日至9月30日。

1.4调查范围

本次调查问卷的发放和回收,主要采取两种方式。一种是实地调查,在人群密集处随机发放纸质调查问卷,请调查对象现场填写和反馈。另一种是利用网络调查平台,和回收调查问卷。两种调查方式相结合,使本次调查达到了覆盖范围较广,形式多样的效果。同时以不记名方式填答,保证了答卷结果的真实性。

本次调查发放调查问卷1000份,去除无效问卷146份,共回收有效问卷854份,回收率为85.4%。调查问卷回收后,对相关数据进行详细地统计和汇总,并做出分析。

2.调查数据分析

本次调查主要包含三个内容:一是公众对个人信息及其安全的认识;二是公众对电子商务及其安全的认识;三是公众对电子商务中信息安全的态度。

2.1公众对个人信息及其安全的认识方面

在公众对个人信息安全的关注度上,“一般关注”所占比例略高于“非常关注”,两者所占比例均达到40%以上,“不关注”所占比例很小。调查情况与“非常关注”比例应高于“一般关注”的理想状态相比,存在一定差距。在获取他人个人信息的渠道方面,“各种业务的办理”所占比例最高,其次是“自愿告知”、“聊天交友”。这说明公众透露自己的个人信息大多是出于实际需要或个人意愿,“自愿告知”和“聊天交友”所占比例均高于理想状态。这说明调查对象对个人信息安全普遍有较为充分和准确的认识,对待个人信息的基本态度是正确的,但对个人信息安全的关注还没有达到应有的高度。主要表现为大部分人对个人信息安全的关注程度不够高,还有相当一部分个人信息是主动泄露的。因此,为提高公众对个人信息安全的认识,有必要借助各类媒体进行宣传教育,提高公众对个人信息的重视程度,增强保护意识,防止因主观原因造成的信息泄漏。

2.2公众对电子商务及其安全的认识方面

与实体交易相比,在对电子商务的信任程度上,调查对象表示“一般信任”的接近80%,“非常信任”和“非常不信任”的比例相当,在10%左右;在电子商务的安全性的考虑上,大部分调查对象“比较关注”,但也有相当一部分调查对象表示“一般不会考虑”。以上结果表明,公众对目前的电子商务安全状况还不是十分满意,只是基本接受。有相当一部分调查对象“一般不会考虑”电子商务的安全性说明,公众在信息技术方面普遍存在知识欠缺的情况,对电子商务安全性的认识不足,容易造成盲目信赖或跟风。在使用电子商务时会否考虑采取安全措施方面,“经常采取”的所比例最大,接近40%,其次是“一般不会采取”的接近30%,“必须采取”和“没考虑过”的分别占20%和10%左右。这说明,公众有意愿采取安全措施,抵御电子商务中存在的安全风险,但是,实际采取的比例并不高。这主要受限于公众的信息技术素养和能力不足,还有相当一部分人有意愿采取安全措施,但自己又缺乏这方面的能力,只能坐以待毙。这组数据表明在电子商务及其安全性上:一方面,无论电子商务的安全现状,还是公众对电子商务安全问题的认知,都存在很大的不足。另一方面,公众对电子商务及其安全性的认识还处于初级阶段,现在还比较幼稚,但正在不断成熟、发展,具有一定的改善趋势。

2.3对电子商务中信息安全的态度方面

针对第三个内容的调查结果显示,虽然超过70%的调查对象表面对电子商务中信息安全现状“基本满意”,但是,与此同时,认为“大部分已经泄漏,安全感明显降低”和“不是很多,还可以接受”的比例都超过了25%。这表明,电子商务中信息安全的现状不容乐观。大多数调查对象表示基本满意,并不能说明电子商务中信息安全现状真的可以满足实际需求,而是因为现状长期得不到改善,致使公众对这一问题的关注陷入麻木状态。所以,我国电子商务中的信息安全问题不容小视,个人信息的安全保障水平亟待提高,而单方面的改善是难以见效的。公众对提高电子商务信息安全水平的要求是迫切的,并且已经采取了相应的措施,但这些是远远不够的,要保障电子商务中个人信息的安全,必须采取多种措施,齐抓共管,国家、企业和个人共同努力,构建信息安全管理体系,才能全面消除安全隐患,建立一个健康安全的电子商务环境。

2.4改进建议

本次调查最后一题采取了开放式的答题模式,收集到了一部分公众对电子商务信息安全方面提出的建议。这些建议主要集中在:提高用户安全意识和能力;建立健全法律法规,完善规章制度;加强对从业机构和人员的管理和培训;提高安全保障技术水平四个方面上。通过本次调查,可以进一步总结出应对各种安全风险的有效措施,并提高措施的可行性和有效性。

2.5调查评价

为提高调查的效度[1],本次调查采用了网络调查和实际调查两种调查方式,提高了抽取样本的随机性。网络调查的对象主要是经常上网的人群,而实际调查由于调查时间、地点和方式的不同,则具有更大的随机性。

为提高调查的信度[1],本次调查抽取了的足够多的调查样本。大量的调查对象,扩大了调查的人群覆盖面;网络调查方式有效的避免了实地调查的地理局限性,而实地调查克服了网络调查真实度低的问题,二者相互弥补。

3.构建电子商务信息安全管理体系

基于问卷调查所得数据,有必要构建电子商务信息安全管理体系。信息安全管理体系是以实现全面保障电子商务中信息的安全为目标,通过完善政策法规和监督机制,配置精良设备,掌握核心技术,增加安全投入,强化培训和准入,配备精干力量,提高公众的自我保护能力等各种措施配合与协调,构建全方位高层次的保障体系,从根本上提高信息的安全管理水平。该体系可大体分为技术和管理两个方面。

3.1技术方面

3.1.1反病毒和安全扫描技术

通过病毒查杀和实时防御,可以及时清除已存在的病毒并防止新病毒植入,防止病毒对数据的破坏和窃取。安全扫描可以发现软件中存在的漏洞和“后门”程序,通过添加补丁,防止漏洞和“后门”程序被恶意利用,危及信息安全。

3.1.2防火墙和入侵检测技术

防火墙是软件和硬件的结合体,能根据安全策略对进出网络的数据行为及其流向实行控制,并保留日志,进行审计。入侵检测技术实时监控数据传输状况,并对数据访问请求进行甄别,能够及时拒绝、中断、抵御可疑的访问和传输行为。

3.1.3身份识别技术

密码作为使用最方便也最普遍的身份识别技术得到极为广泛地使用。为了加强身份识别技术的可靠性,密码常与生物技术、物理令牌等识别方式联合使用。[2]

3.1.4访问控制技术

主要用于控制用户、进程、计算机等对主体对系统资源或个人信息的访问。访问控制可以防止非法用户的入侵和合法用户的非法行为,有效防止信息被非法访问、窃取或篡改。

3.1.5数据加密技术

数据加密技术是在安全工程领域对数学知识的应用,达到对明文进行伪装处理,输出密文的作用。这样即使数据被窃取,非法入侵者得到的也只是一堆杂乱无章的无用信息。数据加密技术在使用中应以适用、高效为原则,选择功能适当、操作简便的,可以单独使用一种加密技术,也可以多种技术结合使用。

3.1.6设备及数据备份技术

设备备份为计算机及网络系统的关键设备配备冗余和备份,数据备份为重要数据提供备份,并具有恢复重要数据的功能。

3.1.7日志和审计

日志用于实时记录系统的主要运转情况,审计是在事后对日志进行分析研究。根据日志和审计报告,可以及时发现系统的异常状况,甄别可疑事件和可疑行为,并作出警报或采取必要的抵御措施。[3]

3.1.8推广使用国产软硬件

一是安全可控。国产产品是我国自主研发的成果,制造维护过程完全符合国家的相关安全标准,消除了“后门”程序、植入代码的危险。二是国产产品充分考虑我国国情,更适应我国电力供应状况及技术人员操作习惯,后期维护和保障水平高等。

3.2管理方面

3.2.1完善法律法规及相关政策

通过进一步完善立法,加强执法,提高制度的适用性和可操作性,健全监督机制,发展社会监督,才能促进信息安全工作的进步。也可借鉴他国经验,引入第三方评测机构,对收集和保有个人信息的企业的安全管理水平进行测评,为政府执法提供可靠依据,规范企业的信息保护行为。

3.2.2增加安全投入

企业在安全管理方面的支出要占到总支出的8%以上才能达到设备齐全,人员充足,制度规范的管理状态。大中型网站有必要配备专职安全工程师和隐私工程师,人员数量由网站的规模和访问流量决定。 [4]小型网站则可以将安全工作外包,由专业安全企业对网站的安全事务进行管理。

3.2.3强化培训和准入

对安全管理人才的培养,可以借鉴网络工程师及软件工程师的认证方式。同时,由于安全管理不同于其他技术工作,其对专业要求的强制性更高,标准更严,因此有必要借鉴会计从业的相关规定,采取准入制度,并打破职业资格终身制,定期对从业人员进行再教育和资格考核。

3.2.4提高自我保护能力

一方面,政府和电子商务企业,有责任和义务利用媒体等多种渠道开展宣传,使公众认识到信息安全的重要性。另一方面,要提高公众的信息技术素养和对个人信息的保护能力。一是指导公众掌握辨别不安全网站的基本方法,识别和抵御网络钓鱼、身份伪装、恶意传播病毒等不法行为;二是帮助公众掌握必要的安全保障手段,如安装杀毒软件、定期查杀病毒漏洞、维护计算机系统等,以保护信息存储和运行环境的安全。

【参考文献】

[1]Floyd J.Fowler.Improving Survey Questions:Design And Evaluation[M].USA: Sage Publications,Inc,1995:5.

篇7

一、引言

随着INTERNET技术不断进步,网络已经深入社会的各个领域,电子商务已经成为人们进行商务活动的一种模式,越来越多的人通过Internet进行商务活动。然而,随着网络规模不断扩大,信息资源结构越加复杂,人们在充分享受互联网带来极大便利的同时,如何建立一个安全便捷的电子商务应用环境、对信息提供足够的保护,已经成为商家和用户都十分关心的话题。

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。通过这一技术特征很容易知道,电子商务的安全问题从整体上看实际上包含两大问题:计算机网络安全问题和商务交易安全问题,由于交易过程中还是涉及到网络,因此,最终的问题还是网络安全问题。计算机网络安全的内容包括:计算机网络设备安全、计算机网络信息安全等。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等,达到商务活动的目的。

二、现代电子商务安全中存在的安全隐患

电子商务随着计算机网络技术的发展而诞生,其各方面的技术本身还不很完善。综合分析,在商务活动中还存在很多安全隐患,其表现形式无非如下几种类型。

1.网络系统软件自身及数据库设计中的安全问题

一方面,网络系统软件自身安全与否直接关系网络安全,网络系统软件的安全功能较少或不全,以及系统设计时的疏忽或考虑不周而留下的“破绽”,都等于给危害网络安全的因素留下许多“后门”。另一方面,信息数据是存放在数据库中的,供不同的用户来共享。数据库设计过程中本身也有它的安全性和危险性,如授权用户超出了他们的访问权限进行更改活动;非法用户绕过安全内核,窃取、篡改信息资源等。

2.传输线路的安全与质量问题

从安全的角度来说,没有绝对安全的通信线路。同时,无论采用何种传输线路,当线路的通信质量不好时,将直接影响连网效果,严重的时候甚至导致网络中断,这就会严重地危害通信数据的完整性。

3.网络管理问题

三分技术,七分管理,说明了管理有网络中的重要性,网络安全问题实质上首先是个管理问题,然后才是技术问题。一方面,用户要对各种安全设备进行合理操作,否则,再好的设备也不会安全。另一方面,网络又由各种服务器、工作站、终端等群集组成,所以整个网络天然地继承了它们各自的安全隐患。随着计算机网络应用的深入,网络覆盖面越来越大,网络上信息的安全性越来越重要,网络安全管理也将成为网络管理中的重要领域。

4.交易抵赖

这是一个纯商务活动中的安全问题,现实世界这种现象也普遍存在,例如购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。

5.其他威胁网络安全的典型因素

计算机黑客、内部人员监守自盗、部分对整体的安全威胁、程序共享造成的冲突、计算机病毒等都是威胁网络安全的重要因素。

通过上述分析,可以得知电子商务安全的任务是解决好如下一些问题:身份认证(持卡者、商家、银行);有效性;机密性;完整性;抗抵赖性。

三、电子商务安全策略分析

1.网络防范技术

(1)反病毒技术。反病毒技术包括病毒预防、病毒检测、病毒消除三种。具体实现方法是对网络服务器中的文件进行频繁地扫描和监测,传统的防病毒软件对因特网上不断出现的新型病毒,传统的反病毒软件显得苍白无力,为此,许多网络安全专家和计算机公司纷纷推出新的病毒防范产品,这些产品能够及时监视通过因特网传入计算机的数据,正确判断数据携带的病毒并将病毒杀除,有效地防止病毒从因特网感染到计算机上。

(2)防火墙技术。防火墙是上广泛应用的一种安全措施,是指设在不同网络或网络安全设备之间的一系列部件的组合。它是不同网络或网络安全域之问信息的唯一出入口,能根据网络的安全政策控制允许、拒绝、监测出人网络的信息流,且本身具有较强的抗攻击能力。从某种意义上来说,防火墙实际上代表了一个网络的访问原则,确定哪些类型的信息允许通过防火墙,哪些类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的信息进行检查,确定是否通行。

(3)加密技术。加密技术是一种主动的防御技术,其基本思想是通过对数据进行加密变换,将其转换成非法入侵者无法识别的字符来保障网络安全。目前主要存在两种加密技术;一种是对称加密,其实现算法是AES,另一种是非对称加密,算法主要是RAR。加密技术是非常重要的安全技术,可以确保信息的保密性和完整性,而且是消息摘要、数字签名等安全技术的技术基础。

(4)入侵检测技术。入侵检测技术对系统资源的非授权使用做出及时地判断、记录和报警,检测系统中违背系统安全性规则或者威胁到系统安全的活动。检测时通过对系统中用户行为或者系统行为的可疑程度进行评估,并根据评价结果来鉴别系统中行为的正常性,帮助管理员进行安全管理或对系统所受到的攻击采取相应的对策。

(5)虚拟专用网(VPN)技术。虚拟专用网技术是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对公司内部网的扩展,通过它可以帮助远程用户,公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接,并保证数据的安全传输。VPN实现的两个关系技术是隧道技术和加密技术。

2.SET协议:安全电子交易

针对电子商务目前存在的很多技术缺陷,VISA和MasterCard两大信用卡公司于1997年5月联合推出的电子交易规范SET协议。SET能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。

SET规范为在Internet上进行安全的电子商务提供了一个开放的标准,SET综合使用私用密钥加密和公用密钥加密的电子认证技术,其认证过程使用RSA和DES算法,因此,可以为电子商务提供很强的安全保护。

SET规范是目前电子商务中最重要的协议,SET得到了美国IT企业的支持,如GTE、IBM、Microsoft、Netscape、RSA、SAIC、Terisa 和VeriSign。

3.安全管理

前面电子商务安全隐患中已经提出过,网络安全问题归根结底还是属于人的问题,即管理问题,一些资料显示,网络安全中人为因素是最重要的信息安全威胁。另据统计,已识别的信息安全缺陷中有很多是由人为因素引起的。但是,人们往往关注技术方面的研究,并取得了显著的成果,而对人为因素的研究甚少。即使对信息安全中的人的因素进行研究那也只是作为一个影响因素进行简单的分类,并没有对其进行深层次的分析。事实上,无论技术发展如何完善,它也离不开人的操作还需要人来设计、制造、配置、组织、管理、维修、训练和调整等,怎样组建一批强有力的网络管理队伍显得极为重要。

四、结束语

计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。网络技术不断向前发展,网络安全的研究任务任重道远,怎样创建一个干净、良好的网络环境,为电子商务的发展提供高效的平台基础将是今后相当长一段时间内研究的课题。

参考文献:

[1]张 稼 叶毓峰:电子商务中安全问题分析[J].广东科技,2007.04.总第166期46

[2]闫海英 黄 波:网络安全现状分析及应对策略探讨[J].计算机科学,2008vol.35NO.4A321~322

篇8

随着网络技术的广泛应用,我国电子商务的安全问题也日益突出。根据“2010年上半年,计算机病毒和互联网安全报告疫情”的数据表明,2010年上半年,计算机病毒,木马的数量依然保持快速增长,新病毒不断出现,一些“老”的病毒推出了众多变种。2010年上半年计算机病毒,木马数量迅速增加,超出了近五年病毒数量的总和。在日益增多的电子商务安全问题面前,需要我们采取新措施来进行防范。

一、电子商务的安全现状

目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题,本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点:

(一)木马病毒爆炸性增长,变种数量的快速增加

据统计,仅2009年上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。

(二)网络病毒传播方式的变化

过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。

(三)网络病毒给电子商务造成的损失继续增加

调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒大量出现,如:仇英、艾妮等病毒。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。

二、电子商务的安全问题及存在原因

1.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。

2.对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。

3.对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。

4.拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。

5.对发出的信息予以否认.某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。

6.信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款I用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。

7.电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。

三、电子商务的安全需求

电子商务威胁的出现导致了对电子商务安全的需求,主要包括有效性、完整性、不可抵赖性、匿名性。

1.有效性。保证信息的有效性是开展电子商务的前提,一旦签订交易,这项交易就应得到保护以防止被篡改或伪造。

2.完整性。贸易双方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易双方信息的完整性是电子商务的基础。

3.不可抵赖性。交易一旦达成,原发送方在发送数据后就不能抵赖,接收方接到数据后也不能抵赖。

4.匿名性。电子商务系统应确保交易的匿名性,防止交易过程被跟踪,保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体。

四、电子商务安全防治措施及安全举措

防范电子商务网络犯罪是一个系统工程,不仅需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设,而且.还需要技术上不断更新和完善,为此,需要做好以下几方面的工作。

1.加强教育和宣传,提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提,从而牢同树立网上交易,安全第一的思想。主要采取以下措施:一是通过大众媒体,普及电子商务的安全知识,提高用户的认识。二是积极组织研讨会和培训课程,培养电子商务网络营销安全管理人才。

2.采用多重网络技术,保证网络信息安全。目前,常用的电子商务安全技术,主要包括:防火墙,物理隔离,VPN(虚拟专用网)。防火墙是实现内部网与外部网安全和入侵隔离的常规技术。使用防火墙,一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此,电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用VPN新技术,为使用者提了一种通过公用网络,安全地对食业网络进行远程访问,同时又能保证企业的系统安全。包括操作系统、数据库和服务器(如Web服务器、E-MAII。服务器)的安全。

3.运用密码技术,强化通信安全。应围绕数字证书应用,为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。“在涉及多个对等实体间的交互认征时,应采用基于PKI技术,借助第三方(CA)颁发的数字证书数字签名来确认彼此身份。”为了从根本上保证我国网络的安全,我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考,但不能完全照搬。政府应该鼓励和扶植一批企业加快数字安全技术的研究,以提高我国信息企业的技术和管理水平,促进我同电子商务安全建设。

4.加强技术管理,努力做到使用安全。首先是在内部严格控制企业内部人员对网络共享资源的随意使用。在内网中,除有特殊需要不要轻易开放共享目录,对有经常交换信息要求的用户,在共享时应该加密,即只有通过密码的认证才允许访问数据。二是对涉及秘密信息的用户主机,使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务,同时封闭一些不用的端口。并对服务器中的数据库进行安全备份。三是切实保证媒体安全。包括媒体数据的安全及媒体本身的安全。要防止系统信息在物理空间上的扩散。为了防止系统中的信息在物理空间上的扩散,应在物理上采取一定的防护措施,如进行一定的电磁屏蔽,减少或干扰扩散出去的空间信号。这样做,对确保企业电子商务安全将发挥重要作用。

5.健全法律,严格执法。目前我国在电子商务法律法规方面还有很多缺失,不能有效地保护公众的合法权益,给一些犯罪分子带来了可乘之机。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《电子凭证(票据)法》、《网上知识产权法》等一系列法律,使电子商务安全管理走上法制化轨道。使网络控制、信息控制、信息资源管理和防止泄密有法可依,并得到技术上的支撑。健全电子商务安全标准认证和质量检测机制,由国家主管部门组织制定有关电子商务安全条例规定,并发挥职能部门的监管作用。通过建立电子商务安全法规体系,规范和维持网络的正常运行。

参考文献:

[1]许宁宁.电子商务安全的现状与趋势[J].中国电子商务,2010,(1).

篇9

电子商务就是要在网络信息安全技术的保证下,利用开放信息互联网实现可跨区的在线商品交易、金融资本交易及其商务活动作业的全过程。电子商务这一浩瀚的全球虚拟市场创造了二十一世纪各国的经济热点。但是由于电子商务的开放性及其所基于的网络全球性、无缝连通性、共享性、动态性发展,使得电子商务的安全问题成为现今的聚焦中心,并制约着电子商务的进一步发展。构建安全电子商务交易系统将成为今后电子商务发展的关键。

一、电子商务的安全性要求

(一)电子商务活动安全性的要求

一是服务的有效性要求,电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。二是交易信息的保密性要求,电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。三是数据完整性要求,数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。四是身份认证的要求,电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。

(二)电子商务的安全要素

一是信息真实性、有效性,电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。二是信息机密性,电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。三是信息完整性,电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。四是信息可靠性、可鉴别性和不可抵赖性,可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

二、电子商务运用的安全技术

(一)网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而做出允许或拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的网络系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机,或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。

(二)通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制, SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。验证此证书是合法的服务器证书通过后利用该证书对称加密算法与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

(三)应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制,程序员认为这个缺省的许可是正确的。这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度,假的输入字符串常常是可执行的命令,特权程序可以执行指令。

(四)用户的认证管理

一是身份认证,电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。二是CA证书,要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心发行。认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。三是SSL协议,SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。

三、完善电子商务安全的配套措施

电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须完善配套措施:

一要突破关键技术受制于人的瓶颈。二要尽快对电子商务的有关细则进行立法。三要大力开发大型商务网站,发展与之相配套的物流公司。四要建立严格的内部安全机制。五要建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。六要对重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。安全实际上就是一种风险管理,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。

参考文献

篇10

一、有关电子商务的安全性要求

1.对电子商务活动安全性的要求:

(1)服务的有效性要求。电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。

(2)交易信息的保密性要求。电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。

(3)数据完整性要求。数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。

(4)身份认证的要求。电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。

2.电子商务的主要安全要素

(1)信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

(2)信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

(3)信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

(4)信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。

二、电子商务采用的主要安全技术

1.网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

2.通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[论/文/网LunWenNet/Com]

3.应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。

4.用户的认证管理

(1)身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

(2)CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。

(3)安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。

三、电子商务安全需要进一步完善的配套措施

电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:

(1)突破关键技术受制于人的瓶颈。

(2)我国应尽快对电子商务的有关细则进行立法。

(3)大力开发大型商务网站,发展与之相配套的物流公司。

(4)为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。

(5)建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。

(6)对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。[论\文\网LunWenNet\Com]

参考文献:

[1]吴洋.电子商务安全方法研究[D].天津:天津大学,2006.

[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005(6).

[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003(2).

[4]甘悦.浅议电子商务信息安全体系的构建[J].西北成人教育学报,2007(2).

[5]周明,黄元江,李建设.电子商务中的安全技术研究[J].株洲工学院学报,2005(1).

[6]张娟.电子商务网络安全技术探究[J].甘肃科技纵横,2005(4).

篇11

[关键词]互联网;电子商务;系统安全;数据安全;网络系统

一、前言

近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。

从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。

二、电子商务网站的安全控制

电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。

下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。

(一)系统安全

在电子商务中,网络安全一般包括以下两个方面:

1.信息保密的安全

交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

2.交易者身份的安全

网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。

对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。

(1)网络系统

网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:

网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。

系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。

访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。

身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。

安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。

(2)操作系统

操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。

应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。

系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。

(3)应用系统

办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。

文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。

业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。

(二)数据安全

数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。

数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。

数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。

(三)网络交易平台的安全

网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。

交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。

交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。

交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。

随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。

PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。

三、目前信息安全的研究方向

从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。

安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。

目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。

四、结束语

电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。

参考文献:

[1]佚名.解析电子商务安全[EB/OL].

[2]佚名.网络构建与维护[EB/OL].,2006-07-16.

篇12

一、引言

随着信息技术日新月异的发展,人类正在进入以网络为主的信息时代。基于Internet开展的电子商务已逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动 电子商务的发展前景十分诱人,但随之而来的是其安全问题也变得越来越突出。如何建立一个安全、便捷的电子商务应用环境,保证整个商务过程中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样安全可靠,已经成为在电子商务中备受关注的重要技术问题。

二、电子商务网络中存在的问题

1.网络技术及应用漏洞

目前电子商务应用的操作系统都存在不同程度的网络安全漏洞,如果不对该系统进行经常的升级和维护,系统一旦遭到攻击就很可能泄漏系统信息,甚至导致系统的崩溃。另外操作系统提供的无口令入口是为系统开发人员提供的便捷入口,但它也成了黑客的通道。

2.人为的因素

工作责任心不强,没有良好的工作态度,经常擅自离开工作岗位,使不法分子有机可乘,人室盗窃机密信息和破坏系统。保密观念不强或不懂保密守则,随便让无关人员进人机房重地 随便向无关人员泄漏机密信息,随便乱放打印和复印的机密信息资料、记有系统口令和系统运行状态跟踪等方面内容的工作笔记、载有重要信息的系统磁盘和磁带等,都会酿成严重后果。

3.电脑病毒问题

随着网络技术的广泛应用,通过电子邮件、压缩文件传播病毒已经成为病毒传播的主要途径 病毒种类更是呈多样化发展,其破坏性不断增强、其传染速度也大大加快。各种新型病毒新病毒直接利用网络作为自己的传播途径,还有众多病毒借助干网络传播得更快,动辄造成数百亿美元的经济损失。

三、电子商务采用的主要安全技术

1.网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙是在连接 Internet和 Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的 Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它只是整个安全策略的一个部分。

2.通讯的安全。

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制, SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构 (CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥 ( PKI ) 。验证个人证书是为了验证来访者的合法身份,而单纯的想建立 SS L链接时客户只需用户下载该站点的服务器证书 (下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法 (RS A)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.用户的认证管理。

(1) 身份认证。电子商务企业用户身份认证可以通过服务器CA证书与I C卡相结合实现。CA证书用来认证服务器的身份, I C卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用I D号和密码口令的身份确认机制。

(2) CA证书认证。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是 CA证书,它由认证授权中心 (CA中心)发行。认证中心 (CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、 签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立 SS L安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立 SS L链接时客户只需用户下载该站点的服务器证书。

(3) 安全套接层 SSL协议。安全套接层 SS L协议是网景公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SS L通过数字签名和数字证书来实行身份验证,数字证书是从认证机构 (CA, Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、 证书者的数字签名、 证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

四、结语

本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是 100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,电子商务网络支付定会越来越安全。

参考文献:

篇13

近年来,计算机网络与信息技术的迅速发展,带动了电子商务行业的推广。电子商务活动触伸到生活的各个领域,例如虚拟企业、虚拟银行、网上购物、网络营销、网络支付以及网络广告等一些新的业务正在被人们所熟悉和认同。电子商务改变了传统商务的运作模式,作为一种全新的商业应用模式,极大地提高了工作效率,同时降低了交易成本。但是,由于互联网的开放性和天然的脆弱性,网络安全问题成为制约着电子商务发展的瓶颈。所以,搭建一个安全可靠的商务平台,成为电子商务发展的关键问题。

一、电子商务面临的安全问题

电子商务活动中有大量的数据需要传输与存储,数据传输依靠互联网技术,而互联网是一个天然脆弱和不安全的网络,数据容易丢失和被截获。而数据的存储主要依靠数据库技术,数据库也是非法分子常常入侵和破坏的对象。所以网络通信安全与数据库安全,是电子商务长期面临的的主要问题。

1.数据库安全。企业在电子商务活动中产生的大量数据是他们进行不间断经营的重要支撑,产品数据资料、客户关系管理都涉及到庞大的数据群。采用流行的关系型数据库进行数据存储与管理,是电子商务企业必要的选择。但是网络黑客从未间断过对企业数据库的攻击,一旦他们窃取到企业数据库的访问权、管理权,就可以获得他们想要的数据,甚至篡改或删除这些对企业来说至关重要的数据。

2.网络通信安全。数据传输过程中容易丢失、损坏或被黑客篡改、窃取,所以首先要保证通信线路的安全可靠性,采用性能稳定的设备和较为强大的软件来保证传输稳定性。其次为了防止黑客攻击,例如木马、病毒等程序,要再传输过程中使用数据加密及数字签名等技术保障数据的安全性。

二、电子商务安全策略

1. 虚拟专用网(VPN)

由于TCP/IP协议的不安全性,对电子商务安全无有效的认证机制,真实性难有保证;缺乏保密机制,网上数据隐私性不能得到保护;不能提供对网上数据流的完整性保护等问题。因此,在电子商务中通常采用VPN技术,通过加密和验证网络流量来保护在公共网络上传输私有信息,而不会被窃取或篡改。对于用户来说,就象使用他们自己的私有网络一样。

2.加密(Encryption)技术

加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Ad1eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。

3. 数字信封技术

数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码称之为数字信封。信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,再利用对称密码解密所得到的信息,这样就保证了数据传输的真实性和完整性。

4.认证技术

CA认证中心。它为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。它是电子商务及网上银行操作中,具有权威性、可信赖性及公正性的第三方机构。如中国金融认证中心(CFCA)。

转贴于

有关的认证技术包括数字签名与数字证书。数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对数字签名进行解密,获得哈希摘要。并将收到的原始数据产生的哈希摘要与获得的哈希摘要相对照,便可确信原始信息是否被篡改,这样就保证了数据传输的不可否认性。数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 5.防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。

精选范文
学术杂志
友情链接