首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 电子商务安全策略范文

电子商务安全策略范文

前言:我们精心挑选了数篇优质电子商务安全策略文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

电子商务安全策略

第1篇

关键词:电子商务;身份认证;防火墙

中图分类号:TP3 文献标识码:A文章编号:1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。

2 电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:

2.1 信息真实性、有效性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.2 信息机密性

电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

3.3 信息完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

3.4 信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。

3 电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

所以就整个电子商务安全系统而言,安全性可以划分为四个层次,

1) 网络节点的安全

2) 通讯的安全性

3) 应用程序的安全性

4) 用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。

3.1 网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法 ,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。 应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

3.2 通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。 目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.3 应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题 。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。

3.4 用户的认证管理

1) 身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

2) CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

3) 安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

第2篇

[关键词] 电子商务 安全 对策

随着Internet和IT技术的迅猛发展,电子商务因其自身独有的特点与优势,逐渐成为进行商务活动的新模式,在人们的生活中也占据着日益重要的地位,但其安全问题也变得越来越突出。如何建立一个安全、快捷、便利的电子商务应用环境,对信息在网络上的传输提供足够的保护,已成为商家和用户都非常关心的话题。

一、电子商务的定义

电子商务(E-business)是利用当前先进的电子技术从事各种商业活动的方式,其实质是一套完整的网络商务经营及管理信息系统。更具体地说,它是利用计算机硬/软件设备和网络基础设施,通过一定协议连接起来的电子网络环境进行各种商务活动的方式。比如:网上银行、网上营销、网上客户服务、网上调查等。

二、电子商务的基本特征

1.电子商务将传统的商务流程电子化、数字化,减少了人力、物力,降低了成本,具有开放性和全球性的特点,为企业创造了更多的贸易机会。

2.电子商务重新定义了传统的流通模式,减少了中间环节,使生产者和消费者不用谋面的网上交易成为可能,从而在一定程度上改变了社会经济运行的方式、经济布局和结构。

3.电子商务一方面突破了时间和空间的限制,另一方面又提供了丰富的信息资源,为各种社会经济要素的重新组合提供了更多的可能,使得交易活动可以在任何时间、任何地点进行,从而大幅度提高了效率。

可见,电子商务的一个重要技术特征是利用网络技术和IT技术来传输和处理商业信息的。就整个系统而言,其安全性可以分为四个层次。(1)网络节点的安全性。(2)通讯的安全性。(3)应用程序的安全性。(4)用户的认证管理。

三、网络节点的安全性

1.防火墙的概念。在构建安全网络环境的过程中,防火墙作为第一道安全防线,受到越来越多用户的关注与青睐。防火墙是一个系统,主要用来执行Internet(外部网)和Intranet(内联网)之间的访问控制策略。它可为各类企业网络提供必要的访问控制,又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业资源。

2.防火墙安全策略。防火墙保护内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。设置了防火墙后,可以对网络数据的流动实现有效的管理:如允许公司员工使用电子邮件、Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门之间的互相访问。

可见,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备组合,它还是安全策略的一个重要组成部分,其安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及管理制度等。所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设置防火墙系统,而没有全面、细致的安全策略,那么防火墙就形同虚设。

3.安全操作系统。安全的操作系统至少要有以下特征:(1)最小特权原则,即每个特权用户只拥有能进行其工作的权力。(2)强制访问控制,包括保密性访问控制和完整性访问控制。(3)安全审计和审计管理。(4)安全域隔离。

其次,防火墙是基于操作系统的,如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙就不起作用了。可见,安全是一个系统工程,操作系统安全只是其中的一个层次,还需要各个环节的配合,安全操作系统应该与各种安全软、硬件结合起来(如防火墙、杀毒软件、加密产品等),才能让电子商务得到更广泛的应用,确保系统信息的安全达到最佳状态。

四、网络通信的安全性

1.数据通信的安全。电子商务系统的数据通信主要存在于:(1)客户浏览器端与电子商务WEB服务器端的通讯。(2)电子商务WEB服务器与电子商务数据库服务器的通讯。

2.通信链路的安全。在客户端浏览器和电子商务WEB服务器之间采用SSL(Secure Electronic Transaction,安全电子交易)协议建立安全链接,所需传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。单纯的建立SSL链接时,客户只需用户下载该站点的服务器证书。若验证此证书是合法的服务器证书,再利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密将要传输的明文,此时浏览器也会出现进入安全状态的提示。

五、应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性,这些工作还是不充分的,因为编程错误也可能导致对系统的破坏与攻击。

程序错误的常见形式:程序员忘记检查传送到程序的入口参数;程序员在处理字符串的内存缓冲时,忘记检查边界条件。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可。程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录,但不是显式的设置访问控制(最少许可)。若程序员认为这个缺省的许可是正确的,则这些缺点就可能被用到攻击系统的行为中,不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。

缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的,程序不检查输入字符串长度。输入假字符串常常是可执行的命令,特权程序可以执行指令。

六、用户的认证管理

1.身份认证。开展电子商务的关键核心技术是保密存储与取出。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合来实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。由于指纹具有惟一性,目前,指纹认证与网络传输便广泛的应用于银行专用网、企业营销网等各种商贸网络,使电子商务具有更现实的可操作性。

2.CA证书。CA(Certificate Authority,即“认证机构”),是证书的签发机构,它是PKI(Public Key Infrastructure,即“公开密钥体系”)的核心。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。要在网上确认交易各方的身份及保证交易的不可否认性,便需要CA证书进行验证。证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,验证个人证书是为了验证来访者的合法身份。

CA也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,应先向CA提出申请。在CA判明申请者的身份后,便为其分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪,可用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。

七、建立安全管理机制

为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,应按其职责设定其访问系统的最小权限。

按照分级管理原则,严格管理内部用户账号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户账号和密码。建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。对重要数据要及时进行备份。对数据库中存放的数据,数据库系统应根据其重要性提供不同级别的数据加密。安全管理实际上是一种风险管理,任何措施都不能保证百分之百的安全。但安全技术的采用可降低系统遭到破坏、攻击的风险,决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。随着全球经济一体化进程的加快,尤其是Internet技术、IT技术的迅猛发展及广泛应用,我们的社会也已融入到电子商务时代的气息当中,这是一个“以客户为中心”的时代,企业的市场营销及贸易往来都必须围绕这个中心来进行。只有保证电子商务各个环节、各个方面的安全性与稳定性,才能为其正常运作提供有力的保证,才能为其自身迎来更广阔的前景。

参考文献:

第3篇

关键词:电子商务安全策略信息安全认证

电子商务是在Internet开放的网络环境下,实现消费者的网上购物、企业之间的网上交易和在线电子支付的一种新型的交易方式。由于电子商务具有高效益、低成本、高效率、范围全球性等特点很快遍及全世界。电子商务已成为全球经济最具活力的增长点,它的应用和推广将给社会和经济发展带来巨大的变革和收益。然而,目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的实施还依赖于相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全是制约电子商务发展的一个关键问题。

一、电子商务的安全性需求

有效性:电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此,要对网络过障、操作错误、应用程序错误等所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

1.机密性:电子商务作为贸易的一种手段,其信息直接代表着个人、企业或者国家的商业机密。因此,能否维护好商业机密成为了电子商务全面推广应用的前提条件。电子商务系统应能够对公众网络上传输的信息进行加密处理,防止交易中信息被非法截获或读取。

2.完整性:电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、同意问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,在数据传输过程中信息丢失、信息重复或者信息传送的次序差异也会导致贸易各方信息不同。贸易各方信息的完整性将影响贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息丢失和重复,并保证信息传送次序的统一。

3.可靠性:由于网上通信双方互不见面,所以在交易前必须首先确认对方的真实身份;支付时还要确认对方帐号等信息是否真实有效。电子商务系统应提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认,对私有密钥和口令的有效保护,对非法攻击能够防范,防止假冒身份在网上进行交易。

4.法律性:电子商务系统应有效防止商业欺诈行为的发生。最新《合同法》已确认双方同意电子贸易的电子档案为有效书面合同,为产生贸易纠纷双方提供法律凭证。网上交易的各方在进行数据传输时必须携有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,以保证商业信任和行为的不可否认性,保证交易各方对已做的交易无法抵赖,为法律举证提高有效数据。

审查能力:根据机密性和完整性的要求,应对数据审查的结果进行记录。

二、电子商务面临的安全威胁

1.信息在网络的传输中被截获:攻击者可能通过互联网、公共电话网或在电磁波辐射范围内安装装置等方式,截获机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的账号、密码等。

2.传输的文件可能被篡改:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个信息或信息的某些部分;在信息中插入一些信息,让收方读不懂或接受错误的信息。

3.伪造电子邮件:虚开网站和商店,给用户发电子邮件,收定货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户等信息。

4.假冒他人身份:冒充他人身份,如冒充领导命令、调阅文件;冒充他人消费、栽赃;冒充网络控制程序,套取或修改使用权限、密钥等信息。

5.否认已经做过的交易:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差,但不承认原有的交易。

三、电子商务活动的安全保证

为了满足电子商务在安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全控制技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等。具体实现有以下几种技术。

1.加密技术是电子商务的最基本的安全措施。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。

(1)对称密钥加密:采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍,被ISO采用作为数据加密的标准。

(2)非对称密钥加密:非对称加密不同于对称加密,其密钥被分解为公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者,私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被ISO/TC的数据加密技术分委员会SC20推荐为非对称密钥数据加密标准。

在对称和非对称两类加密方法中,对称加密的突出特点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截获,而且,若和大量用户通信,难以安全管理大量的密钥,因此大范围应用存在一定问题。而非对称密钥则相反,很好地解决了对称加密中密钥数量过多难管理及费用高的不足,也无需担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。

第4篇

[关键词]电子商务,安全技术,安全对策

在电子商务迅速发展的今天,信息网络技术的应用正日益普及和广泛,应用层次正在深入。而网络所具有的开放性、自由性在增加应用自由度的同时,对安全提出了更高的要求。如何建立起一个完善的、实用的、安全的电子商务网站,已成为企事业单位信息化发展中一个急切需要讨论的问题。

一、电子商务的安全问题

电子商务的安全问题可以概括为以下几个方面:

(一)信息泄漏:在电子商务中表现出来的信息泄露主要有两种,一种是交易双方进行交易的内容被第三方所窃取:一种是交易一方提供给另一方的文件、资料等被第三方非法使用。(二)篡改:在电子商务中表现为商业信息的真实性和完整性问题。电子的信息在网络传输的过程中,可能被他人非法地修改、删除或重放.这样就使信息丢失了真实性和完整性。(三)身份识别:这涉及到电子商务中的两个问题。1.如果不进行身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。2.“不可抵赖”性。交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。(四)信息破坏:涉及到两方面内容。1.网络传输的可靠性。网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误。2.恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。这种情况主要由以下问题引起:①计算机病毒。②计算机蠕虫。这种程序将会对网络造成严重的损失,甚至会通过过多占用网络资源的方式来使网络瘫痪,加上这种程序多数会带有破坏性指令,因而破坏性更强,它已经由点的破坏向面的破坏开始发展了。③特洛伊木马。这是一种执行超出程序定义之外的程序,它将会把自己隐藏到安全的程序中,并由此传播出去。④逻辑炸弹。这是一种当运行环境满足某种特定条件时执行特殊功能的程序。

二、电子商务的安全技术

电子商务的开展在安全方面上还存在很多问题。面对电子商务中形形的安全漏洞,我们必须要采取相应的方法来保障电子商务活动的安全进行,下面就着重探讨了电子商务的安全技术。

(一)虚拟专用网络:虚拟专用网络是用于Internet电子交易的一种专用网络,它可以在两个系统之间建立安全的通道,是目前相对而言最适合进行电子商务的形式。在虚拟专用网络中交易的双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全。

(二)加密技术:加密技术是实现信息保密性的一种重要手段,目的是为了防止合法接受者之外的人获取信息系统中的机密信息。

加密包括两个元素:算法和密钥。加密技术的要点是加密算法,一个加密算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码的一种算法。加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Adleman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。通过对数据进行加密,可以使在网络上传播的信息对非法用户来说是无意义的,因此,虽然信息在网络上易被非法接收,但是由于被加密,也就保证了信息的隐秘性。

(三)数字签名技术:数字签名以数字加密技术为基础,是数字加密技术的一种应用方式。其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。对于电子商务中的业务款项如何分辨其真假,则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及确认功能是电子商务系统的一个重要安全技术。数字签名是公开密钥技术的另一类应用,它的主要方式是:信息的披露方从信息文本中生成一个128位的散列值,并且用自己的专用密钥对这个散列值进行加密.来形成披露方的数字签名:关联方首先从收到的信息文本中计算128位的散列值,接着再用披露方一同发来的公开密钥来对数字签名进行解密,如果两个散列值相同,那就可确认该数字签名是披露的。通过数字签名技术能够实现对原始信息和关联方身份的鉴别,有一定的公正及较好地防范关联方和非关联方的道德风险。

(四)认证技术:所谓认证,就是通过认证中心对数字证书进行识别。认证分为实体认证和信息认证,这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证,密码是最常用的,但由于许多用户采用了很容易被破解的密码,使得该方法经常失效。信息认证是指对信息体进行认证,以决定该信息的合法性。信息认证发生在信息接收者收到信息后,使用相关技术对信息进行认证,以确认信息的发送者是谁,信息在传递过程中是否被篡改等。身份验证是对进入电子商务信息系统网络的用户进行身份合法性的整别,主要通过所掌握的特有信息对探访者进行验证。目前,数字签名和认证是网上比较成熟的安全手段,而我国大多数企业尚处于SSL协议应用阶段,在SET协议的应用试验刚刚成功,而要完全实现SET协议安全支付,则必须有一个CA认证中心。

(五)防火墙技术:在计算机领域,防火墙是指一种逻辑装置,用来保护内部的网络不受来自外界的侵害。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络地互联环境中,尤其以接人Internet网络最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之问的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它主要用于实现网络路由的安全,这主要包括两个方面:①限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵害;②限制内部网的访问,主要是针对内部一些不健康信息及敏感信息的访问。目前防火墙的主要有网络层防火墙、应用层防火墙和双端主机防火墙等。网络层防火墙是一个屏蔽的路由器,经检查后最终决定是批准进入或拒绝请求,并将信包引导往内部的适当的接收点。这种防火墙成本较低但安全性亦相对来说亦比较差。应用层防火墙的主要构成由服务器端程序和客户端程序,它通过执行登录或对信息的认证使系统的访问与保密关系更加完善。更加设置了日志及审计方式以监控各方发送的登录和任何未经授权的活动,并将那些未授权的登录情况告诉网络管理者或安全小组。双端主机防火墙只设有两个防火墙出口,一端对互联网上的请求过滤,而另一端提供访问到某部门的局域网之安全信道。

第5篇

[关键词] 电子商务 安全技术 安全策略

一、电子商务安全概述

电子商务的载体是互联网,但互联网的共享性、开放性和匿名性却给电子商务安全问题带来了极大的隐患,使得电子商务受到威胁、攻击的可能性大大增加。

1.电子商务安全内涵

电子商务的安全主要是指用户方和提品服务方的安全,即双方信息都要保密,用户账号不能被第三方获知,提品或服务方的订货和付款信息等商业秘密也不能为竞争对手所知,并且商务活动一旦达成,相关信息未经双方协定,不可更改、不能否认。

2.电子商务的安全需求

电子商务主要依托运作的环境是当前的国际互联网和未来的国际信息基础设施。网络是从事电子商务机构安身立命的工作环境,其安全需求也表现在以下几个方面:

(1)网站的安全维护。(2)电子商务中安全支付。(3)商业秘密的安全保护。(4)电子商务中知识产权的保护。

二、电子商务中存在的安全问题

1.电子商务面临的网络系统安全问题

电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层,它提供信息传送的载体和用户接入的手段,是各种电子商务应用系统的基础,为电子商务系统提供了基本、灵活的网络服务。电子商务网络系统安全问题包括以下几个方面:(1)网络部件的不安全因素。(2)软件不安全因素。(3)工作人员的不安全因素。(4)自然环境因素。

2.电子商务面临的电子支付系统安全问题

众所周知,基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构,以及它们之间可能的资金划拨,所以客户和商家在进行网上交易时必须充分考虑其系统的安全。目前网上支付中面临的主要安全问题有以下几方面:

(1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。

(2)支付金额被更改。

(3)不能有效验证收款人的身份。

三、电子商务面临的认证系统安全问题

中国政府2002年颁布的《国民经济和社会发展第十个五年计划信息化重点专项规划》中指出:加快电子认证体系、现代支付系统和信用制度建设,大力支持发展电子商务。要加快发展电子商务,使电子商务在金融、外贸、税收、海关、农业等领域大力推广应用,其关键之一,即涉及到电子商务的安全认证问题。

1.信息泄漏

在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。如信用卡的账号和用户名被人获悉,就可能被盗用。

2.篡改

在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。假如两公司签订了一份由一公司向另一公司供应原料的合同,若赶上原料价格上涨,供货方公司篡改价格将使自己大幅受益,而采购公司将蒙受损失。

3.身份识别

在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。

4.蓄意否认事实

由于商情的千变万化,商务合同一旦签订就不能被否认,否则必然会损害一方的利益。因此,电子商务就提出了相应的安全控制要求。

(1)电子商务中面临的法律安全问题。随着国际信息化、网络化进化的不断发展,在电子商务领域利用计算机网络进行犯罪的案件与日俱增,其犯罪的花样和手段不断翻新。

(2)电子合同中的法律问题。电子商务合同的订立是在不同地点的计算机系统之间完成的。许多国家的法律要求必须有书面形式的交易单证作为证明交易有效和作为交易的证据;否则,这种合同属于无效合同。关于电子合同能否视为书面合同,并取得与书面文件同等的效力,是各国法律尚未解决的问题,与传统书面文件相比,电子文件有一定的不稳定性,一些来自外界的对计算机网络的干扰,都可能造成信息的丢失、损坏、更改。

(3)银行电子化服务的法律问题。银行是电子支付和结算的最终执行者,起着联结买卖双方的纽带作用,但对一些从事电子货币业务的银行来说,犯罪分子伪造电子货币,给银行带来了直接经济损失。

(4)电子资金转账的法律问题。电子资金转账的法律是个特殊问题,但是我国现行的《票据法》并不承认经过数字签名认证的非纸质的电子票据支付和结算方式。并且支付不可撤消,付款人或第三人不能要求撤消已经完成的电子资金转账。

(5)电子商务中的知识产权保护问题。电子商务活动中交易的客体及交易的行为经常涉及传统的知识产权领域。

(6)电子商务中的消费者权益保护问题。电子商务等新的交易方式给消费者权益保护带来各种新的维权问题。随着科技进步,新产品的大量出现,消费知识滞后的矛盾也更加突出。

四、电子商务安全问题的安全策略

1.电子商务系统的安全技术

在电子商务活动中存在着种种安全问题,但我们可以利用安全技术来为电子商务安全提供服务,从而提供更全面的安全策略和防范。

(1)网络安全技术。网络安全技术所涉及到的方面比较广,如操作系统安全、防火墙技术、虚拟专用网 VPN 技术和漏洞检测技术等。

(2)加密技术。数据加密技术,就是对信息进行重新编码,从而达到隐藏信息内容,使得非法用户无法获取信息真实内容的一种技术手段。加密技术是保证电子商务安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密钥(Secret Keys)来对敏感信息进行加密,然后把加密好的数据发送给接收者,接收者可利用同样的算法和事先商定好的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性,其过程如图所示。

(3)认证技术。认证技术是电子商务安全的主要实现技术。主要利用RSA算法建立的一个为用户的公开密钥提供担保的可信的第三方认证系统,称之为CA。认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。认证技术主要涉及身份认证和报文认证两个方面的内容。身份认证用于鉴别用户的身份。它一般又涉及到两个方面的内容:一个是识别;一个是验证。

(4)安全电子交易协议。目前有两种安全在线支付协议被广泛采用,能为电子商务提供有力的安全保障。

SSL安全套接层协议是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。SET安全电子交易是由MasterCard和Visa以及其他一些业界主流厂商联合推出的一种规范,用来保证在公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验。

2.电子商务安全中的法律法规策略

目前,电子商务法律也在逐步完善,为了电子签名能证实电子文件的合法性国家颁布了《电子签名法》。在危害计算机信息系统有害数据的防治方面的法规有《计算机病毒防治管理办法》、《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《计算机病毒防治产品评级准则》。与电子商务安全方面有关的法规还有:《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等。

参考文献:

[1]王维新:电子商务安全性的技术分析[J].西安文理学院学报,2006,9(3):118~121

[2]姜旭平:电子商务基础教程[M].机械工业出版社,2005,2(1):189~190

第6篇

论文摘 要:随着电子商务时代的到来,电子商务安全问题越来越受到关注。特别是近年来的威胁网络安全事件成出不穷,成为阻碍电子商务发展的一个大问题。对电子商务安全面临的的威胁进行研究分析,提出电子商务安全策略的总体原则及使用的主要技术。

电子商务安全策略是对企业的核心资产进行全面系统的保护,不断的更新企业系统的安全防护,找出企业系统的潜在威胁和漏洞,识别,控制,消除存在安全风险的活动。电子商务安全是相对的,不是绝对的,不能认为存在永远不被攻破的系统,当然无论是何种模式的电子商务网站都要考虑到为了系统安全所要付出的代价和消耗的成本。作为一个安全系统的使用者,必须应该综合考虑各方因素合理使用电子商务安全策略技术,作为系统的研发设计者,也必须在设计的同时考虑到成本与代价的因素。在这个网络攻防此消彼长的时代,更应该根据安全问题的不断出现来检查,评估和调整相应的安全策略,采用适合当前的技术手段,来达到提升整体安全的目的。电子商务所带来的巨大商机背后同样隐藏着日益严重的电子商务安全问题,不仅为企业机构带来了巨大的经济损失,更使社会经济的安全受到威胁。

1 电子商务面临的安全威胁

在电子商务运作的大环境中,时时刻刻面临着安全威胁,这不仅仅设计技术问题,更重要的是管理上的漏洞,而且与人们的行为模式有着密不可分的联系。电子商务面临的安全威胁可以分为以下几类:

1.1 信息内容被截取窃取

这一类的威胁发生主要由于信息传递过程中加密措施或安全级别不够,或者通过对互联网,电话网中信息流量和流向等参数的分析来窃取有用信息。

1.2 中途篡改信息

主要破坏信息的完整性,通过更改、删除、插入等手段对网络传输的信息进行中途篡改,并将篡改后的虚假信息发往接受端。

1.3 身份假冒

建立与销售者服务器名称相似的假冒服务器、冒充销售者、建立虚假订单进行交易。

1.4 交易抵赖

比如商家对卖出的商品因价格原因不承认原有交易,购买者因签订了订单却事后否认。

1.5同行业者恶意竞争

同行业者利用购买者名义进行商品交易,暗中了解买卖流程、库存状况、物流状况。

1.6 电子商务系统安全性被破坏

不法分子利用非法手段进入系统,改变用户信息、销毁订单信息、生成虚假信息等。

2 电子商务安全策略原则

电子商务安全策略是在现有情况,实现投入的成本与效率之间的平衡,减少电子商务安全所面临的威胁。据电子商务网络环境的不同,采用不同的安全技术来制定安全策略。在制定安全策略时应遵循以下总体原则:

2.1 共存原则

是指影响网络安全的问题是与整个网络的运作生命周期同时存在,所以在设计安全体系结构时应考虑与网络安全需求一致。如果不在网站设计开始阶段考虑安全对策,等网站建设好后在修改会耗费更大的人力物力。

2.2 灵活性原则

安全策略要能随着网络性能及安全威胁的变化而变化,要及时的适应系统和修改。

2.3 风险与代价相互平衡的分析原则

任何一个网络,很难达到绝对没有安全威胁。对一个网络要进行实际分析,并且对网络面临的威胁以及可能遇到的风险要进行定量与定性的综合分析,制定规范的措施,并确定本系统的安全范畴,使花费在网络安全的成本与在安全保护下的信息的价值平衡。

2.4 易使用性原则

安全策略的实施由人工完成,如果实施过程过于复杂,对于人的要求过高,对本身的安全性也是一种降低。

2.5 综合性原则

一个好的安全策略在设计时往往采用是多种方法综合应用的结果,以系统工程的观点,方法分析网络安全问题,才可能获得有效可行的措施。

2.6 多层保护原则

任何单一的安全保护措施都不是能独当一面,绝对安全的,应该建立一个多层的互补系统,那么当一层被攻破时,其它保护层仍然可以安全的保护信息。 转贴于

3 电子商务安全策略主要技术

3.1 防火墙技术

防火墙技术是一种保护本地网络,并对外部网络攻击进行抵制的重要网络安全技术之一,是提供信息安全服务,实现网络信息安全的基础设施。总体可以分为:数据包过滤型防火墙、应用级网关型防火墙、服务型防火墙等几类。防火墙具有5种基本功能:

(1)抵挡外部攻击;

(2)防止信息泄露;

(3)控制管理网络存取和访问;

(4)VPN虚拟专用网功能;

(5)自身抗攻击能力。

防火墙的安全策略有两种情形:

(1)违背允许的访问服务都是被禁止的;

(2)未被禁止的访问服务都是被允许的。

多数防火墙是在两者之间采取折中策略,在安全的情况之下提高访问效率。

3.2 加密技术

加密技术是对传输的信息以某种方法进行伪装并隐藏其内容,而达到不被第三方所获取其真实内容的一种方法。在电子商务过程中,采用加密技术将信息隐藏起来,再将隐藏的信息传输出去,这样即使信息在传输的过程中被窃取,非法截获者也无法了解信息内容,进而保证了信息在交换过程中安全性、真实性、能够有效的为安全策略提供帮助。

3.3 数字签名技术

是指在对文件进行加密的基础上,为了防止有人对传输过程中的文件进行更改破坏以及确定发信人的身份所采取的手段。在电子商务安全中占有特别重要的地位,能够解决贸易过程中的身份认证、内容完整性、不可抵赖等问题。数字签名过程:发送方首先将原文通过Hash算法生成摘要,并用发送者的私钥进行加密生成数字签名发送给接受方,接收方用发送者的公钥进行解密,得到发送方的报文摘要,最后接收方将收到的原文用Hash算法生成其摘要,与发送方的摘要进行比对。

3.4 数字证书技术

数字证书是网络用户身份信息的一系列数据,由第三方公正机构颁发,以数字证书为依据的信息加密技术可以确保网上传输信息的的保密性、完整性和交易的真实性、不可否认性,为电子商务的安全提供保障。标准的数字证书包含:版本号,签名算法,序列号,颁发者姓名,有效日期,主体公钥信息,颁发者唯一标识符,主体唯一标示符等内容。一个合理的安全策略离不开数字证书的支持。

3.5 安全协议技术

安全协议能够为交易过程中的信息传输提供强而有力的保障。目前通用的为电子商务安全策略提供的协议主要有电子商务支付安全协议、通信安全协议、邮件安全协议三类。用于电子商务的主要安全协议包括:通讯安全的SSL协议(Secure Socket Layer),信用卡安全的SET协议(Secure Electronic Transaction),商业贸易安全的超文本传输协议(S-HTTP),InternetEDI电子数据交换协议以及电子邮件安全协议S/MIME和PEM等。

4 结论

在电子商务飞速发展的过程中,电子商务安全所占的比重越发重要。研究电子商务安全策略,意在于减少由电子商务安全威胁带给人们电子商务交易上的疑虑,以推动电子商务前进的步伐。解除这种疑虑的方法,依赖着安全策略原则的制定和主要技术的不断开发与完善。

参考文献

[1]田沛. 浅谈电子商务安全发展战略[J]. 知识经济, 2010, (2).

[2]如先姑力阿布都热西提. 计算机网络安全对策的研究[J]. 科技信息(学术研究), 2008, (10).

[3]陈伟. 电子商务安全策略初探[J].才智, 2009,(11).

第7篇

1电子商务中信息安全的检验

电子商务的检验可以从以下四个方面进行比较:(1)完整性。交易的成交需要信息的完整,不能随意修改、重复发送信息。(2)保密性。电子商务中交易能够正常进行的基础就是信息一定要保密。(3)可用性。交易双方提供的信息必须为有效的可用信息。(4)可靠性。必须有一个安全的交易系统,并且保证交易双方提供信息的可靠性。只有信息安全了,电子商务才能真正的发挥它的作用

2电子商务的各种问题

2.1电子商务有可能存在损害消费者权益的虚假信息

在电子商务方面,如“天猫”和“淘宝”等就是最具代表性的网站。当今电子商务的第一人非马云莫属,他将各行各业的卖家都集中在“淘宝”上,由顾客对自己要买的产品进行对比,最后选择合适的商家进行交易,同时为了交易的方便进行,他增加了支付宝支付功能,极大地方便了消费者的购物流程。他将传统的交易方式变成了这种虚拟的电子商务。这种交易方式极大地方便了人们的经济生活,而且相比于实体店的商品,网上的更加便宜,给消费者带来了真正的实惠,但是由于消费者看不到网店的实际商品,只能通过图片或者文字来获取信息,很多黑心商家利用这点出售假冒商品,给消费者带来很大的经济损失。

2.2电子商务管理的不规范性

随着时代的发展,互联网成为人们生活中不可缺少的一部分,同时也推动了电子商务的发展,严重影响了以前的传统商业模式,造成了整个商业模式的变化,所以有越来越多的人在关注电子商务,但是对于电子商务的信息安全问题,却很少提及,国家也没有个统一标准,所以造成了交易过程中的各种不规范。同时由于我国没有在网络方面进行立法,人们在互联网上想干什么就干什么,造成的网络安全问题越来越多,严重的破坏了普通民众上网的网络环境。所以我国应该针对网络安全问题制定相关的法律,对电子商务进行宏观控制,完善电子商务的交易方式和操作模式,减少消费者的损失,维护人民的权益。

2.3信息存储安全性比较弱

我国的互联网发展起步较晚,虽然发展的比较迅速,但对与互联网的技术和水平掌握的比较少,所以容易受到攻击破坏。而对电子商务中信息的存储威胁最大的形式主要有两个,一个就是“非授权用户修改”,另一个是“查看信息”。当企业连接上互联网后,电子商务操作过程中如果一些环节出现问题,便会对企业造成很大的影响,使企业受到外部和内部的两重威胁。外部威胁指的是企业以外的人员(如黑客)等攻击了企业的网络,入侵了内部网络,在未经授权的情况下私自篡改了电子商务信息,窃取了企业和客户的信息,造成相当大的损失。内部威胁指的是企业内部的人员在没有获得授权的情况下私自修改了信息,比如最近新闻上热议的“各大银行客户的银行存款莫名其妙被转走”,经过调查,是由于内部人员私自篡改了信息,将用户储蓄的存款转移了。

3改进方法

3.1加强安全意识

无论是建立和完善相关的电子商务信息安全的法律还是加强网络基础设施的建设,或者是提高网络技术水平,都是从外部环境方面着手,只有提高用户的网络安全知识,加强用户对信息的保密意识下能从内部解决信息安全问题。外部环境的不断加强和完善使得网络环境固若金汤,使得不法分子很难入侵成功,所以他们只能转移目标,从使用的用户入手,从内部入侵,盗取个人账号,获得管理员的权限来窃取电子商务信息,给用户造成极大的损失。所以提高用户所掌握的安全知识,加强用户的保密意识也是相当重要的。

3.2提高并掌握高端技术

电子商务有利有弊,在推动社会进步,给大家带来更多方便的同时,同样的也存在着许多问题和隐患,对我国国家信息安全是个很大的考验,也增大了个人信息泄露的机会,但是不能因为有问题就不发展,那样永远不会进步,所以如何解决这些问题就是现在的重中之重。因此国家应该更加重视网络技术,增加对网络技术的支持,不断的引进国外的先进技术和设备,重点培养一些具有网络安全技术方面的人才。加强我国的网络安全建设要重点研究以下技术:(1)防火墙技术。可以阻止非法入侵,从源头删除掉一些不安全的协议领域。(2)数据加密技术。对文件、数据及口令等信息进行加密,使的这些信息不会被随便损坏。(3)身份识别技术。运用身份识别技术对双方进行严密的核实,确定所发信息是否完整。(4)防病毒技术。防止病毒进入信息安全系统,使内部安全系统遭到损坏,造成信息的泄露以及不必要的损失。而且我国电脑的系统软件的核心技术以及中央处理器等核心部件都是从国外进口的,信息的安全性没办法保证。因此我国的网络安全基础设施也是必须要加强的。只有从内部和外部两方面着手,才能从根本上解决我国电子商务信息安全方面的问题。

3.3对网络安全进行立法,提供法律依据

对网络安全以及电子商务安全进行立法,明确规定相关法律,对网络安全及电子商务安全提供法律依据,用法律来保护网络的安全。同时我国也要设立专门的行政部门对电子商务进行统计的管理和监督,行政部门和相关法律政策相结合,加强对商家的审核,严厉打击假冒伪劣产品,对商家进行严厉的批评和适当的罚款,并进行应有的法律教育,提高其遵纪守法的意识,加强职业操守,为当今社会的电子商务创造良好的环境,使电子商务能够有序的进行。对于构建社会主义和谐社会有很大的推动作用。

4结语

总而言之,随着经济和社会的不断发展和进步,互联网越来越成为人们生活中不可缺少的一部分,电子商务也必将取代传统商务模式,成为将来购物的主要形式。但是电子商务发展过程中也存在着很多问题和隐患,其中问题最严中的就是信息安全问题,通过对电子商务发展中的各种问题进行解析,并且找出相对应的解决办法,是做好电子商务信息安全的必要选择,也是做好网络安全的必要选择,同时也是做好国家信息安全的必要选择。

作者:邓志龙 单位:陕西青年职业学院

参考文献:

[1]马伟.新时期计算机电子商务的安全策略分析[J].中国商贸,2013(18).

[2]刘秀平,武守勇.浅析计算机信息安全策略的维度思考[J].无线互联科技,2013(04).

第8篇

目前,网上电子交易已经随着因特网的普及逐渐被人们所接受和应用,网络购物、网上缴费等方式极大的方便了人们的生活,越来越多的人开始利用网络来进行交易。电子商务网站的有效运作,依靠的是完全开放的互联网,而这个网络当中的任何电脑之间、网络之间都是互通的,安全和不安全的数据都可能在传递,各种风险随时对电子商务的安全构成威胁。电子商务正在规模化和全球化,企业的发展在很大程度上都依赖于它,所以,电子商务网站的安全问题必须得到有效的解决,才能保证它的正常运转。

2 电子商务网站的安全策略

电子商务依靠的是互联网,其核心和关键问题就是交易的安全性。正是由于网络本身的开放性给网上交易带来了种种危险,才要更加注重它的安全控制。电子商务网站的安全问题可以从两个方面进行探讨和分析,一是系统安全,二是数据安全,并且可以利用一些先进的技术手段加以解决。

2.1 系统安全

信息安全对于企业来说很重要,而信息安全的前提是系统安全。系统安全主要包括网络系统、操作系统和应用系统3个方面。系统安全可以采用的技术手段有网络隔离、访问控制、身份鉴别、数据加密、监控评估等技术。

2.1.1 网络系统

网络系统的安全问题主要是由于网络的开放性造成的,解决问题的关键是把网络从开放、自由的环境中分离出来,使其变成可以控制和管理的独立网络,就目前的技术发展来看,可以采用下列方法解决系统安全问题。

1)系统隔离,就是将重要的网络系统与其他系统分离,有物理隔离和逻辑隔离。按照网络安全等级的不同可以将网络合理划分为多个互不连通的网络,使不同安全级别的网络或设备不能相互访问,从而达到安全隔离。也可以采用VLAN等网络技术对业务网络或办公网络实行逻辑上的隔离,划分出不同的应用子网;2)访问控制,通过设置有效合理的访问策略,对于不同区域的网络资源实行访问控制,防止非法用户访问受保护的资源,其主要解决的问题就是网络边界的安全控制和网络内部资源的访问控制。可以按照一定的原则根据需要对信息的流向进行单向或双向控制。能够设置访问控制的网络设备有很多,比如交换机、路由器,而最重要也是最有效的则是防火墙,它通常被布置在网络的出入口处,对进出网络的数据信息进行有效的检测和过滤,同时按照访问控制列表和安全政策对信息流进行控制,允许合理有效的数据通过,将不安全和不符合要求的数据拒之网外;3)身份鉴定,对访问网络的用户进行身份识别,通常可以使用三种方式对访问者进行身份验证,一是访问者了解的安全信息,比如账号、密码、密钥等;二是访问者提供的物件,比如访问磁卡、通用IC卡、动态口令卡等;三是访问者自身的特征信息,比如声音、指纹、视网膜、笔迹等。身份鉴定的目的就是阻止非法用户访问这些被加密的数据,而加密是为了防止网络数据被窃听、泄漏、篡改和破坏;4)安全监测,利用网络设备的高级功能和技术,通过分析来访数据信息,找出未经授权的网络访问和非法行为,包括对网络系统的扫描、跟踪、预警、阻断、记录等,从而将系统遭受的攻击伤害减少到最低。除了网络设备,还可利用一些专业的网络扫描监测系统来对付黑客和非法入侵,这些系统能够主动、实时、有效的识别出非法数据和用户,并且通过网络扫描能够针对网络设备的安全漏洞进行检测和分析,包括网络服务、防火墙、路由器、邮件服务器、网站服务器等,从而识别那些可以被入侵者利用并非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告并提供改进方案,使网络管理人员能检测和管理好安全风险。

2.1.2 操作系统

操作系统,实际上就是电脑管理控制程序,是管理计算机软硬件资源的核心系统,负责设备的管理、数据的存储、信息的发送和各种系统资源的调度,它是各种应用软件的系统平台,具有通用性和易用性,操作系统的安全直接影响到应用系统和数据的安全,一般分为应用安全和系统扫描。

1)应用安全,面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份;2)系统扫描,基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。

2.1.3 应用系统

1)文件的安全存储:利用各种加密手段,结合相应的身份鉴定和密码保护机制,使存储在本地或者网络上的重要文件处于安全存储的状态,即便他人通过非法手段获取到了文件或存储设备,也难以取得文件里的内容;2)文件的安全传递:对通过网络发送的文件进行安全处理,比如加密、签名、完整性鉴别等,使被传送的文件只有指定的接收者通过相应的安全鉴别机制才能解密并阅读,避免了文件在传送或存储的过程当中被截获、篡改和破坏等;3)业务服务安全:主要面向业务管理和信息服务的安全需求。对于各种通用信息服务,如WEB信息服务、FTP服务、电子邮件服务等服务,采用相应安全软件系统进行保护,如安全邮件系统、WEB页面保护等;对于各种业务信息可以配合专业管理信息系统软件采取对信息内容的安全保护,防止外部非法侵入和内部信息泄漏。

2.2 数据安全

信息数据的安全主要包含了数据库的安全和数据本身的安全,这两个方面的安全问题都必须得有相应的安全措施,才能确保数据安全。

1)数据库安全,目前很多企业使用的数据库都是SQL Server或者ORACLE大型数据库,这些数据库系统本身具备一定的安全性,安全级别可以满足日常需求。但是由于数据库十分重要,应在此基础上再采取一些安全措施,增加相应安全组件,改良密码策略,对数据库实施分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取和加密控制。具体方法有安全数据库系统、数据库保密系统、数据库扫描系统等;2)数据安全,即存储在数据库中的数据本身的安全,相应的保护措施有安装反病毒软件和防火墙软件,建立一套可靠的数据备份与恢复系统,定期对数据进行备份,定期修改数据库密码,必要时可以对重要数据采取多层加密保护。

2.3 交易安全

网上交易安全是用户最关心的问题,只有提供稳定的安全保证,在线交易用户才会具有安全感,才会觉得交易平台可靠,电子商务网站才会具有广阔的发展空间。

1)交易安全标准,目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包、商场、认证中心的安全标准,SET的关键特征是信息的机密性、数据的可靠性、卡用户账号的鉴别、商人的鉴别,主要用于银行等金融机构。后者由NETSCAPE公司提出的针对数据的机密性、完整性、开放性和身份确认的安全协议,它可以保证数据不被窃取和破坏,此协议已经成为WEB应用安全标准;2)交易安全基础体系,交易安全的基础是现代密码学技术,主要取决去于加密方法和加密强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点。非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的;3)交易安全的实现,交易安全的实现主要是指交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的否认等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。

3 结论

企业电子商务网站的安全,需要一个完整的综合保障体系,要采用综合防范的思路,从技术、管理、法律等多方面加以认识和思考。安全实际上是一种风险管理,任何技术手段都不能够保证百分之百的安全,但是安全技术可以降低系统遭到破坏和攻击的风险,在一定程度上保障数据的安全。电子商务正处于蓬勃发展时期,只有解决了电子商务中出现的各类问题,才能是电子商务系统更加安全。

参考文献

[1]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.

第9篇

[关键词]电子商务;安全问题;策略研究

伴随着互联网的快速发展,电子商务的广阔前景吸引了全球的关注,电子商务的网络效应优势也更加突出。作为发展中国家的中国,在互联网发展方面与发达国家的差距较小,为中国实现超越式发展提供了契机。中国电子商务的发展环境不断得到改善,但电子商务的安全问题是制约我国电子商务实现跨越式发展的瓶颈问题。

一、电子商务安全问题及要求

所谓电子商务安全是指综合运用各种安全技术和设施保护电子商务中交易各方的安全,保证商务活动顺利进行。人们从面对面的交易作业变成虚拟的网上互不见面的操作,没有国界、没有时间限制,可以充分利用互联网工具和资源的同时,也可以进行攻击和破坏。

常见的电子商务安全问题包括:

1.在网络的传输过程中信息被截获

攻击者可以通过因特网、公用电话网、搭线等截获传输的机密信息,或通过对信息流量和流向、通信频度和长度参数的分析,推断出有用信息、如银行账号密码等。

2.传输的文件被恶意篡改

攻击者可以通过篡改、删除和插入三方面来破坏信息的完整性。

3.假冒他人身份

主要包括冒充他人身份,如冒充上级指令;冒充他人消费,栽赃;冒充主机欺骗合法主机及合法用户;接管合法用户,欺骗系统,占用合法用户的资源等。

4.抵赖交易信息

主要表现在收(发)信者时候否认曾经接收(发送)过某些信息;购买者不承认确定了订货单;商家违约等。

针对以上安全问题,为了保证交易各方的合法权益,电子商务安全必须满足5项基本要求,即授权合法性、不可抵赖性、保密性、身份的真实性与信息的完整性。

二、企业电子商务安全策略

要保护自己的电子商务资产,所有的组织都要有一个明确的安全策略,即明确描述对所需保护的资产、保护的原因、谁负责保护、哪些行为可接受、哪些行为不可接收的书面描述。安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,该策略不是一成不变的,公司的安全负责人员必须定期修改安全策略。

虽然现实中没有绝对的安全,但企业可以构造一道屏障来阻止绝大多数的威胁和侵害。制定全面的安全策略必须包含对安全问题的多方面考虑因素。安全策略一般包括以下内容:

认证:谁想访问企业的电子商务网站?

访问控制:允许谁登录电子商务网站并访问它?

保密:谁有权利查看特定的信息?

数据完整性:允许谁修改数据,不允许谁修改数据?

审计跟踪:在何时由何人导致了何事?

三、完善的企业电子商务安全体系策略综合应用

企业的电子商务安全实际上关注的是内容按照从客户机到电子商务服务器的交易处理链进行组织,因此这条链条上必须保护的资产包括客户机、从通信信道上传输的信息、服务器。

1.客户机的安全

客户机应该不受载入软件和数据的安全威胁,尤其是注意以动态网页形式从网上传来的活动内容所带来的安全威胁。客户机面临的另一种威胁是伪装成合法网站的服务器。用户和客户机受骗向非法网站提供敏感信息的案例很多。

在客户机的安全方面最需关注的是网页窃听器,网页上会有某些广告主(从第三方服务器)发出的图片,但是图片小得肉眼看不见。当网络访问者载入此页面时,网页窃听器也从第三方网站发来,在访问者的计算机里放置一个小程序,以跟踪和偷窥客户机的上网行为等内容。

2.通信信道的安全

互联网发展到今天,其不安全状态与最初相比没有太大改观。在互联网上传递信息,从起始节点到目标节点之间的路径是随机选择的,每次所用的路径都可以不同。由于用户根本无法控制传输路径,也不知道信息包经过的节点,所以某个中间节点都可能会读取信息、加以篡改或伪造信息。在互联网上传递信息都会受到对安全、完整和亟需的侵犯。主要解决方法是使用电子商务安全中的加密技术,包括各种加密算法、数字签名和安全协议等。

3.服务器的安全

对于企图破坏或非法获取信息的人来说,企业的服务器有很多弱点可被利用。其中一个入口是WWW服务器及其软件,其他入口包括任何有数据的后台程序,如数据库和数据库服务器。电子商务系统以数据库存储用户数据,并可从WWW服务器所连的数据库中搜索产品信息。数据库中除了产品信息外,还可能保存有价值的信息或隐私信息,一旦被更改或泄露则会给公司带来无法弥补的损失。数据库的安全是通过权限实施的,如果有人得到用户的认证信息,就能伪造成合法的数据库用户来下载保密的信息。现在大多数大型数据库都是用基于用户名和口令的安全措施,一旦用户获准访问数据库,就可以查看数据库中的相关内容。其后果是十分严重的。

总之,我国目前的电子商务安全形势不容乐观,随着电子商务的发展,将会有更多的问题出现。我国企业应重视自身的安全问题,同时国家方面也会加大研发电子商务安全技术,健全电子商务安全体系,不断完善电子商务安全法律法规,构建有中国特色的电子商务安全体系,为推动我国电子商务整体发展加足马力,使中国真正进入安全的电子商务全新时代。

参考文献:

[1]沈昌祥,左晓栋.《信息安全》.浙江大学出版社.2007年10月

[2]肖德琴,周权.《电子商务安全》.高等教育出版社.2009年9月第1版

第10篇

[关键词] 数字签名数字水印离散余弦变换多媒体论证

随着因特网的迅速发展和普及,多媒体信息得到了空前广泛的交流与应用,给人们的生产和生活带来了许多便利。但是,多媒体信息的安全问题也随之而来,比如盗用别人的电子产品并在网上传播;在电子商务中伪造或篡改票据;对数字图像等多媒体信息进行修改、替换以达到损害别人的目的等。因此,对多媒体信息的有效论证是保证信息安全的重要手段。

电子交易的可实施性是电子商务要解决的最主要和最基本的问题。电子签名可以实现两个重要目标:排除电子商务的障碍;通过帮助建立参与者在网上从事商业活动所需要的信任和可预见性,实现并推动电子商务的适当的公共政策目标。

电子签名目前具备三个主要功能:数据来源认证:这可以用于认证信息来自于可疑的发送者;信息的完整性:有助于信息的接收者确定,在发送过程中,没有被有意或者随意地更改;不可否认性:发送者不能被否认信息的发送。

目前,存在几个方法可以有效完成上述功能。然而,基于公共公共密钥的密码系统的数字签名技术是目前被认为最普通、最可靠的技术。

数字签名是一种对多媒体信息进行论证的有效手段,它是由信息发送者对要传送的信息进行某种处理的,任何人都无法知道的,用以论证信息的来源并核实信息是否发生了变化的一段字符串。数字签名的基础是密码学。

数字水印技术近年来逐渐成为知识产权保护的主要手段,它是信息隐藏的一个重要分支,是通过在原始资料中嵌入一些有特殊意义的信息,如文字,序列号,公司标志,声音等,用以识别多媒体信息的作者,版权所有者、发行者,合法使用人对数字产品的拥有权等,并携带有版权保护信息和论证信息。

信息隐藏技术与传统密码学有本质的区别,传统密码学是将明文加密成密文,使信息不可理解,是隐藏了信息的内容;而信息隐藏技术着重隐藏了信息的存在。数字水印技术和数字签名各有优势和不足。数字签名容易受到攻击,而数字水印的安全度不高。如果将数字水印和数字签名有机结合起来,以之为基础构成一种新的水印方案,其安全性、可性度、论证精度都将会大大地提高,这无疑将是多媒体技术研究发展的一个很有前途的方向。

一、结合数字签名与数字水印的方案

把数字签名作为水印隐藏在图像中,数字签名方法用DSA(Date Signature Algorithm),数字水印方法用DCT(discrete cosine transform即离散余弦变换)。DSA签名是基于离散对数问题的数字签名标准,虽说它仅提供数字签名,不提供数据加密功能,但它具有算法简便实用,易实现等优点。而考虑用DCT是由于离散余弦变换是实变换,它具有良好的能量压缩能力,而且可以利用人的视觉系统(HVS)在DCT域内的特性。

在应用DSA之前先对其做一个简要说明:

如果要对一个消息x进行签名,可选取一个随机值k,且p, q,а和β公开,α保密(其中p是512比特的素数,q是一个整除p-1的160比特的素数,а是模p的q次单位根。α作为私钥,β作为公钥)。定义k={(p, q ,а, α, β):β=aα(modp)},对于Κ和一个秘密随机数k,1≤k≤q-1,对信息x的签名结果如下:

sigK(x,k)=(γ,δ)(1)

γ和δ即是对信息x的签名。

γ=(аkmodp)modq(2)

δ=(x+αγ)k-1modq(3)

签名是否为真通过下式来验证,e1=xδ-1modq(4)

e2=γδ-1modq(5)

verK(x,γ,δ)真(ae1βe2modp)modq=γ(6)

举例说明如下:

如p=83,q=41,а=2,β=4。另给出α=2(可以由信息发送者的身份信息构造而成),取k=20,应用上面的方法,对一个信息x (可以是一幅图像作品的版权序列号等,如取为39)进行签名得签名信息为:sigK(x,k)=(37,20), 将之代入(6)式,可以验证签名为真。

将签名的一些信息写入一个64×64的二值图像中,将之作为水印图像嵌入到一个名为Peppersr的512×512标准真彩图像中。具体方法如下:

(1)将数字签名的一些已知参数p,q,а,β及对信息x的签名(γ,δ)写入到一个64×64的二值黑白图像中,私钥α及随机数k可以由信息发送者身份识别的信息构成,信息x可以是一幅版权图像的序列编号构成。

(2)读取原始图像和黑白水印图像到二维数组I与J。

(3)将原始图像I分割为互不覆盖的图像块blockL(x,y),1≤x,y≤8,L=1,2…,M*M/64,对blockL(x,y)进行DCT变换,得到dct-blockL(u,v)。

(4)取黑白水印图像中的一个元素J(p,q)嵌入到原始公开图像块的DCT的低频系数中。

(5)对嵌入了水印信息后的图像块dct-blockL(u’,v’)进行反DCT变换,得到blockL(x’,y’)。

(6)合并图像块,得到嵌入了黑白水印后的图像。

水印提取算法与水印嵌入算法类似,不再赘述。

接收方收到含水印的图像后,从中提取水印得到签名信息,用发信方给的私钥α和秘密数k验证签名的真实性,从而可辨别作品的真伪(假设原始图像Peppers为一版权作品)。

二、实验结果

下图为水印的嵌入与提取图,程序的实验环境为MATLAB6.1。

从上图可得知:嵌入了水印后载体图像跟原始图像基本上无明显差异,即该水印图像的透明性良好,且在嵌入水印后的图像未受攻击的前提下,从中提取出的水印图像非常清晰。信息接收者应用我的水印提取算法可方便地得到签名信息,然后再用我给他的密钥可以验证此真彩图的真伪。

第11篇

关键词:电子商务物流信息安全数据加密

当今世界网络,通信和信息技术飞速发展,Internet在全球迅速普及,使得商务空间发展到全球的规模,促进企业组织改革自己的思维观念、组织结构、战略方针和运行方式来适应全球性的发展变化。电子商务就是适应以全球为市场而出现和发展起来的一种新的商贸模式,通过网络技术快速而有效地进行各种商务行为,即在商务运作的整个过程中实现交易无纸化、直接化。电子商务可以使商家与供应商,在全球市场上销售产品;也可以让用户足不出户在全球范围内选择最佳商品,享受全过程的电子服务。

一、物流在电子商务流程中的作用

电子商务对象是整个交易过程,任何一笔交易都由信息流、商流、资金流和物流等四个基本部分组成。开展电子商务的最终目的是为了解决信息流和资金流处理上的延迟,从而提高对物流过程管理的现代化水平,进一步提高现代化物流速度。物流做为网上电子交易的最后一个过程,执行结果的好坏将对电子交易的成败起着十分重要的作用,是实现电子商务的重要环节和基本保证。电子商务必须有现代化的物流技术的支持,才能体现出其所具有的无可比拟的先进性和优越性,在最大限度上使交易双方得到便利,获得效益。

二、电子商务流程中物流的实现

在电子商务中,信息流、商流、资金流的处理可以通过计算机和网络通信设备实现。对于有形的商品和服务来说,物流仍然要由物理的方式进行传输;对于无形的商品及服务如各种电子出版物、信息咨询服务以及有价信息软件等,可以直接通过网络传输的方式进行电子化配送。电子商务环境下的物流,通过机械化和自动化工具的应用和准确、及时的物流信息对物流过程的监控,使物流的速度加快、准确率提高,能有效地减少库存,缩短生产周期。

三、电子商务中物流信息安全问题

物流正在向信息化、自动化、网络化和智能化的方向发展,越来越依赖于网络传输信息的安全性能。由于Internet具有开放性和匿名性,其安全问题变得越来越突出。物流信息在网络传输过程中,经常会遭到黑客的拦截、窃取、篡改、盗用、监听等恶意破坏,给商户带来重大损失。以各种非法手段企图入侵计算机网络的黑客,其恶意攻击构成电子商务系统中网络安全的最大威胁,已经成为物流信息安全的最大隐患。黑客攻击经常使用的手段有:

1、获取口令

有三种方法:一是精心伪造一个登录页面,并嵌入到相关网页上,当商户键入登录信息(用户名和密码等)后,将这些信息传送到黑客的主机,然后关闭页面给出“系统故障”等提示,要求商户重新登录,此后才出现真正的登录页面。二是通过网络监听得到商户口令,监听者往往能够获得其所在网段的所有用户账号和口令,对LAN威胁巨大。三是知道商户账号后利用一些专门软件强行破解商户口令。

2、邮件炸弹

用伪造的IP地址和电子邮件地址向商户信箱发送无数封内容相同的恶意邮件,挤满邮箱,把正常邮件冲掉。同时占用大量网络资源,导致网路阻塞,甚至使电子邮件服务器瘫痪。3、特洛伊木马

在商户的电脑中隐藏一个会在系统启动时运行的程序,采用服务器/客户机的运行方式,在上网时控制商户电脑,窃取口令、浏览商户的驱动器、修改商户文件和登录注册表等。

4、诱敌深入

黑客编写“合法”程序,上传到FTP站点或提供给个人主页诱导客户。当客户下载该软件时,黑客的软件一并进入客户的计算机上,跟踪客户的操作,记录客户输入的每一个口令,发送到黑客指定的E-mail中。

5、寻找漏洞

寻找攻击目标的系统安全漏洞或安全弱点,以便获取攻击目标系统的非法访问权。

四、物流信息安全防护策略合法商户进行网上查询、交易双方业务洽谈、买方下订单并得到卖方确认、商品配送、售后服务、技术支持等在线操作时对商务数据的安全需求比较高,同时希望私有信息(口令、账户数据等)保密。采用身份认证和数据加密技术能够保护商户私人信息及商务数据在公共网络上传输时不被窃听、篡改、顶替及非法使用。

1、身份验证

采用数字证书身份认证加上口令认证的双因子身份认证技术。每个企业用户应该申请一张数字证书,上网进行账户查询时,网上银行系统首先验证该用户数字证书是否合法,然后将查询请求和口令一起发送给业务前置机,对口令再次进行认证。当服务器获得用户证书后,还要检索该证书是否在废止证书列表之中。对于个人用户,可以采用对口令加密的方式进行身份验证,不需要申请证书,比较方便。

2、数据加密

物流信息在网络中传输时,通常不是以明文方式而是以密文的方式进行通信传输。因为以明文传输的信息数据,一旦被他人截获会轻而易举地被读懂、窃取盗用及篡改,很难保证物流配送活动的机密性、可靠性和安全性。下面利用C语言编程实现替换加密方法。

Caesar(恺撒)密码是一种最古老的技术,将明文中每个字母替换为字母表中其后面固定数目位置的字母。如要传输的明文是“Iamateacher!”,经过加密,密钥为5,对方接收到的密文是“Nfrfyjfhmjw!”,对第三方来说,这是毫无意义的一串字符,避免了泄密。合法接收方进行解密,又会得到“Iamateacher!”字符串。加密算法代码如下:#include"string.h"

main()

{inti,ld,newasc;

charmingwen[20],miwen[20],c;

strcpy(mingwen,"Iamateacher!");/*明文*/

ld=strlen(mingwen);

for(i=0;i{c=mingwen[i];

if(c>=''''A''''&&c<=''''Z'''')

{newasc=c+5;/*密钥为5*/

if(newasc>''''Z'''')newasc=newasc-26;

miwen[i]=newasc;}

elseif(c>=''''a''''&&c<=''''z'''')

{newasc=c+5;

if(newasc>''''z'''')newasc=newasc-26;

miwen[i]=newasc;}

else

miwen[i]=c;

}

for(i=0;i}

数据加密后传输,一定程度上保证了信息的安全性,密钥的保密是很关键的。否则,网络攻击者掌握加密、解密算法,又得到密钥,对合法商户会造成致命的损失。因此加强对密钥的管理,要贯穿于密钥的整个生存期:密钥的生成、验证、传递、保管、使用和销毁。

电子商务作为网络时代的一种全新的交易模式,相对于传统商务是一场革命。电子商务的优势之一就是能大大简化业务流程,降低企业运作成本。而电子商务企业成本优势的建立和保持必须以可靠和高效的物流运作作为保证。所以,加大力度防护物流信息的安全,大力发展现代化物流,电子商务才能得到更好的发展。

参考文献:

[1]曹淑艳.电子商务应用基础[M].北京:清华大学出版社,2005.9.

第12篇

1.1数据存储安全隐患

企业数据存储的安全保护是电子商务中的重要环节,高度整合的大容量储存空间使数据存在一定的安全隐患,其安全性能主要包括数据的灾难恢复、相互隔离和存储位置。用户并不清楚企业数据的存储位置,而“云计算”环境下电子商务的安全隐患主要包括:数据存储位置的确定、数据传输的有限隔离、系统故障后的数据修复等。

1.2数据传输安全隐患

企业以云计算模式为基础,通过云计算服务商处理网络传递过来的数据资料。一般来说,企业的大量私密数据都存储于云计算中的企业数据中心,而这些数据管理需具备以下几个功能:一是保证数据查询的便利性,这要求云计算服务满足企业对数据的随时访问要求;二是保证数据传输的安全性,云计算服务商需保证企业数据在传输过程中的安全性,并在接收数据后进行良好的存储,避免企业数据的泄露。

1.3客户终端安全隐患

云计算服务的客户端主要为浏览器,许多企业的数据传输工作都通过浏览器完成的。现阶段的浏览器大多存在漏洞,在数据管理人员防护意识和实用技术较弱的情况下,浏览器容易受到木马病毒的侵袭,导致漏洞的出现。软件一旦出现漏洞,用户终端就存在被攻击的危险,对电子商务应用中的云计算安全造成影响。

2基于云计算的安全问题应对策略

2.1云服务商的应对策略

为满足电子商务信息对信息安全的防护要求,云服务商需加强对数据的安全存储、访问控制、加密传输和数据隔离手段,通过端对端的隐私安全和数据保护以保证用户信息的完整性、可用性和保密性。云电商可按照电子商务企业的相关要求,使用Multi-ten-ancy、虚拟化和物理隔离等方式对数据进行隔离。此外,云电商还可采用以身份认证为基础的权限控制方式,通过用户的权限认证、证书查询和身份监控等方式控制数据访问。

2.2电子商务企业的应对策略

2.2.1合理选择云计算提供商电子商务企业在选择云计算提供商时,需确保提供商具有良好的服务口碑和丰富的技术经验,企业需明确自身定位和预计目标,并以此为基础进行选择。一般而言,小型电子商务企业主要通过云计算实现文件的共享,而大型电子商务企业更侧重于文件数据的备份处理。虽然不同企业对云计算具有不同的需求,但灵活性、可用性和安全性是云计算技术所必须的特点。

2.2.2数据加密处理

电子商务企业在进行数据传输前统一做数据加密处理,这样即便被窃取,他人也无法正常查看数据,从而保证数据传输的安全性。存储在云端的加密数据安全性能较高,不论设备在什么情况下,云计算都能有效的保护数据。

2.2.3实时监控数据

通过整合云计算和云监控平台,为应用、系统和网络提供相应的监控服务,主要体现在安全性、可用性和用户体验方面。云监控可在服务器出现故障时发送报警短信和邮件给网站管理人员,保证网站维护的及时性,最大化的降低故障维修时间。此外,云监控还可协助故障的判断和追踪网站的速度,监控系统在电子商务企业中的运用不但加强了数据管理的安全性,还可避免重要数据的丢失。

3结语

第13篇

关键词:电子商务 安全问题 安全策略

中图分类号:G642 文献标识码:A 文章编号:1672-8882(2012)10-047-01

1.引言

电子商务作为一种全新的业务和服务方式为全球客户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本,这种商务活动模式正在被全世界的人们所关注和青睐。但是,电子商务的安全性也制约了它的发展,安全问题已经成为电子商务推进中的最大障碍。

2.电子商务的安全问题

电子商务系统从一定意义上来讲就是一种计算机信息系统,信息系统安全主要是网络的信息安全,从这个角度来阐述电子商务系统的安全问题的根源,则主要包含以下几个方面物理安全、方案设计的缺陷、系统的安全漏洞和人的因素等几个方面。

2.1物理安全问题

物理安全问题主要包括物理设备本身的问题、设备的位置安全、限制物理访问、物理环境安全和地域因素等。物理设备的安全威胁包括温度、湿度、灰尘、供电系统对系统运行可靠性的影响,由于电磁辐射造成信息泄露,自然灾害如地震、闪电、风暴等对系统的破坏。设备的位置极为重要,所有的基础网络设施都应该放置在严格限制来访人员的地方,以降低出现未经授权访问的可能性。如果物理设备摆放不当,受到攻击者对物理设备的故意破坏,其他的安全措施都没有用。还要严格限制对接线柜和关键网络基础设施所在地的物理访问,除非经过授权或因工作需要而必须访问之外,禁止对这些区域的访问。地域因素,互联网往往跨越城际、国际,地理位置错综复杂,通信线路质量难以保证,会给上传信息造成损坏、丢失,也给“搭线窃听”的黑客以可乘之机,增加更多的安全隐患。

2.2方案设计的缺陷

在实际中,网络结构比较复杂,会包含星型、总线和环型等各种拓扑结构,结构的复杂给网络系统管理、拓扑设计带来很多问题。为了实现异构网络间信息的通信,就必须要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性的要求。有时特定的环境往往会有特定的安全需求,所以不存在可以通用的解决方案,需要制定不同的方案。如果设计者的安全理论与实践水平不够的话,设计出来的方案经常是存在漏洞的,这是安全威胁的根源之一。

2.3系统的安全漏洞

软件系统规模不断增大,系统中的安全漏洞不可避免的存在,任何一个软件都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞。主要包括操作系统类的安全漏洞、网络系统类安全漏洞和应用系统类安全漏洞。

2.4人的因素

人是信息活动的主体,人的因素其实是网络安全的最主要因素体现在以下三个方面:一、人的无意失误,操作人员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享都会给网络安全带来威胁。二、人为的恶意攻击,就是黑客攻击,是计算机网络面临的最大威胁。这类攻击主要分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。三、管理上的因素,网络系统的严格管理是企业、机构及用户免受攻击的重要措施,很多企业、机构及用户的网站或系统都疏于安全方面的管理。管理的缺陷可能会出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄露,为一些不法分子制造了可乘之机。

3.电商务安全的策略

电子商务安全,首先想到的是技术保障措施,仅从技术角度安全保障还远远不够。电子商务的安全需要一个完整的综合保障体系,采用综合防范的思路,从技术、管理、法律等方面去认识,根据我国的实际和国外的经验,采取适合我国的安全保障办法和措施。

3.1信息技术措施

信息技术措施主要涉及物理安全策略、访问控制策略、信息加密技术、数字签名技术以及防火墙等等。

3.1.1物理安全策略

保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误和各种计算机犯罪行为导致的破坏。

3.1.2访问控制策略

访问控制策略隶属于系统安全策略,他迫使在计算机系统和网络中自动的执行授权,被分成指令性访问控制策略和选择性访问控制策略两类。指令性访问控制策略是由安全区域权力机构强制实施的任何用户不能回避它。选择性访问控制策略为一些特殊的用户提供了对资源的访问权这些用户可以利用此权限控制对资源进行访问。

3.1.3信息加密技术

信息加密技术是电子商务安全技术中一个重要的组成部分。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路—链路加密、节点加密、端—端加密、ATM网络加密和卫星通信加密五种方式。应该根据信息系统安全策略来制定保密策略,选择合适的加密方式。

3.1.4数字签名技术

数字签名技术可以防止他人对传输的文件进行破坏以及确定发信人的身份。RSA签名方法和EIGamal数字签名方法是两种基本的数字签名方法,许多数字签名方法都基于这两种算法。RSA是可逆的公开秘钥加密系统,在数字签名过程中运用了消息的验证模式。EIGamal是一种非确定性的双钥体制,它对同一明文消息的签名会因随机参数选择的不同而不同。

3.1.5防火墙技术

防火墙是指隔离在本地网络与外界之间的一道或一组执行策略的防御系统。防火墙可以隔离不同的网络,限制安全问题的扩散,可以很方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。

3.2信息安全管理制度

建立完善的安全管理制度,进一步保证电子商务的安全。信息安全管理制度主要包括人员管理制度,保密制度,跟踪、审计、稽核制度,应急措施以及其他一些措施等。

3.2.1人员管理制度

电子商务活动中的主要参与者是人,尤其是网络管理员这样的人员,需要具备高尚的职业道德,才能保证管理有效。在人员管理时应注意以下几个方面:一要严格选拔,对网络工作者的选拔应不仅考核他们的技术,更要考察他们的责任心、道德感和纪律性。二要落实工作责任制,网络工作者尤其是超级管理员,掌握着很多重要的资料,他们必须严格遵守企业的安全制度,不能随意将工作内容向不相关的人泄露。三要贯彻电子商务安全运作基本原则,为便于管理,应遵循多人负责、任期有限、最小权限的原则。

3.2.2保密制度

从事电子商务工作的企业,内部会涉及许多保密信息,每类信息安全级别不同,要制定明确的保密制度,规定访问级别,与相关人员签订保密协议,保证保密信息不会外泄。

3.2.3跟踪、审计、稽核制度

跟踪制度是以系统自动生成日志文件的形式来记录系统运行的全过程。通过日志文件可以对系统进行监督、维护分析和故障排除,对于安全案件的侦破提供事实依据。

审计制度是规定网络审计员应经常对系统的日志文件检查、审核,及时发现异常状况,监控和捕捉各种安全事件,并对系统日志进行保存、维护和管理。

稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助稽核业务,应用软件调阅、查询、审核、判断辖区内电子商务参与单位业务经营活动的合理性、安全性,堵塞漏洞,保证电子商务交易安全,发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。

3.2.4应急措施

应急措施是指计算机灾难事件发生时,利用应急计划、辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复正常运行。灾难恢复包括许多工作,一方面是硬件恢复,使计算机系统重新运转起来;另一面是数据的恢复。数据的恢复更为重要,难度也更大。在启动电子商务业务之初,就必须制定交易安全计划和应急方案,以防万一。一旦发生意外,有备无患,可最大限度地减少损失,尽快恢复系统的正常工作,保证交易的正常运行。

3.2.4其他一些措施

在电子商务安全问题中,病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度,排除病毒的干扰。其次,还要经常进行系统维护,系统维护主要包括硬件的日常管理与维护和软件的日常管理与维护。企业里的硬件应建立系统设备档案,便于以后对设备的更新和管理。对于软件的管理和维护工作主要是版本控制,及时更新添补漏洞,降低出现意外的可能。

3.3法律政策与法律保障

电子商务的安全发展必须依靠法律的保障,通过法律等条文的形式来保护电子商务信息的安全,惩罚网络犯罪违法行为,建立一个良好的电子商务法制环境来约束人们的行为。

目前电子商务相关法律主要涉及计算机犯罪立法、计算机安全法规、隐私保护、网络知识产权保护、电子合同相关法规等方面,初步满足了电子商务保密性、完整性、认证性、可控性和不可否认性的安全需求。随着信息技术的发展,电子商务安全不可能一劳永逸,必须用发展的眼光来看待,法制建设也应该进一步完善。

电子商务的安全问题是一个涉及范围极广的社会问题,网上交易安全性若不能得到有效的保障,就必然会影响到电子商务的顺利发展。因此,要使电子商务能够健康、快速、蓬勃的发展,就必须用全面的电子商务安全解决方案提供交易的信任保障,希望越来越多的企业和个人加入到关心电子商务的行列中来,一起为开创崭新的商务时代出力献策。

参考文献:

[1]祁明.电子商务安全与保密 [M].高等教育出版社.

第14篇

[关键词] 电子商务 防火墙 商务安全

网络节点安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等,主要靠防火墙实现。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。

一、网络节点的安全

1.防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。

2.防火墙安全策略

防火墙是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

3.安全操作系统

防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。

二、商务安全

Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。电子商务的安全交易主要保证以下四个方面:

1.信息保密性

交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。

2.交易者身份的确定性

网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。

3.不可否认性

由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。

4.不可修改性

交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。

三、商务安全的实现

1.通信和链路安全

通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于:

(1)客户浏览器端与电子商务WEB服务器端的通讯;

(2)电子商务WEB服务器与电子商务数据库服务器的通讯;

(3)银行内部网与业务网之间的数据通讯。

其中(3)不在本系统的安全策略范围内考虑。

此外,在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。

2.应用程序的安全

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。

3.用户的认证管理

(1)身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

(2)CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

第15篇

关键词:电子商务 数据加密 认证

随着计算机网络技术的飞速发展,电子商务开始蓬勃发展起来,但由于Internet本身具有的开放性、灵活性、病毒性、共享性等特点,也为信息安全带来了巨大威胁。所以,电子商务的安全问题是事关能否正常开展电子商务的首要问题。目前。涉及电子商务安全的参与者大致有四种主体:政府G、企业B、消费者C和企业雇员E。电子商务是一个全新的高速发展的虚拟市场,B2B/B2C/C2C等都是电子商务应用的一种表现形式,它不仅是消费者对消费者,如网上交流、网上房屋交易、网上跳蚤市场交易等;还涉及到政府采购、政府及其职能部门与企业之间的业务,如政策法规、税收、审计、国有资产管理等业务。无论哪一个主体都涉及到相关的安全问题。

一、电子商务安全问题

(一)信息系统破坏

在电子商务中,表现为商业信息在网络上传输出现错误或失败。如网络设备、网络软件及其它各种技术因素使网络传输出现故障。另外,计算机病毒泛滥、黑客频繁攻击、计算机技术经济犯罪等也对商业信息造成破坏,或被篡改、盗用或删除,损害了电子商务主体的利益。

(二)信息系统泄露

在电子商务中,表现为商业机密的泄露。主要包括两个方面:交易双方进行交易的内容被第三方窃取:交易一方提供给另一方使用的文件被第三方非法使用。

(三)身份识别

在电子商务中,交易双方需确立身份,防止假冒和抵赖。如果不进行身份识别,第三方就有可能假冒交易~方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。进行身份识别后,交易双方就可防止相互猜疑。另外。进行身份识别还具有“不可抵赖性”,即交易双方对自己的行为应负有一定的责任,信息发送者与接受者都不能对此予以否认。

二、电子商务安全结构

电子商务安全结构主要表现在5个层面上。

电子商务应用层:有B to C、B to B、B to G等交易模式。

安全服务层:涉及保密性、真实性、完整性、抗否认性、可用性等问题。

安全机制层:应用信息加密、数字签名、数字证书、Ipsec、PKI等技术。

逻辑实体层:有电子钱包、交易服务器、支付网关、认证服务器等实体。

基础设施层:有Internet、Intranet、Extranet、IP-VPN、CA等设施。

三、电子商务安全技术

电子商务是基于网络的商务模式,安全技术经过多年的发展,现在已经有很多种比较成熟的技术。如网络入侵检测技术、防火墙技术、数字签名及身份认证技术、链路加密技术等等。

(一)网络入侵检测(IDS)技术

为了保障网络安全,各种网络入侵检测和防御技术应运而生,随着网络的发展,FBI/CSI的统计数字表明入侵和攻击的模式发生了变化。在2003年,70%的攻击主要来自于外部网络,另30%的攻击来自于内部,从而促使网络安全领域对网络入侵检测技术进行研究,并提出了IDS。由干硬件发展的飞速发展,使得IDS对网络通讯可以进行实时检测和实时报等,形成目前的IDS模式。

(二)防火墙技术

防火墙是非常有效的网络安全模型。它防止来自internet的危险传播到内部网络,它常常被安置在受保护的内部网络连接到internet的点上,将内部网络与inter-net隔离开。所有来自internet的传输信息或从内部网络发出的传输信息都要穿过防火墙,因此防火墙可以分析这些传输信息。通过检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机系统进行蓄意破坏,以确保它们符合节点设定的安全策略。

扩展阅读
推荐期刊
精品推荐