购物车(0) 期刊中心 科普订阅 SCI杂志 范文中心 投稿指导
在线咨询7X16小时在线
公务员期刊网 精选范文 电子商务信息安全范文

电子商务信息安全精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的电子商务信息安全主题范文,仅供参考,欢迎阅读并收藏。

电子商务信息安全

第1篇:电子商务信息安全范文

关键词:电子商务信息安全安全技术

伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。

一、电子商务的信息安全问题

电子商务信息安全问题主要有:

1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。

二、信息安全要求

电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:

1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。

三、信息安全技术

1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。

防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。

3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。

4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。

四、结语

信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。

参考文献:

[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006

第2篇:电子商务信息安全范文

[关键词]电子商务;PKI;公钥密码系统

前言

电子商务(E-Commerce)是在Internet开放的网络环境下,基于浏览器服务器的应用方式,实现消费者的网上购物商户之间的网上交易和在线电子支付的商业运营模式最近几年,电子商务以其便利快捷的特点迅速发展起来,但是安全问题一直是阻碍其发展的关键因素虽然PKI的研究和应用为互联网络安全提供了必要的基础设施,但是电子商务信息的机密性和完整性仍然是迫切需要解决的问题,本文针对这一问题展开了深入研究并提出了解决方法

1PKI的定义和功能

PKI——公钥基础设施,是构建网络应用的安全保障,专为开放型大型互联网的应用环境而设计PKI是对公钥所表示的信任关系进行管理的一种机制,它为Internet用户和应用程序提供公钥加密和数字签名服务,目的是为了管理密钥和证书,保证网上数字信息传输的机密性真实性完整性和不可否认性,以使用户能够可靠地使用非对称密钥加密技术来增强自己的安全水平PKI的功能主要包括:公钥加密证书证书确认证书撤销

2公钥密码系统

由于PKI广泛应用于电子商务,故文章重点放在讨论RSA公钥密码系统上RSA的安全性是基于数论和计算复杂性理论中的下述论断:求两个大素数的乘积在计算上是容易的,但若分解两个大素数的积而求出它的因子则在计算上是困难的,它属于NPI类

2.1RSA系统

RSA使用的一个密钥对是由两个大素数经过运算产生的结果:其中一个是公钥,为众多实体所知;另外一个是私钥,为了确保其保密性和完整性,必须严格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密钥对中的一个密钥加密的消息只能用另外一个解密,这也就体现了RSA系统的非对称性RSA具有加密和数字签名功能RSA产生公钥/私钥对加解密的过程如下:

2.1.1产生一个公钥/私钥对

(1)选取两个大素数p和q,为了获得最大程度的安全性,两个数的长度最好相同两个素数p和q必须保密

(2)计算p与q的乘积:n=p*q

(3)再由p和q计算另一个数z=(p-1)*(q-1)

(4)随机选取加密密钥e,使e和z互素

(5)用欧几里得扩展算法计算解密密钥d,以满足e*d=1mod(z)

(6)由此而得到的两组数(n,e)和(n,d)分别被称为公钥和私钥

2.1.2加密/解密过程

RSA的加密方法是一个实体用另外一个实体的公钥完成加密过程,这就允许多个实体发送一个实体加密过的消息而不用事先交换秘密钥或者私钥,并且由于加密是用公钥执行的,所以解密只能用其对应的私钥来完成,因此只有目标接受者才能解密并读取原始消息

在实际操作中,RSA采用一种分组加密算法,加密消息m时,首先将它分成比n小的数据分组(采用二进制数,选取小于n的2的最大次幂),加密后的密文c,将由相同长度的分组ci组成加密公式简化为:

ci=mie(modn)

即对于明文m,用公钥(n,e)加密可得到密文c:

c=memodn,其中m={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)

解密消息时,取每一个加密后的分组ci并计算:mi=cid(modn),便能恢复出明文即对于密文c,用接收者的私钥(n,d)解密可得到明文m:

m=cdmodnm={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)

2.1.3数字签名

RSA的数字签名是加密的相反方式,即由一个实体用它的私钥将明文加密而生成的这种加密允许一个实体向多个实体发送消息,并且事先不需交换秘密钥或加密私钥,接收者用发送者的公钥就可以解密

RSA的数字签名过程如下:

s=mdmodn,其中m是消息,s是数字签名的结果,d和n是消息发送者的私钥

消息的解密过程如下:

m=semodn,其中e和n是发送者的公钥

2.1.4散列(Hash)函数

MD5与SHA1都属于Hash函数标准算法中两大重要算法,就是把一个任意长度的信息经过复杂的运算变成一个固定长度的数值或者信息串,主要用于证明原文的完整性和准确性,是为电子文件加密的重要工具一般来说,对于给出的一个文件要算它的Hash码很容易,但要从Hash码找出相应的文件算法却很难Hash函数最根本的特点是这种变换具有单向性,一旦数据被转换,就无法再以确定的方法获得其原始值,从而无法控制变换得到的结果,达到防止信息被篡改的目的由于Hash函数的这种不可逆特性,使其非常适合被用来确定原文的完整性,从而被广泛用于数字签名

2.2对称密码系统

对称密码系统的基本特点是解密算法就是加密算法的逆运算,加秘密钥就是解秘密钥它通常用来加密带有大量数据的报文和问卷通信的信息,因为这两种通信可实现高速加密算法在对称密码系统中发送者和接收者之间的密钥必须安全传送,而双方实体通信所用的秘密钥也必须妥善保管

3应用模型

利用公钥加密系统可以解决电子商务中信息的机密性和完整性的要求,下面是具体的应用模型在本例中,Alice与Bob两个实体共享同一个信任点,即它们使用同一CA签发的数字证书因此,它们无需评价信任链去决定是否信任其他CA

3.1准备工作

(1)Alice与Bob各自生成一个公钥/私钥对;

(2)Alice与Bob向RA(机构)提供各自的公钥名称和描述信息;

(3)RA审核它们的身份并向CA提交证书申请;

(4)CA格式化Alice和Bob的公钥及其他信息,为Alice和Bob分别生成公钥证书,然后用自己的私钥对证书进行数字签名;

(5)上述过程的结果是,Alice与Bob分别拥有各自的一个公钥/私钥对和公钥证书;

(6)Alice与Bob各自生成一个对称秘密钥

现在,Alice和Bob拥有各自的一个公钥/私钥对,由共同信任的第三方颁发的数字证书以及一个对称密钥

3.2处理过程

假设现在Alice欲发送消息给Bob,并且要求确保数据的完整性,即消息内容不能发生变动;同时Alice和Bob都希望确保信息的机密性,即不容许除双方之外的其他实体能够查看该消息完成这样要求的处理过程如下:其中步骤1~5说明Alice加密消息过程;步骤6~10说明Bob解密消息的过程了消息的完整性,而没有确保其机密性

(3)由于Alice和Bob之间想保持消息的机密性,所以Alice用它的对称秘密钥加密被签名的消息和散列值这一对称秘密钥只有Alice和Bob共享而不被其他实体所用注意,在本例中,我们使用了一个对称秘密钥,这是因为对于加密较长消息诸如订购信息来说,利用对称加密比公钥加密更为有效

(4)Alice必须向Bob提供它用来给消息加密的对称秘密钥,以使得Bob能够用其解密被Alice加密过的消息Alice用Bob的公钥将自己的对称秘密钥签名(加密),这里我们假设Alice事先已经获得Bob的公钥,这样就形成了一个数字信笺,并且只有Bob才能将其打开(解密),因为只有Bob能够访问用来打开该数字信笺的私钥注意,一个公钥/私钥对中,用其中一个密钥加密的信息只有用另外一个密钥才能解密这就为Alice向Bob传输对称秘密钥提供了机密性

(5)Alice发送给Bob的信息包括它用对称秘密钥加密的原始消息和散列值,以及用Bob公钥加密的包含Alice的对称秘密钥的数字信笺图1描述了Alice使用数字签名向Bob发送消息(步骤1~5)

(6)Bob用它的私钥打开(解密)来自于Alice的数字信笺完成这一过程将使Bob获得Alice以前用来加密消息和散列值的对称秘密钥

(7)Bob现在可以打开(解密)用Alice的对称秘密钥加密的消息和散列值解密后Bob得到了用Alice的私钥签名的消息和散列值

(8)Bob用Alice的公钥解密签名的消息和散列值注意,一个公钥/私钥对中,用其中一个密钥加密的信息只有用另外一个密钥才能解密

(9)为了证实消息没有经过任何改动,Bob将原始消息采用与Alice最初使用的完全一致的Hash函数进行转化

(10)最后,Bob将得出的散列值与它从所收消息中解密出来的散列值对比,若二者相同,则证明了消息的完整性图2描述了Bob解密和对比散列值的过程(步骤6~10)

3.3实现方法

采用Java语言实现系统,Java语言本身提供了一些基本的安全方面的函数,我们可以在此基础上实现更为复杂和有效的应用系统系统中主要的类实现如下:

(1)DataEncryption类该类主要实现明文向密文的转换,依据RSA算法的规则实现非对称加密,其中密钥长度为128位每次可加密数据的最大长度为512字节,因此对于较长数据的加密需要划分适当大小的数据块

(2)DataHash类该类完成对所要加密消息产生对应的散列值,对于不同的消息,散列值是不相同的可以借助Java中提供的Hash函数来实现

(3)DataDecryption类该类主要实现密文向明文的转换,依据依据RSA算法的规则,利用加密方的公钥对密文进行解密,并将解密后的明文按序排好

4结束语

文章以PKI理论为基础,利用公钥密码系统确保了电子商务过程中所传输消息的完整性,使用对称加密系统实现对较长消息的加密,并保证了消息的机密性文章的理论研究和实现方法,对于保障电子商务活动中消息的完整性和机密性具有重要的指导意义

主要参考文献

[1]周学广,刘艺.信息安全学[M].北京:机械工业出版社,2004.

第3篇:电子商务信息安全范文

【 关键词 】 电子商务;信息;安全;管理

Electronic Business Information Security Situation and Information Security Management Countermeasures

Wang Jing

(JiLinHua Zhongyou Construction Engineering Co., LTD Jilin 132021 )

【 Abstract 】 with the height of the information and network in China, the electronic commerce the strange term began to get people's attention. It will appear to the life of people brought great convenience, but there are a number of people have questioned the electronic commerce attitude, so the electronic commerce safety have to take seriously. This paper combines the electronic business information security situation and information security management countermeasures were discussed.

【 Keywords 】 electronic commerce; information; security; management

1 现阶段电子商务发展的情况

随着我国进入了信息时代,网络不断得到普及,因此网络业也出现了不少的问题,比如网络传输光纤的阻断,严重影响着信息的流畅;电脑黑客的入侵,电脑病毒恶意攻击网站等,无时无刻不在威胁着电子商务的正常运行。如何从根本上解决问题,这需要长期大量的进行防范。电子商务的网络化主要是企业通过网络与商家进行交易,如果在交易中网络的安全出现了疏漏,使得病毒以及黑客得以入侵,由此所造成的损失是巨大的。电子商务在网络上的运行还不够规范,对于网上的税收、合同以及保险等方面都存在着不规范的现象,在加之法律在网络上的不健全,这些都制约着电子商务在网络的发展。

因特网是在虚拟空间运行的,看似并不需要现实的空间。但随着网络的不断壮大,要想有着更好的发展,就必须建立起强大的通讯设施作为基础,通讯设施也是电子商务安全的基础。在我国网络的现阶段,网络管理信息内容、网络技术、通讯速度、资费水平、安全的保障条件等方面都无法跟上高速发展的电子商务步伐。银行作为电子商务中商家与企业的纽带,必须具备网络结算、支付的功能。但电子商务的快速发展对银行的电子结算与支付提出了更为严格的要求,它不光要求银行有上网支付和结算的功能,还要保证网络交易的安全性、用户的密码以及个人信息的保密。要想建立完备的电子商务网络设施,就要建立全国性的数据通信网络,对宽带的传输速度要满易时的通信要求,这是实现电子商务信息化的必要条件。

2 电子商务在网络交易中常出现的隐患

2.1 安全防范意识不强

我国信息技术正在飞速的发展,但电子商务才刚刚得以发展,有很多电子商务平台的规模不是很大,自认为对市场的作用不大,根本引起不了一些病毒或黑客的恶意攻击,很多商家正是存在着这种安全意识不强的原因,使得平台和网站频频受到恶意的攻击,严重的影响着交易的正常运行,严重的还会泄漏个人的信息。还有盲目的使用各种安全产品,认为安装了这些软件就不会出现安全的隐患,这就是对安全技术缺少了解的表现。

2.2 安全产品的鉴定

上面就提到了一些交易平台滥用安全产品的现象。随着人们对网络安全的不断重视,互联网一些相关的安全产品也越来越火爆。尽管这些安全产品能够对交易平台起到一定的保护作用,但这并不是说明安装了这些安全产品就可以放心使用,不会出现安全的隐患,这种想法是错的。计算机安全产品在计算机的安全中只能起到辅助的作用,并不能对计算机的安全起到主导的作用,更何况安全产品自身的安全性还有待鉴定,一旦安全产品出现了问题,轻则可能会失去保护计算机的功能,重则有可能对互联网自身带来安全隐患。

2.3 安全技术方面的不足

我国网络虽然得到了迅猛的发展,但距离发达国家的水平还有很大的差距,计算机安全技术的研究也并不算长,许多技术还是照国外借鉴的,因此优秀的网络系统和技术全面的安全专家是我国所缺少的。这样一来,我国电子商务的平台以及网站的安全就得不到保障。

第4篇:电子商务信息安全范文

关键词: 信息安全; 电子商务;安全技术

随着Internet 的日益普及, 越来越多的应用必须通过网络来完成, 电子商务因其便捷高效也得到迅速发展。尽管电子商务的发展势头非常惊人的,但它在全球贸易额中只占极小的一部分, 主要的障碍就是如何保证数据的安全和身份确认, 也就是涉及到信息保障技术等方面的内容,这对电子商务的安全提出了严峻挑战。为保障电子商务的顺利发展,建立人们对电子商务的信心,必须首先解决安全问题。包括电子商务系统的硬件安全,软件安全和电子商务安全立法等,但主要指信息安全。

1 信息安全内容

1.1 信息的保密性

保密性是指信息在存储或传输过程中不被他人窃取或泄漏。电子商务建立在一个开放的网络环境基础之上,维护商业机密是电子商务全面推广应用的重要保障。

1.2 信息的完整性

完整性是指信息在传输过程中没有被歪曲! 丢失或重复。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。

1.3 信息的有效性

有效性是指信息接收方得到的是经原发送方确认的信息,发送方不可抵赖。贸易数据在确定的时刻! 确定的地点是有效的。电子商务以电子形式取代了纸张,如何保证这种电子贸易信息的有效性是开展电子商务的前提。

1.4 信息的可靠性

如何确定要进行交易的贸易方正是所期望的贸易方,是保证电子商务顺利进行的关键。在无纸化的贸易方式下,通过手写签名和加盖印章进行贸易方的鉴别已不可能,因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

2 影响网络信息安全的因素

2.1 技术因素

虽然我国电脑业近年来有一定的发展, 但所有的核心部件完全受制于人。在软件方面, 美国微软公司的Windows 操作系统和办公软件在我国已占90%的市场份额。离开了微软的操作系统,绝大多数国产软件将会失去操作平台。因此在这种核心技术严重依赖国外的情况下, 如果国外商家在硬件和软件中隐藏。特洛伊木马, 一旦需要时被激活,其后果不堪设想。况且, 网络软件设计时不可能完美无缺, 总会出现一些缺陷和漏洞,这些漏洞和缺陷正是黑客进行攻击的首选目标。

2.2 计算机病毒

计算机病毒是专门用来破坏计算机正常工作, 具有高级技巧的程序, 它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展,网络空间的广泛运用, 病毒的种类急剧增加.目前全世界的计算机活体病毒达1.4 万多种, 平均每隔20 分钟产生一个新病毒, 其传播途径不仅经过软盘、硬盘传播, 还可以通过网络的电子邮件和下载软件中传播。病毒通过网络传播比以往通过软硬盘传播方式具有速度更快、影响更广、损失更大等特点。

2.3 电脑黑客

黑客指利用不正当的手段窃取计算机网络系统的口令和密码, 从而非法进入计算机网络的人。他们篡改用户数据, 搜索和盗窃私人文件, 甚至破坏整个系统的信息, 导致网络瘫痪。目前, 世界上有20 多万个黑客网站, 其攻击方法达几千种之多, 已超过现有的计算机病毒种类。每当一种新的攻击手段产生, 便能在一周内传遍世界, 对计算机网络造成各种破坏。

2.4 管理因素

用户安全意识淡薄, 管理不善是当前存在的一个严重的问题。目前我国安全管理方面存在的问题主要有: 一是缺乏强有力的权威管理机构, 由于我国网络安全立法滞后, 安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施。二是缺乏安全审计,安全审计是把与安全相关的事件记录到安全日志中,我国现有的网络系统大多数缺少安全审计, 安全日志形同虚设。三是安全意识淡薄。人们对信息安全认识不够, 过分依赖信息安全产品, 缺乏细致的内部网络管理机制, 一些用户警惕性不高, 操作麻痹, 甚至把自己账号随意给他人。

3 常见的网络安全技术

3.1 防火墙技术

网络防火墙技术是一种用来加强网络之间访问控制和防止外部网络用户以非法手段进入内部网络、访问内部网络资源! 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包, 按照一定的安全策略来实施检查, 决定网络之间通信的权限, 并监视网络的运行状态。

3.2 反病毒软件

反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。首先, 出现了病毒防火墙。该技术为用户提供了一个实时监防止病毒发作的工具, 它对用户访问的每一个文件进行病毒检测, 确认无毒后才会让系统接管进行下一步的工作。其次, 反病毒软件提出了在线升级的方式。第三, 完成了统一的防病毒管理。第四, 嵌入式查毒技术的形成, 它将杀毒引擎直接嵌挂到IE 浏览器和流行办公软件Office2000 和OfficeXP 组件当中, 使其与可能发生病毒侵扰的应用程序有机地结合为一体, 在占用系统资源最小的情况下查杀病毒。

3.3 密码技术

为了实现信息的安全, 可采用密码技术对信息进行加解密处理。密码技术包括加密和解密两个方面, 两者互相依存、密不可分。加密是指采用数学方法对原始信息进行加工, 使得加密后在网络上公开传输的内容对于非法接收者只是毫无意义的字符, 对于合法的接收者, 因其掌握正确的密钥, 可以通过解密得到原始内容。密码系统至少包含以下几个部分: 明文, 密文, 密码技术, 密钥。

3.4 入侵检测技术

随着网络安全风险系数的不断提高, 作为对防火墙及其有益的补充, IDS( 入侵检测系统) 能够帮助网络系统快速发现攻击的发生, 它扩展了系统管理员的安全管理能力包括安全审计、监视、进攻识别和响应, 提高了信息安全基础结构的完整性。

入侵检测系统是一种对网络活动进行实时监测的专用系统, 该系统处于防火墙之后, 可以和防火墙及路由器配合工作, 用来检查一个LAN 网段上的所有通信,记录和禁止网络活动, 可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析, 通过集中控制台来管理、检测。

3.5 VPN 技术

即虚拟专用网络, 利用隧道技术和加解密等技术将多个内部网络通过公共网络进行远程连接起来, 是通过网络数据的封包和加密传输建立安全传输通道的技术。该技术可以使用户跨越公共网络, 采用统一规划的内部网络地址彼此访问。按服务类型VPN 可分为: 远程访问虚拟网( 又称为拨号VPN) 、企业内部虚拟网和企业扩展虚拟网。目前VPN 主要采用以下四项技术来保证安全。

( 1) 隧道技术。类似于点对点连接技术, 在公用网建立一条数据通道( 遂道) , 让数据包通过这条遂道传输。

( 2) 加解密技术。通过一定的算法和密钥对数据进行加密和解密。

( 3) 密钥管理技术。利用ISAKMP /OAKLEY 等管理技术安全地在公用数据网上传递密钥而不被窃取。

参考文献

[1] 王云峰. 信息安全技术及策略[J]. 广东广播电视大学学报,2006, (1):101~104.

[2] 刘明珍.电子商务中的信息安全技术[J].湖南人文科技学院学报, 2006, (6):89~93.

[3] 吕金刚.计算机网络信息安全技术分析[J].中国新通信, 2006,(15):21~25.

第5篇:电子商务信息安全范文

[关键词]电子商务;网络;信息安全

[中图分类号]TP393 [文献标识码]A [文章编号]1005-6432(2009)02-0103-02

1 引言

随着计算机网络与通信技术的迅猛发展,电子商务作为一种新型的商务模式,在全球范围内正以惊人的速度向前发展。电脑网络的建立与普及以及由此所产生的网络的国际化、社会化、开放化、个人化已经在很大程度上改变了人类原始的商务活动。

2 电子商务的信息安全

2.1 电子商务信息安全的主要内容

在目前的条件下,电子商务系统的安全问题除了包含计算机系统本身存在的安全隐患外,还包含了电子商务中数据的安全隐患和交易的安全隐患。主要有以下几个方面,一是商务数据的机密性与完整性,二是商务对象的认证性,网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性。

2.2目前电子商务安全解决方案

电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术等。

首先是从网络安全技术来说,网络安全是保证电子商务安全最基本的技术,通常采用的主要有防火墙技术、VPN技术、反病毒技术等。

其次是数据加密技术。目前,经常被用到的加密技术主要有对称加密技术和非对称加密技术两种。

再次是认证技术。仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全的又一重要技术手段。

最后是安全协议技术。电子商务安全,除了取决于已经提到的各种安全控制技术之外,还需要一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。

以上这些结合起来保证了电子商务交易过程和数据的安全。

3 第二代互联网络

3.1第二代计算机互联网络的发展情况

20世纪90年代,第二代互联网的研究在美国开始起步,目前,它的研究已经扩大到整个世界。代表网络是由美国大学发起的用来进行科学研究的Internet2。其主要任务是要研究和开发高级的网络与应用技术,换言之,就是加速推动下一代网络的产生,在推动网络技术本身的发展的同时推动它的应用。

3.9第二代计算机互联网络的优点

第二代计算机互联网络的优点简而言之就是更大、更快、更安全、更及时、更方便。

(1)第二代互联网将有更大的发展空间。基于IPV6协议的地址分配与现在的由32位2进制位表达的IP地址相比,可以使我们获得比现在的地址空间不知道要大多少倍的地址空间。

(2)速度更快。第二代计算机互联网络比我们现在的网络速度要快一千倍一万倍,也只有在这样的快速度下,才能够支持下一代互联网的应用。

(3)更安全。第二代计算机互联网络可进行网络对象识别、身份认证和访问授权,具有数据加密和完整性,实现一个可信任的网络。将从IP协议上,从根上,从路由器上去彻底解决安全的问题。

(4)传输与控制更及时。第二代互联网络不仅可以用来传输数据,更多的是传输电话、电视信号以及其他各种不同的信号。提供更好的实时控制,使得各种不同的信号都能够保质保量地在互联网上传送。

(5)使用更方便。第二代互联网络的网络终端不再局限于固定用户、固定的计算机,还可以是我们现在使用的移动电子设备。

第6篇:电子商务信息安全范文

【关键词】电子商务 信息安全问题 提升策略

与传统的商贸形式相比,电子商务更为灵活、高效,因而受到社会人群的普遍喜爱。然而,网络中的信息安全问题对电子商务影响极大,如果无法实现对商务信息的有效保持和安全防护,将导致电子商务的开展基础遭受破坏。所以,应该提高信息安全的应对和防护水平,为电子商务的开展提供必要的信息防护。

1 当前电子商务对信息的安全要求

1.1 保密性

与常规的贸易形式相比,电子商务的所有过程均在开发的网络上进行,如果保护不当,极易造成商业机密的泄漏,给贸易双方造成极大的损失。因此,保密性是电子商务对信息安全的最为基本的要求,是电子商务的开展前提。

1.2 完整性

由于电子商务无法实现实际的面对面交流,因而商务模式和流程更加简练,提高商务活动的效率。但是,电子商务仍然属于贸易,其核心的商业信息必须齐备,这是由商业活动的基本属性决定的。

1.3 可靠性

可靠性是贸易的基础属性,必须具有唯一性的证物作为鉴别依据。传统的贸易中,双方通过签字、印章等方式进行身份的鉴别、约定的确认等工作,实现贸易的可靠性。而电子商务领域,传统的可靠性实现手段都将无法实现,只能借助数字手段进行企业、个人的标定。

1.4 有效性

所谓信息的有效性是指商务活动双方认可的事项、达成的协议应该以特定的电子形式存储下来,避免信息更改或单方违约抵赖的情况出现,这是电子商务的信息安全应该重点关注的内容。如果无法保证信息的有效性,商务活动的基础将遭受质疑,电子商务活动也将无从开展。除了人为因素以外,有效性还应考虑网络故障、系统或软件出错等问题产生的影响。

2 当前电子商务各环节的信息安全隐患分析

2.1 电子商务信息存储安全隐患

信息存储是指电子商务的相关数据的静态存放,其安全隐患受到软硬件及人为因素的影响,根据隐患来源的不同分为内部隐患和外部隐患。具体表现如下:

2.1.1 内部隐患

内部隐患是来自贸易双方自身的行为,主要为双方工作人员的对商务基础信息的处理,如删减双方的协议内容,变更信息的基础参数等,都会对信息的存储安全造成威胁。

2.1.2 外部隐患

外部隐患是指来自企业外部的行为影响,是来自商务活动外界的影响,诸如黑客等的网络入侵等,将会导致信息的失窃、内容的变动等,对正常的电子商务活动影响极大。

2.1.3 硬件隐患

除了上述的信息安全以外,信息存储的硬件设施如果发生损毁或遭受破坏,也将导致信息受损,造成信息的无法读取。

2.2 子商务信息在传输过程中的安全隐患

当前,电子商务的信息传输是借助网络实现的,包含商务活动的资金、物流等内容,一旦发生传输安全问题,将造成信息的泄漏或双方的沟通不畅,影响实体货物、资金的正常交接,给教育双方造成极大的经济损失。

2.3 电子商务交易双方的信息安全隐患

2.3.1 卖方面临的信息安全威胁

该方面,卖方面临的主要威胁有两方面:一是其他商户冒用企业名义从事电子商务活动或变更卖方现有的商务信息,导致卖方的商务形象受损或活动中断;二是网络黑客通过入侵商务系统或卖方电脑终端进行商务信息的窃取或商务资源的侵占,威胁卖方的信息安全。

2.3.2 买方面临的信息安全威胁

与卖方相比,买方遭受的信息安全威胁更为严重,其主要的表现有:一是商务信息被窃取,遭遇付账诈骗;二是信息被泄露给类似产品企业,导致垃圾信息和广告充斥买方联系平台,遭受信息骚扰;三是网络遭受入侵,导致信息被窃取或篡改,导致商品交接出现问题。四是硬件设施发生故障造成信息损坏。

3 电子商务信息安全的保障措施

当前,电子商务安全体系的层次结构如表1。

下面对其中主要的安全保障措施进行详细论述。

3.1 数据加密策略

所谓数据加密是指借助特殊的算法实现网络加密,被广泛应用到数据传输、存储和身份鉴定等方面,该策略的实现是对信息的主动加密保护,是人为的密码设置,能够避免信息失窃或泄漏导致的商务损失的出现。

3.2 防火墙技术

防火墙技术属于网络服务层的内容,是借助特定的软硬件实现对网络访问的有效控制,能够起到过滤访问者,阻止来源不明的数据或高风险数据的目的,起到较好的安全防护效果。应用于电子商务的信息防护工作中,能够提高信息的安全性,有效抵抗来自网络的黑客侵入和计算机病毒等威胁。

3.3 数字证书与安全协议

3.3.1 数字证书

数字证书的应用能够实现数字签名和加密的功能,实现用户身份的网络标定,由权威机构颁发,能够保证数字证书的真实性和有效性,是当前网络身份识别的基础。

3.3.2 SSL协议

SSL协议主要用于提高应用程序之间的数据的安全系数,能够保证任何应用SSL的客户和服务器之间的安全传输。

3.3.3 SET协议

SET是用于internet上的以信用卡为基础的电子支付系统协议,能够提供对消费者、商户等参与方的认证。该协议的应用能够大幅提高信息的安全性,成为网络信息交易的基础性安全标准。

4 结束语

总体而言,基于电子商务开展的信息安全要求,应该针对其各环节存在的安全隐患开展针对性的信息安全提升工作,借助先进的网络技术实现信息的有效保护,提高电子商务的安全性。

参考文献

[1]张鑫水.电子商务背景下计算机网络安全问题研究[J].山东工业技术, 2016(21):165-165.

[2]梁硕.电子商务的安全问题及对策研究[J].科技信息:科学・教研,2007(08):66-66.

[3]王如海.内部网系统的网络信息安全管理[J].计算机安全,2007(07):69-71.

[4]杜明凯.电子商务系统安全问题及对策分析[J].品牌月刊,2015(01).

作者单位

第7篇:电子商务信息安全范文

关键词:电商环境;通信安全;网络安全

Abstract: With the popularity of the Internet, e-commerce to become an important industry in the era of information revolution, through a combination of Internet technology and solid business model, e-commerce in the free exchange of people have become more sophisticated. With the upgrading of IT communication technology, network operations security issues are gradually emerging in the people's eyes, but also increasingly attracted the attention of professionals.

Keywords: electrical business environment; communications security; network security

中图分类号:TN91文献标识码: A 文章编号:

1 网络安全与通信安全:随着中国经济的高速发展,网络应用在人民生活中的利用越来越广泛,这为电子商务的发展奠定了前提条件,近几年,电子商务在网络经济下飞速发展,电子商务的安全环境也逐渐恶化,并引起了专业人士的强烈关注。如果电子商务的网络通信安全问题得不到完美解决,势必影响电子商务的可持续发展。为电子商务打造一个安全的网络环境。提高电子商务运营通信技术,提供网络安全环境。但也不仅仅针对于网络经济交易形式,同时也包括技术层面,提高网络安全运行环境,避免病毒、木马侵入等;应该强调的是系统内部的各种应用软件能够合理规范使用,杜绝非法使用。也就是说,这些计算机安全防范内容显然与电子商务通信安全所强调的意义是相通的。因此,为了保证电子商务通信安全,必然应当采取合理、有效、规范的防治举措,这样才能使其达到安全标准。

1.1 保密性电子商务运作环境下,通常把信息资源以电子化的形式传递出去,同时传递或传送的信息资源一般需要具备一定的保密性。显然,这种保密性要求是发送双方都认可的。也就是说,电子商务通信显然要比普通形式上的通信要求更高。这主要因为在普通通信过程中,信息资源中有不少比重都是个人信息。而电子商务的信息资源有很大比重是商务机密,如果不能做到保密性良好,势必会导致信息泄密,进而给商务持续交易的过程中带来一笔不小损失。举个简单例子,如果某个经常联系的客户信用卡信息保密工作未能做好,导致信用卡账户作废且卡内资金被提取,势必会给客户带来经济损失。即保持信息安全的关键因素也是保密性是否良好,如果电子商务通信安全不能保证信息的保密性良好,势必会给电子商务下的通信安全带来重大隐患,所以为了强调这种保密性,确保信息安全,应当利用当前先进技术加以防范。

1.2 完整性电子商务下的信息和数据用电子化形式进行传递,同时在确保对方接受信息时能够保持信息有效,就要保持发送方信息的完整程度,这种信息完整程度就是信息的完整性。同样,保证传递信息的完整性,确保信息内容完整也是发送双方乐意见到的。所以,如果在发送双方的信息完整性不能确保时,同样也会给接受的客户一方造成经济损失。如,在电子商务相关交易流程进行过程中,如果客户接受的订单未能完整传送接受,那么造成的商务损失显然是不可避免的。因此,为了能够保证发送双方信息的完整、可靠程度,各种技术手段就由此应运而生了。

1.3 验证验证是电子商务进行过程中的必要客观要求,它的产生显然有着它的现实意义,即主要倾向于身份验证,确保对方是交流或交易的对象。同样,如果验证身份的要求一经发出,对方得不到正常程序上的验证,整个交易过程也就停滞无法继续执行了。虽然,在电子交易过程中,往往有时很难验证对方是否是自身所交易、验证的对象。但是,如果通过正常、合理的身份验证方式进行身份确认,确实能够避免伪造、作假的行为发生,保证个人电子商务形式下的电子现金与电子货单可以及时转移并合法有效。所以,在这种背景下,电子商务下的数字签名验证形式由此诞生,为双方进行身份验证提供了方便。总体来说,为了使验证做到万无一失和准确,我们可以采取以下多种方法:即单因素验证、双因素验证、三因素验证。通过验证,可以发现在电子商务过程中,企图假冒他人的身份来进行电子交易的人。在条件许可时,我们尽量采用三因素的身份验证,因为其他因素的验证,存在着有使犯罪分子得逞的可能,达到其利用因特网进行犯罪的目的。作为具体的手段,我们可以采用数字签名、一次性口令、提问应答等各种验证措施来保证这种安全。

1.4 认可电子交易过程中,如果对方已经承诺某件事情或答应过此件事情,但出于多种因素最终未能承认当时承诺过的事情,这种状况发生还是经常存在的。而随着这种事件发生,必然会引起双方的责任负责问题。所以,电子商务交易系统模块的设计过程中,必然会考虑到此种境况的发生,设计出合理适合的交易程序,令双方认可,从而才能确保电子商务交易有效进行。但值得指出的是,在商务交易完成后,应当做好发票、合同、支票以及其他关键文件的确认、认可,这样才能为双方提供最为直接的交易依据或凭证,并实现责任划分。所以,在商务交易过程中,为了考虑交易安全,必然要有着认可、确认的凭证功能设定。

2 确保电子商务通信安全的实行:对策电子商务通信安全起码应当满足上文提到的基本五项要求,才能在技术与控制手段并用的情况下确保通信安全。此外,随着产业技术、电子商务的不断发展,新兴的产业技术也会逐渐更新并完善,更加安全、功能性更强的新技术会逐渐浮出水面。具体而言,加强电子商务通信安全的基本技术有以下几个方面。

2.1 加密技术加密技术的诞生历史悠久,不论是在现实工作还是个人生活中,这种加密技术对我们来说也并不陌生。而在电子商务中,为了提倡商务交易过程更加安全,通常会沿用密钥技术对数据、信息加以保密,从而才能提高信息资源的保密程度。简单而言,密钥有对称与不对称的两种形式,而密钥的长度也决定了保密性的强大与否。而像以往 64 位的密钥在当前来看其保密性,显然已经略显不足。也就是说,在当前产业技术背景下,可能会通过很短的时间就能将其破译出来。所以,目前,为了保证该项加密技术的可靠程度,应当进一步完善密钥技术,对其加以重点研究,实现彻底掌握该项技术,也仅有如此才能更加可靠、安全地保证电子商务交易过程顺利进行。

2.2 信息摘要信息摘要技术的出现,主要作用是保证信息完整、可靠程度,且它也被称为 HASH。它主要通过单向 HASH 加密算法去作用一个信息载体,从而取得该信息载体的一个对应值,而这种信息对应值通常有着固定的长度。也就是说,单行HASH 作用下完成的对应值信息的信息摘要完整性很强,不易被破解,同时不同种类的信息摘要也不相同;信息摘要同样可以比作信息指纹,用以验证对方是否是交易对象。在服务器传递信息的过程中,发送端会把信息同摘要一并发送,当接收端接收到内容时,会利用 HASH 函数对收到的信息内容加以加工,从而才能产生一个对应的摘要,这样在通过对应摘要和收到的摘要加以对比,就会看出信息在传递过程中是否经过改变,如果改变说明就不是原有信息,即被篡改过。即信息摘要解决了信息的完整性问题,有助于电子商务的发展。

2.3 数字签名在电子商务过程中,我们可以用数字签名技术来保证身份的认证,确认发送者的身份;也可以用在认可方面,对发送方、接收方的相关重要商务信息认证,以确保重要单据的不可否认性。数字签名是将摘要用发送者的私钥加密,与原文一起传送给接受者,接受者要有发送者的公钥才能解密被加密的摘要,然后用HASH函数对收到的原文产生一个摘要,与解密的材料作对比,若相同则说明收到的信息是完整的,在传输过程中没有被修改,否则,则被修改过,不是原信息。同时,也证明发送者不能否认自己发送的信息。这样,我们就保证了信息完整性和不可否认性。

3 结语:总之,保证电子商务通信安全对网络时代下的商务交易所具备的指导意义和实用价值很大,我们应当根据当前实用的安全防范技术手段对电子商务交易过程加以控制,这样才能确保交易安全,并保证了电子商务交易环境的健康,且促进了电子商务的健康发展。

参考文献:

[1] 黄红兵.电子商务安全面临的问题及解决策略[J].商场现代化, 2005(18).

[2] 刘培德.电子商务的安全要求及其保障措施 [J]. 山东经济,2005(3).

[3] 杨颖.电子商务安全问题分析[J].中国科技信息,2005(20).

[4] 王东伟.浅谈电子商务信息安全[J].电脑知识与技术,2006(23).

[5] 范德明.电子商务信息安全问题与对策研究[J].科技信息(学术研究), 2007(4) .

[6] 王晓鑫.电子商务信息安全问题与对策研究[J].科技信息(学术研究), 2008(9).

第8篇:电子商务信息安全范文

【关键词】电子商务;信息安全;信息安全技术

1.电子商务及信息安全概述

1.1 电子商务中的信息

既然电子商务涵盖了商品和服务相关人员活动和行为的各个方面,那么必然电子商务的活动中会涉及许多方面的信息。因为电子商务涉及的领域非常广泛,包括了商品和服务的交易的所有环节,如商品购买、广告、推销、信息咨询、银行服务、网络支付等等,它把商家、顾客、银行、中介、信用卡公司,甚至包括政府都通过网络的方式连接起来。如此,在整个的过程中,她涵盖了广泛、复杂的信息量,既包括商家的商品信息、竞争信息、商业秘密等,也包括个人的隐私信息、财产信息等等。这些信息数量广泛、内容繁杂、真实性很强,一旦被蓄意泄露或利用,将会产生非常不利的影响。

1.2 电子商务中信息安全的重要性

电子商务的受体是公众,那么电子商务能够正常运行的前提就是保障公众的信息安全。信息安全是指信息的完整性、可用性、可靠性和保密性。目前电子商务是在完全开放的网络环境中进行的,能否保障各个相关主体的信息安全,是非常重要的事情,现在不断增加的网络入侵、黑客攻击和网络的脆弱的防御能力不得不引起人们的担忧

2.电子商务中存在的信息安全问题

从上面的信息安全的基本需求中,我们可以看出,电子商务交易对信息的安全保护至关重要,也是一件棘手的事情。目前,电子商务中的信息安全主要存在以下几个方面的问题:

2.1 信息存储中的安全问题

信息存储安全是指电子商务信息在静态存放时的安全。企业在网络开放的运行环境中,电子商务的信息安全就存在以下问题:

内部不安全要素。主要是企业内部之间、企业的顾客随意非授权的调用或随意增改删电子商务信息。

外部不安全要素。主要是外部人员私自侵入计算机网络,故意或过失的非授权调用或随意增改删电子商务信息。这个隐患的主要来源有:黑客入侵,竞争对手的恶意破坏,还有信息间谍的非法闯入。

2.2 信息传输中的安全问题

信息传输安全是指点在商务信息在动态的传输过程中的安全。表现形式有:信息在网络的传输过程中被篡改;伪造电子邮件;传输的信息被截获;否认已经做过的交易;网络硬件和软件的问题而导致信息传递的丢失与谬误。

2.3 交易双方存在的信息安全问题

电子商务交易改变了传统的交易方式,打破了双方面对面的交流。这样,买卖双方只能通过网络交流各自的信息来完成交易,这样双方会对电子商务的交易安全和信息安全存在疑虑。

2.3.1 买方存在的信息安全威胁。

电子商务交易中的买方,既可以是个人,也可以是公司、银行等。买方存在的信息安全威胁主要有:(1)身份被假冒。用户身份信息被拦截、假冒以致被要求付账或返还商品;(2)发送的交易信息不完整或被截获篡改,用户无法正常收到商品;(3)域名被扩散和监听,无奈接收许多垃圾信息甚至个人隐私被窃用;(4)遭黑客攻击,计算机设备发生故障导致信息丢失等;(5)受虚假广告信息误导购买假冒伪劣商品或被诈骗钱财等。

2.3.2 卖方存在的信息安全威胁。

卖方存在的信息安全威胁主要有:(1)恶意竞争者假冒用户名恶意侵入网络内部以获取营销信息和客户信息;(2)冒名改变交易内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;(3)信息间谍通过高技术手段窃取并泄露商业秘密;(4)一些恶意程序的破坏而导致电子商务信息遭到破坏,比如特洛伊木马程序;(5)黑客攻击服务器,产生大量虚假订单挤占系统资源,令其无法正常操作。

3.保障电子商务中信息安全的措施

现在,电子商务作为一种新兴且快速发展的商务交易模式,已经被广泛使用,例如网上银行支付,淘宝购物等等,发展前景也十分光明。但是,如何保护电子商务中的信息安全,建立一个安全、便捷、高效的电子商务环境,也是一个越来越值得探讨的问题。这就需要发展有效的信息安全技术,同时辅助于必要的措施。本人认为,保护电子商务中的信息安全应该做到以下几点:

3.1 研究保障信息安全的各种信息安全技术

为保证电子商务的正常发展,对电子商务中的网络安全技术进行研究,发展自主的网络安全技术是至关重要的。现在应该重点研究的信息安全技术有:

3.1.1 数据加密技术

信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网络会话的完整性。加密是利用基于数学算法的程序和保密的密钥对信息主要是普通的文本(明文)进行编码,生成难以理解的字符串(密文),以便只有接收者和发送者才能理解。加密技术一般采用对称加密技术、非对称加密技术以及二者的结合等方法。目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等

3.1.2 身份识别技术

身份识别技术是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字标识,用电子手段验证用户身份及对网络资源的访问权限,参与各方必须利用认证中心签发的数字证书证明身份。(2)电子商务认证中心,CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。

3.1.3 防病毒技术

(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。

3.2 加强网络安全基础设施建设

一个网络信息系统,不管其设置有多少道防火墙,加了多少级保护或密码,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言,这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。

4.结束语

电子商务领域的安全问题一直备受关注,是制约其发展的瓶颈,如果解决的好,便能推动商务更好更快发展的动力。目前对电子商务信息进行保护的主要措施就是信息安全技术,因此必须加大投入,研究新的、有效的信息安全技术,进一步改进已有的信息技术。同时,国家必须加强对电子商务的管理和投入,将电子商务做大做强。

参考文献

[1]李玉海,桂学勤.电子商务安全问题及其解决方案[J].电子商务,2006(12).

第9篇:电子商务信息安全范文

[ 关键词] 电子商务;安全需求;安全技术;协议技术电子商务( Electronic Commerce)是上世纪90 年代初期在西方发达国家首先兴起的一种崭新的利用国际互联网络Internet 这种先进通讯工具的企业经营方式。它是通过网络技术的应用,快速而且有效的进行各种商务活动的全新方法。电子商务无疑是近几年来使用频率最高的词汇之一, 随着电子商务的兴起,它的信息安全问题也日益引人注目。由于电子商务是在公开的网上进行的,支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理,所以如果不能很好地解决信息安全问题,电子商务的发展肯定会受到影响。

一、电子商务的安全需求

1.信息有效性、真实性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.信息机密性

电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

3.信息完整性

电子商务简化了贸易过程, 减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各信息的差异。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

4.信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性要求即是能建立有效的责任机制,防止实体否认其行为;可鉴别性要求即是能控制使用资源的人或实体的使用方式。

5.系统的可靠性

电子商务系统是计算机系统,其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。

二、电子商务的信息安全技术

1.数据加密技术

加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层, 使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法, 这一类加密技术的优点在于实现相对较为简单,不需要对电子信息( 数据包) 所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。

1) 电子商务领域常用的加密技术数字摘要(digital digest)

这一加密方法亦称安全Hash 编码法, 由RonRivest 所设计。该编码法采用单向Hash 函数将需加密的明文“ 摘要”成一串128bit 的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“ 真身”的“ 指纹”了。

数字签名(digital signature)

数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128 位的散列值(或报文摘要),用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128 位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密,如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别。概括的说,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。

数字时间戳(digital time-stamp)交易文件中,时间是十分重要的信息。在电子交易中, 需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp) 是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS 收到文件的日期和时间;DTS的数字签名。

数字证书(digital certificate,digital ID)数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前,最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书,证书作为网上交易参与各方的身份识别,就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心,并提供自己的身份证明信息,证明自己是相应公钥的拥有者,认证中心审查用户提供的信息后, 如果确认用户是合法的,就给用户一个数字证书。这样,每个成员只需和认证中心打交道, 就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说,数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型:个人凭证、企业( 服务器) 凭证、软件( 开发者) 凭证;大部分认证中心提供前两类凭证。 [论/文/网 LunWenData/Com]

2.身份认证技术

为解决Internet 的安全问题,初步形成了一套完整的Internet 安全解决方案,即被广泛采用的公钥基础设施( PKI) 体系结构。PKI 体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息( 如名称、e-mail、身份证号等) 捆绑在一起,在Internet 网上验证用户的身份,PKI 体系结构把公钥密码和对称密码结合起来,在Internet 网上实现密钥的自动管理, 保证网上数据的机密性、完整性。

1 ) 认证系统的基本原理

利用RSA 公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA 为用户发放电子证书,用户之间利用证书来保证信息安全性和双方身份的合法性。

2 ) 认证系统结构

整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA 和Web Publisher。

核心系统跟CA 放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA 的功能是在收到来自RA 的证书请求时,颁发证书。

证书的登记机构Register Authority,简称RA,分散在各个网上银行的地区中心。RA 与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA 中心。

证书的公布系统Web Publisher,简称WP,置于Internet 网上,是普通用户和CA 直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA 颁发之后,CA 用E-mail 通知用户, 然后用户须用浏览器从这里下载证书。

3.网上支付平台及支付网关

网上支付平台分为CTEC 支付体系( 基于CTCA/GDCS) 和SET 支付体系( 基于CTCA/SET) 。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET 标准的信用卡支付方式、以及符合CTEC 标准的各种支付手段。

支付网关位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。此外,支付网关还具有密钥保护和证书管理等其它功能。

三、电子商务信息安全中的其它问题

1.内部安全

最近的调查表明, 至少有75% 的信息安全问题来自内部,在信用卡和商业诈骗中,内部人员所占的比例最大;

2.恶意代码

它们将继续对所有的网络系统构成威胁, 并且,其数量将随着Internet 的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大;

3.可靠性差

目前,Internet 主干网和DNS 服务器的可靠性还远远不能满足人们的要求, 而绝大部分拨号PPP 连接质量并不可靠,且速度很慢;

4.技术人才短缺

由于Internet 和网络购物都是在近几年得到了迅猛的发展,因而,许多地方都缺乏足够的技术人才来处理其中遇到的各种问题, 尤其是网络购物具有24 x 7( 每天24 小时,每周7 天都能工作) 的要求,因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“ 硬件”,那么人才问题则可以说是“ 软件”。从某种意义上讲,软件的问题解决起来可能更不容易,因此,技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。

5.Web 服务器的保护意识差

在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上,因此,即使保密信息被客户端接收之后,也必须对存储在服务器中的数据进行保护。目前,Web 服务器是黑客们最喜欢攻击的目标。因此, 建议尽量不要将Web 服务和连接到任何内部网络,而且要定期对数据进行备份, 以便于服务器被攻击之后对数据进行恢复。当然,这毕竟有些不太现实,现在许多流行的Web应用都需要Web 服务器与公司的数据库进行交互式操作, 这就要求服务器必须与公司内部网络相连,而这个连接也就成为黑客们从Web 站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web 站点进行保护,但商家却很少安装防火墙或对其缺乏有效的维护,因而没有对Web 服务器进行很好的保护,这是商家的Web 站点尤其要引起注意的地方。

四、与电子商务安全有关的协议技术讨论

1.SSL 协议( Secure Sockets Layer) 安全套接层协议———面向连接的协议。

SSL 协议主要是使用公开密钥体制和X.509 数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server 方式。但它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证, 而电子商务往往是用户、网站、银行三家协作完成, SSL 协议并不能协调各方间的安全传输和信任关系。

2.SET 协议( Secure Electronic Transaction) 安全电子交易———专门为电子商务而设计的协议。由于SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点, 因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL 协议,但仍然不能解决电子商务所遇到的全部问题。

结束语

本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。 [论-文-网]

[参考文献]

① 姚立新,新世纪商务:电子商务的知识发展与运作,中国发展出版社,1999 年。

②《中国电子商务年鉴》2003 卷。

相关热门标签
相关文章阅读
相关期刊推荐
精选范文推荐