引論:我們為您整理了13篇電子商務安全的重要性范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
其次是計算機網絡方面的安全。現在網絡的發展速度越來越快,通過網絡傳遞的信息也越來越大,但是隨之而來的就是計算機網絡的安全問題越來越嚴重,比上面提到的個人計算機安全要嚴重的多,那么如何來防止這些問題的發生呢?我們主要從幾個方面來闡述。(a)安全內核技術。安全內核技術主要是要把產生問題的那部分內核從系統中抽離出去,讓系統更加安全,很多問題的產生可能是由于系統某個內核出現了異常,如果把這個內核變得安全,那么問題就迎刃而解了。比如說某些操作系統會把一些口令放到一個隱含的文件中去,這樣可以讓系統更加安全。(b)用戶驗證系統技術。這種技術主要是要對用戶進行安全驗證,就和Windows系統一樣,有用戶口令,如果口令正確,那么說明用戶就是合法用戶,是合法用戶在進行權限審核,如果訪問權限通過的話,那么說明這個用戶可以對此系統進行操作,所以采用這樣的技術安全性提高了很多,在整個計算機系統中得到了廣泛的應用。(c)防火墻技術。防火墻技術是目前用的比較多的一種技術,也是最受關注的一種技術,主要應用在網絡和互聯網之間。防火墻技術和上面兩種技術相比也復雜,但是來的效果也更好,在目前有很多的防火墻開發公司,專門對防火墻進行開發,研究更新的安全技術,防火墻技術主要有數據包過濾、服務器、SOCKS協議、網絡反病毒技術等方面組成,共同完成防火墻的功能效應。
2計算機安全技術在電子商務中的應用
現在社會是個網絡發展的社會,任何地方都離不開網絡,電子商務就是個典型的例子,電子商務是大家經常在用的一個產品,這個產品涉及到的大部分內容都是網絡,那么網絡自然就離不開計算機安全,如果不安全,誰還會用這個產品呢?電子商務一定是以網絡作為平臺的,諸如大量重要的身份信息、會計信息、交易信息都需要在網上進行傳遞,這樣安全性就是電子商務成敗的一個關鍵因素。
2.1電子商務概念
電子商務其實和計算機是密切相關的,電子商務是一個平臺,意思是通過計算機來實現商品的交易,我們可以不通過見面或者店面的形式來銷售貨物,可以不通過實體店的形式讓自己的商品賣出去,諸如我們現在的淘寶、京東等這樣的大型電子商務平臺,也就是說在這個平臺上我們要實現交易,通過網絡進行交易在很早的時候很多人都不會選擇這樣的購物形式,但是在當今社會,電子商務越來越流行,那么在電子商務平臺上的安全性就顯得格外重要了,一旦出現問題,后果不堪設想,那么目前電子商務平臺存在什么安全問題呢?
2.2電子商務平臺存在的安全問題
目前電子商務平臺很多,有非常大型的,也有很多小型的,像淘寶這樣的大型的電子商務平臺安全自然沒問題,但是很多小型的電子商務平臺還是有很多的問題的,那么究竟問題產生在哪里呢?主要有幾個問題。第一,截取信息,在我們進行網上信息交換的時候被破壞,我們的信息被截取下來作為它用,這個是非常危險的,有些信息是非常保密的,一旦轉為它用,可能會非常危險,不如說一些用戶的身份證號碼、密碼、用戶賬號等信息,這些東西被截取是非常麻煩的,一定要注意。第二,偽造電子郵件,我們在進行網上購物的時候,有的時候會發送一些郵件進行溝通和交流,這個時候很多破壞者就會偽造電子郵件,讓我們上當,甚至有的時候會造成網絡阻塞,特別是在交易的時候,錢打過去但是東西沒有收到。第三,交易受騙,在進行交易的時候我們已經付錢給對方,但是對方確不承認,否認沒有收到或者沒有下過訂單,或者我們要進行退貨的時候,對方不肯退貨或者說貨物沒有問題,這些都是在網上進行交易的時候很容易出現的問題,而且最終受害的還是我們消費者。
2.3電子商務交易時的計算機安全技術
a)身份識別技術我們要想在電子商務平臺上進行購物的話,或者說通過網絡平臺開展業務的話,就必須通過身份識別技術對其進行規范,只有規范了用戶才能根本解決問題,也就是說只有合法的用戶才能使用電子商務平臺,所以在進行電子商務的時候必須要求身份識別,只有通過了才能登錄進來進行交易,否則就無法登錄網絡。另外,我們都是網絡來進行交易,大家互相都不太認識,我們通過這樣的技術可以幫助我們確認對方的身份,所以在電子商務中身份識別技術是非常重要的。b)數據加密技術數據加密是為了防止在如今的互聯網狀態下數據共享別設置的,是在電子商務平臺中非常重要的一種安全技術,很多機構和企業都采用了數據加密技術,不如說一些網頁的源代碼、電子商務源碼等,都進行了加密,我們普通人是根本進入不了的,這樣相對來說是安全的,這樣肯定是確保了網上交易的安全性。所以一定要采用數據加密技術才能讓我們的交易更加安全。c)防火墻技術防火墻技術是一項非常尖端的計算機安全技術,通過防火墻技術我們可以控制訪問權限,可以讓某些文件可以讀但是不可以修改,新的方法消除了匹配檢查所需要的海量計算,高效發現網絡行為的特征值,直接進行訪問控制。防火墻可以加強系統的自我維護能力,消除來自網絡的非法干擾,讓整個系統更加安全,那么我們在使用電子商務進行交易的時候就放心多了,和沒有技術相比要強大的多。
篇2
1.1 電子商務中的信息
既然電子商務涵蓋了商品和服務相關人員活動和行為的各個方面,那么必然電子商務的活動中會涉及許多方面的信息。因為電子商務涉及的領域非常廣泛,包括了商品和服務的交易的所有環節,如商品購買、廣告、推銷、信息咨詢、銀行服務、網絡支付等等,它把商家、顧客、銀行、中介、信用卡公司,甚至包括政府都通過網絡的方式連接起來。如此,在整個的過程中,她涵蓋了廣泛、復雜的信息量,既包括商家的商品信息、競爭信息、商業秘密等,也包括個人的隱私信息、財產信息等等。這些信息數量廣泛、內容繁雜、真實性很強,一旦被蓄意泄露或利用,將會產生非常不利的影響。
1.2 電子商務中信息安全的重要性
電子商務的受體是公眾,那么電子商務能夠正常運行的前提就是保障公眾的信息安全。信息安全是指信息的完整性、可用性、可靠性和保密性。目前電子商務是在完全開放的網絡環境中進行的,能否保障各個相關主體的信息安全,是非常重要的事情,現在不斷增加的網絡入侵、黑客攻擊和網絡的脆弱的防御能力不得不引起人們的擔憂
2.電子商務中存在的信息安全問題
從上面的信息安全的基本需求中,我們可以看出,電子商務交易對信息的安全保護至關重要,也是一件棘手的事情。目前,電子商務中的信息安全主要存在以下幾個方面的問題:
2.1 信息存儲中的安全問題
信息存儲安全是指電子商務信息在靜態存放時的安全。企業在網絡開放的運行環境中,電子商務的信息安全就存在以下問題:
內部不安全要素。主要是企業內部之間、企業的顧客隨意非授權的調用或隨意增改刪電子商務信息。
外部不安全要素。主要是外部人員私自侵入計算機網絡,故意或過失的非授權調用或隨意增改刪電子商務信息。這個隱患的主要來源有:黑客入侵,競爭對手的惡意破壞,還有信息間諜的非法闖入。
2.2 信息傳輸中的安全問題
信息傳輸安全是指點在商務信息在動態的傳輸過程中的安全。表現形式有:信息在網絡的傳輸過程中被篡改;偽造電子郵件;傳輸的信息被截獲;否認已經做過的交易;網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤。
2.3 交易雙方存在的信息安全問題
電子商務交易改變了傳統的交易方式,打破了雙方面對面的交流。這樣,買賣雙方只能通過網絡交流各自的信息來完成交易,這樣雙方會對電子商務的交易安全和信息安全存在疑慮。
2.3.1 買方存在的信息安全威脅。
電子商務交易中的買方,既可以是個人,也可以是公司、銀行等。買方存在的信息安全威脅主要有:(1)身份被假冒。用戶身份信息被攔截、假冒以致被要求付賬或返還商品;(2)發送的交易信息不完整或被截獲篡改,用戶無法正常收到商品;(3)域名被擴散和監聽,無奈接收許多垃圾信息甚至個人隱私被竊用;(4)遭黑客攻擊,計算機設備發生故障導致信息丟失等;(5)受虛假廣告信息誤導購買假冒偽劣商品或被詐騙錢財等。
2.3.2 賣方存在的信息安全威脅。
賣方存在的信息安全威脅主要有:(1)惡意競爭者假冒用戶名惡意侵入網絡內部以獲取營銷信息和客戶信息;(2)冒名改變交易內容,致使電子商務活動中斷,造成商家名譽和用戶利益等方面的受損;(3)信息間諜通過高技術手段竊取并泄露商業秘密;(4)一些惡意程序的破壞而導致電子商務信息遭到破壞,比如特洛伊木馬程序;(5)黑客攻擊服務器,產生大量虛假訂單擠占系統資源,令其無法正常操作。
3.保障電子商務中信息安全的措施
現在,電子商務作為一種新興且快速發展的商務交易模式,已經被廣泛使用,例如網上銀行支付,淘寶購物等等,發展前景也十分光明。但是,如何保護電子商務中的信息安全,建立一個安全、便捷、高效的電子商務環境,也是一個越來越值得探討的問題。這就需要發展有效的信息安全技術,同時輔助于必要的措施。本人認為,保護電子商務中的信息安全應該做到以下幾點:
3.1 研究保障信息安全的各種信息安全技術
為保證電子商務的正常發展,對電子商務中的網絡安全技術進行研究,發展自主的網絡安全技術是至關重要的。現在應該重點研究的信息安全技術有:
3.1.1 數據加密技術
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網絡會話的完整性。加密是利用基于數學算法的程序和保密的密鑰對信息主要是普通的文本(明文)進行編碼,生成難以理解的字符串(密文),以便只有接收者和發送者才能理解。加密技術一般采用對稱加密技術、非對稱加密技術以及二者的結合等方法。目前常用的常規密鑰密碼體系的算法有:數據加密標準DES、三重DES、國際數據加密算法IDEA等
3.1.2 身份識別技術
身份識別技術是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字標識,用電子手段驗證用戶身份及對網絡資源的訪問權限,參與各方必須利用認證中心簽發的數字證書證明身份。(2)電子商務認證中心,CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
3.1.3 防病毒技術
(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。
3.2 加強網絡安全基礎設施建設
一個網絡信息系統,不管其設置有多少道防火墻,加了多少級保護或密碼,只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的,就沒有安全可言,這正是我國網絡信息安全的致命弱點。國民經濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此,需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
4.結束語
電子商務領域的安全問題一直備受關注,是制約其發展的瓶頸,如果解決的好,便能推動商務更好更快發展的動力。目前對電子商務信息進行保護的主要措施就是信息安全技術,因此必須加大投入,研究新的、有效的信息安全技術,進一步改進已有的信息技術。同時,國家必須加強對電子商務的管理和投入,將電子商務做大做強。
參考文獻
篇3
電子商務日益成為當今社會使用頻率最高的詞匯之一,其中網上交易的安全問題又是人們關心的重點。在網絡上,尤其是在互聯網上存儲和傳輸的大量信息,隨時受到安全威脅。電子商務作為極具價值的敏感信息之一,關系到電子商務主體單位的商業秘密。所以,電子商務系統中的安全問題是關系到電子商務系統能否成功運行的最為重要的問題。在參考了大量有關信息安全的基礎理論、基本技術和解決方案后,對電子商務交易中的安全問題展開論述。
2 電子商務的安全機制分析
在電子商務的交易過程中,買賣雙方是通過網絡來聯系的,應用網絡的開放性和不安全性,給交易雙方在交易過程中確信交易的安全性和建立信任關系帶來了難度。
根據中國互聯網絡信息中心(CNNIC)這幾年公布的《中國互聯網絡發展狀況統計報告》顯示,目前網上交易存在的問題主要是“安全性得不到保障”與“產品質量、售后服務及廠商信用得不到保障”。
電子商務的實現是建立在網絡通信基礎上的,因此網絡安全面臨的威脅也就是電子商務面臨的威脅,這些威脅從宏觀上可分為自然威脅和人為威脅。人為威脅是指通過尋找系統的弱點,達到破壞、欺騙、竊取數據等惡意目的。
為了安全要素在電子商務中的實施,滿足電子商務為交易參與者提供可靠的安全服務的要求,電子商務系統必須利用安全技術來搭建自己的交易平臺,主要用到的安全技術有:加密技術、數字簽名及消息認證、數字證書和CA體系。
各項安全機制中,其安全性主要是基于解橢曲線圓離散對數問題與單向哈希函數的困難度。以下分別列出各項安全機制的安全性分析:
(1) 系統中心無法取得用戶的私鑰Si
系統中心無法經由Si=wi+h(xi,Ii)(modq)來推得使用者的私鑰Si,除非系統中心能破解用戶在注冊階段所生的Vi,但其安全度是基于解橢曲線圓離散對數問題的困難度。
(2) 攻擊者無法取得使用者的私鑰Si與系統中心的私鑰sSA
攻擊者可以取得的數據為Ii與Pi ,但經由(1)的分析可知,攻擊者無法從Pi 獲取Si;而wi是由系統中心所產生的公鑰證明,但攻擊者并無法從wi獲取sSA。因此,任意的攻擊者皆無法取得Si與sSA。
(3) 達到安全等級Level 3
系統中心有意假造Pi與Si ,但這會造成相同的使用者擁有兩個公鑰,此系統中心的詐騙行為會被偵測出來,因為本論文采用自我驗證公鑰密碼系統,使用偽造的Pi來進行的數字簽名/驗證簽章、加/解密或簽密法時并不會成功。
(4)用戶無法取得系統中心的私鑰
使用者無法經由Si=wi+h(xi,Ii)(modq)來計算合法的公鑰證明。因為用戶無法取得系統中心的k與sSA,所以使用者也無法自行產生公鑰證明wi 。用戶也很難從系統公鑰來獲得系統私鑰,其安全度是基于解橢圓曲線離散對數問題的困難度。
(5) 安全的加/解密機制
攻擊者要從加密者所傳遞的1 C 與2 C 解出明文,皆會遇到解橢圓曲線離散對數問題的困難度,另外加密者每次使用不同的隨機整數w,因此攻擊者亦很難經由累積多個1 C 與2 C 而計算出明文。
(6) 安全的鑒別加密法
使用者所產生的密文R與s是基于解橢圓曲線離散對數問題的困難度下所產生。攻擊者也很難計算出密文s,因為無法取得使用者的w與Si。又因為使用者每次的密文皆不相同,因此攻擊者無法輕易地計算出使用者的私鑰,亦很難經由累積多個密文來求解出明文。
3.結論
篇4
1.2電子商務中信息安全的重要性
電子商務的受體是公眾,那么電子商務能夠正常運行的前提就是保障公眾的信息安全。信息安全是指信息的完整性、可用性、可靠性和保密性。目前電子商務是在完全開放的網絡環境中進行的,能否保障各個相關主體的信息安全,是非常重要的事情,現在不斷增加的網絡入侵、黑客攻擊和網絡的脆弱的防御能力不得不引起人們的擔憂。
2.電子商務中存在的信息安全問題
從上面的信息安全的基本需求中,我們可以看出,電子商務交易對信息的安全保護至關重要,也是一件棘手的事情。目前,電子商務中的信息安全主要存在以下幾個方面的問題:
2.1信息存儲中的安全問題
信息存儲安全是指電子商務信息在靜態存放時的安全。企業在網絡開放的運行環境中,電子商務的信息安全就存在以下問題:內部不安全要素。主要是企業內部之間、企業的顧客隨意非授權的調用或隨意增改刪電子商務信息。外部不安全要素。主要是外部人員私自侵入計算機網絡,故意或過失的非授權調用或隨意增改刪電子商務信息。這個隱患的主要來源有:黑客入侵,競爭對手的惡意破壞,還有信息間諜的非法闖入。
2.2信息傳輸中的安全問題
信息傳輸安全是指點在商務信息在動態的傳輸過程中的安全。表現形式有:信息在網絡的傳輸過程中被篡改;偽造電子郵件;傳輸的信息被截獲;否認已經做過的交易;網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤。
2.3交易雙方存在的信息安全問題
電子商務交易改變了傳統的交易方式,打破了雙方面對面的交流。這樣,買賣雙方只能通過網絡交流各自的信息來完成交易,這樣雙方會對電子商務的交易安全和信息安全存在疑慮。
2.3.1買方存在的信息安全威脅。
電子商務交易中的買方,既可以是個人,也可以是公司、銀行等。買方存在的信息安全威脅主要有:(1)身份被假冒。用戶身份信息被攔截、假冒以致被要求付賬或返還商品;(2)發送的交易信息不完整或被截獲篡改,用戶無法正常收到商品;(3)域名被擴散和監聽,無奈接收許多垃圾信息甚至個人隱私被竊用;(4)遭黑客攻擊,計算機設備發生故障導致信息丟失等;(5)受虛假廣告信息誤導購買假冒偽劣商品或被詐騙錢財等。
2.3.2賣方存在的信息安全威脅。
賣方存在的信息安全威脅主要有:(1)惡意競爭者假冒用戶名惡意侵入網絡內部以獲取營銷信息和客戶信息;(2)冒名改變交易內容,致使電子商務活動中斷,造成商家名譽和用戶利益等方面的受損;(3)信息間諜通過高技術手段竊取并泄露商業秘密;(4)一些惡意程序的破壞而導致電子商務信息遭到破壞,比如特洛伊木馬程序;(5)黑客攻擊服務器,產生大量虛假訂單擠占系統資源,令其無法正常操作。
3.保障電子商務中信息安全的措施
現在,電子商務作為一種新興且快速發展的商務交易模式,已經被廣泛使用,例如網上銀行支付,淘寶購物等等,發展前景也十分光明。但是,如何保護電子商務中的信息安全,建立一個安全、便捷、高效的電子商務環境,也是一個越來越值得探討的問題。這就需要發展有效的信息安全技術,同時輔助于必要的措施。本人認為,保護電子商務中的信息安全應該做到以下幾點:
3.1研究保障信息安全的各種信息安全技術
為保證電子商務的正常發展,對電子商務中的網絡安全技術進行研究,發展自主的網絡安全技術是至關重要的。現在應該重點研究的信息安全技術有:
3.1.1數據加密技術
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網絡會話的完整性。加密是利用基于數學算法的程序和保密的密鑰對信息主要是普通的文本(明文)進行編碼,生成難以理解的字符串(密文),以便只有接收者和發送者才能理解。加密技術一般采用對稱加密技術、非對稱加密技術以及二者的結合等方法。目前常用的常規密鑰密碼體系的算法有:數據加密標準DES、三重DES、國際數據加密算法IDEA等3.1.2身份識別技術身份識別技術是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字標識,用電子手段驗證用戶身份及對網絡資源的訪問權限,參與各方必須利用認證中心簽發的數字證書證明身份。(2)電子商務認證中心,CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
3.1.3防病毒技術
(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。
3.2加強網絡安全基礎設施建設
篇5
1 引言
隨著計算機網絡技術的快速發展,電子商務已經在各行業應用開來,其表現形式也非常豐富。比如:可以通過電腦、Internet、交易平臺,預訂機票、火車票,隨時隨地足不出戶地進行個人財務管理、股票交易,網上購物、轉帳及接收付款等等。在日常生活中,電子商務給我們帶來了無盡的便利。
但是,在我們享受電子商務給我們帶來的便捷的同時,我們也必須認識到電子商務安全的重要性。由于在電子商務交易中,交易雙方是不見面的,交易雙方缺乏面對面的溝通,我們也無法審核交易雙方的真實身份,這些就會增加電子商務交易的風險,因此,本文針對電子商務安全現狀進行簡要分析。
本文將從電子商務的概念開始,并對電子商務安全發展現狀和技術策略進行介紹。
2 電子商務的概念
電子商務是指在因特網開放的網絡環境下,在全球各地廣泛的商業活動中,基于瀏覽器/服務器的模式,在買賣雙方不見面的情況下,進行商務活動,從而能夠滿足消費者進行網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動,它是一種新型的商業運營模式.
電子商務主要是通過電子數據傳輸技術,進而開展商務活動,如企業間交易活動、在網絡上做營銷、客戶服務等,它統一了資金、信息、商流和物流四個方面。隨著網絡和Internet技術的日益成熟,真正意義上的電子商務是建立在Internet技術上的,所以也簡稱為IC。
2 電子商務安全概述及其發展現狀
2.1 電子商務安全的主要內容
電子商務安全由IT安全和商務交易安全兩部分組成。
IT安全主要由以下幾個部分組成:網絡運行環境安全、用戶信息與網上交易服務器傳遞之間的安全、網絡硬件設備安全、網絡軟件安全、數據資料安全、客戶端計算機及其他連接互聯網設備的安全等等。基于這些IT本身可能存在的安全問題,旨在保證IT安全,實施IT安全增強方案。
另一方面,商務交易安全是針對傳統商務在互聯網絡上應用時產生的各種安全問題,基于計算機網絡安全,從而保障電子商務過程的順利進行。目的在于實現電子商務的完整性、可鑒別性、保密性、不可偽造性和不可抵賴性。計算機網絡安全與電子商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。計算機網絡安全是商務交易安全的基石,如果缺少計算機網絡安全,商務交易安全就無從談起。同樣,缺少了商務交易安全的保證,即使計算機網絡本身再安全,仍然無法保證電子商務的安全進行。
2.2 電子商務安全的原則
(1)真實性、可靠性
電子商務以電子形式取代了以前紙質的形式,因此,開展電子商務的前提就是保證電子形式的貿易信息的真實性和有效性。電子商務作為貿易的一種形式,其信息的真實性和有效性將直接關系到個人、企業或國家的經濟利益和聲譽。
(2)身份的唯一
電子商務系統要建立身份唯一性認證制度,在身份合法認證時做到有法可依,雙方在網上進行交易或者數據傳送時,必須首先認證雙方身份的合法性和真實性,只有這樣,才能保證在交易發生糾紛時,雙方身份都有所證明,從而有效防止商業欺詐行為的發生。
(3)保密性
電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。由于電子商務是在開放的網絡環境上進行的,所有商業防泄密工作在電子商務過程中顯得尤為重要。
(4)完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來如何維護商業信息完整的問題。如果交易雙方數據輸入時,意外出現差錯或者有一方有欺詐行為,都有可能導致貿易各方信息不同。因此,電子商務系統必須可靠和正確地保證數據傳輸、存儲及電子商務的完整性。
(5)實名制
電子商務活動的每一方都必須實名參加,相關部門應當對各方身份、企業資質、信譽等進行嚴格的審查登記,做到有據可查。
2.3 電子商務安全發展現狀
上世紀七十年代,電子商務開始出現萌芽,當時,有一些大公司利用計算機網絡,將各個機構之間和各個商業伙伴之間的信息共享起來,這個過程就是EDI(電子數據交換),電子數據交換就成了后來電子商務的雛形,同時也是電子商務的基礎。近些年來,由于計算機網絡技術飛速發展,電子商務也迅速發展起來。
但是,目前,電子商務面臨著比較嚴峻的信息安全現狀。據權威雜志披露,從事電子商務的企業相比于普通企業,承受著更大的商業風險。其中,從事電子商務的企業更容易被黑客攻擊,感染病毒、惡意代碼的概率高出9%,被非法入侵的頻率高出10%,而且更容易被商業欺詐。
在我國,電子商務安全的現狀同樣并不樂觀。調查顯示,近年來,我國發生了200起網絡進行的電子商務經濟犯罪,帶來了上億元的經濟損失。我國網民對于網上交易,最擔心的就是網上支付交易的安全問題,超過百分之八十的網民對網上交易的安全性表示擔憂。信息安全問題已然成為阻礙網上交易的一大難題。
1995年起,我國開始發展電子商務安全產業,與此同時,電子商務安全科研、生產與應用也開始起步,迄今為止,已經實現了科研與生產從無到有,市場從小到大逐步發展起來。電子商務信息安全研究已經走過了通信保密、計算機數據保護兩個發展階段,目前正處于網絡信息安全研究階段。在現階段中,我們已逐步掌握了部分網絡安全和電子商務安全技術,研制和探索了安全操作系統、多級安全數據庫方面的技術,但掌握系統核心技術還有很大困難,所以目前還不能開發出有自主知識產權的信息產品。
截止到目前,我國電子商務安全的發展還存在以下幾點問題:
(1)安全防范意識薄弱
國內不少電子商務企業對網絡信息安全意識不強。這些企業在進行電子商務交易的時候,考慮的更多的還是自己的效益、方便、快捷,卻把交易的安全性、保密性、抗攻擊性放在了較低的位置。
(2)體系結構不健全
我國的電子商務安全一直都缺乏一個健全的體系結構,總是等到出現問題才去解決問題,從而導致問題不斷變化、層出不窮,卻缺乏有效的解決辦法。
(3)軟硬件缺乏強有力的支持
目前我國IT設施的軟件、硬件等的核心產品主要還是依靠從國外發達國家進口,市場上不少的安全措施也是照搬過來的,很多電子商務安全方面的產品都沒有通過安全認證。
(4)頻繁遭受威脅
目前我國的電子商務產業主要遭受三方面的安全威脅:
1)非人為因素造成的數據丟失;
2)人為因素造成的數據丟失;
3)黑客、病毒等的惡意攻擊和入侵。
3 電子商務安全技術及策略
3.1 電子商務安全技術架構
電子商務安全技術體系包括網絡服務層、加密技術層、安全認證層、安全協議層四個部分,它是確保電子商務交易中數據的安全性和完整性的邏輯結構。在這個四層結構中,下一層作為上一層的基石,為上一層提供技術支持;由安全控制技術實現安全策略,從而形成一個統一的整體,相互關聯、相互依存,從而實現電子商務的安全進行。
如圖1所示,即為電子商務安全技術體系架構
圖1 電子商務安全技術體系架構
(1)網絡服務層
網絡安全作為電子商務安全的基礎,涉及面很廣,如防火墻技術、網絡隱患掃描、網絡監控、及各種反黑客技術等,其中防火墻技術最為關鍵。防火墻的主要是通過加強網絡之間的訪問控制,從而使得外部網絡用戶,不能利用非法手段侵入我們需要保護的網絡。防火墻按照一定的安全策略,檢查兩個或多個網絡之間傳輸的數據包和鏈接方式,繼而決定是否允許網絡之間進行通信,而且還能監視網絡運行狀態。路由器可以實現簡單防火墻技術,而更加可靠的網絡安全控制需要專用防火墻來提供。
為了保證連接Internet和Intranet的安全,防火墻是最為有效的方法,防火墻通過有效監視網絡的通信信息,記憶通信狀態,從而作出正確的判斷,來決定是否允許訪問。如果能靈活有效地運用這些功能,制定正確的安全策略,就能就能保證Intranet系統的完整性、安全性。
(2)加密技術層
電子商務信息加密技術作為最基本的安全措施,它是一種主動的信息安全防范措施。實質就是一種交換算法,它通過置換和移位的方法,對以符號為基礎的數據進行加密,加密受密鑰的關鍵符號串控制。加密技術分為對稱加密和非對稱加密兩類。
1)對稱加密。對稱加密包括兩種情況:1.加密系統的加密密鑰和解密密鑰相同。2.如果不相同,但是由其中任意一個可以很容易的推導出另一個。現在常用的對稱加密算法有DES、RC2、RC4等,DES算法被廣泛采用,它由美國國家標準局提出的,被ISO作為數據加密的標準。
2)非對稱加密。非對稱加密只包括一種情況:加密系統的加密密鑰和解密密鑰不相同,并且不管是由加密密鑰推導出解密密鑰或者由解密密鑰推導出加密密鑰,都是計算不出來的。RSA算法是非對稱加密領域最著名的算法,該算法是非對稱數據加密的標準算法。
(3)安全認證層
為了確保電子商務交易安全,光有加密技術是不夠的,還必須依靠安全認證層中的身份認證技術。
認證技術通過用戶的客戶主機IP地址進行認證,在認證技術中,系統管理員授予不同IP地址的授權用戶不同的訪問權限。認證技術主要有身份認證和通過電子認證中心的認證。身份認證是主要用于判斷交易雙方的真實身份,而目前這也是電子商務安全中急需加強的重要技術。身份認證主要有三種方式:用戶口令、智能卡、生物學特征認證。
(4)安全協議層
由于電子商務需要通過Internet完成在線支付,所有我們必須安全傳輸支付信息、確認交易方的真實身份、完整進行支付過程,這就需要我們使用安全協議來保證。不同交易協議的復雜性、開銷、安全性各不相同。
目前國際上比較有代表性的協議是SSL協議和SET協議。
1)SSL協議。SSL(安全槽層)向客戶/服務器應用程序提供客戶端和服務器的認證服務、加密、數據完整等安全措施,它在應用程序進行數據交換前,通過交換SSL初始握手信息來實現有關安全特性的審查。
2)SET協議。SET(安全電子交易規范)向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。SET增加了對商家身份的認證,同時還保留對客戶信用卡認證。
3.2 電子商務安全策略
(1)建立健全的電子商務的法律制度,并強化執法力度
隨著電子商務的發展,建立了很多電子商務網站,進而許多網絡交易中的法律問題就凸顯出來,這樣一來,解決網絡交易的安全問題就需要遵循一個共同的法律法規,而目前我們的電子商務法律制度還不健全,還需要建立必要的健全的法律框架。另一方面,對那些網絡交易中的違法犯罪行為,我們一定要加強執法力度,從而達到規范電子商務交易的目的
(2)建立完善的信用體系,提高電子商務的安全意識
由于電子商務的虛擬性、非接觸性,信用在電子商務中顯得尤為重要。電子商務對信用體系的需求最強,電子商務如果缺少了信用體系的支撐,就毫無安全可言,風險度極高。因此,信用體系是電子商務的規范與發展的基礎。然而,我國的電子商務的信用管理體系還比較落后,社會整體信用制度還有待健全,在交易過程中經常會發生不講信用甚至欺詐行為,因此,為了促進電子商務的良性發展,有必要建立完善的信用體系。另一方面,我們也需要加強電子商務安全意識,不能總把利益放在第一位,要引起對安全性的足夠重視。
(3)用加密技術、安全認證、交易協議等保護交易信息的安全
積極借鑒國外先進經驗和技術,盡可能建立一套完整的電子商務安全體系;采用不同的加解密算法完善和提高電子商務交易安全,定期檢查更換交易密鑰。
(4)加強互聯網絡的安全性,防止信息泄漏
最常用的網絡安全保護手段是防火墻技術。電子商務內外網和互聯網之間最好設置專用防火墻,這樣不僅可以提升內部局域網絡的速度,同時還能阻止惡意病毒和木馬攻擊內部網絡。
(5)加強電子商務的安全管理,構建良好的電子商務環境
目前,我國電子商務發展的環境還存在不少虛擬環境的特有問題,如領頭企業的資源整合能力有待提升,電子商務企業散、小,電子商務支付、物流等支撐服務能力有待于加強。電子商務交易的管理也需要進一步加強。此外,為了構建良好的電子商務環境,還需要增加第三方支付平臺和物流的支持。
4 結束語
基于目前我國的電子商務安全發展還處于初步階段,還有許多問題需要解決,所以,我們要對電子商務安全給予足夠的重視,積極借鑒國外的先進技術和經驗,在享受電子商務給我們帶來的便利的同時,也做到可以放心交易。
參考文獻:
[1]加里P·施奈德.電子商務[M].北京:機械工業出版社,2008.
[2]張愛菊.電子商務安全技術[M].北京:清華大學出版社,2006.
[3]李振汕.電子商務安全管理體系的構建[J].計算機安全,2010,17(10):65-70.
[4]王建宏,李廣振,閔旭光.電子商務安全技術研究[J].中國商貿,2009,16(12):16-19.
[5]賈樹良,樊鑫國.電子商務安全問題分析[J].遼寧工程技術大學學報,2009,25(3):83-85.
[6]柳艷茹.淺談電子商務的安全問題[J].赤峰學院學報,2012,28(8):51-53.
[7]王改香.淺談電子商務安全策略[J].電腦知識與技術,2008,4(3):559-560.
[8]李巖,宋朝.電子商務安全現狀及對策研究[J].經濟研究,2011,9(6):59-62.
[9]許寧寧.電子商務安全的現狀與趨勢[J].中國電子商務,2010,13(8):91-93.
[10]張建兵.電子商務安全問題解析[J].現代商貿工業,2009,8(21):123-126.
[11]趙全.網絡安全與電子商務[M].北京:清華大學出版社,2005.
[12]譚遜,王學芳,譚翊.淺談我國電子商務安全現狀[J].科技資訊,2007,10(11):140-143.
[13]http://.cn/cj/cj-xfsh/news/2009/12-03/1997652.shtml.中國經濟時報,2009,12,3.
[14]唐作莉.電子商務安全技術研究[D].貴州大學碩士研究生學位論文,2008.
[15]張慶麗.電子商務安全策略研究[D].河南大學碩士研究生學位論文,2012.
篇6
計算機電子商務是對公眾開放的,電子商務信息安全性關系著公眾的利益。電子商務需要把信息安全擺在最重要的位置,目前,我國電子商務還存在很多問題。
1.1信息存儲的安全問題
由于電子商務運行的環境是開發的,在信息存儲過程中,會存在不安全的隱患。首先,內部會存在不安全的因素,企業內部客戶沒有得到授權,而對信息進行任意的修改、刪減、調用都會影響信息存儲的安全;其次,外部也存在對信息存儲安全造成威脅的因素。隨著計算機網絡技術的發展,外部人員,如信息間諜、黑客、競爭對手等都可以采用非法的手段對計算機網絡進行入侵,調用電子商務信息,并對其進行隨意操作。
1.2信息傳輸的安全問題
電子商務信息在動態傳輸過程中也會存在安全問題,信息在傳輸過程中可能會遭遇截獲、篡改、偽造等安全問題;對已經做過的交易給予否定;網絡硬盤遭到損壞;軟件程序出現錯誤等等。傳輸過程中很多因素會導致電子商務信息出現丟失等安全問題。
1.3交易過程中信息安全問題
與傳統的商品與服務的交易方式不同,計算機電子商務實現了突破,對傳統的交易方式的時間、空間與形式都做了翻天覆地的改變。電子商務的發展,讓買賣的雙方可以在網絡中實現交流并完成交易。然而這樣的方式也會存在很多安全問題。對于賣方,可能會存在惡意程序破壞電子商務信息,信息間諜也可以通過高科技手段對計算機電子商務信息進行竊取等等,對于買方,同樣會存在這樣的交易安全問題。交易過程中的安全問題,會使賣方與買方都蒙受巨大的損失。
2新時期維護計算機電子商務安全的對策與措施
2.1研發計算機電子商務信息安全保障技術
電子商務是在計算機網絡技術發展的基礎上發展起來的,計算機網絡技術的發展促進了電子商務的發展。只有不斷進行技術的完善,才能從根本上保障計算機電子商務信息的安全。因此,必須不斷進行網絡安全技術的研究,以保障電子商務信息的安全。
2.1.1數據加密技術的研究
對信息數據加密能保護數據、口令、文件等信息的完整性,使得其不容易被隨便破解。對稱加密技術與非對稱加密技術的都是常用的數據加密技術,在加密過程中,還可以將上述兩種加密技術結合使用。現階段,常用的數據加密秘鑰密碼體系算法有國際數據加密算法IDEA、數據加密標準DES、三重DES等。
2.1.2防火墻技術
防火墻技術可以對網絡之間控制機制系統起到加強的作用,既可以以單個的狀態存在,也可以以群體的狀態存在。對所有由內而外的流量進行監控,只有經過授權的數據流量才可以通過,能有效防止非法入侵。可以進行防火墻安全設置,也可以對網絡服務訪問權限進行設置,對不安全協議的域進行過濾。
2.1.3防病毒技術
加強對計算機病毒特征的偵測技術研究,并利用其能長期駐于計算機系統內存中的優勢,獲取系統的控制權,對系統中毒的情況進行檢測,當遇到可疑情況時,采取有效的技術手段對計算機病毒進行阻止,防止其進入到系統內部,對計算機系統內部造成破壞。同時,還需要研發消除病毒的技術,消滅病毒并對文件進行復原。
2.2對電子商務法律法規進行完善
2.2.1電子支付法律制度
電子支付過程涉及到收款人、付款人和銀行三個方面,需要對三者進行法律關系的明確,制定相關的法律法規,對電子商務中違規的行為進行嚴格的處理,并建立完善的電子支付機制,對于電子簽名給予承認。
2.2.2建立交易安全法律制度
對于電子商務交易也需要通過法律來進行規范與保護。建立交易安全相關的法律法規,對交易雙方的隱私安全進行保護,對電子商務交易中的矛盾與糾紛進行有效處理,防止電子商務交易詐騙現象的發生。維護電子商務的安全。
2.3提升用戶安全意識
篇7
1.2支撐體系不斷完善,逐步趨于協調發展。電子認證、在線支付、現在物流、信用等電子商務支撐體系建設全面展開,出具規模,呈現出支撐體系建設與電子商務應用相互促進、協調發展的新局面。物流專業化分工和社會程度逐步提高,物流信息化建設形成一定規模,第三方物流產業迅速發展。信用體系建設得到重視,部分地區加大了信用體系建設的力度,區域性信用信息服務體系建設步伐加快。40余項電子商務和物流標準陸續頒布,標準推廣應用工作進一步深化。
二、影響電子商務發展的主要問題
2.1電子商務的社會信用體系沒有形成。誠信作為中國傳統社會所提倡的倫理道德觀念,早已成為整個社會一個重要的道德評判標準,然而當今社會因為種種原因失信現象比較嚴重,特別是在網絡交易中誠信問題是不容忽視,信用度的匱乏使得我國電子商務的發展舉步維艱。目前網上交易中誠信的缺失主要表現有網上樣品與實際銷售產品不一致、假借或盜用知名企業產品品牌和商標、售后服務的不到保證、網絡廣告存在欺騙等。
2.2信用問題。供需雙方的網上交易,相互信任是成交的根本保證。通過計算機網絡來進行這些商業活動,電子商務雖然在諸多方面對傳統商業交易有所改進。但在商業信用問題上仍然沒有徹底得到改觀,尤其我國市場還不很成熟。假冒偽劣商品泛濫。而網上交易又不能讓消費者對商品親自試用鑒別。所以有很多消費者對電子商務網而卻步。
2.3電子商務法制問題不健全。完善的法律是開展電子商務的必要條件,與發達國家相比,我國的電子商務方面的法律法規還不健全,這也阻礙了電子商務的進一步發展。近年來,我國制定出臺了一些涉及網絡安全和因特網管理的法規,但有關發展電子商務統一指導框架和專門立法還存在空缺,首先由于電子商務的交易活動是在沒有固定場所的國際信息網路環境下進行,造成國家難以控制和收取電子商務的稅金。因此,根據目前的情況和未來的發展,在制定與電子商務有關的政策法規時,需要重新審視傳統的稅收和手段,有必要對稅率和納稅方法進行規范,建立新的、有效的稅收制度。其次是知識產權保護,特別是在網上直接提供的無形新產品和服務的知識產權,,如網上數據、軟件、游戲、音像制品等,對電子商務的電子合同、電子簽名等合法性也缺乏必要的法律條文和科學解釋。
2.4電子商務的國際化問題。我國已經成為WTO的成員國,但是,目前國內很多中小企業甚至一些大企業,還沒有構建自己的電子商務平臺,制約了走出國門,與國際交流和合作的機會,不能適應全球經濟一體化的大趨勢。
2.5.電子商務人才貧缺。雖然我國目前開展電子商務教學的高校很多。但教育大多局限于計算機網絡基礎知識,某些語言數據庫、管理信息系統或內部網絡系統的教育,畢業生在短期內大都不能適應企業電子商務應用的要求。無論是系統設計者、軟件設計人員,還是網絡實施者都十分缺乏,這已嚴重阻礙了我國電子商務發展的步伐。
三、我國發展電子商務的對策
3.1建立相應機制和標準。解決信用問題采取過設置的運行機制和運行標準。確保供需雙方建立商業信用。并通過某些監督機構進行監督和管理。政府應制定我國電子商務發展的相關法律、法規和政策來增強網上交易和信任與安全。是電子商務在公平、合理、高效的環境下得到健康、持續、快速的發展。
3.2注重電子商務人才培養。目前,人們的電子商務意識還很淡薄,都計算機的知識掌握不夠,部門、行業信息的電子化方面力量嚴重不足。因此盡快普及電子商務有關知識,充分利用各種途徑和手段,采用多種形式加強電子商務宣傳、知識普及和安全教育工作,強化守法、誠信、自律觀念的引導和宣傳教育,提高社會各界對發展電子商務重要性的認識,多渠道培養、引進并合理使用好一些素質較高、層次合理、專業配套的網絡、計算機及經營管理的專業人才,是一項非常重要的工作。
篇8
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征。總體而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于U盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行U盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他U盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
5.對發出的信息予以否認.某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款I用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,CIH病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。
三、電子商務的安全需求
電子商務威脅的出現導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
2.完整性。貿易雙方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易雙方信息的完整性是電子商務的基礎。
3.不可抵賴性。交易一旦達成,原發送方在發送數據后就不能抵賴,接收方接到數據后也不能抵賴。
4.匿名性。電子商務系統應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。
四、電子商務安全防治措施及安全舉措
防范電子商務網絡犯罪是一個系統工程,不僅需要人們提高防范電子商務網絡犯罪的意識,加強防范電子商務網絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作。
1.加強教育和宣傳,提高公眾電子商務的安全意識。信息安全意識是指人們在上網的過程中,對信息安全重要性的認識水平,發現影響網絡安全行為的敏銳性,維護網絡安全的主動性。強化上網人員的信息安全意識,就是要讓上網人員認識到,網絡信息安全是電子商務正常而高效運轉的基礎,是保障企業、公民和國家利益的重要前提,從而牢同樹立網上交易,安全第一的思想。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養電子商務網絡營銷安全管理人才。
2.采用多重網絡技術,保證網絡信息安全。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,VPN(虛擬專用網)。防火墻是實現內部網與外部網安全和入侵隔離的常規技術。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此,電子商務內外網與互聯網之間要設置防火墻。網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,發現任何安全隱患及時更改,做到有備無患。企業上網必須實行內外網劃分和內外網的物理隔離。要運用VPN新技術,為使用者提了一種通過公用網絡,安全地對食業網絡進行遠程訪問,同時又能保證企業的系統安全。包括操作系統、數據庫和服務器(如Web服務器、E-MAII。服務器)的安全。
3.運用密碼技術,強化通信安全。應圍繞數字證書應用,為電子政府信息網絡中各種業務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業務系統中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。目前要加強身份認證、數據完整性、數據加密、數字簽名等工作。對于電子商務中的各種敏感數據進行數據加密處理,并且在數據傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數據和特定權限。“在涉及多個對等實體間的交互認征時,應采用基于PKI技術,借助第三方(CA)頒發的數字證書數字簽名來確認彼此身份。”為了從根本上保證我國網絡的安全,我同安全產品的應用應建立在國內自主研發的產品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業加快數字安全技術的研究,以提高我國信息企業的技術和管理水平,促進我同電子商務安全建設。
4.加強技術管理,努力做到使用安全。首先是在內部嚴格控制企業內部人員對網絡共享資源的隨意使用。在內網中,除有特殊需要不要輕易開放共享目錄,對有經常交換信息要求的用戶,在共享時應該加密,即只有通過密碼的認證才允許訪問數據。二是對涉及秘密信息的用戶主機,使用者在應用過程中應該做到盡可能少開放一些不常用的網絡服務,同時封閉一些不用的端口。并對服務器中的數據庫進行安全備份。三是切實保證媒體安全。包括媒體數據的安全及媒體本身的安全。要防止系統信息在物理空間上的擴散。為了防止系統中的信息在物理空間上的擴散,應在物理上采取一定的防護措施,如進行一定的電磁屏蔽,減少或干擾擴散出去的空間信號。這樣做,對確保企業電子商務安全將發揮重要作用。
5.健全法律,嚴格執法。目前我國在電子商務法律法規方面還有很多缺失,不能有效地保護公眾的合法權益,給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布《個人隱私保護法》、《商業秘密保護法》、《數據庫振興法》、《信息網絡安全法》、《電子憑證(票據)法》、《網上知識產權法》等一系列法律,使電子商務安全管理走上法制化軌道。使網絡控制、信息控制、信息資源管理和防止泄密有法可依,并得到技術上的支撐。健全電子商務安全標準認證和質量檢測機制,由國家主管部門組織制定有關電子商務安全條例規定,并發揮職能部門的監管作用。通過建立電子商務安全法規體系,規范和維持網絡的正常運行。
參考文獻:
[1]許寧寧.電子商務安全的現狀與趨勢[J].中國電子商務,2010,(1).
篇9
一、電子商務的安全性要求
(一)電子商務活動安全性的要求
一是服務的有效性要求,電子商務系統應能防止服務失敗情況的發生,預防由于網絡故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能準確快速的傳送。二是交易信息的保密性要求,電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。三是數據完整性要求,數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。四是身份認證的要求,電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
(二)電子商務的安全要素
一是信息真實性、有效性,電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。二是信息機密性,電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。三是信息完整性,電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。四是信息可靠性、可鑒別性和不可抵賴性,可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
二、電子商務運用的安全技術
(一)網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而做出允許或拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的網絡系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機,或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。
(二)通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。(三)應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制,程序員認為這個缺省的許可是正確的。這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度,假的輸入字符串常常是可執行的命令,特權程序可以執行指令。
(四)用戶的認證管理
一是身份認證,電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。二是CA證書,要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心發行。認證中心就是承擔網上安全交易認證服務,能簽發數字證書,并能確認戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。三是SSL協議,SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議以保證應用層數據傳輸的安全性。
三、完善電子商務安全的配套措施
電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須完善配套措施:
一要突破關鍵技術受制于人的瓶頸。二要盡快對電子商務的有關細則進行立法。三要大力開發大型商務網站,發展與之相配套的物流公司。四要建立嚴格的內部安全機制。五要建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。六要對重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。安全實際上就是一種風險管理,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。
參考文獻:
篇10
一、電子商務的安全性要求
(一)電子商務活動安全性的要求
一是服務的有效性要求,電子商務系統應能防止服務失敗情況的發生,預防由于網絡故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能準確快速的傳送。二是交易信息的保密性要求,電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。三是數據完整性要求,數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。四是身份認證的要求,電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
(二)電子商務的安全要素
一是信息真實性、有效性,電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。二是信息機密性,電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。三是信息完整性,電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。四是信息可靠性、可鑒別性和不可抵賴性,可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
二、電子商務運用的安全技術
(一)網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而做出允許或拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的網絡系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機,或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。
(二)通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制, SSL 首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。/ (三)應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制,程序員認為這個缺省的許可是正確的。這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度,假的輸入字符串常常是可執行的命令,特權程序可以執行指令。
(四)用戶的認證管理
一是身份認證,電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份, IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。二是CA證書,要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心發行。認證中心就是承擔網上安全交易認證服務,能簽發數字證書,并能確認戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。三是SSL協議,SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議以保證應用層數據傳輸的安全性。
篇11
一、前言
近年來,隨著因特網的普及日漸迅速,電子交易開始融入人們的日常生活中,網上訂貨、網上繳費等眾多電子交易方式為人們創造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種信息,并進行各種交易。電子商務網站傳遞各種商務信息依靠的是互聯網,而互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅。
從發展趨勢來看,電子商務正在形成全球性的發展潮流。電子商務的存在和發展,是以網絡技術的革新為前提。電子商務系統的構建、運行及維護,都離不開技術的支持。同時,因為電子商務適合于各種大、小型企業,所以應充分考慮如何保證電子商務網站的安全。
二、電子商務網站的安全控制
電子商務的基礎平臺是互聯網,電子商務發展的核心和關鍵問題就是交易的安全性。由于Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求。
下面從技術手段的角度,從系統安全與數據安全的不同層面來探討電子商務中出現的網絡安全問題。
(一)系統安全
在電子商務中,網絡安全一般包括以下兩個方面:
1.信息保密的安全
交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
2.交易者身份的安全
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會考慮網上的商店是否是黑店。因此能方便而可靠地確認對方身份是交易的前提。
對于一個企業來說,信息的安全尤為重要,這種安全首先取決于系統的安全。系統安全主要包括網絡系統、操作系統和應用系統三個層次。系統安全采用的技術和手段有冗余技術、網絡隔離技術、訪問控制技術、身份鑒別技術、加密技術、監控審計技術、安全評估技術等。
(1)網絡系統
網絡系統安全是網絡的開放性、無邊界性、自由性造成,安全解決的關鍵是把被保護的網絡從開放、無邊界、自由的環境中獨立出來,使網絡成為可控制、管理的內部系統,由于網絡系統是應用系統的基礎,網絡安全便成為首要問題。解決網絡安全主要方式有:
網絡冗余——它是解決網絡系統單點故障的重要措施。對關鍵性的網絡線路、設備,通常采用雙備份或多備份的方式。網絡運行時雙方對運營狀態相互實時監控并自動調整,當網絡的一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配,保證網絡正常的運行。
系統隔離——分為物理隔離和邏輯隔離,主要從網絡安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問,從而達到安全目的。對業務網絡或辦公網絡采用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網。
訪問控制——對于網絡不同信任域實現雙向控制或有限訪問原則,使受控的子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要解決網絡的邊界的控制和網絡內部的控制,對于網絡資源來說保持有限訪問的原則,信息流向則可根據安全需求實現單向或雙向控制。訪問控制最重要的設備就是防火墻,它一般安置在不同安全域出入口處,對進出網絡的IP信息包進行過濾并按企業安全政策進行信息流控制,同時實現網絡地址轉換、實時信息審計警告等功能,高級防火墻還可實現基于用戶的細粒度的訪問控制。
身份鑒別——是對網絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名、口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動態口令卡和令牌卡等;三是主體特征或能力,如指紋、聲音、視網膜、簽名等。加密是為了防止網絡上的竊聽、泄漏、篡改和破壞,保證信息傳輸安全,對網上數據使用加密手段是最為有效的方式。目前加密可以在三個層次來實現,即鏈路層加密、網絡層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網絡高層主體是透明的。網絡層加密采用IPSEC核心協議,具有加密、認證雙重功能,是在IP層實現的安全標準。通過網絡加密可以構造企業內部的虛擬專網(VPN),使企業在較少投資下得到安全較大的回報,并保證用戶的應用安全。
安全監測——采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡掃描監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征,廣泛用于各行各業。網絡掃描是針對網絡設備的安全漏洞進行檢測和分析,包括網絡通信服務、路由器、防火墻、郵件、WEB服務器等,從而識別能被入侵者利用非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成詳細報告,包括位置、詳細描述和建議的改進方案,使網管能檢測和管理安全風險信息。
(2)操作系統
操作系統是管理計算機資源的核心系統,負責信息發送、管理設備存儲空間和各種系統資源的調度,它作為應用系統的軟件平臺具有通用性和易用性,操作系統安全性直接關系到應用系統的安全,操作系統安全分為應用安全和安全漏洞掃描。
應用安全——面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護與恢復軟件,并作相應的備份。
系統掃描——基于主機的安全評估系統是對系統的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數據免受盜用、破壞。
(3)應用系統
辦公系統文件(郵件)的安全存儲:利用加密手段,配合相應的身份鑒別和密鑰保護機制(IC卡、PCMCIA安全PC卡等),使得存儲于本機和網絡服務器上的個人和單位重要文件處于安全存儲的狀態,使得他人即使通過各種手段非法獲取相關文件或存儲介質(硬盤等),也無法獲得相關文件的內容。
文件(郵件)的安全傳送:對通過網絡(遠程或近程)傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制(IC卡、PCMCIAPC卡)才能解密并閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用于信息網中的報表傳送、公文下發等。
業務系統的安全:主要面向業務管理和信息服務的安全需求。對通用信息服務系統(電子郵件系統、WEB信息服務系統、FTP服務系統等)采用基于應用開發安全軟件,如安全郵件系統、WEB頁面保護等;對業務信息可以配合管理系統采取對信息內容的審計稽查,防止外部非法信息侵入和內部敏感信息泄漏。
(二)數據安全
數據安全牽涉到數據庫的安全和數據本身安全,針對兩者應有相應的安全措施。
數據庫安全——大中型企業一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數據庫,基于數據庫的重要性,應在此基礎上開發一些安全措施,增加相應控件,對數據庫分級管理并提供可靠的故障恢復機制,實現數據庫的訪問、存取、加密控制。具體實現方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。
數據安全——指存儲在數據庫數據本身的安全,相應的保護措施有安裝反病毒軟件,建立可靠的數據備份與恢復系統,某些重要數據甚至可以采取加密保護。
(三)網絡交易平臺的安全
網上交易安全位于系統安全風險之上,在數據安全風險之下。只有提供一定的安全保證,在線交易的網民才會具有安全感,電子商務網站才會具有發展的空間。
交易安全標準——目前在電子商務中主要的安全標準有兩種:應用層的SET(安全電子交易)和會話層SSL(安全套層)協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構;后者由NETSCAPE公司提出針對數據的機密性/完整性/身份確認/開放性的安全協議,事實上已成為WWW應用安全標準。
交易安全基礎體系——交易安全基礎是現代密碼技術,依賴于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發困難、管理不便的弱點;非對稱密鑰加密速度慢,但便于密鑰分發管理。通常把兩者結合使用,以達到高效安全的目的。
交易安全的實現——交易安全的實現主要有交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的抵賴等等。具體實現的途徑是交易各方具有相關身份證明,同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。
隨著電子商務的發展,網上交易越來越頻繁,調用每項服務時需要用戶證明身份,也需要這些服務器向客戶證明他們自己的身份。而保障身份安全的最有效的技術就是PKI技術。
PKI的應用在我國還處于起步階段,目前我國大多數企業只是在應用它的CA認證技術。CA(CertificationAuthorty)是一個確保信任度的權威實體,主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,并能很好地和其他廠家的CA產品兼容。在不久的將來,PKI技術會在電子商務和網絡安全中得到更廣泛的應用,從而真正保障用戶和商家的身份安全。
三、目前信息安全的研究方向
從歷史角度看,我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域,它綜合利用了數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。
安全協議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態機、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網絡信息系統密鑰管理的困難,同時解決了數字簽名問題,它是當前研究的熱點。
目前電子商務的安全性已是當前人們普遍關注的焦點,它正處于研究和發展階段,并帶動了論證理論、密鑰管理等研究。由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術出處于探索之中。在我國,信息網絡安全技術的研究和產品開發雖處于起步階段,有大量的工作需要我們去研究、開發和探索,但我們相信在不久的將來,會走出一條有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國信息網絡的安全,推動我國國民經濟的高速發展。
四、結束語
電子商務是以互聯網為活動平臺的電子交易,它是繼電子貿易(EDI)之后的新一代電子數據交換形式。計算機網絡的發展與普及,直接帶動電子商務的發展。因此計算機網絡安全的要求更高,涉及面更廣,不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取,以保證系統本身安全性,如服務器自身穩定性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道等等。對重要商業應用,還必須加上防火墻和數據加密技術加以保護。在數據加密方面,更重要的是不斷提高和改進數據加密技術,使不法分子難有可乘之機。
參考文獻:
[1]佚名.解析電子商務安全[EB/OL].
[2]佚名.網絡構建與維護[EB/OL].,2006-07-16.
篇12
隨著開放的互聯網絡系統Internet的飛速發展,電子商務的應用和推廣極大了改變了人們工作和生活方式,帶來了無限的商機。然而,電子商務發展所依托的平臺—互聯網絡卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展;此外,電子商務的發展還面臨著嚴峻的內部風險,電子商務企業內部對安全問題的盲目和安全意識的淡薄,高層領導對電子商務的運作和安全管理重視程度不足,使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此,在考察電子商務運行環境、提供電子商務安全解決方案的同時,有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。
電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析,并在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。
2 電子商務面臨的安全風險
由于網絡的復雜性和脆弱性,以因特網為主要平臺的電子商務的發展面臨著嚴峻的安全問題。一般來說,電子商務普遍存在著以下幾個安全風險:
1)信息的截獲和竊取
這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機密。
2)信息的篡改
網絡攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入,并發往目的地,從而達到破壞信息完整性的目的。
3)拒絕服務
拒絕服務是指在一定時間內,網絡系統或服務器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬件的認為破壞。
4)系統資源失竊問題
在網絡系統環境中,系統資源失竊是常見的安全威脅。
5)信息的假冒
信息的假冒是指當攻擊者掌握了網絡信息數據規律或解密了商務信息后,可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易,偽造電子郵件等。
6)交易的抵賴
交易抵賴包括發信者事后否認曾經發送過某條信息;買家做了定單后不承認;賣家賣出的商品因價格差而不承認原先的交易等。
3 風險管理規則
針對電子商務面臨的各種安全風險,電子商務企業不能被動、消極地應付,而應該主動采取措施維護電子商務系統的安全,并監視新的威脅和漏洞。因此,這就需要制定完整高效的電子商務安全風險管理規則。
一般來說,風險管理規則的制定過程有評估、開發和實施以及運行三個階段。
(1)評估階段
該階段的主要任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。
對電子商務安全現狀的評估是制定風險管理規則的基礎。
對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估,以便確定相適應的風險管理規則,從而避免投入成本和要保護的信息和資產的嚴重不匹配。
安全風險識別要求盡可能地發現潛在的安全風險,應收集有關各種威脅、漏洞、開發和對策的信息。
安全風險分析是確定風險,收集信息,對可能造成的損失進行評價以估計風險的級別,以便做出明智的決策,從而采取措施來規避安全風險。
(2)開發和實施階段
該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。
風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略,其中涉及配置管
理、修補程序管理、系統監視與審核等等。
在完成對風險補救措施的開發后,即進行安全風險補救措施的測試,在測試過程中,將按照安全風險的控制效果來評估對策的有效性。
(3)運行階段
運行階段的主要任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程,也是執行安全配置管理的過程。
運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個過程由系統管理、安全管理和網絡管理小組來共同實施。
以上風險管理規則的三個階段可以用下圖來表示:
4 風險管理步驟
風險管理是識別風險、分析風險并制定風險管理計劃的過程。電子商務安全風險的管理和控制方法,它包括風險識別、風險分析、風險控制以及風險監控等四個方面。
(1)風險識別
電子商務系統的安全要求是通過對風險的系統評估而確認的。為了有效管理電子商務安全風險,識別安全風險是風險管理的第一步。
風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上,識別各種可能對電子商務系統造成潛在威脅的安全風險。
風險識別的手段五花八門,對于電子商務系統的安全來說,風險識別的目標是主要是對電子商務系統的網絡環境風險、數據存在風險和網上支付風險進行識別。
需要注意的是,并非所有的電子商務安全風險都可以通過風險識別來進行管理,風險識別只能發現已知的風險或根據已知風險較容易獲知的潛在風險。而對于大部分的未知風險,則依賴于風險分析和控制來加以解決或降低。
(2)風險分析
風險分析是運用分析、比較、評估等各種定性、定量的方法,確定電子商務安全各風險要素的重要性,對風險排序并評估其對電子商務系統各方面的可能后果,從而使電子商務系統項目實施人員可以將主要精力放在對付為數不多的重要安全風險上,使電子商務系統的整體風險得到有效的控制。風險分析是一種確定風險以及對可能造成的損失進行評估的方法,它是制定安全措施的依據。
風險分析的目標是:確定風險,對可能造成損壞的潛在風險進行定性化和定量化,以及最后在經濟上尋求風險損失和對風險投入成本的平衡。
目前,風險分析主要采用的方法有:風險概率/影響評估矩陣,敏感性分析,模擬等。在進行電子商務安全風險分析時,由于各影響因素量化在現實上的困難,可根據實際需要,主要采用定性方法為主輔以少量定量方法相結合來進行風險分析,為制定風險管理制度和風險的控制提供理論上的依據。
(3)風險控制
風險控制就是選擇和運用一定的風險控制手段,以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環節,是決定風險管理成敗的關鍵因素。電子商務安全風險控制的目標在于改變企業電子商務項目所承受的風險程度。
一般來說,風險控制方法有兩類:
第一類是風險控制措施,比如降低、避免、轉移風險和損失管理等。在電子商務安全風險管理中,比較常用的是轉移風險和損失管理。
第二類為風險補償的籌資措施,包括保險與自擔風險。在電子商務安全風險
管理中,管理人員需要對風險補償的籌資措施進行決策,即選擇保險還是自擔風險。
此外,風險控制方法的選擇應當充分考慮相對風險造成損失的成本,當然其它方面的影響也是不容忽視的,如企業商譽等。
對電子商務安全來說,其有效可行的風險控制方法是:建立完整高效的降低風險的安全性解決方案,掌握保障安全性所需的一些基礎技術,并規劃好發生特定安全事故時企業應該采取的解決方案。
5 風險管理對策
由于電子商務安全的重要性,所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在于消除潛在的威脅和安全漏洞,從而降低電子商務系統環境所面臨的風險。
目前的電子商務安全風險管理對策中,較為常用的是縱深防御戰略,所謂縱深防御戰略,就是深層安全和多層安全。通過部署多層安全保護,可以確保當其中一層遭到破壞時,其它層仍能提供保護電子商務系統資源所需的安全。比如,一個單位外部的防火墻遭到破壞,由于內部防火墻的作用,入侵者也無法獲取單位的敏感數據或進行破壞。在較為理想的情況下,每一層均提供不同的對策以免在不同的層中使用相同的攻擊方法。
下圖為一個有效的縱深防御策略:
圖2 有效的縱深防御策略
下面就各層的主要防御內容從外層到里層進行簡要的說明:
1)物理安全
物理安全是整個電子商務系統安全的前提。制定電子商務物理安全策略的目的在于保護計算機系統、電子商務服務器等各電子商務系統硬件實體和通信鏈路免受自然災害和人為破壞造成的安全風險。
2)周邊防御
對網絡周邊的保護能夠起到抵御外界攻擊的作用。電子商務系統應盡可能安裝某種類型的安全設備來保護網絡的每個訪問節點。在技術上來說,防火墻是網絡周邊防御的最主要的手段,電子商務系統應當安裝一道或多道防火墻,以確保最大限度地降低外界攻擊的風險,并利用入侵檢測功能來及時發現外界的非法訪問和攻擊。
3)網絡防御
網絡防御是對網絡系統環境進行評估,采取一定措施來抵御黑客的攻擊,以確保它們得到適當的保護。就目前來說,網絡安全防御行為是一種被動式的反應行為,而且,防御技術的發展速度也沒有攻擊技術發展得那么快。為了提高網絡安全防御能力,使網絡安全防護系統在攻擊與防護的對抗中占據主動地位,在網絡安全防護系統中,除了使用被動型安全工具(防火墻、漏洞掃描等)外,也需要采用主動型安全防護措施(如:網絡陷阱、入侵取證、入侵檢測、自動恢復等)。
4)主機防御
主機防御是對系統中的每一臺主機進行安全評估,然后根據評估結果制定相應的對策以限制服務器執行的任務。在主機及其環境中,安全保護對象包括用戶應用環境中的服務器、客戶機以及其上安裝的操作系統和應用系統。這些應用能夠提供包括信息訪問、存儲、傳輸、錄入等在內的服務。根據信息保障技術框架,對主機及其環境的安全保護首先是為了建立防止有惡意的內部人員攻擊的首道防線,其次是為了防止外部人員穿越系統保護邊界并進行攻擊的最后防線。
5)應用程序防御
作為一個防御層,應用程序的加固是任何一種安全模型中都不可缺少的一部分。加強保護操作系統安全只能提供一定程度的保護。因此,電子商務系統的開發人員有責任將安全保護融入到應用程序中,以便對體系結構中應用程序可訪問到的區域提供專門的保護。應用程序存在于系統的環境中。
6)數據防御
對許多電子商務企業來說,數據就是企業的資產,一旦落入競爭者手中或損壞將造成不可挽回的損失。因此,加強對電子商務交易及相關數據的防護,對電子商務系統的安全和電子商務項目的正常運行具有重要的現實意義
6 結論
一般來說,風險管理有基本的三個對策,包括管理者采取適當措施來降低風險事故發生的概率;管理者準備并實施一個意外事故應急計劃以備不測;還有就是管理者什么都不做。對已選定的對策,應對其潛在的風險有充分的估計,并制定相應的應變計劃,以使可能的風險損失降到最低。
風險管理沒有鐵定的規則,對于電子商務安全風險管理來說,首先是掃描和檢測電子商務系統的內外部環境,檢查系統的脆弱性和薄弱環節,及時打上補丁和追加設備,以便當風險產生時盡可能地減少損失;其次是對電子商務安全風險進行充分地分析,然后制定相應的規劃和措施,并在其實施的每個階段進行監控和跟蹤;最后是根據環境的變化隨時調險管理措施,制定完備的災難恢復計劃。
參考文獻
[1]甘早斌.電子商務概論(第二版).華中科技大學出版社.2003.9
[2]鐘誠.電子商務安全.重慶大學出版社.2004.6
[3]才書訓.電子商務安全風險管理與控制.東北大學出版社.2004.6
[4]易珊,張學哲.電子商務安全策略分析.科技情報開發與經濟.2004.5
[5]高新亞,鄒靜.電子商務安全的風險分析和風險管理.武漢理工大學學報.信息與管理工程版.2005.8
[6]郭學勤,陳怡.電子商務安全對策.計算機與數字工程.2001.7
篇13
一、電子商務安全評估概述
1.電子商務安全評估的定義。電子商務安全評估是運用系統的方法,對電子商務系統、各種電子商務安全保護措施、管理機制以及結合所產生的客觀效果作出是否安全的結論。
2.電子商務安全評估的重要性。由于信息技術本身有其固有的敏感性和特殊性,這就使得對企業電子商務產品是否安全,電子商務安全產品及其網絡系統是否可靠,企業電子商務系統是否健壯,電子商務管理是否嚴格,信息風險防范的準備是否充足等方面都成為需要科學評價和證實的問題。電子商務安全系統所保護的是敏感信息,評估必須可靠、可信、可操作,并且能依賴于成熟的信息安全理論、科學的評估方法和完善的標準體系,具有令人信服的科學性和公正性。
3.電子商務安全評估的主要內容。具體來講,電子商務安全評估的主要內容有環境控制、應用安全、管理機制、遠程通信安全、審計機制等五個方面的內容。環境控制分為實體的、操作系統的及管理的三個部分。應用安全包括輸出輸入控制、系統內部控制、責任劃分、輸出的用途、程序的敏感性和脆弱性、用戶滿意度等。管理機制包括規章制度、緊急恢復措施、人事制度(如防止工作人員調入、調離對安全的影響)等。遠程通信安全包括加密、數據簽名等。審計機制包括系統審計跟蹤的功能和成效等。
二、電子商務安全
1.電子商務安全需求。在電子商務中,任何與交易有關的信息都通過網絡交換,都有可能會被篡改、竊聽、冒名使用或交易后否認。保證電子商務的安全需提供以下安全保護:(1)完整性保護。確保消息內容在傳輸和處理過程中沒有被添加、刪除或修改。(2)真實性保護。能對交易者身份進行鑒別,為身份的真實性提供保證。(3)機密性保護。能防止電子商務參與者的信息在存儲、處理、傳輸過程中泄漏給未經授權的人或實體。(4)抗抵賴。抗抵賴就是為交易的雙方提供證據,以解決因否認而產生的糾紛。它實際上建立了交易雙方的責任機制。
2.電子商務安全隱患。電子商務不但面臨著其系統自身的安全性問題,計算機及通信網絡的安全性問題同樣會蔓延到電子商務中。歸結起來,電子商務中的安全患主要有其應用層、傳輸層、存儲層和系統層等四個方面:(1)系統層安全性漏洞。電子商務系統的運作須以系統層的軟硬件為基礎,因此系統層所的安全性漏洞將直接會造成電子商務中的安全患。(2)存儲層的安全漏洞。存儲層的安全漏洞包括兩個方面的問題:1)意外情況造成的數據破壞。無論多么穩定的系統,意外情況總是不可避免的,電子商務系統也不例外。如果對意外情況造成的損失沒有充分的估計和完備的補救措施,那么意外情況造成的數據破壞是不可避免的。而數據破壞將對整個電子商務系統的穩定性和安全性造成威脅。2)有意人為侵害造成的破壞。電子商務起步不久,安全性措施尚不完善,是網絡黑客攻擊的焦點。黑客往往利用電子商務系統中的種種安全性漏洞,竊取和破壞系統數據,甚至修改系統,對整個系統的正常運作造成嚴重危害。因此,一個成功的電子商務系統必須能有效的防止人為侵害。(3)傳輸層的安全漏洞。傳輸層的安全漏洞包括傳輸過程中的數據截獲電子商務系統中的數據在傳輸過程中可能受到截獲,傳輸過程中的數據完整性破壞以及跨平臺數據交換引起的數據丟失等三個方面的問題。(4)應用層的安全漏洞。應用層的安全漏洞包括冒充他人身份和抵賴已經做過的交易兩個方面的問題。
3.電子商務安全要求。(1)信息的有效性要求。電子形式貿易信息的有效性則是電子商務活動的前提。電子商務信息的有效性將直接關系到個人、企業或國家的經濟利益和聲譽。一旦簽訂交易后,這項交易就應受到保護以防止被篡改或偽造。(2)信息的保密性要求。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。電子商務是建立在開放的網絡環境上,維護商業機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。(3)信息的完整性要求。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。(4)信息的不可抵賴性要求。電子商務可能直接關系到貿易雙方的商業交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方,這一問題則是保證電子商務順利進行的關鍵。(5)交易身份的真實性要求。交易者身份的真實性是指交易雙方確實是存在的。網上交易的雙方要使交易成功,必須互相信任,確認對方真實,對商家要考慮客戶是否有信譽。(6)系統的可靠性要求。電子商務系統的可靠性是指防止由于計算機失效、程序錯誤、傳輸錯誤、硬件故障、系統軟件錯誤、數據庫出錯、計算機病毒和自然災害所產生的潛在威脅,并加以控制和預防,確保系統安全可靠性。保證計算機系統的安全是保證電子商務系統數據傳輸及電子商務完整性檢查的正確和可靠的根基。
4.電子商務安全技術。通過使用各種密碼技術,可以滿足不同的安全需求。(1)完整性保護技術。完整性保護技術是用于提供消息認證的安全機制。典型的完整性保護技術是消息認證碼是將利用一個帶密鑰的雜湊函數對消息進行計算,產生消息認證碼,并將它附著在消息之后一起傳給接收方,接收方在收到消息后可以重新計算消息認證碼,并將其與接收到的消息認證碼進行比較:如果它們相等,接收方就認為消息沒有被篡改;如果它們不相等,接收方就知道消息在傳輸過程中被篡改了。(2)真實性保護技術。真實性保護技術用來確認某一實體所聲稱的身份,以對抗假冒攻擊。在電子商務中,交易信息通過網絡轉發,可能在傳輸過程有一定的延遲,需要通過數據源鑒別來確認交易信息的真正來源。(3)機密性保護技術。機密性保護技術是為了防止敏感數據泄漏給那些未經授權的實體。(4)抗抵賴技術。抗抵賴技術是為了防止惡意主體事后否認所發生的事實或行為。要解決上述問題,必須在每一事件發生時,留下關于該事件的不可否認證據。當出現糾紛時,可由可信第三方驗證這些留下的證據.這些證據必須具有不可偽造或防篡改的特點。
三、電子商務安全評估的標準
標準是技術性法規,作為一種依據和尺度。沒有標準,國家有關的立法、執法就會因缺乏相應的技術尺度而失之偏頗,最終會給國家信息安全的管理帶來嚴重后果,建立評估標準的目的是建立一個世界各國都能接受的通用的信息安全產品和系統的安全性評價準則,國家與國家之間可以通過簽訂互認協議,決定相互接受的認可級別,這樣就能使大部分的基礎性安全機制在任何一個地方通過評估準則評價并得到許可進入國際市場時,不需要再作評價,使用國只需要測試與國家和安全相關的安全功能即可,從而可以大幅度節省評價支出并迅速推向市場。但是,由于信息安全產品和系統的安全性評價事關國家和安全利益,所以沒有一個國家會把事關國家安全利益的信息安全產品和系統的安全可信性建立在別人的評價基礎上,而是在充分借鑒國際標準的前提下,制定自己的測評認證標準。在計算機信息技術安全標準發展的歷史上,美國、加拿大、歐盟以及中國開發出了多種計算機系統及產品安全評估準則與標準。
四、電子商務安全的國際評估標準
1.TCSEC――美國計算機安全標準。TCSEC―可信計算機系統評估準則。1985年,美國了第一個計算機安全標準,即現在經常談論的可信計算機系統評估準則(TCSEC),由于采用了橘色書皮,也稱“橘皮書”。TCSEC中定義的準則主要涉及商用可信自動數據處理系統。準則中描繪了不同安全等級的最低要求特點和可信措施。其目的之一是為生產廠家提供一種安全標準,二是為國防部評估信息產品可信度提供一種安全量度,三是為了產品規格中規定的安全要求提供基準。可信計算機系統評估準則的安全等級分為A、B、C、D四級。其中A為最高級,D為最低級。每級的具體劃分確定按安全策略、可計算性、可信賴性和文件編制四個方面進行。
2.ITSEC――歐洲信息技術安全評估準則。歐洲信息技術安全評估準則(ITSEC)將安全功能和功能評估的概念區分開來。每個產品最少給出兩個基本參數,其中一個是安全功能,另一個是實現的準確性。功能性準則的度量范圍為F1~F10共十級,其中F1對應了TCSEC的C1級……F5對應于B3級。F6~F10的功能和規格添加了下述一些概念:F6添加了數據和程序的完整性概念;F7添加了系統可用性概念;F8添加了數據通信完整性概念;F9添加了通信機密性概念;F10添加了網絡安全,包括機密性和完整性概念。
參考文獻:
[1]劉艷慧.電子商務及其安全性研究與應用[D].天津:天津大學,2008.
