引論：我們?yōu)槟砹?3篇電子商務(wù)信息安全范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

一、我國電子商務(wù)發(fā)展概況

由于網(wǎng)絡(luò)環(huán)境具有開放性的特點(diǎn)，電子商務(wù)使企業(yè)、消費(fèi)者可以通過網(wǎng)絡(luò)進(jìn)行交易，極大的豐富了人們購物的方式。而隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，電子商務(wù)相關(guān)技術(shù)也越來越完善，市場(chǎng)環(huán)境愈加成熟，以電子商務(wù)為主的網(wǎng)上交易模式得到了廣大人民的青睞。電子商務(wù)不但使得交易模式更加快捷，讓消費(fèi)者可以通過電子商務(wù)平臺(tái)輕松購買到自己想要的商品，從商家的立場(chǎng)來說，還促使商家構(gòu)建出自己的電子商務(wù)網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)商品的網(wǎng)絡(luò)在線銷售，極大的提高了企業(yè)的經(jīng)濟(jì)效益。我國企業(yè)電子商務(wù)模式種類繁多，其差異主要體現(xiàn)在交易模式及付款方式的不同，有B2B、B2C、C2C等模式，這里B指的是Business，即企業(yè)，C指的是Customer，即客戶。

B2B模式中的交易雙方都是企業(yè)用戶，大多通過網(wǎng)絡(luò)形成交易合同，然后通過現(xiàn)實(shí)銀行支票或轉(zhuǎn)賬等方式進(jìn)行付款；在C2C模式中，交易雙方是個(gè)人對(duì)個(gè)人的交易形式，其中以淘寶店主作為主要代表，商務(wù)活動(dòng)主要是個(gè)人與個(gè)人之見的交易活動(dòng)，雙方通過第三方網(wǎng)站支付平臺(tái)進(jìn)行相應(yīng)的付款與收款交接；在B2C模式中，交易雙方中的一方是企業(yè)，另外一方是個(gè)人，電商企業(yè)通過電子商務(wù)銷售平臺(tái)將商品推銷給個(gè)體消費(fèi)者。這種電子商務(wù)經(jīng)營模式，徹底的改變了傳統(tǒng)的賣家―經(jīng)銷商―買家的交易模式，極大的提高了企業(yè)的經(jīng)濟(jì)效益，并且縮短了交易的時(shí)間。

二、當(dāng)前電子商務(wù)信息安全現(xiàn)狀

電子商務(wù)作為一種新型的商業(yè)經(jīng)營模式，使商務(wù)活動(dòng)交易雙方在不見面的情況下，通過互聯(lián)網(wǎng)手段完成商業(yè)交易，而這一特點(diǎn)也給電子商務(wù)信息埋下了安全隱患。電子商務(wù)高度網(wǎng)絡(luò)化的特點(diǎn)，對(duì)電子商務(wù)安全性有著較高的要求。第一，要嚴(yán)格化用戶信息數(shù)據(jù)傳輸、處理以及存儲(chǔ)的過程，確保在商務(wù)活動(dòng)交易過程中交易雙方信息的完整性，避免交易雙方信息在處理的過程中出現(xiàn)錯(cuò)誤；第二，要對(duì)交易雙方的身份進(jìn)行核實(shí)認(rèn)證，保障交易過程中交易雙方身份信息的真實(shí)性，第三，要保障電子商務(wù)交易平臺(tái)系統(tǒng)軟件的穩(wěn)定性，定期更新硬件設(shè)備，在最大程度上保證電子商務(wù)信息安全，加強(qiáng)電子商務(wù)的安全技術(shù)和安全管理，以確保電子商務(wù)的信息安全性。當(dāng)前電子信息安全問題主要表現(xiàn)為以下形式：

（一）病毒與黑客

由于網(wǎng)絡(luò)環(huán)境的開放性特點(diǎn)，網(wǎng)絡(luò)病毒具有極強(qiáng)的傳染力和破壞力，它侵入到電子商務(wù)的系統(tǒng)中，破壞商務(wù)交易數(shù)據(jù)程序，對(duì)電子商務(wù)系統(tǒng)造成無法估量的損失。而網(wǎng)絡(luò)黑客主要通過黑客程序進(jìn)入電子商務(wù)信息系統(tǒng)漏洞，進(jìn)而侵入到電子商務(wù)系統(tǒng)中，竊取用戶私人信息進(jìn)行惡意利用，有些黑客竊取競(jìng)爭(zhēng)對(duì)手的商業(yè)機(jī)密對(duì)其進(jìn)行商業(yè)打擊。

（二）軟件漏洞

由于計(jì)算機(jī)軟件編程具有復(fù)雜多樣的特點(diǎn)，電子商務(wù)系統(tǒng)軟件經(jīng)常出現(xiàn)信息泄露的問題。如果程序中的文檔秘密入口被其他程序員惡意使用，將導(dǎo)致無法估量的損失；而由于操作系統(tǒng)自身的安全漏洞，例如訪問控制混亂、I/O非法訪問、不完全中介、數(shù)據(jù)庫安全漏洞等等，都將嚴(yán)重危害電子商務(wù)系統(tǒng)的信息安全，在TCP/IP的通信協(xié)議設(shè)計(jì)初期階段，程序員沒有充分考慮軟件安全的問題，導(dǎo)致計(jì)算機(jī)在連接Internet時(shí)，經(jīng)常受到外界各類惡意軟件的攻擊，使得信息被竊取。

（三）技術(shù)落后

由于我國網(wǎng)絡(luò)信息技術(shù)發(fā)展滯后，當(dāng)前電子商務(wù)系統(tǒng)中仍存在信息安全問題。當(dāng)前我國多數(shù)計(jì)算機(jī)設(shè)備皆來源于進(jìn)口，計(jì)算機(jī)芯片技術(shù)不成熟，網(wǎng)絡(luò)設(shè)備的技術(shù)及維護(hù)技術(shù)大多從國外引進(jìn)，如果軟件中隱性漏洞被人惡意利用，將造成嚴(yán)重的電子商務(wù)信息安全問題。

三、電子商務(wù)信息安全防范措施分析

（一）電子商務(wù)法規(guī)制度

企業(yè)需要做好管理體制的建設(shè)工作，不斷加強(qiáng)內(nèi)部的安全管理，提高企業(yè)的安全意識(shí)，為了保證電子商務(wù)活動(dòng)中用戶的隱私。同時(shí)政府需要不斷完善電子商務(wù)相關(guān)法規(guī)，制定科學(xué)合理的賠償制度，為電子商務(wù)的發(fā)展創(chuàng)造必要的法律環(huán)境。

（二）病毒防范處理技術(shù)

計(jì)算機(jī)病毒防范處理技術(shù)是保證電子商務(wù)系統(tǒng)信息安全的重要途徑。病毒管理工作要堅(jiān)持防范大于治療的原則，使用各種病毒預(yù)防方法來進(jìn)行預(yù)防，例如對(duì)新購入的計(jì)算機(jī)硬件及軟件進(jìn)行嚴(yán)格化檢測(cè)、定期進(jìn)行數(shù)據(jù)備份等，同時(shí)設(shè)置合理的文件訪問權(quán)限、對(duì)文件進(jìn)行定期掃描檢測(cè)。此外，定期更改系統(tǒng)管理員口令，以免不法分子非法獲取管理員口令，安裝防病毒芯片，做好病毒防御工作。若電子商務(wù)的計(jì)算機(jī)系統(tǒng)感染病毒，必須立即對(duì)其進(jìn)行清除和系統(tǒng)恢復(fù)的工作。在清除病毒時(shí)需要使用干凈盤來進(jìn)行系統(tǒng)恢復(fù)，保證殺毒工作處于無病毒環(huán)境中，同時(shí)盡快找出病毒宿主程序，在啟動(dòng)盤和殺毒盤上安裝保護(hù)程序，防止病毒的進(jìn)一步傳染。此外，要保證病毒清除工作的全面性與準(zhǔn)確性，及時(shí)清除病毒文件。如此才能徹底清除電子商務(wù)系統(tǒng)感染的病毒，保證電子商務(wù)用戶的信息安全。

（三）數(shù)據(jù)加密技術(shù)

加密技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)的基礎(chǔ)技術(shù)之一，大多被應(yīng)用于數(shù)據(jù)存儲(chǔ)與傳輸?shù)倪^程中。數(shù)據(jù)加密技術(shù)使用數(shù)學(xué)方法將信息進(jìn)行再組織和加密，使非法接受者無法正常接收網(wǎng)絡(luò)數(shù)據(jù)，而合法接受者可以通過密鑰，對(duì)數(shù)據(jù)進(jìn)行解密來得到信息，極大地保證了信息安全。由于在數(shù)據(jù)安全保護(hù)方面獨(dú)具優(yōu)勢(shì)，數(shù)據(jù)加密技術(shù)被廣泛應(yīng)用于電子商務(wù)信息安全管理工作中。

（四）防火墻技術(shù)

防火墻技術(shù)是保障電子商務(wù)信息安全的重要方法，它極大的限制了公共數(shù)據(jù)與服務(wù)對(duì)于防火墻內(nèi)資源的訪問權(quán)限，然而防火墻對(duì)病毒沒有防范的作用，并且由于防火墻數(shù)據(jù)時(shí)常無法及時(shí)更新，導(dǎo)致產(chǎn)生數(shù)據(jù)延遲，極大地制約了實(shí)時(shí)服務(wù)支持請(qǐng)求。同時(shí)防火墻通常采取的濾波技術(shù)會(huì)使網(wǎng)絡(luò)性能降低一半以上，而為了保證網(wǎng)絡(luò)性能，企業(yè)需要配置高速路由器，這不利于企業(yè)經(jīng)濟(jì)效益的提高。防火墻技術(shù)是一種大眾化的電子商務(wù)信息安全防范技術(shù)，擁有頗高的透明度，并且易于操作，能在一定程度上保證電子商務(wù)信息安全。然而，如果防火墻被入侵，電子商務(wù)系統(tǒng)信息安全將受到極大的損害。同時(shí)防火墻也無法滿足企業(yè)與個(gè)體之間商業(yè)網(wǎng)絡(luò)通信的需求。

（五）授權(quán)認(rèn)證技術(shù)分析

目前國際電子商務(wù)大多采用CA認(rèn)證技術(shù)來處理電子商務(wù)信息的安全問題。作為電子商務(wù)系統(tǒng)中的權(quán)威機(jī)構(gòu)，所有的電子商務(wù)系統(tǒng)數(shù)字證書都要通過CA認(rèn)證中心的授權(quán)，因此CA認(rèn)證技術(shù)中心受到了廣大用戶的信任。其主要通過身份識(shí)別、數(shù)字化簽名等技術(shù)途徑來處理電子商務(wù)系統(tǒng)中身份認(rèn)證的問題，確保商務(wù)互動(dòng)交易雙方身份的真實(shí)有效，使數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩玫奖ＷC。

結(jié)束語

總而言之，電子商務(wù)雖然給企業(yè)帶來了極大的經(jīng)濟(jì)效益，然而由于網(wǎng)絡(luò)環(huán)境具有開放性的特點(diǎn)，易產(chǎn)生安全漏洞和信息泄露等問題，從而使電子商務(wù)活動(dòng)中雙方帶來重大的經(jīng)濟(jì)損失，因此要不斷完善對(duì)計(jì)算機(jī)信息安全技術(shù)，電子商務(wù)活動(dòng)環(huán)節(jié)進(jìn)行有效監(jiān)測(cè)，保證電子商務(wù)信息安全，促使電子商務(wù)系統(tǒng)健康發(fā)展。

參考文獻(xiàn)

[1]崔曉慧.關(guān)于電子商務(wù)信息安全的探討[J].現(xiàn)代營銷，2013，（4）.

篇2

移動(dòng)電子商務(wù)因其快捷方便、無所不在的特點(diǎn)，已經(jīng)成為電子商務(wù)發(fā)展的新方向。因?yàn)橹挥幸苿?dòng)電子商務(wù)才能在任何地方、任何時(shí)間，真正解決做生意的問題。

但是對(duì)于任何通過無線網(wǎng)路（如:GSM網(wǎng)路）進(jìn)行金融交易的用戶，安全和隱私問題無疑是其關(guān)注的焦點(diǎn)。由于移動(dòng)電子商務(wù)的特殊性，移動(dòng)電子商務(wù)的安全問題尤其顯得重要。尤其對(duì)于有線電子商務(wù)用戶來說，通常認(rèn)為物理線纜能帶來更好的安全性，從而排斥使用移動(dòng)電子商務(wù)。移動(dòng)電子商務(wù)是一個(gè)系統(tǒng)工程，本文從技術(shù)、安全、隱私和法制等方面討論了移動(dòng)商務(wù)的展所面臨的種種問題，并指出這些問題的有效解決是建設(shè)健康、安全的移動(dòng)電子商務(wù)的重要保證。

一、移動(dòng)通信新技術(shù)的驅(qū)動(dòng)

1.無線應(yīng)用協(xié)議（WAP）

無線應(yīng)用協(xié)議WAP是無線通信和互聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物，它不僅為無線設(shè)備提供豐富的互聯(lián)網(wǎng)資源，也提供了開發(fā)各種無線網(wǎng)路應(yīng)用的途徑。1998年，WAP論壇公布了WAP1.0版本，制定了一套專門為移動(dòng)互聯(lián)網(wǎng)而設(shè)計(jì)的應(yīng)用協(xié)議，具有良好的開放性和互通性。隨著移動(dòng)通信網(wǎng)傳輸速率的顯著提高，WAP論壇于2001年頒布了WAP2.0版本，該版本增加了對(duì)HTTP、TLS和TCP等互聯(lián)網(wǎng)協(xié)議的支持，WAP的工作大大簡(jiǎn)化。WAP2.0模式有利于實(shí)現(xiàn)電子商務(wù)所需的端到端安全性，可以提供TLS隧道。

2.移動(dòng)IP技術(shù)

移動(dòng)IP技術(shù)，是指移動(dòng)用戶可在跨網(wǎng)絡(luò)隨意移動(dòng)和漫游中，使用基于TCP/IP協(xié)議的網(wǎng)絡(luò)時(shí)，不用修改計(jì)算機(jī)原來的IP地址，同時(shí)，也不必中斷正在進(jìn)行的通信。移動(dòng)IP通過AAA（Authentication,Authorization,Accounting)機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)全方位的安全移動(dòng)或者漫游功能。移動(dòng)IP在一定程度上能夠很好地支持移動(dòng)商務(wù)的應(yīng)用。

3.第三代（3G）移動(dòng)通信系統(tǒng)

第三代移動(dòng)通信系統(tǒng)，簡(jiǎn)稱3G，是指將無線通信與互聯(lián)網(wǎng)等多媒體通信結(jié)合的移動(dòng)通信系統(tǒng)。它能夠處理圖像、話音、視頻流等多種媒體形式，提供包括網(wǎng)頁瀏覽、電話會(huì)議、電子商務(wù)等多種信息服務(wù)。與2G相比，3G產(chǎn)品可提供數(shù)據(jù)速率高達(dá)2Mbps的多媒體業(yè)務(wù)。在我國，以TD-SCDMA技術(shù)為基礎(chǔ)的3G基礎(chǔ)設(shè)施和產(chǎn)品的建設(shè)和研制發(fā)展迅速，我國發(fā)展3G的條件已經(jīng)基本具備。由于3G帶來的高速率、移動(dòng)性和高安全性等特點(diǎn)，必然會(huì)給移動(dòng)電子商務(wù)的應(yīng)用帶來巨大商機(jī)。

4.無線局域網(wǎng)（WLAN）技術(shù)

美國電子電器工程師協(xié)會(huì)IEEE在1991年就啟動(dòng)了WLAN標(biāo)準(zhǔn)工作組，稱為IEEE802.11，并在1997年產(chǎn)生了WLAN標(biāo)準(zhǔn)－IEEE802.11，后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標(biāo)準(zhǔn)。802.11WLAN標(biāo)準(zhǔn)自公布之日起，安全問題一直是其被關(guān)注的焦點(diǎn)問題。802.11b采用了基于RC4算法的有線對(duì)等保密（WEP）機(jī)制，為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保障，但其加密和認(rèn)證機(jī)制都存在安全漏洞。802.11i是2004年6月批準(zhǔn)的WLAN標(biāo)準(zhǔn)，其目的是解決802.11標(biāo)準(zhǔn)中存在的安全問題。802.11i應(yīng)用TKIP（Temporalkeyintegrityprotocol）加密算法和基于AES高級(jí)加密標(biāo)準(zhǔn)的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作為其加密算法，可以向后兼容802.11a/b/g等硬件設(shè)備。中國寬帶無線IP標(biāo)準(zhǔn)工作組制訂了WLAN國家標(biāo)準(zhǔn)GB15629.11，定義了無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI，大大減少了WLAN中的安全隱患。

二、移動(dòng)電子商務(wù)面臨的安全威脅

盡管移動(dòng)電子商務(wù)給工作效率的提高帶來了諸多優(yōu)勢(shì)（如：減少了服務(wù)時(shí)間，降低了成本和增加了收入），但安全問題仍是移動(dòng)商務(wù)推廣應(yīng)用的瓶頸。有線網(wǎng)絡(luò)安全的技術(shù)手段不完全適用于無線設(shè)備，由于無線設(shè)備的內(nèi)存和計(jì)算能力有限而不能承載大部分的病毒掃描和入侵檢測(cè)的程序。例如：目前還沒有有效抵制手機(jī)病毒的防護(hù)軟件。

1.網(wǎng)絡(luò)本身的威脅

無線通信網(wǎng)絡(luò)可以不像有線網(wǎng)絡(luò)那樣受地理環(huán)境和通信電纜的限制就可以實(shí)現(xiàn)開放性的通信。無線信道是一個(gè)開放性的信道，它給無線用戶帶來通信自由和靈活性的同時(shí)，也帶來了諸多不安全因素：如通信內(nèi)容容易被竊聽、通信雙方的身份容易被假冒，以及通信內(nèi)容容易被篡改等。在無線通信過程中，所有通信內(nèi)容（如：通話信息，身份信息，數(shù)據(jù)信息等）都是通過無線信道開放傳送的。任何擁有一定頻率接收設(shè)備的人均可以獲取無線信道上傳輸?shù)膬?nèi)容。這對(duì)于無線用戶的信息安全、個(gè)人安全和個(gè)人隱私都構(gòu)成了潛在的威脅。

2.無線adhoc應(yīng)用的威脅

除了互聯(lián)網(wǎng)在線應(yīng)用帶來的威脅外，無線裝置給其移動(dòng)性和通信媒體帶來了新的安全問題?？紤]無線裝置可以組成adhoc網(wǎng)路。Adhoc網(wǎng)絡(luò)和傳統(tǒng)的移動(dòng)網(wǎng)絡(luò)有著許多不同，其中一個(gè)主要的區(qū)別就是AdHoc網(wǎng)絡(luò)不依賴于任何固定的網(wǎng)絡(luò)設(shè)施，而是通過移動(dòng)節(jié)點(diǎn)間的相互協(xié)作來進(jìn)行網(wǎng)絡(luò)互聯(lián)。由于其網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)，使得AdHoc網(wǎng)絡(luò)的安全問題尤為突出。Adhoc網(wǎng)路的一個(gè)重要特點(diǎn)是網(wǎng)絡(luò)決策是分散的，網(wǎng)絡(luò)協(xié)議依賴于所有參與者之間的協(xié)作。敵手可以基于該種假設(shè)的信任關(guān)系入侵協(xié)作的節(jié)點(diǎn)。

3.網(wǎng)路漫游的威脅

無線網(wǎng)路中的攻擊者不需要尋找攻擊目標(biāo)，攻擊目標(biāo)會(huì)漫游到攻擊者所在的小區(qū)。在終端用戶不知情的情況下，信息可能被竊取和篡改。服務(wù)也可被經(jīng)意或不經(jīng)意地拒絕。交易會(huì)中途打斷而沒有重新認(rèn)證的機(jī)制。由刷新引起連接的重新建立會(huì)給系統(tǒng)引入風(fēng)險(xiǎn)，沒有再認(rèn)證機(jī)制的交易和連接的重新建立是危險(xiǎn)的。連接一旦建立，使用SSL和WTLS的多數(shù)站點(diǎn)不需要進(jìn)行重新認(rèn)證和重新檢查證書。攻擊者可以利用該漏洞來獲利。

4.物理安全

無線設(shè)備另一個(gè)特有的威脅就是容易丟失和被竊。因?yàn)闆]有建筑、門鎖和看管保證的物理邊界安全和其小的體積，無線設(shè)備很容易丟失和被盜竊。對(duì)個(gè)人來說，移動(dòng)設(shè)備的丟失意味著別人將會(huì)看到電話上的數(shù)字證書，以及其他一些重要數(shù)據(jù)。利用存儲(chǔ)的數(shù)據(jù)，拿到無線設(shè)備的人就可以訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，包括Email服務(wù)器和文件系統(tǒng)。目前手持移動(dòng)設(shè)備最大的問題就是缺少對(duì)特定用戶的實(shí)體認(rèn)證機(jī)制。

三、移動(dòng)商務(wù)面臨的隱私和法律問題

1.垃圾短信息

在移動(dòng)通信給人們帶來便利和效率的同時(shí)，也帶來了很多煩惱，遍地而來的垃圾短信廣告打擾著我們的生活。在移動(dòng)用戶進(jìn)行商業(yè)交易時(shí)，會(huì)把手機(jī)號(hào)碼留給對(duì)方。通過街頭的社會(huì)調(diào)查時(shí)，也往往需要被調(diào)查者填入手機(jī)號(hào)碼。甚至有的用戶把手機(jī)號(hào)碼公布在網(wǎng)上。這些都是公司獲取手機(jī)號(hào)碼的渠道。垃圾短信使得人們對(duì)移動(dòng)商務(wù)充滿恐懼，而不敢在網(wǎng)絡(luò)上使用自己的移動(dòng)設(shè)備從事商務(wù)活動(dòng)。目前，還沒有相關(guān)的法律法規(guī)來規(guī)范短信廣告，運(yùn)營商還只是在技術(shù)層面來限制垃圾短信的群發(fā)。目前，信息產(chǎn)業(yè)部正在起草手機(jī)短信的規(guī)章制度，相信不久的將來會(huì)還手機(jī)短信一片綠色的空間。

2.定位新業(yè)務(wù)的隱私威脅

定位是移動(dòng)業(yè)務(wù)的新應(yīng)用，其技術(shù)包括:全球定位系統(tǒng)，該種技術(shù)利用24顆GPS衛(wèi)星來精確（誤差在幾米之內(nèi)）定位地面上的人和車輛；基于手機(jī)的定位技術(shù)TOA，該技術(shù)根據(jù)從GPS返回響應(yīng)信號(hào)的時(shí)間信息定位手機(jī)所處的位置。定位在受到歡迎的同時(shí)，也暴露了其不利的一面——隱私問題。移動(dòng)酒吧就是一個(gè)典型的例子，當(dāng)你在路上時(shí)，這種服務(wù)可以在你的PDA上列出離你最近的5個(gè)酒吧的位置和其特色?；蛘弋?dāng)你途經(jīng)一個(gè)商店時(shí)，會(huì)自動(dòng)向你的手機(jī)發(fā)送廣告信息。定位服務(wù)在給我們帶來便利的同時(shí)，也影響到了個(gè)人隱私。利用這種技術(shù)，執(zhí)法部門和政府可以監(jiān)聽信道上的數(shù)據(jù)，并能夠跟蹤一個(gè)人的物理位置。

3.移動(dòng)商務(wù)的法律保障

電子商務(wù)的迅猛發(fā)展推動(dòng)了相關(guān)的立法工作。2005年4月1日，中國首部真正意義上的信息化法律《電子簽名法》正式實(shí)施，電子簽名與傳統(tǒng)的手寫簽名和蓋章將具有同等的法律效力，標(biāo)志著我國電子商務(wù)向誠信發(fā)展邁出了第一步?！峨娮雍灻ā妨⒎ǖ闹匾康氖菫榱舜龠M(jìn)電子商務(wù)和電子政務(wù)的發(fā)展，增強(qiáng)交易的安全性。

參考文獻(xiàn)：

篇3

一、電子商務(wù)中的信息安全問題

1.截獲信息。未加密的數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。

2.篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地，從而導(dǎo)致部分信息與原始信息不一致。

3.偽造信息。攻擊者冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。

4.中斷信息。攻擊者利用IP欺騙，偽造虛假TCP報(bào)文，中斷正常的TCP連接，從而造成信息中斷。

二、PKI及其加密體制

電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善，這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)、病毒檢測(cè)及清除技術(shù)、內(nèi)容分類識(shí)別和過濾技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測(cè)報(bào)警與審計(jì)技術(shù)等。其中密碼技術(shù)和鑒別技術(shù)是重中之重，PKI及其加密體制是實(shí)現(xiàn)這兩種技術(shù)的載體。

1.PKI的定義和功能。PKI是對(duì)公鑰所表示的信任關(guān)系進(jìn)行管理的一種機(jī)制，它為Internet用戶和應(yīng)用程序提供公鑰加密和數(shù)字簽名服務(wù)，PKI的功能主要包括:公鑰加密、證書、證書確認(rèn)、證書撤銷。

2.對(duì)稱密碼體制。對(duì)稱密碼體制的基本特點(diǎn)是解密算法就是加密算法的逆運(yùn)算，加秘密鑰就是解秘密鑰。在對(duì)稱密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送，而雙方實(shí)體通信所用的秘密鑰也必須妥善保管。常見的對(duì)稱加密算法包括DES、三重DES和IDEA等。

3.非對(duì)稱密碼體制。非對(duì)稱密碼體制也稱公鑰密碼體制。非對(duì)稱密碼體制的基本特點(diǎn)是存在一個(gè)公鑰/私鑰對(duì)，用私鑰加密的信息只能用對(duì)應(yīng)的公鑰解密，用公鑰加密的信息只能用對(duì)應(yīng)的私鑰解密。著名的非對(duì)稱加密算法是RSA。RSA使用的一個(gè)密鑰對(duì)是由兩個(gè)大素?cái)?shù)經(jīng)過運(yùn)算產(chǎn)生的結(jié)果:其中一個(gè)是公鑰，為眾多實(shí)體所知;另外一個(gè)是私鑰，為了確保他的保密性和完整性，必須嚴(yán)格控制并只有他的所有者才能使用。RSA加密算法的最基本特征就是用密鑰對(duì)中的一個(gè)密鑰加密的消息只能用另外一個(gè)解密，這也就體現(xiàn)了RSA系統(tǒng)的非對(duì)稱性。

RSA的數(shù)字簽名過程如下:s=mdmodn，其中m是消息，s是數(shù)字簽名的結(jié)果，d和n是消息發(fā)送者的私鑰。

消息的解密過程如下:m=semodn，其中e和n是發(fā)送者的公鑰。

4.數(shù)字簽名。數(shù)字簽名通常使用RSA算法。RSA的數(shù)字簽名是其加密的相反方式，即由一個(gè)實(shí)體用它的私鑰將明文加密而生成的。這種加密允許一個(gè)實(shí)體向多個(gè)實(shí)體發(fā)送消息，并且事先不需交換秘密鑰或加密私鑰，接收者用發(fā)送者的公鑰就可以解密。

5.散列(Hash)函數(shù)。MD5與SHA1都屬于HASH函數(shù)標(biāo)準(zhǔn)算法中兩大重要算法，就是把一個(gè)任意長(zhǎng)度的信息經(jīng)過復(fù)雜的運(yùn)算變成一個(gè)固定長(zhǎng)度的數(shù)值或者信息串，主要用于證明原文的完整性和準(zhǔn)確性，是為電子文件加密的重要工具。一般來說，對(duì)于給出的一個(gè)文件要算它的Hash碼很容易，但要從Hash碼找出相應(yīng)的文件算法卻很難。Hash函數(shù)最根本的特點(diǎn)是這種變換具有單向性，一旦數(shù)據(jù)被轉(zhuǎn)換，就無法再以確定的方法獲得其原始值，從而無法控制變換得到的結(jié)果，達(dá)到防止信息被篡改的目的。由于Hash函數(shù)的這種不可逆特性，使其非常適合被用來確定原文的完整性，從而被廣泛用于數(shù)字簽名。

三、對(duì)稱和非對(duì)稱加密體制相結(jié)合的應(yīng)用模型

將對(duì)稱和非對(duì)稱加密體制相結(jié)合，能夠確保電子商務(wù)信息的完整性和機(jī)密性。下面是具體的應(yīng)用模型。

假設(shè)Alice和Bob擁有各自的一個(gè)公鑰/私鑰對(duì)，由共同信任的第三方頒發(fā)的數(shù)字證書以及一個(gè)對(duì)稱秘密鑰?，F(xiàn)在Alice欲發(fā)送消息給Bob，并且要求確保數(shù)據(jù)的完整性，即消息內(nèi)容不能發(fā)生變動(dòng)；同時(shí)Alice和Bob都希望確保信息的機(jī)密性，即不容許除雙方之外的其他實(shí)體能夠察看該消息。

篇4

由于Internet本身的開放性，使電子商務(wù)系統(tǒng)面臨著各種各樣的安全威脅。目前，電子商務(wù)主要存在的安全隱患有以下幾個(gè)方面。

 

(一)身份冒充問題

 

攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易，進(jìn)行信息欺詐與信息破壞，從而獲得非法利益。主要表現(xiàn)有：冒充他人身份;冒充他人消費(fèi)、栽贓;冒充主機(jī)欺騙合法主機(jī)及合法用戶等。

 

(二)網(wǎng)絡(luò)信息安全問題

 

主要表現(xiàn)在攻擊者在網(wǎng)絡(luò)的傳輸信道上，通過物理或邏輯的手段，進(jìn)行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過分析網(wǎng)絡(luò)物理線路傳輸時(shí)的各種特征，截獲機(jī)密信息或有用信息，如消費(fèi)者的賬號(hào)、密碼等。篡改，即改變信息流的次序，更改信息的內(nèi)容;刪除，即刪除某個(gè)信息或信息的某些部分;插入，即在信息中插入一些信息，讓收方讀不懂或接受錯(cuò)誤的信息。

 

(三)拒絕服務(wù)問題

 

攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現(xiàn)為散布虛假資訊，擾亂正常的資訊通道。包括：虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收訂貨單;偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。

 

(四)交易雙方抵賴問題

 

某些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。如：者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容;購買者做了訂貨單不承認(rèn);商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界里誰為交易雙方的糾紛進(jìn)行公證、仲裁。

 

(五)計(jì)算機(jī)系統(tǒng)安全問題

 

計(jì)算機(jī)系統(tǒng)是進(jìn)行電子商務(wù)的基本設(shè)備，如果不注意安全問題，它一樣會(huì)威脅到電子商務(wù)的信息安全。計(jì)算機(jī)設(shè)備本身存在物理損壞，數(shù)據(jù)丟失，信息泄露等問題。計(jì)算機(jī)系統(tǒng)也經(jīng)常會(huì)遭受非法的入侵攻擊以及計(jì)算機(jī)病毒的破壞。同時(shí)，計(jì)算機(jī)系統(tǒng)存在工作人員管理的問題，如果職責(zé)不清，權(quán)限不明同樣會(huì)影響計(jì)算機(jī)系統(tǒng)的安全。

 

二、電子商務(wù)安全機(jī)制

 

(一)加密和隱藏機(jī)制

 

加密使信息改變，攻擊者無法讀懂信息的內(nèi)容從而保護(hù)信息;而隱藏則是將有用的信息隱藏在其他信息中，使攻擊者無法發(fā)現(xiàn)，不僅實(shí)現(xiàn)了信息的保密，也保護(hù)了通信本身。

 

(二)認(rèn)證機(jī)制

 

網(wǎng)絡(luò)安全的基本機(jī)制，網(wǎng)絡(luò)設(shè)備之間應(yīng)互相認(rèn)證對(duì)方身份，以保證正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制。網(wǎng)絡(luò)也必須認(rèn)證用戶的身份，以保證正確的用戶進(jìn)行正確的操作并進(jìn)行正確的審計(jì)。

 

(三)審計(jì)機(jī)制

 

審計(jì)是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)，通過對(duì)一些重要的事件進(jìn)行記錄，從而在系統(tǒng)發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位錯(cuò)誤和找到攻擊成功的原因。審計(jì)信息應(yīng)具有防止非法刪除和修改的措施。

 

(四)完整性保護(hù)機(jī)制

 

用于防止非法篡改，利用密碼理論的完整性保護(hù)能夠很好地對(duì)付非法篡改。完整性的另一用途是提供不可抵賴服務(wù)，當(dāng)信息源的完整性可以被驗(yàn)證卻無法模仿時(shí)，收到信息的一方可以認(rèn)定信息的發(fā)送者，數(shù)字簽名就可以提供這種手段。

 

(五)權(quán)力控制和存取控制機(jī)制

 

主機(jī)系統(tǒng)必備的安全手段，系統(tǒng)根據(jù)正確的認(rèn)證，賦予某用戶適當(dāng)?shù)牟僮鳈?quán)力，使其不能進(jìn)行越權(quán)的操作。該機(jī)制一般采用角色管理辦法，針對(duì)系統(tǒng)需要定義各種角色，如經(jīng)理、會(huì)計(jì)等，然后對(duì)他們賦予不同的執(zhí)行權(quán)利。

 

(六)業(yè)務(wù)填充機(jī)制

 

在業(yè)務(wù)閑時(shí)發(fā)送無用的隨機(jī)數(shù)據(jù)，增加攻擊者通過通信流量獲得信息的困難。同時(shí)，也增加了密碼通信的破譯難度。發(fā)送的隨機(jī)數(shù)據(jù)應(yīng)具有良好模擬性能，能夠以假亂真。

 

三、電子商務(wù)安全關(guān)鍵技術(shù)

 

安全問題是電子商務(wù)的核心，為了滿足安全服務(wù)方面的要求，除了網(wǎng)絡(luò)本身運(yùn)行的安全外，電子商務(wù)系統(tǒng)還必須利用各種安全技術(shù)保證整個(gè)電子商務(wù)過程的安全與完整，并實(shí)現(xiàn)交易的防抵賴性等，綜合起來主要有以下幾種技術(shù)。

 

(一)防火墻技術(shù)

 

現(xiàn)有的防火墻技術(shù)包括兩大類：數(shù)據(jù)包過濾和服務(wù)技術(shù)。其中最簡(jiǎn)單和最常用的是包過濾防火墻，它檢查接受到的每個(gè)數(shù)據(jù)包的頭，以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過濾，所以可以有效地避免對(duì)其進(jìn)行的有意或無意的攻擊，從而保證了專用私有網(wǎng)的安全。將包過濾防火墻與服務(wù)器結(jié)合起來使用是解決網(wǎng)絡(luò)安全問題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于：防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊，不能防止網(wǎng)絡(luò)內(nèi)部用戶對(duì)于網(wǎng)絡(luò)的攻擊：防火墻不能保證數(shù)據(jù)的秘密性，也不能保證網(wǎng)絡(luò)不受病毒的攻擊，它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動(dòng)攻擊和入侵。

 

(二)虛擬專網(wǎng)技術(shù)(VPN)

 

VPN的實(shí)現(xiàn)過程使用了安全隧道技術(shù)、信息加密技術(shù)、用戶認(rèn)證技術(shù)、訪問控制技術(shù)等。VPN具投資小、易管理、適應(yīng)性強(qiáng)等優(yōu)點(diǎn)。VPN可幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)之間建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，以此達(dá)到在公共的Internet上或企業(yè)局域網(wǎng)之間實(shí)現(xiàn)完全的電子交易的目的。

 

(三)數(shù)據(jù)加密技術(shù)

 

加密技術(shù)是保證電子商務(wù)系統(tǒng)安全所采用的最基本的安全措施，它用于滿足電子商務(wù)對(duì)保密性的需求。加密技術(shù)分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類。如果進(jìn)行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露，可通過常規(guī)密鑰密碼體系的方法加密機(jī)密信息，并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值，以保證報(bào)文的機(jī)密性和完整性。目前常用的常規(guī)密鑰密碼體系的算法有：數(shù)據(jù)加密標(biāo)準(zhǔn)DES、三重DES、國際數(shù)據(jù)加密算法IDEA等，其中DES使用最普遍，被ISO采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。在公開密鑰密碼體系中，加密密鑰是公開信息，而解密密鑰是需要保護(hù)的，加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有：基于數(shù)論中大數(shù)分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中，常規(guī)密鑰密碼體系的特點(diǎn)是加密速度快、效率高，被廣泛用于大量數(shù)據(jù)的加密，但該方法的致命缺點(diǎn)是密鑰的傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應(yīng)用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足，保密性能也優(yōu)于常規(guī)密鑰密碼體系，但公開密鑰密碼體系復(fù)雜，加密速度不夠理想。目前電子商務(wù)實(shí)際運(yùn)用中常將兩者結(jié)合使用。

 

(四)安全認(rèn)證技術(shù)

 

安全認(rèn)證技術(shù)主要有：1.數(shù)字摘要技術(shù)，可以驗(yàn)證通過網(wǎng)絡(luò)傳輸收到的明文是否被篡改，從而保證數(shù)據(jù)的完整性和有效性。2.數(shù)字簽名技術(shù)，能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可否認(rèn)性，同時(shí)還能阻止偽造簽名。3.數(shù)字時(shí)間戳技術(shù)，用于提供電子文件發(fā)表時(shí)間的安全保護(hù)。4.數(shù)字憑證技術(shù)，又稱為數(shù)字證書，負(fù)責(zé)用電子手段來證實(shí)用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問的權(quán)限。5.認(rèn)證中心，負(fù)責(zé)審核用戶的真實(shí)身份并對(duì)此提供證明，而不介入具體的認(rèn)證過程，從而緩解了可信第三方的系統(tǒng)瓶頸問題，而且只須管理每個(gè)用戶的一個(gè)公開密鑰，大大降低了密鑰管理的復(fù)雜性，這些優(yōu)點(diǎn)使得非對(duì)稱密鑰認(rèn)證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡(luò)系統(tǒng)。6.智能卡技術(shù)，它不但提供讀寫數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)的能力，而且還具有對(duì)數(shù)據(jù)進(jìn)行處理的能力，可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密和解密，能進(jìn)行數(shù)字簽名和驗(yàn)證數(shù)字簽名，其存儲(chǔ)器部分具有外部不可讀特性。采用智能卡，可使身份識(shí)別更有效、安全，但它僅僅為身份識(shí)別提供一個(gè)硬件基礎(chǔ)，如果要使身份認(rèn)證更安全，還需要與安全協(xié)議的配合。

 

(五)電子商務(wù)安全協(xié)議

 

不同交易協(xié)議的復(fù)雜性、開銷、安全性各不相同，同時(shí)不同的應(yīng)用環(huán)境對(duì)協(xié)議目標(biāo)的要求也不盡相同。目前比較成熟的協(xié)議有：1.Netbill協(xié)議，是由J.D.Tygar等設(shè)計(jì)和開發(fā)的關(guān)于數(shù)字商品的電子商務(wù)協(xié)議，該協(xié)議假定了一個(gè)可信賴的第三方，將商品的傳送和支付鏈接到一個(gè)原子事務(wù)中。2.匿名原子交易協(xié)議，由J.D.Tygar首次提出，具有匿名性和原子性，對(duì)著名的數(shù)字現(xiàn)金協(xié)議進(jìn)行了補(bǔ)充和修改，改進(jìn)了傳統(tǒng)的分布式系統(tǒng)中常用的兩階段提交，引入了除客戶、商家和銀行之外的獨(dú)立第四方一交易日志(Transactionlog)以取代兩階段提交協(xié)議中的協(xié)調(diào)者(Coordinator)。3.安全電子交易協(xié)議SET，由VISA公司和MasterCard公司聯(lián)合開發(fā)設(shè)計(jì)。SET用于劃分與界定電子商務(wù)活動(dòng)中消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系，它可以對(duì)交易各方進(jìn)行認(rèn)證，防止商家欺詐。SET協(xié)議開銷較大，客戶、商家、銀行都要安裝相應(yīng)軟件。4.安全套接字層協(xié)議SSL，是目前使用最廣泛的電子商務(wù)協(xié)議，它由Netscape公司于1996年設(shè)計(jì)開發(fā)。它位于運(yùn)輸層和應(yīng)用層之間，能很好地封裝應(yīng)用層數(shù)據(jù)，不用改變位于應(yīng)用層的應(yīng)用程序，對(duì)用戶透明。然而，SSL并不專為支持電子商務(wù)而設(shè)計(jì)，只支持雙方認(rèn)證，只能保證傳送信息傳送過程中不因被截而泄密，不能防止商家利用獲取的信用卡號(hào)進(jìn)行欺詐。5.JEPI(JointElectronicPaymentInitiative)，是為了解決眾多協(xié)議間的不兼容性而提出來的，是現(xiàn)有HTTP協(xié)議的擴(kuò)展，在普遍HTTP協(xié)議之上增加了PEP(ProtocolExtensionProtocol)和UPP(UniversalPaymentPreamble)兩層結(jié)構(gòu)，其目的不是提出一種新的電子支付手段，而是在允許多種支付系統(tǒng)并存的情況下，幫助商家和顧客雙方選取一個(gè)合適的支付系統(tǒng)。

 

四、結(jié)束語

 

篇5

1.電子商務(wù)信息安全的要素

1.1機(jī)密性

在過去，企業(yè)進(jìn)行商業(yè)貿(mào)易往來都是通過書信等可靠的通信渠道來進(jìn)行商業(yè)交流、發(fā)送商務(wù)文案的，雖然這些方法的使用速度和效率都較低，但是機(jī)密安全性能夠得到保障。在現(xiàn)代社會(huì)，電子商務(wù)是在一個(gè)開放的網(wǎng)絡(luò)環(huán)境中進(jìn)行的，電子商務(wù)信息的安全存在一定的風(fēng)險(xiǎn)，因此要保障電子商務(wù)信息的安全，就必須保障電子商務(wù)信息的機(jī)密性。

1.2完整性

電子商務(wù)信息傳輸簡(jiǎn)化了傳統(tǒng)貿(mào)易過程中的很多過程，減少了其中存在的一些干預(yù)信息，但與此同時(shí)，也存在著電子商務(wù)信息的完整性問題。數(shù)據(jù)錄入過程中存在的一些問題或是非法行為，很容易導(dǎo)致商業(yè)貿(mào)易數(shù)據(jù)被篡改。電子商務(wù)信息在傳輸?shù)倪^程中信息也有可能出現(xiàn)丟失、重復(fù)等問題。因此，保證數(shù)據(jù)信息在傳輸過程中的完整性是保障電子商務(wù)信息安全的重要因素。

1.3認(rèn)證性

互聯(lián)網(wǎng)是一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，電子商務(wù)信息就是基于互聯(lián)網(wǎng)絡(luò)進(jìn)行的，在進(jìn)行商業(yè)貿(mào)易往來時(shí)，雙方不會(huì)見面，這就需要一些技術(shù)對(duì)雙方的身份進(jìn)行識(shí)別和確認(rèn)。

1.4有效性

在商業(yè)貿(mào)易過程中，貿(mào)易雙方都需要確認(rèn)很多信息，電子商務(wù)將紙質(zhì)的認(rèn)證轉(zhuǎn)變成為電子信息形式，那么，保證信息的有效性是電子商務(wù)貿(mào)易的重要前提。因此，對(duì)于網(wǎng)絡(luò)故障、硬件或軟件出現(xiàn)的問題和計(jì)算機(jī)內(nèi)部可能存在的潛在病毒都要進(jìn)行一定的控制和預(yù)防工作，這樣才能保障電子商務(wù)貿(mào)易數(shù)據(jù)信息的有效性。

1.5不可抵賴性

傳統(tǒng)的貿(mào)易都是通過手寫簽名或是印章的方式進(jìn)行，這樣可以有效防止貿(mào)易伙伴發(fā)生抵賴的行為。而電子商務(wù)貿(mào)易是在虛擬的互聯(lián)網(wǎng)絡(luò)平臺(tái)上進(jìn)行的，而互聯(lián)網(wǎng)內(nèi)每個(gè)人都是匿名的，存在極大的不安全因素。因此，如何保障電子商務(wù)信息安全的不可抵賴性是進(jìn)行電子商務(wù)貿(mào)易中的一個(gè)重點(diǎn)。

2.電子商務(wù)信息安全中存在的問題

2.1計(jì)算機(jī)網(wǎng)絡(luò)安全

雖然國際經(jīng)濟(jì)和數(shù)據(jù)信息早已步入全球化時(shí)代，但安全協(xié)議問題還未進(jìn)行全球性的規(guī)范，并且在安全管理方面還存在著很大的漏洞，這就很容易使黑客進(jìn)行攻擊。一些非法用戶在網(wǎng)絡(luò)上通過不正當(dāng)手段攔截用戶的有效數(shù)據(jù)或是對(duì)數(shù)據(jù)進(jìn)行篡改，將導(dǎo)致用戶的一些核心數(shù)據(jù)泄漏，使信息失去真實(shí)性和完整性。此外，一些非法用戶還會(huì)在攔截到的網(wǎng)絡(luò)數(shù)據(jù)中加入病毒再進(jìn)行再次發(fā)送，利用修改后的數(shù)據(jù)信息惡意攻擊對(duì)方的計(jì)算機(jī)。電子服務(wù)器安全也是計(jì)算機(jī)網(wǎng)絡(luò)安全中的一個(gè)重要組成部分。電子商務(wù)服務(wù)器是電子商務(wù)中最重要的部分，其中保存著大量的商務(wù)信息，一旦出現(xiàn)安全問題，其造成的影響和后果是不可估量的。

2.2電子商務(wù)交易安全

電子商務(wù)交易安全主要包含身份不確定、交易抵賴和交易信息修改三個(gè)主要方面。由于電子商務(wù)貿(mào)易是基于虛擬的互聯(lián)網(wǎng)絡(luò)進(jìn)行的，這個(gè)平臺(tái)上貿(mào)易雙方使不用見面的，這就給貿(mào)易雙方的身份確認(rèn)帶來了一定的阻礙。一些非法用戶可以通過不正當(dāng)手段非法獲取用戶的身份信息，再冒用他人身份信息和對(duì)方進(jìn)行交易，從中獲取非法利益。此外，在電子商務(wù)貿(mào)易中一些用戶可能會(huì)對(duì)自己曾經(jīng)發(fā)出的信息進(jìn)行否認(rèn)并推卸責(zé)任。最后就是交易信息的修改問題，在傳統(tǒng)貿(mào)易中，雙方一旦簽訂合同，一般是不可修改的，在電子商務(wù)貿(mào)易中也應(yīng)當(dāng)做到這點(diǎn)，這樣就能保證商務(wù)貿(mào)易的公平公正性。

3.電子商務(wù)信息安全的措施

3.1數(shù)據(jù)加密技術(shù)

保障電子商務(wù)信息安全的最基本措施就是數(shù)據(jù)加密技術(shù)，保障數(shù)據(jù)在存儲(chǔ)和傳輸過程中的安全性和機(jī)密性。隨著電子商務(wù)與信息技術(shù)的不斷發(fā)展，為了保障商務(wù)信息的完整性并進(jìn)行身份鑒定，數(shù)字簽名、身份認(rèn)證等新的數(shù)字驗(yàn)證技術(shù)都在不斷的衍生出來。數(shù)據(jù)加密技術(shù)就是將數(shù)據(jù)信息通過一定的加密算法，將原本明了的數(shù)據(jù)信息轉(zhuǎn)化成為一段無意義的秘文，以阻止非法用戶截取信息獲取原始資料的意義，從而保障電子商務(wù)信息的安全。對(duì)稱密鑰加密體制和非對(duì)稱密鑰加密體制是目前使用最為廣泛的兩種加密技術(shù)。

3.2防火墻技術(shù)

數(shù)據(jù)包過濾和服務(wù)技術(shù)是目前互聯(lián)網(wǎng)內(nèi)使用最為廣泛的防火墻技術(shù)。相比服務(wù)技術(shù)，數(shù)據(jù)包過濾防火墻技術(shù)使用起來更為簡(jiǎn)單，它檢查每個(gè)收到的數(shù)據(jù)包的頭并決定數(shù)據(jù)包是否發(fā)送到目的地，因此其運(yùn)用比較普遍。防火墻能夠?qū)M(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行一定標(biāo)準(zhǔn)的過濾，就能有效的對(duì)有害信息進(jìn)行阻隔，從而保障計(jì)算機(jī)網(wǎng)絡(luò)的安全。然而，防火墻技術(shù)也存在著一些缺點(diǎn)，如防火墻只能對(duì)經(jīng)過了防火墻的有害信息進(jìn)行阻隔，但并不能防止計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)攻擊，并且防火墻不能保障數(shù)據(jù)的機(jī)密性。

3.3身份認(rèn)證技術(shù)

網(wǎng)絡(luò)中對(duì)用戶進(jìn)行身份認(rèn)證最常用的技術(shù)就是數(shù)字證書，類似于現(xiàn)實(shí)生活中的身份證。CA（Certificate Authority）是頒發(fā)數(shù)字證書的機(jī)構(gòu)，要想保障電子商務(wù)信息安全，就必須建立一個(gè)完善、穩(wěn)固的CA。

3.4保障安全環(huán)境性措施

由于目前互聯(lián)網(wǎng)絡(luò)的電子商務(wù)貿(mào)易發(fā)展得還不成熟，相關(guān)的法律法規(guī)都還沒建立，其中還存在著一些較大的問題。因此就要保障電子商務(wù)信息的環(huán)境安全，首先要在我國構(gòu)件一個(gè)完善的電子商務(wù)體系，其次要完善相關(guān)法律法規(guī)的建設(shè)，最后要加快網(wǎng)絡(luò)的基礎(chǔ)建設(shè)，推動(dòng)企業(yè)信息化的進(jìn)程。

4.結(jié)語

根據(jù)電子商務(wù)信息的機(jī)密性、完整性、認(rèn)證性、有效性和不可抵賴性這五個(gè)基本要素，結(jié)合目前電子網(wǎng)絡(luò)信息中存在的一些問題，采用如數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、身份認(rèn)證等技術(shù)就能在很大程度上提高網(wǎng)絡(luò)信息的安全性，保障在電子商務(wù)貿(mào)易中商務(wù)信息的安全。 [科]

【參考文獻(xiàn)】

篇6

1電子商務(wù)的信息安全需求

電子商務(wù)是一種通過互聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)交易雙方網(wǎng)絡(luò)交流并完成雙方交易的促進(jìn)全球經(jīng)濟(jì)一體化的交易模式，信息技術(shù)的發(fā)展為電子商務(wù)提供了具備可行性的平臺(tái)，電子商務(wù)也成為現(xiàn)代社會(huì)進(jìn)入新的經(jīng)濟(jì)活動(dòng)時(shí)代的重要標(biāo)志。發(fā)展電子商務(wù)不僅能轉(zhuǎn)變經(jīng)濟(jì)增長(zhǎng)模式，還能提高國民的經(jīng)濟(jì)生活質(zhì)量和效率，是我國實(shí)現(xiàn)全面小康社會(huì)的重要推助力。電子商務(wù)的網(wǎng)絡(luò)化交易形式提高了交易的效率，但也帶來了一些潛在的安全問題，其中最為突出、廣受關(guān)注的就是電子商務(wù)信息安全問題。交易過程中存在著交易雙方私人信息的處理、傳送及存儲(chǔ)過程，會(huì)有被不法分子竊取或者篡改的可能，這就需要確保電子商務(wù)交易過程中信息交流的保密性。電子商務(wù)的飛速發(fā)展導(dǎo)致一些投機(jī)取巧的行為發(fā)生，有的實(shí)物商品交易賣家卻只虛擬發(fā)貨從而謀取高額利潤(rùn)，也會(huì)存在買家隨意拒收導(dǎo)致賣家蒙受損失的現(xiàn)象，所以這就需要交易雙方身份真實(shí)可靠，不能虛假捏造，交易過程中發(fā)生問題能及時(shí)聯(lián)系解決。電子商務(wù)的運(yùn)行系統(tǒng)也需要極高的安全性，不能泄露交易雙方的私人信息，需要確保軟件的可靠性。

2電子商務(wù)信息安全技術(shù)

2.1信息加密技術(shù)

加密技術(shù)主要是通過密碼算法對(duì)明文數(shù)據(jù)進(jìn)行轉(zhuǎn)換的信息安全技術(shù)，加密算法對(duì)應(yīng)的加密密鑰不盡相同，打開明文時(shí)需要輸入對(duì)應(yīng)的密鑰，很大程度上增強(qiáng)了用戶的信息安全性。信息加密技術(shù)實(shí)現(xiàn)了保存數(shù)據(jù)完整性的功能，閱讀被加密的明文只能通過輸入對(duì)應(yīng)密鑰來實(shí)現(xiàn)，是一種主動(dòng)防竊的加密行為。密鑰因其使用方式還分為對(duì)稱密鑰和非對(duì)稱密鑰兩類密鑰加密方式，對(duì)稱密鑰加密在加密與解密時(shí)都使用同一密鑰，具有運(yùn)算量小及速度快的優(yōu)點(diǎn)，但是一但密鑰被泄露，加密功能也就消失了；非對(duì)稱密鑰加密中的加密密鑰和解密密鑰不同，用戶自己設(shè)置保存解密密鑰并將加密密鑰公開發(fā)送給明文接收方，保密性較對(duì)稱密鑰加密技術(shù)好，但運(yùn)算量較大。

2.2認(rèn)證技術(shù)

信息及身份認(rèn)證技術(shù)是信息安全加密技術(shù)中重要的保密方式，普通的加密技術(shù)還有很多缺陷，認(rèn)證技術(shù)在加密技術(shù)的基礎(chǔ)上輔助信息安全工作更好地執(zhí)行。信息及身份認(rèn)證技術(shù)主要有數(shù)字簽名、數(shù)字信封、數(shù)字摘要及數(shù)字證書四種，數(shù)字簽名是用來確認(rèn)用戶身份的絕佳技術(shù)手段之一，不同于普通加密技術(shù)的密鑰傳遞，數(shù)字簽名能有效保證用戶本人執(zhí)行工作的真實(shí)性，數(shù)字簽名下進(jìn)行的密鑰傳遞就如同發(fā)送者的親筆簽名一樣，只被發(fā)送者持有的私鑰才是真實(shí)有效的解密密鑰，數(shù)字簽名在密鑰的基礎(chǔ)上，能夠?qū)υ次募M(jìn)行鑒別保證文件的真實(shí)性并能保持文件的完整不被破壞；數(shù)字信封則是保證只有發(fā)送對(duì)象才能接收文件的有效手段，同樣是建立在密鑰的基礎(chǔ)上，通過非對(duì)稱密鑰與對(duì)稱密鑰相結(jié)合的方式，即文件接收者先用私鑰解開文件獲取對(duì)稱密鑰從而獲取全部文件內(nèi)容，這樣使得信息安全更有保障；數(shù)字摘要技術(shù)主要通過單向哈希函數(shù)進(jìn)行轉(zhuǎn)換運(yùn)算后取得摘要編碼實(shí)現(xiàn)信息安全保障的，可有效保持文件完整性；數(shù)字證書相當(dāng)于用戶的數(shù)字身份證，確保電子商務(wù)交易中的身份認(rèn)證的真實(shí)性，并在交易中產(chǎn)生數(shù)據(jù)從而確保交易不可否認(rèn)，確保交易數(shù)據(jù)的安全性，確保電子簽名的可靠性。

2.3防火墻技術(shù)

防火墻的主要作用是阻擋對(duì)防火墻內(nèi)部資源的訪問，通常情況下會(huì)將公共數(shù)據(jù)和服務(wù)設(shè)置放在防火墻外側(cè)，有人訪問時(shí)只能訪問外側(cè)的內(nèi)容，對(duì)內(nèi)部資源的訪問會(huì)被限制。防火墻具備簡(jiǎn)單實(shí)用的特點(diǎn)，其中的濾波技術(shù)能有效地降低網(wǎng)絡(luò)性能，作為一種實(shí)用的信息安全技術(shù)還具備透明度高的特點(diǎn)，保證在不修改原有的軟件運(yùn)行環(huán)境的情況下起到保護(hù)信息安全的作用，但存在無法保護(hù)精確的信息安全的缺陷。

3結(jié)論

電子商務(wù)在現(xiàn)代經(jīng)濟(jì)生活中起到了無可替代的作用，在逐漸取代線下商務(wù)的發(fā)展情況下，電子商務(wù)相關(guān)技術(shù)的研究、發(fā)展及完善就要受到足夠的重視，確保能提供給人們一個(gè)健康安全的交易環(huán)境，促進(jìn)電子商務(wù)更好地發(fā)展。現(xiàn)今電子商務(wù)中的信息安全技術(shù)存在或多或少的缺陷，需要相關(guān)工作人員投入研究并將其完善，從而更好地保障用戶的信息安全。

作者:呂汶潔 陳薛镅 李丹丹 單位:沈陽理工大學(xué)

參考文獻(xiàn):

篇7

使用。

二、問題的成因分析

信息安全問題的出現(xiàn)，既有管理原因，也有技術(shù)原因，既有本身缺陷，也有外來因素所致，歸結(jié)起來，主要有以下四方面的原因：

1.電腦黑客

黑客對(duì)于系統(tǒng)和編程語言大多有著深刻的認(rèn)識(shí)，它是指對(duì)于電腦系統(tǒng)的非法入侵者，他們對(duì)于網(wǎng)絡(luò)存在著一定程度的攻擊性，也進(jìn)一步惡化了網(wǎng)絡(luò)環(huán)境。

2.計(jì)算機(jī)病毒

計(jì)算機(jī)病毒的主要危害在于激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用，占用磁盤空間和對(duì)信息的破壞，搶占系統(tǒng)資源，影響計(jì)算機(jī)運(yùn)行速度，出現(xiàn)計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害。人們不可能花費(fèi)大量時(shí)間去分析數(shù)萬種病毒的錯(cuò)誤所在，大量含有未知錯(cuò)誤的病毒擴(kuò)散傳播，其后果是難以預(yù)料的。計(jì)算機(jī)病毒的兼容性影響系統(tǒng)運(yùn)行。兼容性是計(jì)算機(jī)軟件的一項(xiàng)重要指標(biāo)，兼容性好的軟件可以在各種計(jì)算機(jī)環(huán)境下運(yùn)行，反之兼容性差的軟件則對(duì)運(yùn)行條件有限制，要求機(jī)型和操作系統(tǒng)版本等。病毒的編制者一般不會(huì)在各種計(jì)算機(jī)環(huán)境下對(duì)病毒進(jìn)行測(cè)試，因此病毒的兼容性較差，常常導(dǎo)致死機(jī)，并且對(duì)用戶造成嚴(yán)重的心理

壓力。

3.技術(shù)因素

網(wǎng)絡(luò)軟件設(shè)計(jì)時(shí)不可能完美無缺，總會(huì)出現(xiàn)一些缺陷和漏洞。這些漏洞和缺陷正是黑客進(jìn)行攻擊的首選目標(biāo)，而且目前還沒有一些技術(shù)能提前全部防范這些病毒和黑客。

4.管理因素

用戶安全意識(shí)淡薄、管理不善是當(dāng)前存在的一個(gè)嚴(yán)重的問題。主要有以下三點(diǎn)：一是一些國家如中國缺乏強(qiáng)有力的權(quán)威管理機(jī)構(gòu)，網(wǎng)絡(luò)安全立法滯后，安全管理部門受人力、技術(shù)等條件的限制影響著安全管理措施的有效實(shí)施；二是缺乏安全審計(jì)，安全審計(jì)是把與安全相關(guān)的事件記錄到安全日志中，但是現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)大多數(shù)缺少安全審計(jì)，安全日志形同虛設(shè)；三是安全意識(shí)淡薄，人們對(duì)信息安全認(rèn)識(shí)不夠，過分依賴信息安全產(chǎn)品，缺乏細(xì)致的內(nèi)部網(wǎng)絡(luò)管理機(jī)制，一些用戶警惕性不高，操作麻痹，甚至把自己賬號(hào)隨意交給他人。

三、常用網(wǎng)絡(luò)安全技術(shù)

1.反病毒軟件

反病毒軟件已成為人們抵御病毒進(jìn)攻的有力武器。目前的反病毒軟件具有幾項(xiàng)技術(shù)特色。一是防火墻技術(shù)，其目的是保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊，及防止內(nèi)部網(wǎng)絡(luò)用戶向外泄密，為用戶提供一個(gè)實(shí)時(shí)監(jiān)控防止病毒發(fā)作的工具。它對(duì)用戶訪問的每一個(gè)文件進(jìn)行病毒檢測(cè)，確認(rèn)無毒后才會(huì)讓系統(tǒng)接管進(jìn)行下一步的工作。目前，防火墻技術(shù)主要分為分組過濾和服務(wù)兩種類型。二是反病毒軟件在線升級(jí)的方式。三是統(tǒng)一的防病毒管理。四是嵌人式查毒技術(shù)的形成，它將殺毒引擎直接嵌掛到IE瀏覽器和流行辦公軟件組件當(dāng)中，使其與可能發(fā)生病毒侵?jǐn)_的應(yīng)用程序有機(jī)地結(jié)合為一體，在占用系統(tǒng)資源最小的情況下查殺病毒。

2.密碼技術(shù)

密碼技術(shù)包括加密和解密兩個(gè)方面。密碼技術(shù)可對(duì)信息進(jìn)行加密解密處理，實(shí)現(xiàn)信息的安全，這兩者之間是密不可分的。加密是指采用數(shù)學(xué)方法對(duì)原始信息進(jìn)行加工，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對(duì)于非法接收者只是毫無意義的字符，對(duì)于合法的接收者，因其掌握正確的密鑰，可以通過解密得到原始內(nèi)容。密碼系統(tǒng)至少包含明文、密文、密碼技術(shù)，密鑰幾個(gè)部分。

3.入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。入侵檢測(cè)技術(shù)針對(duì)包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為，是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

入侵檢測(cè)通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)，系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)，識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警，異常行為模式的統(tǒng)計(jì)分析，評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性，操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

4.虛擬專用網(wǎng)（VPN）技術(shù)

虛擬專用網(wǎng)（VPN）技術(shù)是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

四、提高電子商務(wù)信息安全的對(duì)策探討

1.開展網(wǎng)絡(luò)安全立法和執(zhí)法

網(wǎng)絡(luò)安全立法要吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn)，結(jié)合我國國情對(duì)現(xiàn)行法律體系進(jìn)行修改與補(bǔ)充，使法律體系更加科學(xué)和完善。要建立有利于信息安全案件訴訟與公、檢、法機(jī)關(guān)辦案的制度，提高執(zhí)法效率和質(zhì)量。要對(duì)違犯國家法律法規(guī)，對(duì)計(jì)算機(jī)信息存儲(chǔ)系統(tǒng)、應(yīng)用程序或傳輸?shù)臄?shù)據(jù)進(jìn)行刪除、修改、增加、干擾的行為依法懲處。

2.提高網(wǎng)絡(luò)信息安全意識(shí)

以有效方式和途徑在全社會(huì)普及網(wǎng)絡(luò)安全知識(shí)，提高公民的網(wǎng)絡(luò)安全意識(shí)與自覺性，學(xué)會(huì)維護(hù)網(wǎng)絡(luò)安全的基本技能，并在思想上把信息資源共享與信息安全防護(hù)有機(jī)統(tǒng)一起來，樹立維護(hù)信息安全就是保生存、促發(fā)展的觀念。

3.加強(qiáng)網(wǎng)絡(luò)安全管理

建立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，有效統(tǒng)一、協(xié)調(diào)和研究未來趨勢(shì)，制定宏觀政策，實(shí)施重大決定。嚴(yán)格執(zhí)行《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》與《計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)管理辦法》，明確責(zé)任，規(guī)范崗位職責(zé)，制定有效防范措施，并且嚴(yán)把用戶入網(wǎng)關(guān)，合理設(shè)置訪問權(quán)限等。

4.加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)

篇8

    1電子商務(wù)所面臨的信息安全威脅 

    1.1 安全環(huán)境惡化 

    由于在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面發(fā)展較為遲緩,我國在很多硬件核心設(shè)備方面依然以進(jìn)口采購為主要渠道,不能自主生產(chǎn)也意味著不能自主控制,除了生產(chǎn)技術(shù)、維護(hù)技術(shù)也相應(yīng)依靠國外引進(jìn),這也就讓國內(nèi)的電子商務(wù)無法看到眼前的威脅以及自身軟件的應(yīng)付能力。 

    1.2平臺(tái)的自然物理威脅 

    由于電子商務(wù)通過網(wǎng)絡(luò)傳輸進(jìn)行,因此諸如電磁輻射干擾以及網(wǎng)絡(luò)設(shè)備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預(yù)測(cè),而這些威脅將直接影響信息安全。此外,人為破壞商務(wù)系統(tǒng)硬件,篡改刪除信息內(nèi)容等行為,也會(huì)給企業(yè)造成損失。 

    1.3黑客入侵 

    在諸多威脅中,病毒是最不可控制的,其主要作用是損壞計(jì)算機(jī)文件,且具有繁殖功能。配合越來越便捷的網(wǎng)絡(luò)環(huán)境,計(jì)算機(jī)病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性,本地計(jì)算機(jī)所記錄的登錄信息都會(huì)被木馬程序篡改,從而造成信息之外的文件和資金遭竊。 

    2電子商務(wù)信息安全的防范處理方法 

    2.1針對(duì)病毒的技術(shù) 

    作為電子商務(wù)安全的最大威脅,對(duì)于計(jì)算機(jī)病毒的防范是重中之重。對(duì)于病毒,處理態(tài)度應(yīng)該以預(yù)防為主,查殺為輔。因?yàn)椴《镜念A(yù)防工作在技術(shù)層面上比查殺要更為簡(jiǎn)單。多種預(yù)防措施的并行應(yīng)用很重要,比如對(duì)全新計(jì)算機(jī)硬件、軟件進(jìn)行全面的檢測(cè);利用病毒查殺軟件對(duì)文件進(jìn)行實(shí)時(shí)的掃描;定期進(jìn)行相關(guān)數(shù)據(jù)備份;服務(wù)器啟動(dòng)采取硬盤啟動(dòng);相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問權(quán)限等等。同時(shí)在病毒感染時(shí)保證文件的及時(shí)隔離。在計(jì)算機(jī)系統(tǒng)感染病毒的情況下,第一時(shí)間清除病毒文件并及時(shí)恢復(fù)系統(tǒng)。 

    2.2防火墻應(yīng)用 

    防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng),對(duì)內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類:一類是簡(jiǎn)單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器,可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告

    2.3數(shù)據(jù)加密技術(shù)的引入 

    加密技術(shù)是保證電子商務(wù)安全采用的主要安全措施。加密過程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合,從而產(chǎn)生不可理解的密文的過程,主要加密技術(shù)是:對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。 

    2.4認(rèn)證系統(tǒng) 

    網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。傳統(tǒng)的對(duì)稱密鑰算法具有加密強(qiáng)度高、運(yùn)算速度快的優(yōu)點(diǎn),但密鑰的傳遞與管理問題限制了它的應(yīng)用。為解決此問題,20 世紀(jì) 70 年代密碼界出現(xiàn)了公開密鑰算法,該算法使用一對(duì)密鑰即一個(gè)私鑰和一個(gè)公鑰,其對(duì)應(yīng)關(guān)系是唯一的,公鑰對(duì)外公開,私鑰個(gè)人秘密保存。一般用公鑰來進(jìn)行加密,用私鑰來進(jìn)行簽名;同時(shí)私鑰用來解密,公鑰用來驗(yàn)證簽名。 

    2.5其他注意事項(xiàng) 

    (1)機(jī)密性是指信息在存儲(chǔ)或傳輸過程中不被他人竊取或泄漏,滿足電子商務(wù)交易中信息保密性的安全需求,避免敏感信息泄漏的威脅。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。 

    (2)商務(wù)信息的完整性,只讀特性以及修改授權(quán)問題是電子商務(wù)信息需要攻克的一大難關(guān)。信息在傳輸過程中必須保持原內(nèi)容,不能因技術(shù)、環(huán)境以及刻意原因而輕易被更改。 

篇9

電子商務(wù)(E-Commerce)是在Internet開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器服務(wù)器的應(yīng)用方式,實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購物商戶之間的網(wǎng)上交易和在線電子支付的商業(yè)運(yùn)營模式最近幾年,電子商務(wù)以其便利快捷的特點(diǎn)迅速發(fā)展起來,但是安全問題一直是阻礙其發(fā)展的關(guān)鍵因素雖然PKI的研究和應(yīng)用為互聯(lián)網(wǎng)絡(luò)安全提供了必要的基礎(chǔ)設(shè)施,但是電子商務(wù)信息的機(jī)密性和完整性仍然是迫切需要解決的問題,本文針對(duì)這一問題展開了深入研究并提出了解決方法

1PKI的定義和功能

PKI——公鑰基礎(chǔ)設(shè)施,是構(gòu)建網(wǎng)絡(luò)應(yīng)用的安全保障,專為開放型大型互聯(lián)網(wǎng)的應(yīng)用環(huán)境而設(shè)計(jì)PKI是對(duì)公鑰所表示的信任關(guān)系進(jìn)行管理的一種機(jī)制,它為Internet用戶和應(yīng)用程序提供公鑰加密和數(shù)字簽名服務(wù),目的是為了管理密鑰和證書,保證網(wǎng)上數(shù)字信息傳輸?shù)臋C(jī)密性真實(shí)性完整性和不可否認(rèn)性,以使用戶能夠可靠地使用非對(duì)稱密鑰加密技術(shù)來增強(qiáng)自己的安全水平PKI的功能主要包括:公鑰加密證書證書確認(rèn)證書撤銷

2公鑰密碼系統(tǒng)

由于PKI廣泛應(yīng)用于電子商務(wù),故文章重點(diǎn)放在討論RSA公鑰密碼系統(tǒng)上RSA的安全性是基于數(shù)論和計(jì)算復(fù)雜性理論中的下述論斷:求兩個(gè)大素?cái)?shù)的乘積在計(jì)算上是容易的,但若分解兩個(gè)大素?cái)?shù)的積而求出它的因子則在計(jì)算上是困難的,它屬于NPI類

2.1RSA系統(tǒng)

RSA使用的一個(gè)密鑰對(duì)是由兩個(gè)大素?cái)?shù)經(jīng)過運(yùn)算產(chǎn)生的結(jié)果:其中一個(gè)是公鑰,為眾多實(shí)體所知;另外一個(gè)是私鑰,為了確保其保密性和完整性,必須嚴(yán)格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密鑰對(duì)中的一個(gè)密鑰加密的消息只能用另外一個(gè)解密,這也就體現(xiàn)了RSA系統(tǒng)的非對(duì)稱性RSA具有加密和數(shù)字簽名功能RSA產(chǎn)生公鑰/私鑰對(duì)加解密的過程如下:

2.1.1產(chǎn)生一個(gè)公鑰/私鑰對(duì)

(1)選取兩個(gè)大素?cái)?shù)p和q,為了獲得最大程度的安全性,兩個(gè)數(shù)的長(zhǎng)度最好相同兩個(gè)素?cái)?shù)p和q必須保密

(2)計(jì)算p與q的乘積:n=p*q

(3)再由p和q計(jì)算另一個(gè)數(shù)z=(p-1)*(q-1)

(4)隨機(jī)選取加密密鑰e,使e和z互素

(5)用歐幾里得擴(kuò)展算法計(jì)算解密密鑰d,以滿足e*d=1mod(z)

(6)由此而得到的兩組數(shù)(n,e)和(n,d)分別被稱為公鑰和私鑰

2.1.2加密/解密過程

RSA的加密方法是一個(gè)實(shí)體用另外一個(gè)實(shí)體的公鑰完成加密過程,這就允許多個(gè)實(shí)體發(fā)送一個(gè)實(shí)體加密過的消息而不用事先交換秘密鑰或者私鑰,并且由于加密是用公鑰執(zhí)行的,所以解密只能用其對(duì)應(yīng)的私鑰來完成,因此只有目標(biāo)接受者才能解密并讀取原始消息

在實(shí)際操作中,RSA采用一種分組加密算法,加密消息m時(shí),首先將它分成比n小的數(shù)據(jù)分組(采用二進(jìn)制數(shù),選取小于n的2的最大次冪),加密后的密文c,將由相同長(zhǎng)度的分組ci組成加密公式簡(jiǎn)化為:

ci=mie(modn)

即對(duì)于明文m,用公鑰(n,e)加密可得到密文c:

c=memodn,其中m={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)

解密消息時(shí),取每一個(gè)加密后的分組ci并計(jì)算:mi=cid(modn),便能恢復(fù)出明文即對(duì)于密文c,用接收者的私鑰(n,d)解密可得到明文m:

m=cdmodnm={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)

2.1.3數(shù)字簽名

RSA的數(shù)字簽名是加密的相反方式,即由一個(gè)實(shí)體用它的私鑰將明文加密而生成的這種加密允許一個(gè)實(shí)體向多個(gè)實(shí)體發(fā)送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發(fā)送者的公鑰就可以解密

RSA的數(shù)字簽名過程如下:

s=mdmodn,其中m是消息,s是數(shù)字簽名的結(jié)果,d和n是消息發(fā)送者的私鑰

消息的解密過程如下:

m=semodn,其中e和n是發(fā)送者的公鑰

2.1.4散列(Hash)函數(shù)

MD5與SHA1都屬于Hash函數(shù)標(biāo)準(zhǔn)算法中兩大重要算法,就是把一個(gè)任意長(zhǎng)度的信息經(jīng)過復(fù)雜的運(yùn)算變成一個(gè)固定長(zhǎng)度的數(shù)值或者信息串,主要用于證明原文的完整性和準(zhǔn)確性,是為電子文件加密的重要工具一般來說,對(duì)于給出的一個(gè)文件要算它的Hash碼很容易,但要從Hash碼找出相應(yīng)的文件算法卻很難Hash函數(shù)最根本的特點(diǎn)是這種變換具有單向性,一旦數(shù)據(jù)被轉(zhuǎn)換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結(jié)果,達(dá)到防止信息被篡改的目的由于Hash函數(shù)的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數(shù)字簽名

2.2對(duì)稱密碼系統(tǒng)

對(duì)稱密碼系統(tǒng)的基本特點(diǎn)是解密算法就是加密算法的逆運(yùn)算,加秘密鑰就是解秘密鑰它通常用來加密帶有大量數(shù)據(jù)的報(bào)文和問卷通信的信息,因?yàn)檫@兩種通信可實(shí)現(xiàn)高速加密算法在對(duì)稱密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送,而雙方實(shí)體通信所用的秘密鑰也必須妥善保管

3應(yīng)用模型

利用公鑰加密系統(tǒng)可以解決電子商務(wù)中信息的機(jī)密性和完整性的要求,下面是具體的應(yīng)用模型在本例中,Alice與Bob兩個(gè)實(shí)體共享同一個(gè)信任點(diǎn),即它們使用同一CA簽發(fā)的數(shù)字證書因此,它們無需評(píng)價(jià)信任鏈去決定是否信任其他CA

3.1準(zhǔn)備工作

(1)Alice與Bob各自生成一個(gè)公鑰/私鑰對(duì);

(2)Alice與Bob向RA(機(jī)構(gòu))提供各自的公鑰名稱和描述信息;

(3)RA審核它們的身份并向CA提交證書申請(qǐng);

(4)CA格式化Alice和Bob的公鑰及其他信息,為Alice和Bob分別生成公鑰證書,然后用自己的私鑰對(duì)證書進(jìn)行數(shù)字簽名;

(5)上述過程的結(jié)果是,Alice與Bob分別擁有各自的一個(gè)公鑰/私鑰對(duì)和公鑰證書;

(6)Alice與Bob各自生成一個(gè)對(duì)稱秘密鑰

現(xiàn)在,Alice和Bob擁有各自的一個(gè)公鑰/私鑰對(duì),由共同信任的第三方頒發(fā)的數(shù)字證書以及一個(gè)對(duì)稱密鑰

3.2處理過程

假設(shè)現(xiàn)在Alice欲發(fā)送消息給Bob,并且要求確保數(shù)據(jù)的完整性,即消息內(nèi)容不能發(fā)生變動(dòng);同時(shí)Alice和Bob都希望確保信息的機(jī)密性,即不容許除雙方之外的其他實(shí)體能夠查看該消息完成這樣要求的處理過程如下:其中步驟1~5說明Alice加密消息過程;步驟6~10說明Bob解密消息的過程

(1)Alice按照雙方約定的規(guī)則格式化消息,然后用Hash函數(shù)取得該消息的散列值,該值將被用來測(cè)試消息的合法性和完整性

(2)Alice用私鑰對(duì)消息和散列值進(jìn)行簽名(加密)這一簽名確保了消息的完整性,因?yàn)锽ob認(rèn)為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名值得注意的是:現(xiàn)在任何有權(quán)訪問Alice公鑰的實(shí)體都能解密該被簽名的消息,所以我們僅僅是保證了消息的完整性,而沒有確保其機(jī)密性

(3)由于Alice和Bob之間想保持消息的機(jī)密性,所以Alice用它的對(duì)稱秘密鑰加密被簽名的消息和散列值這一對(duì)稱秘密鑰只有Alice和Bob共享而不被其他實(shí)體所用注意,在本例中,我們使用了一個(gè)對(duì)稱秘密鑰,這是因?yàn)閷?duì)于加密較長(zhǎng)消息諸如訂購信息來說,利用對(duì)稱加密比公鑰加密更為有效

(4)Alice必須向Bob提供它用來給消息加密的對(duì)稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息Alice用Bob的公鑰將自己的對(duì)稱秘密鑰簽名(加密),這里我們假設(shè)Alice事先已經(jīng)獲得Bob的公鑰,這樣就形成了一個(gè)數(shù)字信箋,并且只有Bob才能將其打開(解密),因?yàn)橹挥蠦ob能夠訪問用來打開該數(shù)字信箋的私鑰注意,一個(gè)公鑰/私鑰對(duì)中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密這就為Alice向Bob傳輸對(duì)稱秘密鑰提供了機(jī)密性

(5)Alice發(fā)送給Bob的信息包括它用對(duì)稱秘密鑰加密的原始消息和散列值,以及用Bob公鑰加密的包含Alice的對(duì)稱秘密鑰的數(shù)字信箋圖1描述了Alice使用數(shù)字簽名向Bob發(fā)送消息(步驟1~5)

(6)Bob用它的私鑰打開(解密)來自于Alice的數(shù)字信箋完成這一過程將使Bob獲得Alice以前用來加密消息和散列值的對(duì)稱秘密鑰

(7)Bob現(xiàn)在可以打開(解密)用Alice的對(duì)稱秘密鑰加密的消息和散列值解密后Bob得到了用Alice的私鑰簽名的消息和散列值

(8)Bob用Alice的公鑰解密簽名的消息和散列值注意,一個(gè)公鑰/私鑰對(duì)中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密

(9)為了證實(shí)消息沒有經(jīng)過任何改動(dòng),Bob將原始消息采用與Alice最初使用的完全一致的Hash函數(shù)進(jìn)行轉(zhuǎn)化

(10)最后,Bob將得出的散列值與它從所收消息中解密出來的散列值對(duì)比,若二者相同,則證明了消息的完整性圖2描述了Bob解密和對(duì)比散列值的過程(步驟6～10)

3.3實(shí)現(xiàn)方法

采用Java語言實(shí)現(xiàn)系統(tǒng),Java語言本身提供了一些基本的安全方面的函數(shù),我們可以在此基礎(chǔ)上實(shí)現(xiàn)更為復(fù)雜和有效的應(yīng)用系統(tǒng)系統(tǒng)中主要的類實(shí)現(xiàn)如下:

(1)DataEncryption類該類主要實(shí)現(xiàn)明文向密文的轉(zhuǎn)換,依據(jù)RSA算法的規(guī)則實(shí)現(xiàn)非對(duì)稱加密,其中密鑰長(zhǎng)度為128位每次可加密數(shù)據(jù)的最大長(zhǎng)度為512字節(jié),因此對(duì)于較長(zhǎng)數(shù)據(jù)的加密需要?jiǎng)澐诌m當(dāng)大小的數(shù)據(jù)塊

(2)DataHash類該類完成對(duì)所要加密消息產(chǎn)生對(duì)應(yīng)的散列值,對(duì)于不同的消息,散列值是不相同的可以借助Java中提供的Hash函數(shù)來實(shí)現(xiàn)

(3)DataDecryption類該類主要實(shí)現(xiàn)密文向明文的轉(zhuǎn)換,依據(jù)依據(jù)RSA算法的規(guī)則,利用加密方的公鑰對(duì)密文進(jìn)行解密,并將解密后的明文按序排好

4結(jié)束語

文章以PKI理論為基礎(chǔ),利用公鑰密碼系統(tǒng)確保了電子商務(wù)過程中所傳輸消息的完整性,使用對(duì)稱加密系統(tǒng)實(shí)現(xiàn)對(duì)較長(zhǎng)消息的加密,并保證了消息的機(jī)密性文章的理論研究和實(shí)現(xiàn)方法,對(duì)于保障電子商務(wù)活動(dòng)中消息的完整性和機(jī)密性具有重要的指導(dǎo)意義

主要參考文獻(xiàn)

篇10

1電子商務(wù)信息安全的重要性

信息安全是指防止信息數(shù)據(jù)被故意或偶然的非授權(quán)泄漏、更改及破壞,以保障信息的可用性、可靠性、完整性、保密性。而電子商務(wù)所依賴的信息流是否安全也直接關(guān)系到各個(gè)相關(guān)主體的利益,從而影響到整個(gè)企業(yè)經(jīng)濟(jì)收益水平和競(jìng)爭(zhēng)力,因此信息安全是實(shí)現(xiàn)電子商務(wù)正常運(yùn)作的重要保障,是實(shí)現(xiàn)信息流、商流和資金流的根本保證。在當(dāng)前完全開放的網(wǎng)絡(luò)環(huán)境下,保障電子商務(wù)活動(dòng)中信息安全顯得尤為重要。(1)信息的可用性,是保障電子商務(wù)正常開展的重要前提,即電子商務(wù)在交易活動(dòng)中,交易雙方之間提供的信息必須是可用的,只有這樣才能保證交易結(jié)果的有效性。因而網(wǎng)絡(luò)環(huán)境下的非人為故障成為信息可用性的阻礙,即相關(guān)的網(wǎng)絡(luò)故障、計(jì)算機(jī)中病毒等等。(2)信息的可靠性,是保障電子商務(wù)正常運(yùn)行的關(guān)鍵,即防止計(jì)算機(jī)失效、系統(tǒng)軟件錯(cuò)誤、程序錯(cuò)誤等危險(xiǎn),以保證信息和信息系統(tǒng)安全可靠。(3)信息的完整性,是電子商務(wù)應(yīng)用的重要基礎(chǔ),即要保證信息在網(wǎng)絡(luò)上存儲(chǔ)或傳輸過程中不被篡改、修改或丟失,并保證信息傳送次序的統(tǒng)一。(4)信息的保密性,是電子商務(wù)推廣應(yīng)用的重要保障,即要嚴(yán)格控制信息存取和信息傳輸?shù)倪^程中不泄漏給非授權(quán)的個(gè)人和實(shí)體。

2電子商務(wù)過程中存在的信息安全問題

網(wǎng)絡(luò)環(huán)境下,電子商務(wù)不斷發(fā)展,同時(shí)也面臨著諸多信息安全隱患,主要表現(xiàn)在以下幾個(gè)方面。2.1網(wǎng)絡(luò)環(huán)境本身存在的安全問題。(1)系統(tǒng)自身存在的漏洞問題。電子商務(wù)系統(tǒng)是指各個(gè)相關(guān)主體等在Internet和其他網(wǎng)絡(luò)的基礎(chǔ)上,以實(shí)現(xiàn)企業(yè)電子商務(wù)活動(dòng)的目標(biāo)。因此系統(tǒng)自身存在的漏洞問題不可避免,這是相關(guān)技術(shù)研發(fā)人員在網(wǎng)絡(luò)系統(tǒng)研發(fā)過程中沒能建立完善的應(yīng)對(duì)措施,導(dǎo)致電子商務(wù)的不安全隱患發(fā)生,如保存在系統(tǒng)中的個(gè)人隱私信息被不法分子獲取、企業(yè)信息遭到泄漏等。(2)網(wǎng)絡(luò)自身存在的缺陷。電子商務(wù)是以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的,而網(wǎng)絡(luò)本身也存在著缺陷,如:TCP/IP的脆弱性,使其容易受到網(wǎng)絡(luò)攻擊;網(wǎng)絡(luò)結(jié)構(gòu)的不安全性,導(dǎo)致信息數(shù)據(jù)在傳輸過程中易被竊聽等。2.2信息存儲(chǔ)過程中的安全問題。電子商務(wù)在靜態(tài)存放時(shí)的安全,被稱為信息存儲(chǔ)安全。在網(wǎng)絡(luò)開放的大環(huán)境下,電子商務(wù)的信息存儲(chǔ)安全存在著兩種不安全要素,即內(nèi)部不安全要素,是指企業(yè)內(nèi)部之間、企業(yè)的顧客在沒有得到授權(quán)的情況下調(diào)用或隨意修改、刪減電子商務(wù)信息;外部不安全因素,是指企業(yè)外部人員非法入侵計(jì)算機(jī)網(wǎng)絡(luò),在未授權(quán)的情況下隨意調(diào)用、修改、刪減電子商務(wù)信息等,導(dǎo)致企業(yè)主體商業(yè)機(jī)密泄漏或遭他人盜用,造成同行業(yè)之間惡性競(jìng)爭(zhēng)。2.3信息傳輸中的安全問題。信息傳輸安全是指商務(wù)信息在交易過程中的傳輸安全。其存在的不安全性主要包括:商務(wù)信息在網(wǎng)絡(luò)傳輸過程中被非法竊取、篡改或偽造等,導(dǎo)致交易信息丟失或被否認(rèn)等,嚴(yán)重影響了電子商務(wù)的正常運(yùn)作。2.4交易過程中的信息安全問題。(1)買方信息安全威脅。買方信息在未授權(quán)的情況下非法攔截、竊取,導(dǎo)致交易信息泄漏或者假冒買方被要求付賬或返還商品;交易信息的不完整或被篡改,導(dǎo)致買方?jīng)]有收到商品;計(jì)算機(jī)被病毒感染或遭黑客攻擊,導(dǎo)致個(gè)人信息丟失或被竊取等。(2)賣方信息安全威脅。賣方信息,如營銷信息和客戶信息等被非法侵入、竊取;假冒合法用戶改變交易內(nèi)容,導(dǎo)致電子商務(wù)交易中斷,不僅使買方權(quán)益受損,還會(huì)造成賣方信譽(yù)受損;黑客入侵賣方商務(wù)系統(tǒng),泄漏商業(yè)機(jī)密或制造虛假信息影響賣方的正常銷售等等。

3電子商務(wù)信息安全防范措施

3.1采用各種先進(jìn)的信息安全技術(shù)。在網(wǎng)絡(luò)背景下,如何利用現(xiàn)代計(jì)算機(jī)信息安全技術(shù)減少系統(tǒng)漏洞、防止黑客入侵和病毒感染,以保障電子商務(wù)信息安全至關(guān)重要。(1)數(shù)據(jù)加密技術(shù)。由于網(wǎng)絡(luò)協(xié)議的限制,使得數(shù)據(jù)流在傳輸過程中處于未加密狀態(tài),包括用戶名、密碼等認(rèn)證信息,容易導(dǎo)致數(shù)據(jù)在傳輸過程中被非法竊聽和盜取,因此使用數(shù)據(jù)加密技術(shù)能夠在一定程度上保證信息的完整性和安全性。信息加密技術(shù)是最基本的安全技術(shù),是主動(dòng)安全防范的有效策略,其目的是為了防止合法接收者之外的人獲取機(jī)密信息,保護(hù)網(wǎng)絡(luò)會(huì)話的完整性。加密是利用加密函數(shù)轉(zhuǎn)換和保密的密鑰對(duì)信息進(jìn)行編碼,變成無意義的密文,以便只有合法的接收者通過解密得到原始數(shù)據(jù)。加密技術(shù)根據(jù)密匙類型分為對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù),其中對(duì)稱密匙加密算法主要包括數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法和國際數(shù)據(jù)加密算法IDEA算法;非對(duì)稱密匙加密也稱公開密匙加密,其主要是RSA加密算法。(2)認(rèn)證技術(shù)。認(rèn)證技術(shù)是指采用密碼技術(shù)設(shè)計(jì)出安全性高的識(shí)別協(xié)議,確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息完整性,即保證信息在傳送或存儲(chǔ)過程中未被修改、重復(fù)、刪除等,如數(shù)字證書、電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)等。(3)防病毒技術(shù)。電子商務(wù)的信息安全,防范木馬攻擊和病毒更是重中之重。對(duì)于病毒,要以預(yù)防為主,查殺為輔,當(dāng)前保護(hù)信息安全的技術(shù)主要包括:預(yù)防病毒技術(shù),監(jiān)視和判斷系統(tǒng)中是否存在病毒,并預(yù)防病毒進(jìn)入系統(tǒng)和對(duì)系統(tǒng)軟件資源即文件造成干擾和破壞;檢測(cè)病毒技術(shù),即在計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容等特征分類的基礎(chǔ)上進(jìn)行識(shí)別和偵測(cè);消除病毒技術(shù),對(duì)病毒進(jìn)行分析研究后,開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。3.2加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)。在網(wǎng)絡(luò)背景下,通過設(shè)置多道防火墻、多層密保等,在一定程度上減少了黑客入侵、信息泄露等一系列電子商務(wù)信息安全問題。但由于我國計(jì)算機(jī)信息技術(shù)起步較晚,大部分計(jì)算機(jī)軟硬件核心部件都源自國外進(jìn)口,如一些關(guān)鍵部件、安全軟件及操作系統(tǒng)都不是自主研發(fā)的,這就必然導(dǎo)致我國計(jì)算機(jī)網(wǎng)絡(luò)信息安全方面的漏洞。因此,我國要進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè),建立我國自己的公開密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測(cè)評(píng)估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。

綜上所述,網(wǎng)絡(luò)背景下的電子商務(wù)發(fā)展帶給人們?nèi)粘Ｉ畋憷耐瑫r(shí),也給相關(guān)主體的信息安全帶來隱患,如果能解決好電子商務(wù)信息安全的問題,電子商務(wù)的發(fā)展前景是相當(dāng)可觀的。因此,建立安全、快捷、高效的電子商務(wù)環(huán)境至關(guān)重要,需進(jìn)一步加大投入、開發(fā)新的、有效的信息安全技術(shù),以確保電子商務(wù)的健康、可持續(xù)發(fā)展。

作者:唐利娜 單位:鄭州工業(yè)技師學(xué)院

參考文獻(xiàn)

篇11

    1電子商務(wù)所面臨的信息安全威脅 

    1.1 安全環(huán)境惡化 

    由于在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面發(fā)展較為遲緩,我國在很多硬件核心設(shè)備方面依然以進(jìn)口采購為主要渠道,不能自主生產(chǎn)也意味著不能自主控制,除了生產(chǎn)技術(shù)、維護(hù)技術(shù)也相應(yīng)依靠國外引進(jìn),這也就讓國內(nèi)的電子商務(wù)無法看到眼前的威脅以及自身軟件的應(yīng)付能力。 

    1.2平臺(tái)的自然物理威脅 

    由于電子商務(wù)通過網(wǎng)絡(luò)傳輸進(jìn)行,因此諸如電磁輻射干擾以及網(wǎng)絡(luò)設(shè)備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預(yù)測(cè),而這些威脅將直接影響信息安全。此外,人為破壞商務(wù)系統(tǒng)硬件,篡改刪除信息內(nèi)容等行為,也會(huì)給企業(yè)造成損失。 

    1.3黑客入侵 

    在諸多威脅中,病毒是最不可控制的,其主要作用是損壞計(jì)算機(jī)文件,且具有繁殖功能。配合越來越便捷的網(wǎng)絡(luò)環(huán)境,計(jì)算機(jī)病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性,本地計(jì)算機(jī)所記錄的登錄信息都會(huì)被木馬程序篡改,從而造成信息之外的文件和資金遭竊。 

    2電子商務(wù)信息安全的防范處理方法  1針對(duì)病毒的技術(shù) 

    作為電子商務(wù)安全的最大威脅,對(duì)于計(jì)算機(jī)病毒的防范是重中之重。對(duì)于病毒,處理態(tài)度應(yīng)該以預(yù)防為主,查殺為輔。因?yàn)椴《镜念A(yù)防工作在技術(shù)層面上比查殺要更為簡(jiǎn)單。多種預(yù)防措施的并行應(yīng)用很重要,比如對(duì)全新計(jì)算機(jī)硬件、軟件進(jìn)行全面的檢測(cè);利用病毒查殺軟件對(duì)文件進(jìn)行實(shí)時(shí)的掃描;定期進(jìn)行相關(guān)數(shù)據(jù)備份;服務(wù)器啟動(dòng)采取硬盤啟動(dòng);相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問權(quán)限等等。同時(shí)在病毒感染時(shí)保證文件的及時(shí)隔離。在計(jì)算機(jī)系統(tǒng)感染病毒的情況下,第一時(shí)間清除病毒文件并及時(shí)恢復(fù)系統(tǒng)。  2防火墻應(yīng)用 

    防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng),對(duì)內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類:一類是簡(jiǎn)單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器,可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。 

    2.3數(shù)據(jù)加密技術(shù)的引入 

    加密技術(shù)是保證電子商務(wù)安全采用的主要安全措施。加密過程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合,從而產(chǎn)生不可理解的密文的過程,主要加密技術(shù)是:對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。  4認(rèn)證系統(tǒng) 

    網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。傳統(tǒng)的對(duì)稱密鑰算法具有加密強(qiáng)度高、運(yùn)算速度快的優(yōu)點(diǎn),但密鑰的傳遞與管理問題限制了它的應(yīng)用。為解決此問題,20 世紀(jì) 70 年代密碼界出現(xiàn)了公開密鑰算法,該算法使用一對(duì)密鑰即一個(gè)私鑰和一個(gè)公鑰,其對(duì)應(yīng)關(guān)系是唯一的,公鑰對(duì)外公開,私鑰個(gè)人秘密保存。一般用公鑰來進(jìn)行加密,用私鑰來進(jìn)行簽名;同時(shí)私鑰用來解密,公鑰用來驗(yàn)證簽名。  5其他注意事項(xiàng) 

    (1)機(jī)密性是指信息在存儲(chǔ)或傳輸過程中不被他人竊取或泄漏,滿足電子商務(wù)交易中信息保密性的安全需求,避免敏感信息泄漏的威脅。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。 

    (2)商務(wù)信息的完整性,只讀特性以及修改授權(quán)問題是電子商務(wù)信息需要攻克的一大難關(guān)。信息在傳輸過程中必須保持原內(nèi)容,不能因技術(shù)、環(huán)境以及刻意原因而輕易被更改。 

篇12

如何正確把握安全與應(yīng)用的關(guān)系，安全配置的“邊”在哪里，“度”又該如何衡量，這些問題在電子政務(wù)領(lǐng)域顯得尤為突出?！八囟伞奔词菍?duì)這一問題做出的一種解釋。

“水池的注、排水口同時(shí)開放，只有當(dāng)單位時(shí)間內(nèi)的注水量大于排水量時(shí)，水池內(nèi)才會(huì)存住水，水池才有可能被注滿?！薄@個(gè)道理人人都懂，雖然我們都覺得一邊注水一邊排水很浪費(fèi)，但在現(xiàn)實(shí)世界中，由于一些不可避免的客觀原因所限，類似情況并不少見。

如果把信息系統(tǒng)看作一個(gè)水池，水看作利益，則注水相當(dāng)于得到利益，排水相當(dāng)于損失利益，一個(gè)信息系統(tǒng)能否給它的所有者帶來收益，就是看這個(gè)水池能否存得住水。問題的關(guān)鍵就是看獲得利益的速度是否大于損失利益的速度。

在電子商務(wù)領(lǐng)域，利益多表現(xiàn)為有形的資產(chǎn)，可以量化為金錢來衡量。信息系統(tǒng)經(jīng)過一段時(shí)間的運(yùn)行，它的效益可以從利潤(rùn)中體現(xiàn)出來。對(duì)于電子政務(wù)，雖然不能簡(jiǎn)單一概而論，但道理是相似的。業(yè)務(wù)應(yīng)用給信息系統(tǒng)的所有者及服務(wù)對(duì)象帶來收益，是注水口，安全風(fēng)險(xiǎn)又會(huì)造成損失，是排水口。應(yīng)用該不該建，安全上怎么防，關(guān)鍵是要讓收益速度遠(yuǎn)遠(yuǎn)大于損失速度，即單位時(shí)間內(nèi)的注水量大于排水量，這樣池子里才存得住水，這個(gè)系統(tǒng)才建得值。所以不能單純、片面地盯住安全問題，而應(yīng)把它放在信息系統(tǒng)建設(shè)的大環(huán)境中，從整體上、全局上把握。這樣一來，很多我們?cè)谛畔踩ㄔO(shè)中碰到的問題就有了決策的依據(jù)。

具體來說，在信息安全建設(shè)中，我們經(jīng)常會(huì)碰到以下問題：

現(xiàn)象一：要把水池建成銅墻鐵壁，滴水不漏一一信息安全過度配置，防護(hù)過度。

現(xiàn)象二：要關(guān)閉水池一一把個(gè)別安全事件作為普遍現(xiàn)象來衡量得失，從而導(dǎo)致信息化建設(shè)大踏步倒退。

現(xiàn)象三：水池沒人管，誰都不清楚水池的注水量和排水量是多少一一應(yīng)用效益缺乏評(píng)估，安全建設(shè)外緊內(nèi)松，安全隱患依然存在。

造成上述問題的原因可能是以下一種或多種。

原因一：注水口的水流過小或根本沒水—效益沒見著，卻要承擔(dān)安全風(fēng)險(xiǎn)；費(fèi)力不討好也就罷了，誰愿意花錢找罪受、自討苦吃?所以看上去是過分強(qiáng)調(diào)安全，實(shí)質(zhì)上是應(yīng)用效益沒見著，沒有源頭活水，自然沒有熱情和本錢去承擔(dān)哪怕是很小的一點(diǎn)安全風(fēng)險(xiǎn)。這里需要說明的是，一些服務(wù)于社會(huì)公眾的應(yīng)用，雖然所有者本身并沒有直接獲益，但公眾獲得了便利，相當(dāng)于政府取得了無形收益，所有者可視為間接受益。

此外，與應(yīng)用結(jié)合的安全建設(shè)需要根據(jù)應(yīng)用量體裁衣。量體裁衣不是為了省布料，而是為了更合適。同理，根據(jù)應(yīng)用定制安全也不是為了省錢，而是為了更安全。有了值得保護(hù)的應(yīng)用，才有了評(píng)估風(fēng)險(xiǎn)的具體對(duì)象，也才好有針對(duì)性地制定防范對(duì)策。

原因二：注、排水口不在一個(gè)池子上。安全風(fēng)險(xiǎn)承擔(dān)者不是應(yīng)用效益獲得者，兩者之間沒有共同的利益。

這種現(xiàn)象更為常見，但很多情況是利益鏈存在“脫節(jié)”造成的。比如一個(gè)單位的應(yīng)用取得效益，其榮譽(yù)歸甲部門；同樣是這個(gè)應(yīng)用，安全出問題卻要乙部門承擔(dān)責(zé)任，合適嗎?這不僅涉及是否公平、合理的問題，更影晌到系統(tǒng)的長(zhǎng)遠(yuǎn)發(fā)展、生命力問題。當(dāng)安全風(fēng)險(xiǎn)承擔(dān)者較為強(qiáng)勢(shì)時(shí)，可能會(huì)片面強(qiáng)調(diào)安全，甚至把安全風(fēng)險(xiǎn)混同于具體的安全事故，這種概念混淆就好比以一次空難事故來衡量坐飛機(jī)的風(fēng)險(xiǎn)。即使發(fā)生了空難，飛機(jī)還是有人去坐，首先是因?yàn)樗旖?，其次空難概率畢竟很小。所以說，安全事故是不能預(yù)測(cè)的，但安全風(fēng)險(xiǎn)是可以預(yù)估的。信息安全建設(shè)的所要做的是對(duì)可預(yù)估的風(fēng)險(xiǎn)采取相應(yīng)措施，把能做的、該做的事做到位，那么即使事故還是會(huì)發(fā)生，我們也盡到了責(zé)任，問心無愧、不留遺憾。

二、當(dāng)安全風(fēng)險(xiǎn)承擔(dān)者較為弱勢(shì)時(shí)，會(huì)出現(xiàn)“想管不敢管、想管管不了”的局面。具體表現(xiàn)為缺乏有效的評(píng)價(jià)、監(jiān)督機(jī)制，即使有，執(zhí)行起來也是畏首畏尾，難以落到實(shí)處

針對(duì)以上兩種原因，有以下解決辦法可供參考。

解決辦法一：信息化的目的是為了得到效益，所以沒有效益的應(yīng)用不如不建，在安全適度配置的前提下，要加大向應(yīng)用要效益的力度；沒人用的系統(tǒng)是最安全的，同時(shí)也是效用最低的，因此信息安全建設(shè)要與應(yīng)用結(jié)合。

解決辦法二：統(tǒng)一應(yīng)用與安全建設(shè)的主體，做到業(yè)務(wù)誰主管，安全誰負(fù)責(zé)。如果統(tǒng)一主體確實(shí)存在困難，則要在兩者之間建立利益等效機(jī)制，讓利益鏈“環(huán)環(huán)緊扣”，讓利益“流動(dòng)”起來，這些可以通過調(diào)整管理體制，完善評(píng)價(jià)機(jī)制，健全監(jiān)督機(jī)制來具體實(shí)現(xiàn)。

當(dāng)然，實(shí)際情況更為復(fù)雜，我們要想以不變應(yīng)萬變，不被問題牽著鼻子走，需要把握以下原則：絕對(duì)的安全是不存在的。當(dāng)應(yīng)用帶來的收益遠(yuǎn)遠(yuǎn)大于安全帶來的風(fēng)險(xiǎn)時(shí)，信息化工作才會(huì)大踏步地前進(jìn)。我們應(yīng)該做的，是大力建設(shè)能帶來效益應(yīng)用的同時(shí)，把安全風(fēng)險(xiǎn)控制在一個(gè)可容忍的較小范圍內(nèi)。也就是在擴(kuò)大注水口的同時(shí)，縮小排水口。

篇13

一、 電子商務(wù)(EC)的安全要素

隨著Internet熱潮席卷全球，電子商務(wù)(EC)日益成為當(dāng)時(shí)髦的詞匯之一。電子商務(wù)(EC)就是利用電子數(shù)據(jù)交換(EDI)、電子郵件(E-mail)、電子資金轉(zhuǎn)賬(EFT)及Internet的主要技術(shù)在個(gè)人間、企業(yè)間和國家間進(jìn)行無紙化的業(yè)務(wù)信息的交換。從傳統(tǒng)的基于紙張的貿(mào)易方式向電子化的貿(mào)易方式轉(zhuǎn)變的過程中，如何保持電子化的貿(mào)易方式與傳統(tǒng)方式一樣安全可靠則是人們關(guān)注的焦點(diǎn)，同時(shí)也是電子商務(wù)全面應(yīng)用的關(guān)鍵問題之一。

電子商務(wù)(EC)必須具備以下安全要素:

1.有效性:EC以電子形式取代了紙張，那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展E的前提。

2.機(jī)密性:EC作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。

3.完整性:EC簡(jiǎn)化了貿(mào)易過程，減少了人為的干預(yù)，同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。

4.可靠性/不可抵賴性/鑒別:EC可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問題則是保證EC順利進(jìn)行的關(guān)鍵。

5.審查能力:根據(jù)機(jī)密性和完整性的要求，應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄。

二、Internet中電子商務(wù)的模型

利用Internet從事電子商務(wù)，意味著在享受公用網(wǎng)廉價(jià)、便利和龐大的用戶群這些優(yōu)點(diǎn)的同時(shí)，也承擔(dān)了敏感信息(金融賬號(hào)、賬戶密碼和支付信息等)遭受攻擊的風(fēng)險(xiǎn)。因此，能否確保信息安全、可靠的傳輸，為用戶在網(wǎng)上從事商務(wù)活動(dòng)提供信心保證，成為決定電子商務(wù)成敗的關(guān)鍵。到目前為止，已有許多公司提出了各自的電子商務(wù)模型。在研究了這些模型后，發(fā)現(xiàn)盡管在具體架構(gòu)上存在著很多分歧，但就如何實(shí)現(xiàn)信息安全傳輸，已在下列基本點(diǎn)上達(dá)成了共識(shí)。

1.認(rèn)證體系(Certifying hierarchy)。為實(shí)現(xiàn)商家和客戶的相互認(rèn)證，既杜絕攻擊者假冒他人信用賬號(hào)進(jìn)行欺詐，又防止不法組織冒充合法商家騙取他人金融賬號(hào)的活動(dòng)。參照OSI安全體系結(jié)構(gòu)中對(duì)等實(shí)體認(rèn)證機(jī)制，建立起仲裁和公正機(jī)構(gòu)認(rèn)證中心，根據(jù)客戶和商家在銀行中的金融記錄向它們發(fā)放證書，并為發(fā)放的證書提供擔(dān)保。在進(jìn)行網(wǎng)上交易時(shí)，只要保證對(duì)認(rèn)證中心的信任，即可通過對(duì)對(duì)方證書的認(rèn)證來確定其合法性。而認(rèn)證中心之間利用構(gòu)成層次的體系結(jié)構(gòu)來保證其本身的合法性。

2.信息安全傳輸(Secure transmission of information)。電子商務(wù)中信息安全傳輸包含三方面內(nèi)容:私密性(Privacy)、完整性(Integrity)和不可否認(rèn)性(None-deniability)。私密性指利用對(duì)稱或非對(duì)稱的加密手段防止涉及金融賬號(hào)、賬戶密碼和支付信息的數(shù)據(jù)在網(wǎng)上傳輸時(shí)被截獲而泄露;完整性指利用數(shù)字信封、雙重簽名等技術(shù)保證交易信息在傳輸過程中沒有遭到篡改；不可否認(rèn)性則通過數(shù)字簽名來確保交易的任何一方不能否認(rèn)所作的承諾，簽名可以通過認(rèn)證中心的驗(yàn)證，并具有法律效應(yīng)。

他們?cè)趨⑴c電子商務(wù)之前，客戶(Card holder)和商家(Merchant)都必須從認(rèn)證中心(Certificate authority)申請(qǐng)用于交易活動(dòng)的證書(Certificate)，認(rèn)證中心根據(jù)客戶在發(fā)卡銀行(Issuer)和商家在開戶銀行(Acquirer)的賬戶信息，向他們發(fā)放經(jīng)自己私鑰簽名的證書。從事網(wǎng)上銷售的商家在其建立的WWW站點(diǎn)上，采用PUSH或個(gè)性化頁面的方式，向潛在的客戶群體推薦他們的商品，購物的客戶在某一網(wǎng)站完成選購后，將訂貨信息及包含信用卡賬號(hào)的支付信息傳送給商家。訂貨信息(Order information)由商家負(fù)責(zé)處理，支付信息(Payment information)則轉(zhuǎn)發(fā)給支付網(wǎng)關(guān)(Payment gateway)，并送到收單銀行處理。收單銀行將支付信息通過金融網(wǎng)絡(luò)詢問發(fā)卡銀行，得到肯定消息后，向支付網(wǎng)關(guān)發(fā)出確認(rèn)消息。支付網(wǎng)關(guān)將操作結(jié)果返回商家，并由商家給客戶開出單據(jù)(類似發(fā)票)，以備今后查詢和退貨之用。交易完成后，收單銀行根據(jù)先前的交易記錄發(fā)起清算(Capture)操作，將資金由發(fā)卡銀行轉(zhuǎn)入收單銀行，即客戶賬戶到商家賬戶的劃賬?？梢钥吹?，在整個(gè)模型中，只有開戶銀行到發(fā)卡銀行的金融網(wǎng)絡(luò)可以利用現(xiàn)有的各大銀行之間的專用網(wǎng)，不涉及過多的安全性問題。而其余兩段必經(jīng)的路徑，從客戶到商家和從商家到收單銀行，都是利用開放性極強(qiáng)的Internet。這種方式雖然以其便利的通信和低廉的成本給電子商務(wù)帶來了很大的競(jìng)爭(zhēng)力，但同時(shí)也使得安全問題成為電子商務(wù)發(fā)展的突出矛盾。在網(wǎng)上交易中，包含信用卡賬戶和密碼的信息將經(jīng)過無數(shù)沒有保障的節(jié)點(diǎn)存儲(chǔ)和轉(zhuǎn)發(fā)，由于對(duì)安全性的擔(dān)擾，故至今還只有不到50%的人愿意嘗試網(wǎng)上購物。

三、信息安全傳輸模型

如上所述，為實(shí)現(xiàn)電子商務(wù)模型中交易信息安全、可靠的傳輸，必須在交易的整個(gè)過程中綜合應(yīng)用認(rèn)證、加密技術(shù)。包括：

1.數(shù)字信封(Digital envelope)，將對(duì)稱密碼與非對(duì)稱密碼體系結(jié)合起來傳信息，具有比單純使用對(duì)稱密鑰更好的安全性。

2.數(shù)字簽名(Digital signature)，用發(fā)送者的私鑰對(duì)信息的摘要(Digest)加密，將產(chǎn)生不可否認(rèn)的簽名。

3.雙重簽名(Dual signature)，為保證支付信息和訂貨信息不泄露地到達(dá)各自的處理者而引入的電子商務(wù)專用技術(shù)。以交易模型中客戶向認(rèn)證中心申請(qǐng)證書的過程為例，描述和分析如圖2所示的信息安全傳輸模型及安全傳輸關(guān)鍵技術(shù)手段在其中的綜合應(yīng)用。在模型描述中，用{}表示對(duì)稱密鑰加密，用【】表示非對(duì)稱密鑰加密，用｜表示前后數(shù)據(jù)的連接。整個(gè)過程由七個(gè)階段組成，具體描述如下：

(1)客戶向認(rèn)證中心CA發(fā)起初始請(qǐng)求，請(qǐng)求認(rèn)證中心的交換證書EKCert。

(2)認(rèn)證中心收到請(qǐng)求后，產(chǎn)生響應(yīng)信息Request(包括認(rèn)證中心的交換證書和保護(hù)客戶金融賬號(hào)的必要信息)，使用簽名證書SKCert中的簽名私鑰SKsk簽名后傳回，T2=Request【Request】 SKsk｜SKCert。

(3)客戶向認(rèn)證體系(Trust chain)驗(yàn)證收到的證書，存儲(chǔ)以備后用。請(qǐng)求注冊(cè)表Form，隨機(jī)生成對(duì)稱密鑰K1，用K1加密Form形成數(shù)字信封，并用認(rèn)證中心的交換公鑰(EKpk)加密K1和賬號(hào)信息作為信封頭，

T3=【K1｜賬戶號(hào)】EKpk｜{Form}K1。

(4)認(rèn)證中心用私鑰解開信封頭，得到賬戶號(hào)和K1，并用K1解密獲得客戶請(qǐng)求注冊(cè)表的信息，根據(jù)賬戶號(hào)的前6～11位找到相應(yīng)的金融機(jī)構(gòu)并選擇注冊(cè)表REG Form，用私鑰簽名后連同證書傳回，T4=REG Form｜【REG Form】SKsk｜SKCert。

(5)客戶收到注冊(cè)表后，將SKCert與先前的存儲(chǔ)比較，如一致則表示通過認(rèn)證。根據(jù)REG Form簽名認(rèn)證數(shù)據(jù)完整性，產(chǎn)生一對(duì)非對(duì)稱密鑰PK、SK，填寫注冊(cè)表REG Form(包括姓名、賬戶有效期、賬戶地址和其他金融機(jī)構(gòu)要求的信息)，產(chǎn)生生成證書時(shí)需要的隨機(jī)數(shù)R1及兩個(gè)對(duì)稱密鑰K2 (認(rèn)證中心用它傳送信息回來)和K3(用來加密即將傳送的信息)，將注冊(cè)表、生成的公鑰和K2組成消息，并用生成的私鑰簽名，用K3加密上述消息做成數(shù)字信封后，再用認(rèn)證中心的EKpk加密K3、賬戶號(hào)、賬戶有效期和R1，作為信封頭傳回，T5=【K3｜賬戶名｜賬戶有效期｜R1】EKpk｜{REG Form｜PK｜K2}K3｜{RGE 【REG Form｜PK｜K2】SK的簽名。

(6)解開數(shù)字信封，完成信息完整性認(rèn)證，根據(jù)賬戶信息與發(fā)卡銀行交互來校驗(yàn)注冊(cè)請(qǐng)求，生成一個(gè)與R1相關(guān)的隨機(jī)數(shù)R2，用R1、R2產(chǎn)生S，賬戶號(hào)、賬戶有效期和S通過單項(xiàng)哈希函數(shù)的作用。其結(jié)果作為證書的一部分，將客戶生成的公鑰PK放入證書，認(rèn)證中心決定證書的有效期，并進(jìn)行簽名作為證書的另一部分，產(chǎn)生含有R2及新生成證書的RES，并用K2對(duì)RES加密，連同用認(rèn)證中心的私鑰對(duì)RES作的簽名及認(rèn)證中心的證書一同傳回，

T6={RES}K2【RES】SKsk｜SKCert。

(7) 客戶收到消息后，在此校驗(yàn)認(rèn)證中心的證書，用K2解密消息體得到R2和本人的證書，由R2結(jié)合先前產(chǎn)生的R1生成S存儲(chǔ)備用，存儲(chǔ)證書并防止非授權(quán)使用，此證書將在以后的電子商務(wù)中用作客戶身份的認(rèn)證。

上述描述是電子商務(wù)模型中最為復(fù)雜的一個(gè)交互過程，其所運(yùn)用的各種安全傳輸技術(shù)同樣出現(xiàn)在其他過程中，由于這些方法的綜合運(yùn)用，使得信息安全傳輸模型具備：

(1)較高的安全性。采用對(duì)稱和非對(duì)稱密鑰體系的結(jié)合，將安全等級(jí)提高到界于這兩者之間的水平。每次數(shù)據(jù)傳輸都利用非對(duì)稱密鑰傳輸一個(gè)變化的對(duì)稱密鑰，與SSL每次會(huì)話更改密鑰相比，具有更高的安全保證。

(2)更合理的認(rèn)證體系。通過對(duì)交易雙方數(shù)字證書的強(qiáng)制性認(rèn)證，可以提高在線交易的安全性。包含交易各方帳戶或密碼的敏感信息，經(jīng)過轉(zhuǎn)發(fā)，最終交由金融機(jī)構(gòu)處理和確認(rèn)，大大降低了泄露的可能性。

四、結(jié)束語

根據(jù)電子商務(wù)模型，參照SSL和SET協(xié)議標(biāo)準(zhǔn)，對(duì)電子商務(wù)中信息的安全傳輸進(jìn)行了初步的探索，并結(jié)合引入的一些安全傳輸關(guān)鍵技術(shù)，描述和分析了信息安全傳輸?shù)哪Ｐ?。?dāng)然，隨著電子商務(wù)的進(jìn)一步發(fā)展和實(shí)用化，如何建立可信任的認(rèn)證中心體系、證書的安全存儲(chǔ)和安全傳輸技術(shù)的效率與改進(jìn)，仍是今后需進(jìn)一步研究的。

參考文獻(xiàn):

[1]David A. Chappell, Tyler Jewell. Java Web 服務(wù).北京:中國電力出版社,2003,9-10

[2]柴曉路梁宇奇:Web Services 技術(shù)、構(gòu)架和應(yīng)用.電子工業(yè)出版社,2003

[3]李琪:中國電子商務(wù)[M].西南財(cái)經(jīng)大學(xué)出版社,2003