序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的電子商務(wù)信息安全樣本����,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請盡情閱讀��。
第1篇
關(guān)鍵詞:電子商務(wù)信息安全安全技術(shù)
伴隨經(jīng)濟(jì)的迅猛發(fā)展�����,電子商務(wù)成為當(dāng)今世界商務(wù)活動的新模式。要在國際競爭中贏得優(yōu)勢��,必須保證電子商務(wù)中信息交流的安全����。
一���、電子商務(wù)的信息安全問題
電子商務(wù)信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠����,攻擊者通過互聯(lián)網(wǎng)�����、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)�����,獲取機(jī)密信息或通過對信息流量��、流向���、通信頻度和長度分析�����,推測出有用信息����。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后�����,通過技術(shù)手段對網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地�,破壞信息完整性�。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶�����。4.交易抵賴:交易抵賴包括多方面,如發(fā)信者事后否認(rèn)曾發(fā)送信息���、收信者事后否認(rèn)曾收到消息����、購買者做了定貨單不承認(rèn)等����。
二、信息安全要求
電子商務(wù)的安全是對交易中涉及的各種信息的可靠性��、完整性和可用性保護(hù)。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障�����。由于建立在開放網(wǎng)絡(luò)環(huán)境中�,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生���。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)��,影響到交易和經(jīng)營策略����。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹?,預(yù)防對信息隨意生成、修改和刪除�,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一��。3.信息有效性:保證信息有效性是開展電子商務(wù)前提��,關(guān)系到企業(yè)或國家的經(jīng)濟(jì)利益。對網(wǎng)絡(luò)故障�、應(yīng)用程序錯(cuò)誤、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防���,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效�。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵�。為防止計(jì)算機(jī)失效����、程序錯(cuò)誤�����、系統(tǒng)軟件錯(cuò)誤等威脅���,通過控制與預(yù)防確保系統(tǒng)安全可靠����。
三����、信息安全技術(shù)
1.防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障�����,根據(jù)指定策略對數(shù)據(jù)過濾�、分析和審計(jì)����,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”���。防火墻先封閉所有信息流���,再審查要求通過信息,符合條件就通過����;二是“凡是未被禁止就是允許”�����。防火墻先轉(zhuǎn)發(fā)所有信息���,然后逐項(xiàng)剔除有害內(nèi)容。
防火墻技術(shù)主要有:(1)包過濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過�,核心是安全策略即過濾算法設(shè)計(jì)��。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制���,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)中間轉(zhuǎn)接作用�����。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過濾�、記錄等功能��。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能����。(4)復(fù)合型技術(shù):把過濾和服務(wù)兩種方法結(jié)合形成新防火墻,所用主機(jī)稱為堡壘主機(jī)�,提供服務(wù)。(5)審計(jì)技術(shù):通過對網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志���,對日志統(tǒng)計(jì)分析���,對資源使用情況分析����,對異?���,F(xiàn)象跟蹤監(jiān)視��。(6)路由器加密技術(shù):加密路由器對通過路由器的信息流加密和壓縮�����,再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。2.加密技術(shù)��。為保證數(shù)據(jù)和交易安全��,確認(rèn)交易雙方的真實(shí)身份��,電子商務(wù)采用加密技術(shù)�。數(shù)據(jù)加密是最可靠的安全保障形式和主動安全防范的策略�����。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法���。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對加密信息解密���。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方����,保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法����。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋�����,有固定長度且不同明文摘要成密文結(jié)果不同���,而同樣明文摘要必定一致。這串摘要成為驗(yàn)證明文是否真身的“指紋”����。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合�。在書面文件上簽名是確認(rèn)文件的手段��。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn)�����,從而確認(rèn)文件已簽署���;二是因?yàn)楹灻灰追旅埃瑥亩_定文件為真��。(4)數(shù)字時(shí)間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容��,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)�。
3.認(rèn)證技術(shù)����。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證���。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息完整性����,確認(rèn)信息在傳送或存儲過程中未被篡改�。(1)數(shù)字證書:也叫數(shù)字憑證��、數(shù)字標(biāo)識��,用電子手段證實(shí)用戶身份及對網(wǎng)絡(luò)資源的訪問權(quán)限�,可控制被查看的數(shù)據(jù)庫,提高總體保密性�。交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心����。無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書發(fā)放�,都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)���、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu),受理數(shù)字證書的申請����、簽發(fā)及對數(shù)字證書管理。
4.防病毒技術(shù)���。(1)預(yù)防病毒技術(shù)�����,通過自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲取系統(tǒng)控制權(quán)���,監(jiān)視系統(tǒng)中是否有病毒����,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對系統(tǒng)破壞�����。(2)檢測病毒技術(shù)���,通過對計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測技術(shù)�,如自身校驗(yàn)、關(guān)鍵字�、文件長度變化�����。(3)消除病毒技術(shù)�,通過對計(jì)算機(jī)病毒分析�,開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件����。另外要認(rèn)真執(zhí)行病毒定期清理制度����,可以清除處于潛伏期的病毒,防止病毒突然爆發(fā)����,使計(jì)算機(jī)始終處于良好工作狀態(tài)��。
四、結(jié)語
信息安全是電子商務(wù)的核心。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù)�,提高電子商務(wù)系統(tǒng)的安全性和可靠性���。但電子商務(wù)的安全運(yùn)行�,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠�,還必須完善電子商務(wù)立法�����,以規(guī)范存在的各類問題����,引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展��。
參考文獻(xiàn):
[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006
第2篇
關(guān)鍵詞:電子商務(wù)�;信息安全技術(shù)
一���、電子商務(wù)發(fā)展存在的風(fēng)險(xiǎn)
第三方的電子交易平臺在網(wǎng)絡(luò)上對于信息進(jìn)行儲存���、記錄�����、處理、和傳遞�����,以此來協(xié)助一次網(wǎng)絡(luò)消費(fèi)行為的完成���。一般情況下�����,這些信息都具有真實(shí)性和保密性,屬于大眾的隱私����。但是,現(xiàn)在的網(wǎng)絡(luò)環(huán)境比較惡劣�����,有很多網(wǎng)絡(luò)陷阱以及刻意挖掘用戶信息的“黑客”��,從而導(dǎo)致基本信息出現(xiàn)失真�、泄露和刪除的危機(jī)�,不利于正常電子商務(wù)交易的完成。對于電子商務(wù)信息大致上可以分為以下幾類:第一����,信息的真實(shí)性;第二����,信息的實(shí)時(shí)性����;第三����,信息的安全性���。首先���,是信息的真實(shí)性��。電子商務(wù)上的基本信息是賣家和買家進(jìn)行認(rèn)識對方和分辨商品真實(shí)性可靠性的唯一途徑���,應(yīng)該絕對真實(shí)��。一旦出現(xiàn)虛假信息�����,則屬于欺騙消費(fèi)者�,是危害消費(fèi)者權(quán)益的不法行為�。其次��,是信息的實(shí)時(shí)性���。信息的實(shí)時(shí)性主要是指信息的保質(zhì)期�����。因?yàn)楹芏嘈畔⒅辉谝欢螘r(shí)間內(nèi)有效,具有時(shí)效性����,一旦錯(cuò)過這段關(guān)鍵時(shí)期��,那么該信息則失去自身的價(jià)值��,變得一文不值��。最后��,就是信息的安全性,這也是消費(fèi)者最為關(guān)心的問題����。電子商務(wù)出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除��、篡改從而失真����,同時(shí)也表現(xiàn)為用戶的信息被竊取從而達(dá)成其他目的�����,使得用戶的隱私被侵犯�,正常的生活受到打擾。
二���、電子商務(wù)的信息安全技術(shù)的內(nèi)容
2.1 備份技術(shù)。相信備份技術(shù)對于大眾來說不是很陌生�����。但是很多人卻錯(cuò)誤的將備份理解為拷貝��,從而片面的看待這個(gè)問題。電子商務(wù)對于網(wǎng)絡(luò)環(huán)境有很大的依賴性�����,網(wǎng)絡(luò)環(huán)境自身卻存在極大的不穩(wěn)定性�,這就導(dǎo)致電子商務(wù)的發(fā)展存在不可避免的風(fēng)險(xiǎn),如果沒有一個(gè)數(shù)據(jù)庫對于基本信息進(jìn)行存儲�,那么一旦出現(xiàn)系統(tǒng)故障或者誤刪的情況則信息永遠(yuǎn)消失,這對于商家來說是極其可怕的����,因此����,電子商務(wù)的第三方有一個(gè)信息儲存庫��,旨在在必要的時(shí)刻段時(shí)間內(nèi)將客戶的信息及時(shí)恢復(fù)。這種恢復(fù)不是簡單的����、傳統(tǒng)意義上的恢復(fù),而是通過備份介質(zhì)得以完成的�。這樣的話����,在系統(tǒng)故障或者其他原因?qū)е滦畔⒃诙虝r(shí)間內(nèi)無法正?;謴?fù)時(shí)����,可以借助儲存在備份介質(zhì)中的信息將信息還原到原來的備份狀態(tài)。2.2 認(rèn)證技術(shù)����。所謂認(rèn)證技術(shù)其實(shí)一個(gè)專業(yè)術(shù)語��,道理實(shí)際上很簡單�,就是我們常說的登錄口令����。認(rèn)證技術(shù)的目的主要在于阻止不具有系統(tǒng)授權(quán)的用戶進(jìn)行非法的破壞計(jì)算機(jī)機(jī)密數(shù)據(jù),是數(shù)據(jù)庫系統(tǒng)為減少和避免各種破壞電子商務(wù)安全的重要策略��。登陸口令是我們正常用戶進(jìn)行電子商務(wù)平臺登錄的方式��,是大眾在網(wǎng)絡(luò)環(huán)境下的身份證���。我們每一個(gè)用戶在使用某一個(gè)電子商務(wù)平臺之前都被要求進(jìn)行注冊,從而決定或者獲得自己的登陸口令即用戶名和密碼�����。這些登錄口令都是都是獨(dú)一無二的,是我們進(jìn)行網(wǎng)上交易的身份認(rèn)證和識別����。因?yàn)殡娮由虅?wù)平臺往往具有開放性�,一旦沒有身份認(rèn)證后果將不堪設(shè)想。人們的信息安全更是沒有任何保障����。2.3 訪問控制技術(shù)�。訪問控制技術(shù)也可以理解為訪問等級制度�,電子商務(wù)的系統(tǒng)會根據(jù)用戶的不同等級對于用戶對于系統(tǒng)數(shù)據(jù)的訪問進(jìn)行一定的控制��。等級較低時(shí)�����,則用戶的訪問權(quán)限有限,一些重要的關(guān)鍵的信息則被系統(tǒng)禁止訪問�,只要當(dāng)?shù)燃壿^高時(shí)才能獲得相關(guān)權(quán)限�,這就保證了一些重要信息不會被竊取���。關(guān)于用戶的訪問權(quán)限也有兩層含義����,首先是用戶能夠獲得數(shù)據(jù)庫中的信息種類和數(shù)量���,另一層含義則是指用戶對于獲取的數(shù)據(jù)庫信息進(jìn)行怎樣的操作��。
第3篇
[關(guān)鍵詞]電子商務(wù);PKI;公鑰密碼系統(tǒng)
前 言
電子商務(wù)(E-Commerce)是在Internet開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器服務(wù)器的應(yīng)用方式,實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購物商戶之間的網(wǎng)上交易和在線電子支付的商業(yè)運(yùn)營模式最近幾年,電子商務(wù)以其便利快捷的特點(diǎn)迅速發(fā)展起來,但是安全問題一直是阻礙其發(fā)展的關(guān)鍵因素雖然PKI的研究和應(yīng)用為互聯(lián)網(wǎng)絡(luò)安全提供了必要的基礎(chǔ)設(shè)施,但是電子商務(wù)信息的機(jī)密性和完整性仍然是迫切需要解決的問題,本文針對這一問題展開了深入研究并提出了解決方法
1 PKI的定義和功能
PKI——公鑰基礎(chǔ)設(shè)施,是構(gòu)建網(wǎng)絡(luò)應(yīng)用的安全保障,專為開放型大型互聯(lián)網(wǎng)的應(yīng)用環(huán)境而設(shè)計(jì)PKI是對公鑰所表示的信任關(guān)系進(jìn)行管理的一種機(jī)制,它為Internet用戶和應(yīng)用程序提供公鑰加密和數(shù)字簽名服務(wù),目的是為了管理密鑰和證書,保證網(wǎng)上數(shù)字信息傳輸?shù)臋C(jī)密性真實(shí)性完整性和不可否認(rèn)性,以使用戶能夠可靠地使用非對稱密鑰加密技術(shù)來增強(qiáng)自己的安全水平PKI的功能主要包括:公鑰加密證書證書確認(rèn)證書撤銷
2 公鑰密碼系統(tǒng)
由于PKI廣泛應(yīng)用于電子商務(wù),故文章重點(diǎn)放在討論RSA公鑰密碼系統(tǒng)上RSA的安全性是基于數(shù)論和計(jì)算復(fù)雜性理論中的下述論斷:求兩個(gè)大素?cái)?shù)的乘積在計(jì)算上是容易的,但若分解兩個(gè)大素?cái)?shù)的積而求出它的因子則在計(jì)算上是困難的,它屬于NPI類
2. 1RSA系統(tǒng)
RSA使用的一個(gè)密鑰對是由兩個(gè)大素?cái)?shù)經(jīng)過運(yùn)算產(chǎn)生的結(jié)果:其中一個(gè)是公鑰,為眾多實(shí)體所知;另外一個(gè)是私鑰,為了確保其保密性和完整性,必須嚴(yán)格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密鑰對中的一個(gè)密鑰加密的消息只能用另外一個(gè)解密,這也就體現(xiàn)了RSA系統(tǒng)的非對稱性RSA具有加密和數(shù)字簽名功能RSA產(chǎn)生公鑰/私鑰對加解密的過程如下:
2. 1. 1產(chǎn)生一個(gè)公鑰/私鑰對
(1)選取兩個(gè)大素?cái)?shù)p和q,為了獲得最大程度的安全性,兩個(gè)數(shù)的長度最好相同兩個(gè)素?cái)?shù)p和q必須保密
(2)計(jì)算p與q的乘積:n =p*q
(3)再由p和q計(jì)算另一個(gè)數(shù)z = (p-1)*(q-1)
(4)隨機(jī)選取加密密鑰e,使e和z互素
(5)用歐幾里得擴(kuò)展算法計(jì)算解密密鑰d,以滿足e*d = 1mod(z)
(6)由此而得到的兩組數(shù)(n,e)和(n,d)分別被稱為公鑰和私鑰
2. 1. 2加密/解密過程
RSA的加密方法是一個(gè)實(shí)體用另外一個(gè)實(shí)體的公鑰完成加密過程,這就允許多個(gè)實(shí)體發(fā)送一個(gè)實(shí)體加密過的消息而不用事先交換秘密鑰或者私鑰,并且由于加密是用公鑰執(zhí)行的,所以解密只能用其對應(yīng)的私鑰來完成,因此只有目標(biāo)接受者才能解密并讀取原始消息
在實(shí)際操作中,RSA采用一種分組加密算法,加密消息m時(shí),首先將它分成比n小的數(shù)據(jù)分組(采用二進(jìn)制數(shù),選取小于n的2的最大次冪),加密后的密文c,將由相同長度的分組ci組成加密公式簡化為:
ci =mie(modn)
即對于明文m,用公鑰(n,e)加密可得到密文c:
c = memod n ,其中m = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
解密消息時(shí),取每一個(gè)加密后的分組ci并計(jì)算:mi=ci d(mod n),便能恢復(fù)出明文即對于密文c,用接收者的私鑰(n,d)解密可得到明文m:
m = cd mod nm = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
2. 1. 3數(shù)字簽名
RSA的數(shù)字簽名是加密的相反方式,即由一個(gè)實(shí)體用它的私鑰將明文加密而生成的這種加密允許一個(gè)實(shí)體向多個(gè)實(shí)體發(fā)送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發(fā)送者的公鑰就可以解密
RSA的數(shù)字簽名過程如下:
s = md mod n , 其中m是消息,s是數(shù)字簽名的結(jié)果,d和n是消息發(fā)送者的私鑰
消息的解密過程如下:
m = se mod n , 其中e和n是發(fā)送者的公鑰
2. 1. 4散列(Hash)函數(shù)
MD5與SHA1都屬于Hash函數(shù)標(biāo)準(zhǔn)算法中兩大重要算法,就是把一個(gè)任意長度的信息經(jīng)過復(fù)雜的運(yùn)算變成一個(gè)固定長度的數(shù)值或者信息串,主要用于證明原文的完整性和準(zhǔn)確性,是為電子文件加密的重要工具一般來說,對于給出的一個(gè)文件要算它的Hash碼很容易,但要從Hash碼找出相應(yīng)的文件算法卻很難Hash函數(shù)最根本的特點(diǎn)是這種變換具有單向性,一旦數(shù)據(jù)被轉(zhuǎn)換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結(jié)果,達(dá)到防止信息被篡改的目的由于Hash函數(shù)的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數(shù)字簽名
2. 2對稱密碼系統(tǒng)
對稱密碼系統(tǒng)的基本特點(diǎn)是解密算法就是加密算法的逆運(yùn)算,加秘密鑰就是解秘密鑰它通常用來加密帶有大量數(shù)據(jù)的報(bào)文和問卷通信的信息,因?yàn)檫@兩種通信可實(shí)現(xiàn)高速加密算法在對稱密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送,而雙方實(shí)體通信所用的秘密鑰也必須妥善保管
3 應(yīng)用模型
利用公鑰加密系統(tǒng)可以解決電子商務(wù)中信息的機(jī)密性和完整性的要求,下面是具體的應(yīng)用模型在本例中,Alice與Bob兩個(gè)實(shí)體共享同一個(gè)信任點(diǎn),即它們使用同一CA簽發(fā)的數(shù)字證書因此,它們無需評價(jià)信任鏈去決定是否信任其他CA
3. 1準(zhǔn)備工作
(1)Alice與Bob各自生成一個(gè)公鑰/私鑰對;
(2)Alice與Bob向RA(機(jī)構(gòu))提供各自的公鑰名稱和描述信息;
(3)RA審核它們的身份并向CA提交證書申請;
(4)CA格式化Alice和Bob的公鑰及其他信息,為Alice和Bob分別生成公鑰證書,然后用自己的私鑰對證書進(jìn)行數(shù)字簽名;
(5)上述過程的結(jié)果是,Alice與Bob分別擁有各自的一個(gè)公鑰/私鑰對和公鑰證書;
(6)Alice與Bob各自生成一個(gè)對稱秘密鑰
現(xiàn)在,Alice和Bob擁有各自的一個(gè)公鑰/私鑰對,由共同信任的第三方頒發(fā)的數(shù)字證書以及一個(gè)對稱密鑰
3. 2處理過程
假設(shè)現(xiàn)在Alice欲發(fā)送消息給Bob,并且要求確保數(shù)據(jù)的完整性,即消息內(nèi)容不能發(fā)生變動;同時(shí)Alice和Bob都希望確保信息的機(jī)密性,即不容許除雙方之外的其他實(shí)體能夠查看該消息完成這樣要求的處理過程如下:其中步驟1~5說明Alice加密消息過程;步驟6~10說明Bob解密消息的過程��。
(1)Alice按照雙方約定的規(guī)則格式化消息,然后用Hash函數(shù)取得該消息的散列值,該值將被用來測試消息的合法性和完整性
(2)Alice用私鑰對消息和散列值進(jìn)行簽名(加密)這一簽名確保了消息的完整性,因?yàn)锽ob認(rèn)為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名值得注意的是:現(xiàn)在任何有權(quán)訪問Alice公鑰的實(shí)體都能解密該被簽名的消息,所以我們僅僅是保證了消息的完整性,而沒有確保其機(jī)密性
(3)由于Alice和Bob之間想保持消息的機(jī)密性,所以Alice用它的對稱秘密鑰加密被簽名的消息和散列值這一對稱秘密鑰只有Alice和Bob共享而不被其他實(shí)體所用注意,在本例中,我們使用了一個(gè)對稱秘密鑰,這是因?yàn)閷τ诩用茌^長消息諸如訂購信息來說,利用對稱加密比公鑰加密更為有效
(4)Alice必須向Bob提供它用來給消息加密的對稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息Alice用Bob的公鑰將自己的對稱秘密鑰簽名(加密),這里我們假設(shè)Alice事先已經(jīng)獲得Bob的公鑰,這樣就形成了一個(gè)數(shù)字信箋,并且只有Bob才能將其打開(解密),因?yàn)橹挥蠦ob能夠訪問用來打開該數(shù)字信箋的私鑰注意,一個(gè)公鑰/私鑰對中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密這就為Alice向Bob傳輸對稱秘密鑰提供了機(jī)密性
(5)Alice發(fā)送給Bob的信息包括它用對稱秘密鑰加密的原始消息和散列值,以及用Bob公鑰加密的包含Alice的對稱秘密鑰的數(shù)字信箋圖1描述了Alice使用數(shù)字簽名向Bob發(fā)送消息(步驟1~5)
(6)Bob用它的私鑰打開(解密)來自于Alice的數(shù)字信箋完成這一過程將使Bob獲得Alice以前用來加密消息和散列值的對稱秘密鑰
(7)Bob現(xiàn)在可以打開(解密)用Alice的對稱秘密鑰加密的消息和散列值解密后Bob得到了用Alice的私鑰簽名的消息和散列值
(8)Bob用Alice的公鑰解密簽名的消息和散列值注意,一個(gè)公鑰/私鑰對中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密
(9)為了證實(shí)消息沒有經(jīng)過任何改動,Bob將原始消息采用與Alice最初使用的完全一致的Hash函數(shù)進(jìn)行轉(zhuǎn)化
(10)最后,Bob將得出的散列值與它從所收消息中解密出來的散列值對比,若二者相同,則證明了消息的完整性圖2描述了Bob解密和對比散列值的過程(步驟6~10)
3. 3實(shí)現(xiàn)方法
采用Java語言實(shí)現(xiàn)系統(tǒng),Java語言本身提供了一些基本的安全方面的函數(shù),我們可以在此基礎(chǔ)上實(shí)現(xiàn)更為復(fù)雜和有效的應(yīng)用系統(tǒng)系統(tǒng)中主要的類實(shí)現(xiàn)如下:
(1)Data Encryption類該類主要實(shí)現(xiàn)明文向密文的轉(zhuǎn)換,依據(jù)RSA算法的規(guī)則實(shí)現(xiàn)非對稱加密,其中密鑰長度為128位每次可加密數(shù)據(jù)的最大長度為512字節(jié),因此對于較長數(shù)據(jù)的加密需要劃分適當(dāng)大小的數(shù)據(jù)塊
(2)Data Hash類該類完成對所要加密消息產(chǎn)生對應(yīng)的散列值,對于不同的消息,散列值是不相同的可以借助Java中提供的Hash函數(shù)來實(shí)現(xiàn)
(3)Data Decryption類該類主要實(shí)現(xiàn)密文向明文的轉(zhuǎn)換,依據(jù)依據(jù)RSA算法的規(guī)則,利用加密方的公鑰對密文進(jìn)行解密,并將解密后的明文按序排好
4 結(jié)束語
文章以PKI理論為基礎(chǔ),利用公鑰密碼系統(tǒng)確保了電子商務(wù)過程中所傳輸消息的完整性,使用對稱加密系統(tǒng)實(shí)現(xiàn)對較長消息的加密,并保證了消息的機(jī)密性文章的理論研究和實(shí)現(xiàn)方法,對于保障電子商務(wù)活動中消息的完整性和機(jī)密性具有重要的指導(dǎo)意義
主要參考文獻(xiàn)
[1] 周學(xué)廣,劉藝. 信息安全學(xué)[M]. 北京:機(jī)械工業(yè)出版社,2004.
第4篇
關(guān)鍵詞:電子商務(wù)物流信息安全數(shù)據(jù)加密
當(dāng)今世界網(wǎng)絡(luò)��,通信和信息技術(shù)飛速發(fā)展����,Internet在全球迅速普及�����,使得商務(wù)空間發(fā)展到全球的規(guī)模���,促進(jìn)企業(yè)組織改革自己的思維觀念、組織結(jié)構(gòu)��、戰(zhàn)略方針和運(yùn)行方式來適應(yīng)全球性的發(fā)展變化��。電子商務(wù)就是適應(yīng)以全球?yàn)槭袌龆霈F(xiàn)和發(fā)展起來的一種新的商貿(mào)模式�����,通過網(wǎng)絡(luò)技術(shù)快速而有效地進(jìn)行各種商務(wù)行為,即在商務(wù)運(yùn)作的整個(gè)過程中實(shí)現(xiàn)交易無紙化���、直接化�。電子商務(wù)可以使商家與供應(yīng)商��,在全球市場上銷售產(chǎn)品;也可以讓用戶足不出戶在全球范圍內(nèi)選擇最佳商品��,享受全過程的電子服務(wù)。
一、物流在電子商務(wù)流程中的作用
電子商務(wù)對象是整個(gè)交易過程��,任何一筆交易都由信息流���、商流���、資金流和物流等四個(gè)基本部分組成。開展電子商務(wù)的最終目的是為了解決信息流和資金流處理上的延遲���,從而提高對物流過程管理的現(xiàn)代化水平�����,進(jìn)一步提高現(xiàn)代化物流速度��。物流做為網(wǎng)上電子交易的最后一個(gè)過程,執(zhí)行結(jié)果的好壞將對電子交易的成敗起著十分重要的作用�����,是實(shí)現(xiàn)電子商務(wù)的重要環(huán)節(jié)和基本保證�。電子商務(wù)必須有現(xiàn)代化的物流技術(shù)的支持,才能體現(xiàn)出其所具有的無可比擬的先進(jìn)性和優(yōu)越性��,在最大限度上使交易雙方得到便利,獲得效益。
二�、電子商務(wù)流程中物流的實(shí)現(xiàn)
在電子商務(wù)中�,信息流����、商流�、資金流的處理可以通過計(jì)算機(jī)和網(wǎng)絡(luò)通信設(shè)備實(shí)現(xiàn)�。對于有形的商品和服務(wù)來說�����,物流仍然要由物理的方式進(jìn)行傳輸��;對于無形的商品及服務(wù)如各種電子出版物、信息咨詢服務(wù)以及有價(jià)信息軟件等�,可以直接通過網(wǎng)絡(luò)傳輸?shù)姆绞竭M(jìn)行電子化配送。電子商務(wù)環(huán)境下的物流�����,通過機(jī)械化和自動化工具的應(yīng)用和準(zhǔn)確�����、及時(shí)的物流信息對物流過程的監(jiān)控,使物流的速度加快、準(zhǔn)確率提高����,能有效地減少庫存���,縮短生產(chǎn)周期�。
三、電子商務(wù)中物流信息安全問題
物流正在向信息化��、自動化、網(wǎng)絡(luò)化和智能化的方向發(fā)展��,越來越依賴于網(wǎng)絡(luò)傳輸信息的安全性能���。由于Internet具有開放性和匿名性���,其安全問題變得越來越突出�。物流信息在網(wǎng)絡(luò)傳輸過程中��,經(jīng)常會遭到黑客的攔截、竊取���、篡改����、盜用、監(jiān)聽等惡意破壞,給商戶帶來重大損失���。以各種非法手段企圖入侵計(jì)算機(jī)網(wǎng)絡(luò)的黑客�����,其惡意攻擊構(gòu)成電子商務(wù)系統(tǒng)中網(wǎng)絡(luò)安全的最大威脅��,已經(jīng)成為物流信息安全的最大隱患����。黑客攻擊經(jīng)常使用的手段有:
1�、獲取口令
有三種方法:一是精心偽造一個(gè)登錄頁面,并嵌入到相關(guān)網(wǎng)頁上,當(dāng)商戶鍵入登錄信息(用戶名和密碼等)后,將這些信息傳送到黑客的主機(jī)���,然后關(guān)閉頁面給出“系統(tǒng)故障”等提示��,要求商戶重新登錄���,此后才出現(xiàn)真正的登錄頁面。二是通過網(wǎng)絡(luò)監(jiān)聽得到商戶口令�����,監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令�,對LAN威脅巨大���。三是知道商戶賬號后利用一些專門軟件強(qiáng)行破解商戶口令�。
2、郵件炸彈
用偽造的IP地址和電子郵件地址向商戶信箱發(fā)送無數(shù)封內(nèi)容相同的惡意郵件��,擠滿郵箱,把正常郵件沖掉����。同時(shí)占用大量網(wǎng)絡(luò)資源���,導(dǎo)致網(wǎng)路阻塞,甚至使電子郵件服務(wù)器癱瘓�����。3�����、特洛伊木馬
在商戶的電腦中隱藏一個(gè)會在系統(tǒng)啟動時(shí)運(yùn)行的程序,采用服務(wù)器/客戶機(jī)的運(yùn)行方式���,在上網(wǎng)時(shí)控制商戶電腦,竊取口令�����、瀏覽商戶的驅(qū)動器、修改商戶文件和登錄注冊表等。
4���、誘敵深入
黑客編寫“合法”程序����,上傳到FTP站點(diǎn)或提供給個(gè)人主頁誘導(dǎo)客戶����。當(dāng)客戶下載該軟件時(shí),黑客的軟件一并進(jìn)入客戶的計(jì)算機(jī)上��,跟蹤客戶的操作,記錄客戶輸入的每一個(gè)口令���,發(fā)送到黑客指定的E-mail中。
5����、尋找漏洞
尋找攻擊目標(biāo)的系統(tǒng)安全漏洞或安全弱點(diǎn)�����,以便獲取攻擊目標(biāo)系統(tǒng)的非法訪問權(quán)���。
四���、物流信息安全防護(hù)策略合法商戶進(jìn)行網(wǎng)上查詢���、交易雙方業(yè)務(wù)洽談、買方下訂單并得到賣方確認(rèn)�����、商品配送、售后服務(wù)����、技術(shù)支持等在線操作時(shí)對商務(wù)數(shù)據(jù)的安全需求比較高���,同時(shí)希望私有信息(口令��、賬戶數(shù)據(jù)等)保密���。采用身份認(rèn)證和數(shù)據(jù)加密技術(shù)能夠保護(hù)商戶私人信息及商務(wù)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸時(shí)不被竊聽���、篡改、頂替及非法使用�。
1����、身份驗(yàn)證
采用數(shù)字證書身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)�。每個(gè)企業(yè)用戶應(yīng)該申請一張數(shù)字證書����,上網(wǎng)進(jìn)行賬戶查詢時(shí)�����,網(wǎng)上銀行系統(tǒng)首先驗(yàn)證該用戶數(shù)字證書是否合法,然后將查詢請求和口令一起發(fā)送給業(yè)務(wù)前置機(jī)�����,對口令再次進(jìn)行認(rèn)證。當(dāng)服務(wù)器獲得用戶證書后�,還要檢索該證書是否在廢止證書列表之中��。對于個(gè)人用戶����,可以采用對口令加密的方式進(jìn)行身份驗(yàn)證��,不需要申請證書��,比較方便�����。
2、數(shù)據(jù)加密
物流信息在網(wǎng)絡(luò)中傳輸時(shí),通常不是以明文方式而是以密文的方式進(jìn)行通信傳輸�����。因?yàn)橐悦魑膫鬏數(shù)男畔?shù)據(jù),一旦被他人截獲會輕而易舉地被讀懂���、竊取盜用及篡改�����,很難保證物流配送活動的機(jī)密性、可靠性和安全性���。下面利用C語言編程實(shí)現(xiàn)替換加密方法���。
Caesar(愷撒)密碼是一種最古老的技術(shù)��,將明文中每個(gè)字母替換為字母表中其后面固定數(shù)目位置的字母。如要傳輸?shù)拿魑氖恰癐amateacher!”����,經(jīng)過加密���,密鑰為5,對方接收到的密文是“Nfrfyjfhmjw!”���,對第三方來說,這是毫無意義的一串字符���,避免了泄密��。合法接收方進(jìn)行解密���,又會得到“Iamateacher!”字符串。加密算法代碼如下:#include"string.h"
main()
{inti,ld,newasc;
charmingwen[20],miwen[20],c;
strcpy(mingwen,"Iamateacher!");/*明文*/
ld=strlen(mingwen);
for(i=0;i{c=mingwen[i];
if(c>=''''A''''&&c<=''''Z'''')
{newasc=c+5;/*密鑰為5*/
if(newasc>''''Z'''')newasc=newasc-26;
miwen[i]=newasc;}
elseif(c>=''''a''''&&c<=''''z'''')
{newasc=c+5;
if(newasc>''''z'''')newasc=newasc-26;
miwen[i]=newasc;}
else
miwen[i]=c;
}
for(i=0;i}
數(shù)據(jù)加密后傳輸,一定程度上保證了信息的安全性�����,密鑰的保密是很關(guān)鍵的。否則����,網(wǎng)絡(luò)攻擊者掌握加密����、解密算法���,又得到密鑰����,對合法商戶會造成致命的損失。因此加強(qiáng)對密鑰的管理���,要貫穿于密鑰的整個(gè)生存期:密鑰的生成、驗(yàn)證����、傳遞、保管��、使用和銷毀��。
電子商務(wù)作為網(wǎng)絡(luò)時(shí)代的一種全新的交易模式�,相對于傳統(tǒng)商務(wù)是一場革命����。電子商務(wù)的優(yōu)勢之一就是能大大簡化業(yè)務(wù)流程,降低企業(yè)運(yùn)作成本。而電子商務(wù)企業(yè)成本優(yōu)勢的建立和保持必須以可靠和高效的物流運(yùn)作作為保證�����。所以���,加大力度防護(hù)物流信息的安全���,大力發(fā)展現(xiàn)代化物流�,電子商務(wù)才能得到更好的發(fā)展��。
參考文獻(xiàn):
[1]曹淑艷.電子商務(wù)應(yīng)用基礎(chǔ)[M].北京:清華大學(xué)出版社��,2005.9.
第5篇
關(guān)鍵詞:電子商務(wù) 信息安全 安全協(xié)議
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2012)11-0190-01
隨著電子商務(wù)的發(fā)展�,網(wǎng)絡(luò)上的信息安全問題受到高度重視�。面對越來越嚴(yán)重危害計(jì)算機(jī)網(wǎng)絡(luò)安全的種種威脅�,僅僅利用物理上和政策上的手段來防止計(jì)算機(jī)犯罪是很困難的。那么如何保證整個(gè)商務(wù)過程中信息的安全性���,使基于Internet的電子交易方式與傳統(tǒng)交易方式一樣安全可靠,已經(jīng)成為在電子商務(wù)應(yīng)用中所關(guān)注的重要技術(shù)問題
1��、電子商務(wù)的安全威脅
電子商務(wù)活動是在一個(gè)開放、虛擬的場所進(jìn)行,容易受到黑客的各種攻擊,也會由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和惡意破壞����,給電子商務(wù)帶來了極大的威脅����。電子商務(wù)在這樣的環(huán)境中,時(shí)時(shí)處處受到安全的威脅��,其安全威脅可分為兩大方面:
(1)計(jì)算機(jī)網(wǎng)絡(luò)的潛在安全隱患���;
(2)商務(wù)安全中存在的安全威脅�����。
2����、電子商務(wù)主要的安全要素
電子商務(wù)面臨的威脅導(dǎo)致了對電子商務(wù)安全的需求。總的來說,電子商務(wù)有有效性���、機(jī)密性(保密性)����、完整性(真實(shí)性)��、認(rèn)證性、不可抵賴性(不可否認(rèn)性)等幾方面的安全性需求����,為了滿足這些需求�,提高電子商務(wù)的安全性,網(wǎng)絡(luò)和管理技術(shù)人員研究和開發(fā)了多種網(wǎng)絡(luò)安全技術(shù)和協(xié)議����,這些技術(shù)和協(xié)議各自有一定的使用范圍,可以提供電子商務(wù)交易活動不同程度的安全保障��。
3����、SSL協(xié)議及其安全性分析
3.1 SSL安全傳輸協(xié)議
SSL安全套接字層協(xié)議應(yīng)用于Internet上進(jìn)行保密通信的一個(gè)中間層安全協(xié)議����,是目前使用最廣泛的電子商務(wù)協(xié)議�。它位于TCP/IP層和應(yīng)用層之間�,對應(yīng)用層透明��,為應(yīng)用層程序提供一條安全的網(wǎng)絡(luò)傳輸通道�。
3.2 SSL記錄協(xié)議
SSL記錄協(xié)議用來對應(yīng)用層提供的信息進(jìn)行分組和組合、壓縮和解壓縮��、數(shù)據(jù)認(rèn)證和加密���。利用SSL協(xié)議傳輸?shù)臄?shù)據(jù)都被封裝在SSL記錄協(xié)議定義的SSL記錄中��。記錄由記錄頭和長度不為0的記錄數(shù)據(jù)組成。
3.3 SSL安全性分析
SSL協(xié)議常見的安全問題主要包括ChangeCipherSpec消息丟棄���、對握手協(xié)議的探測攻擊���、密鑰交換算法重放攻擊、版本重放攻擊���、通信業(yè)務(wù)流分析攻擊和證書攻擊等
4��、SET協(xié)議及其安全性分析
4.1 SET安全電子交易協(xié)議
SET是基于Internet的卡基支付����,是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn),采用RSA公開密鑰體系對通信雙方進(jìn)行認(rèn)證����,利用DES����、RC4或任何標(biāo)準(zhǔn)對稱加密方法進(jìn)行信息的加密傳輸,并用Hash算法來鑒別消息真?zhèn)?�、有無篡改���。
SET協(xié)議規(guī)定了交易各方進(jìn)行安全交易的具體流程�,協(xié)議本身比較復(fù)雜����,設(shè)計(jì)比較嚴(yán)格��,安全性高����,它能保證信息傳輸?shù)臋C(jī)密性���、真實(shí)性、完整性和不可否認(rèn)性���。這一標(biāo)準(zhǔn)被公認(rèn)為全球網(wǎng)際網(wǎng)絡(luò)的標(biāo)準(zhǔn)���,其交易形態(tài)將成為未來電子商務(wù)的典范���。
4.2 SET協(xié)議的系統(tǒng)結(jié)構(gòu)
SET改變了支付系統(tǒng)中各個(gè)參與者之間交互的方式��。在面對面的零售交易或郵購交易中,電子處理過程始于商家或付款銀行����;而在SET交易中,電子支付始于持卡人�。
SET協(xié)議是一個(gè)龐大的協(xié)議系統(tǒng),總共由17個(gè)子協(xié)議組成��。其中主要的子協(xié)議包括:持卡人注冊、商家注冊��、購買請求、支付認(rèn)證�、支付截獲等��,SET協(xié)議還有很多可選的輔助子協(xié)議包括:證書狀態(tài)查詢�����、支付查詢����、授權(quán)撤銷���、付款撤銷����、信用卡撤銷和出錯(cuò)消息等
4.3 SET協(xié)議安全性分析
信息機(jī)密性��。SET支付環(huán)境中信息的機(jī)密性是通過使用混合加密算法加密支付信息而獲得的。
數(shù)據(jù)完整性����。SET使用數(shù)字簽名來保證數(shù)據(jù)的完整性���。
身份驗(yàn)證���。SET使用基于X.509 v3.0的數(shù)字證書,通過數(shù)字證書和RSA簽名來達(dá)到對持卡人帳戶和商家����、支付網(wǎng)關(guān)以及銀行的身份的認(rèn)證�����。
不可否認(rèn)性。SET協(xié)議中數(shù)字證書的過程也包含了商家和客戶在交易中存在的信息�����。
5、SSL協(xié)議與SET協(xié)議的比較分析
支付系統(tǒng)是電子商務(wù)的關(guān)鍵技術(shù)�,SET和SSL是兩種重要的通過Internet進(jìn)行安全支付的協(xié)議�,二者在技術(shù)上并沒有多少相似之處。SET是一個(gè)多方的報(bào)文協(xié)議�,它定義了銀行����、商家�、持卡人之間的必須的報(bào)文規(guī)范�,主要是為了解決用戶�����、商家��、銀行之間通過信用卡支付的交易而設(shè)計(jì)的�,而SSL只是簡單地在兩方之間建立一條安全連接。SSL是面向連接的����,而SET允許各方之間的報(bào)文交換不是實(shí)時(shí)的��。
第6篇
關(guān)鍵詞:電子商務(wù)�;信息安全���;風(fēng)險(xiǎn)評估�����;對策
基金項(xiàng)目:鄭州科技學(xué)院大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目:電子商務(wù)信息安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)及應(yīng)用(編號:DCY2019007)
1.引言
電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ)����,以商城消費(fèi)者產(chǎn)品物流為構(gòu)成要素進(jìn)行的電子商務(wù)活動����。當(dāng)電子商務(wù)相關(guān)部門或人員在進(jìn)行項(xiàng)目開發(fā)時(shí),擁有一套信息安全風(fēng)險(xiǎn)評估系統(tǒng)可以幫助其采用科學(xué)合理的方法對潛在威脅進(jìn)行分析并保證經(jīng)濟(jì)系統(tǒng)的安全�。所以將信息安全技術(shù)與現(xiàn)代化新興技術(shù)結(jié)合�,將為我們打造一個(gè)更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境�。
2.電子商務(wù)系統(tǒng)中存在的信息安全問題及現(xiàn)狀
一般來說���,電子商務(wù)的信息安全是指在電子商務(wù)交易的過程中雙方使用各種技術(shù)和法律手段等確保交易不會因?yàn)橐馔?,惡意或者披露這些不利要求而受到損害的信息安全�。在21世紀(jì)初葉����,我國金融系統(tǒng)中的計(jì)算機(jī)犯罪率一直在不斷地增加���,我國金融網(wǎng)絡(luò)信息安全形勢非常嚴(yán)峻��,需要加強(qiáng)改善。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問題做一個(gè)簡要介紹���,主要涉及以下幾個(gè)方面:
(1)由于編寫的電子商務(wù)系統(tǒng)軟件可以使用不同的形式,因此在實(shí)際應(yīng)用過程中難以避免的會留下安全漏洞�。例如,網(wǎng)絡(luò)操作系統(tǒng)本身會存在一些安全問題����,例如非法訪問I/0��,這些不完全的調(diào)解和混亂的訪問控制會造成數(shù)據(jù)庫安全漏洞�����,而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開始設(shè)計(jì)之前就沒有考慮TCP/IP通信協(xié)議的安全性�����,這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來也存在風(fēng)險(xiǎn)�。在信息的傳遞過程中��,需要不斷地對信息源進(jìn)行加工和重現(xiàn)�����,截取有用信息�����,不可避免會出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險(xiǎn)�。尤其是在當(dāng)下“社交+商務(wù)”的模式下���,一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬次或者更多�����,一旦在信息轉(zhuǎn)載中出現(xiàn)誤差,影響非常大�,風(fēng)險(xiǎn)應(yīng)當(dāng)給予重視。
(2)隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,計(jì)算機(jī)病毒帶來的問題越來越廣泛��,壓縮文件�����,電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑�,因?yàn)檫@些病毒的種類非常多樣化��,破壞性極強(qiáng),使得計(jì)算機(jī)病毒的傳播速度大大加快了�。近年來���,新病毒種類的數(shù)量迅速增加�,互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介�����。這些病毒可以通過網(wǎng)絡(luò)大量傳播任何粗心大意都會造成無法彌補(bǔ)的經(jīng)濟(jì)損失���。此外還有信息傳遞過程所帶來的風(fēng)險(xiǎn)���。信息是一種重要的資源,良好的流動性能實(shí)現(xiàn)信息價(jià)值的最大化�����,但是在信息的傳遞過程中需要經(jīng)過許多路徑,而在這過程中往往存在一些不安全因素����,給信息安全帶來一定的風(fēng)險(xiǎn)�。
(3)當(dāng)前的黑客攻擊�,除了計(jì)算機(jī)病毒的傳播外����,黑容的惡意行為也越來越猖狂�。特洛伊木馬使黑容可以使用計(jì)算機(jī)病毒從而變得更加有目的性��,使得計(jì)算機(jī)記錄的登錄信息被特洛伊木馬程序惡意篡改�,導(dǎo)致很多重要信息��、文件,甚至是金錢被盜��。
(4)由人為因素造成的電子商務(wù)公司的安全問題��,大部分保密工作是通過員工的操作來進(jìn)行的,這就需要員工具有很好的保密性,責(zé)任心和責(zé)任感等道德素質(zhì)��。如果員工的責(zé)任心不強(qiáng),態(tài)度不正確���,就容易被別人利用�,讓無關(guān)人員隨意進(jìn)出房間或向他人泄露機(jī)密信息,可以讓罪犯廢除重要信息�����。如果工作人員缺乏良好的職業(yè)道德,可能會非法超出授權(quán)范圍更改或刪除他人的信息���,而且還可以利用所學(xué)專業(yè)知識和工作位置來竊取用戶密碼和標(biāo)識符,進(jìn)行非法出售����。
3.電子商務(wù)信息安全風(fēng)險(xiǎn)評估存在的問題
經(jīng)過大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對信息安全風(fēng)險(xiǎn)評估是當(dāng)前科研工作中噬待解決的問題���。目前��,國內(nèi)也有一些關(guān)于信息安全風(fēng)險(xiǎn)評估的研究和應(yīng)用��,但是這些研究都只是簡單的分析���,包括常用的具有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評估工具�。評估矩陣�����,問卷,風(fēng)險(xiǎn)評估矩陣與問卷方法���,專家系統(tǒng)相結(jié)合�。對于更深層次的探究還需進(jìn)一步努力�。此外�,網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估方法常用定量因子分析方法�,時(shí)間序列模型��,決策樹方法和回歸模型進(jìn)行�。風(fēng)險(xiǎn)評估方法���,定性分析主要包括邏輯分析,Delphi方法��,因子分析方法�����,歷史比較方法等���。其中��,定量和定性評估方法相結(jié)合,是由模糊層次分析法�����,基于D-S證據(jù)理論等的評估方法組成�。同時(shí)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估還存在一定問題����,例如隨著網(wǎng)絡(luò)的發(fā)展,我國從開始的2G邁向4G現(xiàn)在又率先進(jìn)入5G時(shí)代���。其中也出現(xiàn)了各種問題�,網(wǎng)民數(shù)量的增加需要迫切提高他們對信息安全的警惕意識�。
3.1欠缺對電子商務(wù)信息安全風(fēng)險(xiǎn)評估的認(rèn)識
當(dāng)前���,許多相關(guān)人員對電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識����,缺少信息安全風(fēng)險(xiǎn)評估經(jīng)驗(yàn)��。因此他們沒有重視信息安全風(fēng)險(xiǎn)評估的重要性,其原因如下�。第一��,公司或單位的風(fēng)險(xiǎn)評估尚未通過標(biāo)準(zhǔn)檢驗(yàn)����,培訓(xùn)標(biāo)準(zhǔn)��,信息安全風(fēng)險(xiǎn)評估工作的研究尚未得到系統(tǒng)的相關(guān)理論�����,方法和技術(shù)工具,這是由于一些信息安全評估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對信息評估風(fēng)險(xiǎn)評估的重要性的認(rèn)識不足�,因此自然而然不將此類風(fēng)險(xiǎn)評估工作包括在當(dāng)前的信息安全系統(tǒng)框架中。第二�,盡管有許多部門將信息安全工作置于地位重要,但受到人力��、物力�,財(cái)力等方面的限制�,社會制度的制約,政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作無法得到應(yīng)有的重視����。
3.2缺乏信息安全風(fēng)險(xiǎn)評估方面的專業(yè)技術(shù)人才
首先,信息安全風(fēng)險(xiǎn)評估的技術(shù)內(nèi)容要求非常高��,它要求員工具有很高的技術(shù)水平���,現(xiàn)在很多公司都將通用信息用作風(fēng)險(xiǎn)評估技術(shù)人員。其次����,信息安全風(fēng)險(xiǎn)評估是一項(xiàng)集綜合性�,專業(yè)性于一體的工作,不僅涉及公司的所有業(yè)務(wù)信息�,也涉及人力�����,物力和財(cái)力的方方面面���,因此需要各部門之間相互配合���,現(xiàn)在大多數(shù)公司僅依靠信息部門�����,獨(dú)立的參與信息安全風(fēng)險(xiǎn)評估毫無爭議他們要想完成信息安全風(fēng)險(xiǎn)評估工作是非常艱難的。綜上所述���,培養(yǎng)信息安全風(fēng)險(xiǎn)評估專業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向。
3.3風(fēng)險(xiǎn)評估工具相對缺乏
當(dāng)前��,除專家系統(tǒng)外,其他分析工具相對來說都比較簡易���,除此之外還缺乏實(shí)用的理論基礎(chǔ)��。此外���,這種信息風(fēng)險(xiǎn)評估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀�。表明國內(nèi)和外部失衡����,在中國相對落后���?�?梢娊鉀Q信息安全問題的關(guān)鍵在于有成熟的風(fēng)險(xiǎn)評估工具。
4.防范電子商務(wù)信息安全及風(fēng)險(xiǎn)的建議
4.1增強(qiáng)電子商務(wù)信息安全和風(fēng)險(xiǎn)評估的意識
大多數(shù)信息的傳輸和處理�,與人是密不可分的��。特別是掌握人員的重要信息和核心業(yè)務(wù)���,人員的個(gè)人因素��,管理因素和環(huán)境存在風(fēng)險(xiǎn)���。主要包括人員的技術(shù)能力���,監(jiān)控管理,安全性�。特別需要做好監(jiān)督審計(jì)公司的工作��,確保信息安全風(fēng)險(xiǎn)管理融入實(shí)踐����,充分發(fā)揮內(nèi)部監(jiān)督作用�����,促進(jìn)社會責(zé)任認(rèn)可和實(shí)施信息安全風(fēng)險(xiǎn)管理工作�。電子商務(wù)公司必須對工人進(jìn)行必要的信息安全知識教育培訓(xùn),了解與之相關(guān)的法律法規(guī)����,做好對客戶關(guān)鍵信息的隱秘保護(hù)�。不隨意查看和泄露客戶購買信息���。
企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時(shí)信息的機(jī)密性和完整性,加強(qiáng)密鑰管理��,提高應(yīng)對網(wǎng)絡(luò)攻擊能力��,采取措施避免越權(quán)或?yàn)E用�����,消除用戶在交易中的風(fēng)險(xiǎn)�����。在信息安全風(fēng)險(xiǎn)控制中必須由內(nèi)到外地保護(hù)內(nèi)部系統(tǒng)環(huán)境�����、網(wǎng)絡(luò)邊界��、骨干網(wǎng)安全���。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng)��,并提供全面的安全保障��。運(yùn)用端到端策略。對于移動電子商務(wù)中用戶終端設(shè)備種類繁多����,安全環(huán)境復(fù)雜難以控制的問題��,必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定����。通過人臉識別、指紋識別等技術(shù)有效提高用戶訪問身份鑒別能力���,極大地提高賬戶的安全性,確保數(shù)據(jù)傳輸?shù)陌踩?����,確保交易的真實(shí)有效。
4.2提供專業(yè)的技術(shù)培訓(xùn)���,提高專業(yè)人員的技能
認(rèn)真選擇第三方合作伙伴,增強(qiáng)信息管理水平���,加強(qiáng)績效監(jiān)督管理���。樹立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障,培養(yǎng)員工信息安全意識�����,創(chuàng)造良好信息安全工作氛圍���,加強(qiáng)信息安全專業(yè)技術(shù)人員對信息安全風(fēng)險(xiǎn)評估的意識和能力,通過大量的實(shí)驗(yàn)發(fā)現(xiàn)可以通過下列方法培訓(xùn)相關(guān)人員:第一����,定期開展信息安全風(fēng)險(xiǎn)評估工作�����,將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對信息安全的意識彌補(bǔ)存在的缺陷����。第二�����,對信息安全部門的員工進(jìn)行專門的技術(shù)培訓(xùn)和指導(dǎo)����,可通過模擬分析來提升技術(shù);第三��,公司應(yīng)增加對技術(shù)資源的投入�,聘請經(jīng)驗(yàn)豐富的專家學(xué)者組成第三方評估機(jī)構(gòu)���,引進(jìn)風(fēng)險(xiǎn)評估設(shè)備�����。以備不時(shí)之需�;第四��,公司應(yīng)對技術(shù)人員進(jìn)行標(biāo)準(zhǔn)化認(rèn)證培訓(xùn)�����,執(zhí)行職業(yè)資格準(zhǔn)入制度�,提高技術(shù)人員的門檻����,納入信息安全風(fēng)險(xiǎn)評估,技術(shù)人員的全面質(zhì)量保證評估��。以上這些方法只是單純就培訓(xùn)方式對于具體的實(shí)施以及可能遇到的問題依然需要研究�。
4.3提升對信息安全防范技術(shù)的研究和應(yīng)用
為移動數(shù)據(jù)庫存儲的數(shù)據(jù)進(jìn)行加密以防止泄漏��,采用不同的加密方法來保護(hù)數(shù)據(jù)安全�,進(jìn)行身份認(rèn)證���,數(shù)據(jù)恢復(fù),數(shù)據(jù)加密存儲�,物理隔離,防火墻�����,網(wǎng)絡(luò),網(wǎng)絡(luò)設(shè)備��,網(wǎng)絡(luò)入侵檢測����,網(wǎng)絡(luò)漏洞掃描,網(wǎng)絡(luò)設(shè)備備份����,網(wǎng)絡(luò)管理,專線�����,實(shí)現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段�����,從而提高數(shù)據(jù)庫的安全性�。同時(shí)提高認(rèn)識到物理設(shè)施的重要性�,定期維護(hù)物理設(shè)施。為了監(jiān)測信息安全和實(shí)施評估系統(tǒng)�����,我們要保證基本硬件和芯片的獨(dú)立在建立獨(dú)立于信息安全的評估體系中����,國內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究�����,建立創(chuàng)新的電子商務(wù)信息安全與評估體系�。
第7篇
[關(guān)鍵詞] 電子商務(wù) 信息安全 安全技術(shù)
伴隨經(jīng)濟(jì)的迅猛發(fā)展,電子商務(wù)成為當(dāng)今世界商務(wù)活動的新模式��。要在國際競爭中贏得優(yōu)勢�����,必須保證電子商務(wù)中信息交流的安全���。
一、電子商務(wù)的信息安全問題
電子商務(wù)信息安全問題主要有:
1.信息的截獲和竊?。喝绻捎眉用艽胧┎粔?����,攻擊者通過互聯(lián)網(wǎng)�����、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù),獲取機(jī)密信息或通過對信息流量���、流向、通信頻度和長度分析����,推測出有用信息�。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后,通過技術(shù)手段對網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地�,破壞信息完整性����。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶�。4.交易抵賴:交易抵賴包括多方面,如發(fā)信者事后否認(rèn)曾發(fā)送信息����、收信者事后否認(rèn)曾收到消息�、購買者做了定貨單不承認(rèn)等。
二�����、信息安全要求
電子商務(wù)的安全是對交易中涉及的各種信息的可靠性����、完整性和可用性保護(hù)。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障���。由于建立在開放網(wǎng)絡(luò)環(huán)境中�,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)�����,影響到交易和經(jīng)營策略����。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹?�,預(yù)防對信息隨意生成、修改和刪除�,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.信息有效性:保證信息有效性是開展電子商務(wù)前提���,關(guān)系到企業(yè)或國家的經(jīng)濟(jì)利益。對網(wǎng)絡(luò)故障���、應(yīng)用程序錯(cuò)誤�����、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防�����,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效��。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵����。為防止計(jì)算機(jī)失效、程序錯(cuò)誤���、系統(tǒng)軟件錯(cuò)誤等威脅,通過控制與預(yù)防確保系統(tǒng)安全可靠���。
三��、信息安全技術(shù)
1.防火墻技術(shù)��。防火墻在網(wǎng)絡(luò)間建立安全屏障����,根據(jù)指定策略對數(shù)據(jù)過濾�����、分析和審計(jì),并對各種攻擊提供防范���。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”�。防火墻先封閉所有信息流,再審查要求通過信息�����,符合條件就通過��;二是“凡是未被禁止就是允許”���。防火墻先轉(zhuǎn)發(fā)所有信息,然后逐項(xiàng)剔除有害內(nèi)容���。
防火墻技術(shù)主要有:(1)包過濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過,核心是安全策略即過濾算法設(shè)計(jì)����。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制��,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)中間轉(zhuǎn)接作用���。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過濾、記錄等功能���。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能�����。(4)復(fù)合型技術(shù):把過濾和服務(wù)兩種方法結(jié)合形成新防火墻�����,所用主機(jī)稱為堡壘主機(jī)����,提供服務(wù)。(5)審計(jì)技術(shù):通過對網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志�,對日志統(tǒng)計(jì)分析,對資源使用情況分析��,對異?���,F(xiàn)象跟蹤監(jiān)視�。(6)路由器加密技術(shù):加密路由器對通過路由器的信息流加密和壓縮,再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密��。
2.加密技術(shù)����。為保證數(shù)據(jù)和交易安全,確認(rèn)交易雙方的真實(shí)身份��,電子商務(wù)采用加密技術(shù)�����。數(shù)據(jù)加密是最可靠的安全保障形式和主動安全防范的策略�。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法�����。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開�;得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對加密信息解密���。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方,保證傳輸信息的保密和安全�����。(2)數(shù)字摘要:也稱安全Hash編碼法��。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋�,有固定長度且不同明文摘要成密文結(jié)果不同,而同樣明文摘要必定一致�����。這串摘要成為驗(yàn)證明文是否真身的“指紋”�。(3)數(shù)字簽名:將數(shù)字摘要���、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認(rèn)文件的手段��。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn)���,從而確認(rèn)文件已簽署;二是因?yàn)楹灻灰追旅?����,從而確定文件為真。(4)數(shù)字時(shí)間戳: 電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容�,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)。
3.認(rèn)證技術(shù)����。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證�����。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份�����,驗(yàn)證信息完整性���,確認(rèn)信息在傳送或存儲過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證�、數(shù)字標(biāo)識,用電子手段證實(shí)用戶身份及對網(wǎng)絡(luò)資源的訪問權(quán)限����,可控制被查看的數(shù)據(jù)庫��,提高總體保密性����。交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份��。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心����。無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書發(fā)放�����,都需要有權(quán)威性和公正性的第三方完成�。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)��、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu)����,受理數(shù)字證書的申請����、簽發(fā)及對數(shù)字證書管理����。
4.防病毒技術(shù)����。(1)預(yù)防病毒技術(shù)����,通過自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲取系統(tǒng)控制權(quán)����,監(jiān)視系統(tǒng)中是否有病毒,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對系統(tǒng)破壞�����。(2)檢測病毒技術(shù)���,通過對計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測技術(shù),如自身校驗(yàn)��、關(guān)鍵字�����、文件長度變化。(3)消除病毒技術(shù)�,通過對計(jì)算機(jī)病毒分析,開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件�����。另外要認(rèn)真執(zhí)行病毒定期清理制度�����,可以清除處于潛伏期的病毒�,防止病毒突然爆發(fā),使計(jì)算機(jī)始終處于良好工作狀態(tài)��。
四����、結(jié)語
信息安全是電子商務(wù)的核心���。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù)��,提高電子商務(wù)系統(tǒng)的安全性和可靠性���。但電子商務(wù)的安全運(yùn)行���,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠,還必須完善電子商務(wù)立法�����,以規(guī)范存在的各類問題�,引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展�����。
參考文獻(xiàn):
[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006
第8篇
論文摘要:電子商務(wù)是基于網(wǎng)絡(luò)盼新興商務(wù)模式,有效的網(wǎng)絡(luò)信息安全保障是電子商務(wù)健康發(fā)展的前提���。本文著重分析了電子商務(wù)活動申存在的網(wǎng)絡(luò)信息安全問題,提出保障電子商務(wù)信息安全的技術(shù)對策��、管理策略和構(gòu)建網(wǎng)絡(luò)安全體系結(jié)構(gòu)等措施,促進(jìn)我國電子商務(wù)可持續(xù)發(fā)展��。
隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運(yùn)而生并迅速發(fā)展。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動,實(shí)現(xiàn)消費(fèi)者的網(wǎng)購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動和相關(guān)的綜合眼務(wù)活動的一種新型的商業(yè)運(yùn)營模式�����。信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廣,然而由于互聯(lián)網(wǎng)的開放性,網(wǎng)絡(luò)安全問題日益成為制約電予商務(wù)發(fā)展的一個(gè)關(guān)鍵性問題����。
一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題
電子商務(wù)的前提是信息的安全性保障,信息安全性的含義主要是信息的完整性����、可用性�����、保密和可靠����。因此電商務(wù)活動中的信息安全問題豐要體現(xiàn)在以下兩個(gè)方面:
1 網(wǎng)絡(luò)信息安全方面
(1)安全協(xié)議問題�。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對制約了國際性的商務(wù)活動��。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊�。
(3)防病毒問題?����;ヂ?lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題����。
(4)服務(wù)器的安全問題����。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電予商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會非常嚴(yán)重����。
2.電子商務(wù)交易方面
(1)身份的不確定問題����。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺,在這個(gè)平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易�。
(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴����。有些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任��。
(3)交易的修改問題��。交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益��。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正���。
二 電子商務(wù)中的網(wǎng)絡(luò)信息安全對策
1 電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對策
(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信皂的完整和提供信包發(fā)送者身份的認(rèn)證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全�����、方便地實(shí)現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩?�、完?身份驗(yàn)證機(jī)制以及交易的不可抵賴性等均可通過電子簽名的安全認(rèn)證手段加以解決�����。
(2)配置防火墻����。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝���、毀壞你的重要信息��。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接入控制和審查跟蹤,是一一種訪問控制機(jī)制�。在邏輯,防火墻是一個(gè)分離器�����、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和Intemet之間的任何活動,保證內(nèi)部網(wǎng)絡(luò)的安全。
(3)應(yīng)用加密技術(shù)����。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和公用密鑰體制兩種。相應(yīng)地,對數(shù)據(jù)加密的技術(shù)分為對稱加密和非對稱加密兩類��。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn),全面加密保護(hù)應(yīng)包括對遠(yuǎn)程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)��。一般來說,應(yīng)根據(jù)管理級別所對應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密�����。
2���、電子商務(wù)網(wǎng)絡(luò)安全的管理策略
(1)建立保密制度。涉及信息保密����、口令或密碼保密、通信地址保密��、日常管理和系統(tǒng)運(yùn)行狀況保密���、工作日記保密等各個(gè)方面�����。對各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級別,并制定出相應(yīng)的保密措施�。
(2)建立系統(tǒng)維護(hù)制度�����。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長期安全、穩(wěn)定運(yùn)行的基本保證,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見,其他任何人不得介入,主要做好硬件系統(tǒng)日常管理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作�����。
(3)建立病毒防范制度�����。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時(shí)升級防病毒軟件版本����、及時(shí)通報(bào)病毒入侵信息等工作���。此外,還可將剛絡(luò)系統(tǒng)中易感染病毒的文什屬性��、權(quán)限加以限制,斷絕病毒入侵的渠道,從而達(dá)到預(yù)防的目的�����。
(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個(gè)成功的電子商務(wù)系統(tǒng),應(yīng)引對信息安全至少提供三個(gè)層而的安全保護(hù)措施:一是數(shù)據(jù)存操作系統(tǒng)內(nèi)部或者盤陣中實(shí)現(xiàn)快照�、鏡像;二是對數(shù)據(jù)庫及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動備份;三是對重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以上保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)。
三 電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)
電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān),更與社會因素�����、法制環(huán)境等多方面因素有關(guān)���。故應(yīng)對電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:1.電子商務(wù)系統(tǒng)硬件安全�。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性,保證其可靠眭和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制�。2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改�����、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿足整個(gè)系統(tǒng)安全策略需求���。3.電子商務(wù)系統(tǒng)運(yùn)行安全。主要指滿足系統(tǒng)能夠可靠����、穩(wěn)定、持續(xù)和正常的運(yùn)行��。4.電商務(wù)網(wǎng)絡(luò)安全的立法保障��。結(jié)合我閣實(shí)際,借鑒國外先進(jìn)網(wǎng)絡(luò)信息安全立法�、執(zhí)法經(jīng)驗(yàn),完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系��。
