序言:寫作是分享個人見解和探索未知領域的橋梁���,我們?yōu)槟x了8篇的電子商務信息安全樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā)���,請盡情閱讀。
第1篇
關鍵詞:電子商務信息安全安全技術
伴隨經(jīng)濟的迅猛發(fā)展�,電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優(yōu)勢�,必須保證電子商務中信息交流的安全。
一�����、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊?。喝绻捎眉用艽胧┎粔颍粽咄ㄟ^互聯(lián)網(wǎng)�、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關和路由器上截獲數(shù)據(jù),獲取機密信息或通過對信息流量����、流向、通信頻度和長度分析�����,推測出有用信息���。2.信息的篡改:當攻擊者熟悉網(wǎng)絡信息格式后����,通過技術手段對網(wǎng)絡傳輸信息中途修改并發(fā)往目的地,破壞信息完整性�。3.信息假冒:當攻擊者掌握網(wǎng)絡信息數(shù)據(jù)規(guī)律或解密商務信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶�����。4.交易抵賴:交易抵賴包括多方面����,如發(fā)信者事后否認曾發(fā)送信息����、收信者事后否認曾收到消息、購買者做了定貨單不承認等����。
二、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性���、完整性和可用性保護�����。信息安全包括以下幾方面:
1.信息保密性:維護商業(yè)機密是電子商務推廣應用的重要保障����。由于建立在開放網(wǎng)絡環(huán)境中,要預防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生���。2.信息完整性:貿(mào)易各方信息的完整性是電子商務應用的基礎���,影響到交易和經(jīng)營策略。要保證網(wǎng)絡上傳輸?shù)男畔⒉槐淮鄹?,預防對信息隨意生成、修改和刪除�,防止數(shù)據(jù)傳送中信息的失和重復并保證信息傳送次序的統(tǒng)一。3.信息有效性:保證信息有效性是開展電子商務前提�����,關系到企業(yè)或國家的經(jīng)濟利益���。對網(wǎng)絡故障���、應用程序錯誤���、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿(mào)易數(shù)據(jù)在確定時刻和地點有效�����。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務順利進行的關鍵�����。為防止計算機失效���、程序錯誤、系統(tǒng)軟件錯誤等威脅�����,通過控制與預防確保系統(tǒng)安全可靠�����。
三����、信息安全技術
1.防火墻技術�。防火墻在網(wǎng)絡間建立安全屏障����,根據(jù)指定策略對數(shù)據(jù)過濾、分析和審計�,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準許就是禁止”�。防火墻先封閉所有信息流,再審查要求通過信息�����,符合條件就通過���;二是“凡是未被禁止就是允許”�����。防火墻先轉發(fā)所有信息�,然后逐項剔除有害內(nèi)容����。
防火墻技術主要有:(1)包過濾技術:在網(wǎng)絡層根據(jù)系統(tǒng)設定的安全策略決定是否讓數(shù)據(jù)包通過,核心是安全策略即過濾算法設計。(2)服務技術:提供應用層服務控制����,起到外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請服務時中間轉接作用。服務還用于實施較強數(shù)據(jù)流監(jiān)控�����、過濾���、記錄等功能����。(3)狀態(tài)監(jiān)控技術:在網(wǎng)絡層完成所有必要的包過濾與網(wǎng)絡服務防火墻功能�。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻,所用主機稱為堡壘主機����,提供服務����。(5)審計技術:通過對網(wǎng)絡上發(fā)生的訪問進程記錄和產(chǎn)生日志,對日志統(tǒng)計分析����,對資源使用情況分析�,對異?����,F(xiàn)象跟蹤監(jiān)視�。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮,再通過外部網(wǎng)絡傳輸?shù)侥康亩私鈮嚎s和解密�����。2.加密技術���。為保證數(shù)據(jù)和交易安全����,確認交易雙方的真實身份�����,電子商務采用加密技術�。數(shù)據(jù)加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法����。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開���;得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方����,保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法�����。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋���,有固定長度且不同明文摘要成密文結果不同���,而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”�����。(3)數(shù)字簽名:將數(shù)字摘要����、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段�����。簽名作用有兩點:一是因為自己簽名難以否認���,從而確認文件已簽署�����;二是因為簽名不易仿冒�����,從而確定文件為真�。(4)數(shù)字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內(nèi)容����,數(shù)字時間戳服務能提供電子文件發(fā)表時間的安全保護。
3.認證技術�����。安全認證的作用是進行信息認證����。信息認證是確認信息發(fā)送者的身份�,驗證信息完整性����,確認信息在傳送或存儲過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證�����、數(shù)字標識����,用電子手段證實用戶身份及對網(wǎng)絡資源的訪問權限,可控制被查看的數(shù)據(jù)庫���,提高總體保密性����。交易支付過程中���,參與各方必須利用認證中心簽發(fā)的數(shù)字證書證明身份���。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心����。無論是數(shù)字時間戳服務還是數(shù)字證書發(fā)放����,都需要有權威性和公正性的第三方完成���。CA是承擔網(wǎng)上安全交易認證服務�����、簽發(fā)數(shù)字證書并確認用戶身份的企業(yè)機構���,受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書管理�����。
4.防病毒技術���。(1)預防病毒技術����,通過自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲取系統(tǒng)控制權�����,監(jiān)視系統(tǒng)中是否有病毒����,阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)破壞。(2)檢測病毒技術����,通過對計算機病毒特征進行判斷的偵測技術,如自身校驗�、關鍵字、文件長度變化���。(3)消除病毒技術����,通過對計算機病毒分析���,開發(fā)出具有殺除病毒程序并恢復原文件的軟件���。另外要認真執(zhí)行病毒定期清理制度�����,可以清除處于潛伏期的病毒���,防止病毒突然爆發(fā)�����,使計算機始終處于良好工作狀態(tài)�����。
四�、結語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術�,提高電子商務系統(tǒng)的安全性和可靠性。但電子商務的安全運行����,僅從技術角度防范遠遠不夠,還必須完善電子商務立法�,以規(guī)范存在的各類問題,引導和促進我國電子商務快速健康發(fā)展���。
參考文獻:
[1]譚衛(wèi):電子商務中安全技術的研究.哈爾濱工業(yè)大學,2006
第2篇
關鍵詞:電子商務�;信息安全技術
一、電子商務發(fā)展存在的風險
第三方的電子交易平臺在網(wǎng)絡上對于信息進行儲存���、記錄�、處理���、和傳遞���,以此來協(xié)助一次網(wǎng)絡消費行為的完成。一般情況下����,這些信息都具有真實性和保密性,屬于大眾的隱私����。但是,現(xiàn)在的網(wǎng)絡環(huán)境比較惡劣���,有很多網(wǎng)絡陷阱以及刻意挖掘用戶信息的“黑客”���,從而導致基本信息出現(xiàn)失真�、泄露和刪除的危機���,不利于正常電子商務交易的完成����。對于電子商務信息大致上可以分為以下幾類:第一�,信息的真實性;第二���,信息的實時性;第三�,信息的安全性。首先�,是信息的真實性。電子商務上的基本信息是賣家和買家進行認識對方和分辨商品真實性可靠性的唯一途徑���,應該絕對真實�����。一旦出現(xiàn)虛假信息����,則屬于欺騙消費者,是危害消費者權益的不法行為�。其次,是信息的實時性���。信息的實時性主要是指信息的保質期����。因為很多信息只在一段時間內(nèi)有效���,具有時效性�����,一旦錯過這段關鍵時期����,那么該信息則失去自身的價值�,變得一文不值。最后���,就是信息的安全性���,這也是消費者最為關心的問題�����。電子商務出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除�����、篡改從而失真�����,同時也表現(xiàn)為用戶的信息被竊取從而達成其他目的���,使得用戶的隱私被侵犯���,正常的生活受到打擾���。
二、電子商務的信息安全技術的內(nèi)容
2.1 備份技術���。相信備份技術對于大眾來說不是很陌生����。但是很多人卻錯誤的將備份理解為拷貝,從而片面的看待這個問題�����。電子商務對于網(wǎng)絡環(huán)境有很大的依賴性����,網(wǎng)絡環(huán)境自身卻存在極大的不穩(wěn)定性,這就導致電子商務的發(fā)展存在不可避免的風險���,如果沒有一個數(shù)據(jù)庫對于基本信息進行存儲����,那么一旦出現(xiàn)系統(tǒng)故障或者誤刪的情況則信息永遠消失�����,這對于商家來說是極其可怕的�����,因此�,電子商務的第三方有一個信息儲存庫�,旨在在必要的時刻段時間內(nèi)將客戶的信息及時恢復�。這種恢復不是簡單的、傳統(tǒng)意義上的恢復���,而是通過備份介質得以完成的����。這樣的話����,在系統(tǒng)故障或者其他原因導致信息在短時間內(nèi)無法正常恢復時���,可以借助儲存在備份介質中的信息將信息還原到原來的備份狀態(tài)�。2.2 認證技術����。所謂認證技術其實一個專業(yè)術語���,道理實際上很簡單�����,就是我們常說的登錄口令���。認證技術的目的主要在于阻止不具有系統(tǒng)授權的用戶進行非法的破壞計算機機密數(shù)據(jù)�����,是數(shù)據(jù)庫系統(tǒng)為減少和避免各種破壞電子商務安全的重要策略�����。登陸口令是我們正常用戶進行電子商務平臺登錄的方式�,是大眾在網(wǎng)絡環(huán)境下的身份證�。我們每一個用戶在使用某一個電子商務平臺之前都被要求進行注冊,從而決定或者獲得自己的登陸口令即用戶名和密碼���。這些登錄口令都是都是獨一無二的�,是我們進行網(wǎng)上交易的身份認證和識別�。因為電子商務平臺往往具有開放性,一旦沒有身份認證后果將不堪設想���。人們的信息安全更是沒有任何保障���。2.3 訪問控制技術����。訪問控制技術也可以理解為訪問等級制度�����,電子商務的系統(tǒng)會根據(jù)用戶的不同等級對于用戶對于系統(tǒng)數(shù)據(jù)的訪問進行一定的控制���。等級較低時����,則用戶的訪問權限有限����,一些重要的關鍵的信息則被系統(tǒng)禁止訪問,只要當?shù)燃壿^高時才能獲得相關權限����,這就保證了一些重要信息不會被竊取。關于用戶的訪問權限也有兩層含義����,首先是用戶能夠獲得數(shù)據(jù)庫中的信息種類和數(shù)量�����,另一層含義則是指用戶對于獲取的數(shù)據(jù)庫信息進行怎樣的操作。
第3篇
[關鍵詞]電子商務;PKI;公鑰密碼系統(tǒng)
前 言
電子商務(E-Commerce)是在Internet開放的網(wǎng)絡環(huán)境下,基于瀏覽器服務器的應用方式,實現(xiàn)消費者的網(wǎng)上購物商戶之間的網(wǎng)上交易和在線電子支付的商業(yè)運營模式最近幾年,電子商務以其便利快捷的特點迅速發(fā)展起來,但是安全問題一直是阻礙其發(fā)展的關鍵因素雖然PKI的研究和應用為互聯(lián)網(wǎng)絡安全提供了必要的基礎設施,但是電子商務信息的機密性和完整性仍然是迫切需要解決的問題,本文針對這一問題展開了深入研究并提出了解決方法
1 PKI的定義和功能
PKI——公鑰基礎設施,是構建網(wǎng)絡應用的安全保障,專為開放型大型互聯(lián)網(wǎng)的應用環(huán)境而設計PKI是對公鑰所表示的信任關系進行管理的一種機制,它為Internet用戶和應用程序提供公鑰加密和數(shù)字簽名服務,目的是為了管理密鑰和證書,保證網(wǎng)上數(shù)字信息傳輸?shù)臋C密性真實性完整性和不可否認性,以使用戶能夠可靠地使用非對稱密鑰加密技術來增強自己的安全水平PKI的功能主要包括:公鑰加密證書證書確認證書撤銷
2 公鑰密碼系統(tǒng)
由于PKI廣泛應用于電子商務,故文章重點放在討論RSA公鑰密碼系統(tǒng)上RSA的安全性是基于數(shù)論和計算復雜性理論中的下述論斷:求兩個大素數(shù)的乘積在計算上是容易的,但若分解兩個大素數(shù)的積而求出它的因子則在計算上是困難的,它屬于NPI類
2. 1RSA系統(tǒng)
RSA使用的一個密鑰對是由兩個大素數(shù)經(jīng)過運算產(chǎn)生的結果:其中一個是公鑰,為眾多實體所知;另外一個是私鑰,為了確保其保密性和完整性,必須嚴格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密鑰對中的一個密鑰加密的消息只能用另外一個解密,這也就體現(xiàn)了RSA系統(tǒng)的非對稱性RSA具有加密和數(shù)字簽名功能RSA產(chǎn)生公鑰/私鑰對加解密的過程如下:
2. 1. 1產(chǎn)生一個公鑰/私鑰對
(1)選取兩個大素數(shù)p和q,為了獲得最大程度的安全性,兩個數(shù)的長度最好相同兩個素數(shù)p和q必須保密
(2)計算p與q的乘積:n =p*q
(3)再由p和q計算另一個數(shù)z = (p-1)*(q-1)
(4)隨機選取加密密鑰e,使e和z互素
(5)用歐幾里得擴展算法計算解密密鑰d,以滿足e*d = 1mod(z)
(6)由此而得到的兩組數(shù)(n,e)和(n,d)分別被稱為公鑰和私鑰
2. 1. 2加密/解密過程
RSA的加密方法是一個實體用另外一個實體的公鑰完成加密過程,這就允許多個實體發(fā)送一個實體加密過的消息而不用事先交換秘密鑰或者私鑰,并且由于加密是用公鑰執(zhí)行的,所以解密只能用其對應的私鑰來完成,因此只有目標接受者才能解密并讀取原始消息
在實際操作中,RSA采用一種分組加密算法,加密消息m時,首先將它分成比n小的數(shù)據(jù)分組(采用二進制數(shù),選取小于n的2的最大次冪),加密后的密文c,將由相同長度的分組ci組成加密公式簡化為:
ci =mie(modn)
即對于明文m,用公鑰(n,e)加密可得到密文c:
c = memod n ,其中m = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
解密消息時,取每一個加密后的分組ci并計算:mi=ci d(mod n),便能恢復出明文即對于密文c,用接收者的私鑰(n,d)解密可得到明文m:
m = cd mod nm = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
2. 1. 3數(shù)字簽名
RSA的數(shù)字簽名是加密的相反方式,即由一個實體用它的私鑰將明文加密而生成的這種加密允許一個實體向多個實體發(fā)送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發(fā)送者的公鑰就可以解密
RSA的數(shù)字簽名過程如下:
s = md mod n , 其中m是消息,s是數(shù)字簽名的結果,d和n是消息發(fā)送者的私鑰
消息的解密過程如下:
m = se mod n , 其中e和n是發(fā)送者的公鑰
2. 1. 4散列(Hash)函數(shù)
MD5與SHA1都屬于Hash函數(shù)標準算法中兩大重要算法,就是把一個任意長度的信息經(jīng)過復雜的運算變成一個固定長度的數(shù)值或者信息串,主要用于證明原文的完整性和準確性,是為電子文件加密的重要工具一般來說,對于給出的一個文件要算它的Hash碼很容易,但要從Hash碼找出相應的文件算法卻很難Hash函數(shù)最根本的特點是這種變換具有單向性,一旦數(shù)據(jù)被轉換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結果,達到防止信息被篡改的目的由于Hash函數(shù)的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數(shù)字簽名
2. 2對稱密碼系統(tǒng)
對稱密碼系統(tǒng)的基本特點是解密算法就是加密算法的逆運算,加秘密鑰就是解秘密鑰它通常用來加密帶有大量數(shù)據(jù)的報文和問卷通信的信息,因為這兩種通信可實現(xiàn)高速加密算法在對稱密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送,而雙方實體通信所用的秘密鑰也必須妥善保管
3 應用模型
利用公鑰加密系統(tǒng)可以解決電子商務中信息的機密性和完整性的要求,下面是具體的應用模型在本例中,Alice與Bob兩個實體共享同一個信任點,即它們使用同一CA簽發(fā)的數(shù)字證書因此,它們無需評價信任鏈去決定是否信任其他CA
3. 1準備工作
(1)Alice與Bob各自生成一個公鑰/私鑰對;
(2)Alice與Bob向RA(機構)提供各自的公鑰名稱和描述信息;
(3)RA審核它們的身份并向CA提交證書申請;
(4)CA格式化Alice和Bob的公鑰及其他信息,為Alice和Bob分別生成公鑰證書,然后用自己的私鑰對證書進行數(shù)字簽名;
(5)上述過程的結果是,Alice與Bob分別擁有各自的一個公鑰/私鑰對和公鑰證書;
(6)Alice與Bob各自生成一個對稱秘密鑰
現(xiàn)在,Alice和Bob擁有各自的一個公鑰/私鑰對,由共同信任的第三方頒發(fā)的數(shù)字證書以及一個對稱密鑰
3. 2處理過程
假設現(xiàn)在Alice欲發(fā)送消息給Bob,并且要求確保數(shù)據(jù)的完整性,即消息內(nèi)容不能發(fā)生變動;同時Alice和Bob都希望確保信息的機密性,即不容許除雙方之外的其他實體能夠查看該消息完成這樣要求的處理過程如下:其中步驟1~5說明Alice加密消息過程;步驟6~10說明Bob解密消息的過程�����。
(1)Alice按照雙方約定的規(guī)則格式化消息,然后用Hash函數(shù)取得該消息的散列值,該值將被用來測試消息的合法性和完整性
(2)Alice用私鑰對消息和散列值進行簽名(加密)這一簽名確保了消息的完整性,因為Bob認為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名值得注意的是:現(xiàn)在任何有權訪問Alice公鑰的實體都能解密該被簽名的消息,所以我們僅僅是保證了消息的完整性,而沒有確保其機密性
(3)由于Alice和Bob之間想保持消息的機密性,所以Alice用它的對稱秘密鑰加密被簽名的消息和散列值這一對稱秘密鑰只有Alice和Bob共享而不被其他實體所用注意,在本例中,我們使用了一個對稱秘密鑰,這是因為對于加密較長消息諸如訂購信息來說,利用對稱加密比公鑰加密更為有效
(4)Alice必須向Bob提供它用來給消息加密的對稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息Alice用Bob的公鑰將自己的對稱秘密鑰簽名(加密),這里我們假設Alice事先已經(jīng)獲得Bob的公鑰,這樣就形成了一個數(shù)字信箋,并且只有Bob才能將其打開(解密),因為只有Bob能夠訪問用來打開該數(shù)字信箋的私鑰注意,一個公鑰/私鑰對中,用其中一個密鑰加密的信息只有用另外一個密鑰才能解密這就為Alice向Bob傳輸對稱秘密鑰提供了機密性
(5)Alice發(fā)送給Bob的信息包括它用對稱秘密鑰加密的原始消息和散列值,以及用Bob公鑰加密的包含Alice的對稱秘密鑰的數(shù)字信箋圖1描述了Alice使用數(shù)字簽名向Bob發(fā)送消息(步驟1~5)
(6)Bob用它的私鑰打開(解密)來自于Alice的數(shù)字信箋完成這一過程將使Bob獲得Alice以前用來加密消息和散列值的對稱秘密鑰
(7)Bob現(xiàn)在可以打開(解密)用Alice的對稱秘密鑰加密的消息和散列值解密后Bob得到了用Alice的私鑰簽名的消息和散列值
(8)Bob用Alice的公鑰解密簽名的消息和散列值注意,一個公鑰/私鑰對中,用其中一個密鑰加密的信息只有用另外一個密鑰才能解密
(9)為了證實消息沒有經(jīng)過任何改動,Bob將原始消息采用與Alice最初使用的完全一致的Hash函數(shù)進行轉化
(10)最后,Bob將得出的散列值與它從所收消息中解密出來的散列值對比,若二者相同,則證明了消息的完整性圖2描述了Bob解密和對比散列值的過程(步驟6~10)
3. 3實現(xiàn)方法
采用Java語言實現(xiàn)系統(tǒng),Java語言本身提供了一些基本的安全方面的函數(shù),我們可以在此基礎上實現(xiàn)更為復雜和有效的應用系統(tǒng)系統(tǒng)中主要的類實現(xiàn)如下:
(1)Data Encryption類該類主要實現(xiàn)明文向密文的轉換,依據(jù)RSA算法的規(guī)則實現(xiàn)非對稱加密,其中密鑰長度為128位每次可加密數(shù)據(jù)的最大長度為512字節(jié),因此對于較長數(shù)據(jù)的加密需要劃分適當大小的數(shù)據(jù)塊
(2)Data Hash類該類完成對所要加密消息產(chǎn)生對應的散列值,對于不同的消息,散列值是不相同的可以借助Java中提供的Hash函數(shù)來實現(xiàn)
(3)Data Decryption類該類主要實現(xiàn)密文向明文的轉換,依據(jù)依據(jù)RSA算法的規(guī)則,利用加密方的公鑰對密文進行解密,并將解密后的明文按序排好
4 結束語
文章以PKI理論為基礎,利用公鑰密碼系統(tǒng)確保了電子商務過程中所傳輸消息的完整性,使用對稱加密系統(tǒng)實現(xiàn)對較長消息的加密,并保證了消息的機密性文章的理論研究和實現(xiàn)方法,對于保障電子商務活動中消息的完整性和機密性具有重要的指導意義
主要參考文獻
[1] 周學廣,劉藝. 信息安全學[M]. 北京:機械工業(yè)出版社,2004.
第4篇
關鍵詞:電子商務物流信息安全數(shù)據(jù)加密
當今世界網(wǎng)絡�����,通信和信息技術飛速發(fā)展�,Internet在全球迅速普及,使得商務空間發(fā)展到全球的規(guī)模�,促進企業(yè)組織改革自己的思維觀念、組織結構����、戰(zhàn)略方針和運行方式來適應全球性的發(fā)展變化。電子商務就是適應以全球為市場而出現(xiàn)和發(fā)展起來的一種新的商貿(mào)模式�,通過網(wǎng)絡技術快速而有效地進行各種商務行為,即在商務運作的整個過程中實現(xiàn)交易無紙化�����、直接化����。電子商務可以使商家與供應商�����,在全球市場上銷售產(chǎn)品;也可以讓用戶足不出戶在全球范圍內(nèi)選擇最佳商品���,享受全過程的電子服務。
一���、物流在電子商務流程中的作用
電子商務對象是整個交易過程�,任何一筆交易都由信息流����、商流、資金流和物流等四個基本部分組成�����。開展電子商務的最終目的是為了解決信息流和資金流處理上的延遲�,從而提高對物流過程管理的現(xiàn)代化水平,進一步提高現(xiàn)代化物流速度����。物流做為網(wǎng)上電子交易的最后一個過程�����,執(zhí)行結果的好壞將對電子交易的成敗起著十分重要的作用,是實現(xiàn)電子商務的重要環(huán)節(jié)和基本保證�。電子商務必須有現(xiàn)代化的物流技術的支持,才能體現(xiàn)出其所具有的無可比擬的先進性和優(yōu)越性����,在最大限度上使交易雙方得到便利,獲得效益�����。
二�����、電子商務流程中物流的實現(xiàn)
在電子商務中�����,信息流���、商流�、資金流的處理可以通過計算機和網(wǎng)絡通信設備實現(xiàn)。對于有形的商品和服務來說�����,物流仍然要由物理的方式進行傳輸�;對于無形的商品及服務如各種電子出版物、信息咨詢服務以及有價信息軟件等����,可以直接通過網(wǎng)絡傳輸?shù)姆绞竭M行電子化配送。電子商務環(huán)境下的物流����,通過機械化和自動化工具的應用和準確、及時的物流信息對物流過程的監(jiān)控�����,使物流的速度加快�����、準確率提高���,能有效地減少庫存����,縮短生產(chǎn)周期。
三����、電子商務中物流信息安全問題
物流正在向信息化�、自動化、網(wǎng)絡化和智能化的方向發(fā)展�����,越來越依賴于網(wǎng)絡傳輸信息的安全性能�。由于Internet具有開放性和匿名性,其安全問題變得越來越突出����。物流信息在網(wǎng)絡傳輸過程中,經(jīng)常會遭到黑客的攔截���、竊取���、篡改、盜用、監(jiān)聽等惡意破壞�����,給商戶帶來重大損失�����。以各種非法手段企圖入侵計算機網(wǎng)絡的黑客����,其惡意攻擊構成電子商務系統(tǒng)中網(wǎng)絡安全的最大威脅,已經(jīng)成為物流信息安全的最大隱患���。黑客攻擊經(jīng)常使用的手段有:
1�、獲取口令
有三種方法:一是精心偽造一個登錄頁面����,并嵌入到相關網(wǎng)頁上,當商戶鍵入登錄信息(用戶名和密碼等)后����,將這些信息傳送到黑客的主機,然后關閉頁面給出“系統(tǒng)故障”等提示�����,要求商戶重新登錄,此后才出現(xiàn)真正的登錄頁面���。二是通過網(wǎng)絡監(jiān)聽得到商戶口令�,監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令����,對LAN威脅巨大。三是知道商戶賬號后利用一些專門軟件強行破解商戶口令���。
2、郵件炸彈
用偽造的IP地址和電子郵件地址向商戶信箱發(fā)送無數(shù)封內(nèi)容相同的惡意郵件���,擠滿郵箱����,把正常郵件沖掉���。同時占用大量網(wǎng)絡資源����,導致網(wǎng)路阻塞,甚至使電子郵件服務器癱瘓�。3、特洛伊木馬
在商戶的電腦中隱藏一個會在系統(tǒng)啟動時運行的程序���,采用服務器/客戶機的運行方式�,在上網(wǎng)時控制商戶電腦�����,竊取口令�����、瀏覽商戶的驅動器�、修改商戶文件和登錄注冊表等。
4�����、誘敵深入
黑客編寫“合法”程序�����,上傳到FTP站點或提供給個人主頁誘導客戶���。當客戶下載該軟件時�,黑客的軟件一并進入客戶的計算機上,跟蹤客戶的操作���,記錄客戶輸入的每一個口令���,發(fā)送到黑客指定的E-mail中。
5�、尋找漏洞
尋找攻擊目標的系統(tǒng)安全漏洞或安全弱點,以便獲取攻擊目標系統(tǒng)的非法訪問權����。
四、物流信息安全防護策略合法商戶進行網(wǎng)上查詢����、交易雙方業(yè)務洽談���、買方下訂單并得到賣方確認�����、商品配送�、售后服務、技術支持等在線操作時對商務數(shù)據(jù)的安全需求比較高����,同時希望私有信息(口令、賬戶數(shù)據(jù)等)保密�。采用身份認證和數(shù)據(jù)加密技術能夠保護商戶私人信息及商務數(shù)據(jù)在公共網(wǎng)絡上傳輸時不被竊聽、篡改����、頂替及非法使用。
1���、身份驗證
采用數(shù)字證書身份認證加上口令認證的雙因子身份認證技術����。每個企業(yè)用戶應該申請一張數(shù)字證書����,上網(wǎng)進行賬戶查詢時,網(wǎng)上銀行系統(tǒng)首先驗證該用戶數(shù)字證書是否合法�����,然后將查詢請求和口令一起發(fā)送給業(yè)務前置機�,對口令再次進行認證���。當服務器獲得用戶證書后,還要檢索該證書是否在廢止證書列表之中�����。對于個人用戶�����,可以采用對口令加密的方式進行身份驗證���,不需要申請證書�����,比較方便���。
2、數(shù)據(jù)加密
物流信息在網(wǎng)絡中傳輸時���,通常不是以明文方式而是以密文的方式進行通信傳輸。因為以明文傳輸?shù)男畔?shù)據(jù)�,一旦被他人截獲會輕而易舉地被讀懂���、竊取盜用及篡改,很難保證物流配送活動的機密性���、可靠性和安全性�。下面利用C語言編程實現(xiàn)替換加密方法����。
Caesar(愷撒)密碼是一種最古老的技術,將明文中每個字母替換為字母表中其后面固定數(shù)目位置的字母����。如要傳輸?shù)拿魑氖恰癐amateacher!”,經(jīng)過加密���,密鑰為5����,對方接收到的密文是“Nfrfyjfhmjw!”���,對第三方來說�����,這是毫無意義的一串字符�����,避免了泄密�。合法接收方進行解密,又會得到“Iamateacher!”字符串�����。加密算法代碼如下:#include"string.h"
main()
{inti,ld,newasc;
charmingwen[20],miwen[20],c;
strcpy(mingwen,"Iamateacher!");/*明文*/
ld=strlen(mingwen);
for(i=0;i{c=mingwen[i];
if(c>=''''A''''&&c<=''''Z'''')
{newasc=c+5;/*密鑰為5*/
if(newasc>''''Z'''')newasc=newasc-26;
miwen[i]=newasc;}
elseif(c>=''''a''''&&c<=''''z'''')
{newasc=c+5;
if(newasc>''''z'''')newasc=newasc-26;
miwen[i]=newasc;}
else
miwen[i]=c;
}
for(i=0;i}
數(shù)據(jù)加密后傳輸����,一定程度上保證了信息的安全性,密鑰的保密是很關鍵的���。否則���,網(wǎng)絡攻擊者掌握加密、解密算法���,又得到密鑰���,對合法商戶會造成致命的損失。因此加強對密鑰的管理�,要貫穿于密鑰的整個生存期:密鑰的生成、驗證���、傳遞����、保管���、使用和銷毀�。
電子商務作為網(wǎng)絡時代的一種全新的交易模式�,相對于傳統(tǒng)商務是一場革命。電子商務的優(yōu)勢之一就是能大大簡化業(yè)務流程���,降低企業(yè)運作成本����。而電子商務企業(yè)成本優(yōu)勢的建立和保持必須以可靠和高效的物流運作作為保證���。所以���,加大力度防護物流信息的安全���,大力發(fā)展現(xiàn)代化物流,電子商務才能得到更好的發(fā)展�����。
參考文獻:
[1]曹淑艷.電子商務應用基礎[M].北京:清華大學出版社����,2005.9.
第5篇
關鍵詞:電子商務 信息安全 安全協(xié)議
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2012)11-0190-01
隨著電子商務的發(fā)展,網(wǎng)絡上的信息安全問題受到高度重視���。面對越來越嚴重危害計算機網(wǎng)絡安全的種種威脅�����,僅僅利用物理上和政策上的手段來防止計算機犯罪是很困難的�。那么如何保證整個商務過程中信息的安全性���,使基于Internet的電子交易方式與傳統(tǒng)交易方式一樣安全可靠�����,已經(jīng)成為在電子商務應用中所關注的重要技術問題
1�、電子商務的安全威脅
電子商務活動是在一個開放、虛擬的場所進行�����,容易受到黑客的各種攻擊����,也會由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和惡意破壞�����,給電子商務帶來了極大的威脅�����。電子商務在這樣的環(huán)境中�,時時處處受到安全的威脅,其安全威脅可分為兩大方面:
(1)計算機網(wǎng)絡的潛在安全隱患����;
(2)商務安全中存在的安全威脅。
2�����、電子商務主要的安全要素
電子商務面臨的威脅導致了對電子商務安全的需求?��?偟膩碚f���,電子商務有有效性、機密性(保密性)�、完整性(真實性)、認證性�、不可抵賴性(不可否認性)等幾方面的安全性需求,為了滿足這些需求�,提高電子商務的安全性,網(wǎng)絡和管理技術人員研究和開發(fā)了多種網(wǎng)絡安全技術和協(xié)議���,這些技術和協(xié)議各自有一定的使用范圍����,可以提供電子商務交易活動不同程度的安全保障�。
3、SSL協(xié)議及其安全性分析
3.1 SSL安全傳輸協(xié)議
SSL安全套接字層協(xié)議應用于Internet上進行保密通信的一個中間層安全協(xié)議�����,是目前使用最廣泛的電子商務協(xié)議。它位于TCP/IP層和應用層之間�,對應用層透明,為應用層程序提供一條安全的網(wǎng)絡傳輸通道�。
3.2 SSL記錄協(xié)議
SSL記錄協(xié)議用來對應用層提供的信息進行分組和組合、壓縮和解壓縮����、數(shù)據(jù)認證和加密。利用SSL協(xié)議傳輸?shù)臄?shù)據(jù)都被封裝在SSL記錄協(xié)議定義的SSL記錄中���。記錄由記錄頭和長度不為0的記錄數(shù)據(jù)組成。
3.3 SSL安全性分析
SSL協(xié)議常見的安全問題主要包括ChangeCipherSpec消息丟棄����、對握手協(xié)議的探測攻擊、密鑰交換算法重放攻擊���、版本重放攻擊�、通信業(yè)務流分析攻擊和證書攻擊等
4�����、SET協(xié)議及其安全性分析
4.1 SET安全電子交易協(xié)議
SET是基于Internet的卡基支付�,是授權業(yè)務信息傳輸?shù)陌踩珮藴?���,采用RSA公開密鑰體系對通信雙方進行認證����,利用DES、RC4或任何標準對稱加密方法進行信息的加密傳輸�����,并用Hash算法來鑒別消息真?zhèn)?、有無篡改。
SET協(xié)議規(guī)定了交易各方進行安全交易的具體流程�,協(xié)議本身比較復雜,設計比較嚴格����,安全性高,它能保證信息傳輸?shù)臋C密性���、真實性�、完整性和不可否認性����。這一標準被公認為全球網(wǎng)際網(wǎng)絡的標準�����,其交易形態(tài)將成為未來電子商務的典范����。
4.2 SET協(xié)議的系統(tǒng)結構
SET改變了支付系統(tǒng)中各個參與者之間交互的方式�。在面對面的零售交易或郵購交易中,電子處理過程始于商家或付款銀行���;而在SET交易中�����,電子支付始于持卡人。
SET協(xié)議是一個龐大的協(xié)議系統(tǒng)�,總共由17個子協(xié)議組成。其中主要的子協(xié)議包括:持卡人注冊����、商家注冊、購買請求�����、支付認證、支付截獲等����,SET協(xié)議還有很多可選的輔助子協(xié)議包括:證書狀態(tài)查詢、支付查詢����、授權撤銷、付款撤銷���、信用卡撤銷和出錯消息等
4.3 SET協(xié)議安全性分析
信息機密性����。SET支付環(huán)境中信息的機密性是通過使用混合加密算法加密支付信息而獲得的���。
數(shù)據(jù)完整性�����。SET使用數(shù)字簽名來保證數(shù)據(jù)的完整性�。
身份驗證���。SET使用基于X.509 v3.0的數(shù)字證書�����,通過數(shù)字證書和RSA簽名來達到對持卡人帳戶和商家�、支付網(wǎng)關以及銀行的身份的認證。
不可否認性�。SET協(xié)議中數(shù)字證書的過程也包含了商家和客戶在交易中存在的信息。
5����、SSL協(xié)議與SET協(xié)議的比較分析
支付系統(tǒng)是電子商務的關鍵技術,SET和SSL是兩種重要的通過Internet進行安全支付的協(xié)議����,二者在技術上并沒有多少相似之處。SET是一個多方的報文協(xié)議���,它定義了銀行、商家����、持卡人之間的必須的報文規(guī)范,主要是為了解決用戶�����、商家、銀行之間通過信用卡支付的交易而設計的�����,而SSL只是簡單地在兩方之間建立一條安全連接����。SSL是面向連接的,而SET允許各方之間的報文交換不是實時的����。
第6篇
關鍵詞:電子商務;信息安全���;風險評估���;對策
基金項目:鄭州科技學院大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目:電子商務信息安全風險評估關鍵技術及應用(編號:DCY2019007)
1.引言
電子商務是以互聯(lián)網(wǎng)為基礎,以商城消費者產(chǎn)品物流為構成要素進行的電子商務活動����。當電子商務相關部門或人員在進行項目開發(fā)時,擁有一套信息安全風險評估系統(tǒng)可以幫助其采用科學合理的方法對潛在威脅進行分析并保證經(jīng)濟系統(tǒng)的安全����。所以將信息安全技術與現(xiàn)代化新興技術結合�,將為我們打造一個更加優(yōu)質的網(wǎng)絡環(huán)境����。
2.電子商務系統(tǒng)中存在的信息安全問題及現(xiàn)狀
一般來說,電子商務的信息安全是指在電子商務交易的過程中雙方使用各種技術和法律手段等確保交易不會因為意外����,惡意或者披露這些不利要求而受到損害的信息安全。在21世紀初葉���,我國金融系統(tǒng)中的計算機犯罪率一直在不斷地增加�����,我國金融網(wǎng)絡信息安全形勢非常嚴峻�,需要加強改善�����。下面就電子商務網(wǎng)絡中的信息安全問題做一個簡要介紹���,主要涉及以下幾個方面:
(1)由于編寫的電子商務系統(tǒng)軟件可以使用不同的形式�����,因此在實際應用過程中難以避免的會留下安全漏洞�����。例如�����,網(wǎng)絡操作系統(tǒng)本身會存在一些安全問題����,例如非法訪問I/0����,這些不完全的調(diào)解和混亂的訪問控制會造成數(shù)據(jù)庫安全漏洞,而這些漏洞嚴重影響了電子商務系統(tǒng)的信息安全性.特別是在設開始設計之前就沒有考慮TCP/IP通信協(xié)議的安全性�����,這一切都表明當前的電子商務系統(tǒng)網(wǎng)絡軟件中有一些可以避免或不可避免的安全漏洞����。此外信息共享處理帶來也存在風險����。在信息的傳遞過程中���,需要不斷地對信息源進行加工和重現(xiàn)�����,截取有用信息�����,不可避免會出現(xiàn)信息轉化方面的風險���。尤其是在當下“社交+商務”的模式下,一條消息可能瞬間在社交網(wǎng)站上轉載數(shù)萬次或者更多�����,一旦在信息轉載中出現(xiàn)誤差���,影響非常大����,風險應當給予重視。
(2)隨著網(wǎng)絡技術的廣泛應用����,計算機病毒帶來的問題越來越廣泛�����,壓縮文件�����,電子郵件已經(jīng)成為計算機病毒傳播的主要途徑���,因為這些病毒的種類非常多樣化�����,破壞性極強�,使得計算機病毒的傳播速度大大加快了�����。近年來�,新病毒種類的數(shù)量迅速增加�����,互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介�����。這些病毒可以通過網(wǎng)絡大量傳播任何粗心大意都會造成無法彌補的經(jīng)濟損失���。此外還有信息傳遞過程所帶來的風險。信息是一種重要的資源�����,良好的流動性能實現(xiàn)信息價值的最大化�����,但是在信息的傳遞過程中需要經(jīng)過許多路徑����,而在這過程中往往存在一些不安全因素,給信息安全帶來一定的風險�����。
(3)當前的黑客攻擊,除了計算機病毒的傳播外�,黑容的惡意行為也越來越猖狂。特洛伊木馬使黑容可以使用計算機病毒從而變得更加有目的性����,使得計算機記錄的登錄信息被特洛伊木馬程序惡意篡改���,導致很多重要信息�、文件���,甚至是金錢被盜����。
(4)由人為因素造成的電子商務公司的安全問題�,大部分保密工作是通過員工的操作來進行的,這就需要員工具有很好的保密性�����,責任心和責任感等道德素質����。如果員工的責任心不強����,態(tài)度不正確�����,就容易被別人利用�����,讓無關人員隨意進出房間或向他人泄露機密信息�,可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德�,可能會非法超出授權范圍更改或刪除他人的信息,而且還可以利用所學專業(yè)知識和工作位置來竊取用戶密碼和標識符�����,進行非法出售�����。
3.電子商務信息安全風險評估存在的問題
經(jīng)過大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對信息安全風險評估是當前科研工作中噬待解決的問題����。目前�����,國內(nèi)也有一些關于信息安全風險評估的研究和應用�����,但是這些研究都只是簡單的分析�����,包括常用的具有風險的風險評估工具。評估矩陣�,問卷,風險評估矩陣與問卷方法���,專家系統(tǒng)相結合���。對于更深層次的探究還需進一步努力。此外�����,網(wǎng)絡信息安全風險評估方法常用定量因子分析方法,時間序列模型����,決策樹方法和回歸模型進行。風險評估方法����,定性分析主要包括邏輯分析,Delphi方法����,因子分析方法,歷史比較方法等�����。其中�,定量和定性評估方法相結合,是由模糊層次分析法���,基于D-S證據(jù)理論等的評估方法組成�。同時網(wǎng)絡信息安全風險評估還存在一定問題����,例如隨著網(wǎng)絡的發(fā)展�����,我國從開始的2G邁向4G現(xiàn)在又率先進入5G時代���。其中也出現(xiàn)了各種問題,網(wǎng)民數(shù)量的增加需要迫切提高他們對信息安全的警惕意識�。
3.1欠缺對電子商務信息安全風險評估的認識
當前,許多相關人員對電子商務信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識����,缺少信息安全風險評估經(jīng)驗。因此他們沒有重視信息安全風險評估的重要性�����,其原因如下�����。第一�����,公司或單位的風險評估尚未通過標準檢驗�����,培訓標準�����,信息安全風險評估工作的研究尚未得到系統(tǒng)的相關理論�����,方法和技術工具����,這是由于一些信息安全評估工作相關領導層和工作人員對信息評估風險評估的重要性的認識不足,因此自然而然不將此類風險評估工作包括在當前的信息安全系統(tǒng)框架中�。第二,盡管有許多部門將信息安全工作置于地位重要�����,但受到人力���、物力����,財力等方面的限制,社會制度的制約�,政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風險評估工作無法得到應有的重視。
3.2缺乏信息安全風險評估方面的專業(yè)技術人才
首先�,信息安全風險評估的技術內(nèi)容要求非常高,它要求員工具有很高的技術水平�,現(xiàn)在很多公司都將通用信息用作風險評估技術人員。其次�����,信息安全風險評估是一項集綜合性����,專業(yè)性于一體的工作,不僅涉及公司的所有業(yè)務信息���,也涉及人力����,物力和財力的方方面面���,因此需要各部門之間相互配合,現(xiàn)在大多數(shù)公司僅依靠信息部門�,獨立的參與信息安全風險評估毫無爭議他們要想完成信息安全風險評估工作是非常艱難的�。綜上所述�,培養(yǎng)信息安全風險評估專業(yè)技術人員是今后信息技術方面發(fā)展的方向。
3.3風險評估工具相對缺乏
當前�����,除專家系統(tǒng)外����,其他分析工具相對來說都比較簡易,除此之外還缺乏實用的理論基礎�。此外,這種信息風險評估工具在應用中的發(fā)展呈現(xiàn)的現(xiàn)狀���。表明國內(nèi)和外部失衡���,在中國相對落后?��?梢娊鉀Q信息安全問題的關鍵在于有成熟的風險評估工具����。
4.防范電子商務信息安全及風險的建議
4.1增強電子商務信息安全和風險評估的意識
大多數(shù)信息的傳輸和處理�����,與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務���,人員的個人因素���,管理因素和環(huán)境存在風險。主要包括人員的技術能力����,監(jiān)控管理,安全性�。特別需要做好監(jiān)督審計公司的工作,確保信息安全風險管理融入實踐�,充分發(fā)揮內(nèi)部監(jiān)督作用,促進社會責任認可和實施信息安全風險管理工作�。電子商務公司必須對工人進行必要的信息安全知識教育培訓,了解與之相關的法律法規(guī)�����,做好對客戶關鍵信息的隱秘保護�。不隨意查看和泄露客戶購買信息�。
企業(yè)應該加大力度保障網(wǎng)絡通信操作時信息的機密性和完整性����,加強密鑰管理�,提高應對網(wǎng)絡攻擊能力,采取措施避免越權或濫用����,消除用戶在交易中的風險。在信息安全風險控制中必須由內(nèi)到外地保護內(nèi)部系統(tǒng)環(huán)境����、網(wǎng)絡邊界、骨干網(wǎng)安全����。為網(wǎng)絡信息系統(tǒng)建立完善的管理系統(tǒng),并提供全面的安全保障�����。運用端到端策略���。對于移動電子商務中用戶終端設備種類繁多���,安全環(huán)境復雜難以控制的問題���,必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過人臉識別���、指紋識別等技術有效提高用戶訪問身份鑒別能力�,極大地提高賬戶的安全性���,確保數(shù)據(jù)傳輸?shù)陌踩?,確保交易的真實有效�。
4.2提供專業(yè)的技術培訓,提高專業(yè)人員的技能
認真選擇第三方合作伙伴�,增強信息管理水平,加強績效監(jiān)督管理���。樹立合理的企業(yè)內(nèi)部組織結構和有效資金保障����,培養(yǎng)員工信息安全意識���,創(chuàng)造良好信息安全工作氛圍���,加強信息安全專業(yè)技術人員對信息安全風險評估的意識和能力����,通過大量的實驗發(fā)現(xiàn)可以通過下列方法培訓相關人員:第一�,定期開展信息安全風險評估工作���,將公司員工集合共同學習相關資料以提升他們對信息安全的意識彌補存在的缺陷�����。第二�����,對信息安全部門的員工進行專門的技術培訓和指導����,可通過模擬分析來提升技術�����;第三�����,公司應增加對技術資源的投入,聘請經(jīng)驗豐富的專家學者組成第三方評估機構���,引進風險評估設備���。以備不時之需;第四�����,公司應對技術人員進行標準化認證培訓���,執(zhí)行職業(yè)資格準入制度���,提高技術人員的門檻,納入信息安全風險評估���,技術人員的全面質量保證評估�。以上這些方法只是單純就培訓方式對于具體的實施以及可能遇到的問題依然需要研究���。
4.3提升對信息安全防范技術的研究和應用
為移動數(shù)據(jù)庫存儲的數(shù)據(jù)進行加密以防止泄漏�,采用不同的加密方法來保護數(shù)據(jù)安全,進行身份認證����,數(shù)據(jù)恢復,數(shù)據(jù)加密存儲����,物理隔離�,防火墻,網(wǎng)絡����,網(wǎng)絡設備,網(wǎng)絡入侵檢測����,網(wǎng)絡漏洞掃描,網(wǎng)絡設備備份�,網(wǎng)絡管理,專線�,實現(xiàn)網(wǎng)絡管理等一系列技術手段,從而提高數(shù)據(jù)庫的安全性�����。同時提高認識到物理設施的重要性,定期維護物理設施����。為了監(jiān)測信息安全和實施評估系統(tǒng),我們要保證基本硬件和芯片的獨立在建立獨立于信息安全的評估體系中���,國內(nèi)外統(tǒng)一組織重要的信息安全技術研究�,建立創(chuàng)新的電子商務信息安全與評估體系����。
第7篇
[關鍵詞] 電子商務 信息安全 安全技術
伴隨經(jīng)濟的迅猛發(fā)展,電子商務成為當今世界商務活動的新模式���。要在國際競爭中贏得優(yōu)勢���,必須保證電子商務中信息交流的安全。
一����、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠���,攻擊者通過互聯(lián)網(wǎng)�、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關和路由器上截獲數(shù)據(jù),獲取機密信息或通過對信息流量�����、流向���、通信頻度和長度分析�����,推測出有用信息�。2.信息的篡改:當攻擊者熟悉網(wǎng)絡信息格式后���,通過技術手段對網(wǎng)絡傳輸信息中途修改并發(fā)往目的地,破壞信息完整性����。3.信息假冒:當攻擊者掌握網(wǎng)絡信息數(shù)據(jù)規(guī)律或解密商務信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶�����。4.交易抵賴:交易抵賴包括多方面�,如發(fā)信者事后否認曾發(fā)送信息���、收信者事后否認曾收到消息、購買者做了定貨單不承認等���。
二�、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性�、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業(yè)機密是電子商務推廣應用的重要保障���。由于建立在開放網(wǎng)絡環(huán)境中�����,要預防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生�。2.信息完整性:貿(mào)易各方信息的完整性是電子商務應用的基礎����,影響到交易和經(jīng)營策略。要保證網(wǎng)絡上傳輸?shù)男畔⒉槐淮鄹?,預防對信息隨意生成、修改和刪除�,防止數(shù)據(jù)傳送中信息的失和重復并保證信息傳送次序的統(tǒng)一。3.信息有效性:保證信息有效性是開展電子商務前提,關系到企業(yè)或國家的經(jīng)濟利益�。對網(wǎng)絡故障、應用程序錯誤�、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿(mào)易數(shù)據(jù)在確定時刻和地點有效�����。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務順利進行的關鍵����。為防止計算機失效、程序錯誤����、系統(tǒng)軟件錯誤等威脅,通過控制與預防確保系統(tǒng)安全可靠���。
三、信息安全技術
1.防火墻技術�����。防火墻在網(wǎng)絡間建立安全屏障���,根據(jù)指定策略對數(shù)據(jù)過濾�����、分析和審計���,并對各種攻擊提供防范����。安全策略有兩條:一是“凡是未被準許就是禁止”�����。防火墻先封閉所有信息流���,再審查要求通過信息���,符合條件就通過;二是“凡是未被禁止就是允許”�����。防火墻先轉發(fā)所有信息���,然后逐項剔除有害內(nèi)容�����。
防火墻技術主要有:(1)包過濾技術:在網(wǎng)絡層根據(jù)系統(tǒng)設定的安全策略決定是否讓數(shù)據(jù)包通過���,核心是安全策略即過濾算法設計�。(2)服務技術:提供應用層服務控制���,起到外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請服務時中間轉接作用���。服務還用于實施較強數(shù)據(jù)流監(jiān)控、過濾���、記錄等功能�。(3)狀態(tài)監(jiān)控技術:在網(wǎng)絡層完成所有必要的包過濾與網(wǎng)絡服務防火墻功能����。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻�,所用主機稱為堡壘主機,提供服務����。(5)審計技術:通過對網(wǎng)絡上發(fā)生的訪問進程記錄和產(chǎn)生日志���,對日志統(tǒng)計分析,對資源使用情況分析����,對異常現(xiàn)象跟蹤監(jiān)視�����。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮�����,再通過外部網(wǎng)絡傳輸?shù)侥康亩私鈮嚎s和解密�。
2.加密技術。為保證數(shù)據(jù)和交易安全���,確認交易雙方的真實身份�,電子商務采用加密技術����。數(shù)據(jù)加密是最可靠的安全保障形式和主動安全防范的策略����。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法����。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對加密信息解密�����。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方�����,保證傳輸信息的保密和安全����。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋���,有固定長度且不同明文摘要成密文結果不同�����,而同樣明文摘要必定一致����。這串摘要成為驗證明文是否真身的“指紋”����。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結合�����。在書面文件上簽名是確認文件的手段���。簽名作用有兩點:一是因為自己簽名難以否認����,從而確認文件已簽署�����;二是因為簽名不易仿冒�,從而確定文件為真。(4)數(shù)字時間戳: 電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內(nèi)容�����,數(shù)字時間戳服務能提供電子文件發(fā)表時間的安全保護。
3.認證技術���。安全認證的作用是進行信息認證�����。信息認證是確認信息發(fā)送者的身份���,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改����。(1)數(shù)字證書:也叫數(shù)字憑證、數(shù)字標識�����,用電子手段證實用戶身份及對網(wǎng)絡資源的訪問權限���,可控制被查看的數(shù)據(jù)庫�����,提高總體保密性�����。交易支付過程中�,參與各方必須利用認證中心簽發(fā)的數(shù)字證書證明身份�。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數(shù)字時間戳服務還是數(shù)字證書發(fā)放����,都需要有權威性和公正性的第三方完成。CA是承擔網(wǎng)上安全交易認證服務���、簽發(fā)數(shù)字證書并確認用戶身份的企業(yè)機構����,受理數(shù)字證書的申請��、簽發(fā)及對數(shù)字證書管理���。
4.防病毒技術�����。(1)預防病毒技術�����,通過自身常駐系統(tǒng)內(nèi)存�����,優(yōu)先獲取系統(tǒng)控制權�����,監(jiān)視系統(tǒng)中是否有病毒�����,阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)破壞���。(2)檢測病毒技術����,通過對計算機病毒特征進行判斷的偵測技術���,如自身校驗�����、關鍵字���、文件長度變化��。(3)消除病毒技術����,通過對計算機病毒分析�����,開發(fā)出具有殺除病毒程序并恢復原文件的軟件��。另外要認真執(zhí)行病毒定期清理制度�����,可以清除處于潛伏期的病毒����,防止病毒突然爆發(fā)�����,使計算機始終處于良好工作狀態(tài)。
四����、結語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術����,提高電子商務系統(tǒng)的安全性和可靠性。但電子商務的安全運行���,僅從技術角度防范遠遠不夠���,還必須完善電子商務立法,以規(guī)范存在的各類問題����,引導和促進我國電子商務快速健康發(fā)展。
參考文獻:
[1]譚衛(wèi):電子商務中安全技術的研究.哈爾濱工業(yè)大學,2006
第8篇
論文摘要:電子商務是基于網(wǎng)絡盼新興商務模式,有效的網(wǎng)絡信息安全保障是電子商務健康發(fā)展的前提����。本文著重分析了電子商務活動申存在的網(wǎng)絡信息安全問題,提出保障電子商務信息安全的技術對策、管理策略和構建網(wǎng)絡安全體系結構等措施,促進我國電子商務可持續(xù)發(fā)展��。
隨著互聯(lián)網(wǎng)技術的蓬勃發(fā)展,基于網(wǎng)絡和多媒體技術的電子商務應運而生并迅速發(fā)展。所謂電子商務通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動中,在因特網(wǎng)開放的網(wǎng)絡環(huán)境下,基于瀏覽器/服務器應用方式,買賣雙方不謀面地進行各種商貿(mào)活動,實現(xiàn)消費者的網(wǎng)購物��、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務活動和相關的綜合眼務活動的一種新型的商業(yè)運營模式�����。信息技術和計算機網(wǎng)絡的迅猛發(fā)展使電子商務得到了極大的推廣,然而由于互聯(lián)網(wǎng)的開放性,網(wǎng)絡安全問題日益成為制約電予商務發(fā)展的一個關鍵性問題�����。
一��、電子商務網(wǎng)絡信息安全存在的問題
電子商務的前提是信息的安全性保障,信息安全性的含義主要是信息的完整性����、可用性�����、保密和可靠��。因此電商務活動中的信息安全問題豐要體現(xiàn)在以下兩個方面:
1 網(wǎng)絡信息安全方面
(1)安全協(xié)議問題�����。目前安全協(xié)議還沒有全球性的標準和規(guī)范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊�����。
(3)防病毒問題��?����;ヂ?lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡作為自己的傳播途徑,在電子商務領域如何有效防范病毒也是一個十分緊迫的問題��。
(4)服務器的安全問題��。裝有大量與電子商務有關的軟件和商戶信息的系統(tǒng)服務器是電予商務的核心,所以服務器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會非常嚴重�����。
2.電子商務交易方面
(1)身份的不確定問題���。由于電子商務的實現(xiàn)需要借助于虛擬的網(wǎng)絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性�����。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易��。
(2)交易的抵賴問題���。電子商務的交易應該同傳統(tǒng)的交易一樣具有不可抵賴����。有些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任����。
(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益��。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正��。
二 電子商務中的網(wǎng)絡信息安全對策
1 電子商務網(wǎng)絡安全的技術對策
(1)應用數(shù)字簽名��。數(shù)字簽名是用來保證信息傳輸過程中信皂的完整和提供信包發(fā)送者身份的認證,應用數(shù)字簽名可在電子商務中安全��、方便地實現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩?���、完?身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決��。
(2)配置防火墻����。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡,防止他們更改���、拷貝、毀壞你的重要信息���。它能控制網(wǎng)絡內(nèi)外的信息交流,提供接入控制和審查跟蹤,是一一種訪問控制機制���。在邏輯,防火墻是一個分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和Intemet之間的任何活動,保證內(nèi)部網(wǎng)絡的安全����。
(3)應用加密技術。密鑰加密技術的密碼體制分為對稱密鑰體制和公用密鑰體制兩種�����。相應地,對數(shù)據(jù)加密的技術分為對稱加密和非對稱加密兩類����。根據(jù)電子商務系統(tǒng)的特點,全面加密保護應包括對遠程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實施加密保護。一般來說,應根據(jù)管理級別所對應的數(shù)據(jù)保密要求進行部分加密而非全程加密�����。
2、電子商務網(wǎng)絡安全的管理策略
(1)建立保密制度���。涉及信息保密���、口令或密碼保密、通信地址保密����、日常管理和系統(tǒng)運行狀況保密、工作日記保密等各個方面��。對各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級別,并制定出相應的保密措施��。
(2)建立系統(tǒng)維護制度��。該制度是電子商務網(wǎng)絡系統(tǒng)能否保持長期安全���、穩(wěn)定運行的基本保證,應由專職網(wǎng)絡管理技術人員承擔,為安全起見,其他任何人不得介入,主要做好硬件系統(tǒng)日常管理維護和軟件系統(tǒng)日常管理維護兩方面的工作�����。
(3)建立病毒防范制度。病毒在網(wǎng)絡環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時升級防病毒軟件版本�����、及時通報病毒入侵信息等工作。此外,還可將剛絡系統(tǒng)中易感染病毒的文什屬性����、權限加以限制,斷絕病毒入侵的渠道,從而達到預防的目的。
(4)建立數(shù)據(jù)備份和恢復的保障制度����。作為一個成功的電子商務系統(tǒng),應引對信息安全至少提供三個層而的安全保護措施:一是數(shù)據(jù)存操作系統(tǒng)內(nèi)部或者盤陣中實現(xiàn)快照、鏡像;二是對數(shù)據(jù)庫及郵件服務器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動備份;三是對重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以上保護措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險���。
三 電子商務的網(wǎng)絡安全體系結構
電子商務的網(wǎng)絡信息安全不僅與技術有關,更與社會因素�����、法制環(huán)境等多方面因素有關��。故應對電子商務的網(wǎng)絡安全體系結構劃分如下:1.電子商務系統(tǒng)硬件安全��。主要是指保護電子商務系統(tǒng)所涉及計算機硬件的安全性,保證其可靠眭和為系統(tǒng)提供基礎性作用的安全機制���。2.電子商務系統(tǒng)軟件安全。主要是指保證交易記錄及相關數(shù)據(jù)不被篡改��、破壞與非法復制,系統(tǒng)軟件安全的目標是使系統(tǒng)中信息的處理和傳輸滿足整個系統(tǒng)安全策略需求。3.電子商務系統(tǒng)運行安全��。主要指滿足系統(tǒng)能夠可靠����、穩(wěn)定、持續(xù)和正常的運行���。4.電商務網(wǎng)絡安全的立法保障����。結合我閣實際,借鑒國外先進網(wǎng)絡信息安全立法�����、執(zhí)法經(jīng)驗,完善現(xiàn)行的網(wǎng)絡安全法律體系����。
