引論：我們為您整理了1篇電子商務信息安全研究范文，供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源，期望它們能夠激發您的創作靈感，讓您的文章更具深度。

電子商務信息安全研究:電子商務信息安全技術研究

[摘要] 文章主要從技術角度闡述了電子商務信息安全問題,詳細說明了電子商務信息存在的問題,并提出了相應的技術解決方案。

[關鍵詞] 電子商務信息安全數據加密網絡安全

一、電子商務信息安全問題

由于Internet本身的開放性,使電子商務系統面臨著各種各樣的安全威脅。目前,電子商務主要存在的安全隱患有以下幾個方面。

1.身份冒充問題

攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,進行信息欺詐與信息破壞,從而獲得非法利益。主要表現有:冒充他人身份;冒充他人消費、栽贓;冒充主機欺騙合法主機及合法用戶等。

2.網絡信息安全問題

主要表現在攻擊者在網絡的傳輸信道上,通過物理或邏輯的手段,進行信息截獲、篡改、刪除、插入。截獲,攻擊者可能通過分析網絡物理線路傳輸時的各種特征,截獲機密信息或有用信息,如消費者的賬號、密碼等。篡改,即改變信息流的次序,更改信息的內容;刪除,即刪除某個信息或信息的某些部分;插入,即在信息中插入一些信息,讓收方讀不懂或接受錯誤的信息。

3.拒絕服務問題

攻擊者使合法接入的信息、業務或其他資源受阻。主要表現為散布虛假資訊,擾亂正常的資訊通道。包括:虛開網站和商店,給用戶發電子郵件,收訂貨單;偽造大量用戶,發電子郵件,窮盡商家資源,使合法用戶不能正常訪問網絡資源,使有嚴格時間要求的服務不能及時得到響應。

4.交易雙方抵賴問題

某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。如:者事后否認曾經發送過某條信息或內容;收信者事后否認曾經收到過某條信息或內容;購買者做了訂貨單不承認;商家賣出的商品質量差但不承認原有的交易。在網絡世界里誰為交易雙方的糾紛進行公證、仲裁。

5.計算機系統安全問題

計算機系統是進行電子商務的基本設備,如果不注意安全問題,它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞,數據丟失,信息泄露等問題。計算機系統也經常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時,計算機系統存在工作人員管理的問題,如果職責不清,權限不明同樣會影響計算機系統的安全。

二、電子商務安全機制

1.加密和隱藏機制

加密使信息改變,攻擊者無法讀懂信息的內容從而保護信息;而隱藏則是將有用的信息隱藏在其他信息中,使攻擊者無法發現,不僅實現了信息的保密,也保護了通信本身。

2.認證機制

網絡安全的基本機制,網絡設備之間應互相認證對方身份,以保障正確的操作權力賦予和數據的存取控制。網絡也必須認證用戶的身份,以保障正確的用戶進行正確的操作并進行正確的審計。

3.審計機制

審計是防止內部犯罪和事故后調查取證的基礎,通過對一些重要的事件進行記錄,從而在系統發現錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。

4.完整性保護機制

用于防止非法篡改,利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務,當信息源的完整性可以被驗證卻無法模仿時,收到信息的一方可以認定信息的發送者,數字簽名就可以提供這種手段。

5.權力控制和存取控制機制

主機系統必備的安全手段,系統根據正確的認證,賦予某用戶適當的操作權力,使其不能進行越權的操作。該機制一般采用角色管理辦法,針對系統需要定義各種角色,如經理、會計等,然后對他們賦予不同的執行權利。

6.業務填充機制

在業務閑時發送無用的隨機數據,增加攻擊者通過通信流量獲得信息的困難。同時,也增加了密碼通信的破譯難度。發送的隨機數據應具有良好模擬性能,能夠以假亂真。

三、電子商務安全關鍵技術

安全問題是電子商務的核心,為了滿足安全服務方面的要求,除了網絡本身運行的安全外,電子商務系統還必須利用各種安全技術保障整個電子商務過程的安全與完整,并實現交易的防抵賴性等,綜合起來主要有以下幾種技術。

1.防火墻技術

現有的防火墻技術包括兩大類:數據包過濾和服務技術。其中最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數據包的頭,以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾,所以可以有效地避免對其進行的有意或無意的攻擊,從而保障了專用私有網的安全。將包過濾防火墻與服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于:防火墻技術只能防止經由防火墻的攻擊,不能防止網絡內部用戶對于網絡的攻擊;防火墻不能保障數據的秘密性,也不能保障網絡不受病毒的攻擊,它只能有效地保護企業內部網絡不受主動攻擊和入侵。

2.虛擬專網技術(VPN)

VPN的實現過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。VPN具投資小、易管理、適應性強等優點。VPN可幫助遠程用戶、公司分支機構、商業伙伴及供應商與公司的內部網之間建立可信的安全連接,并保障數據的安全傳輸,以此達到在公共的Internet上或企業局域網之間實現的電子交易的目的。

3.數據加密技術

加密技術是保障電子商務系統安全所采用的最基本的安全措施,它用于滿足電子商務對保密性的需求。加密技術分為常規密鑰密碼體系和公開密鑰密碼體系兩大類。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發生私有密鑰泄露,可通過常規密鑰密碼體系的方法加密機密信息,并隨報文發送報文摘要和報文散列值,以保障報文的機密性和完整性。目前常用的常規密鑰密碼體系的算法有:數據加密標準DES、三重DES、國際數據加密算法IDEA等,其中DES使用最普遍,被ISO采用為數據加密的標準。在公開密鑰密碼體系中,加密密鑰是公開信息,而解密密鑰是需要保護的,加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有

:基于數論中大數分解的RSA體系、基于NP理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中,常規密鑰密碼體系的特點是加密速度快、效率高,被廣泛用于大量數據的加密,但該方法的致命缺點是密鑰的傳輸易被截獲,難以安全管理大量的密鑰,因此大范圍應用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足,保密性能也優于常規密鑰密碼體系,但公開密鑰密碼體系復雜,加密速度不夠理想。目前電子商務實際運用中常將兩者結合使用。

4.安全認證技術

安全認證技術主要有:(1)數字摘要技術,可以驗證通過網絡傳輸收到的明文是否被篡改,從而保障數據的完整性和有效性。(2)數字簽名技術,能夠實現對原始報文的鑒別和不可否認性,同時還能阻止偽造簽名。(3)數字時間戳技術,用于提供電子文件發表時間的安全保護。(4)數字憑證技術,又稱為數字證書,負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。(5)認證中心,負責審核用戶的真實身份并對此提供證明,而不介入具體的認證過程,從而緩解了可信第三方的系統瓶頸問題,而且只須管理每個用戶的一個公開密鑰,大大降低了密鑰管理的復雜性,這些優點使得非對稱密鑰認證系統可用于用戶眾多的大規模網絡系統。(6)智能卡技術,它不但提供讀寫數據和存儲數據的能力,而且還具有對數據進行處理的能力,可以實現對數據的加密和解密,能進行數字簽名和驗證數字簽名,其存儲器部分具有外部不可讀特性。采用智能卡,可使身份識別更有效、安全,但它僅僅為身份識別提供一個硬件基礎,如果要使身份認證更安全,還需要與安全協議的配合。

5.電子商務安全協議

不同交易協議的復雜性、開銷、安全性各不相同,同時不同的應用環境對協議目標的要求也不盡相同。目前比較成熟的協議有:(1)Netbill協議,是由J.D.Tygar等設計和開發的關于數字商品的電子商務協議,該協議假定了一個可信賴的第三方,將商品的傳送和支付鏈接到一個原子事務中。(2)匿名原子交易協議,由J.D.Tygar首次提出,具有匿名性和原子性,對著名的數字現金協議進行了補充和修改,改進了傳統的分布式系統中常用的兩階段提交,引入了除客戶、商家和銀行之外的獨立第四方一交易日志(Transaction log)以取代兩階段提交協議中的協調者(Coordinator)。(3)安全電子交易協議SET,由VISA公司和MasterCard公司聯合開發設計。SET用于劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系,它可以對交易各方進行認證,防止商家欺詐。SET協議開銷較大,客戶、商家、銀行都要安裝相應軟件。(4)安全套接字層協議SSL,是目前使用最廣泛的電子商務協議,它由Netscape公司于1996年設計開發。它位于運輸層和應用層之間,能很好地封裝應用層數據,不用改變位于應用層的應用程序,對用戶透明。然而,SSL并不專為支持電子商務而設計,只支持雙方認證,只能保障傳送信息傳送過程中不因被截而泄密,不能防止商家利用獲取的信用卡號進行欺詐。(5)JEPI(Joint Electronic Payment Initiative),是為了解決眾多協議間的不兼容性而提出來的,是現有HTTP協議的擴展,在普遍HTTP協議之上增加了PEP(Protocol Extension Protocol)和UPP(Universal Payment Preamble)兩層結構,其目的不是提出一種新的電子支付手段,而是在允許多種支付系統并存的情況下,幫助商家和顧客雙方選取一個合適的支付系統。

四、結束語

信息安全是電子商務發展的基礎,隨著電子商務的發展,通過各種網絡的交易手段也會更加多樣化,安全問題變得更加突出。為了解決好這個問題,必須有安全技術作保障。目前,防火墻技術、網絡掃描技術,數據加密技術和計算系統安全技術發揮著重要的作用,此外,需要完善法律制度、管理制度和誠信制度,保障電子商務信息安全,加快電子商務的發展。

電子商務信息安全研究:電子商務信息安全風險與防范策略研究

摘要:電子商務的廣泛應用,凸顯了其應用環境不夠完善,相應的法規、標準、技術都存在較大問題,通過電子商務信息安全方案的問題,著重探討了中國電子商務發展的防范措施。

關鍵詞:電子商務; 信息安全;運行環境;黑客;防火墻

電子商務在網絡經濟發展日益迅猛的當下,應用越來越廣泛,這種基于Internet進行的各種商務活動模式以其特有的開放性讓商務活動相比較以往更加高效快捷。In-ternet 是一個開放的、全球性的、無控制機構的網絡,計算機網絡自身的特點決定了網絡不安全,網絡服務一般都是通過各種各樣的協議完成的,因此網絡協議的安全性是網絡安全的重要方面,Internet 的數據傳輸是基于 TCP/IP操作系統來支持的,TCP/IP 協議本身存在著一定的缺陷。

1電子商務所面臨的信息安全威脅

1.1 安全環境惡化

由于在計算機及網絡技術方面發展較為遲緩,我國在很多硬件核心設備方面依然以進口采購為主要渠道,不能自主生產也意味著不能自主控制,除了生產技術、維護技術也相應依靠國外引進,這也就讓國內的電子商務無法看到眼前的威脅以及自身軟件的應付能力。

1.2平臺的自然物理威脅

由于電子商務通過網絡傳輸進行,因此諸如電磁輻射干擾以及網絡設備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預測,而這些威脅將直接影響信息安全。此外,人為破壞商務系統硬件,篡改刪除信息內容等行為,也會給企業造成損失。

1.3黑客入侵

在諸多威脅中,病毒是最不可控制的,其主要作用是損壞計算機文件,且具有繁殖功能。配合越來越便捷的網絡環境,計算機病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性,本地計算機所記錄的登錄信息都會被木馬程序篡改,從而造成信息之外的文件和資金遭竊。

2電子商務信息安全的防范處理方法

2.1針對病毒的技術

作為電子商務安全的較大威脅,對于計算機病毒的防范是重中之重。對于病毒,處理態度應該以預防為主,查殺為輔。因為病毒的預防工作在技術層面上比查殺要更為簡單。多種預防措施的并行應用很重要,比如對全新計算機硬件、軟件進行的檢測;利用病毒查殺軟件對文件進行實時的掃描;定期進行相關數據備份;服務器啟動采取硬盤啟動;相應網絡目錄和文件設置相應的訪問權限等等。同時在病毒感染時保障文件的及時隔離。在計算機系統感染病毒的情況下,及時時間清除病毒文件并及時恢復系統。

2.2防火墻應用

防火墻主要是用來隔離內部網和外部網,對內部網的應用系統加以保護。目前的防火墻分為兩大類:一類是簡單的包過濾技術,它是在網絡層對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址、所用的 TCP 端口和 TCP 鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和服務器,可針對特別的網絡應用服務協議及數據過濾協議,并且能夠對數據包分析并形成相關的報告

2.3數據加密技術的引入

加密技術是保障電子商務安全采用的主要安全措施。加密過程就是根據一定的算法,將可理解的數據(明文)與一串數字(密鑰)相結合,從而產生不可理解的密文的過程,主要加密技術是:對稱加密技術和非對稱加密技術。

2.4認證系統

網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。傳統的對稱密鑰算法具有加密強度高、運算速度快的優點,但密鑰的傳遞與管理問題限制了它的應用。為解決此問題,20 世紀 70 年代密碼界出現了公開密鑰算法,該算法使用一對密鑰即一個私鑰和一個公鑰,其對應關系是的,公鑰對外公開,私鑰個人秘密保存。一般用公鑰來進行加密,用私鑰來進行簽名;同時私鑰用來解密,公鑰用來驗證簽名。

2.5其他注意事項

(1)機密性是指信息在存儲或傳輸過程中不被他人竊取或泄漏,滿足電子商務交易中信息保密性的安全需求,避免敏感信息泄漏的威脅。傳統的紙面貿易都是通過郵寄封裝的信件或通過的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,維護商業機密是電子商務推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。

(2)商務信息的完整性,只讀特性以及修改授權問題是電子商務信息需要攻克的一大難關。信息在傳輸過程中必須保持原內容,不能因技術、環境以及刻意原因而輕易被更改。

(3)交易誠信問題也存在于隔空交易當中,電子商務信息在傳輸當中,保障傳輸速度和內容真實的情況下,交易方不能對已完成的交易操作產生反悔,一旦因商務平臺外的問題而取消或質疑交易操作,對方的利益將蒙受損失。

3結語

要想保障電子商務的信息安全,需要對計算機硬件、網絡訪問以及被訪問、文件輸出和接收,以及電子商務平臺等多環節進行的控制和監測。在此基礎上,不但要開發出有效網絡安全軟件并自主掌控核心技術,也要相關的安全法律法規和物理安全機制相配合,并在技術層面上加大對相關科研機構和科研氛圍的投入,才能保障電子商務保持現有的發展速度,并更加更加健康的應用到我們的企業商務活動中。

電子商務信息安全研究:電子商務信息安全研究論文

【摘要】電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施,完善電子商務發展的內外部環境,促進我國電子商務可持續發展。

【關鍵詞】電子商務;信息安全;信息技術

電子商務概念源于英文ElectronicCommerce,簡寫EC。美國《商業周刊》認為,Internet已經成為"有史以來最激動人心的生意場"。電子商務介入世界經濟活動并成為其中主角是必然的發展趨勢。據統計1998年全球電子商務交易額為1020億美元,2003年電子商務交易額達到1.3萬億美元,約占世界貿易總額的1/4,到2005年將達到2～3萬億美元。由于大量的信息在網上傳遞,大量的資金在網上劃撥流動,這就要求網上信息必須具有高度的性和的保密性。但是出于各種目的的網絡入侵和攻擊也越來越頻繁,脆弱的網絡和不成熟的電子商務增強了人們的防范心理。從這點上來看,信息安全問題是保障電子商務的生命線。

1、電子商務信息的安全要素

1.1機密性

傳統的貿易大多是通過書信或者的通信渠道來發送商業文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務是在開放的網絡環境下進行的,因此要預防非法的信息存取和信息在傳輸過程中被非法竊取,所以保障電子商務信息的機密性就變得非常重要。

1.2完整性

電子商務極大地簡化了傳統貿易過程,減少了認為的干預,同時也伴隨著貿易各方商業信息的完整、同一問題。由于數據錄入時合法或非法的行為,可能導致貿易數據的差異。信息在傳輸的過程中也有可能造成信息的丟失、重復或次序的差異。因此要預防對信息的各種非法操作,保障數據在傳送的過程中完整性。

1.3認證性

網絡環境是一個虛擬的環境,而電子商務就是在這個虛擬平臺上進行的,貿易雙方一般都不見面,需要一些技術和策略來進行身份確認。當個人或實體聲稱身份時,電子商務服務需要提供一種方式來進行身份認證。

1.4有效性

在交易的過程中貿易雙方需要確定很多信息,電子商務以電子形式取代了紙張來確認這此信息,保障謝謝信息的有效性是開展電子商務的前提。因此要對網絡故障、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保障貿易數據在確定的時刻和地點是有效的。

2、電子商務安全中存在的問題

電子商務是實現整個貿易過程中各階段貿易活動的電子化。公眾是電子商務的對象,信息技術是實現電子商務的基礎,電子商務實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和性。因此電子商務活動中的信息安全問題主要體現在以下幾個方面。

2.1計算機網絡的安全

2.1.1安全協議問題

隨著經濟和信息全球化的時代到來,但安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

2.1.2信息的安全問題

非法用戶在網絡的傳輸上,通過不正當手段,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網絡數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網絡數據包再次發送,惡意攻擊對方的網絡硬件和軟件。

2.1.3防病毒問題

電腦病毒問世十多年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。

2.1.4服務器的安全問題。

電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數據庫里有企業的一些保密數據,如價格、成本等,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果也是非常嚴重的。目前服務器的安全問題尚無有效措施予以阻止。主要表現在:非法用戶向網絡或主機發送大量非法或無效的請求,使其消耗可用資源卻無法繼續提供正常的網絡服務,利用操作系統、軟件、網絡協議、網絡服務等的安全漏洞,通過網站發送特制的數據請求,使網絡應用服務器崩潰而停止服務。

2.2電子商務交易的安全

2.2.1身份的不確定問題

由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段竊取合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從中獲得非法收入。主要表現有:冒充他人身份;冒充他人消費、栽贓、冒充主機欺騙合法主機及合法用戶等。

2.2.2交易的抵賴問題

電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。如自己應承擔的責任如:者事后否認曾經發送過某條信息或內容;收信者事后否認曾經收到過某條信息或內容;購買者做了訂貨單不承認,商家賣出的商品質量差但不承認原有的交易。在網絡世界為交易雙方的糾紛進行公證、仲裁。

2.2.3交易的修改問題

交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保障商務交易的嚴肅和公正。

2.3其他方面的安全

電子商務安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題:網絡交易糾紛的仲裁、網絡交易契約等問題,急需為電子商務提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅。

3、保障電子商務信息安全措施

3.1數據加密策略

加密技術是電子商務的最基本措施,最初主要用與保障數據在存儲和傳輸過程中的保密性。隨著電子商務的發展,對數據完整性以及身份鑒定技術提出了新的要求,數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。加密技術是一種主動的信息安全防范策略,利用一定的加密算法.將明文轉換成毫無意義的密文。阻止非法用戶理解原始數據,從而確保數據的保密性。

比較廣泛使用的加密技術有兩種:一是對稱密鑰加密體制,一是非對稱密鑰加密體制。它們的區別在于密鑰的類型不同。

3.1.1對稱密鑰加密體制

對稱密鑰加密,又稱私鑰加密(SecretKeyEncryption),即數據加密和解密采用的都是同一個密鑰,因而其安全性依賴于所持有密鑰的安全性,其較大的優點就是速度快,適合于對大數據量進行加密,但其較大的缺點是在大量用戶的情況下密鑰答理復雜,而且無法完成身份認證等功能,不便于應用于網絡開放的環境中。

3.1.2非對稱密鑰加密體制

非對稱密鑰加密體制,又稱公鑰加密(PublicKeyEncryp2tion),數據加密和解密采用不同的密鑰,需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分解為一對。這對鑰中的在何一把都可作為公開密鑰,加密密鑰,通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數據的接受者掌握。

利用公鑰體系可以方便地實現對用戶的身份認證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進行解密,如果能夠解開,說明信息確實為該用戶所發送,這樣就方便地實現了對信息發送方身份的鑒別和認證。

通常在實際應用中將公鑰密碼體系和數字簽名算法結合使用.在保障數據傳輸完整性的同時完成對用戶的身份認證。

3.2防火墻技術

現有的防火墻技術包括兩大類:數據包過濾和服務技術。其中,最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數據包的頭,以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾,所以可以有效地避兔對其進行的有意或無意的攻擊,從而保障了專用私有網的安全。將包過濾防火墻與服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于:(1)防火墻技術只能防止經由防火墻的攻擊,不能防止網絡內部用戶對于網絡的攻擊。(2)防火墻不能保障數據的秘密性,也不能保障網絡不受病毒的攻擊,它只能有效地保護企業內部網絡不受主動攻擊和入侵。

3.3身份驗證技術

3.3.1認證系統

網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發機構叫做CertificateAuthority,通常簡稱為CA。要建立安全的電子商務系統,首先必須建立一個穩固、健全的CA,否則,一切網上的交易都沒有安全保障。

3.3.2SSL協議

SSL協議(SecureSocket,Layer,安全套接層)主要目的是解決TCP/IP協議不能確認用戶身份的問題,在Socket上使用非對稱的加密技術,以保障網絡通信服務的安全性。SSL協議易于實現。SSL協議還是最值得信賴的協議。但是由于SSL協議當初并不是為支持電子商務而設計的,所以在電子商務系統的應用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方的安全傳輸和信任關系。

3.3.3SET協議

SET(SecureElectronicTransaction)安全電子交易協議是用于Internet上的以信用卡為基礎的電子支付系統協議。主要應用于B/C模式中保障支付信息的安全性。SET協議提供對消費者、商戶和銀行的認證,協議本身比較復雜,設計比較嚴格,安全性高,確保電子交易的機密性、數據完整性、身份的合法性和抗否認性,特別是保障了不會將持卡人的信用卡號泄露給商戶。其核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。它的交易規范成為了未來電子商務發展的方向。

3.4保障電子商務信息安全的環境性措施

目前,基于Internet的電子商務應用還不成熟,許多內外部環境還不夠完善,相應的法律、法規,相關的標準還都沒有建立,跨部門、跨地區的協調存在較大問題。

3.4.1構造我國完善的電子商務體系

積極參與國際合作,融合國際電子商務框架,構造適合中國國情的電子商務體系。作為一個主權國家,為了維護國家的利益和經濟安全,在電子商務相關技術方面注重自主知識產權技術的開發,不能全部依賴進口。因此,必須加大投資力度,重點支持電子商務技術的研發工作。

3.4.2加強法律法規建設

針對利用信息高科技和信息系統等新型犯罪,政府部門應盡快組織力量,結合電子商務的客觀需要,對現有的與電子商務相關的法律法規,利用法律與犯罪作斗爭是人類歷來的做法。如:《中華人民共和國刑法》、《全國人大常委會關于互聯網安全的決定》、《合同法》、《著作權法》等進行修改。在這些法律中,可以適當增加對網絡犯罪處罰的條款,增加對網絡作品著作權保護的條款;對電子商務發展中急需解決的有關問題,如:在電子支付、稅收管理,安全認證、網絡與信息安全、知識產權保護、消費者權益保護等可由相關主管部門先制定部門規章,必要時,由國務院行政法規,再按程序上升為法律。

3.4.3加快網絡基礎設施建設,推動企業信息化進程加強相關領域應用基礎對應的技術科學研究及應用研究是在信息領域及信息安全領域取得"創新"和"可持續發展"的直接動力。信息基礎設施是電子商務發展的物質基礎和載體。發展信息基礎設施需要多種學科和人才的支持、政府和業界的共同努力,尤其是政府的大力投資和宏觀調控。

3.4.4加快銀行、稅務以及郵政等物流環節的信息化建設建立企業到企業(BtoB)、企業到客戶(BtoC)的商務溝通,實現網上資金流動,解決目前有形商品交易環節中的流通困難。

電子商務信息安全研究:基于計算機安全技術下的電子商務信息安全研究

摘要:近年來電子商務在國內外有了突飛猛進的發展,但是在電子商務飛速發展的今天,安全問題仍是制約電子商務發展的瓶頸。電子商務安全問題是個系統的概念,本文主要從技術角度闡述了電子商務信息安全問題,并提出了相應的技術解決方案。

關鍵詞:電子商務;安全;計算機技術

一、電子商務安全問題基本范疇

電子商務的安全性體現在網絡安全、信息加密技術以及交易的安全。電子商務交易安全緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題,計算機網絡安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。由于在互聯網設計之初,只考慮方便性、開放性,使得互聯網絡極易受到黑客的攻擊或有組織的群體的入侵,使得網絡信息系統遭到破壞,信息泄露。因此,電子商務中的安全隱患大致有四種:1.信息的截獲和竊取;2.信息的篡改;3.信息的假冒;4.交易抵賴。

二、計算機技術下的電子商務信息安全防范機制

(一)數據加密技術

數據加密是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,確保數據保密性的一種技術。數據加密及相關技術應用可有效解決電子商務安全中交易信息的完整性、不可抵賴性和交易身份確定性。加密和解密過程中使用的密鑰分別稱為加密密鑰和解密密鑰,按加密密鑰與解密密鑰的對稱性可分為對稱型和不對稱型加密。結構完整的數據加密系統必須具有認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用接口(API)等基本構成部分。

(二)身份識別技術

在網絡交易中如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等,進行身份識別后,交易雙方就可防止相互猜疑的情況。報文摘要技術與數據加密技術結合產生了數字簽名技術,其應用原理是發送方將報文摘要X用自己的私鑰加密,并將加密后的報文摘要(即數字簽名)同原文一起發送給接收方,接收方用發送方的公鑰解密數字簽名,并對接收到的報文利用對應的同樣算法生成報文摘要Y,比較X和Y,若二者相同,說明信息完整且發送者身份是真實的,否則說明信息被修改或不是該發送者發送的。由于發送者的私鑰無法仿冒,同時發送者也不能否認用自己的私鑰加密發送的信息,所以報文摘要和數字簽名技術能夠保障電子商務交易中信息的完整性和不可抵賴性。

(三)安全協議

前文說闡述加密技術僅僅提出了一種解決問題的安全框架模式,實際應用中,針對不同的網絡應用,又有不同的商業實現標準,其中比較有名的就是由Visa、Master Card和IBM等聯合推出的安全電子交易協議(SET)和由Netscape、Verisign等推出的安全套接層協議(SSL)。

1.SET安全協議

SET安全協議是應用于Internet上的以銀行卡為基礎進行在線交易的安全標準,這就是“安全電子交易”(簡稱SET)。它采用公鑰密碼體制和X。509數字證書標準,主要應用于保障網上購物信息的安全性。由于SET提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整性和交易的不可否認性,特別是保障不將消費者銀行卡號暴露給商家等優點,因此它成為了目前公認的信用卡和借記卡的網上交易的國際安全標準。

2.SSL安全協議

SSL安全協議最初是由NetscapeCommunication公司設計開發的,又叫”安全套接層協議”,主要用于提高應用程序之間數據的安全系數。SSL安全套接層協議主要是使用公開密鑰體制和X。509數字證書技術保護信息傳輸的機密性和完整性,SSL協議的整個概念可以被總結為:一個保障任何安裝了安全套接字的客戶和服務器間事務安全的協議,它涉及所有TCP/IP應用程序。目前SSL已經被眾多廠家和用戶使用,已經成為通信底層協議的實際標準。

(四)網絡安全掃描技術

安全掃描技術是對網絡的各個環節提供的分析結果,并為系統管理員提供性和安全性分析報告等。包括端口掃描技術和漏洞掃描技術等。

(五)病毒防范技術

計算機病毒實際上就是一種在計算機系統運行過程中能夠實現傳染和侵害計算機系統的功能程序。病毒經過系統穿透或違反授權攻擊成功后,攻擊者通常要在系統中植入木馬或邏輯炸彈等程序,為以后攻擊系統、網絡提供方便條件。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。

(六)防火墻技術

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中。

目前的防火墻分為兩大類,一類是簡單的分組過濾技術,作用在網絡層和傳輸層,它根據分組包頭源地址,目的地址和端口號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其余數據包則被從數據流中丟棄。另一類是應用服務器,其顯著的優點是“阻隔”了網絡通信流,通過對每種應用服務編制專門的程序,實現監視和控制應用層通信流的作用。通過應用防火墻技術,可以做到通過過濾不安全的服務,極大地提高網絡安全和減少網絡中主機的風險。但防火墻是一種基于網絡邊界的被動安全技術,對內部未授權訪問難以有效控制,因此較適合于內部網絡相對獨立,且與外部網絡的互連途徑有限、網絡服務種類相對集中的網絡。

三、結語

計算機安全技術是實現電子商務交易安全的基本手段,基于數據加密技術的相關應用技術、身份識別技術、安全協議、安全掃描技術、病毒防范技術等實現了電子商務交易安全中信息的保密性、完整性、不可抵賴性和身份的確定性,規范了電子商務活動的各參與方和各種安全技術的運用。此外,需要完善法律制度、管理制度和誠信制度來保障電子商務信息安全以及推動電子商務的健康、持續發展。