引论:我们为您整理了1篇电子商务信息安全研究范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
电子商务信息安全研究:电子商务信息安全技术研究
[摘要] 文章主要从技术角度阐述了电子商务信息安全问题,详细说明了电子商务信息存在的问题,并提出了相应的技术解决方案。
[关键词] 电子商务信息安全数据加密网络安全
一、电子商务信息安全问题
由于Internet本身的开放性,使电子商务系统面临着各种各样的安全威胁。目前,电子商务主要存在的安全隐患有以下几个方面。
1.身份冒充问题
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。
2.网络信息安全问题
主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,进行信息截获、篡改、删除、插入。截获,攻击者可能通过分析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。
3.拒绝服务问题
攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。
4.交易双方抵赖问题
某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷进行公证、仲裁。
5.计算机系统安全问题
计算机系统是进行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。计算机设备本身存在物理损坏,数据丢失,信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时,计算机系统存在工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。
二、电子商务安全机制
1.加密和隐藏机制
加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,不仅实现了信息的保密,也保护了通信本身。
2.认证机制
网络安全的基本机制,网络设备之间应互相认证对方身份,以保障正确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份,以保障正确的用户进行正确的操作并进行正确的审计。
3.审计机制
审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。
4.完整性保护机制
用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性可以被验证却无法模仿时,收到信息的一方可以认定信息的发送者,数字签名就可以提供这种手段。
5.权力控制和存取控制机制
主机系统必备的安全手段,系统根据正确的认证,赋予某用户适当的操作权力,使其不能进行越权的操作。该机制一般采用角色管理办法,针对系统需要定义各种角色,如经理、会计等,然后对他们赋予不同的执行权利。
6.业务填充机制
在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难。同时,也增加了密码通信的破译难度。发送的随机数据应具有良好模拟性能,能够以假乱真。
三、电子商务安全关键技术
安全问题是电子商务的核心,为了满足安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全技术保障整个电子商务过程的安全与完整,并实现交易的防抵赖性等,综合起来主要有以下几种技术。
1.防火墙技术
现有的防火墙技术包括两大类:数据包过滤和服务技术。其中最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保障了专用私有网的安全。将包过滤防火墙与服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于:防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击;防火墙不能保障数据的秘密性,也不能保障网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。
2.虚拟专网技术(VPN)
VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。VPN具投资小、易管理、适应性强等优点。VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接,并保障数据的安全传输,以此达到在公共的Internet上或企业局域网之间实现的电子交易的目的。
3.数据加密技术
加密技术是保障电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。加密技术分为常规密钥密码体系和公开密钥密码体系两大类。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露,可通过常规密钥密码体系的方法加密机密信息,并随报文发送报文摘要和报文散列值,以保障报文的机密性和完整性。目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等,其中DES使用最普遍,被ISO采用为数据加密的标准。在公开密钥密码体系中,加密密钥是公开信息,而解密密钥是需要保护的,加密算法和解密算法也都是公开的。典型的公开密钥密码体系有
:基于数论中大数分解的RSA体系、基于NP理论的Merkel-Hellman背包体系和基于编码理论的McEliece体系。在以上两类加密体系中,常规密钥密码体系的特点是加密速度快、效率高,被广泛用于大量数据的加密,但该方法的致命缺点是密钥的传输易被截获,难以安全管理大量的密钥,因此大范围应用存在一定问题。而公开密钥密码体系很好地解决了上述不足,保密性能也优于常规密钥密码体系,但公开密钥密码体系复杂,加密速度不够理想。目前电子商务实际运用中常将两者结合使用。
4.安全认证技术
安全认证技术主要有:(1)数字摘要技术,可以验证通过网络传输收到的明文是否被篡改,从而保障数据的完整性和有效性。(2)数字签名技术,能够实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。(3)数字时间戳技术,用于提供电子文件发表时间的安全保护。(4)数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。(5)认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题,而且只须管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性,这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。(6)智能卡技术,它不但提供读写数据和存储数据的能力,而且还具有对数据进行处理的能力,可以实现对数据的加密和解密,能进行数字签名和验证数字签名,其存储器部分具有外部不可读特性。采用智能卡,可使身份识别更有效、安全,但它仅仅为身份识别提供一个硬件基础,如果要使身份认证更安全,还需要与安全协议的配合。
5.电子商务安全协议
不同交易协议的复杂性、开销、安全性各不相同,同时不同的应用环境对协议目标的要求也不尽相同。目前比较成熟的协议有:(1)Netbill协议,是由J.D.Tygar等设计和开发的关于数字商品的电子商务协议,该协议假定了一个可信赖的第三方,将商品的传送和支付链接到一个原子事务中。(2)匿名原子交易协议,由J.D.Tygar首次提出,具有匿名性和原子性,对着名的数字现金协议进行了补充和修改,改进了传统的分布式系统中常用的两阶段提交,引入了除客户、商家和银行之外的独立第四方一交易日志(Transaction log)以取代两阶段提交协议中的协调者(Coordinator)。(3)安全电子交易协议SET,由VISA公司和MasterCard公司联合开发设计。SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,它可以对交易各方进行认证,防止商家欺诈。SET协议开销较大,客户、商家、银行都要安装相应软件。(4)安全套接字层协议SSL,是目前使用最广泛的电子商务协议,它由Netscape公司于1996年设计开发。它位于运输层和应用层之间,能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户透明。然而,SSL并不专为支持电子商务而设计,只支持双方认证,只能保障传送信息传送过程中不因被截而泄密,不能防止商家利用获取的信用卡号进行欺诈。(5)JEPI(Joint Electronic Payment Initiative),是为了解决众多协议间的不兼容性而提出来的,是现有HTTP协议的扩展,在普遍HTTP协议之上增加了PEP(Protocol Extension Protocol)和UPP(Universal Payment Preamble)两层结构,其目的不是提出一种新的电子支付手段,而是在允许多种支付系统并存的情况下,帮助商家和顾客双方选取一个合适的支付系统。
四、结束语
信息安全是电子商务发展的基础,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题变得更加突出。为了解决好这个问题,必须有安全技术作保障。目前,防火墙技术、网络扫描技术,数据加密技术和计算系统安全技术发挥着重要的作用,此外,需要完善法律制度、管理制度和诚信制度,保障电子商务信息安全,加快电子商务的发展。
电子商务信息安全研究:电子商务信息安全风险与防范策略研究
摘要:电子商务的广泛应用,凸显了其应用环境不够完善,相应的法规、标准、技术都存在较大问题,通过电子商务信息安全方案的问题,着重探讨了中国电子商务发展的防范措施。
关键词:电子商务; 信息安全;运行环境;黑客;防火墙
电子商务在网络经济发展日益迅猛的当下,应用越来越广泛,这种基于Internet进行的各种商务活动模式以其特有的开放性让商务活动相比较以往更加高效快捷。In-ternet 是一个开放的、全球性的、无控制机构的网络,计算机网络自身的特点决定了网络不安全,网络服务一般都是通过各种各样的协议完成的,因此网络协议的安全性是网络安全的重要方面,Internet 的数据传输是基于 TCP/IP操作系统来支持的,TCP/IP 协议本身存在着一定的缺陷。
1电子商务所面临的信息安全威胁
1.1 安全环境恶化
由于在计算机及网络技术方面发展较为迟缓,我国在很多硬件核心设备方面依然以进口采购为主要渠道,不能自主生产也意味着不能自主控制,除了生产技术、维护技术也相应依靠国外引进,这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。
1.2平台的自然物理威胁
由于电子商务通过网络传输进行,因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件,篡改删除信息内容等行为,也会给企业造成损失。
1.3黑客入侵
在诸多威胁中,病毒是最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性,本地计算机所记录的登录信息都会被木马程序篡改,从而造成信息之外的文件和资金遭窃。
2电子商务信息安全的防范处理方法
2.1针对病毒的技术
作为电子商务安全的较大威胁,对于计算机病毒的防范是重中之重。对于病毒,处理态度应该以预防为主,查杀为辅。因为病毒的预防工作在技术层面上比查杀要更为简单。多种预防措施的并行应用很重要,比如对全新计算机硬件、软件进行的检测;利用病毒查杀软件对文件进行实时的扫描;定期进行相关数据备份;服务器启动采取硬盘启动;相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保障文件的及时隔离。在计算机系统感染病毒的情况下,及时时间清除病毒文件并及时恢复系统。
2.2防火墙应用
防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的 TCP 端口和 TCP 链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器,可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告
2.3数据加密技术的引入
加密技术是保障电子商务安全采用的主要安全措施。加密过程就是根据一定的算法,将可理解的数据(明文)与一串数字(密钥)相结合,从而产生不可理解的密文的过程,主要加密技术是:对称加密技术和非对称加密技术。
2.4认证系统
网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理问题限制了它的应用。为解决此问题,20 世纪 70 年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。
2.5其他注意事项
(1)机密性是指信息在存储或传输过程中不被他人窃取或泄漏,满足电子商务交易中信息保密性的安全需求,避免敏感信息泄漏的威胁。传统的纸面贸易都是通过邮寄封装的信件或通过的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
(2)商务信息的完整性,只读特性以及修改授权问题是电子商务信息需要攻克的一大难关。信息在传输过程中必须保持原内容,不能因技术、环境以及刻意原因而轻易被更改。
(3)交易诚信问题也存在于隔空交易当中,电子商务信息在传输当中,保障传输速度和内容真实的情况下,交易方不能对已完成的交易操作产生反悔,一旦因商务平台外的问题而取消或质疑交易操作,对方的利益将蒙受损失。
3结语
要想保障电子商务的信息安全,需要对计算机硬件、网络访问以及被访问、文件输出和接收,以及电子商务平台等多环节进行的控制和监测。在此基础上,不但要开发出有效网络安全软件并自主掌控核心技术,也要相关的安全法律法规和物理安全机制相配合,并在技术层面上加大对相关科研机构和科研氛围的投入,才能保障电子商务保持现有的发展速度,并更加更加健康的应用到我们的企业商务活动中。
电子商务信息安全研究:电子商务信息安全研究论文
【摘要】电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
【关键词】电子商务;信息安全;信息技术
电子商务概念源于英文ElectronicCommerce,简写EC。美国《商业周刊》认为,Internet已经成为"有史以来最激动人心的生意场"。电子商务介入世界经济活动并成为其中主角是必然的发展趋势。据统计1998年全球电子商务交易额为1020亿美元,2003年电子商务交易额达到1.3万亿美元,约占世界贸易总额的1/4,到2005年将达到2~3万亿美元。由于大量的信息在网上传递,大量的资金在网上划拨流动,这就要求网上信息必须具有高度的性和的保密性。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看,信息安全问题是保障电子商务的生命线。
1、电子商务信息的安全要素
1.1机密性
传统的贸易大多是通过书信或者的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保障电子商务信息的机密性就变得非常重要。
1.2完整性
电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保障数据在传送的过程中完整性。
1.3认证性
网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。
1.4有效性
在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保障谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保障贸易数据在确定的时刻和地点是有效的。
2、电子商务安全中存在的问题
电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和性。因此电子商务活动中的信息安全问题主要体现在以下几个方面。
2.1计算机网络的安全
2.1.1安全协议问题
随着经济和信息全球化的时代到来,但安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
2.1.2信息的安全问题
非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易,还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。
2.1.3防病毒问题
电脑病毒问世十多年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
2.1.4服务器的安全问题。
电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些保密数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。目前服务器的安全问题尚无有效措施予以阻止。主要表现在:非法用户向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正常的网络服务,利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。
2.2电子商务交易的安全
2.2.1身份的不确定问题
由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段窃取合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从中获得非法收入。主要表现有:冒充他人身份;冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户等。
2.2.2交易的抵赖问题
电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如自己应承担的责任如:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认,商家卖出的商品质量差但不承认原有的交易。在网络世界为交易双方的纠纷进行公证、仲裁。
2.2.3交易的修改问题
交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保障商务交易的严肃和公正。
2.3其他方面的安全
电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。
3、保障电子商务信息安全措施
3.1数据加密策略
加密技术是电子商务的最基本措施,最初主要用与保障数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。加密技术是一种主动的信息安全防范策略,利用一定的加密算法.将明文转换成毫无意义的密文。阻止非法用户理解原始数据,从而确保数据的保密性。
比较广泛使用的加密技术有两种:一是对称密钥加密体制,一是非对称密钥加密体制。它们的区别在于密钥的类型不同。
3.1.1对称密钥加密体制
对称密钥加密,又称私钥加密(SecretKeyEncryption),即数据加密和解密采用的都是同一个密钥,因而其安全性依赖于所持有密钥的安全性,其较大的优点就是速度快,适合于对大数据量进行加密,但其较大的缺点是在大量用户的情况下密钥答理复杂,而且无法完成身份认证等功能,不便于应用于网络开放的环境中。
3.1.2非对称密钥加密体制
非对称密钥加密体制,又称公钥加密(PublicKeyEncryp2tion),数据加密和解密采用不同的密钥,需要使用一对密钥来分别完成加密和解密操作。在非对称密钥加密体制中密钥被分解为一对。这对钥中的在何一把都可作为公开密钥,加密密钥,通过非保密方式向他人公开。而另一把则作为私用密钥加以保存。私用密钥只能由数据的接受者掌握。
利用公钥体系可以方便地实现对用户的身份认证,也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密,信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密,如果能够解开,说明信息确实为该用户所发送,这样就方便地实现了对信息发送方身份的鉴别和认证。
通常在实际应用中将公钥密码体系和数字签名算法结合使用.在保障数据传输完整性的同时完成对用户的身份认证。
3.2防火墙技术
现有的防火墙技术包括两大类:数据包过滤和服务技术。其中,最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避兔对其进行的有意或无意的攻击,从而保障了专用私有网的安全。将包过滤防火墙与服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于:(1)防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击。(2)防火墙不能保障数据的秘密性,也不能保障网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。
3.3身份验证技术
3.3.1认证系统
网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做CertificateAuthority,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA,否则,一切网上的交易都没有安全保障。
3.3.2SSL协议
SSL协议(SecureSocket,Layer,安全套接层)主要目的是解决TCP/IP协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保障网络通信服务的安全性。SSL协议易于实现。SSL协议还是最值得信赖的协议。但是由于SSL协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方的安全传输和信任关系。
3.3.3SET协议
SET(SecureElectronicTransaction)安全电子交易协议是用于Internet上的以信用卡为基础的电子支付系统协议。主要应用于B/C模式中保障支付信息的安全性。SET协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保障了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。它的交易规范成为了未来电子商务发展的方向。
3.4保障电子商务信息安全的环境性措施
目前,基于Internet的电子商务应用还不成熟,许多内外部环境还不够完善,相应的法律、法规,相关的标准还都没有建立,跨部门、跨地区的协调存在较大问题。
3.4.1构造我国完善的电子商务体系
积极参与国际合作,融合国际电子商务框架,构造适合中国国情的电子商务体系。作为一个主权国家,为了维护国家的利益和经济安全,在电子商务相关技术方面注重自主知识产权技术的开发,不能全部依赖进口。因此,必须加大投资力度,重点支持电子商务技术的研发工作。
3.4.2加强法律法规建设
针对利用信息高科技和信息系统等新型犯罪,政府部门应尽快组织力量,结合电子商务的客观需要,对现有的与电子商务相关的法律法规,利用法律与犯罪作斗争是人类历来的做法。如:《中华人民共和国刑法》、《全国人大常委会关于互联网安全的决定》、《合同法》、《著作权法》等进行修改。在这些法律中,可以适当增加对网络犯罪处罚的条款,增加对网络作品著作权保护的条款;对电子商务发展中急需解决的有关问题,如:在电子支付、税收管理,安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章,必要时,由国务院行政法规,再按程序上升为法律。
3.4.3加快网络基础设施建设,推动企业信息化进程加强相关领域应用基础对应的技术科学研究及应用研究是在信息领域及信息安全领域取得"创新"和"可持续发展"的直接动力。信息基础设施是电子商务发展的物质基础和载体。发展信息基础设施需要多种学科和人才的支持、政府和业界的共同努力,尤其是政府的大力投资和宏观调控。
3.4.4加快银行、税务以及邮政等物流环节的信息化建设建立企业到企业(BtoB)、企业到客户(BtoC)的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通困难。
电子商务信息安全研究:基于计算机安全技术下的电子商务信息安全研究
摘要:近年来电子商务在国内外有了突飞猛进的发展,但是在电子商务飞速发展的今天,安全问题仍是制约电子商务发展的瓶颈。电子商务安全问题是个系统的概念,本文主要从技术角度阐述了电子商务信息安全问题,并提出了相应的技术解决方案。
关键词:电子商务;安全;计算机技术
一、电子商务安全问题基本范畴
电子商务的安全性体现在网络安全、信息加密技术以及交易的安全。电子商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。由于在互联网设计之初,只考虑方便性、开放性,使得互联网络极易受到黑客的攻击或有组织的群体的入侵,使得网络信息系统遭到破坏,信息泄露。因此,电子商务中的安全隐患大致有四种:1.信息的截获和窃取;2.信息的篡改;3.信息的假冒;4.交易抵赖。
二、计算机技术下的电子商务信息安全防范机制
(一)数据加密技术
数据加密是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,确保数据保密性的一种技术。数据加密及相关技术应用可有效解决电子商务安全中交易信息的完整性、不可抵赖性和交易身份确定性。加密和解密过程中使用的密钥分别称为加密密钥和解密密钥,按加密密钥与解密密钥的对称性可分为对称型和不对称型加密。结构完整的数据加密系统必须具有认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。
(二)身份识别技术
在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。报文摘要技术与数据加密技术结合产生了数字签名技术,其应用原理是发送方将报文摘要X用自己的私钥加密,并将加密后的报文摘要(即数字签名)同原文一起发送给接收方,接收方用发送方的公钥解密数字签名,并对接收到的报文利用对应的同样算法生成报文摘要Y,比较X和Y,若二者相同,说明信息完整且发送者身份是真实的,否则说明信息被修改或不是该发送者发送的。由于发送者的私钥无法仿冒,同时发送者也不能否认用自己的私钥加密发送的信息,所以报文摘要和数字签名技术能够保障电子商务交易中信息的完整性和不可抵赖性。
(三)安全协议
前文说阐述加密技术仅仅提出了一种解决问题的安全框架模式,实际应用中,针对不同的网络应用,又有不同的商业实现标准,其中比较有名的就是由Visa、Master Card和IBM等联合推出的安全电子交易协议(SET)和由Netscape、Verisign等推出的安全套接层协议(SSL)。
1.SET安全协议
SET安全协议是应用于Internet上的以银行卡为基础进行在线交易的安全标准,这就是“安全电子交易”(简称SET)。它采用公钥密码体制和X。509数字证书标准,主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整性和交易的不可否认性,特别是保障不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡和借记卡的网上交易的国际安全标准。
2.SSL安全协议
SSL安全协议最初是由NetscapeCommunication公司设计开发的,又叫”安全套接层协议”,主要用于提高应用程序之间数据的安全系数。SSL安全套接层协议主要是使用公开密钥体制和X。509数字证书技术保护信息传输的机密性和完整性,SSL协议的整个概念可以被总结为:一个保障任何安装了安全套接字的客户和服务器间事务安全的协议,它涉及所有TCP/IP应用程序。目前SSL已经被众多厂家和用户使用,已经成为通信底层协议的实际标准。
(四)网络安全扫描技术
安全扫描技术是对网络的各个环节提供的分析结果,并为系统管理员提供性和安全性分析报告等。包括端口扫描技术和漏洞扫描技术等。
(五)病毒防范技术
计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入木马或逻辑炸弹等程序,为以后攻击系统、网络提供方便条件。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。
(六)防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。
目前的防火墙分为两大类,一类是简单的分组过滤技术,作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。另一类是应用服务器,其显著的优点是“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。通过应用防火墙技术,可以做到通过过滤不安全的服务,极大地提高网络安全和减少网络中主机的风险。但防火墙是一种基于网络边界的被动安全技术,对内部未授权访问难以有效控制,因此较适合于内部网络相对独立,且与外部网络的互连途径有限、网络服务种类相对集中的网络。
三、结语
计算机安全技术是实现电子商务交易安全的基本手段,基于数据加密技术的相关应用技术、身份识别技术、安全协议、安全扫描技术、病毒防范技术等实现了电子商务交易安全中信息的保密性、完整性、不可抵赖性和身份的确定性,规范了电子商务活动的各参与方和各种安全技术的运用。此外,需要完善法律制度、管理制度和诚信制度来保障电子商务信息安全以及推动电子商务的健康、持续发展。
