历史是人类文明的镜子,通过了解历史可以更好地认识自己和世界。写总结时,我们可以参考一些逻辑清晰且观点鲜明的范文,借鉴其中的写作技巧和思路。掌握好总结的技巧和方法,可以帮助我们更好地完成总结的任务。
电子商务安全论文篇一
电子商务信息系统中存放着大量机密敏感的数据,这些数据是电子商务企业运营时重要的信息。
这些数据如果存在安全问题,就会给企业经营带来很大风险。
本文将对电子商务系统的数据安全进行讨论,从而为提升其安全技术与管理水平给出一些合理的建议与策略。
电子商务数据安全的具体含义为:保证电子商务数据库信息的保密性、完整性、一致性、可用性和抗否认性。
保密性指保护数据库中的数据不被泄露和未授权的获取:完整性指保护数据库中的数据不被破坏和删除;一致性指的是确保数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求;可用性指的是确保数据库中的数据不因人为或自然的原因对授权用户不再可用;抗否认性是保证用户事后无法否认对数据库进行的一系列访问、修改、查询等操作,便于事后分析调查。
(1)黑客攻击。
网络中总是存在各种安全漏洞,因此黑客的攻击行为是威胁电子商务数据安全的一大隐患。
黑客攻击网络的目的通常是扰乱系统正常运行或者窃取重要的商业机密。
黑客惯常使用的攻击手段为:窃—即黑客通过截获通讯信道上的重要数据并破译来达到窃取用户机密的目的;重发攻击—黑客为达到影响系统正常运行的目的,而将窃得到的数据经过篡改之后重新发回服务器或者数据库用户;迂回攻击—黑客掌握电子商务数据库系统的安全漏洞之后,绕过数据库系统而直接访问机密数据;假冒攻击—黑客先是采取发送大量无意义的报文而堵塞服务器和客户终端的通讯端口以后,再通过假冒该客户或者该服务器的方法来非法操作数据库系统;越权攻击—黑客属于一个合法用户,但是其通过某种手段使自己去访问没有得到授权的数据。
(2)系统漏洞。
针对于电子商务数据库系统的网络入侵者能够根据系统本身的安全漏洞得到系统的数据操作权限。
漏洞产生的原因往往是数据库管理系统没有及时打补丁或者在安全方面的设置中总是选择默认设置。
此外,如果由于数据库的安全检查措施级别太低,或者审核机制应用不当、软件存在的风险以及管理风险等,都会使系统形成安全漏洞,从而给破坏者以入侵的机会。
1、加密方案。
加密方案的目的是控制以上这些机密数据只能被得到相应授权的特定人群所访问和存取。
数据库管理系统的加密以字段为最小单位进行,加密和解密通常是通过对称密码机制的密钥来实现。
数据加密时,数据库管理系统把明文数据经过密钥转换为密文数据,数据库中数据的存储状态都是密文数据,而在得到权限的用户查询时,再将密文数据取出并解密,从而恢复明文数据。
使数据库的安全性得到进一步提升。
2、访问控制方案。
在数据库管理系统中,不同的用户拥有不同的权限。
因此必须保证某个用户只能访问或者存取与自己权限相应的数据范围。
用户所拥有的权限包括两方面的内容:一是用户可以访问数据库中什么样的数据对象,二是用户可以对这些数据对象进行什么样的操作。
当用户对数据库进行访问时,系统会根据用户的级别与权限来判定此种操作是允许的或者禁止的,从而达到保护敏感数据不被泄露或者篡改的目的。
访问控制方案有三种,分别叫做自主存取控制(discretionaryaccesscontrol,dac)、强制存取控制(mandatoryaccesscontrol,mac)和基于角色的存取控制(role—basedaccesscontrol,rbac)。
3、认证方案。
身份认证技术是数据库管理系统为防止各种假冒攻击安全策略。
在用户对敏感关键的数据进行存取时,必须在客户与数据库管理系统之间进行身份认证。
口令的识别是数据库管理系统进行身份认证的一种方式,每个具体用户都被系统事先分配一个固定的用户名与密码,电子商务系统的许多数据具有开放性特征,因此必须对每个访问系统的用户的身份进行认证,这样就可以阻止不拥有系统授权的用户非法破坏敏感机密的数据。
4、审计方案。
审计方案是数据库管理系统对相关用户的所有操作过程进行监视的一种安全方案,该安全方案的具体做法是在审计日志记录中存放各用户对数据库施加的动作,包括用户的修改、查询和删除等操作。
这种有效机制可以在最大程度上保证数据库管理系统的信息安全。
有两种审计方式:分别叫做用户审计和系统审计。
用户启用审计功能将在数据字典中记录每个用户操作数据库的全部细节,包括用户名称,操作类型等等;而系统审计则由dba来进行。
5、备份方案。
可以把电子商务数据库的故障或障碍分为以下三类:系统故障、事务故障以及介质故障。
当发生某种类型的故障时,为了把企业的损失减少到最低,必须在最短的时间内恢复数据,因此,根据企业的实际情况和数据类型与特点,制定出一套合理而经济的备份和恢复策略是必要的。
所谓数据库备份与恢复方案,目的是在数据库系统故障并且短时间内难以恢复时,用存储在备份介质中的数据将数据库还原到备份时的状态。
数据备份根据数据库管理系统类型的不同,有多种备份实施计划。
比如对sqlserver而言,有数据库备份、事务日志备份、增量备份和文件及文件组备份。
电子商务信息系统的数据库管理系统中必须建立详细的备份与恢复策略。
对电子商务企业来说,数据安全的重要性是无庸讳言的。在对机密敏感数据的管理时,必须根据应用环境的具体安全需要来实施各种安全策略。
电子商务安全论文篇二
摘要:在当今经济生活状态下,电子商务随着信息技术的飞速发展已经成为其中不可或缺的组成元素。但从当前互联网环境来看,存在着许多潜在的安全威胁。作为极具价值的敏感信息,电子商务信息的安全保护迫在眉睫。研究电子商务信息安全保护技术,对电子商务信息安全具有重要保障意义。
关键词:信息安全;电子商务;问题;保护技术。
随着互联网时代的来临,电子商务依托网络技术、通讯技术快速发展起来。所谓电子商务,正是将商务活动与电子信息技术结合起来的商务模式,相对传统商务模式来说,电子商务的整个商务过程基本都处于电子化和网络化。电子商务对传统商务模式的改变并非仅仅体现在模式的变革上,同时给经济产业结构升级带来了巨大变革。因电子商务效率较高、成本较低,能够提供更多的商机给中小型公司而迅速普及。但基于互联网本身开放性、共享性及无缝连通性等特点,存在着诸多的安全风险,而这些风险又会在一定程度上威胁着电子商务信息安全。电子商务信息安全不仅涉及其系统安全,同时涉及其应用与数据库安全,为避免潜在安全问题带来的损失与破坏,电子商务领域及互联网安全技术领域一直在致力于电子商务信息安全保护技术的研究。而在分析研究当前电子商务信息安全保护技术前,我们首先应对电子商务信息安全隐患有一定了解。
电子商务的发展,给我国商务发展注入了新的活力。但因电子商务全程通过网络完成,且无纸化存档等,所以极易受到网络安全的影响。电子商务信息安全通常包括两项内容:其一为计算机网络安全,其二为商务交易安全。这两项安全环节对电子商务信息安全来说具有非常重要的作用,前者是电子商务安全的基础,后者是电子商务安全的基本保障,计算机网络安全与商务交易安全两者具有密切联系。
电子商务信息安全隐患,也主要存在于计算机网络安全与商贸交易安全环节中。电子商务信息中最为常见的安全问题,是对电子商务信息的窃取与篡改。因电子商务进程中调制解调器之间传送的明文信息并未采用加密措施,入侵者即可利用这一漏洞将这些信息截取下来并对其进行分析,通过对电子商务信息规律与格式的寻找,从而掌握电子商务过程中传输的信息内容。入侵者在对信息的规律和格式掌握后,即可将两个同类型的解调器增添在之前的网络调制解调器之间。通过这措施,原网络调制解调器中的信息数据即可在入侵者的操控下传往另外一端的解调器上。在电子商务信息犯罪中,篡改信息是十分常见的犯罪,任意一个路由器或者网关上都可以被应用。
在对信息进行窃取的过程中,入侵者对电子商务信息数据进行掌握后,便可对已经通过的数据信息实施随意更改,对该网上的机要信息、文件全面掌握,还可潜入对方网络内部,对合法的网络用户冒名顶替,对假冒电子商务信息进行传输或接受,造成更为严重的后果。其实,这些危及电子商务信息安全的所有行为归结来说都属于数据攻击,攻击者通过截获电子商务基本信息、通过伪造或者强制中断电子商务信息的传输,对电子商务信息进行错误的修改等,都给电子商务信息安全带来了极大隐患。基于电子商务信息安全所存在的隐患,当前电子商务对信息安全保护服务具有较为迫切的需求。
电子商务要求电子商务信息具有保密性,即保证企业一些文件或商业信息的机密性,确保其不会被非法者截获或破解,以使非法者即便截获信心也无法读懂其含义,从而为电子商务企业用户隐私权提供极大的保护。此外,数据的完整性与数据的不可否认性也是电子商务信息安全保护所需要的。在传输数据的过程中,应保证数据传输中的真实性,确保其不会在中途被篡改,与原用户所发送的信息保持一致性。数据传输过程在传输与接收双方中还需要保证信息的透明与不可否认性,避免电子商务交易过程中的各种纠纷问题。此外,电子商务信息安全保护还要求确定交易者的正确性,即确定对方不是骗取信息的第三方,以对信息的丢失与泄露有效防止。
为满足电子商务信息在安全保护方面的要求,需选择合适的电子商务信息安全保护技术。当前电子商务信息安全保护领域中被应用较多的技术主要为加密技术、认证技术及防火墙技术和ssl、set等。
加密技术主要是对数据的加密,通过将敏感的明文数据通过确定的密码变换为较难识别的密文数据来保护电子商务信息安全的技术。通过对密匙的不同使用,可通过同一加密算法对同一明文进行加密,使其成为不同的密文,当需要打开密文时,即可利用密匙实施还原,让密文以明文数据的形式成现在阅读者面前,这一过程即解密。对称密钥加密和非对称密钥加密,是密匙加密技术中最为典型的两类。对称密钥技术是指控制过程中使用相同的密匙在加密与解密过程中,对密匙的保密是该种技术保密度的主要取决因素。双方在发送信息时,必须对彼此的密匙进行交换,des,3des等是其常用的分组密码算法。对称密匙系统不仅具有较快的加密解密速度,且在数字运算量上比较小,保密度高。不过对称密匙在管理方面比较困难,需要保存较多的密匙,容易在传递的过程中泄露密匙,对数据的安全产生直接影响。非对称密钥技术是将不同的密匙应用于加密和解密控制中,其中加密密匙具有公开性。在计算上,公开的加密密钥或密文与明文的对照对解密密匙进行推算是不可能的,利用这一点非对称密匙技术即可实现对电子商务信息安全的保护。在这种加密技术应用中,每个用户都由一个公开密匙和一个私人密匙,两个密匙不能从一个推出另一个。非对称密匙技术分配简单,便于管理,且可实现数字签名和身份认证,但在处理速度上相对对称密匙技术较慢。
电子商务中的安全交易仅仅依靠基本的加密技术,虽然可得到一定程度的保障,但这种保障却并非完全的。因此,信息鉴别和身份认证技术也是电子商务信息安全保护过程中不可或缺的。认证技术所涉及的内容较广,除数字摘要、数字签名外,数字信封、数字证书等都包含在内。认证技术在电子商务信息安全中应用,主要是为了鉴别交易者的真实身份,避免发生电子商务信息被篡改、伪造、删除等潜在风险。数字摘要技术主要是在单向哈希函数的帮助下促进电子商务信息文件的转换运算,然后对某一定固定长度的摘要码进行获取,并把其加入文件中通过信息传输给接收者,接受者需要通过双方约定好的函数进行换算,确保结果与发送来的摘要码相同即可认为文件是完整未被篡改的。数字签名即是用发送者的私钥对文件摘要进行加密,附在原文中共同传输给接受者,被加密的摘要只有用发送者的公钥才能解开,类似于其亲笔签名,对信息完整性、真实性具有一定保障作用。数字信封指发送者加密信息采用对称密匙,用接收者的公钥来对其进行加密后,接收者会受到“信封”与文件,需要通过自己的私钥将“信封”打开,在这一过程中其可得到对称密匙打开文件,保证了文件的私密性。数字证书是pki执行机构ca所颁发的用户数字身份证,可为网上交易的不可否认性提供保障,同时为信息的完整与安全性及电子签名的可靠性提供保障。
在企业网络安全问题的解决方案中,防火墙技术师比较传统的技术,通过限制公共数据和服务进入防火墙内,来保护防火墙内电子商务信息的安全。防火墙技术主要包括包过滤型和应用代理型。在防火墙技术发展的整个过程中,都贯穿着包过滤方式,当前这种电子商务信息安全保护技术已经开发出静态与动态两种不同版本。静态版本与路由器技术同一时期产生,可对每个包是否符合已定义好的规则进行审查;动态版本通过对动态设置包过滤规则的采用,可在过滤规则中中对过滤条目自动增加或更新。应用代理型主要包括第一代应用网关型防火墙与第二代自适应代理型防火墙。前者可隐藏原本内部发出的数据,具有公认的安全性;后者可对网络中的所有数据通信进行保护筛选,最突出的优点为安全性。防火墙这种网络安全技术,除了比其他安全保护技术简单实用外,还具有相对较高的透明度,在不改变原有网络应用系统的前提下,也可以实现相应的安全保护目标。不过,与众多客户进行通信对商业活动进行展开,是电子商务企业业务的突出要求,防火墙技术对电子商务级别的信息安全防护需求可能无法独立承担,比较适合作为一种基础的信息安全保障手段。
电子商务信息安全保护技术中,网络通信协议保护技术也是比较常应用的一种技术。该种技术主要包括两种,即ssl(安全套接层协议)和set(安全电子交易公告),这两种协议已经成为电子商务信息中网络安全标准。ssl针对的是计算机之间的整个对话过程,通过整体加密协议来保证电子商务信息的安全。该种协议所提供的安全保护服务主要包括三种,第一种为对数据进行保密,第二种为对客户端和服务器的合法性进行保证,第三种为对数据的完整性进行维护。在采用的方法方面,ssl安全协议通常会选择哈希函数和机密共享,通过这些方法在客户端与服务器之间对安全通道进行建立,来保证电子商务信息达到目的地的完整准确性。set是在互联网环境下立足信用卡这一基础而展开的一种电子支付系统协议,其保障对象主要是支付信息的安全。在数字签名的作用下,set协议对电子商务信息的完整性可最大限度地保障,并且可对消息源给予认证。set协议对双重签名技术加以采用,可为顾客隐私提供更加严密的保护以防止发生用户信息被侵犯的情况。在双重签名技术的保障下,对于订购信息与支付信息的一致性,商家和银行需共同进行验证,防止信息被修改。且set兼容性较强,在不同的硬件和操作系统平台上均可运行。面对互联网中无处不在的信息安全隐患,电子商务相关单位或企业在展开电子商务活动的过程中,应对信息安全隐患全面了解,加强重视,并对何时的电子商务信息安全保护技术加以选择应用,对本单位或企业的电子商务信息设法保护。
参考文献。
电子商务安全论文篇三
摘要:随着internet、计算机技术、网络技术的发展,出现了一种新兴的商务模式―电子商务。
随着电子商务的飞速发展,安全成为制约其发展的关键.本文在简单介绍了电子商务的现状、安全隐患及安全技术措施,其中重点探讨电子商务的交易安全及网络安全问题及相应的解决措施。
电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程;它是一种基于互联网,以交易双方为主体,以银行电子支付和结算为手段,以客户数据为依托的全新商务模式。
本质是建立一种全社会的“网络计算环境”或“数字化神经系统”,以实现信息资源在国民经济和大众生活中的全方位应用。
一、从安全上看,电子商务的现状。
1.网络信息安全在全球还没有形成一个完整的体系,我国也不例外。
2.安全技术的强度普遍不够。
国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但受到了外国密码政策的限制,因此强度普遍不够。
3.电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。
4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域,这些因素的存在必将影响我国电子商务进一步的发展。
二、电子商务安全性要求。
从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决:
1.交易前交易双方身份的认证问题。
电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。
2.交易中电子合同的法律效力问题以及完整性保密性问题。
3.交易后电子记录的证据力问题。
在英美法系,传闻证据规则限制了电子记录的证据力。
在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。
三、网络安全技术及解决思路。
计算机网络安全的特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
其问题有:
1.未进行操作系统相关安全配置。
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。
千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。
2.未进行cgi程序代码审计。
如果是通用的cgi问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些cgi程序,很多存在严重的cgi问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
3.拒绝服务(dos,denialofservice)攻击。
随着电子商务的兴起,对网站的实时性要求越来越高,dos或ddos对网站的威胁越来越大。
以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。
4.安全产品使用不当。
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。
很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
5.缺少严格的网络安全管理制度。
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。
建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
分析计算机网络安全面临的问题本人提出的解决思路有:
1.加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞。
2.要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在安全隐患,并及时加以修补。
3.从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证。
4.利用raid5等数据存储技术加强数据备份和恢复措施。
5.对敏感的设备和数据要建立必要的物理或逻辑隔离措施。
6.对在公共网络上传输的敏感信息要进行强度的数据加密。
7.建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
一般来说商务安全中普遍存在着以下几种安全隐患:
1.窃取信息。
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。
通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
2.篡改信息。
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
这种方法并不新鲜,在路由器或网关上都可以做此类工作。
3.假冒。
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.恶意破坏。
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
1.部分告知(partialorder):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
2.另行确认(orderconfirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。
3.建立有效的安全交易标准和技术:如现在建立的安全超文本传输协议(s-http)、安全套接层协议(ssl)、安全交易技术协议(stt,securetransactiontechnology)等。
4.数字认证:数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性,甚至数据媒体的有效性。
5.加密技术:保证电子商务安全的最重要的一点是使用加密技术对敏感的信息进行加密。
6.电子商务认证中心(ca,certificateauthority)实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(ca)则是电子商务的中心环节。
五、结束语。
我国的电子商务近年来发展很快,但是有关的安全保障还未建立起来。
这已经成为影响我国电子商务发展的一个障碍。
为此,我们必须加快建设有关的电子商务安全系统。
这将是一个综合性的、涉及全社会的系统工程。
具体而言,我们要从法律上承认电子通讯记录的效力,给电子商务以法律保障;我们要加强对电子签名等的研究,给电子商务以技术保障;我们还要尽快建立电子商务认证体系,给电子商务以组织保障。
而且,针对电子商务无国界的特点,我们还应该加强国际合作,使电子商务真正发挥其应有的作用。
惟有如此,我们才能顺应时代潮流,推动我国经济的发展;也惟有如此,我们才能在经济全球化的今天,参与到国际竞争中去,并进而赢得竞争的优势。
参考文献:。
[1]周化祥、李智伟.网络及电子商务安全.[m].北京:中国电力出版社,.7.
[2]祝晓光.网络安全设备与技术.[m].北京:清华大学出版社.2004.11.
摘要电子商务作为新兴的产业经济体,是信息时代前景良好的商务模式。
然而,随着电子商务的迅速发展,规模不断扩大,其安全性问题逐渐浮现出来。
一个良好的电子商务交易环境才能提供企业百家争鸣的状态,这不仅仅需要电子商务内部技术等方面的创新完善,也需要政府社会等外部机构对电子商务的支持与监督。
电子商务是指通过网络技术、计算机技术和远程通信技术等,在全球范围内,买卖双方不谋面地开展商业和贸易活动。
电子商务的主体是商务活动,计算机网络通信技术是其基础。
现今电子商务发展有如下特点:(1)电子商务发展迅速。
中国电子商务研究中心发布的市场监测数据显示,第一季度中国电子商务市场营业收入规模达1.3万亿,同比增长24%。
而工业信息部发布的《电子商务“十二五”规划》预计,到电子商务交易额将突破18万亿,其中b2b交易规模将超过15万亿占总交易额的83%,而经常性应用电子商务的中小企业将达到中小企业总数的60%左右。
(2)发展不平衡。
电子商务安全论文篇四
2.1无线链路威胁由于移动通信过程中数据包大都采用明文或安全性较弱的加密传输方式,造成对无线设备进行偷听或破解较为容易,偷听或破解的成本也较低。在移动电子商务交易过程中传输的商品信息、支付信息、支付账号和密码、基于gps的位置信息等易于被潜在攻击者通过适当的`无线设备来偷听,由于无线信号的发散性和移动通信中的移动特征,攻击者的攻击行为也很难被发现。
2.2通过公共场所wifi联网造成的威胁很多公共场所都提供免费的wifi热点服务,考虑到数据流量费用和上网速度,消费者倾向于使用这类服务。绝大多数的公共wifi环境缺少甚至毫无安全防护措施,任何人都可以加入,攻击者进入该免费wifi以后,就会对网络中的其他用户进行嗅探,并截取网络中传输的数据,在这种情况下,移动用户在网络中传输的任何信息都完全暴露在攻击者眼前,攻击者通过专业软件可截获到各种用户名、密码、上网记录、交易记录、聊天记录及邮件内容。同时攻击者可以恶意篡改wifi路由器的dns地址,当用户访问正常网站时,浏览器会被指向非法恶意网址,甚至还会遭遇钓鱼网站及病毒的威胁。
2.3移动硬件设备本身的问题一方面,移动设备输入信息的效率较低,在使用过程中用户习惯选择记住密码,移动设备为了便携都设计的较为小巧且价值较高,容易丢失和被窃取,一旦设备被他人取得,就很容易在移动商务活动中伪装成真正的用户,并通过交易非法获得别人的财物;另一方面,电源续航时间成为移动设备使用的瓶颈,移动设备不适合进行大量计算,长时间传输大量数据会造成移动网络的拥堵,所以移动设备上不适宜长时间进行加密强度较大的通信。
2.4移动设备病毒的威胁目前,不论是笔记本电脑、上网本、pad还是手机,安全性都受到病毒的威胁,在移动设备中,手机病毒的危害是最大的,手机病毒不仅破坏系统、损坏硬件、诈骗欺诈、恶意传播、流氓行为、远程控制、盗取支付账号、网银密码、游戏或社交网络中的虚拟财产或虚拟货币,甚至会消耗手机资费,窃取用户短信、通讯录、gps位置数据等隐私信息,给手机用户造成财产或感情上的伤害。手机病毒传播途径主要为:第三方应用商店、手机论坛、rom内置、手机资源站、网盘传播、二维码传播。
2.5信用问题移动电子商务交易过程中有多个交易主体参与,其信用就转化为参与各方的信用。相对于欧美较为完善的信用体系,我国还未建成方便查询、覆盖全国人口的个人信用数据库。
2.6法律、法规问题电子商务给消费者购物带来方便的同时,也带来了消费欺诈、质量低劣等问题,网上侵犯知识产权和制售假冒伪劣商品、恶意欺诈、违法犯罪等问题不断发生,网络交易纠纷处理难度较大,产品、服务质量难以得到保证,没有良好的售后环节,网上购物维权困难等问题,在一定程度上影响了人们对移动电子商务发展的信心。
3解决方案。
3.1采用wpki技术pki(公钥基础设施)技术是保障有线通信中电子商务交易的重要手段,是一个包括硬件、软件、人员、政策和手续的集合,用来实现基于公钥密码体制的公钥身份证书产生、管理、存储、发行和作废等功能。wpki(wirelesspki)技术满足移动电子商务交易安全的要求:真实性、完整性、保密性、不可否认性,消除了用户在交易中的风险。wpki技术主要有:认证机构(ca)、数字证书库、密钥备份及恢复系统、证书作废系统,应用程序接口(api)。3.2运用端到端策略移动电子商务中客户端设备种类较多,如笔记本电脑、上网本、pad、手机等,各种设备上的操作系统、应用软件也不同,所以移动商务中的客户端环境复杂,造成安全性问题更加复杂,安全控制更加困难。移动电子商务中的端到端意味着保护数据传输中的每个环节,确保数据从发送点到最后目的地之间的传输通道是安全的,包括传输过程中的每个环节。
3.3移动设备采用生物识别认证技术生物识别技术就是,通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性(如指纹、脸象、虹膜等)和行为特征来进行个人身份的鉴定。移动设备的特性导致了输入效率较低,如使用安全性较高的强密码会给使用者带来不便,强密码也不易于记忆。现阶段,人脸识别和指纹识别技术已非常成熟并应用到移动设备中。生物识别极大的提高了账户的安全性,同时减少了用户输入密码的次数,减轻了记忆强密码的负担。如果让更多更安全的生物识别功能成为移动设备的标配,将大大提高移动电子商务的安全性。
3.4完善法律、法规,加大对移动电子商务违法行为的打击力度要加快对移动商务行业的监管,建立部门间电子商务监管协调配合机制,督促网络经营主体特别是网络交易平台切实履行责任,守法经营,加强自律,维护移动商务市场秩序。加大对利用移动网络平台进行商业欺诈、侵犯个人隐私、侵犯商业机密、发布虚假违法广告、制造病毒、入侵计算机系统、入侵移动商务平台的打击力度。
3.5提高员工、用户的安全防范意识所有系统都是由人设计和操作的,员工和用户对移动系统的安全性影响很大,如操作人员安全配置不当造成的安全漏洞、用户安全意识不强、用户口令选择简单、用户将自己的账号随意转借他人或与别人共享等,都会对移动网络安全带来威胁。
4结束语。
交易的安全性是移动电子商务发展的重要保障,无线通信的安全处在不断地发展和完善之中,应用到移动电子商中时要与其他的安全机制相结合才能满足实际应用的需要。一个安全的、令用户放心的移动电子商务环境需要由商家、用户、国家、移动设备制造商、移动运营商五个方面共同合作建立。
参考文献:
[2]刘纪元.电子商务发展的新阶段——移动电子商务[j].学园,2013(1).
[3]田迎华,杨敬松,周敏.3g时代移动电子商务安全问题研究[j].情报科学,(10).
[4]张娜,高国伟.移动电子商务的可用性分析研究[j].商业经济,2014(1).
电子商务安全论文篇五
当前的电子商务的系统中的安全隐患有三个层面,包括引用系统安全隐患、网络系统安全隐患和操作系统安全隐患。针对这三个层面,就要求我们密切保护网络的安全,使用者自身也要保护自己的个人信息,如不在公共网络保存自己的账号密码,当然还应该定期检查信息的储存空间以及整理各个系统的资源。
1.2信息被窃取和篡改。
在电子商务交易的进行中,如果密码过于简单或者使用者在公共网络中保存了账户密码,就致使程序员或者其他的入侵者更轻而易举地截取重要的信息,进而通过分析这些信息,获取规律,导致全部内容的窃取。更有甚者,入侵者会对使用者的传输内容进行篡改,或者对信息内容进行恶意的破坏,就会给用户造成更大的损失。因此,应对这种现状,应该改善加密技术,同时使用者应进行复杂的加密。
1.3计算机病毒。
由于电子商务广泛普及,使得数据以及信息交易的内容都是通过网络来进行传播的。虽然使交易更为方便快捷,但同时,也提供给了计算机病毒一种更为迅速的传播方式。一旦出现计算机病毒,就会导致计算机的各个资源被篡改,计算机的功能被破坏使得无法正常运行工作,甚至还会传染给其他的计算机。
1.4认证安全存在漏洞。
我们正处在一个便携性的信息化时代,电子商务规模逐渐扩大,但是网络交易的认证安全上存在着很多漏洞。当前还存在一些电子商务交易中仍未解决的问题,譬如,网络用户ip地址的频繁盗用,使得ip地址存在很大的冲突,进而导致网络的很多账号被盗取。
1.5电子邮件的伪造。
伪造者在交易用户进行合法交易的过程中,会伪造大量的电子邮件,使得网络拥堵,导致商家的资源严重短缺,致使合法用户无法进行访问行为,这就使得响应的时间增长,交易过程变得混乱。
1.6否认交易行为。
电子商务中,交易者否定自己发送给对方的交易信息内容,又或者不承认接收到原本接收到的内容。交易双方中有一方单方面的撕毁了协议。
1.7管理层面存在漏洞。
电子商务的非面对面交易的存在形式,必不可免地使得电子商务的管理存在局限性。不明确的管理制度和不到位的管理措施,以及众多的单位和用户疏于管理电子商务的交易,给网络程序员以及计算机病毒的攻击提供了便利。基于此,就需要电子商务的交易双方设置更为健全的软硬件和网络操作系统,同时应当提高安全防范意识,及时清理电脑的垃圾信息,预防病毒的侵入。
电子商务迅猛发展,同时它的发展空间和发展前景也是不容忽视的。为了确保电子商务的长足发展,就需要重视电子商务中存在的安全隐患问题,只有更好地解决这些安全隐患,才能降低对计算机造成的风险和影响。综合运用多种计算机安全技术能够更大程度地确保电子商务交易的安全进行。
2.1身份识别技术。
身份识别技术能保护合法的用户拥有应用网络资源的权利,方便统一管理用户,避免了入侵者的攻击和破坏。当然身份识别是针对参与交易双方进行的,只有这样,才能保证电子商务交易的有序进行,保护了双方的合法权益。
2.2数据加密技术。
对电子商务交易中涉及的重要信息和数据进行加密,常用的加密方法包括公开密钥加密和专用密钥加密。这种技术能够维持电子商务交易的顺利进行,同时,还能避免入侵者对重要信息的攻击和破坏。提高了信息和数据的安全性和可靠性。
2.3数据加密技术。
众所周知,在电子商务中由于非面对面交易,不可避免地会出现许多不确定的因素。数据加密技术能够有效预防和打击多种不确定因素的入侵。在交易过程的最初阶段即信息初步的互换过程就能使用数据加密技术。具体的实施流程是,在电子商务交易的过程之中,交易生成的那一方会有两个密钥,其中一个作为公共密钥,交易的另一方通过该密钥将重要数据和信息进行加密后,确保发送的数据的安全性和准备性,最后才进行最终的电子商务交易。
2.4访问控制技术该技术。
主要就是使用防火墙技术针对不安全的层面进行预防和保护。具体来说,能够控制数据或者信息等内容的访问权限,只允许这些内容的读取,而不允许进行修改,这种访问控制技术,预防了入侵者的不良攻击和破坏,维护了电子商务交易的有序进行。4结语现如今电子商务中存在着重多的安全隐患,对于电子商务交易双方的信息有很大的漏洞,也不利于社会秩序的有序进行。本文就总结了电子商务方面或许隐藏的常见的安全隐患,以及论述了计算机安全技术在电子商务中的应用,以期通过运用计算机安全技术改善电子商务安全性低的现状,进而促进电子商务的长足发展。
电子商务安全论文篇六
当前,我国电子商务建设中以技术为主的安全管理体制,忽视了人员对电子商务的安全影响。但近几年案例表明:企业缺乏针对内部人员的系统安全管理体制,是导致网络交易过程中泄密和企业利益损失的主要原因。本文重点分析了企业在电子商务安全管理体制方面存在的不足和原因,提出了一些加强人员安全管理的建议,为我国电子商务企业的安全管理提供借鉴。
作为一种新的经济模式,电子商务以高效、便捷、方便的优势和全新的企业经营理念、经营手段、经营环境吸引着广大用户,为世界经济赋予了无限的发展空间。随着电子商务应用范围的日益扩大,针对电子商务的各种犯罪活动也19益猖獗。国内外调查显示…,52。26%的用户最关心的是网上交易的安全可靠性,超过6o%的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程中的安全管理已经成为促进电子商务高速发展的重要因素。
电子商务的安全,可分为技术安全和管理安全两种类型。所谓技术安全,是指通过各种网络攻击者手段窃取企业的用户ld、密码以及相关的机密文件,甚至网络银行帐号、密码等,给企业造成经济损失。而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段,最终导致的电子商务安全事件。从美国的花旗银行和中央情报局到中国的某家国有商业银行,都有过由于内部人员的违规和违法操作,导致数据被篡改和泄密的事件发生。
近几年的电子商务安全案件表明:人员是网上交易安全管理中的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,有的竞争对手利用企业招募新人的方式潜入对方企业,或利用不正当的方式收买企业网络交易管理人员。有的电子商务从业人员从本企业辞职后,迅速把客户资料、产品研发成果等机密出售给竞争对手,给企业带来了不必要的经济损失。
电子商务信息安全已经引起很多企业的重视,但大多数企业往往侧重于加强技术措施,如购买先进的防火墙软件,采用更高级的加密方法等,很多企业认为:员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。之所以出现上述问题,主要有以下原因:
首先,很多企业管理高层对人员管理在信息安全中的地位认识不足。大多数企业将电子商务网络作为一项纯粹的技术工程来实施,企业内部缺乏系统的安全管理策略,只是被动的使用一些技术措施来进行防御,因此电子商务过程中一旦出现突发性事件,往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的,不安全因素随时存在。因此,安全管理措施必须渗透到系统的每一个环节和企业组织的~个层面,只有构建一个人与技术相结合的安全管理体系,才能确保整个电子商务系统得安全。
企业没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面,缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。
企业对员工的信息安全教育不够。员工的信息安全意识薄弱,9o%的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体,如u盘、移动硬盘以及笔记本等移动办公设备。
电子商务信息安全管理实践表明,大多数安全问题是由于管理不善造成的。安全管理是一项系统工程,不仅涉及到企业的组织架构、信息技术、人员素质等各个方面,还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素:改变lt系统不等于改变企业的信息安全管理,要使企业信息尽可能的安全,必须在技术投人的基础上融人人在管理方面的智慧i同时,不仅要防外,更要防内,即对组织内部人员的管理。信息安全问题的解决需要技术,但又不能单纯依靠技术。整个电子商务的交易过程,是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。“三分技术,七分管理”阐述了信息安全的本质。
电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。网上交易安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒、信息加密、身份认证、授权等,但必须明确,只有技术措施并不能完全保证网上交易的安全。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。为了加强企业电子商务的信息安全,我们提出如下建议:
(1)提高网络安全防范意识。
现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为网络攻击者的攻击目标,如此态度,网络安全更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座,只有提高网络安全防范意识,才能有效的减少信息安全事故的发生。
一个完整的信息安全管理体系首先应建立完善的组织体系。即建立由行政领导、it技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架,组织审批安全策略、安全管理制度,指派安全角色,分配安全职责,并检查安全职责是否已被正确履行,核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。如果需要,还可建立安全顾问机构。安全顾问机构可聘请信息安全专家担任系统安全顾问,负责提供安全建议,特别是在安全事故或违反安全策略事件发生后,可以被安全决策机构指定负责事故(事件)调查,并为安全策略评审和评估提供意见。
(3)制定符合机构安全需求的信息安全策略。电子商务交。
易过程中,需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略,策略中应明确安全的定义、目标、范围和管理责任,并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准,并发布和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估:在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时,应重新进行安全策略的审查和评估。
(4)人员安全的管理和培训。
参与网上交易的经营管理人员在很大程度上支配着企业的命运,他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是,他们具有智能性、隐蔽性、连续性、高效性的特点,因而,加强对有关人员的管理变得十分重要。首先,在人员录用时应做好人员鉴别,人员录用或人员职位调整时,一般要签署保密协议。当人员到期离开或协议到期、工作终止时,要审查保密协议。其次对有关人员进行上岗培训,建立人员培训计划,定期组织安全策略和规程方面的培训。第三,落实工作责任制,在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责,对违反网上交易安全规定的人员要进行及时的处理。第四,贯彻网上交易安全运作基本原则,包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。
(5)增强法律意识,促进电子商务立法。
面对电子商务这种新型的贸易形式,我国目前尚无专门法规可依,使得部分违法犯罪人员没有得到应有的惩罚。近几年里,国家加强了这方面的投入。在全国性的立法文件中,《合同法》的部分条款可以看作是针对电子商务的立法。此外,广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。《中华人民共和国电子签名法》是对主要用于电子商务活动,电子政务等其他应用应该有新的适用法规。
尽管在电子商务信息安全立法方面取得了一些成就,但总的来说,我国的电子商务立法还很不健全,对电子商务活动的安全保护缺少直接性;相关立法比较分散,而且效力不高;对新出现的情况缺乏适应能力;立法速度慢。这些都需要电子商务企业和国家有关部门不断探索,共同促进电子商务信息安全的法制环境建设。
快捷的电子商务在给企业带来发展机遇的同时,也使企业面临着各种安全风险。由于缺乏对电子商务信息安全管理体制的系统认识,很多企业都把其电子商务信息安全作为一项技术工程来实施,而忽略了交易过程中,各种参与人员对安全的影响。分析了企业在电子商务安全管理体制方面存在的不足和原因,从安全防范意识、管理组织体系、信息安全技术策略、人员管理与培训、电子商务立法等方面提出了一些加强人员安全管理的建议。在企业走向电子商务时代,只有管理与技术并重,才能确保企业电子商务交易过程中的信息安全。
电子商务安全论文篇七
pki(publickeyinfrastructure)即公钥基础设施,是利用公钥密码理论和技术建立起来的、提供和实施安全服务的基础设施。它由公开密钥密码技术、数字证书、证书发放机构ca和关于公开密钥的安全策略等基本成分共同组成,包括加密、数字签名、数据完整性机制、数字信封、多重数字签名等基础技术。在公钥密码技术中,为每个用户生成一对相关的密钥:一个公开密钥,通过非保密方式向他人公开;一个私有密钥,由用户自己保存。且公钥和私钥不能由一个推出另一个。用公钥加密,私钥解密,起到信息保密功能;用私钥加密,公钥解密,起到数字签名功能。
1.1数字签名。
数字签名(digitalsignature)是电子签名的一种特定形式,起到与手写签名或者盖章同等的作用。数字签名的使用包括签名和验证签名两个阶段。签名过程:签名方首先使用hash函数根据需要签名的原始数据(明文)生成一份固定长度的摘要,决定了生成的摘要是唯一的,且不同的明文散列变换得到的摘要结果总是不同。然后通过某个约定的算法用私钥对摘要加密,生成数字签名,最后将相应的数字签名附在原始数据后。签名验证过程:接收方收到密文后,使用对方的公钥对附在原始数据后的数字签名进行解密获得原摘要,再使用hash函数对数据明文进行运算,得到一份新的摘要,如果两份摘要完全一致,则验证数字签名为真。
1.2数字证书。
数字证书也叫数字标识(digitalcerticate,digitalid),相当于个人或机构在网络环境中的身份证,用于证明在网上进行信息交流及商务活动的各主体(如人、服务器等)的身份。数字证书由一个权威机构(ca认证中心)发放的,其中包含了用户身份的部分信息、用户所持有的公开密钥及认证机构的数字签名。使用数字证书进行数据传输时,发送方与接受方首先交换数字证书,确认彼此的身份,同时双方都得到了彼此的公开密钥。随后,发送方使用接收方的公钥对要传输的数据进行加密,而接收方收到密文后则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。
2.1保证了信息传输的保密性。
对传输中的数据流加密,防止信息在传输过程中被非法窃取是对交易安全的保证。由于私钥的唯一性,确保只有接收方才能成功地解密该信息。
2.2保证了数据的完整性。
数据完整性是指数据的接收方可以经过检查,确认收到的数据是否在传输、存储过程中被修改。如果敏感数据在传输和处理过程中被篡改,接受方就不会收到完整的数据签名,验证就会失败。反之,如果签名通过了验证,就证明接收方收到的是没经修改的完整性数据。
2.3保证了发送信息的不可否认性。
在传统贸易中,贸易双方通过在交易合同、契约等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约的可靠性并预防抵赖行为的发生。应用pki技术后,由于只有发送方拥有私钥,所以使用私钥对消息进行签名,一定是申请者本人的操作,签名者无法否认,并对其发生的行为不能抵赖,所以数字签名完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。
2.4验证交易者身份。
在网络支付中,为了避免欺诈的发生,网上银行必须证明自己并非虚假网站,而用户也必须证实自己是帐号的合法持有人。pki安全体系的是确认身份的重要技术,有助于在网络系统虚拟环境中检验个人或机构的身份,确认这些电子数据所代表的身份以及这些身份的真实可信性。pki安全体系能够全面支持电子商务在社会经济生活进行广泛应用,并起着重要作用,确保交易信息的安全性,从而极大地促进了电子商务的发展。国务院日前印发了《服务业发展“十二五”规划》,提出要促进数字证书在电子商务全过程、各环节的深化应用,规范网上银行、网上支付平台等在线支付服务,相信数字证书以及相关安全技术在未来的电子商务发展中会获得更广泛的使用。
电子商务安全论文篇八
摘要:在计算机网络技术的推动下,电子商务取得较大的发展,但是计算机网络的安全问题却又直接威胁电子商务的发展。所以,对于电子商务而言,运用好计算机网络安全技术是重点。笔者在介绍电子商务网络安全隐患的基础上,分析计算机网络安全技术的应用,再配合保证电子商务隐私安全的措施,希望可以满足电子商务运行环境安全的要求。
电子商务本身存在诸多优点,但是网络技术一旦欠缺安全性,就会直接威胁电子商务。想要推动电子商务发展,稳定安全的网络环境支持不可少,而想要获取安全可靠的网络环境,不但需要排除网络本身的安全隐患,同时还需要解决计算机网络应用之中电子商务面临的安全问题。
第一,信息窃取。利用网关或者路由器,就可以将传达的信息截获,这样就会直接造成信息和密码泄露。亦或是在分析之后,找到规律和格式,截获网络传输信息内容。出现信息窃取的问题,主要是由于安全度达不到要求,或者是加密太简单造成的[1]。第二,信息更改。在网关上以及路由器上都可以更改信息。在进行网上转账时,通过更改账号,就可以窃取金钱。或者是在修改信息之后,将所得到的信息直接发送给目的地。第三,假冒。当掌握用户基本信息之后,通过更改信息冒充用户,并且发布虚假的信息,或者是主动获取信息。第四,恶意破坏。攻击者主要是利用接入网络修改网络信息,这样就能够掌握相关的信息,并且还会顺利获得网络的有关内容,一旦出现这样的问题,造成的后果是非常严重的。
为了达到安全要求,在进行电子商务交易时需要利用多种网络安全协议与技术,提供不同程度的安全保障。
2.1智能化防火墙技术。
智能防火墙指的是正确判断带有病毒的程序,然后利用决策、记忆以及统计的方式来进行数据的识别处理,智能防火墙一般都不会询问用户,只有当网络访问不确定时,才会将信息传递给用户,然后邀请用户来一起进行防范。智能防火墙可以解决病毒传播、普通拒绝服务器攻击以及高级应用入侵等方面的问题。但是相比传统防火墙,并非每一个进入访问的程序都需要询问用户,这样就避免频繁的防火墙报警询问的出现,让用户难以自行判断,导致误判或者是直接造成危害。
2.2数据加密技术。
智能防火墙本身属于被动的防御,但是相比传统的防火墙,其本身的优势非常明显,不过依旧存在诸多问题。针对电子商务之中存在的不确定和不安全的因素,难以针对性地排除。那么,要保证电子商务交易的安全,就可以通过数据加密处理的方式,弥补其存在的不足之处。目前,数据加密包含了对称和非对称两个方面,很多机构通过公开密钥体系技术的使用构建出完整的签名体系以及加密体系,这样就可以很好解决电子商务之中存在的安全问题。通过公开密钥体系的构建,当甲方生成之后,就可以将其中一把秘钥给予贸易方,等待获取之后,乙方做好机密信息的加密处理,之后再返回给甲方,甲方利用另一个专用的密钥来进行解密处理,确保机密的信息能够在安全的状态下进行交换[2]。
2.3数字签名技术。
数字签名就是通过在数据单元上附加数据,或对数据单元进行秘密变换,从而使接收者可以确认数据来源和完整性。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人进行伪造。签名主要是通过电子的形式来呈现,并且签名的信息也可以在通信网络之中进行传输。数字签名技术,主要是直接将摘要信息的发送人员的私钥做好针对性的加密处理,完成之后,再发送给接收人员。利用公钥,接收者才能够进行解密处理,之后使用havh函数,就会形成一个摘要信息,然后与解密的摘要信息进行对比。如果相同,就证明信息是完整的,并且在传输的过程中没有进行任何的修改处理,否则就表明信息被修改。因此,数字签名可以满足信息传输的完整性需求,避免交易之中出现抵赖的问题。目前,在电子商务之中,这一种技术得到很好的使用。
2.4非法入侵检测技术。
在保护网络安全的过程中,防火墙技术可以阻止外部入侵,不过难以防范内部人员的攻击,无法提供入侵检测的能力。非法入侵检测就可以补充防火墙技术。非法入侵检测技术就是满足计算机系统安全的需求,从而设计与配置的一种能够发现异常现象以及未授权行为的一种技术,通过对计算机网络以及计算机系统之中若干个关键点收集信息合理的分析与了解,从而发现网络或者是系统之中是否存在违反安全策略和被攻击的现象。在网络安全防护之中,入侵检测技术是重要的组成部分。在不影响网络性能的前提下,就可以进行监测,防止外部攻击、内部攻击以及错误操作,从而提升整体的网络安全性。
2.5病毒防范技术。
电子商务会受到病毒攻击的危害,利用病毒防范技术,就可以有效避免病毒威胁。防范计算机病毒,主要通过防范体系和制度的建立,针对入侵的病毒做好针对性的防范处理,这样就能够使计算机病毒传播以及破坏得到有效控制。计算机病毒主要是通过读写文件感染,利用驻留内存、截取中断向量等方式进行传染和破坏。预防计算机病毒,就要及时更新病毒库,确保系统得到良好的保护,并且定期查杀病毒,也可以有效避免病毒传染,保证正常的使用。
第一,强化网络安全方面的管理。这需要领导机构相互协调,制定保障条例,保证电子商务交易的安全,这样就可以避免出现隐私泄漏的问题。第三,努力培养专业人才,保证电子商务网络安全。按照国际化的标准来培养人员,另外,通过先进的防御手段和技术就能够有效保证电子商务网络安全。第三,做好网络安全方面的执法与立法工作。注重立法进程,建立健全法律体系,完善保障体系。另外,积极汲取经验,修改现有的法律体系。第四,强化隐私安全设施建设。建立公开密钥基础设施,健全应急处理基础设备。另外,建立检测评估标准,就能够为保证网络隐私安全奠定基础条件[3]。
4结语。
总而言之,解决网络安全问题、促进网络安全技术发展对于电子商务健康安全发展有着重要作用。因此,要应用科学合理的网络安全技术,从而推动电子商务更好更快地发展下去。
参考文献。
[1]唐承辉.计算机网络安全技术在电子商务中的应用探究[j].信息通信,20xx(3):79.
[3]高杨.计算机网络安全技术对电子商务发展的影响[j].福建质量管理,20xx(3):100.
电子商务安全论文篇九
传统的交易是面对面的,比较容易保证建立交易双方的信任关系和交易过程的安全性。而电子商务活动中的交易行为是通过网络进行的,买卖双方互不见面,因而缺乏传统交易中的信任感和安全感。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄露,从而导致巨大的利益损失。根据中国互联网络信息中心(cnnic)发布的“中国互联网络发展状况统计报告”,在电子商务方面,52.26%的用户最关心的是交易的安全可靠性。由此可见,电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。
1、电子商务中的安全隐患有:(1)篡改。电子的交易信息在网络上传输的过程中,可能被他人非法的修改,删除或重放(指只能使用一次的信息被多次使用),从而使信息失去了真实性和完整性。(2)信息破坏。包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。(3)身份识别。如果不进行身份识别.第三方就有可能假冒交易一方的身份,以破坏交易.败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别,交易的一方可不为自己的行为负责任,进行否认,相互欺诈。(4)信息泄密。主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。
2、电子商务的安全性需求:电子商务的安全性需求可以分为两个方面,一方面是对计算机及网络系统安全性的要求,表现为对系统硬件和软件运行安全性和可靠性的要求、系统抵御非法用户入侵的要求等;另一方面是对电子商务信息安全的要求。(1)信息的保密性:指信息在存储、传输及处理过程中不被他人窃取。(2)信息的完整性:包括信息在存储中不被篡改和破坏,以及在传输过程中收到的信息和原发送信息的一致性。(3)信息的不可否认性:指信息的发送方不可否认已经发送的信息.接收方也不可否认已经收到的信息。(4)交易者身份的真实性:指交易双方是确实存在的,不是假冒的。(5)系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性,是否会因为计算机故障或意外原因造成信息错误、失效或丢失。
根据电子商务的这些安全性需求通常采用的安全技术主要有:密钥加密技术、信息摘要技术、数字签名、数字证书及ca认证。
1、密钥加密技术:密码加密技术有对称密钥加密技术和非对称密钥加密技术。
(1)对称密钥加密技术:对称密钥加密技术使用de算法,要求加密解密双方拥有相同的密钥,密钥的长度一般为64位或56位。这种加密方法可以解决信息的保密问题,但又带来了一些新的问题:一是在首次通信前,双方必须通过网络以外的途径传递统一的密钥:二是当通信对象增多时,需要相应数量的密钥,这就使密钥管理和使用的难度增大;三是对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄露都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。
(2)非对称密钥加密技术:为了克服对称密钥加密技术存在的密钥管理和分发上的问题,1976年diffie和hellman以及merkle分别提出了公开密钥密码体制的思想:要求密钥成对出现,一个为加密密钥,另一个为解密密钥,且不可能从其中一个推导出另一个。根据这种思想自1976年以来已经提出了多种公钥加密算法。公钥加密算法也称为非对称密钥算法,加密和解密的时候使用两把密钥,一把为公钥,另一把为私钥。私钥只有自己知道,严密保管,公钥和加密算法则可以通过网络等渠道发布出去。公钥加密算法主要有:rsa、fertezza、elgama等。非对称加密技术采用的是rsa算法,是由rivest、shanir和adle-man三人发明的。算法如下:公钥n=pq(p,q分别为两个互异的大素数,必须要保密,n的长度大于512bit),选一个数e与(p-1)(q-1)互质,私钥d=e-1(mod(p-1)(q-1)),加密:c=me(modn)(其中m为明文,c为密文),解密:m=cd(modn)。通信时,发送方用接收者的公钥对明文加密后发送,接收方用自己的私钥进行解密,这样既解决了信息保密问题,又克服了对称加密中密钥管理与分发传递的问题。
2、信息摘要技术:密钥加密技术只能解决信息的保密性问题,对于信息的完整性则可以用信息摘要技术来保证。
3、数字签名:数字签名(digitalsignature)是密钥加密和信息摘要相结合的技术,可以保证信息的完整性和不可否认性。
由于私钥是自己保管的他人无法仿冒,同时发送方也不能否认用自己的私钥加密发送的信息,所以数字签名解决了信息的完整性和不可否认性问题。数字签名加密和密钥加密技术不同,密钥加密是发送方用接收方的公钥加密,接收方在用自己的私钥解密,是多对一的关系;而数字签名中的加密是发送方用自己的私钥对摘要进行加密,接收方用发送方的公钥对数字签名解密,是一对多的关系,表明公司的任何一个贸易伙伴都可以验证数字签名的真伪性。
4、数字证书与ca认证:
非对称加密技术和数字签名技术都用到了公钥,当交易的一方通过公开渠道得到了另一方的公钥后,存在着这样的问题:这个公钥到底是不是真正属于对方的,是否会有其他人假冒对方发布的公钥。那么如何确定网上交易双方真实身份的确认,要用到由认证中心ca颁发的数字证书。
(1)数字证书:数字证书类似于现实生活中的身份证,它是标志网络用户身份信息的一系列数据,用来在网络应用中识别通讯各方的身份。数字证书采用公钥体制.即用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私钥,用它进行解密和数字签名;同时拥有一把公钥并可以对外公开,用于信息加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据进行加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误的到达目的地了。用户可以采用自己的私钥对信息加以处理,由于私钥仅为本人所有,所以能生成别人无法伪造的文件,也就形成了数字签名。同时,由于数字签名与信息的内容相关,因此经过签名的文件如有改动,就会导致数字签名的验证过程失败,这样就可以保证文件的完整性。
(2)数字证书的内容:主要包括以下内容:1、证书拥有者的姓名;2、证书拥有者的公钥;3、公钥的有限期;4、颁发数字证书的单位;5、颁发数字证书单位的数字签名;6、数字证书的序列号等。
(3)认证中心ca(certificateauthority):认证中心是颁发数字证书的第三方权威机构。在电子交易中,商家、客户、银行的身份都要由认证中心来认证。因此认证中心主要有以下的功能:1、核发证书:核实申请人的各项资料是否真实,根据核实情况决定是否颁发数字证书。2、管理证书:检查证书、废除证书、更新证书。3、搜索证书:查找或下载个人(单位)的数字证书。4、验证证书:可以帮助确定数字证书是否已被持有人废除电子商务的前途是光明的,但道路依然曲折,安全问题是阻碍电子商务广泛应用的最大问题,改进数字签名在内的安全技术措施、确定ca认证权的归属问题十分关键。
电子商务安全论文篇十
摘要:随着互联网的发展和普及,计算机开始走入家家户户,在此背景下,以淘宝为代表的一批电子商务企业开始蓬勃发展。然而作为新兴行业,电子商务的发展还不够完善,电子商务的信息安全问题还需要进一步探讨和解决。本文将详细介绍电子商务信息安全的定义及主要的信息安全问题,提出信息安全的目标,并详细介绍现有的信息安全技术。
网络安全和商务交易安全是保障电子商务信息安全的两条防线,两者缺一不可。如果没有网络安全,商务交易安全就像断了根基,根本无从保证;如果没有商务交易安全,即使网络安全做得再好,也无法实现保障电子商务信息安全的目标。因此,网络安全是商务交易安全的基础,商务交易安全是网络安全的上层建筑。同时,网络安全和商务交易安全也有很多不同之处,主要表现在两个方面。第一,网络安全不可能在根本上保证,在不可能绝对安全的网络环境下,仍然要保证电子商务安全。第二,假设存在绝对安全的网络环境,商务交易安全也未必能保证,商务交易安全需要更高层次的特殊保障。
在电子商务的运行过程中,最核心的安全问题就是信息安全攻击。所谓信息安全攻击就是一切能够威胁到网络信息安全的行为,主要包括以下几种行为。
1.信息截获。信息截获是指信息在正常的传输过程中被未授权的第三方访问,从而产生信息泄露的后果。
2.信息伪造。信息伪造是指未授权的第三方在信息的传输过程中插入伪造的信息流,从而干扰信息接收者的判断。
3.信息中断。信息中断是指信息在传输过程中被破坏,从而使信息变得不可利用。造成信息中断的原因不仅有恶意破坏,还有可能是计算机网络软硬件故障造成的。
4.信息篡改。信息篡改是指未授权的第三方不但截获了信息,还伪造了信息传送给信息接收者。
三、信息安全技术的目标。
1.信息的完整性。信息的完整性是指信息在传输过程中不中断,不被篡改,且信息间的次序不变。信息的完整性被破坏可能由两方面的原因造成,一是非人为因素,即由传输介质自身问题导致的信息中断;二是人为因素,即被第三方恶意破坏导致信息传输故障,也是信息安全技术作用的重点。
2.信息的机密性。信息的机密性是指信息在传输过程中不被第三方截获,即使被截获也无法被破译。维护信息的机密性主要是为了维护客户的隐私,保护电商的商业机密。
3.信息的不可抵赖性。信息的不可抵赖性是指信息传输的双方有充分的证据证明双方曾经传输过该信息,对于曾经发生的交易行为不可否认。信息的不可抵赖性能够有效地保障电子商务的可靠性。
4.交易者身份认证性。交易者身份认证性是指在电子交易中双方可以确认对方的身份信息,并确认对方的身份没有被第三方假冒。对交易者进行身份认证主要是为了保障支付货款等过程中的信任。
1.防火墙。防火墙又称防护墙,是处在内部网络和外部网络间的一种执行控制策略的网络安全系统。防火墙只允许授权的数据输入,只允许经过授权的内部员工、客户、推销商等人安全访问,简单地来说,防火墙可以决定被外界访问的内容以及可以访问内部内容的人员。
2.信息加密技术。信息加密技术是维护信息安全的核心技术,将传输的信息转化为第三方无法破译的密文,从而阻止第三方截获信息后获取有效数据。信息加密的过程主要有将明文转化为密文的加密过程和将密文转化为明文的解密过程。
3.数字签名。数字签名是用来确定发信人身份的技术,类似于我们日常生活中的物理签名,可以防止他人恶意伪装身份进行诈骗。数字签名是以信息加密技术为基础的,它是信息的发送者设置的一段数字串,经过公钥加密基础处理后传送给接受者,接受者可以通过这串数据判断信息的发送者,保障信息的真实性和不可抵赖性。
4.安全认证协议。安全认证协议是结合了数据加密等多种安全技术为一体的技术,是对不同企业的不同加密技术整合得出的统一的技术标准。目前被广大企业所接受的安全认证协议有两种,分别是安全套接层协议和安全电子交易协议。
五、结论。
在电商行业飞速发展的今天,信息安全面临着信息截获、伪造、中断、篡改的风险,因此,信息安全技术成为保障客户和企业利益的必备手段。信息安全技术肩负着维护信息的完整性、机密性、不可抵赖性以及交易者的身份认证性的任务。目前应用的信息安全技术主要包括防火墙、信息加密技术、数字签名、安全认证协议等。相信未来还将有更多先进的信息安全技术为电子商务的发展保驾护航。
h参考文献。
[1]汤发俊.电子商务的信息安全技术研究[d].南京理工大学,20xx.
[2]李彦.电子商务环境下用户数据的安全管理研究[d].山东师范大学,20xx.
电子商务安全论文篇十一
近年来,伴随着通信技术与计算机网络技术的飞速发展,电子商务的发展空前繁荣,受到了人们的广泛关注,并且融入到人们的日常生活中,网上购物、网上缴费等众多电子交易方式为人们缔造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界限制的,没有管理权威,这样使电子商务又面临着众多的威胁与安全隐患,严重制约其进一步发展与应用,因此,安全问题成为电子商务发展的主要障碍和关键。
1、窃取信息。
(1)企业或个人在进行网上交易中,数据信息在未采用加密措施情况下,在网络上传送,非交易双方的第三方攻击者便可在传送信道上对数据进行非法的截获,监听,获取数据中的信息,造成交易双方网上传输的信息泄露。
(2)交易双方在网上交易信息被第三方非法截获后,交易一方提供给另一方使用的文件很可能第三方非法使用。
2、篡改信息。
电子的交易信息在网络传输的`过程中,攻击者在掌握了信息格式和规律下,采用各种手段对截取的信息进行篡改和删除,这样就使信息失去了真实性和完整性。
3、身份仿冒。
攻击者运用非法手段盗用合法用户身份信息,发送假冒的信息或者主动获取信息,致使被假冒一方的信誊受损或盗取被假冒一方的交易成果,从而破坏交易的可靠性。
4、恶意破坏。
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏,严重威胁着电子商务的发展。
5、其他安全威胁。
随着电子商务在人们日常中的广泛应用,电子商务的安全威胁种类也日益繁多,存在于各种潜在方面,如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。
1、机密性。
传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,维护商业机密是电子商务全面推广应用的重要保障,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的机密性就变得非常重要。
2、完整性。
电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题,保持贸易各方的完整性是电子商务应用的基础。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。
3、认证性。
网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。
4、有效性。
在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保证信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。
1、防火墙(firewall)技术。
防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络(如internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。
2、加密技术。
数据加密技术是作为一项最基本的技术,是电子商务的基石,贸易方可根据需要在信息交换的阶段使用。数据加密是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取交易双方的真实信息。
在网络应用中一般采取两种加密形式:对称加密和非对称加密,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来做出判断。
(1)对称加密。
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。这种加密算法可简化加密处理过程,贸易双方都不必彼此研究和交换专用的加密算法,如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露,那么机密性和报文完整性就可以得到保证。不过,对称加密技术也存在一些不足,如果某一贸易方有n个贸易关系,那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(des),它主要应用于银行业中的电子资金转账(eft)领域。des对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似,但密钥的顺序正好相反。
(2)非对称加密/公开密钥加密。
在internet中使用更多的是公钥系统,即公开密钥加密。在该体系中,密钥被分解为一对:公开密钥pk和私有密钥sk。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开,而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。在公开密钥体系中,加密算法e和解密算法d也都是公开的。虽然sk与pk成对出现,但却不能根据pk计算出sk。
常用的公钥加密算法是rsa算法,加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。由于加密强度高,而且不要求通信双方事先建立某种信任关系或共享某种秘密,因此十分适合internet网上使用。
3、数字签名。
数字签名技术是实现交易安全核心技术之一,它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下几点:接收者能够核实发送者对报文的签名;送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法,采用较多的就是公开密钥算法。
4、数字证书。
(1)认证中心。
在电子交易中,数字证书的发放不是靠交易双方来完成的,而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。
(2)数字证书。
数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中,如双方出示了各自的数字证书,并用它来进行交易操作,那么交易双方都可不必为对方身份的真伪担心。
5、消息摘要(messagedigest)。
消息摘要方法也称为hash编码法或mds编码法。它是由ronrivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向hash加密算法对所需加密的明文直接作用,生成一串128bit的密文,这一串密文又被称为“数字指纹”(fingerprint)。所谓单向是指不能被解密,不同的明文摘要成密文,其结果是绝不会相同的,而同样的明文其摘要必定是一致的,因此,摘要成为消息的“指纹”以验证消息是否“真身”,消息摘要解决了信息的完整性问题。
结语:随着电子商务的不断发展,电子交易手段将更加多样化,安全问题会变的更加重要,本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
3、成卫青,龚俭.网络安全评估[j].计算机工程,,(02).
4、大卫·范胡斯.电子商务经济学[m].北京:机械工业出版社,2003.
5、杨善林.电子商务概论[m].北京:机械工业出版社,2003.
7、肖德琴.电子商务安全保密技术与应用[m].华南理工大学出版社,2003.9。
8、秦昌友.浅析电子商务的安全技术[j].苏南科技开发,2007,(08).
电子商务安全论文篇十二
在网络购物中出现的付款收不到货,或者货物不符合实际等此类事件屡见不鲜,这些事件暴露出来的电子商务安全问题不容小觑;还有些威胁到网络安全事件,如用户信息或贸易内容被窃取、中途篡改信息、病毒网络化、同行业者恶意竞争,甚至是身份假冒、交易抵赖等等。
这些现象与问题暴露出了我国电子商务存在严重的安全隐患,且极大地妨碍了电子商务的健康发展,本文认为要解决这些问题,需从以下几个方面入手。
1不断完善电子商务的立法和执法。
一方面,电子商务是在一个虚拟空间完成的商务活动,因此,我们应该调整现行的法律法规,确立与之相适应的法律制度与法律规范,让法律适应电子商务发展的需求。
在我国针对电子商务的相关法律规范主要有《合同法》、《消费者权益保护法》、《计算机信息网络国际联网安全保护管理办法》、《电子签名法》等,这些法律虽然适用于电子商务,但并没有针对电子商务的交易环境做出明确的规定。
因此,我们必须在严格遵照目前法律法规的基础上不断地健全和完善电子商务法律体系。
另一方面,对于那些破坏网络交易秩序、危害网络交易平台的行为应依法给予严厉惩治。
电子商务犯罪是伴随电子商务产生而产生的,电子商务犯罪是指利用电子商务活动,侵害电子商务交易并造成社会危害的行为。
上述提到,目前我国电子商务的立法讨论仍只限于电子签名、身份认证的层面上,而对于具有抽象性、易删改性和易复制性的电子证据方面,因其来源与制作信息具有隐蔽性等特性,我国法律还未明确的界定,这给电子商务犯罪的认定造成了困难。
鉴于电子商务犯罪存在于虚拟空间这样的特殊性,本文认为,我国应加紧完善立法,尽快地将电子证据作为一种新型的证据纳入证据法领域。
只有这样才能弥补电子商务犯罪中的证据采集难、案件侦查难、罪名裁定难以及量刑难等方面的漏洞,才能更有力地惩治、打击电子商务犯罪活动。
首先,要制定准入制度,对想从事网络服务或经营的单位(个人)进行限定。
电子商务安全论文篇十三
电子商务因其带来的经济效益和流行发展趋势而备受关注,其安全立法问题也得到了国际性组织和各国政府的高度重视,尽快营造全球范围内的电子商务安全法律环境已成为国际社会的共识。要创造一个适应和规范电子商务安全交易、发展的法律境,政府部门职责首当其冲,在电子商务发展的监管和安全立法中发挥其主导作用。及时了解电子商务即时情况,制定出台相应的安全保障法律法规,鼓励、引导、电子商务健康发展,规范、维持必要的网络市场秩序,这已经成为当前世界各国立法工作的重要任务。电子商务的广泛性和无界性使得世界各国纷纷出台相应法律、行为准则和规范办法来推动本国电子商务安全、健康的发展,旨在抓住信息技术的机遇,提高自身竞争力,从而会的优势,同时也减少电子商务的交易纠纷、欺诈行为,保障了交易的安全性,为电子商务在全球范围内的发展扫平障碍。
电子商务因其基础网络这个开放又隐蔽的环境,而显得比较特殊,其商贸交易行为需要有专门的法律来规范和秩序的维持,目前我国已经相继出台了部分法律法规、行为准则,设立了相应的部门来规范、监管和保证电子商务的安全。但与国际电子商务立法现状和国内电子商务现实状况相比,显得比较尴尬。我国电子商务安全法律体系仍然存在较多空白,强针对性的立法需要加快,先行法规则亟需进一步改进和完善。电子商务安全法律的不足之处有:电子交易流程行为规范、用户隐私保护、法律效力不足,法律滞后,情况描述不清,没有有效惩戒措施,难以对电子商务中的失信者和破坏者造成较强的约束力。因此强快电子商务安全法律立法和改进已经迫在眉睫。
现行电子商务安全法律,具有较强针对性质的较少,大多分散各类法规之中,或是零星提及电子交易安全问题,目前电子商务交易安全的法律法规主要有以下四类:
(1)综合性的法律。如:《民法通则》和《刑法》中有关对商贸交易的安全保障条文。
(4)对监督交易行为进行规范的法律,如会计法、票据法、银行法等。
国务院颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》和公安部颁发的《计算机信息网络国际联网安全保护管理办法》是两个对电子商务具有重大影响的行政法规。
另外《中华人民共和国电子签名法》的颁布也具有重要意义。该法赋予电子签名与手写签名或盖章具有同等的法律效力,明确了电子认证服务的市场准入制度,标志着我国的信息化立法迈出重要步伐。
电子商务发展壮大为商贸交易带来极大便捷和迅速优越性,成为了经济的强劲增长点,为全球经济的发展营造了良好的氛围,与此同时,因为其特点,也对社会各个领域特别是立法带来了困难和压力。
首先电子商务的立法,需要考虑国家和地区之间的差异,协调困难。电子商务基于网络,而网络却已经全球联通、跨越了地域的界限。它所面对的不只是一个地区、一个国家的市场,而是全球一体化的大市场。各国由于社会制度、政治状况、经济发展程度等不同而导致了现行法律法规的不同,要制定可以有效协调、高度一体化的商业和法律规则,谈何容易。
其次是电子商务交易处理、传输的实质就是对信号脉冲的传输和对数字流的处理,这种虚拟的平台上,双方的不曾谋面,使得信息资源对商家的商业信用提出了更高的要求。在信息得到广泛传播的同时,由于互联网既开放又隐蔽的特性使得信息的真伪有待验证,恶意的攻击、恶意的失信难以发现,即使发现也难以揪出终端背后的那个失信或破坏者,有法难断或者有法却找不到应受惩罚的人,而且对于包括制作版权、著作权、商标使用权、数据库等在内的知识产权保护也成为无法回避的问题。电子商务横跨领域之广、利益关联群体之多,和其有别于传统商务模式的无形化给税收体制及税收管理模式也带来了巨大的挑战。
再次,电子信息领域,技术日新月异,电子商务领域的技术进步速度已经超国家适时地调整其法律框架的能力。法律的变革无法做到像电子技术更新一样的快,也由于新的意想不到的问题的不断出现,使得适时的法律调整总跟不上电子商务高速发展的步伐。这是需要我们对于现行法律框架从根本上进行反思,困难而想而知。
电子商务安全论文篇十四
项目目标:完成电子商务安全管理软件系统的研制和开发,并进行市场化运作;对电子商务安全标准进行研究。主要功能:电子商务安全管理软件系统实现的主要功能有:(1)提供访问电子商务网站用户的身份认证、授权;授权用户在线删除,添加,更新本人信息;实现了允许一种用户可以以多种身分访问电子商务程序的身份验证和授权的功能。
(2)过滤当前用户请求中是否含有违反http协议的数据存在,包括参数缺失、参数异常、参数过多;过滤当前用户请求中是否含有违反当前请求页面的数据存在。
(3)对称式和非对称式的加密解密技术:包括数字签名算法、消息摘要技术、密钥交换方法、提供基于数据库的密钥管理服务的内容。
(4)收集功能模块的日志信息,然后生成统一的日志信息,并进行分类存储(本课题提供数据库存储形式),然后提供查询、删除等功能(用户可以对日志信息按日期、模块名进行查询、删除等操作)。
(5)随时对受保护的电子商务应用程序进行安全监控,若发现恶意代码的攻击,即刻发出报警信息。
(6)监控系统和电子商务应用程序的运行情况,若系统或应用程序出现异常,即刻发出报警信息。约束条件:本系统运行时需要java运行环境人员所需工具所需资源:开发本项目需要参加人员熟练掌握java、xml、tomcat、mysql、jsp、struts等,开发工具使用eclipse、editplus、mysql等。
1.2项目组织与进度。
1.3开发软件所需要的工具软件运行环境。
二、软件开发设计与程序编码。
2.1软件开发设计。
电子商务安全管理软件系统采用了模块化的设计理念,遵循j2ee的开发标准,充分利用了j2ee程序开发过程中所涉及到的开放源代码的应用软件。整个软件系统是在tomcat5.5.9条件下进行的研发,开发工具选用的是eclipse3.1,mysql4.1提供了数据库支持。此外,还使用了诸如spring,hibernate,struts,dom4j,log4j等免费软件和技术。从软件设计与软件开发的角度看,电子商务安全管理软件系统的设计规划遵循了如下设计原则:
(1)电子商务安全管理软件封装了许多功能强大、易于使用的软件功能模块,对于统一安全接口标准研究十分必要。
(2)软件的开发大量采用组件化、j2ee技术,独立于操作系统与数据库系统。软件内部的模块大量采用bean,进行业务逻辑的封装,可以方便利于网络层的请求响应调用。
(3)系统采用xml文件格式来响应业务请求,这样可以实现系统逻辑各层之间良好的通讯和接口。
(4)全面考虑电子商务安全的各种需求,设计统一的标准化的软件结构,使各种网络安全技术运行在软件框架之下,共同保护电子交易安全。
(5)提供开放的api接口,这样使其他公司的软件产品可以轻易的集成到这个软件系统平台上。
2.2程序编码。
安全代理:安全代理模块就像一个数据采集器;在电子商务安全控制中心中分析的所有http信息都是通过安全代理模块采集的。此外,安全代理模块还负责在分析后将反应结果返回给用户。开发安全代理模块所使用技术:servletfilter。
(1)认证授权模块。身份验证和授权认证模块提供一种基于jaas体系结构的认证解决方案。身份认证是用户或计算设备用来验证身份的过程,即确定一个实体或个人是否就是它所宣称的实体或个人。授权确定了已认证的用户是否能够访问他们所请求的资源或者执行他们所请求执行的操作。
(2)数据过滤模块。数据过滤模块实现两种分析算法:模式匹配算法和行为建模算法。一种是基于误用检测算法的模式匹配,另一种是基于异常检测算法的行为建模。
(3)协议过滤模块。根据电子商务网站管理员的人工配置和http协议细节执行协议过滤算法,针对于安全数据中出现的冗余信息、检测出的缺失信息,以及异常信息分别进行安全分析,并且触发相应的安全动作。
(4)安全监控模块根据安全分析的结果与事先定义的安全动作,模块采用相应的指定动作。此外,这个模块将向安全代理模块发送动作指令。如果发现黑的客入侵,就随时触发“拒绝”动作,然后发送警告给应用程序的管理员。同时,将恶意的入侵请求存入到数据库作为入侵分析的日志文件。因此,攻击者将会收到一个出错页面或者请求被禁止的页面。
(5)应用监控。应用监控模块主要实现了对于访问电子商务应用程序、安全代理模块的应用配置和应用监控功能。实现了应用程序和电子商务安全管理软件系统的动态配置、实时监控电子商务安全管理软件系统的响应速度。
(6)加密解密模块。加密解密技术对于用户要传输的信息进行加密操作,可以有效地保护信息的安全。加密解密模块的实现方案使用平台通用开发包jce(javatmcryptographyextension),它的加密解密算法的强度较高,算法灵活,适应于多种平台,从而使得用户的敏感信息可以得到更好的保护。提供完善的加密解密服务接口,提供密钥管理功能,包括密钥存储、检索和密钥自动更新的功能,提高密钥的安全性和保密措施。
(7)日志管理模块。日志管理模块的总体实现方案基于开放源代码项目—log4j,主要实现了为电子商务安全管理软件系统的功能模块生成统一格式的日志信息,对产生的运行日志、安全日志进行统一的日志管理,针对不同来源的日志将其保存到不同的日志文件。
电子商务安全论文篇十五
所谓“流动性整合”,即信息、知识与传统商业流程之间的充分协调。企业电子商务的瓶颈正是在于对“流动性整合”的忽视,真正电子商务的实现必须突破这个瓶颈,建立和共享企业与客户、供应商以及员工之间的知识链,完成知识链与商业流程的“流动性整合”,否则企业电子商务只能局限于浅层次的应用。知识管理系统采用信息技术和人相结合的方式建立和管理联接于客户、企业和供应商之间的知识链,实现知识链与物流系统的融合,完成企业的“流动性整合”,用知识指导决策付诸行动,再将行动转化为利润[2]。知识经济浪潮正席卷全球,对电子商务企业提出了新的挑战:企业内部信息资源浩如烟海,不知如何下手;信息孤岛林立,员工各自为战;决策过程缓慢错失良机;不能在最短的时间找到适当的人响应客户需求;专家神龙见首不见尾难以寻找;员工离职造成关键业务巨大损失……传统的信息技术无法应对这些难题,知识管理才是解决之道。
面对电子商务对知识管理的诉求,借鉴知名it企业在知识管理实践中的经验得失,是探讨电子商务中知识管理策略的捷径。
ibm前任ceo郭士纳以“大象也能跳舞”作为其畅销回忆录的主题,郭士纳作为一个技术“门外汉”,受命于危难,却缔造了it史上最大的神话,短期内让步履蹒跚的ibm重新翩翩起舞,并成功地将ibm从制造商改造为一家以电子商务和服务为主的技术集成商。ibm能翩然起舞的动力中,知识管理的作用不可或缺。ibm的知识管理系统被称为e-workplace(电子工作环境),在ibm的“协作”环境里,项目经理可随时掌握销售人员的最新动态以及项目进程;如果员工有什么问题,只需提交一个“需求”文档,系统就自动将需求发送到该流程中的应答人员,这就是“需求分析”模块。此外,员工还可以通过ibm的“专家网络”,直接向适当专家提问,把隐性知识挖掘出来整合到知识管理体系中去[3]。在日常培训方面,ibm设计了e-learning,直接推动式知识整合,系统对员工的角色、职务以及经历进行评估后将相应的课程提交给员工,并能自动跟踪员工学习进度。被美国《时代》周刊誉为“电子商务巨子”的郭士纳认为:电子商务的高级阶段就是“电子商务随需应变”。这意味着不可思议的响应速度,企业与供应商、合作伙伴之间天衣无缝的整合以及先于竞争对手建立灵活高效的运营模式,并能够伴随客户需求做出相应调整。为此,ibm的知识管理从改变员工的沟通方式开始,建立一些整合的个性化工作区,最终企业进入随需应变的高级阶段,基于web的协作环境大功告成,可以连接任何应用程序以及外部环境。至此,知识管理已经上升到推动创新和组织转变的战略高度。
21世纪初,国内真正在实施知识管理的企业寥若晨星,中国惠普分公司是国内知识管理领域的先行者。20xx年,惠普的高建华被任命为中国第一个首席知识官,开创了一条新模式的知识管理之路。高建华认为知识管理的推动过程应先有文化,再有内容,后有系统[4]。“知识管理的本质是一个管理问题,it只是工具。如果没有实质内容,系统不就是个摆设吗?”因此中国惠普选择的知识管理模式一开始并不涉及大笔预算,而是从it以外的制度着手。中国惠普给每个员工配备了“科研记录本”;每种新产品最后都会形成一本产品定义,记录产品的来龙去脉;沿袭中国传统的“师傅带徒弟”进行隐性知识的传递;一切从理顺流程开始,举行流程规范大赛;成立70多个读书会;设立惠普商学院……。不可否认,中国惠普的知识管理在高建华的领导下一度风生水起,开拓了知识管理的新思维,然而,就在中国惠普和康柏合并期间,惠普的知识管理没有等到信息系统的固化就被提前搁置了。深圳蓝凌的邓文彪博士表示:在知识管理的实践中,惠普总部和中国公司的最大差别,就在于是否将所有的知识管理都紧密结合在具体业务中。邓文彪认为中国惠普的知识管理过多地从愿望,而不是从解决实际问题出发,凭热情和领导要求开展,而未成为员工自觉自愿的工作行为。邓文彪还对高建华的三段论提出了质疑,坦言没有及时导入it系统使对已取得的知识管理成果的固化丧失了时机[5]。高建华的箴言“知识管理只能锦上添花,不能雪中送炭”仍需留待后人去评说。。
通过上述案例我们不难发现:电子商务中知识管理的对策可分为it信息系统(技术支撑)和柔性化管理(人文氛围)两大方面,由此我们可以得到知识管理的基本战略:系统与人文。“系统战略”将企业看作是一个信息系统,知识管理活动主要以系统化、文字化的资料、档案为主导,企业只要将获得或创新的知识加以系统化的编码贮存在数据库中。一般而言,这种战略多出现于产品生命周期中的“成熟期”,企业需要依赖于大规模生产来创造最大的效益。“人文战略”主要针对隐性知识的管理,强调企业知识的社会属性。人文战略认为人是知识管理持续改进的关键,在社会关系占主要地位的软环境中,it往往被看作是管理工具而不是成功的本质因素。若企业内存在着大量难以言喻或只能通过个人心智模式认知的知识,就可采取人文战略。
中国惠普的知识管理虽已偃旗息鼓,但不可一概以成败论英雄,事实上中国惠普提出的“一切以理顺流程开始”作为知识管理实践的起点并没有错。知识管理的出发点和归宿点都是要为企业创造价值,而创造价值的过程是业务流程,这个价值包括直接价值和间接价值。只有看到效益,大家才愿意去做。知识管理的实践无论是遵循系统战略抑或人文战略,都应与业务流程紧密结合。一般电子商务企业的价值流动是由资金流、信息流、物流3部分组成,而知识流的价值是通过价值流为顾客提供服务的。先前提到知识与传统业务流程之间的“流动性整合”正是电子商务的瓶颈所在,这就要求树立基于知识流的企业流程再造(bpr)的理念[6]。企业知识链分为两类,即业务知识链和技术知识链。业务知识链指的是企业与外部供应商和客户之间建立的以具体业务为核心的知识链,包括仓储、原材料供应、产品销售等方面的知识;技术知识链指的是企业内部研究开发,技术文挡、经验总结等知识。企业资源经营是以“融合”为方向进行资源整合[7]。应该指出,尽管中国惠普重视业务流程,甚至专门举办流程规范大赛,但并没有真正做到每一项知识管理举措都与业务紧密结合。反观惠普总部的connex专家网络则满足了研发的实际需求,新的研发者在思考和设计中,大量地需要与专家(包括已退休的专家)进行请教和交流,以获取专家头脑中的隐性经验知识以帮助自己。所以connex才得以重视,并成功发挥其应用。由此可见,知识管理就应该做到“雪中送炭”,而非“锦上添花”。
与中国惠普不同的是,惠普总部并没有专设的cko,惠普总部的知识管理最初由职能部门发起,如效果最为显著的“培训师交易站”,是由惠普教育组织的基层员工brucekarney建立,为的是解决教育者知识共享的途径问题。可见惠普总部的知识管理是“自下而上”推进,是基层员工出于具体业务需要及兴趣爱好,自发开创并且自觉推动的[8]。“自下而上”相较于高层领导“向上而下”地推进知识管理,优越性毋庸多言,但自上而下的政治体制、管理模式在中国延续了几千年,深深地印刻在国人思想意识之中。中国惠普采用的知识管理实施方式,适合中国国情。这就不可避免地要谈到企业文化的建设问题。几乎所有知识管理的理论家和实践家都认为:“知识管理为何如此难?难就难在文化。”“培育一个知识导向型文化是知识管理最重要的关键成功要素。”
企业文化的形成是一个渐进的过程,需要时间的沉淀。从文化入手实施知识管理,看似投入少、风险小,实则是从最硬的骨头啃起;知识管理是个系统工程,它要求具备一种整体的、动态的搭配能力,文化和技术必须同时进行创新,知识管理才能顺利实施。打造与电子商务平台对接的知识管理平台(it解决方案),是知识管理的技术支撑。目前市场上有很多知识管理软件产品,如前文介绍的蓝凌就是国内km市场的佼佼者,国外如ibm、微软等it巨头不仅对知识管理身体力行,且都是km解决方案供应商。如ibm的lotus知识管理产品包括实时协作和网络会议sametime、基于web的项目知识管理quickplace、分布式文档管理系统domino.doc、工作流管理workflow、知识发现与专家定位系统discoveryserver、企业知识门户websphereportalserver等,涵盖了知识管理框架的各个功能模块。在商业智能(bi)方面,ibm商业智能基本体系结构包括3部分:数据仓库用于抽取、整合、分布、存储有用信息;多维分析全方位了解现状;数据挖掘发现问题,找出规律,达到真正的智能效果:预测将来。微软sharepointportalserver提供智能的知识管理门户解决方案,不但可以帮助企业快速建构企业知识门户,还可以同时整合储存在企业各处服务器上的文件、包括文件服务器、web服务器、exchangeserver、lotusnotes、决策支持系统等[9]。电子商务企业除了和专业知识管理厂商合作,也可自主开发本企业的知识管理信息系统。系统可采用b/s体系结构,选择sqlserver数据库,java开发平台,开发工具可选eclipse平台,ibm向开放源码社区捐赠的开发框架[10]。知识管理平台用于连接电子商务平台和知识共享中心、知识获取和检索机制、实时决策支持等模块。图1和图2给出了知识管理平台的体系结构和功能结构图[11]。
本文讨论的广义上的电子商务包括狭义电子商务在内的一切利用it手段开展的商务活动,广义电子商务也称电子商务高级阶段,即业务流程和知识流程高度整合,达到“随需应变”。知识管理,本质上是一种企业管理思路或者说是工作方式,其实从管理学的萌芽时期,20世纪初工程师taylor研究最合适的煤铲开始,公司治理就包含了知识管理的精神,但是知识管理直到今天才真正引人注目,得益于信息技术和商业环境的发展。因此,电子商务中知识管理的实施不仅仅要从方法论出发,还要利用it信息技术及时将知识管理的成果予以固化。反之,也不要一味以为知识管理就是购买相关软件产品或开发知识管理信息系统,应从具体业务出发,切忌削足适履、为了知识管理而知识管理。电子商务实质上是知识管理的价值体现,两者之间存在着协同作用,这两套看似不同的系统可以通过it平台进行对接,实现“知识商务”。王国维在《人间词话》中说:“古今之成大事业、大学问者,罔不经历三种境界”。电子商务中知识管理的实践也正会有这种路漫漫其修远兮、上下求索、豁然开朗的过程。
【本文地址:http://www.xuefen.com.cn/zuowen/8282645.html】
