電子商務信息安全范文
時間:2023-10-12 17:34:08
導語:如何才能寫好一篇電子商務信息安全,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
1 問題的提出
隨著Internet網絡技術飛速發展及普及,電子商務(Electronic Commerce,簡稱EC)已經逐漸成為人們進行商務活動的新模式,越來越多的人通過Internet進行商務活動。電子商務是利用網絡技術、計算機技術和通信技術,實現數字化、電子化,商務化,網絡化的整個商務過程,它與傳統商業活動相比,最大的一個特征就是基于B/S方式下,交易雙方在不見面的情況下完成商品貿易活動。
由于Internet自身的共享性、開放性、無縫性,那么以此為平臺的在線商務交易安全也面臨著日益嚴峻的挑戰。據國家信息中心信息安全研究與服務中心統計,2012年發生了2起源代碼被盜事件,2起重大黑客攻擊事件,6起信息泄密事件,3起重大漏洞事件。2013年的棱鏡門,谷歌抓取支付寶轉賬信息,酒店開房記錄泄露等。據中國互聯網產業統計,中國網民在2013年損近1500億元。對于以上的這些問題,本文將對電子商務信息安全應用進行研究,并提出一些合理的安全解決方法,提高電子商務交易過程中的安全性,降低實施風險。
2 國內外電子商務安全研究現狀
2.1 國際電子商務安全研究現狀
在電子商務安全研究方面,美國是處于領先地位。美國國家安全局(NSA)在1983年正式頒布“受信計算機系統評量基準”,是目前頗具權威的計算機系統安全標準之一。自“911”恐怖襲擊事件之后,美國公司增強了信息技術安全觀念,投入大量的經費,同時加強信息技術安全方面的工作。從現在的網絡安全研究情況的現實看,解決網絡安全問題的根本途徑和方向是網絡技術創新,即研發新一代網絡技術,采取“立體”措施,包括引入“中間件”層及其安全結構,在“網絡層”增設面向連接的實時協議、強化整個網絡系統的管控智能以及改進終端加密和反黑等措施。
2.2 我國電子商務安全研究現狀
國務院在1996年了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》,公安部在1997年了《計算機信息網絡國際聯網安全保護管理辦法》,2000年由國家信息化推進工作辦公室牽頭起草的《關于發展我國電子商務的若干意見》上報國家最高決策層進行審議。網絡信息安全問題不但得到了政府、企業的高度重視,同時國內的大專院校、研究所和有實力的大公司也紛紛進入網絡信息安全問題的研究領域。
3 電子商務信息安全隱患
電子商務的信息存儲安全隱患主要包括:(1)內部隱患。主要是網內用戶未經許可隨意增加、刪除、修改或無意或故意地非授權調用電子商務信息。(2)外部隱患。主要是因為軟件問題造成外部人員非法闖入內網,造成電子商務信息被增加、刪除、修改或調用。
電子商務的信息流動安全隱患主要包括:(1)竊取商業機密。多數電子商務的信息是以明文的方式傳輸,那么攻擊者很容易的對電子商務信息進行監聽和截取。(2)攻擊商務網站。攻擊者通過傳播計算機病毒,繞過電子商務網站的防火墻,篡改信息,使其無法正常運轉。(3)實施商務詐騙。不法分子通過Internet虛假信息騙取帳號、現金,用戶對電子商務產生不信任感,阻礙了電子商務的順利發展。(4)傳播不良信息。不法分子為了達到自己既有目的,在電子商務信息中推送不良信息。
電子商務交易雙方的信息安全隱患主要是:(1)商家的信息安全隱患。不法分子冒充合法用戶修改商務信息內容,致使電子商務活動中斷,造成商家無法從事正常的業務活動。(2)用戶的信息安全隱患。不法分子竊用攔截合法用戶身份信息,以合法的用戶進行電子商務活動,使用戶蒙受損失。
4 電子商務信息安全管理
在電子商務活動中,有些信息屬于商業秘密,如果失竊,將帶來不可估量的損失,因此需有一個能不中斷地提供服務及可靠穩定的電子商務平臺,任何系統的中斷,如軟硬件錯誤,病毒,網絡故障等都可能導致電子商務系統不能正常工作,所以電子商務信息的安全管理問題就成了電子商務順利推進的保障。隨著電子商務的深入應用,攻擊網絡技術和手段不斷改進,這就對電子商務信息系統的安全性提出了更高的要求,必須保證外網用戶不能對系統構成威脅,所以人們對這些基本技術進行了反復改進以適應更高的安全需求。
4.1 電子商務安全的法制建設及企業內部管理
為了保護用戶信息在電子商務活動中不受侵犯,政府應該完善電子商務信息法規,同時,還需制定詳盡、具體、具有可操作性的賠償制度,包括精神賠償和物質賠償,為電子商務的發展提供必要的法律保證。
在國內對個人信息安全保護的監管分別由公安部、工業與信息化部等部門管理,多頭管理難免會出現監管漏洞。對此可以建議由國安委統一管理,只有權力清晰才能保證監管沒有漏洞。
有些安全事件是“禍起蕭墻”,這就要求加強企業內部安全管理,培育和加強企業安全意識,通過企業和用戶的共同努力來實現。它的基本原則是在系統內發生的所有行為都必須被定義好的,并且符合相應的程序控制要求,所有行為的發生都有審計記錄,可以解決許多技術層次解決不了的安全性問題。
4.2 防火墻技術
目前的防火墻分可為兩大類,一類是簡單的包過濾技術,它是在網絡層對數據包實施有選擇的通過。依據系統內事先制定好的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址等因素來確定是否允許數據包通過。另一類是應用網管和服務器,其顯著的優點是能提供小顆度的存取控制,可針對特別的數據過濾協議和網絡應用服務,并且能夠對數據包分析并形成相關的報告。通過防火墻技術,可以過濾掉不安全的服務,提高網絡安全和減少網絡中主機的風險。但防火墻是一種被動安全技術,不能阻止來自內部網絡的攻擊。唯一的解決辦法就是,在每臺計算機上都裝反病毒軟件。
4.3 病毒防范技術
計算機病毒實際上就是在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒繞過系統或違反授權入侵成功后,在系統中植入木馬等病毒程序,為以后攻擊系統、竊取信息做好準備。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監測,工作站上對網絡目錄及文件設置訪問權限等。
現在較流行的反病毒技術基于病毒的特征碼掃描法、文件實時監控技術并輔以指令虛擬技術。掃描病毒:分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中,在掃描時將掃描對象與特征代碼庫比較,如有吻合則判斷為染上病毒。該技術實現簡單有效,安全徹底。監控病毒:通過利用操作系統底層接口技術,對系統中的指定類型的文件進行實時的行為監控,一旦有病毒傳染或發作時就及時報警。從而實現了對病毒的實時、永久、自動監控。刪除病毒:在刪除時采用虛擬技術對變種的病毒進行處理或編寫出相應的程序,將病毒移除計算機內存。
4.4 認證技術
安全認證技術主要有:(1)數字摘要技術,也稱安全HASH編碼法。用于對所要傳輸的數據進行運算生成信息摘要,它并不是一種加密機制,但能產生信息的數字"指紋",目的是為了確保數據沒有被篡改,從而保證數據的完整性和有效性。(2)數字簽名技術,又稱電子簽章、公鑰數字簽名。是一種類似寫在紙上的普通的物理簽名,就是附加在數據單元上的一些數據,或是對數據單元所作的密碼變換。這種變換或數據允許數據單元的接收者用以確認完整性和數據單元的來源并保護數據,防止被人偽造。它是對電子形式的消息進行簽名的一種方法,一個簽名消息能在一個通信網絡中傳輸。主要功能是保證信息傳輸的完整性、發送者的身份認證、防止交易中發生抵賴。(3)數字證書技術,又稱為數字憑證。負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。(4)數字時間戳技術(DTS)。在文件交易中,時間是十分重要的信息,需對文件交易的時間和日期信息采取安全措施,而數字時間戳服務就能提供電子文件交易時間的安全保護。時間戳是一個經加密后形成的憑證文檔,它包括三個部分:需加時間戳的文件摘要,DTS的數字簽名,DTS收到文件的日期和時間。(5)身份認證實際。是計算機系統通過審查用戶身份證明的過程,提供確認和判別用戶身份的機制,確定用戶是否具有對系統資源操作和訪問權限。本質是確認用戶身份,用戶必須能夠證明其身份標識合法性。身份認證技術是訪問控制、安全審計、入侵檢測等安企機制的基礎,在電子商務信息安全理論與技術中占有至關重要的位。目身份認證技術主要有基于口令的認證技術、基于密碼學的認證技術、基于智能卡的認證技術以及基于生物學特征的認證技術等。
4.5 安全協議技術
電子商務安全問題的核心是電子交易的安全性,為了徹底解決電子商務的安全機制,人們開發了各種用于加強電子商務安全的協議。當前廣泛應用的電子商務安全協議主要有SET協議(Secure Electronic Transaction,安全電子交易)和SSL協議(Secure Sockets Layer,安全套接層),二者都采用了RSA算法加密。
SSL協議提供加密的SSL會話服務、SSL服務器鑒別服務以及SEL客戶鑒別服務,實現了瀏覽器等客戶端應用軟件與TC/IP協議之間的接口,可以對萬維網客戶與服務器之間傳送的數據信息進行加密和鑒別,在雙方握手階段,對將要使用加密算法和雙方共享的會話密朗進行協商,完成客戶與服務器之間的鑒別。目前許多運營商利用本身的便利性,使用一些的數據收集工具,分析出客戶的需求,并為客戶提供同類商品信息,或者是分析其他運營商的數據,產生一種惡性競爭。對于客戶來講,提供相關的其他同類商品的信息,看似是一種個性化的服務,但是同時也是在侵犯用戶的隱私,為此在應用層也就客戶在瀏覽網頁時,如果客戶需要商家提供相關的同類商品的信息時,商家才能對客戶的數據進行分析,否則不應任意分析用戶的數據。
SET協議是基于應用層的協議,是一種新的電子支付模式,它保證了開放網絡上使用信用卡進行在線購物的安全。SET協議具有強大的驗證功能,主要是為了解決用戶、銀行、商家之間通過信用卡的交易而設計的,它具有保證交易數據的完整性,交易的不可抵賴性等優點,因此它成為目前公認的信用卡網上交易的國際標準。
5 結束語
電子商務信息的安全問題是一項復雜的系統工程,隨著電子商務的發展,通過各種網絡的交易手段也會更加多樣化,安全問題變得更加突出。它不僅涉及到動態傳輸信息及靜態存儲信息的安全問題,還需要保證電子商務信息安全,加快電子商務的發展。還有在非技術方面,需要完善法律制度、管理制度和誠信制度,促進社會公眾商務觀念的轉變等,營造電子商務信息安全的社會大環境。
[參考文獻]
[1]金勝男.電子商務的信息安全技術研究.技術研發,2013年第12期.
[2]孟慧敏.電子商務對國際貿易的影響及應用.電腦知識與技術,2013年2月第9卷第5期.
[3]韓文虹.電子商務中安全技術的應用研究.電子商務,2013年2月.
[4]崔敏.基于電子商務的安全技術討論.網絡安全,2013年7月.
[5]龍愛民.電子商務的信息安全技術分析.信息技術,2013年9月.
[6]牟童.電子商務安全體系結構淺析.電子商務與電子政務,2013年3月.
篇2
一 、電子商務信息的安全要素
1.機密性
傳統的貿易大多是通過書信或者可靠的通信渠道來發送商業文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務是在開放的網絡環境下進行的,因此要預防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務信息的機密性就變得非常重要。
2.完整性
電子商務極大地簡化了傳統貿易過程,減少了認為的干預,同時也伴隨著貿易各方商業信息的完整、同一問題。由于數據錄入時合法或非法的行為,可能導致貿易數據的差異。信息在傳輸的過程中也有可能造成信息的丟失、重復或次序的差異。因此要預防對信息的各種非法操作,保證數據在傳送的過程中完整性。
3.認證性
網絡環境是一個虛擬的環境,而電子商務就是在這個虛擬平臺上進行的,貿易雙方一般都不見面,需要一些技術和策略來進行身份確認。當個人或實體聲稱身份時,電子商務服務需要提供一種方式來進行身份認證。
4.有效性
在交易的過程中貿易雙方需要確定很多信息,電子商務以電子形式取代了紙張來確認這此信息,保證謝謝信息的有效性是開展電子商務的前提。因此要對網絡故障、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻和地點是有效的。
二、電子商務網絡的安全隱患
1.竊取信息
(1)交易雙方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。
2.篡改信息
電子的交易信息在網絡傳輸的過程中,可能被他人非法的修改、刪除這樣就使信息失去了真實性和完整性。
3.假冒
第三方可以冒充合法用戶發送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。
4.惡意破壞
由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,破壞網絡的硬件或軟件而導致交易信息傳遞丟失與謬誤。計算機網絡本身容易遭到一些惡意程序的破壞,而使電子商務信息遭到破壞。
三、電子商務安全中的幾種技術手段
1.防火墻(FireWall)技術
防火墻是一種隔離控制技術,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出。
2.加密技術
數據加密技術是電子商務中采取的主要安全措施,貿易方可根據需要在信息交換的階段使用。在網絡應用中一般采取兩種加密形式:對稱加密和非對稱加密,采用何種加密算法則要結合具體應用環境和系統,而不能簡單地根據其加密強度來做出判斷。
(1)對稱加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程,貿易雙方都不必彼此研究和交換專用的加密算法,如果進行通信的貿易方能夠確保私有密鑰在交換階段未曾泄露,那么機密性和報文完整性就可以得到保證。不過,對稱加密技術也存在一些不足,如果某一貿易方有n個貿易關系,那么他就要維護n個私有密鑰。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數據加密標準(DES),它主要應用于銀行業中的電子資金轉賬(EFT)領域。DES對64位二進制數據加密,產生64位密文數據。使用的密鑰為64位,實際密鑰長度為56位(8位用于奇偶校驗)。解密時的過程和加密時相似,但密鑰的順序正好相反。
(2)非對稱加密/公開密鑰加密
在Internet中使用更多的是公鑰系統,即公開密鑰加密。在該體系中,密鑰被分解為一對:公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開,而另一把則作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛,但它只對應于生成該密鑰的貿易方。在公開密鑰體系中,加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現,但卻不能根據PK計算出SK。
常用的公鑰加密算法是RSA算法,加密強度很高。具體做法是將數字簽名和數據加密結合起來。發送方在發送數據時必須加上數字簽名,做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名,然后與發送數據一起用接收方密鑰加密。這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名,然后用方公布的公鑰對數字簽名進行解密,如果成功,則確定是由發送方發出的。由于加密強度高,而且不要求通信雙方事先建立某種信任關系或共享某種秘密,因此十分適合Internet網上使用。
3.數字簽名
數字簽名技術是實現交易安全核心技術之一,它實現的基礎就是加密技術。以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢?這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點:接收者能夠核實發送者對報文的簽名;送者事后不能抵賴對報文的簽名;接收者不能偽造對報文的簽名。現在己有多種實現數字簽名的方法,采用較多的就是公開密鑰算法。
4.數字證書
(1)認證中心
在電子交易中,數字證書的發放不是靠交易雙方來完成的,而是由具有權威性和公正性的第三方來完成的。認證中心就是承擔網上安全電子交易認證服務、簽發數字證書并確認用戶身份的服務機構。
(2)數字證書
數字證書是用電子手段來證實一個用戶的身份及他對網絡資源的訪問權限。在網上的電子交易中,如雙方出示了各自的數字證書,并用它來進行交易操作,那么交易雙方都可不必為對方身份的真偽擔心。
5.消息摘要(Message Digest)
消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由Ron Rivest所發明的。消息摘要是一個惟一對應一個消息的值。它由單向Hash加密算法對所需加密的明文直接作用,生成一串128bit的密文,這一串密文又被稱為“數字指紋”( Finger Print )。所謂單向是指不能被解密,不同的明文摘要成密文,其結果是絕不會相同的,而同樣的明文其摘要必定是一致的,因此,這串摘要成為了驗證明文是否是“真身”的數字“指紋”了。
結語:本文分析了目前電子商務的安全需求,使用的安全技術及仍存在的問題,并指
出了與電子商務安全有關的協議技術使用范圍及其優缺點,但必須強調說明的是,電子商務的安全運行,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻:
[1] 吳洋.電子商務安全方法研究[D].天津大學, 2006.
[2] 李艷.電子商務信息安全策略研究[J].甘肅科技, 2005,(06)
[3] 成衛青,龔儉.網絡安全評估[J].計算機工程, 2003,(02).
[4]大衛·范胡斯.電子商務經濟學[M].北京:機械工業出版社,2003.
[5]楊善林.電子商務概論[M].北京:機械工業出版社,2003.
[6]劉麗梅. 電子商務信息安全問題探討[J ] . 物流科技,2007 ,3
篇3
【關鍵詞】電子商務;信息安全;信息技術
電子商務概念源于英文Elect ronic Commerce , 簡寫EC。美國《商業周刊》認為, Internet 已經成為" 有史以來最激動人心的生意場" 。電子商務介入世界經濟活動并成為其中主角是必然的發展趨勢。據統計1998 年全球電子商務交易額為1020 億美元,2003 年電子商務交易額達到1. 3 萬億美元,約占世界貿易總額的1/ 4 ,到2005 年將達到2~3 萬億美元。由于大量的信息在網上傳遞,大量的資金在網上劃撥流動,這就要求網上信息必須具有高度的可靠性和絕對的保密性。但是出于各種目的的網絡入侵和攻擊也越來越頻繁,脆弱的網絡和不成熟的電子商務增強了人們的防范心理。從這點上來看,信息安全問題是保障電子商務的生命線。
1 、電子商務信息的安全要素
1. 1 機密性
傳統的貿易大多是通過書信或者可靠的通信渠道來發送商業文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務是在開放的網絡環境下進行的,因此要預防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務信息的機密性就變得非常重要。
1. 2 完整性
電子商務極大地簡化了傳統貿易過程,減少了認為的干預,同時也伴隨著貿易各方商業信息的完整、同一問題。由于數據錄入時合法或非法的行為,可能導致貿易數據的差異。信息在傳輸的過程中也有可能造成信息的丟失、重復或次序的差異。因此要預防對信息的各種非法操作,保證數據在傳送的過程中完整性。
1. 3 認證性
網絡環境是一個虛擬的環境,而電子商務就是在這個虛擬平臺上進行的,貿易雙方一般都不見面,需要一些技術和策略來進行身份確認。當個人或實體聲稱身份時,電子商務服務需要提供一種方式來進行身份認證。
1. 4 有效性
在交易的過程中貿易雙方需要確定很多信息,電子商務以電子形式取代了紙張來確認這此信息,保證謝謝信息的有效性是開展電子商務的前提。因此要對網絡故障、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻和地點是有效的。
2 、電子商務安全中存在的問題
電子商務是實現整個貿易過程中各階段貿易活動的電子化。公眾是電子商務的對象,信息技術是實現電子商務的基礎,電子商務實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務活動中的信息安全問題主要體現在以下幾個方面。
2. 1 計算機網絡的安全
2. 1. 1 安全協議問題
隨著經濟和信息全球化的時代到來,但安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
2. 1. 2 信息的安全問題
非法用戶在網絡的傳輸上,通過不正當手段,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網絡數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網絡數據包再次發送,惡意攻擊對方的網絡硬件和軟件。
2. 1. 3 防病毒問題
電腦病毒問世十多年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。
2. 1. 4 服務器的安全問題。
電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數據庫里有企業的一些保密數據,如價格、成本等,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果也是非常嚴重的。目前服務器的安全問題尚無有效措施予以阻止。主要表現在:非法用戶向網絡或主機發送大量非法或無效的請求,使其消耗可用資源卻無法繼續提供正常的網絡服務,利用操作系統、軟件、網絡協議、網絡服務等的安全漏洞,通過網站發送特制的數據請求,使網絡應用服務器崩潰而停止服務。
2. 2 電子商務交易的安全
2. 2. 1 身份的不確定問題
由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段竊取合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從中獲得非法收入。主要表現有:冒充他人身份;冒充他人消費、栽贓、冒充主機欺騙合法主機及合法用戶等。
2. 2. 2 交易的抵賴問題
電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。如自己應承擔的責任如:者事后否認曾經發送過某條信息或內容;收信者事后否認曾經收到過某條信息或內容;購買者做了訂貨單不承認,商家賣出的商品質量差但不承認原有的交易。在網絡世界為交易雙方的糾紛進行公證、仲裁。
2. 2. 3 交易的修改問題
交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
2. 3 其他方面的安全
電子商務安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題:網絡交易糾紛的仲裁、網絡交易契約等問題,急需為電子商務提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅。[ ]
3 、保障電子商務信息安全措施
3. 1 數據加密策略
加密技術是電子商務的最基本措施,最初主要用與保證數據在存儲和傳輸過程中的保密性。隨著電子商務的發展,對數據完整性以及身份鑒定技術提出了新的要求,數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。加密技術是一種主動的信息安全防范策略,利用一定的加密算法. 將明文轉換成毫無意義的密文。阻止非法用戶理解原始數據,從而確保數據的保密性。
比較廣泛使用的加密技術有兩種:一是對稱密鑰加密體制,一是非對稱密鑰加密體制。它們的區別在于密鑰的類型不同。
3. 1. 1 對稱密鑰加密體制
對稱密鑰加密,又稱私鑰加密(Secret Key Encryption) ,即數據加密和解密采用的都是同一個密鑰,因而其安全性依賴于所持有密鑰的安全性,其最大的優點就是速度快,適合于對大數據量進行加密,但其最大的缺點是在大量用戶的情況下密鑰答理復雜,而且無法完成身份認證等功能,不便于應用于網絡開放的環境中。
3. 1. 2 非對稱密鑰加密體制
非對稱密鑰加密體制,又稱公鑰加密( Public Key Encryp2tion) ,數據加密和解密采用不同的密鑰,需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分解為一對。這對鑰中的在何一把都可作為公開密鑰,加密密鑰,通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數據的接受者掌握。
利用公鑰體系可以方便地實現對用戶的身份認證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進行解密,如果能夠解開,說明信息確實為該用戶所發送,這樣就方便地實現了對信息發送方身份的鑒別和認證。
通常在實際應用中將公鑰密碼體系和數字簽名算法結合使用. 在保證數據傳輸完整性的同時完成對用戶的身份認證。
3. 2 防火墻技術
現有的防火墻技術包括兩大類:數據包過濾和服務技術。其中,最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數據包的頭,以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾,所以可以有效地避兔對其進行的有意或無意的攻擊,從而保證了專用私有網的安全。將包過濾防火墻與服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于: (1) 防火墻技術只能防止經由防火墻的攻擊,不能防止網絡內部用戶對于網絡的攻擊。(2) 防火墻不能保證數據的秘密性,也不能保證網絡不受病毒的攻擊,它只能有效地保護企業內部網絡不受主動攻擊和入侵。
3. 3 身份驗證技術
3. 3. 1 認證系統
網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發機構叫做Certificate Authority ,通常簡稱為CA。要建立安全的電子商務系統,首先必須建立一個穩固、健全的CA ,否則,一切網上的交易都沒有安全保障。
篇4
[關鍵詞] 電子商務信息安全PKI機制
最近幾年,電子商務以其便利快捷的特點迅速發展起來,但是安全問題一直是阻礙其發展的關鍵因素。雖然信息安全技術的研究和應用為互聯網絡安全提供了必要的基礎設施,但是電子商務信息的機密性和完整性仍然是迫切需要解決的問題,本文就是針對這一問題展開了深入研究并提出了解決方法。
一、電子商務中的信息安全問題
1.截獲信息。未加密的數據信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。
2.篡改信息。當入侵者掌握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然后再發向目的地,從而導致部分信息與原始信息不一致。
3.偽造信息。攻擊者冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
4.中斷信息。攻擊者利用IP欺騙,偽造虛假TCP報文,中斷正常的TCP連接,從而造成信息中斷。
二、PKI及其加密體制
電子商務的信息安全在很大程度上依賴于技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、網絡隱患掃描技術、系統安全監測報警與審計技術等。其中密碼技術和鑒別技術是重中之重,PKI及其加密體制是實現這兩種技術的載體。
1.PKI的定義和功能。PKI是對公鑰所表示的信任關系進行管理的一種機制,它為Internet用戶和應用程序提供公鑰加密和數字簽名服務, PKI的功能主要包括:公鑰加密、證書、證書確認、證書撤銷。
2.對稱密碼體制。對稱密碼體制的基本特點是解密算法就是加密算法的逆運算,加秘密鑰就是解秘密鑰。在對稱密碼系統中發送者和接收者之間的密鑰必須安全傳送,而雙方實體通信所用的秘密鑰也必須妥善保管。常見的對稱加密算法包括DES、三重DES和IDEA等。
3.非對稱密碼體制。非對稱密碼體制也稱公鑰密碼體制。非對稱密碼體制的基本特點是存在一個公鑰/私鑰對,用私鑰加密的信息只能用對應的公鑰解密,用公鑰加密的信息只能用對應的私鑰解密。著名的非對稱加密算法是RSA。RSA使用的一個密鑰對是由兩個大素數經過運算產生的結果:其中一個是公鑰,為眾多實體所知;另外一個是私鑰,為了確保他的保密性和完整性,必須嚴格控制并只有他的所有者才能使用。RSA加密算法的最基本特征就是用密鑰對中的一個密鑰加密的消息只能用另外一個解密,這也就體現了RSA系統的非對稱性。
RSA的數字簽名過程如下:s=md mod n,其中m是消息,s是數字簽名的結果,d和n是消息發送者的私鑰。
消息的解密過程如下:m=se mod n,其中e和n是發送者的公鑰。
4.數字簽名。數字簽名通常使用RSA算法。RSA的數字簽名是其加密的相反方式,即由一個實體用它的私鑰將明文加密而生成的。這種加密允許一個實體向多個實體發送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發送者的公鑰就可以解密。
5.散列(Hash)函數。MD5與SHA1都屬于HASH函數標準算法中兩大重要算法,就是把一個任意長度的信息經過復雜的運算變成一個固定長度的數值或者信息串,主要用于證明原文的完整性和準確性,是為電子文件加密的重要工具。一般來說,對于給出的一個文件要算它的Hash碼很容易,但要從Hash碼找出相應的文件算法卻很難。Hash函數最根本的特點是這種變換具有單向性,一旦數據被轉換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結果,達到防止信息被篡改的目的。由于Hash函數的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數字簽名。
三、對稱和非對稱加密體制相結合的應用模型
將對稱和非對稱加密體制相結合,能夠確保電子商務信息的完整性和機密性。下面是具體的應用模型。
假設Alice和Bob擁有各自的一個公鑰/私鑰對,由共同信任的第三方頒發的數字證書以及一個對稱秘密鑰。現在Alice欲發送消息給Bob,并且要求確保數據的完整性,即消息內容不能發生變動;同時Alice和Bob都希望確保信息的機密性,即不容許除雙方之外的其他實體能夠察看該消息。
加密過程:Alice按照雙方約定的規則格式化消息,然后用Hash函數取得該消息的哈希值,該值將被用來測試消息的合法性和完整性。接著Alice用私鑰對消息和散列值進行簽名。這一簽名確保了消息的完整性,因為Bob認為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名。但這僅僅保證了消息的完整性,而沒有確保其機密性。為此,Alice必須向Bob提供它用來給消息加密的對稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息。Alice用Bob的公鑰將自己的對稱秘密鑰簽名(加密),這樣就形成了一個數字信箋,并且只有Bob才能將其打開(解密),因為只有Bob能夠訪問用來打開該數字信箋的私鑰。這樣就為Alice向Bob傳輸對稱秘密鑰提供了機密性。
篇5
[關鍵詞]電子商務;PKI;公鑰密碼系統
前 言
電子商務(E-Commerce)是在Internet開放的網絡環境下,基于瀏覽器服務器的應用方式,實現消費者的網上購物商戶之間的網上交易和在線電子支付的商業運營模式最近幾年,電子商務以其便利快捷的特點迅速發展起來,但是安全問題一直是阻礙其發展的關鍵因素雖然PKI的研究和應用為互聯網絡安全提供了必要的基礎設施,但是電子商務信息的機密性和完整性仍然是迫切需要解決的問題,本文針對這一問題展開了深入研究并提出了解決方法
1 PKI的定義和功能
PKI——公鑰基礎設施,是構建網絡應用的安全保障,專為開放型大型互聯網的應用環境而設計PKI是對公鑰所表示的信任關系進行管理的一種機制,它為Internet用戶和應用程序提供公鑰加密和數字簽名服務,目的是為了管理密鑰和證書,保證網上數字信息傳輸的機密性真實性完整性和不可否認性,以使用戶能夠可靠地使用非對稱密鑰加密技術來增強自己的安全水平PKI的功能主要包括:公鑰加密證書證書確認證書撤銷
2 公鑰密碼系統
由于PKI廣泛應用于電子商務,故文章重點放在討論RSA公鑰密碼系統上RSA的安全性是基于數論和計算復雜性理論中的下述論斷:求兩個大素數的乘積在計算上是容易的,但若分解兩個大素數的積而求出它的因子則在計算上是困難的,它屬于NPI類
2. 1RSA系統
RSA使用的一個密鑰對是由兩個大素數經過運算產生的結果:其中一個是公鑰,為眾多實體所知;另外一個是私鑰,為了確保其保密性和完整性,必須嚴格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密鑰對中的一個密鑰加密的消息只能用另外一個解密,這也就體現了RSA系統的非對稱性RSA具有加密和數字簽名功能RSA產生公鑰/私鑰對加解密的過程如下:
2. 1. 1產生一個公鑰/私鑰對
(1)選取兩個大素數p和q,為了獲得最大程度的安全性,兩個數的長度最好相同兩個素數p和q必須保密
(2)計算p與q的乘積:n =p*q
(3)再由p和q計算另一個數z = (p-1)*(q-1)
(4)隨機選取加密密鑰e,使e和z互素
(5)用歐幾里得擴展算法計算解密密鑰d,以滿足e*d = 1mod(z)
(6)由此而得到的兩組數(n,e)和(n,d)分別被稱為公鑰和私鑰
2. 1. 2加密/解密過程
RSA的加密方法是一個實體用另外一個實體的公鑰完成加密過程,這就允許多個實體發送一個實體加密過的消息而不用事先交換秘密鑰或者私鑰,并且由于加密是用公鑰執行的,所以解密只能用其對應的私鑰來完成,因此只有目標接受者才能解密并讀取原始消息
在實際操作中,RSA采用一種分組加密算法,加密消息m時,首先將它分成比n小的數據分組(采用二進制數,選取小于n的2的最大次冪),加密后的密文c,將由相同長度的分組ci組成加密公式簡化為:
ci =mie(modn)
即對于明文m,用公鑰(n,e)加密可得到密文c:
c = memod n ,其中m = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
解密消息時,取每一個加密后的分組ci并計算:mi=ci d(mod n),便能恢復出明文即對于密文c,用接收者的私鑰(n,d)解密可得到明文m:
m = cd mod nm = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
2. 1. 3數字簽名
RSA的數字簽名是加密的相反方式,即由一個實體用它的私鑰將明文加密而生成的這種加密允許一個實體向多個實體發送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發送者的公鑰就可以解密
RSA的數字簽名過程如下:
s = md mod n , 其中m是消息,s是數字簽名的結果,d和n是消息發送者的私鑰
消息的解密過程如下:
m = se mod n , 其中e和n是發送者的公鑰
2. 1. 4散列(Hash)函數
MD5與SHA1都屬于Hash函數標準算法中兩大重要算法,就是把一個任意長度的信息經過復雜的運算變成一個固定長度的數值或者信息串,主要用于證明原文的完整性和準確性,是為電子文件加密的重要工具一般來說,對于給出的一個文件要算它的Hash碼很容易,但要從Hash碼找出相應的文件算法卻很難Hash函數最根本的特點是這種變換具有單向性,一旦數據被轉換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結果,達到防止信息被篡改的目的由于Hash函數的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數字簽名
2. 2對稱密碼系統
對稱密碼系統的基本特點是解密算法就是加密算法的逆運算,加秘密鑰就是解秘密鑰它通常用來加密帶有大量數據的報文和問卷通信的信息,因為這兩種通信可實現高速加密算法在對稱密碼系統中發送者和接收者之間的密鑰必須安全傳送,而雙方實體通信所用的秘密鑰也必須妥善保管
3 應用模型
利用公鑰加密系統可以解決電子商務中信息的機密性和完整性的要求,下面是具體的應用模型在本例中,Alice與Bob兩個實體共享同一個信任點,即它們使用同一CA簽發的數字證書因此,它們無需評價信任鏈去決定是否信任其他CA
3. 1準備工作
(1)Alice與Bob各自生成一個公鑰/私鑰對;
(2)Alice與Bob向RA(機構)提供各自的公鑰名稱和描述信息;
(3)RA審核它們的身份并向CA提交證書申請;
(4)CA格式化Alice和Bob的公鑰及其他信息,為Alice和Bob分別生成公鑰證書,然后用自己的私鑰對證書進行數字簽名;
(5)上述過程的結果是,Alice與Bob分別擁有各自的一個公鑰/私鑰對和公鑰證書;
(6)Alice與Bob各自生成一個對稱秘密鑰
現在,Alice和Bob擁有各自的一個公鑰/私鑰對,由共同信任的第三方頒發的數字證書以及一個對稱密鑰
3. 2處理過程
假設現在Alice欲發送消息給Bob,并且要求確保數據的完整性,即消息內容不能發生變動;同時Alice和Bob都希望確保信息的機密性,即不容許除雙方之外的其他實體能夠查看該消息完成這樣要求的處理過程如下:其中步驟1~5說明Alice加密消息過程;步驟6~10說明Bob解密消息的過程 轉貼于
(1)Alice按照雙方約定的規則格式化消息,然后用Hash函數取得該消息的散列值,該值將被用來測試消息的合法性和完整性
(2)Alice用私鑰對消息和散列值進行簽名(加密)這一簽名確保了消息的完整性,因為Bob認為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名值得注意的是:現在任何有權訪問Alice公鑰的實體都能解密該被簽名的消息,所以我們僅僅是保證了消息的完整性,而沒有確保其機密性
(3)由于Alice和Bob之間想保持消息的機密性,所以Alice用它的對稱秘密鑰加密被簽名的消息和散列值這一對稱秘密鑰只有Alice和Bob共享而不被其他實體所用注意,在本例中,我們使用了一個對稱秘密鑰,這是因為對于加密較長消息諸如訂購信息來說,利用對稱加密比公鑰加密更為有效
(4)Alice必須向Bob提供它用來給消息加密的對稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息Alice用Bob的公鑰將自己的對稱秘密鑰簽名(加密),這里我們假設Alice事先已經獲得Bob的公鑰,這樣就形成了一個數字信箋,并且只有Bob才能將其打開(解密),因為只有Bob能夠訪問用來打開該數字信箋的私鑰注意,一個公鑰/私鑰對中,用其中一個密鑰加密的信息只有用另外一個密鑰才能解密這就為Alice向Bob傳輸對稱秘密鑰提供了機密性
(5)Alice發送給Bob的信息包括它用對稱秘密鑰加密的原始消息和散列值,以及用Bob公鑰加密的包含Alice的對稱秘密鑰的數字信箋圖1描述了Alice使用數字簽名向Bob發送消息(步驟1~5)
(6)Bob用它的私鑰打開(解密)來自于Alice的數字信箋完成這一過程將使Bob獲得Alice以前用來加密消息和散列值的對稱秘密鑰
(7)Bob現在可以打開(解密)用Alice的對稱秘密鑰加密的消息和散列值解密后Bob得到了用Alice的私鑰簽名的消息和散列值
(8)Bob用Alice的公鑰解密簽名的消息和散列值注意,一個公鑰/私鑰對中,用其中一個密鑰加密的信息只有用另外一個密鑰才能解密
(9)為了證實消息沒有經過任何改動,Bob將原始消息采用與Alice最初使用的完全一致的Hash函數進行轉化
(10)最后,Bob將得出的散列值與它從所收消息中解密出來的散列值對比,若二者相同,則證明了消息的完整性圖2描述了Bob解密和對比散列值的過程(步驟6~10)
3. 3實現方法
采用Java語言實現系統,Java語言本身提供了一些基本的安全方面的函數,我們可以在此基礎上實現更為復雜和有效的應用系統系統中主要的類實現如下:
(1)Data Encryption類該類主要實現明文向密文的轉換,依據RSA算法的規則實現非對稱加密,其中密鑰長度為128位每次可加密數據的最大長度為512字節,因此對于較長數據的加密需要劃分適當大小的數據塊
(2)Data Hash類該類完成對所要加密消息產生對應的散列值,對于不同的消息,散列值是不相同的可以借助Java中提供的Hash函數來實現
(3)Data Decryption類該類主要實現密文向明文的轉換,依據依據RSA算法的規則,利用加密方的公鑰對密文進行解密,并將解密后的明文按序排好
4 結束語
文章以PKI理論為基礎,利用公鑰密碼系統確保了電子商務過程中所傳輸消息的完整性,使用對稱加密系統實現對較長消息的加密,并保證了消息的機密性文章的理論研究和實現方法,對于保障電子商務活動中消息的完整性和機密性具有重要的指導意義
主要參考文獻
[1] 周學廣,劉藝. 信息安全學[M]. 北京:機械工業出版社,2004.
篇6
電子商務信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據,獲取機密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息。2.信息的篡改:當攻擊者熟悉網絡信息格式后,通過技術手段對網絡傳輸信息中途修改并發往目的地,破壞信息完整性。3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后,假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發信者事后否認曾發送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。
二、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中,要預防非法信息存取和信息傳輸中被竊現象發生。2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎,影響到交易和經營策略。要保證網絡上傳輸的信息不被篡改,預防對信息隨意生成、修改和刪除,防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性:保證信息有效性是開展電子商務前提,關系到企業或國家的經濟利益。對網絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿易數據在確定時刻和地點有效。4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統軟件錯誤等威脅,通過控制與預防確保系統安全可靠。
三、信息安全技術
1.防火墻技術。防火墻在網絡間建立安全屏障,根據指定策略對數據過濾、分析和審計,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉發所有信息,然后逐項剔除有害內容。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過,核心是安全策略即過濾算法設計。(2)服務技術:提供應用層服務控制,起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控、過濾、記錄等功能。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻,所用主機稱為堡壘主機,提供服務。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志,對日志統計分析,對資源使用情況分析,對異常現象跟蹤監視。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮,再通過外部網絡傳輸到目的端解壓縮和解密。2.加密技術。為保證數據和交易安全,確認交易雙方的真實身份,電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方,保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數字指紋,有固定長度且不同明文摘要成密文結果不同,而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段。簽名作用有兩點:一是因為自己簽名難以否認,從而確認文件已簽署;二是因為簽名不易仿冒,從而確定文件為真。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容,數字時間戳服務能提供電子文件發表時間的安全保護。
3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字證書:也叫數字憑證、數字標識,用電子手段證實用戶身份及對網絡資源的訪問權限,可控制被查看的數據庫,提高總體保密性。交易支付過程中,參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數字時間戳服務還是數字證書發放,都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
4.防病毒技術。(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術,如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發,使計算機始終處于良好工作狀態。
四、結語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術,提高電子商務系統的安全性和可靠性。但電子商務的安全運行,僅從技術角度防范遠遠不夠,還必須完善電子商務立法,以規范存在的各類問題,引導和促進我國電子商務快速健康發展。
參考文獻:
[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006
篇7
一、電子商務的基本概述
如今在英文中人們多用Electronic Bussiness來表示電子商務這一詞匯,這體現了電子商務內容和模式的多元化、多方向。聯合國國際貿易程序簡化工作組對電子商務給出了一個概括性的定義:電子商務是采用電子形式開展的商務活動。它包括在供應商、客戶以及其他參與方之間通過任何電子工具,如Web技術、電子郵件等共享非結構化或結構化商務信息,并管理和完成在商務活動、管理活動和消費活動中的各種交易。
1.電子商務的興起及其原因
(1)電子商務的產生
電子商務起源于電子數據處理技術。隨著網絡技術的發展,電子數據資料的交換載體從軟盤、磁帶等轉變為網絡。銀行間的電子資金轉賬技術與企事業單位間的電子數據交換技術相結合,成為早期電子商務的催生劑。信用卡、自動柜員機和電子資金轉賬技術的發展,以及相應的網絡通信技術和安全技術的發展,最終導致了電子商務的產生。
(2)電子商務的發展階段
電子商務是伴隨著計算機技術和網絡技術的發展而逐步走向成熟的。它的發展是傳統商務想電子商務的演進過程。在這個歷程中,我們可以大致將其分為幾個階段:
第一,電子商務初級階段
這個階段的電子商務是在傳統商務的基礎上,增加了電子郵件的信息傳遞方式以及利用Web功能手機和信息的手段,特點是以傳統商務為主,電子商務為輔。這一階段電子商務的整體效應遠沒有發揮出來。
第二,電子商務實用階段
在實用階段中,電子商務整體架構已經形成,而且已初步解決交易電子化技術和環境方面的障礙。電子商務開始占據市場的主導地位,但仍有一些傳統商務手段難以被替代。在此階段,電子商務開始體現其在企業競爭中的巨大優勢。
第三,電子商務的成熟階段
經過不斷的研究,電子商務走向了成熟。在企業外部,使企業與供應商、客戶以及合作伙伴之間形成了供應鏈系統。而在企業內部,加強了企業內部各事業部、各子公司之間的溝通,強化內部管理,提搞工作效率,大大提高企業競爭力。
2.電子商務的內涵與價值
從電子商務的定義中,可以總結出電子商務的內涵,即:信息技術,特別是互聯網技術的出現和發展是開展電子商務的前提條件,掌握現代信息技術和業務理論控制是電子商務活動的核心;系列化,系統化電子工具是電子商務活動的基礎;商品貿易的中心,即各種經濟事務活動是電子商務的對象。
總結來說電子商務的內涵是:信息運營、集成信息資源、商務貿易、協作交流。
二、電子商務信息的概述
電子商務的安全性不是單個存在的概念,它是從整個計算機安全問題中衍生出來的。所以只要是與計算機網絡安全有關的問題都會對電子商務有影響。
社會發展離不開信息,人們已經走入了網絡時代,而電子商務在這其中已成為商務活動的新模式,越來越多的商務活動在網上直接完成,這樣的發展前景絕對是一片光明。可電子商務的信息安全問題也越來越受到人們的重視,怎么樣才能創造一個方便、快捷的應用環境,讓所有信息不泄露,已經成為人們最熱衷的討論。
1.電子商務信息安全的發展策略
(1)加強與電子商務有關的意識
電子商務的出現讓整個商務活動的重心發生了轉移,以前的商務活動是以貨物為中心的,而現在的商務活動已經基本轉換為以信息為中心了,這樣的轉變無疑讓電子交易的效率有了巨大的提高,也大大節約了人財物等資源。我們必須意識到企業信息化的有利之處,了解它能給我們帶來些什么,盡量的運用它,只要堅持下去,在不久的將來一定能夠看到實際的效益。
(2)加速推動金融電子化發展
金融電子化是電子商務之中必不可少的一環,運用電子支付不僅更加方便快捷而且可以確保各類電子商務活動安全有序的開展。在此期間我們應該要建立一個統一的在線支付程序,而在信息安全、銀行信用等級評定方面也要有一個供大眾衡量的標準。只有擁有了統一的標準和相關的法律規范整個電子商務的發展環境才能有所改善。
(3)建立安全的電子商務環境
這里所提到的電子商務環境包括社會環境以及實施環境。對于電子商務的社會環境我們應該加強相關的法律政策、加強構建和諧的網絡文化環境;而想要建立一個好的電子商務實施環境則需要做好相關的服務器測評工作,有效的利用防火墻技術以及數字證書和認證技術保護好整個傳輸過程中的信息。能否做到這些將關系到電子商務未來的發展前途。
三、電子商務信息安全技術的分析與研究
1.電子商務信息面臨的安全問題
電子商務能夠將整個交易過程中的各個階段電子化。在這個過程中參與者是它的對象,信息技術是它的基礎,而信息安全不泄露則是實施電子商務的前提。人們通常所講的信息安全性指的是信息的可用性、完整性可靠性以及保密性。所以電子商務活動里的信息安全問題基本可以概括為以下幾點:
(1)計算機網絡安全威脅
電子商務有三流:即信息流、資金流和物流,而其中信息流是最為關鍵的,因為物流和資金流都是由信息流所帶動的,整個商務活動信息流是源動力和主體。電子商務和傳統商務的不同之處就是在于它是以網絡來交換和傳遞信息的,所以計算機網絡是否安全將直接關系到電子商務活動的安全性。一般計算機網絡中的安全問題包括安全協議問題、信息安全問題、病毒問題以及服務器安全問題。
(2)商務交易安全威脅
在以互聯網為基礎的前提下進行傳統的商務活動是有很多風險的,因為互聯網本身就存在著很多威脅。互聯網的出現是因為人們又資源共享的理想和需求,它的自由度極高,可以最大限度地傳遞資源,但同時人們也更容易通過得到的信息進行不法勾當。網絡交易一般存在的問題包括一下幾個方面:
2.電子商務信息安全性的要求
因為很多電子商務活動中的安全問題還沒有能夠得到有效的解決,所以電子商務很難順利的進行,為了電子商務的發展,我們有義務保證它的安全性,也有責任創建一個良好的環境,要實現這個目標我們必須做到一下這些要求:
(1)信息的保密性
商務信息在交易過程中要保密,尤其是涉及到商業機密和支付等重要信息時決不能隨便的讓他人得知信息內容,否則可能整個交易就會被破壞。
(2)信息的完整性
這里所說的完整性是指活動過程中的信息不被篡改和遺漏,在整個數據處理過程中,原有數據和現有數據應該始終保證完全一致,而且為了保護交易各方的合法權益所有的交易文件都不能修改。
(3)通信的絕對性
在電子商務活動中必須保證參與傳遞接受信息的各方都有足夠的證據證明發送或接受的行為發生過,整個通信不可抵賴、不可否認。
如果人們參與電子商務活動而人個的隱私卻得不到保護,那么電子商務勢必不能長久地發展,所以保護個人隱私也是極為重要的,這對人們參與電子商務活動的積極性有著決定性的影響。
篇8
煤炭企業電子商務環境下的信息安全
煤炭企業電子商務網絡安全嚴格控制計算機安全技術應用的管理,必須先制定一個完整且良好的測量、實施、管理機制,突出事前控制,并加強控制,完善售后服務控制。完善事件的控制手段,以避免變更設計研究所造成的損失。煤炭企業電子商務的信息內容容易成為黑客等的主要攻擊目標。這一信息中包含了大量的重要客戶的重要基本信息,例如真實的身份信息(身份、地址、聯系信息等)、賬戶信息(賬號、密碼等)、信用信息、交易記錄。在現代信息技術的支持下,這些內容的重要財務資料會很容易被非法使用并獲得最直接的經濟效益。煤炭企業電子商務高度集中,為提高企業的靈活性使用大量的開放平臺,使財務信息的操作系統環境面臨更多的風險和漏洞,所以應該統一規劃建設、全面綜合防御、技術管理并重、保障運營安全。統一規劃建設,突出了進行統籌規劃的重要性,提供了的安全建設所需的統一技術標準、管理規范,以及實施步驟的安排,也保證了人員和資金的投入。全面綜合防御,是指在技術層面上,綜合使用了多種安全機制,將不同安全機制的保護效果有機地結合起來,構成完整的立體防護體系。技術管理并重,突出了安全管理在信息安全體系中的重要性,僅僅憑借安全技術體系,無法解決所有的安全問題,安全管理體系與技術防護體系相互配合,增強技術防護體系的效率和效果,同時也彌補當前技術無法完全解決的安全缺陷,實現了最佳的保護效果。保障運營安全,突出了安全保障的重要性,利用多種安全保障機制,保障了網絡和信息系統的運行安全,也保障了金融業務的持續性和業務數據的安全性。煤炭企業電子商務建立信息安全體系,必須針對金融業網絡和信息系統的特點,在現狀分析和風險評估的基礎上有的放矢地進行,不能簡單地照抄照搬其它的信息安全保障方案。同時,信息安全體系中的所有內容,都被用來指導金融業信息安全系統的建設和管理維護等實際工作,因此必須堅持可操作性和實用性原則,避免空洞和歧義現象。嚴格的內部控制制度應包括一個可控的環境、及時的風險評測、有效的控制活動、完整的會計、信息及通訊交流系統和完善的自我評估監測機制等。同時,煤炭企業應采用合理的風險緩釋和轉移技術,對沒有能力控制又具有低頻高位特性的風險進行控制。風險監測和度量用來對上述的步驟進行監控,主要內容包括對本煤炭企業操作風險的定性和定量的風險管理進行監控。計算機信息安全在電子商務中的損失事件數據的采集是一個嚴謹的業務過程,要在完善的采集數據流程下逐環節實現對數據的審查和控制工作,保證損失事件數據的合理性,為后期提供合理的數據分析、推演正確的風險走勢及制定合理的操作風險應對計劃提供基本依據。網絡安全一種機制,針對某種操作風險指標,設定其發展環境和條件,來判定關鍵風險指標定期定量趨勢分析,使得可在相應操作風險關鍵風險指標有異常變化之初就能判定其走勢和趨向。網絡安全體系內的內部郵件平臺,輔助進行信息傳達,可以作為獨立的信息配送方式,也可以與業務及流程結合,實現信息的自動回復和提醒。支持常用收發郵件功能,包括郵件收取、撰寫、發送、轉發、回復等;支持SMTP,ESMTP,POP3等郵件收發協議,既可以作為系統內部信息傳遞機制,也可以與現有郵件系統進行整合,支持郵件互通。
煤炭企業電子商務中的網絡采購煤炭企業電子商務電子采購是一個非常典型的商業模式,將涉及各種電子商務。電子采購是電子商務企業的重要組成部分,它已經成為B2B市場增長最快的一部分。煤炭企業電子商務采購回報高,除了節約采購成本的產品和服務的商業價值的投資活動,也可以有個更廣泛的選擇空間,降低采購風險,周期時間,并促進服務供應商更完美。煤炭企業電子商務的電子采購是電子商務的領域之一,最有可能被傳統的企業所接受。煤炭企業電子商務的電子采購及采購的規劃和運作,與庫存的政策和戰略采購,材料供應商,交付和交付模式的談判。采購過程中包含申請、采購審核、產品和供應商的搜尋,以及搜尋、談判、交易、支付等。通過電子商務的應用,打造系統范圍的一體化式的項目管理。通過客戶的內部需要管理,擬定項目的框架結構,該框架的內容將涉及許多方面的內容,如財務、采購、實施、質量和其它方面的管理。通過調查研究,細化完成的項目實施過程,始終關注在項目實施有關控制項目的范圍,從而達到對項目質量、時間、成本的管控。優化計算機安全技術應用可以通過需要健全設計變更審批制度,建設單位應當按照施工計劃,確實需要改變原設計施工過程中計劃,應該是盡可能提前改變,因為變化越快,損失越少;每次更改之前,必須對項目的數量和成本變化分析。如果改變項目的成本超過總預算,必須經有關部門審查和批準,并根據變化,以防止共增加設計內容,設計標準,并增加項目成本的事情發生。嚴格控制計算機安全技術應用的管理,必須先制定一個完整的良好的測量、實施、管理機制,突出事前控制,并加強控制,完善售后服務控制。完善事件的控制手段,以避免變更設計研究所造成的損失。除非有特殊情況,一般的計算機安全技術應用變更必須建立基準施工方案,在此方案的基礎上進行變更,經由計算機安全技術應用審計師批準,可以由業主實施后批準該項目程序。此外,計算機安全技術應用的變化和變化的成本計劃聯系,所以項目的報告中描述的變化更改處理程序,還必須注明相應的更改的價格,使業主對成本決策有所了解,避免成本失控。
電子數據交換煤炭企業電子商務商務數據交換(EDI),也叫“無紙化交易”(無紙貿易)。指貿易雙方按照一定的結構與標準的貿易信息,通過數據通信網絡,參與交易雙方的電腦傳輸和自動處理的協議。EDI具有一定的計算機應用系統之間的數據自動交換和處理這些數據的結構特點,被稱為電子文檔。電子數據交換的目的,是電子文檔代替紙質文件。煤炭企業電子商務,大大提高了煤炭企業業務交易的效率,降低了成本。
電子商務中的入侵檢測系統
入侵檢測系統(IntrusionDetectionSystem簡稱IDS),是對煤炭企業電子商務入侵行為進行安全檢測的監控系統,監控煤炭企業電子商務的運行狀態,及時發現來自煤炭企業電子商務的攻擊,對煤炭企業電子商務攻擊行為或者攻擊結果做出報警或做出相應的響應機制,保證煤炭企業電子商務系統資源的完整性。
入侵檢測基本原理煤炭企業電子商務的入侵檢測系統主要由主體(subjeets)、對象(Objeets)、審計記錄(AuditsReoords)、活動簡檔(profiles)、異常記錄(AnomalyRecords)和活動規則(ActivityRules)6個部分組成,目前的入侵檢測系統都是在此模型的基礎上產生的,它也揭示了入侵檢測基本原理。
煤炭企業電子商務信息安全防護策略雖然近年來黑客活動越來越為猖獗,攻擊事件越來越多,但采取完善的防護措施,依然能有效地保護煤炭企業電子商務信息安全。安裝必要的防黑軟件、殺毒軟件、防火墻,是普通計算機用戶煤炭企業電子商務信息安全防護的重要手段之一。通過殺毒軟件,可以有效地將病毒和木馬拒之門外,減少計算機口令的泄露機會和數據被竊的可能性。
結語
篇9
1.信息有效性、真實性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
2.信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3.信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各信息的差異。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可抵賴性要求即是能建立有效的責任機制,防止實體否認其行為;可鑒別性要求即是能控制使用資源的人或實體的使用方式。
5.系統的可靠性
電子商務系統是計算機系統,其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。
二、電子商務的信息安全技術
1.數據加密技術
加密技術用于網絡安全通常有二種形式,即面向網絡或面向應用服務。面向網絡的加密技術通常工作在網絡層或傳輸層,使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息,從而保證網絡的連通性和可用性不受損害。面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法,這一類加密技術的優點在于實現相對較為簡單,不需要對電子信息(數據包)所經過的網絡的安全性能提出特殊要求,對電子郵件數據實現了端到端的安全保障。
1)電子商務領域常用的加密技術數字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法,由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱為數字指紋(FingerPrint),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“真身”的“指紋”了。
數字簽名(digitalsignature)
數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要),用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名。然后,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密,如果兩個散列值相同,那么接收方就能確認該數字簽名是發送方的,通過數字簽名能夠實現對原始報文的鑒別。概括的說,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。
數字時間戳(digitaltime-stamp)交
易文件中,時間是十分重要的信息。在電子交易中,需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務(DTS)就能提供電子文件發表時間的安全保護。時間戳(time-stamp)是一個經加密后形成的憑證文檔,它包括三個部分:需加時間戳的文件的摘要(digest);DTS收到文件的日期和時間;DTS的數字簽名。
數字證書(digitalcertificate,digitalID)數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。目前,最有效的認證方式是由權威的認證機構為參與電子商務的各方發放證書,證書作為網上交易參與各方的身份識別,就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任,是一個負責發放和管理數定證書的權威機構。因而網絡中所有用戶可以將自己的公鑰交給這個中心,并提供自己的身份證明信息,證明自己是相應公鑰的擁有者,認證中心審查用戶提供的信息后,如果確認用戶是合法的,就給用戶一個數字證書。這樣,每個成員只需和認證中心打交道,就可以查到其他成員的公鑰信息了。對于在網上進行交易的雙方來說,數字證書對他們之間建立信任是至關重要的。數字憑證有三種類型:個人憑證、企業(服務器)憑證、軟件(開發者)憑證;大部分認證中心提供前兩類憑證。
2.身份認證技術
為解決Internet的安全問題,初步形成了一套完整的Internet安全解決方案,即被廣泛采用的公鑰基礎設施(PKI)體系結構。PKI體系結構采用證書管理公鑰,通過第三方的可信機構CA,把用戶的公鑰和用戶的其他標識信息(如名稱、e-mail、身份證號等)捆綁在一起,在Internet網上驗證用戶的身份,PKI體系結構把公鑰密碼和對稱密碼結合起來,在Internet網上實現密鑰的自動管理,保證網上數據的機密性、完整性。
1)認證系統的基本原理
利用RSA公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性,可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA,CA為用戶發放電子證書,用戶之間利用證書來保證信息安全性和雙方身份的合法性。
2)認證系統結構
整個系統是一個大的網絡環境,系統從功能上基本可以劃分為CA、RA和WebPublisher。
核心系統跟CA放在一個單獨的封閉空間中,為了保證運行的絕對安全,其人員及制度都有嚴格的規定,并且系統設計為一離線網絡。CA的功能是在收到來自RA的證書請求時,頒發證書。
證書的登記機構RegisterAuthority,簡稱RA,分散在各個網上銀行的地區中心。RA與網銀中心有機結合,接受客戶申請,并審批申請,把證書正式請求通過建設銀行企業內部網發送給CA中心。
證書的公布系統WebPublisher,簡稱WP,置于Internet網上,是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA頒發之后,CA用E-mail通知用戶,然后用戶須用瀏覽器從這里下載證書。
3.網上支付平臺及支付網關
網上支付平臺分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網上支付平臺支付型電子商務業務提供各種支付手段,包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。
支付網關位于公網和傳統的銀行網絡之間,其主要功能為:將公網傳來的數據包解密,并按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部的傳回來的響應消息,將數據轉換為公網傳送的數據格式,并對其進行加密。此外,支付網關還具有密鑰保護和證書管理等其它功能。
三、電子商務信息安全中的其它問題
1.內部安全
最近的調查表明,至少有75%的信息安全問題來自內部,在信用卡和商業詐騙中,內部人員所占的比例最大;
2.惡意代碼
它們將繼續對所有的網絡系統構成威脅,并且,其數量將隨著Internet的發展和編程環境的豐富而增多,擴散起來也更加便利,因此,造成的破壞也就越大;
3.可靠性差
目前,Internet主干網和DNS服務器的可靠性還遠遠不能滿足人們的要求,而絕大
部分撥號PPP連接質量并不可靠,且速度很慢;
4.技術人才短缺
由于Internet和網絡購物都是在近幾年得到了迅猛的發展,因而,許多地方都缺乏足夠的技術人才來處理其中遇到的各種問題,尤其是網絡購物具有24x7(每天24小時,每周7天都能工作)的要求,因而迫切需要有一大批專業技術人員對其進行管理。如果說加密技術是電子交易安全的“硬件”,那么人才問題則可以說是“軟件”。從某種意義上講,軟件的問題解決起來可能更不容易,因此,技術人才的短缺可能成為阻礙網絡購物發展的一個重要因素。
5.Web服務器的保護意識差
在交易過程中對數據進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務器上,因此,即使保密信息被客戶端接收之后,也必須對存儲在服務器中的數據進行保護。目前,Web服務器是黑客們最喜歡攻擊的目標。因此,建議盡量不要將Web服務和連接到任何內部網絡,而且要定期對數據進行備份,以便于服務器被攻擊之后對數據進行恢復。當然,這畢竟有些不太現實,現在許多流行的Web應用都需要Web服務器與公司的數據庫進行交互式操作,這就要求服務器必須與公司內部網絡相連,而這個連接也就成為黑客們從Web站點侵入企業內部網絡的一條通路。雖然防火墻技術有助于對web站點進行保護,但商家卻很少安裝防火墻或對其缺乏有效的維護,因而沒有對Web服務器進行很好的保護,這是商家的Web站點尤其要引起注意的地方。
四、與電子商務安全有關的協議技術討論
1.SSL協議(SecureSocketsLayer)安全套接層協議———面向連接的協議。
SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸,常用WebServer方式。但它是一個面向連接的協議,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系。
2.SET協議(SecureElectronicTransaction)安全電子交易———專門為電子商務而設計的協議。由于SET提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。雖然它在很多方面優于SSL協議,但仍然不能解決電子商務所遇到的全部問題。
結束語
本文分析了目前電子商務的安全需求,使用的安全技術及仍存在的問題,并指出了與電子商務安全有關的協議技術使用范圍及其優缺點,但必須強調說明的是,電子商務的安全運行,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
[摘要]電子商務對人類社會經濟產生了重大影響,在創造巨大經濟效益的同時,也從根本上改變了整個社會商務活動發展進程。我國電子商務在曲折進程中,已有很大程度的發展,同時也存在諸多問題。本文客觀地分析了電子商務的安全需求、安全技術發展現狀及存在的問題,對加快電子商務的發展步伐提出了一些重要思考。
[關鍵詞]電子商務;安全需求;安全技術;
[參考文獻]
①姚立新,新世紀商務:電子商務的知識發展與運作,中國發展出版社,1999年。
②《中國電子商務年鑒》2003卷。
③陳海濱,企業電子營銷發展對策淺析,湖南大學學報,2001年。
篇10
1.1網絡安全風險
互聯網作為一個開放的環境,其各種服務器數據庫中的信息在理論上也屬于對外開放的,訪問者可以對信息進行查看。因此,網絡會計信息系統難以阻擋非法訪問者的侵擾和攻擊,尤其是在系統程序出現問題導致系統存在安全漏洞并且管理人員未察覺時,使得服務器上的會計信息資源遭到竊取或篡改。此種情況的發生可能源于系統外部,也可能源于系統本身。一旦問題發生,企業將遭受難以估量的損失。
1.2無紙化的申報和扣稅帶來稅務稽查問題
電子貨幣及電子發票的出現為實現網絡交易電子化提供了條件,在電商迅猛發展的情況下,納稅人手工上門申報方式已經不能跟上電子商務發展的步伐,同時產生了電子稅收問題,即如何保證納稅單位遵守相關規定按時進行網上申報。而稅務稽查的前提是掌握確切的應稅會計信息,因此,會計信息安全問題會引發稅務稽查問題。
1.3追蹤審計困難
從審計工作的角度看,由于數據主要儲存在電子商務系統中,而電子商務系統無法避免數據錯誤處理情況的發生,這為部分工作人員利用職務之便謀取私利或者為減少企業納稅創造了條件,導致后期審計十分困難。此外,會計信息系統在進行前期設計時未考慮審計工作的需要,沒有為審計提供證據,因此,無紙化的電子商務環境加大了對電子商務活動審計的難度,同時,各種會計信息憑證的可修改更是使得對電商的審計工作難度加大。
1.4相關的法律法規配套不完善
隨著電子商務的進一步發展,公司的虛擬化程度越來越高,其規模也越來越小,人力資源與知識產權等是現階段公司收益的主要來源,會計報告中會涉及知識產權、商譽等內容及其經濟價值。在我國,電子商務活動的相關法律法規尚不健全,難以解決電子商務會計活動中出現的問題,這為會計信息安全增加了風險。
1.5現行財務會計軟件不成熟帶來的會計信息安全風險
在當前市場上有各種財務軟件,雖然其在一定程度上滿足電子商務會計發展的需要,但仍難以真正確保電商會計信息安全。現有的財務軟件存在適應性差、應變能力弱等問題,不能適應電子商務發展所需,或者在某種程度上會加大風險系數。因此,電子商務會計軟件開發技術的不成熟成為制約電子商務會計發展的主要因素。因為會計信息是企業管理的重要依據,電子商務企業需要利用電子商務網絡進行會計信息的收集等活動,如何利用電子商務安全技術對會計信息進行加密操作,以確保會計信息安全性和準確性,是企業開展電子商務面臨的主要難題。
2電子商務環境下的會計信息系統安全策略研究
2.1提高網絡安全性的具體方法
(1)保證會計信息原始數據的完整和準確。
會計信息原始信息的完整性是應對企業會計信息系統突發事件的前提保證,因此,保證會計信息原始數據的安全極為重要,假使會計信息的原始數據遭到篡改,會造成數據信息虛假或有誤,然而會計信息系統本身并不具備對數據的鑒別能力,導致會計信息失真,從而引發電商企業的財務會計問題。因此,如何保證原始會計數據的準確性及完整性,是保證會計信息安全的重要前提。
(2)保證信息處理安全。
良好的數據處理能力體現了會計信息系統的優勢,財務系統處理的業務均直接涉及企業的利益,其敏感性和機密性顯而易見,在數據處理時,必須保證數據的完整。因此,在數據處理期間,會計信息系統網絡必須對外封閉,內部網絡的使用必須在可監控的環境下進行,不能與外界網絡終端連接,而且不能與其他無關的部門共享網絡資源。封閉是相對的,為了提高企業的辦公效率,內部財務信息系統可實現資源共享,需要強調的一點是,網絡資源的處理必須包括加密操作。
(3)保證信息儲存的安全。
會計信息系統面臨的主要威脅來自黑客入侵與計算機病毒,操作人員在進行數據存儲時需要加倍注意,建立一套科學的、系統的數據存儲管理機制。
2.2妥善處理無紙化交易的稅務稽查問題
電商時代的無紙化交易形式淘汰了傳統的紙質發票,引發了電商企業與國家管理部門之間的矛盾,因此,如何保證數據的完整性是一項頗為重要的工作。為了使會計憑證得到保證,即保證數據的真實性,參與交易的雙方可以通過選擇具有法律效應的認證途徑比如認證中心,證實網上交易雙方的真實身份。同時,企業可以借助各種會計憑證的鑒別對參與客戶的付款能力進行判定,比如每一家企業都在銀行或者互聯網認證中心簽訂協議,領取本企業的數字簽名等具有驗證功能的符號或代碼,而當業務發生時,交易雙方可通過相應的驗證符號或代碼進行交易活動,這樣既驗證了交易雙方的身份,也保證了交易活動的真實性,使得財務數據有據可查。
2.3解決追蹤審計困難的具體方案
在傳統的會計處理過程中,會計憑證中都包含有具有法律效應的證據,比如負責人簽名等。那么,在電子商務環境下,可以應用電子技術進行電子簽名,比如現在應用最廣的數字簽名技術。首先,發送方將附有個人信息的交易數據通過計算機系統傳遞給另一方,而接受方通過財務信息系統對電子數據報文等內容進行審核,然后,電子數據作為合法的業務數據存入會計信息系統,此時的數據為原始財務信息數據。此種非紙質版的簽名具有兩個方面的意義:①保證信息來源于交易者本人,倘若有后續問題出現,此份信息可作為憑證;②保證信息在交易者簽發至收到過程中的完整性,不存在被篡改的可能,所以,該信息是真實信息。由于數字簽名技術是一種加密技術,包含加密、解碼等操作,其復雜性為數據的真實性提供了保障。從某種程度而言,數字簽名可以取代手工簽名,其同樣受到法律的保護,這大大減小了審計的難度。
2.4完善相關法律
在與電子商務相關的法律法規的建設上,一方面,要加強立法,緊跟時代腳步,完善相關的法律法規,為電子商務發展法律保障。另一方面,要借鑒發達國家在電子商務信息安全建設上的成功經驗,結合中國的實際情況,對計算機網絡安全管理的法律進行修訂,以應對多變的市場環境,使其更符合電商時代的要求。
2.5更新改善相關會計軟件
在如今以電子技術為主導的市場環境下,軟件的后期更新管理工作不容忽視,尤其是電商企業,其財務信息已實現電子化,財會軟件的安全問題輕則造成企業的財務損失,重則危及企業的生存。本文認為,“微”規模的電商企業可與“微”規模的軟件企業進行合作,軟件企業為電商企業定期進行軟件維護工作,實現軟件的良好管理和更新,同時為電商企業定期進行系統審核,檢查電子商務系統的安全性,從而保證財會信息的安全。
3結語
