發(fā)布時(shí)間:2023-10-11 10:05:31
序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的電子商務(wù)信息安全樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀。
關(guān)鍵詞:電子商務(wù)信息安全安全技術(shù)
伴隨經(jīng)濟(jì)的迅猛發(fā)展,電子商務(wù)成為當(dāng)今世界商務(wù)活動(dòng)的新模式。要在國(guó)際競(jìng)爭(zhēng)中贏得優(yōu)勢(shì),必須保證電子商務(wù)中信息交流的安全。
一、電子商務(wù)的信息安全問題
電子商務(wù)信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù),獲取機(jī)密信息或通過對(duì)信息流量、流向、通信頻度和長(zhǎng)度分析,推測(cè)出有用信息。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后,通過技術(shù)手段對(duì)網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地,破壞信息完整性。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息、購買者做了定貨單不承認(rèn)等。
二、信息安全要求
電子商務(wù)的安全是對(duì)交易中涉及的各種信息的可靠性、完整性和可用性保護(hù)。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障。由于建立在開放網(wǎng)絡(luò)環(huán)境中,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ),影響到交易和經(jīng)營(yíng)策略。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹模A(yù)防對(duì)信息隨意生成、修改和刪除,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.信息有效性:保證信息有效性是開展電子商務(wù)前提,關(guān)系到企業(yè)或國(guó)家的經(jīng)濟(jì)利益。對(duì)網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。為防止計(jì)算機(jī)失效、程序錯(cuò)誤、系統(tǒng)軟件錯(cuò)誤等威脅,通過控制與預(yù)防確保系統(tǒng)安全可靠。
三、信息安全技術(shù)
1.防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障,根據(jù)指定策略對(duì)數(shù)據(jù)過濾、分析和審計(jì),并對(duì)各種攻擊提供防范。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息,然后逐項(xiàng)剔除有害內(nèi)容。
防火墻技術(shù)主要有:(1)包過濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過,核心是安全策略即過濾算法設(shè)計(jì)。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù):把過濾和服務(wù)兩種方法結(jié)合形成新防火墻,所用主機(jī)稱為堡壘主機(jī),提供服務(wù)。(5)審計(jì)技術(shù):通過對(duì)網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志,對(duì)日志統(tǒng)計(jì)分析,對(duì)資源使用情況分析,對(duì)異常現(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù):加密路由器對(duì)通過路由器的信息流加密和壓縮,再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。2.加密技術(shù)。為保證數(shù)據(jù)和交易安全,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿(mào)易方甲生成一對(duì)密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿(mào)易方乙對(duì)信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對(duì)加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請(qǐng)對(duì)方發(fā)信息將公共密鑰傳給對(duì)方,保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋,有固定長(zhǎng)度且不同明文摘要成密文結(jié)果不同,而同樣明文摘要必定一致。這串摘要成為驗(yàn)證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認(rèn)文件的手段。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn),從而確認(rèn)文件已簽署;二是因?yàn)楹灻灰追旅埃瑥亩_定文件為真。(4)數(shù)字時(shí)間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)。
3.認(rèn)證技術(shù)。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息完整性,確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證、數(shù)字標(biāo)識(shí),用電子手段證實(shí)用戶身份及對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限,可控制被查看的數(shù)據(jù)庫,提高總體保密性。交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心。無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書發(fā)放,都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu),受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書管理。
4.防病毒技術(shù)。(1)預(yù)防病毒技術(shù),通過自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲取系統(tǒng)控制權(quán),監(jiān)視系統(tǒng)中是否有病毒,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)破壞。(2)檢測(cè)病毒技術(shù),通過對(duì)計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測(cè)技術(shù),如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度變化。(3)消除病毒技術(shù),通過對(duì)計(jì)算機(jī)病毒分析,開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發(fā),使計(jì)算機(jī)始終處于良好工作狀態(tài)。
四、結(jié)語
信息安全是電子商務(wù)的核心。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù),提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠,還必須完善電子商務(wù)立法,以規(guī)范存在的各類問題,引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn):
[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006
關(guān)鍵詞:電子商務(wù);信息安全技術(shù)
一、電子商務(wù)發(fā)展存在的風(fēng)險(xiǎn)
第三方的電子交易平臺(tái)在網(wǎng)絡(luò)上對(duì)于信息進(jìn)行儲(chǔ)存、記錄、處理、和傳遞,以此來協(xié)助一次網(wǎng)絡(luò)消費(fèi)行為的完成。一般情況下,這些信息都具有真實(shí)性和保密性,屬于大眾的隱私。但是,現(xiàn)在的網(wǎng)絡(luò)環(huán)境比較惡劣,有很多網(wǎng)絡(luò)陷阱以及刻意挖掘用戶信息的“黑客”,從而導(dǎo)致基本信息出現(xiàn)失真、泄露和刪除的危機(jī),不利于正常電子商務(wù)交易的完成。對(duì)于電子商務(wù)信息大致上可以分為以下幾類:第一,信息的真實(shí)性;第二,信息的實(shí)時(shí)性;第三,信息的安全性。首先,是信息的真實(shí)性。電子商務(wù)上的基本信息是賣家和買家進(jìn)行認(rèn)識(shí)對(duì)方和分辨商品真實(shí)性可靠性的唯一途徑,應(yīng)該絕對(duì)真實(shí)。一旦出現(xiàn)虛假信息,則屬于欺騙消費(fèi)者,是危害消費(fèi)者權(quán)益的不法行為。其次,是信息的實(shí)時(shí)性。信息的實(shí)時(shí)性主要是指信息的保質(zhì)期。因?yàn)楹芏嘈畔⒅辉谝欢螘r(shí)間內(nèi)有效,具有時(shí)效性,一旦錯(cuò)過這段關(guān)鍵時(shí)期,那么該信息則失去自身的價(jià)值,變得一文不值。最后,就是信息的安全性,這也是消費(fèi)者最為關(guān)心的問題。電子商務(wù)出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除、篡改從而失真,同時(shí)也表現(xiàn)為用戶的信息被竊取從而達(dá)成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務(wù)的信息安全技術(shù)的內(nèi)容
2.1 備份技術(shù)。相信備份技術(shù)對(duì)于大眾來說不是很陌生。但是很多人卻錯(cuò)誤的將備份理解為拷貝,從而片面的看待這個(gè)問題。電子商務(wù)對(duì)于網(wǎng)絡(luò)環(huán)境有很大的依賴性,網(wǎng)絡(luò)環(huán)境自身卻存在極大的不穩(wěn)定性,這就導(dǎo)致電子商務(wù)的發(fā)展存在不可避免的風(fēng)險(xiǎn),如果沒有一個(gè)數(shù)據(jù)庫對(duì)于基本信息進(jìn)行存儲(chǔ),那么一旦出現(xiàn)系統(tǒng)故障或者誤刪的情況則信息永遠(yuǎn)消失,這對(duì)于商家來說是極其可怕的,因此,電子商務(wù)的第三方有一個(gè)信息儲(chǔ)存庫,旨在在必要的時(shí)刻段時(shí)間內(nèi)將客戶的信息及時(shí)恢復(fù)。這種恢復(fù)不是簡(jiǎn)單的、傳統(tǒng)意義上的恢復(fù),而是通過備份介質(zhì)得以完成的。這樣的話,在系統(tǒng)故障或者其他原因?qū)е滦畔⒃诙虝r(shí)間內(nèi)無法正常恢復(fù)時(shí),可以借助儲(chǔ)存在備份介質(zhì)中的信息將信息還原到原來的備份狀態(tài)。2.2 認(rèn)證技術(shù)。所謂認(rèn)證技術(shù)其實(shí)一個(gè)專業(yè)術(shù)語,道理實(shí)際上很簡(jiǎn)單,就是我們常說的登錄口令。認(rèn)證技術(shù)的目的主要在于阻止不具有系統(tǒng)授權(quán)的用戶進(jìn)行非法的破壞計(jì)算機(jī)機(jī)密數(shù)據(jù),是數(shù)據(jù)庫系統(tǒng)為減少和避免各種破壞電子商務(wù)安全的重要策略。登陸口令是我們正常用戶進(jìn)行電子商務(wù)平臺(tái)登錄的方式,是大眾在網(wǎng)絡(luò)環(huán)境下的身份證。我們每一個(gè)用戶在使用某一個(gè)電子商務(wù)平臺(tái)之前都被要求進(jìn)行注冊(cè),從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨(dú)一無二的,是我們進(jìn)行網(wǎng)上交易的身份認(rèn)證和識(shí)別。因?yàn)殡娮由虅?wù)平臺(tái)往往具有開放性,一旦沒有身份認(rèn)證后果將不堪設(shè)想。人們的信息安全更是沒有任何保障。2.3 訪問控制技術(shù)。訪問控制技術(shù)也可以理解為訪問等級(jí)制度,電子商務(wù)的系統(tǒng)會(huì)根據(jù)用戶的不同等級(jí)對(duì)于用戶對(duì)于系統(tǒng)數(shù)據(jù)的訪問進(jìn)行一定的控制。等級(jí)較低時(shí),則用戶的訪問權(quán)限有限,一些重要的關(guān)鍵的信息則被系統(tǒng)禁止訪問,只要當(dāng)?shù)燃?jí)較高時(shí)才能獲得相關(guān)權(quán)限,這就保證了一些重要信息不會(huì)被竊取。關(guān)于用戶的訪問權(quán)限也有兩層含義,首先是用戶能夠獲得數(shù)據(jù)庫中的信息種類和數(shù)量,另一層含義則是指用戶對(duì)于獲取的數(shù)據(jù)庫信息進(jìn)行怎樣的操作。
[關(guān)鍵詞]電子商務(wù);PKI;公鑰密碼系統(tǒng)
前 言
電子商務(wù)(E-Commerce)是在Internet開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器服務(wù)器的應(yīng)用方式,實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購物商戶之間的網(wǎng)上交易和在線電子支付的商業(yè)運(yùn)營(yíng)模式最近幾年,電子商務(wù)以其便利快捷的特點(diǎn)迅速發(fā)展起來,但是安全問題一直是阻礙其發(fā)展的關(guān)鍵因素雖然PKI的研究和應(yīng)用為互聯(lián)網(wǎng)絡(luò)安全提供了必要的基礎(chǔ)設(shè)施,但是電子商務(wù)信息的機(jī)密性和完整性仍然是迫切需要解決的問題,本文針對(duì)這一問題展開了深入研究并提出了解決方法
1 PKI的定義和功能
PKI——公鑰基礎(chǔ)設(shè)施,是構(gòu)建網(wǎng)絡(luò)應(yīng)用的安全保障,專為開放型大型互聯(lián)網(wǎng)的應(yīng)用環(huán)境而設(shè)計(jì)PKI是對(duì)公鑰所表示的信任關(guān)系進(jìn)行管理的一種機(jī)制,它為Internet用戶和應(yīng)用程序提供公鑰加密和數(shù)字簽名服務(wù),目的是為了管理密鑰和證書,保證網(wǎng)上數(shù)字信息傳輸?shù)臋C(jī)密性真實(shí)性完整性和不可否認(rèn)性,以使用戶能夠可靠地使用非對(duì)稱密鑰加密技術(shù)來增強(qiáng)自己的安全水平PKI的功能主要包括:公鑰加密證書證書確認(rèn)證書撤銷
2 公鑰密碼系統(tǒng)
由于PKI廣泛應(yīng)用于電子商務(wù),故文章重點(diǎn)放在討論RSA公鑰密碼系統(tǒng)上RSA的安全性是基于數(shù)論和計(jì)算復(fù)雜性理論中的下述論斷:求兩個(gè)大素?cái)?shù)的乘積在計(jì)算上是容易的,但若分解兩個(gè)大素?cái)?shù)的積而求出它的因子則在計(jì)算上是困難的,它屬于NPI類
2. 1RSA系統(tǒng)
RSA使用的一個(gè)密鑰對(duì)是由兩個(gè)大素?cái)?shù)經(jīng)過運(yùn)算產(chǎn)生的結(jié)果:其中一個(gè)是公鑰,為眾多實(shí)體所知;另外一個(gè)是私鑰,為了確保其保密性和完整性,必須嚴(yán)格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密鑰對(duì)中的一個(gè)密鑰加密的消息只能用另外一個(gè)解密,這也就體現(xiàn)了RSA系統(tǒng)的非對(duì)稱性RSA具有加密和數(shù)字簽名功能RSA產(chǎn)生公鑰/私鑰對(duì)加解密的過程如下:
2. 1. 1產(chǎn)生一個(gè)公鑰/私鑰對(duì)
(1)選取兩個(gè)大素?cái)?shù)p和q,為了獲得最大程度的安全性,兩個(gè)數(shù)的長(zhǎng)度最好相同兩個(gè)素?cái)?shù)p和q必須保密
(2)計(jì)算p與q的乘積:n =p*q
(3)再由p和q計(jì)算另一個(gè)數(shù)z = (p-1)*(q-1)
(4)隨機(jī)選取加密密鑰e,使e和z互素
(5)用歐幾里得擴(kuò)展算法計(jì)算解密密鑰d,以滿足e*d = 1mod(z)
(6)由此而得到的兩組數(shù)(n,e)和(n,d)分別被稱為公鑰和私鑰
2. 1. 2加密/解密過程
RSA的加密方法是一個(gè)實(shí)體用另外一個(gè)實(shí)體的公鑰完成加密過程,這就允許多個(gè)實(shí)體發(fā)送一個(gè)實(shí)體加密過的消息而不用事先交換秘密鑰或者私鑰,并且由于加密是用公鑰執(zhí)行的,所以解密只能用其對(duì)應(yīng)的私鑰來完成,因此只有目標(biāo)接受者才能解密并讀取原始消息
在實(shí)際操作中,RSA采用一種分組加密算法,加密消息m時(shí),首先將它分成比n小的數(shù)據(jù)分組(采用二進(jìn)制數(shù),選取小于n的2的最大次冪),加密后的密文c,將由相同長(zhǎng)度的分組ci組成加密公式簡(jiǎn)化為:
ci =mie(modn)
即對(duì)于明文m,用公鑰(n,e)加密可得到密文c:
c = memod n ,其中m = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
解密消息時(shí),取每一個(gè)加密后的分組ci并計(jì)算:mi=ci d(mod n),便能恢復(fù)出明文即對(duì)于密文c,用接收者的私鑰(n,d)解密可得到明文m:
m = cd mod nm = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
2. 1. 3數(shù)字簽名
RSA的數(shù)字簽名是加密的相反方式,即由一個(gè)實(shí)體用它的私鑰將明文加密而生成的這種加密允許一個(gè)實(shí)體向多個(gè)實(shí)體發(fā)送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發(fā)送者的公鑰就可以解密
RSA的數(shù)字簽名過程如下:
s = md mod n , 其中m是消息,s是數(shù)字簽名的結(jié)果,d和n是消息發(fā)送者的私鑰
消息的解密過程如下:
m = se mod n , 其中e和n是發(fā)送者的公鑰
2. 1. 4散列(Hash)函數(shù)
MD5與SHA1都屬于Hash函數(shù)標(biāo)準(zhǔn)算法中兩大重要算法,就是把一個(gè)任意長(zhǎng)度的信息經(jīng)過復(fù)雜的運(yùn)算變成一個(gè)固定長(zhǎng)度的數(shù)值或者信息串,主要用于證明原文的完整性和準(zhǔn)確性,是為電子文件加密的重要工具一般來說,對(duì)于給出的一個(gè)文件要算它的Hash碼很容易,但要從Hash碼找出相應(yīng)的文件算法卻很難Hash函數(shù)最根本的特點(diǎn)是這種變換具有單向性,一旦數(shù)據(jù)被轉(zhuǎn)換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結(jié)果,達(dá)到防止信息被篡改的目的由于Hash函數(shù)的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數(shù)字簽名
2. 2對(duì)稱密碼系統(tǒng)
對(duì)稱密碼系統(tǒng)的基本特點(diǎn)是解密算法就是加密算法的逆運(yùn)算,加秘密鑰就是解秘密鑰它通常用來加密帶有大量數(shù)據(jù)的報(bào)文和問卷通信的信息,因?yàn)檫@兩種通信可實(shí)現(xiàn)高速加密算法在對(duì)稱密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送,而雙方實(shí)體通信所用的秘密鑰也必須妥善保管
3 應(yīng)用模型
利用公鑰加密系統(tǒng)可以解決電子商務(wù)中信息的機(jī)密性和完整性的要求,下面是具體的應(yīng)用模型在本例中,Alice與Bob兩個(gè)實(shí)體共享同一個(gè)信任點(diǎn),即它們使用同一CA簽發(fā)的數(shù)字證書因此,它們無需評(píng)價(jià)信任鏈去決定是否信任其他CA
3. 1準(zhǔn)備工作
(1)Alice與Bob各自生成一個(gè)公鑰/私鑰對(duì);
(2)Alice與Bob向RA(機(jī)構(gòu))提供各自的公鑰名稱和描述信息;
(3)RA審核它們的身份并向CA提交證書申請(qǐng);
(4)CA格式化Alice和Bob的公鑰及其他信息,為Alice和Bob分別生成公鑰證書,然后用自己的私鑰對(duì)證書進(jìn)行數(shù)字簽名;
(5)上述過程的結(jié)果是,Alice與Bob分別擁有各自的一個(gè)公鑰/私鑰對(duì)和公鑰證書;
(6)Alice與Bob各自生成一個(gè)對(duì)稱秘密鑰
現(xiàn)在,Alice和Bob擁有各自的一個(gè)公鑰/私鑰對(duì),由共同信任的第三方頒發(fā)的數(shù)字證書以及一個(gè)對(duì)稱密鑰
3. 2處理過程
假設(shè)現(xiàn)在Alice欲發(fā)送消息給Bob,并且要求確保數(shù)據(jù)的完整性,即消息內(nèi)容不能發(fā)生變動(dòng);同時(shí)Alice和Bob都希望確保信息的機(jī)密性,即不容許除雙方之外的其他實(shí)體能夠查看該消息完成這樣要求的處理過程如下:其中步驟1~5說明Alice加密消息過程;步驟6~10說明Bob解密消息的過程。
(1)Alice按照雙方約定的規(guī)則格式化消息,然后用Hash函數(shù)取得該消息的散列值,該值將被用來測(cè)試消息的合法性和完整性
(2)Alice用私鑰對(duì)消息和散列值進(jìn)行簽名(加密)這一簽名確保了消息的完整性,因?yàn)锽ob認(rèn)為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名值得注意的是:現(xiàn)在任何有權(quán)訪問Alice公鑰的實(shí)體都能解密該被簽名的消息,所以我們僅僅是保證了消息的完整性,而沒有確保其機(jī)密性
(3)由于Alice和Bob之間想保持消息的機(jī)密性,所以Alice用它的對(duì)稱秘密鑰加密被簽名的消息和散列值這一對(duì)稱秘密鑰只有Alice和Bob共享而不被其他實(shí)體所用注意,在本例中,我們使用了一個(gè)對(duì)稱秘密鑰,這是因?yàn)閷?duì)于加密較長(zhǎng)消息諸如訂購信息來說,利用對(duì)稱加密比公鑰加密更為有效
(4)Alice必須向Bob提供它用來給消息加密的對(duì)稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息Alice用Bob的公鑰將自己的對(duì)稱秘密鑰簽名(加密),這里我們假設(shè)Alice事先已經(jīng)獲得Bob的公鑰,這樣就形成了一個(gè)數(shù)字信箋,并且只有Bob才能將其打開(解密),因?yàn)橹挥蠦ob能夠訪問用來打開該數(shù)字信箋的私鑰注意,一個(gè)公鑰/私鑰對(duì)中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密這就為Alice向Bob傳輸對(duì)稱秘密鑰提供了機(jī)密性
(5)Alice發(fā)送給Bob的信息包括它用對(duì)稱秘密鑰加密的原始消息和散列值,以及用Bob公鑰加密的包含Alice的對(duì)稱秘密鑰的數(shù)字信箋圖1描述了Alice使用數(shù)字簽名向Bob發(fā)送消息(步驟1~5)
(6)Bob用它的私鑰打開(解密)來自于Alice的數(shù)字信箋完成這一過程將使Bob獲得Alice以前用來加密消息和散列值的對(duì)稱秘密鑰
(7)Bob現(xiàn)在可以打開(解密)用Alice的對(duì)稱秘密鑰加密的消息和散列值解密后Bob得到了用Alice的私鑰簽名的消息和散列值
(8)Bob用Alice的公鑰解密簽名的消息和散列值注意,一個(gè)公鑰/私鑰對(duì)中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密
(9)為了證實(shí)消息沒有經(jīng)過任何改動(dòng),Bob將原始消息采用與Alice最初使用的完全一致的Hash函數(shù)進(jìn)行轉(zhuǎn)化
(10)最后,Bob將得出的散列值與它從所收消息中解密出來的散列值對(duì)比,若二者相同,則證明了消息的完整性圖2描述了Bob解密和對(duì)比散列值的過程(步驟6~10)
3. 3實(shí)現(xiàn)方法
采用Java語言實(shí)現(xiàn)系統(tǒng),Java語言本身提供了一些基本的安全方面的函數(shù),我們可以在此基礎(chǔ)上實(shí)現(xiàn)更為復(fù)雜和有效的應(yīng)用系統(tǒng)系統(tǒng)中主要的類實(shí)現(xiàn)如下:
(1)Data Encryption類該類主要實(shí)現(xiàn)明文向密文的轉(zhuǎn)換,依據(jù)RSA算法的規(guī)則實(shí)現(xiàn)非對(duì)稱加密,其中密鑰長(zhǎng)度為128位每次可加密數(shù)據(jù)的最大長(zhǎng)度為512字節(jié),因此對(duì)于較長(zhǎng)數(shù)據(jù)的加密需要?jiǎng)澐诌m當(dāng)大小的數(shù)據(jù)塊
(2)Data Hash類該類完成對(duì)所要加密消息產(chǎn)生對(duì)應(yīng)的散列值,對(duì)于不同的消息,散列值是不相同的可以借助Java中提供的Hash函數(shù)來實(shí)現(xiàn)
(3)Data Decryption類該類主要實(shí)現(xiàn)密文向明文的轉(zhuǎn)換,依據(jù)依據(jù)RSA算法的規(guī)則,利用加密方的公鑰對(duì)密文進(jìn)行解密,并將解密后的明文按序排好
4 結(jié)束語
文章以PKI理論為基礎(chǔ),利用公鑰密碼系統(tǒng)確保了電子商務(wù)過程中所傳輸消息的完整性,使用對(duì)稱加密系統(tǒng)實(shí)現(xiàn)對(duì)較長(zhǎng)消息的加密,并保證了消息的機(jī)密性文章的理論研究和實(shí)現(xiàn)方法,對(duì)于保障電子商務(wù)活動(dòng)中消息的完整性和機(jī)密性具有重要的指導(dǎo)意義
主要參考文獻(xiàn)
[1] 周學(xué)廣,劉藝. 信息安全學(xué)[M]. 北京:機(jī)械工業(yè)出版社,2004.
關(guān)鍵詞:電子商務(wù)物流信息安全數(shù)據(jù)加密
當(dāng)今世界網(wǎng)絡(luò),通信和信息技術(shù)飛速發(fā)展,Internet在全球迅速普及,使得商務(wù)空間發(fā)展到全球的規(guī)模,促進(jìn)企業(yè)組織改革自己的思維觀念、組織結(jié)構(gòu)、戰(zhàn)略方針和運(yùn)行方式來適應(yīng)全球性的發(fā)展變化。電子商務(wù)就是適應(yīng)以全球?yàn)槭袌?chǎng)而出現(xiàn)和發(fā)展起來的一種新的商貿(mào)模式,通過網(wǎng)絡(luò)技術(shù)快速而有效地進(jìn)行各種商務(wù)行為,即在商務(wù)運(yùn)作的整個(gè)過程中實(shí)現(xiàn)交易無紙化、直接化。電子商務(wù)可以使商家與供應(yīng)商,在全球市場(chǎng)上銷售產(chǎn)品;也可以讓用戶足不出戶在全球范圍內(nèi)選擇最佳商品,享受全過程的電子服務(wù)。
一、物流在電子商務(wù)流程中的作用
電子商務(wù)對(duì)象是整個(gè)交易過程,任何一筆交易都由信息流、商流、資金流和物流等四個(gè)基本部分組成。開展電子商務(wù)的最終目的是為了解決信息流和資金流處理上的延遲,從而提高對(duì)物流過程管理的現(xiàn)代化水平,進(jìn)一步提高現(xiàn)代化物流速度。物流做為網(wǎng)上電子交易的最后一個(gè)過程,執(zhí)行結(jié)果的好壞將對(duì)電子交易的成敗起著十分重要的作用,是實(shí)現(xiàn)電子商務(wù)的重要環(huán)節(jié)和基本保證。電子商務(wù)必須有現(xiàn)代化的物流技術(shù)的支持,才能體現(xiàn)出其所具有的無可比擬的先進(jìn)性和優(yōu)越性,在最大限度上使交易雙方得到便利,獲得效益。
二、電子商務(wù)流程中物流的實(shí)現(xiàn)
在電子商務(wù)中,信息流、商流、資金流的處理可以通過計(jì)算機(jī)和網(wǎng)絡(luò)通信設(shè)備實(shí)現(xiàn)。對(duì)于有形的商品和服務(wù)來說,物流仍然要由物理的方式進(jìn)行傳輸;對(duì)于無形的商品及服務(wù)如各種電子出版物、信息咨詢服務(wù)以及有價(jià)信息軟件等,可以直接通過網(wǎng)絡(luò)傳輸?shù)姆绞竭M(jìn)行電子化配送。電子商務(wù)環(huán)境下的物流,通過機(jī)械化和自動(dòng)化工具的應(yīng)用和準(zhǔn)確、及時(shí)的物流信息對(duì)物流過程的監(jiān)控,使物流的速度加快、準(zhǔn)確率提高,能有效地減少庫存,縮短生產(chǎn)周期。
三、電子商務(wù)中物流信息安全問題
物流正在向信息化、自動(dòng)化、網(wǎng)絡(luò)化和智能化的方向發(fā)展,越來越依賴于網(wǎng)絡(luò)傳輸信息的安全性能。由于Internet具有開放性和匿名性,其安全問題變得越來越突出。物流信息在網(wǎng)絡(luò)傳輸過程中,經(jīng)常會(huì)遭到黑客的攔截、竊取、篡改、盜用、監(jiān)聽等惡意破壞,給商戶帶來重大損失。以各種非法手段企圖入侵計(jì)算機(jī)網(wǎng)絡(luò)的黑客,其惡意攻擊構(gòu)成電子商務(wù)系統(tǒng)中網(wǎng)絡(luò)安全的最大威脅,已經(jīng)成為物流信息安全的最大隱患。黑客攻擊經(jīng)常使用的手段有:
1、獲取口令
有三種方法:一是精心偽造一個(gè)登錄頁面,并嵌入到相關(guān)網(wǎng)頁上,當(dāng)商戶鍵入登錄信息(用戶名和密碼等)后,將這些信息傳送到黑客的主機(jī),然后關(guān)閉頁面給出“系統(tǒng)故障”等提示,要求商戶重新登錄,此后才出現(xiàn)真正的登錄頁面。二是通過網(wǎng)絡(luò)監(jiān)聽得到商戶口令,監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號(hào)和口令,對(duì)LAN威脅巨大。三是知道商戶賬號(hào)后利用一些專門軟件強(qiáng)行破解商戶口令。
2、郵件炸彈
用偽造的IP地址和電子郵件地址向商戶信箱發(fā)送無數(shù)封內(nèi)容相同的惡意郵件,擠滿郵箱,把正常郵件沖掉。同時(shí)占用大量網(wǎng)絡(luò)資源,導(dǎo)致網(wǎng)路阻塞,甚至使電子郵件服務(wù)器癱瘓。3、特洛伊木馬
在商戶的電腦中隱藏一個(gè)會(huì)在系統(tǒng)啟動(dòng)時(shí)運(yùn)行的程序,采用服務(wù)器/客戶機(jī)的運(yùn)行方式,在上網(wǎng)時(shí)控制商戶電腦,竊取口令、瀏覽商戶的驅(qū)動(dòng)器、修改商戶文件和登錄注冊(cè)表等。
4、誘敵深入
黑客編寫“合法”程序,上傳到FTP站點(diǎn)或提供給個(gè)人主頁誘導(dǎo)客戶。當(dāng)客戶下載該軟件時(shí),黑客的軟件一并進(jìn)入客戶的計(jì)算機(jī)上,跟蹤客戶的操作,記錄客戶輸入的每一個(gè)口令,發(fā)送到黑客指定的E-mail中。
5、尋找漏洞
尋找攻擊目標(biāo)的系統(tǒng)安全漏洞或安全弱點(diǎn),以便獲取攻擊目標(biāo)系統(tǒng)的非法訪問權(quán)。
四、物流信息安全防護(hù)策略合法商戶進(jìn)行網(wǎng)上查詢、交易雙方業(yè)務(wù)洽談、買方下訂單并得到賣方確認(rèn)、商品配送、售后服務(wù)、技術(shù)支持等在線操作時(shí)對(duì)商務(wù)數(shù)據(jù)的安全需求比較高,同時(shí)希望私有信息(口令、賬戶數(shù)據(jù)等)保密。采用身份認(rèn)證和數(shù)據(jù)加密技術(shù)能夠保護(hù)商戶私人信息及商務(wù)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸時(shí)不被竊聽、篡改、頂替及非法使用。
1、身份驗(yàn)證
采用數(shù)字證書身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。每個(gè)企業(yè)用戶應(yīng)該申請(qǐng)一張數(shù)字證書,上網(wǎng)進(jìn)行賬戶查詢時(shí),網(wǎng)上銀行系統(tǒng)首先驗(yàn)證該用戶數(shù)字證書是否合法,然后將查詢請(qǐng)求和口令一起發(fā)送給業(yè)務(wù)前置機(jī),對(duì)口令再次進(jìn)行認(rèn)證。當(dāng)服務(wù)器獲得用戶證書后,還要檢索該證書是否在廢止證書列表之中。對(duì)于個(gè)人用戶,可以采用對(duì)口令加密的方式進(jìn)行身份驗(yàn)證,不需要申請(qǐng)證書,比較方便。
2、數(shù)據(jù)加密
物流信息在網(wǎng)絡(luò)中傳輸時(shí),通常不是以明文方式而是以密文的方式進(jìn)行通信傳輸。因?yàn)橐悦魑膫鬏數(shù)男畔?shù)據(jù),一旦被他人截獲會(huì)輕而易舉地被讀懂、竊取盜用及篡改,很難保證物流配送活動(dòng)的機(jī)密性、可靠性和安全性。下面利用C語言編程實(shí)現(xiàn)替換加密方法。
Caesar(愷撒)密碼是一種最古老的技術(shù),將明文中每個(gè)字母替換為字母表中其后面固定數(shù)目位置的字母。如要傳輸?shù)拿魑氖恰癐amateacher!”,經(jīng)過加密,密鑰為5,對(duì)方接收到的密文是“Nfrfyjfhmjw!”,對(duì)第三方來說,這是毫無意義的一串字符,避免了泄密。合法接收方進(jìn)行解密,又會(huì)得到“Iamateacher!”字符串。加密算法代碼如下:#include"string.h"
main()
{inti,ld,newasc;
charmingwen[20],miwen[20],c;
strcpy(mingwen,"Iamateacher!");/*明文*/
ld=strlen(mingwen);
for(i=0;i{c=mingwen[i];
if(c>=''''A''''&&c<=''''Z'''')
{newasc=c+5;/*密鑰為5*/
if(newasc>''''Z'''')newasc=newasc-26;
miwen[i]=newasc;}
elseif(c>=''''a''''&&c<=''''z'''')
{newasc=c+5;
if(newasc>''''z'''')newasc=newasc-26;
miwen[i]=newasc;}
else
miwen[i]=c;
}
for(i=0;i}
數(shù)據(jù)加密后傳輸,一定程度上保證了信息的安全性,密鑰的保密是很關(guān)鍵的。否則,網(wǎng)絡(luò)攻擊者掌握加密、解密算法,又得到密鑰,對(duì)合法商戶會(huì)造成致命的損失。因此加強(qiáng)對(duì)密鑰的管理,要貫穿于密鑰的整個(gè)生存期:密鑰的生成、驗(yàn)證、傳遞、保管、使用和銷毀。
電子商務(wù)作為網(wǎng)絡(luò)時(shí)代的一種全新的交易模式,相對(duì)于傳統(tǒng)商務(wù)是一場(chǎng)革命。電子商務(wù)的優(yōu)勢(shì)之一就是能大大簡(jiǎn)化業(yè)務(wù)流程,降低企業(yè)運(yùn)作成本。而電子商務(wù)企業(yè)成本優(yōu)勢(shì)的建立和保持必須以可靠和高效的物流運(yùn)作作為保證。所以,加大力度防護(hù)物流信息的安全,大力發(fā)展現(xiàn)代化物流,電子商務(wù)才能得到更好的發(fā)展。
參考文獻(xiàn):
[1]曹淑艷.電子商務(wù)應(yīng)用基礎(chǔ)[M].北京:清華大學(xué)出版社,2005.9.
關(guān)鍵詞:電子商務(wù) 信息安全 安全協(xié)議
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2012)11-0190-01
隨著電子商務(wù)的發(fā)展,網(wǎng)絡(luò)上的信息安全問題受到高度重視。面對(duì)越來越嚴(yán)重危害計(jì)算機(jī)網(wǎng)絡(luò)安全的種種威脅,僅僅利用物理上和政策上的手段來防止計(jì)算機(jī)犯罪是很困難的。那么如何保證整個(gè)商務(wù)過程中信息的安全性,使基于Internet的電子交易方式與傳統(tǒng)交易方式一樣安全可靠,已經(jīng)成為在電子商務(wù)應(yīng)用中所關(guān)注的重要技術(shù)問題
1、電子商務(wù)的安全威脅
電子商務(wù)活動(dòng)是在一個(gè)開放、虛擬的場(chǎng)所進(jìn)行,容易受到黑客的各種攻擊,也會(huì)由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和惡意破壞,給電子商務(wù)帶來了極大的威脅。電子商務(wù)在這樣的環(huán)境中,時(shí)時(shí)處處受到安全的威脅,其安全威脅可分為兩大方面:
(1)計(jì)算機(jī)網(wǎng)絡(luò)的潛在安全隱患;
(2)商務(wù)安全中存在的安全威脅。
2、電子商務(wù)主要的安全要素
電子商務(wù)面臨的威脅導(dǎo)致了對(duì)電子商務(wù)安全的需求。總的來說,電子商務(wù)有有效性、機(jī)密性(保密性)、完整性(真實(shí)性)、認(rèn)證性、不可抵賴性(不可否認(rèn)性)等幾方面的安全性需求,為了滿足這些需求,提高電子商務(wù)的安全性,網(wǎng)絡(luò)和管理技術(shù)人員研究和開發(fā)了多種網(wǎng)絡(luò)安全技術(shù)和協(xié)議,這些技術(shù)和協(xié)議各自有一定的使用范圍,可以提供電子商務(wù)交易活動(dòng)不同程度的安全保障。
3、SSL協(xié)議及其安全性分析
3.1 SSL安全傳輸協(xié)議
SSL安全套接字層協(xié)議應(yīng)用于Internet上進(jìn)行保密通信的一個(gè)中間層安全協(xié)議,是目前使用最廣泛的電子商務(wù)協(xié)議。它位于TCP/IP層和應(yīng)用層之間,對(duì)應(yīng)用層透明,為應(yīng)用層程序提供一條安全的網(wǎng)絡(luò)傳輸通道。
3.2 SSL記錄協(xié)議
SSL記錄協(xié)議用來對(duì)應(yīng)用層提供的信息進(jìn)行分組和組合、壓縮和解壓縮、數(shù)據(jù)認(rèn)證和加密。利用SSL協(xié)議傳輸?shù)臄?shù)據(jù)都被封裝在SSL記錄協(xié)議定義的SSL記錄中。記錄由記錄頭和長(zhǎng)度不為0的記錄數(shù)據(jù)組成。
3.3 SSL安全性分析
SSL協(xié)議常見的安全問題主要包括ChangeCipherSpec消息丟棄、對(duì)握手協(xié)議的探測(cè)攻擊、密鑰交換算法重放攻擊、版本重放攻擊、通信業(yè)務(wù)流分析攻擊和證書攻擊等
4、SET協(xié)議及其安全性分析
4.1 SET安全電子交易協(xié)議
SET是基于Internet的卡基支付,是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn),采用RSA公開密鑰體系對(duì)通信雙方進(jìn)行認(rèn)證,利用DES、RC4或任何標(biāo)準(zhǔn)對(duì)稱加密方法進(jìn)行信息的加密傳輸,并用Hash算法來鑒別消息真?zhèn)巍⒂袩o篡改。
SET協(xié)議規(guī)定了交易各方進(jìn)行安全交易的具體流程,協(xié)議本身比較復(fù)雜,設(shè)計(jì)比較嚴(yán)格,安全性高,它能保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。這一標(biāo)準(zhǔn)被公認(rèn)為全球網(wǎng)際網(wǎng)絡(luò)的標(biāo)準(zhǔn),其交易形態(tài)將成為未來電子商務(wù)的典范。
4.2 SET協(xié)議的系統(tǒng)結(jié)構(gòu)
SET改變了支付系統(tǒng)中各個(gè)參與者之間交互的方式。在面對(duì)面的零售交易或郵購交易中,電子處理過程始于商家或付款銀行;而在SET交易中,電子支付始于持卡人。
SET協(xié)議是一個(gè)龐大的協(xié)議系統(tǒng),總共由17個(gè)子協(xié)議組成。其中主要的子協(xié)議包括:持卡人注冊(cè)、商家注冊(cè)、購買請(qǐng)求、支付認(rèn)證、支付截獲等,SET協(xié)議還有很多可選的輔助子協(xié)議包括:證書狀態(tài)查詢、支付查詢、授權(quán)撤銷、付款撤銷、信用卡撤銷和出錯(cuò)消息等
4.3 SET協(xié)議安全性分析
信息機(jī)密性。SET支付環(huán)境中信息的機(jī)密性是通過使用混合加密算法加密支付信息而獲得的。
數(shù)據(jù)完整性。SET使用數(shù)字簽名來保證數(shù)據(jù)的完整性。
身份驗(yàn)證。SET使用基于X.509 v3.0的數(shù)字證書,通過數(shù)字證書和RSA簽名來達(dá)到對(duì)持卡人帳戶和商家、支付網(wǎng)關(guān)以及銀行的身份的認(rèn)證。
不可否認(rèn)性。SET協(xié)議中數(shù)字證書的過程也包含了商家和客戶在交易中存在的信息。
5、SSL協(xié)議與SET協(xié)議的比較分析
支付系統(tǒng)是電子商務(wù)的關(guān)鍵技術(shù),SET和SSL是兩種重要的通過Internet進(jìn)行安全支付的協(xié)議,二者在技術(shù)上并沒有多少相似之處。SET是一個(gè)多方的報(bào)文協(xié)議,它定義了銀行、商家、持卡人之間的必須的報(bào)文規(guī)范,主要是為了解決用戶、商家、銀行之間通過信用卡支付的交易而設(shè)計(jì)的,而SSL只是簡(jiǎn)單地在兩方之間建立一條安全連接。SSL是面向連接的,而SET允許各方之間的報(bào)文交換不是實(shí)時(shí)的。
關(guān)鍵詞:電子商務(wù);信息安全;風(fēng)險(xiǎn)評(píng)估;對(duì)策
基金項(xiàng)目:鄭州科技學(xué)院大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目:電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)及應(yīng)用(編號(hào):DCY2019007)
1.引言
電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ),以商城消費(fèi)者產(chǎn)品物流為構(gòu)成要素進(jìn)行的電子商務(wù)活動(dòng)。當(dāng)電子商務(wù)相關(guān)部門或人員在進(jìn)行項(xiàng)目開發(fā)時(shí),擁有一套信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)可以幫助其采用科學(xué)合理的方法對(duì)潛在威脅進(jìn)行分析并保證經(jīng)濟(jì)系統(tǒng)的安全。所以將信息安全技術(shù)與現(xiàn)代化新興技術(shù)結(jié)合,將為我們打造一個(gè)更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。
2.電子商務(wù)系統(tǒng)中存在的信息安全問題及現(xiàn)狀
一般來說,電子商務(wù)的信息安全是指在電子商務(wù)交易的過程中雙方使用各種技術(shù)和法律手段等確保交易不會(huì)因?yàn)橐馔猓瑦阂饣蛘吲哆@些不利要求而受到損害的信息安全。在21世紀(jì)初葉,我國(guó)金融系統(tǒng)中的計(jì)算機(jī)犯罪率一直在不斷地增加,我國(guó)金融網(wǎng)絡(luò)信息安全形勢(shì)非常嚴(yán)峻,需要加強(qiáng)改善。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問題做一個(gè)簡(jiǎn)要介紹,主要涉及以下幾個(gè)方面:
(1)由于編寫的電子商務(wù)系統(tǒng)軟件可以使用不同的形式,因此在實(shí)際應(yīng)用過程中難以避免的會(huì)留下安全漏洞。例如,網(wǎng)絡(luò)操作系統(tǒng)本身會(huì)存在一些安全問題,例如非法訪問I/0,這些不完全的調(diào)解和混亂的訪問控制會(huì)造成數(shù)據(jù)庫安全漏洞,而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開始設(shè)計(jì)之前就沒有考慮TCP/IP通信協(xié)議的安全性,這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來也存在風(fēng)險(xiǎn)。在信息的傳遞過程中,需要不斷地對(duì)信息源進(jìn)行加工和重現(xiàn),截取有用信息,不可避免會(huì)出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險(xiǎn)。尤其是在當(dāng)下“社交+商務(wù)”的模式下,一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬次或者更多,一旦在信息轉(zhuǎn)載中出現(xiàn)誤差,影響非常大,風(fēng)險(xiǎn)應(yīng)當(dāng)給予重視。
(2)隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,計(jì)算機(jī)病毒帶來的問題越來越廣泛,壓縮文件,電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑,因?yàn)檫@些病毒的種類非常多樣化,破壞性極強(qiáng),使得計(jì)算機(jī)病毒的傳播速度大大加快了。近年來,新病毒種類的數(shù)量迅速增加,互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介。這些病毒可以通過網(wǎng)絡(luò)大量傳播任何粗心大意都會(huì)造成無法彌補(bǔ)的經(jīng)濟(jì)損失。此外還有信息傳遞過程所帶來的風(fēng)險(xiǎn)。信息是一種重要的資源,良好的流動(dòng)性能實(shí)現(xiàn)信息價(jià)值的最大化,但是在信息的傳遞過程中需要經(jīng)過許多路徑,而在這過程中往往存在一些不安全因素,給信息安全帶來一定的風(fēng)險(xiǎn)。
(3)當(dāng)前的黑客攻擊,除了計(jì)算機(jī)病毒的傳播外,黑容的惡意行為也越來越猖狂。特洛伊木馬使黑容可以使用計(jì)算機(jī)病毒從而變得更加有目的性,使得計(jì)算機(jī)記錄的登錄信息被特洛伊木馬程序惡意篡改,導(dǎo)致很多重要信息、文件,甚至是金錢被盜。
(4)由人為因素造成的電子商務(wù)公司的安全問題,大部分保密工作是通過員工的操作來進(jìn)行的,這就需要員工具有很好的保密性,責(zé)任心和責(zé)任感等道德素質(zhì)。如果員工的責(zé)任心不強(qiáng),態(tài)度不正確,就容易被別人利用,讓無關(guān)人員隨意進(jìn)出房間或向他人泄露機(jī)密信息,可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德,可能會(huì)非法超出授權(quán)范圍更改或刪除他人的信息,而且還可以利用所學(xué)專業(yè)知識(shí)和工作位置來竊取用戶密碼和標(biāo)識(shí)符,進(jìn)行非法出售。
3.電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估存在的問題
經(jīng)過大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估是當(dāng)前科研工作中噬待解決的問題。目前,國(guó)內(nèi)也有一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用,但是這些研究都只是簡(jiǎn)單的分析,包括常用的具有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估工具。評(píng)估矩陣,問卷,風(fēng)險(xiǎn)評(píng)估矩陣與問卷方法,專家系統(tǒng)相結(jié)合。對(duì)于更深層次的探究還需進(jìn)一步努力。此外,網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法,時(shí)間序列模型,決策樹方法和回歸模型進(jìn)行。風(fēng)險(xiǎn)評(píng)估方法,定性分析主要包括邏輯分析,Delphi方法,因子分析方法,歷史比較方法等。其中,定量和定性評(píng)估方法相結(jié)合,是由模糊層次分析法,基于D-S證據(jù)理論等的評(píng)估方法組成。同時(shí)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估還存在一定問題,例如隨著網(wǎng)絡(luò)的發(fā)展,我國(guó)從開始的2G邁向4G現(xiàn)在又率先進(jìn)入5G時(shí)代。其中也出現(xiàn)了各種問題,網(wǎng)民數(shù)量的增加需要迫切提高他們對(duì)信息安全的警惕意識(shí)。
3.1欠缺對(duì)電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)
當(dāng)前,許多相關(guān)人員對(duì)電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識(shí),缺少信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)。因此他們沒有重視信息安全風(fēng)險(xiǎn)評(píng)估的重要性,其原因如下。第一,公司或單位的風(fēng)險(xiǎn)評(píng)估尚未通過標(biāo)準(zhǔn)檢驗(yàn),培訓(xùn)標(biāo)準(zhǔn),信息安全風(fēng)險(xiǎn)評(píng)估工作的研究尚未得到系統(tǒng)的相關(guān)理論,方法和技術(shù)工具,這是由于一些信息安全評(píng)估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對(duì)信息評(píng)估風(fēng)險(xiǎn)評(píng)估的重要性的認(rèn)識(shí)不足,因此自然而然不將此類風(fēng)險(xiǎn)評(píng)估工作包括在當(dāng)前的信息安全系統(tǒng)框架中。第二,盡管有許多部門將信息安全工作置于地位重要,但受到人力、物力,財(cái)力等方面的限制,社會(huì)制度的制約,政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作無法得到應(yīng)有的重視。
3.2缺乏信息安全風(fēng)險(xiǎn)評(píng)估方面的專業(yè)技術(shù)人才
首先,信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求非常高,它要求員工具有很高的技術(shù)水平,現(xiàn)在很多公司都將通用信息用作風(fēng)險(xiǎn)評(píng)估技術(shù)人員。其次,信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性,專業(yè)性于一體的工作,不僅涉及公司的所有業(yè)務(wù)信息,也涉及人力,物力和財(cái)力的方方面面,因此需要各部門之間相互配合,現(xiàn)在大多數(shù)公司僅依靠信息部門,獨(dú)立的參與信息安全風(fēng)險(xiǎn)評(píng)估毫無爭(zhēng)議他們要想完成信息安全風(fēng)險(xiǎn)評(píng)估工作是非常艱難的。綜上所述,培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估專業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向。
3.3風(fēng)險(xiǎn)評(píng)估工具相對(duì)缺乏
當(dāng)前,除專家系統(tǒng)外,其他分析工具相對(duì)來說都比較簡(jiǎn)易,除此之外還缺乏實(shí)用的理論基礎(chǔ)。此外,這種信息風(fēng)險(xiǎn)評(píng)估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀。表明國(guó)內(nèi)和外部失衡,在中國(guó)相對(duì)落后。可見解決信息安全問題的關(guān)鍵在于有成熟的風(fēng)險(xiǎn)評(píng)估工具。
4.防范電子商務(wù)信息安全及風(fēng)險(xiǎn)的建議
4.1增強(qiáng)電子商務(wù)信息安全和風(fēng)險(xiǎn)評(píng)估的意識(shí)
大多數(shù)信息的傳輸和處理,與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務(wù),人員的個(gè)人因素,管理因素和環(huán)境存在風(fēng)險(xiǎn)。主要包括人員的技術(shù)能力,監(jiān)控管理,安全性。特別需要做好監(jiān)督審計(jì)公司的工作,確保信息安全風(fēng)險(xiǎn)管理融入實(shí)踐,充分發(fā)揮內(nèi)部監(jiān)督作用,促進(jìn)社會(huì)責(zé)任認(rèn)可和實(shí)施信息安全風(fēng)險(xiǎn)管理工作。電子商務(wù)公司必須對(duì)工人進(jìn)行必要的信息安全知識(shí)教育培訓(xùn),了解與之相關(guān)的法律法規(guī),做好對(duì)客戶關(guān)鍵信息的隱秘保護(hù)。不隨意查看和泄露客戶購買信息。
企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時(shí)信息的機(jī)密性和完整性,加強(qiáng)密鑰管理,提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力,采取措施避免越權(quán)或?yàn)E用,消除用戶在交易中的風(fēng)險(xiǎn)。在信息安全風(fēng)險(xiǎn)控制中必須由內(nèi)到外地保護(hù)內(nèi)部系統(tǒng)環(huán)境、網(wǎng)絡(luò)邊界、骨干網(wǎng)安全。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng),并提供全面的安全保障。運(yùn)用端到端策略。對(duì)于移動(dòng)電子商務(wù)中用戶終端設(shè)備種類繁多,安全環(huán)境復(fù)雜難以控制的問題,必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過人臉識(shí)別、指紋識(shí)別等技術(shù)有效提高用戶訪問身份鑒別能力,極大地提高賬戶的安全性,確保數(shù)據(jù)傳輸?shù)陌踩裕_保交易的真實(shí)有效。
4.2提供專業(yè)的技術(shù)培訓(xùn),提高專業(yè)人員的技能
認(rèn)真選擇第三方合作伙伴,增強(qiáng)信息管理水平,加強(qiáng)績(jī)效監(jiān)督管理。樹立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障,培養(yǎng)員工信息安全意識(shí),創(chuàng)造良好信息安全工作氛圍,加強(qiáng)信息安全專業(yè)技術(shù)人員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí)和能力,通過大量的實(shí)驗(yàn)發(fā)現(xiàn)可以通過下列方法培訓(xùn)相關(guān)人員:第一,定期開展信息安全風(fēng)險(xiǎn)評(píng)估工作,將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對(duì)信息安全的意識(shí)彌補(bǔ)存在的缺陷。第二,對(duì)信息安全部門的員工進(jìn)行專門的技術(shù)培訓(xùn)和指導(dǎo),可通過模擬分析來提升技術(shù);第三,公司應(yīng)增加對(duì)技術(shù)資源的投入,聘請(qǐng)經(jīng)驗(yàn)豐富的專家學(xué)者組成第三方評(píng)估機(jī)構(gòu),引進(jìn)風(fēng)險(xiǎn)評(píng)估設(shè)備。以備不時(shí)之需;第四,公司應(yīng)對(duì)技術(shù)人員進(jìn)行標(biāo)準(zhǔn)化認(rèn)證培訓(xùn),執(zhí)行職業(yè)資格準(zhǔn)入制度,提高技術(shù)人員的門檻,納入信息安全風(fēng)險(xiǎn)評(píng)估,技術(shù)人員的全面質(zhì)量保證評(píng)估。以上這些方法只是單純就培訓(xùn)方式對(duì)于具體的實(shí)施以及可能遇到的問題依然需要研究。
4.3提升對(duì)信息安全防范技術(shù)的研究和應(yīng)用
為移動(dòng)數(shù)據(jù)庫存儲(chǔ)的數(shù)據(jù)進(jìn)行加密以防止泄漏,采用不同的加密方法來保護(hù)數(shù)據(jù)安全,進(jìn)行身份認(rèn)證,數(shù)據(jù)恢復(fù),數(shù)據(jù)加密存儲(chǔ),物理隔離,防火墻,網(wǎng)絡(luò),網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)入侵檢測(cè),網(wǎng)絡(luò)漏洞掃描,網(wǎng)絡(luò)設(shè)備備份,網(wǎng)絡(luò)管理,專線,實(shí)現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段,從而提高數(shù)據(jù)庫的安全性。同時(shí)提高認(rèn)識(shí)到物理設(shè)施的重要性,定期維護(hù)物理設(shè)施。為了監(jiān)測(cè)信息安全和實(shí)施評(píng)估系統(tǒng),我們要保證基本硬件和芯片的獨(dú)立在建立獨(dú)立于信息安全的評(píng)估體系中,國(guó)內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究,建立創(chuàng)新的電子商務(wù)信息安全與評(píng)估體系。
[關(guān)鍵詞] 電子商務(wù) 信息安全 安全技術(shù)
伴隨經(jīng)濟(jì)的迅猛發(fā)展,電子商務(wù)成為當(dāng)今世界商務(wù)活動(dòng)的新模式。要在國(guó)際競(jìng)爭(zhēng)中贏得優(yōu)勢(shì),必須保證電子商務(wù)中信息交流的安全。
一、電子商務(wù)的信息安全問題
電子商務(wù)信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù),獲取機(jī)密信息或通過對(duì)信息流量、流向、通信頻度和長(zhǎng)度分析,推測(cè)出有用信息。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后,通過技術(shù)手段對(duì)網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地,破壞信息完整性。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息、購買者做了定貨單不承認(rèn)等。
二、信息安全要求
電子商務(wù)的安全是對(duì)交易中涉及的各種信息的可靠性、完整性和可用性保護(hù)。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障。由于建立在開放網(wǎng)絡(luò)環(huán)境中,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ),影響到交易和經(jīng)營(yíng)策略。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹模A(yù)防對(duì)信息隨意生成、修改和刪除,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.信息有效性:保證信息有效性是開展電子商務(wù)前提,關(guān)系到企業(yè)或國(guó)家的經(jīng)濟(jì)利益。對(duì)網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。為防止計(jì)算機(jī)失效、程序錯(cuò)誤、系統(tǒng)軟件錯(cuò)誤等威脅,通過控制與預(yù)防確保系統(tǒng)安全可靠。
三、信息安全技術(shù)
1.防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障,根據(jù)指定策略對(duì)數(shù)據(jù)過濾、分析和審計(jì),并對(duì)各種攻擊提供防范。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息,然后逐項(xiàng)剔除有害內(nèi)容。
防火墻技術(shù)主要有:(1)包過濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過,核心是安全策略即過濾算法設(shè)計(jì)。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù):把過濾和服務(wù)兩種方法結(jié)合形成新防火墻,所用主機(jī)稱為堡壘主機(jī),提供服務(wù)。(5)審計(jì)技術(shù):通過對(duì)網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志,對(duì)日志統(tǒng)計(jì)分析,對(duì)資源使用情況分析,對(duì)異常現(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù):加密路由器對(duì)通過路由器的信息流加密和壓縮,再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。
2.加密技術(shù)。為保證數(shù)據(jù)和交易安全,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿(mào)易方甲生成一對(duì)密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿(mào)易方乙對(duì)信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對(duì)加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請(qǐng)對(duì)方發(fā)信息將公共密鑰傳給對(duì)方,保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋,有固定長(zhǎng)度且不同明文摘要成密文結(jié)果不同,而同樣明文摘要必定一致。這串摘要成為驗(yàn)證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認(rèn)文件的手段。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn),從而確認(rèn)文件已簽署;二是因?yàn)楹灻灰追旅埃瑥亩_定文件為真。(4)數(shù)字時(shí)間戳: 電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)。
3.認(rèn)證技術(shù)。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息完整性,確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證、數(shù)字標(biāo)識(shí),用電子手段證實(shí)用戶身份及對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限,可控制被查看的數(shù)據(jù)庫,提高總體保密性。交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心。無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書發(fā)放,都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu),受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書管理。
4.防病毒技術(shù)。(1)預(yù)防病毒技術(shù),通過自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲取系統(tǒng)控制權(quán),監(jiān)視系統(tǒng)中是否有病毒,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)破壞。(2)檢測(cè)病毒技術(shù),通過對(duì)計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測(cè)技術(shù),如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度變化。(3)消除病毒技術(shù),通過對(duì)計(jì)算機(jī)病毒分析,開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發(fā),使計(jì)算機(jī)始終處于良好工作狀態(tài)。
四、結(jié)語
信息安全是電子商務(wù)的核心。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù),提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠,還必須完善電子商務(wù)立法,以規(guī)范存在的各類問題,引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn):
[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006
論文摘要:電子商務(wù)是基于網(wǎng)絡(luò)盼新興商務(wù)模式,有效的網(wǎng)絡(luò)信息安全保障是電子商務(wù)健康發(fā)展的前提。本文著重分析了電子商務(wù)活動(dòng)申存在的網(wǎng)絡(luò)信息安全問題,提出保障電子商務(wù)信息安全的技術(shù)對(duì)策、管理策略和構(gòu)建網(wǎng)絡(luò)安全體系結(jié)構(gòu)等措施,促進(jìn)我國(guó)電子商務(wù)可持續(xù)發(fā)展。
隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運(yùn)而生并迅速發(fā)展。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng),實(shí)現(xiàn)消費(fèi)者的網(wǎng)購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)和相關(guān)的綜合眼務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式。信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廣,然而由于互聯(lián)網(wǎng)的開放性,網(wǎng)絡(luò)安全問題日益成為制約電予商務(wù)發(fā)展的一個(gè)關(guān)鍵性問題。
一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題
電子商務(wù)的前提是信息的安全性保障,信息安全性的含義主要是信息的完整性、可用性、保密和可靠。因此電商務(wù)活動(dòng)中的信息安全問題豐要體現(xiàn)在以下兩個(gè)方面:
1 網(wǎng)絡(luò)信息安全方面
(1)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題。
(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電予商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會(huì)非常嚴(yán)重。
2.電子商務(wù)交易方面
(1)身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái),在這個(gè)平臺(tái)上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易。
(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會(huì)影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正。
二 電子商務(wù)中的網(wǎng)絡(luò)信息安全對(duì)策
1 電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對(duì)策
(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信皂的完整和提供信包發(fā)送者身份的認(rèn)證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全、方便地實(shí)現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩浴⑼暾?身份驗(yàn)證機(jī)制以及交易的不可抵賴性等均可通過電子簽名的安全認(rèn)證手段加以解決。
(2)配置防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接入控制和審查跟蹤,是一一種訪問控制機(jī)制。在邏輯,防火墻是一個(gè)分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和Intemet之間的任何活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。
(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩種。相應(yīng)地,對(duì)數(shù)據(jù)加密的技術(shù)分為對(duì)稱加密和非對(duì)稱加密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn),全面加密保護(hù)應(yīng)包括對(duì)遠(yuǎn)程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)。一般來說,應(yīng)根據(jù)管理級(jí)別所對(duì)應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密。
2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日記保密等各個(gè)方面。對(duì)各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級(jí)別,并制定出相應(yīng)的保密措施。
(2)建立系統(tǒng)維護(hù)制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長(zhǎng)期安全、穩(wěn)定運(yùn)行的基本保證,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見,其他任何人不得介入,主要做好硬件系統(tǒng)日常管理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。
(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時(shí)升級(jí)防病毒軟件版本、及時(shí)通報(bào)病毒入侵信息等工作。此外,還可將剛絡(luò)系統(tǒng)中易感染病毒的文什屬性、權(quán)限加以限制,斷絕病毒入侵的渠道,從而達(dá)到預(yù)防的目的。
(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個(gè)成功的電子商務(wù)系統(tǒng),應(yīng)引對(duì)信息安全至少提供三個(gè)層而的安全保護(hù)措施:一是數(shù)據(jù)存操作系統(tǒng)內(nèi)部或者盤陣中實(shí)現(xiàn)快照、鏡像;二是對(duì)數(shù)據(jù)庫及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份;三是對(duì)重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以上保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)。
三 電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)
電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān),更與社會(huì)因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對(duì)電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:1.電子商務(wù)系統(tǒng)硬件安全。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性,保證其可靠眭和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制。2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿足整個(gè)系統(tǒng)安全策略需求。3.電子商務(wù)系統(tǒng)運(yùn)行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運(yùn)行。4.電商務(wù)網(wǎng)絡(luò)安全的立法保障。結(jié)合我閣實(shí)際,借鑒國(guó)外先進(jìn)網(wǎng)絡(luò)信息安全立法、執(zhí)法經(jīng)驗(yàn),完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系。
