開(kāi)篇：寫(xiě)作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇電子商務(wù)安全策略，希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

如今，電子商務(wù)的普及程度遠(yuǎn)遠(yuǎn)超出了我們當(dāng)初的預(yù)想，無(wú)論是生活、學(xué)習(xí)、工作還是購(gòu)物，電子商務(wù)均為我們提供了充足的便捷性。但是，電子商務(wù)在發(fā)展過(guò)程中也面臨著一些問(wèn)題，例如很多時(shí)候由于系統(tǒng)漏洞及黑客入侵等導(dǎo)致了電子商務(wù)的安全性下降，很多網(wǎng)民表示對(duì)網(wǎng)上交易存在一定的擔(dān)憂心理，甚至有人不支持網(wǎng)上交易，因此電子商務(wù)安全問(wèn)題的解決已經(jīng)刻不容緩。電子商務(wù)作為一種新的經(jīng)濟(jì)模式，并沒(méi)有從本質(zhì)上改變其商業(yè)屬性，這就意味著電子商務(wù)的運(yùn)作必須遵循商業(yè)活動(dòng)的一般規(guī)律，安全是其必須考慮的重要因素。如今，電子商務(wù)的安全性是不容樂(lè)觀的，從事電子商務(wù)的企業(yè)承擔(dān)的風(fēng)險(xiǎn)遠(yuǎn)高于傳統(tǒng)企業(yè)。電子商務(wù)的安全性要求包括很多方面，如信息的保密性，即交易中的商務(wù)信息一般都有加密的要求；交易者身份的確定性，方便而可靠地確認(rèn)交易雙方的身份信息是交易的前提；交易的不可否認(rèn)性，意指一旦交易達(dá)成則雙方不能對(duì)此予以否認(rèn)等。

一、電子商務(wù)存在的安全隱患

1、交易平臺(tái)安全隱患

電子商務(wù)交易平臺(tái)主要由電子商務(wù)服務(wù)器、電子商務(wù)軟件/網(wǎng)站系統(tǒng)、電子商務(wù)數(shù)據(jù)庫(kù)和電子商務(wù)支付系統(tǒng)等組成。交易平臺(tái)是整個(gè)電子商務(wù)系統(tǒng)安全運(yùn)行的基礎(chǔ)和保障，而因?yàn)榉N種因素的存在降低了平臺(tái)本身的安全性。電子商務(wù)服務(wù)器因?yàn)橐M(jìn)行大量的電子商務(wù)活動(dòng)，比普通的服務(wù)器更加容易受到黑客的攻擊，而服務(wù)器操作系統(tǒng)本身的安全問(wèn)題也導(dǎo)致服務(wù)器的不安全。電子商務(wù)運(yùn)行所依靠的運(yùn)行工具，比如購(gòu)物網(wǎng)站可能因?yàn)樵O(shè)計(jì)開(kāi)發(fā)不合理，導(dǎo)致心懷不軌者利用網(wǎng)站漏洞進(jìn)行攻擊，從而破壞網(wǎng)絡(luò)交易。電子商務(wù)活動(dòng)中產(chǎn)生的所有數(shù)據(jù)都存儲(chǔ)在數(shù)據(jù)庫(kù)中，如果數(shù)據(jù)庫(kù)在存儲(chǔ)管理方面出現(xiàn)問(wèn)題，很容易導(dǎo)致用戶信息泄密。尤其是隨著云計(jì)算和大數(shù)據(jù)存儲(chǔ)的發(fā)展，數(shù)據(jù)存儲(chǔ)的安全性受到了更加嚴(yán)峻的考驗(yàn)，面對(duì)海量數(shù)據(jù)，傳統(tǒng)的安全防護(hù)措施顯得蒼白無(wú)力。

2、電子支付安全隱患

電子商務(wù)支付系統(tǒng)是電子商務(wù)活動(dòng)中的核心部分，近幾年來(lái)不斷有不法分子利用釣魚(yú)網(wǎng)站，偽裝成支付頁(yè)面，導(dǎo)致大量的網(wǎng)絡(luò)用戶受騙，財(cái)產(chǎn)在不經(jīng)意間被人騙走。快捷和方便是電子商務(wù)的主要特點(diǎn)，為了能夠更好的去實(shí)現(xiàn)電子商務(wù)的這個(gè)特點(diǎn)，電子交易平臺(tái)就需要和各個(gè)銀行聯(lián)手，為顧客提供各種不同的支付方式，比如信用卡、快捷支付以及U盾等。人們?cè)诰W(wǎng)上交易時(shí)信用卡支付是一種比較常見(jiàn)的方式，它可以有效實(shí)現(xiàn)先買(mǎi)東西后付款的方式，為資金不夠的顧客提供了便利，同樣也有很多違法分子利用這種方式來(lái)進(jìn)行信用卡詐騙，這樣對(duì)電子商務(wù)的長(zhǎng)期發(fā)展來(lái)講會(huì)產(chǎn)生比較嚴(yán)重的負(fù)面影響。

3、交易者身份安全隱患

在電子商務(wù)的交易過(guò)程中主要存在的安全問(wèn)題就是，買(mǎi)賣雙方面臨的安全威脅。一是買(mǎi)方面臨的安全問(wèn)題，客戶信息和營(yíng)銷信息泄露，甚至有假冒用戶篡改商務(wù)信息內(nèi)容等，這些均導(dǎo)致了電子商務(wù)交易的中斷，給商家的信譽(yù)度和利益帶來(lái)嚴(yán)重的影響，還有商業(yè)機(jī)密有可能被盜取，使得網(wǎng)絡(luò)黑客進(jìn)入系統(tǒng)篡改訂單，造成大量虛假訂單的形成，使得電子商務(wù)不能夠正常開(kāi)展；二是賣方面臨的安全問(wèn)題，發(fā)送的電子商務(wù)信息被篡改，造成買(mǎi)家不能夠及時(shí)收到賣家的商品。在網(wǎng)購(gòu)時(shí)使用的證件基本上都是身份證，這樣會(huì)導(dǎo)致身份證的信息被竊用，使客戶的經(jīng)濟(jì)利益受到嚴(yán)重的損害。同時(shí)還存在著個(gè)人隱私被盜取以及被網(wǎng)絡(luò)的虛假?gòu)V告欺騙，最終購(gòu)買(mǎi)了假冒偽劣商品。

4、誠(chéng)信安全隱患

誠(chéng)信是電子商務(wù)交易成功的根本保障，誠(chéng)信安全出現(xiàn)問(wèn)題會(huì)導(dǎo)致買(mǎi)賣雙方缺乏信任，整個(gè)電子商務(wù)交易也無(wú)法持續(xù)下去。眾所周知電子商務(wù)一般是買(mǎi)家通過(guò)電子現(xiàn)金、電子錢(qián)包、電子支票、信用卡支付等形式來(lái)在線支付給賣家，也就是說(shuō)買(mǎi)家先付款然后賣家再發(fā)貨，這樣消費(fèi)者種種擔(dān)心會(huì)隨之產(chǎn)生，比如商家不發(fā)貨或不按時(shí)發(fā)貨，商家發(fā)的貨沒(méi)有自己在網(wǎng)上瀏覽的虛擬產(chǎn)品好，所發(fā)商品屬于劣質(zhì)產(chǎn)品等。據(jù)相關(guān)媒體的報(bào)道，有些非法商家要賣家先付極少部分的貨款，但沒(méi)有想的是他們制作的是假的支付頁(yè)面，趁機(jī)盜取銀行卡號(hào)和密碼，造成了買(mǎi)家嚴(yán)重的經(jīng)濟(jì)損失。若是實(shí)行貨到付款，賣家就會(huì)擔(dān)心買(mǎi)家不付款或者不接受貨物，耽誤交易。因此，誠(chéng)信安全問(wèn)題直接影響著電子商務(wù)的健康發(fā)展，我們應(yīng)該對(duì)電子商務(wù)的誠(chéng)信安全問(wèn)題予以高度的重視。

二、電子商務(wù)的安全防范措施

面對(duì)網(wǎng)絡(luò)中的種種威脅，必須采取多種措施來(lái)保證電子商務(wù)的安全性。

1、對(duì)電子商務(wù)進(jìn)行專門(mén)立法

電子商務(wù)作為一種新生事物，如果延續(xù)傳統(tǒng)的法律體系對(duì)其進(jìn)行規(guī)范還存在著許多空白，這一現(xiàn)狀已經(jīng)在實(shí)踐中帶來(lái)了很多問(wèn)題。以我國(guó)1997年修訂的《刑法》為例，雖然其中增加了關(guān)于計(jì)算機(jī)犯罪的相關(guān)條款，且1999年通過(guò)的《合同法》對(duì)電子合同的書(shū)面形式、生效時(shí)間地點(diǎn)等做出了相關(guān)規(guī)定。但是，這些條款和規(guī)定明顯簡(jiǎn)單且滯后，已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足電子商務(wù)蓬勃發(fā)展的需要。以電子認(rèn)證的效力、虛假電子認(rèn)證等重要問(wèn)題為例，我國(guó)的法律對(duì)此沒(méi)有做出專門(mén)的規(guī)定，這已經(jīng)成為阻礙我國(guó)電子商務(wù)發(fā)展的重要因素。因此，我國(guó)應(yīng)努力加快電子商務(wù)法制化的建設(shè)進(jìn)程，制訂針對(duì)性強(qiáng)的《電子商務(wù)法》，從而對(duì)電子商務(wù)當(dāng)事人的權(quán)利和義務(wù)、電子合同的法律關(guān)系、電子簽名、電子認(rèn)證、網(wǎng)上知識(shí)產(chǎn)權(quán)的保護(hù)、電子支付等進(jìn)行體系化的規(guī)范，使之適應(yīng)當(dāng)前的電子商務(wù)發(fā)展環(huán)境，并且要在刑法中對(duì)電子商務(wù)領(lǐng)域的犯罪進(jìn)行明確的規(guī)定。如此以來(lái)，在法律上為電子商務(wù)提供一個(gè)良好的發(fā)展環(huán)境，為之保駕護(hù)航。

2、提升用戶安全意識(shí)

在電商時(shí)代，要保障計(jì)算機(jī)電子商務(wù)的安全，必須要強(qiáng)化用戶自身的安全意識(shí)。如果用戶的專業(yè)知識(shí)不充足，又缺乏電子商務(wù)的相關(guān)安全意識(shí)，會(huì)埋下很多安全隱患。很多非法入侵者正是由于注意到用戶缺乏專業(yè)知識(shí)與安全意識(shí)，故而選擇從用戶身上尋找突破口，入侵用戶的賬號(hào)，進(jìn)而獲取系統(tǒng)管理員的賬號(hào)，甚至最終直接入侵到整個(gè)系統(tǒng)，使得系統(tǒng)內(nèi)的數(shù)據(jù)信息被竊取或者整個(gè)系統(tǒng)出現(xiàn)崩潰的現(xiàn)象。由此看來(lái)，用戶的專業(yè)知識(shí)與安全意識(shí)對(duì)電子商務(wù)的整體安全性有著重要的影響，用戶需要不斷提高自身的安全意識(shí)，掌握相關(guān)專業(yè)知識(shí)，從自己做起，為電子商務(wù)的安全發(fā)展奠定基礎(chǔ)。

3、技術(shù)方面的安全策略

（1）積極推廣身份識(shí)別技術(shù)。在實(shí)際的電子商務(wù)中用戶的身份識(shí)別技術(shù)，旨在確保交易中涉及到的用戶身份信息的正確無(wú)誤，以及信息的有效性、完整性。該技術(shù)主要涉及以下幾個(gè)方面的內(nèi)容：利用數(shù)字標(biāo)志的方法進(jìn)行驗(yàn)證。該方法一般借助電子技術(shù)實(shí)現(xiàn)對(duì)交易用戶身份的真?zhèn)渭捌鋵?duì)相關(guān)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)的權(quán)限進(jìn)行辨別，這個(gè)過(guò)程中對(duì)用戶身份的驗(yàn)證是通過(guò)專門(mén)的數(shù)字證書(shū)（由電子商務(wù)平臺(tái)的認(rèn)證中心發(fā)放）完成的。

（2）交易平臺(tái)安全策略。電子商務(wù)交易平臺(tái)日趨龐大化且復(fù)雜度日益提高，服務(wù)器承受的安全壓力也同步增加。首先可以在服務(wù)器上安裝防火墻和入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)控病毒感染和非法入侵行為。同時(shí)關(guān)閉服務(wù)器上多余的端口，增強(qiáng)服務(wù)器的訪問(wèn)控制；其次，在開(kāi)發(fā)電子商務(wù)平臺(tái)時(shí)，要對(duì)安全性有更高的要求，確保不留下任何漏洞，增強(qiáng)網(wǎng)站的安全防護(hù)能力。并在此基礎(chǔ)上保證網(wǎng)站的可用性、舒適性，滿足用戶對(duì)網(wǎng)站的購(gòu)物需求；再次，對(duì)數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)進(jìn)行檢測(cè)，確認(rèn)沒(méi)有病毒后加密存入數(shù)據(jù)庫(kù)。并對(duì)數(shù)據(jù)庫(kù)管理員進(jìn)行必要的安全培訓(xùn)，提高數(shù)據(jù)庫(kù)管理員的安全防范意識(shí)，建立健全數(shù)據(jù)庫(kù)自動(dòng)預(yù)警功能；最后，建議所有網(wǎng)絡(luò)交易的用戶，一定要仔細(xì)辨別各支付網(wǎng)站的網(wǎng)址，小心謹(jǐn)慎，不要掉入釣魚(yú)網(wǎng)站的陷阱。

第2篇

[關(guān)鍵詞]電子商務(wù)；安全問(wèn)題；策略研究

伴隨著互聯(lián)網(wǎng)的快速發(fā)展，電子商務(wù)的廣闊前景吸引了全球的關(guān)注，電子商務(wù)的網(wǎng)絡(luò)效應(yīng)優(yōu)勢(shì)也更加突出。作為發(fā)展中國(guó)家的中國(guó)，在互聯(lián)網(wǎng)發(fā)展方面與發(fā)達(dá)國(guó)家的差距較小，為中國(guó)實(shí)現(xiàn)超越式發(fā)展提供了契機(jī)。中國(guó)電子商務(wù)的發(fā)展環(huán)境不斷得到改善，但電子商務(wù)的安全問(wèn)題是制約我國(guó)電子商務(wù)實(shí)現(xiàn)跨越式發(fā)展的瓶頸問(wèn)題。

一、電子商務(wù)安全問(wèn)題及要求

所謂電子商務(wù)安全是指綜合運(yùn)用各種安全技術(shù)和設(shè)施保護(hù)電子商務(wù)中交易各方的安全，保證商務(wù)活動(dòng)順利進(jìn)行。人們從面對(duì)面的交易作業(yè)變成虛擬的網(wǎng)上互不見(jiàn)面的操作，沒(méi)有國(guó)界、沒(méi)有時(shí)間限制，可以充分利用互聯(lián)網(wǎng)工具和資源的同時(shí)，也可以進(jìn)行攻擊和破壞。

常見(jiàn)的電子商務(wù)安全問(wèn)題包括：

1.在網(wǎng)絡(luò)的傳輸過(guò)程中信息被截獲

攻擊者可以通過(guò)因特網(wǎng)、公用電話網(wǎng)、搭線等截獲傳輸?shù)臋C(jī)密信息，或通過(guò)對(duì)信息流量和流向、通信頻度和長(zhǎng)度參數(shù)的分析，推斷出有用信息、如銀行賬號(hào)密碼等。

2.傳輸?shù)奈募粣阂獯鄹?/p>

攻擊者可以通過(guò)篡改、刪除和插入三方面來(lái)破壞信息的完整性。

3.假冒他人身份

主要包括冒充他人身份，如冒充上級(jí)指令；冒充他人消費(fèi)，栽贓；冒充主機(jī)欺騙合法主機(jī)及合法用戶；接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源等。

4.抵賴交易信息

主要表現(xiàn)在收（發(fā)）信者時(shí)候否認(rèn)曾經(jīng)接收（發(fā)送）過(guò)某些信息；購(gòu)買(mǎi)者不承認(rèn)確定了訂貨單；商家違約等。

針對(duì)以上安全問(wèn)題，為了保證交易各方的合法權(quán)益，電子商務(wù)安全必須滿足5項(xiàng)基本要求，即授權(quán)合法性、不可抵賴性、保密性、身份的真實(shí)性與信息的完整性。

二、企業(yè)電子商務(wù)安全策略

要保護(hù)自己的電子商務(wù)資產(chǎn)，所有的組織都要有一個(gè)明確的安全策略，即明確描述對(duì)所需保護(hù)的資產(chǎn)、保護(hù)的原因、誰(shuí)負(fù)責(zé)保護(hù)、哪些行為可接受、哪些行為不可接收的書(shū)面描述。安全策略一般要陳述物理安全、網(wǎng)絡(luò)安全、訪問(wèn)授權(quán)、病毒保護(hù)、災(zāi)難恢復(fù)等內(nèi)容，該策略不是一成不變的，公司的安全負(fù)責(zé)人員必須定期修改安全策略。

雖然現(xiàn)實(shí)中沒(méi)有絕對(duì)的安全，但企業(yè)可以構(gòu)造一道屏障來(lái)阻止絕大多數(shù)的威脅和侵害。制定全面的安全策略必須包含對(duì)安全問(wèn)題的多方面考慮因素。安全策略一般包括以下內(nèi)容：

認(rèn)證：誰(shuí)想訪問(wèn)企業(yè)的電子商務(wù)網(wǎng)站？

訪問(wèn)控制：允許誰(shuí)登錄電子商務(wù)網(wǎng)站并訪問(wèn)它？

保密：誰(shuí)有權(quán)利查看特定的信息？

數(shù)據(jù)完整性：允許誰(shuí)修改數(shù)據(jù)，不允許誰(shuí)修改數(shù)據(jù)？

審計(jì)跟蹤：在何時(shí)由何人導(dǎo)致了何事？

三、完善的企業(yè)電子商務(wù)安全體系策略綜合應(yīng)用

企業(yè)的電子商務(wù)安全實(shí)際上關(guān)注的是內(nèi)容按照從客戶機(jī)到電子商務(wù)服務(wù)器的交易處理鏈進(jìn)行組織，因此這條鏈條上必須保護(hù)的資產(chǎn)包括客戶機(jī)、從通信信道上傳輸?shù)男畔ⅰ⒎?wù)器。

1.客戶機(jī)的安全

客戶機(jī)應(yīng)該不受載入軟件和數(shù)據(jù)的安全威脅，尤其是注意以動(dòng)態(tài)網(wǎng)頁(yè)形式從網(wǎng)上傳來(lái)的活動(dòng)內(nèi)容所帶來(lái)的安全威脅。客戶機(jī)面臨的另一種威脅是偽裝成合法網(wǎng)站的服務(wù)器。用戶和客戶機(jī)受騙向非法網(wǎng)站提供敏感信息的案例很多。

在客戶機(jī)的安全方面最需關(guān)注的是網(wǎng)頁(yè)竊聽(tīng)器，網(wǎng)頁(yè)上會(huì)有某些廣告主（從第三方服務(wù)器）發(fā)出的圖片，但是圖片小得肉眼看不見(jiàn)。當(dāng)網(wǎng)絡(luò)訪問(wèn)者載入此頁(yè)面時(shí)，網(wǎng)頁(yè)竊聽(tīng)器也從第三方網(wǎng)站發(fā)來(lái)，在訪問(wèn)者的計(jì)算機(jī)里放置一個(gè)小程序，以跟蹤和偷窺客戶機(jī)的上網(wǎng)行為等內(nèi)容。

2.通信信道的安全

互聯(lián)網(wǎng)發(fā)展到今天，其不安全狀態(tài)與最初相比沒(méi)有太大改觀。在互聯(lián)網(wǎng)上傳遞信息，從起始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)之間的路徑是隨機(jī)選擇的，每次所用的路徑都可以不同。由于用戶根本無(wú)法控制傳輸路徑，也不知道信息包經(jīng)過(guò)的節(jié)點(diǎn)，所以某個(gè)中間節(jié)點(diǎn)都可能會(huì)讀取信息、加以篡改或偽造信息。在互聯(lián)網(wǎng)上傳遞信息都會(huì)受到對(duì)安全、完整和亟需的侵犯。主要解決方法是使用電子商務(wù)安全中的加密技術(shù)，包括各種加密算法、數(shù)字簽名和安全協(xié)議等。

3.服務(wù)器的安全

對(duì)于企圖破壞或非法獲取信息的人來(lái)說(shuō)，企業(yè)的服務(wù)器有很多弱點(diǎn)可被利用。其中一個(gè)入口是WWW服務(wù)器及其軟件，其他入口包括任何有數(shù)據(jù)的后臺(tái)程序，如數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)服務(wù)器。電子商務(wù)系統(tǒng)以數(shù)據(jù)庫(kù)存儲(chǔ)用戶數(shù)據(jù)，并可從WWW服務(wù)器所連的數(shù)據(jù)庫(kù)中搜索產(chǎn)品信息。數(shù)據(jù)庫(kù)中除了產(chǎn)品信息外，還可能保存有價(jià)值的信息或隱私信息，一旦被更改或泄露則會(huì)給公司帶來(lái)無(wú)法彌補(bǔ)的損失。數(shù)據(jù)庫(kù)的安全是通過(guò)權(quán)限實(shí)施的，如果有人得到用戶的認(rèn)證信息，就能偽造成合法的數(shù)據(jù)庫(kù)用戶來(lái)下載保密的信息。現(xiàn)在大多數(shù)大型數(shù)據(jù)庫(kù)都是用基于用戶名和口令的安全措施，一旦用戶獲準(zhǔn)訪問(wèn)數(shù)據(jù)庫(kù)，就可以查看數(shù)據(jù)庫(kù)中的相關(guān)內(nèi)容。其后果是十分嚴(yán)重的。

總之，我國(guó)目前的電子商務(wù)安全形勢(shì)不容樂(lè)觀，隨著電子商務(wù)的發(fā)展，將會(huì)有更多的問(wèn)題出現(xiàn)。我國(guó)企業(yè)應(yīng)重視自身的安全問(wèn)題，同時(shí)國(guó)家方面也會(huì)加大研發(fā)電子商務(wù)安全技術(shù)，健全電子商務(wù)安全體系，不斷完善電子商務(wù)安全法律法規(guī)，構(gòu)建有中國(guó)特色的電子商務(wù)安全體系，為推動(dòng)我國(guó)電子商務(wù)整體發(fā)展加足馬力，使中國(guó)真正進(jìn)入安全的電子商務(wù)全新時(shí)代。

參考文獻(xiàn)：

[1]沈昌祥,左曉棟.《信息安全》.浙江大學(xué)出版社.2007年10月

[2]肖德琴,周權(quán).《電子商務(wù)安全》.高等教育出版社.2009年9月第1版

第3篇

目前，網(wǎng)上電子交易已經(jīng)隨著因特網(wǎng)的普及逐漸被人們所接受和應(yīng)用，網(wǎng)絡(luò)購(gòu)物、網(wǎng)上繳費(fèi)等方式極大的方便了人們的生活，越來(lái)越多的人開(kāi)始利用網(wǎng)絡(luò)來(lái)進(jìn)行交易。電子商務(wù)網(wǎng)站的有效運(yùn)作，依靠的是完全開(kāi)放的互聯(lián)網(wǎng)，而這個(gè)網(wǎng)絡(luò)當(dāng)中的任何電腦之間、網(wǎng)絡(luò)之間都是互通的，安全和不安全的數(shù)據(jù)都可能在傳遞，各種風(fēng)險(xiǎn)隨時(shí)對(duì)電子商務(wù)的安全構(gòu)成威脅。電子商務(wù)正在規(guī)模化和全球化，企業(yè)的發(fā)展在很大程度上都依賴于它，所以，電子商務(wù)網(wǎng)站的安全問(wèn)題必須得到有效的解決，才能保證它的正常運(yùn)轉(zhuǎn)。

2 電子商務(wù)網(wǎng)站的安全策略

電子商務(wù)依靠的是互聯(lián)網(wǎng)，其核心和關(guān)鍵問(wèn)題就是交易的安全性。正是由于網(wǎng)絡(luò)本身的開(kāi)放性給網(wǎng)上交易帶來(lái)了種種危險(xiǎn)，才要更加注重它的安全控制。電子商務(wù)網(wǎng)站的安全問(wèn)題可以從兩個(gè)方面進(jìn)行探討和分析，一是系統(tǒng)安全，二是數(shù)據(jù)安全，并且可以利用一些先進(jìn)的技術(shù)手段加以解決。

2.1 系統(tǒng)安全

信息安全對(duì)于企業(yè)來(lái)說(shuō)很重要，而信息安全的前提是系統(tǒng)安全。系統(tǒng)安全主要包括網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)3個(gè)方面。系統(tǒng)安全可以采用的技術(shù)手段有網(wǎng)絡(luò)隔離、訪問(wèn)控制、身份鑒別、數(shù)據(jù)加密、監(jiān)控評(píng)估等技術(shù)。

2.1.1 網(wǎng)絡(luò)系統(tǒng)

網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題主要是由于網(wǎng)絡(luò)的開(kāi)放性造成的，解決問(wèn)題的關(guān)鍵是把網(wǎng)絡(luò)從開(kāi)放、自由的環(huán)境中分離出來(lái)，使其變成可以控制和管理的獨(dú)立網(wǎng)絡(luò)，就目前的技術(shù)發(fā)展來(lái)看，可以采用下列方法解決系統(tǒng)安全問(wèn)題。

1）系統(tǒng)隔離，就是將重要的網(wǎng)絡(luò)系統(tǒng)與其他系統(tǒng)分離，有物理隔離和邏輯隔離。按照網(wǎng)絡(luò)安全等級(jí)的不同可以將網(wǎng)絡(luò)合理劃分為多個(gè)互不連通的網(wǎng)絡(luò)，使不同安全級(jí)別的網(wǎng)絡(luò)或設(shè)備不能相互訪問(wèn)，從而達(dá)到安全隔離。也可以采用VLAN等網(wǎng)絡(luò)技術(shù)對(duì)業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)實(shí)行邏輯上的隔離，劃分出不同的應(yīng)用子網(wǎng)；2）訪問(wèn)控制，通過(guò)設(shè)置有效合理的訪問(wèn)策略，對(duì)于不同區(qū)域的網(wǎng)絡(luò)資源實(shí)行訪問(wèn)控制，防止非法用戶訪問(wèn)受保護(hù)的資源，其主要解決的問(wèn)題就是網(wǎng)絡(luò)邊界的安全控制和網(wǎng)絡(luò)內(nèi)部資源的訪問(wèn)控制。可以按照一定的原則根據(jù)需要對(duì)信息的流向進(jìn)行單向或雙向控制。能夠設(shè)置訪問(wèn)控制的網(wǎng)絡(luò)設(shè)備有很多，比如交換機(jī)、路由器，而最重要也是最有效的則是防火墻，它通常被布置在網(wǎng)絡(luò)的出入口處，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行有效的檢測(cè)和過(guò)濾，同時(shí)按照訪問(wèn)控制列表和安全政策對(duì)信息流進(jìn)行控制，允許合理有效的數(shù)據(jù)通過(guò)，將不安全和不符合要求的數(shù)據(jù)拒之網(wǎng)外；3）身份鑒定，對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶進(jìn)行身份識(shí)別，通常可以使用三種方式對(duì)訪問(wèn)者進(jìn)行身份驗(yàn)證，一是訪問(wèn)者了解的安全信息，比如賬號(hào)、密碼、密鑰等；二是訪問(wèn)者提供的物件，比如訪問(wèn)磁卡、通用IC卡、動(dòng)態(tài)口令卡等；三是訪問(wèn)者自身的特征信息，比如聲音、指紋、視網(wǎng)膜、筆跡等。身份鑒定的目的就是阻止非法用戶訪問(wèn)這些被加密的數(shù)據(jù)，而加密是為了防止網(wǎng)絡(luò)數(shù)據(jù)被竊聽(tīng)、泄漏、篡改和破壞；4）安全監(jiān)測(cè)，利用網(wǎng)絡(luò)設(shè)備的高級(jí)功能和技術(shù)，通過(guò)分析來(lái)訪數(shù)據(jù)信息，找出未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)和非法行為，包括對(duì)網(wǎng)絡(luò)系統(tǒng)的掃描、跟蹤、預(yù)警、阻斷、記錄等，從而將系統(tǒng)遭受的攻擊傷害減少到最低。除了網(wǎng)絡(luò)設(shè)備，還可利用一些專業(yè)的網(wǎng)絡(luò)掃描監(jiān)測(cè)系統(tǒng)來(lái)對(duì)付黑客和非法入侵，這些系統(tǒng)能夠主動(dòng)、實(shí)時(shí)、有效的識(shí)別出非法數(shù)據(jù)和用戶，并且通過(guò)網(wǎng)絡(luò)掃描能夠針對(duì)網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測(cè)和分析，包括網(wǎng)絡(luò)服務(wù)、防火墻、路由器、郵件服務(wù)器、網(wǎng)站服務(wù)器等，從而識(shí)別那些可以被入侵者利用并非法進(jìn)入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對(duì)檢測(cè)到的漏洞信息形成詳細(xì)報(bào)告并提供改進(jìn)方案，使網(wǎng)絡(luò)管理人員能檢測(cè)和管理好安全風(fēng)險(xiǎn)。

2.1.2 操作系統(tǒng)

操作系統(tǒng)，實(shí)際上就是電腦管理控制程序，是管理計(jì)算機(jī)軟硬件資源的核心系統(tǒng)，負(fù)責(zé)設(shè)備的管理、數(shù)據(jù)的存儲(chǔ)、信息的發(fā)送和各種系統(tǒng)資源的調(diào)度，它是各種應(yīng)用軟件的系統(tǒng)平臺(tái)，具有通用性和易用性，操作系統(tǒng)的安全直接影響到應(yīng)用系統(tǒng)和數(shù)據(jù)的安全，一般分為應(yīng)用安全和系統(tǒng)掃描。

1）應(yīng)用安全，面向應(yīng)用選擇可靠的操作系統(tǒng)，可以杜絕使用來(lái)歷不明的軟件。用戶可安裝操作系統(tǒng)保護(hù)與恢復(fù)軟件，并作相應(yīng)的備份；2）系統(tǒng)掃描，基于主機(jī)的安全評(píng)估系統(tǒng)是對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別進(jìn)行劃分，并提供完整的安全漏洞檢查列表，通過(guò)不同版本的操作系統(tǒng)進(jìn)行掃描分析，對(duì)掃描漏洞自動(dòng)修補(bǔ)形成報(bào)告，保護(hù)應(yīng)用程序、數(shù)據(jù)免受盜用、破壞。

2.1.3 應(yīng)用系統(tǒng)

1）文件的安全存儲(chǔ)：利用各種加密手段，結(jié)合相應(yīng)的身份鑒定和密碼保護(hù)機(jī)制，使存儲(chǔ)在本地或者網(wǎng)絡(luò)上的重要文件處于安全存儲(chǔ)的狀態(tài)，即便他人通過(guò)非法手段獲取到了文件或存儲(chǔ)設(shè)備，也難以取得文件里的內(nèi)容；2）文件的安全傳遞：對(duì)通過(guò)網(wǎng)絡(luò)發(fā)送的文件進(jìn)行安全處理，比如加密、簽名、完整性鑒別等，使被傳送的文件只有指定的接收者通過(guò)相應(yīng)的安全鑒別機(jī)制才能解密并閱讀，避免了文件在傳送或存儲(chǔ)的過(guò)程當(dāng)中被截獲、篡改和破壞等；3）業(yè)務(wù)服務(wù)安全：主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求。對(duì)于各種通用信息服務(wù)，如WEB信息服務(wù)、FTP服務(wù)、電子郵件服務(wù)等服務(wù)，采用相應(yīng)安全軟件系統(tǒng)進(jìn)行保護(hù)，如安全郵件系統(tǒng)、WEB頁(yè)面保護(hù)等；對(duì)于各種業(yè)務(wù)信息可以配合專業(yè)管理信息系統(tǒng)軟件采取對(duì)信息內(nèi)容的安全保護(hù)，防止外部非法侵入和內(nèi)部信息泄漏。

2.2 數(shù)據(jù)安全

信息數(shù)據(jù)的安全主要包含了數(shù)據(jù)庫(kù)的安全和數(shù)據(jù)本身的安全，這兩個(gè)方面的安全問(wèn)題都必須得有相應(yīng)的安全措施，才能確保數(shù)據(jù)安全。

1）數(shù)據(jù)庫(kù)安全，目前很多企業(yè)使用的數(shù)據(jù)庫(kù)都是SQL Server或者ORACLE大型數(shù)據(jù)庫(kù)，這些數(shù)據(jù)庫(kù)系統(tǒng)本身具備一定的安全性，安全級(jí)別可以滿足日常需求。但是由于數(shù)據(jù)庫(kù)十分重要，應(yīng)在此基礎(chǔ)上再采取一些安全措施，增加相應(yīng)安全組件，改良密碼策略，對(duì)數(shù)據(jù)庫(kù)實(shí)施分級(jí)管理并提供可靠的故障恢復(fù)機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)、存取和加密控制。具體方法有安全數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)庫(kù)保密系統(tǒng)、數(shù)據(jù)庫(kù)掃描系統(tǒng)等；2）數(shù)據(jù)安全，即存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)本身的安全，相應(yīng)的保護(hù)措施有安裝反病毒軟件和防火墻軟件，建立一套可靠的數(shù)據(jù)備份與恢復(fù)系統(tǒng)，定期對(duì)數(shù)據(jù)進(jìn)行備份，定期修改數(shù)據(jù)庫(kù)密碼，必要時(shí)可以對(duì)重要數(shù)據(jù)采取多層加密保護(hù)。

2.3 交易安全

網(wǎng)上交易安全是用戶最關(guān)心的問(wèn)題，只有提供穩(wěn)定的安全保證，在線交易用戶才會(huì)具有安全感，才會(huì)覺(jué)得交易平臺(tái)可靠，電子商務(wù)網(wǎng)站才會(huì)具有廣闊的發(fā)展空間。

1）交易安全標(biāo)準(zhǔn)，目前在電子商務(wù)中主要的安全標(biāo)準(zhǔn)有兩種：應(yīng)用層的SET（安全電子交易）和會(huì)話層SSL（安全套層）協(xié)議。前者由信用卡機(jī)構(gòu)VISA及MasterCard提出的針對(duì)電子錢(qián)包、商場(chǎng)、認(rèn)證中心的安全標(biāo)準(zhǔn)，SET的關(guān)鍵特征是信息的機(jī)密性、數(shù)據(jù)的可靠性、卡用戶賬號(hào)的鑒別、商人的鑒別，主要用于銀行等金融機(jī)構(gòu)。后者由NETSCAPE公司提出的針對(duì)數(shù)據(jù)的機(jī)密性、完整性、開(kāi)放性和身份確認(rèn)的安全協(xié)議，它可以保證數(shù)據(jù)不被竊取和破壞，此協(xié)議已經(jīng)成為WEB應(yīng)用安全標(biāo)準(zhǔn)；2）交易安全基礎(chǔ)體系，交易安全的基礎(chǔ)是現(xiàn)代密碼學(xué)技術(shù)，主要取決去于加密方法和加密強(qiáng)度。加密分為單密鑰的對(duì)稱加密體系和雙密鑰的非對(duì)稱加密體系。兩者各有所長(zhǎng)，對(duì)稱密鑰具有加密效率高，但存在密鑰分發(fā)困難、管理不便的弱點(diǎn)。非對(duì)稱密鑰加密速度慢，但便于密鑰分發(fā)管理。通常把兩者結(jié)合使用，以達(dá)到高效安全的目的；3）交易安全的實(shí)現(xiàn)，交易安全的實(shí)現(xiàn)主要是指交易雙方身份確認(rèn)、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性、防止雙方對(duì)交易結(jié)果的否認(rèn)等等。具體實(shí)現(xiàn)的途徑是交易各方具有相關(guān)身份證明，同時(shí)在SSL協(xié)議體系下完成交易過(guò)程中電子證書(shū)驗(yàn)證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認(rèn)審計(jì)等。

3 結(jié)論

企業(yè)電子商務(wù)網(wǎng)站的安全，需要一個(gè)完整的綜合保障體系，要采用綜合防范的思路，從技術(shù)、管理、法律等多方面加以認(rèn)識(shí)和思考。安全實(shí)際上是一種風(fēng)險(xiǎn)管理，任何技術(shù)手段都不能夠保證百分之百的安全，但是安全技術(shù)可以降低系統(tǒng)遭到破壞和攻擊的風(fēng)險(xiǎn)，在一定程度上保障數(shù)據(jù)的安全。電子商務(wù)正處于蓬勃發(fā)展時(shí)期，只有解決了電子商務(wù)中出現(xiàn)的各類問(wèn)題，才能是電子商務(wù)系統(tǒng)更加安全。

參考文獻(xiàn)

[1]洪國(guó)彬.電子商務(wù)安全與管理[M].北京：電子工業(yè)出版社，2006.

第4篇

[關(guān)鍵詞] 數(shù)字簽名數(shù)字水印離散余弦變換多媒體論證

隨著因特網(wǎng)的迅速發(fā)展和普及，多媒體信息得到了空前廣泛的交流與應(yīng)用，給人們的生產(chǎn)和生活帶來(lái)了許多便利。但是，多媒體信息的安全問(wèn)題也隨之而來(lái)，比如盜用別人的電子產(chǎn)品并在網(wǎng)上傳播；在電子商務(wù)中偽造或篡改票據(jù)；對(duì)數(shù)字圖像等多媒體信息進(jìn)行修改、替換以達(dá)到損害別人的目的等。因此，對(duì)多媒體信息的有效論證是保證信息安全的重要手段。

電子交易的可實(shí)施性是電子商務(wù)要解決的最主要和最基本的問(wèn)題。電子簽名可以實(shí)現(xiàn)兩個(gè)重要目標(biāo)：排除電子商務(wù)的障礙；通過(guò)幫助建立參與者在網(wǎng)上從事商業(yè)活動(dòng)所需要的信任和可預(yù)見(jiàn)性，實(shí)現(xiàn)并推動(dòng)電子商務(wù)的適當(dāng)?shù)墓舱吣繕?biāo)。

電子簽名目前具備三個(gè)主要功能:數(shù)據(jù)來(lái)源認(rèn)證:這可以用于認(rèn)證信息來(lái)自于可疑的發(fā)送者;信息的完整性:有助于信息的接收者確定，在發(fā)送過(guò)程中，沒(méi)有被有意或者隨意地更改;不可否認(rèn)性:發(fā)送者不能被否認(rèn)信息的發(fā)送。

目前，存在幾個(gè)方法可以有效完成上述功能。然而，基于公共公共密鑰的密碼系統(tǒng)的數(shù)字簽名技術(shù)是目前被認(rèn)為最普通、最可靠的技術(shù)。

數(shù)字簽名是一種對(duì)多媒體信息進(jìn)行論證的有效手段，它是由信息發(fā)送者對(duì)要傳送的信息進(jìn)行某種處理的，任何人都無(wú)法知道的，用以論證信息的來(lái)源并核實(shí)信息是否發(fā)生了變化的一段字符串。數(shù)字簽名的基礎(chǔ)是密碼學(xué)。

數(shù)字水印技術(shù)近年來(lái)逐漸成為知識(shí)產(chǎn)權(quán)保護(hù)的主要手段，它是信息隱藏的一個(gè)重要分支，是通過(guò)在原始資料中嵌入一些有特殊意義的信息，如文字，序列號(hào)，公司標(biāo)志，聲音等，用以識(shí)別多媒體信息的作者，版權(quán)所有者、發(fā)行者，合法使用人對(duì)數(shù)字產(chǎn)品的擁有權(quán)等，并攜帶有版權(quán)保護(hù)信息和論證信息。

信息隱藏技術(shù)與傳統(tǒng)密碼學(xué)有本質(zhì)的區(qū)別，傳統(tǒng)密碼學(xué)是將明文加密成密文，使信息不可理解，是隱藏了信息的內(nèi)容；而信息隱藏技術(shù)著重隱藏了信息的存在。數(shù)字水印技術(shù)和數(shù)字簽名各有優(yōu)勢(shì)和不足。數(shù)字簽名容易受到攻擊，而數(shù)字水印的安全度不高。如果將數(shù)字水印和數(shù)字簽名有機(jī)結(jié)合起來(lái)，以之為基礎(chǔ)構(gòu)成一種新的水印方案，其安全性、可性度、論證精度都將會(huì)大大地提高，這無(wú)疑將是多媒體技術(shù)研究發(fā)展的一個(gè)很有前途的方向。

一、結(jié)合數(shù)字簽名與數(shù)字水印的方案

把數(shù)字簽名作為水印隱藏在圖像中，數(shù)字簽名方法用DSA（Date Signature Algorithm），數(shù)字水印方法用DCT（discrete cosine transform即離散余弦變換）。DSA簽名是基于離散對(duì)數(shù)問(wèn)題的數(shù)字簽名標(biāo)準(zhǔn)，雖說(shuō)它僅提供數(shù)字簽名，不提供數(shù)據(jù)加密功能，但它具有算法簡(jiǎn)便實(shí)用，易實(shí)現(xiàn)等優(yōu)點(diǎn)。而考慮用DCT是由于離散余弦變換是實(shí)變換，它具有良好的能量壓縮能力，而且可以利用人的視覺(jué)系統(tǒng)（HVS）在DCT域內(nèi)的特性。

在應(yīng)用DSA之前先對(duì)其做一個(gè)簡(jiǎn)要說(shuō)明：

如果要對(duì)一個(gè)消息x進(jìn)行簽名，可選取一個(gè)隨機(jī)值k，且p, q,а和β公開(kāi)，α保密（其中p是512比特的素?cái)?shù)，q是一個(gè)整除p－1的160比特的素?cái)?shù),а是模p的q次單位根。α作為私鑰,β作為公鑰）。定義k={(p, q ,а, α, β):β=aα(modp)},對(duì)于Κ和一個(gè)秘密隨機(jī)數(shù)k,1≤k≤q-1,對(duì)信息x的簽名結(jié)果如下:

sigK(x,k)=(γ,δ)(1)

γ和δ即是對(duì)信息x的簽名。

γ=(аkmodp)modq(2)

δ=(x+αγ)k-1modq(3)

簽名是否為真通過(guò)下式來(lái)驗(yàn)證,e1=xδ-1modq(4)

e2=γδ-1modq(5)

verK(x，γ,δ)真(ae1βe2modp)modq=γ(6)

舉例說(shuō)明如下:

如p=83,q=41,а=2,β=4。另給出α=2(可以由信息發(fā)送者的身份信息構(gòu)造而成)，取k=20,應(yīng)用上面的方法，對(duì)一個(gè)信息x (可以是一幅圖像作品的版權(quán)序列號(hào)等，如取為39)進(jìn)行簽名得簽名信息為:sigK(x,k)=(37,20), 將之代入(6)式，可以驗(yàn)證簽名為真。

將簽名的一些信息寫(xiě)入一個(gè)64×64的二值圖像中，將之作為水印圖像嵌入到一個(gè)名為Peppersr的512×512標(biāo)準(zhǔn)真彩圖像中。具體方法如下：

(1)將數(shù)字簽名的一些已知參數(shù)p,q,а,β及對(duì)信息x的簽名(γ,δ)寫(xiě)入到一個(gè)64×64的二值黑白圖像中，私鑰α及隨機(jī)數(shù)k可以由信息發(fā)送者身份識(shí)別的信息構(gòu)成，信息x可以是一幅版權(quán)圖像的序列編號(hào)構(gòu)成。

(2)讀取原始圖像和黑白水印圖像到二維數(shù)組I與J。

(3)將原始圖像I分割為互不覆蓋的圖像塊blockL(x,y),1≤x,y≤8,L=1,2…,M*M/64,對(duì)blockL(x,y)進(jìn)行DCT變換，得到dct-blockL(u,v)。

(4)取黑白水印圖像中的一個(gè)元素J(p,q)嵌入到原始公開(kāi)圖像塊的DCT的低頻系數(shù)中。

(5)對(duì)嵌入了水印信息后的圖像塊dct-blockL(u’,v’)進(jìn)行反DCT變換，得到blockL(x’,y’)。

(6)合并圖像塊，得到嵌入了黑白水印后的圖像。

水印提取算法與水印嵌入算法類似，不再贅述。

接收方收到含水印的圖像后，從中提取水印得到簽名信息，用發(fā)信方給的私鑰α和秘密數(shù)k驗(yàn)證簽名的真實(shí)性，從而可辨別作品的真?zhèn)危僭O(shè)原始圖像Peppers為一版權(quán)作品）。

二、實(shí)驗(yàn)結(jié)果

下圖為水印的嵌入與提取圖，程序的實(shí)驗(yàn)環(huán)境為MATLAB6.1。

從上圖可得知:嵌入了水印后載體圖像跟原始圖像基本上無(wú)明顯差異，即該水印圖像的透明性良好，且在嵌入水印后的圖像未受攻擊的前提下，從中提取出的水印圖像非常清晰。信息接收者應(yīng)用我的水印提取算法可方便地得到簽名信息，然后再用我給他的密鑰可以驗(yàn)證此真彩圖的真?zhèn)巍?/p>

第5篇

    論文摘要:當(dāng)前,我國(guó)電子商務(wù)建設(shè)中以技術(shù)為主的安全管理體制,忽視了人員對(duì)電子商務(wù)的安全影響。但近幾年案例表明:企業(yè)缺乏針對(duì)內(nèi)部人員的系統(tǒng)安全管理體制,是導(dǎo)致網(wǎng)絡(luò)交易過(guò)程中泄密和企業(yè)利益損失的主要原因。本文重點(diǎn)分析了企業(yè)在電子商務(wù)安全管理體制方面存在的不足和原因,提出了一些加強(qiáng)人員安全管理的建議,為我國(guó)電子商務(wù)企業(yè)的安全管理提供借鑒。

    1、問(wèn)題的提出

    作為一種新的經(jīng)濟(jì)模式,電子商務(wù)以高效、便捷、方便的優(yōu)勢(shì)和全新的企業(yè)經(jīng)營(yíng)理念、經(jīng)營(yíng)手段、經(jīng)營(yíng)環(huán)境吸引著廣大用戶,為世界經(jīng)濟(jì)賦予了無(wú)限的發(fā)展空間。隨著電子商務(wù)應(yīng)用范圍的日益擴(kuò)大,針對(duì)電子商務(wù)的各種犯罪活動(dòng)也19益猖獗。國(guó)內(nèi)外調(diào)查顯示…,52.26%的用戶最關(guān)心的是網(wǎng)上交易的安全可靠性,超過(guò)6O%的人由于擔(dān)心電子商務(wù)的安全問(wèn)題而不愿進(jìn)行網(wǎng)上購(gòu)物。加強(qiáng)電子商務(wù)實(shí)施過(guò)程中的安全管理已經(jīng)成為促進(jìn)電子商務(wù)高速發(fā)展的重要因素。

    電子商務(wù)的安全,可分為技術(shù)安全和管理安全兩種類型。所謂技術(shù)安全,是指通過(guò)各種黑客手段竊取企業(yè)的用戶lD、密碼以及相關(guān)的機(jī)密文件,甚至網(wǎng)絡(luò)銀行帳號(hào)、密碼等,給企業(yè)造成經(jīng)濟(jì)損失。而管理安全則是指缺乏對(duì)參與電子商務(wù)過(guò)程中各個(gè)環(huán)節(jié)的人員的管理預(yù)防手段,最終導(dǎo)致的電子商務(wù)安全事件。從美國(guó)的花旗銀行和中央情報(bào)局到中國(guó)的某家國(guó)有商業(yè)銀行,都有過(guò)由于內(nèi)部人員的違規(guī)和違法操作,導(dǎo)致數(shù)據(jù)被篡改和泄密的事件發(fā)生。

    近幾年的電子商務(wù)安全案件表明:人員是網(wǎng)上交易安全管理中的最薄弱的環(huán)節(jié),近年來(lái)我國(guó)計(jì)算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢(shì),有的競(jìng)爭(zhēng)對(duì)手利用企業(yè)招募新人的方式潛入對(duì)方企業(yè),或利用不正當(dāng)?shù)姆绞绞召I(mǎi)企業(yè)網(wǎng)絡(luò)交易管理人員。有的電子商務(wù)從業(yè)人員從本企業(yè)辭職后,迅速把客戶資料、產(chǎn)品研發(fā)成果等機(jī)密出售給競(jìng)爭(zhēng)對(duì)手,給企業(yè)帶來(lái)了不必要的經(jīng)濟(jì)損失。

    2、原因分析

    電子商務(wù)信息安全已經(jīng)引起很多企業(yè)的重視,但大多數(shù)企業(yè)往往側(cè)重于加強(qiáng)技術(shù)措施,如購(gòu)買(mǎi)先進(jìn)的防火墻軟件,采用更高級(jí)的加密方法等,很多企業(yè)認(rèn)為:員工泄密的安全事故只是偶然現(xiàn)象,很少?gòu)娜藛T管理的角度來(lái)探討出現(xiàn)這些事故的根本原因。“重技術(shù)、輕管理”是當(dāng)前很多電子商務(wù)企業(yè)的通病。由于管理手段不到位,很多先進(jìn)的安全技術(shù)無(wú)法發(fā)揮應(yīng)有的效能。之所以出現(xiàn)上述問(wèn)題,主要有以下原因:

    首先,很多企業(yè)管理高層對(duì)人員管理在信息安全中的地位認(rèn)識(shí)不足。大多數(shù)企業(yè)將電子商務(wù)網(wǎng)絡(luò)作為一項(xiàng)純粹的技術(shù)工程來(lái)實(shí)施,企業(yè)內(nèi)部缺乏系統(tǒng)的安全管理策略,只是被動(dòng)的使用一些技術(shù)措施來(lái)進(jìn)行防御,因此電子商務(wù)過(guò)程中一旦出現(xiàn)突發(fā)性事件,往往造成很大的經(jīng)濟(jì)損失。現(xiàn)實(shí)中沒(méi)有一個(gè)網(wǎng)絡(luò)系統(tǒng)是完美無(wú)缺的,不安全因素隨時(shí)存在。因此,安全管理措施必須滲透到系統(tǒng)的每一個(gè)環(huán)節(jié)和企業(yè)組織的~個(gè)層面,只有構(gòu)建一個(gè)人與技術(shù)相結(jié)合的安全管理體系,才能確保整個(gè)電子商務(wù)系統(tǒng)得安全。

    企業(yè)沒(méi)有從整體上、有計(jì)劃地考慮信息安全問(wèn)題。企業(yè)各部門(mén)、各下屬機(jī)構(gòu)都存在“各自為政的局面,缺少統(tǒng)一規(guī)劃、設(shè)計(jì)和管理信息安全強(qiáng)調(diào)的是整體上的信息安全性,而不僅是某一個(gè)部門(mén)或公司的信息安全。而各部門(mén)、各公司又確實(shí)存在個(gè)體差異,對(duì)于不同業(yè)務(wù)領(lǐng)域來(lái)說(shuō),信息安全具有不同的涵義和特征,信息安全保障體系的戰(zhàn)略性必須涵蓋各部門(mén)和各公司的信息安全保障體系的相關(guān)內(nèi)容。

    缺少信息安全管理配套的人力、物力和財(cái)力。人才是信息安全保障工作的關(guān)鍵。信息安全保障工作的專業(yè)性、技術(shù)性很強(qiáng),沒(méi)有一批業(yè)務(wù)能力強(qiáng),且具有信息網(wǎng)絡(luò)知識(shí)、信息安全技術(shù)、法律知識(shí)和管理能力的復(fù)合型人才和專門(mén)人才,就不可能做好信息安全保障工作。應(yīng)該從信息安全建設(shè)和管理對(duì)信息安全人才的實(shí)際需求出發(fā),加快信息安全人才的培養(yǎng)。

    企業(yè)對(duì)員工的信息安全教育不夠。員工的信息安全意識(shí)薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業(yè)不限制內(nèi)部人員使用各種高科技信息載體,如U盤(pán)、移動(dòng)硬盤(pán)以及筆記本等移動(dòng)辦公設(shè)備。

    3、加強(qiáng)電子商務(wù)安全管理的建議

    電子商務(wù)信息安全管理實(shí)踐表明,大多數(shù)安全問(wèn)題是由于管理不善造成的。安全管理是一項(xiàng)系統(tǒng)工程,不僅涉及到企業(yè)的組織架構(gòu)、信息技術(shù)、人員素質(zhì)等各個(gè)方面,還牽扯到國(guó)家法律和商業(yè)規(guī)則。企業(yè)內(nèi)部存在著諸多影響信息安全的因素:改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理,要使企業(yè)信息盡可能的安全,必須在技術(shù)投人的基礎(chǔ)上融人人在管理方面的智慧i同時(shí),不僅要防外,更要防內(nèi),即對(duì)組織內(nèi)部人員的管理。信息安全問(wèn)題的解決需要技術(shù),但又不能單純依靠技術(shù)。整個(gè)電子商務(wù)的交易過(guò)程,是人與技術(shù)相互融合的過(guò)程,如何使管理與技術(shù)相得益彰十分重要。“三分技術(shù),七分管理”闡述了信息安全的本質(zhì)。

    電子商務(wù)的安全管理,就是通過(guò)一個(gè)完整的綜合保障體系,來(lái)規(guī)避信息傳輸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn),以保證網(wǎng)上交易的順利進(jìn)行。網(wǎng)上交易安全管理,應(yīng)采用綜合防范的思路,一是技術(shù)方面的考慮,如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密、身份認(rèn)證、授權(quán)等,但必須明確,只有技術(shù)措施并不能完全保證網(wǎng)上交易的安全。二是必須加強(qiáng)監(jiān)管,建立各種有關(guān)的合理制度,并加強(qiáng)嚴(yán)格監(jiān)督,如建立交易的安全制度、交易安全的實(shí)時(shí)監(jiān)控、提供實(shí)時(shí)改變安全策略的能力、對(duì)現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等。為了加強(qiáng)企業(yè)電子商務(wù)的信息安全,我們提出如下建議:

    (1)提高網(wǎng)絡(luò)安全防范意識(shí)。

    現(xiàn)在許多企業(yè)沒(méi)有意識(shí)到互聯(lián)網(wǎng)的易受攻擊性,盲目相信國(guó)外的加密軟件,對(duì)于系統(tǒng)的訪問(wèn)權(quán)限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱,其中的機(jī)密數(shù)據(jù)得不到應(yīng)有的保護(hù)。據(jù)調(diào)查,目前國(guó)內(nèi)90%的網(wǎng)站存在安全問(wèn)題,其主要原因是企業(yè)管理者缺少或沒(méi)有安全意識(shí)。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小,不會(huì)成為黑客的攻擊目標(biāo),如此態(tài)度,網(wǎng)絡(luò)安全更是無(wú)從談起。應(yīng)該定期由公司或安全管理小組承辦信息安全講座,只有提高網(wǎng)絡(luò)安全防范意識(shí),才能有效的減少信息安全事故的發(fā)生。

    (2)建立電子商務(wù)安全管理組織體系。

    一個(gè)完整的信息安全管理體系首先應(yīng)建立完善的組織體系。即建立由行政領(lǐng)導(dǎo)、IT技術(shù)主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問(wèn)組成的安全決策機(jī)構(gòu)。其職責(zé)是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責(zé),并檢查安全職責(zé)是否已被正確履行,核準(zhǔn)新信息處理設(shè)施的啟用、組織安全管理專題會(huì)等。還應(yīng)建立由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、用戶管理員等組成的安全執(zhí)行機(jī)構(gòu)。該機(jī)構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略、執(zhí)行批準(zhǔn)后的安全策略、日常的安全運(yùn)行和維護(hù)、定期的培訓(xùn)和安全檢查等。如果需要,還可建立安全顧問(wèn)機(jī)構(gòu)。安全顧問(wèn)機(jī)構(gòu)可聘請(qǐng)信息安全專家擔(dān)任系統(tǒng)安全顧問(wèn),負(fù)責(zé)提供安全建議,特別是在安全事故或違反安全策略事件發(fā)生后,可以被安全決策機(jī)構(gòu)指定負(fù)責(zé)事故(事件)調(diào)查,并為安全策略評(píng)審和評(píng)估提供意見(jiàn)。

    (3)制定符合機(jī)構(gòu)安全需求的信息安全策略。電子商務(wù)交

    易過(guò)程中,需要明確的安全策略主要包括客戶認(rèn)證策略、加密策略、日常維護(hù)策略、防病毒策略等安全技術(shù)方案的選擇。安全執(zhí)行機(jī)構(gòu)應(yīng)根據(jù)本信息網(wǎng)絡(luò)的實(shí)際情況制定相應(yīng)的信息安全策略,策略中應(yīng)明確安全的定義、目標(biāo)、范圍和管理責(zé)任,并制定安全策略的實(shí)施細(xì)則。安全策略文檔要由安全決策機(jī)構(gòu)審查、批準(zhǔn),并和傳達(dá)給所有的人安全策略還應(yīng)由安全決策機(jī)構(gòu)定期進(jìn)行有效性審查和評(píng)估:在發(fā)生重大的安全事故、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時(shí),應(yīng)重新進(jìn)行安全策略的審查和評(píng)估。

    (4)人員安全的管理和培訓(xùn)

    參與網(wǎng)上交易的經(jīng)營(yíng)管理人員在很大程度上支配著企業(yè)的命運(yùn),他們承擔(dān)著防范網(wǎng)絡(luò)犯罪的任務(wù)。而計(jì)算機(jī)網(wǎng)絡(luò)犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續(xù)性、高效性的特點(diǎn),因而,加強(qiáng)對(duì)有關(guān)人員的管理變得十分重要。首先,在人員錄用時(shí)應(yīng)做好人員鑒別,人員錄用或人員職位調(diào)整時(shí),一般要簽署保密協(xié)議。當(dāng)人員到期離開(kāi)或協(xié)議到期、工作終止時(shí),要審查保密協(xié)議。其次對(duì)有關(guān)人員進(jìn)行上崗培訓(xùn),建立人員培訓(xùn)計(jì)劃,定期組織安全策略和規(guī)程方面的培訓(xùn)。第三,落實(shí)工作責(zé)任制,在崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和本崗位保護(hù)特定資產(chǎn)、執(zhí)行特定安全過(guò)程或活動(dòng)的特別職責(zé),對(duì)違反網(wǎng)上交易安全規(guī)定的人員要進(jìn)行及時(shí)的處理。第四,貫徹網(wǎng)上交易安全運(yùn)作基本原則,包括職責(zé)分離、雙人負(fù)責(zé)、任期有限、最小權(quán)限、個(gè)人可信賴性等。

    (5)增強(qiáng)法律意識(shí),促進(jìn)電子商務(wù)立法

    面對(duì)電子商務(wù)這種新型的貿(mào)易形式,我國(guó)目前尚無(wú)專門(mén)法規(guī)可依,使得部分違法犯罪人員沒(méi)有得到應(yīng)有的懲罰。近幾年里,國(guó)家加強(qiáng)了這方面的投入。在全國(guó)性的立法文件中,《合同法》的部分條款可以看作是針對(duì)電子商務(wù)的立法。此外,廣東省制定的《廣東省電子交易管理?xiàng)l例》這個(gè)地方性的法規(guī)可以看作是對(duì)加快我國(guó)電子商務(wù)立法的有益探索。《中華人民共和國(guó)電子簽名法》是對(duì)主要用于電子商務(wù)活動(dòng),電子政務(wù)等其他應(yīng)用應(yīng)該有新的適用法規(guī)。

    盡管在電子商務(wù)信息安全立法方面取得了一些成就,但總的來(lái)說(shuō),我國(guó)的電子商務(wù)立法還很不健全,對(duì)電子商務(wù)活動(dòng)的安全保護(hù)缺少直接性;相關(guān)立法比較分散,而且效力不高;對(duì)新出現(xiàn)的情況缺乏適應(yīng)能力;立法速度慢。這些都需要電子商務(wù)企業(yè)和國(guó)家有關(guān)部門(mén)不斷探索,共同促進(jìn)電子商務(wù)信息安全的法制環(huán)境建設(shè)。

第6篇

【論文摘要】計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)發(fā)展相當(dāng)迅速。隨著互聯(lián)網(wǎng)上黑客病毒泛溢,網(wǎng)絡(luò)犯罪等威脅日益嚴(yán)重，網(wǎng)絡(luò)安全管理的任務(wù)將會(huì)越來(lái)越艱巨和復(fù)雜，抓好網(wǎng)絡(luò)安全問(wèn)題對(duì)保障網(wǎng)絡(luò)信息安全至關(guān)重要。因此文章對(duì)電子商務(wù)網(wǎng)絡(luò)支付安全問(wèn)題進(jìn)行探討分析。

引言

美國(guó)等發(fā)達(dá)國(guó)家，通過(guò)Internet進(jìn)行電子商務(wù)的交易已成為潮流。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，我國(guó)的電子商務(wù)雖已初具規(guī)模，但是安全問(wèn)題卻成為發(fā)展電子商務(wù)亟待解決的問(wèn)題。電子商務(wù)過(guò)程中，買(mǎi)賣雙方是通過(guò)網(wǎng)絡(luò)聯(lián)系的，由于internet是開(kāi)放性網(wǎng)絡(luò)，建立交易雙方的安全和信任關(guān)系較為困難，因此本文對(duì)電子商務(wù)網(wǎng)絡(luò)支付上的安全問(wèn)題進(jìn)行探討分析。

1、電子商務(wù)的概念和特點(diǎn)

1）電子商務(wù)的概念：電子商務(wù)（ElectronicCommerce）是通過(guò)電信網(wǎng)絡(luò)進(jìn)行的生產(chǎn)、營(yíng)銷、銷售、流通等活動(dòng)，不僅是指基于因特網(wǎng)上的交易，而且還指利用電子信息技術(shù)實(shí)現(xiàn)解決問(wèn)題、降低成本、增加價(jià)值、創(chuàng)造商機(jī)的商務(wù)活動(dòng)[1]。

2）電子商務(wù)的特點(diǎn)：（1）電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化。不僅以電子流代替了實(shí)物流，大量減少了人力物力，降低了成本；而且突破了時(shí)間空間的限制，使得交易活動(dòng)可在任何時(shí)間、任何地點(diǎn)進(jìn)行，大大提高了效率。（2）電子商務(wù)使企業(yè)能以較低成本進(jìn)入全球電子化市場(chǎng),也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源，提高了中小企業(yè)的競(jìng)爭(zhēng)能力。（3）電子商務(wù)重新定義了傳統(tǒng)的流通模式，減少了中間環(huán)節(jié)，使得生產(chǎn)者和消費(fèi)者的直接交易成為可能，從而一定程度上改變了社會(huì)經(jīng)濟(jì)的運(yùn)行方式。（4）電子商務(wù)提供了豐富的信息資源，為社會(huì)經(jīng)濟(jì)要素的重新組合提供了更多的可能，這將影響到社會(huì)的經(jīng)濟(jì)布局和結(jié)構(gòu)。

2、電子商務(wù)安全的技術(shù)體系

1）物理安全。首先根據(jù)國(guó)家標(biāo)準(zhǔn)、信息安全等級(jí)和資金狀況，制定適合的物理安全要求，并經(jīng)建設(shè)和管理達(dá)到相關(guān)標(biāo)準(zhǔn)[2]。再者，關(guān)鍵的系統(tǒng)資源（包括主機(jī)、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘GAP等設(shè)備），通信電路以及物理介質(zhì)（軟/硬磁盤(pán)、光盤(pán)、IC卡、PC卡等）、應(yīng)有加密、電磁屏蔽等保護(hù)措施，均應(yīng)放在物理上安全的地方。

2）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進(jìn)行，要求電子商務(wù)平臺(tái)要穩(wěn)定可靠，能夠不中斷地提供服務(wù)。系統(tǒng)的任何中斷（如硬件、軟件錯(cuò)誤，網(wǎng)絡(luò)故障、病毒等）都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證，往往會(huì)造成巨大的經(jīng)濟(jì)損失。

3）商務(wù)安全。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問(wèn)題，包括防止商務(wù)信息被竊取、篡改、偽造、交易行為被抵賴，即要實(shí)現(xiàn)電子商務(wù)的保密性、完整性、真實(shí)性、不可抵賴性。商務(wù)安全的各方面也要通過(guò)不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)實(shí)現(xiàn)，加解密技術(shù)保證了交易信息的保密性，也解決了用戶密碼被盜取的問(wèn)題；數(shù)字簽名是實(shí)現(xiàn)對(duì)原始報(bào)文完整性的鑒別，它與身份認(rèn)證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務(wù)安全的主要技術(shù)有：在線支付協(xié)議（安全套接層SSL協(xié)議和安全電子交易SET協(xié)議）、文件加密技術(shù)、數(shù)字簽名技術(shù)、電子商務(wù)認(rèn)證中心（CA）。

4）系統(tǒng)安全。主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)的安全。對(duì)于保護(hù)系統(tǒng)安全，總體思路是：通過(guò)安全加固，解決管理方面安全漏洞；然后采用安全技術(shù)設(shè)備，增強(qiáng)其安全防護(hù)能力。

3、安全管理過(guò)程監(jiān)督

3.1加強(qiáng)全過(guò)程的安全管理

1）網(wǎng)絡(luò)規(guī)劃階段，就要加強(qiáng)對(duì)信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)需要投入一定的人力、物力、財(cái)力。要根據(jù)狀況實(shí)事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實(shí)施、降低投資風(fēng)險(xiǎn)。

2）工程建設(shè)階段，建設(shè)管理單位要將安全需求的匯總和安全性能功能的測(cè)試，列入工程建設(shè)各個(gè)階段工作的重要內(nèi)容，要加強(qiáng)對(duì)開(kāi)發(fā)（實(shí)施）人員、版本控制的管理，要加強(qiáng)對(duì)開(kāi)發(fā)環(huán)境、用戶路由設(shè)置、關(guān)鍵代碼的檢查[3]。

3）在運(yùn)行維護(hù)階段，要注意以下事項(xiàng)：(1)建立有效的安全管理組織架構(gòu)，明確職責(zé)，理順流程，實(shí)施高效管理。(2)按照分級(jí)管理原則，嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號(hào)和密碼。(3)制定完善的安全管理制度，加強(qiáng)信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運(yùn)行維護(hù)過(guò)程的安全管理。(4)要建立應(yīng)急預(yù)察體系，建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時(shí)便于跟蹤查詢，還要定期檢查日志，以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

3.2建立動(dòng)態(tài)的閉環(huán)管理流程

網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中，可能發(fā)現(xiàn)新的安全漏洞，因此需要建立動(dòng)態(tài)的、閉環(huán)的管理流程。要在整體安全策略的控制和指導(dǎo)下，通過(guò)安全評(píng)估和檢測(cè)工具（如漏洞掃描，入侵檢測(cè)等）及時(shí)了解網(wǎng)絡(luò)存在的安全問(wèn)題和安全隱患，據(jù)此制定安全建設(shè)規(guī)劃和加固方案，綜合應(yīng)用各種安全防護(hù)產(chǎn)品（如防火墻、身份認(rèn)證等手段），將系統(tǒng)調(diào)整到相對(duì)安全的狀態(tài)。并要注意以下兩點(diǎn)：1）對(duì)于一個(gè)企業(yè)而言，安全策略是支付信息安全的核心，因此制定明確的有效的安全策略是非常重要的。安全組織要根據(jù)這個(gè)策略制定詳細(xì)的流程、規(guī)章制度、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃、方案，保證這些系列策略規(guī)范在整個(gè)企業(yè)范圍內(nèi)貫徹實(shí)施，從而保護(hù)企業(yè)的投資和信息資源安全。2）要制定完善的、符合企業(yè)實(shí)際的信息安全策略，就須先對(duì)企業(yè)信息網(wǎng)的安全狀況進(jìn)行評(píng)估，即對(duì)信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評(píng)估，讓企業(yè)對(duì)自身面臨的安全威脅和問(wèn)題有全面的了解，從而制定針對(duì)性的安全策略，指導(dǎo)信息安全的建設(shè)和管理工作。新晨

4、結(jié)束語(yǔ)

本文分析了目前電子商務(wù)網(wǎng)絡(luò)支付安全方面的主要技術(shù)狀況，安全技術(shù)可以說(shuō)是網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù)，都是非常先進(jìn)的技術(shù)手段；只要運(yùn)用得當(dāng)，配合相應(yīng)的安全管理措施，基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全；但不是100％的絕對(duì)安全，而是相對(duì)安全。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與信用機(jī)制的完善，網(wǎng)絡(luò)支付定會(huì)越來(lái)越安全。

參考文獻(xiàn)

[1]柯新生.網(wǎng)絡(luò)支付與結(jié)算[M].北京：電子工業(yè)出版社,2004.

第7篇

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢(shì)，使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天，主要問(wèn)題在于時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn)，信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題之一。研究和分析電子商務(wù)的安全性問(wèn)題，特別是針對(duì)企業(yè)自身情況，充分借鑒以往電子商務(wù)系統(tǒng)開(kāi)發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn)，開(kāi)發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng)，已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看，傳統(tǒng)的買(mǎi)賣雙方是面對(duì)面的，因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，買(mǎi)賣雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面：

2.1 信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2 信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet 上每個(gè)人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺(tái)要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯(cuò)誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證，往往會(huì)造成巨大的經(jīng)濟(jì)損失。

所以就整個(gè)電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個(gè)層次，

1) 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認(rèn)證管理

其中2、3、4 是通過(guò)操作系統(tǒng)和Web 服務(wù)器軟件實(shí)現(xiàn)，而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet 和Intranet 保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個(gè)安全、高效的Intranet 系統(tǒng)。應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒(méi)有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB 服務(wù)器之間采用SSL 協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過(guò)加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40 位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128 位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL 首先要求服務(wù)器向?yàn)g覽器出示它的證書(shū)，證書(shū)包括一個(gè)公鑰，由一家可信證書(shū)授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書(shū)的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL 鏈接不需要一定有個(gè)人證書(shū)，實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL 鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)）。驗(yàn)證此證書(shū)是合法的服務(wù)器證書(shū)通過(guò)后利用該證書(shū)對(duì)稱加密算法（RSA）與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰，然后用此對(duì)稱算法加密傳輸?shù)拿魑摹４藭r(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時(shí)；程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn)行，其他的部分只有縮小的許可；程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源，如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制（最少許可），程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠纾彌_溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問(wèn)題一樣的錯(cuò)誤。

3.4 用戶的認(rèn)證管理

1) 身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA 證書(shū)與IC 卡相結(jié)合實(shí)現(xiàn)的。CA 證書(shū)用來(lái)認(rèn)證服務(wù)器的身份，IC 卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能，所以只采用ID 號(hào)和密碼口令的身份確認(rèn)機(jī)制。

2) CA 證書(shū)

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書(shū)進(jìn)行驗(yàn)證，這份數(shù)字證書(shū)就是CA 證書(shū)，它由認(rèn)證授權(quán)中心（CA 中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書(shū)，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)的管理。CA 中心一般是社會(huì)公認(rèn)的可靠組織，它對(duì)個(gè)人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書(shū)，證書(shū)分為服務(wù)器證書(shū)和個(gè)人證書(shū)。建立SSL 安全鏈接不需要一定有個(gè)人證書(shū)，實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL 鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行）。

3) 安全套接層SSL 協(xié)議

安全套接層SSL 協(xié)議是Netscape 公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA 和保密密鑰的用于瀏覽器與Web 服務(wù)器之間的安全連接技術(shù)。

SSL 通過(guò)數(shù)字簽名和數(shù)字證書(shū)來(lái)實(shí)行身份驗(yàn)證，數(shù)字證書(shū)是從認(rèn)證機(jī)構(gòu)（CA，Certificate Authority）獲得的，通常包含有唯一標(biāo)識(shí)證書(shū)所有者的名稱、唯一標(biāo)識(shí)證書(shū)者的名稱、證書(shū)所有者的公開(kāi)密鑰、證書(shū)者的數(shù)字簽名、證書(shū)的有效期及證書(shū)的序列號(hào)等。在用數(shù)字證書(shū)對(duì)雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL 協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如Http、Ftp、Telnet 等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL 協(xié)議握手流程由兩個(gè)階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。

①服務(wù)器認(rèn)證

客戶端向服務(wù)器發(fā)送一個(gè)“Hello”信息，以便開(kāi)始一個(gè)新的會(huì)話連接；服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開(kāi)密鑰加密后傳給服務(wù)器；服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。這樣通過(guò)主密鑰引出的密鑰對(duì)一系列數(shù)據(jù)進(jìn)行加密來(lái)認(rèn)證服務(wù)器，從而建立安全的通信通道。

②用戶認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶，客戶則返回?cái)?shù)字簽名后的提問(wèn)和其公開(kāi)密鑰，從而向服務(wù)器提供認(rèn)證。SSL 協(xié)議支持各種加密算法，實(shí)現(xiàn)簡(jiǎn)單，獨(dú)立于應(yīng)用層協(xié)議，且被大部分瀏覽器和Web 服務(wù)器內(nèi)置，便于在電子交易中應(yīng)用。但SSL 是一個(gè)面向連接的協(xié)議，起初并不是為了支持電子商務(wù)而設(shè)計(jì)的，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL 協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此，開(kāi)發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專為電子商務(wù)而設(shè)計(jì)的SET 協(xié)議。

4 安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對(duì)于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問(wèn)系統(tǒng)的最小權(quán)限。按照分級(jí)管理原則，嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號(hào)和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時(shí)便于跟蹤查詢。定期檢查日志，以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份，且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù)，數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

5 結(jié)束語(yǔ)

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證1OO％的安全。但是，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手，僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的，而不是絕對(duì)的。因此，為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展，必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問(wèn)題，使電子商務(wù)系統(tǒng)相對(duì)更安全。

參考文獻(xiàn)

[1] 吳洋.電子商務(wù)安全方法研究[D].天津大學(xué)， 2006.

[2] 李艷.電子商務(wù)信息安全策略研究[J].甘肅科技， 2005，(06)

第8篇

關(guān)鍵詞：電子商務(wù)；安全；技術(shù)；策略

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 20-0000-03

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，電子商務(wù)已經(jīng)在各行業(yè)應(yīng)用開(kāi)來(lái)，其表現(xiàn)形式也非常豐富。比如：可以通過(guò)電腦、Internet、交易平臺(tái)，預(yù)訂機(jī)票、火車票，隨時(shí)隨地足不出戶地進(jìn)行個(gè)人財(cái)務(wù)管理、股票交易，網(wǎng)上購(gòu)物、轉(zhuǎn)帳及接收付款等等。在日常生活中，電子商務(wù)給我們帶來(lái)了無(wú)盡的便利。

但是，在我們享受電子商務(wù)給我們帶來(lái)的便捷的同時(shí)，我們也必須認(rèn)識(shí)到電子商務(wù)安全的重要性。由于在電子商務(wù)交易中，交易雙方是不見(jiàn)面的，交易雙方缺乏面對(duì)面的溝通，我們也無(wú)法審核交易雙方的真實(shí)身份，這些就會(huì)增加電子商務(wù)交易的風(fēng)險(xiǎn)，因此，本文針對(duì)電子商務(wù)安全現(xiàn)狀進(jìn)行簡(jiǎn)要分析。

本文將從電子商務(wù)的概念開(kāi)始，并對(duì)電子商務(wù)安全發(fā)展現(xiàn)狀和技術(shù)策略進(jìn)行介紹。

2 電子商務(wù)的概念

電子商務(wù)是指在因特網(wǎng)開(kāi)放的網(wǎng)絡(luò)環(huán)境下，在全球各地廣泛的商業(yè)活動(dòng)中，基于瀏覽器/服務(wù)器的模式，在買(mǎi)賣雙方不見(jiàn)面的情況下，進(jìn)行商務(wù)活動(dòng)，從而能夠滿足消費(fèi)者進(jìn)行網(wǎng)上購(gòu)物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)、交易活動(dòng)、金融活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)，它是一種新型的商業(yè)運(yùn)營(yíng)模式.

電子商務(wù)主要是通過(guò)電子數(shù)據(jù)傳輸技術(shù)，進(jìn)而開(kāi)展商務(wù)活動(dòng)，如企業(yè)間交易活動(dòng)、在網(wǎng)絡(luò)上做營(yíng)銷、客戶服務(wù)等，它統(tǒng)一了資金、信息、商流和物流四個(gè)方面。隨著網(wǎng)絡(luò)和Internet技術(shù)的日益成熟，真正意義上的電子商務(wù)是建立在Internet技術(shù)上的，所以也簡(jiǎn)稱為IC。

2 電子商務(wù)安全概述及其發(fā)展現(xiàn)狀

2.1 電子商務(wù)安全的主要內(nèi)容

電子商務(wù)安全由IT安全和商務(wù)交易安全兩部分組成。

IT安全主要由以下幾個(gè)部分組成：網(wǎng)絡(luò)運(yùn)行環(huán)境安全、用戶信息與網(wǎng)上交易服務(wù)器傳遞之間的安全、網(wǎng)絡(luò)硬件設(shè)備安全、網(wǎng)絡(luò)軟件安全、數(shù)據(jù)資料安全、客戶端計(jì)算機(jī)及其他連接互聯(lián)網(wǎng)設(shè)備的安全等等。基于這些IT本身可能存在的安全問(wèn)題，旨在保證IT安全，實(shí)施IT安全增強(qiáng)方案。

另一方面，商務(wù)交易安全是針對(duì)傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題，基于計(jì)算機(jī)網(wǎng)絡(luò)安全，從而保障電子商務(wù)過(guò)程的順利進(jìn)行。目的在于實(shí)現(xiàn)電子商務(wù)的完整性、可鑒別性、保密性、不可偽造性和不可抵賴性。計(jì)算機(jī)網(wǎng)絡(luò)安全與電子商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。計(jì)算機(jī)網(wǎng)絡(luò)安全是商務(wù)交易安全的基石，如果缺少計(jì)算機(jī)網(wǎng)絡(luò)安全，商務(wù)交易安全就無(wú)從談起。同樣，缺少了商務(wù)交易安全的保證，即使計(jì)算機(jī)網(wǎng)絡(luò)本身再安全，仍然無(wú)法保證電子商務(wù)的安全進(jìn)行。

2.2 電子商務(wù)安全的原則

（1）真實(shí)性、可靠性

電子商務(wù)以電子形式取代了以前紙質(zhì)的形式，因此，開(kāi)展電子商務(wù)的前提就是保證電子形式的貿(mào)易信息的真實(shí)性和有效性。電子商務(wù)作為貿(mào)易的一種形式，其信息的真實(shí)性和有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

（2）身份的唯一

電子商務(wù)系統(tǒng)要建立身份唯一性認(rèn)證制度，在身份合法認(rèn)證時(shí)做到有法可依，雙方在網(wǎng)上進(jìn)行交易或者數(shù)據(jù)傳送時(shí)，必須首先認(rèn)證雙方身份的合法性和真實(shí)性，只有這樣，才能保證在交易發(fā)生糾紛時(shí)，雙方身份都有所證明，從而有效防止商業(yè)欺詐行為的發(fā)生。

（3）保密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。由于電子商務(wù)是在開(kāi)放的網(wǎng)絡(luò)環(huán)境上進(jìn)行的，所有商業(yè)防泄密工作在電子商務(wù)過(guò)程中顯得尤為重要。

（4）完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)如何維護(hù)商業(yè)信息完整的問(wèn)題。如果交易雙方數(shù)據(jù)輸入時(shí)，意外出現(xiàn)差錯(cuò)或者有一方有欺詐行為，都有可能導(dǎo)致貿(mào)易各方信息不同。因此，電子商務(wù)系統(tǒng)必須可靠和正確地保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)的完整性。

（5）實(shí)名制

電子商務(wù)活動(dòng)的每一方都必須實(shí)名參加，相關(guān)部門(mén)應(yīng)當(dāng)對(duì)各方身份、企業(yè)資質(zhì)、信譽(yù)等進(jìn)行嚴(yán)格的審查登記，做到有據(jù)可查。

2.3 電子商務(wù)安全發(fā)展現(xiàn)狀

上世紀(jì)七十年代，電子商務(wù)開(kāi)始出現(xiàn)萌芽，當(dāng)時(shí)，有一些大公司利用計(jì)算機(jī)網(wǎng)絡(luò)，將各個(gè)機(jī)構(gòu)之間和各個(gè)商業(yè)伙伴之間的信息共享起來(lái)，這個(gè)過(guò)程就是EDI（電子數(shù)據(jù)交換），電子數(shù)據(jù)交換就成了后來(lái)電子商務(wù)的雛形，同時(shí)也是電子商務(wù)的基礎(chǔ)。近些年來(lái)，由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，電子商務(wù)也迅速發(fā)展起來(lái)。

但是，目前，電子商務(wù)面臨著比較嚴(yán)峻的信息安全現(xiàn)狀。據(jù)權(quán)威雜志披露，從事電子商務(wù)的企業(yè)相比于普通企業(yè)，承受著更大的商業(yè)風(fēng)險(xiǎn)。其中，從事電子商務(wù)的企業(yè)更容易被黑客攻擊，感染病毒、惡意代碼的概率高出9%，被非法入侵的頻率高出10%，而且更容易被商業(yè)欺詐。

在我國(guó)，電子商務(wù)安全的現(xiàn)狀同樣并不樂(lè)觀。調(diào)查顯示，近年來(lái)，我國(guó)發(fā)生了200起網(wǎng)絡(luò)進(jìn)行的電子商務(wù)經(jīng)濟(jì)犯罪，帶來(lái)了上億元的經(jīng)濟(jì)損失。我國(guó)網(wǎng)民對(duì)于網(wǎng)上交易，最擔(dān)心的就是網(wǎng)上支付交易的安全問(wèn)題，超過(guò)百分之八十的網(wǎng)民對(duì)網(wǎng)上交易的安全性表示擔(dān)憂。信息安全問(wèn)題已然成為阻礙網(wǎng)上交易的一大難題。

1995年起，我國(guó)開(kāi)始發(fā)展電子商務(wù)安全產(chǎn)業(yè)，與此同時(shí)，電子商務(wù)安全科研、生產(chǎn)與應(yīng)用也開(kāi)始起步，迄今為止，已經(jīng)實(shí)現(xiàn)了科研與生產(chǎn)從無(wú)到有，市場(chǎng)從小到大逐步發(fā)展起來(lái)。電子商務(wù)信息安全研究已經(jīng)走過(guò)了通信保密、計(jì)算機(jī)數(shù)據(jù)保護(hù)兩個(gè)發(fā)展階段，目前正處于網(wǎng)絡(luò)信息安全研究階段。在現(xiàn)階段中，我們已逐步掌握了部分網(wǎng)絡(luò)安全和電子商務(wù)安全技術(shù)，研制和探索了安全操作系統(tǒng)、多級(jí)安全數(shù)據(jù)庫(kù)方面的技術(shù)，但掌握系統(tǒng)核心技術(shù)還有很大困難，所以目前還不能開(kāi)發(fā)出有自主知識(shí)產(chǎn)權(quán)的信息產(chǎn)品。

截止到目前，我國(guó)電子商務(wù)安全的發(fā)展還存在以下幾點(diǎn)問(wèn)題：

（1）安全防范意識(shí)薄弱

國(guó)內(nèi)不少電子商務(wù)企業(yè)對(duì)網(wǎng)絡(luò)信息安全意識(shí)不強(qiáng)。這些企業(yè)在進(jìn)行電子商務(wù)交易的時(shí)候，考慮的更多的還是自己的效益、方便、快捷，卻把交易的安全性、保密性、抗攻擊性放在了較低的位置。

（2）體系結(jié)構(gòu)不健全

我國(guó)的電子商務(wù)安全一直都缺乏一個(gè)健全的體系結(jié)構(gòu)，總是等到出現(xiàn)問(wèn)題才去解決問(wèn)題，從而導(dǎo)致問(wèn)題不斷變化、層出不窮，卻缺乏有效的解決辦法。

（3）軟硬件缺乏強(qiáng)有力的支持

目前我國(guó)IT設(shè)施的軟件、硬件等的核心產(chǎn)品主要還是依靠從國(guó)外發(fā)達(dá)國(guó)家進(jìn)口，市場(chǎng)上不少的安全措施也是照搬過(guò)來(lái)的，很多電子商務(wù)安全方面的產(chǎn)品都沒(méi)有通過(guò)安全認(rèn)證。

（4）頻繁遭受威脅

目前我國(guó)的電子商務(wù)產(chǎn)業(yè)主要遭受三方面的安全威脅：

1）非人為因素造成的數(shù)據(jù)丟失；

2）人為因素造成的數(shù)據(jù)丟失；

3）黑客、病毒等的惡意攻擊和入侵。

3 電子商務(wù)安全技術(shù)及策略

3.1 電子商務(wù)安全技術(shù)架構(gòu)

電子商務(wù)安全技術(shù)體系包括網(wǎng)絡(luò)服務(wù)層、加密技術(shù)層、安全認(rèn)證層、安全協(xié)議層四個(gè)部分，它是確保電子商務(wù)交易中數(shù)據(jù)的安全性和完整性的邏輯結(jié)構(gòu)。在這個(gè)四層結(jié)構(gòu)中，下一層作為上一層的基石，為上一層提供技術(shù)支持；由安全控制技術(shù)實(shí)現(xiàn)安全策略，從而形成一個(gè)統(tǒng)一的整體，相互關(guān)聯(lián)、相互依存，從而實(shí)現(xiàn)電子商務(wù)的安全進(jìn)行。

如圖1所示，即為電子商務(wù)安全技術(shù)體系架構(gòu)

圖1 電子商務(wù)安全技術(shù)體系架構(gòu)

（1）網(wǎng)絡(luò)服務(wù)層

網(wǎng)絡(luò)安全作為電子商務(wù)安全的基礎(chǔ)，涉及面很廣，如防火墻技術(shù)、網(wǎng)絡(luò)隱患掃描、網(wǎng)絡(luò)監(jiān)控、及各種反黑客技術(shù)等，其中防火墻技術(shù)最為關(guān)鍵。防火墻的主要是通過(guò)加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制，從而使得外部網(wǎng)絡(luò)用戶，不能利用非法手段侵入我們需要保護(hù)的網(wǎng)絡(luò)。防火墻按照一定的安全策略，檢查兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式，繼而決定是否允許網(wǎng)絡(luò)之間進(jìn)行通信，而且還能監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。路由器可以實(shí)現(xiàn)簡(jiǎn)單防火墻技術(shù)，而更加可靠的網(wǎng)絡(luò)安全控制需要專用防火墻來(lái)提供。

為了保證連接Internet和Intranet的安全，防火墻是最為有效的方法，防火墻通過(guò)有效監(jiān)視網(wǎng)絡(luò)的通信信息，記憶通信狀態(tài)，從而作出正確的判斷，來(lái)決定是否允許訪問(wèn)。如果能靈活有效地運(yùn)用這些功能，制定正確的安全策略，就能就能保證Intranet系統(tǒng)的完整性、安全性。

（2）加密技術(shù)層

電子商務(wù)信息加密技術(shù)作為最基本的安全措施，它是一種主動(dòng)的信息安全防范措施。實(shí)質(zhì)就是一種交換算法，它通過(guò)置換和移位的方法，對(duì)以符號(hào)為基礎(chǔ)的數(shù)據(jù)進(jìn)行加密，加密受密鑰的關(guān)鍵符號(hào)串控制。加密技術(shù)分為對(duì)稱加密和非對(duì)稱加密兩類。

1）對(duì)稱加密。對(duì)稱加密包括兩種情況：1.加密系統(tǒng)的加密密鑰和解密密鑰相同。2.如果不相同，但是由其中任意一個(gè)可以很容易的推導(dǎo)出另一個(gè)。現(xiàn)在常用的對(duì)稱加密算法有DES、RC2、RC4等，DES算法被廣泛采用，它由美國(guó)國(guó)家標(biāo)準(zhǔn)局提出的，被ISO作為數(shù)據(jù)加密的標(biāo)準(zhǔn)。

2）非對(duì)稱加密。非對(duì)稱加密只包括一種情況：加密系統(tǒng)的加密密鑰和解密密鑰不相同，并且不管是由加密密鑰推導(dǎo)出解密密鑰或者由解密密鑰推導(dǎo)出加密密鑰，都是計(jì)算不出來(lái)的。RSA算法是非對(duì)稱加密領(lǐng)域最著名的算法，該算法是非對(duì)稱數(shù)據(jù)加密的標(biāo)準(zhǔn)算法。

（3）安全認(rèn)證層

為了確保電子商務(wù)交易安全，光有加密技術(shù)是不夠的，還必須依靠安全認(rèn)證層中的身份認(rèn)證技術(shù)。

認(rèn)證技術(shù)通過(guò)用戶的客戶主機(jī)IP地址進(jìn)行認(rèn)證，在認(rèn)證技術(shù)中，系統(tǒng)管理員授予不同IP地址的授權(quán)用戶不同的訪問(wèn)權(quán)限。認(rèn)證技術(shù)主要有身份認(rèn)證和通過(guò)電子認(rèn)證中心的認(rèn)證。身份認(rèn)證是主要用于判斷交易雙方的真實(shí)身份，而目前這也是電子商務(wù)安全中急需加強(qiáng)的重要技術(shù)。身份認(rèn)證主要有三種方式：用戶口令、智能卡、生物學(xué)特征認(rèn)證。

（4）安全協(xié)議層

由于電子商務(wù)需要通過(guò)Internet完成在線支付，所有我們必須安全傳輸支付信息、確認(rèn)交易方的真實(shí)身份、完整進(jìn)行支付過(guò)程，這就需要我們使用安全協(xié)議來(lái)保證。不同交易協(xié)議的復(fù)雜性、開(kāi)銷、安全性各不相同。

目前國(guó)際上比較有代表性的協(xié)議是SSL協(xié)議和SET協(xié)議。

1）SSL協(xié)議。SSL（安全槽層）向客戶/服務(wù)器應(yīng)用程序提供客戶端和服務(wù)器的認(rèn)證服務(wù)、加密、數(shù)據(jù)完整等安全措施，它在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前，通過(guò)交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)安全特性的審查。

2）SET協(xié)議。SET（安全電子交易規(guī)范）向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則。SET增加了對(duì)商家身份的認(rèn)證，同時(shí)還保留對(duì)客戶信用卡認(rèn)證。

3.2 電子商務(wù)安全策略

（1）建立健全的電子商務(wù)的法律制度，并強(qiáng)化執(zhí)法力度

隨著電子商務(wù)的發(fā)展，建立了很多電子商務(wù)網(wǎng)站，進(jìn)而許多網(wǎng)絡(luò)交易中的法律問(wèn)題就凸顯出來(lái)，這樣一來(lái)，解決網(wǎng)絡(luò)交易的安全問(wèn)題就需要遵循一個(gè)共同的法律法規(guī)，而目前我們的電子商務(wù)法律制度還不健全，還需要建立必要的健全的法律框架。另一方面，對(duì)那些網(wǎng)絡(luò)交易中的違法犯罪行為，我們一定要加強(qiáng)執(zhí)法力度，從而達(dá)到規(guī)范電子商務(wù)交易的目的

（2）建立完善的信用體系，提高電子商務(wù)的安全意識(shí)

由于電子商務(wù)的虛擬性、非接觸性，信用在電子商務(wù)中顯得尤為重要。電子商務(wù)對(duì)信用體系的需求最強(qiáng)，電子商務(wù)如果缺少了信用體系的支撐，就毫無(wú)安全可言，風(fēng)險(xiǎn)度極高。因此，信用體系是電子商務(wù)的規(guī)范與發(fā)展的基礎(chǔ)。然而，我國(guó)的電子商務(wù)的信用管理體系還比較落后，社會(huì)整體信用制度還有待健全，在交易過(guò)程中經(jīng)常會(huì)發(fā)生不講信用甚至欺詐行為，因此，為了促進(jìn)電子商務(wù)的良性發(fā)展，有必要建立完善的信用體系。另一方面，我們也需要加強(qiáng)電子商務(wù)安全意識(shí)，不能總把利益放在第一位，要引起對(duì)安全性的足夠重視。

（3）用加密技術(shù)、安全認(rèn)證、交易協(xié)議等保護(hù)交易信息的安全

積極借鑒國(guó)外先進(jìn)經(jīng)驗(yàn)和技術(shù)，盡可能建立一套完整的電子商務(wù)安全體系；采用不同的加解密算法完善和提高電子商務(wù)交易安全，定期檢查更換交易密鑰。

（4）加強(qiáng)互聯(lián)網(wǎng)絡(luò)的安全性，防止信息泄漏

最常用的網(wǎng)絡(luò)安全保護(hù)手段是防火墻技術(shù)。電子商務(wù)內(nèi)外網(wǎng)和互聯(lián)網(wǎng)之間最好設(shè)置專用防火墻，這樣不僅可以提升內(nèi)部局域網(wǎng)絡(luò)的速度，同時(shí)還能阻止惡意病毒和木馬攻擊內(nèi)部網(wǎng)絡(luò)。

（5）加強(qiáng)電子商務(wù)的安全管理，構(gòu)建良好的電子商務(wù)環(huán)境

目前，我國(guó)電子商務(wù)發(fā)展的環(huán)境還存在不少虛擬環(huán)境的特有問(wèn)題，如領(lǐng)頭企業(yè)的資源整合能力有待提升，電子商務(wù)企業(yè)散、小，電子商務(wù)支付、物流等支撐服務(wù)能力有待于加強(qiáng)。電子商務(wù)交易的管理也需要進(jìn)一步加強(qiáng)。此外，為了構(gòu)建良好的電子商務(wù)環(huán)境，還需要增加第三方支付平臺(tái)和物流的支持。

4 結(jié)束語(yǔ)

基于目前我國(guó)的電子商務(wù)安全發(fā)展還處于初步階段，還有許多問(wèn)題需要解決，所以，我們要對(duì)電子商務(wù)安全給予足夠的重視，積極借鑒國(guó)外的先進(jìn)技術(shù)和經(jīng)驗(yàn)，在享受電子商務(wù)給我們帶來(lái)的便利的同時(shí)，也做到可以放心交易。

參考文獻(xiàn)：

[1]加里P·施奈德.電子商務(wù)[M].北京：機(jī)械工業(yè)出版社，2008.

[2]張愛(ài)菊.電子商務(wù)安全技術(shù)[M].北京：清華大學(xué)出版社，2006.

[3]李振汕.電子商務(wù)安全管理體系的構(gòu)建[J].計(jì)算機(jī)安全，2010，17（10）：65-70.

[4]王建宏，李廣振，閔旭光.電子商務(wù)安全技術(shù)研究[J].中國(guó)商貿(mào)，2009，16（12）：16-19.

[5]賈樹(shù)良，樊鑫國(guó).電子商務(wù)安全問(wèn)題分析[J].遼寧工程技術(shù)大學(xué)學(xué)報(bào)，2009，25（3）：83-85.

[6]柳艷茹.淺談電子商務(wù)的安全問(wèn)題[J].赤峰學(xué)院學(xué)報(bào)，2012，28（8）：51-53.

[7]王改香.淺談電子商務(wù)安全策略[J].電腦知識(shí)與技術(shù)，2008，4（3）：559-560.

[8]李巖，宋朝.電子商務(wù)安全現(xiàn)狀及對(duì)策研究[J].經(jīng)濟(jì)研究，2011，9（6）：59-62.

[9]許寧寧.電子商務(wù)安全的現(xiàn)狀與趨勢(shì)[J].中國(guó)電子商務(wù)，2010，13（8）：91-93.

[10]張建兵.電子商務(wù)安全問(wèn)題解析[J].現(xiàn)代商貿(mào)工業(yè)，2009，8（21）：123-126.

[11]趙全.網(wǎng)絡(luò)安全與電子商務(wù)[M].北京：清華大學(xué)出版社，2005.

[12]譚遜，王學(xué)芳，譚翊.淺談我國(guó)電子商務(wù)安全現(xiàn)狀[J].科技資訊，2007，10（11）：140-143.

[13]http：//.cn/cj/cj-xfsh/news/2009/12-03/1997652.shtml.中國(guó)經(jīng)濟(jì)時(shí)報(bào)，2009，12，3.

[14]唐作莉.電子商務(wù)安全技術(shù)研究[D].貴州大學(xué)碩士研究生學(xué)位論文，2008.

[15]張慶麗.電子商務(wù)安全策略研究[D].河南大學(xué)碩士研究生學(xué)位論文，2012.

[16]關(guān)鐵軍.電子商務(wù)安全策略研究[D].北京郵電大學(xué)碩士研究生學(xué)位論文，2008.

第9篇

關(guān)鍵詞：電子商務(wù) 信息安全 安全技術(shù)

伴隨經(jīng)濟(jì)的迅猛發(fā)展，電子商務(wù)成為當(dāng)今世界商務(wù)活動(dòng)的新模式。要在國(guó)際競(jìng)爭(zhēng)中贏得優(yōu)勢(shì)，必須保證電子商務(wù)中信息交流的安全。

一、電子商務(wù)的信息安全問(wèn)題

電子商務(wù)信息安全問(wèn)題主要有：

1.信息的截獲和竊取：如果采用加密措施不夠，攻擊者通過(guò)互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過(guò)網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)，獲取機(jī)密信息或通過(guò)對(duì)信息流量、流向、通信頻度和長(zhǎng)度分析，推測(cè)出有用信息。2.信息的篡改：當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后，通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地，破壞信息完整性。3.信息假冒：當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后，假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。4.交易抵賴：交易抵賴包括多方面，如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息、購(gòu)買(mǎi)者做了定貨單不承認(rèn)等。

二、信息安全要求

電子商務(wù)的安全是對(duì)交易中涉及的各種信息的可靠性、完整性和可用性保護(hù)。信息安全包括以下幾方面:

1.信息保密性：維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障。由于建立在開(kāi)放網(wǎng)絡(luò)環(huán)境中，要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性：貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)，影響到交易和經(jīng)營(yíng)策略。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹模A(yù)防對(duì)信息隨意生成、修改和刪除，防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.信息有效性：保證信息有效性是開(kāi)展電子商務(wù)前提，關(guān)系到企業(yè)或國(guó)家的經(jīng)濟(jì)利益。對(duì)網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效。4.信息可靠性：確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。為防止計(jì)算機(jī)失效、程序錯(cuò)誤、系統(tǒng)軟件錯(cuò)誤等威脅，通過(guò)控制與預(yù)防確保系統(tǒng)安全可靠。

三、信息安全技術(shù)

1.防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障，根據(jù)指定策略對(duì)數(shù)據(jù)過(guò)濾、分析和審計(jì)，并對(duì)各種攻擊提供防范。安全策略有兩條：一是“凡是未被準(zhǔn)許就是禁止”。防火墻先封閉所有信息流，再審查要求通過(guò)信息，符合條件就通過(guò)；二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息，然后逐項(xiàng)剔除有害內(nèi)容。

防火墻技術(shù)主要有：(1)包過(guò)濾技術(shù)：在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過(guò)，核心是安全策略即過(guò)濾算法設(shè)計(jì)。(2)服務(wù)技術(shù)：提供應(yīng)用層服務(wù)控制，起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù)：在網(wǎng)絡(luò)層完成所有必要的包過(guò)濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù)：把過(guò)濾和服務(wù)兩種方法結(jié)合形成新防火墻，所用主機(jī)稱為堡壘主機(jī)，提供服務(wù)。(5)審計(jì)技術(shù)：通過(guò)對(duì)網(wǎng)絡(luò)上發(fā)生的訪問(wèn)進(jìn)程記錄和產(chǎn)生日志，對(duì)日志統(tǒng)計(jì)分析，對(duì)資源使用情況分析，對(duì)異常現(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù)：加密路由器對(duì)通過(guò)路由器的信息流加密和壓縮，再通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。　2.加密技術(shù)。為保證數(shù)據(jù)和交易安全，確認(rèn)交易雙方的真實(shí)身份，電子商務(wù)采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有：(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過(guò)程是貿(mào)易方甲生成一對(duì)密鑰并將其中一把作為公開(kāi)密鑰公開(kāi)；得到公開(kāi)密鑰的貿(mào)易方乙對(duì)信息加密后再發(fā)給貿(mào)易方甲：貿(mào)易方甲用另一把專用密鑰對(duì)加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請(qǐng)對(duì)方發(fā)信息將公共密鑰傳給對(duì)方，保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋，有固定長(zhǎng)度且不同明文摘要成密文結(jié)果不同，而同樣明文摘要必定一致。這串摘要成為驗(yàn)證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書(shū)面文件上簽名是確認(rèn)文件的手段。簽名作用有兩點(diǎn)：一是因?yàn)樽约汉灻y以否認(rèn)，從而確認(rèn)文件已簽署；二是因?yàn)楹灻灰追旅埃瑥亩_定文件為真。(4)數(shù)字時(shí)間戳: 電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容，數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)。

3.認(rèn)證技術(shù)。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份，驗(yàn)證信息完整性，確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改。(1)數(shù)字證書(shū):也叫數(shù)字憑證、數(shù)字標(biāo)識(shí)，用電子手段證實(shí)用戶身份及對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限，可控制被查看的數(shù)據(jù)庫(kù)，提高總體保密性。交易支付過(guò)程中，參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書(shū)證明身份。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心。無(wú)論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書(shū)發(fā)放，都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu)，受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)管理。

4.防病毒技術(shù)。(1)預(yù)防病毒技術(shù)，通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲取系統(tǒng)控制權(quán)，監(jiān)視系統(tǒng)中是否有病毒，阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)破壞。(2)檢測(cè)病毒技術(shù)，通過(guò)對(duì)計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測(cè)技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度變化。(3)消除病毒技術(shù)，通過(guò)對(duì)計(jì)算機(jī)病毒分析，開(kāi)發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度，可以清除處于潛伏期的病毒，防止病毒突然爆發(fā)，使計(jì)算機(jī)始終處于良好工作狀態(tài)。

四、結(jié)語(yǔ)

信息安全是電子商務(wù)的核心。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù)，提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠，還必須完善電子商務(wù)立法，以規(guī)范存在的各類問(wèn)題，引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn):

[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006

第10篇

析得出云計(jì)算安全方面所面臨的難題，針對(duì)這些問(wèn)題提出了解決安全問(wèn)題。

[關(guān)鍵詞]云計(jì)算；計(jì)算平臺(tái)；電子商務(wù)； 安全

中圖分類號(hào)：F724.6 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2015）27-0060-01

一、云計(jì)算的概念和特點(diǎn)

（一）云計(jì)算的內(nèi)涵。云計(jì)算是網(wǎng)格計(jì)算、分布式計(jì)算、虛擬化、并行計(jì)算、效用計(jì)算、負(fù)載均衡、網(wǎng)絡(luò)存儲(chǔ)等傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。云計(jì)算的目的是通過(guò)網(wǎng)絡(luò)把多個(gè)低成本的計(jì)算實(shí)體整合成一個(gè)具有強(qiáng)大“性價(jià)比”的計(jì)算機(jī)應(yīng)用系統(tǒng)，并借助SaaS、PaaS、IaaS、MSP等先進(jìn)的商業(yè)模式把這強(qiáng)大的計(jì)算能力分布到終端用戶手中。云計(jì)算的一個(gè)核心理念就是通過(guò)不斷提高“云”的處理能力，進(jìn)而減少用戶終端的處理負(fù)擔(dān)，最終使用戶終端簡(jiǎn)化成一個(gè)單純的輸入輸出設(shè)備，并能按需享受“云”的強(qiáng)大計(jì)算處理能力。云計(jì)算的核心思想就是將大量用網(wǎng)絡(luò)連接的計(jì)算資源統(tǒng)一管理、調(diào)度及分配，構(gòu)成一個(gè)計(jì)算資源“池”向用戶按需服務(wù)。

（二）云計(jì)算的特點(diǎn)。云計(jì)算是一種商業(yè)計(jì)算模型，它將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算力、存儲(chǔ)空間和信息服務(wù)；云計(jì)算也是通過(guò)網(wǎng)絡(luò)按需提供可動(dòng)態(tài)伸縮的廉價(jià)計(jì)算服務(wù)。“云”中的資源在使用者看來(lái)是可以無(wú)限擴(kuò)展的，并且可以隨時(shí)獲取，按需使用，隨時(shí)擴(kuò)展，按使用付費(fèi)。這種特性經(jīng)常被稱為像水電一樣使用IT基礎(chǔ)設(shè)施。云計(jì)算是并行計(jì)算、分布式計(jì)算和網(wǎng)格計(jì)算的發(fā)展，或者說(shuō)是這些計(jì)算機(jī)科學(xué)概念的商業(yè)實(shí)現(xiàn)。云計(jì)算是虛擬化、公用計(jì)算、基礎(chǔ)設(shè)施即服務(wù)、平臺(tái)即服務(wù)、軟件即服務(wù)等概念混合演進(jìn)并躍升的結(jié)果，其特點(diǎn)如下：

1、數(shù)據(jù)存儲(chǔ)安全。云計(jì)算提供了最可靠、最安全的數(shù)據(jù)存儲(chǔ)中心，用戶不用再擔(dān)心數(shù)據(jù)丟失、病毒入侵等麻煩。當(dāng)你的文檔保存在類似Google Docs的網(wǎng)絡(luò)服務(wù)上，當(dāng)你把自己的照片上傳到類似Google Picasa Web的網(wǎng)絡(luò)相冊(cè)里，你就再也不用擔(dān)心數(shù)據(jù)的丟失或損壞。因?yàn)樵凇霸啤钡牧硪欢耍腥澜缱顚I(yè)的團(tuán)隊(duì)來(lái)幫你管理信息，有全世界最先進(jìn)的數(shù)據(jù)中心來(lái)幫你保存數(shù)據(jù)。

2、用戶使用方便。云計(jì)算對(duì)用戶端的設(shè)備要求低，但使用起來(lái)方便。你可以在瀏覽器中直接編輯存儲(chǔ)在“云”的另一端的文檔，你可以隨時(shí)與相關(guān)聯(lián)系人分享信息，再也不用擔(dān)心你的軟件是否是最新版本，再也不用為軟件或文檔染上病毒而發(fā)愁。因?yàn)樵凇霸啤钡牧硪欢耍袑I(yè)的計(jì)算機(jī)專業(yè)人員幫你維護(hù)硬件，幫你安裝和升級(jí)軟件，幫你防范病毒和各類網(wǎng)絡(luò)攻擊，幫你做你以前在個(gè)人電腦上所做的一切。

3、數(shù)據(jù)存儲(chǔ)力強(qiáng)。云計(jì)算為我們使用網(wǎng)絡(luò)提供了幾乎無(wú)限多的個(gè)人電腦或其他電子設(shè)備不可能提供無(wú)限量的存儲(chǔ)空間和計(jì)算能力，但在“云”的另一端，由數(shù)千臺(tái)、數(shù)萬(wàn)臺(tái)甚至更多服務(wù)器組成的龐大集群卻可以輕易地做到這一點(diǎn)。個(gè)人和單個(gè)設(shè)備的能力是有限的，但云計(jì)算的潛力卻幾乎是無(wú)限的。

二、基于云計(jì)算平臺(tái)的電子商務(wù)安全策略分析

（一）信息安全問(wèn)題是基于云計(jì)算平臺(tái)的電子商務(wù)安全策略分析的首要問(wèn)題。由于電子商務(wù)交易是在開(kāi)放、共享的互聯(lián)網(wǎng)環(huán)境下進(jìn)行的，這就要求：提供電子商務(wù)服務(wù)的企業(yè)平臺(tái)一定要穩(wěn)定可靠，能提供安全的信息服務(wù)。這首先對(duì)企業(yè)的硬件基礎(chǔ)設(shè)施建設(shè)提出了一項(xiàng)難題。硬件設(shè)施的老化、物理?yè)p壞、網(wǎng)絡(luò)硬件故障等，都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常開(kāi)展工作。從企業(yè)尤其是中小企業(yè)的角度來(lái)考慮，自身硬件平臺(tái)的資金投入度，數(shù)據(jù)的備份冗余度等指標(biāo)，遠(yuǎn)不能與大企業(yè)同日而語(yǔ)，因此如果轉(zhuǎn)而去選擇實(shí)力強(qiáng)大的云計(jì)算服務(wù)，就可揚(yáng)長(zhǎng)避短，把有限的資金投入到核心商務(wù)運(yùn)作中。

（二）軟件平臺(tái)的系列邏輯工作是基于云計(jì)算平臺(tái)的電子商務(wù)安全策略分析的應(yīng)用型問(wèn)題。因?yàn)槿魏诬浖脚_(tái)的正常和非正常的中斷，如軟件邏輯發(fā)生錯(cuò)誤、計(jì)算機(jī)病毒爆發(fā)等因素，也會(huì)使得電子商務(wù)貿(mào)易數(shù)據(jù)發(fā)生丟失，造成巨大的經(jīng)濟(jì)損失。而云計(jì)算的數(shù)據(jù)存儲(chǔ)具有高度冗余化的性能，如果當(dāng)前出現(xiàn)了對(duì)數(shù)據(jù)的誤操作，要想恢復(fù)時(shí)，則有眾多冗余的原始數(shù)據(jù)供你恢復(fù)。軟件的業(yè)務(wù)邏輯也可在高度靈活的云計(jì)算平臺(tái)下被快速重新組織，各種應(yīng)用也可隨之高效恢復(fù)。

（三）用戶終端的安全是基于云計(jì)算平臺(tái)的電子商務(wù)安全策略分析的重要問(wèn)題。云計(jì)算技術(shù)對(duì)于用戶終端的保護(hù)也提供了有力的支持。對(duì)于傳統(tǒng)反病毒廠商而言，云計(jì)算技術(shù)的引入可以極大地提升其對(duì)病毒樣本的收集能力，減少威脅的響應(yīng)時(shí)間。其強(qiáng)大的數(shù)據(jù)運(yùn)算與同步調(diào)度能力，可以極大地提升安全公司對(duì)新威脅的響應(yīng)速度。目前，國(guó)內(nèi)的瑞星、360、金山安全聯(lián)手微軟MSN及時(shí)推出的Messenger保護(hù)盾等都已打出了“云安全”的旗幟，在惡意代碼收集及應(yīng)急響應(yīng)方面充分利用了云計(jì)算的顯著特點(diǎn)。

三、基于云計(jì)算平臺(tái)的電子商務(wù)安全策略研究及應(yīng)用

（一）基于云計(jì)算平臺(tái)解決好電子商務(wù)中的四大安全隱患。由于在互聯(lián)網(wǎng)設(shè)計(jì)之初，只考慮方便性、開(kāi)放性，使得互聯(lián)網(wǎng)絡(luò)極易受到黑客的攻擊或有組織的群體的入侵，使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞，信息泄露。因此，電子商務(wù)中的安全隱患大致有四種：1、信息的截獲和竊取；2、信息的篡改；3、信息的假冒；4、交易抵賴

（二）基于云計(jì)算平臺(tái)解決好電子商務(wù)中的信息及數(shù)據(jù)的安全存儲(chǔ)問(wèn)題。當(dāng)自然災(zāi)害、硬件設(shè)施遭到損壞和故障等情況發(fā)生，云計(jì)算服務(wù)供應(yīng)商應(yīng)該采用更加安全、有效的存儲(chǔ)技術(shù)。一旦主設(shè)備遭到損壞或發(fā)生故障，馬上切換到另外一套鏡像設(shè)備。同時(shí)，電子商務(wù)企業(yè)也需要定期將重要的數(shù)據(jù)進(jìn)行備份。

（三）基于云計(jì)算平臺(tái)解決好電子商務(wù)中的云計(jì)算服務(wù)供應(yīng)商的科學(xué)選擇問(wèn)題。在構(gòu)建基于云計(jì)算模式的電子商務(wù)平臺(tái)之前，電子商務(wù)企業(yè)應(yīng)根據(jù)企業(yè)自身需求來(lái)選擇規(guī)模較大、品牌較好的云計(jì)算服務(wù)供應(yīng)商，并詳細(xì)詢問(wèn)數(shù)據(jù)存放地，確認(rèn)在發(fā)生云計(jì)算服務(wù)供應(yīng)商終止服務(wù)或被其他公司收購(gòu)等情況下，自己的數(shù)據(jù)會(huì)不會(huì)受到影響，如何拿回自己的數(shù)據(jù)，以及拿回的數(shù)據(jù)是否能導(dǎo)入替代的應(yīng)用程序等一系列問(wèn)題。

（四）基于云計(jì)算平臺(tái)促使電子商務(wù)相關(guān)法律法規(guī)及標(biāo)準(zhǔn)的完善

1、相關(guān)法律法規(guī)的完善。由于云計(jì)算的涉及面很廣，需要一個(gè)全球法律協(xié)議來(lái)保障電子商務(wù)企業(yè)和云計(jì)算供應(yīng)商的利益。該協(xié)議的內(nèi)容應(yīng)詳細(xì)地確定服務(wù)水平的監(jiān)控和測(cè)量、用戶和云計(jì)算供應(yīng)商的職責(zé)和責(zé)任、災(zāi)難的恢復(fù)和補(bǔ)償?shù)纫幌盗袉?wèn)題，這樣有利于云計(jì)算服務(wù)供應(yīng)商提供更好的服務(wù)。

2、云計(jì)算公共標(biāo)準(zhǔn)的制定。到目前為止，包括Google、IBM、微軟、亞馬遜在內(nèi)的各個(gè)云計(jì)算供應(yīng)商都有一套自己的標(biāo)準(zhǔn)，彼此互不兼容。為了云計(jì)算的健康發(fā)展，就必須要聯(lián)合各個(gè)云計(jì)算相關(guān)的組織和企業(yè)制定出正式的、開(kāi)放的云計(jì)算公共標(biāo)準(zhǔn)。

綜上所述，云計(jì)算是以公開(kāi)的標(biāo)準(zhǔn)和服務(wù)為基礎(chǔ)，以互聯(lián)網(wǎng)為中心，提供安全、快速、便捷的數(shù)據(jù)存儲(chǔ)和網(wǎng)絡(luò)計(jì)算服務(wù)，讓互聯(lián)網(wǎng)這片“云”成為每一個(gè)網(wǎng)民的數(shù)據(jù)中心和計(jì)算中心。其應(yīng)用將積極地改進(jìn)電子商務(wù)的服務(wù)方式和功能，極大地提高電子商務(wù)企業(yè)的核心競(jìng)爭(zhēng)力，但同時(shí)也給電子商務(wù)企業(yè)帶來(lái)了新的挑戰(zhàn)。同時(shí)，需要基于云計(jì)算平臺(tái)促使電子商務(wù)相關(guān)法律法規(guī)及標(biāo)準(zhǔn)的完善，用法律制度、管理制度和誠(chéng)信制度來(lái)推動(dòng)我國(guó)電子商務(wù)行業(yè)的健康、持續(xù)發(fā)展。

參考文獻(xiàn)

第11篇

關(guān)鍵詞：電子交易；信息安全；網(wǎng)絡(luò)技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）02-0428-02

電子商務(wù)其中包含了信息流、資金流以及物流等，在我國(guó)的經(jīng)濟(jì)大發(fā)展中是一個(gè)熱點(diǎn)問(wèn)題，但是我們國(guó)家電子商務(wù)在發(fā)展過(guò)程中還存在這基礎(chǔ)設(shè)施不足，電子支付平臺(tái)安全性得不到保障等一系列的問(wèn)題，嚴(yán)重地影響了電子商務(wù)的發(fā)展。電子商務(wù)的迅猛發(fā)展，已經(jīng)是人們進(jìn)行電子商務(wù)活動(dòng)的主要業(yè)務(wù)平臺(tái)和新的商務(wù)交易模式。和傳統(tǒng)的線下交易不同，線上的交易面臨的安全威脅各種各樣，比如網(wǎng)絡(luò)黑客、釣魚(yú)木馬、病毒等均來(lái)自Internet的攻擊。在嚴(yán)重復(fù)雜的情況下時(shí)候還有可能會(huì)造成交易雙方的經(jīng)濟(jì)利益受到損失。這說(shuō)明，數(shù)據(jù)的安全問(wèn)題是目前制約這我國(guó)電子商務(wù)快速發(fā)展的重要原因之一。建立一個(gè)安全、方便、快捷的電子商務(wù)應(yīng)用的網(wǎng)絡(luò)平臺(tái)，確保在整個(gè)交易活動(dòng)過(guò)程中，貿(mào)易雙方信息的絕對(duì)安全，使得整個(gè)基于Internet的線上交易和傳統(tǒng)的線下交易一樣可靠和安全，已經(jīng)成為人們十分關(guān)注的一個(gè)技術(shù)問(wèn)題。

1 電子商務(wù)交易的安全分析

1.1 我國(guó)電子商務(wù)目前面臨的安全威脅

這些年來(lái)的影響越來(lái)越大，由于電子商務(wù)的交易活動(dòng)是一個(gè)在開(kāi)放的虛擬的線上進(jìn)行，最容易會(huì)受到來(lái)自第三方和黑客的攻擊，安全方面發(fā)生率較高的威脅事件普遍有以下幾個(gè)：信息泄漏、信息破壞、不進(jìn)行身份識(shí)別、黑客。

1）攻擊者利用技術(shù)手段通過(guò)截獲工具截獲網(wǎng)絡(luò)上機(jī)密、加密的數(shù)據(jù)并通過(guò)分析軟件分析出有用的數(shù)據(jù)，交易的雙方的信息被第三方盜竊，這樣交易的其中一方的文件會(huì)被攻擊者所使用。木馬常常被潛伏于計(jì)算機(jī)系統(tǒng)中，其具有的隱蔽性、指令控制方便等特點(diǎn)。一般是通過(guò)指令控制為主，很多的數(shù)客高手會(huì)在網(wǎng)絡(luò)入侵的時(shí)候就已經(jīng)將木馬植入。

2）交易信息在傳輸過(guò)程中被他人非法修改，刪除使信息失去了真實(shí)性。主要利用互聯(lián)網(wǎng)上計(jì)算機(jī)系統(tǒng)的漏洞入侵系統(tǒng)，計(jì)算機(jī)病毒傳播的速度異常快，甚至幾小時(shí)傳遍整個(gè)互聯(lián)網(wǎng)。

3）假如對(duì)真實(shí)身份進(jìn)行有效的識(shí)別，攻擊者就有可能假冒交易的期中一方介入到整個(gè)交易的過(guò)程中，來(lái)壞信譽(yù)、破壞交易，最終騙取到錢(qián)財(cái)。

4）往往黑客會(huì)利用自己扎實(shí)的計(jì)算機(jī)專業(yè)技術(shù)，對(duì)Internet上的一些信息數(shù)據(jù)進(jìn)行偽造和修改，有可能會(huì)造成嚴(yán)重的惡劣事件以及經(jīng)濟(jì)方面的損失。分布式的拒絕服務(wù)攻擊就是目前攻擊者們最喜歡和最經(jīng)常采用而且是比較難防范的攻擊手段之一，攻擊輕就會(huì)出現(xiàn)網(wǎng)絡(luò)擁塞，如果將其與病毒結(jié)合起來(lái)，潛在的損失、威脅造成的后果將是非常嚴(yán)峻的。

1.2 目前電子商務(wù)網(wǎng)絡(luò)環(huán)境對(duì)信息安全的要求

由于目前網(wǎng)絡(luò)環(huán)境對(duì)信息安全的威脅，所以對(duì)電子商務(wù)平臺(tái)網(wǎng)絡(luò)環(huán)境的安全要求：OS的可靠性、電子商務(wù)交易的真實(shí)性、資料的完整性、資料的安全性、交易的不可抵賴性。

1）操作系統(tǒng)的可靠性，是為了防止傳輸?shù)腻e(cuò)誤，計(jì)算機(jī)的硬件的故障，以及計(jì)算機(jī)病毒存在的潛在威脅，通過(guò)預(yù)防、控制等手段來(lái)確保系統(tǒng)的安全可靠。

2） 電子商務(wù)交易身份的真實(shí)性，是電商的買(mǎi)賣雙方都不在同一個(gè)地方，交易可以在支付完成前對(duì)方身份的可靠性來(lái)進(jìn)行確認(rèn)，賣方會(huì)考慮在履行約定之后是否能受到買(mǎi)方的貨款，買(mǎi)方要考慮在線支付了貨款后能不能保質(zhì)受到商品。

3） 資料的完整性是網(wǎng)上傳輸?shù)馁Y料信息不會(huì)被篡改。但是在信息的傳輸過(guò)程中，往往會(huì)有意外欺騙的情況發(fā)生，數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中可能會(huì)發(fā)生丟失等有可能會(huì)使交易雙方收到的信息不一樣，直接影響交易結(jié)果，確保網(wǎng)絡(luò)中傳輸?shù)男畔⑼暾允悄壳半娮由虅?wù)的應(yīng)用最基本的條件之一。

4） 數(shù)據(jù)的安全性，也就是線上交易的過(guò)程中數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸安全性，保必須證信息不會(huì)泄露給非授權(quán)方，不會(huì)被篡改和竊取。必須確保只有合法的用戶才可以看到最終真實(shí)的數(shù)據(jù)。

5） 線上交易的不可抵賴性，保證電子商務(wù)交易雙方不能否認(rèn)自己已經(jīng)發(fā)送了的信息，在這同時(shí)，信息的接受方也不能否認(rèn)已經(jīng)接收到了信息，交易一旦已經(jīng)形成，原發(fā)送方就不能抵賴所發(fā)信息，接收方也不能否認(rèn)已經(jīng)接收到發(fā)送方的信息了。這就要求電子交易的網(wǎng)絡(luò)通信過(guò)程中各個(gè)環(huán)節(jié)的都不能被否認(rèn)，都沒(méi)有辦法推脫其義務(wù)和責(zé)任。

2 目前電子商務(wù)主要的安全技術(shù)

2.1 網(wǎng)絡(luò)環(huán)境的安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境安全涉及到的技術(shù)是非常多的，可以在網(wǎng)絡(luò)中使用虛擬專用網(wǎng)技術(shù)（VPN）、漏洞的檢測(cè)技術(shù)、防火墻火墻技術(shù)和操作系統(tǒng)本身的安全功能技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)是實(shí)際上就是一種防止外網(wǎng)的非法用戶入利用技術(shù)手段入侵訪問(wèn)內(nèi)部網(wǎng)絡(luò)的資源，起到保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境安全的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它采用的方法就是按照各種安全策略具體的部署要求，對(duì)網(wǎng)絡(luò)上沒(méi)有授權(quán)的訪問(wèn)用戶的數(shù)據(jù)進(jìn)行有效屏蔽和修改，確保內(nèi)部網(wǎng)絡(luò)系統(tǒng)和用戶數(shù)據(jù)的安全。目前的防火墻技術(shù)有服務(wù)、包過(guò)濾等。漏洞檢測(cè)主要是依據(jù)先前設(shè)置好的安全策略對(duì)數(shù)據(jù)進(jìn)行有效的分析和審計(jì)。虛擬專用網(wǎng)（VPN）就是利用隧道的加密技術(shù)，能夠使數(shù)據(jù)在Interne中傳播的安全。操作系統(tǒng)本身也有很多安全風(fēng)險(xiǎn)，系統(tǒng)的漏洞要及時(shí)查補(bǔ)，防止木馬和病毒在網(wǎng)上惡意傳播。

2.2 數(shù)據(jù)加密技術(shù)

電子商務(wù)的安全措施之一就是對(duì)數(shù)據(jù)進(jìn)行有效加密，網(wǎng)絡(luò)中數(shù)據(jù)的安全主要依賴于密碼技術(shù)來(lái)解決。數(shù)據(jù)加密就是對(duì)在Internet中正在傳輸中的數(shù)據(jù)流根據(jù)某種加密算法進(jìn)行有效加密，就目前而言，對(duì)數(shù)據(jù)進(jìn)行加密常用的是對(duì)稱密鑰加密技術(shù)、非對(duì)稱密鑰加密技術(shù)。對(duì)稱加密實(shí)際上就是加密或解密都是用同一個(gè)相同密鑰，對(duì)稱密鑰的加技術(shù)的安全性主要是依賴于密鑰，如果把密鑰泄露出去了，這也就說(shuō)明所有人都能對(duì)數(shù)據(jù)進(jìn)行加密或者解密。其優(yōu)點(diǎn)是使用比較簡(jiǎn)單，加密的速度也是很快的比較適用對(duì)大量的數(shù)據(jù)加密；缺點(diǎn)是在傳輸?shù)倪^(guò)程中不能保證密鑰的安全，目前常用的有IBM公司的DES算法。非對(duì)稱加密技術(shù)也叫公開(kāi)密鑰加密技術(shù)，其將密鑰分為公鑰、私鑰，兩者形成了一個(gè)密鑰對(duì)，將公鑰對(duì)外界開(kāi)放，私鑰則通常由者自己本人保存著。目前常用的非對(duì)稱加密算法主要為RSA和DSS等等。

2.3 交易過(guò)程中的認(rèn)證技術(shù)

對(duì)網(wǎng)絡(luò)中交易數(shù)據(jù)的基本加密是不能滿易絕對(duì)安全的，還需要對(duì)用戶信息進(jìn)一步的識(shí)別、認(rèn)證。認(rèn)證技術(shù)是電子商務(wù)的不可缺少的重要技術(shù)手段，其主要的目的就是用來(lái)識(shí)別和認(rèn)證交易雙方身份的真實(shí)性，防止被第三者通過(guò)技術(shù)手段冒名頂替。其主要技術(shù)手段包括了數(shù)字簽名、數(shù)字摘要、數(shù)字時(shí)間戳、數(shù)字證書(shū)等。通過(guò)數(shù)字簽名能夠解決否認(rèn)、偽造、篡改、和冒充等問(wèn)題，數(shù)字簽名算法有：Hash簽名、DSS簽名、RSA簽名等。數(shù)字摘要?jiǎng)t是采用單向的Hash函數(shù)來(lái)對(duì)傳輸文件的中若干個(gè)重要元素進(jìn)行某種變換運(yùn)算，最終得到一定長(zhǎng)度的摘要碼，此方法解決了交易信息在電子商務(wù)中的完整性。利用數(shù)字證書(shū)技術(shù)來(lái)證明一個(gè)用戶的身份以及用戶對(duì)網(wǎng)絡(luò)的使用權(quán)限，目前是被廣泛采用的一項(xiàng)技術(shù)之一。

3 安全策略

在網(wǎng)絡(luò)安全技術(shù)防范實(shí)施的同時(shí)，首先要保證電腦自己本身的安全，可以對(duì)補(bǔ)丁定時(shí)更新，這樣可以使系統(tǒng)漏洞減少。按時(shí)對(duì)Internet環(huán)境進(jìn)行掃描并分析，得出分析報(bào)告。這樣來(lái)可以在黑客和病毒攻擊前就進(jìn)行有效的預(yù)防，可以將損失降低到最小。再次，還要在Internet上安裝入侵檢測(cè)系統(tǒng)和防火墻，來(lái)對(duì)網(wǎng)絡(luò)上設(shè)置好全方位的安全策略，對(duì)信息進(jìn)行充分有效的過(guò)濾。隨著黑客日趨多樣化的攻擊手法和攻擊方法，單純靠防火墻技術(shù)是不能滿足對(duì)信息安全的需求，還是需要在防火墻的基礎(chǔ)上建立一個(gè)入侵檢測(cè)系統(tǒng)來(lái)對(duì)Internet信息安全和計(jì)算機(jī)系統(tǒng)的運(yùn)行狀況進(jìn)行有效監(jiān)測(cè)，盡可能早地發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)的各種攻擊行為。最后，要加強(qiáng)數(shù)據(jù)備份，并且還要留有備份鏈路，通過(guò)備份工具來(lái)應(yīng)對(duì)攻擊者的攻擊。

在Internet上信息的安全保證方面：可以使用數(shù)字證書(shū)技術(shù)和SSL安全通信協(xié)議，對(duì)于交易相對(duì)簡(jiǎn)單的B2C，就采用相對(duì)簡(jiǎn)單易行的SSL單向認(rèn)證技術(shù)來(lái)實(shí)現(xiàn)。對(duì)于在信息安全上要求嚴(yán)格的B2B，就要通過(guò)身份認(rèn)證技術(shù)來(lái)進(jìn)行嚴(yán)格安全的管理；對(duì)于涉及到商業(yè)機(jī)密的，要對(duì)數(shù)據(jù)進(jìn)行加密后再在網(wǎng)絡(luò)上傳輸；對(duì)于保證不可抵賴性，可以用數(shù)字簽名技術(shù)來(lái)保證合同和交易的完整性。交易要建立好保密制度，并且要求要嚴(yán)格。

4 結(jié)論

總之，電子商務(wù)安全是個(gè)非常復(fù)雜的問(wèn)題，它的保障必須是多層次的，需要網(wǎng)絡(luò)安全技術(shù)的不斷進(jìn)步，但僅僅靠通過(guò)技術(shù)手段來(lái)防范還是遠(yuǎn)遠(yuǎn)不夠的，同時(shí)也需要管理上的會(huì)有進(jìn)步，還需要從法律法規(guī)和國(guó)家道德層面等方面入手，來(lái)努力推動(dòng)和促進(jìn)我國(guó)電子商務(wù)的有序健康快速發(fā)展。

參考文獻(xiàn)：

第12篇

[關(guān)鍵詞]電子商務(wù)系統(tǒng)評(píng)估

一、電子商務(wù)和電子商務(wù)系統(tǒng)

1.電子商務(wù)。電子商務(wù)（EC）是英文“ElectronicCommerce”的中譯文。電子商務(wù)指的是通過(guò)簡(jiǎn)單、快捷、低成本的電子通信方式，買(mǎi)賣雙方不謀面地進(jìn)行的各種商務(wù)活動(dòng)。由于電子商務(wù)擁有巨大的商機(jī)，從傳統(tǒng)產(chǎn)業(yè)到專業(yè)網(wǎng)站都對(duì)開(kāi)展電子商務(wù)有著十分濃厚的興趣，電子商務(wù)熱潮已經(jīng)在全世界范圍內(nèi)興起。電子商務(wù)內(nèi)容包括兩個(gè)方面：一是電子方式；二是商務(wù)活動(dòng)。

2.電子商務(wù)系統(tǒng)。電子商務(wù)系統(tǒng)涉及企業(yè)的各個(gè)方面，是一個(gè)綜合的系統(tǒng)，電子商務(wù)系統(tǒng)主要有以下幾個(gè)部分組成:(1）電子商務(wù)基礎(chǔ)平臺(tái)。包括負(fù)荷均衡、連接/傳輸管理、網(wǎng)站管理、數(shù)據(jù)管理、事務(wù)管理和安全管理等部分。(2）企業(yè)內(nèi)部信息系統(tǒng)。包括企業(yè)內(nèi)部MIS、EDP和DDS等子系統(tǒng)。(3)電子商務(wù)服務(wù)平臺(tái)。包括支付網(wǎng)關(guān)接口、客戶關(guān)系管理、內(nèi)容管理、認(rèn)證中心接口、搜索引擎和商務(wù)智能工具等。(4)電子商務(wù)應(yīng)用系統(tǒng)。電子商務(wù)應(yīng)用系統(tǒng)以實(shí)現(xiàn)企業(yè)的商務(wù)目的為目標(biāo)，使用各種與Internet有關(guān)的技術(shù)手段，在Web上建立起自己的電子商務(wù)應(yīng)用系統(tǒng)，是電子商務(wù)系統(tǒng)的核心。電子商務(wù)應(yīng)用系統(tǒng)是應(yīng)用開(kāi)發(fā)人員根據(jù)企業(yè)的特定應(yīng)用背景和需要而開(kāi)發(fā)出來(lái)的，對(duì)企業(yè)的電子商務(wù)活動(dòng)提供具體的支持。(5)電子商務(wù)應(yīng)用平臺(tái)。電子商務(wù)應(yīng)用平臺(tái)直接面對(duì)電子商務(wù)系統(tǒng)的最終用戶，建立在電子商務(wù)系統(tǒng)的頂層。電子商務(wù)系統(tǒng)平臺(tái)以Web服務(wù)器為核心。作用一是作為與用戶的接口，接受用戶的各種請(qǐng)求，并將用戶的請(qǐng)求傳遞給應(yīng)用系統(tǒng);二是將應(yīng)用系統(tǒng)的結(jié)果以不同的形式表達(dá)，將其提供給不同的用戶形象終端（個(gè)人電腦、個(gè)人數(shù)字助理、掌上電腦、無(wú)線移動(dòng)通訊設(shè)備等）。(6)安全保障環(huán)境。主要包括安全體系、安全策略和安全措施等。安全策略負(fù)責(zé)電子商務(wù)系統(tǒng)的安全提高,是企業(yè)保障電子商務(wù)系統(tǒng)安全的指導(dǎo)原則;安全體系利用各種安全手段設(shè)置安全防線、防范各種非法訪問(wèn)和攻擊,安全體系需要各種必需的設(shè)備和關(guān)鍵技術(shù)。

二、電子商務(wù)系統(tǒng)評(píng)估關(guān)注的主要因素

1.市場(chǎng)關(guān)注程度:是分析企業(yè)目前乃至將來(lái)經(jīng)營(yíng)情況的基礎(chǔ)性數(shù)據(jù)。

2.經(jīng)營(yíng)情況分析:分析成本、盈利水平和投資回報(bào)是否達(dá)到規(guī)劃的目標(biāo)。

3.市場(chǎng)份額和推廣能力:市場(chǎng)份額的大小和推廣能力的強(qiáng)弱是企業(yè)經(jīng)營(yíng)發(fā)展的重要數(shù)據(jù)。

4.系統(tǒng)的安全性評(píng)估:系統(tǒng)的安全性是電子商務(wù)企業(yè)生存和發(fā)展的基礎(chǔ)，系統(tǒng)安全的高低是客戶選擇企業(yè)的重要依據(jù)之一。

三、電子商務(wù)系統(tǒng)評(píng)估的原則

1.科學(xué)性:根據(jù)系統(tǒng)評(píng)估的目標(biāo)，科學(xué)地制定系統(tǒng)評(píng)估方案和適用方式，以使系統(tǒng)評(píng)估結(jié)果科學(xué)合理。

2.客觀性:要以詳實(shí)的數(shù)據(jù)為依據(jù)進(jìn)行系統(tǒng)評(píng)估，預(yù)測(cè)、推理和邏輯判斷應(yīng)當(dāng)建立在現(xiàn)實(shí)的基礎(chǔ)上。

3.獨(dú)立性:系統(tǒng)評(píng)估機(jī)構(gòu)和評(píng)估人員必須始終堅(jiān)持獨(dú)立的第三方原則，不能與被評(píng)估的電子商務(wù)系統(tǒng)有任何利益關(guān)系，要不受外界任何影響和干擾。

四、電子商務(wù)系統(tǒng)的評(píng)估指標(biāo)

1.技術(shù)性評(píng)估指標(biāo)。電子商務(wù)系統(tǒng)評(píng)估的技術(shù)性指標(biāo)主要有以下幾項(xiàng):（1）電子商務(wù)系統(tǒng)的設(shè)計(jì)評(píng)估:對(duì)其內(nèi)容的豐富性和創(chuàng)意進(jìn)行評(píng)估。（2)電子商務(wù)系統(tǒng)的技術(shù)應(yīng)用評(píng)估:主要評(píng)估其新技術(shù)應(yīng)用的多少，以及技術(shù)應(yīng)用是否合理。（3)電子商務(wù)系統(tǒng)的安全性評(píng)估:主要評(píng)估其能否保證電子商務(wù)的安全。(4)電子商務(wù)系統(tǒng)的可操作性評(píng)估：主要評(píng)估其操作是否簡(jiǎn)單、方便和快速。

2.經(jīng)濟(jì)性評(píng)估指標(biāo)。電子商務(wù)系統(tǒng)評(píng)估的經(jīng)濟(jì)性指標(biāo)主要包括流動(dòng)比率、速動(dòng)比率、營(yíng)業(yè)周期、存貨周轉(zhuǎn)天數(shù)、應(yīng)收賬款周轉(zhuǎn)天數(shù)、總資產(chǎn)周轉(zhuǎn)率、流動(dòng)資產(chǎn)周轉(zhuǎn)率、資產(chǎn)負(fù)債率、銷售凈利率和資產(chǎn)凈利率等指標(biāo)。經(jīng)濟(jì)評(píng)估最能直接反映電子商務(wù)系統(tǒng)給企業(yè)帶來(lái)的經(jīng)濟(jì)效益。

3.社會(huì)性評(píng)估指標(biāo)。電子商務(wù)社會(huì)性評(píng)估指標(biāo)主要包括注冊(cè)量、點(diǎn)擊率、訪問(wèn)量、客戶的忠誠(chéng)度、實(shí)際訪問(wèn)量、日均訪問(wèn)客流量、服務(wù)質(zhì)量統(tǒng)計(jì)分析、日人均瀏覽時(shí)間等。

五、電子商務(wù)系統(tǒng)評(píng)估的主要方式

電子商務(wù)系統(tǒng)的評(píng)估是一項(xiàng)系統(tǒng)工程，需要專業(yè)知識(shí)和技術(shù)作為支持，目前電子商務(wù)系統(tǒng)評(píng)估的主要方式有以下幾種：

1.委托國(guó)內(nèi)外權(quán)威專業(yè)評(píng)估機(jī)構(gòu)進(jìn)行評(píng)估。國(guó)內(nèi)外的一些權(quán)威專業(yè)評(píng)估機(jī)構(gòu)不但具有比較先進(jìn)的評(píng)估方法和設(shè)備、而且擁有一支具有豐富評(píng)估經(jīng)驗(yàn)的專業(yè)評(píng)估人員隊(duì)伍，他們能夠站在比較公正的立場(chǎng)來(lái)進(jìn)行電子商務(wù)系統(tǒng)的評(píng)估，得出比較客觀、公正的評(píng)估結(jié)果，但是評(píng)估費(fèi)用往往比較高。

2．權(quán)威機(jī)構(gòu)網(wǎng)站評(píng)比活動(dòng)。國(guó)內(nèi)外諸如中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）的一些權(quán)威網(wǎng)站管理機(jī)構(gòu)，會(huì)定期不定期地進(jìn)行網(wǎng)站經(jīng)營(yíng)狀況的統(tǒng)計(jì)和評(píng)比。

3．客戶評(píng)估。客戶評(píng)估是針對(duì)客戶對(duì)企業(yè)電子商務(wù)系統(tǒng)的滿意情況的定性評(píng)估，客戶評(píng)估采取向客戶發(fā)送包括所需評(píng)價(jià)項(xiàng)目的網(wǎng)上調(diào)查表，以有獎(jiǎng)的形式收集客戶的意見(jiàn)。然后由管理人員自己對(duì)獲得的反饋信息進(jìn)行統(tǒng)計(jì)分析。客戶的評(píng)價(jià)一般是比較真實(shí)可信并且也是很全面的。

4.自我評(píng)估。自我評(píng)估是指企業(yè)自己組織進(jìn)行自我評(píng)估或者利用專業(yè)評(píng)估機(jī)構(gòu)提供的評(píng)估系統(tǒng)進(jìn)行的自我評(píng)估。自我評(píng)估與委托權(quán)威專業(yè)機(jī)構(gòu)進(jìn)行評(píng)估相比，自我評(píng)估有保密性好、成本較低和使用方便等優(yōu)點(diǎn);但是使用評(píng)估系統(tǒng)進(jìn)行評(píng)估也存在適應(yīng)性差的不足。

參考文獻(xiàn):

[1]趙乃真:電子商務(wù)萬(wàn)事通.北京:人民郵電出版社,2001.4

[2]鐘強(qiáng)章建新:電子商務(wù)概論.北京:清華大學(xué)出版社,2003.7