前言:中文期刊網(wǎng)精心挑選了電子商務(wù)信息安全范文供你參考和學(xué)習(xí),希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感,歡迎閱讀。
電子商務(wù)信息安全范文1
電子商務(wù)所具有的廣闊發(fā)展前景,越來越為世人所矚目。但電子商務(wù)中的安全問題如得不到妥善解決,電子商務(wù)應(yīng)用就只能是紙上談兵。從事電子商務(wù)活動的主體都已普遍認(rèn)識到電子商務(wù)的交易安全是電子商務(wù)成功實(shí)施的基礎(chǔ),是企業(yè)制訂電子商務(wù)策略時必須首先要考慮的問題。對于實(shí)施電子商務(wù)戰(zhàn)略的企業(yè)來說,保證電子商務(wù)的安全已成為當(dāng)務(wù)之急。
一、電子商務(wù)信息安全需求
1、信息的保密性
電子商務(wù)是建立在一個開放性很強(qiáng)的網(wǎng)絡(luò)環(huán)境中,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,保密性一般通過密碼技術(shù)對傳輸?shù)男畔⑦M(jìn)行加密處理來實(shí)現(xiàn)。
2、信息的不可抵賴性
對進(jìn)行電子商務(wù)交易的貿(mào)易雙方來說,一個很關(guān)鍵問題就是如何確定進(jìn)行交易的貿(mào)易方正是交易所期望的貿(mào)易方。在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已經(jīng)不可能。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識,使原發(fā)方對已發(fā)送的數(shù)據(jù)、接收方對已接收的數(shù)據(jù)都不能否認(rèn)。通常可通過對發(fā)送的消息進(jìn)行數(shù)字簽名來實(shí)現(xiàn)信息的不可抵賴性。
3、信息的真實(shí)性
由于在電子商務(wù)過程中,買賣雙方的所有交易活動都通過網(wǎng)絡(luò)聯(lián)系,交易雙方可能素昧平生,相隔萬里。要使交易成功,首先要確認(rèn)對方的身份。對于商家而言,要考慮客戶端不能是騙子,而客戶端也會擔(dān)心網(wǎng)上商店是否是_個玩弄欺詐的黑店,因此,電子商務(wù)的開展要求能夠?qū)灰字黧w的真實(shí)身份進(jìn)行鑒別。
4、信息的完整性
電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù),同時也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能會導(dǎo)致貿(mào)易各方信息的差異。另外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。因此,貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。一般可通過提取信息摘要的方式來保持信息的完整性。
5、信息的有效性
電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù),那么保證信息的有效性就成為開展電子商務(wù)的前提。因此,要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點(diǎn)是有效的。
二、電子商務(wù)安全技術(shù)
1、防火墻技術(shù)
防火墻是企業(yè)網(wǎng)安全問題的流行方案,即把公共數(shù)據(jù)和服務(wù)置于防火墻外,使其對防火墻內(nèi)部資源的訪問受到限制。一般說來,防火墻是不能防病毒的,盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。防火墻技術(shù)的另外一個弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個難題,如果延遲太大將無法支持實(shí)時服務(wù)請求。此外,防火墻采用濾波技術(shù),濾波通常使網(wǎng)絡(luò)的性能降低50%以上,如果為了改善網(wǎng)絡(luò)性能而購置高速路由器,又會大大提高經(jīng)濟(jì)預(yù)算。作為一種網(wǎng)絡(luò)安全技術(shù),防火墻具有簡單實(shí)用的特點(diǎn),并且透明度高,可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。但是,如果防火墻系統(tǒng)被攻破,則被保護(hù)的網(wǎng)絡(luò)處于無保護(hù)狀態(tài)。如果一個企業(yè)希望在Internet上開展商業(yè)活動,與眾多的客戶進(jìn)行通信,則防火墻不能滿足要求。
2、數(shù)據(jù)加密技術(shù)
加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù),主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。該技術(shù)采用數(shù)學(xué)方法對原始信息進(jìn)行再組織,使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對于非法接收者來說成為不可理解的字符。而對于合法的接受者,可以利用其掌握的密鑰,通過解密過程得到原始數(shù)據(jù),從而達(dá)到保護(hù)信息的目的。數(shù)據(jù)加密的方法很多常用的有兩大類:一種是對稱加密,一種是非對稱密鑰加密。(1)對稱密鑰加密體制。在對稱密鑰加密體制中,加結(jié)果為:-1.5915,當(dāng)初值為:x0=[1,1]時,結(jié)果為:-0.8949。由此可見,傳統(tǒng)方法求解具有多個極小值點(diǎn)的函數(shù)時,求解結(jié)果的值與初始值的選擇有關(guān),所得的最優(yōu)解為局部最優(yōu)解。同時通過畫該目標(biāo)函數(shù)的曲面圖1-1可知,該曲面存在多個局部極小點(diǎn)。所以,應(yīng)用傳統(tǒng)的解法,容易陷入局部極小值區(qū)域。對于這樣的問題,用傳統(tǒng)的非線性規(guī)劃求解算法不容易求得全局最優(yōu)解。
用染色體(、&)作為解的代碼,用以下方法把染色體X變成染色體(%,&)并把v作為相應(yīng)的解,密所使用的密鑰和解密所使用的密鑰相同,或者雖不相同,但可以從其中_個密鑰推導(dǎo)出另_個,即發(fā)送方和接收方使用同樣密鑰。使用對稱密鑰體制不必交換加密算法,只需交換加密密鑰,因而簡化了加密過程,加解密速度快,但存在密鑰的分配、保存和管理的問題。目前廣泛應(yīng)用的對稱加密算法是DES算法。(2)非對稱密鑰加密體制。在非對稱密鑰加密體制中,對信息加密和解密所使用的密鑰是不同的。并且從其中一個密鑰無法推導(dǎo)出另一個密鑰。非對稱密鑰加密體制解決了對稱密鑰加密體制存在的密鑰分配、保存和管理的問題,但加密算法復(fù)雜,加解密速度慢。非對稱密鑰加密體制最早的代表算法是RSA算法。由此可見,兩種加密技術(shù)各有優(yōu)缺點(diǎn),在Internet開放網(wǎng)絡(luò)環(huán)境中可以互補(bǔ)。
3、認(rèn)證技術(shù)
基本的加密技術(shù)不足以保證電子商務(wù)中的交易安全,信息鑒別和身份認(rèn)證技術(shù)是保證電子商務(wù)安全不可缺少的重要技術(shù)手段。認(rèn)證技術(shù)是防止交易信息被篡改、刪除、重復(fù)和偽造的一種有效方法,主要有數(shù)字簽名、數(shù)字信封、數(shù)字摘要、數(shù)字時間戳、數(shù)字證書等。(1)數(shù)字簽名。數(shù)字簽名是使用某人的私鑰加密特定消息摘要散列值而得到的結(jié)果,通過這種方法把人同特定消息聯(lián)系起來,類似于手書簽名。日常生活中,通常用對某_文檔進(jìn)行簽名來保證文檔的真實(shí)有效性,防止其抵賴。在網(wǎng)絡(luò)環(huán)境中,可以用電子數(shù)字簽名作為模擬。(2)數(shù)字信封。數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。(3)數(shù)字摘其中V可由下面的檢驗(yàn)函數(shù)檢若(VP3L1V,<-3:1v2>3Uv2<-3),返回〇;否則返回這里檢驗(yàn)數(shù)數(shù)值為0表示不可行,1表示可行。易知該模型的可行集包含在下列的超幾何體中={(V1?V2)|°^V1^^0^V2^1}然后就可以容易地從這個超幾何中抽取初始染色體vL=u(0,1),v2=u<0,1)(1)
電子商務(wù)信息安全范文2
在電子商務(wù)交易過程中,采取適當(dāng)?shù)陌踩夹g(shù)措施能夠有效的降低電子商務(wù)交易過程中的風(fēng)險(xiǎn),滿足電子商務(wù)對于安全性的要求。下面對常用的電子商務(wù)信息安全技術(shù)措施進(jìn)行研究。
1)信息加密技術(shù)。信息加密指的是將信息數(shù)據(jù)按照一定的算法規(guī)則進(jìn)行轉(zhuǎn)換處理,根據(jù)加密算法的不同,密文有所不同。在進(jìn)行數(shù)據(jù)信息的解密時,需要提供預(yù)先設(shè)置的加密算法,否則無法完成對信息的解密,這樣就起到了加密信息數(shù)據(jù)的目的。信息加密算法的不同保證了用戶數(shù)據(jù)的安全性。其中,加密技術(shù)按照密鑰的不同可以分為對稱加密和非對稱加密兩種。對稱式加密的主要特點(diǎn)是加密算法的運(yùn)算量較小、加密時間短。但是整個的保密都完全依賴于密鑰的保密,一旦密鑰出現(xiàn)安全問題,就會使得整個信息數(shù)據(jù)的安全性喪失,因此,對于密鑰的管理是對稱式加密的關(guān)鍵環(huán)節(jié);非對稱加密技術(shù)在加密環(huán)節(jié)與解密環(huán)節(jié)采用的是不同的密鑰,與對稱式加密相比,非對稱加密有著更高的保密等級,但是其存在的一個缺點(diǎn)就是加密和解密過程運(yùn)算量較大。
2)認(rèn)技術(shù)。普通的加密技術(shù)在實(shí)際的電子商務(wù)信息安全管理中顯得不盡完善。在電子商務(wù)信息安全管理的技術(shù)手段中,身份認(rèn)證和信息判別是必須的信息安全管理環(huán)節(jié)。目前的認(rèn)證技術(shù)主要包括數(shù)字簽名、數(shù)字信封、數(shù)字證書等幾種認(rèn)證方式。數(shù)字簽名技術(shù)是類似于傳統(tǒng)意義上的簽名,只是以數(shù)字的形式完成,其目的是保證在電子商務(wù)的交易過程中明確交易雙方的身份并且保證雙方身份的不可變更。電子商務(wù)環(huán)境下的數(shù)字簽名技術(shù)主要是將數(shù)據(jù)文件通過數(shù)據(jù)發(fā)送者的密鑰進(jìn)行加密,將二者一起傳送出去,接受者在接收到信息后只有通過發(fā)送者的公鑰才能夠解密數(shù)據(jù)信息,這樣整個過程就形同現(xiàn)實(shí)生活中的簽名一樣,將數(shù)據(jù)信息與個人的身份建立關(guān)聯(lián),保證了電子商務(wù)交易過程中的數(shù)據(jù)信息安全;數(shù)字信封指的是通過在數(shù)據(jù)信息發(fā)送過程中加人特定的標(biāo)識,以保證數(shù)據(jù)信息能夠準(zhǔn)確的發(fā)送到制定的用戶,其具體的實(shí)現(xiàn)選用對稱密鑰對信息數(shù)據(jù)進(jìn)行加密,然后將需要發(fā)送的數(shù)據(jù)信息連同數(shù)字信封一同發(fā)送,在信息接受者處同樣需要數(shù)字信封的解密文件對數(shù)據(jù)信息進(jìn)行解密,目前這種信封加密技術(shù)已經(jīng)得到了較為普遍的應(yīng)用。
3)防火墻技術(shù)。計(jì)算機(jī)防火墻是抵御計(jì)算機(jī)網(wǎng)絡(luò)攻擊的重要手段,其主要是通過設(shè)置網(wǎng)絡(luò)過濾作用的防火墻對防火墻外部的數(shù)據(jù)進(jìn)行選擇性的接收。防火墻技術(shù)是一種相對傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù),其使用較為簡單,但是在實(shí)際的電子商務(wù)交易過程中,網(wǎng)絡(luò)防火墻只能夠起到基礎(chǔ)防護(hù)的作用,對于更高級別的網(wǎng)絡(luò)防護(hù)要求是無法滿足的。
4)安全交易協(xié)議。常用的電子商務(wù)交易協(xié)議有SET、SSL。其中SET是基于互聯(lián)網(wǎng)的信用卡平臺所確立的,其主要的應(yīng)用領(lǐng)域是BtoC模式。具體的實(shí)施過程是通過采用信息的數(shù)字簽名技術(shù)來確保信息的完整性,同時對信息的來源進(jìn)行確認(rèn);SSL通信協(xié)議主要能夠?qū)崿F(xiàn)對數(shù)據(jù)的加密、客戶端的身份認(rèn)證、數(shù)據(jù)的完整性維護(hù),以保證數(shù)據(jù)信息都能夠準(zhǔn)確的到達(dá)接受者。
2加強(qiáng)電子商務(wù)信息安全的對策
增強(qiáng)電子商務(wù)交易過程中的信息安全,不僅僅要從技術(shù)的角度出發(fā),同時還要加強(qiáng)對于電子商務(wù)信息安全的管理,主要采取以下幾個方面的措施。
l)加強(qiáng)安全管理組織建設(shè)。加強(qiáng)電子商務(wù)信息安全的管理組織建設(shè)是信息安全管理的重要方面,應(yīng)該根據(jù)實(shí)際的電子商務(wù)需要,建立健全安全管理組織機(jī)構(gòu),完善安全管理組織的職能規(guī)劃。通常情況下,安全管理組織負(fù)責(zé)電子商務(wù)安全的制度起草以及后期的安全制度落實(shí)、安全巡查、安全維護(hù)等。同時還可以根據(jù)實(shí)際需要聘請相關(guān)網(wǎng)絡(luò)安全的專家和學(xué)者擔(dān)任組織的顧問,對組織建設(shè)提供建議和指導(dǎo)。
2)完善電子商務(wù)信息安全制度建設(shè)。加強(qiáng)電子商務(wù)交易過程中的制度建設(shè)是整個電子商務(wù)安全管理的核心工作。要明確相應(yīng)安全制度的定義、適用范圍、權(quán)責(zé)等,并且不斷的根據(jù)實(shí)際需要對制度進(jìn)行細(xì)化。在實(shí)際的電子商務(wù)信息安全管理制度建設(shè)中,主要包括五個方面的內(nèi)容。一是建立完善的電子商務(wù)授權(quán)交易制度,對交易過程中的關(guān)鍵環(huán)節(jié)進(jìn)行嚴(yán)格審核;二是明確信息安全的權(quán)責(zé),對各個部門的職能和責(zé)任進(jìn)行明確的分工;三是建立財(cái)務(wù)控制制度,加強(qiáng)交易過程中的財(cái)產(chǎn)安全;四是加強(qiáng)對電子商務(wù)中經(jīng)營環(huán)節(jié)的管控;五是建立相對完善的電子商務(wù)信息安全應(yīng)急處理制度,對信息數(shù)據(jù)及時進(jìn)行備份。
3)加強(qiáng)內(nèi)部人員管理。培養(yǎng)和加強(qiáng)內(nèi)部員工的信息安全意識對于防范電子商務(wù)交易過程中的信息安全有著重要意義。其具體的設(shè)施主要有以下兩個方面的內(nèi)容:首先,要加強(qiáng)對于內(nèi)部員工信息安全意識的培養(yǎng),使得員工在思想上加強(qiáng)對于信息安全的認(rèn)識;其次,在人員的錄用和培訓(xùn)環(huán)節(jié)要加強(qiáng)管理,員工需要簽署嚴(yán)格的信息安全保密協(xié)議,同時強(qiáng)化員工的信息安全權(quán)責(zé)意識。
3結(jié)束語
電子商務(wù)信息安全范文3
關(guān)鍵詞:電子商務(wù); 信息安全;運(yùn)行環(huán)境;黑客;防火墻
電子商務(wù)在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展日益迅猛的當(dāng)下,應(yīng)用越來越廣泛,這種基于Internet進(jìn)行的各種商務(wù)活動模式以其特有的開放性讓商務(wù)活動相比較以往更加高效快捷。In-ternet 是一個開放的、全球性的、無控制機(jī)構(gòu)的網(wǎng)絡(luò),計(jì)算機(jī)網(wǎng)絡(luò)自身的特點(diǎn)決定了網(wǎng)絡(luò)不安全,網(wǎng)絡(luò)服務(wù)一般都是通過各種各樣的協(xié)議完成的,因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的重要方面,Internet 的數(shù)據(jù)傳輸是基于 TCP/IP操作系統(tǒng)來支持的,TCP/IP 協(xié)議本身存在著一定的缺陷。
1電子商務(wù)所面臨的信息安全威脅
1.1 安全環(huán)境惡化
由于在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面發(fā)展較為遲緩,我國在很多硬件核心設(shè)備方面依然以進(jìn)口采購為主要渠道,不能自主生產(chǎn)也意味著不能自主控制,除了生產(chǎn)技術(shù)、維護(hù)技術(shù)也相應(yīng)依靠國外引進(jìn),這也就讓國內(nèi)的電子商務(wù)無法看到眼前的威脅以及自身軟件的應(yīng)付能力。
1.2平臺的自然物理威脅
由于電子商務(wù)通過網(wǎng)絡(luò)傳輸進(jìn)行,因此諸如電磁輻射干擾以及網(wǎng)絡(luò)設(shè)備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預(yù)測,而這些威脅將直接影響信息安全。此外,人為破壞商務(wù)系統(tǒng)硬件,篡改刪除信息內(nèi)容等行為,也會給企業(yè)造成損失。
1.3黑客入侵
在諸多威脅中,病毒是最不可控制的,其主要作用是損壞計(jì)算機(jī)文件,且具有繁殖功能。配合越來越便捷的網(wǎng)絡(luò)環(huán)境,計(jì)算機(jī)病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性,本地計(jì)算機(jī)所記錄的登錄信息都會被木馬程序篡改,從而造成信息之外的文件和資金遭竊。
2電子商務(wù)信息安全的防范處理方法
2.1針對病毒的技術(shù)
作為電子商務(wù)安全的最大威脅,對于計(jì)算機(jī)病毒的防范是重中之重。對于病毒,處理態(tài)度應(yīng)該以預(yù)防為主,查殺為輔。因?yàn)椴《镜念A(yù)防工作在技術(shù)層面上比查殺要更為簡單。多種預(yù)防措施的并行應(yīng)用很重要,比如對全新計(jì)算機(jī)硬件、軟件進(jìn)行全面的檢測;利用病毒查殺軟件對文件進(jìn)行實(shí)時的掃描;定期進(jìn)行相關(guān)數(shù)據(jù)備份;服務(wù)器啟動采取硬盤啟動;相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問權(quán)限等等。同時在病毒感染時保證文件的及時隔離。在計(jì)算機(jī)系統(tǒng)感染病毒的情況下,第一時間清除病毒文件并及時恢復(fù)系統(tǒng)。
2.2防火墻應(yīng)用
防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng),對內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類:一類是簡單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器,可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。
2.3數(shù)據(jù)加密技術(shù)的引入
加密技術(shù)是保證電子商務(wù)安全采用的主要安全措施。加密過程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合,從而產(chǎn)生不可理解的密文的過程,主要加密技術(shù)是:對稱加密技術(shù)和非對稱加密技術(shù)。
2.4認(rèn)證系統(tǒng)
網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個人或組織的真實(shí)身份。傳統(tǒng)的對稱密鑰算法具有加密強(qiáng)度高、運(yùn)算速度快的優(yōu)點(diǎn),但密鑰的傳遞與管理問題限制了它的應(yīng)用。為解決此問題,20 世紀(jì) 70 年代密碼界出現(xiàn)了公開密鑰算法,該算法使用一對密鑰即一個私鑰和一個公鑰,其對應(yīng)關(guān)系是唯一的,公鑰對外公開,私鑰個人秘密保存。一般用公鑰來進(jìn)行加密,用私鑰來進(jìn)行簽名;同時私鑰用來解密,公鑰用來驗(yàn)證簽名。
2.5其他注意事項(xiàng)
電子商務(wù)信息安全范文4
[關(guān)鍵詞]移動電子商務(wù)信息安全自組網(wǎng)隱私法律
移動電子商務(wù)(M-Commerce),是通過手機(jī)、PDA(個人數(shù)字助理)、呼機(jī)等移動通信設(shè)備與因特網(wǎng)有機(jī)結(jié)合所進(jìn)行的電子商務(wù)活動。移動電子商務(wù)能提供以下服務(wù):PIM(個人信息服務(wù))、銀行業(yè)務(wù)、交易、購物、基于位置的服務(wù)、娛樂等。
移動電子商務(wù)因其快捷方便、無所不在的特點(diǎn),已經(jīng)成為電子商務(wù)發(fā)展的新方向。因?yàn)橹挥幸苿与娮由虅?wù)才能在任何地方、任何時間,真正解決做生意的問題。
但是對于任何通過無線網(wǎng)路(如:GSM網(wǎng)路)進(jìn)行金融交易的用戶,安全和隱私問題無疑是其關(guān)注的焦點(diǎn)。由于移動電子商務(wù)的特殊性,移動電子商務(wù)的安全問題尤其顯得重要。尤其對于有線電子商務(wù)用戶來說,通常認(rèn)為物理線纜能帶來更好的安全性,從而排斥使用移動電子商務(wù)。移動電子商務(wù)是一個系統(tǒng)工程,本文從技術(shù)、安全、隱私和法制等方面討論了移動商務(wù)的展所面臨的種種問題,并指出這些問題的有效解決是建設(shè)健康、安全的移動電子商務(wù)的重要保證。
一、移動通信新技術(shù)的驅(qū)動
1.無線應(yīng)用協(xié)議(WAP)
無線應(yīng)用協(xié)議WAP是無線通信和互聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物,它不僅為無線設(shè)備提供豐富的互聯(lián)網(wǎng)資源,也提供了開發(fā)各種無線網(wǎng)路應(yīng)用的途徑。1998年,WAP論壇公布了WAP1.0版本,制定了一套專門為移動互聯(lián)網(wǎng)而設(shè)計(jì)的應(yīng)用協(xié)議,具有良好的開放性和互通性。隨著移動通信網(wǎng)傳輸速率的顯著提高,WAP論壇于2001年頒布了WAP2.0版本,該版本增加了對HTTP、TLS和TCP等互聯(lián)網(wǎng)協(xié)議的支持,WAP的工作大大簡化。WAP2.0模式有利于實(shí)現(xiàn)電子商務(wù)所需的端到端安全性,可以提供TLS隧道。
2.移動IP技術(shù)
移動IP技術(shù),是指移動用戶可在跨網(wǎng)絡(luò)隨意移動和漫游中,使用基于TCP/IP協(xié)議的網(wǎng)絡(luò)時,不用修改計(jì)算機(jī)原來的IP地址,同時,也不必中斷正在進(jìn)行的通信。移動IP通過AAA(Authentication,Authorization,Accounting)機(jī)制,實(shí)現(xiàn)網(wǎng)絡(luò)全方位的安全移動或者漫游功能。移動IP在一定程度上能夠很好地支持移動商務(wù)的應(yīng)用。
3.第三代(3G)移動通信系統(tǒng)
第三代移動通信系統(tǒng),簡稱3G,是指將無線通信與互聯(lián)網(wǎng)等多媒體通信結(jié)合的移動通信系統(tǒng)。它能夠處理圖像、話音、視頻流等多種媒體形式,提供包括網(wǎng)頁瀏覽、電話會議、電子商務(wù)等多種信息服務(wù)。與2G相比,3G產(chǎn)品可提供數(shù)據(jù)速率高達(dá)2Mbps的多媒體業(yè)務(wù)。在我國,以TD-SCDMA技術(shù)為基礎(chǔ)的3G基礎(chǔ)設(shè)施和產(chǎn)品的建設(shè)和研制發(fā)展迅速,我國發(fā)展3G的條件已經(jīng)基本具備。由于3G帶來的高速率、移動性和高安全性等特點(diǎn),必然會給移動電子商務(wù)的應(yīng)用帶來巨大商機(jī)。
4.無線局域網(wǎng)(WLAN)技術(shù)
美國電子電器工程師協(xié)會IEEE在1991年就啟動了WLAN標(biāo)準(zhǔn)工作組,稱為IEEE802.11,并在1997年產(chǎn)生了WLAN標(biāo)準(zhǔn)-IEEE802.11,后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標(biāo)準(zhǔn)。802.11WLAN標(biāo)準(zhǔn)自公布之日起,安全問題一直是其被關(guān)注的焦點(diǎn)問題。802.11b采用了基于RC4算法的有線對等保密(WEP)機(jī)制,為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保障,但其加密和認(rèn)證機(jī)制都存在安全漏洞。802.11i是2004年6月批準(zhǔn)的WLAN標(biāo)準(zhǔn),其目的是解決802.11標(biāo)準(zhǔn)中存在的安全問題。802.11i應(yīng)用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級加密標(biāo)準(zhǔn)的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作為其加密算法,可以向后兼容802.11a/b/g等硬件設(shè)備。中國寬帶無線IP標(biāo)準(zhǔn)工作組制訂了WLAN國家標(biāo)準(zhǔn)GB15629.11,定義了無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI,大大減少了WLAN中的安全隱患。
二、移動電子商務(wù)面臨的安全威脅
盡管移動電子商務(wù)給工作效率的提高帶來了諸多優(yōu)勢(如:減少了服務(wù)時間,降低了成本和增加了收入),但安全問題仍是移動商務(wù)推廣應(yīng)用的瓶頸。有線網(wǎng)絡(luò)安全的技術(shù)手段不完全適用于無線設(shè)備,由于無線設(shè)備的內(nèi)存和計(jì)算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序。例如:目前還沒有有效抵制手機(jī)病毒的防護(hù)軟件。
1.網(wǎng)絡(luò)本身的威脅
無線通信網(wǎng)絡(luò)可以不像有線網(wǎng)絡(luò)那樣受地理環(huán)境和通信電纜的限制就可以實(shí)現(xiàn)開放性的通信。無線信道是一個開放性的信道,它給無線用戶帶來通信自由和靈活性的同時,也帶來了諸多不安全因素:如通信內(nèi)容容易被竊聽、通信雙方的身份容易被假冒,以及通信內(nèi)容容易被篡改等。在無線通信過程中,所有通信內(nèi)容(如:通話信息,身份信息,數(shù)據(jù)信息等)都是通過無線信道開放傳送的。任何擁有一定頻率接收設(shè)備的人均可以獲取無線信道上傳輸?shù)膬?nèi)容。這對于無線用戶的信息安全、個人安全和個人隱私都構(gòu)成了潛在的威脅。
2.無線adhoc應(yīng)用的威脅
除了互聯(lián)網(wǎng)在線應(yīng)用帶來的威脅外,無線裝置給其移動性和通信媒體帶來了新的安全問題。考慮無線裝置可以組成adhoc網(wǎng)路。Adhoc網(wǎng)絡(luò)和傳統(tǒng)的移動網(wǎng)絡(luò)有著許多不同,其中一個主要的區(qū)別就是AdHoc網(wǎng)絡(luò)不依賴于任何固定的網(wǎng)絡(luò)設(shè)施,而是通過移動節(jié)點(diǎn)間的相互協(xié)作來進(jìn)行網(wǎng)絡(luò)互聯(lián)。由于其網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn),使得AdHoc網(wǎng)絡(luò)的安全問題尤為突出。Adhoc網(wǎng)路的一個重要特點(diǎn)是網(wǎng)絡(luò)決策是分散的,網(wǎng)絡(luò)協(xié)議依賴于所有參與者之間的協(xié)作。敵手可以基于該種假設(shè)的信任關(guān)系入侵協(xié)作的節(jié)點(diǎn)。
3.網(wǎng)路漫游的威脅
無線網(wǎng)路中的攻擊者不需要尋找攻擊目標(biāo),攻擊目標(biāo)會漫游到攻擊者所在的小區(qū)。在終端用戶不知情的情況下,信息可能被竊取和篡改。服務(wù)也可被經(jīng)意或不經(jīng)意地拒絕。交易會中途打斷而沒有重新認(rèn)證的機(jī)制。由刷新引起連接的重新建立會給系統(tǒng)引入風(fēng)險(xiǎn),沒有再認(rèn)證機(jī)制的交易和連接的重新建立是危險(xiǎn)的。連接一旦建立,使用SSL和WTLS的多數(shù)站點(diǎn)不需要進(jìn)行重新認(rèn)證和重新檢查證書。攻擊者可以利用該漏洞來獲利。
4.物理安全
無線設(shè)備另一個特有的威脅就是容易丟失和被竊。因?yàn)闆]有建筑、門鎖和看管保證的物理邊界安全和其小的體積,無線設(shè)備很容易丟失和被盜竊。對個人來說,移動設(shè)備的丟失意味著別人將會看到電話上的數(shù)字證書,以及其他一些重要數(shù)據(jù)。利用存儲的數(shù)據(jù),拿到無線設(shè)備的人就可以訪問企業(yè)內(nèi)部網(wǎng)絡(luò),包括Email服務(wù)器和文件系統(tǒng)。目前手持移動設(shè)備最大的問題就是缺少對特定用戶的實(shí)體認(rèn)證機(jī)制。
三、移動商務(wù)面臨的隱私和法律問題
1.垃圾短信息
在移動通信給人們帶來便利和效率的同時,也帶來了很多煩惱,遍地而來的垃圾短信廣告打擾著我們的生活。在移動用戶進(jìn)行商業(yè)交易時,會把手機(jī)號碼留給對方。通過街頭的社會調(diào)查時,也往往需要被調(diào)查者填入手機(jī)號碼。甚至有的用戶把手機(jī)號碼公布在網(wǎng)上。這些都是公司獲取手機(jī)號碼的渠道。垃圾短信使得人們對移動商務(wù)充滿恐懼,而不敢在網(wǎng)絡(luò)上使用自己的移動設(shè)備從事商務(wù)活動。目前,還沒有相關(guān)的法律法規(guī)來規(guī)范短信廣告,運(yùn)營商還只是在技術(shù)層面來限制垃圾短信的群發(fā)。目前,信息產(chǎn)業(yè)部正在起草手機(jī)短信的規(guī)章制度,相信不久的將來會還手機(jī)短信一片綠色的空間。
2.定位新業(yè)務(wù)的隱私威脅
定位是移動業(yè)務(wù)的新應(yīng)用,其技術(shù)包括:全球定位系統(tǒng),該種技術(shù)利用24顆GPS衛(wèi)星來精確(誤差在幾米之內(nèi))定位地面上的人和車輛;基于手機(jī)的定位技術(shù)TOA,該技術(shù)根據(jù)從GPS返回響應(yīng)信號的時間信息定位手機(jī)所處的位置。定位在受到歡迎的同時,也暴露了其不利的一面——隱私問題。移動酒吧就是一個典型的例子,當(dāng)你在路上時,這種服務(wù)可以在你的PDA上列出離你最近的5個酒吧的位置和其特色。或者當(dāng)你途經(jīng)一個商店時,會自動向你的手機(jī)發(fā)送廣告信息。定位服務(wù)在給我們帶來便利的同時,也影響到了個人隱私。利用這種技術(shù),執(zhí)法部門和政府可以監(jiān)聽信道上的數(shù)據(jù),并能夠跟蹤一個人的物理位置。
3.移動商務(wù)的法律保障
電子商務(wù)的迅猛發(fā)展推動了相關(guān)的立法工作。2005年4月1日,中國首部真正意義上的信息化法律《電子簽名法》正式實(shí)施,電子簽名與傳統(tǒng)的手寫簽名和蓋章將具有同等的法律效力,標(biāo)志著我國電子商務(wù)向誠信發(fā)展邁出了第一步。《電子簽名法》立法的重要目的是為了促進(jìn)電子商務(wù)和電子政務(wù)的發(fā)展,增強(qiáng)交易的安全性。
參考文獻(xiàn):
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
電子商務(wù)信息安全范文5
關(guān)鍵詞:電子商務(wù);安全;計(jì)算機(jī)技術(shù)
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2010) 05-0000-01
E-commerce Information Security under the Computer Security Technology
Feng Guozhi
(Yangshan Vocational School,Qingyuan513100,China)
Abstract:In recent years,electronic commerce has been rapid development in China and abroad,but the rapid development of e-commerce Today,security is still a bottleneck restricting the development of electronic commerce.E-commerce security is a system concept,this paper described the technical point of view of information security issues of e-commerce and the corresponding technical solutions.
Keywords:Electronic commerce;Security;Computer technology
一、電子商務(wù)安全問題基本范疇
電子商務(wù)的安全性體現(xiàn)在網(wǎng)絡(luò)安全、信息加密技術(shù)以及交易的安全。電子商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題,計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的,兩者相輔相成,缺一不可。由于在互聯(lián)網(wǎng)設(shè)計(jì)之初,只考慮方便性、開放性,使得互聯(lián)網(wǎng)絡(luò)極易受到黑客的攻擊或有組織的群體的入侵,使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞,信息泄露。因此,電子商務(wù)中的安全隱患大致有四種:1.信息的截獲和竊取;2.信息的篡改;3.信息的假冒;4.交易抵賴。
二、計(jì)算機(jī)技術(shù)下的電子商務(wù)信息安全防范機(jī)制
(一)數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),確保數(shù)據(jù)保密性的一種技術(shù)。數(shù)據(jù)加密及相關(guān)技術(shù)應(yīng)用可有效解決電子商務(wù)安全中交易信息的完整性、不可抵賴性和交易身份確定性。加密和解密過程中使用的密鑰分別稱為加密密鑰和解密密鑰,按加密密鑰與解密密鑰的對稱性可分為對稱型和不對稱型加密。結(jié)構(gòu)完整的數(shù)據(jù)加密系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口(API)等基本構(gòu)成部分。
(二)身份識別技術(shù)
在網(wǎng)絡(luò)交易中如果不進(jìn)行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等,進(jìn)行身份識別后,交易雙方就可防止相互猜疑的情況。報(bào)文摘要技術(shù)與數(shù)據(jù)加密技術(shù)結(jié)合產(chǎn)生了數(shù)字簽名技術(shù),其應(yīng)用原理是發(fā)送方將報(bào)文摘要X用自己的私鑰加密,并將加密后的報(bào)文摘要(即數(shù)字簽名)同原文一起發(fā)送給接收方,接收方用發(fā)送方的公鑰解密數(shù)字簽名,并對接收到的報(bào)文利用對應(yīng)的同樣算法生成報(bào)文摘要Y,比較X和Y,若二者相同,說明信息完整且發(fā)送者身份是真實(shí)的,否則說明信息被修改或不是該發(fā)送者發(fā)送的。由于發(fā)送者的私鑰無法仿冒,同時發(fā)送者也不能否認(rèn)用自己的私鑰加密發(fā)送的信息,所以報(bào)文摘要和數(shù)字簽名技術(shù)能夠保證電子商務(wù)交易中信息的完整性和不可抵賴性。
(三)安全協(xié)議
前文說闡述加密技術(shù)僅僅提出了一種解決問題的安全框架模式,實(shí)際應(yīng)用中,針對不同的網(wǎng)絡(luò)應(yīng)用,又有不同的商業(yè)實(shí)現(xiàn)標(biāo)準(zhǔn),其中比較有名的就是由Visa、Master Card和IBM等聯(lián)合推出的安全電子交易協(xié)議(SET)和由Netscape、Verisign等推出的安全套接層協(xié)議(SSL)。
1.SET安全協(xié)議
SET安全協(xié)議是應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn),這就是“安全電子交易”(簡稱SET)。它采用公鑰密碼體制和X。509數(shù)字證書標(biāo)準(zhǔn),主要應(yīng)用于保障網(wǎng)上購物信息的安全性。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性,特別是保證不將消費(fèi)者銀行卡號暴露給商家等優(yōu)點(diǎn),因此它成為了目前公認(rèn)的信用卡和借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。
2.SSL安全協(xié)議
SSL安全協(xié)議最初是由NetscapeCommunication公司設(shè)計(jì)開發(fā)的,又叫”安全套接層協(xié)議”,主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全系數(shù)。SSL安全套接層協(xié)議主要是使用公開密鑰體制和X。509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,SSL協(xié)議的整個概念可以被總結(jié)為:一個保證任何安裝了安全套接字的客戶和服務(wù)器間事務(wù)安全的協(xié)議,它涉及所有TCP/IP應(yīng)用程序。目前SSL已經(jīng)被眾多廠家和用戶使用,已經(jīng)成為通信底層協(xié)議的實(shí)際標(biāo)準(zhǔn)。
(四)網(wǎng)絡(luò)安全掃描技術(shù)
安全掃描技術(shù)是對網(wǎng)絡(luò)的各個環(huán)節(jié)提供可靠的分析結(jié)果,并為系統(tǒng)管理員提供可靠性和安全性分析報(bào)告等。包括端口掃描技術(shù)和漏洞掃描技術(shù)等。
(五)病毒防范技術(shù)
計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序。病毒經(jīng)過系統(tǒng)穿透或違反授權(quán)攻擊成功后,攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序,為以后攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便條件。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測,工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。
(六)防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。
目前的防火墻分為兩大類,一類是簡單的分組過濾技術(shù),作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。另一類是應(yīng)用服務(wù)器,其顯著的優(yōu)點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。通過應(yīng)用防火墻技術(shù),可以做到通過過濾不安全的服務(wù),極大地提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)。但防火墻是一種基于網(wǎng)絡(luò)邊界的被動安全技術(shù),對內(nèi)部未授權(quán)訪問難以有效控制,因此較適合于內(nèi)部網(wǎng)絡(luò)相對獨(dú)立,且與外部網(wǎng)絡(luò)的互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的網(wǎng)絡(luò)。
電子商務(wù)信息安全范文6
關(guān)鍵詞 電子商務(wù) 信息 信息安全
1 電子商務(wù)信息安全現(xiàn)狀
當(dāng)前,電子商務(wù)所面臨的信息安全現(xiàn)狀不容樂觀。所據(jù)美國網(wǎng)絡(luò)界權(quán)威雜志《信息安全雜志》披露,從事電子商務(wù)的企業(yè)比一般企業(yè)承擔(dān)著更大的信息風(fēng)險(xiǎn)。其中,前者遭黑客攻擊的比例高出一倍,感染病毒、惡意代碼的可能性高出9%,被非法入侵的頻率高出10%,而被詐騙的可能性更是比一般企業(yè)高出2.2倍。
調(diào)查顯示,近年來,我國發(fā)生的通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)金融犯罪多達(dá)200起,造成上億元的經(jīng)濟(jì)損失。中國網(wǎng)民對網(wǎng)上交易的最大擔(dān)心莫過于支付信息的安全問題,超過八成的網(wǎng)民對網(wǎng)上交易的安全性表示擔(dān)憂。信息安全問題成為困擾網(wǎng)上交易的一大難題。
目前,我國的信息安全研究已經(jīng)歷了通信保密、計(jì)算機(jī)數(shù)據(jù)保護(hù)兩個發(fā)展階段,現(xiàn)正處于網(wǎng)絡(luò)信息安全研究階段。通過學(xué)習(xí)、吸收、消化等手段,已逐步掌握了部分網(wǎng)絡(luò)安全和電子商務(wù)安全技術(shù),進(jìn)行了安全操作系統(tǒng)、多級安全數(shù)據(jù)庫的研制探索,但由于沒有掌握系統(tǒng)核心技術(shù),使得要開發(fā)出有自主知識產(chǎn)權(quán)的信息產(chǎn)品困難重重,而基于國外具體產(chǎn)品開發(fā)出的安全系統(tǒng)則難以完全杜絕安全漏洞或“后門”。在借鑒國外先進(jìn)技術(shù)的基礎(chǔ)上,國內(nèi)一些企業(yè)也研制開發(fā)出一些安全產(chǎn)品,如防火墻、黑客入侵檢測系統(tǒng)、電子商務(wù)安全交易系統(tǒng)、安全路由器等。但這些產(chǎn)品安全技術(shù)的規(guī)范性、完善性、實(shí)用性還存在許多不足,理論基礎(chǔ)和自主的技術(shù)手段需要發(fā)展和強(qiáng)化。
此外,國內(nèi)不少電子商務(wù)企業(yè)對網(wǎng)絡(luò)信息安全意識不強(qiáng)。無論在建網(wǎng)立項(xiàng)、規(guī)劃設(shè)計(jì)上,還是在網(wǎng)絡(luò)運(yùn)行管理和使用中,更多的是考慮效益、方便、快捷,而把安全、保密、抗攻擊放在了次要地位,出現(xiàn)了諸如對網(wǎng)絡(luò)實(shí)用性要求多,對系統(tǒng)安全性論證少;對網(wǎng)絡(luò)設(shè)備投資多,對安全設(shè)施投入少;在操作技能培訓(xùn)上用時多,在安全防范知識的普及與提高上用時少的短期行為。
2 電子商務(wù)信息安全面臨的威脅
2.1 電子商務(wù)信息存儲安全隱患
信息存儲安全是指電子商務(wù)信息在靜態(tài)存放中的安全。其信息安全隱患主要包括:非授權(quán)調(diào)用信息和篡改信息內(nèi)容。企業(yè)的Intranet與Internet聯(lián)接后,電子商務(wù)的信息存儲安全面臨著內(nèi)部和外部兩方面的隱患:
(1)內(nèi)部隱患。主要是企業(yè)的用戶故意或無意的非授權(quán)調(diào)用電子商務(wù)信息或未經(jīng)許可隨意增加、刪除、修改電子商務(wù)信息。
(2)外部隱患。主要是外部人員私自闖入企業(yè)Intranet,對電子商務(wù)信息故意或無意的非授權(quán)調(diào)用或增加、刪除、修改。隱患的主要來源有:競爭對手的惡意闖入、信息間諜的非法闖入以及黑客的騷擾闖入。
2.2 電子商務(wù)信息傳輸安全隱患
信息傳輸安全是指電子商務(wù)運(yùn)行過程中,物流、資金流匯成信息流后動態(tài)傳輸過程中的安全。其安全隱患主要包括:
(1)竊取商業(yè)秘密;
(2)攻擊網(wǎng)站;
(3)網(wǎng)上詐騙;
(4)否認(rèn)發(fā)出信息。
2.3 電子商務(wù)交易雙方的信息安全隱患
傳統(tǒng)商務(wù)活動是面對面進(jìn)行的,交易雙方能較容易地建立信任感并產(chǎn)生安全感。而電子商務(wù)是買賣雙方通過Internet的信息流動來實(shí)現(xiàn)商品交換的,信息技術(shù)手段使不法之徒有機(jī)可乘,這就使得電子商務(wù)的交易雙方在安全感和信任程度等方面都存在疑慮。電子商務(wù)的交易雙方都面臨著信息安全的威脅。
(1)賣方面臨的信息安全威脅。例如,假冒合法用戶名義改變商務(wù)信息內(nèi)容,致使電子商務(wù)活動中斷,造成商家名譽(yù)和用戶利益等方面的受損;惡意競爭者冒名訂購商品或侵入網(wǎng)絡(luò)內(nèi)部以獲取營銷信息和客戶信息;信息間諜通過技術(shù)手段竊取商業(yè)秘密;黑客入侵并攻擊服務(wù)器,產(chǎn)生大量虛假訂單擠占系統(tǒng)資源,令其無法響應(yīng)正常的業(yè)務(wù)操作。
(2)買方面臨的信息安全威脅。如用戶身份證明信息被攔截竊用,以致被要求付帳或返還商品;域名信息被監(jiān)聽和擴(kuò)散,被迫接收許多無用信息甚至個人隱私被泄露;發(fā)送的商務(wù)信息不完整或被篡改,用戶無法收到商品;受虛假廣告信息誤導(dǎo)購買假冒偽劣商品或被騙錢財(cái);遭黑客破壞,計(jì)算機(jī)設(shè)備發(fā)生故障導(dǎo)致信息丟失。
3 電子商務(wù)對信息安全的需求
(1)信息的保密性。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)則建立在一個開放的網(wǎng)絡(luò)環(huán)境(Internet)上,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。保密性一般通過密碼技術(shù)對傳輸?shù)男畔⑦M(jìn)行加密處理來實(shí)現(xiàn)。轉(zhuǎn)貼于
(2)信息的完整性。電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù),同時也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能會導(dǎo)致貿(mào)易各方信息的差異。另外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。因此,貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。一般可通過提取信息摘要的方式來保持信息的完整性。
(3)信息的真實(shí)性。只有信息流、資金流、物流的有效轉(zhuǎn)換,才能保證電子商務(wù)的順利實(shí)現(xiàn),而這一切是以信息的真實(shí)性為基礎(chǔ)。信息的真實(shí)性一方面是指網(wǎng)上交易雙方提供信息內(nèi)容的真實(shí)性;另一方面是指網(wǎng)上交易雙方身份信息的真實(shí)性,即對人或?qū)嶓w的身份進(jìn)行鑒別,為身份的真實(shí)性提供保證,使交易的雙方能夠在相互不見面的情況下確認(rèn)對方的身份。這意味著當(dāng)某人或?qū)嶓w聲稱具有某個特定身份時,鑒別服務(wù)將驗(yàn)證其聲明的正確性。一般可通過認(rèn)證機(jī)構(gòu)和證書來實(shí)現(xiàn)。
(4)信息的不可抵賴性。對進(jìn)行電子商務(wù)交易的貿(mào)易雙方來說,一個很關(guān)鍵問題就是如何確定進(jìn)行交易的貿(mào)易方正是交易所期望的貿(mào)易方。在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已經(jīng)不可能。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識,使原發(fā)方對已發(fā)送的數(shù)據(jù)、接收方對已接收的數(shù)據(jù)都不能否認(rèn)。通常可通過對發(fā)送的消息進(jìn)行數(shù)字簽名來實(shí)現(xiàn)信息的不可抵賴性。
(5)信息的有效性。電子商務(wù)以電子形式取代了紙張,那么如何保證這種電子形式貿(mào)易信息的有效性則是開展電子商務(wù)的前提。電子商務(wù)信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。因此,要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,這對于保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點(diǎn)是有效的。
4 電子商務(wù)的信息安全技術(shù)
電子商務(wù)的應(yīng)用是以Internet的基礎(chǔ)設(shè)施和標(biāo)準(zhǔn)為基礎(chǔ),涉及從通信協(xié)議到應(yīng)用集成的廣泛領(lǐng)域,套用國際標(biāo)準(zhǔn)化組織ISO的開放系統(tǒng)互聯(lián)OSI七層協(xié)議模型,相應(yīng)地將各安全措施映射到對應(yīng)層次中,可以較好地描述電子商務(wù)安全技術(shù)體系。
4.1 網(wǎng)絡(luò)層技術(shù)
網(wǎng)絡(luò)安全是電子商務(wù)系統(tǒng)安全的基礎(chǔ),涉及的方面較廣,如防火墻技術(shù)、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)隱患掃描及各種反黑客技術(shù)等,其中最重要的就是防火墻技術(shù)。防火墻的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)侵入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。簡單防火墻技術(shù)可以在路由器上實(shí)現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。
4.2 加密層技術(shù)
數(shù)據(jù)加密被認(rèn)為是電子商務(wù)最基本的安全保障形式,可以從根本上滿足信息完整性的要求,它是通過一定的加密算法,利用密鑰(secret keys)來對敏感信息進(jìn)行加密,然后把加密好的數(shù)據(jù)和密鑰通過安全方式發(fā)送給接收者,接收者可利用同樣的算法和傳遞過來的密鑰對數(shù)據(jù)進(jìn)行解密,從而獲取敏感信息并保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性。
4.3 認(rèn)證層技術(shù)
安全認(rèn)證技術(shù)是為了保證電子商務(wù)活動中的交易雙方身份及其所用文件真實(shí)性的必要手段。包括:
數(shù)字摘要、數(shù)字簽名、數(shù)字時間戳 、數(shù)字證書、認(rèn)證、智能卡。
4.4 協(xié)議層技術(shù)
電子商務(wù)的在線支付是通過Internet完成的,必須使用安全協(xié)議來保證支付信息傳輸?shù)陌踩⒔灰追降暮戏ㄉ矸莸拇_認(rèn)及支付過程的完整。不同交易協(xié)議的復(fù)雜性、開銷、安全性各不相同。同時,不同的應(yīng)用環(huán)境對協(xié)議目標(biāo)的要求也不盡相同。目前,比較成熟的協(xié)議有SET、SSL、iKP等基于信用卡的交易協(xié)議,Net?鄄Bill,NetCheque等基于支票的交易協(xié)議,Digicash、Netcash等基于現(xiàn)金的交易協(xié)議,匿名原子交易協(xié)議,防止軟件侵權(quán)和非法拷貝的基于PKC的安全電子軟件分銷協(xié)議等。隨著電子商務(wù)的發(fā)展,電子交易手段的多樣化,信息安全問題將會變得更加重要和突出。由于電子商務(wù)的實(shí)現(xiàn)是一項(xiàng)復(fù)雜的系統(tǒng)工程,其信息安全問題的解決有賴于各相關(guān)技術(shù)的發(fā)展,如:公鑰基礎(chǔ)設(shè)施(PKI)技術(shù)的研究與應(yīng)用;電子商務(wù)采購協(xié)議、支付協(xié)議及物流配送協(xié)議的進(jìn)一步完善;XML的研究和標(biāo)準(zhǔn)化等。同時,除技術(shù)問題外,電子商務(wù)的信息安全還有賴于電子商務(wù)發(fā)展所需的政策和相應(yīng)的法律、法規(guī)的建設(shè)等社會環(huán)境的完善。這些課題的研究不僅具有重要的理論價值和實(shí)用價值,而且對于推動電子商務(wù)的發(fā)展具有重要的現(xiàn)實(shí)意義。
參考文獻(xiàn)
1 徐雪梅.淺談保障電子商務(wù)活動中的信息安全[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2003(5)
2 曾強(qiáng).電子商務(wù)的理論與實(shí)戰(zhàn)———全球“大局觀”下的中國電子商務(wù)[M].北京:中國經(jīng)濟(jì)出版社,2000
