电子商务安全策略探讨

电子商务安全策略探讨（精选8篇）

篇1：电子商务安全策略探讨

电子商务的安全策略

关键词：

电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接，这对于电子商务系统的安全性提出了更高的要求，必须保证外部网络(INTERNET)用户不能对生产系统构成威胁。为此，需要全方位地制定系统的安全策略。

就整个系统而言，安全性可以分为四个层次，如图1所示：

1.网络节点的安全

2.通讯的安全性

3.应用程序的安全性

4.用户的认证管理

图1：安全性四个层次结构

其中2、3、4层是通过操作系统和Web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

一、网络节点的安全

1.防火墙

防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。

2.防火墙安全策略

应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。3.安全操作系统防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。

二、通讯的安全

1.数据通讯

通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于：

(1)客户浏览器端与电子商务WEB服务器端的通讯;

(2)电子商务WEB服务器与电子商务数据库服务器的通讯;

(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。

2.安全链路

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的`基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

三、应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件，特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制(最少许可)，程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。

四、用户的认证管理

1.身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

2.CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

五、安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。

对于所有接触系统的人员，按其职责设定其访问系统的最小权限。

按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

篇2：电子商务安全策略探讨

欢迎各位电子商务的同学阅读电子商务的安全策略，希望对大家有帮助!

[摘 要]如何确保电子商务可靠、可信赖的运转，安全问题理所当然地提升为有待完善与改进的重要问题之一。

篇3：电子商务安全策略探讨

1 电子商务安全概述

电子商务安全是指在电子商务活动中交易双方的信息安全、真实、有效和不可抵赖。随着电子商务的发展,利用电子商务活动的信息犯罪越来越多,主要有产品质量不合格,电子交易时卡号和密码被盗用,遭遇网上欺诈,个人信息被公开而导致生活受影响等。这些问题往往给电子商务交易双方带来巨大损失,而通过法律手段来解决这些问题又较为复杂,难度较大,这严重影响了电子商务的发展。

2 电子商务的主要安全要素

2.1 真实性

真实性主要指电子商务活动中交易双方的身份信息真实有效,交易的产品质量信息真实可靠,不存在欺诈行为和信息。

2.2 保密性

电子商务是建立在开放的Internet环境下,网上信息极易被偷窥或篡改。因此,在信息传输过程中采取适当的安全保密措施,增加交易过程的保密性,是电子商务安全常见的安全措施之一。

2.3 不可抵赖性

不可抵赖性即是非正常拒绝。在电子商务活动中,只有相应的电子信息,不存在具体的身份识别方式,因此很容易出现抵赖行为。所以,必须采用新的技术,防止电子商务中的抵赖行为;可靠性要求能保证合法用户对信息和资源的使用不会被不正当地拒绝。

2.4 及时性

及时完成电子商务的交易活动,及时完成交易信息的处理,以保证电子商务交易的有效性,减少电子商务活动纠纷,防止延迟或拒绝服务。

3 电子商务中存在的安全问题

3.1 电子商务面临的网络系统安全问题

开放的互联网络系统,采用的是通用的TCP/IP协议,而TCP/IP并未采用任何措施来保护传输内容不被窃取。另外,互联网底层的操作系统源代码的是公开透明的,再加之一些网络软件也存在漏洞,网络病毒和木马的疯狂传播,都给计算机及网络安全带来严重威胁。从而对电子商务带来由于非法入侵,造成商务信息被纂改、窃取或丢失;商业机密在传输过程中被第三方获悉,被恶意破坏;虚假身份的交易对象及虚假订单、合同等安全问题。

3.2 电子商务面临的电子支付系统安全问题

基于互联网平台的电子商务支付系统涉及到客户、商家、银行、网络服务商等多方机构,在这些对象之间可能存在资金的转付,而这些交易也是通过电子交易来完成的。因此在交易时可能存在账户和密码被盗用,交易的数据被修改,从而带来不可估量的损失。

4 电子商务安全问题的安全策略

4.1 电子商务系统的安全技术

在电子商务活动中存在着种种安全问题,但我们可以利用安全技术来为电子商务安全提供服务,从而提供更全面的安全策略和防范。

4.1.1 网络安全技术

首先,在网络中使用软硬件防火墙,加强网络入侵监测,减少木马入侵,网络攻击等威胁;其次,在局域网内使用VLAN技术,减少病毒或木马在网内的传播,防止网络风暴;在网络之间使用VPN技术,减少由于网络之间的互联带来的安全威胁;最后,可以采用漏洞监测技术和网络安检软件,及时修复系统漏洞,清除病毒、木马和恶意插件。通过这些技术可以较好的提高网络安全水平,减少电子商务交易中的风险。

4.1.2 加密技术

所谓数据加密技术,就是对传输或保存的信息进行重新编码,从而达到隐藏真实信息的目的。通过加密,这些信息即使被非法用户窃取也无法获得真实的信息内容。加密技术是电子商务采取的较为常见的安全措施之一,交易双方在获取信息后,可以通过一定的算法进行信息还原。目前,常见的一些专用密钥加密(如DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认性。

4.1.3 身份认证技术

身份认证技术在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络中的身份信息就是一组特定的数字信息,如何识别操作者就是网络身份信息拥有者,就是身份认证技术要解决的问题。目前主要的身份认证技术主要有静态密码、智能卡、短信密码、动态口令牌、数字签名、USB KEY、生物识别技术等。

4.1.4 安全应用协议

目前主要有四种安全应用协议:(1)安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。(2)安全套接层协议(SSL):SSL安全套接层协议是对计算机之间整个会话进行加密的协议。提供加密、认证服务和报文的完整性,以完成需要的安全交易操作,在SSL中,采用了公开密钥和私有密钥两种加密方法。(3)安全交易技术协议(STT):STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在IE中采用这一技术。(4)安全电子交易协议(SET):它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等Internet主要的安全协议。

4.2 电子商务安全中的法律法规策略

在经济全球化快速发展的环境下,电子商务既是未来国际贸易的发展方向,也是中国实现自主创新、积极参与国际竞争的需要。中国电子商务仍处在起步阶段,还存在着标准不统一、平台建设滞后、应用范围不广、安全性不够、诚信度不高等问题。为了保障和促进电子商务的科学发展,引导和规范电子商务活动,防范和减少交易风险,中国迫切需要制定统一系统的电子商务法,其内容应包括立法宗旨、电子商务概念、基本原则、交易主体、电子合同、电子签名及认证、电子支付、信用保障、交易安全、个人信息保护、消费者权益保护、知识产权保护、电子商务税收、行业自律、争端解决机制、法律责任等内容。

5 结论

为了促进电子商务的发展,消除人们在进行电子商务活动时的顾虑与迟疑,电子商务的安全性显得越来越重要。除了技术问题之外,电子商务的安全还有赖于电子商务发展所需的电子商务安全管理政策、相应的法律、法规等社会环境的完善。这些问题的研究,对于推动电子商务的发展具有重要的现实意义。

参考文献

[1]张爱菊.电子商务安全技术研究[M].北京:清华大学出版社,2006.

[2]祝凌曦.电子商务安全[M].北京:北方交通大学,2006.

[3]刘叶飞,赵德安,单正娅.电子商务安全的探讨[J].中国安全科学学报,2006,(2):25-30.

篇4：电子政务数据库安全保护策略探讨

关键词：电子政务；数据库；安全

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 (2012) 14-0042-02

随着信息技术的高速发展以及我国经济水平的不断提高，我国电子政务系统建设也在不断深入发展。电子政务的应用可以突破地域限制，整合相关部门之间的数据资源，促进各部门的协作办公，提高政府办公效率。同时政务系统的使用为广大民众办事也提供了便利。但是，任何事物都有其两面性，电子政务在给政府部门和人们带来便利之时其安全问题也不容忽视，其中最为核心的部分当属存储政务信息的数据库系统，其安全性是电子政务安全的重中之重。

一、电子政务系统数据库介绍

电子政务是借助信息系统来完成政务工作，利用计算机技术与通讯技术，采用网络化信息服务手段，将行政管理和行政业务集成，实现行政事业单位业务及其工作流程网络化，提高行政管理及对外服务的效率和水平。电子政务的核心部分—数据库通常是一种处在开放网络环境中的分布式数据库系统，大量的数据信息通过开放式的网络实现多用户的共享。数据库根据其业务服务范围和网络逻辑范围划分为内网数据库和外网数据库，目前所采用的两个典型的模式是C/S模式和B/S模式。C/S所采用的模式主要分为三层结构：客户机、应用服务器、数据库服务器，主要表现形式是由客户机将数据传输到应用服务器，然后再次传输到数据库服务器当中。这种模式作为部门内部业务服务系统居多。主要部署业务审批应用系统和业务数据库服务器，数据库和核心交换设备之间部署防火墙、网闸等网络安全设备，内部工作人员通过网络安全设备访问内网数据库，和外网数据库之间实现数据实时更新交换。B/S模式也是分为三层结构：浏览器、Web服务器、数据库服务器。这种模式一般用于对外服务。数据库服务器主要运行门户网站以及为社会大众提供信息查询服务。

二、数据库安全问题可能导致的风险

电子政务数据库作为政务系统的核心部分，其安全问题是政务系统能否正常运行的关键所在，目前各级政府部门往往由于资金、技术、管理等方面的因素存在重硬件轻软件、重应用轻安全的现象，在政务系统建设和管理方面存在安全隐患，从而导致各种安全风险。主要表现在以下几个方面：

1.缺乏有效的隔离技术手段，没有对核心业务数据库系统的访问进行很好的控制，各个数据库之间没有进行有效隔离和访问控制，外网和内网之间彼此可以互相访问，外网的入侵风险很容易扩散到内网核心数据库。

2.数据库未设置访问权限或访问权限设置不当导致数据库不正确访问和非法访问。未授权访问可能导致重要业务数据被窃取或篡改。政务外网系统要对企业和公众提供在线服务，其内部数据库保存着企业和公众的一些数据。这些数据可能涉及到企业的机密和公众的隐私，一旦泄露将会导致无法挽回的损失，轻则造成不良的社会影响，重则造成企业和个人的利益受损，甚至会引起严重的法律纠纷。

3.没有有效的防火墙系统和防病毒系统，黑客攻击和病毒的威胁导致政府网站信息被篡改。随着计算机网络技术的快速发展，计算机病毒和黑客攻击技术也在不断的发展变化之中，甚至超前于安全防护技术。政务网站与互联网直接连接，网站数据很容易成为黑客攻击和感染病毒的对象。政府网站作为各级政府部门发布重要新闻、重大方针政策以及法规等的重要渠道，一旦其网站被篡改或破坏将造成政府形象受损，公信力缺失，甚至造成政治事件。

三、数据库安全防范机制

（一）内外网有效隔离

电子政务系统一方面要通过INTERNET对企业和个人提供服务，企业和个人需要通过INTERNET访问相关信息，另一方面，存储在政务机构的计算机、服务器、磁盘阵列中的这些数据涉及到一定的机密和隐私，这些数据不应被internet上的其它用户直接访问，也不应在Internet上直接传输。因此必须在政务系统内部网络和外部网络之间采取有效的隔离措施。最简单也是最有效的内部网络与外网隔离手段就是物理隔离。采用硬件将内部网与外部网彻底地物理隔离开，没有任何线路连接。这样可以保证外网用户无法直接连接内部网访问内部数据库，具有极高的安全性。其次还可以通过域的划分和防火墙技术对内网数据库进行逻辑隔离。

（二）用户身份认证

用户身份认证是系统对数据库访问提供的第一道安全防护门，用户每一次访问数据库系统都要求提供身份认证，只有输入正确命令的用户才能准许访问，对于身份信息不正确的用户将发出警告。从而有效防止非授权用户进入数据库对数据信息进行篡改、盗取等行为。目前使用最广泛的身份验证手段是设置用户名与密码。对于机密程度比较高的数据库系统还有更高级别的身份认证方法，如通过智能卡、生物特征识别等认证技术。用户身份的识别只能通过数据库授权与验证才能知道是否为合法的用户。

（三）访问控制技术

访问控制是对授权用户存取访问权限的确定、授予和实施，其目的是在保证系统安全的前提下，最大限度地共享资源。实施访问控制就是按照安全要求，预先给不同的用户指定相应的安全属性，用以标明主体访问权限即可读、可写、查询、添加、修改、删除等操作的组合，还有安全的访问过程等。可以通过对角色的限定、用户的管理以及权限的分层对数据库系统进行安全访问控制，通常数据库系统角色可以分为服务器角色、数据库角色，权限可以分为操作系统级别、数据库系统级别、数据库级别，不同的角色、不同的级别将授予不同的访问权限，从而保证具备特殊数据访问权限的用户能够登录到数据库服务器，访问数据以及对数据库对象实施权限范围内的操作，并且拒绝所有非授权用户的非法操作。

（四）数据加密处理

对于政务数据库而言，其安全防护不仅要满足数据库的日常应用，同时由于政务数据库可能涉及到企业、个人隐私甚至是国家政府机密，因此在采取安全防护的同时为了数据的保密性还必须使用数据加密技术，增加数据储存的安全性。所谓加密，通常而言是将可明确辨别的数据信息转换为不能识别的加密数据信息，非指定用户不能识别相关数据，指定用户可将加密信息通过相关程序进行解密而识别。根据电子政务数据库数据要实现网络共享的特点，可以采用公开密钥的加密办法，这种加密办法可以经受住来自操作系统和DBMS的攻击，但是它的缺点是只能加密数据库中的部分数据，但这也足够机密数据进行数据加密保护。电子政务系统数据库通常采用关系型数据库，根据关系型数据库的特点结合实际需要采取以表、记录或字段、数据元素为单位进行库内加密。如果以记录为单位进行加密，那么每读写一条记录只需进行一次加解密的操作，对于不需要访问到的记录，完全不需要进行任何操作，所以使用起来效率会高一些。但是由于每一个记录都必须有一个密钥与之匹配，因此产生和管理记录密钥比较复杂。也可以以字段为单位进行加密，以字段为单位的加密分析与以记录为单位的加密情况相似。数据元素作为数据库库内加密的最小单位，其加密方式最彻底的但也是效率最低的。每个被加密的元素会有一个相应的密钥，所以密钥的产生和管理比记录加密方式还要复杂。

（五）数据备份与恢复

不论安全防范和保障工作做得多好，都不能保证数据百分百不受损害，因此数据库备份是很有必要的，这也是数据库保护策略最后的一道保障措施。一旦数据库受到非法入侵、病毒破坏、或者发生自然灾害、盗窃等情况造成数据篡改或丢失，可以利用数据备份在短时间内迅速恢复好数据库，将造成的损失或影响降到最小。数据库数据备份可以分为数据完整备份、差异备份、事务日志备份、文件及文件组备份等多种方式，在实际备份作业中可以综合使用完整备份、差异备份、日志备份来提高数据库系统的安全性，将数据丢失的风险降到最低。如对于数据量大、数据更新频繁的数据库可以根据数据库系统实际运行情况进行周期性的数据库完整备份，如每周或每两周一次，同时间隔性地进行数据库的差异备份，在两次差异备份之间进行事务日志备份。为了保证数据备份的及时和备份数据的安全性，可以利用操作系统的自动触发机制或数据库系统自动备份的功能进行数据异地自动备份。

四、结束语

随着通信技术和计算机技术的发展，新的安全风险也与日俱增，数据库安全保障措施作为政务信息系统安全、高效运行的关键，需要在实践中不断去完善，才能真正保障数据信息的安全。

参考文献：

[1]黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012,7:3-5.

[2]袁新来.数据库安全技术相关问题探讨[J].信息与电脑,2012,6:94-95.

[3]时以全.电子政务网络数据库安全保护研究[J].信息网络安全,2012,4:16-18.

[4]杨灿.电子政务数据中心安全分析[J].计算机安全,2012,8:82-85.

篇5：电子商务安全防范的策略

一、从科技层面加强防范措施

（一）几种主要的电子商务安全技术 1.加密技术

加密技术是电子商务才去的主要安全措施，是实现信息的保密性、完整性的核心。加密技术一方面以用于数据、文件加密，另一方面也是身份认证、数字签名等安全技术的基础。按照密钥的不同，加密技术主要有对称型密钥体制和非对称型密钥体制。对称密码体制也称为私钥密码体制，发送方和接受方都必须使用相同的密钥对消息进行加密和解密运算。目前比较通用的堆成加密算法有RC4和DES等。对称加密算法最大的优势就是开销小、加密速度快，所以广泛应用于对大量数据如文件进行加密。它的局限性在于通信双方要确保密钥的安全交换，密钥的分发和管理非常复杂，而且无法鉴别交易发起方或交易最终方。非对称型密钥加密也称为公开密钥算法，需要两个密钥：对外公开的公开密钥和自己保存的私有密钥。公开密钥用于对机密信息加密，私有密钥用于对机密信息解密。由于公开密钥是公开存放，迷药的分配和管理问题很容易解决。然而，公钥加密算法速度比私钥加密算法慢的多，同时公开加密方式对资源的占用较大，网络传输速度将受到影响。在实际应用中，通常将两种加密技术集合起来。数字信封即利用了两种加密技术的优点，先采用公钥密码加密传送的信息，从而确保信息的安全性。

2.安全认证技术

一种是数字摘要与数字签名技术。数字摘要技术也称为散列技术。摘要技术采用Hash函数将徐加密的明文映射成一串较短的定长密文，这一串密文亦称为数字指纹，可以确保数据不被修改，保证信息的完整性。数字签名就运用了数字摘要技术，与传统签字具有同样的有效性，其原理如下：报文发送方从报文文体中生成一个128位的报文摘要，并用自己的私有密钥对这个摘要进行加密，形成发送方的数字签名；然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方；报文接收方首先从接收到的原始报文中计算出128位的消息摘要，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个摘要相同，那么接收方就能确认该数字签名是发送方的。数字签名技术可以保证信息传输过程中的完整性，提供信息发送者的身份认证和不可抵赖性。

另一种是数字证书。数字证书又称数字凭证，由可信任的、公正的权威机构——CA中性颁发。CA中心对申请者所提供的信息进行验证，然后通过向电子商务各参与方签发数字证书，来确认各方身份的真实性、合法性及对网络资源的访问权限等，保证网上支付的安全性。3.数字水印技术

数字水印是指用信号处理的方法在数字多媒体数据中嵌入隐蔽的标记，这种标记通常是不可见的，只能通过专用的检测器或阅读器提取，它并不改变数字产品的基本特性和使用价值。数字水印的基本思想是利用人类的感觉器官的不敏感，以及数字信号本身存在的冗余，在图像、音频和视频等数字产品中嵌入秘密的信息以便记录其版权，要求嵌入的信息能够抵抗一些攻击而生存下来，从而到版权认证和保护的功能。一个完整的数字水印系统应包含三个基本部分：水印的生成、水印的嵌入和水印的提取或检测。水印嵌入算法利用对称密钥实现把水印嵌入到原始载体信息中，得到隐秘载体。水印检测/提取算法利用相应的密钥从隐秘体中检测或恢复出水印。在没有解密密钥的情况下，攻击很难从隐秘载体中发现和修改水印。

（二）安全技术在电子商务中的应用 1.加密技术在电子商务中的应用

灵活运用加密技术，可以有效地解决电子商务的很多安全问题。例如，数字信封技术结合了对称密码体制和非对称密码体制的优点，保证了电子交易过程中只有规定的特定收信人才能阅读通信的内容。信息发送方首先利用随机产生的对称密钥来加密信息，然后用接收方的公开密钥加密对称密钥，被加密后的对称密钥即数字信封。在传递信息时，发送方将数字信封和加密后的信息一起发送给接收方，接收方必须使用自己的私有密钥进行数字 信封的拆解，得到对称密钥，才能利用对称密钥进行解密看到信件内容。因此，采用数字信封技术后，即使加密信件被他人非法截获，截获者也无法知晓信件内容，从而保证了只有规定的人才能阅读信息的内容。利用非对称密码体制的常用算法——RSA算法可以实现不可抵赖性。甲向乙发送数据时，先用MD5算法计算要发送的数据的信息摘要，再用自己的私有密钥对摘要进行加密来形成数字签名。乙收到数据后，用甲的公开密钥解密并确认数据内容。然后乙用自己的私有密钥再对数据进行签名并传送给甲。甲收到数据后，用乙的公开密钥进行解密并确认数据内容，将内容保存起来。通过这样的操作，甲不能否认自己发送了数据，乙也不能否认自己收到了甲发送来的数据，从而实现了不可抵赖性。

2.安全认证技术在电子商务中的应用

身份认证是实现网络安全的重要机制之一。参与电子商务的各方必须通过某种形式的身份验证来证明他们的身份，验证用户的身份与所宣称的是否一致，从而实现对于不同用户的访问控制和记录。身份认证可以通过数字签名和数字证书来实现。如果接受方能够成功解密数字签名，就可以对发送对发送方进行身份认证，确认传送信息的完整性。然而，如果接受方获得的公开密钥不是发送方的，数字签名就失效了。因此，仅有数字签名不能实现身份认证。书证书提供了一种验证用户身份的方式，能够确认公钥的确属于某个用户，任何需要此用户公钥的人都可以得到此证书并通过相应的数字签名来验证公钥的有效性。目前，常见的身份认证方式和基于生物特征的认证方式等。

3.数字水印技术在电子商务中的应用

数字水印将姓名、公司代号、产品序列号等信息隐藏到载体中，从而可以认定签署人身份、信息的来源、信息的完整性与安全性等。因而可以在加密信件、商务活动、定货购买系统、远程金融交易、自动模式处理等电子商务和电子政务领域广泛地应用数字水印技术，以达到保护版权的目的。从传统商务向电子商务转化的过程中，会出现大量过度性的电子文件。同时，随着高质量图像输入输出设备的发展，使得货币、支票以及其他票据的伪造变的更加容易。数字水印技术可以为各种票据提供不可见的认证标志，大大增加了伪造的难度，从而被广泛应用于票据防伪。我们可以在彩色打印机、复印机输出的图像中加入惟一的、不可见的水印，在需要时可以实时地从扫描票据中判断水印的有无。

二、从管理环境加强防范措施

（一）提高安全管理意识，完善管理体制和管理环境 1.从整体上有计划地考虑信息安全问题

由于各部门、公司存在个体差异，对于不同业务领域来说，信息安全具有不同的涵义和特征，信息安全保障体系的相关内容。应收集现有的已发生的电子商务安全问题及解决方案，向企业从事电子商务操作的人员及客户搜集电子商务信息安全所面临的潜在的问题得到解决，并将其存储到数据库，使其于相应问题连接可以保证电子商务操作人员在面临安全问题并试图解决时能尽快获得必要的信息。

2.加快信息安全人才的培养

通过各种形式，如笔试、面试及其他测试来进行初级选拔，经过一定时间的考察，选拔责任心强、讲原则守纪律、了解市场并懂得基本网络知识和安全知识的人员。对于重要的业务，尤其是企业机密文件及用户资料等业务不要安排一个人单独管理，应实行两个人或多个人相互制约的机制；重要业务操作人员及交易安全等职务的任期有限；对于网络访问权限耳的设定应保证不同业务的人员具有不同的访问权限。

3.提高企业和公众安全意识

要求电子商务网上交易人员严格遵守企业网上交易安全制度，明确网上交易人员及管理人员的责任，重视管理，避免“重技术、轻管理”的现象。电子商务管理安全时一个交互的过程，“三分技术，七分管理”阐述了信息安全的本质。当面临安全问题的时应及时汇报，并对违反网上交易安全规定的行为进行惩罚，对有关责任人应进行严肃处理。4.建立信息安全的监督审计机制

定期对安全制度和安全策略进行审计，对安全管理工作进行核查，找出安全管理中的问题和漏洞，并制定相应的解决方案进行安全加固。

（二）建立行之有效的电子商务安全运行体系 一要做好电子商务网站的安全评估，要聘请专家对电子商务网站进行安全水品评估，及时发现安全隐患，及早赌赛安全漏洞。要建立安全体系架构。包括网络拓扑结构，内网和外网连接方式等要合理。再次是做好病毒的防护，在企业中培养集体防毒意识，部署统一的防毒策略，高效、及时地应对病毒的入侵。最后是综合采用多种安全技术，包括防火墙技术、入侵检测技术、数字加密技术、数字签名技术、认证技术等，确保网站系统、信息及数据的安全于保密。

篇6：电子商务安全策略探讨

在电子商务大环境中，企业网络营销首先要具有相应的管理人员，他们不仅要具备相应的职业能力，还要有强烈的服务意识与沟通能力。在这样的条件中，企业应不断在吸引综合型电子商务人才，有效地培养和提高企业员工的整体素质与服务水平，适应电子商务环境下的生存与发展需要。

4.2完善企业信息体系

在电子商务大环境中，企业的可持续发展离不开优秀的营销策略，在这个过程中，企业应加快建立信息化网络设备，重视信息化人才的培养。对企业的员工进行信息化培养，挖掘和开发员工潜在能力，实现企业自已培养与送培的目的。在这个过程中，可以安排业务骨干参与到企业的信息化管理中，对整个信息化体系进行优化与创新。以信息化业务人才作为企业管理与发展的根本。信息化专业人员应做好相应的计划，更好的服务于企业网络营销的发展。

4.3创新营销理念

随着电子商务的不断发展，在这样的发展环境中，客户对产品又有了更高的要求。企业要想长期的发展，就必须要不断地改革与创新适合客户需求的营销理念，促使客户在购买的过程中，可以实现自已的需求，同时还可以提高购买欲望。因此，企业在电子商务的环境中，可以在网络上通过多种方式来满足客户的需求。现如今，网络信息的开放性，企业不仅可以获得更多的客户信息，还可以让客户在购买的过程中，实现自已的购买愿望。因此，创设符合客户需求的网络营销理念是非常重要的，这不仅是企业发展的关键，也是提高企业竞争力的关键环节[4]。

5结束语

综上所述，在信息技术快速发展的时代中，电子商务作为一个新型的产物，必定是企业可持续发展的产物，也是一种必然的趋势。企业在电子商务下的发展下，必取采取有效的网络营销策略，适应新的经济市场需求。

参考文献：

[1]冯强.电子商务环境下个性化价格营销策略探讨[J].黑龙江科技信息,(35):116-117.

[2]董伟.电子商务环境下的企业营销策略分析[J].现代营销(下旬刊),(04):56.

[3]巩恩伟.传统品牌企业在电子商务背景下的网络营销策略[J].电子商务,2015(09):32-33.

篇7：电子商务安全技术探讨

毕业论文是每个毕业生都要经过的一道门槛，下面就让我们学习下怎么写毕业论文?

摘 要: 随着Internet、计算机技术、网络技术的发展，出现了一种新兴的商务模式—电子商务。随着电子商务的飞速发展，安全成为制约其发展的关键.本文在简单介绍了电子商务的现状、安全隐患及安全技术措施，其中重点探讨电子商务的交易安全及网络安全问题及相应的解决措施。

关键词:电子商务 安全 密码 数字签名 协议 网络安全 交易安全

电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程;它是一种基于互联网，以交易双方为主体，以银行电子支付和结算为手段，以客户数据为依托的全新商务模式。本质是建立一种全社会的“网络计算环境”或“数字化神经系统”，以实现信息资源在国民经济和大众生活中的全方位应用。

一、从安全上看，电子商务的现状

1.网络信息安全在全球还没有形成一个完整的体系，我国也不例外。

2.安全技术的强度普遍不够。国外有关电子商务的安全技术，虽然其结构或加密技术等都不错，但受到了外国密码政策的限制，因此强度普遍不够。

3.电子商务网站的安全管理存在很大隐患，普遍难以经受黑客的攻击。

4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域，这些因素的存在必将影响我国电子商务进一步的发展。

二、电子商务安全性要求

从传统商业与电子商务的不同特点来看，要满足电子商务的安全性要求，至少要有下面几个问题需要解决：

1.交易前交易双方身份的认证问题。电子商务是建立在互联网络平台上的虚拟空间中的商务活动，交易的双方只能通过数据、符号、信号等进行判断、选择，具体的商业行为也依靠电子信号和数据的交流，交易的当事人再也无法用传统商务中的方法来保障交易的安全。

2.交易中电子合同的法律效力问题以及完整性保密性问题。

3.交易后电子记录的证据力问题。在英美法系，传闻证据规则限制了电子记录的证据力。在我国，诉讼法中并未对电子记录的证据力作出明确规定，甚至也没有将其单列出来作为证据的一种。

三、网络安全技术及解决思路

计算机网络安全的特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。其问题有：

1.未进行操作系统相关安全配置。不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。

2.未进行CGI程序代码审计。如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

3.拒绝服务(DoS，Denial of Service)攻击。随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。

4.安全产品使用不当。虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

5.缺少严格的网络安全管理制度。网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

分析计算机网络安全面临的问题本人提出的解决思路有：1.加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞。

2.要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在安全隐患，并及时加以修补。

3.从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证。

4.利用RAID5等数据存储技术加强数据备份和恢复措施。

5.对敏感的设备和数据要建立必要的物理或逻辑隔离措施。

6.对在公共网络上传输的敏感信息要进行强度的.数据加密。

7.建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

四、电子商务交易安全面临的问题及解决思路

一般来说商务安全中普遍存在着以下几种安全隐患：

1. 窃取信息。由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

2. 篡改信息。当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

3.假冒。由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

4.恶意破坏。由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

电子商务交易安全面临的问题本人提出的解决思路：

1.部分告知(Partial Order)：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

2.另行确认(Order Confirmation)：即当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。

3.建立有效的安全交易标准和技术：如现在建立的安全超文本传输协议(S-HTTP)、 安全套接层协议(SSL)、安全交易技术协议(STT，Secure Transaction Technology)等。

4.数字认证：数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性，甚至数据媒体的有效性。

5.加密技术：保证电子商务安全的最重要的一点是使用加密技术对敏感的信息进行加密。

6.电子商务认证中心(CA，Certificate Authority)实行网上安全支付是顺利开展电子商务的前提，建立安全的认证中心(CA)则是电子商务的中心环节。

五、结束语

我国的电子商务近年来发展很快，但是有关的安全保障还未建立起来。这已经成为影响我国电子商务发展的一个障碍。为此，我们必须加快建设有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。具体而言，我们要从法律上承认电子通讯记录的效力，给电子商务以法律保障;我们要加强对电子签名等的研究，给电子商务以技术保障;我们还要尽快建立电子商务认证体系，给电子商务以组织保障。而且，针对电子商务无国界的特点，我们还应该加强国际合作，使电子商务真正发挥其应有的作用。惟有如此，我们才能顺应时代潮流，推动我国经济的发展;也惟有如此，我们才能在经济全球化的今天，参与到国际竞争中去，并进而赢得竞争的优势。

参考文献:

[1]周化祥、李智伟.网络及电子商务安全.[M].北京：中国电力出版社，.7.

篇8：电子商务安全策略的分析与探讨

1 电子商务安全涵盖的内容

1.1 计算机网络安全

计算机网络安全, 其中主要包括计算机网络设备安全、计算机网络系统安全以及数据库安全等。关于网络安全方面的基本特征, 具体表现在计算机网络技术层面。对计算机网络安全本身存在的安全问题, 实施网络安全的增强方案, 确保计算机网络自身的安全性并将其作为基本指标。

威胁计算机网络安全的因素很多, 其中分为自然因素和人为因素, 其中人为因素是最主要的因素, 主要是指不法之徒利用网络存在的漏洞盗非法获取重要的数据、篡改数据、破坏硬件设备、制造病毒等。

1.2 电子商务交易安全

电子商务交易安全围绕贸易双方在进行交易过程中存在的诸多安全因素。在计算机网络安全基础之上, 确保电子商务交易过程的顺利开展, 努力实现电子商务的保密性、完整性、不可否认性、不可抵赖性以及不可伪造性。

2 电子商务安全面临的威胁

电子商务安全方面面临的威胁主要有:

2.1 泄露信息

电子商务在交易期间, 黑客或外来入侵者运用各种技术手段获取销售信息或商业机密, 这就会使系统资源失窃。在电子商务中经常发生的就是系统信息泄露, 如2012年当当网账户集体被盗事件就是由于用户信息被非法泄露造成的。

2.2 身份仿冒

在电子商务中, 第三方假冒合法身份与他人发生交易, 进行信息欺诈和信息破坏, 进而获取非法的利益。主要表现有:冒充卖家或买家, 使卖家名誉受损或使买家财产受损。其中较为典型的案例有2014年有一小伙在微信上假冒他人推销名牌山寨手机, 在十几天时间内就有6名受害人上当。

2.3 木马威胁

许多黑客工具可以进行远程控制、检查以及监控目标用户的信息, 能够使目标设备与用户的合法设备一样, 向网络方面发送信息, 具有一定的欺骗性。黑客可以运用网络下载的木马程序, 进行对电子商务当中的交易信息的窃取以及数据的修改等。木马工具能够通过电子邮件的方式, 被安装到目标用户的电脑终端, 修改电脑中涉及到的文件与数据等。这种程序在进行电子商务的开展中, 严重地影响双方的正常交易, 并且由于对该病毒的防治方面存在一定的欠缺, 造成电子商务系统数据以及交易内容受到木马威胁。

木马威胁中常见的威胁有假冒类木马、含木马短信、二维码病毒、恶意插件等。在手机客户端的安全中, 恶意APP引发的资金账户风险是其中很大的安全问题。

2.4 篡改信息

电子商务中交易的信息在传输过程中, 可能会被不法之人非法地进行修改、删除, 造成信息失真、不完整。

2.5 交易抵赖

有些用户通过对自己发送的信息进行恶意否定, 推卸责任。交易抵赖现象主要体现在以下状况中:发布者否定所发送的信息, 接收者否认接受过的信息, 购买者否认订过的订单, 商家出于售出商品的质量问题而否认交易。

3 电子商务安全技术

针对电子商务存在的安全威胁所采取的应对措施主要有:

3.1 防火墙

在网络安全中的一道屏障就是防火墙, 因此在电子商务中必须要安装防火墙来保障交易中的安全。防火墙一般是在外部网络和内部网络之间放置的, 可以防止未经授权的通讯进出能够得到保护, 它是一种对边界进行控制进而使内部网络得到强化的政策。防火墙主要有五大功能:

(1) 对进出口网络的数据进行过滤。

(2) 对进出网络的访问行为进行管理。

(3) 对某些未授权的行为进行封堵。

(4) 将通过防火墙的信息内容和活动记录下来。

(5) 检测和警告所受到的网络攻击。

防火墙对于外部的网络攻击可以进行有效的保护, 但却毫无能力抵御来自内部网络的攻击。在电子商务安全中若只是运用防火墙技术来保障是远远不够的, 还必须要运用其他技术和手段。

3.2 计算机病毒技术

在电子商务中进行的交易是十分广泛和开放的, 这就导致在交易中易被病毒攻击。为了避免病毒攻击就要在电脑中安装病毒软件, 并定期对电脑进行杀毒、更新软件。对硬件设备的管理与维护一般是在交易时安装网管软件, 网管软件在对硬件进行维护时还能对日志或临时性的文件进行清理, 并对服务器的活动和用户注册情况进行检验, 以便于电子商务系统可以稳定。

3.3 数据加密技术

加密技术指使用代码或密码对重要的信息进行加密后再进行传送或存储, 其他用户在使用时再进行解密, 这就可以很好地保障数据信息的安全性。在电子商务中安全技术的基础就是信息加密技术。数据加密技术一般分为对称加密和非对称加密。

对称加密, 其做法是信息的发送方将信息加密, 接收方收到信息后再对信息进行解密, 这一方法的主要特点是加密和解密中的密匙是同一个, 其中最为典型的代表案例就是美国国家安全局的DES。这种方法使用起来较为简单, 加密和解密速度很快, 主要针对大量信息进行加密。

非对称加密。这种方法在使用中主要是使用不同的密匙对信息进行解密, 通信双方都拥有两把密匙, 即一把公匙和一把密匙。其中公匙是公开的, 密匙则自己保管。信息用公匙加密后, 要想解密只能使用密匙。这种方法中典型的案例是RSA算法, 但是这种算法加密和解密都需要进行两次, 处理和计算量较大, 加密和解密速度较慢, 因此只针对少量数据进行加密。

3.4 安全认证技术

安全认证技术主要是对信息进行认证, 保证信息在通信中的真实性。主要包括安全认证技术和安全认证机构两方面。安全技术认证有数字摘要、数字信封、数字签名、数字证书等。能够承担网上安全交易认证服务的就是电子商务认证中心, 在这个认证中心可以签发数字证书, 能够确认用户的身份。

3.5 安全认证协议

在电子商务中应用最为广泛的安全认证协议主要有安全套接层SSL协议和安全电子交易SET协议。SSL协议主要是用于银行与企业或企业与企业间的电子商务, SET则是为持卡消费、网购等电子商务服务的。SET协议认证体系较为完善, 可以进行多方认证, 可以提供更为可靠的安全保障。使用SET协议期间, 卖家是无法看到用户的账户信息的, 而对于用户订购的具体内容银行也是不清楚的。

3.6 不轻易打开网站链接

不轻易打开网站链接主要是针对身份仿冒问题的。为了防范这种骗局, 对于不信任的网站、别人发来的链接, 我们都不要轻易去打开, 以免被不法之徒利用从而发生账户信息泄露等问题。

4 安全管理策略

除了运用上述技术来保证电子商务系统的安全外, 电子商务平台还还必须要有严格的内部安全机制, 以此杜绝2012年发生的一号店员工泄露用户信息类似事件。内部安全机制可以从以下几方面来建立:

4.1 人员权限

电子商务系统的所有人员, 必须按照其职责范围对其权限进行设定, 对于不属于自己职责范围的, 没有权限进行访问。

4.2 管理原则

安装分级进行管理, 对于电子商务中内部用户帐户和密码必须严格的管理, 要进行严格的身份确认后才能进入系统。

4.3 工作记录

要建立网络安全的维护日志, 对与安全相关的所有信息进行记录, 以便发生突发状况时可以进行查询, 并要对工作记录定期地检查, 这样就可以及时发现存在的安全隐患。

4.4 信息备份

对重要的信息、数据进行备份, 在备份后针对不同数据信息的重要程度, 对此再进行加密处理。

5 结论

随着电子商务的不断发展, 电子商务的安全问题也是日益多元化, 因此就必须要重视电子商务的安全问题, 提高安全意识, 做好防护。但是如果只是用某种防护手段, 无法进行全面的防护, 因此要建立安全有效且技术先进的安全技术系统。同时也要完善电子商务的立法, 并提高各方面人员的道德素质, 以此来有效规避电子商务中的安全隐患, 促使我国电子商务健康快速地发展。

摘要：网络技术的不断提高使得以互联网为基础的电子商务也获得了较大的发展, 目前电子商务已成为一种新的商务模式。但由于互联网具有开放性, 因此使电子商务存在着许多安全隐患。在电子商务中最为核心的问题就是安全问题, 怎样建立一个安全的电子商务环境, 更好地保护交易信息是电子商务中卖家和买家共同关注的一个问题。

关键词：电子商务,安全隐患,安全策略

参考文献

[1]李睿.电子商务中的第三方支付研究[D].北京交通大学2013:27-29

[2]王庆.浅谈电子商务的网络安全[J].电脑知识与技术.2014. (2) :428-429.

[3]姜春辉.电子商务中的信息安全技术[J].科技资讯, 2007 (27) :113-115.

[4]李贵丽, 刘锐.基于RSA的公钥密码系统[J].鞍山钢铁学院学报.2002 (25) :412-414.