电子商务安全论文

要写好一篇逻辑清晰的论文,离不开文献资料的查阅，小编为大家找来了《电子商务安全论文(精选3篇)》仅供参考，大家一起来看看吧。[摘要]电子商务是现代信息技术和传统商务活动相结合的产物。它已经逐渐成为人们进行商务活动的新模式，越来越多的人们通过Internet进行商务活动,而安全问题也变得越来越突出。本文通过对电子商务面临的各种安全问题进行分析，提出了解决电子商务安全问题的安全技术策略及法律策略。

第一篇：电子商务安全论文

基于电子商务的安全问题分析及其安全策略探讨

随着Internet的迅猛发展，电子商务作为现代信息技术和传统商务活动相结合的产物．已经逐渐成为人们进行商务活动的新模式，受到了全世界、全社会的广泛关注。如今，电子商务魅力的日漸显露，虚拟企业、虚拟银行、网络营销、网上购物、网上支付、网络广告等一大批前所未闻的新词汇正在为人们所熟悉和认同，越来越多的人们通过Internet进行商务活动，因此电子商务的安全问题也变得越来越突出。

作者：张洪

第二篇：电子商务中安全问题的分析及其安全策略

[摘要] 电子商务是现代信息技术和传统商务活动相结合的产物。它已经逐渐成为人们进行商务活动的新模式，越来越多的人们通过Internet进行商务活动,而安全问题也变得越来越突出。本文通过对电子商务面临的各种安全问题进行分析，提出了解决电子商务安全问题的安全技术策略及法律策略。

[关键词] 电子商务 安全技术 安全策略

一、电子商务安全概述

电子商务的载体是互联网，但互联网的共享性、开放性和匿名性却给电子商务安全问题带来了极大的隐患，使得电子商务受到威胁、攻击的可能性大大增加。

1.电子商务安全内涵

电子商务的安全主要是指用户方和提供产品服务方的安全,即双方信息都要保密,用户账号不能被第三方获知,提供产品或服务方的订货和付款信息等商业秘密也不能为竞争对手所知,并且商务活动一旦达成,相关信息未经双方协定,不可更改、不能否认。

2.电子商务的安全需求

电子商务主要依托运作的环境是当前的国际互联网和未来的国际信息基础设施。网络是从事电子商务机构安身立命的工作环境，其安全需求也表现在以下几个方面：

(1)网站的安全维护。（2)电子商务中安全支付。（3)商业秘密的安全保护。（4)电子商务中知识产权的保护。

二、电子商務中存在的安全问题

1.电子商务面临的网络系统安全问题

电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务。电子商务网络系统安全问题包括以下几个方面:（1)网络部件的不安全因素。(2)软件不安全因素。(3)工作人员的不安全因素。(4)自然环境因素。

2.电子商务面临的电子支付系统安全问题

众所周知，基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构，以及它们之间可能的资金划拨，所以客户和商家在进行网上交易时必须充分考虑其系统的安全。目前网上支付中面临的主要安全问题有以下几方面:

(1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。

(2)支付金额被更改。

(3)不能有效验证收款人的身份。

三、电子商务面临的认证系统安全问题

中国政府2002年颁布的《国民经济和社会发展第十个五年计划信息化重点专项规划》中指出:加快电子认证体系、现代支付系统和信用制度建设，大力支持发展电子商务。要加快发展电子商务，使电子商务在金融、外贸、税收、海关、农业等领域大力推广应用，其关键之一，即涉及到电子商务的安全认证问题。

1.信息泄漏

在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。如信用卡的账号和用户名被人获悉，就可能被盗用。

2.篡改

在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。假如两公司签订了一份由一公司向另一公司供应原料的合同，若赶上原料价格上涨，供货方公司篡改价格将使自己大幅受益，而采购公司将蒙受损失。

3.身份识别

在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。

4.蓄意否认事实

由于商情的千变万化，商务合同一旦签订就不能被否认，否则必然会损害一方的利益。因此，电子商务就提出了相应的安全控制要求。

(1)电子商务中面临的法律安全问题。随着国际信息化、网络化进化的不断发展，在电子商务领域利用计算机网络进行犯罪的案件与日俱增，其犯罪的花样和手段不断翻新。

(2)电子合同中的法律问题。电子商务合同的订立是在不同地点的计算机系统之间完成的。许多国家的法律要求必须有书面形式的交易单证作为证明交易有效和作为交易的证据；否则，这种合同属于无效合同。关于电子合同能否视为书面合同，并取得与书面文件同等的效力，是各国法律尚未解决的问题，与传统书面文件相比，电子文件有一定的不稳定性，一些来自外界的对计算机网络的干扰，都可能造成信息的丢失、损坏、更改。

(3)银行电子化服务的法律问题。银行是电子支付和结算的最终执行者，起着联结买卖双方的纽带作用，但对一些从事电子货币业务的银行来说，犯罪分子伪造电子货币，给银行带来了直接经济损失。

(4)电子资金转账的法律问题。电子资金转账的法律是个特殊问题，但是我国现行的《票据法》并不承认经过数字签名认证的非纸质的电子票据支付和结算方式。并且支付不可撤消，付款人或第三人不能要求撤消已经完成的电子资金转账。

(5)电子商务中的知识产权保护问题。电子商务活动中交易的客体及交易的行为经常涉及传统的知识产权领域。

(6)电子商务中的消费者权益保护问题。电子商务等新的交易方式给消费者权益保护带来各种新的维权问题。随着科技进步，新产品的大量出现，消费知识滞后的矛盾也更加突出。

四、电子商务安全问题的安全策略

1.电子商务系统的安全技术

在电子商务活动中存在着种种安全问题,但我们可以利用安全技术来为电子商务安全提供服务,从而提供更全面的安全策略和防范。

(1)网络安全技术。网络安全技术所涉及到的方面比较广,如操作系统安全、防火墙技术、虚拟专用网 VPN 技术和漏洞检测技术等。

(2)加密技术。数据加密技术，就是对信息进行重新编码，从而达到隐藏信息内容，使得非法用户无法获取信息真实内容的一种技术手段。加密技术是保证电子商务安全的重要手段，许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密钥(Secret Keys)来对敏感信息进行加密，然后把加密好的数据发送给接收者，接收者可利用同样的算法和事先商定好的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性,其过程如图所示。

(3)认证技术。认证技术是电子商务安全的主要实现技术。主要利用RSA算法建立的一个为用户的公开密钥提供担保的可信的第三方认证系统，称之为CA。认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。认证技术主要涉及身份认证和报文认证两个方面的内容。身份认证用于鉴别用户的身份。它一般又涉及到两个方面的内容:一个是识别;一个是验证。

(4)安全电子交易协议。目前有两种安全在线支付协议被广泛采用，能为电子商务提供有力的安全保障。

SSL安全套接层协议是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。SET安全电子交易是由MasterCard和Visa以及其他一些业界主流厂商联合推出的一种规范，用来保证在公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验。

2.电子商务安全中的法律法规策略

目前，电子商务法律也在逐步完善，为了电子签名能证实电子文件的合法性国家颁布了《电子签名法》。在危害计算机信息系统有害数据的防治方面的法规有《计算机病毒防治管理办法》、《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《计算机病毒防治产品评级准则》。与电子商务安全方面有关的法规还有：《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等。

参考文献:

[1]王维新:电子商务安全性的技术分析[J].西安文理学院学报，2006，9(3):118～121

[2]姜旭平:电子商务基础教程[M].机械工业出版社,2005，2(1):189～190

[3]刘曼春:浅谈电子商务中的安全隐患和措施[N].湖南工业职业技术学院学报,2006，6(2):25～27

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

作者：张　丹

第三篇：电子商务安全审计

摘要：审计是电子商务安全管理中的一条重要防线。电子商务安全审计是指模拟社会的监察机构对电子商务系统运营和电子商务企业财务的活动进行监视和记录的一种机制。它包括外部审计和电子商务公司内部审计两个方面。

关键词：电子商务;安全审计;安全管理

一、外部审计

外部审计是指审计师对企业电子商务网站的安全工作进行审计，对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。

1.制度审计。在电子商务网络系统环境下，网络电子交易数据安全是关系到交易双方切身利益的关键问题，是企业计算机网络应用的最大障碍和审计的最重要问题之一。电子商务的网络数据安全措施，至少包括三个方面：一是网络数据安全技术方面的措施;二是安全管理制度(措施)的制定和实施;三是社会立法和法律保障措施。内部审计师关心的是这些措施实施的情况，通常可从如下几点进行评价：(1)审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况;实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。(2)审查安全管理制度建立和施行的情况，采用面谈法、访问和实地察看法按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。(3)审查有关计算机安全的国家法律和管理条例的執行情况。

2.选用内部审计师实施审计。内部审计师是电子商务审计最合适的专业人员。由内部审计师做电子商务内部审计业务，可为电子商务用户提供职业安全保障。

内部审计师进行电子商务审计是国际惯例。内部审计师是从事企业内部审计业务的专家，具有良好的基础背景和良好的声誉。在中国，内部审计师除了参与财务审计，还参与对管理效益和代理人离任内部审计和对企业计算机信息系统的实施情况审计，大量参与税务、财务和评估等咨询服务工作。

内部审计业务是按照特定的审计规范的程序执行，对内部控制与经营、业务审查和评价，内部审计师有着敏锐的专业洞察能力，这是内部审计师发展计算机网络内部审计的良好职业背景基础。

内部审计师的审计具有客观性和公正性。电子商务审计人员必须对交易的双方所提供的电子信息进行必要的审计，其审计本身应当客观、独立、公正和具有可靠的专业技术作为支撑，才能赢得网络交易的多方的信赖，同时他们必须是社会公认的权威审计业务专业人员。在计算机网络化的商务活动中，根据对交易合法性和交易信息的可靠性和安全性，是企业信息系统的内部控制制度及其对顾客提供必要的法律保障的一个重要内容，内部审计师对企业信息系统的内部控制制度设置和施行情况的审查评价，已具有特别的专长和丰富的经验。

3.安全审计系统分析。防火墙、入侵检测、防病毒网关等安全产品越来越多地应用在网络中，它们在运行过程中都会产生大量的日志信息，其中隐藏了非常重要的信息是分析网络安全运行情况的依据。安全审计系统中结合各种信息算法对这些日志数据进行分析，挖掘出其中隐藏的异常动态信息，并利用各个审计源之间的联动及时阻断各种入侵活动。同时，对进出网络内部的电子邮件和传输信息实时跟踪，进行数据截取和还原，更好的维护系统安全。

分析和审计公司电子商务网站的安全审计系统是否具有以下功能：(1)网络状态实时监控。监视网络中的各种安全设备、主机系统、数据库、进出网络内部的电子邮件和传输信息等情况，全面掌握网络活动和行为。(2)事件自动响应机制。当发生的网络行为可能威胁到系统安全并且达到预先设定的域值时，系统自动断开该用户的连接并及时向管理员发出报警信号。(3)自动生成安全信息报告。在固定时间内把系统的运行情况以报表的形式发送给管理员。通过设置合理的审计报表，管理员可以迅速、直观地浏览报表内容，了解系统的当前运行情况和资源使用情况，在减少管理员单纯人为判断和经验参与的情况下，能更好地帮助系统管理员及时采取相应措施，从而使威胁整个网络的潜在破坏最小化，提高系统的安全性能。(4)系统综合管理。虽然安全审计系统是一个独立运行的软件系统，但是它和其他安全产品如防火墙、VPN，漏洞扫描等并不会产生冲突，相反它们能够相互协调和促进、更好地起到系统安全防护的作用。

二、内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上，主要包括两个方面的内容：对电子商务系统的技术审计;对电子商务公司的财务进行审计。

(一)技术审计

1.访问控制审计。网络访问控制包括访问权限控制和用户认证。访问权控制的审查，主要是检查是否有端口访问控制情况——进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。用户认证的方法一般可分三类：口令或密钥、身份鉴别(如指纹)和使用权限控制，其中最安全的认证是身份鉴别(用指纹或其他特性)，但制作费用比较昂贵，其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外，主要查各类型控制执行的情况。

2.数据加密审计。现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的，并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据，网络数据库和软件程序库一般由服务器统一控制管理。由于网络中的数据库具有共享性，很容易受到舞弊人或黑客的修改和破坏，要确保合法的客户对网络数据库访问的便利性和网络数据的完整性，应比非网络系统增加对数据库的加密管理，相应地形成数据库的加密管理审计，其内容：一是审查服务器的数据库加密装置，服务器密码装置的密钥分配，这种审查主要了解系统管理员和相应密钥分配情况。二是审查网络端对端的加密，测试关键的网络数据在传输中的全程加密，此种加密是通过专用的软件实现的，因此，对这类的加密软件要进行特别的安全保护管理。

3.运行审计。(1)记录、跟踪系统的运行状况。利用审计工具，监视和记录系统的活动情况，如记录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作，并放人系统日志中保存在磁盘上，使影响系统安全性的存取以及其他非法操作留下线索，以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击，如多次使用非法口令登录系统的尝试，及时提供报警甚至自动处理，使系统安全管理人员能够了解系统的运行情况，及时堵住非法入侵者。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果，是查找、分析网络系统安全事件的客观依据，是重要的系统文档，必须要有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计，其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此，运用内部审计可以很好地控制风险的发生。

(二)财务审计

1.数据库审计。在无纸化环境下，内部审计能鉴别出已发生的经济业务及其数据的真实和可靠，这是内部审计师所面临的严峻挑战。显然，内部审计师必须开发一套电子商务内部审计专用的软件和改进传统的审计程序，来适应这种审计的需要。电子商务审计软件一定能使内部审计师在经济业务发生的时候就对它们进行测试和保留必要的审计线索，否则时过境迁，就无案可查。

2.内控制度审计。网络化的计算机信息系统不断发展，内部控制将会变得越来越重要。从前述内容可以进一步说明网络环境下的内部控制制度的重要性。可以断言，在电子商务环境下，内部审计师在监测公司内部控制制度的运转、评价这些控制以及为改进这些制度提供建议等方面，都将起到重要作用。这是因为他们必须测试这些制度以判断电子商务经济信息(含会计信息)的可靠性和经济业务处理的恰当性，并且对内部控制的状况作出全面评价。

3.披露事項审计。保证电子交易的可靠性和真实性，是任何交易的基本前提。为了增强网络上的客户或消费者的信心，电子商务网络系统必须具有如下的披露基本要求：(1)对电子商务销售的商品和服务进行披露，若含有证明商品性能和服务效果的信息，必须注明其信息来源;(2)对交易条件进行披露，如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策;(3)售后服务和产品技术支持;(4)客户的权利、包括投诉的程序，并应告知客户企业的经营地址、电话号码和办公时间;(5)对争议的处理，争议处理的程序，包括管理当局和请第三方中立机构处理争议问题的程序。

4.客户信息隐私保护审计。为合理保证在电子商务中保证客户私人信息的隐私权，电子商务网站必须遵循：保证客户信息不会被传送到其他网站;客户有权禁止其信息在与交易无关的场合使用和为第三方所使用;客户私人信息未经授权不准访问，客户私人信息不能随意被透露给其他的单位或个人;网站工作人员只有处理业务时方能使用客户私人信息;在存储、变更或从客户计算机上复制信息前应得到客户的许可;严禁向客户输送恶意的程序;企业信息保护的控制得到有效执行;企业若不能执行上述控制手段，应及时公告，并说明正在采取的补救措施。

参考文献：

[1]傅元略，等.企业信息化下的财务监控[M].北京:中国财政经济出版社，2003.

[2]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学，2008.

[3]王铁柱，等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报，2010，(3).

[4]戴卫明.中国电子商务风险及其控制研究[J].生产力研究，2010，(9).

[5]汪军.电子商务网络安全体系的设计[J].实验室研究与探索，2010，(9).[责任编辑 陈丹丹]

作者：张静