[摘要]Internet的产生并不是因为商业目的,而是为了方便地共享资源或具体地是由于军事的原因,所以最初的Internet的TCP/IP协议源代码的开放和共享是合理的,是适合当时需要的,但是要在Internet上进行安全性要求高的电子商务网上支付系统,它就显得不够了t针对如何更加合理、安全的运营一个电子商务网站,从多个方面进行探讨。下面小编整理了一些《电子商务中的信息安全论文(精选3篇)》,欢迎阅读,希望大家能够喜欢。
电子商务中的信息安全论文 篇1:
电子商务中的信息安全及关键技术的探讨
[摘要] 伴随着电子商务的广泛应用,电子商务的安全问题愈加突出和亟待解决。本文就电子商务活动中的安全问题分析了现在流行的信息安全框架,并对信息安全的关键技术进行了探讨。
[关键词] 电子商务 信息安全框架 安全技术
一、 引言
电子商务即EC(Electronic Commerce),简单讲就是利用先进的电子技术进行商务活动的总称。电子商务包括两个方面:一是商务活动;二是电子化手段。现代电子商务是基于Internet技术的新型的商务活动,是21世纪市场经济商务运行的主要模式。由于Internet的全球性和开放性,不受时间和空间的限制,给电子商务交易带来了种种不安全因素。网络上的信息安全问题已成为影响电子商务发展的重要因素之一。因此,研究在开放的网络环境下电子商务安全问题就变的非常地迫切和重要了。
二、安全问题
1.安全问题
由于电子商务是在开放的网络上进行的贸易,其支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机网络系统中存放、传输和处理,所以,网络系统中信息安全技术成为电子商务安全交易的技术支撑。网络信息所面临的威胁来自许多方面,并且在不断发生着变化。其中最常见的有非法访问、恶意攻击、计算机病毒以及其它方面如物理损坏、人与自然灾难等。
2.安全要素
(1)完整性。完整性指数据信息未经授权不能进行改变的特性,也就是要求保持信息的原样,要预防对信息的随意生成、修改、伪造、插入和删除,同时要防止数据传输过程中的丢失、乱序和重复。
(2)机密性。机密性是指网络信息只为授权用户所用,不会泄露给未授权的第三方的特性。要保证信息的机密性,需要防止入侵者侵入系统,对机密信息需先经过加密处理,再送到网络中传输。
(3)不可否认性。不可否认性也即不可抵赖性是指所有参与者都不可能否认和抵赖曾经完成的操作。要求在交易信息的传输过程中为参与交易的个人、企业和国家提供可靠的标识,使信息发送者在发送数据后不能抵赖,而接受方接受数据后也不能否认。
(4)真实性。真实性是指商务活动中交易信息的真实,包括交易者身份的真实性,也就是确保网上交易的对象是真实存在的,而不是虚假或伪造的,也包括交易信息自身的真实性。
(5)可用性。可用性就是确保信息及信息系统能够为授权使用者所正常使用。
(6)可靠性。可靠性是指电子商务系统的可靠性,在遇到自然灾害、硬件故障、软件错误、计算机病毒等情况下,仍能确保系统安全、可靠地运行。
三、信息安全框架
信息安全的内涵是在不断地发展和变化的。一般信息安全是从两个方面进行描述:一种是从信息安全所涉及的安全属性的角度进行描述,涉及了机密性、完整性、可用性等。这些安全属性是保障电子商务交易的安全要素。另一种是从信息安全所涉及层面的角度进行描述,信息安全被认为是一个由物理安全、运行安全、数据安全和内容安全组成的四层模型。伴随着Internet的发展,信息对抗引起了人们的重视,被引入了信息安全领域。信息对抗研究的内容是信息真实性的保护和破坏,信息对抗讨论如何从多个角度或侧面来获得信息并分析信息,或者在信息无法隐藏的前提下,通过增加更多的无用信息来扰乱获取者的视线,以掩藏真实信息所反映的含义。从本质上来看,信息对抗属于信息利用的安全。由此,在信息安全模型中增加了信息对抗这个层次。
基于信息安全的作用点,可以将信息安全看作是由三个层次、五个层面所构成的层次框架体系,在每个层面中各自反映了在该层面中所涉及的信息安全的属性。如图所示。
其中,系统安全反映的信息系统所面临的安全问题,包括物理安全和运行安全,物理安全是指网络与信息系统的硬件安全;运行安全是指网络与信息系统中的软件安全。狭义的“信息安全”问题是信息自身面临的安全问题,包括数据安全和内容安全,数据安全以保护数据不受外界的侵扰为目的,内容安全是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。信息对抗是指在信息的利用过程中,对信息的真实性的隐藏与保护,或者攻击与分析。
四、安全技术
随着计算机网络的飞速发展和应用,网络信息安全技术也在不断地发展。现阶段已采用了多种安全技术保护信息的安全,如:访问控制、数据加密、入侵检测、用户授权与认证等。
1.访问控制
访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。
2.加密技术
加密技术是认证技术及其他许多安全技术的基础。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以DES算法为典型代表,非对称加密通常以RSA算法为代表。
3.防火墙技术
防火墙是指一种将内部网和公众访问网分开的方法,实际上是一种隔离技术,是安全网络(被保护的内网)与非安全网络(外部网络)之间的一道屏障,以预防发生不可预测的、潜在的网络入侵。
防火墙可以根据网络安全水平和可信任关系将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制;可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户与数据包隔断,达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。但是,防火墙不能阻止来自用户网络内部的攻击。
4.入侵检测技术
入侵检测是通过监控网络与系统的状态、行为以及系统的使用情况,来检测用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图,在发现入侵后,及时采取相应的措施来阻止入侵活动的进一步破坏,包括切断网络连接、记录事件和报警等。
入侵检测不仅可以检测外部入侵,而且对内部的滥用行为也有很好的检测能力。
5.虚拟专用网
虚拟专用网(Virtual Private Network VPN)技术是一种在公用互联网络上构造专用网络的技术。将物理上分布在不同地点的专用网络,通过公共网络构造成逻辑上的虚拟子网,进行安全的通信。VPN采用一种叫做“通道”或“数据封装”的系统,用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。这种通道是Internet上的一种专用通道,可保证数据在外部网上的企业之间安全地传输。
6.认证技术
认证技术提供了一种安全可靠的验证交易各方身份真实性的验证机制。安全认证技术主要有:(1)数字摘要技术,可以验证通过网络传输收到的明文是否被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,能够实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。(3)数字时间戳技术,用于提供电子文件发表时间的安全保护。(4)数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。(5)认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题。
电子商务安全是一个系统的概念,不仅与计算机信息网络系统有关,还与电子商务应用的环境、人员素质和社会因素有关。以上我们仅对基于开放的网络环境下的信息安全方面进行了探讨。而一个完整的电子商务交易安全体系,则至少应包括以下几类措施:一是计算机网络技术方面的措施;二是管理制度方面的措施,三是社会的政策与法律保障等。
参考文献:
[1]严圣华:电子商务安全关键技术研究[J].《软件导刊》,2006.8
[2]徐君超:用信息安全模型诠释涉密网络安全架构[J].《计算机安全》,2007.6
[3]扬晋:现代电子商务安全技术研究[J].《网络安全技术与应用》,2007.1
作者:祁淑霞
电子商务中的信息安全论文 篇2:
电子商务中的信息安全浅探
[摘要]Internet的产生并不是因为商业目的,而是为了方便地共享资源或具体地是由于军事的原因,所以最初的Internet的TCP/IP协议源代码的开放和共享是合理的,是适合当时需要的,但是要在Internet上进行安全性要求高的电子商务网上支付系统,它就显得不够了t针对如何更加合理、安全的运营一个电子商务网站,从多个方面进行探讨。
[关键词]电子商务 信息安全 安全技术
一、引言
随着Internet的快速发展,人们的生活、工作方式正在不断的发生变化,电子商务越来越受到人们的重视。
然而,任何企业都会面临风险,电子商务公司除了与其他企业一样存在着竞争者、盗窃犯、变幻无常的大众喜好、自然灾害等风险外,还面临包括网络黑客、计算机硬件故障、电力、通信、网络故障、对派送服务的依赖、软件错误、系统容量限制等风险。
电子商务由于其特殊性,它涉及的数据、信息、硬件、软件的问题显得极为重要;同时,随着网络技术的不断发展,网络的覆盖面、接触人群越来越多、越来越广,网络安全问题也日益突出。
二、信息的重要程度
考虑到安全的时候,首先要评估的是所保护信息的重要性。应该既考虑这些信息对我们的重要性,又要考虑它对潜在侵入者的重要性。
并不是所有的两站时时刻刻都要求有晟高级别的安全保护的。保护措施的实施需要成本,在决定要对安全保护提供多少人力和物力之前,必须判定信息价值。
保存在一个计算机业余爱好者和银行、军事组织的计算机中的信息的价值是不同的,它们是两个极端。对于一个商业网站的来说,需要考虑介于两种极端情况之间的黑客攻击,因此投入的资源和努力也应该介于两者之间。
三、安全威胁
电子商务网站主要存在以下三大安全问题:
(一)信息安全。信息安全是指由于各种原因引起的信息泄露、丢失、篡改、滞后、虚假、拒绝服务、软件错误、否认等,以及由此带来的风险。具体的表现有:窃取商业机密,破坏信息的真实性和完整性,接收或发送虚假信息,破坏交易,盗取交易成果,非法删除交易信息、病毒破坏,黑客入侵等。
(二)交易安全。交易是电子商务中一个核心环节之一,在商务交易过程中也存在许多不安全因素,包括交易确认、产品或服务的质量、货款支付等安全问题。
与传统商务形式不同的是,电子商务具有市场松散化、主体虚拟化、交易网络化、货币电子化、结算瞬时化等特点。这也是电子商务在交易过程中的风险具有了新的特点和形式。
交易中的不安全因素很多,如卖者以次充好、发布虚假信息,欺骗买者;提供服务不到位或收了费但不提供相应的服务等;或者有相反的情况,如买者利用卖者套取产品和服务,却以匿名、更名或退出市场等方式逃避执行契约合同等。
(三)财产安全。财产安全是指由于各种原因造成电子商务参与者面临的财产等经济利益风险。财产安全往往是电子商务安全问题的最终形式,也是信息安全问题和交易安全问题的后果。
财产安全问题主要表现为财产损失和其他经济损失。前者如:客户的银行资金被盗;交易者被冒名,其财产被窃取等。后者如:信息的泄露、丢失,使企业的信誉受损,经济遭受损失:遭受网络攻击或故障,企业电子商务系统效率下降甚至瘫痪等。
四、安全策略
针对不同的安全威胁,应该制订不同的应对措施。安全策略是一个文档,它描述了公司的一般安全要求,安全保护对象——软件、硬件、数据,负责保护这些项目的人,安全标准及其度量标准,度量标准衡量这些标准在多大程度上适合。
1、身份验证。身份验证试图证明某人的确是他本人。有许多可以提供身份验证的方法,但是与大多数安全措施一样,方法越安全,使用起来越麻烦。
身份验证技术包括密码、数字签名、生物鉴定措施,以及涉及硬件的措施。在网络上经常使用的是密码和数字签名。
2、加密技术。加密算法是将信息转变为一个看起来是任意数字串的数学过程。加密方法有可逆和不可逆的,目前许多加密算法可供使用,如DES、RSA等。
3、数字签名。数字签名与公有密钥有关,但是与公有密钥和私有密钥的作用相反。一个发送者可以用密钥加密ygi和签名一个消息。当人们接收消息的时候,接受者可以用发送者的公有密钥对它解密。因为发送者是唯一可以访问密钥的人,接收者可以确定消息由谁发送以及它有没有被修改。
4、数字证书。一个证书可以将一个公有密钥与一个个人或组织的细节以签名的数字格式结合起来。如果给用户一个证书,他就拥有对方的公有密钥,如果该用户要发送一个加密消息的话,他还拥有对方的详细消息,并且知道这些消息有没有改变。
对于商业贸易来说,有可信的第三方验证所参与的实体,以及他们证书上记录的细节是非常有意义的。这些第三方验证称为认证授权(c^)。认证授权公司可咀为个人或组织颁发数字证书,从而证明其身份。
5、安全的WEB服务器。通过安全套接字协议层(SSL),我们可以使用Apache Web服务器、Microsoft IIS或者其他的免费或商业Web服务器,与浏览器之间进行安全的通信。
6、审计与日志记录。操作系统允许把各种各样的事件记入到日志文件中。从安全角度考虑,我们可能关心的事件包括网络错误,对特定数据文件的访问,对一些特定的程序的调用。日志文件可以帮助我们在出错的时候检测错误或者恶意操作。如果在注意到问题后检查它们,还可以告诉我们一个问题或非法入侵是如何发生的。
7、防火墙。设计防火墙的目的是将本地网络与外部网络相分离。用于保护内部网络中的机器以防外来攻击。
8、备份数据。在任何灾难恢复计划中,都要重视备份的重要性。我们必须定期备份网站的所有组件静态网页、脚本和数据库。备份的频率取决于网站的动态程度。应该根据更新量的大小以一定的频率进行独立的备份。这些备份应该保存在独立的介质上,并且放在一个安全、独立的地方,以防火灾、盗窃或自然灾害。
9、自然环境安全。到目前为止,我们考虑的安全威胁都与无形的东西(如软件)有关,但是,我们不应该忽略系统的自然环境安全。网站需要空调,需要防火、防人(笨拙的人和罪犯)、防止电力故障和网络系统故障等。系统还应该安全的锁起来,以防止不必访问的人员操作。
五、结束语
总之,以上讨论了电子商务网站在运营过程中可能发生的安全问题以及相应的应对策略,对于不同的电子商务网站,可能在具体的业务、公司规模大小、安全需求程度等方面各有不同,所以针对不同的情况,应该合理分析、综合考虑速度、成本等各个方面的因素,选择合适的安全策略。
作者:胡 辉
电子商务中的信息安全论文 篇3:
浅谈电子商务中的信息安全防护
所谓电子商务,就是利用计算机技术、网络技术和远程通信技术,实现整个商务(买卖)过程中的电子化、数字化和网络化。它是将传统商务活动中物流、资金流、信息流的传递方式利用网络科技整合,将重要的信息以全球信息网(www)、企业内部网(Intranet)或外联网(Extranet)直接与分布各地的客户、员工、经销商及供应商连接,创造更具有竞争力的经营优势。
一、电子商务的优势
与传统的商务活动方式相比,电子商务具有以下几个特点:第一,交易虚拟化。贸易双方从贸易磋商、签订合同到支付等,无需当面进行,均通过计算机互联网完成,整个交易完全虚拟化。第二,交易成本低,效率高。电子商务将传统的商务流程电子化、数字化,不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。第三,交易透明化。电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而在一定程度上改变了社会经济的运行方式。第四,电子商务提供了丰富的信息资源,提高了中小企业的竞争能力,为社会经济要素的重新组合提供了更多的可能。
二、电子商务必须具备的安全技术指标
虽然电子商务较之传统商务活动有着无可比拟的优越性,但其自身要求必须具备较高的安全技术指标。第一,信息的保密性。指信息在存储、传输和处理过程中,不被他人窃取。第二,信息的完整性。指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。第三,信息的不可否认性。指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。第四,交易者身份的真实性。指交易双方的身份是真实的,不是假冒的。第五,系统的可靠性。指计算机及网络系统的硬件和软件工作的可靠性。
三、我国目前电子商务存在的漏洞
由于我国在信息产业上的投入不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识,核心技术严重依赖国外,信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听,干扰、监视和欺诈等多种信息安全威胁中。加之全民信息安全意识淡薄,警惕性不高,网络安全处于极脆弱的状态。
1.电子商务安全面临的问题
(1)网络协议安全性问题。企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。
(2)用户信息安全性问题。目前,最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易。由于用户在登录时使用的有可能是公共计算机,那么,如果这些计算机中存在恶意木马程序或病毒,这些用户的登录信息,如用户名、口令等,就可能会有丢失的危险。
(3)电子商务网部的安全性问题。有些企业建立的电子商务网站本身在设计制作时就存在一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取。
2.电子商务安全问题的具体表现
(1)信息窃取、篡改与破坏。电子的交易信息在网络传输的过程中,可能会被他人非法修改、删除或重放,从而使信息失去真实性和完整性。例如,网络硬件和软件的问题而导致信息传递的丢失与谬误;或者是一些恶意程序的破坏而导致电子商务信息遭到破坏。
(2)身份假冒。如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易,败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。
(3)诚信安全问题。电子商务的在线支付形式有电子支票、电子钱包、电子现金、信用卡支付等。但是,采用这几种支付方式,都要求消费者先付款,然后商家再发货。因此,诚信安全也是影响电子商务快速发展的一个重要问题。
(4)交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容,收信者事后否认曾经收到过某条消息或内容,购买者做了定货单不承认,商家卖出的商品因价格差而不承认原有的交易等等。
(5)病毒感染。我国的计算机病毒主要是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制,由于传播过程中产生巨大的扫描或其他攻击流量,从而使网络流量急剧上升,造成网络访问速度变慢甚至瘫痪。
(6)黑客。黑客指的是一些以获得对其他人的计算机或者网络的访问权为乐的计算机爱好者。而其他一些被称为“破坏者(cracker)”的黑客则怀有恶意,他们会摧毁整个计算机系统,窃取或者损害保密数据,修改网页,甚至最终导致业务的中断。
(7)特洛伊木马程序。特洛伊木马程序简称特洛伊,是破坏性代码的传输工具。
(8)网络攻击。目前已经出现的网络攻击通常被分为三类:探测式攻击,访问攻击和拒绝服务(Dos)攻击。控测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后的进一步攻击网络。访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。Dos攻击可以防止用户对于部分或者全部计算机系统的访问。
四、我国电子商务发展的改革建议
1.加强基础设施建设
电子商务是基于信息网络的商务活动,需要建设必要的信息基础设施和手段,包括各种信息传输网络的建设、信息传输设备的研制、信息技术的开发等,使电子商务的发展奠定在坚实的环境建设基础上。要构建一个值得信赖并能够保证信息的完整性和安全性的多层次的开放的网络体系,必须加强基础网络的建设,改善国内用户环境。
2.加强对电子商务发展的宏观规划和指导
发展电子商务是政府经济工作的责任。与发达国家相比,发展中国家的企业规模偏小,信息技术落后,债务偿还能力低,政府的参与有助于引进技术、扩大企业规模和提高企业偿还债务的能力。另外,许多发展中国家的信息产业都处于政府垄断经营或政府高度管制之下,没有政府的积极参与和帮助将很难在这些国家快速地发展电子商务。所以,必须发挥政府的宏观规划和指导作用,明确各级政府在推动电子商务发展中的责任,制定相应的电子商务发展规划,从而协调、组织和引导电子商务的发展。
3.构造适合电子商务发展的法制环境
从交易安全方面看,目前一个迫切需要解决的问题是制定一些相关的电子商务法律,加强数据保护,保证用户的个人隐私权,保证用户具有对Internet上的信息进行控制的自主权,以解决电子商务上发生的各种纠纷,防止诈骗等案件的发生,保证消费者在电子商务活动中的合法权益不受侵犯。
从电子支付方面看,也需要制定相应的法律,明确电子支付的当事人包括付款人、收款人和银行之间的法律关系;制定相关的电子支付制度,认可电子签名的合法性;同时,还应出台对于电子支付数据的伪造、变造、更改、赊销问题的处理办法。
促进我国电子商务的发展,必须发展有自主知识产权的信息安全产业,加大信息产业投入。另外,要加强国际防范,创造良好的安全外部环境。
(作者单位:山东省淄博市科技开发交流中心)
作者:杨新生
【电子商务中的信息安全论文】相关文章:
浅谈电子信息安全技术在电子政务中的应用09-22
浅谈商务翻译中的信息对等论文04-30
电子商务交易信息安全论文04-21
电子商务会计信息安全论文04-21
电子信息安全论文04-15
电子商务交易信息安全论文提纲11-15
电子商务信息安全研究论文04-16
计算机信息安全电子商务论文04-28
安全管理移动电子商务信息论文04-30