电子商务信息安全研究论文

摘要：电子商务的广泛应用，凸显了其应用环境不够完善，相应的法规、标准、技术都存在较大问题，通过电子商务信息安全方案的问题，着重探讨了中国电子商务发展的防范措施。下面是小编整理的《电子商务信息安全研究论文(精选3篇)》的相关内容，希望能给你带来帮助!

电子商务信息安全研究论文 篇1：

基于计算机安全技术下的电子商务信息安全研究

摘要:近年来电子商务在国内外有了突飞猛进的发展,但是在电子商务飞速发展的今天,安全问题仍是制约电子商务发展的瓶颈。电子商务安全问题是个系统的概念,本文主要从技术角度阐述了电子商务信息安全问题,并提出了相应的技术解决方案。

关键词:电子商务;安全;计算机技术

E-commerce Information Security under the Computer Security Technology

Feng Guozhi

(Yangshan Vocational School,Qingyuan513100,China)

一、电子商务安全问题基本范畴

电子商务的安全性体现在网络安全、信息加密技术以及交易的安全。电子商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。由于在互联网设计之初,只考虑方便性、开放性,使得互联网络极易受到黑客的攻击或有组织的群体的入侵,使得网络信息系统遭到破坏,信息泄露。因此,电子商务中的安全隐患大致有四种:1.信息的截获和窃取;2.信息的篡改;3.信息的假冒;4.交易抵赖。

二、计算机技术下的电子商务信息安全防范机制

(一)数据加密技术

数据加密是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,确保数据保密性的一种技术。数据加密及相关技术应用可有效解决电子商务安全中交易信息的完整性、不可抵赖性和交易身份确定性。加密和解密过程中使用的密钥分别称为加密密钥和解密密钥,按加密密钥与解密密钥的对称性可分为对称型和不对称型加密。结构完整的数据加密系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。

(二)身份识别技术

在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。报文摘要技术与数据加密技术结合产生了数字签名技术,其应用原理是发送方将报文摘要X用自己的私钥加密,并将加密后的报文摘要(即数字签名)同原文一起发送给接收方,接收方用发送方的公钥解密数字签名,并对接收到的报文利用对应的同样算法生成报文摘要Y,比较X和Y,若二者相同,说明信息完整且发送者身份是真实的,否则说明信息被修改或不是该发送者发送的。由于发送者的私钥无法仿冒,同时发送者也不能否认用自己的私钥加密发送的信息,所以报文摘要和数字签名技术能够保证电子商务交易中信息的完整性和不可抵赖性。

(三)安全协议

前文说阐述加密技术仅仅提出了一种解决问题的安全框架模式,实际应用中,针对不同的网络应用,又有不同的商业实现标准,其中比较有名的就是由Visa、Master Card和IBM等联合推出的安全电子交易协议(SET)和由Netscape、Verisign等推出的安全套接层协议(SSL)。

1.SET安全协议

SET安全协议是应用于Internet上的以银行卡为基础进行在线交易的安全标准,这就是“安全电子交易”(简称SET)。它采用公钥密码体制和X。509数字证书标准,主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡和借记卡的网上交易的国际安全标准。

2.SSL安全协议

SSL安全协议最初是由NetscapeCommunication公司设计开发的,又叫”安全套接层协议”,主要用于提高应用程序之间数据的安全系数。SSL安全套接层协议主要是使用公开密钥体制和X。509数字证书技术保护信息传输的机密性和完整性,SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接字的客户和服务器间事务安全的协议,它涉及所有TCP/IP应用程序。目前SSL已经被众多厂家和用户使用,已经成为通信底层协议的实际标准。

(四)网络安全扫描技术

安全扫描技术是对网络的各个环节提供可靠的分析结果,并为系统管理员提供可靠性和安全性分析报告等。包括端口扫描技术和漏洞扫描技术等。

(五)病毒防范技术

计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入木马或逻辑炸弹等程序,为以后攻击系统、网络提供方便条件。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。

(六)防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。

目前的防火墙分为两大类,一类是简单的分组过滤技术,作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。另一类是应用代理服务器,其显著的优点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。通过应用防火墙技术,可以做到通过过滤不安全的服务,极大地提高网络安全和减少网络中主机的风险。但防火墙是一种基于网络边界的被动安全技术,对内部未授权访问难以有效控制,因此较适合于内部网络相对独立,且与外部网络的互连途径有限、网络服务种类相对集中的网络。

三、结语

计算机安全技术是实现电子商务交易安全的基本手段,基于数据加密技术的相关应用技术、身份识别技术、安全协议、安全扫描技术、病毒防范技术等实现了电子商务交易安全中信息的保密性、完整性、不可抵赖性和身份的确定性,规范了电子商务活动的各参与方和各种安全技术的运用。此外,需要完善法律制度、管理制度和诚信制度来保证电子商务信息安全以及推动电子商务的健康、持续发展。

作者：冯国志

电子商务信息安全研究论文 篇2：

电子商务信息安全风险与防范策略研究

摘 要：电子商务的广泛应用，凸显了其应用环境不够完善，相应的法规、标准、技术都存在较大问题，通过电子商务信息安全方案的问题，着重探讨了中国电子商务发展的防范措施。

关键词：电子商务； 信息安全；运行环境；黑客；防火墙

文献标识码：A

电子商务在网络经济发展日益迅猛的当下，应用越来越广泛，这种基于Internet进行的各种商务活动模式以其特有的开放性让商务活动相比较以往更加高效快捷。In-ternet 是一个开放的、全球性的、无控制机构的网络，计算机网络自身的特点决定了网络不安全，网络服务一般都是通过各种各样的协议完成的，因此网络协议的安全性是网络安全的重要方面，Internet 的数据传输是基于 TCP/IP操作系统来支持的，TCP/IP 协议本身存在着一定的缺陷。

1电子商务所面临的信息安全威胁

1.1 安全环境恶化

由于在计算机及网络技术方面发展较为迟缓，我国在很多硬件核心设备方面依然以进口采购为主要渠道，不能自主生产也意味着不能自主控制，除了生产技术、维护技术也相应依靠国外引进，这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。

1.2平台的自然物理威胁

由于电子商务通过网络传输进行，因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测，而这些威胁将直接影响信息安全。此外，人为破坏商务系统硬件，篡改删除信息内容等行为，也会给企业造成损失。

1.3黑客入侵

在诸多威胁中，病毒是最不可控制的，其主要作用是损坏计算机文件，且具有繁殖功能。配合越来越便捷的网络环境，计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性，本地计算机所记录的登录信息都会被木马程序篡改，从而造成信息之外的文件和资金遭窃。

2电子商务信息安全的防范处理方法

2.1针对病毒的技术

作为电子商务安全的最大威胁，对于计算机病毒的防范是重中之重。对于病毒，处理态度应该以预防为主，查杀为辅。因为病毒的预防工作在技术层面上比查杀要更为简单。多种预防措施的并行应用很重要，比如对全新计算机硬件、软件进行全面的检测；利用病毒查杀软件对文件进行实时的扫描；定期进行相关数据备份；服务器启动采取硬盘启动；相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保证文件的及时隔离。在计算机系统感染病毒的情况下，第一时间清除病毒文件并及时恢复系统。

2.2防火墙应用

防火墙主要是用来隔离内部网和外部网，对内部网的应用系统加以保护。目前的防火墙分为两大类：一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的 TCP 端口和 TCP 链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器，可针对特别的网络应用服务协议及数据过滤协议，并且能够对数据包分析并形成相关的报告。

2.3数据加密技术的引入

加密技术是保证电子商务安全采用的主要安全措施。加密过程就是根据一定的算法，将可理解的数据（明文）与一串数字（密钥）相结合，从而产生不可理解的密文的过程，主要加密技术是：对称加密技术和非对称加密技术。

2.4认证系统

网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证，用于在网络上鉴别个人或组织的真实身份。传统的对称密钥算法具有加密强度高、运算速度快的优点，但密钥的传递与管理问题限制了它的应用。为解决此问题，20 世纪 70 年代密码界出现了公开密钥算法，该算法使用一对密钥即一个私钥和一个公钥，其对应关系是唯一的，公钥对外公开，私钥个人秘密保存。一般用公钥来进行加密，用私钥来进行签名；同时私钥用来解密，公钥用来验证签名。

2.5其他注意事项

（1）机密性是指信息在存储或传输过程中不被他人窃取或泄漏，满足电子商务交易中信息保密性的安全需求，避免敏感信息泄漏的威胁。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。

（2）商务信息的完整性，只读特性以及修改授权问题是电子商务信息需要攻克的一大难关。信息在传输过程中必须保持原内容，不能因技术、环境以及刻意原因而轻易被更改。

（3）交易诚信问题也存在于隔空交易当中，电子商务信息在传输当中，保证传输速度和内容真实的情况下，交易方不能对已完成的交易操作产生反悔，一旦因商务平台外的问题而取消或质疑交易操作，对方的利益将蒙受损失。

3结语

要想保障电子商务的信息安全，需要对计算机硬件、网络访问以及被访问、文件输出和接收，以及电子商务平台等多环节进行全面的控制和监测。在此基础上，不但要开发出有效网络安全软件并自主掌控核心技术，也要相关的安全法律法规和物理安全机制相配合，并在技术层面上加大对相关科研机构和科研氛围的投入，才能保证电子商务保持现有的发展速度，并更加全面更加健康的应用到我们的企业商务活动中。

参考文献

［1］张建,袁卫华,戚文静,等. 电子商务信息系统安全管理体系PRS-ISMS的研究 ［J］. 数学的实践与认识, 2010.

［2］ 李贤民. 电子商务信息的安全规范 ［J］. 现代情报, 2007.

作者：高博

电子商务信息安全研究论文 篇3：

电子商务的信息安全研究

摘要:在二十一世纪中,电子商务已经成为一切经济活动不可或缺的组成元素,但安全问题始终是影响电子商务发展的瓶颈,要保证电子商务的顺利发展,就必须高度重视安全问题,而信息安全更是研究的重点。该文通过对电子商务现状、对信息安全需求分析,探讨了电子商务安全技术体系结构,提出了电子商务应用中所要采取的主要安全防范措施。文中侧重讨论了其中的防火墙技术、VPN技术、数字签名技术、数字认证等核心技术。

关键词:电子商务;信息安全;密码技术;认证技术

The Research of the Information Security on Electronic Commerce

CHENG Shao-li

(Heilongjiang Provincial Party Committee School, Harbin 150000, China)

Key word: electronic commerce; information security; cryptography; authentication

目前,电子商务已逐步替代了传统的交易手段,致使越来越多的企业通过互联网来完成产品交易,更多的消费者现在也都通过电子商务交易平台来购买自己所需的物品。然而,近年来通过网络进行的电子商务金融犯罪多达200起,八成的网民对网上交易的安全性表示担忧,信息安全问题成为困扰网上交易的一大难题[1]。因此,电子商务信息安全问题也就成为了研究的当务之急。

我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但这些产品安全技术的规范性、完善性、实用性还存在许多不足,理论基础和自主的技术手段需要发展和强化。

本文从电子商务面临的安全威胁及其触发的原因入手,对当前的安全防范技术进行了分析,并着重介绍了防火墙技术、VPN技术和数字证书。

1 电子商务安全概述

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:网络安全和商务交易安全。

网络安全的内容包括:网络设备安全、网络系统安全、数据库安全等[2]。其特征是针对网络本身可能存在的安全问题,实施网络安全增强方案,以保证网络自身的安全为目标。

商务交易安全则紧紧围绕传统商业在互联网络上应用时产生的各种安全问题,在网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可认证性、不可拒绝性、不可伪造性和不可抵赖性。

网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使网络本身再安全,仍然无法达到电子商务所特有的安全要求。电子商务安全是以网络安全为基础的。

但是,电子商务安全与网络安全又是有区别的。首先,网络不可能绝对安全,在这种情况下,还需要运行安全的电子商务。其次,即使网络绝对安全,也不能保障电子商务的安全。电子商务安全除了网络基础要求之外,还有特殊要求。从安全等级来说,从下至上有密码安全、计算机安全、网络安全和信息安全之分,而电子商务安全属于信息安全的范畴,涉及信息的机密性、完整性、认证性等方面。同时,电子商务安全又有它自身的特殊性,即以电子交易安全和电子支付安全为核心,有更复杂的机密性概念,更严格的身份认证功能,对不可拒绝性有新的要求,需要有法律依据性和货币直接流通性特点,还要网络设有的其他服务(如数字时间戳服务)等[3]。

与现实商务不同,参与电子商务的各方不需要面对面来进行商务活动,信息流和资金流都可以通过Internet来传输。而Internet是一个向全球用户开放的巨大网络,其技术上的缺陷和用户使用中的不良习惯,使得电子商务中的信息流和资金流在通过Internet传输时,面临着各种安全威胁。如信息被截获和窃取、信息被篡改、信息被假冒、交易抵赖等。一个安全的网络应该具有可靠性、可用性、完整性等特点,不仅要保护网络设备安全和系统安全,还要保护数据安全等,所以如果采用一种统一的技术和策略是远远不能达到防范的目的的,因此网络安全机制和技术要不断地变化才能够这种危害。

2 电子商务安全防范措施

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

要做到全面的网络安全,需要综合考虑各个方面,包括系统自身的硬件和软件安全,也包括完善的网络管理制度以及先进的网络安全技术等。网络安全防范技术可以从数据的加密/解密算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。

2.1 防火墙技术

通过Internet,企业可以从异地取回重要数据,同时又要面对Internet带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙。防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。

防火墙的体系结构包括[4]:

1)双重宿主主机体系结构

双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。

2)被屏蔽主机体系结构

被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内、外部网络的隔离和对内网的保护。

在被屏蔽主机体系结构中,有两道屏障,一道是屏蔽路由器,另一道是堡垒主机。屏蔽路由器位于网络的最边缘,负责与外网连接,并且参与外网的路由计算,它不提供任何服务,仅提供路由和数据包过滤功能,因此本身比较安全。堡垒主机存放在内部网络中,是内部网络中唯一可以连接到外部网络的主机,也是外部用户访问内部网络资源必须经过的主机设备。

3)被屏蔽子网体系结构

被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。

在图1中,我们看到了防火墙是设置在接入Internet的路由器后端,将B2B电子商务网络划分为三个区域(外部网络、非军事化区和内部网络)。

2.2 VPN技术

虚拟专用网(Virtual Private Network,简称VPN)系指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠IPS(Internet Service Provider,互联网服务提供商)或NSP(Network Service Provider,网络服务提供商)在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于Internet安全传输重要信息的效应。

由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)[5]。

2.3 数字签名技术

为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。从动态过程看,数字签名技术就是利用数据加密技术、数据变换技术,根据某种协议来产生一个反映被签署文件和签署人特性的数字化签名,涉及被签署文件和签署人两个主体,密码技术是数字签名的基础。

3 电子商务的安全认证体系

随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名[6]。

身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。

数字证书是在互联网通信中标志通信各方身份信息的一系列数据,提供了一种Internet上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它识别彼此的身份。

数字证书是一个经授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的签名。一般情况下证书还包括密钥的有效时间,发证机关的名称,该证书的序列号等信息[7]。

4 结束语

安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。

参考文献:

[1] 祝凌曦.电子商务安全[M].北京:北方交通大学出版社,2006.

[2] 劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.

[3] 赵泉.网络安全与电子商务[M].北京:清华大学出版社,2005.

[4] 肖和阳,卢嫣.电子商务安全技术[M].长沙:国防科技大学出版社,2005.

[5] 樊晋宁.电子商务的安全问题和相应措施[J].科技情报开发与经济,2004,14(8).

[6] 杨德礼,王茜.电子商务的安全体系结构及技术研究[J].计算机工程,2003,29(1).

[7] 屈武江,五斌.电子商务安全与支付技术[M].北京:中国人民大学出版社,2006.

作者：程少丽