电子商务安全问题探讨的论文
发布网友
发布时间:2022-04-25 21:11
共2个回答
热心网友
时间:2022-06-17 13:28
[摘 要] 本文首先介绍了电子商务安全的现状,分析了存在的主要问题,然后从网络安全技术、数据加密技术、用户认证技术等方面介绍了主要的电子安全技术,并提出了一个合理的电子商务安全体系架构。
[关键词] 电子商务电子支付 安全技术
一、引言
随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机,也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,安全性问题成为首要问题。
二、目前电子商务存在的安全性问题
1.网络协议安全性问题:目前,TCP/IP协议是应用最广泛的网络协议,但由于TCP/IP本身的开放性特点,企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。
2.用户信息安全性问题:目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易,由于用户在登录时使用的可能是公共计算机,如网吧、办公室的计算机等情况,那么如果这些计算机中有恶意木马程序或病毒,这些用户的登录信息如用户名、口令可能会有丢失的危险。
3.电子商务网站的安全性问题:有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取,给企业和用户造成难以估量的损失。
三、电子商务安全性要求
1.服务的有效性要求:电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
2.交易信息的保密性要求:电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
3.数据完整性要求:数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
4.身份认证的要求:电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
四、电子商务安全技术措施
1.数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措施.其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。
(1)对称密钥加密(SecretKeyEncryption)。对称密钥加密也叫秘密/专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。
(2)非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺点是算法复杂,加密速度慢。
(3)复杂加密技术。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密,生成的密文后再用接收方的公钥加密对称密钥生成数字信封,然后将密文和数字信封同时发送给接收方,接收方按相反方向解密后得到明文。
2.数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。
3.认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行,所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发的数字证书来证明自己的身份。
4.使用安全电子交易协议(SET:Secure Electronic Transactions)。是由VISA 和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。
五、结束语
电子商务是国民经济和社会信息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因素。电子商务的安全是一个复杂系统工程,仅从技术角度防范是远远不够的,还必须完善电子商务方面的立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进电子商务又好又快地发展。
参考文献:
[1]覃 征 李顺东:电子商务概论[M].北京:高等教育出版社,2002.06.
[2]余小兵:浅谈电子商务中的安全问题[J].科技咨询导报,2007.02
[3]曾凤生:电子商务安全需求及防护策略[J].数据库及信息管理,2007.06
仅供参考,请自借鉴。
希望对您有帮助。
热心网友
时间:2022-06-17 13:28
近年来,随着互联网的激速发展,电子商务也在迅速崛起。电子商务这一新的商业形式彻底改变了传统的交易方式,也随之打破了旧有工作经营模式。它通过网络使企业获得一次近乎平等的竞争机会,并且也从各个细微的领域影响着全国乃至世界的经济发展趋势。
就在电子商务为我们带来极大便利的同时,相关的安全问题也日益凸现出来。众所周知,电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息,因此,IT技术本身的一些缺陷和弊端便不可避免地带入了电子商务的领域。电子商务的安全问题,基本可以划分为两大部分,即计算机网络安全和商务交易安全。
计算机网络安全问题是IT技术所固有的问题,主要包括网络设备安全、网络系统安全、数据库安全等多个方面,其特征是针对计算机系统及网络本身的安全问题。目前针对这一方面的问题提出的解决方案不胜枚举,从针对个人终端的各种杀毒和预防性软硬件体系,一直到针对大型企业及专业支付平台的多层安全机制应有尽有。
而商务交易安全则紧紧围绕电子商务所产生的网上交易展开,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
二、EDI的概念
随着电子商务的日渐成熟,EDI的应用也日趋普遍,目前,EDI已经遍布于电子商务的各个角落,电子商务安全的问题也随之转化成了EDI的安全问题。
EDI是英文Electronic Data Interchange的缩写,即电子数据互换,目前,EDI已经成为了在公司之问传输订单、*等作业文件必不可少的电子化手段。EDI的本质在于,通过常用的计算机通信网络,传输与企业业务密切相关的报文数据,而报文数据的格式及内容等特征,则被明确的规范出来。目前,由于EDI的出现减少甚至消除了商业交易过程中的众多纸面文件,因此EDI又被人们通俗地称为“无纸贸易”。
既然EDI和核心在于传输数据,因此一般电子商务所面临的传输方面的安全问题都会相应的出现在EDI的使用领域。
三、EDI的安全技术
既然EDI的主要职能在于传输数据,并且由于EDI是服务于电子商务的一个重要组成部分,因此EDI所涉及到的传输内容常常是一些商务数据,而这些数据一旦丢失,企业就有可能遭受损失,甚至面临危机,因此安全对于EDI来说至关重要。EDI的安全,几乎已经成为了电子商务安全的核心部分。
然而计算机网络是一个相对开放的环境,不安全的因素来自四面八方,难以预测,更不能控制。人们一直都在为网络环境的安全作着不懈的努力,目前,应用于EDI体系中的安全手段可以主要划分为如下几个方面:
1.存储安全技术
存储安全是指当数据保持相对静止的状态时,为确保数据安全而采取的各项技术。具体包括了数据的本地存放状态的安全,以及传输过程中的安全。通常而言,常用的存储安全技术主要是指封装技术。
目前密码封装是常见的数据安全封装技术,主要包括两个重要类别,即私钥加密*以及公钥加密*。其中私钥加密*又称对称加密*,即加密与解密时使用相同的密码。具体又包括两种,即分组密码,如美国数据加密标准(DES)采用的密码算法,以及可以将明文符号立即转换为密文符号的序列密码。相比之下,序列密码具有运算速度更快、安全性更高的特点。
2.传输安全技术
EDI安全体系最重要的职能之一,是数据一旦发出,系统就必须要有效跟踪数据以确保被收到。在这一方面,根据安全技术实施的对象可以划分为两大类,即链路加密及端对端加密两种方式。
具体来说,链路加密是对保密信息通过的各条线路采用不同的加密密钥以提供安全保护的措施。这种安全手段的特点在于可以确保每条链路上的传输的都是经过加密保护的数据,但是链路之间的节点上却会出现未经加密的明文。端对端加密与链路加密有所不同,它可以为两个用户之间传送的数据提供连续保护,数据在信息源一端被加密,到达目的一端才会被解密。这样数据在中间节点和链路上均以密文形式出现,相比之下大大提高了信息位于中间节点上的安全性。
但是端对端加密同样存在问题。由于数据在端对端加密技术的控制下中途不得解密,因此包含着数据源头和目的地等一些信息的数据报文报头必须裸露在加密内容的外面,这就为报文流量分析提供了可乘之机。而链路加密则可以对包括报头在内的整个数据报文进行加密,这就使得报文流量分析无孔可入。
3.网络安全技术
对于EDI而言,网络安全技术的主要形式即防火墙技术。在这一类安全技术下,具体可以分为两个大类,即包过滤技术和应用级网关技术。
包过滤技术就是在网络中的适当位置对数据包实施有选择放行。这种技术有赖于在路由器上安装包过滤软件来实现。而应用级网关技术则直接提供一种代理服务。它负责对外来的应用连接请求进行回应,并将通过其安全检查的连接请求与被保护的网络应用服务器连接,为外部服务用户提供在受控制的前提下访问并使用内部网络的服务。
