導(dǎo)語：如何才能寫好一篇電子商務(wù)安全策略，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：電子商務(wù)；身份認證；防火墻

中圖分類號：TP3 文獻標識碼：A文章編號：1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢，使得政府與企業(yè)都十分重視并推動電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進技術(shù)和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國迅速發(fā)展。實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當困難。時空的分離導(dǎo)致了安全問題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面：

2.1 信息真實性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.2 信息機密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^；不可否認要求即是能建立有效的責(zé)任機制，防止實體否認其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在1nternet上每個人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進行，要求電子商務(wù)平臺要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟損失。

所以就整個電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個層次，

1) 網(wǎng)絡(luò)節(jié)點的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認證管理

其中2、3、4是通過操作系統(tǒng)和Web服務(wù)器軟件實現(xiàn)，而網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點的安全性。

3.1 網(wǎng)絡(luò)節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法 ，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。 應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。 目前采用的是瀏覽器缺省的40位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和服務(wù)器之間建立安全機制，SSL首先要求服務(wù)器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機構(gòu)（CA中心）簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（RSA）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑摹４藭r瀏覽器也會出進入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行，而不是只有有限的指令子集在特權(quán)模式下運 行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。 訪問控制系統(tǒng)中沒有什么可以檢測到這些問題 。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4 用戶的認證管理

1) 身份認證

電子商務(wù)企業(yè)用戶身份認證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認證服務(wù)器的身份，IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認機制。

2) CA證書

要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性，需要一份數(shù)字證書進行驗證，這份數(shù)字證書就是CA證書，它由認證授權(quán)中心（CA中心）發(fā)行。認證中心（CA）就是承擔網(wǎng)上安全交易認證服務(wù)，能簽發(fā)數(shù)字證書，并能確認用戶身份的服務(wù)機構(gòu)。認證中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織，它對個人、組織進行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時進行）。

3) 安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

篇2

[關(guān)鍵詞]電子商務(wù)，安全技術(shù)，安全對策

在電子商務(wù)迅速發(fā)展的今天，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入。而網(wǎng)絡(luò)所具有的開放性、自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。如何建立起一個完善的、實用的、安全的電子商務(wù)網(wǎng)站，已成為企事業(yè)單位信息化發(fā)展中一個急切需要討論的問題。

一、電子商務(wù)的安全問題

電子商務(wù)的安全問題可以概括為以下幾個方面：

(一)信息泄漏：在電子商務(wù)中表現(xiàn)出來的信息泄露主要有兩種，一種是交易雙方進行交易的內(nèi)容被第三方所竊?。阂环N是交易一方提供給另一方的文件、資料等被第三方非法使用。(二)篡改：在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性問題。電子的信息在網(wǎng)絡(luò)傳輸?shù)倪^程中，可能被他人非法地修改、刪除或重放．這樣就使信息丟失了真實性和完整性。(三)身份識別：這涉及到電子商務(wù)中的兩個問題。1．如果不進行身份識別，第三方就有可能假冒交易方的身份，以破壞交易、敗壞被假冒一方的信譽或盜取被假冒一方的交易成果等。2．“不可抵賴”性。交易雙方對自己的行為應(yīng)負有一定的責(zé)任，信息發(fā)送者和接受者都不能對此予以否認。(四)信息破壞：涉及到兩方面內(nèi)容。1．網(wǎng)絡(luò)傳輸?shù)目煽啃?。網(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導(dǎo)致交易信息傳遞的丟失與謬誤。2．惡意破壞。計算機網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞，而使電子商務(wù)信息遭到破壞。這種情況主要由以下問題引起：①計算機病毒。②計算機蠕蟲。這種程序?qū)W(wǎng)絡(luò)造成嚴重的損失，甚至?xí)ㄟ^過多占用網(wǎng)絡(luò)資源的方式來使網(wǎng)絡(luò)癱瘓，加上這種程序多數(shù)會帶有破壞性指令，因而破壞性更強，它已經(jīng)由點的破壞向面的破壞開始發(fā)展了。③特洛伊木馬。這是一種執(zhí)行超出程序定義之外的程序，它將會把自己隱藏到安全的程序中，并由此傳播出去。④邏輯炸彈。這是一種當運行環(huán)境滿足某種特定條件時執(zhí)行特殊功能的程序。

二、電子商務(wù)的安全技術(shù)

電子商務(wù)的開展在安全方面上還存在很多問題。面對電子商務(wù)中形形的安全漏洞，我們必須要采取相應(yīng)的方法來保障電子商務(wù)活動的安全進行，下面就著重探討了電子商務(wù)的安全技術(shù)。

(一)虛擬專用網(wǎng)絡(luò)：虛擬專用網(wǎng)絡(luò)是用于Internet電子交易的一種專用網(wǎng)絡(luò)，它可以在兩個系統(tǒng)之間建立安全的通道，是目前相對而言最適合進行電子商務(wù)的形式。在虛擬專用網(wǎng)絡(luò)中交易的雙方比較熟悉，而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致，在虛擬專用網(wǎng)絡(luò)中就可以使用比較復(fù)雜的專用加密和認證技術(shù)，這樣就可以大大提高電子商務(wù)的安全。

(二)加密技術(shù)：加密技術(shù)是實現(xiàn)信息保密性的一種重要手段，目的是為了防止合法接受者之外的人獲取信息系統(tǒng)中的機密信息。

加密包括兩個元素：算法和密鑰。加密技術(shù)的要點是加密算法，一個加密算法是將普通的文本(或者可以理解的信息)與一竄數(shù)字(密鑰)的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰和算法對加密同等重要。密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。加密算法可以分為對稱加密、非對稱加密和不可逆加密三類算法。對稱加密以數(shù)據(jù)加密標準(DES，Data Encryption Standard)算法為典型代表，非對稱加密通常以RSA(Rivest Shamir Adleman)算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。通過對數(shù)據(jù)進行加密，可以使在網(wǎng)絡(luò)上傳播的信息對非法用戶來說是無意義的，因此，雖然信息在網(wǎng)絡(luò)上易被非法接收，但是由于被加密，也就保證了信息的隱秘性。

(三)數(shù)字簽名技術(shù)：數(shù)字簽名以數(shù)字加密技術(shù)為基礎(chǔ)，是數(shù)字加密技術(shù)的一種應(yīng)用方式。其核心是采用加密技術(shù)的加、解密算法來實現(xiàn)電子信息的數(shù)字簽名。對于電子商務(wù)中的業(yè)務(wù)款項如何分辨其真假，則需要數(shù)字簽名技術(shù)來確認其交易或結(jié)算雙方的真實身份及電子貨幣的可靠性。數(shù)字簽名的防欺詐性、防更改性及確認功能是電子商務(wù)系統(tǒng)的一個重要安全技術(shù)。數(shù)字簽名是公開密鑰技術(shù)的另一類應(yīng)用，它的主要方式是：信息的披露方從信息文本中生成一個128位的散列值，并且用自己的專用密鑰對這個散列值進行加密．來形成披露方的數(shù)字簽名：關(guān)聯(lián)方首先從收到的信息文本中計算128位的散列值，接著再用披露方一同發(fā)來的公開密鑰來對數(shù)字簽名進行解密，如果兩個散列值相同，那就可確認該數(shù)字簽名是披露的。通過數(shù)字簽名技術(shù)能夠?qū)崿F(xiàn)對原始信息和關(guān)聯(lián)方身份的鑒別，有一定的公正及較好地防范關(guān)聯(lián)方和非關(guān)聯(lián)方的道德風(fēng)險。

(四)認證技術(shù)：所謂認證，就是通過認證中心對數(shù)字證書進行識別。認證分為實體認證和信息認證，這里的實體是指個人、客戶程序或服務(wù)程序等參與通信的實體。實體認證是指對這些參與通信實體的身份認證。對用戶身份的認證，密碼是最常用的，但由于許多用戶采用了很容易被破解的密碼，使得該方法經(jīng)常失效。信息認證是指對信息體進行認證，以決定該信息的合法性。信息認證發(fā)生在信息接收者收到信息后，使用相關(guān)技術(shù)對信息進行認證，以確認信息的發(fā)送者是誰，信息在傳遞過程中是否被篡改等。身份驗證是對進入電子商務(wù)信息系統(tǒng)網(wǎng)絡(luò)的用戶進行身份合法性的整別，主要通過所掌握的特有信息對探訪者進行驗證。目前，數(shù)字簽名和認證是網(wǎng)上比較成熟的安全手段，而我國大多數(shù)企業(yè)尚處于SSL協(xié)議應(yīng)用階段，在SET協(xié)議的應(yīng)用試驗剛剛成功，而要完全實現(xiàn)SET協(xié)議安全支付，則必須有一個CA認證中心。

(五)防火墻技術(shù)：在計算機領(lǐng)域，防火墻是指一種邏輯裝置，用來保護內(nèi)部的網(wǎng)絡(luò)不受來自外界的侵害。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)地互聯(lián)環(huán)境中，尤其以接人Internet網(wǎng)絡(luò)最甚。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之問的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它主要用于實現(xiàn)網(wǎng)絡(luò)路由的安全，這主要包括兩個方面：①限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問，從而保護內(nèi)部網(wǎng)特定資源免受非法侵害；②限制內(nèi)部網(wǎng)的訪問，主要是針對內(nèi)部一些不健康信息及敏感信息的訪問。目前防火墻的主要有網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻和雙端主機防火墻等。網(wǎng)絡(luò)層防火墻是一個屏蔽的路由器，經(jīng)檢查后最終決定是批準進入或拒絕請求，并將信包引導(dǎo)往內(nèi)部的適當?shù)慕邮拯c。這種防火墻成本較低但安全性亦相對來說亦比較差。應(yīng)用層防火墻的主要構(gòu)成由服務(wù)器端程序和客戶端程序，它通過執(zhí)行登錄或?qū)π畔⒌恼J證使系統(tǒng)的訪問與保密關(guān)系更加完善。更加設(shè)置了日志及審計方式以監(jiān)控各方發(fā)送的登錄和任何未經(jīng)授權(quán)的活動，并將那些未授權(quán)的登錄情況告訴網(wǎng)絡(luò)管理者或安全小組。雙端主機防火墻只設(shè)有兩個防火墻出口，一端對互聯(lián)網(wǎng)上的請求過濾，而另一端提供訪問到某部門的局域網(wǎng)之安全信道。

篇3

1電子商務(wù)中信息安全的檢驗

電子商務(wù)的檢驗可以從以下四個方面進行比較:(1)完整性。交易的成交需要信息的完整，不能隨意修改、重復(fù)發(fā)送信息。(2)保密性。電子商務(wù)中交易能夠正常進行的基礎(chǔ)就是信息一定要保密。(3)可用性。交易雙方提供的信息必須為有效的可用信息。(4)可靠性。必須有一個安全的交易系統(tǒng)，并且保證交易雙方提供信息的可靠性。只有信息安全了，電子商務(wù)才能真正的發(fā)揮它的作用

2電子商務(wù)的各種問題

2．1電子商務(wù)有可能存在損害消費者權(quán)益的虛假信息

在電子商務(wù)方面，如“天貓”和“淘寶”等就是最具代表性的網(wǎng)站。當今電子商務(wù)的第一人非馬云莫屬，他將各行各業(yè)的賣家都集中在“淘寶”上，由顧客對自己要買的產(chǎn)品進行對比，最后選擇合適的商家進行交易，同時為了交易的方便進行，他增加了支付寶支付功能，極大地方便了消費者的購物流程。他將傳統(tǒng)的交易方式變成了這種虛擬的電子商務(wù)。這種交易方式極大地方便了人們的經(jīng)濟生活，而且相比于實體店的商品，網(wǎng)上的更加便宜，給消費者帶來了真正的實惠，但是由于消費者看不到網(wǎng)店的實際商品，只能通過圖片或者文字來獲取信息，很多黑心商家利用這點出售假冒商品，給消費者帶來很大的經(jīng)濟損失。

2．2電子商務(wù)管理的不規(guī)范性

隨著時代的發(fā)展，互聯(lián)網(wǎng)成為人們生活中不可缺少的一部分，同時也推動了電子商務(wù)的發(fā)展，嚴重影響了以前的傳統(tǒng)商業(yè)模式，造成了整個商業(yè)模式的變化，所以有越來越多的人在關(guān)注電子商務(wù)，但是對于電子商務(wù)的信息安全問題，卻很少提及，國家也沒有個統(tǒng)一標準，所以造成了交易過程中的各種不規(guī)范。同時由于我國沒有在網(wǎng)絡(luò)方面進行立法，人們在互聯(lián)網(wǎng)上想干什么就干什么，造成的網(wǎng)絡(luò)安全問題越來越多，嚴重的破壞了普通民眾上網(wǎng)的網(wǎng)絡(luò)環(huán)境。所以我國應(yīng)該針對網(wǎng)絡(luò)安全問題制定相關(guān)的法律，對電子商務(wù)進行宏觀控制，完善電子商務(wù)的交易方式和操作模式，減少消費者的損失，維護人民的權(quán)益。

2．3信息存儲安全性比較弱

我國的互聯(lián)網(wǎng)發(fā)展起步較晚，雖然發(fā)展的比較迅速，但對與互聯(lián)網(wǎng)的技術(shù)和水平掌握的比較少，所以容易受到攻擊破壞。而對電子商務(wù)中信息的存儲威脅最大的形式主要有兩個，一個就是“非授權(quán)用戶修改”，另一個是“查看信息”。當企業(yè)連接上互聯(lián)網(wǎng)后，電子商務(wù)操作過程中如果一些環(huán)節(jié)出現(xiàn)問題，便會對企業(yè)造成很大的影響，使企業(yè)受到外部和內(nèi)部的兩重威脅。外部威脅指的是企業(yè)以外的人員(如黑客)等攻擊了企業(yè)的網(wǎng)絡(luò)，入侵了內(nèi)部網(wǎng)絡(luò)，在未經(jīng)授權(quán)的情況下私自篡改了電子商務(wù)信息，竊取了企業(yè)和客戶的信息，造成相當大的損失。內(nèi)部威脅指的是企業(yè)內(nèi)部的人員在沒有獲得授權(quán)的情況下私自修改了信息，比如最近新聞上熱議的“各大銀行客戶的銀行存款莫名其妙被轉(zhuǎn)走”，經(jīng)過調(diào)查，是由于內(nèi)部人員私自篡改了信息，將用戶儲蓄的存款轉(zhuǎn)移了。

3改進方法

3．1加強安全意識

無論是建立和完善相關(guān)的電子商務(wù)信息安全的法律還是加強網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)，或者是提高網(wǎng)絡(luò)技術(shù)水平，都是從外部環(huán)境方面著手，只有提高用戶的網(wǎng)絡(luò)安全知識，加強用戶對信息的保密意識下能從內(nèi)部解決信息安全問題。外部環(huán)境的不斷加強和完善使得網(wǎng)絡(luò)環(huán)境固若金湯，使得不法分子很難入侵成功，所以他們只能轉(zhuǎn)移目標，從使用的用戶入手，從內(nèi)部入侵，盜取個人賬號，獲得管理員的權(quán)限來竊取電子商務(wù)信息，給用戶造成極大的損失。所以提高用戶所掌握的安全知識，加強用戶的保密意識也是相當重要的。

3．2提高并掌握高端技術(shù)

電子商務(wù)有利有弊，在推動社會進步，給大家?guī)砀喾奖愕耐瑫r，同樣的也存在著許多問題和隱患，對我國國家信息安全是個很大的考驗，也增大了個人信息泄露的機會，但是不能因為有問題就不發(fā)展，那樣永遠不會進步，所以如何解決這些問題就是現(xiàn)在的重中之重。因此國家應(yīng)該更加重視網(wǎng)絡(luò)技術(shù)，增加對網(wǎng)絡(luò)技術(shù)的支持，不斷的引進國外的先進技術(shù)和設(shè)備，重點培養(yǎng)一些具有網(wǎng)絡(luò)安全技術(shù)方面的人才。加強我國的網(wǎng)絡(luò)安全建設(shè)要重點研究以下技術(shù):(1)防火墻技術(shù)?？梢宰柚狗欠ㄈ肭郑瑥脑搭^刪除掉一些不安全的協(xié)議領(lǐng)域。(2)數(shù)據(jù)加密技術(shù)。對文件、數(shù)據(jù)及口令等信息進行加密，使的這些信息不會被隨便損壞。(3)身份識別技術(shù)。運用身份識別技術(shù)對雙方進行嚴密的核實，確定所發(fā)信息是否完整。(4)防病毒技術(shù)。防止病毒進入信息安全系統(tǒng)，使內(nèi)部安全系統(tǒng)遭到損壞，造成信息的泄露以及不必要的損失。而且我國電腦的系統(tǒng)軟件的核心技術(shù)以及中央處理器等核心部件都是從國外進口的，信息的安全性沒辦法保證。因此我國的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也是必須要加強的。只有從內(nèi)部和外部兩方面著手，才能從根本上解決我國電子商務(wù)信息安全方面的問題。

3．3對網(wǎng)絡(luò)安全進行立法，提供法律依據(jù)

對網(wǎng)絡(luò)安全以及電子商務(wù)安全進行立法，明確規(guī)定相關(guān)法律，對網(wǎng)絡(luò)安全及電子商務(wù)安全提供法律依據(jù)，用法律來保護網(wǎng)絡(luò)的安全。同時我國也要設(shè)立專門的行政部門對電子商務(wù)進行統(tǒng)計的管理和監(jiān)督，行政部門和相關(guān)法律政策相結(jié)合，加強對商家的審核，嚴厲打擊假冒偽劣產(chǎn)品，對商家進行嚴厲的批評和適當?shù)牧P款，并進行應(yīng)有的法律教育，提高其遵紀守法的意識，加強職業(yè)操守，為當今社會的電子商務(wù)創(chuàng)造良好的環(huán)境，使電子商務(wù)能夠有序的進行。對于構(gòu)建社會主義和諧社會有很大的推動作用。

4結(jié)語

總而言之，隨著經(jīng)濟和社會的不斷發(fā)展和進步，互聯(lián)網(wǎng)越來越成為人們生活中不可缺少的一部分，電子商務(wù)也必將取代傳統(tǒng)商務(wù)模式，成為將來購物的主要形式。但是電子商務(wù)發(fā)展過程中也存在著很多問題和隱患，其中問題最嚴中的就是信息安全問題，通過對電子商務(wù)發(fā)展中的各種問題進行解析，并且找出相對應(yīng)的解決辦法，是做好電子商務(wù)信息安全的必要選擇，也是做好網(wǎng)絡(luò)安全的必要選擇，同時也是做好國家信息安全的必要選擇。

作者:鄧志龍 單位:陜西青年職業(yè)學(xué)院

參考文獻:

［1］馬偉．新時期計算機電子商務(wù)的安全策略分析［J］．中國商貿(mào)，2013(18)．

［2］劉秀平，武守勇．淺析計算機信息安全策略的維度思考［J］．無線互聯(lián)科技，2013(04)．

篇4

[關(guān)鍵詞] 數(shù)字簽名數(shù)字水印離散余弦變換多媒體論證

隨著因特網(wǎng)的迅速發(fā)展和普及，多媒體信息得到了空前廣泛的交流與應(yīng)用，給人們的生產(chǎn)和生活帶來了許多便利。但是，多媒體信息的安全問題也隨之而來，比如盜用別人的電子產(chǎn)品并在網(wǎng)上傳播；在電子商務(wù)中偽造或篡改票據(jù)；對數(shù)字圖像等多媒體信息進行修改、替換以達到損害別人的目的等。因此，對多媒體信息的有效論證是保證信息安全的重要手段。

電子交易的可實施性是電子商務(wù)要解決的最主要和最基本的問題。電子簽名可以實現(xiàn)兩個重要目標：排除電子商務(wù)的障礙；通過幫助建立參與者在網(wǎng)上從事商業(yè)活動所需要的信任和可預(yù)見性，實現(xiàn)并推動電子商務(wù)的適當?shù)墓舱吣繕恕?/p>

電子簽名目前具備三個主要功能:數(shù)據(jù)來源認證:這可以用于認證信息來自于可疑的發(fā)送者;信息的完整性:有助于信息的接收者確定，在發(fā)送過程中，沒有被有意或者隨意地更改;不可否認性:發(fā)送者不能被否認信息的發(fā)送。

目前，存在幾個方法可以有效完成上述功能。然而，基于公共公共密鑰的密碼系統(tǒng)的數(shù)字簽名技術(shù)是目前被認為最普通、最可靠的技術(shù)。

數(shù)字簽名是一種對多媒體信息進行論證的有效手段，它是由信息發(fā)送者對要傳送的信息進行某種處理的，任何人都無法知道的，用以論證信息的來源并核實信息是否發(fā)生了變化的一段字符串。數(shù)字簽名的基礎(chǔ)是密碼學(xué)。

數(shù)字水印技術(shù)近年來逐漸成為知識產(chǎn)權(quán)保護的主要手段，它是信息隱藏的一個重要分支，是通過在原始資料中嵌入一些有特殊意義的信息，如文字，序列號，公司標志，聲音等，用以識別多媒體信息的作者，版權(quán)所有者、發(fā)行者，合法使用人對數(shù)字產(chǎn)品的擁有權(quán)等，并攜帶有版權(quán)保護信息和論證信息。

信息隱藏技術(shù)與傳統(tǒng)密碼學(xué)有本質(zhì)的區(qū)別，傳統(tǒng)密碼學(xué)是將明文加密成密文，使信息不可理解，是隱藏了信息的內(nèi)容；而信息隱藏技術(shù)著重隱藏了信息的存在。數(shù)字水印技術(shù)和數(shù)字簽名各有優(yōu)勢和不足。數(shù)字簽名容易受到攻擊，而數(shù)字水印的安全度不高。如果將數(shù)字水印和數(shù)字簽名有機結(jié)合起來，以之為基礎(chǔ)構(gòu)成一種新的水印方案，其安全性、可性度、論證精度都將會大大地提高，這無疑將是多媒體技術(shù)研究發(fā)展的一個很有前途的方向。

一、結(jié)合數(shù)字簽名與數(shù)字水印的方案

把數(shù)字簽名作為水印隱藏在圖像中，數(shù)字簽名方法用DSA（Date Signature Algorithm），數(shù)字水印方法用DCT（discrete cosine transform即離散余弦變換）。DSA簽名是基于離散對數(shù)問題的數(shù)字簽名標準，雖說它僅提供數(shù)字簽名，不提供數(shù)據(jù)加密功能，但它具有算法簡便實用，易實現(xiàn)等優(yōu)點。而考慮用DCT是由于離散余弦變換是實變換，它具有良好的能量壓縮能力，而且可以利用人的視覺系統(tǒng)（HVS）在DCT域內(nèi)的特性。

在應(yīng)用DSA之前先對其做一個簡要說明：

如果要對一個消息x進行簽名，可選取一個隨機值k，且p, q,а和β公開，α保密（其中p是512比特的素數(shù)，q是一個整除p－1的160比特的素數(shù),а是模p的q次單位根。α作為私鑰,β作為公鑰）。定義k={(p, q ,а, α, β):β=aα(modp)},對于Κ和一個秘密隨機數(shù)k,1≤k≤q-1,對信息x的簽名結(jié)果如下:

sigK(x,k)=(γ,δ)(1)

γ和δ即是對信息x的簽名。

γ=(аkmodp)modq(2)

δ=(x+αγ)k-1modq(3)

簽名是否為真通過下式來驗證,e1=xδ-1modq(4)

e2=γδ-1modq(5)

verK(x，γ,δ)真(ae1βe2modp)modq=γ(6)

舉例說明如下:

如p=83,q=41,а=2,β=4。另給出α=2(可以由信息發(fā)送者的身份信息構(gòu)造而成)，取k=20,應(yīng)用上面的方法，對一個信息x (可以是一幅圖像作品的版權(quán)序列號等，如取為39)進行簽名得簽名信息為:sigK(x,k)=(37,20), 將之代入(6)式，可以驗證簽名為真。

將簽名的一些信息寫入一個64×64的二值圖像中，將之作為水印圖像嵌入到一個名為Peppersr的512×512標準真彩圖像中。具體方法如下：

(1)將數(shù)字簽名的一些已知參數(shù)p,q,а,β及對信息x的簽名(γ,δ)寫入到一個64×64的二值黑白圖像中，私鑰α及隨機數(shù)k可以由信息發(fā)送者身份識別的信息構(gòu)成，信息x可以是一幅版權(quán)圖像的序列編號構(gòu)成。

(2)讀取原始圖像和黑白水印圖像到二維數(shù)組I與J。

(3)將原始圖像I分割為互不覆蓋的圖像塊blockL(x,y),1≤x,y≤8,L=1,2…,M*M/64,對blockL(x,y)進行DCT變換，得到dct-blockL(u,v)。

(4)取黑白水印圖像中的一個元素J(p,q)嵌入到原始公開圖像塊的DCT的低頻系數(shù)中。

(5)對嵌入了水印信息后的圖像塊dct-blockL(u’,v’)進行反DCT變換，得到blockL(x’,y’)。

(6)合并圖像塊，得到嵌入了黑白水印后的圖像。

水印提取算法與水印嵌入算法類似，不再贅述。

接收方收到含水印的圖像后，從中提取水印得到簽名信息，用發(fā)信方給的私鑰α和秘密數(shù)k驗證簽名的真實性，從而可辨別作品的真?zhèn)危僭O(shè)原始圖像Peppers為一版權(quán)作品）。

二、實驗結(jié)果

下圖為水印的嵌入與提取圖，程序的實驗環(huán)境為MATLAB6.1。

從上圖可得知:嵌入了水印后載體圖像跟原始圖像基本上無明顯差異，即該水印圖像的透明性良好，且在嵌入水印后的圖像未受攻擊的前提下，從中提取出的水印圖像非常清晰。信息接收者應(yīng)用我的水印提取算法可方便地得到簽名信息，然后再用我給他的密鑰可以驗證此真彩圖的真?zhèn)巍?/p>

篇5

關(guān)鍵詞：電子商務(wù) 安全問題 安全策略

中圖分類號：G642 文獻標識碼：A 文章編號：1672-8882（2012）10-047-01

1.引言

電子商務(wù)作為一種全新的業(yè)務(wù)和服務(wù)方式為全球客戶提供了豐富的商務(wù)信息、簡捷的交易過程和低廉的交易成本，這種商務(wù)活動模式正在被全世界的人們所關(guān)注和青睞。但是，電子商務(wù)的安全性也制約了它的發(fā)展，安全問題已經(jīng)成為電子商務(wù)推進中的最大障礙。

2.電子商務(wù)的安全問題

電子商務(wù)系統(tǒng)從一定意義上來講就是一種計算機信息系統(tǒng)，信息系統(tǒng)安全主要是網(wǎng)絡(luò)的信息安全，從這個角度來闡述電子商務(wù)系統(tǒng)的安全問題的根源，則主要包含以下幾個方面物理安全、方案設(shè)計的缺陷、系統(tǒng)的安全漏洞和人的因素等幾個方面。

2.1物理安全問題

物理安全問題主要包括物理設(shè)備本身的問題、設(shè)備的位置安全、限制物理訪問、物理環(huán)境安全和地域因素等。物理設(shè)備的安全威脅包括溫度、濕度、灰塵、供電系統(tǒng)對系統(tǒng)運行可靠性的影響，由于電磁輻射造成信息泄露，自然災(zāi)害如地震、閃電、風(fēng)暴等對系統(tǒng)的破壞。設(shè)備的位置極為重要，所有的基礎(chǔ)網(wǎng)絡(luò)設(shè)施都應(yīng)該放置在嚴格限制來訪人員的地方，以降低出現(xiàn)未經(jīng)授權(quán)訪問的可能性。如果物理設(shè)備擺放不當，受到攻擊者對物理設(shè)備的故意破壞，其他的安全措施都沒有用。還要嚴格限制對接線柜和關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施所在地的物理訪問，除非經(jīng)過授權(quán)或因工作需要而必須訪問之外，禁止對這些區(qū)域的訪問。地域因素，互聯(lián)網(wǎng)往往跨越城際、國際，地理位置錯綜復(fù)雜，通信線路質(zhì)量難以保證，會給上傳信息造成損壞、丟失，也給“搭線竊聽”的黑客以可乘之機，增加更多的安全隱患。

2.2方案設(shè)計的缺陷

在實際中，網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，會包含星型、總線和環(huán)型等各種拓撲結(jié)構(gòu)，結(jié)構(gòu)的復(fù)雜給網(wǎng)絡(luò)系統(tǒng)管理、拓撲設(shè)計帶來很多問題。為了實現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信，就必須要犧牲一些安全機制的設(shè)置和實現(xiàn)，從而提出更高的網(wǎng)絡(luò)開放性的要求。有時特定的環(huán)境往往會有特定的安全需求，所以不存在可以通用的解決方案，需要制定不同的方案。如果設(shè)計者的安全理論與實踐水平不夠的話，設(shè)計出來的方案經(jīng)常是存在漏洞的，這是安全威脅的根源之一。

2.3系統(tǒng)的安全漏洞

軟件系統(tǒng)規(guī)模不斷增大，系統(tǒng)中的安全漏洞不可避免的存在，任何一個軟件都可能會因為程序員的一個疏忽、設(shè)計中的一個缺陷等原因而存在漏洞。主要包括操作系統(tǒng)類的安全漏洞、網(wǎng)絡(luò)系統(tǒng)類安全漏洞和應(yīng)用系統(tǒng)類安全漏洞。

2.4人的因素

人是信息活動的主體，人的因素其實是網(wǎng)絡(luò)安全的最主要因素體現(xiàn)在以下三個方面：一、人的無意失誤，操作人員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享都會給網(wǎng)絡(luò)安全帶來威脅。二、人為的惡意攻擊，就是黑客攻擊，是計算機網(wǎng)絡(luò)面臨的最大威脅。這類攻擊主要分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄露。三、管理上的因素，網(wǎng)絡(luò)系統(tǒng)的嚴格管理是企業(yè)、機構(gòu)及用戶免受攻擊的重要措施，很多企業(yè)、機構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于安全方面的管理。管理的缺陷可能會出現(xiàn)系統(tǒng)內(nèi)部人員泄露機密或外部人員通過非法手段截獲而導(dǎo)致機密信息的泄露，為一些不法分子制造了可乘之機。

3.電商務(wù)安全的策略

電子商務(wù)安全，首先想到的是技術(shù)保障措施，僅從技術(shù)角度安全保障還遠遠不夠。電子商務(wù)的安全需要一個完整的綜合保障體系，采用綜合防范的思路，從技術(shù)、管理、法律等方面去認識，根據(jù)我國的實際和國外的經(jīng)驗，采取適合我國的安全保障辦法和措施。

3.1信息技術(shù)措施

信息技術(shù)措施主要涉及物理安全策略、訪問控制策略、信息加密技術(shù)、數(shù)字簽名技術(shù)以及防火墻等等。

3.1.1物理安全策略

保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤和各種計算機犯罪行為導(dǎo)致的破壞。

3.1.2訪問控制策略

訪問控制策略隸屬于系統(tǒng)安全策略，他迫使在計算機系統(tǒng)和網(wǎng)絡(luò)中自動的執(zhí)行授權(quán)，被分成指令性訪問控制策略和選擇性訪問控制策略兩類。指令性訪問控制策略是由安全區(qū)域權(quán)力機構(gòu)強制實施的任何用戶不能回避它。選擇性訪問控制策略為一些特殊的用戶提供了對資源的訪問權(quán)這些用戶可以利用此權(quán)限控制對資源進行訪問。

3.1.3信息加密技術(shù)

信息加密技術(shù)是電子商務(wù)安全技術(shù)中一個重要的組成部分。數(shù)據(jù)傳輸加密技術(shù)主要是對傳輸中的數(shù)據(jù)流進行加密，常用的有鏈路—鏈路加密、節(jié)點加密、端—端加密、ATM網(wǎng)絡(luò)加密和衛(wèi)星通信加密五種方式。應(yīng)該根據(jù)信息系統(tǒng)安全策略來制定保密策略，選擇合適的加密方式。

3.1.4數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)可以防止他人對傳輸?shù)奈募M行破壞以及確定發(fā)信人的身份。RSA簽名方法和EIGamal數(shù)字簽名方法是兩種基本的數(shù)字簽名方法，許多數(shù)字簽名方法都基于這兩種算法。RSA是可逆的公開秘鑰加密系統(tǒng)，在數(shù)字簽名過程中運用了消息的驗證模式。EIGamal是一種非確定性的雙鑰體制，它對同一明文消息的簽名會因隨機參數(shù)選擇的不同而不同。

3.1.5防火墻技術(shù)

防火墻是指隔離在本地網(wǎng)絡(luò)與外界之間的一道或一組執(zhí)行策略的防御系統(tǒng)。防火墻可以隔離不同的網(wǎng)絡(luò)，限制安全問題的擴散，可以很方便地記錄網(wǎng)絡(luò)上的各種非法活動，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急情況報警。

3.2信息安全管理制度

建立完善的安全管理制度，進一步保證電子商務(wù)的安全。信息安全管理制度主要包括人員管理制度，保密制度，跟蹤、審計、稽核制度，應(yīng)急措施以及其他一些措施等。

3.2.1人員管理制度

電子商務(wù)活動中的主要參與者是人，尤其是網(wǎng)絡(luò)管理員這樣的人員，需要具備高尚的職業(yè)道德，才能保證管理有效。在人員管理時應(yīng)注意以下幾個方面：一要嚴格選拔，對網(wǎng)絡(luò)工作者的選拔應(yīng)不僅考核他們的技術(shù)，更要考察他們的責(zé)任心、道德感和紀律性。二要落實工作責(zé)任制，網(wǎng)絡(luò)工作者尤其是超級管理員，掌握著很多重要的資料，他們必須嚴格遵守企業(yè)的安全制度，不能隨意將工作內(nèi)容向不相關(guān)的人泄露。三要貫徹電子商務(wù)安全運作基本原則，為便于管理，應(yīng)遵循多人負責(zé)、任期有限、最小權(quán)限的原則。

3.2.2保密制度

從事電子商務(wù)工作的企業(yè)，內(nèi)部會涉及許多保密信息，每類信息安全級別不同，要制定明確的保密制度，規(guī)定訪問級別，與相關(guān)人員簽訂保密協(xié)議，保證保密信息不會外泄。

3.2.3跟蹤、審計、稽核制度

跟蹤制度是以系統(tǒng)自動生成日志文件的形式來記錄系統(tǒng)運行的全過程。通過日志文件可以對系統(tǒng)進行監(jiān)督、維護分析和故障排除，對于安全案件的偵破提供事實依據(jù)。

審計制度是規(guī)定網(wǎng)絡(luò)審計員應(yīng)經(jīng)常對系統(tǒng)的日志文件檢查、審核，及時發(fā)現(xiàn)異常狀況，監(jiān)控和捕捉各種安全事件，并對系統(tǒng)日志進行保存、維護和管理。

稽核制度是指工商管理、銀行、稅務(wù)人員利用計算機及網(wǎng)絡(luò)系統(tǒng)，借助稽核業(yè)務(wù)，應(yīng)用軟件調(diào)閱、查詢、審核、判斷轄區(qū)內(nèi)電子商務(wù)參與單位業(yè)務(wù)經(jīng)營活動的合理性、安全性，堵塞漏洞，保證電子商務(wù)交易安全，發(fā)出相應(yīng)的警示或作出處理處罰的有關(guān)決定的一系列步驟及措施。

3.2.4應(yīng)急措施

應(yīng)急措施是指計算機災(zāi)難事件發(fā)生時，利用應(yīng)急計劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計算機信息系統(tǒng)繼續(xù)運行或緊急恢復(fù)正常運行。災(zāi)難恢復(fù)包括許多工作，一方面是硬件恢復(fù)，使計算機系統(tǒng)重新運轉(zhuǎn)起來；另一面是數(shù)據(jù)的恢復(fù)。數(shù)據(jù)的恢復(fù)更為重要，難度也更大。在啟動電子商務(wù)業(yè)務(wù)之初，就必須制定交易安全計劃和應(yīng)急方案，以防萬一。一旦發(fā)生意外，有備無患，可最大限度地減少損失，盡快恢復(fù)系統(tǒng)的正常工作，保證交易的正常運行。

3.2.4其他一些措施

在電子商務(wù)安全問題中，病毒對網(wǎng)絡(luò)交易的順利進行和交易數(shù)據(jù)的妥善保存造成極大的威脅。從事網(wǎng)上交易的企業(yè)和個人都應(yīng)當建立病毒防范制度，排除病毒的干擾。其次，還要經(jīng)常進行系統(tǒng)維護，系統(tǒng)維護主要包括硬件的日常管理與維護和軟件的日常管理與維護。企業(yè)里的硬件應(yīng)建立系統(tǒng)設(shè)備檔案，便于以后對設(shè)備的更新和管理。對于軟件的管理和維護工作主要是版本控制，及時更新添補漏洞，降低出現(xiàn)意外的可能。

3.3法律政策與法律保障

電子商務(wù)的安全發(fā)展必須依靠法律的保障，通過法律等條文的形式來保護電子商務(wù)信息的安全，懲罰網(wǎng)絡(luò)犯罪違法行為，建立一個良好的電子商務(wù)法制環(huán)境來約束人們的行為。

目前電子商務(wù)相關(guān)法律主要涉及計算機犯罪立法、計算機安全法規(guī)、隱私保護、網(wǎng)絡(luò)知識產(chǎn)權(quán)保護、電子合同相關(guān)法規(guī)等方面，初步滿足了電子商務(wù)保密性、完整性、認證性、可控性和不可否認性的安全需求。隨著信息技術(shù)的發(fā)展，電子商務(wù)安全不可能一勞永逸，必須用發(fā)展的眼光來看待，法制建設(shè)也應(yīng)該進一步完善。

電子商務(wù)的安全問題是一個涉及范圍極廣的社會問題，網(wǎng)上交易安全性若不能得到有效的保障，就必然會影響到電子商務(wù)的順利發(fā)展。因此，要使電子商務(wù)能夠健康、快速、蓬勃的發(fā)展，就必須用全面的電子商務(wù)安全解決方案提供交易的信任保障，希望越來越多的企業(yè)和個人加入到關(guān)心電子商務(wù)的行列中來，一起為開創(chuàng)嶄新的商務(wù)時代出力獻策。

參考文獻：

[1]祁明.電子商務(wù)安全與保密 [M].高等教育出版社.

篇6

關(guān)鍵詞：移動；電子商務(wù)；安全

中D分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）31-0252-02

依據(jù)當前情形，計算機和桌面互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展速度已遠被移動互聯(lián)網(wǎng)產(chǎn)業(yè)所趕超。近一年間，全球互聯(lián)網(wǎng)用戶數(shù)目已達到32億，占全球總?cè)丝跀?shù)的44%，而其中移動互聯(lián)網(wǎng)用戶總數(shù)將達到20億，手機上網(wǎng)人數(shù)也超過了電腦上網(wǎng)人數(shù)，使用手機搜索引擎的人數(shù)超過60%，這意味著移動營銷具有非常巨大的潛力。利用智能手機等可移動無線終端設(shè)備，通過移動網(wǎng)絡(luò)連接Internet，并進行各種類型的電子商務(wù)交易活動，稱為移動電子商務(wù)。因其可移動、便攜、方便的特點，加之無線網(wǎng)絡(luò)、移動WIFI的覆蓋，可在移動無線終端上隨時進行交易，使它成為電子商務(wù)發(fā)展不可阻擋的新趨勢。

在中國，隨著經(jīng)濟、技術(shù)的快速穩(wěn)定發(fā)展，一方面人們的生活水平日益提高，移動無線終端的普及率也越來越高，移動用戶日漸壯大，另一方面4G等無線通信技術(shù)不斷發(fā)展、成熟，移動電子商務(wù)在整個電子商務(wù)市場中所占的份額越來越大。通過移動無線終端使交流更方便、使支付更快捷等，但其安全性問題始終成為人們所顧慮的重點。

1 移動電子商務(wù)自身因素導(dǎo)致的安全方面問題

1.1 無線網(wǎng)絡(luò)開發(fā)起始階段不成熟導(dǎo)致的安全問題

移動網(wǎng)絡(luò)的出現(xiàn)比較早，早期的架構(gòu)比較簡單，加密算法，通信技術(shù)都比較落后，雖然隨著時代的發(fā)展，在安全性方面得到了很大改進，然后并不能從本質(zhì)上解決諸多安全問題，如信道頻率公開導(dǎo)致通信被竊聽、偽基站盛行導(dǎo)致詐騙信息無法識別，加密技術(shù)老化導(dǎo)致通信內(nèi)容被篡改等。各種因素都指向一個同一個安全問題，并且信息在傳輸與轉(zhuǎn)換的過程中都可能造成不安全的隱患。

1.2 通信終端多樣化導(dǎo)致的安全方面問題

眾所周知，目前移動通信終端設(shè)備的種類較多，各類設(shè)備累計體現(xiàn)出來的安全隱患也隨之增多，其主要表現(xiàn)有：移動通信設(shè)備自身的設(shè)計漏洞，設(shè)備或其所使用軟件在驗證使用者身份時產(chǎn)生的隱私泄露，導(dǎo)致賬戶信息安全產(chǎn)生威脅，人為的攻擊因素如復(fù)制SIM卡，被解RFID密碼等。

1.3 使用軟件不當而造成的安全威脅

手機軟件發(fā)展迅速，但是比起電腦端，顯得尤為脆弱，糾錯排毒等功能也弱化不少，病毒木馬等在手機軟件發(fā)展中也在不斷滋生，這種安全威脅尤為嚴重。軟件病毒會以多種形式滲入移動通信終端，比如通過手機瀏覽器或者潛伏與手機軟件中伺機傳播非法信息，破壞手機系統(tǒng)。移動通信終端一旦感染病毒，會出現(xiàn)這樣那樣的問題，有些問題不會影響終端的正常運行，旨在竊取用戶信息、銀行賬號、密碼等私密信息；有些問題則會如電腦中毒一樣，加重系統(tǒng)運行負載，更改用戶信息，嚴重的甚至?xí)?dǎo)致手機無法正常工作。

1.4 運營管理上存在的漏洞和隱患

電子商務(wù)在近十年內(nèi)飛速發(fā)展，移動電商的發(fā)展也隨之突飛猛進，運營至今，給類移動電商平臺數(shù)不勝數(shù)，不僅種數(shù)繁多，而且良莠不齊，一般的大眾用戶很難甄別這些運營平臺的真?zhèn)魏蛢?yōu)劣。拋開管理方面因素，就平臺開發(fā)過程中運用的相關(guān)技術(shù)而言，存在數(shù)量不少的平臺在開放方面由于技術(shù)較弱，而導(dǎo)致在使用過程中問題頻出，漏洞難補，安全問題可想而知。而平臺的服務(wù)提供者對平臺的管理機制是否健全，也是影響平臺安全問題的重要因素。

2 移動電子商務(wù)的安全保護措施

2.1 建立移動互聯(lián)網(wǎng)的安全框架

移動電子商務(wù)設(shè)計的初衷當然是需要運行在一個安全服務(wù)平臺之上，這就要求作為提供網(wǎng)絡(luò)通信服務(wù)的移動通信網(wǎng)絡(luò)，包括目前主要采用3G 移動通信、4G 移動通信和WIFI 網(wǎng)絡(luò)，針對無線應(yīng)用協(xié)議的各個不同層，在各個層次上均需要采用針對性的安全技術(shù)。

2.2 在支付方式上采用安全加密技術(shù)

目前還有很多場合使用比較老的支付方式，比如密碼支付，二維碼支付等，這些支付技術(shù)漏洞較大，研發(fā)新一代安全支付手段勢在必行。

如國際公認的無線公開密鑰體系WPKI，其強項是管理公開密鑰和數(shù)字證書，其采用的密鑰加密技術(shù)以及基于網(wǎng)絡(luò)環(huán)境的數(shù)字加密和簽名服務(wù)，能夠有效地提高數(shù)據(jù)傳輸過程中，從的端到端的安全，使得交易的風(fēng)險大大降低，其采用的可信WPKI技術(shù)，以及非復(fù)制功能，能保證信息的不可抵賴性。

當然，理論上沒有絕對安全的環(huán)境，在具體驗證過程中，對密鑰的驗證，需要結(jié)合數(shù)字證書證明密鑰的有效性，建立起一套加解密和認證系統(tǒng)相輔相成的布局，可以在很大程度上提高交易過程中重要數(shù)據(jù)被竊取或篡改的難度，使得電子商務(wù)交易安全系數(shù)大大提升。

2.3 規(guī)范行業(yè)管理標準

一個完善的行業(yè)標準是規(guī)范行業(yè)管理的重要條件。為了保證移動電子商務(wù)交易活動的高效與可靠，必須建立一個移動電子商務(wù)行業(yè)的安全標準，并提高交易各方的安全意識。在執(zhí)行過程中不斷完善，去粗取精，建立交易過程中的相互作用機制，以促進移動電子商務(wù)的健康、快速發(fā)展。

2.4 健全相關(guān)法律法規(guī)

國家及相關(guān)職能部門應(yīng)逐步健全與移動電子商務(wù)相關(guān)的法律、法規(guī)和制度，明確行業(yè)政策導(dǎo)向，保障公平的競爭環(huán)境，及時修正法律法規(guī)漏洞，明確細節(jié)，使出現(xiàn)問題有法可依、有律可循。在詳盡的法律條款和規(guī)章制度規(guī)范下，提供方便、快捷、安全的移動電子商務(wù)環(huán)境，減少商務(wù)糾紛，使當事雙方可以放心地進行交流、交易等等，更多地參與到各類移動電子商務(wù)活動中。

3 結(jié)語

移動電子商務(wù)要健康、快速地發(fā)展，相關(guān)管理部門應(yīng)該與移動運營商緊密聯(lián)系與互相配合，從技術(shù)、管理、法律法規(guī)等多方面入手，實施可行的安全策略以及管理體制。

參考文獻：

[1] 徐桂. 移動互聯(lián)網(wǎng)安全認證及安全應(yīng)用中關(guān)鍵技術(shù)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2014（1）.

篇7

關(guān)鍵詞：電子商務(wù)； 信息安全；運行環(huán)境；黑客；防火墻 

 

電子商務(wù)在網(wǎng)絡(luò)經(jīng)濟發(fā)展日益迅猛的當下，應(yīng)用越來越廣泛，這種基于Internet進行的各種商務(wù)活動模式以其特有的開放性讓商務(wù)活動相比較以往更加高效快捷。In-ternet 是一個開放的、全球性的、無控制機構(gòu)的網(wǎng)絡(luò)，計算機網(wǎng)絡(luò)自身的特點決定了網(wǎng)絡(luò)不安全，網(wǎng)絡(luò)服務(wù)一般都是通過各種各樣的協(xié)議完成的，因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的重要方面，Internet 的數(shù)據(jù)傳輸是基于 TCP/IP操作系統(tǒng)來支持的，TCP/IP 協(xié)議本身存在著一定的缺陷。 

1電子商務(wù)所面臨的信息安全威脅 

1.1 安全環(huán)境惡化 

由于在計算機及網(wǎng)絡(luò)技術(shù)方面發(fā)展較為遲緩，我國在很多硬件核心設(shè)備方面依然以進口采購為主要渠道，不能自主生產(chǎn)也意味著不能自主控制，除了生產(chǎn)技術(shù)、維護技術(shù)也相應(yīng)依靠國外引進，這也就讓國內(nèi)的電子商務(wù)無法看到眼前的威脅以及自身軟件的應(yīng)付能力。 

1.2平臺的自然物理威脅 

由于電子商務(wù)通過網(wǎng)絡(luò)傳輸進行，因此諸如電磁輻射干擾以及網(wǎng)絡(luò)設(shè)備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預(yù)測，而這些威脅將直接影響信息安全。此外，人為破壞商務(wù)系統(tǒng)硬件，篡改刪除信息內(nèi)容等行為，也會給企業(yè)造成損失。 

1.3黑客入侵 

在諸多威脅中，病毒是最不可控制的，其主要作用是損壞計算機文件，且具有繁殖功能。配合越來越便捷的網(wǎng)絡(luò)環(huán)境，計算機病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性，本地計算機所記錄的登錄信息都會被木馬程序篡改，從而造成信息之外的文件和資金遭竊。 

2電子商務(wù)信息安全的防范處理方法 

2.1針對病毒的技術(shù) 

作為電子商務(wù)安全的最大威脅，對于計算機病毒的防范是重中之重。對于病毒，處理態(tài)度應(yīng)該以預(yù)防為主，查殺為輔。因為病毒的預(yù)防工作在技術(shù)層面上比查殺要更為簡單。多種預(yù)防措施的并行應(yīng)用很重要，比如對全新計算機硬件、軟件進行全面的檢測；利用病毒查殺軟件對文件進行實時的掃描；定期進行相關(guān)數(shù)據(jù)備份；服務(wù)器啟動采取硬盤啟動；相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問權(quán)限等等。同時在病毒感染時保證文件的及時隔離。在計算機系統(tǒng)感染病毒的情況下，第一時間清除病毒文件并及時恢復(fù)系統(tǒng)。 

2.2防火墻應(yīng)用 

防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng)，對內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護。目前的防火墻分為兩大類：一類是簡單的包過濾技術(shù)，它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器，可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。

2.3數(shù)據(jù)加密技術(shù)的引入 

加密技術(shù)是保證電子商務(wù)安全采用的主要安全措施。加密過程就是根據(jù)一定的算法，將可理解的數(shù)據(jù)（明文）與一串數(shù)字（密鑰）相結(jié)合，從而產(chǎn)生不可理解的密文的過程，主要加密技術(shù)是：對稱加密技術(shù)和非對稱加密技術(shù)。 

2.4認證系統(tǒng) 

網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實生活中的身份證，用于在網(wǎng)絡(luò)上鑒別個人或組織的真實身份。傳統(tǒng)的對稱密鑰算法具有加密強度高、運算速度快的優(yōu)點，但密鑰的傳遞與管理問題限制了它的應(yīng)用。為解決此問題，20 世紀 70 年代密碼界出現(xiàn)了公開密鑰算法，該算法使用一對密鑰即一個私鑰和一個公鑰，其對應(yīng)關(guān)系是唯一的，公鑰對外公開，私鑰個人秘密保存。一般用公鑰來進行加密，用私鑰來進行簽名；同時私鑰用來解密，公鑰用來驗證簽名。 

2.5其他注意事項 

篇8

隨著計算機技術(shù)的快速發(fā)展，云計算的使用也越來越廣泛，電子商務(wù)企業(yè)因此迎來了新的機遇。但是由于云計算技術(shù)的不成熟，其本身存在著網(wǎng)絡(luò)安全問題，這也導(dǎo)致了電子商務(wù)平臺面臨著安全問題。筆者就云計算模式下電子商務(wù)的安全進行了研究，提出了幾條相應(yīng)的安全策略。

【關(guān)鍵詞】

云計算；電子商務(wù)；安全性能；安全策略

0 緒言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，信息量和數(shù)據(jù)量變得更為龐大，但是網(wǎng)絡(luò)中的存儲資源并沒有得到充分的利用和合理的管理，因此云計算技術(shù)便攻克了這一難題。云計算是一種在原有的計算方式上發(fā)展而來的新型計算模式，也是一種新興的商業(yè)模式，具有高可靠性、通用性、高擴展性和低成本的優(yōu)勢。云計算的應(yīng)用給IT界特別是電子商務(wù)領(lǐng)域帶來了一場變革，但是，云計算本身存在著網(wǎng)絡(luò)安全問題，因此電子商務(wù)也同樣面臨著安全問題。所以，在云計算模式下的電子商務(wù)如何解決安全問題成為了日前的工作重點。

1 云計算模式下電子商務(wù)的優(yōu)勢

1.1 節(jié)省電子商務(wù)企業(yè)硬件成本

電子商務(wù)是運用計算機技術(shù)、網(wǎng)絡(luò)技術(shù)和遠程通信技術(shù)，來完成電子化、數(shù)字化和網(wǎng)絡(luò)化的整個商務(wù)過程，而云計算的應(yīng)用對電子商務(wù)的發(fā)展產(chǎn)生了深刻的影響。建設(shè)電子商務(wù)的硬件系統(tǒng)需要大量的服務(wù)器、小型機、網(wǎng)絡(luò)和負載均衡的設(shè)備，因此，一般模式下電子商務(wù)的硬件成本比較大，而且后期的維護費用也很高，這樣的高投資對于電子商務(wù)企業(yè)，尤其是中小企業(yè)來說具有一定的財務(wù)負擔。但是在云計算模式下的電子商務(wù)并沒有這樣大的財務(wù)負擔，只需要根據(jù)自身的業(yè)務(wù)需求從云服務(wù)提供商那里購買IT基礎(chǔ)構(gòu)架。在購買基礎(chǔ)構(gòu)架上，按照計算資源的數(shù)量和使用時間向提供商支付費用，不用購買昂貴的硬件設(shè)備，也不需要支付高額的維護費用。因此，云計算模式下的電子商務(wù)在硬件方面節(jié)省了大量的成本。

1.2 提高電子商務(wù)應(yīng)用的靈活性

電子商務(wù)在軟件的開發(fā)、測試和升級上需要花費大量的資金和人力，并且維護電子商務(wù)的運行也需要大量的資金和人力。但是，云計算模式下的電子商務(wù)只需向平臺提供商租用軟件服務(wù)就行，并且通過瀏覽器來使用這些軟件服務(wù)，例如電子商務(wù)企業(yè)可以從平臺提供商那里購買人力資源系統(tǒng)的云服務(wù)，而對于這個軟件的開發(fā)、測試和維護則由云服務(wù)提供商來負責(zé)，電子商務(wù)只需支付費用即可。因此，云計算模式下的電子商務(wù)提高了應(yīng)用的靈活性。

1.3 提供強大的數(shù)據(jù)處理能力

云計算是在并行計算、分布計算和網(wǎng)格計算的基礎(chǔ)上發(fā)展起來的一種新型計算模式，將虛擬服務(wù)和多重租賃的新技術(shù)集合為一體，節(jié)約了成本也減少了使用信息技術(shù)資源的費用。云計算通過特定的計算模式將大量的普通計算機聯(lián)合起來，然后為用戶提供強大的計算能力，讓用戶在使用單臺計算機時也能完成單臺計算機難以完成的計算任務(wù)。在云計算服務(wù)平臺中，提交一個計算請求后，云計算平臺就會根據(jù)需要調(diào)用平臺中大量的計算節(jié)點提供強大的計算能力。在云計算模式下，電子商務(wù)企業(yè)不是從自己的計算機或某個指定的服務(wù)器上獲得信息，而是通過互聯(lián)網(wǎng)上的各種設(shè)備來活動所需的信息，因此在計算速度上得到了很大的飛躍。

2 云計算模式下電子商務(wù)面臨的問題

云計算模式下的電子商務(wù)存在著很多的優(yōu)勢，在安全性上也存在著很多優(yōu)點，如授權(quán)合法性等傳統(tǒng)的安全需求在云計算模式下更容易解決，但是同時也帶來了新的安全問題，例如信息保密性、隱私保護和網(wǎng)絡(luò)安全性等。

對于數(shù)據(jù)存儲安全，傳統(tǒng)模式下的電子商務(wù)擁有自己的數(shù)據(jù)中心，所有的數(shù)據(jù)都存儲在自己的服務(wù)器上，而云計算模式下的電子商務(wù)都是將數(shù)據(jù)存儲在云中，因此便面臨著以下幾個問題：

首先，電子商務(wù)企業(yè)不知道自身的數(shù)據(jù)信息被存儲在哪個服務(wù)器終端內(nèi)，甚至數(shù)據(jù)的去向也不了解，因此也就不清楚數(shù)據(jù)有沒有被泄露；

其次，電子商務(wù)企業(yè)需要購買基礎(chǔ)構(gòu)架或軟件服務(wù)，購買后業(yè)務(wù)數(shù)據(jù)就會被存儲在云計算平臺中，因此電子商務(wù)的業(yè)務(wù)流程就需要依賴于云計算服務(wù)提供商提供的服務(wù)，這樣對于云計算平臺的服務(wù)連續(xù)性、安全策略和事件處理就有了更高的要求；

最后，電子商務(wù)企業(yè)的數(shù)據(jù)是在數(shù)據(jù)共享環(huán)境中被存儲在云計算平臺上的，如果沒有對數(shù)據(jù)進行有效的隔離，這樣任何的意外都可能會導(dǎo)致數(shù)據(jù)無法使用，給電子商務(wù)企業(yè)帶來不可預(yù)計的損失。

3 云計算模式下電子商務(wù)的安全策略

如果不能解決云計算模式下電子商務(wù)面臨的安全問題，那電子商務(wù)將無法享受云計算帶來的便利，這樣就嚴重阻礙了云計算在電子商務(wù)中的應(yīng)用。因此，對于云計算模式下電子商務(wù)面臨的安全問題提出以下幾種安全策略，以加強云計算模式下電子商務(wù)安全風(fēng)險的控制。

（1）加強數(shù)據(jù)安全管理。云計算模式下的電子商務(wù)企業(yè)應(yīng)該運用技術(shù)手段，對存儲在云端的數(shù)據(jù)進行嚴格的加密，以此來保證企業(yè)的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩?，并且?yīng)該同時對存儲到云端的數(shù)據(jù)進行嚴格的管理。

（2）加強客戶端的管理。云計算模式下的電子商務(wù)企業(yè)應(yīng)該采取保護措施來保護云端不被攻擊。在云計算環(huán)境下，云終端不僅僅是傳統(tǒng)的計算機，也可能是專門的云端機器，或者是平板電腦和手機等。因此，企業(yè)應(yīng)該定期的完成云終端系統(tǒng)的補丁和更行工作，安裝防火墻保證云終端的安全。

（3）云中心須對用戶數(shù)據(jù)進行隔離和保護。云服務(wù)提供商不能將電子商務(wù)企業(yè)的私有數(shù)據(jù)與其他客戶的數(shù)據(jù)混合，或者是提供給他人使用，必須將云數(shù)據(jù)備份和云恢復(fù)計劃落實到位，防止電子商務(wù)企業(yè)的數(shù)據(jù)丟失和被破壞。

4 結(jié)語

云計算模式下的電子商務(wù)具有很多的優(yōu)勢，在計算和數(shù)據(jù)存儲方面變得更加的便利。但是云計算模式下的電子商務(wù)也面臨著很多安全問題，這些問題是不容忽視的，需要電子商務(wù)企業(yè)和云計算提供商共同努力，一起解決這些安全問題，保證數(shù)據(jù)的安全。

【參考文獻】

[1]李子凡.電子商務(wù)安全問題探析.紅果電子商務(wù)[J]，2011（6）

[2]馮毅.淺談在云計算平臺下企業(yè)電子商務(wù)的發(fā)展.中國高新技術(shù)企業(yè)[J]，2011（16）

篇9

電子商務(wù)交易安全概述

電子商務(wù)的交易安全就是對交易中涉及的各種數(shù)據(jù)的可靠性、完整性和可用性進行保護。當許多傳統(tǒng)的商務(wù)方式應(yīng)用在 Internet上時，便會帶來許多源于安全方面的問題，如傳統(tǒng)的貸款和借款卡支付的保證方案及數(shù)據(jù)保護方法、電子數(shù)據(jù)交換系統(tǒng)、對日常信息安全的管理等。具體來說包括以下幾個方面：

（1）數(shù)據(jù)保密：防止非授權(quán)用戶獲得并使用該數(shù)據(jù)。

（2）數(shù)據(jù)完整性：確保網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。

（3）身份驗證：對網(wǎng)絡(luò)上的另一個用戶進行驗證，證實他就是他所聲稱的那個人。

（4）授權(quán)：控制誰能夠訪問網(wǎng)絡(luò)上的信息并且能夠進行何種操作。

（5）不可抵賴和不可否認：用戶不能抵賴自己曾做出的行為，也不能否認曾經(jīng)接到對方的信息。

（6）軟件資源或網(wǎng)址免受病毒的侵害與黑客的攻擊。

為了滿足這些需求，提高電子商務(wù)的安全性，網(wǎng)絡(luò)和管理技術(shù)人員研究和開發(fā)了多種網(wǎng)絡(luò)安全技術(shù)和協(xié)議，這些技術(shù)和協(xié)議各自有一定的使用范圍，可以提供電子商務(wù)交易活動不同程度的安全保障。

安全技術(shù)在電子商務(wù)中的具體應(yīng)用

電子商務(wù)在功能上要求實現(xiàn)實時帳戶信息查詢。這就使電子商務(wù)系統(tǒng)必須在物理上與生產(chǎn)系統(tǒng)要有連接，這對于電子商務(wù)信息系統(tǒng)的安全性提出了更高的要求，必須保證外部網(wǎng)絡(luò)(Internet)用戶不能對生產(chǎn)系統(tǒng)構(gòu)成威脅。為此，需要全方位地制定系統(tǒng)的安全策略。就整個系統(tǒng)而言，安全性可以分為四個層次：①網(wǎng)絡(luò)節(jié)點的安全②通訊的安全性③應(yīng)用程序的安全性④用戶的認證管理

1、網(wǎng)絡(luò)節(jié)點的安全

網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證，防火墻是在連接Internet和Intranet時保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的分析和判斷。通過靈活有效地運用這些功能，從而可以制定出正確的安全策略，防火墻安全策略是十分重要的，我們應(yīng)該認識到，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。與此同時，操作系統(tǒng)的安全性也十分重要，防火墻是基于操作系統(tǒng)的。如果信息通過操作系統(tǒng)的后門繞過防火墻進入內(nèi)部網(wǎng)，則防火墻照樣失效，所以，必須保證操作系統(tǒng)的安全，在條件許可的情況下，應(yīng)考慮將防火墻單獨安裝在硬件設(shè)備上。

2 數(shù)據(jù)通訊的安全

數(shù)據(jù)通訊的安全主要依靠對通信數(shù)據(jù)的加密來保證。在通訊鏈路上的數(shù)據(jù)安全，一定程度上取決于加密的算法和加密的強度。電子商務(wù)系統(tǒng)的數(shù)據(jù)通信主要存在于：①客戶瀏覽器與電子商務(wù)Web服務(wù)器端的通訊；②電子商務(wù)Web服務(wù)器與電子商務(wù)數(shù)據(jù)庫服務(wù)器的通訊；③銀行內(nèi)部網(wǎng)與業(yè)務(wù)之間的數(shù)據(jù)通訊。

安全鏈路在客戶端瀏覽器和電子商務(wù)Web服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度，也可以考慮將加密強度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機制，SSL首先要求服務(wù)器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機構(gòu)(CA中心)簽發(fā)。瀏覽器要驗證服務(wù)器證書的正確性，必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務(wù)順證書通過后利用該證書對稱加密算法(RSA)與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑摹４藭r瀏覽器也會出現(xiàn)進入安全狀態(tài)的提示。

數(shù)據(jù)加密技術(shù)是電子商務(wù)采取的主要安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前，加密技術(shù)分為兩類，即對稱加密和非對稱加密。密鑰管理技術(shù)其中包括對稱密鑰管理、公開密鑰管理/數(shù)字證書、密鑰管理相關(guān)的標準規(guī)范。

3 應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運動，而不是只有有限的指令子集在特權(quán)模式下運動，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制(最少許可)，程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

4 用戶的認證管理

電子商務(wù)中企業(yè)用戶身份認證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認證服務(wù)器的身份，IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認機制。

要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性，需要一份數(shù)字證書進行驗證，這份數(shù)字證書就是CA證書，它由認證授權(quán)中心(CA中心)發(fā)行。CA中心一般是社會公認的可靠組織，它對個人、組織進行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書(下載可以在訪問之前或訪問時進行)。

5 安全管理

篇10

關(guān)鍵詞：安全；電子商務(wù)；證書；系統(tǒng)；服務(wù)器；防火墻；用戶；安全性

電子商務(wù)在功能上要求實現(xiàn)實時賬戶信息查詢。這就使電子商務(wù)系統(tǒng)必須在物理上與生產(chǎn)系統(tǒng)要有連接，這對于電子商務(wù)系統(tǒng)的安全性提出了更高的要求，必須保證外部網(wǎng)絡(luò)（internet）用戶不能對生產(chǎn)系統(tǒng)構(gòu)成威脅。為此，需要全方位地制定系統(tǒng)的安全策略。

就整個系統(tǒng)而言，安全性可以分為四個層次：

(1)網(wǎng)絡(luò)節(jié)點的安全

(2)通訊的安全

(3)應(yīng)用程序的安全

(4)用戶的認證管理

其中(2)、(3)、(4)層是通過操作系統(tǒng)和web服務(wù)器軟件實現(xiàn)的，網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點的安全性。

1 網(wǎng)絡(luò)節(jié)點的安全

1.1 防火墻

防火墻是在連接internet和intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的intranet系統(tǒng)。

1.2 防火墻安全策略

應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣的安全級別加以保護。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

1.3 安全操作系統(tǒng)

防火墻是基于操作系統(tǒng)的。如果信息通過操作系統(tǒng)的后門繞過防火墻進入內(nèi)部網(wǎng)，則防火墻失效。所以，要保證防火墻發(fā)揮作用，必須保證操作系統(tǒng)的安全。只有在安全操作系統(tǒng)的基礎(chǔ)上，才能充分發(fā)揮防火墻的功能。在條件許可的情況下，應(yīng)考慮將防火墻單獨安裝在硬件設(shè)備上。

2 通訊的安全

2.1 數(shù)據(jù)通訊

通訊的安全主要依靠對通信數(shù)據(jù)的加密來保證。在通訊鏈路上的數(shù)據(jù)安全，一定程度上取決于加密的算法和加密的強度。

2.2 安全鏈路

在客戶端瀏覽器和電子商務(wù)web服務(wù)器之間采用ssl協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。為在瀏覽器和服務(wù)器之間建立安全機制，ssl首先要求服務(wù)器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機構(gòu)（ca中心）簽發(fā)。

驗證個人證書是為了驗證來訪者的合法身份。而單純地想建立ssl鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（rsa）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出現(xiàn)進入安全狀態(tài)的提示。

3 應(yīng)用程序的安全

即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。

4 用戶的認證管理

4.1 身份認證

電子商務(wù)企業(yè)用戶身份認證可以通過服務(wù)器ca證書與ic卡相結(jié)合實現(xiàn)。ca證書用來認證服務(wù)器的身份，ic卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用id號和密碼口令的身份確認機制。

4.2 ca證書

要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性，需要一份數(shù)字證書進行驗證，這份數(shù)字證書就是ca證書，它由認證授權(quán)中心（ca中心）發(fā)行。ca中心一般是社會公認的可靠組織，它對個人、組織進行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立ssl安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純地想建立ssl鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時進行）。

5 安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴格的內(nèi)部安全機制。

對于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。

按照分級管理原則，嚴格管理內(nèi)部用戶賬號和密碼，進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶賬號和密碼。

建立網(wǎng)絡(luò)安全維護日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。

對于重要數(shù)據(jù)要及時進行備份，且對數(shù)據(jù)庫中存放的數(shù)據(jù)，數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級別的數(shù)據(jù)加密。

安全實際上就是一種風(fēng)險管理。任何技術(shù)手段都不能保證100％的安全。但是，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險要控制在什么程度范圍內(nèi)。

參考文獻

[1]屈云波.電子商務(wù)[M].北京：企業(yè)管理出版社，1999.

[2]趙立平.電子商務(wù)概論[M].上海：復(fù)旦大學(xué)出版社，2000.

[3]趙戰(zhàn)生.我國信息安全及其技術(shù)研究[J].中國信息導(dǎo)報.1999,（8）：5-7.

[4]郭曉苗.Internet上的信息安全保護技術(shù)[J].現(xiàn)代圖書情報技術(shù).2000,（3）：50-51.

[5]吉俊虎.網(wǎng)絡(luò)和網(wǎng)絡(luò)安全芻議[J].中國信息導(dǎo)報.1989,（9）：23-24.