吉林市中考满分作文-电子商务专业论文 4页

电子商务安全探析摘要:电子商务作为一种全新的商务模式，它冇很人的发展前途，且随Z而來的安全问题也越來越突出，如何建立一个安全、便捷的电于商务应用坏境，对信息提供足够的保护,是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。分析了电子商务中存在的安全问题，并阐述目前解决电子商务安全隐患的主要安全技术及相关策略。关键词:电子商务;安全问题;安全策略中图分类号:TP39文献标识码:A文章编号:1672-3198(2009)23-0253-021电子商务中存在的两大类安全问题1.1网络安全问题现在随着互联网技术的发展，网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的佶息的安全性。网络安全问题是计算机系统木身存在的漏洞和其他人为因索构成了计算机网络的潜在威胁，概括来说网络安全的内容包押i:计算机网络设备安全、计算机网络系统安全、数据库安全等1.2商务安全问题商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。网上交易日益成为新的商务模式，棊丁•网络资源的电子商务交易已为人众接受，人们在享受网上交易带来的便捷的同时，交易的安全性备受关注，网络所固有的开放性与资源共亨性导致网上交易的安全性受到严重威胁。所以在电子商务交易过程中，保证交易数据的安全是电子商务系统的关键。1.3目前电子商务中存在的主要安全问题⑴对合法用户的身份冒充。攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易,从而获得非法利益。(2)对信息的窃取。攻击者在网络的传输信道上，通过物理或逻辑的手段，对数据进行非法的截获与监听,从而得到通信中放感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号，还能以欺骗的手法进行产品交易，甚至能洗黑钱。(3)对信息的篡改。攻击者冇可能对网络上的信息进行截获后篡改其内容，如修改消息次序、时间，注入伪造消息等,从而使信息失去真实性和完整性。(4)拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。v优麦电子商务论文〉(5)对发出的信息予以否认。某些用户可能对H己发出的信息进行恶意的否认，以推卸自己应承担的责任。(6)信用威胁。交易者•否认参加过交易，如买方提交订单后不付款，或者输入虚假银行资料使卖方不能提款;用户付款后，卖方没有把商品发送到客户手中，使客户蒙受损失。(7)电脑病毒。电脑病毒问世十几年來,各种新型病毒及其变种迅速増加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为H己的传播途径，还冇众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病那的爆发儿乎在瞬间给网络上数以力计的计算机以沉巫打击。2电孑商务中的主要安全技术2.1电子商务的安全技术 互联网己经日渐融入到人类社会的各个方面中，网络防护与网络攻击之间的斗争也将更加激烈，这就对安全技术捉出了更高的要求。安全技术是电子商务安全体系中的基木策略,是伴随着安全问题的诞生而出现的，安全技术极人地从不同层次加强了计算机网络的藥体安全性。要加强电子商务的安全，需要金业本身采取更为严格的管理措遍，需要国家建立健全法律制度，更需要冇科学的先进的安全技术。安全问题是电子商务发展的核心和关键问题，安全技术是解决安全问题保证电子商务健康有序发展的关键因素。2.2计算机网络安全技术H前，常用的计算机网络安全技术主要有病毒防范技术、身份认证技术、防火墙技术和虚拟专用网VPN技术等。(1)病毒是一种恶意的计算机程序，它可分为引导区病毒、可执行病毒、宏病毒和邮件病毒等，不同的病毒的危害性也不一样。为了防范病毒，可以采用以下的措施:①安装防病無软件，加强内部网的密体防病毒措施;%1加强数据备份和恢复措施;%1对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。(2)身份识别技术是计算机网络安全技术的重要纽•成部分Z—。它的目的是证实被认证对彖是否屈实和是否有效。其基本思想是通过验证被认证对彖的屈性来达到确认被认证对彖是否真实有效的目的。被认证对象的属性可以是口令、问题解答或者•像指纹、声音等生理特征，常用的身份认证技术有口令、标记法和生物特征法。(3)防火墙是一种将内部网和公众网如Internet分开的方法,它能限制被保护的网络与互联网络Z间,或者与其他网络Z间进行的信息存4.蓋僮鳌7阑鸭娇梢宰魁煌缁烧纯踩邮湫畔5.某鑒衍，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。它是电子商务的最常用的设备。(4)虚拟专川网是用于Internet电子交易的一种专用网络，它可以在两个系统Z间建立安全的通道，菲常适合于电子数据交换(EDI)o在虚拟专用网中交易双方比较熟悉，而且彼此Z间的数据通信量很人。只耍交易双方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术，这样就可以人大提高电子商务的安全性。VPN可以支持数据、语音及图像业务，其优点是经济、便丁•管理、方便快捷地适应变化，但也存在安全性低，容易受到攻击等问题。23商务交易安全技术(1)加密技术是屯子商务安全的一项基本技术，它是认证技术的基础。采用加密技术对信息进行加密,是最常见的安全手段。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据,从而确保数据的保密性。丨I前,在电子商务中，获得广泛应用的两种加密技术是对称密钥加密体制(私钥加密体制)利非对称密钥加密体制(公钥加密体制)。它们的主要区别在于所使用的加密和解密的密码是否相同。(2)安全认证技术主要有数字摘要、数字信封、数字签名、数字时间殺、数字证书等。%1数字摘要。数字摘耍是采用单向Hash函数对文件中若干巫要元索进行某种变换运算得到固疋长度的摘要码(数字指纹FingerPrint),并在传输信息时将之加入文件—•同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送來的摘要码相同，则可断定文件未被篡改，反之亦然。%1数字信封。数字信封是用加密技术來保证只冇规定的特定收信人才能阅读信的内容。在数字信封屮，信息发送方采用对称密钥來加密信息，然后将此对称密钥用接收方的公开密钥來加密(这部分称为数字信封)Z厉,将它和信息一起发送给接收方，接收方先川相应的私有密钥打开数字信封,得到对称密钥，然后使用对称密钥解开信息。这种技术的安全性相当高。 %1数字签名。把HASH函数和公钥算法结合起來，可以V优麦电子商务论文〉在捉供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没冇被修改，而真实性则保证是由确定的合法者产生的HASH,而不是由其他人假冒。而把这两种机制结合起來就可以产生所谓的数字签名(DigitalSgnature).%1数字时间戳。交易文件中，时间是十分重要的信息。在卩面合同中，文件签署的日期和签名一样均是十分垂要的，是防止文件被伪造和篡改的关键性内容。而在电子交易中，同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTSDigitalTime-stampService)就能提供电子文件发衣时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目，由专门的机构提供。%1数字证书。在交易支付过程中，参与各方必须利用认证中心签发的数字证书来证明各口的身份。所谓数字证卩，就是用电子手段來证实一个用户的身份及用户对网络资源的访问权限。在网上电子交易中,如呆双方出示了各自的数字证书，并用它來进行交易操作，那么双方都可不必为对方身份的真伪担心。3电子商务的安全性策略3.1电子商务安全技术保障策略安全技术保障技术是电子商务安全体系中的基木策略，目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务小常用到的安全技术冇:密码技术,身份验证技术，访问控制技术，防火墙技术。3.2企业电子商务安全运营管理制度保障策略金业电子商务安全运营管理制度是用文字的形式对各项安金要求所做的规定，是保证企业収得电F商务成功的基础，是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度，保密制度,跟踪审计制度，系统维护制度、数据备份制度等。3.3电子商务立法策略(1)立法目的。电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性，保护合理的商业行为,保障电子交易安全;建立一个淸晰的法律框架以统一调整电子商务的健康发展。(2)立法范围。电子商务安全方而需要的法律法规卞要冇:市场准入制度、合同冇效认证办法、电子支付系统安全措施、信息保密防范办法，知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等；(3)立法途径。电子商务法律仍然是调整社会关系，所以应当继承传统立法的合理内核，尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。第二是修改或重新解释既定的法律规范。3.4政府监俘管理策略电子商务木质是一种市场运作模式，市场的正當健康冇序地发展，必须冇政府宏观上的监督与管理，以协调和规范各市场主体的行为，宏观监督与管理电子商务运行中的安全保障体系。政府监怦管理主要体现在:计算机信息系统安全管理,网络广告和网络服务业管理，认证机构管理,加强社会信用道徳建设。4电子商务安全小还需解决的问题 (1)没有一种电子商务安全的完整解决方案和完整模塑与体系结构。(2)尽管一些系统正在逐渐成为标准，但仅冇很少儿个标准的应用程序接口(APIA)o从协议间的通用API和网关是绝对需要的。(3)人多数电子商务系统都是封闭式的，即它们使用独冇的技术，仅支持一些特定的协议和机制。通常需要一个中央服务器作为所冇参与者的可信第三方，彳J•时还要求使用特定的服务器和浏览器。(4)尽管大多数方案都使用了公钥密码，但多方安全受到的关注远远不够。没有建立一种解决争议的决策程序。(5)"客户的匿名性和隐私尚未得到充分的考虑。参考文献[1]EricRescorla./i,W.凯译.SSLAiTLSDesigningandBuild-ingSecureSystems[M].」匕京冲国电力出版社,2002.[2]ChristopherSteel,RameshNagappan,RayLai.<.^全模式(CoreSecurityPatterns)[M].4E4t：机械工业出版社,2006.[3]WilliamStalling.著.网络安全要素应用与标准[M].北京:人民邮电岀版社,2003.[4]王锐，等译.网络最高安全技术指南[M].北京:机械工业出版社,1998.《现代商贸工业》2009年23期张建兵程财