序言：作為思想的載體和知識的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇電子商務(wù)信息安全，期待它們能激發(fā)您的靈感。

篇1

[關(guān)鍵詞]電子商務(wù)系統(tǒng)；信息安全；技術(shù)分析

近年來，我國網(wǎng)絡(luò)技術(shù)快速發(fā)展，電子商務(wù)經(jīng)營模式在各行各業(yè)中的應(yīng)用愈加廣泛。電子商務(wù)經(jīng)營模式主要通過網(wǎng)絡(luò)開運(yùn)行，其開放性的特點(diǎn)不但保證了商務(wù)活動的高效性和快捷性，還極大地提高了企業(yè)的經(jīng)營管理效率，而同時(shí)也給企業(yè)帶來許多問題，如黑客、病毒入侵，給企業(yè)造成了極大的經(jīng)濟(jì)損失，因此，為了保證電子商務(wù)系統(tǒng)給企業(yè)帶來的效益，迫切需要解決電子商務(wù)信息安全問題。

一、我國電子商務(wù)發(fā)展概況

由于網(wǎng)絡(luò)環(huán)境具有開放性的特點(diǎn)，電子商務(wù)使企業(yè)、消費(fèi)者可以通過網(wǎng)絡(luò)進(jìn)行交易，極大的豐富了人們購物的方式。而隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，電子商務(wù)相關(guān)技術(shù)也越來越完善，市場環(huán)境愈加成熟，以電子商務(wù)為主的網(wǎng)上交易模式得到了廣大人民的青睞。電子商務(wù)不但使得交易模式更加快捷，讓消費(fèi)者可以通過電子商務(wù)平臺輕松購買到自己想要的商品，從商家的立場來說，還促使商家構(gòu)建出自己的電子商務(wù)網(wǎng)絡(luò)平臺，實(shí)現(xiàn)商品的網(wǎng)絡(luò)在線銷售，極大的提高了企業(yè)的經(jīng)濟(jì)效益。我國企業(yè)電子商務(wù)模式種類繁多，其差異主要體現(xiàn)在交易模式及付款方式的不同，有B2B、B2C、C2C等模式，這里B指的是Business，即企業(yè)，C指的是Customer，即客戶。

B2B模式中的交易雙方都是企業(yè)用戶，大多通過網(wǎng)絡(luò)形成交易合同，然后通過現(xiàn)實(shí)銀行支票或轉(zhuǎn)賬等方式進(jìn)行付款；在C2C模式中，交易雙方是個(gè)人對個(gè)人的交易形式，其中以淘寶店主作為主要代表，商務(wù)活動主要是個(gè)人與個(gè)人之見的交易活動，雙方通過第三方網(wǎng)站支付平臺進(jìn)行相應(yīng)的付款與收款交接；在B2C模式中，交易雙方中的一方是企業(yè)，另外一方是個(gè)人，電商企業(yè)通過電子商務(wù)銷售平臺將商品推銷給個(gè)體消費(fèi)者。這種電子商務(wù)經(jīng)營模式，徹底的改變了傳統(tǒng)的賣家―經(jīng)銷商―買家的交易模式，極大的提高了企業(yè)的經(jīng)濟(jì)效益，并且縮短了交易的時(shí)間。

二、當(dāng)前電子商務(wù)信息安全現(xiàn)狀

電子商務(wù)作為一種新型的商業(yè)經(jīng)營模式，使商務(wù)活動交易雙方在不見面的情況下，通過互聯(lián)網(wǎng)手段完成商業(yè)交易，而這一特點(diǎn)也給電子商務(wù)信息埋下了安全隱患。電子商務(wù)高度網(wǎng)絡(luò)化的特點(diǎn)，對電子商務(wù)安全性有著較高的要求。第一，要嚴(yán)格化用戶信息數(shù)據(jù)傳輸、處理以及存儲的過程，確保在商務(wù)活動交易過程中交易雙方信息的完整性，避免交易雙方信息在處理的過程中出現(xiàn)錯(cuò)誤；第二，要對交易雙方的身份進(jìn)行核實(shí)認(rèn)證，保障交易過程中交易雙方身份信息的真實(shí)性，第三，要保障電子商務(wù)交易平臺系統(tǒng)軟件的穩(wěn)定性，定期更新硬件設(shè)備，在最大程度上保證電子商務(wù)信息安全，加強(qiáng)電子商務(wù)的安全技術(shù)和安全管理，以確保電子商務(wù)的信息安全性。當(dāng)前電子信息安全問題主要表現(xiàn)為以下形式：

（一）病毒與黑客

由于網(wǎng)絡(luò)環(huán)境的開放性特點(diǎn)，網(wǎng)絡(luò)病毒具有極強(qiáng)的傳染力和破壞力，它侵入到電子商務(wù)的系統(tǒng)中，破壞商務(wù)交易數(shù)據(jù)程序，對電子商務(wù)系統(tǒng)造成無法估量的損失。而網(wǎng)絡(luò)黑客主要通過黑客程序進(jìn)入電子商務(wù)信息系統(tǒng)漏洞，進(jìn)而侵入到電子商務(wù)系統(tǒng)中，竊取用戶私人信息進(jìn)行惡意利用，有些黑客竊取競爭對手的商業(yè)機(jī)密對其進(jìn)行商業(yè)打擊。

（二）軟件漏洞

由于計(jì)算機(jī)軟件編程具有復(fù)雜多樣的特點(diǎn)，電子商務(wù)系統(tǒng)軟件經(jīng)常出現(xiàn)信息泄露的問題。如果程序中的文檔秘密入口被其他程序員惡意使用，將導(dǎo)致無法估量的損失；而由于操作系統(tǒng)自身的安全漏洞，例如訪問控制混亂、I/O非法訪問、不完全中介、數(shù)據(jù)庫安全漏洞等等，都將嚴(yán)重危害電子商務(wù)系統(tǒng)的信息安全，在TCP/IP的通信協(xié)議設(shè)計(jì)初期階段，程序員沒有充分考慮軟件安全的問題，導(dǎo)致計(jì)算機(jī)在連接Internet時(shí)，經(jīng)常受到外界各類惡意軟件的攻擊，使得信息被竊取。

（三）技術(shù)落后

由于我國網(wǎng)絡(luò)信息技術(shù)發(fā)展滯后，當(dāng)前電子商務(wù)系統(tǒng)中仍存在信息安全問題。當(dāng)前我國多數(shù)計(jì)算機(jī)設(shè)備皆來源于進(jìn)口，計(jì)算機(jī)芯片技術(shù)不成熟，網(wǎng)絡(luò)設(shè)備的技術(shù)及維護(hù)技術(shù)大多從國外引進(jìn)，如果軟件中隱性漏洞被人惡意利用，將造成嚴(yán)重的電子商務(wù)信息安全問題。

三、電子商務(wù)信息安全防范措施分析

（一）電子商務(wù)法規(guī)制度

企業(yè)需要做好管理體制的建設(shè)工作，不斷加強(qiáng)內(nèi)部的安全管理，提高企業(yè)的安全意識，為了保證電子商務(wù)活動中用戶的隱私。同時(shí)政府需要不斷完善電子商務(wù)相關(guān)法規(guī)，制定科學(xué)合理的賠償制度，為電子商務(wù)的發(fā)展創(chuàng)造必要的法律環(huán)境。

（二）病毒防范處理技術(shù)

計(jì)算機(jī)病毒防范處理技術(shù)是保證電子商務(wù)系統(tǒng)信息安全的重要途徑。病毒管理工作要堅(jiān)持防范大于治療的原則，使用各種病毒預(yù)防方法來進(jìn)行預(yù)防，例如對新購入的計(jì)算機(jī)硬件及軟件進(jìn)行嚴(yán)格化檢測、定期進(jìn)行數(shù)據(jù)備份等，同時(shí)設(shè)置合理的文件訪問權(quán)限、對文件進(jìn)行定期掃描檢測。此外，定期更改系統(tǒng)管理員口令，以免不法分子非法獲取管理員口令，安裝防病毒芯片，做好病毒防御工作。若電子商務(wù)的計(jì)算機(jī)系統(tǒng)感染病毒，必須立即對其進(jìn)行清除和系統(tǒng)恢復(fù)的工作。在清除病毒時(shí)需要使用干凈盤來進(jìn)行系統(tǒng)恢復(fù)，保證殺毒工作處于無病毒環(huán)境中，同時(shí)盡快找出病毒宿主程序，在啟動盤和殺毒盤上安裝保護(hù)程序，防止病毒的進(jìn)一步傳染。此外，要保證病毒清除工作的全面性與準(zhǔn)確性，及時(shí)清除病毒文件。如此才能徹底清除電子商務(wù)系統(tǒng)感染的病毒，保證電子商務(wù)用戶的信息安全。

（三）數(shù)據(jù)加密技術(shù)

加密技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)的基礎(chǔ)技術(shù)之一，大多被應(yīng)用于數(shù)據(jù)存儲與傳輸?shù)倪^程中。數(shù)據(jù)加密技術(shù)使用數(shù)學(xué)方法將信息進(jìn)行再組織和加密，使非法接受者無法正常接收網(wǎng)絡(luò)數(shù)據(jù)，而合法接受者可以通過密鑰，對數(shù)據(jù)進(jìn)行解密來得到信息，極大地保證了信息安全。由于在數(shù)據(jù)安全保護(hù)方面獨(dú)具優(yōu)勢，數(shù)據(jù)加密技術(shù)被廣泛應(yīng)用于電子商務(wù)信息安全管理工作中。

（四）防火墻技術(shù)

防火墻技術(shù)是保障電子商務(wù)信息安全的重要方法，它極大的限制了公共數(shù)據(jù)與服務(wù)對于防火墻內(nèi)資源的訪問權(quán)限，然而防火墻對病毒沒有防范的作用，并且由于防火墻數(shù)據(jù)時(shí)常無法及時(shí)更新，導(dǎo)致產(chǎn)生數(shù)據(jù)延遲，極大地制約了實(shí)時(shí)服務(wù)支持請求。同時(shí)防火墻通常采取的濾波技術(shù)會使網(wǎng)絡(luò)性能降低一半以上，而為了保證網(wǎng)絡(luò)性能，企業(yè)需要配置高速路由器，這不利于企業(yè)經(jīng)濟(jì)效益的提高。防火墻技術(shù)是一種大眾化的電子商務(wù)信息安全防范技術(shù)，擁有頗高的透明度，并且易于操作，能在一定程度上保證電子商務(wù)信息安全。然而，如果防火墻被入侵，電子商務(wù)系統(tǒng)信息安全將受到極大的損害。同時(shí)防火墻也無法滿足企業(yè)與個(gè)體之間商業(yè)網(wǎng)絡(luò)通信的需求。

（五）授權(quán)認(rèn)證技術(shù)分析

目前國際電子商務(wù)大多采用CA認(rèn)證技術(shù)來處理電子商務(wù)信息的安全問題。作為電子商務(wù)系統(tǒng)中的權(quán)威機(jī)構(gòu)，所有的電子商務(wù)系統(tǒng)數(shù)字證書都要通過CA認(rèn)證中心的授權(quán)，因此CA認(rèn)證技術(shù)中心受到了廣大用戶的信任。其主要通過身份識別、數(shù)字化簽名等技術(shù)途徑來處理電子商務(wù)系統(tǒng)中身份認(rèn)證的問題，確保商務(wù)互動交易雙方身份的真實(shí)有效，使數(shù)據(jù)存儲、傳輸?shù)陌踩玫奖ＷC。

結(jié)束語

總而言之，電子商務(wù)雖然給企業(yè)帶來了極大的經(jīng)濟(jì)效益，然而由于網(wǎng)絡(luò)環(huán)境具有開放性的特點(diǎn)，易產(chǎn)生安全漏洞和信息泄露等問題，從而使電子商務(wù)活動中雙方帶來重大的經(jīng)濟(jì)損失，因此要不斷完善對計(jì)算機(jī)信息安全技術(shù)，電子商務(wù)活動環(huán)節(jié)進(jìn)行有效監(jiān)測，保證電子商務(wù)信息安全，促使電子商務(wù)系統(tǒng)健康發(fā)展。

參考文獻(xiàn)

[1]崔曉慧.關(guān)于電子商務(wù)信息安全的探討[J].現(xiàn)代營銷，2013，（4）.

[2]黃福偉.提高計(jì)算機(jī)電子商務(wù)信息安全的策略分析[J].中國電子商務(wù)，2014，（12）.

篇2

[關(guān)鍵詞] 電子商務(wù) 信息技術(shù) 信息安全

隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運(yùn)而生并迅速發(fā)展。所謂電子商務(wù) ( Electronic Commerce, EC) 就是借助于公共網(wǎng)絡(luò),如 Internet 或開放式計(jì)算機(jī)網(wǎng)絡(luò) (Open Computer Network) 進(jìn)行網(wǎng)上交易,快速而又有效地實(shí)現(xiàn)各種商務(wù)活動過程的電子化、網(wǎng)絡(luò)化、直接化。這種商務(wù)過程包括商品和服務(wù)交易的各個(gè)環(huán)節(jié),如廣告、商品購買、產(chǎn)品推銷、信息咨詢、商務(wù)洽談、金融服務(wù)、商品的支付等商業(yè)交易活動。但是出于各種目的的網(wǎng)絡(luò)入侵和攻擊也越來越頻繁,脆弱的網(wǎng)絡(luò)和不成熟的電子商務(wù)增強(qiáng)了人們的防范心理。從這點(diǎn)上來看,信息安全問題是保障電子商務(wù)的生命線。

一、電子商務(wù)信息安全現(xiàn)存的問題

電子商務(wù)是實(shí)現(xiàn)整個(gè)貿(mào)易過程中各階段貿(mào)易活動的電子化。公眾是電子商務(wù)的對象,信息技術(shù)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ),電子商務(wù)實(shí)施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務(wù)活動中的信息安全問題主要體現(xiàn)在:

1.計(jì)算機(jī)網(wǎng)絡(luò)的安全

(1)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對制約了國際性的商務(wù)活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

(2)信息的安全問題。非法用戶在網(wǎng)絡(luò)的傳輸上,通過不正當(dāng)手段,非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息,最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密;或者是非法用戶對截獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實(shí)性和完整性,導(dǎo)致合法用戶無法正常交易;還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送,惡意攻擊對方的網(wǎng)絡(luò)硬件和軟件。

(3)防病毒問題。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟(jì)損失。

(4)服務(wù)器的安全問題。電子商務(wù)服務(wù)器是電子商務(wù)的核心,安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息,并且服務(wù)器上的數(shù)據(jù)庫里有企業(yè)的一些敏感數(shù)據(jù),如價(jià)格、成本等,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果也是非常嚴(yán)重的。目前為止服務(wù)器的安全問題尚無有效措施予以阻止。主要表現(xiàn)在: 非法用戶向網(wǎng)絡(luò)或主機(jī)發(fā)送大量非法或無效的請求,使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù); 利用操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全漏洞,通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求,使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)。

2.商務(wù)交易的安全

(1)身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺,在這個(gè)平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,從而獲得非法收入。

(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。

(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正。

3.其他方面的安全

電子商務(wù)安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題: 網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題,急需為電子商務(wù)提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。

二、保障電子商務(wù)信息安全技術(shù)性措施

電子商務(wù)安全是信息安全的上層應(yīng)用,它包括的技術(shù)范圍比較廣,主要分為數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)兩大類。

1.數(shù)據(jù)加密技術(shù)

加密技術(shù)是保證電子商務(wù)中采用的主要安全措施,交易雙方可根據(jù)需要在信息交換階段使用。在一個(gè)加密過程中有兩個(gè)基本元素:算法和密鑰。加密過程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合,從而產(chǎn)生不可理解的密文的過程,主要加密技術(shù)是:

(1)常規(guī)密鑰密碼加密。所謂常規(guī)密鑰密碼加密,即加密密鑰與解密密鑰是相同的。在早期的常規(guī)密鑰密碼體制中,典型的有代替密碼,其原理可以用一個(gè)例子來說明:字母 A,B,C,D,…,W,X,Y,Z的 自然順序保持不變,但使之與 D,E,F,G,…,Z,A,B,C 分別對應(yīng) (即相差3個(gè)字符)。 若明文為WELL則對應(yīng)的密文為 ZHOO (此時(shí)密鑰為3)。

由于英文字母中各字母出現(xiàn)的頻度早已有人進(jìn)行過統(tǒng)計(jì),所以根據(jù)字母頻度表可以很容易對這種代替密碼進(jìn)行破譯。

(2)對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密,即收發(fā)雙方采用相同的密鑰來進(jìn)行加密和解密。對稱密鑰加密的最大優(yōu)點(diǎn)是加解密速度快,適合于進(jìn)行大量數(shù)據(jù)加密,但也存在密鑰管理、困難以及無法進(jìn)行身份鑒別的缺點(diǎn)。

(3)非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密,每個(gè)用戶有一對密鑰: 一個(gè)用于加密,一個(gè)用于解密,兩把密鑰實(shí)際上是兩個(gè)很大的質(zhì)數(shù)。其中,加密密鑰(公鑰)可以在網(wǎng)絡(luò)服務(wù)器、報(bào)刊等場合公開,而解密密鑰(私鑰)則屬用戶的私有密鑰,由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實(shí)現(xiàn)的。

與對稱密鑰加密相比,采用非對稱密鑰加密方式密鑰管理較方便,且保密性比較強(qiáng),但加解密實(shí)現(xiàn)速度比較慢,不適用于通信負(fù)荷較重的應(yīng)用。

2.身份驗(yàn)證技術(shù)

(1)認(rèn)證系統(tǒng)。網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。數(shù)字證書的頒發(fā)機(jī)構(gòu)叫做 Certificate Authority,通常簡稱為 CA。要建立安全的電子商務(wù)系統(tǒng),首先必須建立一個(gè)穩(wěn)固、健全的 CA,否則,一切網(wǎng)上的交易都沒有安全保障。

(2)SSL協(xié)議。SSL協(xié) 議 (Secure Socket Layer,安全套接層)主要目的是解決 TCP/IP 協(xié)議不能確認(rèn)用戶身份的問題,在 Socket 上使用非對稱的加密技術(shù),以保證網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議易于實(shí)現(xiàn)。

SSL協(xié)議還是最值得信賴的協(xié)議。但是由于 SSL協(xié) 議當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的,所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié) 議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

(3)SET協(xié) 議。SET (Secure Electronic Transaction) 安全電子交易協(xié)議是用于 Internet 上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。主要應(yīng)用于B/C模式中保障支付信息的安全性。SET協(xié) 議提供對消費(fèi)者、商戶和銀行的認(rèn)證,協(xié)議本身比較復(fù)雜,設(shè)計(jì)比較嚴(yán)格,安全性高,確保電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性,特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。它的交易規(guī)范成為了未來電子商務(wù)發(fā)展的方向。

3.其他安全技術(shù)

防火墻技術(shù):防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng),對內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類:一類是簡單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器,可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。

數(shù)字簽名:數(shù)字簽名是公開密鑰加密技術(shù)的另一種應(yīng)用,報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè) 128位的散列值,發(fā)送方用自己的私有密鑰對這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別和不可抵賴性。

三、保障電子商務(wù)信息安全措施

1.加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè),推動企業(yè)信息化進(jìn)程

信息基礎(chǔ)設(shè)施是電子商務(wù)發(fā)展的物質(zhì)基礎(chǔ)和載體。發(fā)展信息基礎(chǔ)設(shè)施需要政府和業(yè)界的共同努力,尤其是政府的大力投資和宏觀調(diào)控。

2.普及計(jì)算機(jī)網(wǎng)絡(luò)知識和電子商務(wù)常識,提高全民族電子商務(wù)意識

普及信息技術(shù)的教育,培養(yǎng)信息技術(shù)人才。增強(qiáng)企業(yè)和公眾對電子商務(wù)的信心。

3.加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)

建立企業(yè)到企業(yè)、企業(yè)到客戶的商務(wù)溝通,實(shí)現(xiàn)網(wǎng)上資金流動,解決目前有形商品交易環(huán)節(jié)中的流通困難。

參考文獻(xiàn):

[1]周均:電子商務(wù)信息安全的政策法律研究[J].科技文獻(xiàn)信息管理,2004(4):57

[2]楊穎:電子商務(wù)安全問題分析[J].中國科技信息,2005(20):53

篇3

關(guān)鍵詞：電子商務(wù)信息安全安全技術(shù)

伴隨經(jīng)濟(jì)的迅猛發(fā)展，電子商務(wù)成為當(dāng)今世界商務(wù)活動的新模式。要在國際競爭中贏得優(yōu)勢，必須保證電子商務(wù)中信息交流的安全。

一、電子商務(wù)的信息安全問題

電子商務(wù)信息安全問題主要有：

1.信息的截獲和竊取：如果采用加密措施不夠，攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)，獲取機(jī)密信息或通過對信息流量、流向、通信頻度和長度分析，推測出有用信息。2.信息的篡改：當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后，通過技術(shù)手段對網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地，破壞信息完整性。3.信息假冒：當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后，假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。4.交易抵賴：交易抵賴包括多方面，如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息、購買者做了定貨單不承認(rèn)等。

二、信息安全要求

電子商務(wù)的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護(hù)。信息安全包括以下幾方面:

1.信息保密性：維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障。由于建立在開放網(wǎng)絡(luò)環(huán)境中，要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性：貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)，影響到交易和經(jīng)營策略。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹模A(yù)防對信息隨意生成、修改和刪除，防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.信息有效性：保證信息有效性是開展電子商務(wù)前提，關(guān)系到企業(yè)或國家的經(jīng)濟(jì)利益。對網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效。4.信息可靠性：確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。為防止計(jì)算機(jī)失效、程序錯(cuò)誤、系統(tǒng)軟件錯(cuò)誤等威脅，通過控制與預(yù)防確保系統(tǒng)安全可靠。

三、信息安全技術(shù)

1.防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障，根據(jù)指定策略對數(shù)據(jù)過濾、分析和審計(jì)，并對各種攻擊提供防范。安全策略有兩條：一是“凡是未被準(zhǔn)許就是禁止”。防火墻先封閉所有信息流，再審查要求通過信息，符合條件就通過；二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息，然后逐項(xiàng)剔除有害內(nèi)容。

防火墻技術(shù)主要有：(1)包過濾技術(shù)：在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過，核心是安全策略即過濾算法設(shè)計(jì)。(2)服務(wù)技術(shù)：提供應(yīng)用層服務(wù)控制，起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)中間轉(zhuǎn)接作用。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù)：在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù)：把過濾和服務(wù)兩種方法結(jié)合形成新防火墻，所用主機(jī)稱為堡壘主機(jī)，提供服務(wù)。(5)審計(jì)技術(shù)：通過對網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志，對日志統(tǒng)計(jì)分析，對資源使用情況分析，對異常現(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù)：加密路由器對通過路由器的信息流加密和壓縮，再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。2.加密技術(shù)。為保證數(shù)據(jù)和交易安全，確認(rèn)交易雙方的真實(shí)身份，電子商務(wù)采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有：(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開；得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲：貿(mào)易方甲用另一把專用密鑰對加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方，保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋，有固定長度且不同明文摘要成密文結(jié)果不同，而同樣明文摘要必定一致。這串摘要成為驗(yàn)證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認(rèn)文件的手段。簽名作用有兩點(diǎn)：一是因?yàn)樽约汉灻y以否認(rèn)，從而確認(rèn)文件已簽署；二是因?yàn)楹灻灰追旅埃瑥亩_定文件為真。(4)數(shù)字時(shí)間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容，數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)。

3.認(rèn)證技術(shù)。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份，驗(yàn)證信息完整性，確認(rèn)信息在傳送或存儲過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證、數(shù)字標(biāo)識，用電子手段證實(shí)用戶身份及對網(wǎng)絡(luò)資源的訪問權(quán)限，可控制被查看的數(shù)據(jù)庫，提高總體保密性。交易支付過程中，參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心。無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書發(fā)放，都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu)，受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書管理。

4.防病毒技術(shù)。(1)預(yù)防病毒技術(shù)，通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲取系統(tǒng)控制權(quán)，監(jiān)視系統(tǒng)中是否有病毒，阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對系統(tǒng)破壞。(2)檢測病毒技術(shù)，通過對計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長度變化。(3)消除病毒技術(shù)，通過對計(jì)算機(jī)病毒分析，開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度，可以清除處于潛伏期的病毒，防止病毒突然爆發(fā)，使計(jì)算機(jī)始終處于良好工作狀態(tài)。

四、結(jié)語

信息安全是電子商務(wù)的核心。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù)，提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠，還必須完善電子商務(wù)立法，以規(guī)范存在的各類問題，引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn):

[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006

篇4

一、電子商務(wù)信息安全問題

 

由于Internet本身的開放性，使電子商務(wù)系統(tǒng)面臨著各種各樣的安全威脅。目前，電子商務(wù)主要存在的安全隱患有以下幾個(gè)方面。

 

(一)身份冒充問題

 

攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易，進(jìn)行信息欺詐與信息破壞，從而獲得非法利益。主要表現(xiàn)有：冒充他人身份;冒充他人消費(fèi)、栽贓;冒充主機(jī)欺騙合法主機(jī)及合法用戶等。

 

(二)網(wǎng)絡(luò)信息安全問題

 

主要表現(xiàn)在攻擊者在網(wǎng)絡(luò)的傳輸信道上，通過物理或邏輯的手段，進(jìn)行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過分析網(wǎng)絡(luò)物理線路傳輸時(shí)的各種特征，截獲機(jī)密信息或有用信息，如消費(fèi)者的賬號、密碼等。篡改，即改變信息流的次序，更改信息的內(nèi)容;刪除，即刪除某個(gè)信息或信息的某些部分;插入，即在信息中插入一些信息，讓收方讀不懂或接受錯(cuò)誤的信息。

 

(三)拒絕服務(wù)問題

 

攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現(xiàn)為散布虛假資訊，擾亂正常的資訊通道。包括：虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收訂貨單;偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。

 

(四)交易雙方抵賴問題

 

某些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。如：者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容;購買者做了訂貨單不承認(rèn);商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界里誰為交易雙方的糾紛進(jìn)行公證、仲裁。

 

(五)計(jì)算機(jī)系統(tǒng)安全問題

 

計(jì)算機(jī)系統(tǒng)是進(jìn)行電子商務(wù)的基本設(shè)備，如果不注意安全問題，它一樣會威脅到電子商務(wù)的信息安全。計(jì)算機(jī)設(shè)備本身存在物理損壞，數(shù)據(jù)丟失，信息泄露等問題。計(jì)算機(jī)系統(tǒng)也經(jīng)常會遭受非法的入侵攻擊以及計(jì)算機(jī)病毒的破壞。同時(shí)，計(jì)算機(jī)系統(tǒng)存在工作人員管理的問題，如果職責(zé)不清，權(quán)限不明同樣會影響計(jì)算機(jī)系統(tǒng)的安全。

 

二、電子商務(wù)安全機(jī)制

 

(一)加密和隱藏機(jī)制

 

加密使信息改變，攻擊者無法讀懂信息的內(nèi)容從而保護(hù)信息;而隱藏則是將有用的信息隱藏在其他信息中，使攻擊者無法發(fā)現(xiàn)，不僅實(shí)現(xiàn)了信息的保密，也保護(hù)了通信本身。

 

(二)認(rèn)證機(jī)制

 

網(wǎng)絡(luò)安全的基本機(jī)制，網(wǎng)絡(luò)設(shè)備之間應(yīng)互相認(rèn)證對方身份，以保證正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制。網(wǎng)絡(luò)也必須認(rèn)證用戶的身份，以保證正確的用戶進(jìn)行正確的操作并進(jìn)行正確的審計(jì)。

 

(三)審計(jì)機(jī)制

 

審計(jì)是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)，通過對一些重要的事件進(jìn)行記錄，從而在系統(tǒng)發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位錯(cuò)誤和找到攻擊成功的原因。審計(jì)信息應(yīng)具有防止非法刪除和修改的措施。

 

(四)完整性保護(hù)機(jī)制

 

用于防止非法篡改，利用密碼理論的完整性保護(hù)能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務(wù)，當(dāng)信息源的完整性可以被驗(yàn)證卻無法模仿時(shí)，收到信息的一方可以認(rèn)定信息的發(fā)送者，數(shù)字簽名就可以提供這種手段。

 

(五)權(quán)力控制和存取控制機(jī)制

 

主機(jī)系統(tǒng)必備的安全手段，系統(tǒng)根據(jù)正確的認(rèn)證，賦予某用戶適當(dāng)?shù)牟僮鳈?quán)力，使其不能進(jìn)行越權(quán)的操作。該機(jī)制一般采用角色管理辦法，針對系統(tǒng)需要定義各種角色，如經(jīng)理、會計(jì)等，然后對他們賦予不同的執(zhí)行權(quán)利。

 

(六)業(yè)務(wù)填充機(jī)制

 

在業(yè)務(wù)閑時(shí)發(fā)送無用的隨機(jī)數(shù)據(jù)，增加攻擊者通過通信流量獲得信息的困難。同時(shí)，也增加了密碼通信的破譯難度。發(fā)送的隨機(jī)數(shù)據(jù)應(yīng)具有良好模擬性能，能夠以假亂真。

 

三、電子商務(wù)安全關(guān)鍵技術(shù)

 

安全問題是電子商務(wù)的核心，為了滿足安全服務(wù)方面的要求，除了網(wǎng)絡(luò)本身運(yùn)行的安全外，電子商務(wù)系統(tǒng)還必須利用各種安全技術(shù)保證整個(gè)電子商務(wù)過程的安全與完整，并實(shí)現(xiàn)交易的防抵賴性等，綜合起來主要有以下幾種技術(shù)。

 

(一)防火墻技術(shù)

 

現(xiàn)有的防火墻技術(shù)包括兩大類：數(shù)據(jù)包過濾和服務(wù)技術(shù)。其中最簡單和最常用的是包過濾防火墻，它檢查接受到的每個(gè)數(shù)據(jù)包的頭，以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過濾，所以可以有效地避免對其進(jìn)行的有意或無意的攻擊，從而保證了專用私有網(wǎng)的安全。將包過濾防火墻與服務(wù)器結(jié)合起來使用是解決網(wǎng)絡(luò)安全問題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于：防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊，不能防止網(wǎng)絡(luò)內(nèi)部用戶對于網(wǎng)絡(luò)的攻擊：防火墻不能保證數(shù)據(jù)的秘密性，也不能保證網(wǎng)絡(luò)不受病毒的攻擊，它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動攻擊和入侵。

 

(二)虛擬專網(wǎng)技術(shù)(VPN)

 

VPN的實(shí)現(xiàn)過程使用了安全隧道技術(shù)、信息加密技術(shù)、用戶認(rèn)證技術(shù)、訪問控制技術(shù)等。VPN具投資小、易管理、適應(yīng)性強(qiáng)等優(yōu)點(diǎn)。VPN可幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)之間建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，以此達(dá)到在公共的Internet上或企業(yè)局域網(wǎng)之間實(shí)現(xiàn)完全的電子交易的目的。

 

(三)數(shù)據(jù)加密技術(shù)

 

加密技術(shù)是保證電子商務(wù)系統(tǒng)安全所采用的最基本的安全措施，它用于滿足電子商務(wù)對保密性的需求。加密技術(shù)分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類。如果進(jìn)行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露，可通過常規(guī)密鑰密碼體系的方法加密機(jī)密信息，并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值，以保證報(bào)文的機(jī)密性和完整性。目前常用的常規(guī)密鑰密碼體系的算法有：數(shù)據(jù)加密標(biāo)準(zhǔn)DES、三重DES、國際數(shù)據(jù)加密算法IDEA等，其中DES使用最普遍，被ISO采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。在公開密鑰密碼體系中，加密密鑰是公開信息，而解密密鑰是需要保護(hù)的，加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有：基于數(shù)論中大數(shù)分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中，常規(guī)密鑰密碼體系的特點(diǎn)是加密速度快、效率高，被廣泛用于大量數(shù)據(jù)的加密，但該方法的致命缺點(diǎn)是密鑰的傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應(yīng)用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足，保密性能也優(yōu)于常規(guī)密鑰密碼體系，但公開密鑰密碼體系復(fù)雜，加密速度不夠理想。目前電子商務(wù)實(shí)際運(yùn)用中常將兩者結(jié)合使用。

 

(四)安全認(rèn)證技術(shù)

 

安全認(rèn)證技術(shù)主要有：1.數(shù)字摘要技術(shù)，可以驗(yàn)證通過網(wǎng)絡(luò)傳輸收到的明文是否被篡改，從而保證數(shù)據(jù)的完整性和有效性。2.數(shù)字簽名技術(shù)，能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別和不可否認(rèn)性，同時(shí)還能阻止偽造簽名。3.數(shù)字時(shí)間戳技術(shù)，用于提供電子文件發(fā)表時(shí)間的安全保護(hù)。4.數(shù)字憑證技術(shù)，又稱為數(shù)字證書，負(fù)責(zé)用電子手段來證實(shí)用戶的身份和對網(wǎng)絡(luò)資源訪問的權(quán)限。5.認(rèn)證中心，負(fù)責(zé)審核用戶的真實(shí)身份并對此提供證明，而不介入具體的認(rèn)證過程，從而緩解了可信第三方的系統(tǒng)瓶頸問題，而且只須管理每個(gè)用戶的一個(gè)公開密鑰，大大降低了密鑰管理的復(fù)雜性，這些優(yōu)點(diǎn)使得非對稱密鑰認(rèn)證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡(luò)系統(tǒng)。6.智能卡技術(shù)，它不但提供讀寫數(shù)據(jù)和存儲數(shù)據(jù)的能力，而且還具有對數(shù)據(jù)進(jìn)行處理的能力，可以實(shí)現(xiàn)對數(shù)據(jù)的加密和解密，能進(jìn)行數(shù)字簽名和驗(yàn)證數(shù)字簽名，其存儲器部分具有外部不可讀特性。采用智能卡，可使身份識別更有效、安全，但它僅僅為身份識別提供一個(gè)硬件基礎(chǔ)，如果要使身份認(rèn)證更安全，還需要與安全協(xié)議的配合。

 

(五)電子商務(wù)安全協(xié)議

 

不同交易協(xié)議的復(fù)雜性、開銷、安全性各不相同，同時(shí)不同的應(yīng)用環(huán)境對協(xié)議目標(biāo)的要求也不盡相同。目前比較成熟的協(xié)議有：1.Netbill協(xié)議，是由J.D.Tygar等設(shè)計(jì)和開發(fā)的關(guān)于數(shù)字商品的電子商務(wù)協(xié)議，該協(xié)議假定了一個(gè)可信賴的第三方，將商品的傳送和支付鏈接到一個(gè)原子事務(wù)中。2.匿名原子交易協(xié)議，由J.D.Tygar首次提出，具有匿名性和原子性，對著名的數(shù)字現(xiàn)金協(xié)議進(jìn)行了補(bǔ)充和修改，改進(jìn)了傳統(tǒng)的分布式系統(tǒng)中常用的兩階段提交，引入了除客戶、商家和銀行之外的獨(dú)立第四方一交易日志(Transactionlog)以取代兩階段提交協(xié)議中的協(xié)調(diào)者(Coordinator)。3.安全電子交易協(xié)議SET，由VISA公司和MasterCard公司聯(lián)合開發(fā)設(shè)計(jì)。SET用于劃分與界定電子商務(wù)活動中消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系，它可以對交易各方進(jìn)行認(rèn)證，防止商家欺詐。SET協(xié)議開銷較大，客戶、商家、銀行都要安裝相應(yīng)軟件。4.安全套接字層協(xié)議SSL，是目前使用最廣泛的電子商務(wù)協(xié)議，它由Netscape公司于1996年設(shè)計(jì)開發(fā)。它位于運(yùn)輸層和應(yīng)用層之間，能很好地封裝應(yīng)用層數(shù)據(jù)，不用改變位于應(yīng)用層的應(yīng)用程序，對用戶透明。然而，SSL并不專為支持電子商務(wù)而設(shè)計(jì)，只支持雙方認(rèn)證，只能保證傳送信息傳送過程中不因被截而泄密，不能防止商家利用獲取的信用卡號進(jìn)行欺詐。5.JEPI(JointElectronicPaymentInitiative)，是為了解決眾多協(xié)議間的不兼容性而提出來的，是現(xiàn)有HTTP協(xié)議的擴(kuò)展，在普遍HTTP協(xié)議之上增加了PEP(ProtocolExtensionProtocol)和UPP(UniversalPaymentPreamble)兩層結(jié)構(gòu)，其目的不是提出一種新的電子支付手段，而是在允許多種支付系統(tǒng)并存的情況下，幫助商家和顧客雙方選取一個(gè)合適的支付系統(tǒng)。

 

四、結(jié)束語

 

信息安全是電子商務(wù)發(fā)展的基礎(chǔ)，隨著電子商務(wù)的發(fā)展，通過各種網(wǎng)絡(luò)的交易手段也會更加多樣化，安全問題變得更加突出。為了解決好這個(gè)問題，必須有安全技術(shù)作保障。目前，防火墻技術(shù)、網(wǎng)絡(luò)掃描技術(shù)，數(shù)據(jù)加密技術(shù)和計(jì)算系統(tǒng)安全技術(shù)發(fā)揮著重要的作用，此外，需要完善法律制度、管理制度和誠信制度，保證電子商務(wù)信息安全，加快電子商務(wù)的發(fā)展。

篇5

[關(guān)鍵詞] 移動電子商務(wù) 信息系統(tǒng) Bent函數(shù) Hash函數(shù)

現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和電子計(jì)算機(jī)技術(shù)的迅猛發(fā)展及普遍使用，使得社會前進(jìn)愈來愈依賴電子技術(shù)和信息技術(shù)的發(fā)展，信息經(jīng)濟(jì)席卷全球，成為經(jīng)濟(jì)運(yùn)行的主流。電子商務(wù)近年來發(fā)展速度越來越快，應(yīng)用的環(huán)境越來越好，但同時(shí)產(chǎn)生了商務(wù)信息系統(tǒng)安全問題。商務(wù)信息系統(tǒng)安全的核心是密碼理論與技術(shù)，密碼技術(shù)的研究一直收到廣泛重視，密碼理論與技術(shù)發(fā)展很快。應(yīng)對層疊而出的商務(wù)信息系統(tǒng)安全問題，設(shè)計(jì)能抵抗安全攻擊的布爾函數(shù)不僅有理論價(jià)值，同時(shí)還有巨大的商業(yè)應(yīng)用價(jià)值。

由Rothaus教授提出的Bent函數(shù)是一類重要的密碼函數(shù)，還有Hash函數(shù)。它在密碼、編碼理論、序列設(shè)計(jì)，以及組合設(shè)計(jì)理論中有廣泛而重要應(yīng)用。筆者在本文將主要探討移動電子商務(wù)信息系統(tǒng)安全，以及如何采用bent函數(shù)、hash函數(shù)技術(shù)如何增加移動商務(wù)信息系統(tǒng)安全系數(shù)的問題。

一、移動電子商務(wù)信息系統(tǒng)安全簡述

1.電子商務(wù)與移動電子商務(wù)概念

電子商務(wù)（Electronic Commerce，簡稱E-commerce）是在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器或服務(wù)器應(yīng)用方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動，實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付，以及各種商務(wù)活動、交易活動、金融活動和相關(guān)的綜合服務(wù)活動的一種新型的商業(yè)運(yùn)營模式。

移動電子商務(wù)(M-Commerce)，它由電子商務(wù)(E-Commerce)的概念衍生出來，是通過手機(jī)、PDA（個(gè)人數(shù)字助理）、呼機(jī)等移動通信設(shè)備與因特網(wǎng)有機(jī)結(jié)合所進(jìn)行的電子商務(wù)活動。移動電子商務(wù)能提供以下服務(wù)：PIM（個(gè)人信息服務(wù)）、銀行業(yè)務(wù)、交易、購物、基于位置的服務(wù)、娛樂等。移動電子商務(wù)因其快捷方便、無所不在的特點(diǎn)，已經(jīng)成為電子商務(wù)發(fā)展的新方向。因?yàn)橹挥幸苿与娮由虅?wù)才能在任何地方、任何時(shí)間，真正解決做生意的問題。

截至2008年4月，中國移動電話用戶合計(jì)5.84億，移動電話用戶數(shù)與固定電話用戶數(shù)的差距拉大到2.24億戶，移動電話用戶在電話用戶總數(shù)中所占的比重達(dá)到61.9%。移動電話普及率已達(dá)41.6%。

移動電子商務(wù)與傳統(tǒng)的主要通過桌面電腦網(wǎng)絡(luò)平臺而運(yùn)行和開展的電子商務(wù)相比，擁有更為廣泛的潛在用戶基礎(chǔ)。當(dāng)前，中國互聯(lián)網(wǎng)用戶雖然已經(jīng)超過2億，但同時(shí)手機(jī)用戶卻相比多了3億多用戶，此外根據(jù)資料還有數(shù)量龐大的PDA用戶群，因此，移動電子商務(wù)具有比非移動電子商務(wù)更為廣闊的市場前景。

2.移動電子商務(wù)信息系統(tǒng)安全概念

移動電子商務(wù)信息系統(tǒng)安全問題是動態(tài)發(fā)展的，如防范病毒的措施，往往不可能一次成功更不可能一勞永逸。由于移動電子商務(wù)信息系統(tǒng)是以移動通信網(wǎng)絡(luò)與計(jì)算機(jī)網(wǎng)絡(luò)共同構(gòu)建的平臺為商務(wù)活動平臺，因此它不可避免面臨著一系列的由移動通訊網(wǎng)絡(luò)和計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)的安全問題。移動電子商務(wù)給商務(wù)活動帶來了諸多便利，如縮短了商務(wù)活動時(shí)間、降低了商務(wù)成本、提高了響應(yīng)市場的效率等等。計(jì)算機(jī)網(wǎng)絡(luò)為主體的有線網(wǎng)絡(luò)安全的技術(shù)手段并不能完全適用于無線的移動網(wǎng)絡(luò)環(huán)境，由于無線設(shè)備的內(nèi)存和計(jì)算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序，因此，有效抵制手機(jī)病毒的防護(hù)軟件目前還不是很成熟。

3.移動電子商務(wù)信息系統(tǒng)安全類型

移動電子商務(wù)信息系統(tǒng)安全威脅種類繁多，可以有多種可能的潛在面，既有蓄意違法而致的威脅；也有無意疏忽造成的安全漏洞。另外還有如：非法使用移動終端、移動通訊公司工作人員不慎泄露客戶信息而致、竊聽等均有可能導(dǎo)致不同程度和后果的移動電子商務(wù)安全威脅。大體我們可以分為以下幾個(gè)情況：

第一，移動通訊網(wǎng)絡(luò)本身導(dǎo)致重要商務(wù)信息外泄：移動無線信道是一個(gè)開放性的信道，它給移動無線用戶帶來通訊的自由和靈活性的同時(shí)，同時(shí)也伴隨著很多不安全因素：如通訊雙方商務(wù)內(nèi)容容易被竊聽、通訊雙方的身份容易被假冒，以及通訊內(nèi)容容易被篡改等。在移動無線通訊過程中，所有通訊內(nèi)容（如：通話信息，身份信息，數(shù)據(jù)信息等）都是通過移動無線信道開放傳送的。任何擁有一定頻率接收設(shè)備的人均可以獲取移動無線信道上傳輸?shù)膬?nèi)容。這對于移動無線用戶的信息安全、個(gè)人安全和個(gè)人隱私都構(gòu)成了潛在的威脅。在移動電子商務(wù)信息系統(tǒng)中商業(yè)機(jī)密的泄漏表現(xiàn)，主要有兩個(gè)方面：商務(wù)活動雙方進(jìn)行商務(wù)活動的核心機(jī)密內(nèi)容被第三方意外獲得或竊取;交易一方提供給另一方使用的商務(wù)文件被第三方非正常使用。

第二，移動通訊設(shè)備傳播的病毒的侵犯：病毒是目前威脅移動電子商務(wù)用戶的主要因素之一，隨著移動網(wǎng)絡(luò)應(yīng)用的深入擴(kuò)展，移動電子商務(wù)的規(guī)模愈趨增大，移動電子商務(wù)用戶也越來越多地面臨著各類病毒黑客攻擊風(fēng)險(xiǎn)。與病毒齊名的是黑客侵?jǐn)_和攻擊，由于各種網(wǎng)絡(luò)黑客應(yīng)用軟件工具的傳播，黑客與黑客行為己經(jīng)大眾化了，他們利用操作系統(tǒng)和網(wǎng)絡(luò)的漏洞、缺陷，從網(wǎng)絡(luò)的外部非法侵入，進(jìn)行侵?jǐn)_和不法行為，對移動電子商務(wù)安全造成很大隱患。

第三，移動通訊網(wǎng)路漫游而致的威脅：無線網(wǎng)路中的危害安全者不需要尋找攻擊對象，攻擊對象在某種條件下會漫游到攻擊者所在的小區(qū)。在終端用戶不知情的情況下，信息可能被竊取和篡改。服務(wù)也可被經(jīng)意或不經(jīng)意地拒絕。交易會中途打斷而沒有重新認(rèn)證的機(jī)制。由刷新引起連接的重新建立會給系統(tǒng)引入風(fēng)險(xiǎn)，沒有再認(rèn)證機(jī)制的交易和連接的重新建立是危險(xiǎn)的。連接一旦建立，使用SSL和WTLS的多數(shù)站點(diǎn)不需要進(jìn)行重新認(rèn)證和重新檢查證書,攻擊者可以利用該漏洞來獲利。

第四，垃圾信息（或稱垃圾短信）：在移動通訊系統(tǒng)及設(shè)備帶給廣大人們便利和效率的同時(shí)，也帶來了很多煩惱，其中尤其難以控制的就是鋪天蓋地而來的垃圾短信廣告打擾著我們的生活、工作和學(xué)習(xí)。在移動用戶進(jìn)行商業(yè)交易時(shí)，會把手機(jī)號碼留給對方。有的移動用戶喜歡把手機(jī)號碼公布在網(wǎng)上。這些都是其他公司獲取大量手機(jī)用戶號碼的渠道所在。垃圾短信使得人們對移動電子商務(wù)充滿不信任和反感，而不敢在網(wǎng)絡(luò)上使用自己的移動設(shè)備從事商務(wù)活動。

二、提升移動電子商務(wù)信息系統(tǒng)安全的趨勢與必然性

1.移動商務(wù)是電子商務(wù)發(fā)展的必然趨勢

在未來幾年中，伴隨著無線網(wǎng)絡(luò)的日益普及，移動計(jì)算設(shè)備將變得很普及。計(jì)算機(jī)技術(shù)和無線技術(shù)的結(jié)合將成為最終趨勢，電子商務(wù)也將向移動商務(wù)過渡。中國在電子商務(wù)的發(fā)展方面要落后于發(fā)達(dá)國家，但隨著觀念的改變和技術(shù)的進(jìn)步，中國越來越多地參與到世界經(jīng)濟(jì)發(fā)展的各個(gè)環(huán)節(jié)。中國要想在商務(wù)模式變革的過程中取得成功，關(guān)鍵是要準(zhǔn)確分析市場趨勢并把握市場先機(jī)。移動商務(wù)中關(guān)鍵的一點(diǎn)以用戶為中心，如果能成功把握住移動個(gè)性化方面的市場先機(jī)，則完全有可能成為移動商務(wù)的規(guī)則制訂者，從而擺脫以往的模仿。

2.我國高速發(fā)展的移動通訊網(wǎng)絡(luò)要求提升移動電子商務(wù)信息系統(tǒng)安全性

2007年，全國電話用戶新增8389.1萬戶，總數(shù)突破9億戶，達(dá)到91273.4萬戶。移動電話用戶在電話用戶總數(shù)中所占的比重達(dá)到60.0%，移動電話用戶與固定電話用戶的差距拉大到18183.8萬戶。

2007年12月中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）《第21次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》。報(bào)告顯示，截至2007年底，我國網(wǎng)民人數(shù)達(dá)到了2.1億，占中國人口總數(shù)的16%。調(diào)查反映出基于網(wǎng)絡(luò)的商務(wù)安全問題，調(diào)查網(wǎng)民對互聯(lián)網(wǎng)最反感的方面是：網(wǎng)絡(luò)病毒 29.8%，網(wǎng)絡(luò)入侵或攻擊（有木馬） 17.3%等。可以說我國2億多網(wǎng)民在網(wǎng)絡(luò)上，信息安全問題是比較普遍的，因此，我國高速發(fā)展的互聯(lián)網(wǎng)絡(luò)客觀上也要求提升商務(wù)信息系統(tǒng)安全。

美國安全軟件公司McAfee2008年公布的最新調(diào)查結(jié)果顯示，雖然手機(jī)病毒和攻擊現(xiàn)在還不普遍，但隨著越來越多的用戶通過手機(jī)訪問互聯(lián)網(wǎng)和下載文件，手機(jī)病毒出現(xiàn)的概率將越來越大。McAfee公司公布的調(diào)查結(jié)果顯示，只有2.1%的被調(diào)查者曾經(jīng)自己遭遇手機(jī)病毒，而聽說過其他手機(jī)用戶遭遇病毒的被調(diào)查者也只有11.6%。McAfee在英國、美國和日本共調(diào)查了2000名手機(jī)用戶，結(jié)果發(fā)現(xiàn)86.3%的用戶對于手機(jī)病毒沒有任何概念。

當(dāng)前我國移動用戶數(shù)保持世界第一，網(wǎng)民數(shù)為世界第二，我國高速發(fā)展的移動通訊網(wǎng)絡(luò)要求提升移動電子商務(wù)信息系統(tǒng)安全性。

3.利用加密函數(shù)技術(shù)加強(qiáng)和完善高效高安全性的移動電子商務(wù)信息系統(tǒng)

在這個(gè)網(wǎng)絡(luò)互聯(lián)技術(shù)、移動通訊技術(shù)告訴前行的時(shí)代，信息安全尤其是電子商務(wù)信息的保密工作變得越來越至關(guān)重要，這無疑給密碼學(xué)的研究帶來了巨大推動。為提高移動通訊網(wǎng)絡(luò)與互聯(lián)網(wǎng)為平臺的移動電子商務(wù)服務(wù)質(zhì)量，維護(hù)移動電子商務(wù)信息提供者的權(quán)益，信息安全越來越得到人們的關(guān)注。筆者認(rèn)為，研究布爾函數(shù)各種性質(zhì)，特別是研究對抵抗相關(guān)攻擊的相關(guān)免疫函數(shù)類、抗線性分析的Hent函數(shù)與Hash函數(shù)，無疑是具有很強(qiáng)的現(xiàn)實(shí)意義的。

(1)Hash函數(shù)加密技術(shù)概述及應(yīng)用

Hash函數(shù)加密技術(shù)主要用于信息安全領(lǐng)域中加密算法，它能把一些不同長度的信息轉(zhuǎn)化成雜亂的128位的編碼里，叫做HASH值。Hash就是為了找到一種數(shù)據(jù)內(nèi)容和數(shù)據(jù)存放地址之間的映射關(guān)系密碼學(xué)上的Hash函數(shù)是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數(shù)。Hash 函數(shù)可用于數(shù)字簽名、消息的完整性檢測、消息的起源認(rèn)證檢測等。安全的Hash函數(shù)的存在性依賴于單項(xiàng)函數(shù)的存在性。Hash算法被普遍應(yīng)用于數(shù)字安全的幾乎所有方面，如登錄辦公室局域網(wǎng)、進(jìn)入個(gè)人郵箱和安全頁面都要用它來保護(hù)用戶的密碼；電子簽名系統(tǒng)利用它來認(rèn)證客戶及其發(fā)來的信息。

(2)bent函數(shù)加密技術(shù)概述及應(yīng)用

在密碼學(xué)中，為了抵抗最佳線性逼近，人們引人了Bent函數(shù)的概念，bent函數(shù)具有最高非線性度，在密碼、編碼理論等方面理論中有著重要應(yīng)用，因而成為當(dāng)前密碼學(xué)界研究信息安全保密技術(shù)的熱點(diǎn)。對Bent函數(shù)的構(gòu)造可以分為間接構(gòu)造和直接構(gòu)造。直接構(gòu)造方法主要有2種：一種是MM類；另一種是PS類，這兩種屬于直接構(gòu)造方法。bent函數(shù)具有最高的非線性度，但它的相關(guān)免疫階為0，為了使bent具有更好的密碼學(xué)性質(zhì)和實(shí)際應(yīng)用價(jià)值，學(xué)者們提出了bent函數(shù)的變種，如Hyper-bent，Semi-bent等。

總之，移動電子商務(wù)信息系統(tǒng)安全是個(gè)多角度、多因素、多學(xué)科的問題，它不單要求從保密安全技術(shù)方面，同時(shí)也要求我們從技術(shù)之外的社會等因素考慮解決。

參考文獻(xiàn)：

[1]趙永剛:解析“三角經(jīng)營商法”[J].商場現(xiàn)代化,2004(15)

[2]姬志剛:計(jì)算機(jī)、網(wǎng)絡(luò)與信息社會.科技咨詢導(dǎo)報(bào)[J].2006(20)

[3]邱顯杰:關(guān)于Bent函數(shù)的研究.湘潭大學(xué)[D],2002

[4]戴方虎等:Internet的移動訪問技術(shù)研究.計(jì)算機(jī)科學(xué)，2000（3）

[5]肖皇培張國基:基于Hash函數(shù)的報(bào)文鑒別方法[J].計(jì)算機(jī)工程, 2007,(06)