導語：電子商務信息安全研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

【摘要】電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施,完善電子商務發展的內外部環境,促進我國電子商務可持續發展。

【關鍵詞】電子商務;信息安全;信息技術

電子商務概念源于英文ElectronicCommerce,簡寫EC。美國《商業周刊》認為,Internet已經成為"有史以來最激動人心的生意場"。電子商務介入世界經濟活動并成為其中主角是必然的發展趨勢。據統計1998年全球電子商務交易額為1020億美元,2003年電子商務交易額達到1.3萬億美元,約占世界貿易總額的1/4,到2005年將達到2～3萬億美元。由于大量的信息在網上傳遞,大量的資金在網上劃撥流動,這就要求網上信息必須具有高度的可靠性和絕對的保密性。但是出于各種目的的網絡入侵和攻擊也越來越頻繁,脆弱的網絡和不成熟的電子商務增強了人們的防范心理。從這點上來看,信息安全問題是保障電子商務的生命線。

1、電子商務信息的安全要素

1.1機密性

傳統的貿易大多是通過書信或者可靠的通信渠道來發送商業文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務是在開放的網絡環境下進行的,因此要預防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務信息的機密性就變得非常重要。

1.2完整性

電子商務極大地簡化了傳統貿易過程,減少了認為的干預,同時也伴隨著貿易各方商業信息的完整、同一問題。由于數據錄入時合法或非法的行為,可能導致貿易數據的差異。信息在傳輸的過程中也有可能造成信息的丟失、重復或次序的差異。因此要預防對信息的各種非法操作,保證數據在傳送的過程中完整性。

1.3認證性

網絡環境是一個虛擬的環境,而電子商務就是在這個虛擬平臺上進行的,貿易雙方一般都不見面,需要一些技術和策略來進行身份確認。當個人或實體聲稱身份時,電子商務服務需要提供一種方式來進行身份認證。

1.4有效性

在交易的過程中貿易雙方需要確定很多信息,電子商務以電子形式取代了紙張來確認這此信息,保證謝謝信息的有效性是開展電子商務的前提。因此要對網絡故障、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻和地點是有效的。

2、電子商務安全中存在的問題

電子商務是實現整個貿易過程中各階段貿易活動的電子化。公眾是電子商務的對象,信息技術是實現電子商務的基礎,電子商務實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務活動中的信息安全問題主要體現在以下幾個方面。

2.1計算機網絡的安全

2.1.1安全協議問題

隨著經濟和信息全球化的時代到來,但安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

2.1.2信息的安全問題

非法用戶在網絡的傳輸上,通過不正當手段,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網絡數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網絡數據包再次發送,惡意攻擊對方的網絡硬件和軟件。

2.1.3防病毒問題

電腦病毒問世十多年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。

2.1.4服務器的安全問題。

電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數據庫里有企業的一些保密數據,如價格、成本等,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果也是非常嚴重的。目前服務器的安全問題尚無有效措施予以阻止。主要表現在:非法用戶向網絡或主機發送大量非法或無效的請求,使其消耗可用資源卻無法繼續提供正常的網絡服務,利用操作系統、軟件、網絡協議、網絡服務等的安全漏洞,通過網站發送特制的數據請求,使網絡應用服務器崩潰而停止服務。

2.2電子商務交易的安全

2.2.1身份的不確定問題

由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段竊取合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從中獲得非法收入。主要表現有:冒充他人身份;冒充他人消費、栽贓、冒充主機欺騙合法主機及合法用戶等。

2.2.2交易的抵賴問題

電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。如自己應承擔的責任如:者事后否認曾經發送過某條信息或內容;收信者事后否認曾經收到過某條信息或內容;購買者做了訂貨單不承認,商家賣出的商品質量差但不承認原有的交易。在網絡世界為交易雙方的糾紛進行公證、仲裁。

2.2.3交易的修改問題

交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。

2.3其他方面的安全

電子商務安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題:網絡交易糾紛的仲裁、網絡交易契約等問題,急需為電子商務提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅。

3、保障電子商務信息安全措施

3.1數據加密策略

加密技術是電子商務的最基本措施,最初主要用與保證數據在存儲和傳輸過程中的保密性。隨著電子商務的發展,對數據完整性以及身份鑒定技術提出了新的要求,數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。加密技術是一種主動的信息安全防范策略,利用一定的加密算法.將明文轉換成毫無意義的密文。阻止非法用戶理解原始數據,從而確保數據的保密性。

比較廣泛使用的加密技術有兩種:一是對稱密鑰加密體制,一是非對稱密鑰加密體制。它們的區別在于密鑰的類型不同。

3.1.1對稱密鑰加密體制

對稱密鑰加密,又稱私鑰加密(SecretKeyEncryption),即數據加密和解密采用的都是同一個密鑰,因而其安全性依賴于所持有密鑰的安全性,其最大的優點就是速度快,適合于對大數據量進行加密,但其最大的缺點是在大量用戶的情況下密鑰答理復雜,而且無法完成身份認證等功能,不便于應用于網絡開放的環境中。

3.1.2非對稱密鑰加密體制

非對稱密鑰加密體制,又稱公鑰加密(PublicKeyEncryp2tion),數據加密和解密采用不同的密鑰,需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分解為一對。這對鑰中的在何一把都可作為公開密鑰,加密密鑰,通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數據的接受者掌握。

利用公鑰體系可以方便地實現對用戶的身份認證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進行解密,如果能夠解開,說明信息確實為該用戶所發送,這樣就方便地實現了對信息發送方身份的鑒別和認證。

通常在實際應用中將公鑰密碼體系和數字簽名算法結合使用.在保證數據傳輸完整性的同時完成對用戶的身份認證。

3.2防火墻技術

現有的防火墻技術包括兩大類:數據包過濾和服務技術。其中,最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數據包的頭,以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾,所以可以有效地避兔對其進行的有意或無意的攻擊,從而保證了專用私有網的安全。將包過濾防火墻與服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于:(1)防火墻技術只能防止經由防火墻的攻擊,不能防止網絡內部用戶對于網絡的攻擊。(2)防火墻不能保證數據的秘密性,也不能保證網絡不受病毒的攻擊,它只能有效地保護企業內部網絡不受主動攻擊和入侵。

3.3身份驗證技術

3.3.1認證系統

網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發機構叫做CertificateAuthority,通常簡稱為CA。要建立安全的電子商務系統,首先必須建立一個穩固、健全的CA,否則,一切網上的交易都沒有安全保障。

3.3.2SSL協議

SSL協議(SecureSocket,Layer,安全套接層)主要目的是解決TCP/IP協議不能確認用戶身份的問題,在Socket上使用非對稱的加密技術,以保證網絡通信服務的安全性。SSL協議易于實現。SSL協議還是最值得信賴的協議。但是由于SSL協議當初并不是為支持電子商務而設計的,所以在電子商務系統的應用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方的安全傳輸和信任關系。

3.3.3SET協議

SET(SecureElectronicTransaction)安全電子交易協議是用于Internet上的以信用卡為基礎的電子支付系統協議。主要應用于B/C模式中保障支付信息的安全性。SET協議提供對消費者、商戶和銀行的認證,協議本身比較復雜,設計比較嚴格,安全性高,確保電子交易的機密性、數據完整性、身份的合法性和抗否認性,特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。它的交易規范成為了未來電子商務發展的方向。

3.4保障電子商務信息安全的環境性措施

目前,基于Internet的電子商務應用還不成熟,許多內外部環境還不夠完善,相應的法律、法規,相關的標準還都沒有建立,跨部門、跨地區的協調存在較大問題。

3.4.1構造我國完善的電子商務體系

積極參與國際合作,融合國際電子商務框架,構造適合中國國情的電子商務體系。作為一個主權國家,為了維護國家的利益和經濟安全,在電子商務相關技術方面注重自主知識產權技術的開發,不能全部依賴進口。因此,必須加大投資力度,重點支持電子商務技術的研發工作。

3.4.2加強法律法規建設

針對利用信息高科技和信息系統等新型犯罪,政府部門應盡快組織力量,結合電子商務的客觀需要,對現有的與電子商務相關的法律法規,利用法律與犯罪作斗爭是人類歷來的做法。如:《中華人民共和國刑法》、《全國人大常委會關于互聯網安全的決定》、《合同法》、《著作權法》等進行修改。在這些法律中,可以適當增加對網絡犯罪處罰的條款,增加對網絡作品著作權保護的條款;對電子商務發展中急需解決的有關問題,如:在電子支付、稅收管理,安全認證、網絡與信息安全、知識產權保護、消費者權益保護等可由相關主管部門先制定部門規章,必要時,由國務院行政法規,再按程序上升為法律。

3.4.3加快網絡基礎設施建設,推動企業信息化進程加強相關領域應用基礎對應的技術科學研究及應用研究是在信息領域及信息安全領域取得"創新"和"可持續發展"的直接動力。信息基礎設施是電子商務發展的物質基礎和載體。發展信息基礎設施需要多種學科和人才的支持、政府和業界的共同努力,尤其是政府的大力投資和宏觀調控。

3.4.4加快銀行、稅務以及郵政等物流環節的信息化建設建立企業到企業(BtoB)、企業到客戶(BtoC)的商務溝通,實現網上資金流動,解決目前有形商品交易環節中的流通困難。[論文網]

【參考文獻】

[1]劉紅軍等.電子商務技術教程[M].北京.機械工業出版社,2006.1

[2]牛榮.電子商務信息安全[J].商場現代化,2008,1

[3].劉培德.電子商務的安全要求及其保障措施[J].山東經濟,2005,5

[4]劉麗梅.電子商務信息安全問題探討[J].物流科技,2007,3

[5]肖德琴.電子商務安全保密技術與應用[M].華南理工大學出版社,2003.9

[6]王越等.信息系統與安全對抗理論[M].北京.北京理工大學出版社,2006.1

[7](德國)阿莫著(Amor,D.).董兆一等譯.電子商務變革與演進[M].北京.機械工業出版社,2003.3