電子商務(wù)安全問(wèn)題論文

　　摘要：電子商務(wù)作為一種全新的商務(wù)模式，它有很大的發(fā)展前途，且隨之而來(lái)的安全問(wèn)題也越來(lái)越突出，如何建立一個(gè)安全、便捷的電于商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，是商家和用戶(hù)都十分關(guān)注的話(huà)題。安全問(wèn)題己成為電子商務(wù)的核心問(wèn)題。分析了電子商務(wù)中存在的安全問(wèn)題，并闡述目前解決電子商務(wù)安全隱患的主要安全技術(shù)及相關(guān)策略。

　　關(guān)鍵詞：電子商務(wù);安全問(wèn)題;安全策略

　　1、電子商務(wù)中存在的兩大類(lèi)安全問(wèn)題

　　1.1網(wǎng)絡(luò)安全問(wèn)題

　　現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成了新的安全研究熱點(diǎn)。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)男畔⒌陌踩�性。網(wǎng)絡(luò)安全問(wèn)題是計(jì)算機(jī)系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅，概括來(lái)說(shuō)網(wǎng)絡(luò)安全的內(nèi)容包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等

　　1.2商務(wù)安全問(wèn)題

　　商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過(guò)程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴(lài)性。網(wǎng)上交易日益成為新的商務(wù)模式，基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受，人們?cè)谙硎芫W(wǎng)上交易帶來(lái)的便捷的同時(shí)，交易的安全性備受關(guān)注，網(wǎng)絡(luò)所固有的開(kāi)放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重威脅。所以在電子商務(wù)交易過(guò)程中，保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵。

　　1.3目前電子商務(wù)中存在的主要安全問(wèn)題

　　(1)對(duì)合法用戶(hù)的身份冒充。攻擊者通過(guò)非法手段盜用合法用戶(hù)的身份信息，仿冒合法用戶(hù)的身份與他人進(jìn)行交易，從而獲得非法利益。

　　(2)對(duì)信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上，通過(guò)物理或邏輯的手段，對(duì)數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽(tīng)，從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶(hù)的信用卡賬號(hào)，還能以欺騙的手法進(jìn)行產(chǎn)品交易，甚至能洗黑錢(qián)。

　　(3)對(duì)信息的篡改。攻擊者有可能對(duì)網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容，如修改消息次序、時(shí)間，注入偽造消息等，從而使信息失去真實(shí)性和完整性。

　　(4)拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。

　　(5)對(duì)發(fā)出的信息予以否認(rèn)。某些用戶(hù)可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。

　　(6)信用威脅。交易者否認(rèn)參加過(guò)交易，如買(mǎi)方提交訂單后不付款，或者輸入虛假銀行資料使賣(mài)方不能提款;用戶(hù)付款后，賣(mài)方?jīng)]有把商品發(fā)送到客戶(hù)手中，使客戶(hù)蒙受損失。

　　(7)電腦病毒。電腦病毒問(wèn)世十幾年來(lái)，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。如，CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬(wàn)計(jì)的計(jì)算機(jī)以沉重打擊。

　　2、電子商務(wù)中的主要安全技術(shù)

　　2.1電子商務(wù)的安全技術(shù)

　　互聯(lián)網(wǎng)已經(jīng)日漸融入到人類(lèi)社會(huì)的各個(gè)方面中，網(wǎng)絡(luò)防護(hù)與網(wǎng)絡(luò)攻擊之間的斗爭(zhēng)也將更加激烈，這就對(duì)安全技術(shù)提出了更高的要求。安全技術(shù)是電子商務(wù)安全體系中的基本策略，是伴隨著安全問(wèn)題的誕生而出現(xiàn)的，安全技術(shù)極大地從不同層次加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性。要加強(qiáng)電子商務(wù)的安全，需要企業(yè)本身采取更為嚴(yán)格的管理措施，需要國(guó)家建立健全法律制度，更需要有科學(xué)的先進(jìn)的安全技術(shù)。安全問(wèn)題是電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題，安全技術(shù)是解決安全問(wèn)題保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。

　　2.2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

　　目前，常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有病毒防范技術(shù)、身份認(rèn)證技術(shù)、防火墻技術(shù)和虛擬專(zhuān)用網(wǎng)VPN技術(shù)等。

　　(1)病毒是一種惡意的計(jì)算機(jī)程序，它可分為引導(dǎo)區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等，不同的病毒的危害性也不一樣。為了防范病毒，可以采用以下的措施:

　�、侔惭b防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施;

　�、诩訌�(qiáng)數(shù)據(jù)備份和恢復(fù)措施;

　�、蹖�(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等。

　　(2)身份識(shí)別技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。它的目的是證實(shí)被認(rèn)證對(duì)象是否屬實(shí)和是否有效。其基本思想是通過(guò)驗(yàn)證被認(rèn)證對(duì)象的屬性來(lái)達(dá)到確認(rèn)被認(rèn)證對(duì)象是否真實(shí)有效的目的。被認(rèn)證對(duì)象的屬性可以是口令、問(wèn)題解答或者像指紋、聲音等生理特征，常用的身份認(rèn)證技術(shù)有口令、標(biāo)記法和生物特征法。

　　(3)防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開(kāi)的方法，它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。它是電子商務(wù)的最常用的設(shè)備。

　　(4)虛擬專(zhuān)用網(wǎng)是用于Internet電子交易的一種專(zhuān)用網(wǎng)絡(luò)，它可以在兩個(gè)系統(tǒng)之間建立安全的通道，非常適合于電子數(shù)據(jù)交換(EDI)。在虛擬專(zhuān)用網(wǎng)中交易雙方比較熟悉，而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致，在虛擬專(zhuān)用網(wǎng)中就可以使用比較復(fù)雜的專(zhuān)用加密和認(rèn)證技術(shù)，這樣就可以大大提高電子商務(wù)的安全性。VPN可以支持?jǐn)?shù)據(jù)、語(yǔ)音及圖像業(yè)務(wù)，其優(yōu)點(diǎn)是經(jīng)濟(jì)、便于管理、方便快捷地適應(yīng)變化，但也存在安全性低，容易受到攻擊等問(wèn)題。

　　2.3商務(wù)交易安全技術(shù)

　　(1)加密技術(shù)是電子商務(wù)安全的一項(xiàng)基本技術(shù)，它是認(rèn)證技術(shù)的基礎(chǔ)。

　　采用加密技術(shù)對(duì)信息進(jìn)行加密，是最常見(jiàn)的安全手段。加密技術(shù)是一種主動(dòng)的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無(wú)意義的密文，阻止非法用戶(hù)理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。目前，在電子商務(wù)中，獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱(chēng)密鑰加密體制(私鑰加密體制)和非對(duì)稱(chēng)密鑰加密體制(公鑰加密體制)。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。

　　(2)安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書(shū)等。

　�、贁�(shù)字摘要。

　　數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼(數(shù)字指紋Finger Print)，并在傳輸信息時(shí)將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算，若得到的結(jié)果與發(fā)送來(lái)的摘要碼相同，則可斷定文件未被篡改，反之亦然。

　�、跀�(shù)字信封。

　　數(shù)字信封是用加密技術(shù)來(lái)保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對(duì)稱(chēng)密鑰來(lái)加密信息，然后將此對(duì)稱(chēng)密鑰用接收方的公開(kāi)密鑰來(lái)加密(這部分稱(chēng)為數(shù)字信封)之后，將它和信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開(kāi)數(shù)字信封，得到對(duì)稱(chēng)密鑰，然后使用對(duì)稱(chēng)密鑰解開(kāi)信息。這種技術(shù)的安全性相當(dāng)高。

　　③數(shù)字簽名。

　　把HASH函數(shù)和公鑰算法結(jié)合起來(lái)，可以在提供數(shù)據(jù)完整性的同時(shí)，也可以保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒(méi)有被修改，而真實(shí)性則保證是由確定的合法者產(chǎn)生的HASH，而不是由其他人假冒。而把這兩種機(jī)制結(jié)合起來(lái)就可以產(chǎn)生所謂的數(shù)字簽名(Digital Signature)。

　�、軘�(shù)字時(shí)間戳。

　　交易文件中，時(shí)間是十分重要的信息。在書(shū)面合同中，文件簽署的日期和簽名一樣均是十分重要的，是防止文件被偽造和篡改的關(guān)鍵性?xún)?nèi)容。而在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS-Digital Time-stamp Service)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目，由專(zhuān)門(mén)的機(jī)構(gòu)提供。

　�、輸�(shù)字證書(shū)。

　　在交易支付過(guò)程中，參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書(shū)來(lái)證明各自的身份。所謂數(shù)字證書(shū)，就是用電子手段來(lái)證實(shí)一個(gè)用戶(hù)的身份及用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。在網(wǎng)上電子交易中，如果雙方出示了各自的數(shù)字證書(shū)，并用它來(lái)進(jìn)行交易操作，那么雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心。

　　3、電子商務(wù)的安全性策略

　　3.1電子商務(wù)安全技術(shù)保障策略

　　安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略，目前相關(guān)的信息安全技術(shù)與專(zhuān)門(mén)的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有:密碼技術(shù)，身份驗(yàn)證技術(shù)，訪(fǎng)問(wèn)控制技術(shù)，防火墻技術(shù)。

　　3.2企業(yè)電子商務(wù)安全運(yùn)營(yíng)管理制度保障策略

　　企業(yè)電子商務(wù)安全運(yùn)營(yíng)管理制度是用文字的形式對(duì)各項(xiàng)安全要求所做的規(guī)定，是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ)，是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則。這些制度主要包括人員管理制度，保密制度，跟蹤審計(jì)制度，系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度等。

　　3.3電子商務(wù)立法策略

　　(1)立法目的。電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性，保護(hù)合理的商業(yè)行為，保障電子交易安全;建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。

　　(2)立法范圍。電子商務(wù)安全方面需要的法律法規(guī)主要有:市場(chǎng)準(zhǔn)入制度、合同有效認(rèn)證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法，知識(shí)產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過(guò)濾等;

　　(3)立法途徑。電子商務(wù)法律仍然是調(diào)整社會(huì)關(guān)系，所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核，尤其是基礎(chǔ)價(jià)值觀(guān)。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。第二是修改或重新解釋既定的法律規(guī)范。

　　3.4政府監(jiān)督管理策略

　　電子商務(wù)本質(zhì)是一種市場(chǎng)運(yùn)作模式，市場(chǎng)的正常健康有序地發(fā)展，必須有政府宏觀(guān)上的監(jiān)督與管理，以協(xié)調(diào)和規(guī)范各市場(chǎng)主體的行為，宏觀(guān)監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。政府監(jiān)督管理主要體現(xiàn)在:計(jì)算機(jī)信息系統(tǒng)安全管理，網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理，認(rèn)證機(jī)構(gòu)管理，加強(qiáng)社會(huì)信用道德建設(shè)。

　　4、電子商務(wù)安全中還需解決的問(wèn)題

　　(1)沒(méi)有一種電子商務(wù)安全的完整解決方案和完整模型與體系結(jié)構(gòu)。

　　(2)盡管一些系統(tǒng)正在逐漸成為標(biāo)準(zhǔn)，但僅有很少幾個(gè)標(biāo)準(zhǔn)的應(yīng)用程序接口(APIA)。從協(xié)議間的通用API和網(wǎng)關(guān)是絕對(duì)需要的。

　　(3)大多數(shù)電子商務(wù)系統(tǒng)都是封閉式的，即它們使用獨(dú)有的技術(shù)，僅支持一些特定的協(xié)議和機(jī)制。通常需要一個(gè)中央服務(wù)器作為所有參與者的可信第三方，有時(shí)還要求使用特定的服務(wù)器和瀏覽器。

　　(4)盡管大多數(shù)方案都使用了公鑰密碼，但多方安全受到的關(guān)注遠(yuǎn)遠(yuǎn)不夠。沒(méi)有建立一種解決爭(zhēng)議的決策程序。

　　(5)客戶(hù)的匿名性和隱私尚未得到充分的考慮。

　　參考文獻(xiàn)

　　?EricRescorla.著，崔凱譯.SSL與TLSDesigningandBuild-ingSecureSystems[M].北京:中國(guó)電力出版社，2002.

　　?ChristopherSteel，RameshNagappan，RayLai.著.安全模式(CoreSecurityPatterns)[M].北京:機(jī)械工業(yè)出版社，2006.

　　?WilliamStalling.著.網(wǎng)絡(luò)安全要素——應(yīng)用與標(biāo)準(zhǔn)[M].北京:人民郵電出版社，2003.

　　?王銳，等譯.網(wǎng)絡(luò)最高安全技術(shù)指南[M].北京:機(jī)械工業(yè)出版社，1998.

【電子商務(wù)安全問(wèn)題論文】相關(guān)文章：

電子商務(wù)安全問(wèn)題10-05

信息安全問(wèn)題論文10-09

電子商務(wù)安全問(wèn)題研究10-08

淺析電子商務(wù)安全問(wèn)題10-05

云計(jì)算環(huán)境下的電子商務(wù)安全問(wèn)題和對(duì)策論文10-08

企業(yè)信息安全問(wèn)題研究論文10-08

采供血機(jī)構(gòu)信息安全問(wèn)題及管理的論文10-11

網(wǎng)絡(luò)金融信息安全問(wèn)題討論論文10-08

淺論云計(jì)算與隱私安全問(wèn)題論文10-09