- 相關推薦
電子商務安全論文(通用12篇)
無論是在學習還是在工作中,大家或多或少都會接觸過論文吧,借助論文可以有效提高我們的寫作水平。寫起論文來就毫無頭緒?以下是小編整理的電子商務安全論文,歡迎大家借鑒與參考,希望對大家有所幫助。
電子商務安全論文 篇1
【摘 要】電子商務是在網絡信息技術下,以電子及電子化手段進行的以商務為核心,實現跨區域的銷售與購物等,完成在線商品交易與金融資本交易。使得企業與企業之間的貿易變成全球化與網絡化。
由于其較低的成本,較快的速度,較高的透明性,受到越來越多的追捧。但是由于信息網絡的開放性與其自身的漏洞,電子商務的安全性受到越來越多的重視,只有保證了電子商務的安全,才能讓電子商務的發展更加迅速與健康。
【關鍵詞】安全問題;安全要求;安全技術
1.要分析和保證電子商務的安全性,首先應該了解目前電子商務安全問題有哪些
1.1交易信息遭到竊取
在電子商務的過程中,用戶的身份信息或者交易信息會被黑客或者有意者通過木馬、病毒及計算機系統、網絡系統本身的漏洞所竊取。攻擊者通過對數據的探聽、非法截獲等手段,可以對截獲信息的數據分析,竊取用戶的賬號、密碼等信息內容。
1.2交易信息遭到篡改
攻擊者通過竊取了交易信息之后,通過技術手段,可以對交易信息進行篡改。例如篡改交易時間、交易地點、交易金額等,破壞交易信息的完整性與真實性,容易誤導交易人,造成經濟損失。
1.3交易信息遭到冒充
攻擊者在得到交易者的信息之后,通過交易者的信息規律,冒充交易者與對方進行交易,從而獲得非法利益,進而破壞了電子交易的安全性。
1.4交易信息遭到抵賴
某些交易者,面對交易信息,選擇故意逃避,不承認訂單,或者接到訂單后卻因為種種借口不承認產品交易;發送信息者不承認發送過信息,或者接收信息者不承認接收過信息,以種種方式進行交易抵賴。以期達到逃避責任的目的。
1.5交易信息受到病毒感染
由于計算機網絡的開放性,惡意制作和使用計算機病毒的攻擊者越來越多,并且難以防范,這成為對電子商務交易最大的威脅之一。
1.6非故意的電子商務信息泄露
由于電子商務需要使用計算機及計算機網絡,而日常工作中,計算機維修、計算機操作者操作不當,都可能會導致電子商務信息的泄露。
2.那么,面對種種電子商務的安全問題,現代電子商務的安全要求有哪些呢
2.1有效的服務性要求
電子商務開展的前提是是能夠預防或能應對網絡服務失敗的問題,通過監測來減少網絡故障的發生,通過監督來減少錯誤的操作,通過維護來降低軟、硬件問題,通過防火墻、殺毒軟件等手段來阻止網絡病毒的侵入,以諸如此類的方式來保證電子商務交易快速、有效和準確。
2.2有力的保密性要求
電子商務是在互聯網的大背景下展開的,而互聯網是一個開放的資源庫與數據庫,具備網絡知識與上網設備的人,幾乎都可以使用互聯網,這就造成了,有更多的惡意攻擊者也可以在毫不費力的情況下,侵入互聯網,這就給電子商務交易,埋下了潛在的威脅。
因此,電子商務的順利進行,必須要有有力的措施,來保證電子交易的機密性,交易信息不會遭到攻擊者的截取和盜用。
2.3高度的完整性要求
電子商務的交易,不再是面對面的'交易,而是通過網絡等手段進行的跨區域交易。這就要求,在信息的傳輸過程中,信息必須是高度完整的,如果在信息的傳輸過程中遭到破壞、刪除或者是篡改,會導致交易者的利益受損。
2.4可靠的身份性要求
由于電子商務是建立在互相信任的基礎上,交易雙方可能未曾見面,就完成了交易。這就要求,交易雙方,不論是個人還是企業、組織甚至是國家之間,都必須提供可靠的、有效的身份信息。這樣,不僅能使得交易雙方更加信任,也能夠在以后發生法律糾紛時,提供有力的依據。
2.5嚴密的審查性要求
因為電子商務交易要具有有力的保密性與高度的完整性,所以,應對電子商務交易完成后的審查數據進行完整的記錄與妥善的保存。
3.為了應對電子商務安全問題,滿足電子商務安全要求,電子商務安全技術也在不斷發展
目前,主要的電子商務安全技術如下:
3.1數字認證技術
認證技術是電子商務防止攻擊的有效武器。在互聯網的開放環境中,信息安全的有效保證就是通過數字認證技術。數字認證技術又可以分為:數字簽名、數字摘要及數字證書等三種。數字簽名是確保實現認證、保證文檔真實的有效措施。
就好像出示手寫簽名一般。數字簽名就是在信息之后附件一些數據,將數字摘要進行私鑰加密,然后一起發送給接收方。在接收方通過公鑰解密摘要后,與原始數字摘要進行對比,若二者相同,則確認該數字簽名是發送方發送的。數字簽名能夠保證報文與網絡數據的完整、真實與不可抵賴。
數字摘要是固定長度的再要碼,是文件中的部分重要的要素經過單向函數運算得到的。摘要長度與信息相對應,即相同信息的摘要相同,不同信息摘要不同。數字證書它是由證書授權機構頒發的,通過其來辨別用戶身份及權限,如同身份證一樣,是交易雙方身份確認的唯一最有效、最安全的方式。
3.2防火墻技術
防火墻是在網絡邊界上建立起來的,防止黑客入侵的屏障。防火墻隔離了內部網絡與外部網絡。“目前的防火墻主要有以下三種類型:包過濾防火墻、代理防火墻、雙穴主機防火墻。”
3.3入侵檢測及加密技術
雖然網絡的開放性可以讓攻擊者有侵入的機會,但是,同樣,可以通過入侵檢測的技術對侵入的數據進行識別和跟蹤,并向用戶報警。同時,通過加密技術,將數據進行加密,變成需要密鑰才能還原成明文。加密技術又分為對稱與非對稱加密兩種。入侵檢測與加密技術,屬于主動的防范的技術。
3.4電子商務安全協議技術。
SSL安全協議
Secure Sockets Layer安全協議,即“安全套接層協議”,用于提高應用程序間數據的安全性。在通信之前,通信的雙方需要約定一種協議,從而在雙方的計算機之間形成一個通道,這個通道只被通信的雙方所擁有,可以避免被第三方竊取信息。
SET安全協議
Secure Electronic Transaction協議,即“安全電子交易”,是一種新的電子支付模式,是為了在互聯網上進行在線交易時保證信用卡支付的安全而設立的一個開放的規范。
SET協議以其強大的驗證功能,保證“用戶、商家、銀行之間通過信用卡交易產生的數據”能夠“最大限度地降低了電子商務交易可能遭受的欺詐風險。”由于其優越的性能,目前豬價成為世界“公認的信用卡交易國際標準。”
4.其他非技術手段
4.1加強電子商務交易法律管理
應該重視法律的力量,不斷完善電子商務交易的法律法規,規范電子商務的交易過程。通過法律來約束進行電子交易雙方。同時給企圖利用電子商務漏洞的不法分子敲響警鐘。
4.2加強電子商務交易本身的管理
電子商務交易要有有效的管理制度,加強對用戶、對信息、對設備、對軟件、對密鑰等的管理。
總之,電子商務交易的發展離不開安全的電子商務交易環節。而創作安全的電子商務環境要從技術與非技術兩個方面入手,既要重視加密、檢測、認證等技術手段的發展,又要重視電子商務交易法律法規的完善、電子商務交易自身管理的規范性。
進而不斷促進電子商務交易的有效性、機密性及不可抵賴性。只有用戶能放心的使用電子商務交易,才能彰顯電子商務交易平臺的優越性。
【參考文獻】
[1]劉俊杰,閆宏生。電子商務安全技術淺析[J]。科技信息。2011(26)。
[2]杭 俊。電子商務安全問題淺析[J]。現代營銷(學苑版)。2011(11)。
[3]甘悅。淺議電子商務信息安全體系的構建[J]。西北成人教育學報。2007(2)。
[4]李建設。電子商務中的安全技術研究[J]。株洲工學院學報。2005(01)。
電子商務安全論文 篇2
引言
在計算機網絡被人們廣泛所應用的前提下,運用計算機網絡進行電子商務活動的人群也在日益增多。電子商務具有操作簡單、成本較低的特點,可以帶來較大的經濟效益,但與此同時,電子商務也具體全球性與開放性的特點,所以為網絡購物帶來了較大的安全問題,由此可以得出,能否解決電子商務的安全問題是推動電子商務產業發展的決定性因素。
1 電子商務的安全現狀
首先,病毒與木馬的種類增加速度較快。在計算機網絡的使用過程中可以發現,出現木馬的幾率較高。并且,網絡中的病毒的類型也在日益增多,在此過程中,病毒的更新速度較快,所產生的破壞能力與日俱增,甚至許多木馬就是病毒的衍生物。與此同時,我們所使用的殺毒軟件也在不斷地更新與完善,但在具體的應用過程中,仍然會出現難以消除病毒、木馬的情況。許多病毒是用戶在進行網頁瀏覽或者下載軟件過程中所攜帶,網絡用戶對此毫無知覺,為計算機帶來了較為嚴重的后果。當病毒安裝到計算機后,使得一些不法分子在電子商務的交易過程中利用病毒來進行網絡詐騙與竊取等行為。
其次,網絡病毒的傳播方式產生了變化。通常,網絡病毒會利用U盤或者移動硬盤等存儲設備進行侵襲,計算機用戶在不知情的情況下,將已經攜帶病毒的U盤或者移動硬盤與電腦連接,使得病毒侵入計算機網絡,進行損壞與竊取。
最后,網絡病毒對電子商務交易所造成的負面影響日益增加。當前,人們的生活越來越離不開計算機網絡,人們會把一些重要的數據或信息輸入電腦,如在進行網絡交易時,銀行卡等重要個人信息將會被計算機網絡所記憶。由于病毒的入侵,一些計算機網絡的`用戶的瀏覽器就會被惡意篡改,導致用戶一些重要的數據及個人信息出現丟失或損壞的情況,對電子商務的有效運行有著嚴重的影響。并且,病毒的生存能力較強,破壞性較大,一旦感染上病毒,很難清除,將會為人們帶了巨大的經濟損失。
2 電子商務安全問題所產生的消極后果
在電子商務的具體使用過程中,網絡安全隱患常常使得商業的機密出現外泄的可能,一方面,在具體的交易過程匯總,賣方或者買方之間所進行的交易的詳細內容有可能被惡意第三方所盜取;另一方面,一些機密的文件信息在運用計算機網絡進行傳輸的過程中,有可能會被惡意第三方所篡改或破壞,失去文件的真實性與完整性,使得電子商務的交易過程中會產生較大的經濟損失。
在進行網絡交易的過程中,買賣雙方通過計算機網絡來進行具體的交流,彼此之間毫不了解,彼此之間也未曾有過見面,通過網絡來進行協商、確定與支付。而網絡將可能出現的安全問題,容易使得交易雙方的身份出現被偽造的可能性,導致詐騙行為出現的幾率加大。
3 保障電子商務安全的有效對策
通過開展廣泛的網絡安全的宣傳工作,提高公民的網絡安全的意識。當前,人們在進行網絡交易時,對于自我保護的意識較為薄弱,沒有較強的防范意識,使得受到網絡犯罪侵襲的可能性加大。所以,必須增強安全宣傳的力度,使人們增強對于網絡安全問題的防范意識,深刻認識到網絡威脅所帶來的嚴重后果,自覺地提高防范意識。
運用多種手段兼施的網絡保護技術,來有效促進保障網絡安全技術的創新與發展。當前,保障電子商務安全的技術有虛擬專用網絡與防火墻等,通常人們會使用防火墻來保障網絡的安全。通過建立保障外部網絡與內部網絡之間的安全屏障,來對一些未經授權的用戶或者服務器進行有效抵制。在此過程中,需要相關的研究人員對防火墻的技術不斷進行更新,以保證用戶能夠及時下載安裝,從而保護計算機網絡的安全,盡量減少病毒出現的可能性。一些企業運用虛擬專用網絡與防火墻技術的兼施技術,來增強電子商務的安全性。
4 結語
隨著信息技術的不斷發展于創新,未來將會出現更多的影響電子商務安全的因素。因此,必須不斷加強相關技術水平,以有效解決電子商務的安全問題,保障用戶的利益,防止重要數據的破壞與丟失,保障電子商務行為的有序進行。
電子商務安全論文 篇3
【摘要】電子商務越來越深入我們的商務活動,電子支付系統是電子商務中最重要的環節之一,主要用來解決電子商務中的各交易實體(用戶、商家、銀行等)間資金流和信息流在Internet上即時傳遞及其安全性問題,電子商務安全問題的核心是電子交易的安全性,為了保障電子商務交易安全,人們開發了各種用于加強電子商務安全的協議。當前應用比較廣泛的電子商務安全協議主要有安全套接層協議SSL和安全電子交易協議SET。文中對這兩種主流協議進行了分析和比較。
關鍵詞:電子商務安全協議,電子交易,SSL協議,SET協議
隨著互聯網日益普及,基于Internet的電子商務已經深入到人們生活的方方面面。安全是電子商務的基石,如何保證電子商務交易活動中信息的機密性、真實性、完整性、不可否認性和存取控制等是電子商務發展中迫切需要解決的問題。為了保障電子商務交易安全,人們開發了各種用于加強電子商務安全的協議。這些協議主要有:安全套接層協議SSL、安全電子交易協議SET、超文本傳輸協議SHTTP、3-D secure協議和安全電子郵件協議(PEM、S/MIME)等。這其中應用最為廣泛的協議主要有SSL、SET。
安全電子交易協議(SET)和安全套接層協議(SSL)是兩種重要的通信協議,每一種都提供了通過Internet進行支付的手段。事實上,SET和SSL除了都采用RSA公鑰算法以外,二者在其他技術方面沒有任何相似之處,而RSA在二者中也被用來實現不同的安全目標。
電子商務安全協議
1.安全套接層協議(SSL)
安全套接層協議(Secure Socket Layer,簡稱SSL)是美國網景公司(Netscape)推出的一種安全通信協議,SSL提供了兩臺計算機之間的安全連接,對整個會話進行了加密,從而保證了安全傳輸,其主要設計目標是在Internet環境下提供端到端的`安全連接。它能使客戶/服務器應用之間的通信不被攻擊者。SSL協議建立在可靠的TCP傳輸控制協議之上。高層的應用層協議能透明的建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商以及服務器認證工作。在此之后應用層協議所傳送的數據都會被加密,從而保證通信的私密性。
2.安全電子交易協議(SET)
安全電子交易協議(SecureElectronicTransaction,簡稱SET)是美國Visa和MasterCard兩大信用卡組織聯合于1997年5月31日推出的電子交易行業規范,它提供了消費者、商家和銀行之間的認證,確保交易的保密性、可靠性和不可否認性,保證在開放網絡環境下使用信用卡進行在線購物的安全,其實質是一種應用在Internet上、以信用卡為基礎的電子付款系統規范,目的是為了保證網絡交易的安全。SET本身并不是一個支付系統,而是一個安全協議集,SET規范保證了用戶可以安全地在諸如Internet這樣的開放網絡上應用現有的信用卡支付設施來完成交易。SET較好地解決了信用卡在電子商務交易中的安全問題。SET已獲得IETF(The Internet Engineer-ing Task Force,簡稱IETF)標準的認可。
SSL與SET協議比較分析
SSL和SET是當前在電子商務中應用最為廣泛的安全協議,兩者的差別主要體現在以下幾個方面。
1.工作層次
SSL屬于傳輸層的安全技術規范,不具備電子商務的商務性、協調性和集成性功能;而SET協議位于應用層,它規范了整個商務活動的流程,從持卡人到商家,到支付網關,到認證中心以及信用卡結算中心之間的信息流走向和必須采用的加密、認證都制定了嚴密的標準,從而最大限度地保證了商務性、服務性和集成性。
2.認證機制
早期的SSL協議并沒有提供身份認證機制,雖然在SSL3.0中可以通過數字簽名和數字證書實現瀏覽器和WEB服務器之間的身份認證,但仍不能實現多方認證,而且SSL中只有商家服務器的認證是必須的,客戶端認證則是可選的。SET協議使用數字證書來確認交易涉及的各方(包括商家、持卡人、受卡行和支付網關)的身份,為在線交易提供一個完整的可信賴的環境。SET協議要求所有參與交易活動的各方都必須使用數字證書,較好的解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認證問題。
3.加密機制
SSL是基于傳輸層加密,它為高層提供了特定接口,使得應用方無須了解傳輸層情況;然而由于傳輸層屬于較高層,常用軟件實現,這在很大程度上削弱了加密處理能力,同時,地址信息由低層控制,這種加密無法免于被攻擊者流量分析。SET的加圖2 SET協議的工作原理密過程則不同于SSL,SET中廣泛使用了數字信封等技術,并采用嚴密的系統約束來保證數據傳輸的安全性。
4.完整方面
SET協議將發送的所有報文加密后,將為之產生一個唯一的消息摘要,一旦有人企圖篡改報文中包含的數據,該摘要就會改變,從而被檢測到,這就保證了信息的完整性。SSL協議是使用秘密共享和哈希函數進行MAC計算來提供信息的完整性服務的,它可以確保SSL對話的通信內容在傳遞途中毫無改變地送達目的地。
5.安全程度
在網上交易,安全是關鍵問題。從網絡信息傳輸安全角度看,只有確保信息在網上傳輸時的機密性、可鑒別性及信息完整性才真正安全。SET協議是專為電子商務系統設計的,它位于應用層,采用公鑰機制、信息摘要和認證體系,其中認證中心(CA)就是該體系的重要執行者,認證體系十分完善,能實現多方認證。而SSL中也采用了采用公鑰機制、信息摘要和MAC檢測,可以提供信息保密性、完整性和一定程序的身份鑒別功能,但SSL不能提供完備的防抵賴功能。特別是SSL協議不能實現多方認證,從網上安全結算這一角度來看,顯然SET比SSL針對性更強,更受客戶青睞。
6.運行效率
SET協議非常復雜、龐大、運行速度慢。一個典型的SET交易過程需驗證電子證書9次、驗證數字簽名6次、傳遞證書7次、進行5次簽名、4次對稱加密和4次非對稱加密,整個交易過程非常耗時;而SSL協議則簡單很多,運行效率也比SET協議高。
7.部署成本
SSL協議已被大部分的瀏覽器和WEB服務器內置,無須安裝專門軟件;而SET協議中客戶端要安裝專門的電子錢包軟件,在商家服務器和銀行網絡上也需安裝相應的軟件,部署成本高。
結束語
相對于SSL協議而言,SET協議更為安全,更適合于消費者、商家和銀行三方進行網上交易的國際安全標準。SET協議是專為電子商務系統設計的,它位于應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者賬戶信息對商家來說是保密的。網上銀行采用SET,確保交易各方身份的合法性和交易的不可否認性,使商家只能得到消費者的訂購信息而銀行只能獲得有關支付信息,確保了交易數據的安全、完整和可靠,從而為人們提供了一個快捷、方便、安全的網上購物環境。因而SET是未來電子商務安全技術的發展方向。
參考文獻
[1]何長領.電子商務交易[M].北京:人民郵電出版社,2001.
[2]梁晉,等.電子商務核心技術-安全電子交易協議的理論與設計[M].西安:西安電子科技大學出版社,2000.
[3]李琪.電子商務安全.重慶大學出版社,2004.
[4]李洪心.電子商務安全.東北財經大學出版社,2008,9.
[5]張愛菊.電子商務安全技術.清華大學出版社,2006,12.
[6]楊堅爭.電子商務安全與支付技術.中國人民大學出版社,2006,9.
電子商務安全論文 篇4
摘要:隨著科學技術的發展和時代的日新月異,我們的生活在不知不覺中發生了翻天覆地的變化,就連最基本的購物和消費都在默默變化著。近年來,隨著亞馬遜、阿里巴巴等電子商務如火如荼地闖入大眾的視野,“電子商務”這個在十幾年前聞所未聞的名詞如今成為人們口中常談的對象。在大眾的口中,“電子商務”這個名詞依舊略顯陌生和專業,人們常常用“網購”和“網上支付”來代替“電子商務”,實際上說的是一回事。電子商務的出現,打破了空間的束縛,極大地方便了人們的購物行為,刺激了消費,一定程度上促進了經濟的繁榮和增長。
關鍵詞:電子商務;信息安全技術
一、電子商務發展存在的風險
第三方的電子交易平臺在網絡上對于信息進行儲存、記錄、處理、發布和傳遞,以此來協助一次網絡消費行為的完成。一般情況下,這些信息都具有真實性和保密性,屬于大眾的隱私。但是,現在的網絡環境比較惡劣,有很多網絡陷阱以及刻意挖掘用戶信息的“黑客”,從而導致基本信息出現失真、泄露和刪除的危機,不利于正常電子商務交易的完成。對于電子商務信息大致上可以分為以下幾類:第一,信息的真實性;第二,信息的實時性;第三,信息的安全性。首先,是信息的真實性。電子商務上的基本信息是賣家和買家進行認識對方和分辨商品真實性可靠性的唯一途徑,應該絕對真實。一旦出現虛假信息,則屬于欺騙消費者,是危害消費者權益的不法行為。其次,是信息的實時性。信息的實時性主要是指信息的保質期。因為很多信息只在一段時間內有效,具有時效性,一旦錯過這段關鍵時期,那么該信息則失去自身的價值,變得一文不值。最后,就是信息的安全性,這也是消費者最為關心的問題。電子商務出現的安全性問題主要表現為客戶的信息被刪除、篡改從而失真,同時也表現為用戶的信息被竊取從而達成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務的信息安全技術的'內容
2.1備份技術。相信備份技術對于大眾來說不是很陌生。但是很多人卻錯誤的將備份理解為拷貝,從而片面的看待這個問題。電子商務對于網絡環境有很大的依賴性,網絡環境自身卻存在極大的不穩定性,這就導致電子商務的發展存在不可避免的風險,如果沒有一個數據庫對于基本信息進行存儲,那么一旦出現系統故障或者誤刪的情況則信息永遠消失,這對于商家來說是極其可怕的,因此,電子商務的第三方有一個信息儲存庫,旨在在必要的時刻段時間內將客戶的信息及時恢復。這種恢復不是簡單的、傳統意義上的恢復,而是通過備份介質得以完成的。這樣的話,在系統故障或者其他原因導致信息在短時間內無法正常恢復時,可以借助儲存在備份介質中的信息將信息還原到原來的備份狀態。
2.2認證技術。所謂認證技術其實一個專業術語,道理實際上很簡單,就是我們常說的登錄口令。認證技術的目的主要在于阻止不具有系統授權的用戶進行非法的破壞計算機機密數據,是數據庫系統為減少和避免各種破壞電子商務安全的重要策略。登陸口令是我們正常用戶進行電子商務平臺登錄的方式,是大眾在網絡環境下的身份證。我們每一個用戶在使用某一個電子商務平臺之前都被要求進行注冊,從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨一無二的,是我們進行網上交易的身份認證和識別。因為電子商務平臺往往具有開放性,一旦沒有身份認證后果將不堪設想。人們的信息安全更是沒有任何保障。
2.3訪問控制技術。訪問控制技術也可以理解為訪問等級制度,電子商務的系統會根據用戶的不同等級對于用戶對于系統數據的訪問進行一定的控制。等級較低時,則用戶的訪問權限有限,一些重要的關鍵的信息則被系統禁止訪問,只要當等級較高時才能獲得相關權限,這就保證了一些重要信息不會被竊取。關于用戶的訪問權限也有兩層含義,首先是用戶能夠獲得數據庫中的信息種類和數量,另一層含義則是指用戶對于獲取的數據庫信息進行怎樣的操作。
電子商務的便利性和優點遠遠大于其存在的信息安全技術風險給人們帶來的不便,盡管信息安全技術問題層出不窮,但是大眾們依然親睞和依賴電子商務。但電子商務想要獲得更廣闊的發展空間,虜獲更多人的心,則必須在信息安全技術問題上下一點功夫。其次,對于普通消費者來說,掌握一定的電子商務信息安全知識是十分必要的,它既能幫助我們在需要的時候解決自己原來束手無策的問題,更能讓自身的網購行為變得更加安全,減少甚至避免了很多不必要麻煩的出現,因此,不管你從事任何行業,都需要對于電子商務的信息安全問題進行一定的了解。
電子商務安全論文 篇5
摘要:電子商務不僅改變了消費者的生活方式,同時也使得企業的交貨方式和經營方式發生轉變。但是電子商務與其他新生事物一樣,既帶來了巨大的機遇,也帶來了許多不容忽視的風險,這些風險有待解決。電子商務風險管理成為電子商務發展的重要任務,因此要解決好電子商務的安全風險問題,針對問題的根源,采用一種綜合防范的思路,從多方面去認識,尋找解決方法。
關鍵詞:電子商務 風險管理 解決方法
隨著開放的互聯網絡系統Internet的飛速發展,電子商務的應用和推廣極大地改變了人們工作和生活方式,帶來了無限的商機。然而,電子商務發展所依托的平臺——互聯網絡卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展;此外,電子商務的發展還面臨著嚴峻的內部風險,電子商務企業內部對安全問題的盲目和安全意識的淡薄,高層領導對電子商務的運作和安全管理重視程度不足,使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此,在考察電子商務運行環境、提供電子商務安全解決方案的同時,有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。
電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析,并在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。
1.電子商務的內涵
1.1內涵
電子商務一詞源于英文 Electronic Commerce或 Electronic Business,現已經成為當代社會的潮流,其含義有兩個內容,其一,電子方式,其二,商貿活動,即整個商務過程的電子化、網絡化和數字化,交易雙方可以便捷卻并不面對面地進行各種商貿活動,利用這種快速、低成本的電子通訊方式,它將覆蓋與商務活動有關的方方面面。
針對人們對這個熱詞理解的不同,電子商務有廣義和狹義之分。廣義上說,電子商務是指利用一切電子方式所從事的貿易活動。電子方式指的是電子技術設備、電子技術工具及系統,包括早期的電報、電視、電話、傳真、Email、廣播、電子計算機、電信網絡和當今的電子貨幣、信用卡、網銀盾、信息基礎設施及互聯網等現代通信網絡系統。貿易活動則指的是一系列市場經濟活動,包括信息發布、詢價報價、洽談、簽約、結算支付、商業交易、國內外貿易等等。由于信息技術快速發展和計算機網絡的普及使電子商務得到廣泛地運用,從狹義上講,電子商務則是利用計算機網絡進行的商務活動。
1.2分類
目前,電子商務按交易內容基本分為直接電子商務和間接電子商務兩大類型。直接電子商務是指商家將服務產品和無形商品內容數字化,不需要某種特定物質形式的包裝,直接在網上以電子形式傳送給消費者,通過互聯網或專用網直接實現交易。間接電子商務又稱不完全的電子商務,指在網上進行的交易環節只能是訂貨、支付和部分的售后服務,而商品的配送還需依靠送貨的運輸系統等外部要素,即由專業的服務機構或現代物流配送公司去完成。
2.電子商務面臨的安全風險
2.1互聯網絡的開放化帶來的數據破壞風險
電子商務是以互聯網絡為平臺的貿易新模式,它的一個最大特點是強調參加交易的各方和所合作的伙伴都要通過Internet密切結合起來,共同從事在阿絡環境下的商業電子化應用。在電子商務環境下商務交易必須通過互聯網絡來進行,而互聯網體系使用的是開放式的TCP/IP協議,它以廣播的形式進行傳播。容易受到計算機病毒、黑客的攻擊,商業信息和數據易于搭截偵聽、口令試探和竊取,給企業的數據信息安全帶來極大威脅,如遭破壞或泄密,將會給電子企業、商戶造成巨大的損失。
2.2系統軟件安全漏洞帶來的風險
由于現階段廣泛應用的主流操作系統和數據庫管理系統是從國外引進直接使用的產品。核心技術還是使用引進的版本。這些系統安全性存在系統漏洞等不少危及信息安全的問題。系統軟件安全漏洞帶來的風險主要來自操作系統軟件和數據庫管理系統軟件的安全漏洞。沒有作系統的保護,就不可能有網絡系統的安全,也不可能有應用軟件信息處理的安全性。
2.3來自社會的外來入侵風險
電子商務容易被來自社會上的不法分子通過互聯網絡非法入侵,主要表現形式是黑客和病毒等對電子商務系統的文件和數據的篡改和破壞,是一種社會道德風險。黑客通過闖入他人計算機系統進行破壞,這些人利用電子商務系統和管理上的一些漏洞,進入計算機系統后,破壞或篡改重要數據,盜取機密與資源,控制他人的機器,清除記錄。設置后門,給電子商務系統帶來災難性的后果。而計算機病毒是人為編寫的一組程序,可以攻擊電子商務系統的數據區、文件和內存,以致使計算機的硬件失靈,軟件癱瘓。數據破壞,系統崩潰,給企業和商戶造成無法挽回的巨大損失。
2.4電子商務本身內部監管漏洞帶來的風險
電子商務本身如果缺乏約束機制,責權不明,管理混亂、安全管理制度不健全等是引起電子商務系統安全風險的頭號風險根源。如果沒有嚴格的可操作性的內部管理制度,容易造成當系統出現攻擊行為或受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警,而且,當事故發生后,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對系統的可控性與可審查性。
3.電子商務交易運行的風險
3.1信用風險
傳統商務交易一般使用以紙為介質形式的手寫簽名或證明文件等方式來證明或確認商務的交易,應該說比較容易辨認真偽,操作顯得比較容易。而在基于互聯網絡為交易平臺的電子商務形式下,參與商業交易均在互聯網上進行,雙方并不存在與傳統商業模式的見面、磋商、談判、監證、簽署文件等問題,這就需要通過一定的技術手段相互認證,如數據加密技術、數字簽名、數字證書等技術來保證電子商務交易的安全。在電子商務環境下,由于電子報表、電子文件、電子合同等無紙介質的'使用,無法使用傳統的簽字方式,從而在辨別真偽上存在新的風險,電子商務的成功與否取決于消費者對網上交易的信任程度,電子商務的信任風險實質是由網絡交易的虛擬化造成的,首先是買方信用風險。在網絡中個人可以任意偽造信息,可以偽造假信用卡騙取賣方商品。從而給賣方帶來風險。然后是賣方信用風險,由于信息不對稱的原因消費者不可能全部掌握商家商品信息。賣方商品信息不完全、不準確或商家過分誘導消費者從而誤導消費者購買行為;另外,賣家單方面毀約。不履行交易,也會對買方造成損失。所以電子商務應用過程中遇到的信用風險問題,是值得關注的問題。
3.2法律風險
電子商務在交易過程中存在法律風險,由于電子商務是在網絡間進行的,電子商務交易可以看作是無紙貿易,是一個虛擬環境的交易,當前對這些虛擬交易的法律監管卻并不完善,這些問題使得電子商務認證、交易會有不受法律保護的風險。另外,電子商務貿易還存在知識產權的風險,網絡是個開放的平臺,資源在網絡中的傳播是暢通的。在網絡中資源的共享性使得有知識產權的資源受保護的力度被降低,因此可能帶來電子商務交易的知識產權糾紛等法律的風險問題。
3.3電子商務風險管理
電子商務安全的風險管理(Risk Management)是對電子商務系統的安全風險進行識別、衡量、分析,并在此基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。其本質就是防患于未然:事前加以消減和控制,事后積極響應和處理,為響應和處理所做的準備就是制訂應急計劃。
4.風險管理步驟
了解了電子商務存在的風險之后,需要對這些風險進行管理和控制。具體包括風險識別、風險分析、風險應對和風險監控4個過程。選擇有效的手段,以盡可能降低成本,有計劃地處理風險,以獲得企業安全運作的經濟保障。這就要求企業在日常經營過程中,應對可能發生的風險進行識別,預測各種風險發生后對資源及日常經營造成的消極影響,使企業能夠順利經營。
4.1 風險識別
對電子商務系統的安全而言,風險識別的目標主要是對電子商務系統的網絡環境風險、數據存取風險和網上支付風險進行識別。識別風險的方法有很多,主要有:試驗數據和結果、專家調查法、事件樹分析法。電子商務風險識別最常用的一種方法就是收集各種曾經發生過的電子商務攻擊事件(不僅局限于本企業),經過分析提取出若干特征,將其存儲到“風險”庫,作為識別潛在風險的參考。
4.2風險分析
風險分析的目的是確定每種風險對企業影響的大小,一般是對已經識別出來的電子商務風險進行量化估計。這里量化的概念主要指風險影響指標,風險概率以及風險值。技術安全是電子商務實現的基礎,其重要性不言而喻,因此在該項目規劃、計劃階段就應充分考慮。
4.3 風險應對(風險控制)
根據風險性質和企業對風險的承受能力制訂相應的防范計劃,即風險應對。確定風險的應對策略后,就可編制風險應對計劃。電子商務的技術風險控制主要是針對網絡環境風險、數據存取風險和網上支付風險制訂風險應對策略,從硬件、軟件兩方面加強IT基礎設施建設。
4.4風險監控
制定規劃,實施保護措施,在保護措施實施的每一個階段都要進行監控和跟蹤。風險貫穿于電子商務項目的整個生命周期中,因而風險管理是個動態的、連續的過程。因此制訂了風險防范計劃后,還需要時刻監督風險的發展與變化情況。
5.風險管理規則的制定
5.1評估階段
該階段的主耍任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。
對電子商務安全現狀的評估是制定風險管理規則的基礎。
對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估,以便確定相適應的風險管理規則,從而避免投入成本和要保護的信息和資產的嚴重不匹配。
安全風險識別要求盡可能地發現潛在的安全風險,應收集有關各種威脅、漏洞、開發和對策的信息。
安全風險分析是確定風險,收集信息,對可能造成的損失進行評價以估計風險的級別,以便做出明智的決策,從而采取措施來規避安全風險。
5.2開發和實施階段
該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略,其中涉 及配置管理、修補程序管理、系統監視與審核等等。
在完成對風險補救措施的開發后,即進行安全風險補救措施的測試,在測試過程中,將按照安全風險的控制效果來評估對策的有效性。
5.3運行階段
運行階段的主耍任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程,也是執行安全配置管理的過程。運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個 過程由系統管理、安全管理和網絡管理小組來共同實施。
6.風險管理對策
由于電子商務安全的重要性,所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在于消除潛在的威脅和安全漏洞,從而降低電子商務系統環境所面臨的風險。
6.1縮短電子商務項目周期,增加更多的項目選擇
減輕電子商務風險的一個最簡單的方法就是縮短電子商務項目周期,因為電子商務所面臨的外界環境,如技術環境,競爭環境等變化太快,如果電子商務項目過大,即使你的項目本身成功了,但由于環境的改變,這個成功的電子商務項目未必能給企業帶來原先設想的利益。
6.2自上而下的風險意識
很多的企業認為,電子商務項目是個技術項目,只需要相關的技術部門參與就可以了。有調查顯示,大多數企業在進行電子商務化的過程中,缺乏高級管理層的重視,這也是電子商務項目成功率不高的原因。而對于成功的電子商務企業,往往在進行電子商務項目時,不僅受到企業決策層的高度關注,而且普通的員工也都非常清楚電子商務化的目標,這樣自上而下的對于電子商務知識的了解,也是這些公司成功運作電子商務的原因之一。所以對于將要從事電子商務的企業,不僅要讓全體員工了解電子商務的知識,而且要了解電子商務的風險,要形成一個自上而下的全員參與、全員重視的風險意識。
6.3改變企業內部運作流程
現在仍有很多企業認為電子商務無非就是建一個網站,所以這些企業在從事電子商務時,往往會遭遇失敗。電子商務給企業提供很好的機會改變其內部和外部商業運作流程,如果企業不改變其商業運作流程,而直接進入電子商務,不僅企業對電子商務的投資會失敗而且會影響到整個企業的聲譽。所以在企業加入電子商務行業前,一定要改造自己內部的運作流程,使之適應電子商務的要求。實行電子商務的商戶,在內部管理制度上應健全相應的規章制度,例如:制定制度來規范和約束員工的行為,根據其工作的重要程度,確定該系統的安全等級。制訂相應的機房出入管理制度對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域。對操作規程要根據職責分離和多人負責的原則,各負其責,不能超越自己的管轄范圍;制訂完備的系統維護制度,對系統進行維護時。應采取數據保護措施。如數據備份等。另外制定人員激勵機制也很重要,應建立人員雇用和解聘制度。及時對工作人員進行評價,制定獎懲制度,調動工作人員的工作責任感和積極性。
6.4滾動的戰略計劃
電子商務時代的不確定性和快速變化,使得詳細的戰略經營計劃的作用越來越小。我們現在經常看到的是,電子商務企業有一個明確的五年計劃,其中第一年計劃較詳細,而其他年份則是較粗略的,因為在這些計劃實施的時間到來之前,環境可能已經發生變化了。這說明了確保五年目標具有相關性的滾動計劃的十分必要的,應當定期修改計劃來適應變化了的環境。當然,這種方法的實施也應具體問題具體分析,應當考慮各個企業所面臨的具體環境而有所不同。
6.5降低成本與實現可持續發展
電子商務的發展是大勢所趨,但電子商務在給企業帶來機遇的同時也產生了新的風險。正如在所有的風險管理當中一樣,我們考慮的是未來事件出現的不確定性和可能性;在電子商務中,這種不確定性甚至更大,這使得電子商務風險管理成為一項相當繁重的工作。因此要解決好電子商務的安全風險問題,應該針對問題的根源,采用一種綜合防范的思路,從多方面去認識,尋找解決方法,這對加快我國電子商務的發展有著重要的意義。
6.6加強技術保證,確保電子商務信息的安全
針對電子商務依靠互聯網絡平臺來開展的網絡開放性的特點,特別是要針對互聯網體系使用的是開放式的TCP/IP協議,給企業信息和數據安全帶來的極大威脅的安全隱患。對如何保障企業的信息數據和重大商業機密,是確保開展電子商務的企業的重要技術保障和前提條件,只有高度重視電子商務的信息安全,才能保證其運行安全,這就需要有強大的技術安全保障措施,不但要制定完善的技術保障措施,更要嚴格執行制度,才能確保電子商務信息的安全。例如:我們在企業內部網和互聯網之間要加一道防火墻,防止黑客或計算機病毒的襲擊。保護企業內部網中的機密商業信息數據。另外,利用現有的信息新技術將數字簽名技術應用于電子商務的身份認證,可以防止非法用戶假冒身份,從而保證電子支付的安全,增強電子商務信息的安全保障措施是電子商務順利開展的重要技術保障。
6.6.1加強電子商務網絡安全的開發及運用
目前電子商務的運作涉及信息、資金、商業秘密等安全問題,由于其電子數據具有無形化的特征,而有關認證機制或者網上安全技術均不夠完善,因此有必要對互聯網進行本質上的重新設計,使其保證電子商務活動的正常進行,這涉及到多方面的技術應用,如防木馬、防火墻、加密、認證等。面對電子商務網絡安全威脅,必須采取各種各樣的管理措施,滿足商務交易運行的安全性。
6.6.2建立電子商務的信用保障體系
電子商務交易模式與其他交易模式相比具有更多的風險,然而引起這些風險的原因還在于帶來這些風險的人的失信行為。消除這些風險的,需要一個第三方信用服務認證機構通過技術手段來幫助參與電子商務交易的各方提出解決方案,使風險降至最低。
6.6.3完善電子商務稅收征管機制
首先,出臺相應法律法規,扶持電子商務。我國應出臺相關的法律法規,鼓勵與扶持國內企業利用電子商務,并應堅持稅收中性原則,使企業對市場行為和貿易方式的選擇不受征稅影響。其次,借助計算機網絡,加快稅收征管改革。現在,電子商務發展迅速,交易的無紙化使得稅務機關必須改革以傳統的以紙質憑據作為納稅依據的征管制度,以便稅務機關稽查,做到稅收無紙化,提高效率,從而適應電子商務發展的要求。最后,加強與銀行等中介機構的信息確認,獲取真實可靠的征管信息。稅務機關應同銀行等中介機構合作,通過聯網獲取企業在電子商務平臺中交易的相關信息,對企業的資金流向實施有效監控,防止企業偷逃稅。
6.7加強復合型人才的培養
實現電子商務環境是當今全球經濟一體化、信息化時代的一種發展趨勢,重視復合型人才的培養是電子商務成功與否的決定因素。所謂電子商務的復合型人才是指要求電子商務管理人員既要有計算機知識,還要有管理理論和商務、金融、法律等知識。對電子商務管理人員進行培訓,通過學習現代電子網絡技術,將經濟、金融、法律、網絡有機地結合。對商務交易、金融活動的網絡化、數字化有比較深刻的認識,加深對電子商務環境下的風險認識和防范。從而提高員工適應電子商務的工作能力和創新能力,更好地開展電子商務這一新興的貿易模式。
結論
電子商務的開展以信息技術為基礎,如何解決電子商務中存在的安全問題已成為一個迫在眉睫的課題。電子商務風險是不可能完全消除的,因為它是與電子商務共生的,是電子商務的必然產物,但是,可以將風險限制在影響最小的范圍之內。只有了解風險,才能規避風險。本文從安全風險管理的角度出發,分析了電子商務中可能存在的技術風險,論述了這些風險的控制策略,希望對企業開展電子商務活動起到一定的積極作用電子商務作為一種新的交易方式,已成為我國經貿發展領域的主流力量,并將成為國際經貿合作的主要平臺。然而電子商務所存在的或將出現的風險問題是不可能完全消除的,它是伴隨電子商務的產生而出現的必然產物。由于電子商務風險在不同的應用領域所產生的危害程度各不相同,所以電子商務風險管理的目標是將其存在的風險所造成的影響盡可能控制最小的范圍之內。此外,無論是再好的安全措施也要有應對突發的安全問題的應急方案。最重要的是政府必須盡快制定并完善相關政策,適應高速發展的電子商務進程,確保電子商務交易的安全、透明、高效。
參考文獻
[1]調查報告編委會.1997-2009:中國電子商務十二年調查報告[EB/OL].http://www.b2b.toocle.com,2009-10-12.
[2]賈建華,闞宏.國際貿易理論與實務[M].修訂第四版.北京:首都經濟貿易大學出版社,2004:143-147.
[3]邱新泉.電子商務風險與對策研究.信息技術,155-156
[3] 劉偉江,王勇。電子商務風險及控制策略[J].東北師范大學學報:哲學社會科學版,2005,(11)。
[5] 高新亞,鄒靜.電子商務安全的風險分析和風險管理.武漢理工大學學報. 信息與管理工程版.2005.8
[6] 郭學勤,陳怡.電子商務安全對策.計算機與數字工程.2001.7 [7] 李晶.電子商務安全防范措施.安徽科技.2003.4
[7]彭連剛. 電子商務及其安全問題探析. 長沙航空職業技術學院學報 , 2005, (02)
[8]專業文獻資料http://wenku.baidu.com/view/4b48f37ca26925c52cc5bffd.html
[9]杜宏. 電子商務安全風險研究 內蒙古科技與經濟,2004,(01)
[10]易珊,張學哲.電子商務安全策略分析.科技情報開發與經濟.2004.5
電子商務安全論文 篇6
1電子商務安全威脅與需求
1.1主要安全威脅
電子商務建設主要面臨著賬戶安全威脅、交易安全威脅、基礎網絡威脅、業務連續性威脅。
(1)賬戶安全威脅。賬戶安全是電子商務信息安全的基礎,賬戶安全威脅主要來源于賬戶被盜與垃圾注冊。
(2)交易安全威脅。現階段在電子商務交易過程中發生的安全威脅主要包括惡意評價、交易欺詐、不良信息發布。
(3)基礎網絡威脅。電子商務是構建在互聯網上的交易平臺,同樣面臨著DDoS、端口掃描、密碼暴力破解、網站后門等安全威脅。
(4)業務連續性威脅。在電子商務領域主要面臨著特有的業務高彈性變化威脅,因為業務發展過快或網上促銷活動等原因,電子商務企業會面臨著大量客戶訪問超出現有系統設計容量的局面,而中小企業受限于資金規模導致其無力建設后備系統用于滿足無法預測的業務訪問量,最終影響電子商務網站對外提供服務的連續性。
1.2安全需求
電子商務信息安全建設的需求主要來自于業務連續性、保護賬戶和交易信息安全、電子商務網站自身的安全性。
(1)業務連續性是電子商務業務的第一要素,應采用防DDoS技術、系統彈性擴容技術來保障電子商務對外業務的連續性。
(2)使用公共網絡的電子商務賬戶信息和在線交易中的信息宜受保護,應采用加密技術、黑名單、防釣魚、數字簽名技術來防止欺詐活動,保證賬戶和交易信息安全。
(3)電子商務網站自身的安全性宜受保護,應采取檢測網站漏洞、掛馬、端口安全、網站后門等安全手段,防密碼暴力破解及管理員異地登錄預警等技術來保障系統的安全性。
2電子商務信息安全的關鍵標準研制
針對目前電子商務信息安全技術、管理、業務應用等領域工作存在的界定不清、內容不全、深度不統一等問題,通過技術標準、管理標準進行規范統一變得尤為重要。結合電子商務實際情況,在電子商務信息技術、業務應用、安全管理等方面標準研究的基礎上,主要進行以下標準研究。
2.1電子商務信息安全技術標準
確立電子商務信息安全保障總體架構,為電子商務所涉及的信息安全技術、信息業務應用安全、信息安全管理等方面安全要求的實施提供指導。從需求分析、方案設計、安全評估、運行等方面對信息安全建設實施給予指導。
2.1.1業務應用安全業務應用安全是指在物理安全、網絡安全等安全環境的支持下,實現業務應用的安全目標,主要涉及到服務器端與客戶端相應的安全服務。
(1)服務器端的交易服務、數據服務、Web服務、文件服務等部件及其安全方面的屬性要求。交易服務及其安全屬性要求,為了使電子交易安全可靠,必須建立一個安全、便捷的電子商務應用環境,保證整個電子商務交易活動中信息的安全性、匿名性和完整性,交易信息服務提供了安全、可靠的電子交易在線/離線運算。數據服務及其安全屬性要求,局域網中的一臺或多臺計算機及其數據庫管理系統軟件共同構成了數據庫服務,數據庫服務為客戶應用提供服務。這些服務是查詢、更新、事務管理、索引、高速緩存、查詢優化、安全及多用戶存取控制等。通過傳輸層和應用層安全協議、電子簽名、標識與鑒別、密碼技術、抗抵賴、內容安全、訪問控制和PKI等實現安全防護。Web服務及其安全屬性要求,Web服務主要功能是提供信息傳輸與交換服務。主要解決網絡通信和信息交換過程中的訪問控制、實體鑒別以及傳輸過程中的信息機密性、完整性問題。文件服務及其安全屬性要求,在計算機網絡中,以文件數據共享為目標,需要將多臺計算機共享的文件存放于一臺計算機中。這臺計算機被稱為文件服務器,文件服務器具有分時系統管理的全部功能,能夠對全網統一管理,能夠提供網絡用戶訪問文件、目錄的并發控制和安全保密措施。
(2)客戶端的應用程序模型分類和安全方面的屬性要求。客戶端的應用程序模型大致分為兩種:C/S(客戶端/服務器模型)和B/S(瀏覽器/服務器模型)。客戶端的安全性主要是指應用層次的安全性,主要通過用戶權限、角色分配來實現。對于客戶端應用程序來說,通常需要通過公共密鑰基礎設施(PKI)為應用提供可靠的安全服務。
2.1.2信息安全建設實施電子商務信息安全建設流程可劃分為6個階段:風險評估、需求分析、方案設計、測試、系統安裝調試、正式運行等。
(1)風險評估。運用風險評估方法計算企業整體的資產價值、弱點、威脅發生的幾率及可能造成的影響等。評估時應考慮下面的因素:①信息安全可能造成的商業損失,并把損失的潛在后果也考慮進來。②在極為普遍的危害和采取的相應措施的作用下,故障實際發生的可能性。
(2)需求分析。在項目的計劃階段,項目需求部門應與項目建設部門共同討論信息系統的安全需求,明確重要的安全需求點,安全需求分析應該作為項目需求分析報告的組成部分。①項目需求部門與項目建設部門應對系統進行風險分析,考慮業務處理流程中的技術控制要求、業務系統及其相關在線系統運行過程中的安全控制要求,在滿足相關法律、法規、技術規范和標準等的約束下,確定系統的安全需求。②對系統安全應遵循適度保護的原則,需在滿足以下基本要求的前提下,實施與業務安全等級相符合的'安全機制:通過必要的技術手段建立適當的安全管控機制,保證數據信息在處理、存儲和傳輸過程中的完整性和安全性,防止數據信息被非法使用、篡改和復制。實施必要的數據備份和恢復控制。實施有效的用戶和密碼管理,能對不同級別的用戶進行有限授權,防止非法用戶的侵入和破壞。③系統的安全需求及其分析需經過項目組內部充分討論,項目需求方和項目建設方應對安全需求及其分析的理解達成一致。
(3)方案設計。項目建設部門應根據確定的安全需求設計系統安全技術方案,應滿足以下要求:系統安全技術方案要滿足所有安全需求,并符合公安部、工信部和主管部門的法規和標準要求。系統安全技術方案應至少包括網絡安全設計、操作系統和數據庫安全、應用軟件安全設計等部分。系統安全技術方案涉及采用的安全產品,應符合國家有關法律法規。
(4)測試。①信息系統安全功能測試在信息系統測試階段,應根據信息系統安全功能需求進行測試,確保所有設計的安全功能均能得到落實和實現。在測試報告或相關文檔中應明確說明檢查列表中各項安全功能的落實和實現情況。②測試過程的安全管理在信息系統開發測試過程中,對于來自業務系統的數據要根據相關規定進行變形處理,禁止在開發或測試環境中直接使用生產系統的密鑰和用戶密碼等重要數據。測試環境要依據相關規定進行合適的管理和安全防護,并通過相應的手段確保與生產系統、開發系統隔離。
(5)系統安裝調試。在信息系統安裝部署時,應采取相應措施確保系統安全功能的實現,對操作系統、數據庫、應用系統等軟件的安裝部署和配置應該符合相應的安全規范和標準。信息系統投產前應進行安全評估或審查,通過審查系統設計文檔中的安全功能設計、系統測試文檔中的安全功能測試,確保系統本身安全功能的實現。通過審核系統安裝與配置過程或文檔,確保系統安全配置的落實與實現。
(6)正式運行。系統投入正式運行后,需清除系統中各種臨時數據,進行管理權交接,開發方不得隨意更改安全策略和系統配置。
2.2電子商務平臺安全管理標準
通過總結現有電子商務交易過程中遇到的安全問題,經過提煉和深化,系統規定電子商務交易平臺安全管理類型,如用戶安全管理、交易安全管理、信息安全管理、管理安全規范等的系統規定。
(1)用戶安全管理:主要對電商企業賬戶體系的安全和用戶信息的安全管理進行規范;對用戶注冊、用戶信息的使用、用戶隱私保護、用戶發布信息的管理提供保護措施。
(2)交易安全管理:主要對電商企業在交易過程中遇到的如商品質量問題、物流安全問題、交易欺詐問題、評價體系等進行規定;以保障消費者權益,建立健全的網上交易信譽體系。
(3)信息安全管理:重點對電商企業在信息的發布、傳輸、管理、存儲、控制等進行規定。
(4)管理安全規范:重點對電商企業在安全管理中的人員配備、工作流設置、管理制度上做規定。
電子商務安全論文 篇7
一、密碼設置
密碼是一個人的私有信息,通過設置密碼可以在一定程度上保證信息的安全性。在電子商務中會涉及到的銀行賬號的安全、交易信息的安全,都可以通過設置不同類型的密碼來保護。在設置密碼時可以設置不同的密碼,增加所設密碼的難度,定期修改密碼,以及登陸密碼和手機綁定密碼等多種途徑來保護賬號的安全。有很大一部分人喜歡用同樣的密碼,這是一種不好的習慣。可能有人會說:“如果不設置相同的密碼就記不住。”在這種情況下可以采取多種加密形式來保證賬戶安全。現在為了解決安全問題,不同的機構,包括電子商務公司、各大銀行都推出許多加密設備,我們可以選用。
二、數字簽名
在網絡環境中,網絡安全的最基本要求就是通信信息的真實和不可否認性,它要求通信雙方能互相證實,以防止第三者假冒通信的一方竊取、偽造信息。在網絡中實現通信真實性的方法是數字簽名(DigitalSignature)。我們在教學過程中讓學生能掌握的是正確使用自己的數字簽名,學生走上社會做的不是科學研究,是應用型電子商務,主要包括銀行賬號的安全、交易賬號的安全,可以使用不同的認證方法保證信息安全,數字簽名就是一種很好的方法。例如,作為商業機構可以選擇一家公信度較強、通過國際認證的CA認證中心,CA認證中心會對于你每次交易中數字簽名進行處理,證明交易中的身份,保證簽名的不可否認性,加快交易速度,節省交易時間。
三、不輕易打開網站鏈接
在日常店鋪管理中,交易身份的假冒和網站的假冒時有發生,為了防范這種騙局,我們要做的就是不打開不信任的網站,不打開別人發來的鏈接。現在有一些騙子不僅是把自己偽裝成購物網站去騙買家,從而盜取買家的賬號、密碼。也有一些騙子專門去搜索一些新開的網店去欺騙賣家,一是因為新賣家經驗不足防騙知識薄弱,二是新賣家急于讓店鋪發生買賣,因此在交易時當這些不法分子告訴賣家自己進行的交易出現問題而發送鏈接時,賣家沒有仔細查看確認交易就貿然打開了鏈接,給店鋪造成了損失。
四、防火墻設置
近年來,作為保護計算機系統網絡安全的重要措施,防火墻技術正日趨成熟。對于一些與防火墻相沖突的軟件,需要關閉防火墻,有時網絡安全有問題時,又需要啟用防火墻。我們作為專業電子商務人員,要會對自己的電腦進行防火墻設置,設置時可以通過電腦的“控制面板”找到“防火墻”,打開“防火墻”自行設置。防火墻應該一直都處于打開的狀態。
五、計算機病毒防范
電子商務強調企業與商家通過網絡進行實時交流,安全防護的一點疏漏就可能使計算機病毒擴散到整個企業的網絡,可能感染客戶的計算機。因此應對計算機病毒進行防范。要想安全、可靠地防殺病毒,至少應該進行如下的`工作:選擇好的防殺病毒軟件保護工作站、服務器;定期進行文件備份工作;定期對網絡進行病毒掃描,異常檢測;盡量多用無盤工作站;對遠程工作站的登陸權限實施嚴格控制,盡量少用超級用戶登錄;定期更新病毒庫;對網絡設備的安全隔離。
總之,隨著電子商務的發展,電子商務安全涉及到很多方面的問題,電子商務的不斷發展也會不斷的帶來新的問題,要解決好電子商務中的安全問題,必須要重視安全問題,加強安全意識,做好預防,加強電子商務安全立法和提高各方面人員的素質,也有助于保障電子商務的安全。
電子商務安全論文 篇8
【文章摘要】隨著科技的進步,智能手機的普及,移動電子商務應用越來越普及。
但是隨著移動電子商務的蓬勃發
展,在實際應用中,由于是處于移動通訊的狀態,更加之移動端的手機或平板電腦的特點使移動電子商務具有自身特別的安全風險,同時需要我們針對移動安全風險給出針對性的安全技術。本文結合移動電子商務特點,分析其面臨的風險,并分析應用在移動電子商務中的主要安全技術。
【關鍵詞】移動電子商務;網絡安全
社會發展科技進步,網絡和信息技術極大的改變著人們的生活方式,而人們的生活方式又對信息技術和網絡技術的發展提供了方向和前進的動力,隨著iOS系統和Android系統在移動端的成功,Win8的興起,全世界范圍內的移動端操作系統逐步普及,隨著市場的膨脹和ARM和Intel等芯片商的技術投入,移動端的手機或平板電腦計算能力越來越強大。這為電子商務轉移到移動端提供了堅實的基礎,同時隨著各種針對移動端電子商務安全技術的進步,國內外大型電商(淘寶、亞馬遜、京東)、銀行(中農工建等)、證券(招商證券、中信證券等)、保險(平安、太平洋等)等企業紛紛推出自己的移動電子商務平臺。這些軟件硬件的普及更是助推了移動電子商務的發展,將移動電子商務的發展推入了快車道。但是隨著移動電子商務的蓬勃發展,在實際應用中,由于是處于移動通訊的狀態,更加之移動端的手機或平板電腦的特點使移動電子商務具有自身特別的安全風險,同時需要我們針對移動安全風險給出針對性的安全技術。本文結合移動電子商務特點,分析其面臨的風險,并分析應用在移動電子商務中的主要安全技術。
1移動電子商務的特點
1.1移動性移動電子商務
最大的特點也可以說是最大的優點就是其是移動接入的,讓用戶可以隨時隨地的進行網絡訪問和網絡商務活動。
1.2天然的身份認定和私密性
由于手機或者平板電腦在移動端接入網絡時候使用的是電信服務商提供的SIM卡,每張SIM卡都是全球唯一的,以SIM卡可以識別用戶信息,在SIM2.0中還可以在SIM卡的IC芯片中還可以對用戶信息,銀行帳號、CA證書等進行綁定,更進一步的應用還可以寫入公鑰、算法等加密解密措施。SIM卡可以看作是用戶隨身攜帶的一個網絡鑰匙,同時SIM卡用于手機專人專用的.特性也賦予了用戶的私密性。
1.3多重移動支付手段
移動的電子商務不僅可以以intel網為基礎還可以做到以實體電子錢包的形式出現,在基于NFC進場通訊、短信、二維碼支付等方便快捷的多種支付手段的基礎可以實現日常生活中的微支付、遠程支付、面對面支付等。極大的滿足了人們對于資金的管理和電子商務的便捷性
2移動電子商務的網絡風險特點
移動電子商務是網絡電子商務的延續,其面對的風險除了電子商務中共有的網絡安全風險、病毒木馬等問題外,還主要存在無線通訊網絡風險和SIM卡丟失或被復制的風險。其中無線通訊網絡又可分為以SIM卡為基礎的通訊網絡接入和以WIFI為基礎的無線路由器接入。在無線通訊過程中的信道是開放傳送的,可以被輕松的竊取(2.5GHz,5GHz)。在基于wifi連接的無線路由器連接中,可能存在被監聽或盜取無線路由器管理密碼進而導致數據加密被盜取等風險。
同時SIM卡雖然能夠作為身份認證存在,但是存在著隨手機被盜、被復制的風險。在基于SIM卡被盜或被復制后可能存在身份信息被冒用,銀行賬號被盜用等問題。
3移動電子商務的安全技術
3.1生物識別技術
隨著移動端手機、平板電腦的硬件發展和軟件進步,有些手機或平板已經實現了生物識別,如iphone5S/C基于攝像頭的指紋識別技術、微軟的基于攝像頭的人臉識別技術、以及常用的手勢加密等方式以最簡單快捷的形式完成身份識別。在移動端計算能力不斷提升、攝像頭的普及的前提下,已經有很多iOS和Android的應用軟件能夠在不增加硬件設施的情況下實現指紋識別,這類技術的使用能夠極大的提高移動設備的私密性和抗破解能力。做到了即使丟失也很難被破解。
3.2WEP2協議
在RSA公鑰加密技術上發展而來的有線等效保密(WEP,WiredEquivalentPrivacy)是第一代的移動安全技術,而后針對WEP的缺陷發明了WPA技術,在WPA技術的基礎上進一步優化算法做出了WPA2技術,目前WPA2技術是無線網絡加密的最高等級,用計數器模式密碼塊鏈消息完整碼協議(CCMP、CounterCBC-MACProtocol)算法和高級加密標準(AdvancedEncryptionStandard,AES)算法。但是近年來由日本學者破解了該套算法的較簡單密碼,不過隨著硬件技術的提升,完全可以采用設置更復雜密碼加關閉WPS/QSS的方式提高安全性,至少在目前來說是無限無線的最高安全技術
3.3WPKI管理系統
無線公開密鑰體系WPK(IwirelessPublicKeyInfrastructure)是PK(IPublicKeyInfrastructure)技術的升級,是PKI技術的無線版,針對無線連接的特點重新設置了算法。PKI系統即公鑰體系,是利用非對稱加密理論提供的公鑰管理系統共,是一種信息安全服務的基礎第三方機構。
具體來說是集中管理和認證交易雙方的公鑰,與交易雙方取得聯系后,交換雙方的公鑰系統,然后交易雙方再以用公鑰對信息加密,再以自己的私鑰解密對方發來的信息。
WPKI是PKI的無線版,針對PKI系統進行了優化,最大的進步是采用橢圓曲線加密(ECC,EllipticCurvesCryptography)和壓縮的X.509數字證書,這種改進非常重要,因為移動端設備的計算能力參差不齊,總體來看比計算機的運算能力差很多。PKI系統用的RSA算法計算量很大,而WPKI的ECC技術在同等密碼強度下,密碼長度要比前者小9倍,這樣移動端的計算解密計算量會小很多,能夠在保證安全性的同時大幅度降低計算時間。
3.4CA認證
CA系統是結合WPKI系統使用的第三方證書管理系統,CA總體來說是一種公鑰及CA簽名的管理機構,為交易的雙方提供證書認證,這種證書中含有交易雙方的基本資料、加密的數字簽名、公鑰信息以及CA自身的數字簽名。為交易的雙方提供身份驗證同時賦予移動電子商務交易的不可否認性。
【參考文獻】
[1].舒虹,移動電子商務安全問題及其應對策略.貴陽學院學報(自然科學版),2009(04).
[2].韓景靈,移動電子商務安全問題探析.電腦知識與技術,2010(01).
電子商務安全論文 篇9
1影響電子商務交易的網絡信息安全要素
通過對影響電子商務交易的網絡信息安全要素進行分析和研究,能夠對電子商務的網絡信息安全問題進行有效解決和保障。下文對網絡信息安全的幾方面要素進行分析。
1.1電子商務交易系統的可靠性
確保電子商務系統的可靠性主要是為了通過一定的控制及預防措施對其系統安全性進行保證,以防出現計算機癱瘓、硬件故障、軟件失效及信息傳輸錯誤等現象的發生。電子商務系統的可靠性及安全性對其傳輸、存儲的信息數據有著十分重要的保證作用,同時對系統的完整性也能夠起到監測作用,利用網絡安全技術能夠有效提高電子商務系統的可靠性。
1.2電子商務交易中的信息真實性
在電子商務交易過程中,交易雙方的身份信息安全性及真實性必須得到保證,即交易雙方必須是實際存在的。由于電子商務交易模式的特殊性,使得交易雙方能夠不同時出現在同地點就能夠通過網絡進行交易,因此在交易前必須先確定雙方建立起信任的關系,并對身份可靠性進行確認。在電子商務交易過程中供應商在履行約定后是否能準時收到貨款,而采購方在交付貨款后收到的貨物質量等問題是否與約定的內容相符,這兩方面的問題對電子商務交易中的信息真實性提出了很高的要求。
1.3電子商務交易中的數據安全性
在電子商務交易過程中所傳輸的數據信息,其安全性必須得到保證。信息若被泄露給未授權方會直接導致經濟等方面的損失。電子商務這種新型的交易方式,其交易信息能夠直接反映出個人、公司或機構等的商業機密。因此,保證傳輸數據不被非法竊取是其交易過程中的關鍵問題之一。
1.4電子商務交易中信息的完整性
在交易過程中通過網絡產生的數據信息完成性須得到保證,并且不能被隨意篡改。相較于傳統的交易方式,電子商務的交易過程具有較大的簡便性,相對簡化的交易程序對人為干擾因素進行了有效避免。但是,在其交易信息的傳輸過程中常常存在數據丟失、交易方欺詐行為等現象,導致最終交易雙方確認的信息不一致。因此,保證資料信息的完整性作為電子商務交易的基礎必須進行提高。
1.5電子商務交易的不可否認性
相較于傳統交易方式通過實際簽字或蓋章的形式對交易信息進行確認,在電子商務交易過程中,交易雙方需要以一種特定的形式對信息進行確認,并且承認信息的發送或者接受,不能隨意抵賴。這就要求電子商務交易中對交易雙方的信息交換通過利用無法復制、具有特點的.信息對交易進行確認和保證。
2網絡信息安全對電子商務交易產生影響的主要問題
隨著計算機信息技術的廣泛使用,電子商務通過對其技術進行應用使得自身發展得到促進,同時其便捷性得到了人們的高度認可。電子商務的未來發展空間十分可觀。同時,其交易信息的安全性引起了人們的重視。在網絡信息安全技術的基礎上,電子商務通過利用互聯網信息的開放性特點,實現了不同地域的線上交易形式及其他商業活動的交易全部過程。電子商務這一新型交易模式成為了新時期全球的經濟熱點。由于其交易過程的開放性特征,以及其交易的全球性、共享性及發展動態性的特點,使得電子商務發展中的安全問題受到了社會各界的關注,同時對其自身發展也有一定的制約性。因此,對網絡信息安全對電子商務交易產生影響的主要問題進行研究十分必要。
2.1電子商務系統在運行過程中其網絡信息常常會遭到外界的攻擊,其中有服務性攻擊與非服務性攻擊兩種
非服務性攻擊是指指攻擊者通過利用各種非法手段對網絡的路由器等通信設名進行篡改,導致網絡通信設備無法正常使用或網絡無法正常工作;服務性攻擊即攻擊者通過利用服務器提供某類服務從而使網絡無法運行。拒絕服務是最典型的攻擊行為,通過使電子商務系統的網絡服務器充斥大量待回復的消息致使系統負荷超載、網絡癱瘓。
2.2計算機軟件、硬件的各方面情況對電子商務交易中的網絡信息系統會直接產生影響
計算機硬件主要有交換機、服務器及客戶端等;計算機軟件主要包括應用軟件、網絡操作系統及數據庫系統等。軟件漏洞是其網絡信息系統中最為典型的問題之一,緩沖區溢出現象時常發生并且會造成很嚴重的影響,使得系統程序運行失敗、計算機死機及系統重啟等。因此,必須通過有效措施對計算機網絡的硬件及軟件工作情況進行保證,以確保電子商務系統的正常操作。
2.3在電子商務交易中對信息的存儲和傳輸安全性要進行有效保證
信息的存儲安全性即對聯網狀態中的計算機存儲的信息安全進行保證,以實現未經授權的網絡用戶無法獲得存儲信息。未授權用戶通常會對用戶密碼進行猜測或者竊取,通過各種手段繞過網絡系統的安全認證,并對未授權信息進行非法修改、查看或者刪除;信息的傳輸安全性即對網絡傳輸中的信息數據的安全性進行保證,使其免遭攻擊或者泄露。
2.4電子商務的網絡系統有時也會受到內部的授權用戶的破壞
部分授權的合法用戶在運行電子商務網絡系統時,警惕性較低,將系統的安全密碼等機密信息無意泄露出去,從而導致安全性降低或者網絡受到攻擊。由于系統內部授權用戶自身的專業計算機知識缺乏,錯刪系統文件等行為都會直接對電子商務網絡信息系統的安全性造成破壞。
3提高電子商務中網絡信息安全性的對策
在電子商務交易平臺中,網絡信息的安全問題會出現各種需要解決的情況,為了保證電子商務交易能夠順利進行,對其網絡信息安全必須采取相應措施進行保證,當前主要有以下幾種解決對策:
3.1防火墻
防火墻的由來是中世紀的城堡防御技術,想要進入城堡的人必須通過吊橋并且接受士兵的檢查。從而引申出網絡防火墻技術的概念,即電子商務系統需要以一定的防護措施對用戶的授權等進行把關。
3.2黑
隨著科學技術水平的提升,很多電腦愛好者的計算機水平也逐漸提高。目前已出現部分計算機水平較高的設法繞過防火墻技術的控制,對電子商務網路系統進行干擾和入侵。因此,應利用相關入侵檢測技術即時地對外界產生的入侵或攻擊進行主動防御,以彌補防火墻技術的漏洞。通過在應用中采取監控措施、在電腦主機上進行監控措施及對網絡信息系統進行監控等辦法能夠有效抵御外界攻擊。
3.3病毒防御軟件
網絡病毒的數量及多樣性對計算機系統及信息等多方面都造成了嚴重的影響。網絡病毒對電子商務系統的運行也造成了惡劣影響。為保證電子商務網絡信息系統的安全運行應利用網絡病毒防御軟件進行保護,并保證交易信息的安全可靠性及速度。
3.4加密和秘鑰
為保證電子商務信息的安全性,應通過使用加密算法對其進行加密,將信息含義隱藏起來,以防外界入侵者的攻擊行為。同時利用密鑰管理技術作為加密信息的解密手段,只有授權合法的使用者能夠操作。
3.5數字信封
在公共網絡上使用傳統的信息加密技術及密鑰管理技術進行信息傳輸十分容易遭到外界的攻擊,可以通過數字信封技術來解決這一問題,能夠對信息在傳輸過程中的安全性進行保證。同時,為保證電子商務交易中的交易雙方能有有效辨識身份信息,通過數字簽名技術能夠實現這一目的,并且對交易信息的可靠性、安全性進行保障,最大程度地提高電子商務交易的效率及質量。
4通過建立電子商務安全機制保證其交易過程
信息及結算信息。同時商務主機需要向相關交易認證機構對客戶的訂單信息進行確認和反饋。因此,保證信息的安全性及完整性十分重要,以避免信息在傳輸的中途被篡改或者竊取,這對交易雙方來說極為重要。確保交易信息的完整性、有效性需要考慮的因素有很多,例如安全管理問題、物理安全問題、介質安全等各種問題,同時在技術上還需保證高要求。應采取相應措施對電子商務系統的訪問權限進行設置并建立安全防務機制。采取驗證身份信息等手段以杜絕信息竊取等危險的發生。通過對數據信息文件進行加密并提升防護安全的級別也可以對信息進行有效保護。在保障信息完整性時即通過建立安全機制確保數據信息不會被篡改或者盜取。安全機制包括訪問限制機制、信息完整性機制及交換鑒別機制等。
4.1無權限訪問控制機制
訪問控制指的是根據已確定好的過濾規則來判定決定訪問者是否擁有對于服務器的訪問權限。訪問控制可確保未無授權權限的訪問者或以未經授權的方式對數據、服務器以及通信系統等資源進行非法的修改、破壞與運行惡意代碼。
4.2數據單元的完整性機制
數據的完整性指的是數據單元的完整性與其序列的完整性。為確保數據的完整性,通常使用如下方式:發送者會在某個數據單元中加上一個經過加密的類似分組校驗、密碼校驗函數等數據自身函數的標記。接收者擁有對應的加密標記,在受到數據后可將對應的加密標記跟接收數據中的標記進行比對,便可以保證數據在傳輸時的完整性。數據單元的序列完整性指的是確定數據的時間標記的正確性與數據的編號連續性,這樣可確保無權限者不會對數據進行創建、刪除、修改等非法操作。如果發生這類對數據的非法修改等惡意操作,會對經濟產生巨大的沖擊。
4.3信息交換鑒別機制
交換鑒別指的是通過進行信息交換的方法來確保實體身份有效合法的機制。進行信息交換鑒別時,通常用到的技術有以下幾種:①口令:發送方設置口令,然后由接收方進行校驗。②數據加密:對將要進行交換的數據進行加密處理,只有擁有權限的用戶方可進行解密,從而得到正確的明文數據。通常實際中,數據加密往往與以下兩種技術混合使用:雙方、三方“握手”或是時間標記。③經公證機構認可的數字簽名:數字簽名指的是通過實體的法律所有權與生理特征進行實體身份的鑒別,實際中一般使用指紋識別與身份信息卡等。
4.4隨機數據發送機制
隨機數據發送指的是保密裝置會網絡中無信息傳輸的任務時,無目的性的發出隨機的數據序列。這樣可以迷惑非法的監聽者,使其無法得知監聽到的數據序列中是否存在有用信息。此種方式一般用來阻止非法的監聽者在傳輸時對數據序列進行監聽、流量流向分析等。
4.5路由器選擇機制
實際中的大型網絡中往往從源節點到目標節點之間會存在很多線路,這其中就存在各條線路安全與否的問題。路由器選擇機制可以為發送方提供選擇安全路由的選項,為數據的安全提供保障。
5結束語
電子商務是新時期被社會廣泛使用的交易模式,同時其作為計算機信息技術應用的熱點具有極大的經濟價值。電子商務與所有新生事物一樣,在其發展革新的過程中會不斷遇到各類需要解決的問題。網絡信息安全問題作為其提高交易質量和效率的重要方面之一,對其未來發展有著重要作用。本文從網絡信息影響電子商務交易的安全要素著手,并對網絡信息安全性對電子商務交易影響的現狀的進行分析,同時提出相應的解決策略,以期為電子商務的發展提供可借鑒的價值和意義。
電子商務安全論文 篇10
【摘要】在21世紀,電子商務作為一種全新的商務模式,發展速度很快,隨之而來的安全問題也越來越突出。安全問題始終是電子商務的核心和關鍵問題,包括網絡本身的安全和網上交易中的安。本文將主要探討交易安全常見問題及對策。
【關鍵詞】電子商務;交易安全;對策
電子商務的核心“支付方式”隨著計算機技術在金融領域的應用不斷的演變,于是基于互聯網的網上支付出現了,電子商務的網上支付相關的交易安全問題也就越來越受到人們的重視。
一、電子商務交易安全概念
電子商務交易安全是緊緊圍繞傳統商務在互聯網絡上應用時產生的各種非網絡原因的安全問題,在計算機網絡安全的基礎上,如何保障電子商務交易的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網上交易日益成為新的商務模式,基于網絡資源的電子商務交易已普遍被大眾接受,人們在享受網上交易帶來的便捷的同時,交易的安全性也備受關注,網絡所固有的開放性與資源共享性導致網上交易的安全性受到嚴重威脅。所以在電子商務交易過程中,保證交易數據的安全是電子商務系統的關鍵。
二、商務交易安全常見問題
1.冒充身份:攻擊者通過非法手段盜用合法身份,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.竊取信息:攻擊者在網絡的傳輸信道上,通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。
3.篡改信息:攻擊者對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注入偽造消息等,從而使信息失去真實性和完整性。
4.信用威脅:交易者否認參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款,賣方沒有把商品發送到客戶手――使客戶蒙受損失。
5.電腦病毒:不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。
三、商務交易中安全問題的解決對策
由于互聯網上存在的種種欺詐,所以用戶在可能的情況下,最好對網上兜售商品的網址進行核查,以摸清商販們提供的地址和電話是否屬實,用這種方式來防止各種網上欺詐行為。而對于冒名頂替和抵賴,目前主要有以下幾種方式來解決。
(一)數字認證
數字認證證書它是以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的安全性、完整性。隨著現代網絡技術的發展,基礎設施的改善,多媒體技術的進一步普及,數字認證方法正被越來越多地用于網絡信息的安全傳輸中。在發送文件時,或在交易信息處理的過程中,通過把影像、聲音等各種證明發送者身份的數據傳送給接收端,可大大加強信息的可靠性,這包括電子數字簽名、電子信封、電子證書、以數字方式簽署和電子付款表格等,這樣接收方能確認發送者的真實身份和確保交易信息不被篡改。使用了數字證書,即使您發送的信息在網上被他人截獲,甚至您丟失了個人的賬戶、密碼等信息,仍可以保證您的賬戶、資金安全。簡單來說就是保障你的在網上交易的安全。
(二)數據加密
數據加密又稱密碼學,它是一門歷史悠久的技術,指通過加密算法和加密密鑰將明文轉變為密文,而解密則是通過解密算法和解密密鑰將密文恢復為明文。數據加密技術是保證電子商務安全運作的一種重要方法。可把某些重要信息從一個可理解的明文形式變換成一種錯亂的、不可理解的密文形式(加密),經過線路傳送,到達目的端后用戶再將密文還原成明文(解密)。由于信息是以密文方式進行傳送的,不知道解密方法的人將無法得到信息的真實內容,從而保證了數據傳送過程中的安全性。數據加密目前仍是計算機系統對信息進行保護的一種最可靠的辦法。
(三)安全電子交易協議
為了實現更加完善的即時電子支付,SET協議應運而生。SET協議(Secure Electronic Transaction),被稱之為安全電子交易協議,是由MasterCard和Visa聯合Netscape,Microsoft等公司,于1997年6月1日推出的一種新的電子支付模型。SET協議是B2C上基于信用卡支付模式而設計的,它保證了開放網絡上使用信用卡進行在線購物的安全。SET規范的出現為電子商務提供了很強的安全保護,它實現了信息的集成、全部金融數據的證實、敏感數據的加密等工作。SET主要是為了解決用戶,商家,銀行之間通過信用卡的交易而設計的,它具有的保證交易數據的完整性,交易的.不可抵賴性等種種優點,因此它成為目前公認的信用卡網上交易的國際標準。
(四)CA(證書授權)
在電子商務系統中,所有實體的證書都是由證書授權中心即CA認證中心分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA又稱認證權威、認證中心、證書授予機構,是承擔網上認證服務,能簽發數字證書并能確認用戶身份的受大家信任的第三方機構。CA通常是企業性的服務機構,其主要任務是受理數字證書的申請、簽發及對數字證書進行管理。CA機構應包括兩大部門:一是審核授權部門,它負責對證書申請者進行資格審查,決定是否同意給該申請者發放證書,并承擔因審核錯誤引起的一切后果,另一個是證書操作部門,負責為已授權的申請者制作、發放和管理證書,并承擔因操作運營所產生的一切后果,包括失密和為沒有獲得授權者發放證書等,它即可以由審核授權部門自己擔任,也可委托給第三方擔任。
四、結束語
總而言之,電子商務是讓交易更簡單,更快捷,更安全的商務要求,并在計算機互聯網上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統應該具備以下特點:強大的加密保證;使用者和數據的識別和鑒別;存儲和加密數據的保密;連網交易和支付的可靠;方便的密鑰管理;數據的完整、防止抵賴。當然,除了交易安全外,電子商務對計算機網絡安全同樣重要,因此電子商務安全應作為安全工程,需要雙重安全保障。
電子商務安全論文 篇11
一、電子商務網絡中存在的安全隱患
(一)盜取、篡改信息。電子商務系統的三級架構即電子商務是交易雙方與后臺數據存儲及事務處理服務器的相互關系。由于沒有進行加密保護,一切數據信息在網絡上都容易遭到第三方入侵者的截取。更為嚴重的是,一些網絡不法分子會盜取信息內容或篡改信息數據以達到個人目的。
(二)假冒和惡意破壞。由于可以分析傳輸數據格式篡改信息,攻擊者可以冒充合法用戶發送假冒信息而不被遠端用戶察覺。此外,攻擊者還可以接入網絡進行信息篡改,甚至潛入專業的內部網絡,給網絡用戶帶來極大危害。
二、電子商務交易與計算機網絡安全技術探討
物聯網與電子商務的密切聯系意味著為了保證電子商務交易的安全性,計算機網絡安全技術必須適應更高挑戰。未來計算機網絡安全技術涉及到計算機網絡中的各個層次,防護重點主要圍繞電子商務安全的防護技術,如:身份認證,訪問控制、數據安全、通信安全等。
(一)入網訪問控制技術。訪問控制主要是防止網絡資源不被非法利用和訪問,是保護網絡安全的主要戰略之一。入網訪問控制是保證網絡安全的第一層控制,它通過用戶認證和密碼輸入來對網絡用戶進行過濾,控制用戶對網絡資源使用的權利與時間等。對用戶的入網訪問控制主要可以從三個方面出發,分別是用戶名識別與驗證、口令卡與驗證、用戶帳號驗證。這三方面齊全的情況下,用戶才能進入所保護網絡。
(二)防火墻技術。防火墻技術上目前使用的主要是網絡安全設備。它通過過濾、狀態檢查、代理服務等方式達到安全控制的效果。防火墻隔離技術的.高低決定電子商務安全交易與否。目前互聯網中使用的防火墻產品主要分為兩大類,分別基于代理服務方式和狀態檢測方式。它采用專業的操作系統,能較大程度地保護操作系統不被不法分子利用和攻擊。但防火墻也存在固有缺點:一是防火墻只能在每臺主機上安裝防病毒的監控軟件,但不能有效防止病毒軟件或文件的傳輸。二是防火墻不能對一些不經過防火墻的攻擊進行防范。比如:在允許受保護的內部網外部撥號中,可以實現用戶與Internet的直接連接,繞過防火墻監控,造成了潛在的網絡安全問題。因此,應該保證內外部網絡之間通道的唯一性。三是防火墻不能防止數據驅動式攻擊。有些數據表面上看沒有病毒,但一經復制到主機上并對主機發起數據驅動攻擊。因此對來歷不明的數據信息要先進行殺毒或程序認證,防止潛在病毒的變異攻擊。
(三)數據加密技術。防火墻技術對電子商務安全性保障只能起到一種被動防護作用,難以對一些不安全因素進行有效防護。因此,為了保障電子商務的交易安全,需要運用到數據加密技術。數據加密技術作為電子商務中普遍采用的安全措施能彌補防火墻的不足之處。對于數字加密技術的運用,主要是貿易方根據需要用于信息交換的環節之中。目前的加密技術可分為兩大類,即專用密鑰加密與公開密鑰加密。現在許多企業運用到的PKI技術中,密鑰被分解為了公開密鑰與專用密鑰一組,對公開密鑰實現非保密式的公開,對專用密鑰進行加密保存,只有貿易雙方才能掌握密鑰信息。貿易雙方在貿易中利用數字加密技術實現信息交換的過程是:貿易方生產一對密鑰,將其中一把作為公開密鑰發布,貿易方乙通過公開密鑰對自身機密信息進行加密后發送給貿易方甲,貿易方甲再用自己的專用密鑰進行信息加密。交易雙方只能用自己的專用密鑰對公開密鑰加密的信息進行解密。
(四)電子簽名技術。電子簽名技術在信息安全上主要運用于身份認證、匿名性、數據完整性等方面。電子簽名技術是對公開密鑰加密技術和數字摘要技術的聯合應用。電子簽名技術的工作原理為信息發送方在文本中生產一個128Bit的報文摘要,并用專用密鑰進行加密,形成發送方的電子簽名。這個電子簽名將附加在信息內容中一起發送到接收方,接收方運用對方的公開密鑰進行電子簽名的解密。
(五)目錄控制技術。用戶可以通過設置目錄一級指定的權限來控制網絡用戶對所有文件和子目錄的的瀏覽權限。對目錄和文件訪問權限的控制一般可以通過八種途徑實現,分別是:讀、寫權限,系統管理員權限,創建、修改、刪除權限,文件查找權限,訪問控制權限。
(六)屬性安全控制技術。屬性安全控制技術是在權限安全技術的基礎上對電子商務交易的進一步安全保障。對交易中的雙方的任何網絡資源都應預先標識出一組安全屬性,用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對網絡資源的訪問能力。
三、結語
綜上所述,電子商務是一種基于因特網的新型商業模式。計算機技術與電子商務的關系密不可分,兩者相互聯系,相輔相成。電子商務交易的實現以互聯網技術為前提,其發展也將帶動計算機技術的廣泛運用。同樣,計算機安全技術為電子商務的進行提供安全保障,計算機技術的發展和普及也將推動電子商務的蓬勃發展。但計算機網絡中存在的網絡安全問題將使電子商務交易處于危險境地。對計算機網絡中存在的安全漏洞進行分析和探討,針對電子商務網絡中存在的安全隱患進行技術更新,對于電子商務的交易安全性具有十分重要的現實意義。目前,電子商務網絡中存在的安全隱患主要是盜取、篡改信息以及假冒和惡意破壞。對這些安全隱患的解決途徑可從如下方面得到解決:入網訪問控制技術,防火墻技術,數據加密技術,電子簽名技術,目錄控制技術以及屬性安全控制技術。
電子商務安全論文 篇12
一、煤炭安全設備電子商務的概念
隨著當前信息技術的飛速發展,世界經濟正經歷著一場深刻的“革命”,這場新革命巨大地改變了經濟格局,創造了全新的“網絡經濟”,電子商務就在此背景下應時而生。電子商務意在通過網絡完成核心業務,減少周轉時間,以有限的資源取得更大的收益,從而達到銷售產品的目的。煤炭安全設備電子商務為其行業發展提供了嶄新的商業環境,同時也為改進煤炭安全設備傳統銷售模式存在的問題提供了新的途徑。
二、電子商務對于煤炭安全設備銷售的重要意義
電子商務能夠促進我國煤炭安全設備銷售行業的結構調整。隨著我國當前市場越來越透明化的發展趨勢,對市場發展的公平性也有了全新的標準和要求,有利于促進煤炭安全設備銷售市場的重新整合;利用電子商務平臺進行煤炭安全設備交易的企業,可以大幅度降低煤炭安全設備銷售方與購貨方的運作成本,簡化銷售流程,節省預訂時間,拓寬銷售途徑,形成持續發展、新型高效的管理方式;全新的客服方式能夠更快速、更直接、更高效地提供服務,有利于企業繼續開發新的市場,獲得更多的利益。總之,電子商務為我國煤炭安全設備銷售行業邁向現代化服務型市場奠定了根基。
三、我國安全設備銷售行業發展現狀
煤礦安全設備是指保障煤礦安全生產的設備,可以分為煤礦安全避險系統、煤礦安全檢測設備、煤礦安全防治設備,也可以分為煤礦安全監測設備和煤礦安全救生設備兩大類。煤礦安全設備主要包括監測、救生設備,前者有瓦斯監測、頂板監測等;后者有救生艙、避難硐室等[1]。煤礦安全設備服務于煤炭行業,發展狀況與煤炭行業密切相關。科技進步社會繁榮發展影響能源需求結構,加之人們對環境質量的要求越來越高,進而影響煤炭的銷售量,最終影響對安全設備的需求。短期來看隨著國家財政、貨幣政策持續發力,經濟有望迎來企穩,煤炭市場行情的好轉也將帶動設備訂單的執行;中長期來看,煤炭在相當長一段時間內仍將占據我國一次能源的主要地位,在煤炭行業平穩小幅增長的背景下,行業整合企業兼并重組,國家近年來先后出臺了一系列加強煤礦安全生產及危害防治的政策制度,其中有較多強制措施,這方面的需求也會進一步增長,也有利于煤礦安全設備的發展,煤礦生產企業對安全生產設備的投入有望進一步加強,行業發展前景向好。中長期來看,低谷期的煤炭行業兼并重組增多,大型企業相比中小企業更加重視安全生產,其相應的對安全設備的投入也將會進一步增加;國家近年來也先后頒布了一系列加強煤礦安全生產和危害防治的政策、制度、強制措施等,對安全設備的需求也會進一步增長,也有助于煤礦安全設備的發展。綜上,我國對煤炭安全生產有著中長期目標,到2020年全國安全狀況實現根本性好轉,煤礦塵肺病患病率、百萬噸死亡率、萬元產值事故損失率等指標達到或接近世界中等發達國家水平。要實現這一目標,必須依靠科技進步,更需要長期開展煤礦安全技術研究與產業化工作,同時煤礦安全設備的投資與更新換代的需求也必不可少,未來我國煤礦安全設備需求將進一步增長。
四、電子商務在煤炭安全設備銷售應用中存在的問題
電子商務作為一項全新的銷售模式,在煤炭安全設備銷售工作中會受到許多因素的影響。
1.傳統的煤炭安全設備銷售觀念難以轉變。近年來,電子商務作為一種先進的商務模式,隨著淘寶、京東網等眾多購物網站的發展逐漸改變了人們的銷售觀點,令眾多人都積極應用電子商務的銷售形式,但是這種網站交易通常局限在中小型的交易。煤炭安全設備交易是大宗交易,數量大,涉及到的金額也通常比較多,因此導致我國很大一部分的煤炭安全設備企業并不太相信這種網上交易新模式,依然熱衷于選用傳統的人員銷售模式,傳統的煤炭安全設備銷售觀念根深蒂固。正是因為如此,電子商務在煤炭安全設備銷售領域的應用特別困難,制約了我國煤炭安全設備銷售的現代化發展歷程,降低了市場競爭力和滲透力。
2.我國的電子商務水平存在隱患。目前煤炭安全設備銷售企業利用電子商務的同時也伴隨著普遍存在技術問題如網絡不穩定性和安全性等問題[2]。電子商務的運營依靠網絡來實現,因此就會受到網絡的限制容易受到駭客攻擊、計算機病毒攻擊等,觸及到資金安全、貨物安全、信息安全和商業機密等很多方面的安全性問題,傳統所掌握的網絡安全技術水平很顯然并不能滿足完整的現代電子商務發展要求。同時煤炭安全設備銷售企業的電子商務大部分都是大宗物品的交易,當前,我國大宗物品的電子交易方面缺乏有效監管,規范程度不高,其經營規模與風險承擔能力顯然不相當,缺乏有成效的風險管理機制體制。一旦發生網絡技術問題,帶來的損失會極其嚴重,甚至難以挽回。網絡的安全建設已經成為煤炭安全設備銷售行業電子商務過程中重要的一環。商務活動中常常會存在一些糾紛,通過網絡電子平臺進行交易又具有其特殊性。雖然目前我國頒布了一些與國際互聯網相關的網絡安全法規,但有關電子商務的.專門立法還是空白,對電子商務中涉及的電子簽名、電子合同等相關信息的合法性欠缺必要的法律詮釋,就會引起電子商務的可靠性不高問題,在一定程度上制約了電子商務在煤炭安全設備銷售領域的應用與推廣。
3.煤炭安全設備銷售企業組織結構不合理。直線職能制為煤炭安全設備銷售企業的主要組織結構。通常煤炭安全設備銷售企業規模較大、業務種類眾多,但很大部分是以直線單元直接經營的方式管理,并不能適應電子商務并行工程的管理模式;管理死板,不同業務單元缺少足夠的反應能力,經營局面很難打開;各職能部門不注重信息的橫向交流,缺乏彈性,工作效率不高;單位管理費用較高,成本居高不下。
五、基于電子商務的煤炭安全設備銷售行業對策
1.思路決定出路,觀念意識是行動的前提。首先電子商務是今后發展大趨勢的意識應深入煤炭安全設備的銷售人員內心,意識到它在煤炭安全設備的銷售行業內的重要地位,突破傳統的銷售模式從觀念到實際銷售行為徹底的改變,發展新的銷售模式,樹立新的銷售理念。其次應該加強學習借鑒最先進的銷售理念,對最新最先進的銷售模式及理念進行全員教育培訓,甚至實地考察調研學習,充分認識到電子商務能讓煤炭安全設備銷售有質的改變。最后著力加快交易模式創新和交易系統的優化升級,緊密追蹤“互聯網+”發展大勢,深度融合B2B+O2O電商模式,積極開展定制化交易,滿足不同交易商需求,進一步降低交易成本。
2.電子商務中網絡安全是基礎,相關的政策傾斜支持是保證。首先,網絡安全是最基本的條件,引進一流的網絡管理技術、做好日常網絡維護、重點關注最新的病毒及查殺方法、第一時間解決疑似安全隱患等來提高網絡安全性能。其次,應加強大宗商品交易的監督管理力度,嚴格執行相關法律法規,進一步保障煤炭安全設備網絡交易的安全性。最后完善相關法律法規,關于這方面的法律空缺及時起草補充,比較抽象的法律及時明確解釋,讓網絡+煤炭安全設備行業有實實在在的法律依據,讓其在法律的保護下高速發展。
3.煤炭安全設備網絡銷售要想獲取不斷繁榮地發展,就要打破傳統的銷售組織結構。采用全新的銷售模式,特別是需要建立起電子商務平臺,并在電子商務平臺上確保銷售渠道的統一性,這項工作的開展能對企業的整體銷售進行有效總結,幫助企業制定更全面的銷售策略。對煤炭安全設備企業自身進行深度改革,進一步完善內部組織結構,全面提高所有銷售人員素質,增強創新能力。
六、結束語
綜合來說,電子商務具有交易成本低、交易透明化、交易效率高等特點,其在我國市場發展中逐漸得到應用。將它應用于煤炭安全設備的銷售中能夠優化煤炭安全設備產業資源的優化配置、開拓銷售渠道、降低銷售成本等,積極總結在電子商務成功銷售案例,使煤炭安全設備銷售在電子商務銷售中實現創新。
參考文獻
[1]陳躍平,戴順孝,閔麗.煤礦安全設備研究現狀及發展趨勢[J].機械制造,2011,(12):63-65.
[2]于宏達.基于電子商務在煤炭銷售中應用的研究[J]中國集體經濟,2015,24(30):117-118.
【電子商務安全論文】相關文章:
電子商務安全論文07-22
電子商務安全的論文10-09
電子商務的安全論文10-09
電子商務安全論文05-15
電子商務安全論文10-09
電子商務安全論文(薦)05-16
電子商務安全的參考論文04-01
電子商務安全技術論文10-09
電子商務安全問題論文10-08
電子商務安全論文5000字04-01