电子商务安全策略范文

时间:2023-07-09 09:16:47

导语:如何才能写好一篇电子商务安全策略,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

电子商务安全策略

篇1

关键词:电子商务;身份认证;防火墙

中图分类号:TP3 文献标识码:A文章编号:1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。

2 电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:

2.1 信息真实性、有效性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.2 信息机密性

电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

3.3 信息完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

3.4 信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。

3 电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

所以就整个电子商务安全系统而言,安全性可以划分为四个层次,

1) 网络节点的安全

2) 通讯的安全性

3) 应用程序的安全性

4) 用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。

3.1 网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法 ,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。 应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

3.2 通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。 目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.3 应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题 。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。

3.4 用户的认证管理

1) 身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

2) CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

3) 安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

篇2

[关键词]电子商务,安全技术,安全对策

在电子商务迅速发展的今天,信息网络技术的应用正日益普及和广泛,应用层次正在深入。而网络所具有的开放性、自由性在增加应用自由度的同时,对安全提出了更高的要求。如何建立起一个完善的、实用的、安全的电子商务网站,已成为企事业单位信息化发展中一个急切需要讨论的问题。

一、电子商务的安全问题

电子商务的安全问题可以概括为以下几个方面:

(一)信息泄漏:在电子商务中表现出来的信息泄露主要有两种,一种是交易双方进行交易的内容被第三方所窃取:一种是交易一方提供给另一方的文件、资料等被第三方非法使用。(二)篡改:在电子商务中表现为商业信息的真实性和完整性问题。电子的信息在网络传输的过程中,可能被他人非法地修改、删除或重放.这样就使信息丢失了真实性和完整性。(三)身份识别:这涉及到电子商务中的两个问题。1.如果不进行身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。2.“不可抵赖”性。交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。(四)信息破坏:涉及到两方面内容。1.网络传输的可靠性。网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误。2.恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。这种情况主要由以下问题引起:①计算机病毒。②计算机蠕虫。这种程序将会对网络造成严重的损失,甚至会通过过多占用网络资源的方式来使网络瘫痪,加上这种程序多数会带有破坏性指令,因而破坏性更强,它已经由点的破坏向面的破坏开始发展了。③特洛伊木马。这是一种执行超出程序定义之外的程序,它将会把自己隐藏到安全的程序中,并由此传播出去。④逻辑炸弹。这是一种当运行环境满足某种特定条件时执行特殊功能的程序。

二、电子商务的安全技术

电子商务的开展在安全方面上还存在很多问题。面对电子商务中形形的安全漏洞,我们必须要采取相应的方法来保障电子商务活动的安全进行,下面就着重探讨了电子商务的安全技术。

(一)虚拟专用网络:虚拟专用网络是用于Internet电子交易的一种专用网络,它可以在两个系统之间建立安全的通道,是目前相对而言最适合进行电子商务的形式。在虚拟专用网络中交易的双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全。

(二)加密技术:加密技术是实现信息保密性的一种重要手段,目的是为了防止合法接受者之外的人获取信息系统中的机密信息。

加密包括两个元素:算法和密钥。加密技术的要点是加密算法,一个加密算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码的一种算法。加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Adleman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。通过对数据进行加密,可以使在网络上传播的信息对非法用户来说是无意义的,因此,虽然信息在网络上易被非法接收,但是由于被加密,也就保证了信息的隐秘性。

(三)数字签名技术:数字签名以数字加密技术为基础,是数字加密技术的一种应用方式。其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。对于电子商务中的业务款项如何分辨其真假,则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及确认功能是电子商务系统的一个重要安全技术。数字签名是公开密钥技术的另一类应用,它的主要方式是:信息的披露方从信息文本中生成一个128位的散列值,并且用自己的专用密钥对这个散列值进行加密.来形成披露方的数字签名:关联方首先从收到的信息文本中计算128位的散列值,接着再用披露方一同发来的公开密钥来对数字签名进行解密,如果两个散列值相同,那就可确认该数字签名是披露的。通过数字签名技术能够实现对原始信息和关联方身份的鉴别,有一定的公正及较好地防范关联方和非关联方的道德风险。

(四)认证技术:所谓认证,就是通过认证中心对数字证书进行识别。认证分为实体认证和信息认证,这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证,密码是最常用的,但由于许多用户采用了很容易被破解的密码,使得该方法经常失效。信息认证是指对信息体进行认证,以决定该信息的合法性。信息认证发生在信息接收者收到信息后,使用相关技术对信息进行认证,以确认信息的发送者是谁,信息在传递过程中是否被篡改等。身份验证是对进入电子商务信息系统网络的用户进行身份合法性的整别,主要通过所掌握的特有信息对探访者进行验证。目前,数字签名和认证是网上比较成熟的安全手段,而我国大多数企业尚处于SSL协议应用阶段,在SET协议的应用试验刚刚成功,而要完全实现SET协议安全支付,则必须有一个CA认证中心。

(五)防火墙技术:在计算机领域,防火墙是指一种逻辑装置,用来保护内部的网络不受来自外界的侵害。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络地互联环境中,尤其以接人Internet网络最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之问的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它主要用于实现网络路由的安全,这主要包括两个方面:①限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵害;②限制内部网的访问,主要是针对内部一些不健康信息及敏感信息的访问。目前防火墙的主要有网络层防火墙、应用层防火墙和双端主机防火墙等。网络层防火墙是一个屏蔽的路由器,经检查后最终决定是批准进入或拒绝请求,并将信包引导往内部的适当的接收点。这种防火墙成本较低但安全性亦相对来说亦比较差。应用层防火墙的主要构成由服务器端程序和客户端程序,它通过执行登录或对信息的认证使系统的访问与保密关系更加完善。更加设置了日志及审计方式以监控各方发送的登录和任何未经授权的活动,并将那些未授权的登录情况告诉网络管理者或安全小组。双端主机防火墙只设有两个防火墙出口,一端对互联网上的请求过滤,而另一端提供访问到某部门的局域网之安全信道。

篇3

1电子商务中信息安全的检验

电子商务的检验可以从以下四个方面进行比较:(1)完整性。交易的成交需要信息的完整,不能随意修改、重复发送信息。(2)保密性。电子商务中交易能够正常进行的基础就是信息一定要保密。(3)可用性。交易双方提供的信息必须为有效的可用信息。(4)可靠性。必须有一个安全的交易系统,并且保证交易双方提供信息的可靠性。只有信息安全了,电子商务才能真正的发挥它的作用

2电子商务的各种问题

2.1电子商务有可能存在损害消费者权益的虚假信息

在电子商务方面,如“天猫”和“淘宝”等就是最具代表性的网站。当今电子商务的第一人非马云莫属,他将各行各业的卖家都集中在“淘宝”上,由顾客对自己要买的产品进行对比,最后选择合适的商家进行交易,同时为了交易的方便进行,他增加了支付宝支付功能,极大地方便了消费者的购物流程。他将传统的交易方式变成了这种虚拟的电子商务。这种交易方式极大地方便了人们的经济生活,而且相比于实体店的商品,网上的更加便宜,给消费者带来了真正的实惠,但是由于消费者看不到网店的实际商品,只能通过图片或者文字来获取信息,很多黑心商家利用这点出售假冒商品,给消费者带来很大的经济损失。

2.2电子商务管理的不规范性

随着时代的发展,互联网成为人们生活中不可缺少的一部分,同时也推动了电子商务的发展,严重影响了以前的传统商业模式,造成了整个商业模式的变化,所以有越来越多的人在关注电子商务,但是对于电子商务的信息安全问题,却很少提及,国家也没有个统一标准,所以造成了交易过程中的各种不规范。同时由于我国没有在网络方面进行立法,人们在互联网上想干什么就干什么,造成的网络安全问题越来越多,严重的破坏了普通民众上网的网络环境。所以我国应该针对网络安全问题制定相关的法律,对电子商务进行宏观控制,完善电子商务的交易方式和操作模式,减少消费者的损失,维护人民的权益。

2.3信息存储安全性比较弱

我国的互联网发展起步较晚,虽然发展的比较迅速,但对与互联网的技术和水平掌握的比较少,所以容易受到攻击破坏。而对电子商务中信息的存储威胁最大的形式主要有两个,一个就是“非授权用户修改”,另一个是“查看信息”。当企业连接上互联网后,电子商务操作过程中如果一些环节出现问题,便会对企业造成很大的影响,使企业受到外部和内部的两重威胁。外部威胁指的是企业以外的人员(如黑客)等攻击了企业的网络,入侵了内部网络,在未经授权的情况下私自篡改了电子商务信息,窃取了企业和客户的信息,造成相当大的损失。内部威胁指的是企业内部的人员在没有获得授权的情况下私自修改了信息,比如最近新闻上热议的“各大银行客户的银行存款莫名其妙被转走”,经过调查,是由于内部人员私自篡改了信息,将用户储蓄的存款转移了。

3改进方法

3.1加强安全意识

无论是建立和完善相关的电子商务信息安全的法律还是加强网络基础设施的建设,或者是提高网络技术水平,都是从外部环境方面着手,只有提高用户的网络安全知识,加强用户对信息的保密意识下能从内部解决信息安全问题。外部环境的不断加强和完善使得网络环境固若金汤,使得不法分子很难入侵成功,所以他们只能转移目标,从使用的用户入手,从内部入侵,盗取个人账号,获得管理员的权限来窃取电子商务信息,给用户造成极大的损失。所以提高用户所掌握的安全知识,加强用户的保密意识也是相当重要的。

3.2提高并掌握高端技术

电子商务有利有弊,在推动社会进步,给大家带来更多方便的同时,同样的也存在着许多问题和隐患,对我国国家信息安全是个很大的考验,也增大了个人信息泄露的机会,但是不能因为有问题就不发展,那样永远不会进步,所以如何解决这些问题就是现在的重中之重。因此国家应该更加重视网络技术,增加对网络技术的支持,不断的引进国外的先进技术和设备,重点培养一些具有网络安全技术方面的人才。加强我国的网络安全建设要重点研究以下技术:(1)防火墙技术。可以阻止非法入侵,从源头删除掉一些不安全的协议领域。(2)数据加密技术。对文件、数据及口令等信息进行加密,使的这些信息不会被随便损坏。(3)身份识别技术。运用身份识别技术对双方进行严密的核实,确定所发信息是否完整。(4)防病毒技术。防止病毒进入信息安全系统,使内部安全系统遭到损坏,造成信息的泄露以及不必要的损失。而且我国电脑的系统软件的核心技术以及中央处理器等核心部件都是从国外进口的,信息的安全性没办法保证。因此我国的网络安全基础设施也是必须要加强的。只有从内部和外部两方面着手,才能从根本上解决我国电子商务信息安全方面的问题。

3.3对网络安全进行立法,提供法律依据

对网络安全以及电子商务安全进行立法,明确规定相关法律,对网络安全及电子商务安全提供法律依据,用法律来保护网络的安全。同时我国也要设立专门的行政部门对电子商务进行统计的管理和监督,行政部门和相关法律政策相结合,加强对商家的审核,严厉打击假冒伪劣产品,对商家进行严厉的批评和适当的罚款,并进行应有的法律教育,提高其遵纪守法的意识,加强职业操守,为当今社会的电子商务创造良好的环境,使电子商务能够有序的进行。对于构建社会主义和谐社会有很大的推动作用。

4结语

总而言之,随着经济和社会的不断发展和进步,互联网越来越成为人们生活中不可缺少的一部分,电子商务也必将取代传统商务模式,成为将来购物的主要形式。但是电子商务发展过程中也存在着很多问题和隐患,其中问题最严中的就是信息安全问题,通过对电子商务发展中的各种问题进行解析,并且找出相对应的解决办法,是做好电子商务信息安全的必要选择,也是做好网络安全的必要选择,同时也是做好国家信息安全的必要选择。

作者:邓志龙 单位:陕西青年职业学院

参考文献:

[1]马伟.新时期计算机电子商务的安全策略分析[J].中国商贸,2013(18).

[2]刘秀平,武守勇.浅析计算机信息安全策略的维度思考[J].无线互联科技,2013(04).

篇4

[关键词] 数字签名数字水印离散余弦变换多媒体论证

随着因特网的迅速发展和普及,多媒体信息得到了空前广泛的交流与应用,给人们的生产和生活带来了许多便利。但是,多媒体信息的安全问题也随之而来,比如盗用别人的电子产品并在网上传播;在电子商务中伪造或篡改票据;对数字图像等多媒体信息进行修改、替换以达到损害别人的目的等。因此,对多媒体信息的有效论证是保证信息安全的重要手段。

电子交易的可实施性是电子商务要解决的最主要和最基本的问题。电子签名可以实现两个重要目标:排除电子商务的障碍;通过帮助建立参与者在网上从事商业活动所需要的信任和可预见性,实现并推动电子商务的适当的公共政策目标。

电子签名目前具备三个主要功能:数据来源认证:这可以用于认证信息来自于可疑的发送者;信息的完整性:有助于信息的接收者确定,在发送过程中,没有被有意或者随意地更改;不可否认性:发送者不能被否认信息的发送。

目前,存在几个方法可以有效完成上述功能。然而,基于公共公共密钥的密码系统的数字签名技术是目前被认为最普通、最可靠的技术。

数字签名是一种对多媒体信息进行论证的有效手段,它是由信息发送者对要传送的信息进行某种处理的,任何人都无法知道的,用以论证信息的来源并核实信息是否发生了变化的一段字符串。数字签名的基础是密码学。

数字水印技术近年来逐渐成为知识产权保护的主要手段,它是信息隐藏的一个重要分支,是通过在原始资料中嵌入一些有特殊意义的信息,如文字,序列号,公司标志,声音等,用以识别多媒体信息的作者,版权所有者、发行者,合法使用人对数字产品的拥有权等,并携带有版权保护信息和论证信息。

信息隐藏技术与传统密码学有本质的区别,传统密码学是将明文加密成密文,使信息不可理解,是隐藏了信息的内容;而信息隐藏技术着重隐藏了信息的存在。数字水印技术和数字签名各有优势和不足。数字签名容易受到攻击,而数字水印的安全度不高。如果将数字水印和数字签名有机结合起来,以之为基础构成一种新的水印方案,其安全性、可性度、论证精度都将会大大地提高,这无疑将是多媒体技术研究发展的一个很有前途的方向。

一、结合数字签名与数字水印的方案

把数字签名作为水印隐藏在图像中,数字签名方法用DSA(Date Signature Algorithm),数字水印方法用DCT(discrete cosine transform即离散余弦变换)。DSA签名是基于离散对数问题的数字签名标准,虽说它仅提供数字签名,不提供数据加密功能,但它具有算法简便实用,易实现等优点。而考虑用DCT是由于离散余弦变换是实变换,它具有良好的能量压缩能力,而且可以利用人的视觉系统(HVS)在DCT域内的特性。

在应用DSA之前先对其做一个简要说明:

如果要对一个消息x进行签名,可选取一个随机值k,且p, q,а和β公开,α保密(其中p是512比特的素数,q是一个整除p-1的160比特的素数,а是模p的q次单位根。α作为私钥,β作为公钥)。定义k={(p, q ,а, α, β):β=aα(modp)},对于Κ和一个秘密随机数k,1≤k≤q-1,对信息x的签名结果如下:

sigK(x,k)=(γ,δ)(1)

γ和δ即是对信息x的签名。

γ=(аkmodp)modq(2)

δ=(x+αγ)k-1modq(3)

签名是否为真通过下式来验证,e1=xδ-1modq(4)

e2=γδ-1modq(5)

verK(x,γ,δ)真(ae1βe2modp)modq=γ(6)

举例说明如下:

如p=83,q=41,а=2,β=4。另给出α=2(可以由信息发送者的身份信息构造而成),取k=20,应用上面的方法,对一个信息x (可以是一幅图像作品的版权序列号等,如取为39)进行签名得签名信息为:sigK(x,k)=(37,20), 将之代入(6)式,可以验证签名为真。

将签名的一些信息写入一个64×64的二值图像中,将之作为水印图像嵌入到一个名为Peppersr的512×512标准真彩图像中。具体方法如下:

(1)将数字签名的一些已知参数p,q,а,β及对信息x的签名(γ,δ)写入到一个64×64的二值黑白图像中,私钥α及随机数k可以由信息发送者身份识别的信息构成,信息x可以是一幅版权图像的序列编号构成。

(2)读取原始图像和黑白水印图像到二维数组I与J。

(3)将原始图像I分割为互不覆盖的图像块blockL(x,y),1≤x,y≤8,L=1,2…,M*M/64,对blockL(x,y)进行DCT变换,得到dct-blockL(u,v)。

(4)取黑白水印图像中的一个元素J(p,q)嵌入到原始公开图像块的DCT的低频系数中。

(5)对嵌入了水印信息后的图像块dct-blockL(u’,v’)进行反DCT变换,得到blockL(x’,y’)。

(6)合并图像块,得到嵌入了黑白水印后的图像。

水印提取算法与水印嵌入算法类似,不再赘述。

接收方收到含水印的图像后,从中提取水印得到签名信息,用发信方给的私钥α和秘密数k验证签名的真实性,从而可辨别作品的真伪(假设原始图像Peppers为一版权作品)。

二、实验结果

下图为水印的嵌入与提取图,程序的实验环境为MATLAB6.1。

从上图可得知:嵌入了水印后载体图像跟原始图像基本上无明显差异,即该水印图像的透明性良好,且在嵌入水印后的图像未受攻击的前提下,从中提取出的水印图像非常清晰。信息接收者应用我的水印提取算法可方便地得到签名信息,然后再用我给他的密钥可以验证此真彩图的真伪。

篇5

关键词:电子商务 安全问题 安全策略

中图分类号:G642 文献标识码:A 文章编号:1672-8882(2012)10-047-01

1.引言

电子商务作为一种全新的业务和服务方式为全球客户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本,这种商务活动模式正在被全世界的人们所关注和青睐。但是,电子商务的安全性也制约了它的发展,安全问题已经成为电子商务推进中的最大障碍。

2.电子商务的安全问题

电子商务系统从一定意义上来讲就是一种计算机信息系统,信息系统安全主要是网络的信息安全,从这个角度来阐述电子商务系统的安全问题的根源,则主要包含以下几个方面物理安全、方案设计的缺陷、系统的安全漏洞和人的因素等几个方面。

2.1物理安全问题

物理安全问题主要包括物理设备本身的问题、设备的位置安全、限制物理访问、物理环境安全和地域因素等。物理设备的安全威胁包括温度、湿度、灰尘、供电系统对系统运行可靠性的影响,由于电磁辐射造成信息泄露,自然灾害如地震、闪电、风暴等对系统的破坏。设备的位置极为重要,所有的基础网络设施都应该放置在严格限制来访人员的地方,以降低出现未经授权访问的可能性。如果物理设备摆放不当,受到攻击者对物理设备的故意破坏,其他的安全措施都没有用。还要严格限制对接线柜和关键网络基础设施所在地的物理访问,除非经过授权或因工作需要而必须访问之外,禁止对这些区域的访问。地域因素,互联网往往跨越城际、国际,地理位置错综复杂,通信线路质量难以保证,会给上传信息造成损坏、丢失,也给“搭线窃听”的黑客以可乘之机,增加更多的安全隐患。

2.2方案设计的缺陷

在实际中,网络结构比较复杂,会包含星型、总线和环型等各种拓扑结构,结构的复杂给网络系统管理、拓扑设计带来很多问题。为了实现异构网络间信息的通信,就必须要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性的要求。有时特定的环境往往会有特定的安全需求,所以不存在可以通用的解决方案,需要制定不同的方案。如果设计者的安全理论与实践水平不够的话,设计出来的方案经常是存在漏洞的,这是安全威胁的根源之一。

2.3系统的安全漏洞

软件系统规模不断增大,系统中的安全漏洞不可避免的存在,任何一个软件都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞。主要包括操作系统类的安全漏洞、网络系统类安全漏洞和应用系统类安全漏洞。

2.4人的因素

人是信息活动的主体,人的因素其实是网络安全的最主要因素体现在以下三个方面:一、人的无意失误,操作人员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享都会给网络安全带来威胁。二、人为的恶意攻击,就是黑客攻击,是计算机网络面临的最大威胁。这类攻击主要分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。三、管理上的因素,网络系统的严格管理是企业、机构及用户免受攻击的重要措施,很多企业、机构及用户的网站或系统都疏于安全方面的管理。管理的缺陷可能会出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄露,为一些不法分子制造了可乘之机。

3.电商务安全的策略

电子商务安全,首先想到的是技术保障措施,仅从技术角度安全保障还远远不够。电子商务的安全需要一个完整的综合保障体系,采用综合防范的思路,从技术、管理、法律等方面去认识,根据我国的实际和国外的经验,采取适合我国的安全保障办法和措施。

3.1信息技术措施

信息技术措施主要涉及物理安全策略、访问控制策略、信息加密技术、数字签名技术以及防火墙等等。

3.1.1物理安全策略

保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误和各种计算机犯罪行为导致的破坏。

3.1.2访问控制策略

访问控制策略隶属于系统安全策略,他迫使在计算机系统和网络中自动的执行授权,被分成指令性访问控制策略和选择性访问控制策略两类。指令性访问控制策略是由安全区域权力机构强制实施的任何用户不能回避它。选择性访问控制策略为一些特殊的用户提供了对资源的访问权这些用户可以利用此权限控制对资源进行访问。

3.1.3信息加密技术

信息加密技术是电子商务安全技术中一个重要的组成部分。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路—链路加密、节点加密、端—端加密、ATM网络加密和卫星通信加密五种方式。应该根据信息系统安全策略来制定保密策略,选择合适的加密方式。

3.1.4数字签名技术

数字签名技术可以防止他人对传输的文件进行破坏以及确定发信人的身份。RSA签名方法和EIGamal数字签名方法是两种基本的数字签名方法,许多数字签名方法都基于这两种算法。RSA是可逆的公开秘钥加密系统,在数字签名过程中运用了消息的验证模式。EIGamal是一种非确定性的双钥体制,它对同一明文消息的签名会因随机参数选择的不同而不同。

3.1.5防火墙技术

防火墙是指隔离在本地网络与外界之间的一道或一组执行策略的防御系统。防火墙可以隔离不同的网络,限制安全问题的扩散,可以很方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。

3.2信息安全管理制度

建立完善的安全管理制度,进一步保证电子商务的安全。信息安全管理制度主要包括人员管理制度,保密制度,跟踪、审计、稽核制度,应急措施以及其他一些措施等。

3.2.1人员管理制度

电子商务活动中的主要参与者是人,尤其是网络管理员这样的人员,需要具备高尚的职业道德,才能保证管理有效。在人员管理时应注意以下几个方面:一要严格选拔,对网络工作者的选拔应不仅考核他们的技术,更要考察他们的责任心、道德感和纪律性。二要落实工作责任制,网络工作者尤其是超级管理员,掌握着很多重要的资料,他们必须严格遵守企业的安全制度,不能随意将工作内容向不相关的人泄露。三要贯彻电子商务安全运作基本原则,为便于管理,应遵循多人负责、任期有限、最小权限的原则。

3.2.2保密制度

从事电子商务工作的企业,内部会涉及许多保密信息,每类信息安全级别不同,要制定明确的保密制度,规定访问级别,与相关人员签订保密协议,保证保密信息不会外泄。

3.2.3跟踪、审计、稽核制度

跟踪制度是以系统自动生成日志文件的形式来记录系统运行的全过程。通过日志文件可以对系统进行监督、维护分析和故障排除,对于安全案件的侦破提供事实依据。

审计制度是规定网络审计员应经常对系统的日志文件检查、审核,及时发现异常状况,监控和捕捉各种安全事件,并对系统日志进行保存、维护和管理。

稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助稽核业务,应用软件调阅、查询、审核、判断辖区内电子商务参与单位业务经营活动的合理性、安全性,堵塞漏洞,保证电子商务交易安全,发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。

3.2.4应急措施

应急措施是指计算机灾难事件发生时,利用应急计划、辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复正常运行。灾难恢复包括许多工作,一方面是硬件恢复,使计算机系统重新运转起来;另一面是数据的恢复。数据的恢复更为重要,难度也更大。在启动电子商务业务之初,就必须制定交易安全计划和应急方案,以防万一。一旦发生意外,有备无患,可最大限度地减少损失,尽快恢复系统的正常工作,保证交易的正常运行。

3.2.4其他一些措施

在电子商务安全问题中,病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度,排除病毒的干扰。其次,还要经常进行系统维护,系统维护主要包括硬件的日常管理与维护和软件的日常管理与维护。企业里的硬件应建立系统设备档案,便于以后对设备的更新和管理。对于软件的管理和维护工作主要是版本控制,及时更新添补漏洞,降低出现意外的可能。

3.3法律政策与法律保障

电子商务的安全发展必须依靠法律的保障,通过法律等条文的形式来保护电子商务信息的安全,惩罚网络犯罪违法行为,建立一个良好的电子商务法制环境来约束人们的行为。

目前电子商务相关法律主要涉及计算机犯罪立法、计算机安全法规、隐私保护、网络知识产权保护、电子合同相关法规等方面,初步满足了电子商务保密性、完整性、认证性、可控性和不可否认性的安全需求。随着信息技术的发展,电子商务安全不可能一劳永逸,必须用发展的眼光来看待,法制建设也应该进一步完善。

电子商务的安全问题是一个涉及范围极广的社会问题,网上交易安全性若不能得到有效的保障,就必然会影响到电子商务的顺利发展。因此,要使电子商务能够健康、快速、蓬勃的发展,就必须用全面的电子商务安全解决方案提供交易的信任保障,希望越来越多的企业和个人加入到关心电子商务的行列中来,一起为开创崭新的商务时代出力献策。

参考文献:

[1]祁明.电子商务安全与保密 [M].高等教育出版社.

篇6

关键词:移动;电子商务;安全

中D分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)31-0252-02

依据当前情形,计算机和桌面互联网产业的发展速度已远被移动互联网产业所赶超。近一年间,全球互联网用户数目已达到32亿,占全球总人口数的44%,而其中移动互联网用户总数将达到20亿,手机上网人数也超过了电脑上网人数,使用手机搜索引擎的人数超过60%,这意味着移动营销具有非常巨大的潜力。利用智能手机等可移动无线终端设备,通过移动网络连接Internet,并进行各种类型的电子商务交易活动,称为移动电子商务。因其可移动、便携、方便的特点,加之无线网络、移动WIFI的覆盖,可在移动无线终端上随时进行交易,使它成为电子商务发展不可阻挡的新趋势。

在中国,随着经济、技术的快速稳定发展,一方面人们的生活水平日益提高,移动无线终端的普及率也越来越高,移动用户日渐壮大,另一方面4G等无线通信技术不断发展、成熟,移动电子商务在整个电子商务市场中所占的份额越来越大。通过移动无线终端使交流更方便、使支付更快捷等,但其安全性问题始终成为人们所顾虑的重点。

1 移动电子商务自身因素导致的安全方面问题

1.1 无线网络开发起始阶段不成熟导致的安全问题

移动网络的出现比较早,早期的架构比较简单,加密算法,通信技术都比较落后,虽然随着时代的发展,在安全性方面得到了很大改进,然后并不能从本质上解决诸多安全问题,如信道频率公开导致通信被窃听、伪基站盛行导致诈骗信息无法识别,加密技术老化导致通信内容被篡改等。各种因素都指向一个同一个安全问题,并且信息在传输与转换的过程中都可能造成不安全的隐患。

1.2 通信终端多样化导致的安全方面问题

众所周知,目前移动通信终端设备的种类较多,各类设备累计体现出来的安全隐患也随之增多,其主要表现有:移动通信设备自身的设计漏洞,设备或其所使用软件在验证使用者身份时产生的隐私泄露,导致账户信息安全产生威胁,人为的攻击因素如复制SIM卡,被解RFID密码等。

1.3 使用软件不当而造成的安全威胁

手机软件发展迅速,但是比起电脑端,显得尤为脆弱,纠错排毒等功能也弱化不少,病毒木马等在手机软件发展中也在不断滋生,这种安全威胁尤为严重。软件病毒会以多种形式渗入移动通信终端,比如通过手机浏览器或者潜伏与手机软件中伺机传播非法信息,破坏手机系统。移动通信终端一旦感染病毒,会出现这样那样的问题,有些问题不会影响终端的正常运行,旨在窃取用户信息、银行账号、密码等私密信息;有些问题则会如电脑中毒一样,加重系统运行负载,更改用户信息,严重的甚至会导致手机无法正常工作。

1.4 运营管理上存在的漏洞和隐患

电子商务在近十年内飞速发展,移动电商的发展也随之突飞猛进,运营至今,给类移动电商平台数不胜数,不仅种数繁多,而且良莠不齐,一般的大众用户很难甄别这些运营平台的真伪和优劣。抛开管理方面因素,就平台开发过程中运用的相关技术而言,存在数量不少的平台在开放方面由于技术较弱,而导致在使用过程中问题频出,漏洞难补,安全问题可想而知。而平台的服务提供者对平台的管理机制是否健全,也是影响平台安全问题的重要因素。

2 移动电子商务的安全保护措施

2.1 建立移动互联网的安全框架

移动电子商务设计的初衷当然是需要运行在一个安全服务平台之上,这就要求作为提供网络通信服务的移动通信网络,包括目前主要采用3G 移动通信、4G 移动通信和WIFI 网络,针对无线应用协议的各个不同层,在各个层次上均需要采用针对性的安全技术。

2.2 在支付方式上采用安全加密技术

目前还有很多场合使用比较老的支付方式,比如密码支付,二维码支付等,这些支付技术漏洞较大,研发新一代安全支付手段势在必行。

如国际公认的无线公开密钥体系WPKI,其强项是管理公开密钥和数字证书,其采用的密钥加密技术以及基于网络环境的数字加密和签名服务,能够有效地提高数据传输过程中,从的端到端的安全,使得交易的风险大大降低,其采用的可信WPKI技术,以及非复制功能,能保证信息的不可抵赖性。

当然,理论上没有绝对安全的环境,在具体验证过程中,对密钥的验证,需要结合数字证书证明密钥的有效性,建立起一套加解密和认证系统相辅相成的布局,可以在很大程度上提高交易过程中重要数据被窃取或篡改的难度,使得电子商务交易安全系数大大提升。

2.3 规范行业管理标准

一个完善的行业标准是规范行业管理的重要条件。为了保证移动电子商务交易活动的高效与可靠,必须建立一个移动电子商务行业的安全标准,并提高交易各方的安全意识。在执行过程中不断完善,去粗取精,建立交易过程中的相互作用机制,以促进移动电子商务的健康、快速发展。

2.4 健全相关法律法规

国家及相关职能部门应逐步健全与移动电子商务相关的法律、法规和制度,明确行业政策导向,保障公平的竞争环境,及时修正法律法规漏洞,明确细节,使出现问题有法可依、有律可循。在详尽的法律条款和规章制度规范下,提供方便、快捷、安全的移动电子商务环境,减少商务纠纷,使当事双方可以放心地进行交流、交易等等,更多地参与到各类移动电子商务活动中。

3 结语

移动电子商务要健康、快速地发展,相关管理部门应该与移动运营商紧密联系与互相配合,从技术、管理、法律法规等多方面入手,实施可行的安全策略以及管理体制。

参考文献:

[1] 徐桂. 移动互联网安全认证及安全应用中关键技术研究[J]. 网络安全技术与应用, 2014(1).

篇7

关键词:电子商务; 信息安全;运行环境;黑客;防火墙 

 

电子商务在网络经济发展日益迅猛的当下,应用越来越广泛,这种基于Internet进行的各种商务活动模式以其特有的开放性让商务活动相比较以往更加高效快捷。In-ternet 是一个开放的、全球性的、无控制机构的网络,计算机网络自身的特点决定了网络不安全,网络服务一般都是通过各种各样的协议完成的,因此网络协议的安全性是网络安全的重要方面,Internet 的数据传输是基于 TCP/IP操作系统来支持的,TCP/IP 协议本身存在着一定的缺陷。 

1电子商务所面临的信息安全威胁 

1.1 安全环境恶化 

由于在计算机及网络技术方面发展较为迟缓,我国在很多硬件核心设备方面依然以进口采购为主要渠道,不能自主生产也意味着不能自主控制,除了生产技术、维护技术也相应依靠国外引进,这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。 

1.2平台的自然物理威胁 

由于电子商务通过网络传输进行,因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件,篡改删除信息内容等行为,也会给企业造成损失。 

1.3黑客入侵 

在诸多威胁中,病毒是最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性,本地计算机所记录的登录信息都会被木马程序篡改,从而造成信息之外的文件和资金遭窃。 

2电子商务信息安全的防范处理方法 

2.1针对病毒的技术 

作为电子商务安全的最大威胁,对于计算机病毒的防范是重中之重。对于病毒,处理态度应该以预防为主,查杀为辅。因为病毒的预防工作在技术层面上比查杀要更为简单。多种预防措施的并行应用很重要,比如对全新计算机硬件、软件进行全面的检测;利用病毒查杀软件对文件进行实时的扫描;定期进行相关数据备份;服务器启动采取硬盘启动;相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保证文件的及时隔离。在计算机系统感染病毒的情况下,第一时间清除病毒文件并及时恢复系统。 

2.2防火墙应用 

防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的 TCP 端口和 TCP 链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器,可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告。

2.3数据加密技术的引入 

加密技术是保证电子商务安全采用的主要安全措施。加密过程就是根据一定的算法,将可理解的数据(明文)与一串数字(密钥)相结合,从而产生不可理解的密文的过程,主要加密技术是:对称加密技术和非对称加密技术。 

2.4认证系统 

网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理问题限制了它的应用。为解决此问题,20 世纪 70 年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是唯一的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。 

2.5其他注意事项 

篇8

随着计算机技术的快速发展,云计算的使用也越来越广泛,电子商务企业因此迎来了新的机遇。但是由于云计算技术的不成熟,其本身存在着网络安全问题,这也导致了电子商务平台面临着安全问题。笔者就云计算模式下电子商务的安全进行了研究,提出了几条相应的安全策略。

【关键词】

云计算;电子商务;安全性能;安全策略

0 绪言

随着互联网技术的发展,信息量和数据量变得更为庞大,但是网络中的存储资源并没有得到充分的利用和合理的管理,因此云计算技术便攻克了这一难题。云计算是一种在原有的计算方式上发展而来的新型计算模式,也是一种新兴的商业模式,具有高可靠性、通用性、高扩展性和低成本的优势。云计算的应用给IT界特别是电子商务领域带来了一场变革,但是,云计算本身存在着网络安全问题,因此电子商务也同样面临着安全问题。所以,在云计算模式下的电子商务如何解决安全问题成为了日前的工作重点。

1 云计算模式下电子商务的优势

1.1 节省电子商务企业硬件成本

电子商务是运用计算机技术、网络技术和远程通信技术,来完成电子化、数字化和网络化的整个商务过程,而云计算的应用对电子商务的发展产生了深刻的影响。建设电子商务的硬件系统需要大量的服务器、小型机、网络和负载均衡的设备,因此,一般模式下电子商务的硬件成本比较大,而且后期的维护费用也很高,这样的高投资对于电子商务企业,尤其是中小企业来说具有一定的财务负担。但是在云计算模式下的电子商务并没有这样大的财务负担,只需要根据自身的业务需求从云服务提供商那里购买IT基础构架。在购买基础构架上,按照计算资源的数量和使用时间向提供商支付费用,不用购买昂贵的硬件设备,也不需要支付高额的维护费用。因此,云计算模式下的电子商务在硬件方面节省了大量的成本。

1.2 提高电子商务应用的灵活性

电子商务在软件的开发、测试和升级上需要花费大量的资金和人力,并且维护电子商务的运行也需要大量的资金和人力。但是,云计算模式下的电子商务只需向平台提供商租用软件服务就行,并且通过浏览器来使用这些软件服务,例如电子商务企业可以从平台提供商那里购买人力资源系统的云服务,而对于这个软件的开发、测试和维护则由云服务提供商来负责,电子商务只需支付费用即可。因此,云计算模式下的电子商务提高了应用的灵活性。

1.3 提供强大的数据处理能力

云计算是在并行计算、分布计算和网格计算的基础上发展起来的一种新型计算模式,将虚拟服务和多重租赁的新技术集合为一体,节约了成本也减少了使用信息技术资源的费用。云计算通过特定的计算模式将大量的普通计算机联合起来,然后为用户提供强大的计算能力,让用户在使用单台计算机时也能完成单台计算机难以完成的计算任务。在云计算服务平台中,提交一个计算请求后,云计算平台就会根据需要调用平台中大量的计算节点提供强大的计算能力。在云计算模式下,电子商务企业不是从自己的计算机或某个指定的服务器上获得信息,而是通过互联网上的各种设备来活动所需的信息,因此在计算速度上得到了很大的飞跃。

2 云计算模式下电子商务面临的问题

云计算模式下的电子商务存在着很多的优势,在安全性上也存在着很多优点,如授权合法性等传统的安全需求在云计算模式下更容易解决,但是同时也带来了新的安全问题,例如信息保密性、隐私保护和网络安全性等。

对于数据存储安全,传统模式下的电子商务拥有自己的数据中心,所有的数据都存储在自己的服务器上,而云计算模式下的电子商务都是将数据存储在云中,因此便面临着以下几个问题:

首先,电子商务企业不知道自身的数据信息被存储在哪个服务器终端内,甚至数据的去向也不了解,因此也就不清楚数据有没有被泄露;

其次,电子商务企业需要购买基础构架或软件服务,购买后业务数据就会被存储在云计算平台中,因此电子商务的业务流程就需要依赖于云计算服务提供商提供的服务,这样对于云计算平台的服务连续性、安全策略和事件处理就有了更高的要求;

最后,电子商务企业的数据是在数据共享环境中被存储在云计算平台上的,如果没有对数据进行有效的隔离,这样任何的意外都可能会导致数据无法使用,给电子商务企业带来不可预计的损失。

3 云计算模式下电子商务的安全策略

如果不能解决云计算模式下电子商务面临的安全问题,那电子商务将无法享受云计算带来的便利,这样就严重阻碍了云计算在电子商务中的应用。因此,对于云计算模式下电子商务面临的安全问题提出以下几种安全策略,以加强云计算模式下电子商务安全风险的控制。

(1)加强数据安全管理。云计算模式下的电子商务企业应该运用技术手段,对存储在云端的数据进行严格的加密,以此来保证企业的数据在网络上传输的安全性,并且应该同时对存储到云端的数据进行严格的管理。

(2)加强客户端的管理。云计算模式下的电子商务企业应该采取保护措施来保护云端不被攻击。在云计算环境下,云终端不仅仅是传统的计算机,也可能是专门的云端机器,或者是平板电脑和手机等。因此,企业应该定期的完成云终端系统的补丁和更行工作,安装防火墙保证云终端的安全。

(3)云中心须对用户数据进行隔离和保护。云服务提供商不能将电子商务企业的私有数据与其他客户的数据混合,或者是提供给他人使用,必须将云数据备份和云恢复计划落实到位,防止电子商务企业的数据丢失和被破坏。

4 结语

云计算模式下的电子商务具有很多的优势,在计算和数据存储方面变得更加的便利。但是云计算模式下的电子商务也面临着很多安全问题,这些问题是不容忽视的,需要电子商务企业和云计算提供商共同努力,一起解决这些安全问题,保证数据的安全。

【参考文献】

[1]李子凡.电子商务安全问题探析.红果电子商务[J],2011(6)

[2]冯毅.浅谈在云计算平台下企业电子商务的发展.中国高新技术企业[J],2011(16)

篇9

电子商务交易安全概述

电子商务的交易安全就是对交易中涉及的各种数据的可靠性、完整性和可用性进行保护。当许多传统的商务方式应用在 Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付的保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。具体来说包括以下几个方面:

(1)数据保密:防止非授权用户获得并使用该数据。

(2)数据完整性:确保网络上的数据在传输过程中没有被篡改。

(3)身份验证:对网络上的另一个用户进行验证,证实他就是他所声称的那个人。

(4)授权:控制谁能够访问网络上的信息并且能够进行何种操作。

(5)不可抵赖和不可否认:用户不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息。

(6)软件资源或网址免受病毒的侵害与黑客的攻击。

为了满足这些需求,提高电子商务的安全性,网络和管理技术人员研究和开发了多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以提供电子商务交易活动不同程度的安全保障。

安全技术在电子商务中的具体应用

电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务信息系统的安全性提出了更高的要求,必须保证外部网络(Internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。就整个系统而言,安全性可以分为四个层次:①网络节点的安全②通讯的安全性③应用程序的安全性④用户的认证管理

1、网络节点的安全

网络节点的安全性依靠防火墙保证,防火墙是在连接Internet和Intranet时保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的分析和判断。通过灵活有效地运用这些功能,从而可以制定出正确的安全策略,防火墙安全策略是十分重要的,我们应该认识到,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。与此同时,操作系统的安全性也十分重要,防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙照样失效,所以,必须保证操作系统的安全,在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。

2 数据通讯的安全

数据通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于:①客户浏览器与电子商务Web服务器端的通讯;②电子商务Web服务器与电子商务数据库服务器的通讯;③银行内部网与业务之间的数据通讯。

安全链路在客户端浏览器和电子商务Web服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验证服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务顺证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出现进入安全状态的提示。

数据加密技术是电子商务采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。密钥管理技术其中包括对称密钥管理、公开密钥管理/数字证书、密钥管理相关的标准规范。

3 应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运动,而不是只有有限的指令子集在特权模式下运动,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。

4 用户的认证管理

电子商务中企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

5 安全管理

篇10

关键词:安全;电子商务;证书;系统;服务器;防火墙;用户;安全性

电子商务在功能上要求实现实时账户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务系统的安全性提出了更高的要求,必须保证外部网络(internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。

就整个系统而言,安全性可以分为四个层次:

(1)网络节点的安全

(2)通讯的安全

(3)应用程序的安全

(4)用户的认证管理

其中(2)、(3)、(4)层是通过操作系统和web服务器软件实现的,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。

1 网络节点的安全

1.1 防火墙

防火墙是在连接internet和intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的intranet系统。

1.2 防火墙安全策略

应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

1.3 安全操作系统

防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。

2 通讯的安全

2.1 数据通讯

通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。

2.2 安全链路

在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制,ssl首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(ca中心)签发。

验证个人证书是为了验证来访者的合法身份。而单纯地想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(rsa)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出现进入安全状态的提示。

3 应用程序的安全

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。

4 用户的认证管理

4.1 身份认证

电子商务企业用户身份认证可以通过服务器ca证书与ic卡相结合实现。ca证书用来认证服务器的身份,ic卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用id号和密码口令的身份确认机制。

4.2 ca证书

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是ca证书,它由认证授权中心(ca中心)发行。ca中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立ssl安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯地想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

5 安全管理

为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。

对于所有接触系统的人员,按其职责设定其访问系统的最小权限。

按照分级管理原则,严格管理内部用户账号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户账号和密码。

建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

参考文献

[1]屈云波.电子商务[M].北京:企业管理出版社,1999.

[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.

[3]赵战生.我国信息安全及其技术研究[J].中国信息导报.1999,(8):5-7.

[4]郭晓苗.Internet上的信息安全保护技术[J].现代图书情报技术.2000,(3):50-51.

[5]吉俊虎.网络和网络安全刍议[J].中国信息导报.1989,(9):23-24.