电子商务信息安全范文
时间:2023-10-12 17:34:08
导语:如何才能写好一篇电子商务信息安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
1 问题的提出
随着Internet网络技术飞速发展及普及,电子商务(Electronic Commerce,简称EC)已经逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动。电子商务是利用网络技术、计算机技术和通信技术,实现数字化、电子化,商务化,网络化的整个商务过程,它与传统商业活动相比,最大的一个特征就是基于B/S方式下,交易双方在不见面的情况下完成商品贸易活动。
由于Internet自身的共享性、开放性、无缝性,那么以此为平台的在线商务交易安全也面临着日益严峻的挑战。据国家信息中心信息安全研究与服务中心统计,2012年发生了2起源代码被盗事件,2起重大黑客攻击事件,6起信息泄密事件,3起重大漏洞事件。2013年的棱镜门,谷歌抓取支付宝转账信息,酒店开房记录泄露等。据中国互联网产业统计,中国网民在2013年损近1500亿元。对于以上的这些问题,本文将对电子商务信息安全应用进行研究,并提出一些合理的安全解决方法,提高电子商务交易过程中的安全性,降低实施风险。
2 国内外电子商务安全研究现状
2.1 国际电子商务安全研究现状
在电子商务安全研究方面,美国是处于领先地位。美国国家安全局(NSA)在1983年正式颁布“受信计算机系统评量基准”,是目前颇具权威的计算机系统安全标准之一。自“911”恐怖袭击事件之后,美国公司增强了信息技术安全观念,投入大量的经费,同时加强信息技术安全方面的工作。从现在的网络安全研究情况的现实看,解决网络安全问题的根本途径和方向是网络技术创新,即研发新一代网络技术,采取“立体”措施,包括引入“中间件”层及其安全结构,在“网络层”增设面向连接的实时协议、强化整个网络系统的管控智能以及改进终端加密和反黑等措施。
2.2 我国电子商务安全研究现状
国务院在1996年了《中华人民共和国计算机信息网络国际联网管理暂行规定》,公安部在1997年了《计算机信息网络国际联网安全保护管理办法》,2000年由国家信息化推进工作办公室牵头起草的《关于发展我国电子商务的若干意见》上报国家最高决策层进行审议。网络信息安全问题不但得到了政府、企业的高度重视,同时国内的大专院校、研究所和有实力的大公司也纷纷进入网络信息安全问题的研究领域。
3 电子商务信息安全隐患
电子商务的信息存储安全隐患主要包括:(1)内部隐患。主要是网内用户未经许可随意增加、删除、修改或无意或故意地非授权调用电子商务信息。(2)外部隐患。主要是因为软件问题造成外部人员非法闯入内网,造成电子商务信息被增加、删除、修改或调用。
电子商务的信息流动安全隐患主要包括:(1)窃取商业机密。多数电子商务的信息是以明文的方式传输,那么攻击者很容易的对电子商务信息进行监听和截取。(2)攻击商务网站。攻击者通过传播计算机病毒,绕过电子商务网站的防火墙,篡改信息,使其无法正常运转。(3)实施商务诈骗。不法分子通过Internet虚假信息骗取帐号、现金,用户对电子商务产生不信任感,阻碍了电子商务的顺利发展。(4)传播不良信息。不法分子为了达到自己既有目的,在电子商务信息中推送不良信息。
电子商务交易双方的信息安全隐患主要是:(1)商家的信息安全隐患。不法分子冒充合法用户修改商务信息内容,致使电子商务活动中断,造成商家无法从事正常的业务活动。(2)用户的信息安全隐患。不法分子窃用拦截合法用户身份信息,以合法的用户进行电子商务活动,使用户蒙受损失。
4 电子商务信息安全管理
在电子商务活动中,有些信息属于商业秘密,如果失窃,将带来不可估量的损失,因此需有一个能不中断地提供服务及可靠稳定的电子商务平台,任何系统的中断,如软硬件错误,病毒,网络故障等都可能导致电子商务系统不能正常工作,所以电子商务信息的安全管理问题就成了电子商务顺利推进的保障。随着电子商务的深入应用,攻击网络技术和手段不断改进,这就对电子商务信息系统的安全性提出了更高的要求,必须保证外网用户不能对系统构成威胁,所以人们对这些基本技术进行了反复改进以适应更高的安全需求。
4.1 电子商务安全的法制建设及企业内部管理
为了保护用户信息在电子商务活动中不受侵犯,政府应该完善电子商务信息法规,同时,还需制定详尽、具体、具有可操作性的赔偿制度,包括精神赔偿和物质赔偿,为电子商务的发展提供必要的法律保证。
在国内对个人信息安全保护的监管分别由公安部、工业与信息化部等部门管理,多头管理难免会出现监管漏洞。对此可以建议由国安委统一管理,只有权力清晰才能保证监管没有漏洞。
有些安全事件是“祸起萧墙”,这就要求加强企业内部安全管理,培育和加强企业安全意识,通过企业和用户的共同努力来实现。它的基本原则是在系统内发生的所有行为都必须被定义好的,并且符合相应的程序控制要求,所有行为的发生都有审计记录,可以解决许多技术层次解决不了的安全性问题。
4.2 防火墙技术
目前的防火墙分可为两大类,一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先制定好的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址等因素来确定是否允许数据包通过。另一类是应用网管和服务器,其显著的优点是能提供小颗度的存取控制,可针对特别的数据过滤协议和网络应用服务,并且能够对数据包分析并形成相关的报告。通过防火墙技术,可以过滤掉不安全的服务,提高网络安全和减少网络中主机的风险。但防火墙是一种被动安全技术,不能阻止来自内部网络的攻击。唯一的解决办法就是,在每台计算机上都装反病毒软件。
4.3 病毒防范技术
计算机病毒实际上就是在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒绕过系统或违反授权入侵成功后,在系统中植入木马等病毒程序,为以后攻击系统、窃取信息做好准备。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测,工作站上对网络目录及文件设置访问权限等。
现在较流行的反病毒技术基于病毒的特征码扫描法、文件实时监控技术并辅以指令虚拟技术。扫描病毒:分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底。监控病毒:通过利用操作系统底层接口技术,对系统中的指定类型的文件进行实时的行为监控,一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。删除病毒:在删除时采用虚拟技术对变种的病毒进行处理或编写出相应的程序,将病毒移除计算机内存。
4.4 认证技术
安全认证技术主要有:(1)数字摘要技术,也称安全HASH编码法。用于对所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但能产生信息的数字"指纹",目的是为了确保数据没有被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,又称电子签章、公钥数字签名。是一种类似写在纸上的普通的物理签名,就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种变换或数据允许数据单元的接收者用以确认完整性和数据单元的来源并保护数据,防止被人伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中发生抵赖。(3)数字证书技术,又称为数字凭证。负责用电子手段来证实用户的身份和对网络资源访问的权限。(4)数字时间戳技术(DTS)。在文件交易中,时间是十分重要的信息,需对文件交易的时间和日期信息采取安全措施,而数字时间戳服务就能提供电子文件交易时间的安全保护。时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件摘要,DTS的数字签名,DTS收到文件的日期和时间。(5)身份认证实际。是计算机系统通过审查用户身份证明的过程,提供确认和判别用户身份的机制,确定用户是否具有对系统资源操作和访问权限。本质是确认用户身份,用户必须能够证明其身份标识合法性。身份认证技术是访问控制、安全审计、入侵检测等安企机制的基础,在电子商务信息安全理论与技术中占有至关重要的位。目身份认证技术主要有基于口令的认证技术、基于密码学的认证技术、基于智能卡的认证技术以及基于生物学特征的认证技术等。
4.5 安全协议技术
电子商务安全问题的核心是电子交易的安全性,为了彻底解决电子商务的安全机制,人们开发了各种用于加强电子商务安全的协议。当前广泛应用的电子商务安全协议主要有SET协议(Secure Electronic Transaction,安全电子交易)和SSL协议(Secure Sockets Layer,安全套接层),二者都采用了RSA算法加密。
SSL协议提供加密的SSL会话服务、SSL服务器鉴别服务以及SEL客户鉴别服务,实现了浏览器等客户端应用软件与TC/IP协议之间的接口,可以对万维网客户与服务器之间传送的数据信息进行加密和鉴别,在双方握手阶段,对将要使用加密算法和双方共享的会话密朗进行协商,完成客户与服务器之间的鉴别。目前许多运营商利用本身的便利性,使用一些的数据收集工具,分析出客户的需求,并为客户提供同类商品信息,或者是分析其他运营商的数据,产生一种恶性竞争。对于客户来讲,提供相关的其他同类商品的信息,看似是一种个性化的服务,但是同时也是在侵犯用户的隐私,为此在应用层也就客户在浏览网页时,如果客户需要商家提供相关的同类商品的信息时,商家才能对客户的数据进行分析,否则不应任意分析用户的数据。
SET协议是基于应用层的协议,是一种新的电子支付模式,它保证了开放网络上使用信用卡进行在线购物的安全。SET协议具有强大的验证功能,主要是为了解决用户、银行、商家之间通过信用卡的交易而设计的,它具有保证交易数据的完整性,交易的不可抵赖性等优点,因此它成为目前公认的信用卡网上交易的国际标准。
5 结束语
电子商务信息的安全问题是一项复杂的系统工程,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题变得更加突出。它不仅涉及到动态传输信息及静态存储信息的安全问题,还需要保证电子商务信息安全,加快电子商务的发展。还有在非技术方面,需要完善法律制度、管理制度和诚信制度,促进社会公众商务观念的转变等,营造电子商务信息安全的社会大环境。
[参考文献]
[1]金胜男.电子商务的信息安全技术研究.技术研发,2013年第12期.
[2]孟慧敏.电子商务对国际贸易的影响及应用.电脑知识与技术,2013年2月第9卷第5期.
[3]韩文虹.电子商务中安全技术的应用研究.电子商务,2013年2月.
[4]崔敏.基于电子商务的安全技术讨论.网络安全,2013年7月.
[5]龙爱民.电子商务的信息安全技术分析.信息技术,2013年9月.
[6]牟童.电子商务安全体系结构浅析.电子商务与电子政务,2013年3月.
篇2
一 、电子商务信息的安全要素
1.机密性
传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的机密性就变得非常重要。
2.完整性
电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。
3.认证性
网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。
4.有效性
在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保证谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。
二、电子商务网络的安全隐患
1.窃取信息
(1)交易双方进行交易的内容被第三方窃取。(2)交易一方提供给另一方使用的文件被第三方非法使用。
2.篡改信息
电子的交易信息在网络传输的过程中,可能被他人非法的修改、删除这样就使信息失去了真实性和完整性。
3.假冒
第三方可以冒充合法用户发送假冒的信息或者主动获取信息,有可能假冒一方的信誊或盗取被假冒一方的交易成果等。
4.恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。
三、电子商务安全中的几种技术手段
1.防火墙(FireWall)技术
防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。
2.加密技术
数据加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。在网络应用中一般采取两种加密形式:对称加密和非对称加密,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来做出判断。
(1)对称加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。这种加密算法可简化加密处理过程,贸易双方都不必彼此研究和交换专用的加密算法,如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露,那么机密性和报文完整性就可以得到保证。不过,对称加密技术也存在一些不足,如果某一贸易方有n个贸易关系,那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(DES),它主要应用于银行业中的电子资金转账(EFT)领域。DES对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似,但密钥的顺序正好相反。
(2)非对称加密/公开密钥加密
在Internet中使用更多的是公钥系统,即公开密钥加密。在该体系中,密钥被分解为一对:公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开,而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。在公开密钥体系中,加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现,但却不能根据PK计算出SK。
常用的公钥加密算法是RSA算法,加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后用方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。由于加密强度高,而且不要求通信双方事先建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。
3.数字签名
数字签名技术是实现交易安全核心技术之一,它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下几点:接收者能够核实发送者对报文的签名;送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法,采用较多的就是公开密钥算法。
4.数字证书
(1)认证中心
在电子交易中,数字证书的发放不是靠交易双方来完成的,而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。
(2)数字证书
数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中,如双方出示了各自的数字证书,并用它来进行交易操作,那么交易双方都可不必为对方身份的真伪担心。
5.消息摘要(Message Digest)
消息摘要方法也称为Hash编码法或MDS编码法。它是由Ron Rivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用,生成一串128bit的密文,这一串密文又被称为“数字指纹”( Finger Print )。所谓单向是指不能被解密,不同的明文摘要成密文,其结果是绝不会相同的,而同样的明文其摘要必定是一致的,因此,这串摘要成为了验证明文是否是“真身”的数字“指纹”了。
结语:本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指
出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1] 吴洋.电子商务安全方法研究[D].天津大学, 2006.
[2] 李艳.电子商务信息安全策略研究[J].甘肃科技, 2005,(06)
[3] 成卫青,龚俭.网络安全评估[J].计算机工程, 2003,(02).
[4]大卫·范胡斯.电子商务经济学[M].北京:机械工业出版社,2003.
[5]杨善林.电子商务概论[M].北京:机械工业出版社,2003.
[6]刘丽梅. 电子商务信息安全问题探讨[J ] . 物流科技,2007 ,3
篇3
【关键词】电子商务;信息安全;信息技术
电子商务概念源于英文Elect ronic Commerce , 简写EC。美国《商业周刊》认为, Internet 已经成为" 有史以来最激动人心的生意场" 。电子商务介入世界经济活动并成为其中主角是必然的发展趋势。据统计1998 年全球电子商务交易额为1020 亿美元,2003 年电子商务交易额达到1. 3 万亿美元,约占世界贸易总额的1/ 4 ,到2005 年将达到2~3 万亿美元。由于大量的信息在网上传递,大量的资金在网上划拨流动,这就要求网上信息必须具有高度的可靠性和绝对的保密性。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看,信息安全问题是保障电子商务的生命线。
1 、电子商务信息的安全要素
1. 1 机密性
传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的机密性就变得非常重要。
1. 2 完整性
电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。
1. 3 认证性
网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。
1. 4 有效性
在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保证谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。
2 、电子商务安全中存在的问题
电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在以下几个方面。
2. 1 计算机网络的安全
2. 1. 1 安全协议问题
随着经济和信息全球化的时代到来,但安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
2. 1. 2 信息的安全问题
非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易,还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。
2. 1. 3 防病毒问题
电脑病毒问世十多年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
2. 1. 4 服务器的安全问题。
电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些保密数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。目前服务器的安全问题尚无有效措施予以阻止。主要表现在:非法用户向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正常的网络服务,利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。
2. 2 电子商务交易的安全
2. 2. 1 身份的不确定问题
由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段窃取合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从中获得非法收入。主要表现有:冒充他人身份;冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户等。
2. 2. 2 交易的抵赖问题
电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如自己应承担的责任如:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认,商家卖出的商品质量差但不承认原有的交易。在网络世界为交易双方的纠纷进行公证、仲裁。
2. 2. 3 交易的修改问题
交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
2. 3 其他方面的安全
电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。[ ]
3 、保障电子商务信息安全措施
3. 1 数据加密策略
加密技术是电子商务的最基本措施,最初主要用与保证数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。加密技术是一种主动的信息安全防范策略,利用一定的加密算法. 将明文转换成毫无意义的密文。阻止非法用户理解原始数据,从而确保数据的保密性。
比较广泛使用的加密技术有两种:一是对称密钥加密体制,一是非对称密钥加密体制。它们的区别在于密钥的类型不同。
3. 1. 1 对称密钥加密体制
对称密钥加密,又称私钥加密(Secret Key Encryption) ,即数据加密和解密采用的都是同一个密钥,因而其安全性依赖于所持有密钥的安全性,其最大的优点就是速度快,适合于对大数据量进行加密,但其最大的缺点是在大量用户的情况下密钥答理复杂,而且无法完成身份认证等功能,不便于应用于网络开放的环境中。
3. 1. 2 非对称密钥加密体制
非对称密钥加密体制,又称公钥加密( Public Key Encryp2tion) ,数据加密和解密采用不同的密钥,需要使用一对密钥来分别完成加密和解密操作。在非对称密钥加密体制中密钥被分解为一对。这对钥中的在何一把都可作为公开密钥,加密密钥,通过非保密方式向他人公开。而另一把则作为私用密钥加以保存。私用密钥只能由数据的接受者掌握。
利用公钥体系可以方便地实现对用户的身份认证,也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密,信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密,如果能够解开,说明信息确实为该用户所发送,这样就方便地实现了对信息发送方身份的鉴别和认证。
通常在实际应用中将公钥密码体系和数字签名算法结合使用. 在保证数据传输完整性的同时完成对用户的身份认证。
3. 2 防火墙技术
现有的防火墙技术包括两大类:数据包过滤和服务技术。其中,最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避兔对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于: (1) 防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击。(2) 防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。
3. 3 身份验证技术
3. 3. 1 认证系统
网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority ,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA ,否则,一切网上的交易都没有安全保障。
篇4
[关键词] 电子商务信息安全PKI机制
最近几年,电子商务以其便利快捷的特点迅速发展起来,但是安全问题一直是阻碍其发展的关键因素。虽然信息安全技术的研究和应用为互联网络安全提供了必要的基础设施,但是电子商务信息的机密性和完整性仍然是迫切需要解决的问题,本文就是针对这一问题展开了深入研究并提出了解决方法。
一、电子商务中的信息安全问题
1.截获信息。未加密的数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。
2.篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地,从而导致部分信息与原始信息不一致。
3.伪造信息。攻击者冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.中断信息。攻击者利用IP欺骗,伪造虚假TCP报文,中断正常的TCP连接,从而造成信息中断。
二、PKI及其加密体制
电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。其中密码技术和鉴别技术是重中之重,PKI及其加密体制是实现这两种技术的载体。
1.PKI的定义和功能。PKI是对公钥所表示的信任关系进行管理的一种机制,它为Internet用户和应用程序提供公钥加密和数字签名服务, PKI的功能主要包括:公钥加密、证书、证书确认、证书撤销。
2.对称密码体制。对称密码体制的基本特点是解密算法就是加密算法的逆运算,加秘密钥就是解秘密钥。在对称密码系统中发送者和接收者之间的密钥必须安全传送,而双方实体通信所用的秘密钥也必须妥善保管。常见的对称加密算法包括DES、三重DES和IDEA等。
3.非对称密码体制。非对称密码体制也称公钥密码体制。非对称密码体制的基本特点是存在一个公钥/私钥对,用私钥加密的信息只能用对应的公钥解密,用公钥加密的信息只能用对应的私钥解密。著名的非对称加密算法是RSA。RSA使用的一个密钥对是由两个大素数经过运算产生的结果:其中一个是公钥,为众多实体所知;另外一个是私钥,为了确保他的保密性和完整性,必须严格控制并只有他的所有者才能使用。RSA加密算法的最基本特征就是用密钥对中的一个密钥加密的消息只能用另外一个解密,这也就体现了RSA系统的非对称性。
RSA的数字签名过程如下:s=md mod n,其中m是消息,s是数字签名的结果,d和n是消息发送者的私钥。
消息的解密过程如下:m=se mod n,其中e和n是发送者的公钥。
4.数字签名。数字签名通常使用RSA算法。RSA的数字签名是其加密的相反方式,即由一个实体用它的私钥将明文加密而生成的。这种加密允许一个实体向多个实体发送消息,并且事先不需交换秘密钥或加密私钥,接收者用发送者的公钥就可以解密。
5.散列(Hash)函数。MD5与SHA1都属于HASH函数标准算法中两大重要算法,就是把一个任意长度的信息经过复杂的运算变成一个固定长度的数值或者信息串,主要用于证明原文的完整性和准确性,是为电子文件加密的重要工具。一般来说,对于给出的一个文件要算它的Hash码很容易,但要从Hash码找出相应的文件算法却很难。Hash函数最根本的特点是这种变换具有单向性,一旦数据被转换,就无法再以确定的方法获得其原始值,从而无法控制变换得到的结果,达到防止信息被篡改的目的。由于Hash函数的这种不可逆特性,使其非常适合被用来确定原文的完整性,从而被广泛用于数字签名。
三、对称和非对称加密体制相结合的应用模型
将对称和非对称加密体制相结合,能够确保电子商务信息的完整性和机密性。下面是具体的应用模型。
假设Alice和Bob拥有各自的一个公钥/私钥对,由共同信任的第三方颁发的数字证书以及一个对称秘密钥。现在Alice欲发送消息给Bob,并且要求确保数据的完整性,即消息内容不能发生变动;同时Alice和Bob都希望确保信息的机密性,即不容许除双方之外的其他实体能够察看该消息。
加密过程:Alice按照双方约定的规则格式化消息,然后用Hash函数取得该消息的哈希值,该值将被用来测试消息的合法性和完整性。接着Alice用私钥对消息和散列值进行签名。这一签名确保了消息的完整性,因为Bob认为只有Alice能够生成该签名,这是由于只有Alice能够使用自己的私钥为该消息签名。但这仅仅保证了消息的完整性,而没有确保其机密性。为此,Alice必须向Bob提供它用来给消息加密的对称秘密钥,以使得Bob能够用其解密被Alice加密过的消息。Alice用Bob的公钥将自己的对称秘密钥签名(加密),这样就形成了一个数字信笺,并且只有Bob才能将其打开(解密),因为只有Bob能够访问用来打开该数字信笺的私钥。这样就为Alice向Bob传输对称秘密钥提供了机密性。
篇5
[关键词]电子商务;PKI;公钥密码系统
前 言
电子商务(E-Commerce)是在Internet开放的网络环境下,基于浏览器服务器的应用方式,实现消费者的网上购物商户之间的网上交易和在线电子支付的商业运营模式最近几年,电子商务以其便利快捷的特点迅速发展起来,但是安全问题一直是阻碍其发展的关键因素虽然PKI的研究和应用为互联网络安全提供了必要的基础设施,但是电子商务信息的机密性和完整性仍然是迫切需要解决的问题,本文针对这一问题展开了深入研究并提出了解决方法
1 PKI的定义和功能
PKI——公钥基础设施,是构建网络应用的安全保障,专为开放型大型互联网的应用环境而设计PKI是对公钥所表示的信任关系进行管理的一种机制,它为Internet用户和应用程序提供公钥加密和数字签名服务,目的是为了管理密钥和证书,保证网上数字信息传输的机密性真实性完整性和不可否认性,以使用户能够可靠地使用非对称密钥加密技术来增强自己的安全水平PKI的功能主要包括:公钥加密证书证书确认证书撤销
2 公钥密码系统
由于PKI广泛应用于电子商务,故文章重点放在讨论RSA公钥密码系统上RSA的安全性是基于数论和计算复杂性理论中的下述论断:求两个大素数的乘积在计算上是容易的,但若分解两个大素数的积而求出它的因子则在计算上是困难的,它属于NPI类
2. 1RSA系统
RSA使用的一个密钥对是由两个大素数经过运算产生的结果:其中一个是公钥,为众多实体所知;另外一个是私钥,为了确保其保密性和完整性,必须严格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密钥对中的一个密钥加密的消息只能用另外一个解密,这也就体现了RSA系统的非对称性RSA具有加密和数字签名功能RSA产生公钥/私钥对加解密的过程如下:
2. 1. 1产生一个公钥/私钥对
(1)选取两个大素数p和q,为了获得最大程度的安全性,两个数的长度最好相同两个素数p和q必须保密
(2)计算p与q的乘积:n =p*q
(3)再由p和q计算另一个数z = (p-1)*(q-1)
(4)随机选取加密密钥e,使e和z互素
(5)用欧几里得扩展算法计算解密密钥d,以满足e*d = 1mod(z)
(6)由此而得到的两组数(n,e)和(n,d)分别被称为公钥和私钥
2. 1. 2加密/解密过程
RSA的加密方法是一个实体用另外一个实体的公钥完成加密过程,这就允许多个实体发送一个实体加密过的消息而不用事先交换秘密钥或者私钥,并且由于加密是用公钥执行的,所以解密只能用其对应的私钥来完成,因此只有目标接受者才能解密并读取原始消息
在实际操作中,RSA采用一种分组加密算法,加密消息m时,首先将它分成比n小的数据分组(采用二进制数,选取小于n的2的最大次幂),加密后的密文c,将由相同长度的分组ci组成加密公式简化为:
ci =mie(modn)
即对于明文m,用公钥(n,e)加密可得到密文c:
c = memod n ,其中m = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
解密消息时,取每一个加密后的分组ci并计算:mi=ci d(mod n),便能恢复出明文即对于密文c,用接收者的私钥(n,d)解密可得到明文m:
m = cd mod nm = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
2. 1. 3数字签名
RSA的数字签名是加密的相反方式,即由一个实体用它的私钥将明文加密而生成的这种加密允许一个实体向多个实体发送消息,并且事先不需交换秘密钥或加密私钥,接收者用发送者的公钥就可以解密
RSA的数字签名过程如下:
s = md mod n , 其中m是消息,s是数字签名的结果,d和n是消息发送者的私钥
消息的解密过程如下:
m = se mod n , 其中e和n是发送者的公钥
2. 1. 4散列(Hash)函数
MD5与SHA1都属于Hash函数标准算法中两大重要算法,就是把一个任意长度的信息经过复杂的运算变成一个固定长度的数值或者信息串,主要用于证明原文的完整性和准确性,是为电子文件加密的重要工具一般来说,对于给出的一个文件要算它的Hash码很容易,但要从Hash码找出相应的文件算法却很难Hash函数最根本的特点是这种变换具有单向性,一旦数据被转换,就无法再以确定的方法获得其原始值,从而无法控制变换得到的结果,达到防止信息被篡改的目的由于Hash函数的这种不可逆特性,使其非常适合被用来确定原文的完整性,从而被广泛用于数字签名
2. 2对称密码系统
对称密码系统的基本特点是解密算法就是加密算法的逆运算,加秘密钥就是解秘密钥它通常用来加密带有大量数据的报文和问卷通信的信息,因为这两种通信可实现高速加密算法在对称密码系统中发送者和接收者之间的密钥必须安全传送,而双方实体通信所用的秘密钥也必须妥善保管
3 应用模型
利用公钥加密系统可以解决电子商务中信息的机密性和完整性的要求,下面是具体的应用模型在本例中,Alice与Bob两个实体共享同一个信任点,即它们使用同一CA签发的数字证书因此,它们无需评价信任链去决定是否信任其他CA
3. 1准备工作
(1)Alice与Bob各自生成一个公钥/私钥对;
(2)Alice与Bob向RA(机构)提供各自的公钥名称和描述信息;
(3)RA审核它们的身份并向CA提交证书申请;
(4)CA格式化Alice和Bob的公钥及其他信息,为Alice和Bob分别生成公钥证书,然后用自己的私钥对证书进行数字签名;
(5)上述过程的结果是,Alice与Bob分别拥有各自的一个公钥/私钥对和公钥证书;
(6)Alice与Bob各自生成一个对称秘密钥
现在,Alice和Bob拥有各自的一个公钥/私钥对,由共同信任的第三方颁发的数字证书以及一个对称密钥
3. 2处理过程
假设现在Alice欲发送消息给Bob,并且要求确保数据的完整性,即消息内容不能发生变动;同时Alice和Bob都希望确保信息的机密性,即不容许除双方之外的其他实体能够查看该消息完成这样要求的处理过程如下:其中步骤1~5说明Alice加密消息过程;步骤6~10说明Bob解密消息的过程 转贴于
(1)Alice按照双方约定的规则格式化消息,然后用Hash函数取得该消息的散列值,该值将被用来测试消息的合法性和完整性
(2)Alice用私钥对消息和散列值进行签名(加密)这一签名确保了消息的完整性,因为Bob认为只有Alice能够生成该签名,这是由于只有Alice能够使用自己的私钥为该消息签名值得注意的是:现在任何有权访问Alice公钥的实体都能解密该被签名的消息,所以我们仅仅是保证了消息的完整性,而没有确保其机密性
(3)由于Alice和Bob之间想保持消息的机密性,所以Alice用它的对称秘密钥加密被签名的消息和散列值这一对称秘密钥只有Alice和Bob共享而不被其他实体所用注意,在本例中,我们使用了一个对称秘密钥,这是因为对于加密较长消息诸如订购信息来说,利用对称加密比公钥加密更为有效
(4)Alice必须向Bob提供它用来给消息加密的对称秘密钥,以使得Bob能够用其解密被Alice加密过的消息Alice用Bob的公钥将自己的对称秘密钥签名(加密),这里我们假设Alice事先已经获得Bob的公钥,这样就形成了一个数字信笺,并且只有Bob才能将其打开(解密),因为只有Bob能够访问用来打开该数字信笺的私钥注意,一个公钥/私钥对中,用其中一个密钥加密的信息只有用另外一个密钥才能解密这就为Alice向Bob传输对称秘密钥提供了机密性
(5)Alice发送给Bob的信息包括它用对称秘密钥加密的原始消息和散列值,以及用Bob公钥加密的包含Alice的对称秘密钥的数字信笺图1描述了Alice使用数字签名向Bob发送消息(步骤1~5)
(6)Bob用它的私钥打开(解密)来自于Alice的数字信笺完成这一过程将使Bob获得Alice以前用来加密消息和散列值的对称秘密钥
(7)Bob现在可以打开(解密)用Alice的对称秘密钥加密的消息和散列值解密后Bob得到了用Alice的私钥签名的消息和散列值
(8)Bob用Alice的公钥解密签名的消息和散列值注意,一个公钥/私钥对中,用其中一个密钥加密的信息只有用另外一个密钥才能解密
(9)为了证实消息没有经过任何改动,Bob将原始消息采用与Alice最初使用的完全一致的Hash函数进行转化
(10)最后,Bob将得出的散列值与它从所收消息中解密出来的散列值对比,若二者相同,则证明了消息的完整性图2描述了Bob解密和对比散列值的过程(步骤6~10)
3. 3实现方法
采用Java语言实现系统,Java语言本身提供了一些基本的安全方面的函数,我们可以在此基础上实现更为复杂和有效的应用系统系统中主要的类实现如下:
(1)Data Encryption类该类主要实现明文向密文的转换,依据RSA算法的规则实现非对称加密,其中密钥长度为128位每次可加密数据的最大长度为512字节,因此对于较长数据的加密需要划分适当大小的数据块
(2)Data Hash类该类完成对所要加密消息产生对应的散列值,对于不同的消息,散列值是不相同的可以借助Java中提供的Hash函数来实现
(3)Data Decryption类该类主要实现密文向明文的转换,依据依据RSA算法的规则,利用加密方的公钥对密文进行解密,并将解密后的明文按序排好
4 结束语
文章以PKI理论为基础,利用公钥密码系统确保了电子商务过程中所传输消息的完整性,使用对称加密系统实现对较长消息的加密,并保证了消息的机密性文章的理论研究和实现方法,对于保障电子商务活动中消息的完整性和机密性具有重要的指导意义
主要参考文献
[1] 周学广,刘艺. 信息安全学[M]. 北京:机械工业出版社,2004.
篇6
电子商务信息安全问题主要有:
1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006
篇7
一、电子商务的基本概述
如今在英文中人们多用Electronic Bussiness来表示电子商务这一词汇,这体现了电子商务内容和模式的多元化、多方向。联合国国际贸易程序简化工作组对电子商务给出了一个概括性的定义:电子商务是采用电子形式开展的商务活动。它包括在供应商、客户以及其他参与方之间通过任何电子工具,如Web技术、电子邮件等共享非结构化或结构化商务信息,并管理和完成在商务活动、管理活动和消费活动中的各种交易。
1.电子商务的兴起及其原因
(1)电子商务的产生
电子商务起源于电子数据处理技术。随着网络技术的发展,电子数据资料的交换载体从软盘、磁带等转变为网络。银行间的电子资金转账技术与企事业单位间的电子数据交换技术相结合,成为早期电子商务的催生剂。信用卡、自动柜员机和电子资金转账技术的发展,以及相应的网络通信技术和安全技术的发展,最终导致了电子商务的产生。
(2)电子商务的发展阶段
电子商务是伴随着计算机技术和网络技术的发展而逐步走向成熟的。它的发展是传统商务想电子商务的演进过程。在这个历程中,我们可以大致将其分为几个阶段:
第一,电子商务初级阶段
这个阶段的电子商务是在传统商务的基础上,增加了电子邮件的信息传递方式以及利用Web功能手机和信息的手段,特点是以传统商务为主,电子商务为辅。这一阶段电子商务的整体效应远没有发挥出来。
第二,电子商务实用阶段
在实用阶段中,电子商务整体架构已经形成,而且已初步解决交易电子化技术和环境方面的障碍。电子商务开始占据市场的主导地位,但仍有一些传统商务手段难以被替代。在此阶段,电子商务开始体现其在企业竞争中的巨大优势。
第三,电子商务的成熟阶段
经过不断的研究,电子商务走向了成熟。在企业外部,使企业与供应商、客户以及合作伙伴之间形成了供应链系统。而在企业内部,加强了企业内部各事业部、各子公司之间的沟通,强化内部管理,提搞工作效率,大大提高企业竞争力。
2.电子商务的内涵与价值
从电子商务的定义中,可以总结出电子商务的内涵,即:信息技术,特别是互联网技术的出现和发展是开展电子商务的前提条件,掌握现代信息技术和业务理论控制是电子商务活动的核心;系列化,系统化电子工具是电子商务活动的基础;商品贸易的中心,即各种经济事务活动是电子商务的对象。
总结来说电子商务的内涵是:信息运营、集成信息资源、商务贸易、协作交流。
二、电子商务信息的概述
电子商务的安全性不是单个存在的概念,它是从整个计算机安全问题中衍生出来的。所以只要是与计算机网络安全有关的问题都会对电子商务有影响。
社会发展离不开信息,人们已经走入了网络时代,而电子商务在这其中已成为商务活动的新模式,越来越多的商务活动在网上直接完成,这样的发展前景绝对是一片光明。可电子商务的信息安全问题也越来越受到人们的重视,怎么样才能创造一个方便、快捷的应用环境,让所有信息不泄露,已经成为人们最热衷的讨论。
1.电子商务信息安全的发展策略
(1)加强与电子商务有关的意识
电子商务的出现让整个商务活动的重心发生了转移,以前的商务活动是以货物为中心的,而现在的商务活动已经基本转换为以信息为中心了,这样的转变无疑让电子交易的效率有了巨大的提高,也大大节约了人财物等资源。我们必须意识到企业信息化的有利之处,了解它能给我们带来些什么,尽量的运用它,只要坚持下去,在不久的将来一定能够看到实际的效益。
(2)加速推动金融电子化发展
金融电子化是电子商务之中必不可少的一环,运用电子支付不仅更加方便快捷而且可以确保各类电子商务活动安全有序的开展。在此期间我们应该要建立一个统一的在线支付程序,而在信息安全、银行信用等级评定方面也要有一个供大众衡量的标准。只有拥有了统一的标准和相关的法律规范整个电子商务的发展环境才能有所改善。
(3)建立安全的电子商务环境
这里所提到的电子商务环境包括社会环境以及实施环境。对于电子商务的社会环境我们应该加强相关的法律政策、加强构建和谐的网络文化环境;而想要建立一个好的电子商务实施环境则需要做好相关的服务器测评工作,有效的利用防火墙技术以及数字证书和认证技术保护好整个传输过程中的信息。能否做到这些将关系到电子商务未来的发展前途。
三、电子商务信息安全技术的分析与研究
1.电子商务信息面临的安全问题
电子商务能够将整个交易过程中的各个阶段电子化。在这个过程中参与者是它的对象,信息技术是它的基础,而信息安全不泄露则是实施电子商务的前提。人们通常所讲的信息安全性指的是信息的可用性、完整性可靠性以及保密性。所以电子商务活动里的信息安全问题基本可以概括为以下几点:
(1)计算机网络安全威胁
电子商务有三流:即信息流、资金流和物流,而其中信息流是最为关键的,因为物流和资金流都是由信息流所带动的,整个商务活动信息流是源动力和主体。电子商务和传统商务的不同之处就是在于它是以网络来交换和传递信息的,所以计算机网络是否安全将直接关系到电子商务活动的安全性。一般计算机网络中的安全问题包括安全协议问题、信息安全问题、病毒问题以及服务器安全问题。
(2)商务交易安全威胁
在以互联网为基础的前提下进行传统的商务活动是有很多风险的,因为互联网本身就存在着很多威胁。互联网的出现是因为人们又资源共享的理想和需求,它的自由度极高,可以最大限度地传递资源,但同时人们也更容易通过得到的信息进行不法勾当。网络交易一般存在的问题包括一下几个方面:
2.电子商务信息安全性的要求
因为很多电子商务活动中的安全问题还没有能够得到有效的解决,所以电子商务很难顺利的进行,为了电子商务的发展,我们有义务保证它的安全性,也有责任创建一个良好的环境,要实现这个目标我们必须做到一下这些要求:
(1)信息的保密性
商务信息在交易过程中要保密,尤其是涉及到商业机密和支付等重要信息时决不能随便的让他人得知信息内容,否则可能整个交易就会被破坏。
(2)信息的完整性
这里所说的完整性是指活动过程中的信息不被篡改和遗漏,在整个数据处理过程中,原有数据和现有数据应该始终保证完全一致,而且为了保护交易各方的合法权益所有的交易文件都不能修改。
(3)通信的绝对性
在电子商务活动中必须保证参与传递接受信息的各方都有足够的证据证明发送或接受的行为发生过,整个通信不可抵赖、不可否认。
如果人们参与电子商务活动而人个的隐私却得不到保护,那么电子商务势必不能长久地发展,所以保护个人隐私也是极为重要的,这对人们参与电子商务活动的积极性有着决定性的影响。
篇8
煤炭企业电子商务环境下的信息安全
煤炭企业电子商务网络安全严格控制计算机安全技术应用的管理,必须先制定一个完整且良好的测量、实施、管理机制,突出事前控制,并加强控制,完善售后服务控制。完善事件的控制手段,以避免变更设计研究所造成的损失。煤炭企业电子商务的信息内容容易成为黑客等的主要攻击目标。这一信息中包含了大量的重要客户的重要基本信息,例如真实的身份信息(身份、地址、联系信息等)、账户信息(账号、密码等)、信用信息、交易记录。在现代信息技术的支持下,这些内容的重要财务资料会很容易被非法使用并获得最直接的经济效益。煤炭企业电子商务高度集中,为提高企业的灵活性使用大量的开放平台,使财务信息的操作系统环境面临更多的风险和漏洞,所以应该统一规划建设、全面综合防御、技术管理并重、保障运营安全。统一规划建设,突出了进行统筹规划的重要性,提供了的安全建设所需的统一技术标准、管理规范,以及实施步骤的安排,也保证了人员和资金的投入。全面综合防御,是指在技术层面上,综合使用了多种安全机制,将不同安全机制的保护效果有机地结合起来,构成完整的立体防护体系。技术管理并重,突出了安全管理在信息安全体系中的重要性,仅仅凭借安全技术体系,无法解决所有的安全问题,安全管理体系与技术防护体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷,实现了最佳的保护效果。保障运营安全,突出了安全保障的重要性,利用多种安全保障机制,保障了网络和信息系统的运行安全,也保障了金融业务的持续性和业务数据的安全性。煤炭企业电子商务建立信息安全体系,必须针对金融业网络和信息系统的特点,在现状分析和风险评估的基础上有的放矢地进行,不能简单地照抄照搬其它的信息安全保障方案。同时,信息安全体系中的所有内容,都被用来指导金融业信息安全系统的建设和管理维护等实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象。严格的内部控制制度应包括一个可控的环境、及时的风险评测、有效的控制活动、完整的会计、信息及通讯交流系统和完善的自我评估监测机制等。同时,煤炭企业应采用合理的风险缓释和转移技术,对没有能力控制又具有低频高位特性的风险进行控制。风险监测和度量用来对上述的步骤进行监控,主要内容包括对本煤炭企业操作风险的定性和定量的风险管理进行监控。计算机信息安全在电子商务中的损失事件数据的采集是一个严谨的业务过程,要在完善的采集数据流程下逐环节实现对数据的审查和控制工作,保证损失事件数据的合理性,为后期提供合理的数据分析、推演正确的风险走势及制定合理的操作风险应对计划提供基本依据。网络安全一种机制,针对某种操作风险指标,设定其发展环境和条件,来判定关键风险指标定期定量趋势分析,使得可在相应操作风险关键风险指标有异常变化之初就能判定其走势和趋向。网络安全体系内的内部邮件平台,辅助进行信息传达,可以作为独立的信息配送方式,也可以与业务及流程结合,实现信息的自动回复和提醒。支持常用收发邮件功能,包括邮件收取、撰写、发送、转发、回复等;支持SMTP,ESMTP,POP3等邮件收发协议,既可以作为系统内部信息传递机制,也可以与现有邮件系统进行整合,支持邮件互通。
煤炭企业电子商务中的网络采购煤炭企业电子商务电子采购是一个非常典型的商业模式,将涉及各种电子商务。电子采购是电子商务企业的重要组成部分,它已经成为B2B市场增长最快的一部分。煤炭企业电子商务采购回报高,除了节约采购成本的产品和服务的商业价值的投资活动,也可以有个更广泛的选择空间,降低采购风险,周期时间,并促进服务供应商更完美。煤炭企业电子商务的电子采购是电子商务的领域之一,最有可能被传统的企业所接受。煤炭企业电子商务的电子采购及采购的规划和运作,与库存的政策和战略采购,材料供应商,交付和交付模式的谈判。采购过程中包含申请、采购审核、产品和供应商的搜寻,以及搜寻、谈判、交易、支付等。通过电子商务的应用,打造系统范围的一体化式的项目管理。通过客户的内部需要管理,拟定项目的框架结构,该框架的内容将涉及许多方面的内容,如财务、采购、实施、质量和其它方面的管理。通过调查研究,细化完成的项目实施过程,始终关注在项目实施有关控制项目的范围,从而达到对项目质量、时间、成本的管控。优化计算机安全技术应用可以通过需要健全设计变更审批制度,建设单位应当按照施工计划,确实需要改变原设计施工过程中计划,应该是尽可能提前改变,因为变化越快,损失越少;每次更改之前,必须对项目的数量和成本变化分析。如果改变项目的成本超过总预算,必须经有关部门审查和批准,并根据变化,以防止共增加设计内容,设计标准,并增加项目成本的事情发生。严格控制计算机安全技术应用的管理,必须先制定一个完整的良好的测量、实施、管理机制,突出事前控制,并加强控制,完善售后服务控制。完善事件的控制手段,以避免变更设计研究所造成的损失。除非有特殊情况,一般的计算机安全技术应用变更必须建立基准施工方案,在此方案的基础上进行变更,经由计算机安全技术应用审计师批准,可以由业主实施后批准该项目程序。此外,计算机安全技术应用的变化和变化的成本计划联系,所以项目的报告中描述的变化更改处理程序,还必须注明相应的更改的价格,使业主对成本决策有所了解,避免成本失控。
电子数据交换煤炭企业电子商务商务数据交换(EDI),也叫“无纸化交易”(无纸贸易)。指贸易双方按照一定的结构与标准的贸易信息,通过数据通信网络,参与交易双方的电脑传输和自动处理的协议。EDI具有一定的计算机应用系统之间的数据自动交换和处理这些数据的结构特点,被称为电子文档。电子数据交换的目的,是电子文档代替纸质文件。煤炭企业电子商务,大大提高了煤炭企业业务交易的效率,降低了成本。
电子商务中的入侵检测系统
入侵检测系统(IntrusionDetectionSystem简称IDS),是对煤炭企业电子商务入侵行为进行安全检测的监控系统,监控煤炭企业电子商务的运行状态,及时发现来自煤炭企业电子商务的攻击,对煤炭企业电子商务攻击行为或者攻击结果做出报警或做出相应的响应机制,保证煤炭企业电子商务系统资源的完整性。
入侵检测基本原理煤炭企业电子商务的入侵检测系统主要由主体(subjeets)、对象(Objeets)、审计记录(AuditsReoords)、活动简档(profiles)、异常记录(AnomalyRecords)和活动规则(ActivityRules)6个部分组成,目前的入侵检测系统都是在此模型的基础上产生的,它也揭示了入侵检测基本原理。
煤炭企业电子商务信息安全防护策略虽然近年来黑客活动越来越为猖獗,攻击事件越来越多,但采取完善的防护措施,依然能有效地保护煤炭企业电子商务信息安全。安装必要的防黑软件、杀毒软件、防火墙,是普通计算机用户煤炭企业电子商务信息安全防护的重要手段之一。通过杀毒软件,可以有效地将病毒和木马拒之门外,减少计算机口令的泄露机会和数据被窃的可能性。
结语
篇9
1.信息有效性、真实性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各信息的差异。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
4.信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性要求即是能建立有效的责任机制,防止实体否认其行为;可鉴别性要求即是能控制使用资源的人或实体的使用方式。
5.系统的可靠性
电子商务系统是计算机系统,其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
二、电子商务的信息安全技术
1.数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
1)电子商务领域常用的加密技术数字摘要(digitaldigest)
这一加密方法亦称安全Hash编码法,由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。
数字签名(digitalsignature)
数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要),用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密,如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别。概括的说,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
数字时间戳(digitaltime-stamp)交
易文件中,时间是十分重要的信息。在电子交易中,需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS收到文件的日期和时间;DTS的数字签名。
数字证书(digitalcertificate,digitalID)数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前,最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书,证书作为网上交易参与各方的身份识别,就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心,并提供自己的身份证明信息,证明自己是相应公钥的拥有者,认证中心审查用户提供的信息后,如果确认用户是合法的,就给用户一个数字证书。这样,每个成员只需和认证中心打交道,就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说,数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型:个人凭证、企业(服务器)凭证、软件(开发者)凭证;大部分认证中心提供前两类凭证。
2.身份认证技术
为解决Internet的安全问题,初步形成了一套完整的Internet安全解决方案,即被广泛采用的公钥基础设施(PKI)体系结构。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
1)认证系统的基本原理
利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间利用证书来保证信息安全性和双方身份的合法性。
2)认证系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和WebPublisher。
核心系统跟CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时,颁发证书。
证书的登记机构RegisterAuthority,简称RA,分散在各个网上银行的地区中心。RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA中心。
证书的公布系统WebPublisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。
3.网上支付平台及支付网关
网上支付平台分为CTEC支付体系(基于CTCA/GDCS)和SET支付体系(基于CTCA/SET)。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。
支付网关位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。此外,支付网关还具有密钥保护和证书管理等其它功能。
三、电子商务信息安全中的其它问题
1.内部安全
最近的调查表明,至少有75%的信息安全问题来自内部,在信用卡和商业诈骗中,内部人员所占的比例最大;
2.恶意代码
它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大;
3.可靠性差
目前,Internet主干网和DNS服务器的可靠性还远远不能满足人们的要求,而绝大
部分拨号PPP连接质量并不可靠,且速度很慢;
4.技术人才短缺
由于Internet和网络购物都是在近几年得到了迅猛的发展,因而,许多地方都缺乏足够的技术人才来处理其中遇到的各种问题,尤其是网络购物具有24x7(每天24小时,每周7天都能工作)的要求,因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“硬件”,那么人才问题则可以说是“软件”。从某种意义上讲,软件的问题解决起来可能更不容易,因此,技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。
5.Web服务器的保护意识差
在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上,因此,即使保密信息被客户端接收之后,也必须对存储在服务器中的数据进行保护。目前,Web服务器是黑客们最喜欢攻击的目标。因此,建议尽量不要将Web服务和连接到任何内部网络,而且要定期对数据进行备份,以便于服务器被攻击之后对数据进行恢复。当然,这毕竟有些不太现实,现在许多流行的Web应用都需要Web服务器与公司的数据库进行交互式操作,这就要求服务器必须与公司内部网络相连,而这个连接也就成为黑客们从Web站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web站点进行保护,但商家却很少安装防火墙或对其缺乏有效的维护,因而没有对Web服务器进行很好的保护,这是商家的Web站点尤其要引起注意的地方。
四、与电子商务安全有关的协议技术讨论
1.SSL协议(SecureSocketsLayer)安全套接层协议———面向连接的协议。
SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。但它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
2.SET协议(SecureElectronicTransaction)安全电子交易———专门为电子商务而设计的协议。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
结束语
本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
[摘要]电子商务对人类社会经济产生了重大影响,在创造巨大经济效益的同时,也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中,已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题,对加快电子商务的发展步伐提出了一些重要思考。
[关键词]电子商务;安全需求;安全技术;
[参考文献]
①姚立新,新世纪商务:电子商务的知识发展与运作,中国发展出版社,1999年。
②《中国电子商务年鉴》2003卷。
③陈海滨,企业电子营销发展对策浅析,湖南大学学报,2001年。
篇10
1.1网络安全风险
互联网作为一个开放的环境,其各种服务器数据库中的信息在理论上也属于对外开放的,访问者可以对信息进行查看。因此,网络会计信息系统难以阻挡非法访问者的侵扰和攻击,尤其是在系统程序出现问题导致系统存在安全漏洞并且管理人员未察觉时,使得服务器上的会计信息资源遭到窃取或篡改。此种情况的发生可能源于系统外部,也可能源于系统本身。一旦问题发生,企业将遭受难以估量的损失。
1.2无纸化的申报和扣税带来税务稽查问题
电子货币及电子发票的出现为实现网络交易电子化提供了条件,在电商迅猛发展的情况下,纳税人手工上门申报方式已经不能跟上电子商务发展的步伐,同时产生了电子税收问题,即如何保证纳税单位遵守相关规定按时进行网上申报。而税务稽查的前提是掌握确切的应税会计信息,因此,会计信息安全问题会引发税务稽查问题。
1.3追踪审计困难
从审计工作的角度看,由于数据主要储存在电子商务系统中,而电子商务系统无法避免数据错误处理情况的发生,这为部分工作人员利用职务之便谋取私利或者为减少企业纳税创造了条件,导致后期审计十分困难。此外,会计信息系统在进行前期设计时未考虑审计工作的需要,没有为审计提供证据,因此,无纸化的电子商务环境加大了对电子商务活动审计的难度,同时,各种会计信息凭证的可修改更是使得对电商的审计工作难度加大。
1.4相关的法律法规配套不完善
随着电子商务的进一步发展,公司的虚拟化程度越来越高,其规模也越来越小,人力资源与知识产权等是现阶段公司收益的主要来源,会计报告中会涉及知识产权、商誉等内容及其经济价值。在我国,电子商务活动的相关法律法规尚不健全,难以解决电子商务会计活动中出现的问题,这为会计信息安全增加了风险。
1.5现行财务会计软件不成熟带来的会计信息安全风险
在当前市场上有各种财务软件,虽然其在一定程度上满足电子商务会计发展的需要,但仍难以真正确保电商会计信息安全。现有的财务软件存在适应性差、应变能力弱等问题,不能适应电子商务发展所需,或者在某种程度上会加大风险系数。因此,电子商务会计软件开发技术的不成熟成为制约电子商务会计发展的主要因素。因为会计信息是企业管理的重要依据,电子商务企业需要利用电子商务网络进行会计信息的收集等活动,如何利用电子商务安全技术对会计信息进行加密操作,以确保会计信息安全性和准确性,是企业开展电子商务面临的主要难题。
2电子商务环境下的会计信息系统安全策略研究
2.1提高网络安全性的具体方法
(1)保证会计信息原始数据的完整和准确。
会计信息原始信息的完整性是应对企业会计信息系统突发事件的前提保证,因此,保证会计信息原始数据的安全极为重要,假使会计信息的原始数据遭到篡改,会造成数据信息虚假或有误,然而会计信息系统本身并不具备对数据的鉴别能力,导致会计信息失真,从而引发电商企业的财务会计问题。因此,如何保证原始会计数据的准确性及完整性,是保证会计信息安全的重要前提。
(2)保证信息处理安全。
良好的数据处理能力体现了会计信息系统的优势,财务系统处理的业务均直接涉及企业的利益,其敏感性和机密性显而易见,在数据处理时,必须保证数据的完整。因此,在数据处理期间,会计信息系统网络必须对外封闭,内部网络的使用必须在可监控的环境下进行,不能与外界网络终端连接,而且不能与其他无关的部门共享网络资源。封闭是相对的,为了提高企业的办公效率,内部财务信息系统可实现资源共享,需要强调的一点是,网络资源的处理必须包括加密操作。
(3)保证信息储存的安全。
会计信息系统面临的主要威胁来自黑客入侵与计算机病毒,操作人员在进行数据存储时需要加倍注意,建立一套科学的、系统的数据存储管理机制。
2.2妥善处理无纸化交易的税务稽查问题
电商时代的无纸化交易形式淘汰了传统的纸质发票,引发了电商企业与国家管理部门之间的矛盾,因此,如何保证数据的完整性是一项颇为重要的工作。为了使会计凭证得到保证,即保证数据的真实性,参与交易的双方可以通过选择具有法律效应的认证途径比如认证中心,证实网上交易双方的真实身份。同时,企业可以借助各种会计凭证的鉴别对参与客户的付款能力进行判定,比如每一家企业都在银行或者互联网认证中心签订协议,领取本企业的数字签名等具有验证功能的符号或代码,而当业务发生时,交易双方可通过相应的验证符号或代码进行交易活动,这样既验证了交易双方的身份,也保证了交易活动的真实性,使得财务数据有据可查。
2.3解决追踪审计困难的具体方案
在传统的会计处理过程中,会计凭证中都包含有具有法律效应的证据,比如负责人签名等。那么,在电子商务环境下,可以应用电子技术进行电子签名,比如现在应用最广的数字签名技术。首先,发送方将附有个人信息的交易数据通过计算机系统传递给另一方,而接受方通过财务信息系统对电子数据报文等内容进行审核,然后,电子数据作为合法的业务数据存入会计信息系统,此时的数据为原始财务信息数据。此种非纸质版的签名具有两个方面的意义:①保证信息来源于交易者本人,倘若有后续问题出现,此份信息可作为凭证;②保证信息在交易者签发至收到过程中的完整性,不存在被篡改的可能,所以,该信息是真实信息。由于数字签名技术是一种加密技术,包含加密、解码等操作,其复杂性为数据的真实性提供了保障。从某种程度而言,数字签名可以取代手工签名,其同样受到法律的保护,这大大减小了审计的难度。
2.4完善相关法律
在与电子商务相关的法律法规的建设上,一方面,要加强立法,紧跟时代脚步,完善相关的法律法规,为电子商务发展法律保障。另一方面,要借鉴发达国家在电子商务信息安全建设上的成功经验,结合中国的实际情况,对计算机网络安全管理的法律进行修订,以应对多变的市场环境,使其更符合电商时代的要求。
2.5更新改善相关会计软件
在如今以电子技术为主导的市场环境下,软件的后期更新管理工作不容忽视,尤其是电商企业,其财务信息已实现电子化,财会软件的安全问题轻则造成企业的财务损失,重则危及企业的生存。本文认为,“微”规模的电商企业可与“微”规模的软件企业进行合作,软件企业为电商企业定期进行软件维护工作,实现软件的良好管理和更新,同时为电商企业定期进行系统审核,检查电子商务系统的安全性,从而保证财会信息的安全。
3结语
