电子商务安全分析论文

导语：电子商务安全分析论文一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

【摘要】:随着互联网的全面普及,基于互联网的电子商务也应运而生,并在近年来获得了巨大的发展,成为一种全新的商务模式。针对目前电子商务中的安全问题，本文阐述了决定电子商务信息安全的要素和目前在电子商务中常用的安全技术以及企业实现电子商务的一些安全策略。介绍了几种应用于电子商务中的信息安全防范技术。

【关键词】:电子商务信息安全网络

人类社会进入20世纪70年代以来,以微电子技术为基础的计算机技术和通信技术取得了长足的进展,并渗透到经济和社会的各个领域,从而引起了世界范围内的新技术创新浪潮。信息化建设受到各国政府的高度重视,1991年美国提出"信息高速公路"的设想,1993年正式实施"国家信息基础结构:行动计划";1978年法国制定了一项有关"促进社会信息化的计划",从那以后,法国政府不断推进信息革命,每年投入50亿美元巨款改进通信设备;早在1983年,我国政府就把发展信息技术纳入了国家总体科技论文发展战略规划中,1999年,我国政府上网工程迅速推进,国家信息化战略、数字化产品发展战略、电子商务发展框架也都在加紧研究、制定中。目前全球的计算机社会拥有量迅速增加,互联网用户呈几何级数增长,新的经济消费观正在逐步形成。电子商务的社会基础已经形成。Internet技术的应用普及为电子商务奠定了基础条件,万维网及相关技术的推出开创了电子商务应用的新局面,基于Internet的网络环境建设是开创电子商务市场的前提,安全保障等核心技术的实用化是电子商务成功的保证,商贸活动的信息网络化加快了电子商务的发展进程,各种解决方案的推出标志着电子商务即将进入实用化阶段。

从技术的角度看,电子商务的发展经历了启蒙阶段、商业化阶段、社会化阶段,并开始步入智能化时代。回顾企业信息化和电子商务的发展过程,从最初各部门用数据库管理本部门的数据,通过办公自动化(OA)实现企业内部办公文档传递,到建立统一的ERP系统为管理决策提供信息,通过CRM和SCM将企业和客户、供应商等整个供应链上的各个环节联系起来,再到以服务形式提供各式应用,通过第三方ASP实现企业应用服务的外包,这实际上就是一个从数据、信息到服务的纵向发展过程。互联网应用的发展也是这样,从最初企业间使用EDI交换数据,Email通讯传递简单的信息,到通过门户网站、搜索引擎获取所需信息,与世界各地的人在BBS上交流信息,再到如今的通过社会网络SNS拓展自己的交际圈,社会化程度越来越高。随着信息技术和互联网技术的普及和深入应用,电子商务正在以前所未有的速度发展,以其方便性和灵活性向传统商务模型提出了挑战。互联网的飞速发展，使得传统的商业模式产生了深刻的变化，在相当程度上改变着人们的日常生活习惯。基于网络的电子商务作为一种全新的商业模式，已经得到了快速的发展，但网络交易的安全问题始终是阻碍电子商务全面发展的巨大障碍。因此采用先进的网络信息安全防范技术，为电子商务提供完整的安全保障体系，进而推动电子商务高速发展。1．电子商务信息安全要素互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之联接,并借助互联网信息,进行各种网上商务活动。同时,也给那些别有用心的组织或个人提供了窃取别人的各种机密如消费者的银行账号、密码,甚至妨碍或毁坏他人网络系统运行等各种机会。影响电子商务信息安全要素主要有系统的可靠性，交易的真实性，资料的安全性，资料的完整性，交易的不可抵赖性等。概括起来,电子商务面临的安全威胁主要有以下几方面。

1．1系统的中断与瘫痪。网络故障、操作失误、应用程序出错、硬件故障、系统软件设计不完善以及计算机病毒都有可能导致系统不能正常工作。如在划拨货款的过程中突然出现网络中断等。1．2信息被窃取。电子商务作为一种全新的贸易形式,其通讯的信息直接代表着个人、企业或国家的利益。攻击者可能通过因特网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式,截获传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数分析,推断出有用的信息、如消费者的银行账号、密码等。1．3信息被篡改。攻击者可能从三个方面破坏信息的完整性。1）篡改。改变信息流的次序,更改信息的内容。2)删除。删除某个消息或消息中的某些部分。3)插入。在信息中插入一些其它干扰信息,让收方读不懂或接收错误的信息。脑知识与技术1．4信息被伪造。1)虚开网站和商店,给用户发电子邮件,接受订单。2）伪造大量用户,发电子邮件,穷尽商家资源、使合法用户不能正常访问网络资源。3)冒充他人身份,进行消费和栽赃等。1．5对交易行为进行抵赖或不承认。1)发信者事后否认曾经发送过某条消息或内容。2)收信者事后否认曾经收到过某条消息或内容。3)购买者不承认确认了的订单。4)商家卖出的商品因价格差而不承认原有的交易。2．电子商务中的信息安全防范技术

2．1数据加密技术加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在网络安全技术中，加密技术是保障信息安全最关键和最基本的技术手段和理论基础，但是由于大部分数据加密算法都源于美国，且受到美国出口管制法的限制，无法在互联网上大规模使用，从而限制了以加密技术为基础网络安全解决方案的应用。2．2密钥管理技术密钥管理包括确保所产生的密钥具有必要的属性，把密钥提前通知给需要它的特定系统，确保密钥按要求得到保护以阻止暴露和／或替代。其中，对称密钥管理是基于共同保守秘密来实现的，采用对称加密技术的双方必须保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄漏和更改密钥的程序。使用公开密钥的交易双方可以使用证书(公开密钥证书)来交换公开密钥。国际电联指定的X509对37福建电脑2008年第11期数字证书进行了定义，数字证书能够起到标识交易双方的作用，是目前电子商务广泛使用的技术之一。2．3身份认证技术网上安全交易的基础是数字证书。要建立安全的电子商务系统,必须首先建立一个稳固、健全的数字证书和认证中心(CA)。数字签名是利用数字技术实现在网络传送文件时，附加个人标记，完成传统意义上手书签名或印章的作用，以表示确认、负责、经手等。使用数字签名可以保证交易中的认证性和不可否认性。数字签名可以防范：接收方伪造、发送者或接收者否认、第三方冒充、接收方篡改。常见的数字签名技术有：RSA数字签名、DSA数字签名、椭圆曲线数入侵检测技术通常通过基于应用的监控技术、基于主机的监控技术、基于目标的监控技术和基于网络的监控技术四种检测技术来抵御攻击。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。认证机制是保护电子商务安全的第一条防线。任何一个在架构设计上、代码开发中以及认证的实现时所出现的小的漏洞或不足，都有可能使电子商务处在被攻击的风险中。因此，加强对认证攻击的充分认识和了解，并在系统开发时选择合适的防御措施，就可以从根本上对某些攻击进行有效的屏蔽，减少后期频繁维护所付出的代价，达到事半功倍的效果。2．4网络安全扫描技术安全扫描技术是对网络的各个环节提供可靠的分析结果，并为系统管理员提供可靠性和安全性分析报告等。包括端口扫描技术和漏洞扫描技术等。2．5病毒防范技术计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后，攻击者通常要在系统中植入木马或逻辑炸弹等程序，为以后攻击系统、网络提供方便条件。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测，工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。2．6电子认证技术为了保证电子商务安全因素的顺利实现，在电子商务中使用了基于公钥体系的安全系统。基于公钥体系的加密系统是按对生成的，每对密钥由公钥和私钥组成，实际应用中，公钥是以证书性质存放的，一个最基本而又是最关键的问题是公钥的分发，也就是证书的分发，如果证书不能得到有效安全的分发，所有的上层应用软件就不能得到安全的保障，解决问题的方法就是建立认证机构体系CA。2．7防火墙技术防火墙(Firewall)是近年来发展最重要的安全技术，它是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段，核心思想是在不安全的网络环境中构造一个相对安全的子网环境。它所保护的对象是网络中有明确闭合边界的一个网块，而它所防范的对象是来自被保护网块外部的安全威胁。目前的防火墙分为两大类，一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器，其显著的优点是较容易提供细颗粒度的存取控制，其可针对特别的网络应用服务协议及数据过滤协议，并且能够对数据包分析并形成相关的报告。通过应用防火墙技术，可以做到通过过滤不安全的服务，极大地提高网络安全和减少网络中主机的风险。但防火墙是一种基于网络边界的被动安全技术，对内部未授权访问难以有效控制，因此较适合于内部网络相对独立，且与外部网络的互连途径有限、网络服务种类相对集中的网络。2．8入侵检测技术入侵检测技术是一种利用入侵者留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测与控制为技术本质，起着主动防御的作用，是网络安全中极其重要的部分。

3．企业实现电子商务的安全策略安全问题是企业应用电子商务最担心的问题,如何保障电子商务活动的安全,一直是电子商务的核心研究领域。作为一个安全的电子商务系统,必须采用相应的网络安全策略。安全策略包括网络安全问题的总原则、对安全使用的要求以及如何保障网络的安全运行。3.1制定安全策略时首先确定的最重要的原则拒绝访问明确准许以外的所有服务。当前一些电子商务企业的安全策略存在两个误区:首先,企业所采取的操作系统的标准安全策略存在问题,这一标准安全策略只能提供一道脆弱的防线,很容易被攻破;其次,为满足多种安全需求,许多企业以零碎的方式实施节点式解决方案,这虽然对电子商务的某些领域提供了有限的保护,但同时使系统管理更为复杂。阻止外来系统入侵只是电子商务安全的一个方面。成功的电子商务安全策略,必须涵盖身份识别与认证、隐私与欺骗控制、管理与审计等传统领域。3.2安全策略制定时还应注意的问题3.2.1将需保护的对象分类,确定需保护的资源及其保护级别;规定可以访问资源的实体和可执行的动作;规定审计功能,记录用户活动及资源使用情况。3.2.2系统的安全应从物理上、技术上、管理制度上以及安全教育上全方位采取措施,相互弥补和完善,尽可能地排除安全漏洞。3.2.3根据企业的实际需要确定内部网的服务类型,规定内部用户和外部用户能够使用的服务种类,建立网管站,并制定出切实可行的安全管理制度。此外还需完善电子商务企业内部安全管理体制,增强相关人员的安全意识。

4．结束语电子商务尚是一个机遇和挑战共存的新领域,这种挑战不仅来源于传统的习惯,来源于计划经济体制和市场经济体制的冲突,更来源于对可使用的安全技术的信赖。企业在应用电子商务时,应采取一系列的安全技术和安全策略。这种种安全措施的采用,一定能保证企业进行安全的电子商务活动。

参考文献：

1.韩磊石松:浅谈电子商务中信息安全问题[J].临沂师范学院学报，2001；(8)：136-139

2.黄发文:计算机网络安全技术初探[J].计算机应用研究，2002(5):46-48

3.林柏钢.网络与信息安全教程[M].机械工业出版社,2005.

4.曹淑艳.电子商务应用基础[M].北京:清华大学出版社,2002.

5.肖德琴%电子商务安全保密技术与应用［2］广州：华南理工大学出版社，2003.9

6.GreensteinM,FeinmanTM.ElectronicCommerce:Security,RiskManagementandControl[M].NewYork:McGraw-HillCompanies,Inc.,2000