導(dǎo)語：電子商務(wù)信息安全研究論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】電子商務(wù)是新興商務(wù)形式,信息安全的保障是電子商務(wù)實(shí)施的前提。本文針對電子商務(wù)活動中存在的信息安全隱患問題,實(shí)施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗(yàn)證技術(shù)、防火墻技術(shù)等技術(shù)性措施,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境,促進(jìn)我國電子商務(wù)可持續(xù)發(fā)展。

【關(guān)鍵詞】電子商務(wù);信息安全;信息技術(shù)

電子商務(wù)概念源于英文ElectronicCommerce,簡寫EC。美國《商業(yè)周刊》認(rèn)為,Internet已經(jīng)成為"有史以來最激動人心的生意場"。電子商務(wù)介入世界經(jīng)濟(jì)活動并成為其中主角是必然的發(fā)展趨勢。據(jù)統(tǒng)計(jì)1998年全球電子商務(wù)交易額為1020億美元,2003年電子商務(wù)交易額達(dá)到1.3萬億美元,約占世界貿(mào)易總額的1/4,到2005年將達(dá)到2～3萬億美元。由于大量的信息在網(wǎng)上傳遞,大量的資金在網(wǎng)上劃撥流動,這就要求網(wǎng)上信息必須具有高度的可靠性和絕對的保密性。但是出于各種目的的網(wǎng)絡(luò)入侵和攻擊也越來越頻繁,脆弱的網(wǎng)絡(luò)和不成熟的電子商務(wù)增強(qiáng)了人們的防范心理。從這點(diǎn)上來看,信息安全問題是保障電子商務(wù)的生命線。

1、電子商務(wù)信息的安全要素

1.1機(jī)密性

傳統(tǒng)的貿(mào)易大多是通過書信或者可靠的通信渠道來發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達(dá)到保密的目的,而電子商務(wù)是在開放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的,因此要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務(wù)信息的機(jī)密性就變得非常重要。

1.2完整性

電子商務(wù)極大地簡化了傳統(tǒng)貿(mào)易過程,減少了認(rèn)為的干預(yù),同時(shí)也伴隨著貿(mào)易各方商業(yè)信息的完整、同一問題。由于數(shù)據(jù)錄入時(shí)合法或非法的行為,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異。信息在傳輸?shù)倪^程中也有可能造成信息的丟失、重復(fù)或次序的差異。因此要預(yù)防對信息的各種非法操作,保證數(shù)據(jù)在傳送的過程中完整性。

1.3認(rèn)證性

網(wǎng)絡(luò)環(huán)境是一個(gè)虛擬的環(huán)境,而電子商務(wù)就是在這個(gè)虛擬平臺上進(jìn)行的,貿(mào)易雙方一般都不見面,需要一些技術(shù)和策略來進(jìn)行身份確認(rèn)。當(dāng)個(gè)人或?qū)嶓w聲稱身份時(shí),電子商務(wù)服務(wù)需要提供一種方式來進(jìn)行身份認(rèn)證。

1.4有效性

在交易的過程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來確認(rèn)這此信息,保證謝謝信息的有效性是開展電子商務(wù)的前提。因此要對網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的。

2、電子商務(wù)安全中存在的問題

電子商務(wù)是實(shí)現(xiàn)整個(gè)貿(mào)易過程中各階段貿(mào)易活動的電子化。公眾是電子商務(wù)的對象,信息技術(shù)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ),電子商務(wù)實(shí)施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務(wù)活動中的信息安全問題主要體現(xiàn)在以下幾個(gè)方面。

2.1計(jì)算機(jī)網(wǎng)絡(luò)的安全

2.1.1安全協(xié)議問題

隨著經(jīng)濟(jì)和信息全球化的時(shí)代到來,但安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對制約了國際性的商務(wù)活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

2.1.2信息的安全問題

非法用戶在網(wǎng)絡(luò)的傳輸上,通過不正當(dāng)手段,非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息,最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密或者是非法用戶對截獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實(shí)性和完整性,導(dǎo)致合法用戶無法正常交易,還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送,惡意攻擊對方的網(wǎng)絡(luò)硬件和軟件。

2.1.3防病毒問題

電腦病毒問世十多年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟(jì)損失。

2.1.4服務(wù)器的安全問題。

電子商務(wù)服務(wù)器是電子商務(wù)的核心,安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息,并且服務(wù)器上的數(shù)據(jù)庫里有企業(yè)的一些保密數(shù)據(jù),如價(jià)格、成本等,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果也是非常嚴(yán)重的。目前服務(wù)器的安全問題尚無有效措施予以阻止。主要表現(xiàn)在:非法用戶向網(wǎng)絡(luò)或主機(jī)發(fā)送大量非法或無效的請求,使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù),利用操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全漏洞,通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求,使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)。

2.2電子商務(wù)交易的安全

2.2.1身份的不確定問題

由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺,在這個(gè)平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段竊取合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,從中獲得非法收入。主要表現(xiàn)有:冒充他人身份;冒充他人消費(fèi)、栽贓、冒充主機(jī)欺騙合法主機(jī)及合法用戶等。

2.2.2交易的抵賴問題

電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。如自己應(yīng)承擔(dān)的責(zé)任如:者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容;購買者做了訂貨單不承認(rèn),商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界為交易雙方的糾紛進(jìn)行公證、仲裁。

2.2.3交易的修改問題

交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正。

2.3其他方面的安全

電子商務(wù)安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題:網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題,急需為電子商務(wù)提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。

3、保障電子商務(wù)信息安全措施

3.1數(shù)據(jù)加密策略

加密技術(shù)是電子商務(wù)的最基本措施,最初主要用與保證數(shù)據(jù)在存儲和傳輸過程中的保密性。隨著電子商務(wù)的發(fā)展,對數(shù)據(jù)完整性以及身份鑒定技術(shù)提出了新的要求,數(shù)字簽名、身份認(rèn)證就是為了適應(yīng)這種需要在密碼學(xué)中派生出來的新技術(shù)和新應(yīng)用。加密技術(shù)是一種主動的信息安全防范策略,利用一定的加密算法.將明文轉(zhuǎn)換成毫無意義的密文。阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。

比較廣泛使用的加密技術(shù)有兩種:一是對稱密鑰加密體制,一是非對稱密鑰加密體制。它們的區(qū)別在于密鑰的類型不同。

3.1.1對稱密鑰加密體制

對稱密鑰加密,又稱私鑰加密(SecretKeyEncryption),即數(shù)據(jù)加密和解密采用的都是同一個(gè)密鑰,因而其安全性依賴于所持有密鑰的安全性,其最大的優(yōu)點(diǎn)就是速度快,適合于對大數(shù)據(jù)量進(jìn)行加密,但其最大的缺點(diǎn)是在大量用戶的情況下密鑰答理復(fù)雜,而且無法完成身份認(rèn)證等功能,不便于應(yīng)用于網(wǎng)絡(luò)開放的環(huán)境中。

3.1.2非對稱密鑰加密體制

非對稱密鑰加密體制,又稱公鑰加密(PublicKeyEncryp2tion),數(shù)據(jù)加密和解密采用不同的密鑰,需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分解為一對。這對鑰中的在何一把都可作為公開密鑰,加密密鑰,通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數(shù)據(jù)的接受者掌握。

利用公鑰體系可以方便地實(shí)現(xiàn)對用戶的身份認(rèn)證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸?shù)男畔⑦M(jìn)行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進(jìn)行解密,如果能夠解開,說明信息確實(shí)為該用戶所發(fā)送,這樣就方便地實(shí)現(xiàn)了對信息發(fā)送方身份的鑒別和認(rèn)證。

通常在實(shí)際應(yīng)用中將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用.在保證數(shù)據(jù)傳輸完整性的同時(shí)完成對用戶的身份認(rèn)證。

3.2防火墻技術(shù)

現(xiàn)有的防火墻技術(shù)包括兩大類:數(shù)據(jù)包過濾和服務(wù)技術(shù)。其中,最簡單和最常用的是包過濾防火墻,它檢查接受到的每個(gè)數(shù)據(jù)包的頭,以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過濾,所以可以有效地避兔對其進(jìn)行的有意或無意的攻擊,從而保證了專用私有網(wǎng)的安全。將包過濾防火墻與服務(wù)器結(jié)合起來使用是解決網(wǎng)絡(luò)安全問題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于:(1)防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊,不能防止網(wǎng)絡(luò)內(nèi)部用戶對于網(wǎng)絡(luò)的攻擊。(2)防火墻不能保證數(shù)據(jù)的秘密性,也不能保證網(wǎng)絡(luò)不受病毒的攻擊,它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動攻擊和入侵。

3.3身份驗(yàn)證技術(shù)

3.3.1認(rèn)證系統(tǒng)

網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。數(shù)字證書的頒發(fā)機(jī)構(gòu)叫做CertificateAuthority,通常簡稱為CA。要建立安全的電子商務(wù)系統(tǒng),首先必須建立一個(gè)穩(wěn)固、健全的CA,否則,一切網(wǎng)上的交易都沒有安全保障。

3.3.2SSL協(xié)議

SSL協(xié)議(SecureSocket,Layer,安全套接層)主要目的是解決TCP/IP協(xié)議不能確認(rèn)用戶身份的問題,在Socket上使用非對稱的加密技術(shù),以保證網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議易于實(shí)現(xiàn)。SSL協(xié)議還是最值得信賴的協(xié)議。但是由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的,所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方的安全傳輸和信任關(guān)系。

3.3.3SET協(xié)議

SET(SecureElectronicTransaction)安全電子交易協(xié)議是用于Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。主要應(yīng)用于B/C模式中保障支付信息的安全性。SET協(xié)議提供對消費(fèi)者、商戶和銀行的認(rèn)證,協(xié)議本身比較復(fù)雜,設(shè)計(jì)比較嚴(yán)格,安全性高,確保電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性,特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。它的交易規(guī)范成為了未來電子商務(wù)發(fā)展的方向。

3.4保障電子商務(wù)信息安全的環(huán)境性措施

目前,基于Internet的電子商務(wù)應(yīng)用還不成熟,許多內(nèi)外部環(huán)境還不夠完善,相應(yīng)的法律、法規(guī),相關(guān)的標(biāo)準(zhǔn)還都沒有建立,跨部門、跨地區(qū)的協(xié)調(diào)存在較大問題。

3.4.1構(gòu)造我國完善的電子商務(wù)體系

積極參與國際合作,融合國際電子商務(wù)框架,構(gòu)造適合中國國情的電子商務(wù)體系。作為一個(gè)主權(quán)國家,為了維護(hù)國家的利益和經(jīng)濟(jì)安全,在電子商務(wù)相關(guān)技術(shù)方面注重自主知識產(chǎn)權(quán)技術(shù)的開發(fā),不能全部依賴進(jìn)口。因此,必須加大投資力度,重點(diǎn)支持電子商務(wù)技術(shù)的研發(fā)工作。

3.4.2加強(qiáng)法律法規(guī)建設(shè)

針對利用信息高科技和信息系統(tǒng)等新型犯罪,政府部門應(yīng)盡快組織力量,結(jié)合電子商務(wù)的客觀需要,對現(xiàn)有的與電子商務(wù)相關(guān)的法律法規(guī),利用法律與犯罪作斗爭是人類歷來的做法。如:《中華人民共和國刑法》、《全國人大常委會關(guān)于互聯(lián)網(wǎng)安全的決定》、《合同法》、《著作權(quán)法》等進(jìn)行修改。在這些法律中,可以適當(dāng)增加對網(wǎng)絡(luò)犯罪處罰的條款,增加對網(wǎng)絡(luò)作品著作權(quán)保護(hù)的條款;對電子商務(wù)發(fā)展中急需解決的有關(guān)問題,如:在電子支付、稅收管理,安全認(rèn)證、網(wǎng)絡(luò)與信息安全、知識產(chǎn)權(quán)保護(hù)、消費(fèi)者權(quán)益保護(hù)等可由相關(guān)主管部門先制定部門規(guī)章,必要時(shí),由國務(wù)院行政法規(guī),再按程序上升為法律。

3.4.3加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè),推動企業(yè)信息化進(jìn)程加強(qiáng)相關(guān)領(lǐng)域應(yīng)用基礎(chǔ)對應(yīng)的技術(shù)科學(xué)研究及應(yīng)用研究是在信息領(lǐng)域及信息安全領(lǐng)域取得"創(chuàng)新"和"可持續(xù)發(fā)展"的直接動力。信息基礎(chǔ)設(shè)施是電子商務(wù)發(fā)展的物質(zhì)基礎(chǔ)和載體。發(fā)展信息基礎(chǔ)設(shè)施需要多種學(xué)科和人才的支持、政府和業(yè)界的共同努力,尤其是政府的大力投資和宏觀調(diào)控。

3.4.4加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)建立企業(yè)到企業(yè)(BtoB)、企業(yè)到客戶(BtoC)的商務(wù)溝通,實(shí)現(xiàn)網(wǎng)上資金流動,解決目前有形商品交易環(huán)節(jié)中的流通困難。

【參考文獻(xiàn)】

[1]劉紅軍等.電子商務(wù)技術(shù)教程[M].北京.機(jī)械工業(yè)出版社,2006.1

[2]牛榮.電子商務(wù)信息安全[J].商場現(xiàn)代化,2008,1

[3].劉培德.電子商務(wù)的安全要求及其保障措施[J].山東經(jīng)濟(jì),2005,5

[4]劉麗梅.電子商務(wù)信息安全問題探討[J].物流科技,2007,3

[5]肖德琴.電子商務(wù)安全保密技術(shù)與應(yīng)用[M].華南理工大學(xué)出版社,2003.9

[6]王越等.信息系統(tǒng)與安全對抗理論[M].北京.北京理工大學(xué)出版社,2006.1

[7](德國)阿莫著(Amor,D.).董兆一等譯.電子商務(wù)變革與演進(jìn)[M].北京.機(jī)械工業(yè)出版社,2003.3