学习啦>论文大全>毕业论文>工商管理>电子商务>

有关电子商务信息安全论文范文

时间: 秋梅1032 分享

  电子商务突出的信息安全问题是制约电子商务发展的主要瓶颈之一,解决好信息安全问题必将更有力地推动电子商务的迅猛发展。下文是学习啦小编为大家搜集整理的有关电子商务信息安全论文范文的内容,欢迎大家阅读参考!

  有关电子商务信息安全论文范文篇1

  浅析电子商务信息安全技术

  一、电子商务信息安全问题

  由于Internet本身的开放性,使电子商务系统面临着各种各样的安全威胁。目前,电子商务主要存在的安全隐患有以下几个方面。

  1.身份冒充问题

  攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。

  2.网络信息安全问题

  主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,进行信息截获、篡改、删除、插入。截获,攻击者可能通过分析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。

  3.拒绝服务问题

  攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。

  4.交易双方抵赖问题

  某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如:发布者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷进行公证、仲裁。

  5.计算机系统安全问题

  计算机系统是进行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。计算机设备本身存在物理损坏,数据丢失,信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时,计算机系统存在工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。

  二、电子商务安全机制

  1.加密和隐藏机制

  加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,不仅实现了信息的保密,也保护了通信本身。

  2.认证机制

  网络安全的基本机制,网络设备之间应互相认证对方身份,以保证正确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份,以保证正确的用户进行正确的操作并进行正确的审计。

  3.审计机制

  审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。

  4.完整性保护机制

  用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性可以被验证却无法模仿时,收到信息的一方可以认定信息的发送者,数字签名就可以提供这种手段。

  5.权力控制和存取控制机制

  主机系统必备的安全手段,系统根据正确的认证,赋予某用户适当的操作权力,使其不能进行越权的操作。该机制一般采用角色管理办法,针对系统需要定义各种角色,如经理、会计等,然后对他们赋予不同的执行权利。

  6.业务填充机制

  在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难。同时,也增加了密码通信的破译难度。发送的随机数据应具有良好模拟性能,能够以假乱真。

  三、电子商务安全关键技术

  安全问题是电子商务的核心,为了满足安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等,综合起来主要有以下几种技术。

  1.防火墙技术

  现有的防火墙技术包括两大类:数据包过滤和代理服务技术。其中最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于:防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击;防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。

  2.虚拟专网技术()

  的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。具投资小、易管理、适应性强等优点。可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接,并保证数据的安全传输,以此达到在公共的Internet上或企业局域网之间实现完全的电子交易的目的。

  3.数据加密技术

  加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。加密技术分为常规密钥密码体系和公开密钥密码体系两大类。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露,可通过常规密钥密码体系的方法加密机密信息,并随报文发送报文摘要和报文散列值,以保证报文的机密性和完整性。目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等,其中DES使用最普遍,被ISO采用为数据加密的标准。在公开密钥密码体系中,加密密钥是公开信息,而解密密钥是需要保护的,加密算法和解密算法也都是公开的。

  典型的公开密钥密码体系有:基于数论中大数分解的RSA体系、基于NP完全理论的Merkel-Hellman背包体系和基于编码理论的McEliece体系。在以上两类加密体系中,常规密钥密码体系的特点是加密速度快、效率高,被广泛用于大量数据的加密,但该方法的致命缺点是密钥的传输易被截获,难以安全管理大量的密钥,因此大范围应用存在一定问题。而公开密钥密码体系很好地解决了上述不足,保密性能也优于常规密钥密码体系,但公开密钥密码体系复杂,加密速度不够理想。目前电子商务实际运用中常将两者结合使用。

  4.安全认证技术

  安全认证技术主要有:(1)数字摘要技术,可以验证通过网络传输收到的明文是否被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,能够实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。(3)数字时间戳技术,用于提供电子文件发表时间的安全保护。(4)数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。(5)认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题,而且只须管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性,这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。(6)智能卡技术,它不但提供读写数据和存储数据的能力,而且还具有对数据进行处理的能力,可以实现对数据的加密和解密,能进行数字签名和验证数字签名,其存储器部分具有外部不可读特性。采用智能卡,可使身份识别更有效、安全,但它仅仅为身份识别提供一个硬件基础,如果要使身份认证更安全,还需要与安全协议的配合。

  5.电子商务安全协议

  不同交易协议的复杂性、开销、安全性各不相同,同时不同的应用环境对协议目标的要求也不尽相同。目前比较成熟的协议有:(1)Netbill协议,是由J.D.Tygar等设计和开发的关于数字商品的电子商务协议,该协议假定了一个可信赖的第三方,将商品的传送和支付链接到一个原子事务中。(2)匿名原子交易协议,由J.D.Tygar首次提出,具有匿名性和原子性,对著名的数字现金协议进行了补充和修改,改进了传统的分布式系统中常用的两阶段提交,引入了除客户、商家和银行之外的独立第四方一交易日志(Transaction log)以取代两阶段提交协议中的协调者(Coordinator)。(3)安全电子交易协议SET,由VISA公司和MasterCard公司联合开发设计。SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,它可以对交易各方进行认证,防止商家欺诈。SET协议开销较大,客户、商家、银行都要安装相应软件。(4)安全套接字层协议SSL,是目前使用最广泛的电子商务协议,它由Netscape公司于1996年设计开发。

  它位于运输层和应用层之间,能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户透明。然而,SSL并不专为支持电子商务而设计,只支持双方认证,只能保证传送信息传送过程中不因被截而泄密,不能防止商家利用获取的信用卡号进行欺诈。(5)JEPI(Joint Electronic Payment Initiative),是为了解决众多协议间的不兼容性而提出来的,是现有HTTP协议的扩展,在普遍HTTP协议之上增加了PEP(Protocol Extension Protocol)和UPP(Universal Payment Preamble)两层结构,其目的不是提出一种新的电子支付手段,而是在允许多种支付系统并存的情况下,帮助商家和顾客双方选取一个合适的支付系统。

  四、结束语

  信息安全是电子商务发展的基础,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题变得更加突出。为了解决好这个问题,必须有安全技术作保障。目前,防火墙技术、网络扫描技术,数据加密技术和计算系统安全技术发挥着重要的作用,此外,需要完善法律制度、管理制度和诚信制度,保证电子商务信息安全,加快电子商务的发展。

  有关电子商务信息安全论文范文篇2

  浅谈电子商务的信息安全问题

  摘要:随着电子商务平台的日益完善,买卖双方可以不见面就可凭借互联网完成商业活动,这使得网购越来越流行,而随之暴露出来的种种信息安全问题也引起了广泛关注。基于此,文章分析了电子商务中普遍存在的安全问题,并提出了相关对策。

  关键词:电子商务;信息安全;网购

  一、电子商务概述

  电子商务(electronic commerce),是指以互联网为平台,买卖双方不用谋面而进行的各种商业和贸易活动。它是在因特网的基础上衍生出来的一种新的商业模式,是以数字化电子方式完成的商务活动。作为一种新型的商务模式,电子商务具有高效率、低成本、方便、普遍等特点。

  发展电子商务对我们来说,既是机遇,也是挑战。国家制定了以信息化带动工业化,实现跨越式的发展战略,以及企业信息化促进电子商务的蓬勃发展,电子商务推动了企业创新、结构调整,大大提高了企业的效率。但也不能否认,我们在电子商务的发展过程中也面临着许多亟待解决的问题。其中最突出的一是信用问题,二是网络安全问题。由于大量的信息在网上传递,大量的资金在网上划拨流动,这就要求网上信息必须具有高度的可靠性和绝对的保密性。可以说,信息的安全是电子商务顺利发展的保证,是电子商务的生命线,没有信息安全电子商务就无从发展。

  二、电子商务的安全因素

  1.机密性。电子商务建立在一个较为开放的网络环境上,维护商业机密是其全面推广应用的重要保障。

  2.有效性。保证电子形式的贸易信息的有效性是开展电子商务的前提。

  3.完整性。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。

  4.可靠性/不可抵赖性/鉴别。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

  5.审查能力。根据机密性和完整性的要求,应对数据审查的结果进行记录。三、电子商务信息安全技术

  据网络民意调查,电子商务网站非常容易受到黑客的攻击,许多用户的密码被黑客窃取。电子商务的安全问题不是纯技术问题,也不存在绝对的安全。要想尽力保证安全,必须付出代价和成本。许多电子商务网站投入很少,很多网站不随着病毒的发展和攻击措施的变化及时更新和改变保护技术,有的甚至没有可靠的安全措施。要得到基本的安全,在系统建设中用于安全保障的经费至少应该占到10%左右。

  1.公钥基础设施――PKI(Public-key Infrastructure)是解决信任和加密问题的基本解决方案。

  一个典型、完整、有效的PKI应用系统至少应具有:公钥密码证书管理,黑名单的发布和管理,密钥的备份和恢复,自动更新密钥,自动管理历史密钥,支持交叉认证几个部分。在规模不大的网络或较为封闭的网络中,通信主体可以通过KDC这一类的密钥分发或管理中心可靠地获得通信对方的公钥。但在较大规模的网络环境中,KDC不再适用,因而这种环境下的公钥分发问题成为最突出的问题。可靠地获得通信对方的公钥的问题在网络环境下就是信任的问题,因而大规模网络中最突出的问题也就是信任的问题。PKI的本质就是实现了大规模网络中的公钥分发问题,建立了大规模网络中的信任基础。

  2.加密技术。

  (1)密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数――单向陷门函数。即从―个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。

  (2)数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。

  3.防火墙技术。

  防火墙主要功能是建立网络之间的―个安全屏障,从而起到内部网络与外部公网的隔离,加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。根据制定的策略对两个或多个网络、分析和审计,按照―定的安全策略限制外界用户对内部网络的访问,只有被允许的通信才能通过防火墙,管理内部用户访问外界网络的权限,监视网络运行状态并对各种攻击提供有效的防范。

  4.数字签名和数字证书。

  (1)数字证书。数字证书就是标志网络用户身份信息的一系列数据,用来在网络直用中识别通讯各方的身份,其作用类似于现实生活中的身份证。数字证书由可信任的、公正的权威机构CA中心颁发,以数字证书为主的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。(2)数字签名。数字加密是非对称加密技术的一类应用。数字签名是用来保证文档的真实性、有效性的一种措施.如同出示手写签名一样。将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法,保证了网络数据的完整性和真实性。

  四、结束语

  由于网络的开放性和共享性特点,使得电子商务信息安全面临着许多威胁,例如用户机密信息被窃取,传输中的信息被篡改或者破坏,借用假冒信息进行欺诈等。电子商务要想得到更完善和更大的发展,必须依赖于信息安全技术的完善和提高。提高电子商务平台服务的安全质量,使我们必须重视和大力研究的问题。否则,电子商务就沦为了电子广告,而无法再进行交易。文章认为,在电子商务的建设和采购中务必考虑安全因素,加强各部门之间的协调和配合,让电子商务与经济体制一致,与信息安全保密管理一致,与经济安全监督一致,与信用体制一致。只有这样,我们才能更放心地享受电子商务所带来的便捷。

  参考文献

  [1]郑凯永.电子商务的信息安全技术研究[J].现代商业,浙江理工大学信电学院,2009.

  [2]刘丽梅.电子商务信息安全问题探讨[J].物流科技,2007,(3).

  [3]詹雪,汪文俊.南昌大学科学技术学院,江西南昌论电子商务的信息安全技术[J].科技信息,2008.

 
 
猜你喜欢:

3063233