緒論:在尋找寫(xiě)作靈感嗎��?愛(ài)發(fā)表網(wǎng)為您精選了8篇電子商務(wù)信息安全�,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情��,歡迎您的閱讀與分享����!
篇1
[關(guān)鍵詞]移動(dòng)電子商務(wù)信息安全自組網(wǎng)隱私法律
移動(dòng)電子商務(wù)(M-Commerce),是通過(guò)手機(jī)����、PDA(個(gè)人數(shù)字助理)、呼機(jī)等移動(dòng)通信設(shè)備與因特網(wǎng)有機(jī)結(jié)合所進(jìn)行的電子商務(wù)活動(dòng)����。移動(dòng)電子商務(wù)能提供以下服務(wù):PIM(個(gè)人信息服務(wù))����、銀行業(yè)務(wù)、交易、購(gòu)物�����、基于位置的服務(wù)���、娛樂(lè)等���。
移動(dòng)電子商務(wù)因其快捷方便、無(wú)所不在的特點(diǎn)����,已經(jīng)成為電子商務(wù)發(fā)展的新方向。因?yàn)橹挥幸苿?dòng)電子商務(wù)才能在任何地方�����、任何時(shí)間���,真正解決做生意的問(wèn)題���。
但是對(duì)于任何通過(guò)無(wú)線網(wǎng)路(如:GSM網(wǎng)路)進(jìn)行金融交易的用戶(hù),安全和隱私問(wèn)題無(wú)疑是其關(guān)注的焦點(diǎn)��。由于移動(dòng)電子商務(wù)的特殊性,移動(dòng)電子商務(wù)的安全問(wèn)題尤其顯得重要�����。尤其對(duì)于有線電子商務(wù)用戶(hù)來(lái)說(shuō)��,通常認(rèn)為物理線纜能帶來(lái)更好的安全性�����,從而排斥使用移動(dòng)電子商務(wù)�����。移動(dòng)電子商務(wù)是一個(gè)系統(tǒng)工程���,本文從技術(shù)��、安全��、隱私和法制等方面討論了移動(dòng)商務(wù)的展所面臨的種種問(wèn)題�����,并指出這些問(wèn)題的有效解決是建設(shè)健康���、安全的移動(dòng)電子商務(wù)的重要保證。
一���、移動(dòng)通信新技術(shù)的驅(qū)動(dòng)
1.無(wú)線應(yīng)用協(xié)議(WAP)
無(wú)線應(yīng)用協(xié)議WAP是無(wú)線通信和互聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物�,它不僅為無(wú)線設(shè)備提供豐富的互聯(lián)網(wǎng)資源�����,也提供了開(kāi)發(fā)各種無(wú)線網(wǎng)路應(yīng)用的途徑����。1998年,WAP論壇公布了WAP1.0版本�,制定了一套專(zhuān)門(mén)為移動(dòng)互聯(lián)網(wǎng)而設(shè)計(jì)的應(yīng)用協(xié)議,具有良好的開(kāi)放性和互通性��。隨著移動(dòng)通信網(wǎng)傳輸速率的顯著提高�,WAP論壇于2001年頒布了WAP2.0版本,該版本增加了對(duì)HTTP���、TLS和TCP等互聯(lián)網(wǎng)協(xié)議的支持���,WAP的工作大大簡(jiǎn)化��。WAP2.0模式有利于實(shí)現(xiàn)電子商務(wù)所需的端到端安全性�����,可以提供TLS隧道��。
2.移動(dòng)IP技術(shù)
移動(dòng)IP技術(shù)�,是指移動(dòng)用戶(hù)可在跨網(wǎng)絡(luò)隨意移動(dòng)和漫游中���,使用基于TCP/IP協(xié)議的網(wǎng)絡(luò)時(shí)����,不用修改計(jì)算機(jī)原來(lái)的IP地址����,同時(shí),也不必中斷正在進(jìn)行的通信�。移動(dòng)IP通過(guò)AAA(Authentication,Authorization,Accounting)機(jī)制,實(shí)現(xiàn)網(wǎng)絡(luò)全方位的安全移動(dòng)或者漫游功能�。移動(dòng)IP在一定程度上能夠很好地支持移動(dòng)商務(wù)的應(yīng)用。
3.第三代(3G)移動(dòng)通信系統(tǒng)
第三代移動(dòng)通信系統(tǒng)��,簡(jiǎn)稱(chēng)3G�����,是指將無(wú)線通信與互聯(lián)網(wǎng)等多媒體通信結(jié)合的移動(dòng)通信系統(tǒng)�。它能夠處理圖像、話音��、視頻流等多種媒體形式�����,提供包括網(wǎng)頁(yè)瀏覽��、電話會(huì)議�、電子商務(wù)等多種信息服務(wù)。與2G相比����,3G產(chǎn)品可提供數(shù)據(jù)速率高達(dá)2Mbps的多媒體業(yè)務(wù)。在我國(guó)��,以TD-SCDMA技術(shù)為基礎(chǔ)的3G基礎(chǔ)設(shè)施和產(chǎn)品的建設(shè)和研制發(fā)展迅速����,我國(guó)發(fā)展3G的條件已經(jīng)基本具備。由于3G帶來(lái)的高速率����、移動(dòng)性和高安全性等特點(diǎn)����,必然會(huì)給移動(dòng)電子商務(wù)的應(yīng)用帶來(lái)巨大商機(jī)��。
4.無(wú)線局域網(wǎng)(WLAN)技術(shù)
美國(guó)電子電器工程師協(xié)會(huì)IEEE在1991年就啟動(dòng)了WLAN標(biāo)準(zhǔn)工作組��,稱(chēng)為IEEE802.11�����,并在1997年產(chǎn)生了WLAN標(biāo)準(zhǔn)-IEEE802.11�,后來(lái)又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標(biāo)準(zhǔn)。802.11WLAN標(biāo)準(zhǔn)自公布之日起���,安全問(wèn)題一直是其被關(guān)注的焦點(diǎn)問(wèn)題��。802.11b采用了基于RC4算法的有線對(duì)等保密(WEP)機(jī)制����,為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保障���,但其加密和認(rèn)證機(jī)制都存在安全漏洞�。802.11i是2004年6月批準(zhǔn)的WLAN標(biāo)準(zhǔn),其目的是解決802.11標(biāo)準(zhǔn)中存在的安全問(wèn)題���。802.11i應(yīng)用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級(jí)加密標(biāo)準(zhǔn)的CBC-MACProtocol(CCMP)����。其中TKIP仍然采用RC4作為其加密算法���,可以向后兼容802.11a/b/g等硬件設(shè)備。中國(guó)寬帶無(wú)線IP標(biāo)準(zhǔn)工作組制訂了WLAN國(guó)家標(biāo)準(zhǔn)GB15629.11���,定義了無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI�,大大減少了WLAN中的安全隱患�����。
二���、移動(dòng)電子商務(wù)面臨的安全威脅
盡管移動(dòng)電子商務(wù)給工作效率的提高帶來(lái)了諸多優(yōu)勢(shì)(如:減少了服務(wù)時(shí)間�,降低了成本和增加了收入)����,但安全問(wèn)題仍是移動(dòng)商務(wù)推廣應(yīng)用的瓶頸����。有線網(wǎng)絡(luò)安全的技術(shù)手段不完全適用于無(wú)線設(shè)備���,由于無(wú)線設(shè)備的內(nèi)存和計(jì)算能力有限而不能承載大部分的病毒掃描和入侵檢測(cè)的程序�。例如:目前還沒(méi)有有效抵制手機(jī)病毒的防護(hù)軟件�����。
1.網(wǎng)絡(luò)本身的威脅
無(wú)線通信網(wǎng)絡(luò)可以不像有線網(wǎng)絡(luò)那樣受地理環(huán)境和通信電纜的限制就可以實(shí)現(xiàn)開(kāi)放性的通信�。無(wú)線信道是一個(gè)開(kāi)放性的信道,它給無(wú)線用戶(hù)帶來(lái)通信自由和靈活性的同時(shí)�,也帶來(lái)了諸多不安全因素:如通信內(nèi)容容易被竊聽(tīng)、通信雙方的身份容易被假冒��,以及通信內(nèi)容容易被篡改等�。在無(wú)線通信過(guò)程中,所有通信內(nèi)容(如:通話信息����,身份信息,數(shù)據(jù)信息等)都是通過(guò)無(wú)線信道開(kāi)放傳送的���。任何擁有一定頻率接收設(shè)備的人均可以獲取無(wú)線信道上傳輸?shù)膬?nèi)容��。這對(duì)于無(wú)線用戶(hù)的信息安全�、個(gè)人安全和個(gè)人隱私都構(gòu)成了潛在的威脅。
2.無(wú)線adhoc應(yīng)用的威脅
除了互聯(lián)網(wǎng)在線應(yīng)用帶來(lái)的威脅外���,無(wú)線裝置給其移動(dòng)性和通信媒體帶來(lái)了新的安全問(wèn)題�����。考慮無(wú)線裝置可以組成adhoc網(wǎng)路����。Adhoc網(wǎng)絡(luò)和傳統(tǒng)的移動(dòng)網(wǎng)絡(luò)有著許多不同,其中一個(gè)主要的區(qū)別就是AdHoc網(wǎng)絡(luò)不依賴(lài)于任何固定的網(wǎng)絡(luò)設(shè)施��,而是通過(guò)移動(dòng)節(jié)點(diǎn)間的相互協(xié)作來(lái)進(jìn)行網(wǎng)絡(luò)互聯(lián)�����。由于其網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)����,使得AdHoc網(wǎng)絡(luò)的安全問(wèn)題尤為突出。Adhoc網(wǎng)路的一個(gè)重要特點(diǎn)是網(wǎng)絡(luò)決策是分散的,網(wǎng)絡(luò)協(xié)議依賴(lài)于所有參與者之間的協(xié)作��。敵手可以基于該種假設(shè)的信任關(guān)系入侵協(xié)作的節(jié)點(diǎn)���。
3.網(wǎng)路漫游的威脅
無(wú)線網(wǎng)路中的攻擊者不需要尋找攻擊目標(biāo)�,攻擊目標(biāo)會(huì)漫游到攻擊者所在的小區(qū)�。在終端用戶(hù)不知情的情況下,信息可能被竊取和篡改��。服務(wù)也可被經(jīng)意或不經(jīng)意地拒絕�。交易會(huì)中途打斷而沒(méi)有重新認(rèn)證的機(jī)制。由刷新引起連接的重新建立會(huì)給系統(tǒng)引入風(fēng)險(xiǎn)�,沒(méi)有再認(rèn)證機(jī)制的交易和連接的重新建立是危險(xiǎn)的。連接一旦建立�����,使用SSL和WTLS的多數(shù)站點(diǎn)不需要進(jìn)行重新認(rèn)證和重新檢查證書(shū)����。攻擊者可以利用該漏洞來(lái)獲利。
4.物理安全
無(wú)線設(shè)備另一個(gè)特有的威脅就是容易丟失和被竊�����。因?yàn)闆](méi)有建筑、門(mén)鎖和看管保證的物理邊界安全和其小的體積��,無(wú)線設(shè)備很容易丟失和被盜竊��。對(duì)個(gè)人來(lái)說(shuō)�,移動(dòng)設(shè)備的丟失意味著別人將會(huì)看到電話上的數(shù)字證書(shū),以及其他一些重要數(shù)據(jù)�。利用存儲(chǔ)的數(shù)據(jù),拿到無(wú)線設(shè)備的人就可以訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)���,包括Email服務(wù)器和文件系統(tǒng)�。目前手持移動(dòng)設(shè)備最大的問(wèn)題就是缺少對(duì)特定用戶(hù)的實(shí)體認(rèn)證機(jī)制�。
三、移動(dòng)商務(wù)面臨的隱私和法律問(wèn)題
1.垃圾短信息
在移動(dòng)通信給人們帶來(lái)便利和效率的同時(shí)����,也帶來(lái)了很多煩惱����,遍地而來(lái)的垃圾短信廣告打擾著我們的生活。在移動(dòng)用戶(hù)進(jìn)行商業(yè)交易時(shí)��,會(huì)把手機(jī)號(hào)碼留給對(duì)方�。通過(guò)街頭的社會(huì)調(diào)查時(shí)�,也往往需要被調(diào)查者填入手機(jī)號(hào)碼��。甚至有的用戶(hù)把手機(jī)號(hào)碼公布在網(wǎng)上�����。這些都是公司獲取手機(jī)號(hào)碼的渠道����。垃圾短信使得人們對(duì)移動(dòng)商務(wù)充滿(mǎn)恐懼,而不敢在網(wǎng)絡(luò)上使用自己的移動(dòng)設(shè)備從事商務(wù)活動(dòng)�。目前,還沒(méi)有相關(guān)的法律法規(guī)來(lái)規(guī)范短信廣告�����,運(yùn)營(yíng)商還只是在技術(shù)層面來(lái)限制垃圾短信的群發(fā)����。目前,信息產(chǎn)業(yè)部正在起草手機(jī)短信的規(guī)章制度��,相信不久的將來(lái)會(huì)還手機(jī)短信一片綠色的空間��。
2.定位新業(yè)務(wù)的隱私威脅
定位是移動(dòng)業(yè)務(wù)的新應(yīng)用����,其技術(shù)包括:全球定位系統(tǒng)�����,該種技術(shù)利用24顆GPS衛(wèi)星來(lái)精確(誤差在幾米之內(nèi))定位地面上的人和車(chē)輛��;基于手機(jī)的定位技術(shù)TOA�,該技術(shù)根據(jù)從GPS返回響應(yīng)信號(hào)的時(shí)間信息定位手機(jī)所處的位置��。定位在受到歡迎的同時(shí)����,也暴露了其不利的一面——隱私問(wèn)題。移動(dòng)酒吧就是一個(gè)典型的例子����,當(dāng)你在路上時(shí),這種服務(wù)可以在你的PDA上列出離你最近的5個(gè)酒吧的位置和其特色��?;蛘弋?dāng)你途經(jīng)一個(gè)商店時(shí)����,會(huì)自動(dòng)向你的手機(jī)發(fā)送廣告信息����。定位服務(wù)在給我們帶來(lái)便利的同時(shí)��,也影響到了個(gè)人隱私��。利用這種技術(shù)�����,執(zhí)法部門(mén)和政府可以監(jiān)聽(tīng)信道上的數(shù)據(jù)��,并能夠跟蹤一個(gè)人的物理位置���。
3.移動(dòng)商務(wù)的法律保障
電子商務(wù)的迅猛發(fā)展推動(dòng)了相關(guān)的立法工作�。2005年4月1日���,中國(guó)首部真正意義上的信息化法律《電子簽名法》正式實(shí)施��,電子簽名與傳統(tǒng)的手寫(xiě)簽名和蓋章將具有同等的法律效力�����,標(biāo)志著我國(guó)電子商務(wù)向誠(chéng)信發(fā)展邁出了第一步�。《電子簽名法》立法的重要目的是為了促進(jìn)電子商務(wù)和電子政務(wù)的發(fā)展���,增強(qiáng)交易的安全性�����。
參考文獻(xiàn):
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
篇2
電子商務(wù)所具有的廣闊發(fā)展前景��,越來(lái)越為世人所矚目�。但電子商務(wù)中的安全問(wèn)題如得不到妥善解決��,電子商務(wù)應(yīng)用就只能是紙上談兵���。從事電子商務(wù)活動(dòng)的主體都已普遍認(rèn)識(shí)到電子商務(wù)的交易安全是電子商務(wù)成功實(shí)施的基礎(chǔ)�,是企業(yè)制訂電子商務(wù)策略時(shí)必須首先要考慮的問(wèn)題����。對(duì)于實(shí)施電子商務(wù)戰(zhàn)略的企業(yè)來(lái)說(shuō),保證電子商務(wù)的安全已成為當(dāng)務(wù)之急�。
一、電子商務(wù)信息安全需求
1�、信息的保密性
電子商務(wù)是建立在一個(gè)開(kāi)放性很強(qiáng)的網(wǎng)絡(luò)環(huán)境中�,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障��。因此����,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取�,保密性一般通過(guò)密碼技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理來(lái)實(shí)現(xiàn)。
2����、信息的不可抵賴(lài)性
對(duì)進(jìn)行電子商務(wù)交易的貿(mào)易雙方來(lái)說(shuō),一個(gè)很關(guān)鍵問(wèn)題就是如何確定進(jìn)行交易的貿(mào)易方正是交易所期望的貿(mào)易方�����。在無(wú)紙化的電子商務(wù)方式下���,通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已經(jīng)不可能���。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人���、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)�����,使原發(fā)方對(duì)已發(fā)送的數(shù)據(jù)�、接收方對(duì)已接收的數(shù)據(jù)都不能否認(rèn)。通?��?赏ㄟ^(guò)對(duì)發(fā)送的消息進(jìn)行數(shù)字簽名來(lái)實(shí)現(xiàn)信息的不可抵賴(lài)性����。
3����、信息的真實(shí)性
由于在電子商務(wù)過(guò)程中,買(mǎi)賣(mài)雙方的所有交易活動(dòng)都通過(guò)網(wǎng)絡(luò)聯(lián)系�,交易雙方可能素昧平生,相隔萬(wàn)里��。要使交易成功���,首先要確認(rèn)對(duì)方的身份��。對(duì)于商家而言�,要考慮客戶(hù)端不能是騙子���,而客戶(hù)端也會(huì)擔(dān)心網(wǎng)上商店是否是_個(gè)玩弄欺詐的黑店�,因此,電子商務(wù)的開(kāi)展要求能夠?qū)灰字黧w的真實(shí)身份進(jìn)行鑒別����。
4�、信息的完整性
電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù)�����,同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整����、統(tǒng)一的問(wèn)題。數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為���,可能會(huì)導(dǎo)致貿(mào)易各方信息的差異��。另外���,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同�����。因此,貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略�����,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)�。一般可通過(guò)提取信息摘要的方式來(lái)保持信息的完整性。
5��、信息的有效性
電子商務(wù)作為貿(mào)易的一種形式�,其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)�,那么保證信息的有效性就成為開(kāi)展電子商務(wù)的前提。因此���,要對(duì)網(wǎng)絡(luò)故障�、操作錯(cuò)誤����、應(yīng)用程序錯(cuò)誤、硬件故障��、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防��,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的���。
二���、電子商務(wù)安全技術(shù)
1、防火墻技術(shù)
防火墻是企業(yè)網(wǎng)安全問(wèn)題的流行方案����,即把公共數(shù)據(jù)和服務(wù)置于防火墻外��,使其對(duì)防火墻內(nèi)部資源的訪問(wèn)受到限制�����。一般說(shuō)來(lái)�,防火墻是不能防病毒的,盡管有不少的防火墻產(chǎn)品聲稱(chēng)其具有這個(gè)功能��。防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題��,如果延遲太大將無(wú)法支持實(shí)時(shí)服務(wù)請(qǐng)求。此外�,防火墻采用濾波技術(shù)����,濾波通常使網(wǎng)絡(luò)的性能降低50%以上�����,如果為了改善網(wǎng)絡(luò)性能而購(gòu)置高速路由器���,又會(huì)大大提高經(jīng)濟(jì)預(yù)算。作為一種網(wǎng)絡(luò)安全技術(shù)���,防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)�,并且透明度高�,可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。但是����,如果防火墻系統(tǒng)被攻破,則被保護(hù)的網(wǎng)絡(luò)處于無(wú)保護(hù)狀態(tài)��。如果一個(gè)企業(yè)希望在Internet上開(kāi)展商業(yè)活動(dòng)��,與眾多的客戶(hù)進(jìn)行通信�����,則防火墻不能滿(mǎn)足要求。
2�、數(shù)據(jù)加密技術(shù)
加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù),主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性�。該技術(shù)采用數(shù)學(xué)方法對(duì)原始信息進(jìn)行再組織,使得加密后在網(wǎng)絡(luò)上公開(kāi)傳輸?shù)膬?nèi)容對(duì)于非法接收者來(lái)說(shuō)成為不可理解的字符����。而對(duì)于合法的接受者,可以利用其掌握的密鑰�,通過(guò)解密過(guò)程得到原始數(shù)據(jù),從而達(dá)到保護(hù)信息的目的��。數(shù)據(jù)加密的方法很多常用的有兩大類(lèi):一種是對(duì)稱(chēng)加密�,一種是非對(duì)稱(chēng)密鑰加密�。(1)對(duì)稱(chēng)密鑰加密體制。在對(duì)稱(chēng)密鑰加密體制中���,加結(jié)果為:-1.5915,當(dāng)初值為:x0=[1,1]時(shí)��,結(jié)果為:-0.8949�����。由此可見(jiàn)�,傳統(tǒng)方法求解具有多個(gè)極小值點(diǎn)的函數(shù)時(shí),求解結(jié)果的值與初始值的選擇有關(guān)����,所得的最優(yōu)解為局部最優(yōu)解。同時(shí)通過(guò)畫(huà)該目標(biāo)函數(shù)的曲面圖1-1可知�����,該曲面存在多個(gè)局部極小點(diǎn)����。所以,應(yīng)用傳統(tǒng)的解法���,容易陷入局部極小值區(qū)域���。對(duì)于這樣的問(wèn)題,用傳統(tǒng)的非線性規(guī)劃求解算法不容易求得全局最優(yōu)解�����。
用染色體(��、&)作為解的代碼����,用以下方法把染色體X變成染色體(%�����,&)并把v作為相應(yīng)的解��,密所使用的密鑰和解密所使用的密鑰相同���,或者雖不相同,但可以從其中_個(gè)密鑰推導(dǎo)出另_個(gè),即發(fā)送方和接收方使用同樣密鑰��。使用對(duì)稱(chēng)密鑰體制不必交換加密算法����,只需交換加密密鑰���,因而簡(jiǎn)化了加密過(guò)程�,加解密速度快��,但存在密鑰的分配���、保存和管理的問(wèn)題�。目前廣泛應(yīng)用的對(duì)稱(chēng)加密算法是DES算法。(2)非對(duì)稱(chēng)密鑰加密體制�����。在非對(duì)稱(chēng)密鑰加密體制中����,對(duì)信息加密和解密所使用的密鑰是不同的。并且從其中一個(gè)密鑰無(wú)法推導(dǎo)出另一個(gè)密鑰����。非對(duì)稱(chēng)密鑰加密體制解決了對(duì)稱(chēng)密鑰加密體制存在的密鑰分配、保存和管理的問(wèn)題�����,但加密算法復(fù)雜�,加解密速度慢。非對(duì)稱(chēng)密鑰加密體制最早的代表算法是RSA算法����。由此可見(jiàn),兩種加密技術(shù)各有優(yōu)缺點(diǎn),在Internet開(kāi)放網(wǎng)絡(luò)環(huán)境中可以互補(bǔ)�。
3、認(rèn)證技術(shù)
基本的加密技術(shù)不足以保證電子商務(wù)中的交易安全,信息鑒別和身份認(rèn)證技術(shù)是保證電子商務(wù)安全不可缺少的重要技術(shù)手段����。認(rèn)證技術(shù)是防止交易信息被篡改、刪除�����、重復(fù)和偽造的一種有效方法��,主要有數(shù)字簽名�、數(shù)字信封、數(shù)字摘要����、數(shù)字時(shí)間戳、數(shù)字證書(shū)等����。(1)數(shù)字簽名。數(shù)字簽名是使用某人的私鑰加密特定消息摘要散列值而得到的結(jié)果����,通過(guò)這種方法把人同特定消息聯(lián)系起來(lái)����,類(lèi)似于手書(shū)簽名���。日常生活中,通常用對(duì)某_文檔進(jìn)行簽名來(lái)保證文檔的真實(shí)有效性�����,防止其抵賴(lài)�����。在網(wǎng)絡(luò)環(huán)境中�,可以用電子數(shù)字簽名作為模擬。(2)數(shù)字信封���。數(shù)字信封是用加密技術(shù)來(lái)保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容�����。在數(shù)字信封中�,信息發(fā)送方采用對(duì)稱(chēng)密鑰來(lái)加密信息�,然后將此對(duì)稱(chēng)密鑰用接收方的公開(kāi)密鑰來(lái)加密(這部分稱(chēng)為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方���,接收方先用相應(yīng)的私有密鑰打開(kāi)數(shù)字信封�,得到對(duì)稱(chēng)密鑰,然后使用對(duì)稱(chēng)密鑰解開(kāi)信息��。這種技術(shù)的安全性相當(dāng)高��。(3)數(shù)字摘其中V可由下面的檢驗(yàn)函數(shù)檢若(VP3L1V,<-3:1v2>3Uv2<-3)����,返回〇;否則返回這里檢驗(yàn)數(shù)數(shù)值為0表示不可行,1表示可行�。易知該模型的可行集包含在下列的超幾何體中={(V1?V2)|°^V1^^0^V2^1}然后就可以容易地從這個(gè)超幾何中抽取初始染色體vL=u(0,1),v2=u<0,1)(1)
篇3
關(guān)鍵詞:電子商務(wù)信息安全安全技術(shù)
伴隨經(jīng)濟(jì)的迅猛發(fā)展,電子商務(wù)成為當(dāng)今世界商務(wù)活動(dòng)的新模式�����。要在國(guó)際競(jìng)爭(zhēng)中贏得優(yōu)勢(shì)�,必須保證電子商務(wù)中信息交流的安全。
一����、電子商務(wù)的信息安全問(wèn)題
電子商務(wù)信息安全問(wèn)題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠�,攻擊者通過(guò)互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過(guò)網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)���,獲取機(jī)密信息或通過(guò)對(duì)信息流量�、流向���、通信頻度和長(zhǎng)度分析����,推測(cè)出有用信息���。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后��,通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地�,破壞信息完整性����。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶(hù)或發(fā)送假冒信息欺騙其他用戶(hù)�。4.交易抵賴(lài):交易抵賴(lài)包括多方面,如發(fā)信者事后否認(rèn)曾發(fā)送信息��、收信者事后否認(rèn)曾收到消息�����、購(gòu)買(mǎi)者做了定貨單不承認(rèn)等。
二�����、信息安全要求
電子商務(wù)的安全是對(duì)交易中涉及的各種信息的可靠性����、完整性和可用性保護(hù)。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障��。由于建立在開(kāi)放網(wǎng)絡(luò)環(huán)境中�����,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生�。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ),影響到交易和經(jīng)營(yíng)策略����。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹模A(yù)防對(duì)信息隨意生成�、修改和刪除,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一����。3.信息有效性:保證信息有效性是開(kāi)展電子商務(wù)前提��,關(guān)系到企業(yè)或國(guó)家的經(jīng)濟(jì)利益�����。對(duì)網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤����、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效���。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵���。為防止計(jì)算機(jī)失效、程序錯(cuò)誤�、系統(tǒng)軟件錯(cuò)誤等威脅,通過(guò)控制與預(yù)防確保系統(tǒng)安全可靠��。
三��、信息安全技術(shù)
1.防火墻技術(shù)����。防火墻在網(wǎng)絡(luò)間建立安全屏障�����,根據(jù)指定策略對(duì)數(shù)據(jù)過(guò)濾��、分析和審計(jì)�����,并對(duì)各種攻擊提供防范�����。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”���。防火墻先封閉所有信息流,再審查要求通過(guò)信息���,符合條件就通過(guò)����;二是“凡是未被禁止就是允許”���。防火墻先轉(zhuǎn)發(fā)所有信息����,然后逐項(xiàng)剔除有害內(nèi)容。
防火墻技術(shù)主要有:(1)包過(guò)濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過(guò)�,核心是安全策略即過(guò)濾算法設(shè)計(jì)。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制���,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用��。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過(guò)濾����、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過(guò)濾與網(wǎng)絡(luò)服務(wù)防火墻功能�。(4)復(fù)合型技術(shù):把過(guò)濾和服務(wù)兩種方法結(jié)合形成新防火墻,所用主機(jī)稱(chēng)為堡壘主機(jī)�����,提供服務(wù)���。(5)審計(jì)技術(shù):通過(guò)對(duì)網(wǎng)絡(luò)上發(fā)生的訪問(wèn)進(jìn)程記錄和產(chǎn)生日志����,對(duì)日志統(tǒng)計(jì)分析,對(duì)資源使用情況分析���,對(duì)異?,F(xiàn)象跟蹤監(jiān)視�。(6)路由器加密技術(shù):加密路由器對(duì)通過(guò)路由器的信息流加密和壓縮,再通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密���。2.加密技術(shù)���。為保證數(shù)據(jù)和交易安全,確認(rèn)交易雙方的真實(shí)身份�����,電子商務(wù)采用加密技術(shù)��。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略��。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱(chēng)RSA編碼法����。信息交換的過(guò)程是貿(mào)易方甲生成一對(duì)密鑰并將其中一把作為公開(kāi)密鑰公開(kāi);得到公開(kāi)密鑰的貿(mào)易方乙對(duì)信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專(zhuān)用密鑰對(duì)加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請(qǐng)對(duì)方發(fā)信息將公共密鑰傳給對(duì)方���,保證傳輸信息的保密和安全���。(2)數(shù)字摘要:也稱(chēng)安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱(chēng)數(shù)字指紋���,有固定長(zhǎng)度且不同明文摘要成密文結(jié)果不同�,而同樣明文摘要必定一致�����。這串摘要成為驗(yàn)證明文是否真身的“指紋”�����。(3)數(shù)字簽名:將數(shù)字摘要���、公用密鑰算法兩種加密方法結(jié)合。在書(shū)面文件上簽名是確認(rèn)文件的手段��。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn)��,從而確認(rèn)文件已簽署;二是因?yàn)楹灻灰追旅?���,從而確定文件為真。(4)數(shù)字時(shí)間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性?xún)?nèi)容��,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)���。
3.認(rèn)證技術(shù)�����。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證��。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份�,驗(yàn)證信息完整性�����,確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改����。(1)數(shù)字證書(shū):也叫數(shù)字憑證、數(shù)字標(biāo)識(shí)���,用電子手段證實(shí)用戶(hù)身份及對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限���,可控制被查看的數(shù)據(jù)庫(kù)�,提高總體保密性����。交易支付過(guò)程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書(shū)證明身份�。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱(chēng)電子商務(wù)認(rèn)證中心。無(wú)論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書(shū)發(fā)放���,都需要有權(quán)威性和公正性的第三方完成���。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)并確認(rèn)用戶(hù)身份的企業(yè)機(jī)構(gòu)���,受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)管理�����。
4.防病毒技術(shù)���。(1)預(yù)防病毒技術(shù)����,通過(guò)自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲取系統(tǒng)控制權(quán)�,監(jiān)視系統(tǒng)中是否有病毒,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)破壞�。(2)檢測(cè)病毒技術(shù),通過(guò)對(duì)計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測(cè)技術(shù)�����,如自身校驗(yàn)�����、關(guān)鍵字���、文件長(zhǎng)度變化����。(3)消除病毒技術(shù)����,通過(guò)對(duì)計(jì)算機(jī)病毒分析�����,開(kāi)發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件�����。另外要認(rèn)真執(zhí)行病毒定期清理制度�,可以清除處于潛伏期的病毒����,防止病毒突然爆發(fā),使計(jì)算機(jī)始終處于良好工作狀態(tài)���。
四����、結(jié)語(yǔ)
信息安全是電子商務(wù)的核心�����。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù)���,提高電子商務(wù)系統(tǒng)的安全性和可靠性�����。但電子商務(wù)的安全運(yùn)行�,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠���,還必須完善電子商務(wù)立法��,以規(guī)范存在的各類(lèi)問(wèn)題��,引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展�。
參考文獻(xiàn):
[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006
篇4
【關(guān)鍵詞】電子商務(wù)信息�����;安全要素���;存在問(wèn)題���;應(yīng)對(duì)措施
隨著市場(chǎng)經(jīng)濟(jì)體制的改革、全球電子信息技術(shù)的不斷發(fā)展��,人們的生活水平得到了很大的提高���,計(jì)算機(jī)早已得到普及�����?���;ヂ?lián)網(wǎng)絡(luò)使人們的溝通更加快速和便捷,因此越來(lái)越多的商業(yè)貿(mào)易都選擇利用互聯(lián)網(wǎng)絡(luò)進(jìn)行����。但是目前網(wǎng)絡(luò)信息安全還存在一些問(wèn)題和漏洞,能否保障信息安全就成為電子商務(wù)貿(mào)易中重要的問(wèn)題��。
1.電子商務(wù)信息安全的要素
1.1機(jī)密性
在過(guò)去�,企業(yè)進(jìn)行商業(yè)貿(mào)易往來(lái)都是通過(guò)書(shū)信等可靠的通信渠道來(lái)進(jìn)行商業(yè)交流、發(fā)送商務(wù)文案的����,雖然這些方法的使用速度和效率都較低,但是機(jī)密安全性能夠得到保障���。在現(xiàn)代社會(huì)��,電子商務(wù)是在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境中進(jìn)行的��,電子商務(wù)信息的安全存在一定的風(fēng)險(xiǎn)���,因此要保障電子商務(wù)信息的安全,就必須保障電子商務(wù)信息的機(jī)密性���。
1.2完整性
電子商務(wù)信息傳輸簡(jiǎn)化了傳統(tǒng)貿(mào)易過(guò)程中的很多過(guò)程�����,減少了其中存在的一些干預(yù)信息���,但與此同時(shí),也存在著電子商務(wù)信息的完整性問(wèn)題�����。數(shù)據(jù)錄入過(guò)程中存在的一些問(wèn)題或是非法行為����,很容易導(dǎo)致商業(yè)貿(mào)易數(shù)據(jù)被篡改。電子商務(wù)信息在傳輸?shù)倪^(guò)程中信息也有可能出現(xiàn)丟失��、重復(fù)等問(wèn)題。因此�,保證數(shù)據(jù)信息在傳輸過(guò)程中的完整性是保障電子商務(wù)信息安全的重要因素。
1.3認(rèn)證性
互聯(lián)網(wǎng)是一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境�����,電子商務(wù)信息就是基于互聯(lián)網(wǎng)絡(luò)進(jìn)行的����,在進(jìn)行商業(yè)貿(mào)易往來(lái)時(shí),雙方不會(huì)見(jiàn)面��,這就需要一些技術(shù)對(duì)雙方的身份進(jìn)行識(shí)別和確認(rèn)���。
1.4有效性
在商業(yè)貿(mào)易過(guò)程中�����,貿(mào)易雙方都需要確認(rèn)很多信息�����,電子商務(wù)將紙質(zhì)的認(rèn)證轉(zhuǎn)變成為電子信息形式�����,那么�,保證信息的有效性是電子商務(wù)貿(mào)易的重要前提。因此����,對(duì)于網(wǎng)絡(luò)故障、硬件或軟件出現(xiàn)的問(wèn)題和計(jì)算機(jī)內(nèi)部可能存在的潛在病毒都要進(jìn)行一定的控制和預(yù)防工作�,這樣才能保障電子商務(wù)貿(mào)易數(shù)據(jù)信息的有效性����。
1.5不可抵賴(lài)性
傳統(tǒng)的貿(mào)易都是通過(guò)手寫(xiě)簽名或是印章的方式進(jìn)行,這樣可以有效防止貿(mào)易伙伴發(fā)生抵賴(lài)的行為�。而電子商務(wù)貿(mào)易是在虛擬的互聯(lián)網(wǎng)絡(luò)平臺(tái)上進(jìn)行的,而互聯(lián)網(wǎng)內(nèi)每個(gè)人都是匿名的�,存在極大的不安全因素。因此�����,如何保障電子商務(wù)信息安全的不可抵賴(lài)性是進(jìn)行電子商務(wù)貿(mào)易中的一個(gè)重點(diǎn)���。
2.電子商務(wù)信息安全中存在的問(wèn)題
2.1計(jì)算機(jī)網(wǎng)絡(luò)安全
雖然國(guó)際經(jīng)濟(jì)和數(shù)據(jù)信息早已步入全球化時(shí)代���,但安全協(xié)議問(wèn)題還未進(jìn)行全球性的規(guī)范,并且在安全管理方面還存在著很大的漏洞,這就很容易使黑客進(jìn)行攻擊���。一些非法用戶(hù)在網(wǎng)絡(luò)上通過(guò)不正當(dāng)手段攔截用戶(hù)的有效數(shù)據(jù)或是對(duì)數(shù)據(jù)進(jìn)行篡改��,將導(dǎo)致用戶(hù)的一些核心數(shù)據(jù)泄漏��,使信息失去真實(shí)性和完整性���。此外,一些非法用戶(hù)還會(huì)在攔截到的網(wǎng)絡(luò)數(shù)據(jù)中加入病毒再進(jìn)行再次發(fā)送�,利用修改后的數(shù)據(jù)信息惡意攻擊對(duì)方的計(jì)算機(jī)。電子服務(wù)器安全也是計(jì)算機(jī)網(wǎng)絡(luò)安全中的一個(gè)重要組成部分�����。電子商務(wù)服務(wù)器是電子商務(wù)中最重要的部分���,其中保存著大量的商務(wù)信息��,一旦出現(xiàn)安全問(wèn)題����,其造成的影響和后果是不可估量的����。
2.2電子商務(wù)交易安全
電子商務(wù)交易安全主要包含身份不確定�����、交易抵賴(lài)和交易信息修改三個(gè)主要方面�。由于電子商務(wù)貿(mào)易是基于虛擬的互聯(lián)網(wǎng)絡(luò)進(jìn)行的���,這個(gè)平臺(tái)上貿(mào)易雙方使不用見(jiàn)面的�,這就給貿(mào)易雙方的身份確認(rèn)帶來(lái)了一定的阻礙�����。一些非法用戶(hù)可以通過(guò)不正當(dāng)手段非法獲取用戶(hù)的身份信息����,再冒用他人身份信息和對(duì)方進(jìn)行交易��,從中獲取非法利益����。此外,在電子商務(wù)貿(mào)易中一些用戶(hù)可能會(huì)對(duì)自己曾經(jīng)發(fā)出的信息進(jìn)行否認(rèn)并推卸責(zé)任���。最后就是交易信息的修改問(wèn)題��,在傳統(tǒng)貿(mào)易中���,雙方一旦簽訂合同��,一般是不可修改的���,在電子商務(wù)貿(mào)易中也應(yīng)當(dāng)做到這點(diǎn),這樣就能保證商務(wù)貿(mào)易的公平公正性���。
3.電子商務(wù)信息安全的措施
3.1數(shù)據(jù)加密技術(shù)
保障電子商務(wù)信息安全的最基本措施就是數(shù)據(jù)加密技術(shù)���,保障數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的安全性和機(jī)密性。隨著電子商務(wù)與信息技術(shù)的不斷發(fā)展��,為了保障商務(wù)信息的完整性并進(jìn)行身份鑒定�,數(shù)字簽名、身份認(rèn)證等新的數(shù)字驗(yàn)證技術(shù)都在不斷的衍生出來(lái)�。數(shù)據(jù)加密技術(shù)就是將數(shù)據(jù)信息通過(guò)一定的加密算法,將原本明了的數(shù)據(jù)信息轉(zhuǎn)化成為一段無(wú)意義的秘文�����,以阻止非法用戶(hù)截取信息獲取原始資料的意義,從而保障電子商務(wù)信息的安全�。對(duì)稱(chēng)密鑰加密體制和非對(duì)稱(chēng)密鑰加密體制是目前使用最為廣泛的兩種加密技術(shù)。
3.2防火墻技術(shù)
數(shù)據(jù)包過(guò)濾和服務(wù)技術(shù)是目前互聯(lián)網(wǎng)內(nèi)使用最為廣泛的防火墻技術(shù)���。相比服務(wù)技術(shù)��,數(shù)據(jù)包過(guò)濾防火墻技術(shù)使用起來(lái)更為簡(jiǎn)單�,它檢查每個(gè)收到的數(shù)據(jù)包的頭并決定數(shù)據(jù)包是否發(fā)送到目的地����,因此其運(yùn)用比較普遍。防火墻能夠?qū)M(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行一定標(biāo)準(zhǔn)的過(guò)濾�,就能有效的對(duì)有害信息進(jìn)行阻隔,從而保障計(jì)算機(jī)網(wǎng)絡(luò)的安全�����。然而����,防火墻技術(shù)也存在著一些缺點(diǎn)�,如防火墻只能對(duì)經(jīng)過(guò)了防火墻的有害信息進(jìn)行阻隔,但并不能防止計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)攻擊�,并且防火墻不能保障數(shù)據(jù)的機(jī)密性���。
3.3身份認(rèn)證技術(shù)
網(wǎng)絡(luò)中對(duì)用戶(hù)進(jìn)行身份認(rèn)證最常用的技術(shù)就是數(shù)字證書(shū),類(lèi)似于現(xiàn)實(shí)生活中的身份證�����。CA(Certificate Authority)是頒發(fā)數(shù)字證書(shū)的機(jī)構(gòu)���,要想保障電子商務(wù)信息安全����,就必須建立一個(gè)完善���、穩(wěn)固的CA����。
3.4保障安全環(huán)境性措施
由于目前互聯(lián)網(wǎng)絡(luò)的電子商務(wù)貿(mào)易發(fā)展得還不成熟�����,相關(guān)的法律法規(guī)都還沒(méi)建立�����,其中還存在著一些較大的問(wèn)題。因此就要保障電子商務(wù)信息的環(huán)境安全�����,首先要在我國(guó)構(gòu)件一個(gè)完善的電子商務(wù)體系��,其次要完善相關(guān)法律法規(guī)的建設(shè)�����,最后要加快網(wǎng)絡(luò)的基礎(chǔ)建設(shè)�����,推動(dòng)企業(yè)信息化的進(jìn)程���。
4.結(jié)語(yǔ)
根據(jù)電子商務(wù)信息的機(jī)密性����、完整性�、認(rèn)證性���、有效性和不可抵賴(lài)性這五個(gè)基本要素��,結(jié)合目前電子網(wǎng)絡(luò)信息中存在的一些問(wèn)題���,采用如數(shù)據(jù)加密技術(shù)�、防火墻技術(shù)����、身份認(rèn)證等技術(shù)就能在很大程度上提高網(wǎng)絡(luò)信息的安全性,保障在電子商務(wù)貿(mào)易中商務(wù)信息的安全���。 [科]
【參考文獻(xiàn)】
[1]肖徳琴.電子商務(wù)安全保密技術(shù)與應(yīng)用[M].華南理工大學(xué)出版社��,2012��,9.
篇5
在電子商務(wù)交易過(guò)程中�,采取適當(dāng)?shù)陌踩夹g(shù)措施能夠有效的降低電子商務(wù)交易過(guò)程中的風(fēng)險(xiǎn)�����,滿(mǎn)足電子商務(wù)對(duì)于安全性的要求����。下面對(duì)常用的電子商務(wù)信息安全技術(shù)措施進(jìn)行研究。
1)信息加密技術(shù)。信息加密指的是將信息數(shù)據(jù)按照一定的算法規(guī)則進(jìn)行轉(zhuǎn)換處理��,根據(jù)加密算法的不同���,密文有所不同��。在進(jìn)行數(shù)據(jù)信息的解密時(shí)�����,需要提供預(yù)先設(shè)置的加密算法�,否則無(wú)法完成對(duì)信息的解密��,這樣就起到了加密信息數(shù)據(jù)的目的��。信息加密算法的不同保證了用戶(hù)數(shù)據(jù)的安全性�。其中,加密技術(shù)按照密鑰的不同可以分為對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密兩種����。對(duì)稱(chēng)式加密的主要特點(diǎn)是加密算法的運(yùn)算量較小、加密時(shí)間短�。但是整個(gè)的保密都完全依賴(lài)于密鑰的保密,一旦密鑰出現(xiàn)安全問(wèn)題�����,就會(huì)使得整個(gè)信息數(shù)據(jù)的安全性喪失�,因此,對(duì)于密鑰的管理是對(duì)稱(chēng)式加密的關(guān)鍵環(huán)節(jié);非對(duì)稱(chēng)加密技術(shù)在加密環(huán)節(jié)與解密環(huán)節(jié)采用的是不同的密鑰��,與對(duì)稱(chēng)式加密相比�,非對(duì)稱(chēng)加密有著更高的保密等級(jí),但是其存在的一個(gè)缺點(diǎn)就是加密和解密過(guò)程運(yùn)算量較大�����。
2)認(rèn)技術(shù)��。普通的加密技術(shù)在實(shí)際的電子商務(wù)信息安全管理中顯得不盡完善��。在電子商務(wù)信息安全管理的技術(shù)手段中����,身份認(rèn)證和信息判別是必須的信息安全管理環(huán)節(jié)。目前的認(rèn)證技術(shù)主要包括數(shù)字簽名����、數(shù)字信封、數(shù)字證書(shū)等幾種認(rèn)證方式�����。數(shù)字簽名技術(shù)是類(lèi)似于傳統(tǒng)意義上的簽名,只是以數(shù)字的形式完成�����,其目的是保證在電子商務(wù)的交易過(guò)程中明確交易雙方的身份并且保證雙方身份的不可變更��。電子商務(wù)環(huán)境下的數(shù)字簽名技術(shù)主要是將數(shù)據(jù)文件通過(guò)數(shù)據(jù)發(fā)送者的密鑰進(jìn)行加密����,將二者一起傳送出去,接受者在接收到信息后只有通過(guò)發(fā)送者的公鑰才能夠解密數(shù)據(jù)信息�,這樣整個(gè)過(guò)程就形同現(xiàn)實(shí)生活中的簽名一樣,將數(shù)據(jù)信息與個(gè)人的身份建立關(guān)聯(lián)����,保證了電子商務(wù)交易過(guò)程中的數(shù)據(jù)信息安全;數(shù)字信封指的是通過(guò)在數(shù)據(jù)信息發(fā)送過(guò)程中加人特定的標(biāo)識(shí),以保證數(shù)據(jù)信息能夠準(zhǔn)確的發(fā)送到制定的用戶(hù)����,其具體的實(shí)現(xiàn)選用對(duì)稱(chēng)密鑰對(duì)信息數(shù)據(jù)進(jìn)行加密,然后將需要發(fā)送的數(shù)據(jù)信息連同數(shù)字信封一同發(fā)送���,在信息接受者處同樣需要數(shù)字信封的解密文件對(duì)數(shù)據(jù)信息進(jìn)行解密��,目前這種信封加密技術(shù)已經(jīng)得到了較為普遍的應(yīng)用����。
3)防火墻技術(shù)����。計(jì)算機(jī)防火墻是抵御計(jì)算機(jī)網(wǎng)絡(luò)攻擊的重要手段,其主要是通過(guò)設(shè)置網(wǎng)絡(luò)過(guò)濾作用的防火墻對(duì)防火墻外部的數(shù)據(jù)進(jìn)行選擇性的接收���。防火墻技術(shù)是一種相對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)����,其使用較為簡(jiǎn)單�����,但是在實(shí)際的電子商務(wù)交易過(guò)程中��,網(wǎng)絡(luò)防火墻只能夠起到基礎(chǔ)防護(hù)的作用��,對(duì)于更高級(jí)別的網(wǎng)絡(luò)防護(hù)要求是無(wú)法滿(mǎn)足的���。
4)安全交易協(xié)議��。常用的電子商務(wù)交易協(xié)議有SET���、SSL��。其中SET是基于互聯(lián)網(wǎng)的信用卡平臺(tái)所確立的�,其主要的應(yīng)用領(lǐng)域是BtoC模式�。具體的實(shí)施過(guò)程是通過(guò)采用信息的數(shù)字簽名技術(shù)來(lái)確保信息的完整性,同時(shí)對(duì)信息的來(lái)源進(jìn)行確認(rèn);SSL通信協(xié)議主要能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)的加密�、客戶(hù)端的身份認(rèn)證、數(shù)據(jù)的完整性維護(hù)�����,以保證數(shù)據(jù)信息都能夠準(zhǔn)確的到達(dá)接受者����。
2加強(qiáng)電子商務(wù)信息安全的對(duì)策
增強(qiáng)電子商務(wù)交易過(guò)程中的信息安全,不僅僅要從技術(shù)的角度出發(fā)���,同時(shí)還要加強(qiáng)對(duì)于電子商務(wù)信息安全的管理��,主要采取以下幾個(gè)方面的措施���。
l)加強(qiáng)安全管理組織建設(shè)���。加強(qiáng)電子商務(wù)信息安全的管理組織建設(shè)是信息安全管理的重要方面,應(yīng)該根據(jù)實(shí)際的電子商務(wù)需要�����,建立健全安全管理組織機(jī)構(gòu)�,完善安全管理組織的職能規(guī)劃��。通常情況下��,安全管理組織負(fù)責(zé)電子商務(wù)安全的制度起草以及后期的安全制度落實(shí)�、安全巡查、安全維護(hù)等���。同時(shí)還可以根據(jù)實(shí)際需要聘請(qǐng)相關(guān)網(wǎng)絡(luò)安全的專(zhuān)家和學(xué)者擔(dān)任組織的顧問(wèn)��,對(duì)組織建設(shè)提供建議和指導(dǎo)�����。
2)完善電子商務(wù)信息安全制度建設(shè)�����。加強(qiáng)電子商務(wù)交易過(guò)程中的制度建設(shè)是整個(gè)電子商務(wù)安全管理的核心工作�����。要明確相應(yīng)安全制度的定義�、適用范圍、權(quán)責(zé)等����,并且不斷的根據(jù)實(shí)際需要對(duì)制度進(jìn)行細(xì)化。在實(shí)際的電子商務(wù)信息安全管理制度建設(shè)中�,主要包括五個(gè)方面的內(nèi)容。一是建立完善的電子商務(wù)授權(quán)交易制度�����,對(duì)交易過(guò)程中的關(guān)鍵環(huán)節(jié)進(jìn)行嚴(yán)格審核;二是明確信息安全的權(quán)責(zé)��,對(duì)各個(gè)部門(mén)的職能和責(zé)任進(jìn)行明確的分工;三是建立財(cái)務(wù)控制制度���,加強(qiáng)交易過(guò)程中的財(cái)產(chǎn)安全;四是加強(qiáng)對(duì)電子商務(wù)中經(jīng)營(yíng)環(huán)節(jié)的管控;五是建立相對(duì)完善的電子商務(wù)信息安全應(yīng)急處理制度��,對(duì)信息數(shù)據(jù)及時(shí)進(jìn)行備份��。
3)加強(qiáng)內(nèi)部人員管理����。培養(yǎng)和加強(qiáng)內(nèi)部員工的信息安全意識(shí)對(duì)于防范電子商務(wù)交易過(guò)程中的信息安全有著重要意義。其具體的設(shè)施主要有以下兩個(gè)方面的內(nèi)容:首先�,要加強(qiáng)對(duì)于內(nèi)部員工信息安全意識(shí)的培養(yǎng),使得員工在思想上加強(qiáng)對(duì)于信息安全的認(rèn)識(shí);其次���,在人員的錄用和培訓(xùn)環(huán)節(jié)要加強(qiáng)管理����,員工需要簽署嚴(yán)格的信息安全保密協(xié)議��,同時(shí)強(qiáng)化員工的信息安全權(quán)責(zé)意識(shí)�。
3結(jié)束語(yǔ)
篇6
[關(guān)鍵詞]電子商務(wù);PKI;公鑰密碼系統(tǒng)
前言
電子商務(wù)(E-Commerce)是在Internet開(kāi)放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器服務(wù)器的應(yīng)用方式,實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購(gòu)物商戶(hù)之間的網(wǎng)上交易和在線電子支付的商業(yè)運(yùn)營(yíng)模式最近幾年,電子商務(wù)以其便利快捷的特點(diǎn)迅速發(fā)展起來(lái),但是安全問(wèn)題一直是阻礙其發(fā)展的關(guān)鍵因素雖然PKI的研究和應(yīng)用為互聯(lián)網(wǎng)絡(luò)安全提供了必要的基礎(chǔ)設(shè)施,但是電子商務(wù)信息的機(jī)密性和完整性仍然是迫切需要解決的問(wèn)題,本文針對(duì)這一問(wèn)題展開(kāi)了深入研究并提出了解決方法
1PKI的定義和功能
PKI——公鑰基礎(chǔ)設(shè)施,是構(gòu)建網(wǎng)絡(luò)應(yīng)用的安全保障,專(zhuān)為開(kāi)放型大型互聯(lián)網(wǎng)的應(yīng)用環(huán)境而設(shè)計(jì)PKI是對(duì)公鑰所表示的信任關(guān)系進(jìn)行管理的一種機(jī)制,它為Internet用戶(hù)和應(yīng)用程序提供公鑰加密和數(shù)字簽名服務(wù),目的是為了管理密鑰和證書(shū),保證網(wǎng)上數(shù)字信息傳輸?shù)臋C(jī)密性真實(shí)性完整性和不可否認(rèn)性,以使用戶(hù)能夠可靠地使用非對(duì)稱(chēng)密鑰加密技術(shù)來(lái)增強(qiáng)自己的安全水平PKI的功能主要包括:公鑰加密證書(shū)證書(shū)確認(rèn)證書(shū)撤銷(xiāo)
2公鑰密碼系統(tǒng)
由于PKI廣泛應(yīng)用于電子商務(wù),故文章重點(diǎn)放在討論RSA公鑰密碼系統(tǒng)上RSA的安全性是基于數(shù)論和計(jì)算復(fù)雜性理論中的下述論斷:求兩個(gè)大素?cái)?shù)的乘積在計(jì)算上是容易的,但若分解兩個(gè)大素?cái)?shù)的積而求出它的因子則在計(jì)算上是困難的,它屬于NPI類(lèi)
2.1RSA系統(tǒng)
RSA使用的一個(gè)密鑰對(duì)是由兩個(gè)大素?cái)?shù)經(jīng)過(guò)運(yùn)算產(chǎn)生的結(jié)果:其中一個(gè)是公鑰,為眾多實(shí)體所知;另外一個(gè)是私鑰,為了確保其保密性和完整性,必須嚴(yán)格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密鑰對(duì)中的一個(gè)密鑰加密的消息只能用另外一個(gè)解密,這也就體現(xiàn)了RSA系統(tǒng)的非對(duì)稱(chēng)性RSA具有加密和數(shù)字簽名功能RSA產(chǎn)生公鑰/私鑰對(duì)加解密的過(guò)程如下:
2.1.1產(chǎn)生一個(gè)公鑰/私鑰對(duì)
(1)選取兩個(gè)大素?cái)?shù)p和q,為了獲得最大程度的安全性,兩個(gè)數(shù)的長(zhǎng)度最好相同兩個(gè)素?cái)?shù)p和q必須保密
(2)計(jì)算p與q的乘積:n=p*q
(3)再由p和q計(jì)算另一個(gè)數(shù)z=(p-1)*(q-1)
(4)隨機(jī)選取加密密鑰e,使e和z互素
(5)用歐幾里得擴(kuò)展算法計(jì)算解密密鑰d,以滿(mǎn)足e*d=1mod(z)
(6)由此而得到的兩組數(shù)(n,e)和(n,d)分別被稱(chēng)為公鑰和私鑰
2.1.2加密/解密過(guò)程
RSA的加密方法是一個(gè)實(shí)體用另外一個(gè)實(shí)體的公鑰完成加密過(guò)程,這就允許多個(gè)實(shí)體發(fā)送一個(gè)實(shí)體加密過(guò)的消息而不用事先交換秘密鑰或者私鑰,并且由于加密是用公鑰執(zhí)行的,所以解密只能用其對(duì)應(yīng)的私鑰來(lái)完成,因此只有目標(biāo)接受者才能解密并讀取原始消息
在實(shí)際操作中,RSA采用一種分組加密算法,加密消息m時(shí),首先將它分成比n小的數(shù)據(jù)分組(采用二進(jìn)制數(shù),選取小于n的2的最大次冪),加密后的密文c,將由相同長(zhǎng)度的分組ci組成加密公式簡(jiǎn)化為:
ci=mie(modn)
即對(duì)于明文m,用公鑰(n,e)加密可得到密文c:
c=memodn,其中m={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)
解密消息時(shí),取每一個(gè)加密后的分組ci并計(jì)算:mi=cid(modn),便能恢復(fù)出明文即對(duì)于密文c,用接收者的私鑰(n,d)解密可得到明文m:
m=cdmodnm={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)
2.1.3數(shù)字簽名
RSA的數(shù)字簽名是加密的相反方式,即由一個(gè)實(shí)體用它的私鑰將明文加密而生成的這種加密允許一個(gè)實(shí)體向多個(gè)實(shí)體發(fā)送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發(fā)送者的公鑰就可以解密
RSA的數(shù)字簽名過(guò)程如下:
s=mdmodn,其中m是消息,s是數(shù)字簽名的結(jié)果,d和n是消息發(fā)送者的私鑰
消息的解密過(guò)程如下:
m=semodn,其中e和n是發(fā)送者的公鑰
2.1.4散列(Hash)函數(shù)
MD5與SHA1都屬于Hash函數(shù)標(biāo)準(zhǔn)算法中兩大重要算法,就是把一個(gè)任意長(zhǎng)度的信息經(jīng)過(guò)復(fù)雜的運(yùn)算變成一個(gè)固定長(zhǎng)度的數(shù)值或者信息串,主要用于證明原文的完整性和準(zhǔn)確性,是為電子文件加密的重要工具一般來(lái)說(shuō),對(duì)于給出的一個(gè)文件要算它的Hash碼很容易,但要從Hash碼找出相應(yīng)的文件算法卻很難Hash函數(shù)最根本的特點(diǎn)是這種變換具有單向性,一旦數(shù)據(jù)被轉(zhuǎn)換,就無(wú)法再以確定的方法獲得其原始值,從而無(wú)法控制變換得到的結(jié)果,達(dá)到防止信息被篡改的目的由于Hash函數(shù)的這種不可逆特性,使其非常適合被用來(lái)確定原文的完整性,從而被廣泛用于數(shù)字簽名
2.2對(duì)稱(chēng)密碼系統(tǒng)
對(duì)稱(chēng)密碼系統(tǒng)的基本特點(diǎn)是解密算法就是加密算法的逆運(yùn)算,加秘密鑰就是解秘密鑰它通常用來(lái)加密帶有大量數(shù)據(jù)的報(bào)文和問(wèn)卷通信的信息,因?yàn)檫@兩種通信可實(shí)現(xiàn)高速加密算法在對(duì)稱(chēng)密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送,而雙方實(shí)體通信所用的秘密鑰也必須妥善保管
3應(yīng)用模型
利用公鑰加密系統(tǒng)可以解決電子商務(wù)中信息的機(jī)密性和完整性的要求,下面是具體的應(yīng)用模型在本例中,Alice與Bob兩個(gè)實(shí)體共享同一個(gè)信任點(diǎn),即它們使用同一CA簽發(fā)的數(shù)字證書(shū)因此,它們無(wú)需評(píng)價(jià)信任鏈去決定是否信任其他CA
3.1準(zhǔn)備工作
(1)Alice與Bob各自生成一個(gè)公鑰/私鑰對(duì);
(2)Alice與Bob向RA(機(jī)構(gòu))提供各自的公鑰名稱(chēng)和描述信息;
(3)RA審核它們的身份并向CA提交證書(shū)申請(qǐng);
(4)CA格式化Alice和Bob的公鑰及其他信息,為Alice和Bob分別生成公鑰證書(shū),然后用自己的私鑰對(duì)證書(shū)進(jìn)行數(shù)字簽名;
(5)上述過(guò)程的結(jié)果是,Alice與Bob分別擁有各自的一個(gè)公鑰/私鑰對(duì)和公鑰證書(shū);
(6)Alice與Bob各自生成一個(gè)對(duì)稱(chēng)秘密鑰
現(xiàn)在,Alice和Bob擁有各自的一個(gè)公鑰/私鑰對(duì),由共同信任的第三方頒發(fā)的數(shù)字證書(shū)以及一個(gè)對(duì)稱(chēng)密鑰
3.2處理過(guò)程
假設(shè)現(xiàn)在Alice欲發(fā)送消息給Bob,并且要求確保數(shù)據(jù)的完整性,即消息內(nèi)容不能發(fā)生變動(dòng);同時(shí)Alice和Bob都希望確保信息的機(jī)密性,即不容許除雙方之外的其他實(shí)體能夠查看該消息完成這樣要求的處理過(guò)程如下:其中步驟1~5說(shuō)明Alice加密消息過(guò)程;步驟6~10說(shuō)明Bob解密消息的過(guò)程了消息的完整性,而沒(méi)有確保其機(jī)密性
(3)由于Alice和Bob之間想保持消息的機(jī)密性,所以Alice用它的對(duì)稱(chēng)秘密鑰加密被簽名的消息和散列值這一對(duì)稱(chēng)秘密鑰只有Alice和Bob共享而不被其他實(shí)體所用注意,在本例中,我們使用了一個(gè)對(duì)稱(chēng)秘密鑰,這是因?yàn)閷?duì)于加密較長(zhǎng)消息諸如訂購(gòu)信息來(lái)說(shuō),利用對(duì)稱(chēng)加密比公鑰加密更為有效
(4)Alice必須向Bob提供它用來(lái)給消息加密的對(duì)稱(chēng)秘密鑰,以使得Bob能夠用其解密被Alice加密過(guò)的消息Alice用Bob的公鑰將自己的對(duì)稱(chēng)秘密鑰簽名(加密),這里我們假設(shè)Alice事先已經(jīng)獲得Bob的公鑰,這樣就形成了一個(gè)數(shù)字信箋,并且只有Bob才能將其打開(kāi)(解密),因?yàn)橹挥蠦ob能夠訪問(wèn)用來(lái)打開(kāi)該數(shù)字信箋的私鑰注意,一個(gè)公鑰/私鑰對(duì)中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密這就為Alice向Bob傳輸對(duì)稱(chēng)秘密鑰提供了機(jī)密性
(5)Alice發(fā)送給Bob的信息包括它用對(duì)稱(chēng)秘密鑰加密的原始消息和散列值,以及用Bob公鑰加密的包含Alice的對(duì)稱(chēng)秘密鑰的數(shù)字信箋圖1描述了Alice使用數(shù)字簽名向Bob發(fā)送消息(步驟1~5)
(6)Bob用它的私鑰打開(kāi)(解密)來(lái)自于Alice的數(shù)字信箋完成這一過(guò)程將使Bob獲得Alice以前用來(lái)加密消息和散列值的對(duì)稱(chēng)秘密鑰
(7)Bob現(xiàn)在可以打開(kāi)(解密)用Alice的對(duì)稱(chēng)秘密鑰加密的消息和散列值解密后Bob得到了用Alice的私鑰簽名的消息和散列值
(8)Bob用Alice的公鑰解密簽名的消息和散列值注意,一個(gè)公鑰/私鑰對(duì)中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密
(9)為了證實(shí)消息沒(méi)有經(jīng)過(guò)任何改動(dòng),Bob將原始消息采用與Alice最初使用的完全一致的Hash函數(shù)進(jìn)行轉(zhuǎn)化
(10)最后,Bob將得出的散列值與它從所收消息中解密出來(lái)的散列值對(duì)比,若二者相同,則證明了消息的完整性圖2描述了Bob解密和對(duì)比散列值的過(guò)程(步驟6~10)
3.3實(shí)現(xiàn)方法
采用Java語(yǔ)言實(shí)現(xiàn)系統(tǒng),Java語(yǔ)言本身提供了一些基本的安全方面的函數(shù),我們可以在此基礎(chǔ)上實(shí)現(xiàn)更為復(fù)雜和有效的應(yīng)用系統(tǒng)系統(tǒng)中主要的類(lèi)實(shí)現(xiàn)如下:
(1)DataEncryption類(lèi)該類(lèi)主要實(shí)現(xiàn)明文向密文的轉(zhuǎn)換,依據(jù)RSA算法的規(guī)則實(shí)現(xiàn)非對(duì)稱(chēng)加密,其中密鑰長(zhǎng)度為128位每次可加密數(shù)據(jù)的最大長(zhǎng)度為512字節(jié),因此對(duì)于較長(zhǎng)數(shù)據(jù)的加密需要?jiǎng)澐诌m當(dāng)大小的數(shù)據(jù)塊
(2)DataHash類(lèi)該類(lèi)完成對(duì)所要加密消息產(chǎn)生對(duì)應(yīng)的散列值,對(duì)于不同的消息,散列值是不相同的可以借助Java中提供的Hash函數(shù)來(lái)實(shí)現(xiàn)
(3)DataDecryption類(lèi)該類(lèi)主要實(shí)現(xiàn)密文向明文的轉(zhuǎn)換,依據(jù)依據(jù)RSA算法的規(guī)則,利用加密方的公鑰對(duì)密文進(jìn)行解密,并將解密后的明文按序排好
4結(jié)束語(yǔ)
文章以PKI理論為基礎(chǔ),利用公鑰密碼系統(tǒng)確保了電子商務(wù)過(guò)程中所傳輸消息的完整性,使用對(duì)稱(chēng)加密系統(tǒng)實(shí)現(xiàn)對(duì)較長(zhǎng)消息的加密,并保證了消息的機(jī)密性文章的理論研究和實(shí)現(xiàn)方法,對(duì)于保障電子商務(wù)活動(dòng)中消息的完整性和機(jī)密性具有重要的指導(dǎo)意義
主要參考文獻(xiàn)
[1]周學(xué)廣,劉藝.信息安全學(xué)[M].北京:機(jī)械工業(yè)出版社,2004.
篇7
關(guān)鍵詞:電子商務(wù); 信息安全;運(yùn)行環(huán)境;黑客;防火墻
電子商務(wù)在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展日益迅猛的當(dāng)下,應(yīng)用越來(lái)越廣泛,這種基于Internet進(jìn)行的各種商務(wù)活動(dòng)模式以其特有的開(kāi)放性讓商務(wù)活動(dòng)相比較以往更加高效快捷�����。In-ternet 是一個(gè)開(kāi)放的�����、全球性的�����、無(wú)控制機(jī)構(gòu)的網(wǎng)絡(luò),計(jì)算機(jī)網(wǎng)絡(luò)自身的特點(diǎn)決定了網(wǎng)絡(luò)不安全,網(wǎng)絡(luò)服務(wù)一般都是通過(guò)各種各樣的協(xié)議完成的,因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的重要方面,Internet 的數(shù)據(jù)傳輸是基于 TCP/IP操作系統(tǒng)來(lái)支持的,TCP/IP 協(xié)議本身存在著一定的缺陷。
1電子商務(wù)所面臨的信息安全威脅
1.1 安全環(huán)境惡化
由于在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面發(fā)展較為遲緩,我國(guó)在很多硬件核心設(shè)備方面依然以進(jìn)口采購(gòu)為主要渠道,不能自主生產(chǎn)也意味著不能自主控制,除了生產(chǎn)技術(shù)�、維護(hù)技術(shù)也相應(yīng)依靠國(guó)外引進(jìn),這也就讓國(guó)內(nèi)的電子商務(wù)無(wú)法看到眼前的威脅以及自身軟件的應(yīng)付能力。
1.2平臺(tái)的自然物理威脅
由于電子商務(wù)通過(guò)網(wǎng)絡(luò)傳輸進(jìn)行,因此諸如電磁輻射干擾以及網(wǎng)絡(luò)設(shè)備老化帶來(lái)的傳輸緩慢甚至中斷等自然威脅難以預(yù)測(cè),而這些威脅將直接影響信息安全��。此外,人為破壞商務(wù)系統(tǒng)硬件,篡改刪除信息內(nèi)容等行為,也會(huì)給企業(yè)造成損失���。
1.3黑客入侵
在諸多威脅中,病毒是最不可控制的,其主要作用是損壞計(jì)算機(jī)文件,且具有繁殖功能��。配合越來(lái)越便捷的網(wǎng)絡(luò)環(huán)境,計(jì)算機(jī)病毒的破壞力與日俱增��。而目前黑客所慣用的木馬程序則更有目的性,本地計(jì)算機(jī)所記錄的登錄信息都會(huì)被木馬程序篡改,從而造成信息之外的文件和資金遭竊���。
2電子商務(wù)信息安全的防范處理方法
2.1針對(duì)病毒的技術(shù)
作為電子商務(wù)安全的最大威脅,對(duì)于計(jì)算機(jī)病毒的防范是重中之重。對(duì)于病毒,處理態(tài)度應(yīng)該以預(yù)防為主,查殺為輔�。因?yàn)椴《镜念A(yù)防工作在技術(shù)層面上比查殺要更為簡(jiǎn)單。多種預(yù)防措施的并行應(yīng)用很重要,比如對(duì)全新計(jì)算機(jī)硬件�、軟件進(jìn)行全面的檢測(cè);利用病毒查殺軟件對(duì)文件進(jìn)行實(shí)時(shí)的掃描;定期進(jìn)行相關(guān)數(shù)據(jù)備份;服務(wù)器啟動(dòng)采取硬盤(pán)啟動(dòng);相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問(wèn)權(quán)限等等。同時(shí)在病毒感染時(shí)保證文件的及時(shí)隔離��。在計(jì)算機(jī)系統(tǒng)感染病毒的情況下,第一時(shí)間清除病毒文件并及時(shí)恢復(fù)系統(tǒng)�����。
2.2防火墻應(yīng)用
防火墻主要是用來(lái)隔離內(nèi)部網(wǎng)和外部網(wǎng),對(duì)內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類(lèi):一類(lèi)是簡(jiǎn)單的包過(guò)濾技術(shù),它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)���。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過(guò)濾邏輯,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址��、目的地址�、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)����。另一類(lèi)是應(yīng)用網(wǎng)管和服務(wù)器,可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過(guò)濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告
2.3數(shù)據(jù)加密技術(shù)的引入
加密技術(shù)是保證電子商務(wù)安全采用的主要安全措施。加密過(guò)程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合,從而產(chǎn)生不可理解的密文的過(guò)程,主要加密技術(shù)是:對(duì)稱(chēng)加密技術(shù)和非對(duì)稱(chēng)加密技術(shù)����。
2.4認(rèn)證系統(tǒng)
網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書(shū)。數(shù)字證書(shū)類(lèi)似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份���。傳統(tǒng)的對(duì)稱(chēng)密鑰算法具有加密強(qiáng)度高�����、運(yùn)算速度快的優(yōu)點(diǎn),但密鑰的傳遞與管理問(wèn)題限制了它的應(yīng)用。為解決此問(wèn)題,20 世紀(jì) 70 年代密碼界出現(xiàn)了公開(kāi)密鑰算法,該算法使用一對(duì)密鑰即一個(gè)私鑰和一個(gè)公鑰,其對(duì)應(yīng)關(guān)系是唯一的,公鑰對(duì)外公開(kāi),私鑰個(gè)人秘密保存����。一般用公鑰來(lái)進(jìn)行加密,用私鑰來(lái)進(jìn)行簽名;同時(shí)私鑰用來(lái)解密,公鑰用來(lái)驗(yàn)證簽名。
2.5其他注意事項(xiàng)
(1)機(jī)密性是指信息在存儲(chǔ)或傳輸過(guò)程中不被他人竊取或泄漏,滿(mǎn)足電子商務(wù)交易中信息保密性的安全需求,避免敏感信息泄漏的威脅。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的�����。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障�����。因此,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取�。
(2)商務(wù)信息的完整性,只讀特性以及修改授權(quán)問(wèn)題是電子商務(wù)信息需要攻克的一大難關(guān)。信息在傳輸過(guò)程中必須保持原內(nèi)容,不能因技術(shù)����、環(huán)境以及刻意原因而輕易被更改。
(3)交易誠(chéng)信問(wèn)題也存在于隔空交易當(dāng)中,電子商務(wù)信息在傳輸當(dāng)中,保證傳輸速度和內(nèi)容真實(shí)的情況下,交易方不能對(duì)已完成的交易操作產(chǎn)生反悔,一旦因商務(wù)平臺(tái)外的問(wèn)題而取消或質(zhì)疑交易操作,對(duì)方的利益將蒙受損失���。
篇8
關(guān)鍵詞:電子商務(wù)��; 信息安全���;運(yùn)行環(huán)境;黑客����;防火墻
電子商務(wù)在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展日益迅猛的當(dāng)下�,應(yīng)用越來(lái)越廣泛���,這種基于Internet進(jìn)行的各種商務(wù)活動(dòng)模式以其特有的開(kāi)放性讓商務(wù)活動(dòng)相比較以往更加高效快捷�。In-ternet 是一個(gè)開(kāi)放的���、全球性的���、無(wú)控制機(jī)構(gòu)的網(wǎng)絡(luò),計(jì)算機(jī)網(wǎng)絡(luò)自身的特點(diǎn)決定了網(wǎng)絡(luò)不安全��,網(wǎng)絡(luò)服務(wù)一般都是通過(guò)各種各樣的協(xié)議完成的�,因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的重要方面,Internet 的數(shù)據(jù)傳輸是基于 TCP/IP操作系統(tǒng)來(lái)支持的��,TCP/IP 協(xié)議本身存在著一定的缺陷����。
1電子商務(wù)所面臨的信息安全威脅
1.1 安全環(huán)境惡化
由于在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面發(fā)展較為遲緩,我國(guó)在很多硬件核心設(shè)備方面依然以進(jìn)口采購(gòu)為主要渠道���,不能自主生產(chǎn)也意味著不能自主控制,除了生產(chǎn)技術(shù)����、維護(hù)技術(shù)也相應(yīng)依靠國(guó)外引進(jìn)�����,這也就讓國(guó)內(nèi)的電子商務(wù)無(wú)法看到眼前的威脅以及自身軟件的應(yīng)付能力���。
1.2平臺(tái)的自然物理威脅
由于電子商務(wù)通過(guò)網(wǎng)絡(luò)傳輸進(jìn)行,因此諸如電磁輻射干擾以及網(wǎng)絡(luò)設(shè)備老化帶來(lái)的傳輸緩慢甚至中斷等自然威脅難以預(yù)測(cè)���,而這些威脅將直接影響信息安全��。此外���,人為破壞商務(wù)系統(tǒng)硬件,篡改刪除信息內(nèi)容等行為��,也會(huì)給企業(yè)造成損失�。
1.3黑客入侵
在諸多威脅中,病毒是最不可控制的�����,其主要作用是損壞計(jì)算機(jī)文件����,且具有繁殖功能��。配合越來(lái)越便捷的網(wǎng)絡(luò)環(huán)境�����,計(jì)算機(jī)病毒的破壞力與日俱增��。而目前黑客所慣用的木馬程序則更有目的性��,本地計(jì)算機(jī)所記錄的登錄信息都會(huì)被木馬程序篡改���,從而造成信息之外的文件和資金遭竊。
2電子商務(wù)信息安全的防范處理方法
2.1針對(duì)病毒的技術(shù)
作為電子商務(wù)安全的最大威脅���,對(duì)于計(jì)算機(jī)病毒的防范是重中之重�����。對(duì)于病毒�,處理態(tài)度應(yīng)該以預(yù)防為主�,查殺為輔。因?yàn)椴《镜念A(yù)防工作在技術(shù)層面上比查殺要更為簡(jiǎn)單�����。多種預(yù)防措施的并行應(yīng)用很重要�����,比如對(duì)全新計(jì)算機(jī)硬件����、軟件進(jìn)行全面的檢測(cè);利用病毒查殺軟件對(duì)文件進(jìn)行實(shí)時(shí)的掃描�;定期進(jìn)行相關(guān)數(shù)據(jù)備份;服務(wù)器啟動(dòng)采取硬盤(pán)啟動(dòng)��;相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問(wèn)權(quán)限等等��。同時(shí)在病毒感染時(shí)保證文件的及時(shí)隔離���。在計(jì)算機(jī)系統(tǒng)感染病毒的情況下��,第一時(shí)間清除病毒文件并及時(shí)恢復(fù)系統(tǒng)��。
2.2防火墻應(yīng)用
防火墻主要是用來(lái)隔離內(nèi)部網(wǎng)和外部網(wǎng)�,對(duì)內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)����。目前的防火墻分為兩大類(lèi):一類(lèi)是簡(jiǎn)單的包過(guò)濾技術(shù)���,它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過(guò)濾邏輯���,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后��,根據(jù)數(shù)據(jù)包的源地址�、目的地址��、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)���。另一類(lèi)是應(yīng)用網(wǎng)管和服務(wù)器���,可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過(guò)濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告�����。
2.3數(shù)據(jù)加密技術(shù)的引入
加密技術(shù)是保證電子商務(wù)安全采用的主要安全措施���。加密過(guò)程就是根據(jù)一定的算法���,將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合���,從而產(chǎn)生不可理解的密文的過(guò)程�����,主要加密技術(shù)是:對(duì)稱(chēng)加密技術(shù)和非對(duì)稱(chēng)加密技術(shù)�����。
2.4認(rèn)證系統(tǒng)
網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書(shū)����。數(shù)字證書(shū)類(lèi)似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份���。傳統(tǒng)的對(duì)稱(chēng)密鑰算法具有加密強(qiáng)度高��、運(yùn)算速度快的優(yōu)點(diǎn)�����,但密鑰的傳遞與管理問(wèn)題限制了它的應(yīng)用�。為解決此問(wèn)題,20 世紀(jì) 70 年代密碼界出現(xiàn)了公開(kāi)密鑰算法���,該算法使用一對(duì)密鑰即一個(gè)私鑰和一個(gè)公鑰����,其對(duì)應(yīng)關(guān)系是唯一的��,公鑰對(duì)外公開(kāi)��,私鑰個(gè)人秘密保存��。一般用公鑰來(lái)進(jìn)行加密����,用私鑰來(lái)進(jìn)行簽名;同時(shí)私鑰用來(lái)解密���,公鑰用來(lái)驗(yàn)證簽名���。
2.5其他注意事項(xiàng)
