淺析電子商務(wù)安全問題

　　畢業(yè)論文是檢驗在校學(xué)習(xí)成果的重要文檔，如何寫好畢業(yè)論文也成為每個即將畢業(yè)的學(xué)子最關(guān)心的事情之一，可以參考一些優(yōu)秀的論文范文

　　[摘要]隨著信息化時代的到來，電子信息技術(shù)得到了迅速普及和廣泛應(yīng)用,與此同時，電子商務(wù)以其快捷、便利等優(yōu)點越來越受到社會的認可。電子商務(wù)的發(fā)展前景十分誘人,但商業(yè)信息的安全依然值得我們?nèi)プ⒁狻１疚膹膶崿F(xiàn)電子商務(wù)安全性的角度出發(fā),對電子商務(wù)中的各種安全技術(shù)進行了分析,以探討一種有效、安全的實現(xiàn)電子商務(wù)的途徑。

　　[關(guān)鍵詞]電子商務(wù) 身份認證 防火墻

　　電子商務(wù)就是要在網(wǎng)絡(luò)信息安全技術(shù)的保證下，利用開放信息互聯(lián)網(wǎng)實現(xiàn)可跨區(qū)的在線商品交易、金融資本交易及其商務(wù)活動作業(yè)的全過程。電子商務(wù)這一浩瀚的全球虛擬市場創(chuàng)造了二十一世紀各國的經(jīng)濟熱點。但是由于電子商務(wù)的開放性及其所基于的網(wǎng)絡(luò)全球性、無縫連通性、共享性、動態(tài)性發(fā)展，使得電子商務(wù)的安全問題成為現(xiàn)今的聚焦中心，并制約著電子商務(wù)的進一步發(fā)展。構(gòu)建安全電子商務(wù)交易系統(tǒng)將成為今后電子商務(wù)發(fā)展的關(guān)鍵。

　　一、電子商務(wù)的安全性要求

　　(一)電子商務(wù)活動安全性的要求

　　一是服務(wù)的有效性要求，電子商務(wù)系統(tǒng)應(yīng)能防止服務(wù)失敗情況的發(fā)生,預(yù)防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務(wù)等情況,保證交易數(shù)據(jù)能準確快速的傳送。二是交易信息的保密性要求，電子商務(wù)系統(tǒng)應(yīng)對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權(quán)訪問。三是數(shù)據(jù)完整性要求，數(shù)字完整性是指在數(shù)據(jù)處理過程中,原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務(wù)交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業(yè)利益。四是身份認證的要求，電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時提供法律依據(jù)。

　　(二)電子商務(wù)的安全要素

　　一是信息真實性、有效性，電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。二是信息機密性，電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。三是信息完整性，電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù),同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。四是信息可靠性、可鑒別性和不可抵賴性，可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可否認要求即是能建立有效的責(zé)任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。

　　二、電子商務(wù)運用的安全技術(shù)

　　(一)網(wǎng)絡(luò)節(jié)點的安全

　　防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供一個相對更安全的平臺。防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而做出允許或拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的網(wǎng)絡(luò)系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機，或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。

　　(二)通訊的安全

　　在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機制, SSL 首先要求服務(wù)器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權(quán)機構(gòu)簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法與服務(wù)器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑摹４藭r瀏覽器也會出進入安全狀態(tài)的提示。

　　(三)應(yīng)用程序的安全性

　　即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時;程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行,而不是只有有限的指令子集在特權(quán)模式下運行,其他的部分只有縮小的許可;程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源,如一個文件和目錄。不是顯式地設(shè)置訪問控制,程序員認為這個缺省的許可是正確的。這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)��?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度，假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。

　　(四)用戶的認證管理

　　一是身份認證，電子商務(wù)企業(yè)用戶身份認證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)。CA證書用來認證服務(wù)器的身份, IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。二是CA證書，要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA證書,它由認證授權(quán)中心發(fā)行。認證中心就是承擔網(wǎng)上安全交易認證服務(wù),能簽發(fā)數(shù)字證書,并能確認戶身份的服務(wù)機構(gòu)。認證中心通常是企業(yè)性的服務(wù)機構(gòu),主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書。三是SSL協(xié)議，SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證,數(shù)字證書是從認證機構(gòu)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩�性�?/p>

　　三、完善電子商務(wù)安全的配套措施

　　電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式,尤其對發(fā)展中的中國來說,發(fā)展電子商務(wù),就必須完善配套措施:

　　一要突破關(guān)鍵技術(shù)受制于人的瓶頸。二要盡快對電子商務(wù)的有關(guān)細則進行立法。三要大力開發(fā)大型商務(wù)網(wǎng)站,發(fā)展與之相配套的物流公司。四要建立嚴格的內(nèi)部安全機制。五要建立網(wǎng)絡(luò)安全維護日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時便于跟蹤查詢。六要對重要數(shù)據(jù)要及時進行備份,且對數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級別的數(shù)據(jù)加密。安全實際上就是一種風(fēng)險管理，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運行必須從多方面入手,僅在技術(shù)角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運用中解決電子商務(wù)中出現(xiàn)的各類問題,使電子商務(wù)系統(tǒng)相對更安全。

　　參考文獻:

　　[1]甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建[J]. 西北成人教育學(xué)報, 2007 (2).

　　[2]李建設(shè).電子商務(wù)中的安全技術(shù)研究[J]. 株洲工學(xué)院學(xué)報, 2005 (1).

　　[3]趙剛.我國電子商務(wù)發(fā)展存在的問題及應(yīng)對策略[J]. 科技情報開發(fā)與經(jīng)濟, 2005 (10).

【淺析電子商務(wù)安全問題】相關(guān)文章：

淺析旅游安全問題及對策10-05

電子商務(wù)安全問題10-05

電子商務(wù)安全淺析09-30

淺析電子商務(wù)論文10-08

電子商務(wù)安全問題論文10-08

電子商務(wù)安全問題研究10-08

淺析電子商務(wù)項目管理10-26

電子商務(wù)項目管理淺析10-08

淺析我國旅游電子商務(wù)10-08