導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇電子商務(wù)安全策略，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢(shì)，使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問(wèn)題在于時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題之一。研究和分析電子商務(wù)的安全性問(wèn)題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開(kāi)發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開(kāi)發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看，傳統(tǒng)的買(mǎi)賣(mài)雙方是面對(duì)面的，因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，買(mǎi)賣(mài)雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面：

2.1 信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2 信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet上每個(gè)人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺(tái)要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯(cuò)誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證，往往會(huì)造成巨大的經(jīng)濟(jì)損失。

所以就整個(gè)電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個(gè)層次，

1) 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認(rèn)證管理

其中2、3、4是通過(guò)操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn)，而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet和Intranet保證安全最為有效的方法 ，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個(gè)安全、高效的Intranet系統(tǒng)。 應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒(méi)有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過(guò)加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。 目前采用的是瀏覽器缺省的40位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128位。 為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書(shū)，證書(shū)包括一個(gè)公鑰，由一家可信證書(shū)授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書(shū)的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個(gè)人證書(shū)，實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)）。驗(yàn)證此證書(shū)是合法的服務(wù)器證書(shū)通過(guò)后利用該證書(shū)對(duì)稱加密算法（RSA）與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰，然后用此對(duì)稱算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時(shí)；程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn) 行，其他的部分只有縮小的許可；程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源，如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制（最少許可），程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠?，緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。 訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題 。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問(wèn)題一樣的錯(cuò)誤。

3.4 用戶的認(rèn)證管理

1) 身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書(shū)與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書(shū)用來(lái)認(rèn)證服務(wù)器的身份，IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能，所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

2) CA證書(shū)

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書(shū)進(jìn)行驗(yàn)證，這份數(shù)字證書(shū)就是CA證書(shū)，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書(shū)，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織，它對(duì)個(gè)人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書(shū)，證書(shū)分為服務(wù)器證書(shū)和個(gè)人證書(shū)。建立SSL安全鏈接不需要一定有個(gè)人證書(shū)，實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行）。

3) 安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

篇2

[關(guān)鍵詞]電子商務(wù)，安全技術(shù)，安全對(duì)策

在電子商務(wù)迅速發(fā)展的今天，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入。而網(wǎng)絡(luò)所具有的開(kāi)放性、自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。如何建立起一個(gè)完善的、實(shí)用的、安全的電子商務(wù)網(wǎng)站，已成為企事業(yè)單位信息化發(fā)展中一個(gè)急切需要討論的問(wèn)題。

一、電子商務(wù)的安全問(wèn)題

電子商務(wù)的安全問(wèn)題可以概括為以下幾個(gè)方面：

(一)信息泄漏：在電子商務(wù)中表現(xiàn)出來(lái)的信息泄露主要有兩種，一種是交易雙方進(jìn)行交易的內(nèi)容被第三方所竊?。阂环N是交易一方提供給另一方的文件、資料等被第三方非法使用。(二)篡改：在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實(shí)性和完整性問(wèn)題。電子的信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中，可能被他人非法地修改、刪除或重放．這樣就使信息丟失了真實(shí)性和完整性。(三)身份識(shí)別：這涉及到電子商務(wù)中的兩個(gè)問(wèn)題。1．如果不進(jìn)行身份識(shí)別，第三方就有可能假冒交易方的身份，以破壞交易、敗壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等。2．“不可抵賴”性。交易雙方對(duì)自己的行為應(yīng)負(fù)有一定的責(zé)任，信息發(fā)送者和接受者都不能對(duì)此予以否認(rèn)。(四)信息破壞：涉及到兩方面內(nèi)容。1．網(wǎng)絡(luò)傳輸?shù)目煽啃?。網(wǎng)絡(luò)的硬件或軟件可能會(huì)出現(xiàn)問(wèn)題而導(dǎo)致交易信息傳遞的丟失與謬誤。2．惡意破壞。計(jì)算機(jī)網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞，而使電子商務(wù)信息遭到破壞。這種情況主要由以下問(wèn)題引起：①計(jì)算機(jī)病毒。②計(jì)算機(jī)蠕蟲(chóng)。這種程序?qū)?huì)對(duì)網(wǎng)絡(luò)造成嚴(yán)重的損失，甚至?xí)ㄟ^(guò)過(guò)多占用網(wǎng)絡(luò)資源的方式來(lái)使網(wǎng)絡(luò)癱瘓，加上這種程序多數(shù)會(huì)帶有破壞性指令，因而破壞性更強(qiáng)，它已經(jīng)由點(diǎn)的破壞向面的破壞開(kāi)始發(fā)展了。③特洛伊木馬。這是一種執(zhí)行超出程序定義之外的程序，它將會(huì)把自己隱藏到安全的程序中，并由此傳播出去。④邏輯炸彈。這是一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行特殊功能的程序。

二、電子商務(wù)的安全技術(shù)

電子商務(wù)的開(kāi)展在安全方面上還存在很多問(wèn)題。面對(duì)電子商務(wù)中形形的安全漏洞，我們必須要采取相應(yīng)的方法來(lái)保障電子商務(wù)活動(dòng)的安全進(jìn)行，下面就著重探討了電子商務(wù)的安全技術(shù)。

(一)虛擬專用網(wǎng)絡(luò)：虛擬專用網(wǎng)絡(luò)是用于Internet電子交易的一種專用網(wǎng)絡(luò)，它可以在兩個(gè)系統(tǒng)之間建立安全的通道，是目前相對(duì)而言最適合進(jìn)行電子商務(wù)的形式。在虛擬專用網(wǎng)絡(luò)中交易的雙方比較熟悉，而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致，在虛擬專用網(wǎng)絡(luò)中就可以使用比較復(fù)雜的專用加密和認(rèn)證技術(shù)，這樣就可以大大提高電子商務(wù)的安全。

(二)加密技術(shù)：加密技術(shù)是實(shí)現(xiàn)信息保密性的一種重要手段，目的是為了防止合法接受者之外的人獲取信息系統(tǒng)中的機(jī)密信息。

加密包括兩個(gè)元素：算法和密鑰。加密技術(shù)的要點(diǎn)是加密算法，一個(gè)加密算法是將普通的文本(或者可以理解的信息)與一竄數(shù)字(密鑰)的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰和算法對(duì)加密同等重要。密鑰是用來(lái)對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。加密算法可以分為對(duì)稱加密、非對(duì)稱加密和不可逆加密三類算法。對(duì)稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)(DES，Data Encryption Standard)算法為典型代表，非對(duì)稱加密通常以RSA(Rivest Shamir Adleman)算法為代表。對(duì)稱加密的加密密鑰和解密密鑰相同，而非對(duì)稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開(kāi)而解密密鑰需要保密。通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密，可以使在網(wǎng)絡(luò)上傳播的信息對(duì)非法用戶來(lái)說(shuō)是無(wú)意義的，因此，雖然信息在網(wǎng)絡(luò)上易被非法接收，但是由于被加密，也就保證了信息的隱秘性。

(三)數(shù)字簽名技術(shù)：數(shù)字簽名以數(shù)字加密技術(shù)為基礎(chǔ)，是數(shù)字加密技術(shù)的一種應(yīng)用方式。其核心是采用加密技術(shù)的加、解密算法來(lái)實(shí)現(xiàn)電子信息的數(shù)字簽名。對(duì)于電子商務(wù)中的業(yè)務(wù)款項(xiàng)如何分辨其真假，則需要數(shù)字簽名技術(shù)來(lái)確認(rèn)其交易或結(jié)算雙方的真實(shí)身份及電子貨幣的可靠性。數(shù)字簽名的防欺詐性、防更改性及確認(rèn)功能是電子商務(wù)系統(tǒng)的一個(gè)重要安全技術(shù)。數(shù)字簽名是公開(kāi)密鑰技術(shù)的另一類應(yīng)用，它的主要方式是：信息的披露方從信息文本中生成一個(gè)128位的散列值，并且用自己的專用密鑰對(duì)這個(gè)散列值進(jìn)行加密．來(lái)形成披露方的數(shù)字簽名：關(guān)聯(lián)方首先從收到的信息文本中計(jì)算128位的散列值，接著再用披露方一同發(fā)來(lái)的公開(kāi)密鑰來(lái)對(duì)數(shù)字簽名進(jìn)行解密，如果兩個(gè)散列值相同，那就可確認(rèn)該數(shù)字簽名是披露的。通過(guò)數(shù)字簽名技術(shù)能夠?qū)崿F(xiàn)對(duì)原始信息和關(guān)聯(lián)方身份的鑒別，有一定的公正及較好地防范關(guān)聯(lián)方和非關(guān)聯(lián)方的道德風(fēng)險(xiǎn)。

(四)認(rèn)證技術(shù)：所謂認(rèn)證，就是通過(guò)認(rèn)證中心對(duì)數(shù)字證書(shū)進(jìn)行識(shí)別。認(rèn)證分為實(shí)體認(rèn)證和信息認(rèn)證，這里的實(shí)體是指?jìng)€(gè)人、客戶程序或服務(wù)程序等參與通信的實(shí)體。實(shí)體認(rèn)證是指對(duì)這些參與通信實(shí)體的身份認(rèn)證。對(duì)用戶身份的認(rèn)證，密碼是最常用的，但由于許多用戶采用了很容易被破解的密碼，使得該方法經(jīng)常失效。信息認(rèn)證是指對(duì)信息體進(jìn)行認(rèn)證，以決定該信息的合法性。信息認(rèn)證發(fā)生在信息接收者收到信息后，使用相關(guān)技術(shù)對(duì)信息進(jìn)行認(rèn)證，以確認(rèn)信息的發(fā)送者是誰(shuí)，信息在傳遞過(guò)程中是否被篡改等。身份驗(yàn)證是對(duì)進(jìn)入電子商務(wù)信息系統(tǒng)網(wǎng)絡(luò)的用戶進(jìn)行身份合法性的整別，主要通過(guò)所掌握的特有信息對(duì)探訪者進(jìn)行驗(yàn)證。目前，數(shù)字簽名和認(rèn)證是網(wǎng)上比較成熟的安全手段，而我國(guó)大多數(shù)企業(yè)尚處于SSL協(xié)議應(yīng)用階段，在SET協(xié)議的應(yīng)用試驗(yàn)剛剛成功，而要完全實(shí)現(xiàn)SET協(xié)議安全支付，則必須有一個(gè)CA認(rèn)證中心。

(五)防火墻技術(shù)：在計(jì)算機(jī)領(lǐng)域，防火墻是指一種邏輯裝置，用來(lái)保護(hù)內(nèi)部的網(wǎng)絡(luò)不受來(lái)自外界的侵害。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)地互聯(lián)環(huán)境中，尤其以接人Internet網(wǎng)絡(luò)最甚。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之問(wèn)的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它主要用于實(shí)現(xiàn)網(wǎng)絡(luò)路由的安全，這主要包括兩個(gè)方面：①限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問(wèn)，從而保護(hù)內(nèi)部網(wǎng)特定資源免受非法侵害；②限制內(nèi)部網(wǎng)的訪問(wèn)，主要是針對(duì)內(nèi)部一些不健康信息及敏感信息的訪問(wèn)。目前防火墻的主要有網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻和雙端主機(jī)防火墻等。網(wǎng)絡(luò)層防火墻是一個(gè)屏蔽的路由器，經(jīng)檢查后最終決定是批準(zhǔn)進(jìn)入或拒絕請(qǐng)求，并將信包引導(dǎo)往內(nèi)部的適當(dāng)?shù)慕邮拯c(diǎn)。這種防火墻成本較低但安全性亦相對(duì)來(lái)說(shuō)亦比較差。應(yīng)用層防火墻的主要構(gòu)成由服務(wù)器端程序和客戶端程序，它通過(guò)執(zhí)行登錄或?qū)π畔⒌恼J(rèn)證使系統(tǒng)的訪問(wèn)與保密關(guān)系更加完善。更加設(shè)置了日志及審計(jì)方式以監(jiān)控各方發(fā)送的登錄和任何未經(jīng)授權(quán)的活動(dòng)，并將那些未授權(quán)的登錄情況告訴網(wǎng)絡(luò)管理者或安全小組。雙端主機(jī)防火墻只設(shè)有兩個(gè)防火墻出口，一端對(duì)互聯(lián)網(wǎng)上的請(qǐng)求過(guò)濾，而另一端提供訪問(wèn)到某部門(mén)的局域網(wǎng)之安全信道。

篇3

1電子商務(wù)中信息安全的檢驗(yàn)

電子商務(wù)的檢驗(yàn)可以從以下四個(gè)方面進(jìn)行比較:(1)完整性。交易的成交需要信息的完整，不能隨意修改、重復(fù)發(fā)送信息。(2)保密性。電子商務(wù)中交易能夠正常進(jìn)行的基礎(chǔ)就是信息一定要保密。(3)可用性。交易雙方提供的信息必須為有效的可用信息。(4)可靠性。必須有一個(gè)安全的交易系統(tǒng)，并且保證交易雙方提供信息的可靠性。只有信息安全了，電子商務(wù)才能真正的發(fā)揮它的作用

2電子商務(wù)的各種問(wèn)題

2．1電子商務(wù)有可能存在損害消費(fèi)者權(quán)益的虛假信息

在電子商務(wù)方面，如“天貓”和“淘寶”等就是最具代表性的網(wǎng)站。當(dāng)今電子商務(wù)的第一人非馬云莫屬，他將各行各業(yè)的賣(mài)家都集中在“淘寶”上，由顧客對(duì)自己要買(mǎi)的產(chǎn)品進(jìn)行對(duì)比，最后選擇合適的商家進(jìn)行交易，同時(shí)為了交易的方便進(jìn)行，他增加了支付寶支付功能，極大地方便了消費(fèi)者的購(gòu)物流程。他將傳統(tǒng)的交易方式變成了這種虛擬的電子商務(wù)。這種交易方式極大地方便了人們的經(jīng)濟(jì)生活，而且相比于實(shí)體店的商品，網(wǎng)上的更加便宜，給消費(fèi)者帶來(lái)了真正的實(shí)惠，但是由于消費(fèi)者看不到網(wǎng)店的實(shí)際商品，只能通過(guò)圖片或者文字來(lái)獲取信息，很多黑心商家利用這點(diǎn)出售假冒商品，給消費(fèi)者帶來(lái)很大的經(jīng)濟(jì)損失。

2．2電子商務(wù)管理的不規(guī)范性

隨著時(shí)代的發(fā)展，互聯(lián)網(wǎng)成為人們生活中不可缺少的一部分，同時(shí)也推動(dòng)了電子商務(wù)的發(fā)展，嚴(yán)重影響了以前的傳統(tǒng)商業(yè)模式，造成了整個(gè)商業(yè)模式的變化，所以有越來(lái)越多的人在關(guān)注電子商務(wù)，但是對(duì)于電子商務(wù)的信息安全問(wèn)題，卻很少提及，國(guó)家也沒(méi)有個(gè)統(tǒng)一標(biāo)準(zhǔn)，所以造成了交易過(guò)程中的各種不規(guī)范。同時(shí)由于我國(guó)沒(méi)有在網(wǎng)絡(luò)方面進(jìn)行立法，人們?cè)诨ヂ?lián)網(wǎng)上想干什么就干什么，造成的網(wǎng)絡(luò)安全問(wèn)題越來(lái)越多，嚴(yán)重的破壞了普通民眾上網(wǎng)的網(wǎng)絡(luò)環(huán)境。所以我國(guó)應(yīng)該針對(duì)網(wǎng)絡(luò)安全問(wèn)題制定相關(guān)的法律，對(duì)電子商務(wù)進(jìn)行宏觀控制，完善電子商務(wù)的交易方式和操作模式，減少消費(fèi)者的損失，維護(hù)人民的權(quán)益。

2．3信息存儲(chǔ)安全性比較弱

我國(guó)的互聯(lián)網(wǎng)發(fā)展起步較晚，雖然發(fā)展的比較迅速，但對(duì)與互聯(lián)網(wǎng)的技術(shù)和水平掌握的比較少，所以容易受到攻擊破壞。而對(duì)電子商務(wù)中信息的存儲(chǔ)威脅最大的形式主要有兩個(gè)，一個(gè)就是“非授權(quán)用戶修改”，另一個(gè)是“查看信息”。當(dāng)企業(yè)連接上互聯(lián)網(wǎng)后，電子商務(wù)操作過(guò)程中如果一些環(huán)節(jié)出現(xiàn)問(wèn)題，便會(huì)對(duì)企業(yè)造成很大的影響，使企業(yè)受到外部和內(nèi)部的兩重威脅。外部威脅指的是企業(yè)以外的人員(如黑客)等攻擊了企業(yè)的網(wǎng)絡(luò)，入侵了內(nèi)部網(wǎng)絡(luò)，在未經(jīng)授權(quán)的情況下私自篡改了電子商務(wù)信息，竊取了企業(yè)和客戶的信息，造成相當(dāng)大的損失。內(nèi)部威脅指的是企業(yè)內(nèi)部的人員在沒(méi)有獲得授權(quán)的情況下私自修改了信息，比如最近新聞上熱議的“各大銀行客戶的銀行存款莫名其妙被轉(zhuǎn)走”，經(jīng)過(guò)調(diào)查，是由于內(nèi)部人員私自篡改了信息，將用戶儲(chǔ)蓄的存款轉(zhuǎn)移了。

3改進(jìn)方法

3．1加強(qiáng)安全意識(shí)

無(wú)論是建立和完善相關(guān)的電子商務(wù)信息安全的法律還是加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)，或者是提高網(wǎng)絡(luò)技術(shù)水平，都是從外部環(huán)境方面著手，只有提高用戶的網(wǎng)絡(luò)安全知識(shí)，加強(qiáng)用戶對(duì)信息的保密意識(shí)下能從內(nèi)部解決信息安全問(wèn)題。外部環(huán)境的不斷加強(qiáng)和完善使得網(wǎng)絡(luò)環(huán)境固若金湯，使得不法分子很難入侵成功，所以他們只能轉(zhuǎn)移目標(biāo)，從使用的用戶入手，從內(nèi)部入侵，盜取個(gè)人賬號(hào)，獲得管理員的權(quán)限來(lái)竊取電子商務(wù)信息，給用戶造成極大的損失。所以提高用戶所掌握的安全知識(shí)，加強(qiáng)用戶的保密意識(shí)也是相當(dāng)重要的。

3．2提高并掌握高端技術(shù)

電子商務(wù)有利有弊，在推動(dòng)社會(huì)進(jìn)步，給大家?guī)?lái)更多方便的同時(shí)，同樣的也存在著許多問(wèn)題和隱患，對(duì)我國(guó)國(guó)家信息安全是個(gè)很大的考驗(yàn)，也增大了個(gè)人信息泄露的機(jī)會(huì)，但是不能因?yàn)橛袉?wèn)題就不發(fā)展，那樣永遠(yuǎn)不會(huì)進(jìn)步，所以如何解決這些問(wèn)題就是現(xiàn)在的重中之重。因此國(guó)家應(yīng)該更加重視網(wǎng)絡(luò)技術(shù)，增加對(duì)網(wǎng)絡(luò)技術(shù)的支持，不斷的引進(jìn)國(guó)外的先進(jìn)技術(shù)和設(shè)備，重點(diǎn)培養(yǎng)一些具有網(wǎng)絡(luò)安全技術(shù)方面的人才。加強(qiáng)我國(guó)的網(wǎng)絡(luò)安全建設(shè)要重點(diǎn)研究以下技術(shù):(1)防火墻技術(shù)?？梢宰柚狗欠ㄈ肭?，從源頭刪除掉一些不安全的協(xié)議領(lǐng)域。(2)數(shù)據(jù)加密技術(shù)。對(duì)文件、數(shù)據(jù)及口令等信息進(jìn)行加密，使的這些信息不會(huì)被隨便損壞。(3)身份識(shí)別技術(shù)。運(yùn)用身份識(shí)別技術(shù)對(duì)雙方進(jìn)行嚴(yán)密的核實(shí)，確定所發(fā)信息是否完整。(4)防病毒技術(shù)。防止病毒進(jìn)入信息安全系統(tǒng)，使內(nèi)部安全系統(tǒng)遭到損壞，造成信息的泄露以及不必要的損失。而且我國(guó)電腦的系統(tǒng)軟件的核心技術(shù)以及中央處理器等核心部件都是從國(guó)外進(jìn)口的，信息的安全性沒(méi)辦法保證。因此我國(guó)的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也是必須要加強(qiáng)的。只有從內(nèi)部和外部?jī)煞矫嬷?，才能從根本上解決我國(guó)電子商務(wù)信息安全方面的問(wèn)題。

3．3對(duì)網(wǎng)絡(luò)安全進(jìn)行立法，提供法律依據(jù)

對(duì)網(wǎng)絡(luò)安全以及電子商務(wù)安全進(jìn)行立法，明確規(guī)定相關(guān)法律，對(duì)網(wǎng)絡(luò)安全及電子商務(wù)安全提供法律依據(jù)，用法律來(lái)保護(hù)網(wǎng)絡(luò)的安全。同時(shí)我國(guó)也要設(shè)立專門(mén)的行政部門(mén)對(duì)電子商務(wù)進(jìn)行統(tǒng)計(jì)的管理和監(jiān)督，行政部門(mén)和相關(guān)法律政策相結(jié)合，加強(qiáng)對(duì)商家的審核，嚴(yán)厲打擊假冒偽劣產(chǎn)品，對(duì)商家進(jìn)行嚴(yán)厲的批評(píng)和適當(dāng)?shù)牧P款，并進(jìn)行應(yīng)有的法律教育，提高其遵紀(jì)守法的意識(shí)，加強(qiáng)職業(yè)操守，為當(dāng)今社會(huì)的電子商務(wù)創(chuàng)造良好的環(huán)境，使電子商務(wù)能夠有序的進(jìn)行。對(duì)于構(gòu)建社會(huì)主義和諧社會(huì)有很大的推動(dòng)作用。

4結(jié)語(yǔ)

總而言之，隨著經(jīng)濟(jì)和社會(huì)的不斷發(fā)展和進(jìn)步，互聯(lián)網(wǎng)越來(lái)越成為人們生活中不可缺少的一部分，電子商務(wù)也必將取代傳統(tǒng)商務(wù)模式，成為將來(lái)購(gòu)物的主要形式。但是電子商務(wù)發(fā)展過(guò)程中也存在著很多問(wèn)題和隱患，其中問(wèn)題最嚴(yán)中的就是信息安全問(wèn)題，通過(guò)對(duì)電子商務(wù)發(fā)展中的各種問(wèn)題進(jìn)行解析，并且找出相對(duì)應(yīng)的解決辦法，是做好電子商務(wù)信息安全的必要選擇，也是做好網(wǎng)絡(luò)安全的必要選擇，同時(shí)也是做好國(guó)家信息安全的必要選擇。

作者:鄧志龍 單位:陜西青年職業(yè)學(xué)院

參考文獻(xiàn):

［1］馬偉．新時(shí)期計(jì)算機(jī)電子商務(wù)的安全策略分析［J］．中國(guó)商貿(mào)，2013(18)．

［2］劉秀平，武守勇．淺析計(jì)算機(jī)信息安全策略的維度思考［J］．無(wú)線互聯(lián)科技，2013(04)．

篇4

[關(guān)鍵詞] 數(shù)字簽名數(shù)字水印離散余弦變換多媒體論證

隨著因特網(wǎng)的迅速發(fā)展和普及，多媒體信息得到了空前廣泛的交流與應(yīng)用，給人們的生產(chǎn)和生活帶來(lái)了許多便利。但是，多媒體信息的安全問(wèn)題也隨之而來(lái)，比如盜用別人的電子產(chǎn)品并在網(wǎng)上傳播；在電子商務(wù)中偽造或篡改票據(jù)；對(duì)數(shù)字圖像等多媒體信息進(jìn)行修改、替換以達(dá)到損害別人的目的等。因此，對(duì)多媒體信息的有效論證是保證信息安全的重要手段。

電子交易的可實(shí)施性是電子商務(wù)要解決的最主要和最基本的問(wèn)題。電子簽名可以實(shí)現(xiàn)兩個(gè)重要目標(biāo)：排除電子商務(wù)的障礙；通過(guò)幫助建立參與者在網(wǎng)上從事商業(yè)活動(dòng)所需要的信任和可預(yù)見(jiàn)性，實(shí)現(xiàn)并推動(dòng)電子商務(wù)的適當(dāng)?shù)墓舱吣繕?biāo)。

電子簽名目前具備三個(gè)主要功能:數(shù)據(jù)來(lái)源認(rèn)證:這可以用于認(rèn)證信息來(lái)自于可疑的發(fā)送者;信息的完整性:有助于信息的接收者確定，在發(fā)送過(guò)程中，沒(méi)有被有意或者隨意地更改;不可否認(rèn)性:發(fā)送者不能被否認(rèn)信息的發(fā)送。

目前，存在幾個(gè)方法可以有效完成上述功能。然而，基于公共公共密鑰的密碼系統(tǒng)的數(shù)字簽名技術(shù)是目前被認(rèn)為最普通、最可靠的技術(shù)。

數(shù)字簽名是一種對(duì)多媒體信息進(jìn)行論證的有效手段，它是由信息發(fā)送者對(duì)要傳送的信息進(jìn)行某種處理的，任何人都無(wú)法知道的，用以論證信息的來(lái)源并核實(shí)信息是否發(fā)生了變化的一段字符串。數(shù)字簽名的基礎(chǔ)是密碼學(xué)。

數(shù)字水印技術(shù)近年來(lái)逐漸成為知識(shí)產(chǎn)權(quán)保護(hù)的主要手段，它是信息隱藏的一個(gè)重要分支，是通過(guò)在原始資料中嵌入一些有特殊意義的信息，如文字，序列號(hào)，公司標(biāo)志，聲音等，用以識(shí)別多媒體信息的作者，版權(quán)所有者、發(fā)行者，合法使用人對(duì)數(shù)字產(chǎn)品的擁有權(quán)等，并攜帶有版權(quán)保護(hù)信息和論證信息。

信息隱藏技術(shù)與傳統(tǒng)密碼學(xué)有本質(zhì)的區(qū)別，傳統(tǒng)密碼學(xué)是將明文加密成密文，使信息不可理解，是隱藏了信息的內(nèi)容；而信息隱藏技術(shù)著重隱藏了信息的存在。數(shù)字水印技術(shù)和數(shù)字簽名各有優(yōu)勢(shì)和不足。數(shù)字簽名容易受到攻擊，而數(shù)字水印的安全度不高。如果將數(shù)字水印和數(shù)字簽名有機(jī)結(jié)合起來(lái)，以之為基礎(chǔ)構(gòu)成一種新的水印方案，其安全性、可性度、論證精度都將會(huì)大大地提高，這無(wú)疑將是多媒體技術(shù)研究發(fā)展的一個(gè)很有前途的方向。

一、結(jié)合數(shù)字簽名與數(shù)字水印的方案

把數(shù)字簽名作為水印隱藏在圖像中，數(shù)字簽名方法用DSA（Date Signature Algorithm），數(shù)字水印方法用DCT（discrete cosine transform即離散余弦變換）。DSA簽名是基于離散對(duì)數(shù)問(wèn)題的數(shù)字簽名標(biāo)準(zhǔn)，雖說(shuō)它僅提供數(shù)字簽名，不提供數(shù)據(jù)加密功能，但它具有算法簡(jiǎn)便實(shí)用，易實(shí)現(xiàn)等優(yōu)點(diǎn)。而考慮用DCT是由于離散余弦變換是實(shí)變換，它具有良好的能量壓縮能力，而且可以利用人的視覺(jué)系統(tǒng)（HVS）在DCT域內(nèi)的特性。

在應(yīng)用DSA之前先對(duì)其做一個(gè)簡(jiǎn)要說(shuō)明：

如果要對(duì)一個(gè)消息x進(jìn)行簽名，可選取一個(gè)隨機(jī)值k，且p, q,а和β公開(kāi)，α保密（其中p是512比特的素?cái)?shù)，q是一個(gè)整除p－1的160比特的素?cái)?shù),а是模p的q次單位根。α作為私鑰,β作為公鑰）。定義k={(p, q ,а, α, β):β=aα(modp)},對(duì)于Κ和一個(gè)秘密隨機(jī)數(shù)k,1≤k≤q-1,對(duì)信息x的簽名結(jié)果如下:

sigK(x,k)=(γ,δ)(1)

γ和δ即是對(duì)信息x的簽名。

γ=(аkmodp)modq(2)

δ=(x+αγ)k-1modq(3)

簽名是否為真通過(guò)下式來(lái)驗(yàn)證,e1=xδ-1modq(4)

e2=γδ-1modq(5)

verK(x，γ,δ)真(ae1βe2modp)modq=γ(6)

舉例說(shuō)明如下:

如p=83,q=41,а=2,β=4。另給出α=2(可以由信息發(fā)送者的身份信息構(gòu)造而成)，取k=20,應(yīng)用上面的方法，對(duì)一個(gè)信息x (可以是一幅圖像作品的版權(quán)序列號(hào)等，如取為39)進(jìn)行簽名得簽名信息為:sigK(x,k)=(37,20), 將之代入(6)式，可以驗(yàn)證簽名為真。

將簽名的一些信息寫(xiě)入一個(gè)64×64的二值圖像中，將之作為水印圖像嵌入到一個(gè)名為Peppersr的512×512標(biāo)準(zhǔn)真彩圖像中。具體方法如下：

(1)將數(shù)字簽名的一些已知參數(shù)p,q,а,β及對(duì)信息x的簽名(γ,δ)寫(xiě)入到一個(gè)64×64的二值黑白圖像中，私鑰α及隨機(jī)數(shù)k可以由信息發(fā)送者身份識(shí)別的信息構(gòu)成，信息x可以是一幅版權(quán)圖像的序列編號(hào)構(gòu)成。

(2)讀取原始圖像和黑白水印圖像到二維數(shù)組I與J。

(3)將原始圖像I分割為互不覆蓋的圖像塊blockL(x,y),1≤x,y≤8,L=1,2…,M*M/64,對(duì)blockL(x,y)進(jìn)行DCT變換，得到dct-blockL(u,v)。

(4)取黑白水印圖像中的一個(gè)元素J(p,q)嵌入到原始公開(kāi)圖像塊的DCT的低頻系數(shù)中。

(5)對(duì)嵌入了水印信息后的圖像塊dct-blockL(u’,v’)進(jìn)行反DCT變換，得到blockL(x’,y’)。

(6)合并圖像塊，得到嵌入了黑白水印后的圖像。

水印提取算法與水印嵌入算法類似，不再贅述。

接收方收到含水印的圖像后，從中提取水印得到簽名信息，用發(fā)信方給的私鑰α和秘密數(shù)k驗(yàn)證簽名的真實(shí)性，從而可辨別作品的真?zhèn)危僭O(shè)原始圖像Peppers為一版權(quán)作品）。

二、實(shí)驗(yàn)結(jié)果

下圖為水印的嵌入與提取圖，程序的實(shí)驗(yàn)環(huán)境為MATLAB6.1。

從上圖可得知:嵌入了水印后載體圖像跟原始圖像基本上無(wú)明顯差異，即該水印圖像的透明性良好，且在嵌入水印后的圖像未受攻擊的前提下，從中提取出的水印圖像非常清晰。信息接收者應(yīng)用我的水印提取算法可方便地得到簽名信息，然后再用我給他的密鑰可以驗(yàn)證此真彩圖的真?zhèn)巍?/p>

篇5

關(guān)鍵詞：電子商務(wù) 安全問(wèn)題 安全策略

中圖分類號(hào)：G642 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-8882（2012）10-047-01

1.引言

電子商務(wù)作為一種全新的業(yè)務(wù)和服務(wù)方式為全球客戶提供了豐富的商務(wù)信息、簡(jiǎn)捷的交易過(guò)程和低廉的交易成本，這種商務(wù)活動(dòng)模式正在被全世界的人們所關(guān)注和青睞。但是，電子商務(wù)的安全性也制約了它的發(fā)展，安全問(wèn)題已經(jīng)成為電子商務(wù)推進(jìn)中的最大障礙。

2.電子商務(wù)的安全問(wèn)題

電子商務(wù)系統(tǒng)從一定意義上來(lái)講就是一種計(jì)算機(jī)信息系統(tǒng)，信息系統(tǒng)安全主要是網(wǎng)絡(luò)的信息安全，從這個(gè)角度來(lái)闡述電子商務(wù)系統(tǒng)的安全問(wèn)題的根源，則主要包含以下幾個(gè)方面物理安全、方案設(shè)計(jì)的缺陷、系統(tǒng)的安全漏洞和人的因素等幾個(gè)方面。

2.1物理安全問(wèn)題

物理安全問(wèn)題主要包括物理設(shè)備本身的問(wèn)題、設(shè)備的位置安全、限制物理訪問(wèn)、物理環(huán)境安全和地域因素等。物理設(shè)備的安全威脅包括溫度、濕度、灰塵、供電系統(tǒng)對(duì)系統(tǒng)運(yùn)行可靠性的影響，由于電磁輻射造成信息泄露，自然災(zāi)害如地震、閃電、風(fēng)暴等對(duì)系統(tǒng)的破壞。設(shè)備的位置極為重要，所有的基礎(chǔ)網(wǎng)絡(luò)設(shè)施都應(yīng)該放置在嚴(yán)格限制來(lái)訪人員的地方，以降低出現(xiàn)未經(jīng)授權(quán)訪問(wèn)的可能性。如果物理設(shè)備擺放不當(dāng)，受到攻擊者對(duì)物理設(shè)備的故意破壞，其他的安全措施都沒(méi)有用。還要嚴(yán)格限制對(duì)接線柜和關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施所在地的物理訪問(wèn)，除非經(jīng)過(guò)授權(quán)或因工作需要而必須訪問(wèn)之外，禁止對(duì)這些區(qū)域的訪問(wèn)。地域因素，互聯(lián)網(wǎng)往往跨越城際、國(guó)際，地理位置錯(cuò)綜復(fù)雜，通信線路質(zhì)量難以保證，會(huì)給上傳信息造成損壞、丟失，也給“搭線竊聽(tīng)”的黑客以可乘之機(jī)，增加更多的安全隱患。

2.2方案設(shè)計(jì)的缺陷

在實(shí)際中，網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，會(huì)包含星型、總線和環(huán)型等各種拓?fù)浣Y(jié)構(gòu)，結(jié)構(gòu)的復(fù)雜給網(wǎng)絡(luò)系統(tǒng)管理、拓?fù)湓O(shè)計(jì)帶來(lái)很多問(wèn)題。為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信，就必須要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn)，從而提出更高的網(wǎng)絡(luò)開(kāi)放性的要求。有時(shí)特定的環(huán)境往往會(huì)有特定的安全需求，所以不存在可以通用的解決方案，需要制定不同的方案。如果設(shè)計(jì)者的安全理論與實(shí)踐水平不夠的話，設(shè)計(jì)出來(lái)的方案經(jīng)常是存在漏洞的，這是安全威脅的根源之一。

2.3系統(tǒng)的安全漏洞

軟件系統(tǒng)規(guī)模不斷增大，系統(tǒng)中的安全漏洞不可避免的存在，任何一個(gè)軟件都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在漏洞。主要包括操作系統(tǒng)類的安全漏洞、網(wǎng)絡(luò)系統(tǒng)類安全漏洞和應(yīng)用系統(tǒng)類安全漏洞。

2.4人的因素

人是信息活動(dòng)的主體，人的因素其實(shí)是網(wǎng)絡(luò)安全的最主要因素體現(xiàn)在以下三個(gè)方面：一、人的無(wú)意失誤，操作人員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享都會(huì)給網(wǎng)絡(luò)安全帶來(lái)威脅。二、人為的惡意攻擊，就是黑客攻擊，是計(jì)算機(jī)網(wǎng)絡(luò)面臨的最大威脅。這類攻擊主要分為兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄露。三、管理上的因素，網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要措施，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于安全方面的管理。管理的缺陷可能會(huì)出現(xiàn)系統(tǒng)內(nèi)部人員泄露機(jī)密或外部人員通過(guò)非法手段截獲而導(dǎo)致機(jī)密信息的泄露，為一些不法分子制造了可乘之機(jī)。

3.電商務(wù)安全的策略

電子商務(wù)安全，首先想到的是技術(shù)保障措施，僅從技術(shù)角度安全保障還遠(yuǎn)遠(yuǎn)不夠。電子商務(wù)的安全需要一個(gè)完整的綜合保障體系，采用綜合防范的思路，從技術(shù)、管理、法律等方面去認(rèn)識(shí)，根據(jù)我國(guó)的實(shí)際和國(guó)外的經(jīng)驗(yàn)，采取適合我國(guó)的安全保障辦法和措施。

3.1信息技術(shù)措施

信息技術(shù)措施主要涉及物理安全策略、訪問(wèn)控制策略、信息加密技術(shù)、數(shù)字簽名技術(shù)以及防火墻等等。

3.1.1物理安全策略

保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤和各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。

3.1.2訪問(wèn)控制策略

訪問(wèn)控制策略隸屬于系統(tǒng)安全策略，他迫使在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中自動(dòng)的執(zhí)行授權(quán)，被分成指令性訪問(wèn)控制策略和選擇性訪問(wèn)控制策略兩類。指令性訪問(wèn)控制策略是由安全區(qū)域權(quán)力機(jī)構(gòu)強(qiáng)制實(shí)施的任何用戶不能回避它。選擇性訪問(wèn)控制策略為一些特殊的用戶提供了對(duì)資源的訪問(wèn)權(quán)這些用戶可以利用此權(quán)限控制對(duì)資源進(jìn)行訪問(wèn)。

3.1.3信息加密技術(shù)

信息加密技術(shù)是電子商務(wù)安全技術(shù)中一個(gè)重要的組成部分。數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有鏈路—鏈路加密、節(jié)點(diǎn)加密、端—端加密、ATM網(wǎng)絡(luò)加密和衛(wèi)星通信加密五種方式。應(yīng)該根據(jù)信息系統(tǒng)安全策略來(lái)制定保密策略，選擇合適的加密方式。

3.1.4數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)可以防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞以及確定發(fā)信人的身份。RSA簽名方法和EIGamal數(shù)字簽名方法是兩種基本的數(shù)字簽名方法，許多數(shù)字簽名方法都基于這兩種算法。RSA是可逆的公開(kāi)秘鑰加密系統(tǒng)，在數(shù)字簽名過(guò)程中運(yùn)用了消息的驗(yàn)證模式。EIGamal是一種非確定性的雙鑰體制，它對(duì)同一明文消息的簽名會(huì)因隨機(jī)參數(shù)選擇的不同而不同。

3.1.5防火墻技術(shù)

防火墻是指隔離在本地網(wǎng)絡(luò)與外界之間的一道或一組執(zhí)行策略的防御系統(tǒng)。防火墻可以隔離不同的網(wǎng)絡(luò)，限制安全問(wèn)題的擴(kuò)散，可以很方便地記錄網(wǎng)絡(luò)上的各種非法活動(dòng)，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急情況報(bào)警。

3.2信息安全管理制度

建立完善的安全管理制度，進(jìn)一步保證電子商務(wù)的安全。信息安全管理制度主要包括人員管理制度，保密制度，跟蹤、審計(jì)、稽核制度，應(yīng)急措施以及其他一些措施等。

3.2.1人員管理制度

電子商務(wù)活動(dòng)中的主要參與者是人，尤其是網(wǎng)絡(luò)管理員這樣的人員，需要具備高尚的職業(yè)道德，才能保證管理有效。在人員管理時(shí)應(yīng)注意以下幾個(gè)方面：一要嚴(yán)格選拔，對(duì)網(wǎng)絡(luò)工作者的選拔應(yīng)不僅考核他們的技術(shù)，更要考察他們的責(zé)任心、道德感和紀(jì)律性。二要落實(shí)工作責(zé)任制，網(wǎng)絡(luò)工作者尤其是超級(jí)管理員，掌握著很多重要的資料，他們必須嚴(yán)格遵守企業(yè)的安全制度，不能隨意將工作內(nèi)容向不相關(guān)的人泄露。三要貫徹電子商務(wù)安全運(yùn)作基本原則，為便于管理，應(yīng)遵循多人負(fù)責(zé)、任期有限、最小權(quán)限的原則。

3.2.2保密制度

從事電子商務(wù)工作的企業(yè)，內(nèi)部會(huì)涉及許多保密信息，每類信息安全級(jí)別不同，要制定明確的保密制度，規(guī)定訪問(wèn)級(jí)別，與相關(guān)人員簽訂保密協(xié)議，保證保密信息不會(huì)外泄。

3.2.3跟蹤、審計(jì)、稽核制度

跟蹤制度是以系統(tǒng)自動(dòng)生成日志文件的形式來(lái)記錄系統(tǒng)運(yùn)行的全過(guò)程。通過(guò)日志文件可以對(duì)系統(tǒng)進(jìn)行監(jiān)督、維護(hù)分析和故障排除，對(duì)于安全案件的偵破提供事實(shí)依據(jù)。

審計(jì)制度是規(guī)定網(wǎng)絡(luò)審計(jì)員應(yīng)經(jīng)常對(duì)系統(tǒng)的日志文件檢查、審核，及時(shí)發(fā)現(xiàn)異常狀況，監(jiān)控和捕捉各種安全事件，并對(duì)系統(tǒng)日志進(jìn)行保存、維護(hù)和管理。

稽核制度是指工商管理、銀行、稅務(wù)人員利用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)，借助稽核業(yè)務(wù)，應(yīng)用軟件調(diào)閱、查詢、審核、判斷轄區(qū)內(nèi)電子商務(wù)參與單位業(yè)務(wù)經(jīng)營(yíng)活動(dòng)的合理性、安全性，堵塞漏洞，保證電子商務(wù)交易安全，發(fā)出相應(yīng)的警示或作出處理處罰的有關(guān)決定的一系列步驟及措施。

3.2.4應(yīng)急措施

應(yīng)急措施是指計(jì)算機(jī)災(zāi)難事件發(fā)生時(shí)，利用應(yīng)急計(jì)劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)正常運(yùn)行。災(zāi)難恢復(fù)包括許多工作，一方面是硬件恢復(fù)，使計(jì)算機(jī)系統(tǒng)重新運(yùn)轉(zhuǎn)起來(lái)；另一面是數(shù)據(jù)的恢復(fù)。數(shù)據(jù)的恢復(fù)更為重要，難度也更大。在啟動(dòng)電子商務(wù)業(yè)務(wù)之初，就必須制定交易安全計(jì)劃和應(yīng)急方案，以防萬(wàn)一。一旦發(fā)生意外，有備無(wú)患，可最大限度地減少損失，盡快恢復(fù)系統(tǒng)的正常工作，保證交易的正常運(yùn)行。

3.2.4其他一些措施

在電子商務(wù)安全問(wèn)題中，病毒對(duì)網(wǎng)絡(luò)交易的順利進(jìn)行和交易數(shù)據(jù)的妥善保存造成極大的威脅。從事網(wǎng)上交易的企業(yè)和個(gè)人都應(yīng)當(dāng)建立病毒防范制度，排除病毒的干擾。其次，還要經(jīng)常進(jìn)行系統(tǒng)維護(hù)，系統(tǒng)維護(hù)主要包括硬件的日常管理與維護(hù)和軟件的日常管理與維護(hù)。企業(yè)里的硬件應(yīng)建立系統(tǒng)設(shè)備檔案，便于以后對(duì)設(shè)備的更新和管理。對(duì)于軟件的管理和維護(hù)工作主要是版本控制，及時(shí)更新添補(bǔ)漏洞，降低出現(xiàn)意外的可能。

3.3法律政策與法律保障

電子商務(wù)的安全發(fā)展必須依靠法律的保障，通過(guò)法律等條文的形式來(lái)保護(hù)電子商務(wù)信息的安全，懲罰網(wǎng)絡(luò)犯罪違法行為，建立一個(gè)良好的電子商務(wù)法制環(huán)境來(lái)約束人們的行為。

目前電子商務(wù)相關(guān)法律主要涉及計(jì)算機(jī)犯罪立法、計(jì)算機(jī)安全法規(guī)、隱私保護(hù)、網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)、電子合同相關(guān)法規(guī)等方面，初步滿足了電子商務(wù)保密性、完整性、認(rèn)證性、可控性和不可否認(rèn)性的安全需求。隨著信息技術(shù)的發(fā)展，電子商務(wù)安全不可能一勞永逸，必須用發(fā)展的眼光來(lái)看待，法制建設(shè)也應(yīng)該進(jìn)一步完善。

電子商務(wù)的安全問(wèn)題是一個(gè)涉及范圍極廣的社會(huì)問(wèn)題，網(wǎng)上交易安全性若不能得到有效的保障，就必然會(huì)影響到電子商務(wù)的順利發(fā)展。因此，要使電子商務(wù)能夠健康、快速、蓬勃的發(fā)展，就必須用全面的電子商務(wù)安全解決方案提供交易的信任保障，希望越來(lái)越多的企業(yè)和個(gè)人加入到關(guān)心電子商務(wù)的行列中來(lái)，一起為開(kāi)創(chuàng)嶄新的商務(wù)時(shí)代出力獻(xiàn)策。

參考文獻(xiàn)：

[1]祁明.電子商務(wù)安全與保密 [M].高等教育出版社.

篇6

關(guān)鍵詞：移動(dòng)；電子商務(wù)；安全

中D分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）31-0252-02

依據(jù)當(dāng)前情形，計(jì)算機(jī)和桌面互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展速度已遠(yuǎn)被移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)所趕超。近一年間，全球互聯(lián)網(wǎng)用戶數(shù)目已達(dá)到32億，占全球總?cè)丝跀?shù)的44%，而其中移動(dòng)互聯(lián)網(wǎng)用戶總數(shù)將達(dá)到20億，手機(jī)上網(wǎng)人數(shù)也超過(guò)了電腦上網(wǎng)人數(shù)，使用手機(jī)搜索引擎的人數(shù)超過(guò)60%，這意味著移動(dòng)營(yíng)銷具有非常巨大的潛力。利用智能手機(jī)等可移動(dòng)無(wú)線終端設(shè)備，通過(guò)移動(dòng)網(wǎng)絡(luò)連接Internet，并進(jìn)行各種類型的電子商務(wù)交易活動(dòng)，稱為移動(dòng)電子商務(wù)。因其可移動(dòng)、便攜、方便的特點(diǎn)，加之無(wú)線網(wǎng)絡(luò)、移動(dòng)WIFI的覆蓋，可在移動(dòng)無(wú)線終端上隨時(shí)進(jìn)行交易，使它成為電子商務(wù)發(fā)展不可阻擋的新趨勢(shì)。

在中國(guó)，隨著經(jīng)濟(jì)、技術(shù)的快速穩(wěn)定發(fā)展，一方面人們的生活水平日益提高，移動(dòng)無(wú)線終端的普及率也越來(lái)越高，移動(dòng)用戶日漸壯大，另一方面4G等無(wú)線通信技術(shù)不斷發(fā)展、成熟，移動(dòng)電子商務(wù)在整個(gè)電子商務(wù)市場(chǎng)中所占的份額越來(lái)越大。通過(guò)移動(dòng)無(wú)線終端使交流更方便、使支付更快捷等，但其安全性問(wèn)題始終成為人們所顧慮的重點(diǎn)。

1 移動(dòng)電子商務(wù)自身因素導(dǎo)致的安全方面問(wèn)題

1.1 無(wú)線網(wǎng)絡(luò)開(kāi)發(fā)起始階段不成熟導(dǎo)致的安全問(wèn)題

移動(dòng)網(wǎng)絡(luò)的出現(xiàn)比較早，早期的架構(gòu)比較簡(jiǎn)單，加密算法，通信技術(shù)都比較落后，雖然隨著時(shí)代的發(fā)展，在安全性方面得到了很大改進(jìn)，然后并不能從本質(zhì)上解決諸多安全問(wèn)題，如信道頻率公開(kāi)導(dǎo)致通信被竊聽(tīng)、偽基站盛行導(dǎo)致詐騙信息無(wú)法識(shí)別，加密技術(shù)老化導(dǎo)致通信內(nèi)容被篡改等。各種因素都指向一個(gè)同一個(gè)安全問(wèn)題，并且信息在傳輸與轉(zhuǎn)換的過(guò)程中都可能造成不安全的隱患。

1.2 通信終端多樣化導(dǎo)致的安全方面問(wèn)題

眾所周知，目前移動(dòng)通信終端設(shè)備的種類較多，各類設(shè)備累計(jì)體現(xiàn)出來(lái)的安全隱患也隨之增多，其主要表現(xiàn)有：移動(dòng)通信設(shè)備自身的設(shè)計(jì)漏洞，設(shè)備或其所使用軟件在驗(yàn)證使用者身份時(shí)產(chǎn)生的隱私泄露，導(dǎo)致賬戶信息安全產(chǎn)生威脅，人為的攻擊因素如復(fù)制SIM卡，被解RFID密碼等。

1.3 使用軟件不當(dāng)而造成的安全威脅

手機(jī)軟件發(fā)展迅速，但是比起電腦端，顯得尤為脆弱，糾錯(cuò)排毒等功能也弱化不少，病毒木馬等在手機(jī)軟件發(fā)展中也在不斷滋生，這種安全威脅尤為嚴(yán)重。軟件病毒會(huì)以多種形式滲入移動(dòng)通信終端，比如通過(guò)手機(jī)瀏覽器或者潛伏與手機(jī)軟件中伺機(jī)傳播非法信息，破壞手機(jī)系統(tǒng)。移動(dòng)通信終端一旦感染病毒，會(huì)出現(xiàn)這樣那樣的問(wèn)題，有些問(wèn)題不會(huì)影響終端的正常運(yùn)行，旨在竊取用戶信息、銀行賬號(hào)、密碼等私密信息；有些問(wèn)題則會(huì)如電腦中毒一樣，加重系統(tǒng)運(yùn)行負(fù)載，更改用戶信息，嚴(yán)重的甚至?xí)?dǎo)致手機(jī)無(wú)法正常工作。

1.4 運(yùn)營(yíng)管理上存在的漏洞和隱患

電子商務(wù)在近十年內(nèi)飛速發(fā)展，移動(dòng)電商的發(fā)展也隨之突飛猛進(jìn)，運(yùn)營(yíng)至今，給類移動(dòng)電商平臺(tái)數(shù)不勝數(shù)，不僅種數(shù)繁多，而且良莠不齊，一般的大眾用戶很難甄別這些運(yùn)營(yíng)平臺(tái)的真?zhèn)魏蛢?yōu)劣。拋開(kāi)管理方面因素，就平臺(tái)開(kāi)發(fā)過(guò)程中運(yùn)用的相關(guān)技術(shù)而言，存在數(shù)量不少的平臺(tái)在開(kāi)放方面由于技術(shù)較弱，而導(dǎo)致在使用過(guò)程中問(wèn)題頻出，漏洞難補(bǔ)，安全問(wèn)題可想而知。而平臺(tái)的服務(wù)提供者對(duì)平臺(tái)的管理機(jī)制是否健全，也是影響平臺(tái)安全問(wèn)題的重要因素。

2 移動(dòng)電子商務(wù)的安全保護(hù)措施

2.1 建立移動(dòng)互聯(lián)網(wǎng)的安全框架

移動(dòng)電子商務(wù)設(shè)計(jì)的初衷當(dāng)然是需要運(yùn)行在一個(gè)安全服務(wù)平臺(tái)之上，這就要求作為提供網(wǎng)絡(luò)通信服務(wù)的移動(dòng)通信網(wǎng)絡(luò)，包括目前主要采用3G 移動(dòng)通信、4G 移動(dòng)通信和WIFI 網(wǎng)絡(luò)，針對(duì)無(wú)線應(yīng)用協(xié)議的各個(gè)不同層，在各個(gè)層次上均需要采用針對(duì)性的安全技術(shù)。

2.2 在支付方式上采用安全加密技術(shù)

目前還有很多場(chǎng)合使用比較老的支付方式，比如密碼支付，二維碼支付等，這些支付技術(shù)漏洞較大，研發(fā)新一代安全支付手段勢(shì)在必行。

如國(guó)際公認(rèn)的無(wú)線公開(kāi)密鑰體系WPKI，其強(qiáng)項(xiàng)是管理公開(kāi)密鑰和數(shù)字證書(shū)，其采用的密鑰加密技術(shù)以及基于網(wǎng)絡(luò)環(huán)境的數(shù)字加密和簽名服務(wù)，能夠有效地提高數(shù)據(jù)傳輸過(guò)程中，從的端到端的安全，使得交易的風(fēng)險(xiǎn)大大降低，其采用的可信WPKI技術(shù)，以及非復(fù)制功能，能保證信息的不可抵賴性。

當(dāng)然，理論上沒(méi)有絕對(duì)安全的環(huán)境，在具體驗(yàn)證過(guò)程中，對(duì)密鑰的驗(yàn)證，需要結(jié)合數(shù)字證書(shū)證明密鑰的有效性，建立起一套加解密和認(rèn)證系統(tǒng)相輔相成的布局，可以在很大程度上提高交易過(guò)程中重要數(shù)據(jù)被竊取或篡改的難度，使得電子商務(wù)交易安全系數(shù)大大提升。

2.3 規(guī)范行業(yè)管理標(biāo)準(zhǔn)

一個(gè)完善的行業(yè)標(biāo)準(zhǔn)是規(guī)范行業(yè)管理的重要條件。為了保證移動(dòng)電子商務(wù)交易活動(dòng)的高效與可靠，必須建立一個(gè)移動(dòng)電子商務(wù)行業(yè)的安全標(biāo)準(zhǔn)，并提高交易各方的安全意識(shí)。在執(zhí)行過(guò)程中不斷完善，去粗取精，建立交易過(guò)程中的相互作用機(jī)制，以促進(jìn)移動(dòng)電子商務(wù)的健康、快速發(fā)展。

2.4 健全相關(guān)法律法規(guī)

國(guó)家及相關(guān)職能部門(mén)應(yīng)逐步健全與移動(dòng)電子商務(wù)相關(guān)的法律、法規(guī)和制度，明確行業(yè)政策導(dǎo)向，保障公平的競(jìng)爭(zhēng)環(huán)境，及時(shí)修正法律法規(guī)漏洞，明確細(xì)節(jié)，使出現(xiàn)問(wèn)題有法可依、有律可循。在詳盡的法律條款和規(guī)章制度規(guī)范下，提供方便、快捷、安全的移動(dòng)電子商務(wù)環(huán)境，減少商務(wù)糾紛，使當(dāng)事雙方可以放心地進(jìn)行交流、交易等等，更多地參與到各類移動(dòng)電子商務(wù)活動(dòng)中。

3 結(jié)語(yǔ)

移動(dòng)電子商務(wù)要健康、快速地發(fā)展，相關(guān)管理部門(mén)應(yīng)該與移動(dòng)運(yùn)營(yíng)商緊密聯(lián)系與互相配合，從技術(shù)、管理、法律法規(guī)等多方面入手，實(shí)施可行的安全策略以及管理體制。

參考文獻(xiàn)：

[1] 徐桂. 移動(dòng)互聯(lián)網(wǎng)安全認(rèn)證及安全應(yīng)用中關(guān)鍵技術(shù)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2014（1）.

篇7

關(guān)鍵詞：電子商務(wù)； 信息安全；運(yùn)行環(huán)境；黑客；防火墻 

 

電子商務(wù)在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展日益迅猛的當(dāng)下，應(yīng)用越來(lái)越廣泛，這種基于Internet進(jìn)行的各種商務(wù)活動(dòng)模式以其特有的開(kāi)放性讓商務(wù)活動(dòng)相比較以往更加高效快捷。In-ternet 是一個(gè)開(kāi)放的、全球性的、無(wú)控制機(jī)構(gòu)的網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)自身的特點(diǎn)決定了網(wǎng)絡(luò)不安全，網(wǎng)絡(luò)服務(wù)一般都是通過(guò)各種各樣的協(xié)議完成的，因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的重要方面，Internet 的數(shù)據(jù)傳輸是基于 TCP/IP操作系統(tǒng)來(lái)支持的，TCP/IP 協(xié)議本身存在著一定的缺陷。 

1電子商務(wù)所面臨的信息安全威脅 

1.1 安全環(huán)境惡化 

由于在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面發(fā)展較為遲緩，我國(guó)在很多硬件核心設(shè)備方面依然以進(jìn)口采購(gòu)為主要渠道，不能自主生產(chǎn)也意味著不能自主控制，除了生產(chǎn)技術(shù)、維護(hù)技術(shù)也相應(yīng)依靠國(guó)外引進(jìn)，這也就讓國(guó)內(nèi)的電子商務(wù)無(wú)法看到眼前的威脅以及自身軟件的應(yīng)付能力。 

1.2平臺(tái)的自然物理威脅 

由于電子商務(wù)通過(guò)網(wǎng)絡(luò)傳輸進(jìn)行，因此諸如電磁輻射干擾以及網(wǎng)絡(luò)設(shè)備老化帶來(lái)的傳輸緩慢甚至中斷等自然威脅難以預(yù)測(cè)，而這些威脅將直接影響信息安全。此外，人為破壞商務(wù)系統(tǒng)硬件，篡改刪除信息內(nèi)容等行為，也會(huì)給企業(yè)造成損失。 

1.3黑客入侵 

在諸多威脅中，病毒是最不可控制的，其主要作用是損壞計(jì)算機(jī)文件，且具有繁殖功能。配合越來(lái)越便捷的網(wǎng)絡(luò)環(huán)境，計(jì)算機(jī)病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性，本地計(jì)算機(jī)所記錄的登錄信息都會(huì)被木馬程序篡改，從而造成信息之外的文件和資金遭竊。 

2電子商務(wù)信息安全的防范處理方法 

2.1針對(duì)病毒的技術(shù) 

作為電子商務(wù)安全的最大威脅，對(duì)于計(jì)算機(jī)病毒的防范是重中之重。對(duì)于病毒，處理態(tài)度應(yīng)該以預(yù)防為主，查殺為輔。因?yàn)椴《镜念A(yù)防工作在技術(shù)層面上比查殺要更為簡(jiǎn)單。多種預(yù)防措施的并行應(yīng)用很重要，比如對(duì)全新計(jì)算機(jī)硬件、軟件進(jìn)行全面的檢測(cè)；利用病毒查殺軟件對(duì)文件進(jìn)行實(shí)時(shí)的掃描；定期進(jìn)行相關(guān)數(shù)據(jù)備份；服務(wù)器啟動(dòng)采取硬盤(pán)啟動(dòng)；相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問(wèn)權(quán)限等等。同時(shí)在病毒感染時(shí)保證文件的及時(shí)隔離。在計(jì)算機(jī)系統(tǒng)感染病毒的情況下，第一時(shí)間清除病毒文件并及時(shí)恢復(fù)系統(tǒng)。 

2.2防火墻應(yīng)用 

防火墻主要是用來(lái)隔離內(nèi)部網(wǎng)和外部網(wǎng)，對(duì)內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類：一類是簡(jiǎn)單的包過(guò)濾技術(shù)，它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過(guò)濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)。另一類是應(yīng)用網(wǎng)管和服務(wù)器，可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過(guò)濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。

2.3數(shù)據(jù)加密技術(shù)的引入 

加密技術(shù)是保證電子商務(wù)安全采用的主要安全措施。加密過(guò)程就是根據(jù)一定的算法，將可理解的數(shù)據(jù)（明文）與一串?dāng)?shù)字（密鑰）相結(jié)合，從而產(chǎn)生不可理解的密文的過(guò)程，主要加密技術(shù)是：對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。 

2.4認(rèn)證系統(tǒng) 

網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書(shū)。數(shù)字證書(shū)類似于現(xiàn)實(shí)生活中的身份證，用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。傳統(tǒng)的對(duì)稱密鑰算法具有加密強(qiáng)度高、運(yùn)算速度快的優(yōu)點(diǎn)，但密鑰的傳遞與管理問(wèn)題限制了它的應(yīng)用。為解決此問(wèn)題，20 世紀(jì) 70 年代密碼界出現(xiàn)了公開(kāi)密鑰算法，該算法使用一對(duì)密鑰即一個(gè)私鑰和一個(gè)公鑰，其對(duì)應(yīng)關(guān)系是唯一的，公鑰對(duì)外公開(kāi)，私鑰個(gè)人秘密保存。一般用公鑰來(lái)進(jìn)行加密，用私鑰來(lái)進(jìn)行簽名；同時(shí)私鑰用來(lái)解密，公鑰用來(lái)驗(yàn)證簽名。 

2.5其他注意事項(xiàng) 

篇8

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，云計(jì)算的使用也越來(lái)越廣泛，電子商務(wù)企業(yè)因此迎來(lái)了新的機(jī)遇。但是由于云計(jì)算技術(shù)的不成熟，其本身存在著網(wǎng)絡(luò)安全問(wèn)題，這也導(dǎo)致了電子商務(wù)平臺(tái)面臨著安全問(wèn)題。筆者就云計(jì)算模式下電子商務(wù)的安全進(jìn)行了研究，提出了幾條相應(yīng)的安全策略。

【關(guān)鍵詞】

云計(jì)算；電子商務(wù)；安全性能；安全策略

0 緒言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，信息量和數(shù)據(jù)量變得更為龐大，但是網(wǎng)絡(luò)中的存儲(chǔ)資源并沒(méi)有得到充分的利用和合理的管理，因此云計(jì)算技術(shù)便攻克了這一難題。云計(jì)算是一種在原有的計(jì)算方式上發(fā)展而來(lái)的新型計(jì)算模式，也是一種新興的商業(yè)模式，具有高可靠性、通用性、高擴(kuò)展性和低成本的優(yōu)勢(shì)。云計(jì)算的應(yīng)用給IT界特別是電子商務(wù)領(lǐng)域帶來(lái)了一場(chǎng)變革，但是，云計(jì)算本身存在著網(wǎng)絡(luò)安全問(wèn)題，因此電子商務(wù)也同樣面臨著安全問(wèn)題。所以，在云計(jì)算模式下的電子商務(wù)如何解決安全問(wèn)題成為了日前的工作重點(diǎn)。

1 云計(jì)算模式下電子商務(wù)的優(yōu)勢(shì)

1.1 節(jié)省電子商務(wù)企業(yè)硬件成本

電子商務(wù)是運(yùn)用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù)，來(lái)完成電子化、數(shù)字化和網(wǎng)絡(luò)化的整個(gè)商務(wù)過(guò)程，而云計(jì)算的應(yīng)用對(duì)電子商務(wù)的發(fā)展產(chǎn)生了深刻的影響。建設(shè)電子商務(wù)的硬件系統(tǒng)需要大量的服務(wù)器、小型機(jī)、網(wǎng)絡(luò)和負(fù)載均衡的設(shè)備，因此，一般模式下電子商務(wù)的硬件成本比較大，而且后期的維護(hù)費(fèi)用也很高，這樣的高投資對(duì)于電子商務(wù)企業(yè)，尤其是中小企業(yè)來(lái)說(shuō)具有一定的財(cái)務(wù)負(fù)擔(dān)。但是在云計(jì)算模式下的電子商務(wù)并沒(méi)有這樣大的財(cái)務(wù)負(fù)擔(dān)，只需要根據(jù)自身的業(yè)務(wù)需求從云服務(wù)提供商那里購(gòu)買(mǎi)IT基礎(chǔ)構(gòu)架。在購(gòu)買(mǎi)基礎(chǔ)構(gòu)架上，按照計(jì)算資源的數(shù)量和使用時(shí)間向提供商支付費(fèi)用，不用購(gòu)買(mǎi)昂貴的硬件設(shè)備，也不需要支付高額的維護(hù)費(fèi)用。因此，云計(jì)算模式下的電子商務(wù)在硬件方面節(jié)省了大量的成本。

1.2 提高電子商務(wù)應(yīng)用的靈活性

電子商務(wù)在軟件的開(kāi)發(fā)、測(cè)試和升級(jí)上需要花費(fèi)大量的資金和人力，并且維護(hù)電子商務(wù)的運(yùn)行也需要大量的資金和人力。但是，云計(jì)算模式下的電子商務(wù)只需向平臺(tái)提供商租用軟件服務(wù)就行，并且通過(guò)瀏覽器來(lái)使用這些軟件服務(wù)，例如電子商務(wù)企業(yè)可以從平臺(tái)提供商那里購(gòu)買(mǎi)人力資源系統(tǒng)的云服務(wù)，而對(duì)于這個(gè)軟件的開(kāi)發(fā)、測(cè)試和維護(hù)則由云服務(wù)提供商來(lái)負(fù)責(zé)，電子商務(wù)只需支付費(fèi)用即可。因此，云計(jì)算模式下的電子商務(wù)提高了應(yīng)用的靈活性。

1.3 提供強(qiáng)大的數(shù)據(jù)處理能力

云計(jì)算是在并行計(jì)算、分布計(jì)算和網(wǎng)格計(jì)算的基礎(chǔ)上發(fā)展起來(lái)的一種新型計(jì)算模式，將虛擬服務(wù)和多重租賃的新技術(shù)集合為一體，節(jié)約了成本也減少了使用信息技術(shù)資源的費(fèi)用。云計(jì)算通過(guò)特定的計(jì)算模式將大量的普通計(jì)算機(jī)聯(lián)合起來(lái)，然后為用戶提供強(qiáng)大的計(jì)算能力，讓用戶在使用單臺(tái)計(jì)算機(jī)時(shí)也能完成單臺(tái)計(jì)算機(jī)難以完成的計(jì)算任務(wù)。在云計(jì)算服務(wù)平臺(tái)中，提交一個(gè)計(jì)算請(qǐng)求后，云計(jì)算平臺(tái)就會(huì)根據(jù)需要調(diào)用平臺(tái)中大量的計(jì)算節(jié)點(diǎn)提供強(qiáng)大的計(jì)算能力。在云計(jì)算模式下，電子商務(wù)企業(yè)不是從自己的計(jì)算機(jī)或某個(gè)指定的服務(wù)器上獲得信息，而是通過(guò)互聯(lián)網(wǎng)上的各種設(shè)備來(lái)活動(dòng)所需的信息，因此在計(jì)算速度上得到了很大的飛躍。

2 云計(jì)算模式下電子商務(wù)面臨的問(wèn)題

云計(jì)算模式下的電子商務(wù)存在著很多的優(yōu)勢(shì)，在安全性上也存在著很多優(yōu)點(diǎn)，如授權(quán)合法性等傳統(tǒng)的安全需求在云計(jì)算模式下更容易解決，但是同時(shí)也帶來(lái)了新的安全問(wèn)題，例如信息保密性、隱私保護(hù)和網(wǎng)絡(luò)安全性等。

對(duì)于數(shù)據(jù)存儲(chǔ)安全，傳統(tǒng)模式下的電子商務(wù)擁有自己的數(shù)據(jù)中心，所有的數(shù)據(jù)都存儲(chǔ)在自己的服務(wù)器上，而云計(jì)算模式下的電子商務(wù)都是將數(shù)據(jù)存儲(chǔ)在云中，因此便面臨著以下幾個(gè)問(wèn)題：

首先，電子商務(wù)企業(yè)不知道自身的數(shù)據(jù)信息被存儲(chǔ)在哪個(gè)服務(wù)器終端內(nèi)，甚至數(shù)據(jù)的去向也不了解，因此也就不清楚數(shù)據(jù)有沒(méi)有被泄露；

其次，電子商務(wù)企業(yè)需要購(gòu)買(mǎi)基礎(chǔ)構(gòu)架或軟件服務(wù)，購(gòu)買(mǎi)后業(yè)務(wù)數(shù)據(jù)就會(huì)被存儲(chǔ)在云計(jì)算平臺(tái)中，因此電子商務(wù)的業(yè)務(wù)流程就需要依賴于云計(jì)算服務(wù)提供商提供的服務(wù)，這樣對(duì)于云計(jì)算平臺(tái)的服務(wù)連續(xù)性、安全策略和事件處理就有了更高的要求；

最后，電子商務(wù)企業(yè)的數(shù)據(jù)是在數(shù)據(jù)共享環(huán)境中被存儲(chǔ)在云計(jì)算平臺(tái)上的，如果沒(méi)有對(duì)數(shù)據(jù)進(jìn)行有效的隔離，這樣任何的意外都可能會(huì)導(dǎo)致數(shù)據(jù)無(wú)法使用，給電子商務(wù)企業(yè)帶來(lái)不可預(yù)計(jì)的損失。

3 云計(jì)算模式下電子商務(wù)的安全策略

如果不能解決云計(jì)算模式下電子商務(wù)面臨的安全問(wèn)題，那電子商務(wù)將無(wú)法享受云計(jì)算帶來(lái)的便利，這樣就嚴(yán)重阻礙了云計(jì)算在電子商務(wù)中的應(yīng)用。因此，對(duì)于云計(jì)算模式下電子商務(wù)面臨的安全問(wèn)題提出以下幾種安全策略，以加強(qiáng)云計(jì)算模式下電子商務(wù)安全風(fēng)險(xiǎn)的控制。

（1）加強(qiáng)數(shù)據(jù)安全管理。云計(jì)算模式下的電子商務(wù)企業(yè)應(yīng)該運(yùn)用技術(shù)手段，對(duì)存儲(chǔ)在云端的數(shù)據(jù)進(jìn)行嚴(yán)格的加密，以此來(lái)保證企業(yè)的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩裕⑶覒?yīng)該同時(shí)對(duì)存儲(chǔ)到云端的數(shù)據(jù)進(jìn)行嚴(yán)格的管理。

（2）加強(qiáng)客戶端的管理。云計(jì)算模式下的電子商務(wù)企業(yè)應(yīng)該采取保護(hù)措施來(lái)保護(hù)云端不被攻擊。在云計(jì)算環(huán)境下，云終端不僅僅是傳統(tǒng)的計(jì)算機(jī)，也可能是專門(mén)的云端機(jī)器，或者是平板電腦和手機(jī)等。因此，企業(yè)應(yīng)該定期的完成云終端系統(tǒng)的補(bǔ)丁和更行工作，安裝防火墻保證云終端的安全。

（3）云中心須對(duì)用戶數(shù)據(jù)進(jìn)行隔離和保護(hù)。云服務(wù)提供商不能將電子商務(wù)企業(yè)的私有數(shù)據(jù)與其他客戶的數(shù)據(jù)混合，或者是提供給他人使用，必須將云數(shù)據(jù)備份和云恢復(fù)計(jì)劃落實(shí)到位，防止電子商務(wù)企業(yè)的數(shù)據(jù)丟失和被破壞。

4 結(jié)語(yǔ)

云計(jì)算模式下的電子商務(wù)具有很多的優(yōu)勢(shì)，在計(jì)算和數(shù)據(jù)存儲(chǔ)方面變得更加的便利。但是云計(jì)算模式下的電子商務(wù)也面臨著很多安全問(wèn)題，這些問(wèn)題是不容忽視的，需要電子商務(wù)企業(yè)和云計(jì)算提供商共同努力，一起解決這些安全問(wèn)題，保證數(shù)據(jù)的安全。

【參考文獻(xiàn)】

[1]李子凡.電子商務(wù)安全問(wèn)題探析.紅果電子商務(wù)[J]，2011（6）

[2]馮毅.淺談在云計(jì)算平臺(tái)下企業(yè)電子商務(wù)的發(fā)展.中國(guó)高新技術(shù)企業(yè)[J]，2011（16）

篇9

電子商務(wù)交易安全概述

電子商務(wù)的交易安全就是對(duì)交易中涉及的各種數(shù)據(jù)的可靠性、完整性和可用性進(jìn)行保護(hù)。當(dāng)許多傳統(tǒng)的商務(wù)方式應(yīng)用在 Internet上時(shí)，便會(huì)帶來(lái)許多源于安全方面的問(wèn)題，如傳統(tǒng)的貸款和借款卡支付的保證方案及數(shù)據(jù)保護(hù)方法、電子數(shù)據(jù)交換系統(tǒng)、對(duì)日常信息安全的管理等。具體來(lái)說(shuō)包括以下幾個(gè)方面：

（1）數(shù)據(jù)保密：防止非授權(quán)用戶獲得并使用該數(shù)據(jù)。

（2）數(shù)據(jù)完整性：確保網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改。

（3）身份驗(yàn)證：對(duì)網(wǎng)絡(luò)上的另一個(gè)用戶進(jìn)行驗(yàn)證，證實(shí)他就是他所聲稱的那個(gè)人。

（4）授權(quán)：控制誰(shuí)能夠訪問(wèn)網(wǎng)絡(luò)上的信息并且能夠進(jìn)行何種操作。

（5）不可抵賴和不可否認(rèn)：用戶不能抵賴自己曾做出的行為，也不能否認(rèn)曾經(jīng)接到對(duì)方的信息。

（6）軟件資源或網(wǎng)址免受病毒的侵害與黑客的攻擊。

為了滿足這些需求，提高電子商務(wù)的安全性，網(wǎng)絡(luò)和管理技術(shù)人員研究和開(kāi)發(fā)了多種網(wǎng)絡(luò)安全技術(shù)和協(xié)議，這些技術(shù)和協(xié)議各自有一定的使用范圍，可以提供電子商務(wù)交易活動(dòng)不同程度的安全保障。

安全技術(shù)在電子商務(wù)中的具體應(yīng)用

電子商務(wù)在功能上要求實(shí)現(xiàn)實(shí)時(shí)帳戶信息查詢。這就使電子商務(wù)系統(tǒng)必須在物理上與生產(chǎn)系統(tǒng)要有連接，這對(duì)于電子商務(wù)信息系統(tǒng)的安全性提出了更高的要求，必須保證外部網(wǎng)絡(luò)(Internet)用戶不能對(duì)生產(chǎn)系統(tǒng)構(gòu)成威脅。為此，需要全方位地制定系統(tǒng)的安全策略。就整個(gè)系統(tǒng)而言，安全性可以分為四個(gè)層次：①網(wǎng)絡(luò)節(jié)點(diǎn)的安全②通訊的安全性③應(yīng)用程序的安全性④用戶的認(rèn)證管理

1、網(wǎng)絡(luò)節(jié)點(diǎn)的安全

網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，防火墻是在連接Internet和Intranet時(shí)保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的分析和判斷。通過(guò)靈活有效地運(yùn)用這些功能，從而可以制定出正確的安全策略，防火墻安全策略是十分重要的，我們應(yīng)該認(rèn)識(shí)到，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。與此同時(shí)，操作系統(tǒng)的安全性也十分重要，防火墻是基于操作系統(tǒng)的。如果信息通過(guò)操作系統(tǒng)的后門(mén)繞過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)，則防火墻照樣失效，所以，必須保證操作系統(tǒng)的安全，在條件許可的情況下，應(yīng)考慮將防火墻單獨(dú)安裝在硬件設(shè)備上。

2 數(shù)據(jù)通訊的安全

數(shù)據(jù)通訊的安全主要依靠對(duì)通信數(shù)據(jù)的加密來(lái)保證。在通訊鏈路上的數(shù)據(jù)安全，一定程度上取決于加密的算法和加密的強(qiáng)度。電子商務(wù)系統(tǒng)的數(shù)據(jù)通信主要存在于：①客戶瀏覽器與電子商務(wù)Web服務(wù)器端的通訊；②電子商務(wù)Web服務(wù)器與電子商務(wù)數(shù)據(jù)庫(kù)服務(wù)器的通訊；③銀行內(nèi)部網(wǎng)與業(yè)務(wù)之間的數(shù)據(jù)通訊。

安全鏈路在客戶端瀏覽器和電子商務(wù)Web服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過(guò)加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書(shū)，證書(shū)包括一個(gè)公鑰，由一家可信證書(shū)授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)證服務(wù)器證書(shū)的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL鏈接不需要一定有個(gè)人證書(shū)，實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書(shū)是合法的服務(wù)順證書(shū)通過(guò)后利用該證書(shū)對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰，然后用此對(duì)稱算法加密傳輸?shù)拿魑摹４藭r(shí)瀏覽器也會(huì)出現(xiàn)進(jìn)入安全狀態(tài)的提示。

數(shù)據(jù)加密技術(shù)是電子商務(wù)采取的主要安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前，加密技術(shù)分為兩類，即對(duì)稱加密和非對(duì)稱加密。密鑰管理技術(shù)其中包括對(duì)稱密鑰管理、公開(kāi)密鑰管理/數(shù)字證書(shū)、密鑰管理相關(guān)的標(biāo)準(zhǔn)規(guī)范。

3 應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時(shí)；程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)動(dòng)，而不是只有有限的指令子集在特權(quán)模式下運(yùn)動(dòng)，其他的部分只有縮小的許可；程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源，如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可)，程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問(wèn)題一樣的錯(cuò)誤。

4 用戶的認(rèn)證管理

電子商務(wù)中企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書(shū)與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書(shū)用來(lái)認(rèn)證服務(wù)器的身份，IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能，所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書(shū)進(jìn)行驗(yàn)證，這份數(shù)字證書(shū)就是CA證書(shū)，它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。CA中心一般是社會(huì)公認(rèn)的可靠組織，它對(duì)個(gè)人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書(shū)，證書(shū)分為服務(wù)器證書(shū)和個(gè)人證書(shū)。建立SSL安全鏈接不需要一定有個(gè)人證書(shū)，實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)(下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行)。

5 安全管理

篇10

關(guān)鍵詞：安全；電子商務(wù)；證書(shū)；系統(tǒng)；服務(wù)器；防火墻；用戶；安全性

電子商務(wù)在功能上要求實(shí)現(xiàn)實(shí)時(shí)賬戶信息查詢。這就使電子商務(wù)系統(tǒng)必須在物理上與生產(chǎn)系統(tǒng)要有連接，這對(duì)于電子商務(wù)系統(tǒng)的安全性提出了更高的要求，必須保證外部網(wǎng)絡(luò)（internet）用戶不能對(duì)生產(chǎn)系統(tǒng)構(gòu)成威脅。為此，需要全方位地制定系統(tǒng)的安全策略。

就整個(gè)系統(tǒng)而言，安全性可以分為四個(gè)層次：

(1)網(wǎng)絡(luò)節(jié)點(diǎn)的安全

(2)通訊的安全

(3)應(yīng)用程序的安全

(4)用戶的認(rèn)證管理

其中(2)、(3)、(4)層是通過(guò)操作系統(tǒng)和web服務(wù)器軟件實(shí)現(xiàn)的，網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

1 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

1.1 防火墻

防火墻是在連接internet和intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個(gè)安全、高效的intranet系統(tǒng)。

1.2 防火墻安全策略

應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣的安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒(méi)有全面的安全策略，那么防火墻就形同虛設(shè)。

1.3 安全操作系統(tǒng)

防火墻是基于操作系統(tǒng)的。如果信息通過(guò)操作系統(tǒng)的后門(mén)繞過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)，則防火墻失效。所以，要保證防火墻發(fā)揮作用，必須保證操作系統(tǒng)的安全。只有在安全操作系統(tǒng)的基礎(chǔ)上，才能充分發(fā)揮防火墻的功能。在條件許可的情況下，應(yīng)考慮將防火墻單獨(dú)安裝在硬件設(shè)備上。

2 通訊的安全

2.1 數(shù)據(jù)通訊

通訊的安全主要依靠對(duì)通信數(shù)據(jù)的加密來(lái)保證。在通訊鏈路上的數(shù)據(jù)安全，一定程度上取決于加密的算法和加密的強(qiáng)度。

2.2 安全鏈路

在客戶端瀏覽器和電子商務(wù)web服務(wù)器之間采用ssl協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過(guò)加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，ssl首先要求服務(wù)器向?yàn)g覽器出示它的證書(shū)，證書(shū)包括一個(gè)公鑰，由一家可信證書(shū)授權(quán)機(jī)構(gòu)（ca中心）簽發(fā)。

驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純地想建立ssl鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)）。驗(yàn)證此證書(shū)是合法的服務(wù)器證書(shū)通過(guò)后利用該證書(shū)對(duì)稱加密算法（rsa）與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰，然后用此對(duì)稱算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出現(xiàn)進(jìn)入安全狀態(tài)的提示。

3 應(yīng)用程序的安全

即使正確地配置了訪問(wèn)控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e(cuò)誤也可能引致攻擊。

4 用戶的認(rèn)證管理

4.1 身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器ca證書(shū)與ic卡相結(jié)合實(shí)現(xiàn)。ca證書(shū)用來(lái)認(rèn)證服務(wù)器的身份，ic卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能，所以只采用id號(hào)和密碼口令的身份確認(rèn)機(jī)制。

4.2 ca證書(shū)

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書(shū)進(jìn)行驗(yàn)證，這份數(shù)字證書(shū)就是ca證書(shū)，它由認(rèn)證授權(quán)中心（ca中心）發(fā)行。ca中心一般是社會(huì)公認(rèn)的可靠組織，它對(duì)個(gè)人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書(shū)，證書(shū)分為服務(wù)器證書(shū)和個(gè)人證書(shū)。建立ssl安全鏈接不需要一定有個(gè)人證書(shū)，實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純地想建立ssl鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行）。

5 安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。

對(duì)于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問(wèn)系統(tǒng)的最小權(quán)限。

按照分級(jí)管理原則，嚴(yán)格管理內(nèi)部用戶賬號(hào)和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶賬號(hào)和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時(shí)便于跟蹤查詢。定期檢查日志，以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份，且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù)，數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100％的安全。但是，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。

參考文獻(xiàn)

[1]屈云波.電子商務(wù)[M].北京：企業(yè)管理出版社，1999.

[2]趙立平.電子商務(wù)概論[M].上海：復(fù)旦大學(xué)出版社，2000.

[3]趙戰(zhàn)生.我國(guó)信息安全及其技術(shù)研究[J].中國(guó)信息導(dǎo)報(bào).1999,（8）：5-7.

[4]郭曉苗.Internet上的信息安全保護(hù)技術(shù)[J].現(xiàn)代圖書(shū)情報(bào)技術(shù).2000,（3）：50-51.

[5]吉俊虎.網(wǎng)絡(luò)和網(wǎng)絡(luò)安全芻議[J].中國(guó)信息導(dǎo)報(bào).1989,（9）：23-24.