电子商务安全论文(通用12篇)
无论是在学习还是在工作中,大家或多或少都会接触过论文吧,借助论文可以有效提高我们的写作水平。写起论文来就毫无头绪?以下是小编整理的电子商务安全论文,欢迎大家借鉴与参考,希望对大家有所帮助。
电子商务安全论文 篇1
【摘 要】电子商务是在网络信息技术下,以电子及电子化手段进行的以商务为核心,实现跨区域的销售与购物等,完成在线商品交易与金融资本交易。使得企业与企业之间的贸易变成全球化与网络化。
由于其较低的成本,较快的速度,较高的透明性,受到越来越多的追捧。但是由于信息网络的开放性与其自身的漏洞,电子商务的安全性受到越来越多的重视,只有保证了电子商务的安全,才能让电子商务的发展更加迅速与健康。
【关键词】安全问题;安全要求;安全技术
1.要分析和保证电子商务的安全性,首先应该了解目前电子商务安全问题有哪些
1.1交易信息遭到窃取
在电子商务的过程中,用户的身份信息或者交易信息会被黑客或者有意者通过木马、病毒及计算机系统、网络系统本身的漏洞所窃取。攻击者通过对数据的探听、非法截获等手段,可以对截获信息的数据分析,窃取用户的账号、密码等信息内容。
1.2交易信息遭到篡改
攻击者通过窃取了交易信息之后,通过技术手段,可以对交易信息进行篡改。例如篡改交易时间、交易地点、交易金额等,破坏交易信息的完整性与真实性,容易误导交易人,造成经济损失。
1.3交易信息遭到冒充
攻击者在得到交易者的信息之后,通过交易者的信息规律,冒充交易者与对方进行交易,从而获得非法利益,进而破坏了电子交易的安全性。
1.4交易信息遭到抵赖
某些交易者,面对交易信息,选择故意逃避,不承认订单,或者接到订单后却因为种种借口不承认产品交易;发送信息者不承认发送过信息,或者接收信息者不承认接收过信息,以种种方式进行交易抵赖。以期达到逃避责任的目的。
1.5交易信息受到病毒感染
由于计算机网络的开放性,恶意制作和使用计算机病毒的攻击者越来越多,并且难以防范,这成为对电子商务交易最大的威胁之一。
1.6非故意的电子商务信息泄露
由于电子商务需要使用计算机及计算机网络,而日常工作中,计算机维修、计算机操作者操作不当,都可能会导致电子商务信息的泄露。
2.那么,面对种种电子商务的安全问题,现代电子商务的安全要求有哪些呢
2.1有效的服务性要求
电子商务开展的前提是是能够预防或能应对网络服务失败的问题,通过监测来减少网络故障的发生,通过监督来减少错误的操作,通过维护来降低软、硬件问题,通过防火墙、杀毒软件等手段来阻止网络病毒的侵入,以诸如此类的方式来保证电子商务交易快速、有效和准确。
2.2有力的保密性要求
电子商务是在互联网的大背景下展开的,而互联网是一个开放的资源库与数据库,具备网络知识与上网设备的人,几乎都可以使用互联网,这就造成了,有更多的恶意攻击者也可以在毫不费力的情况下,侵入互联网,这就给电子商务交易,埋下了潜在的威胁。
因此,电子商务的顺利进行,必须要有有力的措施,来保证电子交易的机密性,交易信息不会遭到攻击者的截取和盗用。
2.3高度的完整性要求
电子商务的交易,不再是面对面的交易,而是通过网络等手段进行的跨区域交易。这就要求,在信息的传输过程中,信息必须是高度完整的,如果在信息的传输过程中遭到破坏、删除或者是篡改,会导致交易者的利益受损。
2.4可靠的身份性要求
由于电子商务是建立在互相信任的基础上,交易双方可能未曾见面,就完成了交易。这就要求,交易双方,不论是个人还是企业、组织甚至是国家之间,都必须提供可靠的、有效的身份信息。这样,不仅能使得交易双方更加信任,也能够在以后发生法律纠纷时,提供有力的依据。
2.5严密的审查性要求
因为电子商务交易要具有有力的保密性与高度的完整性,所以,应对电子商务交易完成后的审查数据进行完整的记录与妥善的保存。
3.为了应对电子商务安全问题,满足电子商务安全要求,电子商务安全技术也在不断发展
目前,主要的电子商务安全技术如下:
3.1数字认证技术
认证技术是电子商务防止攻击的有效武器。在互联网的开放环境中,信息安全的有效保证就是通过数字认证技术。数字认证技术又可以分为:数字签名、数字摘要及数字证书等三种。数字签名是确保实现认证、保证文档真实的有效措施。
就好像出示手写签名一般。数字签名就是在信息之后附件一些数据,将数字摘要进行私钥加密,然后一起发送给接收方。在接收方通过公钥解密摘要后,与原始数字摘要进行对比,若二者相同,则确认该数字签名是发送方发送的。数字签名能够保证报文与网络数据的完整、真实与不可抵赖。
数字摘要是固定长度的再要码,是文件中的部分重要的要素经过单向函数运算得到的。摘要长度与信息相对应,即相同信息的摘要相同,不同信息摘要不同。数字证书它是由证书授权机构颁发的,通过其来辨别用户身份及权限,如同身份证一样,是交易双方身份确认的唯一最有效、最安全的方式。
3.2防火墙技术
防火墙是在网络边界上建立起来的,防止黑客入侵的屏障。防火墙隔离了内部网络与外部网络。“目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。”
3.3入侵检测及加密技术
虽然网络的开放性可以让攻击者有侵入的机会,但是,同样,可以通过入侵检测的技术对侵入的数据进行识别和跟踪,并向用户报警。同时,通过加密技术,将数据进行加密,变成需要密钥才能还原成明文。加密技术又分为对称与非对称加密两种。入侵检测与加密技术,属于主动的防范的技术。
3.4电子商务安全协议技术。
SSL安全协议
Secure Sockets Layer安全协议,即“安全套接层协议”,用于提高应用程序间数据的安全性。在通信之前,通信的双方需要约定一种协议,从而在双方的计算机之间形成一个通道,这个通道只被通信的双方所拥有,可以避免被第三方窃取信息。
SET安全协议
Secure Electronic Transaction协议,即“安全电子交易”,是一种新的电子支付模式,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。
SET协议以其强大的验证功能,保证“用户、商家、银行之间通过信用卡交易产生的数据”能够“最大限度地降低了电子商务交易可能遭受的欺诈风险。”由于其优越的性能,目前猪价成为世界“公认的信用卡交易国际标准。”
4.其他非技术手段
4.1加强电子商务交易法律管理
应该重视法律的力量,不断完善电子商务交易的法律法规,规范电子商务的交易过程。通过法律来约束进行电子交易双方。同时给企图利用电子商务漏洞的不法分子敲响警钟。
4.2加强电子商务交易本身的管理
电子商务交易要有有效的管理制度,加强对用户、对信息、对设备、对软件、对密钥等的管理。
总之,电子商务交易的发展离不开安全的电子商务交易环节。而创作安全的电子商务环境要从技术与非技术两个方面入手,既要重视加密、检测、认证等技术手段的发展,又要重视电子商务交易法律法规的完善、电子商务交易自身管理的规范性。
进而不断促进电子商务交易的有效性、机密性及不可抵赖性。只有用户能放心的使用电子商务交易,才能彰显电子商务交易平台的优越性。
【参考文献】
[1]刘俊杰,闫宏生。电子商务安全技术浅析[J]。科技信息。2011(26)。
[2]杭 俊。电子商务安全问题浅析[J]。现代营销(学苑版)。2011(11)。
[3]甘悦。浅议电子商务信息安全体系的构建[J]。西北成人教育学报。2007(2)。
[4]李建设。电子商务中的安全技术研究[J]。株洲工学院学报。2005(01)。
电子商务安全论文 篇2
引言
在计算机网络被人们广泛所应用的前提下,运用计算机网络进行电子商务活动的人群也在日益增多。电子商务具有操作简单、成本较低的特点,可以带来较大的经济效益,但与此同时,电子商务也具体全球性与开放性的特点,所以为网络购物带来了较大的安全问题,由此可以得出,能否解决电子商务的安全问题是推动电子商务产业发展的决定性因素。
1 电子商务的安全现状
首先,病毒与木马的种类增加速度较快。在计算机网络的使用过程中可以发现,出现木马的几率较高。并且,网络中的病毒的类型也在日益增多,在此过程中,病毒的更新速度较快,所产生的破坏能力与日俱增,甚至许多木马就是病毒的衍生物。与此同时,我们所使用的杀毒软件也在不断地更新与完善,但在具体的应用过程中,仍然会出现难以消除病毒、木马的情况。许多病毒是用户在进行网页浏览或者下载软件过程中所携带,网络用户对此毫无知觉,为计算机带来了较为严重的后果。当病毒安装到计算机后,使得一些不法分子在电子商务的交易过程中利用病毒来进行网络诈骗与窃取等行为。
其次,网络病毒的传播方式产生了变化。通常,网络病毒会利用U盘或者移动硬盘等存储设备进行侵袭,计算机用户在不知情的情况下,将已经携带病毒的U盘或者移动硬盘与电脑连接,使得病毒侵入计算机网络,进行损坏与窃取。
最后,网络病毒对电子商务交易所造成的负面影响日益增加。当前,人们的生活越来越离不开计算机网络,人们会把一些重要的数据或信息输入电脑,如在进行网络交易时,银行卡等重要个人信息将会被计算机网络所记忆。由于病毒的入侵,一些计算机网络的用户的浏览器就会被恶意篡改,导致用户一些重要的数据及个人信息出现丢失或损坏的情况,对电子商务的有效运行有着严重的影响。并且,病毒的生存能力较强,破坏性较大,一旦感染上病毒,很难清除,将会为人们带了巨大的经济损失。
2 电子商务安全问题所产生的消极后果
在电子商务的具体使用过程中,网络安全隐患常常使得商业的机密出现外泄的可能,一方面,在具体的交易过程汇总,卖方或者买方之间所进行的交易的详细内容有可能被恶意第三方所盗取;另一方面,一些机密的文件信息在运用计算机网络进行传输的过程中,有可能会被恶意第三方所篡改或破坏,失去文件的真实性与完整性,使得电子商务的交易过程中会产生较大的经济损失。
在进行网络交易的过程中,买卖双方通过计算机网络来进行具体的交流,彼此之间毫不了解,彼此之间也未曾有过见面,通过网络来进行协商、确定与支付。而网络将可能出现的安全问题,容易使得交易双方的身份出现被伪造的可能性,导致诈骗行为出现的几率加大。
3 保障电子商务安全的有效对策
通过开展广泛的网络安全的宣传工作,提高公民的网络安全的意识。当前,人们在进行网络交易时,对于自我保护的意识较为薄弱,没有较强的防范意识,使得受到网络犯罪侵袭的可能性加大。所以,必须增强安全宣传的力度,使人们增强对于网络安全问题的防范意识,深刻认识到网络威胁所带来的严重后果,自觉地提高防范意识。
运用多种手段兼施的网络保护技术,来有效促进保障网络安全技术的创新与发展。当前,保障电子商务安全的技术有虚拟专用网络与防火墙等,通常人们会使用防火墙来保障网络的安全。通过建立保障外部网络与内部网络之间的安全屏障,来对一些未经授权的用户或者服务器进行有效抵制。在此过程中,需要相关的研究人员对防火墙的技术不断进行更新,以保证用户能够及时下载安装,从而保护计算机网络的安全,尽量减少病毒出现的可能性。一些企业运用虚拟专用网络与防火墙技术的兼施技术,来增强电子商务的安全性。
4 结语
随着信息技术的不断发展于创新,未来将会出现更多的影响电子商务安全的因素。因此,必须不断加强相关技术水平,以有效解决电子商务的安全问题,保障用户的利益,防止重要数据的破坏与丢失,保障电子商务行为的有序进行。
电子商务安全论文 篇3
【摘要】电子商务越来越深入我们的商务活动,电子支付系统是电子商务中最重要的环节之一,主要用来解决电子商务中的各交易实体(用户、商家、银行等)间资金流和信息流在Internet上即时传递及其安全性问题,电子商务安全问题的核心是电子交易的安全性,为了保障电子商务交易安全,人们开发了各种用于加强电子商务安全的协议。当前应用比较广泛的电子商务安全协议主要有安全套接层协议SSL和安全电子交易协议SET。文中对这两种主流协议进行了分析和比较。
关键词:电子商务安全协议,电子交易,SSL协议,SET协议
随着互联网日益普及,基于Internet的电子商务已经深入到人们生活的方方面面。安全是电子商务的基石,如何保证电子商务交易活动中信息的机密性、真实性、完整性、不可否认性和存取控制等是电子商务发展中迫切需要解决的问题。为了保障电子商务交易安全,人们开发了各种用于加强电子商务安全的协议。这些协议主要有:安全套接层协议SSL、安全电子交易协议SET、超文本传输协议SHTTP、3-D secure协议和安全电子邮件协议(PEM、S/MIME)等。这其中应用最为广泛的协议主要有SSL、SET。
安全电子交易协议(SET)和安全套接层协议(SSL)是两种重要的通信协议,每一种都提供了通过Internet进行支付的手段。事实上,SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处,而RSA在二者中也被用来实现不同的安全目标。
电子商务安全协议
1.安全套接层协议(SSL)
安全套接层协议(Secure Socket Layer,简称SSL)是美国网景公司(Netscape)推出的一种安全通信协议,SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输,其主要设计目标是在Internet环境下提供端到端的安全连接。它能使客户/服务器应用之间的通信不被攻击者。SSL协议建立在可靠的TCP传输控制协议之上。高层的应用层协议能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
2.安全电子交易协议(SET)
安全电子交易协议(SecureElectronicTransaction,简称SET)是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推出的电子交易行业规范,它提供了消费者、商家和银行之间的认证,确保交易的保密性、可靠性和不可否认性,保证在开放网络环境下使用信用卡进行在线购物的安全,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。SET本身并不是一个支付系统,而是一个安全协议集,SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易。SET较好地解决了信用卡在电子商务交易中的安全问题。SET已获得IETF(The Internet Engineer-ing Task Force,简称IETF)标准的认可。
SSL与SET协议比较分析
SSL和SET是当前在电子商务中应用最为广泛的安全协议,两者的差别主要体现在以下几个方面。
1.工作层次
SSL属于传输层的安全技术规范,不具备电子商务的商务性、协调性和集成性功能;而SET协议位于应用层,它规范了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性和集成性。
2.认证机制
早期的SSL协议并没有提供身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和WEB服务器之间的身份认证,但仍不能实现多方认证,而且SSL中只有商家服务器的认证是必须的,客户端认证则是可选的。SET协议使用数字证书来确认交易涉及的各方(包括商家、持卡人、受卡行和支付网关)的身份,为在线交易提供一个完整的可信赖的环境。SET协议要求所有参与交易活动的各方都必须使用数字证书,较好的解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
3.加密机制
SSL是基于传输层加密,它为高层提供了特定接口,使得应用方无须了解传输层情况;然而由于传输层属于较高层,常用软件实现,这在很大程度上削弱了加密处理能力,同时,地址信息由低层控制,这种加密无法免于被攻击者流量分析。SET的加图2 SET协议的工作原理密过程则不同于SSL,SET中广泛使用了数字信封等技术,并采用严密的系统约束来保证数据传输的安全性。
4.完整方面
SET协议将发送的所有报文加密后,将为之产生一个唯一的消息摘要,一旦有人企图篡改报文中包含的数据,该摘要就会改变,从而被检测到,这就保证了信息的完整性。SSL协议是使用秘密共享和哈希函数进行MAC计算来提供信息的完整性服务的,它可以确保SSL对话的通信内容在传递途中毫无改变地送达目的地。
5.安全程度
在网上交易,安全是关键问题。从网络信息传输安全角度看,只有确保信息在网上传输时的机密性、可鉴别性及信息完整性才真正安全。SET协议是专为电子商务系统设计的,它位于应用层,采用公钥机制、信息摘要和认证体系,其中认证中心(CA)就是该体系的重要执行者,认证体系十分完善,能实现多方认证。而SSL中也采用了采用公钥机制、信息摘要和MAC检测,可以提供信息保密性、完整性和一定程序的身份鉴别功能,但SSL不能提供完备的防抵赖功能。特别是SSL协议不能实现多方认证,从网上安全结算这一角度来看,显然SET比SSL针对性更强,更受客户青睐。
6.运行效率
SET协议非常复杂、庞大、运行速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程非常耗时;而SSL协议则简单很多,运行效率也比SET协议高。
7.部署成本
SSL协议已被大部分的浏览器和WEB服务器内置,无须安装专门软件;而SET协议中客户端要安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件,部署成本高。
结束语
相对于SSL协议而言,SET协议更为安全,更适合于消费者、商家和银行三方进行网上交易的国际安全标准。SET协议是专为电子商务系统设计的,它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者账户信息对商家来说是保密的。网上银行采用SET,确保交易各方身份的合法性和交易的不可否认性,使商家只能得到消费者的订购信息而银行只能获得有关支付信息,确保了交易数据的安全、完整和可靠,从而为人们提供了一个快捷、方便、安全的网上购物环境。因而SET是未来电子商务安全技术的发展方向。
参考文献
[1]何长领.电子商务交易[M].北京:人民邮电出版社,2001.
[2]梁晋,等.电子商务核心技术-安全电子交易协议的理论与设计[M].西安:西安电子科技大学出版社,2000.
[3]李琪.电子商务安全.重庆大学出版社,2004.
[4]李洪心.电子商务安全.东北财经大学出版社,2008,9.
[5]张爱菊.电子商务安全技术.清华大学出版社,2006,12.
[6]杨坚争.电子商务安全与支付技术.中国人民大学出版社,2006,9.
电子商务安全论文 篇4
摘要:随着科学技术的发展和时代的日新月异,我们的生活在不知不觉中发生了翻天覆地的变化,就连最基本的购物和消费都在默默变化着。近年来,随着亚马逊、阿里巴巴等电子商务如火如荼地闯入大众的视野,“电子商务”这个在十几年前闻所未闻的名词如今成为人们口中常谈的对象。在大众的口中,“电子商务”这个名词依旧略显陌生和专业,人们常常用“网购”和“网上支付”来代替“电子商务”,实际上说的是一回事。电子商务的出现,打破了空间的束缚,极大地方便了人们的购物行为,刺激了消费,一定程度上促进了经济的繁荣和增长。
关键词:电子商务;信息安全技术
一、电子商务发展存在的风险
第三方的电子交易平台在网络上对于信息进行储存、记录、处理、发布和传递,以此来协助一次网络消费行为的完成。一般情况下,这些信息都具有真实性和保密性,属于大众的隐私。但是,现在的网络环境比较恶劣,有很多网络陷阱以及刻意挖掘用户信息的“黑客”,从而导致基本信息出现失真、泄露和删除的危机,不利于正常电子商务交易的完成。对于电子商务信息大致上可以分为以下几类:第一,信息的真实性;第二,信息的实时性;第三,信息的安全性。首先,是信息的真实性。电子商务上的基本信息是卖家和买家进行认识对方和分辨商品真实性可靠性的唯一途径,应该绝对真实。一旦出现虚假信息,则属于欺骗消费者,是危害消费者权益的不法行为。其次,是信息的实时性。信息的实时性主要是指信息的保质期。因为很多信息只在一段时间内有效,具有时效性,一旦错过这段关键时期,那么该信息则失去自身的价值,变得一文不值。最后,就是信息的安全性,这也是消费者最为关心的问题。电子商务出现的安全性问题主要表现为客户的信息被删除、篡改从而失真,同时也表现为用户的信息被窃取从而达成其他目的,使得用户的隐私被侵犯,正常的生活受到打扰。
二、电子商务的信息安全技术的内容
2.1备份技术。相信备份技术对于大众来说不是很陌生。但是很多人却错误的将备份理解为拷贝,从而片面的看待这个问题。电子商务对于网络环境有很大的依赖性,网络环境自身却存在极大的不稳定性,这就导致电子商务的发展存在不可避免的风险,如果没有一个数据库对于基本信息进行存储,那么一旦出现系统故障或者误删的情况则信息永远消失,这对于商家来说是极其可怕的,因此,电子商务的第三方有一个信息储存库,旨在在必要的时刻段时间内将客户的信息及时恢复。这种恢复不是简单的、传统意义上的恢复,而是通过备份介质得以完成的。这样的话,在系统故障或者其他原因导致信息在短时间内无法正常恢复时,可以借助储存在备份介质中的信息将信息还原到原来的备份状态。
2.2认证技术。所谓认证技术其实一个专业术语,道理实际上很简单,就是我们常说的登录口令。认证技术的目的主要在于阻止不具有系统授权的用户进行非法的破坏计算机机密数据,是数据库系统为减少和避免各种破坏电子商务安全的重要策略。登陆口令是我们正常用户进行电子商务平台登录的方式,是大众在网络环境下的身份证。我们每一个用户在使用某一个电子商务平台之前都被要求进行注册,从而决定或者获得自己的登陆口令即用户名和密码。这些登录口令都是都是独一无二的,是我们进行网上交易的身份认证和识别。因为电子商务平台往往具有开放性,一旦没有身份认证后果将不堪设想。人们的信息安全更是没有任何保障。
2.3访问控制技术。访问控制技术也可以理解为访问等级制度,电子商务的系统会根据用户的不同等级对于用户对于系统数据的访问进行一定的控制。等级较低时,则用户的访问权限有限,一些重要的关键的信息则被系统禁止访问,只要当等级较高时才能获得相关权限,这就保证了一些重要信息不会被窃取。关于用户的访问权限也有两层含义,首先是用户能够获得数据库中的信息种类和数量,另一层含义则是指用户对于获取的数据库信息进行怎样的操作。
电子商务的便利性和优点远远大于其存在的信息安全技术风险给人们带来的不便,尽管信息安全技术问题层出不穷,但是大众们依然亲睐和依赖电子商务。但电子商务想要获得更广阔的发展空间,虏获更多人的心,则必须在信息安全技术问题上下一点功夫。其次,对于普通消费者来说,掌握一定的电子商务信息安全知识是十分必要的,它既能帮助我们在需要的时候解决自己原来束手无策的问题,更能让自身的网购行为变得更加安全,减少甚至避免了很多不必要麻烦的出现,因此,不管你从事任何行业,都需要对于电子商务的信息安全问题进行一定的了解。
电子商务安全论文 篇5
摘要:电子商务不仅改变了消费者的生活方式,同时也使得企业的交货方式和经营方式发生转变。但是电子商务与其他新生事物一样,既带来了巨大的机遇,也带来了许多不容忽视的风险,这些风险有待解决。电子商务风险管理成为电子商务发展的重要任务,因此要解决好电子商务的安全风险问题,针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法。
关键词:电子商务 风险管理 解决方法
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大地改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台——互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
1.电子商务的内涵
1.1内涵
电子商务一词源于英文 Electronic Commerce或 Electronic Business,现已经成为当代社会的潮流,其含义有两个内容,其一,电子方式,其二,商贸活动,即整个商务过程的电子化、网络化和数字化,交易双方可以便捷却并不面对面地进行各种商贸活动,利用这种快速、低成本的电子通讯方式,它将覆盖与商务活动有关的方方面面。
针对人们对这个热词理解的不同,电子商务有广义和狭义之分。广义上说,电子商务是指利用一切电子方式所从事的贸易活动。电子方式指的是电子技术设备、电子技术工具及系统,包括早期的电报、电视、电话、传真、Email、广播、电子计算机、电信网络和当今的电子货币、信用卡、网银盾、信息基础设施及互联网等现代通信网络系统。贸易活动则指的是一系列市场经济活动,包括信息发布、询价报价、洽谈、签约、结算支付、商业交易、国内外贸易等等。由于信息技术快速发展和计算机网络的普及使电子商务得到广泛地运用,从狭义上讲,电子商务则是利用计算机网络进行的商务活动。
1.2分类
目前,电子商务按交易内容基本分为直接电子商务和间接电子商务两大类型。直接电子商务是指商家将服务产品和无形商品内容数字化,不需要某种特定物质形式的包装,直接在网上以电子形式传送给消费者,通过互联网或专用网直接实现交易。间接电子商务又称不完全的电子商务,指在网上进行的交易环节只能是订货、支付和部分的售后服务,而商品的配送还需依靠送货的运输系统等外部要素,即由专业的服务机构或现代物流配送公司去完成。
2.电子商务面临的安全风险
2.1互联网络的开放化带来的数据破坏风险
电子商务是以互联网络为平台的贸易新模式,它的一个最大特点是强调参加交易的各方和所合作的伙伴都要通过Internet密切结合起来,共同从事在阿络环境下的商业电子化应用。在电子商务环境下商务交易必须通过互联网络来进行,而互联网体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播。容易受到计算机病毒、黑客的攻击,商业信息和数据易于搭截侦听、口令试探和窃取,给企业的数据信息安全带来极大威胁,如遭破坏或泄密,将会给电子企业、商户造成巨大的损失。
2.2系统软件安全漏洞带来的风险
由于现阶段广泛应用的主流操作系统和数据库管理系统是从国外引进直接使用的产品。核心技术还是使用引进的版本。这些系统安全性存在系统漏洞等不少危及信息安全的问题。系统软件安全漏洞带来的风险主要来自操作系统软件和数据库管理系统软件的安全漏洞。没有作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。
2.3来自社会的外来入侵风险
电子商务容易被来自社会上的不法分子通过互联网络非法入侵,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏,是一种社会道德风险。黑客通过闯入他人计算机系统进行破坏,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录。设置后门,给电子商务系统带来灾难性的后果。而计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,以致使计算机的硬件失灵,软件瘫痪。数据破坏,系统崩溃,给企业和商户造成无法挽回的巨大损失。
2.4电子商务本身内部监管漏洞带来的风险
电子商务本身如果缺乏约束机制,责权不明,管理混乱、安全管理制度不健全等是引起电子商务系统安全风险的头号风险根源。如果没有严格的可操作性的内部管理制度,容易造成当系统出现攻击行为或受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警,而且,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对系统的可控性与可审查性。
3.电子商务交易运行的风险
3.1信用风险
传统商务交易一般使用以纸为介质形式的手写签名或证明文件等方式来证明或确认商务的交易,应该说比较容易辨认真伪,操作显得比较容易。而在基于互联网络为交易平台的电子商务形式下,参与商业交易均在互联网上进行,双方并不存在与传统商业模式的见面、磋商、谈判、监证、签署文件等问题,这就需要通过一定的技术手段相互认证,如数据加密技术、数字签名、数字证书等技术来保证电子商务交易的安全。在电子商务环境下,由于电子报表、电子文件、电子合同等无纸介质的使用,无法使用传统的签字方式,从而在辨别真伪上存在新的风险,电子商务的成功与否取决于消费者对网上交易的信任程度,电子商务的信任风险实质是由网络交易的虚拟化造成的,首先是买方信用风险。在网络中个人可以任意伪造信息,可以伪造假信用卡骗取卖方商品。从而给卖方带来风险。然后是卖方信用风险,由于信息不对称的原因消费者不可能全部掌握商家商品信息。卖方商品信息不完全、不准确或商家过分诱导消费者从而误导消费者购买行为;另外,卖家单方面毁约。不履行交易,也会对买方造成损失。所以电子商务应用过程中遇到的信用风险问题,是值得关注的问题。
3.2法律风险
电子商务在交易过程中存在法律风险,由于电子商务是在网络间进行的,电子商务交易可以看作是无纸贸易,是一个虚拟环境的交易,当前对这些虚拟交易的法律监管却并不完善,这些问题使得电子商务认证、交易会有不受法律保护的风险。另外,电子商务贸易还存在知识产权的风险,网络是个开放的平台,资源在网络中的传播是畅通的。在网络中资源的共享性使得有知识产权的资源受保护的力度被降低,因此可能带来电子商务交易的知识产权纠纷等法律的风险问题。
3.3电子商务风险管理
电子商务安全的风险管理(Risk Management)是对电子商务系统的安全风险进行识别、衡量、分析,并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。其本质就是防患于未然:事前加以消减和控制,事后积极响应和处理,为响应和处理所做的准备就是制订应急计划。
4.风险管理步骤
了解了电子商务存在的风险之后,需要对这些风险进行管理和控制。具体包括风险识别、风险分析、风险应对和风险监控4个过程。选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全运作的经济保障。这就要求企业在日常经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及日常经营造成的消极影响,使企业能够顺利经营。
4.1 风险识别
对电子商务系统的安全而言,风险识别的目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。识别风险的方法有很多,主要有:试验数据和结果、专家调查法、事件树分析法。电子商务风险识别最常用的一种方法就是收集各种曾经发生过的电子商务攻击事件(不仅局限于本企业),经过分析提取出若干特征,将其存储到“风险”库,作为识别潜在风险的参考。
4.2风险分析
风险分析的目的是确定每种风险对企业影响的大小,一般是对已经识别出来的电子商务风险进行量化估计。这里量化的概念主要指风险影响指标,风险概率以及风险值。技术安全是电子商务实现的基础,其重要性不言而喻,因此在该项目规划、计划阶段就应充分考虑。
4.3 风险应对(风险控制)
根据风险性质和企业对风险的承受能力制订相应的防范计划,即风险应对。确定风险的应对策略后,就可编制风险应对计划。电子商务的技术风险控制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略,从硬件、软件两方面加强IT基础设施建设。
4.4风险监控
制定规划,实施保护措施,在保护措施实施的每一个阶段都要进行监控和跟踪。风险贯穿于电子商务项目的整个生命周期中,因而风险管理是个动态的、连续的过程。因此制订了风险防范计划后,还需要时刻监督风险的发展与变化情况。
5.风险管理规则的制定
5.1评估阶段
该阶段的主耍任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
5.2开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉 及配置管理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
5.3运行阶段
运行阶段的主耍任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个 过程由系统管理、安全管理和网络管理小组来共同实施。
6.风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
6.1缩短电子商务项目周期,增加更多的项目选择
减轻电子商务风险的一个最简单的方法就是缩短电子商务项目周期,因为电子商务所面临的外界环境,如技术环境,竞争环境等变化太快,如果电子商务项目过大,即使你的项目本身成功了,但由于环境的改变,这个成功的电子商务项目未必能给企业带来原先设想的利益。
6.2自上而下的风险意识
很多的企业认为,电子商务项目是个技术项目,只需要相关的技术部门参与就可以了。有调查显示,大多数企业在进行电子商务化的过程中,缺乏高级管理层的重视,这也是电子商务项目成功率不高的原因。而对于成功的电子商务企业,往往在进行电子商务项目时,不仅受到企业决策层的高度关注,而且普通的员工也都非常清楚电子商务化的目标,这样自上而下的对于电子商务知识的了解,也是这些公司成功运作电子商务的原因之一。所以对于将要从事电子商务的企业,不仅要让全体员工了解电子商务的知识,而且要了解电子商务的风险,要形成一个自上而下的全员参与、全员重视的风险意识。
6.3改变企业内部运作流程
现在仍有很多企业认为电子商务无非就是建一个网站,所以这些企业在从事电子商务时,往往会遭遇失败。电子商务给企业提供很好的机会改变其内部和外部商业运作流程,如果企业不改变其商业运作流程,而直接进入电子商务,不仅企业对电子商务的投资会失败而且会影响到整个企业的声誉。所以在企业加入电子商务行业前,一定要改造自己内部的运作流程,使之适应电子商务的要求。实行电子商务的商户,在内部管理制度上应健全相应的规章制度,例如:制定制度来规范和约束员工的行为,根据其工作的重要程度,确定该系统的安全等级。制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;制订完备的系统维护制度,对系统进行维护时。应采取数据保护措施。如数据备份等。另外制定人员激励机制也很重要,应建立人员雇用和解聘制度。及时对工作人员进行评价,制定奖惩制度,调动工作人员的工作责任感和积极性。
6.4滚动的战略计划
电子商务时代的不确定性和快速变化,使得详细的战略经营计划的作用越来越小。我们现在经常看到的是,电子商务企业有一个明确的五年计划,其中第一年计划较详细,而其他年份则是较粗略的,因为在这些计划实施的时间到来之前,环境可能已经发生变化了。这说明了确保五年目标具有相关性的滚动计划的十分必要的,应当定期修改计划来适应变化了的环境。当然,这种方法的实施也应具体问题具体分析,应当考虑各个企业所面临的具体环境而有所不同。
6.5降低成本与实现可持续发展
电子商务的发展是大势所趋,但电子商务在给企业带来机遇的同时也产生了新的风险。正如在所有的风险管理当中一样,我们考虑的是未来事件出现的不确定性和可能性;在电子商务中,这种不确定性甚至更大,这使得电子商务风险管理成为一项相当繁重的工作。因此要解决好电子商务的安全风险问题,应该针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法,这对加快我国电子商务的发展有着重要的意义。
6.6加强技术保证,确保电子商务信息的安全
针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是要针对互联网体系使用的是开放式的TCP/IP协议,给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安全,才能保证其运行安全,这就需要有强大的技术安全保障措施,不但要制定完善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术保障。
6.6.1加强电子商务网络安全的开发及运用
目前电子商务的运作涉及信息、资金、商业秘密等安全问题,由于其电子数据具有无形化的特征,而有关认证机制或者网上安全技术均不够完善,因此有必要对互联网进行本质上的重新设计,使其保证电子商务活动的正常进行,这涉及到多方面的技术应用,如防木马、防火墙、加密、认证等。面对电子商务网络安全威胁,必须采取各种各样的管理措施,满足商务交易运行的安全性。
6.6.2建立电子商务的信用保障体系
电子商务交易模式与其他交易模式相比具有更多的风险,然而引起这些风险的原因还在于带来这些风险的人的失信行为。消除这些风险的,需要一个第三方信用服务认证机构通过技术手段来帮助参与电子商务交易的各方提出解决方案,使风险降至最低。
6.6.3完善电子商务税收征管机制
首先,出台相应法律法规,扶持电子商务。我国应出台相关的法律法规,鼓励与扶持国内企业利用电子商务,并应坚持税收中性原则,使企业对市场行为和贸易方式的选择不受征税影响。其次,借助计算机网络,加快税收征管改革。现在,电子商务发展迅速,交易的无纸化使得税务机关必须改革以传统的以纸质凭据作为纳税依据的征管制度,以便税务机关稽查,做到税收无纸化,提高效率,从而适应电子商务发展的要求。最后,加强与银行等中介机构的信息确认,获取真实可靠的征管信息。税务机关应同银行等中介机构合作,通过联网获取企业在电子商务平台中交易的相关信息,对企业的资金流向实施有效监控,防止企业偷逃税。
6.7加强复合型人才的培养
实现电子商务环境是当今全球经济一体化、信息化时代的一种发展趋势,重视复合型人才的培养是电子商务成功与否的决定因素。所谓电子商务的复合型人才是指要求电子商务管理人员既要有计算机知识,还要有管理理论和商务、金融、法律等知识。对电子商务管理人员进行培训,通过学习现代电子网络技术,将经济、金融、法律、网络有机地结合。对商务交易、金融活动的网络化、数字化有比较深刻的认识,加深对电子商务环境下的风险认识和防范。从而提高员工适应电子商务的工作能力和创新能力,更好地开展电子商务这一新兴的贸易模式。
结论
电子商务的开展以信息技术为基础,如何解决电子商务中存在的安全问题已成为一个迫在眉睫的课题。电子商务风险是不可能完全消除的,因为它是与电子商务共生的,是电子商务的必然产物,但是,可以将风险限制在影响最小的范围之内。只有了解风险,才能规避风险。本文从安全风险管理的角度出发,分析了电子商务中可能存在的技术风险,论述了这些风险的控制策略,希望对企业开展电子商务活动起到一定的积极作用电子商务作为一种新的交易方式,已成为我国经贸发展领域的主流力量,并将成为国际经贸合作的主要平台。然而电子商务所存在的或将出现的风险问题是不可能完全消除的,它是伴随电子商务的产生而出现的必然产物。由于电子商务风险在不同的应用领域所产生的危害程度各不相同,所以电子商务风险管理的目标是将其存在的风险所造成的影响尽可能控制最小的范围之内。此外,无论是再好的安全措施也要有应对突发的安全问题的应急方案。最重要的是政府必须尽快制定并完善相关政策,适应高速发展的电子商务进程,确保电子商务交易的安全、透明、高效。
参考文献
[1]调查报告编委会.1997-2009:中国电子商务十二年调查报告[EB/OL].http://www.b2b.toocle.com,2009-10-12.
[2]贾建华,阚宏.国际贸易理论与实务[M].修订第四版.北京:首都经济贸易大学出版社,2004:143-147.
[3]邱新泉.电子商务风险与对策研究.信息技术,155-156
[3] 刘伟江,王勇。电子商务风险及控制策略[J].东北师范大学学报:哲学社会科学版,2005,(11)。
[5] 高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报. 信息与管理工程版.2005.8
[6] 郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7 [7] 李晶.电子商务安全防范措施.安徽科技.2003.4
[7]彭连刚. 电子商务及其安全问题探析. 长沙航空职业技术学院学报 , 2005, (02)
[8]专业文献资料http://wenku.baidu.com/view/4b48f37ca26925c52cc5bffd.html
[9]杜宏. 电子商务安全风险研究 内蒙古科技与经济,2004,(01)
[10]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5
电子商务安全论文 篇6
1电子商务安全威胁与需求
1.1主要安全威胁
电子商务建设主要面临着账户安全威胁、交易安全威胁、基础网络威胁、业务连续性威胁。
(1)账户安全威胁。账户安全是电子商务信息安全的基础,账户安全威胁主要来源于账户被盗与垃圾注册。
(2)交易安全威胁。现阶段在电子商务交易过程中发生的安全威胁主要包括恶意评价、交易欺诈、不良信息发布。
(3)基础网络威胁。电子商务是构建在互联网上的交易平台,同样面临着DDoS、端口扫描、密码暴力破解、网站后门等安全威胁。
(4)业务连续性威胁。在电子商务领域主要面临着特有的业务高弹性变化威胁,因为业务发展过快或网上促销活动等原因,电子商务企业会面临着大量客户访问超出现有系统设计容量的局面,而中小企业受限于资金规模导致其无力建设后备系统用于满足无法预测的业务访问量,最终影响电子商务网站对外提供服务的连续性。
1.2安全需求
电子商务信息安全建设的需求主要来自于业务连续性、保护账户和交易信息安全、电子商务网站自身的安全性。
(1)业务连续性是电子商务业务的第一要素,应采用防DDoS技术、系统弹性扩容技术来保障电子商务对外业务的连续性。
(2)使用公共网络的电子商务账户信息和在线交易中的信息宜受保护,应采用加密技术、黑名单、防钓鱼、数字签名技术来防止欺诈活动,保证账户和交易信息安全。
(3)电子商务网站自身的安全性宜受保护,应采取检测网站漏洞、挂马、端口安全、网站后门等安全手段,防密码暴力破解及管理员异地登录预警等技术来保障系统的安全性。
2电子商务信息安全的关键标准研制
针对目前电子商务信息安全技术、管理、业务应用等领域工作存在的界定不清、内容不全、深度不统一等问题,通过技术标准、管理标准进行规范统一变得尤为重要。结合电子商务实际情况,在电子商务信息技术、业务应用、安全管理等方面标准研究的基础上,主要进行以下标准研究。
2.1电子商务信息安全技术标准
确立电子商务信息安全保障总体架构,为电子商务所涉及的信息安全技术、信息业务应用安全、信息安全管理等方面安全要求的实施提供指导。从需求分析、方案设计、安全评估、运行等方面对信息安全建设实施给予指导。
2.1.1业务应用安全业务应用安全是指在物理安全、网络安全等安全环境的支持下,实现业务应用的安全目标,主要涉及到服务器端与客户端相应的安全服务。
(1)服务器端的交易服务、数据服务、Web服务、文件服务等部件及其安全方面的属性要求。交易服务及其安全属性要求,为了使电子交易安全可靠,必须建立一个安全、便捷的电子商务应用环境,保证整个电子商务交易活动中信息的安全性、匿名性和完整性,交易信息服务提供了安全、可靠的电子交易在线/离线运算。数据服务及其安全属性要求,局域网中的一台或多台计算机及其数据库管理系统软件共同构成了数据库服务,数据库服务为客户应用提供服务。这些服务是查询、更新、事务管理、索引、高速缓存、查询优化、安全及多用户存取控制等。通过传输层和应用层安全协议、电子签名、标识与鉴别、密码技术、抗抵赖、内容安全、访问控制和PKI等实现安全防护。Web服务及其安全属性要求,Web服务主要功能是提供信息传输与交换服务。主要解决网络通信和信息交换过程中的访问控制、实体鉴别以及传输过程中的信息机密性、完整性问题。文件服务及其安全属性要求,在计算机网络中,以文件数据共享为目标,需要将多台计算机共享的文件存放于一台计算机中。这台计算机被称为文件服务器,文件服务器具有分时系统管理的全部功能,能够对全网统一管理,能够提供网络用户访问文件、目录的并发控制和安全保密措施。
(2)客户端的应用程序模型分类和安全方面的属性要求。客户端的应用程序模型大致分为两种:C/S(客户端/服务器模型)和B/S(浏览器/服务器模型)。客户端的安全性主要是指应用层次的安全性,主要通过用户权限、角色分配来实现。对于客户端应用程序来说,通常需要通过公共密钥基础设施(PKI)为应用提供可靠的安全服务。
2.1.2信息安全建设实施电子商务信息安全建设流程可划分为6个阶段:风险评估、需求分析、方案设计、测试、系统安装调试、正式运行等。
(1)风险评估。运用风险评估方法计算企业整体的资产价值、弱点、威胁发生的几率及可能造成的影响等。评估时应考虑下面的因素:①信息安全可能造成的商业损失,并把损失的潜在后果也考虑进来。②在极为普遍的危害和采取的相应措施的作用下,故障实际发生的可能性。
(2)需求分析。在项目的计划阶段,项目需求部门应与项目建设部门共同讨论信息系统的安全需求,明确重要的安全需求点,安全需求分析应该作为项目需求分析报告的组成部分。①项目需求部门与项目建设部门应对系统进行风险分析,考虑业务处理流程中的技术控制要求、业务系统及其相关在线系统运行过程中的安全控制要求,在满足相关法律、法规、技术规范和标准等的约束下,确定系统的安全需求。②对系统安全应遵循适度保护的原则,需在满足以下基本要求的前提下,实施与业务安全等级相符合的安全机制:通过必要的技术手段建立适当的安全管控机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、篡改和复制。实施必要的数据备份和恢复控制。实施有效的用户和密码管理,能对不同级别的用户进行有限授权,防止非法用户的侵入和破坏。③系统的安全需求及其分析需经过项目组内部充分讨论,项目需求方和项目建设方应对安全需求及其分析的理解达成一致。
(3)方案设计。项目建设部门应根据确定的安全需求设计系统安全技术方案,应满足以下要求:系统安全技术方案要满足所有安全需求,并符合公安部、工信部和主管部门的法规和标准要求。系统安全技术方案应至少包括网络安全设计、操作系统和数据库安全、应用软件安全设计等部分。系统安全技术方案涉及采用的安全产品,应符合国家有关法律法规。
(4)测试。①信息系统安全功能测试在信息系统测试阶段,应根据信息系统安全功能需求进行测试,确保所有设计的安全功能均能得到落实和实现。在测试报告或相关文档中应明确说明检查列表中各项安全功能的落实和实现情况。②测试过程的安全管理在信息系统开发测试过程中,对于来自业务系统的数据要根据相关规定进行变形处理,禁止在开发或测试环境中直接使用生产系统的密钥和用户密码等重要数据。测试环境要依据相关规定进行合适的管理和安全防护,并通过相应的手段确保与生产系统、开发系统隔离。
(5)系统安装调试。在信息系统安装部署时,应采取相应措施确保系统安全功能的实现,对操作系统、数据库、应用系统等软件的安装部署和配置应该符合相应的安全规范和标准。信息系统投产前应进行安全评估或审查,通过审查系统设计文档中的安全功能设计、系统测试文档中的安全功能测试,确保系统本身安全功能的实现。通过审核系统安装与配置过程或文档,确保系统安全配置的落实与实现。
(6)正式运行。系统投入正式运行后,需清除系统中各种临时数据,进行管理权交接,开发方不得随意更改安全策略和系统配置。
2.2电子商务平台安全管理标准
通过总结现有电子商务交易过程中遇到的安全问题,经过提炼和深化,系统规定电子商务交易平台安全管理类型,如用户安全管理、交易安全管理、信息安全管理、管理安全规范等的系统规定。
(1)用户安全管理:主要对电商企业账户体系的安全和用户信息的安全管理进行规范;对用户注册、用户信息的使用、用户隐私保护、用户发布信息的管理提供保护措施。
(2)交易安全管理:主要对电商企业在交易过程中遇到的如商品质量问题、物流安全问题、交易欺诈问题、评价体系等进行规定;以保障消费者权益,建立健全的网上交易信誉体系。
(3)信息安全管理:重点对电商企业在信息的发布、传输、管理、存储、控制等进行规定。
(4)管理安全规范:重点对电商企业在安全管理中的人员配备、工作流设置、管理制度上做规定。
电子商务安全论文 篇7
一、密码设置
密码是一个人的私有信息,通过设置密码可以在一定程度上保证信息的安全性。在电子商务中会涉及到的银行账号的安全、交易信息的安全,都可以通过设置不同类型的密码来保护。在设置密码时可以设置不同的密码,增加所设密码的难度,定期修改密码,以及登陆密码和手机绑定密码等多种途径来保护账号的安全。有很大一部分人喜欢用同样的密码,这是一种不好的习惯。可能有人会说:“如果不设置相同的密码就记不住。”在这种情况下可以采取多种加密形式来保证账户安全。现在为了解决安全问题,不同的机构,包括电子商务公司、各大银行都推出许多加密设备,我们可以选用。
二、数字签名
在网络环境中,网络安全的最基本要求就是通信信息的真实和不可否认性,它要求通信双方能互相证实,以防止第三者假冒通信的一方窃取、伪造信息。在网络中实现通信真实性的方法是数字签名(DigitalSignature)。我们在教学过程中让学生能掌握的是正确使用自己的数字签名,学生走上社会做的不是科学研究,是应用型电子商务,主要包括银行账号的安全、交易账号的安全,可以使用不同的认证方法保证信息安全,数字签名就是一种很好的方法。例如,作为商业机构可以选择一家公信度较强、通过国际认证的CA认证中心,CA认证中心会对于你每次交易中数字签名进行处理,证明交易中的身份,保证签名的不可否认性,加快交易速度,节省交易时间。
三、不轻易打开网站链接
在日常店铺管理中,交易身份的假冒和网站的假冒时有发生,为了防范这种骗局,我们要做的就是不打开不信任的网站,不打开别人发来的链接。现在有一些骗子不仅是把自己伪装成购物网站去骗买家,从而盗取买家的账号、密码。也有一些骗子专门去搜索一些新开的网店去欺骗卖家,一是因为新卖家经验不足防骗知识薄弱,二是新卖家急于让店铺发生买卖,因此在交易时当这些不法分子告诉卖家自己进行的交易出现问题而发送链接时,卖家没有仔细查看确认交易就贸然打开了链接,给店铺造成了损失。
四、防火墙设置
近年来,作为保护计算机系统网络安全的重要措施,防火墙技术正日趋成熟。对于一些与防火墙相冲突的软件,需要关闭防火墙,有时网络安全有问题时,又需要启用防火墙。我们作为专业电子商务人员,要会对自己的电脑进行防火墙设置,设置时可以通过电脑的“控制面板”找到“防火墙”,打开“防火墙”自行设置。防火墙应该一直都处于打开的状态。
五、计算机病毒防范
电子商务强调企业与商家通过网络进行实时交流,安全防护的一点疏漏就可能使计算机病毒扩散到整个企业的网络,可能感染客户的计算机。因此应对计算机病毒进行防范。要想安全、可靠地防杀病毒,至少应该进行如下的工作:选择好的防杀病毒软件保护工作站、服务器;定期进行文件备份工作;定期对网络进行病毒扫描,异常检测;尽量多用无盘工作站;对远程工作站的登陆权限实施严格控制,尽量少用超级用户登录;定期更新病毒库;对网络设备的安全隔离。
总之,随着电子商务的发展,电子商务安全涉及到很多方面的问题,电子商务的不断发展也会不断的带来新的问题,要解决好电子商务中的安全问题,必须要重视安全问题,加强安全意识,做好预防,加强电子商务安全立法和提高各方面人员的素质,也有助于保障电子商务的安全。
电子商务安全论文 篇8
【文章摘要】随着科技的进步,智能手机的普及,移动电子商务应用越来越普及。
但是随着移动电子商务的蓬勃发
展,在实际应用中,由于是处于移动通讯的状态,更加之移动端的手机或平板电脑的特点使移动电子商务具有自身特别的安全风险,同时需要我们针对移动安全风险给出针对性的安全技术。本文结合移动电子商务特点,分析其面临的风险,并分析应用在移动电子商务中的主要安全技术。
【关键词】移动电子商务;网络安全
社会发展科技进步,网络和信息技术极大的改变着人们的生活方式,而人们的生活方式又对信息技术和网络技术的发展提供了方向和前进的动力,随着iOS系统和Android系统在移动端的成功,Win8的兴起,全世界范围内的移动端操作系统逐步普及,随着市场的膨胀和ARM和Intel等芯片商的技术投入,移动端的手机或平板电脑计算能力越来越强大。这为电子商务转移到移动端提供了坚实的基础,同时随着各种针对移动端电子商务安全技术的进步,国内外大型电商(淘宝、亚马逊、京东)、银行(中农工建等)、证券(招商证券、中信证券等)、保险(平安、太平洋等)等企业纷纷推出自己的移动电子商务平台。这些软件硬件的普及更是助推了移动电子商务的发展,将移动电子商务的发展推入了快车道。但是随着移动电子商务的蓬勃发展,在实际应用中,由于是处于移动通讯的状态,更加之移动端的手机或平板电脑的特点使移动电子商务具有自身特别的安全风险,同时需要我们针对移动安全风险给出针对性的安全技术。本文结合移动电子商务特点,分析其面临的风险,并分析应用在移动电子商务中的主要安全技术。
1移动电子商务的特点
1.1移动性移动电子商务
最大的特点也可以说是最大的优点就是其是移动接入的,让用户可以随时随地的进行网络访问和网络商务活动。
1.2天然的身份认定和私密性
由于手机或者平板电脑在移动端接入网络时候使用的是电信服务商提供的SIM卡,每张SIM卡都是全球唯一的,以SIM卡可以识别用户信息,在SIM2.0中还可以在SIM卡的IC芯片中还可以对用户信息,银行帐号、CA证书等进行绑定,更进一步的应用还可以写入公钥、算法等加密解密措施。SIM卡可以看作是用户随身携带的一个网络钥匙,同时SIM卡用于手机专人专用的特性也赋予了用户的私密性。
1.3多重移动支付手段
移动的电子商务不仅可以以intel网为基础还可以做到以实体电子钱包的形式出现,在基于NFC进场通讯、短信、二维码支付等方便快捷的多种支付手段的基础可以实现日常生活中的微支付、远程支付、面对面支付等。极大的满足了人们对于资金的管理和电子商务的便捷性
2移动电子商务的网络风险特点
移动电子商务是网络电子商务的延续,其面对的风险除了电子商务中共有的网络安全风险、病毒木马等问题外,还主要存在无线通讯网络风险和SIM卡丢失或被复制的风险。其中无线通讯网络又可分为以SIM卡为基础的通讯网络接入和以WIFI为基础的无线路由器接入。在无线通讯过程中的信道是开放传送的,可以被轻松的窃取(2.5GHz,5GHz)。在基于wifi连接的无线路由器连接中,可能存在被监听或盗取无线路由器管理密码进而导致数据加密被盗取等风险。
同时SIM卡虽然能够作为身份认证存在,但是存在着随手机被盗、被复制的风险。在基于SIM卡被盗或被复制后可能存在身份信息被冒用,银行账号被盗用等问题。
3移动电子商务的安全技术
3.1生物识别技术
随着移动端手机、平板电脑的硬件发展和软件进步,有些手机或平板已经实现了生物识别,如iphone5S/C基于摄像头的指纹识别技术、微软的基于摄像头的人脸识别技术、以及常用的手势加密等方式以最简单快捷的形式完成身份识别。在移动端计算能力不断提升、摄像头的普及的前提下,已经有很多iOS和Android的应用软件能够在不增加硬件设施的情况下实现指纹识别,这类技术的使用能够极大的提高移动设备的私密性和抗破解能力。做到了即使丢失也很难被破解。
3.2WEP2协议
在RSA公钥加密技术上发展而来的有线等效保密(WEP,WiredEquivalentPrivacy)是第一代的移动安全技术,而后针对WEP的缺陷发明了WPA技术,在WPA技术的基础上进一步优化算法做出了WPA2技术,目前WPA2技术是无线网络加密的最高等级,用计数器模式密码块链消息完整码协议(CCMP、CounterCBC-MACProtocol)算法和高级加密标准(AdvancedEncryptionStandard,AES)算法。但是近年来由日本学者破解了该套算法的较简单密码,不过随着硬件技术的提升,完全可以采用设置更复杂密码加关闭WPS/QSS的方式提高安全性,至少在目前来说是无限无线的最高安全技术
3.3WPKI管理系统
无线公开密钥体系WPK(IwirelessPublicKeyInfrastructure)是PK(IPublicKeyInfrastructure)技术的升级,是PKI技术的无线版,针对无线连接的特点重新设置了算法。PKI系统即公钥体系,是利用非对称加密理论提供的公钥管理系统共,是一种信息安全服务的基础第三方机构。
具体来说是集中管理和认证交易双方的公钥,与交易双方取得联系后,交换双方的公钥系统,然后交易双方再以用公钥对信息加密,再以自己的私钥解密对方发来的信息。
WPKI是PKI的无线版,针对PKI系统进行了优化,最大的进步是采用椭圆曲线加密(ECC,EllipticCurvesCryptography)和压缩的X.509数字证书,这种改进非常重要,因为移动端设备的计算能力参差不齐,总体来看比计算机的运算能力差很多。PKI系统用的RSA算法计算量很大,而WPKI的ECC技术在同等密码强度下,密码长度要比前者小9倍,这样移动端的计算解密计算量会小很多,能够在保证安全性的`同时大幅度降低计算时间。
3.4CA认证
CA系统是结合WPKI系统使用的第三方证书管理系统,CA总体来说是一种公钥及CA签名的管理机构,为交易的双方提供证书认证,这种证书中含有交易双方的基本资料、加密的数字签名、公钥信息以及CA自身的数字签名。为交易的双方提供身份验证同时赋予移动电子商务交易的不可否认性。
【参考文献】
[1].舒虹,移动电子商务安全问题及其应对策略.贵阳学院学报(自然科学版),2009(04).
[2].韩景灵,移动电子商务安全问题探析.电脑知识与技术,2010(01).
电子商务安全论文 篇9
1影响电子商务交易的网络信息安全要素
通过对影响电子商务交易的网络信息安全要素进行分析和研究,能够对电子商务的网络信息安全问题进行有效解决和保障。下文对网络信息安全的几方面要素进行分析。
1.1电子商务交易系统的可靠性
确保电子商务系统的可靠性主要是为了通过一定的控制及预防措施对其系统安全性进行保证,以防出现计算机瘫痪、硬件故障、软件失效及信息传输错误等现象的发生。电子商务系统的可靠性及安全性对其传输、存储的信息数据有着十分重要的保证作用,同时对系统的完整性也能够起到监测作用,利用网络安全技术能够有效提高电子商务系统的可靠性。
1.2电子商务交易中的信息真实性
在电子商务交易过程中,交易双方的身份信息安全性及真实性必须得到保证,即交易双方必须是实际存在的。由于电子商务交易模式的特殊性,使得交易双方能够不同时出现在同地点就能够通过网络进行交易,因此在交易前必须先确定双方建立起信任的关系,并对身份可靠性进行确认。在电子商务交易过程中供应商在履行约定后是否能准时收到货款,而采购方在交付货款后收到的货物质量等问题是否与约定的内容相符,这两方面的问题对电子商务交易中的信息真实性提出了很高的要求。
1.3电子商务交易中的数据安全性
在电子商务交易过程中所传输的数据信息,其安全性必须得到保证。信息若被泄露给未授权方会直接导致经济等方面的损失。电子商务这种新型的交易方式,其交易信息能够直接反映出个人、公司或机构等的商业机密。因此,保证传输数据不被非法窃取是其交易过程中的关键问题之一。
1.4电子商务交易中信息的完整性
在交易过程中通过网络产生的数据信息完成性须得到保证,并且不能被随意篡改。相较于传统的交易方式,电子商务的交易过程具有较大的简便性,相对简化的交易程序对人为干扰因素进行了有效避免。但是,在其交易信息的传输过程中常常存在数据丢失、交易方欺诈行为等现象,导致最终交易双方确认的信息不一致。因此,保证资料信息的完整性作为电子商务交易的基础必须进行提高。
1.5电子商务交易的不可否认性
相较于传统交易方式通过实际签字或盖章的形式对交易信息进行确认,在电子商务交易过程中,交易双方需要以一种特定的形式对信息进行确认,并且承认信息的发送或者接受,不能随意抵赖。这就要求电子商务交易中对交易双方的信息交换通过利用无法复制、具有特点的信息对交易进行确认和保证。
2网络信息安全对电子商务交易产生影响的主要问题
随着计算机信息技术的广泛使用,电子商务通过对其技术进行应用使得自身发展得到促进,同时其便捷性得到了人们的高度认可。电子商务的未来发展空间十分可观。同时,其交易信息的安全性引起了人们的重视。在网络信息安全技术的基础上,电子商务通过利用互联网信息的开放性特点,实现了不同地域的线上交易形式及其他商业活动的交易全部过程。电子商务这一新型交易模式成为了新时期全球的经济热点。由于其交易过程的开放性特征,以及其交易的全球性、共享性及发展动态性的特点,使得电子商务发展中的安全问题受到了社会各界的关注,同时对其自身发展也有一定的制约性。因此,对网络信息安全对电子商务交易产生影响的主要问题进行研究十分必要。
2.1电子商务系统在运行过程中其网络信息常常会遭到外界的攻击,其中有服务性攻击与非服务性攻击两种
非服务性攻击是指指攻击者通过利用各种非法手段对网络的路由器等通信设名进行篡改,导致网络通信设备无法正常使用或网络无法正常工作;服务性攻击即攻击者通过利用服务器提供某类服务从而使网络无法运行。拒绝服务是最典型的攻击行为,通过使电子商务系统的网络服务器充斥大量待回复的消息致使系统负荷超载、网络瘫痪。
2.2计算机软件、硬件的各方面情况对电子商务交易中的网络信息系统会直接产生影响
计算机硬件主要有交换机、服务器及客户端等;计算机软件主要包括应用软件、网络操作系统及数据库系统等。软件漏洞是其网络信息系统中最为典型的问题之一,缓冲区溢出现象时常发生并且会造成很严重的影响,使得系统程序运行失败、计算机死机及系统重启等。因此,必须通过有效措施对计算机网络的硬件及软件工作情况进行保证,以确保电子商务系统的正常操作。
2.3在电子商务交易中对信息的存储和传输安全性要进行有效保证
信息的存储安全性即对联网状态中的计算机存储的信息安全进行保证,以实现未经授权的网络用户无法获得存储信息。未授权用户通常会对用户密码进行猜测或者窃取,通过各种手段绕过网络系统的安全认证,并对未授权信息进行非法修改、查看或者删除;信息的传输安全性即对网络传输中的信息数据的安全性进行保证,使其免遭攻击或者泄露。
2.4电子商务的网络系统有时也会受到内部的授权用户的破坏
部分授权的合法用户在运行电子商务网络系统时,警惕性较低,将系统的安全密码等机密信息无意泄露出去,从而导致安全性降低或者网络受到攻击。由于系统内部授权用户自身的专业计算机知识缺乏,错删系统文件等行为都会直接对电子商务网络信息系统的安全性造成破坏。
3提高电子商务中网络信息安全性的对策
在电子商务交易平台中,网络信息的安全问题会出现各种需要解决的情况,为了保证电子商务交易能够顺利进行,对其网络信息安全必须采取相应措施进行保证,当前主要有以下几种解决对策:
3.1防火墙
防火墙的由来是中世纪的城堡防御技术,想要进入城堡的人必须通过吊桥并且接受士兵的检查。从而引申出网络防火墙技术的概念,即电子商务系统需要以一定的防护措施对用户的授权等进行把关。
3.2黑
随着科学技术水平的提升,很多电脑爱好者的计算机水平也逐渐提高。目前已出现部分计算机水平较高的设法绕过防火墙技术的控制,对电子商务网路系统进行干扰和入侵。因此,应利用相关入侵检测技术即时地对外界产生的入侵或攻击进行主动防御,以弥补防火墙技术的漏洞。通过在应用中采取监控措施、在电脑主机上进行监控措施及对网络信息系统进行监控等办法能够有效抵御外界攻击。
3.3病毒防御软件
网络病毒的数量及多样性对计算机系统及信息等多方面都造成了严重的影响。网络病毒对电子商务系统的运行也造成了恶劣影响。为保证电子商务网络信息系统的安全运行应利用网络病毒防御软件进行保护,并保证交易信息的安全可靠性及速度。
3.4加密和秘钥
为保证电子商务信息的安全性,应通过使用加密算法对其进行加密,将信息含义隐藏起来,以防外界入侵者的攻击行为。同时利用密钥管理技术作为加密信息的解密手段,只有授权合法的使用者能够操作。
3.5数字信封
在公共网络上使用传统的信息加密技术及密钥管理技术进行信息传输十分容易遭到外界的攻击,可以通过数字信封技术来解决这一问题,能够对信息在传输过程中的安全性进行保证。同时,为保证电子商务交易中的交易双方能有有效辨识身份信息,通过数字签名技术能够实现这一目的,并且对交易信息的可靠性、安全性进行保障,最大程度地提高电子商务交易的效率及质量。
4通过建立电子商务安全机制保证其交易过程
信息及结算信息。同时商务主机需要向相关交易认证机构对客户的订单信息进行确认和反馈。因此,保证信息的安全性及完整性十分重要,以避免信息在传输的中途被篡改或者窃取,这对交易双方来说极为重要。确保交易信息的完整性、有效性需要考虑的因素有很多,例如安全管理问题、物理安全问题、介质安全等各种问题,同时在技术上还需保证高要求。应采取相应措施对电子商务系统的访问权限进行设置并建立安全防务机制。采取验证身份信息等手段以杜绝信息窃取等危险的发生。通过对数据信息文件进行加密并提升防护安全的级别也可以对信息进行有效保护。在保障信息完整性时即通过建立安全机制确保数据信息不会被篡改或者盗取。安全机制包括访问限制机制、信息完整性机制及交换鉴别机制等。
4.1无权限访问控制机制
访问控制指的是根据已确定好的过滤规则来判定决定访问者是否拥有对于服务器的访问权限。访问控制可确保未无授权权限的访问者或以未经授权的方式对数据、服务器以及通信系统等资源进行非法的修改、破坏与运行恶意代码。
4.2数据单元的完整性机制
数据的完整性指的是数据单元的完整性与其序列的完整性。为确保数据的完整性,通常使用如下方式:发送者会在某个数据单元中加上一个经过加密的类似分组校验、密码校验函数等数据自身函数的标记。接收者拥有对应的加密标记,在受到数据后可将对应的加密标记跟接收数据中的标记进行比对,便可以保证数据在传输时的完整性。数据单元的序列完整性指的是确定数据的时间标记的正确性与数据的编号连续性,这样可确保无权限者不会对数据进行创建、删除、修改等非法操作。如果发生这类对数据的非法修改等恶意操作,会对经济产生巨大的冲击。
4.3信息交换鉴别机制
交换鉴别指的是通过进行信息交换的方法来确保实体身份有效合法的机制。进行信息交换鉴别时,通常用到的技术有以下几种:①口令:发送方设置口令,然后由接收方进行校验。②数据加密:对将要进行交换的数据进行加密处理,只有拥有权限的用户方可进行解密,从而得到正确的明文数据。通常实际中,数据加密往往与以下两种技术混合使用:双方、三方“握手”或是时间标记。③经公证机构认可的数字签名:数字签名指的是通过实体的法律所有权与生理特征进行实体身份的鉴别,实际中一般使用指纹识别与身份信息卡等。
4.4随机数据发送机制
随机数据发送指的是保密装置会网络中无信息传输的任务时,无目的性的发出随机的数据序列。这样可以迷惑非法的监听者,使其无法得知监听到的数据序列中是否存在有用信息。此种方式一般用来阻止非法的监听者在传输时对数据序列进行监听、流量流向分析等。
4.5路由器选择机制
实际中的大型网络中往往从源节点到目标节点之间会存在很多线路,这其中就存在各条线路安全与否的问题。路由器选择机制可以为发送方提供选择安全路由的选项,为数据的安全提供保障。
5结束语
电子商务是新时期被社会广泛使用的交易模式,同时其作为计算机信息技术应用的热点具有极大的经济价值。电子商务与所有新生事物一样,在其发展革新的过程中会不断遇到各类需要解决的问题。网络信息安全问题作为其提高交易质量和效率的重要方面之一,对其未来发展有着重要作用。本文从网络信息影响电子商务交易的安全要素着手,并对网络信息安全性对电子商务交易影响的现状的进行分析,同时提出相应的解决策略,以期为电子商务的发展提供可借鉴的价值和意义。
电子商务安全论文 篇10
【摘要】在21世纪,电子商务作为一种全新的商务模式,发展速度很快,随之而来的安全问题也越来越突出。安全问题始终是电子商务的核心和关键问题,包括网络本身的安全和网上交易中的安。本文将主要探讨交易安全常见问题及对策。
【关键词】电子商务;交易安全;对策
电子商务的核心“支付方式”随着计算机技术在金融领域的应用不断的演变,于是基于互联网的网上支付出现了,电子商务的网上支付相关的交易安全问题也就越来越受到人们的重视。
一、电子商务交易安全概念
电子商务交易安全是紧紧围绕传统商务在互联网络上应用时产生的各种非网络原因的安全问题,在计算机网络安全的基础上,如何保障电子商务交易的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。网上交易日益成为新的商务模式,基于网络资源的电子商务交易已普遍被大众接受,人们在享受网上交易带来的便捷的同时,交易的安全性也备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。所以在电子商务交易过程中,保证交易数据的安全是电子商务系统的关键。
二、商务交易安全常见问题
1.冒充身份:攻击者通过非法手段盗用合法身份,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.窃取信息:攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。
3.篡改信息:攻击者对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。
4.信用威胁:交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款,卖方没有把商品发送到客户手――使客户蒙受损失。
5.电脑病毒:不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
三、商务交易中安全问题的解决对策
由于互联网上存在的种种欺诈,所以用户在可能的情况下,最好对网上兜售商品的网址进行核查,以摸清商贩们提供的地址和电话是否属实,用这种方式来防止各种网上欺诈行为。而对于冒名顶替和抵赖,目前主要有以下几种方式来解决。
(一)数字认证
数字认证证书它是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的安全性、完整性。随着现代网络技术的发展,基础设施的改善,多媒体技术的进一步普及,数字认证方法正被越来越多地用于网络信息的安全传输中。在发送文件时,或在交易信息处理的过程中,通过把影像、声音等各种证明发送者身份的数据传送给接收端,可大大加强信息的可靠性,这包括电子数字签名、电子信封、电子证书、以数字方式签署和电子付款表格等,这样接收方能确认发送者的真实身份和确保交易信息不被篡改。使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。简单来说就是保障你的在网上交易的安全。
(二)数据加密
数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密技术是保证电子商务安全运作的一种重要方法。可把某些重要信息从一个可理解的明文形式变换成一种错乱的、不可理解的密文形式(加密),经过线路传送,到达目的端后用户再将密文还原成明文(解密)。由于信息是以密文方式进行传送的,不知道解密方法的人将无法得到信息的真实内容,从而保证了数据传送过程中的安全性。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。
(三)安全电子交易协议
为了实现更加完善的即时电子支付,SET协议应运而生。SET协议(Secure Electronic Transaction),被称之为安全电子交易协议,是由MasterCard和Visa联合Netscape,Microsoft等公司,于1997年6月1日推出的一种新的电子支付模型。SET协议是B2C上基于信用卡支付模式而设计的,它保证了开放网络上使用信用卡进行在线购物的安全。SET规范的出现为电子商务提供了很强的安全保护,它实现了信息的集成、全部金融数据的证实、敏感数据的加密等工作。SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。
(四)CA(证书授权)
在电子商务系统中,所有实体的证书都是由证书授权中心即CA认证中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA又称认证权威、认证中心、证书授予机构,是承担网上认证服务,能签发数字证书并能确认用户身份的受大家信任的第三方机构。CA通常是企业性的服务机构,其主要任务是受理数字证书的申请、签发及对数字证书进行管理。CA机构应包括两大部门:一是审核授权部门,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误引起的一切后果,另一个是证书操作部门,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等,它即可以由审核授权部门自己担任,也可委托给第三方担任。
四、结束语
总而言之,电子商务是让交易更简单,更快捷,更安全的商务要求,并在计算机互联网上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统应该具备以下特点:强大的加密保证;使用者和数据的识别和鉴别;存储和加密数据的保密;连网交易和支付的可靠;方便的密钥管理;数据的完整、防止抵赖。当然,除了交易安全外,电子商务对计算机网络安全同样重要,因此电子商务安全应作为安全工程,需要双重安全保障。
电子商务安全论文 篇11
一、电子商务网络中存在的安全隐患
(一)盗取、篡改信息。电子商务系统的三级架构即电子商务是交易双方与后台数据存储及事务处理服务器的相互关系。由于没有进行加密保护,一切数据信息在网络上都容易遭到第三方入侵者的截取。更为严重的是,一些网络不法分子会盗取信息内容或篡改信息数据以达到个人目的。
(二)假冒和恶意破坏。由于可以分析传输数据格式篡改信息,攻击者可以冒充合法用户发送假冒信息而不被远端用户察觉。此外,攻击者还可以接入网络进行信息篡改,甚至潜入专业的内部网络,给网络用户带来极大危害。
二、电子商务交易与计算机网络安全技术探讨
物联网与电子商务的密切联系意味着为了保证电子商务交易的安全性,计算机网络安全技术必须适应更高挑战。未来计算机网络安全技术涉及到计算机网络中的各个层次,防护重点主要围绕电子商务安全的防护技术,如:身份认证,访问控制、数据安全、通信安全等。
(一)入网访问控制技术。访问控制主要是防止网络资源不被非法利用和访问,是保护网络安全的主要战略之一。入网访问控制是保证网络安全的第一层控制,它通过用户认证和密码输入来对网络用户进行过滤,控制用户对网络资源使用的权利与时间等。对用户的入网访问控制主要可以从三个方面出发,分别是用户名识别与验证、口令卡与验证、用户帐号验证。这三方面齐全的情况下,用户才能进入所保护网络。
(二)防火墙技术。防火墙技术上目前使用的主要是网络安全设备。它通过过滤、状态检查、代理服务等方式达到安全控制的效果。防火墙隔离技术的高低决定电子商务安全交易与否。目前互联网中使用的防火墙产品主要分为两大类,分别基于代理服务方式和状态检测方式。它采用专业的操作系统,能较大程度地保护操作系统不被不法分子利用和攻击。但防火墙也存在固有缺点:一是防火墙只能在每台主机上安装防病毒的监控软件,但不能有效防止病毒软件或文件的传输。二是防火墙不能对一些不经过防火墙的攻击进行防范。比如:在允许受保护的内部网外部拨号中,可以实现用户与Internet的直接连接,绕过防火墙监控,造成了潜在的网络安全问题。因此,应该保证内外部网络之间通道的唯一性。三是防火墙不能防止数据驱动式攻击。有些数据表面上看没有病毒,但一经复制到主机上并对主机发起数据驱动攻击。因此对来历不明的数据信息要先进行杀毒或程序认证,防止潜在病毒的变异攻击。
(三)数据加密技术。防火墙技术对电子商务安全性保障只能起到一种被动防护作用,难以对一些不安全因素进行有效防护。因此,为了保障电子商务的交易安全,需要运用到数据加密技术。数据加密技术作为电子商务中普遍采用的安全措施能弥补防火墙的不足之处。对于数字加密技术的运用,主要是贸易方根据需要用于信息交换的环节之中。目前的加密技术可分为两大类,即专用密钥加密与公开密钥加密。现在许多企业运用到的PKI技术中,密钥被分解为了公开密钥与专用密钥一组,对公开密钥实现非保密式的公开,对专用密钥进行加密保存,只有贸易双方才能掌握密钥信息。贸易双方在贸易中利用数字加密技术实现信息交换的过程是:贸易方生产一对密钥,将其中一把作为公开密钥发布,贸易方乙通过公开密钥对自身机密信息进行加密后发送给贸易方甲,贸易方甲再用自己的专用密钥进行信息加密。交易双方只能用自己的专用密钥对公开密钥加密的信息进行解密。
(四)电子签名技术。电子签名技术在信息安全上主要运用于身份认证、匿名性、数据完整性等方面。电子签名技术是对公开密钥加密技术和数字摘要技术的联合应用。电子签名技术的工作原理为信息发送方在文本中生产一个128Bit的报文摘要,并用专用密钥进行加密,形成发送方的电子签名。这个电子签名将附加在信息内容中一起发送到接收方,接收方运用对方的公开密钥进行电子签名的解密。
(五)目录控制技术。用户可以通过设置目录一级指定的权限来控制网络用户对所有文件和子目录的的浏览权限。对目录和文件访问权限的控制一般可以通过八种途径实现,分别是:读、写权限,系统管理员权限,创建、修改、删除权限,文件查找权限,访问控制权限。
(六)属性安全控制技术。属性安全控制技术是在权限安全技术的基础上对电子商务交易的进一步安全保障。对交易中的双方的任何网络资源都应预先标识出一组安全属性,用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。
三、结语
综上所述,电子商务是一种基于因特网的新型商业模式。计算机技术与电子商务的关系密不可分,两者相互联系,相辅相成。电子商务交易的实现以互联网技术为前提,其发展也将带动计算机技术的广泛运用。同样,计算机安全技术为电子商务的进行提供安全保障,计算机技术的发展和普及也将推动电子商务的蓬勃发展。但计算机网络中存在的网络安全问题将使电子商务交易处于危险境地。对计算机网络中存在的安全漏洞进行分析和探讨,针对电子商务网络中存在的安全隐患进行技术更新,对于电子商务的交易安全性具有十分重要的现实意义。目前,电子商务网络中存在的安全隐患主要是盗取、篡改信息以及假冒和恶意破坏。对这些安全隐患的解决途径可从如下方面得到解决:入网访问控制技术,防火墙技术,数据加密技术,电子签名技术,目录控制技术以及属性安全控制技术。
电子商务安全论文 篇12
一、煤炭安全设备电子商务的概念
随着当前信息技术的飞速发展,世界经济正经历着一场深刻的“革命”,这场新革命巨大地改变了经济格局,创造了全新的“网络经济”,电子商务就在此背景下应时而生。电子商务意在通过网络完成核心业务,减少周转时间,以有限的资源取得更大的收益,从而达到销售产品的目的。煤炭安全设备电子商务为其行业发展提供了崭新的商业环境,同时也为改进煤炭安全设备传统销售模式存在的问题提供了新的途径。
二、电子商务对于煤炭安全设备销售的重要意义
电子商务能够促进我国煤炭安全设备销售行业的结构调整。随着我国当前市场越来越透明化的发展趋势,对市场发展的公平性也有了全新的标准和要求,有利于促进煤炭安全设备销售市场的重新整合;利用电子商务平台进行煤炭安全设备交易的企业,可以大幅度降低煤炭安全设备销售方与购货方的运作成本,简化销售流程,节省预订时间,拓宽销售途径,形成持续发展、新型高效的管理方式;全新的客服方式能够更快速、更直接、更高效地提供服务,有利于企业继续开发新的市场,获得更多的利益。总之,电子商务为我国煤炭安全设备销售行业迈向现代化服务型市场奠定了根基。
三、我国安全设备销售行业发展现状
煤矿安全设备是指保障煤矿安全生产的设备,可以分为煤矿安全避险系统、煤矿安全检测设备、煤矿安全防治设备,也可以分为煤矿安全监测设备和煤矿安全救生设备两大类。煤矿安全设备主要包括监测、救生设备,前者有瓦斯监测、顶板监测等;后者有救生舱、避难硐室等[1]。煤矿安全设备服务于煤炭行业,发展状况与煤炭行业密切相关。科技进步社会繁荣发展影响能源需求结构,加之人们对环境质量的要求越来越高,进而影响煤炭的销售量,最终影响对安全设备的需求。短期来看随着国家财政、货币政策持续发力,经济有望迎来企稳,煤炭市场行情的好转也将带动设备订单的执行;中长期来看,煤炭在相当长一段时间内仍将占据我国一次能源的主要地位,在煤炭行业平稳小幅增长的背景下,行业整合企业兼并重组,国家近年来先后出台了一系列加强煤矿安全生产及危害防治的政策制度,其中有较多强制措施,这方面的需求也会进一步增长,也有利于煤矿安全设备的发展,煤矿生产企业对安全生产设备的投入有望进一步加强,行业发展前景向好。中长期来看,低谷期的煤炭行业兼并重组增多,大型企业相比中小企业更加重视安全生产,其相应的对安全设备的投入也将会进一步增加;国家近年来也先后颁布了一系列加强煤矿安全生产和危害防治的政策、制度、强制措施等,对安全设备的需求也会进一步增长,也有助于煤矿安全设备的发展。综上,我国对煤炭安全生产有着中长期目标,到2020年全国安全状况实现根本性好转,煤矿尘肺病患病率、百万吨死亡率、万元产值事故损失率等指标达到或接近世界中等发达国家水平。要实现这一目标,必须依靠科技进步,更需要长期开展煤矿安全技术研究与产业化工作,同时煤矿安全设备的投资与更新换代的需求也必不可少,未来我国煤矿安全设备需求将进一步增长。
四、电子商务在煤炭安全设备销售应用中存在的问题
电子商务作为一项全新的销售模式,在煤炭安全设备销售工作中会受到许多因素的影响。
1.传统的煤炭安全设备销售观念难以转变。近年来,电子商务作为一种先进的商务模式,随着淘宝、京东网等众多购物网站的发展逐渐改变了人们的销售观点,令众多人都积极应用电子商务的销售形式,但是这种网站交易通常局限在中小型的交易。煤炭安全设备交易是大宗交易,数量大,涉及到的金额也通常比较多,因此导致我国很大一部分的煤炭安全设备企业并不太相信这种网上交易新模式,依然热衷于选用传统的人员销售模式,传统的煤炭安全设备销售观念根深蒂固。正是因为如此,电子商务在煤炭安全设备销售领域的应用特别困难,制约了我国煤炭安全设备销售的现代化发展历程,降低了市场竞争力和渗透力。
2.我国的电子商务水平存在隐患。目前煤炭安全设备销售企业利用电子商务的同时也伴随着普遍存在技术问题如网络不稳定性和安全性等问题[2]。电子商务的运营依靠网络来实现,因此就会受到网络的限制容易受到骇客攻击、计算机病毒攻击等,触及到资金安全、货物安全、信息安全和商业机密等很多方面的安全性问题,传统所掌握的网络安全技术水平很显然并不能满足完整的现代电子商务发展要求。同时煤炭安全设备销售企业的电子商务大部分都是大宗物品的交易,当前,我国大宗物品的电子交易方面缺乏有效监管,规范程度不高,其经营规模与风险承担能力显然不相当,缺乏有成效的风险管理机制体制。一旦发生网络技术问题,带来的损失会极其严重,甚至难以挽回。网络的安全建设已经成为煤炭安全设备销售行业电子商务过程中重要的一环。商务活动中常常会存在一些纠纷,通过网络电子平台进行交易又具有其特殊性。虽然目前我国颁布了一些与国际互联网相关的网络安全法规,但有关电子商务的专门立法还是空白,对电子商务中涉及的电子签名、电子合同等相关信息的合法性欠缺必要的法律诠释,就会引起电子商务的可靠性不高问题,在一定程度上制约了电子商务在煤炭安全设备销售领域的应用与推广。
3.煤炭安全设备销售企业组织结构不合理。直线职能制为煤炭安全设备销售企业的主要组织结构。通常煤炭安全设备销售企业规模较大、业务种类众多,但很大部分是以直线单元直接经营的方式管理,并不能适应电子商务并行工程的管理模式;管理死板,不同业务单元缺少足够的反应能力,经营局面很难打开;各职能部门不注重信息的横向交流,缺乏弹性,工作效率不高;单位管理费用较高,成本居高不下。
五、基于电子商务的煤炭安全设备销售行业对策
1.思路决定出路,观念意识是行动的前提。首先电子商务是今后发展大趋势的意识应深入煤炭安全设备的销售人员内心,意识到它在煤炭安全设备的销售行业内的重要地位,突破传统的销售模式从观念到实际销售行为彻底的改变,发展新的销售模式,树立新的销售理念。其次应该加强学习借鉴最先进的销售理念,对最新最先进的销售模式及理念进行全员教育培训,甚至实地考察调研学习,充分认识到电子商务能让煤炭安全设备销售有质的改变。最后着力加快交易模式创新和交易系统的优化升级,紧密追踪“互联网+”发展大势,深度融合B2B+O2O电商模式,积极开展定制化交易,满足不同交易商需求,进一步降低交易成本。
2.电子商务中网络安全是基础,相关的政策倾斜支持是保证。首先,网络安全是最基本的条件,引进一流的网络管理技术、做好日常网络维护、重点关注最新的病毒及查杀方法、第一时间解决疑似安全隐患等来提高网络安全性能。其次,应加强大宗商品交易的监督管理力度,严格执行相关法律法规,进一步保障煤炭安全设备网络交易的安全性。最后完善相关法律法规,关于这方面的法律空缺及时起草补充,比较抽象的法律及时明确解释,让网络+煤炭安全设备行业有实实在在的法律依据,让其在法律的保护下高速发展。
3.煤炭安全设备网络销售要想获取不断繁荣地发展,就要打破传统的销售组织结构。采用全新的销售模式,特别是需要建立起电子商务平台,并在电子商务平台上确保销售渠道的统一性,这项工作的开展能对企业的整体销售进行有效总结,帮助企业制定更全面的销售策略。对煤炭安全设备企业自身进行深度改革,进一步完善内部组织结构,全面提高所有销售人员素质,增强创新能力。
六、结束语
综合来说,电子商务具有交易成本低、交易透明化、交易效率高等特点,其在我国市场发展中逐渐得到应用。将它应用于煤炭安全设备的销售中能够优化煤炭安全设备产业资源的优化配置、开拓销售渠道、降低销售成本等,积极总结在电子商务成功销售案例,使煤炭安全设备销售在电子商务销售中实现创新。
参考文献
[1]陈跃平,戴顺孝,闵丽.煤矿安全设备研究现状及发展趋势[J].机械制造,2011,(12):63-65.
[2]于宏达.基于电子商务在煤炭销售中应用的研究[J]中国集体经济,2015,24(30):117-118.
【电子商务安全论文】相关文章:
电子商务的安全论文01-26
电子商务安全论文01-22
电子商务安全的论文01-22
电子商务安全论文07-22
电子商务安全的参考论文12-10
电子商务安全技术论文01-22
电子商务安全论文5000字12-10
电子商务安全问题论文01-28
如何保护电子商务的安全论文03-20
分析电子商务中的数据安全论文04-26