电子商务安全技术论文范文
电子商务安全技术的应用为建立一个安全、便捷的电子商务应用环境,对商家和客户的信息提供足够的保护,起着关键性的作用。电子商务安全问题是电子商务发展中的一个主要障碍。
电子商务安全技术论文篇1
浅析电子商务安全技术
摘 要: 随着Internet、计算机技术、网络技术的发展,出现了一种新兴的商务模式―电子商务。
随着电子商务的飞速发展,安全成为制约其发展的关键.本文在简单介绍了电子商务的现状、安全隐患及安全技术措施,其中重点探讨电子商务的交易安全及网络安全问题及相应的解决措施。
关键词:电子商务安全密码 数字签名协议网络安全交易安全
电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程;它是一种基于互联网,以交易双方为主体,以银行电子支付和结算为手段,以客户数据为依托的全新商务模式。
本质是建立一种全社会的“网络计算环境”或“数字化神经系统”,以实现信息资源在国民经济和大众生活中的全方位应用。
一、从安全上看,电子商务的现状
1.网络信息安全在全球还没有形成一个完整的体系,我国也不例外。
2.安全技术的强度普遍不够。
国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但受到了外国密码政策的限制,因此强度普遍不够。
3.电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。
4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域,这些因素的存在必将影响我国电子商务进一步的发展。
二、电子商务安全性要求
从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决:
1.交易前交易双方身份的认证问题。
电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。
2.交易中电子合同的法律效力问题以及完整性保密性问题。
3.交易后电子记录的证据力问题。
在英美法系,传闻证据规则限制了电子记录的证据力。
在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。
三、网络安全技术及解决思路
计算机网络安全的特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
其问题有:
1.未进行操作系统相关安全配置。
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。
千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。
2.未进行CGI程序代码审计。
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
3.拒绝服务(DoS,DenialofService)攻击。
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。
以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。
4.安全产品使用不当。
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。
很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
5.缺少严格的网络安全管理制度。
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。
建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
分析计算机网络安全面临的问题本人提出的解决思路有:
1.加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞。
2.要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在安全隐患,并及时加以修补。
3.从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证。
4.利用RAID5等数据存储技术加强数据备份和恢复措施。
5.对敏感的设备和数据要建立必要的物理或逻辑隔离措施。
6.对在公共网络上传输的敏感信息要进行强度的数据加密。
7.建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
四、电子商务交易安全面临的问题及解决思路
一般来说商务安全中普遍存在着以下几种安全隐患:
1. 窃取信息。
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。
通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
2. 篡改信息。
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
这种方法并不新鲜,在路由器或网关上都可以做此类工作。
3.假冒。
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.恶意破坏。
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
电子商务交易安全面临的问题本人提出的解决思路:
1.部分告知(PartialOrder):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
2.另行确认(OrderConfirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。
3.建立有效的安全交易标准和技术:如现在建立的安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT,SecureTransactionTechnology)等。
4.数字认证:数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性,甚至数据媒体的有效性。
5.加密技术:保证电子商务安全的最重要的一点是使用加密技术对敏感的信息进行加密。
6.电子商务认证中心(CA,CertificateAuthority)实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。
五、结束语
我国的电子商务近年来发展很快,但是有关的安全保障还未建立起来。
这已经成为影响我国电子商务发展的一个障碍。
为此,我们必须加快建设有关的电子商务安全系统。
这将是一个综合性的、涉及全社会的系统工程。
具体而言,我们要从法律上承认电子通讯记录的效力,给电子商务以法律保障;我们要加强对电子签名等的研究,给电子商务以技术保障;我们还要尽快建立电子商务认证体系,给电子商务以组织保障。
而且,针对电子商务无国界的特点,我们还应该加强国际合作,使电子商务真正发挥其应有的作用。
惟有如此,我们才能顺应时代潮流,推动我国经济的发展;也惟有如此,我们才能在经济全球化的今天,参与到国际竞争中去,并进而赢得竞争的优势。
参考文献:
[1]周化祥、李智伟.网络及电子商务安全.[M].北京:中国电力出版社,2004.7.
[2]祝晓光.网络安全设备与技术.[M].北京:清华大学出版社.2004.11.
电子商务安全技术论文篇2
浅析电子商务中的安全技术
[摘要] 安全问题是电子商务发展的核心和关键问题。
安全性技术是保证电子商务健康有序发展的关键因素。
本文讨论了电子商务应用中所存在的安全问题,针对这些安全问题对电子商务的安全技术进行了分析。
[关键词] 电子商务 加密技术 数字签名
一、引言
随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。
越来越多的人通过Internet进行商务活动。
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。
电子商务安全问题是电子商务发展中的一个主要障碍。
电子商务安全技术的应用为建立一个安全、便捷的电子商务应用环境,对商家和客户的信息提供足够的保护,起着关键性的作用。
二、电子商务面临的安全问题
1.信息的截获和窃取
由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。
通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
2.篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
3.信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.交易抵赖
交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者做了订单不承认;商家卖出的商品因价格差而不承认原有的交易等。
5.恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务安全技术
1.密码技术
密码技术是信息安全的核心技术。
对信息安全的需求大部分可以通过密码技术来实现。
密码技术包括加密、签名认证和密钥管理技术等。
(1)加密技术。
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。
加密技术通常分为两大类:“对称式”和“非对称式”。
加密技术是保证电子商务安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。
(2)数字签名。
在电子商务安全系统中,数字签名技术占有重要的地位。
在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。
数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。
目前,数字签名一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性。
通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
数字签名技术将具有广阔的应用前景,它将直接影响电子商务的发展。
(3)密钥管理技术。
密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。
其中分配和存储是最棘手的问题。
密钥管理不仅影响系统的安全性,而且涉及系统的可靠性、有效性和经济性。
在用密码技术保护的现代信息系统的安全性主要取决于对密钥的保护。
密钥管理技术主要包括:对称密钥管理;公开密钥管理,第三方托管技术。
2.网络安全技术
(1)防火墙技术。
防火墙可以根据网络安全水平和可信任关系将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制;可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户与数据包隔断,达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。
防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
目前的防火墙主要有两种类型。
其一是包过滤型防火墙,其二是应用级防火墙。
(2)虚拟专用网VPN技术。
虚拟专用网VPN是一种特殊的网络,它采用一种叫做“通道”或“数据封装”的系统,用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。
这种通道是Internet上的一种专用通道,可保证数据在外部网上的企业之间安全地传输。
在VPN中,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。
现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
VPN实现的关键技术是隧道技术、加密技术和QoS(服务质量)技术。
(3)入侵检测技术。
入侵检测技术是防火墙技术的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
其最重要的价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,通过从各个角度对这些事件进行分析归类,可以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
入侵检测的主要方法有:静态配置分析,异常性检测方法、基于行为的检测方法及几种方法的组合。
(4)安全交易协议。
除了各种安全控制技术之外,电子商务的运行还需要一套完整的安全交易协议。
不同交易协议的复杂性、开销、安全性各不同。
同时,不同的应用环境对协议目标的要求也不尽相同。
目前,比较成熟的协议有安全套接层协议(SSL)和安全电子交易协议(SET)。
三、小结
用于保护电子商务的安全控制技术很多,并非把这些技术简单地组合就可以得到安全。
但是通过合理应用安全控制技术,并进行有机结合,就可从技术上实现系统、有效的电子商务安全。
参考文献:
[1]张立克:电子商务及其安全保障技术[J].水利电力机械,2007,29(2):69~74
[2]祝凌曦:电子商务安全[D].北京:清华大学出版社,2006
[3]夏颖:电子商务中的信息安全技术[J].电脑知识与技术,2005,(8):51~53
[4]刘明珍:电子商务中的信息安全技术[J].湖南人文科技学院学报,2006,(3):48~51
【电子商务安全技术论文】相关文章:
电子商务安全技术论文10-09
安全技术在电子商务中的应用的论文10-09
电子商务交易安全技术与意识论文10-01
电子商务网络安全技术论文10-09
电子商务安全技术对策研讨论文10-11
电子商务安全技术研究及应用论文10-01
电子商务信息安全技术探讨论文10-09
搜索技术电子商务论文10-08
电子商务安全论文07-22