网络安全电子商务

网络安全电子商务（共12篇）

网络安全电子商务 篇1

如今, 互联网正以惊人的速度彻底地改变着人们的工作效率和生活方式, 通过它, 人们可以方便快捷地处理商务和政务, 然而, 由于互联网的开放性和匿名性, 不可避免地存在许多安全隐患。

目前, 许多网上业务都采用用户名和密码的识别方式进行交易, 但是这种简单方式存在很多安全隐患:一、密码容易泄露给他人;二、密码网上传输容易被截获。

因此, 现在许多机构运用PKI (public key infrastructure的缩写, 即“公开密钥体系”) 技术实施构建完整的加密/签名体系, 有效地解决了上述难题, 在充分利用互联网, 实现资源共享的前提下, 从真正意义上确保了网上交易与信息传递的安全。

浅析PKI

PKI是一种遵循既定标准的密钥管理平台, 它能够为所有的网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI区别于原有的单密钥加密技术, 它采用的是非对称的加密算法。这种网络加密方式保证了网上交易和信息传输的机密性、真实性、完整性、不可抵赖性。

构建密码服务系统的核心内容是如何实现密钥管理。公钥体系涉及到一对密钥 (即公钥和私钥) , 私钥只由用户独立掌握, 无需在网上传输, 而公钥则是公开的, 需要在网上传送, 故公钥体制的密钥管理主要是针对公钥的管理问题, 目前较好的解决方案是数字证书体系。数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性的电子文档, 形同网络计算环境中的一种身份证, 用于证明某一主体 (如人、服务器等) 的身份以及其公开密钥的合法性, 又称为数字ID。数字证书由公钥及用户信息等数据共同组成, 可以写入一定的存储介质内, 确保用户信息不被非法读取及篡改。

ePass应运而生

针对各种网上交易的安全漏洞, 长期致力于网络安全领域的北京飞天诚信公司在大量分析网上交易的行业特性之后, 推出了可以随身携带的数字证书存储介质ePass系列网络身份认证产品, 为广大企业用户提供了一个安全交易的平台。

ePass是一种通过USB接口与计算机相连的硬件设备, 内置微型CPU和存储器, 大小跟钥匙差不多, 重量仅为6克。ePass作为一种在PKI体系中应用的产品, 是为PKI应用量身设计的。它可预置密钥或存入数字证书, 来确定用户的身份。借助ePass, 使系统有效避开了传统身份认证过程的安全隐患, 以高度安全的方式完成对网络用户的身份验证过程。事实证明, ePass为网上交易的网络身份认证提供了一种安全的解决方案。它可满足所有服务器端对客户端身份认证的需要, 其采用的独特加密方式, 有效地避免了各种网上交易的信息传输过程中病毒和黑客的侵袭。

ePass系列产品适用于需要网络安全认证的各种行业, 包括金融、保险、电信、税务以及机密单位等领域。

ePass解决方案

下面我们以证券行业为例, 说明ePass产品在基于证书的安全认证体系中的作用。 (参见下图)

在使用数字证书的过程中, ePass应用公开密钥加密技术, 建立起一套严密的身份认证系统, 它能做到:

●发送方和接收方信息不被他人窃取

●信息在传输过程中不被篡改

●接收方能通过数字证书来确认发送方的身份

●发送方对于自己发送的信息不可抵赖利用ePass进行网上交易的过程:

一、申请证书

数字证书与日常生活中的身份证相似, 是用来标志和证明网络通信双方身份的数字信息文件。在网上进行电子商务活动时, 交易双方需要使用数字证书来表明自己的身份, 并使用数字证书来进行相关的操作, 数字证书主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。

(一) 券商申请证书。首先, 券商要想获得从事证券代理的身份和资格, 须向认证机关 (CA) 申请数字证书, 然后券商将用户的公钥存于券商服务器的数据库内。

(二) 用户申请证书。作为用户在申请开立股票帐户时, 同样须向CA申请数字证书, 获得CA发放的证书存储在ePass内。

二、身份认证

券商与用户通过Internet互相交换从CA申请到的数字证书, 并验证其真实性 (包括验证数字签名、证书有效性等) 。如任何一方发现对方数字证书有误, 则立刻停止交易。

三、证券交易

(一) 用户输入相应委托交易申请后点击“确认”, 发出委托交易申请。

(二) 委托申请的数据自动使用券商公钥加密 (用以保证用

户信息的安全性) 和用户存于ePass中的私钥签名后传送到券商的服务器。

(三) 券商服务器从证书库中调出该用户的公钥, 以确认发

送信息的确是用户本人 (不可抵赖性) , 并用券商私钥将委托信息解开。如果确认无误, 则将委托交易信息发送至联交所。否则, 系统将报错误信息, 就无法进行交易。

(四) 交易结果出来后, 券商向用户发送交易结果, 并使用用户公钥加密, 完成交易。

实际的证券交易过程是相当复杂的, 每次数据通讯都需要身份认证, 进行加、解密或数字签名, 这就需要从ePass中读取证书及密钥。要求用户首先输入正确的PIN码, PIN码被验证正确之后, 方可利用ePass中储存的证书或密钥进行多种操作。

整个使用过程中认证信息始终没有暴露在其他人面前, 即使信息在网络传输中被恶意捕获, 由于ePass采用的是PKI非对称的加密算法, 即由于加、解密过程使用不同的密钥, 有效地避免了第三方获取密钥后将密文解密。

交易过程中包含了签名程序, 确保发出委托信息的确为用户本人。用户和券商的私钥都不参与网上流通, 避免了密钥泄露;传输的数据全部经过加密, 非法用户即使将数据截获亦毫无作用;作为证书载体的ePass具有抗读取、抗复制及便于携带的特性, 能够很好地完成数据携带及保密的任务。

这种解决方案可以广泛应用于金融、保险、税务以及机密单位和部门的工作人员互相访问机密内容的身份认证过程, 确保访问人员身份的真实可信, 例如科研单位、行政监管部门等。

ePass解决方案特色

1、方便性。2、灵活性和适用性。3、安全性。4、稳定性、兼容性。

网络安全电子商务 篇2

1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制方法。

防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流，然后审查要求通过的信息，符合条件的就让通过;二是“凡是未被禁止的就是允许的”，防火墙先是转发所有的信息，然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。网络是动态发展的，安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类：

●包过滤技术(PackctFiltering)。它一般用在网络层，主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定，根据系统设定的安全策略来决定是否让数据包通过，其核心就是安全策略，即过滤算法的设计。

●代理(Proxy)服务技术。它用来提供应用层服务的控制，起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。

●状态监控(StatcInnspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能――包过滤与网络服务代理。目前最有效的实现方法是采用CheckPoint)提出的虚拟机方式(InspectVirtualMachine)。

防火墙技术的优点很多，一是通过过滤不安全的服务，极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信，提供关于网络使用的统计数据，根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段，它可以对企业内部网实现集中的安全管理。

防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制，因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。

2.加密技术。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为解密。

密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制，它的保密度主要取决于对密钥的保密。它的特点是数字运算量小，加密速度快，弱点是密钥管理困难，一旦密钥泄露，将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制，加密密钥是公开的，解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数――单向陷门函数，即从一个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可能。

除了密钥加密技术外，还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。

3.数字签名技术。数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。

在书面文件上签名是确认文件的一种手段，其作用有两点，一是因为自己的签名难以否认，从而确认文件已签署这一事实;二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处，也能确认两点，一是信息是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改。这样，数字签名就可用来防止：电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。

广泛应用的数字签名方法有RSA签名、DSS签名和Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥，其中一个是公开的，另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里，网上的任何用户都可获得公开密钥。保密密钥是用户专用的，由用户本身持有，它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的，主要用于

跟美国做生意的公司。它只是一个签名系统，而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法，跟单独签名的RSA数字签名不同，它是将数字签名和要发送的信息捆在一起，所以更适合电子商务。

4.数字时间戳技术。在电子商务交易的文件中，时间是十分重要的信息，是证明文件有效性的主要内容。在签名时加上一个时间标记，即有数字时间戳(DigitaTimestamp)的数字签名方案：验证签名的人或以确认签名是来自该小组，却不知道是小组中的哪一个人签署的。指定批准人签名的真实性，其他任何人除了得到该指定人或签名者本人的帮助，否则不能验证签名。

时间戳(Time-Stamp)是一个经加密后形成的凭证文档，包括三个部分。一是需加时间戳的文件的摘要(Digest)，二是DTS收到文件的日期与时间，三是DIS数字签名。

时间戳产生的过程是：用户首先将需要加时间的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名)，然后送回用户。书面签署文件的时间是由签署人自己写上的，数字时间则不然，它是由认证单位DIS来加的，以DIS收到文件的时间为依据。

数字认证及数字认证授权机构

1.数字证书。数字证书也叫数字凭证、数字标识，它含有证书持有者的有关信息，以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性，可以控制哪些数据库能够被查看，因此提高了总体的保密性。

数字证书的内容格式是CCTTTX.509国际标准规定的，通常包括以下内容：证书所有者的姓名;证书所有者的公共密钥;公共密钥(证书)的有效期;颁发数字证书单位名称;数字证书的序列号;颁发数字证书单位的数字签名。

数字证书通常分为三种类型，即个人证书、企业证书、软件证书。个人证书(PersonalDigital)为某一个用户提供证书，帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的，认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后，就发给个人数字证书，并安置在用户所用的浏览器或电子邮件的应用系统中，同时也给申请者发一个通知。企业证书，就是服务器证书(ServerID)，是对网上服务器提供的一个证书，拥有Web服务器的企业可以用具有证书的Internet网站(WebSite)来做安全的电子交易。软件证书通常是为网上下载的软件提供证书，证明该软件的合法性。

2.电子商务数字认证授权机构。电子商务交易需要电子商务证书，而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。

CA主要提供下列服务：有效实行安全管理的设施;可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。

网络净化与电子商务安全 篇3

网络技术作为二十世纪的主流技术，正以前所未有的速度融入并改变着我们生活的各个方面。特别是WWW技术出现以后，很多人与互联网已密不可分了。但网络的广泛运用也引发了许多的社会、政治和种族等问题，其中之一就是网络作为一个“完全自由”的通讯领域正传播、发送着大量的不良信息，包括色情信息在内，在这一点上网络就如同印刷业刚出现时一样，允许任何人以不同方式向不同听众发表他们的观点和资讯，但它更自由、更便利、更快速，也更“形式多样”。

净化网络：如何界定色情信息？

不良信息中的色情信息究竟能带给人们多大的危害，目前也没有一个明确的度量。有相当的理论认为可以将其合法化，世界上的一些国家如：丹麦，已经将直接有关性的电影和印刷品等完全合法化，长期跟踪调查后发现：这样做并没有产生什么消极的后果，甚至可能有一些积极意义，因为当这些物品极易获得以后，公众表现出对其日渐失去曾有的兴趣。但从大多数人的、当前主流的观点出发，得出的结论是：色情信息是一种对公众、社会有相当危害的产品，特别对未成年人而言，更是如此。既然可以产生危害，就应当努力消除它的大面积传播，1994年，卡内基—梅隆大学关闭了几个有关性的新闻组的输入信息流，因为大学管理当局认为这些材料对有些人不合适（如，不满18岁的学生），但引起了激烈的争论。美国1996通过“正当通讯法案”，它不仅禁止在儿童可能看到的网上散发淫秽或色情题材，而且还禁止有一切“下流的”言语或图像，禁令非常含糊，以至于有些艾滋病教育课程也在此之列，这也是引起对卡内基—梅隆大学当局行为争论的原因——无法精确界定到底什么是色情的信息。任何人都知道：性并不完全等于色情，但什么样的性描写才是色情，人们无法达成一致。有关的法规及其执行因地区、文化、信仰不同而不同，例如：如果把在西方受到高度评价的卡布·伊本·祖哈伊尔和哈桑·伊本·塔比特的情诗用视觉艺术的形式表现出来，阿拉伯人就会认为这是色情的。1987年美国最高法庭要求，法官和陪审团必须通过以“正常人”的观点评判直接涉及性的材料是否合法，但，什么样的人才是正常人呢？这个问题也难以回答。

女性主义者凯特·米耶特的观点是可接受的。米耶特提出应将性爱（eroticism）(对性欲和爱的生动描写)和色情(pornography) (对造成人失去人性、堕落、虐待的野蛮性行为的描写)区分开来；色情不等于性爱——事实上它并不是关于性，而是通过性使妇女和儿童堕落。通过性行为非人化和使妇女物体化，以满足所谓“男子气概”的荒谬目的，让他们通过把女人看成是可以使用、滥用、驯服和抛弃的无名者、玩物、成人玩具、非人的对象而获得兴奋和权力感。依照这个标准，互联网上的色情网站可谓“欣欣向荣”了，九十年代中期，网上已有1万个以上的不同形式的色情网站，网络在这里克服了印刷品无声、电话无图像、录影带获得的繁琐与不安全等缺点，运用先进的数字技术将影、音有效结合，“有声有色”地广泛传播着上述标准界定的色情信息。绝大多数人会惊叹网上此种信息的“丰富多彩”，相关网站的繁多与无孔不入，信息随手可得（Information at your fingertips)精神在此领域的充分发挥。

这些信息在网上的泛滥必定会引起不良的后果，对未成年人的危害更大。于是由家长、教师、社会团体组成的反对者一致要求净化网络：限制甚至清除网上的色情信息，尤其在未成年人可接触的地方更应如此。首先被指责的是网络经营者，认为他们应负责管理网络上传输的内容，就好像报纸和杂志一样。网络经营者们理所当然的反应是：网络就像电话公司或邮局一样，不可能控制用户的言论。更进一步说，如果对网络经营者实行检查制度，可能会使他们删除任何东西以避免被指控，而这样，就干涉了他们用户的言论自由。

在这情况下，看起来可行的第二种净化网络的方法就是——诉诸于法律，用法律的手段去消除网上的色情信息。

法律原则：面临着更大的障碍

在家长、教师、社会团体的共同努力下，促使美国通过了“正当通讯法案”，此法案于1996年颁布。但很快，一个由互联网用户、电脑业团体和自由民权论者组成的联盟，以该法案限制了计算机的言论自由为理由对法案的宪法效力提出了质疑。到1997年，最高法院全票通过裁决，宣布“正当通讯法案”违反了法律原则，认为在互联网上的言论自由应同书籍和报纸一样，受到第一修正案的最高保护。尽管最高法官们对保护儿童免受色情毒害的目标深表同情，但是他们还是裁定：“在一个民主社会鼓励言论自由”要比“审查制度的任何未被证实的益处”更加重要，于是“正当通讯法案”被取消。看似很合理正当的法案最终被否决，在这一点上，美国法律给人的印象是：罪犯的人权似乎比受害人的人权更重要，保护犯人好像比受害人还优先，针对司法者的清规戒律似乎比打击犯罪分子的法律法规还要多。但从深层来思考：如果听任机构、部门无视正当的法律程序和原则，没有一个总则限制，那么普通人的自由和人权最终会受到更大的损害；法律面前人人平等，如果不保护罪犯的人权，那么普通人的人权也很难得以保护，法律应保护所有人的自由和人权；而且世界上本就没有完善无缺、尽善尽美的法律制度与原则。美国最高法院大法官霍尔姆斯（Oliver Wendell Holmes.Jr.）曾经说过的“罪犯逃脱法网与官府的非法行为相比，罪孽要小得多”一语为这件事做了最好的诠释。

其它类似的国家在类似的清除色情信息、净化网络的问题上也基本遵循了这一法律原则：自由是至关重要的，无端的限制是不可行的。所以在多数法制健全的国家内，互联网可以让任何人在任何地方进入网站，网络色情的普遍使政府的限制手段几乎成为不可能，除非在一些比较专制的国家，如：新加坡和越南，它们通过使用极端手段对当地的互联网连接的基本设施加以控制，进行种种限制，这些作法当然也引起了关于言论自由、通信自由、法律原则等方面的争议。

对于多数国家而言，保护未成年人使他们免受色情信息毒害的措施，用法律的手段是行不通或收效甚微的，目前的结果只能是：监护人必须担负起监管责任，或是利用网络公司提供的家长控制选择权，或是利用一些安全过滤软件，以限制网络中充斥的色情，这也是一种无奈之举。更进一步讲，即使色情信息的传播、制作完全被裁定为非法，也不可能完全将之消除，世界上目前不存在一个国家能接入互联网又完全消除色情信息的先例，不管他们是否将之视为非法。因为网络单纯从技术模式来谈，所走的是一条简单实用的路线，正是基于此网络才可以让每个人轻松的进入它之中，才能得以飞速发展。但事物都有正、反两面性，过于简单的网络技术也为网络安全埋下了巨大的隐患，色情信息的传播只是网络安全问题的冰山一角，对于这个问题，因为有保障公民言论自由、通信自由等法律原则的存在，使法律手段解决起来力不从心，甚至有时会因法律原则的贯彻无形中对其起保护作用。

一方面，网络有着极低的技术门槛，面对网络人人平等；另一方面法律原则的奉行又使一些令人深恶痛绝的现象可在网上大行其道；而且从经济的角度来看，这些现象又最终可归于“公共草地悲剧”理论范畴：因为没有明确界定产权或者现实中无法界定产权，使网络上的许多行为权、责分离；如同低技术门槛一样，这也是关于推广网络的基本思路本身存在的矛盾。透过色情信息传播的例子，我们可以清楚地看到网络问题的某些症结，也因为如此互联网上的病毒入侵、黑客攻击、非法冒认等现象已经肆虐到让人们见怪不怪的程度了。

如何保障电子商务的安全？

得益于网络及其它信息技术与商务、经济的有机结合，一种全新的商务和经济模式——电子商务应运而生了，它随网络的飞速发展而发展。目前处于起步阶段的电子商务已在全球特别是北美地区取得了骄人成绩，创造了令人瞩目的“数字化奇迹”。电子商务带给人类的益处是显而易见的，这完全来自于它的功能特性（商务性、集成性、服务性、可扩展性等）、经济特征（结合经济、网络经济、知识经济、数字经济等）、由它已经引发的变革及所放射出的能量。可以说，它是信息化社会的商务模式，是商务的未来。

但也因为网络的缺陷与不足，为电子商务的进一步发展设置了相当的障碍，同时网络固有的特性（例如：进入自由、便利性、低技术门槛等）又使原本脆弱的电子商务安全体系雪上加霜。从电子商务的特性来看，它依赖网络的程度超过了其它所有的商务模式，特别是在全球化的大背景下，任何商业单位都不敢设想也不可能去单独建设自己与商务伙伴专用的物理信息基础设施，只能依靠现有的互联网。既如此，电子商务的安全在很大程度上受制于两点：一、网络本身已存在的安全隐患；二、通过网络为其它破坏行为创造的适宜条件而衍生出的安全隐患。而对于这两点，从网络本身来说，网络的低技术门槛也正是网络的生命力所在，不可能为了局部安全问题而抬高技术门槛，将大多数人拒之于外，所以不可能为了电子商务安全去改变整个网络。技术是一把双刃剑，网络作为一种影响如此深远的技术也不例外：在为人类正常通讯、交流、共享提供巨大帮助时也为众多破坏行为，尤其包括对电子商务的破坏行为大开了方便之门。为此，计算机安全焦点公司的首席技术官埃里亚斯·利维总结说：“在某种意义上讲，因特网造就了全新一代的高智商罪犯。”但技术本身并没有错，关键在于使用该技术的人。对于使用同样技术又居心不良的人，也就是破坏电子商务安全的人而言，法律因为他们行为的虚拟性存在着取证、调查、侦缉上的困难；他们行为的合法界定目前也不明确、完整；而且从根本上讲，法律只能是事后预防，等他们的行为发生后才能介入，不能完全将之杜绝于未发生时；同时也必须要承认，尽管法律一直存在，但并不能完全杜绝犯罪，人类文明进程的任何时期都没有一个特定法案一颁布，所有的相关罪犯及行为就消失无遗的先例，因为法律并不能从根本上消灭犯罪。所以说，目前法律手段对于这些人颇显苍白无力。

电子商务网络安全技术 篇4

一、与网络安全相关的因素

网络安全从本质上讲就是网络上信息的安全, 包括静态信息的存储安全和信息的传输安全。从广义上讲, 凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全, 必须保证一下四个方面的安全:

1. 运行系统的安全;

2. 网络上系统信息的安全;

3. 网络上信息传播安全;

4. 网络上信息内容的安全。

为了保证这些方面的安全, 大家通常会使用一些网络安全产品, 如防火墙、V P N、数字签名等, 这些安全产品和技术的使用乐意从一定程度上满足网络安全需求, 但不能满足整体的安全需求, 因为它们只能保护特定的某一方面的, 而对于网络系统来讲, 它需要的是一个整体的安全策略, 这个策略不仅包括安全保护, 它还应该包括安全管理、实时监控、响应和恢复措施, 因为目前没有绝对的安全, 无论你的网络系统布署的如何周密, 你的系统总会有被攻击和攻破的可能, 而这时你会怎么半呢?采用一些恢复措施, 帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略, 下面我们将介绍一种整体的安全构架。

二、电子商务安全的整体构架

我们介绍的电子商务构架概括为“一个中心, 四个基本点”。一个中心就是以安全管理为中心, 四个基本点是保护、监控、响应和恢复。这样一种构架机制囊括了从保护到在线监控, 到响应和恢复的各个方面, 是一种层层防御的机制, 因此这种构架可以为用户构筑一个整体的安全方案。

1. 安全管理。

安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督, 安全策略的制定、实施、评估和修改, 以及对人员的安全意识的培训、教育等。

2. 保护。

保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护, 它通常是指一些基本防护, 不具有实时性, 因此我们就可以在防火墙的规则中加入一条, 禁止所有从外部网用户到内部网W E B服务器的连接请求, 这样一旦这条规则生效, 它就会持续有效, 除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁, 而且通常这些威胁不会变化, 所以称为静态保护。

3. 监控/审计。

监控就是实时监控网络上正在发生的事情, 这是任何一个网络管理员都想知道的, 审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包, 然后分析这些数据包, 帮助你查找已知的攻击手段, 可疑的破坏行为, 来达到保护网络的目的。

监控和审计是实时保护的一种策略, 它主要满足一种动态安全的需求。因为网络安全技术在发展的同时, 黑客技术也在不断的发展, 因此网络安全不是一层不变的, 也许今天对你来说安全的策略, 明天就会变得不安全, 因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情, 以便及时发现新的攻击, 制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护, 这种想法是错误的, 因为安全保护是基本, 监控和审计是其有效的补充, 只有这两者有效结合, 才能够满足动态安全的需要。

4. 响应。

响应就是当攻击正在发生时, 能够及时做出响应, 职向管理员报告, 或者自动阻断连接等, 防止攻击进一步的发生。响应是整个安全架构中的重要组成部分, 为什么呢?因为即使你的网络构筑的相当安全, 攻击或非法事件也是不可避免的要发生的, 所以当攻击或非法事件发生的时候, 应该有一种机制对此做出反应, 以便让管理员及时了解到什么时候网络遭到了攻击, 攻击的行为是什么样的, 攻击结果如何, 应该采取什么样的措施来修补安全策略, 弥补这次攻击的损失, 以及防止此类攻击再次发生。

5. 恢复。

当入侵发生后, 对系统赞成了一定有破坏, 如网络不能正常工作、系统数据被破坏等, 这时, 必须有一套机制来及时恢复系统正常工作, 因此恢复电子商务安全的整体架构中也是不可少的一个组成部分。恢复是归终措施, 因为攻击既然已经发生了, 系统也遭到了破坏, 这时只有让系统以最快的速度运行起来才是最重要的, 否则损失将更为严重。

三、安全架构的工作机制

在这处安全架构中, 五个方面是如何协调工作的呢?下面将以一个例子一介绍。假设有一个黑客欲攻击一内部网, 这个内部网整体安全架构就如前面介绍的一样, 那么现在让我们来看看这个安全架构是如何工作来抵制黑客的。

1. 当这处黑客开始缶内部网发起攻击

的时候, 在内部网的最外面有一个保护屏障, 如果保护屏障可以制止黑客进入内部网, 那么内部网就不可能受到黑客的破坏, 别的机制不用起作用, 这时网络的安全得以保证。

2. 黑客通过继续努力, 可能获得了进

入内部网的权力, 也就是说他可能欺骗了保护机制而进入内部网, 这时监控/审计机制开始起作用, 监控/审计机制能够在线看到发生在网络上的事情, 它们能够识别出这种攻击, 如发现可疑人员进入网络, 这样它们就会给响应机制一些信息, 响应机制根据监控/审计结果来采取一些措施, 职立刻断开断开这条连接、取消服务、查找黑客通过何种手段进入网络等等, 来达到保护网络的目的。

3. 黑客通过种种努力, 终于进入了内

部网, 如果一旦黑客对系统进行了破坏, 这时及时恢复系统可用将是最主要的事情了, 这样恢复机制就是必须的了, 当系统恢复完毕后, 又是新一轮的安全保护开始了。

四、结束语

网络安全电子商务 篇5

[摘要]计算机仿真是指通过实验模型去研究一个已经存在的或者正在设计的系统的过程。仿真实验不仅是对实验原型的再现,而且是按照实验的侧重点对模型进行研究,最终建立在模型系统上的实验技术。

[关键词]仿真实验实验教学

一、计算机仿真

计算机仿真就是将一个描述实际系统的数学模型通过第二次模型化,变成一个能够采用计算机运算求解的仿真模型,并在计算机内进行运转的过程,以此获得有关实际系统的定量信息、数据或资料,深化对实际系统的认识和研究。

计算机仿真的全过程:①建立描述实际系统的数学模型。②经二次模型化建立仿真模型。③仿真模型在计算机内运行,有必要再根据技术要求修改仿真模型并校验。④分析仿真运行结果,为研究、分析,设计和调整所研究的实际系统提供可靠的信息、数据。

根据仿真中所采用的计算机类型的不同,计算机仿真可分为模拟仿真和数字仿真。

1.模拟仿真

模拟仿真是采用模拟计算机作为仿真工具进行仿真,模拟计算机是一种连续变量的解算装置。它将被研究系统的各种物理量用机器电压来表示,通过由模拟电子器件构成的各种运算部件,进行模拟量的连续解算。

模拟仿真时,首先根据所研究系统的数学模型,用连续积分、降阶求解的方法变成仿真模型——模拟结构图,再选择合适的变量幅值比例尺,使实际系统变量与机器电压之间建立数量上的折算关系,然后将计算机中有关的运算部件按比例尺化后的模拟结构图进行连接。通过上机调试、运行,获得仿真结果。

模拟仿真的突出特点是仿真结果非常接近于实际系统的真实情况。这是因为模拟计算机采用机器电压代表实际系统的变量参加运算和输出结果,它是一个有正、负极性和连续变化的量,用它来描述连续系统的动态过程就显得逼真,和真实系统在测试设备上观察到的波形几乎完全相同。此外,模拟计算机运算部件采用的电路及所用的信号很简单,人们可以通过系数电位器的设置、调节和运算部件连接关系的改变,方便而迅速地改变系统的参数和修改系统的仿真模型,人机联系很方便。

2.数字仿真

数字仿真是使用数字计算机作为仿真工具进行仿真。数字计算机是一种离散量的计算装置,它将实际系统数学模型中连续变化的物理量离散成一组组二进制码表示的数字量,经过机器码的运算求得数学模型的解答,输出一组组时间离散节点上的数值解答。

数字仿真的大致过程:①建立被仿真系统的数学模型。②将数学模型经数值计算方法改造成仿真模型。③编写仿真程序。④键入并运行仿真程序,获得仿真结果。

二、仿真实验在教学中的应用

仿真实验是开放式实验教学的重要资源组成。所谓“仿真实验”,是相对于实物实验而言的,两者的主要差别在于:实验过程中所触及的对象与事物是否真实。在实物实验中所采用的实验工具、实验对象都是以实物形态出现的;而在仿真实验中,不存在实物形态的实验工具与实验对象,实验过程主要是对虚拟的实验仪器及设备进行操作。仿真实验虽然难以达到与实物实验完全一样的程度,但其良好的教学效果仍显而易见,其表现如下。

1.营造多样化教学环境,提高学习兴趣

对大多数学生来说,在预习实验的时候,会感到书上一些概念性的介绍很抽象。虽然有些仪器附有图片,但是仍然显得很单调。学生预习起来容易缺乏兴趣,对实验原理并不能真正理解。如果学生以前没有接触过该实验的仪器,实验中就有可能因使用方法不当而进行误操作,造成实验中断、仪器损坏。仿真实验可以提供形象直观、内容丰富的学习环境,图文并茂、动静结合、节奏有序的实验内容,并以声音、图像等丰富的表现力帮助学生进行多感官的学习,这样无疑会增加学生的兴趣,调动他们学习的积极性,促进学生对实验仪器的熟悉和对实验原理的理解。特别是一些对学生来说陌生而复杂的仪器,经过仿真实验的练习,操作起来既轻松又胸有成竹,从而提高教学效率。同时,降低了大大了损坏率。

2.打破时间和空间的局限,确保开放式实验教学的实施

将仿真实验与网络相结合,以网络为平台开展仿真实验教学。学生可以利用校园网或Internet对实验教学内容进行课前预习和课后复习,使教学内容在时间和空间上得到延伸,学生能够充分的学习和掌握实验教学内容。作为一个“开放的实验室”,学生可以根据自己的时间,在任何地点自主学习,利于学生根据兴趣选择,并能满足不同层次学生的学习需求。同时,给学生提供了自学实验的环境,培养了学生对实验的自学能力。公务员之家

3.节省实验经费,提供无惧环境,保证实验的项目和数量

自然科学前沿领域的高新技术设备价格昂贵,目前伴随着高校办学规模的不断扩大,受教育资金的限制,高校仪器设备的数量和种类相对匮乏,传统单一的实验教学模式已远远不能满足实验教学的需求。多媒体仿真实验以较少的投入,更大灵活性的缓解了上述的矛盾。同时学生可以按自己的设想在多种实验环境中搭建自己的实验。另一方面,部分实验还具有一定的危险性,因此许多学校在开设实验项目时常有所保留,学生也不敢大胆尝试实验。这在很大程度上扼杀了学生创造能力的发展。仿真实验系统认错性很强,在模拟的过程中学生操作一旦出错,系统立即指出调节错误,如果前一步调整不好就不允许进行下一步,迫使学生反复演练直至成功,学生的创造性思维会得到良好的发展。从而保证了实验的项目和数量。

4.真正实现理论教学与实验教学的结合仿真实验可以经过设置或再开发,作为理论教学的辅助工具。一些在学科发展中做出了历史性贡献的典型实验都可以利用仿真实验展现于课堂教学中,通过实验的方法引入新的概念和规律,把理论教学与实验教学有机的融为一体,按照科学探索和研究的过程进行教学,这样可以开阔学生的视野,提高学生实验的学习兴趣。仿真实验以仿真的仪器为主要器材,它所仿真的元器件、仪器仪表和系统功能与真实的硬件存在着必然的差异。仿真实验虽然新颖有趣,但与真实实验仍有距离感。并且,将仿真实验应用于教学,它的整个教学过程都是在计算机上操作完成的,在教学应用中不可避免地具有一定的局限性。

参考文献:

网络安全电子商务 篇6

关键词：PHP；网络安全；电子商务

中图分类号：TP393.08

1 PHP简介

作为语言程序的一种，PHP最初是以维护个人网页为主要目的被创造出来的。1994年，Rasmus Lerdorf首次利用Perl语言编写了PHP语言程序，后来经过改造重新采用C语言进行编写。经过不断地完善和改造后，PHP能够和数据库进行连接，生成简单的动态网页程序。而在1995年，Rasmus Lerdorf把经过完善和改造之后的PHP开始对外发表，并发布了PHP1.0。PHP1.0能够为网页提供访客计数器等简单的功能。当PHP1.0推出之后，使用这种语言程序的网站越来越多，而对于PHP1.0的需求和要求也越来越多。PHP在专业人员的不断开发和研究之下，一直到现在，PHP已经发展到有PHP5.6.2，并对于PHP6.0有了初步的设想。随着PHP的出现和发展，PHP已经逐渐成为ASP和JSP的取代品。PHP语言和ASP语言虽然都是当今全球较热门的网站程序开发脚本语言，但是PHP语言程序有自己的优点，例如成本低、运行速度快、可根据网站运行情况内置丰富的函数库等，所以总的来说，PHP既能够拥有其他类型网站语言程序的优点，还具有一定的简易性，可以在不同平台间灵活移植，其发展潜力是无可估量的。

2 在电子商务中容易出现的网络安全问题

随着时代的发展，网络经济的发展不断繁荣起来，加上网络经济的便利性，电子商务日益受到人们的重视。人们普遍会把介绍互联网进行的网络交易活动视为电子商务，电子商务活动并不仅仅是企业和企业之间的交易，更多的是个人和企业之间、企业内部所发生的商务活动。在网络上进行交易活动，最重要的就是信息的保密性和安全性，互联网中的信息最容易导致电子商务中出现多种网络安全问题：

2.1 对于用户的输入未能够进行全面的认证

以电子形式进行交易，取代了传统的纸张交易形式，交易的双方可以进行远距离交易，变得更加便捷和简单。但是从另一方面看来，电子商务方式令交易双方的身份也变得更加模糊。进行交易的双方可能素未谋面，更可能是陌生人，所以在进行交易的期间，确认对方身份和认证双方的输入是十分重要的。确认双方的真实身份不仅能够令交易的双方相互信任，还可以令整个交易过程变得更加方便和安全。

2.2 交易信息的保密性

在电子交易的过程中，交易双方需要输入多种信息，如交易双方的个人信息、密码、邮箱等，这些信息对于交易双方都十分重要，因此对于这些信息必须要进行严谨的保密工作。一旦出现泄露或者被盗取的情况，不仅会令企业失去了商机，甚至会对用户造成财产性命安全的威胁。因此，在进行电子商务的交易过程中，必须要确保交易信息的安全性，做好预防工作，避免信息被非法盗取或者泄露的可能性。

2.3 网络漏洞未能够及时发现

网络交易的整个过程中，其安全保证就是网站的安全代码设计。但不少网站开发和设计方对于网站安全代码设计并不重视，而且对其了解并不深入。这一缺失导致网站在实际的运营中容易被黑客发现漏洞，并从漏洞入侵到网站的数据库中。而另一方面，如果开发方发现网络存在这漏洞，其修补方式也比较片面，只着重于网站的页面修复，对于出现漏洞的主要原因和设计不进行深入的研究，更不用说对网站安全源代码的设计进行完善或者改造了。

2.4 交易平台的可靠性

电子商务系统实际上就是计算机系统，而所谓的交易平台的可靠性是就是防止计算机系统在运行过程中出现信息失效、程序错误、传输错误、硬件故障、系统软件错误等错误，导致对交易信息产生潜在的威胁，对交易平台的运行工作进行严格控制和预防，确保电子商务系统运行的安全性和可靠性。要确保电子商务交易平台的可靠性，主要的工作内容是确保计算机系统的安全，在电子商务系统数据传输、数据存储的过程中，确保信息的完整性和保密性。计算机网络本身容易遭到外界的破坏和入侵，而计算机网络最容易受到入侵的形式是计算机病毒。所谓的计算机病毒，实际上就是通过修改其他程序而把自身或其变种不断自制的程序，还可以通过网络、数据传输等方式“传染”其他计算机。目前我国遇到较为严重的计算机病毒主要有计算机蠕虫、特洛伊木马、以及逻辑炸弹。这几种病毒能够对电子商务的交易平台产生不同程度的伤害，间接或者直接地伤害到交易双方的利益。

3 PHP网络安全在电子商务的应用

3.1 对于电子商务系统的输出应进行适当的转义

对于电子商务系统的输出为能够进行适当、及时的转义，也会对电子商务系统带来一定的安全漏洞，而跨站脚本漏洞就是一个很常见的案例。假设某网站能够为游客提供一个能够发表评论的网络系统，并采用表单的形式进行数据提交。这种网络运营方式对于一般的用户并不会带来太大的问题。但是对于某些不怀好意的黑客来说，这就为他们入侵该网站带来了大好机会。当黑客想要盗取登录用户的cookies的时候，并不需要真的需要在网站中发表评论，他们可以把某些特定的Javascript代码作为评论内容，在该网站中进行提交，即可盗取到登录用户的cookies。举个例子，如果该网站在信息输出前，没有对黑客所提交的评论内容进行适当，或者任何形式的转义的话，那么这段特定的Javascript代码就会被其他登陆用户的浏览器执行，而在这个浏览器进行评论的登录用户的cookies就能够直接发送到http：//cheat.evil.org/hook.php中，而这名黑客黑客只要利用$_GET['cookies']，就可以轻松盗取到该网站登录用户的cookies了。这是跨站脚本漏洞一个较为经典，但同时也是比较常见的网络攻击实例。为了避免这种网络攻击案例的发生和出现，该网站只需要在把登录用户的评论内容输出到客户端浏览器之前，利用htmlentities（）函数对输出内容进行适当的转义。这个函数就能够把网站输出内容中可能包含的html标签转换成html实体，令黑客输入的Javascript代码不能被浏览器执行。当然，在不同情况下，对于输出信息的转义方法也会有所不同，转移的方式并不仅仅是并不局限于htmlentities（）函数，但需要注意的是，不论是什么网站，任何时候，都需要对系统的输出进行适当的转义，这样才能够确保黑客不会有机可乘。

3.2 PHP加密扩展库

为了确保交易双方的信息安全，一般都会对交易信息进行加密工作。而在PHP中，一般会对扩展库进行加密。这种加密方式不仅能够对数据进行加密工作，还可以确保在传输过程中不被盗取或者泄露出去，為交易双方都带来了一定的保障。而常见的加密算法是采用mcrypt算法和mhash算法：

3.2.1 mcrypt。在mcrypt提供的数据处理函数中，较常用的函数有两个，分别是mcrypt_encrypt（）函数和mcrypt_decrypt（）函数。前者是对交易数据进行加密的函数，而后在则是常用的对数据进行解密的函数。

3.2.2 mhash。Mhash支持的所有算法的名字都是以MHASH_开头，而常见的算法有CRC32 HAVAL160 MD6和CRC32B HAVAL192 RIPEMD160等。

在电子商务系统的运行中，网站和信息的安全问题日益成为人们关注的重点，要避免这些问题的出现，就需要专业的开发人员在研究和开发的过程中，对于安全问题多加注意，一旦发现漏洞，必须要对其进行彻底的处理和解决。PHP的网络安全技术只能够属于一种简单的安全技术，避免交易数据在传输的过程中被盗取或泄露，如果想要提高网站运行的安全可靠性，更多的还需要配合安全等级更高的安全服务器。

参考文献：

[1]滕萍.云计算技术发展分析及其应用研究[J].信息网络安全，2012（11）：89-91.

[2]傅慧.动态包过滤防火墙规则优化研究[J].信息网络安全，2012（12）：12-14.

作者简介：闫红梅（1983.05-），本科，理学学士，讲师，研究方向：计算机科学与技术。

浅谈电子商务的网络安全问题 篇7

1 我国电子商务安全的现状分析

与传统的商业安全相比,我国目前的电子商务安全呈现不同的特点,这些特点可以概括为以下几个方面。

1.1 商务用户病毒感染呈上升趋势

2007年,我国网络病毒感染率为历年来最高。多次感染病毒的比率仍然维持在较高水平。在不同的时期,出现不同形式的电子商务网络病毒,继2006年5至6月份相继出现针对银行的木马病毒和进行网络敲诈活动的“敲诈者”病毒以后,到2006年11月,我国又连续出现了“熊猫烧香”、“仇英”等盗取网上用户账号、密码的病毒。病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪呈公开化、大众化趋势。

1.2 网络病毒传播的途径发生变化

以往病毒传播主要通过网络进行。目前,通过移动存储介质传播的比例明显上升。存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘等各种类型的移动存储介质的广泛使用,病毒、木马通过Autorun.ini文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。

1.3 旧病毒继续存在,新病毒不断出现

2007年我国存在的十大病毒中,2006年已经存在的“木马代理”病毒仍然蝉联了2007年的最流行病毒。这表明木马具有强大的生存能力。这种病毒可以从指定的网址下载木马病毒或其他恶意软件,还可以通过网络和移动存储介质传播,当系统接入互联网,可能会盗取用户的账号、密码等信息并发送到指定的信箱或者网页中。十大病毒与盗取密码有关的病毒还有“网游大盗”、“艾妮”、“熊猫烧香”、“梅勒斯”、“QQ木马”和“传奇木马”,它们都具有窃取用户的游戏账号和密码的功能。

1.4 网络病毒对电子商务造成的损失不断加大

调查结果显示,浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗对电子商务造成严重的破坏后果。

1.5 病毒本土化趋势更加明显

很多病毒主要是针对国内一些应用程序专门制作的,如每一款网络游戏和网络银行病毒都与相应的网络游戏和网络银行现行的程序相适应。由于病毒编制者广泛采用加壳技术,病毒变种速度快,网上甚至出现病毒制作工具,可以根据需求直接制作生成新病毒。

2 我国电子商务的几种安全对策

安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。电子商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。

2.1 加密技术

加密技术是电子商务信息安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。

2.2 认证技术

在2007年8月6日国家银监会办公厅发布的《关于严厉打击涉及公共安全的违禁品网上非法交易的通知》里,第3条指出加强网银系统电子签名、身份认证和日志审计机制建设,提高网上交易数据的真实性、完备性、可追溯性和安全性,将每次网上支付的详细信息记录在网上银行的日志系统中,并保持足够时间的备份,以便进行事后审计和法律取证。认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。在网络化的电子商务中,客户、商家和银行三方如何取得信任是一个关键性的问题。为此,需要一个三方都认为可信赖的中间机构,来提供一种认证服务。这个机构就是认证中心(CA)。

2.3 电子商务的安全协议

除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。SSL和SET都是电子商务中的核心安全技术,但是,由于技术和人为的因素,这两种技术目前都存在着应用局限性。

2.3.1 安全套接层协议SSL

SSL (Secure Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。SSL被设计成使用TCP来提供一种可靠的端到端的安全服务,不是单个协议,而是二层协议,低层是SSL记录层,用于封装不同的上层协议,另一层是被封装的协议,即SSL握手协议,它可以让服务器和客户机在传输应用数据之前,协商加密算法和加密密钥,客户机提出自己能够支持的全部加密算法,服务器选择最适合它的算法。

2.3.2 安全电子交易协议SET

为了克服SSL安全协议的缺点,两大信用卡组织,Visa和Master-Card,联合开发了SET电子商务交易安全协议,主要为在网上在线交易时保证使用信用卡进行支付时的安全面设立的一个开放的协议,它是面向网上交易,针对利用信用卡进行支付而设计的电子支付规范。SET提供了消费者、商家和银行之间的认证,确保交易的保密性、可靠性和不可否认性,从而保证在开放网络环境下使用信用卡进行在线购物的安全。目前,SET已得到IBM、Microsoft等著名公司的参与和支持,是国际上所公认的Internet电子商务的安全标准。总的来讲,由于SSL协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而其应用也相对较广泛。目前我国已有多家银行采用SSL协议,开展网上银行业务。SET协议比较复杂,它还要求在银行网络、商家服务器、客户端的PC上安装相应的软件,此外还要求必须向各方发放数字证书。这些都阻止了SET的广泛发展。但从安全性角度看,SSL协议不如SET协议安全,对于使用信用卡支付的系统来说,SET协议是最好的选择。结合我国的具体情况,可以预见,电子商务安全措施在我国的发展趋势将是SET与SSL共存,优势互补。即在商家与银行之间采用SET协议,而与顾客连接时仍然使用SSL协议。这种方案既回避了在顾客端机器上安装软件,同时又可获得SET提供的很多优点。

总之,随着电子商务的发展,电子交易手段更加多样化,安全问题会变得更加重要和突出。近年来我国相继出台了《互联网信息服务管理办法》、《互联网电子公告服务管理规定》、《互联网从事登载新闻业务管理暂行规定》等相关法规,所有这一切对规范电子商务的行为起到了重要作用。但是和网络经济发展的要求相比还有不小的差距。所以在政府的领导下,涉及到电子商务的诸多领域还需不断地发展、更新技术,才能更大地促进网络经济。

参考文献

[1]陈兵.网络安全与电子商务[M].北京:北京大学出版社,2006.

[2]湖北日报(第一版),2007-09-24.

[3]宋文官.电子商务概论(第2版)[M].北京:清华大学出版社,2007.

试析电子商务网络安全体系的设计 篇8

1电子商务网络安全性分析

1.1网络环境影响

网络环境具有一定的开放性,从而导致了数据安全问题的出现。比如,某房产进行网上交易时,交易数据以数据包的形式传送,那么一些不法犯罪者可能会对其恶意攻击,在网站上进行数据拦截,从而获取数据内容,展开诈骗或者恶意修改等行为[1]。数据在传输过程中,如果没有强有力的防护措施,网络黑客就很容易在网络端口攻击漏洞,进而获取商业机密。攻击者如果没发现系统漏洞,也可以转向协议方面进行Dos攻击,这样攻击者就成为合理服务对象,占用合法用户的服务资源,使得用户无法获得需求的网络资源。 这是一种比较常见的攻击手段,影响到用户正常的网站访问。

1.2信息安全性

用户在进行电子商务交易时,会泄露许多个人信息,这可能会对个人隐私和财产安全造成危害。另外,一些用户的登录地点可能是网吧或者便利店等,如果那些电脑有木马程序或者病毒,那么用户名或者银行卡口令等都可能被攻击者盗取。攻击者掌握交易信息后,可以随意地篡改信息,或者冒充商家发送信息,伪造订货单据,从而给交易双发造成巨大的经济损失[2]。随着科学技术的发展,电子商务个人信息受到威胁的可能性越来越高,相对而言,由于网络的共享性和全球性,攻击者不容易被找到,使得网络犯罪行为较为猖獗。当前电子邮件与压缩文件使用较为普遍,一些不法分子可以通过这些经常使用的文件传播病毒,其病毒种类繁多,所造成的破坏也有一定的差异,电子商务用户难以对其进行防范。

1.3网站构建漏洞的问题

企业在制作电子商务网站时,其设计就可能存在一定的安全隐患,攻击者可以通过SQL注入,跨站攻击网络系统, 从而窃取大量用户的信息,给企业带来难以估量的经济损失。目前,许多网站花费巨资构建网络安全设备,可能由于网站的使用问题,这些设备的使用期望值并没有达到,还有网站配置的技术人员,专业素质与网站安全需求不相符,当安全设备进行设置时,会出现相应的安全问题,而网络管理者还不能有效解决这些问题。

1.4数据修复问题

事物是不断发展变化的,网络安全技术被攻破只是时间的问题,现在我们需要考虑一个比较实际的问题,就是网站攻破后,如何尽快恢复数据,减少财产损失。为应对这一问题,电子商务部署数据恢复机制是十分必要的。比如,建立磁带备份与网络软件备份,这样在系统硬件受到破坏时,电脑可以立即恢复系统和数据。

2电子商务网络安全体系的构建

2.1访问控制

电子商务网站进行网络连接时,一般是由路由器连接, 如果没有防护措施,相应的这个服务器对外是没有防备的。 攻击者通过系统扫描或者远程探测,就可以探测出网络安全体系的构建漏洞,从而对其发起攻击。为应对这一问题,目前,最有效的办法就是在网站之间建立访问控制[3]。

2.1.1建立防火墙

防火墙属于计算机的功能模块,也是软件与硬件的整合体,在网页访问时,防火墙属于第一道防线,其作用是不可忽视的。防火墙可以把网络的受攻击可能性减少,对一些没有安全证书的网站做IP地址限制,限制一些外部网络操作。 由于网络访问都要通过防火墙,那么就可以在此程序上拦截攻击软件。还有,防火墙可以转换地址,使得外部攻击者不容易发现攻击目标。原则上只有安全合法的信息才能进出防火墙,那么防火墙就能保证数据的完整、精密性,也便于资源的统一管理,下图是防火墙功能。

2.1.2用户认证与VPN技术

网络用户认证十分重要,因为这样可以保证数据传递的机密性。通过审核与认证可以辨别接受信息的真伪性,也可以达到监视网络信息传送的目的。对于企业网站扩展访问问题,可以采取部署VPN的措施,VPN技术属于临时性的安全连接,也是一条内部网站扩展的安全隧道。

2.1.3入侵防御

入侵防御是对防火墙安全设置的补充,能结合其他安全系统对网站展开全方位保护。在防御措施上显得更加的主动,可以对网站边界数据实时检测,与此同时,还能对服务器数据检测,更加及时地拦截各种破坏数据。入侵防御主要集中在控制台,以管理检测网络访问行为为主,发现网络违规访问模式会立即做出安全防御反应。

2.2电子商务系统防护

2.2.1商务应用防护

电子商务系统防护构建是十分紧迫的,攻击手段的创新不容小觑。电子商务网站防御体系,不但要抵御恶意进攻, 还有具备自我防范与修复功能[4]。所以,其需要一个健全的扫描机制,能够第一时间发现网站漏洞和木马间谍,然后展开修复与完善功能。在此过程还要建立追踪日志,为后续的追溯问题提供资料,然后,通过分析对比快速的解决问题。

2.2.2操作系统防护

网络结构的重要组成就是服务器,服务器的安装操作都是需要特别注意的。目前,服务器的系统平台还存在一定的安全隐患,只有针对这些问题采取相应的处理措施,才能解决其安全隐患。所以,服务器的升级一定要及时,还需要构建全方位的防毒系统,从而强化服务器的薄弱环节。

2.2.3数据备份

在电脑使用过程中,可能会突发不确定事件,导致电脑不能够正常运营。比如断电、火灾、地震等自然灾害都会对电脑系统造成毁灭性的影响,那么针对这些突发事件,就要考虑电脑数据的后续恢复问题。目前,主要是部署电脑存储的内部系统,选择较为重要的数据安置在储存网络中,然后把这些数据拷贝到磁带设备中,这样系统即使出现崩溃的现象,这些数据的保留也会比较完整。

2.3数据加密

电子商务安全体系的最基本防御措施就是数据信息加密,数据加密的设计原理是,把信息明文设置成需要加密的密文,这些密文的传输就具备一定的保密性[5]。并且数据加密符合数据保密需求,现在数据加密主要分为两种类型。 一种称为对称算法,就是数据的解码只有一个,其加密密钥是一样的,这样有利于密码的记忆,比较简单方便。另一种就是公钥算法,与第一种不同的是它有两个密钥,并且两个密钥不能够相互推导。

2.4电子交易协议

针对电子商务出现的技术缺陷,可以采用电子交易规范原则。划分和明确电子商务交易方的权利与义务,使得电子商务交易更加规范。其规范制度也有利于商务信息的完整保密性,从而保证合法使用者的身份具备法律支撑。

3安全管理

电子商务安全支付系统的构建,在确定了安全技术方案后,还要健全安全实施管理工作。这样才能把安全支付系统落实到实际工作中,将其组织、策略、技术有机整合起来, 最终实现电子商务的安全体系构建。

3.1统筹全局、统一规划

电子商务的安全问题,要从整体统筹规划考虑。只有整体机制健全,才能让其各个部分协调起来。当然,也要紧抓支付系统出现的关键性问题,从而集中主力快速解决这些弊端漏洞。在机制建设过程中,不要忽视小问题,小问题往往是其薄弱部位,容易成为攻击者寻找的漏洞目标。

3.2防治结合

防治结合是指电子商务出现的不安全因素都要考虑,并且针对这些不安全因素要采取相应的对策措施,在根源上避免其发生,如果出现就能立刻找到办法解决。

4结论

网络安全电子商务 篇9

网络的安全性是确保电子商务持续发展的重要因素, 同时也是困扰电子商务企业经营领域的重要问题,对我国电子商务的发展造成了严重的阻碍。 电子商务是一种在因特网上公开进行非面对面交易的有效交易活动,如订货信息、支付信息、谈判信息以及商务往来文件等都可以在网络上进行传输,海量的商务信息都需要存放在计算机系统中, 并直接通过网络进行传输与处理,电子商务企业不仅需要对Internet网络使用的权限进行限制,以防商业机密发生泄露,因此确保计算机网络的安全性是电子商务能能够顺利进行的重要前提。

2 电子商务的概述

2.1 电子商务概念

面对日益激烈的全球性经济竞争, 我国各类与电子商务有关的企业, 不仅要面对国家加入WTO之后日益激烈的国际竞争, 还要加速信息技术的进步一应用和发展,当前,对于电子商务的准确概念还没有一个比较权威的解释, 很多专家与学者都曾尝试从不同角度上对电子商务的具体内涵与外延进行定义。 就现实情况而言,人们对电子商务的认识大致可归为广义与狭义两种类型。 狭义电子商务又叫做电子贸易, 是指借助于计算机网络直接在的网上进行交易活动的贸易。 而广义电子商务,则是包括了电子交易在内、所有采用Internet进行交易的商务活动,并且部分商务活动不受到企业的局限,甚至包括企业内部、个人以及企业间进行的全部商务活动。

具体来说,电子商务就是指各类具有商业活动能力的实体,运用计算机技术、网络以及远程通信等现代信息技术,来实现商务的电子化、数字化、网络化及自动交易的商业活动。 电子商务交易的流程如图1 所示。

2.2 电子商务对网络安全的要求

(1)交易有效性。 交易的有效性就是指确保电子定单信息的不可否认性,也就是交易双方不得在对方未同意的情况下改变效易的内容或单方面取消交易。 (2)机密性。 交易的机密性就是指确保交易信息的保密性,保障用户的各类信息不被窃取,保证货源定单信息不会被竞争获得等。 (3)完整性。 交易的完整性就是确保交易双方的手续与与交易相关的信息均完整有效。 (4)真实性与不可抵赖性鉴别。 即确定贸易伙伴身份和电子定单等信息未在传输过程中被篡改。

3 当前我国电子商务中网络安全的现状

3.1 网络础信息技术过于依赖国外技术

当前,我国在计算机芯片、操作系统、骨干路由器以及数据库管理系统等核心技术都比较缺乏,这也是我国网络信息安全面临的“根本问题和隐患”。 由于我国电子商务网络中应用的信息技术多为国外引进,信息技术与设备都缺乏信息安全保护,难免要进行一定有效的管理与技术改造,一旦管理和改造不当,就可能会对其本身的安全性能造成影响,降低设备应用的安全性。

3.2 信息安全管理制度不完善

当前,我国还没有一个相对宏观的信息安全规划与权威统一机构, 信息安全管理部门依然还处于条块分割、各行其是、相互隔离以及沟通协调的局面,在很大程度上对国家相关法规的贯彻执行造成了阻碍。

3.3 病毒种类日益多样化,更新速度也日益加快

相关的调查显示,2011年上半年受到木马病毒侵害的网页数量就超过了3.5亿之多,近13亿网名层访问到了挂载木马,仅春节时段,网上木马的数量就上升了60万,该数据充分说明了当前我国电子商务而临的要安全问题非常严峻。此外,近年来网络病毒的数量不断增加,病毒的种类越来越多,变化的速度也日益加快,虽然我国的杀毒软件更新和升级的速度也有所加快,但依然无法的阻止病毒投放者的投毒行为,加上一些病毒直接通过下载器投入到网络中,这种病毒能够自动被下载下来,且进行自主更新,难以彻底删除,给网络杀毒工作造成了很大的困难。

3.4 传输文件容易被篡改

当前,用户浏览器经常遭到肆意修改,很多重要信息和数据丢失,系统使用要限受到限制,密码被盗等情况越来越多,这一情况给电子商务的发展的造成了巨大的伤害,对电子商务行业的正常用运行造成了严重的影响,很多病毒的攻击性与破坏性都非常强,进入网络系统后,这些病毒会非法攫取用户的文件信息,给用户造成巨大的经济损失。

3.5 网络病毒的传播方式日趋多样化

传统的网络病毒大部分都是利用网络媒介进行传播的,而近年来,网络病毒的传播方式也发生了变化,能够通过移动设备进行传播病毒越来越多,储存的媒介也成为了病毒传播的重要途径,尤其是U盘和移动硬盘等可移动储存设备的运用,更为木马病毒的传播提供了更多的途径, 这些病毒会通过一些特殊文件自动将移动储存设备内部的木马病毒激活,破坏计算机系统。

4电子商务网络安全的有效防范措施

4.1 加大宣传力度,提高用户的安全意识

当前,大部分网络用户的电子商务安全意识都比较弱,缺乏自我的信息保护意识,给很多网络犯罪分子创造了机会, 因此电子商务企业应该强网络安全宣传力度,提升用户的安全意识,让用户能够及时察觉一些对网络安全造成影响的行为,让网络用户意识到网络信息安全的重要性,提高用户网上交易的安全意识,学会使用科学的安全防范措施,确保网络交易的安全性。

4.2 建立完善的网络信息保密制度

电子商务企业应该针对涉及信息保密、口令、密码保密、日常管理、通信地址保密、工作日记保密以及系统运行状况保密等方面,建立一套严格的保密制度,依据信息的轻重程度对保密的级别进行划分,并制定出科学的保密措施。

4.3 建立健全的网络系统维护制度

网络系统维护制度是确保企业网络系统长期安全、稳定运行的基础条件,应由专门的网络管理技术人员负责承担,要求网络管理技术人员做好硬件系统与软件系统的日常管理维护工作,且为了安全起见,企业应该明确规定,除技术人员之外其他任何人不得擅自介入管理工作。

4.4 运用多重网络安全保护技术

网络技术是电子商务运行和发展的核心,电子商务企业想要从根本是确保电子商务网络运行的安全性,就必须重视网络技术水平的提高与软件系统的更新。 当前,电子商务企业比较常见的网络安全技术主要有防火墙、物理隔离以及虚拟专用网络等,其中应用最为广泛的是防火墙技术,防火墙技术可以同在网络内部与外部网络之间建立一个保护屏障,不仅能够有效抵御外界病毒的攻击,还能有效防止内部服务器被一些未经授权的用户攻击。 因此,网络安全管理人员应该定期到网络中下载防火墙程序补丁, 以确保防火墙可以高效运行,同时网络管理人员应该对网络系统进行严格的监控,一旦发现网络中出现安全问题,应该立即进行处理,把网络安全隐患降到最小。

4.5 提高网络技术管理水平,确保网络交易环境的安全性

(1)提高网络技术管理的水平,是确保电子商务网络交易环境的基础。 因此,电子商务企业应该依据自身的实际情况,在企业内部制定出一套完善的工作标准与要求,对企业内部工作人员对网络共享资源使用的具体情况进行监控, 坚持绝不轻易开放共享内容的原则,对于经常更换信息的用户应该进行共享加密,并坚持密码和信息的对应,让用户通过密码验证之后才能访问相关的数据。 (2)确保用户秘密信息的安全性,尽量少使用一些不经常使用网络服务端口,并且对的服务内部的重要信息和数据进行备份。

4.6 国家建立相关的电子商务认证机构

电子商务认证机构是现代电子商务的重要部门,承担着维护电子交易安全性的重要责任,因此我国的相关部门应该完善电子商务安全运营管理制度,构建一个完整的电子商务认证体系。当前,常见的电子商务认证模式有:当事人自由约定型电子商务认证模式和政府主导型电子商务认证模式。但就实际情况而言,我国的电子商务发展刚起步,很多地方都比较落和不完善,许多用户还不了解电子商务,无法在交易或者出现问题时,提出对自己比较有利的条件,并且在交易双方实力比较悬殊的状况下,弱势的一方无法采用谈判的形式来得到公平结果,因此当事人自由约定型电子商务认证模式不适合在我国使用。而在政府主导型电子商务认证模式中,国家政府可以在认证中对很多问题进行详细的规定,并且认证的结果通用性非常强,并且政府上导认证机构具有一定的强制性和权威性,可以保证认证的有效力,并且有权对认证机构的行业准则进行规定,对各类认证机构开展的业务活动进行监管,严肃处理一些违反行业规则的不法行为,确保电子商务用户的合法权益得到保障。

5 结束语

总之,随着经济的全球化,信息技术和信息产业的发展日益加快,电子商务必将成为未来商务信息交流的主流。 但就目前而言,中国电子商务依然还处于初始阶段,因此,中国电子商务企业必须具备战略性与前瞻性的眼光,合理运用多重网络安全技术,提高网络用户的安全防护意识,确保电子商务交易环境的安全性,推动我国电子商务的进一步发展。

参考文献

[1]贾丽飞.电子商务与网络安全[J].无线互联科技,2014,(9):31.

[2]杨荣强.浅谈电子商务的网络安全问题[J].福建电脑,2014,30(3):117.

电子商务网络信息安全问题研究 篇10

1 电子商务安全研究要点

从B2C平台电子商务网站企业信息风险及产品购买者信息风险两个方面,对电站商务网站信息安全问题进行阐述。通过对基于B2C平台的电子商务网站的客户信息安全研究,客户在进行B2C平台上的电子商务活动的时候就能真正感觉到电子商务带来的方便和快捷。倡导电子商务安全技术是解决信息泄露的主要原因,以此为依据拟定网络安全保护方案。

2 电子商务网络信息风险的表现

随着互联网技术的发展,电子商务也越来越紧密的融入到人们的生活中来。伴随着几家大型B2C电子商务网站的异军突起,B2C平台上的电子商务活动也就越发的火热起来。同时,B2C平台的电子商务网站客户信息的安全性普遍被质疑,作为电子商务最为多见的营运模式,B2C平台电子商务与网站此时此刻面临着巨大的信任危机。电子商务网络信息风险的表现:

2.1 商家信息风险

商家是B2C模式中产品的供应方,其对产品销售活动具有绝对的主导权,并且能够为顾客提供跟多的产品销售信息。从电子商务网络运行情况看,商家也面临着不同程度的信息安全风险,这类风险往往会对其持续经营造成不利的影响。

2.1.1 产品信息

产品是电子商务营销的主体,不同产品选择互联网销售的方式不一样,这就需要商家根据电子商务提供的平台与空间,拟定一套适合自己的销售方案。B2C网络具有共享性,商家编制产品销售方案有可能被其它商家共享,同一种网络销售模式被多次复制使用,这种信息资源共享威胁到了商家们的正常利益。

2.1.2 价格信息

价格是根据产品采购成本综合计算而定的,市场上价格高低往往决定了商家的销售量,与最后利润高低也有密切的关联性。B2C具有开放性特点,商家对外公开价格信息之前,很多非法商家利用网络攻击盗取数据库信息,从B2C数据库中挖掘价格信息,从而恶意降低产品的市场价格,这就给正规销售商定价造成很大的难度。

2.2 顾客信息风险

顾客是B2C模式的另一大主体,电子商务普及应用过程中,顾客信息是各大商家争夺的焦点。对于任何一家电子商务企业而言,掌握客户资源就是其长期销售盈利的关键点。如今,B2C模式中消费者信息正面临着巨大的风险隐患。

2.2.1 购买信息

电子商务网站对消费者建立的购买信息渠道,由顾客根据购买意愿填写相关的订单,把个人信息录入到电子商务数据库作为备用档案。网站对顾客填写订单信息缺乏保护机制,大量客户个人隐私被公布于众,如:邮寄地址、联系电话等,这无疑给不良商家宣传提供了渠道,对消费者个人隐私造成了严重的威胁。

2.2.2 账户信息

近年来,基于B2C购物网站已经出现了很多信息泄露事件,消费者电子网站账务及密码丢失,导致与银行相关联账户信息被泄露,账户资金被恶意消费或取出,给网络购物者造成了严重的经济损失。账户信息丢失意味着资金有可能被窃取盗用,非法者利用转账方式把消费者账户资金取走,这是电子商务网站最大的缺陷。

3 电子商务网络信息安全技术应用

信息科技是推动人类社会发展的主要动力,借助科学技术成果可以实现行业经验的创新改革,带动商业集群模式的优化改进。解决电子商务网络信息安全问题,必须要依赖于安全技术的灵活应用,借助数据安全技术防范信息安全风险,这是电子商务网络安全运行的核心保障。企业需坚持以电子商务平台为发展中心,不断建立符合电子商务经济体制的安全防控技术,促进商务办公网络的安全化发展。结合现有的计算机控制技术,电子商务网络安全技术包括:

3.1 数据加密

电子商务网络信息安全威胁着企业与用户的切身利益,利用数据加密技术可有效防止重要信息的丢失。网络安全系统设计与规划中,设定文件数据加密流程以降低信息的丢失率,增强网络数据的抗风险能力。数据加密是对数据文件执行加密、解密的过程。利用数据加密技术作为安全控制对象,能够实现商务网络的安全运行,借助加密或解密过程完成数据包的验收操作,从而维持了电子商务网络运行的安全系数。

3.2 数据签名

每个文件夹赋予签名识别代码,由用户认证签名无误后执行操作命令,这种签名技术对预防数据信息风险也是很有用。数据签名可选用多项认证方式,双重数字签名是比较实用的方法。客户也要从保护自我的角度出发,保证自己电脑的安全及时清理电脑,按时查杀病毒。例如,企业用户根据传输文件的重要性,借助数据签名以实现网络结构的安全管理控制,把电子商务网络风险控制在最小范围内,保障了网络数据的安全性运行。

3.3 数字验证

保证第三方支付软件的安全性,其中包括支付软件本身的安全性和第三方支付软件和客户以及和电子商务网站之间信息传输的安全性。对接受传输操作的数据信息进行验证,审查用户身份与具体操作人员一致时,才可完成文件的相关操作指令,数字验证方式包括:口令技术、公开密钥技术或数字签名技术等[3]。电子商务企业可以效仿购物做法,利用账户支付验证方式进行审查,对电子银行账户信息自动检测以确认是否安全,提高了网络信息的可靠性。

3.4 数字证书

电子商务系统的安全是电子商务活动的安全保证,同时好的电子商务系统也是对客户最好的服务基础保证。电子商务网络信息操作时要有明确的证书为认证基础,避免交易过程数据丢失问题的阐述,由数字证书统一认定与审查。数字签名是对数据包的身份识别,确定其与用户之间存在绑定关系才可操作;数字证书是对数字信息的综合认可,结合数据包执行流程以进一步完善数据系统。

3.5 数字口令

选用动态口令对数据操作流程进一步验证审查,确定口令无误后完成相关的指令动作,使企业与客户之间建立良好的安全机制。采用数字信封技术保证数据的传输安全;采用数字签名和双重数字签名技术进行身份认证并同时保证数据的完整性、完成交易防抵赖。随着科学技术的快速发展,电子商务网络开始采用动态数字口令为安全平台,对原有电子商务网络安全信息进行认证,发现异常状况后及时中断程序的运行,保障了电子网络系统的可持续运行。

4 结论

基于互联网时代背景下,人们日常活动与网络购物形成了密切的关联,大部分社会活动与之有着不可分离的关系。在个人信息隐私受到公众高度关注的今天,改善B2C平台的电子商务网站客户信息安全环境就是带给B2C平台电子商务网站更好发展的未来。针对电子商务网站潜在的信息风险,企业要建立良好的安全防御计划,对电子商务网络风险提供可靠的安全机制,避免广大用户数据调配中出现风险问题。

参考文献

[1]周德海.电子商务中B2C营销模式的特点研究[J].电子商务研究,2011,27(14):30-32.

[2]黄秀清.从京东商城分析B2C营销模式的发展趋势[J].现代经济信息,2011,27(14):52-54.

网络安全电子商务 篇11

关键词：电子商务；信息安全；防范对策

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2010) 16-0000-02

Web-based E-commerce Information Security Countermeasures

Yan Zhengxue

(Anyang Normal College,Anyang455000,China)

Abstract:Web-based E-commerce to bring a commodity trading electronic,fully digital communications to facilitate business;for E-commerce activities in a broad space for development,but also to the E-commerce information security pose unprecedented preventive measures Challenges.How can the freedom of using the Internet,resource sharing,E-commerce information services,expand the network in a secure operating environment,effective against all possible negative factors against the network,as the current network to carry out the primary task of a comprehensive e-commerce.

Keywords:E-commerce;Information security;Preventive measures

一、前言

所谓电子商务是指基于网络的一种全新商业模式，可以利用网络资源广泛的优势传输各类商业信息，从而简化商品交易中需要实地看货、现场验货、当场付款的机械化操作流程，使电子交易更加便捷、快速，能充分的适应当今人们生活步伐加快、消费渠道拓宽的发展趋势，实现了整个商务活动过程的电子化、数字化、网络化及一体化。当然，凡事都具有两面性，电子商务的兴起在为人们丰富多样消费需求提供了广阔便利空间的同时，也使得一些不法分子有机可乘，他们利用网络的漏洞、黑客软件窃取客户的资料；恶意盗用消费者的账户和密码盗取他人财物；发布虚拟的交易信息骗取消费者的钱财。这种种的劣迹使我们深刻的认识到，电子商务是一把双刃剑，如果利用不好反而会给人们的生活带来意想不到的麻烦，严重的危害了消费者的合法权益。究其原因，不难看出，电子商务中大量的客户信息流、资金流、产品推广销售流、客户反馈信息流都是依靠网络平台进行频繁交换的，且交换的信息、购买的记录随意查询、清晰可见，这给电子商务活动中的信息保密带来了一定的难度；再者网络平台搭建的不完善、消费者自我保护意识不强、商家對信息安全的不重视、缺乏有效的安全防范意识也是导致电子商务活动频繁受到恶意攻击的根源。因此，笔者认为，我们只有在扩大商品宣传、特色广泛开展电子商务活动的同时，加强信息安全防范、针对电子商务交流广泛、信息频繁的特点采取合理有效的防范措施进行全程的监控才能为电子商务活动营造安全有序的开展空间，使其在无所不能的网络中提供人性化的服务、实现可持续的发展。

二、分阶段实施对电子商务企业信息安全的全程监控与防范

（一）信息交流的防范

信息交流的阶段包括商家对产品信息的加工、录入及网上的发布，是将实物通过网上的推介与展示转变为电子宣传的重要途径，一旦商品特别是新产品发布到网上，将得到全体受众的关注，因此笔者认为，在这一阶段中加强对产品信息发布之前的加工与录入，按规定程序实施对产品信息的保密是保护企业知识产权的一项重要任务。在产品投放初期就加强管理能有效的避免信息失窃、杜绝仿冒品、经营权侵犯等现象的发生，因此在产品信息录入过程中我们应实施专人专项的管理，通过设置管理权限、密码访问等措施使犯罪行为无机可乘。

（二）合同签订的防范

电子商务活动中合同签订的工作也是通过网络传输来完成的，是对于购买意向的各项指标规范，包括产品种类、规格、价格、数量、交易时间、送货方式、付款方式、送货地址、客户信息及联系方式等，通过电子合同的签订能有效的约束商家的供货行为，因此确保合同的细则清晰与条款准确是十分必要的。倘若在合同的电子传输中泄露了签订信息，将会给企业在发展中的合理竞争、购买者的个人隐私带来不必要的麻烦，甚至引起行业内的恶性竞争，使不法分子扰乱了电子商务活动的正常秩序。因此，在合同签订阶段及网络传输阶段我们应确保各项信息的保密，使企业与购买者双方享受应有的信息安全保障。

（三）商品交换与结算阶段的防范

商品交换与结算阶段是最易受到恶意攻击与钻空子的阶段，因此在该阶段实施安全的防范措施、利用开发严谨、设计周密的软件进行防控是十分必要的。如淘宝网、易趣网等运用的支付宝软件就是一种很好的防范发布虚假消息诱骗消费者的手段。同时在该阶段，销售企业还应在商品销售环节、配送环节、银行网上付款环节寻求更多的法律援助与支持，引入一定的保险机制，加大对网络安全信息防范技术的投入，引进相关专业的技术人才为商品的交换与结算阶段营造坚实的安全壁垒，使之坚固的无懈可击。

三、加强全面技术防范，为电子商务企业信息提供安全的保障

（一）传输数据的防范与虚构身份的欺骗控制

电子商务数据的对外传输过程中极易由于操作人员的管理不当造成信息丢失、次序排列混乱、冗余信息过多而占用网络资源现象的发生。因此为了防止非法操作、非法拦截现象的发生我们要严格操作管理程序，对数据进行必要的加密、口令核实，引进必要的网络监控体系检测网站受攻击的可能性，遇到非法攻击立即采用相应的防控措施拦截，以保证交易文件、信息的完整性与安全性。同时，针对时下流行的虚拟身份入侵欺骗，我们可通过身份双重确认的相关技术加以防范。即使犯罪分子利用非法的手段窃取到了合法用户的身份信息，我们还可通过二次确认的方式拦截掉一部分欺诈行为，使冒充他人消费、骗取经济收益的犯罪率降到最低。

（二）防止黑客攻击及网络病毒传输

网络中的bug、漏洞是黑空攻击的主要对象，他们运用特定的程序窃取网络的后门，并最终进入到整个系统的中心窃取企业情报及信息，篡改网站数据、对网络硬件及软件造成不可逆转的破坏，甚至使服务中断、网络架构瘫痪。由上所述不难看出黑客攻击对企业网络造成的破坏是严重的，给企业带来的损失也将是巨大的。因此我们只有通过不断的完善网络运营体系，定期的打补丁、进行必要的程序更新，才能使整个电子商务活动的网络服务在有序、健康的环境中高速运转。同时，防范网络病毒也是防止黑客入侵的又一有效途径。我们应通过定期的病毒库升级、查杀病毒软件更新来防范一些新兴诞生的病毒类型，使企业庞大的网络服务系统坚不可摧。

（三）加强对电子商务企业服务器的监控与完善

电子商务企业服务器是整个企业网络系统得以正常运转与服务的核心，其中集成了大量的电子商务信息与重要的软件防控系统，一旦出现问题造成的损失将是无法估量的。因此我们要时刻加强对电子商务企业服务器的监控与完善，采用数据库阵列、双机热备、系统监控等方式对企业服务器形成全面的保护，防止服务器接受非法用户请求及非法链接，一旦发现多次的非法操作就对该用户进行关闭及永远禁止其登陆。

四、加强电子商务企业信息的技术防范

首先在技术防范策略的应用上我们应采取基于编码技术的二次加密防范，通过验证的手段确保数据访问、保存、接收及传输的保密安全，同时在传输过程中采取加密路径、加密传输、加密接收等方式实现接收数据终端方接收权限。再者，按照预先设定的访问规则进行防火墙的安装，从而给外界信息和程序的访问提供特有的通道和认证系统，对于符合既定规则的便允许其进入，否则便将其拒之门外，该方式对进出数据的合理筛选、防范攻击具有重要的安全作用。接下来，对于访问用户的身份验证也是确保其合法访问身份的重要依据，我们可以采用数字证书认证的方式，使每一台访问机器与一个固定的钥匙绑定，失去了证书就无法进行系统的访问与后续的操作。这种基于数字证书的安全方式能有效的控制资金结算的合理流向，使交易的各个环节及时准确。另外，对于常规网络信息安全的防范我们也应极度重视，可通过采用安全交换机、数据定期备份、实时更换代理网关的方式确保系统的安全性，一旦系统出现故障时，及时的通过系统还原使其恢复到正常的状态。

五、结语

总之，基于网络的电子商务信息安全管理是一项长期而又艰巨的任务，在加强基础建设、系统安全防范的同时，我们还应从管理上加大对安全技术的投入，从操作规范上养成良好的操作与管理习惯，提高安全管理队伍的素质，才能最终使电子商务活动在日常的规范管理中防患于未然、及时排除故障，以强有力的服务态势实现电子商务的全面信息化建设。

参考文献：

谈电子商务中的网络安全管理问题 篇12

自从进入二十一世纪以来,由于互联网科技的快速发展, 电子商务也逐渐进入了人们的视线,成为了一种新型的商务交易模式,所以电子商务的网络安全问题就显得更加重要。电子商务网络安全是指电子商务系统的数据以及其软件、硬件等在安全系统的保护下不受外来因素的影响。另外,电子商务与传统的商务模式相比,在其数字通信技术以及网络安全技术的应用上都具有不可比拟的优势,其网络安全不仅仅指网络安全技术,还包括相应的安全管理,只有加强网络安全的技术应用, 加上相关规章制度的制定,才能更好的确保网络信息的有效性、 保密性、安全性,对电子商务的健康可持续发展也起到良好的推动作用。

1电子商务中存在的安全隐患

1.1电子商务中的安全问题

互联网是电子商务的基础应用平台,电子商务发展离不开网络的安全保障。但是由于互联网本身的开放性,使电子商务的在互联网的应用中面临着各种安全威胁,因此,必须从互联网安全技术的角度,全面分析电子商务交易中存在的信息安全问题。

1.1.1盗取用户的信息

电子商务主要是通过互联网平台进行信息的传递,各种交易活动也是在互联网的平台上完成的,交易信息对用户来说属于商业机密,如果在互联网平台传输信息的过程中没有对相关信息进行加密保护,就会使信息以明文的形式在互联网系统中进行传输,也就会给不法分子可乘之机,信息盗取者可以将商务信息数据包进行数据拦截,并且在经过多次的盗取和分析之后,能够发现比较准确的信息规律和模式,这样就使导致商务信息的内容被不法分子轻易获取,并用于其他用途,严重影响了商户的信息安全性。

1.1.2恶意破坏信息

网络信息入侵者对于电子商务的信息传递过程十分了解, 如果一些商务信息没有经过安全保护,就容易被入侵者盗取或者任意篡改信息。由于网络信息是在传递的过程中被改动的, 并且入侵者在对信息改动后,又将信息通过网关发送到了目的地,远端的用户在接受信息后很难发现信息已经被编辑改造, 进而对商务交易造成严重的影响。

1.1.3相关法律条例不完善

目前,我国的电子商务发展还不完善,缺乏相应的法律条例规定,电子商务发展的市场环境也不规范,对于网络中存在的安全问题无法及时采取相应的定罪和处罚措施,不利于电子商务网络安全的控制。

1.2引起网络安全问题的原因

1.2.1网络系统内部存在风险漏洞

现在的很多操作系统都存在系统的漏洞,给不法分子对网络的入侵提供了机会,比如有的系统设计在编码程序上存在不规范、不合理的应用,系统的运行不稳定,入侵者很容易通过攻击字符串进入不稳定的运行系统。另外有的防火墙设置上在访问权的限制上较松,导致系统的配置漏洞,极易被不法分子利用,对信息的传输带来较大的安全隐患。

1.2.2用户自身的网络安全意识不足

在电子商务中的信息安全问题中,内部工作人员本身掌握着商务信息的应用权限,如果内部人员的网络安全意识不足,在进行信息传送的过程中,可能会导致口令权限的泄露,使入侵者获得了合法的入侵身份,这些权限被非法分子利用后就会对商务信息造成威胁,进而造成商务信息的泄露,带来严重的后果。所以要做到信息的安全防护,也必须加强用户自身的网络安全意识。

1.2.3缺乏网络安全性评估分析

威胁网络安全的重要手段之一就是网络监听,在没有任何加密防护措施的工作模式下,发送方发送的信息数据会被监听者窃取,接收方也无法察觉信息的泄露情况,所以应该经常对网络进行安全性评估,检查计算机系统的软件、硬件是否存在被不法分子利用的安全隐患,并针对分析的问题找出相应的解决策略,在不断的系统更新中,提高信息安全性管理。

2加强电子商务中安全技术的应用

2.1加强网络监测和锁定监控

互联网的开放性在一定程度上增加了网络的安全隐患,所以应该加强网络的检测和监控措施,电子商务应用的安全性。 首先,网络管理员应该对互联网的访问用户进行实时监控,记录相应的访问信息,对于非法的网络访问,为了引起网络管理员的注意,应该以明确的图形或者文字进行警示。其次,在应该设定非法访问的次数,一旦不法分子多次访问网络,试图入侵,在超过一定的限制后,其访问账户就会被自动锁定。最后, 网络管理员应该及时对非法访问记录的数据进行合理分析,如果发现比较可疑的互联网入侵活动,就要及时采取措施,阻止其进行入侵活动,保护互联网的运行安全。

2.2增加对通信线路的保护

在电子商务的互联网安全保护工作中,网络的通信线路是保护工作的薄弱环节,特别是通信终端的专用保护设备,应该采用最先进的技术产品。另外,由于通讯线路一般都是埋在地下的,所以应该选择比较适合地下环境,并且具有防干扰性的光缆设备。为了防止光缆的电磁泄漏可以通过加强传导发射的防护进行,比如将性能良好的滤波器安装在光缆的电源线和信号线上,以便减小由导线间的交叉耦合和数据传输的阻抗。增加对辐射的防护也可以在一定程度上抑制电缆的电磁泄漏,比如,在计算机系统的正常运行过程中,增加电磁屏蔽的干扰防护,一般采用干扰装置与计算机系统产生同样的伪噪声,进而相空间辐射掩盖计算机系统的信息特征和相应的运行频率。

2.3采用数据加密技术

对于互联网的书籍传输加密技术来说,一般分为对称密钥加密技术和非对称的密钥加密技术,前者在应用中注重的信息发送方和信息接收者之间使用相同的密钥,例如,DES加密算法,在对信息数据的加密和解密过程中使用相同的密钥。但是应用非对称的密钥技术时,要明确两个密钥之间的关系,因为信息数据的加密和解密过程需要使用不同的密钥,比如,SRA加密算法,在应用过程中,可以通过采用其中的一个密钥进行数据信息的加密,但是要使用相对应的另一个密钥进行信息解密,具有更高的信息传递保密功能。

2.4采用信息流安全控制

信息流安全控制主要是为了防止不法入侵者通过信息流量的分析来寻找入侵的信息对象。一般通过掩盖信息的频度、掩盖报文的形式、掩盖报文的地址以及掩盖报文的长度等来保证信息的安全控制。对于信息通信的频度和报文长度的掩盖,一般通过填充报文和改变传输途径为主,采用反馈加密的方式进行报文形式的掩盖,最后利用物理层的链路加密方式完成报文地址的掩盖,全方位的形成了信息流的安全保护模式。

2.5采用访问控制

访问控制可以从主体对客体的访问合法层面进行拦截保护,当主体试图通过非法途径访问一个未经授权的信息资源时, 计算机的访问控制系统就会阻止这一访问行为,并通过计算机的防控渠道,将这一行为报告给审计跟踪系统。计算机系统的信息处理系统可以按照预先确定的规则来判断主体对信息资源的访问是否合法,如果出现不合法的访问分析,审计跟踪系统会自动报警,并将访问记录保存下来,防止再次访问入侵。通过对用户的信息系统和数据库进行安全属性的设置,可以将其资源共享的程度加以划分,采用访问矩阵的形式来控制访问。

2.6安装高性能的防火墙

计算机系统的防火墙功能是用来阻止网络系统中黑客对某个机构的访问,在应用防火墙技术时,应该注意两点,第一, 防火墙并不是万能的,也存在一定的弊端,主要是在于防火墙的数据更新,如果出现太大的延迟就无法实现防火墙的实时服务请求。第二,由于工作站是病毒入侵网络的一个主要途径, 所以要将防火墙装置安装在工作站上,做到信息数据的安全防护工作。

为了阻止外部网络对内部网络的入侵,就必须在内部网络和外部网络之间设置防火墙装置,通过计算机的通信监控系统阻止外部因素的影响,特别是在网络边界上进行信息安全防护,以便内部网络顺利接入Internet,确保内部网络的信息数据安全。

3结束语

随着互联网时代的到来,以互联网为基础的电子商务交易平台已经形成了网络办公的潮流趋势,因此增加对计算机网络安全的规范就更加重要。加强互联网安全技术的应用,不但要注重计算机系统的安全稳定,还要提高对远程数据传输的高效保密性,避免信息传输过程中遭到不法分子的盗取和破坏。只有不断更新创造网络安全技术,加强用户的信息安全防护意识, 并积极地将安全技术应用到电子商务的运营平台中,才能更加有效的实现网络安全管理。

摘要：随着科学技术的快速发展,互联网的应用也越来越广泛。电子商务是一种基于互联网信息应用的一种新兴技术,已经形成了全新的网络交易平台,并以其高效、低成本的优势,成为了广受欢迎的商业模式。本文主要以电子商务中的网络安全为主线,阐述了网络安全技术在电子商务中的应用。