導(dǎo)語：電子商務(wù)安全分析論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】:隨著互聯(lián)網(wǎng)的全面普及,基于互聯(lián)網(wǎng)的電子商務(wù)也應(yīng)運(yùn)而生,并在近年來獲得了巨大的發(fā)展,成為一種全新的商務(wù)模式。針對(duì)目前電子商務(wù)中的安全問題，本文闡述了決定電子商務(wù)信息安全的要素和目前在電子商務(wù)中常用的安全技術(shù)以及企業(yè)實(shí)現(xiàn)電子商務(wù)的一些安全策略。介紹了幾種應(yīng)用于電子商務(wù)中的信息安全防范技術(shù)。

【關(guān)鍵詞】:電子商務(wù)信息安全網(wǎng)絡(luò)

人類社會(huì)進(jìn)入20世紀(jì)70年代以來,以微電子技術(shù)為基礎(chǔ)的計(jì)算機(jī)技術(shù)和通信技術(shù)取得了長(zhǎng)足的進(jìn)展,并滲透到經(jīng)濟(jì)和社會(huì)的各個(gè)領(lǐng)域,從而引起了世界范圍內(nèi)的新技術(shù)創(chuàng)新浪潮。信息化建設(shè)受到各國政府的高度重視,1991年美國提出"信息高速公路"的設(shè)想,1993年正式實(shí)施"國家信息基礎(chǔ)結(jié)構(gòu):行動(dòng)計(jì)劃";1978年法國制定了一項(xiàng)有關(guān)"促進(jìn)社會(huì)信息化的計(jì)劃",從那以后,法國政府不斷推進(jìn)信息革命,每年投入50億美元巨款改進(jìn)通信設(shè)備;早在1983年,我國政府就把發(fā)展信息技術(shù)納入了國家總體科技論文發(fā)展戰(zhàn)略規(guī)劃中,1999年,我國政府上網(wǎng)工程迅速推進(jìn),國家信息化戰(zhàn)略、數(shù)字化產(chǎn)品發(fā)展戰(zhàn)略、電子商務(wù)發(fā)展框架也都在加緊研究、制定中。目前全球的計(jì)算機(jī)社會(huì)擁有量迅速增加,互聯(lián)網(wǎng)用戶呈幾何級(jí)數(shù)增長(zhǎng),新的經(jīng)濟(jì)消費(fèi)觀正在逐步形成。電子商務(wù)的社會(huì)基礎(chǔ)已經(jīng)形成。Internet技術(shù)的應(yīng)用普及為電子商務(wù)奠定了基礎(chǔ)條件,萬維網(wǎng)及相關(guān)技術(shù)的推出開創(chuàng)了電子商務(wù)應(yīng)用的新局面,基于Internet的網(wǎng)絡(luò)環(huán)境建設(shè)是開創(chuàng)電子商務(wù)市場(chǎng)的前提,安全保障等核心技術(shù)的實(shí)用化是電子商務(wù)成功的保證,商貿(mào)活動(dòng)的信息網(wǎng)絡(luò)化加快了電子商務(wù)的發(fā)展進(jìn)程,各種解決方案的推出標(biāo)志著電子商務(wù)即將進(jìn)入實(shí)用化階段。

從技術(shù)的角度看,電子商務(wù)的發(fā)展經(jīng)歷了啟蒙階段、商業(yè)化階段、社會(huì)化階段,并開始步入智能化時(shí)代?；仡櫰髽I(yè)信息化和電子商務(wù)的發(fā)展過程,從最初各部門用數(shù)據(jù)庫管理本部門的數(shù)據(jù),通過辦公自動(dòng)化(OA)實(shí)現(xiàn)企業(yè)內(nèi)部辦公文檔傳遞,到建立統(tǒng)一的ERP系統(tǒng)為管理決策提供信息,通過CRM和SCM將企業(yè)和客戶、供應(yīng)商等整個(gè)供應(yīng)鏈上的各個(gè)環(huán)節(jié)聯(lián)系起來,再到以服務(wù)形式提供各式應(yīng)用,通過第三方ASP實(shí)現(xiàn)企業(yè)應(yīng)用服務(wù)的外包,這實(shí)際上就是一個(gè)從數(shù)據(jù)、信息到服務(wù)的縱向發(fā)展過程?；ヂ?lián)網(wǎng)應(yīng)用的發(fā)展也是這樣,從最初企業(yè)間使用EDI交換數(shù)據(jù),Email通訊傳遞簡(jiǎn)單的信息,到通過門戶網(wǎng)站、搜索引擎獲取所需信息,與世界各地的人在BBS上交流信息,再到如今的通過社會(huì)網(wǎng)絡(luò)SNS拓展自己的交際圈,社會(huì)化程度越來越高。隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的普及和深入應(yīng)用,電子商務(wù)正在以前所未有的速度發(fā)展,以其方便性和靈活性向傳統(tǒng)商務(wù)模型提出了挑戰(zhàn)?；ヂ?lián)網(wǎng)的飛速發(fā)展，使得傳統(tǒng)的商業(yè)模式產(chǎn)生了深刻的變化，在相當(dāng)程度上改變著人們的日常生活習(xí)慣?；诰W(wǎng)絡(luò)的電子商務(wù)作為一種全新的商業(yè)模式，已經(jīng)得到了快速的發(fā)展，但網(wǎng)絡(luò)交易的安全問題始終是阻礙電子商務(wù)全面發(fā)展的巨大障礙。因此采用先進(jìn)的網(wǎng)絡(luò)信息安全防范技術(shù)，為電子商務(wù)提供完整的安全保障體系，進(jìn)而推動(dòng)電子商務(wù)高速發(fā)展。1．電子商務(wù)信息安全要素互聯(lián)網(wǎng)是一個(gè)完全開放的網(wǎng)絡(luò),任何一臺(tái)計(jì)算機(jī)、任何一個(gè)網(wǎng)絡(luò)都可以與之聯(lián)接,并借助互聯(lián)網(wǎng)信息,進(jìn)行各種網(wǎng)上商務(wù)活動(dòng)。同時(shí),也給那些別有用心的組織或個(gè)人提供了竊取別人的各種機(jī)密如消費(fèi)者的銀行賬號(hào)、密碼,甚至妨礙或毀壞他人網(wǎng)絡(luò)系統(tǒng)運(yùn)行等各種機(jī)會(huì)。影響電子商務(wù)信息安全要素主要有系統(tǒng)的可靠性，交易的真實(shí)性，資料的安全性，資料的完整性，交易的不可抵賴性等。概括起來,電子商務(wù)面臨的安全威脅主要有以下幾方面。

1．1系統(tǒng)的中斷與癱瘓。網(wǎng)絡(luò)故障、操作失誤、應(yīng)用程序出錯(cuò)、硬件故障、系統(tǒng)軟件設(shè)計(jì)不完善以及計(jì)算機(jī)病毒都有可能導(dǎo)致系統(tǒng)不能正常工作。如在劃撥貨款的過程中突然出現(xiàn)網(wǎng)絡(luò)中斷等。1．2信息被竊取。電子商務(wù)作為一種全新的貿(mào)易形式,其通訊的信息直接代表著個(gè)人、企業(yè)或國家的利益。攻擊者可能通過因特網(wǎng)、公共電話網(wǎng)、搭線或在電磁波輻射范圍內(nèi)安裝截收裝置等方式,截獲傳輸?shù)臋C(jī)密信息,或通過對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)分析,推斷出有用的信息、如消費(fèi)者的銀行賬號(hào)、密碼等。1．3信息被篡改。攻擊者可能從三個(gè)方面破壞信息的完整性。1）篡改。改變信息流的次序,更改信息的內(nèi)容。2)刪除。刪除某個(gè)消息或消息中的某些部分。3)插入。在信息中插入一些其它干擾信息,讓收方讀不懂或接收錯(cuò)誤的信息。腦知識(shí)與技術(shù)1．4信息被偽造。1)虛開網(wǎng)站和商店,給用戶發(fā)電子郵件,接受訂單。2）偽造大量用戶,發(fā)電子郵件,窮盡商家資源、使合法用戶不能正常訪問網(wǎng)絡(luò)資源。3)冒充他人身份,進(jìn)行消費(fèi)和栽贓等。1．5對(duì)交易行為進(jìn)行抵賴或不承認(rèn)。1)發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息或內(nèi)容。2)收信者事后否認(rèn)曾經(jīng)收到過某條消息或內(nèi)容。3)購買者不承認(rèn)確認(rèn)了的訂單。4)商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易。2．電子商務(wù)中的信息安全防范技術(shù)

2．1數(shù)據(jù)加密技術(shù)加密技術(shù)是一種主動(dòng)的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。按加密密鑰與解密密鑰的對(duì)稱性可分為對(duì)稱型加密、不對(duì)稱型加密、不可逆加密。在網(wǎng)絡(luò)安全技術(shù)中，加密技術(shù)是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ)，但是由于大部分?jǐn)?shù)據(jù)加密算法都源于美國，且受到美國出口管制法的限制，無法在互聯(lián)網(wǎng)上大規(guī)模使用，從而限制了以加密技術(shù)為基礎(chǔ)網(wǎng)絡(luò)安全解決方案的應(yīng)用。2．2密鑰管理技術(shù)密鑰管理包括確保所產(chǎn)生的密鑰具有必要的屬性，把密鑰提前通知給需要它的特定系統(tǒng)，確保密鑰按要求得到保護(hù)以阻止暴露和／或替代。其中，對(duì)稱密鑰管理是基于共同保守秘密來實(shí)現(xiàn)的，采用對(duì)稱加密技術(shù)的雙方必須保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時(shí)還要設(shè)定防止密鑰泄漏和更改密鑰的程序。使用公開密鑰的交易雙方可以使用證書(公開密鑰證書)來交換公開密鑰。國際電聯(lián)指定的X509對(duì)37福建電腦2008年第11期數(shù)字證書進(jìn)行了定義，數(shù)字證書能夠起到標(biāo)識(shí)交易雙方的作用，是目前電子商務(wù)廣泛使用的技術(shù)之一。2．3身份認(rèn)證技術(shù)網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。要建立安全的電子商務(wù)系統(tǒng),必須首先建立一個(gè)穩(wěn)固、健全的數(shù)字證書和認(rèn)證中心(CA)。數(shù)字簽名是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文件時(shí)，附加個(gè)人標(biāo)記，完成傳統(tǒng)意義上手書簽名或印章的作用，以表示確認(rèn)、負(fù)責(zé)、經(jīng)手等。使用數(shù)字簽名可以保證交易中的認(rèn)證性和不可否認(rèn)性。數(shù)字簽名可以防范：接收方偽造、發(fā)送者或接收者否認(rèn)、第三方冒充、接收方篡改。常見的數(shù)字簽名技術(shù)有：RSA數(shù)字簽名、DSA數(shù)字簽名、橢圓曲線數(shù)入侵檢測(cè)技術(shù)通常通過基于應(yīng)用的監(jiān)控技術(shù)、基于主機(jī)的監(jiān)控技術(shù)、基于目標(biāo)的監(jiān)控技術(shù)和基于網(wǎng)絡(luò)的監(jiān)控技術(shù)四種檢測(cè)技術(shù)來抵御攻擊。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。認(rèn)證機(jī)制是保護(hù)電子商務(wù)安全的第一條防線。任何一個(gè)在架構(gòu)設(shè)計(jì)上、代碼開發(fā)中以及認(rèn)證的實(shí)現(xiàn)時(shí)所出現(xiàn)的小的漏洞或不足，都有可能使電子商務(wù)處在被攻擊的風(fēng)險(xiǎn)中。因此，加強(qiáng)對(duì)認(rèn)證攻擊的充分認(rèn)識(shí)和了解，并在系統(tǒng)開發(fā)時(shí)選擇合適的防御措施，就可以從根本上對(duì)某些攻擊進(jìn)行有效的屏蔽，減少后期頻繁維護(hù)所付出的代價(jià)，達(dá)到事半功倍的效果。2．4網(wǎng)絡(luò)安全掃描技術(shù)安全掃描技術(shù)是對(duì)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)提供可靠的分析結(jié)果，并為系統(tǒng)管理員提供可靠性和安全性分析報(bào)告等。包括端口掃描技術(shù)和漏洞掃描技術(shù)等。2．5病毒防范技術(shù)計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序。病毒經(jīng)過系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序，為以后攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便條件。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測(cè)，工作站上采用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。2．6電子認(rèn)證技術(shù)為了保證電子商務(wù)安全因素的順利實(shí)現(xiàn)，在電子商務(wù)中使用了基于公鑰體系的安全系統(tǒng)?；诠€體系的加密系統(tǒng)是按對(duì)生成的，每對(duì)密鑰由公鑰和私鑰組成，實(shí)際應(yīng)用中，公鑰是以證書性質(zhì)存放的，一個(gè)最基本而又是最關(guān)鍵的問題是公鑰的分發(fā)，也就是證書的分發(fā)，如果證書不能得到有效安全的分發(fā)，所有的上層應(yīng)用軟件就不能得到安全的保障，解決問題的方法就是建立認(rèn)證機(jī)構(gòu)體系CA。2．7防火墻技術(shù)防火墻(Firewall)是近年來發(fā)展最重要的安全技術(shù)，它是通過對(duì)網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來加強(qiáng)網(wǎng)絡(luò)安全的一種手段，核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。它所保護(hù)的對(duì)象是網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)塊，而它所防范的對(duì)象是來自被保護(hù)網(wǎng)塊外部的安全威脅。目前的防火墻分為兩大類，一類是簡(jiǎn)單的包過濾技術(shù)，它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器，其顯著的優(yōu)點(diǎn)是較容易提供細(xì)顆粒度的存取控制，其可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。通過應(yīng)用防火墻技術(shù)，可以做到通過過濾不安全的服務(wù)，極大地提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)。但防火墻是一種基于網(wǎng)絡(luò)邊界的被動(dòng)安全技術(shù)，對(duì)內(nèi)部未授權(quán)訪問難以有效控制，因此較適合于內(nèi)部網(wǎng)絡(luò)相對(duì)獨(dú)立，且與外部網(wǎng)絡(luò)的互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對(duì)集中的網(wǎng)絡(luò)。2．8入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵的技術(shù)。它以探測(cè)與控制為技術(shù)本質(zhì)，起著主動(dòng)防御的作用，是網(wǎng)絡(luò)安全中極其重要的部分。

3．企業(yè)實(shí)現(xiàn)電子商務(wù)的安全策略安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題,如何保障電子商務(wù)活動(dòng)的安全,一直是電子商務(wù)的核心研究領(lǐng)域。作為一個(gè)安全的電子商務(wù)系統(tǒng),必須采用相應(yīng)的網(wǎng)絡(luò)安全策略。安全策略包括網(wǎng)絡(luò)安全問題的總原則、對(duì)安全使用的要求以及如何保障網(wǎng)絡(luò)的安全運(yùn)行。3.1制定安全策略時(shí)首先確定的最重要的原則拒絕訪問明確準(zhǔn)許以外的所有服務(wù)。當(dāng)前一些電子商務(wù)企業(yè)的安全策略存在兩個(gè)誤區(qū):首先,企業(yè)所采取的操作系統(tǒng)的標(biāo)準(zhǔn)安全策略存在問題,這一標(biāo)準(zhǔn)安全策略只能提供一道脆弱的防線,很容易被攻破;其次,為滿足多種安全需求,許多企業(yè)以零碎的方式實(shí)施節(jié)點(diǎn)式解決方案,這雖然對(duì)電子商務(wù)的某些領(lǐng)域提供了有限的保護(hù),但同時(shí)使系統(tǒng)管理更為復(fù)雜。阻止外來系統(tǒng)入侵只是電子商務(wù)安全的一個(gè)方面。成功的電子商務(wù)安全策略,必須涵蓋身份識(shí)別與認(rèn)證、隱私與欺騙控制、管理與審計(jì)等傳統(tǒng)領(lǐng)域。3.2安全策略制定時(shí)還應(yīng)注意的問題3.2.1將需保護(hù)的對(duì)象分類,確定需保護(hù)的資源及其保護(hù)級(jí)別;規(guī)定可以訪問資源的實(shí)體和可執(zhí)行的動(dòng)作;規(guī)定審計(jì)功能,記錄用戶活動(dòng)及資源使用情況。3.2.2系統(tǒng)的安全應(yīng)從物理上、技術(shù)上、管理制度上以及安全教育上全方位采取措施,相互彌補(bǔ)和完善,盡可能地排除安全漏洞。3.2.3根據(jù)企業(yè)的實(shí)際需要確定內(nèi)部網(wǎng)的服務(wù)類型,規(guī)定內(nèi)部用戶和外部用戶能夠使用的服務(wù)種類,建立網(wǎng)管站,并制定出切實(shí)可行的安全管理制度。此外還需完善電子商務(wù)企業(yè)內(nèi)部安全管理體制,增強(qiáng)相關(guān)人員的安全意識(shí)。

4．結(jié)束語電子商務(wù)尚是一個(gè)機(jī)遇和挑戰(zhàn)共存的新領(lǐng)域,這種挑戰(zhàn)不僅來源于傳統(tǒng)的習(xí)慣,來源于計(jì)劃經(jīng)濟(jì)體制和市場(chǎng)經(jīng)濟(jì)體制的沖突,更來源于對(duì)可使用的安全技術(shù)的信賴。企業(yè)在應(yīng)用電子商務(wù)時(shí),應(yīng)采取一系列的安全技術(shù)和安全策略。這種種安全措施的采用,一定能保證企業(yè)進(jìn)行安全的電子商務(wù)活動(dòng)。

參考文獻(xiàn)：

1.韓磊石松:淺談電子商務(wù)中信息安全問題[J].臨沂師范學(xué)院學(xué)報(bào)，2001；(8)：136-139

2.黃發(fā)文:計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)初探[J].計(jì)算機(jī)應(yīng)用研究，2002(5):46-48

3.林柏鋼.網(wǎng)絡(luò)與信息安全教程[M].機(jī)械工業(yè)出版社,2005.

4.曹淑艷.電子商務(wù)應(yīng)用基礎(chǔ)[M].北京:清華大學(xué)出版社,2002.

5.肖德琴%電子商務(wù)安全保密技術(shù)與應(yīng)用［2］廣州：華南理工大學(xué)出版社，2003.9

6.GreensteinM,FeinmanTM.ElectronicCommerce:Security,RiskManagementandControl[M].NewYork:McGraw-HillCompanies,Inc.,2000