有關電子商務資訊保安論文範文

　　電子商務突出的資訊保安問題是制約電子商務發展的主要瓶頸之一,解決好資訊保安問題必將更有力地推動電子商務的迅猛發展。下文是小編為大家蒐集整理的的內容，歡迎大家閱讀參考!

　　篇1

　　淺析電子商務資訊保安技術

　　一、電子商務資訊保安問題

　　由於Internet本身的開放性，使電子商務系統面臨著各種各樣的安全威脅。目前，電子商務主要存在的安全隱患有以下幾個方面。

　　1.身份冒充問題

　　攻擊者通過非法手段盜用合法使用者的身份資訊，仿冒合法使用者的身份與他人進行交易，進行資訊欺詐與資訊破壞，從而獲得非法利益。主要表現有：冒充他人身份;冒充他人消費、栽贓;冒充主機欺騙合法主機及合法使用者等。

　　2.網路資訊保安問題

　　主要表現在攻擊者在網路的傳輸通道上，通過物理或邏輯的手段，進行資訊截獲、篡改、刪除、插入。截獲，攻擊者可能通過分析網路物理線路傳輸時的各種特徵，截獲機密資訊或有用資訊，如消費者的賬號、密碼等。篡改，即改變資訊流的次序，更改資訊的內容;刪除，即刪除某個資訊或資訊的某些部分;插入，即在資訊中插入一些資訊，讓收方讀不懂或接受錯誤的資訊。

　　3.拒絕服務問題

　　攻擊者使合法接入的資訊、業務或其他資源受阻。主要表現為散佈虛假資訊，擾亂正常的資訊通道。包括：虛開網站和商店，給使用者發電子郵件，收訂貨單;偽造大量使用者，發電子郵件，窮盡商家資源，使合法使用者不能正常訪問網路資源，使有嚴格時間要求的服務不能及時得到響應。

　　4.交易雙方抵賴問題

　　某些使用者可能對自己發出的資訊進行惡意的否認，以推卸自己應承擔的責任。如：釋出者事後否認曾經發送過某條資訊或內容;收信者事後否認曾經收到過某條資訊或內容;購買者做了訂貨單不承認;商家賣出的商品質量差但不承認原有的交易。在網路世界裡誰為交易雙方的糾紛進行公證、仲裁。

　　5.計算機系統安全問題

　　計算機系統是進行電子商務的基本裝置，如果不注意安全問題，它一樣會威脅到電子商務的資訊保安。計算機裝置本身存在物理損壞，資料丟失，資訊洩露等問題。計算機系統也經常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時，計算機系統存在工作人員管理的問題，如果職責不清，許可權不明同樣會影響計算機系統的安全。

　　二、電子商務安全機制

　　1.加密和隱藏機制

　　加密使資訊改變，攻擊者無法讀懂資訊的內容從而保護資訊;而隱藏則是將有用的資訊隱藏在其他資訊中，使攻擊者無法發現，不僅實現了資訊的保密，也保護了通訊本身。

　　2.認證機制

　　網路安全的基本機制，網路裝置之間應互相認證對方身份，以保證正確的操作權力賦予和資料的存取控制。網路也必須認證使用者的身份，以保證正確的使用者進行正確的操作並進行正確的審計。

　　3.審計機制

　　審計是防止內部犯罪和事故後調查取證的基礎，通過對一些重要的事件進行記錄，從而在系統發現錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計資訊應具有防止非法刪除和修改的措施。

　　4.完整性保護機制

　　用於防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務，當資訊源的完整性可以被驗證卻無法模仿時，收到資訊的一方可以認定資訊的傳送者，數字簽名就可以提供這種手段。

　　5.權力控制和存取控制機制

　　主機系統必備的安全手段，系統根據正確的認證，賦予某使用者適當的操作權力，使其不能進行越權的操作。該機制一般採用角色管理辦法，針對系統需要定義各種角色，如經理、會計等，然後對他們賦予不同的執行權利。

　　6.業務填充機制

　　在業務閒時傳送無用的隨機資料，增加攻擊者通過通訊流量獲得資訊的困難。同時，也增加了密碼通訊的破譯難度。傳送的隨機資料應具有良好模擬效能，能夠以假亂真。

　　三、電子商務安全關鍵技術

　　安全問題是電子商務的核心，為了滿足安全服務方面的要求，除了網路本身執行的安全外，電子商務系統還必須利用各種安全技術保證整個電子商務過程的安全與完整，並實現交易的防抵賴性等，綜合起來主要有以下幾種技術。

　　1.防火牆技術

　　現有的防火牆技術包括兩大類：資料包過濾和代理服務技術。其中最簡單和最常用的是包過濾防火牆，它檢查接受到的每個資料包的頭，以決定該資料包是否傳送到目的地。由於防火牆能夠對進出的資料進行有選擇的過濾，所以可以有效地避免對其進行的有意或無意的攻擊，從而保證了專用私有網的安全。將包過濾防火牆與代理伺服器結合起來使用是解決網路安全問題的一種非常有效的策略。防火牆技術的侷限性主要在於：防火牆技術只能防止經由防火牆的攻擊，不能防止網路內部使用者對於網路的攻擊;防火牆不能保證資料的祕密性，也不能保證網路不受病毒的攻擊，它只能有效地保護企業內部網路不受主動攻擊和入侵。

　　2.虛擬專網技術

　　的實現過程使用了安全隧道技術、資訊加密技術、使用者認證技術、訪問控制技術等。具投資小、易管理、適應性強等優點。可幫助遠端使用者、公司分支機構、商業夥伴及供應商與公司的內部網之間建立可信的安全連線，並保證資料的安全傳輸，以此達到在公共的Internet上或企業區域網之間實現完全的電子交易的目的。

　　3.資料加密技術

　　加密技術是保證電子商務系統安全所採用的最基本的安全措施，它用於滿足電子商務對保密性的需求。加密技術分為常規金鑰密碼體系和公開金鑰密碼體系兩大類。如果進行通訊的交易各方能夠確保在金鑰交換階段未曾發生私有金鑰洩露，可通過常規金鑰密碼體系的方法加密機密資訊，並隨報文傳送報文摘要和報文雜湊值，以保證報文的機密性和完整性。目前常用的常規金鑰密碼體系的演算法有：資料加密標準DES、三重DES、國際資料加密演算法IDEA等，其中DES使用最普遍，被ISO採用為資料加密的標準。在公開金鑰密碼體系中，加密金鑰是公開資訊，而解密金鑰是需要保護的，加密演算法和解密演算法也都是公開的。

　　典型的公開金鑰密碼體系有：基於數論中大數分解的RSA體系、基於NP完全理論的Merkel-Hellman揹包體系和基於編碼理論的McEliece體系。在以上兩類加密體系中，常規金鑰密碼體系的特點是加密速度快、效率高，被廣泛用於大量資料的加密，但該方法的致命缺點是金鑰的傳輸易被截獲，難以安全管理大量的金鑰，因此大範圍應用存在一定問題。而公開金鑰密碼體系很好地解決了上述不足，保密效能也優於常規金鑰密碼體系，但公開金鑰密碼體系複雜，加密速度不夠理想。目前電子商務實際運用中常將兩者結合使用。

　　4.安全認證技術

　　安全認證技術主要有:1數字摘要技術，可以驗證通過網路傳輸收到的明文是否被篡改，從而保證資料的完整性和有效性。2數字簽名技術，能夠實現對原始報文的鑑別和不可否認性，同時還能阻止偽造簽名。3數字時間戳技術，用於提供電子檔案發表時間的安全保護。4數字憑證技術，又稱為數字證書，負責用電子手段來證實使用者的身份和對網路資源訪問的許可權。5認證中心，負責稽核使用者的真實身份並對此提供證明，而不介入具體的認證過程，從而緩解了可信第三方的系統瓶頸問題，而且只須管理每個使用者的一個公開金鑰，大大降低了金鑰管理的複雜性，這些優點使得非對稱金鑰認證系統可用於使用者眾多的大規模網路系統。6智慧卡技術，它不但提供讀寫資料和儲存資料的能力，而且還具有對資料進行處理的能力，可以實現對資料的加密和解密，能進行數字簽名和驗證數字簽名，其儲存器部分具有外部不可讀特性。採用智慧卡，可使身份識別更有效、安全，但它僅僅為身份識別提供一個硬體基礎，如果要使身份認證更安全，還需要與安全協議的配合。

　　5.電子商務安全協議

　　不同交易協議的複雜性、開銷、安全性各不相同，同時不同的應用環境對協議目標的要求也不盡相同。目前比較成熟的協議有：1Netbill協議，是由J.D.Tygar等設計和開發的關於數字商品的電子商務協議，該協議假定了一個可信賴的第三方，將商品的傳送和支付連結到一個原子事務中。2匿名原子交易協議，由J.D.Tygar首次提出，具有匿名性和原子性，對著名的數字現金協議進行了補充和修改，改進了傳統的分散式系統中常用的兩階段提交，引入了除客戶、商家和銀行之外的獨立第四方一交易日誌Transaction log以取代兩階段提交協議中的協調者Coordinator。3安全電子交易協議SET，由VISA公司和MasterCard公司聯合開發設計。SET用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關係，它可以對交易各方進行認證，防止商家欺詐。SET協議開銷較大，客戶、商家、銀行都要安裝相應軟體。4安全套接字層協議SSL，是目前使用最廣泛的電子商務協議，它由Netscape公司於1996年設計開發。

　　它位於運輸層和應用層之間，能很好地封裝應用層資料，不用改變位於應用層的應用程式，對使用者透明。然而，SSL並不專為支援電子商務而設計，只支援雙方認證，只能保證傳送資訊傳送過程中不因被截而洩密，不能防止商家利用獲取的信用卡號進行欺詐。5JEPIJoint Electronic Payment Initiative，是為了解決眾多協議間的不相容性而提出來的，是現有HTTP協議的擴充套件，在普遍HTTP協議之上增加了PEPProtocol Extension Protocol和UPPUniversal Payment Preamble兩層結構，其目的不是提出一種新的電子支付手段，而是在允許多種支付系統並存的情況下，幫助商家和顧客雙方選取一個合適的支付系統。

　　四、結束語

　　資訊保安是電子商務發展的基礎，隨著電子商務的發展，通過各種網路的交易手段也會更加多樣化，安全問題變得更加突出。為了解決好這個問題，必須有安全技術作保障。目前，防火牆技術、網路掃描技術，資料加密技術和計算系統安全技術發揮著重要的作用，此外，需要完善法律制度、管理制度和誠信制度，保證電子商務資訊保安，加快電子商務的發展。

　　篇2

　　淺談電子商務的資訊保安問題

　　摘要：隨著電子商務平臺的日益完善，買賣雙方可以不見面就可憑藉網際網路完成商業活動，這使得網購越來越流行，而隨之暴露出來的種種資訊保安問題也引起了廣泛關注。基於此，文章分析了電子商務中普遍存在的安全問題，並提出了相關對策。

　　關鍵詞：電子商務;資訊保安;網購

　　一、電子商務概述

　　電子商務electronic commerce，是指以網際網路為平臺，買賣雙方不用謀面而進行的各種商業和貿易活動。它是在因特網的基礎上衍生出來的一種新的商業模式，是以數字化電子方式完成的商務活動。作為一種新型的商務模式，電子商務具有高效率、低成本、方便、普遍等特點。

　　發展電子商務對我們來說，既是機遇，也是挑戰。國家制定了以資訊化帶動工業化，實現跨越式的發展戰略，以及企業資訊化促進電子商務的蓬勃發展，電子商務推動了企業創新、結構調整，大大提高了企業的效率。但也不能否認，我們在電子商務的發展過程中也面臨著許多亟待解決的問題。其中最突出的一是信用問題，二是網路安全問題。由於大量的資訊在網上傳遞，大量的資金在網上劃撥流動，這就要求網上資訊必須具有高度的可靠性和絕對的保密性。可以說，資訊的安全是電子商務順利發展的保證，是電子商務的生命線，沒有資訊保安電子商務就無從發展。

　　二、電子商務的安全因素

　　1.機密性。電子商務建立在一個較為開放的網路環境上，維護商業機密是其全面推廣應用的重要保障。

　　2.有效性。保證電子形式的貿易資訊的有效性是開展電子商務的前提。

　　3.完整性。由於資料輸入時的意外差錯或欺詐行為，可能導致貿易各方資訊的差異。此外，資料傳輸過程中資訊的丟失、資訊重複或資訊傳送的次序差異也會導致貿易各方資訊的不同。貿易各方資訊的完整性將影響到貿易各方的交易和經營策略，保持貿易各方資訊的完整性是EC應用的基礎。

　　4.可靠性/不可抵賴性/鑑別。在無紙化的EC方式下，通過手寫簽名和印章進行貿易方的鑑別是不可能的。因此，要在交易資訊的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。

　　5.審查能力。根據機密性和完整性的要求，應對資料審查的結果進行記錄。三、電子商務資訊保安技術

　　據網路民意調查，電子商務網站非常容易受到黑客的攻擊，許多使用者的密碼被黑客竊取。電子商務的安全問題不是純技術問題，也不存在絕對的安全。要想盡力保證安全，必須付出代價和成本。許多電子商務網站投入很少，很多網站不隨著病毒的發展和攻擊措施的變化及時更新和改變保護技術，有的甚至沒有可靠的安全措施。要得到基本的安全，在系統建設中用於安全保障的經費至少應該佔到10%左右。

　　1.公鑰基礎設施――PKIPublic-key Infrastructure是解決信任和加密問題的基本解決方案。

　　一個典型、完整、有效的PKI應用系統至少應具有：公鑰密碼證書管理，黑名單的釋出和管理，金鑰的備份和恢復，自動更新金鑰，自動管理歷史金鑰，支援交叉認證幾個部分。在規模不大的網路或較為封閉的網路中，通訊主體可以通過KDC這一類的金鑰分發或管理中心可靠地獲得通訊對方的公鑰。但在較大規模的網路環境中，KDC不再適用，因而這種環境下的公鑰分發問題成為最突出的問題。可靠地獲得通訊對方的公鑰的問題在網路環境下就是信任的問題，因而大規模網路中最突出的問題也就是信任的問題。PKI的本質就是實現了大規模網路中的公鑰分發問題，建立了大規模網路中的信任基礎。

　　2.加密技術。

　　1金鑰加密技術分為對稱金鑰加密和非對稱金鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的金鑰加以控制，它的保密度主要取決於對金鑰的保密。它的特點是數字運算量小，加密速度快，弱點是金鑰管理困難，一旦金鑰洩露，將直接影響到資訊的安全。非對稱金鑰加密法是在加密和解密過程中使用不同的金鑰加以控制，加密金鑰是公開的，解密金鑰是保密的。它的保密度依賴於從公開的加密金鑰或密文與明文的對照推算解密金鑰在計算上的不可能性。演算法的核心是運用一種特殊的數學函式――單向陷門函式。即從―個方向求值是容易的，但其逆向計算卻很困難，從而在實際上成為不可能。

　　2資料加密就是按照確定的密碼演算法將敏感的明文資料變換成難以識別的密文資料。通過使用不同的金鑰，可用同一加密演算法，將同一明文加密成不同的密文。當需要時可使用金鑰將密文資料還原成明文資料，稱為解密。資料加密被認為是最可靠的安全保障形式，它可以從根本上滿足資訊完整性的要求，是一種主動安全防範策略。

　　3.防火牆技術。

　　防火牆主要功能是建立網路之間的―個安全屏障，從而起到內部網路與外部公網的隔離，加強網路之間的訪問控制，防止外部網路使用者以非法手段通過外部網路進入內部網路。根據制定的策略對兩個或多個網路、分析和審計，按照―定的安全策略限制外界使用者對內部網路的訪問，只有被允許的通訊才能通過防火牆，管理內部使用者訪問外界網路的許可權，監視網路執行狀態並對各種攻擊提供有效的防範。

　　4.數字簽名和數字證書。

　　1數字證書。數字證書就是標誌網路使用者身份資訊的一系列資料，用來在網路直用中識別通訊各方的身份，其作用類似於現實生活中的身份證。數字證書由可信任的、公正的權威機構CA中心頒發，以數字證書為主的加密技術可以對網路上傳輸的資訊進行加密和解密、數字簽名和簽名驗證，確保網上傳遞資訊的機密性、完整性，交易實體身份的真實性，簽名信息的不可否認性，從而保障網路應用的安全性。2數字簽名。數字加密是非對稱加密技術的一類應用。數字簽名是用來保證文件的真實性、有效性的一種措施.如同出示手寫簽名一樣。將摘要用傳送者的私鑰加密，與原文一起傳送給接收者。接收者只有用傳送者的公鑰才能解密被加密的摘要。通過數字簽名能夠實現對原始報文的鑑別與驗證，保證報文的完整性、權威性和傳送者對所發報文的不可抵賴性。數字簽名機制提供了一種鑑別方法，保證了網路資料的完整性和真實性。

　　四、結束語

　　由於網路的開放性和共享性特點，使得電子商務資訊安全面臨著許多威脅，例如使用者機密資訊被竊取，傳輸中的資訊被篡改或者破壞，借用假冒資訊進行欺詐等。電子商務要想得到更完善和更大的發展，必須依賴於資訊保安技術的完善和提高。提高電子商務平臺服務的安全質量，使我們必須重視和大力研究的問題。否則，電子商務就淪為了電子廣告，而無法再進行交易。文章認為，在電子商務的建設和採購中務必考慮安全因素，加強各部門之間的協調和配合，讓電子商務與經濟體制一致，與資訊保安保密管理一致，與經濟安全監督一致，與信用體制一致。只有這樣，我們才能更放心地享受電子商務所帶來的便捷。

　　參考文獻

　　[1]鄭凱永.電子商務的資訊保安技術研究[J].現代商業，浙江理工大學信電學院，2009.

　　[2]劉麗梅.電子商務資訊保安問題探討[J].物流科技，2007，3.

　　[3]詹雪，汪文俊.南昌大學科學技術學院，江西南昌論電子商務的資訊保安技術[J].科技資訊，2008.

> > >