電子商務安全技術論文

時間：2023-04-01 09:39:45 電子商務畢業(yè)論文我要投稿

電子商務安全技術論文范文

　　電子商務安全技術的應用為建立一個安全、便捷的電子商務應用環(huán)境,對商家和客戶的信息提供足夠的保護,起著關鍵性的作用。電子商務安全問題是電子商務發(fā)展中的一個主要障礙。

電子商務安全技術論文范文

　　電子商務安全技術論文篇1

　　淺析電子商務安全技術

　　摘要: 隨著Internet、計算機技術、網(wǎng)絡技術的發(fā)展，出現(xiàn)了一種新興的商務模式―電子商務。

　　隨著電子商務的飛速發(fā)展，安全成為制約其發(fā)展的關鍵.本文在簡單介紹了電子商務的現(xiàn)狀、安全隱患及安全技術措施，其中重點探討電子商務的交易安全及網(wǎng)絡安全問題及相應的解決措施。

　　關鍵詞:電子商務安全密碼數(shù)字簽名協(xié)議網(wǎng)絡安全交易安全

　　電子商務是指政府、企業(yè)和個人利用現(xiàn)代電子計算機與網(wǎng)絡技術實現(xiàn)商業(yè)交換和行政管理的全過程;它是一種基于互聯(lián)網(wǎng)，以交易雙方為主體，以銀行電子支付和結算為手段，以客戶數(shù)據(jù)為依托的全新商務模式。

　　本質(zhì)是建立一種全社會的“網(wǎng)絡計算環(huán)境”或“數(shù)字化神經(jīng)系統(tǒng)”，以實現(xiàn)信息資源在國民經(jīng)濟和大眾生活中的全方位應用。

　　一、從安全上看，電子商務的現(xiàn)狀

　　1.網(wǎng)絡信息安全在全球還沒有形成一個完整的體系，我國也不例外。

　　2.安全技術的強度普遍不夠。

　　國外有關電子商務的安全技術，雖然其結構或加密技術等都不錯，但受到了外國密碼政策的限制，因此強度普遍不夠。

　　3.電子商務網(wǎng)站的安全管理存在很大隱患，普遍難以經(jīng)受黑客的攻擊。

　　4.電子商務僅僅局限于商務信息領域而沒有深入真正的電子商務領域，這些因素的存在必將影響我國電子商務進一步的發(fā)展。

　　二、電子商務安全性要求

　　從傳統(tǒng)商業(yè)與電子商務的不同特點來看，要滿足電子商務的安全性要求，至少要有下面幾個問題需要解決：

　　1.交易前交易雙方身份的認證問題。

　　電子商務是建立在互聯(lián)網(wǎng)絡平臺上的虛擬空間中的商務活動，交易的雙方只能通過數(shù)據(jù)、符號、信號等進行判斷、選擇，具體的商業(yè)行為也依靠電子信號和數(shù)據(jù)的交流，交易的當事人再也無法用傳統(tǒng)商務中的方法來保障交易的安全。

　　2.交易中電子合同的法律效力問題以及完整性保密性問題。

　　3.交易后電子記錄的證據(jù)力問題。

　　在英美法系，傳聞證據(jù)規(guī)則限制了電子記錄的證據(jù)力。

　　在我國，訴訟法中并未對電子記錄的證據(jù)力作出明確規(guī)定，甚至也沒有將其單列出來作為證據(jù)的一種。

　　三、網(wǎng)絡安全技術及解決思路

　　計算機網(wǎng)絡安全的特征是針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全增強方案，以保證計算機網(wǎng)絡自身的安全性為目標。

　　其問題有：

　　1.未進行操作系統(tǒng)相關安全配置。

　　不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。

　　千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強的密碼系統(tǒng)就算作安全了。

　　2.未進行CGI程序代碼審計。

　　如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應商專門開發(fā)的一些CGI程序，很多存在嚴重的CGI問題，對于電子商務站點來說，會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物等嚴重后果。

　　3.拒絕服務(DoS，DenialofService)攻擊。

　　隨著電子商務的興起，對網(wǎng)站的實時性要求越來越高，DoS或DDoS對網(wǎng)站的威脅越來越大。

　　以網(wǎng)絡癱瘓為目標的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤，使對方?jīng)]有實行報復打擊的可能。

　　4.安全產(chǎn)品使用不當。

　　雖然不少網(wǎng)站采用了一些網(wǎng)絡安全設備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應有的作用。

　　很多安全廠商的產(chǎn)品對配置人員的技術背景要求很高，超出對普通網(wǎng)管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動，需要改動相關安全產(chǎn)品的設置時，很容易產(chǎn)生許多安全問題。

　　5.缺少嚴格的網(wǎng)絡安全管理制度。

　　網(wǎng)絡安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。

　　建立和實施嚴密的計算機網(wǎng)絡安全制度與策略是真正實現(xiàn)網(wǎng)絡安全的基礎。

　　分析計算機網(wǎng)絡安全面臨的問題本人提出的解決思路有：

　　1.加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞。

　　2.要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡系統(tǒng)進行掃描分析，找出可能存在安全隱患，并及時加以修補。

　　3.從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權管理和認證。

　　4.利用RAID5等數(shù)據(jù)存儲技術加強數(shù)據(jù)備份和恢復措施。

　　5.對敏感的設備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施。

　　6.對在公共網(wǎng)絡上傳輸?shù)拿舾行畔⒁M行強度的數(shù)據(jù)加密。

　　7.建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

　　四、電子商務交易安全面臨的問題及解決思路

　　一般來說商務安全中普遍存在著以下幾種安全隱患：

　　1. 竊取信息。

　　由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關或路由器上可以截獲傳送的信息。

　　通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

　　2. 篡改信息。

　　當入侵者掌握了信息的格式和規(guī)律后，通過各種技術手段和方法，將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。

　　這種方法并不新鮮，在路由器或網(wǎng)關上都可以做此類工作。

　　3.假冒。

　　由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

　　4.惡意破壞。

　　由于攻擊者可以接入網(wǎng)絡，則可能對網(wǎng)絡中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡內(nèi)部，其后果是非常嚴重的。

　　電子商務交易安全面臨的問題本人提出的解決思路：

　　1.部分告知(PartialOrder)：即在網(wǎng)上交易中將最關鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。

　　2.另行確認(OrderConfirmation)：即當在網(wǎng)上傳輸交易信息后，再用電子郵件對交易做確認，才認為有效。

　　3.建立有效的安全交易標準和技術：如現(xiàn)在建立的安全超文本傳輸協(xié)議(S-HTTP)、安全套接層協(xié)議(SSL)、安全交易技術協(xié)議(STT，SecureTransactionTechnology)等。

　　4.數(shù)字認證：數(shù)字認證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性，甚至數(shù)據(jù)媒體的有效性。

　　5.加密技術：保證電子商務安全的最重要的一點是使用加密技術對敏感的信息進行加密。

　　6.電子商務認證中心(CA，CertificateAuthority)實行網(wǎng)上安全支付是順利開展電子商務的前提，建立安全的認證中心(CA)則是電子商務的中心環(huán)節(jié)。

　　五、結束語

　　我國的電子商務近年來發(fā)展很快，但是有關的安全保障還未建立起來。

　　這已經(jīng)成為影響我國電子商務發(fā)展的一個障礙。

　　為此，我們必須加快建設有關的電子商務安全系統(tǒng)。

　　這將是一個綜合性的、涉及全社會的系統(tǒng)工程。

　　具體而言，我們要從法律上承認電子通訊記錄的效力，給電子商務以法律保障;我們要加強對電子簽名等的研究，給電子商務以技術保障;我們還要盡快建立電子商務認證體系，給電子商務以組織保障。

　　而且，針對電子商務無國界的特點，我們還應該加強國際合作，使電子商務真正發(fā)揮其應有的作用。

　　惟有如此，我們才能順應時代潮流，推動我國經(jīng)濟的發(fā)展;也惟有如此，我們才能在經(jīng)濟全球化的今天，參與到國際競爭中去，并進而贏得競爭的優(yōu)勢。

　　參考文獻:

　　[1]周化祥、李智偉.網(wǎng)絡及電子商務安全.[M].北京：中國電力出版社，2004.7.

　　[2]祝曉光.網(wǎng)絡安全設備與技術.[M].北京:清華大學出版社.2004.11.

　　電子商務安全技術論文篇2

　　淺析電子商務中的安全技術

　　[摘要] 安全問題是電子商務發(fā)展的核心和關鍵問題。

　　安全性技術是保證電子商務健康有序發(fā)展的關鍵因素。

　　本文討論了電子商務應用中所存在的安全問題，針對這些安全問題對電子商務的安全技術進行了分析。

　　[關鍵詞] 電子商務加密技術數(shù)字簽名

　　一、引言

　　隨著Internet的發(fā)展，電子商務已經(jīng)逐漸成為人們進行商務活動的新模式。

　　越來越多的人通過Internet進行商務活動。

　　電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業(yè)信息。

　　電子商務安全問題是電子商務發(fā)展中的一個主要障礙。

　　電子商務安全技術的應用為建立一個安全、便捷的電子商務應用環(huán)境,對商家和客戶的信息提供足夠的保護,起著關鍵性的作用。

　　二、電子商務面臨的安全問題

　　1.信息的截獲和竊取

　　由于未采用加密措施,信息在網(wǎng)絡上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關或路由器上可以截獲傳送的信息。

　　通過多次竊取和分析,可以找到信息的規(guī)律和格式,進而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密。

　　2.篡改信息

　　當入侵者掌握了信息的格式和規(guī)律后，通過各種技術手段和方法，將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。

　　3.信息假冒

　　由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

　　4.交易抵賴

　　交易抵賴包括多個方面，如發(fā)信者事后否認曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認曾經(jīng)收到過某條消息或內(nèi)容;購買者做了訂單不承認;商家賣出的商品因價格差而不承認原有的交易等。

　　5.惡意破壞

　　三、電子商務安全技術

　　1.密碼技術

　　密碼技術是信息安全的核心技術。

　　對信息安全的需求大部分可以通過密碼技術來實現(xiàn)。

　　密碼技術包括加密、簽名認證和密鑰管理技術等。

　　(1)加密技術。

　　數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應的密鑰之后才能顯示出本來內(nèi)容,通過這樣的途徑來達到保護數(shù)據(jù)不被非法人竊取、閱讀的目的。

　　加密技術通常分為兩大類:“對稱式”和“非對稱式”。

　　加密技術是保證電子商務安全的重要手段，許多密碼算法現(xiàn)已成為網(wǎng)絡安全和商務信息安全的基礎。

　　(2)數(shù)字簽名。

　　在電子商務安全系統(tǒng)中,數(shù)字簽名技術占有重要的地位。

　　在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中,都要用到數(shù)字簽名技術。

　　數(shù)字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。

　　目前,數(shù)字簽名一般都通過單向Hash函數(shù)來實現(xiàn),它可以驗證交易雙方數(shù)據(jù)的完整性。

　　通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。

　　數(shù)字簽名技術將具有廣闊的應用前景,它將直接影響電子商務的發(fā)展。

　　(3)密鑰管理技術。

　　密鑰管理包括密鑰的產(chǎn)生、存儲、裝入、分配、保護、丟失、銷毀以及保密等內(nèi)容。

　　其中分配和存儲是最棘手的問題。

　　密鑰管理不僅影響系統(tǒng)的安全性，而且涉及系統(tǒng)的可靠性、有效性和經(jīng)濟性。

　　在用密碼技術保護的現(xiàn)代信息系統(tǒng)的安全性主要取決于對密鑰的保護。

　　密鑰管理技術主要包括：對稱密鑰管理;公開密鑰管理，第三方托管技術。

　　2.網(wǎng)絡安全技術

　　(1)防火墻技術。

　　防火墻可以根據(jù)網(wǎng)絡安全水平和可信任關系將網(wǎng)絡劃分成一些相對獨立的子網(wǎng)，兩側(cè)間的通信受到防火墻的檢查控制;可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過，同時將安全策略不允許的用戶與數(shù)據(jù)包隔斷，達到保護高安全等級的子網(wǎng)、防止墻外黑客的攻擊、限制入侵蔓延等目的。

　　防火墻具有以下五大基本功能:過濾進、出網(wǎng)絡的數(shù)據(jù);管理進、出網(wǎng)絡的訪問行為;封堵某些禁止行為;記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡攻擊進行檢測和告警。

　　目前的防火墻主要有兩種類型。

　　其一是包過濾型防火墻，其二是應用級防火墻。

　　(2)虛擬專用網(wǎng)VPN技術。

　　虛擬專用網(wǎng)VPN是一種特殊的網(wǎng)絡，它采用一種叫做“通道”或“數(shù)據(jù)封裝”的系統(tǒng)，用公共網(wǎng)絡及其協(xié)議向貿(mào)易伙伴、顧客、供應商和雇員發(fā)送敏感的數(shù)據(jù)。

　　這種通道是Internet上的一種專用通道，可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸。

　　在VPN中，只要通信的雙方默認即可，沒有必要為所有的VPN進行統(tǒng)一的加密和認證。

　　現(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進一步增加VPN的安全性，因而能夠保證數(shù)據(jù)的保密性和可用性。

　　VPN實現(xiàn)的關鍵技術是隧道技術、加密技術和QoS(服務質(zhì)量)技術。

　　(3)入侵檢測技術。

　　入侵檢測技術是防火墻技術的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎結構的完整性。

　　其最重要的價值之一是它能提供事后統(tǒng)計分析，所有安全事件或?qū)徲嬍录男畔⒍紝⒈挥涗浽跀?shù)據(jù)庫中，通過從各個角度對這些事件進行分析歸類，可以總結出被保護網(wǎng)絡的安全狀態(tài)的現(xiàn)狀和趨勢，及時發(fā)現(xiàn)網(wǎng)絡或主機中存在的問題或漏洞，并可歸納出相應的解決方案。

　　入侵檢測的主要方法有：靜態(tài)配置分析，異常性檢測方法、基于行為的檢測方法及幾種方法的組合。

　　(4)安全交易協(xié)議。

　　除了各種安全控制技術之外，電子商務的運行還需要一套完整的安全交易協(xié)議。

　　不同交易協(xié)議的復雜性、開銷、安全性各不同。

　　同時，不同的應用環(huán)境對協(xié)議目標的要求也不盡相同。

　　目前，比較成熟的協(xié)議有安全套接層協(xié)議(SSL)和安全電子交易協(xié)議(SET)。

　　三、小結

　　用于保護電子商務的安全控制技術很多，并非把這些技術簡單地組合就可以得到安全。

　　但是通過合理應用安全控制技術，并進行有機結合，就可從技術上實現(xiàn)系統(tǒng)、有效的電子商務安全。

　　參考文獻:

　　[1]張立克:電子商務及其安全保障技術[J].水利電力機械,2007,29(2):69～74

　　[2]祝凌曦:電子商務安全[D].北京:清華大學出版社,2006