时间:2023-11-02 10:18:28
序论:在您撰写电子商务信息安全时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
近年来,我国网络技术快速发展,电子商务经营模式在各行各业中的应用愈加广泛。电子商务经营模式主要通过网络开运行,其开放性的特点不但保证了商务活动的高效性和快捷性,还极大地提高了企业的经营管理效率,而同时也给企业带来许多问题,如黑客、病毒入侵,给企业造成了极大的经济损失,因此,为了保证电子商务系统给企业带来的效益,迫切需要解决电子商务信息安全问题。
一、我国电子商务发展概况
由于网络环境具有开放性的特点,电子商务使企业、消费者可以通过网络进行交易,极大的丰富了人们购物的方式。而随着计算机网络技术的快速发展,电子商务相关技术也越来越完善,市场环境愈加成熟,以电子商务为主的网上交易模式得到了广大人民的青睐。电子商务不但使得交易模式更加快捷,让消费者可以通过电子商务平台轻松购买到自己想要的商品,从商家的立场来说,还促使商家构建出自己的电子商务网络平台,实现商品的网络在线销售,极大的提高了企业的经济效益。我国企业电子商务模式种类繁多,其差异主要体现在交易模式及付款方式的不同,有B2B、B2C、C2C等模式,这里B指的是Business,即企业,C指的是Customer,即客户。
B2B模式中的交易双方都是企业用户,大多通过网络形成交易合同,然后通过现实银行支票或转账等方式进行付款;在C2C模式中,交易双方是个人对个人的交易形式,其中以淘宝店主作为主要代表,商务活动主要是个人与个人之见的交易活动,双方通过第三方网站支付平台进行相应的付款与收款交接;在B2C模式中,交易双方中的一方是企业,另外一方是个人,电商企业通过电子商务销售平台将商品推销给个体消费者。这种电子商务经营模式,彻底的改变了传统的卖家―经销商―买家的交易模式,极大的提高了企业的经济效益,并且缩短了交易的时间。
二、当前电子商务信息安全现状
电子商务作为一种新型的商业经营模式,使商务活动交易双方在不见面的情况下,通过互联网手段完成商业交易,而这一特点也给电子商务信息埋下了安全隐患。电子商务高度网络化的特点,对电子商务安全性有着较高的要求。第一,要严格化用户信息数据传输、处理以及存储的过程,确保在商务活动交易过程中交易双方信息的完整性,避免交易双方信息在处理的过程中出现错误;第二,要对交易双方的身份进行核实认证,保障交易过程中交易双方身份信息的真实性,第三,要保障电子商务交易平台系统软件的稳定性,定期更新硬件设备,在最大程度上保证电子商务信息安全,加强电子商务的安全技术和安全管理,以确保电子商务的信息安全性。当前电子信息安全问题主要表现为以下形式:
(一)病毒与黑客
由于网络环境的开放性特点,网络病毒具有极强的传染力和破坏力,它侵入到电子商务的系统中,破坏商务交易数据程序,对电子商务系统造成无法估量的损失。而网络黑客主要通过黑客程序进入电子商务信息系统漏洞,进而侵入到电子商务系统中,窃取用户私人信息进行恶意利用,有些黑客窃取竞争对手的商业机密对其进行商业打击。
(二)软件漏洞
由于计算机软件编程具有复杂多样的特点,电子商务系统软件经常出现信息泄露的问题。如果程序中的文档秘密入口被其他程序员恶意使用,将导致无法估量的损失;而由于操作系统自身的安全漏洞,例如访问控制混乱、I/O非法访问、不完全中介、数据库安全漏洞等等,都将严重危害电子商务系统的信息安全,在TCP/IP的通信协议设计初期阶段,程序员没有充分考虑软件安全的问题,导致计算机在连接Internet时,经常受到外界各类恶意软件的攻击,使得信息被窃取。
(三)技术落后
由于我国网络信息技术发展滞后,当前电子商务系统中仍存在信息安全问题。当前我国多数计算机设备皆来源于进口,计算机芯片技术不成熟,网络设备的技术及维护技术大多从国外引进,如果软件中隐性漏洞被人恶意利用,将造成严重的电子商务信息安全问题。
三、电子商务信息安全防范措施分析
(一)电子商务法规制度
企业需要做好管理体制的建设工作,不断加强内部的安全管理,提高企业的安全意识,为了保证电子商务活动中用户的隐私。同时政府需要不断完善电子商务相关法规,制定科学合理的赔偿制度,为电子商务的发展创造必要的法律环境。
(二)病毒防范处理技术
计算机病毒防范处理技术是保证电子商务系统信息安全的重要途径。病毒管理工作要坚持防范大于治疗的原则,使用各种病毒预防方法来进行预防,例如对新购入的计算机硬件及软件进行严格化检测、定期进行数据备份等,同时设置合理的文件访问权限、对文件进行定期扫描检测。此外,定期更改系统管理员口令,以免不法分子非法获取管理员口令,安装防病毒芯片,做好病毒防御工作。若电子商务的计算机系统感染病毒,必须立即对其进行清除和系统恢复的工作。在清除病毒时需要使用干净盘来进行系统恢复,保证杀毒工作处于无病毒环境中,同时尽快找出病毒宿主程序,在启动盘和杀毒盘上安装保护程序,防止病毒的进一步传染。此外,要保证病毒清除工作的全面性与准确性,及时清除病毒文件。如此才能彻底清除电子商务系统感染的病毒,保证电子商务用户的信息安全。
(三)数据加密技术
加密技术是计算机网络信息安全技术的基础技术之一,大多被应用于数据存储与传输的过程中。数据加密技术使用数学方法将信息进行再组织和加密,使非法接受者无法正常接收网络数据,而合法接受者可以通过密钥,对数据进行解密来得到信息,极大地保证了信息安全。由于在数据安全保护方面独具优势,数据加密技术被广泛应用于电子商务信息安全管理工作中。
(四)防火墙技术
防火墙技术是保障电子商务信息安全的重要方法,它极大的限制了公共数据与服务对于防火墙内资源的访问权限,然而防火墙对病毒没有防范的作用,并且由于防火墙数据时常无法及时更新,导致产生数据延迟,极大地制约了实时服务支持请求。同时防火墙通常采取的滤波技术会使网络性能降低一半以上,而为了保证网络性能,企业需要配置高速路由器,这不利于企业经济效益的提高。防火墙技术是一种大众化的电子商务信息安全防范技术,拥有颇高的透明度,并且易于操作,能在一定程度上保证电子商务信息安全。然而,如果防火墙被入侵,电子商务系统信息安全将受到极大的损害。同时防火墙也无法满足企业与个体之间商业网络通信的需求。
(五)授权认证技术分析
目前国际电子商务大多采用CA认证技术来处理电子商务信息的安全问题。作为电子商务系统中的权威机构,所有的电子商务系统数字证书都要通过CA认证中心的授权,因此CA认证技术中心受到了广大用户的信任。其主要通过身份识别、数字化签名等技术途径来处理电子商务系统中身份认证的问题,确保商务互动交易双方身份的真实有效,使数据存储、传输的安全得到保证。
结束语
总而言之,电子商务虽然给企业带来了极大的经济效益,然而由于网络环境具有开放性的特点,易产生安全漏洞和信息泄露等问题,从而使电子商务活动中双方带来重大的经济损失,因此要不断完善对计算机信息安全技术,电子商务活动环节进行有效监测,保证电子商务信息安全,促使电子商务系统健康发展。
参考文献
[1]崔晓慧.关于电子商务信息安全的探讨[J].现代营销,2013,(4).
[2]黄福伟.提高计算机电子商务信息安全的策略分析[J].中国电子商务,2014,(12).
关键词:电子商务;信息安全;计算机网络
1 问题的提出
随着Internet网络技术飞速发展及普及,电子商务(Electronic Commerce,简称EC)已经逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动。电子商务是利用网络技术、计算机技术和通信技术,实现数字化、电子化,商务化,网络化的整个商务过程,它与传统商业活动相比,最大的一个特征就是基于B/S方式下,交易双方在不见面的情况下完成商品贸易活动。
由于Internet自身的共享性、开放性、无缝性,那么以此为平台的在线商务交易安全也面临着日益严峻的挑战。据国家信息中心信息安全研究与服务中心统计,2012年发生了2起源代码被盗事件,2起重大黑客攻击事件,6起信息泄密事件,3起重大漏洞事件。2013年的棱镜门,谷歌抓取支付宝转账信息,酒店开房记录泄露等。据中国互联网产业统计,中国网民在2013年损近1500亿元。对于以上的这些问题,本文将对电子商务信息安全应用进行研究,并提出一些合理的安全解决方法,提高电子商务交易过程中的安全性,降低实施风险。
2 国内外电子商务安全研究现状
2.1 国际电子商务安全研究现状
在电子商务安全研究方面,美国是处于领先地位。美国国家安全局(NSA)在1983年正式颁布“受信计算机系统评量基准”,是目前颇具权威的计算机系统安全标准之一。自“911”恐怖袭击事件之后,美国公司增强了信息技术安全观念,投入大量的经费,同时加强信息技术安全方面的工作。从现在的网络安全研究情况的现实看,解决网络安全问题的根本途径和方向是网络技术创新,即研发新一代网络技术,采取“立体”措施,包括引入“中间件”层及其安全结构,在“网络层”增设面向连接的实时协议、强化整个网络系统的管控智能以及改进终端加密和反黑等措施。
2.2 我国电子商务安全研究现状
国务院在1996年了《中华人民共和国计算机信息网络国际联网管理暂行规定》,公安部在1997年了《计算机信息网络国际联网安全保护管理办法》,2000年由国家信息化推进工作办公室牵头起草的《关于发展我国电子商务的若干意见》上报国家最高决策层进行审议。网络信息安全问题不但得到了政府、企业的高度重视,同时国内的大专院校、研究所和有实力的大公司也纷纷进入网络信息安全问题的研究领域。
3 电子商务信息安全隐患
电子商务的信息存储安全隐患主要包括:(1)内部隐患。主要是网内用户未经许可随意增加、删除、修改或无意或故意地非授权调用电子商务信息。(2)外部隐患。主要是因为软件问题造成外部人员非法闯入内网,造成电子商务信息被增加、删除、修改或调用。
电子商务的信息流动安全隐患主要包括:(1)窃取商业机密。多数电子商务的信息是以明文的方式传输,那么攻击者很容易的对电子商务信息进行监听和截取。(2)攻击商务网站。攻击者通过传播计算机病毒,绕过电子商务网站的防火墙,篡改信息,使其无法正常运转。(3)实施商务诈骗。不法分子通过Internet虚假信息骗取帐号、现金,用户对电子商务产生不信任感,阻碍了电子商务的顺利发展。(4)传播不良信息。不法分子为了达到自己既有目的,在电子商务信息中推送不良信息。
电子商务交易双方的信息安全隐患主要是:(1)商家的信息安全隐患。不法分子冒充合法用户修改商务信息内容,致使电子商务活动中断,造成商家无法从事正常的业务活动。(2)用户的信息安全隐患。不法分子窃用拦截合法用户身份信息,以合法的用户进行电子商务活动,使用户蒙受损失。
4 电子商务信息安全管理
在电子商务活动中,有些信息属于商业秘密,如果失窃,将带来不可估量的损失,因此需有一个能不中断地提供服务及可靠稳定的电子商务平台,任何系统的中断,如软硬件错误,病毒,网络故障等都可能导致电子商务系统不能正常工作,所以电子商务信息的安全管理问题就成了电子商务顺利推进的保障。随着电子商务的深入应用,攻击网络技术和手段不断改进,这就对电子商务信息系统的安全性提出了更高的要求,必须保证外网用户不能对系统构成威胁,所以人们对这些基本技术进行了反复改进以适应更高的安全需求。
4.1 电子商务安全的法制建设及企业内部管理
为了保护用户信息在电子商务活动中不受侵犯,政府应该完善电子商务信息法规,同时,还需制定详尽、具体、具有可操作性的赔偿制度,包括精神赔偿和物质赔偿,为电子商务的发展提供必要的法律保证。
在国内对个人信息安全保护的监管分别由公安部、工业与信息化部等部门管理,多头管理难免会出现监管漏洞。对此可以建议由国安委统一管理,只有权力清晰才能保证监管没有漏洞。
有些安全事件是“祸起萧墙”,这就要求加强企业内部安全管理,培育和加强企业安全意识,通过企业和用户的共同努力来实现。它的基本原则是在系统内发生的所有行为都必须被定义好的,并且符合相应的程序控制要求,所有行为的发生都有审计记录,可以解决许多技术层次解决不了的安全性问题。
4.2 防火墙技术
目前的防火墙分可为两大类,一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先制定好的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址等因素来确定是否允许数据包通过。另一类是应用网管和服务器,其显著的优点是能提供小颗度的存取控制,可针对特别的数据过滤协议和网络应用服务,并且能够对数据包分析并形成相关的报告。通过防火墙技术,可以过滤掉不安全的服务,提高网络安全和减少网络中主机的风险。但防火墙是一种被动安全技术,不能阻止来自内部网络的攻击。唯一的解决办法就是,在每台计算机上都装反病毒软件。
4.3 病毒防范技术
计算机病毒实际上就是在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒绕过系统或违反授权入侵成功后,在系统中植入木马等病毒程序,为以后攻击系统、窃取信息做好准备。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测,工作站上对网络目录及文件设置访问权限等。
现在较流行的反病毒技术基于病毒的特征码扫描法、文件实时监控技术并辅以指令虚拟技术。扫描病毒:分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底。监控病毒:通过利用操作系统底层接口技术,对系统中的指定类型的文件进行实时的行为监控,一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。删除病毒:在删除时采用虚拟技术对变种的病毒进行处理或编写出相应的程序,将病毒移除计算机内存。
4.4 认证技术
安全认证技术主要有:(1)数字摘要技术,也称安全HASH编码法。用于对所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但能产生信息的数字"指纹",目的是为了确保数据没有被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,又称电子签章、公钥数字签名。是一种类似写在纸上的普通的物理签名,就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种变换或数据允许数据单元的接收者用以确认完整性和数据单元的来源并保护数据,防止被人伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中发生抵赖。(3)数字证书技术,又称为数字凭证。负责用电子手段来证实用户的身份和对网络资源访问的权限。(4)数字时间戳技术(DTS)。在文件交易中,时间是十分重要的信息,需对文件交易的时间和日期信息采取安全措施,而数字时间戳服务就能提供电子文件交易时间的安全保护。时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件摘要,DTS的数字签名,DTS收到文件的日期和时间。(5)身份认证实际。是计算机系统通过审查用户身份证明的过程,提供确认和判别用户身份的机制,确定用户是否具有对系统资源操作和访问权限。本质是确认用户身份,用户必须能够证明其身份标识合法性。身份认证技术是访问控制、安全审计、入侵检测等安企机制的基础,在电子商务信息安全理论与技术中占有至关重要的位。目身份认证技术主要有基于口令的认证技术、基于密码学的认证技术、基于智能卡的认证技术以及基于生物学特征的认证技术等。
4.5 安全协议技术
电子商务安全问题的核心是电子交易的安全性,为了彻底解决电子商务的安全机制,人们开发了各种用于加强电子商务安全的协议。当前广泛应用的电子商务安全协议主要有SET协议(Secure Electronic Transaction,安全电子交易)和SSL协议(Secure Sockets Layer,安全套接层),二者都采用了RSA算法加密。
SSL协议提供加密的SSL会话服务、SSL服务器鉴别服务以及SEL客户鉴别服务,实现了浏览器等客户端应用软件与TC/IP协议之间的接口,可以对万维网客户与服务器之间传送的数据信息进行加密和鉴别,在双方握手阶段,对将要使用加密算法和双方共享的会话密朗进行协商,完成客户与服务器之间的鉴别。目前许多运营商利用本身的便利性,使用一些的数据收集工具,分析出客户的需求,并为客户提供同类商品信息,或者是分析其他运营商的数据,产生一种恶性竞争。对于客户来讲,提供相关的其他同类商品的信息,看似是一种个性化的服务,但是同时也是在侵犯用户的隐私,为此在应用层也就客户在浏览网页时,如果客户需要商家提供相关的同类商品的信息时,商家才能对客户的数据进行分析,否则不应任意分析用户的数据。
SET协议是基于应用层的协议,是一种新的电子支付模式,它保证了开放网络上使用信用卡进行在线购物的安全。SET协议具有强大的验证功能,主要是为了解决用户、银行、商家之间通过信用卡的交易而设计的,它具有保证交易数据的完整性,交易的不可抵赖性等优点,因此它成为目前公认的信用卡网上交易的国际标准。
5 结束语
电子商务信息的安全问题是一项复杂的系统工程,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题变得更加突出。它不仅涉及到动态传输信息及静态存储信息的安全问题,还需要保证电子商务信息安全,加快电子商务的发展。还有在非技术方面,需要完善法律制度、管理制度和诚信制度,促进社会公众商务观念的转变等,营造电子商务信息安全的社会大环境。
[参考文献]
[1]金胜男.电子商务的信息安全技术研究.技术研发,2013年第12期.
[2]孟慧敏.电子商务对国际贸易的影响及应用.电脑知识与技术,2013年2月第9卷第5期.
[3]韩文虹.电子商务中安全技术的应用研究.电子商务,2013年2月.
[4]崔敏.基于电子商务的安全技术讨论.网络安全,2013年7月.
[5]龙爱民.电子商务的信息安全技术分析.信息技术,2013年9月.
[6]牟童.电子商务安全体系结构浅析.电子商务与电子政务,2013年3月.
[关键词] 电子商务 信息技术 信息安全
随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务 ( Electronic Commerce, EC) 就是借助于公共网络,如 Internet 或开放式计算机网络 (Open Computer Network) 进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看,信息安全问题是保障电子商务的生命线。
一、电子商务信息安全现存的问题
电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在:
1.计算机网络的安全
(1)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(2)信息的安全问题。非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密;或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易;还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。
(3)防病毒问题。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
(4)服务器的安全问题。电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些敏感数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。目前为止服务器的安全问题尚无有效措施予以阻止。主要表现在: 非法用户向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正常的网络服务; 利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。
2.商务交易的安全
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法收入。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
3.其他方面的安全
电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题: 网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。
二、保障电子商务信息安全技术性措施
电子商务安全是信息安全的上层应用,它包括的技术范围比较广,主要分为数据加密技术和身份认证技术两大类。
1.数据加密技术
加密技术是保证电子商务中采用的主要安全措施,交易双方可根据需要在信息交换阶段使用。在一个加密过程中有两个基本元素:算法和密钥。加密过程就是根据一定的算法,将可理解的数据(明文)与一串数字(密钥)相结合,从而产生不可理解的密文的过程,主要加密技术是:
(1)常规密钥密码加密。所谓常规密钥密码加密,即加密密钥与解密密钥是相同的。在早期的常规密钥密码体制中,典型的有代替密码,其原理可以用一个例子来说明:字母 A,B,C,D,…,W,X,Y,Z的 自然顺序保持不变,但使之与 D,E,F,G,…,Z,A,B,C 分别对应 (即相差3个字符)。 若明文为WELL则对应的密文为 ZHOO (此时密钥为3)。
由于英文字母中各字母出现的频度早已有人进行过统计,所以根据字母频度表可以很容易对这种代替密码进行破译。
(2)对称密文加密。对称密钥加密又称为秘密密钥加密,即收发双方采用相同的密钥来进行加密和解密。对称密钥加密的最大优点是加解密速度快,适合于进行大量数据加密,但也存在密钥管理、困难以及无法进行身份鉴别的缺点。
(3)非对称密钥加密。非对称密钥加密也称为公开密钥加密,每个用户有一对密钥: 一个用于加密,一个用于解密,两把密钥实际上是两个很大的质数。其中,加密密钥(公钥)可以在网络服务器、报刊等场合公开,而解密密钥(私钥)则属用户的私有密钥,由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。
与对称密钥加密相比,采用非对称密钥加密方式密钥管理较方便,且保密性比较强,但加解密实现速度比较慢,不适用于通信负荷较重的应用。
2.身份验证技术
(1)认证系统。网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做 Certificate Authority,通常简称为 CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的 CA,否则,一切网上的交易都没有安全保障。
(2)SSL协议。SSL协 议 (Secure Socket Layer,安全套接层)主要目的是解决 TCP/IP 协议不能确认用户身份的问题,在 Socket 上使用非对称的加密技术,以保证网络通信服务的安全性。SSL协议易于实现。
SSL协议还是最值得信赖的协议。但是由于 SSL协 议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协 议并不能协调各方间的安全传输和信任关系。
(3)SET协 议。SET (Secure Electronic Transaction) 安全电子交易协议是用于 Internet 上的以信用卡为基础的电子支付系统协议。主要应用于B/C模式中保障支付信息的安全性。SET协 议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。它的交易规范成为了未来电子商务发展的方向。
3.其他安全技术
防火墙技术:防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器,可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告。
数字签名:数字签名是公开密钥加密技术的另一种应用,报文的发送方从报文文本中生成一个 128位的散列值,发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
三、保障电子商务信息安全措施
1.加快网络基础设施建设,推动企业信息化进程
信息基础设施是电子商务发展的物质基础和载体。发展信息基础设施需要政府和业界的共同努力,尤其是政府的大力投资和宏观调控。
2.普及计算机网络知识和电子商务常识,提高全民族电子商务意识
普及信息技术的教育,培养信息技术人才。增强企业和公众对电子商务的信心。
3.加快银行、税务以及邮政等物流环节的信息化建设
建立企业到企业、企业到客户的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通困难。
参考文献:
[1]周均:电子商务信息安全的政策法律研究[J].科技文献信息管理,2004(4):57
[2]杨颖:电子商务安全问题分析[J].中国科技信息,2005(20):53
1商务主要的信息安全要素
1.1有效性
有效性是指信息发送方发送给信息接收方的信息是未经外人加工、改变的信息。贸易数据都具有特定型性,是指贸易信息只有在特定的时刻和确定的地点才是有效的。电子商务改变了过去纸质的方式,以电子的形式传递信息,如何确保电子信息在传送过程中的未经加工是确保信息有效的前提。电子商务中信息的有效性对企业、个人、甚至国家的经济利益有着重大的影响,所以,要及时对网络故障、应用程序错误、系统软件错误或者计算机病毒引起的信息安全隐患进行防范,以确保数据的有效性。
1.2保密性
保密性是指贸易信息在存储或传递过程中未经他人窃取或泄露。传统的纸质贸易信息一般是通过邮寄的信件及其他可靠的传递渠道来互送商业贸易文件以确保信息的安全。现代电子网络是一个开放的传递平台,维护商业贸易信息显得更加重要,确保商业机密的保密性是电子商务全面推广应用的基本保障。所以,必须确保贸易信息在传递过程中的保密性,防止非法窃取及泄露。
1.3完整性
完整性是指电子贸易信息在传递的过程中没有没被修改、歪曲和重复,信息的接受者接收到的信息与信息发送方发送的信息完全相同。贸易信息的完整性会对贸易各方经济利润、营销策略和贸易合同产生巨大影响。确保贸易信息的完整性是电子商务实际应用的重要基础。所以,在信息传递过程中要防范信息被随意生成、修改和删除,防止信息的丢失与重复,同时信息的传递次序要保证统一。
1.4可靠性
电子商务信息直接关系到贸易双方的商业交易,在交易过程中如何确保进行交易的对方与交易所期望的贸易方是同一者,这就需要电子商务信息必须确保本身的可靠性。在传统的商业交易中,双放当事人可以通过手写签名或印章等形式确保双方的身份,但是电子商业贸易利用网络这一形式,无法采取传统的身份认定形式,就必须确保贸易信息的可靠性,从而为贸易双方进行商业交易奠定重要基础。
2电子商务安全的技术要求
2.1物理安全
要根据国家标准、信息安全等级、信息技术情况,制定切实可行、符合实际情况的的物理安全标准体系。本体系可以防范设备功能失常、电源事故、电磁泄漏等引起的信息失密等。
2.2网络安全
为了保证电子商务交易的安全可靠,电子商务平台须稳定可靠,能够全天候正常运行。系统在运行的任何中断,如病毒入侵、网络故障或硬件软件错误等都会对正在进行电子商务交易的双方造成重大损失,尤其是丢失或失密的贸易信息,将是不可恢复性的。
2.3商务安全
商务安全是指商务交易中的安全问题,商务安全的不同方面需要通过不同的网络安全技术和安全交易标准来确保实现。确保电子商务安全的技术主要有安全电子交易SET协议、在线支付协议、文件加密技术、数字签名技术等。
2.4系统安全
系统安全主要是指主机的操作系统和数据库系统的安全情况。对系统安全的防范和保护,要通过安全技术升级,加强安全保护设施的投资建设,提高系统的安全防护能力。
3目前我国电子商务存在的问题
就我国电子商务而言,我国的科学技术水平目前还处于较低层次,技术含量不高,资金投入又不足,在安全保密方面存在较大的隐患,网络安全性较低,主要表现在我国的网络信息易扰、欺骗等,再加上我国人民对于网络安全这方面的安全意识不高,网络安全处于十分薄弱的环境中。
3.1电子商务安全存在的隐患
(1)网络协议方面的安全问题。在电子商务中,交易双方在交易中是通过传送数据包的形式来交换数据,传送过程中,不法恶意攻击者会拦截数据包,甚至在一定程度上破坏,这使得接收方接收的信息是不正确的。
(2)用户信息的安全问题。用户和商家是在B/S结构的电子商务网站使用浏览器登录进行交易,在登陆浏览器时势必会使用电脑,有的用户在使用电脑时,如果计算机中存在木马,那么登陆者的信息存在泄露的危险,有的用户在不方便使用自己电脑的情况下使用公共计算机,有些不法分子会通过电脑技术窃取交易信息。
(3)商家商务网的安全问题。有些企业在制作自己的商务网站时由于技术不过硬,本身的商务网站就存在隐患,服务器安全性低,不法分子利用电脑技术攻击商务网站,窃取用户信息和交易信息。
3.2电子商务安全问题的具体表现
(1)交易信息被窃取、毁坏。电子商务交易在数据包的传送过程中,可能会被一些不法分子运用电脑技术非法篡改交易信息,使得交易信息失去真实性和可靠性。无论是在网络硬件还是软件方面,都存在导致传送过程中信息的误传的可能性。
(2)假冒身份问题。电子商务交易是通过浏览器登录进行交易,交易双方没有机会面对面洽谈,这就给了第三人一个假冒交易某一方破坏交易、骗取交易成果,甚至败坏交易某一方的声誉等的机会。
(3)交易抵赖问题。例如,在电子商务交易中,买家收到货之后,不确认收货。
(4)计算机病毒感染问题。电子商务交易势必会使用计算机,交易者在使用计算机时,存在选中有病毒的计算机的可能性,这样给商务交易带来了问题。另外,我国网上的蠕虫病毒等在网络流域的传播极易发生,传播过程中会产生巨大的攻击流量,会导致访问速度滞停的问题。
4电子商务安全防范技术
为确保电子商务贸易的有效进行,一方面要保证电子商务平台的运行可靠稳定,能够全天候持续不断地提供网络服务;另一方面,电子商务系统还必须不断更新和采用最新安全技术来保证电子商务的整个交易过程的安全,防止交易抵赖行为。在现实生活中,电子商务安全防范技术主要有以下几种:
4.1数据加密技术
数据加密技术分为常规密钥密码体系和公开密钥密码体系两大类。在交易双方可以保证密钥在交换阶段未曾发生丢失或泄露的情况下,通常采用常规密钥密码技术为机密信息加密。在公开密钥密码体系中,加密密钥是公开的信息,加密算法和解密算法也是公开的信息,而解密密钥是机密的。重要的公开密钥密码体系有:基于NP完全理论的Merkel-Hellman背包体系、基于数论中大数分解的RSA体系、基于编码理论的McEliece体系。以上两种加密体系各有优缺点:常规密钥密码体系的优点是加密速度快、效率高,主要用于大量数据的加密,但是常规密钥密码体系中密钥在传递过程中容易被窃取,对于大量密钥的管理存在缺陷;公开密钥体系在大范围密钥的安全方面很好的解决了常规密钥密码体系存在的问题,保密性能比常规密钥密码体系高,但是公开密钥密码体系项目复杂,加密速度较慢。实践中通常将常规密钥密码体系和公开密钥密码体系结合起来使用。
4.2防火墙技术
防火墙技术分为两类:服务技术和数据包过滤技术。其中,数据包过滤技术较为简单,也最常用,它通过检查接收到的每个数据包的头,来分析该数据包是否已经发送到目的地。防火墙技术通过对数据进行分析并有选择的过滤,从而有效地避免外来因素对数据包进行的破坏,保证网络的安全。实践中,也常常将数据包过滤防火墙与服务器结合使用,可以更加有效地保护网络安全。
4.3虚拟专网技术VPN
VPN具有适应性强、投资小、易管理等优点,通过使用信息加密技术、安全隧道技术、用户认证技术、访问控制技术等实现对网络信息的保护。VPN可以使商业伙伴、公司、供应商、远程用户的内部网之间建立可靠稳定的安全连接,确保贸易信息的安全传输,从而保证在公共的Internet或企业局域网之间安全进行电子交易。
4.4安全认证技术
安全认证技术包括以下几种:
(1)数字签名技术。数字签名技术可以确保原始报文的不可否认性以及鉴别,并且可以防止虚假签名。
(2)数字摘要技术。数字摘要技术通过验证网络传输的明文,鉴别其是否经过篡改,进而确保数据的有效性和完整性。
(3)数字凭证技术。数字凭证技术通过运用电子手段来鉴别用户身份以及管理用户对网络资源访问的权限。
(4)认证中心。认证中心专门负责审核网络用户的真实身份并提供相应的证明,且只管理每个用户的一个公开密钥,在一定程度上大大降低了密钥管理的复杂性。
(5)智能卡技术。智能卡具有存储数据和读写数据的能力,可以对数据进行简单地处理,能够对数据进行加密和解密,其特点是存储器部分具有外部不可读性,可以使用户身份鉴别更加安全。
5电子商务中的信息安全对策
5.1不断完善网络安全管理体系
我国应在现有网络安全管理部门之外建立一个具有权威的信息安全领导机构。该部门应宏观地、有效统一地协调各部门的职能,对市场网络信息安全现状进行及时的分析,制定科学的政策。对于使用计算机网络的单位及个人,必须严格遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》,建立完善的责任问责制度。
5.2大力培养网络安全专业人才
面对现代网络应用高速普及的情况,网络安全专业人才显得捉襟见肘,我国需要大量的网络安全人才维护网络的安全。我国应加大对培养网络安全人才的科研教育机构的投入力度,同时积极组织人才及组织与国外的相关部门进行技术经验交流,不断引进国外先进网络安全保护技术,并及时对我国专业人员进行技术培训。
5.3建立网络风险防范机制
现阶段我国的网络安全技术较滞后、相关法律法规不是很健全,网络安全面临很多威胁因素,这就要求电子贸易用户建立网络风险防范机制,为存在的安全因素建立补救措施。电子商务交易用户可以根据交易具体情况为标的物进行投保,通过这些措施,可在很大程度上减少网络安全事故造成的经济损失。
[关键词]移动电子商务信息安全自组网隐私法律
移动电子商务(M-Commerce),是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。
但是对于任何通过无线网路(如:GSM网路)进行金融交易的用户,安全和隐私问题无疑是其关注的焦点。由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。尤其对于有线电子商务用户来说,通常认为物理线缆能带来更好的安全性,从而排斥使用移动电子商务。移动电子商务是一个系统工程,本文从技术、安全、隐私和法制等方面讨论了移动商务的展所面临的种种问题,并指出这些问题的有效解决是建设健康、安全的移动电子商务的重要保证。
一、移动通信新技术的驱动
1.无线应用协议(WAP)
无线应用协议WAP是无线通信和互联网技术发展的产物,它不仅为无线设备提供丰富的互联网资源,也提供了开发各种无线网路应用的途径。1998年,WAP论坛公布了WAP1.0版本,制定了一套专门为移动互联网而设计的应用协议,具有良好的开放性和互通性。随着移动通信网传输速率的显著提高,WAP论坛于2001年颁布了WAP2.0版本,该版本增加了对HTTP、TLS和TCP等互联网协议的支持,WAP的工作大大简化。WAP2.0模式有利于实现电子商务所需的端到端安全性,可以提供TLS隧道。
2.移动IP技术
移动IP技术,是指移动用户可在跨网络随意移动和漫游中,使用基于TCP/IP协议的网络时,不用修改计算机原来的IP地址,同时,也不必中断正在进行的通信。移动IP通过AAA(Authentication,Authorization,Accounting)机制,实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。
3.第三代(3G)移动通信系统
第三代移动通信系统,简称3G,是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比,3G产品可提供数据速率高达2Mbps的多媒体业务。在我国,以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速,我国发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点,必然会给移动电子商务的应用带来巨大商机。
4.无线局域网(WLAN)技术
美国电子电器工程师协会IEEE在1991年就启动了WLAN标准工作组,称为IEEE802.11,并在1997年产生了WLAN标准-IEEE802.11,后来又相继推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的标准。802.11WLAN标准自公布之日起,安全问题一直是其被关注的焦点问题。802.11b采用了基于RC4算法的有线对等保密(WEP)机制,为网络业务流提供安全保障,但其加密和认证机制都存在安全漏洞。802.11i是2004年6月批准的WLAN标准,其目的是解决802.11标准中存在的安全问题。802.11i应用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高级加密标准的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作为其加密算法,可以向后兼容802.11a/b/g等硬件设备。中国宽带无线IP标准工作组制订了WLAN国家标准GB15629.11,定义了无线局域网鉴别与保密基础结构WAPI,大大减少了WLAN中的安全隐患。
二、移动电子商务面临的安全威胁
尽管移动电子商务给工作效率的提高带来了诸多优势(如:减少了服务时间,降低了成本和增加了收入),但安全问题仍是移动商务推广应用的瓶颈。有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。例如:目前还没有有效抵制手机病毒的防护软件。
1.网络本身的威胁
无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。在无线通信过程中,所有通信内容(如:通话信息,身份信息,数据信息等)都是通过无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。
2.无线adhoc应用的威胁
除了互联网在线应用带来的威胁外,无线装置给其移动性和通信媒体带来了新的安全问题。考虑无线装置可以组成adhoc网路。Adhoc网络和传统的移动网络有着许多不同,其中一个主要的区别就是AdHoc网络不依赖于任何固定的网络设施,而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点,使得AdHoc网络的安全问题尤为突出。Adhoc网路的一个重要特点是网络决策是分散的,网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。
3.网路漫游的威胁
无线网路中的攻击者不需要寻找攻击目标,攻击目标会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。
4.物理安全
无线设备另一个特有的威胁就是容易丢失和被窃。因为没有建筑、门锁和看管保证的物理边界安全和其小的体积,无线设备很容易丢失和被盗窃。对个人来说,移动设备的丢失意味着别人将会看到电话上的数字证书,以及其他一些重要数据。利用存储的数据,拿到无线设备的人就可以访问企业内部网络,包括Email服务器和文件系统。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
三、移动商务面临的隐私和法律问题
1.垃圾短信息
在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,遍地而来的垃圾短信广告打扰着我们的生活。在移动用户进行商业交易时,会把手机号码留给对方。通过街头的社会调查时,也往往需要被调查者填入手机号码。甚至有的用户把手机号码公布在网上。这些都是公司获取手机号码的渠道。垃圾短信使得人们对移动商务充满恐惧,而不敢在网络上使用自己的移动设备从事商务活动。目前,还没有相关的法律法规来规范短信广告,运营商还只是在技术层面来限制垃圾短信的群发。目前,信息产业部正在起草手机短信的规章制度,相信不久的将来会还手机短信一片绿色的空间。
2.定位新业务的隐私威胁
定位是移动业务的新应用,其技术包括:全球定位系统,该种技术利用24颗GPS卫星来精确(误差在几米之内)定位地面上的人和车辆;基于手机的定位技术TOA,该技术根据从GPS返回响应信号的时间信息定位手机所处的位置。定位在受到欢迎的同时,也暴露了其不利的一面——隐私问题。移动酒吧就是一个典型的例子,当你在路上时,这种服务可以在你的PDA上列出离你最近的5个酒吧的位置和其特色。或者当你途经一个商店时,会自动向你的手机发送广告信息。定位服务在给我们带来便利的同时,也影响到了个人隐私。利用这种技术,执法部门和政府可以监听信道上的数据,并能够跟踪一个人的物理位置。
3.移动商务的法律保障
电子商务的迅猛发展推动了相关的立法工作。2005年4月1日,中国首部真正意义上的信息化法律《电子签名法》正式实施,电子签名与传统的手写签名和盖章将具有同等的法律效力,标志着我国电子商务向诚信发展迈出了第一步。《电子签名法》立法的重要目的是为了促进电子商务和电子政务的发展,增强交易的安全性。
参考文献:
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
电子商务所具有的广阔发展前景,越来越为世人所瞩目。但电子商务中的安全问题如得不到妥善解决,电子商务应用就只能是纸上谈兵。从事电子商务活动的主体都已普遍认识到电子商务的交易安全是电子商务成功实施的基础,是企业制订电子商务策略时必须首先要考虑的问题。对于实施电子商务战略的企业来说,保证电子商务的安全已成为当务之急。
一、电子商务信息安全需求
1、信息的保密性
电子商务是建立在一个开放性很强的网络环境中,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取,保密性一般通过密码技术对传输的信息进行加密处理来实现。
2、信息的不可抵赖性
对进行电子商务交易的贸易双方来说,一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。通常可通过对发送的消息进行数字签名来实现信息的不可抵赖性。
3、信息的真实性
由于在电子商务过程中,买卖双方的所有交易活动都通过网络联系,交易双方可能素昧平生,相隔万里。要使交易成功,首先要确认对方的身份。对于商家而言,要考虑客户端不能是骗子,而客户端也会担心网上商店是否是_个玩弄欺诈的黑店,因此,电子商务的开展要求能够对交易主体的真实身份进行鉴别。
4、信息的完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致贸易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要的方式来保持信息的完整性。
5、信息的有效性
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉,那么保证信息的有效性就成为开展电子商务的前提。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
二、电子商务安全技术
1、防火墙技术
防火墙是企业网安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。一般说来,防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。此外,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是,如果防火墙系统被攻破,则被保护的网络处于无保护状态。如果一个企业希望在Internet上开展商业活动,与众多的客户进行通信,则防火墙不能满足要求。
2、数据加密技术
加密技术是最基本的网络安全技术,主要用于保证数据在存储和传输过程中的保密性。该技术采用数学方法对原始信息进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为不可理解的字符。而对于合法的接受者,可以利用其掌握的密钥,通过解密过程得到原始数据,从而达到保护信息的目的。数据加密的方法很多常用的有两大类:一种是对称加密,一种是非对称密钥加密。(1)对称密钥加密体制。在对称密钥加密体制中,加结果为:-1.5915,当初值为:x0=[1,1]时,结果为:-0.8949。由此可见,传统方法求解具有多个极小值点的函数时,求解结果的值与初始值的选择有关,所得的最优解为局部最优解。同时通过画该目标函数的曲面图1-1可知,该曲面存在多个局部极小点。所以,应用传统的解法,容易陷入局部极小值区域。对于这样的问题,用传统的非线性规划求解算法不容易求得全局最优解。
用染色体(、&)作为解的代码,用以下方法把染色体X变成染色体(%,&)并把v作为相应的解,密所使用的密钥和解密所使用的密钥相同,或者虽不相同,但可以从其中_个密钥推导出另_个,即发送方和接收方使用同样密钥。使用对称密钥体制不必交换加密算法,只需交换加密密钥,因而简化了加密过程,加解密速度快,但存在密钥的分配、保存和管理的问题。目前广泛应用的对称加密算法是DES算法。(2)非对称密钥加密体制。在非对称密钥加密体制中,对信息加密和解密所使用的密钥是不同的。并且从其中一个密钥无法推导出另一个密钥。非对称密钥加密体制解决了对称密钥加密体制存在的密钥分配、保存和管理的问题,但加密算法复杂,加解密速度慢。非对称密钥加密体制最早的代表算法是RSA算法。由此可见,两种加密技术各有优缺点,在Internet开放网络环境中可以互补。
3、认证技术
基本的加密技术不足以保证电子商务中的交易安全,信息鉴别和身份认证技术是保证电子商务安全不可缺少的重要技术手段。认证技术是防止交易信息被篡改、删除、重复和伪造的一种有效方法,主要有数字签名、数字信封、数字摘要、数字时间戳、数字证书等。(1)数字签名。数字签名是使用某人的私钥加密特定消息摘要散列值而得到的结果,通过这种方法把人同特定消息联系起来,类似于手书签名。日常生活中,通常用对某_文档进行签名来保证文档的真实有效性,防止其抵赖。在网络环境中,可以用电子数字签名作为模拟。(2)数字信封。数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。(3)数字摘其中V可由下面的检验函数检若(VP3L1V,<-3:1v2>3Uv2<-3),返回〇;否则返回这里检验数数值为0表示不可行,1表示可行。易知该模型的可行集包含在下列的超几何体中={(V1»V2)|°^V1^^0^V2^1}然后就可以容易地从这个超几何中抽取初始染色体vL=u(0,1),v2=u<0,1)(1)
关键词:电子商务信息安全安全技术
伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。
一、电子商务的信息安全问题
电子商务信息安全问题主要有:
1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006
