⑴ 求一篇 電子商務網上交易安全問題探討 畢業論文 急需!!!
[摘要]電子商務交易的核心問題是安全問題。本文針對電子商務交易中存在的主要安全問題,闡明了目前解決電子商務交易的安全問題的主要技術及措施。
[關鍵詞]電子商務 安全技術 交易安全
一、引言
電子商務是在Internet開放的網路環境下,實現消費者在線購物、企業之間的在線交易和網上電子支付的一種新型的交易方式。由於電子商務具有低成本、高效益、全球性等特點使其很快遍及全世界。電子商務已成為世界經濟最具活力的增長點,它的應用將給社會和經濟發展帶來巨大的變革。然而,目前世界通過電子商務方式完成的貿易額只佔同期全球貿易額中的一小部分。究其原因,電子商務是一個復雜的系統工程,它的應用還依靠相應的社會問題和技術問題的逐步解決與完善。其中,電子商務的安全問題是制約電子商務發展的最關鍵問題。
二、電子商務交易的安全威脅與安全需求
1.安全威脅。電子商務交易中,比較容易受到以下的安全威脅,這些安全威脅經常都會對電子商務造成非常嚴重的後果:一是交易信息的竊取與篡改,即網路交易中用明文傳輸的數據被非法入侵者截獲並破譯之後,進行非法篡改、刪除或插入,使信息的完整性遭受破壞。二是信息的假冒,即網路非法攻擊者通過假冒合法用戶或者模擬虛假信息來實施詐騙行為。
2.安全需求。電子商務交易過程有以下的安全需求,分別是信息的保密性、完整性和不可否認性。電子商務信息的保密性,指的是信息不泄露給非授權用戶、實體或過程,或供其利用的特性。電子商務信息的完整性,指的是數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。電子商務信息的不可否認性,指的是避免發生交易中的某一方在進行某種交易行為之後,否認自己曾經進行過該商務行為;或者某一方否認自己曾經接收到對方發出的交易信息。
三、電子商務交易的主要安全技術
1.加密技術是電子商務的最基本的安全技術。在目前技術條件下,加密技術通常分為對稱加密和非對稱加密兩類。
(1)對稱密鑰加密:採用相同的加密演算法,並且加密和解密都使用相同的密鑰。如果進行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發生泄露,則可以通過對稱加密方法加密機密信息,並隨報文發送報文摘要和報文散列值,來保證報文的機密性和完整性。密鑰安全交換是關繫到對稱加密有效性的最核心環節。目前常用的對稱加密演算法有DES、PCR、IDEA、3DES等。其中DES使用最常用,被國際標准化組織採用作為數據加密的標准。
(2)非對稱密鑰加密:非對稱加密不同於對稱加密,其密鑰對被分為公開密鑰和私有密鑰。密鑰對生成後,公開密鑰對外公開,而私有密鑰則保存在密鑰發布方手裡。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發送給該公開密鑰的發布者,而發布者在得到加密信息後,使用與公開密鑰相應對的私有密鑰進行解密。目前,常用的非對稱加密演算法有RSA演算法。該演算法已被國際標准化組織的數據加密技術分委員會推薦為非對稱密鑰數據加密標准。在對稱和非對稱兩類加密方法中,對稱加密的優點是加密速度快(通常比非對稱加密快10倍以上)、效率高,被廣泛用於大量數據的加密。但該方法的致命缺點是密鑰的傳輸與交換也面臨著安全問題,密鑰易被截取,而且,若和大量用戶進行通信,難以安全管理大量的密鑰對,因此對稱加密大范圍應用存在一定問題。而非對稱密鑰則相反,其優點是解決了對稱加密中密鑰數量過多難管理和費用高的不足,也不必擔心傳輸中私有密鑰的泄露,保密性能優於對稱加密技術。但非對稱的缺點是加密演算法復雜,加密速度不很理想。目前.電子商務實際運用中常常是兩者結合使用。
2.身份認證技術。目前電子商務交易中僅有加密技術不足以保證交易安全,身份認證技術是保證電子商務安全的另一重要技術手段。身份認證的實現包括數字簽名技術、數字證書技術等。
(1)數字簽名技術
對信息加密只解決了信息傳輸過程中的保密問題,而防止他人對傳輸的信息進行篡改或破壞,保證信息的完整性,以及保證信息發送者對發送信息的不可抵賴性,需要採用其它的手段,這一手段就是數字簽名。數字簽名技術即進行身份認證的技術。在數字化文檔上的數字簽名類似於紙張上的手寫簽名,是不可偽造的。接收者能夠驗證文檔確實來自簽名者,並且簽名後文檔沒有被修改過,從而保證信息的真實性和完整性。
目前的數字簽名是建立在公共密鑰體制基礎上,它是公用密鑰加密技術的另一類應用。數字簽名與書面文件簽名有相同之處,採用數字簽名,也能確認以下兩點:信息是由簽名者發送的;信息自簽發後到收到為止未作過任何修改。目前數字簽名方法主要有三種,即:RSA簽名、DSS簽名和Hash簽名。這三種演算法可單獨使用,也可綜合在一起使用。
(2)數字證書技術
在公共密鑰體制中,私鑰只有信息發送者知道,而與之匹配的公鑰是公開的,它能保證傳輸信息的保密性,但沒有解決公鑰的分發方式。數字簽名保證了信息是由簽名者發送的以及信息自簽發後到收到為止未曾作過任何修改,但不能保證簽名者身份的真實性。因此需要有一種措施來管理公鑰分發,保證公鑰以及與公鑰有關的實體身份信息的真實性。這一措施就是數字證書。數字證書是一般由具有權威性、可信任性的第三方機構即認證機構CA所頒發。數字證書是公共密鑰體制中的密鑰管理媒介,並將公鑰和實體身份信息綁定在一起,並包含認證機構的數字簽名。數字證書在電子商務中用於公鑰的分發、傳遞,證明電子商務實體身份與公鑰相匹配。
四、總結
加密技術和身份認證技術是電子商務交易安全的基礎技術,加密技術用於對信息的加密,保證信息的機密性。數字簽名和數字信封技術應用了加密技術,建立在公共密鑰體制基礎上。數字簽名技術對信息進行數字簽名,保證信息的完整性和不可抵賴性。數字證書技術是對加密技術和數字簽名進行支持的技術,用於管理公鑰分發,保證公鑰以及與公鑰有關的實體身份信息的真實性。因此,電子證書必須由權威的第三方認證中心簽發。
參考文獻:
[1]趙書瑞 ,魏岳.基於SET的電子商務交易安全模式分析[J].商場現代化,2006,(06).
[2]王茜,楊德禮.電子商務的安全體系結構及技術研究[J].計算機工程,2003,(01).
[3]高威.電子商務的安全問題與安全技術[J].內蒙古科技與經濟,2005,(13).
[4]郭晶晶,李臘元.基於SET協議的電子商務支付系統的研究[J].計算機應用,2002,(03).
⑵ 電子商務安全對策分析論文的文獻的綜述怎麼寫最後是給一篇
:-),要打一篇字比較辛苦,我給你個網站,http://www.lwzyk.com裡面有大量的免費論文,有「論文指導」裡面關於怎麼寫文獻綜述,比較詳細。
中華論文資源庫http://www.lwzyk.com
⑶ 電子商務交易風險及對策
電子商務安全風險管理研究
林黎明1 李新春2
( 中國礦業大學 管理學院,江蘇 徐州 221008 )
摘要 該文基於目前電子商務安全所面臨的各種風險問題,結合當前的一些風險管理方法,對電子商務系統安全風險管理進行一些基本的分析和研究,以期對企業電子商務安全風險管理提供一些有價值的借鑒和參考。
關鍵詞 電子商務安全,風險管理,風險識別,風險控制
1 引言
隨著開放的互聯網路系統Internet的飛速發展,電子商務的應用和推廣極大了改變了人們工作和生活方式,帶來了無限的商機。然而,電子商務發展所依託的平台—互聯網路卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展;此外,電子商務的發展還面臨著嚴峻的內部風險,電子商務企業內部對安全問題的盲目和安全意識的淡薄,高層領導對電子商務的運作和安全管理重視程度不足,使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此,在考察電子商務運行環境、提供電子商務安全解決方案的同時,有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。
電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析,並在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。
2 電子商務面臨的安全風險
由於網路的復雜性和脆弱性,以網際網路為主要平台的電子商務的發展面臨著嚴峻的安全問題。一般來說,電子商務普遍存在著以下幾個安全風險:
1)信息的截獲和竊取
這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機密。
2)信息的篡改
網路攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入,並發往目的地,從而達到破壞信息完整性的目的。
3)拒絕服務
拒絕服務是指在一定時間內,網路系統或伺服器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬體的認為破壞。
4)系統資源失竊問題
在網路系統環境中,系統資源失竊是常見的安全威脅。
5)信息的假冒
信息的假冒是指當攻擊者掌握了網路信息數據規律或解密了商務信息後,可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易,偽造電子郵件等。
6)交易的抵賴
交易抵賴包括發信者事後否認曾經發送過某條信息;買家做了定單後不承認;賣家賣出的商品因價格差而不承認原先的交易等。
3 風險管理規則
針對電子商務面臨的各種安全風險,電子商務企業不能被動、消極地應付,而應該主動採取措施維護電子商務系統的安全,並監視新的威脅和漏洞。因此,這就需要制定完整高效的電子商務安全風險管理規則。
一般來說,風險管理規則的制定過程有評估、開發和實施以及運行三個階段。
(1)評估階段
該階段的主要任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。
對電子商務安全現狀的評估是制定風險管理規則的基礎。
對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估,以便確定相適應的風險管理規則,從而避免投入成本和要保護的信息和資產的嚴重不匹配。
安全風險識別要求盡可能地發現潛在的安全風險,應收集有關各種威脅、漏洞、開發和對策的信息。
安全風險分析是確定風險,收集信息,對可能造成的損失進行評價以估計風險的級別,以便做出明智的決策,從而採取措施來規避安全風險。
(2)開發和實施階段
該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。
風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略,其中涉及配置管
理、修補程序管理、系統監視與審核等等。
在完成對風險補救措施的開發後,即進行安全風險補救措施的測試,在測試過程中,將按照安全風險的控制效果來評估對策的有效性。
(3)運行階段
運行階段的主要任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程,也是執行安全配置管理的過程。
運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個過程由系統管理、安全管理和網路管理小組來共同實施。
以上風險管理規則的三個階段可以用下圖來表示:
圖1 風險管理規則的三個階段
4 風險管理步驟
風險管理是識別風險、分析風險並制定風險管理計劃的過程。電子商務安全風險的管理和控制方法,它包括風險識別、風險分析、風險控制以及風險監控等四個方面。
(1)風險識別
電子商務系統的安全要求是通過對風險的系統評估而確認的。為了有效管理電子商務安全風險,識別安全風險是風險管理的第一步。
風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上,識別各種可能對電子商務系統造成潛在威脅的安全風險。
風險識別的手段五花八門,對於電子商務系統的安全來說,風險識別的目標是主要是對電子商務系統的網路環境風險、數據存在風險和網上支付風險進行識別。
需要注意的是,並非所有的電子商務安全風險都可以通過風險識別來進行管理,風險識別只能發現已知的風險或根據已知風險較容易獲知的潛在風險。而對於大部分的未知風險,則依賴於風險分析和控制來加以解決或降低。
(2)風險分析
風險分析是運用分析、比較、評估等各種定性、定量的方法,確定電子商務安全各風險要素的重要性,對風險排序並評估其對電子商務系統各方面的可能後果,從而使電子商務系統項目實施人員可以將主要精力放在對付為數不多的重要安全風險上,使電子商務系統的整體風險得到有效的控制。風險分析是一種確定風險以及對可能造成的損失進行評估的方法,它是制定安全措施的依據。
風險分析的目標是:確定風險,對可能造成損壞的潛在風險進行定性化和定量化,以及最後在經濟上尋求風險損失和對風險投入成本的平衡。
目前,風險分析主要採用的方法有:風險概率/影響評估矩陣,敏感性分析,模擬等。在進行電子商務安全風險分析時,由於各影響因素量化在現實上的困難,可根據實際需要,主要採用定性方法為主輔以少量定量方法相結合來進行風險分析,為制定風險管理制度和風險的控制提供理論上的依據。
(3)風險控制
風險控制就是選擇和運用一定的風險控制手段,以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環節,是決定風險管理成敗的關鍵因素。電子商務安全風險控制的目標在於改變企業電子商務項目所承受的風險程度。
一般來說,風險控制方法有兩類:
第一類是風險控制措施,比如降低、避免、轉移風險和損失管理等。在電子商務安全風險管理中,比較常用的是轉移風險和損失管理。
第二類為風險補償的籌資措施,包括保險與自擔風險。在電子商務安全風險管理中,管理人員需要對風險補償的籌資措施進行決策,即選擇保險還是自擔風險。
此外,風險控制方法的選擇應當充分考慮相對風險造成損失的成本,當然其它方面的影響也是不容忽視的,如企業商譽等。
對電子商務安全來說,其有效可行的風險控制方法是:建立完整高效的降低風險的安全性解決方案,掌握保障安全性所需的一些基礎技術,並規劃好發生特定安全事故時企業應該採取的解決方案。
5 風險管理對策
由於電子商務安全的重要性,所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在於消除潛在的威脅和安全漏洞,從而降低電子商務系統環境所面臨的風險。
目前的電子商務安全風險管理對策中,較為常用的是縱深防禦戰略,所謂縱深防禦戰略,就是深層安全和多層安全。通過部署多層安全保護,可以確保當其中一層遭到破壞時,其它層仍能提供保護電子商務系統資源所需的安全。比如,一個單位外部的防火牆遭到破壞,由於內部防火牆的作用,入侵者也無法獲取單位的敏感數據或進行破壞。在較為理想的情況下,每一層均提供不同的對策以免在不同的層中使用相同的攻擊方法。
下圖為一個有效的縱深防禦策略:
圖2 有效的縱深防禦策略
下面就各層的主要防禦內容從外層到里層進行簡要的說明:
1)物理安全
物理安全是整個電子商務系統安全的前提。制定電子商務物理安全策略的目的在於保護計算機系統、電子商務伺服器等各電子商務系統硬體實體和通信鏈路免受自然災害和人為破壞造成的安全風險。
2)周邊防禦
對網路周邊的保護能夠起到抵禦外界攻擊的作用。電子商務系統應盡可能安裝某種類型的安全設備來保護網路的每個訪問節點。在技術上來說,防火牆是網路周邊防禦的最主要的手段,電子商務系統應當安裝一道或多道防火牆,以確保最大限度地降低外界攻擊的風險,並利用入侵檢測功能來及時發現外界的非法訪問和攻擊。
3)網路防禦
網路防禦是對網路系統環境進行評估,採取一定措施來抵禦黑客的攻擊,以確保它們得到適當的保護。就目前來說,網路安全防禦行為是一種被動式的反應行為,而且,防禦技術的發展速度也沒有攻擊技術發展得那麼快。為了提高網路安全防禦能力,使網路安全防護系統在攻擊與防護的對抗中占據主動地位,在網路安全防護系統中,除了使用被動型安全工具(防火牆、漏洞掃描等)外,也需要採用主動型安全防護措施(如:網路陷阱、入侵取證、入侵檢測、自動恢復等)。
4)主機防禦
主機防禦是對系統中的每一台主機進行安全評估,然後根據評估結果制定相應的對策以限制伺服器執行的任務。在主機及其環境中,安全保護對象包括用戶應用環境中的伺服器、客戶機以及其上安裝的操作系統和應用系統。這些應用能夠提供包括信息訪問、存儲、傳輸、錄入等在內的服務。根據信息保障技術框架,對主機及其環境的安全保護首先是為了建立防止有惡意的內部人員攻擊的首道防線,其次是為了防止外部人員穿越系統保護邊界並進行攻擊的最後防線。
5)應用程序防禦
作為一個防禦層,應用程序的加固是任何一種安全模型中都不可缺少的一部分。加強保護操作系統安全只能提供一定程度的保護。因此,電子商務系統的開發人員有責任將安全保護融入到應用程序中,以便對體系結構中應用程序可訪問到的區域提供專門的保護。應用程序存在於系統的環境中。
6)數據防禦
對許多電子商務企業來說,數據就是企業的資產,一旦落入競爭者手中或損壞將造成不可挽回的損失。因此,加強對電子商務交易及相關數據的防護,對電子商務系統的安全和電子商務項目的正常運行具有重要的現實意義
6 結論
一般來說,風險管理有基本的三個對策,包括管理者採取適當措施來降低風險事故發生的概率;管理者准備並實施一個意外事故應急計劃以備不測;還有就是管理者什麼都不做。對已選定的對策,應對其潛在的風險有充分的估計,並制定相應的應變計劃,以使可能的風險損失降到最低。
風險管理沒有鐵定的規則,對於電子商務安全風險管理來說,首先是掃描和檢測電子商務系統的內外部環境,檢查系統的脆弱性和薄弱環節,及時打上補丁和追加設備,以便當風險產生時盡可能地減少損失;其次是對電子商務安全風險進行充分地分析,然後制定相應的規劃和措施,並在其實施的每個階段進行監控和跟蹤;最後是根據環境的變化隨時調整風險管理措施,制定完備的災難恢復計劃。
參考文獻
[1]甘早斌.電子商務概論(第二版).華中科技大學出版社.2003.9
[2]鍾誠.電子商務安全.重慶大學出版社.2004.6
[3]才書訓.電子商務安全風險管理與控制.東北大學出版社.2004.6
[4]易珊,張學哲.電子商務安全策略分析.科技情報開發與經濟.2004.5
[5]高新亞,鄒靜.電子商務安全的風險分析和風險管理.武漢理工大學學報.信息與管理工程版.2005.8
[6]郭學勤,陳怡.電子商務安全對策.計算機與數字工程.2001.7
[7]李晶.電子商務安全防範措施.安徽科技.2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998
⑷ 求一篇《淺析我國電子商務安全現狀與應對策略》論文
你好,可以給我一個郵箱嗎,我上圖書館資源資料庫搜索的以下文章,我把他們發給你
四篇文章題名為:
《電子商務安全管理的現狀及其對策》
《我國電子商務安全防範的現狀及解決途徑》
《我國電子商務安全現狀及防範對策探討》
《淺析我國電子商務安全現狀》
希望對你有幫助~
知道 舉手之勞團隊 隊長:曉斌
⑸ 求關於「電子商務的風險及其安全管理」的電子商務專業論文
電子商務的風險及其安全管理
摘要】 指出了網路系統的安全是電子商務運行的一個關鍵性前提。全面分析了電子商務中可能出現的各類風險 :顧客面臨的風險、銷售商面臨的風險和企業自身面臨的風險。最後提出了電子商務的風險管理及其安全防範措施。
感興趣與我索取全文
⑹ 零售業B2C電子商務網站現狀及對策分析(論文)急急!!!
B2C電子商務模式分析與策略建議
摘要:從企業與消費者買賣關系和交易客體兩個側面對B2C 電子商務模式進行了分析,提出企業應在戰略定位、市場渠道、信息發布、交易定價等方面加強管理,加快零售行業信息化步伐,加速網上電子化交易市場建設。
關鍵詞:B2C 電子商務 商務模式 模式分析
B2C(Business to Customer) 電子商務是以Internet 為主要手段,由商家或企業通過網站向消費者提供商品和服務的一種商務模式。目前,在Internet 上遍布了各種類型的B2C 網站,提供從鮮花、書藉到計算機、汽車等各種消費品和服務。由於各種因素的制約,目前以及未來比較長的一段時間內,這種模式的電子商務還只能佔比較小的比重。但是,從長遠來看,企業對消費者的電子商務將取得快速發展,並將最終在電子商務領域占據重要地位。
1、B2C電子商務模式分析
可以從不同角度對B2C 的商務模式進行分類和探析。
1.1 從企業和消費者買賣關系的角度分析 B2C 的商務模式主要分為賣方企業—買方個人的電子商務及買方企業—賣方個人的電子商務兩種模式。
1.1.1 賣方企業—買方個人模式。這是商家出售商品和服務給消費者個人的電子商務模式。在這種模式中,商家首先在網站上開設網上商店,公布商品的品種、規格、價格、性能等,或者提供服務種類、價格和方式,由消費者個人選購,下定單,在線或離線付款,商家負責送貨上門。這種網上購物方式可以使消費者獲得更多的商品信息,雖足不出戶卻可貨比千家,買到價格較低的商品,節省購物的時間。當然這種電子商務模式的發展需要高效率和低成本的物流體系的配合。這種方式中比較典型的代表就是全球知名的亞馬遜網上書店。
1.1.2 買方企業—賣方個人的電子商務。這是企業在網上向個人求購商品或服務的一種電子商務模式。這種模式應用最多的就是企業用於網上招聘人才。如許多企業在深圳人才市場網招聘各類人才。在這種模式中,企業首先在網上發布需求信息,後由個人上網洽談。這種方式在當今人才流動量大的社會中極為流行,因為它建立起了企業與個人之間的聯系平台,使得人力資源得以充分利用。
1.2 根據交易的客體分析
可把B2C 電子商務分為無形商品和服務的電子商務模式以及有形商品和服務的電子商務模式。前者可以完整地通過網路進行,而後者則不能完全在網上實現,要藉助傳統手段的配合才能完成。
1.2.1 無形商品和服務的電子商務模式。計算機網路本身具有信息傳輸和信息處理功能,無形商品和服務(如電子信息、計算機軟體、數字化視聽娛樂產品等) 一般可以通過網路直接提供給消費者。無形商品和服務的電子商務模式主要有網上訂購模式、廣告支持模式和網上贈予模式。
a. 網上訂閱模式。消費者通過網路訂閱企業提供的無形商品和服務,並在網上直接瀏覽或消費。這種模式主要被一些商業在線企業用來銷售報刊雜志、有線電視節目等。網上訂閱模式主要有以下幾種:
在線出版(Online Publications) 。出版商通過Internet 向消費者提供除傳統印刷出版物之外的電子刊物。在線出版一般不提供Internet 的接入服務,只在網上發布電子刊物,消費者通過訂閱可下載有關的刊物。這種模式並不是一種理想的信息銷售模式。在當今信息大爆炸的時代,普通用戶獲取信息的渠道很多,因而對本來已很廉價的收費信息服務敬而遠之。因此,有些在線出版商採用免費贈送和收費訂閱相結合的雙軌制,從而吸引了一定數量的消費者,並保持了一定的營業收入。
在線服務(Online Services) 。在線服務商通過每月收取固定的費用而向消費者提供各種形式的在線信息服務。在線服務商一般都有自己特定的客戶群體。如美國在線(AOL) 的主要客戶群體是家庭用戶,而微軟網路(Microsoft Network)的主要客戶群體是Windows 的使用者,訂閱者每月支付固定的費用,從而享受多種信息服務。在線服務一般是針對一定的社會群體提供的,以培養消費者的忠誠度。在美國,幾乎每台出售的電腦都預裝了免費試用軟體。在線服務商的強大營銷攻勢,使他們的用戶數量穩步上升。
在線娛樂(Online Entertainment) 。在線娛樂商通過網站向消費者提供在線游戲,並收取一定的訂閱費,這是無形商品和服務在線銷售中令人關注的一個領域,也取得了一定的成功。當前,網路游戲已成為網路會戰的焦點之一,Microsoft 、Excite、Infoseek 等紛紛在網路游戲方面強勢出擊。事實上,網路經營者們已將眼光放得更遠,通過一些免費或價格低廉的網上娛樂換取消費者的訪問率和忠誠度。
b. 廣告支持模式。在線服務商免費向消費者提供在線信息服務,其營業收入完全靠網站上的廣告來獲得。這種模式雖然不直接向消費者收費,但卻是目前最成功的電子商務模式之一。Yahoo 等在線搜索服務網站就是依靠廣告收入來維持經營活動的。對於上網者來說,信息搜索是其在Internet的信息海洋中尋找所需信息最基礎的服務。因此,企業也最願意在信息搜索網站上設置廣告,通過點擊廣告可直接到達該企業的網站。採用廣告支持模式的在線服務商能否成功的關鍵是其網頁能否吸引大量的廣告,能否吸引廣大消費者的注意。
c. 網上贈予模式。這種模式經常被軟體公司用來贈送軟體產品,以擴大其知名度和市場份額。一些軟體公司將測試版軟體通過Internet 向用戶免費發送,用戶自行下載試用,也可以將意見或建議反饋給軟體公司。用戶對測試軟體試用一段時間後,如果滿意,則有可能購買正式版本的軟體。採用這種模式,軟體公司不僅可以降低成本,還可以擴大測試群體,改善測試效果,提高市場佔有率。美國的網景公司(Netscape)在其瀏覽器最初推廣階段採用的就是這種方法,從而使其瀏覽器軟體迅速佔領市場,效果十分明顯。
1.2.2 有形商品和服務的電子商務模式。有形商品是指傳統的實物商品,採用這種模式,有形商品和服務的查詢、訂購、付款等活動在網上進行,但最終的交付不能通過網路實現,還是用傳統的方法完成。這種電子商務模式也叫在線銷售。目前,企業實現在線銷售主要有兩種方式:一種是在網上開設獨立的虛擬商店;另一種是參與並成為網上購物中心的一部分。有形商品和服務的在線銷售使企業擴大了銷售渠道,增加了市場機會。與傳統的店鋪銷售相比,即使企業的規模很小,網上銷售也可將業務伸展到世界的各個角落。網上商店不需要象一般的實物商店那樣保持很多的庫存,如果是純粹的虛擬商店,則可以直接向廠家或批發商訂貨,省去了商品存儲的階段,從而大大節省了庫存成本。
B2C電子商務模式分析與策略建議(2) ——發展我國B2C電子商務的策略思考
對於發展我國B2C電子商務,很多學者在電子商務瓶頸(如電子支付、網路安全、物流體系、法律保障等) 方面提出了自己的策略建議,而本文主要在企業管理、零售行業、網上市場等方面提出某些設想。
2.1 從企業管理的角度來看,發展B2C 電子商務的企業應注意運用以下策略
a. 企業的戰略定位要適當。在B2C 電子商務中,企業與消費者之間的關系發生了深刻的變化,出現了新的價值連接,產生了新的價值機會。開展B2C 電子商務的首要問題就是對企業經營帶來什麼樣的價值進行戰略定位,如企業開展B2C 電子商務,是希望開拓新的產品或服務項目,還是延伸現有產品或服務的市場空間。不同的戰略定位將帶來不同的經營效果。
b. 協調市場渠道。B2C 電子商務的開展勢必導致市場渠道的開拓和延伸,有可能對原有的渠道關系造成一定的沖擊,這就需要企業管理人員進行有效的協調。B2C 電子商務的網路營銷渠道可能會與原有的傳統營銷渠道相互補充、相互促進,從而給企業帶來更大的收益。如零售企業在Internet 上發表內容豐富、圖文並茂的產品信息並及時進行更新,或利用Internet 及時為消費者提供技術支持等,這些做法能夠促進企業與消費者之間的交流,強化原有的市場渠道,進一步提高市場份額。
但是,網路渠道也可能與原有的市場渠道產生一定的沖突,使企業面臨兩難抉擇。如生產企業在Internet 上直接開展B2C 電子商務時,與傳統零售中介的關系由原來的合作關系轉化成合作與競爭關系,而原有合作夥伴的有關反應將影響B2C 電子商務的應用效果。因此,企業在開展B2C 電子商務時,應認真分析市場渠道變化與協調所產生的成本與收益,從而做出正確的決策。
c. 加強信息的管理。在B2C 電子商務中,企業能夠通過Internet 以較低的成本向日益擴大的潛在市場發布公司背景資料、產品或服務信息、電子廣告等內容豐富的信息。這種信息發布與其市場競爭地位密切相關。企業所發布的信息必須有利於改善企業形象,提高品牌知名度和信譽,有利於消除原有的市場交易障礙,因此企業應進行認真的市場調研和信息篩選。企業的信息管理工作應注重在Internet 上與用戶的交互作用,通過信息交流了解顧客需求,為之提供更有價值的信息服務,從而形成獨特的市場競爭優勢。
d. 加強對交易定價的管理。企業在開展B2C 電子商務時,要實時發布有關產品價格的信息。企業在確定產品的網上銷售價格的時候,必須考慮到是否與傳統市場的產品價格結構相一致。在最簡單的情況下,企業可以在傳統市場和網路市場上採用標准化的定價策略。但這種方式可能導致與企業區域價格戰略的沖突。解決方案之一就是在採用差別化定價時列出不同的配送成本,以免產生不利於企業的市場反應。
2.2 從行業發展的角度來看,零售行業要加快信息化建設的步伐 B2C 電子商務可以看作是一種電子化的零售或者網上零售。網上零售不僅改變了傳統零售業的營銷方式和營銷理念,而且改變了傳統零售業的戰略發展方向和行業組織結構。網上零售和傳統零售相比,其運作規律和營銷策略都發生了變化,能否實現成功的網上零售需要很多條件。信息資源和信息交流系統的開發利用是能否成為連鎖企業開展網上銷售的一個核心要素。
傳統商業企業的核心理念是商品經營和店鋪運營,這是企業參與競爭和獲得利潤的基礎;而網上零售商則要根據網路營銷的特點進行調整,改變傳統零售企業的經營模式,把信息的經營和應用作為企業經營資產的第一要素。這種戰略性的調整表現為兩個方面:首先是從優化供應鏈的角度強化零售企業的上下游環節的信息傳遞和信息共享。無論是傳統的零售企業還是網上的零售商,他們與生產企業和供應商之間能不能建立一個高效的信息傳遞和商品運作體系,是連鎖企業及網上零售商在市場競爭中能否取勝的一個關鍵。其次,在零售業的前端,網上零售商應該利用互聯網加強信息資源和知識的共享,培育顧客的忠誠度。零售業和其他行業相比,了解顧客的個性需求是他們的天然優勢,網上零售商通過相應技術更具備這種優勢,可以建立顧客的資料庫,這個資料庫的價值要比零售企業通過POS 系統和會員卡等手段收集到的顧客信息更全面、有效。
為了開展網上零售,傳統零售業必須進行行業信息化。過程如下:
a. 加強企業內部的信息溝通。通過Internet 實現企業內部各職能部門、各分店、各流程之間的信息溝通和協調行動。
b. 增強渠道功能。在原有傳統店鋪的基礎上,在網上開辟一個新的銷售渠道,實際上這是B2C 電子商務的開始。
c. 對價值鏈或者供應鏈進行全新整合。連鎖企業從商品的采購到銷售構成一個供應鏈,基礎的條件是信息化必須達到一定的條件,才能實現一些新的技術和高效運作。
d. 全面整合階段。在這個階段,零售企業的網上營銷已經跳出了單純銷售商品的范疇,開始把相關的服務增加到網上零售的內容之中,使之更具個性化,更具吸引力。
e. 從傳統零售商向網上零售商轉型。企業經營核心發生變化,重新構造供應鏈,同時產生多對多的關系和聯合。對供應商來講,可以在網上提供最適合在網上銷售的商品;對消費者來講,可以享受個性化服務。
2.3 從改善網上市場環境的角度,發展B2C 應大力推進EM 建設 EM( Electronic Market) ,即電子化交易市場,指在Internet 技術和其它電子化通信技術的基礎上,通過一組動態的Web 應用程序和其它應用程序把交易的雙方集成在一起的虛擬交易環境。EM 中的交易主體可以通過EM 中提供的電子化交易信息和交易工具建立起點到點和一對多的交易通道。EM 營運商是負責EM 的建立、維護、運行等工作的中介服務機構。
在傳統交易環境中,消費者在通過零售商與企業進行交易時,兩者的交易地位是不平等的:企業對產品的性能了解得多,信息佔有量大,而消費者只能被動接受信息;企業能動用的交易要素多,能規定交易方式,而消費者只能被動地選擇交易方式。在電子商務環境中,消費者可以通過訪問某生產企業網站,直接購買其產品。那麼這種無中介的交易能否實現消費者要求平等交易的願望呢? 消費者是否有能力在Internet 的信息海洋中一一搜索自己所需要的品種繁多的生活用品呢? 消費者能否在登錄到企業的網站後,提出有利於自己的交易方式呢? 消費者能與企業一樣平等地佔有產品信息嗎? 這些答案都是否定的。因此,消費者將尋求新的交易中介來協助自己實現平等的交易地位。這個交易中介就是EM運營商。
EM 運營商通過電子化的工具和手段,為消費者提供一個方便進出的虛擬環境,很大程度地聚集企業的商品和消費者的購買力,並建成了網上電子商場。在這種電子商場中,消費者可以利用搜索工具方便地查找需要的商品,並具有更廣泛的選擇權。不能快速響應消費者需求的商品及其生產企業將會很快被淘汰出局。同時,網上商場為消費者提供了網上論壇等交流工具,以聚集同類消費者,使之相互溝通,共享商品信息,協助消費者實現與生產企業平等享有商品信息的權利。消費者還可以形成規模優勢,動用金融、運輸等其它交易環節的力量,及時為自己設計有利的交易方式。這樣,在EM運營商的協助下,交易的主導權逐漸從生產企業向消費者轉移。
在電子商務環境下,如果一個EM 運營商經營的電子商場辦得不好,消費者只要在自己的瀏覽器地址欄中輸入另一個電子商場的網址,便可轉向其他的EM 運營商。要想留住消費者並實現盈利, EM 運營商必須充分發揮交易中介善於進行資源組合的優勢,加強與生產企業的密切合作,為消費者提供更優質的服務,贏得消費者群體的信任,樹立良好的商業形象。
在B2C 電子商務中,不同類型的EM 運營商應該發揮各自的優勢。如:網上電子商場運營商通常為消費者提供日常生活用品的交易,擁有擴大市場容量和市場有效細化的優勢;網上銷售聯盟運營商通常為消費者提供非日常性的全套綜合產品或服務的一攬子交易,擁有重新組合市場的優勢;網上外包資源運營商通常代表交易企業為消費者提供交易前後的系列輔助交易服務,擁有更貼近消費者的優勢;網上專賣專營店運營商通常為消費者提供完全定製的一對一的個性化交易,擁有網上及時提供增值服務的優勢。
綜上所述,本文從企業與消費者買賣關系和交易客體兩個側面對B2C 電子商務模式進行了分析,提出企業應在戰略定位、市場渠道、信息發布、交易定價等方面加強管理,加快零售行業信息化步伐,加速網上電子化交易市場建設。隨著B2C 電子商務所處的經濟環境、政策環境、法律環境和技術環境的不斷改善,我國B2C 電子商務必將取得快速發展,並在電子商務領域中占據重要地位。
參考文獻:
1 方美琪. 電子商務概論(第二版) . 北京:清華大學出版社,2002
2 李 琪等. 電子商務概論. 北京:人民郵電出版社,2002
3 陳曉紅. 電子商務實現技術. 北京:清華大學出版社,2001
4 李雲芝. 發展我國電子商務面臨的問題與對策探析. 情報雜志,2002 ; (1)
5 張貴榮. 論企業電子商務的信息環境. 情報雜志,2002 ; (5)
6 韓冬梅等. 電子商務BtoC的困境與出路. 商業研究,2002 ; (2)
7 劉偉江等. 電子商務模式分析及展望. 吉林大學社會科學學報,2001 ; (4)
僅供參考,請自借鑒。
希望對您有幫助。
⑺ 急求一篇關於電子商務交易安全的研究的論文,3000字以上
電子商務交易安全的研究
,3000字以上
好 的
⑻ 求論文:中小企業實施電子商務安全對策
[摘 要]本文從電子商務中的各種安全隱患及電子商務安全需求對電子商務的各種安全技術進行分析,以探討一種有效、安全的實現電子商務的策略。
[關鍵詞]電子商務、安全隱患、安全技術、策略
一、安全問題是實施電子商務的關鍵
傳統的交易是面對面的,比較容易保證建立交易雙方的信任關系和交易過程的安全性。而電子商務活動中的交易行為是通過網路進行的,買賣雙方互不見面,因而缺乏傳統交易中的信任感和安全感。美國密執安大學一個調查機構通過對23000名網際網路用戶的調查顯示,超過60%的人由於電子商務的安全問題而不願進行網上購物。任何個人、企業或商業機構以及銀行都不會通過一個不安全的網路進行商務交易,這樣會導致商業機密信息或個人隱私的泄露,從而導致巨大的利益損失。根據中國互聯網路信息中心(CNNIC)發布的「中國互聯網路發展狀況統計報告」,在電子商務方面,52.26%的用戶最關心的是交易的安全可靠性。由此可見,電子商務中的網路安全和交易安全問題是實現電子商務的關鍵之所在。
二、電子商務中的安全隱患和安全需求
1、電子商務中的安全隱患有:(1)篡改。電子的交易信息在網路上傳輸的過程中,可能被他人非法的修改,刪除或重放(指只能使用一次的信息被多次使用),從而使信息失去了真實性和完整性。(2)信息破壞。包括網路硬體和軟體的問題而導致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導致電子商務信息遭到破壞。(3)身份識別。如果不進行身份識別.第三方就有可能假冒交易一方的身份,以破壞交易.敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。而不進行身份識別,交易的一方可不為自己的行為負責任,進行否認,相互欺詐。(4)信息泄密。主要包括兩個方面,即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。
2、電子商務的安全性需求:電子商務的安全性需求可以分為兩個方面,一方面是對計算機及網路系統安全性的要求,表現為對系統硬體和軟體運行安全性和可靠性的要求、系統抵禦非法用戶入侵的要求等;另一方面是對電子商務信息安全的要求。(1)信息的保密性:指信息在存儲、傳輸及處理過程中不被他人竊取。(2)信息的完整性:包括信息在存儲中不被篡改和破壞,以及在傳輸過程中收到的信息和原發送信息的一致性。(3)信息的不可否認性:指信息的發送方不可否認已經發送的信息.接收方也不可否認已經收到的信息。(4)交易者身份的真實性:指交易雙方是確實存在的,不是假冒的。(5)系統的可靠性:指計算機及網路系統的硬體和軟體工作的可靠性,是否會因為計算機故障或意外原因造成信息錯誤、失效或丟失。
三、電子商務的安全技術
根據電子商務的這些安全性需求通常採用的安全技術主要有:密鑰加密技術、信息摘要技術、數字簽名、數字證書及CA認證。
1、密鑰加密技術:密碼加密技術有對稱密鑰加密技術和非對稱密鑰加密技術。
(1)對稱密鑰加密技術:對稱密鑰加密技術使用DES(Data En-cryption Standard)演算法,要求加密解密雙方擁有相同的密鑰,密鑰的長度一般為64位或56位。這種加密方法可以解決信息的保密問題,但又帶來了一些新的問題:一是在首次通信前,雙方必須通過網路以外的途徑傳遞統一的密鑰:二是當通信對象增多時,需要相應數量的密鑰,這就使密鑰管理和使用的難度增大;三是對稱加密是建立在共同保守秘密的基礎之上的,在管理和分發密鑰過程中,任何一方的泄露都會造成密鑰的失效,存在著潛在的危險和復雜的管理難度。
(2)非對稱密鑰加密技術:為了克服對稱密鑰加密技術存在的密鑰管理和分發上的問題,1976年Diffie和Hellman以及Merkle分別提出了公開密鑰密碼體制的思想:要求密鑰成對出現,一個為加密密鑰,另一個為解密密鑰,且不可能從其中一個推導出另一個。根據這種思想自1976年以來已經提出了多種公鑰加密演算法。公鑰加密演算法也稱為非對稱密鑰演算法,加密和解密的時候使用兩把密鑰,一把為公鑰,另一把為私鑰。私鑰只有自己知道,嚴密保管,公鑰和加密演算法則可以通過網路等渠道發布出去。公鑰加密演算法主要有:RSA、Fertezza、ElGama等。非對稱加密技術採用的是RSA演算法,是由Rivest、Shanir和Adle-man三人發明的。演算法如下:公鑰n=pq(p,q分別為兩個互異的大素數,必須要保密,n的長度大於512bit),選一個數e與(p-1)(q-1)互質,私鑰d=e-1(mod(p-1)(q-1)),加密:c=me(mod n)(其中m為明文,c為密文),解密:m=cd(mod n)。通信時,發送方用接收者的公鑰對明文加密後發送,接收方用自己的私鑰進行解密,這樣既解決了信息保密問題,又克服了對稱加密中密鑰管理與分發傳遞的問題。
2、信息摘要技術:密鑰加密技術只能解決信息的保密性問題,對於信息的完整性則可以用信息摘要技術來保證。信息摘要(Messagedigest)又稱Hash演算法,是Ron Rivest發明的一種單向加密演算法,指從原文中通過Hash演算法而得到一個有固定長度(128位)的散列值,不同的原文所產生的信息摘要必不相同,相同原文產生的信息摘要必定相同,因此信息摘要類似於人類的「指紋」,可以通過「指紋」去鑒別原文的真偽。信息摘要的使用過程如下:1、對原文使用Hash演算法得到信息摘要;2、將信息摘要與原文一起發送;3、接收方對接收到的原文應用Hash演算法產生一個摘要;4、用接收方產生的摘要與發送方發來的摘要進行對比,若兩者相同則表明原文在傳輸過程中沒有被修改,否則就說明原文被修改過
3、數字簽名:數字簽名(Digital Signature)是密鑰加密和信息摘要相結合的技術,可以保證信息的完整性和不可否認性。數字簽名的過程如下:1、發送方用自己的私鑰對信息摘要加密;2、發送方將加密後的信息摘要與原文一起發送;3、接收方用發送方的公鑰對收到的加密摘要進行解密;4、接收方對收到的原文用Hash演算法得到接收方的信息摘要;5、將解密後的摘要與接收方的信息摘要對比,相同說明信息完整且發送方身份是真實的,否則說明信息被修改或不是該發送者發送
由於私鑰是自己保管的他人無法仿冒,同時發送方也不能否認用自己的私鑰加密發送的信息,所以數字簽名解決了信息的完整性和不可否認性問題。數字簽名加密和密鑰加密技術不同,密鑰加密是發送方用接收方的公鑰加密,接收方在用自己的私鑰解密,是多對一的關系;而數字簽名中的加密是發送方用自己的私鑰對摘要進行加密,接收方用發送方的公鑰對數字簽名解密,是一對多的關系,表明公司的任何一個貿易夥伴都可以驗證數字簽名的真偽性。
4、數字證書與CA認證:非對稱加密技術和數字簽名技術都用到了公鑰,當交易的一方通過公開渠道得到了另一方的公鑰後,存在著這樣的問題:這個公鑰到底是不是真正屬於對方的,是否會有其他人假冒對方發布的公鑰。那麼如何確定網上交易雙方真實身份的確認,要用到由認證中心CA頒發的數字證書。
(1)數字證書:數字證書類似於現實生活中的身份證,它是標志網路用戶身份信息的一系列數據,用來在網路應用中識別通訊各方的身份。數字證書採用公鑰體制.即用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私鑰,用它進行解密和數字簽名;同時擁有一把公鑰並可以對外公開,用於信息加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據進行加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤的到達目的地了。用戶可以採用自己的私鑰對信息加以處理,由於私鑰僅為本人所有,所以能生成別人無法偽造的文件,也就形成了數字簽名。同時,由於數字簽名與信息的內容相關,因此經過簽名的文件如有改動,就會導致數字簽名的驗證過程失敗,這樣就可以保證文件的完整性。
(2)數字證書的內容:主要包括以下內容:1、證書擁有者的姓名;2、證書擁有者的公鑰;3、公鑰的有限期;4、頒發數字證書的單位;5、頒發數字證書單位的數字簽名;6、數字證書的序列號等。
(3)認證中心CA(Certificate Authority):認證中心是頒發數字證書的第三方權威機構。在電子交易中,商家、客戶、銀行的身份都要由認證中心來認證。因此認證中心主要有以下的功能:1、核發證書:核實申請人的各項資料是否真實,根據核實情況決定是否頒發數字證書。2、管理證書:檢查證書、廢除證書、更新證書。3、搜索證書:查找或下載個人(單位)的數字證書。4、驗證證書:可以幫助確定數字證書是否已被持有人廢除
電子商務的前途是光明的,但道路依然曲折,安全問題是阻礙電子商務廣泛應用的最大問題,改進數字簽名在內的安全技術措施、確定CA認證權的歸屬問題十分關鍵
⑼ 電子商務安全問題探討的論文
電子商務安全技術的分析與研究
[摘 要] 本文首先介紹了電子商務安全的現狀,分析了存在的主要問題,然後從網路安全技術、數據加密技術、用戶認證技術等方面介紹了主要的電子安全技術,並提出了一個合理的電子商務安全體系架構。
[關鍵詞] 電子商務電子支付 安全技術
一、引言
隨著網路技術和信息技術的飛速發展,電子商務得到了越來越廣泛的應用,越來越多的企業和個人用戶依賴於電子商務的快捷、高效。它的出現不僅為Internet的發展壯大提供了一個新的契機,也給商業界注入了巨大的能量。但電子商務是以計算機網路為基礎載體的,大量重要的身份信息、會計信息、交易信息都需要在網上進行傳遞,在這樣的情況下,安全性問題成為首要問題。
二、目前電子商務存在的安全性問題
1.網路協議安全性問題:目前,TCP/IP協議是應用最廣泛的網路協議,但由於TCP/IP本身的開放性特點,企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。
2.用戶信息安全性問題:目前最主要的電子商務形式是基於B/S(Browser/Server)結構的電子商務網站,用戶使用瀏覽器登錄網路進行交易,由於用戶在登錄時使用的可能是公共計算機,如網吧、辦公室的計算機等情況,那麼如果這些計算機中有惡意木馬程序或病毒,這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
3.電子商務網站的安全性問題:有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患,伺服器操作系統本身也會有漏洞,不法攻擊者如果進入電子商務網站,大量用戶信息及交易信息將被竊取,給企業和用戶造成難以估量的損失。
三、電子商務安全性要求
1.服務的有效性要求:電子商務系統應能防止服務失敗情況的發生,預防由於網路故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能准確快速的傳送。
2.交易信息的保密性要求:電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。
3.數據完整性要求:數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。
4.身份認證的要求:電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
四、電子商務安全技術措施
1.數據加密技術。對數據進行加密是電子商務系統最基本的信息安全防範措施.其原理是利用加密演算法將信息明文轉換成按一定加密規則生成的密文後進行傳輸,從而保證數據的保密性。使用數據加密技術可以解決信息本身的保密性要求。數據加密技術可分為對稱密鑰加密和非對稱密鑰加密。
(1)對稱密鑰加密(SecretKeyEncryption)。對稱密鑰加密也叫秘密/專用密鑰加密,即發送和接收數據的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優點是加密、解密速度快,適合於對大量數據進行加密,能夠保證數據的機密性和完整性;缺點是當用戶數量大時,分配和管理密鑰就相當困難。
(2)非對稱密鑰加密(PublicKeyEncryption)。非對稱密鑰加密也叫公開密鑰加密,它主要指每個人都有一對惟一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開,私鑰由個人秘密保存,用其中一把密鑰來加密,就只能用另一把密鑰來解密。非對稱密鑰加密演算法的優點是易於分配和管理,缺點是演算法復雜,加密速度慢。
(3)復雜加密技術。由於上述兩種加密技術各有長短,目前比較普遍的做法是將兩種技術進行集成。例如信息發送方使用對稱密鑰對信息進行加密,生成的密文後再用接收方的公鑰加密對稱密鑰生成數字信封,然後將密文和數字信封同時發送給接收方,接收方按相反方向解密後得到明文。
2.數字簽名技術。數字簽名是通過特定密碼運算生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名或印章,對於這種電子式的簽名還可進行技術驗證,其驗證的准確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證信息傳送的完整性和不可抵賴性。
3.認證機構和數字證書。由於電子商務中的交易一般不會有使用者面對面進行,所以對交易雙方身份的認定是保障電子商務交易安全的前提。認證機構是一個公立可信的第三方,用以證實交易雙方的身份,數字證書是由認證機構簽名的包括公開密鑰擁有者身份信息以及公開密鑰的文件。在交易支付過程中,參與方必須利用認證中心簽發的數字證書來證明自己的身份。
4.使用安全電子交易協議(SET:Secure Electronic Transactions)。是由VISA 和MasterCard兩大信用卡組織指定的標准。SET用於劃分與界定電子商務活動中各方的權利義務關系,給定交易信息傳送流程標准。SET協議保證了電子商務系統的保密性、完整性、不可否認性和身份的合法性。
五、結束語
電子商務是國民經濟和社會信息化的重要組成部分,而安全性則是關系電子商務能否迅速發展的重要因素。電子商務的安全是一個復雜系統工程,僅從技術角度防範是遠遠不夠的,還必須完善電子商務方面的立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進電子商務又好又快地發展。
參考文獻:
[1]覃 征 李順東:電子商務概論[M].北京:高等教育出版社,2002.06.
[2]余小兵:淺談電子商務中的安全問題[J].科技咨詢導報,2007.02
[3]曾鳳生:電子商務安全需求及防護策略[J].資料庫及信息管理,2007.06
僅供參考,請自借鑒。
希望對您有幫助。
⑽ 關於電子商務論文《電子商務的安全與管理》
電子商務的安全策略
摘要:
關鍵詞:
電子商務在功能上要求實現實時帳戶信息查詢。這就使電子商務系統必須在物理上與生產系統要有連接,這對於電子商務系統的安全性提出了更高的要求,必須保證外部網路(internet)用戶不能對生產系統構成威脅。為此,需要全方位地制定系統的安全策略。
就整個系統而言,安全性可以分為四個層次,如圖1所示
1.網路節點的安全
2.通訊的安全性
3.應用程序的安全性
4.用戶的認證管理
圖1:安全性四個層次結構
其中2、3、4層是通過操作系統和web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接internet和intranet保證安全最為有效的方法,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務web伺服器端的通訊;
(2)電子商務web伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和電子商務web伺服器之間採用ssl協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4o位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,ssl首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(ca中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(pki)。建立ssl鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(rsa)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務企業用戶身份認證可以通過伺服器ca證書與ic卡相結合實現的。ca證書用來認證伺服器的身份,ic卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用id號和密碼口令的身份確認機制。
2.ca證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是ca證書,它由認證授權中心(ca中心)發行。ca中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立ssl安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立網路安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1oo%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。