⑴ 有關電子商務風險及其安全管理的畢業論文
論文要想寫好,寫出色,先確定題目,一定要和老師商量,因為你喜歡的並不一定是老師喜歡的,然後把要寫作的論點確定了,然後再找資料選擇論據證明你的論點是正確的。最後給老師列個大綱看一下確定框架,同意了在開始著手寫。
你的電子商務風險及其安全管理方面論文准備往什麼方向寫,選題老師審核通過了沒,有沒有列個大綱讓老師看一下寫作方向?
老師有沒有和你說論文往哪個方向寫比較好?寫論文之前,一定要寫個大綱,這樣老師,好確定了框架,避免以後論文修改過程中出現大改的情況!!
學校的格式要求、寫作規范要注意,否則很可能發回來重新改,你要還有什麼不明白或不懂可以問我,希望你能夠順利畢業,邁向新的人生。
1,論文應該是單一主題還是面面俱到?
大學生碰到的第一個誘惑是想在論文里寫很多東西。比如有個學生對文學感興趣,他第一個念頭就是給論文起一個《今日文學》這樣的標題。如果迫不得已要縮小范圍,他會選擇《從戰後到70年代的西班牙文學》。
這類論文是非常危險的。這種題目會讓即使是成熟得多的研究者們也直撓頭的。對一個20多歲的大學生來說這是不可能完成的挑戰。它要麼會變成各種名字和主流觀點的簡單羅列,要麼對原始材料的引用會有失偏頗(這常常是由於省略了不該省略的東西引起的)。1961年,當代作家岡薩羅·托蘭特·巴雷斯特寫了一本《當代西班牙文學面面觀》(瓜德拉瑪版),然而,如果這是一篇博士論文的話,人們是一定會把它斃了的,雖然它厚達幾百頁。它被指責出於疏忽或者無知而沒有提到一些被認為非常重要的人物的名字,或者他有時會花一整個章節來寫一些「不怎麼樣」的作家,而對於一些被認為是「重要人物」的則只給了寥寥數筆。當然,我們知道該作者的歷史學識以及批評能力都是得到認可的,所以這些遺漏或者比例失調都是有意為之,對某個人物避而不談比為他洋洋灑灑地寫上一整頁更能夠說明問題。不過如果同樣的事情發生在一個二十二歲的大學生身上,誰又能保證他的沉默背後不是別有用心呢?或者他的避而不談是因為會在其他地方花上幾頁紙來討論這個問題?或者這個作者到底知不知道應該怎樣寫啊?
寫這種論文的學生常常會向評審委員會的成員抱怨說他們沒看懂自己的意思,但是那些成員實際上「無法」看懂他的意思,所以一篇面面俱到的論文常常被看作是傲慢的表現。並不是說(論文中所體現的)學術上的傲慢就一定要被否定掉,我們甚至可以說但丁是個糟糕的詩人,但必須至少先寫個300頁,對但丁的文本進行深入的分析之後才能說。而這些在一片面面俱到的論文中是看不到的。正因為這樣,對於一個大學生來說,與其寫什麼《從戰後到70年代的西班牙文學》,還不如選一個更切實際的低調一點的題目。
我可以很直接地告訴你什麼才是好題目,它並不是《阿爾代科阿的小說》,而是《「天堂鳥」的兩種不同版本》。聽上去是不是有點無趣?可能吧,不過那會是更加有趣的挑戰。
只要好好想一想你就會看到歸根到底這是一個如何討巧的問題。如果寫一篇關於四十年的文學的面面俱到的論文,學生將會面對各種可能的反對聲音。如果有個提案人或者評審委員會的成員正好想要標榜自己知道某個不太知名的作家,如果那個學生正好又沒有把那個作家包括在論文內,他將如何面對前者的發難呢?只要每個評審委員會的成員在看目錄時都發現了三個沒有被提到的人,那個學生就將在一頓猛烈的轟炸中變得臉色慘白,他的論文頓時好像變成了屁話連篇。相反的,如果學生認真地選擇一個范圍很小的題目,他就只需要牢牢把握住一份評審委員會大多數成員都不知道的材料就可以了。我並不是在兜售什麼下三濫的伎倆,這的確是一種伎倆,但並不低俗,而且它很管用。只要學位申請人以「專家」的面目出現在不如他專業的公眾面前,而且看得出為了成為專家他是花了一番心血的,這樣佔一點便宜是無可厚非的。
在這兩種極端之間(也就是寫四十年文學史的面面俱到的論文以及兩種文本之間區別這樣嚴格的單一主題論文)存在著許多中間形式。比如我們可以寫《四十年代先鋒派文學家的經歷》或者《胡安·貝內特和桑切斯·菲爾羅西奧對地理的文學處理》,甚至《卡洛斯·埃德蒙多·德·奧利,埃杜瓦多·奇恰羅以及格羅里亞·富埃爾特斯:三位後島嶼詩人的異同》。
我們來看一下一本小冊子上的一段話,雖然那是科學領域的,但它所給出的建議適用於所有學科:
比如說,《地質學》這個題目就太寬泛了。《火山學》是地質學的一個分支,但是也太大了。《墨西哥的火山》是個不錯的著手點,但是同樣不夠深入。我們把范圍在縮小一點就有可能引出非常有價值的研究了:《波波卡萊佩伊爾火山的歷史》(科爾特斯的征服者中的某人可能在1591年登上過那裡,直到1702年它都沒有猛烈噴發過)。一個范圍更小,所涉及年份更少的題目是《帕里庫丁火山的誕生和死亡》(它的生命僅僅從1943年2月20日延續到了到1952年3月4日)。
好吧,我還是推薦最後一個題目。因為到了這個地步,只要申請人能夠對那座不幸的火山知無不言,言無不盡就可以了。
很久以前,有個學生跑來跟我說他要寫一篇題為《當代思想中的符號》的論文。這樣的論文是不可能的。連我也不知道「符號」到底指的是什麼,實際上這個詞在不同的作者那裡具有不同的意思,有時,兩個作者會用它來表達意思完全相反的兩件東西。我們只要考慮一下形式邏輯學家或者數學家所理解的「符號」,它們是沒有意義的,在計算公式中占據特定位置,具有特定功能的東西(比如代數公式中的a,b,x,y神馬的),而其他一些作者則可能把它們看做充滿了模稜兩可含義的東西,比如夢中出現的那些圖像,它們可能指一棵樹,或者性器官,或者想要長大的願望等等。所以,我們怎麼能把這個作為論文的題目呢?我們必須分析當代文化中所有關於符號的理論,列出它們的共同點和不同點,在它們的不同點里尋找所有作者和理論共有的基本的單一概念,看一下這些不同在不同理論中是否是不相容的。沒有當代的哲學家,語言學家或者心理分析學家能夠令人滿意地解決這個問題。一個初出茅廬的大學生,即使他早慧也只不過接受了最多六七年的成年人的教育,他又怎麼能夠完成這樣的研究呢?最多又是一個像托蘭特·巴雷斯那樣有失偏頗的東西了。或者他會提出自己的關於符號的理論,而把前人所說的東西晾在一邊,下一節我們還要再來說說這種做法值得商榷的地方。我和這個學生交談了一會兒,我建議他可以寫弗洛伊德和榮格的符號,他需要忘記其他各種觀點,專心考慮上面的兩個作者。可惜這個學生不懂德語(關於語言的問題我們會在第五節談到)。最後我們決定將題目定為《皮爾士,弗萊和榮格的符號概念》,論文將討論這三位分別是哲學家,評論家和心理分析家的不同作者那裡的三個用同一個詞表示的不同概念。由於他們用了同一個詞結果造成了混亂,常常有人把其中一位的概念安到另一個人身上。在文章的最後,作為假設的結論,這個學生試圖在這些同名異義的概念間尋找平衡,找出它們的相似點。他還提到了一些自己所知道的其他作者,但表示因為論文篇幅所限就無法對他們更多展開了。這樣,雖然他的論文只提到了作者X,Y,Z,但沒有人能夠指責他沒有考慮作者K。也沒有人能指摘他對引述的那些其他作者不夠詳細,因為那是在論文的結尾處順帶說一下的,而論文的主體是討論題目中所出現的那三位作者。
現在我們看到了論文不必非要恪守單一主題,一篇面面俱到的論文也可以變得中規中矩,讓所有人都接受。
需要指出的是,「單一」這個詞的意思比我們在這里所用的要多得多。一篇單一論文只涉及一個主題,與「XXX的歷史」或者一本手冊或者一本網路全書完全相反。從這個意義上來說,《中世紀作家的「顛倒的世界」這個主題》應該也是一個單一主題。它涉及許多作家,但全都是圍繞一個具體的主題(從他們想像的假設到所舉的例子,悖論和寓言,比如在天上飛的魚,在水裡游的鳥神馬的)。看上去這是一個理想的單一主題。但事實上,為了寫這樣一篇論文,我們需要討論所有與這個主題有關的作者,特別是那些沒有得到公認的不知名作者。所以這個題目還是要被歸在「具有單一主題的面面俱到式論文」中,它是很難寫的,需要准備無數的材料。如果有人一定要寫的話,我建議把題目改成《卡洛林王朝時期的詩人的「顛倒的世界」這個主題》,范圍一縮小,我們就知道該到哪兒不該到哪兒去尋找材料了。
當然,面面俱到的論文寫起來更加有勁,畢竟花一兩年甚至更長的時間研究一位作家顯得很無聊。但是我們要明白,寫一篇嚴格意義上的單一主題的論文並不意味著在視角上不能做到面面俱到。寫一篇關於阿爾德科阿的小說的論文需要我們深入了解西班牙的現實主義,我們還需要讀桑切斯·菲爾羅西奧或者加西亞·奧爾特拉諾,需要研究阿爾德科阿度過的美洲小說以及古典文學。只有把作者放到全景當中我們才能理解和詮釋他。但是把全景用作背景和繪出一幅全景的圖畫是兩回事。前者只是以一片田野和一條河流作為背景畫了一幅騎士的肖像,後者則要畫許多田野,山谷和河流。我們必須要改變技法,或者用攝影的術語來說,改變焦距。從單一作者的角度出發拍攝的全景是有點失焦的,不完整的和劣質的。
最後我們要記住下面這個基本結論:范圍越小,干起活來就越是省心和安心。單一主題由於面面俱到,論文看起來最好像是隨筆,而不是歷史或者網路全書。
⑵ 電子商務安全策略的內容
轉:電子商務按交易主體一般分為四種:B2B、B2C、B2B2C、C2C。企業電子商務主要指前兩種。按交易對象而言,B2B主要進行實物產品交易,而B2C除實物產品外還進行數字產品交易。影響電子商務贏利主要涉及三個方面:即成本收益、敏感性和風險。
成本收益
成本收益也叫盈虧平衡,就是說企業建設電子商務網站所帶來的成本和收益,成本主要指:設備投資所需費用:這包括以各種方式接入網際網路所必須的各種設備的費用和使用網際網路時所需要的各種類型的終端、微機、工作站、伺服器等的費用。通訊成本:指為傳輸信息所付的資費。維護費:這包括網路管理人員的工資和其他消費品的費用。
收益指電子商務的實施而得到的可大致進行定量分析的開銷節約。主要包括降低庫存成本所獲收益,對於一般商業企業,庫存成本大約為銷售2%,如果把原料的庫存和半成品的庫存加上去,則可能更高達銷售額的6%~30%。電子商務的解決方案可將此成本減少10%。電子商務處理單證的費用是原來書面形式的1/10。實行電子商務後,企業可以通過網際網路搜集信息,進行集中采購,從而減少了管理成本,節約了差旅費。也堵塞了采購過程中的一些漏洞。有資料表明,全球EDI通常可為企業節省5%—10%的采購成本。有研究表明使用互聯網做廣告媒體進行網上促銷活動,可增加10倍銷量,而成本只有傳統廣告及郵寄廣告的1/10。間接收益,這包括實行電子商務之後業務管理改善及更有效的為客戶服務所獲得的收益。
敏感性因素
影響電子商務盈利的敏感性因素主要有技術、資金和管理。
1.技術。先進的技術是保證電子商務順利運行的前提,網路技術的迅猛發展是導致電子商務出現的直接原因。企業建設電子商務所需的技術分為前期的技術建設和運營後隨技術發展狀況而做的技術革新與追加。絕大多數電子商務企業並不進行技術的先期開發,而只是對成熟技術的引進利用。這就使電子商務技術具有普及性和趨同性的特點。技術的創新能夠降低成本,率先採用新技術的企業能夠在短期內提高收益,但其他企業會在很短時間內跟進。並且由於電子商務技術具有普及性及趨同性,因此技術對電子商務企業的盈利敏感度不大。
2.資金。投資於電子商務的資金包括先期開發資金和後期維護所需資金。電子商務企業先期投入的固定成本比較大,後期維護的費用比較小。電子商務硬體建成之後,固定成本對於其運營來講是無關成本,只有後期的維護費用對企業的順利運營有影響,由於這部分資金較小,電子商務企業一般都能及時支付,故資金對於電子商務企業的盈利影響也不大。
3.管理。企業實行電子商務後,後期的運作是包括產、供、銷、資金支付等所有方面的系統工程。盈利與否、盈利大小都與管理有直接關系。同樣的基礎設施與技術,同樣的起點,有的企業穩健發展,有的企業卻連連虧損。這里,管理是決定電子商務企業興衰成敗的決定因素。
風險
任何投資項目都面臨著各種各樣的不確定性因素,電子商務也不例外。而且電子商務的收益具有不同於一般項目的特性:估算性。即電子商務的收益一般只能通過主觀分析比較得到,例如減少多少書面作業量,提高多少信息准確度,改善多少與客戶的關系等,不可能計算的很清楚。即電子商務的收益只能在電子商務項目建成之後從其運作過程中所能節省的成本中體現出來。
以上兩個特性增加了電子商務企業收益的風險性。同時,由於網路經濟的快速發展,新技術變革日新月異,使電子商務企業要獲得生存發展必須在信息和技術兩個方面跟上整個行業的發展,稍微落後即遭淘汰,這更增加了電子商務企業的風險性。
增強贏利的關鍵:成本、收益、風險的管理
由以上的分析可以看出,增強企業電子商務的盈利性,要從成本、收益、風險等方面的管理入手,降低成本和風險,提高收入。
降低成本
嚴格成本控制,降低運營成本。曾經有一段時間,「先壯大,後盈利」的思想被信奉為電子商務的經營哲學,為贏得顧客,網站花費巨額資金在電視台的黃金時間播放廣告,贊助大型音樂會,提高知名度。這時成本控制的思想已被狂熱的電子商務追求者們遠遠拋在腦後,以致成本過高,導致回收期過長,據IDG調查結果顯示,美國很多新電子商務網路獲得一個網上購物顧客成本為80美元,而大多數電子商務網站毛利只有5%左右,這就意味著一個顧客要買1600美元商品才能持平營銷成本,更要用3~4年時間才能把投向該顧客的成本收回來。在來自投資人的盈利壓力越來越大的情況下,緊縮開支,控製成本是電子商務網站走出死亡陰影的必由之路。
對企業的內外部資源進行優化組合,將摩擦成本降到最低。企業開展電子商務並不是一個孤立的環節,要達到降低成本的目的,前提條件是要保證上游企業和下游企業在信息化方面的跟進,從而形成一個良好的循環鏈,達到節省大量中間成本,提高工作效率的目的。(1)就企業內部而言,應加強企業資源計劃(ERP)系統的實施,藉助計算機集成系統(CIMS)和計算機輔助設計(CAD)連接研發、生產、供應、營銷、服務等環節,實現對人力、財力、物力和技術等內部資源的優化組合。(2)就企業外部而言,應加強企業間的供應鏈管理,密切企業與供應商、銷售商的聯系,跟蹤技術、客戶、市場,確保對市場變化的及時了解和迅速反應。具體來講,生產實物產品的電子商務企業可以採用商務運營部門與銷售部門相脫離的雙鏈運籌策略:銷售部門專心做銷售,而商務運營部門不僅要負責定單處理、產品儲運等物流供貨任務,同時將生產計劃、物資采購等供貨的前提環節也合並進來,使商務運營中心能夠按照市場需求及供求情況去安排生產、采購配件、合理安排庫存,最終實現及時供貨,提升銷售渠道和客戶對企業的滿意度。
改善企業組織結構,降低管理成本。傳統的組織結構主要有U型和M型,現實的組織實踐中絕大多數企業採用的就是這兩類組織結構形式。這兩種不同的組織結構中有一個共同的特點,即在決策層與作業層間存在中間管理層。但網路技術的普及和發展使企業組織機構的存在基礎發生巨大的變化,電子商務技術的發展使信息處理效率大幅提高,企業網路內每一終端都可以同時獲得全面的數據與信息,各種計算機輔助手段的應用使中層管理人員的作用日見勢微,網路技術使企業高層管理人員通過網路系統,低成本的及時過濾各個基層機構形成的原始信息。因此企業應及時調整其組織結構,採用扁平化的組織結構方式來適應新興電子商務經營方式,以減少中層管理人員,提高效率,降低企業內部管理成本。
提高收入增加收益
經營數字產品的電子商務企業應採用差別價格的定價方式充分挖掘電子商務的優勢,提高收益。傳統產品由於大規模生產具有趨同的特性,且無法獲得不同消費者的偏好,只能對產品實行統一定價方式,或針對不同階層、地區採用有限差別價格定價模式。網路技術的發展,數字產品可大規模量身定製的特性使完全差別價格定價模式的兩個基本條件得以實現,即實現了產品差異化,同時也滿足了能獲得不同消費者的偏好。這就使電子商務企業可依據消費者的個人喜好對產品收取最高價格,獲取統一定價模式下所不能獲得的「消費者剩餘」收益。
積極建立網上銷售渠道,強化網路宣傳,樹立企業自身品牌形象,擴大銷售量。經營數字產品的電子商務企業還可以採用捆綁式銷售方法(捆綁式銷售是指將兩件或更多的產品按固定的比例包裝在一起銷售)提高銷售量。
減少風險
大企業和小企業在發展電子商務中所面臨的風險是不同的,所以企業是否發展電子商務要根據自身情況而定,決不能隨波逐流,一哄而上。目前情況來看,大企業發展電子商務更具優勢,這是因為:大型企業一般經過多年發展,具備了成熟的管理體系,主要的業務流程比較規范。大型企業具備完善的銷售渠道。大型企業具備品牌優勢比較容易吸引顧客。對這些企業來講,導入電子商務只是將原來的資源統一整合配置到新的主業上的過程。海爾集團從2000年4月18日電子商務平台開始運行以來,到9月份止,其B2B就已實現了12億元人民幣的交易額,業績不俗。從近兩年電子商務的發展速度來推測,海爾在2001年電子商務的交易額還會有一大幅度增長。中小企業無上述優勢,抵抗風險的能力也較差,建設電子商務的前期應進行嚴格的財務評價,以盈利為投資取捨的基準,應從自身現實出發,積極與大企業開展生產、經營、資本、技術等多方面的協作,加入到電子商務所形成的大規模供應鏈中去,融入到商務發展的潮流中去,從中汲取經驗。內部購買力低,而無必要上電子商務的小型企業可以考慮從一家ASP供應商那裡租賃網路平台,既滿足自身需要,又可節省費用。
⑶ 分析企業在制定電子商務安全策略時應考慮哪些問題
1.計算機安全
計算機是一種硬體設備,硬體設備難免出現故障,一旦出現,將會影響電子商務系統的運行。非凡是計算機的硬碟,一旦損壞,數據就會丟失,損失就無法挽回,需要對計算機硬體和數據進行備份。計算機系統安全主要是考慮提高用於電子商務系統的計算機硬體可靠性和穩定性。
2.網路安全
網路是用戶進行數據交換,信息傳遞的主要途徑。通過網路,用戶可以訪問網路中不同的計算機系統。網路安全主要是考慮限制用戶對用於電子商務系統的計算機的訪問許可權,防止未授權的用戶對系統的訪問以及越權訪問。
3.數據安全
在網路上傳遞的數據假如不採用任何安全措施,就會受到各種各樣的攻擊,如數據被截獲,甚至數據被惡意篡改和破壞。數據安全主要是考慮防止數據被截獲或截獲後被破譯,以及防止數據被惡意篡改和破壞。
4.應用安全
在網路環境下,計算機病毒猖獗,假如不加防範,就輕易導致應用軟體被病毒感染,程序被非法入侵和破壞,系統的功能受到限制。更嚴重的是導致系統不能正常工作,數據和信息丟失。應用安全主要是考慮防止應用軟體被各種病毒非法入侵和破壞。
5.電子商務交易安全問題
電子商務交易過程中,商家要發布產品信息,確認訂購信息,收貨款;客戶要獲取產品信息,傳遞訂購信息,支付貨款。買賣雙方都存在安全問題,其中主要包括交易信息安全、支付安全和誠信安全。
⑷ 關於電子商務論文《電子商務的安全與管理》
電子商務的安全策略
摘要:
關鍵詞:
電子商務在功能上要求實現實時帳戶信息查詢。這就使電子商務系統必須在物理上與生產系統要有連接,這對於電子商務系統的安全性提出了更高的要求,必須保證外部網路(internet)用戶不能對生產系統構成威脅。為此,需要全方位地制定系統的安全策略。
就整個系統而言,安全性可以分為四個層次,如圖1所示
1.網路節點的安全
2.通訊的安全性
3.應用程序的安全性
4.用戶的認證管理
圖1:安全性四個層次結構
其中2、3、4層是通過操作系統和web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接internet和intranet保證安全最為有效的方法,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務web伺服器端的通訊;
(2)電子商務web伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和電子商務web伺服器之間採用ssl協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4o位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,ssl首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(ca中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(pki)。建立ssl鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(rsa)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務企業用戶身份認證可以通過伺服器ca證書與ic卡相結合實現的。ca證書用來認證伺服器的身份,ic卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用id號和密碼口令的身份確認機制。
2.ca證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是ca證書,它由認證授權中心(ca中心)發行。ca中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立ssl安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立網路安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1oo%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。
⑸ 電子商務安全問題國內外研究現狀
一、安全問題是實施電子商務的關鍵
傳統的交易是面對面的,比較容易保證建立交易雙方的信任關系和交易過程的安全性。而電子商務活動中的交易行為是通過網路進行的,買賣雙方互不見面,因而缺乏傳統交易中的信任感和安全感。美國密執安大學一個調查機構通過對23000名網際網路用戶的調查顯示,超過60%的人由於電子商務的安全問題而不願進行網上購物。任何個人、企業或商業機構以及銀行都不會通過一個不安全的網路進行商務交易,這樣會導致商業機密信息或個人隱私的泄露,從而導致巨大的利益損失。根據中國互聯網路信息中心(CNNIC)發布的「中國互聯網路發展狀況統計報告」,在電子商務方面,52.26%的用戶最關心的是交易的安全可靠性。由此可見,電子商務中的網路安全和交易安全問題是實現電子商務的關鍵之所在。
二、電子商務中的安全隱患和安全需求
1、電子商務中的安全隱患有:(1)篡改。電子的交易信息在網路上傳輸的過程中,可能被他人非法的修改,刪除或重放(指只能使用一次的信息被多次使用),從而使信息失去了真實性和完整性。(2)信息破壞。包括網路硬體和軟體的問題而導致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導致電子商務信息遭到破壞。(3)身份識別。如果不進行身份識別.第三方就有可能假冒交易一方的身份,以破壞交易.敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。而不進行身份識別,交易的一方可不為自己的行為負責任,進行否認,相互欺詐。(4)信息泄密。主要包括兩個方面,即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。
2、電子商務的安全性需求:電子商務的安全性需求可以分為兩個方面,一方面是對計算機及網路系統安全性的要求,表現為對系統硬體和軟體運行安全性和可靠性的要求、系統抵禦非法用戶入侵的要求等;另一方面是對電子商務信息安全的要求。(1)信息的保密性:指信息在存儲、傳輸及處理過程中不被他人竊取。(2)信息的完整性:包括信息在存儲中不被篡改和破壞,以及在傳輸過程中收到的信息和原發送信息的一致性。(3)信息的不可否認性:指信息的發送方不可否認已經發送的信息.接收方也不可否認已經收到的信息。(4)交易者身份的真實性:指交易雙方是確實存在的,不是假冒的。(5)系統的可靠性:指計算機及網路系統的硬體和軟體工作的可靠性,是否會因為計算機故障或意外原因造成信息錯誤、失效或丟失。
三、電子商務的安全技術
根據電子商務的這些安全性需求通常採用的安全技術主要有:密鑰加密技術、信息摘要技術、數字簽名、數字證書及CA認證。
1、密鑰加密技術:密碼加密技術有對稱密鑰加密技術和非對稱密鑰加密技術。
(1)對稱密鑰加密技術:對稱密鑰加密技術使用DES(Data En-cryption Standard)演算法,要求加密解密雙方擁有相同的密鑰,密鑰的長度一般為64位或56位。這種加密方法可以解決信息的保密問題,但又帶來了一些新的問題:一是在首次通信前,雙方必須通過網路以外的途徑傳遞統一的密鑰:二是當通信對象增多時,需要相應數量的密鑰,這就使密鑰管理和使用的難度增大;三是對稱加密是建立在共同保守秘密的基礎之上的,在管理和分發密鑰過程中,任何一方的泄露都會造成密鑰的失效,存在著潛在的危險和復雜的管理難度。
(2)非對稱密鑰加密技術:為了克服對稱密鑰加密技術存在的密鑰管理和分發上的問題,1976年Diffie和Hellman以及Merkle分別提出了公開密鑰密碼體制的思想:要求密鑰成對出現,一個為加密密鑰,另一個為解密密鑰,且不可能從其中一個推導出另一個。根據這種思想自1976年以來已經提出了多種公鑰加密演算法。公鑰加密演算法也稱為非對稱密鑰演算法,加密和解密的時候使用兩把密鑰,一把為公鑰,另一把為私鑰。私鑰只有自己知道,嚴密保管,公鑰和加密演算法則可以通過網路等渠道發布出去。公鑰加密演算法主要有:RSA、Fertezza、ElGama等。非對稱加密技術採用的是RSA演算法,是由Rivest、Shanir和Adle-man三人發明的。演算法如下:公鑰n=pq(p,q分別為兩個互異的大素數,必須要保密,n的長度大於512bit),選一個數e與(p-1)(q-1)互質,私鑰d=e-1(mod(p-1)(q-1)),加密:c=me(mod n)(其中m為明文,c為密文),解密:m=cd(mod n)。通信時,發送方用接收者的公鑰對明文加密後發送,接收方用自己的私鑰進行解密,這樣既解決了信息保密問題,又克服了對稱加密中密鑰管理與分發傳遞的問題。
2、信息摘要技術:密鑰加密技術只能解決信息的保密性問題,對於信息的完整性則可以用信息摘要技術來保證。信息摘要(Messagedigest)又稱Hash演算法,是Ron Rivest發明的一種單向加密演算法,指從原文中通過Hash演算法而得到一個有固定長度(128位)的散列值,不同的原文所產生的信息摘要必不相同,相同原文產生的信息摘要必定相同,因此信息摘要類似於人類的「指紋」,可以通過「指紋」去鑒別原文的真偽。信息摘要的使用過程如下:1、對原文使用Hash演算法得到信息摘要;2、將信息摘要與原文一起發送;3、接收方對接收到的原文應用Hash演算法產生一個摘要;4、用接收方產生的摘要與發送方發來的摘要進行對比,若兩者相同則表明原文在傳輸過程中沒有被修改,否則就說明原文被修改過
3、數字簽名:數字簽名(Digital Signature)是密鑰加密和信息摘要相結合的技術,可以保證信息的完整性和不可否認性。數字簽名的過程如下:1、發送方用自己的私鑰對信息摘要加密;2、發送方將加密後的信息摘要與原文一起發送;3、接收方用發送方的公鑰對收到的加密摘要進行解密;4、接收方對收到的原文用Hash演算法得到接收方的信息摘要;5、將解密後的摘要與接收方的信息摘要對比,相同說明信息完整且發送方身份是真實的,否則說明信息被修改或不是該發送者發送
由於私鑰是自己保管的他人無法仿冒,同時發送方也不能否認用自己的私鑰加密發送的信息,所以數字簽名解決了信息的完整性和不可否認性問題。數字簽名加密和密鑰加密技術不同,密鑰加密是發送方用接收方的公鑰加密,接收方在用自己的私鑰解密,是多對一的關系;而數字簽名中的加密是發送方用自己的私鑰對摘要進行加密,接收方用發送方的公鑰對數字簽名解密,是一對多的關系,表明公司的任何一個貿易夥伴都可以驗證數字簽名的真偽性。
4、數字證書與CA認證:非對稱加密技術和數字簽名技術都用到了公鑰,當交易的一方通過公開渠道得到了另一方的公鑰後,存在著這樣的問題:這個公鑰到底是不是真正屬於對方的,是否會有其他人假冒對方發布的公鑰。那麼如何確定網上交易雙方真實身份的確認,要用到由認證中心CA頒發的數字證書。
(1)數字證書:數字證書類似於現實生活中的身份證,它是標志網路用戶身份信息的一系列數據,用來在網路應用中識別通訊各方的身份。數字證書採用公鑰體制.即用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私鑰,用它進行解密和數字簽名;同時擁有一把公鑰並可以對外公開,用於信息加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據進行加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤的到達目的地了。用戶可以採用自己的私鑰對信息加以處理,由於私鑰僅為本人所有,所以能生成別人無法偽造的文件,也就形成了數字簽名。同時,由於數字簽名與信息的內容相關,因此經過簽名的文件如有改動,就會導致數字簽名的驗證過程失敗,這樣就可以保證文件的完整性。
(2)數字證書的內容:主要包括以下內容:1、證書擁有者的姓名;2、證書擁有者的公鑰;3、公鑰的有限期;4、頒發數字證書的單位;5、頒發數字證書單位的數字簽名;6、數字證書的序列號等。
(3)認證中心CA(Certificate Authority):認證中心是頒發數字證書的第三方權威機構。在電子交易中,商家、客戶、銀行的身份都要由認證中心來認證。因此認證中心主要有以下的功能:1、核發證書:核實申請人的各項資料是否真實,根據核實情況決定是否頒發數字證書。2、管理證書:檢查證書、廢除證書、更新證書。3、搜索證書:查找或下載個人(單位)的數字證書。4、驗證證書:可以幫助確定數字證書是否已被持有人廢除
電子商務的前途是光明的,但道路依然曲折,安全問題是阻礙電子商務廣泛應用的最大問題,改進數字簽名在內的安全技術措施、確定CA認證權的歸屬問題十分關鍵。
⑹ 電子商務安全的措施
適當設置防護措施可以降低或防止來自現實的威脅。在通信安全、計算機安全、物理安全、人事安全、管理安全和媒體安全方面均可採取一定的措施,整個系統的安全取決於系統中最薄弱環節的安全水平,這就需要從系統設計上進行全面的考慮,折中選取。電子商務中的安全措施包括有下述幾類:
(1)保證交易雙方身份的真實性:
常用的處理技術是身份認證,依賴某個可信賴的機構(CA認證中心)發放證書,並以此識別對方。目的是保證身份的精確性,分辨參與者身份的真偽,防止偽裝攻擊。
(2)保證信息的保密性:
保護信息不被泄露或被披露給未經授權的人或組織,常用的處理技術是數據加密和解密,其安全性依賴於使用的演算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術(如DES演算法)和公開密鑰加密技術(如RSA演算法)。(3)保證信息的完整性:
常用數據雜湊等技術來實現。通過散列演算法來保護數據不被未授權者(非法用戶)建立、嵌入、刪除、篡改、重放。典型的散列演算法為美國國家安全局開發的單向散列演算法之一。
(4)保證信息的真實性:
常用的處理手段是數字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐,如發送用戶對他所發送信息的否認、接收用戶對他已收到信息的否認等,而不是對付未知的攻擊者,其基礎是公開密鑰加密技術。目前,可用的數字簽名演算法較多,如RSA數字簽名、ELGamal數字簽名等。
(5)保證信息的不可否認性:
通常要求引入認證中心(CA)進行管理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保存,作為可能爭議的仲裁依據。
(6)保證存儲信息的安全性:
規范內部管理,使用訪問控制許可權和日誌,以及敏感信息的加密存儲等。
⑺ 電子商務的安全策略包括哪些
一、網路節點的安全
1.防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的方法,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;
(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和電子商務WEB伺服器之間採用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4O位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和伺服器之間建立安全機制,SSL首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務企業用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份,IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。
2.CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立網路安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。
⑻ 電子商務安全問題探討的論文
電子商務安全技術的分析與研究
[摘 要] 本文首先介紹了電子商務安全的現狀,分析了存在的主要問題,然後從網路安全技術、數據加密技術、用戶認證技術等方面介紹了主要的電子安全技術,並提出了一個合理的電子商務安全體系架構。
[關鍵詞] 電子商務電子支付 安全技術
一、引言
隨著網路技術和信息技術的飛速發展,電子商務得到了越來越廣泛的應用,越來越多的企業和個人用戶依賴於電子商務的快捷、高效。它的出現不僅為Internet的發展壯大提供了一個新的契機,也給商業界注入了巨大的能量。但電子商務是以計算機網路為基礎載體的,大量重要的身份信息、會計信息、交易信息都需要在網上進行傳遞,在這樣的情況下,安全性問題成為首要問題。
二、目前電子商務存在的安全性問題
1.網路協議安全性問題:目前,TCP/IP協議是應用最廣泛的網路協議,但由於TCP/IP本身的開放性特點,企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。
2.用戶信息安全性問題:目前最主要的電子商務形式是基於B/S(Browser/Server)結構的電子商務網站,用戶使用瀏覽器登錄網路進行交易,由於用戶在登錄時使用的可能是公共計算機,如網吧、辦公室的計算機等情況,那麼如果這些計算機中有惡意木馬程序或病毒,這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
3.電子商務網站的安全性問題:有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患,伺服器操作系統本身也會有漏洞,不法攻擊者如果進入電子商務網站,大量用戶信息及交易信息將被竊取,給企業和用戶造成難以估量的損失。
三、電子商務安全性要求
1.服務的有效性要求:電子商務系統應能防止服務失敗情況的發生,預防由於網路故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能准確快速的傳送。
2.交易信息的保密性要求:電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。
3.數據完整性要求:數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。
4.身份認證的要求:電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
四、電子商務安全技術措施
1.數據加密技術。對數據進行加密是電子商務系統最基本的信息安全防範措施.其原理是利用加密演算法將信息明文轉換成按一定加密規則生成的密文後進行傳輸,從而保證數據的保密性。使用數據加密技術可以解決信息本身的保密性要求。數據加密技術可分為對稱密鑰加密和非對稱密鑰加密。
(1)對稱密鑰加密(SecretKeyEncryption)。對稱密鑰加密也叫秘密/專用密鑰加密,即發送和接收數據的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優點是加密、解密速度快,適合於對大量數據進行加密,能夠保證數據的機密性和完整性;缺點是當用戶數量大時,分配和管理密鑰就相當困難。
(2)非對稱密鑰加密(PublicKeyEncryption)。非對稱密鑰加密也叫公開密鑰加密,它主要指每個人都有一對惟一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開,私鑰由個人秘密保存,用其中一把密鑰來加密,就只能用另一把密鑰來解密。非對稱密鑰加密演算法的優點是易於分配和管理,缺點是演算法復雜,加密速度慢。
(3)復雜加密技術。由於上述兩種加密技術各有長短,目前比較普遍的做法是將兩種技術進行集成。例如信息發送方使用對稱密鑰對信息進行加密,生成的密文後再用接收方的公鑰加密對稱密鑰生成數字信封,然後將密文和數字信封同時發送給接收方,接收方按相反方向解密後得到明文。
2.數字簽名技術。數字簽名是通過特定密碼運算生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名或印章,對於這種電子式的簽名還可進行技術驗證,其驗證的准確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證信息傳送的完整性和不可抵賴性。
3.認證機構和數字證書。由於電子商務中的交易一般不會有使用者面對面進行,所以對交易雙方身份的認定是保障電子商務交易安全的前提。認證機構是一個公立可信的第三方,用以證實交易雙方的身份,數字證書是由認證機構簽名的包括公開密鑰擁有者身份信息以及公開密鑰的文件。在交易支付過程中,參與方必須利用認證中心簽發的數字證書來證明自己的身份。
4.使用安全電子交易協議(SET:Secure Electronic Transactions)。是由VISA 和MasterCard兩大信用卡組織指定的標准。SET用於劃分與界定電子商務活動中各方的權利義務關系,給定交易信息傳送流程標准。SET協議保證了電子商務系統的保密性、完整性、不可否認性和身份的合法性。
五、結束語
電子商務是國民經濟和社會信息化的重要組成部分,而安全性則是關系電子商務能否迅速發展的重要因素。電子商務的安全是一個復雜系統工程,僅從技術角度防範是遠遠不夠的,還必須完善電子商務方面的立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進電子商務又好又快地發展。
參考文獻:
[1]覃 征 李順東:電子商務概論[M].北京:高等教育出版社,2002.06.
[2]余小兵:淺談電子商務中的安全問題[J].科技咨詢導報,2007.02
[3]曾鳳生:電子商務安全需求及防護策略[J].資料庫及信息管理,2007.06
僅供參考,請自借鑒。
希望對您有幫助。
⑼ 電子商務安全方面的措施有哪些
電子商復務系統的安全重點主要基制於以下兩個方面:
(1)系統安全性:指系統的穩定性和抗攻擊能力,以及在受到攻擊或系統出現軟、硬體故障後的系統恢復能力。
(2)數據安全性:是指保持數據的一致性、完整性,和使用許可權的可控制性等。數據安全性包含以下幾個方面:
①數據的機密性。任何人不能看到其無權看到的信息;其中,比普通加密方式更進一步的是,任何人都不能看到或修改其行政管理概念上的許可權無權獲得的數據(數據加密),這將更符合實際的要求。
②數據的完整性。對發出的數據只有完整到達,才能被完全確認,否則數據不能被認可。
③不可抵賴性。對任何人已經發出的信息,能夠根據信息本身確定數據只能由該人發出,並能確定發出時間等重要信息。
⑽ 電子商務安全的管理方法有哪些
電子商務是利用各種電子化手段進行的商務活動,其價值的實現主要依託於網路,尤其是互聯網,它已經成為互聯網應用的一個必然趨勢和金融商貿的主要模式之一.如何建立一個安全的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務必須直面的一個問題.
由於電子商務的重要技術特徵是利用網路來傳輸和處理商業信息,因此,電子商務安全主要包括兩個方面:網路安全和商務安全.而這些安全的實現又依託於一些具體的安全技術,遵循相關安全協議.
1 網路安全問題
網路安全主要是指計算機和網路本身可能存在的安全問題,也就是要保障電子商務平台的可用性和安全性.網路安全是電子商務的基礎,其問題一般表現為:
1.1 計算機本身潛在的安全隱患帶來的網路安全問題
計算機使用的是未經過相關的網路安全配置的操作系統,不論是什麼操作系統,在預設安裝的條件下都會存在一些安全問題,而僅僅將操作系統按預設安裝後,再配上很長的密碼就認為安全的想法是不可靠的.因為計算機本身存在的軟體漏洞和"後門"往往是網路攻擊的首選目標.
1.2 入侵者風險降低獲利升高帶來的刺激引發的網路安全問題
由於網路的全球性,開放性,共享性的發展,使得任何人都可以自由地接入互聯網,而這其中也包括了黑客,入侵者和病毒製造者.他們採用的攻擊方法越來越多,對電子商務的威脅也顯得越來越明顯.相對而言,襲擊者本身的風險卻非常小,甚至可以在襲擊後很快就消失得無影無蹤,使對方幾乎沒有實行報復打擊的可能,這使他們的活動更加猖獗.美國的"雅虎"和"亞馬遜"曾受到攻擊的事件就說明了這一點.
1.3 安全設備使用不當帶來的網路安全問題
雖然絕大多數網站採用了網路安全設備,有的甚至還耗費巨資,但由於安全設備本身因素或使用問題,這些設備並沒有起到應有的或期望的作用.很多安全廠商的產品對配置人員的技術背景要求很高,往往超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確地安裝,配置,一旦系統改動,需要改動相關安全設備的設置時,很容易產生許多安全問題.而通常意義上的網路管理者往往無法勝任這樣的工作.
因此在實施網路安全防範措施時應做到:首先要加強主機本身的安全,做好安全配置;及時安裝安全補丁程序,減少漏洞;安裝防病毒軟體和軟體防火牆,加強內部網的整體防病毒措施;使用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;利用相應的數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網路上傳輸的敏感信息要進行一定強度的數據加密;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊.同時充分利用已經公布的有關交易安全和計算機安全的法律法規為電子商務交易護航.再者,面對普通網路管理員的技術水平,在網路的建設和維護中可採用聯合開發維護的方式,通過前期的建設和維護不斷提高和完善自身團隊的技術水平,使其在成長中逐步勝任企業對網路安全的要求.
網路管理者在思想上高度重視安全問題也是相當有必要的.技術的產生一般相對於人們的需求有一定的滯後性,而建立和實施嚴密完善的網路安全制度和策略往往可以代替暫時無法實現的技術,畢竟這才是真正實現網路安全的基礎.
一個全方位的計算機網路安全體系結構通常包含網路的物理安全,訪問控制安全,系統安全,用戶安全,信息加密,安全傳輸和管理安全.這一切的實現依賴於各種先進的主機安全技術,身份認證技術,訪問控制技術,密碼技術,防火牆技術,安全審計技術,安全管理技術,系統漏洞檢測技術,黑客跟蹤技術.隨著安全核心系統,VPN安全隧道,身份認證,網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術的應用,從不同層面加強了計算機網路的整體安全性,漸漸在攻擊者和受保護的資源間建立了多道嚴密的安全防線,增加了惡意入侵的難度.
為了保證電子商務活動的順利進行,必須有安全完善的網路體系為其提供穩定可靠,強有力的支撐.
2 商務安全問題
商務安全指商務交易在網路媒介中體現出來的安全問題,也就是要實現電子商務信息的保密性,完整性,真實性和不可抵賴性.
在早期的電子交易中,曾採用過一些簡單的安全措施.例如將網上交易中最關鍵的數據如信用卡號碼及成交數額等用電話告知,以防泄密,網上交易後再用其他方式對交易做確認,以保證其真實性和不可抵賴性.這些方法不僅操作不便,而且有一定的局限性,也不能實現其真正的安全性.
2.1 商務安全中普遍存在的幾種安全隱患
2.1.1 竊取信息
信息在傳輸過程中未採用相應的加密措施或加密強度不夠,導致數據信息在網路上以明文或近乎明文的形式傳送.入侵者在數據包經過的設備或線路上採用截獲方法截獲正在傳送的信息,通過對竊取數據參數的分析比對,找到信息的格式和規律,進而得到傳輸信息的內容,導致消費者消費信息,賬號密碼和企業商業機密等信息的外泄.
2.1.2 篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術方法和手段對網路傳輸中的信息進行截獲修改再發至原先指定目的地,從而破壞信息的真實性.入侵者通過改變信息流的次序,更改信息的內容,刪除信息的某些部分,甚至在信息中插入一些附加內容,使接收方做出錯誤的判斷與決策.
2.1.3 信息假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以進一步冒充合法用戶獲取和發送信息,而遠端接受方或發送方通常不易分辨.常見的方式有偽造用戶和商戶的收定貨單據,套取或修改相關程序的使用許可權等.
2.1.4 信息破壞
由於攻擊者已侵入網路,已獲得對網路中信息的修改許可權,如其對網路中現有機要信息進行修改乃至於刪除,其後果是非常嚴重的.
2.2 商務安全的要求
2.2.1 信息的保密性
交易中的商務信息都需要遵循一定的保密規則.因為其信息往往代表著國家,企業和個人的商業機密.在以往傳統的紙面貿易中採用郵寄封裝或通過可靠的通信渠道傳送商業信息來達到保密的目的和要求.而電子商務是建立在一個較為開放的互聯網路環境上的,它所依託的網路本身也就是由於開放式互聯形成的市場,才贏得了電子商務,因此在這一新的支撐環境下,勢必要用相應的技術和手段來延續和改進信息的保密性.一般用密碼技術來實現.
2.2.2 信息的完整性
不可否認電子商務的出現以計算機代替了人們大多數復雜的勞動,也以信息系統的形式整合化簡了企業貿易中的各個環節,但網路的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整,統一出現了問題.由於數據輸入時的意外差錯(如計算機自動處理過程中死機,停電等),可能導致貿易各方信息的不一致.此外,數據傳輸過程中人為的或自然的信息丟失(如數據包丟失),信息重復或信息傳送的次序差異(如網路堵塞重發)也會導致貿易各方信息的不同.而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略.因此保持貿易各方信息的完整性是電子商務應用必備的基礎.完整性一般可通過提取信息消息摘要的方式來獲得.
2.2.3 信息的不可抵賴性
在交易中會出現交易抵賴的現象,如信息發送方在發送操作完成後否認曾經發送過該信息,或與之相反,接受方收到信息後並不承認曾經收到過該條消息.因此如何確定交易中的任何一方在交易過程中所收到的交易信息正是自己的合作對象發出的,而對方本身也沒有被假冒,是電子商務活動和諧順利進行的保證.信息的保證可以通過對發送的消息進行數字簽名來獲取.身份的確定一般都採用證書機構CA和證書的方法來實現.讓素昧平生,相隔千里的雙方成為合作夥伴畢竟不是一件容易的事情.
當然,在電子商務活動中還有許多要求,比如交易信息的時效界定問題,交易一旦達成後有無撤消和修改的可能等.相信在電子商務的發展中必將涌現各種技術和各項法律法規,規范人們的需求並幫助其實現,以保證電子商務交易的嚴肅性和公正性.
3 電子商務的安全技術
3.1 加密技術
加密技術是保證電子商務安全的重要手段,為保證電子商務安全使用加密技術對敏感的信息進行加密,保證電子商務的保密性,完整性,真實性和非否認服務.
3.1.1 加密技術的現狀
如同許多IT技術一樣,加密技術層出不窮,為人們提供了很多的選擇餘地,但與此同時也帶來了一個問題——兼容性,不同的企業可能會採用各自不同的標准.
另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制.目前,美國的企業一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口.雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多.美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾.目前,我國由上海市電子商務安全證書管理中心推出的128位SSL演算法,彌補了國內的這一空缺,也為我國電子商務安全帶來了廣闊的前景.
3.1.2 常用的加密技術
對稱密鑰密碼演算法:對稱密碼體制由傳統簡單換位代替密碼發展而成,加密模式上可分為序列密碼和分組密碼兩類.
不對稱型加密演算法:也稱公用密鑰演算法,其特點是有二個密鑰即公用密鑰和私有密鑰,兩者必須成對使用才能完成加密和解密的全過程.本技術特別適用於分布式系統中的數據加密,在網路中被廣泛應用.其中公用密鑰公開,為數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的接受方保管.
不可逆加密演算法:其特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有輸入同樣的數據經過同一不可逆加密演算法的比對才能得到相同的加密數據.因為其沒有密鑰所以不存在密鑰保管和分發問題,但由於它的加密計算工作量較大,所以通常只在數據量有限的情況下,例如計算機系統中的口令信息的加密.
3.1.3 電子商務領域常用的加密技術
數字摘要:又稱安全Hash編碼法.該編碼法採用單向Hash 函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數字指紋,具有固定的長度,並且不同的明文摘要其密文結果是不一樣的,而同樣的明文其摘要保持一致.
數字簽名:數字簽名是將數字摘要,公用密鑰演算法兩種加密方法結合使用.它的主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要).發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名,然後這個數字簽名將作為報文的附件和報文一起發送給報文的接收方.報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密.如果兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的.通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性,有效地防止了簽名的否認和非正當簽名者的假冒.
數字時間戳:是對交易文件的時間信息所採取的安全措施.該網上安全服務項目,由專門的機構提供.時間戳是一個經加密後形成的憑證文檔,它包括:需加時間戳的文件的摘要,數字時間戳服務收到文件的日期和時間,數字時間戳服務的數字簽名.
數字證書:數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網路資源的訪問許可權,主要有個人憑證,企業(伺服器)憑證,軟體(開發者)憑證三種.
3.2 身份認證技術
在網路上通過一個具有權威性和公正性的第三方機構——認證中心,將申請用戶的標識信息(如姓名,身份證號等)與他的公鑰捆綁在一起,用於在網路上驗證確定其用戶身份.前面所提到的數字時間戳服務和數字證書的發放,也都是由這個認證中心來完成的.
3.3 支付網關技術
支付網關,通常位於公網和傳統的銀行網路之間(或者終端和收費系統之間),其主要功能為:將公網傳來的數據包解密,並按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部傳回來的響應消息,將數據轉換為公網傳送的數據格式,並對其進行加密.支付網關技術主要完成通信,協議轉換和數據加解密功能,並且可以保護銀行內部網路.此外,支付網關還具有密鑰保護和證書管理等其它功能(有些內部使用網關還支持存儲和列印數據等擴展功能).
4 與電子商務安全有關的協議技術
4.1 SSL協議(Secure Sockets Layer)
SSL協議也叫安全套接層協議,面向連接的協議,是現在使用的主要協議之一,但當初並非為電子商務而設計.該協議使用公開密鑰體制和X.509數字證書技術來保護信息傳輸的機密性和完整性.SSL協議在應用層收發數據前,協商加密演算法,連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道,在該通道上可透明載入任何高層應用協議(如HTTP,FTP,TELNET等)以保證應用層數據傳輸的安全性.由於其獨立於應用層協議,在電子交易中常被用來安全傳送信用卡號碼,但由於它是個面向連接的協議,只適合於點對點之間的信息傳輸,即只能提供兩方的認證,而無法滿足現今主流的加入了認證方的三方協作式商務模式,因此在保證信息的不可抵賴性上存在著缺陷.
4.2 SET協議(Secure Electronic Transaction)
SET協議也叫安全電子交易,對基於信用卡進行電子化交易的應用提供了實現安全措施的規則,與SSL協議相比較,做了些改進.在商務安全問題中,往往持卡人希望在交易中對自己的交易信息保密,使之不會被人竊取,商家希望客戶的定單真實有效,並且在交易過程中,交易各方都希望驗明對方的身份,以防止被欺騙.針對這種情況,Visa和MasterCard兩大信用卡組織以及微軟等公司共同制定了SET協議,一個能保證通過開放網路(包括Internet)進行安全資金支付的技術標准.它採用公鑰密碼體制和X.509數字證書標准,主要應用於保障網上購物信息的安全性.由於SET 提供了消費者,商家和銀行之間的認證,彌補了SSL的不足,確保了交易數據的安全性,完整性,可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為目前公認的信用卡/借記卡網上交易的國際安全標准.
除此之外還有安全超文本傳輸協議(SHTTP),安全交易技術協議(STT)等.協議為電子商務提供了規范.
5 結語
安全是電子商務的核心和靈魂.電子商務對網路安全與商務安全的雙重要求,使網路安全與商務安全密不可分.沒有計算機網路安全作為基礎,商務交易安全猶如空中樓閣,無從談起;沒有商務安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求.而電子商務相應的實現技術和各種協議正是安全得以實現的保證.