⑴ 求一篇关于电子商务安全的论文
这里我看到很抄多关于电子商务安全方面的论文,你可以自己查看下
http://www.paper521.com/news.asp?anclassid=131
⑵ 求毕业论文一篇!题目:电子商务的风险及其安全管理
电子商务安全风险管理研究
林黎明1 李新春2
( 中国矿业大学 管理学院,江苏 徐州 221008 )
摘要 该文基于目前电子商务安全所面临的各种风险问题,结合当前的一些风险管理方法,对电子商务系统安全风险管理进行一些基本的分析和研究,以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。
关键词 电子商务安全,风险管理,风险识别,风险控制
1 引言
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:
1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
2)信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。
3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。
4)系统资源失窃问题
在网络系统环境中,系统资源失窃是常见的安全威胁。
5)信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。
6)交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。
一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。
(1)评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
(2)开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管
理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
(3)运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。
以上风险管理规则的三个阶段可以用下图来表示:
图1 风险管理规则的三个阶段
4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。
(1)风险识别
电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。
(2)风险分析
风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。
风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。
目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。
(3)风险控制
风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
一般来说,风险控制方法有两类:
第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。
第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。
此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。
对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。
5 风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。
下图为一个有效的纵深防御策略:
图2 有效的纵深防御策略
下面就各层的主要防御内容从外层到里层进行简要的说明:
1)物理安全
物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。
2)周边防御
对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。
3)网络防御
网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。
4)主机防御
主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。
5)应用程序防御
作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。
6)数据防御
对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义
6 结论
一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。
风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。
参考文献
[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.2003.9
[2]钟诚.电子商务安全.重庆大学出版社.2004.6
[3]才书训.电子商务安全风险管理与控制.东北大学出版社.2004.6
[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5
[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.2005.8
[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7
[7]李晶.电子商务安全防范措施.安徽科技.2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998
-------------------------------------------------------------------
⑶ 求电子商务安全分析的论文
随着互联网的全面普及,基于互联网的电子商务也应运而生,并在近年来获得了巨大的发展,成为一种全新的商务模式,被许多经济专家认为是新的经济增长点。
作为一种全新的商务模式,它有很大的发展前途,同时,这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。本文将对电子商务安全问题作一个基本的探讨。
1 电子商务模式
现代电子商务技术已经集中于网络商店的建立和运作。网络商店和真实商店在部门结构和功能上没有区别,不同点在于其实现这些功能和结构的方法以及商务运作的方式。
网络商店从前台看是一种特殊的WEB服务器。现代WEB网站的多媒体支持和良好的交互性功能成为建立这种虚拟商店的基础,使得顾客可以像在真实的超级市场一样推着购物车挑选商品,并最后在付款台结账。这也就构成网上商店软件的三大支柱:商品目录、顾客购物车和付款台。好的商品目录可以使顾客通过最简单的方式找到其需要的商品,并可以通过文字说明、图像显示、客户评论等充分了解产品各种信息;商品购物车则衔接商店和个人,客户既可以把他喜欢的商品一个个放到购物车里,也可以从购物车中取出,直到最后付款;付款台是网络交易的最终环节,也是最关键的环节。顾客运用某种电子货币和商店进行交易必须对顾客和商店都是安全可靠的。
在美国,网上商店收取信用卡必须具备三个条件:
1) 需要在美国的某个商业银行中建立一个商业账户。这个账户使你可以进行接收信用卡支付和处理信用卡业务,最终获得资金。
2) 必须为直接商品购买者提供一个符合SSL规范的加密站点用于他们安全地提交自己的信用卡资料,在保证他们提交的信息准确可靠的同时,还必须保证这些资料不被第三方窃取。美中通联通过和美国最大的CA中心Verisign合作建立这种用户可以高度信任的加密站点为客户服务。
3) 购买者提供的信用卡资料将直接被送到专门提供信用卡服务的专业公司(支付网关)进行处理,他们将进行信用卡的验证,转账,最终将资金转入商业账户。美中通联的合作伙伴Cybercash也是美国最为著名的网络支付提供商。不但可以提供VISA,万事达信用卡服务业务,同时也提供American Express, Discover等信用卡的支付以及Digital Cash, Digital Coins, Smart Card等电子货币的结算方式。
而在网络商店的背后,企业首先要具备商品的存储仓库和管理机构;其次要将网络上销售的产品通过邮政或其他渠道投递到顾客手里;第三,企业同样要负责产品的售后服务,这种服务可能是通过网络的,也可能不是。
网络交易通常是一种先交钱后拿货的购物方式。对客户而言,其方便处在于购得的商品会直接投递到自己家里,而难以放心的是在商品到达手中之前并不能确认到自己手中的究竟是什么。因此网络商店的信誉和服务质量实际上是电子商务成功与否的关键。
网络商店必备条件:
商店名称:它就像是注册商标,在网络上称为域名,整个网络世界它是唯一的。一个与您公司名称相关的网络名称可以使顾客更容易记住您的商店。
商店地点:也就是开设您的商店的网络服务器地址,高速的网络连接,就像是把商店开设闹市黄金地段,可以使顾客快速容易地抵达,这对客户的影响是十分关键的。
商店装修:网站的设计对用户来讲自然非常重要,动人的网页就像一流装修的商场,不但吸引顾客,而且增加顾客的信心。
货物摆放:在网上商店中,其反映在如何建立商品的目录结构,提供何种网站导航和搜索功能,以使得用户可以快速、便利地寻找到他需要的商品和相关信息。
购物车:方便灵巧的购物车可以使顾客感觉到受到良好的服务,增加顾客的信心。它是连接商品和付款台的关键环节。
货币结算:支付系统是网络交易的重要环节。在美国和欧洲,信用卡已经成为最普遍的电子交易方式。通过提供必要的个人信用卡资料,商店就可以通过银行计算机网络与顾客进行结算。这也是建立网络商店的必要条件。而且货币结算的安全可靠,不但关系到顾客的切身利益,同时直接关系到您商业经营的安全可靠。
商品盘点更新:对网络商店的日常维护,例如去除销售完的商品,摆上新货等等,是必须经常进行的业务。
库存商品管理:后勤保证是任何商务运作的基础。无论网络商店还是真实商店,货物和货币都是一样真实的,对库存货物的存储和管理也是一样真实的。
商品最终送达用户:网上购物实际上是邮购。最后一个步骤自然是通过邮政或其他系统将货物快速可靠地送达最终用户手中。
售后服务:不言而喻,这同样是现代商品销售的重要环节。而网络技术可以为用户提供24小时不间断的服务,这也是网络商店的优势之一。通常网络商店还要提供30天的退/换货承诺。
因此一个企业在进入电子商务领域时必须考虑如下的问题:
如何申请一个自己的域名?如何设立一个电子商务服务器?服务器如何和Internet连接?如何设计这个网上商店,实现各种功能?谁来设计?谁来维护这个网站?如何实现在线交易?如何安全可靠地进行网络电子货币结算?网上商店和商品库存之间如何协调?如何快速便利地将商品投递到用户手中?售后服务如何进行?
2 电子商务发展的关键环节
2.1 良好的网络环境
电子商务是在电信网络上发展起来的。因此,先进的计算机网络基础设施和宽松的电信政策就成为发展电子商务的前提。目前,电信服务价格过高,带宽有限,服务不及时或不可靠等因素已经成为发展电子商务的制约因素。加快电信基础设施建设,打破电信市场的垄断,引进竞争机制,保证电信业务公平竞争,促进网络互联,确保为用户提供廉价,高速,可靠的通信服务是良好网络环境的建设目标,也是世界各国面临的共同课题。
我国电信业务长期受到计划经济的影响,独家垄断的局面尚未打破。近年来因特网迅猛发展,电信政策不适应形势的矛盾日益突出。主要表现在:
网络供应商(ISP)租用线路的价格过高,使他们无利可图。一批前期进入这一领域的ISP由于亏损,已经退出。
ISP与电信网络互联,遇到了来自电信部门的阻力,互联费用过高,以各种借口的刁难。
由于电信部门垄断了接入业务,用户接入费用过高,一般都难以承受。也无法选择有良好服务的接入服务商。
为了促进电信市场的开放和协调世界各国的电信政策,世界贸易组织在1997年成功地缔结了基础通信协定。该协定将保证全球电信市场的竞争,加强国家之间的合作。
2.2 公共电子商品导购平台
公共电子商品导购平台,是保证网上电子商务活动顺利完成的物理保证。它主要涉及网络平台建设和企业信息库建设两方面的问题。人们发送到网络上的交易信息,必须准确、迅速地在供应商、流通商、管理部门、银行、交通运输等部门之间传送,这需要各国家、各部门统一信息存储、通讯、处理的标准和协议,具有一个协调一致的导购平台。同时,各企业的商品信息库建设是平台的基础,企业没有与平台标准一致的商品信息库,电子商务就失去了生存的基础。我国的企业信息化程度不高,目前只有少数企业主要是信息技术企业建立了企业商品信息库,这就减缓了我国公共电子商品导购平台的建设。
2.3 企业级电子商务体系
企业级电子商务是电子商务体系的基础。在科技高速发展、经济形势快速变化的今天,人们不再是先生产而后去寻找市场,而是先获取市场信息再组织生产。随着知识经济时代的来临,信息已成为主导全球经济的基础。企业内部信息网络:Intranet,是一种新的企业内部信息管理和交换的基础设施,在网络、事务处理以及数据库上继承了以往的MIS(管理信息系统)成果,而在软件上则引入因特网的通信标准和WWW内容的标准。Intranet的兴起,将封闭的、单项系统的MIS改造为一个开放、易用、高效及内容和形式丰富多彩的企业信息网络,实现企业的全面信息化。企业信息网络应包含生产、产品开发、销售和市场、决策支持、客户服务和支持及办公事务管理等方面。对于大型企业,同时要注意建设企业内部科技信息数据库,如对技术革新、新产品开发、科技档案、科技图书、科技论文、科技成果、能源消耗、原辅材料等各种数据库的建设。当然还要选择一些专业网络和地方网络入网。
2.4 安全认证体系
开展电子商务最突出的问题是要解决网上购物、交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任问题,即建立安全认证体系(CA)问题;选择安全标准(如SET、SSL、PKI等)问题;采用加、解密方法和加密强度问题。其中建立安全认证体系是关键。
网上交易与传统的面对面或书面的交易方式不同,它是通过网络传输商务信息和进行贸易活动的。网上交易的安全问题意味着:
有效性:保证网上交易合同的有效性,防止系统故障、计算机病毒、黑客攻击。
保密性:对交易的内容、交易双方账号、密码不被他人识别和盗取。
完整性:防止单方面对交易信息的生成和修改。
所以,电子商务的安全体系应包括:安全可靠的通信网络,保证数据传输的可靠完整,防止病毒、黑客入侵;电子签名和其他身份认证系统;完备的数据加密系统等等。
2.5 安全支付结算体系
银行业务的电子化,使得电子货币正在逐步取代传统纸币,发挥越来越重要的作用。1996年英国小城斯温登宣布用电子货币取代纸币,信用卡成为一种新的货币形式。随着网上交易的增多,网络银行、数字货币等全新的概念也应运而生。1994年比尔盖茨曾经嘲笑传统的银行是跟不上时代的恐龙。实际上,因特网确实对传统的金融业务提出了挑战。全球大约1000家银行中的500家已经加入互联网,1996年有190万人使用在线银行服务,预计到2000年将有1300万人使用在线银行。无论是完全依赖于网络的银行,还是传统银行利用网络开展银行业务,安全问题都是十分重要的。我国的电子商务的普及,首先要解决网络的安全问题。在金融专网和因特网之间设置支付网关,作为支付结算的安全屏障
2.6 协同作业体系
在电子商务中,所谓协同作业,包括工商、税务、银行、运输、商检、海关、外汇、保险、电信、认证等部门,以及商城、商户、企业、客户等单位按一定规范与程序相互配合,相互衔接,协同工作,共同完成有关电子商务活动。所谓协同作业体系包括:
①有关协同作业部门(不含广大客户)通过专线或IP隧道与电子商城互连;②共同协商制定统一高效的作业规范与程序;③共同制定降低电子商务运行成本的资费政策;④推行实施协同工作(CSCW)。
2.7 法律政策环境
建立一套法律政策体系,保证电子交易双方能按照共同的规则进行交易,对起动、发展电子商务是完全必要的,十分急需的。电子商务是世界性的经济活动,其法律框架也不应局限在一国范围内,而应适用于国际间的贸易往来,联合国国际贸易法委员会(UNCRTRAL)已经完成了一个法律范本,以支持电子商务在国际贸易中的应用。其内容应包括:
电子合同的有效性;
有效的电子文件的规范;
电子签名的合法性和其他身份辨认程序;
知识产权的保护;
商标权和域名的保护;
企业和个人隐私的保护
目前在我国,统一合同法(技术合同、经济合同、对外经济合同统一)即将由全国人大通过后出台,在统一合同法中已承认电子合同与书面合同一样具有合法性,意即可证明买卖成立,但不能解决合同纠纷问题,要解决此问题有两条出路:(1)到法院起诉(无法律依据);(2)通过仲裁解决(要制定协议)。
建立电子商务活动的技术标准也是至关重要的。在电子商务试点阶段,实行税费优惠政策也有利于电子商务的推广。
3 电子商务面临的安全问题
由于电子商务是以计算机网络为基础的,因此它不可避免面临着一系列的安全问题。
(1)信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
(2)窜改
在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。
(3)身份识别
如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。
(4)电脑病毒问题
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助干网络传播得更快,动辄造成数百亿美元的经济损失。
(5) 黑客问题
随着各种应用工具的传播,黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的黑手党男孩就没有受过什么专门训练,只是向网友下载了几个攻击软件并学会了如何使用,就在互联网上大干了一场。
4 电子商务安全因素与安全技术
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。
4.1电子商务的安全要素
(1)有效性
EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
(2)机密性
EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
(3)完整性
EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
(4)可靠性/不可抵赖性/鉴别
EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
(5)即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或消除它会带来灾难性的后果。例如,你在上午10点向在线的股票交易公司发一个电子邮件委托购买1000股IBM公司的股票,假如这个邮件被延迟了,股票经济商在下午2点半才收到这封邮件,这时股票已经涨了15%,这个消息的延迟就使你损失了交易额的 15%。
(6)身份认证
指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。认证是证实一个声称的身份或者角色,如用户、机器、节点等是否真实的过程。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。
(7)审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控的,以便对其所使用的操作内容进行审计和跟踪。当贸易一方发现交易行对自己不利时否认电子商务行为。例如,某股民以每股12元购买了1000股后,行情发生了变化,每股价格降到了10元,于是该股民否认以前的购买行为。因此,要求系统要有审查能力,使交易的任何一方都不能抵赖已经发生的交易行为。
4.2 电子商务采用的主要安全技术及其标准规范
考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以实施。但是,在两个贸易伙伴间进行的EC,安全服务通常是以端到端形式实施的(即不考虑通信网络及其节点上所实施的安全措施)。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。
4.2.1 防火墙技术
(1)防火墙定义
防火墙是在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。实现防火墙技术的主要途径有:数据包过滤、应用网关和代理服务。
(2)包过滤技术
包过滤技术是在网络层中对数据包实施有选择的通过,依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的 TCP/ UDP端口与 TCP链路状态等因素来确定是否允许数据包通过。包过滤的核心是安全策略,即过滤算法的设计。包过滤技术速度快、实现方便,但审计功能差。过滤规则的设计存在矛盾关系,过滤规则简单时安全性差,过滤规则复杂则管理困难。
(3)应用网关技术
应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议,即数据过滤协议,能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输入输出的通讯环境给予严格的控制,以防有价值的程序和数据被窃取。
(4)代理服务技术
代理服务作用在应用层,用来提供应用层服务的控制。这种代理服务准许网络管理员允诺或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过的,一旦判断条件满足,防火墙内部网络的结构和运行状态便暴露在外来用户面前,从而引入了代理服务的概念。这一技术使防火墙内外计算机系统应用层的链接由两个终止干代理服务的链接未实现。这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还具有实施较强的数据流监控、过滤、记录和报告等功能。代理的CACHE功能可以加速访问,但对干每一种应用服务都必须为其设计一个代理软件模块未进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,实现也困难。
(5)防火墙技术的发展
结合上述几种防火墙技术的优点,可以产生通用、高效和安全的防火墙。目前,除了基于以上三种技术的防火墙以外,又出现了许多新技术。如:动态包过滤技术,网络地址翻译技术,加密路由器技术等。防火墙技术将不断向着高度安全性、高度透明化的方向发展。
4.2.2 加密技术
加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。
(1) 对称加密/对称密钥加密/专用密钥加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有n个贸易关系,那么他就要维护n个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。
数据加密标准(DES)由美国国家标准局提出,是目前广泛采用的对称加密方式之一,主要应用于银行业中的电子资金转账(EFT)领域。DES的密钥长度为56位。三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使其有效密钥长度达到112位。RC2和RC4方法是RSA数据安全公司的对称加密专利算法。RC2和RC4不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RC2和RC4能够提高或降低安全的程度。一些电子邮件产品(如Lotus Notes和Apple的Open Collaboration Environment)已采用了这些算法。
(2) 非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
RSA算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢。因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。
4.2.3 密钥管理技术
(1) 对称密钥管理
对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。
贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。
(2) 公开密钥管理/数字证书
贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509(即信息技术--开放系统互连--目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC
9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前EC广泛采用的技术之一。微软公司的Internet Explorer 5.0和网景公司的Navigator 6.0都提供了数字证书的功能来作为身份鉴别的手段。
(3)密钥管理相关的标准规范
目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会(JTC1)已起草了关于密钥管理的国际标准规范。该规范主要由3部分组成:第1部分是密钥管理框架;第2部分是采用对称技术的机制;第3部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。
4.2.4认证技术
(1)数字签名
数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是信息技术安全技术带附件的数字签名方案,它由概述和基于身份的机制两部分构成。
普通的密钥系统可能存在以下问题:
假冒:第三方C有可能假冒A给B发消息
⑷ 电子商务安全问题探讨的论文
电子商务安全技术的分析与研究
[摘 要] 本文首先介绍了电子商务安全的现状,分析了存在的主要问题,然后从网络安全技术、数据加密技术、用户认证技术等方面介绍了主要的电子安全技术,并提出了一个合理的电子商务安全体系架构。
[关键词] 电子商务电子支付 安全技术
一、引言
随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机,也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,安全性问题成为首要问题。
二、目前电子商务存在的安全性问题
1.网络协议安全性问题:目前,TCP/IP协议是应用最广泛的网络协议,但由于TCP/IP本身的开放性特点,企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。
2.用户信息安全性问题:目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易,由于用户在登录时使用的可能是公共计算机,如网吧、办公室的计算机等情况,那么如果这些计算机中有恶意木马程序或病毒,这些用户的登录信息如用户名、口令可能会有丢失的危险。
3.电子商务网站的安全性问题:有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取,给企业和用户造成难以估量的损失。
三、电子商务安全性要求
1.服务的有效性要求:电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
2.交易信息的保密性要求:电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
3.数据完整性要求:数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
4.身份认证的要求:电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
四、电子商务安全技术措施
1.数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措施.其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。
(1)对称密钥加密(SecretKeyEncryption)。对称密钥加密也叫秘密/专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。
(2)非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺点是算法复杂,加密速度慢。
(3)复杂加密技术。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密,生成的密文后再用接收方的公钥加密对称密钥生成数字信封,然后将密文和数字信封同时发送给接收方,接收方按相反方向解密后得到明文。
2.数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。
3.认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行,所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发的数字证书来证明自己的身份。
4.使用安全电子交易协议(SET:Secure Electronic Transactions)。是由VISA 和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。
五、结束语
电子商务是国民经济和社会信息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因素。电子商务的安全是一个复杂系统工程,仅从技术角度防范是远远不够的,还必须完善电子商务方面的立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进电子商务又好又快地发展。
参考文献:
[1]覃 征 李顺东:电子商务概论[M].北京:高等教育出版社,2002.06.
[2]余小兵:浅谈电子商务中的安全问题[J].科技咨询导报,2007.02
[3]曾凤生:电子商务安全需求及防护策略[J].数据库及信息管理,2007.06
仅供参考,请自借鉴。
希望对您有帮助。
⑸ 求关于“电子商务的风险及其安全管理”的电子商务专业论文
电子商务的风险及其安全管理
摘要】 指出了网络系统的安全是电子商务运行的一个关键性前提。全面分析了电子商务中可能出现的各类风险 :顾客面临的风险、销售商面临的风险和企业自身面临的风险。最后提出了电子商务的风险管理及其安全防范措施。
感兴趣与我索取全文
⑹ 关于电子商务系统的安全问题研究的毕业论文怎么写
只写论文吗,如果可以结合设计应该更好,作一个网站,然后针对这个网站来研究电子商务系统的安全,可以举例现在用得最多的支付宝系统。
⑺ 关于电子商务论文《电子商务的安全与管理》
电子商务的安全策略
摘要:
关键词:
电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务系统的安全性提出了更高的要求,必须保证外部网络(internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。
就整个系统而言,安全性可以分为四个层次,如图1所示
1.网络节点的安全
2.通讯的安全性
3.应用程序的安全性
4.用户的认证管理
图1:安全性四个层次结构
其中2、3、4层是通过操作系统和web服务器软件实现,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
一、网络节点的安全
1.防火墙
防火墙是在连接internet和intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的intranet系统。
2.防火墙安全策略
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1.数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于:
(1)客户浏览器端与电子商务web服务器端的通讯;
(2)电子商务web服务器与电子商务数据库服务器的通讯;
(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。
2.安全链路
在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4o位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,ssl首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(ca中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(pki)。建立ssl链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(rsa)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
四、用户的认证管理
1.身份认证
电子商务企业用户身份认证可以通过服务器ca证书与ic卡相结合实现的。ca证书用来认证服务器的身份,ic卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用id号和密码口令的身份确认机制。
2.ca证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是ca证书,它由认证授权中心(ca中心)发行。ca中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立ssl安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
五、安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。
对于所有接触系统的人员,按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1oo%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。
⑻ 大学论文:关于电子商务安全问题的思考
本人自己写的电子商务方面的书和一些商业模式专,希望对你有帮助属
http://besoin2.b219.cnyixun.com