① 简述电子商务安全的重要性
电子商务安全的重要性:电子商务安全研究的主要内容涉及到安全电子商内务的体系结构、现代容密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。最主要的还是一下这三大安全问题。
一、保护网络安全:
网络安全是为保护商务各方网络端系统之间通信过程的安全性。
二、保护应用安全:保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
三、保护系统安全:保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。
② 电子商务信息安全存在的问题
一、电子商务信息安全问题
由于Inter本身的开放性,使电子商务系统面临着各种各样的安全威胁。目前,电子商务主要存在的安全隐患有以下几个方面。
1.身份冒充问题
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。
2.网络信息安全问题
主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,进行信息截获、篡改、删除、插入。截获,攻击者可能通过分析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。
3.拒绝服务问题
攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。
4.交易双方抵赖问题
某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如:发布者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷进行公证、仲裁。
5.计算机系统安全问题
计算机系统是进行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。计算机设备本身存在物理损坏,数据丢失,信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时,计算机系统存在工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。
二、电子商务安全机制
1.加密和隐藏机制
加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,不仅实现了信息的保密,也保护了通信本身。
2.认证机制
网络安全的基本机制,网络设备之间应互相认证对方身份,以保证正确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份,以保证正确的用户进行正确的操作并进行正确的审计。
3.审计机制
审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。
4.完整性保护机制
用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性可以被验证却无法模仿时,收到信息的一方可以认定信息的发送者,数字签名就可以提供这种手段。
5.权力控制和存取控制机制
主机系统必备的安全手段,系统根据正确的认证,赋予某用户适当的操作权力,使其不能进行越权的操作。该机制一般采用角色管理办法,针对系统需要定义各种角色,如经理、会计等,然后对他们赋予不同的执行权利。
6.业务填充机制
在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难。同时,也增加了密码通信的破译难度。发送的随机数据应具有良好模拟性能,能够以假乱真。
③ 电子商务安全问题国内外研究现状
一、安全问题是实施电子商务的关键
传统的交易是面对面的,比较容易保证建立交易双方的信任关系和交易过程的安全性。而电子商务活动中的交易行为是通过网络进行的,买卖双方互不见面,因而缺乏传统交易中的信任感和安全感。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄露,从而导致巨大的利益损失。根据中国互联网络信息中心(CNNIC)发布的“中国互联网络发展状况统计报告”,在电子商务方面,52.26%的用户最关心的是交易的安全可靠性。由此可见,电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。
二、电子商务中的安全隐患和安全需求
1、电子商务中的安全隐患有:(1)篡改。电子的交易信息在网络上传输的过程中,可能被他人非法的修改,删除或重放(指只能使用一次的信息被多次使用),从而使信息失去了真实性和完整性。(2)信息破坏。包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。(3)身份识别。如果不进行身份识别.第三方就有可能假冒交易一方的身份,以破坏交易.败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别,交易的一方可不为自己的行为负责任,进行否认,相互欺诈。(4)信息泄密。主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。
2、电子商务的安全性需求:电子商务的安全性需求可以分为两个方面,一方面是对计算机及网络系统安全性的要求,表现为对系统硬件和软件运行安全性和可靠性的要求、系统抵御非法用户入侵的要求等;另一方面是对电子商务信息安全的要求。(1)信息的保密性:指信息在存储、传输及处理过程中不被他人窃取。(2)信息的完整性:包括信息在存储中不被篡改和破坏,以及在传输过程中收到的信息和原发送信息的一致性。(3)信息的不可否认性:指信息的发送方不可否认已经发送的信息.接收方也不可否认已经收到的信息。(4)交易者身份的真实性:指交易双方是确实存在的,不是假冒的。(5)系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性,是否会因为计算机故障或意外原因造成信息错误、失效或丢失。
三、电子商务的安全技术
根据电子商务的这些安全性需求通常采用的安全技术主要有:密钥加密技术、信息摘要技术、数字签名、数字证书及CA认证。
1、密钥加密技术:密码加密技术有对称密钥加密技术和非对称密钥加密技术。
(1)对称密钥加密技术:对称密钥加密技术使用DES(Data En-cryption Standard)算法,要求加密解密双方拥有相同的密钥,密钥的长度一般为64位或56位。这种加密方法可以解决信息的保密问题,但又带来了一些新的问题:一是在首次通信前,双方必须通过网络以外的途径传递统一的密钥:二是当通信对象增多时,需要相应数量的密钥,这就使密钥管理和使用的难度增大;三是对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄露都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。
(2)非对称密钥加密技术:为了克服对称密钥加密技术存在的密钥管理和分发上的问题,1976年Diffie和Hellman以及Merkle分别提出了公开密钥密码体制的思想:要求密钥成对出现,一个为加密密钥,另一个为解密密钥,且不可能从其中一个推导出另一个。根据这种思想自1976年以来已经提出了多种公钥加密算法。公钥加密算法也称为非对称密钥算法,加密和解密的时候使用两把密钥,一把为公钥,另一把为私钥。私钥只有自己知道,严密保管,公钥和加密算法则可以通过网络等渠道发布出去。公钥加密算法主要有:RSA、Fertezza、ElGama等。非对称加密技术采用的是RSA算法,是由Rivest、Shanir和Adle-man三人发明的。算法如下:公钥n=pq(p,q分别为两个互异的大素数,必须要保密,n的长度大于512bit),选一个数e与(p-1)(q-1)互质,私钥d=e-1(mod(p-1)(q-1)),加密:c=me(mod n)(其中m为明文,c为密文),解密:m=cd(mod n)。通信时,发送方用接收者的公钥对明文加密后发送,接收方用自己的私钥进行解密,这样既解决了信息保密问题,又克服了对称加密中密钥管理与分发传递的问题。
2、信息摘要技术:密钥加密技术只能解决信息的保密性问题,对于信息的完整性则可以用信息摘要技术来保证。信息摘要(Messagedigest)又称Hash算法,是Ron Rivest发明的一种单向加密算法,指从原文中通过Hash算法而得到一个有固定长度(128位)的散列值,不同的原文所产生的信息摘要必不相同,相同原文产生的信息摘要必定相同,因此信息摘要类似于人类的“指纹”,可以通过“指纹”去鉴别原文的真伪。信息摘要的使用过程如下:1、对原文使用Hash算法得到信息摘要;2、将信息摘要与原文一起发送;3、接收方对接收到的原文应用Hash算法产生一个摘要;4、用接收方产生的摘要与发送方发来的摘要进行对比,若两者相同则表明原文在传输过程中没有被修改,否则就说明原文被修改过
3、数字签名:数字签名(Digital Signature)是密钥加密和信息摘要相结合的技术,可以保证信息的完整性和不可否认性。数字签名的过程如下:1、发送方用自己的私钥对信息摘要加密;2、发送方将加密后的信息摘要与原文一起发送;3、接收方用发送方的公钥对收到的加密摘要进行解密;4、接收方对收到的原文用Hash算法得到接收方的信息摘要;5、将解密后的摘要与接收方的信息摘要对比,相同说明信息完整且发送方身份是真实的,否则说明信息被修改或不是该发送者发送
由于私钥是自己保管的他人无法仿冒,同时发送方也不能否认用自己的私钥加密发送的信息,所以数字签名解决了信息的完整性和不可否认性问题。数字签名加密和密钥加密技术不同,密钥加密是发送方用接收方的公钥加密,接收方在用自己的私钥解密,是多对一的关系;而数字签名中的加密是发送方用自己的私钥对摘要进行加密,接收方用发送方的公钥对数字签名解密,是一对多的关系,表明公司的任何一个贸易伙伴都可以验证数字签名的真伪性。
4、数字证书与CA认证:非对称加密技术和数字签名技术都用到了公钥,当交易的一方通过公开渠道得到了另一方的公钥后,存在着这样的问题:这个公钥到底是不是真正属于对方的,是否会有其他人假冒对方发布的公钥。那么如何确定网上交易双方真实身份的确认,要用到由认证中心CA颁发的数字证书。
(1)数字证书:数字证书类似于现实生活中的身份证,它是标志网络用户身份信息的一系列数据,用来在网络应用中识别通讯各方的身份。数字证书采用公钥体制.即用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私钥,用它进行解密和数字签名;同时拥有一把公钥并可以对外公开,用于信息加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据进行加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误的到达目的地了。用户可以采用自己的私钥对信息加以处理,由于私钥仅为本人所有,所以能生成别人无法伪造的文件,也就形成了数字签名。同时,由于数字签名与信息的内容相关,因此经过签名的文件如有改动,就会导致数字签名的验证过程失败,这样就可以保证文件的完整性。
(2)数字证书的内容:主要包括以下内容:1、证书拥有者的姓名;2、证书拥有者的公钥;3、公钥的有限期;4、颁发数字证书的单位;5、颁发数字证书单位的数字签名;6、数字证书的序列号等。
(3)认证中心CA(Certificate Authority):认证中心是颁发数字证书的第三方权威机构。在电子交易中,商家、客户、银行的身份都要由认证中心来认证。因此认证中心主要有以下的功能:1、核发证书:核实申请人的各项资料是否真实,根据核实情况决定是否颁发数字证书。2、管理证书:检查证书、废除证书、更新证书。3、搜索证书:查找或下载个人(单位)的数字证书。4、验证证书:可以帮助确定数字证书是否已被持有人废除
电子商务的前途是光明的,但道路依然曲折,安全问题是阻碍电子商务广泛应用的最大问题,改进数字签名在内的安全技术措施、确定CA认证权的归属问题十分关键。
④ 电子商务中信息的安全主要包括哪些内容
电子商务中信息的安全主要包括的内容如下:
系统安全性:指系统的稳定性和抗攻专击能力,以及在受到攻属击或系统出现软、硬件故障后的系统恢复能力;
数据安全性:是指保持数据的一致性、完整性,和使用权限的可控制性等。
⑤ 电子商务安全问题及对策
呵呵
第一点,应该是卖方是否是一个安全的网站吧,买方怎么存在网站的问题,应该是回买方答要识别卖方的网站是否安全,买方是否提交订单而不付款,这个是安全问题吗,应该是信誉问题吧,对于买方而已,是否提交订单不付款,是个人信用问题.如果买方支付了,那卖方是否收到钱而不发货,这个就是商家信用问题了.
信用问题没有对策不对策的,全凭运气
第二点,你美国电影看多了吧,这些问题国内暂时可以不考虑,有这个技术的人不会吃饱了没事干,干这些事,再说有这个技术的人,国内有没有人还是个问题.现实不是美国大片,懂不.
⑥ 电子商务安全问题探讨的论文
电子商务安全技术的分析与研究
[摘 要] 本文首先介绍了电子商务安全的现状,分析了存在的主要问题,然后从网络安全技术、数据加密技术、用户认证技术等方面介绍了主要的电子安全技术,并提出了一个合理的电子商务安全体系架构。
[关键词] 电子商务电子支付 安全技术
一、引言
随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机,也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,安全性问题成为首要问题。
二、目前电子商务存在的安全性问题
1.网络协议安全性问题:目前,TCP/IP协议是应用最广泛的网络协议,但由于TCP/IP本身的开放性特点,企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。
2.用户信息安全性问题:目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易,由于用户在登录时使用的可能是公共计算机,如网吧、办公室的计算机等情况,那么如果这些计算机中有恶意木马程序或病毒,这些用户的登录信息如用户名、口令可能会有丢失的危险。
3.电子商务网站的安全性问题:有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取,给企业和用户造成难以估量的损失。
三、电子商务安全性要求
1.服务的有效性要求:电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
2.交易信息的保密性要求:电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
3.数据完整性要求:数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
4.身份认证的要求:电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
四、电子商务安全技术措施
1.数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措施.其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。
(1)对称密钥加密(SecretKeyEncryption)。对称密钥加密也叫秘密/专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。
(2)非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺点是算法复杂,加密速度慢。
(3)复杂加密技术。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密,生成的密文后再用接收方的公钥加密对称密钥生成数字信封,然后将密文和数字信封同时发送给接收方,接收方按相反方向解密后得到明文。
2.数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。
3.认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行,所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发的数字证书来证明自己的身份。
4.使用安全电子交易协议(SET:Secure Electronic Transactions)。是由VISA 和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。
五、结束语
电子商务是国民经济和社会信息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因素。电子商务的安全是一个复杂系统工程,仅从技术角度防范是远远不够的,还必须完善电子商务方面的立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进电子商务又好又快地发展。
参考文献:
[1]覃 征 李顺东:电子商务概论[M].北京:高等教育出版社,2002.06.
[2]余小兵:浅谈电子商务中的安全问题[J].科技咨询导报,2007.02
[3]曾凤生:电子商务安全需求及防护策略[J].数据库及信息管理,2007.06
仅供参考,请自借鉴。
希望对您有帮助。
⑦ 研究电子商务信息安全问题的目的和意义
1.开展网络安全立法和执法
网络安全立法要吸取和借鉴国外网络信息安全立法的先进经验,结合我国国情对现行法律体系进行修改与补充,使法律体系更加科学和完善。
要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法效率和质量。要对违犯国家法律法规,对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。
2.提高网络信息安全意识
以有效方式和途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉性,学会维护网络安全的基本技能,并在思想上把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。
3.加强网络安全管理
建立信息安全领导机构,有效统一、协调和研究未来趋势,制定宏观政策,实施重大决定。严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,明确责任,规范岗位职责,制定有效防范措施,并且严把用户入网关,合理设置访问权限等。
4.加快网络安全专业人才的培养
加大对有良好基础的科研教育基地的支持和投入,加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动,加强对内部人员的网络安全培训,防止堡垒从内部攻破,使高素质的人才在高水平的教研环境中迅速成长和提高。
⑧ 电子商务与个人信息安全研究完成后对社会有什么好处
⑨ 简述电子商务安全性的要求
从安全和信任关系来看,在传统交易过程中,买卖双方是面对面的版,因此很容易保证交易权过 程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,彼此远 隔千山万水,由于英特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困 难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。
⑩ 论述电子商务安全的重要性 (500字以上)
电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。
电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。