电子商务信息安全论文-

电子商务信息安全论文 摘要：本文对电子商务的信息安全问题进行探 讨，分析了信息安全的基本原理并对信息安全技术 深入研究。 关键词：电子商务信息安全安全技术 伴随经济的迅猛发展，电子商务成为当今世界 商务活动的新模式。要在国际竞争中赢得优势，必 须保证电子商务中信息交流的安全。 一、电子商务的信息安全问题 电子商务信息安全问题主要有： 1.信息的截获和窃取：如果采用加密措施不够， 攻击者通过互联网、公共电话网在电磁波辐射范围 内安装截获装置或在数据包通过网关和路由器上截 获数据，获取机密信息或通过对信息流量、流向、 通信频度和长度分析，推测出有用信息。2.信息的 篡改：当攻击者熟悉网络信息格式后，通过技术手 段对网络传输信息中途修改并发往目的地，破坏信 息完整性。3.信息假冒：当攻击者掌握网络信息数 据规律或解密商务信息后，假冒合法用户或发送假 冒信息欺骗其他用户。4.交易抵赖：交易抵赖包括 多方面，如发信者事后否认曾发送信息、收信者事 后否认曾收到消息、购买者做了定货单不承认等。 二、信息安全要求 电子商务的安全是对交易中涉及的各种信息的 可靠性、完整性和可用性保护。信息安全包括以下 几方面: 1.信息保密性：维护商业机密是电子商务推广 应用的重要保障。由于建立在开放网络环境中，要 预防非法信息存取和信息传输中被窃现象发生。2. 信息完整性：贸易各方信息的完整性是电子商务应 用的基础，影响到交易和经营策略。要保证网络上 传输的信息不被篡改，预防对信息随意生成、修改 和删除，防止数据传送中信息的失和重复并保证信 息传送次序的统一。3.信息有效性：保证信息有效 性是开展电子商务前提，关系到企业或国家的经济 利益。对网络故障、应用程序错误、硬件故障及计 算机病毒的潜在威胁控制和预防，以保证贸易数据 在确定时刻和地点有效。4.信息可靠性：确定要交 易的贸易方是期望的贸易方是保证电子商务顺利进 行的关键。为防止计算机失效、程序错误、系统软 件错误等威胁，通过控制与预防确保系统安全可靠。 三、信息安全技术 1.防火墙技术。防火墙在网络间建立安全屏障， 根据指定策略对数据过滤、分析和审计，并对各种 攻击提供防范。安全策略有两条：一是“凡是未被 准许就是禁止” 。防火墙先封闭所有信息流，再审 查要求通过信息，符合条件就通过；二是“凡是未 被禁止就是允许” 。防火墙先转发所有信息，然后 逐项剔除有害内容。 防火墙技术主要有：包过滤技术：在网络层根 据系统设定的安全策略决定是否让数据包通过，核 心是安全策略即过滤算法设计。代理服务技术：提 供应用层服务控制，起到外部网络向内部网络申请 服务时中间转接作用。代理服务还用于实施较强数 据流监控、过滤、记录等功能。状态监控技术：在 网络层完成所有必要的包过滤与网络服务代理防火 墙功能。复合型技术：把过滤和代理服务两种方法 结合形成新防火墙，所用主机称为堡垒主机，提供 代理服务。审计技术：通过对网络上发生的访问进 程记录和产生日志，对日志统计分析，对资源使用 情况分析，对异常现象跟踪监视。路由器加密技术： 加密路由器对通过路由器的信息流加密和压缩，再 通过外部网络传输到目的端解压缩和解密。 2.加 密技术。为保证数据和交易安全，确认交易双方的 真实身份，电子商务采用加密技术。数据加密是最 可靠的安全保障形式和主动安全防范的策略。目前 广泛应用的加密技术有：公共密钥和私用密钥:也 称 RSA 编码法。信息交换的过程是贸易方甲生成一 对密钥并将其中一把作为公开密钥公开；得到公开 密钥的贸易方乙对信息加密后再发给贸易方甲：贸 易方甲用另一把专用密钥对加密信息解密。具有数 字凭证身份人员的公共密钥在网上查到或请对方发 信息将公共密钥传给对方，保证传输信息的保密和 安全。数字摘要:也称安全 Hash 编码法。将需加密 的明文“摘要”成一串密文亦称数字指纹，有固定 长度且不同明文摘要成密文结果不同，而同样明文 摘要必定一致。这串摘要成为验证明文是否真身的 “指纹” 。数字签名:将数字摘要、公用密钥算法两 种加密方法结合。在书面文件上签名是确认文件的 手段。签名作用有两点：一是因为自己签名难以否 认，从而确认文件已签署；二是因为签名不易仿冒， 从而确定文件为真。数字时间戳:电子交易中文件 签署日期和签名是防止交易文件被伪造和篡改的关 键性内容，数字时间戳服务能提供电子文件发表时 间的安全保护。 3.认证技术。安全认证的作用是进行信息认证。 信息认证是确认信息发送者的身份，验证信息完整 性，确认信息在传送或存储过程中未被篡改。数字 证书:也叫数字凭证、数字标识，用电子手段证实 用户身份及对网络资源的访问权限，可控制被查看 的数据库，提高总体保密性。交易支付过程中，参 与各方必须利用认证中心签发的数字证书证明身份。 安全认证机构:电子商务授权机构也称电子商务认 证中心。无论是数字时间戳服务还是数字证书发放， 都需要有权威性和公正性的第三方完成。cA 是承 担网上安全交易认证服务、签发数字证书并确认用 户身份的企业性服务机构，受理数字证书的申请、 签发及对数字证书管理。 4.防病毒技术。预防病毒技术，通过自身常驻 系统内存，优先获取系统控制权，监视系统中是否 有病毒，阻止计算机病毒进入计算机系统和对系统 破坏。检测病毒技术，通过对计算机病毒特征进行 判断的侦测技术，如自身校验、关键字、文件长度 变化。消除病毒技术，通过对计算机病毒分析，开 发出具有杀除病毒程序并恢复原文件的软件。另外 要认真执行病毒定期清理制度，可以清除处于潜伏 期的病毒，防止病毒突然爆发，使计算机始终处于 良好工作状态。 四、结语 信息安全是电子商务的核心。要不断改进电子 商务中的信息安全技术，提高电子商务系统的安全 性和可靠性。但电子商务的安全运行，仅从技术角 度防范远远不够，还必须完善电子商务立法，以规 范存在的各类问题，引导和促进我国电子商务快速 健康发展。 参考文献: 1谭卫:电子商务中安全技术的研究.哈尔滨 工业大学,XX 2SimsonGarfinkelwithceneSpaford.李国熙 陈永旺译.电子商务与网络安全m.北京.清华大学 出版社,XX 3唐晓东:电子商务中的信息安全.北京.北方 交通大学出版社,XX 摘要：本文对电子商务的信息安全问题进行探 讨，分析了信息安全的基本原理并对信息安全技术 深入研究。 关键词：电子商务信息安全安全技术 伴随经济的迅猛发展，电子商务成为当今世界 商务活动的新模式。要在国际竞争中赢得优势，必 须保证电子商务中信息交流的安全。 一、电子商务的信息安全问题 电子商务信息安全问题主要有： 1.信息的截获和窃取：如果采用加密措施不够， 攻击者通过互联网、公共电话网在电磁波辐射范围 内安装截获装置或在数据包通过网关和路由器上截 获数据，获取机密信息或通过对信息流量、流向、 通信频度和长度分析，推测出有用信息。2.信息的 篡改：当攻击者熟悉网络信息格式后，通过技术手 段对网络传输信息中途修改并发往目的地，破坏信 息完整性。3.信息假冒：当攻击者掌握网络信息数 据规律或解密商务信息后，假冒合法用户或发送假 冒信息欺骗其他用户。4.交易抵赖：交易抵赖包括 多方面，如发信者事后否认曾发送信息、收信者事 后否认曾收到消息、购买者做了定货单不承认等。 二、信息安全要求 电子商务的安全是对交易中涉及的各种信息的 可靠性、完整性和可用性保护。信息安全包括以下 几方面: 1.信息保密性：维护商业机密是电子商务推广 应用的重要保障。由于建立在开放网络环境中，要 预防非法信息存取和信息传输中被窃现象发生。2. 信息完整性：贸易各方信息的完整性是电子商务应 用的基础，影响到交易和经营策略。要保证网络上 传输的信息不被篡改，预防对信息随意生成、修改 和删除，防止数据传送中信息的失和重复并保证信 息传送次序的统一。3.信息有效性：保证信息有效 性是开展电子商务前提，关系到企业或国家的经济 利益。对网络故障、应用程序错误、硬件故障及计 算机病毒的潜在威胁控制和预防，以保证贸易数据 在确定时刻和地点有效。4.信息可靠性：确定要交 易的贸易方是期望的贸易方是保证电子商务顺利进 行的关键。为防止计算机失效、程序错误、系统软 件错误等威胁，通过控制与预防确保系统安全可靠。 三、信息安全技术 1.防火墙技术。防火墙在网络间建立安全屏障， 根据指定策略对数据过滤、分析和审计，并对各种 攻击提供防范。安全策略有两条：一是“凡是未被 准许就是禁止” 。防火墙先封闭所有信息流，再审 查要求通过信息，符合条件就通过；二是“凡是未 被禁止就是允许” 。防火墙先转发所有信息，然后 逐项剔除有害内容。 防火墙技术主要有：包过滤技术：在网络层根 据系统设定的安全策略决定是否让数据包通过，核 心是安全策略即过滤算法设计。代理服务技术：提 供应用层服务控制，起到外部网络向内部网络申请 服务时中间转接作用。代理服务还用于实施较强数 据流监控、过滤、记录等功能。状态监控技术：在 网络层完成所有必要的包过滤与网络服务代理防火 墙功能。复合型技术：把过滤和代理服务两种方法 结合形成新防火墙，所用主机称为堡垒主机，提供 代理服务。审计技术：通过对网络上发生的访问进 程记录和产生日志，对日志统计分析，对资源使用 情况分析，对异常现象跟踪监视。路由器加密技术： 加密路由器对通过路由器的信息流加密和压缩，再 通过外部网络传输到目的端解压缩和解密。 2.加 密技术。为保证数据和交易安全，确认交易双方的 真实身份，电子商务采用加密技术。数据加密是最 可靠的安全保障形式和主动安全防范的策略。目前 广泛应用的加密技术有：公共密钥和私用密钥:也 称 RSA 编码法。信息交换的过程是贸易方甲生成一 对密钥并将其中一把作为公开密钥公开；得到公开 密钥的贸易方乙对信息加密后再发给贸易方甲：贸 易方甲用另一把专用密钥对加密信息解密。具有数 字凭证身份人员的公共密钥在网上查到或请对方发 信息将公共密钥传给对方，保证传输信息的保密和 安全。数字摘要:也称安全 Hash 编码法。将需加密 的明文“摘要”成一串密文亦称数字指纹，有固定 长度且不同明文摘要成密文结果不同，而同样明文 摘要必定一致。这串摘要成为验证明文是否真身的 “指纹” 。数字签名:将数字摘要、公用密钥算法两 种加密方法结合。在书面文件上签名是确认文件的 手段。签名作用有两点：一是因为自己签名难以否 认，从而确认文件已签署；二是因为签名不易仿冒， 从而确定文件为真。数字时间戳:电子交易中文件 签署日期和签名是防止交易文件被伪造和篡改的关 键性内容，数字时间戳服务能提供电子文件发表时 间的安全保护。 3.认证技术。安全认证的作用是进行信息认证。 信息认证是确认信息发送者的身份，验证信息完整 性，确认信息在传送或存储过程中未被篡改。数字 证书:也叫数字凭证、数字标识，用电子手段证实 用户身份及对网络资源的访问权限，可控制被查看 的数据库，提高总体保密性。交易支付过程中，参 与各方必须利用认证中心签发的数字证书证明身份。 安全认证机构:电子商务授权机构也称电子商务认 证中心。无论是数字时间戳服务还是数字证书发放， 都需要有权威性和公正性的第三方完成。cA 是承 担网上安全交易认证服务、签发数字证书并确认用 户身份的企业性服务机构，受理数字证书的申请、 签发及对数字证书管理。 4.防病毒技术。预防病毒技术，通过自身常驻 系统内存，优先获取系统控制权，监视系统中是否 有病毒，阻止计算机病毒进入计算机系统和对系统 破坏。检测病毒技术，通过对计算机病毒特征进行 判断的侦测技术，如自身校验、关键字、文件长度 变化。消除病毒技术，通过对计算机病毒分析，开 发出具有杀除病毒程序并恢复原文件的软件。另外 要认真执行病毒定期清理制度，可以清除处于潜伏 期的病毒，防止病毒突然爆发，使计算机始终处于 良好工作状态。 四、结语 信息安全是电子商务的核心。要不断改进电子 商务中的信息安全技术，提高电子商务系统的安全 性和可靠性。但电子商务的安全运行，仅从技术角 度防范远远不够，还必须完善电子商务立法，以规 范存在的各类问题，引导和促进我国电子商务快速 健康发展。 参考文献: 1谭卫:电子商务中安全技术的研究.哈尔滨 工业大学,XX 2SimsonGarfinkelwithceneSpaford.李国熙 陈永旺译.电子商务与网络安全m.北京.清华大学 出版社,XX 3唐晓东:电子商务中的信息安全.北京.北方 交通大学出版社,XX 摘要：本文对电子商务的信息安全问题进行探 讨，分析了信息安全的基本原理并对信息安全技术 深入研究。 关键词：电子商务信息安全安全技术 伴随经济的迅猛发展，电子商务成为当今世界 商务活动的新模式。要在国际竞争中赢得优势，必 须保证电子商务中信息交流的安全。 一、电子商务的信息安全问题 电子商务信息安全问题主要有： 1.信息的截获和窃取：如果采用加密措施不够， 攻击者通过互联网、公共电话网在电磁波辐射范围 内安装截获装置或在数据包通过网关和路由器上截 获数据，获取机密信息或通过对信息流量、流向、 通信频度和长度分析，推测出有用信息。2.信息的 篡改：当攻击者熟悉网络信息格式后，通过技术手 段对网络传输信息中途修改并发往目的地，破坏信 息完整性。3.信息假冒：当攻击者掌握网络信息数 据规律或解密商务信息后，假冒合法用户或发送假 冒信息欺骗其他用户。4.交易抵赖：交易抵赖包括 多方面，如发信者事后否认曾发送信息、收信者事 后否认曾收到消息、购买者做了定货单不承认等。 二、信息安全要求 电子商务的安全是对交易中涉及的各种信息的 可靠性、完整性和可用性保护。信息安全包括以下 几方面: 1.信息保密性：维护商业机密是电子商务推广 应用的重要保障。由于建立在开放网络环境中，要 预防非法信息存取和信息传输中被窃现象发生。2. 信息完整性：贸易各方信息的完整性是电子商务应 用的基础，影响到交易和经营策略。要保证网络上 传输的信息不被篡改，预防对信息随意生成、修改 和删除，防止数据传送中信息的失和重复并保证信 息传送次序的统一。3.信息有效性：保证信息有效 性是开展电子商务前提，关系到企业或国家的经济 利益。对网络故障、应用程序错误、硬件故障及计 算机病毒的潜在威胁控制和预防，以保证贸易数据 在确定时刻和地点有效。4.信息可靠性：确定要交 易的贸易方是期望的贸易方是保证电子商务顺利进 行的关键。为防止计算机失效、程序错误、系统软 件错误等威胁，通过控制与预防确保系统安全可靠。 三、信息安全技术 1.防火墙技术。防火墙在网络间建立安全屏障， 根据指定策略对数据过滤、分析和审计，并对各种 攻击提供防范。安全策略有两条：一是“凡是未被 准许就是禁止” 。防火墙先封闭所有信息流，再审 查要求通过信息，符合条件就通过；二是“凡是未 被禁止就是允许” 。防火墙先转发所有信息，然后 逐项剔除有害内容。 防火墙技术主要有：包过滤技术：在网络层根 据系统设定的安全策略决定是否让数据包通过，核 心是安全策略即过滤算法设计。代理服务技术：提 供应用层服务控制，起到外部网络向内部网络申请 服务时中间转接作用。代理服务还用于实施较强数 据流监控、过滤、记录等功能。状态监控技术：在 网络层完成所有必要的包过滤与网络服务代理防火 墙功能。复合型技术：把过滤和代理服务两种方法 结合形成新防火墙，所用主机称为堡垒主机，提供 代理服务。审计技术：通过对网络上发生的访问进 程记录和产生日志，对日志统计分析，对资源使用 情况分析，对异常现象跟踪监视。路由器加密技术： 加密路由器对通过路由器的信息流加密和压缩，再 通过外部网络传输到目的端解压缩和解密。 2.加 密技术。为保证数据和交易安全，确认交易双方的 真实身份，电子商务采用加密技术。数据加密是最 可靠的安全保障形式和主动安全防范的策略。目前 广泛应用的加密技术有：公共密钥和私用密钥:也 称 RSA 编码法。信息交换的过程是贸易方甲生成一 对密钥并将其中一把作为公开密钥公开；得到公开 密钥的贸易方乙对信息加密后再发给贸易方甲：贸 易方甲用另一把专用密钥对加密信息解密。具有数 字凭证身份人员的公共密钥在网上查到或请对方发 信息将公共密钥传给对方，保证传输信息的保密和 安全。数字摘要:也称安全 Hash 编码法。将需加密 的明文“摘要”成一串密文亦称数字指纹，有固定 长度且不同明文摘要成密文结果不同，而同样明文 摘要必定一致。这串摘要成为验证明文是否真身的 “指纹” 。数字签名:将数字摘要、公用密钥算法两 种加密方法结合。在书面文件上签名是确认文件的 手段。签名作用有两点：一是因为自己签名难以否 认，从而确认文件已签署；二是因为签名不易仿冒， 从而确定文件为真。数字时间戳:电子交易中文件 签署日期和签名是防止交易文件被伪造和篡改的关 键性内容，数字时间戳服务能提供电子