电子商务安全评估在信息安全体系建设中占有重要的地位,是了解系统安全现状、提出安全解决方案、加强信息安全监督管理的有效手段。以下小编为大家带来了关于电子商务的安全与评估的论文哦!
摘要:电子商务安全是动态的过程,并非一劳永逸,随着系统安全状态的动态变化,应定期对系统进行安全评估,不断开发新的安全产品,健全安全法律法规,电子政务安全是立体而非平面的,需要有整体的、多层次的安全策略,既要考虑实体安全、网络安全,又要注意信息安全和管理安全。
关键词:电子商务;安全;评估;标准
一、电子商务安全评估概述
1.电子商务安全评估的定义。电子商务安全评估是运用系统的方法,对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。
2.电子商务安全评估的重要性。由于信息技术本身有其固有的敏感性和特殊性,这就使得对企业电子商务产品是否安全,电子商务安全产品及其网络系统是否可靠,企业电子商务系统是否健壮,电子商务管理是否严格,信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息,评估必须可靠、可信、可操作,并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系,具有令人信服的科学性和公正性。
3.电子商务安全评估的主要内容。具体来讲,电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度(如防止工作人员调入、调离对安全的影响)等。远程通信安全包括加密、数据签名等。审计机制包括系统审计跟踪的功能和成效等。
二、电子商务安全
1.电子商务安全需求。在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃qie听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:(1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。(2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。(3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。(4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。
2.电子商务安全隐患。电子商务不但面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来,电子商务中的安全性隐患主要有其应用层、传输层、存储层和系统层等四个方面:(1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层所的安全性漏洞将直接会造成电子商务中的安全性隐患。(2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:1)意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情况造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2)有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。(3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。(4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。
3.电子商务安全要求。(1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。(2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。(3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。(4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。(5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。(6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。
4.电子商务安全技术。通过使用各种密码技术,可以满足不同的安全需求。(1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。(2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。(3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。(4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。
第二篇:电子商务安全
电子商务安全是小编为大家带来的论文范文,欢迎阅读。
【摘 要】电子商务是在网络信息技术下,以电子及电子化手段进行的以商务为核心,实现跨区域的销售与购物等,完成在线商品交易与金融资本交易。使得企业与企业之间的贸易变成全球化与网络化。
由于其较低的成本,较快的速度,较高的透明性,受到越来越多的追捧。但是由于信息网络的开放性与其自身的漏洞,电子商务的安全性受到越来越多的重视,只有保证了电子商务的安全,才能让电子商务的发展更加迅速与健康。
【关键词】安全问题;安全要求;安全技术
1。要分析和保证电子商务的安全性,首先应该了解目前电子商务安全问题有哪些
1。1交易信息遭到窃取
在电子商务的过程中,用户的身份信息或者交易信息会被黑客或者有意者通过木马、病毒及计算机系统、网络系统本身的漏洞所窃取。攻击者通过对数据的探听、非法截获等手段,可以对截获信息的数据分析,窃取用户的账号、密码等信息内容。
1。2交易信息遭到篡改
攻击者通过窃取了交易信息之后,通过技术手段,可以对交易信息进行篡改。例如篡改交易时间、交易地点、交易金额等,破坏交易信息的完整性与真实性,容易误导交易人,造成经济损失。
1。3交易信息遭到冒充
攻击者在得到交易者的信息之后,通过交易者的信息规律,冒充交易者与对方进行交易,从而获得非法利益,进而破坏了电子交易的安全性。
1。4交易信息遭到抵赖
某些交易者,面对交易信息,选择故意逃避,不承认订单,或者接到订单后却因为种种借口不承认产品交易;发送信息者不承认发送过信息,或者接收信息者不承认接收过信息,以种种方式进行交易抵赖。以期达到逃避责任的目的。
1。5交易信息受到病毒感染
由于计算机网络的开放性,恶意制作和使用计算机病毒的攻击者越来越多,并且难以防范,这成为对电子商务交易最大的威胁之一。
1。6非故意的电子商务信息泄露
由于电子商务需要使用计算机及计算机网络,而日常工作中,计算机维修、计算机操作者操作不当,都可能会导致电子商务信息的泄露。
2。那么,面对种种电子商务的安全问题,现代电子商务的安全要求有哪些呢
2。1有效的服务性要求
电子商务开展的前提是是能够预防或能应对网络服务失败的问题,通过监测来减少网络故障的发生,通过监督来减少错误的操作,通过维护来降低软、硬件问题,通过防火墙、杀毒软件等手段来阻止网络病毒的侵入,以诸如此类的方式来保证电子商务交易快速、有效和准确。
2。2有力的保密性要求
电子商务是在互联网的大背景下展开的,而互联网是一个开放的资源库与数据库,具备网络知识与上网设备的人,几乎都可以使用互联网,这就造成了,有更多的恶意攻击者也可以在毫不费力的情况下,侵入互联网,这就给电子商务交易,埋下了潜在的威胁。
因此,电子商务的顺利进行,必须要有有力的措施,来保证电子交易的机密性,交易信息不会遭到攻击者的截取和盗用。
2。3高度的完整性要求
电子商务的交易,不再是面对面的交易,而是通过网络等手段进行的跨区域交易。这就要求,在信息的传输过程中,信息必须是高度完整的,如果在信息的传输过程中遭到破坏、删除或者是篡改,会导致交易者的利益受损。
2。4可靠的身份性要求
由于电子商务是建立在互相信任的基础上,交易双方可能未曾见面,就完成了交易。这就要求,交易双方,不论是个人还是企业、组织甚至是国家之间,都必须提供可靠的、有效的身份信息。这样,不仅能使得交易双方更加信任,也能够在以后发生法律纠纷时,提供有力的依据。
2。5严密的审查性要求
因为电子商务交易要具有有力的保密性与高度的完整性,所以,应对电子商务交易完成后的审查数据进行完整的记录与妥善的保存。
3。为了应对电子商务安全问题,满足电子商务安全要求,电子商务安全技术也在不断发展
目前,主要的电子商务安全技术如下:
3。1数字认证技术
认证技术是电子商务防止攻击的有效武器。在互联网的开放环境中,信息安全的有效保证就是通过数字认证技术。数字认证技术又可以分为:数字签名、数字摘要及数字证书等三种。数字签名是确保实现认证、保证文档真实的有效措施。
就好像出示手写签名一般。数字签名就是在信息之后附件一些数据,将数字摘要进行私钥加密,然后一起发送给接收方。在接收方通过公钥解密摘要后,与原始数字摘要进行对比,若二者相同,则确认该数字签名是发送方发送的。数字签名能够保证报文与网络数据的完整、真实与不可抵赖。
数字摘要是固定长度的再要码,是文件中的部分重要的要素经过单向函数运算得到的。摘要长度与信息相对应,即相同信息的摘要相同,不同信息摘要不同。数字证书它是由证书授权机构颁发的,通过其来辨别用户身份及权限,如同身份证一样,是交易双方身份确认的唯一最有效、最安全的方式。
3。2防火墙技术
防火墙是在网络边界上建立起来的,防止黑客入侵的屏障。防火墙隔离了内部网络与外部网络。“目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。”
3。3入侵检测及加密技术
虽然网络的开放性可以让攻击者有侵入的机会,但是,同样,可以通过入侵检测的技术对侵入的数据进行识别和跟踪,并向用户报警。同时,通过加密技术,将数据进行加密,变成需要密钥才能还原成明文。加密技术又分为对称与非对称加密两种。入侵检测与加密技术,属于主动的防范的技术。
3。4电子商务安全协议技术。
SSL安全协议
Secure Sockets Layer安全协议,即“安全套接层协议”,用于提高应用程序间数据的安全性。在通信之前,通信的双方需要约定一种协议,从而在双方的计算机之间形成一个通道,这个通道只被通信的双方所拥有,可以避免被第三方窃取信息。
SET安全协议
Secure Electronic Transaction协议,即“安全电子交易”,是一种新的电子支付模式,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。
SET协议以其强大的验证功能,保证“用户、商家、银行之间通过信用卡交易产生的数据”能够“最大限度地降低了电子商务交易可能遭受的欺诈风险。”由于其优越的性能,目前猪价成为世界“公认的信用卡交易国际标准。”
4。其他非技术手段
4。1加强电子商务交易法律管理
应该重视法律的力量,不断完善电子商务交易的法律法规,规范电子商务的交易过程。通过法律来约束进行电子交易双方。同时给企图利用电子商务漏洞的不法分子敲响警钟。
4。2加强电子商务交易本身的管理
电子商务交易要有有效的管理制度,加强对用户、对信息、对设备、对软件、对密钥等的管理。
总之,电子商务交易的发展离不开安全的电子商务交易环节。而创作安全的电子商务环境要从技术与非技术两个方面入手,既要重视加密、检测、认证等技术手段的发展,又要重视电子商务交易法律法规的完善、电子商务交易自身管理的规范性。
进而不断促进电子商务交易的有效性、机密性及不可抵赖性。只有用户能放心的使用电子商务交易,才能彰显电子商务交易平台的优越性。
【参考文献】
[1]刘俊杰,闫宏生。电子商务安全技术浅析[J]。科技信息。2011(26)。
[2]杭 俊。电子商务安全问题浅析[J]。现代营销(学苑版)。2011(11)。
[3]甘悦。浅议电子商务信息安全体系的构建[J]。西北成人教育学报。2007(2)。
[4]李建设。电子商务中的安全技术研究[J]。株洲工学院学报。2005(01)。