电子商务安全策略
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇电子商务安全策略范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
电子商务安全策略范文第1篇
随着互联网的不断发展,电子商务作为网络和商业结合的产物,正在靠近人们的生活,越来越引起更多人的关注。然而,由于互联网的开放性和匿名性,不可避免的存在许多安全隐患。在电子商务中,安全性是必须考虑的核心问题,要求网络能够提供安全的解决方案。
一、电子商务安全问题
电子商务在这样开放的Internet网络环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类:1.信息的截获和窃取:如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。2.信息的篡改:攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。3.信息假冒:攻击者通过掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息来欺骗其用户。4.交易抵赖:指交易单方或双方否认曾进行的交易行为。
电子商务面临的安全威胁的出现导致了对电子商务安全的需求,主要包括机密性、完整性、认证性和不可抵赖性、有效性五个方面。
二、电子商务安全技术
用于电子商务安全的技术主要包括加密技术、认证技术和电子商务安全协议,防火墙技术等。
1.加密技术
为保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务须采用加密技术,加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文,明文经过某种加密算法作用后,转换成密文,我们将明文换为密文的这一过程称为加密,将密文经解密算法作用后形成明文输出的这一程称为解密。加密算法中使用的参数称为密钥。密钥长度越长,密钥的空间就大,遍历密钥空间所花的时间就越多,破译的可能性就越小。加密技术可以分为两类:对称加密技术和非对称加密技术。对称加密技术以数据加密标准DES (Data Encryption Standard)算法为典型代表。非对称加密技术通常以RSA(Rivest Shamir Adleman)算法为代表。
2.认证技术
常用的安全认证技术有:
(1)数字签名。签名是用来保证文档的真实性、有效性的一种措施,如同出示手写签名一样。实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。
(2)数字证书。数字证书就是认证中心为交易各方颁发的身份凭证,它是一个经CA数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是用来确认安全电子商务交易双方身份的工具,由于它由证书管理中心作了数字签名,因此任何第三方都无法修改证书的内容。任何交易双方只有申请到相应的数字证书,才能参加安全电子商务的网上交易。
(3)数字时间戳。为了防止在电子交易中文件签署的时间信息被修改,数字时间戳提供了相应的安全保护。数字时间戳服务(DTS)是由专门的机构提供的。数字时间戳是一个经加密处理后形成的凭证文档,它包括3个部分:需加时间戳的文件摘要;DTS机构收到文件的日期和时间;DTS机构的数字签名。
3.电子商务安全协议
目前电子商务安全协议主要有SSL协议和SET协议。
(1)SSL协议
SSL安全套接层协议是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输。SSL协议并不是专门针对电子商务开发的,它是一种广泛应用于服务器和客户机之间相互认证并建立加密的通信连接的协议。但是目前,大多数的电子商务网站和开展网上业务的银行均采用这种方式来保证交易的安全性。
(2)SET协议
SET即安全电子交易协议,是美国Visa和MasterCard两大信用卡组织联合其他一些业界厂商制定的一个能保证在开放网络(包括Internet)上进行安全支付的技术标准。SET协议针对开放网络上安全、有效的银行卡交易,为Internet上卡支付交易提供高层的安全和反欺诈保证.SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以确保支付信息的保密性、支付过程的完整性、商家及持卡人身份的合法性以及可操作性。SET得到了IBM、HP、Microsoft、Netscape等很多公司的支持并已作为开放的工业标准。
4.防火墙技术
防火墙是加强Internet和Intranet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。防火墙可以确定哪些内部服务允许外部访问,哪些外部服务可以由内部人员访问,可以用来控制网络内外的信息交流,提供接入控制和审查跟踪。为了发挥防火墙的作用,来自和发往Internet的所有信息必须经由防火墙出入,防火墙禁止Internet中未经授权的用户入侵,由它保护的计算机系统,它只允许授权信息通过,自身则不能被渗透。
5.VPN技术
虚拟专用网络是企业网在因特网等公共网络上的延伸。虚拟专用网技术(VPN)是通过公共网络建立的一个提供数据加密,访问控制及认证服务的临时、安全的连接。由于它可以在两个系统中建立安全的信道,非常适合电子数据交换(EDI)。在虚拟专用网中交易双方相互比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全。虚拟专用网是进行电子商务比较理想的一种形式
三、电子商务安全策略
电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构,由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层五个部分组成,如图3.1所示。
电子商务安全体系结构图
针对电子商务的各层次安全需求,本方案的主要思想是通过在网络层、应用层上采用各种成熟的安全技术来解决相关的安全需求。
1.网络层安全解决方案
(1)要保证电子商务的网络结构不能被攻破。防火墙系统的实现技术主要分为分组过滤(Packet Filter)和服务(Proxy Service)两种。同时,服务器对正常途径的服务和可能的攻击均有日志记录,使得安全更有保障。但防火墙最大的问题是没有一套身份认证和授权管理系统。对于贸易伙伴间或大型企业跨地区的各分支机构间的数据传输过程,要实施安全护,目前最实用的技术是VPN。VPN产品可以基于公共的IP网络环境进行组网,使用户感觉在公网上独占信道,也是隧道的概念。在产品形态上是专有硬件,嵌入式操作系统,专用加密算法。在性能上可以允许上千对通道,网络加密速度达到很高。有的VPN产品将防火墙功能结合在一起形成安全网关。在分布式环境中,按点到点方式安装VPN产品,可以保证数据的加密传输。
(2)要求对攻击能够及时预警。对于电子商务这种关键应用,在网络应有安全检测措施,主要是预防黑客的攻击。这种预防是主动的,在网络运行之前和运当中通过不断的自测、自检来发现问题,然后及时采取补救措施。安全检测的具体功能包括两个方面:一是检测网络的安全漏洞,再者是检测系统配置错误,入侵检测系统(IDS)可分为两类:基于主机和基于网络。基于主机的入侵检测系统用于保关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提对典型应用的监视,如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控络关键路径的信息。针对电子商务实际应用,建议采用基于主机的IDS,将其安装在非军事化区中,主检测针对安全的攻击。
(3)要能防杀病毒。防病毒产品包括网络防病毒产品和主机防病毒产品。主机防病毒产品只能对单一主机进行保护,而网络防病毒产品通过在网络入口实施内容检查过滤,可以防止病毒通过邮件、FTP等方式从Internet进入企业网。
(4)要保证内网和Internet安全连接。企业在防火墙外将建立独立的Web服务器和邮件服务器供企业外部访问用,同时在防火墙与企业内部网(Intarnet)之间,将有一台服务器。该服务器的功能有两个,一是安全功能,即通过服务器,可以屏蔽企业内部网内服务器或CP机;二是缓冲功能,服务器可以保存经常访问的互联网上的信息,当CP机访问互联网时,如果被访问的信息存放在服务器的缓冲区中,那么服务器可以直接从其缓冲区中把信息直接送到CP机上,而不用再次去执行相应的网络操作。这样,就可以省去对互联网的再一次访问,可以节省费用。
2.应用层安全解决方案
(1)建立全局的电子身份认证系统;在电子商务应用方案和安全解决方案中,一定要配备认证中心(CA,ertificationAuthority)设施,为会员客户颁发代表身份的CA证书。
(2)对全局资源的统一管理,在身份认证和资源管理基础之上,实现全局的统一授权管理,就是说对全局用户和资源进行集中的授权管理;
(3)信息传输加密,这里包括两个方面一类是数据的完整性,是指数据本身是不能改写的,你可以看到但是不能去改动它;第二类是数据的保密性,数据不可窃听,通过加密来完成;
(4)实现审计记录和统计分析。先要建立一套事件发生的记录体制,在这个体制之上我们对记录信息进行统计分析,得来我们所需的各方面的信息。一般来管理级别越高,所拥有的数据保密要求也越高,而某些用户涉及的数据可能不需要任何别的加密。因此,电子商务系统应以采用端对端加密方式为主,根据具体情况辅以链路密方式,这样就可以根据需要对网中的数据有选择地采取不同级别的加密保护。
四、结束语
现代电子商务面临计算机网络安全与商务安全的双重要求,电子商务安全的复杂程度比大多数计算机网络更高,一方面电子商务中的安全技术在不断得到完善,另一方面网络攻击的手段也越来越先进。随着电子商务的不断发展,电子商务中的安全问题和安全技术必将得到持续的关注和研究。同时一个完善的电子商务系统在保证技术的前提下,还与国家法律政策、诚信等级制度、物流部门密切相关。因此电子商务安全体系的建立和实施是一个复杂的社会系统工程,因篇幅关系,本文仅从技术上加以研究。
参考文献:
[1]杨鼎新李恒杰缑婷:《电子商务教程》[M].兰州:兰州大学出版社.2006
电子商务安全策略范文第2篇
论文摘 要:随着电子商务时代的到来,电子商务安全问题越来越受到关注。特别是近年来的威胁网络安全事件成出不穷,成为阻碍电子商务发展的一个大问题。对电子商务安全面临的的威胁进行研究分析,提出电子商务安全策略的总体原则及使用的主要技术。
电子商务安全策略是对企业的核心资产进行全面系统的保护,不断的更新企业系统的安全防护,找出企业系统的潜在威胁和漏洞,识别,控制,消除存在安全风险的活动。电子商务安全是相对的,不是绝对的,不能认为存在永远不被攻破的系统,当然无论是何种模式的电子商务网站都要考虑到为了系统安全所要付出的代价和消耗的成本。作为一个安全系统的使用者,必须应该综合考虑各方因素合理使用电子商务安全策略技术,作为系统的研发设计者,也必须在设计的同时考虑到成本与代价的因素。在这个网络攻防此消彼长的时代,更应该根据安全问题的不断出现来检查,评估和调整相应的安全策略,采用适合当前的技术手段,来达到提升整体安全的目的。电子商务所带来的巨大商机背后同样隐藏着日益严重的电子商务安全问题,不仅为企业机构带来了巨大的经济损失,更使社会经济的安全受到威胁。
1 电子商务面临的安全威胁
在电子商务运作的大环境中,时时刻刻面临着安全威胁,这不仅仅设计技术问题,更重要的是管理上的漏洞,而且与人们的行为模式有着密不可分的联系。电子商务面临的安全威胁可以分为以下几类:
1.1 信息内容被截取窃取
这一类的威胁发生主要由于信息传递过程中加密措施或安全级别不够,或者通过对互联网,电话网中信息流量和流向等参数的分析来窃取有用信息。
1.2 中途篡改信息
主要破坏信息的完整性,通过更改、删除、插入等手段对网络传输的信息进行中途篡改,并将篡改后的虚假信息发往接受端。
1.3 身份假冒
建立与销售者服务器名称相似的假冒服务器、冒充销售者、建立虚假订单进行交易。
1.4 交易抵赖
比如商家对卖出的商品因价格原因不承认原有交易,购买者因签订了订单却事后否认。
1.5同行业者恶意竞争
同行业者利用购买者名义进行商品交易,暗中了解买卖流程、库存状况、物流状况。
1.6 电子商务系统安全性被破坏
不法分子利用非法手段进入系统,改变用户信息、销毁订单信息、生成虚假信息等。
2 电子商务安全策略原则
电子商务安全策略是在现有情况,实现投入的成本与效率之间的平衡,减少电子商务安全所面临的威胁。据电子商务网络环境的不同,采用不同的安全技术来制定安全策略。在制定安全策略时应遵循以下总体原则:
2.1 共存原则
是指影响网络安全的问题是与整个网络的运作生命周期同时存在,所以在设计安全体系结构时应考虑与网络安全需求一致。如果不在网站设计开始阶段考虑安全对策,等网站建设好后在修改会耗费更大的人力物力。
2.2 灵活性原则
安全策略要能随着网络性能及安全威胁的变化而变化,要及时的适应系统和修改。
2.3 风险与代价相互平衡的分析原则
任何一个网络,很难达到绝对没有安全威胁。对一个网络要进行实际分析,并且对网络面临的威胁以及可能遇到的风险要进行定量与定性的综合分析,制定规范的措施,并确定本系统的安全范畴,使花费在网络安全的成本与在安全保护下的信息的价值平衡。
2.4 易使用性原则
安全策略的实施由人工完成,如果实施过程过于复杂,对于人的要求过高,对本身的安全性也是一种降低。
2.5 综合性原则
一个好的安全策略在设计时往往采用是多种方法综合应用的结果,以系统工程的观点,方法分析网络安全问题,才可能获得有效可行的措施。
2.6 多层保护原则
任何单一的安全保护措施都不是能独当一面,绝对安全的,应该建立一个多层的互补系统,那么当一层被攻破时,其它保护层仍然可以安全的保护信息。
3 电子商务安全策略主要技术
3.1 防火墙技术
防火墙技术是一种保护本地网络,并对外部网络攻击进行抵制的重要网络安全技术之一,是提供信息安全服务,实现网络信息安全的基础设施。总体可以分为:数据包过滤型防火墙、应用级网关型防火墙、服务型防火墙等几类。防火墙具有5种基本功能:
(1)抵挡外部攻击;
(2)防止信息泄露;
(3)控制管理网络存取和访问;
(4)vpn虚拟专用网功能;
(5)自身抗攻击能力。
防火墙的安全策略有两种情形:
(1)违背允许的访问服务都是被禁止的;
(2)未被禁止的访问服务都是被允许的。
多数防火墙是在两者之间采取折中策略,在安全的情况之下提高访问效率。
3.2 加密技术
加密技术是对传输的信息以某种方法进行伪装并隐藏其内容,而达到不被第三方所获取其真实内容的一种方法。在电子商务过程中,采用加密技术将信息隐藏起来,再将隐藏的信息传输出去,这样即使信息在传输的过程中被窃取,非法截获者也无法了解信息内容,进而保证了信息在交换过程中安全性、真实性、能够有效的为安全策略提供帮助。
3.3 数字签名技术
是指在对文件进行加密的基础上,为了防止有人对传输过程中的文件进行更改破坏以及确定发信人的身份所采取的手段。在电子商务安全中占有特别重要的地位,能够解决贸易过程中的身份认证、内容完整性、不可抵赖等问题。数字签名过程:发送方首先将原文通过hash算法生成摘要,并用发送者的私钥进行加密生成数字签名发送给接受方,接收方用发送者的公钥进行解密,得到发送方的报文摘要,最后接收方将收到的原文用hash算法生成其摘要,与发送方的摘要进行比对。
3.4 数字证书技术
数字证书是网络用户身份信息的一系列数据,由第三方公正机构颁发,以数字证书为依据的信息加密技术可以确保网上传输信息的的保密性、完整性和交易的真实性、不可否认性,为电子商务的安全提供保障。标准的数字证书包含:版本号,签名算法,序列号,颁发者姓名,有效日期,主体公钥信息,颁发者唯一标识符,主体唯一标示符等内容。一个合理的安全策略离不开数字证书的支持。
3.5 安全协议技术
安全协议能够为交易过程中的信息传输提供强而有力的保障。目前通用的为电子商务安全策略提供的协议主要有电子商务支付安全协议、通信安全协议、邮件安全协议三类。用于电子商务的主要安全协议包括:通讯安全的ssl协议(secure socket layer),信用卡安全的set协议(secure electronic transaction),商业贸易安全的超文本传输协议(s-http),internetedi电子数据交换协议以及电子邮件安全协议s/mime和pem等。
4 结论
在电子商务飞速发展的过程中,电子商务安全所占的比重越发重要。研究电子商务安全策略,意在于减少由电子商务安全威胁带给人们电子商务交易上的疑虑,以推动电子商务前进的步伐。解除这种疑虑的方法,依赖着安全策略原则的制定和主要技术的不断开发与完善。
参考文献
[1]田沛. 浅谈电子商务安全发展战略[j]. 知识经济, 2010, (2).
[2]如先姑力•阿布都热西提. 计算机网络安全对策的研究[j]. 科技信息(学术研究), 2008, (10).
[3]陈伟. 电子商务安全策略初探[j].才智, 2009,(11).
电子商务安全策略范文第3篇
关键词:云计算;计算平台;电子商务
基金项目:本文为漯河食品职业学院青年骨干教师立项项目“基于云计算平台上的电子商务安全策略研究与实施”(LSY01009)阶段性成果
中图分类号:F49文献标识码:A
一、云计算的内涵和特点
(一)云计算的内涵。云计算是网格计算、分布式计算、虚拟化、并行计算、效用计算、负载均衡、网络存储等传统计算机技术和网络技术发展融合的产物。云计算的目的是通过网络把多个低成本的计算实体整合成一个具有强大“性价比”的计算机应用系统,并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。云计算的一个核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受“云”的强大计算处理能力。云计算的核心思想就是将大量用网络连接的计算资源统一管理、调度及分配,构成一个计算资源“池”向用户按需服务。以搜索引擎为核心业务的Google公司为例,云计算等同于应用服务化。在Google的应用模型中,应用处在“云”中,即Web中的某个地方。即在完成优化搜索引擎性能的基础上,加载其他众多服务。IBM的云计算概念则更倾向于平台服务化,通过其“IBM蓝云”计算平台,整合了数据中心、监控软件、应用服务器、数据库以及各种虚拟化组件,共同为用户提供中间件服务。而Amazon的云计算概念等同于基础设施服务化。在Amazon的EC2等产品的应用模型中,一个外部实体维护IT基础设施,客户购买这个基础设施上的时间或者资源。(图1)
综合以上的各种理解,尤其是学者闰冀阳的观点,可以认为:云计算就是互联网上高度整合的计算资源平台(“云”),在该平台中,所有的计算资源(基础设施、平台、软件等)均可按照用户的需求提供快速订制,用户可以管理与调度“云”所提供的资源或服务,“云”负责确保可用性、安全性和质量等。
(二)云计算的特点。云计算是一种商业计算模型,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务;云计算也是通过网络按需提供可动态伸缩的廉价计算服务。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。这种特性经常被称为像水电一样使用IT基础设施。云计算是并行计算、分布式计算和网格计算的发展,或者说是这些计算机科学概念的商业实现。云计算是虚拟化、公用计算、基础设施即服务、平台即服务、软件即服务等概念混合演进并跃升的结果,其特点如下:
1、数据存储安全。云计算提供了最可靠、最安全的数据存储中心,用户不用再担心数据丢失、病毒入侵等麻烦。当你的文档保存在类似Google Docs的网络服务上,当你把自己的照片上传到类似Google Picasa Web的网络相册里,你就再也不用担心数据的丢失或损坏。因为在“云”的另一端,有全世界最专业的团队来帮你管理信息,有全世界最先进的数据中心来帮你保存数据。
2、用户使用方便。云计算对用户端的设备要求低,但使用起来方便。你可以在浏览器中直接编辑存储在“云”的另一端的文档,你可以随时与相关联系人分享信息,再也不用担心你的软件是否是最新版本,再也不用为软件或文档染上病毒而发愁。因为在“云”的另一端,有专业的计算机专业人员帮你维护硬件,帮你安装和升级软件,帮你防范病毒和各类网络攻击,帮你做你以前在个人电脑上所做的一切。
3、数据管理方便。云计算可以轻松实现不同设备间的数据与应用共享。以联系人信息的管理为例,当你使用网络服务来管理所有联系人的信息后,你可以在任何地方用任何一台电脑找到某个联系人的电子邮件地址,可以在任何一部手机上直接拨通该联系人的电话号码,也可以把某个联系人的电子名片快速分享给其他相关联系人。当然,这一切都是在严格的安全管理机制下进行的,只有对数据拥有访问权限的人才可以使用或与他人分享这份数据。
4、数据存储力强。云计算为我们使用网络提供了几乎无限多的个人电脑或其他电子设备不可能提供无限量的存储空间和计算能力,但在“云”的另一端,由数千台、数万台甚至更多服务器组成的庞大集群却可以轻易地做到这一点。个人和单个设备的能力是有限的,但云计算的潜力却几乎是无限的。
二、基于云计算平台的电子商务安全策略分析
(一)信息安全问题是基于云计算平台的电子商务安全策略分析的首要问题。由于电子商务交易是在开放、共享的互联网环境下进行的,这就要求:提供电子商务服务的企业平台一定要稳定可靠,能提供安全的信息服务。这首先对企业的硬件基础设施建设提出了一项难题。硬件设施的老化、物理损坏、网络硬件故障等,都可能导致电子商务系统不能正常开展工作。从企业尤其是中小企业的角度来考虑,自身硬件平台的资金投入度,数据的备份冗余度等指标,远不能与大企业同日而语,因此如果转而去选择实力强大的云计算服务,就可扬长避短,把有限的资金投入到核心商务运作中。
(二)软件平台的系列逻辑工作是基于云计算平台的电子商务安全策略分析的应用型问题。因为任何软件平台的正常和非正常的中断,如软件逻辑发生错误、计算机病毒爆发等因素,也会使得电子商务贸易数据发生丢失,造成巨大的经济损失。而云计算的数据存储具有高度冗余化的性能,如果当前出现了对数据的误操作,要想恢复时,则有众多冗余的原始数据供你恢复。软件的业务逻辑也可在高度灵活的云计算平台下被快速重新组织,各种应用也可随之高效恢复。
(三)用户终端的安全是基于云计算平台的电子商务安全策略分析的重要问题。云计算技术对于用户终端的保护也提供了有力的支持。对于传统反病毒厂商而言,云计算技术的引入可以极大地提升其对病毒样本的收集能力,减少威胁的响应时间。其强大的数据运算与同步调度能力,可以极大地提升安全公司对新威胁的响应速度。目前,国内的瑞星、360、金山安全联手微软MSN及时推出的Messenger保护盾等都已打出了“云安全”的旗帜,在恶意代码收集及应急响应方面充分利用了云计算的显著特点。
三、基于云计算平台的电子商务安全策略研究及应用
(一)基于云计算平台解决好电子商务中的四大安全隐患。由于在互联网设计之初,只考虑方便性、开放性,使得互联网络极易受到黑客的攻击或有组织的群体的入侵,使得网络信息系统遭到破坏,信息泄露。因此,电子商务中的安全隐患大致有四种:1、信息的截获和窃取;2、信息的篡改;3、信息的假冒;4、交易抵赖。因此,基于云计算平台的电子商务安全策略设计:首先,PKI技术的使用。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI技术的使用能大大降低电子商务企业敏感信息泄露的风险,使数据在“云”存储和传输过程中不会被非授权者偷看,非法篡改,也不能被否认,从而保证了电子商务活动中信息的机密性、完整性和有效性,为电子商务的安全运行提供了保障;其次,私有云的建立。私有云是云计算服务供应商为企业在其内部建设的专有云计算系统。电子商务企业可以将非关键的业务放在公有云平台之上,而将既是核心业务又是关键业务的部分放在私有云上,这样企业既可以引入更多诸如身份认证、数据隔离等安全技术来保证数据的安全,同时又保留了云计算系统的规模经济效益;再次,云计算公共标准的制定。
(二)基于云计算平台解决好电子商务中的信息及数据的安全存储问题。当自然灾害、硬件设施遭到损坏和故障等情况发生,云计算服务供应商应该采用更加安全、有效的存储技术。一旦主设备遭到损坏或发生故障,马上切换到另外一套镜像设备。同时,电子商务企业也需要定期将重要的数据进行备份。
(三)基于云计算平台解决好电子商务中的云计算服务供应商的科学选择问题。在构建基于云计算模式的电子商务平台之前,电子商务企业应根据企业自身需求来选择规模较大、品牌较好的云计算服务供应商,并详细询问数据存放地,确认在发生云计算服务供应商终止服务或被其他公司收购等情况下,自己的数据会不会受到影响,如何拿回自己的数据,以及拿回的数据是否能导入替代的应用程序等一系列问题。
云计算服务提供商本身的管理能力,也是电子商务企业用户需要考虑的焦点。例如,2009年7月,Google、Apps出现了服务中断,1个月之后,Google的云计算服务再次出现严重问题。云计算模式下,所有的业务处理都将在服务器端完成,服务器一旦出现问题,就将导致所有用户的应用无法运行,数据无法访问。虽然解决云故障的时间并不长,然而足以作为一个对云计算的警示。
(四)基于云计算平台促使电子商务相关法律法规及标准的完善
1、相关法律法规的完善。由于云计算的涉及面很广,需要一个全球法律协议来保障电子商务企业和云计算供应商的利益。该协议的内容应详细地确定服务水平的监控和测量、用户和云计算供应商的职责和责任、灾难的恢复和补偿等一系列问题,这样有利于云计算服务供应商提供更好的服务。
2、云计算公共标准的制定。到目前为止,包括Google、IBM、微软、亚马逊在内的各个云计算供应商都有一套自己的标准,彼此互不兼容。为了云计算的健康发展,就必须要联合各个云计算相关的组织和企业制定出正式的、开放的云计算公共标准。
综上所述,云计算是以公开的标准和服务为基础,以互联网为中心,提供安全、快速、便捷的数据存储和网络计算服务,让互联网这片“云”成为每一个网民的数据中心和计算中心。其应用将积极地改进电子商务的服务方式和功能,极大地提高电子商务企业的核心竞争力,但同时也给电子商务企业带来了新的挑战。基于云计算平台的电子商务安全策略应用必须充分考虑用户、电子商务企业、云计算服务供应商、网络运营商、第三方认证机构等各方利益及其相关性,必须解决好电子商务中的四大安全隐患、信息及数据的安全存储、云计算服务供应商的科学选择等相关问题。同时,需要基于云计算平台促使电子商务相关法律法规及标准的完善,用法律制度、管理制度和诚信制度来推动我国电子商务行业的健康、持续发展。
(作者单位:漯河食品职业学院)
主要参考文献:
[1]韩秀枝,曹源.基于现代信息技术开发工具的高职教务管理信息系统的设计及应用研究[J].广西轻工业,2010.10.
[2]蒋建春,文伟平.“云”计算环境的信息安全问题[J].信息网络安全,2010.2.
[3]涂伟,甘丽新,蒋科蔚,易云辉,陈美芳.基于云计算模式的电子商务安全研究[J].商业时代,2010.36.
[4]华夏渝,郑骏,胡文心.基于云计算环境的蚁群优化计算资源分配算法[J].华东师范大学学报(自然科学版),2010.1.
[5]微软公司.WEB应用开发2.0[M].北京:高等教育出版社,2008.
[6]孙健,贾晓菁.Google云计算平台的技术架构及对其成本的影响研究[J].电信科学,2010.1.
[7]郑良仁,邵开丽,赵文安.浅析高校在云计算时代的机遇与挑战[J].福建电脑,2010.1.
[8]冯国志.基于计算机安全技术下的电子商务信息安全研究[J].计算机光盘软件与应用,2010.5.
[9]李东.管理信息系统的理论与应用[M].北京大学出版社,2001.
[10]黄传河.网络规划设计师教程[M].北京:清华大学出版社,2009.
电子商务安全策略范文第4篇
关键词:电子商务 安全问题 应对措施
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2014)02-0191-01
1 前言
现代电子商务的安全监管工作是一项复杂、系统的工程,应当从多层次、不同角度进行研究及解决。同时,我国的电子商务企业应当加大对电子商务交易中关键技术的研发力度,对新时期国外电子商务的发展进行关注,把握电子商务发展的方向。
2 现代计算机电子商务安全概述
2.1 计算机电子商务的基本内涵
计算机电子商务在于通过先进的互联网等技术来完成商品及服务的交易等经济操作,是传统商务网络化、电子化的产物。现代计算机电子商务具有开放、便捷的特点,故切实保障公众个人信息的安全直接决定了电子商务的进一步发展,其信息的安全具有完整、可靠、保密及可用4个特点。计算机电子商务的健康发展与很多因素有关,其中,现代社会的诚信体系为其发展提供了环境基础,健全的制度规范、计算机技术的发展为其提供了基本的保障和技术支持。
2.2 现代计算机电子商务安全防控技术分析
(1)防火墙技术的运用。在计算机网络中,防火墙通过对网络通信的监控,能够起到网络之间的相互隔离、提高网络的安全性的作用。防火墙包含专用的硬件及相关软件两部分。防火墙对计算机网络的安全防护作用主要体现在:①对网络传输当中检测到的不安全数据进行滤除;②对不安全的访问及服务等操作进行限制;③对网络内部的信息进行保护,防止入侵引发的信息泄露。防火墙技术主要由包过滤型、应用级、动态监测、复合型、个人用户型等几种类型组成。目前,防火墙技术在各设备间组合及协调工作方面仍然存在较多问题[1]。(2)强化安全认证力度。身份认证技术对新时期计算机电子商务安全的保障至关重要。电子商务中身份认证通过数字签名与摘要、数字时间戳及凭证、CA认证及智能卡等方式来完成。以数字签名和智能卡技术为例:①数字签名技术是由数字摘要、密匙加密复合而成的技术,在具体的操作过程中,信息的发送端通过专用密匙完成散列值的加密操作,并形成数字签名,之后将该签名以数据报文附件的形式与报文组合发往接收端;在接收端,通过相关算法将接收到的数据包进行处理,获得信息的摘要,之后借助发送端的密匙完成报文附件部分数字签名的解密操作,最后,通过把接收端与解密后的信息摘要进行比对,来判断信息的完整性和准确性;②智能卡是一种具有数据处理及存储功能的设备。它除了能够完成数据的读取、写入、存储等基本功能外,还能够完成数据信息的加密及解密、完成和验证数字签名的操作。
3 计算机电子商务常见安全问题分析
(1)不规范的管理问题。新时期电子商务的产生及广泛应用对传统的商贸交易模式产生了挑战,导致了我国商业操作模式的变化。凭借其优势,计算机电子商务的应用已经广泛涉及到普通企业单位、个人用户及政府组织等群体,社会的广泛参与也极大地促进了新时期电子商务的进步与发展。然而,与此同时,计算机电子商务的安全隐患并没有引起人们的高度关注。由于体制等方面的原因,我国电子商务存在政府宏观监控缺失、操作及交易的方式不规范等问题[2]。(2)交易风险隐患的存在。和以往的商务交易方式不同,计算机电子商务无法进行面对面操作,是传统商务活动的虚拟化、网络化。因此,其交易的安全、互信及公平性较难得到绝对的保障。在实际的交易中,交易双方以计算机网络为媒介,进行商品的采购、验收、支付等操作,由交易主体的虚拟化导致的信息披露、等过程的可靠、准确得不到保证,因而给各交易方的安全带来了隐患。此外,随着现代电子商务交易规模的不断扩大,交易的信用问题日益引发人们的关注。由于缺乏权威机构的信用认证及当前各电子商务企业间的信用认证的通用性差等问题,限制了电子商务的未来发展[3]。
4 现代计算机电子商务安全问题的应对措施分析
(1)积极推广身份识别技术。在实际的电子商务中用户的身份识别技术,旨在确保交易中信息涉及的用户的身份正确无误,信息有效、完整。该技术主要涉及以下几个方面的内容:①利用数字标志的方法进行验证。该方法一般借助电子技术实现对交易用户身份的真伪及其对相关网络资源进行访问的权限进行辨别,这个过程中对用户身份的验证是通过专门的数字证书(由电子商务的认证中心发放)完成的;②关于电子商务的认证中心。计算机电子商务的认证中心的作用主要是为网络交易的安全进行认证和对相关的数字证书完成管理。
(2)充分发挥政府的监管作用。在新的时期,人们对日益发展的电子商务提出了更高的要求。要提高计算机电子商务的安全性,除了积极开发、应用先进完善的安全防护技术外,还应当加大计算机电子商务的监管力度。对计算机电子商务的安全进行监管的本质是对其运行中的信息及支付等环节的安全问题进行监管。这就要求我国政府及相关部门从宏观的角度准确的把握计算机电子商务的发展方向,通过相关涉及计算机电子商务安全的制度和法规,对电子商务进行积极的引导、约束和监管,使得电子商务更加规范化、标准化。此外,应当通过专门的监督管理机构的设置,对电子商务的发展进行密切跟踪,对电子商务政策、法规的落实做好监管,保证电子商务的安全规范落到实处。(3)电子商务企业自身的科学发展。要做好新时期计算机电子商务的安全防护工作,电子商务企业自身的因素起着关键的作用。鉴于现代科技、网络信息技术的不断发展,首先,电子商务企业不仅应当提高安全防范及监管的水平,还应当高度重视自身的安全规划;其次,企业应当依据自身的发展实际,加大计算机电子商务安全涉及的技术、相关设备等的资金投入力度,将绿色环保的理念应用于采购、物流运输、销售等各个环节;最后,电子商务企业应当通过对员工的信息保密及相关安全知识、操作技能的培训,切实提高企业内部技术和管理人员的安全防范意识及责任感。
5 结语
随着现代计算机电子商务的不断发展,许多安全隐患也逐步显现出来。所以,旨在提升电商用户交易的安全及满意度,电子商务企业应当重视网络信息技术及安全监管,及时、高效、深入的研究和解决问题,推动新时期电子商务的健康发展。
参考文献
[1]于周宏.当代电子商务领域安全问题的解决措施.中国招标,2012(11).
电子商务安全策略范文第5篇
今天的商务活动已经通过电子手段日益突破传统的时空局限,正在和将要引发出很多新的商务模式。超过10亿的互联网用户为电子商务带来勃勃生机,越来越多的人通过互联网进行买卖活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。这里列举几个话题展开研究并给出相应的建议。
一、反病毒软件在电子商务客户端安全性应用
变化是世界今天的特征。网络在变,应用环境也在变,入侵和破坏的手段也在不断出新,任何一个安全产品或技术都不会提供永远和绝对的安全,只有不断更新技术才是电子商务安全技术未来的选择。反病毒软件将预防与查杀整合,为电子商务活动提供了一道安全屏障。
反病毒软件是一种有效预防病毒的武器,随着计算机技术的高速发展,反病毒软件的应用领域也愈加广泛,各类反病毒软件不断推陈出新,来适应新的市场需求。
目前市场上反病毒软件主要功能包括:对用户访问的每一个文件进行病毒检测,实时监控病毒的发作实现在线升级,更新病毒库。流行的产品主要有:瑞星、金山毒霸、诺顿、卡巴斯基、NOD32等。研究反病毒软件的内容归纳起来大致分为六个方面:已被研究的病毒的类别、特征及代表类型;反病毒软件的类别、功能及应用范围,反病毒软件的历史;客户端安全性问题;反病毒软件的发展现状及其在电子商务客户端安全性方面的应用,反病毒软件在电子商务安全性方面的未来发展趋势。这类研究的主要目标是结合当前我国的电子商务安全性问题并考察近年来反病毒软件的在电子商务客户端安全方面的应用案例,对其发展趋势作分析。
研究反病毒软件的应用,首先需要对现有的病毒作系统分类,从而针对各类别的病毒,将反病毒软件进行分类,由于计算机技术的高速发展,这部分涵盖内容多,需要花很多精力查阅资料并整理汇总。此外,电子商务的安全性涵盖许多方面,反病毒在客户端安全性方面的作用仅仅是安全性的一部分,需要深刻挖掘出反病毒软件在这方面的应用可能要结合一些电子商务实例,才能有更详尽的研究结果。针对如今高速发展的电子商务领域,研究反病毒软件在其客户端安全性方面的重要作用,需要结合其发展现状对其未来可能发展的趋势作探究。
二、Cookie技术发展与应用
一般性商务技术趋向于基础网络应用。为未来发展做准备,而其中关键技术往往有更大的开发前景,或能在原有技术上再进行一次飞跃,或是基于此开发出替代技术。成为其他关联技术发展的纽带。因此挖掘这些关键技术更有利于我们对电子商务的理解,避免停留在单纯技术层面。Cookie技术就是其中一项基础性技术。
然而作为一项被广泛应用于网络应用的革命性技术,Cookie技术本身的探讨与研究却缺乏人们的一定关注,由于网络技术的不断创新,人们更倾向于研究Cookie技术与新技术如何个性化的结合,许多学者没有渠道或资料来全面的认识Cookie技术。同时,网络使用者对于Cookies的一知半解构成了诸多对计算机系统、用户自身信息、网络整体安全的威胁,而用户知晓并能够采取的对应措施却寥寥无几。因此,拟定此课题名称既是对专业所学知识的深入理解,从局部纵观全局,也是一次利于Cookie技术发展的系统性的研究。
Cookie技术在1993年诞生,随着网络与计算机的成熟发展,Cookies改变了用户上网的一切。Cookies中隐含的个人信息越来越多,包括用户浏览轨迹、网页操作、购物车,Cookie技术让用户在网络上的生活更为便利,操作更加简单易懂。然而,Cookie技术成熟应用的同时,也威胁到个人隐私的安全性。网络上透露过多的个人信息。甚至银行账号密码,遭到窃取,造成钱财和精神的损害,用户的网络浏览行为遭到了网站的跟踪,被用于网络广告商的情报分析。这些隐私侵犯行为无一例外都是从Cookies发展而来的。
Cookie技术的发展一方面依赖于新技术的诞生,另一方面依赖软件开发商的重视与对Cookies的个性化设置。对该技术的研究内容与目标考虑:首先,从Cookie技术的基本概念及发展过程人手、了解其原理,从一定程度上反映Cookie技术对于互联网发展的意义;其次分析Cookie技术的应用现状,从三个最基础的应用角度阐述,从客户端角度分析用户从中获得的个性化服务,为Cookie技术存在的缺陷做铺垫l阐明Cookie技术两项基本应用身份认证与单点登录、两者实现的基本原理机制与特点,第三,Cookie技术未来的发展方向,从其尚存的缺点出发作分析,结合技术的特点、造成的危害引出用户的预防措施,包含新防范软件和技术的发展。这类研究需要通过系统分析Cookie技术,从Cookies本身的性质出发引申出相关内容,将其作为单独的对象,不与其他技术混淆,从而能更好地关注Cookie技术的本质。
三、VBSeript技术在互联网上应用的安全性
随着互联网的迅猛发展,传统静态的HTML页面已经不能满足人们的需求。使静态HTML页面“动”起来,已成为互联网发展的主要方向之一。针对这种情况,美国Microsoft公司推出了ActiveX技术将桌面系统和互联网紧密结合,让Web页面“动”起来,而VBScript脚本语言正是用来连接HTML页面和ActiveX部件的桥梁。VBScript功能非常强大,应用范围非常广泛,可以一次性完成一系列任务,有点像“宏”或“批处理”文件。通过使用VBScript技术,可以做到在浏览器中直接识别与使用开发者的应用程序,这一突破极大地带动了网页技术的发展。与此同时,该技术也带来很多安全隐患。利用VBScript的安全漏洞恶意进攻的案例不断增加。因此,研究VBScript技术如何在互联网上应用以及安全策略,对其今后高速、健康的发展有着很重要的意义。
作为Visual Basic语言家族的新成员,VBScript是Microsoft公司开发的Visual Basic的子集。近年来伴随着网页动态化技术的快速发展,VBScript开始广泛地运用到了Web和Applicanon Service Provider程序制作中,通过HTML和VBScript可以在HTML页面上使用ActiveX控件,从而使得HTML页面提供一个更多的、交互式的、生动的用户界面特性,使HTML页面变得更加有活力。
VBScfipt版本从最初的version 1.0到version 5.0,其功
能越来越完善,使用也变得越来越方便,该技术正朝着面向对象环境发展与完善。与此同时,安全性作作为所有web技术的一个重要问题。在VBScript技术的应用中,自身的安全模式期待完善,保护计算机系统和用户利益日显重要。
通过VBScript技术的定义与发展背景研究,掌握VBScript技术的优点与缺点,与JavaScript的进行比较,从而寻求VBScript在互联网上应用的安全性研究及安全策略;应用一般控制理论与方法进一步讨论互联网及其安全性;对VBScript未来的发展趋势预测。研究目标设定:VBScript技术在互联网上的应用安全性研究,VBScript未来的发展趋势预测。与JavaScript的比较。针对当下web技术安全性差的通病,研究VBScript在Internet上应用的安全性及安全策略。
四、数字签名在网络传输中的安全控制
数字签名类似于物理签名,采用公钥加密技术予以实现,用来鉴别数字信息的一种计算机通信领域的电子化方法。数字签名以电子数据形式伴随所传送的数据信息,作为其附件或逻辑关联的数据,用于鉴别数据签署人的身份,说明数据签署人对该数据信息的认可。
如今,随着网络的发展,数字签名已成为常用的信息传输安全控制技术和保障人们使用网络的安全手段之一。各国政府都赋予数字签名的合法地位,相关的法律体系已经形成。与此同时,针对数字签名技术而形成的网络攻击也与日俱增,频频出现,其手段千变万化。因而,数字签名技术的研究在网络传输的安全控制领域日益受到重视,使现阶段关注完善数字签名技术系统与是十分必要的和及时的。
公开密钥方法是数字签名中常用的一个安全措施,数字签名的保密性很大程度上依赖于公开密钥。基于安全标准、协议和密码技术的电子证书――数字认证,把一对用于信息加密和签名的电子密钥捆绑在一起,保证了这对密钥的专属性,用来确定个人或服务器的身份。
由于互联网互联互通的开放性,在商务交易过程中容易产生跨国跨区域的法律争议问题与安全隐患问题;网络管理的技术性和安全性成为了数字签名技术应用的最大威胁。采取科学合理的措施,建立完整的网络安全体系架构,完善数字签名构造性安全技术,使数字签名技术发挥更大作用、体现数字环境下的优势;简化与优化数字签名相关技术的认证方式,使其更加易于操作和研究;完善相关法律法规,确定CA认证权的归属。基于数字签名技术,将网络信息传输安全控制体现在我国社会经济领域的应用中,完善我国的数字信息安全认证机制,尽快与国际接轨,这也是我国目前发展数字签名技术的重点议题。
今后该技术的展望,一是研究现有数字签名技术在网络传输安全控制中遇到的问题;二是针对上述问题对数字签名技术的未来发展进行预测研究;三是研究未来是否可通过数字签名进行攻击截获。
参考文献:
[1]李莎,邹勇军:数字签名原理及实现[J],电脑知识与技术,2009,14:56-58
[2]倪显利:数字签名技术探析[J],中国金融电脑,2010,11:45-55
[3]赵国萍:网络数据传输安全中的密码技术[J],信息与电脑(理论版),2010,10:19
[4]宛键:数字签名和证书在网络技术加密中的综合应用[J],科技传播,2010,22:200-201,
[5]陈广明:计算机通信网络安全浅析[J],硅谷,2011,3:194
[6]李思广,黄健:数字签名技术及在网络安全中的应用[J],甘肃科技,2008,22:115-119
[7]唐晓东:电子商务中的信息安全,清华大学出版社,2006
[8]祁民,隆益民,许柏桐:关于我国反病毒技术发展的若干思考,计算机应用研究,2001,18(2)
[9]李翠梅:电子商务中若干安全技术问题探讨,软件导刊,2009,5
