導語：電子商務安全分析論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

【摘要】:隨著互聯網的全面普及,基于互聯網的電子商務也應運而生,并在近年來獲得了巨大的發展,成為一種全新的商務模式。針對目前電子商務中的安全問題，本文闡述了決定電子商務信息安全的要素和目前在電子商務中常用的安全技術以及企業實現電子商務的一些安全策略。介紹了幾種應用于電子商務中的信息安全防范技術。

【關鍵詞】:電子商務信息安全網絡

人類社會進入20世紀70年代以來,以微電子技術為基礎的計算機技術和通信技術取得了長足的進展,并滲透到經濟和社會的各個領域,從而引起了世界范圍內的新技術創新浪潮。信息化建設受到各國政府的高度重視,1991年美國提出"信息高速公路"的設想,1993年正式實施"國家信息基礎結構:行動計劃";1978年法國制定了一項有關"促進社會信息化的計劃",從那以后,法國政府不斷推進信息革命,每年投入50億美元巨款改進通信設備;早在1983年,我國政府就把發展信息技術納入了國家總體科技論文發展戰略規劃中,1999年,我國政府上網工程迅速推進,國家信息化戰略、數字化產品發展戰略、電子商務發展框架也都在加緊研究、制定中。目前全球的計算機社會擁有量迅速增加,互聯網用戶呈幾何級數增長,新的經濟消費觀正在逐步形成。電子商務的社會基礎已經形成。Internet技術的應用普及為電子商務奠定了基礎條件,萬維網及相關技術的推出開創了電子商務應用的新局面,基于Internet的網絡環境建設是開創電子商務市場的前提,安全保障等核心技術的實用化是電子商務成功的保證,商貿活動的信息網絡化加快了電子商務的發展進程,各種解決方案的推出標志著電子商務即將進入實用化階段。

從技術的角度看,電子商務的發展經歷了啟蒙階段、商業化階段、社會化階段,并開始步入智能化時代?；仡櫰髽I信息化和電子商務的發展過程,從最初各部門用數據庫管理本部門的數據,通過辦公自動化(OA)實現企業內部辦公文檔傳遞,到建立統一的ERP系統為管理決策提供信息,通過CRM和SCM將企業和客戶、供應商等整個供應鏈上的各個環節聯系起來,再到以服務形式提供各式應用,通過第三方ASP實現企業應用服務的外包,這實際上就是一個從數據、信息到服務的縱向發展過程?；ヂ摼W應用的發展也是這樣,從最初企業間使用EDI交換數據,Email通訊傳遞簡單的信息,到通過門戶網站、搜索引擎獲取所需信息,與世界各地的人在BBS上交流信息,再到如今的通過社會網絡SNS拓展自己的交際圈,社會化程度越來越高。隨著信息技術和互聯網技術的普及和深入應用,電子商務正在以前所未有的速度發展,以其方便性和靈活性向傳統商務模型提出了挑戰?；ヂ摼W的飛速發展，使得傳統的商業模式產生了深刻的變化，在相當程度上改變著人們的日常生活習慣。基于網絡的電子商務作為一種全新的商業模式，已經得到了快速的發展，但網絡交易的安全問題始終是阻礙電子商務全面發展的巨大障礙。因此采用先進的網絡信息安全防范技術，為電子商務提供完整的安全保障體系，進而推動電子商務高速發展。1．電子商務信息安全要素互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之聯接,并借助互聯網信息,進行各種網上商務活動。同時,也給那些別有用心的組織或個人提供了竊取別人的各種機密如消費者的銀行賬號、密碼,甚至妨礙或毀壞他人網絡系統運行等各種機會。影響電子商務信息安全要素主要有系統的可靠性，交易的真實性，資料的安全性，資料的完整性，交易的不可抵賴性等。概括起來,電子商務面臨的安全威脅主要有以下幾方面。

1．1系統的中斷與癱瘓。網絡故障、操作失誤、應用程序出錯、硬件故障、系統軟件設計不完善以及計算機病毒都有可能導致系統不能正常工作。如在劃撥貨款的過程中突然出現網絡中斷等。1．2信息被竊取。電子商務作為一種全新的貿易形式,其通訊的信息直接代表著個人、企業或國家的利益。攻擊者可能通過因特網、公共電話網、搭線或在電磁波輻射范圍內安裝截收裝置等方式,截獲傳輸的機密信息,或通過對信息流量和流向、通信頻度和長度等參數分析,推斷出有用的信息、如消費者的銀行賬號、密碼等。1．3信息被篡改。攻擊者可能從三個方面破壞信息的完整性。1）篡改。改變信息流的次序,更改信息的內容。2)刪除。刪除某個消息或消息中的某些部分。3)插入。在信息中插入一些其它干擾信息,讓收方讀不懂或接收錯誤的信息。腦知識與技術1．4信息被偽造。1)虛開網站和商店,給用戶發電子郵件,接受訂單。2）偽造大量用戶,發電子郵件,窮盡商家資源、使合法用戶不能正常訪問網絡資源。3)冒充他人身份,進行消費和栽贓等。1．5對交易行為進行抵賴或不承認。1)發信者事后否認曾經發送過某條消息或內容。2)收信者事后否認曾經收到過某條消息或內容。3)購買者不承認確認了的訂單。4)商家賣出的商品因價格差而不承認原有的交易。2．電子商務中的信息安全防范技術

2．1數據加密技術加密技術是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成為無意義的密文，阻止非法用戶理解原始數據，從而確保數據的保密性。按加密密鑰與解密密鑰的對稱性可分為對稱型加密、不對稱型加密、不可逆加密。在網絡安全技術中，加密技術是保障信息安全最關鍵和最基本的技術手段和理論基礎，但是由于大部分數據加密算法都源于美國，且受到美國出口管制法的限制，無法在互聯網上大規模使用，從而限制了以加密技術為基礎網絡安全解決方案的應用。2．2密鑰管理技術密鑰管理包括確保所產生的密鑰具有必要的屬性，把密鑰提前通知給需要它的特定系統，確保密鑰按要求得到保護以阻止暴露和／或替代。其中，對稱密鑰管理是基于共同保守秘密來實現的，采用對稱加密技術的雙方必須保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時還要設定防止密鑰泄漏和更改密鑰的程序。使用公開密鑰的交易雙方可以使用證書(公開密鑰證書)來交換公開密鑰。國際電聯指定的X509對37福建電腦2008年第11期數字證書進行了定義，數字證書能夠起到標識交易雙方的作用，是目前電子商務廣泛使用的技術之一。2．3身份認證技術網上安全交易的基礎是數字證書。要建立安全的電子商務系統,必須首先建立一個穩固、健全的數字證書和認證中心(CA)。數字簽名是利用數字技術實現在網絡傳送文件時，附加個人標記，完成傳統意義上手書簽名或印章的作用，以表示確認、負責、經手等。使用數字簽名可以保證交易中的認證性和不可否認性。數字簽名可以防范：接收方偽造、發送者或接收者否認、第三方冒充、接收方篡改。常見的數字簽名技術有：RSA數字簽名、DSA數字簽名、橢圓曲線數入侵檢測技術通常通過基于應用的監控技術、基于主機的監控技術、基于目標的監控技術和基于網絡的監控技術四種檢測技術來抵御攻擊。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。認證機制是保護電子商務安全的第一條防線。任何一個在架構設計上、代碼開發中以及認證的實現時所出現的小的漏洞或不足，都有可能使電子商務處在被攻擊的風險中。因此，加強對認證攻擊的充分認識和了解，并在系統開發時選擇合適的防御措施，就可以從根本上對某些攻擊進行有效的屏蔽，減少后期頻繁維護所付出的代價，達到事半功倍的效果。2．4網絡安全掃描技術安全掃描技術是對網絡的各個環節提供可靠的分析結果，并為系統管理員提供可靠性和安全性分析報告等。包括端口掃描技術和漏洞掃描技術等。2．5病毒防范技術計算機病毒實際上就是一種在計算機系統運行過程中能夠實現傳染和侵害計算機系統的功能程序。病毒經過系統穿透或違反授權攻擊成功后，攻擊者通常要在系統中植入木馬或邏輯炸彈等程序，為以后攻擊系統、網絡提供方便條件。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監測，工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。2．6電子認證技術為了保證電子商務安全因素的順利實現，在電子商務中使用了基于公鑰體系的安全系統?；诠€體系的加密系統是按對生成的，每對密鑰由公鑰和私鑰組成，實際應用中，公鑰是以證書性質存放的，一個最基本而又是最關鍵的問題是公鑰的分發，也就是證書的分發，如果證書不能得到有效安全的分發，所有的上層應用軟件就不能得到安全的保障，解決問題的方法就是建立認證機構體系CA。2．7防火墻技術防火墻(Firewall)是近年來發展最重要的安全技術，它是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的一種手段，核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。它所保護的對象是網絡中有明確閉合邊界的一個網塊，而它所防范的對象是來自被保護網塊外部的安全威脅。目前的防火墻分為兩大類，一類是簡單的包過濾技術，它是在網絡層對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯，檢查數據流中每個數據包后，根據數據包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和服務器，其顯著的優點是較容易提供細顆粒度的存取控制，其可針對特別的網絡應用服務協議及數據過濾協議，并且能夠對數據包分析并形成相關的報告。通過應用防火墻技術，可以做到通過過濾不安全的服務，極大地提高網絡安全和減少網絡中主機的風險。但防火墻是一種基于網絡邊界的被動安全技術，對內部未授權訪問難以有效控制，因此較適合于內部網絡相對獨立，且與外部網絡的互連途徑有限、網絡服務種類相對集中的網絡。2．8入侵檢測技術入侵檢測技術是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息來有效地發現來自外部或內部的非法入侵的技術。它以探測與控制為技術本質，起著主動防御的作用，是網絡安全中極其重要的部分。

3．企業實現電子商務的安全策略安全問題是企業應用電子商務最擔心的問題,如何保障電子商務活動的安全,一直是電子商務的核心研究領域。作為一個安全的電子商務系統,必須采用相應的網絡安全策略。安全策略包括網絡安全問題的總原則、對安全使用的要求以及如何保障網絡的安全運行。3.1制定安全策略時首先確定的最重要的原則拒絕訪問明確準許以外的所有服務。當前一些電子商務企業的安全策略存在兩個誤區:首先,企業所采取的操作系統的標準安全策略存在問題,這一標準安全策略只能提供一道脆弱的防線,很容易被攻破;其次,為滿足多種安全需求,許多企業以零碎的方式實施節點式解決方案,這雖然對電子商務的某些領域提供了有限的保護,但同時使系統管理更為復雜。阻止外來系統入侵只是電子商務安全的一個方面。成功的電子商務安全策略,必須涵蓋身份識別與認證、隱私與欺騙控制、管理與審計等傳統領域。3.2安全策略制定時還應注意的問題3.2.1將需保護的對象分類,確定需保護的資源及其保護級別;規定可以訪問資源的實體和可執行的動作;規定審計功能,記錄用戶活動及資源使用情況。3.2.2系統的安全應從物理上、技術上、管理制度上以及安全教育上全方位采取措施,相互彌補和完善,盡可能地排除安全漏洞。3.2.3根據企業的實際需要確定內部網的服務類型,規定內部用戶和外部用戶能夠使用的服務種類,建立網管站,并制定出切實可行的安全管理制度。此外還需完善電子商務企業內部安全管理體制,增強相關人員的安全意識。

4．結束語電子商務尚是一個機遇和挑戰共存的新領域,這種挑戰不僅來源于傳統的習慣,來源于計劃經濟體制和市場經濟體制的沖突,更來源于對可使用的安全技術的信賴。企業在應用電子商務時,應采取一系列的安全技術和安全策略。這種種安全措施的采用,一定能保證企業進行安全的電子商務活動。

參考文獻：

1.韓磊石松:淺談電子商務中信息安全問題[J].臨沂師范學院學報，2001；(8)：136-139

2.黃發文:計算機網絡安全技術初探[J].計算機應用研究，2002(5):46-48

3.林柏鋼.網絡與信息安全教程[M].機械工業出版社,2005.

4.曹淑艷.電子商務應用基礎[M].北京:清華大學出版社,2002.

5.肖德琴%電子商務安全保密技術與應用［2］廣州：華南理工大學出版社，2003.9

6.GreensteinM,FeinmanTM.ElectronicCommerce:Security,RiskManagementandControl[M].NewYork:McGraw-HillCompanies,Inc.,2000