电子商务安全性分析

电子商务安全性分析（精选11篇）

电子商务安全性分析 第1篇

1 电子商务网站

电子商务是基于因特网的发展, 通过使用数字化地电子技术手段而进行商品的交易的一种商业活动。要实现电子商务, 首先就要建立电子商务网站。目前, 电子商务的网站需要有买方和卖方的在线交流、在线下单以及网银支付等商务活动并通过因特网来进行这些活动数据的传输。它可以为客户提供产品介绍、商品交易、商品形象展示等多种页面信息, 这些信息的传播无可避免的要运用到涵盖范围最广的互联网, 但是因为互联网是一个公开度高且存在安全漏洞的网络, 通过其传输的数据和资料很有可能遭到内外部的攻击和篡改, 因此, 如何保障电子商务过程中网站传输数据和信息的安全性和保密性, 如何保证交易数据和信息的可用性和完整性以及交易的不可否认性是电子商务行业需要长期进行的挑战。

2 电子商务网站的安全因素

电子商务网站的安全体系由物理、网络和数据三方面的安全性组成:

第一, 物理安全是指电子商务网站存放服务器的机房必须要符合国家规定。当前大部分电子商务网站存放服务器的机房布局不够规范, 对于网站安全极其重要的密码系统同其他的安全系统之间没有明确的隔离, 防盗、防火的装置也都不很完善, 监控技术落后。

第二, 网站安全是电子商务网络安全的核心, 当前, 随着大型电子商务网站如京东、淘宝等的兴起, 在给企业和社会带来巨大经济利益的同时, 也给企业的IT部门带来了更多的安全隐患, 恶意的脚本攻击、病毒攻击和木马入侵等诸多问题层出不穷。

第三, 数据安全包括数据的存储和数据的传输两个部分。电子商务网站每天都需要处理大量的包括商品和资料和客户的信息等等的数据, 这对于企业来说是至关重要的。企业采用最先进的诸如SQL等数据库来存储数据, 然而黑客和网络犯罪者则会针对这些高安全性的数据存储和传输系统进行攻击, 通过蠕虫和木马等程序攻击网站的安全系统, 导致数据的丢失和破坏。

3 电子商务网站的安全防范策略

3.1 数字签0415财产保险公司成本管理名

在书面的文件上签名是传统商务活动中对文件进行确认的主要手段, 在电子商务网站中采用数字签名的技术, 可以保证信息在传输过程中的完整性和完整性, 同时, 因为签名是对发送者进行身份认证的方式, 发送的信息在发送者发送后都没有进行过修改, 所以利用数字签名可以方便购买者的在线支付, 解决电子商务网站中存在的如身份验证和确定交易者身份等问题。

3.2 防火墙的设置

防火墙是可以对网络进行隔离控制的一种技术, 它可以通过控制内外部网络之间的信息交流和访问尺度, 防止黑客对重要的信息进行更改和损坏。防火可能是专门的硬件也可能是专门的软件, 管理者通过设定防火墙的过滤原则, 对内外部网络或者是电脑和网络之间进行的数据传递进行允许或限制, 只有被授权的数据传递才能顺利地通过防火墙, 保证了内外部网络的安全。

3.3 对恶意软件进行防护

目前, 恶意软件在全球范围以每天增加超过10万种的速度增长, 他们中的三分之二都是木马程序, 一旦木马程序植入到电子商务网站, 该网站的信息和数据就有可能丢失, 因此, 针对类似恶意软件的攻击, 应该要在主机和网络的边界对电子商务网站的安全防范进行加固, 减少恶意软件的攻击次数和程度。

3.4 加密技术的应用

同秘钥进行加密的技术一样, 对数据进行加密的密码体制由对称加密与非对称加密两部分组成。在电子商务过程中, 远程通信和网内通信所传输的信息和数据都应该被严密保护, 根据管理的级别, 其对应的信息和数据也应该进行相信的部分加密或全程加密。

3.5 系统容灾备份技术

在电子商务活动中, 如何保证数据的安全是最为重要的, 因此, 除了上述所说的防范措施外, 在发生如天灾人祸等意外事故时, 网站必须要能容灾和恢复系统。容灾包括数据和应用两方面的容灾, 数据容灾方面, 可以通过使用两个异地的存储器, 通过建立两者间的复制关系, 将备份的重要数据和资料存储在不同的地方;应用容灾方面则是指在异地建立一套备份的应用系统, 该系统应该和本地的系统相同, 两套系统的交互则通过运用网络心跳包来实现, 通过设置, 在当地系统遭到灾难时, 可以由备用系统直接并迅速地接受该系统的应用, 其业务运行也由备用系统全权承担。

4 结语

要构建一个安全的完整的可靠的电子商务网站是非常复杂的, 只有在分析了电子商务网站安全隐患的前提下, 通过分析和归纳一套完整有效的解决措施, 才能最大限度的保障网站的安全和稳定, 为保证电子商务交易过程中的数据和信息安全提供帮助, 为推动电子商务的进一步发展和完善提供指导。

参考文献

[1]廖革元, 邬芝权, 电子商务网站安全分析与防范对策[J].电子商务, 2012 (2) :135, 136.[1]廖革元, 邬芝权, 电子商务网站安全分析与防范对策[J].电子商务, 2012 (2) :135, 136.

[2]章俊, 电子商务网站技术安全性探讨[J].廊坊师范学院学报, 2011 (6) :38, 39[2]章俊, 电子商务网站技术安全性探讨[J].廊坊师范学院学报, 2011 (6) :38, 39

电子商务安全体系的构建与分析 第2篇

摘 要：随着电子商务迅速的发展，在现今电子商务成为一种新兴产业。它的安全问题就显得尤为重要。通过对防火墙技术、VPN技术、安全协议、数字签名技术等的认识，来了解电子商务安全体系，并探讨仍需解决的安全隐患。

关键词：电子商务安全 安全技术 安全问题

1.前言

随着互联网在我国乃至全世界的全面普及，基于互联网的电子商务也应运而生，并在近几年来获得了巨大的发展，成为了一种全新的商务模式，被很多的商家和企业所采用，并被认为是一种新的经济增长点。但是我们都知道要构建一个电子商务体系，所需的首要条件就是安全问题，因此安全体系的构建就显得至关重要了。如何建立一个安全、便捷的电子商务应用环境，采用怎样的安全技术才可能对信息提供足够的保护，是企业和用户都十分关注的话题，也是电子商务的核心问题。

2.电子商务安全体系的建立

2.1 安全支付结算体系

银行业务的电子化，使得电子货币正在逐步取代传统纸币，发挥越来越重要的作用。随着网上交易的增多，网络银行、数字货币等全新的概念也应运而生。因特网确实对传统的金融业务提出了挑战。无论是完全依赖于网络的银行，还是传统银行利用网络开展银行业务，安全问题都是十分重要的。在金融专网和因特网之间设置支付网关，作为支付结算的安全屏障。支付结算体系的高效和安全运行对于维护金融体系的稳定具有非常重要的意义。我国的支付结算体系可细分为五个部分，即支付结算法规体系、支付服务组织体系、支付工具体系、支付清算网络体系和支付结算管理体系，这五个组成部分是密不可分的有机整体。

2.2 安全的网络平台

安全可靠的网络是实现电子商务的基础，常用的是在网络中采用防火墙技术，虚拟专用网（VPN）技术，防病毒保护等。防火墙技术是通过IP过滤和代理服务器软件方法保护企业内部网（Intranet）中数据，只有授权用户才能获准进入企业内部网的系统。虚拟专用网（VPN）技术通过IP隧道等方法来保证企业协作网（Extranet）中企业间的数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。是虚拟出来的企业内部专线。它可以通过特殊的加密的通信协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路。VPN的核心就是在利用公共网络建立虚拟私有网。

2.3 在线支付的安全技术

电子商务的另一个关键问题是要保证在线支付的安全，它是网上购物的重要保证。目前采用的在线支付协议有两种：安全套接层SSL协议（Secure Sockets Layer）和安全电子交易SET协议（Secure Electronic Transaction）。

2.3.1 SSL协议就是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证，数字证书是从认证机构（Certificate Authority）获得的，通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。

2.3.2 SET SET协议（安全电子交易协议SET：Secure Electronic Transaction）：主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。SET提供对买方、商户和收单行的认证，确保交易数据的安全性、完整性和交易的不可否认性，特别是保证了不会将持卡人的信用卡号泄露给商户。

2.4 其他安全技术

对于电子商务的安全性来讲，有了防火墙、安全协议和数字签名还不够，一方面，本身的物理差错是难以避免的；另一方面，Internet主干网和DNS服务器的可靠性，拨号连接质量与速度还不能满足人们的需求；另外，恶意代码对网络系统的威胁，单纯依赖技术是很难解决的，从某种意义上讲，依靠管理加强内部人员的安全防范意识等比安全技术更为重要。

3.电子商务存在的问题

3.1 安全问题

由于电子商务是以计算机网络为基础的，因此它不可避免面临着一系列的安全问题。

3.1.1 信息泄漏

在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。

3.1.2 窜改

在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改，这样就使信息失去了真实性和完整性。

3.1.3 身份识别

如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身份识别后，交易双方就可防止双方不信任的问题。

3.1.4 电脑病毒问题

电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。

3.1.5 黑客问题

随着各种应用工具的传播，黑客已经大众化了，不像过去那样非电脑高手不能成为黑客。

3.2 信用问题

供需双方的网上交易，相互信任是成交的根本保证。对于B2C业务，大多数消费者购买前需要对商品进行认真判断，但由于我国目前商业环境中商业信用程度较低，所以许多消费者对电子商务望而却步。对于B2B业务，企业间三角债情况严重，而网上交易的企业透明度又不高，也使一些企业担心网上交易经营风险过大。这些问题的解决需要通过设置合理的电子商务运行机制和运行标准，确保供需双方建立商业信用。

这种电子商务的信用模式，就目前来说，主要是指电子商务企业（网站）通过制定和实施确定的交易规则，为电子商务交易的当事人建立一个公平、公正的平台，以确保电子商务的交易安全可靠，其基础性设施是资格认证和信用认证。

3.3 支付问题

从整个电子商务的发展来看，将来要在网络上直接进行交易，就需要通过银行的信用卡等各种方式来完成交易，以及在国际贸易中通过与金融网络的连接来支付和收费。而我国各个国有专业银行网络选用的通信平台不统一，不利于各银行间跨行业务的互联、互通和中央银行的金融监管以及宏观调控政策的实施。另外，各行信用卡标准不一样，不能通用，尚不能用信用卡实现网上支付。

3.4 其他问题

3.4.1 法规问题

没有一个成熟的、统一的法律系统进行仲裁，纠纷就不可能解决。我国现行的《票据法》并不承认经过数字签章的非纸质电子票据的支付和结算方式；电子商务实施中涉及参与交易各方之间的关系和纠纷以及交易中的各种安全等问题，原有法律法规条文没有涉及或有涉及但不完全适用。

3.4.2 物流配送问题

网上可以解决信息流、商流、资金流等商品流通的大部分问题，但却无法解决物流问题。所以，在电子商务的发展过程中，物流瓶颈是不容忽视和回避的。我国的物流发展起步晚、水平低，现行的物流体系很大程度制约着电子商务的发展。

4.结束语

电子商务在我们现今的社会里，已经不是一个陌生的名词了，它所带来的不仅仅是机遇还是一种新的尝试和探险，想要走好这条路，我们所要做的也不仅仅是其安全上的问题，毕竟还有很多安全问题、信用问题，乃至法律问题存在着，不仅是企业自身要随时更新自己的技术，还需要社会国家来把这样一个电子商务体系变得更加完善、和谐，赢得更多人的信任和支持。

参考文献：

[1]梁永生．电子商务安全技术[M]．大连理工大学，2010．

电子商务的信息安全技术分析 第3篇

【关键词】电子商务；信息安全；安全技术

一、引言

现代信息技术的飞速发展使得电子商务成一种新的全世界范围内的商贸方式，电子商务成为一种具有鲜明时代特色的全新的经济运行方式，并体现出平等竞争、高效率、低成本、高质量、透明化的贸易优势，培育了在激烈的市场竞争中能够把握商机、脱颖而出各贸易体，电子商务自其出现伊始就倍受业界青睐，在较短时期内就以席卷之势在世界范围内迅速蓬勃发展壮大了起来。

电子商务是集信息化、程序化和标准化的商务流程以及系统的安全和认证的法律体系为一体的电子交易方式，以交易的双方为主体，通过银行的电子支付和结算作为手段，实现与传统交易模式不同的全新商务模式。因此，电子商务的健康发展就必须解决其实施过程的商务文本产生、传输、确认、生效、执行等环节极其严峻的安全问题，必须建立必要的信息安全保证，由此保证电子商务流程中的保密性、完整性、身份认证、抗抵赖等安全问题，如何保证因特网上商务交易信息安全，已成为发展电子商务的重要环节。

二、电子商务安全技术

目前，电子商务安全主要采用以下技术：

（一）数据加密技术

数据加密就是指对数据进行变换编码，使其看起来毫无意义，类似随机的数据，同时仍保持其可恢复的形式。接收到的加密信息可以被解密，转换成原来可理解的形式。这一概念是密码学的基础。密码技术结合数学、计算机科学、电子与通信等诸多学科，不仅可以保证信息的机密性，而且可以保证信息的完整性和真实性，防止信息被篡改、伪造和假冒，具有数字签名、身份认证、秘密分存和系统安全等功能。一般的加密过程都是根据一个规则或者一个数学算法进行，并且使用一个加密参数（密钥）。有两种主要的加密（编码）方法，它们是组成最简单密码的基础。这两种方法分别是换位和置换。

（二）信息隐藏技术

信息隐藏就是将秘密信息隐藏到一般的非秘密的文件中，从而不让普通用户发现的一种方法。它是把一个有意义的信息隐藏在另一个称为载体的信息中得到隐蔽载体，非法者不知道这个普通信息中是否隐藏了其他的信息，而且即使知道也难以提取或去除隐藏的信息。信息隐藏不同于传统的密码学技术，密码技术主要研究如何将机密信息进行特殊的编码，以形成不可识别的密文进行传递，只能隐藏数据的内容，不能隐藏数据的存在性；而信息隐藏则主要研究如何将某一机密信息隐藏于另一公开的信息中，然后通过公开信息的传输来传递机密信息，隐藏了数据的存在性，安全性更好。信息隐藏技术主要分为隐写术和水印技术两种。隐写术的目的是在不引起任何怀疑的情况下秘密传送消息，数字水印则是嵌入在数字产品中的信号，目的是进行版权保护、所有权证明等。

（三）数据恢复技术

数据恢复就是把遭受到破坏或有硬件缺陷导致不可访问或不可获得，或由于病毒、误操作、意外事故等各种原因导致丢失的数据还原成正常数据的过程。数据恢复的目的即恢复数据本来的“面目”。数据恢复不仅可以对文件进行恢复，还可以恢复物理损伤磁盘的数据，同样，也可以恢复不同操作系统的数据。本质上数据恢复也是从存储介质上读取数据的过程，只不过采用常规的方法没有效果，需要采用特殊的技术和方法。从原理上讲，数据可以得到恢复二是数据在磁盘上是按照有序的方式组织起来的。在计算机取证过程中通常碰到的情况是证据所在的介质被嫌疑人破坏了，或者因使用过久老化了，需要对其进行数据恢复。

（四）入侵和入侵检测信息源技术

电子商务安全的另一个特点就是要能够实现安全事件的详细评估调查。入侵和入侵检测信息源就是属于网络攻防的两个主要方面。入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。入侵检测集检测、记录和报警响应于一体的动态安全技术，也是一种主动防御技术，其原理是通过收集网络中的相关信息和数据并对其进行分析，发现隐藏在其中的违反安全策略的行为和遭到入侵的痕迹，并作出相应的响应。入侵检测最典型的应用是是入侵检测系统，专门用来实时或事后发现入侵活动。

1.常见的入侵技术。从入侵者的角度出发，入侵的步骤可分为探测、攻击和隐藏，入侵技术由此可以分为探测技术、攻击技术和隐藏技术三大类。

探测是黑客在攻击开始前必需的情报收集工作，攻击者通过这个过程需要尽可能多的了解攻击目标安全相关的方方面面信息，以便能够集中火力进行攻击。探测又可以分为三个基本步骤：踩点、扫描和查点。踩点指攻击者结合各种工具和技巧，以正常合法的途径对攻击目标进行窥探，对其安全情况建立完整的剖析图。扫描则是攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术。查点是攻击者常采用的从目标系统中抽取有效账号或导出资源名的技术，获取信息大体可以归为网络资源和共享资源、用户和用户组和服务器程序及其旗标三类。

在攻击阶段，攻击者通过探测阶段掌握的有关攻击目标的安全情况会选择不同的攻击方法来达成其攻击目的。攻击方法层出不穷，一般将其归为听技术、欺骗技术、拒绝服务和数据驱动攻击等四类。窃听技术指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法。拒绝服务攻击指中断或者完全拒绝对合法用户、网络、系统和其他资源服务的攻击方法。数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击。

2.入侵检测信息源。入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。入侵检测有很多种技术和方法，如安全审计、入侵检测系统以及蜜罐系统等，最典型的是入侵检测系统，专门用来实时或事后发现入侵活动，数据源是入侵检测分析的首要问题。入侵检测数据源主要有：（1）操作系统的审计记录。操作系统审计记录被认为是入侵检测的首选数据源，这是因为：①操作系统的审计系统在设计时，就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此，操作系统审计记录的安全性得到了较好的保护。②操作系统审计记录提供了在系统内核级的事件发生情况，反映的是系统底层的活动情况并提供相关的详尽信息，这为发现潜在的异常行为特征奠定良好的基础。（2）系统日志记录。系统使用日志机制记录下主机上发生的事情，无论是对日常管理维护，还是对追踪入侵者的痕迹都非常关键。日志可分为操作系统日志和应用程序日志两部分。（3）应用程序的日志记录。信息日益复杂化的系统设计，使得单纯从内核底层级别的数据来源来分析判断当前整个系统活动的情况，变得越来越困难；同时，底层级别安全数据的规模也迅速膨胀，增加了分析的难度。此时，需要采用反映系统活动的较高层次信息，例如应用程序日志，作为分析检测的数据源。应用程序日志因为是用户级别的系统活动抽象信息，所以更加容易理解和处理。其次，网络化计算环境的普及，导致人侵攻击行为的目标越来越集中于提供网络服务的各种特定应用程序。同样，采用应用程序日志作为入侵检测的输人数据源，也存在着问题和风险。首要的问题是应用程序的日志信息通常更易遭到恶意的攻击，包括篡改和删除等操作。其次，尽管很多操作系统提供应用程序级别的审计功能，但是很多特定的应用程序中并不包括这些审计特性，或者是审计功能并没有提供足够详细的信息。最后，特定应用程序同样存在是否值得信赖的问题，等等。（4）基于网络数据的信息源。通过监听的方式进行，网络信息可以很容易获取。

（五）网络安全技术

完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及技术比较多，如操作系统安全、防火墙技术、虚拟专用网技术和各种反黑客技术及漏洞检测技术等。其中最重要的是防火墙技术。防火墙是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，它是一种计算机硬件和软件的结合，使因特网与因特网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

三、结束语

电子商务交易手段已经多样化，电子商务发展面临的问题较为复杂，其安全面临着巨大的挑战。信息安全技术已经越来越多地被应用到电子商务安全中，加强信息安全立法和提高从业人员素质是保障电子商务安全所必需的，应该引起本行业的高度重视。

参考文献

[1]蒋烨.计算机主机隐秘信息取证技术的研究[D]，上海交通大学，2008

[2]田乐.计算机单机取证系统中的安全性研究[D]，电子科技大学，2009

[3]张作林，陈建华.基于区域的信息隐藏技术[J]福建电脑，2005

[4]刘愫卫.数据恢复技术及其实践研究[J].科技信息，2006

[5]赖滇.一种新的入侵检测系统远程管理安全技术[J].计算机工程，2007

作者简介

电子商务系统中的安全性分析 第4篇

互联网的出现及迅猛发展, 为人们提供了即快捷又廉价的电子贸易方式。然而, 在买卖双方享受电子商务为其带来的巨大利益时, 又不得不为交易的安全问题而担心。事实上, 电子商务的兴起与发展的过程始终都伴随着对安全问题的讨论, 尤其是随着XMI和Web服务等新技术的出现及在电子商务领域的应用, 有关的安全问题就更加倍受关注。

二、安全的主要内容

在考虑Web服务质量时, 安全表现为6个主要因素, 即机密性、身份验证、授权、完整性、不可否认性和可用性。这些是在设计系统时必须牢记的, 否则将会存在系统安全漏洞。

机密性

机密性意为数据在网络上传输时不被第三方获得。要实现机密性有两种方法, 一是在通信双方使用专用网络, 如早期的基于EDI的电子商务中所采用的传输方式;另一种是加密, 这对于基于Web服务的电子商务系统来说是普遍的。

身份验证

身份验证是对使用Web服务的实体的标识进行验证。身份验证的方法很多, 如基本验证、基于SSI, 的基本验证、摘要验证、证书验证等。虽然人类可以直接验证他们的系统 (如利用口令) , 但他们不能直接运行Web服务, 因为Web服务是与其他软件通信的软件。但只要利用验证技术验证过的用户, Web服务便可以代表他运行交易。因此, Web服务通信中必须携带有关于身份验证信息, 并可通过SAML (安全断言标记语言) 规范实现单点登录。

授权

授权即是对用户查看特定数据的权限进行约束, 有助于确保系统中重要数据不被恶意篡改。

完整性

在信息安全领域中, 完整性并不意味着不能篡改信息, 而是指如果信息被篡改后可以被检测到。传统的数字签名和XML签名均可用于实现完整性。

不可否认性

不可否认性的字面含义是指消息的发送者不能声明他没有发过该信息。数字证书和公钥基础结构可以使SOAP请求和发送者相互信任, 也可以使用WS.Security将有关安全令牌中用户的信息嵌入到SOAP消息中。

可用性

可用性的含义显而易见。表面看来, 可用性与上面的几种安全问题相比似乎并不算什么, 但试想一个重要的信息在交易双方要使用时却不可用, 这代价应该是非常高的, 并且信息是不可用的, 也就失去了不可否认性。如我们常提起的拒绝服务攻击 (denialofserviceattacks) 的目的就是要让资源对合法用户来说变得不可用。

三、Web服务安全性应用

前面我们是从安全的逻辑组件的角度来探讨安全问题。我们将从安全构件所在的通信层次上去分析安全。

Wleb服务除了必须在标识和身份验证级别上集成基本的Web站点安全之外, 还需在Web服务和客户之间的交互作用中添加其他级别的安全。故我们可以将需要应用安全的W-eb服务分为3个领域, 即身份验证/授权、传输层和应用层安全。

身份验证/授权

与wleb站点一样, 要使Wleb服务开始工作, 首先必须验证用户以确定他们的访问权限。

传输层

传输层安全是基础结构安全。利用IPSec、防火墙、以及限制对己知IP的访问等方法实现传输层安全。

应用层

对于消息的传输来说, 附加的应用层安全可以确保消息的每个部分的安全。在应用层安全上常采用公共密码术、SOAP扩展及XMI。

四、Web服务安全的含义

有关Web服务安全性的讨论, 逐渐成为业界关注的焦点。那么, 我们所说的Web服务安全到底指什么?

我们来从特殊的角度分析Web服务安全所包含的三方面内容。

1.Web安全

+, -服务在实现时使用的是+, -技术, 因此, 许多针对+, -站点的潜在攻击都可能会影响+, -服务的安全性。

随着. (/, 0, /发展成为商业界全球性访问的基础, 在安全方面的实践和挑战也随之发展。以赢利为目的的电子商务站点必须具有极高的受信任度。由于利用. (/, 0, /进行电子交易时, 往往需要将一些敏感数据在网上进行传输, 比如信用卡的卡号和密码等。而这些对入侵+, -站点的黑客来说, 无疑是最感兴趣的了。他们可以非法截获有用信息进行欺诈性交易。如图12所示, 让我们来简化这些截获是如何发生的。. (/, 0, /管道若不受保护, 那么在两者之间流动的信息就可能被黑客截获。

因此, 在+, 3站点级别上, 可以采用证书安全、传输层安全和加密来缓解安全问题。这些机制可以在一定程度上实现数据的完整性、不可否认性和机密性, 它们是除了身份验证和授权之外所需的。

56!78安全

+, -服务所面临的更为关键的问题是, +, -服务是与978技术息息相关的, 而978消息以明文形式包含一系列压缩的数据, 敌手则有可能对这些数据产生兴趣。因此, 在实现+, -服务安全时, 必须要考虑的重点问题之一是如何保护978消息的安全。978, 签名和978, 加密技术就是针对这一层含义加强对+, -服务安全的保障。

:6;<=>安全

+#3服务的请求和响应可以通过;<=>实现, 因此;<=>消息的安全问题也就是+#3服务安全要考虑的重中之重。但+#3服务又必须遵循统一的开放标准, 这就导致了+#3服务面临一个两难的境地, 因为安全和开放本身的对立就限制了+#3服务可实现的安全程度。

+;?;, @"4*/&为签署和封装;<=>消息的部分内容定义了一种可识别;<=>的机制, 主要用于保护;<=>消息。

五、结束语

电子商务的运作基础是互联网络, 而互联网络是一个开放的环境, 在网络上传输的信息若没有特殊的保护手段, 则容易被网络上的其他人截获、观看、甚至修改, 使原始资料丢失, 重要的信息泄漏, 因此要想在. (/#0#/上安全地进行电子商务活动, 增加安全措施是非常重要的。

摘要：本文主要针对基于Web服务的电子商务系统中的安全性进行研究, 阐述了安全性问题的产生背景、主要内容、以及在基于Web服务的电子商务中的重要性。

关键词：Web-Services,身份验证,WS-Security

参考文献

[1]吴莹古燕莹罗智等编著.《电子商务教程》电子工业出版社, 2001, 5

电子商务安全性分析 第5篇

《电子商务》

错误！未指定书签。

指导教师：

经济管理学院

电子商务与物流实验四

实验四：银行的网上支付系统与电子商务安全

一、实验目标

1.掌握几种网上支付模式。

2.理解网上支付模式的原理以及最安全的网上支付模式。3.了解电子商务交易涉及的安全协议

二、实验程序及内容

1、对常用的几种支付模式（网上银行支付、第三方支付平台支付、虚拟货币支付）通过网上支付进行深入了解并写出实验报告。

2、请登陆支付宝安全中心，了解支付宝通过哪些手段来保障消费者的支付安全。

3、了解电子商务交易主要涉及哪些安全协议。

，2014

Page 2 of 6 电子商务与物流实验四

四、实验报告

（一）实验人信息

姓名：

学号：

实验时间：

（二）实验结果

1.网上支付体系涉及哪些主体？这些主体在支付系统中扮演何种角色？ 答：网上支付主体。涉及网上商家、持卡人、银行和第三方认证机构。

2.第三方支付平台公司的优势和劣势是什么？ 答：

(一)第三方支付平台的优势：

a)简化交易操作。第三方支付平台采用了与众多银行合作的方式，从而极大地方便了网上交易的进行，对于商家来说，不需要安装各个银行的认证软件，从一定程度上简化了操作。

b)降低商家和银行的成本。对于商家第三方支付平台可以降低企业运营成本；对于银行，可以直接利用第三方的服务系统提供服务，帮助银行节省网关开发成本。第三方支付平台能够提供增值服务，帮助商家网站解决实时交易查询和交易系统分析，提供方便及时的退款和止付服务。

c)第三方支付平台可以对交易双方的交易进行详细的记录，从而防止交易双方对交易行为可能的抵赖，以及为在后续交易中可能出现的纠纷问题提供相应的证据。

（二）第三方支付平台的劣势： a)法律制度不够完善

由于法律的不完备，并且没有建立起国家的信用体制，第三方支付的安全得不到很好的保证，独立于网络之外的物流活动的诚信风险依然存在。第三方支付存在的不足主要表现在：交易中出现纠纷买卖双方往往各执一词，相关部门取证困难；支付平台流程有漏洞，不可避免地出现人为耍赖，不讲信用的情况，这已成为第三方支付发展道路上必须完善和改进的地方。对第三方支付平台的监管也是个大问题。尽管第三方支付平台与银行签订了战略合作协议，但这些银行对“支付宝”账户上的资金是否“专款专用”并没有监督的权利和义务。这样就导致支付宝公司本身“类银行”的相关业务处于监管真空状态，这给使用“支付宝”的资金安全留下财务隐患。第三方支付工具提供了买卖双方现金交易的平台，这样就会导致有些人通过第三方支付工具进行洗钱，而有时候某些第三方支付工具不需要实名制就可以完成交易，同时国内的第三方支付平台都没有防止恶意交易的相关措施，这样洗钱就更为容易。如果相应的法律文件还不出台，第三方支付工具将有可能沦为不法分子的洗钱工具，为网络赌博等提供资金渠道。如果某个第三方，2014

Page 3 of 6 电子商务与物流实验四

支付平台因为管理不善导致用户的资金流失，那么这个责任由谁来负，怎么承担，目前也都没有一个统一的标准。b)自身竞争、风险问题

(1)“第三方”与银行的竞争问题。“支付宝”等第三方支付公司是通过与银行的合作来运行，但支付公司和银行之间的关系并非只有合作，当银行不通过任何第三方支付公司，而直接与商家连接时，第三方支付公司将面临来自银行的强大竞争。除银行外，目前我国第三方支付市场还面临四种力量的竞争，分别是潜在竞争对手、替代品生产商、客户和现有产业竞争对手，他们是驱动产业竞争的五种基本力量。第三方支付市场的五种竞争力量在市场上的博弈竞争，将共同决定该产业的平均盈利水平，这五种力量的分化组合也将对第三支付平台的发展产生深刻影响。

(2)运行风险问题。第三方支付结算属于支付清算组织提供的非银行类金融业务，中央银行将以牌照的形式提高门槛。对于已经存在的企业，牌照发放后如果不能成功持有牌照，就有可能被整合或收购。政策风险将成这个行业最大的风险，严重影响了资本对这个行业的投入，没有资本的强大支持，这个行业靠自己的积累和原始投资是很难发展起来的。现在国家正在制订相关法律法规，准备在注册资本、保证金、风险能力上准备对这个行业进行监管，采取经营资格牌照的政策来提高门槛。

(3)认知问题。网络教育的不够全面，很多人根本没有机会接触到电子支付。另外，支付公司还没有真正拉动用 户来定购，并没有真正用商品价值和服务来吸引用户。

3.试分析支付宝通过哪些手段来保障消费者的支付安全？ 答：

（一）支付宝的数字证书加强交易安全

在现实生活中，开启保险箱可以使用密码和钥匙。而在网络的世界里，人们所面对和处理的都是数字化的信息或数据，也需要一种类似钥匙一样的数字凭证，用以增强账户使用安全，这就是数字证书。支付宝数字证书是由支付宝与通过公安部、信息产业部、国家密码管理局等机构认证的权威机构合作，采用数字签名技术，颁发给支付宝用户用以增强支付宝用户帐户使用安全的一种数字凭证，并根据支付宝用户身份给予相应的网络资源访问权限。

数字证书安装成功后，他人未使用数字证书登录您的账户将不能对账户资金进行操作，切实保障您的账户安全。它可以导入U盘，也可以卸载，例如：你在别的机器上使用了数字证书，换到另一台机器也必须导入并安装才可以使用支付宝进行交易和转帐。这样大大保障了帐号，密码被盗的风险。

（二）支付宝的流程降低网络交易风险

支付宝在网上交易中起到了信用中介的作用，通过支付宝交易，“货到付款”与“款到发货”同时兼顾，降低风险！使网络骗子无法在其中骗取财务。这样就不必担心买卖双方的信誉问题，有什么损失一切由支付宝负责。支付宝用户注册并办好了支付宝，在其中填写了自己的相关隐私，有些用户怕会泄露自己的隐私而为之担心。这些都是有银行的相关机构办理，保证用户的个人隐私不被泄露出去。

现在的支付宝在网络交易中起着举足轻重的作用，它大大加强了交易中支付的安全，让用户不再担心网络交易支付安全问题。

，2014

Page 4 of 6 电子商务与物流实验四.4.什么是数字证书？请说明它使用哪些相应技术来实现对信息发送者的身份认证的。答：数字证书是一种权威性的电子文档，由权威公正的第三方机构，即CA（例如中国各地方的CA公司）中心签发的证书。数字证书又称为数字标识（Digital Certificate，Digital ID）。它提供了一种在Internet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务

活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或单位在Internet的身份证。数字证书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给商户，然后由商户用自己的私有密钥进行解密。

用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点： 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。5.数字证书一般有哪几种类型？

答：目前的数字证书类型主要包括：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。6．数字证书与数字签名的区别是什么？

答：数字证书是由权威机构－－CA证书授权（Certificate Authority）中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。

数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。7.描述安全电子交易协议（SET）的工作原理。

答：SET安全协议的工作原理主要包括以下7个步骤：

（1）消费者利用已有的计算机通过因特网选定的物品，并下电子订单；

（2）通过电子商务服务器与网上商场联系，网上商场做出应答，告诉消费者的订单的相，2014

Page 5 of 6 电子商务与物流实验四 关情况；

（3）消费者选择付款方式，确认订单，签发付款指令（此时SET介入）；

（4）在SET中，消费者必须对定单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的帐号信息；

（5）在线商店接受定单后，向消费者所在银行请求支付认可，信息通过支付网关到收单银行，再到电子货币发行公司确认，批准交易后，返回确认信息给在线商店；（6）在线商店发送定单确认信息给消费者，消费者端软件可记录交易日志，以备将来查询；

（7）在线商店发送货物或提供服务，并通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。

，2014

电子商务安全性分析 第6篇

摘 要 随着信息化技术的快速发展，信息技术已在企业中得到广泛的应用，并成为企业管理的重要手段，特别是电子数据安全设计系统的出现，为电子财会审计带来了新的生机。其不仅改变了传统的数据管理流程，同时也给财会审计工作带来了重大的影响。

关键词 电子财会 数据安全 审计方法

随着经济的发展，财会的审计范围也在不断的扩大，原有的财会审计方法已经无法满足现实的需求。数据安全审计方法的出现，为企业财会审计工作带来了新机。本文主要从电子数据安全性设计概念、电子财会数据安全性审计内容及电子财会数据安全性审计意义等方面对电子财会数据安全性审计方法进行分析。

一、电子数据安全性审计概念及现状

1. 电子数据安全性审计概念

所谓的电子数据安全性审计就是对每个用户在计算机系统上的操作做一个比较完整的记录，以备用户违反安全规则事件后，成为追查其责任的证据。电子数据安全审计工作是保证计算机顺利进行的重要手段，电子数据安全性审计在财会中的应用，是时代的发展的必然选择。电子财会数据安全性审计在计算机审计中占有重要地位，是计算机审计中不可或缺的一部分，其不仅关系到审计人员能否公正的发表审计意见，同时对防止电子财会舞弊和计算机犯罪方面起着重要的作用。

2. 电子数据安全性审计现状

我国电子数据式审计发展较西方国家起步晚，是在八十年代后期发展起来的。到目前为止,我国的数据式审计工作还处于初级阶段,尚未形成一套专业化规范,也未形成一支能够全面开展数据式审计业务的人才队伍。在信息推进的过程中,相应的出现了一些问题，软件安全审计、硬件审计、系统环境的安全审计、人员安全审计上都有一些问题。其原因主要是对信息化风险认识不足,规避风险的措施不力,运用传统的会计审计知识已经不能对客户进行风险评估、内控测试与评价而导致的。

二、电子财会数据安全性审计内容

1. 软件安全审计

随着电子信息技术的发展，财会软件版本在不断的更新。面对众多的财务软件，只有选择适合本企业发展的财务软件，才能使企业更好的发展。但是软件程序设计的合理性及严谨性是很难把握的，恰恰是这些因素直接影响着财会数据的真实性。要想使财会信息更加真实、准确、可靠，就必须对财会软件进行审查。要对会计软件的开发方法及开发人员的知识结构、软件所使用的程序审计语言进行审查。对软件开发人员设计的内容主要是看其是否有应用了软件开发系统进行有阶段性的工作；对软件开发活动是否有必要的管理或是控制；系统功能模块划分状况如何；软件的处理及控制功能是否符合法律规定，在使用之前是否进行了测试应用与否，软件是否进行了加密工作，能否防止非法用户的访问等方面的内容。

2. 硬件审计

在财会审计系统中，硬件安全审计起着重要的作用，它是进行数据处理和信息存储的重要设备，同时也是阅读或是篡改系统文件的应用设备。但是这种硬件设备，在计算机中是比较精密的电子模块，冷热、电源故障都会引起一些事故，也会给计算机安全带来一定的影响。要想保证计算机的安全及财务数据的准确性，必须对设备进行妥善的管理。在管理方法上，可以设专人对设备进行管理，也可以采取硬件终端加锁、计算机机房加锁或是硬件密码控制等方法进行控制。在这种条件下，只有有钥匙或是知道密码的人员经过核查后才可以进入，这样可以使会计信息系统硬件安全达到可靠的保证。

3. 系统环境的安全审计

随着电子信息系统的普遍应用，许多企业的局域网都设有和外部相连接的互联网接口。互联网的普及给人们带来方便的同时，也给各式各样的病毒提供了可乘的机会，使企业财会数据资料受到威胁。为了保证企业信息安全，企业应该采取必要的网络安全措施，以保证企业的财会数据的安全。在审查时，应该注重审查其是否配备了必要的杀毒软件及安全补丁、是否有物理安全或是硬件、操作系统、系统管理制度等安全保护层等。

4. 人员安全审计

财会信息系统包括的人员比较多。不仅包括分析设计人员，还包括会计主管、会计软件操作人员及维护人员等。相关财会人员素质的高低，对财会安全系统起着重要的作用。因此，在审查时，必须对人员知识结构及操作技能能否适应岗位需求进行审计。此外，还要对人员的职业观、道德素质及行为操守进行必要的审计。财会人员在走上工作岗位或是进行调配的时候，不仅要对其工作进行严格的考核，还要对各类人员进行定期或是不定期的培训，以适应现代化发展的需要。

三、电子财会数据安全性审计意义

新的电子财务安全性审计软件的出现，为企业电子财会的发展带来了新的契机，同时也带来了挑战。传统的内部审计以现场审计为主，这种审计方法是通过对经济活动进行纠正弊端完善内部控制，进而加强内部审计的。随着信息化技术的发展及审计范围的扩大，原有的审计方法已经无法满足现代化的需要。在这种情况下，电子财会数据安全性审计应运而生。在信息化环境下，内部审计不再局限于对经营活动的错误进行纠正、监督评价，而是将其重点转到事前或事中，使服务和监督有效的结合。这种方法能够全面的反映企业信息，并为审计人员提供一个和谐的环境供其对相关问题进行思考、分析，以便更好的解决问题。电子财务安全性审计方法的出现，审计人员不在现场就能对相关的会计资料进行审计，不仅节省人力、物力、财力，还能使审计效率得到显著的提高。

四、结束语

随着信息技术飞速的发展，人类社会已经步入了信息化时代，信息化已经成为经济发展的推动力，作为企业重要组成部分，也顺应了时代的发展潮流，应用了电子数据安全审计系统进行财务工作。电子数据安全性审计系统在企业财会中的应用，给企业带来了一定的效益，同时也出现了一些问题。要想使企业电子财会审计工作顺利进行，还要不断的研究新方法，以适应企业不断变化发展的需要。

参考文献：

[1]胡仁昱,杨光平,张敏.会计数据接口标准化与会计信息的社会化共享.会计之友(上旬刊).2006(10).

[2]李德胜.企业内部审计如何应对信息化环境的挑战.审计与经济研究.2008(04).

[3]徐剑飞.我国数据式审计的发展现状分析.内蒙古财经学院学报(综合版).2008(03).

[4]李瑾玲.数据式审计模式下的审计风险因素分析.商业经济.2007(03).

电子商务安全性分析 第7篇

移动电子商务简单的说就是指通过手机、个人数字助理 (PDA) 和掌上电脑等手持移动终端设备与无线上网技术结合所构成的一个电子商务体系。因特网、移动通信技术和其他技术的完善组合创造了移动电子商务。移动电子商务可高效地与用户接触, 在整个商务体系中用户可以在任何地方、任何时间进行电子商务活动。移动电子商务由于其快捷方便、无所不在的特点, 已经成为电子商务发展的新方向。移动电子商务的模式目前主要有两种:SMS模式 (Short Message Service) 即短消息模式, WAP模式 (Wireless Application Protocol无线应用协议) 是在数字移动电话、因特网及其他个人数字助理 (PDA) 、计算机应用之间进行通信的开放式全球标准, 它是开展移动电子商务应用的核心技术之一。如何有效的保证信息交换的安全性和正确性, 防御黑客对交换信息的截取和攻击, 以及确认交易数据的可靠性, 就成为了移动电子商务发展中迫切需要解决的问题。

二、移动电子商务信息交换的安全性要求

相对于传统的电子商务模式, 移动电子商务的安全性更加薄弱, 传输承载的交换信息更易受到窃取和攻击。移动电子商务信息交换的安全性要求主要表现在以下几个方面:

1. 信息的保密性

保密性就是要保证双方电子商务交易有效信息的不被窃取、非法储存和使用, 保证整个交易通道的严密性。

2. 身份的认证性

指交易双方都能正确鉴别对方的身份, 能防止他人的假冒行为。身份认证可以鉴别通信中一方或双方的身份, 从而确保只有授权的用户才能访问网络的资源与服务。

3. 信息的正确性

指电子商务的交易数据和双方认证数据没有丢失或被篡改。

4. 交易数据的可靠性

指交易双方对交易的内容包括合同、单据等在事后都能进行有效的确认。进行交易的双方都要能够在事后确认进行过的交易, 即对交易本身及交易合同、契约、或交易的单据等文件的抗抵赖性。

三、信息交换过程安全性分析

移动电子平台的安全性, 是决定整个商业运营整体性能的一个重要因素, 如果没有一个行之有效的安全机制, 移动电子商务网中的各种商业活动将无法顺利进行。目前所面临的各种安全威胁如下:

1. 信息交换过程中的不安全性因素

移动电子商务信息交换涉及到移动终端、信息中心和内容服务器之间的通信和数据传输。这一过程存在的不安全因素就有移动无线接口、移动网络和移动客户端3方面的不安全性因素。

(1) 无线接口中的不安全因素。在移动通信网络中, 移动站与固定网络端之间的所有通信都是通过无线接口来传输的。而无线接口是开放的, 任何具有适当无线设备的人均可以通过窃听无线信道而获得其中传输的消息, 甚至可以修改、插入、删除或重传无线接口中传输的消息, 以达到假冒移动用户身份欺骗网络端的目的。 (2) 网络端的不安全因素。网络端主要是指无线传输线路、网关部分、Internet有线传输线路。在有些移动通信网络中, 基站系统与移动服务交换中心之间的通信媒质就不尽相同, 相互之间的信息转换就有可能导致移动用户的身份、位置及身份确认信息的泄漏。 (3) 移动端的不安全因素。移动端包括移动终端和内容服务器。移动终端的不安全因素主要表现在用户身份、账户信息和认证密钥等方面。例如不法分子取得用户的移动终端, 并从中读出移动用户的资料信息、账户密码等就可以假冒用户身份来进行一些非法的活动。

2. 信息交换过程中的安全威胁

通过对以上各种方面的不安全因素的分析, 可知对于移动电子商务信息交换的安全威胁可以分为多种可能, 需要采取不同的安全策略。目前存在的安全威胁主要有以下几种:

(1) 信息的截取和窃听。如果没有采取加密的措施或加密的强度不够, 攻击者就可能通过截获装置截取数据、获取信息, 经过分析, 获得有用的信息, 如银行账号、用户密码等。 (2) 信息的篡改。当攻击者熟悉了过程的网络信息格式后, 会通过各种技术方法和手段对网络传输的信息进行中途的修改, 再发往目的地, 从而破坏信息的完整性, 如肆意篡改购买商品的货号、价格等, 或删除、插入错误信息。 (3) 非授权方的非法访问。访问者未经授权, 即可读取主机的敏感商业数据, 使用系统得资源, 享受为被授予的权利等。 (4) 信息的假冒。攻击者掌握了传输数据的规律或解密了商务信息后, 就可假冒合法的用户或假冒商家来欺骗服务主机, 从而获得用户或商家的机密信息。 (5) 交易的抵赖。交易双方中的一方在交易完成后否认其参与了此交易。比如用户在选购了商品后否认选择了某些商品而拒绝付费, 商家卖出的商品因为价格差的原因而不承认原有的交易或收到货款后拒绝交付商品等。 (6) 拒绝服务的威胁。此种威胁以网络瘫痪为目标的攻击破坏性很大, 造成危害的范围很广, 而攻击者本身的风险却非常小, 甚至可以在袭击开始前就已经消失得无影无踪。攻击者可以通过删除某一网络上传送的所有数据包的方法, 使网络拒绝为用户服务;还可以通过邮件炸弹的方法使系统性能降低或崩溃, 从而达到拒绝服务的目的。

3. 安全移动商务解决方案实现目标

要达到一个安全实用的移动电子商务解决方案, 必须解决以上的种种问题, 竭力满足如下几方面的要求和目的:具有身份认证功能、能够识别信息的完整性、能够监测出重传攻击、可以保留交易证据、保证信息的机密性、) 较低的通信费用、较好的端到端信息传输的保密和较高的容错能力。

四、移动电子商务信息交换安全性设计

1. 移动电子商务交易模型安全性解决措施

针对以上电子商务系统在安全上所面临的种种问题, 为了实现移动电子商务所提供的服务, 同时保证其上信息交换的安全性, 结合现有的移动电子商务安全技术, 现将就各安全要素及其可能的安全威胁提出如下安全性解决措施:

(1) 信息的截取和窃听。其关系到的安全要素是交易数据的保密性原则。现有的移动电子商务的安全措施可以采用交易信息加密的方式来进行处理。 (2) 信息的篡改。信息的篡改牵涉到的安全要素是信息的完整性原则。基于现有的安全技术可以采用报文摘要的方法来解决此种的安全威胁。 (3) 非授权方的非法访问。访问未经授权而可以获取重要的商务信息所关系到的安全要素是信息的授权性原则。要解决此种安全威胁, 所采用的安全技术就包括防火墙、动态密码等。 (4) 信息的假冒。其关系到的安全要素是移动电子商务信息的可验证性。针对这种威胁所采取的解决措施有数字证书技术。 (5) 交易的抵赖。其与安全要素信息的认可性相关。数字签名技术就是用来解决商务交易中的抵赖性问题。数字签名技术可以有效地判断出信息的发送方, 因为它是通过发送方私钥进行加密的, 因而可以解决交易抵赖的安全威胁。

2. 移动电子商务的安全模型

针对移动商务交易安全性解决措施, 将其应用到移动电子商务, 可总结出一种基于签名和加密方法的安全移动电子商务信息交换的模型。模型主要是针对移动电子商务中的商务信息交换。其对照安全交易体系主要是实现信息传输安全和安全信息认证的功能。模型的具体执行流程如下:

(1) 移动终端向内容服务器发送注册要求; (2) 信息中心对用户身份进行验证; (3) 信息中心的认证机构生成用户证书发送到移动终端, 并将用户证书按移动终端标识保存到数据库中; (4) 内容服务器为移动终端产生公私密钥, 并将私钥按用户标识发送给移动终端, 用户标识和私钥保存到数据库中; (5) 用户通过移动终端选择相应的商品, 并对交易进行签名, 随后将用户标识、交易信息、摘要信息、数字签名和证书一起发送给内容服务器; (6) 内容服务器依据移动终端发送过来的标识号, 先和数据库保存的用户标识进行比较, 如果一致, 则向信息中心的认证机构请求用户证书, 否则拒绝服务; (7) 信息中心的认证机构根据标识号将用户证书发送给内容服务器, 用户证书由信息中心来进行产生、存储和验证; (8) 内容服务器使用用户证书鉴别移动终端发送过来的交易信息是否可信; (9) 核实后, 内容服务器用公钥将用户的交易订单进行解密工作, 判断摘要是否正确, 以确保给移动终端。

五、移动电子商务安全技术的展望

伴随着移动计算和信息访问需求的日益增加, 移动安全必将成为一个热点问题。下一代移动电子商务的安全技术必将与无线和有线通讯网络实现无缝、高质量的集成, 支持任何WAP兼容的手机的访问, 有效解决WAP网络端到端的安全性问题, 为用户的交互提供简单、透明的操作方法, 以有利于内容开发者为无线因特网提供更多的服务。

参考文献

[1]黄刘生:电子商务安全问题[M].北京理工大学出版社, 2005

[2]沈郁:基于WPKI的WAP移动电子商务安全研究.湖南大学学报, 2003, 6:30-33

[3]王宏:移动商务中的安全技术.信息安全与通信保密, 2001, 3:17-18

电子商务安全问题分析 第8篇

电子商务是现代经济和互联网技术发展的必然产物, 改变了传统商业模式。随着互联网在我国的迅猛发展, 电子商务逐渐成为一种人们进行商务活动的新模式。然而网上交易面临种种风险, 易受到黑客、病毒和木马等攻击, 严重时造成交易双方的经济损失。显然安全问题已经成为制约其发展的重要因素, 如何建立一个安全而便捷的电子商务应用环境, 保证整个业务活动中信息的安全性, 使基于互联网的交易方式与传统方式一样安全可靠, 已经成为十分关心的问题。

一、安全分析

1、电子商务面临的安全威胁

近些年来在我国针对电子商务影响较大、发生率较高的安全方面的威胁事件大致可以分为:网络蠕虫、木马、病毒和拒绝服务攻击。 (1) 网络蠕虫是一种可以不断自我复制并在互联网上传播的程序, 主要利用互联网上计算机系统的漏洞入侵系统。此类蠕虫有红色代码、尼姆亚、熊猫烧香及求职信等。网络蠕虫传播的速度异常快, 甚至几小时传遍整个互联网。轻则出现网络堵塞, 如果与黑客技术相结合, 潜在的威胁和损失更大。 (2) 木马是一种隐藏在计算机系统的恶意程序。常常潜伏于计算机系统, 而且隐蔽性很强, 接受外界控制指令, 一般以控制为主。大多数黑客在入侵时会将木马植入其中。 (3) 拒绝服务攻击是在互联网上控制多台计算机专对某一个特定的计算机进行大规模访问, 占用大量的资源 (包括磁盘空间、内存、进程甚至网络带宽等) , 降低系统性能, 使得正常应用服务无法使用, 分布式拒绝服务攻击是目前黑客经常采用而难以防范的攻击手段。

2、电子商务信息的安全的要求

由于电子商务面临的安全威胁, 因此对安全的要求:机密性、完整性、认证性和不可抵赖性。 (1) 机密性:保护商业秘密是保障电子商务应用的基础。 (2) 完整性:交易的数据信息是在传输过程中不会发生丢失、重复、篡改或者改变传送顺序。 (3) 认证性:交易是在虚拟的网络环境中发生的, 如何完成交易双方的身份的确认。 (4) 不可抵赖性:交易一旦成功, 是不能够否认的。要求电子交易过程中通信的各环节都必须不可否认, 均无法推脱其责任。

二、电子商务安全技术

1、网络安全技术

网络安全涉及的内容很多:操作系统安全、防火墙技术、虚拟专用网VPN技术以及漏洞检测技术等。操作系统安全:目前计算机操作系统漏, 如:微软的Windows系列操作系统, 造成病毒木马以及恶意代码网上任意肆虐。防火墙技术:主要应用于专用网和公网之间的安全连接, 根据事先制定的策略对对数据包进行过滤、分析和审计。虚拟专用网VPN:VPN通过的创建加密隧道在公网中传播, 虚拟专用网安VPN全性高, 目前被大多数电子商务公司采用。

2、密码技术

在电子商务中安全问题的解决主要依赖于密码技术, 主要有三种技术:信息加密技术、安全认证技术和数字签名技术。信息加密是对传输中的数据流加密, 目前常用的有对称加密技术和非对称加密技术:对称加密是加密和解密都用同一个密钥, 如IBM公司的DES算法;非对称加密是加密和解密运用密钥不同, 是一对密钥 (公钥和私钥) 配对使用, 公钥加密的数据必须有对应的私钥才能解密, 反之亦然, 如:RSA、DSS等算法。

3、认证技术

仅仅实现数据加密是不够的, 还需要用户的认证和识别, 其主要目的识别和证明双方真实身份, 防止第三者冒名顶替。认证的主要方法:双重认证、数字证书和智能卡。为了保证交易正常进行, 防止抵赖的发生, 数字签名解决否认、伪造、篡改、和冒充等问题。目前数字签名采用较多的是公钥加密技术, 数字签名算法有:Hash签名, DSS签名、RSA签名等。

三、安全策略

在实施网络安全防范时, 首先保证主机本身安全, 及时更新补丁, 减少系统漏洞。其次, 定期对网络进行扫描分析, 及时发现存在的安全隐患, 客观评估网络风险等级。根据扫描的结果及时修复网络安全漏洞和系统中的配置, 在黑客和病毒攻击前进行防范。再次安装防火墙和入侵检测系统, 对数据包进行过滤, 设置全方位的安全策略。随着攻击工具与手法的日趋多样, 单纯的防火墙无法满足对安全的要求, 需要在此基础上建立纵深的入侵检测系统对网络、系统的运行状况进行监视, 尽早发现各种攻击企图、攻击行为或者攻击结果。接着, 从路由器到用户各级建立完善安全访问控制措施, 加强授权管理和认证。最后, 充分利用先进的数据存储技术加强数据备份和恢复措施, 留有备份链路、备份设备和带宽来应对故障以及拒绝服务攻击。

在信息安全方面: (1) 基于Web方式应用的B2C可使用数字证书技术和SSL安全通信协议, 对于简单的B2C不必为每个用户发放证书, 可采用简单易行的SSL单向认证技术。 (2) 对于B2B在信息安全上要求严格、安全的身份认证技术;涉及商业机密加密传输;用数字签名技术保证合同和交易的完整性和不可抵赖性。系统认证的可采用安全性高、管理严格的公共密钥技术体系PKI, 需要到第三方数字证书授权中心CA申请数字证书, 证书包含证书的拥有者的基本信息和公钥, 最常用的证书格式为X.509。通常企业用户的认证通过服务器CA证书和IC卡结合来实现。在基于Web方式应用的B2B系统采用依赖证书技术SSL/TLS协议实现安全通讯, 依赖证书技术S/MIME协议实现安全的电子邮件。 (3) 建立严格保密制度, 加强数字证书和密钥管理。

四、结论

电子商务安全问题分析 第9篇

(一) 电子商务发展现状

随着计算机技术以及网络技术的快速发展, 电子商务已逐步渗透到了社会的各个方面, 其方便快捷和较高的性价比已经被人们完全认识, 同时也赢得了人们的热烈欢迎。2009年我国电子商务交易额达到3.85亿元, 其中网上购物达到2483.5亿元, 占社会消费品零售总额的比例为1.98%, 2010年电子商务交易额达到4.5万亿元, 网上购物达到5131亿元, 较上年同期增长100%以上, 占社会消费品零售总额的3.32%。目前, 我国电子商务的渗透率为30%, 也就是说, 有30%的网民存在电子商务的应用和行为。预计2013年我国电子商务将突破1万亿元。

(二) 电子商务存在的安全隐患

电子商务作为一种新型网上在线贸易方式, 使企业与消费者摆脱了传统的商业中介的束缚, 但是其安全问题依然是阻碍电子商务发展速度的一个重要问题。首先, 信息泄露。攻击者可能通过截收装置, 截获机密信息, 推断出有用信息, 如消费的银行帐号、密码等.交易双方的内容被第三方窃取, 交易一方提供给另一方的文件被第三方使用。其次, 信息破坏。交易信息在网络上进行传输的过程中, 被他人非法修改、删除或伪造, 使信息失去了真实性和完整性。再次, 身份的识别。如果不进行身份的识别, 第三方就有可能假冒交易一方的身份介入交易过程, 以破坏交易、破坏一方的信誉或盗取交易成果等。

二、加强电子商务安全的具体措施

(一) 防火墙技术与入侵检测技术

防火墙技术是一种防止外部网络用户以非法手段进入内部网络访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。其基本功能是根据各种安全策略的要求, 对未经授权的访问和数据传递进行筛选与屏蔽, 保护内部网络数据的安全。当然防火墙也有自身的局限, 即只能防范来自外部的攻击, 但不能对绕过防火墙的内部攻击提供保护。入侵检测技术就是在计算机网络系统中设置若干个关键点来收集信息, 并将信息传送到检测系统进行分析, 以判断网络中是否有非法入侵行为。若发现入侵会及时反应, 包括切断网络链接、记录事件和报警等, 以保证资源不被非法使用和访问。

(二) 电子商务数据库系统完整性控制

防止数据被未经授权的使用和更新可以通过数据库的完整性控制来进行。例如, 限制数据更新的范围可以使用域或断言来进行;禁止或限制数据库进行更新时的某些操作可以通过使用触发器机制来进行, DBMS对所用用户和所有数据库活动进行控制, 因此, 已经不再需要对每一个查询或程序进行重复编码, 这样不仅使安全性得以提高, 同时还使完整性控制的效率得以提高。

(三) 安全认证技术

1. 数字摘要技术。

在电子商务领域中常用的安全认证技术就是数字摘要。这种技术也被称为安全Hash编码法, 其采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文, 这密文有固定的长度, 不同明文摘要的密文都不同, 相反, 相同的明文摘要的密文一定相同。数字摘要把得到的密文的同时, 在传输信息时将之加入文件同时发给接收方, 接收方再用相同的方法进行运算, 如果所得到的结果相同, 则表明安全, 如果不相同, 说明被人篡改过。

2. 数字签名技术。

数字签名是把数字摘要与公钥算法相结合, 其不仅能够提供数据完整性, 而且还能够保证数据的真实可靠性。传输的数据未被篡改就说明数据的完整性得以保证, 传输过来的数据的真实可靠性说明是由合法者产生的。

3. 数字时间戳技术。

时间在电子商务的交易中是非常重要的, 防止文件被伪造和篡改的关键性内容就包括文件的签署日期和签名的一致性。因此, 在电子交易中, 数字时间戳为文件签署的时间信息被修改提供了安全保证。数字时间戳服务是有专门的机构提供的。

4. 数字凭证技术。

数字凭证技术并不是靠交易的自己能完成的, 它是通过第三方来完成认证中心。也就是说, 数字凭证是通过认证中发放的。任何交易双方想要参加安全电子商务的网上交易, 就只有申请到相应的数字证书才行。

5. 电子商务安全协议。

电子商务安全运行除了上述技术之外, 一套完善的安全交易协议是必不可少的一部分。 (1) 安全电子交易协议SET, 它是一种基于信息流的安全协议, 其目的是保证用户、商家和银行之间在开放的网络环境之下进行安全可靠的信用卡交易。SET协议的交易流程如图1所示。SET协议使用的安全技术主要有;对称密钥加密、数字签名、公共密钥加密、数字信封等。

三、总结

电子商务是现代信息技术发展的必然结果, 其安全问题是非常重要的。以上分析也只对电子商务安全的几种技术进行了分析, 其安全技术还有很多, 例如访问控制技术、物理安全技术等, 无论是选取哪种技术, 都要与实际问题相符, 并且还可以把这些安全技术结合起来使用。

参考文献

[1]刘茹.电子商务的安全技术[J].科技情报开发与经济, 2006, (13) .

移动电子商务安全分析 第10篇

1.1 移动终端设备安全分析

(1) 加密和认证等安全措施难以使用:移动设备最大的问题就是对特定用户的实体认证, 移动设备计算能力低, 存储能力有限限制了加密和认证等安全措施对于移客户的安全保护。 (2) 移动终端设备数据易丢失被盗用:移动设备体积小, 容易不小心跌落损坏、被偷窃而丢失, 往往移动设备中保存着重要和隐私的资料, 容易被别人盗取从而造成比较大的损失。 (3) 手机SIM卡等身份识别易于被克隆:移动电子商务一般都借助于手机的SIM开来识别用户的身份, 一旦这些设备被恶意克隆, 用户的身份容易被仿冒, 从而会给用户带来比较大损失。

1.2 无线网络通信安全分析

(1) 无线网络基础设施安全。无线网络基础设施包括接入点、路由器、交换机等一些网络设备。这些基础设施多部署在公共场所, 非法用户很容易访问这些设备。 (2) 无线通信网络本身威胁。无线网络通信是一种利用开放性的无线信道, 让用户通信更加自由和灵活, 但是也产生了一些不安全因素, 容易被窃听、通信双方的身份容易被假冒以及通信内容被篡改。

因为无线通信过程中所有的通信内容都是利用开放性的无线通道传输, 所以任何人只要拥有相应频率无线接收设备都可以轻易地获取传输的信息内容, 从而导致无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。

1.3 无线网络标准安全

(1) 802.11安全问题。无线局域网采用的是IEEE802.11系列标准, 该标准定义了WEP加密机制, 通过对信息流加密并利用WEP认证结点, 保证无线局域网的安全。但是该加密算法只是提供相当于有线网络基本安全的安全级别, 研究发现该标准中存在安全漏洞, 易被黑客利用这些漏洞对网络发起攻击, 通常情况下为了保证有比较强的安全效果, 必须将WEP与其他安全机制一起应用。 (2) WAP安全。WAP (Wireless Application Protocol, 无线应用协议) , 它由一系列协议组成, 用来标准化无线通信设备 (手机、IPAD) , 它负责将Internet和移动通信网连接到一起, 通常就是所说的无线移动终端互联网标准。WAP1.X的缺陷导致很长一段时间WAP业务开展并不成功, 国外许多无线网络运营商纷纷将目前WAP1.X网关升级为WAP2.0网关。在WAP1.X中定义的WTLS属于点到点的加密, 因此, 在网关存在潜在的安全隐患。而WAP2.0引入TLS进行加密, 直接承载在TCP层之上, 在应用上构建了端到端的加密机制, 提供给用户良好的安全性。

1.4 无线AD HOC应用的威胁

除了无线网络中存在的安全问题, 无线设备同样给移动性和通信媒体带来了新的安全问题。无线设备可以自由组建AD HOC网络, 这种网络不借助固定网络而是通过移动设备之间互相协作进行网络互连。正是由于这种网络的自由性、分散性, 入侵者很容易通过这种信任关系进行入侵操作。

1.5 病毒与黑客

移动终端 (手机) 病毒同计算机病毒类似, 针对移动终端系统上存在的安全漏洞进行攻击和破坏, 窃取资料。移动终端设备硬件软件的特点决定了不能同计算机一样运行大型杀毒软件, 所以只能以全新的杀毒模式保证移动终端的安全。

移动电子商务交易过程中会涉及到很多个人的账户等私密资料, 很容易被手机黑客窃取从而带来较大经济损失, 所以严防手机黑客也成了移动电子商务安全中一个重要问题。

1.6 移动电子商务法律问题

移动支付更加灵活方便, 移动商务法律问题更为重要, 尽快完善相关的法律、法规是移动电子商务发展的重要工作。电子商务活动中不仅存在传统商务活动中涉及的法律问题, 同时也出现了传统商务活动中没有出现过的问题。特别要解决的是电子合同、电子货币、证券交易等法律问题, 只有完善的法律保障才能保证商务交易活动正常。

2 移动电子商务安全技术

2.1 数据加密技术。

通过数据加密技术可以保证数据不被他人非法窃取, 无线网络的开放性很容易被窃取。

2.2 防火墙技术。

防火墙是被设置在内外网之间的一道安全屏障, 实现保护网络的安全, 防止非法用户的入侵破坏。

2.3 计算机系统安全技术。

计算机系统安全主要包括实体设备 (包括移动终端) 安全、软件安全、运行安全 (账号管理) 。

2.4 数字签名技术。

数字签名技术是电子商务中应用最普通、技术最成熟、操作性最强的一种电子签名方法。确保了数据传输中的文件的完整真实和不可抵赖, 防止被更改和散布欺骗信息。

2.5 身份认证技术。

身份认证是信息认证中最重要的一项内容, 主要包括识别和验证两方面。识别就是明确用户是谁, 验证就是确认身份真伪。一般认证可以通过口令认证、物理认证、生物认证来实现。

2.6 数字证书技术。

数字证书是电子商务系统中各个实体进行信息交流和开展电子商务活动的身份证明, 解决了贸易伙伴之间的信任问题。数字证书主要包括用户身份信息、用户公钥信息和身份认证机构数字签名数据等认证信息。数字证书是一个权威性的电子文档。

3 基于WPKI移动电子商务安全解决方案分析

在互联网电子商务中建立“无线公开密钥体系” (WPKI体系) , WP-KI是将PKI安全机制引入到无线网络环境中。WPKI用优化的ECC椭圆曲线加密算法和压缩的X.509数字证书进行管理, 证书的公钥管理由第三方可信认证中心CA进行, 能够准确认证用户身份, 从而实现交易数据的安全传输。用WPKI体系管理在移动网络环境中使用的公开密钥和数字证书, 可以建立有效的、安全的、值得信赖的移动电子商务环境。

WPKI的工作模式如下图所示:

WPKI总结: (1) 特点:实现相对复杂, 用户使用相对复杂, 速度慢, 安全性最高。 (2) 安全性:提供服务器和用户之间的双向认证、机密性、完整性和不可否认性服务。 (3) 实现:需要引入独立的第三方, 负责为商务活动中的各个对象颁发数字证书, 进行数字证书的相关维护和管理操作。 (4) 应用:主要用于移动电子商务中对安全级别要求高、每笔业务资金额较大的业务。

4 总结

移动电子商务在国内外都有着无限广阔的空间, 3G、4G移动通信技术对移动电子商务业务的影响也在不断加深, 移动电子商务业务多元化、大众化将使移动电子商务业务发展的环境越来越改善, 其中安全性始终都会居于整个系统和业务的首要层面。

摘要：移动电子商务结合了传统电子商务技术和先进的移动通讯技术, 是电子商务行业发展的新方向。移动电子商务新模式在3G网络的成熟和4G网络的出现推力推动下, 日后会不断扩大社会经济效益, 会受到社会关注越来越多, 在发展过程中问题突出的仍然是问题。本文主要分析了移动电子商务系统存在的安全威胁, 说明了常见的应对安全技术, 最后分析了一种典型基于WPKI移动电子商务安全解决方案。

关键词：移动电子商务,安全,WAP

参考文献

[1]李洪心.电子商务安全.东北财经大学出版社, 2008.

电子商务安全性分析 第11篇

一、电子商务时代

所谓电子商务是指主要运用电子形式完成的商务, 是市场、商务流、交易过程的整合和运行环境的数字化、电子化, 是相关过程的综合创新。在中国, 电子商务开始是以技术为本, 到以应用为本, 现在到了以人为本。在电子商务的运作过程中涉及到企业或个人的消费者、网上的商业机构、C A认证中心、物流配送体系和银行。它们通过Internet网络连接在一起。

二、网络购物的特点

简单来说, 网上购物就是把传统的商店直接“搬”回家, 利用internet直接购买自己需要的商品或者享受自己需要的服务。专业地讲, 它是交易双方从洽谈、签约以及贷款的支付、交货通知等整个交易过程通过Internet、web和购物界面技术化的B to C模式一并完成的一种新型购物方式, 是电子商务的一个重要组成部分。有过网络购物经历的被访者他们选择网络购物的原因主要有方便、价格低以及商品多样性, 价格虽然很重要, 但已经不是最重要的因素, 方便、省时省力是更多人的选择理由, 如何更进一步发挥网络购物此方面的优势, 是吸引和维持网民进行网络购物必须要做的一个重要方面。

三、网络购物存在分险与安全对策

Internet是一个开放的公网, 基于Internet的电子商务给商家、企业和个人带来了新的机会, 同时也给别有用心者留下了广阔的“施展”空间。在新型的交易环境下, 安全是一切交易行为的基础, 所谓安全, 是指安全策略、安全标准、安全制度及安全流程的结合。网上购物网需要涉及到很多安全性问题 (例如:密码、信用卡号码及个人信息等) 。还包括相关的法律、政策、技术规范以及网络安全, 加速商品防伪网络系统工程的建设和提高网络营销网站的信誉程度等等, 都是是网上交易的关键.如何将这些问题处理得当是十分必要的。

“安全=管理+技术”, 安全是一整套体系, 单点的安全防范技术都不能很好的解决问题。有效管理和采用完善的技术手段相结合组成了安全的体系, 该体系安全程度的高低取决于体系中最薄弱的环节。我们常用的安全防范技术有防火墙技术、C A认证技术、数据加密技术和帐号口令技术。

1. 防火墙技术

对于外部恶意攻击, 针对“黑客”入侵, 采用防火墙 (Fire Wall) 技术来防护。要使防火墙技术有效, 所有接收和发送到Internet的信息都必须经过防火墙, 接受防火墙的检查。防火墙必须只允许被授权的通讯业务通过, 并且防火墙本身也必须能够免渗透, 即系统自身对入侵是免疫的。

(1) 数据包过滤技术

路由器是网络内外通讯的必须端口, 因此, 我们连接时采用包过滤路由器。它是一个检查通过它的数据包的路由器, 限定外部用户的数据包。

(2) 应用网关技术

建立在网络应用层上的协议过滤、转发功能, 它特定的网关应用服务协议指定数据过滤逻辑, 并可根据按应用服务协议指定数据过滤逻辑进行过滤的同时, 对数据包分析的结果及采用的措施做登录和统计形成报告。

(3) 代理服务技术

代理服务器是设置在Internet防火墙网关的专用应用级编码。这种代理服务器由网络管理员决定允许或拒绝某一特定的应用程序或特定功能。

2. CA (Certificate Authority) 认证技术

为了保证秘密的信息不能被人非法获得, 同时保证信息传输过程不能被篡改, 交易的不可否认性、身份识别、网站不受非法攻击, 通常还要采用C A认证和信息加密技术。

(1) SET:安全电子交易 (Secure Electronic Transaction)

SET协议是由VISA和Master Card两大信用卡公司于1997年5月联合推出的规范。S E T主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的, 以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。

(2) PKI:公共密钥基础结构 (Pubic Key Infrastructure)

PKI (Pubic Key Infrastructure) 是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证:数据加密, 数字签名、不可否认、身份鉴别、密钥管理以及交叉认证等。PKI可通过一个基于认证的框架处理所有的数据加密和数据签名工作。

(3) SSL:安全套接层 (Secure Socket Layer)

SSL协议是由网景 (Netscape) 公司推出的一种安全通信协议, 它能够对信用卡和个人信息提供较强的保护。

四、结束语

网络经济是经济发展的必然要求, 我们还需要加强电子商务相关技术的研究工作, 加强电子商务相关技术标准的制定工作, 充分发挥政府的引导作用, 积极探索电子商务盈利模式, 使电子商务时代的网络购物得以安全发展。

参考文献

[1]王忠诚主编《:电子商务概论》, 机械工业出版社出版

[2]赵燕平主编《:电子商务基础与应用》, 北京大学出版社出版

[3]王小栋主编《:网络营销的秘诀与实例》, 中国国际广播出版社出版