电子商务网络信息安全问题探析论文

目录TOC\o"1-3"\h\u6217一电子商务信息安全的主要问题 4176二问题的成因分析 565822.1电脑黑客 5237202.2计算机病毒 570942.3技术因素 5289412.4管理因素 631475三常用网络安全技术 6151533.1反病毒软件 6116743.2密码技术 656663.3入侵检测技术 7209163.4虚拟专用网(VPN)技术 7251383.5数字签名技术 7161373.6数字时间戳技术 813764四数字认证及数字认证授权机构 8167094.1数字证书 8187774.2电子商务数字认证授权机构 810944.3电子商务信息安全协议 88503五提高电子商务信息安全的对策探讨 9193725.1开展网络安全立法和执法 9187235.2提高网络信息安全意识 961875.3加强网络安全管理 9232945.4加快网络安全专业人才培养 10电子商务网络信息安全问题探析摘要：由于电子商务的开放性及其所基于的网络全球性、无缝连通性、共享性、动态性的发展，使得电子商务的安全问题成为现今的聚焦中心，并制约着电子商务的进一步发展。所以，搭建一个安全可靠的商务平台，成为电子商务发展的关键问题。电子商务技术的推广，很大程度依赖信息安全技术的完善和提高。电子商务信息安全技术也随之摆上了人们的重要议事日程。本文分析了电子商务信息安全技术、数字认证、信息安全协议、信息安全对策等核心问题,提出了相应的对策。关键词：电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策前言美国著名未来学家阿尔温·托夫勒说：“电脑网络的建立和普及将彻底改变人类生存及生活的模式，控制与掌握网络的人就是未来命运的主宰。谁掌握了信息，控制了网络，谁就拥有整个世界。”的确，网络的国际化、社会化、开放化、个人化诱发出无限的商机，电子商务的迅速崛起，使网络成为国际竞争的新战场。然而，由于网络技术本身的缺陷，使得网络社会的脆性大大增加，一旦计算机网络受到攻击不能正常运作时，整个社会就会陷入危机。所以，构筑安全的电子商务信息环境，就成为了网络时代发展到一定阶段而不可逾越的“瓶颈”性问题，愈来愈受到国际社会的高度关注。一电子商务信息安全的主要问题电子商务主要依托Internet平台完成交易过程中双方的身份、资金等信息的传输。由于Internet的开放性、共享性、无缝连通性，安全问题是电子商务的主要技术问题，安全问题是商家和消费者以及银行最关心的问题，主要面临以下威胁：一是信息篡改，电子的交易信息在网络传输过程中，信息可能会被人、被第三者非法篡改，导致信息失去了真实性和完整性。二是信息破坏，由于一些硬件和软件问题或者是一些恶意病毒使一些信息遭到破坏。三是身份识别，若没有身份识别，交易的一方就可以对交易内容否认或者是欺诈，或者会有第三方来冒充交易的一方。四是信息泄密，即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。二问题的成因分析2.1电脑黑客黑客对于系统和编程语言大多有着深刻的认识，它是指对于电脑系统的非法入侵者，他们对于网络存在着一定程度的攻击性，也进一步恶化了网络环境。2.2计算机病毒计算机病毒的主要危害在于激发对计算机数据信息的直接破坏作用，占用磁盘空间和对信息的破坏，抢占系统资源，影响计算机运行速度，出现计算机病毒错误与不可预见的危害。人们不可能花费大量时间去分析数万种病毒的错误所在，大量含有未知错误的病毒扩散传播，其后果是难以预料的。计算机病毒的兼容性影响系统运行。兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件有限制，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机，并且对用户造成严重的心理压力。2.3技术因素网络软件设计时不可能完美无缺，总会出现一些缺陷和漏洞。这些漏洞和缺陷正是黑客进行攻击的首选目标，而且目前还没有一些技术能提前全部防范这些病毒和黑客。2.4管理因素用户安全意识淡薄、管理不善是当前存在的一个严重的问题。主要有以下三点：一是一些国家如中国缺乏强有力的权威管理机构，网络安全立法滞后，安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施；二是缺乏安全审计，安全审计是把与安全相关的事件记录到安全日志中，但是现有的网络系统大多数缺少安全审计，安全日志形同虚设；三是安全意识淡薄，人们对信息安全认识不够，过分依赖信息安全产品，缺乏细致的内部网络管理机制，一些用户警惕性不高，操作麻痹，甚至把自己账号随意交给他人。三常用网络安全技术3.1反病毒软件反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。一是防火墙技术，其目的是保护内部网络不受外部网络的攻击，及防止内部网络用户向外泄密，为用户提供一个实时监控防止病毒发作的工具。它对用户访问的每一个文件进行病毒检测，确认无毒后才会让系统接管进行下一步的工作。目前，防火墙技术主要分为分组过滤和代理服务两种类型。二是反病毒软件在线升级的方式。三是统一的防病毒管理。四是嵌人式查毒技术的形成，它将杀毒引擎直接嵌挂到IE浏览器和流行办公软件组件当中，使其与可能发生病毒侵扰的应用程序有机地结合为一体，在占用系统资源最小的情况下查杀病毒。3.2密码技术密码技术包括加密和解密两个方面。密码技术可对信息进行加密解密处理，实现信息的安全，这两者之间是密不可分的。加密是指采用数学方法对原始信息进行加工，使得加密后在网络上公开传输的内容对于非法接收者只是毫无意义的字符，对于合法的接收者，因其掌握正确的密钥，可以通过解密得到原始内容。密码系统至少包含明文、密文、密码技术，密钥几个部分。3.3入侵检测技术入侵检测技术是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。入侵检测技术针对包括系统外部的入侵和内部用户的非授权行为，是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动，系统构造和弱点的审计，识别反映已知进攻的活动模式并向相关人士报警，异常行为模式的统计分析，评估重要系统和数据文件的完整性，操作系统的审计跟踪管理，并识别用户违反安全策略的行为。3.4虚拟专用网(VPN)技术虚拟专用网(VPN)技术是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。3.5数字签名技术数字签名技术。数字签名(DigitalSignature）技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要3.6数字时间戳技术数字时间戳技术。时间戳（Time-Stamp）是一个经加密后形成的凭证文档，包括需加时间戳的文件的摘要（Digest）、DTS收到文件的日期与时间和DIS数字签名，用户首先将需要加时间的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。四数字认证及数字认证授权机构4.1数字证书它含有证书持有者的有关信息，以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性，可以控制哪些数据库能够被查看，因此提高了总体的保密性。4.2电子商务数字认证授权机构电子商务交易需要电子商务证书，而电子商务认证中心（CA）就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。4.3电子商务信息安全协议4.3.1安全套接层协议。用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。

4.3.2安全电子交易公告。安全电子交易公告（SET：SecureElectronicTransactions）是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。

4.3.3安全超文本传输协议（S-HTTP）。依靠密钥的加密，保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充，增加了报文的安全性，是基于SSL技术的。

4.3.4安全交易技术协议（STT）。STT将认证与解密在浏览器中分离开，以提高安全控制能力。

4.3.5UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。

4.3.6《电子交换贸易数据统一行为守则》（UNCID）。UNCID由国际商会制定,该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。五提高电子商务信息安全的对策探讨5.1开展网络安全立法和执法网络安全立法要吸取和借鉴国外网络信息安全立法的先进经验，结合我国国情对现行法律体系进行修改与补充，使法律体系更加科学和完善。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度，提高执法效率和质量。要对违犯国家法律法规，对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。5.2提高网络信息安全意识以有效方式和途径在全社会普及网络安全知识，提高公民的网络安全意识与自觉性，学会维护网络安全的基本技能，并在思想上把信息资源共享与信息安全防护有机统一起来，树立维护信息安全就是保生存、促发展的观念。5.3加强网络安全管理建立信息安全领导机构，有效统一、协调和研究未来趋势，制定宏观政策，实施重大决定。严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》，明确责任，规范岗位职责，制定有效防范措施，并且严把用户入网关，合理设置访问权限等。5.4加快网络安全专业人才培养加大对有良好基础的科研教育基地的支持和投入，加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动，加强对内部人员的网络安全培训，防止堡垒从内部攻破，使高素质的人才在高水平的教研环境中迅速成长和提高。电子商务模式相对于传统商务模式，具有便捷、高效的特点。电子商务信息安全问题有赖于对公钥基础设施PKI开发与应用、支付协议、物流配送协议、XML和标准化等方面深入研究和完善。同时，还必须与完善的管理相结合，才能为用户提供更为可靠的电子商务安全基础，才能促进电子商务的良好发展与和应用。参考文献1路欣;;电子商务安全技术探讨[J];职业;2005年S1期2黄晓华;;电子商务安全技术的分析与研究[J];电脑知识与技术;2008年29期3邓云岚;;浅谈电子商务中存在的网络安全问题[J];河北广播电视大学学报;2009年01期4胡晓峰;多媒体信息与多媒体信息处理[J];小型微型计算机系统;1993年08期5苏金国;电子商务应用的安全体系结构[J];计算机周刊;2001年29期6罗娜;;HYPERLINK"/Article/CJFDTOTAL-DNZS20