電子商務(wù)信息安全范文

時(shí)間:2023-10-12 17:34:08

導(dǎo)語:如何才能寫好一篇電子商務(wù)信息安全,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

電子商務(wù)信息安全

篇1

關(guān)鍵詞:電子商務(wù)信息安全;計(jì)算機(jī)網(wǎng)絡(luò)

1 問題的提出

隨著Internet網(wǎng)絡(luò)技術(shù)飛速發(fā)展及普及,電子商務(wù)(Electronic Commerce,簡稱EC)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式,越來越多的人通過Internet進(jìn)行商務(wù)活動(dòng)。電子商務(wù)是利用網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)和通信技術(shù),實(shí)現(xiàn)數(shù)字化、電子化,商務(wù)化,網(wǎng)絡(luò)化的整個(gè)商務(wù)過程,它與傳統(tǒng)商業(yè)活動(dòng)相比,最大的一個(gè)特征就是基于B/S方式下,交易雙方在不見面的情況下完成商品貿(mào)易活動(dòng)。

由于Internet自身的共享性、開放性、無縫性,那么以此為平臺(tái)的在線商務(wù)交易安全也面臨著日益嚴(yán)峻的挑戰(zhàn)。據(jù)國家信息中心信息安全研究與服務(wù)中心統(tǒng)計(jì),2012年發(fā)生了2起源代碼被盜事件,2起重大黑客攻擊事件,6起信息泄密事件,3起重大漏洞事件。2013年的棱鏡門,谷歌抓取支付寶轉(zhuǎn)賬信息,酒店開房記錄泄露等。據(jù)中國互聯(lián)網(wǎng)產(chǎn)業(yè)統(tǒng)計(jì),中國網(wǎng)民在2013年損近1500億元。對于以上的這些問題,本文將對電子商務(wù)信息安全應(yīng)用進(jìn)行研究,并提出一些合理的安全解決方法,提高電子商務(wù)交易過程中的安全性,降低實(shí)施風(fēng)險(xiǎn)。

2 國內(nèi)外電子商務(wù)安全研究現(xiàn)狀

2.1 國際電子商務(wù)安全研究現(xiàn)狀

在電子商務(wù)安全研究方面,美國是處于領(lǐng)先地位。美國國家安全局(NSA)在1983年正式頒布“受信計(jì)算機(jī)系統(tǒng)評(píng)量基準(zhǔn)”,是目前頗具權(quán)威的計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)之一。自“911”恐怖襲擊事件之后,美國公司增強(qiáng)了信息技術(shù)安全觀念,投入大量的經(jīng)費(fèi),同時(shí)加強(qiáng)信息技術(shù)安全方面的工作。從現(xiàn)在的網(wǎng)絡(luò)安全研究情況的現(xiàn)實(shí)看,解決網(wǎng)絡(luò)安全問題的根本途徑和方向是網(wǎng)絡(luò)技術(shù)創(chuàng)新,即研發(fā)新一代網(wǎng)絡(luò)技術(shù),采取“立體”措施,包括引入“中間件”層及其安全結(jié)構(gòu),在“網(wǎng)絡(luò)層”增設(shè)面向連接的實(shí)時(shí)協(xié)議、強(qiáng)化整個(gè)網(wǎng)絡(luò)系統(tǒng)的管控智能以及改進(jìn)終端加密和反黑等措施。

2.2 我國電子商務(wù)安全研究現(xiàn)狀

國務(wù)院在1996年了《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》,公安部在1997年了《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》,2000年由國家信息化推進(jìn)工作辦公室牽頭起草的《關(guān)于發(fā)展我國電子商務(wù)的若干意見》上報(bào)國家最高決策層進(jìn)行審議。網(wǎng)絡(luò)信息安全問題不但得到了政府、企業(yè)的高度重視,同時(shí)國內(nèi)的大專院校、研究所和有實(shí)力的大公司也紛紛進(jìn)入網(wǎng)絡(luò)信息安全問題的研究領(lǐng)域。

3 電子商務(wù)信息安全隱患

電子商務(wù)的信息存儲(chǔ)安全隱患主要包括:(1)內(nèi)部隱患。主要是網(wǎng)內(nèi)用戶未經(jīng)許可隨意增加、刪除、修改或無意或故意地非授權(quán)調(diào)用電子商務(wù)信息。(2)外部隱患。主要是因?yàn)檐浖栴}造成外部人員非法闖入內(nèi)網(wǎng),造成電子商務(wù)信息被增加、刪除、修改或調(diào)用。

電子商務(wù)的信息流動(dòng)安全隱患主要包括:(1)竊取商業(yè)機(jī)密。多數(shù)電子商務(wù)的信息是以明文的方式傳輸,那么攻擊者很容易的對電子商務(wù)信息進(jìn)行監(jiān)聽和截取。(2)攻擊商務(wù)網(wǎng)站。攻擊者通過傳播計(jì)算機(jī)病毒,繞過電子商務(wù)網(wǎng)站的防火墻,篡改信息,使其無法正常運(yùn)轉(zhuǎn)。(3)實(shí)施商務(wù)詐騙。不法分子通過Internet虛假信息騙取帳號(hào)、現(xiàn)金,用戶對電子商務(wù)產(chǎn)生不信任感,阻礙了電子商務(wù)的順利發(fā)展。(4)傳播不良信息。不法分子為了達(dá)到自己既有目的,在電子商務(wù)信息中推送不良信息。

電子商務(wù)交易雙方的信息安全隱患主要是:(1)商家的信息安全隱患。不法分子冒充合法用戶修改商務(wù)信息內(nèi)容,致使電子商務(wù)活動(dòng)中斷,造成商家無法從事正常的業(yè)務(wù)活動(dòng)。(2)用戶的信息安全隱患。不法分子竊用攔截合法用戶身份信息,以合法的用戶進(jìn)行電子商務(wù)活動(dòng),使用戶蒙受損失。

4 電子商務(wù)信息安全管理

在電子商務(wù)活動(dòng)中,有些信息屬于商業(yè)秘密,如果失竊,將帶來不可估量的損失,因此需有一個(gè)能不中斷地提供服務(wù)及可靠穩(wěn)定的電子商務(wù)平臺(tái),任何系統(tǒng)的中斷,如軟硬件錯(cuò)誤,病毒,網(wǎng)絡(luò)故障等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,所以電子商務(wù)信息的安全管理問題就成了電子商務(wù)順利推進(jìn)的保障。隨著電子商務(wù)的深入應(yīng)用,攻擊網(wǎng)絡(luò)技術(shù)和手段不斷改進(jìn),這就對電子商務(wù)信息系統(tǒng)的安全性提出了更高的要求,必須保證外網(wǎng)用戶不能對系統(tǒng)構(gòu)成威脅,所以人們對這些基本技術(shù)進(jìn)行了反復(fù)改進(jìn)以適應(yīng)更高的安全需求。

4.1 電子商務(wù)安全的法制建設(shè)及企業(yè)內(nèi)部管理

為了保護(hù)用戶信息在電子商務(wù)活動(dòng)中不受侵犯,政府應(yīng)該完善電子商務(wù)信息法規(guī),同時(shí),還需制定詳盡、具體、具有可操作性的賠償制度,包括精神賠償和物質(zhì)賠償,為電子商務(wù)的發(fā)展提供必要的法律保證。

在國內(nèi)對個(gè)人信息安全保護(hù)的監(jiān)管分別由公安部、工業(yè)與信息化部等部門管理,多頭管理難免會(huì)出現(xiàn)監(jiān)管漏洞。對此可以建議由國安委統(tǒng)一管理,只有權(quán)力清晰才能保證監(jiān)管沒有漏洞。

有些安全事件是“禍起蕭墻”,這就要求加強(qiáng)企業(yè)內(nèi)部安全管理,培育和加強(qiáng)企業(yè)安全意識(shí),通過企業(yè)和用戶的共同努力來實(shí)現(xiàn)。它的基本原則是在系統(tǒng)內(nèi)發(fā)生的所有行為都必須被定義好的,并且符合相應(yīng)的程序控制要求,所有行為的發(fā)生都有審計(jì)記錄,可以解決許多技術(shù)層次解決不了的安全性問題。

4.2 防火墻技術(shù)

目前的防火墻分可為兩大類,一類是簡單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先制定好的過濾邏輯,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器,其顯著的優(yōu)點(diǎn)是能提供小顆度的存取控制,可針對特別的數(shù)據(jù)過濾協(xié)議和網(wǎng)絡(luò)應(yīng)用服務(wù),并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。通過防火墻技術(shù),可以過濾掉不安全的服務(wù),提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)。但防火墻是一種被動(dòng)安全技術(shù),不能阻止來自內(nèi)部網(wǎng)絡(luò)的攻擊。唯一的解決辦法就是,在每臺(tái)計(jì)算機(jī)上都裝反病毒軟件。

4.3 病毒防范技術(shù)

計(jì)算機(jī)病毒實(shí)際上就是在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒繞過系統(tǒng)或違反授權(quán)入侵成功后,在系統(tǒng)中植入木馬等病毒程序,為以后攻擊系統(tǒng)、竊取信息做好準(zhǔn)備。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測,工作站上對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。

現(xiàn)在較流行的反病毒技術(shù)基于病毒的特征碼掃描法、文件實(shí)時(shí)監(jiān)控技術(shù)并輔以指令虛擬技術(shù)。掃描病毒:分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中,在掃描時(shí)將掃描對象與特征代碼庫比較,如有吻合則判斷為染上病毒。該技術(shù)實(shí)現(xiàn)簡單有效,安全徹底。監(jiān)控病毒:通過利用操作系統(tǒng)底層接口技術(shù),對系統(tǒng)中的指定類型的文件進(jìn)行實(shí)時(shí)的行為監(jiān)控,一旦有病毒傳染或發(fā)作時(shí)就及時(shí)報(bào)警。從而實(shí)現(xiàn)了對病毒的實(shí)時(shí)、永久、自動(dòng)監(jiān)控。刪除病毒:在刪除時(shí)采用虛擬技術(shù)對變種的病毒進(jìn)行處理或編寫出相應(yīng)的程序,將病毒移除計(jì)算機(jī)內(nèi)存。

4.4 認(rèn)證技術(shù)

安全認(rèn)證技術(shù)主要有:(1)數(shù)字摘要技術(shù),也稱安全HASH編碼法。用于對所要傳輸?shù)臄?shù)據(jù)進(jìn)行運(yùn)算生成信息摘要,它并不是一種加密機(jī)制,但能產(chǎn)生信息的數(shù)字"指紋",目的是為了確保數(shù)據(jù)沒有被篡改,從而保證數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術(shù),又稱電子簽章、公鑰數(shù)字簽名。是一種類似寫在紙上的普通的物理簽名,就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換。這種變換或數(shù)據(jù)允許數(shù)據(jù)單元的接收者用以確認(rèn)完整性和數(shù)據(jù)單元的來源并保護(hù)數(shù)據(jù),防止被人偽造。它是對電子形式的消息進(jìn)行簽名的一種方法,一個(gè)簽名消息能在一個(gè)通信網(wǎng)絡(luò)中傳輸。主要功能是保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中發(fā)生抵賴。(3)數(shù)字證書技術(shù),又稱為數(shù)字憑證。負(fù)責(zé)用電子手段來證實(shí)用戶的身份和對網(wǎng)絡(luò)資源訪問的權(quán)限。(4)數(shù)字時(shí)間戳技術(shù)(DTS)。在文件交易中,時(shí)間是十分重要的信息,需對文件交易的時(shí)間和日期信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)就能提供電子文件交易時(shí)間的安全保護(hù)。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件摘要,DTS的數(shù)字簽名,DTS收到文件的日期和時(shí)間。(5)身份認(rèn)證實(shí)際。是計(jì)算機(jī)系統(tǒng)通過審查用戶身份證明的過程,提供確認(rèn)和判別用戶身份的機(jī)制,確定用戶是否具有對系統(tǒng)資源操作和訪問權(quán)限。本質(zhì)是確認(rèn)用戶身份,用戶必須能夠證明其身份標(biāo)識(shí)合法性。身份認(rèn)證技術(shù)是訪問控制、安全審計(jì)、入侵檢測等安企機(jī)制的基礎(chǔ),在電子商務(wù)信息安全理論與技術(shù)中占有至關(guān)重要的位。目身份認(rèn)證技術(shù)主要有基于口令的認(rèn)證技術(shù)、基于密碼學(xué)的認(rèn)證技術(shù)、基于智能卡的認(rèn)證技術(shù)以及基于生物學(xué)特征的認(rèn)證技術(shù)等。

4.5 安全協(xié)議技術(shù)

電子商務(wù)安全問題的核心是電子交易的安全性,為了徹底解決電子商務(wù)的安全機(jī)制,人們開發(fā)了各種用于加強(qiáng)電子商務(wù)安全的協(xié)議。當(dāng)前廣泛應(yīng)用的電子商務(wù)安全協(xié)議主要有SET協(xié)議(Secure Electronic Transaction,安全電子交易)和SSL協(xié)議(Secure Sockets Layer,安全套接層),二者都采用了RSA算法加密。

SSL協(xié)議提供加密的SSL會(huì)話服務(wù)、SSL服務(wù)器鑒別服務(wù)以及SEL客戶鑒別服務(wù),實(shí)現(xiàn)了瀏覽器等客戶端應(yīng)用軟件與TC/IP協(xié)議之間的接口,可以對萬維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)信息進(jìn)行加密和鑒別,在雙方握手階段,對將要使用加密算法和雙方共享的會(huì)話密朗進(jìn)行協(xié)商,完成客戶與服務(wù)器之間的鑒別。目前許多運(yùn)營商利用本身的便利性,使用一些的數(shù)據(jù)收集工具,分析出客戶的需求,并為客戶提供同類商品信息,或者是分析其他運(yùn)營商的數(shù)據(jù),產(chǎn)生一種惡性競爭。對于客戶來講,提供相關(guān)的其他同類商品的信息,看似是一種個(gè)性化的服務(wù),但是同時(shí)也是在侵犯用戶的隱私,為此在應(yīng)用層也就客戶在瀏覽網(wǎng)頁時(shí),如果客戶需要商家提供相關(guān)的同類商品的信息時(shí),商家才能對客戶的數(shù)據(jù)進(jìn)行分析,否則不應(yīng)任意分析用戶的數(shù)據(jù)。

SET協(xié)議是基于應(yīng)用層的協(xié)議,是一種新的電子支付模式,它保證了開放網(wǎng)絡(luò)上使用信用卡進(jìn)行在線購物的安全。SET協(xié)議具有強(qiáng)大的驗(yàn)證功能,主要是為了解決用戶、銀行、商家之間通過信用卡的交易而設(shè)計(jì)的,它具有保證交易數(shù)據(jù)的完整性,交易的不可抵賴性等優(yōu)點(diǎn),因此它成為目前公認(rèn)的信用卡網(wǎng)上交易的國際標(biāo)準(zhǔn)。

5 結(jié)束語

電子商務(wù)信息的安全問題是一項(xiàng)復(fù)雜的系統(tǒng)工程,隨著電子商務(wù)的發(fā)展,通過各種網(wǎng)絡(luò)的交易手段也會(huì)更加多樣化,安全問題變得更加突出。它不僅涉及到動(dòng)態(tài)傳輸信息及靜態(tài)存儲(chǔ)信息的安全問題,還需要保證電子商務(wù)信息安全,加快電子商務(wù)的發(fā)展。還有在非技術(shù)方面,需要完善法律制度、管理制度和誠信制度,促進(jìn)社會(huì)公眾商務(wù)觀念的轉(zhuǎn)變等,營造電子商務(wù)信息安全的社會(huì)大環(huán)境。

[參考文獻(xiàn)]

[1]金勝男.電子商務(wù)的信息安全技術(shù)研究.技術(shù)研發(fā),2013年第12期.

[2]孟慧敏.電子商務(wù)對國際貿(mào)易的影響及應(yīng)用.電腦知識(shí)與技術(shù),2013年2月第9卷第5期.

[3]韓文虹.電子商務(wù)中安全技術(shù)的應(yīng)用研究.電子商務(wù),2013年2月.

[4]崔敏.基于電子商務(wù)的安全技術(shù)討論.網(wǎng)絡(luò)安全,2013年7月.

[5]龍愛民.電子商務(wù)的信息安全技術(shù)分析.信息技術(shù),2013年9月.

[6]牟童.電子商務(wù)安全體系結(jié)構(gòu)淺析.電子商務(wù)與電子政務(wù),2013年3月.

篇2

一 、電子商務(wù)信息的安全要素

1.機(jī)密性

傳統(tǒng)的貿(mào)易大多是通過書信或者可靠的通信渠道來發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達(dá)到保密的目的,而電子商務(wù)是在開放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的,因此要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務(wù)信息的機(jī)密性就變得非常重要。

2.完整性

電子商務(wù)極大地簡化了傳統(tǒng)貿(mào)易過程,減少了認(rèn)為的干預(yù),同時(shí)也伴隨著貿(mào)易各方商業(yè)信息的完整、同一問題。由于數(shù)據(jù)錄入時(shí)合法或非法的行為,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異。信息在傳輸?shù)倪^程中也有可能造成信息的丟失、重復(fù)或次序的差異。因此要預(yù)防對信息的各種非法操作,保證數(shù)據(jù)在傳送的過程中完整性。

3.認(rèn)證性

網(wǎng)絡(luò)環(huán)境是一個(gè)虛擬的環(huán)境,而電子商務(wù)就是在這個(gè)虛擬平臺(tái)上進(jìn)行的,貿(mào)易雙方一般都不見面,需要一些技術(shù)和策略來進(jìn)行身份確認(rèn)。當(dāng)個(gè)人或?qū)嶓w聲稱身份時(shí),電子商務(wù)服務(wù)需要提供一種方式來進(jìn)行身份認(rèn)證。

4.有效性

在交易的過程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來確認(rèn)這此信息,保證謝謝信息的有效性是開展電子商務(wù)的前提。因此要對網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的。

二、電子商務(wù)網(wǎng)絡(luò)的安全隱患

1.竊取信息

(1)交易雙方進(jìn)行交易的內(nèi)容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。

2.篡改信息

電子的交易信息在網(wǎng)絡(luò)傳輸?shù)倪^程中,可能被他人非法的修改、刪除這樣就使信息失去了真實(shí)性和完整性。

3.假冒

第三方可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。

4.惡意破壞

由于攻擊者可以接入網(wǎng)絡(luò),則可能對網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,破壞網(wǎng)絡(luò)的硬件或軟件而導(dǎo)致交易信息傳遞丟失與謬誤。計(jì)算機(jī)網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞,而使電子商務(wù)信息遭到破壞。

三、電子商務(wù)安全中的幾種技術(shù)手段

1.防火墻(FireWall)技術(shù)

防火墻是一種隔離控制技術(shù),在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。

2.加密技術(shù)

數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式:對稱加密和非對稱加密,采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng),而不能簡單地根據(jù)其加密強(qiáng)度來做出判斷。

(1)對稱加密

在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程,貿(mào)易雙方都不必彼此研究和交換專用的加密算法,如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露,那么機(jī)密性和報(bào)文完整性就可以得到保證。不過,對稱加密技術(shù)也存在一些不足,如果某一貿(mào)易方有n個(gè)貿(mào)易關(guān)系,那么他就要維護(hù)n個(gè)私有密鑰。對稱加密方式存在的另一個(gè)問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域。DES對64位二進(jìn)制數(shù)據(jù)加密,產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位,實(shí)際密鑰長度為56位(8位用于奇偶校驗(yàn))。解密時(shí)的過程和加密時(shí)相似,但密鑰的順序正好相反。

(2)非對稱加密/公開密鑰加密

在Internet中使用更多的是公鑰系統(tǒng),即公開密鑰加密。在該體系中,密鑰被分解為一對:公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開,而另一把則作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能由生成密鑰對的貿(mào)易方掌握,公開密鑰可廣泛,但它只對應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中,加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現(xiàn),但卻不能根據(jù)PK計(jì)算出SK。

常用的公鑰加密算法是RSA算法,加密強(qiáng)度很高。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)字簽名,做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名,然后用方公布的公鑰對數(shù)字簽名進(jìn)行解密,如果成功,則確定是由發(fā)送方發(fā)出的。由于加密強(qiáng)度高,而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密,因此十分適合Internet網(wǎng)上使用。

3.數(shù)字簽名

數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全核心技術(shù)之一,它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù)。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性的。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章呢?這就是數(shù)字簽名所要解決的問題。數(shù)字簽名必須保證以下幾點(diǎn):接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名;送者事后不能抵賴對報(bào)文的簽名;接收者不能偽造對報(bào)文的簽名?,F(xiàn)在己有多種實(shí)現(xiàn)數(shù)字簽名的方法,采用較多的就是公開密鑰算法。

4.數(shù)字證書

(1)認(rèn)證中心

在電子交易中,數(shù)字證書的發(fā)放不是靠交易雙方來完成的,而是由具有權(quán)威性和公正性的第三方來完成的。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

(2)數(shù)字證書

數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份及他對網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上的電子交易中,如雙方出示了各自的數(shù)字證書,并用它來進(jìn)行交易操作,那么交易雙方都可不必為對方身份的真?zhèn)螕?dān)心。

5.消息摘要(Message Digest)

消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由Ron Rivest所發(fā)明的。消息摘要是一個(gè)惟一對應(yīng)一個(gè)消息的值。它由單向Hash加密算法對所需加密的明文直接作用,生成一串128bit的密文,這一串密文又被稱為“數(shù)字指紋”( Finger Print )。所謂單向是指不能被解密,不同的明文摘要成密文,其結(jié)果是絕不會(huì)相同的,而同樣的明文其摘要必定是一致的,因此,這串摘要成為了驗(yàn)證明文是否是“真身”的數(shù)字“指紋”了。

結(jié)語:本文分析了目前電子商務(wù)的安全需求,使用的安全技術(shù)及仍存在的問題,并指

出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn),但必須強(qiáng)調(diào)說明的是,電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn):

[1] 吳洋.電子商務(wù)安全方法研究[D].天津大學(xué), 2006.

[2] 李艷.電子商務(wù)信息安全策略研究[J].甘肅科技, 2005,(06)

[3] 成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評(píng)估[J].計(jì)算機(jī)工程, 2003,(02).

[4]大衛(wèi)·范胡斯.電子商務(wù)經(jīng)濟(jì)學(xué)[M].北京:機(jī)械工業(yè)出版社,2003.

[5]楊善林.電子商務(wù)概論[M].北京:機(jī)械工業(yè)出版社,2003.

[6]劉麗梅. 電子商務(wù)信息安全問題探討[J ] . 物流科技,2007 ,3

篇3

【關(guān)鍵詞】電子商務(wù);信息安全;信息技術(shù)

電子商務(wù)概念源于英文Elect ronic Commerce , 簡寫EC。美國《商業(yè)周刊》認(rèn)為, Internet 已經(jīng)成為" 有史以來最激動(dòng)人心的生意場" 。電子商務(wù)介入世界經(jīng)濟(jì)活動(dòng)并成為其中主角是必然的發(fā)展趨勢。據(jù)統(tǒng)計(jì)1998 年全球電子商務(wù)交易額為1020 億美元,2003 年電子商務(wù)交易額達(dá)到1. 3 萬億美元,約占世界貿(mào)易總額的1/ 4 ,到2005 年將達(dá)到2~3 萬億美元。由于大量的信息在網(wǎng)上傳遞,大量的資金在網(wǎng)上劃撥流動(dòng),這就要求網(wǎng)上信息必須具有高度的可靠性和絕對的保密性。但是出于各種目的的網(wǎng)絡(luò)入侵和攻擊也越來越頻繁,脆弱的網(wǎng)絡(luò)和不成熟的電子商務(wù)增強(qiáng)了人們的防范心理。從這點(diǎn)上來看,信息安全問題是保障電子商務(wù)的生命線。

1 、電子商務(wù)信息的安全要素

1. 1 機(jī)密性

傳統(tǒng)的貿(mào)易大多是通過書信或者可靠的通信渠道來發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達(dá)到保密的目的,而電子商務(wù)是在開放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的,因此要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務(wù)信息的機(jī)密性就變得非常重要。

1. 2 完整性

電子商務(wù)極大地簡化了傳統(tǒng)貿(mào)易過程,減少了認(rèn)為的干預(yù),同時(shí)也伴隨著貿(mào)易各方商業(yè)信息的完整、同一問題。由于數(shù)據(jù)錄入時(shí)合法或非法的行為,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異。信息在傳輸?shù)倪^程中也有可能造成信息的丟失、重復(fù)或次序的差異。因此要預(yù)防對信息的各種非法操作,保證數(shù)據(jù)在傳送的過程中完整性。

1. 3 認(rèn)證性

網(wǎng)絡(luò)環(huán)境是一個(gè)虛擬的環(huán)境,而電子商務(wù)就是在這個(gè)虛擬平臺(tái)上進(jìn)行的,貿(mào)易雙方一般都不見面,需要一些技術(shù)和策略來進(jìn)行身份確認(rèn)。當(dāng)個(gè)人或?qū)嶓w聲稱身份時(shí),電子商務(wù)服務(wù)需要提供一種方式來進(jìn)行身份認(rèn)證。

1. 4 有效性

在交易的過程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來確認(rèn)這此信息,保證謝謝信息的有效性是開展電子商務(wù)的前提。因此要對網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的。

2 、電子商務(wù)安全中存在的問題

電子商務(wù)是實(shí)現(xiàn)整個(gè)貿(mào)易過程中各階段貿(mào)易活動(dòng)的電子化。公眾是電子商務(wù)的對象,信息技術(shù)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ),電子商務(wù)實(shí)施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務(wù)活動(dòng)中的信息安全問題主要體現(xiàn)在以下幾個(gè)方面。

2. 1 計(jì)算機(jī)網(wǎng)絡(luò)的安全

2. 1. 1 安全協(xié)議問題

隨著經(jīng)濟(jì)和信息全球化的時(shí)代到來,但安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對制約了國際性的商務(wù)活動(dòng)。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

2. 1. 2 信息的安全問題

非法用戶在網(wǎng)絡(luò)的傳輸上,通過不正當(dāng)手段,非法攔截會(huì)話數(shù)據(jù)獲得合法用戶的有效信息,最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密或者是非法用戶對截獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實(shí)性和完整性,導(dǎo)致合法用戶無法正常交易,還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送,惡意攻擊對方的網(wǎng)絡(luò)硬件和軟件。

2. 1. 3 防病毒問題

電腦病毒問世十多年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。

2. 1. 4 服務(wù)器的安全問題。

電子商務(wù)服務(wù)器是電子商務(wù)的核心,安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息,并且服務(wù)器上的數(shù)據(jù)庫里有企業(yè)的一些保密數(shù)據(jù),如價(jià)格、成本等,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果也是非常嚴(yán)重的。目前服務(wù)器的安全問題尚無有效措施予以阻止。主要表現(xiàn)在:非法用戶向網(wǎng)絡(luò)或主機(jī)發(fā)送大量非法或無效的請求,使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù),利用操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全漏洞,通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求,使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)。

2. 2 電子商務(wù)交易的安全

2. 2. 1 身份的不確定問題

由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái),在這個(gè)平臺(tái)上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段竊取合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,從中獲得非法收入。主要表現(xiàn)有:冒充他人身份;冒充他人消費(fèi)、栽贓、冒充主機(jī)欺騙合法主機(jī)及合法用戶等。

2. 2. 2 交易的抵賴問題

電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。如自己應(yīng)承擔(dān)的責(zé)任如:者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容;購買者做了訂貨單不承認(rèn),商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界為交易雙方的糾紛進(jìn)行公證、仲裁。

2. 2. 3 交易的修改問題

交易文件是不可修改的,否則必然會(huì)影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正。

2. 3 其他方面的安全

電子商務(wù)安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題:網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題,急需為電子商務(wù)提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。[ ]

3 、保障電子商務(wù)信息安全措施

3. 1 數(shù)據(jù)加密策略

加密技術(shù)是電子商務(wù)的最基本措施,最初主要用與保證數(shù)據(jù)在存儲(chǔ)和傳輸過程中的保密性。隨著電子商務(wù)的發(fā)展,對數(shù)據(jù)完整性以及身份鑒定技術(shù)提出了新的要求,數(shù)字簽名、身份認(rèn)證就是為了適應(yīng)這種需要在密碼學(xué)中派生出來的新技術(shù)和新應(yīng)用。加密技術(shù)是一種主動(dòng)的信息安全防范策略,利用一定的加密算法. 將明文轉(zhuǎn)換成毫無意義的密文。阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。

比較廣泛使用的加密技術(shù)有兩種:一是對稱密鑰加密體制,一是非對稱密鑰加密體制。它們的區(qū)別在于密鑰的類型不同。

3. 1. 1 對稱密鑰加密體制

對稱密鑰加密,又稱私鑰加密(Secret Key Encryption) ,即數(shù)據(jù)加密和解密采用的都是同一個(gè)密鑰,因而其安全性依賴于所持有密鑰的安全性,其最大的優(yōu)點(diǎn)就是速度快,適合于對大數(shù)據(jù)量進(jìn)行加密,但其最大的缺點(diǎn)是在大量用戶的情況下密鑰答理復(fù)雜,而且無法完成身份認(rèn)證等功能,不便于應(yīng)用于網(wǎng)絡(luò)開放的環(huán)境中。

3. 1. 2 非對稱密鑰加密體制

非對稱密鑰加密體制,又稱公鑰加密( Public Key Encryp2tion) ,數(shù)據(jù)加密和解密采用不同的密鑰,需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分解為一對。這對鑰中的在何一把都可作為公開密鑰,加密密鑰,通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數(shù)據(jù)的接受者掌握。

利用公鑰體系可以方便地實(shí)現(xiàn)對用戶的身份認(rèn)證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸?shù)男畔⑦M(jìn)行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進(jìn)行解密,如果能夠解開,說明信息確實(shí)為該用戶所發(fā)送,這樣就方便地實(shí)現(xiàn)了對信息發(fā)送方身份的鑒別和認(rèn)證。

通常在實(shí)際應(yīng)用中將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用. 在保證數(shù)據(jù)傳輸完整性的同時(shí)完成對用戶的身份認(rèn)證。

3. 2 防火墻技術(shù)

現(xiàn)有的防火墻技術(shù)包括兩大類:數(shù)據(jù)包過濾和服務(wù)技術(shù)。其中,最簡單和最常用的是包過濾防火墻,它檢查接受到的每個(gè)數(shù)據(jù)包的頭,以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過濾,所以可以有效地避兔對其進(jìn)行的有意或無意的攻擊,從而保證了專用私有網(wǎng)的安全。將包過濾防火墻與服務(wù)器結(jié)合起來使用是解決網(wǎng)絡(luò)安全問題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于: (1) 防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊,不能防止網(wǎng)絡(luò)內(nèi)部用戶對于網(wǎng)絡(luò)的攻擊。(2) 防火墻不能保證數(shù)據(jù)的秘密性,也不能保證網(wǎng)絡(luò)不受病毒的攻擊,它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動(dòng)攻擊和入侵。

3. 3 身份驗(yàn)證技術(shù)

3. 3. 1 認(rèn)證系統(tǒng)

網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。數(shù)字證書的頒發(fā)機(jī)構(gòu)叫做Certificate Authority ,通常簡稱為CA。要建立安全的電子商務(wù)系統(tǒng),首先必須建立一個(gè)穩(wěn)固、健全的CA ,否則,一切網(wǎng)上的交易都沒有安全保障。

篇4

[關(guān)鍵詞] 電子商務(wù)信息安全PKI機(jī)制

最近幾年,電子商務(wù)以其便利快捷的特點(diǎn)迅速發(fā)展起來,但是安全問題一直是阻礙其發(fā)展的關(guān)鍵因素。雖然信息安全技術(shù)的研究和應(yīng)用為互聯(lián)網(wǎng)絡(luò)安全提供了必要的基礎(chǔ)設(shè)施,但是電子商務(wù)信息的機(jī)密性和完整性仍然是迫切需要解決的問題,本文就是針對這一問題展開了深入研究并提出了解決方法。

一、電子商務(wù)中的信息安全問題

1.截獲信息。未加密的數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。

2.篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改,然后再發(fā)向目的地,從而導(dǎo)致部分信息與原始信息不一致。

3.偽造信息。攻擊者冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息,而遠(yuǎn)端用戶通常很難分辨。

4.中斷信息。攻擊者利用IP欺騙,偽造虛假TCP報(bào)文,中斷正常的TCP連接,從而造成信息中斷。

二、PKI及其加密體制

電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)、病毒檢測及清除技術(shù)、內(nèi)容分類識(shí)別和過濾技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測報(bào)警與審計(jì)技術(shù)等。其中密碼技術(shù)和鑒別技術(shù)是重中之重,PKI及其加密體制是實(shí)現(xiàn)這兩種技術(shù)的載體。

1.PKI的定義和功能。PKI是對公鑰所表示的信任關(guān)系進(jìn)行管理的一種機(jī)制,它為Internet用戶和應(yīng)用程序提供公鑰加密和數(shù)字簽名服務(wù), PKI的功能主要包括:公鑰加密、證書、證書確認(rèn)、證書撤銷。

2.對稱密碼體制。對稱密碼體制的基本特點(diǎn)是解密算法就是加密算法的逆運(yùn)算,加秘密鑰就是解秘密鑰。在對稱密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送,而雙方實(shí)體通信所用的秘密鑰也必須妥善保管。常見的對稱加密算法包括DES、三重DES和IDEA等。

3.非對稱密碼體制。非對稱密碼體制也稱公鑰密碼體制。非對稱密碼體制的基本特點(diǎn)是存在一個(gè)公鑰/私鑰對,用私鑰加密的信息只能用對應(yīng)的公鑰解密,用公鑰加密的信息只能用對應(yīng)的私鑰解密。著名的非對稱加密算法是RSA。RSA使用的一個(gè)密鑰對是由兩個(gè)大素?cái)?shù)經(jīng)過運(yùn)算產(chǎn)生的結(jié)果:其中一個(gè)是公鑰,為眾多實(shí)體所知;另外一個(gè)是私鑰,為了確保他的保密性和完整性,必須嚴(yán)格控制并只有他的所有者才能使用。RSA加密算法的最基本特征就是用密鑰對中的一個(gè)密鑰加密的消息只能用另外一個(gè)解密,這也就體現(xiàn)了RSA系統(tǒng)的非對稱性。

RSA的數(shù)字簽名過程如下:s=md mod n,其中m是消息,s是數(shù)字簽名的結(jié)果,d和n是消息發(fā)送者的私鑰。

消息的解密過程如下:m=se mod n,其中e和n是發(fā)送者的公鑰。

4.數(shù)字簽名。數(shù)字簽名通常使用RSA算法。RSA的數(shù)字簽名是其加密的相反方式,即由一個(gè)實(shí)體用它的私鑰將明文加密而生成的。這種加密允許一個(gè)實(shí)體向多個(gè)實(shí)體發(fā)送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發(fā)送者的公鑰就可以解密。

5.散列(Hash)函數(shù)。MD5與SHA1都屬于HASH函數(shù)標(biāo)準(zhǔn)算法中兩大重要算法,就是把一個(gè)任意長度的信息經(jīng)過復(fù)雜的運(yùn)算變成一個(gè)固定長度的數(shù)值或者信息串,主要用于證明原文的完整性和準(zhǔn)確性,是為電子文件加密的重要工具。一般來說,對于給出的一個(gè)文件要算它的Hash碼很容易,但要從Hash碼找出相應(yīng)的文件算法卻很難。Hash函數(shù)最根本的特點(diǎn)是這種變換具有單向性,一旦數(shù)據(jù)被轉(zhuǎn)換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結(jié)果,達(dá)到防止信息被篡改的目的。由于Hash函數(shù)的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數(shù)字簽名。

三、對稱和非對稱加密體制相結(jié)合的應(yīng)用模型

將對稱和非對稱加密體制相結(jié)合,能夠確保電子商務(wù)信息的完整性和機(jī)密性。下面是具體的應(yīng)用模型。

假設(shè)Alice和Bob擁有各自的一個(gè)公鑰/私鑰對,由共同信任的第三方頒發(fā)的數(shù)字證書以及一個(gè)對稱秘密鑰?,F(xiàn)在Alice欲發(fā)送消息給Bob,并且要求確保數(shù)據(jù)的完整性,即消息內(nèi)容不能發(fā)生變動(dòng);同時(shí)Alice和Bob都希望確保信息的機(jī)密性,即不容許除雙方之外的其他實(shí)體能夠察看該消息。

加密過程:Alice按照雙方約定的規(guī)則格式化消息,然后用Hash函數(shù)取得該消息的哈希值,該值將被用來測試消息的合法性和完整性。接著Alice用私鑰對消息和散列值進(jìn)行簽名。這一簽名確保了消息的完整性,因?yàn)锽ob認(rèn)為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名。但這僅僅保證了消息的完整性,而沒有確保其機(jī)密性。為此,Alice必須向Bob提供它用來給消息加密的對稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息。Alice用Bob的公鑰將自己的對稱秘密鑰簽名(加密),這樣就形成了一個(gè)數(shù)字信箋,并且只有Bob才能將其打開(解密),因?yàn)橹挥蠦ob能夠訪問用來打開該數(shù)字信箋的私鑰。這樣就為Alice向Bob傳輸對稱秘密鑰提供了機(jī)密性。

篇5

[關(guān)鍵詞]電子商務(wù);PKI;公鑰密碼系統(tǒng)

前 言

電子商務(wù)(E-Commerce)是在Internet開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器服務(wù)器的應(yīng)用方式,實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購物商戶之間的網(wǎng)上交易和在線電子支付的商業(yè)運(yùn)營模式最近幾年,電子商務(wù)以其便利快捷的特點(diǎn)迅速發(fā)展起來,但是安全問題一直是阻礙其發(fā)展的關(guān)鍵因素雖然PKI的研究和應(yīng)用為互聯(lián)網(wǎng)絡(luò)安全提供了必要的基礎(chǔ)設(shè)施,但是電子商務(wù)信息的機(jī)密性和完整性仍然是迫切需要解決的問題,本文針對這一問題展開了深入研究并提出了解決方法

1 PKI的定義和功能

PKI——公鑰基礎(chǔ)設(shè)施,是構(gòu)建網(wǎng)絡(luò)應(yīng)用的安全保障,專為開放型大型互聯(lián)網(wǎng)的應(yīng)用環(huán)境而設(shè)計(jì)PKI是對公鑰所表示的信任關(guān)系進(jìn)行管理的一種機(jī)制,它為Internet用戶和應(yīng)用程序提供公鑰加密和數(shù)字簽名服務(wù),目的是為了管理密鑰和證書,保證網(wǎng)上數(shù)字信息傳輸?shù)臋C(jī)密性真實(shí)性完整性和不可否認(rèn)性,以使用戶能夠可靠地使用非對稱密鑰加密技術(shù)來增強(qiáng)自己的安全水平PKI的功能主要包括:公鑰加密證書證書確認(rèn)證書撤銷

2 公鑰密碼系統(tǒng)

由于PKI廣泛應(yīng)用于電子商務(wù),故文章重點(diǎn)放在討論RSA公鑰密碼系統(tǒng)上RSA的安全性是基于數(shù)論和計(jì)算復(fù)雜性理論中的下述論斷:求兩個(gè)大素?cái)?shù)的乘積在計(jì)算上是容易的,但若分解兩個(gè)大素?cái)?shù)的積而求出它的因子則在計(jì)算上是困難的,它屬于NPI類

2. 1RSA系統(tǒng)

RSA使用的一個(gè)密鑰對是由兩個(gè)大素?cái)?shù)經(jīng)過運(yùn)算產(chǎn)生的結(jié)果:其中一個(gè)是公鑰,為眾多實(shí)體所知;另外一個(gè)是私鑰,為了確保其保密性和完整性,必須嚴(yán)格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密鑰對中的一個(gè)密鑰加密的消息只能用另外一個(gè)解密,這也就體現(xiàn)了RSA系統(tǒng)的非對稱性RSA具有加密和數(shù)字簽名功能RSA產(chǎn)生公鑰/私鑰對加解密的過程如下:

2. 1. 1產(chǎn)生一個(gè)公鑰/私鑰對

(1)選取兩個(gè)大素?cái)?shù)p和q,為了獲得最大程度的安全性,兩個(gè)數(shù)的長度最好相同兩個(gè)素?cái)?shù)p和q必須保密

(2)計(jì)算p與q的乘積:n =p*q

(3)再由p和q計(jì)算另一個(gè)數(shù)z = (p-1)*(q-1)

(4)隨機(jī)選取加密密鑰e,使e和z互素

(5)用歐幾里得擴(kuò)展算法計(jì)算解密密鑰d,以滿足e*d = 1mod(z)

(6)由此而得到的兩組數(shù)(n,e)和(n,d)分別被稱為公鑰和私鑰

2. 1. 2加密/解密過程

RSA的加密方法是一個(gè)實(shí)體用另外一個(gè)實(shí)體的公鑰完成加密過程,這就允許多個(gè)實(shí)體發(fā)送一個(gè)實(shí)體加密過的消息而不用事先交換秘密鑰或者私鑰,并且由于加密是用公鑰執(zhí)行的,所以解密只能用其對應(yīng)的私鑰來完成,因此只有目標(biāo)接受者才能解密并讀取原始消息

在實(shí)際操作中,RSA采用一種分組加密算法,加密消息m時(shí),首先將它分成比n小的數(shù)據(jù)分組(采用二進(jìn)制數(shù),選取小于n的2的最大次冪),加密后的密文c,將由相同長度的分組ci組成加密公式簡化為:

ci =mie(modn)

即對于明文m,用公鑰(n,e)加密可得到密文c:

c = memod n ,其中m = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)

解密消息時(shí),取每一個(gè)加密后的分組ci并計(jì)算:mi=ci d(mod n),便能恢復(fù)出明文即對于密文c,用接收者的私鑰(n,d)解密可得到明文m:

m = cd mod nm = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)

2. 1. 3數(shù)字簽名

RSA的數(shù)字簽名是加密的相反方式,即由一個(gè)實(shí)體用它的私鑰將明文加密而生成的這種加密允許一個(gè)實(shí)體向多個(gè)實(shí)體發(fā)送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發(fā)送者的公鑰就可以解密

RSA的數(shù)字簽名過程如下:

s = md mod n , 其中m是消息,s是數(shù)字簽名的結(jié)果,d和n是消息發(fā)送者的私鑰

消息的解密過程如下:

m = se mod n , 其中e和n是發(fā)送者的公鑰

2. 1. 4散列(Hash)函數(shù)

MD5與SHA1都屬于Hash函數(shù)標(biāo)準(zhǔn)算法中兩大重要算法,就是把一個(gè)任意長度的信息經(jīng)過復(fù)雜的運(yùn)算變成一個(gè)固定長度的數(shù)值或者信息串,主要用于證明原文的完整性和準(zhǔn)確性,是為電子文件加密的重要工具一般來說,對于給出的一個(gè)文件要算它的Hash碼很容易,但要從Hash碼找出相應(yīng)的文件算法卻很難Hash函數(shù)最根本的特點(diǎn)是這種變換具有單向性,一旦數(shù)據(jù)被轉(zhuǎn)換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結(jié)果,達(dá)到防止信息被篡改的目的由于Hash函數(shù)的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數(shù)字簽名

2. 2對稱密碼系統(tǒng)

對稱密碼系統(tǒng)的基本特點(diǎn)是解密算法就是加密算法的逆運(yùn)算,加秘密鑰就是解秘密鑰它通常用來加密帶有大量數(shù)據(jù)的報(bào)文和問卷通信的信息,因?yàn)檫@兩種通信可實(shí)現(xiàn)高速加密算法在對稱密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送,而雙方實(shí)體通信所用的秘密鑰也必須妥善保管

3 應(yīng)用模型

利用公鑰加密系統(tǒng)可以解決電子商務(wù)中信息的機(jī)密性和完整性的要求,下面是具體的應(yīng)用模型在本例中,Alice與Bob兩個(gè)實(shí)體共享同一個(gè)信任點(diǎn),即它們使用同一CA簽發(fā)的數(shù)字證書因此,它們無需評(píng)價(jià)信任鏈去決定是否信任其他CA

3. 1準(zhǔn)備工作

(1)Alice與Bob各自生成一個(gè)公鑰/私鑰對;

(2)Alice與Bob向RA(機(jī)構(gòu))提供各自的公鑰名稱和描述信息;

(3)RA審核它們的身份并向CA提交證書申請;

(4)CA格式化Alice和Bob的公鑰及其他信息,為Alice和Bob分別生成公鑰證書,然后用自己的私鑰對證書進(jìn)行數(shù)字簽名;

(5)上述過程的結(jié)果是,Alice與Bob分別擁有各自的一個(gè)公鑰/私鑰對和公鑰證書;

(6)Alice與Bob各自生成一個(gè)對稱秘密鑰

現(xiàn)在,Alice和Bob擁有各自的一個(gè)公鑰/私鑰對,由共同信任的第三方頒發(fā)的數(shù)字證書以及一個(gè)對稱密鑰

3. 2處理過程

假設(shè)現(xiàn)在Alice欲發(fā)送消息給Bob,并且要求確保數(shù)據(jù)的完整性,即消息內(nèi)容不能發(fā)生變動(dòng);同時(shí)Alice和Bob都希望確保信息的機(jī)密性,即不容許除雙方之外的其他實(shí)體能夠查看該消息完成這樣要求的處理過程如下:其中步驟1~5說明Alice加密消息過程;步驟6~10說明Bob解密消息的過程 轉(zhuǎn)貼于

(1)Alice按照雙方約定的規(guī)則格式化消息,然后用Hash函數(shù)取得該消息的散列值,該值將被用來測試消息的合法性和完整性

(2)Alice用私鑰對消息和散列值進(jìn)行簽名(加密)這一簽名確保了消息的完整性,因?yàn)锽ob認(rèn)為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名值得注意的是:現(xiàn)在任何有權(quán)訪問Alice公鑰的實(shí)體都能解密該被簽名的消息,所以我們僅僅是保證了消息的完整性,而沒有確保其機(jī)密性

(3)由于Alice和Bob之間想保持消息的機(jī)密性,所以Alice用它的對稱秘密鑰加密被簽名的消息和散列值這一對稱秘密鑰只有Alice和Bob共享而不被其他實(shí)體所用注意,在本例中,我們使用了一個(gè)對稱秘密鑰,這是因?yàn)閷τ诩用茌^長消息諸如訂購信息來說,利用對稱加密比公鑰加密更為有效

(4)Alice必須向Bob提供它用來給消息加密的對稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息Alice用Bob的公鑰將自己的對稱秘密鑰簽名(加密),這里我們假設(shè)Alice事先已經(jīng)獲得Bob的公鑰,這樣就形成了一個(gè)數(shù)字信箋,并且只有Bob才能將其打開(解密),因?yàn)橹挥蠦ob能夠訪問用來打開該數(shù)字信箋的私鑰注意,一個(gè)公鑰/私鑰對中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密這就為Alice向Bob傳輸對稱秘密鑰提供了機(jī)密性

(5)Alice發(fā)送給Bob的信息包括它用對稱秘密鑰加密的原始消息和散列值,以及用Bob公鑰加密的包含Alice的對稱秘密鑰的數(shù)字信箋圖1描述了Alice使用數(shù)字簽名向Bob發(fā)送消息(步驟1~5)

(6)Bob用它的私鑰打開(解密)來自于Alice的數(shù)字信箋完成這一過程將使Bob獲得Alice以前用來加密消息和散列值的對稱秘密鑰

(7)Bob現(xiàn)在可以打開(解密)用Alice的對稱秘密鑰加密的消息和散列值解密后Bob得到了用Alice的私鑰簽名的消息和散列值

(8)Bob用Alice的公鑰解密簽名的消息和散列值注意,一個(gè)公鑰/私鑰對中,用其中一個(gè)密鑰加密的信息只有用另外一個(gè)密鑰才能解密

(9)為了證實(shí)消息沒有經(jīng)過任何改動(dòng),Bob將原始消息采用與Alice最初使用的完全一致的Hash函數(shù)進(jìn)行轉(zhuǎn)化

(10)最后,Bob將得出的散列值與它從所收消息中解密出來的散列值對比,若二者相同,則證明了消息的完整性圖2描述了Bob解密和對比散列值的過程(步驟6~10)

3. 3實(shí)現(xiàn)方法

采用Java語言實(shí)現(xiàn)系統(tǒng),Java語言本身提供了一些基本的安全方面的函數(shù),我們可以在此基礎(chǔ)上實(shí)現(xiàn)更為復(fù)雜和有效的應(yīng)用系統(tǒng)系統(tǒng)中主要的類實(shí)現(xiàn)如下:

(1)Data Encryption類該類主要實(shí)現(xiàn)明文向密文的轉(zhuǎn)換,依據(jù)RSA算法的規(guī)則實(shí)現(xiàn)非對稱加密,其中密鑰長度為128位每次可加密數(shù)據(jù)的最大長度為512字節(jié),因此對于較長數(shù)據(jù)的加密需要?jiǎng)澐诌m當(dāng)大小的數(shù)據(jù)塊

(2)Data Hash類該類完成對所要加密消息產(chǎn)生對應(yīng)的散列值,對于不同的消息,散列值是不相同的可以借助Java中提供的Hash函數(shù)來實(shí)現(xiàn)

(3)Data Decryption類該類主要實(shí)現(xiàn)密文向明文的轉(zhuǎn)換,依據(jù)依據(jù)RSA算法的規(guī)則,利用加密方的公鑰對密文進(jìn)行解密,并將解密后的明文按序排好

4 結(jié)束語

文章以PKI理論為基礎(chǔ),利用公鑰密碼系統(tǒng)確保了電子商務(wù)過程中所傳輸消息的完整性,使用對稱加密系統(tǒng)實(shí)現(xiàn)對較長消息的加密,并保證了消息的機(jī)密性文章的理論研究和實(shí)現(xiàn)方法,對于保障電子商務(wù)活動(dòng)中消息的完整性和機(jī)密性具有重要的指導(dǎo)意義

主要參考文獻(xiàn)

[1] 周學(xué)廣,劉藝. 信息安全學(xué)[M]. 北京:機(jī)械工業(yè)出版社,2004.

篇6

電子商務(wù)信息安全問題主要有:

1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù),獲取機(jī)密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后,通過技術(shù)手段對網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地,破壞信息完整性。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息、購買者做了定貨單不承認(rèn)等。

二、信息安全要求

電子商務(wù)的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護(hù)。信息安全包括以下幾方面:

1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障。由于建立在開放網(wǎng)絡(luò)環(huán)境中,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ),影響到交易和經(jīng)營策略。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹?,預(yù)防對信息隨意生成、修改和刪除,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.信息有效性:保證信息有效性是開展電子商務(wù)前提,關(guān)系到企業(yè)或國家的經(jīng)濟(jì)利益。對網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。為防止計(jì)算機(jī)失效、程序錯(cuò)誤、系統(tǒng)軟件錯(cuò)誤等威脅,通過控制與預(yù)防確保系統(tǒng)安全可靠。

三、信息安全技術(shù)

1.防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障,根據(jù)指定策略對數(shù)據(jù)過濾、分析和審計(jì),并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息,然后逐項(xiàng)剔除有害內(nèi)容。

防火墻技術(shù)主要有:(1)包過濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過,核心是安全策略即過濾算法設(shè)計(jì)。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)中間轉(zhuǎn)接作用。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù):把過濾和服務(wù)兩種方法結(jié)合形成新防火墻,所用主機(jī)稱為堡壘主機(jī),提供服務(wù)。(5)審計(jì)技術(shù):通過對網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志,對日志統(tǒng)計(jì)分析,對資源使用情況分析,對異?,F(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù):加密路由器對通過路由器的信息流加密和壓縮,再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。2.加密技術(shù)。為保證數(shù)據(jù)和交易安全,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方,保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋,有固定長度且不同明文摘要成密文結(jié)果不同,而同樣明文摘要必定一致。這串摘要成為驗(yàn)證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認(rèn)文件的手段。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn),從而確認(rèn)文件已簽署;二是因?yàn)楹灻灰追旅埃瑥亩_定文件為真。(4)數(shù)字時(shí)間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)。

3.認(rèn)證技術(shù)。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息完整性,確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證、數(shù)字標(biāo)識(shí),用電子手段證實(shí)用戶身份及對網(wǎng)絡(luò)資源的訪問權(quán)限,可控制被查看的數(shù)據(jù)庫,提高總體保密性。交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心。無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書發(fā)放,都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu),受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書管理。

4.防病毒技術(shù)。(1)預(yù)防病毒技術(shù),通過自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲取系統(tǒng)控制權(quán),監(jiān)視系統(tǒng)中是否有病毒,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對系統(tǒng)破壞。(2)檢測病毒技術(shù),通過對計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測技術(shù),如自身校驗(yàn)、關(guān)鍵字、文件長度變化。(3)消除病毒技術(shù),通過對計(jì)算機(jī)病毒分析,開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發(fā),使計(jì)算機(jī)始終處于良好工作狀態(tài)。

四、結(jié)語

信息安全是電子商務(wù)的核心。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù),提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠,還必須完善電子商務(wù)立法,以規(guī)范存在的各類問題,引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn):

[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006

篇7

一、電子商務(wù)的基本概述

如今在英文中人們多用Electronic Bussiness來表示電子商務(wù)這一詞匯,這體現(xiàn)了電子商務(wù)內(nèi)容和模式的多元化、多方向。聯(lián)合國國際貿(mào)易程序簡化工作組對電子商務(wù)給出了一個(gè)概括性的定義:電子商務(wù)是采用電子形式開展的商務(wù)活動(dòng)。它包括在供應(yīng)商、客戶以及其他參與方之間通過任何電子工具,如Web技術(shù)、電子郵件等共享非結(jié)構(gòu)化或結(jié)構(gòu)化商務(wù)信息,并管理和完成在商務(wù)活動(dòng)、管理活動(dòng)和消費(fèi)活動(dòng)中的各種交易。

1.電子商務(wù)的興起及其原因

(1)電子商務(wù)的產(chǎn)生

電子商務(wù)起源于電子數(shù)據(jù)處理技術(shù)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,電子數(shù)據(jù)資料的交換載體從軟盤、磁帶等轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)。銀行間的電子資金轉(zhuǎn)賬技術(shù)與企事業(yè)單位間的電子數(shù)據(jù)交換技術(shù)相結(jié)合,成為早期電子商務(wù)的催生劑。信用卡、自動(dòng)柜員機(jī)和電子資金轉(zhuǎn)賬技術(shù)的發(fā)展,以及相應(yīng)的網(wǎng)絡(luò)通信技術(shù)和安全技術(shù)的發(fā)展,最終導(dǎo)致了電子商務(wù)的產(chǎn)生。

(2)電子商務(wù)的發(fā)展階段

電子商務(wù)是伴隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展而逐步走向成熟的。它的發(fā)展是傳統(tǒng)商務(wù)想電子商務(wù)的演進(jìn)過程。在這個(gè)歷程中,我們可以大致將其分為幾個(gè)階段:

第一,電子商務(wù)初級(jí)階段

這個(gè)階段的電子商務(wù)是在傳統(tǒng)商務(wù)的基礎(chǔ)上,增加了電子郵件的信息傳遞方式以及利用Web功能手機(jī)和信息的手段,特點(diǎn)是以傳統(tǒng)商務(wù)為主,電子商務(wù)為輔。這一階段電子商務(wù)的整體效應(yīng)遠(yuǎn)沒有發(fā)揮出來。

第二,電子商務(wù)實(shí)用階段

在實(shí)用階段中,電子商務(wù)整體架構(gòu)已經(jīng)形成,而且已初步解決交易電子化技術(shù)和環(huán)境方面的障礙。電子商務(wù)開始占據(jù)市場的主導(dǎo)地位,但仍有一些傳統(tǒng)商務(wù)手段難以被替代。在此階段,電子商務(wù)開始體現(xiàn)其在企業(yè)競爭中的巨大優(yōu)勢。

第三,電子商務(wù)的成熟階段

經(jīng)過不斷的研究,電子商務(wù)走向了成熟。在企業(yè)外部,使企業(yè)與供應(yīng)商、客戶以及合作伙伴之間形成了供應(yīng)鏈系統(tǒng)。而在企業(yè)內(nèi)部,加強(qiáng)了企業(yè)內(nèi)部各事業(yè)部、各子公司之間的溝通,強(qiáng)化內(nèi)部管理,提搞工作效率,大大提高企業(yè)競爭力。

2.電子商務(wù)的內(nèi)涵與價(jià)值

從電子商務(wù)的定義中,可以總結(jié)出電子商務(wù)的內(nèi)涵,即:信息技術(shù),特別是互聯(lián)網(wǎng)技術(shù)的出現(xiàn)和發(fā)展是開展電子商務(wù)的前提條件,掌握現(xiàn)代信息技術(shù)和業(yè)務(wù)理論控制是電子商務(wù)活動(dòng)的核心;系列化,系統(tǒng)化電子工具是電子商務(wù)活動(dòng)的基礎(chǔ);商品貿(mào)易的中心,即各種經(jīng)濟(jì)事務(wù)活動(dòng)是電子商務(wù)的對象。

總結(jié)來說電子商務(wù)的內(nèi)涵是:信息運(yùn)營、集成信息資源、商務(wù)貿(mào)易、協(xié)作交流。

二、電子商務(wù)信息的概述

電子商務(wù)的安全性不是單個(gè)存在的概念,它是從整個(gè)計(jì)算機(jī)安全問題中衍生出來的。所以只要是與計(jì)算機(jī)網(wǎng)絡(luò)安全有關(guān)的問題都會(huì)對電子商務(wù)有影響。

社會(huì)發(fā)展離不開信息,人們已經(jīng)走入了網(wǎng)絡(luò)時(shí)代,而電子商務(wù)在這其中已成為商務(wù)活動(dòng)的新模式,越來越多的商務(wù)活動(dòng)在網(wǎng)上直接完成,這樣的發(fā)展前景絕對是一片光明。可電子商務(wù)的信息安全問題也越來越受到人們的重視,怎么樣才能創(chuàng)造一個(gè)方便、快捷的應(yīng)用環(huán)境,讓所有信息不泄露,已經(jīng)成為人們最熱衷的討論。

1.電子商務(wù)信息安全的發(fā)展策略

(1)加強(qiáng)與電子商務(wù)有關(guān)的意識(shí)

電子商務(wù)的出現(xiàn)讓整個(gè)商務(wù)活動(dòng)的重心發(fā)生了轉(zhuǎn)移,以前的商務(wù)活動(dòng)是以貨物為中心的,而現(xiàn)在的商務(wù)活動(dòng)已經(jīng)基本轉(zhuǎn)換為以信息為中心了,這樣的轉(zhuǎn)變無疑讓電子交易的效率有了巨大的提高,也大大節(jié)約了人財(cái)物等資源。我們必須意識(shí)到企業(yè)信息化的有利之處,了解它能給我們帶來些什么,盡量的運(yùn)用它,只要堅(jiān)持下去,在不久的將來一定能夠看到實(shí)際的效益。

(2)加速推動(dòng)金融電子化發(fā)展

金融電子化是電子商務(wù)之中必不可少的一環(huán),運(yùn)用電子支付不僅更加方便快捷而且可以確保各類電子商務(wù)活動(dòng)安全有序的開展。在此期間我們應(yīng)該要建立一個(gè)統(tǒng)一的在線支付程序,而在信息安全、銀行信用等級(jí)評(píng)定方面也要有一個(gè)供大眾衡量的標(biāo)準(zhǔn)。只有擁有了統(tǒng)一的標(biāo)準(zhǔn)和相關(guān)的法律規(guī)范整個(gè)電子商務(wù)的發(fā)展環(huán)境才能有所改善。

(3)建立安全的電子商務(wù)環(huán)境

這里所提到的電子商務(wù)環(huán)境包括社會(huì)環(huán)境以及實(shí)施環(huán)境。對于電子商務(wù)的社會(huì)環(huán)境我們應(yīng)該加強(qiáng)相關(guān)的法律政策、加強(qiáng)構(gòu)建和諧的網(wǎng)絡(luò)文化環(huán)境;而想要建立一個(gè)好的電子商務(wù)實(shí)施環(huán)境則需要做好相關(guān)的服務(wù)器測評(píng)工作,有效的利用防火墻技術(shù)以及數(shù)字證書和認(rèn)證技術(shù)保護(hù)好整個(gè)傳輸過程中的信息。能否做到這些將關(guān)系到電子商務(wù)未來的發(fā)展前途。

三、電子商務(wù)信息安全技術(shù)的分析與研究

1.電子商務(wù)信息面臨的安全問題

電子商務(wù)能夠?qū)⒄麄€(gè)交易過程中的各個(gè)階段電子化。在這個(gè)過程中參與者是它的對象,信息技術(shù)是它的基礎(chǔ),而信息安全不泄露則是實(shí)施電子商務(wù)的前提。人們通常所講的信息安全性指的是信息的可用性、完整性可靠性以及保密性。所以電子商務(wù)活動(dòng)里的信息安全問題基本可以概括為以下幾點(diǎn):

(1)計(jì)算機(jī)網(wǎng)絡(luò)安全威脅

電子商務(wù)有三流:即信息流、資金流和物流,而其中信息流是最為關(guān)鍵的,因?yàn)槲锪骱唾Y金流都是由信息流所帶動(dòng)的,整個(gè)商務(wù)活動(dòng)信息流是源動(dòng)力和主體。電子商務(wù)和傳統(tǒng)商務(wù)的不同之處就是在于它是以網(wǎng)絡(luò)來交換和傳遞信息的,所以計(jì)算機(jī)網(wǎng)絡(luò)是否安全將直接關(guān)系到電子商務(wù)活動(dòng)的安全性。一般計(jì)算機(jī)網(wǎng)絡(luò)中的安全問題包括安全協(xié)議問題、信息安全問題、病毒問題以及服務(wù)器安全問題。

(2)商務(wù)交易安全威脅

在以互聯(lián)網(wǎng)為基礎(chǔ)的前提下進(jìn)行傳統(tǒng)的商務(wù)活動(dòng)是有很多風(fēng)險(xiǎn)的,因?yàn)榛ヂ?lián)網(wǎng)本身就存在著很多威脅?;ヂ?lián)網(wǎng)的出現(xiàn)是因?yàn)槿藗冇仲Y源共享的理想和需求,它的自由度極高,可以最大限度地傳遞資源,但同時(shí)人們也更容易通過得到的信息進(jìn)行不法勾當(dāng)。網(wǎng)絡(luò)交易一般存在的問題包括一下幾個(gè)方面:

2.電子商務(wù)信息安全性的要求

因?yàn)楹芏嚯娮由虅?wù)活動(dòng)中的安全問題還沒有能夠得到有效的解決,所以電子商務(wù)很難順利的進(jìn)行,為了電子商務(wù)的發(fā)展,我們有義務(wù)保證它的安全性,也有責(zé)任創(chuàng)建一個(gè)良好的環(huán)境,要實(shí)現(xiàn)這個(gè)目標(biāo)我們必須做到一下這些要求:

(1)信息的保密性

商務(wù)信息在交易過程中要保密,尤其是涉及到商業(yè)機(jī)密和支付等重要信息時(shí)決不能隨便的讓他人得知信息內(nèi)容,否則可能整個(gè)交易就會(huì)被破壞。

(2)信息的完整性

這里所說的完整性是指活動(dòng)過程中的信息不被篡改和遺漏,在整個(gè)數(shù)據(jù)處理過程中,原有數(shù)據(jù)和現(xiàn)有數(shù)據(jù)應(yīng)該始終保證完全一致,而且為了保護(hù)交易各方的合法權(quán)益所有的交易文件都不能修改。

(3)通信的絕對性

在電子商務(wù)活動(dòng)中必須保證參與傳遞接受信息的各方都有足夠的證據(jù)證明發(fā)送或接受的行為發(fā)生過,整個(gè)通信不可抵賴、不可否認(rèn)。

如果人們參與電子商務(wù)活動(dòng)而人個(gè)的隱私卻得不到保護(hù),那么電子商務(wù)勢必不能長久地發(fā)展,所以保護(hù)個(gè)人隱私也是極為重要的,這對人們參與電子商務(wù)活動(dòng)的積極性有著決定性的影響。

篇8

煤炭企業(yè)電子商務(wù)環(huán)境下的信息安全

煤炭企業(yè)電子商務(wù)網(wǎng)絡(luò)安全嚴(yán)格控制計(jì)算機(jī)安全技術(shù)應(yīng)用的管理,必須先制定一個(gè)完整且良好的測量、實(shí)施、管理機(jī)制,突出事前控制,并加強(qiáng)控制,完善售后服務(wù)控制。完善事件的控制手段,以避免變更設(shè)計(jì)研究所造成的損失。煤炭企業(yè)電子商務(wù)的信息內(nèi)容容易成為黑客等的主要攻擊目標(biāo)。這一信息中包含了大量的重要客戶的重要基本信息,例如真實(shí)的身份信息(身份、地址、聯(lián)系信息等)、賬戶信息(賬號(hào)、密碼等)、信用信息、交易記錄。在現(xiàn)代信息技術(shù)的支持下,這些內(nèi)容的重要財(cái)務(wù)資料會(huì)很容易被非法使用并獲得最直接的經(jīng)濟(jì)效益。煤炭企業(yè)電子商務(wù)高度集中,為提高企業(yè)的靈活性使用大量的開放平臺(tái),使財(cái)務(wù)信息的操作系統(tǒng)環(huán)境面臨更多的風(fēng)險(xiǎn)和漏洞,所以應(yīng)該統(tǒng)一規(guī)劃建設(shè)、全面綜合防御、技術(shù)管理并重、保障運(yùn)營安全。統(tǒng)一規(guī)劃建設(shè),突出了進(jìn)行統(tǒng)籌規(guī)劃的重要性,提供了的安全建設(shè)所需的統(tǒng)一技術(shù)標(biāo)準(zhǔn)、管理規(guī)范,以及實(shí)施步驟的安排,也保證了人員和資金的投入。全面綜合防御,是指在技術(shù)層面上,綜合使用了多種安全機(jī)制,將不同安全機(jī)制的保護(hù)效果有機(jī)地結(jié)合起來,構(gòu)成完整的立體防護(hù)體系。技術(shù)管理并重,突出了安全管理在信息安全體系中的重要性,僅僅憑借安全技術(shù)體系,無法解決所有的安全問題,安全管理體系與技術(shù)防護(hù)體系相互配合,增強(qiáng)技術(shù)防護(hù)體系的效率和效果,同時(shí)也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷,實(shí)現(xiàn)了最佳的保護(hù)效果。保障運(yùn)營安全,突出了安全保障的重要性,利用多種安全保障機(jī)制,保障了網(wǎng)絡(luò)和信息系統(tǒng)的運(yùn)行安全,也保障了金融業(yè)務(wù)的持續(xù)性和業(yè)務(wù)數(shù)據(jù)的安全性。煤炭企業(yè)電子商務(wù)建立信息安全體系,必須針對金融業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的特點(diǎn),在現(xiàn)狀分析和風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上有的放矢地進(jìn)行,不能簡單地照抄照搬其它的信息安全保障方案。同時(shí),信息安全體系中的所有內(nèi)容,都被用來指導(dǎo)金融業(yè)信息安全系統(tǒng)的建設(shè)和管理維護(hù)等實(shí)際工作,因此必須堅(jiān)持可操作性和實(shí)用性原則,避免空洞和歧義現(xiàn)象。嚴(yán)格的內(nèi)部控制制度應(yīng)包括一個(gè)可控的環(huán)境、及時(shí)的風(fēng)險(xiǎn)評(píng)測、有效的控制活動(dòng)、完整的會(huì)計(jì)、信息及通訊交流系統(tǒng)和完善的自我評(píng)估監(jiān)測機(jī)制等。同時(shí),煤炭企業(yè)應(yīng)采用合理的風(fēng)險(xiǎn)緩釋和轉(zhuǎn)移技術(shù),對沒有能力控制又具有低頻高位特性的風(fēng)險(xiǎn)進(jìn)行控制。風(fēng)險(xiǎn)監(jiān)測和度量用來對上述的步驟進(jìn)行監(jiān)控,主要內(nèi)容包括對本煤炭企業(yè)操作風(fēng)險(xiǎn)的定性和定量的風(fēng)險(xiǎn)管理進(jìn)行監(jiān)控。計(jì)算機(jī)信息安全在電子商務(wù)中的損失事件數(shù)據(jù)的采集是一個(gè)嚴(yán)謹(jǐn)?shù)臉I(yè)務(wù)過程,要在完善的采集數(shù)據(jù)流程下逐環(huán)節(jié)實(shí)現(xiàn)對數(shù)據(jù)的審查和控制工作,保證損失事件數(shù)據(jù)的合理性,為后期提供合理的數(shù)據(jù)分析、推演正確的風(fēng)險(xiǎn)走勢及制定合理的操作風(fēng)險(xiǎn)應(yīng)對計(jì)劃提供基本依據(jù)。網(wǎng)絡(luò)安全一種機(jī)制,針對某種操作風(fēng)險(xiǎn)指標(biāo),設(shè)定其發(fā)展環(huán)境和條件,來判定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)定期定量趨勢分析,使得可在相應(yīng)操作風(fēng)險(xiǎn)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)有異常變化之初就能判定其走勢和趨向。網(wǎng)絡(luò)安全體系內(nèi)的內(nèi)部郵件平臺(tái),輔助進(jìn)行信息傳達(dá),可以作為獨(dú)立的信息配送方式,也可以與業(yè)務(wù)及流程結(jié)合,實(shí)現(xiàn)信息的自動(dòng)回復(fù)和提醒。支持常用收發(fā)郵件功能,包括郵件收取、撰寫、發(fā)送、轉(zhuǎn)發(fā)、回復(fù)等;支持SMTP,ESMTP,POP3等郵件收發(fā)協(xié)議,既可以作為系統(tǒng)內(nèi)部信息傳遞機(jī)制,也可以與現(xiàn)有郵件系統(tǒng)進(jìn)行整合,支持郵件互通。

煤炭企業(yè)電子商務(wù)中的網(wǎng)絡(luò)采購煤炭企業(yè)電子商務(wù)電子采購是一個(gè)非常典型的商業(yè)模式,將涉及各種電子商務(wù)。電子采購是電子商務(wù)企業(yè)的重要組成部分,它已經(jīng)成為B2B市場增長最快的一部分。煤炭企業(yè)電子商務(wù)采購回報(bào)高,除了節(jié)約采購成本的產(chǎn)品和服務(wù)的商業(yè)價(jià)值的投資活動(dòng),也可以有個(gè)更廣泛的選擇空間,降低采購風(fēng)險(xiǎn),周期時(shí)間,并促進(jìn)服務(wù)供應(yīng)商更完美。煤炭企業(yè)電子商務(wù)的電子采購是電子商務(wù)的領(lǐng)域之一,最有可能被傳統(tǒng)的企業(yè)所接受。煤炭企業(yè)電子商務(wù)的電子采購及采購的規(guī)劃和運(yùn)作,與庫存的政策和戰(zhàn)略采購,材料供應(yīng)商,交付和交付模式的談判。采購過程中包含申請、采購審核、產(chǎn)品和供應(yīng)商的搜尋,以及搜尋、談判、交易、支付等。通過電子商務(wù)的應(yīng)用,打造系統(tǒng)范圍的一體化式的項(xiàng)目管理。通過客戶的內(nèi)部需要管理,擬定項(xiàng)目的框架結(jié)構(gòu),該框架的內(nèi)容將涉及許多方面的內(nèi)容,如財(cái)務(wù)、采購、實(shí)施、質(zhì)量和其它方面的管理。通過調(diào)查研究,細(xì)化完成的項(xiàng)目實(shí)施過程,始終關(guān)注在項(xiàng)目實(shí)施有關(guān)控制項(xiàng)目的范圍,從而達(dá)到對項(xiàng)目質(zhì)量、時(shí)間、成本的管控。優(yōu)化計(jì)算機(jī)安全技術(shù)應(yīng)用可以通過需要健全設(shè)計(jì)變更審批制度,建設(shè)單位應(yīng)當(dāng)按照施工計(jì)劃,確實(shí)需要改變原設(shè)計(jì)施工過程中計(jì)劃,應(yīng)該是盡可能提前改變,因?yàn)樽兓娇?,損失越少;每次更改之前,必須對項(xiàng)目的數(shù)量和成本變化分析。如果改變項(xiàng)目的成本超過總預(yù)算,必須經(jīng)有關(guān)部門審查和批準(zhǔn),并根據(jù)變化,以防止共增加設(shè)計(jì)內(nèi)容,設(shè)計(jì)標(biāo)準(zhǔn),并增加項(xiàng)目成本的事情發(fā)生。嚴(yán)格控制計(jì)算機(jī)安全技術(shù)應(yīng)用的管理,必須先制定一個(gè)完整的良好的測量、實(shí)施、管理機(jī)制,突出事前控制,并加強(qiáng)控制,完善售后服務(wù)控制。完善事件的控制手段,以避免變更設(shè)計(jì)研究所造成的損失。除非有特殊情況,一般的計(jì)算機(jī)安全技術(shù)應(yīng)用變更必須建立基準(zhǔn)施工方案,在此方案的基礎(chǔ)上進(jìn)行變更,經(jīng)由計(jì)算機(jī)安全技術(shù)應(yīng)用審計(jì)師批準(zhǔn),可以由業(yè)主實(shí)施后批準(zhǔn)該項(xiàng)目程序。此外,計(jì)算機(jī)安全技術(shù)應(yīng)用的變化和變化的成本計(jì)劃聯(lián)系,所以項(xiàng)目的報(bào)告中描述的變化更改處理程序,還必須注明相應(yīng)的更改的價(jià)格,使業(yè)主對成本決策有所了解,避免成本失控。

電子數(shù)據(jù)交換煤炭企業(yè)電子商務(wù)商務(wù)數(shù)據(jù)交換(EDI),也叫“無紙化交易”(無紙貿(mào)易)。指貿(mào)易雙方按照一定的結(jié)構(gòu)與標(biāo)準(zhǔn)的貿(mào)易信息,通過數(shù)據(jù)通信網(wǎng)絡(luò),參與交易雙方的電腦傳輸和自動(dòng)處理的協(xié)議。EDI具有一定的計(jì)算機(jī)應(yīng)用系統(tǒng)之間的數(shù)據(jù)自動(dòng)交換和處理這些數(shù)據(jù)的結(jié)構(gòu)特點(diǎn),被稱為電子文檔。電子數(shù)據(jù)交換的目的,是電子文檔代替紙質(zhì)文件。煤炭企業(yè)電子商務(wù),大大提高了煤炭企業(yè)業(yè)務(wù)交易的效率,降低了成本。

電子商務(wù)中的入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(IntrusionDetectionSystem簡稱IDS),是對煤炭企業(yè)電子商務(wù)入侵行為進(jìn)行安全檢測的監(jiān)控系統(tǒng),監(jiān)控煤炭企業(yè)電子商務(wù)的運(yùn)行狀態(tài),及時(shí)發(fā)現(xiàn)來自煤炭企業(yè)電子商務(wù)的攻擊,對煤炭企業(yè)電子商務(wù)攻擊行為或者攻擊結(jié)果做出報(bào)警或做出相應(yīng)的響應(yīng)機(jī)制,保證煤炭企業(yè)電子商務(wù)系統(tǒng)資源的完整性。

入侵檢測基本原理煤炭企業(yè)電子商務(wù)的入侵檢測系統(tǒng)主要由主體(subjeets)、對象(Objeets)、審計(jì)記錄(AuditsReoords)、活動(dòng)簡檔(profiles)、異常記錄(AnomalyRecords)和活動(dòng)規(guī)則(ActivityRules)6個(gè)部分組成,目前的入侵檢測系統(tǒng)都是在此模型的基礎(chǔ)上產(chǎn)生的,它也揭示了入侵檢測基本原理。

煤炭企業(yè)電子商務(wù)信息安全防護(hù)策略雖然近年來黑客活動(dòng)越來越為猖獗,攻擊事件越來越多,但采取完善的防護(hù)措施,依然能有效地保護(hù)煤炭企業(yè)電子商務(wù)信息安全。安裝必要的防黑軟件、殺毒軟件、防火墻,是普通計(jì)算機(jī)用戶煤炭企業(yè)電子商務(wù)信息安全防護(hù)的重要手段之一。通過殺毒軟件,可以有效地將病毒和木馬拒之門外,減少計(jì)算機(jī)口令的泄露機(jī)會(huì)和數(shù)據(jù)被竊的可能性。

結(jié)語

篇9

1.信息有效性、真實(shí)性

電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。

2.信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.信息完整性

電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各信息的差異。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可抵賴性要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。

5.系統(tǒng)的可靠性

電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng),其可靠性是防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效。

二、電子商務(wù)的信息安全技術(shù)

1.數(shù)據(jù)加密技術(shù)

加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式,即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層,使用經(jīng)過加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法,這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對較為簡單,不需要對電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求,對電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。

1)電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digitaldigest)

這一加密方法亦稱安全Hash編碼法,由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱為數(shù)字指紋(FingerPrint),它有固定的長度,且不同的明文摘要成密文,其結(jié)果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。

數(shù)字簽名(digitalsignature)

數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用。主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要),用自己的私有密鑰對這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值,接著再用發(fā)送方的公開密鑰來對報(bào)文附加的數(shù)字簽名進(jìn)行解密,如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別。概括的說,簽名的作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)了文件已簽署這一事實(shí);二是因?yàn)楹灻灰追旅?,從而確定了文件是真的這一事實(shí)。

數(shù)字時(shí)間戳(digitaltime-stamp)交

易文件中,時(shí)間是十分重要的信息。在電子交易中,需對交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件的摘要(digest);DTS收到文件的日期和時(shí)間;DTS的數(shù)字簽名。

數(shù)字證書(digitalcertificate,digitalID)數(shù)字證書又稱為數(shù)字憑證,是用電子手段來證實(shí)一個(gè)用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。目前,最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書,證書作為網(wǎng)上交易參與各方的身份識(shí)別,就好象每個(gè)公民都用身份證來證明身份一樣。認(rèn)證中心作為電子商務(wù)交易中受信任的第三方,承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任,是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)定證書的權(quán)威機(jī)構(gòu)。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個(gè)中心,并提供自己的身份證明信息,證明自己是相應(yīng)公鑰的擁有者,認(rèn)證中心審查用戶提供的信息后,如果確認(rèn)用戶是合法的,就給用戶一個(gè)數(shù)字證書。這樣,每個(gè)成員只需和認(rèn)證中心打交道,就可以查到其他成員的公鑰信息了。對于在網(wǎng)上進(jìn)行交易的雙方來說,數(shù)字證書對他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類型:個(gè)人憑證、企業(yè)(服務(wù)器)憑證、軟件(開發(fā)者)憑證;大部分認(rèn)證中心提供前兩類憑證。

2.身份認(rèn)證技術(shù)

為解決Internet的安全問題,初步形成了一套完整的Internet安全解決方案,即被廣泛采用的公鑰基礎(chǔ)設(shè)施(PKI)體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰,通過第三方的可信機(jī)構(gòu)CA,把用戶的公鑰和用戶的其他標(biāo)識(shí)信息(如名稱、e-mail、身份證號(hào)等)捆綁在一起,在Internet網(wǎng)上驗(yàn)證用戶的身份,PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來,在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理,保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

1)認(rèn)證系統(tǒng)的基本原理

利用RSA公開密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性,可建立一個(gè)為用戶的公開密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA,CA為用戶發(fā)放電子證書,用戶之間利用證書來保證信息安全性和雙方身份的合法性。

2)認(rèn)證系統(tǒng)結(jié)構(gòu)

整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境,系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統(tǒng)跟CA放在一個(gè)單獨(dú)的封閉空間中,為了保證運(yùn)行的絕對安全,其人員及制度都有嚴(yán)格的規(guī)定,并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來自RA的證書請求時(shí),頒發(fā)證書。

證書的登記機(jī)構(gòu)RegisterAuthority,簡稱RA,分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合,接受客戶申請,并審批申請,把證書正式請求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。

證書的公布系統(tǒng)WebPublisher,簡稱WP,置于Internet網(wǎng)上,是普通用戶和CA直接交流的界面。對用戶來講它相當(dāng)于一個(gè)在線的證書數(shù)據(jù)庫。用戶的證書由CA頒發(fā)之后,CA用E-mail通知用戶,然后用戶須用瀏覽器從這里下載證書。

3.網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)

網(wǎng)上支付平臺(tái)分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段,包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。

支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間,其主要功能為:將公網(wǎng)傳來的數(shù)據(jù)包解密,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包;接收銀行系統(tǒng)內(nèi)部的傳回來的響應(yīng)消息,將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式,并對其進(jìn)行加密。此外,支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能。

三、電子商務(wù)信息安全中的其它問題

1.內(nèi)部安全

最近的調(diào)查表明,至少有75%的信息安全問題來自內(nèi)部,在信用卡和商業(yè)詐騙中,內(nèi)部人員所占的比例最大;

2.惡意代碼

它們將繼續(xù)對所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅,并且,其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多,擴(kuò)散起來也更加便利,因此,造成的破壞也就越大;

3.可靠性差

目前,Internet主干網(wǎng)和DNS服務(wù)器的可靠性還遠(yuǎn)遠(yuǎn)不能滿足人們的要求,而絕大

部分撥號(hào)PPP連接質(zhì)量并不可靠,且速度很慢;

4.技術(shù)人才短缺

由于Internet和網(wǎng)絡(luò)購物都是在近幾年得到了迅猛的發(fā)展,因而,許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題,尤其是網(wǎng)絡(luò)購物具有24x7(每天24小時(shí),每周7天都能工作)的要求,因而迫切需要有一大批專業(yè)技術(shù)人員對其進(jìn)行管理。如果說加密技術(shù)是電子交易安全的“硬件”,那么人才問題則可以說是“軟件”。從某種意義上講,軟件的問題解決起來可能更不容易,因此,技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購物發(fā)展的一個(gè)重要因素。

5.Web服務(wù)器的保護(hù)意識(shí)差

在交易過程中對數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個(gè)方面。由于交易的信息均存儲(chǔ)在服務(wù)器上,因此,即使保密信息被客戶端接收之后,也必須對存儲(chǔ)在服務(wù)器中的數(shù)據(jù)進(jìn)行保護(hù)。目前,Web服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。因此,建議盡量不要將Web服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò),而且要定期對數(shù)據(jù)進(jìn)行備份,以便于服務(wù)器被攻擊之后對數(shù)據(jù)進(jìn)行恢復(fù)。當(dāng)然,這畢竟有些不太現(xiàn)實(shí),現(xiàn)在許多流行的Web應(yīng)用都需要Web服務(wù)器與公司的數(shù)據(jù)庫進(jìn)行交互式操作,這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連,而這個(gè)連接也就成為黑客們從Web站點(diǎn)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。雖然防火墻技術(shù)有助于對web站點(diǎn)進(jìn)行保護(hù),但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護(hù),因而沒有對Web服務(wù)器進(jìn)行很好的保護(hù),這是商家的Web站點(diǎn)尤其要引起注意的地方。

四、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論

1.SSL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議———面向連接的協(xié)議。

SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,它不能保證信息的不可抵賴性,主要適用于點(diǎn)對點(diǎn)之間的信息傳輸,常用WebServer方式。但它是一個(gè)面向連接的協(xié)議,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

2.SET協(xié)議(SecureElectronicTransaction)安全電子交易———專門為電子商務(wù)而設(shè)計(jì)的協(xié)議。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性,特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn),因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。雖然它在很多方面優(yōu)于SSL協(xié)議,但仍然不能解決電子商務(wù)所遇到的全部問題。

結(jié)束語

本文分析了目前電子商務(wù)的安全需求,使用的安全技術(shù)及仍存在的問題,并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn),但必須強(qiáng)調(diào)說明的是,電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

[摘要]電子商務(wù)對人類社會(huì)經(jīng)濟(jì)產(chǎn)生了重大影響,在創(chuàng)造巨大經(jīng)濟(jì)效益的同時(shí),也從根本上改變了整個(gè)社會(huì)商務(wù)活動(dòng)發(fā)展進(jìn)程。我國電子商務(wù)在曲折進(jìn)程中,已有很大程度的發(fā)展,同時(shí)也存在諸多問題。本文客觀地分析了電子商務(wù)的安全需求、安全技術(shù)發(fā)展現(xiàn)狀及存在的問題,對加快電子商務(wù)的發(fā)展步伐提出了一些重要思考。

[關(guān)鍵詞]電子商務(wù);安全需求;安全技術(shù);

[參考文獻(xiàn)]

①姚立新,新世紀(jì)商務(wù):電子商務(wù)的知識(shí)發(fā)展與運(yùn)作,中國發(fā)展出版社,1999年。

②《中國電子商務(wù)年鑒》2003卷。

③陳海濱,企業(yè)電子營銷發(fā)展對策淺析,湖南大學(xué)學(xué)報(bào),2001年。

篇10

1.1網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

互聯(lián)網(wǎng)作為一個(gè)開放的環(huán)境,其各種服務(wù)器數(shù)據(jù)庫中的信息在理論上也屬于對外開放的,訪問者可以對信息進(jìn)行查看。因此,網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)難以阻擋非法訪問者的侵?jǐn)_和攻擊,尤其是在系統(tǒng)程序出現(xiàn)問題導(dǎo)致系統(tǒng)存在安全漏洞并且管理人員未察覺時(shí),使得服務(wù)器上的會(huì)計(jì)信息資源遭到竊取或篡改。此種情況的發(fā)生可能源于系統(tǒng)外部,也可能源于系統(tǒng)本身。一旦問題發(fā)生,企業(yè)將遭受難以估量的損失。

1.2無紙化的申報(bào)和扣稅帶來稅務(wù)稽查問題

電子貨幣及電子發(fā)票的出現(xiàn)為實(shí)現(xiàn)網(wǎng)絡(luò)交易電子化提供了條件,在電商迅猛發(fā)展的情況下,納稅人手工上門申報(bào)方式已經(jīng)不能跟上電子商務(wù)發(fā)展的步伐,同時(shí)產(chǎn)生了電子稅收問題,即如何保證納稅單位遵守相關(guān)規(guī)定按時(shí)進(jìn)行網(wǎng)上申報(bào)。而稅務(wù)稽查的前提是掌握確切的應(yīng)稅會(huì)計(jì)信息,因此,會(huì)計(jì)信息安全問題會(huì)引發(fā)稅務(wù)稽查問題。

1.3追蹤審計(jì)困難

從審計(jì)工作的角度看,由于數(shù)據(jù)主要儲(chǔ)存在電子商務(wù)系統(tǒng)中,而電子商務(wù)系統(tǒng)無法避免數(shù)據(jù)錯(cuò)誤處理情況的發(fā)生,這為部分工作人員利用職務(wù)之便謀取私利或者為減少企業(yè)納稅創(chuàng)造了條件,導(dǎo)致后期審計(jì)十分困難。此外,會(huì)計(jì)信息系統(tǒng)在進(jìn)行前期設(shè)計(jì)時(shí)未考慮審計(jì)工作的需要,沒有為審計(jì)提供證據(jù),因此,無紙化的電子商務(wù)環(huán)境加大了對電子商務(wù)活動(dòng)審計(jì)的難度,同時(shí),各種會(huì)計(jì)信息憑證的可修改更是使得對電商的審計(jì)工作難度加大。

1.4相關(guān)的法律法規(guī)配套不完善

隨著電子商務(wù)的進(jìn)一步發(fā)展,公司的虛擬化程度越來越高,其規(guī)模也越來越小,人力資源與知識(shí)產(chǎn)權(quán)等是現(xiàn)階段公司收益的主要來源,會(huì)計(jì)報(bào)告中會(huì)涉及知識(shí)產(chǎn)權(quán)、商譽(yù)等內(nèi)容及其經(jīng)濟(jì)價(jià)值。在我國,電子商務(wù)活動(dòng)的相關(guān)法律法規(guī)尚不健全,難以解決電子商務(wù)會(huì)計(jì)活動(dòng)中出現(xiàn)的問題,這為會(huì)計(jì)信息安全增加了風(fēng)險(xiǎn)。

1.5現(xiàn)行財(cái)務(wù)會(huì)計(jì)軟件不成熟帶來的會(huì)計(jì)信息安全風(fēng)險(xiǎn)

在當(dāng)前市場上有各種財(cái)務(wù)軟件,雖然其在一定程度上滿足電子商務(wù)會(huì)計(jì)發(fā)展的需要,但仍難以真正確保電商會(huì)計(jì)信息安全?,F(xiàn)有的財(cái)務(wù)軟件存在適應(yīng)性差、應(yīng)變能力弱等問題,不能適應(yīng)電子商務(wù)發(fā)展所需,或者在某種程度上會(huì)加大風(fēng)險(xiǎn)系數(shù)。因此,電子商務(wù)會(huì)計(jì)軟件開發(fā)技術(shù)的不成熟成為制約電子商務(wù)會(huì)計(jì)發(fā)展的主要因素。因?yàn)闀?huì)計(jì)信息是企業(yè)管理的重要依據(jù),電子商務(wù)企業(yè)需要利用電子商務(wù)網(wǎng)絡(luò)進(jìn)行會(huì)計(jì)信息的收集等活動(dòng),如何利用電子商務(wù)安全技術(shù)對會(huì)計(jì)信息進(jìn)行加密操作,以確保會(huì)計(jì)信息安全性和準(zhǔn)確性,是企業(yè)開展電子商務(wù)面臨的主要難題。

2電子商務(wù)環(huán)境下的會(huì)計(jì)信息系統(tǒng)安全策略研究

2.1提高網(wǎng)絡(luò)安全性的具體方法

(1)保證會(huì)計(jì)信息原始數(shù)據(jù)的完整和準(zhǔn)確。

會(huì)計(jì)信息原始信息的完整性是應(yīng)對企業(yè)會(huì)計(jì)信息系統(tǒng)突發(fā)事件的前提保證,因此,保證會(huì)計(jì)信息原始數(shù)據(jù)的安全極為重要,假使會(huì)計(jì)信息的原始數(shù)據(jù)遭到篡改,會(huì)造成數(shù)據(jù)信息虛假或有誤,然而會(huì)計(jì)信息系統(tǒng)本身并不具備對數(shù)據(jù)的鑒別能力,導(dǎo)致會(huì)計(jì)信息失真,從而引發(fā)電商企業(yè)的財(cái)務(wù)會(huì)計(jì)問題。因此,如何保證原始會(huì)計(jì)數(shù)據(jù)的準(zhǔn)確性及完整性,是保證會(huì)計(jì)信息安全的重要前提。

(2)保證信息處理安全。

良好的數(shù)據(jù)處理能力體現(xiàn)了會(huì)計(jì)信息系統(tǒng)的優(yōu)勢,財(cái)務(wù)系統(tǒng)處理的業(yè)務(wù)均直接涉及企業(yè)的利益,其敏感性和機(jī)密性顯而易見,在數(shù)據(jù)處理時(shí),必須保證數(shù)據(jù)的完整。因此,在數(shù)據(jù)處理期間,會(huì)計(jì)信息系統(tǒng)網(wǎng)絡(luò)必須對外封閉,內(nèi)部網(wǎng)絡(luò)的使用必須在可監(jiān)控的環(huán)境下進(jìn)行,不能與外界網(wǎng)絡(luò)終端連接,而且不能與其他無關(guān)的部門共享網(wǎng)絡(luò)資源。封閉是相對的,為了提高企業(yè)的辦公效率,內(nèi)部財(cái)務(wù)信息系統(tǒng)可實(shí)現(xiàn)資源共享,需要強(qiáng)調(diào)的一點(diǎn)是,網(wǎng)絡(luò)資源的處理必須包括加密操作。

(3)保證信息儲(chǔ)存的安全。

會(huì)計(jì)信息系統(tǒng)面臨的主要威脅來自黑客入侵與計(jì)算機(jī)病毒,操作人員在進(jìn)行數(shù)據(jù)存儲(chǔ)時(shí)需要加倍注意,建立一套科學(xué)的、系統(tǒng)的數(shù)據(jù)存儲(chǔ)管理機(jī)制。

2.2妥善處理無紙化交易的稅務(wù)稽查問題

電商時(shí)代的無紙化交易形式淘汰了傳統(tǒng)的紙質(zhì)發(fā)票,引發(fā)了電商企業(yè)與國家管理部門之間的矛盾,因此,如何保證數(shù)據(jù)的完整性是一項(xiàng)頗為重要的工作。為了使會(huì)計(jì)憑證得到保證,即保證數(shù)據(jù)的真實(shí)性,參與交易的雙方可以通過選擇具有法律效應(yīng)的認(rèn)證途徑比如認(rèn)證中心,證實(shí)網(wǎng)上交易雙方的真實(shí)身份。同時(shí),企業(yè)可以借助各種會(huì)計(jì)憑證的鑒別對參與客戶的付款能力進(jìn)行判定,比如每一家企業(yè)都在銀行或者互聯(lián)網(wǎng)認(rèn)證中心簽訂協(xié)議,領(lǐng)取本企業(yè)的數(shù)字簽名等具有驗(yàn)證功能的符號(hào)或代碼,而當(dāng)業(yè)務(wù)發(fā)生時(shí),交易雙方可通過相應(yīng)的驗(yàn)證符號(hào)或代碼進(jìn)行交易活動(dòng),這樣既驗(yàn)證了交易雙方的身份,也保證了交易活動(dòng)的真實(shí)性,使得財(cái)務(wù)數(shù)據(jù)有據(jù)可查。

2.3解決追蹤審計(jì)困難的具體方案

在傳統(tǒng)的會(huì)計(jì)處理過程中,會(huì)計(jì)憑證中都包含有具有法律效應(yīng)的證據(jù),比如負(fù)責(zé)人簽名等。那么,在電子商務(wù)環(huán)境下,可以應(yīng)用電子技術(shù)進(jìn)行電子簽名,比如現(xiàn)在應(yīng)用最廣的數(shù)字簽名技術(shù)。首先,發(fā)送方將附有個(gè)人信息的交易數(shù)據(jù)通過計(jì)算機(jī)系統(tǒng)傳遞給另一方,而接受方通過財(cái)務(wù)信息系統(tǒng)對電子數(shù)據(jù)報(bào)文等內(nèi)容進(jìn)行審核,然后,電子數(shù)據(jù)作為合法的業(yè)務(wù)數(shù)據(jù)存入會(huì)計(jì)信息系統(tǒng),此時(shí)的數(shù)據(jù)為原始財(cái)務(wù)信息數(shù)據(jù)。此種非紙質(zhì)版的簽名具有兩個(gè)方面的意義:①保證信息來源于交易者本人,倘若有后續(xù)問題出現(xiàn),此份信息可作為憑證;②保證信息在交易者簽發(fā)至收到過程中的完整性,不存在被篡改的可能,所以,該信息是真實(shí)信息。由于數(shù)字簽名技術(shù)是一種加密技術(shù),包含加密、解碼等操作,其復(fù)雜性為數(shù)據(jù)的真實(shí)性提供了保障。從某種程度而言,數(shù)字簽名可以取代手工簽名,其同樣受到法律的保護(hù),這大大減小了審計(jì)的難度。

2.4完善相關(guān)法律

在與電子商務(wù)相關(guān)的法律法規(guī)的建設(shè)上,一方面,要加強(qiáng)立法,緊跟時(shí)代腳步,完善相關(guān)的法律法規(guī),為電子商務(wù)發(fā)展法律保障。另一方面,要借鑒發(fā)達(dá)國家在電子商務(wù)信息安全建設(shè)上的成功經(jīng)驗(yàn),結(jié)合中國的實(shí)際情況,對計(jì)算機(jī)網(wǎng)絡(luò)安全管理的法律進(jìn)行修訂,以應(yīng)對多變的市場環(huán)境,使其更符合電商時(shí)代的要求。

2.5更新改善相關(guān)會(huì)計(jì)軟件

在如今以電子技術(shù)為主導(dǎo)的市場環(huán)境下,軟件的后期更新管理工作不容忽視,尤其是電商企業(yè),其財(cái)務(wù)信息已實(shí)現(xiàn)電子化,財(cái)會(huì)軟件的安全問題輕則造成企業(yè)的財(cái)務(wù)損失,重則危及企業(yè)的生存。本文認(rèn)為,“微”規(guī)模的電商企業(yè)可與“微”規(guī)模的軟件企業(yè)進(jìn)行合作,軟件企業(yè)為電商企業(yè)定期進(jìn)行軟件維護(hù)工作,實(shí)現(xiàn)軟件的良好管理和更新,同時(shí)為電商企業(yè)定期進(jìn)行系統(tǒng)審核,檢查電子商務(wù)系統(tǒng)的安全性,從而保證財(cái)會(huì)信息的安全。

3結(jié)語