发布时间:2023-10-11 10:05:31
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的电子商务信息安全样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。
一、电子商务的信息安全问题
电子商务信息安全问题主要有:
1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006
关键词:电子商务;信息安全技术
一、电子商务发展存在的风险
第三方的电子交易平台在网络上对于信息进行储存、记录、处理、和传递,以此来协助一次网络消费行为的完成。一般情况下,这些信息都具有真实性和保密性,属于大众的隐私。但是,现在的网络环境比较恶劣,有很多网络陷阱以及刻意挖掘用户信息的“黑客”,从而导致基本信息出现失真、泄露和删除的危机,不利于正常电子商务交易的完成。对于电子商务信息大致上可以分为以下几类:第一,信息的真实性;第二,信息的实时性;第三,信息的安全性。首先,是信息的真实性。电子商务上的基本信息是卖家和买家进行认识对方和分辨商品真实性可靠性的唯一途径,应该绝对真实。一旦出现虚假信息,则属于欺骗消费者,是危害消费者权益的不法行为。其次,是信息的实时性。信息的实时性主要是指信息的保质期。因为很多信息只在一段时间内有效,具有时效性,一旦错过这段关键时期,那么该信息则失去自身的价值,变得一文不值。最后,就是信息的安全性,这也是消费者最为关心的问题。电子商务出现的安全性问题主要表现为客户的信息被删除、篡改从而失真,同时也表现为用户的信息被窃取从而达成其他目的,使得用户的隐私被侵犯,正常的生活受到打扰。
二、电子商务的信息安全技术的内容
2.1 备份技术。相信备份技术对于大众来说不是很陌生。但是很多人却错误的将备份理解为拷贝,从而片面的看待这个问题。电子商务对于网络环境有很大的依赖性,网络环境自身却存在极大的不稳定性,这就导致电子商务的发展存在不可避免的风险,如果没有一个数据库对于基本信息进行存储,那么一旦出现系统故障或者误删的情况则信息永远消失,这对于商家来说是极其可怕的,因此,电子商务的第三方有一个信息储存库,旨在在必要的时刻段时间内将客户的信息及时恢复。这种恢复不是简单的、传统意义上的恢复,而是通过备份介质得以完成的。这样的话,在系统故障或者其他原因导致信息在短时间内无法正常恢复时,可以借助储存在备份介质中的信息将信息还原到原来的备份状态。2.2 认证技术。所谓认证技术其实一个专业术语,道理实际上很简单,就是我们常说的登录口令。认证技术的目的主要在于阻止不具有系统授权的用户进行非法的破坏计算机机密数据,是数据库系统为减少和避免各种破坏电子商务安全的重要策略。登陆口令是我们正常用户进行电子商务平台登录的方式,是大众在网络环境下的身份证。我们每一个用户在使用某一个电子商务平台之前都被要求进行注册,从而决定或者获得自己的登陆口令即用户名和密码。这些登录口令都是都是独一无二的,是我们进行网上交易的身份认证和识别。因为电子商务平台往往具有开放性,一旦没有身份认证后果将不堪设想。人们的信息安全更是没有任何保障。2.3 访问控制技术。访问控制技术也可以理解为访问等级制度,电子商务的系统会根据用户的不同等级对于用户对于系统数据的访问进行一定的控制。等级较低时,则用户的访问权限有限,一些重要的关键的信息则被系统禁止访问,只要当等级较高时才能获得相关权限,这就保证了一些重要信息不会被窃取。关于用户的访问权限也有两层含义,首先是用户能够获得数据库中的信息种类和数量,另一层含义则是指用户对于获取的数据库信息进行怎样的操作。
[关键词]电子商务;PKI;公钥密码系统
前 言
电子商务(E-Commerce)是在Internet开放的网络环境下,基于浏览器服务器的应用方式,实现消费者的网上购物商户之间的网上交易和在线电子支付的商业运营模式最近几年,电子商务以其便利快捷的特点迅速发展起来,但是安全问题一直是阻碍其发展的关键因素虽然PKI的研究和应用为互联网络安全提供了必要的基础设施,但是电子商务信息的机密性和完整性仍然是迫切需要解决的问题,本文针对这一问题展开了深入研究并提出了解决方法
1 PKI的定义和功能
PKI——公钥基础设施,是构建网络应用的安全保障,专为开放型大型互联网的应用环境而设计PKI是对公钥所表示的信任关系进行管理的一种机制,它为Internet用户和应用程序提供公钥加密和数字签名服务,目的是为了管理密钥和证书,保证网上数字信息传输的机密性真实性完整性和不可否认性,以使用户能够可靠地使用非对称密钥加密技术来增强自己的安全水平PKI的功能主要包括:公钥加密证书证书确认证书撤销
2 公钥密码系统
由于PKI广泛应用于电子商务,故文章重点放在讨论RSA公钥密码系统上RSA的安全性是基于数论和计算复杂性理论中的下述论断:求两个大素数的乘积在计算上是容易的,但若分解两个大素数的积而求出它的因子则在计算上是困难的,它属于NPI类
2. 1RSA系统
RSA使用的一个密钥对是由两个大素数经过运算产生的结果:其中一个是公钥,为众多实体所知;另外一个是私钥,为了确保其保密性和完整性,必须严格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密钥对中的一个密钥加密的消息只能用另外一个解密,这也就体现了RSA系统的非对称性RSA具有加密和数字签名功能RSA产生公钥/私钥对加解密的过程如下:
2. 1. 1产生一个公钥/私钥对
(1)选取两个大素数p和q,为了获得最大程度的安全性,两个数的长度最好相同两个素数p和q必须保密
(2)计算p与q的乘积:n =p*q
(3)再由p和q计算另一个数z = (p-1)*(q-1)
(4)随机选取加密密钥e,使e和z互素
(5)用欧几里得扩展算法计算解密密钥d,以满足e*d = 1mod(z)
(6)由此而得到的两组数(n,e)和(n,d)分别被称为公钥和私钥
2. 1. 2加密/解密过程
RSA的加密方法是一个实体用另外一个实体的公钥完成加密过程,这就允许多个实体发送一个实体加密过的消息而不用事先交换秘密钥或者私钥,并且由于加密是用公钥执行的,所以解密只能用其对应的私钥来完成,因此只有目标接受者才能解密并读取原始消息
在实际操作中,RSA采用一种分组加密算法,加密消息m时,首先将它分成比n小的数据分组(采用二进制数,选取小于n的2的最大次幂),加密后的密文c,将由相同长度的分组ci组成加密公式简化为:
ci =mie(modn)
即对于明文m,用公钥(n,e)加密可得到密文c:
c = memod n ,其中m = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
解密消息时,取每一个加密后的分组ci并计算:mi=ci d(mod n),便能恢复出明文即对于密文c,用接收者的私钥(n,d)解密可得到明文m:
m = cd mod nm = {mi|i=0,1,2,…},c= (ci|i=0,1,2,…)
2. 1. 3数字签名
RSA的数字签名是加密的相反方式,即由一个实体用它的私钥将明文加密而生成的这种加密允许一个实体向多个实体发送消息,并且事先不需交换秘密钥或加密私钥,接收者用发送者的公钥就可以解密
RSA的数字签名过程如下:
s = md mod n , 其中m是消息,s是数字签名的结果,d和n是消息发送者的私钥
消息的解密过程如下:
m = se mod n , 其中e和n是发送者的公钥
2. 1. 4散列(Hash)函数
MD5与SHA1都属于Hash函数标准算法中两大重要算法,就是把一个任意长度的信息经过复杂的运算变成一个固定长度的数值或者信息串,主要用于证明原文的完整性和准确性,是为电子文件加密的重要工具一般来说,对于给出的一个文件要算它的Hash码很容易,但要从Hash码找出相应的文件算法却很难Hash函数最根本的特点是这种变换具有单向性,一旦数据被转换,就无法再以确定的方法获得其原始值,从而无法控制变换得到的结果,达到防止信息被篡改的目的由于Hash函数的这种不可逆特性,使其非常适合被用来确定原文的完整性,从而被广泛用于数字签名
2. 2对称密码系统
对称密码系统的基本特点是解密算法就是加密算法的逆运算,加秘密钥就是解秘密钥它通常用来加密带有大量数据的报文和问卷通信的信息,因为这两种通信可实现高速加密算法在对称密码系统中发送者和接收者之间的密钥必须安全传送,而双方实体通信所用的秘密钥也必须妥善保管
3 应用模型
利用公钥加密系统可以解决电子商务中信息的机密性和完整性的要求,下面是具体的应用模型在本例中,Alice与Bob两个实体共享同一个信任点,即它们使用同一CA签发的数字证书因此,它们无需评价信任链去决定是否信任其他CA
3. 1准备工作
(1)Alice与Bob各自生成一个公钥/私钥对;
(2)Alice与Bob向RA(机构)提供各自的公钥名称和描述信息;
(3)RA审核它们的身份并向CA提交证书申请;
(4)CA格式化Alice和Bob的公钥及其他信息,为Alice和Bob分别生成公钥证书,然后用自己的私钥对证书进行数字签名;
(5)上述过程的结果是,Alice与Bob分别拥有各自的一个公钥/私钥对和公钥证书;
(6)Alice与Bob各自生成一个对称秘密钥
现在,Alice和Bob拥有各自的一个公钥/私钥对,由共同信任的第三方颁发的数字证书以及一个对称密钥
3. 2处理过程
假设现在Alice欲发送消息给Bob,并且要求确保数据的完整性,即消息内容不能发生变动;同时Alice和Bob都希望确保信息的机密性,即不容许除双方之外的其他实体能够查看该消息完成这样要求的处理过程如下:其中步骤1~5说明Alice加密消息过程;步骤6~10说明Bob解密消息的过程。
(1)Alice按照双方约定的规则格式化消息,然后用Hash函数取得该消息的散列值,该值将被用来测试消息的合法性和完整性
(2)Alice用私钥对消息和散列值进行签名(加密)这一签名确保了消息的完整性,因为Bob认为只有Alice能够生成该签名,这是由于只有Alice能够使用自己的私钥为该消息签名值得注意的是:现在任何有权访问Alice公钥的实体都能解密该被签名的消息,所以我们仅仅是保证了消息的完整性,而没有确保其机密性
(3)由于Alice和Bob之间想保持消息的机密性,所以Alice用它的对称秘密钥加密被签名的消息和散列值这一对称秘密钥只有Alice和Bob共享而不被其他实体所用注意,在本例中,我们使用了一个对称秘密钥,这是因为对于加密较长消息诸如订购信息来说,利用对称加密比公钥加密更为有效
(4)Alice必须向Bob提供它用来给消息加密的对称秘密钥,以使得Bob能够用其解密被Alice加密过的消息Alice用Bob的公钥将自己的对称秘密钥签名(加密),这里我们假设Alice事先已经获得Bob的公钥,这样就形成了一个数字信笺,并且只有Bob才能将其打开(解密),因为只有Bob能够访问用来打开该数字信笺的私钥注意,一个公钥/私钥对中,用其中一个密钥加密的信息只有用另外一个密钥才能解密这就为Alice向Bob传输对称秘密钥提供了机密性
(5)Alice发送给Bob的信息包括它用对称秘密钥加密的原始消息和散列值,以及用Bob公钥加密的包含Alice的对称秘密钥的数字信笺图1描述了Alice使用数字签名向Bob发送消息(步骤1~5)
(6)Bob用它的私钥打开(解密)来自于Alice的数字信笺完成这一过程将使Bob获得Alice以前用来加密消息和散列值的对称秘密钥
(7)Bob现在可以打开(解密)用Alice的对称秘密钥加密的消息和散列值解密后Bob得到了用Alice的私钥签名的消息和散列值
(8)Bob用Alice的公钥解密签名的消息和散列值注意,一个公钥/私钥对中,用其中一个密钥加密的信息只有用另外一个密钥才能解密
(9)为了证实消息没有经过任何改动,Bob将原始消息采用与Alice最初使用的完全一致的Hash函数进行转化
(10)最后,Bob将得出的散列值与它从所收消息中解密出来的散列值对比,若二者相同,则证明了消息的完整性图2描述了Bob解密和对比散列值的过程(步骤6~10)
3. 3实现方法
采用Java语言实现系统,Java语言本身提供了一些基本的安全方面的函数,我们可以在此基础上实现更为复杂和有效的应用系统系统中主要的类实现如下:
(1)Data Encryption类该类主要实现明文向密文的转换,依据RSA算法的规则实现非对称加密,其中密钥长度为128位每次可加密数据的最大长度为512字节,因此对于较长数据的加密需要划分适当大小的数据块
(2)Data Hash类该类完成对所要加密消息产生对应的散列值,对于不同的消息,散列值是不相同的可以借助Java中提供的Hash函数来实现
(3)Data Decryption类该类主要实现密文向明文的转换,依据依据RSA算法的规则,利用加密方的公钥对密文进行解密,并将解密后的明文按序排好
4 结束语
文章以PKI理论为基础,利用公钥密码系统确保了电子商务过程中所传输消息的完整性,使用对称加密系统实现对较长消息的加密,并保证了消息的机密性文章的理论研究和实现方法,对于保障电子商务活动中消息的完整性和机密性具有重要的指导意义
主要参考文献
[1] 周学广,刘艺. 信息安全学[M]. 北京:机械工业出版社,2004.
关键词:电子商务物流信息安全数据加密
当今世界网络,通信和信息技术飞速发展,Internet在全球迅速普及,使得商务空间发展到全球的规模,促进企业组织改革自己的思维观念、组织结构、战略方针和运行方式来适应全球性的发展变化。电子商务就是适应以全球为市场而出现和发展起来的一种新的商贸模式,通过网络技术快速而有效地进行各种商务行为,即在商务运作的整个过程中实现交易无纸化、直接化。电子商务可以使商家与供应商,在全球市场上销售产品;也可以让用户足不出户在全球范围内选择最佳商品,享受全过程的电子服务。
一、物流在电子商务流程中的作用
电子商务对象是整个交易过程,任何一笔交易都由信息流、商流、资金流和物流等四个基本部分组成。开展电子商务的最终目的是为了解决信息流和资金流处理上的延迟,从而提高对物流过程管理的现代化水平,进一步提高现代化物流速度。物流做为网上电子交易的最后一个过程,执行结果的好坏将对电子交易的成败起着十分重要的作用,是实现电子商务的重要环节和基本保证。电子商务必须有现代化的物流技术的支持,才能体现出其所具有的无可比拟的先进性和优越性,在最大限度上使交易双方得到便利,获得效益。
二、电子商务流程中物流的实现
在电子商务中,信息流、商流、资金流的处理可以通过计算机和网络通信设备实现。对于有形的商品和服务来说,物流仍然要由物理的方式进行传输;对于无形的商品及服务如各种电子出版物、信息咨询服务以及有价信息软件等,可以直接通过网络传输的方式进行电子化配送。电子商务环境下的物流,通过机械化和自动化工具的应用和准确、及时的物流信息对物流过程的监控,使物流的速度加快、准确率提高,能有效地减少库存,缩短生产周期。
三、电子商务中物流信息安全问题
物流正在向信息化、自动化、网络化和智能化的方向发展,越来越依赖于网络传输信息的安全性能。由于Internet具有开放性和匿名性,其安全问题变得越来越突出。物流信息在网络传输过程中,经常会遭到黑客的拦截、窃取、篡改、盗用、监听等恶意破坏,给商户带来重大损失。以各种非法手段企图入侵计算机网络的黑客,其恶意攻击构成电子商务系统中网络安全的最大威胁,已经成为物流信息安全的最大隐患。黑客攻击经常使用的手段有:
1、获取口令
有三种方法:一是精心伪造一个登录页面,并嵌入到相关网页上,当商户键入登录信息(用户名和密码等)后,将这些信息传送到黑客的主机,然后关闭页面给出“系统故障”等提示,要求商户重新登录,此后才出现真正的登录页面。二是通过网络监听得到商户口令,监听者往往能够获得其所在网段的所有用户账号和口令,对LAN威胁巨大。三是知道商户账号后利用一些专门软件强行破解商户口令。
2、邮件炸弹
用伪造的IP地址和电子邮件地址向商户信箱发送无数封内容相同的恶意邮件,挤满邮箱,把正常邮件冲掉。同时占用大量网络资源,导致网路阻塞,甚至使电子邮件服务器瘫痪。3、特洛伊木马
在商户的电脑中隐藏一个会在系统启动时运行的程序,采用服务器/客户机的运行方式,在上网时控制商户电脑,窃取口令、浏览商户的驱动器、修改商户文件和登录注册表等。
4、诱敌深入
黑客编写“合法”程序,上传到FTP站点或提供给个人主页诱导客户。当客户下载该软件时,黑客的软件一并进入客户的计算机上,跟踪客户的操作,记录客户输入的每一个口令,发送到黑客指定的E-mail中。
5、寻找漏洞
寻找攻击目标的系统安全漏洞或安全弱点,以便获取攻击目标系统的非法访问权。
四、物流信息安全防护策略合法商户进行网上查询、交易双方业务洽谈、买方下订单并得到卖方确认、商品配送、售后服务、技术支持等在线操作时对商务数据的安全需求比较高,同时希望私有信息(口令、账户数据等)保密。采用身份认证和数据加密技术能够保护商户私人信息及商务数据在公共网络上传输时不被窃听、篡改、顶替及非法使用。
1、身份验证
采用数字证书身份认证加上口令认证的双因子身份认证技术。每个企业用户应该申请一张数字证书,上网进行账户查询时,网上银行系统首先验证该用户数字证书是否合法,然后将查询请求和口令一起发送给业务前置机,对口令再次进行认证。当服务器获得用户证书后,还要检索该证书是否在废止证书列表之中。对于个人用户,可以采用对口令加密的方式进行身份验证,不需要申请证书,比较方便。
2、数据加密
物流信息在网络中传输时,通常不是以明文方式而是以密文的方式进行通信传输。因为以明文传输的信息数据,一旦被他人截获会轻而易举地被读懂、窃取盗用及篡改,很难保证物流配送活动的机密性、可靠性和安全性。下面利用C语言编程实现替换加密方法。
Caesar(恺撒)密码是一种最古老的技术,将明文中每个字母替换为字母表中其后面固定数目位置的字母。如要传输的明文是“Iamateacher!”,经过加密,密钥为5,对方接收到的密文是“Nfrfyjfhmjw!”,对第三方来说,这是毫无意义的一串字符,避免了泄密。合法接收方进行解密,又会得到“Iamateacher!”字符串。加密算法代码如下:#include"string.h"
main()
{inti,ld,newasc;
charmingwen[20],miwen[20],c;
strcpy(mingwen,"Iamateacher!");/*明文*/
ld=strlen(mingwen);
for(i=0;i{c=mingwen[i];
if(c>=''''A''''&&c<=''''Z'''')
{newasc=c+5;/*密钥为5*/
if(newasc>''''Z'''')newasc=newasc-26;
miwen[i]=newasc;}
elseif(c>=''''a''''&&c<=''''z'''')
{newasc=c+5;
if(newasc>''''z'''')newasc=newasc-26;
miwen[i]=newasc;}
else
miwen[i]=c;
}
for(i=0;i}
数据加密后传输,一定程度上保证了信息的安全性,密钥的保密是很关键的。否则,网络攻击者掌握加密、解密算法,又得到密钥,对合法商户会造成致命的损失。因此加强对密钥的管理,要贯穿于密钥的整个生存期:密钥的生成、验证、传递、保管、使用和销毁。
电子商务作为网络时代的一种全新的交易模式,相对于传统商务是一场革命。电子商务的优势之一就是能大大简化业务流程,降低企业运作成本。而电子商务企业成本优势的建立和保持必须以可靠和高效的物流运作作为保证。所以,加大力度防护物流信息的安全,大力发展现代化物流,电子商务才能得到更好的发展。
参考文献:
[1]曹淑艳.电子商务应用基础[M].北京:清华大学出版社,2005.9.
关键词:电子商务 信息安全 安全协议
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)11-0190-01
随着电子商务的发展,网络上的信息安全问题受到高度重视。面对越来越严重危害计算机网络安全的种种威胁,仅仅利用物理上和政策上的手段来防止计算机犯罪是很困难的。那么如何保证整个商务过程中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样安全可靠,已经成为在电子商务应用中所关注的重要技术问题
1、电子商务的安全威胁
电子商务活动是在一个开放、虚拟的场所进行,容易受到黑客的各种攻击,也会由于系统内部人员的不规范使用和恶意破坏,给电子商务带来了极大的威胁。电子商务在这样的环境中,时时处处受到安全的威胁,其安全威胁可分为两大方面:
(1)计算机网络的潜在安全隐患;
(2)商务安全中存在的安全威胁。
2、电子商务主要的安全要素
电子商务面临的威胁导致了对电子商务安全的需求。总的来说,电子商务有有效性、机密性(保密性)、完整性(真实性)、认证性、不可抵赖性(不可否认性)等几方面的安全性需求,为了满足这些需求,提高电子商务的安全性,网络和管理技术人员研究和开发了多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以提供电子商务交易活动不同程度的安全保障。
3、SSL协议及其安全性分析
3.1 SSL安全传输协议
SSL安全套接字层协议应用于Internet上进行保密通信的一个中间层安全协议,是目前使用最广泛的电子商务协议。它位于TCP/IP层和应用层之间,对应用层透明,为应用层程序提供一条安全的网络传输通道。
3.2 SSL记录协议
SSL记录协议用来对应用层提供的信息进行分组和组合、压缩和解压缩、数据认证和加密。利用SSL协议传输的数据都被封装在SSL记录协议定义的SSL记录中。记录由记录头和长度不为0的记录数据组成。
3.3 SSL安全性分析
SSL协议常见的安全问题主要包括ChangeCipherSpec消息丢弃、对握手协议的探测攻击、密钥交换算法重放攻击、版本重放攻击、通信业务流分析攻击和证书攻击等
4、SET协议及其安全性分析
4.1 SET安全电子交易协议
SET是基于Internet的卡基支付,是授权业务信息传输的安全标准,采用RSA公开密钥体系对通信双方进行认证,利用DES、RC4或任何标准对称加密方法进行信息的加密传输,并用Hash算法来鉴别消息真伪、有无篡改。
SET协议规定了交易各方进行安全交易的具体流程,协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。这一标准被公认为全球网际网络的标准,其交易形态将成为未来电子商务的典范。
4.2 SET协议的系统结构
SET改变了支付系统中各个参与者之间交互的方式。在面对面的零售交易或邮购交易中,电子处理过程始于商家或付款银行;而在SET交易中,电子支付始于持卡人。
SET协议是一个庞大的协议系统,总共由17个子协议组成。其中主要的子协议包括:持卡人注册、商家注册、购买请求、支付认证、支付截获等,SET协议还有很多可选的辅助子协议包括:证书状态查询、支付查询、授权撤销、付款撤销、信用卡撤销和出错消息等
4.3 SET协议安全性分析
信息机密性。SET支付环境中信息的机密性是通过使用混合加密算法加密支付信息而获得的。
数据完整性。SET使用数字签名来保证数据的完整性。
身份验证。SET使用基于X.509 v3.0的数字证书,通过数字证书和RSA签名来达到对持卡人帐户和商家、支付网关以及银行的身份的认证。
不可否认性。SET协议中数字证书的过程也包含了商家和客户在交易中存在的信息。
5、SSL协议与SET协议的比较分析
支付系统是电子商务的关键技术,SET和SSL是两种重要的通过Internet进行安全支付的协议,二者在技术上并没有多少相似之处。SET是一个多方的报文协议,它定义了银行、商家、持卡人之间的必须的报文规范,主要是为了解决用户、商家、银行之间通过信用卡支付的交易而设计的,而SSL只是简单地在两方之间建立一条安全连接。SSL是面向连接的,而SET允许各方之间的报文交换不是实时的。
关键词:电子商务;信息安全;风险评估;对策
基金项目:郑州科技学院大学生创新创业训练计划项目:电子商务信息安全风险评估关键技术及应用(编号:DCY2019007)
1.引言
电子商务是以互联网为基础,以商城消费者产品物流为构成要素进行的电子商务活动。当电子商务相关部门或人员在进行项目开发时,拥有一套信息安全风险评估系统可以帮助其采用科学合理的方法对潜在威胁进行分析并保证经济系统的安全。所以将信息安全技术与现代化新兴技术结合,将为我们打造一个更加优质的网络环境。
2.电子商务系统中存在的信息安全问题及现状
一般来说,电子商务的信息安全是指在电子商务交易的过程中双方使用各种技术和法律手段等确保交易不会因为意外,恶意或者披露这些不利要求而受到损害的信息安全。在21世纪初叶,我国金融系统中的计算机犯罪率一直在不断地增加,我国金融网络信息安全形势非常严峻,需要加强改善。下面就电子商务网络中的信息安全问题做一个简要介绍,主要涉及以下几个方面:
(1)由于编写的电子商务系统软件可以使用不同的形式,因此在实际应用过程中难以避免的会留下安全漏洞。例如,网络操作系统本身会存在一些安全问题,例如非法访问I/0,这些不完全的调解和混乱的访问控制会造成数据库安全漏洞,而这些漏洞严重影响了电子商务系统的信息安全性.特别是在设开始设计之前就没有考虑TCP/IP通信协议的安全性,这一切都表明当前的电子商务系统网络软件中有一些可以避免或不可避免的安全漏洞。此外信息共享处理带来也存在风险。在信息的传递过程中,需要不断地对信息源进行加工和重现,截取有用信息,不可避免会出现信息转化方面的风险。尤其是在当下“社交+商务”的模式下,一条消息可能瞬间在社交网站上转载数万次或者更多,一旦在信息转载中出现误差,影响非常大,风险应当给予重视。
(2)随着网络技术的广泛应用,计算机病毒带来的问题越来越广泛,压缩文件,电子邮件已经成为计算机病毒传播的主要途径,因为这些病毒的种类非常多样化,破坏性极强,使得计算机病毒的传播速度大大加快了。近年来,新病毒种类的数量迅速增加,互联网为这些病毒的传播提供了良好的媒介。这些病毒可以通过网络大量传播任何粗心大意都会造成无法弥补的经济损失。此外还有信息传递过程所带来的风险。信息是一种重要的资源,良好的流动性能實现信息价值的最大化,但是在信息的传递过程中需要经过许多路径,而在这过程中往往存在一些不安全因素,给信息安全带来一定的风险。
(3)当前的黑客攻击,除了计算机病毒的传播外,黑容的恶意行为也越来越猖狂。特洛伊木马使黑容可以使用计算机病毒从而变得更加有目的性,使得计算机记录的登录信息被特洛伊木马程序恶意篡改,导致很多重要信息、文件,甚至是金钱被盗。
(4)由人为因素造成的电子商务公司的安全问题,大部分保密工作是通过员工的操作来进行的,这就需要员工具有很好的保密性,责任心和责任感等道德素质。如果员工的责任心不强,态度不正确,就容易被别人利用,让无关人员随意进出房间或向他人泄露机密信息,可以让罪犯废除重要信息。如果工作人员缺乏良好的职业道德,可能会非法超出授权范围更改或删除他人的信息,而且还可以利用所学专业知识和工作位置来窃取用户密码和标识符,进行非法出售。
3.电子商务信息安全风险评估存在的问题
经过大量的数据收集与分析不难发现对信息安全风险评估是当前科研工作中噬待解决的问题。目前,国内也有一些关于信息安全风险评估的研究和应用,但是这些研究都只是简单的分析,包括常用的具有风险的风险评估工具。评估矩阵,问卷,风险评估矩阵与问卷方法,专家系统相结合。对于更深层次的探究还需进一步努力。此外,网络信息安全风险评估方法常用定量因子分析方法,时间序列模型,决策树方法和回归模型进行。风险评估方法,定性分析主要包括逻辑分析,Delphi方法,因子分析方法,历史比较方法等。其中,定量和定性评估方法相结合,是由模糊层次分析法,基于D-S证据理论等的评估方法组成。同时网络信息安全风险评估还存在一定问题,例如随着网络的发展,我国从开始的2G迈向4G现在又率先进入5G时代。其中也出现了各种问题,网民数量的增加需要迫切提高他们对信息安全的警惕意识。
3.1欠缺对电子商务信息安全风险评估的认识
当前,许多相关人员对电子商务信息系统面临着巨大的挑战的现状并未有足够的意识,缺少信息安全风险评估经验。因此他们没有重视信息安全风险评估的重要性,其原因如下。第一,公司或单位的风险评估尚未通过标准检验,培训标准,信息安全风险评估工作的研究尚未得到系统的相关理论,方法和技术工具,这是由于一些信息安全评估工作相关领导层和工作人员对信息评估风险评估的重要性的认识不足,因此自然而然不将此类风险评估工作包括在当前的信息安全系统框架中。第二,尽管有许多部门将信息安全工作置于地位重要,但受到人力、物力,财力等方面的限制,社会制度的制约,政策法规的欠缺使得信息安全系统的信息安全风险评估工作无法得到应有的重视。
3.2缺乏信息安全风险评估方面的专业技术人才
首先,信息安全风险评估的技术内容要求非常高,它要求员工具有很高的技术水平,现在很多公司都将通用信息用作风险评估技术人员。其次,信息安全风险评估是一项集综合性,专业性于一体的工作,不仅涉及公司的所有业务信息,也涉及人力,物力和财力的方方面面,因此需要各部门之间相互配合,现在大多数公司仅依靠信息部门,独立的参与信息安全风险评估毫无争议他们要想完成信息安全风险评估工作是非常艰难的。综上所述,培养信息安全风险评估专业技术人员是今后信息技术方面发展的方向。
3.3风险评估工具相对缺乏
当前,除专家系统外,其他分析工具相对来说都比较简易,除此之外还缺乏实用的理论基础。此外,这种信息风险评估工具在应用中的发展呈现的现状。表明国内和外部失衡,在中国相对落后。可见解决信息安全问题的关键在于有成熟的风险评估工具。
4.防范电子商务信息安全及风险的建议
4.1增强电子商务信息安全和风险评估的意识
大多数信息的传输和处理,与人是密不可分的。特别是掌握人员的重要信息和核心业务,人员的个人因素,管理因素和环境存在风险。主要包括人员的技术能力,监控管理,安全性。特别需要做好监督审计公司的工作,确保信息安全风险管理融入实践,充分发挥内部监督作用,促进社会责任认可和实施信息安全风险管理工作。电子商务公司必须对工人进行必要的信息安全知识教育培訓,了解与之相关的法律法规,做好对客户关键信息的隐秘保护。不随意查看和泄露客户购买信息。
企业应该加大力度保障网络通信操作时信息的机密性和完整性,加强密钥管理,提高应对网络攻击能力,采取措施避免越权或滥用,消除用户在交易中的风险。在信息安全风险控制中必须由内到外地保护内部系统环境、网络边界、骨干网安全。为网络信息系统建立完善的管理系统,并提供全面的安全保障。运用端到端策略。对于移动电子商务中用户终端设备种类繁多,安全环境复杂难以控制的问题,必须做好数据传输中的重要环节中的身份鉴定。通过人脸识别、指纹识别等技术有效提高用户访问身份鉴别能力,极大地提高账户的安全性,确保数据传输的安全性,确保交易的真实有效。
4.2提供专业的技术培训,提高专业人员的技能
认真选择第三方合作伙伴,增强信息管理水平,加强绩效监督管理。树立合理的企业内部组织结构和有效资金保障,培养员工信息安全意识,创造良好信息安全工作氛围,加强信息安全专业技术人员对信息安全风险评估的意识和能力,通过大量的实验发现可以通过下列方法培训相关人员:第一,定期开展信息安全风险评估工作,将公司员工集合共同学习相关资料以提升他们对信息安全的意识弥补存在的缺陷。第二,对信息安全部门的员工进行专门的技术培训和指导,可通过模拟分析来提升技术;第三,公司应增加对技术资源的投入,聘请经验丰富的专家学者组成第三方评估机构,引进风险评估设备。以备不时之需;第四,公司应对技术人员进行标准化认证培训,执行职业资格准入制度,提高技术人员的门槛,纳入信息安全风险评估,技术人员的全面质量保证评估。以上这些方法只是单纯就培训方式对于具体的实施以及可能遇到的问题依然需要研究。
4.3提升对信息安全防范技术的研究和应用
为移动数据库存储的数据进行加密以防止泄漏,采用不同的加密方法来保护数据安全,进行身份认证,数据恢复,数据加密存储,物理隔离,防火墙,网络,网络设备,网络入侵检测,网络漏洞扫描,网络设备备份,网络管理,专线,实现网络管理等一系列技术手段,从而提高数据库的安全性。同时提高认识到物理设施的重要性,定期维护物理设施。为了监测信息安全和实施评估系统,我们要保证基本硬件和芯片的独立在建立独立于信息安全的评估体系中,国内外统一组织重要的信息安全技术研究,建立创新的电子商务信息安全与评估体系。
[关键词] 电子商务 信息安全 安全技术
伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。
一、电子商务的信息安全问题
电子商务信息安全问题主要有:
1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。
2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳: 电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006
论文摘要:电子商务是基于网络盼新兴商务模式,有效的网络信息安全保障是电子商务健康发展的前提。本文着重分析了电子商务活动申存在的网络信息安全问题,提出保障电子商务信息安全的技术对策、管理策略和构建网络安全体系结构等措施,促进我国电子商务可持续发展。
随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网购物、商户之间的网上交易和在线电子支付以及各种商务活动和相关的综合眼务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推广,然而由于互联网的开放性,网络安全问题日益成为制约电予商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全性的含义主要是信息的完整性、可用性、保密和可靠。因此电商务活动中的信息安全问题丰要体现在以下两个方面:
1 网络信息安全方面
(1)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电予商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2.电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二 电子商务中的网络信息安全对策
1 电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信皂的完整和提供信包发送者身份的认证,应用数字签名可在电子商务中安全、方便地实现在线支付,而数据传输的安全性、完整,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。
(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和Intemet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两种。相应地,对数据加密的技术分为对称加密和非对称加密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介入,主要做好硬件系统日常管理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒入侵信息等工作。此外,还可将刚络系统中易感染病毒的文什属性、权限加以限制,断绝病毒入侵的渠道,从而达到预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应引对信息安全至少提供三个层而的安全保护措施:一是数据存操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以上保护措施可为系统数据安全提供双保险。
三 电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠眭和为系统提供基础性作用的安全机制。2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。4.电商务网络安全的立法保障。结合我阁实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
