電子商務信息安全精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇電子商務信息安全，期待它們能激發您的靈感。

篇1

[關鍵詞]電子商務系統；信息安全；技術分析

近年來，我國網絡技術快速發展，電子商務經營模式在各行各業中的應用愈加廣泛。電子商務經營模式主要通過網絡開運行，其開放性的特點不但保證了商務活動的高效性和快捷性，還極大地提高了企業的經營管理效率，而同時也給企業帶來許多問題，如黑客、病毒入侵，給企業造成了極大的經濟損失，因此，為了保證電子商務系統給企業帶來的效益，迫切需要解決電子商務信息安全問題。

一、我國電子商務發展概況

由于網絡環境具有開放性的特點，電子商務使企業、消費者可以通過網絡進行交易，極大的豐富了人們購物的方式。而隨著計算機網絡技術的快速發展，電子商務相關技術也越來越完善，市場環境愈加成熟，以電子商務為主的網上交易模式得到了廣大人民的青睞。電子商務不但使得交易模式更加快捷，讓消費者可以通過電子商務平臺輕松購買到自己想要的商品，從商家的立場來說，還促使商家構建出自己的電子商務網絡平臺，實現商品的網絡在線銷售，極大的提高了企業的經濟效益。我國企業電子商務模式種類繁多，其差異主要體現在交易模式及付款方式的不同，有B2B、B2C、C2C等模式，這里B指的是Business，即企業，C指的是Customer，即客戶。

B2B模式中的交易雙方都是企業用戶，大多通過網絡形成交易合同，然后通過現實銀行支票或轉賬等方式進行付款；在C2C模式中，交易雙方是個人對個人的交易形式，其中以淘寶店主作為主要代表，商務活動主要是個人與個人之見的交易活動，雙方通過第三方網站支付平臺進行相應的付款與收款交接；在B2C模式中，交易雙方中的一方是企業，另外一方是個人，電商企業通過電子商務銷售平臺將商品推銷給個體消費者。這種電子商務經營模式，徹底的改變了傳統的賣家―經銷商―買家的交易模式，極大的提高了企業的經濟效益，并且縮短了交易的時間。

二、當前電子商務信息安全現狀

電子商務作為一種新型的商業經營模式，使商務活動交易雙方在不見面的情況下，通過互聯網手段完成商業交易，而這一特點也給電子商務信息埋下了安全隱患。電子商務高度網絡化的特點，對電子商務安全性有著較高的要求。第一，要嚴格化用戶信息數據傳輸、處理以及存儲的過程，確保在商務活動交易過程中交易雙方信息的完整性，避免交易雙方信息在處理的過程中出現錯誤；第二，要對交易雙方的身份進行核實認證，保障交易過程中交易雙方身份信息的真實性，第三，要保障電子商務交易平臺系統軟件的穩定性，定期更新硬件設備，在最大程度上保證電子商務信息安全，加強電子商務的安全技術和安全管理，以確保電子商務的信息安全性。當前電子信息安全問題主要表現為以下形式：

（一）病毒與黑客

由于網絡環境的開放性特點，網絡病毒具有極強的傳染力和破壞力，它侵入到電子商務的系統中，破壞商務交易數據程序，對電子商務系統造成無法估量的損失。而網絡黑客主要通過黑客程序進入電子商務信息系統漏洞，進而侵入到電子商務系統中，竊取用戶私人信息進行惡意利用，有些黑客竊取競爭對手的商業機密對其進行商業打擊。

（二）軟件漏洞

由于計算機軟件編程具有復雜多樣的特點，電子商務系統軟件經常出現信息泄露的問題。如果程序中的文檔秘密入口被其他程序員惡意使用，將導致無法估量的損失；而由于操作系統自身的安全漏洞，例如訪問控制混亂、I/O非法訪問、不完全中介、數據庫安全漏洞等等，都將嚴重危害電子商務系統的信息安全，在TCP/IP的通信協議設計初期階段，程序員沒有充分考慮軟件安全的問題，導致計算機在連接Internet時，經常受到外界各類惡意軟件的攻擊，使得信息被竊取。

（三）技術落后

由于我國網絡信息技術發展滯后，當前電子商務系統中仍存在信息安全問題。當前我國多數計算機設備皆來源于進口，計算機芯片技術不成熟，網絡設備的技術及維護技術大多從國外引進，如果軟件中隱性漏洞被人惡意利用，將造成嚴重的電子商務信息安全問題。

三、電子商務信息安全防范措施分析

（一）電子商務法規制度

企業需要做好管理體制的建設工作，不斷加強內部的安全管理，提高企業的安全意識，為了保證電子商務活動中用戶的隱私。同時政府需要不斷完善電子商務相關法規，制定科學合理的賠償制度，為電子商務的發展創造必要的法律環境。

（二）病毒防范處理技術

計算機病毒防范處理技術是保證電子商務系統信息安全的重要途徑。病毒管理工作要堅持防范大于治療的原則，使用各種病毒預防方法來進行預防，例如對新購入的計算機硬件及軟件進行嚴格化檢測、定期進行數據備份等，同時設置合理的文件訪問權限、對文件進行定期掃描檢測。此外，定期更改系統管理員口令，以免不法分子非法獲取管理員口令，安裝防病毒芯片，做好病毒防御工作。若電子商務的計算機系統感染病毒，必須立即對其進行清除和系統恢復的工作。在清除病毒時需要使用干凈盤來進行系統恢復，保證殺毒工作處于無病毒環境中，同時盡快找出病毒宿主程序，在啟動盤和殺毒盤上安裝保護程序，防止病毒的進一步傳染。此外，要保證病毒清除工作的全面性與準確性，及時清除病毒文件。如此才能徹底清除電子商務系統感染的病毒，保證電子商務用戶的信息安全。

（三）數據加密技術

加密技術是計算機網絡信息安全技術的基礎技術之一，大多被應用于數據存儲與傳輸的過程中。數據加密技術使用數學方法將信息進行再組織和加密，使非法接受者無法正常接收網絡數據，而合法接受者可以通過密鑰，對數據進行解密來得到信息，極大地保證了信息安全。由于在數據安全保護方面獨具優勢，數據加密技術被廣泛應用于電子商務信息安全管理工作中。

（四）防火墻技術

防火墻技術是保障電子商務信息安全的重要方法，它極大的限制了公共數據與服務對于防火墻內資源的訪問權限，然而防火墻對病毒沒有防范的作用，并且由于防火墻數據時常無法及時更新，導致產生數據延遲，極大地制約了實時服務支持請求。同時防火墻通常采取的濾波技術會使網絡性能降低一半以上，而為了保證網絡性能，企業需要配置高速路由器，這不利于企業經濟效益的提高。防火墻技術是一種大眾化的電子商務信息安全防范技術，擁有頗高的透明度，并且易于操作，能在一定程度上保證電子商務信息安全。然而，如果防火墻被入侵，電子商務系統信息安全將受到極大的損害。同時防火墻也無法滿足企業與個體之間商業網絡通信的需求。

（五）授權認證技術分析

目前國際電子商務大多采用CA認證技術來處理電子商務信息的安全問題。作為電子商務系統中的權威機構，所有的電子商務系統數字證書都要通過CA認證中心的授權，因此CA認證技術中心受到了廣大用戶的信任。其主要通過身份識別、數字化簽名等技術途徑來處理電子商務系統中身份認證的問題，確保商務互動交易雙方身份的真實有效，使數據存儲、傳輸的安全得到保證。

結束語

總而言之，電子商務雖然給企業帶來了極大的經濟效益，然而由于網絡環境具有開放性的特點，易產生安全漏洞和信息泄露等問題，從而使電子商務活動中雙方帶來重大的經濟損失，因此要不斷完善對計算機信息安全技術，電子商務活動環節進行有效監測，保證電子商務信息安全，促使電子商務系統健康發展。

參考文獻

[1]崔曉慧.關于電子商務信息安全的探討[J].現代營銷，2013，（4）.

[2]黃福偉.提高計算機電子商務信息安全的策略分析[J].中國電子商務，2014，（12）.

篇2

[關鍵詞] 電子商務 信息技術 信息安全

隨著互聯網技術的蓬勃發展,基于網絡和多媒體技術的電子商務應運而生并迅速發展。所謂電子商務 ( Electronic Commerce, EC) 就是借助于公共網絡,如 Internet 或開放式計算機網絡 (Open Computer Network) 進行網上交易,快速而又有效地實現各種商務活動過程的電子化、網絡化、直接化。這種商務過程包括商品和服務交易的各個環節,如廣告、商品購買、產品推銷、信息咨詢、商務洽談、金融服務、商品的支付等商業交易活動。但是出于各種目的的網絡入侵和攻擊也越來越頻繁,脆弱的網絡和不成熟的電子商務增強了人們的防范心理。從這點上來看,信息安全問題是保障電子商務的生命線。

一、電子商務信息安全現存的問題

電子商務是實現整個貿易過程中各階段貿易活動的電子化。公眾是電子商務的對象,信息技術是實現電子商務的基礎,電子商務實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務活動中的信息安全問題主要體現在:

1.計算機網絡的安全

(1)安全協議問題。目前安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

(2)信息的安全問題。非法用戶在網絡的傳輸上,通過不正當手段,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密;或者是非法用戶對截獲的網絡數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易;還有一些非法用戶利用截獲的網絡數據包再次發送,惡意攻擊對方的網絡硬件和軟件。

(3)防病毒問題。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。

(4)服務器的安全問題。電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數據庫里有企業的一些敏感數據,如價格、成本等,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果也是非常嚴重的。目前為止服務器的安全問題尚無有效措施予以阻止。主要表現在: 非法用戶向網絡或主機發送大量非法或無效的請求,使其消耗可用資源卻無法繼續提供正常的網絡服務; 利用操作系統、軟件、網絡協議、網絡服務等的安全漏洞,通過網站發送特制的數據請求,使網絡應用服務器崩潰而停止服務。

2.商務交易的安全

(1)身份的不確定問題。由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法收入。

(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。

(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。

3.其他方面的安全

電子商務安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題: 網絡交易糾紛的仲裁、網絡交易契約等問題,急需為電子商務提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅。

二、保障電子商務信息安全技術性措施

電子商務安全是信息安全的上層應用,它包括的技術范圍比較廣,主要分為數據加密技術和身份認證技術兩大類。

1.數據加密技術

加密技術是保證電子商務中采用的主要安全措施,交易雙方可根據需要在信息交換階段使用。在一個加密過程中有兩個基本元素:算法和密鑰。加密過程就是根據一定的算法,將可理解的數據(明文)與一串數字(密鑰)相結合,從而產生不可理解的密文的過程,主要加密技術是:

(1)常規密鑰密碼加密。所謂常規密鑰密碼加密,即加密密鑰與解密密鑰是相同的。在早期的常規密鑰密碼體制中,典型的有代替密碼,其原理可以用一個例子來說明:字母 A,B,C,D,…,W,X,Y,Z的 自然順序保持不變,但使之與 D,E,F,G,…,Z,A,B,C 分別對應 (即相差3個字符)。 若明文為WELL則對應的密文為 ZHOO (此時密鑰為3)。

由于英文字母中各字母出現的頻度早已有人進行過統計,所以根據字母頻度表可以很容易對這種代替密碼進行破譯。

(2)對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密,即收發雙方采用相同的密鑰來進行加密和解密。對稱密鑰加密的最大優點是加解密速度快,適合于進行大量數據加密,但也存在密鑰管理、困難以及無法進行身份鑒別的缺點。

(3)非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密,每個用戶有一對密鑰: 一個用于加密,一個用于解密,兩把密鑰實際上是兩個很大的質數。其中,加密密鑰(公鑰)可以在網絡服務器、報刊等場合公開,而解密密鑰(私鑰)則屬用戶的私有密鑰,由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現的。

與對稱密鑰加密相比,采用非對稱密鑰加密方式密鑰管理較方便,且保密性比較強,但加解密實現速度比較慢,不適用于通信負荷較重的應用。

2.身份驗證技術

(1)認證系統。網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發機構叫做 Certificate Authority,通常簡稱為 CA。要建立安全的電子商務系統,首先必須建立一個穩固、健全的 CA,否則,一切網上的交易都沒有安全保障。

(2)SSL協議。SSL協 議 (Secure Socket Layer,安全套接層)主要目的是解決 TCP/IP 協議不能確認用戶身份的問題,在 Socket 上使用非對稱的加密技術,以保證網絡通信服務的安全性。SSL協議易于實現。

SSL協議還是最值得信賴的協議。但是由于 SSL協 議當初并不是為支持電子商務而設計的,所以在電子商務系統的應用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成,SSL協 議并不能協調各方間的安全傳輸和信任關系。

(3)SET協 議。SET (Secure Electronic Transaction) 安全電子交易協議是用于 Internet 上的以信用卡為基礎的電子支付系統協議。主要應用于B/C模式中保障支付信息的安全性。SET協 議提供對消費者、商戶和銀行的認證,協議本身比較復雜,設計比較嚴格,安全性高,確保電子交易的機密性、數據完整性、身份的合法性和抗否認性,特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。它的交易規范成為了未來電子商務發展的方向。

3.其他安全技術

防火墻技術:防火墻主要是用來隔離內部網和外部網,對內部網的應用系統加以保護。目前的防火墻分為兩大類:一類是簡單的包過濾技術,它是在網絡層對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和服務器,可針對特別的網絡應用服務協議及數據過濾協議,并且能夠對數據包分析并形成相關的報告。

數字簽名:數字簽名是公開密鑰加密技術的另一種應用,報文的發送方從報文文本中生成一個 128位的散列值,發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名,通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。

三、保障電子商務信息安全措施

1.加快網絡基礎設施建設,推動企業信息化進程

信息基礎設施是電子商務發展的物質基礎和載體。發展信息基礎設施需要政府和業界的共同努力,尤其是政府的大力投資和宏觀調控。

2.普及計算機網絡知識和電子商務常識,提高全民族電子商務意識

普及信息技術的教育,培養信息技術人才。增強企業和公眾對電子商務的信心。

3.加快銀行、稅務以及郵政等物流環節的信息化建設

建立企業到企業、企業到客戶的商務溝通,實現網上資金流動,解決目前有形商品交易環節中的流通困難。

參考文獻:

[1]周均:電子商務信息安全的政策法律研究[J].科技文獻信息管理,2004(4):57

[2]楊穎:電子商務安全問題分析[J].中國科技信息,2005(20):53

篇3

關鍵詞：電子商務信息安全安全技術

伴隨經濟的迅猛發展，電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優勢，必須保證電子商務中信息交流的安全。

一、電子商務的信息安全問題

電子商務信息安全問題主要有：

1.信息的截獲和竊取：如果采用加密措施不夠，攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據，獲取機密信息或通過對信息流量、流向、通信頻度和長度分析，推測出有用信息。2.信息的篡改：當攻擊者熟悉網絡信息格式后，通過技術手段對網絡傳輸信息中途修改并發往目的地，破壞信息完整性。3.信息假冒：當攻擊者掌握網絡信息數據規律或解密商務信息后，假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴：交易抵賴包括多方面，如發信者事后否認曾發送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。

二、信息安全要求

電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:

1.信息保密性：維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中，要預防非法信息存取和信息傳輸中被竊現象發生。2.信息完整性：貿易各方信息的完整性是電子商務應用的基礎，影響到交易和經營策略。要保證網絡上傳輸的信息不被篡改，預防對信息隨意生成、修改和刪除，防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性：保證信息有效性是開展電子商務前提，關系到企業或國家的經濟利益。對網絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防，以保證貿易數據在確定時刻和地點有效。4.信息可靠性：確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統軟件錯誤等威脅，通過控制與預防確保系統安全可靠。

三、信息安全技術

1.防火墻技術。防火墻在網絡間建立安全屏障，根據指定策略對數據過濾、分析和審計，并對各種攻擊提供防范。安全策略有兩條：一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流，再審查要求通過信息，符合條件就通過；二是“凡是未被禁止就是允許”。防火墻先轉發所有信息，然后逐項剔除有害內容。

防火墻技術主要有：(1)包過濾技術：在網絡層根據系統設定的安全策略決定是否讓數據包通過，核心是安全策略即過濾算法設計。(2)服務技術：提供應用層服務控制，起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控、過濾、記錄等功能。(3)狀態監控技術：在網絡層完成所有必要的包過濾與網絡服務防火墻功能。(4)復合型技術：把過濾和服務兩種方法結合形成新防火墻，所用主機稱為堡壘主機，提供服務。(5)審計技術：通過對網絡上發生的訪問進程記錄和產生日志，對日志統計分析，對資源使用情況分析，對異常現象跟蹤監視。(6)路由器加密技術：加密路由器對通過路由器的信息流加密和壓縮，再通過外部網絡傳輸到目的端解壓縮和解密。2.加密技術。為保證數據和交易安全，確認交易雙方的真實身份，電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有：(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開；得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲：貿易方甲用另一把專用密鑰對加密信息解密。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方，保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數字指紋，有固定長度且不同明文摘要成密文結果不同，而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段。簽名作用有兩點：一是因為自己簽名難以否認，從而確認文件已簽署；二是因為簽名不易仿冒，從而確定文件為真。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容，數字時間戳服務能提供電子文件發表時間的安全保護。

3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份，驗證信息完整性，確認信息在傳送或存儲過程中未被篡改。(1)數字證書:也叫數字憑證、數字標識，用電子手段證實用戶身份及對網絡資源的訪問權限，可控制被查看的數據庫，提高總體保密性。交易支付過程中，參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數字時間戳服務還是數字證書發放，都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構，受理數字證書的申請、簽發及對數字證書管理。

4.防病毒技術。(1)預防病毒技術，通過自身常駐系統內存，優先獲取系統控制權，監視系統中是否有病毒，阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術，通過對計算機病毒特征進行判斷的偵測技術，如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術，通過對計算機病毒分析，開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度，可以清除處于潛伏期的病毒，防止病毒突然爆發，使計算機始終處于良好工作狀態。

四、結語

信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術，提高電子商務系統的安全性和可靠性。但電子商務的安全運行，僅從技術角度防范遠遠不夠，還必須完善電子商務立法，以規范存在的各類問題，引導和促進我國電子商務快速健康發展。

參考文獻:

[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006

篇4

一、電子商務信息安全問題

 

由于Internet本身的開放性，使電子商務系統面臨著各種各樣的安全威脅。目前，電子商務主要存在的安全隱患有以下幾個方面。

 

(一)身份冒充問題

 

攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，進行信息欺詐與信息破壞，從而獲得非法利益。主要表現有：冒充他人身份;冒充他人消費、栽贓;冒充主機欺騙合法主機及合法用戶等。

 

(二)網絡信息安全問題

 

主要表現在攻擊者在網絡的傳輸信道上，通過物理或邏輯的手段，進行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過分析網絡物理線路傳輸時的各種特征，截獲機密信息或有用信息，如消費者的賬號、密碼等。篡改，即改變信息流的次序，更改信息的內容;刪除，即刪除某個信息或信息的某些部分;插入，即在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。

 

(三)拒絕服務問題

 

攻擊者使合法接入的信息、業務或其他資源受阻。主要表現為散布虛假資訊，擾亂正常的資訊通道。包括：虛開網站和商店，給用戶發電子郵件，收訂貨單;偽造大量用戶，發電子郵件，窮盡商家資源，使合法用戶不能正常訪問網絡資源，使有嚴格時間要求的服務不能及時得到響應。

 

(四)交易雙方抵賴問題

 

某些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。如：者事后否認曾經發送過某條信息或內容;收信者事后否認曾經收到過某條信息或內容;購買者做了訂貨單不承認;商家賣出的商品質量差但不承認原有的交易。在網絡世界里誰為交易雙方的糾紛進行公證、仲裁。

 

(五)計算機系統安全問題

 

計算機系統是進行電子商務的基本設備，如果不注意安全問題，它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞，數據丟失，信息泄露等問題。計算機系統也經常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時，計算機系統存在工作人員管理的問題，如果職責不清，權限不明同樣會影響計算機系統的安全。

 

二、電子商務安全機制

 

(一)加密和隱藏機制

 

加密使信息改變，攻擊者無法讀懂信息的內容從而保護信息;而隱藏則是將有用的信息隱藏在其他信息中，使攻擊者無法發現，不僅實現了信息的保密，也保護了通信本身。

 

(二)認證機制

 

網絡安全的基本機制，網絡設備之間應互相認證對方身份，以保證正確的操作權力賦予和數據的存取控制。網絡也必須認證用戶的身份，以保證正確的用戶進行正確的操作并進行正確的審計。

 

(三)審計機制

 

審計是防止內部犯罪和事故后調查取證的基礎，通過對一些重要的事件進行記錄，從而在系統發現錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。

 

(四)完整性保護機制

 

用于防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務，當信息源的完整性可以被驗證卻無法模仿時，收到信息的一方可以認定信息的發送者，數字簽名就可以提供這種手段。

 

(五)權力控制和存取控制機制

 

主機系統必備的安全手段，系統根據正確的認證，賦予某用戶適當的操作權力，使其不能進行越權的操作。該機制一般采用角色管理辦法，針對系統需要定義各種角色，如經理、會計等，然后對他們賦予不同的執行權利。

 

(六)業務填充機制

 

在業務閑時發送無用的隨機數據，增加攻擊者通過通信流量獲得信息的困難。同時，也增加了密碼通信的破譯難度。發送的隨機數據應具有良好模擬性能，能夠以假亂真。

 

三、電子商務安全關鍵技術

 

安全問題是電子商務的核心，為了滿足安全服務方面的要求，除了網絡本身運行的安全外，電子商務系統還必須利用各種安全技術保證整個電子商務過程的安全與完整，并實現交易的防抵賴性等，綜合起來主要有以下幾種技術。

 

(一)防火墻技術

 

現有的防火墻技術包括兩大類：數據包過濾和服務技術。其中最簡單和最常用的是包過濾防火墻，它檢查接受到的每個數據包的頭，以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾，所以可以有效地避免對其進行的有意或無意的攻擊，從而保證了專用私有網的安全。將包過濾防火墻與服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于：防火墻技術只能防止經由防火墻的攻擊，不能防止網絡內部用戶對于網絡的攻擊：防火墻不能保證數據的秘密性，也不能保證網絡不受病毒的攻擊，它只能有效地保護企業內部網絡不受主動攻擊和入侵。

 

(二)虛擬專網技術(VPN)

 

VPN的實現過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。VPN具投資小、易管理、適應性強等優點。VPN可幫助遠程用戶、公司分支機構、商業伙伴及供應商與公司的內部網之間建立可信的安全連接，并保證數據的安全傳輸，以此達到在公共的Internet上或企業局域網之間實現完全的電子交易的目的。

 

(三)數據加密技術

 

加密技術是保證電子商務系統安全所采用的最基本的安全措施，它用于滿足電子商務對保密性的需求。加密技術分為常規密鑰密碼體系和公開密鑰密碼體系兩大類。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發生私有密鑰泄露，可通過常規密鑰密碼體系的方法加密機密信息，并隨報文發送報文摘要和報文散列值，以保證報文的機密性和完整性。目前常用的常規密鑰密碼體系的算法有：數據加密標準DES、三重DES、國際數據加密算法IDEA等，其中DES使用最普遍，被ISO采用為數據加密的標準。在公開密鑰密碼體系中，加密密鑰是公開信息，而解密密鑰是需要保護的，加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有：基于數論中大數分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中，常規密鑰密碼體系的特點是加密速度快、效率高，被廣泛用于大量數據的加密，但該方法的致命缺點是密鑰的傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足，保密性能也優于常規密鑰密碼體系，但公開密鑰密碼體系復雜，加密速度不夠理想。目前電子商務實際運用中常將兩者結合使用。

 

(四)安全認證技術

 

安全認證技術主要有：1.數字摘要技術，可以驗證通過網絡傳輸收到的明文是否被篡改，從而保證數據的完整性和有效性。2.數字簽名技術，能夠實現對原始報文的鑒別和不可否認性，同時還能阻止偽造簽名。3.數字時間戳技術，用于提供電子文件發表時間的安全保護。4.數字憑證技術，又稱為數字證書，負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。5.認證中心，負責審核用戶的真實身份并對此提供證明，而不介入具體的認證過程，從而緩解了可信第三方的系統瓶頸問題，而且只須管理每個用戶的一個公開密鑰，大大降低了密鑰管理的復雜性，這些優點使得非對稱密鑰認證系統可用于用戶眾多的大規模網絡系統。6.智能卡技術，它不但提供讀寫數據和存儲數據的能力，而且還具有對數據進行處理的能力，可以實現對數據的加密和解密，能進行數字簽名和驗證數字簽名，其存儲器部分具有外部不可讀特性。采用智能卡，可使身份識別更有效、安全，但它僅僅為身份識別提供一個硬件基礎，如果要使身份認證更安全，還需要與安全協議的配合。

 

(五)電子商務安全協議

 

不同交易協議的復雜性、開銷、安全性各不相同，同時不同的應用環境對協議目標的要求也不盡相同。目前比較成熟的協議有：1.Netbill協議，是由J.D.Tygar等設計和開發的關于數字商品的電子商務協議，該協議假定了一個可信賴的第三方，將商品的傳送和支付鏈接到一個原子事務中。2.匿名原子交易協議，由J.D.Tygar首次提出，具有匿名性和原子性，對著名的數字現金協議進行了補充和修改，改進了傳統的分布式系統中常用的兩階段提交，引入了除客戶、商家和銀行之外的獨立第四方一交易日志(Transactionlog)以取代兩階段提交協議中的協調者(Coordinator)。3.安全電子交易協議SET，由VISA公司和MasterCard公司聯合開發設計。SET用于劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，它可以對交易各方進行認證，防止商家欺詐。SET協議開銷較大，客戶、商家、銀行都要安裝相應軟件。4.安全套接字層協議SSL，是目前使用最廣泛的電子商務協議，它由Netscape公司于1996年設計開發。它位于運輸層和應用層之間，能很好地封裝應用層數據，不用改變位于應用層的應用程序，對用戶透明。然而，SSL并不專為支持電子商務而設計，只支持雙方認證，只能保證傳送信息傳送過程中不因被截而泄密，不能防止商家利用獲取的信用卡號進行欺詐。5.JEPI(JointElectronicPaymentInitiative)，是為了解決眾多協議間的不兼容性而提出來的，是現有HTTP協議的擴展，在普遍HTTP協議之上增加了PEP(ProtocolExtensionProtocol)和UPP(UniversalPaymentPreamble)兩層結構，其目的不是提出一種新的電子支付手段，而是在允許多種支付系統并存的情況下，幫助商家和顧客雙方選取一個合適的支付系統。

 

四、結束語

 

信息安全是電子商務發展的基礎，隨著電子商務的發展，通過各種網絡的交易手段也會更加多樣化，安全問題變得更加突出。為了解決好這個問題，必須有安全技術作保障。目前，防火墻技術、網絡掃描技術，數據加密技術和計算系統安全技術發揮著重要的作用，此外，需要完善法律制度、管理制度和誠信制度，保證電子商務信息安全，加快電子商務的發展。

篇5

[關鍵詞] 移動電子商務 信息系統 Bent函數 Hash函數

現代計算機網絡技術和電子計算機技術的迅猛發展及普遍使用，使得社會前進愈來愈依賴電子技術和信息技術的發展，信息經濟席卷全球，成為經濟運行的主流。電子商務近年來發展速度越來越快，應用的環境越來越好，但同時產生了商務信息系統安全問題。商務信息系統安全的核心是密碼理論與技術，密碼技術的研究一直收到廣泛重視，密碼理論與技術發展很快。應對層疊而出的商務信息系統安全問題，設計能抵抗安全攻擊的布爾函數不僅有理論價值，同時還有巨大的商業應用價值。

由Rothaus教授提出的Bent函數是一類重要的密碼函數，還有Hash函數。它在密碼、編碼理論、序列設計，以及組合設計理論中有廣泛而重要應用。筆者在本文將主要探討移動電子商務信息系統安全，以及如何采用bent函數、hash函數技術如何增加移動商務信息系統安全系數的問題。

一、移動電子商務信息系統安全簡述

1.電子商務與移動電子商務概念

電子商務（Electronic Commerce，簡稱E-commerce）是在因特網開放的網絡環境下，基于瀏覽器或服務器應用方式，買賣雙方不謀面地進行各種商貿活動，實現消費者的網上購物、商戶之間的網上交易和在線電子支付，以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。

移動電子商務(M-Commerce)，它由電子商務(E-Commerce)的概念衍生出來，是通過手機、PDA（個人數字助理）、呼機等移動通信設備與因特網有機結合所進行的電子商務活動。移動電子商務能提供以下服務：PIM（個人信息服務）、銀行業務、交易、購物、基于位置的服務、娛樂等。移動電子商務因其快捷方便、無所不在的特點，已經成為電子商務發展的新方向。因為只有移動電子商務才能在任何地方、任何時間，真正解決做生意的問題。

截至2008年4月，中國移動電話用戶合計5.84億，移動電話用戶數與固定電話用戶數的差距拉大到2.24億戶，移動電話用戶在電話用戶總數中所占的比重達到61.9%。移動電話普及率已達41.6%。

移動電子商務與傳統的主要通過桌面電腦網絡平臺而運行和開展的電子商務相比，擁有更為廣泛的潛在用戶基礎。當前，中國互聯網用戶雖然已經超過2億，但同時手機用戶卻相比多了3億多用戶，此外根據資料還有數量龐大的PDA用戶群，因此，移動電子商務具有比非移動電子商務更為廣闊的市場前景。

2.移動電子商務信息系統安全概念

移動電子商務信息系統安全問題是動態發展的，如防范病毒的措施，往往不可能一次成功更不可能一勞永逸。由于移動電子商務信息系統是以移動通信網絡與計算機網絡共同構建的平臺為商務活動平臺，因此它不可避免面臨著一系列的由移動通訊網絡和計算機網絡相關的安全問題。移動電子商務給商務活動帶來了諸多便利，如縮短了商務活動時間、降低了商務成本、提高了響應市場的效率等等。計算機網絡為主體的有線網絡安全的技術手段并不能完全適用于無線的移動網絡環境，由于無線設備的內存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序，因此，有效抵制手機病毒的防護軟件目前還不是很成熟。

3.移動電子商務信息系統安全類型

移動電子商務信息系統安全威脅種類繁多，可以有多種可能的潛在面，既有蓄意違法而致的威脅；也有無意疏忽造成的安全漏洞。另外還有如：非法使用移動終端、移動通訊公司工作人員不慎泄露客戶信息而致、竊聽等均有可能導致不同程度和后果的移動電子商務安全威脅。大體我們可以分為以下幾個情況：

第一，移動通訊網絡本身導致重要商務信息外泄：移動無線信道是一個開放性的信道，它給移動無線用戶帶來通訊的自由和靈活性的同時，同時也伴隨著很多不安全因素：如通訊雙方商務內容容易被竊聽、通訊雙方的身份容易被假冒，以及通訊內容容易被篡改等。在移動無線通訊過程中，所有通訊內容（如：通話信息，身份信息，數據信息等）都是通過移動無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取移動無線信道上傳輸的內容。這對于移動無線用戶的信息安全、個人安全和個人隱私都構成了潛在的威脅。在移動電子商務信息系統中商業機密的泄漏表現，主要有兩個方面：商務活動雙方進行商務活動的核心機密內容被第三方意外獲得或竊取;交易一方提供給另一方使用的商務文件被第三方非正常使用。

第二，移動通訊設備傳播的病毒的侵犯：病毒是目前威脅移動電子商務用戶的主要因素之一，隨著移動網絡應用的深入擴展，移動電子商務的規模愈趨增大，移動電子商務用戶也越來越多地面臨著各類病毒黑客攻擊風險。與病毒齊名的是黑客侵擾和攻擊，由于各種網絡黑客應用軟件工具的傳播，黑客與黑客行為己經大眾化了，他們利用操作系統和網絡的漏洞、缺陷，從網絡的外部非法侵入，進行侵擾和不法行為，對移動電子商務安全造成很大隱患。

第三，移動通訊網路漫游而致的威脅：無線網路中的危害安全者不需要尋找攻擊對象，攻擊對象在某種條件下會漫游到攻擊者所在的小區。在終端用戶不知情的情況下，信息可能被竊取和篡改。服務也可被經意或不經意地拒絕。交易會中途打斷而沒有重新認證的機制。由刷新引起連接的重新建立會給系統引入風險，沒有再認證機制的交易和連接的重新建立是危險的。連接一旦建立，使用SSL和WTLS的多數站點不需要進行重新認證和重新檢查證書,攻擊者可以利用該漏洞來獲利。

第四，垃圾信息（或稱垃圾短信）：在移動通訊系統及設備帶給廣大人們便利和效率的同時，也帶來了很多煩惱，其中尤其難以控制的就是鋪天蓋地而來的垃圾短信廣告打擾著我們的生活、工作和學習。在移動用戶進行商業交易時，會把手機號碼留給對方。有的移動用戶喜歡把手機號碼公布在網上。這些都是其他公司獲取大量手機用戶號碼的渠道所在。垃圾短信使得人們對移動電子商務充滿不信任和反感，而不敢在網絡上使用自己的移動設備從事商務活動。

二、提升移動電子商務信息系統安全的趨勢與必然性

1.移動商務是電子商務發展的必然趨勢

在未來幾年中，伴隨著無線網絡的日益普及，移動計算設備將變得很普及。計算機技術和無線技術的結合將成為最終趨勢，電子商務也將向移動商務過渡。中國在電子商務的發展方面要落后于發達國家，但隨著觀念的改變和技術的進步，中國越來越多地參與到世界經濟發展的各個環節。中國要想在商務模式變革的過程中取得成功，關鍵是要準確分析市場趨勢并把握市場先機。移動商務中關鍵的一點以用戶為中心，如果能成功把握住移動個性化方面的市場先機，則完全有可能成為移動商務的規則制訂者，從而擺脫以往的模仿。

2.我國高速發展的移動通訊網絡要求提升移動電子商務信息系統安全性

2007年，全國電話用戶新增8389.1萬戶，總數突破9億戶，達到91273.4萬戶。移動電話用戶在電話用戶總數中所占的比重達到60.0%，移動電話用戶與固定電話用戶的差距拉大到18183.8萬戶。

2007年12月中國互聯網絡信息中心（CNNIC）《第21次中國互聯網絡發展狀況統計報告》。報告顯示，截至2007年底，我國網民人數達到了2.1億，占中國人口總數的16%。調查反映出基于網絡的商務安全問題，調查網民對互聯網最反感的方面是：網絡病毒 29.8%，網絡入侵或攻擊（有木馬） 17.3%等。可以說我國2億多網民在網絡上，信息安全問題是比較普遍的，因此，我國高速發展的互聯網絡客觀上也要求提升商務信息系統安全。

美國安全軟件公司McAfee2008年公布的最新調查結果顯示，雖然手機病毒和攻擊現在還不普遍，但隨著越來越多的用戶通過手機訪問互聯網和下載文件，手機病毒出現的概率將越來越大。McAfee公司公布的調查結果顯示，只有2.1%的被調查者曾經自己遭遇手機病毒，而聽說過其他手機用戶遭遇病毒的被調查者也只有11.6%。McAfee在英國、美國和日本共調查了2000名手機用戶，結果發現86.3%的用戶對于手機病毒沒有任何概念。

當前我國移動用戶數保持世界第一，網民數為世界第二，我國高速發展的移動通訊網絡要求提升移動電子商務信息系統安全性。

3.利用加密函數技術加強和完善高效高安全性的移動電子商務信息系統

在這個網絡互聯技術、移動通訊技術告訴前行的時代，信息安全尤其是電子商務信息的保密工作變得越來越至關重要，這無疑給密碼學的研究帶來了巨大推動。為提高移動通訊網絡與互聯網為平臺的移動電子商務服務質量，維護移動電子商務信息提供者的權益，信息安全越來越得到人們的關注。筆者認為，研究布爾函數各種性質，特別是研究對抵抗相關攻擊的相關免疫函數類、抗線性分析的Hent函數與Hash函數，無疑是具有很強的現實意義的。

(1)Hash函數加密技術概述及應用

Hash函數加密技術主要用于信息安全領域中加密算法，它能把一些不同長度的信息轉化成雜亂的128位的編碼里，叫做HASH值。Hash就是為了找到一種數據內容和數據存放地址之間的映射關系密碼學上的Hash函數是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。Hash 函數可用于數字簽名、消息的完整性檢測、消息的起源認證檢測等。安全的Hash函數的存在性依賴于單項函數的存在性。Hash算法被普遍應用于數字安全的幾乎所有方面，如登錄辦公室局域網、進入個人郵箱和安全頁面都要用它來保護用戶的密碼；電子簽名系統利用它來認證客戶及其發來的信息。

(2)bent函數加密技術概述及應用

在密碼學中，為了抵抗最佳線性逼近，人們引人了Bent函數的概念，bent函數具有最高非線性度，在密碼、編碼理論等方面理論中有著重要應用，因而成為當前密碼學界研究信息安全保密技術的熱點。對Bent函數的構造可以分為間接構造和直接構造。直接構造方法主要有2種：一種是MM類；另一種是PS類，這兩種屬于直接構造方法。bent函數具有最高的非線性度，但它的相關免疫階為0，為了使bent具有更好的密碼學性質和實際應用價值，學者們提出了bent函數的變種，如Hyper-bent，Semi-bent等。

總之，移動電子商務信息系統安全是個多角度、多因素、多學科的問題，它不單要求從保密安全技術方面，同時也要求我們從技術之外的社會等因素考慮解決。

參考文獻：

[1]趙永剛:解析“三角經營商法”[J].商場現代化,2004(15)

[2]姬志剛:計算機、網絡與信息社會.科技咨詢導報[J].2006(20)

[3]邱顯杰:關于Bent函數的研究.湘潭大學[D],2002

[4]戴方虎等:Internet的移動訪問技術研究.計算機科學，2000（3）

[5]肖皇培張國基:基于Hash函數的報文鑒別方法[J].計算機工程, 2007,(06)