当前位置:文档之家 › 电子商务信息安全技术

电子商务信息安全技术

  • 格式:docx
  • 大小:12.16 KB
  • 文档页数:6

下载文档原格式

  / 6

合集下载

电子商务安全技术的应用与管理

电子商务安全技术的应用与管理

电子商务安全技术的应用与管理随着信息技术的飞速发展,电子商务已经成为现代商业活动的重要组成部分。

然而,与电子商务的迅猛发展相伴随的是各种网络安全威胁的出现。

为了保护消费者的利益,维护电子商务的正常运营,高效的安全技术和管理措施是必不可少的。

一、电子商务安全技术的应用1. 消费者身份识别技术消费者的身份识别对于电子商务交易的安全至关重要。

利用加密算法和数字证书等技术,可以确保用户的身份信息在传输过程中不被窃取或篡改。

通过双重身份验证和生物识别技术,可以有效防止身份欺诈和账户被盗。

2. 数据加密技术在电子商务交易中,大量的个人信息和财务数据需要在网络中传输。

数据加密技术可以将这些敏感数据转化成密文,在传输过程中保持机密性。

常见的加密算法包括对称加密和非对称加密,通过使用密码学技术,可以有效防止黑客攻击和数据泄漏。

3. 安全支付技术电子商务平台上的交易支付是一项容易受到攻击的环节。

为了确保支付过程的安全性,电子商务安全技术中的支付系统不仅需要采用安全的传输协议,更需要结合密钥管理和用户身份验证等技术,确保支付信息的机密性和完整性。

4. 网络防御技术网络攻击是电子商务中最常见也最危害巨大的威胁之一。

为了抵御网络攻击,电子商务平台需要配置防火墙、入侵检测系统和反病毒软件等网络安全设备。

此外,定期进行漏洞扫描和安全评估,并采取针对性的安全补丁和安全策略,也是确保电子商务安全的重要手段。

二、电子商务安全技术的管理1. 安全策略与风险评估电子商务平台应制定全面的安全策略,以防范和降低各类安全风险。

风险评估是安全策略制定的基础,通过识别可能的风险并评估其严重性,可以有针对性地制定相应的安全措施,减轻风险带来的损失。

2. 安全培训与意识提升企业员工是安全风险的重要因素之一。

电子商务平台应定期组织安全培训,提高员工的安全意识和技能素质,帮助他们识别和应对各类网络安全威胁。

同时,要建立内部安全告知和举报机制,让员工能及时报告异常情况。

电子商务之安全技术概述

电子商务之安全技术概述

信息保密
信息完整 身分认证 不可抵赖
加密技术 认证技术
信息有效
网络交易安全
参与对象之间交易过程的安全;如安全套接层协议 SSL 安全电子交易协议SET 公钥基础设施PKI
电子商务概论
8-13
安全应用 信息安全 网络安全
电子商务业务系统
电子商务支付系统
安全交易协议 SET、SSL、S/HTTP、S/MIME 、PKI•••
电子商务概论
8-33
维吉尼亚密码——置换移位法
人们在单一恺撒密码的基础上扩展出多表密码;称为维 吉尼亚密码 它是由16世纪法国亨利三世王朝的布莱 瑟·维吉尼亚发明的;其特点是将26个恺撒密表合成一个
以置换移位为基础的周期性替换密码
明文w e a r e d i s c o v e r e d s a v e y o u r s e l f 密钥d e c e p t i v e d e c e p t i v e d e c e p t i v e 密文z i c v t w q n g r z g v t w a v z h c q y g l m g j 密钥deceptive被重复使用
儿子收到电报抡噌庙叵后;根据相应的电报码手册得到: 2241 0886 1680 0672;按照事先的约定;分别减去100解密 密钥;就得到抛售布匹的信息
电子商务概论
8-29
数据加密基础知识
1976年;狄菲和海尔曼提出了密码体制的新概念—公钥密码 让两个国家的每一个人都具有两副锁和钥匙;每幅各有一把
安全认证技术 数字摘要、数字签名、数字信封、CA证书 •••
加密技术 非对称密钥加密、对称密钥加密、DES、RSA •••
安全策略、防火墙、查杀病毒、虚拟专用网

电子商务网站信息安全与隐私保护技术研究

电子商务网站信息安全与隐私保护技术研究

电子商务网站信息安全与隐私保护技术研究随着电子商务行业的迅猛发展,人们越来越依赖互联网进行购物和交易。

然而,与之相应的是越来越多的安全和隐私问题涌现出来。

在这个信息化的时代,保护电子商务网站的信息安全和隐私成为了一个亟待解决的问题。

本文将探讨电子商务网站信息安全与隐私保护技术的研究现状和应用。

首先,我们需要了解电子商务网站信息泄露的风险和影响。

随着个人信息在电子商务网站上被广泛地收集和利用,信息泄露的风险也逐渐增加。

个人的身份信息、银行账户信息以及交易记录都是攻击者非常关注的对象。

一旦这些信息被泄露,个人隐私将受到威胁,甚至可能导致财产损失、信任破裂等问题。

为了应对这些风险,电子商务网站需要采取一系列的信息安全与隐私保护技术。

其中最基本的技术是身份验证和访问控制。

电子商务网站应该确保只有经过身份验证的用户才能访问其系统和数据。

这可以通过密码、验证码、指纹识别等多种身份验证方式来实现。

另一个重要的技术是数据加密。

电子商务网站应该对用户的个人信息、交易数据等敏感信息进行加密存储和传输。

这样即使在数据泄露的情况下,攻击者也无法直接获得可用的信息。

常见的加密算法包括对称加密算法和非对称加密算法,网站可以根据具体需求选择合适的加密方式进行数据保护。

此外,电子商务网站还应该采取安全审计和监测技术来及时发现和防止潜在的安全威胁。

安全审计可以帮助网站监测用户访问行为,识别异常活动和潜在攻击。

监测技术可以检测和阻止恶意软件、网络钓鱼等网络攻击手段。

通过及时发现和应对安全威胁,电子商务网站可以最大程度地减少信息泄露的风险。

除了技术手段,法律和政策也是保护电子商务网站信息安全和隐私的重要手段。

各国家和地区都应该出台相关的法律和政策,明确规定电子商务网站收集、存储和使用个人信息的权限和限制。

同时,应建立相应的监管机构,对违法行为进行处罚和打击,以维护用户的合法权益。

另一方面,电子商务网站和用户也需要共同努力保护信息安全与隐私。

电子商务的信息安全和算法应用

电子商务的信息安全和算法应用

电子商务的信息安全和算法应用电子商务是指在计算机网络上进行商品和服务交易的商业活动。

电子商务的发展已经深入人们的日常生活,与没有互联网时代相比,大大改变了人们购物的方式。

但是,随着电子商务的迅速发展,越来越多的人对其安全性提出了质疑。

数据泄漏和网络诈骗的事件时有发生,影响了消费者对电子商务的信心。

因此,在电子商务中,信息安全是非常重要的。

随着技术的发展和算法的提高,电子商务中的信息安全也日渐提升。

下面,我们将介绍电子商务中的信息安全和算法应用。

1. 信息加密信息加密是一种用于保护信息安全的技术。

当我们在线支付或提交个人信息时,信息加密是非常必要的。

数据加密是一种将原始数据转换为加密文本的过程。

只有用正确的密钥解密该文本才能恢复原始数据。

目前,常用的加密技术有对称加密和非对称加密。

对称加密是使用单个密钥加密和解密数据。

发送方和接收方必须共享同一个密钥才能进行加解密操作。

常用的对称加密算法有AES、DES等。

非对称加密方式使用一对密钥,一把是公钥,一把是私钥。

公钥可以任何人获得,私钥则是私有的。

公钥用于加密数据,私钥用于解密数据。

非对称加密算法有RSA、ECC等。

2. 数字签名数字签名技术也是电子商务中保护信息安全的重要手段。

数字签名是一种用于保证文档和信息的完整性、真实性和不可抵赖性的方法。

与手写签名一样,数字签名也是用于确认文档的签名者,并且可以让接收方确定文档的完整性。

数字签名是由发送方使用私钥进行签名,并且仅由接收方用公钥进行验证。

数字签名技术对电子商务的影响非常重要,它强化了在线交易的安全性,使得消费者和商家有更多的信心。

3. 移动设备算法现在,人们越来越多地使用移动设备进行电子商务活动。

随着移动设备算法的不断提高,实现更好的用户体验和更高的安全水平变得更加容易。

近年来,移动设备算法不断繁荣。

数字签名、加密、Token等技术都不断地得到改进和升级。

这些技术和算法使得移动设备的安全性更加稳固,风险更小。

电子商务安全防范措施

电子商务安全防范措施

电子商务安全防范措施1. 密码保护机制电子商务平台是用户进行交易和信息传递的重要渠道,密码保护机制对于确保用户账号安全至关重要。

首先,用户密码应满足一定的复杂性要求,包括数字、字母和特殊字符的组合,且定期更换密码。

其次,电子商务平台应采用加密技术存储用户密码,以防止黑客攻击或者内部人员窃取用户密码。

同时,平台应提供多因素身份认证功能,如短信验证码或指纹识别等,进一步加强账号保护。

2. 信息加密传输在电子商务交易中,用户输入的个人信息、支付信息等都需要经过网络传输。

为了防止这些敏感信息被黑客窃取,电子商务平台应采用SSL/TLS等加密协议,确保信息在传输过程中的安全性。

此外,平台还应定期评估和更新加密方法,以应对不断演进的网络攻击手段。

3. 安全支付体系支付安全对于电子商务平台和用户来说都至关重要。

首先,电子商务平台应建立合法合规的支付通道,合理选择信誉良好的第三方支付机构合作。

其次,支付过程中应采用Tokenization等技术,将真实的支付信息替换为无法识别的数据,提高支付的安全性。

平台还可推行使用一次性支付密码或指纹识别等支付验证方式,以防止支付账号被盗用。

4. 安全评估与检测电子商务平台应定期进行安全评估与检测,包括网络安全渗透测试、应用程序漏洞扫描等,及时发现和修复安全漏洞,确保平台的整体安全性。

此外,应建立安全事件响应机制,对于各种安全事件进行跟踪、分析和应对,并向用户提供相应的安全通告,增强用户的安全意识。

5. 数据备份与恢复电子商务平台的数据是平台运营和用户交易的基础,因此,建立完善的数据备份与恢复机制非常重要。

平台应定期备份数据,并将备份数据存储在安全可靠的地方,以防止数据丢失或者遭到攻击。

同时,平台还应建立数据恢复的流程和策略,确保在数据丢失或受损时能够及时恢复。

6. 建立用户教育培训体系用户的安全意识和安全知识对于电子商务安全防范至关重要。

电子商务平台应建立用户教育培训体系,向用户提供相关的安全知识、常见的网络诈骗手段等信息,以提高用户的防范意识。

电子商务中的信息安全及关键技术

电子商务中的信息安全及关键技术

电子商务中的信息安全及关键技术一、引言电子商务即EC(Electronic Commerce),简单讲确实是利用先进的电子技术进行商务活动的总称。

电子商务包括两个方面:一是商务活动;二是电子化手段。

现代电子商务是基于Internet技术的新型的商务活动,是21世纪市场经济商务运行的要紧模式。

由于Internet的全球性和开放性,不受时刻和空间的限制,给电子商务交易带来了种种不安全因素。

网络上的信息安全问题已成为阻碍电子商务进展的重要因素之一。

因此,研究在开放的网络环境下电子商务安全问题就变的专门地迫切和重要了。

二、安全问题1.安全问题由于电子商务是在开放的网络上进行的贸易,其支付信息、订货信息、谈判信息、隐秘的商务往来文件等大量商务信息在运算机网络系统中存放、传输和处理,因此,网络系统中信息安全技术成为电子商务安全交易的技术支撑。

网络信息所面临的威逼来自许多方面,同时在不断发生着变化。

其中最常见的有非法访问、恶意攻击、运算机病毒以及其它方面如物理损坏、人与自然灾难等。

2.安全要素(1)完整性。

完整性指数据信息未经授权不能进行改变的特性,也确实是要求保持信息的原样,要预防对信息的随意生成、修改、伪造、插入和删除,同时要防止数据传输过程中的丢失、乱序和重复。

(2)隐秘性。

隐秘性是指网络信息只为授权用户所用,可不能泄露给未授权的第三方的特性。

要保证信息的隐秘性,需要防止入侵者侵入系统,对隐秘信息需先通过加密处理,再送到网络中传输。

(3)不可否认性。

不可否认性也即不可抵赖性是指所有参与者都不可能否认和抵赖曾经完成的操作。

要求在交易信息的传输过程中为参与交易的个人、企业和国家提供可靠的标识,使信息发送者在发送数据后不能抵赖,而同意方同意数据后也不能否认。

(4)真实性。

真实性是指商务活动中交易信息的真实,包括交易者身份的真实性,也确实是确保网上交易的对象是真实存在的,而不是虚假或伪造的,也包括交易信息自身的真实性。

信息安全技术在电子商务中的应用

信息安全技术在电子商务中的应用随着互联网的快速发展,电子商务已经成为人们日常生活中不可或缺的一部分。

然而,随着电子商务的兴起,信息安全问题也日益凸显。

因此,信息安全技术在电子商务中的应用显得尤为重要。

本文将探讨信息安全技术在电子商务中的应用,并分析其对电子商务发展的积极影响。

一、密码学技术的应用密码学技术作为信息安全技术的核心,广泛应用于电子商务领域。

首先,对称加密算法被广泛应用于电子商务中的数据传输过程中。

以DES(数据加密标准)为例,它通过将原始数据与密钥进行异或运算,从而实现数据的加密和解密。

这样可以防止信息在传输过程中被窃取或篡改,保护用户的隐私数据。

此外,非对称加密算法如RSA也被用于电子商务中的身份验证和数字签名等方面,有效地保障了网上交易的安全性。

二、防火墙技术的应用防火墙技术是保护企业网络和用户隐私安全的重要手段,在电子商务中应用广泛。

防火墙可以通过设立网络隔离区域、设置访问控制规则等手段,限制非授权访问,并对网络流量进行检测和过滤,防止恶意攻击和未经授权的信息泄露。

此外,防火墙还可以通过对网络通信进行监测和日志记录,及时发现异常行为和安全事件,并采取相应的措施进行处理,保障电子商务系统的正常运行。

三、安全认证技术的应用在电子商务中,用户的身份认证和信息安全是至关重要的。

安全认证技术的出现,有效地提高了电子商务平台的安全性和可信度。

例如,数字证书技术可以通过证书颁发机构的信任关系,对用户进行身份认证。

HTTPS协议则通过使用SSL/TLS协议,加密了用户和服务器之间的通信数据,防止信息被窃听和篡改。

这些安全认证技术的应用,有效地保护了用户的个人隐私和交易安全。

四、安全漏洞修复和漏洞扫描技术在电子商务中,安全漏洞是导致信息泄露和网络攻击的主要原因之一。

因此,安全漏洞修复和漏洞扫描技术对于维护电子商务系统的安全性至关重要。

安全漏洞修复技术可以及时修补已知的漏洞,保护系统不受攻击。

漏洞扫描技术则可以主动扫描系统中的安全漏洞,便于及时发现和修复潜在的安全风险。

电子商务中的信息安全技术浅析


公 钥密 码体 系 、对 称密 钥管 理 ) 、数字 证 书和 数 字 签 名 、身 份认 证 、防 火 墙 、安 全
协 议 S L 和 SE 等 。 S T
与消费者 之间的 电子商务 ( o 方式 )和 Bt C 企 业与企业 之间的 电子商务 ( o 方式 ) B t B 。 电 子 商 务 的 组 成 要 素 包 括 网 络 基 础 、 商 家 、客 户 、认 证 中 心 、 配送 中心 、 网上 银 行等 。 网络 安全通 常分成 三类 ,即保 密 、完 整 和 即需 。保 密 是 指防 止 未 授 权 的数 据 暴 露 并 确保 数 据 源 的 可靠 性 ;完 整是 防 止 未 经授 权 的 数 据 修改 ;即 需 意 味着 防 止 延 迟 或拒绝服务 。 目前 电子 商 务 面 临 的 安 全 问题 包 括 : l、信 息 泄露 。表 现 为 商 业 机 密 的 泄 漏 。一 方 面 交 易双 方 进 行 的 交易 内 容 被 第 三方 窃 取 ,另一 方 面提 供 给 另一 方 使用 的 文件 被 第 三方 非 法 使 用 。 2、信 息篡 改 。表 现为 商业信 息的 真 实 性 和 完 整性 。 电子 交 易在 网络 上 的 传输 过 程 中 ,可能 被 他人非 法 修改 、删 除 或重 放 。 3、身 份识别 。在 电子 商务交 易 中,双 方需 确认 身 份 ,防 止 假 冒和抵 赖 。可 防 止 “ 相互 猜 疑 ” ,并 且 使 交 易双 方 对 自己的 行 为 负 责 ,不 能 对 交 易予 以 否认 。 4、信息 破坏 。商业 信息 在网络 上 的传 输 出现 错 误 或 失败 ,如 网 络 设 备 、 网络 软 件及 其 它 因素 使 网 络 传输 出现 故 பைடு நூலகம் 。 还 有 计 算 机 病 毒 、黑 客 攻 击 、 计算 机 技 术 犯 罪 等 也 是 破 坏 的 主要 方 式 。 因此 , 电子 商 务 的信 息 安 全体 系结 构 是 保 证 电 子商 务 中 数 据安 全 的 一 个 完 整 的 逻 辑 结 构 ,具 体 如 图所 示 :

电子商务信息安全保障办法

电子商务信息安全保障办法随着互联网的快速发展,电子商务已经成为了人们购物和交易的主要方式。

然而,在电子商务中,信息安全问题也日益突出。

为了保障电子商务的发展和用户的权益,相关部门和企业纷纷制定了电子商务信息安全保障办法。

本文将从技术、管理和法律三个方面探讨这些保障办法。

一、技术方面的保障办法1. 加密技术:加密是保障电子商务信息安全的重要手段之一。

通过对用户的个人信息、支付信息等进行加密处理,可以有效防止信息被黑客窃取或篡改。

各大电子商务平台普遍使用SSL、AES等加密技术,确保用户信息的安全传输和存储。

2. 防火墙技术:防火墙可以帮助企业建立一个安全的网络环境,阻止非法侵入,保护关键数据的安全。

通过配置防火墙规则、监控异常行为等方式,可以有效减少黑客攻击、病毒传播等安全威胁。

3. 安全认证技术:在电子商务中,用户的身份认证是非常重要的。

采取有效的身份认证技术,如手机短信验证、指纹识别等,可以避免冒名顶替、账号盗用等问题。

二、管理方面的保障办法1. 信息分级管理:对于不同级别的信息,采取相应的管理措施。

例如,个人隐私信息、财务信息等敏感信息应该得到更加严格的保护。

2. 内部安全教育:加强对企业员工的安全意识教育,提高他们对信息安全的重视程度,避免因员工的疏忽或错误导致信息泄露。

3. 定期演练与检查:定期组织模拟攻击演练,发现和解决安全漏洞。

同时,通过定期的安全检查,及时发现并修复系统和应用中的安全风险。

三、法律方面的保障办法1. 隐私保护:相关法律应明确规定用户的个人信息和交易数据的保护权益,禁止未经用户允许的个人信息收集、使用和泄露。

2. 网络安全法规:国家应制定更加细致的网络安全法规,明确电子商务企业的安全责任,加大对违反法规的处罚力度。

3. 跨境信息安全:电子商务跨境经营中的信息安全问题更为复杂,各国应加强合作,推动建立统一的跨境信息安全标准和机制。

总结起来,电子商务信息安全保障办法需要从技术、管理和法律三个方面综合考虑,通过加密技术、防火墙技术等技术手段保障信息的安全传输和存储;通过信息分级管理、内部安全教育等管理手段提高企业的安全意识和内部管理水平;同时,还需要国家出台相关法律法规,保护用户的隐私权益,加强网络安全监管。

电子商务安全的保障措施和技术

电子商务安全的保障措施和技术电子商务安全是保障个人和企业信息安全的重要环节。

随着互联网和电子商务的快速发展,网络安全问题日益突出,不仅给个人和企业带来了经济损失,还对社会秩序和公共利益造成了威胁。

为了有效保障电子商务的安全,必须采取一系列的保障措施和技术。

本文将详细介绍这些措施和技术的步骤和作用。

一、加密技术1.加密技术是保障电子商务安全的重要手段,具体步骤如下:a.选用合适的加密算法,如对称加密算法和非对称加密算法。

b.将用户和企业的敏感信息进行加密传输,防止被恶意攻击者窃取或篡改。

c.采用数字证书进行身份验证,确保通信双方的身份合法性。

二、身份认证技术1.身份认证技术是确认用户或企业身份合法性的重要手段,具体步骤如下:a.采用用户名和密码进行身份验证,确保只有合法用户能够登录系统。

b.使用多因素身份认证,如指纹识别、面部识别等,提高身份认证的安全性。

c.利用单点登录技术,避免用户需要在多个系统中重复进行身份认证。

三、防护墙技术1.防护墙技术是保护网络安全的重要手段,具体步骤如下:a.设置访问控制策略,禁止非法IP地址的访问。

b.检测和过滤恶意软件、病毒和网络攻击,保护网络资源和系统安全。

c.记录和报警异常行为,及时发现和应对潜在的威胁。

四、支付安全技术1.支付安全技术是保障电子商务交易安全的重要手段,具体步骤如下:a.采用安全的支付协议,如SSL/TLS协议,保护支付过程中的数据安全。

b.为用户提供多种支付方式选择,增加支付的便捷性。

c.建立可追溯的支付系统,使用户在支付问题出现时能够追溯和解决。

五、数据备份与恢复技术1.数据备份与恢复技术是防止数据丢失和恢复的重要手段,具体步骤如下:a.定期对重要数据进行备份,确保数据的安全性。

b.建立完善的数据恢复机制,及时恢复数据,避免因数据丢失而造成的损失。

六、网络监控技术1.网络监控技术是保障电子商务安全的重要手段,具体步骤如下:a.实时监控网络流量,发现异常活动并及时应对。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

电子商务信息安全技术摘要文章主要从技术角度阐述了电子商务信息安全问题,详细说明了电子商务信息存有的问题,并提出了相对应的技术解决方案。

关键词电子商务信息安全数据加密网络安全一、电子商务信息安全问题因为Internet 本身的开放性,使电子商务系统面临着各种各样的安全威胁。

当前,电子商务主要存有的安全隐患有以下几个方面。

1. 身份冒充问题攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人实行交易,实行信息欺诈与信息破坏,从而获得非法利益。

主要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。

2. 网络信息安全问题主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,实行信息截获、篡改、删除、插入。

截获,攻击者可能通过度析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。

篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。

3. 拒绝服务问题攻击者使合法接入的信息、业务或其他资源受阻。

主要表现为散布虚假资讯,扰乱正常的资讯通道。

包括:虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能即时得到响应。

4. 交易双方抵赖问题某些用户可能对自己发出的信息实行恶意的否认,以推卸自己应承担的责任。

如:发布者事后否认以前发送过某条信息或内容;收信者事后否认以前收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差但不承认原有的交易。

在网络世界里谁为交易双方的纠纷实行公证、仲裁。

5. 计算机系统安全问题计算机系统是实行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。

计算机设备本身存有物理损坏,数据丢失,信息泄露等问题。

计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。

同时,计算机系统存有工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。

二、电子商务安全机制1. 加密和隐藏机制加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,不但实现了信息的保密,也保护了通信本身。

2. 认证机制网络安全的基本机制,网络设备之间应互相认证对方身份,以保证准确的操作权力赋予和数据的存取控制。

网络也必须认证用户的身份,以保证准确的用户实行准确的操作并实行准确的审计。

3. 审计机制审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要的事件实行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。

审计信息应具有防止非法删除和修改的措施。

4. 完整性保护机制用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡改。

完整性的另一用途是提供不可抵赖服务,当信息源的完整性能够被验证却无法模仿时,收到信息的一方能够认定信息的发送者,数字签名就能够提供这种手段。

5. 权力控制和存取控制机制主机系统必备的安全手段,系统根据准确的认证,赋予某用户适当的操作权力,使其不能实行越权的操作。

该机制一般采用角色管理办法,针对系统需要定义各种角色,如经理、会计等,然后对他们赋予不同的执行权利。

6. 业务填充机制在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难。

同时,也增加了密码通信的破译难度。

发送的随机数据应具有良好模拟性能,能够以假乱真。

三、电子商务安全关键技术安全问题是电子商务的核心,为了满足安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等,综合起来主要有以下几种技术。

1. 防火墙技术现有的防火墙技术包括两大类:数据包过滤和代理服务技术。

其中最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。

因为防火墙能够对进出的数据实行有选择的过滤,所以能够有效地避免对其实行的有意或无意的攻击,从而保证了专用私有网的安全。

将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。

防火墙技术的局限性主要在于:防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击; 防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。

2. 虚拟专网技术(VPN)VPN 的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。

VPN具投资小、易管理、适合性强等优点。

VPN可协助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接,并保证数据的安全传输,以此达到在公共的Internet 上或企业局域网之间实现完全的电子交易的目的。

3. 数据加密技术加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。

加密技术分为常规密钥密码体系和公开密钥密码体系两大类。

如果实行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露,可通过常规密钥密码体系的方法加密机密信息,并随报文发送报文摘要和报文散列值,以保证报文的机密性和完整性。

当前常用的常规密钥密码体系的算法有:数据加密标准DES三重DES国际数据加密算法IDEA等,其中DES使用最普遍, 被ISO采用为数据加密的标准。

在公开密钥密码体系中,加密密钥是公开信息,而解密密钥是需要保护的,加密算法和解密算法也都是公开的。

典型的公开密钥密码体系有:基于数论中大数分解的RSA体系、基于NP完全理论的Merkel-Hellman背包体系和基于编码理论的McEliece 体系。

在以上两类加密体系中,常规密钥密码体系的特点是加密速度快、效率高,被广泛用于大量数据的加密,但该方法的致命缺点是密钥的传输易被截获,难以安全管理大量的密钥,所以大范围应用存有一定问题。

而公开密钥密码体系很好地解决了上述不足,保密性能也优于常规密钥密码体系,但公开密钥密码体系复杂,加密速度不够理想。

当前电子商务实际使用中常将两者结合使用。

4. 安全认证技术安全认证技术主要有:(1) 数字摘要技术,能够验证通过网络传输收到的明文是否被篡改,从而保证数据的完整性和有效性。

(2) 数字签名技术,能够实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。

(3) 数字时间戳技术,用于提供电子文件发表时间的安全保护。

(4) 数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。

(5) 认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题,而且只须管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性,这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。

(6) 智能卡技术,它不但提供读写数据和存储数据的水平,而且还具有对数据实行处理的水平,能够实现对数据的加密和解密,能实行数字签名和验证数字签名,其存储器部分具有外部不可读特性。

采用智能卡,可使身份识别更有效、安全,但它仅仅为身份识别提供一个硬件基础,如果要使身份认证更安全,还需要与安全协议的配合。

5. 电子商务安全协议不同交易协议的复杂性、开销、安全性各不相同,同时不同的应用环境对协议目标的要求也不尽相同。

当前比较成熟的协议有:(1)Netbill 协议,是由J.D.Tygar 等设计和开发的关于数字商品的电子商务协议,该协议假定了一个可信赖的第三方,将商品的传送和支付链接到一个原子事务中。

(2) 匿名原子交易协议,由J.D.Tygar 首次提出,具有匿名性和原子性,对著名的数字现金协议实行了补充和修改,改进了传统的分布式系统中常用的两阶段提交,引入了除客户、商家和银行之外的独立第四方一交易日志( Transactionlog )以取代两阶段提交协议中的协调者( Coordinator )。

(3) 安全电子交易协议SET由VISA公司和MasterCard公司联合开发设计。

SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,它能够对交易各方实行认证,防止商家欺诈。

SET协议开销较大,客户、商家、银行都要安装相对应软件。

⑷安全套接字层协议SSL是当前使用最广泛的电子商务协议,它由Netscape 公司于1996 年设计开发。

它位于运输层和应用层之间,能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户透明。

不过,SSL 并不专为支持电子商务而设计,只支持双方认证,只能保证传送信息传送过程中不因被截而泄密,不能防止商家利用获取的信用卡号实行欺诈。

(5)JEPI ( JointElectronicPaymentInitiative ),是为了解决众多协议间的不兼容性而提出来的,是现有HTTP协议的扩展, 在普遍HTTP协议之上增加了PEP(ProtocolExtensionProtocol)和UPP (UniversalPaymentPreamble )两层结构,其目的不是提出一种新的电子支付手段,而是在允很多种支付系统并存的情况下,协助商家和顾客双方选择一个合适的支付系统。

四、结束语信息安全是电子商务发展的基础,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题变得更加突出。

为了解决好这个问题,必须有安全技术作保障。

当前,防火墙技术、网络扫描技术,数据加密技术和计算系统安全技术发挥着重要的作用,此外,需要完善法律制度、管理制度和诚信制度,保证电子商务信息安全,加快电子商务的发展。

电子商务信息安全技术。