电子商务安全论文辽宁工程技术大学学年论文教学单位营销管理学院专业电子商务班级 2011-2学生姓名王玉龙学号1118230218指导教师郑淑艳电子商务中的信息安全摘要:安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。
作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。
电子商务安全是电子商务交易的“软肋”,所以,我们呼唤安全电子商务。
中国有很多关于商务和交易的俗语,如“一手交钱,一手交货”、“无商不奸”。
由于“非接触”,人们对电子商务交易的安全性就更加关注。
电子商务交易安全涉及到对交易主体、货物、合同、支付的信任等等。
网络是一个“无政府社会”,但一旦涉及交易,就必须按照交易规则办。
如何解决?无非企业和个人都实行实名制。
如何保证实名?如今,通过Internet进行的电子商务成为各界人士关注的焦点,由于Internet的开放性和其他各种因素的影响,安全成为电子商务诸多技术中非常重要的环节。
电子商务是新兴商务模式,信息安全的保障是电子商务实施的前提。
本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全。
关键词:电子商务;信息安全;电子交易一.电子商务的安全要素1.有效性电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。
因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.机密性电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。
电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
3.完整性电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。
贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
4.可靠性电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。
要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
5.即需性即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。
在电子商务中,延迟一个消息或消除它会带来灾难性的后果。
6.身份认证指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。
这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。
7.审查能力根据机密性和完整性的要求,应对数据审查的结果进行记录。
审查能力是指每个经授权的用户的活动的唯一标识和监控,以便对其所使用的操作内容进行审计和跟踪。
二.电子商务参与方的法律关系网上交易活动涉及到认证中心,认证者和参与方等方面,他们具有平等的地位,都富有一定的义务和责任。
所以各方都必须在我国法律和法规的约束下进行网上交易活动。
参与者有义务使用认证机制,按照有关规定进行单子商务操作。
1. 检查证书本身的合法有效性认证中心根据用户身份火信誉及中心对其保证程序不同来发布不同等级的认证证书。
在此前提下,参与者有义务向认证中心索取适当等级的证书。
例如,当认证中心向参与者提供证书时明确表示内容未被验证时,参与者将无法期待认证中心保证证书内容的准确性。
相比之下,当认证表示其提供的证书内容属实时,参与者应确保该认证证书的合法有效性。
残月这有义务判定它所收到的认证是否适用于其目的。
2.进行证书失败检查确认证书的可靠性认证中心将由认证撤销表或其他方法来记录失效的证书,以供参与者查询。
参与者与认证中心签订合同后,即有权访问该中心的认证撤销表,以在交易中做为保证安全可靠性的依据,以免冒风险。
另外,如果参与者对认证中心提供的信息不信任时,可以采取其他方法来验证证书的可靠性和有效性等。
3. 保证业务24小时正常进行与传统商务业务不同的是,电子商务通过Internet 在全世界不分昼夜地24小时开展业务,这就需要参与者连续地提供服务,一方面避免造成用户的损失,同时,加强高效竞争。
三.电子商务信息安全1.支付安全支付安全问题:在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件。
没有实时的电子支付手段相配合,这样的电子商务只能是一种电子商情、电子合同或初始意义上的电子商务、而离开电子交易的电子支付又会成为单纯的金融产品和金融支付手段,因此,实时电子交易和在线电子支付是电子商务的两个基本组成部分。
同时公共网上必须具有高度的安全性。
2.金融安全认证为保证互联网上电子交易的安全性,防范交易及支付过程中的欺诈行为,除了在信息传输过程中采用更强的加密算法等措施之外,还必须在网上建立一种信任及信任验证机制,使交易及支付各方面确认其他各方的身份,这就要求参加电子商务的各方必须有一个可以被认证的身份标志,即数字证书。
数字证书是各实体(消费者、商户、企业、银行等)在网上进行信息交流及商业活动的身份证明,在电子交易的各个环节,交易各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。
数字证书是各实体在网上进行信息交流及商务交易活动中的身份证明,具有唯一性和权威性。
金融认证作为一个权威的、可信赖的、公正的第3方信任机构,专门负责为金融业的各种认证需求提供证书服务,包括电子商务、电子银行、支付系统和管理信息系统等,为参与网上交易的各方提供安全基础,建立彼此的信任机制。
3.网上支付从网上支付的供给者来看,目前非银行金融结构和非金融企业尚未介入,主要是一些商业银行和中央银行下属机构(如银行卡信息交换中心)。
从网上支付业务发展情况看,银行提供网上支付服务已经介入了BtoC,BtoB电子商务。
在BtoC电子商务中,银行通过与BtoC电子商务平台供应商合作,为个人用户提供支付结算服务;在BtoB电子商务中,银行对BtoB结算业务的支持已从单纯的在网上为企业用户提供转帐结算服务,发展到介入企业的采购和分销系统,支付结算的手段也从单纯的转帐功能发展到结合企业综合授信额度的网上信用证服务。
从BtoC网上支付技术形式看,基于SSL的支付系统是网上支付的主流形式,而基于SET的网上支付发展则相对缓慢。
招商银行同时提供基于SSL的小额网上支付和基于数字证书的无限额支付,目前发展形式良好。
总的看来,我国银行网上支付系统尚处于发展的起步阶段,还存在着诸多问题:大部分银行无法提供全国联网的网上支付服务;在实现传统支付系统到网上支付系统的改造过程中,银行间缺乏合作,各自为政,未形成大型的支付网关,网上支付结算体系覆盖面较小;网上支付业务的标准性差,数据传输和处理标准不统一;网上银行法律框架亟待健全、完善等等。
此外,中国网上支付体系的发展还受到来自社会信用制度等因素的限制。
信用是电子商务发展的关键前提之一。
但从我国目前的信用制度现状看,社会整体信用制度不够健全,严重影响到市场主体对电子商务安全性的认知程度的提升;同时,基础通信设施不发达、企业信息化程度较低等因素的制约,网上支付体系的发展可谓任重而道远。
但是,我们应当看到,对应于中国电子商务发展的现状,目前的支付系统在BtoC方面已经能基本满足现实需要。
虽然银行支付系统是电子商务发展的关键支持,但银行充当的角色还只是提供结算服务的中介机构。
在目前许多政策、法规、标准尚未制定,社会信用体系尚不健全的情形下,期望银行冒着风险超前建立一套完善的网上结算体系,是不现实的想法,此为其一。
其二,从短期看,尽管技术标准、认证中心和支付网关的建立仍制约着网上支付系统的建设。
但随着我国电子商务和网上银行的发展,导致源于市场选择作用而产生的龙头企业(银行)将产生,由这些龙头企业制定的行业标准的权威性将逐步确立起来。
在这种情况下,企业之间的交叉认证将加强网上支付系统的建设与发展。
最后,经过市场的进一步选择和检验,具有生命力和权威性的为数不多的企业将通过谈判和协商的方式制定统一的技术标准。
其三,中央银行正会同国家立法机构采取积极的态度推动网上支付业务的发展,网上银行业务管理办法也即将出台,网上支付的有关法律框架正在逐步形成,这将进一步促进网上支付结算系统的发展。
其四,要最终建成完善的网上支付系统以支撑成熟的电子商务运作,有待银行业实现全国性的跨行联网清算体系的建成。
目前中国的商业银行都在积极加快各自的网上支付结算系统建设,可以预见,在不远的将来,一个有效支撑电子商务发展的中国网上支付系统将构建起来。
4.电子商务存在的安全隐患电子商务的前提是信息的安全性保障,信息安全性的含义主要是信息的完整性、可用性、保密和可靠。
因此电商务活动中的信息安全问题丰要体现在以下两个方面:1.网络信息安全方面;(1)安全协议问题。
目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(2)防病毒问题。
互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(3)服务器的安全问题。
装有大量与电子商务有关的软件和商户信息的系统服务器是电予商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2.电子商务交易方面;(1)身份的不确定问题。
由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。
攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。
电子商务的交易应该同传统的交易一样具有不可抵赖。
有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。
交易文件是不可修改的,否则必然会影响到另一方的商业利益。
电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
5.电子商务安全电子交易的协议SSL叫安全套接层协议,是国际上最早用的,已成工业标准,但它的基点是商家对客户信息保密的承诺,因此有利于商家而不利于客户。
SET叫安全电子交易协议,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。
因它的对象包括消费者、商家、发卡银行、收单银行、支付网关、认证中心,所以对消费者与商家同样有利。
它越来越得到众人认同,将会成为未来电子商务的规范电子商务安全电子交易的协议主要有:(1) 安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。