《电子商务信息安全(共27页).doc》由会员分享,可在线阅读,更多相关《电子商务信息安全(共27页).doc(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上毕业论文中文摘要 电子商务中的信息安全技术研究摘 要:随着互联网的发展,电子商务已经逐渐融入到政治、经济和社会文化之中,成为社会经济和生活的重要组成部分。网络技术的不断完善与普及,电子商务的发展前景是非常远大的,但在其发展中却也存在很多不利因素。电子商务中存在问题的不断出现,信息安全方面的重要性日益凸显。本文通过对当前电子商务信息安全的现状进行分析,研究发现其存在的问题;再通过重点深入的了解当前电子商务中运用的信息安全技术,查找这些技术的缺陷所在;分析中国银行网上银行成功运用安全技术保障信息安全的实例;提出电子商务信息安全建设的注意事项,并对存在的问题提出解决方案。最
2、后以信息安全技术为主导提出电子商务信息安全体系建设的新思路,展望信息安全技术的发展趋势,并从安全协议,法律制度等角度对信息安全建设进行分析,使之与技术相结合,从而促进电子商务的信息安全体系建设。 关键词: 电子商务 信息安全 安全技术 对策研究专心-专注-专业毕业论文外文摘要 Title Information Security Technology Research of E-commerceAbstractWith the development of the Internet, e-commerce has gradually integrated into the political,
3、 economic and socio-cultural. e-commerce has become an important part of the socio-economic and life. Network technology continues to improve with the popularity of e-commerce development prospects are very ambitious, in its development, but also there are many negative factors. Problems emerging e-
4、commerce, the importance of information security has become increasingly prominent.In this paper, the analysis of the status quo of the current e-commerce information security and its problems, the study through the focus of in-depth understanding of the current use of e-commerce information securit
5、y technology, find where the problem lies; analysis of the successful use of online banking Examples of security technology to protect information security; proposed the construction of e-business information security precautions, and the problems with solutions. Put forward new ideas for e-commerce
6、 information security system as the leading information security technology and looking forward to the development trend of information security technology, And analyzed from the perspective of the security agreement, the legal system, combining with the technology, So as to promote e-commerce infor
7、mation security system. Keywords:electronic commerce ;Information security;Security technology;Countermeasure Research 目 录 1 绪论1.1电子商务中信息安全技术研究的背景电子商务是计算机信息技术开发与运用的产物,是人类科技、经济、文化发展的结晶,代表了未来经济发展的方向。面对滚滚而来的电子商务浪潮,如何建立电子商务的信息安全机制,保障电子商务良性发展,是当前面临的一个非常重要的问题。进入21世纪以来 , 随着全球经济一体化和信息化的高速发展,电子商务也在我国迅速发展,同时使
8、得电子商务活动中的信息安全问题成为首要解决的问题。各类诈骗、虚假信息充斥着整个网络,企业及个人在电子商务交易中屡屡受骗,黑客事件和安全事故时有发生。电子商务的发展受到了严重的影响。与传统商务相比,电子商务通常是买卖双方是不直接见面的,因此参与交易的双方的信息安全必须得到保证,而这就需要安全技术的支撑,建立生疏可靠的消费体系和权益得到保障的运作方式,绝不是一件简单的事。想要确保电子商务信息安全在当今流行的电子网上交易中得到保障,在这方面我们与国外的差距是非常大的,在差距中寻找不足,我们认识到,安全技术是主要方面。因此,建设电子商务信息安全体系,积极配合行业其他体系建设,不断的进行电子商务的创新与
9、突破显得尤为重要。 1.2 电子商务中信息安全技术应用的意义电子商务作为一种现代流通方式,具有成本低,效率高,范围广,服务群体大的特点。因此其发展前景是非常远大的,但在其发展中却也存在很多不利因素,本文对电子商务存在的问题进行了分析探讨,指出以下几个重要的因素供大家参考。大家都说安全技术是电子商务的基石。应当看到,电子商务不是空中楼阁,它在很大程度上是基于传统经济方式和交易环境的,无论是电子商务的哪种交易方式,安全技术的支撑是必不可少的,是维护电子商务长足发展的基础。我国电子商务在各方面与国际电子商务还存在一定的差距,这种差距主要是安全技术上和安全体系模式上的,一个残缺的安全技术体系是无法保证
10、电子商务的顺畅运行的。我们在保持自身诚信的同时,更需要大力的发展信息安全技术,建设信息安全体系,不断的进行电子商务信息安全技术的创新与突破。在现有的电子商务网站上存在着大量的关于信息安全的问题。通过对信息安全技术的研究,发现信息安全体系对于电子商务的发展有着非常重要的作用:1)信息安全体系是电子商务发展的前提;2)信息安全体系是电子商务运行的基石;3)信息安全体系是电子商务的一种重要资源;4)信息安全体系是电子商务盈利的有力保证;5)信息安全体系是电子商务达到规模经济的捷径。因此,目前对电子商务中信息安全技术应用进行研究有着重要的意义。1.3 国内外电子商务与信息安全的发展状况2012年1月1
11、6日,中国互联网络信息中心(CNNIC)在京发布第29次中国互联网络发展状况统计报告,根据CNNIC发布的中国互联网络热点调查报告中显示:网上购物大军达到6465万人,年增长高达24.8%。在全体互联网网民中,有过购物经历的网民占近20% 的比例。据CNNIC发布的互联网发展及安全状况热点数据显示:35.2%网民对目前的互联网安全状况感到不满。电子商务是互联网应用发展的必然趋势,也是国际金融贸易中越来越重要的经营模式,以后它还会逐渐地成为我们经济生活中一个重要部分。但同时我们也看到,我国的电子商务还处于发展的初级阶段还有很长的路要走,从而信息安全是保证电子商务健康有序发展的关键因素。美国是世界
12、上目前电子商务规模最大的国家,其电子商务的应用领域和规模都远远领先于其他国家,在全球所有电子交易额中目前大约有50%以上都发生在美国。不仅如此,美国还拥有全球商业网络的90%。在电子商务信息安全技术方面,美国也是先行一步,长期的积累和不断的创新,使得美国在安全技术方面遥遥领先。欧洲许多国家的电子商务相对于美国起步比较晚,但经过几年的发展也已经颇具规模。在欧盟的七个国家中,英国和德国的电子商务处于领先地位;在亚洲,日本、韩国、印度都在电子商务方面也紧跟美国的步伐,发展迅速。美国、英国、德国以及日本、韩国、印度等国以及电子商务仍处在发展中的我国虽然在电子商务方面取得了很大的发展,虽然各个厂商和网站
13、普遍采用目前较为先进的信息安全技术,但是信息安全受到威胁和破坏的案例时有发生。各国的电子商务网站(如美国yahoo)频频受到黑客攻击,并陷入瘫痪,各种间谍软件、网页仿冒诈骗以及信用卡诈骗等事件层出不穷,使得电子商务的发展受到了严重的阻扰。因此,如何从信息安全的角度保证电子商务的顺利发展,是目前国内外急需解决的问题。 2 电子商务和信息安全技术21 电子商务电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于B/S(浏览器/服务器)应用方式,买卖双方在互不谋面地情况下进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金
14、融活动和相关的综合服务活动的一种新型的商业运营模式。 电子商务有以下几个重要的特性:(1)普遍性:电子商务作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府部门带入了一个网络经济、数字化生存的新天地。 (2)方便性:在电子商务环境中,人们不再受地域的限制,客户能以非常简捷的方式完成过去较为繁杂的商务活动,如通过网络银行能够全天候地存取账户资金、查询信息等,同时使企业对客户的服务质量得以大大提高。 (3)整体性:电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用率,也可以提高系统运行的严密性。 (4)协调性:商务活动本身
15、是一种协调过程,它需要客户与公司内部、生产商、批发商、零售商间的协调,在电子商务环境中,它更要求银行、配送中心、通讯部门、技术服务等多个部门的通力协作,电子商务的全过程往往是一气呵成的。 (5)集成性:电子商务以计算机网络为主线,对商务活动的各种功能进行了高度的集成,同时也对参加商务活动的商务主体各方进行了高度的集成。高度的集成性使电子商务进一步提高了效率。(6)安全性:在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,从而保证电子商务中的信息安全。 本文认为,安全性是保证电子商务其他特性的
16、基础,只有实现了电子商务的信息安全,才能使电子商务顺利畅通的运行,保证参与进来的各个社会群体的利益,这是电子商务能够协调消费群体与企业的前提。当电子商务的安全性得到保证,就能使电子商务的集成性顺利实现,进一步的提高电子商务的效率。 22 信息安全技术电子商务中的信息安全问题不断出现,信息安全技术成为世人关注的重点。无论是商家,企业还是学者,政府,都对信息安全技术有了较为深刻的认识。中国工程院院士李德毅认为,信息安全技术是指保证己方正常获取、传递、处理和利用信息,而不被无权享用的他方获取和利用己方信息的一系列技术的统称。它认为信息安全技术与其他技术有着类似之处,就是为信息安全服务的技术,无论从各
17、种理论上,还是从各种现实的硬软件技术,都是以保护信息的安全为目的。在北京“中国信息安全技术与发展战略”高层研讨会上,何德全院士指出,信息安全技术其实是一个广义概念,是涉及到从计算机到安全协议,从硬件技术到软件技术,从行业规划到产品认证等多个层面的,用以保护信息安全的技术总称。综合学者的认识,本文认为信息安全技术是主要用于管理和保障信息安全所采用的各种技术的总称。它主要是应用计算机科学、通信技术以及信息隐藏技术等来来存储、维护和保护信息以及信息系统安全。主要包括传认证和访问控制技术、密码技术、数字签名技术、数字水印技术以及防火墙技术等。信息安全技术在保护信息安全方面的作用:依靠防止达到可用性实用
18、性完整性保密性占有性取消制止预防检测调节变换准许恢复校正破坏干扰使用伪造数据修改或替换滥用未授权访问监视或泄露复制或偷窃危害满足预期保护规范避免丢失降低丢失消除丢失保护信息的安全信息安全技术图1-1信息安全技术的作用由上图可以看出,信息安全技术是保护信息安全的中坚环节,是保证信息安全的最基本力量。在电子商务中广泛应用信息安全技术,在预防上,能够达到预防风险,消除威胁隐患;在信息流动过程中,能够实现检测危害信息,地址未授权信息进入;一旦信息收到破坏,能够做到恢复原有数据,校正错误信息。可见,信息安全技术可以从头到尾的保护电子商务中的信息流,加快信息技术的创新和应用,必对电子商务的发展起到良好的推
19、动作用。23 电子商务与信息安全技术的关系随着电子商务的进一步推广和应用,信息安全的滞后对其发展的制约越来越明显。特别是各大知名购物网络购物平台安全漏洞出现后,是企业和消费者都受到了不同程度的损失,严重影响了电子商务的信誉。信息安全的重要性对电子商务活动的影响越来越受到人们的关注。信息安全是电子商务的保障,是电子商务运作的重要部分,是信息流、资金流和商流最终实现的根本保证。电子商务的整个运作过程就是信息流、资金流、商流和物流的流动过程,其优势体现在信息资源的充分共享和运作方式的高效率上,其信息的安全性不言而喻,一旦出现问题,所有的工作等于零。由于电子商务信息系统存在一定的脆弱性,面对各种人为的
20、、非人为的、恶意的、非恶意的、内部的或外部的威胁,商务信息在使用、传输和存储过程中以及消费者的个人信息接收和确认过程中,很容易受到干扰、滥用丢失、窃取、篡改和破坏。因此必须建立严格的电子商务信息安全体系。信息安全技术就是建立电子商务信息安全体系最强有力的支撑,缺少了信息安全技术,安全体系便无从谈起,那么电子商务给消费者带来的购物便捷便等于零,消费者必然会转向他们认为的更安全的传统消费模式。信息安全技术直接的影响电子商务企业的竞争力,影响电子商务的发展。因此信息安全技术就成了电子商务信息安全的基本保障,是电子商务顺利发展的基石。3 我国电子商务中信息安全技术应用现状31 我国电子商务的发展历程我
21、国计算机应用已有近60年的历史,但是电子商务仅有不到20年。1987年9月20日,中国的第一封电子邮件越过长城,通向了世界,揭开了中国使用互联网的序幕。我国的电子商务发展,大致经历了以下几个阶段:(一)起步期:1990-1993年,电子数据交换时代,成为中国电子商务的起步期,这是中国开展EDI的电子商务应用阶段。(二).雏形期:1993-1997年,政府领导组织开展金关、金卡、金税的“三金工程”阶段,为电子商务发展期打下坚实基础。1993年成立国务院副总理为主席的国民经济信息化联席会议及其办公室,相继组织了金关、金卡、金税等三金工程,取得了重大进展。1996年1月成立国务院国家信息化工作领导小
22、组,由副总理任组长,20多个部委参加,统一领导组织中国信息化建设。 1996年,全桥网与因特网正式开通。1997年,信息办组织有关部门起草编制中国信息化规划。1997年,中国第一家垂直互联网公司诞生浙江网盛科技股份有限公司。1997年4月在深圳召开全国信息化工作会议,各省开始制订本省包含电子商务在内的信息化建设规划。1997年,广告主开始使用网络广告。1997年4月以来,中国商品订货系统(CGOS)开始运行。 (三)发展期:1998-2000年,互联网电子商务发展阶段。1998年3月,中国第一笔互联网网上交易成功。1998年10月,国家经贸委与信息产业部联合宣布启动以电子贸易为主要内容的金贸工
23、程,它是一项推广网络化应用、开发电子商务在经贸流通领域的大型应用试点工程。1999年3月8848等B2C网站正式开通,网上购物进入实际应用阶段1999年兴起政府上网、企业上网,电子政务、网上纳税、网上教育,远程诊断等广义电子商务开始启动,并已有试点,并进入实际试用阶段。 (四)稳定期:2000-2009年,电子商务逐渐以从传统产业B2B为主体,标志着电子商务已经进入可持续性发展的稳定期。 (五)成熟期:3G的蓬勃发展促使全网全程的电子商务V5时代成型。 我国的电子商务虽然有了长足的进步,但是与美国和欧洲这些老牌电子商务强国相比,还有这很大的差距,还需要政府与广大参与者不断的努力,使我国的电子商
24、务发展更上一层楼。32 信息安全技术在电子商务领域的应用现状和实例分析电子商务的快速发展,为了保护电子商务的信息安全,信息安全技术得到了广泛的推广和应用。这些信息安全技术有着时代的先进性和技术上的先进性,对电子商务的信息安全保护起到了一定的作用。为电子商务的发展做出了一定的贡献。3.2.1 目前电子商务信息安全技术研究主要侧重方面(一)认证技术:所谓认证,就是要求进入网络或服务器的用户要求验证其身份。目前应用最多的是数字认证技术:是以数字证书为核心的加密技术。可以对网络上传输的信息进行加密和解密、数字签名和数字认证,确保网上传递信息的安全性,完整性。使用了数字证书,即使您在网上发送的信息在网上
25、被他人截获,甚至丢失了您的个人账户、密码等信息,仍能保证您的账户、资金安全。验证身份的基本方法是用户账号,还可以采用人体的生理特征,如指纹、眼底纹等。在互联网上,为了加强身份认证,引进了证书的概念。证书是个人身份或站点的数字证明,是数字化的身份证或护照。所谓访问控制,就是规定主体对客体的访问限制。访问控制与用户身份认证密切相关,即确定该合法用户在系统中对哪类有什么样的访问权限。认证体系结构一般为如下结构: 根CA(认证中心)China Electronic Business Center Class B CA(河北)HBCA证书2 证书3证书4(北京)BJCA证书1图3-1认证体系结构图(二)
26、密码技术。所谓密码技术,就是保护重要的,不让别人读懂的一种手段。密码技术包括加密和解密两个方面。加密是将原始进行变换成不可读懂的过程。解密是加密的逆过程。密码技术有两个要素:算法和密钥。密码技术分为对称密码和非对称密码技术。 对称密码技术即发送方与接受方使用同一个密钥取加密和解密报文。此密钥必须为发送者和接收者所共享,且不允许公开。因此发送和接收地位是对称的。对称密钥加密技术具有效率高的特点,即可用较短的密钥长度,较简单的算法,较少的系统投入完成较好的加密效果。非对称密码技术即的加密和解密采用不同的密钥,一把密钥用来加密,而另外一把密钥则用以将还原。在网络上的者每人都拥有两把密钥:一把公开让所
27、有人知道公钥,一把自己秘密保存密钥。非对称加密体制:密文对称密钥密文明文密文发送者公有密钥对称密钥被加密的密钥加密过程接收者私有密钥被加密的密钥对称密钥密文明文解密过程对称密钥接收者图3-2 非对称密码技术流程示意图(三)数字签名技术。数字签名是由非对称密码技术研发得来,用以证明一个的来源和内容的真实性。在网络上,者之间无法彼此确认对方的身份,数字签名可被用来验证传送者的身份。接收者可确保某一确实是由传送者所送出,没有被更改过,而传送者也无法否认。(四)数字水印技术:是将一些标识信息(即数字水印)直接嵌入数字载体(包括多媒体、文档、软件等)当中,但不影响原载体的使用价值,也不容易被人的知觉系统
28、(如视觉或听觉系统)觉察或注意到。通过这些隐藏在载体中的信息,可以达到确认内容创建者、购买者、传送隐秘信息或者判断载体是否被篡改等目的。(五)防火墙技术:防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙最初是针对 Internet 网络不安全因素所采取的一种保护措施。防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用
29、网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。防火墙技术主要分以下几个种类:包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙、NAT、个人防火墙。3.2.2 信息安全技术应用实例分析随着银行业务及网络规模的不断扩大,重要时期信息安全面临着严峻的考验。而中国银行在信息安全技术的成功运用下,从整体信息流的流通过程入手,从基本上实现了及时发现银行网上银行业务系统的安全隐患,防止来自内部和外部的恶意攻击事件。并及时进行应急响应与安全事件处理,为银行业务提供才、全程保护,增强了中国银行网上银行系统的抗风险能力,防止系统发生重大事件。接下来就以中国银行为例,分析其在信息
30、安全技术的成功运用:密码技 术用户身份证书确认登陆在线支付/转账表单签名数字签名数字签 名 认证技 术银行业务账单传递安全电子邮件件网站防伪造可信站点网上银行软件更新代码签名机要文件发放文档签名加密水 印技 术防火墙图3-5电子银行信息安全技术应用分析实例图由上图可见,中国银行的网上银行在开展电子业务的过程中,利用密码技术和认证技术来确认用户的身份,阻止非法者的进入,同时为用户解决仿造站点问题;采用水印技术确保机要文件和内部信息的安全;在传递电子邮件和在线支付/转账时利用数字签名技术对信息进行加密,防止信息伪造,篡改;另外,采用防火墙技术,为网上银行的内部网络提供安全保障。中国银行网上银行从业
31、务开始到服务结束,都有信息安全技术的参与,在每个环节利用不同的信息安全技术,充分发挥了各个信息安全技术的特点,成功的为信息的流通实现了保驾护航。33 信息安全技术在电子商务领域的应用中存在的问题众所周知,我国各大银行的信息安全体系是比较先进和完善的,但是这并没能完全的保证其用户的信息安全。2004年12月08日,中国银行发布声明,7日下午有不法分子制作了该行的假网站,外观与真网站非常相似。而在此前,已有一个与中国工商银行网站十分相似的网站开始运行。12月11日网上又发现了一个假银联网站。假的银联网站主页上有着与中国银联一模一样的标志和相关的动画,同时网页的底栏还有各商业银行的信用卡标志。这些假
32、网站都有自己的服务器,同时仿照银行的验证系统要求用户输入验证信息,而用户的验证信息发送错误信息到银行真正的服务器,再返回错误的信息给用户。而假网站的服务器将盗取的姓名、账号、密码和持卡银行等信息据为己有,盗取用户的钱财。中国反钓鱼网站联盟正式发布的2011年9月月报。月报显示:9月1日至9月30日期间,联盟秘书处(中国互联网络信息中心)共认定并停止域名解析的钓鱼网站数量达971个。截至9月30日,联盟秘书处累计收到反钓鱼网站投诉近8700例,其中共认定并处理了7301个涉嫌网络钓鱼的网站。月报指出,9月份仿冒淘宝网骗取用户钱财的钓鱼网站比例大幅上扬,分别较7、8月份增长了235.4%和207.
33、4%,而假冒QQ中奖和仿冒腾讯官方网站骗取用户信息的钓鱼网站比例基本没有下降。各种事实表明,我国的电子商务信息安全体系仍然存在漏洞,信息安全技术应用仍有待加强。目前我国电子商务中主要存在的信息安全问题,如下图所示:交易双方抵赖问题系统内部安全问题信息安全问题网络中信息安全问题拒绝服务问题身份冒充问题图3-6电子商务中存在的信息安全问题通过对我国电子商务中主要存在的信息安全问题进行分析,并针对我国电子商务中主要用到的信息安全技术研究,主要发现现有技术有一下缺陷:(一)、密码技术密码技术有着自己较为狭窄的适用领域:私钥的使用位置固定、使用环境相对安全;信任结构简单、稳定;对认证速度要求较高(如VP
34、N应用);有明显的离线认证要求(如“代码签名”)。不适用领域:信任关系复杂,有明显的变动性;私钥使用环境不安全(比如在单位的公用机,网吧等);需要高级的安全功能(比如匿名签名,团体签名,长期可验证的签名等)。在协调产生密钥的过程中,任何有关密钥产生的都必须保证不会被窃听,一旦密钥被第三者取得或算出,则会引起泄密。较好的解决了“身份”问题,难以解决“角色”问题。签名/加密等关键操作的安全性过分依赖私钥的安全性。过分追求信息真实化,缺乏匿名支持。对私人信息的保护与共享仍然是空白。(二)、认证技术验证身份的基本方法是用户账号,还可以采用人体的生理特征,如指纹、眼底纹等。账号验证: 容易受到中间人病毒
35、攻击。登陆或者交易验证时,服务器会提示需要验证器的密码,病毒将此信息发布给另一个服务器,同时发送一个与用户输入的信息不匹配的消息给供应商服务器,那么用户的界面就会显示错误,同时病毒服务器就把刚盗取的密码更改为一个新的密码,以此来盗取用户的信息和财产。生理特征验证:访问自己权限范围内的文件,只需要按下手指,扫描眼底纹等,方便快捷,免除口令的记忆;防止窃取,不会遗失;不受地理位置限制;与传统技术相比,提高了密钥的安全性。缺点:上传数据量较大,增大网络负载;为Web服务器增加负担,需要大量的三层结构(表现层,业务逻辑层,数据访问层)设计同时为数据的存储开辟大量的空间。(三)、数字签名技术验证模式依赖
36、于发送方的保密密钥:发送方要抵赖发送某一消息时,可能会声称其私有密钥丢失或被窃取,从而他人伪造签名。如A的密钥确实在时间T被窃取,那么盗窃者就可以伪造A的签名并且附上早于或者等于时间T的时间戳来骗取客户的资料或者财产。仲裁者与盗窃者联手否认签名信息,联手伪造发送方签名。(四)、水印技术从现实的角度看,水印系统必然要在算法的鲁棒性、水印的嵌入信息量以及不可觉察性之间达到一个平衡,这涉及鲁棒性算法的原理性设计、水印的构造模型、水印能量和容量的理论估计、水印嵌入算法和检测算法的理论研究等方面。如何确定平衡点仍是一个难题,目前大多数水印算法均利用经验而不是从理论上解决此问题;所有权的证明问题还没有完全
37、解决,就目前已经出现的很多算法而言,攻击者完全可以破坏掉图像中的水印,或复制出一个理论上存在的“原始图像”,这导致文件所有者不能令人信服地提供版权归属的有效证据。因此一个好的水印算法应该能够提供完全没有争议的版权证明,在这方面还需要做很多工作。目前将水印作为版权保护的法律证据还不可能;现有水印算法中在原理上有许多雷同之处,但目前国内外的工作尚未能对这些有内在联系的不同算法中的共性问题进行高度提炼和深入的理论研究,因而缺乏对数字水印作进一步研究具有指导意义的理论结果。 (五)、防火墙技术防火墙技术种类繁多,在不同的企业,不同的商业模式下需要使用不要同的防火墙技术。不同的防火墙功能有差异,同时也存
38、在着各自的优缺点。包过滤防火墙配置困难,容易在防火墙上留下漏洞。为特定服务开放的端口存在着危险,可能会被用于其他传输。状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。应用程序代理防火墙必须在一定范围内定制用户的系统,这取决于所用的应用程序。而且一些应用程序可能根本不支持代理连接。NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全,但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接。个人防火墙主要的缺点就是对公共网络只有一个
39、物理接口,可能会容易受到威胁。可见,虽然电子商务中为了保障信息安全,采用了很多的安全技术,但是尽管这么多先进的技术被应用进来,信息安全问题依然存在。因此对信息安全技术的研究与完善需要与时俱进,不断的更新发展,才能保障电子商务中的信息安全。4 电子商务中信息安全技术的应用存在问题解决策略和发展方向4.1电子商务信息安全存在问题解决策略电子商务的急速发展,要求我们对信息的安全有很高甚至于完美的要求,但是我们发现电子商务中的信息安全依然存在问题,那么我们就要针对这些问题,提出解决策略,来提高对电子商务信息安全的保障性。4.1.1 加强信息安全技术的应用和研究我们目前的安全技术及其应用还不能满足电子商
40、务发展的需要,完全支撑起信息安全体系。这就要求我们密切关注电子商务的动向,关注电子商务信息安全技术,加大投入力度,研究更加先进可靠、经济适用的安全技术。同时,安全技术不是单一的技术,技术的综合应用是保证电子商务安全的一个重要方面,因此应当加大技术应用环节的投入。可以采取的应用措施有:加密技术是目前使用最广泛的技术,加大其应用力度来确保因特网上传输的安全;认证和访问控制技术可确认使用者的身份,提供了电子交易更进一步的保护;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;加大对水印技术的研发力度,并进行推广,这种数字隐藏技术可以达到确认内容创建者、购买者、传送隐秘信息或者
41、判断载体是否被篡改等目的;加强防火墙的配置 防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它可以确定哪些内部服务允许外部访问,哪些外部服务可由内部人员访问,即它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控内部网和Internet之间的任何活动,保证内部网络的安全。充分的将电子商务信息安全体系与网络完全相结合,发挥网络安全技术的先进性,用以更好的保障电子
42、商务的信息安全。4.1.2 建立完善的制度体系与安全技术相结合.建立保密制度 涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。2 建立系统维护制度 该制度是企业网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介入,主要做好硬件系统日常管理维护和软件系统日常管理维护两方面的工作。 .建立病毒防范制度 病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要有定期清理病毒、及时升级防病毒软件版本、及时
43、通报病毒入侵信息等工作。此外,还可以将网络系统中易感染病毒的文件属性、权限加以限制,对各终端用户,只许他们具有只读权限,断绝病毒入侵的渠道,从而达到预防的目的。 .提高安全防范意识,制定安全管理制度 管理是保证网络安全的重要组成部分,是防止来自内部网络入侵的必须部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。通过建立管理员条例和用户使用条例来规范操作行为,防止计算机病毒的侵入和破坏,在制度上保障网路的安全运行。4.1.3 提高从业人员的技术水平和整体素质首先,要加强现有从业人员的培训,提高现有人员的技术水平,提高其安全意识,提高其应对安全问题的能力。其次,
44、要加强电子商务人才的培养。应充分利用各种途径和手段培养大量素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,特别是掌握现代信息技术和现代商贸理论与实务的复合型人才。最后,要提高企业电子商务管理水平。安全问题不仅有技术的原因,管理落后也是一个重要方面,企业要建立适应电子商务发展的管理体系,培养合格的管理人才,提升整体管理水平。4.1.4 加强法律法规建设来辅助信息安全技术的支撑包括两个方面的内容:一是要完善原有的法律体系并进行必要的调整;二是为适应发展的需要制定新的法律法规。要积极开展立法的各项准备工作,循序渐进、突出重点、先易后难,先单项后综合,在实践中摸索,在发展中完善,
45、针对不同的法律问题,提出新的解决方案,制定相应的法律法规。不备具制定法律法规要求的,可以先制定“条例”、“细则”等规范性法律文件,逐步强化电子商务立法。4.1.5 加强诚信建设提高参与者素质,建立诚信体系,与信息安全体系相辅相成。首先,建立健全社会信用制度及管理体系。要加快信用立法,完善经济活动实名制,健全个人财产申报制度,实行个人破产制度等,以形成对信用体系的强势约束力,确保个人信用制度的健康发展。其次,建立完善的企业制度,培养优秀的企业文化。要以提高企业价值作为经营的根本,把自主性和自律性的道德标准作为企业的重要组成部分,进而建立以诚信为基础的企业文化。再次,建立企业和个人的信用评价与监管
46、机构。建立起以政府为背景跨部门的,包括银行、工商管理、公安、税务部门协同的企业和个人的信用评价与监管体系,实现跨部门、跨行业、跨地区的信用信息互联互通。加大失信行为的成本,以约束失信行为。最后,加强对企业的监管力度,完善各种监管系统。4.2电子商务信息安全体系信息安全是电子商务发展的基础,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题变得更加突出。为了解决好这个问题,必须有安全技术作保障。目前,防火墙技术、数据加密技术和水印技术等发挥着重要的作用, 本文通过对电子商务目前应用的这些主要信息安全技术的研究,发现了现有信息安全技术应用的一些漏洞,并提出了一些解决策略。在此,本文
47、通过总结认为电子商务信息安全技术的发展方向是:结合信息安全体系,实现技术融合。根据目前的电子商务的商业模式,总结出电子商务信息安全体系应按照下图所示的基本框架进行建设:对称密钥,非对称密钥协议结合协作EC应用层安全协议层网络服务层逻辑实体层安全认证层加密技术层先进的商业模式SSL协议,SET协议数字签名,CA认证认证服务器计算机网络信息安全技术电子商务应用系统电子商务支付系统技术融 合计算机技术支撑 图4-1 信息安全体系框架该信息安全体系模型通过多层架构,以先进的信息安全技术为基础,结合安全协议来监测电子商务的活动和保护电子商务信息通道。构建电子商务的多级安全机制,来保证电子商务的信息安全。迄今为止,国内外学术界和相关的电子商务企业对目前全球电子商务所面临的安全威胁提出了很多的解决方案。其中,设计到的安全技术主要有:认证和访问控制机制,密码技术,水印技术,数字签名技术和防火墙技术。同时国际上通过了很多的安全协议,包括SSL协议,SET协议等。计算机安全技术的不断创新与发展也为电子商务信息安