电子商务安全要素研究论文范文第1篇
摘要 电子商务越来越深入我们的商务活动,但是电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全的电子商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。本文介绍了电子商务安全的具体特性及常用的安全技术。
关键词 电子商务;安全;SSL;PKI认证
作者简介 王玲,江西省现代职业技术学院副教授,研究方向为教育信息化、高职教育;(江西 南昌 330012)
吁元卿,江西省信息中心工程师,研究方向为网络管理。(江西南昌330046)
随着因特网的迅猛发展,电子商务已经逐渐成为人们进行商务活动的一个崭新模式。我们可以把电子商务定义为整个事务活动和贸易活动的电子化。它将信息网络、金融网络和物流网络结合起来,把事务活动和贸易活动中发生关系的各方有机地联系起来,极大地方便了各种网络上的事务活动和贸易活动。电子商务有比传统商务方式更巨大的方便性和灵活性。然而,网络面临的安全问题也随之而来,例如内部窃密和破坏、截收、非法访问、破坏信息的完整性、破坏系统的可用性等等诸多问题。
任何在互联网上开展业务的机构都必须采取积极的步骤,确保系统有足够的安全措施,以防止机密信息泄露和非法侵入所造成的损失。但互联网本身就是基于开放思想设计并逐步发展起来的。要想在互联网上实现绝对安全是困难的。互联网上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全。
一、电子商务安全的具体技术表现
(一)数据的私有性和安全性
如果不采用特别的保护措施,包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径,想任意窃听一组数据传输是不可能,但是一些设置在web服务器的黑客程序却可以查找和收集特定类型的数据,这些数据包括信用卡、存款的账号和相应的口令。同时,因为internet的开放性设计,数据私有性和安全性还包括数据传输之外的问题,例如:连入internet的数据存储网络驱动器的安全性。所以,任何存储在web服务器上的数据必须采取保护措施。
(二)数据的完整性
对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整性的攻击。当然,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃取者肯定能阅读此信息。完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息。而对完整性的安全威胁是指某人改动了关键的传输。破坏他人网站就是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就说发生了破坏他人网站的行为。由于internct的开放体系,如果具备了特定的知识和工具,则完全可以更改传输中的数据。同时,要采取适当的存取访问控制,以保证数据存取系统的安全。在电子商务中务必保存数据最初的格式和内容。
(三)认证
在猖獗的网络欺诈或者反悔中,网络交易者隐身在电脑屏幕背后,身份难以识别的问题是其重要渊源。建立有效的网上交易身份认证机制,提升交易双方的信用度是有效控制网络欺诈的重要途径,对于电子商务的健康发展有着重要作用。交易方的信用问题已经成为制约电子商务发展的重要瓶颈之一。在现实社会中,即便有着诸多因素的制约,仍然普遍地存在着信用缺乏的现象,建立完善的信用机制已经成为社会各界的共识。在电子商务的具体实现中,首先要确认当前的通讯、交易和存取要求是合法的。例如,internet中的计算机系统的身份是其由IP地址确认的。黑客通过IP欺骗,使用虚假的IP地址,从而达到隐瞒自己身份盗用他人身份的目的。在日常电子邮件的使用中可以很容易地发匿名邮件,或者使用不真实的邮件用户名。因此,在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。
(四)不可否认性
不可否认主要包含数据的原始记录和发送记录,确认数据已经完成发送和接收,防止接收用户更改原始记录,防止用户在已经收到数据以后否认收到数据,并拖延自己的下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性。
简言之,在internet上实现电子商务面临的任务:(1)私有性,即保证只有发送者和接收者可以接触到信息;(2)完整性,即信息在传输过程中未经任何改动;(3)身份认证,即接收方可以确信信息来自发信者,而不是第三者冒名发送,发送方可以确信接收方的身份是真实的,而不至于发往与交易无关的第三方;(4)不可否认性,在交易数据发送完成以后,双方都不能否认自己曾经发出或接收过信息。
电子商务面临的上述问题主要是由对系统的非法入侵造成的。首先是网络黑客,他们通过发现web服务器、操作系统或者主页部件在配置方面的漏洞,攻击网络系统。其次是内部入侵,这主要是由企业IT部门的员工造成的,保护网络的物理安全(如主控机房)及严格的口令管理制度,是防范该类问题的关键。还有恶意代码(如计算机病毒),它们在企业的传播会给电子商务系统造成严重的损失。另外,值得关注的是计算机系统本身的问题,例如,由于电源造成的系统宕机,以及广域网络的通讯,这些都会直接造成服务的突然中止,影响电子商务的形象。我们还应关注系统管理方面的问题,有时电子商务出现的问题既非黑客也非系统本身的毛病,而是源于对敏感数据处理不善或者是安全系统(如防火墙)的不正确配置。用户的身份认证是计算机系统安全的基础工作,数字签名加密等技术在这里可以充分起到作用。
二、电子商务安全系统关键技术
(一)ssL VPN技术
SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。
VPN(虚拟专用网)则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。VPN是一项非常实用的技术,它可以扩展企业的内部网络,允许企业的
员工、客户以及合作伙伴利用Internet访问企业网,而成本远远低于传统的专线接人。过去,VPN总是和IPSec联系在一起,因为它是VPN加密信息实际用到的协议。IPSec运行于网络层,IPSee VPN则多用于连接两个网络或点到点之间的连接。 所谓的SSL VPN,其实是YPN设备厂商为了与IPsecVPN区别所创造出来的名词,指的是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器连回公司内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(ssL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSec VPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。
(二)加密技术
数据加密技术作为一项基本技术,是电子商务的基石,是电子商务最基本的信息安全防范措施。其实质是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取真实信息的一种技术手段,确保数据的保密性。基于加/解密所使用的密钥是否相同,可分为对称加密和非对称加密两类。
(1)对称加密。对称加密的加密密钥和解密密钥相同,即在发送方和接收方进行安全通信之前,商定一个密钥,用这个密钥对传输数据进行加密、解密。对称加密的突出特点是加解密速度快,效率高,适合对大量数据加密。缺点是密钥的传输与交换面临安全问题,且若和大量用户通信时,难以安全管理大量密钥。目前,常用的对称加密算法有DES、3DES、IDEA、Blowfish等。其中,DES(DataEncryptionStandard)算法由IBM公司设计,是迄今为止应用最广泛的一种算法,也是一种最具代表性的分组加密体制。DES是一种对二元数据进行加密的算法,数据分组长度为64bit,密文分组长度也是64bit,没有数据扩展,密钥长度为64bit,其中有8bit奇偶校验,有效密钥长度为56bit。加密过程包括16轮的加密迭代,每轮都采用一种乘积密码方式(代替和移位)。DES整个体制是公开的,系统的安全性全靠密钥的保密。DES算法的入口参数有3个:Key、Data、Mode。其中,Key为8个字节共64位,是DES算法的工作密钥。Data也是8个字节64位,是需被加密或解密的数据。Mode为DES的工作方式,分为加密或解密两种。DES算法的步骤为:如Mode为加密,则用Key去对数据进行加密,生成Data的密码形式(64位)作为DES输出结果。如Mode为解密,则用Key去把密码形式的数据Data解密,还原为Data的明码形式(64位)作为DES的输出结果。DES是一种世界公认的较好的加密算法,具有较高的安全性,到目前为止除了用穷举搜索法对DES算法进行攻击外,尚未发现更有效的方法。
(2)非对称加密。非对称加密的最大特点是采用两个密钥将加密和解密能力分开。一个公开作为加密密钥;一个为用户专用,作为解密密钥,通信双方无需事先交换密钥就可进行保密通信。而要从公开的公钥或密文分析出明文或密钥,在计算上是不可行的。若以公开钥作为加密密钥,以用户专用钥作为解密密钥,则可实现多个用户加密的信息只能由一个用户解读。反之,以用户专用钥作为加密密钥而以公开钥作为解密密钥,则可实现由一个用户加密的消息而使多个用户解读,前者可用于保密通信,后者可用于数字签字。非对称加密体制的出现是密码学史上划时代的事件,为解决计算机信息网中的安全提供了新的理论技术基础。其优点是很好地解决了对称加密中密钥数量过多难以管理的不足,且保密性能优于对称加密算法;缺点是算法复杂,加密速度不是很理想。
目前,RSA算法是最著名且应用最广泛的公钥算法,其安全性基于模运算的整数因子分解的困难性。
算法内容简要描述如下:①独立选取两大素数p和q,计算n=p×q;其欧拉函数值z=(p-1)×(q-1)。②随机选一整数e,1≤e 由于RSA涉及大数计算,无论是硬件或软件实现的效率都比较低,不适用对长的明文加密,常用来对密钥加密,即与对称密码体制结合使用。 (三)网上交易身份认证机制 网上交易身份认证对于建立电子商务业界的信用机制起着重要作用,因此如何确认网上交易者的身份便成为诸多电子商务网站迫切希望解决的问题。 (1)在目前网络法律制度还不健全的时代,自律机制非常重要,网络交易的有效性和真实性在一定程度上能够反映这个国家的信用机制的完善程度。相对而言,国外的电子商务信用体系相对较高,其交易身份认证多与信用卡等银行信用记录挂钩,而我国则更多的是通过手机和身份证等方式进行。 (2)一些网上交易平台为了帮助交易双方打消顾虑,顺利进行交易,提供第三方介入的支付方式,以保护双方的合法利益,这种机制对于维护网上交易的诚信起到了很好的作用。 (3)电子邮件在电子商务交易中对子商务交易者的身份认证机制起着重要作用。电子邮件一旦重复则易造成无法注册,甚至很多网站要求用户两次输入有效的电子邮件以进行确认,以确保之后的所有信息能够顺利进行,所有的网站均将用户的电子邮件作为联系用户和确认用户诸多信息的重要联系方式,其便捷性毋庸置疑。但是,在电子邮件收费的模式基本上发展前景不甚明朗的今天其有效性和真实性还值得商榷。 (4)用户注册中所提交的资料即身份认证过程中会涉及到很多可以列为用户隐私权保护的信息,因此,在进行身份认证时还需要考虑隐私权保护问题。现在几乎所有的电子商务网站上都有隐私权法律声明,或者在用户填写过程中就通过链接的形式弹出窗口声明用户的这些资料将被用于那些用途。尽管如此,由于网络上没有绝对的安全,如果由于技术上的原因导致用户的身份认证资料泄露给他人,甚至被他人用于牟利或者其他非法目的,网站是否应该承担责任、应该承担什么样的责任,也是身份认证机制应该考虑的问题。 电子商务的安全问题是利害攸关的,安全遭到破坏会使他人信息泄露或导致信息滥用。电子商务安全策略必须明确保密、完整、不可否认的要求。总之,如何建立电子商务安全策略,并逐步完善这个策略,需要政府、电子商务企业、学者等的共同努力,任重而道远。 责任编辑:熊一坚 现场管理中,有五个方面是需要管理人员注意的,就是人、机、物、法、环五要素。 一、人: 就是指在现场的所有人员,包括主管、生产员工、搬运工等一切存在的人。现场中的人,拉组长应当注意什么呢?首先应当了解自己的下属员工: 人的性格特点不一样,那么生产的进度,对待工作的态度,对产品质量的理解就不一样。有的人温和,做事慢,仔细,对待事情认真;有的人性格急躁,做事只讲效率,缺乏质量,但工作效率高;有的人内向,有了困难不讲给组长听,对新知识,新事物不易接受;有的人性格外向,做事积极主动,但是好动,喜欢在工作场所讲闲话。那么,作为他们的领导者,你就不能用同样的态度或方法去领导所有人。应当区别对待(公平的前提下),对不同性格的人用不同的方法,使他们能“人尽其才”。发掘性格特点的优势,削弱性格特点的劣势,就是要你能善于用人。 如何提高生产效率,就首先从现有的人员中去发掘,尽可能的发挥他们的特点,激发员工的工作热情。 就是指生产中所使用的设备、工具等辅助生产用具。生产中,设备的是否正常运作,工具的好坏都是影响生产进度,产品质量的又一要素。一个企业在发展,除了人的素质有所提高,企业外部形象在提升;公司内部的设备也在更新,。为什么呢?好的设备能提高生产效率,提高产品质量。如:企料,改变过去的手锯为现在的机器锯,效率提升了几十倍。原来速度慢、人体力还接受好大考验;现在,人也轻松,效率也提高了。所以说,工业化生产,设备是提升生产效率的另一有力途径。 三、物: 就是指物料,半成品、配件、原料等产品用料。现在的工业产品的生产,分工细化,一般都有几种几十种配件或部件是几个部门同时运作。当某一部件未完成时,整个产品都不能组装,造成装配工序停工待料。不论你在那一个部门,你工作的结果都会影响到其他部门的生产运作。当然,你不能只顾自己部门的生产而忽略其后工序或其他相关工序的运作;因为企业的运作的是否良好是整体能否平衡运作的结果。 所以你在生产管理的工作里面,必须密切注意前工序送来的半成品,仓库的配件,自己工序的生产半成品或成品的进度情况。一个好的管理者,是一个能纵观全局的人;能够为大家着想的人。 顾名思义,法则。指生产过程中所需遵循的规章制度。它包括:工艺指导书,标准工序指引,生产图纸,生产计划表,产品作业标准,检验标准,各种操作规程等。他们在这里的作用是能及时准确的反映产品的生产和产品质量的要求。严格按照规程作业,是保证产品质量和生产进度的一个条件 五、环: 指环境。对于某些产品(电脑、高科技产品)对环境的要求很高(ISO9001:2000工作环境:组织应确定和管理为达到产品符合要求所需的工作环境)。环境也会影响产品的质量。比如:音响的调试时,周围环境要求应当很静。食品行业对环境也有专门的规定,否则,产品的卫生不能达到国家规定的标准。现在对工业制造企业也有了ISO14000环境管理体系的引进。5S运动也是企业对环境提高要求的具体表现。 摘要:电子商务安全评估在信息安全体系建设中占有重要的地位,是了解系统安全现状、提出安全解决方案、加强信息安全监督管理的有效手段。电子商务安全是动态的过程,并非一劳永逸,随着系统安全状态的动态变化,应定期对系统进行安全评估,不断开发新的安全产品,健全安全法律法规,电子政务安全是立体而非平面的,需要有整体的、多层次的安全策略,既要考虑实体安全、网络安全,又要注意信息安全和管理安全。 关键词:电子商务;安全;评估;标准 一、电子商务安全评估概述 1.电子商务安全评估的定义。电子商务安全评估是运用系统的方法,对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。 2.电子商务安全评估的重要性。由于信息技术本身有其固有的敏感性和特殊性,这就使得对企业电子商务产品是否安全,电子商务安全产品及其网络系统是否可靠,企业电子商务系统是否健壮,电子商务管理是否严格,信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息,评估必须可靠、可信、可操作,并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系,具有令人信服的科学性和公正性。 3.电子商务安全评估的主要内容。具体来讲,电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度(如防止工作人员调入、调离对安全的影响)等。远程通信安全包括加密、数据签名等。审计机制包括系统审计跟踪的功能和成效等。 二、电子商务安全 1.电子商务安全需求。在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:(1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。(2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。(3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。(4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。 2.电子商务安全隐患。电子商务不但面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来,电子商务中的安全性隐患主要有其应用层、传输层、存储层和系统层等四个方面:(1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层所的安全性漏洞将直接会造成电子商务中的安全性隐患。(2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:1)意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情况造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2)有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。(3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。(4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。 3.电子商务安全要求。(1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。(2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。(3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。(4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。(5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。(6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。 4.电子商务安全技术。通过使用各种密码技术,可以满足不同的安全需求。(1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。(2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。(3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。(4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。 三、电子商务安全评估的标准 标准是技术性法规,作为一种依据和尺度。没有标准,国家有关的立法、执法就会因缺乏相应的技术尺度而失之偏颇,最终会给国家信息安全的管理带来严重后果,建立评估标准的目的是建立一个世界各国都能接受的通用的信息安全产品和系统的安全性评价准则,国家与国家之间可以通过签订互认协议,决定相互接受的认可级别,这样就能使大部分的基础性安全机制在任何一个地方通过评估准则评价并得到许可进入国际市场时,不需要再作评价,使用国只需要测试与国家主权和安全相关的安全功能即可,从而可以大幅度节省评价支出并迅速推向市场。但是,由于信息安全产品和系统的安全性评价事关国家主权和安全利益,所以没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评价基础上,而是在充分借鉴国际标准的前提下,制定自己的测评认证标准。在计算机信息技术安全标准发展的历史上,美国、加拿大、欧盟以及中国开发出了多种计算机系统及产品安全评估准则与标准。 四、电子商务安全的国际评估标准 1.TCSEC——美国计算机安全标准。TCSEC—可信计算机系统评估准则。1985年,美国发布了第一个计算机安全标准,即现在经常谈论的可信计算机系统评估准则(TCSEC),由于采用了橘色书皮,也称“橘皮书”。TCSEC中定义的准则主要涉及商用可信自动数据处理系统。准则中描绘了不同安全等级的最低要求特点和可信措施。其目的之一是为生产厂家提供一种安全标准,二是为国防部评估信息产品可信度提供一种安全量度,三是为了产品规格中规定的安全要求提供基准。可信计算机系统评估准则的安全等级分为A、B、C、D四级。其中A为最高级,D为最低级。每级的具体划分确定按安全策略、可计算性、可信赖性和文件编制四个方面进行。 2.ITSEC——欧洲信息技术安全评估准则。欧洲信息技术安全评估准则(ITSEC)将安全功能和功能评估的概念区分开来。每个产品最少给出两个基本参数,其中一个是安全功能,另一个是实现的准确性。功能性准则的度量范围为F1~F10共十级,其中F1对应了TCSEC的C1级……F5对应于B3级。F6~F10的功能和规格添加了下述一些概念:F6添加了数据和程序的完整性概念;F7添加了系统可用性概念;F8添加了数据通信完整性概念;F9添加了通信机密性概念;F10添加了网络安全,包括机密性和完整性概念。 参考文献: [1]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008. [2]王铁柱,等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报,2010,(3). [3]戴卫明.中国电子商务风险及其控制研究[J].生产力研究,2010,(9). [4]汪军.电子商务网络安全体系的设计[J].实验室研究与探索,2010,(9).[责任编辑 安世友] 【关键词】电子商务的安全 防治的要点 有效的管理 措施的研究 电子商务交易在进行的过程中,网上的技术人员很难保证在网络中传送的信息是否可靠,是否完整,是否被篡改、重写或者窃取,甚至信息中是否夹带病毒等。同时这些威胁着电子商务的安全问题始终存在,有关电子商务服务的技术人员也在解决这些问题。 一、电子商务的安全现状 (一)木马、病毒种类更新速度快,数量多 据我国的一些相关调查可以知道,在2011年的上半年木马网页的数量已经超过了3.5亿,在春节假期那段时间,就有增长了六十多万多万的木马,这些数据告诉我们,现阶段我国的电子商务处在一个十分不乐观的环境中,电子商务存在的安全问题严重,需要马上解决这些问题。不光是这样,现阶段在网上传播的网络病毒种类繁多,并且变化速度极快,针对这些问题,有些杀毒软件也在努力,快速的更新,但是还是不能够很有效的阻止病毒的传播。最为严重的是很多的病毒制造者在利用这些木马病毒进行违法犯罪的活动,这些都会影响社会的和谐与安定。 (二)网络博病毒的传播方式不同了 網络病毒的传统传播方式仅仅是通过网络进行传播的,但随着科技的发展,现阶段他们的传播方式也在升级,很多移动设备成为了病毒传播的媒介,例如,我们使用的U盘或硬盘以及各种随身携带的存储设备都让木马病毒有了可乘之机。技术人员发现通过网络传播的病毒比例在下降,但是一种新型的病毒传播方式正在影响着我们的生活,技术人员称他为“挂马”。这种病毒只有在有安全漏洞的计算机访问网页时才会被感染,这种病毒对电脑的攻击力更强,并且一般用户很难发现他们的存在,所以他们潜在的危险性比一般病毒更强。 二、电子商务网络安全中的主要问题 (一)非授权性的访问 在没有经过同意的情况下,私自取用计算机上的资源,被我们称为非授权访问。例如,病毒制造者有意义的避开系统访问机制对网络进行非正常性的使用,或者越权访问相关信息。这类问题主要有非法用户进入网络系统进行违规违法操作、仿冒身份进行攻击等。 (二)信息丢失或泄露 信息的泄露或丢失主要有两种,一种是在传输的过程中丢失,例如。病毒的制造者利用一些网络漏洞和硬件漏洞窃取机密信息,或者对信息的频率、流量这些参数进行分析,以此来推断用户的账号和密码等;另一种是信息在储存媒介中丢失或泄露。 (三)破坏数据完整性 破坏数据的完整性分为两种情况,一种是以不正当的手段获得数据的使用权,然后对数据进行修改或删除某些重要消息,以此来达到对自己有意义的结果。另一种是修改数据、恶意添加数据信息,干扰了正常用户的使用。 (四)利用网络传播病毒 现在人们的生活已经离不开网络技术,网络技术广泛的应用于人类生活的各个方面。但是随着网络技术被大众广泛的应用,很多的压缩文件或者电子邮件都已经变成病毒传播的一个途径。通过这些手段进行病毒传播,这种传播方式的破坏性远远高过于传统的传播方式,而且一般用户很难进行防范。 三、电子商务网络安全问题的管理措施研究 (一)系统软硬件设施的安全 只要基于一个安全可靠的通信网络才能够拥有一个电子商务需要的安全可靠的系统。每个从事电子商务的企业也都想拥有一套完整的电子商务系统,那就要有最为基础的电子商务设施,这些基础的设施能够为从事电子商务的企业提供一个较为优越的环境,这其中包括一些硬件及软件部分的服务,通过这种系统来管理和支持企业用户的所有应用。电子商务的基础设施现阶段也是企业能否成功构建电子商务的一个关键。可以说它支持着这个企业内部的全部业务,并且他存在在运营的每一个环节中。如果企业拥有一个良好的电子商务设施就能够在用量十分大的时候也能轻松的应对,可以降低企业在运营时的成本,也能够为企业回避一些风险。最重要的是一个合格的电子商务是能够确保企业在运作时的连续性和安全性的。 (二)数据加密技术 我们传统的信息交流方式是信件,在邮递的过程中,寄件人会将信件隐藏在信封中,这是一种保密技术。然而,在电子商务中,如何实现这样的保密,是技术人员需要思考的一个重点。在电子商务交易中,为了保证信息的安全,一定要实现传输的信息除了应该接受信息的收信人以外,其他任何人通过任何途径都不可获取。为了实现这样的信息安全需要对信息进行有效的加密,通过这样的技术方式将传输的信息隐藏起来。电子商务数据加密技术是指将需要传输的信息通过加密钥匙或者加密函数进行转换,使信息在传递的过程中变成无意义的密文,接收方在收到密文后,运用两人之前商定好的解密钥匙,将密文转化回需要传输的信息。文件加密,是網络安全技术的一个基础。 (三)电子商务认证技术 电子商务认证技术在现阶段主要有四种,分别是数字签名、数字摘要、数字信封、数字证书,这四种认证技术都能很好的完善现在的电子商务市场环境。 (四)安全电子交易协议 针对电子商务目前存在的很多技术缺陷,现阶段有VISA和 MasterCard两大信用卡联合推出的电子交易规范SET协议。SET主要用于界定与划分电子商务活动中各方的权利与义务关系,给出标准的交易信息传送流程。SET协议使得电子商务系统有了完整性、保密性、身份合法性以及不可否认性。SET规范为在Internet上进行安全的电子商务提供了一个开放的标准,SET综合使用私有密钥加密和公用密钥加密的电子认证技术,其认证过程使用RSA和DES算法,可以给电子商务提供很强的安全保护。 四、总结 现阶段人们的生产生活中已经离不开网络技术,越来越多的电子商务取代了现实中的商贸交易,人们也越来越依赖电子商务带来的便利,并且电子商务真的可以为忙碌的生活节省下来时间,也正是因为这样,越来越多的人开始利用网络进行电子商务犯罪,给很多人带来很大的损失,本文中简单的提到了一些电子商务安全管理措施,希望可以为电子商务的从事者提供一些帮助。 参考文献 [1]李玲.电子商务安全问题及防范措施[J].商场现代化,2013,07. [2]康莉.“云计算”环境下电子商务安全问题及对策研究[J].科技致富向导,2013,06. [3]张娅妮.电子商务网络安全问题的现状与防范措施[J].计算机安全,2013,04. 安全生产管理的基本要素,主要是抓好“人、物、环、管”几个方面,也可称为安全生产四要素管理。首先了解一下安全生产管理的相关概念。 安全生产,指在社会生产活动中,通过人、机、物料、环境的和谐运作,使生产过程中潜在的各种事故风险和伤害因素始终处于有效控制状态,切实保护劳动者的生命安全和身体健康。 安全生产管理,就是针对生产过程中的安全问题,运用有效的资源,发挥人们的智慧,通过人们的努力,进行有关决策、计划、组织和控制等活动,实现生产过程中人与机器设备、物料、环境的和谐,达到安全生产的目标。 安全生产管理的目标,就是减少和控制危害,减少和控制事故,尽量避免生产过程中由于事故造成的人身伤害、财产损失、环境污染以及其他损失。 在四要素中,“人”---企业的员工,涉及到企业中的所有人员,是安全生产管理的基本对象和核心。一切管理活动都是以人为本展开的,人既是管理的主体又是管理的客体,每个人都处在一定的管理层面上,离开人就无所谓管理;管理活动中,作为管理对象的要素和管理系统的各个环节,都离不开人的掌管、运作、推动和实施。在人机系统中,人始终起着核心和主导作用。人机系统的类型主要有两类,一类为机械化、半机械化控制的人机系统;另一类为全自动化控制的人机系统。机械化、半机械化---现代生产中应用最多的人机系统中人机共体,或机为主体,系统的动力源由机器提供,人则是系统中生产过程的操作者与控制者,即控制器主要还是由人来操作。全自动化控制的人机系统中,人却是监视者和管理者,自动控制系统出现差错时就离不开人的作用。譬如,在本单位生产系统中,各级管理人员、主控人员、现场巡检操作人员分别在各自岗位上扮演着不同的角色,对整个人机系统的安全运行起着举足轻重的作用。无论哪个岗位、哪个环节出问题,都有可能发生设备事故、工艺事故或者是人员伤害事故。所以,安全生产管理要先管好人,防止系统中的操作者与控制者、监视者和管理者操作失误、指挥失误或监护失误,从而避免可能导致事故发生的人的不安全行为。 物,即为人机系统中的机械设备、设施及生产过程中的原材物料。人在人机系统中起着核心和主导作用,而机器却起着安全可靠的保证作用。加强设备设施 1 的日常维护和保养,分析机械设备、设施及原材物料在生产过程中的不安全因素,有针对性地进行管理并及时消除,保证机械设备、设施、原材物料符合法律法规、标准规范要求,各类防护、保险、信号装置,工具附件齐全有效,机械设备、设施安全可靠运行。 环,即环境。包括光照度,生产场所具有足够的光照度是安全生产正常进行的保证;通道,安全通道是职工通行和安全运送材料、工件的保证;设备布局不合理、操作空间狭小,容易发生人员伤害或意外事故;物料堆放,工器具、工件或材料摆放不当,不仅影响操作而且容易引起设备损坏和人身伤害事故;地面状态,生产场所地面平坦、清洁是确保物料流动、人员通行和操作安全的必备条件,如有绊脚物、垃圾、废油、废水等,操作人员容易发生滑跌、绊倒等意外事故。 管,即管理。主要是建立健全覆盖所有管理和操作岗位的安全生产责任制,明确企业所有人员在安全生产方面所应承担的职责,并建立配套的考核机制,确保责任制落实到位,激发全体员工的责任感;制定安全生产规章制度和操作规程,规范员工的日常操作行为,让员工有章可循、有规可依。有章可循、有规可依是前提,但执章必严、不折不扣落实才是安全生产管理的关键和保证。安全生产规章制度、操作规程就是安全生产管理的“底线、生命线、高压线、铁规定”,必须“刚执行、真落实”。不仅是发生事故后要追究相关人员的责任,而且是隐患排查整改不到位、不及时也要追究责任。要充分利用安全生产规章制度、操作规程控制人的意愿和行为,使个人的活动和行为受到安全生产管理要求的约束,绝对服从安全生产管理的要求,从而实现有效的安全生产管理。 下面,讲述一起安全生产事故案例,通过此事故案例清晰了解安全生产管理的基本要素。 某啤酒厂灌装车间,有传送带、洗瓶机、烘干机、灌装机、装箱机等设备,为减轻职业危害的影响,企业为职工配备了防水胶鞋、耳塞等劳动保护用品。 2013年8月4日,维修工甲对洗瓶机进行维修时,将洗瓶机长轴上的一颗内六角螺栓弄丢,为了省事,甲用8号铅丝插入孔中,缠绕固定。8月19日,新到岗的洗瓶机操作女工乙在没有接受岗前安全培训的情况下就开始操作。工作过程中,乙没有扣好工作服纽扣,致使工作服内的棉衣衣角翘出,被随长轴旋转的8号铅丝卷绕在长轴上,情急之下,乙用手推长轴,致使其整个人都随着旋转 2 的长轴而倒立。由于乙未按规定佩戴安全帽,所以倒立时长发自然下垂,被旋转的长轴紧紧缠绕,导致其头部严重受伤而当场死亡。 在以上人机系统作业场所中,主要存在以下可能导致事故发生的不安全因素。 人,新到岗的洗瓶机操作女工乙违反《安全规程》,未按规定扣好工作服纽扣,未佩戴安全帽并将长头发盘入帽内;维修工甲为了省事,违反《操作规程》,用8号铅丝代替内六角螺栓固定洗瓶机长轴。 物,洗瓶机长轴无防护罩(转动部位),造成洗瓶机(即物)的不安全状态。 管,该单位违反《生产经营单位安全培训规定》,新职工未经安全培训教育直接上岗,安全管理存在明显缺陷;相关管理人员安全生产责任制不落实,不认真实施事故防范措施,作业现场无人纠正操作女工违反劳动防护用品穿戴的行为,安全隐患排查整改不到位,未及时发现并整改设备隐患,最终导致悲剧的发生。 [摘 要] 随着互联网发展的不断深化,电子商务活动日益广泛,网络交易所带来安全隐患不断出现,严重制约了电子商务的快速发展,理解解决和防范电子商务安全问题,已经决定电子商务今后发展的关键。本文对当前网络交易中存在的安全隐患进行了分析,从网络技术角度来探讨安全措施,希望能够对今后电子商务的发展起到积极的作用。 [关键词] 电子商务 网络安全 数字签名 防火墙 前言:随着互联网的迅猛发展,电子商务在全球范围内以惊人的速度向前发展。在我国,2009年电子商务交易总额突破4万亿人民币。由于电子商务具有的分布广和开发性的特征,大量的交易信息和个人信息都需要在网络上进行传输,使得人们对信息的传递有很高的安全性要求。经调查发现,有大约六成的网民是基于安全性的考虑而选择传统的商务模式,因此,要发展电子商务,必须要加强网络安全,提升消费者对电子商务安全交易的信心。下面主要通过安全技术的探讨,加强人们对网络安全的防范意识。 一、电子商务安全现状 互联网具有完全的开发性使得每一个用户都能够利用电子商务进行网上交易,人们时常会碰到非法用户冒充合法用户进行非授权交易,而且网络线路易被窃听,网络数据多以明文的方式进行传输,网络交易信息易被修改,隐私信息易被窃取。这一切一切的安全问题我们不可一下全部找到解决方案,况且有的是根本无法找到彻底的解决方案,如病毒程序,因为任何反病毒程序都只能在新病毒发现之后才能开发出来,目前还没有哪能一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒。因此在新问题出来前,人们必须对安全状况有一个清楚的认识。目前,电子商务安全威胁主要表现在一下几个方面: 1)计算机电脑病毒。计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。随着互联网的发展,病毒利用互联网,传播速度大大加快,它侵入网络,破坏资源,成为了电子商务中计算机网络的严重安全威胁。随着计算机技术的不断发展,计算机病毒的破坏性也随之增强,电子商务环境也将收到严重威胁。 2)窃取信息。在电子商务中主要表现为交易信息的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。 3)窜改资料。电子商务交易非常重视信息的真实性和完整性的问题。交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。 4)假冒。通过假冒交易平台,用有利的条件吸引用户到平台进行消费,骗取支付款项。由于在虚拟的网络平台,用户一般难以判断。 二、电子商务安全技术 面对着诸多的安全挑战,为了促进电子商务更好的发展,更好的为国民经济的发展服务,解决电子商务中的安全问题就成了关键。从安全技术的角度分析,保障措施包括: 1)访问控制技术。这种技术主要采用防火墙,最初是针对Internet 网络不安全因素所采取的一种保护措施。是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。利用防火墙广泛的安全政策控制信息流,可以达到访问控制、授权认证、安全检查、加密、集中管理、报警和监督记录等功能。目前使用较多的是包过滤技术防火墙和采用代理技术的防火墙。两种防火墙的结合,双重保证了系统的安全性。 2)加密技术。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。在加和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。对称式加密就是加密和解密使用同一个密钥,,如美国政府所采用的DES 加密标准就是一种典型的“对称式”加密法非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。目前,RSA算法是非对称加密的主要方法。 3)数字签名。利用通过某种密码运算生成的一系列符号及代码组成电子密码进行“签名”,来代替书写签名或印章,这种数字化的签名在技术上还可进行算法验证,其验证的准确度是在物理世界中与手工签名和图章的验证是无法相比的。实现电子签名的技术手段目前有多种,比如基于公钥密码技术的数字签名;或用一个独一无二的以生物特征统计学为基础的识别标识,例如手印、声音印记或视网膜扫描的识别;手书签名和图章的电子图象的模式识别;表明身份的密码代号;基于量子力学的计算机等等。但比较成熟的,世界先进国家目前普遍使用的电子签名技术还是基于PKI的数字签名技术 4)安全认证协议。安全认证协议包括安全电子商务交易协议和安全套接层协议。 安全电子交易协议,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等 SSL安全协议最初是由Netscape Communication公司设计开发的,又叫“安全套接层协议”,主要用于提高应用程序之间的数据的安全系数,是一个保证任何安装了安全套的客户和服务器间事务安全的协议,它涉及所有TCP/IP应用程序。SSL安全协议主要提供三方面的服务:用户和服务器的合法性认证;加密数据以隐藏被传送的数据;护数据的完整性 三、总结 传统商务交易中,交易双方基本上是面对面进行商务谈判,达成商务交易后,一手交钱一手交货,很少出现由于交易信息的泄漏而造成的損失。特别是传播交易涉及范围有限,信息泄漏的影响也较为有限。但在网络的环境下,信息能够在极短的时间内在全球迅速扩散,造成的影响必然非常巨大。电子商务是21世纪经济发展的强大推动力,网络交易环境的安全性成为了决定电子商务成败的关键。因此,培养一个安全、有效和稳定的网络商务环境显得极为重要。 参 考 文 献 [1] 斯托林斯(Stallings,W.)著,孟庆树等译 密码编码学与网络安全。西安:电子科技出版社,2008,9. [2] 冯晓玲.电子商务安全.北京:对外经济贸易出版社,2008,3 [3] (印)卡哈特著,金名等译.密码学与网络安全(第2版).北京:清华大学出版社,2009,3 [4] 刘建伟,毛剑,胡荣磊编著.网络安全概论.西安:电子科技出版社,2009,7■ 电子商务安全要素研究论文范文第2篇
电子商务安全要素研究论文范文第3篇
电子商务安全要素研究论文范文第4篇
电子商务安全要素研究论文范文第5篇
电子商务安全要素研究论文范文第6篇