浅议电子商务中的信息安全问题3-免费论文

本论文在电子商务毕业论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看浅议电子商务中的信息安全问题
［摘要］电子商务对人类社会经济产生了重大影响，在创造巨大经济效益的同时，也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中，已有很大程度的发展，同时也存在诸多问题。本文围绕电子商务中的信息安全这一论题，研究了电子商务中的信息安全存在的问题以及问题产生的原因，提出了包括防火墙技术、入侵检测技术在内的等七种技术性措施以及其他的一些非技术性措施，基本上初步解决了在电子商务中遇到的常见的信息安全问题。
［关键词］电子商务；安全需求；信息安全；安全威胁；协议技术；安全技术。
引言
随着Internet的发展和网络基础设施的不断完善，基于网络和多媒体技术的电子商务应运而生并迅速发展。美国等发达国家，通过Internet进行电子商务的交易已成为潮流。我国的电子商务虽已初具规模，但是出于各种目的的网络入侵和攻击也越来越频繁，脆弱的网络和不成熟的电子商务增强了人们的防范心理，信息安全问题却成为发展电子商务亟待解决的问题。所谓信息安全，是指防止信息财产被故意地或者偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即信息安全要确保信息的保密性、完整性、认证性、可控性、不可否认性。信息安全主要涉及到技术、个人以及企业三个方面的安全。传统的交易方式一般是通过签名和印章来完成交易的确认，而电子商务则是通过网络来完成，这就容易造成信息丢失、冒名偷窃、篡改数据、信息传递出问题，例如发信者事后否认曾经发送过某条信息、收信者事后否认曾经收到过某方面的消息，或是购买者做了定货单不承认，商家因价格差异而否认原有的交易等，这也会导致最终交易失败。从这点上来看，信息安全问题是保障电子商务的生命线。
电子商务中的信息安全问题分析
电子商务主要依托Internet平台完成交易过程中双方的身份、资金等信息的传输。由于Internet的开放性、共享性、无缝连通性，信息安全问题是电子商务的主要问题，信息安全问题是企业和个人最关心的问题，其中涉及到技术上的电子商务信息安全问题、企业电子商务信息安全的主要问题、个人电子商务信息安全的主要问题。
1、技术上的电子商务信息安全问题
从技术上看，电子商务面临的信息安全问题主要来自四个方面，分别是冒名偷窃、篡改数据、信息丢失、信息传递出问题。
（1）冒名偷窃
“黑客”为了获取重要的商业秘密、资源和信息，常常采用源IP地址欺骗攻击。入侵者伪装成源自一台内部主机的一个外部地点传送信息包（这些信息包中包含内部系统的IP地址），在E-mail服务器使用报文传输冒名他人，窃取信息。
当攻击者掌握网络信息数据规律或解密商务信息后，假冒合法用户或发送假冒信息欺骗其他用户。在信息假冒的众多的案例中最典型的莫过于那些伪装成银行及电子商务等网站的钓鱼网站了，不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。由此在电子商务中会对交易双方造成一定程度的损失，所以在电子商务中的信息安全中识别防范假冒信息显得尤为重要！
（2）篡改数据
攻击者未经授权进入电子商务系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益或干扰对方的正确决策，造成电子商务交易中的信息风险。
当攻击者熟悉网络信息格式后，通过技术手段对网络传输信息中途修改并发往目的地，破坏信息完整性。信息的篡改一般表现在一些门户网站上面的网页篡改，这在电子商务中会严重影响到交易一方的形象受损；同时也会影响信息的传达，这是因为一旦网页被篡改之后，访问者将无法获取自己需要的内容，而交易方的各种信息将得不到传达，影响了信息的发布和传播，例如黑客非法破坏了网站的数据库，更长的恢复时间将带来深远的不良影响。
（3）信息丢失
交易信息的丢失可能有三种情况：一种是因为线路问题造成信息丢失；二是因为安全措施不当而丢失信息；三是在不同的操作平台上转换操作而丢失信息。从买卖双方自身角度来看，电子商务交易平台中的信息风险来源于用户以合法身份进入系统后，买卖双方都可能在网络上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。
如果采用加密措施不够，攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据，获取机密信息或通过对信息流量、流向、通信频度和长度分析，推测出有用信息。
例如不法分子首先建立一个假的电子商务网站，然后在淘宝网、阿里巴巴等支付平台网站发布虚假的商品信息，该信息中的商品价格往往比市场同类商品便宜很多。同时，不法分子还会留下自己的QQ号或者MSN等即时通讯工具号码以及假电子商务网站的网址。当客户对该网站销售的便宜商品动心，并通过该网站购物进行支付时，就会链接到一个假的银行支付页面，客户在假支付页面输入的卡号、密码等信息就会被不法分子获取。
（4）信息传递出问题
信息在网络上传递，要经过多个环节和渠道。由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、“黑客”的非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，从而威胁电子商务交易的安全。另外各种外界的物理性干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都可能影响到数据的真实性和完整性。
2、企业电子商务信息安全的主要问题
一个电子商务企业中面临的信息安全问题主要有来自于内部的安全、企业管理人员的水平低，人员的素质不高、技术人才短缺三个方面。
（1）内部安全
最近的调查表明，至少有75% 的信息安全问题来自内部，在信用卡和商业诈骗等一系列在电子商务交易中，由内部人员所导致的问题最多。
这其中就包括了在管理上面的漏洞的原因，由于监管不到位，导致内部员工泄露商业机密和直接破坏内部系统的事在近几年是层出不穷的。众所周知，许多商业间谍正是利用这一点来攻击对手已达到商业目的。
（2）企业管理水平低，人员素质不高
  电子商务在近几年才得到了迅猛发展，各地都缺乏足够的技术人才来处理所遇到的各种问题，许多企业技术人员的技术水平较低，不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索的阶段，管理的水平不高，效率底下。这些都给电子商务带来很大的安全隐患。其中包括交易流程管理风险、人员管理风险、网络交易技术管理的漏洞的交易风险、网络管理制度漏洞等。
（3）技术人才短缺
近年来，互联网技术和网络购物得到了迅猛的发展，这种大规模的增长直接就导致多地方都缺乏足够的技术人才来处理在电子商务中的信息安全遇到的各种问题，尤其是网络购物具有全天提供服务的要求，这就迫切需要有又能力的专业人才来管理。人才的数量与质量始终决定着对这行业的发展和创新能力。所以从某种意义上讲，技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。
3、个人电子商务信息安全的主要问题
个人在电子商务中面临的信息安全问题主要有恶意代码、电子商务知识贫乏，安全意识不高、Web 服务器的保护意识差三个方面。
（1）恶意代码　
它们将继续对所有的网络系统构成威胁，并且其数量将随着Internet 的发展和编程环境的丰富而增多，扩散起来也更加便利，从而遭受黑客暗算计算机设备被毁、信息丢失。因此，造成的破坏也就越大。
电脑病毒对我们大多数人来说，已经不是一个陌生的词汇了。在如今的互联网上面流传着许许多的网络病毒，这些病病毒要么搞破坏、要么搞窃取。在电子商务交易中一旦自己一方遭到病毒的攻击，自己的交易信息就会被破坏或者窃取，这都会给自己的交易带来麻烦。所以在电子商务中避免诸如此类的恶意代码就显得尤为重要了
(2) 电子商务知识贫乏，安全意识不高
用户容易受虚假广告信息误导购买假冒伪劣商品或被骗钱财。从总体上，讲广大消费者对于电子商务这个新生事物还比较陌生，缺乏相应的知识，还不能十分熟练的应用这一新的交易手段，造成各种人为的安全威胁。例如：有的消费者安全意识淡薄，不注意保护自己的密码等关键信息，容易导致资金被盗、冒名交易等；有的消费者对信息判断能力差，容易上当受骗；有的消费者对网络交易的流程缺乏了解，容易导致操作失误等。
不法分子或通过In ternet 发布虚假商务广告信息骗取钱; 或破解储户密码盗取存款; 或侵犯股民帐户借机炒股; 或盗用信用卡密码恶性透支，使消费者和用户对电子商务产生强烈的不信任感，阻碍了电子商务的顺利发展。
例如：2005年7月27日，某县公安局指挥中心接到居民杨某报警称：其于7月26日17时在互联网上购物，准备付款时，发现存在县工商银行的3000元人民币全部被人从互联网上盗走。原来，犯罪嫌疑人使用杨某的工商银行账号和密码于7月18日将杨某的3000元转至浙江支付宝网络科技有限公司账上购买了手机等物品。经查，蒋某自2005年6月开始先后四次在互联网上设立虚假的中国工商银行网站，进行虚假注册抽奖活动，诱使他人上当受骗，从中盗取他人的工商银行账号和密码。7月18日，蒋某以同样方式盗取杨某的工商银行账号和密码后，将其银行存款盗走。
（3）Web 服务器的保护意识差
由于电子商务是在网络中进行的，这是由于这一特殊性，在交易过程中所产生的数据都会保存在Web服务器上面，因此即使保密信息被客户端接收之后，也必须对存储在服务器中的数据进行保护。虽然防火墙技术有助于对web 站点进行保护，但大部分交易的双方却很少安装防火墙或对其缺乏有效的维护，更没有对Web 服务器进行很好的保护，这是在交易过程中的Web 站点尤其要引起注意的地方。
三、电子商务信息安全需求
针对电子商务信息安全的问题构成，可以提出电子商务安全需求。电子商务的安全需求包括五个方面，这五个方面分别是：保密性、完整性、认证性、可控性、不可否认性。
保密性
信息在网络上传送或存储的过程中，不被他人窃取，不被泄露给未经授权的人或组织，或者经过加密后，使未经授权者无法了解其内容。保护计算机信息不被非法存取一级信息子传输过程中不被非法窃取，保密性一般都是商务交易中的最起码的要求，在电子商务中固然也很重要。
完整性
防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改。信息完整也就是交易内容要完整，这样才能避免交易中因为交易不完整而引起的误会和分歧。在传输过程中，如果接收端收到的信息与发送的信息完全一样，则说明在传输过程中信息具有完整性。
认证性
确保交易信息的真实性和交易双方身份的合法性，确认交易人和交易的信息的准确性和合法性是为避免交易欺诈的出现，才能保证正常的合法的交易。认证性可用数字签名和身份认证技术实现。
可控性
保证系统、数据和服务能由合法人员访问、不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等，保证数据的合法使用，在交易过程中不免要涉及到需要交换信息进行交流才能完成交易，这就需要可控性来保证这种交流。
不可否认性
防止通信或交易双方对已进行的业务的否认，在已经确认的交易中必须要保证双方的确认，才能有效避免交易纠纷的出现，不可否认性是在合法的交易中需要加强的一种很重要的措施。信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。不可否认性主要用于对付来自其他合法用户的威胁。
下面是以B2C电子商务为例，分别从消费者和商家的角度来看看她们对这五个方面是如何想的。
表1 从个人角度和商家角度来看电子商务安全的不同方面
不同方面个人角度商家角度
保密性除了我指定的接收方还有其他人读取我的信息吗？信息或机密是否会被那些未被授权者看到？
完整性我发出的信息是否被篡改了？网站上的数据是否未经授权就被改变了？数据是否来自合法的消费者?
认证性谁在和我做交易？我如何确认此人或者此商家就是他所声称的那个？消费者的真实身份是什么？
可控性我能访问该网站吗？我能控制电子商务商家对我提交的个人信息的使用吗？网站在正常运营吗?如果可能的话，作为电子商务交易的一部分所采集到的个人数据该如何使用？消费者个人信息可以在没有得到其授权的情况下使用吗？
不可否认性和我交易的商家以后是否会否认曾进行过的交易？消费者会否认曾订购的产品吗？
四、保障电子商务信息安全技术性措施
由于电子商务需要依靠网络进行交易的特殊性，在保障电子商务的信息安全中，技术措施是一个很重要的环节。针对电子商务信息安全涉及的信息在存储和传输过程中的问题，可以提出保障电子商务安全的技术性的措施。保障电子商务安全的技术性的措施包括了防火墙技术、入侵检测技术、网络防病毒技术、虚拟专网技术（VPN）、数据加密技术、认证技术、安全协议。
1、防火墙技术
防火墙是指隔离在本地网络与外界网络之间的一道或一组执行策略的防御系统，同时也是保护可信网络、防止黑客通过非可信网络入侵的一种设备，它作为最成熟、最早产品化的网络安全机制，其最初的设计就是防范外部攻击。改进的防火墙技术更可以有效的控制内部和病毒的破坏。防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护的网络向外传送有价值的信息，从而有效保护电子商务信息安全。
2、入侵检测技术
    入侵检测是指发现或确定入侵行为存在或出现的动作，也就是发现、跟踪并记录计算机系统或计算机网络中的非授权行为，或发现并调查系统中可能为试图入侵或病毒感染所带来的异常活动。入侵检测是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全能力，提高了电子商务信息安全的基础结构的完整性。入侵检测被认定是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测。
     3、网络防病毒技术
     网络系统的病毒防护技术，包括五个方面的安全功能：第一，预防计算机病毒侵入网络系统；第二，检测已侵入网络系统的病毒；第三，定位已侵入网络系统的病毒；第四，防止网络系统中病毒的传染；第五，清除网络系统中已经发现的病毒。这五个方面的安全功能加强了电子商务的信息安全。
4、虚拟专网技术（VPN）
     虚拟专网是指在公用网络中建立专用的数据通信网络，它可以在两个系统之间建立安全的通信隧道，使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等，可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全链接，以达到在公共的Internet上或企业局域网之间实现完全的信息交换。目前VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术来有效的保障了电子商务信息的安全。
5、数据加密技术
所谓加密，就是用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。这样，即使别人得到了密文，也无法辨认原文。所以加密可以有效的对抗信息的被拦截，以及像非法访问数据库窃取信息等这类信息窃取活动。
信息传输加密与数据存储加密是网络通信中的主要加密方式。信息传输加密主要是对传输中得你系进行加密，其目的是保护正在网络中的传输的信息的安全。信息传输中的加密方式主要有：链路-链路加密（目的就是保护网络节点之间的链路信息安全）、节点加密（目的就是对源节点到目的节点之间的传输链路提供加密保护）、端-端加密（目的就是对源端用户到目的用户的数据提供加密保护）、ATM网络加密和卫星通信加密五种方式。
加密系统有两种基本的形式：第一、对称加密系统，也称为秘密密钥加密系统。其特点是数据的发送方和接收方使用的是同一把密钥，即把铭文加密成密文把密文解密成明文是同一把密钥；第二、不对称加密系统，也称为公开密钥加密系统。需要采用两个数学上的相关密钥对----公开密钥和私有密钥来对信息进行加密。对信息进行加密解决了传送信息的保密问题，从而有力地保障了电子商务信息的安全。
6、认证技术
在公网上进行交易，要一个第三方的信用认证机构来确认买卖双方的身份，这个机构就是CA（Certification Authentication）。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。CA安全认证系统是用来解决公钥中公开密钥的分发和其合法性检验的问题。CA中心为每个CA的用户发放一个数字证书。数字证书是经过授权中心数字签名的，它包含公开密钥的拥有者信息以及公开密钥的数据文件，相当于用户在网络中的身份证，用来想系统中的其他试题证明自己的身份。最简单的证书包含一个公开密钥、名称以及证书授权汇总心的数字签名的用户基本信息。CA认证中心就是承担网上安全交易认证服务、发放证书并能确认用户身份的服务机构，受理数字证书的申请、签发及对数字证书管理。认证技术确保了电子商务信息安全的完整性。
7、安全协议
(1)安全套接字层协议SSL：一个保证任何安装了安全套接字的客户和服务器之间事务安全的协议，它涉及所有的TCP/IP应用程序。在SSL中，采用了公开密钥和私有密钥两种加密方法，其运行基点是商家对客户信息保密的承诺，但却仅有商家对客户的认证，而缺乏了客户对商家的认证，因此有利于商家而不利于客户。因此SSL协议慢慢被新的SEL协议取代。
（2）安全电子交易协议SET：由VISA公司和MasterCard公司联合开发设计。SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系，它可以对交易各方进行认证，防止商家欺诈。SET协议开销较大，客户、商家、银行都要安装相应软件。SEL协议是电子商务的一个安全框架，它为网上安全支付提供了一种模式，其总体运作效果较之其他安全协议是十分优良的。目前，SEL协议已经成为事实上的工业标准，相信随着其不断的改进，应有很好的发展前景。有了这些安全协议，更加有利于在信息在传递过程中的安全。
五、其他解决电子商务信息安全的措施
在提出保障电子商务安全的技术性的措施初步解决了电子商务信息安全中的信息在存储和传输过程中的问题后，此外还需要从企业以及个人的角度来提出相应的措施来应对企业和个人在电子商务信息安全中的主要问题。其中在企业的管理方面应该规避管理员的管理权限以及加强信息的管理；在个人解决电子商务信息安全方面提高个人的信息安全意识是相当有必要的；在社会的政策与法律方面对信息安全的保障主要有加快网络安全专业人才的培养，强化网络技术创新，开展电子商务立法和信息安全立法。
1、企业管理制度方面解决电子商务信息安全的措施
（1）规避网络管理员权限
网络管理员权限过大一直以来是个很大的信息安全隐患。一旦在电子商务信息安全中出现安全问题，后果不堪设想。针对计算机管理人员权限过大问题可以采用如下措施来降低风险：利用行政管理制度约束网络管理员；加强对服务器中存储的账户、密码以及数据库数据的保密措施；严格掌握数据库中的账户信息及其他需要信息采用加密机制安全策略；在管理上最好采用“双钥”机制。
（2）加强网络信息安全管理
我们都知道，在一个企业中，日常的管理是必不可少的，因为只有这样，才能对企业进行更好的组织和规划，才能有效避免企业像一盘散沙一样不堪一击。那么，同样的在电子商务中这样的庞大的系统中，特别是那些敏感的信息安全问题的管理显得尤为重要，网络信息安全在现在看来可以看成是一项很重要的项目，所以对网络信息安全进行常态化管理会直接提高电子商务的安全性。
2、个人解决电子商务信息安全的措施
提高信息安全意识
纵然我们知道了通过技术手段可以有效来保护电子商务中的信息安全，但是如果没有一定的安全意识，有时也会产生对电子商务不利的影响。如果从事电子商务中的人们仅仅指望技术手段来解决电子商务中的信息安全问题，而不去维护和更新，这势必会因为安全意识薄弱而造成的信息安全问题。有了强烈的安全意识，才不会在出现了信息安全的问题之后才对信息安全很重视，这样就会更加有效的防范电子商务的信息安全问题。
3、社会的政策与法律方面信息安全的保障
（1）加快网络安全专业人才的培养
前面提到要加强对信息安全的管理，而管理必然会需要这一方面的专业人才。在培养网络安全专业人才的做法上，除了要加大对良好的基础合眼教育基地的支持和投入，加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，另外要确保在教高层次上处于主动，加强对内部人员的网络安全培训，防止堡垒从内部攻破。使高素质的人才在高水平的校验环境中迅速成长和提高。
（2）开展电子商务立法和信息安全立法
在传统的商务交易中难免会产生经济纠纷，也会产生违法案件，所以在日常生活中会见到各种各样的关于在经济领域和商业活动的相关法律来解决这些问题。同样的，电子商务也是属于从事商业活动中的一种，它也会产生各种各样的问题，所以在电子商务中立法和在日常生活中同等重要。首先我们要充分吸取和借鉴国外网络信息安全立法的先进经验，结合我国国情对现行法律体系进行修改与补充，使法律体系更加科学和完善；并建立有利于信息安全案件诉讼与公、检、法机关办案制度，提高执法效率和质量。在完善立法的同时，还必须对违犯国家法律法规，对计算机信息存储系统，应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。
（3）强化网络技术创新
众所周知，当今的科学技术的更新很快，一种技术只能在一段时间内起到一定的作用，过一段时间会随着大范围的使用而暴露出一些问题，甚至是漏洞，那么就需要及时的对现有的技术及时的改进和创新以应对可能出现的问题，这就需要强化网络技术创新。可以组织现有信息安全研究、应用的人才在一起进行集中研究在一些我国现在处于薄弱环节的技术比如关键芯片与内核编程技术。另外我们还需要善于利用国内外资源，结合我国的现状来建立具有自己特色的信息安全体系。
六、结论　　信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术，提高电子商务系统的安全性和可靠性。但电子商务的安全运行，仅从技术角度防范远远不够，还必须完善电子商务立法，以规范存在的各类问题，引导和促进我国电子商务快速健康发展。参考文献: 　　[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学，2006 　　[2]唐晓东:电子商务中的信息安全.北京.北方交通大学出版社，2006
[3] 劳帼龄. 《电子商务安全与管理》（第一版）高等教育出版社， 2003，（8）
[4] 肖和阳卢嫣. 《电子商务安全技术》长沙:国防科技大学出版社， 2005.
[5] 姚立新. 《新世纪：电子商务的知识发展与应用》中国发展出版社，1999.
[6] 黄京华. 《电子商务教程》清华大学出版社，2010，（5）.
[7]     《中国电子商务年鉴》高等教育出版社，2003.


上一篇：如何在B2C中提高顾客忠诚度	下一篇：浅议电子商务中的信息安全问题2--..

Tags：电子商务信息安全问题免费论文

【收藏】【返回顶部】