电子商务安全研究新动向班级:商务1002姓名:薛晶晶学号:10122002051.背景介绍随着网络的全面普及和信息技术的不断发展,同时基于互联网的电子商务应运而生,带来了商业和经济模式的变革,这在2006年就早已普遍被经济专家们认为是一个快速发展的新经济增长点。由此看来,电子商务的发展前景十分诱人,但尽管Internet所具有的开放性是电子商务方便快捷、广泛传播的基础,却也在相应程度上使得网上交易面临种种危险。近年来,电子商务的发展速度逐渐放慢,其安全问题是发展的一大瓶颈。例如,网络黑客频传,网络业者人人自危。目前许多最具危害性的计算机犯罪都拥有共同的特点:即绕过密码保护以获得对信息或资金的访问权限。就企业、电子商务而言,最机密的应用、文件及系统则需要更高层次的保护措施。而网络用户的不断增加,对网络的攻击和资源的窃取越来越多,相关的商务机密资源的散失,不可避免地给政府、企业单位带来了不同程度的损失。与此同时,电子商务模式也对管理水平、信息传递技术提出了更高的要求,其中安全体系的构建就显得尤为重要。2.电子商务安全内容说到电子商务的安全,它包括计算机网络安全和商务信息安全两个方面。作为电子商务平台的计算机网络的安全包含计算机物理安全、系统安全、访问控制安全、网络服务安全等;商务信息安全则指在计算机网络安全的基础上,围绕传统商务在Internet上应用时产生的各种问题,实现电子商务的保密性、完整性、身份认证、不可依赖性。商务信息安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与电子商务信息安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务信息安全就犹如空中楼阁,无从谈起。没有商务信息安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。由此,电子商务的过程需要满足一下五方面需求———2.1信息的保密性电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传电子商务建立在一个开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。保密性一般通过密码技术对传输的信息进行加密处理来实现。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。2.2信息的完整性电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致贸易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要的方式来保持信息的完整性。2.3信息的真实性只有信息流、资金流、物流的有效转换,才能保证电子商务的顺利实现,而这一切是以信息的真实性为基础。信息的真实性一方面是指网上交易双方提供信息内容的真实性;另一方面是指网上交易双方身份信息的真实性,即对人或实体的身份进行鉴别,为身份的真实性提供保证,使交易的双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定身份时,鉴别服务将验证其声明的正确性。一般可通过认证机构和证书来实现。2.4信息的不可抵赖性对进行电子商务交易的贸易双方来说,一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。2.5信息的有效性保证电子形式贸易信息的有效性是开展电子商务的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,这对于保证贸易数据在确定的时刻、确定的地点是有效的。3.面临威胁3.1电子商务信息存储安全隐患信息存储安全是指电子商务信息在静态存放中的安全。其信息安全隐患主要包括非授权调用信息和篡改信息内容。企业的Intranet与Internet联接后,电子商务的信息存储安全面临着内部和外部两方面的隐患:(1)内部隐患。主要是企业的用户故意或无意的非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。(2)外部隐患。主要是外部人员私自闯入企业Internet,对电子商务信息故意或无意的非授权调用或增加、删除、修改。而主要来源有竞争对手的恶意闯入、信息间谍的非法闯入以及黑客的骚扰闯入。3.2电子商务信息传输安全隐患信息传输安全是指电子商务运行过程中,物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括窃取商业秘密、攻击网站、网上诈骗、否认发出信息。3.3电子商务交易双方的信息安全隐患电子商务是买卖双方通过Internet的信息流动来实现商品交换的,信息技术手段使不法之徒有机可乘,这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁。3.3.1卖方面临的信息安全威胁例如,假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;信息间谍通过技术手段窃取商业秘密;黑客入侵并攻击服务器,产生大量虚假订单挤占系统资源,令其无法响应正常的业务操作。3.3.2买方面临的信息安全威胁例如,用户身份证明信息被拦截窃用,以致被要求付帐或返还商品;发送的商务信息不完整或被篡改,用户无法收到商品;受虚假广告信息误导购买假冒伪劣商品或被骗钱财;遭黑客破坏,计算机设备发生故障导致信息丢失。4.安全技术机制电子商务的安全体系结构由网络服务层、加密技术层、安全认证层、交易协议层和商务系统层组成。因此,要采取积极的安全防范技术手段就应从每一层着手,相应地将各安全措施映射到对应层次中,可以较好地描述电子商务安全技术体系,进而解决系统结构中的各层安全问题。以下,列举各层的安全技术对策———3.1网络服务层网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等,其中防火墙技术是防范非法攻击的有力措施。其主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制。3.2加密技术层加密层技术中数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,分为对称机密和非对称机密。通过一定的加密算法,利用密钥来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。3.3安全认证层安全认证技术是为了保证电子商务活动中的交易双方身份及其所用文件真实性的必要手段。包括数字摘要、数字签名、数字时间戳、数字证书、认证、智能卡。其中通过数字签名能够实现对原始报文的鉴别和不可否认性;使用数据证书相当于使用在网络通信中标志通信各方身份信息的一系列数据,从而保证信息不被窃取、不被篡改、交易双方的身份确认、发送方的信息不可否认性,电子商务中安全措施的实现主要围绕数字证书展开。3.4交易协议层电子商务的在线支付是通过Internet完成的,必须使用安全协议来保证支付信息传输的安全、交易方的合法身份的确认及支付过程的完整。不同交易协议的复杂性、开销、安全性各不相同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有SET、SSL、iKP等基于信用卡的交易协议,NetCheque等基于支票的交易协议,Digicash、Netcash等基于现金的交易协议等。电子邮件是Internet上进行电子商务的一大重要信息传输手段,因此必须有电子邮件的安全协议以保证商务信息的完整与安全。在国际上,电子商务的安全机制正在走向成熟,并逐渐形成了一些国际规范,比较有代表性的有SSL协议和安全电子交易规范(SET),还有安全超文本传输协议(HTTP)、、有线等效加密协议(WEP)等。3.5商务系统层电子商务系统层包括B2C、B2B等电子商务应用系统模式,因此针对不同系统,采取相应不同的安全策略。虽然每种技术都旨在加强某一方面的信息安全,包括限制访问或防止机密数据被截获,但没有一种技术的设计目标是解决最具危害性的信息犯罪的基本安全问题。而使用身份认证技术特别是强大的双因素身份认证系统替代基本的密码安全机制,才能够解决由密码泄露导致的入侵问题。因此,双因素身份认证系统将成为网络信息安全市场新一轮焦点和新的趋势。同时,除技术问题外,电子商务的信息安全还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的完善。这些课题的研究不仅具有重要的理论价值和实用价值,而且对于推动电子商务的发展具有重要的现实意义。5.总结国内外电子商务安全研究现状世界各国对电子商务安全问题研究的发展是相当重视的,特别是电子商务安全方面普遍存在标准先行的情况。如美国政府很早就致力于秘密技术的标准化,从1977年公布的数据加密DES开始,就由美国国家标准技术研究院制定了一系列有关秘密技术的联邦信息处理标准,在技术规范的前提下对密码产品进行严格的检验。1998年7月1日,在美国政府发布的美国电子商务纲要中,明确提出要建立一些共同的标准,以确保网上购物的消费者享有与在商店购物的消费者同等权利。韩国一些主要的电子设备公司也建立联盟,签署联合协议,规定在2000年制订出整个的电子商务标准。国际范围内电子商务标准有以下发展动态:5.1成立机构电子商务业务工作组为了迎接电子商务给全球带来的基于和挑战,使之在全球范围内更有序地发展,1997年6月,ISO/IECJTCI成立了“电子商务业务工作组(BT-EC)”,其确定了电子商务急需建立标准的三个领域,即用户接口、基本功能和数据及客体的定义与编码。5.2签署文件电子商务标准化理解备忘录ISO、IEC和UN/ECE(联合国欧洲经济委员会)共同致力于电子商务的标准化工作。陈签署了“理解备忘录”,就EDI、开放式EDI及有关贸易单证标准领域进行合作。1998年11月三者又签署了一个电子商务领域有关标准化的“理解备忘录”。该备忘录包括总体部分、三个附录及上述的,扩充了以前的合作框架,扩展了各部门之间的电子商务,增加了国际用户团的参与,以确保它们的标准化要求得到满足。作为国际用户团的参加者有CALS(持续采办和全寿命支持,世界性的非政府组织,制定国际工业组织之间电子商务的标准要求)及NATOCALS组织(NATO为北大西洋公约组织的缩写)。国际用户团参与者必须满足”理解备忘录”中关于国际用户团注册规定的具体内容,而且它们的参与必须在标准化组织之间相互达成协定的基础上。”理解备忘录”提供了21世纪电子商务发展的有效基础,是国际合作的极好范例。6.研究发展趋势网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。就目前电子商务发展的势头看,电子商务安全问题研究的有以下发展趋势:6.1政府越来越高度重视电子商务安全问题研究。由于电子商务安全与国家安全密切相关,涉及社会政治稳定,经济、金融的稳定等。因此,政府高层及其职能部门空前重视电子商务安全研究问题,将有关问题列入国家宏观发展战略之中,充分发挥国家的整体优势,在政策上积极引导、重点支持,同时加大经费投入的力度,在人、财、物等全方