商务安全论文第1篇

关键词：电子商务信息安全安全技术

伴随经济的迅猛发展，电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势，必须保证电子商务中信息交流的安全。

一、电子商务的信息安全问题

电子商务信息安全问题主要有：

1.信息的截获和窃取：如果采用加密措施不够，攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据，获取机密信息或通过对信息流量、流向、通信频度和长度分析，推测出有用信息。2.信息的篡改：当攻击者熟悉网络信息格式后，通过技术手段对网络传输信息中途修改并发往目的地，破坏信息完整性。3.信息假冒：当攻击者掌握网络信息数据规律或解密商务信息后，假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖：交易抵赖包括多方面，如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。

二、信息安全要求

电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:

1.信息保密性：维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中，要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性：贸易各方信息的完整性是电子商务应用的基础，影响到交易和经营策略。要保证网络上传输的信息不被篡改，预防对信息随意生成、修改和删除，防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性：保证信息有效性是开展电子商务前提，关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防，以保证贸易数据在确定时刻和地点有效。4.信息可靠性：确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁，通过控制与预防确保系统安全可靠。

三、信息安全技术

1.防火墙技术。防火墙在网络间建立安全屏障，根据指定策略对数据过滤、分析和审计，并对各种攻击提供防范。安全策略有两条：一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流，再审查要求通过信息，符合条件就通过；二是“凡是未被禁止就是允许”。防火墙先转发所有信息，然后逐项剔除有害内容。

防火墙技术主要有：(1)包过滤技术：在网络层根据系统设定的安全策略决定是否让数据包通过，核心是安全策略即过滤算法设计。(2)服务技术：提供应用层服务控制，起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术：在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术：把过滤和服务两种方法结合形成新防火墙，所用主机称为堡垒主机，提供服务。(5)审计技术：通过对网络上发生的访问进程记录和产生日志，对日志统计分析，对资源使用情况分析，对异常现象跟踪监视。(6)路由器加密技术：加密路由器对通过路由器的信息流加密和压缩，再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全，确认交易双方的真实身份，电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有：(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开；得到公开密钥的贸易方乙对信息加密后再发给贸易方甲：贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方，保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹，有固定长度且不同明文摘要成密文结果不同，而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点：一是因为自己签名难以否认，从而确认文件已签署；二是因为签名不易仿冒，从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容，数字时间戳服务能提供电子文件发表时间的安全保护。

3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识，用电子手段证实用户身份及对网络资源的访问权限，可控制被查看的数据库，提高总体保密性。交易支付过程中，参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放，都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构，受理数字证书的申请、签发及对数字证书管理。

4.防病毒技术。(1)预防病毒技术，通过自身常驻系统内存，优先获取系统控制权，监视系统中是否有病毒，阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术，通过对计算机病毒特征进行判断的侦测技术，如自身校验、关键字、文件长度变化。(3)消除病毒技术，通过对计算机病毒分析，开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度，可以清除处于潜伏期的病毒，防止病毒突然爆发，使计算机始终处于良好工作状态。

四、结语

信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术，提高电子商务系统的安全性和可靠性。但电子商务的安全运行，仅从技术角度防范远远不够，还必须完善电子商务立法，以规范存在的各类问题，引导和促进我国电子商务快速健康发展。

参考文献:

[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006

商务安全论文第2篇

信息安全和计算机网络安全的安全需求主要包括完整性、保密性、一致性、真实性和不可否认性。在电子商务实际应用中主要包括如何防范商业企业机密泄露及个人信息的泄露等问题。电子商务系统必须基于信息安全基础上并达到电子商务安全的要求的网络商务系统。必须有计算机网络安全，才能保证电子商务最低层的信息服务，计算机网络层是用户将信息传输到上层的基础及用户与计算机网络接入的基本交互式服务手段。网络服务层必须有相关安全机制，如：入侵检测、安全扫描、防火墙等来保证计算机网络的安全。另外，为了在应用层电子商务系统使用安全，必须利用网络加密技术和数字认证技术和电子商务安全协议，即构建安全的电子交易数据体系结构。其中，电子商务安全协议是加密技术和安全认证的综合运用和完善。电子商务应用系统应具有较高的安全性能指标，用户对所信赖的电子商务安全肯定具有很高的可靠性和可用性。在人才培养是就需考虑建立一个完善的基于信息安全核心能力提升的人才培养模式，形成一个电子商务安全知识体系，在考虑如何达到课程目标的同时也要考虑如何满足电子商务应用人才的实际需求。在信息安全基础上电子商务的安全内容主要包括计算机网络服务层、技术加密层、身份认证技术层、电子商务安全层、安全应用层。其中，上层主要以下层为基础的服务，同时下层为上层提供技术支持，整个内容之间相互关联的整体，并且在不同的信息安全技术控制下实现电子商务的安全模式。

2电子商务安全教学方法改革

目前电子商务安全课程在教学过程中，学生对教材的知识缺乏主动理解和接受，学习的兴趣和主动性不高。因此要对现有以教学大纲为主要目标的方法进行改革，能让学生融会贯通理论知识，主动思考问题，具有理解分析解决实际问题能力。本文提出电子商务安全课程在课堂讲授的进行：教师准备阶段，学生准备阶段，小组讨论阶段、集中讨论阶段和总结阶段。主要目的是使老师和学生在课堂上有较大的自我发挥空间。在教学法的五个阶段中，教师准备阶段和学生预备阶段是教学法中最为关键的环节。教师准备阶段：教师准备是教学的第一环节，也是为明确教学目而准备，是有序进行教学组织与设计的基础。明确教学目标后，就应选择合适教学背景，教学背景应且具有高启发性素材，并且满足教学目标切合实际的教学案例。对选择的教学案例或素材还需要对及进行典型化处理，最后准备在课堂上提出让学生思考的问题，引导介绍学生学习相关资料。学生预备阶段：课前让学生阅读典型化处理相关学习资料，老师指导学生查阅相关学习资料，让学生课前主动准备课堂讲授知识的信息，对老师提出的思考问题要求学生独立思考并形成初步的解决方法。小组讨论阶段：首先根据学生人数将学生分为3到5人小组，然后在小组范围内自行组织讨论，再确定小组成员的任务分工，最后形成小组在课堂上展示方案。课堂展示阶段：在时间控制在半个课时以内前提条件下各小组派代表对问题解决方案进行展示，其他小组对解决方法进行互动式提问和回答，这个过程需要教师加以正确引导。老师总结阶段：老师总结出意见比较集中的问题，针对重点问题组织大家集中讨论，并提出引导性建议扩展深化学生对有疑虑问题的理解。

3电子商务安全课程实践

传统的电子商务安全课程教学是以理论知识为中心的教育体系，对实践操作课程和技能的要求不高，很可能会导致学生在毕业后难以适应工作的要求，在现行教育模式中，用人单位也很难选择到合格的专业技术人才。为此，本课题对信息安全专业开设的电子商务安全课程特点及开发合适的教学模式，尤其是如何建立创新性实践教学体系进行了研究，以教学目标为指导、以社会需求为导向，开发以学生就业为宗旨的高技能型人才培养模式，根据电子商务安全课程特点，将信息安全未来发展的创新技术运用到电子商务安全教学方法中，建立较为全面的以人才培养目标为基础的创新环境和教学模式。另外，本课程实践教学内容的要求是让学生对电子商务安全和信息安全的理论和实践联系建立一个全面的知识结构。通过实践环节设置，让学生了解电子商务安全加密技术及使用技能；了解电子商务邮件和数字签名的联系及作用；熟练掌握电子商务安全协议的设置；掌握PKI的应用及数字证书的申请、安装和使用流程；熟悉基本的电子支付工具的使用。本课程的为实现实践培养目标对实验教学进行合理的安排。

4结论

商务安全论文第3篇

摘要：本文从行业诚信和安全技术两个角度，分析了我们电子商务发展所面临的问题，提出了提高全民诚信素质教育，加快相关法律法规建设，建立完善的信用体系，以及采用先进的安全技术，促进我国电子商务的健康发展。 关键词：电子商务，行业诚信 ，安全技术 1引言 诚信问题和安全问题成为影响我国电子商务发展的瓶颈。首先，在电子商务领域企业、消费者、银行等任何一方诚信缺失，交易就不能顺利实施。电子商务的行业诚信需要政府、企业、社会等各界共同努力。再次，针对电子商务的各种安全要素，采用相应的安全技术，将用力的保障电子商务的交易各方的安全。

2电子商务诚信缺失的原因与表现

2.1 我国诚信基础薄弱，电子商务交易社会信任度低

电子商务参与者的诚信观念、规则意识不强。电子商务作为不见面的交易模式，难以得到消费者的认同，而“无商不奸”的观念在人们的思想中根深蒂固，这是电子商务发展的心理障碍。

2.2 社会信用体制尚未完全建立，电子商务难于运营

电子商务贸易内的信用评级还完全属于行业和个人行为，还没有得到政府的支持和认可，所以评级中介机构、评级依据都未得到法律认同，从而评级也就没有法律效力。

2.3 商业秘密和客户隐私得不到保护

网络具有公开性，商家和消费者的个体信息在未征得同意时不得公开，否则将构成对隐私权的侵犯。而目前很多商业性网站并不注重对客户信息的保护，商业秘密和隐私随时可能受到侵犯，且难以获得有效的法律救济。

另外，还有网络诈骗、商品质量低劣、不履行服务承诺等一系列诚信缺失的表现。

3电子商务的诚信建设

3.1 加大诚信建设和教育，提高全民诚信素质

倡导诚信观念，提高社会公德和全民诚信素质，形成诚实守信的社会环境，促进电子商务的发展。

3.2 健全相关法律、法规和制度的建设

法律、法规作为诚信的最后一道保障，不仅能打击违法行为，维护消费者的合法权益，也能营造良好的社会诚信环境，促进电子商务的繁荣发展。根据电子商务的环境和交易特点，建立电子交易法律和制度、电子支付制度、信用卡制度等。

3.3 完善信用体系建设

(1)建立电子商务信用模式。电子商务的信用模式主要是指电子商务企业(网站)通过制定和实施确定交易规则，为电子商务交易的当事人建立一个公平、公正的平台，以确保电子商务交易的安全可靠。其基础性设施主要体现在资格认证和信用认证。

(2)加强行业自律。电子商务行业应当反对采用一切不正当手段进行行业内竞争，自觉维护用户的合法权益，保守用户信息秘密。

(3)建立在线信用信息数据库。政府有关部门要尽早建立跨区域的在线信用信息数据库，通过提供信用查询、公示企业守信或诚信信息、受理信用的投诉、受理信用的异议等服务，来营造电子商务信用环境。

另外，还要增强政府引导与管理能力，促进中国电子商务诚信联盟的发展。可以营造良好的电子商务诚信环境。

4 电子商务的安全要素与安全技术

实现电子商务的关键是要保证商务活动过程中系统的安全性，从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，电子商务交易双方都面临安全威胁。这些安全因素包含：信息有效性、真实性;信息机密性;信息完整性;信息可靠性、不可抵赖性和可鉴别性。;

4.1 电子商务的安全技术

(1)数据加密技术

加密技术用于网络安全通常有二种形式，即面向网络或面向应用服务，可分为：对称密钥密码算法、不对称型加密算法、不可逆加密算法三种。电子商务领域常用的加密技术有数字摘要、数字签名、数字时间戳、数字证书等。

(2)与电子商务安全有关的协议技术

SSL协议(安全套接层协议)，主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输。从目前实际使用的情况来看，SSL还是人们最信赖的协议，但是SSL并不能协调各方间的安全传输和信任关系;还有，购货时用户要输入通信地址，这样将可能使得用户收到大量垃圾信件。

SET协议(安全电子交易)，由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构，共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准，它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性，是目前公认的信用卡/借记卡的网上交易的国际安全标准。

(3)身份认证技术

在电子交易中，无论是数字时间戳服务还是数字证书的发放，都不是靠交易的自己能完成的，而需要有一个具有权威性和公正性的第三方来完成。认证中心就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。

4.2网上支付平台及支付网关

网上支付平台分为CTEC支付体系和SET支付体系。网上支付平台支付型电子商务业务提供各种支付手段，包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。支付网关位于公网和传统的银行网络之间，主要完成通信、协议转换和数据加解密功能，并且可以保护银行内部网络。此外，支付网关还具有密钥保护和证书管理等其它功能。

5小结

本文分析了目前电子商务领域所面临的诚信危机与安全威胁，指出要将行业诚信、政府监管、国家立法、安全技术等多方面相结合，从而保障电子商务的安全运行，引导和促进我国电子商务快速健康发展。

[3]梁露，电子商务网站建设与实践[M]，北京：人民邮电出版社，2008:180-182

[4]方真，电子商务必须完善诚信机制[J]，中国电子商务，2004年02期

商务安全论文第4篇

论文摘要：电子商务安全问题已成为制约电子商务发展的重要问题，安全问题包括电子商务交易安全、计算机网络安全等显性的问题，还包括管理、法律和标准等方面的隐性问题。通过对电子商务安全体系的分析，研究电子商务安全策略，建立一个安全电子商务环境，将促进电子商务健康快速地发展。

电子商务是一个跨国界，跨地区，跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突，不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本，从各主体的角度思考，综合协调了各个市场主体的行为，从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益，它为实现电子商务提供了统一的基础平台和安全屏障。

一、电子商务安全技术保障策略

安全技术保障技术是电子商务安全体系中的基本策略，目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种：

1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换，变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。

2.身份验证技术。电子商务主体向系统证明自己身份，并由系统查核该主体的过程，是确认真实有效身份的重要环节，这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。

3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认，防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。

4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类：分组过滤、应用、电路网关。

二、企业电子商务安全运营管理制度保障策略

企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定，是保证企业取得电子商务成功的基础，是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度，保密制度，跟踪审计制度，系统维护制度、数据备份制度等。

1.人员管理制度人员管理制度主要从人员的选拔，工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。

2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密，这些方面都是需要很好地划分信息安全级别，并确定安全防范重点，提出相应的保密措施。

3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制，来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核，及时发现对系统有安全隐患的记录，监控各种安全事故，维护和管理系统日志。

4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护，硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修；软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。

5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储，定期为重要信息备份、系统设备备份，并定期更新，以减少安全事故发生时造成的损失。

三、电子商务立法策略

电子商务安全得到法律保障，首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。

1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍；消除现有法律适用上的不确定性，保护合理的商业行为，保障电子交易安全；建立一个清晰的法律框架以统一调整电子商务的健康发展。

2.立法范围电子商务安全方面需要的法律法规主要有：市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法，知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等；电子商务调整的对象是电子商务中的各种社会关系。[3.立法途径电子商务法律仍然是调整社会关系，所以应当继承传统立法的合理内核，尤其是基础价值观。具体的立法途径主要是两种：第一是制定新的法律规范。对于传统法律没有规定的，即由电子商务带来的新的社会关系，应尽快制定法律规范；第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确，或与电子商务新型社会关系有冲突甚至存在缺欠的，可以修改或重新解释既定的法律规范。

四、政府监督管理策略

电子商务本质是一种市场运作模式，市场的正常健康有序地发展，必须有政府宏观上的监督与管理，以协调和规范各市场主体的行为，宏观监督与管理电子商务运行中的安全保障体系。

1.计算机信息系统安全管理计算机信息系统，是指“由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度，计算机系统使用单位安全负责制度，计算机案件强行报告制度，计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护，有利于保障国家的安全和社会安定，促进电子商务的安全交易过程，有利电子商务的健康发展。

2.网络广告和网络服务业管理由于网络的开放性，自由性等特征决定了网络广告监管的难度，虚假广告、广告充斥着网络空间，网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手：第一，网络广告组织的管理，必须对网站广告经营主体资格进行管制，第二，规范网络广告内容，确保广告内容的真实性、合法性和科学性。第三，需要有具体的广告审查管制、评估与监测部门。

国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》，其中提出了详细具体的限制条件。但是，网络飞速发展，面对网络中的新问题，还必须进一步深入全面地研究。

3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构，对电子商务交易活动顺利进行，电子商务活动中交易参与各方身份和信息认定，维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督；同时，还要针对其资产和财务状况定期审查，以免发生财务危机，对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。

4.加强社会信用道德建设，构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的，在我国尤其严重，甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式，必然存在不少漏洞，这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施，更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律，充分利用网络新闻舆论监督，消费者舆论监督和行业协会的管理监督。

五、结束语

电子商务安全不仅涉及到电子商务公司、企业、消费者的利益，而且更加广泛地涉及经济、政治、国防、文化等诸多方面，关系到国家的安全、和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈，只有解决了电子商务安全，保障了市场主体的利益，才能得到网络用户的认可和参与，电子商务自身也才能得到快速、健康地发展。

参考文献

[1]林宁，吴志刚.我国信息安全技术标准化现状[J].中国标准化，2007（4）

[2]胡艳春.电子商务网站建设中的安全问题研究[J].商场现代化，2006，（10）

商务安全论文第5篇

论文摘要：随着互联网技术的蓬勃发展，基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂，然而由于互联网的开放性，网络安全问题日益成为制约电子商务发展的一个关键性问题。

一、电子商务网络信息安全存在的问题

电子商务的前提是信息的安全性保障，信息安全，胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:

1、网络信息安全方面

(l)安全协议问题。目前安全协议还没有全球性的标准和规范，相对制约了国际性的商务活动。此外，在安全管理方面还存在很大隐患，普遍难以抵御黑客的攻击。

(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介，不少新病毒直接以网络作为自己的传播途径，在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。

(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心，所以服务器特别容易受到安全的威胁，并且一旦出现安全问题，造成的后果会非常严重。

2、电子商务交易方面

(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台，在这个平台上交易双方是不需要见面的，因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息，仿冒合法用户的身份与他人进行交易。

(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。

(3)交易的修改问题。交易文件是不可修改的，否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改，以保证商务交易的严肃和公正。

二、电子商务中的网络信息安全对策

1、电子商务网络安全的技术对策

(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证，应用数字签名可在电子商务中安全，方便地实现在线支付，而数据传输的安全性、完整性，身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流，提供接人控制和审查跟踪，是一种访问控制机制。在逻辑，防火墙是一个分离器、限制器，能有效监控内部网和工nternet之间的任何活动，保证内部网络的安全。

(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地，对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点，全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说，应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。

2、电子商务网络安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑，根据轻重程度划分好不同的保密级别，并制定出相应的保密措施。

(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证，应由专职网络管理技术人员承担，为安全起见，其他任何人不得介人，主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。

(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性，除了安装防病毒软件之外，还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外，还可将网络系统中易感染病毒的文件属性、权限加以限制，断绝病毒人侵的渠道，从而达预防的目的。

(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统，应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份，通过以土保护措施可为系统数据安全提供双保险。

三、电子商务的网络安全体系结构

电子商务的网络信息安全不仅与技术有关，更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:

1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性，保证其可靠哇和为系统提供基础性作用的安全机制。

2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制，系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。

3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。

4.电子商务网络安全的立法保障。结合我国实际，借鉴国外先进网络信息安全立法、执法经验，完善现行的网络安全法律体系。

商务安全论文第6篇

[关键词]互联网;电子商务;系统安全;数据安全;网络系统

一、前言

近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。

从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。

二、电子商务网站的安全控制

电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。

下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。

(一)系统安全

在电子商务中,网络安全一般包括以下两个方面:

1.信息保密的安全

交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

2.交易者身份的安全

网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。

对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。

(1)网络系统

网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:

网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。

系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。

访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。

身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。

安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。

(2)操作系统

操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。

应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。

系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。

(3)应用系统

办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。

文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。

业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。

(二)数据安全

数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。

数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。

数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。

(三)网络交易平台的安全

网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。

交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。

交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。

交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。

随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。

PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。

三、目前信息安全的研究方向

从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。

安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。

目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。

四、结束语

电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。

参考文献:

[1]佚名.解析电子商务安全[EB/OL]./it386/dnwl/,2006-07-25.

[2]佚名.网络构建与维护[EB/OL].chinaec-/second/network.php,2006-07-16.

[3]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.

商务安全论文第7篇

1.电子商务与移动电子商务概念

电子商务（ElectronicCommerce，简称E-commerce）是在因特网开放的网络环境下，基于浏览器或服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付，以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。

移动电子商务(M-Commerce)，它由电子商务(E-Commerce)的概念衍生出来，是通过手机、PDA（个人数字助理）、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务：PIM（个人信息服务）、银行业务、交易、购物、基于位置的服务、娱乐等。移动电子商务因其快捷方便、无所不在的特点，已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间，真正解决做生意的问题。

截至2008年4月，中国移动电话用户合计5.84亿，移动电话用户数与固定电话用户数的差距拉大到2.24亿户，移动电话用户在电话用户总数中所占的比重达到61.9%。移动电话普及率已达41.6%。

移动电子商务与传统的主要通过桌面电脑网络平台而运行和开展的电子商务相比，拥有更为广泛的潜在用户基础。当前，中国互联网用户虽然已经超过2亿，但同时手机用户却相比多了3亿多用户，此外根据资料还有数量庞大的PDA用户群，因此，移动电子商务具有比非移动电子商务更为广阔的市场前景。

2.移动电子商务信息系统安全概念

移动电子商务信息系统安全问题是动态发展的，如防范病毒的措施，往往不可能一次成功更不可能一劳永逸。由于移动电子商务信息系统是以移动通信网络与计算机网络共同构建的平台为商务活动平台，因此它不可避免面临着一系列的由移动通讯网络和计算机网络相关的安全问题。移动电子商务给商务活动带来了诸多便利，如缩短了商务活动时间、降低了商务成本、提高了响应市场的效率等等。计算机网络为主体的有线网络安全的技术手段并不能完全适用于无线的移动网络环境，由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序，因此，有效抵制手机病毒的防护软件目前还不是很成熟。

3.移动电子商务信息系统安全类型

移动电子商务信息系统安全威胁种类繁多，可以有多种可能的潜在面，既有蓄意违法而致的威胁；也有无意疏忽造成的安全漏洞。另外还有如：非法使用移动终端、移动通讯公司工作人员不慎泄露客户信息而致、窃听等均有可能导致不同程度和后果的移动电子商务安全威胁。大体我们可以分为以下几个情况：

第一，移动通讯网络本身导致重要商务信息外泄：移动无线信道是一个开放性的信道，它给移动无线用户带来通讯的自由和灵活性的同时，同时也伴随着很多不安全因素：如通讯双方商务内容容易被窃听、通讯双方的身份容易被假冒，以及通讯内容容易被篡改等。在移动无线通讯过程中，所有通讯内容（如：通话信息，身份信息，数据信息等）都是通过移动无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取移动无线信道上传输的内容。这对于移动无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。在移动电子商务信息系统中商业机密的泄漏表现，主要有两个方面：商务活动双方进行商务活动的核心机密内容被第三方意外获得或窃取;交易一方提供给另一方使用的商务文件被第三方非正常使用。

第二，移动通讯设备传播的病毒的侵犯：病毒是目前威胁移动电子商务用户的主要因素之一，随着移动网络应用的深入扩展，移动电子商务的规模愈趋增大，移动电子商务用户也越来越多地面临着各类病毒黑客攻击风险。与病毒齐名的是黑客侵扰和攻击，由于各种网络黑客应用软件工具的传播，黑客与黑客行为己经大众化了，他们利用操作系统和网络的漏洞、缺陷，从网络的外部非法侵入，进行侵扰和不法行为，对移动电子商务安全造成很大隐患。

第三，移动通讯网路漫游而致的威胁：无线网路中的危害安全者不需要寻找攻击对象，攻击对象在某种条件下会漫游到攻击者所在的小区。在终端用户不知情的情况下，信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险，没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立，使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书,攻击者可以利用该漏洞来获利。

第四，垃圾信息（或称垃圾短信）：在移动通讯系统及设备带给广大人们便利和效率的同时，也带来了很多烦恼，其中尤其难以控制的就是铺天盖地而来的垃圾短信广告打扰着我们的生活、工作和学习。在移动用户进行商业交易时，会把手机号码留给对方。有的移动用户喜欢把手机号码公布在网上。这些都是其他公司获取大量手机用户号码的渠道所在。垃圾短信使得人们对移动电子商务充满不信任和反感，而不敢在网络上使用自己的移动设备从事商务活动。

二、提升移动电子商务信息系统安全的趋势与必然性

1.移动商务是电子商务发展的必然趋势

在未来几年中，伴随着无线网络的日益普及，移动计算设备将变得很普及。计算机技术和无线技术的结合将成为最终趋势，电子商务也将向移动商务过渡。中国在电子商务的发展方面要落后于发达国家，但随着观念的改变和技术的进步，中国越来越多地参与到世界经济发展的各个环节。中国要想在商务模式变革的过程中取得成功，关键是要准确分析市场趋势并把握市场先机。移动商务中关键的一点以用户为中心，如果能成功把握住移动个性化方面的市场先机，则完全有可能成为移动商务的规则制订者，从而摆脱以往的模仿。

2.我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性

2007年，全国电话用户新增8389.1万户，总数突破9亿户，达到91273.4万户。移

动电话用户在电话用户总数中所占的比重达到60.0%，移动电话用户与固定电话用户的差距拉大到18183.8万户。

2007年12月中国互联网络信息中心（CNNIC）《第21次中国互联网络发展状况统计报告》。报告显示，截至2007年底，我国网民人数达到了2.1亿，占中国人口总数的16%。调查反映出基于网络的商务安全问题，调查网民对互联网最反感的方面是：网络病毒29.8%，网络入侵或攻击（有木马）17.3%等。可以说我国2亿多网民在网络上，信息安全问题是比较普遍的，因此，我国高速发展的互联网络客观上也要求提升商务信息系统安全。

美国安全软件公司McAfee2008年公布的最新调查结果显示，虽然手机病毒和攻击现在还不普遍，但随着越来越多的用户通过手机访问互联网和下载文件，手机病毒出现的概率将越来越大。McAfee公司公布的调查结果显示，只有2.1%的被调查者曾经自己遭遇手机病毒，而听说过其他手机用户遭遇病毒的被调查者也只有11.6%。McAfee在英国、美国和日本共调查了2000名手机用户，结果发现86.3%的用户对于手机病毒没有任何概念。

当前我国移动用户数保持世界第一，网民数为世界第二，我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性。

3.利用加密函数技术加强和完善高效高安全性的移动电子商务信息系统

在这个网络互联技术、移动通讯技术告诉前行的时代，信息安全尤其是电子商务信息的保密工作变得越来越至关重要，这无疑给密码学的研究带来了巨大推动。为提高移动通讯网络与互联网为平台的移动电子商务服务质量，维护移动电子商务信息提供者的权益，信息安全越来越得到人们的关注。笔者认为，研究布尔函数各种性质，特别是研究对抵抗相关攻击的相关免疫函数类、抗线性分析的Hent函数与Hash函数，无疑是具有很强的现实意义的。

(1)Hash函数加密技术概述及应用

Hash函数加密技术主要用于信息安全领域中加密算法，它能把一些不同长度的信息转化成杂乱的128位的编码里，叫做HASH值。Hash就是为了找到一种数据内容和数据存放地址之间的映射关系密码学上的Hash函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。Hash函数可用于数字签名、消息的完整性检测、消息的起源认证检测等。安全的Hash函数的存在性依赖于单项函数的存在性。Hash算法被普遍应用于数字安全的几乎所有方面，如登录办公室局域网、进入个人邮箱和安全页面都要用它来保护用户的密码；电子签名系统利用它来认证客户及其发来的信息。

(2)bent函数加密技术概述及应用

在密码学中，为了抵抗最佳线性逼近，人们引人了Bent函数的概念，bent函数具有最高非线性度，在密码、编码理论等方面理论中有着重要应用，因而成为当前密码学界研究信息安全保密技术的热点。对Bent函数的构造可以分为间接构造和直接构造。直接构造方法主要有2种：一种是MM类；另一种是PS类，这两种属于直接构造方法。bent函数具有最高的非线性度，但它的相关免疫阶为0，为了使bent具有更好的密码学性质和实际应用价值，学者们提出了bent函数的变种，如Hyper-bent，Semi-bent等。

总之，移动电子商务信息系统安全是个多角度、多因素、多学科的问题，它不单要求从保密安全技术方面，同时也要求我们从技术之外的社会等因素考虑解决。

参考文献：

[1]赵永刚:解析“三角经营商法”[J].商场现代化,2004(15)

[2]姬志刚:计算机、网络与信息社会.科技咨询导报[J].2006(20)

[3]邱显杰:关于Bent函数的研究.湘潭大学[D],2002

[4]戴方虎等:Internet的移动访问技术研究.计算机科学，2000（3）

[5]肖皇培张国基:基于Hash函数的报文鉴别方法[J].计算机工程,2007,(06)

[6]苏桂平刘争春吕述望:Hash函数在信息安全中随机序列发生器中的应用[J].计算机工程与应用,2005,(11)

商务安全论文第8篇

[论文摘要]在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。

在电子商务中，网上交易的支付问题的安全性问题越来越突出，为确保顾客在购买东西的时候不会钱财两空，一种新的支付方式——第三方支付出现了，第三方支付平台的出现解决了电子商务的瓶颈——网上支付信用与安全问题,充当商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的疑虑，提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。

那么，第三方支付具体指的是什么呢？所谓第三方支付，是指为了保障电子商务的支付安全，支付通过买卖双方之间完全中立的一家企业来完成。用E-mail来进行网上支付；打个电话报上信用卡号就能预订机票；用手机上网交水费电费游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”（信用卡）的今天，网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。

近日，有媒体报道，有网民利用三方支付工具从信用卡套现。就此，该文进而对第三方支付的安全性问题提出质疑，认为电子支付有可能被金融犯罪分子所利用，充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围内的小概率事件，也不提所谓的套现行为是否缘于第三方支付的安全漏洞，单就所谓洗钱的担心而论，可以说，该文是严重低估了央行以及各商业银行的风险控制能力，也大大低估了各大第三方支付公司的风险把控能力。

实际情况是，早在1996年4月1日，中国人民银行就颁布并实施了《信用卡业务管理办法》，其中明确规定，持卡人不允许利用信用卡套取现金以及恶意透支。对于信用卡套现这个问题，不光招商银行等商业银行关注有加，第三方支付公司支付宝、贝宝等亦是小心翼翼，如履薄冰，先后出台了多项严格的风险控制系统，协助银行解决问题。

在如何对待信用卡套现的问题上，国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。

例如，PAYPAL(贝宝)在防止盗号、提供密码加密以及减少信用卡套现等方面，已经配合银行做了大量工作;快钱除了从技术手段上防范盗卡之外，还在安全方面加设了用户的认证系统等六道功能，试图将安全隐患压低到最小程度。

作为国内最大的第三方支付平台，支付宝的做法就更为完备。早在2006年7月，支付宝就推出“支付宝认证”服务，对所有使用支付宝的卖家进行双重身份认证，即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪，支付宝还与各大商业银行进行合作，利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确，摒弃了某些购物网站仅凭一个手机号码或者身份证号码进行简单认证的模式。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金，网络欺诈发生率仅为万分之二。

为了保证支付宝的安全性，支付宝技术团队还自发研制了数字证书，其安全性能得到各银行认同。相对于目前国内所有第三方认证公司采用的认证形式，支付宝的数字证书从技术上摆脱了普通6位密码验证，改以1024位加密的数字签名技术，因而更为安全。而数字密码的惟一性，也更有助于客户身份的识别。

央行的《电子支付指引》规定，银行通过互联网为个人客户办理电子支付业务，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币，并规定信用卡的网上支付不得超过提现额度。国内目前没有一家银行和任何一家网上支付公司允许网上“单日支付额度由信用卡额度决定”。在这方面，支付宝也早已主动和和很多发卡银行联手，针对套现现象做了信用卡网上支付单笔限额的规定，例如，招商银行的信用卡支付限制的是单笔最高限额499元。为了保证支付宝的安全性，支付宝还有CTU风险控制系统来随时扫描和监控交易的进行，防范可能存在的盗卡及套现行为。

实际上，从2006年5月开始，支付宝就已委托中国工商银行对支付宝公司开立在各家银行的客户交易保证金账户的余额进行核查，工行并定期出具《支付宝客户交易保证金托管报告》。这是中国银行界第一次为第三方支付平台做资金托管的审核报告，也是当前唯一银行愿意托管的第三方支付平台。2006年12月8日，从工行对11月1日～11月30日期间所有发生的支付宝公司的客户提现及余额支付进行的抽查情况看，支付宝存放在各家银行的客户交易保证金余额总和等于支付宝客户存放在贵公司的资金余额与待处理款、未达款余额之和，报告期间内未发现支付宝客户交易保证金被挪用情况。

值得一提的是，截至目前工行、农行都已经开始把以支付宝为主的阿里巴巴中小企业信用体系作为他们给中小企业贷款的一个衡量指标;而浦东发展银行等也看到了里面的巨大商机纷纷加入。

商务安全论文第9篇

关键词：电子商务；网络；安全技术

近年来，计算机网络与信息技术的迅速发展，带动了电子商务行业的推广。电子商务活动触伸到生活的各个领域，例如虚拟企业、虚拟银行、网上购物、网络营销、网络支付以及网络广告等一些新的业务正在被人们所熟悉和认同。电子商务改变了传统商务的运作模式，作为一种全新的商业应用模式，极大地提高了工作效率，同时降低了交易成本。但是，由于互联网的开放性和天然的脆弱性，网络安全问题成为制约着电子商务发展的瓶颈。所以，搭建一个安全可靠的商务平台，成为电子商务发展的关键问题。

一、电子商务面临的安全问题

电子商务活动中有大量的数据需要传输与存储，数据传输依靠互联网技术，而互联网是一个天然脆弱和不安全的网络，数据容易丢失和被截获。而数据的存储主要依靠数据库技术，数据库也是非法分子常常入侵和破坏的对象。所以网络通信安全与数据库安全，是电子商务长期面临的的主要问题。

1.数据库安全。企业在电子商务活动中产生的大量数据是他们进行不间断经营的重要支撑，产品数据资料、客户关系管理都涉及到庞大的数据群。采用流行的关系型数据库进行数据存储与管理，是电子商务企业必要的选择。但是网络黑客从未间断过对企业数据库的攻击，一旦他们窃取到企业数据库的访问权、管理权，就可以获得他们想要的数据，甚至篡改或删除这些对企业来说至关重要的数据。

2.网络通信安全。数据传输过程中容易丢失、损坏或被黑客篡改、窃取，所以首先要保证通信线路的安全可靠性，采用性能稳定的设备和较为强大的软件来保证传输稳定性。其次为了防止黑客攻击，例如木马、病毒等程序，要再传输过程中使用数据加密及数字签名等技术保障数据的安全性。

二、电子商务安全策略

1.虚拟专用网(VPN)

由于TCP/IP协议的不安全性，对电子商务安全无有效的认证机制，真实性难有保证；缺乏保密机制，网上数据隐私性不能得到保护；不能提供对网上数据流的完整性保护等问题。因此，在电子商务中通常采用VPN技术，通过加密和验证网络流量来保护在公共网络上传输私有信息，而不会被窃取或篡改。对于用户来说，就象使用他们自己的私有网络一样。

2.加密(Encryption)技术

加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把重要的数据变为乱码(加密)传送，到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素：算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES，DataEncryptionStandard)算法为典型代表，非对称加密通常以RSA(RivestShamirAd1eman)算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。

3.数字信封技术

数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码称之为数字信封。信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密码，再利用对称密码解密所得到的信息，这样就保证了数据传输的真实性和完整性。

4.认证技术

CA认证中心。它为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书。它是电子商务及网上银行操作中，具有权威性、可信赖性及公正性的第三方机构。如中国金融认证中心(CFCA)。

有关的认证技术包括数字签名与数字证书。数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对数字签名进行解密，获得哈希摘要。并将收到的原始数据产生的哈希摘要与获得的哈希摘要相对照，便可确信原始信息是否被篡改，这样就保证了数据传输的不可否认性。数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

5.防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

三、结束语

信息安全是电子商务生存和发展的关键要素，随着科技信息技术的不断发展，电子商务平台的安全性和管理策略将不断改进和完善。电子商务活动的安全开展，单是从技术角度防范是远远不够的，还必须通过完善电子商务法律和政策来正确引导和促进我国电子商务的快速健康发展。我国电子商务处于初级普及阶段，需要政府加强对电子商务的研究，建立和规范电子商务的法律框架，促使电子商务实现公开化，合理化、合法化。而企业也必须对其内部所有员工进行信息安全意识教育，充分理解信息安全对企业开展电子商务活动的重要性，还必须通过专业人员对网站进行安全分析、风险评估。在运行效率分析的基础上，制定出完整、严谨的安全解决方案。并针对电子商务活动中存在的不安全因素采取适当的防范措施，例如硬件的电源故障可以通过设置不间断电源来解决，软件漏洞问题可通过针对性的设置加以弥补。随着新技术的发明和应用，电子商务中存在的通信安全问题与数据存储安全问题都将得到解决。在网络中没有绝对的安全只有相对的安全，只要企业始终采用新技术，并积极防御最新的网络威胁和攻击，电子商务带给企业的好处必将大大超越它所带来的风险。

参考文献：

[1]司志刚，濮小金.电子商务导论.中国水利水电出版社，2005.