首页资料文库正文

商务安全论文十篇

时间：2023-04-02 00:45:29

商务安全论文

商务安全论文篇1

关键词：电子商务信息安全安全技术

伴随经济的迅猛发展，电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势，必须保证电子商务中信息交流的安全。

一、电子商务的信息安全问题

电子商务信息安全问题主要有：

1.信息的截获和窃取：如果采用加密措施不够，攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据，获取机密信息或通过对信息流量、流向、通信频度和长度分析，推测出有用信息。2.信息的篡改：当攻击者熟悉网络信息格式后，通过技术手段对网络传输信息中途修改并发往目的地，破坏信息完整性。3.信息假冒：当攻击者掌握网络信息数据规律或解密商务信息后，假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖：交易抵赖包括多方面，如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。

二、信息安全要求

电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:

1.信息保密性：维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中，要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性：贸易各方信息的完整性是电子商务应用的基础，影响到交易和经营策略。要保证网络上传输的信息不被篡改，预防对信息随意生成、修改和删除，防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性：保证信息有效性是开展电子商务前提，关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防，以保证贸易数据在确定时刻和地点有效。4.信息可靠性：确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁，通过控制与预防确保系统安全可靠。

三、信息安全技术

1.防火墙技术。防火墙在网络间建立安全屏障，根据指定策略对数据过滤、分析和审计，并对各种攻击提供防范。安全策略有两条：一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流，再审查要求通过信息，符合条件就通过；二是“凡是未被禁止就是允许”。防火墙先转发所有信息，然后逐项剔除有害内容。

防火墙技术主要有：(1)包过滤技术：在网络层根据系统设定的安全策略决定是否让数据包通过，核心是安全策略即过滤算法设计。(2)服务技术：提供应用层服务控制，起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术：在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术：把过滤和服务两种方法结合形成新防火墙，所用主机称为堡垒主机，提供服务。(5)审计技术：通过对网络上发生的访问进程记录和产生日志，对日志统计分析，对资源使用情况分析，对异常现象跟踪监视。(6)路由器加密技术：加密路由器对通过路由器的信息流加密和压缩，再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全，确认交易双方的真实身份，电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有：(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开；得到公开密钥的贸易方乙对信息加密后再发给贸易方甲：贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方，保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹，有固定长度且不同明文摘要成密文结果不同，而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点：一是因为自己签名难以否认，从而确认文件已签署；二是因为签名不易仿冒，从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容，数字时间戳服务能提供电子文件发表时间的安全保护。

3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识，用电子手段证实用户身份及对网络资源的访问权限，可控制被查看的数据库，提高总体保密性。交易支付过程中，参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放，都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构，受理数字证书的申请、签发及对数字证书管理。

4.防病毒技术。(1)预防病毒技术，通过自身常驻系统内存，优先获取系统控制权，监视系统中是否有病毒，阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术，通过对计算机病毒特征进行判断的侦测技术，如自身校验、关键字、文件长度变化。(3)消除病毒技术，通过对计算机病毒分析，开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度，可以清除处于潜伏期的病毒，防止病毒突然爆发，使计算机始终处于良好工作状态。

四、结语

信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术，提高电子商务系统的安全性和可靠性。但电子商务的安全运行，仅从技术角度防范远远不够，还必须完善电子商务立法，以规范存在的各类问题，引导和促进我国电子商务快速健康发展。

参考文献:

[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006

商务安全论文篇2

论文摘要：电子商务安全问题已成为制约电子商务发展的重要问题，安全问题包括电子商务交易安全、计算机网络安全等显性的问题，还包括管理、法律和标准等方面的隐性问题。通过对电子商务安全体系的分析，研究电子商务安全策略，建立一个安全电子商务环境，将促进电子商务健康快速地发展。

电子商务是一个跨国界，跨地区，跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突，不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本，从各主体的角度思考，综合协调了各个市场主体的行为，从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益，它为实现电子商务提供了统一的基础平台和安全屏障。

一、电子商务安全技术保障策略

安全技术保障技术是电子商务安全体系中的基本策略，目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种：

1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换，变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。

2.身份验证技术。电子商务主体向系统证明自己身份，并由系统查核该主体的过程，是确认真实有效身份的重要环节，这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。

3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认，防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。

4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类：分组过滤、应用、电路网关。

二、企业电子商务安全运营管理制度保障策略

企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定，是保证企业取得电子商务成功的基础，是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度，保密制度，跟踪审计制度，系统维护制度、数据备份制度等。

1.人员管理制度人员管理制度主要从人员的选拔，工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。

2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密，这些方面都是需要很好地划分信息安全级别，并确定安全防范重点，提出相应的保密措施。

3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制，来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核，及时发现对系统有安全隐患的记录，监控各种安全事故，维护和管理系统日志。

4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护，硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修；软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。

5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储，定期为重要信息备份、系统设备备份，并定期更新，以减少安全事故发生时造成的损失。

三、电子商务立法策略

电子商务安全得到法律保障，首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。

1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍；消除现有法律适用上的不确定性，保护合理的商业行为，保障电子交易安全；建立一个清晰的法律框架以统一调整电子商务的健康发展。

2.立法范围电子商务安全方面需要的法律法规主要有：市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法，知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等；电子商务调整的对象是电子商务中的各种社会关系。[3.立法途径电子商务法律仍然是调整社会关系，所以应当继承传统立法的合理内核，尤其是基础价值观。具体的立法途径主要是两种：第一是制定新的法律规范。对于传统法律没有规定的，即由电子商务带来的新的社会关系，应尽快制定法律规范；第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确，或与电子商务新型社会关系有冲突甚至存在缺欠的，可以修改或重新解释既定的法律规范。

四、政府监督管理策略

电子商务本质是一种市场运作模式，市场的正常健康有序地发展，必须有政府宏观上的监督与管理，以协调和规范各市场主体的行为，宏观监督与管理电子商务运行中的安全保障体系。

1.计算机信息系统安全管理计算机信息系统，是指“由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度，计算机系统使用单位安全负责制度，计算机案件强行报告制度，计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护，有利于保障国家的安全和社会安定，促进电子商务的安全交易过程，有利电子商务的健康发展。

2.网络广告和网络服务业管理由于网络的开放性，自由性等特征决定了网络广告监管的难度，虚假广告、广告充斥着网络空间，网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手：第一，网络广告组织的管理，必须对网站广告经营主体资格进行管制，第二，规范网络广告内容，确保广告内容的真实性、合法性和科学性。第三，需要有具体的广告审查管制、评估与监测部门。

国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》，其中提出了详细具体的限制条件。但是，网络飞速发展，面对网络中的新问题，还必须进一步深入全面地研究。

3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构，对电子商务交易活动顺利进行，电子商务活动中交易参与各方身份和信息认定，维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督；同时，还要针对其资产和财务状况定期审查，以免发生财务危机，对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。

4.加强社会信用道德建设，构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的，在我国尤其严重，甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式，必然存在不少漏洞，这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施，更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律，充分利用网络新闻舆论监督，消费者舆论监督和行业协会的管理监督。

五、结束语

电子商务安全不仅涉及到电子商务公司、企业、消费者的利益，而且更加广泛地涉及经济、政治、国防、文化等诸多方面，关系到国家的安全、和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈，只有解决了电子商务安全，保障了市场主体的利益，才能得到网络用户的认可和参与，电子商务自身也才能得到快速、健康地发展。

参考文献

[1]林宁，吴志刚.我国信息安全技术标准化现状[J].中国标准化，2007（4）

[2]胡艳春.电子商务网站建设中的安全问题研究[J].商场现代化，2006，（10）

商务安全论文篇3

1.电子商务与移动电子商务概念

电子商务（ElectronicCommerce，简称E-commerce）是在因特网开放的网络环境下，基于浏览器或服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付，以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。

移动电子商务(M-Commerce)，它由电子商务(E-Commerce)的概念衍生出来，是通过手机、PDA（个人数字助理）、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务：PIM（个人信息服务）、银行业务、交易、购物、基于位置的服务、娱乐等。移动电子商务因其快捷方便、无所不在的特点，已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间，真正解决做生意的问题。

截至2008年4月，中国移动电话用户合计5.84亿，移动电话用户数与固定电话用户数的差距拉大到2.24亿户，移动电话用户在电话用户总数中所占的比重达到61.9%。移动电话普及率已达41.6%。

移动电子商务与传统的主要通过桌面电脑网络平台而运行和开展的电子商务相比，拥有更为广泛的潜在用户基础。当前，中国互联网用户虽然已经超过2亿，但同时手机用户却相比多了3亿多用户，此外根据资料还有数量庞大的PDA用户群，因此，移动电子商务具有比非移动电子商务更为广阔的市场前景。

2.移动电子商务信息系统安全概念

移动电子商务信息系统安全问题是动态发展的，如防范病毒的措施，往往不可能一次成功更不可能一劳永逸。由于移动电子商务信息系统是以移动通信网络与计算机网络共同构建的平台为商务活动平台，因此它不可避免面临着一系列的由移动通讯网络和计算机网络相关的安全问题。移动电子商务给商务活动带来了诸多便利，如缩短了商务活动时间、降低了商务成本、提高了响应市场的效率等等。计算机网络为主体的有线网络安全的技术手段并不能完全适用于无线的移动网络环境，由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序，因此，有效抵制手机病毒的防护软件目前还不是很成熟。

3.移动电子商务信息系统安全类型

移动电子商务信息系统安全威胁种类繁多，可以有多种可能的潜在面，既有蓄意违法而致的威胁；也有无意疏忽造成的安全漏洞。另外还有如：非法使用移动终端、移动通讯公司工作人员不慎泄露客户信息而致、窃听等均有可能导致不同程度和后果的移动电子商务安全威胁。大体我们可以分为以下几个情况：

第一，移动通讯网络本身导致重要商务信息外泄：移动无线信道是一个开放性的信道，它给移动无线用户带来通讯的自由和灵活性的同时，同时也伴随着很多不安全因素：如通讯双方商务内容容易被窃听、通讯双方的身份容易被假冒，以及通讯内容容易被篡改等。在移动无线通讯过程中，所有通讯内容（如：通话信息，身份信息，数据信息等）都是通过移动无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取移动无线信道上传输的内容。这对于移动无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。在移动电子商务信息系统中商业机密的泄漏表现，主要有两个方面：商务活动双方进行商务活动的核心机密内容被第三方意外获得或窃取;交易一方提供给另一方使用的商务文件被第三方非正常使用。

第二，移动通讯设备传播的病毒的侵犯：病毒是目前威胁移动电子商务用户的主要因素之一，随着移动网络应用的深入扩展，移动电子商务的规模愈趋增大，移动电子商务用户也越来越多地面临着各类病毒黑客攻击风险。与病毒齐名的是黑客侵扰和攻击，由于各种网络黑客应用软件工具的传播，黑客与黑客行为己经大众化了，他们利用操作系统和网络的漏洞、缺陷，从网络的外部非法侵入，进行侵扰和不法行为，对移动电子商务安全造成很大隐患。

第三，移动通讯网路漫游而致的威胁：无线网路中的危害安全者不需要寻找攻击对象，攻击对象在某种条件下会漫游到攻击者所在的小区。在终端用户不知情的情况下，信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险，没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立，使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书,攻击者可以利用该漏洞来获利。

第四，垃圾信息（或称垃圾短信）：在移动通讯系统及设备带给广大人们便利和效率的同时，也带来了很多烦恼，其中尤其难以控制的就是铺天盖地而来的垃圾短信广告打扰着我们的生活、工作和学习。在移动用户进行商业交易时，会把手机号码留给对方。有的移动用户喜欢把手机号码公布在网上。这些都是其他公司获取大量手机用户号码的渠道所在。垃圾短信使得人们对移动电子商务充满不信任和反感，而不敢在网络上使用自己的移动设备从事商务活动。

二、提升移动电子商务信息系统安全的趋势与必然性

1.移动商务是电子商务发展的必然趋势

在未来几年中，伴随着无线网络的日益普及，移动计算设备将变得很普及。计算机技术和无线技术的结合将成为最终趋势，电子商务也将向移动商务过渡。中国在电子商务的发展方面要落后于发达国家，但随着观念的改变和技术的进步，中国越来越多地参与到世界经济发展的各个环节。中国要想在商务模式变革的过程中取得成功，关键是要准确分析市场趋势并把握市场先机。移动商务中关键的一点以用户为中心，如果能成功把握住移动个性化方面的市场先机，则完全有可能成为移动商务的规则制订者，从而摆脱以往的模仿。

2.我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性

2007年，全国电话用户新增8389.1万户，总数突破9亿户，达到91273.4万户。移

动电话用户在电话用户总数中所占的比重达到60.0%，移动电话用户与固定电话用户的差距拉大到18183.8万户。

2007年12月中国互联网络信息中心（CNNIC）《第21次中国互联网络发展状况统计报告》。报告显示，截至2007年底，我国网民人数达到了2.1亿，占中国人口总数的16%。调查反映出基于网络的商务安全问题，调查网民对互联网最反感的方面是：网络病毒29.8%，网络入侵或攻击（有木马）17.3%等。可以说我国2亿多网民在网络上，信息安全问题是比较普遍的，因此，我国高速发展的互联网络客观上也要求提升商务信息系统安全。

美国安全软件公司McAfee2008年公布的最新调查结果显示，虽然手机病毒和攻击现在还不普遍，但随着越来越多的用户通过手机访问互联网和下载文件，手机病毒出现的概率将越来越大。McAfee公司公布的调查结果显示，只有2.1%的被调查者曾经自己遭遇手机病毒，而听说过其他手机用户遭遇病毒的被调查者也只有11.6%。McAfee在英国、美国和日本共调查了2000名手机用户，结果发现86.3%的用户对于手机病毒没有任何概念。

当前我国移动用户数保持世界第一，网民数为世界第二，我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性。

3.利用加密函数技术加强和完善高效高安全性的移动电子商务信息系统

在这个网络互联技术、移动通讯技术告诉前行的时代，信息安全尤其是电子商务信息的保密工作变得越来越至关重要，这无疑给密码学的研究带来了巨大推动。为提高移动通讯网络与互联网为平台的移动电子商务服务质量，维护移动电子商务信息提供者的权益，信息安全越来越得到人们的关注。笔者认为，研究布尔函数各种性质，特别是研究对抵抗相关攻击的相关免疫函数类、抗线性分析的Hent函数与Hash函数，无疑是具有很强的现实意义的。

(1)Hash函数加密技术概述及应用

Hash函数加密技术主要用于信息安全领域中加密算法，它能把一些不同长度的信息转化成杂乱的128位的编码里，叫做HASH值。Hash就是为了找到一种数据内容和数据存放地址之间的映射关系密码学上的Hash函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。Hash函数可用于数字签名、消息的完整性检测、消息的起源认证检测等。安全的Hash函数的存在性依赖于单项函数的存在性。Hash算法被普遍应用于数字安全的几乎所有方面，如登录办公室局域网、进入个人邮箱和安全页面都要用它来保护用户的密码；电子签名系统利用它来认证客户及其发来的信息。

(2)bent函数加密技术概述及应用

在密码学中，为了抵抗最佳线性逼近，人们引人了Bent函数的概念，bent函数具有最高非线性度，在密码、编码理论等方面理论中有着重要应用，因而成为当前密码学界研究信息安全保密技术的热点。对Bent函数的构造可以分为间接构造和直接构造。直接构造方法主要有2种：一种是MM类；另一种是PS类，这两种属于直接构造方法。bent函数具有最高的非线性度，但它的相关免疫阶为0，为了使bent具有更好的密码学性质和实际应用价值，学者们提出了bent函数的变种，如Hyper-bent，Semi-bent等。

总之，移动电子商务信息系统安全是个多角度、多因素、多学科的问题，它不单要求从保密安全技术方面，同时也要求我们从技术之外的社会等因素考虑解决。

参考文献：

[1]赵永刚:解析“三角经营商法”[J].商场现代化,2004(15)

[2]姬志刚:计算机、网络与信息社会.科技咨询导报[J].2006(20)

[3]邱显杰:关于Bent函数的研究.湘潭大学[D],2002

[4]戴方虎等:Internet的移动访问技术研究.计算机科学，2000（3）

[5]肖皇培张国基:基于Hash函数的报文鉴别方法[J].计算机工程,2007,(06)

[6]苏桂平刘争春吕述望:Hash函数在信息安全中随机序列发生器中的应用[J].计算机工程与应用,2005,(11)

商务安全论文篇4

1.信息有效性、真实性

电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.信息机密性

电子商务作为贸易的一种手段，其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。

3.信息完整性

电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各信息的差异。因此，电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

4.信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可抵赖性要求即是能建立有效的责任机制，防止实体否认其行为；可鉴别性要求即是能控制使用资源的人或实体的使用方式。

5.系统的可靠性

电子商务系统是计算机系统，其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。

二、电子商务的信息安全技术

1.数据加密技术

加密技术用于网络安全通常有二种形式，即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法，这一类加密技术的优点在于实现相对较为简单，不需要对电子信息（数据包）所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。

1）电子商务领域常用的加密技术数字摘要(digitaldigest)

这一加密方法亦称安全Hash编码法，由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(FingerPrint)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。

数字签名(digitalsignature)

数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)，用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密，如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别。概括的说，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。

数字时间戳(digitaltime-stamp)交

易文件中，时间是十分重要的信息。在电子交易中，需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要(digest)；DTS收到文件的日期和时间；DTS的数字签名。

数字证书(digitalcertificate,digitalID)数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前，最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书，证书作为网上交易参与各方的身份识别，就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心，并提供自己的身份证明信息，证明自己是相应公钥的拥有者，认证中心审查用户提供的信息后，如果确认用户是合法的，就给用户一个数字证书。这样，每个成员只需和认证中心打交道，就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说，数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型：个人凭证、企业（服务器）凭证、软件（开发者）凭证；大部分认证中心提供前两类凭证。

2.身份认证技术

为解决Internet的安全问题，初步形成了一套完整的Internet安全解决方案，即被广泛采用的公钥基础设施（PKI）体系结构。PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的机密性、完整性。

1）认证系统的基本原理

利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性，可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA，CA为用户发放电子证书，用户之间利用证书来保证信息安全性和双方身份的合法性。

2）认证系统结构

整个系统是一个大的网络环境，系统从功能上基本可以划分为CA、RA和WebPublisher。

核心系统跟CA放在一个单独的封闭空间中，为了保证运行的绝对安全，其人员及制度都有严格的规定，并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时，颁发证书。

证书的登记机构RegisterAuthority，简称RA，分散在各个网上银行的地区中心。RA与网银中心有机结合，接受客户申请，并审批申请，把证书正式请求通过建设银行企业内部网发送给CA中心。

证书的公布系统WebPublisher，简称WP，置于Internet网上，是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后，CA用E－mail通知用户，然后用户须用浏览器从这里下载证书。

3.网上支付平台及支付网关

网上支付平台分为CTEC支付体系（基于CTCA/GDCS）和SET支付体系（基于CTCA/SET）。网上支付平台支付型电子商务业务提供各种支付手段，包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。

支付网关位于公网和传统的银行网络之间，其主要功能为：将公网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部的传回来的响应消息，将数据转换为公网传送的数据格式，并对其进行加密。此外，支付网关还具有密钥保护和证书管理等其它功能。

三、电子商务信息安全中的其它问题

1.内部安全

最近的调查表明，至少有75%的信息安全问题来自内部，在信用卡和商业诈骗中，内部人员所占的比例最大；

2.恶意代码

它们将继续对所有的网络系统构成威胁，并且，其数量将随着Internet的发展和编程环境的丰富而增多，扩散起来也更加便利，因此，造成的破坏也就越大；

3.可靠性差

目前，Internet主干网和DNS服务器的可靠性还远远不能满足人们的要求，而绝大

部分拨号PPP连接质量并不可靠，且速度很慢；

4.技术人才短缺

由于Internet和网络购物都是在近几年得到了迅猛的发展，因而，许多地方都缺乏足够的技术人才来处理其中遇到的各种问题，尤其是网络购物具有24x7（每天24小时，每周7天都能工作）的要求，因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“硬件”，那么人才问题则可以说是“软件”。从某种意义上讲，软件的问题解决起来可能更不容易，因此，技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。

5.Web服务器的保护意识差

在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上，因此，即使保密信息被客户端接收之后，也必须对存储在服务器中的数据进行保护。目前，Web服务器是黑客们最喜欢攻击的目标。因此，建议尽量不要将Web服务和连接到任何内部网络，而且要定期对数据进行备份，以便于服务器被攻击之后对数据进行恢复。当然，这毕竟有些不太现实，现在许多流行的Web应用都需要Web服务器与公司的数据库进行交互式操作，这就要求服务器必须与公司内部网络相连，而这个连接也就成为黑客们从Web站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web站点进行保护，但商家却很少安装防火墙或对其缺乏有效的维护，因而没有对Web服务器进行很好的保护，这是商家的Web站点尤其要引起注意的地方。

四、与电子商务安全有关的协议技术讨论

1．SSL协议（SecureSocketsLayer）安全套接层协议———面向连接的协议。

SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用WebServer方式。但它是一个面向连接的协议，在涉及多方的电子交易中，只能提供交易中客户与服务器间的双方认证，而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。

2.SET协议（SecureElectronicTransaction）安全电子交易———专门为电子商务而设计的协议。由于SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL协议，但仍然不能解决电子商务所遇到的全部问题。

结束语

本文分析了目前电子商务的安全需求，使用的安全技术及仍存在的问题，并指出了与电子商务安全有关的协议技术使用范围及其优缺点，但必须强调说明的是，电子商务的安全运行，仅从技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电子商务快速健康发展。

［摘要］电子商务对人类社会经济产生了重大影响，在创造巨大经济效益的同时，也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中，已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题，对加快电子商务的发展步伐提出了一些重要思考。

［关键词］电子商务；安全需求；安全技术；

[参考文献]

①姚立新，新世纪商务:电子商务的知识发展与运作，中国发展出版社，1999年。

②《中国电子商务年鉴》2003卷。

③陈海滨，企业电子营销发展对策浅析，湖南大学学报，2001年。

商务安全论文篇5

伴随经济技术的不断发展，计算机技术与电子商务间关系日益紧密。总体而言，计算机技术应以互联网、计算机网络连接等技术为基础，以更好地开展电子商务活动。从某种程度上看，计算机技术为电子商务的发展带来了极大的促进作用，计算机技术与电子商务在社会发展中的重要性日益突出。电子商务本质在于：推动商品的研发与制造，及电子通讯技术的开发应用。电子商务是以计算机为依托，以电子通讯设备为前提的商务活动，如软件设计、网上订单等。从电商交易中的安全性分析，因电子商务交易双方均是通过网络连通，以互联网为支撑的电商交易双方均处风险中，加之网络脆弱、复杂性，这种安全问题尤为突出。

2电子商务面临的风险

2.1 客户信息泄密

信息泄密，即电商交易期间，某些网络黑客或外来入侵者，在没有获得网络平台授权的情况下，擅自运用各类技术手段来截获销售商信息或商业机密，从而导致系统资源失窃。在网络系统内，系统泄密或失窃，是电子商务交易中较为常发的安全风险。

2.2 破坏系统

部分网络侵入者假借用户身份，入侵他人计算机系统；运用病毒攻击电子平台、支付系统或者是客户信息系统。例如，很多黑客借助病毒等入侵手段，攻击电商相关计算机软硬件，从而导致网络或者是服务器服务系统彻底失灵，严重时还可导致系统崩溃，给交易双方带来难以估量的损失。2.3 篡改与假冒现阶段，不少网络攻击者为达到自身目的，通常会运用技术手段及方法，肆意篡改买卖双方的传输信息，甚至恶意删除或是插入，并将该类信息传输至目的地，从而彻底破坏交易双方的信息。不少攻击者通过远程操作，还可自行更改销售方的设置信息，某些外来者还可损坏用户订单数据，另买卖双方发生纠纷；另有些外来者会借助网络产生虚假销售单，以骗取买家的钱财。

3电子商务中的计算机安全技术

3.1 安全电子交易协议

安全电子交易协议，又叫作SET协议，是为电子商务系统专门设计的认证技术。在认证期间，大多采用国际上较常使用的计算机RSA、DES算法。该认证体系相对完善，可实现多方认证，为电子商务提供可靠的保护屏障。在SET协议期间，使用者支付方面的帐户信息，卖家通常无法看到，即便银行也不清楚详细的订购内容。通过SET协议，需经历双层认证，有些客户强烈要求信用卡认证，对商家身份也是如此。此外，SET还提供交易标准，可供Internet上使用银行卡购物。该标准通常用于信用卡的交易，SET协议采用了数字信封、数字签名技术，能有效隔离电子商务交易双方的隐秘信息，增加其保密性、公正性。

3.2 数字签名与证书技术

数字签名、证书技术，是电商交易中较为重要的安全技术，它主要是运用密码算法来加密、交换数据；数字签名技术通过将Hash函数与公钥算法连接，可有效提升交易双方数据的真实性、可靠性。数字签名运用双重加密法，可达到防伪造、防抵赖之目的。电商交易过程，要求电子单证应具备可验证、防假冒及抵赖功能。数字证书技术，通常用以确认买卖双方的真实身份，多由证书管理中心来监管数字签名，可避免第三方肆意篡改交易信息。针对商家及消费者，使用信用卡时，应贯彻落实数字证书认证制度，以便安全地开展网上交易。该技术能准确判断电商交易信息的合法性，并确保交易数据的安全传输。

3.3 信息加密技术

电子商务过程采用了信息加密技术，它主要根据特定规则，将信息转变为乱码后再传递出去。对方接收时，再根据解密程序将乱码转为文字，从而获取原本的信息。在网络交易中，将各类原始数据，根据加密算法转变为与原文不同的码号，码号无法阅读，这就能够有效避免信息被他人攻取，使第三方无法肆意截取信息，提升电商交易的安全性。运用信息加密技术，可有效避免数据被破解，提升计算机系统的保密性、安全性及完整性。使用信息加密技术时，电商交易方应贯彻与技术相关的加密审查程序，做到物隔离；应及时转变数据格式，隔绝泄路径。针对某些支付、身份信息，应采取相应的加密措施。

3.4 系统维护技术

现阶段，系统维护技术种类繁多，具体包含：

（1）防火墙技术，通过在内外部网界面上设置保护层，确保用户在授权状态下进入系统。该技术可防御未授权用户的非法访问，同时还可检查网络、设定通信权限，谨防传输数据被黑客盗取。

（2）计算机病毒技术，电商交易活动相对较为开放，使得其很容易被病毒所攻击。因此，用户需安装病毒软件，并定期予以更新、杀毒，以有效隔绝病毒。针对硬件设备，交易时大多通过安装网管软件来实现管理与维护。该类软件运用计算机安全技术，在维护期间还应及时清理日志或临时文件，经常检验服务器的活动及用户注册状况，以维护电子商务系统的稳定性。

4结论

商务安全论文篇6

关键词:电子商务安全VPN数据传输

一、概述

随着电子商务的发展，INTERNET已经为众多的用户所认可和使用，越来越多的公司、企业和政府部门、科研单位选择通过INTERNET来传输数据和信息。由于INTERNET是一个基于TCP/IP协议的开放式互连网络，在享受其便利的同时，用户的数据资源便有被暴露的可能。而对于涉及到的国家政府、军事、文教等诸多领域，因为其中存贮、传输和处理的数据有许多是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息，甚至是国家机密，如果被侵犯，则会在政治、经济等方面带来不可估量的损失。所以，在INTERNET上实现数据的安全传输就显得尤其重要。

二、传统的数据安全传输方法

数据安全传输主要解决的问题包括传输数据的真实性，完整性，机密性。真实性是保证数据接收者能够验证消息发送者的真实身份，以防假冒；完整性是指消息接收者能够判断接收到数据在传输过程中是否被非法篡改，确信收到的是完整的数据；机密性是保证敏感数据通过网络传输不会泄密。要实现数据在网络上的安全传输，有以下几种方案可供选择:

1.建立专用通道

在传统的企业或重点保护单位的组网方案中，要进行本地局域网络到异地局域网络互连互通，通常采用建立、租用DDN专线，建立起物理专用通道的，确保数据点到点的直接、准确传输。DDN网是同步网，整个网络传输是全透明的，既保证了用户数据传输的安全性，又使得传输延时较短，可实现点对点的通信。典型案例如银行系统，军事系统，国家重点科研项目实验室等。这种方法进行数据传输时采用的是数据点到点的直接传输，如果不是该网络内部计算机的非法介入，一般不会有网络黑客非法入侵。这一传输过程最安全，可以很好的保持传输数据的真实性，完整性，机密性。但是要在需要连接的不同局域网间敷设或租用DDN专线，购买相应交换和路由设备，因此，建立专用通道所花的费用也最高。

2.使用加密技术

使用加密技术的目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。在发送端，通过数学方法，将待发送数据进行转换（加密技术），使那些没有获得密钥的人很难读懂;在接收端，拥有密钥的人将接收到的加密数据转换为原来的数据（解密技术）。利用加密技术，可以认证通信的参与者，确认数据传输的完整性，而且可以保证通信的私有性。

如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密，节点加密，端到端加密。一般常用的是链路加密和端到端加密这两种方式。链路加密侧重在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检错、帧头帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据在中央节点不需解密。

现在较成熟的加密技术采用Netscape开发的安全套接字层协议SSL(SecureSocketsLayer)。

采用加密技术对物理线路没有特殊要求，数据在传输过程中由于要经过internet路由选择，每一个加密数据包在传输过程中可能会经过不同的路径到达目的地，其传输速率受网络上每一个包所通过的最慢节点的限制，使得真个传输速度受到影响，达不到高速传输的要求。三、利用VPN技术构筑安全的数据传输通道

VPN（VirtualPrivateNetwork虚拟专用网络）是一种集以上两种技术为一体的综合技术，它通过利用internet现有的物理链路，虚拟构建起一条逻辑专用通道（也称为隧道），并且在数据发送服务器端对数据加密，然后通过这条通道将数据快速高效的传输到数据接收端，然后通过数据解密，将数据还原提交给客户。它为用户提供了一种通过internet网络安全地对企业内部专用网络进行远程访问的连接方式。

如图1是一个典型的建立在硬件防火墙之间的VPN。图中虚线部分即为一个VPN隧道。

1.虚拟专用网络VPN主要采用的技术

目前VPN主要采用隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术等安全技术来保证数据的安全传输。

隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网internet上建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第三层隧道协议是网络层协议。是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输;加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。后三种技术可由SSL协议一起实现。其握手过程可由图2表示。

2.虚拟专用网络VPN主要采用的协议

IPSec协议集是虚拟专用网络VPN主要采用的协议，它由三个主要部分构成:

(1)Internet密钥交换协议，这个协议在初始协商阶段使用，用以确定加密方法、密钥和其它用于建立安全会话的数据。

(2)认证头部，在每个IP包插入安全头部，这个安全头部用来检验数据包在传输过程中是否被改动，并且认证数据的发送者。认证头部不加密IP包的内容，只是确保其内容是有效的。

(3)封装安全载荷，为了确保私有通信，封装安全载荷加密IP包的内容以及其他头部信息。

3.VPN的解决方案

要实际应用先进的VPN技术，主要有四种类型的解决方案：

(1)基于硬件的VPN。具有专门实现诸如认证、封装、加密和滤通功能的处理器的产品，可提供最高的性能。这类产品通常包括虚拟接人服务器和具备VPN能力的路由器。

(2)基于软件的VPN。服务器平台提供与现存远程接入或路由器选择模块配套的VPN软件模块，在提供VPN功能时,其性能很受影响。

(3)基于防火墙的VPN。将软件模块增加到防火墙包中。

(4)ISP的VPN服务。ISP利用操作自己拥有的基于硬件或防火墙的VPN产品提供可管理的VPN服务。

四、结论

经过VPN的一系列安全技术处理，用户可以在不建立物理链路的基础上，通过现有的internet网络构建一条能满足实际需求的专用通道，在保证数据安全传输的同时，提高传输效率。随着网络技术的不断发展，以及用户对数据传输安全的强烈要求，VPN将会成为网络的主要组成部分，VPN技术也将更趋完善，在电子商务应用中起着决定性的作用。

参考文献:

商务安全论文篇7

【摘要】网络金融安全问题是特定历史发展阶段的问题，是应对金融全球化负面影响的产物。网上银行的安全既是用户最关心的问题，也是舆论长期关注的焦点。文章首先探讨网络金融概念特点，继而分析我国网络金融安全现状，最后提出改善我国网络金融安全几点对策。

【关键词】网络金融;风险;电子货币;对策网络金融安全

是一项系统工程，涉及硬件、软件、防火墙、网络监控、身份认证、通信加密、灾难恢复、安全扫描等多个安全要素。而网络金融安全问题关乎我国的经济安全甚至国家安全。因此，必须站在更高的层面审视网络金融安全问题。

一、网络金融概念特点

(一)概念

网络金融，又称电子金融(e-finance)，是一种通过个人电脑、通信终端或其他智能设备，借助国际互联网和通信技术无境域限制的联结客户与金融机构，以实现及时获取经济金融信息、享受网上金融服务、开展网上金融交易的金融活动。网络金融包括在线银行、网上保险、网上证券、网上期货、网上支付、网上结算等金融业务。

网络金融安全，是指金融网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务畅通快捷。网络金融安全包括系统安全和信息安全两个部分，系统安全主要指网络设备的硬件、操作系统以及应用软件的安全，信息安全主要指各种信息的存储、传输和访问的安全。

(二)特点

世界第一家网络银行——美国安全第一网络银行(SFNB)自1995年10月18日开业以来，国际金融界掀起了一股网络银行浪潮。这一金融创新正彻底颠覆了金融业和金融市场的业态，银行由实体化向虚拟化发展，金融服务的时空界限不再明显。与传统金融相比，网络金融具有以下一些特点：

无界性。网络金融的无界性主要是指金融活动无时空局限，打破传统的金融服务时间、境域、空间、方式等限制。网络经营企业只要开通网络金融业务，世界各地的上网用户皆可能在任一时间、任一地点、以任一方式成为其客户，并以商家愿意接受的任一电子货币支付，交易地域模糊性给计量造成困难。

3、低成本。虚拟形态的网络银行交易成本远小于物理形态的金融机构经营成本，而且服务效率得到提高、服务质量没有降低。这是网络金融得以出现并迅速发展的最主要原因。

4、加密性。传统金融下交易过程依赖于物理设置和现场办公，而网络金融下交易过程采取技术上加密算法或认证系统的变更或认证来实现。

5、信用性。电子货币和网络金融的发展，使得一些电子商务公司等非金融机构涉足短期电子商业信贷、中介支付、投资理财顾问等金融或准金融业务，而金融交易信息传输保存的安全性、客户个人信息、交易信息和财务信息的保护日益受到公众的关注。无疑，人的信用价值以及游戏规则的固化是网络金融快速发展基石。

二、网络金融安全现状

网络金融安全伴随着网上交易的整个过程。主要有两个方面：一是来自金融机构内部，网络系统自身的安全以及自身的管理水平和内控能力。如由于软硬件配置不匹配、系统设计不合理、运行不稳定等形成的安全隐患;二是来自于金融机构外部，取决于选择的开发商、供应商、咨询或评估公司的水平，以及其他各种外来因素如黑客攻击、自然灾害侵袭等所造成的安全问题。

有关调查表明，目前国内80%的网站都存在安全隐患，其中有20%网站的安全问题还十分严重。安全问题已日益成为困扰网上金融交易的最大问题，影响我国网上金融业务的健康发展。网络金融活动中的安全隐患，主要表现在：

网络系统漏洞。互联网本身固有的技术体制存在缺陷。基于远程通信的便利，互联网并未考虑安全性问题，因而基于信任主机之间的通信而设计的TCP/IP协议缺乏安全机制，建立在互联网络为基础的金融网络系统存在安全漏洞，防毒软件功能不强，造成网络运行不稳定，被病毒入侵、被黑客攻击，轻者数据毁坏丢失，重者烧毁硬件。目前全球的黑

客攻击事件，40%是针对金融系统的，我国则高达60%以上。

3、交易系统缺陷。按照我国有关规定，金融机构的网上业务要达到三级安全标准，但目前大多数金融机构的安全状况都未达到这一要求，其自行开发、应用的网上交易系统大多未经过权威部门的检测认证，存在安全控制技术落后、安全防范措施不到位、抗攻击能力不强、响应滞后、访问授权混乱、客户地址及邮箱等资源保护不力等情况。出现系统虚假信息泛滥;账户密码被黑客破译，数据资料、交易指令被篡改，资金被盗取，股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完整性、不可否认性缺乏保障等等现象。

4、交易监管滞后。由于网络金融交易的不透明、虚拟性、开放性，增大了交易者之间身份确认、交易真实性验证、信用评价方面的信息不对称，决定了网上支付和结算系统全球化，提高了信用风险程度。目前，我国网络金融运作监管经验不足、手段不全、技术落后、分业网上监管职责界定不清、内控制度不健全、网上业务定期内部审计流于形式，出现了网上业务运作中密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。

5、协同机制缺乏。各银行网络系统各自为政，各行间信息隔绝，缺乏沟通协作。有的商业银行将其银行网络系统拓扑结构、建设实施方案等作为绝密材料被保存，行业间数据资源共享是一道屏障，造成资源资金浪费，延误了整个金融业的发展。 6、应急预案缺失。除上述种种因素外，金融机构未对停电、暴力犯罪等人为因素以及地震等自然灾害等突发性不确定事件的发生制定切实可行的应急预案，在一定程度上影响着网络金融的运行安全。

三、网络金融安全对策

强化技术防范。网络金融安全防范中，技术防范是关键。金融企业应制定全面周密的软硬件装备升级换代方案，即时引进和应用符合国家安全标准具有较高安全系数的金融电子化软件平台和金融电子设备核心技术，保证计算机应用软件的不断升级，维护网络系统健康运行。要配备性能良好的内外网络防火墙、病毒防御与杀毒软件，定期升级，严格网络登录口(下转第235页)(上接第233页)令管理等。要采用数字证书等较高级别的网络加密技术，设置交易中的客户身份认证和交易密码。此外，要进一步加大投入，网络信息安全产品，研发网络安全系统、语音鉴别系统、电子转账系统、智能卡识别系统、管理信息系统等，提高金融装备国产化水平，夯实金融安全基础。

3、加紧人才培养。网络金融机构要培养一批既掌握计算机枝术、网络技术、通信技术，又掌握金融实务和管理知识的复合型高级技术人才和管理人才。从国家层面讲，要积极培养政治过硬、技术全面、业务精湛、作风扎实的金融执法队伍，提高金融执法人员素质，严厉惩治金融犯罪和违法、违规活动。从企业层面讲，要通过不间断的全员培训培养教育，让全体从业人员全面了解网络技术安全缺陷，充分认识潜在的网络安全隐患危害性，掌握必要的软件系统安全技术、数据信息安全技术、病毒防治技术等。要通过改善硬件设施和办公条件，提高从业人员素质，提高员工业务水平，尽可能减少操作失误带来的麻烦，保证网络金融企业的经济稳定运行和持续发展。

4、加强内部控制。网络金融机构要参照相关的法规条例，制定各项安全管理制度，包括业务操作规程、计算机网络、数据库、病毒防治、密钥等安全管理制度。要加强人员变动管理，及时注销、移交和变更原有的密钥等信息资料。要建立数据备份中心，实现数据可追溯性。

5、加强预警监控。掌控网络金融风险重在预警评估与防范。网络金融机构，要建立网络金融风险预警机制，专人监控业务运行，加工处理数据，研究数据指标，制定网络金融风险应急处理预案，发现指标逼近预警线，果断采取风险防范措施以应对。

6、加强监管合作。面对网络金融市场高度国际化，大部分金融交易依赖于电子网络，网络银行资金日趋庞大和资金流动速度加快，但由于网络技术发展存在先天性缺陷——技术漏洞，使得网络安全成为制约网络金融发展的最大障碍。我国金融管理机构有必要适时同外国金融监管当局开展广泛的国际合作，沟通信息，打击犯罪，规范业务合作的程序，交换网络监管措施，创造网络金融活动的准则。

[2]熊建宇.网络金融的特点及安全体系构建[J].科技信息,2010(31).

商务安全论文篇8

近年来，科学技术的迅猛发展持续推动着计算机硬件的普及和通信网络的发展，在此背景下电子商务渐渐成为国内商贸服务业的主流形态。电子商务利用Internet平台将传统商务活动中的参与各方(买家、卖家、物流公司、金融机构等)连接在一起，通过将整个交易过程网络化、电子化、信息化，减低了交易的成本，提高了交易效率。其涵盖了商品和服务相关人员和行为的各个方面，即在电子商务活动中，会涵盖方方面面的信息。电子商务自产生以来，迅速被广泛应用到各个领域中，包括商品交易和服务的各个环节，例如购买、信息咨询、支付宝等，通过网络媒介将商家、顾客、银行等联系起来。例如电子商务应用最成功的企业——阿里巴巴，通过电子商务成为中国最大、盈利最多的网络营销商户。在电子商务活动整个过程中，包括商家和买家信息、个人银行私密信息、商业秘密等，这些信息数量广泛，内容繁杂，真实有效，一旦被恶意泄露，产生的恶劣后果将难以估量。网络信息安全是推动电子商务更好更快发展的内在动力，保障公众信息安全，是电子商务能够正常运行的前提条件，信息安全包括信息的完整性、可靠性和保密性。信息安全直接关乎买家个人利益，甚至影响整个企业收益水平。网络环境下，保障电子商务活动中信息安全具有很重要的意义。企业管理者要高度重视不断增加的网络入侵、黑客攻击，积极探索加强网络防御功能的办法。

2电子商务信息安全问题电子商务在不断发展，同时，伴随产生了越来越多的信息安全问题，列举如下。

2.1信息存储安全电子商务在静态存放时的安全，被称为信息存储安全。企业在开放的网络环境下运行时，电子信息安全往往存在两类不安全因素：内部不安全要素，企业内部之间或者是其顾客随意调用或者增、改、删除电子商务信息；外部不安全因素，外部人员非法入侵企业内部计算机网络，故意调用或者增、改、删除电子商务信息，例如黑客入侵、企业之间的恶意竞争、信息间谍的非法闯入等。

2.2交易双方信息安全新型电子商务模式打破了传统买卖双方面对面的交易方式，交易双方的整个交易活动都是在计算机网络上进行信息交流，因而，电子商务的交易就会存在不安全现象。电子商务交易包括卖方和买方。买方可以是个人或者公司，主要存在的信息安全问题包括：第一，用户被冒名顶替，收不到所购的商品，直接导致财产损失；第二，用户发送的交易信息不完整，导致商户无法将商品发送到买家手中；第三，域名被扩散或监听，致使买家信息被泄露；第四，因网络上看不到商品的实物，可能会被虚假广告所欺骗，购买假冒伪劣产品。卖家存在的信息安全威胁：第一，企业之间的恶意竞争，采用不正当手段侵入企业内部获取企业营销信息和客户信息；第二，冒名更改交易内容，阻断电子商务活动的正常进行，毁坏商家的信誉和利益；第三，违法分子采用高科技窃取商业机密，侵犯商家专利；第四，电子商务信息可能会遭到恶意程序的破坏，例如木马程序；第五，黑客入侵，黑客通过攻击服务器，使企业网站上产生大量虚假订单，造成系统拥挤，影响企业的正常运营。

2.3信息传输安全信息传输安全是指电子商务信息在动态传输过程中的安全问题。信息在传输过程中容易产生被篡改的危险，如收到伪造的电子邮件，传输的信息被非法截获，实际的交易信息被恶意销毁等，同时，如果网络硬件和软件产生问题，也会造成信息在传递中被丢失或者产生谬误，促成电子商务中的信息安全问题。

3电子商务信息安全因素

在传统交易过程中，买卖双方通过面对面的交流，很快在双方之间建立安全和信任关系，达成交易。但是在新型电子商务活动中，打破传统联系方式，以互联网作为交易媒介，互联网的虚拟性、动态性和高度开放性等特点使电子商务活动中存在大量的威胁与安全隐患，在没有见面的情况下，买卖双方很难建立起安全与信任关系。电子商务的信息安全因素主要包括以下方面。

3.1电子商务信息的真实有效性电子商务是以电子交易形式取代纸质交易，因而，保证电子交易形式的真实有效性是电子商务活动得以顺利开展的重要前提条件。电子商务是一种重要的贸易形式，其信息的真实有效性直接关系买卖双方、企业甚至国家的经济利益和声誉。3.2电子商务信息的机密性电子商务是一种贸易手段，具有相当程度的机密性。传统纸质贸易是通过邮寄信件或其他可靠通信渠道发送商业报文，充分确保了文件的机密性。在开放的网络环境下，商业泄密事件时有发生，防止商业泄密是确保电子商务全面推广应用的重要保障。

3.3电子商务信息的完整性电子商务简化了贸易过程，大量减少了人为干预，很大程度上提高了交易效率，与此同时，也带来了一系列信息不完整、不统一的问题。工作人员在进行数据输入时可能产生意外差错，或者为谋取个人私利而故意欺诈，破坏了贸易信息的完整性。在传输过程中，可能因种种原因，造成信息丢失、重复，或者信息原有次序被打乱的现象都会导致贸易信息与原信息的不一致。在电子商务活动中，必须加强系统维护，确保数据存储和传输的完整性。

3.4电子商务信息的安全可靠性可靠性是要确保合法用户对电子商务信息和资源的正当使用权，要求建立有效的责任机制，防止实体否认用户行为，杜绝合法用户对资源的使用过程中被拒绝的现象，还要在交易双方之间通过签订可靠的合同、契约等预防任何一方的抵赖行为，损害另一方的经济利益。

4电子商务信息安全的保障措施

目前，电子商务已经蓬勃发展起来，迅速被广泛应用到各行各业，例如网上银行支付、快捷支付、京东商城购物等，其发展前景相当可观。但电子商务活动中存在的一系列信息安全问题令人担忧。保护电子商务信息安全，在网络背景下，建立安全、快捷、高效的电子商务环境成为当务之急，是企业管理者应该深入探讨的重要问题之一。近年来科学技术和网络信息技术取得了迅猛的发展，企业发展应该具有时代特征，充分发展有效的信息安全技术，并结合行之有效的措施。现对保证电子商务信息安全提出以下几点建议。

4.1加强网络安全在网络背景下，电子商务信息安全的主要内容就是网络安全，采取高度发达的科学技术措施，对危险进行预测，从而制定行之有效的措施，将信息不安全问题化解在萌芽状态。保障计算机电子商务信息安全的技术措施，有利于从源头上保障信息安全。信息安全得到保障，进而促进电子商务的健康、可持续发展。首先，要加强信息加密，其目的是保护网内数据文件、口令和控制信息，保护网络会话的完整性，加密是基于数学算法的程序和密钥对文件进行加密，只有发出者和接受者才能识别的字符串，防止他人窃取文件信息。加密技术通常采用对称加密技术、非对称加密技术或者二者联合使用。通常利用数据加密标准DES、三重DES、国际数据加密算法等对常规密钥密码体系进行计算。其次，严格身份识别，通过采取一定的技术措施，确认信息发送者的身份，验证信息的完整性和准确性，防止信息在传送或接收存储过程中被非法篡改。采用电子技术手段对用户身份的真实性和准确性进行验证，设置网络资源的访问权限，电子商务活动中的所有参与方必须根据认证中心签发的数字标识进行身份验证。建立电子商务网上认证中心，对网上交易提供认证服务、签发数字证书，进而确认用户身份。最后，鉴于网络环境下，恶意病毒越来越多，严重影响了电子商务信息的安全性，要求企业能够采取一定的防病毒技术措施，主要包括：

(1)预防病毒技术，通过自身常驻系统内存，获得系统的优先控制权，对可能存在的病毒进行预防，一经发现企业网站遭受恶意病毒的入侵，要能制定技术措施，对计算机病毒做出正确分析，阻止病毒进入计算机系统，破坏系统；

(2)检测病毒系统，它是通过计算机对各种病毒特征的记录对病毒进行识别和侦测的技术；

(3)消除病毒技术，通过上述技术措施对病毒进行识别和分析，开发出具有杀除病毒程序、恢复原文件的软件。企业应当不断加大资金投入，研究新的技术办法，严格确保在网络环境下计算机电子商务的信息安全。

4.2加强网络信息安全设施建设电子商务的快速发展有效提高了商业活动的交易效率。在网络背景下，信息泄露、黑客入侵等电子商务信息安全问题严重阻碍了电子商务的进一步发展。尽管设置多道防火墙、多层密保等，可以有效确保网络信息系统安全，但是计算机的芯片、中央处理器等核心部件如果是别人设计生产的，网络信息就会存在一定的安全隐患，是严重威胁我国网络信息安全的重要因素。网络环境下，电子商务是全球范围内的经济活动，是我国国民经济新兴的增长点，加强电子商务网络信息安全，对促进我国市场经济发展具有很重要的现实意义。因此，必须建设一系列的网络信息安全基础设施，建立中国的公开密钥基础设施、信息安全产品检测评估等基础设施，应急预警基础设施尤为必要。

商务安全论文篇9

(一)信息安全攻击

信息攻击是指危及网络信息安全的任何行为。对一个计算机系统或网络安全的攻击存在多种形式。

1、信息截获

信息截获是指一个信息未授权方获取了对信息的访问。

2、信息伪造

信息伪造是指未授权方将伪造的对象插入系统传输给信息接收者。

3、信息中断

信息中断是指信息传输被破坏变得不可利用或不可使用。

4、信息篡改

信息篡改是指未授权方不仅获取了对信息的访问而且篡改了信息。

（二）信息安全服务

信息安全服务是指加强一个组织的数据处理系统及信息传送安全性的一种服务。安全服务的主要目的就是对抗攻击，归纳起来主要包含以下几个方面的内容:

1、信息的机密性

信息的机密性又称数据保密性，是指在电子商务的信息传播中，一些敏感的商业信息不会被非法窃取，或即使被窃取，窃取者也不能读懂信息，如:交易双方进行交易的内容不被第三方窃取、交易一方提供给另一方使用的文件不被第三方非法使用等。其次，与保密性相关的还有隐私权，隐私权是参与电子商务的个人非常关心的一个问题。如果没有保密性就可能会损害到隐私。如果侵犯隐私的问题不解决，对于个人用户来说参与电子商务，将是一件很危险的事情。

2、信息的完整性

它包括两层含义:一是数据传输的真实性，即信息在网络传输过程中没有被篡改，保持与原信息的一致性;二是数据传输的统一性，即数据传输的次序和模式的固定性，不能任意改变。只有保持信息传输的完整性，才一能保证商务交易的公正性与合法性。

3、信息的不可抵赖性

信息的不可抵赖性又称不可否认性，是指信息的发送方或接收方在发送或接收信息之后，有充分的证据证明双方已经发生过的收发行为，而这些证据一般也是对双方公开的，这样就保证了收发双方都不能对收到和发送的信息抵赖，减少了交易纠纷。

4、易者身份认证性

交易者身份认证性是指在电子商务的网上交易过程中，能够确定对方的真实身份及从事的真实业务，尤其在涉及到一些敏感信息如信用卡、账号等的真实有效性，以防止不必要的利益损失。在电子交易中，第三方有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。可见，身份认证是电子商务中的一个重要环节。

二、电子商务安全技术

（一）防火墙技术

防火墙是指隔离在本地网络与外界网络间的一道防御系统。防火墙是一种计算机硬件和软件的组合，在互联网与内部网之间建立一个安全的网关，从而保护内部网免受非法用户的侵入。防火墙的技术有:数据包过滤，数据包过滤型防火墙在OSI网络模型的网络层和传输层，根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过，只有满足过滤条件的数据包才被转发，其余的则被丢弃;网关技术，这一类型的防火墙工作在OSI中的应用层，通过对各种应用服务专门的程序，实现监视控制数据流;电路级网关技术，依赖于TCP联接，对数据包不进行任何附加的过滤和包处理，直接转发。

（二）加解密技术

信息加密技术是保证网络、信息安全的核心技术，是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成不可理解的密文，阻止非法用户获取和理解原始数据，从而确保数据的保密性。明文变成密文的过程称为加密，由密文还原成明文的过程称为解密，加解密使用的可变参数叫做密钥。根据密码算法所使用的加密密码和解密密码是否相同、能否由加密密钥推导出解密密钥，可将密码算法分为对称密码算法和非对称密码算法。

1、对称加密

如果一个加密系统的加密密钥和解密密钥相同，或者虽然不相同，但是由其中任意一个可以很容易的推导出另一个，所采用的就是对称密码算法。

2、非对称加密

如果一个加密系统的加密密钥和解密密钥不相同，并且由加密密钥推导出解密密钥是计算上不可行的，所采用的就是非对称加密算法。

（三）安全认证

在一个完整的电子商务活动中，所有的交易信息都是通过电子数据的方式进行交换，交易各方不直接见面，对于交易各方合法身份的识别是电子商务技术的关键，这就需要身份认证，为实现交易的完整性和不可抵赖性也需要认证技术。认证技术包括数字签名技术，身份认证技术和认证协议。

商务安全论文篇10

1盗取信息

保存着互联网上的信息在传输过程中，通常情况下都需要进行加密处理，一旦发生加密措施不到位或者缺少保护措施，那么就给了入侵者可乘之机，他们可以掌握信息的传输格式和规律等，将截取的信息进行分析对比，这样就能够得到消费者的个人身份信息甚至个人银行卡密码等重要私密信息。或者经过非法手段盗取企业的商业机密，将信息外泄，给个人和企业的安全带来了极大的威胁和困扰。

2篡改信息

我们在进行电子商务交易之前首先需要在网上进行个人基本信息注册，某些甚至需要实名制，填写身份证号和银行卡号等重要信息，方可完成注册。这样一来，一旦相关网络企业的系统被不法分子攻击，就很有可能导致个人信息泄露。而入侵者借机利用技术手段对信息进行肆意篡改，或者增添内容或者删除内容，或修改内容，最后再将所有信息打包整理发送到指定接收地点。这种做法既严重阻碍了电子商务交易的正常操作，又破坏了信息的完整性和真实性。

3假冒信息

由于不法分子入侵网络得逞之后，掌握了全部消费者信息，这时可以在按自己意愿篡改信息后假冒合法的客户对信息进行接收和发送。而计算机网络本身具有的虚拟特性使得交易双方很难识别信息的真伪，侵害了消费者的合法权益。惯用的手法是伪造客户的收货单据或订货凭证，随意更改交易流程的允许访问权限设置等。

二计算机安全技术在电子商务中的应用

1防火墙技术

防火墙技术好比保护电子商务交易安全进行的一道隔离墙，有效防止外部违法入侵，同时对计算机病毒进行全程时时隔离，将本机与复杂、危险的外部网络进行隔离控制。主要包括包过滤技术防火墙、服务防火墙和地址迁移防火墙。

2数据加密技术

防火墙技术本身也有一些不可避免的缺陷：对于一些靠数据驱动的入侵无法进行拦截；对一些不易被察觉的携带病毒的文件没有抵抗力，一旦进行下载就会使病毒迅速扩撒，导致计算机中毒；对一些绕过防火墙拦截的软件，对电脑主机实行攻击，找计算机漏洞进行病毒攻击。而这时就需要数据加密技术来弥补防火墙技术的缺憾，运用对称加密和分对称加密，在信息交换环节通过公开密钥体系进行完整的加密，保证电子商务交易与信息传送的安全、畅通。

3身份识别技术

用户需要在首次注册时填写个人身份证信息，网络管理员对个人信息进行综合审核后，合格者允许通行，放开其对网络资源的使用权限。在电子商务中身份鉴别是必不可少的环节，通过此技术可以准确的识别对方身份的真实性，可以保证交易的安全。随着技术的发展，身份识别技术的种类也在不断扩大，包括智能卡鉴别技术、口令身份识别技术。尽管如此，但是这种技术仍然处在发展阶段，需要不断改进，但是研究成本较高，花费时间较长，受到各方面因素的限制，需要我们共同努力进行技术研发。

三结束语