首页资料文库正文

商务安全论文范文10篇

时间：2023-03-14 23:30:38

商务安全论文

商务安全论文范文篇1

[关键词]门限ECC电子商务安全加密签名

证书签发系统：负责证书的发放，如可以通过用户自己，或是通过目录服务。目录服务论文器可以是一个组织中现有的，也可以是PKI方案中提供的。PKI应用：包括在Web服务器和浏览器之间的通讯、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟专业网（VPN）等。应用接口系统（API）：一个完整的PKI必须提供良好的应用接口系统，让用户能够方便地使用加密、数字签名等安全服务，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性，降低管理和维护的成本。

基于PKI的电子商务安全体系电子商务的关键是商务信息电子化，因此，电子商务安全性问题的关键是计算机信息的安全性。如何保障电子商务过程的顺利进行，即实现电子商务的真实性、完整性、机密性和不可否认性等。PKI体系结构采用证书管理公钥，通过第三方的可信机构，把用户的公钥和用户的其他标识信息（如用户身份识别码、用户名、身份证件号、地址等）捆绑在一起，形成数字证书，以便在Internet上验证用户的身份。PKI是建立在公钥理论基础上的，从公钥理论出发，公钥和私钥配合使用来保证数据传输的机密性；通过哈希函数、数字签名技术及消息认证码等技术来保证数据的完整性；通过数字签名技术来进行认证，且通过数字签名，安全时间戳等技术提供不可否认性服务。因此PKI是比较完整的电子商务安全解决方案，能够全面保证信息的真实性、完整性、机密性和不可否认性。通常电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的Web服务器并寻找卖方。当买方登录服务器时，买卖双方都要在网上验证对方的电子身份证，这被称为双向认证。在双方身份被互相确认以后，建立起安全通道，并进行讨价还价，之后买方向卖方提交订单。订单里有两种信息：一部分是订货信息，包括商品名称和价格；另一部分是提交银行的支付信息，包括金额和支付账号。买方对这两种信息进行双重数字签名，分别用卖方和银行的证书公钥加密上述信息。当卖方收到这些交易信息后，留下订货单信息，而将支付信息转发给银行。卖方只能用自己专有的私钥解开订货单信息并验证签名。同理，银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后，通知起中介作用的电子交易市场、物流中心和买方，并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行，实现了真实性、完整性、机密性和不可否认性。综上所述，PKI技术是解决电子商务安全问题的关键，综合PKI的各种应用，我们可以建立一个可信任和足够安全的网络，能够全面保证电子商务中信息的真实性、完整性、机密性和不可否认性。

计算机通信技术的蓬勃发展推动电子商务的日益发展，电子商务将成为人类信息世界的核心，也是网络应用的发展方向，与此同时，信息安全问题也日益突出，安全问题是当前电子商务的最大障碍，如何堵住网络的安全漏洞和消除安全隐患已成为人们关注的焦点，有效保障电子商务信息安全也成为推动电子商务发展的关键问题之一。电子商务安全关键技术当前电子商务普遍存在着假冒、篡改信息、窃取信息、恶意破坏等多种安全隐患，为此，电子商务安全交易中主要保证以下四个方面：信息保密性、交易者身份的确定性、不可否认性、不可修改性。保证电子商务安全的关键技术是密码技术。密码学为解决电子商务信息安全问题提供了许多有用的技术，它可用来对信息提供保密性，对身份进行认证，保证数据的完整性和不可否认性。广泛应用的核心技术有：1.信息加密算法，如DES、RSA、ECC、MDS等，主要用来保护在公开通信信道上传输的敏感信息，以防被非法窃取。2.数字签名技术，用来对网上传输的信息进行签名，保证数据的完整性和交易的不可否认性。数字签名技术具有可信性、不可伪造性和不可重用性，签名的文件不可更改，且数字签名是不可抵赖的。3.身份认证技术，安全的身份认证方式采用公钥密码体制来进行身份识别。ECC与RSA、DSA算法相比，其抗攻击性具有绝对的优势，如160位ECC与1024位RSA、DSA有相同的安全强度。而210位ECC则是与2048比特RSA、DSA具有相同的安全强度。虽然在RSA中可以通过选取较小的公钥(可以小到3)的方法提高公钥处理速度，使其在加密和签名验证速度上与ECC有可比性，但在私钥的处理速度上(解密和签名)，ECC远比RSA、DSA快得多。通过对三类公钥密码体制的对比，ECC是当今最有发展前景的一种公钥密码体制。

椭圆曲线密码系统ECC密码安全体制椭圆曲线密码系统（EllipticCurveCryptosystem，ECC）是建立在椭圆曲线离散对数问题上的密码系统，是1985年由Koblitz(美国华盛顿大学)和Miller(IBM公司)两人分别提出的，是基于有限域上椭圆曲线的离散对数计算困难性。近年来，ECC被广泛应用于商用密码领域，如ANSI(AmericanNationalStandardsInstitute)、IEEE、基于门限ECC的《商场现代化》2008年11月（上旬刊）总第556期84少t个接收者联合才能解密出消息。最后，密钥分配中心通过安全信道发送给，并将销毁。2.加密签名阶段：(1)选择一个随机数k，，并计算，。(2)如果r=O则回到步骤(1)。(3)计算，如果s=O则回到步骤(1)。(4)对消息m的加密签名为，最后Alice将发送给接收者。3.解密验证阶段:当方案解密时，接收者P收到密文后，P中的任意t个接收者能够对密文进行解密。设联合进行解密，认证和解密算法描述如下：(1)检查r，要求，并计算,。(2)如果X=O表示签名无效；否则，并且B中各成员计算，由这t个接收者联合恢复出群体密钥的影子。(3)计算，验证如果相等，则表示签名有效;否则表示签名无效。基于门限椭圆曲线的加密签名方案具有较强的安全性，在发送端接收者组P由签名消息及无法获得Alice的私钥，因为k是未知的，欲从及a中求得k等价于求解ECDLP问题。同理，攻击者即使监听到也无法获得Alice的私钥及k；在接收端，接收者无法进行合谋攻击，任意t-1或少于t-1个解密者无法重构t-1次多项式f(x)，也就不能合谋得到接收者组p中各成员的私钥及组的私钥。

结束语为了保证电子商务信息安全顺利实现，在电子商务中使用了各种信息安全技术，如加密技术、密钥管理技术、数字签名等来满足信息安全的所有目标。论文对ECDSA方案进行改进，提出了一种门限椭圆曲线加密签名方案，该方案在对消息进行加密的过程中，同时实现数字签名，大大提高了原有方案单独加密和单独签名的效率和安全性。

参考文献：

[1]KoblitzN.EllipticCurveCryprosystems.MathematicsofComputation,1987,48:203～209

[2]IEEEP1363:StandardofPublic-KeyCryptography,WorkingDraft,1998～08

[3]杨波:现代密码学，北京：清华大学出版社，2003

[4]戴元军杨成:基于椭圆曲线密码体制的(t，n)门限签密方案，计算机应用研究.2004，21(9):142～146

[5]张方国陈晓峰王育民:椭圆曲线离散对数的攻击现状，西安电子科技大学学报(自然科学版).2002，29(3):398～403ISO、NIST(NationalInstituteofStandardsTechnology)。

电子商务安全机制研究[摘要]论文首先对电子商务安全关键技术进行了阐述，并介绍了椭圆曲线密码系统ECC密码安全体制，在此基础上，论文提出了一种门限椭圆曲线加密签名方案，并对具体实现算法进行了深入研究，相比于单独加密和单独签名，该方案具有更强的安全性。

[关键词]门限ECC电子商务安全加密签名

证书签发系统：负责证书的发放，如可以通过用户自己，或是通过目录服务。目录服务器可以是一个组织中现有的，也可以是PKI方案中提供的。PKI应用：包括在Web服务器和浏览器之间的通讯、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟专业网（VPN）等。应用接口系统（API）：一个完整的PKI必须提供良好的应用接口系统，让用户能够方便地使用加密、数字签名等安全服务，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性，降低管理和维护的成本。

参考文献：

[1]KoblitzN.EllipticCurveCryprosystems.MathematicsofComputation,1987,48:203～209

[2]IEEEP1363:StandardofPublic-KeyCryptography,WorkingDraft,1998～08

[3]杨波:现代密码学，北京：清华大学出版社，2003

商务安全论文范文篇2

关键词：电子商务；身份认证；防火墙

1引言

电子商务可以增加销售额并降低成本的优势，使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键，而安全体系的构建显得尤为重要。

2电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看，传统的买卖双方是面对面的，因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现，电子商务交易双方（销售者和消费者）都面临安全威胁，电子商务的安全要素主要体现在以下几个方面：

2.1信息真实性、有效性

电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.2信息机密性

电子商务作为贸易的一种手段，其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。

3.3信息完整性

电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此，电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

3.4信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可否认要求即是能建立有效的责任机制，防止实体否认其行为；可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的，电子商务系统应充分保证原发方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。

3电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行，要求电子商务平台要稳定可靠，能不中断地提供服务。任何系统的中断，如硬件、软件错误，网络故障、病毒等都可能导致电子商务系统不能正常工作，而使贸易数据在确定的时刻和地点的有效性得不到保证，往往会造成巨大的经济损失。

所以就整个电子商务安全系统而言，安全性可以划分为四个层次，

1)网络节点的安全

2)通讯的安全性

3)应用程序的安全性

4)用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现，而网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

3.1网络节点的安全

防火墙是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击，为电子商务的施展提供个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

3.2通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度，也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[论文网]

3.3应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。

3.4用户的认证管理

1)身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

2)CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。认证中心（CA）就是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。

3)安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL通过数字签名和数字证书来实行身份验证，数字证书是从认证机构（CA，CertificateAuthority）获得的，通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。

SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如Http、Ftp、Telnet等）以保证应用层数据传输的安全性。

SSL协议握手流程由两个阶段组成：服务器认证和用户认证。

①服务器认证

客户端向服务器发送一个“Hello”信息，以便开始一个新的会话连接；服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器，从而建立安全的通信通道。

②用户认证

经认证的服务器发送一个提问给客户，客户则返回数字签名后的提问和其公开密钥，从而向服务器提供认证。SSL协议支持各种加密算法，实现简单，独立于应用层协议，且被大部分浏览器和Web服务器内置，便于在电子交易中应用。但SSL是一个面向连接的协议，起初并不是为了支持电子商务而设计的，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议不能协调各方面的安全传输和信任关系。为此，开发出了在网络应用层中专为电子商务而设计的SET协议。

4安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。对于所有接触系统的人员，按其职责设定其访问系统的最小权限。按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

5结束语

安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手，仅在技术角度防范是远远不够的。安全只是相对的，而不是绝对的。因此，为进一步促进电子商务体系的完善和行业的健康快速发展，必须在实际运用中解决电子商务中出现的各类问题，使电子商务系统相对更安全。

参考文献:

[1]吴洋.电子商务安全方法研究[D].天津大学,2006.

[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005,(06)

商务安全论文范文篇3

关键词：电子商务；身份认证；防火墙

1引言

2电子商务的主要安全要素

2.1信息真实性、有效性

2.2信息机密性

3.3信息完整性

3.4信息可靠性、不可抵赖性和可鉴别性

3电子商务安全系统

所以就整个电子商务安全系统而言，安全性可以划分为四个层次，

1)网络节点的安全

2)通讯的安全性

3)应用程序的安全性

4)用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现，而网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

3.1网络节点的安全

3.2通讯的安全

3.3应用程序的安全性

3.4用户的认证管理

1)身份认证

2)CA证书

3)安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL协议握手流程由两个阶段组成：服务器认证和用户认证。

①服务器认证

②用户认证

4安全管理

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

5结束语

参考文献:

[1]吴洋.电子商务安全方法研究[D].天津大学,2006.

[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005,(06)

商务安全论文范文篇4

论文摘要：随着互联网技术的蓬勃发展，基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂，然而由于互联网的开放性，网络安全问题日益成为制约电子商务发展的一个关键性问题。

一、电子商务网络信息安全存在的问题

电子商务的前提是信息的安全性保障，信息安全，胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:

1、网络信息安全方面

(l)安全协议问题。目前安全协议还没有全球性的标准和规范，相对制约了国际性的商务活动。此外，在安全管理方面还存在很大隐患，普遍难以抵御黑客的攻击。

(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介，不少新病毒直接以网络作为自己的传播途径，在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。

(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心，所以服务器特别容易受到安全的威胁，并且一旦出现安全问题，造成的后果会非常严重。

2、电子商务交易方面

(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台，在这个平台上交易双方是不需要见面的，因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息，仿冒合法用户的身份与他人进行交易。

(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。

(3)交易的修改问题。交易文件是不可修改的，否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改，以保证商务交易的严肃和公正。公务员之家

二、电子商务中的网络信息安全对策

1、电子商务网络安全的技术对策

(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证，应用数字签名可在电子商务中安全，方便地实现在线支付，而数据传输的安全性、完整性，身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流，提供接人控制和审查跟踪，是一种访问控制机制。在逻辑，防火墙是一个分离器、限制器，能有效监控内部网和工nternet之间的任何活动，保证内部网络的安全。

(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地，对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点，全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说，应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。

2、电子商务网络安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑，根据轻重程度划分好不同的保密级别，并制定出相应的保密措施。

(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证，应由专职网络管理技术人员承担，为安全起见，其他任何人不得介人，主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。

(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性，除了安装防病毒软件之外，还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外，还可将网络系统中易感染病毒的文件属性、权限加以限制，断绝病毒人侵的渠道，从而达预防的目的。

(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统，应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份，通过以土保护措施可为系统数据安全提供双保险。

三、电子商务的网络安全体系结构

电子商务的网络信息安全不仅与技术有关，更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:

1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性，保证其可靠哇和为系统提供基础性作用的安全机制。

2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制，系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。

3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。

4.电子商务网络安全的立法保障。结合我国实际，借鉴国外先进网络信息安全立法、执法经验，完善现行的网络安全法律体系。

商务安全论文范文篇5

2电子商务的主要安全要素

2.1信息真实性、有效性

2.2信息机密性

3.3信息完整性

3.4信息可靠性、不可抵赖性和可鉴别性

3电子商务安全系统

所以就整个电子商务安全系统而言，安全性可以划分为四个层次，

1)网络节点的安全

2)通讯的安全性

3)应用程序的安全性

4)用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现，而网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

3.1网络节点的安全

3.2通讯的安全

3.3应用程序的安全性

3.4用户的认证管理

1)身份认证

2)CA证书

3)安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL协议握手流程由两个阶段组成：服务器认证和用户认证。

①服务器认证

②用户认证

4安全管理

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

商务安全论文范文篇6

【关键词】:电子商务信息安全网络

人类社会进入20世纪70年代以来,以微电子技术为基础的计算机技术和通信技术取得了长足的进展,并渗透到经济和社会的各个领域,从而引起了世界范围内的新技术创新浪潮。信息化建设受到各国政府的高度重视,1991年美国提出"信息高速公路"的设想,1993年正式实施"国家信息基础结构:行动计划";1978年法国制定了一项有关"促进社会信息化的计划",从那以后,法国政府不断推进信息革命,每年投入50亿美元巨款改进通信设备;早在1983年,我国政府就把发展信息技术纳入了国家总体科技论文发展战略规划中,1999年,我国政府上网工程迅速推进,国家信息化战略、数字化产品发展战略、电子商务发展框架也都在加紧研究、制定中。目前全球的计算机社会拥有量迅速增加,互联网用户呈几何级数增长,新的经济消费观正在逐步形成。电子商务的社会基础已经形成。Internet技术的应用普及为电子商务奠定了基础条件,万维网及相关技术的推出开创了电子商务应用的新局面,基于Internet的网络环境建设是开创电子商务市场的前提,安全保障等核心技术的实用化是电子商务成功的保证,商贸活动的信息网络化加快了电子商务的发展进程,各种解决方案的推出标志着电子商务即将进入实用化阶段。

从技术的角度看,电子商务的发展经历了启蒙阶段、商业化阶段、社会化阶段,并开始步入智能化时代。回顾企业信息化和电子商务的发展过程,从最初各部门用数据库管理本部门的数据,通过办公自动化(OA)实现企业内部办公文档传递,到建立统一的ERP系统为管理决策提供信息,通过CRM和SCM将企业和客户、供应商等整个供应链上的各个环节联系起来,再到以服务形式提供各式应用,通过第三方ASP实现企业应用服务的外包,这实际上就是一个从数据、信息到服务的纵向发展过程。互联网应用的发展也是这样,从最初企业间使用EDI交换数据,Email通讯传递简单的信息,到通过门户网站、搜索引擎获取所需信息,与世界各地的人在BBS上交流信息,再到如今的通过社会网络SNS拓展自己的交际圈,社会化程度越来越高。随着信息技术和互联网技术的普及和深入应用,电子商务正在以前所未有的速度发展,以其方便性和灵活性向传统商务模型提出了挑战。互联网的飞速发展，使得传统的商业模式产生了深刻的变化，在相当程度上改变着人们的日常生活习惯。基于网络的电子商务作为一种全新的商业模式，已经得到了快速的发展，但网络交易的安全问题始终是阻碍电子商务全面发展的巨大障碍。因此采用先进的网络信息安全防范技术，为电子商务提供完整的安全保障体系，进而推动电子商务高速发展。1．电子商务信息安全要素互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之联接,并借助互联网信息,进行各种网上商务活动。同时,也给那些别有用心的组织或个人提供了窃取别人的各种机密如消费者的银行账号、密码,甚至妨碍或毁坏他人网络系统运行等各种机会。影响电子商务信息安全要素主要有系统的可靠性，交易的真实性，资料的安全性，资料的完整性，交易的不可抵赖性等。概括起来,电子商务面临的安全威胁主要有以下几方面。

1．1系统的中断与瘫痪。网络故障、操作失误、应用程序出错、硬件故障、系统软件设计不完善以及计算机病毒都有可能导致系统不能正常工作。如在划拨货款的过程中突然出现网络中断等。1．2信息被窃取。电子商务作为一种全新的贸易形式,其通讯的信息直接代表着个人、企业或国家的利益。攻击者可能通过因特网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式,截获传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数分析,推断出有用的信息、如消费者的银行账号、密码等。1．3信息被篡改。攻击者可能从三个方面破坏信息的完整性。1）篡改。改变信息流的次序,更改信息的内容。2)删除。删除某个消息或消息中的某些部分。3)插入。在信息中插入一些其它干扰信息,让收方读不懂或接收错误的信息。脑知识与技术1．4信息被伪造。1)虚开网站和商店,给用户发电子邮件,接受订单。2）伪造大量用户,发电子邮件,穷尽商家资源、使合法用户不能正常访问网络资源。3)冒充他人身份,进行消费和栽赃等。1．5对交易行为进行抵赖或不承认。1)发信者事后否认曾经发送过某条消息或内容。2)收信者事后否认曾经收到过某条消息或内容。3)购买者不承认确认了的订单。4)商家卖出的商品因价格差而不承认原有的交易。2．电子商务中的信息安全防范技术

2．1数据加密技术加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在网络安全技术中，加密技术是保障信息安全最关键和最基本的技术手段和理论基础，但是由于大部分数据加密算法都源于美国，且受到美国出口管制法的限制，无法在互联网上大规模使用，从而限制了以加密技术为基础网络安全解决方案的应用。2．2密钥管理技术密钥管理包括确保所产生的密钥具有必要的属性，把密钥提前通知给需要它的特定系统，确保密钥按要求得到保护以阻止暴露和／或替代。其中，对称密钥管理是基于共同保守秘密来实现的，采用对称加密技术的双方必须保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄漏和更改密钥的程序。使用公开密钥的交易双方可以使用证书(公开密钥证书)来交换公开密钥。国际电联指定的X509对37福建电脑2008年第11期数字证书进行了定义，数字证书能够起到标识交易双方的作用，是目前电子商务广泛使用的技术之一。2．3身份认证技术网上安全交易的基础是数字证书。要建立安全的电子商务系统,必须首先建立一个稳固、健全的数字证书和认证中心(CA)。数字签名是利用数字技术实现在网络传送文件时，附加个人标记，完成传统意义上手书签名或印章的作用，以表示确认、负责、经手等。使用数字签名可以保证交易中的认证性和不可否认性。数字签名可以防范：接收方伪造、发送者或接收者否认、第三方冒充、接收方篡改。常见的数字签名技术有：RSA数字签名、DSA数字签名、椭圆曲线数入侵检测技术通常通过基于应用的监控技术、基于主机的监控技术、基于目标的监控技术和基于网络的监控技术四种检测技术来抵御攻击。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。认证机制是保护电子商务安全的第一条防线。任何一个在架构设计上、代码开发中以及认证的实现时所出现的小的漏洞或不足，都有可能使电子商务处在被攻击的风险中。因此，加强对认证攻击的充分认识和了解，并在系统开发时选择合适的防御措施，就可以从根本上对某些攻击进行有效的屏蔽，减少后期频繁维护所付出的代价，达到事半功倍的效果。2．4网络安全扫描技术安全扫描技术是对网络的各个环节提供可靠的分析结果，并为系统管理员提供可靠性和安全性分析报告等。包括端口扫描技术和漏洞扫描技术等。2．5病毒防范技术计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后，攻击者通常要在系统中植入木马或逻辑炸弹等程序，为以后攻击系统、网络提供方便条件。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测，工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。2．6电子认证技术为了保证电子商务安全因素的顺利实现，在电子商务中使用了基于公钥体系的安全系统。基于公钥体系的加密系统是按对生成的，每对密钥由公钥和私钥组成，实际应用中，公钥是以证书性质存放的，一个最基本而又是最关键的问题是公钥的分发，也就是证书的分发，如果证书不能得到有效安全的分发，所有的上层应用软件就不能得到安全的保障，解决问题的方法就是建立认证机构体系CA。2．7防火墙技术防火墙(Firewall)是近年来发展最重要的安全技术，它是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段，核心思想是在不安全的网络环境中构造一个相对安全的子网环境。它所保护的对象是网络中有明确闭合边界的一个网块，而它所防范的对象是来自被保护网块外部的安全威胁。目前的防火墙分为两大类，一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器，其显著的优点是较容易提供细颗粒度的存取控制，其可针对特别的网络应用服务协议及数据过滤协议，并且能够对数据包分析并形成相关的报告。通过应用防火墙技术，可以做到通过过滤不安全的服务，极大地提高网络安全和减少网络中主机的风险。但防火墙是一种基于网络边界的被动安全技术，对内部未授权访问难以有效控制，因此较适合于内部网络相对独立，且与外部网络的互连途径有限、网络服务种类相对集中的网络。2．8入侵检测技术入侵检测技术是一种利用入侵者留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测与控制为技术本质，起着主动防御的作用，是网络安全中极其重要的部分。

3．企业实现电子商务的安全策略安全问题是企业应用电子商务最担心的问题,如何保障电子商务活动的安全,一直是电子商务的核心研究领域。作为一个安全的电子商务系统,必须采用相应的网络安全策略。安全策略包括网络安全问题的总原则、对安全使用的要求以及如何保障网络的安全运行。3.1制定安全策略时首先确定的最重要的原则拒绝访问明确准许以外的所有服务。当前一些电子商务企业的安全策略存在两个误区:首先,企业所采取的操作系统的标准安全策略存在问题,这一标准安全策略只能提供一道脆弱的防线,很容易被攻破;其次,为满足多种安全需求,许多企业以零碎的方式实施节点式解决方案,这虽然对电子商务的某些领域提供了有限的保护,但同时使系统管理更为复杂。阻止外来系统入侵只是电子商务安全的一个方面。成功的电子商务安全策略,必须涵盖身份识别与认证、隐私与欺骗控制、管理与审计等传统领域。3.2安全策略制定时还应注意的问题3.2.1将需保护的对象分类,确定需保护的资源及其保护级别;规定可以访问资源的实体和可执行的动作;规定审计功能,记录用户活动及资源使用情况。3.2.2系统的安全应从物理上、技术上、管理制度上以及安全教育上全方位采取措施,相互弥补和完善,尽可能地排除安全漏洞。3.2.3根据企业的实际需要确定内部网的服务类型,规定内部用户和外部用户能够使用的服务种类,建立网管站,并制定出切实可行的安全管理制度。此外还需完善电子商务企业内部安全管理体制,增强相关人员的安全意识。

4．结束语电子商务尚是一个机遇和挑战共存的新领域,这种挑战不仅来源于传统的习惯,来源于计划经济体制和市场经济体制的冲突,更来源于对可使用的安全技术的信赖。企业在应用电子商务时,应采取一系列的安全技术和安全策略。这种种安全措施的采用,一定能保证企业进行安全的电子商务活动。

参考文献：

1.韩磊石松:浅谈电子商务中信息安全问题[J].临沂师范学院学报，2001；(8)：136-139

2.黄发文:计算机网络安全技术初探[J].计算机应用研究，2002(5):46-48

3.林柏钢.网络与信息安全教程[M].机械工业出版社,2005.

4.曹淑艳.电子商务应用基础[M].北京:清华大学出版社,2002.

商务安全论文范文篇7

论文摘要：电子商务安全问题已成为制约电子商务发展的重要问题，安全问题包括电子商务交易安全、计算机网络安全等显性的问题，还包括管理、法律和标准等方面的隐性问题。通过对电子商务安全体系的分析，研究电子商务安全策略，建立一个安全电子商务环境，将促进电子商务健康快速地发展。

电子商务是一个跨国界，跨地区，跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突，不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本，从各主体的角度思考，综合协调了各个市场主体的行为，从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益，它为实现电子商务提供了统一的基础平台和安全屏障。

一、电子商务安全技术保障策略

安全技术保障技术是电子商务安全体系中的基本策略，目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种：

1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换，变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。

2.身份验证技术。电子商务主体向系统证明自己身份，并由系统查核该主体的过程，是确认真实有效身份的重要环节，这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。

3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认，防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。

4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类：分组过滤、应用、电路网关。

二、企业电子商务安全运营管理制度保障策略

企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定，是保证企业取得电子商务成功的基础，是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度，保密制度，跟踪审计制度，系统维护制度、数据备份制度等。

1.人员管理制度人员管理制度主要从人员的选拔，工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。

2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密，这些方面都是需要很好地划分信息安全级别，并确定安全防范重点，提出相应的保密措施。

3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制，来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核，及时发现对系统有安全隐患的记录，监控各种安全事故，维护和管理系统日志。

4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护，硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修；软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。

5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储，定期为重要信息备份、系统设备备份，并定期更新，以减少安全事故发生时造成的损失。

三、电子商务立法策略

电子商务安全得到法律保障，首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。

1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍；消除现有法律适用上的不确定性，保护合理的商业行为，保障电子交易安全；建立一个清晰的法律框架以统一调整电子商务的健康发展。

2.立法范围电子商务安全方面需要的法律法规主要有：市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法，知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等；电子商务调整的对象是电子商务中的各种社会关系。

3.立法途径电子商务法律仍然是调整社会关系，所以应当继承传统立法的合理内核，尤其是基础价值观。具体的立法途径主要是两种：第一是制定新的法律规范。对于传统法律没有规定的，即由电子商务带来的新的社会关系，应尽快制定法律规范；第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确，或与电子商务新型社会关系有冲突甚至存在缺欠的，可以修改或重新解释既定的法律规范。

四、政府监督管理策略

电子商务本质是一种市场运作模式，市场的正常健康有序地发展，必须有政府宏观上的监督与管理，以协调和规范各市场主体的行为，宏观监督与管理电子商务运行中的安全保障体系。

1.计算机信息系统安全管理计算机信息系统，是指“由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度，计算机系统使用单位安全负责制度，计算机案件强行报告制度，计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护，有利于保障国家的安全和社会安定，促进电子商务的安全交易过程，有利电子商务的健康发展。

2.网络广告和网络服务业管理由于网络的开放性，自由性等特征决定了网络广告监管的难度，虚假广告、淫色广告充斥着网络空间，网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手：第一，网络广告组织的管理，必须对网站广告经营主体资格进行管制，第二，规范网络广告内容，确保广告内容的真实性、合法性和科学性。第三，需要有具体的广告审查管制、评估与监测部门。

国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》，其中提出了详细具体的限制条件。但是，网络飞速发展，面对网络中的新问题，还必须进一步深入全面地研究。

3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构，对电子商务交易活动顺利进行，电子商务活动中交易参与各方身份和信息认定，维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督；同时，还要针对其资产和财务状况定期审查，以免发生财务危机，对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。

4.加强社会信用道德建设，构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的，在我国尤其严重，甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式，必然存在不少漏洞，这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施，更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律，充分利用网络新闻舆论监督，消费者舆论监督和行业协会的管理监督。

五、结束语

电子商务安全不仅涉及到电子商务公司、企业、消费者的利益，而且更加广泛地涉及经济、政治、国防、文化等诸多方面，关系到国家的安全、主权和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈，只有解决了电子商务安全，保障了市场主体的利益，才能得到网络用户的认可和参与，电子商务自身也才能得到快速、健康地发展。

参考文献

[1]林宁，吴志刚.我国信息安全技术标准化现状[J].中国标准化，2007（4）

[2]胡艳春.电子商务网站建设中的安全问题研究[J].商场现代化，2006，（10）

商务安全论文范文篇8

关键词：电子商务安全解决之策

一移动电子商务存在的安全问题分析

移动电子商务由于利用了很多新兴的设备和技术，因此带来了很多新的安全问题。在传统电子商务中，很多顾客和企业由于担心因安全问题蒙受损失而一直对这种高效便捷的商务方式持观望态度。而移动电子商务除包含大部分传统电子商务所面临的各种安全问题外，由于自身的移动性所带来的一些相关特性又产生了大量全新的安全问题。总的来说，移动电子商务的安全面临着技术、管理和法律几个方面的挑战，与传统电子商务相比，其安全问题更加复杂，解决起来难度更大。

1.无线窃听

传统的有线网络是利用通信电缆作为传播介质，这些介质大部分处于地下等一些比较安全的场所，因此中间的传输区域相对是受控制的。而在无线通信网络中，所有的通信内容（如移动用户的通话信息、身份信息、位置信息、数据信息等）都是通过无线信道传送的，无线信道是一个开放性信道，是利用无线电波进行传播的，在无线网络中的信号很容易受到拦截并被解码，只要具有适当的无线接收设备就可以很容易实现无线监听，而且很难被发现。

2.非授权访问数据

非授权访问是指未经授权的主体获得了访问网络资源的机会，并有可能篡改信息资源。攻击者能在服务网内窃听、非授权访问用户的敏感数据。这种访问通常是通过在不安全信道上截取正在传输的信息或者利用技术及产品中固有的弱点来实现。

3.假冒攻击

在无线通信网络中，移动站必须通过无线信道传送其身份信息，以便于网络控制中心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听，当攻击者截获到一个合法用户的身份信息时，他就可以利用这个身份信息来假冒该合法用户，这就是所谓的身份假冒攻击。另外，主动攻击者还可以假冒网络控制中心。如在移动通信网络中，主动攻击者可能假冒网络基站来欺骗移动用户，以此手段获得移动用户的身份信息，从而假冒该移动用户身份。

4.移动终端的安全管理问题

很多用户容易将比较机密的个人资料或商业信息存储在移动设备当中，如PIN码、银行帐号甚至密码等，原因是这些移动设备可以随身携带，数据和信息便于查找。但是由于移动设备体积较小，而且没有建筑、门锁和看管保证的物理边界安全，因此很容易丢失和被窃。很多用户对他们的移动设备没有设置密码保护，对存储信息没有备份，在这种情况下丢失数据或被他人恶意盗用，都将会造成很大的损失。

二电子商务安全管理的解决之策

1.身份认证技术

信息安全的一个重要方面是保证通信双方身份的真实性，即防止攻击者对系统进行主动攻击，如假冒用户等。身份认证是防止攻击者主动攻击的一个重要技术，它对于开放环境中特别是无线通信中各种信息的安全有重要作用。认证的主要目的，第一验证消息发送者和接收者的真伪，第二验证消息的完整性，验证消息在传送或存储过程中是否被篡改、重放或延迟等。口令是最简单的身份认证技术，安全性较差，因此有一次性口令等多种技术来提高它的安全性。利用密码技术，特别是公钥密码技术可以获得安全性较高的身份认证功能。保密和认证是信息系统安全的两个重要方面，它们是两个不同属性的问题，一般来说，认证不能自动提供保密，保密不能自然地提供认证功能。

2.WPKI技术

在有线通信中，电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题，但在应用PKI的同时要考虑到移动通信环境的特点，并据此对PKI技术进行改进。

3.安全管理模型的建立及实施

对移动电子商务系统的管理过程是一个动态的管理过程，是一个循环反复、螺旋上升的过程，论文尝试建立一个“闭环”管理模型，将安全管理的各个阶段融入于模型之中，然后不断连续审查整个过程，发现问题时及时更新，及时解决，以便形成越来越完善的安全系统。

制定一套完整的安全方案一套完整的安全方案是实现移动电子商务系统安全的有力保障，移动服务提供商应结合自己实际状况，从人力、物力、财力等各方面做好部署与配置。由于

安全方案涉及到了安全理论、安全产品、网络技术、系统技术实现等多方面专业技能，并且要求有较高的认知能力，因此可以聘请专业安全顾问公司来完成，大多安全顾问公司在做安全方案方面有着丰富的经验，能够制定出符合需要的合理的安全方案来。

4.制定并贯彻安全管理制度

在对系统安全方案和系统安全处理的同时，还必须制定出一套完整的安全管理制度，如外来人员网络访问制度、服务器机房出入管理制度、管理员网络维护管理制度等等。以此来约束普通用户等网络访问者，督促管理员很好地完成自身的工作，增强大家的网络安全意识，防止因粗心大意或不贯彻制度而导致安全事故。尤其要注意制度的监督贯彻执行，否则就形同虚设。

商务安全论文范文篇9

随着信息技术在贸易和商业领域的广泛应用，利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化，已成为各国商务发展的一大趋势。电子商务正是为了适应这种以全球为市场的的变化而出现的和发展起来的，它是当今社会发展最快的领域之一，同时也为全球的经济发展带来新的增长点。电子商务正在改变着人们的生活以及整个社会的发展进程，贸易网络将引起人们对管理模式、工作和生活方式，乃至经营管理思维方式等等的综合革新。对贸易和商业领域来说，电子商务的发展正在改变着传统的贸易方式，缩减交易程序，提高办事效率。现在，许多网站都提供有“商城”，供网民在网上购物。可以说，电子商务应用将越来越普及。然而，随着Internet逐渐发展成为电子商务的最佳载体，互联网具有充分开放，不设防护的特点使加强电子商务的安全问题日益紧迫，只有在全球范围建立一套人们能充分信任的安全保障制度，确保信息的真实性、可靠性和保密性，才能够打消人们的顾虑，放心的参与电子商务。否则，电子商务的发展将失去其支撑点。

要加强电子商务的安全，需要企业本身采取更为严格的管理措施，需要国家建立健全法律制度，更需要有科学的先进的安全技术。

在电子商务的交易中，经济信息、资金都要通过网络传输，交易双方的身份也需要认证，因此，电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒，使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。交易信息的安全是指保护交易双方的不被破坏、不泄密，和交易双方身份的确认。可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。

在这里我想重点谈谈防火墙技术和数据加密技术。

一、防火墙技术。

防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。

新一代的防火墙产品一般运用了以下技术：

(1)透明的访问方式。

以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。而现在的防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。

(2)灵活的系统。

系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。

(3)多级过滤技术。

为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透胆连接,并对服务的通行实行严格控制。

(4)网络地址转换技术。

防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。

(5)Internet网关技术。

由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

(6)安全服务器网络(SSN)。

为了适应越来越多的用户向Internet上提供服务时对服务器的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。

(7)用户鉴别与加密。

为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。

(8)用户定制服务。

为了满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。

(9)审计和告警。

新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。

目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现，故也被称为包过滤路由器。它在网络层对进入和出去内部网络的所有信息进行分析，一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型，并按照信息过滤规则进行筛选，若符合规则，则允许该数据包通过防火墙进入内部网，否则进行报警或通知管理员，并且丢弃该包。这样一来，路由器能根据特定的刿则允许或拒绝流动的数据，如：Telnet服务器在TCP的23号端口监听远程连接，若管理员想阻塞所有进入的Telnet连接，过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快，实现方便，但由于它是通过IP地址来判断数据包是否允许通过，没有基于用户的认证，而IP地址可以伪造成可信任的外部主机地址，另外它不能提供日志，这样一来就无法发现黑客的攻击纪录。

其二是应用级防火墙。大多数的应用级防火墙产品使用的是应用机制，内置了应用程序，可用服务器作内部网和Internet之间的的转换。若外部网的用户要访问内部网，它只能到达服务器，若符合条件，服务器会到内部网取出所需的信息，转发出去。同样道理，内部网要访问Internet,也要通过服务器的转接，这样能监控内部用户访问Internet.这类防火墙能详细记录所有的访问纪录，但它不允许内部用户直接访问外部，会使速度变慢。且需要对每一个特定的Internet服务安装相应的服务器软件，用户无法使用未被服务器支持的服务。

防火墙技术从其功能上来分，还可以分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用，以弥补各自的缺陷和增加系统的安全性能。

防火墙虽然能对外部网络的功击实施有效的防护，但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的，还需考虑其它技术和非技术的因素，如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。就防火墙本身来看，包过滤技术和访问模式等都有一定的局限性，因此人们正在寻找更有效的防火墙，如加密路由器、“身份证”、安全内核等。但实践证明，防火墙仍然是网络安全中最成熟的一种技术。

二、数据加密技术

在电子商务中，信息加密技术是其它安全技术的基础，加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式（即加密），在线路上传送或在数据库中存储，其他用户再将密文还原成明文（即解密），从而保障信息数据的安全性。

数据加密的方法很多，常用的有两大类。一种是对称加密。一种是非对称密钥加密。对称加密也叫秘密密钥加密。发送方用密钥加密明文，传送给接收方，接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。典型的代表是美国国家安全局的DES。它是IBM于1971年开始研制，1977年美国标准局正式颁布其为加密标准，这种方法使用简单，加密解密速度快，适合于大量信息的加密。但存在几个问题：第一，不能保证也无法知道密钥在传输中的安全。若密钥泄漏，黑客可用它解密信息，也可假冒一方做坏事。第二，假设每对交易方用不同的密钥，N对交易方需要N*(N-1)/2个密钥，难于管理。第三，不能鉴别数据的完整性。

非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时，使用不同的密钥，在通信双方各具有两把密钥，一把公钥和一把密钥。公钥对外界公开，私钥自己保管，用公钥加密的信息，只能用对应的私钥解密，同样地，用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下：

（1）发送方甲用接收方乙的公钥加密自己的私钥。

（2）发送方家用自己的私钥加密文件，然后将加密后的私钥和文件传输给接收方。

（3）接收方乙用自己的私钥解密，得到甲的私钥。

（4）接收方乙用甲的公钥解密，得到明文。

这个过程包含了两个加密解密过程：密钥的加解密和文件本身的加解密。在密钥的加密过程中，由于发送方甲用乙的公钥加密了自己的私钥，如果文件被窃取，由于只有乙保管自己的私钥，黑客无法解密。这就保证了信息的机密性。另外，发送方甲用自己的私钥加密信息，因为信息是用甲的私钥加密，只有甲保管它，可以认定信息是甲发出的，而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。

商务安全论文范文篇10

一、电子商务安全技术保障策略

4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类：分组过滤、应用、电路网关。

二、企业电子商务安全运营管理制度保障策略

1.人员管理制度人员管理制度主要从人员的选拔，工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。

三、电子商务立法策略

2.立法范围电子商务安全方面需要的法律法规主要有：市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法，知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等；电子商务调整的对象是电子商务中的各种社会关系。[3.立法途径电子商务法律仍然是调整社会关系，所以应当继承传统立法的合理内核，尤其是基础价值观。具体的立法途径主要是两种：第一是制定新的法律规范。对于传统法律没有规定的，即由电子商务带来的新的社会关系，应尽快制定法律规范；第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确，或与电子商务新型社会关系有冲突甚至存在缺欠的，可以修改或重新解释既定的法律规范。

四、政府监督管理策略

五、结束语

参考文献

[1]林宁，吴志刚.我国信息安全技术标准化现状[J].中国标准化，2007（4）

[2]胡艳春.电子商务网站建设中的安全问题研究[J].商场现代化，2006，（10）