淺談電子商務(wù)信息安全及安全技術(shù)

　　電子商務(wù)已經(jīng)改變了人們的生活方式，成為人們生活中不可缺少的部分，而電子商務(wù)順利進(jìn)行的必要保障是電子商務(wù)安全。所以小編為大家整理了一下電子商務(wù)信息安全及安全技術(shù)的內(nèi)容，僅供參考，希望喜歡。

　　淺談電子商務(wù)信息安全及安全技術(shù) 篇1

　　近年來,隨著因特網(wǎng)的普及日漸迅速,電子交易開始融入人們的日常生活中,網(wǎng)上訂貨、網(wǎng)上繳費(fèi)等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式,越來越多的人開始使用電子商務(wù)網(wǎng)站來傳遞各種信息,并進(jìn)行各種交易。電子商務(wù)網(wǎng)站傳遞各種商務(wù)信息依靠的是互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個完全開放的網(wǎng)絡(luò),任何一臺計算機(jī)、任何一個網(wǎng)絡(luò)都可以與之相連。它又是無國界的,沒有管理權(quán)威,“是世界唯一的無政府領(lǐng)地”,因此,網(wǎng)上的安全風(fēng)險就構(gòu)成了對電子商務(wù)的安全威脅。

　　一 、電子商務(wù)信息的安全要素

　　1.機(jī)密性

　　傳統(tǒng)的貿(mào)易大多是通過書信或者可靠的通信渠道來發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達(dá)到保密的目的,而電子商務(wù)是在開放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的,因此要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務(wù)信息的機(jī)密性就變得非常重要。

　　2.完整性

　　電子商務(wù)極大地簡化了傳統(tǒng)貿(mào)易過程,減少了認(rèn)為的干預(yù),同時也伴隨著貿(mào)易各方商業(yè)信息的完整、同一問題。由于數(shù)據(jù)錄入時合法或非法的行為,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異。信息在傳輸?shù)倪^程中也有可能造成信息的丟失、重復(fù)或次序的差異。因此要預(yù)防對信息的各種非法操作,保證數(shù)據(jù)在傳送的過程中完整性。

　　3.認(rèn)證性

　　網(wǎng)絡(luò)環(huán)境是一個虛擬的環(huán)境,而電子商務(wù)就是在這個虛擬平臺上進(jìn)行的,貿(mào)易雙方一般都不見面,需要一些技術(shù)和策略來進(jìn)行身份確認(rèn)。當(dāng)個人或?qū)嶓w聲稱身份時,電子商務(wù)服務(wù)需要提供一種方式來進(jìn)行身份認(rèn)證。

　　4.有效性

　　在交易的過程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來確認(rèn)這此信息,保證謝謝信息的有效性是開展電子商務(wù)的前提。因此要對網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯誤及計算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點(diǎn)是有效的。

　　二、電子商務(wù)網(wǎng)絡(luò)的安全隱患

　　1.竊取信息

　　(1)交易雙方進(jìn)行交易的內(nèi)容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。

　　2.篡改信息

　　電子的交易信息在網(wǎng)絡(luò)傳輸?shù)倪^程中,可能被他人非法的修改、刪除這樣就使信息失去了真實(shí)性和完整性。

　　3.假冒

　　第三方可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。

　　4.惡意破壞

　　由于攻擊者可以接入網(wǎng)絡(luò),則可能對網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,破壞網(wǎng)絡(luò)的硬件或軟件而導(dǎo)致交易信息傳遞丟失與謬誤。計算機(jī)網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞,而使電子商務(wù)信息遭到破壞。

　　三、電子商務(wù)安全中的幾種技術(shù)手段

　　1.防火墻(FireWall)技術(shù)

　　防火墻是一種隔離控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。

　　2.加密技術(shù)

　　數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對稱加密和非對稱加密，采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡單地根據(jù)其加密強(qiáng)度來做出判斷。

　　(1)對稱加密

　　在對稱加密方法中，對信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程，貿(mào)易雙方都不必彼此研究和交換專用的加密算法，如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露，那么機(jī)密性和報文完整性就可以得到保證。不過，對稱加密技術(shù)也存在一些不足，如果某一貿(mào)易方有n個貿(mào)易關(guān)系，那么他就要維護(hù)n個私有密鑰。對稱加密方式存在的另一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)，它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域。DES對64位二進(jìn)制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位，實(shí)際密鑰長度為56位(8位用于奇偶校驗(yàn))。解密時的過程和加密時相似，但密鑰的順序正好相反。

　　(2)非對稱加密/公開密鑰加密

　　在Internet中使用更多的是公鑰系統(tǒng)，即公開密鑰加密。在該體系中，密鑰被分解為一對：公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開，而另一把則作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中，加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現(xiàn)，但卻不能根據(jù)PK計算出SK。

　　常用的公鑰加密算法是RSA算法，加密強(qiáng)度很高。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。發(fā)送方在發(fā)送數(shù)據(jù)時必須加上數(shù)字簽名，做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名，然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名，然后用發(fā)布方公布的公鑰對數(shù)字簽名進(jìn)行解密，如果成功，則確定是由發(fā)送方發(fā)出的。由于加密強(qiáng)度高，而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密，因此十分適合Internet網(wǎng)上使用。

　　3.數(shù)字簽名

　　數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全核心技術(shù)之一，它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù)。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性的。但在計算機(jī)網(wǎng)絡(luò)中傳送的報文又如何蓋章呢？這就是數(shù)字簽名所要解決的問題。數(shù)字簽名必須保證以下幾點(diǎn)：接收者能夠核實(shí)發(fā)送者對報文的簽名；送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名�，F(xiàn)在己有多種實(shí)現(xiàn)數(shù)字簽名的方法，采用較多的就是公開密鑰算法。

　　4.數(shù)字證書

　　(1)認(rèn)證中心

　　在電子交易中，數(shù)字證書的發(fā)放不是靠交易雙方來完成的，而是由具有權(quán)威性和公正性的第三方來完成的。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

　　(2)數(shù)字證書

　　數(shù)字證書是用電子手段來證實(shí)一個用戶的身份及他對網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字證書，并用它來進(jìn)行交易操作，那么交易雙方都可不必為對方身份的真?zhèn)螕?dān)心。

　　5.消息摘要(Message Digest)

　　消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由Ron Rivest所發(fā)明的。消息摘要是一個惟一對應(yīng)一個消息的值。它由單向Hash加密算法對所需加密的明文直接作用，生成一串128bit的密文，這一串密文又被稱為“數(shù)字指紋”( Finger Print )。所謂單向是指不能被解密，不同的明文摘要成密文，其結(jié)果是絕不會相同的，而同樣的明文其摘要必定是一致的，因此，這串摘要成為了驗(yàn)證明文是否是“真身”的數(shù)字“指紋”了。

　　結(jié)語：本文分析了目前電子商務(wù)的安全需求，使用的安全技術(shù)及仍存在的問題，并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn)，但必須強(qiáng)調(diào)說明的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題，從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

　　淺談電子商務(wù)信息安全及安全技術(shù) 篇2

　　一、電子商務(wù)安全威脅與需求

　　1.1主要安全威脅

　　電子商務(wù)建設(shè)主要面臨著賬戶安全威脅、交易安全威脅、基礎(chǔ)網(wǎng)絡(luò)威脅、業(yè)務(wù)連續(xù)性威脅。

　�。�1）賬戶安全威脅。賬戶安全是電子商務(wù)信息安全的基礎(chǔ)，賬戶安全威脅主要來源于賬戶被盜與垃圾注冊。

　　（2）交易安全威脅�，F(xiàn)階段在電子商務(wù)交易過程中發(fā)生的安全威脅主要包括惡意評價、交易欺詐、不良信息發(fā)布。

　�。�3）基礎(chǔ)網(wǎng)絡(luò)威脅。電子商務(wù)是構(gòu)建在互聯(lián)網(wǎng)上的交易平臺，同樣面臨著DDoS、端口掃描、密碼暴力破解、網(wǎng)站后門等安全威脅。

　�。�4）業(yè)務(wù)連續(xù)性威脅。在電子商務(wù)領(lǐng)域主要面臨著特有的業(yè)務(wù)高彈性變化威脅，因?yàn)闃I(yè)務(wù)發(fā)展過快或網(wǎng)上促銷活動等原因，電子商務(wù)企業(yè)會面臨著大量客戶訪問超出現(xiàn)有系統(tǒng)設(shè)計容量的局面，而中小企業(yè)受限于資金規(guī)模導(dǎo)致其無力建設(shè)后備系統(tǒng)用于滿足無法預(yù)測的業(yè)務(wù)訪問量，最終影響電子商務(wù)網(wǎng)站對外提供服務(wù)的連續(xù)性。

　　1.2安全需求

　　電子商務(wù)信息安全建設(shè)的需求主要來自于業(yè)務(wù)連續(xù)性、保護(hù)賬戶和交易信息安全、電子商務(wù)網(wǎng)站自身的安全性。

　�。�1）業(yè)務(wù)連續(xù)性是電子商務(wù)業(yè)務(wù)的第一要素，應(yīng)采用防DDoS技術(shù)、系統(tǒng)彈性擴(kuò)容技術(shù)來保障電子商務(wù)對外業(yè)務(wù)的連續(xù)性。

　　（2）使用公共網(wǎng)絡(luò)的電子商務(wù)賬戶信息和在線交易中的信息宜受保護(hù)，應(yīng)采用加密技術(shù)、黑名單、防釣魚、數(shù)字簽名技術(shù)來防止欺詐活動，保證賬戶和交易信息安全。

　　（3）電子商務(wù)網(wǎng)站自身的安全性宜受保護(hù)，應(yīng)采取檢測網(wǎng)站漏洞、掛馬、端口安全、網(wǎng)站后門等安全手段，防密碼暴力破解及管理員異地登錄預(yù)警等技術(shù)來保障系統(tǒng)的安全性。

　　二、電子商務(wù)信息安全的關(guān)鍵標(biāo)準(zhǔn)研制

　　針對目前電子商務(wù)信息安全技術(shù)、管理、業(yè)務(wù)應(yīng)用等領(lǐng)域工作存在的界定不清、內(nèi)容不全、深度不統(tǒng)一等問題，通過技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)進(jìn)行規(guī)范統(tǒng)一變得尤為重要。結(jié)合電子商務(wù)實(shí)際情況，在電子商務(wù)信息技術(shù)、業(yè)務(wù)應(yīng)用、安全管理等方面標(biāo)準(zhǔn)研究的基礎(chǔ)上，主要進(jìn)行以下標(biāo)準(zhǔn)研究。

　　2.1電子商務(wù)信息安全技術(shù)標(biāo)準(zhǔn)

　　確立電子商務(wù)信息安全保障總體架構(gòu)，為電子商務(wù)所涉及的信息安全技術(shù)、信息業(yè)務(wù)應(yīng)用安全、信息安全管理等方面安全要求的實(shí)施提供指導(dǎo)。從需求分析、方案設(shè)計、安全評估、運(yùn)行等方面對信息安全建設(shè)實(shí)施給予指導(dǎo)。

　　2.1.1業(yè)務(wù)應(yīng)用安全業(yè)務(wù)應(yīng)用安全是指在物理安全、網(wǎng)絡(luò)安全等安全環(huán)境的支持下，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的安全目標(biāo)，主要涉及到服務(wù)器端與客戶端相應(yīng)的安全服務(wù)。

　　（1）服務(wù)器端的交易服務(wù)、數(shù)據(jù)服務(wù)、Web服務(wù)、文件服務(wù)等部件及其安全方面的屬性要求。交易服務(wù)及其安全屬性要求，為了使電子交易安全可靠，必須建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，保證整個電子商務(wù)交易活動中信息的安全性、匿名性和完整性，交易信息服務(wù)提供了安全、可靠的電子交易在線/離線運(yùn)算。數(shù)據(jù)服務(wù)及其安全屬性要求，局域網(wǎng)中的一臺或多臺計算機(jī)及其數(shù)據(jù)庫管理系統(tǒng)軟件共同構(gòu)成了數(shù)據(jù)庫服務(wù)，數(shù)據(jù)庫服務(wù)為客戶應(yīng)用提供服務(wù)。這些服務(wù)是查詢、更新、事務(wù)管理、索引、高速緩存、查詢優(yōu)化、安全及多用戶存取控制等。通過傳輸層和應(yīng)用層安全協(xié)議、電子簽名、標(biāo)識與鑒別、密碼技術(shù)、抗抵賴、內(nèi)容安全、訪問控制和PKI等實(shí)現(xiàn)安全防護(hù)。Web服務(wù)及其安全屬性要求，Web服務(wù)主要功能是提供信息傳輸與交換服務(wù)。主要解決網(wǎng)絡(luò)通信和信息交換過程中的.訪問控制、實(shí)體鑒別以及傳輸過程中的信息機(jī)密性、完整性問題。文件服務(wù)及其安全屬性要求，在計算機(jī)網(wǎng)絡(luò)中，以文件數(shù)據(jù)共享為目標(biāo)，需要將多臺計算機(jī)共享的文件存放于一臺計算機(jī)中。這臺計算機(jī)被稱為文件服務(wù)器，文件服務(wù)器具有分時系統(tǒng)管理的全部功能，能夠?qū)θ�網(wǎng)統(tǒng)一管理，能夠提供網(wǎng)絡(luò)用戶訪問文件、目錄的并發(fā)控制和安全保密措施。

　�。�2）客戶端的應(yīng)用程序模型分類和安全方面的屬性要求�？蛻舳说膽�(yīng)用程序模型大致分為兩種：C/S（客戶端/服務(wù)器模型）和B/S（瀏覽器/服務(wù)器模型）�？蛻舳说陌踩�性主要是指應(yīng)用層次的安全性，主要通過用戶權(quán)限、角色分配來實(shí)現(xiàn)。對于客戶端應(yīng)用程序來說，通常需要通過公共密鑰基礎(chǔ)設(shè)施（PKI）為應(yīng)用提供可靠的安全服務(wù)。

　　2.1.2信息安全建設(shè)實(shí)施電子商務(wù)信息安全建設(shè)流程可劃分為6個階段:風(fēng)險評估、需求分析、方案設(shè)計、測試、系統(tǒng)安裝調(diào)試、正式運(yùn)行等。

　　（1）風(fēng)險評估。運(yùn)用風(fēng)險評估方法計算企業(yè)整體的資產(chǎn)價值、弱點(diǎn)、威脅發(fā)生的幾率及可能造成的影響等。評估時應(yīng)考慮下面的因素：

　�、傩畔�安全可能造成的商業(yè)損失，并把損失的潛在后果也考慮進(jìn)來。

　　②在極為普遍的危害和采取的相應(yīng)措施的作用下，故障實(shí)際發(fā)生的可能性。

　�。�2）需求分析。在項(xiàng)目的計劃階段，項(xiàng)目需求部門應(yīng)與項(xiàng)目建設(shè)部門共同討論信息系統(tǒng)的安全需求，明確重要的安全需求點(diǎn)，安全需求分析應(yīng)該作為項(xiàng)目需求分析報告的組成部分。

　�、夙�(xiàng)目需求部門與項(xiàng)目建設(shè)部門應(yīng)對系統(tǒng)進(jìn)行風(fēng)險分析，考慮業(yè)務(wù)處理流程中的技術(shù)控制要求、業(yè)務(wù)系統(tǒng)及其相關(guān)在線系統(tǒng)運(yùn)行過程中的安全控制要求，在滿足相關(guān)法律、法規(guī)、技術(shù)規(guī)范和標(biāo)準(zhǔn)等的約束下，確定系統(tǒng)的安全需求。

　�、趯ο到y(tǒng)安全應(yīng)遵循適度保護(hù)的原則，需在滿足以下基本要求的前提下，實(shí)施與業(yè)務(wù)安全等級相符合的安全機(jī)制：通過必要的技術(shù)手段建立適當(dāng)?shù)陌踩�管控機(jī)制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、篡改和復(fù)制。實(shí)施必要的數(shù)據(jù)備份和恢復(fù)控制。實(shí)施有效的用戶和密碼管理，能對不同級別的用戶進(jìn)行有限授權(quán)，防止非法用戶的侵入和破壞。

　�、巯到y(tǒng)的安全需求及其分析需經(jīng)過項(xiàng)目組內(nèi)部充分討論，項(xiàng)目需求方和項(xiàng)目建設(shè)方應(yīng)對安全需求及其分析的理解達(dá)成一致。

　�。�3）方案設(shè)計。項(xiàng)目建設(shè)部門應(yīng)根據(jù)確定的安全需求設(shè)計系統(tǒng)安全技術(shù)方案，應(yīng)滿足以下要求：系統(tǒng)安全技術(shù)方案要滿足所有安全需求，并符合公安部、工信部和主管部門的法規(guī)和標(biāo)準(zhǔn)要求。系統(tǒng)安全技術(shù)方案應(yīng)至少包括網(wǎng)絡(luò)安全設(shè)計、操作系統(tǒng)和數(shù)據(jù)庫安全、應(yīng)用軟件安全設(shè)計等部分。系統(tǒng)安全技術(shù)方案涉及采用的安全產(chǎn)品，應(yīng)符合國家有關(guān)法律法規(guī)。

　　（4）測試。

　�、傩畔⑾到y(tǒng)安全功能測試在信息系統(tǒng)測試階段，應(yīng)根據(jù)信息系統(tǒng)安全功能需求進(jìn)行測試，確保所有設(shè)計的安全功能均能得到落實(shí)和實(shí)現(xiàn)。在測試報告或相關(guān)文檔中應(yīng)明確說明檢查列表中各項(xiàng)安全功能的落實(shí)和實(shí)現(xiàn)情況。

　　②測試過程的安全管理在信息系統(tǒng)開發(fā)測試過程中，對于來自業(yè)務(wù)系統(tǒng)的數(shù)據(jù)要根據(jù)相關(guān)規(guī)定進(jìn)行變形處理，禁止在開發(fā)或測試環(huán)境中直接使用生產(chǎn)系統(tǒng)的密鑰和用戶密碼等重要數(shù)據(jù)。測試環(huán)境要依據(jù)相關(guān)規(guī)定進(jìn)行合適的管理和安全防護(hù)，并通過相應(yīng)的手段確保與生產(chǎn)系統(tǒng)、開發(fā)系統(tǒng)隔離。

　�。�5）系統(tǒng)安裝調(diào)試。在信息系統(tǒng)安裝部署時，應(yīng)采取相應(yīng)措施確保系統(tǒng)安全功能的實(shí)現(xiàn)，對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等軟件的安裝部署和配置應(yīng)該符合相應(yīng)的安全規(guī)范和標(biāo)準(zhǔn)。信息系統(tǒng)投產(chǎn)前應(yīng)進(jìn)行安全評估或?qū)彶�，通過審查系統(tǒng)設(shè)計文檔中的安全功能設(shè)計、系統(tǒng)測試文檔中的安全功能測試，確保系統(tǒng)本身安全功能的實(shí)現(xiàn)。通過審核系統(tǒng)安裝與配置過程或文檔，確保系統(tǒng)安全配置的落實(shí)與實(shí)現(xiàn)。

　�。�6）正式運(yùn)行。系統(tǒng)投入正式運(yùn)行后，需清除系統(tǒng)中各種臨時數(shù)據(jù)，進(jìn)行管理權(quán)交接，開發(fā)方不得隨意更改安全策略和系統(tǒng)配置。

　　2.2電子商務(wù)平臺安全管理標(biāo)準(zhǔn)

　　通過總結(jié)現(xiàn)有電子商務(wù)交易過程中遇到的安全問題，經(jīng)過提煉和深化，系統(tǒng)規(guī)定電子商務(wù)交易平臺安全管理類型，如用戶安全管理、交易安全管理、信息安全管理、管理安全規(guī)范等的系統(tǒng)規(guī)定。

　�。�1）用戶安全管理：主要對電商企業(yè)賬戶體系的安全和用戶信息的安全管理進(jìn)行規(guī)范；對用戶注冊、用戶信息的使用、用戶隱私保護(hù)、用戶發(fā)布信息的管理提供保護(hù)措施。

　　（2）交易安全管理：主要對電商企業(yè)在交易過程中遇到的如商品質(zhì)量問題、物流安全問題、交易欺詐問題、評價體系等進(jìn)行規(guī)定；以保障消費(fèi)者權(quán)益，建立健全的網(wǎng)上交易信譽(yù)體系。

　�。�3）信息安全管理：重點(diǎn)對電商企業(yè)在信息的發(fā)布、傳輸、管理、存儲、控制等進(jìn)行規(guī)定。

　�。�4）管理安全規(guī)范：重點(diǎn)對電商企業(yè)在安全管理中的人員配備、工作流設(shè)置、管理制度上做規(guī)定。

　　淺談電子商務(wù)信息安全及安全技術(shù) 篇3

　　摘要：隨著科學(xué)技術(shù)的發(fā)展和時代的日新月異，我們的生活在不知不覺中發(fā)生了翻天覆地的變化，就連最基本的購物和消費(fèi)都在默默變化著。近年來，隨著亞馬遜、阿里巴巴等電子商務(wù)如火如荼地闖入大眾的視野，“電子商務(wù)”這個在十幾年前聞所未聞的名詞如今成為人們口中常談的對象。在大眾的口中，“電子商務(wù)”這個名詞依舊略顯陌生和專業(yè)，人們常常用“網(wǎng)購”和“網(wǎng)上支付”來代替“電子商務(wù)”，實(shí)際上說的是一回事。電子商務(wù)的出現(xiàn)，打破了空間的束縛，極大地方便了人們的購物行為，刺激了消費(fèi)，一定程度上促進(jìn)了經(jīng)濟(jì)的繁榮和增長。

　　關(guān)鍵詞：電子商務(wù);信息安全技術(shù)

　　一、電子商務(wù)發(fā)展存在的風(fēng)險

　　第三方的電子交易平臺在網(wǎng)絡(luò)上對于信息進(jìn)行儲存、記錄、處理、發(fā)布和傳遞，以此來協(xié)助一次網(wǎng)絡(luò)消費(fèi)行為的完成。一般情況下，這些信息都具有真實(shí)性和保密性，屬于大眾的隱私。但是，現(xiàn)在的網(wǎng)絡(luò)環(huán)境比較惡劣，有很多網(wǎng)絡(luò)陷阱以及刻意挖掘用戶信息的“黑客”，從而導(dǎo)致基本信息出現(xiàn)失真、泄露和刪除的危機(jī)，不利于正常電子商務(wù)交易的完成。對于電子商務(wù)信息大致上可以分為以下幾類：

　　第一，信息的真實(shí)性;

　　第二，信息的實(shí)時性;

　　第三，信息的安全性。

　　首先，是信息的真實(shí)性。電子商務(wù)上的基本信息是賣家和買家進(jìn)行認(rèn)識對方和分辨商品真實(shí)性可靠性的唯一途徑，應(yīng)該絕對真實(shí)。一旦出現(xiàn)虛假信息，則屬于欺騙消費(fèi)者，是危害消費(fèi)者權(quán)益的不法行為。其次，是信息的實(shí)時性。信息的實(shí)時性主要是指信息的保質(zhì)期。因?yàn)楹芏嘈畔⒅辉谝欢螘r間內(nèi)有效，具有時效性，一旦錯過這段關(guān)鍵時期，那么該信息則失去自身的價值，變得一文不值。最后，就是信息的安全性，這也是消費(fèi)者最為關(guān)心的問題。電子商務(wù)出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除、篡改從而失真，同時也表現(xiàn)為用戶的信息被竊取從而達(dá)成其他目的，使得用戶的隱私被侵犯，正常的生活受到打擾。

　　二、電子商務(wù)的信息安全技術(shù)的內(nèi)容

　　2.1備份技術(shù)。相信備份技術(shù)對于大眾來說不是很陌生。但是很多人卻錯誤的將備份理解為拷貝，從而片面的看待這個問題。電子商務(wù)對于網(wǎng)絡(luò)環(huán)境有很大的依賴性，網(wǎng)絡(luò)環(huán)境自身卻存在極大的不穩(wěn)定性，這就導(dǎo)致電子商務(wù)的發(fā)展存在不可避免的風(fēng)險，如果沒有一個數(shù)據(jù)庫對于基本信息進(jìn)行存儲，那么一旦出現(xiàn)系統(tǒng)故障或者誤刪的情況則信息永遠(yuǎn)消失，這對于商家來說是極其可怕的，因此，電子商務(wù)的第三方有一個信息儲存庫，旨在在必要的時刻段時間內(nèi)將客戶的信息及時恢復(fù)。這種恢復(fù)不是簡單的、傳統(tǒng)意義上的恢復(fù)，而是通過備份介質(zhì)得以完成的。這樣的話，在系統(tǒng)故障或者其他原因?qū)е滦畔⒃诙虝r間內(nèi)無法正�；謴�(fù)時，可以借助儲存在備份介質(zhì)中的信息將信息還原到原來的備份狀態(tài)。

　　2.2認(rèn)證技術(shù)。所謂認(rèn)證技術(shù)其實(shí)一個專業(yè)術(shù)語，道理實(shí)際上很簡單，就是我們常說的登錄口令。認(rèn)證技術(shù)的目的主要在于阻止不具有系統(tǒng)授權(quán)的用戶進(jìn)行非法的破壞計算機(jī)機(jī)密數(shù)據(jù)，是數(shù)據(jù)庫系統(tǒng)為減少和避免各種破壞電子商務(wù)安全的重要策略。登陸口令是我們正常用戶進(jìn)行電子商務(wù)平臺登錄的方式，是大眾在網(wǎng)絡(luò)環(huán)境下的身份證。我們每一個用戶在使用某一個電子商務(wù)平臺之前都被要求進(jìn)行注冊，從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨(dú)一無二的，是我們進(jìn)行網(wǎng)上交易的身份認(rèn)證和識別。因?yàn)殡娮由虅?wù)平臺往往具有開放性，一旦沒有身份認(rèn)證后果將不堪設(shè)想。人們的信息安全更是沒有任何保障。

　　2.3訪問控制技術(shù)。訪問控制技術(shù)也可以理解為訪問等級制度，電子商務(wù)的系統(tǒng)會根據(jù)用戶的不同等級對于用戶對于系統(tǒng)數(shù)據(jù)的訪問進(jìn)行一定的控制。等級較低時，則用戶的訪問權(quán)限有限，一些重要的關(guān)鍵的信息則被系統(tǒng)禁止訪問，只要當(dāng)?shù)燃壿^高時才能獲得相關(guān)權(quán)限，這就保證了一些重要信息不會被竊取。關(guān)于用戶的訪問權(quán)限也有兩層含義，首先是用戶能夠獲得數(shù)據(jù)庫中的信息種類和數(shù)量，另一層含義則是指用戶對于獲取的數(shù)據(jù)庫信息進(jìn)行怎樣的操作。

　　電子商務(wù)的便利性和優(yōu)點(diǎn)遠(yuǎn)遠(yuǎn)大于其存在的信息安全技術(shù)風(fēng)險給人們帶來的不便，盡管信息安全技術(shù)問題層出不窮，但是大眾們依然親睞和依賴電子商務(wù)。但電子商務(wù)想要獲得更廣闊的發(fā)展空間，虜獲更多人的心，則必須在信息安全技術(shù)問題上下一點(diǎn)功夫。其次，對于普通消費(fèi)者來說，掌握一定的電子商務(wù)信息安全知識是十分必要的，它既能幫助我們在需要的時候解決自己原來束手無策的問題，更能讓自身的網(wǎng)購行為變得更加安全，減少甚至避免了很多不必要麻煩的出現(xiàn)，因此，不管你從事任何行業(yè)，都需要對于電子商務(wù)的信息安全問題進(jìn)行一定的了解。