电子商务安全及其评估

来源 :科技与企业 | 被引量 : 0次 | 上传用户:moxihuanyu
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘 要】近年来,电子商务的安全问题阻碍了其快速发展的主要原因之一。可以預见,要迈入真正意义的电子商务时代,安全问题必须解决。电子商务安全安全及其评估在信息安全体系建设中占有重要的地位,是了解系统安全现状、提出安全解决方案、加强信息安全监督管理的有效手段。电子商务安全是动态的过程,并非一劳永逸,随着系统安全状态的动态变化,应定期对系统进行安全评估,不断开发新的安全产品,健全安全法律法规,电子商务安全是立体而非平面的,需要有整体的、多层次的安全策略,要考虑实体安全、网络安全以及信息安全和管理安全。
  【关键词】电子商务安全;评估;标准
  1.电子商务安全
  1.1 电子商务安全需求
  在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:
  (1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。
  (2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。
  (3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。
  (4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。
  1.2 电子商务安全隐患
  电子商务不但面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。
  归结起来,电子商务中的安全性隐患主要有其应用层、传输层、存储层和系统层等四个方面:
  (1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层所的安全性漏洞将直接会造成电子商务中的安全性隐患。
  (2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:①意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情祝造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。②有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。
  (3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏,以及跨平台数据交换引起的数据丢失等三个方面的问题。
  (4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。
  1.3 电子商务安全要求
  (1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。
  (2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
  (3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺一诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
  (4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。
  (5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。
  (6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。
  1.4 电子商务安全技术
  通过使用各种密码技术,可以满足不同的安全需求。
  (1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。
  (2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。
  (3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。
  (4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。   2.电子商务安全评估的標准
  标准是技术性法规,作为一种依据和尺度。没有标准,国家有关的立法、执法就会因缺乏相应的技术尺度而失之偏颇,最终会给国家信息安全的管理带来严重后果,建立评估标准的目的是建立一个世界各国都能接受的通用的信息安全产品和系统的安全性评价准则,国家与国家之间可以通过签订互认协议,决定相互接受的认可级别,这样就能使大部分的基础性安全机制在任何一个地方通过评估准则评价并得到许可进入国际市场时,不需要再作评价,使用国只需要测试与国家主权和安全相关的安全功能即可,从而可以大幅度节省评价支出并迅速推向市场。但是,由于信息安全产品和系统的安全性评价事关国家主权和安全利益,所以没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评价基础上,而是在充分借鉴国际标准的前提下,制定自己的测评认证标准。在计算机信息技术安全标准发展的历史上,美国、加拿大、欧盟以及中国开发出了多种计算机系统及产品安全评估准则与标准。
  3.电子商务安全的国际评估标准
  3.1 TCSEC--美国计算机安全标准
  TCSEC--可信计算机系统评估准则。1985年,美国发布了第一个计算机安全标准,即现在经常谈论的可信计算机系统评估准则(TCSEC),由于采用了橘色书皮,也称“橘皮书”。
  TCSEC中定义的准则主要涉及商用可信自动数据处理系统。准则中描绘了不同安全等级的最低要求特点和可信措施。其目的之一是为生产厂家提供一种安全标准,二是为国防部评估信息产品可信度提供一种安全量度,三是为了产品规格中规定的安全要求提供基准。可信计算机系统评估准则的安全等级分为A、B、C、D四级。其中A为最高级,D为最低级。每级的具体划分确定按安全策略、可计算性、可信赖性和文件编制四个方面进行。
  3.2 ITSEC--欧洲信息技术安全评估准则
  欧洲信息技术安全评估准则(ITSEC)将安全功能和功能评估的概念区分开来。每个产品最少给出两个基本参数,其中一个是安全功能,另一个是实现的准确性。功能性准则的度量范围为F1一F10共十级,其中Fl对应了TCSEC的c1级,……,F5对应于B3级。F6~F10的功能和规格添加了下述一些概念:F6添加了数据和程序的完整性概念;F7添加了系统可用性概念;F8添加了数据通信完整性概念;F9添加了通信机密性概念;F10添加了网络安全,包括机密性和完整性概念。
其他文献
目的探讨胺碘酮联合硫酸镁治疗顽固性室性心律失常的临床疗效。方法将该院2009~2011年间收治的86例顽固性室性心律失常患者随机分为观察组和对照组,每组各43例,对照组患者给予
一、调查对象与方法 1.调查点选择 在昆区三条主要交通干线的四个主要交通路口(团结大街劳动局岗、友谊大街友谊市场岗、钢铁大街包百岗及市委西岗)设监测点,并在医学院内设对照点。 2.监测时间 根据车流量变化规律,每天早(8:00~9:00)午(14:00~15:00)、晚(18:00~19:00)采样三次,连续采样5天。 3.监测指标及分析方法 选CO、NO_x、O_3、IP、Pb作为监侧指标,按照
健康人体栖息着大量微生物,定居在体表与外界相通的腔道中.阴道与其特定的菌群共同形成了一个巧妙的生态平衡,阴道内正常存在的许多微生物是不致病的,但在某些情况下,如免疫
凝结水泵为汽轮机主要耗电辅机之一,本文主要通过对凝结水泵变频改造后系统和运行方式进行进一步优化,达到节能和提高机组经济性的目的。
【摘 要】建筑给水排水工程是建筑施工中的重要环境,其设计安全与质量直接影响着百姓的生活,也是节约水资源的保障。本文介绍了建筑工程中给排水的分类,探讨了给排水工程中的安全管理,如何保障施工的安全和加强质量管理。  【关键词】建筑给水排水;分类;安全管理;质量管理;节能措施  水资源利用不当会造成能源短缺,珍惜水源是人类社会必须注意的事项,也是每个人应该做到的。水资源和人类生活联系紧密,做好建筑工程的
【摘要】对起重机进行检验在一定程度上影响着起重机的质量,因此,必须引起大家的重视。在大多数传统的检验方法中,通常存在一系列的问题,因此,选择合适的测量仪器是一件非常重要的工作。本文首先简要介绍了激光测距仪的主要特征及基本原理,并指出了起重机检验中面临的问题,最后对激光测距仪在起重机检验中运用进行了探讨分析。  【关键词】起重机;激光测距仪;检验;运用  前言  激光测距仪具备了测量准确、操作便捷的
【摘要】进入21世纪以来,城市建设得到了突飞猛进的发展。与此同时,城市建设对供水管道建设的需求也越来越大,越来越多的新型施工技术出现在了供水管道施工中。非开挖技术作为新型施工技术中的一种得到了不少供水企业的青睐。随着该技术的不断完善,在今后的管道施工中也将会发挥越来越重要的作用。  【关键词】供水管道施工;非开挖技术;应用分析    非开挖技术是现阶段城市基础工程建设过程中被广泛应用的一项新技术,
目的探究食管癌根治术围手术护理措施。方法回顾性分析该院于2010年3月—2012年6月收治的28例罹患食管癌的患者,在常规治疗的基础上,辅以护理措施,并对比患者在治疗护理前后
2000年人人享有卫生保健的全球目标中规定“人民都有安全的饮水和环境卫生设备。”水质检验对饮用水符合卫生要求有着密切关系。根据GB7475-87中对铜、铅、镉含量较高的水样
目前,高校正在切实建立完善内部管理体制机制,其中财务管理是中心,预算管理又是关键。随着高校办学逐步从发展规模、速度向质量、效益转变,如何立足高校预算管理总体改革态势,勇于