电子商务中信息安全的重要性

电子商务中信息安全的重要性

TheImportance OfInformation SecurityIn E-Commerce

(Tianjin bohai vocational and technical

collegeTianjin 300221 )

WANG Xiao

: Along with the rapid development of Internet technology, e-commerce has obtained a rapid development, however information security on e-commerce development bottlenecks are also increasingly seriously, how to make both parties coordinated development, becomethe important topic. This article from e-commerce and information

security relations with analysis of electronic commerce, information security of necessity of the development of the problems existing in the collaborative development is also discussed.

0 引言过去，人们对信息安全在电子商务中的重要性认识不够，对于信息安全在电子商务环境下应发生变化也认识不足，但随着电子商务的进一步推广与应用，信息安全的滞后对其发展的制约越来越明显[2] 。特别是最近各大知名网络购物平台安全漏洞的出现，使企业及消

费者都受到了不同程度的损失，严重影响了电子商务安全可靠的特性，信息安全的重要性对电子商务活动的影响被越来越多的人所注意[3] 。

1电子商务与信息安全技术发展的必然性信息安全是实现电子商务的保障，是电子商务运作的重要部分，是信息流、商流和资金流最终实现的根本保证。电子商务的整个运作过程是信息流、商流、资金流和物流的流动过程，其优势体现在信息资源的充分共享和运作方式的高效率上，其安全的重要性不言而喻，一旦出现安全问题，所有的工作等于零[4] 。

信息安全是电子商务实现“以顾客为中心”理念[5] 的根本保证，是增强企业竞争力的一个有效途径。电子商务的出现，在最大程度上方便了最终消费者。缺少了信息安全技术，电子商务给消费者带来的购物便捷等于零，消费者必然会转向他们认为更为安全的购物方式。信息的安全应该是消费者在安全的平台上认购商品后，企业把准确数量的准确产品在准确时间内，以最低的费用送到客户手中，它直接影响到从事电子商务的企业的竞争力[6] 。

电子商务是信息技术发展的产物，电子商务的提出最终是为了解决信息流和货币流处理上的繁琐，信息安全是电子商务利润的基石

[7] 。

2电子商务中信息安全工作存在的问题观念和服务模式落后。我国的电子商务还处在初级发展阶段，其功能主要局限于信息交流，电子商务与信息安全之间相互依赖、相互促进的关系还没有得到普遍的认识[8] 。信息安全与电子商务脱节，重电子商务轻安全，导致商品信息、数量、售价、配送地址、确认收货、确认付款等各个重要信息的安全受到威胁。

尤其是近年来，由于对信息安全的重视度不够，不少企业在物品信息上出现重大失误，不得不对其损失进行埋单，给业绩和声誉造成了不同程度的影响。

人才的稀缺。国外电子商务和信息安全的发展实践表明，从业人员是否具有较高的电子商务和信息安全知识和操作经验，直接影响到企业的生存与发展。我国在这方面的教育还相当落后，人才严重缺乏，无法为电子商务与信息安全的协同发展提供足够的智力支持[9] 。

3从技术层面加强电子商务系统信息安全[10] 计算机系统和系统中的信息存在一定的脆弱性，面对各种人为的、非人为的、恶意的、非恶意的、内部的或外部的威胁，计算机系统中的信息在使用、传输、存储、很容易被干扰、滥用、丢失、泄露、窃取、篡改和破坏。特别是电子商务系统，绝不能忽视信息安全，棋差一招，满盘皆输，因此必须建立严格、有效、完善的信息安全保护机制[11] 。

3.1隔离控制策略[12] 首先，在内外网之间采用了防火墙产品和技术，实现了内部网和Internet 的隔离；其次，针对用户的两种不同的功能需求和信息安全需求，设置不同的安全策略[13] 。

3.2用户身份鉴别机制[14]

采用的用户身份鉴别机制按为三层安全验证：第一层为域管理安全验证。用户必须是系统域的合法用户，否则无法登录到本系统的域内。

第二层为系统安全验证。检查用户是否是业主的职员以及检查系统的安全用户，否则无法登录系统[15] 。

第三层为数据库服务系统安全验证。用户必须是系统的合法用户，

否则无法登录系统。

3.3存取控制机制

NTFS文件系统提供了一种称为任意访问控制的能力，它能够指定谁能访问某个文件（或目录）以及对其能进行什么操作[16] 。存取控制可以防止对文件的非法防问、滥用和误操作。windows、unix 等操作系统中广泛采用了存取控制机制，可以对计算机系统中的文件在系统级、用户级、目录级和文件级等多个层次上进行存取控制。

3.4用户权限控制

系统宜采用用户角色管理机制，可以对用户的系统访问权限和功能范围做灵活、严格的定义和控制[16] 。

系统管理员可以把一类或一组功能（系统操作权限）的用户定义为一个用户权限组，属于该权限组的系统用户就拥有本组的所有权限，一个用户可以从属于多个用户权限组[17] 。每一个权限组的权限可以选择系统功能定义中的各级的任何权限，只要有一项权限在本权限组中，那么该权限组中的所有系统用户就拥有了这项权限[18] 。

采用这种模式，系统管理员可以轻松的完成用户权限组和用户权限的设定。

3.5信息加密技术信息加密是指将计算机及计算机系统中的数据转换成不可读的形式（在存储或传输时），并在必要时再转换回来（即解密）以保证只有获授权者才能读取该数据[19] 。它包括文件信息和数据库数据的加密以及存放保密数据的介质的加密。系统中需要加密的重要信息有用户口令等信息。