信息安全问题的特点和趋势

2023-08-10 08:41:22| 收藏本文下载本文作者：小林绿子和熊

下面是小编为大家整理的信息安全问题的特点和趋势（共含9篇），仅供参考，喜欢可以收藏与分享哟!同时，但愿您也能像本文投稿人“小林绿子和熊”一样，积极向本站投稿分享好文章。

信息安全问题的特点和趋势

篇1：信息安全问题的特点和趋势

信息安全问题的特点和趋势

【内容提要】文章对信息安全问题的主要特点和趋势从其高度脆弱性和风险性、安全攻击源和防范对象的不确定性、信息空间活动主体的虚拟实在化、反传统的技术维度和复杂的“人-机”关系、网络世界的互联互动与全球“即时效应”、信息安全的不对称性和反传统的力量对比格局等诸多方面进行了阐述。

【摘要题】信息法学

【关键词】信息/信息安全/安全战略/信息空间……

【正文】

国家安全面临的新形势的出现，主要归因于信息空间和网络世界史无前例的本质和特性。概括起来看，信息安全问题具有下述主要特点和趋势。

1 社会总体信息结构的高度脆弱性和风险性

以网络为基础的社会总体信息结构（军事、经济、政治、管理，乃至交通、通讯、医疗等一切方面）具有高度脆弱性和风险性，从而使信息安全威胁对于全社会产生极强的破坏性和弥漫性。

随着计算机的大面积应用，越来越多的机构不得不重新布局以与技术的发展保持一致。在这个过程中，社会作为整体，变得越来越依赖于大型与微妙相结合的技术系统。网络成为国家控制经济和安全的不可缺少的技术盔甲，它的安全、持续运转，成为维系社会秩序的先决条件。今天不单是全球化金融系统利用网络在世界范围内转移资金、大多数公司把财务记录储存在计算机内，甚至国家的整个军用和民用基础设施都越来越依赖于网络。如今网络不仅是信息传递的工具，而且是控制系统的中枢；不仅国防设施要靠网络指挥，包括电话网、油气管道、电力网、交通管理系统、金融系统和卫生保健系统等事关国计民生的各个方面，都越来越依赖于网络的安全性。在严重不公、缺乏合适的国际治理机制的.现时代，难以控制的技术漏洞必然会导致不可避免的安全攻击和灾难。正如George K.Walker所概括的：“全球范围内正在出现一场由有形生产和破坏方式向无形生产和破坏方式过渡（转变）的革命性变化，信息战（信息恐怖主义）正是作为这种全球性革命变化一部分的冲突的示范性表现。”[1]

正因为如此，美国等国家都已把防范与对抗对关键信息基础设施的信息攻击和破坏作为新时代国家安全战略的重点。美国国家安全委员会安全基础设施保护与反恐怖主义全国协调员Richard Clarke 10月14日在一个招待会上发表主题演讲时，就曾一针见血地指出了美国信息系统的脆弱性和易受攻击性。他指出：“我们未来的敌人会寻找其他比通过常规军事途径与我们争斗更能保证成功的途径。用五角大楼的话说，他们会寻找‘不对称机会’（asymmetrical opportunities）；或者用报界的说法，他们会寻找我们的‘致命要害’（Achilles hell）

[1] [2] [3] [4]

篇2：信息安全问题论文

摘要：文章通过对计算机信息安全的研究，分析了信息安全的风险，在遵循信息安全策略的基础上，利用计算机信息安全技术保护信息安全。

同时对现今主流的几项安全技术进行了简单介绍，以此引起企业或者用户对信息安全问题的重视。

关键词：信息安全;防范技术;系统安全

计算机硬件蓬勃发展，计算机中存储的程序和数据的量越来越大，如何保障存储在计算机中的数据不被丢失，是任何计算机应用部门要首先考虑的问题。

计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，这三个方面均涉及物理安全、防火墙、信息安全等领域。

一、信息安全简述

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不因偶然或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

从广义上来说，凡是涉及到信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的研究领域。

总的来说，信息安全是用于避免计算机软硬件以及数据不因各种原因而遭到破坏、修改。

其中计算机的硬件可以看作是物理层面，软件可以看做是运行层面，再就是数据层面;而从属性的角度来说，其中破坏涉及的是可用性，更改涉及的是完整性，显露涉及的是机密性。

在信息安全的概念中，网络信息安全包括了四个方面的内容：

1.硬件安全：即网络硬件和存储媒体的安全。

要保护这些硬件设施不受损害，使其可以正常的工作。

2.软件安全：也就是说计算机网络保护其软件不会被修改或破坏，不会因为非法操作而更改其功能，或者使功能失效。

3.运行服务安全：也就是删除网络中的部分信息，网络通讯仍然正常，系统运行正常。

在保障网络顺畅运行的情况下，系统应该及时发现破坏因素，并采取报警和解决策略。

4.数据安全：从信息安全最重要的目的出发，要避免网络中流通的数据不被任意修改，不被非法增删改，不被非法使用。

图1是供电局有限公司的信息网络示意图：

图1 广州供电局有限公司图形信息管理系统网络描述图

二、信息安全风险分析

计算机病毒的威胁：在因特网日益发展的今天，各大公司、各大企业的网络环境也得到了改善，这就助长了病毒的繁衍和传播，且其传播能力越来越不可忽视，传播途径也由单一变得复杂。

概括地说，当今的网络环境为病毒的肆掠奠定了良好的环境基础。

黑客攻击：近年来黑客攻击经常出现，他们为了盗窃系统的私密信息，或者为了破坏信息，或者想非法占用系统资源，于是利用数据库或系统漏洞，采用信息炸弹、网络监听，或者密码破解、移植后门程序等非法手段入侵计算机系统，使达到其目的。

信息传递的安全风险：近几年企业开始关注信息传递的安全性，这使得信息安全中隐藏的许多问题得以暴露。

在企业与国内外的工作联系中，通过网络传输的大量数据以及日常事务信息，都存在着各种传输的安全性问题，比如在传输过程中非法拦截用户信息，盗取用户账号，非法截取保密信息以及商业机密等。

这就使企业的正常运作得到了严峻的考验，造成秩序紊乱。

身份认证以及访问控制存在的问题：只有被设定了权限的用户才可以对信息系统中的相应数据和信息进行操作，也就是说系统中的信息和数据是在一定范围内对含有对应权限的用户才是开放的，没有被授权的用户不可以访问。

因此，在计算机系统中都设立了用户账户管理的功能，它可以创建用户、设定权限等等。

虽然系统中的用户账户管理功能能够在一定程度上加强系统的安全性，但在实际应用时仍然存在一些问题。

三、信息安全策略

在信息安全的管理中，为了使安全保护达到相应的程度，我们制定了相应规则，这被定义为信息安全策略。

1.信息安全中把先进的信息安全技术作为网络安全的根本保障。

要建立一个全方位的安全系统，是以这样的形式产生的：首先用户要对所面临的威胁进行风险评估，在所对应的安全服务类别前提下，选择相应的安全机制，最后利用先进的信息安全技术，建立一个全方位的安全系统。

2.严谨的安全管理。

在已建立的安全体系中，要着重加强内部协调和用户的授权管理，建立安全的审计和追踪体系，提高全民网络安全意识，建立安全的网络安全管理体系。

3.制定并实施严格的法律体系。

近几年网络犯罪日益泛滥，因此制定并实施严格的法律法规体系刻不容缓。

四、信息安全技术

防火墙：防火墙作为一种访问控制产品，它位于内部网络与不安全的外部网络之间，起着障碍的作用。

为了防止访问不安全的情况发生，防火墙阻止外界非法访问内部资源。

目前主流的技术有：应用网管技术、包过滤技术和代理服务技术。

防火墙能够对数据流进行监控、记录以及报告，特别对于内外网络之间的联系有着较好的过滤作用，因此，黑客利用漏洞对内部网络的破坏攻击的时候，防火墙起着不可或缺的作用。

图2所示是目前新兴防火墙技术：

图2 新兴防火墙技术

安全的路由器：通常控制网络信息流的主要技术采用访问控制列表技术，利用路由器来控制网络中的数据传输。

虚拟专用网(VPN)：具有加密功能的路由器和防火墙能够使在公共信道上的数据实现可信赖传达，而VPN在利用加密技术和访问控制技术的前提下可以在两个或多个可信赖内部网络中进行通讯互联。

因此我们使用VPN技术来构建这样的防火墙或路由器。

安全的服务器：在一个局域网内，信息或数据的存储和传输是保密的，安全的服务器可以实现这个功能，这是基于它对局域网资源和用户的控制管理，它能够对安全相关事件进行审计和跟踪。

CA和PKI产品：CA(电子签证机构)为用户发送电子签证证书，具有用户身份验证和密钥管理的功能，因此被作为一种可提供信任的认证服务为大众使用。

用发展的眼光来看，PKI有着光明的发展前景，它可以为认证服务提供能为完善的功能和服务。

用户认证的产品：将IC卡个人密钥和数字签名相结合，使得IC卡更广泛的被应用于认证产品。

在存储账户密钥的同时，将它与动态口令恰当结合，这使得用户身份验证和识别更为安全信赖。

安全管理中心：安全管理中心可以在大范围、多产品的情况下提供完善的服务。

它监控网络运行的安全，分配安全设备的密钥，收集网络安全以及提供审计信息等。

IDS：IDS(入侵检测系统)是一种传统的保护安全机制。

安全数据库：安全数据库的建立使得存储在计算机内部的数据和信息更为完善、更为可靠有效，能够保障其机密性和可审计性，也使得在用户身份识别的时候更为安全。

安全的操作系统：稳定安全的操作系统为信息数据的存储提供了一个可靠的平台，因此要确保信息安全，首先要确保所在的操作系统安全。

五、结语

信息网络系统的迅速发展和全面普及，人类与计算机的关系发生了质的'变化，人类社会与计算机和网络组成了一个巨大的系统，出现了一个全新的世界――网络社会。

信息安全是21世纪经济安全和国家安全的首要条件，也是国家生存的前提条件。

在全球一体化成为趋势的时代背景下，每个国家都要在维护国家主权前提下参与国际合作，共同维护信息安全。

参考文献

[1] 胥家瑞.网络信息安全及其防护策略的探究[J].计算机安全，，(9).

[2] William Stallings.网络安全基础教程：应用与标准(英文影印版)[M].清华大学出版社，.

[3] 赵树升，等.信息安全原理与实现[M].清华大学出版社，.

[4] 沈波.信息系统安全：数字化企业的生命线[J].中国会计报，2011，(9).

[5] 刘玉秀，王磊.安全管理是重点[J].榆林日报，2011，(10).

[6] 高永仁.局域网中信息安全管理研究[J].中原工学院学报，2011，(4).

[7] 李仲伟.关于网络信息安全管理的思考[J].中小企业管理与科技(下旬刊)，2011，(10).

篇3：信息安全问题论文

[摘要] 在互联网络飞速发展的今天，由于技术上的缺陷以及思想上不购重视等原因，在现代网络信息社会环境下，存在着各种各样的安全威胁。

这些威胁可能会造成重要数据文件的丢失，甚至给政府、银行证券以及企业的网络信息系统带来了极大的损失和危害。

网络攻击的主要方式包括口令攻击、软件攻击、偷听攻击、欺诈攻击、病毒攻击以及拒绝服务攻击等，而网络安全的防范措施则包括安装防火墙、防止内部破坏、口令保护和数据加密等多种方式。

网络安全防范是一个动态的概念，重要的是要建立一个网络安全防范体系。

[关键词] 网络安全信息安全网络攻击安全防范

篇4：电子商务网络信息安全问题

【内容提要】构筑安全电子商务信息环境是网络时代发展到一定阶段的“瓶颈”性课题。本文侧重讨论了其中的信息安全技术、数字认证、信息安全协议、信息安全对策等核心问题。

【摘要题】信息法学

【关键词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策

美国著名未来学家阿尔温・托夫勒说：“电脑网络的建立和普及将彻底改变人类生存及生活的模式，控制与掌握网络的人就是未来命运的主宰。谁掌握了信息，控制了网络，谁就拥有整个世界。”的确，网络的国际化、社会化、开放化、个人化诱发出无限的商机，电子商务的迅速崛起，使网络成为国际竞争的新战场。然而，由于网络技术本身的缺陷，使得网络社会的脆性大大增加，一旦计算机网络受到攻击不能正常运作时，整个社会就会陷入危机。所以，构筑安全的电子商务信息环境，就成为了网络时代发展到一定阶段而不可逾越的“瓶颈”性问题，愈来愈受到国际社会的高度关注。

篇5：电子商务网络信息安全问题

电子商务的信息安全在很大程度上依赖于技术的完善，这些技术包括：密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。

1.防火墙技术。防火墙（Firewall）是近年来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络（被保护网络）。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制方法。

防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流，然后审查要求通过的信息，符合条件的就让通过；二是“凡是未被禁止的就是允许的”，防火墙先是转发所有的信息，然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。网络是动态发展的，安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类：

●包过滤技术（Packct Filtering）。它一般用在网络层，主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定，根据系统设定的安全策略来决定是否让数据包通过，其核心就是安全策略，即过滤算法的设计。

●代理（Proxy）服务技术。它用来提供应用层服务的控制，起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。

●状态监控（Statc Innspection）技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能――包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point）提出的虚拟机方式（Inspect Virtual Machine）。

防火墙技术的优点很多，一是通过过滤不安全的服务，极大地提高网络安全和减少子网中主机的风险；二是可以提供对系统的访问控制；三是可以阻击攻击者获取攻击网络系统的有用信息；四是防火墙还可以记录与统计通过它的网络通信，提供关于网络使用的统计数据，根据统计数据来判断可能的攻击和探测；五是防火墙提供制定与执行网络安全策略的手段，它可以对企业内部网实现集中的安全管理。

防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击；二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制，因此可能受到黑客的攻击；三是防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。

2.加密技术。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为解密。

密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制，它的保密度主要取决于对密钥的保密。它的特点是数字运算量小，加密速度快，弱点是密钥管理困难，一旦密钥泄露，将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制，加密密钥是公开的，解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数――单向陷门函数，即从一个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可能。

除了密钥加密技术外，还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密；二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。

3.数字签名技术。数字签名（Digital Signature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。

在书面文件上签名是确认文件的一种手段，其作用有两点，一是因为自己的签名难以否认，从而确认文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处，也能确认两点，一是信息是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改。这样，数字签名就可用来防止：电子信息因易于修改而有人作伪；冒用别人名义发送信息；发出（收到）信件后又加以否认。

广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥，其中一个是公开的，另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里，网上的任何用户都可获得公开密钥。保密密钥是用户专用的，由用户本身持有，它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的，主要用于

跟美国做生意的公司。它只是一个签名系统，而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法，跟单独签名的RSA数字签名不同，它是将数字签名和要发送的信息捆在一起，所以更适合电子商务。

4.数字时间戳技术。在电子商务交易的文件中，时间是十分重要的信息，是证明文件有效性的主要内容。在签名时加上一个时间标记，即有数字时间戳（Digita Timestamp）的数字签名方案：验证签名的人或以确认签名是来自该小组，却不知道是小组中的哪一个人签署的。指定批准人签名的真实性，其他任何人除了得到该指定人或签名者本人的帮助，否则不能验证签名。

时间戳（Time-Stamp）是一个经加密后形成的凭证文档，包括三个部分。一是需加时间戳的文件的摘要（Digest），二是DTS收到文件的日期与时间，三是DIS数字签名。

时间戳产生的过程是：用户首先将需要加时间的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。书面签署文件的时间是由签署人自己写上的，数字时间则不然，它是由认证单位DIS来加的，以DIS收到文件的时间为依据。

数字认证及数字认证授权机构

1.数字证书。数字证书也叫数字凭证、数字标识，它含有证书持有者的有关信息，以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性，可以控制哪些数据库能够被查看，因此提高了总体的保密性。

数字证书的内容格式是CCTTTX.509国际标准规定的，通常包括以下内容：证书所有者的姓名；证书所有者的公共密钥；公共密钥（证书）的有效期；颁发数字证书单位名称；数字证书的序列号；颁发数字证书单位的数字签名。

数字证书通常分为三种类型，即个人证书、企业证书、软件证书。个人证书（Personal Digital）为某一个用户提供证书，帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的，认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后，就发给个人数字证书，并安置在用户所用的浏览器或电子邮件的应用系统中，同时也给申请者发一个通知。企业证书，就是服务器证书（Server ID），是对网上服务器提供的一个证书，拥有Web服务器的企业可以用具有证书的Internet网站（Web Site）来做安全的电子交易。软件证书通常是为网上下载的软件提供证书，证明该软件的合法性。

2.电子商务数字认证授权机构。电子商务交易需要电子商务证书，而电子商务认证中心（CA）就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。

CA主要提供下列服务：有效实行安全管理的设施；可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。

若未建立独立的注册机构，认证中心则在完成注册机构的功能以外还要完成下列功能：接收、处理证书申请，确立是否接受或拒绝证书申请，向申请者颁发或拒绝颁发证书，证书延期，管理证书吊销目录，提供证书的在线状况，证书归档；提供支持服务，提供电话支持，帮助用户解决与证书有关的问题；审核记录所有同安全有关的活动；提供灵活的结构，使用户可以用自己的名字对服务命名；为认证中心系统提供可靠的安全支持；为认证中心的可靠运营提供一套政策、程序及操作指南。

篇6：电子商务网络信息安全问题

1.安全套接层协议。安全套接层协议（Secure Sockets Layer，SSL）是由Netscape Communication公司1994年设计开发的，主要用于提高应用程序之间的数据的安全系数。 SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。

SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证，使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号，由公开密钥编排。为了验证用户，安全套接层协议要求在握手交换数据中作数字认证，以此来确保用户的合法性；二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥，也有公开密钥，在客户机和服务器交换数据之前，先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术，以保证其机密性与数据的完整性，并且经数字证书鉴别；三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。

2.安全电子交易公告。安全电子交易公告（SET：Secure Electronic Transactions）是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。

SET安全协议的主要对象包括：消费者（包括个人和团体），按照在线商店的要求填写定货单，用发卡银行的信用卡付款；在线商店，提供商品或服务，具备使用相应电子货币的条件；收单银行，通过支付网关处理消费者与在线商店之间的交易付款；电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付；认证中心，负责确认交易对方的身份和信誉度，以及对消费者的支付手段认证。

SET协议规范的技术范围包括：加密算法的应用，证书信息与对象格式，购买信息和对象格式，认可信息与对象格式。

SET协议要达到五个目标：保证电子商务参与者信息的相应隔离；保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取；解决多方认证问题；保证网上交易的实时性，使所有的支付过程都是在线的；效仿BDZ贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性与交互操作功能，并且可以运行在不同的硬件和操作系统平台上。

3.安全超文本传输协议（S-HTTP）。依靠密钥的加密，保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充，增加了报文的安全性，是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。

4.安全交易技术协议（STT）。STT将认证与解密在浏览器中分离开，以提高安全控制能力。

5.UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。在ISO发布的IS09735（即UN/EDI-FACT语法规则）新版本中，包括描述UN/EDIFACT中实施

安全措施的五个新部分，即：第五部分――批式电子商务（可靠性、完整性和不可抵赖性）的安全规则；第六部分――安全鉴别与确认报文（AUTACK）；第七部分――批式电子商务（机密性）的安全规则；第九部分――安全密钥和证书管理报告（KEYMAN）；第十部分――交互式电子商务的安全规则。

UN/EDIFACT的安全措施通过集成式与分离式两种途径来实现。集成式的'途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的不可抵赖性；分离式途径是通过发送三种特殊的UN/EDIFACT报文（即AUTCK、KEYMAN和CI-PHER）来达到安全目的。

6.《电子交换贸易数据统一行为守则》（UNCID）。UNCID由国际商会制定，该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。

篇7：电子商务网络信息安全问题

1.提高对网络信息安全重要性的认识。信息技术的发展，使网络逐渐渗透到社会的各个领域，在未来的军事和经济竞争与对抗中，因网络的崩溃而促成全部或局部的失败，决非不可能。我们在思想上要把信息资源共享与信息安全防护有机统一起来，树立维护信息安全就是保生存、促发展的观念。我国公民中的大多数人还是“机盲”、“网盲”，另有许多人仅知道一些关于网络的肤浅知识，或仅会进行简单的计算机操作，对网络安全没有深刻认识。应该以有效方式、途径在全社会普及网络安全知识，提高公民的网络安全意识与自觉性，学会维护网络安全的基本技能。

2.加强网络安全管理。我国网络安全管理除现有的部门分工外，要建立一个具有高度权威的信息安全领导机构。只有在中央建立起这样一个组织，才能有效地统一、协调各部门的职能，研究未来趋势，制定宏观政策，实施重大决定。对于计算机网络使用单位，要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》，建立本单位、本部门、本系统的组织领导管理机构，明确领导及工作人员责任，制定管理岗位责任制及有关措施，严格内部安全管理机制。具体的安全措施如：把好用户入网关、严格设置目录和文件访问的权限，建立对应的属性措施，采用控制台加密封锁，使文件服务器安全可靠；用先进的材料技术，如低阻材料或梯性材料将隔离设备屏蔽起来，降低或杜绝重要信息的泄露，防止病毒信息的入侵；运用现代密码技术，对数据库与重要信息加密；采用防火墙技术，在内部网和外部网的界面上构造保护层。

3.加快网络安全专业人才的培养。我国需要大批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中迅速成长，只有在高素质的队伍保障中不断提高。应该加大对有良好基础的科研教育基地的支持和投入，多出人才，多出成果。在人才培养中，要注重加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动。要加强对内部人员的网络安全培训，防止堡垒从内部攻破。

4.开展网络安全立法和执法。一是要加快立法进程，健全法律体系。自1973年世界上第一部保护计算机安全法问世以来，各国与有关国际组织相继制定了一系列的网络安全法规。我国政府也十分重视网络安全立法问题，成立的国务院信息化工作领导小组曾设立政策法规组、安全工作专家组，并和国家保密局、安全部、公安部等职能部门进一步加强了信息安全法制建设的组织领导与分工协调。我国已经颁布的网络法规如：《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。10月1日起生效的新《刑法》增加了专门针对信息系统安全的计算机犯罪的规定：违犯国家规定，侵入国家事务、国防建设、尖端科学领域的计算机系统，处三年以下有期徒刑或拘役；违犯国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机系统不能正常运行，后果严重的处五年以下有期徒刑，后果特别严重的处五年以上有期徒刑；违犯国家规定，对计算机信息系统存储、处理或者传输的数据与应用程序进行删除、修改、增加操作，后果严重的应负刑事责任。这些法规对维护网络安全发挥了重要作用，但不健全之处还有许多。一是应该结合我国实际，吸取和借鉴国外网络信息安全立法的先进经验，对现行法律体系进行修改与补充，使法律体系更加科学和完善；二是要执法必严，违法必纠。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度，提高执法的效率和质量。

5.抓紧网络安全基础设施建设。一个网络信息系统，不管其设置有多少道防火墙，加了多少级保护或密码，只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的，就没有安全可言；这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此，需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。

6.把好网络建设立项关。我国网络建设立项时的安全评估工作没有得到应有重视，这给出现网络安全问题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时，在立项时更应注重对网络的可靠性、安全性评估，力争将安全隐患杜绝于立项、决策阶段。

7.建立网络风险防范机制。在网络建设与经营中，因为安全技术滞后、道德规范苍白、法律疲软等原因，往往会使网络经营陷于困境，这就必须建立网络风险防范机制。为网络安全而产生的防止和规避风险的方法有多种，但总的来讲不外乎危险产生前的预防、危险发生中的抑制和危险发生后的补救。有学者建议，网络经营者可以在保险标的范围内允许标保的财产进行标保，并在出险后进行理赔。

8.强化网络技术创新。如果在基础硬件、芯片方面不能自主，将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系，利用好国内外两个资源，需要以我为主，统一组织进行信息安全关键技术攻关，以创新的思想，超越固有的约束，构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。

9.注重网络建设的规范化。没有统一的技术规范，局部性的网络就不能互连、互通、互动，没有技术规范也难以形成网络安全产业规模。目前，国际上出现许多关于网络安全的技术规范、技术标准，目的就是要在统一的网络环境中保证信息的绝对安全。我们应从这种趋势中得到启示，在同国际接轨的同时，拿出既符合国情又顺应国际潮流的技术规范。

10.建设网络安全研究基地。应该把我国现有的从事信息安全研究、应用的人才很好地组织起来，为他们创造更优良的工作学习环境，调动他们在信息安全创新中的积极性。一是要落实相关政策，在收入、福利、住房、职称等方面采取优惠政策；二是在他们的科研立项、科研经费方面采取倾斜措施；三是创造有利于研究的硬环境，如仪器、设备等；四是提供学习交流的机会。

11.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点，也是

维护网络安全的必要对策。为了加速发展我国的信息安全产业，需要尽快解决资金投入、对外合作、产品开发、安全评测、销售管理、采购政策、利益分配等方面存在的问题。

【参考文献】

[1]屈云波.电子商务[M].北京：企业管理出版社，.

[2]赵立平.电子商务概论[M].上海：复旦大学出版社，.

[3]赵战生.我国信息安全及其技术研究[J].中国信息导报，1999，（8）：5-7.

[4]郭晓苗.Internet上的信息安全保护技术[J].现代图书情报技术，2000，（3）：50-51.

[5]吉俊虎.网络和网络安全刍议[J].中国信息导报，1989，（9）：23-24.

[6]郭炎华.网络信息与信息安全探析[J].情报杂志，，（4）：44-45.

[7]林聪榕.世界主要国家信息安全的发展动向[J].中国信息导报，2001，（1）：58-59.

篇8：电子商务网络信息安全问题

电子商务网络信息安全问题

【摘要题】信息法学

【关键词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策

电子商务中的信息安全技术

●包过滤技术（Packct Filtering）。它一般用在网络层，主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的'端口号及数据包中的各种标志位来进行判定，根据系统设定的安全策略来决定是否让数据包通过，其核心就是安全策略，即过滤算法的设计。

●状态监控（Statc Innspection）技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能――包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point）提出的虚拟机方式

[1] [2] [3] [4] [5] [6]