电子商务的安全问题(精选12篇)
电子商务的安全问题 篇1
21世纪是知识经济飞速发展的时代, 在这个沸腾的年代里网络化和信息化成为社会的一个主要表现, 并且随着科学技术和网络技术的不断普及和升级换代, BOB或者BOC的商务模式即电子商务正在逐渐改变人们的工作和生活方式。
1目前电子商务领域发展及主要存在的问题
电子商务给人们带来了全新的生活冲击, 网上购物使人们足不出户、看遍世界, 可以方便地做到货比三家。网上购物的最大特征是消费者的主导性, 购物意愿掌握在消费者手中;同时消费者还能以一种轻松自由的自我服务的方式来完成交易, 消费者主权可以在网络购物中充分体现出来;电子商业也改变的生产厂商的营销行为, 由于电子商务是一种快捷、方便的购物手段, 消费者的个性化、特殊化需要可以完全通过网络展示在生产厂商面前, 为了取悦顾客, 突出产品的设计风格, 制造业巾的许多企业纷纷发展和普及电子商务。虽然电子商务取得了快速的让人惊讶的成就, 安全问题目前依然是制约人们进行电子商务发展的最大问题, 如果安全问题解决不了的话, 交易双方在电子系统上财产将会受到威胁, 当交易双方中任何一方切实感受到这种威胁的存在时就会撤出交易, 当足够多的交易者不再使用电子交易系统时, 电子商务的发展就遇到了巨大的瓶颈。
2信息安全技术的重要性
电子商务的信息安全技术在电子商务系统中的占有非常重要的地位, 因为它的存在确保商家和客户的重要机密能够得到保守, 并且维护着整个电子商务系统的财产, 保证着系统能够正常运行, 为服务方和被服务方的交易和后续业务的开展提供着保护和方便。因此只有通过必要和安全的技术手段确保交易的保密性和安全性, 才能使交易双方对交易系统充分信任, 换句话说, 安全性和保密性是保证电子商务系统获得充分运用和推广的基础, 作用十分重大。我们在日常生活中经常接触到的信息安全技术和网络安全技术都是构成电子商务系统安全运行的基石, 这些技术通常包括防火墙技术在内的一些安全协议标准等。
3信息安全技术在现代电子商务领域具体应用表现
作为在电子商务应用中最重要的作用, 信息安全技术就是要确保信息的完整性和保密性, 通常情况下我们能够接触到的技术主要包括密码技术、信息认证和访问控制技术、防火墙技术三种技术手段等。
(1) 密码技术。密码确保信息安全的首要基础, 只要密码不被破译, 首道安全防控体系就在起到作用, 而且密码技术也是保护信息在传输过程中的可靠性和私密性最有效的手段。按照目前的常用分类标准, 密码系统分为对称密码体制和非对称密码体制两大类, 其区别在于属于各自的密钥类型不同。
在对称密码体制下, 发送方传输到接收方的过程中需要经过安全的密钥通道, 并且加密用的密钥和解密用的密钥是相同的密钥。而在非对称密码体制下加密用的密钥与解密用的密钥是不完全相同的, 并且加密用的密钥是公开的, 但解密用的密钥则是保密, 并且用户在使用中几乎不太可能用加密密钥推导出解密密钥, 因此在特制的传输通道传输密钥也没有什么太大的作用, 只需利用本地密钥的发生器产生解密密钥。
数字签名是目前电子商务交易系统中确保交易安全的核心技术, 通过数字签名实现身份认证和数据完整性以及不可抵赖性等方面有着重要的作用。数字签名也是通过加密技术实现的, 其主要的作用除了确保信息的完整性和发送者身份的验证之外, 还有一个重要的作用就是防止交易参与者中途抵赖的发生。
(2) 信息认证和访问控制技术。信息认证技术是确保网络信息安全技术的另一个重要手段, 其对于确保通信双方的不可抵赖性和信息的完整性有着至关重要的作用, 在电子商务的实际应用过程中交易双方为了保证交易信息的完整必须确保自己发送的信息, 正是交易对方接收的信息, 而且是完整接收, 也就是说在传输过程中没有被修改或替换, 信息认证技术解决的正是这个难题。而目前的访问控制技术则是通过一个参考监视器的辅助作用实现, 当系统内的用户对既定目标进行访问时, 参考监视器会通过授权数据库的数据对接和查验确定正在进行操作的用户是否得到该项操作的授权, 但数据库的授权同时又是另外一个安全管理器负责维护的, 两个数据互相配合无不干扰, 并通过阻止的安全策略为基准用户设置这些授权文件。
(3) 防火墙技术。防火墙是目前网络安全中用得最广泛的一种技术手段, 通常包括计算机硬件和软件系统的组合功能发挥作用, 其实从实质而言, 防火墙技术只是一个网关, 通过它可以保证互联网与内部网之间进行数据传输时的可靠性。通过这个安全网关可以过滤进出网络的数据包, 对进出网络的合法访问行为进行授权和许可, 而对禁止的访问行为和通讯记录则通过防火墙的信息内容和检测活动对网络攻击进行检测和警告, 提示网络用户潜在的威胁。通过运用防火墙, 可以有效的减少黑客的攻击, 因为黑客作为用户, 想进入到系统内所要做的第一道工序就是突破防火墙, 因此防火墙的安全与否关系到网络交易的屏障, 防火墙既限制外部对系统资源的非授权访问, 同时也限制内部对外部的非授权访问, 减轻因为非法访问带来的病毒和木马对系统的攻击, 为电子商务的施展提供一个相对更安全的平台。
摘要:随着网络的不断普及, 电子商务这种商务活动新模式已经逐渐改变了人们的经济、工作和生活方式, 可是, 电子商务的安全问题依然是制约人们进行电子商务交易的最大问题, 信息安全技术在电子商务应用中最主要的是确保信息的完整性、保密性与可用性, 通过使用密码技术、信息认证和访问控制技术、防火墙技术等来实现, 安全问题是电子商务的核心问题, 是实现和保证电子商务顺利进行的关键所在。
关键词:信息安全,电子商务,保密性,安全性
电子商务的安全问题 篇2
可以说在电子商务的系统里面没有安全保证的系统一定是一个豆腐渣工程,没有人敢用,安全问题非常重要。
怎么看待电子商务的安全问题?安全不是一个纯技术的概念,没有绝对的安全。安全是有成本和代价的,要采取安全措施不光会带来不方便的地方,可能会带来成本和代价。在安全是发展的、动态的。包括病毒、攻击措施,不可能一蹴而就。1:程序安全
程序安全中的问题主要包括程序漏洞和恶意代码,众所周知,程序开发中的微小需错误都可能造成很大的安全问题,所以不安全编程引发的问题就会被一些恶意的攻击者所利用从而改变程序的执行流程,譬如:缓冲区溢出不完全输入验证以及“检查时刻到使用时刻”错误恶意代码是以破坏为目的的一类程序,例如病毒 蠕虫 特洛伊木马 隐蔽通道分析 因此人们对如何保证软件质量预防程序漏洞或恶意代码应当引起极大的关注。2:操作系统安全
随着电子商务运行环境通过网络访问共享资源的未知用户的增加,如何提供验证机制是一个很重要的问题 3:数据库安全
当前越来越多的应用系统依靠数据库管理系统来管理和保护大量的共享数据,数据库管理系统也成为计算机信息系统的核心部件,因此他的安全问题也变得越来越重要。4:网络安全
网络安全是信息系统安全的基础,它可以通过采用各种技术和管理措施来防御各种网络攻击,保证网络系统正常运行,并确保网络数据的可用性,完整性和保密性。随着INTERNET的发展,网络丰富的信息资源给用户带来了极大的方便,通过INTERNET 进行的各种电子商务业务也日益增多,但是由于INTERNET的开放性,电子商务应用和企业网络中的商业机密均成为攻击者的目标,因此网络安全问题也成为各种网络服务和应用能否进一步发展的关键问题之一。二:电子商务过程中遇到安全问题的解决方法。1:关于程序安全。
编程人员可以使用对缓冲区溢出攻击具有抵抗力的标准库来防御缓冲区溢出攻击。采用数字签名阻止漏洞被攻击者利用,采用软件工程控制等等方法来保护程序的安全。2:关于操作系统安全。
可以通过自主访问控制,强制访问控制给予角色访问控制等办法来控制访问权限 3:关于数据库安全。
可以采用数据库访问控制,完整性约束,推理控制和秘密通道数据库加密以及数据库用户管理来保护数据库的安全。4:关于网络安全。
防火墙是一种用来保护本地系统的设备,以防止网络攻击破坏系统或网络,另外虚拟私有网络和入侵监测系统能够阻止部分网络攻击但是要想全面防范,则还需要在网络服务或应用程序开发阶段就要开始仔细考虑安全因素这样才能减少程序漏洞,不要随意相信用户输入的任何数据对所有输入数据进行检查,此外最小特权原则也是有效的安全策略,系统管理员可以只赋予服务器上的程序所需要的最低权限,仅允许其访问完成任务所必需的资源。三:电子商务安全对策
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。这里我们具体要了解的是商务交易安全及安全措施。商务交易安全:
当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间,但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:
1窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。2篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
3假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
因此,电子商务的安全交易主要保证以下四个方面:
5信息保密性
交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
6交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
7不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
8不可修改性
交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。安全措施:
在早期的电子交易中,曾采用过一些简易的安全措施,包括:
部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
另行确认(Order Confirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。
此外还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。
主要的协议标准有:
安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。
安全交易技术协议(STT,Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。
安全电子交易协议(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告,并于1997年5月底发布了SET Specification Version 1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET 2.0预计今年发布,它增加了一些附加的交易要求。这个版本是向后兼容的,因此符合SET 1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
主要的安全技术有: 虚拟专用网(VPN)
这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
数字认证
数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有关数据进行数字认证。
目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过E mail发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广阔的应用前景,它将直接影响电子商务的发展。
加密技术
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。密码学界有一句名言:加密技术本身都很优秀,但是它们实现起来却往往很不理想。现在虽然有多种加密标准,但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地,但也同时带来了一个兼容性问题,不同的商家可能会采用不同的标准。另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制。目前,美国的商家一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多。据报载,最近美国加州已经有人成功地破译了40位的SSL,这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128 位 SSL的算法,弥补国内的空缺,并采用数字签名等技术确保电子商务的安全。电子商务认证中心(CA,Certificate Authority)
实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。为了推动电子商务的发展,首先是要确定网上参与交易的各方(例如持卡消费户、商户、收单银行的支付网关等)的身份,相应的数字证书(DC:Digital Certificate)就是代表他们身份的,数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心(Root CA)、品牌认证中心(Brand CA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按层次结构建立的。电子商务安全认证中心(CA)的基本功能是:
生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。对数字证书和数字签名进行验证。对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理(非手工管理)。
建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
第一代CA是由SETCO公司(由Visa & MasterCard组建)建立的,以SET协议为基础,服务于B C电子商务模式的层次性结构。
由于B B电子商务模式的发展,要求CA的支付接口能够兼容支持B B与B C的模式,即同时支持网上购物、网上银行、网上交易与供应链管理等职能,要求安全认证协议透明、简单、成熟(即标准化),这样就产生了以公钥基础设施(PKI)为技术基础的平面与层次结构混合型的第二代CA体系。
近年来,PKI技术无论在理论上还是应用上以及开发各种配套产品上,都已经走向成熟,以PKI技术为基础的一系列相应的安全标准已经由Internet特别工作组(IETF)、国际标准化组织(ISO)和国际电信联盟(ITU)等国际权威机构批准颁发实施。
建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有:
由Internet特别工作组颁发的标准:LDAP(轻型目录访问协议)、S/MIME(安全电子邮件协议)、TLC(传输层安全套接层传输协议)、CAT(通用认证技术,Common Authentication Technology)和GSS-API(通用安全服务接口)等。
由国际标准化组织(ISO)或国际电信联盟(ITU)批准颁发的标准为9594-8/X.509(数字证书格式标准)。
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点: 强大的加密保证
使用者和数据的识别和鉴别 存储和加密数据的保密 联网交易和支付的可靠 方便的密钥管理
数据的完整、防止抵赖
电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
四:关于《中华人民共和国电子签名法》
该法所涉及的技术问题是电子签名问题。电子签名也称作“数字签名”,是指用符号及代码组成电子密码进行“签名”来代替书写签名或印章,它采用规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项数据电文内容信息的认可。所谓电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据,通俗地说,也就是通过密码技术对电子文件所进行的电子形式的签名。电子签名运用一定的加密技术,将签名人信息转化为加密状态,并在需要时进行解密还原。电子文件在经过电子签名后,就可以用来识别签名人的身份以及文件内容是否是签名人所认可的原本内容。目前制约因素主要有:国内电子签名的软硬件普遍不过硬,国内真正有实力的认证企业屈指可数,其中很多没有任何国家资质,只是在行业和go-vern-ment内部使用,而且国内直接提供电子签名技术的企业更是凤毛麟角;其次,认证标准有待互联互通,在目前情况下,电子签名认证采用的技术标准不止一个,这也会在很大程度上影响电子签名的普及应用。
除了法律和技术问题之外,电子签名或许还要面对“心理”门槛。一位有多次网上购物经历的张老师,她对中国经济时报记者说,大宗交易我不敢信任电子签名,而像百元左右的小宗交易,又觉得不需要电子签名。电子商务的法律完善集中以下领域:数据与隐私权保护、电子合同、电子支付、电子商务的消费者保护、信息安全、电子商务税收、知识产权问题、相关程序法律问题。目前的法律主要解决了信息流方面的问题,包括电子签名、电子合同、电子记录的法律效力,但是对于信息流的知识产权、信息监管以及资金流的电子支付、电子发票、网上证券、网上银行与物流方面的所有权凭证的转移等没有涉及。我国《电子签名法》明确和规范了以下几个方面的问题: 1.明确了电子签名的法律效力。
2.明确了电子签名所需要的技术和法理条件。3.对电子商务认证机构和行为做了规定。
4.明确了电子商务交易双方和认证机构在电子签名活动中的权利、义务和行为规范。5.明确了“技术中立”原则。
6.增加了有关go-vern-ment监管部门法律责任的条款。
电子商务中的安全问题探讨 篇3
[关键词] 电子商务 安全问题 技术
一、引言
互联网的发展及全面普及,给现代商业带来了新的发展机遇,基于互联网的电子商务应运而生,并成为一种新的商务模式。以互联网为基础的这种新的商务模式,也存在着许多亟待解决的问题。调查显示,网络安全、互联网基础设施建设等九大问题是阻碍电子商务发展的主要因素。其中,安全问题被调查对象列在首位。人们在享受电子商务带来极大方便的同时,也经常会被安全问题所困扰。安全问题成为电子商务的核心问题。本文将对电子商务安全问题及基本解决办法做一个探讨。
二、电子商务安全问题产生的原因
电子商务安全问题,不仅仅是网络安全问题,还包括信息安全问题、交易过程安全问题:
1.管理问题
大多数电子商务网站缺乏统一的管理,没有一个合理的评价标准。同时,安全管理也存在很大隐患,大多数网站普遍易受黑客的攻击,造成服务器瘫痪,使网站的信誉受到极大损害。
2.技术问题
网络安全体系尚未形成。网络安全在全球还没有形成一个完整的体系。虽然电子商务安全的产品数量不少,但真正通过认证的却相当少。安全技术的强度普遍不够,国外有关电子商务的安全技术,虽然整体来看其结构或加密技术都不错,但这种加密算法受到外国密码政策的限制,对其他国出口的安全技术往往强度不够。
3.环境问题
社会环境对于电子商务发展带来的影响也不小。社会法制建设不够,相关法律建设跟不上电子商务发展的法律基础保证。
三、常见的电子商务安全问题
由于互联网的完全开放性,以及不可预知的管理漏洞、技术威胁等出现,带来了各种各样的安全问题。其产生的主要隐患为网络安全隐患、交易隐患。
1.网络安全隐患
计算机网络设备,电子商务依赖计算机系统的正常运行得以开展业务,网络设备本身的物理故障,将导致电子商务无法正常进行;网络恶意攻击,使得网络被破坏、导致系统瘫痪;安全产品使用不当,虽然在进行电子商务交易前采用了一些网络安全设备(如防火墙、杀毒软件等),但由于安全产品本身的问题或者使用的不当,导致这些产品并不能起到应有的作用。
2.交易隐患
交易隐患是困扰电子商务正常健康交易的最大障碍。在交易过程中,常存在以下隐患。假冒问题,攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益;在电子商务世界里谁为交易双方的纠纷进行公证。
四、解决电子商务安全问题的基本技术
为避免电子商务中存在的安全问题,合理有效的措施极为重要,在实施过程中最为关键的技术主要有网络安全技术、加密与认证技术、安全协议。
1.网络安全技术
在应用网络安全技术方面,防火墙技术是主要技术。防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。防火墙是加强Intranet (内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。
2.加密与认证技术
(1)加密技术。加密技术作为主动的信息安全防范措施,利用加密算法,将明文转换成为无意义的密文阻止非法用户理解原始数据,从而确保数据的保密性。
加密技术是电子商务采取的主要安全措施。其目的在于提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析。加密技术通常分为对称加密和非对称加密两类。目前,常用的非对称加密算法有RSA算法。
(2)认证技术。认证技术是保证电子商务安全的又一重要技术手段,是防止信息被篡改、删除、重放和伪造的一种有效方法,它使发送的消息具有被验证的能力,使接收者能够识别和确认消息的真伪。认证的实现包括数字摘要、数字信封、数字签名、数字证书和智能卡等技术。
3.安全协议
安全协议本质上是关于某种应用的一系列规定,包括功能、参数、格式、模式等,通信各方只有共同遵守协议,才能互操作。与电子商务有关的安全协议主要有SSL和SET两个。
(1)安全套接层协议SSL。SSL(Secure Sockets Layer)是由Netscape Communication公司开发的,工作在传输层的协议,主要保护信息传输的机密性和完整性,它适用于点对点之间的信息传输。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。
(2)安全电子交易SET协议。SET(Secure Electronic Transaction)是专门为电子商务而设计的,用于保证在公共网络上进行银行卡支付交易的安全性。SET采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡或借记卡的网上交易的国际安全标准。
五、展望
综上所述,为应对电子商务出现的各种安全问题,电子商务安全技术虽然已经取得了一定的成绩,但是电子商务要真正成为一种主导的商务模式,还必须在其安全技术上有更大的发展和突破。
参考文献:
[1]冯昊:电子商务的安全问题及对策[J].重庆广播电视大学学报,2005,17~4:31~33
[2]张晓黎:数据加密技术在电子商务安全中的应用[J].计算机与数字工程,2005,12:24~27
[3]祁明:电子商务安全与保密[M].高等教育出版社,2001,7,44~84
电子商务的安全问题 篇4
电子商务的安全问题形式各种各样, 从总体上来说, 可分为“外在因素”和“内在因素”两个方面。外在因素主要是指电子商务存在的环境, 涉及的是社会文化、制度规范等方面的因素;内在因素则是指电子商务的科学技术方面, 网络技术、电子商务数据等方面的问题。
1.1 外在因素方面
(1) 网络基础设施不完善。我国互联网是近些年快速发展起来的, 与发达国家相比相对滞后。虽然也在逐步完善, 但我国在网络基础设施建设方面投入不足, 使得网络基础设施的发展与电子商务发展的要求相差较远。因此, 须加大投入, 以尽早解决制约电子商务发展的瓶颈。
(2) 缺乏完善健全的法律法规。电子商务是基于互联网的一种网上交易、网上支付的新型商业模式, 如何在开放的互联网上安全地进行交易尤为重要。同时, 随着电子商务交易方式及途径逐渐成为主流, 也对传统的知识产权保护制度提出了挑战。因此, 有必要建立和完善包括电子商务立法在内的知识产权法律体系, 采取有力措施促进电子商务的健康发展。
(3) 社会信用体系不健全。在电子商务发展中, 社会信用体系的建立健全是必不可少的条件之一。目前信用体系尚不完善, 而由于客户与电子商务企业通过计算机网络和相关信息平台进行交流, 使得电子商务比之传统贸易存在更加严重的信用风险。
(4) 物流配送体系问题。电子商务中进行着大量的有形商品的异地交易, 整个交易链条中无法回避的环节就是商品的配送问题。而我国现代物流起步较晚, 缺乏专业的管理与运作经验, 物流市场一直没有形成闭环式的网络链条。
(5) 金融体系支撑不足。网上支付是电子商务的重要环节, 它在给人们带来方便的同时, 也带来了一定的“金融风险”, 不但涉及国内跨行网上支付, 更存在跨国网上支付问题。
(6) 人才缺乏问题。电子商务实现的关键最终仍然是人, 电子商务是信息技术与商务的有机结合, 需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。
1.2 内在因素方面
(1) 计算机系统的安全问题。系统安全与计算机系统的硬件平台、操作系统、所运行的各种应用软件等都有密切关系, 其中操作系统的安全性对整个计算机系统的安全性影响最大。计算机系统安全可包含病毒预防、审计日志、用户账号管理、备份和恢复等措施。
(2) 计算机网络的安全问题。计算机网络安全是指利用网络管理控制方法和技术措施, 保证网络环境中数据信息的保密性、完整性和可利用性。网络安全涉及多个层次, 必须采取多种技术和产品来解决各种安全问题。
(3) 电子商务数据的安全问题。保护交易数据的安全性是电子商务系统的关键。由于Internet本身的开放性, 电子商务系统就面临着各种各样的安全威胁。有以下几方面:对合法用户的身份冒充、对信息的非法窃取与监听、对信息的篡改、拒绝服务、对发出的信息予以否认、非法入侵和病毒攻击等。
为了保护电子交易数据的安全, 需要对数据进行加密, 以防止敏感信息被外部破解。数据加密的安全性在很大程度上依赖于密钥的安全性, 因此, 必须对密钥的产生、存储、分配、销毁等管理环节进行有效的管理。
(4) 电子商务交易的安全问题。电子商务交易的安全问题是指传统商务在互联网络上应用时产生的各种安全问题, 以及在计算机网络安全的基础上, 如何保障电子商务过程的顺利进行问题。
2 电了商务的安全协议
各种电子交易的安全服务都是通过安全技术来实现的, 主要包括加密技术、认证技术和电子商务安全协议等。
电子商务的运行需要一套完整的安全协议, 目前, 比较成熟的协议有SSL、SET等。
SSL, Secure Sockets Layer, 安全套接层协议, 位于传输层和应用层之间, 由SSL记录协议、SSL握手协议、SSL警报协议组成。
SSL协议支持各种加密算法, 实现简单, 独立于应用层协议, 且被大部分浏览器和Web服务器内置, 便于在电子交易中应用。
但是, SSL无法知道在传送过程中是否受到窃听;我国的SSL产品只能提供512 bits RSA公钥和40 bits对称密钥加密, 加密强度不够;SSL协议将客户的信用卡号传送给商家, 这可能是一个安全隐患;新的SSL协议被命名为TLS (Transpor Layer Security) , 安全可靠性有所提高, 但仍不能消除原有技术的基本缺陷。
SET, Secure Electronic Transaction, 安全电子交易协议, 由SET业务描述、SET程序员指南和SET协议描述组成, 用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系, 给定交易信息传送流程标准。SET协议是专门为电子商务系统而设计的, 它位于应用层, 其认证体系十分完善, 能实现多方认证。在SET的实现中, 消费者帐户信息对商家说是保密的。
但SET协议十分复杂, 目前国内仅有少数应用产品;SET认证结构仅适用于信用卡支付, 对其他支付方式有所限制;SET也并不能解决电子商务所遇到的全部问题。另外, 要完全实现SET协议安全支付还要有一个过程。
总体上说, 电子商务系统的基石是密码学算法, 其实现机制是特定的安全协议。因此, 最容易受到对密码系统的攻击和对安全协议的攻击。
3 结束语
我国电子商务起步较晚, 现在发展还不完善, 但其市场发展潜力是无穷的。虽然有着各种安全问题, 但安全实际上就是一种风险管理, 任何技术手段都不能保证100%的安全。了解了存在安全问题, 就可以采取相应的手段措施来降低风险。安全只是相对的, 而不是绝对的。因此, 为进一步促进电子商务体系的完善和行业的健康快速发展, 必须在实际运用中解决各种安全问题, 使得电子商务系统相对更加安全。
参考文献
[1]谢文.浅析SSL、SET协议及其安全技术[J].湖南商学院学报, 2008 (3) .
[2]彭银象, 白贞武.电子商务安全问题及措施研究[J].大众科技, 2005 (11) .
[3]蔡猷花, 张歧山.电子商务安全问题综述[J].科技管理研究, 2003 (6) .
[4]马新彪.电子商务及其安全技术[J].甘肃农业, 2006 (7) .
[5]IHAB M.Elfituri, ZHOU Yi-ming.Shopping System Model in Elec-tronic Commerce.Caddm, 2008 (12) .
[6]Guan Hongjun, Zhao Aiwu.The Research on Security Technology of Logistics System Under E-Commerce Environment.Proceeding of the6th Internation Conference on Material HandingICMH2008.
移动电子商务安全问题探析 篇5
移动电子商务安全问题探析
移动商务作为一种移动互联的贸易方式,将成为全球具有战略意义的贸易手段和信息交换的有效方式.移动网络的开放性和移动终端的`移动性给移动商务的发展和工作效率的提高带来了诸多优势,但安全问题仍是移动商务推广应用的瓶颈.文章主要探讨和分析了当前移动电子商务安全存在的威胁问题并提出相应的解决策略.
作 者:韩景灵 作者单位:山西大学商务学院,山西,太原,030031刊 名:电脑知识与技术英文刊名:COMPUTER KNOWLEDGE AND TECHNOLOGY年,卷(期):6(1)分类号:U492关键词:移动电子商务 安全威胁 移动中间件 WAP J2ME
电子商务交易中的安全问题分析 篇6
一、电子商务存在的安全问题
由于电子商务是以信息技术和计算机网络为基础的,与传统商务比较,它不可避免的面临着一系列的安全问题。
1.信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。
2.篡改
在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据在中途篡改,然后再发向目的地,破坏数据的真实性和完整性。
3.伪造
由于掌握了数据的格式,并可以篡改通过的信息,如果不进行身份识别,攻击者就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
4.信用威胁
交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
5.电脑病毒
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
二、电子商务安全要素
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。下面介绍电子商务涉及的安全要素.
1.有效性
電子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
3.完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
4.可靠性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
5.即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或消除它会带来灾难性的后果。
6.身份认证
指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。
7.审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控,以便对其所使用的操作内容进行审计和跟踪。
三、电子商务交易安全技术
由于电子商务活动所涉及的大量机密信息都必须通过网络传播,并且以电子数据的形式存储,要求有完善的安全技术来保证电子商务交易的安全。目前,电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。
1.加密技术
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。 目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。
2.认证技术
安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等; 电子商务认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。
3.安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层,用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。
四、结束语
随着网络技术的提高,基于互联网的电子商务在近年来获得了巨大的发展,成为一种全新的商务模式,具有很大的发展前途;这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境,对交易信息提供足够的保护,是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题,解决电子商务网络交易中的安全问题,是保证电子商务顺利发展的基础,安全性成为电子商务能否成功发展的决定性因素。电子商务网络交易中的安全问题还有待于继续探讨。
电子商务的安全问题 篇7
在电子商务交易过程中, 每个参与者都可能受到不同类型的安全威胁。例如:销售者的中央系统的安全被入侵者破坏, 客户资料被竞争者获悉, 消费者提交订单后不付款, 收到虚假订单等。消费者也不是无忧的, 付款后不能收到商品, 机密性信息被泄漏, 受到拒绝服务攻击等等。概括起来, 电子商务所面临的安全问题可分为如下三个方面:
1.1 网络结点的安全
对于客户机, 黑客利用特定的技术非法入侵进来, 破坏用户信息的机密性和完整性。例如, Cookie管理程序、Java小应用程序和Java Script、Active控件, 以及一些图形文件、插件和电子邮件的附件都可能对客户机的安全性构成威胁。
对于服务器, 也有很多弱点会被利用, 如WWW服务器及其软件的安全漏洞、数据库的数据库服务器, 以及服务器上的公用网关接口程序都是黑客入侵的重点。
1.2 通讯的安全
电子商务系统的数据通信主要存在于客户端浏览器与电子商务WEB服务器, WEB服务器与电子商务数据库服务器, 以及银行内部网与业务网之间的通讯。通讯过程中, 数据信息的机密性、完整性对电子商务安全至关重要。
1.3 认证管理
传统的商务活动是以现有的信用体系为依托, 交易是以签订书面合同为依据的, 而电子商务的主要形式之一就是网上交易, 包括合同的处理以及资金的划转等, 所以在网上如何确定信用保护商业秘密, 对发展电子商务是一个很严重的问题。
2 电子商务中的安全技术
2.1 安全的网络平台
安全可靠的网络平台是电子商务成功运行的首要条件。提供安全网络平台的常用方法是采用防火墙技术、病毒防护技术等。防火墙是连接在Internet与Intranet之间的硬件或软件设备, 通过IP过滤和代理服务器软件方法保护企业内部网中的数据, 病毒防护技术主要用于对客户发来的订单及附件进行查毒、杀毒, 防止入侵者伪装成合法用户, 通过发送信息向服务器植入木马或其他恶意代码。
某些防火墙提供了拒绝服务和暴力攻击的防护功能, 但它们并不能执行深入的流量分析, 而入侵检测系统作为一种积极主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵。按照获得原始数据的方法, 可以将入侵检测系统分为基于网络的入侵检测系统和基于主机的入侵检测系统, 两种系统都具有监视分析用户和系统的行为、审计系统配置和漏洞、识别攻击行为、对异常行为进行统计等功能, 企业可以根据自身特点选取合适的保护措施。
2.2 数据加密技术
数据加密技术就是对信息进行重新编码, 从而隐蔽信息内容, 使非法用户无法获取信息的真实内容的一种技术手段, 该技术是电子商务所采
取的主要安全措施。目前, 加密技术主要分为两类, 即对称加密和非对称加密。
2.2.1 对称加密
对称加密又称常规加密或单密钥加密, 即对信息的加密和解密都使用相同的密钥。参见图1。
对称加密技术的主要优点是速度快、效率高, 因为贸易方公用一种加密算法, 减少了研究对方算法带来的成本。只要保证密钥在进行通信的贸易双方在交换的过程中未被泄漏, 那么文件的机密性和完整性就可以通过对称加密信息, 然后将加密后的信息随同报文一起发送报文摘要来实现。对称加密的不足在于将密钥发给贸易方是困难的, 另外, 有一个贸易伙伴就要有一个密钥, 也就是密钥的规模无法适应因特网这类大环境的要求。
2.2.2 非对称加密
非对称加密又称公开密钥加密, 该体系中, 密钥被分解为一对, 即公开密钥 (公钥) 和私人密钥 (私钥) , 顾名思义, 公钥对外公开, 私钥由个人秘密保存, 用其中一把密钥来加密, 就只能用另一把密钥来解密。 (见图2)
应用过程是:贸易方甲生成一对密钥, 并将其中一把作为公开密钥向其他贸易方公开, 得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把私钥对加密后的信息进行解密。
公开密钥加密技术解决了密钥的发布和管理问题, 是当前电子商务所主要应用的技术, 然而其运算速度较慢, 通常不适合对信息量大的文件进行加密。实际应用中, 通常是结合使用两种技术, 即采用公开密钥加密技术实现对称密钥的管理, 使相应的管理变得简单和安全。
2.3 数字签名
数字签名是公开密钥加密技术的一种应用, 它是在传输的数据信息里附加一些特定的数据或对数据信息作密码变换, 这种附加数据或密码变换使接收方能确认信息的真正来源和完整性, 并且发送方事后不能否认发送的信息, 而接收方或非法者不能伪造或篡改发送方的信息。其具体使用方式是:报文发送方采用Hash函数, 将原始报文M通过一个单向的Hash函数作用, 生成相当短的输出H (报文摘要) , 即Hash (M) =H, 在用自己的专用密钥对H进行加密形成发送方的数字签名。然后这个数字签名将作为报文附件随报文一起发送给接收方。报文接收方首先从收到的原始报文中用同样的算法计算出新的报文摘要, 再用发送方的公钥对报文附件的数字签名进行解密, 比较两个报文摘要, 如果值相同, 接收方就能确认该数字签名是发送方的。
2.4 身份认证
电子商务交易过程中企业与用户通过Internet互相交换从CA申请到的数字证书, 并验证其真实性 (包括验证数字签名、数字证书有效性等) , 如任何一方发现对方数字签名有误, 则立刻停止交易。
认证中心 (CA) 是提供身份验证的第三方机构, 通常由一个或多个用户信任的组织实体组成。而数字证书是一段包含用户身份信息、用户公钥信息以及安全认证中心 (CA) 数字签名的数据, 其中, CA的数字签名确保了证书信息的真实性, 用户公钥信息确保了数字信息传输的完整性, 而用户的数字签名又确保了数字信息的不可否认性。
在我国, 基于Internet的电子商务尚未得到长足发展, 其信息安全工作任重而道远, 这不仅有技术方面的因素, 也存在人为因素。作为企业的管理人员, 应尽量采用先进的技术措施防范黑客, 并加强企业内部的安全管理, 提高员工安全意识, 而作为电子商务的参与者, 我们要积极参与, 密切关注, 共同为电子商务的良好发展保驾护航。
摘要:随着因特网技术的迅猛发展, 电子商务的发展前景也变得更为诱人, 同时, 其安全问题也变得日趋突出, 成为决定电子商务成败的关键因素。本文首先阐述了目前电子商务所面临的几大安全问题, 继而对电子商务中的安全技术作了分析介绍, 最后对我国电子商务的发展提出了几点建议。
浅析电子商务发展的安全问题 篇8
1 电子商务发展的安全问题
1.1 信息被篡改
电子商务以电子形式取代了纸张, 如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子交易信息在网络上传输过程中, 极有可能被他人非法修改、删除或重放, 这样就使信息失去了真实性和完整性。这种现象在目前的电子商务中时有发生, 给交易双方造成损失。
1.2 信息被泄露
电子商务作为贸易的一种手段, 其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的在电子商务中, 商业机密被泄露主要包括两个方面:交易双方在交易时被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
1.3 信息被破坏
电子商务简化了贸易过程, 减少了人为的干预, 同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为, 可能导致贸易各方信息的差异。因此, 电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。在电子商务中, 信息破坏表现为商业信息在网络上传输时出现错误或失败。如网络硬件和软件出现问题而导致信息传递的丢失和谬误, 由于一些恶意程序而导致电子商务信息遭到破坏。
1.4 身份的识别
信息具有可靠性、不可抵赖性和可鉴别性三种特性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性要求即是能建立有效的责任机制, 防止实体否认其行为;可鉴别性要求即是能控制使用资源的人或实体的使用方式。如果不进行身份识别, 第三方就有可能假冒交易一方的身份破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果。进行身份识别后, 交易双方不仅可防止“相互猜疑”, 而且还具有“不可抵赖性”, 即交易双方对自己的行为应负有一定的责任, 信息发送者和接受者都不能对此予以否认。
1.5 系统被破坏
电子商务系统是计算机系统, 其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
2 解决制约电子商务发展安全问题的技术
2.1 防火墙技术
防火墙技术是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关, 从而保护内部网免受非法用户的侵入的技术, 它其实就是一个把互联网与内部网隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击, 为电子商务的施展提供个相对更安全的平台。应给予特别注意的是, 防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合, 它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源, 仅设立防火墙系统, 而没有全面的安全策略, 那么防火墙就形同虚设。
2.2 数据加密技术及数字签名
防火墙不能实现的安全保障可以通过数据加密和数字签名来实现。常见的对信息安全的攻击手段有两种:被动攻击和主动攻击。被动攻击是指攻击者监听通信通道, 获取通信中的信息;主动攻击是指攻击者不断监听通信通道, 而且还记录信息供以后重放, 并在信息到达接收者之前插入自己的信息或修改合法信息。所以, 加密便应运而生, 它是实现信息保密的重要手段。数据加密就是利用数学原理, 采用计算机科学中的软件方法或硬件方法来重新组织信息, 使得除了合法的接收者外任何人想要恢复原来的信息或读懂变化后的信息是非常困难的。公开密钥基础设施 (PKI) 作为确保电子商务领域内商家和用户信息安全的主要技术手段, 已经得到广泛应用。PKI系统中, CA (Certification Authority, 证书认证) 是核心机构, 负责证书的生成、撤消和管理, 各个PKI系统之间可以通过交互认证等机制建立信任关系。数字签名就是只有信息发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。发送者用自己的私有密钥加密数据传给接收者, 接收者用发送者的公钥解开数据后, 就可确定消息来自于谁, 同时也是对发送者发送的信息的真实性的一个证明, 发送者对所发信息不能抵赖。在传统的商业系统中, 通常都利用书面文件的亲笔签名或印章来规定契约性的责任, 而在电子商务中, 传送的文件是通过电子签名证明当事人身份与数据真实性的。数据加密是保护数据的最基本方法, 但也只能防止第三者获得真实数据。电子签名则可以解决否认、伪造、篡改及冒充等问题, 具体要求是:发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、网络中的某一用户不能冒充另一用户作为发送者或接收者。
2.3 身份认证技术
网上安全交易的基础是数字证书。要建立安全的电子商务系统, 必须首先建立一个稳固、健全的数字证书和认证中心 (CA) 。数字签名是利用数字技术实现在网络传送文件时, 附加个人标记, 完成传统意义上手书签名或印章的作用, 以表示确认、负责、经手等。使用数字签名可以保证交易中的认证性和不可否认性。数字签名可以防范:接收方伪造、发送者或接收者否认、第三方冒充、接收方篡改。常见的数字签名技术有:RSA数字签名、DSA数字签名、椭圆曲线数入侵检测技术。通常通过基于应用的监控技术、基于主机的监控技术、基于目标的监控技术和基于网络的监控技术四种检测技术来抵御攻击。入侵检测被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测, 从而提供对内部攻击、外部攻击和误操作的实时保护。认证机制是保护电子商务安全的第一条防线, 任何一个在架构设计上、代码开发中以及认证的实现时所出现的小的漏洞或不足, 都有可能使电子商务处在被攻击的风险中。
2.4 生物识别技术
生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案, 它是集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术。由于人体特征具有不可复制的特性, 这一技术的安全系数较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等, 而其中指纹凭借其无可比拟的唯一性、稳定性、再生性倍受关注。AFIS是当今数字生活中一套成功的身份鉴别系统, 也是未来生物识别技术的主流之一, 它通过外设来获取指纹的数字图像并存贮在计算机系统中, 再运用先进的滤波、图像二值化、细化手段对数字图像提取特征, 最后使用复杂的匹配算法对指纹特征进行匹配。除了指纹识别技术外, 近年来视网膜识别技术和签名识别技术的研究也取得了骄人的成绩。视网膜识别技术分为两个不同的领域:虹膜识别技术和角膜识别技术。虹膜识别系统使用一台摄像机来捕捉样本, 而角膜扫描的进行则是用低密度的红外线去捕捉角膜的独特特征。由于该项技术具有高度的准确性, 它将被应用在未来军事安全机构和其他保密机关中。
3 结束语
从国内外的情况来看, 电子商务发展的速度太快, 致使其安全技术和安全管理没有实现同步性, 这是一个越来越突出和急需解决的问题。另外, 安全是发展的、动态的, 无论是网络的攻防还是诈骗与反诈骗都是此消彼长的, 尤其是安全技术, 它的敏感性、竞争性很强, 需要不断地检查、评估和调整相应的安全策略。
总之, 作为一个安全的电子商务系统, 首先必须具有一个安全、可靠的通信网络, 以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全, 防止黑客闯入网络盗取信息;再者要完全解决制约电子商务发展的安全问题不能只靠各种安全技术去支撑, 更重要的是通过不断提高全民素质和建立健全电子商务法规, 使得3G时代下电子商务的发展进入和谐的春天。
参考文献
[1]姚立新.新世纪商务:电子商务的知识发展与运作[M].北京:中国发展出版社, 1999.
[2]吴洋.电子商务安全方法研究[M].天津:天津大学出版社, 2006.
[3]祁明.电子商务安全与保密[M].北京:高等教育出版社, 2001.
[4]唐凤仙, 杨云峰.黑客入侵及防范策略[J].计算机安全, 2005, 17 (3) :35-43.
[5]杨坚争.电子商务基础与应用[M].西安:西安电子科技大学出版社, 2000:268-275.
[6]徐瑾, 戴德锋.电子商务中的安全问题[J].兰州工业高等专科学校学报, 2003, 20 (1) :3-4.
[7]郑红明.企业电子商务安全问题分析[J].ENTERPRISE VITALITY, 2003, 8.
电子商务中的安全问题研究 篇9
电子商务是通过电信网络进行电子支付来得到信息产品或递送实物产品的承诺。相对于传统商务模式来说, 电子商务具有高效、便携、低成本等特点。电子商务的发展给人们的工作和生活带来了新的尝试和便利性, 但并没有像人们想象的那样普及和深入, 其重要的原因就是由于电子商务交易平台的虚拟性和匿名性, 使得电子商务的安全问题成为阻碍电子商务发展的瓶颈。
本文在介绍电子商务安全威胁和安全隐患的基础上, 给出了电子商务中所涉及到的主要技术, 并针对电子商务安全现状, 给出相应的对策和建议。
1 电子商务面临的安全威胁
从安全和信任关系来看, 在传统交易过程中, 买卖双方是面对面的, 因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中, 买卖双方是通过网络来联系的, 由于电子商务所依赖的Internet具有虚拟性、动态性、高度开放性等特点, 使电子商务面临众多的威胁与安全隐患, 因而建立交易双方的安全和信任关系相当困难。电子商务交易双方 (销售者和消费者) 都面临不同的安全威胁。
对销售者而言, 他面临的安全威胁主要有:
(1) 中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据 (如商品送达地方) 、解除用户订单或生成虚假订单。
(2) 竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品, 从而了解有关商品的递送状况及货物和库存情况。
(3) 客户资料被竞争者获悉。
(4) 被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。
(5) 消费者提交订单后不付款。
(6) 虚假订单。
(7) 获取他人的机密数据:比如, 某人想要了解另一人在销售商处的信誉时, 他以另一人的名字向销售商订购昂贵的商品, 然后观察销售商的行动。假如销售商认可该定单, 则说明被观察的信誉高, 否则, 则说明被观察者的信誉不高。
对消费者而言, 他面临的安全威胁主要有:
(1) 虚假订单:一个假冒者可能会以客户的名字来订购商品, 而且有可能收到商品, 而此时客户却被要求付款或返还商品。
(2) 付款后不能收到商品:在要求客户付款后, 销售商中的内部人员不将定单和钱转发给执行部门, 因而使客户不能收到商品。
(3) 机密性丧失:客户可能将秘密的个人数据或自己的身份数据 (如PIN、口令等) 发送给冒充销售商的机构, 这些信息也可能会在传递过程中被窃听。
(4) 拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源, 从而使合法用户不能得到正常的服务。
2 电子商务安全需求
电子商务面临的威胁的出现导致了对电子商务安全的需求, 也是真正实现一个安全电子商务系统所要求做到的各个方面, 主要包括机密性、完整性、认证性和不可抵赖性。
(1) 机密性。电子商务是建立在一个较为开放的网络环境上的。因此, 要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。
(2) 完整性。在电子商务活动中, 由于数据输入时的意外差错或欺诈行为, 可能导致贸易各方信息的差异。因此, 要预防对信息的随意生成、修改和删除, 同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。
(3) 认证性。由于网络电子商务交易系统的特殊性, 企业或个人的交易通常都是在虚拟的网络环境中进行, 所以对个人或企业实体进行身份确认成了电子商务中得很重要的一环。鉴别服务可以使交易双方能够在相互不见面的情况下确认对方的身份。鉴别服务一般都通过证书机构CA和证书来实现。
(4) 不可抵赖性。电子商务可能直接关系到贸易双方的商业交易。在无纸化的电子商务方式下, 通过手写签名和印章进行贸易方的鉴别已是不可能的。因此, 要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。
(5) 有效性。电子商务作为贸易的一种形式, 其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此, 要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防, 以保证贸易数据在确定的时刻、确定的地点是有效的。
3 电子商务安全中的主要技术
电子商务的信息安全在很大程度上依赖于技术的完善, 这些技术包括:加密技术、认证技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等, 而其中最主要的是加密技术以及身份认证技术。
3.1 加密技术
数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥, 可用同一加密算法, 将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据, 称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制, 它的保密度主要取决于对密钥的保密。它的特点是数字运算量小, 加密速度快, 弱点是密钥管理困难, 一旦密钥泄露, 将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制, 加密密钥是公开的, 解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数, 即从一个方向求值是容易的, 但其逆向计算却很困难, 从而在实际上成为不可能。
除了密钥加密技术外, 还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行加密保护。
3.2 认证技术
认证是防止主动攻击的重要技术, 对于开放环境中的各种信息系统的安全性有重要作用。认证的主要技术是:第一, 验证信息的发送者是真的, 而不是冒充的, 此为实体认证;第二, 验证信息的完整性, 此为信息认证。
(1) 数字摘要
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码, 这一串摘要码亦称为数字指纹 (Finger Print) , 有固定的长度, 不同消息其摘要不同, 相同消息其摘要相同。因此, 摘要成为消息的“指纹”以验证消息是否“真身”, 消息摘要解决了信息的完整性问题。
(2) 数字签名
数字签名是实现认证的重要工具。所谓数字签名就是附加在信息单元上的一些数据, 或是对信息单元所作的密码变换, 这种数据或密码变换允许信息接收者确认消息的来源和信息单元的完整性并保护数据防止被人伪造。发送方从报文文本中生成数字摘要并用自己的私有密钥对摘要进行加密, 形成发送方的数字签名, 然后将数字签名作为报文的附件和报文一起发送给接收方;接收方首先从接收到的原始报文中计算出数字摘要, 接着再用发送方的公开密钥来对报文附加的数字签名进行解密。若两个摘要相同, 则接收方能确认该数字签名是发送方的。
通过数字签名能实现对原始报文的鉴别与验证, 保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。
(3) 数字证书与CA
数字证书是由CA (Certificate Authority) 发放的, 并利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。包括用户的姓名、公共密钥、公共密钥的有限期、颁发数字证书的CA、数字证书的序列号以及用户本人的数字签名。它是电子商务交易双方身份确定的惟一安全工具。
数字证书的内容格式是CCTTTX.509国际标准规定的, 通常包括以下内容:证书所有者的姓名;证书所有者的公共密钥;公共密钥 (证书) 的有效期;颁发数字证书单位名称;数字证书的序列号;颁发数字证书单位的数字签名。
电子商务交易需要电子商务证书, 而电子商务认证中心 (CA) 就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
CA主要提供下列服务:有效实行安全管理的设施;可靠的风险管理以及得到确认。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
(4) 数字时间戳技术
在电子商务交易的文件中, 时间是十分重要的信息, 是证明文件有效性的主要内容。在签名时加上一个时间标记, 即有数字时间戳 (Digita Timestamp) 的数字签名方案:验证签名的人或以确认签名是来自该小组, 却不知道是小组中的哪一个人签署的。指定批准人签名的真实性, 其他任何人除了得到该指定人或签名者本人的帮助, 否则不能验证签名。
时间戳产生的过程是:用户首先将需要加时间戳的文件用HASH编码加密形成摘要, 然后将该摘要发送到DTS, DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密 (数字签名) , 然后送回用户。
3.3 防火墙技术
防火墙 (Firewall) 是近年来发展较快的最重要的安全技术, 它的主要功能是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络 (被保护网络) 。
防火墙技术的优点很多, 一是通过过滤不安全的服务, 极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信, 提供关于网络使用的统计数据, 根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段, 它可以对企业内部网实现集中的安全管理。
3.4 电子商务信息安全协议
目前电子商务中有多种安全体制可以保证电子商务交易的安全性, 其中SSL和SET是电子商务安全中两个最重要的协议。
(1) 安全套接层协议。安全套接层协议 (Secure Sockets Layer, SSL) 是由Netscape Communication公司1994年设计开发的, 主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议, 该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证, 使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上;二是加密数据以隐藏被传递的数据;三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务, 建立客户机与服务器之间的安全通道, 使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
(2) 安全电子交易公告。安全电子交易公告 (Secure Electronic Transactions, SET) 是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下, 又增加了对商家身份的认证。SET已成为全球网络的工业标准。
SET安全协议的主要对象包括:消费者 (包括个人和团体) , 按照在线商店的要求填写定货单, 用发卡银行的信用卡付款;在线商店, 提供商品或服务, 具备使用相应电子货币的条件;收单银行, 通过支付网关处理消费者与在线商店之间的交易付款;电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付;认证中心, 负责确认交易对方的身份和信誉度, 以及对消费者的支付手段认证。
4 电子商务安全对策
(1) 加强电子商务安全技术的研究
计算机安全技术本身的发展就存在一个时滞的问题。病毒的感染、黑客的侵袭更使人们对计算机的安全性, 特别是网络上电子商务运行的安全性产生怀疑。这种情况对电子商务的推行造成了极为不利的影响。有关部门应组织一只精干的安全技术研究队伍, 集中力量尽快解决电子商务的安全技术问题, 包括密码技术、认证技术、访问控制技术等, 并能够随着计算机和电子商务技术的发展而不断改进这些技术。
(2) 建立建全法律制度, 保护电子商务的健康发展
当前, 为了解决电子商务数字合同、数字签名的法律问题;交易人的身份认证问题, 数据电文的可接受性和证据力问题;商务数据库的保护问题;原始作品和汇编作品的版权整合问题;注册商标在数字化了以后的法律保护问题, 网站之间的对注册商标的超文本链接问题, 消费者的个人隐私及权益保护问题, 及网络运输单据的确认和合法化问题, 市场准入问题等, 必须在各国政府间制订一套完整的、普遍适用的电子商务准则。目前联合国贸易法委员会已制订了一套有关电子商务的法律范本, 为电子商务的发展奠定了法律基础。
(3) 加强电子商务方面的人才培养
电子商务实现的关键最终仍然是人。电子商务是信息现代化与商务的有机结合, 需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。政府应充分利用各种途径和手段培养、引进并合理使用好一批素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才, 以加快电子商务建设步伐。
5 总结
随着电子商务的不断发展, 电子交易手段将更加多样化, 安全问题会变得更加重要和突出。安全是电子商务的核心和灵魂, 在发展电子商务的道路上, 最受重视并使其放慢速度的也正是安全问题。目前, 电子商务也有许多新技术的提出, 但尚未能形成一个有效的、安全的电子商务安全系统, 这需要加大力度来研究和发展信息安全保密技术。电子商务的发展促使人们对安全技术进行不断探索研究和开发应用, 以建立一个安全的商务环境。
摘要:本文通过对电子商务所面临的安全威胁及安全隐患进行分析, 给出了电子商务的安全需求, 并探讨了几种主要的电子商务安全技术及安全协议, 最后, 给出了加强电子商务发展的对策。
关键词:电子商务,安全威胁,信息安全,安全协议
参考文献
[1]李玉海, 桂学勤.电子商务安全问题及其解决方案.电子商务.2006.
[2]刘培德, 魏永青.密码技术在电子商务安全中的应用.商场现代化.2005.
[3]严翠玲, 王文会.电子商务安全中的数字签名技术.商场现代化.2007.
[4]杨爱民.电子商务安全现状及对策探讨.科技资讯.2006.
关于电子商务安全问题的特征分析 篇10
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此, 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题, 实施网络安全增强方案, 以保证计算机网络自身的安全性为目标。
(一) 计算机网络的潜在安全隐患。
1.未进行操作系统相关安全配置。
不论采用什么操作系统, 在缺省安装的条件下都会存在一些安全问题, 只有专门针对操作系统安全性进行相关的和严格的安全配置, 才能达到一定的安全程度。
2.未进行CGI程序代码审计。
对于网站或软件供应商专门开发的一些CGI程序, 很多存在严重的CGI问题, 对于电子商务站点来说, 会出现恶意攻击者用他人账号进行网上购物等严重后果。
3.拒绝服务 (DoS, Denial of Service) 攻击。
随着电子商务的兴起, 对网站的实时性要求越来越高, DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈, 破坏性更大, 造成危害的速度更快, 范围也更广, 而袭击者本身的风险却非常小, 甚至可以在袭击开始前就已经消失得无影无踪, 使对方没有实行报复打击的可能。
4.安全产品使用不当。
虽然不少网站采用了一些网络安全设备, 但由于安全产品本身的问题或使用问题, 这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高, 超出对普通网管人员的技术要求, 就算是厂家在最初给用户做了正确的安装、配置, 但一旦系统改动, 需要改动相关安全产品的设置时, 很容易产生许多安全问题。
5.缺少严格的网络安全管理制度。
网络安全最重要的还是要思想上高度重视, 网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
(二) 计算机网络安全体系。
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术, 在攻击者和受保护的资源间建立多道严密的安全防线, 极大地增加了恶意攻击的难度, 并增加了审核信息的数量, 利用这些审核信息可以跟踪入侵者实施网络安全防范措施时首先要加强主机本身的安全, 做好安全配置, 及时安装安全补丁程序, 减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析, 找出可能存在的安全隐患, 并及时加以修补;从路由器到用户各级建立完善的访问控制措施, 安装防火墙, 加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。
(三) 商务交易安全。
当许多传统的商务方式应用在Internet上时, 便会带来许多源于安全方面的问题, 一般来说商务安全中普遍存在着以下几种安全隐患:一是窃取信息;二是篡改信息;三是假冒;四是恶意破坏。因此, 电子商务的安全交易主要保证以下四个方面:信息保密性、交易者身份的确定性、不可否认性、不可修改性。
二、关于电子商务的安全技术
(一) 安全性要求。
1.机密性 (Confdentiality) 。
电子商务作为贸易的一种手段, 其信息直接代表着个人、企业或国家的商业机密。建立在网络环境上的电子商务的工作方式是开放的, 因此维护商业机密是电子商务全面推广应用的重要保障。要在数据传输过程和存储过程中采用加密技术, 使数据不被别人窃取、泄露、篡改和破坏。以加密实现的通讯层次来区分, 加密可以在通讯的三个不同的层次来实现, 即链路加密、节点加密、端到端加密。
2.完整性 (Integrity) 。
电子商务简化了贸易的中间过程, 但是由于数据输入时的意外差错或欺诈行为, 可能导致贸易各方信息的差异。贸易各方信息的完整性将影响到贸易各方的交易和经营策略, 保持贸易各方信息的完整性是电子商务应用的基础。因此, 要预防对信息的随意生成、修改和删除, 同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
3.可用性 (Authentication) 。
主要体现在识别机制上, 对实体的某些参数进行有效性验证, 确认用者的身份, 交易合同、契约、或贸易单据的可靠性, 预防抵赖行为的发生。因此, 要在交易信息的传输过程中为交易的个人、企业或国家提供可靠的标识。
(二) 主要的安全技术。
1.防火墙 (Firewall) 。
防火墙是一种将内部Intranet网络与公用网络分开的方法, 它实际上是一种隔离技术, 控制着Intemet与Intranet之间的所有的数据量。防火墙有包过滤 (Packet filter) 型、代理服务 (Procxy service) 型、复合型和其他类型。防火墙有很多优点, 但也具有局限性, 它只能抵御经由防火墙的攻击, 不能防止内部应用软件所携带的数据和病毒或其他方式的袭击, 也不能对内部计算机系统未授权的物理袭击提供安全保证
2.加密技术。
密码学研究信息的重新排列和组合, 其任务就是寻求生成高强度密码的有效算法。多数情况下, 密码技术是保证信息的机密性的唯一的方法。主要的算法有两种:对称密码体制和非对称密码体制。
(三) 认证技术。
认证与认证系统, 是为了防止消息被篡改、删除、重放和伪造的一种有效方法。它使接收者能够识别和确认消息的真伪。一个安全的认证系统应满足防伪造、防抵赖、防窃听、防篡改的要求。
三、关于网络中所采用的安全机制
网络中所采用的安全机制有:一是加密和隐藏机制。加密使信息改变, 攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中, 使攻击者无法发现。二是认证机制。网络安全的基本机制, 网络设备之间应互相认证对方身份, 以保证正确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份, 以保证正确的用户进行正确的操作并进行正确的审计, 三是审计。防止内部犯罪和事故后调查取证的基础, 通过对一些重要的事件进行记录, 从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。四是完整性保护。用于防止非法篡改, 利用密码理论的完整性保护能够很好地对付非法篡改。五是权力控制和存取控制。主机系统必备的安全手段, 系统根据正确的认证, 赋予某用户适当的操作权力, 使其不能进行越权的操作。六是业务填充。在业务闲时发送无用的随机数据, 增加攻击者通过通信流量获得信息的困难。同时, 也增加了密码通信的破译难度.发送的随机数据应具有良好模拟性能, 能够以假乱真。
电子商务具有市场全球化, 交易快捷化, 交易过程虚拟化, 交易成本低廉化, 交易透明化等特点, 是未来经济发展的趋势。而电子商务的信用与安全问题将随着我国信用法规的建立、生产力的增长、技术的创新和网络经济的发展而完善, 以适应经济全球化的发展和保证我国经济的繁荣和安全。
参考文献
[1].林枫.电子商务安全技术及应用[M].北京:电子工业出版社, 2001
[2].孟昭光.电子商务技术[M].北京:人民邮电出版社, 2001
电子商务的安全问题 篇11
[关键词] 网络安全 事件 安全对策
随着网络时代的到来,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心(CNCERT/CC)2005处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为电子商务的所有参与者十分关心的话题。
一、电子商务中的主要网络安全事件分析
归纳起来,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,网页篡改、网络仿冒(Phishing),逐步成为影响电子商务应用与发展的主要威胁。
1.网页篡改
网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.网络仿冒(Phishing)
网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等,随后利用骗得的账号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
3.网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
4.拒绝服务攻击(Dos)
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
5.特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界联接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
二、解决电子商务中网络安全问题的对策研究
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
1.进一步完善法律与政策依据 充分发挥应急响应组织的作用
我国目前对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,Forum of Incident Response and Security Teams)等国际机构的成员。应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
2.从网络安全架构整体上保障电子商务的应用发展
网络安全事件研究中看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。
三、结论
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。
参考文献:
[1]CNCERT/CC.2005年上半年网络安全工作报告
[2]李 卫:计算机网络安全与管理.北京:清华大学出版社,2000
[3]李海泉:计算机网络安全与加密技术.北京:科学出版社,2001
[4]陈 兵 钱红燕:网络安全与电子商务.北京:北京大学出版社,2002
电子商务中的安全问题及对策 篇12
一、电子商务的安全现状和存在的问题
1. 网络统存在的安全隐患
Internet为人类交换信息, 促进科学、技术、文化、教育、生产的发展, 提高现代人的生活质量提供了极大的便利, 但同时对国家、单位和个人的信息安全带来极大的威胁。由于网络的全球性、开放性、无缝连接性、共享性、动态性发展, 使得任何人都可以自由地接入Internet, 其中有善者, 也有恶者。恶者会采用各种攻击手段进行破坏活动。他们对网络系统的主要威胁有:
(1) 系统穿透:未经授权而不能接入系统的人通过一定手段对认证性进行攻击, 假冒合法人接入系统, 实现对文件进行篡改和窃取机密信息。非法使用资源等。一般采取伪装或利用系统的薄弱环节、收集情报等方式实现。
(2) 违反授权原则:一个授权进入系统做某件事的合法用户, 它在系统中做未经授权的其他事情, 威胁系统的安全。
(3) 植入:一般在系统穿透或违反授权攻击成功之后, 入侵者为了为以后的攻击提供方便, 常常在系统中植入一种能力, 如向系统中注入病毒、后门、特洛尹木马等来破坏系统工作。
(4) 通信监视:这是在通信过程中从信道进行搭线窃听的方式。软硬件皆可以实现, 硬件通过无线电和电磁泄漏等来截获信息, 软件则是利用信息在网络上传输的特点对流过本机的信息流进行截获和分析。
(5) 通信窜扰:攻击者对通信数据或通信过程进行干预, 对完整性进行攻击, 篡改系统中数据的内容, 修正消息次序、时间, 注入伪造消息。
(6) 中断:对可用性行攻击, 破坏系统中的硬件、硬盘、线路、文件系统等, 使系统不能正常工作, 破坏信息和网络资源。
(7) 拒绝服务:指的是系统由于被破坏者攻击而拒绝给合法的用产提供正常的服务。例如在WINNT的早先版本的115服务器中就有b u g, 破坏者可以利用它将大量垃圾信息发往某个特定的端口, 使服务器因为处理这些请求而占用大量资源, 从而不能处理合法用户的正常请求。
(8) 否认:一个实体进行某种通信或交易活动, 稍后否认曾进行过这一活动。
2. 电子商务系统的安全问题
由于因特网早期构建时并未考虑到以后的商业应用, 因此使用了TCP/IP协议及源码开放与共享策略, 为后来的商业应用带来了一系列的安全隐患。在电子商务过程中, 买卖双方是通过网络来联系, 因而建立交易双方的安全和信任关系相当困难。电子商务交易双方都面临安全威胁。
(1) 卖方面临的安全威胁主要有:
(1) 中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据、解除用户订单或生成虚假订单。
(2) 竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品, 从而了解有关商品的递送状况和货物的库存情况。
(3) 客户资料被竞争者获悉。
(4) 被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个W W W服务器来假冒销售者。
(5) 买方提交订单后不付款。
(6) 虚假订单。
(2) 买方面临的安全威胁主要有:
(1) 虚假订单:一个假冒者可能会以客户的名字来订购商品, 而且有可能收到商品, 而假冒的合法客户却被要求付款或返还商品。
(2) 付款后不能收到商品:在要求客户付款后, 销售商中的内部人员不将订单和钱转发给执行部门, 因而使客户不能收到商品。
(3) 机密性丧失:客户有可能将秘密的个人数据或自己的身份数据发送给冒充销售商的机构, 这些信息也可能会在传递过程中被窃取。
(4) 拒绝服务:攻击者可能向销售商的服务器发送大量的虚假订单来挤占它的资源, 从而使合法用户不能得到正常的服务。
二、防范电子商务安全问题的对策
电子商务的安全问题涉及到电子商务的各个环节和参加交易的各个方面, 解决电子商务的安全问题是一个系统工程和社会问题, 需全社会的参与。我们可以从以下几个方面对电子商务安全问题进行防范:
1. 构建电子商务信息安全技术框架体系
在电子商务的交易中, 电子商务的安全性主要是网络安全和交易信息的安全。而网络安全是指网络操作系统对抗网络攻击、病毒, 使网络系统连续稳定的运行, 常用的保护措施有防火墙技术。交易信息的安全是指保护交易双方的不被破坏、不泄密和交易双方身份的确认, 可以用信息加密技术、数字证书和认证技术、SSL安全协议、SET等技术来保护。
2. 积极推进电子商务立法
我国政府要加强对电子商务的研究, 要加快立法进程, 健全电子商务法律体系, 建立规范电子商务的灵活法律框架, 使电子商务实现公开、合理、合法化。这样不仅可保障进行电子商务各方面的利益, 而且还可保障电子商务的顺利进行。
综上所述, 由于在电子商务的交易过程中, 安全问题涉及到电子商务的各个环节和参加交易的各个方面, 因此需要采取不同的对策来解决。另外, 交易过程除涉及交易双方外, 还涉及到网上银行、认证中心和法律等各方面的问题, 因此电子商务安全问题的解决是一个系统工程。
参考文献
[1]王银莲:电子商务安全问题探讨[J].今日科苑, 2008 (14)
【电子商务的安全问题】推荐阅读:
电子商务安全技术问题07-19
电子商务网站安全问题05-31
电子商务安全问题分析09-13
电子商务的安全06-23
电子商务的安全08-30
电子商务的安全与防范05-31
电子商务中的安全技术07-17
中国烟草业电子商务的兴盛和发展问题07-05
电子商务征税问题05-19