開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上�。下面是小編精心整理的12篇電子商務網(wǎng)絡安全問題�����,希望這些內容能成為您創(chuàng)作過程中的良師益友��,陪伴您不斷探索和進步。
第1篇
關鍵詞:互聯(lián)網(wǎng) 電子商務 網(wǎng)絡安全 管理
1 引言
隨著互聯(lián)網(wǎng)的快速發(fā)展,人們的生活方式有了非常大的改變����,對應的經(jīng)濟社會也受到了巨大的影響����。在商業(yè)貿(mào)易領域�����,因為網(wǎng)絡的快速發(fā)展�,產(chǎn)生了電子商務這樣一種貿(mào)易方式���。但是電子商務也是經(jīng)歷了一番坎坷的�����,因為網(wǎng)絡的特殊性,在電子商務發(fā)展中產(chǎn)生了交易安全的問題�,對電子商務的穩(wěn)定發(fā)展帶來了一定的沖擊����。Internet網(wǎng)是一個互連通的自由空間�����,一些人常常會因為某些目的攻擊電子商務網(wǎng)站��,比如盜竊資金、商業(yè)打擊��、惡作劇等�����,導致有些企業(yè)的電子商務網(wǎng)站貿(mào)易交流受損��、服務暫停�����,甚至出現(xiàn)資金被盜的現(xiàn)象。據(jù)有關數(shù)據(jù)的統(tǒng)計����,美國每年因為網(wǎng)絡安全問題在經(jīng)濟上造成的損失就達到近百億美元���,而國內的情況也不容樂觀�����。因此��,當我們在享受互聯(lián)網(wǎng)給生活帶來的這些好處的時候�����,網(wǎng)絡的安全問題,早已變成電子商務的重大難題����,給電子商務企業(yè)的發(fā)展帶來了極大的阻礙�。所以���,計算機網(wǎng)絡安全是電子商務發(fā)展過程中所面臨的重大挑戰(zhàn)和問題�。電子商務企業(yè)必須從維護顧客利益和自身利益出發(fā),做好安全防范和自身安全管理工作����,才能得到持續(xù)快速的發(fā)展�����。
2 電子商務面對的網(wǎng)絡安全問題
當前,電子商務安全問題受到多方面的影響����,不但有技術管理的問題����,而且也有網(wǎng)絡缺陷的因素����,具體地說�����,直接原因有以下幾點:
2.1 網(wǎng)絡“黑客”侵犯電子商務網(wǎng)站
網(wǎng)絡黑客是專門在網(wǎng)絡中利用本身掌握的技術非法強行進入他人網(wǎng)站后臺的人���,這類人具有高超的網(wǎng)絡技術����,能夠不受電子商務網(wǎng)站技術防護的限制��。許多“黑客”篡改內容信息��、破壞網(wǎng)站;盜取商戶或企業(yè)的賬戶資金,極大地影響了電子商務的正常進行����。
2.2 電子商務軟件有漏洞
許多軟件研發(fā)單位研發(fā)的技術不成熟的電子商務軟件����,存在許多安全漏洞�,防護極易被外來入侵者利用漏洞攻破,導致電子商務企業(yè)受到很大的經(jīng)濟損失;有的企業(yè)即使安裝了防護軟件,但由于軟件沒有得到及時升級�����,致使軟件喪失了應有防護功能。
2.3 電子商務網(wǎng)絡自身存在安全問題
網(wǎng)絡具有共享性�����、開放性等特點�,它的設計原則是確保信息傳輸不會受到局部損壞的影響。所以�,對網(wǎng)站安全帶來了極大的隱患�。特別是對電子商務企業(yè)情況更加嚴峻����。
2.4 網(wǎng)站管理的缺失
由于電子商務企業(yè)缺乏警惕性����,不重視網(wǎng)絡安全的管理,通常只有在受到攻擊以后才會去加強網(wǎng)站安全;部分企業(yè)則以為只要安裝了入侵監(jiān)測系統(tǒng)、殺毒軟件�����、防火墻等安全產(chǎn)品��,就能保障網(wǎng)站的安全��,所以沒有根據(jù)企業(yè)實際情況制定相應的管理制度,也沒有加強技術防范��,給入侵者提供了機會��。
3 應對的措施
電子商務安全問題是在網(wǎng)絡化�、電子化技術發(fā)展的前提下出現(xiàn)的���,所以很多傳統(tǒng)的解決辦法不能簡單地應用過來���。電子商務企業(yè)想要取得效益��,就要從企業(yè)的健康發(fā)展出發(fā)��,改善企業(yè)的安全管理,提高技術投入。具體的防范措施有: 3.1 安全技術管理需要加強
需要重視電子商務網(wǎng)站的維護���、升級等方面,做好每天的安全備份,加強網(wǎng)站服務器的管理����。制定安全防范預案,只要發(fā)生安全事件�����,能夠得到盡快解決����,從而減少損失。使用權威性較強的安全防護軟件�����,并能夠正常啟動�����、正常升級�����,發(fā)揮應有的防護功能。
3.2 在電子安全方面擴大管理和技術投入
企業(yè)需要加大安全方面的資金投入��,購買技術防護設備����,加大對技術改造與設備更新的投入。引進安全管理的相關技術����,招聘相應的管理人才����,并進行適當?shù)拇鰞A斜,確保安全管理團隊的穩(wěn)定�。
3.3 使用密碼管理技術
電子商務中最重要的防范環(huán)節(jié)是密碼管理,要使用先進的密碼管理手段���,確保能發(fā)揮特定的功能,重點有交易信息安全���、身份認證安全和賬戶安全等。
3.4 電子商務企業(yè)自身的管理需要得到強化
安全技術是電子商務企業(yè)的首要防范措施��,但發(fā)揮其作用的關鍵還是嚴密的管理��,只有建立完善的安全防范管理系統(tǒng)���,才能保證企業(yè)的安全����。所以電子商務企業(yè)���,需要制定安全防護制度�����,保證明確職責��;要有獎懲制度,責任事故的時候�,能夠做到及時追究�,提高技術管理人員的責任意識��。
第2篇
電子商務的安全問題��,基本上可以分為兩大部分,即計算機網(wǎng)絡安全和商務交易安全���。計算機網(wǎng)絡安全包括計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全�、數(shù)據(jù)庫安全等��。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題��,實施網(wǎng)絡安全增強方案��,以保證計算機網(wǎng)絡自身的安全性為目標。商務安全則緊緊圍繞傳統(tǒng)商務在Internet上應用時產(chǎn)生的各種安全問題。因此���,計算機網(wǎng)絡安全技術在電子商務的運營過程中就起到的至關重要的作用。
一、電子商務目前存在的網(wǎng)絡安全問題
電子商務隨著計算機網(wǎng)絡技術的發(fā)展而誕生。其各方面的技術本身還不很完善����。綜合分析�,在商務活動中還存在很多安全隱患���。
(一)傳輸線路安全與質量問題
從安全的角度來說���,沒有絕對安全的通信線路�����。同時���,無論采用何種傳輸線路���,當線路的通信質量不好時�����,將直接影響連網(wǎng)效果,嚴重的時候甚至導致網(wǎng)絡中斷,這就會嚴重地危害通信數(shù)據(jù)的完整性。
(二)網(wǎng)絡協(xié)議安全問題
目前�,TCPfIP協(xié)議是應用最廣泛的網(wǎng)絡協(xié)議�,但由于TCP/IP本身的開放性特點����,企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳送的�����,惡意攻擊者很容易對某個電子商務網(wǎng)站展開數(shù)據(jù)包攔截�����,甚至對數(shù)據(jù)包進行修改和假冒�。
(三)用戶信息安全問題
目前電子商務最主要的形式就是電子商務網(wǎng)站��,用戶通過瀏覽器登錄到電子商務網(wǎng)站進行交易��,由于用戶在登錄時使用的可能是公共計算機,如網(wǎng)吧、辦公室的計算機等情況��,那么如果這些計算機中有惡意木馬程序或病毒���,這些用戶的登錄信息如用戶名���、口令可能會有丟失的危險���。
(四)電子商務網(wǎng)站的安全問題
有些企業(yè)建立的電子商務網(wǎng)站本身在設計制作時就會有一些安全隱患���,服務器操作系統(tǒng)本身也會有漏洞����,不法攻擊者如果進入電子商務網(wǎng)站,大量用戶信息及交易信息將被竊取���,給企業(yè)和用戶造成難以估量的損失。
二��、電子商務網(wǎng)絡安全性要求
電子商務目前存在的網(wǎng)絡安全問題導致了對電子商務安全的需求�����,在計算機網(wǎng)絡安全的基礎上實現(xiàn)電子商務信息的保密性、交易信息的完整性和一致性�����、交易者身份的真實性和不可偽裝性���、交易的不可抵賴性是電子商務交易過程中的網(wǎng)絡安全性要求�。
(一)交易信息的保密性要求
電子商務系統(tǒng)應對用戶所傳送的信息進行有效的加密,交易中的商務信息代表著個人��、集體或國家的商業(yè)機密���,交易信息一旦泄露��,將直接影響到雙方的利益��。如信用卡的賬號和用戶名等不能被他人知悉,因此在信息傳播中要防止因信息被截取破譯�����,同時要防止信息被越權訪問��。
(二)交易信息的完整性要求
信息完整性是指在數(shù)據(jù)處理過程中�����,原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務交易的嚴肅和公正�����,交易的文件是不可被修改的����,否則必然會損害一方的商業(yè)利益�����。因此�����,要預防對信息的隨意生成����、修改和刪除���,同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復��。
(三)交易雙方身份認證的要求
電子商務系統(tǒng)應提供安全有效的身份認證機制�,確保交易雙方的信息都是合法有效的����,以免發(fā)生交易糾紛時提供法律依據(jù)。
(四)交易的不可抵賴性要求
不可抵賴性是防止發(fā)送方或接收方抵賴所傳輸?shù)南⒌囊环N安全服務��。交易一旦達成是不能被否認的����,否則必然會給另一方帶來損失。因此必須確保通信或交易雙方無法對已進行的業(yè)務進行否認���。
三、電子商務中的幾種網(wǎng)絡安全防范技術
(一)防火墻技術
在互聯(lián)網(wǎng)上���,防火墻是一種非常有效的網(wǎng)絡安全系統(tǒng)����,通過它可以隔離Internet與被保護網(wǎng)的連接,同時不會妨礙被保護網(wǎng)對因特網(wǎng)的訪問。防火墻可以監(jiān)控進出網(wǎng)絡的數(shù)據(jù),僅讓安全、核準后的數(shù)據(jù)進入����,抵制對局域網(wǎng)構成威脅的數(shù)據(jù)���。
防火墻具有很好的保護作用���,入侵者必須首先穿越防火墻的安全防線��,才能接觸目標計算機。還可以將防火墻配置成許多不同保護級別,用戶能夠根據(jù)具體需要選擇相應的保護級別。
目前��,防火墻技術是電子商務網(wǎng)絡安全防范技術中最常用的一種��,技術發(fā)展較為成熟����,對于已知的攻擊模式有很好的防御作用��。防火墻能極大地提高一個內部網(wǎng)絡的安全性���,防止企業(yè)內部的商務信息外泄�����。防火墻還能夠提供身份認證和審計功能,對參與電子商務活動的人員提供認證服務���,防止被騙。因此,防火墻是建立商務信息安全傳輸和交換的基石,對電子商務以及網(wǎng)絡經(jīng)濟的發(fā)展起著推波助瀾的作用��。
(二)入侵檢測系統(tǒng)
為了保護電子商務網(wǎng)站的信息安全��,電子商務服務器一般采用多種安全策略和安全保護手段,但大多數(shù)都是以靜態(tài)防護為主�����,以防火墻為主的靜態(tài)防護已經(jīng)不能滿足現(xiàn)在的要求��,在網(wǎng)絡服務器中應用入侵檢測系統(tǒng)是一種增強系統(tǒng)安全的有效方法�����,能幫助系統(tǒng)管理員進行安全管理或對系統(tǒng)所受到的攻擊采取相應的對策。入侵檢測系統(tǒng)是一種對網(wǎng)絡傳輸進行即時監(jiān)視���,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。它是繼防火墻之后的第二道安全門���,具有很好的主動性和實時性���,是自動檢測入侵行為的良好工具和手段����。
入侵檢測系統(tǒng)執(zhí)行的主要任務包括:監(jiān)視�����、分析用戶及系統(tǒng)活動����;審計系統(tǒng)構造和弱點��;識別��、反映已知進攻的活動模式����,向相關人士報警;統(tǒng)計分析異常行為模式�����;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性����;審計、跟蹤管理操作系統(tǒng)����,識別用戶違反安全策略的行為?���,F(xiàn)在的電子商務網(wǎng)站通常將防火墻和入侵檢測這兩種技術結合起來使用��,當入侵檢測系統(tǒng)發(fā)現(xiàn)異常流量會立即報告防火墻����,防火墻可以切斷其相應連接���,這樣以來就起到了雙重保護的作用����。
(三)虛擬專用網(wǎng)技術
虛擬專用網(wǎng)是指通過一個公用網(wǎng)絡(通常是Internet)建立一個臨時的、安全的連接����,是一條穿過公用網(wǎng)絡的安全、穩(wěn)定的隧道。它可以實現(xiàn)不同網(wǎng)絡的組件和資源之間的相互連接���。并給用戶提供與專用網(wǎng)絡一樣的安全和功能保障。
通常,虛擬專用網(wǎng)是對企業(yè)內部網(wǎng)的擴展�,通過它可以幫助遠程用戶���,企業(yè)分支機構�,商業(yè)伙伴及供應商和企業(yè)的內部網(wǎng)絡建立可信的安全連接���,并保證數(shù)據(jù)的安全傳輸�。一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡連接上的費用。同時,這將簡化網(wǎng)絡的設計和管理�,加速連接新的用戶和網(wǎng)站��。還可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
(四)加密技術
在進行電子商務交易時,由于信息在傳輸過程中有可能遭到竊聽而失去機密性,因此交易雙方可以利用技術手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送到目的地后再用相同或不同的手段還原,保證了網(wǎng)絡數(shù)據(jù)的機密性,這種技術手段稱為加密技術�����。在安全保密中����,可通過適當?shù)拿荑€加密技術和管理機制來保證網(wǎng)絡的信息通訊安全。
加密技術的應用是多方面的��,但最為廣泛的還是在電子商務中的應用。電子商務要求顧客可以在網(wǎng)上進行各種商務活動,不必擔心自己的信用卡會被人盜用。現(xiàn)在人們開始用RSA(一種公開/私有密鑰)的加密技術���,提高信用卡交易的安全性,從而使電子商務走向實用成為可能����。
(五)數(shù)字簽名
數(shù)字簽名技術是在網(wǎng)絡系統(tǒng)虛擬環(huán)境中確認身份的重要技術��,完全可以代替現(xiàn)實過程中的“親筆簽字”,在技術和法律上有保證��。
在電子商務安全服務中的源鑒別�����、完整、不可否認服務中都要用到數(shù)字簽名技術。例如:由于數(shù)字簽名具有不可偽造的特性,可以用于廠家給貴重商品提供防偽標識�����;還可以用于對數(shù)字產(chǎn)品進行保護和認證����;電子商務活動過程中的電子支付、開發(fā)票、簽訂電子合同等環(huán)節(jié)都能用到數(shù)字簽名�����。
第3篇
【關鍵詞】 電子商務�����、網(wǎng)絡平臺���、安全�����、技術
序言
隨著互聯(lián)網(wǎng)的普及日漸迅速電子商務開始融入人們的日常生活中,網(wǎng)上訂貨、網(wǎng)上支付等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式��,越來越多的人開始使用電子商務網(wǎng)站來傳遞各種信息�����,并進行各種交易���。電子商務網(wǎng)站傳遞各種商務信息依靠的是互聯(lián)網(wǎng)平臺,而互聯(lián)網(wǎng)平臺本身就是一個完全開放的網(wǎng)絡��,任何一臺計算機��、任何一個網(wǎng)絡都可以與之相連�����。它又是無國界的,沒有管理權威����,“是世界唯一的無政府領地”����,因此�����,電子商務網(wǎng)絡平臺安全風險就構成了對電子商務的安全威脅��。
一、電子商務網(wǎng)絡平臺信息安全現(xiàn)狀
現(xiàn)如今�,網(wǎng)上購物已經(jīng)成為普通消費者的購物選擇之一�,逐漸成為消費的主流����。最新的一份報告顯示,到2015年��,中國互聯(lián)網(wǎng)用戶的數(shù)量有望超過8億。其中新增用戶中有四分之一的人可能來自于農(nóng)村地區(qū)�。這份報告由中國社會科學文獻出版社�,援引了中國政府互聯(lián)網(wǎng)網(wǎng)絡信息中心的數(shù)據(jù)�。它聲稱,到今年6月30日���,中國互聯(lián)網(wǎng)用戶的數(shù)量較去年同期增長了10.9%���,增長到了5.38億��?���?梢娋W(wǎng)上購物擁有很大的一批消費群����。在網(wǎng)購盛行的時代,理智的消費者已經(jīng)逐漸意識到����,網(wǎng)上購物為我們帶來方便的同時��,由于網(wǎng)絡安全問題,也帶給我們更多危險的可能��。電子商務網(wǎng)絡平臺所面臨的信息安全現(xiàn)狀不容樂觀�����。所據(jù)美國網(wǎng)絡界權威雜志《信息安全雜志》披露�����,從事電子商務的企業(yè)比一般企業(yè)承擔著更大的信息風險。其中��,前者遭黑客攻擊的比例高出一倍�,感染病毒、惡意代碼的可能性高出9%���,被非法入侵的頻率高出10%,而被詐騙的可能性更是比一般企業(yè)高出2.2倍作為網(wǎng)上購物核心環(huán)節(jié)的“支付環(huán)節(jié)”�����,其安全性����、便捷性是買賣雙方都想追求的目標��。電子商務交易的信用危機也悄然襲來�����,虛假交易、假冒行為、合同詐騙、網(wǎng)上拍賣哄抬標價、侵犯消費者合法權益等各種違法違規(guī)行為屢屢發(fā)生,這些現(xiàn)象在很大程度上制約了我國電子商務乃至全球電子商務快速、健康的發(fā)展�。
二����、電子商務網(wǎng)絡平臺面臨的安全問題
電子商務活動中有大量的數(shù)據(jù)需要傳輸與存儲��,數(shù)據(jù)傳輸依靠互聯(lián)網(wǎng)技術�,而互聯(lián)網(wǎng)是一個天然脆弱和不安全的網(wǎng)絡�����,數(shù)據(jù)容易丟失和被截獲�。而數(shù)據(jù)的存儲主要依靠數(shù)據(jù)庫技術����,數(shù)據(jù)庫也是非法分子常常入侵和破壞的對象。所以網(wǎng)絡通信安全與數(shù)據(jù)庫安全,是電子商務網(wǎng)絡長期面臨的的主要問題��。
2.1�����、數(shù)據(jù)庫安全��。企業(yè)在電子商務活動中產(chǎn)生的大量數(shù)據(jù)是他們進行不間斷經(jīng)營的重要支撐,產(chǎn)品數(shù)據(jù)資料����、客戶關系管理都涉及到龐大的數(shù)據(jù)群���。采用流行的關系型數(shù)據(jù)庫進行數(shù)據(jù)存儲與管理����,是電子商務企業(yè)必要的選擇��。但是網(wǎng)絡黑客從未間斷過對企業(yè)數(shù)據(jù)庫的攻擊����,一旦他們竊取到企業(yè)數(shù)據(jù)庫的訪問權�、管理權,就可以獲得他們想要的數(shù)據(jù),甚至篡改或刪除這些對企業(yè)來說至關重要的數(shù)據(jù)�。
2.2�、網(wǎng)絡通信安全��。數(shù)據(jù)傳輸過程中容易丟失��、損壞或被黑客篡改、竊取,所以首先要保證通信線路的安全可靠性,采用性能穩(wěn)定的設備和較為強大的軟件來保證傳輸穩(wěn)定性。其次為了防止黑客攻擊,例如木馬、病毒等程序���,要再傳輸過程中使用數(shù)據(jù)加密及數(shù)字簽名等技術保障數(shù)據(jù)的安全性。
三�����、電子商務網(wǎng)絡平臺安全的技術保障機制
電子商務網(wǎng)絡平臺信息安全包括網(wǎng)絡安全和交易安全�����。因此�����,電子商務安全技術主要有計算機網(wǎng)絡安全技術和商務交易安全技術兩方面的保障機制���。
1����、計算機網(wǎng)絡安全技術
網(wǎng)絡安全技術伴隨著網(wǎng)絡的誕生就出現(xiàn),如今已出現(xiàn)了日新月異的變化�����。VPN安全隧道���、防火墻和網(wǎng)絡入侵主動監(jiān)測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網(wǎng)絡的整體安全性�����。目前�����,主要的網(wǎng)絡安全保障技術有:
(1)VPN即虛擬專用網(wǎng)技術,由于TCP/IP協(xié)議的不安全性�����,對電子商務安全無有效的認證機制�����,真實性難有保證;缺乏保密機制,網(wǎng)上數(shù)據(jù)隱私性不能得到保護�;不能提供對網(wǎng)上數(shù)據(jù)流的完整性保護等問題���。因此����,在電子商務中通常采用VPN技術,通過加密和驗證網(wǎng)絡流量來保護在公共網(wǎng)絡上傳輸私有信息�����,而不會被竊取或篡改���。對于用戶來說�����,就象使用他們自己的私有網(wǎng)絡一樣���。
(2)防火墻技術��,防火墻是一種隔離控制技術,在某個機構的網(wǎng)絡和不安全的網(wǎng)絡(如Internet)之間設置屏障��,阻止對信息資源的非法訪問���,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡上被非法輸出�。
(3)病毒防護和入侵檢測技術,病毒防護技術可降低病毒和惡意代碼攻擊風險����,并防止有害軟件通過服務器或網(wǎng)絡執(zhí)行和傳播�。入侵檢測系統(tǒng)則能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生����,擴展系統(tǒng)治理員的安全治理能力��,從而提高信息安全基礎結構的完整性�。
2���、商務交易安全技術
商務交易安全是為了實現(xiàn)電子商務的保密性��、完整性����、可鑒別性�����、不可偽造性和不可抵賴性��。它是電子商務交易過程中最核心和最關鍵的安全問題。目前,主要的商務交易安全保障技術有:
(1)數(shù)據(jù)加密技術�,加密技術是電子商務采取的主要安全保密措施���,是最常用的安全保密手段�����,利用技術手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)����。加密技術包括兩個元素:算法和密鑰���。算法是將普通的文本(或者可以理解的信息)與一竄數(shù)字(密鑰)的結合���,產(chǎn)生不可理解的密文的步驟,密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法���。在安全保密中,可通過適當?shù)拿荑€加密技術和管理機制來保證網(wǎng)絡的信息通訊安全�����。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種����。相應地,對數(shù)據(jù)加密的技術分為兩類�����,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數(shù)據(jù)加密標準(DES��,Data Encryption Standard)算法為典型代表�,非對稱加密通常以RSA(Rivest Shamir Ad1eman)算法為代表。對稱加密的加密密鑰和解密密鑰相同����,而非對稱加密的加密密鑰和解密密鑰不同���,加密密鑰可以公開而解密密鑰需要保密���。
(2)數(shù)字簽名技術���,數(shù)字簽名技術是實現(xiàn)交易安全核心技術之一�,它實現(xiàn)的基礎就是加密技術��。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實性的�。但在計算機網(wǎng)絡中傳送的報文又如何蓋章呢���?這就是數(shù)字簽名所要解決的問題��。數(shù)字簽名必須保證以下幾點:接收者能夠核實發(fā)送者對報文的簽名;送者事后不能抵賴對報文的簽名�;接收者不能偽造對報文的簽名?�,F(xiàn)在己有多種實現(xiàn)數(shù)字簽名的方法,采用較多的就是公開密鑰算法�。
(3)安全協(xié)議技術�,使用SET和SSI等安全協(xié)議能有效地保障交易安全�����。SET即安全電子交易的簡稱����,SET提供了消費者�、商家和銀行之間的認證,確保了交易數(shù)據(jù)的安全性�����、完整可靠性和交易的不可否認性����,已成為目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。SSL即安全套接層協(xié)議的簡稱�,主要用于提高應用程序之間數(shù)據(jù)的安全系數(shù)�����。
結束語
本文分析了目前電子商務網(wǎng)絡平臺的安全需求,使用的安全技術及仍存在的問題���,并指出了與電子商務網(wǎng)絡平臺安全有關的協(xié)議技術使用范圍及其優(yōu)缺點,但必須強調說明的是��,電子商務的安全運行�����,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規(guī)范飛速發(fā)展的電子商務現(xiàn)實中存在的各類問題,從而引導和促進我國電子商務快速健康發(fā)展���。
參考文獻
[1] 成衛(wèi)青,龔儉.網(wǎng)絡安全評估[J].計算機工程,2003����,(02).
[2] 張娟���,電子商務網(wǎng)絡安全技術探究[D]�����,2005,(04)
[3] 吳洋.電子商務安全方法研究[D].天津大學�����,2006.
第4篇
隨著我國經(jīng)濟的不斷進步和社會的發(fā)展,網(wǎng)絡技術在迅速的崛起����,并且快速的發(fā)展�����,網(wǎng)上購物的數(shù)量在日漸增加,網(wǎng)上購物已經(jīng)成為我國經(jīng)濟增長中一個重要部分����,然而這也為我國的電子商務安全帶來的許多新的問題����,這些問題也受到了社會各界的關注��。如何解決電子商務安全問題,已經(jīng)是現(xiàn)代技術工作者重點研究的課題之一。本文將從電子商務的安全現(xiàn)狀,電子商務使用的網(wǎng)絡安全的主要問題以及電子商務交易過程中網(wǎng)絡安全中問題的解決策略三個方面對電子商務安全全面��、嚴謹?shù)倪M行分析�。
【關鍵詞】
電子商務的安全;防治的要點;有效的管理����;措施的研究
電子商務交易在進行的過程中����,網(wǎng)上的技術人員很難保證在網(wǎng)絡中傳送的信息是否可靠����,是否完整,是否被篡改�、重寫或者竊取����,甚至信息中是否夾帶病毒等����。同時這些威脅著電子商務的安全問題始終存在,有關電子商務服務的技術人員也在解決這些問題。
一�����、電子商務的安全現(xiàn)狀
(一)木馬�����、病毒種類更新速度快�,數(shù)量多
據(jù)我國的一些相關調查可以知道�,在2011年的上半年木馬網(wǎng)頁的數(shù)量已經(jīng)超過了3.5億���,在春節(jié)假期那段時間�����,就有增長了六十多萬多萬的木馬�����,這些數(shù)據(jù)告訴我們,現(xiàn)階段我國的電子商務處在一個十分不樂觀的環(huán)境中���,電子商務存在的安全問題嚴重,需要馬上解決這些問題�����。不光是這樣��,現(xiàn)階段在網(wǎng)上傳播的網(wǎng)絡病毒種類繁多�����,并且變化速度極快���,針對這些問題�,有些殺毒軟件也在努力�,快速的更新,但是還是不能夠很有效的阻止病毒的傳播��。最為嚴重的是很多的病毒制造者在利用這些木馬病毒進行違法犯罪的活動���,這些都會影響社會的和諧與安定���。
(二)網(wǎng)絡博病毒的傳播方式不同了
網(wǎng)絡病毒的傳統(tǒng)傳播方式僅僅是通過網(wǎng)絡進行傳播的���,但隨著科技的發(fā)展�����,現(xiàn)階段他們的傳播方式也在升級,很多移動設備成為了病毒傳播的媒介����,例如����,我們使用的U盤或硬盤以及各種隨身攜帶的存儲設備都讓木馬病毒有了可乘之機�����。技術人員發(fā)現(xiàn)通過網(wǎng)絡傳播的病毒比例在下降���,但是一種新型的病毒傳播方式正在影響著我們的生活��,技術人員稱他為“掛馬”。這種病毒只有在有安全漏洞的計算機訪問網(wǎng)頁時才會被感染����,這種病毒對電腦的攻擊力更強���,并且一般用戶很難發(fā)現(xiàn)他們的存在����,所以他們潛在的危險性比一般病毒更強�。
二�����、電子商務網(wǎng)絡安全中的主要問題
(一)非授權性的訪問
在沒有經(jīng)過同意的情況下����,私自取用計算機上的資源����,被我們稱為非授權訪問。例如,病毒制造者有意義的避開系統(tǒng)訪問機制對網(wǎng)絡進行非正常性的使用,或者越權訪問相關信息����。這類問題主要有非法用戶進入網(wǎng)絡系統(tǒng)進行違規(guī)違法操作����、仿冒身份進行攻擊等。
(二)信息丟失或泄露
信息的泄露或丟失主要有兩種,一種是在傳輸?shù)倪^程中丟失�,例如�。病毒的制造者利用一些網(wǎng)絡漏洞和硬件漏洞竊取機密信息,或者對信息的頻率、流量這些參數(shù)進行分析���,以此來推斷用戶的賬號和密碼等;另一種是信息在儲存媒介中丟失或泄露。
(三)破壞數(shù)據(jù)完整性
破壞數(shù)據(jù)的完整性分為兩種情況�����,一種是以不正當?shù)氖侄潍@得數(shù)據(jù)的使用權�,然后對數(shù)據(jù)進行修改或刪除某些重要消息,以此來達到對自己有意義的結果。另一種是修改數(shù)據(jù)���、惡意添加數(shù)據(jù)信息��,干擾了正常用戶的使用。
(四)利用網(wǎng)絡傳播病毒
現(xiàn)在人們的生活已經(jīng)離不開網(wǎng)絡技術,網(wǎng)絡技術廣泛的應用于人類生活的各個方面。但是隨著網(wǎng)絡技術被大眾廣泛的應用�,很多的壓縮文件或者電子郵件都已經(jīng)變成病毒傳播的一個途徑�����。通過這些手段進行病毒傳播�����,這種傳播方式的破壞性遠遠高過于傳統(tǒng)的傳播方式����,而且一般用戶很難進行防范��。
三�、電子商務網(wǎng)絡安全問題的管理措施研究
(一)系統(tǒng)軟硬件設施的安全
只要基于一個安全可靠的通信網(wǎng)絡才能夠擁有一個電子商務需要的安全可靠的系統(tǒng)���。每個從事電子商務的企業(yè)也都想擁有一套完整的電子商務系統(tǒng)�,那就要有最為基礎的電子商務設施,這些基礎的設施能夠為從事電子商務的企業(yè)提供一個較為優(yōu)越的環(huán)境,這其中包括一些硬件及軟件部分的服務,通過這種系統(tǒng)來管理和支持企業(yè)用戶的所有應用���。電子商務的基礎設施現(xiàn)階段也是企業(yè)能否成功構建電子商務的一個關鍵?��?梢哉f它支持著這個企業(yè)內部的全部業(yè)務,并且他存在在運營的每一個環(huán)節(jié)中�。如果企業(yè)擁有一個良好的電子商務設施就能夠在用量十分大的時候也能輕松的應對�����,可以降低企業(yè)在運營時的成本,也能夠為企業(yè)回避一些風險�。最重要的是一個合格的電子商務是能夠確保企業(yè)在運作時的連續(xù)性和安全性的�。
(二)數(shù)據(jù)加密技術
我們傳統(tǒng)的信息交流方式是信件��,在郵遞的過程中����,寄件人會將信件隱藏在信封中���,這是一種保密技術����。然而����,在電子商務中,如何實現(xiàn)這樣的保密��,是技術人員需要思考的一個重點��。在電子商務交易中�,為了保證信息的安全��,一定要實現(xiàn)傳輸?shù)男畔⒊藨摻邮苄畔⒌氖招湃艘酝?���,其他任何人通過任何途徑都不可獲取�。為了實現(xiàn)這樣的信息安全需要對信息進行有效的加密,通過這樣的技術方式將傳輸?shù)男畔㈦[藏起來�����。電子商務數(shù)據(jù)加密技術是指將需要傳輸?shù)男畔⑼ㄟ^加密鑰匙或者加密函數(shù)進行轉換���,使信息在傳遞的過程中變成無意義的密文�,接收方在收到密文后,運用兩人之前商定好的解密鑰匙���,將密文轉化回需要傳輸?shù)男畔ⅰN募用?����,是網(wǎng)絡安全技術的一個基礎�����。
(三)電子商務認證技術
電子商務認證技術在現(xiàn)階段主要有四種���,分別是數(shù)字簽名�����、數(shù)字摘要、數(shù)字信封�����、數(shù)字證書�����,這四種認證技術都能很好的完善現(xiàn)在的電子商務市場環(huán)境���。
(四)安全電子交易協(xié)議
針對電子商務目前存在的很多技術缺陷�����,現(xiàn)階段有VISA和MasterCard兩大信用卡聯(lián)合推出的電子交易規(guī)范SET協(xié)議。SET主要用于界定與劃分電子商務活動中各方的權利與義務關系,給出標準的交易信息傳送流程�。SET協(xié)議使得電子商務系統(tǒng)有了完整性�����、保密性�、身份合法性以及不可否認性。SET規(guī)范為在Internet上進行安全的電子商務提供了一個開放的標準,SET綜合使用私有密鑰加密和公用密鑰加密的電子認證技術,其認證過程使用RSA和DES算法���,可以給電子商務提供很強的安全保護。
四、總結
現(xiàn)階段人們的生產(chǎn)生活中已經(jīng)離不開網(wǎng)絡技術��,越來越多的電子商務取代了現(xiàn)實中的商貿(mào)交易�����,人們也越來越依賴電子商務帶來的便利���,并且電子商務真的可以為忙碌的生活節(jié)省下來時間����,也正是因為這樣���,越來越多的人開始利用網(wǎng)絡進行電子商務犯罪���,給很多人帶來很大的損失�����,本文中簡單的提到了一些電子商務安全管理措施����,希望可以為電子商務的從事者提供一些幫助���。
參考文獻
[1]李玲.電子商務安全問題及防范措施[J].商場現(xiàn)代化�����,2013,07.
[2]康莉.“云計算”環(huán)境下電子商務安全問題及對策研究[J].科技致富向導����,2013���,06.
第5篇
【關鍵詞】電子商務�;安全技術
引言
在當今這個時代�����,電子商務作為這個時代的產(chǎn)物�����,被賦予了很大的希望�����,在它的身上背負著太多的期望,但是電子商務卻不那么完美�。在電子商務應用的過程中��,出現(xiàn)了許多的問題,其中最大的就是安全問題,這個問題完全制約了電子商務的發(fā)展。譬如一些人會因為某些目的攻擊電子商務網(wǎng)站��,比如盜取商業(yè)信息�、盜竊資金、商業(yè)打擊、商業(yè)欺騙���、惡作劇等等,而這會導致企業(yè)的電子商務網(wǎng)站交流受損、服務暫停�����,這將直接導致企業(yè)利潤受損���。因此人們提出了想要推進電子商務的發(fā)展就要首先解決電子商務安全的問題�����。這個問題不解決,那想要發(fā)展電子商務是幾乎不可能的�。
一�、電子商務安全問題現(xiàn)狀分析
當前階段電子商務的安全問題比較嚴重�����,最突出的表現(xiàn)在計算機網(wǎng)絡安全和商業(yè)誠信問題上����。隨著網(wǎng)絡技術的廣泛應用�,我國電子商務的安全問題也日益突出。
1.計算機網(wǎng)絡存在的安全問題
計算機網(wǎng)絡幫助人類進行信息交換����,促進了科學�、技術��、文化�、教育�����、生產(chǎn)的發(fā)展�,提高了現(xiàn)代人的生活水平并且為人們的生活提供了極大的便利��,但同時也對國家�、企業(yè)�����、個人的信息安全帶來了極大的威脅。當前信息安全的重點放在了保護信息,確保信息在存儲���、處理、傳輸過程中及信息系統(tǒng)不被破壞,確保對合法用戶的服務和限制非授權用戶的服務以及必要的防御攻擊的措施。信息的保密性���、完整性、可用性 、可控性就成了關鍵因素�����。計算機網(wǎng)絡中存在著安全機制缺失���、安全協(xié)議問題��、安全工具�����、系統(tǒng)漏洞和后門��、病毒木馬等間諜軟件、吳用和濫用等安全問題
2.商業(yè)誠信導致的安全問題
在傳統(tǒng)交易過程中�,買賣雙方是面對面的����,因此很容易保證交易過程的安全性和建立起信任關系�。但在電子商務過程中,買賣雙方是通過互聯(lián)網(wǎng)來聯(lián)系的�,彼此遠隔千里�����,由于互聯(lián)網(wǎng)的特性導致既不安全也不可信,因而建立交易雙方的安全和信任關系相當困難��,中間存在著誠信安全問題���、交易抵賴��、網(wǎng)絡詐騙等問題。因此�,想要電子商務能蓬勃發(fā)展�,誠信是個大問題����,在現(xiàn)實交易環(huán)境中都無法完全保證誠信,更何況是線上虛擬交易�����。對于電子商務誠信問題還有很長的路要走���。
二�����、解決電子商務安全問題對策
電子商務的安全問題涉及到電子商務的各個環(huán)節(jié)和參加貿(mào)易的各個方面��,解決電子商務的安全問題是一個系統(tǒng)工程和社會問題。需全社會的參與。我認為可以從以下幾個方面對電子商務安全問題進行防范���。
1.網(wǎng)絡安全技術
目前,電子商務安全領域已經(jīng)形成了幾大核心技術。要解決電子商務安全問題必須需要依靠它們���。它們分別是:①加密技術.加密技術能夠解決信息傳送的保密問題,加密技術分為對稱加密和非對稱加密�����。②數(shù)字簽名.數(shù)字簽名解決了如何防止他人對傳輸?shù)奈募M行破壞�����,以及如何確定發(fā)信人的身份的問題。數(shù)字簽名與書面文件簽名有相同功效�,它代表了文件的特征��,文件如果發(fā)生改變,數(shù)字簽字的值也將發(fā)生變化�����,不同的文件將得到不同的數(shù)字簽字��。數(shù)字簽名是采用雙重加密的方法���,通過被發(fā)送文件用 SHA編碼加密產(chǎn)生128 bit的數(shù)字摘要�����,發(fā)送方用自己的私用密鑰對摘要再加密,形成數(shù)字簽名��,將原文和加密的摘要同時傳給對方��,對方用發(fā)送方的公共密鑰對摘要解密���,同時對收到的文件用SHA編碼加密產(chǎn)生又一摘要��,將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要互對比�,最終實現(xiàn)了防偽���、防抵賴�����。③數(shù)字時間戳.數(shù)字時間戳服務提供了對電子文件發(fā)表時間的安全保護����,由專門的機構提供����。④數(shù)字證書.數(shù)字證書是由CA認證中心簽發(fā)的����,用電子手段來證實一個用戶的身份和對網(wǎng)絡資源的訪問權限的憑證。在網(wǎng)上的電子交易中�,如雙方出示了各自的數(shù)字證書�����,就可用它來進行安全交易操作了。
2.商務安全技術
雖然有了網(wǎng)絡方面的安全技術���,但是若在商務運作方面不注重安全,照樣也存在著非常大的隱患��。我們應該①加強安全技術管理�。需要重視電子商務網(wǎng)站的維護、升級等方面�,做好每天的安全備份��,加強網(wǎng)站服務器的管理。制定安全防范預案�,只要發(fā)生安全事件�����,能夠得到盡快解決,從而減少損失����。使用權威性較強的安全防護軟件��,并能夠正常啟動、正常升級�����,發(fā)揮應有的防護功能�����。②加強安全管理方面投入。企業(yè)需要加大安全方面的資金投入,購買技術防護設備,加大對技術改造與設備更新的投入�。引進安全管理的相關技術��,招聘相應的管理人才,并進行適當?shù)拇鰞A斜,確保安全管理團隊的穩(wěn)定����。 ③加強密碼管理�。電子商務中最重要的防范環(huán)節(jié)是密碼管理���,要使用先進的密碼管理手段��,確保能發(fā)揮特定的功能�,重點有交易信息安全�����、身份認證安全和賬戶安全等��。④加強密碼管理。電子商務中最重要的防范環(huán)節(jié)是密碼管理�,要使用先進的密碼管理手段����,確保能發(fā)揮特定的功能,重點有交易信息安全、身份認證安全和賬戶安全等�����。 ⑤加強法律的建設���。主要是加強電子合同的形式及法律效力和加強電子合同的生效問題-生效時間及地點�����。
3.加強網(wǎng)絡基礎設施建設
隨著計算機網(wǎng)絡的發(fā)展,計算機應用已進入現(xiàn)代社會的各個領域,電子商務的安全問題已經(jīng)是導致電子商務發(fā)展滯后的不爭的事實?�?偟恼f來�,電子商務企業(yè)的安全問題,表面上像是計算機網(wǎng)絡的安全問題,但主要還是在于企業(yè)的制度建設����、安全管理和重視程度等情況����。企業(yè)不當?shù)陌踩芾?����,不僅會發(fā)生企業(yè)賬戶資金被盜的問題�����,甚至有可能地客戶的利益造成損害,讓客戶對電子商務企業(yè)不再信任��。電子商務企業(yè)維護客戶市場的關鍵是信譽度���,所以����,應當重視網(wǎng)絡安全��,克服網(wǎng)絡技術自身的弊端�,使企業(yè)能得到持續(xù)穩(wěn)定的貿(mào)易發(fā)展�。
參考文獻:
[1]劉建國.電子商務安全管理與支付,立信會計出版社��,2011
[2]劉英卓.電子商務安全與網(wǎng)上支付����,電子工業(yè)出版社,2010
[3]蔣漢生.電子商務信息安全����,首都經(jīng)濟貿(mào)易大學出版社��,2012
作者簡介:
第6篇
論文摘要:隨著網(wǎng)絡技術的廣泛應用,網(wǎng)上購物的日益普及我國電子商務安全的問題日益嚴重。首先�����,分析了電子商務安全的現(xiàn)狀����,其次,著重對電子商務存在的問題及其原因進行深入地探索并指出了電子商務安全的需求�����,最后給出相應的解決方案�����。
隨著網(wǎng)絡技術的廣泛應用����,我國電子商務的安全問題也日益突出�。根據(jù)“2010年上半年,計算機病毒和互聯(lián)網(wǎng)安全報告疫情”的數(shù)據(jù)表明�,2010年上半年��,計算機病毒,木馬的數(shù)量依然保持快速增長����,新病毒不斷出現(xiàn)���,一些“老”的病毒推出了眾多變種���。2010年上半年計算機病毒���,木馬數(shù)量迅速增加����,超出了近五年病毒數(shù)量的總和�。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范�。
一���、電子商務的安全現(xiàn)狀
目前電子商務的安全問題比較嚴重�����,最突出的表現(xiàn)在計算機網(wǎng)絡安全和商業(yè)誠信問題上。因為篇幅問題���,本文只側重于計算機網(wǎng)絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現(xiàn)出以下特點:
(一)木馬病毒爆炸性增長�����,變種數(shù)量的快速增加
據(jù)統(tǒng)計���,僅2009年上半年掛載木馬網(wǎng)頁數(shù)量累計達2.9億個�,共有11.2億人次網(wǎng)民訪問掛載木馬�,2010年元旦三天就新增電腦病毒50萬。病毒的數(shù)量不僅增速變快,智能型�,病毒變種更新速度快是本年度病毒的又一個特征����?���?傮w而言,目前的新木馬不多����,更多的是它的變種�����,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短��,因此�����,今天的病毒投放者不再投放單一的病毒�,而是通過病毒下載器來進行病毒投放��,可以自動從指定的網(wǎng)址上下載新病毒�,并進行自動更新����,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網(wǎng)絡盜竊����、詐騙活動,通過網(wǎng)絡販賣病毒��、木馬���,教授病毒編制技術和網(wǎng)絡攻擊技術等形式的網(wǎng)絡犯罪活動明顯增多,電子商務網(wǎng)絡犯罪也逐漸開始呈公開化��、大眾化的趨勢�。
(二)網(wǎng)絡病毒傳播方式的變化
過去,傳播病毒通過網(wǎng)絡進行��。目前��,通過移動存儲介質傳播的案例顯著增加�����,存儲介質已經(jīng)成為電子商務網(wǎng)絡病毒感染率上升的主要原因。由于u盤和移動存儲介質廣泛使用���,病毒、木馬通過autorun.inf文件自動調用執(zhí)行u盤中的病毒���、木馬等程序,然后感染用戶的計算機系統(tǒng),進而感染其他u盤���。與往年相比,今年通過網(wǎng)絡瀏覽或下載該病毒的比例在下降。不過����,從網(wǎng)絡監(jiān)測和用戶尋求幫助的情況來看����,大量的網(wǎng)絡犯罪通過“掛馬”方式來實現(xiàn)��?!皰祚R”是指在網(wǎng)頁中嵌入惡意代碼����,當存在安全漏洞的用戶訪問這些網(wǎng)頁時����,木馬會侵入用戶系統(tǒng),然后盜取用戶敏感信息或者進行攻擊�����、破壞���。通過瀏覽網(wǎng)頁方式進行攻擊的方法具有較強的隱蔽性�����,用戶更難于發(fā)現(xiàn)�,潛在的危害性也更大��。
(三)網(wǎng)絡病毒給電子商務造成的損失繼續(xù)增加
調查顯示����,瀏覽器配置被修改��,損壞或丟失數(shù)據(jù)����,系統(tǒng)的使用受限��,網(wǎng)絡無法使用�����,密碼被盜造成都給電子商務造成嚴重的破壞后果����。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經(jīng)濟利益,給被感染的用戶帶來重大損失�����。繼“熊貓燒香”之后����,復合型病毒大量出現(xiàn)�,如:仇英�����、艾妮等病毒���。同時�����,網(wǎng)上販賣病毒、木馬和僵尸網(wǎng)絡的活動不斷增多��,利用病毒�、木馬技術傳播垃圾郵件和進行網(wǎng)絡攻擊、破壞的事件呈上升趨勢����。
二���、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料���,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益����。
2.對信息的竊取�����。攻擊者在網(wǎng)絡的傳輸信道上。通過物理或邏輯的手段�,對數(shù)據(jù)進行非法的截獲與監(jiān)聽�����,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產(chǎn)品交易�����,甚至能洗黑錢����。
3.對信息的篡改。攻擊者有可能對網(wǎng)絡上的信息進行截獲后篡改其內容,如修改消息次序����、時間���,注人偽造消息等��,從而使信息失去真實性和完整性。
4.拒絕服務���。攻擊者使合法接入的信息、業(yè)務或其他資源受阻���。
5.對發(fā)出的信息予以否認.某些用戶可能對自己發(fā)出的信息進行惡意的否認�����,以推卸自己應承擔的責任��。
6.信用威脅。交易者否認參加過交易��,如買方提交訂單后不付款���,或者輸人虛假銀行資料使賣方不能提款i用戶付款后��,賣方?jīng)]有把商品發(fā)送到客戶手中�����,使客戶蒙受損失����。
7.電腦病毒���。電腦病毒問世十幾年來�����,各種新型病毒及其變種迅速增加����,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介�����。不少新病毒直接利用網(wǎng)絡作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡傳播得更快���,動輒造成數(shù)百億美元的經(jīng)濟損失。如�,cih病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡上數(shù)以萬計的計算機以沉重打擊��。
三、電子商務的安全需求
電子商務威脅的出現(xiàn)導致了對電子商務安全的需求�����,主要包括有效性��、完整性���、不可抵賴性���、匿名性����。
1.有效性���。保證信息的有效性是開展電子商務的前提���,一旦簽訂交易�,這項交易就應得到保護以防止被篡改或偽造。
2.完整性�����。貿(mào)易雙方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略����,保持貿(mào)易雙方信息的完整性是電子商務的基礎�。
3.不可抵賴性。交易一旦達成,原發(fā)送方在發(fā)送數(shù)據(jù)后就不能抵賴��,接收方接到數(shù)據(jù)后也不能抵賴����。
4.匿名性。電子商務系統(tǒng)應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體����。
四�、電子商務安全防治措施及安全舉措
防范電子商務網(wǎng)絡犯罪是一個系統(tǒng)工程���,不僅需要人們提高防范電子商務網(wǎng)絡犯罪的意識��,加強防范電子商務網(wǎng)絡犯罪的制度建設�,而且.還需要技術上不斷更新和完善����,為此,需要做好以下幾方面的工作�。
1.加強教育和宣傳�����,提高公眾電子商務的安全意識����。信息安全意識是指人們在上網(wǎng)的過程中���,對信息安全重要性的認識水平���,發(fā)現(xiàn)影響網(wǎng)絡安全行為的敏銳性�����,維護網(wǎng)絡安全的主動性。強化上網(wǎng)人員的信息安全意識,就是要讓上網(wǎng)人員認識到���,網(wǎng)絡信息安全是電子商務正常而高效運轉的基礎,是保障企業(yè)、公民和國家利益的重要前提,從而牢同樹立網(wǎng)上交易����,安全第一的思想����。主要采取以下措施:一是通過大眾媒體����,普及電子商務的安全知識,提高用戶的認識����。二是積極組織研討會和培訓課程�,培養(yǎng)電子商務網(wǎng)絡營銷安全管理人才�。
2.采用多重網(wǎng)絡技術,保證網(wǎng)絡信息安全����。目前����,常用的電子商務安全技術����,主要包括:防火墻��,物理隔離���,vpn(虛擬專用網(wǎng))����。防火墻是實現(xiàn)內部網(wǎng)與外部網(wǎng)安全和入侵隔離的常規(guī)技術�����。使用防火墻��,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經(jīng)授權的用戶攻擊����。因此���,電子商務內外網(wǎng)與互聯(lián)網(wǎng)之間要設置防火墻����。網(wǎng)管人員要經(jīng)常到有關網(wǎng)站上下載最新的補丁程序���,以便進行網(wǎng)絡維護�����,同時經(jīng)常掃描整個內部網(wǎng)絡���,發(fā)現(xiàn)任何安全隱患及時更改�,做到有備無患����。企業(yè)上網(wǎng)必須實行內外網(wǎng)劃分和內外網(wǎng)的物理隔離。要運用vpn新技術�����,為使用者提了一種通過公用網(wǎng)絡����,安全地對食業(yè)網(wǎng)絡進行遠程訪問,同時又能保證企業(yè)的系統(tǒng)安全����。包括操作系統(tǒng)���、數(shù)據(jù)庫和服務器(如web服務器����、e-maii��。服務器)的安全�。
3.運用密碼技術�����,強化通信安全��。應圍繞數(shù)字證書應用,為電子政府信息網(wǎng)絡中各種業(yè)務應用提供信息的真實性�����、完整性�����、機密性和不可否認性保證。在業(yè)務系統(tǒng)中建立有效的信任管理機制、授權控制機制和嚴密的責任機制��。目前要加強身份認證���、數(shù)據(jù)完整性�、數(shù)據(jù)加密、數(shù)字簽名等工作�。對于電子商務中的各種敏感數(shù)據(jù)進行數(shù)據(jù)加密處理�,并且在數(shù)據(jù)傳輸中采用加密傳輸����,以防止攻擊者竊密。電子商務信息交換中的各種信息����,必須通過身份認證來確認其合法性����,然后確定這個用戶的個人數(shù)據(jù)和特定權限�。“在涉及多個對等實體間的交互認征時,應采用基于pki技術,借助第三方(ca)頒發(fā)的數(shù)字證書數(shù)字簽名來確認彼此身份����?��!睘榱藦母旧媳WC我國網(wǎng)絡的安全���,我同安全產(chǎn)品的應用應建立在國內自主研發(fā)的產(chǎn)品基礎上,國外的先進技術可以參考�����,但不能完全照搬。政府應該鼓勵和扶植一批企業(yè)加快數(shù)字安全技術的研究��,以提高我國信息企業(yè)的技術和管理水平��,促進我同電子商務安全建設��。
4.加強技術管理,努力做到使用安全�����。首先是在內部嚴格控制企業(yè)內部人員對網(wǎng)絡共享資源的隨意使用���。在內網(wǎng)中����,除有特殊需要不要輕易開放共享目錄,對有經(jīng)常交換信息要求的用戶,在共享時應該加密����,即只有通過密碼的認證才允許訪問數(shù)據(jù)�。二是對涉及秘密信息的用戶主機����,使用者在應用過程中應該做到盡可能少開放一些不常用的網(wǎng)絡服務,同時封閉一些不用的端口�����。并對服務器中的數(shù)據(jù)庫進行安全備份���。三是切實保證媒體安全����。包括媒體數(shù)據(jù)的安全及媒體本身的安全�����。要防止系統(tǒng)信息在物理空間上的擴散����。為了防止系統(tǒng)中的信息在物理空間上的擴散���,應在物理上采取一定的防護措施��,如進行一定的電磁屏蔽����,減少或干擾擴散出去的空間信號����。這樣做,對確保企業(yè)電子商務安全將發(fā)揮重要作用����。
5.健全法律�����,嚴格執(zhí)法。目前我國在電子商務法律法規(guī)方面還有很多缺失����,不能有效地保護公眾的合法權益���,給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程,吸取和借鑒國外網(wǎng)絡信息安全立法的先進經(jīng)驗���,盡快制定和頒布《個人隱私保護法》、《商業(yè)秘密保護法》、《數(shù)據(jù)庫振興法》���、《信息網(wǎng)絡安全法》、《電子憑證(票據(jù))法》���、《網(wǎng)上知識產(chǎn)權法》等一系列法律�����,使電子商務安全管理走上法制化軌道。使網(wǎng)絡控制�、信息控制�、信息資源管理和防止泄密有法可依���,并得到技術上的支撐���。健全電子商務安全標準認證和質量檢測機制�,由國家主管部門組織制定有關電子商務安全條例規(guī)定,并發(fā)揮職能部門的監(jiān)管作用����。通過建立電子商務安全法規(guī)體系���,規(guī)范和維持網(wǎng)絡的正常運行���。
參考文獻:
[1]許寧寧.電子商務安全的現(xiàn)狀與趨勢[j].中國電子商務���,2010���,(1).
[2]濮小金.電子商務安全的政策選擇[j].全國商情經(jīng)濟理論研究,2009���,(3).
第7篇
隨著網(wǎng)絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據(jù)“2010年上半年,計算機病毒和互聯(lián)網(wǎng)安全報告疫情”的數(shù)據(jù)表明,2010年上半年,計算機病毒,木馬的數(shù)量依然保持快速增長,新病毒不斷出現(xiàn),一些“老”的病毒推出了眾多變種�����。2010年上半年計算機病毒,木馬數(shù)量迅速增加,超出了近五年病毒數(shù)量的總和�����。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范���。
一�、電子商務的安全現(xiàn)狀
目前電子商務的安全問題比較嚴重,最突出的表現(xiàn)在計算機網(wǎng)絡安全和商業(yè)誠信問題上�。因為篇幅問題,本文只側重于計算機網(wǎng)絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現(xiàn)出以下特點:
(一)木馬病毒爆炸性增長,變種數(shù)量的快速增加
據(jù)統(tǒng)計,僅2009年上半年掛載木馬網(wǎng)頁數(shù)量累計達2.9億個,共有11.2億人次網(wǎng)民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數(shù)量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征?�?傮w而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網(wǎng)址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒���。同時病毒制造�、傳播者利用病毒木馬技術進行網(wǎng)絡盜竊、詐騙活動,通過網(wǎng)絡販賣病毒��、木馬,教授病毒編制技術和網(wǎng)絡攻擊技術等形式的網(wǎng)絡犯罪活動明顯增多,電子商務網(wǎng)絡犯罪也逐漸開始呈公開化���、大眾化的趨勢�����。
(二)網(wǎng)絡病毒傳播方式的變化
過去,傳播病毒通過網(wǎng)絡進行�����。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經(jīng)成為電子商務網(wǎng)絡病毒感染率上升的主要原因���。由于U盤和移動存儲介質廣泛使用,病毒����、木馬通過autorun.inf文件自動調用執(zhí)行U盤中的病毒、木馬等程序,然后感染用戶的計算機系統(tǒng),進而感染其他U盤���。與往年相比,今年通過網(wǎng)絡瀏覽或下載該病毒的比例在下降。不過,從網(wǎng)絡監(jiān)測和用戶尋求幫助的情況來看,大量的網(wǎng)絡犯罪通過“掛馬”方式來實現(xiàn)����?���!皰祚R”是指在網(wǎng)頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網(wǎng)頁時,木馬會侵入用戶系統(tǒng),然后盜取用戶敏感信息或者進行攻擊、破壞�。通過瀏覽網(wǎng)頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發(fā)現(xiàn),潛在的危害性也更大�。
(三)網(wǎng)絡病毒給電子商務造成的損失繼續(xù)增加
調查顯示,瀏覽器配置被修改,損壞或丟失數(shù)據(jù),系統(tǒng)的使用受限,網(wǎng)絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果�����。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經(jīng)濟利益,給被感染的用戶帶來重大損失��。繼“熊貓燒香”之后,復合型病毒大量出現(xiàn),如:仇英、艾妮等病毒����。同時,網(wǎng)上販賣病毒���、木馬和僵尸網(wǎng)絡的活動不斷增多,利用病毒��、木馬技術傳播垃圾郵件和進行網(wǎng)絡攻擊、破壞的事件呈上升趨勢���。
二�、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益�����。
2.對信息的竊取�����。攻擊者在網(wǎng)絡的傳輸信道上����。通過物理或邏輯的手段,對數(shù)據(jù)進行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息�����。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產(chǎn)品交易,甚至能洗黑錢�。
3.對信息的篡改�����。攻擊者有可能對網(wǎng)絡上的信息進行截獲后篡改其內容,如修改消息次序�����、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息����、業(yè)務或其他資源受阻�。
5.對發(fā)出的信息予以否認.某些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任�。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款I用戶付款后,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失�。
7.電腦病毒����。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介��。不少新病毒直接利用網(wǎng)絡作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡上數(shù)以萬計的計算機以沉重打擊。
三����、電子商務的安全需求
電子商務威脅的出現(xiàn)導致了對電子商務安全的需求,主要包括有效性�����、完整性、不可抵賴性、匿名性�。
1.有效性��。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
2.完整性。貿(mào)易雙方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易雙方信息的完整性是電子商務的基礎。
3.不可抵賴性�。交易一旦達成,原發(fā)送方在發(fā)送數(shù)據(jù)后就不能抵賴,接收方接到數(shù)據(jù)后也不能抵賴���。
4.匿名性�����。電子商務系統(tǒng)應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體�。
四�����、電子商務安全防治措施及安全舉措
防范電子商務網(wǎng)絡犯罪是一個系統(tǒng)工程,不僅需要人們提高防范電子商務網(wǎng)絡犯罪的意識,加強防范電子商務網(wǎng)絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作����。 1.加強教育和宣傳,提高公眾電子商務的安全意識��。信息安全意識是指人們在上網(wǎng)的過程中,對信息安全重要性的認識水平,發(fā)現(xiàn)影響網(wǎng)絡安全行為的敏銳性,維護網(wǎng)絡安全的主動性����。強化上網(wǎng)人員的信息安全意識,就是要讓上網(wǎng)人員認識到,網(wǎng)絡信息安全是電子商務正常而高效運轉的基礎,是保障企業(yè)���、公民和國家利益的重要前提,從而牢同樹立網(wǎng)上交易,安全第一的思想�����。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養(yǎng)電子商務網(wǎng)絡營銷安全管理人才����。
2.采用多重網(wǎng)絡技術,保證網(wǎng)絡信息安全�����。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,VPN(虛擬專用網(wǎng))。防火墻是實現(xiàn)內部網(wǎng)與外部網(wǎng)安全和入侵隔離的常規(guī)技術��。使用防火墻,一方面是抵御來自外界的攻擊��。另一方面是為了防止在服務器內部部分未經(jīng)授權的用戶攻擊����。因此,電子商務內外網(wǎng)與互聯(lián)網(wǎng)之間要設置防火墻��。網(wǎng)管人員要經(jīng)常到有關網(wǎng)站上下載最新的補丁程序,以便進行網(wǎng)絡維護,同時經(jīng)常掃描整個內部網(wǎng)絡,發(fā)現(xiàn)任何安全隱患及時更改,做到有備無患����。企業(yè)上網(wǎng)必須實行內外網(wǎng)劃分和內外網(wǎng)的物理隔離�。要運用VPN新技術,為使用者提了一種通過公用網(wǎng)絡,安全地對食業(yè)網(wǎng)絡進行遠程訪問,同時又能保證企業(yè)的系統(tǒng)安全。包括操作系統(tǒng)、數(shù)據(jù)庫和服務器(如Web服務器���、E-MAII。服務器)的安全�。
3.運用密碼技術,強化通信安全��。應圍繞數(shù)字證書應用,為電子政府信息網(wǎng)絡中各種業(yè)務應用提供信息的真實性����、完整性、機密性和不可否認性保證�����。在業(yè)務系統(tǒng)中建立有效的信任管理機制����、授權控制機制和嚴密的責任機制。目前要加強身份認證�、數(shù)據(jù)完整性�、數(shù)據(jù)加密����、數(shù)字簽名等工作。對于電子商務中的各種敏感數(shù)據(jù)進行數(shù)據(jù)加密處理,并且在數(shù)據(jù)傳輸中采用加密傳輸,以防止攻擊者竊密�����。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數(shù)據(jù)和特定權限����?����!霸谏婕岸鄠€對等實體間的交互認征時,應采用基于PKI技術,借助第三方(CA)頒發(fā)的數(shù)字證書數(shù)字簽名來確認彼此身份?��!睘榱藦母旧媳WC我國網(wǎng)絡的安全,我同安全產(chǎn)品的應用應建立在國內自主研發(fā)的產(chǎn)品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業(yè)加快數(shù)字安全技術的研究,以提高我國信息企業(yè)的技術和管理水平,促進我同電子商務安全建設��。
第8篇
一�、網(wǎng)絡安全對于電子商務的重要性
當前���,電子商務已逐步覆蓋全球��,而網(wǎng)絡安全問題也得到了業(yè)內廣泛關注��。電子商務的交易方式有別于傳統(tǒng)的面對面交易,在電力商務中���,交易雙方均通過網(wǎng)絡進行信息交流,以網(wǎng)絡為媒介無疑加大了交易的風險性����,因此安全的網(wǎng)絡環(huán)境能夠給交易雙方均帶來良好的體驗�����。電子商務的網(wǎng)絡安全管理較為復雜,不僅需要高新的技術做支持,如電子簽名����、電子識別等�,還需要用戶的配合�,通常來說,用戶的個人信息越全面��,網(wǎng)絡交易平臺對用戶的保護便會越全方位�����?���?梢?�,在電子商務交易平臺中,網(wǎng)絡安全具有十分重要的作用。
二��、電子商務中網(wǎng)絡安全的技術要素
1����、防火墻技術。防火墻技術主要是通過數(shù)據(jù)包過濾以及服務的方式來實現(xiàn)病毒的防治和阻擋入侵互聯(lián)網(wǎng)內部信息[1]���。防火墻好比一個可以設定濾網(wǎng)大小的過濾裝置,可以根據(jù)用戶的需求����,對信息進行過濾����、管理�����。在服務器中�����,防火墻的技術便演化為一種連接各個網(wǎng)關的技術,對網(wǎng)關之間的信息聯(lián)通進行過濾。雖然上述兩種過濾管理技術形式略有區(qū)別��,但本質相同��,在電子商務中���,可以將兩者結合使用����,使各自的優(yōu)勢得到充分發(fā)揮。實現(xiàn)在防火墻內部設計好一個過濾裝置,以便對信息進行過濾與確定是否可以通過。
2�����、數(shù)據(jù)加密技術���。數(shù)據(jù)加密是對于指定接收方設定一個解密的密碼����,由數(shù)學的方式����,轉換成安全性高的加密技術,以確保信息的安全��。這里面會涉及到一個認證中心�,也就是第三方來進行服務的一個專門機構,必須嚴格按照認證操作規(guī)定進行服務[2]。認證系統(tǒng)的基本原理是利用可靠性高的第三方認證系統(tǒng)CA來確保安全與合法���、可靠性的交易行為。主要包括CA和Webpunisher,RA與CA的兩者通過報文進行交易,不過也要通過RSA進行加密��,必須有解密密鑰才可以對稱�,并通過認證,如果明文與密文的不對稱���,就不會認證通過,保證了信息的安全[3]�。
3��、數(shù)字認證技術。為了使電子商務交易平臺更為安全�����、可靠���,數(shù)字認證技術便應運而生���,其以第三方信任機制為主要載體����,在進行網(wǎng)絡交易時����,用戶需通過這一機制進行身份認證,以避免不法分子盜用他人信息��。PKI對用戶信息的保護通過密鑰來實現(xiàn)����,密鑰保存了用戶的個人信息,在用戶下次登陸時��,唯有信息對稱相符���,才能享受到電子商務平臺提供的相應服務��,在密鑰的管理下����,數(shù)據(jù)的信息得到充分保護�,電子商務交易的安全性能得到了大幅提升。
三���、電子商務中網(wǎng)絡安全提升的策略
1、提高對網(wǎng)絡安全重要性的認識�。隨著信息技術的快速發(fā)展���,網(wǎng)絡在人們工作���、生活中已無處不在��,我們在享受網(wǎng)絡帶來的便利時����,還應了加強對網(wǎng)絡安全重要性的了解�����,樹立網(wǎng)絡安全防范意識,為加強網(wǎng)絡安全奠定思想基礎����。應加強對網(wǎng)絡安全知識的宣傳和普及���,使公民對網(wǎng)絡安全有一個全面的了解��;同時,還應使公民掌握一些維護網(wǎng)絡安全的技能�,以便發(fā)生網(wǎng)絡安全問題時����,能夠得到及時控制�,避免問題擴大化。
2��、加快網(wǎng)絡安全專業(yè)人才的培養(yǎng)���。網(wǎng)絡安全的提升離不開素質過硬的專業(yè)人才����,由于網(wǎng)絡技術具有一定的門檻,如果對專業(yè)了解不深,技術上不夠專攻�,專業(yè)問題便難以得到有效解決�,應著力提升電子商務網(wǎng)絡安全技術人員的專業(yè)素養(yǎng)���,為加強網(wǎng)絡安全奠定人力基礎���。在培養(yǎng)專業(yè)人才時�����,應勤于和國內外的專業(yè)人員進行技術交流,加強對網(wǎng)絡安全領域前沿技術的了解和掌握,避免在技術更新上落后于人�����。
3�����、開展網(wǎng)絡安全立法和執(zhí)法��。網(wǎng)絡安全的有效提升需要從法律層面進行約束,應著力于完善網(wǎng)絡安全立法和執(zhí)法的相關工作����,加快立法工作的步伐�����,構建科學、合理的網(wǎng)絡安全法律體系��。自從計算機產(chǎn)生以來�����,世界各國均設立了維護網(wǎng)絡安全的相關法律法規(guī)���。在新時期�����,我國應集結安全部���、公安部等職能部門的力量���,加強對網(wǎng)絡安全的管理����,力求構建一個安全�、健康的網(wǎng)絡環(huán)境����。
四、結論
第9篇
一����、電子商務安全問題
(一)計算機網(wǎng)絡安全
計算機是一種硬件設備�,硬件設備難免出現(xiàn)故障���,一旦出現(xiàn)���,將會影響電子商務系統(tǒng)的運行�。網(wǎng)絡是用戶進行數(shù)據(jù)交換,信息傳遞的主要途徑�����。通過網(wǎng)絡�,用戶可以訪問網(wǎng)絡中不同的計算機系統(tǒng)。網(wǎng)絡安全主要是考慮限制用戶對用于電子商務系統(tǒng)的計算機的訪問權限�����,防止未授權的用戶對系統(tǒng)的訪問以及越權訪問��。有些企業(yè)建立的電子商務網(wǎng)站本身在設計制作時就會有一些安全隱患,服務器操作系統(tǒng)本身也會有漏洞�����,由于未采用加密措施����,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關或路由器上可以截獲傳送的信息,通過多次竊取和分析�����,造成網(wǎng)上傳輸信息泄密��。不法攻擊者如果進入電子商務網(wǎng)站��,大量用戶信息及交易信息將被竊取。當入侵者掌握了信息的格式和規(guī)律后��,就通過各種技術手段和方法��,將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改�,再發(fā)向目的地����。
(二)誠信安全問題
電子商務的在線支付形式有電子支票、電子錢包、電子現(xiàn)金����、信用卡支付等����。但是采用這幾種支付方式��,都要求消費者先付款,然后商家再發(fā)貨。因此��,誠信安全也是影響電子商務快速發(fā)展的一個重要問題����。同時,在電子商務中表現(xiàn)為商業(yè)機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第三方竊??�;交易一方提供給另一方使用的文件被第三方非法使用。數(shù)據(jù)被偽造的問題,電子商務的交易應該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任。交易抵賴包括多個方面�,如發(fā)信者事后否認曾經(jīng)發(fā)送過某條信息或內容��,收信者事后否認曾經(jīng)收到過某條消息或內容,購買者做了定貨單不承認��,商家賣出的商品因價格差而不承認原有的交易等����。交易信息在傳送過程中被非法分子捕獲并被虛假信息替換�,從而達到破壞信息傳遞或偽造信息的目的�����。
(三)交易安全問題
安全問題是企業(yè)應用電子商務最擔心的問題��,而如何保障電子商務活動的安全,將一直是電子商務的核心研究領域。作為一個安全的電子商務系統(tǒng),首先必須具有一個安全�、可靠的通信網(wǎng)絡��,以保證交易信息安全、迅速地傳遞�。電子商務在數(shù)據(jù)庫中所面臨的安全問題表現(xiàn)在非法入侵者對數(shù)據(jù)庫的攻擊�,電子的交易信息在網(wǎng)絡上傳輸?shù)倪^程中�,可能被他人非法的修改,刪除或重放(指只能使用一次的信息被多次使用)��,從而使信息失去了真實性和完整性����。電子商務交易過程中�,商家要產(chǎn)品信息,確認訂購信息,收貨款��;客戶要獲取產(chǎn)品信息����,傳遞訂購信息,支付貨款����。買賣雙方都存在安全問題�����,其中主要包括交易信息安全、支付安全和誠信安全�����。商務信息的存儲依靠計算機的數(shù)據(jù)庫技術來實現(xiàn)��,信息傳輸?shù)闹饕緩绞腔ヂ?lián)網(wǎng)���。所以�����,電子商務的不安全因素也正是以計算機的數(shù)據(jù)庫技術和網(wǎng)絡通信技術的安全漏洞為主要目標,構成了威脅電子商務活動的主要原因���,成為不法分子入侵的主要途徑。
二�����、電子商務安全問題的解決方案
(一)提高服務的安全性
首先�����,應用防火墻技術。所謂防火墻指的是一個由軟件和硬件設備組合而成�、在內部網(wǎng)和外部網(wǎng)之間����、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法�,它是一種計算機硬件和軟件的結合。防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施���,它是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障,也可稱之為控制進/出兩個方向通信的門檻����。在網(wǎng)絡邊界上通過建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡��,以阻檔外部網(wǎng)絡的侵入。目前的防火墻主要有以下三種類型:包過濾防火墻�、防火墻�、雙穴主機防火墻����。其次���,應用網(wǎng)關技術���。應用級網(wǎng)關是在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能�����。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時�����,對數(shù)據(jù)包進行必要的分析���、登記和統(tǒng)計�����,形成報告。應用網(wǎng)關對某些易于登錄和控制所有輸入輸出的通訊環(huán)境給予嚴格的控制,以防有價值的程序和數(shù)據(jù)被竊取��。
(二)數(shù)據(jù)加密技術
加密技術和身份認證技術是電子商務交易安全的基礎技術���,加密技術用于對信息的加密����,保證信息的機密性。數(shù)字簽名和數(shù)字信封技術應用了加密技術�,建立在公共密鑰體制基礎上����。數(shù)字簽名技術對信息進行數(shù)字簽名�,保證信息的完整性和不可抵賴性。由于交易信息在傳輸過程中有可能遭到侵犯者的竊聽而失去機密性��,加密技術是電子商務采取的主要保密安全措施���,是最常用的保密安全手段���。加密技術也就是利用技術手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送���,到達目的地后再用相同或不同的手段還原(解密)���。加密包括兩個元素:算法和密鑰�����。密鑰和算法對加密同等重要。密鑰加密技術的密碼體制分為對稱密鑰體制和公共密鑰體制兩種���。相應地,對數(shù)據(jù)加密的技術分為兩類�����,即對稱加密和非對稱加密����。對稱加密以數(shù)據(jù)加密標準(DES,Data Encryption Standard)算法為典型代表,非對稱加密通常以RSA(Rivest Shamir Ad1eman)算法為代表����。如果不采用加密技術���,則會影響電子商務的發(fā)展��,或者成為發(fā)展的瓶頸。
(三)完善管理機制
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全���。但是,安全技術可以降低系統(tǒng)遭到破壞��、攻擊的風險。決定采用什么安全策略取決于系統(tǒng)的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的���。安全方案的實施,離不開管理。信息安全意識的加強和培育是實現(xiàn)安全管理的必備條件�。它的基本原則是:要求發(fā)生在系統(tǒng)中的行為都是有權限的行為�,并且符合程序控制的要求�����。從管理上完善機制,加強其有效性����,往往可以解決許多技術層次解決不了的問題��。
第10篇
關鍵詞:信息竊取 信息篡改 加密技術 防火墻
隨著網(wǎng)絡技術的廣泛應用,我國電子商務的安全問題也日益突出����。根據(jù)“2010年上半年�����,計算機病毒和互聯(lián)網(wǎng)安全報告疫情”的數(shù)據(jù)表明,2010年上半年����,計算機病毒���,木馬的數(shù)量依然保持快速增長��,新病毒不斷出現(xiàn),一些“老”的病毒推出了眾多變種�����。2010年上半年計算機病毒���,木馬數(shù)量迅速增加�,超出了近五年病毒數(shù)量的總和。在日益增多的電子商務安全問題面前��,需要我們采取新措施來進行防范����。
一�����、電子商務的安全現(xiàn)狀
目前電子商務的安全問題比較嚴重�,最突出的表現(xiàn)在計算機網(wǎng)絡安全和商業(yè)誠信問題上����。因為篇幅問題,本文只側重于計算機網(wǎng)絡安全問題的描述和解決對于其他方面的問題不作詳細的分析�。與以往相比電子商務安全呈現(xiàn)出以下特點:
(一)木馬病毒爆炸性增長���,變種數(shù)量的快速增加
據(jù)統(tǒng)計��,僅2009年上半年掛載木馬網(wǎng)頁數(shù)量累計達2.9億個,共有11.2億人次網(wǎng)民訪問掛載木馬�����,2010年元旦三天就新增電腦病毒50萬�����。病毒的數(shù)量不僅增速變快���,智能型���,病毒變種更新速度快是本年度病毒的又一個特征�?��?傮w而言����,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此�����,今天的病毒投放者不再投放單一的病毒�,而是通過病毒下載器來進行病毒投放,可以自動從指定的網(wǎng)址上下載新病毒����,并進行自動更新���,永遠也無法斬盡殺絕所有的病毒���。同時病毒制造�、傳播者利用病毒木馬技術進行網(wǎng)絡盜竊�、詐騙活動,通過網(wǎng)絡販賣病毒�����、木馬��,教授病毒編制技術和網(wǎng)絡攻擊技術等形式的網(wǎng)絡犯罪活動明顯增多�����,電子商務網(wǎng)絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網(wǎng)絡病毒傳播方式的變化
過去�,傳播病毒通過網(wǎng)絡進行���。目前���,通過移動存儲介質傳播的案例顯著增加,存儲介質已經(jīng)成為電子商務網(wǎng)絡病毒感染率上升的主要原因。由于U盤和移動存儲介質廣泛使用���,病毒、木馬通過autorun.inf文件自動調用執(zhí)行U盤中的病毒、木馬等程序��,然后感染用戶的計算機系統(tǒng)�,進而感染其他U盤。與往年相比,今年通過網(wǎng)絡瀏覽或下載該病毒的比例在下降。不過��,從網(wǎng)絡監(jiān)測和用戶尋求幫助的情況來看�����,大量的網(wǎng)絡犯罪通過“掛馬”方式來實現(xiàn)��。“掛馬”是指在網(wǎng)頁中嵌入惡意代碼��,當存在安全漏洞的用戶訪問這些網(wǎng)頁時�����,木馬會侵入用戶系統(tǒng)����,然后盜取用戶敏感信息或者進行攻擊��、破壞����。通過瀏覽網(wǎng)頁方式進行攻擊的方法具有較強的隱蔽性�����,用戶更難于發(fā)現(xiàn),潛在的危害性也更大����。
(三)網(wǎng)絡病毒給電子商務造成的損失繼續(xù)增加
調查顯示���,瀏覽器配置被修改���,損壞或丟失數(shù)據(jù)��,系統(tǒng)的使用受限�����,網(wǎng)絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果�。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播��,攫取非法經(jīng)濟利益,給被感染的用戶帶來重大損失�。繼“熊貓燒香”之后����,復合型病毒大量出現(xiàn)����,如:仇英、艾妮等病毒�����。同時��,網(wǎng)上販賣病毒���、木馬和僵尸網(wǎng)絡的活動不斷增多,利用病毒���、木馬技術傳播垃圾郵件和進行網(wǎng)絡攻擊、破壞的事件呈上升趨勢�。
二����、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充�����。以不法手段盜用合法用戶的身份資料���,仿冒合法用戶的身份與他人進行交易��,從而獲得非法利益。
2.對信息的竊取�。攻擊者在網(wǎng)絡的傳輸信道上�。通過物理或邏輯的手段�,對數(shù)據(jù)進行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號��,還能以欺騙的手法進行產(chǎn)品交易���,甚至能洗黑錢�����。
3.對信息的篡改��。攻擊者有可能對網(wǎng)絡上的信息進行截獲后篡改其內容,如修改消息次序�����、時間�,注人偽造消息等�,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業(yè)務或其他資源受阻����。
第11篇
[關鍵詞] 網(wǎng)站 安全 腳本 數(shù)據(jù)庫 交互
一�、引言
Internet已滲透到了社會的各個領域�����,不僅影響著我們的學習和工作�����,在Internet的發(fā)展中�,WWW的發(fā)明和迅速推廣應用是一個重要的里程碑�。網(wǎng)頁設計作為一門新興的技術,是介于平面設計、編程技術兩者之間的一門學科����,它還涉及到美學心理����、平面構成����、色彩搭配等平面設計方面的知識。只有綜合運用多種知識�,才能設計出視聽特效���、動靜結合��、人機交互的WEB頁面。
電子商務網(wǎng)站是一個非常豐富和方便的系統(tǒng)��,很多是過去無法想像的�����,隨著今天的社會的發(fā)展以及科學技術的發(fā)展,現(xiàn)在都可以想像得到����。由此可以想像到未來的網(wǎng)頁設計�,那時候網(wǎng)頁設計的要求是什么呢����?怎樣才能適應電子商務的發(fā)展呢?我有以下幾點想法:網(wǎng)頁能具有人性化;網(wǎng)頁要具有相當?shù)拿栏?網(wǎng)頁更加強調交互性��。
二�、電子商務網(wǎng)站的安全現(xiàn)狀
電子商務網(wǎng)站安全主要涉及網(wǎng)絡信息的安全和網(wǎng)絡系統(tǒng)本身的安全。電子商務網(wǎng)站安全的隱患主要來自操作系統(tǒng)����、網(wǎng)絡和數(shù)據(jù)庫的脆弱性以及安全管理上的疏忽��。電子商務網(wǎng)站安全從本質上講就是網(wǎng)絡上信息的安全,包括靜態(tài)信息的存儲安全和信息的傳輸安全�����。從廣義上講����,凡是涉及到網(wǎng)絡上信息的保密性、完整性�、可用性��、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。因此為了保證網(wǎng)絡的安全�,必須保證以下四個方面的安全: 運行系統(tǒng)的安全��;
網(wǎng)絡上系統(tǒng)信息的安全; 網(wǎng)絡上信息傳播安全�; 網(wǎng)絡上信息內容的安全����。
以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析�����。
1.客戶端數(shù)據(jù)的完整性和有效性檢查
(1)特殊字符的過濾
在 W3C 的 WWW Security FAQ 中關于CGI安全編程一節(jié)里列出了建議過濾的字符:&;“”\“|*?-<>^()[]{}\n\r,這些字符由于在不同的系統(tǒng)或運行環(huán)境中會具有特殊意義���,如變量定義/賦值/取值、非顯示字符����、運行外部程序等�����,而被列為危險字符。
①CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中��,ASP和Cold Fusion 腳本語言對特殊字符的過濾機制不夠完善,例如沒有對單引號做任何處理等��。Perl和php對特殊字符的過濾則較為嚴密�����,如忽略或加上“\”(取消特殊字符含義)處理���。C語言編寫的cgi程序對特殊字符的過濾完全依賴于程序員的知識和技術���,因此也可能存在安全問題�。
②Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數(shù)據(jù)/變量進行嚴格的合法性分析�����。因此,如果攻擊者輸入某些特定sql語句,可能造成數(shù)據(jù)庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創(chuàng)建或者刪除表(如果可以猜測出已存在的表名)�,清除或者更改數(shù)據(jù)庫數(shù)據(jù)����。攻擊者也可能通過執(zhí)行一些儲存過程函數(shù),將sql語句的輸出結果通過電子郵件發(fā)送給自己����,或者執(zhí)行系統(tǒng)命令。
③PHP和Perl
雖然提供了加上”\”(取消特殊字符含義)處理的手段,但是處理一些數(shù)據(jù)庫時依然可以被改寫��。對于MySQL則沒有問題�����,\’不會與前面的單引號封閉�,而當作一個合法的字符處理��。針對oracle和informix等數(shù)據(jù)庫暫時未進行相關測試�����。
另外,對于PHP或者Perl語言����,很多程序對于數(shù)字類型的輸入變量�����,沒有加單引號予以保護,攻擊者就有可能在這種變量中加入額外的SQL語句����,來攻擊數(shù)據(jù)庫或者獲得非法控制權限��。
(2)數(shù)據(jù)庫問題
不同的數(shù)據(jù)庫對安全機制的不同認識和實現(xiàn)方法��,使它們的安全性也有所不同��。最常見的問題是利用數(shù)據(jù)庫對某些字符的不正確解釋,改寫被執(zhí)行的SQL語句��,從而非法獲得訪問權限��。
2.大量數(shù)據(jù)查詢導致拒絕服務
許多網(wǎng)站對用戶輸入內容的判斷在前臺�,用JavaScript判斷����,如果用戶繞過前臺判斷,就能對數(shù)據(jù)庫進行全查詢,如果數(shù)據(jù)庫比較龐大����,會耗費大量系統(tǒng)資源�,如果同時進行大量的這種查詢操作�,就會有Denial of Service(DoS ―― 拒絕服務)同樣的效果。
三、措施與解決方案
通過查閱一些資料��,下面介紹一些網(wǎng)頁制作中安全防范的方法�����,以供大家參考�����。
1.防范腳本攻擊
(1)JS腳本和HTML腳本攻擊的防范其實很簡單�����,只要用server.HTMLEncode(Str)就可以了。當然全以<%=uid%>過濾,為了方便的過濾�,只需要將HTML腳本和JS腳本中的幾個關鍵字符過濾掉就可以了�,如下代碼所示:
以下是過濾函數(shù)CHK()
<%
function CHK(fqyString)
fqyString = replace(fqyString, “>”, “>”)
fqyString = replace(fqyString, “<”, ”<“)
fqyString = replace(fqyString, “&#”, “&”)
fqyString = Replace(fqyString, CHR(32), “ ”)
fqyString = Replace(fqyString, CHR(9), “ ”)
fqyString = Replace(fqyString, CHR(34), “”“)
fqyString = Replace(fqyString, CHR(39), ”‘“)
fqyString = Replace(fqyString, CHR(13), ”“)
fqyString = Replace(fqyString, CHR(10) & CHR(10), ”</P><P> “)
fqyString = Replace(fqyString, CHR(10), ”<BR> “)
CHK = fqyString
end function
%>
(2)很多站點在用戶注冊�,或者是用戶資料修改的頁面上也缺少腳本的過濾�,或者是只在其中之一進行過濾,注冊進入后修改資料仍然可以進行腳本攻擊�。對用戶提交的數(shù)據(jù)進行檢測和過濾如以下代碼:
If Instr(request(”username“),”=“)>0 or
Instr(request(”username“),”%“)>0 or
Instr(request(”username“),chr(32))>0 or
Instr(request(”username“),”?“)>0 or
……
Instr(request(”username“),”>“)>0 or
Instr(request(”username“),”<“)>0 or
Instr(request(”username“),”“”“)>0 then
response.write ”朋友�����,你的提交用戶名含有非法字符,請更改�����,謝謝合作 <a href=’****:window.history.go(-1);‘>返回</a>“
response.end
end if
2.防范sql injeciton攻擊
從最一般的.SQL Injection 漏洞攻擊來看��,主要在用戶名和密碼上的過濾問題���,提交:用戶名為:‘or’‘=’ 用戶密碼為:‘or’‘=’從程序出發(fā)�,數(shù)據(jù)庫在執(zhí)行以下操作Sql=“ SELECT * FROM lUsers WHERE Username=”or“=” and Password = “or”=“”時�,SQL 服務器將返回lUsers表格中的所有記錄,而ASP腳本將會因此而誤認為攻擊者的輸入符 lUsers表格中的第一條記錄���,從而允許攻擊者以該用戶的名義登入網(wǎng)站。對此類注入的防范可以利用以下代碼就可以實現(xiàn)strUsername = Replace(Request.Form(“Username”), “‘’”, “‘’‘”)
strPassword = Replace(Request.Form(“Password”), “’‘”, “’‘’‘”)
3.防止ASP木馬
防止ASP木馬被上傳到服務器的方法很簡單���,如果你的論壇支持文件上傳,請設定好你要上傳的文件格式�����,我不贊成使用可更改的文件格式�����,直接從程序上鎖定�,只有圖象文件格式和壓縮文件就完全可以���,因為多給自己留點方便也就多給攻擊者留點方便����。怎么判斷格式�����,如下面代碼所示:
判斷文件類型是否合格
Private Function CheckFileExt (fileEXT)
dim Forumupload
Forumupload=”gif,jpg,bmp,jpeg“
Forumupload=split(Forumupload,”,“)
for i=0 to ubound(Forumupload)
if lcase(fileEXT)=lcase(trim(Forumupload(i))) then
CheckFileExt=true
exit Function
else
CheckFileExt=false
end if
next
End Function
上述介紹的一些安全防范的方法在編寫網(wǎng)頁代碼時被常用到���,這些代碼還是較為基本的一些代碼��,但能有效的防止一些黑客的攻擊,當然加入了這些代碼可能會降低程序的使用效率�。做為一名網(wǎng)站的管理人員或網(wǎng)頁制作人員在進行網(wǎng)頁制作和網(wǎng)站維護時應加強安全防范的意識���,確保在網(wǎng)絡上進行數(shù)據(jù)傳輸?shù)目煽啃浴?/p>
總之����,隨著網(wǎng)頁制作的技術不斷的發(fā)展和提高���,對電子商務的發(fā)展有著不可估量的推進作用�����,對于網(wǎng)站的安全防范已經(jīng)成為目前發(fā)展電子商務最需考慮的一個問題之一����,在開發(fā)網(wǎng)站中應注意在網(wǎng)絡安全方面的考慮。目前如JSP��、ASP����、PHP�、XML等一些網(wǎng)站新技術融入網(wǎng)頁制作中,進一步提高了網(wǎng)頁的性能�����。隨著新的技術的推出�����,我相信網(wǎng)頁制作的發(fā)展會把我們帶入一嶄新的信息世界��。
第12篇
[關鍵詞]互聯(lián)網(wǎng);電子商務;系統(tǒng)安全;數(shù)據(jù)安全;網(wǎng)絡系統(tǒng)
一、前言
近年來,隨著因特網(wǎng)的普及日漸迅速,電子交易開始融入人們的日常生活中,網(wǎng)上訂貨����、網(wǎng)上繳費等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式,越來越多的人開始使用電子商務網(wǎng)站來傳遞各種信息,并進行各種交易����。電子商務網(wǎng)站傳遞各種商務信息依靠的是互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個完全開放的網(wǎng)絡,任何一臺計算機���、任何一個網(wǎng)絡都可以與之相連�。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網(wǎng)上的安全風險就構成了對電子商務的安全威脅。
從發(fā)展趨勢來看,電子商務正在形成全球性的發(fā)展潮流。電子商務的存在和發(fā)展,是以網(wǎng)絡技術的革新為前提。電子商務系統(tǒng)的構建�、運行及維護,都離不開技術的支持�。同時,因為電子商務適合于各種大���、小型企業(yè),所以應充分考慮如何保證電子商務網(wǎng)站的安全����。
二、電子商務網(wǎng)站的安全控制
電子商務的基礎平臺是互聯(lián)網(wǎng),電子商務發(fā)展的核心和關鍵問題就是交易的安全性。由于Internet本身的開放性,使網(wǎng)上交易面臨了種種危險,也由此提出了相應的安全控制要求�����。
下面從技術手段的角度,從系統(tǒng)安全與數(shù)據(jù)安全的不同層面來探討電子商務中出現(xiàn)的網(wǎng)絡安全問題�。
(一)系統(tǒng)安全
在電子商務中,網(wǎng)絡安全一般包括以下兩個方面:
1.信息保密的安全
交易中的商務信息均有保密的要求��。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機�����。因此在電子商務的信息傳播中一般均有加密的要求。
2.交易者身份的安全
網(wǎng)上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會考慮網(wǎng)上的商店是否是黑店。因此能方便而可靠地確認對方身份是交易的前提��。
對于一個企業(yè)來說,信息的安全尤為重要,這種安全首先取決于系統(tǒng)的安全����。系統(tǒng)安全主要包括網(wǎng)絡系統(tǒng)、操作系統(tǒng)和應用系統(tǒng)三個層次����。系統(tǒng)安全采用的技術和手段有冗余技術���、網(wǎng)絡隔離技術�����、訪問控制技術、身份鑒別技術�、加密技術��、監(jiān)控審計技術、安全評估技術等��。
(1)網(wǎng)絡系統(tǒng)
網(wǎng)絡系統(tǒng)安全是網(wǎng)絡的開放性����、無邊界性、自由性造成,安全解決的關鍵是把被保護的網(wǎng)絡從開放、無邊界��、自由的環(huán)境中獨立出來,使網(wǎng)絡成為可控制��、管理的內部系統(tǒng),由于網(wǎng)絡系統(tǒng)是應用系統(tǒng)的基礎,網(wǎng)絡安全便成為首要問題。解決網(wǎng)絡安全主要方式有:
網(wǎng)絡冗余——它是解決網(wǎng)絡系統(tǒng)單點故障的重要措施�。對關鍵性的網(wǎng)絡線路����、設備,通常采用雙備份或多備份的方式。網(wǎng)絡運行時雙方對運營狀態(tài)相互實時監(jiān)控并自動調整,當網(wǎng)絡的一段或一點發(fā)生故障或網(wǎng)絡信息流量突變時能在有效時間內進行切換分配,保證網(wǎng)絡正常的運行����。
系統(tǒng)隔離——分為物理隔離和邏輯隔離,主要從網(wǎng)絡安全等級考慮劃分合理的網(wǎng)絡安全邊界,使不同安全級別的網(wǎng)絡或信息媒介不能相互訪問,從而達到安全目的��。對業(yè)務網(wǎng)絡或辦公網(wǎng)絡采用VLAN技術和通信協(xié)議實行邏輯隔離劃分不同的應用子網(wǎng)。
訪問控制——對于網(wǎng)絡不同信任域實現(xiàn)雙向控制或有限訪問原則,使受控的子網(wǎng)或主機訪問權限和信息流向能得到有效控制�����。具體相對網(wǎng)絡對象而言需要解決網(wǎng)絡的邊界的控制和網(wǎng)絡內部的控制,對于網(wǎng)絡資源來說保持有限訪問的原則,信息流向則可根據(jù)安全需求實現(xiàn)單向或雙向控制�����。訪問控制最重要的設備就是防火墻,它一般安置在不同安全域出入口處,對進出網(wǎng)絡的IP信息包進行過濾并按企業(yè)安全政策進行信息流控制,同時實現(xiàn)網(wǎng)絡地址轉換��、實時信息審計警告等功能,高級防火墻還可實現(xiàn)基于用戶的細粒度的訪問控制。
身份鑒別——是對網(wǎng)絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名��、口令����、密鑰;二是主體攜帶的物品,如磁卡、IC卡��、動態(tài)口令卡和令牌卡等;三是主體特征或能力,如指紋��、聲音�、視網(wǎng)膜����、簽名等�。加密是為了防止網(wǎng)絡上的竊聽、泄漏�����、篡改和破壞,保證信息傳輸安全,對網(wǎng)上數(shù)據(jù)使用加密手段是最為有效的方式��。目前加密可以在三個層次來實現(xiàn),即鏈路層加密���、網(wǎng)絡層加密和應用層加密��。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網(wǎng)絡高層主體是透明的。網(wǎng)絡層加密采用IPSEC核心協(xié)議,具有加密�、認證雙重功能,是在IP層實現(xiàn)的安全標準�����。通過網(wǎng)絡加密可以構造企業(yè)內部的虛擬專網(wǎng)(VPN),使企業(yè)在較少投資下得到安全較大的回報,并保證用戶的應用安全。
安全監(jiān)測——采取信息偵聽的方式尋找未授權的網(wǎng)絡訪問嘗試和違規(guī)行為,包括網(wǎng)絡系統(tǒng)的掃描、預警、阻斷、記錄���、跟蹤等,從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡掃描監(jiān)測系統(tǒng)作為對付電腦黑客最有效的技術手段,具有實時、自適應�����、主動識別和響應等特征,廣泛用于各行各業(yè)���。網(wǎng)絡掃描是針對網(wǎng)絡設備的安全漏洞進行檢測和分析,包括網(wǎng)絡通信服務���、路由器����、防火墻、郵件�����、WEB服務器等,從而識別能被入侵者利用非法進入的網(wǎng)絡漏洞���。網(wǎng)絡掃描系統(tǒng)對檢測到的漏洞信息形成詳細報告,包括位置���、詳細描述和建議的改進方案,使網(wǎng)管能檢測和管理安全風險信息�����。
(2)操作系統(tǒng)
操作系統(tǒng)是管理計算機資源的核心系統(tǒng),負責信息發(fā)送���、管理設備存儲空間和各種系統(tǒng)資源的調度,它作為應用系統(tǒng)的軟件平臺具有通用性和易用性,操作系統(tǒng)安全性直接關系到應用系統(tǒng)的安全,操作系統(tǒng)安全分為應用安全和安全漏洞掃描�。
應用安全——面向應用選擇可靠的操作系統(tǒng),可以杜絕使用來歷不明的軟件���。用戶可安裝操作系統(tǒng)保護與恢復軟件,并作相應的備份����。
系統(tǒng)掃描——基于主機的安全評估系統(tǒng)是對系統(tǒng)的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統(tǒng)進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數(shù)據(jù)免受盜用�����、破壞����。
(3)應用系統(tǒng)
辦公系統(tǒng)文件(郵件)的安全存儲:利用加密手段,配合相應的身份鑒別和密鑰保護機制(IC卡、PCMCIA安全PC卡等),使得存儲于本機和網(wǎng)絡服務器上的個人和單位重要文件處于安全存儲的狀態(tài),使得他人即使通過各種手段非法獲取相關文件或存儲介質(硬盤等),也無法獲得相關文件的內容���。
文件(郵件)的安全傳送:對通過網(wǎng)絡(遠程或近程)傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制(IC卡、PCMCIAPC卡)才能解密并閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲����、篡改等,主要用于信息網(wǎng)中的報表傳送、公文下發(fā)等���。
業(yè)務系統(tǒng)的安全:主要面向業(yè)務管理和信息服務的安全需求。對通用信息服務系統(tǒng)(電子郵件系統(tǒng)���、WEB信息服務系統(tǒng)、FTP服務系統(tǒng)等)采用基于應用開發(fā)安全軟件,如安全郵件系統(tǒng)�、WEB頁面保護等;對業(yè)務信息可以配合管理系統(tǒng)采取對信息內容的審計稽查,防止外部非法信息侵入和內部敏感信息泄漏�����。
(二)數(shù)據(jù)安全
數(shù)據(jù)安全牽涉到數(shù)據(jù)庫的安全和數(shù)據(jù)本身安全,針對兩者應有相應的安全措施。
數(shù)據(jù)庫安全——大中型企業(yè)一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫,基于數(shù)據(jù)庫的重要性,應在此基礎上開發(fā)一些安全措施,增加相應控件,對數(shù)據(jù)庫分級管理并提供可靠的故障恢復機制,實現(xiàn)數(shù)據(jù)庫的訪問����、存取�、加密控制���。具體實現(xiàn)方法有安全數(shù)據(jù)庫系統(tǒng)����、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等�����。
數(shù)據(jù)安全——指存儲在數(shù)據(jù)庫數(shù)據(jù)本身的安全,相應的保護措施有安裝反病毒軟件,建立可靠的數(shù)據(jù)備份與恢復系統(tǒng),某些重要數(shù)據(jù)甚至可以采取加密保護���。
(三)網(wǎng)絡交易平臺的安全
網(wǎng)上交易安全位于系統(tǒng)安全風險之上,在數(shù)據(jù)安全風險之下����。只有提供一定的安全保證,在線交易的網(wǎng)民才會具有安全感,電子商務網(wǎng)站才會具有發(fā)展的空間。
交易安全標準——目前在電子商務中主要的安全標準有兩種:應用層的SET(安全電子交易)和會話層SSL(安全套層)協(xié)議����。前者由信用卡機構VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構;后者由NETSCAPE公司提出針對數(shù)據(jù)的機密性/完整性/身份確認/開放性的安全協(xié)議,事實上已成為WWW應用安全標準。
交易安全基礎體系——交易安全基礎是現(xiàn)代密碼技術,依賴于加密方法和強度���。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發(fā)困難�、管理不便的弱點;非對稱密鑰加密速度慢,但便于密鑰分發(fā)管理�。通常把兩者結合使用,以達到高效安全的目的���。
交易安全的實現(xiàn)——交易安全的實現(xiàn)主要有交易雙方身份確認���、交易指令及數(shù)據(jù)加密傳輸����、數(shù)據(jù)的完整性��、防止雙方對交易結果的抵賴等等。具體實現(xiàn)的途徑是交易各方具有相關身份證明,同時在SSL協(xié)議體系下完成交易過程中電子證書驗證��、數(shù)字簽名�����、指令數(shù)據(jù)的加密傳輸�����、交易結果確認審計等。
隨著電子商務的發(fā)展,網(wǎng)上交易越來越頻繁,調用每項服務時需要用戶證明身份,也需要這些服務器向客戶證明他們自己的身份��。而保障身份安全的最有效的技術就是PKI技術�。
PKI的應用在我國還處于起步階段,目前我國大多數(shù)企業(yè)只是在應用它的CA認證技術。CA(CertificationAuthorty)是一個確保信任度的權威實體,主要職責是頒發(fā)證書�����、驗證用戶身份的真實性�。由CA簽發(fā)的網(wǎng)絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,都應當相信持有證明的該用戶��。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改�����。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統(tǒng)的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,并能很好地和其他廠家的CA產(chǎn)品兼容。在不久的將來,PKI技術會在電子商務和網(wǎng)絡安全中得到更廣泛的應用,從而真正保障用戶和商家的身份安全。
三�、目前信息安全的研究方向
從歷史角度看,我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密��、數(shù)據(jù)保護兩個階段,正在進入網(wǎng)絡信息安全研究階段,現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等�。但因信息網(wǎng)絡安全領域是一個綜合���、交叉的學科領域,它綜合利用了數(shù)學�、物理��、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果,提出系統(tǒng)的����、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案,從安全體系結構�����、安全協(xié)議����、現(xiàn)代密碼理論��、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究,各部分相互協(xié)同形成有機整體����。
安全協(xié)議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態(tài)機�����、模態(tài)邏輯和代數(shù)工具的三種分析方法,但仍有局限性和漏洞,處于發(fā)展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美���、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁�。1976年美國學者提出的公開密鑰密碼體制,克服了網(wǎng)絡信息系統(tǒng)密鑰管理的困難,同時解決了數(shù)字簽名問題,它是當前研究的熱點���。
目前電子商務的安全性已是當前人們普遍關注的焦點,它正處于研究和發(fā)展階段,并帶動了論證理論��、密鑰管理等研究。由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術出處于探索之中����。在我國,信息網(wǎng)絡安全技術的研究和產(chǎn)品開發(fā)雖處于起步階段,有大量的工作需要我們去研究�、開發(fā)和探索,但我們相信在不久的將來,會走出一條有中國特色的產(chǎn)學研聯(lián)合發(fā)展之路,趕上或超過發(fā)達國家的水平,以此保證我國信息網(wǎng)絡的安全,推動我國國民經(jīng)濟的高速發(fā)展�。
四、結束語
電子商務是以互聯(lián)網(wǎng)為活動平臺的電子交易,它是繼電子貿(mào)易(EDI)之后的新一代電子數(shù)據(jù)交換形式。計算機網(wǎng)絡的發(fā)展與普及,直接帶動電子商務的發(fā)展。因此計算機網(wǎng)絡安全的要求更高,涉及面更廣,不但要求防治病毒,還要提高系統(tǒng)抵抗外來非法黑客入侵的能力,還要提高對遠程數(shù)據(jù)傳輸?shù)谋C苄?避免在傳輸途中遭受非法竊取,以保證系統(tǒng)本身安全性,如服務器自身穩(wěn)定性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道等等。對重要商業(yè)應用,還必須加上防火墻和數(shù)據(jù)加密技術加以保護�����。在數(shù)據(jù)加密方面,更重要的是不斷提高和改進數(shù)據(jù)加密技術,使不法分子難有可乘之機。
參考文獻:
[1]佚名.解析電子商務安全[EB/OL].
[2]佚名.網(wǎng)絡構建與維護[EB/OL].
[3]洪國彬.電子商務安全與管理[M].北京:電子工業(yè)出版社,2006.
