前言:中文期刊网精心挑选了网络交易安全的重要性范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络交易安全的重要性范文1
关键词:网上银行 发展现状 风险管理 措施分析
一、网上银行
网上银行(E-Bank)是银行等金融机构使用计算机及网络技术在网络开设的银行,通过Internet向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证劵、投资理财等传统服务项目,使客户可以足不出户就方便地管理活期和定期存款、支票、信用卡及进行个人投资的虚拟银行柜台。
二、网上银行的风险
为保证银行内部整个金融网的安全,我们需要保证网上银行交易系统的安全,最大限度避免交易风险,这是网上银行建设中最至关重要的问题,也是银行保证顾客资金安全的最根本的考虑。
1.来自网上银行物理结构的风险
网络是虚拟的,但又是物理存在的,数据通过物理介质进行运输和储存,进行储存的介质有硬盘、软盘和磁带等,若遭受物理损失,损失的不仅仅是这些设施,更严重的是存储于这些设施中的数据,所以注重网上银行的物理安全问题是网上银行发展的前提。
它主要包括两个方面,第一是环境安全,及对系统所在环境的安全进行保护,如区域保护和灾难保护等。第二是设备安全,主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。
2.来自网上银行技术结构的风险
网上银行的技术风险主要包括网络风险和交易风险两个方面,网络安全能够确保网上银行网站的安全性,交易安全能够确保客户通过网上银行进行交易的资金安全。
在网络风险问题中,最重要的是内部网与外部网之间的访问控制问题,在这个环节上时常发生问题,这也是黑客经常攻击的地方;另外一个问题是内部网不同网络安全域的访问控制问题,不同内部网具有重要性不同的信息资料,因而,内部犯罪人员往往利用内部网管理上的漏洞,寻找盗窃或破坏漏洞。
计算机技术不断更新发展的同时,防病毒技术、防火墙技术的更新发展存在一定的滞后性。计算机病毒、黑客、木马等技术有威胁网上银行安全的可能。
三、网上银行风险对策设计
1.重视物理环境安全设计
首先,制度的安全需要提高安全防范意识,参照国家标准制定相关的规章制度,加强安全管理,提高员工整体素质,建立健全安全防范制度。其次,建筑的安全,机房建筑和结构从安全的角度出发,应该考虑多个方面,例如,计算机周围应有足够亮度的照明设施和防止非法进入的设施,计算机中心周围100米内不能有危险建筑物等。最后是计算机设备的防火、防盗、防雷、防静电,计算机在摆放时,可以根据消防火级别来确定机房的设计方案。
2.确保硬件安全
硬件安全主要是物理安全和设备安全。为确保物理安全,要防止意外的发生,和人员的故意破坏;确保设备安全就要求管理人员保护设备的钥匙、口令、密码等,防止人为或网络病毒、近远程对于安全的攻击。
3.控制访问权限
控制访问权限,是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
4.保护主机自身安全
利用系列网络隔离的手段对计算机中心的硬件系统进行隔离。要着重考察主机及系统的安全、稳定、持续性,防止黑客、木马等入侵的渠道。
5.确保内部网络安全性
使用加密、签名认证等技术避免数据篡改;局域网技术利用vlan技术进行物理隔离不同的位置、不同的业务网。
6.防火墙隔离安全
防火墙的硬件基础应选择性能优良的物理平台,设置防火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝Ping信息包,通过设置过滤规则来实现包过滤功能。实际运行操作中可采取防火墙双机备份,选择两台同样的设备安装防火墙(一台作为备份)。
7.数据备份与隔离保护
鉴于数据库的重要性,应对数据进行分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制,具体实现方案有安全数据库系统、数据库保密系统、数据库扫描系统等。
8.保障通信与信息安全
网络交易安全的重要性范文2
关键词:电子商务;网络安全;安全技术
21世纪是一个数字化、网络化和知识经济的社会,信息产业将成为国力竞争的焦点,也是国家的战略性支柱产业,直接影响着国家在新世纪的生存和发展。以数字化和网络化为基础的电子商务因其具有超越时空界限、双向信息沟通、交易手段灵活和交货方式快速等特点,将传统的贸易形态,为经济发展提供原动力,从而成为各国国民经济发展的一个重要的增长点。因此,许多国家都将大力发展电子商务作为新世纪的一项重要国策。随着电子商务应用的越来越普及加强电子商务的安全问题日益紧迫,安全性就成为了电子商务发展的核心和关键问题。
一、电子商务网络安全问题的现状
安全问题是企业应用电子商务最担心的问题之一,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。对于中国来说,网络产品几乎都是“舶来品”,本身就隐藏着不安全隐患,加之受技术、人为等因素的影响,不安全因素更显突出。
近年来,黑客使网络的脆弱性暴露无遗,同时也明确显示出网络安全问题是制约电子商务发展的极大障碍。总的来说,我国还不能对客户认定、货币支付和商业机密等方面的安全性、保密性提供充分的技术保障,也没有系统制定相应的安全技术管理标准。因此,如何建立一个安全可靠的电子商务系统,将成为电子商务研究的核心问题。
二、电子商务的交易安全控制要求
电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
1、信息保密性
交易中的商务信息有保密的要求。如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2、交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
3、不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。
4、不可修改性
交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
三、安全技术对电子商务安全的保护
要加强电子商务的安全,需要企业本身采取更为严格的管理措施,需要国家建立健全法律制度,更需要有科学的先进的安全技术。
1、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。
2、电子商务信息安全协议
(1)安全套接层协议。SSL是由Netscape Com―municafion公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
(2)安全电子交易公告。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
(3)安全超文本传输协议(s―HTrP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-T P的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
(4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。
(5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。
3、P2P技术与网络信息安全。
P2P(Peer―to―Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。
四、电子商务的安全对策
1、身份认证
电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
2、CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
3、安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。
网络交易安全的重要性范文3
1.1电子商务中的信息
既然电子商务涵盖了商品和服务相关人员活动和行为的各个方面,那么必然电子商务的活动中会涉及许多方面的信息。因为电子商务涉及的领域非常广泛,包括了商品和服务的交易的所有环节,如商品购买、广告、推销、信息咨询、银行服务、网络支付等等,它把商家、顾客、银行、中介、信用卡公司,甚至包括政府都通过网络的方式连接起来。如此,在整个的过程中,她涵盖了广泛、复杂的信息量,既包括商家的商品信息、竞争信息、商业秘密等,也包括个人的隐私信息、财产信息等等。这些信息数量广泛、内容繁杂、真实性很强,一旦被蓄意泄露或利用,将会产生非常不利的影响。
1.2电子商务中信息安全的重要性
电子商务的受体是公众,那么电子商务能够正常运行的前提就是保障公众的信息安全。信息安全是指信息的完整性、可用性、可靠性和保密性。目前电子商务是在完全开放的网络环境中进行的,能否保障各个相关主体的信息安全,是非常重要的事情,现在不断增加的网络入侵、黑客攻击和网络的脆弱的防御能力不得不引起人们的担忧。
2.电子商务中存在的信息安全问题
从上面的信息安全的基本需求中,我们可以看出,电子商务交易对信息的安全保护至关重要,也是一件棘手的事情。目前,电子商务中的信息安全主要存在以下几个方面的问题:
2.1信息存储中的安全问题
信息存储安全是指电子商务信息在静态存放时的安全。企业在网络开放的运行环境中,电子商务的信息安全就存在以下问题:内部不安全要素。主要是企业内部之间、企业的顾客随意非授权的调用或随意增改删电子商务信息。外部不安全要素。主要是外部人员私自侵入计算机网络,故意或过失的非授权调用或随意增改删电子商务信息。这个隐患的主要来源有:黑客入侵,竞争对手的恶意破坏,还有信息间谍的非法闯入。
2.2信息传输中的安全问题
信息传输安全是指点在商务信息在动态的传输过程中的安全。表现形式有:信息在网络的传输过程中被篡改;伪造电子邮件;传输的信息被截获;否认已经做过的交易;网络硬件和软件的问题而导致信息传递的丢失与谬误。
2.3交易双方存在的信息安全问题
电子商务交易改变了传统的交易方式,打破了双方面对面的交流。这样,买卖双方只能通过网络交流各自的信息来完成交易,这样双方会对电子商务的交易安全和信息安全存在疑虑。
2.3.1买方存在的信息安全威胁。
电子商务交易中的买方,既可以是个人,也可以是公司、银行等。买方存在的信息安全威胁主要有:(1)身份被假冒。用户身份信息被拦截、假冒以致被要求付账或返还商品;(2)发送的交易信息不完整或被截获篡改,用户无法正常收到商品;(3)域名被扩散和监听,无奈接收许多垃圾信息甚至个人隐私被窃用;(4)遭黑客攻击,计算机设备发生故障导致信息丢失等;(5)受虚假广告信息误导购买假冒伪劣商品或被诈骗钱财等。
2.3.2卖方存在的信息安全威胁。
卖方存在的信息安全威胁主要有:(1)恶意竞争者假冒用户名恶意侵入网络内部以获取营销信息和客户信息;(2)冒名改变交易内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;(3)信息间谍通过高技术手段窃取并泄露商业秘密;(4)一些恶意程序的破坏而导致电子商务信息遭到破坏,比如特洛伊木马程序;(5)黑客攻击服务器,产生大量虚假订单挤占系统资源,令其无法正常操作。
3.保障电子商务中信息安全的措施
现在,电子商务作为一种新兴且快速发展的商务交易模式,已经被广泛使用,例如网上银行支付,淘宝购物等等,发展前景也十分光明。但是,如何保护电子商务中的信息安全,建立一个安全、便捷、高效的电子商务环境,也是一个越来越值得探讨的问题。这就需要发展有效的信息安全技术,同时辅助于必要的措施。本人认为,保护电子商务中的信息安全应该做到以下几点:
3.1研究保障信息安全的各种信息安全技术
为保证电子商务的正常发展,对电子商务中的网络安全技术进行研究,发展自主的网络安全技术是至关重要的。现在应该重点研究的信息安全技术有:
3.1.1数据加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网络会话的完整性。加密是利用基于数学算法的程序和保密的密钥对信息主要是普通的文本(明文)进行编码,生成难以理解的字符串(密文),以便只有接收者和发送者才能理解。加密技术一般采用对称加密技术、非对称加密技术以及二者的结合等方法。目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等3.1.2身份识别技术身份识别技术是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字标识,用电子手段验证用户身份及对网络资源的访问权限,参与各方必须利用认证中心签发的数字证书证明身份。(2)电子商务认证中心,CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
3.1.3防病毒技术
(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。
3.2加强网络安全基础设施建设
一个网络信息系统,不管其设置有多少道防火墙,加了多少级保护或密码,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言,这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
网络交易安全的重要性范文4
随着电子商务的不断发展,越来越多的银行开展在线业务,把物理的银行大厅搬到了虚拟的网络。
无论是国际的银行巨头,还是国内的四大银行,都陆续推出了在线银行业务。与此同时,当在线银行不断发展的时候,人们的消费习惯也改变了,慢慢从跑银行,转向了在线银行。毫无疑问,在线进行金融交易可以节省很多时间。这意味着使用一台计算机在 Web 上处理银行业务、收付帐单或进行股票交易。更为方便的是,人们可以利用移动电话、PDA 或其它无线设备,实现在线银行的交易。
但是,当您在 Web 上传送有关金钱和投资(可能是您的终生储蓄)方面的信息时,应该尽可能多地了解这些交易的安全性,这一点非常重要。
美洲银行作为全球知名的银行巨头,很早就推出了在线银行业务,并且在亚洲区采用了双因素认证技术为在线银行提供安全保证。目前,美洲银行亚洲区也是香港地区第二大为在线银行客户提供双因素令牌认证服务的金融机构。
在线交易安全吗?
要想实现在线交易,需要更加安全的环境支持才行。为了继续改善客户服务,提高员工的生产率,美洲银行需要借助互联网的力量。然而,在迈出这重要的一步之前,美洲银行密切关注其安全需求,并将强大认证与加密作为一种必要的工作。因此,美洲银行需要与一个具有全球知名度和拥有领先安全技术的合作伙伴进行合作,为客户提供安全的在线交易环境。经过对相关安全解决方案的测试和对比,美洲银行最终选择了基于RSA SecurID技术的DynamiCode的双因素认证服务。
致命“软肋”浮现
RSA曾对1000多名受访消费者做过对有关信息安全问题的调查,内容包括对信息安全的警觉性、电子交易安全的信心以及采用防范身份被盗用与电脑攻击的安全措施等多项问题。这次调查反映出,有些安全漏洞是由于用户不善管理登入网上服务、电脑系统、自动柜员机及其他电子服务的个人识别码(PINs)及密码所致。同时,接近三分之二的受访者(63%)正利用少于5个密码登入不同的系统存取电子信息,而超过十分之一(15%)只使用一个密码进入所有系统。这说明消费者有一个错误的观念,认为密码已能足够保护其个人资料。然而,破解密码在普通人眼里,好像是一件不可思议的事情。但是,在黑客面前,密码如同形同虚设。超级黑客利用密码破解工具等,在短短的数秒之内,就可以把密码破解成功。因此,通过用户名和密码的组合方式保护在线账户是一种非常脆弱的安全方式。
解决密码之痛
双因素认证提供了比密码更加安全的新模式,这种网络安全超出了传统意义的静态密码功能。用户要想访问某个特定的数据或信息资源,它必须输入它所知道的密码,还要输入一个动态的代码。比如,某个在线银行用户要想实施在线交易,他除了要输入银行为每个用户设定的PIN码之外,还需要输入认证令牌上每隔60秒生成的不同代码。对于认证设备而言,该代码具有唯一性,并且在60秒之内能够有效地以符号的形式进行显示。认证设备所产生的代码,无论是黑客,还是非法入侵者,几乎不可能在一分钟之内,破译这个代码,因此,他们的安全性得到了大大的提高。
美洲银行亚洲区负责电子银行服务的副总裁Tony Chiu说:“由于在线银行业务的使用不断长,需要提供更多的安全工具,确保为在线交易提高可靠和方便的保护。令牌认证解决方案是双因素认证领域最理想和简单易用的解决方案。”
网络交易安全的重要性范文5
随着网络技术的广泛应用,我国电子商务的安全问题也日益突出。根据“2010年上半年,计算机病毒和互联网安全报告疫情”的数据表明,2010年上半年,计算机病毒,木马的数量依然保持快速增长,新病毒不断出现,一些“老”的病毒推出了众多变种。2010年上半年计算机病毒,木马数量迅速增加,超出了近五年病毒数量的总和。在日益增多的电子商务安全问题面前,需要我们采取新措施来进行防范。
一、电子商务的安全现状
目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题,本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点:
(一)木马病毒爆炸性增长,变种数量的快速增加
据统计,仅2009年上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。
(二)网络病毒传播方式的变化
过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显着增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。
(三)网络病毒给电子商务造成的损失继续增加
调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒大量出现,如:仇英、艾妮等病毒。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
二、电子商务的安全问题及存在原因
1.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
3.对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
4.拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
5.对发出的信息予以否认.某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
6.信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款I用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
7.电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
三、电子商务的安全需求
电子商务威胁的出现导致了对电子商务安全的需求,主要包括有效性、完整性、不可抵赖性、匿名性。
1.有效性。保证信息的有效性是开展电子商务的前提,一旦签订交易,这项交易就应得到保护以防止被篡改或伪造。
2.完整性。贸易双方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易双方信息的完整性是电子商务的基础。
3.不可抵赖性。交易一旦达成,原发送方在发送数据后就不能抵赖,接收方接到数据后也不能抵赖。
4.匿名性。电子商务系统应确保交易的匿名性,防止交易过程被跟踪,保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体。
四、电子商务安全防治措施及安全举措
防范电子商务网络犯罪是一个系统工程,不仅需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设,而且.还需要技术上不断更新和完善,为此,需要做好以下几方面的工作。 1.加强教育和宣传,提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提,从而牢同树立网上交易,安全第一的思想。主要采取以下措施:一是通过大众媒体,普及电子商务的安全知识,提高用户的认识。二是积极组织研讨会和培训课程,培养电子商务网络营销安全管理人才。
2.采用多重网络技术,保证网络信息安全。目前,常用的电子商务安全技术,主要包括:防火墙,物理隔离,VPN(虚拟专用网)。防火墙是实现内部网与外部网安全和入侵隔离的常规技术。使用防火墙,一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此,电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用VPN新技术,为使用者提了一种通过公用网络,安全地对食业网络进行远程访问,同时又能保证企业的系统安全。包括操作系统、数据库和服务器(如Web服务器、E-MAII。服务器)的安全。
3.运用密码技术,强化通信安全。应围绕数字证书应用,为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。“在涉及多个对等实体间的交互认征时,应采用基于PKI技术,借助第三方(CA)颁发的数字证书数字签名来确认彼此身份。”为了从根本上保证我国网络的安全,我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考,但不能完全照搬。政府应该鼓励和扶植一批企业加快数字安全技术的研究,以提高我国信息企业的技术和管理水平,促进我同电子商务安全建设。
网络交易安全的重要性范文6
[关键词]电子商务 身份认证 防火墙
电子商务就是要在网络信息安全技术的保证下,利用开放信息互联网实现可跨区的在线商品交易、金融资本交易及其商务活动作业的全过程。电子商务这一浩瀚的全球虚拟市场创造了二十一世纪各国的经济热点。但是由于电子商务的开放性及其所基于的网络全球性、无缝连通性、共享性、动态性发展,使得电子商务的安全问题成为现今的聚焦中心,并制约着电子商务的进一步发展。构建安全电子商务交易系统将成为今后电子商务发展的关键。
一、电子商务的安全性要求
(一)电子商务活动安全性的要求
一是服务的有效性要求,电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。二是交易信息的保密性要求,电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。三是数据完整性要求,数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。四是身份认证的要求,电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
(二)电子商务的安全要素
一是信息真实性、有效性,电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。二是信息机密性,电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。三是信息完整性,电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。四是信息可靠性、可鉴别性和不可抵赖性,可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
二、电子商务运用的安全技术
(一)网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而做出允许或拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的网络系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机,或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。
(二)通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制, SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。验证此证书是合法的服务器证书通过后利用该证书对称加密算法与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
(三)应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制,程序员认为这个缺省的许可是正确的。这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度,假的输入字符串常常是可执行的命令,特权程序可以执行指令。
(四)用户的认证管理
一是身份认证,电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。二是CA证书,要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心发行。认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。三是SSL协议,SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。
三、完善电子商务安全的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须完善配套措施:
一要突破关键技术受制于人的瓶颈。二要尽快对电子商务的有关细则进行立法。三要大力开发大型商务网站,发展与之相配套的物流公司。四要建立严格的内部安全机制。五要建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。六要对重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。安全实际上就是一种风险管理,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献
[1]甘悦.浅议电子商务信息安全体系的构建[J]. 西北成人教育学报, 2007 (2).
