前言:中文期刊网精心挑选了电子商务安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
电子商务安全范文1
关键词:电子商务;身份认证;防火墙
1 引言
电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。
2 电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:
2.1 信息真实性、有效性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.2 信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.3 信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
3.4 信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet 上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
3 电子商务安全系统
网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
所以就整个电子商务安全系统而言,安全性可以划分为四个层次,
1) 网络节点的安全
2) 通讯的安全性
3) 应用程序的安全性
4) 用户的认证管理
其中2、3、4 是通过操作系统和Web 服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
3.1 网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。
防火墙是在连接Internet 和Intranet 保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet 系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.2 通讯的安全
在客户端浏览器和电子商务WEB 服务器之间采用SSL 协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40 位加密强度,也可以考虑将加密强度增加到128 位。为在浏览器和服务器之间建立安全机制,SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL 链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
3.3 应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
3.4 用户的认证管理
1) 身份认证
电子商务企业用户身份认证可以通过服务器CA 证书与IC 卡相结合实现的。CA 证书用来认证服务器的身份,IC 卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID 号和密码口令的身份确认机制。
2) CA 证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA 证书,它由认证授权中心(CA 中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA 中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL 安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
3) 安全套接层SSL 协议
安全套接层SSL 协议是Netscape 公司在网络传输层与应用层之间提供的一种基于RSA 和保密密钥的用于浏览器与Web 服务器之间的安全连接技术。
SSL 通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL 协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Http、Ftp、Telnet 等)以保证应用层数据传输的安全性。
SSL 协议握手流程由两个阶段组成:服务器认证和用户认证。
①服务器认证
客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
②用户认证
经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。SSL 协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web 服务器内置,便于在电子交易中应用。但SSL 是一个面向连接的协议,起初并不是为了支持电子商务而设计的,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL 协议不能协调各方面的安全传输和信任关系。为此,开发出了在网络应用层中专为电子商务而设计的SET 协议。
4 安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
5 结束语
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献
[1] 吴洋.电子商务安全方法研究[D].天津大学, 2006.
[2] 李艳.电子商务信息安全策略研究[J].甘肃科技, 2005,(06)
电子商务安全范文2
关键词:电子商务;安全技术
电子商务不同于传统的经济交易模式,是一种依托计算机技术与互联网平台而建立起来的新型交易模式。电子商务提供给消费者更多的消费选择、更丰富的消费种类以及更方便快捷的交易方式。近年来,电子商务在我国乃至全球都处于一种高速发展的态势,与此同时,由于电子商务建立在互联网这样一个开放的交流平台上,利用现代信息技术,交易方之间的联系相比传统的交易方式也更加多样且密切。互联网本身就存在各种安全问题,电子商务的安全问题也就越来越突出。牵一发而动全身,网络交易中出现的安全问题会使小至个人交易,大至国家金融都受到威胁。提高电子商务的安全性迫在眉睫。
1电子商务的安全问题
在电子商务发展的过程中最主要的一个问题就是要切实保障交易双方在交易过程中的安全性。目前我国电子商务的安全技术比较落后,缺乏国际水平的安全技术的加持。设备体系不够健全、完善。保证安全性的产品技术不过硬,不能够适应越来越复杂的电子交易环境。在电子商务的发展过程中,容易出现各种人为导致或自然产生的机器与系统故障,以及来自内部和外部的病毒入侵。严重影响到电子商务的安全。在交易过程中,则存在买卖双方的欺诈行为,各种不良交易方式与投机手段,对买家的个人信息进行窃取,不承认交易事项等。
2电子商务安全的要素
1)有效性。电子商务的发展需要我们对更多的经济事项予以确认。信息的有效性保证到交易过程中每一位参与者的利益。要对信息技术与网络过程中的问题与故障做到有效、及时的预防与处理,防止各种病毒的入侵,技术故障对正常交易的影响。并保证交易过程中数据等的有效性。2)机密性。传统的交易模式中,信息之间有着可靠的交换渠道。互联网是一个开放的平台,在此平台运作的电子商务更需要提高自身的机密性,电子系统将信息进行加密,对信息的传送过程更严格的监控,以预防信息随时被不法分子拦截。3)可靠性。传统的交易中。交易双方的交易有签名、印章等来保证交易的真实性与可靠性。在电子交易中,交易则突破了空间的界限,不能通过太多保证性质的契约来确保交易的可靠性。电子商务系统要为交易双方提供可以检验对方具体情况的体系,来验证双方的真实性。为电子交易保驾护航。
3电子商务的安全技术
电子商务的发展依赖于互联网环境,而互联网中常常发生各种不可控的安全问题。电子商务发展的不断深入也需要其提高自身的安全性,下面的各项技术对提高电子商务的安全性有很大的帮助。1)加密技术。作为电子商务中基础的安全技术,加密技术分为对称加密和非对称加密。对称加密就是使用相同的加密算法,将专用的密匙交换。在密匙交换的过程中要保证交易双方的交易信息没有外泄。非对称密匙则分为公开密匙和私有密匙。公开密匙对外公布,私有密匙的信息由密匙者保管。得到公开密匙的用户可以将加密信息发送给密匙的者,跟据加密信息将公开密匙与私有密匙解密。对称密匙的优点是加密速度快,但是在密匙传达过程中容易被不法分子拦截、破解。非对称密匙的算法难度系数高,效率比较低,但是保密性则优于对称加密。2)防火墙技术。防火墙技术就是在网络之间建立一个保护层,对网络之间的访问进行监管与控制,内部网络与外部网络之间的任何联系与交流都需要受到保护层的监控,使防火墙内的网络免受外部不安全的服务和非法信息的攻击与入侵,在内部网络之外形成一道防火墙来保证内部网络的安全与顺畅。3)数字摘要。数字摘要就是使用函数将加密的明文摘要成固定长度的密文。密文与明文相互关联,不同的明文加密为不同的密文,相同的密文数字摘要也相同。收到信息之后利用方法计算出结果,如果计算结果与摘要相同,通过数字摘要就可以检测出接收到的明文是否是原始的有没有经过改动。从而确保信息的完整性与真实性。4)数字签名。数字签名是发送方从报文文本中生成一个散列值,利用公开密匙的计算方法与散列函数,将散列值加密形成数字签名。再将数字签名传输给接受方,接收方根据内容计算出散列值,再用发送方的公开密匙对报文的数字签名进行解密,若散列值一致,则说明接收方接收到了来自发送方的数字签名。通过数字签名可以对电子商务交易事项的真实性做出判断。5)数字凭证。数字凭证是利用电子手段来判断用户的身份,在电子交易过程中,双方利用各自的数字凭证来进行各项操作。公匙对应各自的数字证书,私匙则通过安全的方式传给用户。在凭证中,常用的是个人凭证与企业凭证,个人凭证在单人用户的电子商务交易过程中保障其的安全,拥有企业凭证的企业则可以通过网络服务器,来进行安全的电子商务交易。6)数字信封。数字信封则是对数据进行加密。SET消息发送时,利用DES密匙将SET消息进行加密,并用公匙把密匙加密,形成数字信封,将信息一起发送给接受者。私人密匙只有接受者才能得到,数字信封中的信息也只有接受者才能看到。数字信封加大了安全性能,保障了信息的私密性。7)CA认证。在以上各安全措施得以顺利进行的过程中,需要一个第三方认证机构的参与。CA认证中心就是这样一个具有权威性的认证机构。电子商务交易过程中的用户在申请数字证书的时候,CA认证中心就对各用户的具体情况进行检查与核实,提供身份认证服务,达到申请条件的用户则颁发数字证书。认证中心只掌握用户的公开密匙,使认证中心自身的安全性得到保障。
4结语
现代经济的不断发展与进步也会催生越来越多的经济交易新模式。电子商务在目前的经济发展领域与互联网发展领域中都占有越来越重要的地位。建立一套完整的电子商务安全体系,保证交易事项单位顺利进行,保障交易参与者的利益,提高电子商务的安全性。使我国的电子商务能更快、更好、更安全的发展。
作者:张云青 单位:长春信息技术职业学院
参考文献:
[1]孙晓茹.当前电子商务安全技术的研究及发展趋势[J].商场现代化,2013,(26):75.
电子商务安全范文3
[关键词] 电子商务 加密技术 认证技术 安全策略
随着互联网的不断发展,电子商务作为网络和商业结合的产物,正在靠近人们的生活,越来越引起更多人的关注。然而,由于互联网的开放性和匿名性,不可避免的存在许多安全隐患。在电子商务中,安全性是必须考虑的核心问题,要求网络能够提供安全的解决方案。
一、电子商务安全问题
电子商务在这样开放的Internet网络环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类:1.信息的截获和窃取:如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。2.信息的篡改:攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。3.信息假冒:攻击者通过掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息来欺骗其用户。4.交易抵赖:指交易单方或双方否认曾进行的交易行为。
电子商务面临的安全威胁的出现导致了对电子商务安全的需求,主要包括机密性、完整性、认证性和不可抵赖性、有效性五个方面。
二、电子商务安全技术
用于电子商务安全的技术主要包括加密技术、认证技术和电子商务安全协议,防火墙技术等。
1.加密技术
为保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务须采用加密技术,加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文,明文经过某种加密算法作用后,转换成密文,我们将明文换为密文的这一过程称为加密,将密文经解密算法作用后形成明文输出的这一程称为解密。加密算法中使用的参数称为密钥。密钥长度越长,密钥的空间就大,遍历密钥空间所花的时间就越多,破译的可能性就越小。加密技术可以分为两类:对称加密技术和非对称加密技术。对称加密技术以数据加密标准DES (Data Encryption Standard)算法为典型代表。非对称加密技术通常以RSA(Rivest Shamir Adleman)算法为代表。
2.认证技术
常用的安全认证技术有:
(1)数字签名。签名是用来保证文档的真实性、有效性的一种措施,如同出示手写签名一样。实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。
(2)数字证书。数字证书就是认证中心为交易各方颁发的身份凭证,它是一个经CA数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是用来确认安全电子商务交易双方身份的工具,由于它由证书管理中心作了数字签名,因此任何第三方都无法修改证书的内容。任何交易双方只有申请到相应的数字证书,才能参加安全电子商务的网上交易。
(3)数字时间戳。为了防止在电子交易中文件签署的时间信息被修改,数字时间戳提供了相应的安全保护。数字时间戳服务(DTS)是由专门的机构提供的。数字时间戳是一个经加密处理后形成的凭证文档,它包括3个部分:需加时间戳的文件摘要;DTS机构收到文件的日期和时间;DTS机构的数字签名。
3.电子商务安全协议
目前电子商务安全协议主要有SSL协议和SET协议。
(1)SSL协议
SSL安全套接层协议是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输。SSL协议并不是专门针对电子商务开发的,它是一种广泛应用于服务器和客户机之间相互认证并建立加密的通信连接的协议。但是目前,大多数的电子商务网站和开展网上业务的银行均采用这种方式来保证交易的安全性。
(2)SET协议
SET即安全电子交易协议,是美国Visa和MasterCard两大信用卡组织联合其他一些业界厂商制定的一个能保证在开放网络(包括Internet)上进行安全支付的技术标准。SET协议针对开放网络上安全、有效的银行卡交易,为Internet上卡支付交易提供高层的安全和反欺诈保证.SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以确保支付信息的保密性、支付过程的完整性、商家及持卡人身份的合法性以及可操作性。SET得到了IBM、HP、Microsoft、Netscape等很多公司的支持并已作为开放的工业标准。
4.防火墙技术
防火墙是加强Internet和Intranet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。防火墙可以确定哪些内部服务允许外部访问,哪些外部服务可以由内部人员访问,可以用来控制网络内外的信息交流,提供接入控制和审查跟踪。为了发挥防火墙的作用,来自和发往Internet的所有信息必须经由防火墙出入,防火墙禁止Internet中未经授权的用户入侵,由它保护的计算机系统,它只允许授权信息通过,自身则不能被渗透。
5.VPN技术
虚拟专用网络是企业网在因特网等公共网络上的延伸。虚拟专用网技术(VPN)是通过公共网络建立的一个提供数据加密,访问控制及认证服务的临时、安全的连接。由于它可以在两个系统中建立安全的信道,非常适合电子数据交换(EDI)。在虚拟专用网中交易双方相互比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全。虚拟专用网是进行电子商务比较理想的一种形式
三、电子商务安全策略
电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构,由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层五个部分组成,如图3.1所示。
电子商务安全体系结构图
针对电子商务的各层次安全需求,本方案的主要思想是通过在网络层、应用层上采用各种成熟的安全技术来解决相关的安全需求。
1.网络层安全解决方案
(1)要保证电子商务的网络结构不能被攻破。防火墙系统的实现技术主要分为分组过滤(Packet Filter)和服务(Proxy Service)两种。同时,服务器对正常途径的服务和可能的攻击均有日志记录,使得安全更有保障。但防火墙最大的问题是没有一套身份认证和授权管理系统。对于贸易伙伴间或大型企业跨地区的各分支机构间的数据传输过程,要实施安全护,目前最实用的技术是VPN。VPN产品可以基于公共的IP网络环境进行组网,使用户感觉在公网上独占信道,也是隧道的概念。在产品形态上是专有硬件,嵌入式操作系统,专用加密算法。在性能上可以允许上千对通道,网络加密速度达到很高。有的VPN产品将防火墙功能结合在一起形成安全网关。在分布式环境中,按点到点方式安装VPN产品,可以保证数据的加密传输。
(2)要求对攻击能够及时预警。对于电子商务这种关键应用,在网络应有安全检测措施,主要是预防黑客的攻击。这种预防是主动的,在网络运行之前和运当中通过不断的自测、自检来发现问题,然后及时采取补救措施。安全检测的具体功能包括两个方面:一是检测网络的安全漏洞,再者是检测系统配置错误,入侵检测系统(IDS)可分为两类:基于主机和基于网络。基于主机的入侵检测系统用于保关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提对典型应用的监视,如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控络关键路径的信息。针对电子商务实际应用,建议采用基于主机的IDS,将其安装在非军事化区中,主检测针对安全的攻击。
(3)要能防杀病毒。防病毒产品包括网络防病毒产品和主机防病毒产品。主机防病毒产品只能对单一主机进行保护,而网络防病毒产品通过在网络入口实施内容检查过滤,可以防止病毒通过邮件、FTP等方式从Internet进入企业网。
(4)要保证内网和Internet安全连接。企业在防火墙外将建立独立的Web服务器和邮件服务器供企业外部访问用,同时在防火墙与企业内部网(Intarnet)之间,将有一台服务器。该服务器的功能有两个,一是安全功能,即通过服务器,可以屏蔽企业内部网内服务器或CP机;二是缓冲功能,服务器可以保存经常访问的互联网上的信息,当CP机访问互联网时,如果被访问的信息存放在服务器的缓冲区中,那么服务器可以直接从其缓冲区中把信息直接送到CP机上,而不用再次去执行相应的网络操作。这样,就可以省去对互联网的再一次访问,可以节省费用。
2.应用层安全解决方案
(1)建立全局的电子身份认证系统;在电子商务应用方案和安全解决方案中,一定要配备认证中心(CA,ertificationAuthority)设施,为会员客户颁发代表身份的CA证书。
(2)对全局资源的统一管理,在身份认证和资源管理基础之上,实现全局的统一授权管理,就是说对全局用户和资源进行集中的授权管理;
(3)信息传输加密,这里包括两个方面一类是数据的完整性,是指数据本身是不能改写的,你可以看到但是不能去改动它;第二类是数据的保密性,数据不可窃听,通过加密来完成;
(4)实现审计记录和统计分析。先要建立一套事件发生的记录体制,在这个体制之上我们对记录信息进行统计分析,得来我们所需的各方面的信息。一般来管理级别越高,所拥有的数据保密要求也越高,而某些用户涉及的数据可能不需要任何别的加密。因此,电子商务系统应以采用端对端加密方式为主,根据具体情况辅以链路密方式,这样就可以根据需要对网中的数据有选择地采取不同级别的加密保护。
四、结束语
现代电子商务面临计算机网络安全与商务安全的双重要求,电子商务安全的复杂程度比大多数计算机网络更高,一方面电子商务中的安全技术在不断得到完善,另一方面网络攻击的手段也越来越先进。随着电子商务的不断发展,电子商务中的安全问题和安全技术必将得到持续的关注和研究。同时一个完善的电子商务系统在保证技术的前提下,还与国家法律政策、诚信等级制度、物流部门密切相关。因此电子商务安全体系的建立和实施是一个复杂的社会系统工程,因篇幅关系,本文仅从技术上加以研究。
参考文献:
[1]杨鼎新李恒杰缑婷:《电子商务教程》[M].兰州:兰州大学出版社.2006
电子商务安全范文4
关键词:电子商务;安全措施;探讨
1引言
电子商务是通过电子方式处理和传递数据,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拔、电子证券交易、商业拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的份额,其原因就在于电子商务的安全问题,根据美国一个调查机构对近30000名因特网用户的调查显示,由于担心电子商务的安全性问题,超过60%的网民不愿意进行网上交易,因此,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
2电子商务对安全的要求
对电子商务活动安全性的需求以及可使用的网络安全措施,主要包含如下几方面。
(1)如何确定通信中的贸易伙伴的真实性?常用的处理技术是身份认证,依赖某个可信赖的机构发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。
(2)如何保证电子单证的秘密性,防范电子单证的内容被第三方读取?常用的处理技术是数据加密和解密。
(3)如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失?对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性检验;也可采用双方约定的方法(即在规定的时间内,通过某种方式进行确认)。
(4)如何确定电子单证的内容未被篡改;单证传输完整性主要采用散列技术来防止非法用户对单证的篡改,通过散列算法对被传输的单证进行处理,产生一个依赖于该单证的短小的散列值,并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。
(5)如何确定电子单证的真实性?鉴别单证真实性的主要手段是数字签名技术,其基础是数据加密中的公开密钥加密技术,实用中常结合单证完整性一起考虑,利用发送方的密钥对散列值进行加密。
(6)如何解决或者仲裁收发双方对交换的单证所产生的争议,包括发方或收方可能的否认或抵赖?通常要求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。
(7)如何保证存储信息的安全性?如何规范内部管理?如何使用访问控制权限和日志以及敏感信息加密存储?当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术来保护内部网络的安全性。
3电子商务采用的主要安全技术
为了确保电子商务在交易过程中信息有效、真实、可靠且保密,目前主要采用的安全技术有加密技术、身份认证技术和交易的安全认证协议。安全认证协议用来保证电子商务中交易的安全性,如set、ssl、s/mime、s-http等。下面我们主要来介绍这些技术。
3.1加密技术
加密技术是电子商务系统所采取的最基本的安全措施,加密的主要目的是防止信息的非授权泄漏。密码算法是一些数学公式、法则或程序,算法中的可变参数是密钥。根据密码算法所使用的加密密钥和解密密钥是否相同,能否由加密密钥推导出解密密钥,可以将密码算法分为对称密码算法和非对称密码算法。一般来说,在一个加密系统中,信息使用加密密钥加密后,接收方使用解密密钥对密文解密得到原文。
3.1.1对称加密/对称密钥加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥,即一把钥匙开一把锁。这样可以简化加密的处理,每个交易方都不必彼此研究和交换专用的加密算法。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄漏,那么机密性和报文完整性就可以得以保证。这样密钥安全交换是关系到对称加密有效的核心环节。而对称加密技术存在着在通信的交易各方之间确保密钥安全交换的问题。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。目前常用的对称加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被采用为数据加密的标准。
3.1.2非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把私有密钥或解密密钥)。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者;私有密钥则保存在密钥方手中。任何得到公开密钥的用户都可使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。由此可知,公开密钥用于对机密性的加密,私有密钥则用于对加密信息的解密。目前常用的非对称加密算法是RSA算法。它是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢,并且也难以做到一次一密。因此,在实际的应用中通常不采用这一算法对信息量大的信息进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。
3.2身份认证技术
身份认证技术保证电子商务安全不可缺少的又一重要技术手段。常见的安全认证技术有数字摘要、数字信封、数字签名、数字时间戳、数字证书等技术。
3.2.1数字摘要
数字摘要是一种防止数据被改动的方法,它采用单向HASH函数将需要加密的文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。在数字摘要中HASH函数的输入可以是任意大小的文件消息,而输出是一个固定长度的摘要。且摘要有这样一个性质,如果改变了输入消息中的任何东西,甚至只有一位,输出的摘要将会发生不可预测的改变,故而常用数字摘要来判定信息是否被篡改的一项重要技术。
3.2.2数字信封
在大批数据加密中所使用的对称密码是随机产生的,而接收方也需要此密码才能对消息进行正确的解密。对称密钥的传递需要加密进行,即发送方用接收方的公钥加密此对称密钥。这样只有接收方用自己的私钥才能正确地解密此对称密钥,从而正确地解密消息。这种加密传送密钥的方法称为数字信封。数字信封技术可以保证接收方的唯一性。即使信息在传送途中被监听或截获,由干第三方并没有接收方的密钥,也不能对信息进行正确的解密。
3.2.3数字签名
数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。在实际生活中,签名通常采用书面形式,由甲乙双方完成,在网络环境下,可以用电子签名作为模拟。
数字签名是将数字摘要和公钥算法两种加密方法结合起来使用,其可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据未被篡改,真属性则保证传输过来的数据是由合法者产生的,而不是由其他人假冒。如假设用户A要寄信给用户B,他们互相知道对方的公钥,A用自己的私钥将签名内容加密,附加在邮件中,再用B的公钥将整个邮件加密(注意这里的次序,如果先加密再签名的话,别人可以将签名去掉后签上自己的签名,从而篡改了签名)。这样这份密文被B收到后,B用自己的私钥将邮件解密,得到A的原文和数字签名,然后用A的公钥解密签名,这样一来就保两方面的安全了。
3.2.4数字时间戳
在电子商务的交易文件中,时间是一条重要的信息,文件的签署日期和签名一样均是防止文件被伪造和篡改的关键性内容。为了防止在电子交易中,文件签署的时间信息被修改,数字时间戳提供了相应的安全保护。数字时间戳服务(DTS)是由专门的机构提供的。数字时间戳是一个经加密处理后形成的凭证文档,它包括三个部分:需加时间戳的文件摘要;DTS机构收到文件的日期和时间;DTS机构的数字签名。
3.2.5数字证书
数字证书是由证书授权中心CA管理和发放的。CA是数字证书的最高管理机构,是安全电子交易的核心环节。它作为电子商务交易中中立的、受信任的、可仲裁的第三方,也是为了解决电子商务中,交易双方的信息和身份验证问题,从根本上保障电子商务交易活动顺利进行而设立的。在交易支付的过程中,参与各方为了证实自己的身份,需到第三方即认证中心(CA)去认证。数字证书就是认证中心为交易各方颁发的身份凭证。它是一个经CA数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。任何交易双方只有申请到相应的数字证书,才能参加安全电子商务的网上交易。
3.3安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。
3.3.1SSL协议
SSL安全协议的中文全称是“加密套接字协议层”,最初由Netscape公司推出的一种基于RSA和保密密钥的安全通信协议,是目前使用最广泛的电子商务协议。该协议位于HTTP协议层和TCP协议层之间,向基于TCP/IP的客户/服务器应用程序,提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前,通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议可内置于用户浏览器和商家的服务器中,能方便而低开销地进行信息加密,多用于WEB信用卡的传送。这样利用它能够对信用卡和个人信息提供较强的保护。
SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息往往首先传到商家,商家阅读后再传到银行;这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证,不能防止商家利用获取的信用卡号进行欺诈。随着电子商务与厂商的迅速增加,对厂商的认证问题越来越突出,SSL协议的缺点则越加明显。SSL协议逐渐被新的SET协议所取代。
3.3.2SET协议
SET协议的中文全称“安全电子交易协议”,它向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Vsia国际组织和Mastercard组织联合国际上多家科技机构,共同制定的应用于INTERNET上的以银行卡为基础进行在线交易的安全技术标准。它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。它可以对交易各方进行认证,可防止商家身份的欺诈。为了进一步加强安全性,使用两组密钥对分别用于加密和签名,通过双签名机制将订购信息同账户信息链在一起签名。由于设计较为合理,得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上工业技术标准。
SET协议的不足之处在于协议复杂,且只适用于用户安装了“电子钱包”的场合。根据统计,在一个典型的SET交易过程中,需验证数字证书9次,验证数字签名6次;需传送证书7次,进行5次签名、4次对称加密和4次非对称加密;整个交易过程可能会花费1.5~2分钟。
4电子商务安全需要进一步完善的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:
(1)突破关键技术受制于人的瓶颈。当前不仅国内几乎所有的主机、交换机、路由器、网络操作系统都来自国外,而且美国对出口别国的产品实行密钥信前控制和长密钥限制,因此我们必须依靠自身的力量研制自己的加密算法,以保证中国电子商务的正常发展。
(2)我国应尽快对电子商务的有关细则进行立法。当前大多数人信息安全意识淡薄,以银行和金融界来看,大家对安全方面的重视还不够,由于有关电子商务的立法和管理刚刚开始,有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”,当然这种说法欠妥,但目前我国关于网络安全的法律的确还有待完善。
(3)大力开发大型商务网站、发展与之相配套的物流公司。目前我国的电子商务没有真正深入商务领域而仅仅局限于信息领域,这必将影响我国电子商务进一步的发展。
参考文献:
[1]周明,黄元江,李建设.株洲工学院学报[J].电子商务中的安全技术研究,2005.1.
[2]张娟.甘肃科技纵横[M].电子商务网络安全技术探究,2005.4.
[3]赵乃真.电子商务技术与应用[M].中国铁道出版社,2003.
电子商务安全范文5
关键词:电子商务 安全问题 安全策略
中图分类号:G642 文献标识码:A 文章编号:1672-8882(2012)10-047-01
1.引言
电子商务作为一种全新的业务和服务方式为全球客户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本,这种商务活动模式正在被全世界的人们所关注和青睐。但是,电子商务的安全性也制约了它的发展,安全问题已经成为电子商务推进中的最大障碍。
2.电子商务的安全问题
电子商务系统从一定意义上来讲就是一种计算机信息系统,信息系统安全主要是网络的信息安全,从这个角度来阐述电子商务系统的安全问题的根源,则主要包含以下几个方面物理安全、方案设计的缺陷、系统的安全漏洞和人的因素等几个方面。
2.1物理安全问题
物理安全问题主要包括物理设备本身的问题、设备的位置安全、限制物理访问、物理环境安全和地域因素等。物理设备的安全威胁包括温度、湿度、灰尘、供电系统对系统运行可靠性的影响,由于电磁辐射造成信息泄露,自然灾害如地震、闪电、风暴等对系统的破坏。设备的位置极为重要,所有的基础网络设施都应该放置在严格限制来访人员的地方,以降低出现未经授权访问的可能性。如果物理设备摆放不当,受到攻击者对物理设备的故意破坏,其他的安全措施都没有用。还要严格限制对接线柜和关键网络基础设施所在地的物理访问,除非经过授权或因工作需要而必须访问之外,禁止对这些区域的访问。地域因素,互联网往往跨越城际、国际,地理位置错综复杂,通信线路质量难以保证,会给上传信息造成损坏、丢失,也给“搭线窃听”的黑客以可乘之机,增加更多的安全隐患。
2.2方案设计的缺陷
在实际中,网络结构比较复杂,会包含星型、总线和环型等各种拓扑结构,结构的复杂给网络系统管理、拓扑设计带来很多问题。为了实现异构网络间信息的通信,就必须要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性的要求。有时特定的环境往往会有特定的安全需求,所以不存在可以通用的解决方案,需要制定不同的方案。如果设计者的安全理论与实践水平不够的话,设计出来的方案经常是存在漏洞的,这是安全威胁的根源之一。
2.3系统的安全漏洞
软件系统规模不断增大,系统中的安全漏洞不可避免的存在,任何一个软件都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞。主要包括操作系统类的安全漏洞、网络系统类安全漏洞和应用系统类安全漏洞。
2.4人的因素
人是信息活动的主体,人的因素其实是网络安全的最主要因素体现在以下三个方面:一、人的无意失误,操作人员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享都会给网络安全带来威胁。二、人为的恶意攻击,就是黑客攻击,是计算机网络面临的最大威胁。这类攻击主要分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。三、管理上的因素,网络系统的严格管理是企业、机构及用户免受攻击的重要措施,很多企业、机构及用户的网站或系统都疏于安全方面的管理。管理的缺陷可能会出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄露,为一些不法分子制造了可乘之机。
3.电商务安全的策略
电子商务安全,首先想到的是技术保障措施,仅从技术角度安全保障还远远不够。电子商务的安全需要一个完整的综合保障体系,采用综合防范的思路,从技术、管理、法律等方面去认识,根据我国的实际和国外的经验,采取适合我国的安全保障办法和措施。
3.1信息技术措施
信息技术措施主要涉及物理安全策略、访问控制策略、信息加密技术、数字签名技术以及防火墙等等。
3.1.1物理安全策略
保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误和各种计算机犯罪行为导致的破坏。
3.1.2访问控制策略
访问控制策略隶属于系统安全策略,他迫使在计算机系统和网络中自动的执行授权,被分成指令性访问控制策略和选择性访问控制策略两类。指令性访问控制策略是由安全区域权力机构强制实施的任何用户不能回避它。选择性访问控制策略为一些特殊的用户提供了对资源的访问权这些用户可以利用此权限控制对资源进行访问。
3.1.3信息加密技术
信息加密技术是电子商务安全技术中一个重要的组成部分。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路—链路加密、节点加密、端—端加密、ATM网络加密和卫星通信加密五种方式。应该根据信息系统安全策略来制定保密策略,选择合适的加密方式。
3.1.4数字签名技术
数字签名技术可以防止他人对传输的文件进行破坏以及确定发信人的身份。RSA签名方法和EIGamal数字签名方法是两种基本的数字签名方法,许多数字签名方法都基于这两种算法。RSA是可逆的公开秘钥加密系统,在数字签名过程中运用了消息的验证模式。EIGamal是一种非确定性的双钥体制,它对同一明文消息的签名会因随机参数选择的不同而不同。
3.1.5防火墙技术
防火墙是指隔离在本地网络与外界之间的一道或一组执行策略的防御系统。防火墙可以隔离不同的网络,限制安全问题的扩散,可以很方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。
3.2信息安全管理制度
建立完善的安全管理制度,进一步保证电子商务的安全。信息安全管理制度主要包括人员管理制度,保密制度,跟踪、审计、稽核制度,应急措施以及其他一些措施等。
3.2.1人员管理制度
电子商务活动中的主要参与者是人,尤其是网络管理员这样的人员,需要具备高尚的职业道德,才能保证管理有效。在人员管理时应注意以下几个方面:一要严格选拔,对网络工作者的选拔应不仅考核他们的技术,更要考察他们的责任心、道德感和纪律性。二要落实工作责任制,网络工作者尤其是超级管理员,掌握着很多重要的资料,他们必须严格遵守企业的安全制度,不能随意将工作内容向不相关的人泄露。三要贯彻电子商务安全运作基本原则,为便于管理,应遵循多人负责、任期有限、最小权限的原则。
3.2.2保密制度
从事电子商务工作的企业,内部会涉及许多保密信息,每类信息安全级别不同,要制定明确的保密制度,规定访问级别,与相关人员签订保密协议,保证保密信息不会外泄。
3.2.3跟踪、审计、稽核制度
跟踪制度是以系统自动生成日志文件的形式来记录系统运行的全过程。通过日志文件可以对系统进行监督、维护分析和故障排除,对于安全案件的侦破提供事实依据。
审计制度是规定网络审计员应经常对系统的日志文件检查、审核,及时发现异常状况,监控和捕捉各种安全事件,并对系统日志进行保存、维护和管理。
稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助稽核业务,应用软件调阅、查询、审核、判断辖区内电子商务参与单位业务经营活动的合理性、安全性,堵塞漏洞,保证电子商务交易安全,发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。
3.2.4应急措施
应急措施是指计算机灾难事件发生时,利用应急计划、辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复正常运行。灾难恢复包括许多工作,一方面是硬件恢复,使计算机系统重新运转起来;另一面是数据的恢复。数据的恢复更为重要,难度也更大。在启动电子商务业务之初,就必须制定交易安全计划和应急方案,以防万一。一旦发生意外,有备无患,可最大限度地减少损失,尽快恢复系统的正常工作,保证交易的正常运行。
3.2.4其他一些措施
在电子商务安全问题中,病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度,排除病毒的干扰。其次,还要经常进行系统维护,系统维护主要包括硬件的日常管理与维护和软件的日常管理与维护。企业里的硬件应建立系统设备档案,便于以后对设备的更新和管理。对于软件的管理和维护工作主要是版本控制,及时更新添补漏洞,降低出现意外的可能。
3.3法律政策与法律保障
电子商务的安全发展必须依靠法律的保障,通过法律等条文的形式来保护电子商务信息的安全,惩罚网络犯罪违法行为,建立一个良好的电子商务法制环境来约束人们的行为。
目前电子商务相关法律主要涉及计算机犯罪立法、计算机安全法规、隐私保护、网络知识产权保护、电子合同相关法规等方面,初步满足了电子商务保密性、完整性、认证性、可控性和不可否认性的安全需求。随着信息技术的发展,电子商务安全不可能一劳永逸,必须用发展的眼光来看待,法制建设也应该进一步完善。
电子商务的安全问题是一个涉及范围极广的社会问题,网上交易安全性若不能得到有效的保障,就必然会影响到电子商务的顺利发展。因此,要使电子商务能够健康、快速、蓬勃的发展,就必须用全面的电子商务安全解决方案提供交易的信任保障,希望越来越多的企业和个人加入到关心电子商务的行列中来,一起为开创崭新的商务时代出力献策。
参考文献:
[1]祁明.电子商务安全与保密 [M].高等教育出版社.
电子商务安全范文6
[关键词] 电子商务 安全 对策
随着Internet和IT技术的迅猛发展,电子商务因其自身独有的特点与优势,逐渐成为进行商务活动的新模式,在人们的生活中也占据着日益重要的地位,但其安全问题也变得越来越突出。如何建立一个安全、快捷、便利的电子商务应用环境,对信息在网络上的传输提供足够的保护,已成为商家和用户都非常关心的话题。
一、电子商务的定义
电子商务(E-business)是利用当前先进的电子技术从事各种商业活动的方式,其实质是一套完整的网络商务经营及管理信息系统。更具体地说,它是利用计算机硬/软件设备和网络基础设施,通过一定协议连接起来的电子网络环境进行各种商务活动的方式。比如:网上银行、网上营销、网上客户服务、网上调查等。
二、电子商务的基本特征
1.电子商务将传统的商务流程电子化、数字化,减少了人力、物力,降低了成本,具有开放性和全球性的特点,为企业创造了更多的贸易机会。
2.电子商务重新定义了传统的流通模式,减少了中间环节,使生产者和消费者不用谋面的网上交易成为可能,从而在一定程度上改变了社会经济运行的方式、经济布局和结构。
3.电子商务一方面突破了时间和空间的限制,另一方面又提供了丰富的信息资源,为各种社会经济要素的重新组合提供了更多的可能,使得交易活动可以在任何时间、任何地点进行,从而大幅度提高了效率。
可见,电子商务的一个重要技术特征是利用网络技术和IT技术来传输和处理商业信息的。就整个系统而言,其安全性可以分为四个层次。(1)网络节点的安全性。(2)通讯的安全性。(3)应用程序的安全性。(4)用户的认证管理。
三、网络节点的安全性
1.防火墙的概念。在构建安全网络环境的过程中,防火墙作为第一道安全防线,受到越来越多用户的关注与青睐。防火墙是一个系统,主要用来执行Internet(外部网)和Intranet(内联网)之间的访问控制策略。它可为各类企业网络提供必要的访问控制,又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业资源。
2.防火墙安全策略。防火墙保护内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。设置了防火墙后,可以对网络数据的流动实现有效的管理:如允许公司员工使用电子邮件、Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门之间的互相访问。
可见,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备组合,它还是安全策略的一个重要组成部分,其安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及管理制度等。所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设置防火墙系统,而没有全面、细致的安全策略,那么防火墙就形同虚设。
3.安全操作系统。安全的操作系统至少要有以下特征:(1)最小特权原则,即每个特权用户只拥有能进行其工作的权力。(2)强制访问控制,包括保密性访问控制和完整性访问控制。(3)安全审计和审计管理。(4)安全域隔离。
其次,防火墙是基于操作系统的,如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙就不起作用了。可见,安全是一个系统工程,操作系统安全只是其中的一个层次,还需要各个环节的配合,安全操作系统应该与各种安全软、硬件结合起来(如防火墙、杀毒软件、加密产品等),才能让电子商务得到更广泛的应用,确保系统信息的安全达到最佳状态。
四、网络通信的安全性
1.数据通信的安全。电子商务系统的数据通信主要存在于:(1)客户浏览器端与电子商务WEB服务器端的通讯。(2)电子商务WEB服务器与电子商务数据库服务器的通讯。
2.通信链路的安全。在客户端浏览器和电子商务WEB服务器之间采用SSL(Secure Electronic Transaction,安全电子交易)协议建立安全链接,所需传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。单纯的建立SSL链接时,客户只需用户下载该站点的服务器证书。若验证此证书是合法的服务器证书,再利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密将要传输的明文,此时浏览器也会出现进入安全状态的提示。
五、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性,这些工作还是不充分的,因为编程错误也可能导致对系统的破坏与攻击。
程序错误的常见形式:程序员忘记检查传送到程序的入口参数;程序员在处理字符串的内存缓冲时,忘记检查边界条件。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可。程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录,但不是显式的设置访问控制(最少许可)。若程序员认为这个缺省的许可是正确的,则这些缺点就可能被用到攻击系统的行为中,不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。
缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的,程序不检查输入字符串长度。输入假字符串常常是可执行的命令,特权程序可以执行指令。
六、用户的认证管理
1.身份认证。开展电子商务的关键核心技术是保密存储与取出。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合来实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。由于指纹具有惟一性,目前,指纹认证与网络传输便广泛的应用于银行专用网、企业营销网等各种商贸网络,使电子商务具有更现实的可操作性。
2.CA证书。CA(Certificate Authority,即“认证机构”),是证书的签发机构,它是PKI(Public Key Infrastructure,即“公开密钥体系”)的核心。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。要在网上确认交易各方的身份及保证交易的不可否认性,便需要CA证书进行验证。证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,验证个人证书是为了验证来访者的合法身份。
CA也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,应先向CA提出申请。在CA判明申请者的身份后,便为其分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪,可用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
七、建立安全管理机制
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,应按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户账号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户账号和密码。建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。对重要数据要及时进行备份。对数据库中存放的数据,数据库系统应根据其重要性提供不同级别的数据加密。安全管理实际上是一种风险管理,任何措施都不能保证百分之百的安全。但安全技术的采用可降低系统遭到破坏、攻击的风险,决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。随着全球经济一体化进程的加快,尤其是Internet技术、IT技术的迅猛发展及广泛应用,我们的社会也已融入到电子商务时代的气息当中,这是一个“以客户为中心”的时代,企业的市场营销及贸易往来都必须围绕这个中心来进行。只有保证电子商务各个环节、各个方面的安全性与稳定性,才能为其正常运作提供有力的保证,才能为其自身迎来更广阔的前景。
参考文献:
