1电子商务平台系统结构
电子商务平台连接局域网(企业内部)和因特网。因为因特网是开放性的网络,并且结构非常复杂,不能确保传输信息的安全,所以,企业的局域网会采取先进的技术手段比如防火墙技术,屏蔽因特网中的不安全因素。企业内部局域网一般包括:ERP系统(企业资源计划系统)及传统系统、客户端、邮件服务系统,服务器包括数据服务器、协作服务器、Web服务器和账户服务器。
2电子商务中存在的信息安全问题
2.1网络信息安全问题
网络信息安全问题主要是因为因特网是一种开放的网络,所以数据在网络通道上进行传输时,一些不法分子会分析网络的使用协议及物理特征,损害传输的信息,其的主要手段是对信息进行插入、篡改、删除、截获等。通常情况下,插入就是在有用信息中插入部分无效信息,从而使得合法用户获得无效信息或者是错误信息;篡改就是更改信息流的传送次序,从而达到损坏或者是改变信息内容的目的;删除就是删除全部或者部分信息,造成信息的缺失,从而使合法用户不能得到完整的信息;截获就是不法分子采用非法手段在传输信道上拦截机密信息,比如银行卡的密码和账号等。
2.2身份冒充问题
身份冒充问题主要是因为电子商务是一种新型的交易方式,它和传统的交易方式不同,交易双方的身份不能明确,所以攻击者就有较多的机会采用非法手段,对合法用户的信息进行盗取,和其他人进行交易,从而来获取更多的非法利益。目前,身份冒充问题较多的就是冒充他人身份栽赃、冒充合法用户消费、冒充主机欺骗其他合法主机或者合法用户等。
2.3交易双方抵赖问题
交易双方抵赖问题主要是由于为了推卸责任,部分用户恶意否认自己发送的信息而产生的。比如,购买者不接收商品,否认自己的订单;网站者否认自己发送的一些信息进行,如果出了什么问题就可以不对用户负责;卖家为了不承担质量问题,否认卖出的商品等。以上这些问题如果想要得到解决,必须要有强有力的仲裁机构和统一的仲裁标准。
2.4拒绝服务问题
拒绝服务问题,这类问题主要是攻击者为了使合法用户无法对需要的网络资源不能进行正常的访问,从而伪造大量信息,占用正常的服务器或者是资源信息通道,从而使一些有严格时间限制的服务,不能获得及时响应。例如,对虚拟网店来说,攻击者通过伪造虚假的用户信息,发送大量无效订单,占用网络及服务器资源,网站就不能对正常用户及时进行信息反馈。
2.5计算机系统安全问题
由于用户是分散的,在世界的各个地方,所以不能保证每一台计算机都安全稳定的运行。计算机硬件受损导致的数据丢失,侵染病毒导致的信息泄露,木马导致的入侵攻击等问题,都将严重的威胁计算机系统的安全问题。
3计算机安全技术在电子商务中的应用
为了确保电子商务的安全,克服上述的安全问题,目前采用的计算机安全技术主要有身份识别技术、数据加密技术、智能防火墙技术、入侵检测技术、认证机构CA等。
3.1身份识别
身份识别问题是电子商务面临的比较突出的问题,这主要是由电子商务的特性决定的。一方面,电子商务和传统的交易方式不同,交易双方没有见过面,不能进行面对面的谈判,也不能对对方的身份进行有效的核实,只能通过网络进行交易,所以,身份识别问题在电子商务中十分关键。另一方面,电子身份识别关系到用户的合法性和安全性,因为只有合法的用户才有权利获得十分丰富的网络资源,所以进行身份识别也是网络资源管理的要求。
3.2数据加密
当前的数据加密技术主要有两大类,一类是专用密钥加密或者对称加密,另一类是公开密钥加密或者非对称加密,数据加密技术是保证电子商务信息安全的主要措施之一。不管是对称加密技术还是非对称加密技术,它们二者都是通过构建完整签名或者加密体系,有效地解决电子商务中的存在的安全隐患,当前,比较常见的加密体系一般是采取公开密钥技术构建的,此种方式可以确保网络交易的安全性和实现网络资源的共享。
3.3智能防火墙技术
防火墙技术是用来保护内部网络内的主机和资源的,它能有效防止外部的网络用户采用非法的手段入侵到内部局域网中,因此,防火墙技术可以加强网络间的访问控制。智能防火墙技术是根据技术特征,采用决策、概率、记忆、统计的智能方法识别数据并达到访问控制的目的。智能防火墙技术没有必要为了匹配检查进行大量的计算,而是直接控制访问,与传统防火墙技术相比,智能防火墙技术更安全,其安全性能大大提高了,尤其是在内核的安全性、系统和特权最小化、网络性能、系统的加固和优化等方面都有很大的提高。
3.4入侵检测技术
入侵检测技术提高计算机网络的安全性能,快速发现非法攻击,从而在整体上提高计算机的安全结构的完整性,它是作为防火墙和其他技术的补充。VPN技术采用加解密技术、隧道技术等,通过公共网络将多个内部网络进行远程连接,使用户能够跨采用统一规划的内部网络地址进行彼此之间的访问。
3.5认证机构CA
CA的组成主要由证书签发服务器、密钥管理中心和目录服务器三部分组成。其中证书签发服务器,负责签发和管理证书,密钥管理中心提供CA证书的签发;目录服务器负责证书和CRL的查询及。使用公开密钥的用户都会得到CA中心发放的一个数字证书,证书上面具有数字签名,非法攻击者不能对其进行篡改和伪造,从而保证了信息的安全。根据X.509标准规定,证书应该包含以下内容:证书序列号、版本号及有效期,算法标识(用于证书签名),签发证书的CA机构的名字和唯一标识符,用户的名字、公钥和用户的唯一标识等。
作者:贺甲宁 单位:陕西职业技术学院
