電子商務安全論文范文
時間:2023-04-12 00:39:44
導語:如何才能寫好一篇電子商務安全論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:電子商務;身份認證;防火墻
1引言
電子商務可以增加銷售額并降低成本的優勢,使得政府與企業都十分重視并推動電子商務的建設和發展。電子商務發展到今天,主要問題在于時空的分離導致了安全問題的出現,信息的安全性是當前發展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業自身情況,充分借鑒以往電子商務系統開發的先進技術和經驗,開發出符合企業特殊的電子商務系統,已經成為目前發展電子商務的關鍵,而安全體系的構建顯得尤為重要。
2電子商務的主要安全要素
目前電子商務工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現,電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現在以下幾個方面:
2.1信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
2.2信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3.3信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
3.4信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
3電子商務安全系統
網絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩定可靠,能不中斷地提供服務。任何系統的中斷,如硬件、軟件錯誤,網絡故障、病毒等都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
所以就整個電子商務安全系統而言,安全性可以劃分為四個層次,
1)網絡節點的安全
2)通訊的安全性
3)應用程序的安全性
4)用戶的認證管理
其中2、3、4是通過操作系統和Web服務器軟件實現,而網絡節點的安全性依靠防火墻保證,我們應該首先保證網絡節點的安全性。
3.1網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
3.2通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
3.3應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
3.4用戶的認證管理
1)身份認證
電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現的。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
2)CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。
3)安全套接層SSL協議
安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Http、Ftp、Telnet等)以保證應用層數據傳輸的安全性。
SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
①服務器認證
客戶端向服務器發送一個“Hello”信息,以便開始一個新的會話連接;服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據收到的服務器響應信息,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數據進行加密來認證服務器,從而建立安全的通信通道。
②用戶認證
經認證的服務器發送一個提問給客戶,客戶則返回數字簽名后的提問和其公開密鑰,從而向服務器提供認證。SSL協議支持各種加密算法,實現簡單,獨立于應用層協議,且被大部分瀏覽器和Web服務器內置,便于在電子交易中應用。但SSL是一個面向連接的協議,起初并不是為了支持電子商務而設計的,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協議不能協調各方面的安全傳輸和信任關系。為此,開發出了在網絡應用層中專為電子商務而設計的SET協議。
4安全管理
為了確保系統的安全性,除了采用上述技術手段外,還必須建立嚴格的內部安全機制。對于所有接觸系統的人員,按其職責設定其訪問系統的最小權限。按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。
建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。定期檢查日志,以便及時發現潛在的安全威脅。
對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
5結束語
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005,(06)
[3]成衛青,龔儉.網絡安全評估[J].計算機工程,2003,(02).
篇2
[論文摘要]在如何對待信用卡套現的問題上,國內領先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。
在電子商務中,網上交易的支付問題的安全性問題越來越突出,為確保顧客在購買東西的時候不會錢財兩空,一種新的支付方式——第三方支付出現了,第三方支付平臺的出現解決了電子商務的瓶頸——網上支付信用與安全問題,充當商家與消費者之間的信用紐帶,作為交易各方與銀行的接口,消除消費者對商家的疑慮,提供方便快捷簡易的支付方式,在很大程度上推動了電子商務的發展。
那么,第三方支付具體指的是什么呢?所謂第三方支付,是指為了保障電子商務的支付安全,支付通過買賣雙方之間完全中立的一家企業來完成。用E-mail來進行網上支付;打個電話報上信用卡號就能預訂機票;用手機上網交水費電費游戲費……在中國人還沒有完全適應從紙制貨幣進化到“塑膠貨幣”(信用卡)的今天,網絡銀行、手機錢包等第三方支付工具已經迫不及待地登場了。
近日,有媒體報道,有網民利用三方支付工具從信用卡套現。就此,該文進而對第三方支付的安全性問題提出質疑,認為電子支付有可能被金融犯罪分子所利用,充當其洗錢的工具。且不管該文提到的套現現象是否屬于依然在可控范圍內的小概率事件,也不提所謂的套現行為是否緣于第三方支付的安全漏洞,單就所謂洗錢的擔心而論,可以說,該文是嚴重低估了央行以及各商業銀行的風險控制能力,也大大低估了各大第三方支付公司的風險把控能力。
實際情況是,早在1996年4月1日,中國人民銀行就頒布并實施了《信用卡業務管理辦法》,其中明確規定,持卡人不允許利用信用卡套取現金以及惡意透支。對于信用卡套現這個問題,不光招商銀行等商業銀行關注有加,第三方支付公司支付寶、貝寶等亦是小心翼翼,如履薄冰,先后出臺了多項嚴格的風險控制系統,協助銀行解決問題。
在如何對待信用卡套現的問題上,國內領先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。
例如,PAYPAL(貝寶)在防止盜號、提供密碼加密以及減少信用卡套現等方面,已經配合銀行做了大量工作;快錢除了從技術手段上防范盜卡之外,還在安全方面加設了用戶的認證系統等六道功能,試圖將安全隱患壓低到最小程度。
作為國內最大的第三方支付平臺,支付寶的做法就更為完備。早在2006年7月,支付寶就推出“支付寶認證”服務,對所有使用支付寶的賣家進行雙重身份認證,即身份證認證和銀行卡認證。除了與公安部全國公民身份證號碼查詢服務中心合作校驗身份證的真偽,支付寶還與各大商業銀行進行合作,利用銀行賬戶實名制信息來校驗用戶填寫的姓名和銀行賬戶號碼是否準確,摒棄了某些購物網站僅憑一個手機號碼或者身份證號碼進行簡單認證的模式。支付寶公司還在國內率先推出了“全額賠付”制度和交易安全基金,網絡欺詐發生率僅為萬分之二。
為了保證支付寶的安全性,支付寶技術團隊還自發研制了數字證書,其安全性能得到各銀行認同。相對于目前國內所有第三方認證公司采用的認證形式,支付寶的數字證書從技術上擺脫了普通6位密碼驗證,改以1024位加密的數字簽名技術,因而更為安全。而數字密碼的惟一性,也更有助于客戶身份的識別。
央行的《電子支付指引》規定,銀行通過互聯網為個人客戶辦理電子支付業務,除采用數字證書、電子簽名等安全認證方式外,單筆金額不應超過1000元人民幣,每日累計金額不應超過5000元人民幣,并規定信用卡的網上支付不得超過提現額度。國內目前沒有一家銀行和任何一家網上支付公司允許網上“單日支付額度由信用卡額度決定”。在這方面,支付寶也早已主動和和很多發卡銀行聯手,針對套現現象做了信用卡網上支付單筆限額的規定,例如,招商銀行的信用卡支付限制的是單筆最高限額499元。為了保證支付寶的安全性,支付寶還有CTU風險控制系統來隨時掃描和監控交易的進行,防范可能存在的盜卡及套現行為。
實際上,從2006年5月開始,支付寶就已委托中國工商銀行對支付寶公司開立在各家銀行的客戶交易保證金賬戶的余額進行核查,工行并定期出具《支付寶客戶交易保證金托管報告》。這是中國銀行界第一次為第三方支付平臺做資金托管的審核報告,也是當前唯一銀行愿意托管的第三方支付平臺。2006年12月8日,從工行對11月1日~11月30日期間所有發生的支付寶公司的客戶提現及余額支付進行的抽查情況看,支付寶存放在各家銀行的客戶交易保證金余額總和等于支付寶客戶存放在貴公司的資金余額與待處理款、未達款余額之和,報告期間內未發現支付寶客戶交易保證金被挪用情況。
值得一提的是,截至目前工行、農行都已經開始把以支付寶為主的阿里巴巴中小企業信用體系作為他們給中小企業貸款的一個衡量指標;而浦東發展銀行等也看到了里面的巨大商機紛紛加入。
篇3
關鍵詞:電子商務;身份認證;防火墻
一、有關電子商務的安全性要求
1.對電子商務活動安全性的要求:
(1)服務的有效性要求。電子商務系統應能防止服務失敗情況的發生,預防由于網絡故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能準確快速的傳送。
(2)交易信息的保密性要求。電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。
(3)數據完整性要求。數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。
(4)身份認證的要求。電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
2.電子商務的主要安全要素
(1)信息真實性、有效性。電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
(2)信息機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
(3)信息完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
(4)信息可靠性、可鑒別性和不可抵賴性??煽啃砸蠹词悄鼙WC合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在internet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
二、電子商務采用的主要安全技術
1.網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
2.通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。[論/文/網LunWenNet/Com]
3.應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現像這些問題一樣的錯誤。
4.用戶的認證管理
(1)身份認證。電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
(2)CA證書。要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。
(3)安全套接層SSL協議。安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Ht2tp、Ftp、Telnet等)以保證應用層數據傳輸的安全性。SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
三、電子商務安全需要進一步完善的配套措施
電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須從以下幾個方面來完善配套措施:
(1)突破關鍵技術受制于人的瓶頸。
(2)我國應盡快對電子商務的有關細則進行立法。
(3)大力開發大型商務網站,發展與之相配套的物流公司。
(4)為了確保系統的安全性,除了采用技術手段外,還必須建立嚴格的內部安全機制。
(5)建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。
(6)對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。[論\文\網LunWenNet\Com]
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津:天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005(6).
[3]成衛青,龔儉.網絡安全評估[J].計算機工程,2003(2).
[4]甘悅.淺議電子商務信息安全體系的構建[J].西北成人教育學報,2007(2).
[5]周明,黃元江,李建設.電子商務中的安全技術研究[J].株洲工學院學報,2005(1).
[6]張娟.電子商務網絡安全技術探究[J].甘肅科技縱橫,2005(4).
[7]趙乃真.電子商務技術與應用[M].北京:中國鐵道出版社,2003.
篇4
關鍵詞:密鑰托管證書授權認證公開密鑰公鑰基礎設施托管證書
網絡的安全問題得到人們的日益重視。網絡面臨的威脅五花八門:內部竊密和破壞,截收,非法訪問,破壞信息的完整性,冒充,破壞系統的可用性,重演,抵賴等。于是公鑰基礎設施(PublicKeyInfrastructure,PKI)應運而生。PKI是電子商務和其它信息系統的安全基礎,用來建立不同實體間的“信任”關系。它的基礎是加密技術,核心是證書服務。用戶使用由證書授權認證中心(CertificateAuthority,CA)簽發的數字證書,結合加密技術,可以保證通信內容的保密性、完整性、可靠性及交易的不可抵賴性,并進行用戶身份的識別。
1.密鑰托管KE與密鑰托管KEA的概念
在電子商務廣泛采用公開密鑰技術后,隨之而來的是公開密鑰的管理問題。對于中央政府來說,為了加強對貿易活動的監管,客觀上也需要銀行、海關、稅務、工商等管理部門緊密協作。為了打擊犯罪,還要涉及到公安和國家安全部門。這樣,交易方與管理機構就不可避免地產生聯系。為了監視和防止計算機犯罪活動,人們提出了密鑰托管(KeyEscrow,KE)的概念。KE與CA相接合,既能保證個人通信與電子交易的安全性,又能實現法律職能部門的管理介入,是今后電子商務安全策略的發展方向。
密鑰托管技術又稱為密鑰恢復(KeyRecovery),是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術。它用于保存用戶的私鑰備份,既可在必要時幫助國家司法或安全等部門獲取原始明文信息,也可在用戶丟失、損壞自己的密鑰后恢復密文。
執行密鑰托管功能的機制是密鑰托管(KeyEscrowAgent,KEA)。KEA與CA是PKI的兩個重要組成部分,分別管理用戶的私鑰與公鑰。KEA對用戶的私鑰進行操作,負責政府職能部門對信息的強制訪問,不參與通信過程。CA作為電子商務交易中受信任和具有權威性的第三方,為每個使用公開密鑰的客戶發放數字證書,負責檢驗公鑰體系中公鑰的合法性。因此它參與每次通信過程,但不涉及具體的通信內容。
2.安全密鑰托管的步驟
密鑰托管最關鍵,也是最難解決的問題是:如何有效地阻止用戶的欺詐行為,即逃脫托管機構的跟蹤。為防止用戶逃避脫管,密鑰托管技術的實施需要通過政府的強制措施進行。用戶必須先委托密鑰托管進行密鑰托管,取得托管證書,才能向CA申請加密證書。CA必須在收到加密公鑰對應的私鑰托管證書后,再簽發相應的公鑰證書。
為了防止KEA濫用權限及托管密要的泄漏,用戶的私鑰被分成若干部分,由不同的密鑰托管負責保存。只有將所有的私鑰分量合在一起,才能恢復用戶私鑰的有效性。
(1)用戶選擇若干個KEA,分給每一個一部分私鑰和一部分公鑰。根據所得的密鑰分量產生相應的托管證書。證書中包括該用戶的特定表示符(UniqueIdentify,UID)、被托管的那部分公鑰和私鑰、托管證書的編號。KEA還要用自己的簽名私鑰對托管證書進行加密,產生數字簽名,并將其附在托管證書上。
(2)用戶收到所有的托管證書后,將證書和完整的公鑰遞交給CA,申請加密證書。
(3)CA驗證每個托管證書的真實性,即是否每一個托管都托管了一部分有效的私鑰分量,并對用戶身份加以確認。完成所有的驗證工作后,CA生成加密證書,返回給用戶。3.司法部門利用KE對信息的強制訪問
所有傳送的加密信息都帶有包含會話密鑰的數據恢復域(DataRecoveryField,DRF),它由時間戳、發送者的加密證書、會話密鑰組成,與密文綁定在一起傳送給接收方。接收方必須通過DRF才能獲得會話密鑰。在必要時,司法部門可利用KEA,通過DRF實現對通信內容的強制訪問。
在司法部門取得授權后,首先監聽并截獲可疑信息,利用DRF中發送者的加密證書獲得發送者的托管標示符及其對應的托管證書號,然后把自己的授權證書和托管證書號交給相應的密鑰托管。KEA驗證授權證書的真偽后,返回自己保管的那部分私鑰。這樣在收集了所有的私鑰成分后,司法部門就能恢復出發送者的私鑰,再結合接收者的公鑰及時間戳,就能破解會話密鑰,進而破解整個密文。由于密鑰托管不參與通信過程,所以在通信雙方毫無察覺的情況下,司法部門就能審查通信內容。
4.結束語
自從1993年美國政府頒布密鑰托管加密標準EES,有關密鑰托管的研究一直是密碼學領域一個持續的研究熱點。在電子商務時代,國家為了能夠管理和控制電子商務的健康發展,必須強制實施一定形式的密鑰托管技術,以便及時發現和阻止非法商務活動,并為司法部門提供取證的方便。
參考文獻
[1].盧鐵成.信息加密技術四川科學出版社1989
[2].陳偉東,翟起濱.二類基于離散對數問題的信息恢復多簽名體制.密碼與信息,1998.1
[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185,U.S.DeptofCommerce,1994
[4].BellareM,GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity,ACM,1997
KeyEscrowTechnologyinElectronicCommerceBasedonPKI
篇5
[關鍵詞]電子商務反向網站資源安全DNS
一、引言
電子商務是利用先進的電子技術進行商務活動的總稱。它通過網絡、使用先進的信息處理工具,利用計算機這種載體,將買賣雙方的商務信息、產品信息、銷售信息、服務信息,以及電子支付等活動,用相互認同的交易標準來實現。進行電子商務活動的最基礎平臺是電子商務網站,電子商務網站在企業的電子商務體系中有著重要的作用,其安全直接關系企業實施電子商務能否成功。
目前,對電子商務網站的保護,采用最多的方法是使用防火墻技術,只允許用戶訪問網站的WEB服務,過濾掉對網站服務器其他服務的訪問。這種方法有一個問題:網站的WEB服務對外來說是完全暴露的,用戶可以直接和網站服務器通信。
二、反向技術
通常的一般稱為正向,只用于內部網絡對外部網絡的連接請求,不支持外部網絡對內部網絡的訪問請求(因為內部網絡對外部網絡來說是不可見的)。當一個服務器能夠外部網絡上的主機訪問內部網絡時,這種的方式稱為反向。
反向就是通常所說的WEB服務器加速,它是一種通過在繁忙的WEB服務器和外部網絡之間增加一個高速的WEB緩沖服務器來降低實際的WEB服務器的負載的一種技術。反向是針對WEB服務器提供加速功能的,作為緩存,它并不是針對瀏覽器用戶,而針對一臺或多臺特定WEB服務器,它可以外部網絡對內部網絡的訪問請求。
反向服務器會強制將外部網絡對要的服務器的訪問經過它,這樣反向服務器負責接收客戶端的請求,然后到源服務器上獲取內容,把內容返回給用戶并把內容保存到本地,以便日后再收到同樣的信息請求時,它會把本地緩存里的內容直接發給用戶,以減少后端WEB服務器的壓力,提高響應速度,的服務器對外部網絡來說是不可見的。
反向服務器的工作流程歸納如下:
1.用戶通過域名發出訪問WEB服務器的請求,該域名被DNS服務器解析為反向服務器的IP地址,因此用戶的請求被重定向到反向服務器。
2.反向服務器接受用戶的請求。
3.反向服務器在本地緩存中查找請求的內容,找到后直接把內容發送給用戶。
4.如果本地緩存里沒有用戶所請求的信息內容,反向服務器會代替用戶向源WEB服務器請求同樣的信息內容,并把信息內容轉發給用戶,如果信息內容是可緩存的還會把它保存到緩存中。
實施反向,只要將反向服務器放置在要的WEB服務器前端并在DNS系統中將要的服務器域名解析為反向服務器IP地址(達到強制將外部網絡對要服務器的訪問經過反向服務器的目的)即可,如圖1所示:
在企業的電子商務網站建設中采用反向技術后,解決了網站服務器對外可見的問題,還有如下幾個突出優點:
1.節約了有限的IP地址資源。企業內所有的網站共享一個在Internet中注冊的IP地址,這些服務器分配私有地址,采用虛擬主機的方式對外提供服務。
2.保護了真實的WEB服務器。企業內所有網站服務器對外都不可見,外網只能看到反向服務器,而反向服務器上并沒有存放實際的資源,因此,可以保證真實WEB服務器上資源的安全。
3.加快了對網站的訪問速度,減輕WEB服務器的負擔。反向服務器具有緩存網頁的功能,如果用戶需要的內容在緩存中,則可以直接從服務器中取得,減輕了WEB服務器的負荷,同時也加快了用戶的訪問速度。
三、反向服務器的部署
目前,能夠實現反向的軟件有很多,但用的最多還是由美國政府大力助的Squid開源免費軟件,該軟件可運行在任何平臺上,本文選擇Linux操作系統來部署Squid,因為Linux系統也是開源免費的。
1.Squid軟件的獲取??梢詮膕quid-網站下載squid軟件的最新版本,本文下載的是squid-2.6.STABLE13.tar.gz。2.Squid軟件的安裝。
(1)將獲取的文件squid-2.6.STABLE13.tar.gz拷貝到/tmp目錄;
(2)解壓該文件,運行tarxvzfsquid-2.6.STABLE13.tar.gz命令,在/tmp目錄中生成名為squid-2.6.STABLE13的目錄;
(3)進入該目錄,執行./configure,系統缺省將軟件安裝在/usr/local/Squid目錄,用戶也可以用--prefix=目錄,指定安裝目錄;
(4)運行make;
(5)運行makeinstall;
(6)如沒有錯誤,安裝結束,Squid的可執行文件在安裝目錄的bin子目錄下,配置文件在ctc子目錄下。
3.Squid軟件的配置。通過squid配置反向主要就是配置“squid.conf”這個配置文件,Squid2.6中和反向配置相關的主要包含以下三項(詳細配置可參考squid-):
(1)http_port配置反向服務器的IP地址(和外網相連地址)和監聽端口http_port202.115.144.30:80vhostvport。
(2)cache_peer配置內部的WEB服務資源,該資源可以是真實WEB服務器的IP地址,也可以是的域名(內部可見的域名),一般都采用IP地址,需要反向幾個WEB服務器就要有幾個對應。的配置cache_peer192.168.1.254parent800no-queryoriginserver
(3)cache_peer_domain指定對外部的資源(外網可見的域名)與真實資源的對應關系,同樣,需要反向幾個WEB服務器就要有幾個對應的配置。
4.DNS系統的配置。在DNS服務器中將所有需要的真實WEB服務器的域名對應于反向服務器的IP地址INA202.115.144.30,經過這樣對Squid配置和DNS的修改后,對的訪問都會由反向服務器202.115.144.30定向到192.168.1.254這臺真實的WEB服務器。
四、反向服務器的安全
Squid本身不具有認證程序,但是可以通過外部認證程序來實現用戶認證,最常用的是采用NCSA認證,因為NCSA認證是Squid源代碼包自帶的一個外部認證程序。操作方法如下:
1.cd/tmp/squid-2.6.STABLE13/auth-modules/NCSA。
2.make;makeinstall。
3.編譯成功后,會生成ncsa-auth的可執行文件,拷貝生成的執行文件ncsa-auth到/usr/local/squid/bin目錄cpncsa_auth/usr/local/squid/bin。
4.修改squid.conf中的相關選項如下所示:
Authenticate_program/usr/local/squid/bin/ncsa_auth/usr/local/squid/etc/passwd。
5.定義相關的用戶類aclauth_userproxy_authREQUIRED。
注意,REQUIRED關鍵字指明了接收所有合法用戶的訪問。
6.設置http_access。
http_accessallowauth_user。
7.利用apache攜帶的工具軟件htpasswd在/usr/local/squid/etc下生成密碼文件并添加相應的用戶信息,該密碼文件每行包含一個用戶的用戶信息,即用戶名和密碼;htpasswd-c/usr/local/squid/etc/passwdtesttest。這樣就在密碼文件passwd中添加用戶和密碼都是test的用戶。然后重新啟動Squid,密碼認證就生效了,訪問服務器就需要輸入賬號和密碼。
五、結束語
反向方式不單是一種WEB服務器加速器,而且使也一種對外提供WEB時使用的有效的防火墻技術,使用它不但能節約緊缺的IP地址資源,加速WEB服務器的訪問速度,而且能夠保護WEB服務器,因此能夠適應多種應用場合,特別是應用在電子商務這種對安全要求特別高的場合。
參考文獻:
篇6
1.1系統中的安全隱患
當前的電子商務的系統中的安全隱患有三個層面,包括引用系統安全隱患、網絡系統安全隱患和操作系統安全隱患。針對這三個層面,就要求我們密切保護網絡的安全,使用者自身也要保護自己的個人信息,如不在公共網絡保存自己的賬號密碼,當然還應該定期檢查信息的儲存空間以及整理各個系統的資源。
1.2信息被竊取和篡改
在電子商務交易的進行中,如果密碼過于簡單或者使用者在公共網絡中保存了賬戶密碼,就致使黑客或者其他的入侵者更輕而易舉地截取重要的信息,進而通過分析這些信息,獲取規律,導致全部內容的竊取。更有甚者,入侵者會對使用者的傳輸內容進行篡改,或者對信息內容進行惡意的破壞,就會給用戶造成更大的損失。因此,應對這種現狀,應該改善加密技術,同時使用者應進行復雜的加密。
1.3計算機病毒
由于電子商務廣泛普及,使得數據以及信息交易的內容都是通過網絡來進行傳播的。雖然使交易更為方便快捷,但同時,也提供給了計算機病毒一種更為迅速的傳播方式。一旦出現計算機病毒,就會導致計算機的各個資源被篡改,計算機的功能被破壞使得無法正常運行工作,甚至還會傳染給其他的計算機。
1.4認證安全存在漏洞
我們正處在一個便攜性的信息化時代,電子商務規模逐漸擴大,但是網絡交易的認證安全上存在著很多漏洞。當前還存在一些電子商務交易中仍未解決的問題,譬如,網絡用戶IP地址的頻繁盜用,使得IP地址存在很大的沖突,進而導致網絡的很多賬號被盜取。
1.5電子郵件的偽造
偽造者在交易用戶進行合法交易的過程中,會偽造大量的電子郵件,使得網絡擁堵,導致商家的資源嚴重短缺,致使合法用戶無法進行訪問行為,這就使得響應的時間增長,交易過程變得混亂。
1.6否認交易行為
電子商務中,交易者否定自己發送給對方的交易信息內容,又或者不承認接收到原本接收到的內容。交易雙方中有一方單方面的撕毀了協議。
1.7管理層面存在漏洞
電子商務的非面對面交易的存在形式,必不可免地使得電子商務的管理存在局限性。不明確的管理制度和不到位的管理措施,以及眾多的單位和用戶疏于管理電子商務的交易,給網絡黑客以及計算機病毒的攻擊提供了便利。基于此,就需要電子商務的交易雙方設置更為健全的軟硬件和網絡操作系統,同時應當提高安全防范意識,及時清理電腦的垃圾信息,預防病毒的侵入。
2計算機安全技術在電子商務中的應用
電子商務迅猛發展,同時它的發展空間和發展前景也是不容忽視的。為了確保電子商務的長足發展,就需要重視電子商務中存在的安全隱患問題,只有更好地解決這些安全隱患,才能降低對計算機造成的風險和影響。綜合運用多種計算機安全技術能夠更大程度地確保電子商務交易的安全進行。
2.1身份識別技術
身份識別技術能保護合法的用戶擁有應用網絡資源的權利,方便統一管理用戶,避免了入侵者的攻擊和破壞。當然身份識別是針對參與交易雙方進行的,只有這樣,才能保證電子商務交易的有序進行,保護了雙方的合法權益。
2.2數據加密技術
對電子商務交易中涉及的重要信息和數據進行加密,常用的加密方法包括公開密鑰加密和專用密鑰加密。這種技術能夠維持電子商務交易的順利進行,同時,還能避免入侵者對重要信息的攻擊和破壞。提高了信息和數據的安全性和可靠性。
2.3數據加密技術
眾所周知,在電子商務中由于非面對面交易,不可避免地會出現許多不確定的因素。數據加密技術能夠有效預防和打擊多種不確定因素的入侵。在交易過程的最初階段即信息初步的互換過程就能使用數據加密技術。具體的實施流程是,在電子商務交易的過程之中,交易生成的那一方會有兩個密鑰,其中一個作為公共密鑰,交易的另一方通過該密鑰將重要數據和信息進行加密后,確保發送的數據的安全性和準備性,最后才進行最終的電子商務交易。
2.4訪問控制技術該技術
篇7
1盜取信息
保存著互聯網上的信息在傳輸過程中,通常情況下都需要進行加密處理,一旦發生加密措施不到位或者缺少保護措施,那么就給了入侵者可乘之機,他們可以掌握信息的傳輸格式和規律等,將截取的信息進行分析對比,這樣就能夠得到消費者的個人身份信息甚至個人銀行卡密碼等重要私密信息。或者經過非法手段盜取企業的商業機密,將信息外泄,給個人和企業的安全帶來了極大的威脅和困擾。
2篡改信息
我們在進行電子商務交易之前首先需要在網上進行個人基本信息注冊,某些甚至需要實名制,填寫身份證號和銀行卡號等重要信息,方可完成注冊。這樣一來,一旦相關網絡企業的系統被不法分子攻擊,就很有可能導致個人信息泄露。而入侵者借機利用技術手段對信息進行肆意篡改,或者增添內容或者刪除內容,或修改內容,最后再將所有信息打包整理發送到指定接收地點。這種做法既嚴重阻礙了電子商務交易的正常操作,又破壞了信息的完整性和真實性。
3假冒信息
由于不法分子入侵網絡得逞之后,掌握了全部消費者信息,這時可以在按自己意愿篡改信息后假冒合法的客戶對信息進行接收和發送。而計算機網絡本身具有的虛擬特性使得交易雙方很難識別信息的真偽,侵害了消費者的合法權益。慣用的手法是偽造客戶的收貨單據或訂貨憑證,隨意更改交易流程的允許訪問權限設置等。
二計算機安全技術在電子商務中的應用
1防火墻技術
防火墻技術好比保護電子商務交易安全進行的一道隔離墻,有效防止外部違法入侵,同時對計算機病毒進行全程時時隔離,將本機與復雜、危險的外部網絡進行隔離控制。主要包括包過濾技術防火墻、服務防火墻和地址遷移防火墻。
2數據加密技術
防火墻技術本身也有一些不可避免的缺陷:對于一些靠數據驅動的入侵無法進行攔截;對一些不易被察覺的攜帶病毒的文件沒有抵抗力,一旦進行下載就會使病毒迅速擴撒,導致計算機中毒;對一些繞過防火墻攔截的軟件,對電腦主機實行攻擊,找計算機漏洞進行病毒攻擊。而這時就需要數據加密技術來彌補防火墻技術的缺憾,運用對稱加密和分對稱加密,在信息交換環節通過公開密鑰體系進行完整的加密,保證電子商務交易與信息傳送的安全、暢通。
3身份識別技術
用戶需要在首次注冊時填寫個人身份證信息,網絡管理員對個人信息進行綜合審核后,合格者允許通行,放開其對網絡資源的使用權限。在電子商務中身份鑒別是必不可少的環節,通過此技術可以準確的識別對方身份的真實性,可以保證交易的安全。隨著技術的發展,身份識別技術的種類也在不斷擴大,包括智能卡鑒別技術、口令身份識別技術。盡管如此,但是這種技術仍然處在發展階段,需要不斷改進,但是研究成本較高,花費時間較長,受到各方面因素的限制,需要我們共同努力進行技術研發。
三結束語
篇8
[關鍵詞]電子商務計算機安全技術
隨著電子商務不斷的擴大影響,勢必將成為一種新型的交易模式走入人們日常生活,計算機技術與其是密不可分,相輔相成的。電子商務的發展將帶動計算機技術應用的更加廣泛,計算機技術的進步將推動電子商務的蓬勃發展。而其在發展的過程中安全問題也變得越來越突出,可以說,沒有安全就沒有電子商務。
一、電子商務網絡的安全隱患
1.竊取信息。(1)交易雙方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。
2.篡改信息。電子的交易信息在網絡傳輸的過程中,可能被他人非法的修改、刪除這樣就使信息失去了真實性和完整性。
3.假冒。第三方可以冒充合法用戶發送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。
4.惡意破壞。由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,破壞網絡的硬件或軟件而導致交易信息傳遞丟失與謬誤。計算機網絡本身容易遭到一些惡意程序的破壞,而使電子商務信息遭到破壞。
二、電子商務的安全要求
1.交易者身份的可認證性。在傳統的交易中,交易雙方往往是面對面進行活動的,這樣很容易確認對方的身份。即使開始不熟悉,不能確信對方,也可以通過對方的簽名、印章、證書等一系列有形的身份憑證來鑒別身份。然而,在進行網上交易時,情況就大不一樣了,因為網上交易的雙方可能素昧平生,相隔千里,并且在整個交易過程中都可能不見一面。要使交易成功,首先要能驗證對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店是不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
2.信息的機密性。由于電子商務是建立在一個開放的網絡環境上的,維護商業機密是電子商務全面推廣應用的重要保障。當交易雙方通過Internet交換信息時,如果不采取適當的保密措施,就可能將通信內容泄密;另外,在網絡上的文件信息如果不加密的話,也有可能被黑客竊取。上述種種情況都有可能造成敏感商業信息的泄漏,導致商業上的巨大損失。因此,電子商務一個重要的安全需求就是信息的保密性。這意味著,一定要對敏感信息進行加密,即使別人截獲或竊取了數據,也無法識別信息的真實內容,以使商業機密信息難以被泄漏。
3.信息的真實完整性。信息輸入時的意外差錯或欺詐行為、傳輸過程中信息的丟失、重復或傳送次序差異都會導致貿易各方信息的不同。交易的文件是不可被修改的,應該保證接受方收到的信息確實是發送方發送的,中途沒有被非法用戶篡改過。電子交易文件必須做到不可修改,以保障交易的嚴肅和公正。
三、電子商務交易中的一些網絡安全技術
針對以上問題現在廣泛采用了身份識別技術、數據加密技術、數字簽名技術和放火墻技術。
1.身份識別技術。通過電子網絡開展電子商務,身份識別問題是一個必須解決的問題。一方面,只有合法用戶才可以使用網絡資源,所以網絡資源管理要求識別用戶的身份;另一方面,傳統的交易方式,交易雙方可以面對面地談判交涉,很容易識別對方的身份。通過電子網絡交易方式,交易雙方不見面,并且通過普通的電子傳輸信息很難確認對方的身份。因此,電子商務中的身份識別問題顯得尤為突出。
2.數據加密技術。加密技術是電子商務中采取的主要安全措施,貿易方可根據需要在信息交換的階段使用。目前,加密技術分為兩類,即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密?,F在許多機構運用PKI(publickeyInfrastructur的縮寫,即“公開密鑰體系”)技術實施構建完整的加密/簽名體系,更有效地解決上述難題,在充分利用互聯網實現資源共享的前提下從真正意義上確保了網上交易與信息傳遞的安全。3.智能化防火墻技術。智能防火墻從技術特征上,是利用統計、記憶、概率和決策的智能方法來對數據進行識別,并達到訪問控制的目的。新的方法,消除了匹配檢查所需要的海量計算,高效發現網絡行為的特征值,直接進行訪問控制。智能防火墻成功地解決了普遍存在的拒絕服務攻擊(DDOS)的問題、病毒傳播問題和高級應用入侵問題,代表著防火墻的主流發展方向。新型智能防火墻自身的安全性較傳統的防火墻有很大的提高,在特權最小化、系統最小化、內核安全、系統加固、系統優化和網絡性能最大化方面,與傳統防火墻相比較有質的飛躍。
四、結束語
電子商務安全對計算機網絡安全與商務安全提出了雙重要求,其復雜程度比大多數計算機網絡都高。在電子商務的建設過程中涉及到許多安全技術問題,制定安全技術規則和實施安全技術手段不僅可以推動安全技術的發展,同時也促進安全的電子商務體系的形成。當然,任何一個安全技術都不會提供永遠和絕對的安全,因為網絡在變化,應用在變化,入侵和破壞的手段也在變化,只有技術的不斷進步才是真正的安全保障。
參考文獻:
篇9
關鍵詞:互聯網 電子商務 網絡安全 管理
1 引言
隨著互聯網的快速發展,人們的生活方式有了非常大的改變,對應的經濟社會也受到了巨大的影響。在商業貿易領域,因為網絡的快速發展,產生了電子商務這樣一種貿易方式。但是電子商務也是經歷了一番坎坷的,因為網絡的特殊性,在電子商務發展中產生了交易安全的問題,對電子商務的穩定發展帶來了一定的沖擊。Internet網是一個互連通的自由空間,一些人常常會因為某些目的攻擊電子商務網站,比如盜竊資金、商業打擊、惡作劇等,導致有些企業的電子商務網站貿易交流受損、服務暫停,甚至出現資金被盜的現象。據有關數據的統計,美國每年因為網絡安全問題在經濟上造成的損失就達到近百億美元,而國內的情況也不容樂觀。因此,當我們在享受互聯網給生活帶來的這些好處的時候,網絡的安全問題,早已變成電子商務的重大難題,給電子商務企業的發展帶來了極大的阻礙。所以,計算機網絡安全是電子商務發展過程中所面臨的重大挑戰和問題。電子商務企業必須從維護顧客利益和自身利益出發,做好安全防范和自身安全管理工作,才能得到持續快速的發展。
2 電子商務面對的網絡安全問題
當前,電子商務安全問題受到多方面的影響,不但有技術管理的問題,而且也有網絡缺陷的因素,具體地說,直接原因有以下幾點:
2.1 網絡“黑客”侵犯電子商務網站
網絡黑客是專門在網絡中利用本身掌握的技術非法強行進入他人網站后臺的人,這類人具有高超的網絡技術,能夠不受電子商務網站技術防護的限制。許多“黑客”篡改內容信息、破壞網站;盜取商戶或企業的賬戶資金,極大地影響了電子商務的正常進行。
2.2 電子商務軟件有漏洞
許多軟件研發單位研發的技術不成熟的電子商務軟件,存在許多安全漏洞,防護極易被外來入侵者利用漏洞攻破,導致電子商務企業受到很大的經濟損失;有的企業即使安裝了防護軟件,但由于軟件沒有得到及時升級,致使軟件喪失了應有防護功能。
2.3 電子商務網絡自身存在安全問題
網絡具有共享性、開放性等特點,它的設計原則是確保信息傳輸不會受到局部損壞的影響。所以,對網站安全帶來了極大的隱患。特別是對電子商務企業情況更加嚴峻。
2.4 網站管理的缺失
由于電子商務企業缺乏警惕性,不重視網絡安全的管理,通常只有在受到攻擊以后才會去加強網站安全;部分企業則以為只要安裝了入侵監測系統、殺毒軟件、防火墻等安全產品,就能保障網站的安全,所以沒有根據企業實際情況制定相應的管理制度,也沒有加強技術防范,給入侵者提供了機會。
3 應對的措施
電子商務安全問題是在網絡化、電子化技術發展的前提下出現的,所以很多傳統的解決辦法不能簡單地應用過來。電子商務企業想要取得效益,就要從企業的健康發展出發,改善企業的安全管理,提高技術投入。具體的防范措施有: 3.1 安全技術管理需要加強
需要重視電子商務網站的維護、升級等方面,做好每天的安全備份,加強網站服務器的管理。制定安全防范預案,只要發生安全事件,能夠得到盡快解決,從而減少損失。使用權威性較強的安全防護軟件,并能夠正常啟動、正常升級,發揮應有的防護功能。
3.2 在電子安全方面擴大管理和技術投入
企業需要加大安全方面的資金投入,購買技術防護設備,加大對技術改造與設備更新的投入。引進安全管理的相關技術,招聘相應的管理人才,并進行適當的待遇傾斜,確保安全管理團隊的穩定。
3.3 使用密碼管理技術
電子商務中最重要的防范環節是密碼管理,要使用先進的密碼管理手段,確保能發揮特定的功能,重點有交易信息安全、身份認證安全和賬戶安全等。
3.4 電子商務企業自身的管理需要得到強化
安全技術是電子商務企業的首要防范措施,但發揮其作用的關鍵還是嚴密的管理,只有建立完善的安全防范管理系統,才能保證企業的安全。所以電子商務企業,需要制定安全防護制度,保證明確職責;要有獎懲制度,責任事故的時候,能夠做到及時追究,提高技術管理人員的責任意識。
篇10
關鍵詞:中國移動電子商務;現狀;問題及對策;趨勢
移動電子商務是傳統互聯網電子商務在移動領域的延伸和發展,是指通過手機、PDA、筆記本電腦等移動通信設備與因特網結合進行信息查詢、商務交易及對信息、服務和商品的價值交換等電子商務活動的過程和行為。隨著移動通信技術、互聯網技術和信息處理技術的快速發展,人們已經不再滿足于傳統的商務活動,而是希望隨時隨地進行收發電郵、移動支付、定購各種商品等商務活動,所以移動電子商務成為人們關注和研究的熱點。與傳統通過臺式電腦平臺開展的電子商務相比,移動電子商務擁有更為廣泛的用戶基礎,因此,也具有更為廣闊的應用前景,特別是在當前3G背景下,移動電子商務正逐漸憑借技術和應用上的優越性,顯示出強大的生命力。
一、中國移動電子商務現狀
迄今為止,我國移動電子商務技術的發展經歷了三個階段。第一個階段是以短訊為基礎的技術;第二個階段的移動電子商務采用基于WAP技術的方式;第三個階段是以2009年發放牌照為標志、能夠實現無縫漫游和移動寬帶的3G時代。3G背景下,無線通信產品能夠為人們提供速度高達2Mb/s的寬帶多媒體業務,支持高質量的語音分組交換數據多媒體業務和多用戶速率通信。
(一)移動客戶群龐大
根據工業和信息化部的數據顯示,2009年中國手機終端的數量已經達到7.74億,接近上網用戶數量的3倍,而來自CNNIC的數據顯示,2009年底中國手機網民的數量已突破2.33億,手機網民規模呈現迅速增長的勢頭。這表明我國移動電子商務業務的發展具有巨大的潛力。艾瑞咨詢預計,2011年移動電子商務營收規模將達到1.7億元。
(二)國家政策支持
包括移動電子商務在內的電子商務被列入了2006年3月頒布的《國民經濟和社會發展信息化“十一五”規劃》。2007年6月,發改委與原國務院信息辦又專門出臺了《電子商務發展“十一五”規劃》,其中移動電子商務試點工程作為六大重點引導工程之一。規劃中明確指出“鼓勵基礎電信運營商、電信增值業務服務商、內容服務提供商和金融服務機構相互協作,建設移動電子商務服務平臺”、“發展小額支付服務、便民服務和商務信息服務,探索面向不同層次消費者的新型服務模式”,并確定了轉變經濟發展方式、方便百姓生活和帶動戰略產業發展的三大目標,三大目標正在逐步實現,初步顯現了移動電子商務巨大的效益和潛力。
(三)無線基礎設施建設迅速
近年來,政府加大了對電信基礎建設的投資力度,中國移動、中國電信和中國聯通三大電信運營商在2009年8月前完成了其3G網絡的第一階段部署工作?;贑DMA的3G服務,即中國電信的CDMA2000和中國聯通的WCDMA,發展迅速。相比之下,中國移動的TD-SCDMA3G技術的商業化進程比預期緩慢。在網絡部署方面,中國電信在3G領域方面動作最快,預計它將發動價格戰以吸引更多的用戶。3G網絡的鋪設,加速了我國移動電子商務的發展。
二、目前中國移動電子商務所面臨的問題及對策
(一)理論研究欠缺
綜觀近年來研究移動電子商務的學術論文,雖然論文的數量呈現增長趨勢,但是研究內容大都是“移動安全”和“無線移動通信系統”方面的論文,而且研究方法僅僅停留在非實證研究的層次上,研究深度不夠,顯示出移動電子商務新應用研究創新的不足。應根據我國移動電子商務的發展,采取實證的方法,加強對移動電子商務行為、模式、安全和跨文化等方面的研究。