《浅谈电子商务的安全性》由会员分享,可在线阅读,更多相关《浅谈电子商务的安全性(5页珍藏版)》请在金锄头文库上搜索。
1、 浅谈电子商务的安全性摘要: 本文开始介绍了电子商务的发展趋势,并由此引出电子商务中存在的安全性问题,接着对电子商务的信息安全问题进行探讨,分析了信息安全的基本原理并对信息安全技术初步研究。 关键词:电子商务 信息安全 安全技术 一、 引言随着社会信息化步伐的加快,利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化,已成为全球商务发展的趋势。电子商务以英特网为基础,可以提供跨国、多种语言、多种货币的在线服务(包括银行、保险、旅游、购物),还可以提供包括产品寻求、讨价还价、作出决定、支付、送货及解决纠纷等全面的商业交易服务。特别是信息产品还可以直接在线递送,从而大大降低了交
2、易费用。成本低、及时性和互通性好,以及在拓展市场等方面的优势,使得电子商务受到全球的广泛关注。据统计,1997年美国企业间通过电子商务的交易额已达80亿美元,估计到2000年在英特网上,公司对公司的交易额将增长到1340亿美元,消费者购物将增长到100亿美元,到2001年电子商务的交易额将达到3270亿美元,其增长速度惊人地高达4000%。在我国,电子商务的发展速度也较快,深圳CHINAEDI是统一规划和建设的庞大的公用电子商务系统,在北京、上海、天津、广州、深圳、青岛、沈阳、南京、杭州、西安、武汉、海口、郑州13个城市也都建了CHINAEDI的节点,系统服务覆盖全国各地,并且与国际EDI网络
3、相连接。网上银行也正在开通之中。电子商务不仅提供了进行商务活动的新方式,而且从更深的层面来看,由于通过它形成了与地域、空间无关的一体化市场,因而正在改变着全球的经济环境。但是,当今电子商务在全球贸易额中仍是极小的一部分。比如,1997年美国的整个贸易交易额为25200亿美元,所以80亿美元的电子商务显得微不足道,即使是2001年的电子商务估计贸易额3270亿美元也不到1997年美国两个月的贸易交易额。这是什么原因呢?也许人们会将这一事实归因于全球网络化水平较低,但这只是部分原因。从网络化水平相当高的美国来看,事实上仍有大多数网络化水平很高的公司并未使用电子商务这种新的商业方式。人们不禁要问,是
4、什么因素阻碍了电子商务更广泛的普及呢?为此,不少调查机构进行了广泛的调查。众多的调查都发现,一个主要的障碍就是电子商务的安全问题。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。的确,由于英特网的全球性、开放性、无缝连通性、共享性、动态性发展,使得任何人都可以自由地接入英特网,特别是“黑客”们可能会采用各种攻击手段进行破坏等犯罪活动。此外,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。另外,“黑客”的犯罪行为大都具有瞬时性、广域性、专业性、时空分离性等特点。通常“黑客”很难留下犯罪证据,这大大刺激了“黑
5、客”们以身试法。可见,以英特网为基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。因此,我国在建立电子商务应用系统时,必须将安全作为一个重要方面来加以考虑。二、 电子商务概况目前尚未有一个关于电子商务的准确定义。广义地讲,电子商务是指在计算机与通信网络基础上,利用电子工具实现商业交换和商业作业活动的全过程。一般情况下,电子商务主要是指将购物和商业谈判等传统商务活动的网络化。直观地看,电子商务就是将传统商务移植到信息网络上。与传统商务相似,电子商务为销售者和消费者建立交易关系,使他们能商谈和进行交易。电子商务应对所有用户都是开放的,且至少应像传统商务那样方便、可靠和安全。早在80年代
6、后期和90年代初期,电子商务就以建立在专用网络基础上的EDI形式出现,当时主要解决企业间的商务活动。90年代中期,基于英特网的电子商务成为主流。它利用TCP/IP公众网络和技术进行在线交易和商业作业,涉及的对象包括:金融机构、商家、生产企业,网络服务提供商家、个人用户、政府部门和事业单位等。电子商务业务可以分为两大类:非支付型业务和支付型业务。前者包括税务申报、电子选举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。消费者企业FY(NFY)政府消费者FY(NFY)政府。 二、电子商务的安全需求从安全和信任关
7、系来看,在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,彼此远隔千山万水,由于英特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。1对销售者而言,他面临的安全威胁主要有:(1)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地方)、解除用户订单或生成虚假订单。(2)竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况及货物和库存情况。(3)客户资料被竞争者获悉。(4)被他人假冒而损害公司
8、的信誉:不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。(5)消费者提交订单后不付款。6)虚假订单。(7)获取他人的机密数据:比如,某人想要了解另一人在销售商处的信誉时,他以另一人的名字向销售商订购昂贵的商品,然后观察销售商的行动。假如销售商认可该定单,则说明被观察的信誉高,否则,则说明被观察者的信誉不高。2对消费者而言,他面临的安全威胁主要有:(1)虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而此时客户却被要求付款或返还商品。(2)付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,因而使客户不能收到商品。(3)
9、机密性丧失:客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃听(4)拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源,从而使合法用户不能得到正常的服务。由此可见,“黑客”们攻击电子商务系统的手段可以大致有以下几种:一是中断(攻击 破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作。 二是窃听(攻击系统的机密性):通过搭线和电磁泄漏等手段造成泄密,或对业务流量进行分析,获取有用情报。三是窜改(攻击系统的完整性):窜改系统中数据内容,修正消息次序、时间(延时和重放)。四是伪造(攻击系统的真实性):将伪
10、造的假消息注入系统、假冒合法人接入系统、重放截获的合法消息实现非法目的,否认消息的接收或发送等。综合而言,电子商务系统的安全性要求可归纳为: 1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威
11、胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。 三、电子商务安全体系结构由于英特网在物理上覆盖全球、在信息内容上无所不包、其用户群结构复杂,因此几乎不可能对其进行集中统一管理、控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、保证通信的可靠性和敏感信息的安全、提供源和目标的认证、实施法律意义上的公证和仲裁等。面对如此严峻的现实,必须花大力气对安全问题进行认真研究,除了加强制度、法规等管理措施外,还要强化信息系统的安全能力。当前
12、的主流思路是从内联网出发来考虑以英特网为基础的电子商务安全问题。内联网将英特网技术用于单位、部门和企业专用网,它在原有专用网的基础上增加了服务器和服务器软件,Web内容制作工具和浏览器,并与英特网联通。内联网为公司和单位信息的传播和利用提供了极为便利的条件。内联网中存有大量的内部敏感信息,具有极高的商业、政治和军事价值。内联网是一种半封闭的集中式可控网。既要保证内联网不被非法入侵和破坏,网中的敏感信息不被非法窃取和窜改,同时还要保证网内用户和网外用户之间正常联通,并提供应有的服务。要保证英特网基础上建立的电子商务安全性,最根本的是要发展各商家、各部门的内联网并保证它们的安全性。 由于电子商务系
13、统把服务商、客户和银行三方通过英特网连接起来,并实现具体的业务操作,因此电子商务安全系统可由三个安全代理服务器及CA认证系统构成,它们遵循相同的协议,协调工作,来实现整个电子商务交易数据的完整性、保密性、不可否认性等安全功能。银行方主要包括银行端安全代理、数据库管理系统、审计信息管理系统业务系统等几部分组成。它与服务商或客户进行通信,实现对服务商或者客户的身份认证机制,认证客户和服务商的身份及账号的合法性,保证业务的安全进行。服务商方主要包括服务商端安全代理、数据库管理系统、审计信息管理系统、Web服务器系统等几部分组成。在进行电子商务活动时,服务商的服务器与客户和银行进行双方通信。在客户方,
14、电子商务的用户通过自己的计算机与英特网相连,在客户计算机中,除了WWW浏览器软件外,还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责对客户敏感信息(如交易信息等)进行加密、解密和数字签名,以密文的形式与服务商或银行进行通信,并通过CA和服务器端安全代理或银行端安全代理一起实现用户身份认证机。CA认证系统是为用户签发证书的机构。CA服务器由5个部分组成:用户注册机构、证书管理机构、存放有效证书和作废证书的数据库、密钥恢复中心及CA自身密钥和证书管理中心。电子商务系统的安全体系结构主要包括:1.支持服务层。包括密码服务、通信、归档、用户接口和访问控制等模块,它提供了实现安全服务
15、的安全通信服务。2.传输层。传输层发送、接收、组织商业活动所需的封装数据条,实现客户和服务器之间根据规定的安全角色来传递信息。数据条的基本类型为:签名文本、证书、收据、已签名的陈述、信息、数字化的商品、访问某种服务所需的信息、获得物理商品所需的信息、电子钱。传输层包括付款模块、文档服务模块和证书服务模块。3.交换层。交换层提供封装数据的公平交换服务。所谓公平是指,A和B同意进行交换,则A收到B的封装数据条的充要条件是B收到A的封装数据条。4.商务层。商务层提供了商业方案,如“邮购零售”、“在线销售信息等。四、电子商务中使用的核心安全技术1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对
16、数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。 防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)代理服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。代理服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务代理防火墙功能。(4)复合型技术:把过滤和代理服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供代理服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使
