《电子商务82362》由会员分享,可在线阅读,更多相关《电子商务82362(5页珍藏版)》请在金锄头文库上搜索。
1、个人收集整理 仅供参考学习电子商务安全问题及解决方案探讨 电子商务安全问题及解决方案探讨摘要:随着互联网技术的发展,网络安全成了新的安全研究热点。电子商务是互联网应用发展的必然趋势,也是国际金融贸易中越来越重要的经营模式。安全是保证电子商务健康有序发展的关键因素。目前安全问题己成为电子商务的核心问题。电子商务安全主要涉及四个方面:信息的安全,信用的安全,安全的管理,安全的法律保障等。本文着重分析了电子商务活动中存在的网络信息安全问题,提出保障电子商务信息安全的技术对策、管理策略和构建网络安全体系结构等措施,促进我国电子商务快速、持续、健康的发展。 关健词:电子商务;安全问题;安全策略一、引言
2、随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机,也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,安全性问题成为首要问题。 二、电子商务中存在的两大类安全问题 网络安全问题:现在随着互联网技术的发展,网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的信息的安全性。网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁,概括来说网络安全
3、的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等 商务安全问题:商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。网上交易日益成为新的商务模式,基于网络资源的电子商务交易已为大众接受,人们在享受网上交易带来的便捷的同时,交易的安全性备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。所以在电子商务交易过程中,保证交易数据的安全是电子商务系统的关键。 目前电子商务中存在的主要安全问题: (1)对合法用户的身份冒充。攻击
4、者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。 (2)对信息的窃取。攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。 (3)对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。 (4)拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。 (5)对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认,以推卸
5、自己应承担的责任。 (6)信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。 (7)电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。三、电子商务安全性要求 1.服务的有效性要求:电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等
6、情况,保证交易数据能准确快速的传送。 2.交易信息的保密性要求:电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。 3.数据完整性要求:数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。 4.身份认证的要求:电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。四、电子商务安全体系结构 由于英特网在物理上覆盖全球、在信息内容上无所不包、其用户群结构复杂,因此几乎不可 能 对其进行集中统一管理、
7、控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、保证通信的可靠性和敏感信息的安全、提供源和目标的认证、实施法律意义上的公证和仲裁等。面对如此严峻的现实,必须花大力气对安全问题进行认真研究,除了加强制度、法规等管理措施外,还要强化信息系统的安全能力。 当前的主流思路是从内联网出发来考虑以英特网为基础的电子商务安全问题。内联网将英特网技术用于单位、部门和企业专用网,它在原有专用网的基础上增加了服务器和服务器软件 ,Web内容制作工具和浏览器,并与英特网联通。内联网为公司和单位信息的传播和利用提 供了极为便利的条件。内联网中存有大量的内部敏感信息,具有极高的商业、政治和军事价值。内联网是一
8、种半封闭的集中式可控网。既要保证内联网不被非法入侵和破坏,网中的敏感信息不被非法窃取和窜改,同时还要保证网内用户和网外用户之间正常联通,并提供应有的服务。要保证英特网基础上建立的电子商务安全性,最根本的是要发展各商家、各部门的内联网并保证它们的安全性。 由于电子商务系统把服务商、客户和银行三方通过英特网连接起来,并实现具体的业务操作 ,因此电子商务安全系统可由三个安全代理服务器及CA认证系统构成,它们遵循相同的协议 ,协调工作,来实现整个电子商务交易数据的完整性、保密性、不可否认性等安全功能。银行方主要包括银行端安全代理、数据库管理系统、审计信息管理系统业务系统等几部分组成。它与服务商或客户进
9、行通信,实现对服务商或者客户的身份认证机制,认证客户和服务商的身份及账号的合法性,保证业务的安全进行。 服务商方主要包括服务商端安全代理、数据库管理系统、审计信息管理系统、Web服务器系统等几部分组成。在进行电子商务活动时,服务商的服务器与客户和银行进行双方通信。在客户方,电子商务的用户通过自己的计算机与英特网相连,在客户计算机中,除了WWW浏览器软件外,还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责对客户敏感信息(如交易信息等)进行加密、解密和数字签名,以密文的形式与服务商或银行进行通信,并通过CA和服务器端安全代理或银行端安全代理一起实现用户身份认证机。CA认证系统是
10、为用户签发证书的机构。CA服务器由5个部分组成:用户注册机构、证书管理机构、存放有效证书和作废证书的数据库、密钥恢复中心及CA自身密钥和证书管理中心。 电子商务系统的安全体系结构主要包括: H1.支持服务层。包括密码服务、通信、归档、用户接口和访问控制等模块,它 提供了实现安全服务的安全通信服务。 H2.传输层。传输层发送、接收、组织商业活动所需的封装数据条,实现客户和服务器之间根据规定的安 全角色来传递信息。数据条的基本类型为:签名文本、证书、收据、已签名的陈述、信息、 数字化的商品、访问某种服务所需的信息、获得物理商品所需的信息、电子钱。传输层包括 付款模块、文档服务模块和证书服务模块。
11、H3.交换层。交换层提供封装数据的公平交换服务。所谓公平是指,A和B同意进行交换,则A收到B的封装 数据条的充要条件是B收到A的封装数据条。 H4.商务层。商务层提供了商业方案,如“邮购零售”、“在线销售信息”等。五、电子商务安全的技术保障机制 电子商务安全包括网络安全和交易安全。因此,电子商务安全技术主要有计算机网络安全技术和商务交易安全技术两方面的保障机制。 1.计算机网络安全技术 网络安全技术伴随着网络的诞生就出现,如今已出现了日新月异的变化。VPN安全隧道、防火墙和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。目前,主要的网络安全保障技术有:
12、(1)VPN安全隧道,VPN即虚拟专用网(Virtual Private Network),是一条穿过混乱的公用网络的安全、稳定的隧道。 VPN架构中采用了多种安全机制,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。(2)防火墙技术,防火墙是企业内部网络和外网之间的一套安全屏障。防火墙能根据企业的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 (3)病毒防护和入侵检测技术, 病毒防护技术可降低病毒和恶意代码攻击风险,并防止有害软件通过服务器或网络执行和传播。入侵检测系统则能
13、够帮助网络系统快速发现攻击的发生,扩展系统管理员的安全管理能力,从而提高信息安全基础结构的完整性。商务交易安全技术 商务交易安全是为了实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。它是电子商务交易过程中最核心和最关键的安全问题。目前,主要的商务交易安全保障技术有: (1)数据加密技术, 加密一般是利用密码算法把可懂的信息变成不可懂的信息。利用各种复杂的加密算法,通过对网络中传输的信息进行数据加密,用很小的代价即可为信息提供相当大的安全保护。 (2)数字签名技术,数字签名是通过密码算法对数据进行加、解密变换实现的。应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和H
14、ash签名。这三种算法可单独使用,也可综合在一起使用。在电子商务安全服务中的源鉴别、完整服务、不可否认服务中,都要用到数字签名技术。 (3)安全协议技术,使用SET和SSI等安全协议能有效地保障交易安全。SET即安全电子交易(Secure Electronic Transaction)的简称,SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,已成为目前公认的信用卡/借记卡的网上交易的国际安全标准。SSL即安全套接层(Secure Sockets Layer)协议的简称,主要用于提高应用程序之间数据的安全系数。六、结束语 电子商务是国民经济和社会信
15、息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因素。电子商务的安全威胁既有来自恶意攻击、防范疏漏,还可能来自管理松散、操作疏忽等方面。因此,保障电子商务安全是一项综合工程。除了主要从技术上提高防范和保障机制外,还需要单位完善网络系统管理体制,人员加强信息安全意识。另外,电子商务实践要求有透明、和谐的交易秩序和环境保障,为此还需要政府建立和完善相应的法律体系。以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进电子商务又好又快地发展。参考文献: 1王云峰:信息安全技术及策略 J.广东广播电视大学学报,2006,(1):101-104 2刘明珍:电子商务中的信息安全技术J湖南人文科技学院学报,2006,(6):89-93 3肖质红:电子商务的安全问题和系统建设J集团经济研究,2006年9下旬刊(总第207期):250 4范德明:电子商务信息安全技术研究J商场现代化,2007年2月(上旬刊)总第 493 期:9596
