《电商网站网络安全存在的安全及面临的挑战》由会员分享,可在线阅读,更多相关《电商网站网络安全存在的安全及面临的挑战(9页珍藏版)》请在金锄头文库上搜索。
1、电商网站网络安全存在的安全及面临的挑战近年来,伴随电子商务竞争愈加激烈,无论实体店抑或虚拟店都积极争抢电子商务市场份额。而正是在这种竞争激烈的大环境下,苏宁的电子商务平台苏宁易购却脱颖而出,凭借多年家电实体店的信誉及人气积累,加之丰富的产品资源,苏宁易购还未正式上线似乎就信心满满。然而,当还有人在质疑苏宁如何解决线上线下冲突时,如今的苏宁易购已跻身行业前列。据了解,苏宁易购自2009年8月18日开始试运营以来,业绩骄人:2011年上半年,销售额达25.69亿,排名行业前三;销售品类已由家电拓展至百货、快消品、虚拟产品等领域。电子商务行业也“危机四伏”纵观中国互联网领域,网络购物越来越多的被网民
2、所接受,网购交易规模也迅速增长。中国电子商务研究中心数据预测,2011年我国网络零售市场交易规模将达到7600多亿元,潜力巨大。然而,高增长的背后,也蕴藏着潜在的危机。资本市场的过度热捧,既加速了电子商务的发展,也埋下了浮躁、零售本质缺失的种子。有部分业内人士担心,靠资本支撑的中国电子商务企业,能不能熬过这一关。甚至有人提出了“电子商务冬天”的说法,行业洗牌或将提前到来。如何建立健康的运营模式、回归电子商务零售的本质,是整个行业迫切需要解决的问题,更是对正在运营电子商务业务公司的严峻考验。共享实体连锁优势传统家电连锁企业进军网络的法宝之一就是丰富的实体连锁优势。苏宁易购作为传统零售商发力电子商
3、务领域的代表之一,在逐渐摸索中,逐渐形成了自我特色。“苏宁易购的采购优势并不局限于大家电、3C产品,苏宁易购常务副总经理李斌说道,除了传统家电类产品外,还重点扩展小家电、OA办公、百货、图书等商品,未来的发展空间更大。正因为有着超级丰富的采购规模和雄厚的资金流支持,苏宁易购能够以更低的采购价格得到更多的优质产品,带给消费者丰富的选择。另外,服务与配送是当下电子商务竞争的核心所在。有着丰富物流资源与完善服务体系的苏宁易购共享苏宁实体连锁的全国物流系统,1500家门店也作为苏宁易购的提货点,自从今年5月30日在北京推出“安心购”计划以来,苏宁易购在配送服务、响应时间等诸多细节都有质的突破,为虚拟店
4、用户提供安全无忧的后续服务与保障。独具一格的运营模式基于苏宁20多年的零售经验,苏宁易购能迅速根据网购用户的消费习惯,开展合适的市场推广活动,找到最精准的人群。自今年2月份独立运营后,苏宁易购采取0元抽汽车、抽旅游、抽房款活动等0门槛、大曝光的营销方式,取得良好反响,迅速提升了用户数量。据苏宁易购相关人士介绍,三大活动期间,注册用户参与度日最高达到300多万。“苏宁易购的模式可以说在当前的行业里绝无仅有的,无论是从品牌影响力,还是其运营方式,都是独具一格的。”一位业内人士如此评价苏宁易购的运营模式,当然,他还补充说道,“是否是最合适的模式目前尚且是个未知数,但根据目前苏宁易购所取得的业绩来看,
5、其独特的运营模式算是家电连锁领航电子商务领域的成功模板之一。二、那么让我们来看看目前电子商务所面临的安全风险,我们来分析一下1、引言 Intemet的迅速发展使电子商务应运而生,对电子商务可以有狭义和广义两种理解:作为在线销售的电子商务;作为现有业务扩展的电子商务。电子商务具有许多优势,譬如高效率、低成本;同时,电子商务也会提供各种各样的机会,因为中小型公司和太公司站在相同的起跑线上但迄今为止,真正开始实施电子商务的企业还不多,绝大多数企业还在持观望态度,电子商务通远远谈不上普及。这其中的原因主要有以下三个点:(1)人的因素;(2)立法问题;(3)安全问题。其中信息安全问题可以说是电子商务活动
6、的最大障碍,电子商务信息安全是制约电子商务建设与发展的首要问题和核心问题。 二、电子商务对信息安全的需求和风险分析 信息安全的目的是:保护一个系统不会受到未经授权的访问,使系统的正常工作不会被非法干预,同所有计算机系统一样,电子商务系统安全必须具有保密性、完整性及可用性三个特征。 1.保密性(Confidentiality) 保密性是指计算机系统的资源应该仅能由授权团体读取。对电子商务系统来说,它意味着系统所提供的服务应满足:(1)私有交易不会被其他人截获及读取; (2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样一个事实本身来达到别的目的。 2.完整性(In
7、tegrity) 完整性指资源只能由授权实体修改。电子商务系统的完整性要求它提供的服务应满足:(1)消息完整性,指通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息;(2)身份认证(Authendcation),通信的双方应能确定对方的身份,知道对方确实是他所自称的那一位。在这里,确定的意思并不完全意味着确实知道对方的身份,因有时由于交易匿名性的需要,不能确知对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。端否认性(Non-repudiation):一旦事务结束,有关各方都不能否认自己参与过这次事务。 3.可用性(Availability
8、) 可用性指一旦用户得到访问某一资源的极限,该资源就应该能够随时为他使用,而不应该将其保护起来使用户的合法权益受到损害。在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次登录就可以访问任何其他有权访问的资源,避免对访问不同的服务使用不同的登录过程。 4.风险分析 针对电子商务系统进行的攻击实际上就是试图破坏上述三大信息安全特征,进一步细分。电子商务的风险有以下4类: (1)中断(干扰),包括拒绝服务(Denial of Services)、删除数据。 (2)修改,如修改传输信息、修改可执行代码等。 (3)伪造,如冒充颐客或服务器进行交易、特洛伊木马等。 (4)截取,如设置网络窃听器、监
9、视网上数据流、从数据包中获取敏感信息等。 三、电子商务信息安全的防范策略 1.通用技术 用于保证信息安全的技术通常有:加密、数字签名、身份认证、访问控制、审计以及相关方面的管理。此外,信息安全还将会影响到系统的许多组成部分,包括那些并不直接同安全相关联的成分。各种通用的安全技术,如加密技术算法(保密密钥、公开密钥)、公开密钥系统基础设施 (PKI)、各种认证技术(一次性口令、Kerberos、CA)、网络系统各层安全协议(SSL、TLS、IPSEC、PPTP、VPN)、防火墙及保密网关技术等。2.电子支付协议 在现实生活中,人们一般有3种支付方式:现金、支票及卡,同样,电子支付协议也可分为这3
10、种模式。事实上,它的目标就是使用电子手段来实现日常所进行的交易。一个有效的可能成功的电子支付系统必须被广泛认可,该系统必须保证有关各方不易受到欺骗;此外最为重要的一点是必须方便易行。 (1)基于卡的支付协议 基于卡的支付模式有:明文发送信用卡号码;经保密路径发送信用卡号码;通过第三方进行交易。 上述几种方案是在web商务的早期就采用的,对安全性、可靠性以及抗否认性等方面并没有过多的考虑,支付过程实际上还是非在线的,商家在检验信用卡时往往通过专门的网络同信用卡授权机构联系。这一过程如图1所示。 图1 经安全Web服务进行的交易 web交易的发展迫切需要新的支付模式,现在的支付模式大致结构如图2。
11、 在安全电子支付协议中,客户浏览Web页面通过常规HTTP协议进行,当需要进行支付时,浏览器启动-支付模块(通常称为电子钱包E-wallet)处理支付协议。 (2)基于支票的支付协议 支票模型模拟了现实生活中支票的使用。同信用卡模式一样,它也同样需要支票发行机构如银行等来确认支票的有效性。这种模型同银行存取款方式相似,使用借-贷模型,用户需要在支付服务器上开设一个账户,支付服务器维护账目的绝对平衡。 (3)基于现金的支付协议 在交易中,有时会希望交易能匿名进行,即无法对交易过程进行追踪,无法确认交易者的身份。卡和支票模式都不能满足这样的需求,而基于现金的支付模式模拟了日常现金的使用,可以做到这
12、一点。 多数电子现金的实现的思想:每一枚电子硬币都有一个编号。银行维护若干密钥对,每一对密钥可用于对某种特定面值的硬币进行签名。但如果硬币是由银行生成并交给用户的话,它可以记录下每枚硬币的去向,从而当这枚硬币用于支付时可以跟踪到用户的交易。而盲签名机制可以允许用户自己生成硬币让银行对这枚硬币标定面值。如当用户从银行提款时,他先为硬币随机生成一个很大的编号,然后利用盲签名机制,银行可以用代表不同面值的密钥对这救硬币进行签名,从而标定硬币的面值。由于序号很大(大于200位数字),重复的概率可以忽略不计,再加上盲签名让银行无法知道硬币的编号,也就不可能将它记录下来。 同时,必须要有一种机制来保证电子
13、硬币不被重复使用。鉴于无法控制远程用户对电子现金的复制,提出了一种依靠处罚措施来禁止重复消费这一行为,引人一种 “盲记录”的机制,第一次使用电子硬币时,无法进行跟踪,而如果重复使用,就有足够多的信息能查出使用者的账户信息从而采取相应的反措施。应用电子商务安全保障技术,灵活运用加密技术,通过数字签名和数字证书来实现的身份认证是实现网络安全的重要措施。在电子商务WEB服务器和客户端浏览器之间建立安全链接,能保证信息数据在传输过程中的安全性。防火墙能够有效地监视网络的通信信息,并记忆通信状态,它的应用可以有效的减少黑客的入侵及攻击,保障网络节点的安全,优化网络系统环境,为电子商务运作提供了安全平台。
14、4.2完善电子商务安全配套措施电子商务的安全配套措施主要在于针对关键性安全保障技术进行创新突破,提高运作效率,根据实际需求积极开发大型商务网站,发展与之相配套的物流公司,尽快对电子商务的有关细则进行立法,建立严格的内部安全机制。完善网络安全维护日志,记录与安全性相关的信息及事件便于跟踪查询,对重要数据信息要及时进行备份并针对相关数据信息和数据库进行加密保护。4.3建立电子商务安全运行体系针对电子商务网站,要及时进行科学合理的安全综合性能评估,及时发现并解决安全隐患。综合采用包括防火墙技术、病毒检测技术、数字加密技术、数字签名技术、安全认证技术等多种安全保障技术防护,完善安全防护运行体系并确保系统信息数据的安全与保密。健全电子商务法律法规这就是我对目前电子商务安全风险的分析及一些相关的额建议,谢谢。
