浅谈电子商务中的安全问题及其对策.docx
《浅谈电子商务中的安全问题及其对策.docx》由会员分享,可在线阅读,更多相关《浅谈电子商务中的安全问题及其对策.docx(10页珍藏版)》请在冰豆网上搜索。
浅谈电子商务中的安全问题及其对策
目录
1电子商务的概念及安全问题3
2网络安全问题及对策3
2.1网络安全概念3
2.2网络安全问题的主要表现形式4
2.3网络安全问题的解决对策4
2.3.1采用包过滤路由器……………………………………………...4
2.3.2采用防火墙体系………………………………………………...5
2.3.3采用虚拟专用网(VPN)技术6
3商务交易的安全问题及对策6
3.1商务交易安全概念6
3.2商务交易安全问题7
3.3商务交易中安全问题的解决对策7
3.3.1数字认证……………………………………………………..8
3.3.2数据加密8
3.3.3SET(安全电子交易协议)9
3.3.4CA(证书授权)10
4结束语11
参考文献11
致谢12
浅谈电子商务中的安全问题及其对策
韦应慧
兰州大学物理科学与技术学院兰州730000
摘要现如今电子商务作为一种全新的商务模式,它有很大的发展前景,且随之而来的安全问题也越来越突出,如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题,也是电子商务今后发展的瓶颈所在。
Internet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险,安全问题始终是电子商务的核心和关键问题,包括网络本身的安全和网上交易中的安全,所以如何解决电子商务的安全问题是今后电子商务得以发展的重要课题。
关键词电子商务、网络安全、商务交易安全、解决对策
随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。
它的出现不仅为Internet的发展壮大提供了一个新的契机,也给商业界注入了巨大的能量。
但电子商务是以计算机网络为基础的载体,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,信息传递的安全性问题成为首要问题。
Internet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临各种危险。
一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。
这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。
因此,安全性始终是电子商务的核心和关键问题。
1电子商务的概念及安全问题
电子商务(ElectronicCommerce)是指在计算机互联网的支持下进行的商务活动。
从企业来看,电子商务是将企业的核心商务过程通过计算机网络实现,以便改善客户服务,减少流通时间,降低流通费用,从有限的资源中得到更多的利润。
电子商务的安全问题,总的来说分为两部分:
一是网络安全,二是商务交易安全。
计算机网络安全的内容包括:
计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。
其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
在电子商务交易中,网上交易为客户提供各种便利,但在这种商务交易的过程中存在各种不同的安全问题,网上交易它没有形体,没有编号,一旦进入交易中,谁也抓不住它。
而在进行网上交易时,它的安全问题主要是交易的安全性和交易双方是否守信用[1]。
商务交易安全的内容包括:
身份验证,数字认证,数据加密,SET(安全电子交易协议),CA认证等。
所以在电子商务交易过程中,保证交易数据的安全是电子商务系统的关键。
2网络安全问题及对策
2.1网络安全概念
网络安全是指网络上的信息和资源不被非授权用户使用。
然而网络安全设计内容众多,如合理的安全策略和安全机制等。
网络安全技术则包括访问控制和口令、加密、数字签名、包过滤以及防火墙[2]。
网络安全,特别是信息安全,强调的是网络中信息或数据的完整性、可用性及保密性。
完整性是指保护信息不被非授权用户修改或破坏。
可用性是指避免拒绝授权访问或拒绝服务。
保密性是指保护信息不被泄漏给非授权用户。
2.2网络安全问题的主要表现形式
(1)利用IP欺骗进行攻击:
黑客伪造LAN主机的IP地址,并根据这个伪造的地址进行不正当的存取。
他先使被信任的主机丧失工作能力,同时采用目标主机发出的TCP序列号,猜测出它的数据序列号,然后伪装成被信任的主机,同时建立起与目标主机基于地址经验的应用连接。
如果成功,黑客可以进行非授权操作,偷盗、篡改信息。
(2)捕获用户的姓名和口令:
黑客通过软件程序跟踪检测软件,可检测到用户的登录名、密码,在获得用户账户的读写权之后,可以对其内容胡乱加以修改,毁坏数据,甚至输入病毒,使整个数据库陷于瘫痪。
(3)使用“拒绝服务”(DenialofService):
黑客发送大量的“请求服务”指令,使得Web服务器或路由器过载而停止服务,使网络处于瘫痪状态。
(4)非法窃听:
黑客通过搭线窃听,截收线路上传输的信息,或者彩电磁窃听,截收无线电传输的信息,以进行敲诈等非法活动[3]。
2.3网络安全问题的解决对策
2.3.1采用包过滤路由器
使用包过滤路由器(Router)除了可以完成不同网段间的寻址外,还可以滤除不受欢迎的一些主机的地址和服务。
因为Internet/Intranet的基础协议是TCP/IP协议。
网络中的每台电脑都有一个唯一的IP地址,通过该地址可以访问网络中的任何一台服务器。
除此之外,通信双方必须有一致的协议(FTP、HTTP、Gopher、Telnet)才能彼此理解所传送的数据包,这些协议是用主机的端口来标识的,而相应的服务也用端口来表示(如Gopher的端口为70,WWW的端口为80,FTP的端口为20或21),这样,包过滤路由器就通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某个特定主机或服务的访问[4]。
该技术的优点是不要求对主机和客户机的程序进行修改就能控制网络的数据流量,它们在TCP∕IP层进行操作,但它却没有对许多安全需求作出详细说明,因此,包过滤路由器的安全功能是很有限的,所以,这种方法现在很少单纯使用。
2.3.2采用防火墙体系
该技术运行于OSI的应用层,因此承载着应用层的全部信息。
由于防火墙的地位十分重要,所以一般采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担。
带有两级防线的防火墙主要有以下几种形式:
(1)单堡垒主机、单路由器、一层网络的隔离形式。
这种配置的特点是堡垒主机配置两个网络接口,外部网络接口接受来自包过滤路由器的数据,数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机,由于堡垒主机与包过滤路由器之间还有一各网络层,所以外界对堡垒主机的非法侵入将更加困难。
(2)分级管理的双堡垒主机形式。
所谓分级管理,是指在第一个堡垒主机与包过滤路由器之间的网络中接入一部分机器,将常用的不需保密的或低保密级的数据放在此层,而把保密级较高的数据放在第二级堡垒主机之后,这种配置除具有原单层主机的包过滤机制和堡垒主机的优势外,当包过滤机制和第一级堡垒主机均被攻破时,由于第二层堡垒主机采用不同的安全策略,不会造成对堡垒主机的连续突破,从而保证了内部网络的安全[5]。
目前,这种方案是较高级别的安全方案。
2.3.3采用虚拟专用网(VPN)技术
VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全隧道。
在VPN中,双方的数据通信量要大得多,而且通信双方彼此都很熟悉。
这就可以使用复杂的专用加密和认证技术,只要通信的双方默认即可。
拔号VPN使用隧道技术使远程访问服务器把用户数据打包到IP信息包中,这些信息通过电信服务商的网络进行传递,在Internet中要穿过不同的网络,最后到达隧道终点。
然后拆数据包,转换成最初的形式。
隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接路由地址,这代替了电话交换网络使用的电话号码连接,允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。
这种方式在保证网络的安全性方面是非常有用的[6]。
3商务交易的安全问题及对策
3.1商务交易安全概念
商务交易安全则是紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
网上交易日益成为新的商务模式,基于网络资源的电子商务交易已普遍被大众接受,人们在享受网上交易带来的便捷的同时,交易的安全性也备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。
所以在电子商务交易过程中,保证交易数据的安全是电子商务系统的关键。
3.2商务交易安全问题
(1)对合法用户的身份冒充:
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
(2)对信息的窃取:
攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息[7]。
如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
(3)对信息的篡改:
攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。
(4)拒绝服务:
攻击者使合法接入的信息、业务或其他资源受阻。
(5)对发出的信息予以否认:
某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(6)信用威胁:
交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
(7)电脑病毒:
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。
不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
3.3商务交易中安全问题的解决对策
由于互联网上存在的种种欺诈,所以用户在可能的情况下,最好对网上兜售商品的网址进行核查,以摸清商贩们提供的地址和电话是否属实,用这种方式来防止各种网上欺诈行为。
而对于冒名顶替和抵赖,目前主要有以下几种方式来解决。
3.3.1数字认证
数字认证是一种新兴的安全性解决方法。
随着现代网络技术的发展,基础设施的改善,多媒体技术的进一步普及,数字认证方法正被越来越多地用于网络信息的安全传输中。
在发送文件时,或在交易信息处理的过程中,通过把影像、声音等各种证明发送者身份的数据传送给接收端,可大大加强信息的可靠性,这包括电子数字签名、电子信封、电子证书、以数字方式签署和电子付款表格等,这样接收方能确认发送者的真实身份和确保交易信息不被篡改[8]。
3.3.2数据加密
数据加密技术是保证电子商务安全运作的一种重要方法。
可把某些重要信息从一个可理解的明文形式变换成一种错乱的、不可理解的密文形式(加密),经过线路传送,到达目的端后用户再将密文还原成明文(解密)。
由于信息是以密文方式进行传送的,不知道解密方法的人将无法得到信息的真实内容,从而保证了数据传送过程中的安全性。
网络中传送数据的要求包括:
(1)保密性——要求对敏感文件进行加密,即便文件被截获,截获者也无法得到文件的内容;
(2)完整性——要求保证数据的完整性,防止截获者在文件中加入其它信息;
(3)不可抵赖性——对数据和信息的来源进行保证,以确保发件人的身份和发件人所进行过的操作。
常用的加密方法有传统密钥密码方法和公开密钥密码方法两类。
前者以数据加密标准(DES)算法为典型代表,后者以RSA算法为代表。
传统密钥密码具有对称性,即加密密钥和解密密钥相同或相近,知道其中一种即可推导出另一种;而公开密钥密码方法的加密、解密密钥不同,加密密钥(公钥)可以公开,而解密密钥(私钥)需要保密。
目前,IT业界普遍采用公开密钥加密系统(PublicKeyEncryption)和私密密钥加密系统(SecretKeyEncryption)加密文件需要发送方的私密密钥解密,发送方的私密密钥也需到接收方的手中相结合的方式来满足网络传输过程中数据的保密性。
3.3.3SET(安全电子交易协议)
1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、就共同制定的标准SET发布公告,1997年5月,由Visa、MasterCard等联合推出的SET规范为Internet上进行安全的电子商务提供了一个开放的标准,SET规范的出现为电子商务提供了很强的安全保护,它实现了信息的集成、全部金融数据的证实、敏感数据的加密等工作[9]。
SET要达到的主要目标:
(1)信息在Internet上安全传输,保证网上传输的数据不被黑客窃取;
(2)定单信息和个人帐号信息的隔离,在将包括持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;
(3)持卡人和商家相互认证,以确定通信双方的身份。
一般由第三方机构负责为在线双方提供信用担保;
(4)要求软件遵循相同的协议和消息格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
SET通过密钥加密系统和公钥加密系统对数据进行加密,以确保通信中的安全性。
在处理事务的过程中,通信协议、请求信息的格式、数据类型的定义等都有明确的规定。
对于每一步操作,持卡人、商家、网关都通过CA认证中心来验证通信主机的身份,以确保通信的对方不是冒名顶替,并保证对方操作的不可抵赖性,目前,SET规范是电子商务中最为可靠的协议。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的公众标准,有望进一步推动Internet电子商务市场。
3.3.4CA(证书授权)
在电子商务系统中,所有实体的证书都是由证书授权中心即CA认证中心分发并签名的[10]。
一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。
CA又称认证权威、认证中心、证书授予机构,是承担网上认证服务,能签发数字证书并能确认用户身份的受大家信任的第三方机构。
CA通常是企业性的服务机构,其主要任务是受理数字证书的申请、签发及对数字证书进行管理。
CA机构应包括两大部门:
一是审核授权部门,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误引起的一切后果,另一个是证书操作部门,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等,它即可以由审核授权部门自己担任,也可委托给第三方担任。
CA体系主要解决的几大问题:
(1)解决网络身份证的认证以保证交易各方身份是真实的;
(2)解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改;
(3)解决交易的不可抵赖性以保证对方在网上说的话是真实的。
需要注意的是,CA认证中心并不是安全机构,而是一个发放”身份证”的机构,相当于身份的”公证处”。
因此,企业开展电子商务不仅要依托于CA认证机构,还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。
外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。
好的IT厂商,会让用户在部署安全策略时少走弯路。
在选择外援时,用户应该节省成本,避免损失,应该把握几个基本原则:
(1)要知道自己究竟需要什么;
(2)要了解厂商的信誉;
(3)要了解厂商推荐的安全产品;
(4)用户要有一双”火眼金睛”,对项目的实施效果能够正确加以评估。
有了这些基本的安全思路,用户可以少走许多弯路[11]。
4结束语
总而言之,电子商务是让交易更简单,更快捷,更安全的商务要求,并在计算机互联网上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。
一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点:
强大的加密保证;使用者和数据的识别和鉴别;存储和加密数据的保密;连网交易和支付的可靠;方便的密钥管理;数据的完整、防止抵赖。
电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
参考文献
[1]尚建成主编.电子商务基础,高等教育出版社出版2010.9
[2]岳剑梅.信息系统的安全管理研究.情报理论与实践,中国电力出版2007,23(4):
257—260
[3]刘晓敏.网络环境下信息安全的技术保护.情报科学,新华社出版2006,17
(2):
122—125
[4]贾晶.陈元等.信息系统的安全与保密.清华大学出版社,2004
[5]曾凤生.电子商务安全需求及防护策略数据库及信息管理,2007.06
[6]EricRescale.著,崔凯译.SSL与TLSDesigningandBuildingSecureSystems[M].北京:
中国电力出版社,2007.
[7]ChristopherSteel,Rajeshagapes,RayLai.著.安全模式(CoreSecurityPatterns)[M].北京:
机械工业出版社,2006.
[8]WilliamStalling.著.网络安全要素应用与标准[M].北京:
人民邮电出版社,2003.
[9]王锐,等译.网络最高安全技术指南[M].北京:
机械工2009.3
[10]徐文,蒋延波.浅议网络安全[J].苏州大学学报,2005(6).
[11]邓奇强.网络安全技术[J].怀化学院学报,2005(4).湖北经济学院网络与教育技术中心出版,2009年7期
致谢
伴随着毕业论文的完稿,我的大学生活也将依依谢幕,为此我思绪万千,四年的大学生活将我精雕细琢,如今我将卓越的风姿走向社会,为此我要感谢我的论文指导老师,是您用那:
春蚕到死丝方尽蜡炬成灰泪始干的师道精神教诲着我,授我知识,教我做人,还要感谢我的班主任和代课老师及同学,让我深切的体会到在这个大家庭里的真诚和温暖,还要感谢我的母校兰州大学,在这个圣洁的国度里,让我充实自己,不断地成熟起来。
明天我将会走向社会,但愿这里的一花、一草、一景、一物将永远留在我心中升华、结晶、永恒。
升级会员 