电子商务发展中存在的安全问题文件doc.docx
《电子商务发展中存在的安全问题文件doc.docx》由会员分享,可在线阅读,更多相关《电子商务发展中存在的安全问题文件doc.docx(11页珍藏版)》请在冰豆网上搜索。
电子商务发展中存在的安全问题文件doc
仅供个人参考
:
我所了解的电子商务发展中存在的安全问题。
可以说在电子商务的系统里面没有安全保证的系统一定是一个豆腐渣工程,
没有人敢用,安全问题非常重要。
怎么看待电子商务的安全问题?
安全不是一个纯技术的概念,没有绝对的安
全。
安全是有成本和代价的,要采取安全措施不光会带来不方便的地方,可能会
带来成本和代价。
在安全是发展的、动态的。
包括病毒、攻击措施,不可能一蹴
而就。
1:
程序安全
程序安全中的问题主要包括程序漏洞和恶意代码,众所周知,程序开发中的微小
需错误都可能造成很大的安全问题,所以不安全编程引发的问题就会被一些恶意
的攻击者所利用从而改变程序的执行流程,譬如:
缓冲区溢出不完全输入验证以
及“检查时刻到使用时刻”错误恶意代码是以破坏为目的的一类程序,例如病毒
蠕虫特洛伊木马隐蔽通道分析因此人们对如何保证软件质量预防程序漏洞或
恶意代码应当引起极大的关注。
2:
操作系统安全
随着电子商务运行环境通过网络访问共享资源的未知用户的增加,如何提供验证
机制是一个很重要的问题
3:
数据库安全
当前越来越多的应用系统依靠数据库管理系统来管理和保护大量的共享数据,数
据库管理系统也成为计算机信息系统的核心部件,因此他的安全问题也变得越来
越重要。
4:
网络安全
网络安全是信息系统安全的基础,它可以通过采用各种技术和管理措施来防御各
种网络攻击,保证网络系统正常运行,并确保网络数据的可用性,完整性和保密
性。
随着INTERNET的发展,网络丰富的信息资源给用户带来了极大的方便,通
过INTERNET进行的各种电子商务业务也日益增多,但是由于INTERNET的开放
性,电子商务应用和企业网络中的商业机密均成为攻击者的目标,因此网络安全
问题也成为各种网络服务和应用能否进一步发展的关键问题之一。
二:
电子商务过程中遇到安全问题的解决方法。
1:
关于程序安全。
编程人员可以使用对缓冲区溢出攻击具有抵抗力的标准库来防御缓冲区溢出攻
击。
采用数字签名阻止漏洞被攻击者利用,采用软件工程控制等等方法来保护程
序的安全。
不得用于商业用途
仅供个人参考
2:
关于操作系统安全。
可以通过自主访问控制,强制访问控制给予角色访问控制等办法来控制访问权限
3:
关于数据库安全。
可以采用数据库访问控制,完整性约束,推理控制和秘密通道数据库加密以及数
据库用户管理来保护数据库的安全。
4:
关于网络安全。
防火墙是一种用来保护本地系统的设备,以防止网络攻击破坏系统或网络,另外
虚拟私有网络和入侵监测系统能够阻止部分网络攻击但是要想全面防范,则还需
要在网络服务或应用程序开发阶段就要开始仔细考虑安全因素这样才能减少程
序漏洞,不要随意相信用户输入的任何数据对所有输入数据进行检查,此外最小
特权原则也是有效的安全策略,系统管理员可以只赋予服务器上的程序所需要的
最低权限,仅允许其访问完成任务所必需的资源。
三:
电子商务安全对策
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在
计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
即实现电子商务
的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
一个全方位的计算机
网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、
信息加密、安全传输和管理安全等。
充分利用各种先进的主机安全技术、身份认
证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、
系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的
安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些
审核信息可以跟踪入侵者。
这里我们具体要了解的是商务交易安全及安全措施。
商务交易安全:
当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问
题,如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。
电子商务的大规模使用虽然只有几年时间,但不少公
司都已经推出了相应的软、硬件产品。
由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet上的电子商务交易过程中,最核心和最关键的
问题就是交易的安全性。
一般来说商务安全中普遍存在着以下几种安全隐患:
1窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过
的网关或路由器上可以截获传送的信息。
通过多次窃取和分析,可以找到信息的
规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
不得用于商业用途
仅供个人参考
2篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送
的信息数据在中途修改,然后再发向目的地。
这种方法并不新鲜,在路由器或网
关上都可以做此类工作。
3假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送
假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信
息,甚至可以潜入网络内部,其后果是非常严重的。
因此,电子商务的安全交易主要保证以下四个方面:
5信息保密性
交易中的商务信息均有保密的要求。
如信用卡的账号和用户名等不能被他人知
悉,因此在信息传播中一般均有加密的要求。
6交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。
要使交易成功,首先要能确认对方
的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个
玩弄欺诈的黑店。
因此能方便而可靠地确认对方身份是交易的前提。
7不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。
否则必然会损害一方的利
益。
因此电子交易通信过程的各个环节都必须是不可否认的。
8不可修改性
交易的文件是不可被修改的,否则也必然会损害一方的商业利益。
因此电子交易
文件也要能做到不可修改,以保障商务交易的严肃和公正。
安全措施:
在早期的电子交易中,曾采用过一些简易的安全措施,包括:
部分告知(PartialOrder):
即在网上交易中将最关键的数据如信用卡号码及
不得用于商业用途
仅供个人参考
成交数额等略去,然后再用电话告之,以防泄密。
另行确认(OrderConfirmation):
即当在网上传输交易信息后,再用电子邮件
对交易做确认,才认为有效。
此外还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真
正的安全可靠性。
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的
安全交易标准和技术。
主要的协议标准有:
安全超文本传输协议(S-HTTP):
依靠密钥对的加密,保障Web站点间的交易
信息传输的安全性。
安全套接层协议(SSL):
由Netscape公司提出的安全交易协议,提供加密、认
证服务和报文的完整性。
SSL被用于NetscapeCommunicator和MicrosoftIE
浏览器,以完成需要的安全交易操作。
安全交易技术协议(STT,SecureTransactionTechnology):
由Microsoft
公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。
Microsoft在InternetExplorer中采用这一技术。
安全电子交易协议(SET,SecureElectronicTransaction)
1996年6月,由IBM、MasterCardInternational、VisaInternational、
Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET
发布公告,并于1997年5月底发布了SETSpecificationVersion1.0,它涵
盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数
据签名等。
SET2.0预计今年发布,它增加了一些附加的交易要求。
这个版本是向后兼容的,
因此符合SET1.0的软件并不必要跟着升级,除非它需要新的交易要求。
SET规
范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各
界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet
电子商务市场。
主要的安全技术有:
虚拟专用网(VPN)
这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信
道(或隧道),用于电子数据交换(EDI)。
它与信用卡交易和客户发送订单交
易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很
熟悉。
这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,
没有必要为所有的VPN进行统一的加密和认证。
现有的或正在开发的数据隧道系
不得用于商业用途
仅供个人参考
统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
数字认证
数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个
发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。
随着商家在电
子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有
关数据进行数字认证。
目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的
完整性,JavaJDK1.1也能够支持几种单向Hash算法。
另外,S/MIME协议已经
有了很大的进展,可以被集成到产品中,以便用户能够对通过Email发送的信
息进行签名和认证。
同时,商家也可以使用PGP(PrettyGoodPrivacy)技术,
它允许利用可信的第三方对密钥进行控制。
可见,数字认证技术将具有广阔的应
用前景,它将直接影响电子商务的发展。
加密技术
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。
现
在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、
PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。
然而,这些技术的广泛使用却不是一件容易的事情。
密码学界有一句名言:
加密技术本身都很优秀,但是它们实现起来却往往很不理
想。
现在虽然有多种加密标准,但人们真正需要的是针对企业环境开发的标准加
密系统。
加密技术的多样化为人们提供了更多的选择余地,但也同时带来了一个
兼容性问题,不同的商家可能会采用不同的标准。
另外,加密技术向来是由国家
控制的,例如SSL的出口受到美国国家安全局(NSA)的限制。
目前,美国的商
家一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出
口。
虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的
SSL要低得多。
据报载,最近美国加州已经有人成功地破译了40位的SSL,这已引起了人们的广泛关注。
美国以外的国家很难真正在电子商务中充分利用SSL,
这不能不说是一种遗憾。
上海市电子商务安全证书管理中心推出128位SSL的算法,弥补国内的空缺,并采用数字签名等技术确保
升级会员 