浅析电子商务安全问题的论文Word文档下载推荐.docx
《浅析电子商务安全问题的论文Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《浅析电子商务安全问题的论文Word文档下载推荐.docx(7页珍藏版)》请在冰豆网上搜索。
[摘要]:
在二十一世纪中,电子商务己经成为一切经济活动不可或缺的组成元素,成为推动企业发展的核心力量,它的地位和作用已经很难撼动,但安全问题始终是影响电子商务发展的瓶颈。
电子商务正在改变着人们生活以及整个社会的发展进程,引起人们对管理模式、工作和生活方式,乃至经营管理思维方式等等的综合革新。
只有在全球范围建立安全保障制度,确保信息的真实性、可靠性和保密性,才能够打消人们的顾虑,放心的参与电子商务。
事实证明,要保证电子商务的顺利发展,就必须高度重视安全问题。
本文首先介绍了电子商务安全问题的现状与使用的安全技术,并就其安全问题及防范措施进行了讨论。
[关键字]:
电子商务安全技术安全问题防范策略
一.电子商务安全面临的问题
1.典型的电子商务安全问题有:
安全漏洞、病毒感染、黑客攻击、网络以及来自其他方面的各种不可预测的风险。
◆安全漏洞:
在近几年来,计算机系统的安全漏洞越来越多。
安全漏洞的大量存在,使
得目前电子商务的安全形势趋于严峻。
例如:
Windows惊险高危漏洞,病毒能攻击所有用户。
该漏洞可能发生在所有的Windows操作系统上,如IE浏览器、Office软件等,在拥护浏览特定的JPG格式图片时,会导致缓冲区溢出,进而执行病毒攻击代码,包括格式化硬盘、删除文件等。
◆病毒感染:
我国计算机病毒感染率自2001年以为就一起处于较高的水平。
主要就是蠕虫等病毒在网上的猖獗传播。
蠕虫主要是利用系统的漏洞过行自动传播复制,由于传播过程中产生巨大的扫描或其他攻击流量,从而使网络流量急剧上升,造成网络访问速度变慢甚至瘫痪,这对依赖于网络的电子商务是一个严重的威胁。
◆黑客攻击:
黑客攻击主要表现在网页篡改和僵尸网络两方面。
从2001年日本首相小泉纯一郎参拜靖国神社以来,该神社的网页就断断续续遭到黑客的攻击,有时一分钟内就遭到90万次的围攻。
僵尸网络也称Bitnet。
Rot是robot的简写,通常是指可
以自动地执行定义的功能,可以被预定义的命令控制,具有一定人工智能的程序。
它可以通过溢出漏洞攻击、蠕虫邮件网络共享、口令猜测、p2p软件等途径进入用户主机。
一旦用户主机被植入rot,就主动和互联网上的一台或多台控制节点取得联系,进而自动接收黑客通过这些控制点发送的控制命令,这些受害主机和控制服务器就组成了robot。
◆网络仿冒:
网络仿冒在国际上通称为Phishing,在我国也称为网络欺诈、网络仿冒或者是网络钓鱼。
它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息,如银行账户和口令等。
甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。
2.从安全和信任关系来看,在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。
但在电子商务过程中,买卖双方是通过网络来联系的,彼此远隔千山万水,由于因特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困难。
电子商务活动的安全性要求可总结为:
◆服务的有效性要求。
电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
建立有效的责任机制,防止实体否认其行为。
◆交易信息的保密性要求,电子商务作为贸易的一种手段,其信息直接代表着个人、企
业或国家的商业机密。
传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。
电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
保密性可用信息加密技
术实现,使信息解读者不能解读信息加密内容,另外,保密性还要求保护通信流特性,如果信源与目的,流量,频率等,以防止被分析,从而丧失有价值的商业情报。
◆数据完整性要求。
数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。
贸易双方信息的完整性会影响到贸易各方的交易和经营策略,因此要对预防对信息的随意生成,修改和删除,同时要防止数据传送过程中信息的丢失和重复,并保证信息传送次序的统一。
◆身份认证的要求。
电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,分辨参与者所称身份的真伪,防止伪装攻击,虚伪参与实体提供可靠地标示,这往往需要第三方的介入,认证性用数字签名和身份认真技术实现,以免发生交易纠纷时提供法律依据。
◆信息可靠性、可鉴别性和不可抵赖性。
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;
不可否认要求即是能建立有效的责任机制,防止实体否认其行为;
可控性要求即是能控制使用资源的人或实体的使用方式。
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
二.电子商务安全的现状及对策
现状:
世界各国对电子商务安全问题的研究非常重视,电子商务是互联网应用的重要趋势之一,也是国际金融贸易中越来越重要的经营模式之一,并将逐渐成为我们经济生活中占大比重的重要部分,大力推广与发展电子商务,成为世界各国共同的认识。
就全球发展状况来看,电子商务的快速发展需要业界,特别是信息安全业快速地做出反应,否则安全方面的问题将会制约它的发展。
现在不仅仅是发展中国家,就连美国这样的发达国家,电子商务在很多领域还是没有像其它传统的商务那样发达,一个重要的原因就是安全问题。
所有这些需要信息安全业的同行做出不懈的努力,不要因为安全问题而制约了电子商务的发展。
我国于
1995年起发展电子商务安全产业,其信息安全研究经历了通信保密、计算机数据保护两个发展阶段,市场也从小到大逐步发展起来,虽已初具规模但仍不成熟。
对策:
1.保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。
保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。
保护网络安全的主要措施如下:
◆全面规划网络平台的安全策略。
◆制定网络安全的管理措施。
◆使用防火墙。
◆尽可能记录网络上的一切活动。
◆注意对网络设备的物理保护。
◆检验网络平台系统的脆弱性。
◆建立可靠的识别和鉴别机制。
2.保护应用安全。
保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。
虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用
的安全性。
应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
3. 保护系统安全。
保护系统安全,是指从整体电子商务
系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。
涉及网络支付结算的系统安全包含下述一些措施:
◆在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。
◆技术与管理相结合,使系统具有最小穿透风险性。
如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。
◆建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
总之,跟着经济全球化和信息手艺与
信息财富的敏捷成长,电子商务将成为此后经济的热点,成为争相成长的范围。
我们必需具有前瞻性、计谋性目光,把核心瞄准电子商务范围,不竭为我国电子商务的成长缔造前提,不竭摸索适合我国电子商务成长的有用模式。
三.如何看待电子商务的安全问题,以下几个观点值得注意:
1、安全是一个系统的概念。
安全问题是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
电子商务为销售者和消费者建立交易关系,使他们能商谈和进行交易。
电子商务应对所有用户都是开放的,且至少应像传统商务那样方便、可靠和安全。
2、安全是相对的。
而不是绝对的,安全与管理永远都是联系在一起的,二者不可分割。
没有永远也攻不破的安全技术,也就是说安全是相对的,网站如果永远不受攻击,这个是很难保证的,我们要正确认识这
�个问题。
3、安全是有成本和代价的。
无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。
如果只注重速度就必定要以牺牲安全作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。
如果不直接牵涉到等敏感问题,对安全的要求就低一些;
如果牵涉支付问题对安全的要求就要高一些,所以安全是有成本和代价的。
作为一个经营者,应该综合考虑这些因素。
4、安全是发展的、动态的。
电子商务的安全问题不是固定的,安全问题随时发生,因为网络中的新问题不断出来,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。
没有一劳永逸的安全,也没有一蹴而就的安全。
四、电子商务安全技术防范策略
经过数十年的探索,电子商务安全防范策略从最初的商务信息保密性发展到商务信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。
目前,电子商务安全领域已经形成了9大核心技术,它们是:
密码技术、身份验证技术、访问控制技术、防火墙技术、数字摘要技术、病毒防范技术、安全协议技术、网络安全漏洞扫描技术、入侵检测技术。
电子商务的主要安全技术如下:
1.防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手
段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备,防火墙技术主要有包过滤、代理服务、状态监控等技术。
在电子商务中,防火墙的主要功能是防止黑客利用不安全的服务对传输数据和信息进行攻击,对网络实施检查并监管网络的进行状态。
2. 数字摘要技术
通过使用单向散列函数(HASH)将需要加密的明文“摘要”成一个固定长度(128bit)的密文。
该密文有固定的长度,同明文是一一对应的,其优势在于:
对于任意一个x进行HASH运算后,都有一个唯一Y值与之对应;
对于任何一个Y值,想通过逆运算得出X值都是行不通的。
在传输信息的时候将之加入文件一同发给对方,对方接到文件后,可以用相同的方法进行运算,若得到结果与发送的摘要码相同,则表明安全,反之,则说明被篡改过。
这也是电子商务领域经常用到的一种安全认证技术。
3.身份认证技术
一般来说,可以通过CA中心的认证来确保用户的真实身份。
CA中心是一个电子认证机构,为交易的当事人进行信任担保,数字证书就是其通过的一项重要认
升级会员 