电子商务.docx
《电子商务.docx》由会员分享,可在线阅读,更多相关《电子商务.docx(11页珍藏版)》请在冰豆网上搜索。
电子商务
电子商务的安全
姓名:
沈冯琳学号:
0906100316
摘要
通过分析电子商务安全问题产生原因及电子商务对安全环境的要求,提出电子商务的安全防范策略,并对当前解决电子商务安全的主要技术进行了进一步的阐述和分析。
关键词:
电子商务安全技术安全协议
1、绪论
电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。
2、电子商务的安全问题
电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。
系统的安全目标与安全策略,是由组织的性质与需求所决定的。
2.1电子商务安全问题的产生
●
(1)在线交易主体虚拟化带来的安全问题
在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。
虚拟主体的存在使电子商务交易安全受到严重威胁。
●
(2)虚假信息的发布带来的安全问题
当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。
●(3)过低的信用度带来的安全问题
a.低信用度的买方,可能存恶意透支或使用伪造的信用卡骗取卖方货物或存在拖延货款行为,卖方需要为此承担风险。
b.卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。
c.低信用度的买卖双方都存在抵赖的情况。
●(4)网络欺诈的存在带来的安全问题
在电子交易活动中频繁欺诈用户这是网络骗子们常用的骗术,利用电子商务进行欺诈已经成为一种新型犯罪活动,目前这种网上欺诈也已经成为国际性的难题。
●(5)电子合同取代书面合同过程中带来的安全问题
在在线交易情形下,交易双方的所有信息都是以电子化的形式存储于计算机硬盘或其他电子介质中,这些记录不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。
由此而引发诸多方面的安全问题
●(6)网上电子支付过程带来的安全问题
完电子商务的网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。
而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。
●(7)产品交付过程带来的安全问题
有形货物的在线交易中物流配送环节引发的一些特殊问题及无形的信息产品在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。
●(8)网络消费者维权时引发的安全问题
在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。
比如质量问题,退赔、修理困难问题等。
●(9)网络恶意攻击者的破坏活动带来的安全问题
包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒绝服务、否认等。
2.2电子商务安全问题的存在原因
●
(1)对合法用户的身份冒充
以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
●
(2)对信息的窃取
攻击者在网络的传输信道上。
通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。
如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
●(3)对信息的篡改
攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
●(4)拒绝服务
攻击者使合法接入的信息、业务或其他资源受阻。
●(5)对发出的信息予以否认
某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
●(6)信用威胁
交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款I用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
●(7)电脑病毒
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。
不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
2.3电子商务对安全环境的要求
(1)确保信息的安全要求包括有效性、机密性、完整性、可靠性/不可抵赖性/鉴别等;
(2)确保授权合法性;
(3)确保交易者身份的确定性;
(4)确保内部网的严密性。
3、电子商务的安全防范策略
经过数十年的探索,电子商务安全防范策略从最初的商务信息保密性发展到商务信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。
目前,电子商务安全领域已经形成了9大核心技术,它们是:
密码技术、身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病毒技术、信息泄露防治技术、网络安全漏洞扫描技术、入侵检测技术。
3.1电子商务的主要安全技术
●
(1)加密技术
加密技术解决了传送信息的保密问题,可分对称加密和非对称加密。
对称加密是一种传统的信息认证方法,通过信息交换的双方共同约定一个口令或一组密码,建立一个通信双方共享的密钥。
通信的甲方将要发送的信息用私钥加密后传给乙方,乙方用相同的私钥解密后获得甲方传递的信息。
对称加密采用的主要加密算法有DES数据加密标准、三重DES,IDEA,和AES(高级加密算法)等。
其最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
非对称加密又称公开密钥加密,它使用一把公开发布的公开密钥和一把只能由生成密钥对的贸易方掌握的私用密钥来分别完成加密和解密操作。
如贸易的甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易的方乙使用该密钥对信息进行加密后发送给甲方;甲方再用自己保存的另一把私用密钥对加密信息进行解密。
公钥密码技术是密码技术核心,主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。
优点是机制灵活,但加密和解密速度慢。
●
(2)数字签名
数字签名解决了而防止他人对传输的文件进行破坏,以及如何确定发信人的身份的问题。
数字签名与书面文件签名有相同功效,它代表了文件的特征,文件如果发生改变,数字签字的值也将发生变化,不同的文件将得到不同的数字签字。
数字签名是采用双重加密的方法,通过流程:
A、被发送文件用SHA编码加密产生128bit的数字摘要;
B、发送方用自己的私用密钥对摘要再加密,形成数字签名;
C、将原文和加密的摘要同时传给对方;
D、对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要;
E、将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。
最终实现了防伪、防抵赖。
●(3)数字时间戳
数字时间戳服务提供了对电子文件发表时间的安全保护,由专门的机构提供。
时间戳是一个经加密后形成的凭证文档,它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。
时间戳形成的流程为:
1用户将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS;
2DTS在加人了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
数字时间戳是由认证单位DTS来加的,以DTS收到文件的时间为依据。
●(4)数字证书
数字证书是由CA认证中心签发的,用电子手段来证实一个用户的身份和对网络资源的访问权限的凭证。
CA认证中心是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。
数字证书为电子签名相关各方提供真实、可靠验证的公众服务,解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行。
在网上的电子交易中,如双方出示了各自的数字证书,就可用它来进行安全交易操作了。
●(5)防火墙技术
网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,它可以阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出,是最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。
防火墙有两个基本准则:
一是未被允许的就是禁止的;二是未被禁止的就是允许的。
基于该准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。
这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。
3.2电子商务安全协议技术
电子商务安全协议主要有:
安全套接层协议SSL和安全电子交易SET协议。
此外,还有PCT(专用通信技术),它只是对SSL进行少量的改进。
SSL协议是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等的安全措施。
它包括“SSL记录协议”和“SSL握手协议”。
该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。
在SSL握手信息中采用了DES、MDS等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。
SSL协议已成为事实上的工业标准而被广泛应用。
通常还采用“SSL+表单签名”的模式使得SSL在电子商务的应用中确保信息的真实性、完整性和保密性的基础上进一步提高电子商务的安全保障。
SET协议是Mastercard公司和Visa公司联合开发的一种应用于因特网环境下,以信用卡为基础的安全电子支付协议。
它可以对交易各方进行认证,可防止商家欺诈,进行安全交易,它给出了一套电子交易的过程规范而成为目前公认的信用卡的网上交易的国际标准。
3.3构建电子商务安全控制的框架和制订电子商务标准及法律法规
通过安全的控制和电子商务标准的推行,有利于解决电子商务的安全性和可靠性问题。
电子商务给企业、消费者和社会所带来的收益是不可估量的。
特别是电子商务以其高效、低成本的优势,必将成为新兴的商业运作模式,推动着全球经济的快速发展。
而商务信息的安全问题始终是电子商务的核心,是阻碍电子商务广泛应用的最大问题。
电子商务的安全问题是能够通过综合运用各类电子商务安全技术,并不断改进和完善,加之建立健全电子商务的安全机制和相应的法律法规,推行电子商务的国际化标准而得以解决。
4、电子商务安全防治措施及安全举措
防范电子商务网络犯罪是一个系统工程,不仅需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设,而且.还需要技术上不断更新和完善,为此,需要做好以下几方面的工作。
4.1加强教育和宣传,提高公众电子商务的安全意识
信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。
强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提,从而牢同树立网上交易,安全第一的思想。
主要采取以下措施:
一是通过大众媒体,普及电子商务的安全知识,提高用户的认识。
二是积极组织研讨会和培训课程,培养电子商务网络营销安全管理人才。
4.2采用多重网络技术,保证网络信息安全
目前,常用的电子商务安全技术,主要包括:
防火墙,物理隔离,VPN(虚拟专用网)。
防火墙是实现内部网与外部网安全代理和入侵隔离的常规技术。
使用防火墙,一方面是抵御来自外界的攻击。
另一方面是为了防止在服务器内部部分XX的用户攻击。
因此,电子商务内外网与互联网之间要设置防火墙。
网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。
企业上网必须实行内外网划分和内外网的物理隔离。
要运用VPN新技术,为使用者提了一种通过公用网络,安全地对食业网络进行远
程访问,同时又能保证企业的系统安全。
包括操作系统、数据库和服务器(如Web服务器、E-MAII。
服务器)的安全。
4.3运用密码技术,强化通信安全
应围绕数字证书应用,为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。
在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。
目前要加强身份认证、数据完整性、数据加密、数字签名等工作。
对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。
电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。
“在涉及多个对等实体间的交互认征时,应采用基于PKI技术,借助第三方(CA)颁发的数字证书数字签名来确认彼此身份。
”为了从根本上保证我国网络的安全,我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考,但不能完全照搬。
政府应该鼓励和扶植一批企业加快数字安全技术的研究,以提高我国信息企业的技术和管理水平,促进我同电子商务安全建设。
4.4加强技术管理,努力做到使用安全
首先是在内部严格控制企业内部人员对网络共享资源的随意使用。
在内网中,除有特殊需要不要轻易开放共享目录,对有经常交换信息要求的用户,在共享时应该加密,即只有通过密码的认证才允许访问数据。
二是对涉及秘密信息的用户主机,使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务,同时封闭一些不用的端口。
并对服务器中的数据库进行安全备份。
三是切实保证媒体安全。
包括媒体数据的安全及媒体本身的安全。
要防止系统信息在物理空间上的扩散。
为了防止系统中的信息在物理空间上的扩散,应在物理上采取一定的防护措施,如进行一定的电磁屏蔽,减少或干扰扩散出去的空间信号。
这样做,对确保企业电子商务安全将发挥重要作用。
4.5健全法律,严格执法
目前我国在电子商务法律法规方面还有很多缺失,不能有效地保护公众的合法权益,给一些犯罪分子带来了可乘之机。
我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《电子凭证(票据)法》、《网上知识产权法》等一系列法律,使电子商务安全管理走上法制化轨道。
使网络控制、信息控制、信息资源管理和防止泄密有法可依,并得到技术上的支撑。
健全电子商务安全标准认证和质量检测机制,由国家主管部门组织制定有关电子商务安全条例规定,并发挥职能部门的监管作用。
通过建立电子商务安全法规体系,规范和维持网络的正常运行。
5、电子商务的安全现状
目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。
与以往相比电子商务安全呈现出以下特点:
(一)木马病毒爆炸性增长,变种数量的快速增加据统计,仅2009年上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。
病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。
总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越
来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。
同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。
(二)网络病毒传播方式的变化过去,传播病毒通过网络进行。
目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。
由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。
与往年相比,今年通过网络浏览或下载该病毒的比例在下降。
不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。
“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。
通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。
(三)网络病毒给电子商务造成的损失继续增加调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。
2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。
继“熊猫烧香”之后,复合型病毒大量出现,如:
仇英、艾妮等病毒。
同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
6、电子商务消费
互联网正在改变整个商业社会,新的商业模式与经营模式不断涌现。
全球化时代,世界变平了、变小了、变快了。
传统企业也必须利用互联网,使自己的企业变得更平、更快。
企业上网促进了企业开发新产品和提供新型服务的能力。
电子商务安全性具体涉及到数据的保密、非授权访问、信息泄露或丢失,数据完整性被破坏,拒绝服务攻击,病毒入侵,交易的合法性以及交易双方身份的确认。
美国NewsFactorNetwork在2004年进行的一项调查显示,通过搜索引擎即可轻松找出其他用户的信息卡密码、相关个人数据以及最近的交易记录等信息。
因此,很多购物网站为确保消费者权益,多数商家在完成在线信用卡交易前,会询问较多的个人资料,以确保该笔交易是由消费者本人进行的。
结束语
在大量的文献及电子资料基础上,本文粗略地探讨了电子商务的安全。
在论文的研究过程中,培养了我对事情研究分析的严谨态度和创新精神,很大程度上提高了我分析问题,解决问题的能力,这非常有利于我现在和今后的学习和工作。
但是,本文仅针对电子商务安全方面进行了探讨,且研究仍存在一定的不足还需要继续努力。
参考文献
[1](美)埃弗雷姆.特白思戴维.金,杰李等著王理平张晓峰译:
电子商务管理新视角(第二版)[M].电子工业出版社,2005.9.
[2]杨坚争著:
电子商务基础与应用(第五版)[M].西安电子科技大学出版社,2007.7.
[3]张忠林著:
电子商务概论(第一版)[M].机械工业出版社,2010.5.
[4]许宁宁.电子商务安全的现状与趋势[J].中国电子商务,2010,
(1).
[5]濮小金.电子商务安全的政策选择[J].全国商情经济理论研究,
2009,(3).
[6]王建宏.电子商务安全技术研究[J].中国商贸,2009,(15).
[7]张建兵.电子商务安全问题解析[J].现代商贸工业,2009,(21).
升级会员 