电子商务发展中存在的安全问题文件doc.docx

1、电子商务发展中存在的安全问题文件doc仅供个人参考：我所了解的电子商务发展中存在的安全问题。可以说在电子商务的系统里面没有安全保证的系统一定是一个豆腐渣工程，没有人敢用，安全问题非常重要。怎么看待电子商务的安全问题？安全不是一个纯技术的概念， 没有绝对的安全。安全是有成本和代价的， 要采取安全措施不光会带来不方便的地方， 可能会带来成本和代价。在安全是发展的、动态的。包括病毒、攻击措施，不可能一蹴而就。1：程序安全程序安全中的问题主要包括程序漏洞和恶意代码， 众所周知， 程序开发中的微小需错误都可能造成很大的安全问题， 所以不安全编程引发的问题就会被一些恶意的攻击者所利用从而改变程序的执行流程

2、， 譬如：缓冲区溢出不完全输入验证以及“检查时刻到使用时刻”错误恶意代码是以破坏为目的的一类程序， 例如病毒蠕虫 特洛伊木马 隐蔽通道分析 因此人们对如何保证软件质量预防程序漏洞或恶意代码应当引起极大的关注。2：操作系统安全随着电子商务运行环境通过网络访问共享资源的未知用户的增加， 如何提供验证机制是一个很重要的问题3：数据库安全当前越来越多的应用系统依靠数据库管理系统来管理和保护大量的共享数据， 数据库管理系统也成为计算机信息系统的核心部件， 因此他的安全问题也变得越来越重要。4：网络安全网络安全是信息系统安全的基础， 它可以通过采用各种技术和管理措施来防御各种网络攻击， 保证网络系统正常运

3、行， 并确保网络数据的可用性， 完整性和保密性。随着 INTERNET的发展，网络丰富的信息资源给用户带来了极大的方便，通过 INTERNET进行的各种电子商务业务也日益增多，但是由于 INTERNET的开放性，电子商务应用和企业网络中的商业机密均成为攻击者的目标， 因此网络安全问题也成为各种网络服务和应用能否进一步发展的关键问题之一。二：电子商务过程中遇到安全问题的解决方法。1：关于程序安全。编程人员可以使用对缓冲区溢出攻击具有抵抗力的标准库来防御缓冲区溢出攻击。采用数字签名阻止漏洞被攻击者利用， 采用软件工程控制等等方法来保护程序的安全。不得用于商业用途仅供个人参考2：关于操作系统安全。可

4、以通过自主访问控制， 强制访问控制给予角色访问控制等办法来控制访问权限3：关于数据库安全。可以采用数据库访问控制， 完整性约束， 推理控制和秘密通道数据库加密以及数据库用户管理来保护数据库的安全。4：关于网络安全。防火墙是一种用来保护本地系统的设备， 以防止网络攻击破坏系统或网络， 另外虚拟私有网络和入侵监测系统能够阻止部分网络攻击但是要想全面防范， 则还需要在网络服务或应用程序开发阶段就要开始仔细考虑安全因素这样才能减少程序漏洞，不要随意相信用户输入的任何数据对所有输入数据进行检查， 此外最小特权原则也是有效的安全策略， 系统管理员可以只赋予服务器上的程序所需要的最低权限，仅允许其访问完成任

5、务所必需的资源。三： 电子商务安全对策商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题， 在计算机网络安全的基础上， 如何保障电子商务过程的顺利进行。 即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、 安全传输和管理安全等。 充分利用各种先进的主机安全技术、 身份认证技术、访问控制技术、 密码技术、 防火墙技术、 安全审计技术、 安全管理技术、系统漏洞检测技术、 黑客跟踪技术， 在攻击者和受保护的资源间建立多道严密的安全防线， 极大地增加了恶意攻击的难度， 并增

6、加了审核信息的数量， 利用这些审核信息可以跟踪入侵者。这里我们具体要了解的是商务交易安全及安全措施。商务交易安全：当许多传统的商务方式应用在 Internet 上时，便会带来许多源于安全方面的问题，如传统的贷款和借款卡支付 / 保证方案及数据保护方法、 电子数据交换系统、 对日常信息安全的管理等。 电子商务的大规模使用虽然只有几年时间， 但不少公司都已经推出了相应的软、 硬件产品。 由于电子商务的形式多种多样， 涉及的安 全问题各不相同，但在 Internet 上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患：1 窃取信息由于未采用加密

7、措施， 数据信息在网络上以明文形式传送， 入侵者在数据包经过的网关或路由器上可以截获传送的信息。 通过多次窃取和分析， 可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。不得用于商业用途仅供个人参考2 篡改信息当入侵者掌握了信息的格式和规律后， 通过各种技术手段和方法， 将网络上传送的信息数据在中途修改， 然后再发向目的地。 这种方法并不新鲜， 在路由器或网关上都可以做此类工作。3 假冒由于掌握了数据的格式， 并可以篡改通过的信息， 攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。4 恶意破坏由于攻击者可以接入网络， 则可能对网络中的信息进行

8、修改， 掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。因此，电子商务的安全交易主要保证以下四个方面：5 信息保密性交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉，因此在信息传播中一般均有加密的要求。6 交易者身份的确定性网上交易的双方很可能素昧平生， 相隔千里。 要使交易成功， 首先要能确认对方的身份，对商家要考虑客户端不能是骗子， 而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。7 不可否认性由于商情的千变万化， 交易一旦达成是不能被否认的。 否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不

9、可否认的。8 不可修改性交易的文件是不可被修改的， 否则也必然会损害一方的商业利益。 因此电子交易文件也要能做到不可修改，以保障商务交易的严肃和公正。安全措施：在早期的电子交易中，曾采用过一些简易的安全措施，包括：部分告知（ Partial Order ）：即在网上交易中将最关键的数据如信用卡号码及不得用于商业用途仅供个人参考成交数额等略去，然后再用电话告之，以防泄密。另行确认（ Order Confirmation ）：即当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。此外还有其它一些方法， 这些方法均有一定的局限性， 且操作麻烦， 不能实现真正的安全可靠性。近年来，针对电子交

10、易安全的要求， IT 业界与金融行业一起，推出不少有效的安全交易标准和技术。主要的协议标准有：安全超文本传输协议（ SHTTP）：依靠密钥对的加密，保障 Web站点间的交易信息传输的安全性。安全套接层协议（ SSL）：由 Netscape 公司提出的安全交易协议，提供加密、认证服务和报文的完整性。 SSL被用于 Netscape Communicator 和 Microsoft IE浏览器，以完成需要的安全交易操作。安全交易技术协议（ STT，Secure Transaction Technology ）：由 Microsoft公司提出， STT将认证和解密在浏览器中分离开，用以提高安全控制能

11、力。Microsoft 在 Internet Explorer 中采用这一技术。安全电子交易协议（ SET，Secure Electronic Transaction ）1996年 6 月，由 IBM、MasterCard International 、Visa International 、Microsoft 、Netscape、GTE、VeriSign 、SAIC、Terisa 就共同制定的标准 SET发布公告，并于 1997 年5 月底发布了 SET Specification Version 1.0 ，它涵盖了信用卡在电子商务交易中的交易协定、 信息保密、 资料完整及数据认证、 数据签

12、名等。SET2.0 预计今年发布， 它增加了一些附加的交易要求。 这个版本是向后兼容的，因此符合 SET1.0 的软件并不必要跟着升级，除非它需要新的交易要求。 SET规范明确的主要目标是保障付款安全，确定应用之互通性，并使全球市场接受。所有这些安全交易标准中， SET标准以推广利用信用卡支付网上交易，而广受各界瞩目，它将成为网上交易安全通信协议的工业标准， 有望进一步推动 Internet电子商务市场。主要的安全技术有： 虚拟专用网（ VPN）这是用于 Internet 交易的一种专用网络，它可以在两个系统之间建立安全的信道（或隧道），用于电子数据交换（ EDI）。它与信用卡交易和客户发送订

13、单交易不同， 因为在 VPN中，双方的数据通信量要大得多， 而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术， 只要通信的双方默认即可，没有必要为所有的 VPN进行统一的加密和认证。 现有的或正在开发的数据隧道系不得用于商业用途仅供个人参考统可以进一步增加 VPN的安全性，因而能够保证数据的保密性和可用性。数字认证数字认证可用电子方式证明信息发送者和接收者的身份、 文件的完整性 （如一个发票未被修改过），甚至数据媒体的有效性（如录音、照片等）。随着商家在电子商务中越来越多地使用加密技术， 人们都希望有一个可信的第三方， 以便对有关数据进行数字认证。目前，数字认证一般都通过单

14、向 Hash函数来实现，它可以验证交易双方数据的完整性， Java JDK1.1 也能够支持几种单向 Hash算法。另外， S/MIME协议已经有了很大的进展，可以被集成到产品中，以便用户能够对通过 E mail 发送的信息进行签名和认证。同时，商家也可以使用 PGP（Pretty Good Privacy ）技术，它允许利用可信的第三方对密钥进行控制。 可见，数字认证技术将具有广阔的应用前景，它将直接影响电子商务的发展。加密技术保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。 现在，一些专用密钥加密 （如 3DES、IDEA、RC4和 RC5）和公钥加密 （如 RSA、S

15、EEK、PGP和 EU）可用来保证电子商务的保密性、 完整性、真实性和非否认服务。 然而， 这些技术的广泛使用却不是一件容易的事情。密码学界有一句名言： 加密技术本身都很优秀， 但是它们实现起来却往往很不理想。现在虽然有多种加密标准， 但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地， 但也同时带来了一个兼容性问题， 不同的商家可能会采用不同的标准。 另外， 加密技术向来是由国家控制的，例如 SSL的出口受到美国国家安全局（ NSA）的限制。目前，美国的商家一般都可以使用 128 位的 SSL，但美国只允许加密密钥为 40 位以下的算法出口。虽然 40 位的 SSL也具有一定的加密强度，但它的安全系数显然比 128 位的SSL要低得多。 据报载， 最近美国加州已经有人成功地破译了 40 位的 SSL，这已 引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用 SSL，这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出 128 位 SSL 的 算法，弥补国内的空缺，并采用数字签名等技术确保