引論:我們?yōu)槟砹?3篇電子商務信息安全范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
一、我國電子商務發(fā)展概況
由于網絡環(huán)境具有開放性的特點,電子商務使企業(yè)、消費者可以通過網絡進行交易,極大的豐富了人們購物的方式。而隨著計算機網絡技術的快速發(fā)展,電子商務相關技術也越來越完善,市場環(huán)境愈加成熟,以電子商務為主的網上交易模式得到了廣大人民的青睞。電子商務不但使得交易模式更加快捷,讓消費者可以通過電子商務平臺輕松購買到自己想要的商品,從商家的立場來說,還促使商家構建出自己的電子商務網絡平臺,實現(xiàn)商品的網絡在線銷售,極大的提高了企業(yè)的經濟效益。我國企業(yè)電子商務模式種類繁多,其差異主要體現(xiàn)在交易模式及付款方式的不同,有B2B、B2C、C2C等模式,這里B指的是Business,即企業(yè),C指的是Customer,即客戶。
B2B模式中的交易雙方都是企業(yè)用戶,大多通過網絡形成交易合同,然后通過現(xiàn)實銀行支票或轉賬等方式進行付款;在C2C模式中,交易雙方是個人對個人的交易形式,其中以淘寶店主作為主要代表,商務活動主要是個人與個人之見的交易活動,雙方通過第三方網站支付平臺進行相應的付款與收款交接;在B2C模式中,交易雙方中的一方是企業(yè),另外一方是個人,電商企業(yè)通過電子商務銷售平臺將商品推銷給個體消費者。這種電子商務經營模式,徹底的改變了傳統(tǒng)的賣家―經銷商―買家的交易模式,極大的提高了企業(yè)的經濟效益,并且縮短了交易的時間。
二、當前電子商務信息安全現(xiàn)狀
電子商務作為一種新型的商業(yè)經營模式,使商務活動交易雙方在不見面的情況下,通過互聯(lián)網手段完成商業(yè)交易,而這一特點也給電子商務信息埋下了安全隱患。電子商務高度網絡化的特點,對電子商務安全性有著較高的要求。第一,要嚴格化用戶信息數(shù)據傳輸、處理以及存儲的過程,確保在商務活動交易過程中交易雙方信息的完整性,避免交易雙方信息在處理的過程中出現(xiàn)錯誤;第二,要對交易雙方的身份進行核實認證,保障交易過程中交易雙方身份信息的真實性,第三,要保障電子商務交易平臺系統(tǒng)軟件的穩(wěn)定性,定期更新硬件設備,在最大程度上保證電子商務信息安全,加強電子商務的安全技術和安全管理,以確保電子商務的信息安全性。當前電子信息安全問題主要表現(xiàn)為以下形式:
(一)病毒與黑客
由于網絡環(huán)境的開放性特點,網絡病毒具有極強的傳染力和破壞力,它侵入到電子商務的系統(tǒng)中,破壞商務交易數(shù)據程序,對電子商務系統(tǒng)造成無法估量的損失。而網絡黑客主要通過黑客程序進入電子商務信息系統(tǒng)漏洞,進而侵入到電子商務系統(tǒng)中,竊取用戶私人信息進行惡意利用,有些黑客竊取競爭對手的商業(yè)機密對其進行商業(yè)打擊。
(二)軟件漏洞
由于計算機軟件編程具有復雜多樣的特點,電子商務系統(tǒng)軟件經常出現(xiàn)信息泄露的問題。如果程序中的文檔秘密入口被其他程序員惡意使用,將導致無法估量的損失;而由于操作系統(tǒng)自身的安全漏洞,例如訪問控制混亂、I/O非法訪問、不完全中介、數(shù)據庫安全漏洞等等,都將嚴重危害電子商務系統(tǒng)的信息安全,在TCP/IP的通信協(xié)議設計初期階段,程序員沒有充分考慮軟件安全的問題,導致計算機在連接Internet時,經常受到外界各類惡意軟件的攻擊,使得信息被竊取。
(三)技術落后
由于我國網絡信息技術發(fā)展滯后,當前電子商務系統(tǒng)中仍存在信息安全問題。當前我國多數(shù)計算機設備皆來源于進口,計算機芯片技術不成熟,網絡設備的技術及維護技術大多從國外引進,如果軟件中隱性漏洞被人惡意利用,將造成嚴重的電子商務信息安全問題。
三、電子商務信息安全防范措施分析
(一)電子商務法規(guī)制度
企業(yè)需要做好管理體制的建設工作,不斷加強內部的安全管理,提高企業(yè)的安全意識,為了保證電子商務活動中用戶的隱私。同時政府需要不斷完善電子商務相關法規(guī),制定科學合理的賠償制度,為電子商務的發(fā)展創(chuàng)造必要的法律環(huán)境。
(二)病毒防范處理技術
計算機病毒防范處理技術是保證電子商務系統(tǒng)信息安全的重要途徑。病毒管理工作要堅持防范大于治療的原則,使用各種病毒預防方法來進行預防,例如對新購入的計算機硬件及軟件進行嚴格化檢測、定期進行數(shù)據備份等,同時設置合理的文件訪問權限、對文件進行定期掃描檢測。此外,定期更改系統(tǒng)管理員口令,以免不法分子非法獲取管理員口令,安裝防病毒芯片,做好病毒防御工作。若電子商務的計算機系統(tǒng)感染病毒,必須立即對其進行清除和系統(tǒng)恢復的工作。在清除病毒時需要使用干凈盤來進行系統(tǒng)恢復,保證殺毒工作處于無病毒環(huán)境中,同時盡快找出病毒宿主程序,在啟動盤和殺毒盤上安裝保護程序,防止病毒的進一步傳染。此外,要保證病毒清除工作的全面性與準確性,及時清除病毒文件。如此才能徹底清除電子商務系統(tǒng)感染的病毒,保證電子商務用戶的信息安全。
(三)數(shù)據加密技術
加密技術是計算機網絡信息安全技術的基礎技術之一,大多被應用于數(shù)據存儲與傳輸?shù)倪^程中。數(shù)據加密技術使用數(shù)學方法將信息進行再組織和加密,使非法接受者無法正常接收網絡數(shù)據,而合法接受者可以通過密鑰,對數(shù)據進行解密來得到信息,極大地保證了信息安全。由于在數(shù)據安全保護方面獨具優(yōu)勢,數(shù)據加密技術被廣泛應用于電子商務信息安全管理工作中。
(四)防火墻技術
防火墻技術是保障電子商務信息安全的重要方法,它極大的限制了公共數(shù)據與服務對于防火墻內資源的訪問權限,然而防火墻對病毒沒有防范的作用,并且由于防火墻數(shù)據時常無法及時更新,導致產生數(shù)據延遲,極大地制約了實時服務支持請求。同時防火墻通常采取的濾波技術會使網絡性能降低一半以上,而為了保證網絡性能,企業(yè)需要配置高速路由器,這不利于企業(yè)經濟效益的提高。防火墻技術是一種大眾化的電子商務信息安全防范技術,擁有頗高的透明度,并且易于操作,能在一定程度上保證電子商務信息安全。然而,如果防火墻被入侵,電子商務系統(tǒng)信息安全將受到極大的損害。同時防火墻也無法滿足企業(yè)與個體之間商業(yè)網絡通信的需求。
(五)授權認證技術分析
目前國際電子商務大多采用CA認證技術來處理電子商務信息的安全問題。作為電子商務系統(tǒng)中的權威機構,所有的電子商務系統(tǒng)數(shù)字證書都要通過CA認證中心的授權,因此CA認證技術中心受到了廣大用戶的信任。其主要通過身份識別、數(shù)字化簽名等技術途徑來處理電子商務系統(tǒng)中身份認證的問題,確保商務互動交易雙方身份的真實有效,使數(shù)據存儲、傳輸?shù)陌踩玫奖WC。
結束語
總而言之,電子商務雖然給企業(yè)帶來了極大的經濟效益,然而由于網絡環(huán)境具有開放性的特點,易產生安全漏洞和信息泄露等問題,從而使電子商務活動中雙方帶來重大的經濟損失,因此要不斷完善對計算機信息安全技術,電子商務活動環(huán)節(jié)進行有效監(jiān)測,保證電子商務信息安全,促使電子商務系統(tǒng)健康發(fā)展。
參考文獻
[1]崔曉慧.關于電子商務信息安全的探討[J].現(xiàn)代營銷,2013,(4).
篇2
移動電子商務因其快捷方便、無所不在的特點,已經成為電子商務發(fā)展的新方向。因為只有移動電子商務才能在任何地方、任何時間,真正解決做生意的問題。
但是對于任何通過無線網路(如:GSM網路)進行金融交易的用戶,安全和隱私問題無疑是其關注的焦點。由于移動電子商務的特殊性,移動電子商務的安全問題尤其顯得重要。尤其對于有線電子商務用戶來說,通常認為物理線纜能帶來更好的安全性,從而排斥使用移動電子商務。移動電子商務是一個系統(tǒng)工程,本文從技術、安全、隱私和法制等方面討論了移動商務的展所面臨的種種問題,并指出這些問題的有效解決是建設健康、安全的移動電子商務的重要保證。
一、移動通信新技術的驅動
1.無線應用協(xié)議(WAP)
無線應用協(xié)議WAP是無線通信和互聯(lián)網技術發(fā)展的產物,它不僅為無線設備提供豐富的互聯(lián)網資源,也提供了開發(fā)各種無線網路應用的途徑。1998年,WAP論壇公布了WAP1.0版本,制定了一套專門為移動互聯(lián)網而設計的應用協(xié)議,具有良好的開放性和互通性。隨著移動通信網傳輸速率的顯著提高,WAP論壇于2001年頒布了WAP2.0版本,該版本增加了對HTTP、TLS和TCP等互聯(lián)網協(xié)議的支持,WAP的工作大大簡化。WAP2.0模式有利于實現(xiàn)電子商務所需的端到端安全性,可以提供TLS隧道。
2.移動IP技術
移動IP技術,是指移動用戶可在跨網絡隨意移動和漫游中,使用基于TCP/IP協(xié)議的網絡時,不用修改計算機原來的IP地址,同時,也不必中斷正在進行的通信。移動IP通過AAA(Authentication,Authorization,Accounting)機制,實現(xiàn)網絡全方位的安全移動或者漫游功能。移動IP在一定程度上能夠很好地支持移動商務的應用。
3.第三代(3G)移動通信系統(tǒng)
第三代移動通信系統(tǒng),簡稱3G,是指將無線通信與互聯(lián)網等多媒體通信結合的移動通信系統(tǒng)。它能夠處理圖像、話音、視頻流等多種媒體形式,提供包括網頁瀏覽、電話會議、電子商務等多種信息服務。與2G相比,3G產品可提供數(shù)據速率高達2Mbps的多媒體業(yè)務。在我國,以TD-SCDMA技術為基礎的3G基礎設施和產品的建設和研制發(fā)展迅速,我國發(fā)展3G的條件已經基本具備。由于3G帶來的高速率、移動性和高安全性等特點,必然會給移動電子商務的應用帶來巨大商機。
4.無線局域網(WLAN)技術
美國電子電器工程師協(xié)會IEEE在1991年就啟動了WLAN標準工作組,稱為IEEE802.11,并在1997年產生了WLAN標準-IEEE802.11,后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標準。802.11WLAN標準自公布之日起,安全問題一直是其被關注的焦點問題。802.11b采用了基于RC4算法的有線對等保密(WEP)機制,為網絡業(yè)務流提供安全保障,但其加密和認證機制都存在安全漏洞。802.11i是2004年6月批準的WLAN標準,其目的是解決802.11標準中存在的安全問題。802.11i應用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級加密標準的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作為其加密算法,可以向后兼容802.11a/b/g等硬件設備。中國寬帶無線IP標準工作組制訂了WLAN國家標準GB15629.11,定義了無線局域網鑒別與保密基礎結構WAPI,大大減少了WLAN中的安全隱患。
二、移動電子商務面臨的安全威脅
盡管移動電子商務給工作效率的提高帶來了諸多優(yōu)勢(如:減少了服務時間,降低了成本和增加了收入),但安全問題仍是移動商務推廣應用的瓶頸。有線網絡安全的技術手段不完全適用于無線設備,由于無線設備的內存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序。例如:目前還沒有有效抵制手機病毒的防護軟件。
1.網絡本身的威脅
無線通信網絡可以不像有線網絡那樣受地理環(huán)境和通信電纜的限制就可以實現(xiàn)開放性的通信。無線信道是一個開放性的信道,它給無線用戶帶來通信自由和靈活性的同時,也帶來了諸多不安全因素:如通信內容容易被竊聽、通信雙方的身份容易被假冒,以及通信內容容易被篡改等。在無線通信過程中,所有通信內容(如:通話信息,身份信息,數(shù)據信息等)都是通過無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取無線信道上傳輸?shù)膬热荨_@對于無線用戶的信息安全、個人安全和個人隱私都構成了潛在的威脅。
2.無線adhoc應用的威脅
除了互聯(lián)網在線應用帶來的威脅外,無線裝置給其移動性和通信媒體帶來了新的安全問題。考慮無線裝置可以組成adhoc網路。Adhoc網絡和傳統(tǒng)的移動網絡有著許多不同,其中一個主要的區(qū)別就是AdHoc網絡不依賴于任何固定的網絡設施,而是通過移動節(jié)點間的相互協(xié)作來進行網絡互聯(lián)。由于其網絡的結構特點,使得AdHoc網絡的安全問題尤為突出。Adhoc網路的一個重要特點是網絡決策是分散的,網絡協(xié)議依賴于所有參與者之間的協(xié)作。敵手可以基于該種假設的信任關系入侵協(xié)作的節(jié)點。
3.網路漫游的威脅
無線網路中的攻擊者不需要尋找攻擊目標,攻擊目標會漫游到攻擊者所在的小區(qū)。在終端用戶不知情的情況下,信息可能被竊取和篡改。服務也可被經意或不經意地拒絕。交易會中途打斷而沒有重新認證的機制。由刷新引起連接的重新建立會給系統(tǒng)引入風險,沒有再認證機制的交易和連接的重新建立是危險的。連接一旦建立,使用SSL和WTLS的多數(shù)站點不需要進行重新認證和重新檢查證書。攻擊者可以利用該漏洞來獲利。
4.物理安全
無線設備另一個特有的威脅就是容易丟失和被竊。因為沒有建筑、門鎖和看管保證的物理邊界安全和其小的體積,無線設備很容易丟失和被盜竊。對個人來說,移動設備的丟失意味著別人將會看到電話上的數(shù)字證書,以及其他一些重要數(shù)據。利用存儲的數(shù)據,拿到無線設備的人就可以訪問企業(yè)內部網絡,包括Email服務器和文件系統(tǒng)。目前手持移動設備最大的問題就是缺少對特定用戶的實體認證機制。
三、移動商務面臨的隱私和法律問題
1.垃圾短信息
在移動通信給人們帶來便利和效率的同時,也帶來了很多煩惱,遍地而來的垃圾短信廣告打擾著我們的生活。在移動用戶進行商業(yè)交易時,會把手機號碼留給對方。通過街頭的社會調查時,也往往需要被調查者填入手機號碼。甚至有的用戶把手機號碼公布在網上。這些都是公司獲取手機號碼的渠道。垃圾短信使得人們對移動商務充滿恐懼,而不敢在網絡上使用自己的移動設備從事商務活動。目前,還沒有相關的法律法規(guī)來規(guī)范短信廣告,運營商還只是在技術層面來限制垃圾短信的群發(fā)。目前,信息產業(yè)部正在起草手機短信的規(guī)章制度,相信不久的將來會還手機短信一片綠色的空間。
2.定位新業(yè)務的隱私威脅
定位是移動業(yè)務的新應用,其技術包括:全球定位系統(tǒng),該種技術利用24顆GPS衛(wèi)星來精確(誤差在幾米之內)定位地面上的人和車輛;基于手機的定位技術TOA,該技術根據從GPS返回響應信號的時間信息定位手機所處的位置。定位在受到歡迎的同時,也暴露了其不利的一面——隱私問題。移動酒吧就是一個典型的例子,當你在路上時,這種服務可以在你的PDA上列出離你最近的5個酒吧的位置和其特色。或者當你途經一個商店時,會自動向你的手機發(fā)送廣告信息。定位服務在給我們帶來便利的同時,也影響到了個人隱私。利用這種技術,執(zhí)法部門和政府可以監(jiān)聽信道上的數(shù)據,并能夠跟蹤一個人的物理位置。
3.移動商務的法律保障
電子商務的迅猛發(fā)展推動了相關的立法工作。2005年4月1日,中國首部真正意義上的信息化法律《電子簽名法》正式實施,電子簽名與傳統(tǒng)的手寫簽名和蓋章將具有同等的法律效力,標志著我國電子商務向誠信發(fā)展邁出了第一步。《電子簽名法》立法的重要目的是為了促進電子商務和電子政務的發(fā)展,增強交易的安全性。
參考文獻:
篇3
一、電子商務中的信息安全問題
1.截獲信息。未加密的數(shù)據信息在網絡上以明文形式傳送,入侵者在數(shù)據包經過的網關或路由器上可以截獲傳送的信息。
2.篡改信息。當入侵者掌握了信息的格式和規(guī)律后,通過各種技術手段和方法,將網絡上傳送的信息數(shù)據在中途修改,然后再發(fā)向目的地,從而導致部分信息與原始信息不一致。
3.偽造信息。攻擊者冒充合法用戶發(fā)送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
4.中斷信息。攻擊者利用IP欺騙,偽造虛假TCP報文,中斷正常的TCP連接,從而造成信息中斷。
二、PKI及其加密體制
電子商務的信息安全在很大程度上依賴于技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數(shù)據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、網絡隱患掃描技術、系統(tǒng)安全監(jiān)測報警與審計技術等。其中密碼技術和鑒別技術是重中之重,PKI及其加密體制是實現(xiàn)這兩種技術的載體。
1.PKI的定義和功能。PKI是對公鑰所表示的信任關系進行管理的一種機制,它為Internet用戶和應用程序提供公鑰加密和數(shù)字簽名服務,PKI的功能主要包括:公鑰加密、證書、證書確認、證書撤銷。
2.對稱密碼體制。對稱密碼體制的基本特點是解密算法就是加密算法的逆運算,加秘密鑰就是解秘密鑰。在對稱密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送,而雙方實體通信所用的秘密鑰也必須妥善保管。常見的對稱加密算法包括DES、三重DES和IDEA等。
3.非對稱密碼體制。非對稱密碼體制也稱公鑰密碼體制。非對稱密碼體制的基本特點是存在一個公鑰/私鑰對,用私鑰加密的信息只能用對應的公鑰解密,用公鑰加密的信息只能用對應的私鑰解密。著名的非對稱加密算法是RSA。RSA使用的一個密鑰對是由兩個大素數(shù)經過運算產生的結果:其中一個是公鑰,為眾多實體所知;另外一個是私鑰,為了確保他的保密性和完整性,必須嚴格控制并只有他的所有者才能使用。RSA加密算法的最基本特征就是用密鑰對中的一個密鑰加密的消息只能用另外一個解密,這也就體現(xiàn)了RSA系統(tǒng)的非對稱性。
RSA的數(shù)字簽名過程如下:s=mdmodn,其中m是消息,s是數(shù)字簽名的結果,d和n是消息發(fā)送者的私鑰。
消息的解密過程如下:m=semodn,其中e和n是發(fā)送者的公鑰。
4.數(shù)字簽名。數(shù)字簽名通常使用RSA算法。RSA的數(shù)字簽名是其加密的相反方式,即由一個實體用它的私鑰將明文加密而生成的。這種加密允許一個實體向多個實體發(fā)送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發(fā)送者的公鑰就可以解密。
5.散列(Hash)函數(shù)。MD5與SHA1都屬于HASH函數(shù)標準算法中兩大重要算法,就是把一個任意長度的信息經過復雜的運算變成一個固定長度的數(shù)值或者信息串,主要用于證明原文的完整性和準確性,是為電子文件加密的重要工具。一般來說,對于給出的一個文件要算它的Hash碼很容易,但要從Hash碼找出相應的文件算法卻很難。Hash函數(shù)最根本的特點是這種變換具有單向性,一旦數(shù)據被轉換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結果,達到防止信息被篡改的目的。由于Hash函數(shù)的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數(shù)字簽名。
三、對稱和非對稱加密體制相結合的應用模型
將對稱和非對稱加密體制相結合,能夠確保電子商務信息的完整性和機密性。下面是具體的應用模型。
假設Alice和Bob擁有各自的一個公鑰/私鑰對,由共同信任的第三方頒發(fā)的數(shù)字證書以及一個對稱秘密鑰。現(xiàn)在Alice欲發(fā)送消息給Bob,并且要求確保數(shù)據的完整性,即消息內容不能發(fā)生變動;同時Alice和Bob都希望確保信息的機密性,即不容許除雙方之外的其他實體能夠察看該消息。
篇4
由于Internet本身的開放性,使電子商務系統(tǒng)面臨著各種各樣的安全威脅。目前,電子商務主要存在的安全隱患有以下幾個方面。
(一)身份冒充問題
攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,進行信息欺詐與信息破壞,從而獲得非法利益。主要表現(xiàn)有:冒充他人身份;冒充他人消費、栽贓;冒充主機欺騙合法主機及合法用戶等。
(二)網絡信息安全問題
主要表現(xiàn)在攻擊者在網絡的傳輸信道上,通過物理或邏輯的手段,進行信息截獲、篡改、刪除、插入。截獲,攻擊者可能通過分析網絡物理線路傳輸時的各種特征,截獲機密信息或有用信息,如消費者的賬號、密碼等。篡改,即改變信息流的次序,更改信息的內容;刪除,即刪除某個信息或信息的某些部分;插入,即在信息中插入一些信息,讓收方讀不懂或接受錯誤的信息。
(三)拒絕服務問題
攻擊者使合法接入的信息、業(yè)務或其他資源受阻。主要表現(xiàn)為散布虛假資訊,擾亂正常的資訊通道。包括:虛開網站和商店,給用戶發(fā)電子郵件,收訂貨單;偽造大量用戶,發(fā)電子郵件,窮盡商家資源,使合法用戶不能正常訪問網絡資源,使有嚴格時間要求的服務不能及時得到響應。
(四)交易雙方抵賴問題
某些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任。如:者事后否認曾經發(fā)送過某條信息或內容;收信者事后否認曾經收到過某條信息或內容;購買者做了訂貨單不承認;商家賣出的商品質量差但不承認原有的交易。在網絡世界里誰為交易雙方的糾紛進行公證、仲裁。
(五)計算機系統(tǒng)安全問題
計算機系統(tǒng)是進行電子商務的基本設備,如果不注意安全問題,它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞,數(shù)據丟失,信息泄露等問題。計算機系統(tǒng)也經常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時,計算機系統(tǒng)存在工作人員管理的問題,如果職責不清,權限不明同樣會影響計算機系統(tǒng)的安全。
二、電子商務安全機制
(一)加密和隱藏機制
加密使信息改變,攻擊者無法讀懂信息的內容從而保護信息;而隱藏則是將有用的信息隱藏在其他信息中,使攻擊者無法發(fā)現(xiàn),不僅實現(xiàn)了信息的保密,也保護了通信本身。
(二)認證機制
網絡安全的基本機制,網絡設備之間應互相認證對方身份,以保證正確的操作權力賦予和數(shù)據的存取控制。網絡也必須認證用戶的身份,以保證正確的用戶進行正確的操作并進行正確的審計。
(三)審計機制
審計是防止內部犯罪和事故后調查取證的基礎,通過對一些重要的事件進行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。
(四)完整性保護機制
用于防止非法篡改,利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務,當信息源的完整性可以被驗證卻無法模仿時,收到信息的一方可以認定信息的發(fā)送者,數(shù)字簽名就可以提供這種手段。
(五)權力控制和存取控制機制
主機系統(tǒng)必備的安全手段,系統(tǒng)根據正確的認證,賦予某用戶適當?shù)牟僮鳈嗔Γ蛊洳荒苓M行越權的操作。該機制一般采用角色管理辦法,針對系統(tǒng)需要定義各種角色,如經理、會計等,然后對他們賦予不同的執(zhí)行權利。
(六)業(yè)務填充機制
在業(yè)務閑時發(fā)送無用的隨機數(shù)據,增加攻擊者通過通信流量獲得信息的困難。同時,也增加了密碼通信的破譯難度。發(fā)送的隨機數(shù)據應具有良好模擬性能,能夠以假亂真。
三、電子商務安全關鍵技術
安全問題是電子商務的核心,為了滿足安全服務方面的要求,除了網絡本身運行的安全外,電子商務系統(tǒng)還必須利用各種安全技術保證整個電子商務過程的安全與完整,并實現(xiàn)交易的防抵賴性等,綜合起來主要有以下幾種技術。
(一)防火墻技術
現(xiàn)有的防火墻技術包括兩大類:數(shù)據包過濾和服務技術。其中最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數(shù)據包的頭,以決定該數(shù)據包是否發(fā)送到目的地。由于防火墻能夠對進出的數(shù)據進行有選擇的過濾,所以可以有效地避免對其進行的有意或無意的攻擊,從而保證了專用私有網的安全。將包過濾防火墻與服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于:防火墻技術只能防止經由防火墻的攻擊,不能防止網絡內部用戶對于網絡的攻擊:防火墻不能保證數(shù)據的秘密性,也不能保證網絡不受病毒的攻擊,它只能有效地保護企業(yè)內部網絡不受主動攻擊和入侵。
(二)虛擬專網技術(VPN)
VPN的實現(xiàn)過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。VPN具投資小、易管理、適應性強等優(yōu)點。VPN可幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商與公司的內部網之間建立可信的安全連接,并保證數(shù)據的安全傳輸,以此達到在公共的Internet上或企業(yè)局域網之間實現(xiàn)完全的電子交易的目的。
(三)數(shù)據加密技術
加密技術是保證電子商務系統(tǒng)安全所采用的最基本的安全措施,它用于滿足電子商務對保密性的需求。加密技術分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露,可通過常規(guī)密鑰密碼體系的方法加密機密信息,并隨報文發(fā)送報文摘要和報文散列值,以保證報文的機密性和完整性。目前常用的常規(guī)密鑰密碼體系的算法有:數(shù)據加密標準DES、三重DES、國際數(shù)據加密算法IDEA等,其中DES使用最普遍,被ISO采用為數(shù)據加密的標準。在公開密鑰密碼體系中,加密密鑰是公開信息,而解密密鑰是需要保護的,加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有:基于數(shù)論中大數(shù)分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中,常規(guī)密鑰密碼體系的特點是加密速度快、效率高,被廣泛用于大量數(shù)據的加密,但該方法的致命缺點是密鑰的傳輸易被截獲,難以安全管理大量的密鑰,因此大范圍應用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足,保密性能也優(yōu)于常規(guī)密鑰密碼體系,但公開密鑰密碼體系復雜,加密速度不夠理想。目前電子商務實際運用中常將兩者結合使用。
(四)安全認證技術
安全認證技術主要有:1.數(shù)字摘要技術,可以驗證通過網絡傳輸收到的明文是否被篡改,從而保證數(shù)據的完整性和有效性。2.數(shù)字簽名技術,能夠實現(xiàn)對原始報文的鑒別和不可否認性,同時還能阻止偽造簽名。3.數(shù)字時間戳技術,用于提供電子文件發(fā)表時間的安全保護。4.數(shù)字憑證技術,又稱為數(shù)字證書,負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。5.認證中心,負責審核用戶的真實身份并對此提供證明,而不介入具體的認證過程,從而緩解了可信第三方的系統(tǒng)瓶頸問題,而且只須管理每個用戶的一個公開密鑰,大大降低了密鑰管理的復雜性,這些優(yōu)點使得非對稱密鑰認證系統(tǒng)可用于用戶眾多的大規(guī)模網絡系統(tǒng)。6.智能卡技術,它不但提供讀寫數(shù)據和存儲數(shù)據的能力,而且還具有對數(shù)據進行處理的能力,可以實現(xiàn)對數(shù)據的加密和解密,能進行數(shù)字簽名和驗證數(shù)字簽名,其存儲器部分具有外部不可讀特性。采用智能卡,可使身份識別更有效、安全,但它僅僅為身份識別提供一個硬件基礎,如果要使身份認證更安全,還需要與安全協(xié)議的配合。
(五)電子商務安全協(xié)議
不同交易協(xié)議的復雜性、開銷、安全性各不相同,同時不同的應用環(huán)境對協(xié)議目標的要求也不盡相同。目前比較成熟的協(xié)議有:1.Netbill協(xié)議,是由J.D.Tygar等設計和開發(fā)的關于數(shù)字商品的電子商務協(xié)議,該協(xié)議假定了一個可信賴的第三方,將商品的傳送和支付鏈接到一個原子事務中。2.匿名原子交易協(xié)議,由J.D.Tygar首次提出,具有匿名性和原子性,對著名的數(shù)字現(xiàn)金協(xié)議進行了補充和修改,改進了傳統(tǒng)的分布式系統(tǒng)中常用的兩階段提交,引入了除客戶、商家和銀行之外的獨立第四方一交易日志(Transactionlog)以取代兩階段提交協(xié)議中的協(xié)調者(Coordinator)。3.安全電子交易協(xié)議SET,由VISA公司和MasterCard公司聯(lián)合開發(fā)設計。SET用于劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系,它可以對交易各方進行認證,防止商家欺詐。SET協(xié)議開銷較大,客戶、商家、銀行都要安裝相應軟件。4.安全套接字層協(xié)議SSL,是目前使用最廣泛的電子商務協(xié)議,它由Netscape公司于1996年設計開發(fā)。它位于運輸層和應用層之間,能很好地封裝應用層數(shù)據,不用改變位于應用層的應用程序,對用戶透明。然而,SSL并不專為支持電子商務而設計,只支持雙方認證,只能保證傳送信息傳送過程中不因被截而泄密,不能防止商家利用獲取的信用卡號進行欺詐。5.JEPI(JointElectronicPaymentInitiative),是為了解決眾多協(xié)議間的不兼容性而提出來的,是現(xiàn)有HTTP協(xié)議的擴展,在普遍HTTP協(xié)議之上增加了PEP(ProtocolExtensionProtocol)和UPP(UniversalPaymentPreamble)兩層結構,其目的不是提出一種新的電子支付手段,而是在允許多種支付系統(tǒng)并存的情況下,幫助商家和顧客雙方選取一個合適的支付系統(tǒng)。
四、結束語
篇5
1.電子商務信息安全的要素
1.1機密性
在過去,企業(yè)進行商業(yè)貿易往來都是通過書信等可靠的通信渠道來進行商業(yè)交流、發(fā)送商務文案的,雖然這些方法的使用速度和效率都較低,但是機密安全性能夠得到保障。在現(xiàn)代社會,電子商務是在一個開放的網絡環(huán)境中進行的,電子商務信息的安全存在一定的風險,因此要保障電子商務信息的安全,就必須保障電子商務信息的機密性。
1.2完整性
電子商務信息傳輸簡化了傳統(tǒng)貿易過程中的很多過程,減少了其中存在的一些干預信息,但與此同時,也存在著電子商務信息的完整性問題。數(shù)據錄入過程中存在的一些問題或是非法行為,很容易導致商業(yè)貿易數(shù)據被篡改。電子商務信息在傳輸?shù)倪^程中信息也有可能出現(xiàn)丟失、重復等問題。因此,保證數(shù)據信息在傳輸過程中的完整性是保障電子商務信息安全的重要因素。
1.3認證性
互聯(lián)網是一個虛擬的網絡環(huán)境,電子商務信息就是基于互聯(lián)網絡進行的,在進行商業(yè)貿易往來時,雙方不會見面,這就需要一些技術對雙方的身份進行識別和確認。
1.4有效性
在商業(yè)貿易過程中,貿易雙方都需要確認很多信息,電子商務將紙質的認證轉變成為電子信息形式,那么,保證信息的有效性是電子商務貿易的重要前提。因此,對于網絡故障、硬件或軟件出現(xiàn)的問題和計算機內部可能存在的潛在病毒都要進行一定的控制和預防工作,這樣才能保障電子商務貿易數(shù)據信息的有效性。
1.5不可抵賴性
傳統(tǒng)的貿易都是通過手寫簽名或是印章的方式進行,這樣可以有效防止貿易伙伴發(fā)生抵賴的行為。而電子商務貿易是在虛擬的互聯(lián)網絡平臺上進行的,而互聯(lián)網內每個人都是匿名的,存在極大的不安全因素。因此,如何保障電子商務信息安全的不可抵賴性是進行電子商務貿易中的一個重點。
2.電子商務信息安全中存在的問題
2.1計算機網絡安全
雖然國際經濟和數(shù)據信息早已步入全球化時代,但安全協(xié)議問題還未進行全球性的規(guī)范,并且在安全管理方面還存在著很大的漏洞,這就很容易使黑客進行攻擊。一些非法用戶在網絡上通過不正當手段攔截用戶的有效數(shù)據或是對數(shù)據進行篡改,將導致用戶的一些核心數(shù)據泄漏,使信息失去真實性和完整性。此外,一些非法用戶還會在攔截到的網絡數(shù)據中加入病毒再進行再次發(fā)送,利用修改后的數(shù)據信息惡意攻擊對方的計算機。電子服務器安全也是計算機網絡安全中的一個重要組成部分。電子商務服務器是電子商務中最重要的部分,其中保存著大量的商務信息,一旦出現(xiàn)安全問題,其造成的影響和后果是不可估量的。
2.2電子商務交易安全
電子商務交易安全主要包含身份不確定、交易抵賴和交易信息修改三個主要方面。由于電子商務貿易是基于虛擬的互聯(lián)網絡進行的,這個平臺上貿易雙方使不用見面的,這就給貿易雙方的身份確認帶來了一定的阻礙。一些非法用戶可以通過不正當手段非法獲取用戶的身份信息,再冒用他人身份信息和對方進行交易,從中獲取非法利益。此外,在電子商務貿易中一些用戶可能會對自己曾經發(fā)出的信息進行否認并推卸責任。最后就是交易信息的修改問題,在傳統(tǒng)貿易中,雙方一旦簽訂合同,一般是不可修改的,在電子商務貿易中也應當做到這點,這樣就能保證商務貿易的公平公正性。
3.電子商務信息安全的措施
3.1數(shù)據加密技術
保障電子商務信息安全的最基本措施就是數(shù)據加密技術,保障數(shù)據在存儲和傳輸過程中的安全性和機密性。隨著電子商務與信息技術的不斷發(fā)展,為了保障商務信息的完整性并進行身份鑒定,數(shù)字簽名、身份認證等新的數(shù)字驗證技術都在不斷的衍生出來。數(shù)據加密技術就是將數(shù)據信息通過一定的加密算法,將原本明了的數(shù)據信息轉化成為一段無意義的秘文,以阻止非法用戶截取信息獲取原始資料的意義,從而保障電子商務信息的安全。對稱密鑰加密體制和非對稱密鑰加密體制是目前使用最為廣泛的兩種加密技術。
3.2防火墻技術
數(shù)據包過濾和服務技術是目前互聯(lián)網內使用最為廣泛的防火墻技術。相比服務技術,數(shù)據包過濾防火墻技術使用起來更為簡單,它檢查每個收到的數(shù)據包的頭并決定數(shù)據包是否發(fā)送到目的地,因此其運用比較普遍。防火墻能夠對進出計算機網絡的數(shù)據進行一定標準的過濾,就能有效的對有害信息進行阻隔,從而保障計算機網絡的安全。然而,防火墻技術也存在著一些缺點,如防火墻只能對經過了防火墻的有害信息進行阻隔,但并不能防止計算機網絡內部的網絡攻擊,并且防火墻不能保障數(shù)據的機密性。
3.3身份認證技術
網絡中對用戶進行身份認證最常用的技術就是數(shù)字證書,類似于現(xiàn)實生活中的身份證。CA(Certificate Authority)是頒發(fā)數(shù)字證書的機構,要想保障電子商務信息安全,就必須建立一個完善、穩(wěn)固的CA。
3.4保障安全環(huán)境性措施
由于目前互聯(lián)網絡的電子商務貿易發(fā)展得還不成熟,相關的法律法規(guī)都還沒建立,其中還存在著一些較大的問題。因此就要保障電子商務信息的環(huán)境安全,首先要在我國構件一個完善的電子商務體系,其次要完善相關法律法規(guī)的建設,最后要加快網絡的基礎建設,推動企業(yè)信息化的進程。
4.結語
根據電子商務信息的機密性、完整性、認證性、有效性和不可抵賴性這五個基本要素,結合目前電子網絡信息中存在的一些問題,采用如數(shù)據加密技術、防火墻技術、身份認證等技術就能在很大程度上提高網絡信息的安全性,保障在電子商務貿易中商務信息的安全。 [科]
【參考文獻】
篇6
1電子商務的信息安全需求
電子商務是一種通過互聯(lián)網技術實現(xiàn)交易雙方網絡交流并完成雙方交易的促進全球經濟一體化的交易模式,信息技術的發(fā)展為電子商務提供了具備可行性的平臺,電子商務也成為現(xiàn)代社會進入新的經濟活動時代的重要標志。發(fā)展電子商務不僅能轉變經濟增長模式,還能提高國民的經濟生活質量和效率,是我國實現(xiàn)全面小康社會的重要推助力。電子商務的網絡化交易形式提高了交易的效率,但也帶來了一些潛在的安全問題,其中最為突出、廣受關注的就是電子商務信息安全問題。交易過程中存在著交易雙方私人信息的處理、傳送及存儲過程,會有被不法分子竊取或者篡改的可能,這就需要確保電子商務交易過程中信息交流的保密性。電子商務的飛速發(fā)展導致一些投機取巧的行為發(fā)生,有的實物商品交易賣家卻只虛擬發(fā)貨從而謀取高額利潤,也會存在買家隨意拒收導致賣家蒙受損失的現(xiàn)象,所以這就需要交易雙方身份真實可靠,不能虛假捏造,交易過程中發(fā)生問題能及時聯(lián)系解決。電子商務的運行系統(tǒng)也需要極高的安全性,不能泄露交易雙方的私人信息,需要確保軟件的可靠性。
2電子商務信息安全技術
2.1信息加密技術
加密技術主要是通過密碼算法對明文數(shù)據進行轉換的信息安全技術,加密算法對應的加密密鑰不盡相同,打開明文時需要輸入對應的密鑰,很大程度上增強了用戶的信息安全性。信息加密技術實現(xiàn)了保存數(shù)據完整性的功能,閱讀被加密的明文只能通過輸入對應密鑰來實現(xiàn),是一種主動防竊的加密行為。密鑰因其使用方式還分為對稱密鑰和非對稱密鑰兩類密鑰加密方式,對稱密鑰加密在加密與解密時都使用同一密鑰,具有運算量小及速度快的優(yōu)點,但是一但密鑰被泄露,加密功能也就消失了;非對稱密鑰加密中的加密密鑰和解密密鑰不同,用戶自己設置保存解密密鑰并將加密密鑰公開發(fā)送給明文接收方,保密性較對稱密鑰加密技術好,但運算量較大。
2.2認證技術
信息及身份認證技術是信息安全加密技術中重要的保密方式,普通的加密技術還有很多缺陷,認證技術在加密技術的基礎上輔助信息安全工作更好地執(zhí)行。信息及身份認證技術主要有數(shù)字簽名、數(shù)字信封、數(shù)字摘要及數(shù)字證書四種,數(shù)字簽名是用來確認用戶身份的絕佳技術手段之一,不同于普通加密技術的密鑰傳遞,數(shù)字簽名能有效保證用戶本人執(zhí)行工作的真實性,數(shù)字簽名下進行的密鑰傳遞就如同發(fā)送者的親筆簽名一樣,只被發(fā)送者持有的私鑰才是真實有效的解密密鑰,數(shù)字簽名在密鑰的基礎上,能夠對源文件進行鑒別保證文件的真實性并能保持文件的完整不被破壞;數(shù)字信封則是保證只有發(fā)送對象才能接收文件的有效手段,同樣是建立在密鑰的基礎上,通過非對稱密鑰與對稱密鑰相結合的方式,即文件接收者先用私鑰解開文件獲取對稱密鑰從而獲取全部文件內容,這樣使得信息安全更有保障;數(shù)字摘要技術主要通過單向哈希函數(shù)進行轉換運算后取得摘要編碼實現(xiàn)信息安全保障的,可有效保持文件完整性;數(shù)字證書相當于用戶的數(shù)字身份證,確保電子商務交易中的身份認證的真實性,并在交易中產生數(shù)據從而確保交易不可否認,確保交易數(shù)據的安全性,確保電子簽名的可靠性。
2.3防火墻技術
防火墻的主要作用是阻擋對防火墻內部資源的訪問,通常情況下會將公共數(shù)據和服務設置放在防火墻外側,有人訪問時只能訪問外側的內容,對內部資源的訪問會被限制。防火墻具備簡單實用的特點,其中的濾波技術能有效地降低網絡性能,作為一種實用的信息安全技術還具備透明度高的特點,保證在不修改原有的軟件運行環(huán)境的情況下起到保護信息安全的作用,但存在無法保護精確的信息安全的缺陷。
3結論
電子商務在現(xiàn)代經濟生活中起到了無可替代的作用,在逐漸取代線下商務的發(fā)展情況下,電子商務相關技術的研究、發(fā)展及完善就要受到足夠的重視,確保能提供給人們一個健康安全的交易環(huán)境,促進電子商務更好地發(fā)展。現(xiàn)今電子商務中的信息安全技術存在或多或少的缺陷,需要相關工作人員投入研究并將其完善,從而更好地保障用戶的信息安全。
作者:呂汶潔 陳薛镅 李丹丹 單位:沈陽理工大學
參考文獻:
篇7
使用。
二、問題的成因分析
信息安全問題的出現(xiàn),既有管理原因,也有技術原因,既有本身缺陷,也有外來因素所致,歸結起來,主要有以下四方面的原因:
1.電腦黑客
黑客對于系統(tǒng)和編程語言大多有著深刻的認識,它是指對于電腦系統(tǒng)的非法入侵者,他們對于網絡存在著一定程度的攻擊性,也進一步惡化了網絡環(huán)境。
2.計算機病毒
計算機病毒的主要危害在于激發(fā)對計算機數(shù)據信息的直接破壞作用,占用磁盤空間和對信息的破壞,搶占系統(tǒng)資源,影響計算機運行速度,出現(xiàn)計算機病毒錯誤與不可預見的危害。人們不可能花費大量時間去分析數(shù)萬種病毒的錯誤所在,大量含有未知錯誤的病毒擴散傳播,其后果是難以預料的。計算機病毒的兼容性影響系統(tǒng)運行。兼容性是計算機軟件的一項重要指標,兼容性好的軟件可以在各種計算機環(huán)境下運行,反之兼容性差的軟件則對運行條件有限制,要求機型和操作系統(tǒng)版本等。病毒的編制者一般不會在各種計算機環(huán)境下對病毒進行測試,因此病毒的兼容性較差,常常導致死機,并且對用戶造成嚴重的心理
壓力。
3.技術因素
網絡軟件設計時不可能完美無缺,總會出現(xiàn)一些缺陷和漏洞。這些漏洞和缺陷正是黑客進行攻擊的首選目標,而且目前還沒有一些技術能提前全部防范這些病毒和黑客。
4.管理因素
用戶安全意識淡薄、管理不善是當前存在的一個嚴重的問題。主要有以下三點:一是一些國家如中國缺乏強有力的權威管理機構,網絡安全立法滯后,安全管理部門受人力、技術等條件的限制影響著安全管理措施的有效實施;二是缺乏安全審計,安全審計是把與安全相關的事件記錄到安全日志中,但是現(xiàn)有的網絡系統(tǒng)大多數(shù)缺少安全審計,安全日志形同虛設;三是安全意識淡薄,人們對信息安全認識不夠,過分依賴信息安全產品,缺乏細致的內部網絡管理機制,一些用戶警惕性不高,操作麻痹,甚至把自己賬號隨意交給他人。
三、常用網絡安全技術
1.反病毒軟件
反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術特色。一是防火墻技術,其目的是保護內部網絡不受外部網絡的攻擊,及防止內部網絡用戶向外泄密,為用戶提供一個實時監(jiān)控防止病毒發(fā)作的工具。它對用戶訪問的每一個文件進行病毒檢測,確認無毒后才會讓系統(tǒng)接管進行下一步的工作。目前,防火墻技術主要分為分組過濾和服務兩種類型。二是反病毒軟件在線升級的方式。三是統(tǒng)一的防病毒管理。四是嵌人式查毒技術的形成,它將殺毒引擎直接嵌掛到IE瀏覽器和流行辦公軟件組件當中,使其與可能發(fā)生病毒侵擾的應用程序有機地結合為一體,在占用系統(tǒng)資源最小的情況下查殺病毒。
2.密碼技術
密碼技術包括加密和解密兩個方面。密碼技術可對信息進行加密解密處理,實現(xiàn)信息的安全,這兩者之間是密不可分的。加密是指采用數(shù)學方法對原始信息進行加工,使得加密后在網絡上公開傳輸?shù)膬热輰τ诜欠ń邮照咧皇呛翢o意義的字符,對于合法的接收者,因其掌握正確的密鑰,可以通過解密得到原始內容。密碼系統(tǒng)至少包含明文、密文、密碼技術,密鑰幾個部分。
3.入侵檢測技術
入侵檢測技術是對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統(tǒng)。入侵檢測技術針對包括系統(tǒng)外部的入侵和內部用戶的非授權行為,是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
入侵檢測通過執(zhí)行以下任務來實現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動,系統(tǒng)構造和弱點的審計,識別反映已知進攻的活動模式并向相關人士報警,異常行為模式的統(tǒng)計分析,評估重要系統(tǒng)和數(shù)據文件的完整性,操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。
4.虛擬專用網(VPN)技術
虛擬專用網(VPN)技術是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。通常,VPN是對企業(yè)內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接,并保證數(shù)據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網。
四、提高電子商務信息安全的對策探討
1.開展網絡安全立法和執(zhí)法
網絡安全立法要吸取和借鑒國外網絡信息安全立法的先進經驗,結合我國國情對現(xiàn)行法律體系進行修改與補充,使法律體系更加科學和完善。要建立有利于信息安全案件訴訟與公、檢、法機關辦案的制度,提高執(zhí)法效率和質量。要對違犯國家法律法規(guī),對計算機信息存儲系統(tǒng)、應用程序或傳輸?shù)臄?shù)據進行刪除、修改、增加、干擾的行為依法懲處。
2.提高網絡信息安全意識
以有效方式和途徑在全社會普及網絡安全知識,提高公民的網絡安全意識與自覺性,學會維護網絡安全的基本技能,并在思想上把信息資源共享與信息安全防護有機統(tǒng)一起來,樹立維護信息安全就是保生存、促發(fā)展的觀念。
3.加強網絡安全管理
建立信息安全領導機構,有效統(tǒng)一、協(xié)調和研究未來趨勢,制定宏觀政策,實施重大決定。嚴格執(zhí)行《中華人民共和國計算機信息系統(tǒng)安全保護條例》與《計算機信息網絡安全保護管理辦法》,明確責任,規(guī)范崗位職責,制定有效防范措施,并且嚴把用戶入網關,合理設置訪問權限等。
4.加快網絡安全專業(yè)人才的培養(yǎng)
篇8
1電子商務所面臨的信息安全威脅
1.1 安全環(huán)境惡化
由于在計算機及網絡技術方面發(fā)展較為遲緩,我國在很多硬件核心設備方面依然以進口采購為主要渠道,不能自主生產也意味著不能自主控制,除了生產技術、維護技術也相應依靠國外引進,這也就讓國內的電子商務無法看到眼前的威脅以及自身軟件的應付能力。
1.2平臺的自然物理威脅
由于電子商務通過網絡傳輸進行,因此諸如電磁輻射干擾以及網絡設備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預測,而這些威脅將直接影響信息安全。此外,人為破壞商務系統(tǒng)硬件,篡改刪除信息內容等行為,也會給企業(yè)造成損失。
1.3黑客入侵
在諸多威脅中,病毒是最不可控制的,其主要作用是損壞計算機文件,且具有繁殖功能。配合越來越便捷的網絡環(huán)境,計算機病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性,本地計算機所記錄的登錄信息都會被木馬程序篡改,從而造成信息之外的文件和資金遭竊。
2電子商務信息安全的防范處理方法
2.1針對病毒的技術
作為電子商務安全的最大威脅,對于計算機病毒的防范是重中之重。對于病毒,處理態(tài)度應該以預防為主,查殺為輔。因為病毒的預防工作在技術層面上比查殺要更為簡單。多種預防措施的并行應用很重要,比如對全新計算機硬件、軟件進行全面的檢測;利用病毒查殺軟件對文件進行實時的掃描;定期進行相關數(shù)據備份;服務器啟動采取硬盤啟動;相應網絡目錄和文件設置相應的訪問權限等等。同時在病毒感染時保證文件的及時隔離。在計算機系統(tǒng)感染病毒的情況下,第一時間清除病毒文件并及時恢復系統(tǒng)。
2.2防火墻應用
防火墻主要是用來隔離內部網和外部網,對內部網的應用系統(tǒng)加以保護。目前的防火墻分為兩大類:一類是簡單的包過濾技術,它是在網絡層對數(shù)據包實施有選擇的通過。依據系統(tǒng)內事先設定的過濾邏輯,檢查數(shù)據流中每個數(shù)據包后,根據數(shù)據包的源地址、目的地址、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來確定是否允許數(shù)據包通過。另一類是應用網管和服務器,可針對特別的網絡應用服務協(xié)議及數(shù)據過濾協(xié)議,并且能夠對數(shù)據包分析并形成相關的報告
2.3數(shù)據加密技術的引入
加密技術是保證電子商務安全采用的主要安全措施。加密過程就是根據一定的算法,將可理解的數(shù)據(明文)與一串數(shù)字(密鑰)相結合,從而產生不可理解的密文的過程,主要加密技術是:對稱加密技術和非對稱加密技術。
2.4認證系統(tǒng)
網上安全交易的基礎是數(shù)字證書。數(shù)字證書類似于現(xiàn)實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。傳統(tǒng)的對稱密鑰算法具有加密強度高、運算速度快的優(yōu)點,但密鑰的傳遞與管理問題限制了它的應用。為解決此問題,20 世紀 70 年代密碼界出現(xiàn)了公開密鑰算法,該算法使用一對密鑰即一個私鑰和一個公鑰,其對應關系是唯一的,公鑰對外公開,私鑰個人秘密保存。一般用公鑰來進行加密,用私鑰來進行簽名;同時私鑰用來解密,公鑰用來驗證簽名。
2.5其他注意事項
(1)機密性是指信息在存儲或傳輸過程中不被他人竊取或泄漏,滿足電子商務交易中信息保密性的安全需求,避免敏感信息泄漏的威脅。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環(huán)境上的,維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。
(2)商務信息的完整性,只讀特性以及修改授權問題是電子商務信息需要攻克的一大難關。信息在傳輸過程中必須保持原內容,不能因技術、環(huán)境以及刻意原因而輕易被更改。
篇9
電子商務(E-Commerce)是在Internet開放的網絡環(huán)境下,基于瀏覽器服務器的應用方式,實現(xiàn)消費者的網上購物商戶之間的網上交易和在線電子支付的商業(yè)運營模式最近幾年,電子商務以其便利快捷的特點迅速發(fā)展起來,但是安全問題一直是阻礙其發(fā)展的關鍵因素雖然PKI的研究和應用為互聯(lián)網絡安全提供了必要的基礎設施,但是電子商務信息的機密性和完整性仍然是迫切需要解決的問題,本文針對這一問題展開了深入研究并提出了解決方法
1PKI的定義和功能
PKI——公鑰基礎設施,是構建網絡應用的安全保障,專為開放型大型互聯(lián)網的應用環(huán)境而設計PKI是對公鑰所表示的信任關系進行管理的一種機制,它為Internet用戶和應用程序提供公鑰加密和數(shù)字簽名服務,目的是為了管理密鑰和證書,保證網上數(shù)字信息傳輸?shù)臋C密性真實性完整性和不可否認性,以使用戶能夠可靠地使用非對稱密鑰加密技術來增強自己的安全水平PKI的功能主要包括:公鑰加密證書證書確認證書撤銷
2公鑰密碼系統(tǒng)
由于PKI廣泛應用于電子商務,故文章重點放在討論RSA公鑰密碼系統(tǒng)上RSA的安全性是基于數(shù)論和計算復雜性理論中的下述論斷:求兩個大素數(shù)的乘積在計算上是容易的,但若分解兩個大素數(shù)的積而求出它的因子則在計算上是困難的,它屬于NPI類
2.1RSA系統(tǒng)
RSA使用的一個密鑰對是由兩個大素數(shù)經過運算產生的結果:其中一個是公鑰,為眾多實體所知;另外一個是私鑰,為了確保其保密性和完整性,必須嚴格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密鑰對中的一個密鑰加密的消息只能用另外一個解密,這也就體現(xiàn)了RSA系統(tǒng)的非對稱性RSA具有加密和數(shù)字簽名功能RSA產生公鑰/私鑰對加解密的過程如下:
2.1.1產生一個公鑰/私鑰對
(1)選取兩個大素數(shù)p和q,為了獲得最大程度的安全性,兩個數(shù)的長度最好相同兩個素數(shù)p和q必須保密
(2)計算p與q的乘積:n=p*q
(3)再由p和q計算另一個數(shù)z=(p-1)*(q-1)
(4)隨機選取加密密鑰e,使e和z互素
(5)用歐幾里得擴展算法計算解密密鑰d,以滿足e*d=1mod(z)
(6)由此而得到的兩組數(shù)(n,e)和(n,d)分別被稱為公鑰和私鑰
2.1.2加密/解密過程
RSA的加密方法是一個實體用另外一個實體的公鑰完成加密過程,這就允許多個實體發(fā)送一個實體加密過的消息而不用事先交換秘密鑰或者私鑰,并且由于加密是用公鑰執(zhí)行的,所以解密只能用其對應的私鑰來完成,因此只有目標接受者才能解密并讀取原始消息
在實際操作中,RSA采用一種分組加密算法,加密消息m時,首先將它分成比n小的數(shù)據分組(采用二進制數(shù),選取小于n的2的最大次冪),加密后的密文c,將由相同長度的分組ci組成加密公式簡化為:
ci=mie(modn)
即對于明文m,用公鑰(n,e)加密可得到密文c:
c=memodn,其中m={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)
解密消息時,取每一個加密后的分組ci并計算:mi=cid(modn),便能恢復出明文即對于密文c,用接收者的私鑰(n,d)解密可得到明文m:
m=cdmodnm={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)
2.1.3數(shù)字簽名
RSA的數(shù)字簽名是加密的相反方式,即由一個實體用它的私鑰將明文加密而生成的這種加密允許一個實體向多個實體發(fā)送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發(fā)送者的公鑰就可以解密
RSA的數(shù)字簽名過程如下:
s=mdmodn,其中m是消息,s是數(shù)字簽名的結果,d和n是消息發(fā)送者的私鑰
消息的解密過程如下:
m=semodn,其中e和n是發(fā)送者的公鑰
2.1.4散列(Hash)函數(shù)
MD5與SHA1都屬于Hash函數(shù)標準算法中兩大重要算法,就是把一個任意長度的信息經過復雜的運算變成一個固定長度的數(shù)值或者信息串,主要用于證明原文的完整性和準確性,是為電子文件加密的重要工具一般來說,對于給出的一個文件要算它的Hash碼很容易,但要從Hash碼找出相應的文件算法卻很難Hash函數(shù)最根本的特點是這種變換具有單向性,一旦數(shù)據被轉換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結果,達到防止信息被篡改的目的由于Hash函數(shù)的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數(shù)字簽名
2.2對稱密碼系統(tǒng)
對稱密碼系統(tǒng)的基本特點是解密算法就是加密算法的逆運算,加秘密鑰就是解秘密鑰它通常用來加密帶有大量數(shù)據的報文和問卷通信的信息,因為這兩種通信可實現(xiàn)高速加密算法在對稱密碼系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送,而雙方實體通信所用的秘密鑰也必須妥善保管
3應用模型
利用公鑰加密系統(tǒng)可以解決電子商務中信息的機密性和完整性的要求,下面是具體的應用模型在本例中,Alice與Bob兩個實體共享同一個信任點,即它們使用同一CA簽發(fā)的數(shù)字證書因此,它們無需評價信任鏈去決定是否信任其他CA
3.1準備工作
(1)Alice與Bob各自生成一個公鑰/私鑰對;
(2)Alice與Bob向RA(機構)提供各自的公鑰名稱和描述信息;
(3)RA審核它們的身份并向CA提交證書申請;
(4)CA格式化Alice和Bob的公鑰及其他信息,為Alice和Bob分別生成公鑰證書,然后用自己的私鑰對證書進行數(shù)字簽名;
(5)上述過程的結果是,Alice與Bob分別擁有各自的一個公鑰/私鑰對和公鑰證書;
(6)Alice與Bob各自生成一個對稱秘密鑰
現(xiàn)在,Alice和Bob擁有各自的一個公鑰/私鑰對,由共同信任的第三方頒發(fā)的數(shù)字證書以及一個對稱密鑰
3.2處理過程
假設現(xiàn)在Alice欲發(fā)送消息給Bob,并且要求確保數(shù)據的完整性,即消息內容不能發(fā)生變動;同時Alice和Bob都希望確保信息的機密性,即不容許除雙方之外的其他實體能夠查看該消息完成這樣要求的處理過程如下:其中步驟1~5說明Alice加密消息過程;步驟6~10說明Bob解密消息的過程
(1)Alice按照雙方約定的規(guī)則格式化消息,然后用Hash函數(shù)取得該消息的散列值,該值將被用來測試消息的合法性和完整性
(2)Alice用私鑰對消息和散列值進行簽名(加密)這一簽名確保了消息的完整性,因為Bob認為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名值得注意的是:現(xiàn)在任何有權訪問Alice公鑰的實體都能解密該被簽名的消息,所以我們僅僅是保證了消息的完整性,而沒有確保其機密性
(3)由于Alice和Bob之間想保持消息的機密性,所以Alice用它的對稱秘密鑰加密被簽名的消息和散列值這一對稱秘密鑰只有Alice和Bob共享而不被其他實體所用注意,在本例中,我們使用了一個對稱秘密鑰,這是因為對于加密較長消息諸如訂購信息來說,利用對稱加密比公鑰加密更為有效
(4)Alice必須向Bob提供它用來給消息加密的對稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息Alice用Bob的公鑰將自己的對稱秘密鑰簽名(加密),這里我們假設Alice事先已經獲得Bob的公鑰,這樣就形成了一個數(shù)字信箋,并且只有Bob才能將其打開(解密),因為只有Bob能夠訪問用來打開該數(shù)字信箋的私鑰注意,一個公鑰/私鑰對中,用其中一個密鑰加密的信息只有用另外一個密鑰才能解密這就為Alice向Bob傳輸對稱秘密鑰提供了機密性
(5)Alice發(fā)送給Bob的信息包括它用對稱秘密鑰加密的原始消息和散列值,以及用Bob公鑰加密的包含Alice的對稱秘密鑰的數(shù)字信箋圖1描述了Alice使用數(shù)字簽名向Bob發(fā)送消息(步驟1~5)
(6)Bob用它的私鑰打開(解密)來自于Alice的數(shù)字信箋完成這一過程將使Bob獲得Alice以前用來加密消息和散列值的對稱秘密鑰
(7)Bob現(xiàn)在可以打開(解密)用Alice的對稱秘密鑰加密的消息和散列值解密后Bob得到了用Alice的私鑰簽名的消息和散列值
(8)Bob用Alice的公鑰解密簽名的消息和散列值注意,一個公鑰/私鑰對中,用其中一個密鑰加密的信息只有用另外一個密鑰才能解密
(9)為了證實消息沒有經過任何改動,Bob將原始消息采用與Alice最初使用的完全一致的Hash函數(shù)進行轉化
(10)最后,Bob將得出的散列值與它從所收消息中解密出來的散列值對比,若二者相同,則證明了消息的完整性圖2描述了Bob解密和對比散列值的過程(步驟6~10)
3.3實現(xiàn)方法
采用Java語言實現(xiàn)系統(tǒng),Java語言本身提供了一些基本的安全方面的函數(shù),我們可以在此基礎上實現(xiàn)更為復雜和有效的應用系統(tǒng)系統(tǒng)中主要的類實現(xiàn)如下:
(1)DataEncryption類該類主要實現(xiàn)明文向密文的轉換,依據RSA算法的規(guī)則實現(xiàn)非對稱加密,其中密鑰長度為128位每次可加密數(shù)據的最大長度為512字節(jié),因此對于較長數(shù)據的加密需要劃分適當大小的數(shù)據塊
(2)DataHash類該類完成對所要加密消息產生對應的散列值,對于不同的消息,散列值是不相同的可以借助Java中提供的Hash函數(shù)來實現(xiàn)
(3)DataDecryption類該類主要實現(xiàn)密文向明文的轉換,依據依據RSA算法的規(guī)則,利用加密方的公鑰對密文進行解密,并將解密后的明文按序排好
4結束語
文章以PKI理論為基礎,利用公鑰密碼系統(tǒng)確保了電子商務過程中所傳輸消息的完整性,使用對稱加密系統(tǒng)實現(xiàn)對較長消息的加密,并保證了消息的機密性文章的理論研究和實現(xiàn)方法,對于保障電子商務活動中消息的完整性和機密性具有重要的指導意義
主要參考文獻
篇10
1電子商務信息安全的重要性
信息安全是指防止信息數(shù)據被故意或偶然的非授權泄漏、更改及破壞,以保障信息的可用性、可靠性、完整性、保密性。而電子商務所依賴的信息流是否安全也直接關系到各個相關主體的利益,從而影響到整個企業(yè)經濟收益水平和競爭力,因此信息安全是實現(xiàn)電子商務正常運作的重要保障,是實現(xiàn)信息流、商流和資金流的根本保證。在當前完全開放的網絡環(huán)境下,保障電子商務活動中信息安全顯得尤為重要。(1)信息的可用性,是保障電子商務正常開展的重要前提,即電子商務在交易活動中,交易雙方之間提供的信息必須是可用的,只有這樣才能保證交易結果的有效性。因而網絡環(huán)境下的非人為故障成為信息可用性的阻礙,即相關的網絡故障、計算機中病毒等等。(2)信息的可靠性,是保障電子商務正常運行的關鍵,即防止計算機失效、系統(tǒng)軟件錯誤、程序錯誤等危險,以保證信息和信息系統(tǒng)安全可靠。(3)信息的完整性,是電子商務應用的重要基礎,即要保證信息在網絡上存儲或傳輸過程中不被篡改、修改或丟失,并保證信息傳送次序的統(tǒng)一。(4)信息的保密性,是電子商務推廣應用的重要保障,即要嚴格控制信息存取和信息傳輸?shù)倪^程中不泄漏給非授權的個人和實體。
2電子商務過程中存在的信息安全問題
網絡環(huán)境下,電子商務不斷發(fā)展,同時也面臨著諸多信息安全隱患,主要表現(xiàn)在以下幾個方面。2.1網絡環(huán)境本身存在的安全問題。(1)系統(tǒng)自身存在的漏洞問題。電子商務系統(tǒng)是指各個相關主體等在Internet和其他網絡的基礎上,以實現(xiàn)企業(yè)電子商務活動的目標。因此系統(tǒng)自身存在的漏洞問題不可避免,這是相關技術研發(fā)人員在網絡系統(tǒng)研發(fā)過程中沒能建立完善的應對措施,導致電子商務的不安全隱患發(fā)生,如保存在系統(tǒng)中的個人隱私信息被不法分子獲取、企業(yè)信息遭到泄漏等。(2)網絡自身存在的缺陷。電子商務是以計算機網絡為基礎的,而網絡本身也存在著缺陷,如:TCP/IP的脆弱性,使其容易受到網絡攻擊;網絡結構的不安全性,導致信息數(shù)據在傳輸過程中易被竊聽等。2.2信息存儲過程中的安全問題。電子商務在靜態(tài)存放時的安全,被稱為信息存儲安全。在網絡開放的大環(huán)境下,電子商務的信息存儲安全存在著兩種不安全要素,即內部不安全要素,是指企業(yè)內部之間、企業(yè)的顧客在沒有得到授權的情況下調用或隨意修改、刪減電子商務信息;外部不安全因素,是指企業(yè)外部人員非法入侵計算機網絡,在未授權的情況下隨意調用、修改、刪減電子商務信息等,導致企業(yè)主體商業(yè)機密泄漏或遭他人盜用,造成同行業(yè)之間惡性競爭。2.3信息傳輸中的安全問題。信息傳輸安全是指商務信息在交易過程中的傳輸安全。其存在的不安全性主要包括:商務信息在網絡傳輸過程中被非法竊取、篡改或偽造等,導致交易信息丟失或被否認等,嚴重影響了電子商務的正常運作。2.4交易過程中的信息安全問題。(1)買方信息安全威脅。買方信息在未授權的情況下非法攔截、竊取,導致交易信息泄漏或者假冒買方被要求付賬或返還商品;交易信息的不完整或被篡改,導致買方沒有收到商品;計算機被病毒感染或遭黑客攻擊,導致個人信息丟失或被竊取等。(2)賣方信息安全威脅。賣方信息,如營銷信息和客戶信息等被非法侵入、竊取;假冒合法用戶改變交易內容,導致電子商務交易中斷,不僅使買方權益受損,還會造成賣方信譽受損;黑客入侵賣方商務系統(tǒng),泄漏商業(yè)機密或制造虛假信息影響賣方的正常銷售等等。
3電子商務信息安全防范措施
3.1采用各種先進的信息安全技術。在網絡背景下,如何利用現(xiàn)代計算機信息安全技術減少系統(tǒng)漏洞、防止黑客入侵和病毒感染,以保障電子商務信息安全至關重要。(1)數(shù)據加密技術。由于網絡協(xié)議的限制,使得數(shù)據流在傳輸過程中處于未加密狀態(tài),包括用戶名、密碼等認證信息,容易導致數(shù)據在傳輸過程中被非法竊聽和盜取,因此使用數(shù)據加密技術能夠在一定程度上保證信息的完整性和安全性。信息加密技術是最基本的安全技術,是主動安全防范的有效策略,其目的是為了防止合法接收者之外的人獲取機密信息,保護網絡會話的完整性。加密是利用加密函數(shù)轉換和保密的密鑰對信息進行編碼,變成無意義的密文,以便只有合法的接收者通過解密得到原始數(shù)據。加密技術根據密匙類型分為對稱加密技術和非對稱加密技術,其中對稱密匙加密算法主要包括數(shù)據加密標準DES算法和國際數(shù)據加密算法IDEA算法;非對稱密匙加密也稱公開密匙加密,其主要是RSA加密算法。(2)認證技術。認證技術是指采用密碼技術設計出安全性高的識別協(xié)議,確認信息發(fā)送者的身份,驗證信息完整性,即保證信息在傳送或存儲過程中未被修改、重復、刪除等,如數(shù)字證書、電子商務認證授權機構等。(3)防病毒技術。電子商務的信息安全,防范木馬攻擊和病毒更是重中之重。對于病毒,要以預防為主,查殺為輔,當前保護信息安全的技術主要包括:預防病毒技術,監(jiān)視和判斷系統(tǒng)中是否存在病毒,并預防病毒進入系統(tǒng)和對系統(tǒng)軟件資源即文件造成干擾和破壞;檢測病毒技術,即在計算機病毒的關鍵字、特征程序段內容等特征分類的基礎上進行識別和偵測;消除病毒技術,對病毒進行分析研究后,開發(fā)出具有殺除病毒程序并恢復原文件的軟件。3.2加強網絡安全基礎設施建設。在網絡背景下,通過設置多道防火墻、多層密保等,在一定程度上減少了黑客入侵、信息泄露等一系列電子商務信息安全問題。但由于我國計算機信息技術起步較晚,大部分計算機軟硬件核心部件都源自國外進口,如一些關鍵部件、安全軟件及操作系統(tǒng)都不是自主研發(fā)的,這就必然導致我國計算機網絡信息安全方面的漏洞。因此,我國要進一步加強網絡安全基礎設施建設,建立我國自己的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
綜上所述,網絡背景下的電子商務發(fā)展帶給人們日常生活便利的同時,也給相關主體的信息安全帶來隱患,如果能解決好電子商務信息安全的問題,電子商務的發(fā)展前景是相當可觀的。因此,建立安全、快捷、高效的電子商務環(huán)境至關重要,需進一步加大投入、開發(fā)新的、有效的信息安全技術,以確保電子商務的健康、可持續(xù)發(fā)展。
作者:唐利娜 單位:鄭州工業(yè)技師學院
參考文獻
篇11
1電子商務所面臨的信息安全威脅
1.1 安全環(huán)境惡化
由于在計算機及網絡技術方面發(fā)展較為遲緩,我國在很多硬件核心設備方面依然以進口采購為主要渠道,不能自主生產也意味著不能自主控制,除了生產技術、維護技術也相應依靠國外引進,這也就讓國內的電子商務無法看到眼前的威脅以及自身軟件的應付能力。
1.2平臺的自然物理威脅
由于電子商務通過網絡傳輸進行,因此諸如電磁輻射干擾以及網絡設備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預測,而這些威脅將直接影響信息安全。此外,人為破壞商務系統(tǒng)硬件,篡改刪除信息內容等行為,也會給企業(yè)造成損失。
1.3黑客入侵
在諸多威脅中,病毒是最不可控制的,其主要作用是損壞計算機文件,且具有繁殖功能。配合越來越便捷的網絡環(huán)境,計算機病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性,本地計算機所記錄的登錄信息都會被木馬程序篡改,從而造成信息之外的文件和資金遭竊。
2電子商務信息安全的防范處理方法 1針對病毒的技術
作為電子商務安全的最大威脅,對于計算機病毒的防范是重中之重。對于病毒,處理態(tài)度應該以預防為主,查殺為輔。因為病毒的預防工作在技術層面上比查殺要更為簡單。多種預防措施的并行應用很重要,比如對全新計算機硬件、軟件進行全面的檢測;利用病毒查殺軟件對文件進行實時的掃描;定期進行相關數(shù)據備份;服務器啟動采取硬盤啟動;相應網絡目錄和文件設置相應的訪問權限等等。同時在病毒感染時保證文件的及時隔離。在計算機系統(tǒng)感染病毒的情況下,第一時間清除病毒文件并及時恢復系統(tǒng)。 2防火墻應用
防火墻主要是用來隔離內部網和外部網,對內部網的應用系統(tǒng)加以保護。目前的防火墻分為兩大類:一類是簡單的包過濾技術,它是在網絡層對數(shù)據包實施有選擇的通過。依據系統(tǒng)內事先設定的過濾邏輯,檢查數(shù)據流中每個數(shù)據包后,根據數(shù)據包的源地址、目的地址、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來確定是否允許數(shù)據包通過。另一類是應用網管和服務器,可針對特別的網絡應用服務協(xié)議及數(shù)據過濾協(xié)議,并且能夠對數(shù)據包分析并形成相關的報告。
2.3數(shù)據加密技術的引入
加密技術是保證電子商務安全采用的主要安全措施。加密過程就是根據一定的算法,將可理解的數(shù)據(明文)與一串數(shù)字(密鑰)相結合,從而產生不可理解的密文的過程,主要加密技術是:對稱加密技術和非對稱加密技術。 4認證系統(tǒng)
網上安全交易的基礎是數(shù)字證書。數(shù)字證書類似于現(xiàn)實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。傳統(tǒng)的對稱密鑰算法具有加密強度高、運算速度快的優(yōu)點,但密鑰的傳遞與管理問題限制了它的應用。為解決此問題,20 世紀 70 年代密碼界出現(xiàn)了公開密鑰算法,該算法使用一對密鑰即一個私鑰和一個公鑰,其對應關系是唯一的,公鑰對外公開,私鑰個人秘密保存。一般用公鑰來進行加密,用私鑰來進行簽名;同時私鑰用來解密,公鑰用來驗證簽名。 5其他注意事項
(1)機密性是指信息在存儲或傳輸過程中不被他人竊取或泄漏,滿足電子商務交易中信息保密性的安全需求,避免敏感信息泄漏的威脅。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環(huán)境上的,維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。
(2)商務信息的完整性,只讀特性以及修改授權問題是電子商務信息需要攻克的一大難關。信息在傳輸過程中必須保持原內容,不能因技術、環(huán)境以及刻意原因而輕易被更改。
篇12
如何正確把握安全與應用的關系,安全配置的“邊”在哪里,“度”又該如何衡量,這些問題在電子政務領域顯得尤為突出。“水池定律”即是對這一問題做出的一種解釋。
“水池的注、排水口同時開放,只有當單位時間內的注水量大于排水量時,水池內才會存住水,水池才有可能被注滿。”—這個道理人人都懂,雖然我們都覺得一邊注水一邊排水很浪費,但在現(xiàn)實世界中,由于一些不可避免的客觀原因所限,類似情況并不少見。
如果把信息系統(tǒng)看作一個水池,水看作利益,則注水相當于得到利益,排水相當于損失利益,一個信息系統(tǒng)能否給它的所有者帶來收益,就是看這個水池能否存得住水。問題的關鍵就是看獲得利益的速度是否大于損失利益的速度。
在電子商務領域,利益多表現(xiàn)為有形的資產,可以量化為金錢來衡量。信息系統(tǒng)經過一段時間的運行,它的效益可以從利潤中體現(xiàn)出來。對于電子政務,雖然不能簡單一概而論,但道理是相似的。業(yè)務應用給信息系統(tǒng)的所有者及服務對象帶來收益,是注水口,安全風險又會造成損失,是排水口。應用該不該建,安全上怎么防,關鍵是要讓收益速度遠遠大于損失速度,即單位時間內的注水量大于排水量,這樣池子里才存得住水,這個系統(tǒng)才建得值。所以不能單純、片面地盯住安全問題,而應把它放在信息系統(tǒng)建設的大環(huán)境中,從整體上、全局上把握。這樣一來,很多我們在信息安全建設中碰到的問題就有了決策的依據。
具體來說,在信息安全建設中,我們經常會碰到以下問題:
現(xiàn)象一:要把水池建成銅墻鐵壁,滴水不漏一一信息安全過度配置,防護過度。
現(xiàn)象二:要關閉水池一一把個別安全事件作為普遍現(xiàn)象來衡量得失,從而導致信息化建設大踏步倒退。
現(xiàn)象三:水池沒人管,誰都不清楚水池的注水量和排水量是多少一一應用效益缺乏評估,安全建設外緊內松,安全隱患依然存在。
造成上述問題的原因可能是以下一種或多種。
原因一:注水口的水流過小或根本沒水—效益沒見著,卻要承擔安全風險;費力不討好也就罷了,誰愿意花錢找罪受、自討苦吃?所以看上去是過分強調安全,實質上是應用效益沒見著,沒有源頭活水,自然沒有熱情和本錢去承擔哪怕是很小的一點安全風險。這里需要說明的是,一些服務于社會公眾的應用,雖然所有者本身并沒有直接獲益,但公眾獲得了便利,相當于政府取得了無形收益,所有者可視為間接受益。
此外,與應用結合的安全建設需要根據應用量體裁衣。量體裁衣不是為了省布料,而是為了更合適。同理,根據應用定制安全也不是為了省錢,而是為了更安全。有了值得保護的應用,才有了評估風險的具體對象,也才好有針對性地制定防范對策。
原因二:注、排水口不在一個池子上。安全風險承擔者不是應用效益獲得者,兩者之間沒有共同的利益。
這種現(xiàn)象更為常見,但很多情況是利益鏈存在“脫節(jié)”造成的。比如一個單位的應用取得效益,其榮譽歸甲部門;同樣是這個應用,安全出問題卻要乙部門承擔責任,合適嗎?這不僅涉及是否公平、合理的問題,更影晌到系統(tǒng)的長遠發(fā)展、生命力問題。當安全風險承擔者較為強勢時,可能會片面強調安全,甚至把安全風險混同于具體的安全事故,這種概念混淆就好比以一次空難事故來衡量坐飛機的風險。即使發(fā)生了空難,飛機還是有人去坐,首先是因為它快捷,其次空難概率畢竟很小。所以說,安全事故是不能預測的,但安全風險是可以預估的。信息安全建設的所要做的是對可預估的風險采取相應措施,把能做的、該做的事做到位,那么即使事故還是會發(fā)生,我們也盡到了責任,問心無愧、不留遺憾。
二、當安全風險承擔者較為弱勢時,會出現(xiàn)“想管不敢管、想管管不了”的局面。具體表現(xiàn)為缺乏有效的評價、監(jiān)督機制,即使有,執(zhí)行起來也是畏首畏尾,難以落到實處
針對以上兩種原因,有以下解決辦法可供參考。
解決辦法一:信息化的目的是為了得到效益,所以沒有效益的應用不如不建,在安全適度配置的前提下,要加大向應用要效益的力度;沒人用的系統(tǒng)是最安全的,同時也是效用最低的,因此信息安全建設要與應用結合。
解決辦法二:統(tǒng)一應用與安全建設的主體,做到業(yè)務誰主管,安全誰負責。如果統(tǒng)一主體確實存在困難,則要在兩者之間建立利益等效機制,讓利益鏈“環(huán)環(huán)緊扣”,讓利益“流動”起來,這些可以通過調整管理體制,完善評價機制,健全監(jiān)督機制來具體實現(xiàn)。
當然,實際情況更為復雜,我們要想以不變應萬變,不被問題牽著鼻子走,需要把握以下原則:絕對的安全是不存在的。當應用帶來的收益遠遠大于安全帶來的風險時,信息化工作才會大踏步地前進。我們應該做的,是大力建設能帶來效益應用的同時,把安全風險控制在一個可容忍的較小范圍內。也就是在擴大注水口的同時,縮小排水口。
篇13
一、 電子商務(EC)的安全要素
隨著Internet熱潮席卷全球,電子商務(EC)日益成為當時髦的詞匯之一。電子商務(EC)就是利用電子數(shù)據交換(EDI)、電子郵件(E-mail)、電子資金轉賬(EFT)及Internet的主要技術在個人間、企業(yè)間和國家間進行無紙化的業(yè)務信息的交換。從傳統(tǒng)的基于紙張的貿易方式向電子化的貿易方式轉變的過程中,如何保持電子化的貿易方式與傳統(tǒng)方式一樣安全可靠則是人們關注的焦點,同時也是電子商務全面應用的關鍵問題之一。
電子商務(EC)必須具備以下安全要素:
1.有效性:EC以電子形式取代了紙張,那么如何保證這種電子形式的貿易信息的有效性則是開展E的前提。
2.機密性:EC作為貿易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。
3.完整性:EC簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。
4.可靠性/不可抵賴性/鑒別:EC可能直接關系到貿易雙方的商業(yè)交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證EC順利進行的關鍵。
5.審查能力:根據機密性和完整性的要求,應對數(shù)據審查的結果進行記錄。
二、Internet中電子商務的模型
利用Internet從事電子商務,意味著在享受公用網廉價、便利和龐大的用戶群這些優(yōu)點的同時,也承擔了敏感信息(金融賬號、賬戶密碼和支付信息等)遭受攻擊的風險。因此,能否確保信息安全、可靠的傳輸,為用戶在網上從事商務活動提供信心保證,成為決定電子商務成敗的關鍵。到目前為止,已有許多公司提出了各自的電子商務模型。在研究了這些模型后,發(fā)現(xiàn)盡管在具體架構上存在著很多分歧,但就如何實現(xiàn)信息安全傳輸,已在下列基本點上達成了共識。
1.認證體系(Certifying hierarchy)。為實現(xiàn)商家和客戶的相互認證,既杜絕攻擊者假冒他人信用賬號進行欺詐,又防止不法組織冒充合法商家騙取他人金融賬號的活動。參照OSI安全體系結構中對等實體認證機制,建立起仲裁和公正機構認證中心,根據客戶和商家在銀行中的金融記錄向它們發(fā)放證書,并為發(fā)放的證書提供擔保。在進行網上交易時,只要保證對認證中心的信任,即可通過對對方證書的認證來確定其合法性。而認證中心之間利用構成層次的體系結構來保證其本身的合法性。
2.信息安全傳輸(Secure transmission of information)。電子商務中信息安全傳輸包含三方面內容:私密性(Privacy)、完整性(Integrity)和不可否認性(None-deniability)。私密性指利用對稱或非對稱的加密手段防止涉及金融賬號、賬戶密碼和支付信息的數(shù)據在網上傳輸時被截獲而泄露;完整性指利用數(shù)字信封、雙重簽名等技術保證交易信息在傳輸過程中沒有遭到篡改;不可否認性則通過數(shù)字簽名來確保交易的任何一方不能否認所作的承諾,簽名可以通過認證中心的驗證,并具有法律效應。
他們在參與電子商務之前,客戶(Card holder)和商家(Merchant)都必須從認證中心(Certificate authority)申請用于交易活動的證書(Certificate),認證中心根據客戶在發(fā)卡銀行(Issuer)和商家在開戶銀行(Acquirer)的賬戶信息,向他們發(fā)放經自己私鑰簽名的證書。從事網上銷售的商家在其建立的WWW站點上,采用PUSH或個性化頁面的方式,向潛在的客戶群體推薦他們的商品,購物的客戶在某一網站完成選購后,將訂貨信息及包含信用卡賬號的支付信息傳送給商家。訂貨信息(Order information)由商家負責處理,支付信息(Payment information)則轉發(fā)給支付網關(Payment gateway),并送到收單銀行處理。收單銀行將支付信息通過金融網絡詢問發(fā)卡銀行,得到肯定消息后,向支付網關發(fā)出確認消息。支付網關將操作結果返回商家,并由商家給客戶開出單據(類似發(fā)票),以備今后查詢和退貨之用。交易完成后,收單銀行根據先前的交易記錄發(fā)起清算(Capture)操作,將資金由發(fā)卡銀行轉入收單銀行,即客戶賬戶到商家賬戶的劃賬。可以看到,在整個模型中,只有開戶銀行到發(fā)卡銀行的金融網絡可以利用現(xiàn)有的各大銀行之間的專用網,不涉及過多的安全性問題。而其余兩段必經的路徑,從客戶到商家和從商家到收單銀行,都是利用開放性極強的Internet。這種方式雖然以其便利的通信和低廉的成本給電子商務帶來了很大的競爭力,但同時也使得安全問題成為電子商務發(fā)展的突出矛盾。在網上交易中,包含信用卡賬戶和密碼的信息將經過無數(shù)沒有保障的節(jié)點存儲和轉發(fā),由于對安全性的擔擾,故至今還只有不到50%的人愿意嘗試網上購物。
三、信息安全傳輸模型
如上所述,為實現(xiàn)電子商務模型中交易信息安全、可靠的傳輸,必須在交易的整個過程中綜合應用認證、加密技術。包括:
1.數(shù)字信封(Digital envelope),將對稱密碼與非對稱密碼體系結合起來傳信息,具有比單純使用對稱密鑰更好的安全性。
2.數(shù)字簽名(Digital signature),用發(fā)送者的私鑰對信息的摘要(Digest)加密,將產生不可否認的簽名。
3.雙重簽名(Dual signature),為保證支付信息和訂貨信息不泄露地到達各自的處理者而引入的電子商務專用技術。以交易模型中客戶向認證中心申請證書的過程為例,描述和分析如圖2所示的信息安全傳輸模型及安全傳輸關鍵技術手段在其中的綜合應用。在模型描述中,用{}表示對稱密鑰加密,用【】表示非對稱密鑰加密,用|表示前后數(shù)據的連接。整個過程由七個階段組成,具體描述如下:
(1)客戶向認證中心CA發(fā)起初始請求,請求認證中心的交換證書EKCert。
(2)認證中心收到請求后,產生響應信息Request(包括認證中心的交換證書和保護客戶金融賬號的必要信息),使用簽名證書SKCert中的簽名私鑰SKsk簽名后傳回,T2=Request【Request】 SKsk|SKCert。
(3)客戶向認證體系(Trust chain)驗證收到的證書,存儲以備后用。請求注冊表Form,隨機生成對稱密鑰K1,用K1加密Form形成數(shù)字信封,并用認證中心的交換公鑰(EKpk)加密K1和賬號信息作為信封頭,
T3=【K1|賬戶號】EKpk|{Form}K1。
(4)認證中心用私鑰解開信封頭,得到賬戶號和K1,并用K1解密獲得客戶請求注冊表的信息,根據賬戶號的前6~11位找到相應的金融機構并選擇注冊表REG Form,用私鑰簽名后連同證書傳回,T4=REG Form|【REG Form】SKsk|SKCert。
(5)客戶收到注冊表后,將SKCert與先前的存儲比較,如一致則表示通過認證。根據REG Form簽名認證數(shù)據完整性,產生一對非對稱密鑰PK、SK,填寫注冊表REG Form(包括姓名、賬戶有效期、賬戶地址和其他金融機構要求的信息),產生生成證書時需要的隨機數(shù)R1及兩個對稱密鑰K2 (認證中心用它傳送信息回來)和K3(用來加密即將傳送的信息),將注冊表、生成的公鑰和K2組成消息,并用生成的私鑰簽名,用K3加密上述消息做成數(shù)字信封后,再用認證中心的EKpk加密K3、賬戶號、賬戶有效期和R1,作為信封頭傳回,T5=【K3|賬戶名|賬戶有效期|R1】EKpk|{REG Form|PK|K2}K3|{RGE 【REG Form|PK|K2】SK的簽名。
(6)解開數(shù)字信封,完成信息完整性認證,根據賬戶信息與發(fā)卡銀行交互來校驗注冊請求,生成一個與R1相關的隨機數(shù)R2,用R1、R2產生S,賬戶號、賬戶有效期和S通過單項哈希函數(shù)的作用。其結果作為證書的一部分,將客戶生成的公鑰PK放入證書,認證中心決定證書的有效期,并進行簽名作為證書的另一部分,產生含有R2及新生成證書的RES,并用K2對RES加密,連同用認證中心的私鑰對RES作的簽名及認證中心的證書一同傳回,
T6={RES}K2【RES】SKsk|SKCert。
(7) 客戶收到消息后,在此校驗認證中心的證書,用K2解密消息體得到R2和本人的證書,由R2結合先前產生的R1生成S存儲備用,存儲證書并防止非授權使用,此證書將在以后的電子商務中用作客戶身份的認證。
上述描述是電子商務模型中最為復雜的一個交互過程,其所運用的各種安全傳輸技術同樣出現(xiàn)在其他過程中,由于這些方法的綜合運用,使得信息安全傳輸模型具備:
(1)較高的安全性。采用對稱和非對稱密鑰體系的結合,將安全等級提高到界于這兩者之間的水平。每次數(shù)據傳輸都利用非對稱密鑰傳輸一個變化的對稱密鑰,與SSL每次會話更改密鑰相比,具有更高的安全保證。
(2)更合理的認證體系。通過對交易雙方數(shù)字證書的強制性認證,可以提高在線交易的安全性。包含交易各方帳戶或密碼的敏感信息,經過轉發(fā),最終交由金融機構處理和確認,大大降低了泄露的可能性。
四、結束語
根據電子商務模型,參照SSL和SET協(xié)議標準,對電子商務中信息的安全傳輸進行了初步的探索,并結合引入的一些安全傳輸關鍵技術,描述和分析了信息安全傳輸?shù)哪P汀.斎唬S著電子商務的進一步發(fā)展和實用化,如何建立可信任的認證中心體系、證書的安全存儲和安全傳輸技術的效率與改進,仍是今后需進一步研究的。
參考文獻:
[1]David A. Chappell, Tyler Jewell. Java Web 服務.北京:中國電力出版社,2003,9-10
[2]柴曉路梁宇奇:Web Services 技術、構架和應用.電子工業(yè)出版社,2003
[3]李琪:中國電子商務[M].西南財經大學出版社,2003
