电子商务安全技术综述Word文档格式.docx
《电子商务安全技术综述Word文档格式.docx》由会员分享,可在线阅读,更多相关《电子商务安全技术综述Word文档格式.docx(17页珍藏版)》请在冰点文库上搜索。
(二)从管理环境层面入手加强安全措施20
1.完善管理体制和管理环境20
2.建立电子商务安全运行体系21
四、完善电子商务安全的配套措施22
五、展望23
六、结束语24
参考文献:
25
摘要:
随着信息化时代的到来,电子信息技术得到了迅速普及和广泛应用。
与此同时,电子商务以其快捷、便利等优点越来越受到社会的认可。
电子商务的发展前景十分诱人,电子商务已成为世界经济最具活力的增长点,它的应用将给社会和经济发展带来巨大的变革。
但商业信息的安全依然值得我们去注意。
面对电子商务安全所受到的威胁,如何找到解决电子商务安全威胁的对策如何建立一个安全、便捷的电子商务应用环境,保证整个商务活动中信息的安全性,已经成为我们急需解决的一个问题。
关键词:
电子商务安全技术威胁对策
前言
电子商务一词起源于20世纪70年代,是伴随着电子数据交换这一技术而产生的商务新概念。
到了20世纪90年代,Internet技术的飞速发展又为电子商务提供了巨大的市场机遇与挑战。
近几年,随着经济全球化和信息网络化的快速发展,电子商务更是达到了更高层次,基于互联网络的电子商务正以前所未有的速度迅猛发展起来。
1.电子商务的特点
电子商务是因特网飞速发展的直接产物,是网络技术应用的全新发展方向。
因特网本身所具有的开放性、全球性、低成本、高效率的特点,也成为电子商务的内在特征。
与传统的商务活动方式相比,电子商务具有以下几个特点:
电子商务将传统的商务流程电子化、数字化,一方面以电子流代替了实物流,可以大量减少人力、物力,降低了成本;
另一方面突破了时间和空间的限制,使得交易活动可以在任何时间、任何地点进行,从而大大提高了效率。
互联网使传统的空间概念发生变化,出现了有别于实际地理空间的虚拟空间或者虚拟社会。
处于世界任何角落的个人、公司或机构,可以通过互联网紧密地联系在一起,建立虚拟社区、虚拟公司、虚拟政府、虚拟商场、或者虚拟大学等,以达到信息共享,资源共享等。
电子商务所具有的开放性和全球性的特点,为企业创造了更多的贸易机会。
互联网跨越国界,穿越时空,无论你身处何地,无论白天与黑夜,只要您利用浏览器轻点鼠标,你就可以随心所欲地登录任何国家、任何地域的网站,与你想交流的人面对面的直接沟通。
电子商务使企业可以以相近的成本进入全球电子化市场,使得中小企业有可能拥有和大企业一样的信息资源,提高了中小企业的竞争能力。
电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者可以直接交易,从而在一定程度上改变了整个社会经济运行的方式。
电子商务一方面破除了时空的壁垒,另一方面又提供了丰富的信息资源,为各种社会经济要素的重新组合提供了更多的可能,这影响了社会的经济布局和结构。
21世纪是信息社会,信息就是财富,而信息传递速度的快慢对于商家而言可说是生死攸关,互联网以其传递信息速度的快捷而倍受商家青睐。
互联网真正使整个地球变成了一个地球村。
通过互联网,商家之间可以直接交流、谈判、签合同,消费者也可以把自己的建议反馈到企业或商家的网站,而企业或者商家可以根据消费者的反馈及时调查产品种类及服务品质,做到良性互动。
总之,和传统的交易方式相比,电子商务有很多优点都是传统媒介手段所无法比拟的。
2.电子商务的作用与影响
电子商务是一个发展潜力巨大的市场,具有极大的发展前景。
电子商务双向信息沟通、灵活的交易手段和快速的交货方式等特点,给社会带来了巨大的经济效益,促进了整个社会的生产力的提高。
电子商务是商务领域的一场信息革命,它对人类的经济活动、对企业经营管理以及人类的工作方式、生活方式等都产生了巨大的影响。
电子商务在信息网络化进程中的地位信息产业是当今世界发展最快的产业,信息化不仅成为一个国家经济发展的必要手段,同时也是国家现代化的重要标志。
电子商务为信息产业提供了广阔的市场和发展机遇,从而使信息产业加速成为国民经济的支柱产业。
电子商务推动了国民经济信息化的迸程,促使企业信息化、产业信息化、金融电子化和社会信息化的发展。
电子商务将带动电子公务、电子政务、电子医务、及各行业电子业务的发展,使信息技术进入家庭,逐步实现家庭信息化,从而推动与加速国家和社会信息化的进程。
电子商务对经济发展的影响:
信息经济是从信息角度对经济的描述,也是从经济角度对信息的描述。
电子商务促使传统经济向信息经济、知识经济转变。
电子商务推动信息产业成为国民经济的支柱产业,使国民经济中信息含量、科技含量比重大大增加,使资本经济向信息经济及知识经济过渡。
在知识经济时代,经济增长方式有所不同,经济增长不再单纯依靠资本投入,而是依靠信息技术、科学知识,从以物质生产为主的产业经济发展模式向以信息生产和知识生产为主的经济发展模式转变。
知识资本配合传统的金钱资本,成为创造财富的原动力。
电子商务的推广、普及是发展信息经济、知识经济的重要途径。
电子商务对企业经营的影响:
电子商务的出现顺应了商务发展的要求,它使中间商参与到整个流通环节、流通渠道的变革中来。
这样,缩短了生产厂家和消费者之间的距离,改变了传统商品流转的结构。
电子商务拉进了企业与顾客的距离,通过Internet,企业可以利用网络中间商的营销优势,更为高效地取得与顾客信息的充分交流。
客户的需求将直接转化为生产指令,也可以经过专业、高效中间商的提炼和加工后反馈到企业,不仅可以大大加强企业与顾客的联系,满足顾客个性化需求,而且还可以省去许多中间环节,使企业大幅度降低经营成本。
电子商务对人们工作和生活方式的影响:
电子商务不仅影响我们的经济、企业经营等方面,同时也改变了我们的生活、工作、学习等方式。
主要表现在以下几个方面:
①信息获取方式的改变。
在电子商务方式下,人们除了从电视、广播、书籍和报纸杂志等传统媒体中获取信息以外,还可以从Internet上获取所需的信息。
Internet通过大量的、每天有几千人乃至几十万人访问的网站,实现了真正的大众传媒的作用,它可以更快、更直观、更有效地把一个信息或思想传播开来,而且Internet上信息非常丰富,获取也很方便。
用户可以根据自己的需要获取信息,不管是进行理论研究,还是看新闻,或是寻找商业信息,都可以很方便地找到相关的资料,而且没有时间、地域的限制。
所以,现在越来越多的人利用网络获取信息服务,网上信息服务也已成为电子商务的一个重要方面。
②电子商务对人们生活方式的影响。
由于因特网的流行和电子商务的兴起,人们的生活也发生了变化。
Internet上虚拟商场的出现,使人们不用花费大量的时间去商场或者百货商店购物,现在呆在家里,轻松的点击鼠标,就可以在虚拟商场里挑选购买物品,大到汽车、电器,小到日用品、MP3,应有尽有。
在网上商场里逛累了,去音乐站点听几首喜欢的歌曲,或者去聊天室与几个朋友谈谈天,放松一下心情。
总之,聚会、购物、看电影、玩游戏、看书、讨论……只要你喜欢,都可以在网络上解决,时间、费用、心情都要比传统方式要美妙得多。
③电子商务对人们消费方式的影响。
在电子商务时代,消费者再也不用将大量时间浪费到在商场选择、排队等待上面,消费者可以足不出户,直接在网上商店浏览,并能得到多层次的信息服务。
网上的搜索功能可以很方便地带领消费者货比多家,同时消费者还可以利用网络完成整个购物过程。
在线购物、电子支付、送货上门等都给消费者提供了一个最佳的选择方式。
④电子商务对工作方式的影响。
电子商务使在家办公成为了现实。
工作的目的是完成任务,电子商务方式保证了及时通信和业务处理,故工作方式可以是灵活的,无论在什么地方,什么时间都可以进行公文处理。
特别是对于执行独立任务的管理人员来说,可以方便在家中及时处理事务,不必花更多时间在路上和面对面的交流上。
同时在家办公对于减轻城市交通负担,减少城市污染也起到了良好的效果。
总之,作为一种商务活动过程,电子商务带来了一场史无前例的革命。
其对社会经济等的影响远远超过了商务本身,除了上述影响之外,它还对就业、法律制度以及文化教育等方面带来了巨大的影响。
电子商务将人类真正带入到了信息社会。
电子商务就是要在网络信息安全技术的保证下,利用开放信息互联网实现可跨区的在线商品交易、金融资本交易及其商务活动作业的全过程。
电子商务这一浩瀚的全球虚拟市场创造了二十一世纪各国的经济热点。
但是由于电子商务的开放性及其所基于的网络全球性、无缝连通性、共享性、动态性发展,使得电子商务的安全问题成为现今的聚焦中心,并制约着电子商务的进一步发展。
构建安全的电子商务交易系统将成为今后电子商务发展的关键。
一、电子商务的安全性要求
(一)电子商务活动安全性的要求
一是服务的有效性要求,电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
二是交易信息的保密性要求,电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
三是数据完整性要求,数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。
为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
四是身份认证的要求,电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
(二)电子商务的安全要素
一是信息真实性、有效性,电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。
电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
二是信息机密性,电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。
传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。
电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
三是信息完整性,电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
四是信息可靠性、可鉴别性和不可抵赖性,可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝:
不可否认要求即是能建立有效的责任机制,防止实体否认其行为;
可控性要求即是能控制使用资源的人或实体的使用方式。
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。
因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
二、电子商务面临的安全威胁
在电子商务运作的大环境中,时时刻刻面临着安全威胁,这不仅仅设计技术问题,更重要的是管理上的漏洞,而且与人们的行为模式有着密不可分的联系。
电子商务面临的安全威胁有以下几种:
(一)在线交易主体虚拟化带来的安全问题
在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。
虚拟主体的存在使电子商务交易安全受到严重威胁。
(二)虚假信息的发布带来的安全问题
当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。
(三)过低的信用度带来的安全问题
①低信用度的买方带来的安全问题:
低信用度的买方,可能存恶意透支或使用伪造的信用卡骗取卖方货物或存在拖延货款行为,卖方需要为此承担风险。
②低信用度的买方带来的安全问题:
卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。
③低信用度的买卖双方都存在抵赖的情况。
(四)网络欺诈的存在带来的安全问题
在电子交易活动中频繁欺诈用户这是网络骗子们常用的骗术,利用电子商务进行欺诈已经成为一种新型犯罪活动,目前这种网上欺诈也已经成为国际性的难题。
(五)电子合同取代书面合同过程中带来的安全问题
在在线交易情形下,交易双方的所有信息都是以电子化的形式存储于计算机硬盘或其他电子介质中,这些记录不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。
由此而引发诸多方面的安全问题。
(六)网上电子支付过程带来的安全问题
完电子商务的网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。
而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。
(七)产品交付过程带来的安全问题
有形货物的在线交易中物流配送环节引发的一些特殊问题及无形的信息产品在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。
(八)网络消费者维权时引发的安全问题
在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。
比如质量问题,退赔、修理困难问题等。
(九)网络恶意攻击者的破坏活动带来的安全问题
包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒绝服务、否认等。
二、如何保护电子商务的安全
电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息,一方面它是借助于互联网平台来进行商务交易,因此需要从电子技术层面来加以防范;
另一方面,作为商务交易的买卖行为,它同样具有商品交易的一些基本特征,遵循着商务交易的规则,因此还需要从安全管理的层面加以防范。
(一)从科技层面入手加强安全措施
1.网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。
防火墙技术是一种保护本地网络,并对外部网络攻击进行抵制的重要网络安全技术之一,是提供信息安全服务,实现网络信息安全的基础设施。
总体可以分为:
数据包过滤型防火墙、应用级网关型防火墙、代理服务型防火墙等几类。
防火墙具有5种基本功能:
(1)抵挡外部攻击;
(2)防止信息泄露;
(3)控制管理网络存取和访问;
(4)VPN虚拟专用网功能;
(5)自身抗攻击能力。
防火墙的安全策略有两种情形:
(1)违背允许的访问服务都是被禁止的;
(2)未被禁止的访问服务都是被允许的。
多数防火墙是在两者之间采取折中策略,在安全的情况之下提高访问效率。
防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。
防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而做出允许或拒绝等正确的判断。
通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的网络系统。
应给予特别注意的是:
防火墙不仅仅是路由器、堡垒主机,或任何提供网络安全的设备的组合,它是安全策略的一个部分。
安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:
规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。
所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。
2.通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。
目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。
为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构签发。
浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥。
验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。
验证此证书是合法的服务器证书通过后利用该证书对称加密算法与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。
此时浏览器也会出进入安全状态的提示。
加密技术是对传输的信息以某种方法进行伪装并隐藏其内容,而达到不被第三方所获取其真实内容的一种方法。
在电子商务过程中,采用加密技术将信息隐藏起来,再将隐藏的信息传输出去,这样即使信息在传输的过程中被窃取,非法截获者也无法了解信息内容,进而保证了信息在交换过程中安全性、真实性、能够有效的为安全策略提供帮助。
加密技术是电子商务采取的主要安全措施,是实现信息的保密性、完整性的核心。
加密技术一方面应用于数据、文件加密,另一方面也是身份认证、数字签名等安全技术的基础。
按照密钥的不同,加密技术主要有对称型密钥体制和非对称型密钥体制。
对称密码体制也称为私钥密码体制,发送方和接收方都必须使用相同的密钥对消息进行加密和解密运算。
对称加密算法最大的优势就是开销小、加密速度快,所以广泛应用于对大量数据如文件进行加密。
它的局限性在于通信双方要确保密钥的安全交换,密钥的分发和管理非常复杂,而且无法鉴别交易发起方或交易最终方。
非对称型密钥加密也称为公开密钥算法,需要两个密钥:
对外公开的公开密钥和自己保存的私有密钥。
公开密钥用于对机密信息加密,私有密钥用于对机密信息解密。
由于公开密钥是公开存放,密钥的分配和管理问题很容易解决。
然而,公钥加密算法速度比私钥加密算法慢得多,同时公开加密方式对资源的占用较大,网络传输速度将受到影响。
在实际应用中,通常将两种加密技术结合起来。
数字信封即利用了两种加密技术的优点,先采用公钥密码传送加密密钥,再用私钥密码加密传输的信息,从而确保信息的安全传输。
3.应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。
程序错误有以下几种形式:
:
程序员忘记检查传送到程序的入口参数;
程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;
程序员忘记最小特权的基本原则。
整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;
程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。
不是显式地设置访问控制,程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。
不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。
缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。
程序不检查输入字符串长度,假的输入字符串常常是可执行的命令,特权程序可以执行指令。
4.用户的认证管理
一是身份认证,电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。
CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。
个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
身份认证的实现包括数字签名技术、数字证书技术等。
(1)数字签名技术
对信息加密只解决了信息传输过程中的保密问题,而防止他人对传输的信息进行篡改或破坏,保证信息的完整性,以及保证信息发送者对发送信息的不可抵赖性,需要采用其它的手段,这一手段就是数字签名。
数字签名技术即进行身份认证的技术。
在数字化文档上的数字签名类似于纸张上的手写签名,是不可伪造的。
接收者能够验证文档确实来自签名者,并且签名后文档没有被修改过,从而保证信息的真实性和完整性。
目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。
数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
信息是由签名者发送的;
信息自签发后到收到为止未作过任何修改。
目前数字签名方法主要有三种,即:
RSA签名、DSS签名和Hash签名。
这三种算法可单独使用,也可综合在一起使用。
(2)数字证书技术
在公共密钥体制中,私钥只有信息发送者知道,而与之匹配的公钥是公开的,它能保证传输信息的保密性,但没有解决公钥的分发方式。
数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性。
因此需要有一种措施来管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。
这一措施就是数字证书。
数字证书是一般由具有权威性、可信任性的第三方机构即认证机构CA所颁发。
数字证书是公共密钥体制中的密钥管理媒介,并将公钥和实体身份信息绑定在一起,并包含认证机构的数字签名。
数字证书在电子商务中用于公钥的分发、传递,证明电子商务实体身份与公钥相匹配。
二是CA证书,要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心发行。
认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认户身份的服务机构。
认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。
建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。
验证个人证书是为了验证来访者的合法身份。
而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。
三是SSL协议,SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。
在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;
在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。
5.数字时间戳
数字时间戳服务提供了对电子文件发表时间的安全保护,由专门的机构提供。
时间戳是一个经加密后形成的凭证文档,它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。
时间戳形成的流程为:
①用户将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS;
②DTS在加人了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
数字时间戳是由认证单位DTS来加的,以DTS收到文件的时间为依据。
6.入侵检测系统
入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。
7.虚拟专用网(VPN)
这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。
它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。
这意味着可以使用复杂的专用加密和认证技术,只要通信的双方
升级会员 