浅谈电子商务安全技术.docx
《浅谈电子商务安全技术.docx》由会员分享,可在线阅读,更多相关《浅谈电子商务安全技术.docx(10页珍藏版)》请在冰点文库上搜索。
浅谈电子商务安全技术
浅谈电子商务安全技术
薛元霞1,张荣强2,罗星1
(1.中国农业大学烟台研究院,山东烟台;2.烟台市科学技术宣传馆,山东烟台)
摘要:
对电子商务发展的安全现状进行了科学分析,讨论了电子商务面临的安全威胁,提出了实现电子商务活动安全保证
的几种技术。
关键词:
电子商务;安全;防火墙
中图分类号:
TP393文献标识码:
B文章编码:
1672—6251(2009)10—0073—02
OnSafetyTechnologyofE-commerce
XueYuartxial,ZhangRongqian矿,LuoXin91
(1.YantaiCollegeofChinaAgriculturalUniversity,Yantai,China;
2.YantaiScienceandTechnologyInformationCenter,Yantai,China)
Abstract:
Thepresentsafetyproblemsandfacingthreatsofelectroniccommercewereanalyzedanddiscussed.Andseveral
techniquesrealizingsafetyguaranteefortheactivitiesofelectroniccommercewereputforward.
Keywords:
electroniccoinineree;safety;firewal]
随着Internet的全面普及,基于互联网的电子商
务也应运而生.电子商务是网络技术应用的全新发展方
向,具有便捷、高效和低成本的特点,是一种全新的
商务模式。
同时,这种电子商务模式对管理水平、信
息传递技术都提出了更高的要求。
其中安全体系的构
建尤为重要。
电子商务是建立在一个非常开放的互联
网的基础上,如何建立一个安全、便捷的电子商务应
用环境,对信息提供足够的保护,也已成为电子商务
的核心问题。
实现电子商务的关键是要保证商务活动
过程中系统的安全性.目前主要采用数据加密和身份
认证技术。
l我国电子商务发展的安全现状
电子商务自从诞生之日起.其安全问题如影随
形,成为制约其进一步发展的重要瓶颈。
电子商务系
统的安全是与计算机安全尤其是计算机网络安全密切
相关的,当前电子商务所面临的网络安全现状不容乐
观。
公安部公布的全国信息网络安全调查结果显示.
有54%的被调查单位发生过信息网络安全事件。
其
中,感染计算机病毒、蠕虫和木马程序的为84%,遭
到端口扫描或网络攻击的占36%,垃圾邮件占35%。
未修补和防范软件漏洞仍然是导致安全事件发生的最
收稿日期:
2009—08—10
作者简介:
薛元霞(1979-),女,助理工程师,研究方向:
网络安全。
突出原因,占发生安全事件总数的73%【11。
2电子商务面临的安全威胁
(1)身份仿冒。
攻击者通过非法手段盗用合法用
户的身份信息,仿冒合法用户的身份与他人交易。
进
行信息欺诈与信息破坏,从而获得非法利益。
主要表
现有:
冒充他人身份、冒充他人消费和栽赃、冒充主
机欺骗合法主机及合法用户、使用欺诈邮件和虚假网
页设计设骗。
近年来随着电子商务、网上结算、网上
银行等业务在13常生活中的普及.网络仿冒已经成为
电子商务应用的主要威胁之一。
(2)XX的访问。
XX而不能进入系统
的用户通过一定手段对认证性进行攻击,假冒合法人
进入系统,对文件进行篡改、窃取机密信息、非法使
用资源等。
一般采取伪装或利用系统的薄弱环节等方
式实现。
(3)服务拒绝。
攻击者使合法接入的信息、业务
或其他资源受阻。
主要表现为散布虚假资讯,扰乱正
常的资讯通道.包括:
虚开网站和商店、伪造用户对
特定计算机进行大规模访问等。
使合法用户不能正常
访问网络资源.使有严格时间限制的服务不能及时得
到响应。
一73—
万方数据
《农业网络信息》2009年第10期网络与电子商务/政务
(4)恶意程序侵入。
任何系统都可能是有漏洞的,
漏洞的存在给恶意程序侵入提供了可乘之机。
恶意程
序是所有含有非法目的、非法进入计算机系统并待机
运行的.能给系统或者网络带来严重干扰和破坏的程
序的总称.一般可以分为独立运行类和需要宿主类。
恶意程序对网络安全造成致命性功击,具有重大破坏
性。
例如:
网络蠕虫是一种可以不断复制自己并在网
络中传播的程序,可能导致网络阻塞,致使网络瘫
痪。
使各种基于网络的电子商务等应用系统失效。
(5)交易抵赖和修改。
有些用户企图对自己在网
络上发出的有效交易信息刻意抵赖。
安全的电子商务
系统应该有措施避免交易抵赖。
为保证交易双方的商
业利益、维护交易的严厉性和公正性。
电子商务的交
易文件也应该是不可修改的。
3电子商务活动的安全保证
为了满足电子商务在安全服务方面的要求,除了
网络本身运行的安全外。
电子商务系统还必须利用各
种安全控制技术保证整个电子商务过程的安全与完
整,具体实现有以下几种技术。
3.1加密技术
加密技术是电子商务的最基本的安全措施。
在目
前技术条件下。
加密技术通常分为对称加密和非对称
加密两类。
(1)对称密钥加密:
采用相同的加密算法,并只
交换共享的专用密钥(加密和解密都使用相同的密
钥)。
如果进行通信的交易各方能够确保专用密钥在
密钥交换阶段1wfc发生泄露,则可以通过对称加密
方法加密信息,并随报文发送报文摘要和报文散列
值.来保证报文的机密性和完整性。
目前常用的对称
加密算法有DES、PCR、IDEA、3DES等,其DES使用
最普遍.被ISO采用作为数据加密的标准。
(2)非对称密钥加密:
非对称加密不同于对称加密,
其密钥被分解为公开密钥和私有密钥。
密钥对生成
后,公开密钥以非保密方式对外公开,只对应于生成
该密钥的发布者,私有密钥则保存在密钥发布方手
里。
任何得到公开密钥的用户都可以使用该密钥加密
信息发送给该公开密钥的发布者,而发布者得到加密
信息后.使用与公开密钥相应对的私有密钥进行解
密。
目前常用的非对称加密算法有RSA算法,该算法
已被ISO/TC的数据加密技术分委员会SC20推荐为非
对称密钥数据加密标准。
在对称和非对称两类加密方法中。
对称加密的突
出特点是加密速度快(通常比非对称加密快10倍以
上)、效率高,被广泛用于大量数据的加密。
但该方
法的致命缺点是密钥的传输与交换也面临着安全问
题,密钥易被截获,而且,若和大量用户通信,难以
安全管理大量的密钥.因此大范围应用存在一定问
题:
而非对称密钥则相反.很好地解决了对称加密中
密钥数量过多,难管理及费用高的问题,也无需担心
传输中私有密钥的泄露,保密性能优于对称加密技
术。
但非对称加密算法复杂,加密速度不很理想。
目
前.电子商务实际运用中常常是两者结合使用。
3.2防火墙技术
防火墙技术是确保基础设施完整性的一种常用方
法。
它通过在网络边界上建立起来的相应网络通信监
控系统来隔离内部和外部网络,控制进、出两个方向
的通信流。
它制定一系列规则来判断不同类型的通信,
并执行所做的路由决策,以阻挡外部的入侵。
目前,
防火墙技术主要有分组过滤和代理服务两种类型。
(1)分组过滤:
这是一种基于路由器的防火墙。
它是在网间的路由器按网络安全策略设置一张访问表
或黑名单.即借助数据分组中的49地址确定什么类
型的信息允许通过防火墙.什么类型的信息不允许通
过。
防火墙的职责就是根据访问表(或黑名单)对进
出路由器的信息进行检查和过滤。
凡符合要求的放
行,不符合的拒之门外。
这种防火墙简单易行,但不
能完全有效地防范非法攻击。
(2)代理服务:
一种基于代理服务的防火墙,它
的安全性高,增加了身份认证与审计跟踪,发现可能
的非法行为并提供有力的证据,然后以秘密的方式向
网上的防火墙发出有关信息,如黑名单等。
(3)地址迁移式防火墙:
地址迁移式防火墙实际
上融合了分组过滤和应用代理的设计思想,可以根据
应用的需求限定允许内外网访问的结点,也可以屏蔽
内网的地址,保证内网的安全性。
数据报分析是
NAT路由器必须做的工作(例如,修改IP数据报携
带的高层协议数据单元中的地址信息)。
因此可以有
选择地提供或拒绝部分跨网的应用服务闭。
3.3安全认证技术
目前,仅有加密技术不足以保证电子商务中的交
易安全,身份认证技术是保证电子商务安全的又一重
要技术手段。
认证的实现包括数字摘要技术、数字签
名技术、数字证书技术和智能卡技术等。
4结束语
电子商务的安全威胁既包括恶意攻击、防范疏
(下转第77页)
··——74--——
万方数据
《农业网络信息》2009年第10期网络与电子商务/政务
4.3系统的备份、恢复功能
系统备份与恢复模块是对重要信息进行定期备
份,以免因误操作造成不可恢复性损失。
大大提高数
据的安全性、稳定性。
4.4系统的授权功能
系统授权功能对要访问该系统的用户进行授权,
通过此模块可给予不同用户不同权限。
防止用户访问
无权限的重要信息.为系统管理者维护数据提供安全
保障。
4.5系统的帮助功能
系统帮助模块通过帮助文件为用户提供系统简
介、功能说明、使用说明等帮助选项,并能实现按索
引进行相关帮助检索,为用户尽快了解系统的功能及
正确使用提供方便。
5系统的关键技术
(1)系统采用面向对象开发机制,用目前流行的
前端开发工具PB9.0、ASP.NET、Java和后台数据开发
工具SQLServer2000开发,使开发过程更加清晰、先
进,提高开发效率、节省开发费用。
(2)系统可应用于浏览器、Web服务器+应用服务
器、数据库服务器的三层或多层体系结构,便于今后
系统的升级。
(3)应用XML、ASP.NET、java技术完成了.NET
框架下的SQL数据库信息管理系统,实现了数据的集
(上接第74页)
漏,还包括管理松散、操作疏忽等方面。
因此,保障
电子商务安全是一项综合工程。
除了从技术上提高防
范和保障机制外。
还需要单位完善网络系统管理体
制,人员加强信息安全意识。
另外,电子商务实践要
求有透明、和谐的交易秩序和环境保障.为此还需要
政府建立和完善相应的法律体系。
中存贮和客户端零安装与零维护。
降低了对基层操作
人员的技术要求,使得系统易升级、维护和推广。
6系统应用
该系统开发完成后,在廊坊市的部分县、乡镇及
省农业信息技术单位进行了试用.得到了用户的认
可,应用前景良好。
但还有一些问题尚需继续完善,
需要把新知识以丰富多彩的形式奉献给广大的农业技
术人员和农民朋友,以期为农业技术经济的数字化做
出应有的贡献。
参考文献
【l】刘天福.农产品技术经济手册【M】.上海:
上海科学技术出版社,
1998
【2】甘仞初.信息系统开发【M】.北京:
经济科学出版社,1999,200-
300
【3】马辉.PowerBuilder7.0高级教程【M].北京:
电子工业出版社,
2000,113-350
【4】刘增进.PowerBuilder7.0数据窗口技术详解【M】.北京:
电子工
业出版社,2000,10—350
【5】王蓉,等.PowerBuilder7.0应用开发技术详解【M】.北京:
电子工
业出版社。
2000,10—350
【6】袁方,郗亚辉,等.教据库应用系统设计【M1.成都:
电子科技大
学出版社,2005,72—280
参考文献
【l】殷凤琴,赵喜清,王新钢.我国电子商务安全问题的表现来源和
对策【J】.商场现代化,2007.505(6):
90~91
【2】谭晓波,张琴.防火墙技术在电子商务安全中的应用m.商场现
代化,2007,123(8)
一77—
万方__
升级会员 