時間:2023-09-13 17:15:20
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇電子商務網絡安全問題,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1 引言
隨著互聯網的快速發展,人們的生活方式有了非常大的改變,對應的經濟社會也受到了巨大的影響。在商業貿易領域,因為網絡的快速發展,產生了電子商務這樣一種貿易方式。但是電子商務也是經歷了一番坎坷的,因為網絡的特殊性,在電子商務發展中產生了交易安全的問題,對電子商務的穩定發展帶來了一定的沖擊。Internet網是一個互連通的自由空間,一些人常常會因為某些目的攻擊電子商務網站,比如盜竊資金、商業打擊、惡作劇等,導致有些企業的電子商務網站貿易交流受損、服務暫停,甚至出現資金被盜的現象。據有關數據的統計,美國每年因為網絡安全問題在經濟上造成的損失就達到近百億美元,而國內的情況也不容樂觀。因此,當我們在享受互聯網給生活帶來的這些好處的時候,網絡的安全問題,早已變成電子商務的重大難題,給電子商務企業的發展帶來了極大的阻礙。所以,計算機網絡安全是電子商務發展過程中所面臨的重大挑戰和問題。電子商務企業必須從維護顧客利益和自身利益出發,做好安全防范和自身安全管理工作,才能得到持續快速的發展。
2 電子商務面對的網絡安全問題
當前,電子商務安全問題受到多方面的影響,不但有技術管理的問題,而且也有網絡缺陷的因素,具體地說,直接原因有以下幾點:
2.1 網絡“黑客”侵犯電子商務網站
網絡黑客是專門在網絡中利用本身掌握的技術非法強行進入他人網站后臺的人,這類人具有高超的網絡技術,能夠不受電子商務網站技術防護的限制。許多“黑客”篡改內容信息、破壞網站;盜取商戶或企業的賬戶資金,極大地影響了電子商務的正常進行。
2.2 電子商務軟件有漏洞
許多軟件研發單位研發的技術不成熟的電子商務軟件,存在許多安全漏洞,防護極易被外來入侵者利用漏洞攻破,導致電子商務企業受到很大的經濟損失;有的企業即使安裝了防護軟件,但由于軟件沒有得到及時升級,致使軟件喪失了應有防護功能。
2.3 電子商務網絡自身存在安全問題
網絡具有共享性、開放性等特點,它的設計原則是確保信息傳輸不會受到局部損壞的影響。所以,對網站安全帶來了極大的隱患。特別是對電子商務企業情況更加嚴峻。
2.4 網站管理的缺失
由于電子商務企業缺乏警惕性,不重視網絡安全的管理,通常只有在受到攻擊以后才會去加強網站安全;部分企業則以為只要安裝了入侵監測系統、殺毒軟件、防火墻等安全產品,就能保障網站的安全,所以沒有根據企業實際情況制定相應的管理制度,也沒有加強技術防范,給入侵者提供了機會。
3 應對的措施
電子商務安全問題是在網絡化、電子化技術發展的前提下出現的,所以很多傳統的解決辦法不能簡單地應用過來。電子商務企業想要取得效益,就要從企業的健康發展出發,改善企業的安全管理,提高技術投入。具體的防范措施有: 3.1 安全技術管理需要加強
需要重視電子商務網站的維護、升級等方面,做好每天的安全備份,加強網站服務器的管理。制定安全防范預案,只要發生安全事件,能夠得到盡快解決,從而減少損失。使用權威性較強的安全防護軟件,并能夠正常啟動、正常升級,發揮應有的防護功能。
3.2 在電子安全方面擴大管理和技術投入
企業需要加大安全方面的資金投入,購買技術防護設備,加大對技術改造與設備更新的投入。引進安全管理的相關技術,招聘相應的管理人才,并進行適當的待遇傾斜,確保安全管理團隊的穩定。
3.3 使用密碼管理技術
電子商務中最重要的防范環節是密碼管理,要使用先進的密碼管理手段,確保能發揮特定的功能,重點有交易信息安全、身份認證安全和賬戶安全等。
3.4 電子商務企業自身的管理需要得到強化
安全技術是電子商務企業的首要防范措施,但發揮其作用的關鍵還是嚴密的管理,只有建立完善的安全防范管理系統,才能保證企業的安全。所以電子商務企業,需要制定安全防護制度,保證明確職責;要有獎懲制度,責任事故的時候,能夠做到及時追究,提高技術管理人員的責任意識。
電子商務的安全問題,基本上可以分為兩大部分,即計算機網絡安全和商務交易安全。計算機網絡安全包括計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Internet上應用時產生的各種安全問題。因此,計算機網絡安全技術在電子商務的運營過程中就起到的至關重要的作用。
一、電子商務目前存在的網絡安全問題
電子商務隨著計算機網絡技術的發展而誕生。其各方面的技術本身還不很完善。綜合分析,在商務活動中還存在很多安全隱患。
(一)傳輸線路安全與質量問題
從安全的角度來說,沒有絕對安全的通信線路。同時,無論采用何種傳輸線路,當線路的通信質量不好時,將直接影響連網效果,嚴重的時候甚至導致網絡中斷,這就會嚴重地危害通信數據的完整性。
(二)網絡協議安全問題
目前,TCPfIP協議是應用最廣泛的網絡協議,但由于TCP/IP本身的開放性特點,企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。
(三)用戶信息安全問題
目前電子商務最主要的形式就是電子商務網站,用戶通過瀏覽器登錄到電子商務網站進行交易,由于用戶在登錄時使用的可能是公共計算機,如網吧、辦公室的計算機等情況,那么如果這些計算機中有惡意木馬程序或病毒,這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
(四)電子商務網站的安全問題
有些企業建立的電子商務網站本身在設計制作時就會有一些安全隱患,服務器操作系統本身也會有漏洞,不法攻擊者如果進入電子商務網站,大量用戶信息及交易信息將被竊取,給企業和用戶造成難以估量的損失。
二、電子商務網絡安全性要求
電子商務目前存在的網絡安全問題導致了對電子商務安全的需求,在計算機網絡安全的基礎上實現電子商務信息的保密性、交易信息的完整性和一致性、交易者身份的真實性和不可偽裝性、交易的不可抵賴性是電子商務交易過程中的網絡安全性要求。
(一)交易信息的保密性要求
電子商務系統應對用戶所傳送的信息進行有效的加密,交易中的商務信息代表著個人、集體或國家的商業機密,交易信息一旦泄露,將直接影響到雙方的利益。如信用卡的賬號和用戶名等不能被他人知悉,因此在信息傳播中要防止因信息被截取破譯,同時要防止信息被越權訪問。
(二)交易信息的完整性要求
信息完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復。
(三)交易雙方身份認證的要求
電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
(四)交易的不可抵賴性要求
不可抵賴性是防止發送方或接收方抵賴所傳輸的消息的一種安全服務。交易一旦達成是不能被否認的,否則必然會給另一方帶來損失。因此必須確保通信或交易雙方無法對已進行的業務進行否認。
三、電子商務中的幾種網絡安全防范技術
(一)防火墻技術
在互聯網上,防火墻是一種非常有效的網絡安全系統,通過它可以隔離Internet與被保護網的連接,同時不會妨礙被保護網對因特網的訪問。防火墻可以監控進出網絡的數據,僅讓安全、核準后的數據進入,抵制對局域網構成威脅的數據。
防火墻具有很好的保護作用,入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。還可以將防火墻配置成許多不同保護級別,用戶能夠根據具體需要選擇相應的保護級別。
目前,防火墻技術是電子商務網絡安全防范技術中最常用的一種,技術發展較為成熟,對于已知的攻擊模式有很好的防御作用。防火墻能極大地提高一個內部網絡的安全性,防止企業內部的商務信息外泄。防火墻還能夠提供身份認證和審計功能,對參與電子商務活動的人員提供認證服務,防止被騙。因此,防火墻是建立商務信息安全傳輸和交換的基石,對電子商務以及網絡經濟的發展起著推波助瀾的作用。
(二)入侵檢測系統
為了保護電子商務網站的信息安全,電子商務服務器一般采用多種安全策略和安全保護手段,但大多數都是以靜態防護為主,以防火墻為主的靜態防護已經不能滿足現在的要求,在網絡服務器中應用入侵檢測系統是一種增強系統安全的有效方法,能幫助系統管理員進行安全管理或對系統所受到的攻擊采取相應的對策。入侵檢測系統是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它是繼防火墻之后的第二道安全門,具有很好的主動性和實時性,是自動檢測入侵行為的良好工具和手段。
入侵檢測系統執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。現在的電子商務網站通常將防火墻和入侵檢測這兩種技術結合起來使用,當入侵檢測系統發現異常流量會立即報告防火墻,防火墻可以切斷其相應連接,這樣以來就起到了雙重保護的作用。
(三)虛擬專用網技術
虛擬專用網是指通過一個公用網絡(通常是Internet)建立一個臨時的、安全的連接,是一條穿過公用網絡的安全、穩定的隧道。它可以實現不同網絡的組件和資源之間的相互連接。并給用戶提供與專用網絡一樣的安全和功能保障。
通常,虛擬專用網是對企業內部網的擴展,通過它可以幫助遠程用戶,企業分支機構,商業伙伴及供應商和企業的內部網絡建立可信的安全連接,并保證數據的安全傳輸。一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時,這將簡化網絡的設計和管理,加速連接新的用戶和網站。還可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
(四)加密技術
在進行電子商務交易時,由于信息在傳輸過程中有可能遭到竊聽而失去機密性,因此交易雙方可以利用技術手段把重要的數據變為亂碼(加密)傳送到目的地后再用相同或不同的手段還原,保證了網絡數據的機密性,這種技術手段稱為加密技術。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網絡的信息通訊安全。
加密技術的應用是多方面的,但最為廣泛的還是在電子商務中的應用。電子商務要求顧客可以在網上進行各種商務活動,不必擔心自己的信用卡會被人盜用。現在人們開始用RSA(一種公開/私有密鑰)的加密技術,提高信用卡交易的安全性,從而使電子商務走向實用成為可能。
(五)數字簽名
數字簽名技術是在網絡系統虛擬環境中確認身份的重要技術,完全可以代替現實過程中的“親筆簽字”,在技術和法律上有保證。
在電子商務安全服務中的源鑒別、完整、不可否認服務中都要用到數字簽名技術。例如:由于數字簽名具有不可偽造的特性,可以用于廠家給貴重商品提供防偽標識;還可以用于對數字產品進行保護和認證;電子商務活動過程中的電子支付、開發票、簽訂電子合同等環節都能用到數字簽名。
【關鍵詞】 電子商務、網絡平臺、安全、技術
序言
隨著互聯網的普及日漸迅速電子商務開始融入人們的日常生活中,網上訂貨、網上支付等眾多電子交易方式為人們創造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種信息,并進行各種交易。電子商務網站傳遞各種商務信息依靠的是互聯網平臺,而互聯網平臺本身就是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,電子商務網絡平臺安全風險就構成了對電子商務的安全威脅。
一、電子商務網絡平臺信息安全現狀
現如今,網上購物已經成為普通消費者的購物選擇之一,逐漸成為消費的主流。最新的一份報告顯示,到2015年,中國互聯網用戶的數量有望超過8億。其中新增用戶中有四分之一的人可能來自于農村地區。這份報告由中國社會科學文獻出版社,援引了中國政府互聯網網絡信息中心的數據。它聲稱,到今年6月30日,中國互聯網用戶的數量較去年同期增長了10.9%,增長到了5.38億。可見網上購物擁有很大的一批消費群。在網購盛行的時代,理智的消費者已經逐漸意識到,網上購物為我們帶來方便的同時,由于網絡安全問題,也帶給我們更多危險的可能。電子商務網絡平臺所面臨的信息安全現狀不容樂觀。所據美國網絡界權威雜志《信息安全雜志》披露,從事電子商務的企業比一般企業承擔著更大的信息風險。其中,前者遭黑客攻擊的比例高出一倍,感染病毒、惡意代碼的可能性高出9%,被非法入侵的頻率高出10%,而被詐騙的可能性更是比一般企業高出2.2倍作為網上購物核心環節的“支付環節”,其安全性、便捷性是買賣雙方都想追求的目標。電子商務交易的信用危機也悄然襲來,虛假交易、假冒行為、合同詐騙、網上拍賣哄抬標價、侵犯消費者合法權益等各種違法違規行為屢屢發生,這些現象在很大程度上制約了我國電子商務乃至全球電子商務快速、健康的發展。
二、電子商務網絡平臺面臨的安全問題
電子商務活動中有大量的數據需要傳輸與存儲,數據傳輸依靠互聯網技術,而互聯網是一個天然脆弱和不安全的網絡,數據容易丟失和被截獲。而數據的存儲主要依靠數據庫技術,數據庫也是非法分子常常入侵和破壞的對象。所以網絡通信安全與數據庫安全,是電子商務網絡長期面臨的的主要問題。
2.1、數據庫安全。企業在電子商務活動中產生的大量數據是他們進行不間斷經營的重要支撐,產品數據資料、客戶關系管理都涉及到龐大的數據群。采用流行的關系型數據庫進行數據存儲與管理,是電子商務企業必要的選擇。但是網絡黑客從未間斷過對企業數據庫的攻擊,一旦他們竊取到企業數據庫的訪問權、管理權,就可以獲得他們想要的數據,甚至篡改或刪除這些對企業來說至關重要的數據。
2.2、網絡通信安全。數據傳輸過程中容易丟失、損壞或被黑客篡改、竊取,所以首先要保證通信線路的安全可靠性,采用性能穩定的設備和較為強大的軟件來保證傳輸穩定性。其次為了防止黑客攻擊,例如木馬、病毒等程序,要再傳輸過程中使用數據加密及數字簽名等技術保障數據的安全性。
三、電子商務網絡平臺安全的技術保障機制
電子商務網絡平臺信息安全包括網絡安全和交易安全。因此,電子商務安全技術主要有計算機網絡安全技術和商務交易安全技術兩方面的保障機制。
1、計算機網絡安全技術
網絡安全技術伴隨著網絡的誕生就出現,如今已出現了日新月異的變化。VPN安全隧道、防火墻和網絡入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網絡的整體安全性。目前,主要的網絡安全保障技術有:
(1)VPN即虛擬專用網技術,由于TCP/IP協議的不安全性,對電子商務安全無有效的認證機制,真實性難有保證;缺乏保密機制,網上數據隱私性不能得到保護;不能提供對網上數據流的完整性保護等問題。因此,在電子商務中通常采用VPN技術,通過加密和驗證網絡流量來保護在公共網絡上傳輸私有信息,而不會被竊取或篡改。對于用戶來說,就象使用他們自己的私有網絡一樣。
(2)防火墻技術,防火墻是一種隔離控制技術,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出。
(3)病毒防護和入侵檢測技術,病毒防護技術可降低病毒和惡意代碼攻擊風險,并防止有害軟件通過服務器或網絡執行和傳播。入侵檢測系統則能夠幫助網絡系統快速發現攻擊的發生,擴展系統治理員的安全治理能力,從而提高信息安全基礎結構的完整性。
2、商務交易安全技術
商務交易安全是為了實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。它是電子商務交易過程中最核心和最關鍵的安全問題。目前,主要的商務交易安全保障技術有:
(1)數據加密技術,加密技術是電子商務采取的主要安全保密措施,是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。加密技術包括兩個元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一竄數字(密鑰)的結合,產生不可理解的密文的步驟,密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網絡的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數據加密標準(DES,Data Encryption Standard)算法為典型代表,非對稱加密通常以RSA(Rivest Shamir Ad1eman)算法為代表。對稱加密的加密密鑰和解密密鑰相同,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。
(2)數字簽名技術,數字簽名技術是實現交易安全核心技術之一,它實現的基礎就是加密技術。以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢?這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點:接收者能夠核實發送者對報文的簽名;送者事后不能抵賴對報文的簽名;接收者不能偽造對報文的簽名。現在己有多種實現數字簽名的方法,采用較多的就是公開密鑰算法。
(3)安全協議技術,使用SET和SSI等安全協議能有效地保障交易安全。SET即安全電子交易的簡稱,SET提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,已成為目前公認的信用卡/借記卡的網上交易的國際安全標準。SSL即安全套接層協議的簡稱,主要用于提高應用程序之間數據的安全系數。
結束語
本文分析了目前電子商務網絡平臺的安全需求,使用的安全技術及仍存在的問題,并指出了與電子商務網絡平臺安全有關的協議技術使用范圍及其優缺點,但必須強調說明的是,電子商務的安全運行,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻
[1] 成衛青,龔儉.網絡安全評估[J].計算機工程,2003,(02).
[2] 張娟,電子商務網絡安全技術探究[D],2005,(04)
[3] 吳洋.電子商務安全方法研究[D].天津大學,2006.
隨著我國經濟的不斷進步和社會的發展,網絡技術在迅速的崛起,并且快速的發展,網上購物的數量在日漸增加,網上購物已經成為我國經濟增長中一個重要部分,然而這也為我國的電子商務安全帶來的許多新的問題,這些問題也受到了社會各界的關注。如何解決電子商務安全問題,已經是現代技術工作者重點研究的課題之一。本文將從電子商務的安全現狀,電子商務使用的網絡安全的主要問題以及電子商務交易過程中網絡安全中問題的解決策略三個方面對電子商務安全全面、嚴謹的進行分析。
【關鍵詞】
電子商務的安全;防治的要點;有效的管理;措施的研究
電子商務交易在進行的過程中,網上的技術人員很難保證在網絡中傳送的信息是否可靠,是否完整,是否被篡改、重寫或者竊取,甚至信息中是否夾帶病毒等。同時這些威脅著電子商務的安全問題始終存在,有關電子商務服務的技術人員也在解決這些問題。
一、電子商務的安全現狀
(一)木馬、病毒種類更新速度快,數量多
據我國的一些相關調查可以知道,在2011年的上半年木馬網頁的數量已經超過了3.5億,在春節假期那段時間,就有增長了六十多萬多萬的木馬,這些數據告訴我們,現階段我國的電子商務處在一個十分不樂觀的環境中,電子商務存在的安全問題嚴重,需要馬上解決這些問題。不光是這樣,現階段在網上傳播的網絡病毒種類繁多,并且變化速度極快,針對這些問題,有些殺毒軟件也在努力,快速的更新,但是還是不能夠很有效的阻止病毒的傳播。最為嚴重的是很多的病毒制造者在利用這些木馬病毒進行違法犯罪的活動,這些都會影響社會的和諧與安定。
(二)網絡博病毒的傳播方式不同了
網絡病毒的傳統傳播方式僅僅是通過網絡進行傳播的,但隨著科技的發展,現階段他們的傳播方式也在升級,很多移動設備成為了病毒傳播的媒介,例如,我們使用的U盤或硬盤以及各種隨身攜帶的存儲設備都讓木馬病毒有了可乘之機。技術人員發現通過網絡傳播的病毒比例在下降,但是一種新型的病毒傳播方式正在影響著我們的生活,技術人員稱他為“掛馬”。這種病毒只有在有安全漏洞的計算機訪問網頁時才會被感染,這種病毒對電腦的攻擊力更強,并且一般用戶很難發現他們的存在,所以他們潛在的危險性比一般病毒更強。
二、電子商務網絡安全中的主要問題
(一)非授權性的訪問
在沒有經過同意的情況下,私自取用計算機上的資源,被我們稱為非授權訪問。例如,病毒制造者有意義的避開系統訪問機制對網絡進行非正常性的使用,或者越權訪問相關信息。這類問題主要有非法用戶進入網絡系統進行違規違法操作、仿冒身份進行攻擊等。
(二)信息丟失或泄露
信息的泄露或丟失主要有兩種,一種是在傳輸的過程中丟失,例如。病毒的制造者利用一些網絡漏洞和硬件漏洞竊取機密信息,或者對信息的頻率、流量這些參數進行分析,以此來推斷用戶的賬號和密碼等;另一種是信息在儲存媒介中丟失或泄露。
(三)破壞數據完整性
破壞數據的完整性分為兩種情況,一種是以不正當的手段獲得數據的使用權,然后對數據進行修改或刪除某些重要消息,以此來達到對自己有意義的結果。另一種是修改數據、惡意添加數據信息,干擾了正常用戶的使用。
(四)利用網絡傳播病毒
現在人們的生活已經離不開網絡技術,網絡技術廣泛的應用于人類生活的各個方面。但是隨著網絡技術被大眾廣泛的應用,很多的壓縮文件或者電子郵件都已經變成病毒傳播的一個途徑。通過這些手段進行病毒傳播,這種傳播方式的破壞性遠遠高過于傳統的傳播方式,而且一般用戶很難進行防范。
三、電子商務網絡安全問題的管理措施研究
(一)系統軟硬件設施的安全
只要基于一個安全可靠的通信網絡才能夠擁有一個電子商務需要的安全可靠的系統。每個從事電子商務的企業也都想擁有一套完整的電子商務系統,那就要有最為基礎的電子商務設施,這些基礎的設施能夠為從事電子商務的企業提供一個較為優越的環境,這其中包括一些硬件及軟件部分的服務,通過這種系統來管理和支持企業用戶的所有應用。電子商務的基礎設施現階段也是企業能否成功構建電子商務的一個關鍵。可以說它支持著這個企業內部的全部業務,并且他存在在運營的每一個環節中。如果企業擁有一個良好的電子商務設施就能夠在用量十分大的時候也能輕松的應對,可以降低企業在運營時的成本,也能夠為企業回避一些風險。最重要的是一個合格的電子商務是能夠確保企業在運作時的連續性和安全性的。
(二)數據加密技術
我們傳統的信息交流方式是信件,在郵遞的過程中,寄件人會將信件隱藏在信封中,這是一種保密技術。然而,在電子商務中,如何實現這樣的保密,是技術人員需要思考的一個重點。在電子商務交易中,為了保證信息的安全,一定要實現傳輸的信息除了應該接受信息的收信人以外,其他任何人通過任何途徑都不可獲取。為了實現這樣的信息安全需要對信息進行有效的加密,通過這樣的技術方式將傳輸的信息隱藏起來。電子商務數據加密技術是指將需要傳輸的信息通過加密鑰匙或者加密函數進行轉換,使信息在傳遞的過程中變成無意義的密文,接收方在收到密文后,運用兩人之前商定好的解密鑰匙,將密文轉化回需要傳輸的信息。文件加密,是網絡安全技術的一個基礎。
(三)電子商務認證技術
電子商務認證技術在現階段主要有四種,分別是數字簽名、數字摘要、數字信封、數字證書,這四種認證技術都能很好的完善現在的電子商務市場環境。
(四)安全電子交易協議
針對電子商務目前存在的很多技術缺陷,現階段有VISA和MasterCard兩大信用卡聯合推出的電子交易規范SET協議。SET主要用于界定與劃分電子商務活動中各方的權利與義務關系,給出標準的交易信息傳送流程。SET協議使得電子商務系統有了完整性、保密性、身份合法性以及不可否認性。SET規范為在Internet上進行安全的電子商務提供了一個開放的標準,SET綜合使用私有密鑰加密和公用密鑰加密的電子認證技術,其認證過程使用RSA和DES算法,可以給電子商務提供很強的安全保護。
四、總結
現階段人們的生產生活中已經離不開網絡技術,越來越多的電子商務取代了現實中的商貿交易,人們也越來越依賴電子商務帶來的便利,并且電子商務真的可以為忙碌的生活節省下來時間,也正是因為這樣,越來越多的人開始利用網絡進行電子商務犯罪,給很多人帶來很大的損失,本文中簡單的提到了一些電子商務安全管理措施,希望可以為電子商務的從事者提供一些幫助。
參考文獻
[1]李玲.電子商務安全問題及防范措施[J].商場現代化,2013,07.
[2]康莉.“云計算”環境下電子商務安全問題及對策研究[J].科技致富向導,2013,06.
【關鍵詞】電子商務;安全技術
引言
在當今這個時代,電子商務作為這個時代的產物,被賦予了很大的希望,在它的身上背負著太多的期望,但是電子商務卻不那么完美。在電子商務應用的過程中,出現了許多的問題,其中最大的就是安全問題,這個問題完全制約了電子商務的發展。譬如一些人會因為某些目的攻擊電子商務網站,比如盜取商業信息、盜竊資金、商業打擊、商業欺騙、惡作劇等等,而這會導致企業的電子商務網站交流受損、服務暫停,這將直接導致企業利潤受損。因此人們提出了想要推進電子商務的發展就要首先解決電子商務安全的問題。這個問題不解決,那想要發展電子商務是幾乎不可能的。
一、電子商務安全問題現狀分析
當前階段電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。
1.計算機網絡存在的安全問題
計算機網絡幫助人類進行信息交換,促進了科學、技術、文化、教育、生產的發展,提高了現代人的生活水平并且為人們的生活提供了極大的便利,但同時也對國家、企業、個人的信息安全帶來了極大的威脅。當前信息安全的重點放在了保護信息,確保信息在存儲、處理、傳輸過程中及信息系統不被破壞,確保對合法用戶的服務和限制非授權用戶的服務以及必要的防御攻擊的措施。信息的保密性、完整性、可用性 、可控性就成了關鍵因素。計算機網絡中存在著安全機制缺失、安全協議問題、安全工具、系統漏洞和后門、病毒木馬等間諜軟件、吳用和濫用等安全問題
2.商業誠信導致的安全問題
在傳統交易過程中,買賣雙方是面對面的,因此很容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過互聯網來聯系的,彼此遠隔千里,由于互聯網的特性導致既不安全也不可信,因而建立交易雙方的安全和信任關系相當困難,中間存在著誠信安全問題、交易抵賴、網絡詐騙等問題。因此,想要電子商務能蓬勃發展,誠信是個大問題,在現實交易環境中都無法完全保證誠信,更何況是線上虛擬交易。對于電子商務誠信問題還有很長的路要走。
二、解決電子商務安全問題對策
電子商務的安全問題涉及到電子商務的各個環節和參加貿易的各個方面,解決電子商務的安全問題是一個系統工程和社會問題。需全社會的參與。我認為可以從以下幾個方面對電子商務安全問題進行防范。
1.網絡安全技術
目前,電子商務安全領域已經形成了幾大核心技術。要解決電子商務安全問題必須需要依靠它們。它們分別是:①加密技術.加密技術能夠解決信息傳送的保密問題,加密技術分為對稱加密和非對稱加密。②數字簽名.數字簽名解決了如何防止他人對傳輸的文件進行破壞,以及如何確定發信人的身份的問題。數字簽名與書面文件簽名有相同功效,它代表了文件的特征,文件如果發生改變,數字簽字的值也將發生變化,不同的文件將得到不同的數字簽字。數字簽名是采用雙重加密的方法,通過被發送文件用 SHA編碼加密產生128 bit的數字摘要,發送方用自己的私用密鑰對摘要再加密,形成數字簽名,將原文和加密的摘要同時傳給對方,對方用發送方的公共密鑰對摘要解密,同時對收到的文件用SHA編碼加密產生又一摘要,將解密后的摘要和收到的文件在接收方重新加密產生的摘要互對比,最終實現了防偽、防抵賴。③數字時間戳.數字時間戳服務提供了對電子文件發表時間的安全保護,由專門的機構提供。④數字證書.數字證書是由CA認證中心簽發的,用電子手段來證實一個用戶的身份和對網絡資源的訪問權限的憑證。在網上的電子交易中,如雙方出示了各自的數字證書,就可用它來進行安全交易操作了。
2.商務安全技術
雖然有了網絡方面的安全技術,但是若在商務運作方面不注重安全,照樣也存在著非常大的隱患。我們應該①加強安全技術管理。需要重視電子商務網站的維護、升級等方面,做好每天的安全備份,加強網站服務器的管理。制定安全防范預案,只要發生安全事件,能夠得到盡快解決,從而減少損失。使用權威性較強的安全防護軟件,并能夠正常啟動、正常升級,發揮應有的防護功能。②加強安全管理方面投入。企業需要加大安全方面的資金投入,購買技術防護設備,加大對技術改造與設備更新的投入。引進安全管理的相關技術,招聘相應的管理人才,并進行適當的待遇傾斜,確保安全管理團隊的穩定。 ③加強密碼管理。電子商務中最重要的防范環節是密碼管理,要使用先進的密碼管理手段,確保能發揮特定的功能,重點有交易信息安全、身份認證安全和賬戶安全等。④加強密碼管理。電子商務中最重要的防范環節是密碼管理,要使用先進的密碼管理手段,確保能發揮特定的功能,重點有交易信息安全、身份認證安全和賬戶安全等。 ⑤加強法律的建設。主要是加強電子合同的形式及法律效力和加強電子合同的生效問題-生效時間及地點。
3.加強網絡基礎設施建設
隨著計算機網絡的發展,計算機應用已進入現代社會的各個領域,電子商務的安全問題已經是導致電子商務發展滯后的不爭的事實。總的說來,電子商務企業的安全問題,表面上像是計算機網絡的安全問題,但主要還是在于企業的制度建設、安全管理和重視程度等情況。企業不當的安全管理,不僅會發生企業賬戶資金被盜的問題,甚至有可能地客戶的利益造成損害,讓客戶對電子商務企業不再信任。電子商務企業維護客戶市場的關鍵是信譽度,所以,應當重視網絡安全,克服網絡技術自身的弊端,使企業能得到持續穩定的貿易發展。
參考文獻:
[1]劉建國.電子商務安全管理與支付,立信會計出版社,2011
[2]劉英卓.電子商務安全與網上支付,電子工業出版社,2010
[3]蔣漢生.電子商務信息安全,首都經濟貿易大學出版社,2012
作者簡介:
論文摘要:隨著網絡技術的廣泛應用,網上購物的日益普及我國電子商務安全的問題日益嚴重。首先,分析了電子商務安全的現狀,其次,著重對電子商務存在的問題及其原因進行深入地探索并指出了電子商務安全的需求,最后給出相應的解決方案。
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征。總體而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于u盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行u盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他u盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
5.對發出的信息予以否認.某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款i用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,cih病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。
三、電子商務的安全需求
電子商務威脅的出現導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
2.完整性。貿易雙方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易雙方信息的完整性是電子商務的基礎。
3.不可抵賴性。交易一旦達成,原發送方在發送數據后就不能抵賴,接收方接到數據后也不能抵賴。
4.匿名性。電子商務系統應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。
四、電子商務安全防治措施及安全舉措
防范電子商務網絡犯罪是一個系統工程,不僅需要人們提高防范電子商務網絡犯罪的意識,加強防范電子商務網絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作。
1.加強教育和宣傳,提高公眾電子商務的安全意識。信息安全意識是指人們在上網的過程中,對信息安全重要性的認識水平,發現影響網絡安全行為的敏銳性,維護網絡安全的主動性。強化上網人員的信息安全意識,就是要讓上網人員認識到,網絡信息安全是電子商務正常而高效運轉的基礎,是保障企業、公民和國家利益的重要前提,從而牢同樹立網上交易,安全第一的思想。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養電子商務網絡營銷安全管理人才。
2.采用多重網絡技術,保證網絡信息安全。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,vpn(虛擬專用網)。防火墻是實現內部網與外部網安全和入侵隔離的常規技術。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此,電子商務內外網與互聯網之間要設置防火墻。網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,發現任何安全隱患及時更改,做到有備無患。企業上網必須實行內外網劃分和內外網的物理隔離。要運用vpn新技術,為使用者提了一種通過公用網絡,安全地對食業網絡進行遠程訪問,同時又能保證企業的系統安全。包括操作系統、數據庫和服務器(如web服務器、e-maii。服務器)的安全。
3.運用密碼技術,強化通信安全。應圍繞數字證書應用,為電子政府信息網絡中各種業務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業務系統中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。目前要加強身份認證、數據完整性、數據加密、數字簽名等工作。對于電子商務中的各種敏感數據進行數據加密處理,并且在數據傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數據和特定權限。“在涉及多個對等實體間的交互認征時,應采用基于pki技術,借助第三方(ca)頒發的數字證書數字簽名來確認彼此身份。”為了從根本上保證我國網絡的安全,我同安全產品的應用應建立在國內自主研發的產品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業加快數字安全技術的研究,以提高我國信息企業的技術和管理水平,促進我同電子商務安全建設。
4.加強技術管理,努力做到使用安全。首先是在內部嚴格控制企業內部人員對網絡共享資源的隨意使用。在內網中,除有特殊需要不要輕易開放共享目錄,對有經常交換信息要求的用戶,在共享時應該加密,即只有通過密碼的認證才允許訪問數據。二是對涉及秘密信息的用戶主機,使用者在應用過程中應該做到盡可能少開放一些不常用的網絡服務,同時封閉一些不用的端口。并對服務器中的數據庫進行安全備份。三是切實保證媒體安全。包括媒體數據的安全及媒體本身的安全。要防止系統信息在物理空間上的擴散。為了防止系統中的信息在物理空間上的擴散,應在物理上采取一定的防護措施,如進行一定的電磁屏蔽,減少或干擾擴散出去的空間信號。這樣做,對確保企業電子商務安全將發揮重要作用。
5.健全法律,嚴格執法。目前我國在電子商務法律法規方面還有很多缺失,不能有效地保護公眾的合法權益,給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布《個人隱私保護法》、《商業秘密保護法》、《數據庫振興法》、《信息網絡安全法》、《電子憑證(票據)法》、《網上知識產權法》等一系列法律,使電子商務安全管理走上法制化軌道。使網絡控制、信息控制、信息資源管理和防止泄密有法可依,并得到技術上的支撐。健全電子商務安全標準認證和質量檢測機制,由國家主管部門組織制定有關電子商務安全條例規定,并發揮職能部門的監管作用。通過建立電子商務安全法規體系,規范和維持網絡的正常運行。
參考文獻:
[1]許寧寧.電子商務安全的現狀與趨勢[j].中國電子商務,2010,(1).
[2]濮小金.電子商務安全的政策選擇[j].全國商情經濟理論研究,2009,(3).
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征。總體而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于U盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行U盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他U盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
5.對發出的信息予以否認.某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款I用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,CIH病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。
三、電子商務的安全需求
電子商務威脅的出現導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
2.完整性。貿易雙方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易雙方信息的完整性是電子商務的基礎。
3.不可抵賴性。交易一旦達成,原發送方在發送數據后就不能抵賴,接收方接到數據后也不能抵賴。
4.匿名性。電子商務系統應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。
四、電子商務安全防治措施及安全舉措
防范電子商務網絡犯罪是一個系統工程,不僅需要人們提高防范電子商務網絡犯罪的意識,加強防范電子商務網絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作。 1.加強教育和宣傳,提高公眾電子商務的安全意識。信息安全意識是指人們在上網的過程中,對信息安全重要性的認識水平,發現影響網絡安全行為的敏銳性,維護網絡安全的主動性。強化上網人員的信息安全意識,就是要讓上網人員認識到,網絡信息安全是電子商務正常而高效運轉的基礎,是保障企業、公民和國家利益的重要前提,從而牢同樹立網上交易,安全第一的思想。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養電子商務網絡營銷安全管理人才。
2.采用多重網絡技術,保證網絡信息安全。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,VPN(虛擬專用網)。防火墻是實現內部網與外部網安全和入侵隔離的常規技術。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此,電子商務內外網與互聯網之間要設置防火墻。網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,發現任何安全隱患及時更改,做到有備無患。企業上網必須實行內外網劃分和內外網的物理隔離。要運用VPN新技術,為使用者提了一種通過公用網絡,安全地對食業網絡進行遠程訪問,同時又能保證企業的系統安全。包括操作系統、數據庫和服務器(如Web服務器、E-MAII。服務器)的安全。
3.運用密碼技術,強化通信安全。應圍繞數字證書應用,為電子政府信息網絡中各種業務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業務系統中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。目前要加強身份認證、數據完整性、數據加密、數字簽名等工作。對于電子商務中的各種敏感數據進行數據加密處理,并且在數據傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數據和特定權限。“在涉及多個對等實體間的交互認征時,應采用基于PKI技術,借助第三方(CA)頒發的數字證書數字簽名來確認彼此身份。”為了從根本上保證我國網絡的安全,我同安全產品的應用應建立在國內自主研發的產品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業加快數字安全技術的研究,以提高我國信息企業的技術和管理水平,促進我同電子商務安全建設。
一、網絡安全對于電子商務的重要性
當前,電子商務已逐步覆蓋全球,而網絡安全問題也得到了業內廣泛關注。電子商務的交易方式有別于傳統的面對面交易,在電力商務中,交易雙方均通過網絡進行信息交流,以網絡為媒介無疑加大了交易的風險性,因此安全的網絡環境能夠給交易雙方均帶來良好的體驗。電子商務的網絡安全管理較為復雜,不僅需要高新的技術做支持,如電子簽名、電子識別等,還需要用戶的配合,通常來說,用戶的個人信息越全面,網絡交易平臺對用戶的保護便會越全方位。可見,在電子商務交易平臺中,網絡安全具有十分重要的作用。
二、電子商務中網絡安全的技術要素
1、防火墻技術。防火墻技術主要是通過數據包過濾以及服務的方式來實現病毒的防治和阻擋入侵互聯網內部信息[1]。防火墻好比一個可以設定濾網大小的過濾裝置,可以根據用戶的需求,對信息進行過濾、管理。在服務器中,防火墻的技術便演化為一種連接各個網關的技術,對網關之間的信息聯通進行過濾。雖然上述兩種過濾管理技術形式略有區別,但本質相同,在電子商務中,可以將兩者結合使用,使各自的優勢得到充分發揮。實現在防火墻內部設計好一個過濾裝置,以便對信息進行過濾與確定是否可以通過。
2、數據加密技術。數據加密是對于指定接收方設定一個解密的密碼,由數學的方式,轉換成安全性高的加密技術,以確保信息的安全。這里面會涉及到一個認證中心,也就是第三方來進行服務的一個專門機構,必須嚴格按照認證操作規定進行服務[2]。認證系統的基本原理是利用可靠性高的第三方認證系統CA來確保安全與合法、可靠性的交易行為。主要包括CA和Webpunisher,RA與CA的兩者通過報文進行交易,不過也要通過RSA進行加密,必須有解密密鑰才可以對稱,并通過認證,如果明文與密文的不對稱,就不會認證通過,保證了信息的安全[3]。
3、數字認證技術。為了使電子商務交易平臺更為安全、可靠,數字認證技術便應運而生,其以第三方信任機制為主要載體,在進行網絡交易時,用戶需通過這一機制進行身份認證,以避免不法分子盜用他人信息。PKI對用戶信息的保護通過密鑰來實現,密鑰保存了用戶的個人信息,在用戶下次登陸時,唯有信息對稱相符,才能享受到電子商務平臺提供的相應服務,在密鑰的管理下,數據的信息得到充分保護,電子商務交易的安全性能得到了大幅提升。
三、電子商務中網絡安全提升的策略
1、提高對網絡安全重要性的認識。隨著信息技術的快速發展,網絡在人們工作、生活中已無處不在,我們在享受網絡帶來的便利時,還應了加強對網絡安全重要性的了解,樹立網絡安全防范意識,為加強網絡安全奠定思想基礎。應加強對網絡安全知識的宣傳和普及,使公民對網絡安全有一個全面的了解;同時,還應使公民掌握一些維護網絡安全的技能,以便發生網絡安全問題時,能夠得到及時控制,避免問題擴大化。
2、加快網絡安全專業人才的培養。網絡安全的提升離不開素質過硬的專業人才,由于網絡技術具有一定的門檻,如果對專業了解不深,技術上不夠專攻,專業問題便難以得到有效解決,應著力提升電子商務網絡安全技術人員的專業素養,為加強網絡安全奠定人力基礎。在培養專業人才時,應勤于和國內外的專業人員進行技術交流,加強對網絡安全領域前沿技術的了解和掌握,避免在技術更新上落后于人。
3、開展網絡安全立法和執法。網絡安全的有效提升需要從法律層面進行約束,應著力于完善網絡安全立法和執法的相關工作,加快立法工作的步伐,構建科學、合理的網絡安全法律體系。自從計算機產生以來,世界各國均設立了維護網絡安全的相關法律法規。在新時期,我國應集結安全部、公安部等職能部門的力量,加強對網絡安全的管理,力求構建一個安全、健康的網絡環境。
四、結論
一、電子商務安全問題
(一)計算機網絡安全
計算機是一種硬件設備,硬件設備難免出現故障,一旦出現,將會影響電子商務系統的運行。網絡是用戶進行數據交換,信息傳遞的主要途徑。通過網絡,用戶可以訪問網絡中不同的計算機系統。網絡安全主要是考慮限制用戶對用于電子商務系統的計算機的訪問權限,防止未授權的用戶對系統的訪問以及越權訪問。有些企業建立的電子商務網站本身在設計制作時就會有一些安全隱患,服務器操作系統本身也會有漏洞,由于未采用加密措施,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息,通過多次竊取和分析,造成網上傳輸信息泄密。不法攻擊者如果進入電子商務網站,大量用戶信息及交易信息將被竊取。當入侵者掌握了信息的格式和規律后,就通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,再發向目的地。
(二)誠信安全問題
電子商務的在線支付形式有電子支票、電子錢包、電子現金、信用卡支付等。但是采用這幾種支付方式,都要求消費者先付款,然后商家再發貨。因此,誠信安全也是影響電子商務快速發展的一個重要問題。同時,在電子商務中表現為商業機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。數據被偽造的問題,電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。交易抵賴包括多個方面,如發信者事后否認曾經發送過某條信息或內容,收信者事后否認曾經收到過某條消息或內容,購買者做了定貨單不承認,商家賣出的商品因價格差而不承認原有的交易等。交易信息在傳送過程中被非法分子捕獲并被虛假信息替換,從而達到破壞信息傳遞或偽造信息的目的。
(三)交易安全問題
安全問題是企業應用電子商務最擔心的問題,而如何保障電子商務活動的安全,將一直是電子商務的核心研究領域。作為一個安全的電子商務系統,首先必須具有一個安全、可靠的通信網絡,以保證交易信息安全、迅速地傳遞。電子商務在數據庫中所面臨的安全問題表現在非法入侵者對數據庫的攻擊,電子的交易信息在網絡上傳輸的過程中,可能被他人非法的修改,刪除或重放(指只能使用一次的信息被多次使用),從而使信息失去了真實性和完整性。電子商務交易過程中,商家要產品信息,確認訂購信息,收貨款;客戶要獲取產品信息,傳遞訂購信息,支付貨款。買賣雙方都存在安全問題,其中主要包括交易信息安全、支付安全和誠信安全。商務信息的存儲依靠計算機的數據庫技術來實現,信息傳輸的主要途徑是互聯網。所以,電子商務的不安全因素也正是以計算機的數據庫技術和網絡通信技術的安全漏洞為主要目標,構成了威脅電子商務活動的主要原因,成為不法分子入侵的主要途徑。
二、電子商務安全問題的解決方案
(一)提高服務的安全性
首先,應用防火墻技術。所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合。防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。目前的防火墻主要有以下三種類型:包過濾防火墻、防火墻、雙穴主機防火墻。其次,應用網關技術。應用級網關是在網絡應用層上建立協議過濾和轉發功能。它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,并在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。應用網關對某些易于登錄和控制所有輸入輸出的通訊環境給予嚴格的控制,以防有價值的程序和數據被竊取。
(二)數據加密技術
加密技術和身份認證技術是電子商務交易安全的基礎技術,加密技術用于對信息的加密,保證信息的機密性。數字簽名和數字信封技術應用了加密技術,建立在公共密鑰體制基礎上。數字簽名技術對信息進行數字簽名,保證信息的完整性和不可抵賴性。由于交易信息在傳輸過程中有可能遭到侵犯者的竊聽而失去機密性,加密技術是電子商務采取的主要保密安全措施,是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。加密包括兩個元素:算法和密鑰。密鑰和算法對加密同等重要。密鑰加密技術的密碼體制分為對稱密鑰體制和公共密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密和非對稱加密。對稱加密以數據加密標準(DES,Data Encryption Standard)算法為典型代表,非對稱加密通常以RSA(Rivest Shamir Ad1eman)算法為代表。如果不采用加密技術,則會影響電子商務的發展,或者成為發展的瓶頸。
(三)完善管理機制
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全方案的實施,離不開管理。信息安全意識的加強和培育是實現安全管理的必備條件。它的基本原則是:要求發生在系統中的行為都是有權限的行為,并且符合程序控制的要求。從管理上完善機制,加強其有效性,往往可以解決許多技術層次解決不了的問題。
關鍵詞:信息竊取 信息篡改 加密技術 防火墻
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征。總體而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于U盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行U盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他U盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
[關鍵詞] 網站 安全 腳本 數據庫 交互
一、引言
Internet已滲透到了社會的各個領域,不僅影響著我們的學習和工作,在Internet的發展中,WWW的發明和迅速推廣應用是一個重要的里程碑。網頁設計作為一門新興的技術,是介于平面設計、編程技術兩者之間的一門學科,它還涉及到美學心理、平面構成、色彩搭配等平面設計方面的知識。只有綜合運用多種知識,才能設計出視聽特效、動靜結合、人機交互的WEB頁面。
電子商務網站是一個非常豐富和方便的系統,很多是過去無法想像的,隨著今天的社會的發展以及科學技術的發展,現在都可以想像得到。由此可以想像到未來的網頁設計,那時候網頁設計的要求是什么呢?怎樣才能適應電子商務的發展呢?我有以下幾點想法:網頁能具有人性化;網頁要具有相當的美感;網頁更加強調交互性。
二、電子商務網站的安全現狀
電子商務網站安全主要涉及網絡信息的安全和網絡系統本身的安全。電子商務網站安全的隱患主要來自操作系統、網絡和數據庫的脆弱性以及安全管理上的疏忽。電子商務網站安全從本質上講就是網絡上信息的安全,包括靜態信息的存儲安全和信息的傳輸安全。從廣義上講,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。因此為了保證網絡的安全,必須保證以下四個方面的安全: 運行系統的安全;
網絡上系統信息的安全; 網絡上信息傳播安全; 網絡上信息內容的安全。
以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1.客戶端數據的完整性和有效性檢查
(1)特殊字符的過濾
在 W3C 的 WWW Security FAQ 中關于CGI安全編程一節里列出了建議過濾的字符:&;“”\“|*?-<>^()[]{}\n\r,這些字符由于在不同的系統或運行環境中會具有特殊意義,如變量定義/賦值/取值、非顯示字符、運行外部程序等,而被列為危險字符。
①CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中,ASP和Cold Fusion 腳本語言對特殊字符的過濾機制不夠完善,例如沒有對單引號做任何處理等。Perl和php對特殊字符的過濾則較為嚴密,如忽略或加上“\”(取消特殊字符含義)處理。C語言編寫的cgi程序對特殊字符的過濾完全依賴于程序員的知識和技術,因此也可能存在安全問題。
②Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變量進行嚴格的合法性分析。因此,如果攻擊者輸入某些特定sql語句,可能造成數據庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表(如果可以猜測出已存在的表名),清除或者更改數據庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己,或者執行系統命令。
③PHP和Perl
雖然提供了加上”\”(取消特殊字符含義)處理的手段,但是處理一些數據庫時依然可以被改寫。對于MySQL則沒有問題,\’不會與前面的單引號封閉,而當作一個合法的字符處理。針對oracle和informix等數據庫暫時未進行相關測試。
另外,對于PHP或者Perl語言,很多程序對于數字類型的輸入變量,沒有加單引號予以保護,攻擊者就有可能在這種變量中加入額外的SQL語句,來攻擊數據庫或者獲得非法控制權限。
(2)數據庫問題
不同的數據庫對安全機制的不同認識和實現方法,使它們的安全性也有所不同。最常見的問題是利用數據庫對某些字符的不正確解釋,改寫被執行的SQL語句,從而非法獲得訪問權限。
2.大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前臺,用JavaScript判斷,如果用戶繞過前臺判斷,就能對數據庫進行全查詢,如果數據庫比較龐大,會耗費大量系統資源,如果同時進行大量的這種查詢操作,就會有Denial of Service(DoS ―― 拒絕服務)同樣的效果。
三、措施與解決方案
通過查閱一些資料,下面介紹一些網頁制作中安全防范的方法,以供大家參考。
1.防范腳本攻擊
(1)JS腳本和HTML腳本攻擊的防范其實很簡單,只要用server.HTMLEncode(Str)就可以了。當然全以<%=uid%>過濾,為了方便的過濾,只需要將HTML腳本和JS腳本中的幾個關鍵字符過濾掉就可以了,如下代碼所示:
以下是過濾函數CHK()
<%
function CHK(fqyString)
fqyString = replace(fqyString, “>”, “>”)
fqyString = replace(fqyString, “<”, ”<“)
fqyString = replace(fqyString, “&#”, “&”)
fqyString = Replace(fqyString, CHR(32), “ ”)
fqyString = Replace(fqyString, CHR(9), “ ”)
fqyString = Replace(fqyString, CHR(34), “”“)
fqyString = Replace(fqyString, CHR(39), ”‘“)
fqyString = Replace(fqyString, CHR(13), ”“)
fqyString = Replace(fqyString, CHR(10) & CHR(10), ”</P><P> “)
fqyString = Replace(fqyString, CHR(10), ”<BR> “)
CHK = fqyString
end function
%>
(2)很多站點在用戶注冊,或者是用戶資料修改的頁面上也缺少腳本的過濾,或者是只在其中之一進行過濾,注冊進入后修改資料仍然可以進行腳本攻擊。對用戶提交的數據進行檢測和過濾如以下代碼:
If Instr(request(”username“),”=“)>0 or
Instr(request(”username“),”%“)>0 or
Instr(request(”username“),chr(32))>0 or
Instr(request(”username“),”?“)>0 or
……
Instr(request(”username“),”>“)>0 or
Instr(request(”username“),”<“)>0 or
Instr(request(”username“),”“”“)>0 then
response.write ”朋友,你的提交用戶名含有非法字符,請更改,謝謝合作 <a href=’****:window.history.go(-1);‘>返回</a>“
response.end
end if
2.防范sql injeciton攻擊
從最一般的.SQL Injection 漏洞攻擊來看,主要在用戶名和密碼上的過濾問題,提交:用戶名為:‘or’‘=’ 用戶密碼為:‘or’‘=’從程序出發,數據庫在執行以下操作Sql=“ SELECT * FROM lUsers WHERE Username=”or“=” and Password = “or”=“”時,SQL 服務器將返回lUsers表格中的所有記錄,而ASP腳本將會因此而誤認為攻擊者的輸入符 lUsers表格中的第一條記錄,從而允許攻擊者以該用戶的名義登入網站。對此類注入的防范可以利用以下代碼就可以實現strUsername = Replace(Request.Form(“Username”), “‘’”, “‘’‘”)
strPassword = Replace(Request.Form(“Password”), “’‘”, “’‘’‘”)
3.防止ASP木馬
防止ASP木馬被上傳到服務器的方法很簡單,如果你的論壇支持文件上傳,請設定好你要上傳的文件格式,我不贊成使用可更改的文件格式,直接從程序上鎖定,只有圖象文件格式和壓縮文件就完全可以,因為多給自己留點方便也就多給攻擊者留點方便。怎么判斷格式,如下面代碼所示:
判斷文件類型是否合格
Private Function CheckFileExt (fileEXT)
dim Forumupload
Forumupload=”gif,jpg,bmp,jpeg“
Forumupload=split(Forumupload,”,“)
for i=0 to ubound(Forumupload)
if lcase(fileEXT)=lcase(trim(Forumupload(i))) then
CheckFileExt=true
exit Function
else
CheckFileExt=false
end if
next
End Function
上述介紹的一些安全防范的方法在編寫網頁代碼時被常用到,這些代碼還是較為基本的一些代碼,但能有效的防止一些黑客的攻擊,當然加入了這些代碼可能會降低程序的使用效率。做為一名網站的管理人員或網頁制作人員在進行網頁制作和網站維護時應加強安全防范的意識,確保在網絡上進行數據傳輸的可靠性。
總之,隨著網頁制作的技術不斷的發展和提高,對電子商務的發展有著不可估量的推進作用,對于網站的安全防范已經成為目前發展電子商務最需考慮的一個問題之一,在開發網站中應注意在網絡安全方面的考慮。目前如JSP、ASP、PHP、XML等一些網站新技術融入網頁制作中,進一步提高了網頁的性能。隨著新的技術的推出,我相信網頁制作的發展會把我們帶入一嶄新的信息世界。
[關鍵詞]互聯網;電子商務;系統安全;數據安全;網絡系統
一、前言
近年來,隨著因特網的普及日漸迅速,電子交易開始融入人們的日常生活中,網上訂貨、網上繳費等眾多電子交易方式為人們創造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種信息,并進行各種交易。電子商務網站傳遞各種商務信息依靠的是互聯網,而互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅。
從發展趨勢來看,電子商務正在形成全球性的發展潮流。電子商務的存在和發展,是以網絡技術的革新為前提。電子商務系統的構建、運行及維護,都離不開技術的支持。同時,因為電子商務適合于各種大、小型企業,所以應充分考慮如何保證電子商務網站的安全。
二、電子商務網站的安全控制
電子商務的基礎平臺是互聯網,電子商務發展的核心和關鍵問題就是交易的安全性。由于Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求。
下面從技術手段的角度,從系統安全與數據安全的不同層面來探討電子商務中出現的網絡安全問題。
(一)系統安全
在電子商務中,網絡安全一般包括以下兩個方面:
1.信息保密的安全
交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
2.交易者身份的安全
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會考慮網上的商店是否是黑店。因此能方便而可靠地確認對方身份是交易的前提。
對于一個企業來說,信息的安全尤為重要,這種安全首先取決于系統的安全。系統安全主要包括網絡系統、操作系統和應用系統三個層次。系統安全采用的技術和手段有冗余技術、網絡隔離技術、訪問控制技術、身份鑒別技術、加密技術、監控審計技術、安全評估技術等。
(1)網絡系統
網絡系統安全是網絡的開放性、無邊界性、自由性造成,安全解決的關鍵是把被保護的網絡從開放、無邊界、自由的環境中獨立出來,使網絡成為可控制、管理的內部系統,由于網絡系統是應用系統的基礎,網絡安全便成為首要問題。解決網絡安全主要方式有:
網絡冗余——它是解決網絡系統單點故障的重要措施。對關鍵性的網絡線路、設備,通常采用雙備份或多備份的方式。網絡運行時雙方對運營狀態相互實時監控并自動調整,當網絡的一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配,保證網絡正常的運行。
系統隔離——分為物理隔離和邏輯隔離,主要從網絡安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問,從而達到安全目的。對業務網絡或辦公網絡采用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網。
訪問控制——對于網絡不同信任域實現雙向控制或有限訪問原則,使受控的子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要解決網絡的邊界的控制和網絡內部的控制,對于網絡資源來說保持有限訪問的原則,信息流向則可根據安全需求實現單向或雙向控制。訪問控制最重要的設備就是防火墻,它一般安置在不同安全域出入口處,對進出網絡的IP信息包進行過濾并按企業安全政策進行信息流控制,同時實現網絡地址轉換、實時信息審計警告等功能,高級防火墻還可實現基于用戶的細粒度的訪問控制。
身份鑒別——是對網絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名、口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動態口令卡和令牌卡等;三是主體特征或能力,如指紋、聲音、視網膜、簽名等。加密是為了防止網絡上的竊聽、泄漏、篡改和破壞,保證信息傳輸安全,對網上數據使用加密手段是最為有效的方式。目前加密可以在三個層次來實現,即鏈路層加密、網絡層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網絡高層主體是透明的。網絡層加密采用IPSEC核心協議,具有加密、認證雙重功能,是在IP層實現的安全標準。通過網絡加密可以構造企業內部的虛擬專網(VPN),使企業在較少投資下得到安全較大的回報,并保證用戶的應用安全。
安全監測——采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡掃描監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征,廣泛用于各行各業。網絡掃描是針對網絡設備的安全漏洞進行檢測和分析,包括網絡通信服務、路由器、防火墻、郵件、WEB服務器等,從而識別能被入侵者利用非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成詳細報告,包括位置、詳細描述和建議的改進方案,使網管能檢測和管理安全風險信息。
(2)操作系統
操作系統是管理計算機資源的核心系統,負責信息發送、管理設備存儲空間和各種系統資源的調度,它作為應用系統的軟件平臺具有通用性和易用性,操作系統安全性直接關系到應用系統的安全,操作系統安全分為應用安全和安全漏洞掃描。
應用安全——面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護與恢復軟件,并作相應的備份。
系統掃描——基于主機的安全評估系統是對系統的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數據免受盜用、破壞。
(3)應用系統
辦公系統文件(郵件)的安全存儲:利用加密手段,配合相應的身份鑒別和密鑰保護機制(IC卡、PCMCIA安全PC卡等),使得存儲于本機和網絡服務器上的個人和單位重要文件處于安全存儲的狀態,使得他人即使通過各種手段非法獲取相關文件或存儲介質(硬盤等),也無法獲得相關文件的內容。
文件(郵件)的安全傳送:對通過網絡(遠程或近程)傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制(IC卡、PCMCIAPC卡)才能解密并閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用于信息網中的報表傳送、公文下發等。
業務系統的安全:主要面向業務管理和信息服務的安全需求。對通用信息服務系統(電子郵件系統、WEB信息服務系統、FTP服務系統等)采用基于應用開發安全軟件,如安全郵件系統、WEB頁面保護等;對業務信息可以配合管理系統采取對信息內容的審計稽查,防止外部非法信息侵入和內部敏感信息泄漏。
(二)數據安全
數據安全牽涉到數據庫的安全和數據本身安全,針對兩者應有相應的安全措施。
數據庫安全——大中型企業一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數據庫,基于數據庫的重要性,應在此基礎上開發一些安全措施,增加相應控件,對數據庫分級管理并提供可靠的故障恢復機制,實現數據庫的訪問、存取、加密控制。具體實現方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。
數據安全——指存儲在數據庫數據本身的安全,相應的保護措施有安裝反病毒軟件,建立可靠的數據備份與恢復系統,某些重要數據甚至可以采取加密保護。
(三)網絡交易平臺的安全
網上交易安全位于系統安全風險之上,在數據安全風險之下。只有提供一定的安全保證,在線交易的網民才會具有安全感,電子商務網站才會具有發展的空間。
交易安全標準——目前在電子商務中主要的安全標準有兩種:應用層的SET(安全電子交易)和會話層SSL(安全套層)協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構;后者由NETSCAPE公司提出針對數據的機密性/完整性/身份確認/開放性的安全協議,事實上已成為WWW應用安全標準。
交易安全基礎體系——交易安全基礎是現代密碼技術,依賴于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發困難、管理不便的弱點;非對稱密鑰加密速度慢,但便于密鑰分發管理。通常把兩者結合使用,以達到高效安全的目的。
交易安全的實現——交易安全的實現主要有交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的抵賴等等。具體實現的途徑是交易各方具有相關身份證明,同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。
隨著電子商務的發展,網上交易越來越頻繁,調用每項服務時需要用戶證明身份,也需要這些服務器向客戶證明他們自己的身份。而保障身份安全的最有效的技術就是PKI技術。
PKI的應用在我國還處于起步階段,目前我國大多數企業只是在應用它的CA認證技術。CA(CertificationAuthorty)是一個確保信任度的權威實體,主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,并能很好地和其他廠家的CA產品兼容。在不久的將來,PKI技術會在電子商務和網絡安全中得到更廣泛的應用,從而真正保障用戶和商家的身份安全。
三、目前信息安全的研究方向
從歷史角度看,我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域,它綜合利用了數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。
安全協議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態機、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網絡信息系統密鑰管理的困難,同時解決了數字簽名問題,它是當前研究的熱點。
目前電子商務的安全性已是當前人們普遍關注的焦點,它正處于研究和發展階段,并帶動了論證理論、密鑰管理等研究。由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術出處于探索之中。在我國,信息網絡安全技術的研究和產品開發雖處于起步階段,有大量的工作需要我們去研究、開發和探索,但我們相信在不久的將來,會走出一條有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國信息網絡的安全,推動我國國民經濟的高速發展。
四、結束語
電子商務是以互聯網為活動平臺的電子交易,它是繼電子貿易(EDI)之后的新一代電子數據交換形式。計算機網絡的發展與普及,直接帶動電子商務的發展。因此計算機網絡安全的要求更高,涉及面更廣,不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取,以保證系統本身安全性,如服務器自身穩定性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道等等。對重要商業應用,還必須加上防火墻和數據加密技術加以保護。在數據加密方面,更重要的是不斷提高和改進數據加密技術,使不法分子難有可乘之機。
參考文獻:
[1]佚名.解析電子商務安全[EB/OL]./it386/dnwl/,2006-07-25.
[2]佚名.網絡構建與維護[EB/OL].chinaec-/second/network.php,2006-07-16.
[3]洪國彬.電子商務安全與管理[M].北京:電子工業出版社,2006.
