電子商務安全策略匯總十篇
時間:2024-01-04 16:13:48
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇電子商務安全策略范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
隨著Internet和IT技術的迅猛發展,電子商務因其自身獨有的特點與優勢,逐漸成為進行商務活動的新模式,在人們的生活中也占據著日益重要的地位,但其安全問題也變得越來越突出。如何建立一個安全、快捷、便利的電子商務應用環境,對信息在網絡上的傳輸提供足夠的保護,已成為商家和用戶都非常關心的話題。
一、電子商務的定義
電子商務(E-business)是利用當前先進的電子技術從事各種商業活動的方式,其實質是一套完整的網絡商務經營及管理信息系統。更具體地說,它是利用計算機硬/軟件設備和網絡基礎設施,通過一定協議連接起來的電子網絡環境進行各種商務活動的方式。比如:網上銀行、網上營銷、網上客戶服務、網上調查等。
二、電子商務的基本特征
1.電子商務將傳統的商務流程電子化、數字化,減少了人力、物力,降低了成本,具有開放性和全球性的特點,為企業創造了更多的貿易機會。
2.電子商務重新定義了傳統的流通模式,減少了中間環節,使生產者和消費者不用謀面的網上交易成為可能,從而在一定程度上改變了社會經濟運行的方式、經濟布局和結構。
3.電子商務一方面突破了時間和空間的限制,另一方面又提供了豐富的信息資源,為各種社會經濟要素的重新組合提供了更多的可能,使得交易活動可以在任何時間、任何地點進行,從而大幅度提高了效率。
可見,電子商務的一個重要技術特征是利用網絡技術和IT技術來傳輸和處理商業信息的。就整個系統而言,其安全性可以分為四個層次。(1)網絡節點的安全性。(2)通訊的安全性。(3)應用程序的安全性。(4)用戶的認證管理。
三、網絡節點的安全性
1.防火墻的概念。在構建安全網絡環境的過程中,防火墻作為第一道安全防線,受到越來越多用戶的關注與青睞。防火墻是一個系統,主要用來執行Internet(外部網)和Intranet(內聯網)之間的訪問控制策略。它可為各類企業網絡提供必要的訪問控制,又不造成網絡的瓶頸,并通過安全策略控制進出系統的數據,保護企業資源。
2.防火墻安全策略。防火墻保護內部網絡的敏感數據不被竊取和破壞,并記錄內外通信的有關狀態信息日志,如通信發生的時間和進行的操作等。新一代的防火墻甚至可以阻止內部人員將敏感數據向外傳輸。設置了防火墻后,可以對網絡數據的流動實現有效的管理:如允許公司員工使用電子郵件、Web瀏覽以及文件傳輸等服務,但不允許外界隨意訪問公司內部的計算機,同樣還可以限制公司中不同部門之間的互相訪問。
可見,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備組合,它還是安全策略的一個重要組成部分,其安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施及管理制度等。所有可能受到網絡攻擊的地方都必須以同樣的安全級別加以保護。僅設置防火墻系統,而沒有全面、細致的安全策略,那么防火墻就形同虛設。
3.安全操作系統。安全的操作系統至少要有以下特征:(1)最小特權原則,即每個特權用戶只擁有能進行其工作的權力。(2)強制訪問控制,包括保密性訪問控制和完整性訪問控制。(3)安全審計和審計管理。(4)安全域隔離。
其次,防火墻是基于操作系統的,如果信息通過操作系統的后門繞過防火墻進入內部網,則防火墻就不起作用了。可見,安全是一個系統工程,操作系統安全只是其中的一個層次,還需要各個環節的配合,安全操作系統應該與各種安全軟、硬件結合起來(如防火墻、殺毒軟件、加密產品等),才能讓電子商務得到更廣泛的應用,確保系統信息的安全達到最佳狀態。
四、網絡通信的安全性
1.數據通信的安全。電子商務系統的數據通信主要存在于:(1)客戶瀏覽器端與電子商務WEB服務器端的通訊。(2)電子商務WEB服務器與電子商務數據庫服務器的通訊。
2.通信鏈路的安全。在客戶端瀏覽器和電子商務WEB服務器之間采用SSL(Secure Electronic Transaction,安全電子交易)協議建立安全鏈接,所需傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。單純的建立SSL鏈接時,客戶只需用戶下載該站點的服務器證書。若驗證此證書是合法的服務器證書,再利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密將要傳輸的明文,此時瀏覽器也會出現進入安全狀態的提示。
五、應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性,這些工作還是不充分的,因為編程錯誤也可能導致對系統的破壞與攻擊。
程序錯誤的常見形式:程序員忘記檢查傳送到程序的入口參數;程序員在處理字符串的內存緩沖時,忘記檢查邊界條件。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可。程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄,但不是顯式的設置訪問控制(最少許可)。若程序員認為這個缺省的許可是正確的,則這些缺點就可能被用到攻擊系統的行為中,不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。
緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的,程序不檢查輸入字符串長度。輸入假字符串常常是可執行的命令,特權程序可以執行指令。
六、用戶的認證管理
1.身份認證。開展電子商務的關鍵核心技術是保密存儲與取出。電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合來實現。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。由于指紋具有惟一性,目前,指紋認證與網絡傳輸便廣泛的應用于銀行專用網、企業營銷網等各種商貿網絡,使電子商務具有更現實的可操作性。
2.CA證書。CA(Certificate Authority,即“認證機構”),是證書的簽發機構,它是PKI(Public Key Infrastructure,即“公開密鑰體系”)的核心。它要制定政策和具體步驟來驗證、識別用戶身份,并對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。要在網上確認交易各方的身份及保證交易的不可否認性,便需要CA證書進行驗證。證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,驗證個人證書是為了驗證來訪者的合法身份。
CA也擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證CA的簽字從而信任CA,任何人都可以得到CA的證書(含公鑰),用以驗證它所簽發的證書。如果用戶想得到一份屬于自己的證書,應先向CA提出申請。在CA判明申請者的身份后,便為其分配一個公鑰,并且CA將該公鑰與申請者的身份信息綁在一起,為之簽字后,便形成證書發給申請者。如果一個用戶想鑒別另一個證書的真偽,可用CA的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。
七、建立安全管理機制
為了確保系統的安全性,除了采用上述技術手段外,還必須建立嚴格的內部安全機制。對于所有接觸系統的人員,應按其職責設定其訪問系統的最小權限。
按照分級管理原則,嚴格管理內部用戶賬號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶賬號和密碼。建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。定期檢查日志,以便及時發現潛在的安全威脅。對重要數據要及時進行備份。對數據庫中存放的數據,數據庫系統應根據其重要性提供不同級別的數據加密。安全管理實際上是一種風險管理,任何措施都不能保證百分之百的安全。但安全技術的采用可降低系統遭到破壞、攻擊的風險,決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。隨著全球經濟一體化進程的加快,尤其是Internet技術、IT技術的迅猛發展及廣泛應用,我們的社會也已融入到電子商務時代的氣息當中,這是一個“以客戶為中心”的時代,企業的市場營銷及貿易往來都必須圍繞這個中心來進行。只有保證電子商務各個環節、各個方面的安全性與穩定性,才能為其正常運作提供有力的保證,才能為其自身迎來更廣闊的前景。
篇(2)
一、引言
當前的電子商務是指通過電子方式的商務活動。它作為一種全新的業務和服務方式,為全球客戶提供了豐富的商務信息、便捷的交易過程和廉價的交易成本。但是,電子商務給人們帶來方便的同時,也把人們引入安全憂慮之中。買方擔心在網絡上傳輸的信用卡及個人資料被截取;賣方則擔心收到的是被盜用的信用卡號碼,或是交易不認賬等,這些存在的安全漏洞問題已成為阻礙網上交易發展的首要問題。相對于傳統商務,電子商務對管理機制、實施平臺和信息傳遞技術都提出了更高的要求,其中安全體系的構建尤為顯得重要,已成為電子商務能否得到進一步發展和推廣的關鍵所在。
二、電子商務安全體系結構
1.電子商務中存在的安全隱患和威脅
Internet是電子商務實現的網絡基礎,它采用TCP/IP完成不同網絡與不同計算機之間的通信,正是由于這些特點,使它給電子商務帶來了很多的安全問題。Internet的安全隱患主要體現在四個方面。
開放性和資源共享是Internet的主要優點,但它帶來的問題卻不容忽視。因為當甲方在很容易的訪問乙方時,如果沒有采取任何措施,乙方同樣很容易的訪問甲方的計算機。
Internet采用的協議TCP/IP并未采用任何措施來保護傳輸內容不被竊取。它是一種包交換網絡,每個數據包在網絡上都是透明傳輸的,并且可能經過不同的網絡,由路由器轉發到達目的計算機。數據在傳輸過程中可能會遭到IP窺探、同步信號淹沒、TCP會話竊聽、復位與結束信號攻擊等威脅。
Internet底層的操作系統如UNIX,由于源代碼的公開,很容易發現漏洞,給Internet用戶帶來安全問題。
相比較傳統信函,電子化信息就缺乏可信度,電子信息是否準確很難由其本身來鑒別。在Internet上傳遞電子信息時,難以確認信息發送者及信息是否被正確無誤地傳遞給對方。
由于Internet存在上述安全隱患,將給電子商務帶來如下的安全威脅。
由于非法入侵,造成商務信息被纂改、竊取或丟失。
商業機密在傳輸過程中被第三方獲悉,被惡意破壞。
虛假身份的交易對象及虛假訂單、合同。
貿易對象的抵賴。
由計算機系統故障造成的對交易過程和商業信息安全的破壞。
綜上所述,電子商務面臨多方面的威脅,存在許多安全隱患。
2.電子商務的安全性內容
要使電子商務健康、順利發展,必須解決好以下幾種關鍵的安全性要求。
(1)保證信息的保密性和完整性。在交易過程中必須保證信息不被非授權用戶竊取,數據在輸入和傳輸過程中能保證數據的一致性。
(2)不可否認性。它是指信息發送方不可否認已經發送的信息,接收方也不可否認已經收到的信息。
(3)真實性。商務活動交易雙方身份是真實的,不是假冒的,不存在的。
(4)系統的可靠性與內部網絡的嚴密性。在計算機失效、程序錯誤、傳輸錯誤、硬件各種及計算機病毒等潛在威脅下,有容錯處理機制、數據恢復能力,確保系統安全、可靠。對企業內部網絡而言,要保證內部網絡不被入侵。
3.電子商務安全技術體系結構
電子商務的安全技術體系結構是保證電子商務中數據安全的一個完整邏輯結構,如圖所示。其中,下層是上層的基礎,為上層提供技術支持。上層是下層的擴展與遞增。各層相互聯系、相互依賴的構成一個整體。通過不同的安全控制技術,實現各層的安全策略,有效保證了電子商務系統的安全。
三、電子商務的安全技術
1.防火墻技術
防火墻是建立在內外網絡邊界上的過濾封裝機制,內部網絡被認為是安全和可信賴的,而外部網絡(通常指Internet)被認為是不安全和不可信賴的。防火墻的主要目的是防止不希望的、未經授權的通信進出被保護的內部網絡,通過邊界控制強化內部網絡的安全策略。
防火墻的主要技術有包過濾技術、服務器技術、應用網關技術和狀態檢測包過濾技術,現在最常用的是狀態檢測包過濾技術。狀態檢測防火墻對每個合法網絡連接保存的信息包括源地址、目的地址、協議類型、協議相關信息、連接狀態和超時時間等稱為狀態。通過狀態檢測,可實現比簡單包過濾防火墻具有更好的安全性。
2.加密技術
數字加密技術是網絡中最基本的安全技術,主要是通過對網絡中傳輸的信息進行數據加密來保障安全性。利用加密技術,可以將某些重要的信息和數據從一個可以理解的明文轉換為復雜的、不可理解的密文形式,在線路上傳送或在數據庫中存儲,其他用戶再將密文還原為明文。
3.信息摘要
密鑰加密技術只能解決信息的保密性問題,對信息的完整性則可以使用信息摘要技術來實現。信息摘要又稱為Hash算法,是一種單向加密算法,其加密結果是不能解密的。通過Hash算法,得到一個固定長度(128位)的散列值,不同的原文產生的信息摘要必不相同,相同的原文產生的信息摘要必定相同。這樣,通過用接收方產生的摘要與發送方發來的摘要比較,若兩者相同則表示原文在傳輸過程中沒有被修改,否則說明原文被修改過。
4.數字簽名
數字簽名是密鑰加密和信息摘要相結合的技術,用于保證信息的完整性和不可否認性。簽名機制的特征是該簽名只有通過簽名者的私有信息才能產生,即一個簽名者的簽名只能惟一地由他自己生成。當收發雙方發生爭議時,第三方就能根據消息上的數字簽名來裁定這條消息是否由發送方發出,從而實現不可否認服務。
5.數字時間戳
在電子交易中,時間和簽名同等重要。數字時間戳是由專門機構提供的電子商務安全服務項目,用于證明信息發送的時間。
6.數字證書與CA認證
由于電子商務在網絡中完成,互相之間不見面,因此為了保證每個人及機構都能惟一且被準確無誤地識別,就需要進行身份認證。身份認證可以通過驗證參與各方的數字證書來實現,而數字證書是由認證中心(CA)頒發的。
所謂CA(Certificate Authority:證書發行機構),是采用PKI(Public Key Infrastructure:公共密鑰體系)公開密鑰基礎架構技術,專門提供網絡身份認證服務,負責簽發和管理數字證書,具有權威性和公正性的第三方信任機構,其作用就像現實生活中頒發證件的機構。
四、電子商務安全交易標準
要實現安全的電子商務交易,交易雙方必須遵照統一的安全標準協議。當前,電子商務的安全機制正走向成熟,并逐漸形成了一些國際規范,比較有代表性的有安全套接層協議SSL(Secure Sockets Layer)和安全電子交易協議SET(Secure Electronic Transaction)。
1.安全套接層協議SSL
SSL協議是由Netscape公司研制的安全協議,SSL使用加密的方法建立一個安全的通信通道,以使客戶的信用卡號傳送給商家,商家再將其轉發給銀行,銀行驗證后在通知商家付款成功。該協議已成為事實上的工業標準,微軟、IBM公司都提供基于這種簡單加密模式的支付系統。
2.安全電子交易SET協議
SET協議向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。它是由Visa國際組織和MasterCard組織制定的,用于在Internet上進行在線交易時保證信用卡支付安全的開放性安全技術標準。由于得到了微軟、IBM、RAS公司的支持與參與,已成為工業事實上的標準。
SET協議采用了RSA公私鑰加密系統、數字簽名、數字證書認證等技術,保證了支付信息的保密性、完整性和不可否認性。該協議提供了客戶、商家和銀行之間的身份認證,而交易信息和客戶信用卡信息相互隔離,即商家只能獲取訂單信息,銀行只能獲得持卡人信用卡支付信息,雙方互不干擾,各去所需,構成了SET協議的主要特色,使得SET成為電子商務的安全規范。
3.SET、SSL協議比較
(1)SET是一個專門的安全電子支付協議,而SSL本質上是一個網絡安全協議,僅在雙方間建立起安全連接。SET是一個多方的消息報文協議,定義了銀行、商家和持卡人間必須符合的報文規范,它比SSL在交易過程中的信任度更強。
(2)SSL僅有商家的服務器需要認證,客戶端只是選擇性認證;而SET在整個交易過程中都受到嚴密保護,其安全性比SSL高。
(3)SSL協議中若想進行電子商務交易,只需通過瀏覽器實現,設置成本低廉,其交易只要幾十秒就可完成;SET盡管安全性高,但需要專門的軟件來實現,客戶、商家改造成本高,由于交易過程各方之間進行多次加密傳輸,每次交易需要數分鐘。
綜上所述,SSL與SET協議是電子商務中最普遍的兩種安全電子支付協議,各有優缺點。SSL雖然簡單快捷,但隨著電子商務的發展其缺點凸現出來,需采用更先進的支付系統。而SET雖有更強的功能和安全性,但過于復雜,使得大面積推廣還有很大障礙,并且成本昂貴,所以,在未來一段時間里將會是SSL和SET兩種支付方式并存的局面。
五、結論
電子商務的本質是商務,技術是電子商務得以實現的手段。沒有商務需求,技術的研究就失去了應用價值;沒有技術實現,電子商務就不能得以實施,所以技術是電子商務的必要條件。而安全則是實現電子商務技術的前提,也是電子商務的必要條件。解決電子商務的安全問題不是一個單一的技術問題,它是由一系列工作組成,需要從電子商務安全管理、安全技術體系和法律等多方面開展工作和研究。
參考文獻:
[1]胡道元 閔京華:網絡安全[M].北京:清華大學出版社,2006
[2]祝凌曦:電子商務安全[M].北京:北方交通大學,2006.
[3]李曉燕 李福全 郭愛芳:電子商務概論[M].陜西:電子科技大學出版社,2004
篇(3)
一、電子商務存在的安全隱患
1、交易平臺安全隱患
電子商務交易平臺主要由電子商務服務器、電子商務軟件/網站系統、電子商務數據庫和電子商務支付系統等組成。交易平臺是整個電子商務系統安全運行的基礎和保障,而因為種種因素的存在降低了平臺本身的安全性。電子商務服務器因為要進行大量的電子商務活動,比普通的服務器更加容易受到黑客的攻擊,而服務器操作系統本身的安全問題也導致服務器的不安全。電子商務運行所依靠的運行工具,比如購物網站可能因為設計開發不合理,導致心懷不軌者利用網站漏洞進行攻擊,從而破壞網絡交易。電子商務活動中產生的所有數據都存儲在數據庫中,如果數據庫在存儲管理方面出現問題,很容易導致用戶信息泄密。尤其是隨著云計算和大數據存儲的發展,數據存儲的安全性受到了更加嚴峻的考驗,面對海量數據,傳統的安全防護措施顯得蒼白無力。
2、電子支付安全隱患
電子商務支付系統是電子商務活動中的核心部分,近幾年來不斷有不法分子利用釣魚網站,偽裝成支付頁面,導致大量的網絡用戶受騙,財產在不經意間被人騙走。快捷和方便是電子商務的主要特點,為了能夠更好的去實現電子商務的這個特點,電子交易平臺就需要和各個銀行聯手,為顧客提供各種不同的支付方式,比如信用卡、快捷支付以及U盾等。人們在網上交易時信用卡支付是一種比較常見的方式,它可以有效實現先買東西后付款的方式,為資金不夠的顧客提供了便利,同樣也有很多違法分子利用這種方式來進行信用卡詐騙,這樣對電子商務的長期發展來講會產生比較嚴重的負面影響。
3、交易者身份安全隱患
在電子商務的交易過程中主要存在的安全問題就是,買賣雙方面臨的安全威脅。一是買方面臨的安全問題,客戶信息和營銷信息泄露,甚至有假冒用戶篡改商務信息內容等,這些均導致了電子商務交易的中斷,給商家的信譽度和利益帶來嚴重的影響,還有商業機密有可能被盜取,使得網絡黑客進入系統篡改訂單,造成大量虛假訂單的形成,使得電子商務不能夠正常開展;二是賣方面臨的安全問題,發送的電子商務信息被篡改,造成買家不能夠及時收到賣家的商品。在網購時使用的證件基本上都是身份證,這樣會導致身份證的信息被竊用,使客戶的經濟利益受到嚴重的損害。同時還存在著個人隱私被盜取以及被網絡的虛假廣告欺騙,最終購買了假冒偽劣商品。
4、誠信安全隱患
誠信是電子商務交易成功的根本保障,誠信安全出現問題會導致買賣雙方缺乏信任,整個電子商務交易也無法持續下去。眾所周知電子商務一般是買家通過電子現金、電子錢包、電子支票、信用卡支付等形式來在線支付給賣家,也就是說買家先付款然后賣家再發貨,這樣消費者種種擔心會隨之產生,比如商家不發貨或不按時發貨,商家發的貨沒有自己在網上瀏覽的虛擬產品好,所發商品屬于劣質產品等。據相關媒體的報道,有些非法商家要賣家先付極少部分的貨款,但沒有想的是他們制作的是假的支付頁面,趁機盜取銀行卡號和密碼,造成了買家嚴重的經濟損失。若是實行貨到付款,賣家就會擔心買家不付款或者不接受貨物,耽誤交易。因此,誠信安全問題直接影響著電子商務的健康發展,我們應該對電子商務的誠信安全問題予以高度的重視。
二、電子商務的安全防范措施
面對網絡中的種種威脅,必須采取多種措施來保證電子商務的安全性。
1、對電子商務進行專門立法
電子商務作為一種新生事物,如果延續傳統的法律體系對其進行規范還存在著許多空白,這一現狀已經在實踐中帶來了很多問題。以我國1997年修訂的《刑法》為例,雖然其中增加了關于計算機犯罪的相關條款,且1999年通過的《合同法》對電子合同的書面形式、生效時間地點等做出了相關規定。但是,這些條款和規定明顯簡單且滯后,已經遠遠不能滿足電子商務蓬勃發展的需要。以電子認證的效力、虛假電子認證等重要問題為例,我國的法律對此沒有做出專門的規定,這已經成為阻礙我國電子商務發展的重要因素。因此,我國應努力加快電子商務法制化的建設進程,制訂針對性強的《電子商務法》,從而對電子商務當事人的權利和義務、電子合同的法律關系、電子簽名、電子認證、網上知識產權的保護、電子支付等進行體系化的規范,使之適應當前的電子商務發展環境,并且要在刑法中對電子商務領域的犯罪進行明確的規定。如此以來,在法律上為電子商務提供一個良好的發展環境,為之保駕護航。
2、提升用戶安全意識
在電商時代,要保障計算機電子商務的安全,必須要強化用戶自身的安全意識。如果用戶的專業知識不充足,又缺乏電子商務的相關安全意識,會埋下很多安全隱患。很多非法入侵者正是由于注意到用戶缺乏專業知識與安全意識,故而選擇從用戶身上尋找突破口,入侵用戶的賬號,進而獲取系統管理員的賬號,甚至最終直接入侵到整個系統,使得系統內的數據信息被竊取或者整個系統出現崩潰的現象。由此看來,用戶的專業知識與安全意識對電子商務的整體安全性有著重要的影響,用戶需要不斷提高自身的安全意識,掌握相關專業知識,從自己做起,為電子商務的安全發展奠定基礎。
3、技術方面的安全策略
(1)積極推廣身份識別技術。在實際的電子商務中用戶的身份識別技術,旨在確保交易中涉及到的用戶身份信息的正確無誤,以及信息的有效性、完整性。該技術主要涉及以下幾個方面的內容:利用數字標志的方法進行驗證。該方法一般借助電子技術實現對交易用戶身份的真偽及其對相關網絡資源進行訪問的權限進行辨別,這個過程中對用戶身份的驗證是通過專門的數字證書(由電子商務平臺的認證中心發放)完成的。
篇(4)
一、電子商務安全概述
電子商務的載體是互聯網,但互聯網的共享性、開放性和匿名性卻給電子商務安全問題帶來了極大的隱患,使得電子商務受到威脅、攻擊的可能性大大增加。
1.電子商務安全內涵
電子商務的安全主要是指用戶方和提品服務方的安全,即雙方信息都要保密,用戶賬號不能被第三方獲知,提品或服務方的訂貨和付款信息等商業秘密也不能為競爭對手所知,并且商務活動一旦達成,相關信息未經雙方協定,不可更改、不能否認。
2.電子商務的安全需求
電子商務主要依托運作的環境是當前的國際互聯網和未來的國際信息基礎設施。網絡是從事電子商務機構安身立命的工作環境,其安全需求也表現在以下幾個方面:
(1)網站的安全維護。(2)電子商務中安全支付。(3)商業秘密的安全保護。(4)電子商務中知識產權的保護。
二、電子商務中存在的安全問題
1.電子商務面臨的網絡系統安全問題
電子商務系統是依賴網絡實現的商務系統,需要利用Internet基礎設施和標準,所以構成電子商務安全框架的底層是網絡服務層,它提供信息傳送的載體和用戶接入的手段,是各種電子商務應用系統的基礎,為電子商務系統提供了基本、靈活的網絡服務。電子商務網絡系統安全問題包括以下幾個方面:(1)網絡部件的不安全因素。(2)軟件不安全因素。(3)工作人員的不安全因素。(4)自然環境因素。
2.電子商務面臨的電子支付系統安全問題
眾所周知,基于Internet平臺的電子商務支付系統由于涉及到客戶、商家、銀行及認證部門等多方機構,以及它們之間可能的資金劃撥,所以客戶和商家在進行網上交易時必須充分考慮其系統的安全。目前網上支付中面臨的主要安全問題有以下幾方面:
(1)支付賬號和密碼等隱私支付信息在網絡傳送過程中被竊取或盜用。
(2)支付金額被更改。
(3)不能有效驗證收款人的身份。
三、電子商務面臨的認證系統安全問題
中國政府2002年頒布的《國民經濟和社會發展第十個五年計劃信息化重點專項規劃》中指出:加快電子認證體系、現代支付系統和信用制度建設,大力支持發展電子商務。要加快發展電子商務,使電子商務在金融、外貿、稅收、海關、農業等領域大力推廣應用,其關鍵之一,即涉及到電子商務的安全認證問題。
1.信息泄漏
在電子商務中表現為商業機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。如信用卡的賬號和用戶名被人獲悉,就可能被盜用。
2.篡改
在電子商務中表現為商業信息的真實性和完整性的問題。電子的交易信息在網絡上傳輸的過程中,可能被他人非法修改、刪除或重改,這樣就使信息失去了真實性和完整性。假如兩公司簽訂了一份由一公司向另一公司供應原料的合同,若趕上原料價格上漲,供貨方公司篡改價格將使自己大幅受益,而采購公司將蒙受損失。
3.身份識別
在網絡交易中如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等,進行身份識別后,交易雙方就可防止相互猜疑的情況。
4.蓄意否認事實
由于商情的千變萬化,商務合同一旦簽訂就不能被否認,否則必然會損害一方的利益。因此,電子商務就提出了相應的安全控制要求。
(1)電子商務中面臨的法律安全問題。隨著國際信息化、網絡化進化的不斷發展,在電子商務領域利用計算機網絡進行犯罪的案件與日俱增,其犯罪的花樣和手段不斷翻新。
(2)電子合同中的法律問題。電子商務合同的訂立是在不同地點的計算機系統之間完成的。許多國家的法律要求必須有書面形式的交易單證作為證明交易有效和作為交易的證據;否則,這種合同屬于無效合同。關于電子合同能否視為書面合同,并取得與書面文件同等的效力,是各國法律尚未解決的問題,與傳統書面文件相比,電子文件有一定的不穩定性,一些來自外界的對計算機網絡的干擾,都可能造成信息的丟失、損壞、更改。
(3)銀行電子化服務的法律問題。銀行是電子支付和結算的最終執行者,起著聯結買賣雙方的紐帶作用,但對一些從事電子貨幣業務的銀行來說,犯罪分子偽造電子貨幣,給銀行帶來了直接經濟損失。
(4)電子資金轉賬的法律問題。電子資金轉賬的法律是個特殊問題,但是我國現行的《票據法》并不承認經過數字簽名認證的非紙質的電子票據支付和結算方式。并且支付不可撤消,付款人或第三人不能要求撤消已經完成的電子資金轉賬。
(5)電子商務中的知識產權保護問題。電子商務活動中交易的客體及交易的行為經常涉及傳統的知識產權領域。
(6)電子商務中的消費者權益保護問題。電子商務等新的交易方式給消費者權益保護帶來各種新的維權問題。隨著科技進步,新產品的大量出現,消費知識滯后的矛盾也更加突出。
四、電子商務安全問題的安全策略
1.電子商務系統的安全技術
在電子商務活動中存在著種種安全問題,但我們可以利用安全技術來為電子商務安全提供服務,從而提供更全面的安全策略和防范。
(1)網絡安全技術。網絡安全技術所涉及到的方面比較廣,如操作系統安全、防火墻技術、虛擬專用網 VPN 技術和漏洞檢測技術等。
(2)加密技術。數據加密技術,就是對信息進行重新編碼,從而達到隱藏信息內容,使得非法用戶無法獲取信息真實內容的一種技術手段。加密技術是保證電子商務安全的重要手段,許多密碼算法現已成為網絡安全和商務信息安全的基礎。密碼算法利用密鑰(Secret Keys)來對敏感信息進行加密,然后把加密好的數據發送給接收者,接收者可利用同樣的算法和事先商定好的密鑰對數據進行解密,從而獲取敏感信息并保證網絡數據的機密性,其過程如圖所示。
(3)認證技術。認證技術是電子商務安全的主要實現技術。主要利用RSA算法建立的一個為用戶的公開密鑰提供擔保的可信的第三方認證系統,稱之為CA。認證技術可以直接滿足身份認證、信息完整性、不可否認和不可修改等多項網上交易的安全需求,較好地避免了網上交易面臨的假冒、篡改、抵賴、偽造等種種威脅。認證技術主要涉及身份認證和報文認證兩個方面的內容。身份認證用于鑒別用戶的身份。它一般又涉及到兩個方面的內容:一個是識別;一個是驗證。
(4)安全電子交易協議。目前有兩種安全在線支付協議被廣泛采用,能為電子商務提供有力的安全保障。
SSL安全套接層協議是對計算機之間整個會話進行加密的協議。在SSL中,采用了公開密鑰和私有密鑰兩種加密方法。SET安全電子交易是由MasterCard和Visa以及其他一些業界主流廠商聯合推出的一種規范,用來保證在公共網絡上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用并經受了考驗。
2.電子商務安全中的法律法規策略
目前,電子商務法律也在逐步完善,為了電子簽名能證實電子文件的合法性國家頒布了《電子簽名法》。在危害計算機信息系統有害數據的防治方面的法規有《計算機病毒防治管理辦法》、《計算機信息系統安全保護條例》、《計算機病毒防治管理辦法》、《計算機病毒防治產品評級準則》。與電子商務安全方面有關的法規還有:《計算機信息系統安全保護條例》、《計算機信息網絡國際聯網管理暫行規定》、《計算機信息網絡國際聯網安全保護管理辦法》等。
參考文獻:
[1]王維新:電子商務安全性的技術分析[J].西安文理學院學報,2006,9(3):118~121
篇(5)
電子商務是一個跨國界,跨地區,跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突,不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本,從各主體的角度思考,綜合協調了各個市場主體的行為,從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益,它為實現電子商務提供了統一的基礎平臺和安全屏障。
一、電子商務安全技術保障策略
安全技術保障技術是電子商務安全體系中的基本策略,目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種:
1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換,變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網絡安全技術的基礎。
2.身份驗證技術。電子商務主體向系統證明自己身份,并由系統查核該主體的過程,是確認真實有效身份的重要環節,這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。
3.訪問控制技術。訪問控制是指對電子商務網絡系統中各種資源訪問時的權限確認,防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。
4.防火墻技術。防火墻是用一組網絡設備來加強一個網絡與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應用、電路網關。
二、企業電子商務安全運營管理制度保障策略
企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定,是保證企業取得電子商務成功的基礎,是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統維護制度、數據備份制度等。
1.人員管理制度 人員管理制度主要從人員的選拔,工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。
2.保密制度 電子商務系統涉及企業的市場、生產、財務、供應鏈等多方面的機密,這些方面都是需要很好地劃分信息安全級別,并確定安全防范重點,提出相應的保密措施。
3.跟蹤審計制度 跟蹤制度就是要求企業建立網絡交易的日志機制,來記錄網絡交易的全過程。而審計制度是對系統日志的經常檢查、審核,及時發現對系統有安全隱患的記錄,監控各種安全事故,維護和管理系統日志。
4.網絡系統的日常維護制度 網絡系統的日常維護包括硬件的日常維護和軟件的日常維護,硬件維護主要是對網絡設備服務器和客戶機以及通信線路進行定期規范地巡查、檢修;軟件維護主要是規范地對支撐軟件的定期清理和整理、監測、處理特殊情況以及對應用軟件的升級等。
5.數據備份制度 數據備份主要是利用多種介質對信息系統數據進行存儲,定期為重要信息備份、系統設備備份,并定期更新,以減少安全事故發生時造成的損失。
三、電子商務立法策略
電子商務安全得到法律保障,首先必須完善電子商務安全相關的法律。如何構建一個有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
轉貼于
1.立法目的 電子商務安全立法的目的主要是要消除電子商務發展的法律障礙;消除現有法律適用上的不確定性,保護合理的商業行為,保障電子交易安全;建立一個清晰的法律框架以統一調整電子商務的健康發展。
2.立法范圍 電子商務安全方面需要的法律法規主要有:市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法,知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等;電子商務調整的對象是電子商務中的各種社會關系。
3.立法途徑 電子商務法律仍然是調整社會關系,所以應當繼承傳統立法的合理內核,尤其是基礎價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規范。對于傳統法律沒有規定的,即由電子商務帶來的新的社會關系,應盡快制定法律規范;第二是修改或重新解釋既定的法律規范。對于傳統法律的規定不明確,或與電子商務新型社會關系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規范。
四、政府監督管理策略
電子商務本質是一種市場運作模式,市場的正常健康有序地發展,必須有政府宏觀上的監督與管理,以協調和規范各市場主體的行為,宏觀監督與管理電子商務運行中的安全保障體系。
1.計算機信息系統安全管理 計算機信息系統,是指“由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”計算機安全保護規范主要有計算機安全等級保護制度,計算機系統使用單位安全負責制度,計算機案件強行報告制度,計算機病毒及其有害數據的專管制度與計算機信息安全專用產品銷售許可證制度。對計算機信息系統安全的保護,有利于保障國家的安全和社會安定,促進電子商務的安全交易過程,有利電子商務的健康發展。
2.網絡廣告和網絡服務業管理 由于網絡的開放性,自由性等特征決定了網絡廣告監管的難度,虛假廣告、廣告充斥著網絡空間,網絡廣告已經發展成為一個社會問題。網絡廣告管理應該從三個方面入手:第一,網絡廣告組織的管理,必須對網站廣告經營主體資格進行管制,第二,規范網絡廣告內容,確保廣告內容的真實性、合法性和科學性。第三,需要有具體的廣告審查管制、評估與監測部門。
國家針對網絡服務業和網絡用戶管理已經頒布了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》,其中提出了詳細具體的限制條件。但是,網絡飛速發展,面對網絡中的新問題,還必須進一步深入全面地研究。
3.認證機構管理 認證機構是電子商務活動中專門從事頒發認證證書的機構,對電子商務交易活動順利進行,電子商務活動中交易參與各方身份和信息認定,維護交易安全具有重要作用。對認證機構的管理主要是通過對設立的條件、撤消或者頒發許可證等營業資格而進行審批監督;同時,還要針對其資產和財務狀況定期審查,以免發生財務危機,對其信息披露與保密情況、安全系統運行情況等方面進行不定期或定期監督檢查。
4.加強社會信用道德建設,構建和諧安全電子商務 電子商務安全問題其中有很大部分是由電子商務用戶或從業人員的信用道德問題引發的,在我國尤其嚴重,甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業運作模式,必然存在不少漏洞,這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施,更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監督和企業自律,充分利用網絡新聞輿論監督,消費者輿論監督和行業協會的管理監督。
五、結束語
電子商務安全不僅涉及到電子商務公司、企業、消費者的利益,而且更加廣泛地涉及經濟、政治、國防、文化等諸多方面,關系到國家的安全、主權和社會的穩定。電子商務安全策略確保電子商務的快速、健康地發展。電子商務安全是目前電子商務發展的瓶頸,只有解決了電子商務安全,保障了市場主體的利益,才能得到網絡用戶的認可和參與,電子商務自身也才能得到快速、健康地發展。
參考文獻
[1]林寧,吳志剛.我國信息安全技術標準化現狀[J].中國標準化,2007(4)
篇(6)
0 引言
近年來,隨著信息技術的發展,各行各業都利用計算機網絡和通訊技術開展業務工作。廣西百色田陽縣農產品批發中心利用現代信息技術建有專門的網站,通過網站實施農產品信息、電子支付等商務工作。但是基于互聯網的電了商務的安全問題日益突出,并且該問題已經嚴重制約了農產品電子商務的進一步發展。
1 農產品電子商務的安全需求
根據電子商務系統的安全性要求,田陽農產品電子商務系統需要滿足系統的實體安全、運行安全和信息安全三方面的要求。
1) 系統實體安全
系統實體安全是指保護計算機設備、設施(含網絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故(如電磁污染等)破壞的措施和過程。
2) 系統運行安全系統運行安全是指為保障系統功能的安全實現,提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急)來保護信息處理過程的安全。項目組在實施項目前已對系統進行了靜態的風險分析,防止計算機受到病毒攻擊,阻止黑客侵入破壞系統獲取非法信息,因此系統備份是必不可少的(如采用放置在不同地區站點的多臺機器進行數據的實時備份)。為防止意外停電,系統需要配備多臺備用電源,作為應急設施。
3) 信息安全
系統信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統標識、控制。系統的核心服務是交易服務,因此保證此類安全最為迫切。系統需要滿足保密性,即保護客戶的私人信息,不被非法竊取。同時系統要具有認證性和完整性,即確保客戶身份的合法性,保證預約信息的真實性和完整性,系統要實現基于角色的安全訪問控制、保證系統、數據和服務由合法的客戶、人員訪問,即保證系統的可控性。在這基礎上要實現系統的不可否認性,要有效防止通信或交易雙方對已進行的業務的否認。
2 農產品電子商和安全策略
為了滿足電子商務的安全要求,電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務,具體可采用的技術如下:
2.1基于多重防范的網絡安全策略
1) 防火墻技術
防火墻是由軟件系統和硬件系統組成的,在內部網與外部網之間構造保護屏障。所有內外部網之間的連接都必須經過保護屏障,并在此進行檢查和連接,只有被授權的信息才能通過此保護屏障,從而使內部網與外部網形成一定的隔離,防止非法入侵、非法盜用系統資源,執行安全管制機制,記錄可疑事件等。
防火墻具有很好的保護作用。論文大全,信息安全。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
邊界防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。論文大全,信息安全。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。論文大全,信息安全。
2) VPN 技術
VPN 技術也是一項保證網絡安全的技術之一,它是指在公共網絡中建立一個專用網絡,數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,其分支機構就可以相互之間安全的傳遞信息。同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以進入企業網中。使用VPN 技術可以節省成本、擴展性強、提供遠程訪問、便于管理和實現全面控制,是當前和今后企業網絡發展的趨勢。
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中,要有高強度的加密技術來保護敏感信息;在遠程訪問VPN中要有對遠程用戶可*的認證機制。
性能
VPN要發展其性能至少不應該低于傳統方法。盡管網絡速度不斷提高,但在Internet時代,隨著電子商務活動的激增,網絡擁塞經常發生,這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺,管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能,又不會“餓死”,低優先級的應用。
管理問題
由于網絡設施、應用不斷增加,網絡用戶所需的IP地址數量持續增長,對越來越復雜的網絡管理,網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分布,并管理大量設備。論文大全,信息安全。
2.2基于角色訪問的權限控制策略
農產品電子商務系統信息系統含有大量的數據對象,與這些對象有關的用戶數量也非常多,所以用戶權限管理工作非常重要。
目前權根控制方法很多,我們采用基于RBAC演變的權限制制思路。在RBAC之中,包含用戶、角色、目標、操作、許可權五個基本數據元素,權限被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的權限。角色訪問控制策略主要是兩方面的工作:
(1)確定角色
根據系統作業流程的任務,并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色,低級別角色可以為高級別角色的子角色,高級別角色完全繼承其子角色的權限。
(2)分配權限策略
根據系統的實際功能結構對系統功能進行編碼,系統管理員可以創建、刪除角色所具有的權限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時角色不發生沖突,對該角色的權限不能輕易進行修改,以免造成由于修改角色權限從而造成角色發生沖突。論文大全,信息安全。論文大全,信息安全。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現。用戶登陸系統時,系統會根據用戶的角色的并集,從而得到用戶的權限,由權限得到菜單項對該用戶的可視屬性是true/false,從而得到用戶菜單。
2.3基于數據加密的數據安全策略
在農產品商務系統中,數據庫系統作為計算機信息系統核心部件,數據庫文件作為信息的聚集體,其安全性將是重中之重。
1)數據庫加密系統措施
(1)在用戶進入系統進行兩級安全控制
這種控制可以采用多種方式,包括設置數據庫用戶名和口令,或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。
2)防止非法復制
對于服務器來說,可以采用軟指紋技術防止非法復制,當然,權限控制、備份/復制和審計控制也是實行的一樣。
3)安全的數據抽取方式
提供兩種卸出和裝入數據庫中的加密數據的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數據還是密文,在這種模式下,可直接使用dbms提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數據明文,在這種模式下,可利用系統專用工具先進行數據轉換,再使用dbms提供的卸出、裝入工具完成。
3結束語
隨著信息化技術的快速發展,農產品電子商務創新必須適應新的變化,必須充分考慮信息安全因素與利用信息安全技術,這樣才能實現農產品電子商務業務快速增長,本文所述的安全策略,對當前實施電子商務有一定效果的,是值得推介應用的。
參考文獻:
[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報(自然科學版),2007,(12):71-73.
[2]唐文龍.基于角色訪問控制在農產品電子商務系統中的應用[j]. 大眾科技.34-35
篇(7)
2 電子商務網站的安全策略
電子商務依靠的是互聯網,其核心和關鍵問題就是交易的安全性。正是由于網絡本身的開放性給網上交易帶來了種種危險,才要更加注重它的安全控制。電子商務網站的安全問題可以從兩個方面進行探討和分析,一是系統安全,二是數據安全,并且可以利用一些先進的技術手段加以解決。
2.1 系統安全
信息安全對于企業來說很重要,而信息安全的前提是系統安全。系統安全主要包括網絡系統、操作系統和應用系統3個方面。系統安全可以采用的技術手段有網絡隔離、訪問控制、身份鑒別、數據加密、監控評估等技術。
2.1.1 網絡系統
網絡系統的安全問題主要是由于網絡的開放性造成的,解決問題的關鍵是把網絡從開放、自由的環境中分離出來,使其變成可以控制和管理的獨立網絡,就目前的技術發展來看,可以采用下列方法解決系統安全問題。
1)系統隔離,就是將重要的網絡系統與其他系統分離,有物理隔離和邏輯隔離。按照網絡安全等級的不同可以將網絡合理劃分為多個互不連通的網絡,使不同安全級別的網絡或設備不能相互訪問,從而達到安全隔離。也可以采用VLAN等網絡技術對業務網絡或辦公網絡實行邏輯上的隔離,劃分出不同的應用子網;2)訪問控制,通過設置有效合理的訪問策略,對于不同區域的網絡資源實行訪問控制,防止非法用戶訪問受保護的資源,其主要解決的問題就是網絡邊界的安全控制和網絡內部資源的訪問控制。可以按照一定的原則根據需要對信息的流向進行單向或雙向控制。能夠設置訪問控制的網絡設備有很多,比如交換機、路由器,而最重要也是最有效的則是防火墻,它通常被布置在網絡的出入口處,對進出網絡的數據信息進行有效的檢測和過濾,同時按照訪問控制列表和安全政策對信息流進行控制,允許合理有效的數據通過,將不安全和不符合要求的數據拒之網外;3)身份鑒定,對訪問網絡的用戶進行身份識別,通常可以使用三種方式對訪問者進行身份驗證,一是訪問者了解的安全信息,比如賬號、密碼、密鑰等;二是訪問者提供的物件,比如訪問磁卡、通用IC卡、動態口令卡等;三是訪問者自身的特征信息,比如聲音、指紋、視網膜、筆跡等。身份鑒定的目的就是阻止非法用戶訪問這些被加密的數據,而加密是為了防止網絡數據被竊聽、泄漏、篡改和破壞;4)安全監測,利用網絡設備的高級功能和技術,通過分析來訪數據信息,找出未經授權的網絡訪問和非法行為,包括對網絡系統的掃描、跟蹤、預警、阻斷、記錄等,從而將系統遭受的攻擊傷害減少到最低。除了網絡設備,還可利用一些專業的網絡掃描監測系統來對付黑客和非法入侵,這些系統能夠主動、實時、有效的識別出非法數據和用戶,并且通過網絡掃描能夠針對網絡設備的安全漏洞進行檢測和分析,包括網絡服務、防火墻、路由器、郵件服務器、網站服務器等,從而識別那些可以被入侵者利用并非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成詳細報告并提供改進方案,使網絡管理人員能檢測和管理好安全風險。
2.1.2 操作系統
操作系統,實際上就是電腦管理控制程序,是管理計算機軟硬件資源的核心系統,負責設備的管理、數據的存儲、信息的發送和各種系統資源的調度,它是各種應用軟件的系統平臺,具有通用性和易用性,操作系統的安全直接影響到應用系統和數據的安全,一般分為應用安全和系統掃描。
1)應用安全,面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護與恢復軟件,并作相應的備份;2)系統掃描,基于主機的安全評估系統是對系統的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數據免受盜用、破壞。
2.1.3 應用系統
1)文件的安全存儲:利用各種加密手段,結合相應的身份鑒定和密碼保護機制,使存儲在本地或者網絡上的重要文件處于安全存儲的狀態,即便他人通過非法手段獲取到了文件或存儲設備,也難以取得文件里的內容;2)文件的安全傳遞:對通過網絡發送的文件進行安全處理,比如加密、簽名、完整性鑒別等,使被傳送的文件只有指定的接收者通過相應的安全鑒別機制才能解密并閱讀,避免了文件在傳送或存儲的過程當中被截獲、篡改和破壞等;3)業務服務安全:主要面向業務管理和信息服務的安全需求。對于各種通用信息服務,如WEB信息服務、FTP服務、電子郵件服務等服務,采用相應安全軟件系統進行保護,如安全郵件系統、WEB頁面保護等;對于各種業務信息可以配合專業管理信息系統軟件采取對信息內容的安全保護,防止外部非法侵入和內部信息泄漏。
2.2 數據安全
信息數據的安全主要包含了數據庫的安全和數據本身的安全,這兩個方面的安全問題都必須得有相應的安全措施,才能確保數據安全。
1)數據庫安全,目前很多企業使用的數據庫都是SQL Server或者ORACLE大型數據庫,這些數據庫系統本身具備一定的安全性,安全級別可以滿足日常需求。但是由于數據庫十分重要,應在此基礎上再采取一些安全措施,增加相應安全組件,改良密碼策略,對數據庫實施分級管理并提供可靠的故障恢復機制,實現數據庫的訪問、存取和加密控制。具體方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等;2)數據安全,即存儲在數據庫中的數據本身的安全,相應的保護措施有安裝反病毒軟件和防火墻軟件,建立一套可靠的數據備份與恢復系統,定期對數據進行備份,定期修改數據庫密碼,必要時可以對重要數據采取多層加密保護。
2.3 交易安全
網上交易安全是用戶最關心的問題,只有提供穩定的安全保證,在線交易用戶才會具有安全感,才會覺得交易平臺可靠,電子商務網站才會具有廣闊的發展空間。
1)交易安全標準,目前在電子商務中主要的安全標準有兩種:應用層的SET(安全電子交易)和會話層SSL(安全套層)協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包、商場、認證中心的安全標準,SET的關鍵特征是信息的機密性、數據的可靠性、卡用戶賬號的鑒別、商人的鑒別,主要用于銀行等金融機構。后者由NETSCAPE公司提出的針對數據的機密性、完整性、開放性和身份確認的安全協議,它可以保證數據不被竊取和破壞,此協議已經成為WEB應用安全標準;2)交易安全基礎體系,交易安全的基礎是現代密碼學技術,主要取決去于加密方法和加密強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發困難、管理不便的弱點。非對稱密鑰加密速度慢,但便于密鑰分發管理。通常把兩者結合使用,以達到高效安全的目的;3)交易安全的實現,交易安全的實現主要是指交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的否認等等。具體實現的途徑是交易各方具有相關身份證明,同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。
3 結論
企業電子商務網站的安全,需要一個完整的綜合保障體系,要采用綜合防范的思路,從技術、管理、法律等多方面加以認識和思考。安全實際上是一種風險管理,任何技術手段都不能夠保證百分之百的安全,但是安全技術可以降低系統遭到破壞和攻擊的風險,在一定程度上保障數據的安全。電子商務正處于蓬勃發展時期,只有解決了電子商務中出現的各類問題,才能是電子商務系統更加安全。
參考文獻
篇(8)
一、 引言
隨著計算機網絡技術的飛速發展,電子商務開始蓬勃發展起來,通過Internet進行的網上購物、在線交易、網上銀行等業務雖然為人們的工作和生活提供了極大的便利。但是,由于Internet本身具有的開放性、靈活性、共享性等特點,也為信息安全帶來了巨大威脅。所以,電子商務的安全問題是事關能否正常開展電子商務的首要問題。
目前,世界上提出了很多加強網上交易安全性的協議,如SSL、SET等。由于SET協議非常復雜,實現比較困難,而且執行效率比較低,所以目前大部分網上交易都是采用SSL協議來實現。當前,網上銀行等大型電子商務交易系統一般都采用HTTP和SSL相結合的方式,即在服務器端采用支持SSL的WWW服務器,在客戶端采用支持SSL的瀏覽器,雙方共同協作來實現安全的網絡通信。
二、SSL協議的介紹
安全套接層協議(Secure Sock Layer Protocol,簡稱SSL)是在電子商務發展初期發展起來的,最早由Netscape公司設計開發,它是在TCP/IP上實現的一種安全協議,其采用了不對稱加密技術。它為C/S(客戶端/服務器)通信安全提供面向連接的機制,建立安全通道,通過在安全通道上傳輸信用卡卡號的方式,可以構建電子商務支付系統。SSL安全通道能使客戶端/服務器應用之間的通信不被第三者竊聽,并且始終對服務器進行身份認證,還可選擇對客戶端進行認證。目前,大部分Web瀏覽器(Netscape Navigator和Microsoft IE)和Web服務器都已內置了SSL協議,SSL已成為在電子商務中應用最廣泛的安全協議之一。
SSL協議要求建立在可靠的傳輸層協議(例如:TCP)之上。SSL協議的優勢在于它是與應用層協議獨立無關的。高層的應用層協議(例如:HTTP,FTP,TELNET)能透明地建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成了加密算法、通信密鑰的協商以及服務器認證工作。應用層協議所傳送的數據都會被加密,從而保證通信的機密性。
SSL協議主要由SSL記錄協議和SSL握手協議兩部分組成。
1.SSL記錄協議。SSL記錄協議位于SSL協議的底層,用于封裝上層的協議。其規定了會話中傳遞的所有數據項的基本格式,提供壓縮數據、生成數據的完整性校驗值(MAC)、對數據進行加密、標示數據長度、填充、流水作業號,并支持不同的加解密和雜湊算法。
2.SSL握手協議。SSL握手協議使得服務器和客戶端能夠相互認證對方的身份、傳送所需的數字證書、建立所需的會話密鑰。SSL握手協議是較SSL記錄協議更高層的協議,必須先執行握手協議后,才可能實現SSL記錄協議中的加密和完整性校驗。SSL協議通過在應用程序進行數據交換前交換SSL初始握手信息來實現有關安全特性的建立。SSL握手過程一般分為4個階段:
(1)建立安全能力:該階段是用來初始化邏輯連接,并建立與之相關的安全能力。交換在客戶端發起,客戶端發送Client_hello消息,并包含以下數據(SSL版本、初始隨機參數、會話ID、密碼組參數、壓縮方法),在發送了Client_hello消息之后,客戶端將等待包含與Client_hello消息參數一樣的Server_hello消息。
(2)服務器身份認證和密碼交換:服務器發送自己的數字證書給客戶端,該證書帶有證書授權中心(CA)的數字簽名和服務器的公鑰以及其數字簽名,可以證明自己的合法性,然后開始密鑰交換。如果服務器要求認證客戶端,則要請求客戶端數字證書。該階段以Hello消息段結束,之后服務器等待客戶端的響應。
(3)客戶端認證和密鑰交換:在這一階段,客戶端認證服務器數字證書的合法性。如果服務器要求客戶端的數字證書,客戶端應提供其數字證書,供服務器認證客戶端的合法性。此外,還要發送交換密鑰。
(4)完成:該階段完成安全通道的建立,該消息并不被認為是握手協議的一部分,而是改變密碼規格協議發送的。至此,客戶端和服務器完成了握手協議,可以開始交換應用層的數據了。
三、SSL協議在服務器上的應用
實現SSL協議,首先要在服務器上加裝SSL,其步驟為先在“Internet服務管理器”的“識別碼管理器”上填入網站的相關信息,以它為內容產生一組公鑰,識別碼管理器還會將以上信息都寫入文件,接下來就可以用這份數據向證書授權中心(Certification Authority)申請SSL服務器數字證書了。CA是一個公開而且公正的組織單位,其專門負責受理數字證書的核準,發放,注銷等管理工作(例如:VeriSign)。不同的CA有不同的申請方法。當申請好數字證書后,選擇識別碼管理器下的安裝識別碼認證,輸人密碼和數字證書文件的位置,就把數字證書安裝好了。然后就是指定哪些頁面需要用到SSL功能,打開Internet服務管理器,單擊所要設置的頁面目錄后按右鍵,單擊“屬性”,再選擇“目錄安全設定”下“安全通信”,按下編輯按鍵后在“當存取這個資源必須使用安全通道”選項上打上勾,表示當客戶端存取這個目錄時就會激活SSL功能。
服務器通過SSL服務器數字證書的兩個必要功能來建立電子商務信任體系。SSL服務器數字證書的兩個必要功能是:
1.SSL服務器認證:服務器數字證書允許用戶確認Web服務器的身份。Web瀏覽器自動檢查服務器數字證書和公共ID是有效的并已經被CA(如:VeriSign)所,包括在可信任的內嵌于瀏覽器中的CA列表。SSL服務器認證對安全的電子商務交易是至關重要的。例如,用戶通過網絡發送信用卡號并想校驗接收服務器的身份。
2.SSL加密:SSL服務器數字證書建立了一個安全通道,在用戶瀏覽器和Web服務器之間傳送的所有信息由發送軟件加密、接收軟件解密,從而保護私有信息不被第三方所竊取。
四、SSL協議在客戶端的應用
1.客戶連接一個站點和訪問一個安全的URL,即受服務器ID所保護的網頁。
2.客戶的瀏覽器自動向服務器發送瀏覽器的SSL版本號、密碼設置、產生的隨機數和服務器需要和客戶用SSL通信的其他信息。
3.服務器做出反應,自動向瀏覽器發送站點的數字證書,包括服務器的SSL版本號、密碼設置等等。
4.客戶的瀏覽器檢查包含在服務器數字證書中的信息并校驗。
(1)服務器數字證書是否有效,日期是否有效。
(2)服務器數字證書的CA是否被可信任的CA所簽名,可信任的CA證書已嵌入瀏覽器中。
(3)嵌入瀏覽器中的CA的公鑰是否使者的數字簽名有效。
(4)服務器數字證書所指定的域名與服務器的真實域名是否匹配。
如果服務器不能通過認證,那么用戶就會接收到警告信息,從而不能建立SSL安全通道。
5.如果服務器通過認證,客戶瀏覽器就會產生一個唯一的“會話密鑰”來加密所有與服務器的通信內容。
6.客戶的瀏覽器用服務器數字證書中的公鑰加密“會話密鑰”發送給服務器。這樣就可以確保只有服務器才能讀出“會話密鑰”。
7.服務器用自己的私鑰解密“會話密鑰”。
8.瀏覽器向服務器發送信息,表明以后從客戶端發送的信息都將用“會話密鑰”加密。
9.服務器向瀏覽器發送信息,表明以后從服務器發送的信息也將用“會話密鑰”加密。
10.這樣,在客戶端與服務器就建立了一個SSL安全通道。之后,所有通信內容就在SSL安全通道內用“會話密鑰”來加密和解密信息。
11.一旦本次會話結束,“會話密鑰”也就隨之失效。
上述過程只要花費幾秒鐘的時間,且不需要客戶的干涉。
另外,用戶還可以通過以下情況來確認是否已經和正在訪問的服務器建立了SSL安全通道:
> 在瀏覽器窗口的URL中以HTTPS://開頭
> 在Netscape中,在窗口左下角的掛鎖是關閉的,而不是打開的。
> 在IE中,掛鎖出現在窗口狀態條的右下角。
五、SSL在現實中的應用
以中國工商銀行“個人網上銀行”為例。首先訪問工商銀行首頁(省略/)。單擊“個人網上銀行登錄”圖標。然后填入必要的信息,之后單擊同意按鈕就可以打開“個人網上銀行”。
首次使用時,會彈出一個要求安裝SSL數字證書的對話框,單擊“是”按鈕即可。在安裝好SSL數字證書之后,在IE瀏覽器的右下方就會出現一把閉合的黃色小鎖,其代表瀏覽器正在使用SSL加密傳輸的資料,從而避免敏感信息在傳輸的過程中被竊取或者篡改。用戶可以通過雙擊這把小鎖來查看服務器SSL數字證書的詳細內容。
值得一提的是個別瀏覽器只支持40位以下的加密算法。這對于傳輸重要信息是遠遠不夠的。在IE瀏覽器中,只要將鼠標指向瀏覽器右下方的黃色小鎖,就可以看到SSL加密的位數。假如不是128位的話,可以通過單擊瀏覽器“幫助”菜單下的“關于Internet Explorer”。如果顯示的密鑰長度小于128位,則可以單擊“工具”菜單上的“Windows Update”,然后依據提示將瀏覽器更新為最新版本,使其支持128位的SSL加密算法。
六、SSL的功能及SSL的局限性
1.信息加密。SSL所采用的加密技術既有對稱加密技術,如DES;也有不對稱加密技術,如RSA。具體來說,客戶端與服務器在進行數據交換之前,先交換SSL握手信息,在SSL握手信息中采用了各種加密技術對其加密,以保證其機密性和數據的完整性,并且用數字證書進行認證。
2.信息完整。SSL提供了信息完整服務,以建立客戶端與服務器之間的安全通道,使所有經過SSL協議處理的業務能全部準確無誤地到達其目的地。
3.身份認證。客戶端和服務器都有各自的識別號,這些識別號由公開密鑰進行編號。為了驗證用戶是否合法,SSL協議要求在握手交換數據前進行認證,以此來確保用戶的合法性。 SSL堅持對服務器進行身份認證,還可選擇性的對客戶端進行認證。
篇(9)
1 電子商務的定義及具備的問題
1.1 何為電子商務
電子商務是商務活動過程里的一個全新的形式,經由現代信息技術的方法,透過數字化信息網絡乃至計算機裝置代替過去在交易過程里通過紙質方式進行的存檔、傳遞及統計的方式,展現出商品和服務交易甚至交易管理活動的在線交易形式,使得物流和資金展現出高效率、低成本的信息化管理以及網絡化能感應的意義。事實上,電子商務不僅具備了以Internet為交易平臺的交易,還包含了以Internet、內聯網、外聯網乃至其它廣域網、局域網為形式的交易環境。就當前而言,電子商務主要具備以下形式:(1)網上直接交易,交易對象大多是軟件、文藝作品或者廣告等一些無形商品;(2)網上訂單,可是延續傳統模式進行交易,交易對象大多是各類有形商品。當前在發達國家,網上實施電子貿易產品主要有三種:實體商品、數字化商品以及聯機服務[1]。
1.2 電子商務中具備的問題
大眾身為電子商務的對象,信息技術是完成電子商務的基本條件,電子商務進行的前提為信息安全。
1.2.1 計算機網絡的安全
(1)安全協議
雖然當前經濟信息已經呈現出全球化的發展形態,可就安全協議而言依然不具有全球性的規范和標準,約束了國際性的商務活動,而且,計算機安全管理還存有相對隱患,大部分無法實現抵抗黑客進攻的能力。
(2)信息安全
非法用戶通過網絡采用非法手段進行傳輸,通過非法形式將合法用戶的有效信息進行攔截,最終導致合法用戶的一些關鍵業務數據泄漏或者被非法用戶惡意篡改,令信息失去真實性和完整性,最終導致合法用戶無法正常使用。有些非法用戶經由截獲網絡數據包進行二次發送,對對方的網絡軟件和硬件進行惡意攻擊。
(3)服務器。
電子商務服務器在電子商務中尤為關鍵,設置了許多和電子商務有關的軟件與商家信息,并且服務器中的數據庫具備了企業保密數據,如:成本、價格等等,所以次服務器較易收到安全威脅,并且一旦引發安全問題,就會構成非常惡劣的后果。目前,服務器在安全方面并沒有收到阻止。非法用戶對網絡或主機進行非法信息攻擊,造成服務器的安全隱患,使得服務器不僅浪費了可用資源,還無法正常提供服務。透過操作系統、網絡服務、軟件和網絡協議的安全漏洞,向網站輸送數據請求,使得網絡應用服務器無法正常服務[2]。
1.2.2 電子商務交易安全
(1)無法確認身份
由于電子商務的進行需要透過虛擬網絡為平臺,在此平臺上進行交易時,雙方無需面對面進行較易,所以形成了交易雙方身份具有不確定性的因素存在。攻擊者能夠經由非法形式竊取合法用戶的身份信息,冒充合法用戶與他人進行較易,從而進行非法獲利。
(2)交易抵賴現象
電子商務交易存在不可抵賴性。有些用戶通過對自己發送的信息進行惡意否定,推卸責任。交易抵賴現象主要體現在以下狀況中:者否定所發送的信息欣榮、接收者否認接受過的信息內容、購買者否認訂過的訂單、商家出于售出商品的質量問題而否認交易。
2 電子商務安全技術和策略
2.1 電子商務安全技術的架構
電子商務安全技術體系包含了網絡服務層、加密技術層、安全協議層以及安全認證層四個方面,它能夠保障電子商務交易中數據的完整性以及安全性的邏輯結構。在這幾層結構里,下一層身為上一層的基石,給上一層給予技術方面的支持。通過安全控制技術實施安全策略,進而構成一個完成的整體,相互依存、相互關聯,進而實現電子商務的安全進行[3]。
2.2 電子商務安全策略
2.2.1 創建完善的電子商務法律制度,強化執法力度
隨著電子商務的不斷發展,電子商務網站如雨后春筍般涌現,從而使得很多網絡交易法律問題不斷涌現,如此一來,處理網絡交易的安全問題就要依照一個相同的法律法規執行,而當前的電子商務法律制度并不完善,需要創建必要的完善的法律體系。并且針對一些網絡交易中的違法行為,必須提高執法力度,進而實現規范電子商務交易的目的。
2.2.2 創建完善的信用體系,提升電子商務安全意識
信息體系作為電子商務規范和發展的基礎,為了加快電子商務良性循環,一定要創建完善的信用體系,并且也要提高電子商務的安全意識,不可以將利益擺在首位,要對安全性具備充分的重視。
2.2.3 通過加密技術、交易協議以及安全認證等途徑對交易信息的安全性進行保護
積極參考國外先進經驗及技術,盡量創建一套完善的電子商務安全體系,通過不同加解密算法提升和完善電子商務的交易安全,定期進行檢查并更換密鑰。
2.2.4 強化互聯網絡安全性,預防信息泄漏
最普遍的網絡安全保護方式為防火墻技術。電子商務內外網以及互聯網之間最好設置防火墻,如此不但能夠提高內部局域網絡的速度,還可以預防惡意病毒及木馬的攻擊。
2.2.5 提高子商務的安全管理,創建良好的電子商務環境
篇(10)
當今世界網絡,通信和信息技術飛速發展,Internet在全球迅速普及,使得商務空間發展到全球的規模,促進企業組織改革自己的思維觀念、組織結構、戰略方針和運行方式來適應全球性的發展變化。電子商務就是適應以全球為市場而出現和發展起來的一種新的商貿模式,通過網絡技術快速而有效地進行各種商務行為,即在商務運作的整個過程中實現交易無紙化、直接化。電子商務可以使商家與供應商,在全球市場上銷售產品;也可以讓用戶足不出戶在全球范圍內選擇最佳商品,享受全過程的電子服務。
一、物流在電子商務流程中的作用
電子商務對象是整個交易過程,任何一筆交易都由信息流、商流、資金流和物流等四個基本部分組成。開展電子商務的最終目的是為了解決信息流和資金流處理上的延遲,從而提高對物流過程管理的現代化水平,進一步提高現代化物流速度。物流做為網上電子交易的最后一個過程,執行結果的好壞將對電子交易的成敗起著十分重要的作用,是實現電子商務的重要環節和基本保證。電子商務必須有現代化的物流技術的支持,才能體現出其所具有的無可比擬的先進性和優越性,在最大限度上使交易雙方得到便利,獲得效益。
二、電子商務流程中物流的實現
在電子商務中,信息流、商流、資金流的處理可以通過計算機和網絡通信設備實現。對于有形的商品和服務來說,物流仍然要由物理的方式進行傳輸;對于無形的商品及服務如各種電子出版物、信息咨詢服務以及有價信息軟件等,可以直接通過網絡傳輸的方式進行電子化配送。電子商務環境下的物流,通過機械化和自動化工具的應用和準確、及時的物流信息對物流過程的監控,使物流的速度加快、準確率提高,能有效地減少庫存,縮短生產周期。
三、電子商務中物流信息安全問題
物流正在向信息化、自動化、網絡化和智能化的方向發展,越來越依賴于網絡傳輸信息的安全性能。由于Internet具有開放性和匿名性,其安全問題變得越來越突出。物流信息在網絡傳輸過程中,經常會遭到黑客的攔截、竊取、篡改、盜用、監聽等惡意破壞,給商戶帶來重大損失。以各種非法手段企圖入侵計算機網絡的黑客,其惡意攻擊構成電子商務系統中網絡安全的最大威脅,已經成為物流信息安全的最大隱患。黑客攻擊經常使用的手段有:
1、獲取口令
有三種方法:一是精心偽造一個登錄頁面,并嵌入到相關網頁上,當商戶鍵入登錄信息(用戶名和密碼等)后,將這些信息傳送到黑客的主機,然后關閉頁面給出“系統故障”等提示,要求商戶重新登錄,此后才出現真正的登錄頁面。二是通過網絡監聽得到商戶口令,監聽者往往能夠獲得其所在網段的所有用戶賬號和口令,對LAN威脅巨大。三是知道商戶賬號后利用一些專門軟件強行破解商戶口令。
2、郵件炸彈
用偽造的IP地址和電子郵件地址向商戶信箱發送無數封內容相同的惡意郵件,擠滿郵箱,把正常郵件沖掉。同時占用大量網絡資源,導致網路阻塞,甚至使電子郵件服務器癱瘓。3、特洛伊木馬
在商戶的電腦中隱藏一個會在系統啟動時運行的程序,采用服務器/客戶機的運行方式,在上網時控制商戶電腦,竊取口令、瀏覽商戶的驅動器、修改商戶文件和登錄注冊表等。
4、誘敵深入
黑客編寫“合法”程序,上傳到FTP站點或提供給個人主頁誘導客戶。當客戶下載該軟件時,黑客的軟件一并進入客戶的計算機上,跟蹤客戶的操作,記錄客戶輸入的每一個口令,發送到黑客指定的E-mail中。
5、尋找漏洞
尋找攻擊目標的系統安全漏洞或安全弱點,以便獲取攻擊目標系統的非法訪問權。
四、物流信息安全防護策略合法商戶進行網上查詢、交易雙方業務洽談、買方下訂單并得到賣方確認、商品配送、售后服務、技術支持等在線操作時對商務數據的安全需求比較高,同時希望私有信息(口令、賬戶數據等)保密。采用身份認證和數據加密技術能夠保護商戶私人信息及商務數據在公共網絡上傳輸時不被竊聽、篡改、頂替及非法使用。
1、身份驗證
采用數字證書身份認證加上口令認證的雙因子身份認證技術。每個企業用戶應該申請一張數字證書,上網進行賬戶查詢時,網上銀行系統首先驗證該用戶數字證書是否合法,然后將查詢請求和口令一起發送給業務前置機,對口令再次進行認證。當服務器獲得用戶證書后,還要檢索該證書是否在廢止證書列表之中。對于個人用戶,可以采用對口令加密的方式進行身份驗證,不需要申請證書,比較方便。
2、數據加密
物流信息在網絡中傳輸時,通常不是以明文方式而是以密文的方式進行通信傳輸。因為以明文傳輸的信息數據,一旦被他人截獲會輕而易舉地被讀懂、竊取盜用及篡改,很難保證物流配送活動的機密性、可靠性和安全性。下面利用C語言編程實現替換加密方法。
Caesar(愷撒)密碼是一種最古老的技術,將明文中每個字母替換為字母表中其后面固定數目位置的字母。如要傳輸的明文是“Iamateacher!”,經過加密,密鑰為5,對方接收到的密文是“Nfrfyjfhmjw!”,對第三方來說,這是毫無意義的一串字符,避免了泄密。合法接收方進行解密,又會得到“Iamateacher!”字符串。加密算法代碼如下:#include"string.h"
main()
{inti,ld,newasc;
charmingwen[20],miwen[20],c;
strcpy(mingwen,"Iamateacher!");/*明文*/
ld=strlen(mingwen);
for(i=0;i{c=mingwen[i];
if(c>=''''A''''&&c<=''''Z'''')
{newasc=c+5;/*密鑰為5*/
if(newasc>''''Z'''')newasc=newasc-26;
miwen[i]=newasc;}
elseif(c>=''''a''''&&c<=''''z'''')
{newasc=c+5;
if(newasc>''''z'''')newasc=newasc-26;
miwen[i]=newasc;}
else
miwen[i]=c;
}
for(i=0;i}
數據加密后傳輸,一定程度上保證了信息的安全性,密鑰的保密是很關鍵的。否則,網絡攻擊者掌握加密、解密算法,又得到密鑰,對合法商戶會造成致命的損失。因此加強對密鑰的管理,要貫穿于密鑰的整個生存期:密鑰的生成、驗證、傳遞、保管、使用和銷毀。
電子商務作為網絡時代的一種全新的交易模式,相對于傳統商務是一場革命。電子商務的優勢之一就是能大大簡化業務流程,降低企業運作成本。而電子商務企業成本優勢的建立和保持必須以可靠和高效的物流運作作為保證。所以,加大力度防護物流信息的安全,大力發展現代化物流,電子商務才能得到更好的發展。
參考文獻:
