- 相關推薦
探析電子商務的安全問題及其防范
摘要: 通過分析電子商務安全問題產生原因及電子商務對安全環境的要求,提出電子商務的安全防范策略,并對當前解決電子商務安全的主要技術進行了進一步的闡述和分析,為建立健全電子商務安全系統提供技術性參考。
關鍵詞: 電子商務 安全技術 安全協議
電子商務的發展已將全球的商務企業都推進到一場真的商業革命大潮中,潮起潮落,安全問題是關鍵。電子商務系統是活動在Internet平臺上的一個涉及信息、資金和物資交易的綜合交易系統,其安全對象是一個開放的、人在其中頻繁活動的、與社會系統緊密耦合的復雜系統,它是由商業組織本身(包括營銷系統、支付系統、配送系統等)與信息技術系統復合構成的。系統的安全目標與安全策略,是由組織的性質與需求所決定的。
一、電子商務的安全問題
1.電子商務安全問題的產生。(1)在線交易主體虛擬化帶來的安全問題:在電子商務環境下,任何人不經登記就可以借助計算機網絡發出或接受網絡信息,并通過一定程序與其他人達成交易。虛擬主體的存在使電子商務交易安全受到嚴重威脅。(2)虛假信息的發布帶來的安全問題:當用戶以合法身份進入系統后,買賣雙方都可能在網絡上發布虛假的供求信息,或以過期的信息冒充現在的信息,以騙取對方的錢款或貨物。(3)過低的信用度帶來的安全問題:①低信用度的買方帶來的安全問題:低信用度的買方,可能存惡意透支或使用偽造的信用卡騙取賣方貨物或存在拖延貨款行為,賣方需要為此承擔風險。②低信用度的買方帶來的安全問題:賣方不能按質、按量、按時寄送消費者購買的貨物,或者不能完全履行與集團購買者簽訂的合同,造成買方的風險。③低信用度的買賣雙方都存在抵賴的情況。 (4)網絡欺詐的存在帶來的安全問題:在電子交易活動中頻繁欺詐用戶這是網絡騙子們常用的騙術,利用電子商務進行欺詐已經成為一種新型犯罪活動,目前這種網上欺詐也已經成為國際性的難題。(5)電子合同取代書面合同過程中帶來的安全問題:在在線交易情形下,交易雙方的所有信息都是以電子化的形式存儲于計算機硬盤或其他電子介質中,這些記錄不僅容易被涂擦、刪改、復制、遺失,而且不能脫離其記錄工具(計算機)而作為證據獨立存在。由此而引發諸多方面的安全問題(6)網上電子支付過程帶來的安全問題:完電子商務的網上支付通過信用卡支付和虛擬銀行的電子資金劃撥來完成。而實現這一過程涉及網絡銀行與網絡交易客戶之間的協議、網絡銀行與網站之間的合作協議以及安全保障問題。(7)產品交付過程帶來的安全問題:有形貨物的在線交易中物流配送環節引發的一些特殊問題及無形的信息產品在交付中對于其權利的移轉、退貨、交付的完成等帶來的安全問題。(8)網絡消費者維權時引發的安全問題:在線市場的虛擬性和開放性以及網上購物的便捷性都使消費者保護成為突出的問題。比如質量問題,退賠、修理困難問題等。(9)網絡惡意攻擊者的破壞活動帶來的安全問題:包括系統穿透、違反授權原則、植入、通信監聽、通信干擾、中斷、拒絕服務、否認等。
2.電子商務對安全環境的要求。(1)確保信息的安全要求包括有效性、機密性、完整性、可靠性/不可抵賴性/鑒別等;(2)確保授權合法性;(3)確保交易者身份的確定性;(4)確保內部網的嚴密性。
二、電子商務的安全防范策略
經過數十年的探索,電子商務安全防范策略從最初的商務信息保密性發展到商務信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻、防、測、控、管、評”等多方面的基礎理論和實施技術。目前,電子商務安全領域已經形成了9大核心技術,它們是:密碼技術、身份驗證技術、訪問控制技術、防火墻技術、安全內核技術、網絡反病毒技術、信息泄露防治技術、網絡安全漏洞掃描技術、入侵檢測技術。
1.電子商務的主要安全技術。(1)加密技術。加密技術解決了傳送信息的保密問題,可分對稱加密和非對稱加密。對稱加密是一種傳統的信息認證方法,通過信息交換的雙方共同約定一個口令或一組密碼,建立一個通信雙方共享的密鑰。通信的甲方將要發送的信息用私鑰加密后傳給乙方,乙方用相同的私鑰解密后獲得甲方傳遞的信息。對稱加密采用的主要加密算法有DES數據加密標準、三重DES,IDEA,和AES(高級加密算法)等。其最大優勢是加/解密速度快, 適合于對大數據量進行加密,但密鑰管理困難。非對稱加密又稱公開密鑰加密,它使用一把公開發布的公開密鑰和一把只能由生成密鑰對的貿易方掌握的私用密鑰來分別完成加密和解密操作。如貿易的甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開;得到該公開密鑰的貿易的方乙使用該密鑰對信息進行加密后發送給甲方;甲方再用自己保存的另一把私用密鑰對加密信息進行解密。公鑰密碼技術是密碼技術核心,主要采用的算法有RSA算法、DSS/DSA算法和 ECC算法。優點是機制靈活,但加密和解密速度慢。
(2)數字簽名。數字簽名解決了而防止他人對傳輸的文件進行破壞,以及如何確定發信人的身份的問題。數字簽名與書面文件簽名有相同功效,它代表了文件的特征,文件如果發生改變,數字簽字的值也將發生變化,不同的文件將得到不同的數字簽字。數字簽名是采用雙重加密的方法,通過流程:A、被發送文件用 SHA編碼加密產生128 bit的數字摘要;B、發送方用自己的私用密鑰對摘要再加密,形成數字簽名;C、將原文和加密的摘要同時傳給對方;D、對方用發送方的公共密鑰對摘要解密,同時對收到的文件用SHA編碼加密產生又一摘要;E、將解密后的摘要和收到的文件在接收方重新加密產生的摘要互對比。最終實現了防偽、防抵賴。
(3)數字時間戳。數字時間戳服務提供了對電子文件發表時間的安全保護,由專門的機構提供。時間戳是一個經加密后形成的憑證文檔,它包括需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數字簽字三個部分。時間戳形成的流程為:①用戶將需要加時間戳的文件用HASH編碼加密形成摘要,然后將該摘要發送到DTS;②DTS在加人了收到文件摘要的日期和時間信息后再對該文件加密(數字簽名),然后送回用戶。數字時間戳是由認證單位DTS來加的,以DTS收到文件的時間為依據。
(4)數字證書。數字證書是由CA認證中心簽發的,用電子手段來證實一個用戶的身份和對網絡資源的訪問權限的憑證。CA認證中心是承擔網上安全電子交易認證服務、能簽發數字證書、并能確認用戶身份的服務機構。數字證書為電子簽名相關各方提供真實、可靠驗證的公眾服務,解決電子商務活動中交易參與各方身份、資信的認定,維護交易活動的安全,從根本上保障電子商務交易活動順利進行。在網上的電子交易中,如雙方出示了各自的數字證書,就可用它來進行安全交易操作了。
(5)防火墻技術。網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障,是最先受到人們重視的網絡安全技術,它可以阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出,是最適合于相對獨立的與外部網絡互連途徑有限、網絡服務種類相對集中的單一網絡。防火墻有兩個基本準則:一是未被允許的就是禁止的;二是未被禁止的就是允許的。基于該準則, 防火墻應轉發所有信息流, 然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境, 可為用戶提供更多的服務。
2.電子商務安全協議技術。電子商務安全協議主要有:安全套接層協議SSL和安全電子交易SET協議。此外,還有PCT(專用通信技術),它只是對 SSL進行少量的改進。SSL協議是向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等的安全措施。它包括 “SSL 記錄協議”和“ SSL 握手協議”。該協議通過在應用程序進行數據交換前交換SSL初始握手信息來實現有關安全特性的審查。在SSL握手信息中采用了DES、MDS等加密技術來實現機密性和數據完整性,并采用X.509的數字證書實現鑒別。SSL協議已成為事實上的工業標準而被廣泛應用。通常還采用“SSL+表單簽名”的模式使得SSL在電子商務的應用中確保信息的真實性、完整性和保密性的基礎上進一步提高電子商務的安全保障。
SET協議是Mastercard公司和Visa公司聯合開發的一種應用于因特網環境下,以信用卡為基礎的安全電子支付協議。它可以對交易各方進行認證,可防止商家欺詐,進行安全交易,它給出了一套電子交易的過程規范而成為目前公認的信用卡的網上交易的國際標準。
3.構建電子商務安全控制的框架和制訂電子商務標準及法律法規。通過安全的控制和電子商務標準的推行,有利于解決電子商務的安全性和可靠性問題。
電子商務給企業、消費者和社會所帶來的收益是不可估量的。特別是電子商務以其高效、低成本的優勢,必將成為新興的商業運作模式,推動著全球經濟的快速發展。而商務信息的安全問題始終是電子商務的核心,是阻礙電子商務廣泛應用的最大問題。電子商務的安全問題是能夠通過綜合運用各類電子商務安全技術,并不斷改進和完善,加之建立健全電子商務的安全機制和相應的法律法規,推行電子商務的國際化標準而得以解決。
【探析電子商務的安全問題及其防范】相關文章:
企業稅務風險及其防范論文04-21
超高速磨削及其優勢探析論文05-22
如何防范應收賬款風險及其措施08-05
電子閱覽室的功能及其使用問題探析論文04-26
電子商務環境下旅游業發展探析08-29
高校計算機網絡安全問題及其防護措施的研究05-29
談建筑工程施工監理安全風險及其防范措施06-13
鄒韜奮體育思想探析08-29