電子商務(wù)安全淺析(定稿)

1、電子商務(wù)安全淺析楊彥青 陳躍龍(張家口職業(yè)技術(shù)學院 河北 張家口 075000摘要 :電子商務(wù)是利用計算機網(wǎng)絡(luò)開展的商務(wù)活動,發(fā)展電子商務(wù)的關(guān)鍵因素是安全問題。 本文介紹了電子商務(wù)、電子商務(wù)安全的概念、電子商務(wù)的安全要素和存在的主要安全隱患, 同時給出了實現(xiàn)電子商務(wù)安全的主要技術(shù),包括存取控制、病毒的預防、檢測和殺毒技術(shù)、 防火墻技術(shù)、入侵檢測技術(shù)、虛擬專用網(wǎng)技術(shù)、加密技術(shù)、數(shù)字簽名、身份驗證等。關(guān)鍵詞 :電子商務(wù);網(wǎng)絡(luò)安全;商務(wù)交易;安全技術(shù)引言 :隨著信息技術(shù)的快速發(fā)展, 電子商務(wù)已經(jīng)深入到我們的日常生活, 如何應(yīng)對電子商務(wù) 過程中的安全問題也變得日益緊迫。 本文提出了電子商務(wù)安全的概念、

2、 主要安全要素, 進而 給出了電子商務(wù)過程中的主要安全隱患。 在此基礎(chǔ)上, 本文著重論述了包括計算機網(wǎng)絡(luò)安全 和商務(wù)交易安全在內(nèi)的電子商務(wù)安全技術(shù)的實現(xiàn)過程, 為解決電子商務(wù)過程中的安全問題提 供了一條有效的途徑。一、電子商務(wù)安全的概念1.電子商務(wù)電子商務(wù)源于英文 ELECTRONICCOMMERCE ,簡寫為 EC ,它實現(xiàn)了網(wǎng)絡(luò)通訊與商務(wù) 活動的有機結(jié)合, 可以在基于瀏覽器/服務(wù)器模式的 INTERNET 網(wǎng)絡(luò)環(huán)境下, 實現(xiàn)消費者的 網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付,其特點是簡單、快捷、低成本。2.電子商務(wù)安全電子商務(wù)安全由計算機網(wǎng)絡(luò)安全和商務(wù)交易安全兩部分構(gòu)成, 計算機網(wǎng)絡(luò)安全

3、包含網(wǎng)絡(luò) 設(shè)備、 網(wǎng)絡(luò)系統(tǒng)的正常運行和數(shù)據(jù)庫的數(shù)據(jù)安全, 為此, 可以通過實施增強網(wǎng)絡(luò)安全的方案 使網(wǎng)絡(luò)具有很高的安全性。 商務(wù)交易安全是指能夠杜絕網(wǎng)絡(luò)交易過程中的各種安全問題, 保 證電子商務(wù)過程能夠順利完成。二、電子商務(wù)的主要安全要素1.有效性、真實性有效性、 真實性是開展電子商務(wù)的前提, 因此要預防和控制危害電子商務(wù)安全的潛在威 脅,保證交易數(shù)據(jù)在確定的時刻、確定的地點的真實性和有效性。2.保密性維護商業(yè)機密是商務(wù)活動的基本要求, 電子商務(wù)活動中的數(shù)據(jù)信息直接代表著個人、 企 業(yè)或國家的商業(yè)機密。 要防止非授權(quán)用戶獲取、 傳遞、 使用合法用戶的數(shù)據(jù)信息, 保證交易 過程中信息的安全性、保

4、密性。3.完整性確保交易過程中信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ), 要杜絕由意外差錯或欺騙行為造 成的信息差異, 以保證交易各方信息的統(tǒng)一性, 進而保證交易各方制定合理的交易規(guī)則和經(jīng) 營策略。4.可靠性確保交易各方身份信息的合法可靠是順利進行電子商務(wù)活動的關(guān)鍵, 因此, 要在交易過 程中對交易各方進行可靠的識別,以確定參與交易的各方正是對方所期望的交易方。5.不可否認性為防止發(fā)生欺詐行為, 需要在電子商務(wù)活動中建立責任機制, 以保證參與交易的各方對 自己已發(fā)送或接受的數(shù)據(jù)信息不能否認, 同時, 交易各方必須附帶無法由別人復制的、 包含 自身特制的信息以保證發(fā)生糾紛時能有所對證。三、電子商務(wù)的主要

5、安全隱患1.竊取和篡改用戶信息在交易過程中, 黑客利用軟硬件系統(tǒng)存在的漏洞對交易方進行攻擊, 通過各種技術(shù)手段 掌握信息的格式和規(guī)律, 以獲取傳送的信息, 并在中途對用戶信息進行修改, 造成數(shù)據(jù)信息 的真實性和可靠性被破壞。有的入侵者甚至冒充合法用戶進行交易,從中獲得非法利潤。 2.惡意破壞由于網(wǎng)絡(luò)硬件的問題或軟件的漏洞致使計算機網(wǎng)絡(luò)遭到攻擊或被植入病毒, 造成用戶信 息的丟失或信息內(nèi)容的謬誤, 被攻擊的用戶系統(tǒng)出現(xiàn)網(wǎng)速變慢、 網(wǎng)站癱瘓等問題。 有的惡意 程序甚至直接破壞用戶信息,是交易無法進行。3.拒絕服務(wù)黑客通過控制網(wǎng)絡(luò)中的大量計算機對某一臺計算機進行訪問, 造成該計算機疲于應(yīng)付無 用的訪

6、問而不能提供正常的服務(wù),致使合法的信息交流受阻。4.交易抵賴參與交易方對己方已發(fā)出或接收到的信息予以否認, 有些用戶出于私利而對通過電子商 務(wù)平臺做出的商業(yè)決策進行抵賴,甚至出現(xiàn)欺惡意詐的行為。四、電子商務(wù)的安全技術(shù)實現(xiàn)1.計算機網(wǎng)絡(luò)安全 存取控制通過對交易方身份的鑒別來實現(xiàn)數(shù)據(jù)的有效保護。 在進行電子商務(wù)交易之前, 對交易方 的計算機進行權(quán)限設(shè)置, 保證數(shù)據(jù)信息在獲得授權(quán)的交易方之間傳遞, 以保證交易的安全性。 病毒的預防、檢測和殺毒技術(shù)對電子商務(wù)交易系統(tǒng)中的所有硬件進行有效的防病毒處理, 包括安裝正版殺毒軟件, 定 期對病毒庫進行更新, 同時對系統(tǒng)中的軟件進行及時的漏洞查補、 定期升級更新

7、。 另外, 還 可以限制網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件權(quán)限。發(fā)現(xiàn)病毒后反病毒程序應(yīng)及時對病毒進行刪 除,并清除被感染的文件,以防病毒進入網(wǎng)絡(luò)進行傳播擴散。 防火墻技術(shù)防火墻是計算機硬件和軟件的結(jié)合, 可以保護內(nèi)網(wǎng)不受外界的侵害。 防火墻將網(wǎng)絡(luò)劃分 成一些獨立的子網(wǎng), 通過設(shè)置安全策略的方式對進出的數(shù)據(jù)信息進行檢查控制, 進而達到保 護子網(wǎng)、 防黑客攻擊和限制入侵擴大蔓延的目的。 防火墻包含以下五個功能:過濾進出網(wǎng)絡(luò) 的數(shù)據(jù); 管理進出網(wǎng)絡(luò)的訪問行為; 封堵某些禁止行為; 記錄通過防火墻的信息內(nèi)容和活動; 對網(wǎng)絡(luò)攻擊進行檢測和告警。入侵檢測技術(shù)入侵檢測是一種依據(jù)已有的攻擊手段的信息代碼對進出網(wǎng)段的行

8、為實施監(jiān)控、 記錄并制 定響應(yīng)策略, 進而能夠發(fā)現(xiàn)并報告系統(tǒng)中的未授權(quán)或異?，F(xiàn)象的技術(shù)。 該技術(shù)是主動防護技 術(shù), 它能夠提供事后統(tǒng)計分析, 利用數(shù)據(jù)庫記錄安全或?qū)徲嬍录?并總結(jié)網(wǎng)絡(luò)安全狀態(tài), 發(fā) 現(xiàn)系統(tǒng)中的漏洞,最終提出解決方案。虛擬專用網(wǎng)技術(shù)虛擬專用網(wǎng)是利用公用網(wǎng)絡(luò)服務(wù)商提供的平臺建立專用網(wǎng)絡(luò)的技術(shù), 它利用 “通道” 或 “數(shù)據(jù)封裝” 向應(yīng)答方發(fā)送數(shù)據(jù), 保證數(shù)據(jù)安全地傳輸。 它包括了公用網(wǎng)絡(luò)的封裝、 加密及 身份驗證鏈接的專用網(wǎng)的擴展。 虛擬專用網(wǎng)的關(guān)鍵技術(shù)包括隧道技術(shù)、 加密技術(shù)和服務(wù)質(zhì)量 技術(shù)。2.商務(wù)交易安全加密技術(shù)貿(mào)易方可根據(jù)需要在信息交換的階段使用。 數(shù)據(jù)加密技術(shù)是將明文采取

9、數(shù)學方式轉(zhuǎn)換成為密文, 只有特定接收方才能將其解密還原成為明文的過程。 數(shù)據(jù)加密及其相關(guān)技術(shù)應(yīng)用可 有效解決電子商務(wù)交易中信息的完整性、不可抵賴性和交易身份確定性等問題。數(shù)字簽名數(shù)字簽名是指利用非對稱密鑰加密技術(shù)與數(shù)字摘要技術(shù), 并且只有信息的發(fā)送者才能產(chǎn) 生的無法偽造的數(shù)字串的一項技術(shù)。 該技術(shù)可用于鑒別數(shù)據(jù)簽署人的身份, 通過數(shù)字簽名能 夠?qū)崿F(xiàn)對原始報文的鑒別和不可否認性的認定。它通常包含用于簽名和驗證的兩種互補運 算。身份驗證身份驗證技術(shù)是一項在采用公鑰基礎(chǔ)設(shè)施(PKI 體系結(jié)構(gòu)的基礎(chǔ)上,通過認證授權(quán)中 心(CA , CertificateAuthority 獲得數(shù)字證書來解決網(wǎng)絡(luò)身份證的認證、數(shù)據(jù)傳輸?shù)陌踩?和交易的不可抵賴性等問題的技術(shù)。該技術(shù)可以通過服務(wù)器 CA 證書和 IC