電子商務發(fā)展中存在的安全問題

1、電子商務發(fā)展中存在的安全問題作者:日期:我所了解的電子商務發(fā)展中存在的安全冋題可以說在電子商務的系統(tǒng)里面沒有安全保證的系統(tǒng)一定是一個豆腐渣工程，沒有人敢用，安全問題非常重要。怎么看待電子商務的安全問題？安全不是一個純技術的概念，沒有絕對的安全。安全是有成本和代價的，要采取安全措施不光會帶來不方便的地方，可能會帶來成本和代價。在安全是發(fā)展的、動態(tài)的。包括病毒、攻擊措施，不可能一蹴而就。1:程序安全程序安全中的問題主要包括程序漏洞和惡意代碼，眾所周知，程序開發(fā)中的微小需錯誤都可能造成很大的安全問題，所以不安全編程引發(fā)的問題就會被一些惡意的攻擊者所利用從而改變程序的執(zhí)行流程，譬如：緩沖區(qū)溢出不完全輸

2、入驗證以及“檢查時刻到使用時刻”錯誤惡意代碼是以破壞為目的的一類程序，例如病毒蠕蟲特洛伊木馬隱蔽通道分析因此人們對如何保證軟件質(zhì)量預防程序漏洞或惡意代碼應當引起極大的關注。2:操作系統(tǒng)安全隨著電子商務運行環(huán)境通過網(wǎng)絡訪問共享資源的未知用戶的增加，如何提供驗證機制是一個很重要的問題3:數(shù)據(jù)庫安全當前越來越多的應用系統(tǒng)依靠數(shù)據(jù)庫管理系統(tǒng)來管理和保護大量的共享數(shù)據(jù)，數(shù)據(jù)庫管理系統(tǒng)也成為計算機信息系統(tǒng)的核心部件，因此他的安全問題也變得越來越重要。4:網(wǎng)絡安全網(wǎng)絡安全是信息系統(tǒng)安全的基礎，它可以通過采用各種技術和管理措施來防御各種網(wǎng)絡攻擊，保證網(wǎng)絡系統(tǒng)正常運行，并確保網(wǎng)絡數(shù)據(jù)的可用性，完整性和保密性。隨

3、著INTERNET勺發(fā)展，網(wǎng)絡豐富的信息資源給用戶帶來了極大的方便，通過INTERNETS行的各種電子商務業(yè)務也日益增多，但是由于INTERNET勺開放性，電子商務應用和企業(yè)網(wǎng)絡中的商業(yè)機密均成為攻擊者的目標，因此網(wǎng)絡安全問題也成為各種網(wǎng)絡服務和應用能否進一步發(fā)展的關鍵問題之一。二：電子商務過程中遇到安全問題的解決方法。1:關于程序安全。編程人員可以使用對緩沖區(qū)溢出攻擊具有抵抗力的標準庫來防御緩沖區(qū)溢出攻擊。采用數(shù)字簽名阻止漏洞被攻擊者利用，采用軟件工程控制等等方法來保護程序的安全。2:關于操作系統(tǒng)安全?？梢酝ㄟ^自主訪問控制，強制訪問控制給予角色訪問控制等辦法來控制訪問權限3:關于數(shù)據(jù)庫安全。

4、可以采用數(shù)據(jù)庫訪問控制，完整性約束，推理控制和秘密通道數(shù)據(jù)庫加密以及數(shù)據(jù)庫用戶管理來保護數(shù)據(jù)庫的安全。4:關于網(wǎng)絡安全。防火墻是一種用來保護本地系統(tǒng)的設備，以防止網(wǎng)絡攻擊破壞系統(tǒng)或網(wǎng)絡，另外虛擬私有網(wǎng)絡和入侵監(jiān)測系統(tǒng)能夠阻止部分網(wǎng)絡攻擊但是要想全面防范，則還需要在網(wǎng)絡服務或應用程序開發(fā)階段就要開始仔細考慮安全因素這樣才能減少程序漏洞，不要隨意相信用戶輸入的任何數(shù)據(jù)對所有輸入數(shù)據(jù)進行檢查，此外最小特權原則也是有效的安全策略，系統(tǒng)管理員可以只賦予服務器上的程序所需要的最低權限，僅允許其訪問完成任務所必需的資源。三：電子商務安全對策商務交易安全則緊緊圍繞傳統(tǒng)商務在互聯(lián)網(wǎng)絡上應用時產(chǎn)生的各種安全問題，

5、在計算機網(wǎng)絡安全的基礎上，如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。一個全方位的計算機網(wǎng)絡安全體系結構包含網(wǎng)絡的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統(tǒng)漏洞檢測技術、黑客跟蹤技術，在攻擊者和受保護的資源間建立多道嚴密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。這里我們具體要了解的是商務交易安全及安全措施。商務交易安全：當許多傳統(tǒng)的商務方式應

6、用在Internet上時，便會帶來許多源于安全方面的問題，如傳統(tǒng)的貸款和借款卡支付/保證方案及數(shù)據(jù)保護方法、電子數(shù)據(jù)交換系統(tǒng)、對日常信息安全的管理等。電子商務的大規(guī)模使用雖然只有幾年時間，但不少公司都已經(jīng)推出了相應的軟、硬件產(chǎn)品。由于電子商務的形式多種多樣，涉及的安全問題各不相同，但在Internet上的電子商務交易過程中，最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患：1竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成

7、網(wǎng)上傳輸信息泄密。2篡改信息當入侵者掌握了信息的格式和規(guī)律后，通過各種技術手段和方法，將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關上都可以做此類工作。3假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。4惡意破壞由于攻擊者可以接入網(wǎng)絡，則可能對網(wǎng)絡中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡內(nèi)部，其后果是非常嚴重的。因此，電子商務的安全交易主要保證以下四個方面：5信息保密性交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加

8、密的要求。6交易者身份的確定性網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網(wǎng)上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。7不可否認性由于商情的千變?nèi)f化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的。8不可修改性交易的文件是不可被修改的，否則也必然會損害一方的商業(yè)利益。因此電子交易文件也要能做到不可修改，以保障商務交易的嚴肅和公正。安全措施:在早期的電子交易中，曾采用過一些簡易的安全措施，包括:部分告知（PartialOrder）

9、:即在網(wǎng)上交易中將最關鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。另行確認（OrderConfirmation）:即當在網(wǎng)上傳輸交易信息后，再用電子郵件對交易做確認，才認為有效。此外還有其它一些方法，這些方法均有一定的局限性，且操作麻煩，不能實現(xiàn)真正的安全可靠性。近年來，針對電子交易安全的要求，IT業(yè)界與金融行業(yè)一起，推出不少有效的安全交易標準和技術。主要的協(xié)議標準有:安全超文本傳輸協(xié)議（SHTTP:依靠密鑰對的加密，保障Web站點間的交易信息傳輸?shù)陌踩?。安全套接層協(xié)議（SSL：由Netscape公司提出的安全交易協(xié)議，提供加密、認證服務和報文的完整性。SSL被用于Ne

10、tscapeCommunicator和MicrosoftIE瀏覽器，以完成需要的安全交易操作。安全交易技術協(xié)議（STT,SecureTransactionTechnology）:由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術。安全電子交易協(xié)議(SETSecureElectronicTransaction)1996年6月，由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTEVeriSign、SAIC、Te

11、risa就共同制定的標準SET發(fā)布公告，并于1997年5月底發(fā)布了SETSpecificationVersion1.0，它涵蓋了信用卡在電子商務交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認證、數(shù)據(jù)簽名等。SET2.0預計今年發(fā)布，它增加了一些附加的交易要求。這個版本是向后兼容的，因此符合SET1.0的軟件并不必要跟著升級，除非它需要新的交易要求。SET規(guī)范明確的主要目標是保障付款安全，確定應用之互通性，并使全球市場接受。所有這些安全交易標準中，SET標準以推廣利用信用卡支付網(wǎng)上交易，而廣受各界矚目，它將成為網(wǎng)上交易安全通信協(xié)議的工業(yè)標準，有望進一步推動Internet電子商務市場。主要的安全技

12、術有：虛擬專用網(wǎng)（VPN這是用于Internet交易的一種專用網(wǎng)絡，它可以在兩個系統(tǒng)之間建立安全的信道（或隧道），用于電子數(shù)據(jù)交換（EDI）。它與信用卡交易和客戶發(fā)送訂單交易不同，因為在VPN,雙方的數(shù)據(jù)通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術，只要通信的雙方默認即可，沒有必要為所有的VPN行統(tǒng)一的加密和認證?，F(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進一步增加VPN的安全性，因而能夠保證數(shù)據(jù)的保密性和可用性。數(shù)字認證數(shù)字認證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性（如一個發(fā)票未被修改過），甚至數(shù)據(jù)媒體的有效性（如錄音、照片等）。隨著商家在電子

13、商務中越來越多地使用加密技術，人們都希望有一個可信的第三方，以便對有關數(shù)據(jù)進行數(shù)字認證。目前，數(shù)字認證一般都通過單向Hash函數(shù)來實現(xiàn)，它可以驗證交易雙方數(shù)據(jù)的完整性，JavaJDK1.1也能夠支持幾種單向Hash算法。另外，S/MIME協(xié)議已經(jīng)有了很大的進展，可以被集成到產(chǎn)品中，以便用戶能夠對通過Email發(fā)送的信息進行簽名和認證。同時，商家也可以使用PGP（PrettyGoodPrivacy）技術，它允許利用可信的第三方對密鑰進行控制?？梢?，數(shù)字認證技術將具有廣闊的應用前景，它將直接影響電子商務的發(fā)展。加密技術保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密?，F(xiàn)在，一些專

14、用密鑰加密（如3DESIDEA、RC4和RC5和公鑰加密（如RSASEEKPGF和EU）可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而，這些技術的廣泛使用卻不是一件容易的事情。密碼學界有一句名言：加密技術本身都很優(yōu)秀，但是它們實現(xiàn)起來卻往往很不理想?，F(xiàn)在雖然有多種加密標準，但人們真正需要的是針對企業(yè)環(huán)境開發(fā)的標準加密系統(tǒng)。加密技術的多樣化為人們提供了更多的選擇余地，但也同時帶來了一個兼容性問題，不同的商家可能會采用不同的標準。另外，加密技術向來是由國家控制的，例如SSL的出口受到美國國家安全局（NSA的限制。目前，美國的商家一般都可以使用128位的SSL，但美國只允許加密密鑰為4

15、0位以下的算法出口。雖然40位的SSL也具有一定的加密強度，但它的安全系數(shù)顯然比128位的SSL要低得多。據(jù)報載，最近美國加州已經(jīng)有人成功地破譯了40位的SSL這已引起了人們的廣泛關注。美國以外的國家很難真正在電子商務中充分利用SSL這不能不說是一種遺憾。上海市電子商務安全證書管理中心推出128位SSL的算法，彌補國內(nèi)的空缺，并采用數(shù)字簽名等技術確保電子商務的安全。電子商務認證中心（CACertificateAuthority）實行網(wǎng)上安全支付是順利開展電子商務的前提，建立安全的認證中心（CA則是電子商務的中心環(huán)節(jié)。建立CA的目的是加強數(shù)字證書和密鑰的管理工作，增強網(wǎng)上交易各方的相互信任，提高

16、網(wǎng)上購物和網(wǎng)上交易的安全，控制交易的風險，從而推動電子商務的發(fā)展。為了推動電子商務的發(fā)展，首先是要確定網(wǎng)上參與交易的各方（例如持卡消費戶、商戶、收單銀行的支付網(wǎng)關等）的身份，相應的數(shù)字證書（DCDigitalCertificate）就是代表他們身份的，數(shù)字證書是由權威的、公正的認證機構管理的。各級認證機構按照根認證中心（RootCA）、品牌認證中心（BrandCA）以及持卡人、商戶或收單銀行（Acquirer）的支付網(wǎng)關認證中心（HolderCardCAMerchantCA或PaymentGatewayCA）由上而下按層次結構建立的。電子商務安全認證中心.（CA）的基本功能是：生成和保管符合安

17、全認證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名。對數(shù)字證書和數(shù)字簽名進行驗證。對數(shù)字證書進行管理，重點是證書的撤消管理，同時追求實施自動管理（非手工管理）。建立應用接口，特別是支付接口。CA是否具有支付接口是能否支持電子商務的關鍵。第一代CA是由SETC（公司（由Visa&MasterCard組建）建立的，以SET協(xié)議為基礎，服務于BC電子商務模式的層次性結構。由于BB電子商務模式的發(fā)展，要求CA的支付接口能夠兼容支持BB與BC的模式，即同時支持網(wǎng)上購物、網(wǎng)上銀行、網(wǎng)上交易與供應鏈管理等職能，要求安全認證協(xié)議透明、簡單、成熟（即標準化），這樣就產(chǎn)生了以公鑰基礎設施（PKI）為技術基礎的平

18、面與層次結構混合型的第二代CA體系。近年來，PKI技術無論在理論上還是應用上以及開發(fā)各種配套產(chǎn)品上，都已經(jīng)走向成熟，以PKI技術為基礎的一系列相應的安全標準已經(jīng)由Internet特別工作組（IETF）、國際標準化組織（ISO）和國際電信聯(lián)盟（ITU）等國際權威機構批準頒發(fā)實施。建立在PKI技術基礎上的第二代安全認證體系與支付應用接口所使用的主要標準有：由Internet特別工作組頒發(fā)的標準：LDAP（輕型目錄訪問協(xié)議）、S/MIME（安全電子郵件協(xié)議）、TLC（傳輸層安全套接層傳輸協(xié)議）、CAT（通用認證技術，CommonAuthenticationTechnology）和GSS-API（通用

19、安全服務接口）等。由國際標準化組織（ISO）或國際電信聯(lián)盟（ITU）批準頒發(fā)的標準為95948/X.509（數(shù)字證書格式標準）。在計算機互聯(lián)網(wǎng)絡上實現(xiàn)的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統(tǒng)在保證其計算機網(wǎng)絡硬件平臺和系統(tǒng)軟件平臺安全的基礎上，應該還具備以下特點：強大的加密保證使用者和數(shù)據(jù)的識別和鑒別存儲和加密數(shù)據(jù)的保密聯(lián)網(wǎng)交易和支付的可靠方便的密鑰管理數(shù)據(jù)的完整、防止抵賴電子商務對計算機網(wǎng)絡安全與商務安全的雙重要求，使電子商務安全的復雜程度比大多數(shù)計算機網(wǎng)絡更高，因此電子商務安全應作為安全工程，而不是解決方案來實施。四：關于中華人民

20、共和國電子簽名法該法所涉及的技術問題是電子簽名問題。電子簽名也稱作“數(shù)字簽名”，是指用符號及代碼組成電子密碼進行“簽名”來代替書寫簽名或印章，它采用規(guī)范化的程序和科學化的方法，用于鑒定簽名人的身份以及對一項數(shù)據(jù)電文內(nèi)容信息的認可。所謂電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)，通俗地說，也就是通過密碼技術對電子文件所進行的電子形式的簽名。電子簽名運用一定的加密技術，將簽名人信息轉化為加密狀態(tài)，并在需要時進行解密還原。電子文件在經(jīng)過電子簽名后，就可以用來識別簽名人的身份以及文件內(nèi)容是否是簽名人所認可的原本內(nèi)容。目前制約因素主要有：國內(nèi)電子簽名的軟

21、硬件普遍不過硬，國內(nèi)真正有實力的認證企業(yè)屈指可數(shù)，其中很多沒有任何國家資質(zhì)，只是在行業(yè)和go-vern-ment內(nèi)部使用，而且國內(nèi)直接提供電子簽名技術的企業(yè)更是鳳毛麟角；其次，認證標準有待互聯(lián)互通，在目前情況下，電子簽名認證采用的技術標準不止一個，這也會在很大程度上影響電子簽名的普及應用。除了法律和技術問題之外，電子簽名或許還要面對“心理”門檻。一位有多次網(wǎng)上購物經(jīng)歷的張老師，她對中國經(jīng)濟時報記者說，大宗交易我不敢信任電子簽名，而像百元左右的小宗交易，又覺得不需要電子簽名。電子商務的法律完善集中以下領域：數(shù)據(jù)與隱私權保護、電子合同、電子支付、電子商務的消費者保護、信息安全、電子商務稅收、知識產(chǎn)權問題、相關程序法律問題。目前的法律主要解決了信息流方面的問題，包括電子簽名、電子合同、電子記錄的法律效力，但是對于信息流的知識產(chǎn)權、信息監(jiān)管以及資金流的電子支付、電子發(fā)票、網(wǎng)上證券、網(wǎng)上銀行與物流方面的所有權憑證的轉移等沒有涉及。我國電子簽名法明確和規(guī)范了以下幾個方面的問題：明確了電子簽名的法律效力。明確了電子簽名所需要的技術和法理條件。對電子商務認證機構和行為做了規(guī)定。明確了電子商