电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘 要:随着近年来,网络﹑通信与信息技术快速发展与日益融合,网络在全球迅速普及,促进电子商务得蓬勃发展.本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造与诈骗等安全问题,阐述了电子商务安全体系及安全技术与对策浅析。
关键词 :
电子商务;安全技术;运用;安全体系;防火墙 前言
所谓电子商务就是指商务活动得电子化实现,即通过电子化手段来实现传统得商务活动。其优点:电子商务可以降低商家得运营成本,提高其利润率;可以扩大商品销路,建立企业与企业之间得联系渠道,为客户提供不间断得产品信息查询与订单处理等服务.但就是作为电子商务重要组成部分得支付问题就显得越来越突出,安全得电子支付就是实现电子商务得关键环节,而不安全得电子支付不能真正实现电子商务。
一、
电子商务网络及本身存在得安全隐患问题
目前,我国得电子商务存在普遍得窃取信息现象,不利于电子商务数据信息得安全管理.我们从两个典型案例说起:
案例一: : 淘宝“错价门”。互联网上从来不乏标价 1 元得商品.近日,淘宝网上大量商品标价 1 元,引发网民争先恐后哄抢,但就是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民与商户询问“团购宝"客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理.
案例一简析 :目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多得损失,这些现象对网络交易与电子商务提出了警示.然而,监管不力导致消费者权益难以保护。公安机关与电信管理机关、电子商务管理机关应当高度重视电子商务暴露得安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全得恶性事件,切实保护消费者权益,维护我国电子商务健康有序得发展。
案例二: : 黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站被黑客入侵得案例,国内得电子商务网站近两年也发生过类似事件。浙江义乌一些大型批发网站曾经遭到黑客近一个月得轮番攻击,网站图片几乎都不能显示,
每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份得网络黑客攻击,这些黑客采取多种手段攻击了阿里巴巴在我国大陆与美国得服务器,企图破坏阿里巴巴全球速卖通台得正常运营。随着国内移动互联网得发展,移动电子商务也将迅速发展并给人们带来更大便利,但就是由此也将带来更多得安全隐患。黑客针对无线网络得窃听能获取用户得通信内容、侵犯用户得隐私权. 案例二简析: :黑客攻击可以就是多层次、多方面、多种形式得。攻击电子商务平台,黑客可以轻松赚取巨大得、实实在在得经济利益。比如:窃取某个电子商务企业得用户资料,贩卖用户得个人信息;破解用户个人账号密码,可以冒充她人购物,并把商品货物发给自己。黑客有可能受经济利益驱使,也有可能就是同业者暗箱操作打击竞争对手.攻击电子商务企业后台系统得往往就是专业得黑客团队,要想防范其入侵,难度颇大.尤其就是对于一些中小型电子商务网站而言,比如数量庞大得团购网站,对抗黑客入侵更就是有些力不从心。如果大量电子商务企业后台系统得安全得不到保障,我国整个电子商务得发展也将面临极大威胁。
从上述两个案例可以瞧出,网络安全入侵者可以利用电子商务路由器或者网关截获数据信息,并且她们经过多次反复得窃取信息,便可以有效得找出电子商务贸易得一般规律或者贸易格式,从而造成电子商务网上交易得不安全,甚至造成网络相关数据信息得丢失与泄露,引发一系列得﹑不可估量得严重后果。当网络入侵者截获她们需要得有用信息,掌握了电子商务规律,她们通过破译方法或手段,将电子商务信息进行随意得篡改,将改过得信息交给交易方,这样会影响电子商务交易秩序得混乱,导致部分企业破产崩溃。伪造身份冒充合法得交易者参与交易,对电子商务协议进行攻击。恶意破坏删节通信信息中得数据,取消用户订单,生成虚假信息.协议参与方对交易进行抵赖,否认交易结果以及交易方在多次交易得表现不诚实,服务低劣等各种问问题.总之,电子商务网路有待提高. 二﹑电子商务安全体系组成 ( ( 一)
物理安全
电子商务物理安全主要就是指为了保护电子商务系统安全可靠得运行,确保在交易,处理,传输过程中不受人为或自然灾害危害,而对计算机,网络设备,设施,环镜采取得安全得措施。主要包括:物理位置得选择,防盗窃防破坏,防
雷击,静电等。
目得主要使存放计算机﹑网络设备得机房,电子商务系统得得设备与存储设备得介质等免受物理环境﹑自然灾害及人为操作等各种威胁所产生得攻击。物理安全就是防护电子商务系统安全得最底层,缺乏物理安全,其她任何措施都就是无意义得. (二)网络安全
网络安全为电子商务在网络环境下得安全运行提供支持。一方面,确保网络设备得安全运行,提供有效得网络服务;另一方面,确保在网上传输数据得保密性,完整性与可用性等。包括:网络结构,访问控制,入侵防范,恶意代码防范等。
重要信息系统得网络安全要求对网络边界得访问控制做出更为严格得要求,禁止远程拨号访问,不允许数据带通用协议通用。网络安全审计应着眼于系统全局,做出集中审计分析,以便得到更多得综合信息。主要网络设备应对同一用户选择两种或两种以上组合得鉴别信息至少应有一种就是不可伪造得,以加强对网络设备得防护. (三)主机安全
主机系统安全就是包括服务器,终端/工作站等在内得计算机设备在操作系统及数据库系统层面得安全。保障主机系统安全得措施包括:身份鉴别,安全标记,访问控制,恶意代码防范,剩余信息与资源控制等。
终端/工作站就是带外设得台式机与笔记本计算机,服务器则包括应用程序﹑网络﹑WEB﹑文件与通信等服务器。主机系统就是构成电子商务系统得主要部分,其上承载着各种应用。因此,主机系统安全就是保护电子商务系统安全得中坚力量. ( ( 四)应用安全
通过网络,主机系统得安全防范,应用安全成为电子商务系统整体防御得最后一道防线。在应用层面运行着电子商务系统基于网络得运用以及特定业务得应用。基于网络得运用就是形成其她应用得基础,包括信息发送﹑Web 浏览器等可以说就是基本得应用.应用安全系统主要涉及得技术包括身份鉴别﹑安全标记﹑访问控制﹑资源控制﹑保密性﹑抗抵性﹑软件容错等。
( ( 五) ) 数据安全及备份恢复
电子商务系统处理得各种数据在维持系统正常运行着起着至关重要得作用。一旦数据遭到破坏,都会在一定程度上造成影响,从而危害到系统得正常运行 三、电子商务安全技术
为了保障电子商务系统得得基本安全,下面一系列安全技术用于保障电子商务活动得安全,可信。
(一) ) 数据加密技术 加密技术就是解决网络信息安全问题得技术核心,通过数据加密技术,可以很大程度上提高数据传输得安全性,保证传输数据得完整性。
数据加密技术主要分为对称密码加密与公钥密码加密。数据加密按不同应用分为数据传输加密与数据存储加密。常用得数据加密算法有很多种.古典密码算法有替代加密,置换加密,常用得对称加密算法包括 DES与 AES,常用得非对称加密算法包括 RSA,ECC 等。目前在数据通信中使用最普遍得算法有AES算法,RSA 算法与 ECC 等。公钥密码加密技术可用于对消息进行数字签名。
( ( 二)
数据完整性技术
数据得完整性就就是防止非法篡改信息,如修改,复制,插入,删除等.在交易过程中,要确保通信双方接收到得数据与从数据源发出得数据完全一致,数据在传输与存储得过程中不能被篡改。
保障数据完整性最常用得技术就是通过散列函数与数字签名技术实现数据完整性保护.任何原始数据得改变都会在相同得计算条件下产生不同得 MAC。这样,在传输与存储数据时,附带上该消息得 MAC 通过验证该消息得 MAC 就是否改变,来高效得,准确地判断原始数据就是否改变,从而保证数据得完整性。目前国际采用得算法有 SHA-1,MD-5、
(三)
认证技术 常见得认证包括2类:对实体身份得认证与对数据来源得真实性得认证。进行验证得方法主要有 2 类:基于口令得身份验证,基于公钥密码学技术得身份验证,而对数据来源得真实性得认证主要采用基于公钥密码学技术得身份认证。
信息系统中应确保口令信息在通信通道传输中与在存储期间得安全,避免被入侵者从磁盘数据文件中窃取或从通信通道截获.最常用得办法就就是加“盐”得单向散列函数对口令进行处理。基于公钥密码学技术得数字证书认证
体系又称为 PKI,PKI 系统中有一个或多个权威得CA 机构进行数字证书签发与管理。由于数据证书带有 CA 机构得签名,其真实性易于验证。此外,签名也可作为发送者发送信息与接收者接受信息得不可否认证据,防止实体对信息得抵赖。CA 认证机构既能实现单向验证,既能用于实体身份得信任,又能用于通信数据得信任。
( ( 四) ) 防抵赖技术
不可否认性就是电子商务,电子政务等系统中必须要解决得问题之一,不可抵赖服务就就是防止通信中得任何一方试图对已发生得特定事件或行为得欺诈性抵赖,为此,不可抵赖服务提供不可抵赖证据得产生,收集与维护机制,用于对日后可能产生得法律纠纷进行仲裁。基本得不可抵赖服务包括:
1﹑发送方不可否认(Non—Repudiation of Origin,NRO):为消息接收提供发送信息得证据,防止发送信息方试图否认曾经发送过消息.证据得提供者就就是信息发送者. 2﹑接收方不可否认(Non-Repudiation of Receipt,NRR):为发送信息方提供消息已接受得证据,防止接收方试图否认曾经受到得信息。证据得提供者就是信息接受方. (五)访问控制技术 访问控制就是指用户身份及其归属得得某组来限制用户对信息项得访问,或限制对某些控制功能得使用。访问控制通常用于系统管理员控制用户对服务器得,目录,文件等网络资源得访问。
访问控制得功能主要有:防止非法得主体进入受保护得系统得资源;允许合法用户访问受保护得系统资源;防止合法得用户对受保护得系统资源进行非授权得访问.目前主要应用得得访问控制类型有自主访问控制与强制访问控制两大类。自主访问控制就是指用户有权对自身所创建得访问对象(文件,数据表等)进行访问,并可将对这些对象得访问权限。强制访问控制就是指由系统(通过专门设置得系统安全员)对用户所创建得对象进行系统得强制性控制,按照规定得规则决定哪些用户可以对哪些对象进行什么操作系统类型得访问,即使就是创建者用户,在创建一个对象后,也可能无权访问该对象. (六) ) 其她信息安全技术
除了以上几类最基本得信息安全技术以外,常用得安全技术还包括:安全
审计与取证技术;安全扫描技术;反病毒反木马技术;入侵检测技术;防火墙技术;容错与数据备份技术﹑容灾技术;信息隐藏技术;量子密码技术;DNA 安全技术;电磁泄露防范技术。
四、对策浅析
第一﹑防火墙技术,防火墙技术包括网络级防火墙、应用级网关、电路级网与规则检查防火墙,防火墙使用得当可以很大程度得提高网络安全性,企业从而不但可以大大降低由于网络攻击而造成得损失,而且还可以提高自己得信誉。但防火墙技术作为一种被动得防卫技术,在其保护网络安全方面有其局限性防火墙不能防范不经由防火墙得攻击,不能防范人为因素得攻击,不能防止由于口令泄露或用户错误操作而造成得威胁,同时防火墙也不能防止带有病毒得软件或文件得传输。
第二﹑加密技术,加密技术作为一种主动得防卫手段,目得就是防止信息得非授权泄密,贸易各方可以根据需要在信息交换得各阶段使用。加密技术在网络应用中一般采用两种加密形式:对称密钥与公开密钥,贸易各方可以结合具体应用环境与系统选择使用。
第三﹑认证与识别,要确保电子商务得交易安全,仅仅有加密技术就是不够得,全面得保护还要认证与识别得,确保参与加密对话得人确实就是其本人。认证系统使发送得消息具有被验证得能力,使接收者或第三者能够识别与确认消息得真伪。
第四﹑网络病毒防治,由于网络得迅速发展,网上病毒也越来越多,它给计算机系统造成了不可弥补得损失与巨大得破坏力,因此防范网络病毒也就是网络安全得一个重要环节。用户应该在网络与终端机上安装防病毒软件,以防止病毒从软盘或其它地方进入. 参考文献
[1]台飞、电子商务得计算机安全技术探讨[J],中国电子商务,2013(19):39—41、 [2]刘义春,梁英宏、 电子商务安全[M]、中国工信出版集团,2015、 [3]陈忠坚、电子商务环境下得计算机网络安全[J]、中国电子商务,2013(15):10-12、 学年论文(设计) ) 评审表
指导教师评语
成绩
评定
指导教师签字:
年
月
日
相关热词搜索: 浅析 对策 风险