电子商务的安全策略.docx
- 文档编号:6578200
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:9
- 大小:246.43KB
电子商务的安全策略.docx
《电子商务的安全策略.docx》由会员分享,可在线阅读,更多相关《电子商务的安全策略.docx(9页珍藏版)》请在冰豆网上搜索。
电子商务的安全策略
电子商务安全策略
内容提要
在知识经济快速发展二十一世纪,“电子商务”无疑是当前最大热门话题,电子商务以其高效、简捷、成本低、出现在经济生活各个领域。
电子商务作为计算机应用技术与现代经济贸易活动结合产物,已经成为人类跨入知识经济新纪元重要标志之一。
但是随着而来电子商务安全也成为了大家普遍关注一个焦点。
如何能使电子商务良好运转同时保证其安全更加可靠已是一个主要研究对象了。
关键词:
电子商务电子商务技术安全
Abstract
Intherapiddevelopmentofknowledge-basedeconomyofthe21stcentury,"electroniccommerce"iscurrentlythemostpopulare-commerceforitsefficient,simple,lowcost,appearinthevariousareasofeconomiclife.E-commerceasacomputerapplicationtechnologyandmoderneconomicandtradeactivities,havebecomeahumanintoaneweraofknowledge-basedeconomyis.Buttothee-commercesecurityhasbecomeacommonfocus.Howtoenablee-commercefunctionalitywhilemaintainingtheirsecuritymorereliableisalreadyamajorstudyontheobject.
Keywords:
ElectronicCommerceE-CommerceTechnologysecurity
一、不断发展电子商务......................................................................................-2-
(一我国电子商务发展现状(2
(二电子商务安全策略中技术概况(4
二、电子商务安全策略中存在问题..................................................................-5-
三、电子商务安全策略在不断完善......................................................................-6-
(一电子商务安全需求要素(6
(二电子商务安全策略应用(7
参考文献................................................................................................................-10-
电子商务安全策略
二十一世纪是知识经济时代。
随着高新技术迅猛发展,以互联网为基础,以交易双方为主体,以银行支付和结算为手段,以客户数据库为依托全新商务模式-电子商务应运而生。
电子商务逐渐成为二十一世纪国际贸易主要方式。
它实用价值、网络无国界渗透,向全球贸易、经济、科技、政治、法律各界提出无法回避挑战。
然而有利必有弊,电子商务要想有深远发展也必须下一番苦功。
比方说电子商务安全就是一个日益凸显且非常严重问题,可以说电子商务安全问题严重影响和制约着其发展。
一、不断发展电子商务
(一我国电子商务发展现状
中国互联网络信息中心第二十四次互联网络发展状况统计报告指出:
截至2009年6月30日,中国网民规模达到3.38亿人,普及率达到25.5%。
网民规模较2008年底年增长4000万人,半年增长率为13.4%,中国网民规模依然保持快速增长之势。
(如图1
(图1中国大陆网民规模与互联网普及率
既然有如此大用户以及潜在顾客,可以预测到电子商务正朝着积极有力方面发展。
事实证明确也是这样。
据互联网中心调查指出,在2007——2008一年中,网络购物市场增长趋势明显。
网络购物用户人数已经达到7400万人,年增长率达到60%。
比较国外发展状况,韩国网民网络购物比例为60.6%,美国为71%。
均高于中国网络购物使用率。
除网络购物外,网络售物和旅行预订也已经初具规模,网络售物网民数已经达到1100万人,通过网络进行旅行预订网民数达到1700万人。
而与网络购物密切关联网络支付发展十分迅速,目前使用网民规模已经达到5200万人,年增长率达到57.6%。
有力地推动了网络购物发展。
(如表11
2007年底2008年底变化
使用率
网民规模
(万人使用率
网民规模
(万人
增长量
(万人
增长率
网络购物22.1%4,60024.8%7,4002,80060.9%
网络售物--3.7%1,100--
网上支付15.8%3,30017.6%5,2001,90057.6%
旅行预订--5.6%1,700--
(表12007-2008年电子商务类应用用户对比
在如此高增长、高普及大环境下我们可以看到电子商务在经济生活各个领域广泛应用,可以看到电子商务以其高效、简捷、成本低等特点为人类活动带来了巨大机会和利润。
有人曾说:
“电子商务犹如一把双刃剑,在给我们带来好处同时也考验着我们。
”正是电子商务中利益追求使得其倍受争议。
1中国互联网络发展状况统计报告(2009年1月
同样是出自中国互联网络信息中心第二十四次互联网络发展状况统计报告。
调查中,半年内有57.6%网民在使用互联网过程中遇到过病毒或木马攻击。
同时,有1.1亿网民在过去半年内遇到过账号或密码被盗问题,占总体网民31.5%,并且仅有29.2%网民认为网上交易是安全,不到四成网民愿意在网络上填写真实信息。
这种种数据说明网络安全成为日前各界十分关注问题,网络安全不容小视,安全隐患有可能制约电子商务、网上支付等交易类应用发展。
可以说在电子商务全球化发展趋势中,电子商务交易信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。
(二电子商务安全策略中技术概况
我们先看这样一个案例:
2005年2月份发现一种骗取美邦银行(SmithBarney用户帐号和密码“网络钓鱼”电子邮件,该邮件利用了IE图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址弹出窗口遮挡住了IE浏览器地址栏,使用户无法看到此网站真实地址。
当用户使用未打补丁Outlook打开此邮件时,状态栏显示链接是虚假。
当用户点击链接时,实际连接是钓鱼网站http:
//**.41.155.60:
87/s。
该网站页面酷似SmithBarney银行网站登陆界面,而用户一旦输入了自己帐号密码,这些信息就会被黑客窃取。
通过案例我们不难发现现在高科技作案多么层出不穷。
电子商务安全隐患已是越来越突出了。
从目前看,电子商务安全技术还是传统那样以:
密码技术、访问控制、防火墙技术、时间戳、以及CA认证等为支柱。
在了解相关技术之后我们在深入分析:
(1密码技术
密码技术根据密钥性质不同,可分为传统密码体制和公开钥密码体制两大类型。
传统密码体制加密解密用同一个密钥,即Ke=Kd;而公开钥密码体制使用一对密钥即一个私钥和一个公钥,其对应关系是唯一,公钥对外公开,私钥个人秘密保存。
一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。
算法加密强度主要取决于选定密钥长度。
(2访问控制
除了计算机网络硬设备之外,网络操作系统是确保计算机网络安全最基本部件。
它是计算机网络资源管理者,必须具备安全控制策略和保护机制,防止非法入侵者攻破设防而非法获取资源。
网络操作系统安全保密核心是访问控制,即确保主体对客体访问只能是授权,末经授权访问是不允许,其操作是无效。
因此,授权策略和机制安全性显得特别重要。
保护可以从以下几个方面加以考虑:
物理隔离、时间隔离、密码隔离。
(3防火墙技术
设立防火墙目是保护内部网络不受外部网络攻击,以及防止内部网络用户向外泄密。
目前,防火墙技术主要有分组过滤和代理服务两种类型。
分组过滤:
这是一种基于路由器防火墙。
它是在网间路由器中按网络安全策略设置一张访问表或黑名单,即借助数据分组中IP地址确定什么类型信息允许通过防火墙,什么类型信息不允许通过。
防火墙职责就是根据访问表(或黑名单对进出路由器分组进行检查和过滤,凡符合要求放行,不符合拒之门外。
这种防火墙简单易行,但不能完全有效地防范非法攻击。
目前,80%防火墙都是采用这种技术。
代理服务:
是一种基于代理服务防火墙,它安全性高,增加了身份认证与审计跟踪功能,但速度较慢。
所谓审计跟踪是对网络系统资源使用情况提供-个完备记录,以便对网络进行完全监督和控制。
通过不断收集与积累有关出入网络完全事件记录,并有选择地对其中某些进行审计跟踪,发现可能非法行为并提供有力证据,然后以秘密方式向网上防火墙发出有关信息如黑名单等。
(4数字时间戳
交易文件中,时间是十分重要信息。
在书面合同中,文件签署日期和签名一样均是十分重要防止文件被伪造和篡改关键性内容。
在电子交易中,同样需对交易文件日期和时间信息采取安全措施,而数字时间戳服务(DTS:
digitaltime-stampservice就能提供电子文件发表时间安全保护。
数字时间戳服务(DTS是网上安全服务项目,由专门机构提供。
时间戳(time-stamp是一个经加密后形成凭证文档,它包括需加时间戳文件摘要(digest,DTS收到文件日期和时间和DTS数字签名。
二、电子商务安全策略中存在问题
尽管目前电子商务技术可以在一定条件环境下保证在电子商务安全,但电子商务安全依然不容乐观,举例来讲,电子商务在计算机系统安全、数据安全、网络安全和应用安全方面还是令人担忧。
1.计算机安全
计算机是一种硬件设备,硬件设备难免出现故障,一旦出现,将会影响电子商务系统运行。
非凡是计算机硬盘,一旦损坏,数据就会丢失,损失就无法挽回,需要对计算机硬件和数据进行备份。
计算机系统安全主要是考虑提高用于电子商务系统计算机硬件可靠性和稳定性。
2.网络安全
网络是用户进行数据交换,信息传递主要途径。
通过网络,用户可以访问网络中不同计算机系统。
网络安全主要是考虑限制用户对用于电子商务系统计算机访问权限,防止未授权用户对系统访问以及越权访问。
3.数据安全
在网络上传递数据假如不采用任何安全措施,就会受到各种各样攻击,如数据被截获,甚至数据被恶意篡改和破坏。
数据安全主要是考虑防止数据被截获或截获后被破译,以及防止数据被恶意篡改和破坏。
4.应用安全
在网络环境下,计算机病毒猖獗,假如不加防范,就轻易导致应用软件被病毒感染,程序被非法入侵和破坏,系统功能受到限制。
更严重是导致系统不能正常工作,数据和信息丢失。
应用安全主要是考虑防止应用软件被各种病毒非法入侵和破坏。
5.电子商务交易安全问题
电子商务交易过程中,商家要发布产品信息,确认订购信息,收货款;客户要获取产品信息,传递订购信息,支付货款。
买卖双方都存在安全问题,其中主要包括交易信息安全、支付安全和诚信安全。
这些不安全因素直接影响着电子商务发展,一份阿里巴巴《中国B2B电子商务市场2009年一季度诚信报告报告》中显示网民担心网上电脑文件丢比例达29%;居于第二位就是电脑瘫痪,比例占到了24%;紧跟其后就是银行帐户被盗,其比例也占到22%;而个人资料被窃,其他方面比例也分别达到:
20%、5%。
(如图32
可以说电子商务技术方面安全已经是一个迫在眉睫问题了。
我们应该从多方面着手来解决这一问题,这样才能使电子商务朝着更好方向发展。
三、电子商务安全策略在不断完善
(一电子商务安全需求要素
2中国B2B电子商务市场2009年一季度诚信报告报告,阿里巴巴
作为一个电子商务系统如何才算是安全电子商务或者说电子商务安全需求有哪些?
这些都值得我们探讨研究一下。
笔者认为电子商务安全需具备如下要素:
(1有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息有效性则是开展电子商务前提。
电子商务作为贸易一种形式,其信息有效性将直接关系到个人、企业、国家经济利益和声誉。
因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误以及计算机病毒所可能产生潜在威胁加以控制和防范,以保证贸易数据在确定时刻、确定地点是有效。
(2机密性
是指防止非授权用户获得并使用该数据。
商务信息在通过Internet这一公众网络时应不被第三方窃取、偷看而到达目电子商务作为贸易一种手段,其信息直接代表着个人、企业或国家商业机密。
(3完整性
指确保网络上数据在传输过程中没有被篡改,电子商务简化了贸易过程,减少了人为干预,同时也带来了维护贸易各方面商业信息完整统一问题。
由于数据输人时意外差错或欺诈行为,可能导致贸易各方信息差异。
此外,数据传输过程中信息丢失、信息重复或信息传送次序差异也会导致贸易各方信息差异。
贸易各方信息是否完整将影响贸易各方交易和经营策略,因此,保持贸易各方信息完整性是电子商务应用基础。
(4可靠性
鉴别电子商务可能会关系到贸易双方商业交易,如何确定要进行交易贸易方正是进行交易所期望贸易方,这一问题则是保证电子商务顺利进行关键,因此,要在交易信息传输过程中为参与交易个人、企业和国家进行可靠识别。
(5交易不可抵赖性。
是指用户不能抵赖自己做出行为,也不能否认接到对方信息。
在交易进行时,交易各方必须附带含有自身特征、无法由别人复制信息,以保证交易后发生纠纷时有所对证,通常采用数字签名技术解决交易不可抵赖性。
(二电子商务安全策略应用
就电子商务安全来说,只有单个相关技术是不可能也完不成电商务需求。
只有形成一个体系或者说一个系统才能更好满足电子商务要求。
而其总框架结构应该是包含了多层次、多元化整体结构。
如图23
3潘峰《电子商务安全策略综述》中国论文下载中心
笔者认这个系统中可以概括叙述为一下四个层次,(如图3也只有四个层次中不难发现,只有层层相扣才能使得电子商务安全更加可靠。
(1从网络节点层
在这一层中我们可以采用防火墙、防火墙安全策略、安全操作系统等技术对其加以保护。
1.防火墙
防火墙是在连接Internet和Intranet保证安全最为有效方法,防火墙能够有效地监视网络通信信息,并记忆通信状态,从而作出允许/拒绝等正确判断。
在现代电子商务应用中我们可以加入新防控技术,比如说:
防火墙技术,而在其中可以加入透明访问方式技术、灵活代理系统技术、多级过滤技术、网络地址转换技术以及Internet网关技术,这样就可以使得网络安全有了更多保障。
2.防火墙安全策略网络节
点
安全通讯
安全性
用户认证管理
应用程
序
安全
电子商务
应给予特别注意是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全设备组合,它是安全策略一个部分。
安全策略建立了全方位防御体系来保护机构信息资源,这种安全策略应包括:
规定网络访问、服务访问、本地和远地用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。
所有有可能受到网络攻击地方都必须以同样安全级别加以保护。
仅设立防火墙系统,而没有全面安全策略,那么防火墙就形同虚设。
3.安全操作系统
防火墙是基于操作系统。
如果信息通过操作系统后门绕过防火墙进入内部网,则防火墙失效。
所以,要保证防火墙发挥作用,必须保证操作系统安全。
只有在安全操作系统基础上,才能充分发挥防火墙功能。
在条件许可情况下,应考虑将防火墙单独安装在硬件设备上。
(2、通讯安全
1.数据通讯
通讯安全主要依靠对通信数据加密来保证。
在通讯链路上数据安全,一定程度上取决于加密算法和加密强度。
电子商务系统数据通信主要存在于:
(a客户浏览器端与电子商务WEB服务器端通讯;
(b电子商务WEB服务器与电子商务数据库服务器通讯;
(c银行内部网与业务网之间数据通讯。
2.安全链路
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递重要信息都是经过加密,这在一定程度上保证了数据在传输过程中安全。
目前采用是浏览器缺省4O位加密强度,也可以考虑将加密强度增加到128位。
为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它证书,证书包括一个公钥,由一家可信证书授权机构(CA中心签发。
浏览器要验征服务器证书正确性,必须事先安装签发机构提供基础公共密钥(PKI。
建立SSL链接不需要一定有个人证书,实际上不验证客户个人证书情况是很多。
验证个人证书是为了验证来访者合法身份。
而单纯想建立SSL链接时客户只需用户下载该站点服务器证书(下载可以在访问之前或访问时。
验证此证书是合法服务器证书通过后利用该证书对称加密算法(RSA与服务器协商一个对称算法及密钥,然后用此对称算法加密传输明文。
此时浏览器也会出进入安全状态提示。
(3、应用程序安全性
即使正确地配置了访问控制规则,要满足计算机系统安全性也是不充分,因为编程错误也可能引致攻击。
程序错误有以下几种形式:
程序员忘记检查传送到程序入口参数;程序员忘记检查边界条件,特别是处理字符串内存缓冲时;程序员忘记最小特权基本原则。
整个程序都是在特权模式下运行,而不是只有有限指令子集在特权模式下运行,其他部分只有缩小许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。
不是显式地设置访问控制(最少许可,程序员认为这个缺省许可是正确。
这些缺点都被使用到攻击系统行为中。
不正确地输入参数被用来骗特权程序做一些它本来不应该做事情。
缓冲溢出攻击就是通过给特权程序输入一个过长字符串来实现。
程序不检查输入字符串长度。
假输入字符串常常是可执行命令,特权程序可以执行指令。
程序碎块是特别用来增加黑客特权或是作为攻击原因写。
例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。
访问控制系统中没有什么可以检测到这些问题。
只有通过监视系统并寻找违反安全策略行为,才能发现象这些问题一样错误。
(4用户认证管理
1.身份认证电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。
证书用来认CA证服务器身份,IC卡用来认证企业用户身份。
个人用户由于没有提供交易功能,所以只采用ID号和密码口令身份确认机制。
2.CA证书要在网上确认交易各方身份以及保证交易不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。
CA中心一般是社会公认可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。
建立SSL安全链接不需要一定有个人证书,实际上不验证客户个人证书情况是很多。
验证个人证书是为了验证来访者合法身份。
而单纯想建立SSL链接时客户只需用户下载该站点服务器证书。
(5)安全管理为了确保系统安全性,除了采用上述技术手段外,还必须建立严格内部安全机制对于所有接触系统人员,按其职责设定其访问系统最小权限。
按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关信息及事件,有情况出现时便于跟踪查询。
定期检查日志,以便及时发现潜在安全威胁。
对于重要数据要及时进行备份,且对数据库中存放数据,数据库系统应视其重要性提供不同级别数据加密。
安全实际上就是一种风险管理。
任何技术手段都不能保证1OO%安全。
但是,安全技术可以降低系统遭到破坏、攻击风险。
决定采用什么安全策略取决于系统风险要控制在什么程度范围内。
从以上概述中不难发现一个问题就是这四层应该是层层相扣,相互依存、相互促进,如果缺少任何一环整个体系就不会很好运作。
这也是我们要认识到。
电子商务本质是商务,技术是电子商务得以实现手段。
没有商务需求,技术研究就失去了应用价值;没有技术实现,电子商务就不能得以实施,所以技术是电子商务必要条件。
而安全则是实现电子商务技术前提,也是电子商务必要条件。
解决电子商务安全问题不是一个单一技术问题,它是由一系列工作组成,需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。
参考文献1.姜红波,《电子商务概论》,清华大学出版社2.王芸,《电子商务法规》,高等教育出版社3.宋文冠,《电子支付与网络银行》,东北财经大学出版社.20074电子商务与传统商务相比有以下优点-10-
5.中国互联网络信息中心2008年中国网民信息网络安全状况研究报告,2008年简)(度版6.第二十四次中国互联网络发展状况统计报告,2009年7月7.中国B2B电子商务市场2009年一季度诚信报告报告,阿里巴巴-11-
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全策略