淺析電子商務(wù)安全問題

淺析電子商務(wù)安全問題[內(nèi)容摘要]隨著信息化時(shí)代的到來，電子得到了迅速普及和廣泛應(yīng)用,與此同時(shí)，電子商務(wù)以其快捷、方便等優(yōu)點(diǎn)越來越遭到社會(huì)的認(rèn)可。電子商務(wù)的發(fā)展前景特別誘人,但商業(yè)信息的安全仍然值得我們?nèi)チ粢?。本文從?shí)現(xiàn)電子商務(wù)安全性的角度出發(fā),對(duì)電子商務(wù)中的各種安全技術(shù)進(jìn)行了分析,以討論一種有效、安全的實(shí)現(xiàn)電子商務(wù)的途徑。[本文關(guān)鍵詞語]電子商務(wù)身份認(rèn)證防火墻電子商務(wù)就是要在網(wǎng)絡(luò)信息安全技術(shù)的保證下，利用開放信息互聯(lián)網(wǎng)實(shí)現(xiàn)可跨區(qū)的在線商品交易、金融資本交易及其商務(wù)活動(dòng)作業(yè)的全經(jīng)過。電子商務(wù)這一浩瀚的全球虛擬市場創(chuàng)造了二十一各國的經(jīng)濟(jì)熱門。但是由于電子商務(wù)的開放性及其所基于的網(wǎng)絡(luò)全球性、無縫連通性、分享性、動(dòng)態(tài)性發(fā)展，使得電子商務(wù)的安全問題成為現(xiàn)今的聚焦中心，并制約著電子商務(wù)的進(jìn)一步發(fā)展。構(gòu)建安全電子商務(wù)交易系統(tǒng)將成為今后電子商務(wù)發(fā)展的關(guān)鍵。一、電子商務(wù)的安全性要求(一)電子商務(wù)活動(dòng)安全性的要求一是效勞的有效性要求，電子商務(wù)系統(tǒng)應(yīng)能防止效勞失敗情況的發(fā)生,預(yù)防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止效勞等情況,保證交易數(shù)據(jù)能精確快速的傳送。二是交易信息的保密性要求，電子商務(wù)系統(tǒng)應(yīng)對(duì)用戶所傳送的信息進(jìn)行有效的加密,防止因信息被截取破譯,同時(shí)要防止信息被越權(quán)訪問。三是數(shù)據(jù)完好性要求，數(shù)字完好性是指在數(shù)據(jù)處理經(jīng)過中,原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間堅(jiān)持完全一致。為了保障商務(wù)交易的嚴(yán)肅和公正,交易的文件是不可被修改的,否則必定會(huì)損害一方的商業(yè)利益。四是身份認(rèn)證的要求，電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認(rèn)證機(jī)制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時(shí)提供法律根據(jù)?！捕畴娮由虅?wù)的安全要素一是信息真實(shí)性、有效性，電子商務(wù)以電子形式取代了紙張,怎樣保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。二是信息機(jī)密性，電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來到達(dá)保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的主要保障。三是信息完好性，電子商務(wù)簡化了貿(mào)易經(jīng)過,減少了人為的干涉,同時(shí)也帶來維護(hù)商業(yè)信息的完好、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外錯(cuò)誤過失或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差別。四是信息可靠性、可鑒別性和不可抵賴性，可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼗亟^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因而,要在交易信息的傳輸經(jīng)過中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。二、電子商務(wù)運(yùn)用的安全技術(shù)〔一〕網(wǎng)絡(luò)節(jié)點(diǎn)的安全防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),進(jìn)而保衛(wèi)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻的應(yīng)用能夠有效的減少黑客的入侵及攻擊,為電子商務(wù)的發(fā)揮提供一個(gè)相對(duì)更安全的平臺(tái)。防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀況,進(jìn)而做出允許或回絕等正確的判定。通過靈敏有效地運(yùn)用這些功能,制訂正確的安全策略,將能提供一個(gè)安全、高效的網(wǎng)絡(luò)系統(tǒng)。應(yīng)給予十分留意的是,防火墻不僅僅僅是路由器、堡壘主機(jī)，或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來保衛(wèi)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包含:規(guī)定的網(wǎng)絡(luò)訪問、效勞訪問、當(dāng)?shù)睾瓦h(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)辦法,以及管理制度等。所有有可能遭到網(wǎng)絡(luò)攻擊的地方都必需以同樣安全級(jí)別加以保衛(wèi)?！捕惩ㄓ嵉陌踩诳蛻舳藶g覽器和電子商務(wù)web效勞器之間采取ssl協(xié)議建立安全鏈接,所傳遞的主要信息都是經(jīng)過加密的,這在一定水平上保證了數(shù)據(jù)在傳輸經(jīng)過中的安全。當(dāng)前采取的是瀏覽器缺省的40位加密強(qiáng)度,可以以考慮將加密強(qiáng)度增長到128位。為在瀏覽器和效勞器之間建立安全機(jī)制,ssl首先要求效勞器向?yàn)g覽器出示它的證書,證書包含一個(gè)公鑰,由一家可信證書受權(quán)機(jī)構(gòu)簽發(fā)。瀏覽器要驗(yàn)征效勞器證書的正確性,必需事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰。驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份,而單純的想建立ssl鏈接時(shí)客戶只需用戶下載該站點(diǎn)的效勞器證書。驗(yàn)證此證書是合法的效勞器證書通過后利用該證書對(duì)稱加密算法與效勞器協(xié)商一個(gè)對(duì)稱算法及密鑰,然后用此對(duì)稱算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀況的提示?！踩硲?yīng)用程序的安全性即便正確地配置了訪問控制規(guī)則,要知足計(jì)算機(jī)系統(tǒng)的安全性也是不充足的,由于編程毛病可以能引致攻擊。程序毛病有下面幾種形式:程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查界限條件,十分是處理字符串的內(nèi)存緩沖時(shí)；程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)形式下運(yùn)行,而不是只要有限的指令子集在特權(quán)形式下運(yùn)行,其他的部分只要縮小的答應(yīng)；程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問控制,程序員以為這個(gè)缺省的答應(yīng)是正確的。這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它原來不該該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個(gè)過長的字符串來實(shí)現(xiàn)的。程序不檢查輸入字符串長度，假的輸入字符串經(jīng)常是可履行的命令,特權(quán)程序能夠履行指令?！菜摹秤脩舻恼J(rèn)證管理一是身份認(rèn)證，電子商務(wù)企業(yè)用戶身份認(rèn)證能夠通過效勞器ca證書與ic卡相結(jié)合實(shí)現(xiàn)。ca證書用來認(rèn)證效勞器的身份,ic卡用來認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒有提供交易功能,所以只采取id號(hào)和密碼口令的身份確認(rèn)機(jī)制。二是ca證書，要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進(jìn)行驗(yàn)證,這份數(shù)字證書就是ca證書,它由認(rèn)證受權(quán)中心發(fā)行。認(rèn)證中心就是承當(dāng)網(wǎng)上安全交易認(rèn)證效勞,能簽發(fā)數(shù)字證書,并能確認(rèn)戶身份的效勞機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的效勞機(jī)構(gòu),重要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。ca中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書,證書分為效勞器證書和個(gè)人證書。建立ssl安全鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是許多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立ssl鏈接時(shí)客戶只需用戶下載該站點(diǎn)的效勞器證書。三是ssl協(xié)議，ssl通過數(shù)字簽名和數(shù)字證書來實(shí)行身份驗(yàn)證,數(shù)字證書是從認(rèn)證機(jī)構(gòu)獲得的,通常包括有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后,雙方就能夠用保密密鑰進(jìn)行安全的會(huì)話了。ssl協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,進(jìn)而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。三、完善電子商?wù)安全的配套辦法電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)形式,尤其對(duì)發(fā)展中的中國來說,發(fā)展電子商務(wù),就必需完善配套辦法:一要突破關(guān)鍵技術(shù)受制于人的瓶頸。二要盡快對(duì)電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法。三要鼎力開發(fā)大型商務(wù)網(wǎng)站,發(fā)展與之相配套的物流公司。四要建立嚴(yán)格的內(nèi)部安全機(jī)制。五要建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢。六要對(duì)主要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應(yīng)視其主要性提供不同級(jí)其余數(shù)據(jù)加密。安全實(shí)際上就是一種風(fēng)險(xiǎn)管理，安全技術(shù)能夠降低系統(tǒng)遭到毀壞、攻擊的風(fēng)險(xiǎn)。決定采取什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么水平范圍內(nèi)。電子商務(wù)的安全運(yùn)行必需從多方面下手,僅在技術(shù)角度防備是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的,而不是絕對(duì)的。因而,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速