電子商務(wù)安全問題

電子商務(wù)安全問題

1電子商務(wù)中存在的兩大類安全問題

網(wǎng)絡(luò)安全問題

現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全成了新的安全研究熱點(diǎn)。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)男畔⒌陌踩?。網(wǎng)絡(luò)安全問題是計(jì)算機(jī)系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅,概括來說網(wǎng)絡(luò)安全的內(nèi)容包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等

商務(wù)安全問題

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網(wǎng)上交易日益成為新的商務(wù)模式,基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受,人們在享受網(wǎng)上交易帶來的便捷的同時(shí),交易的安全性備受關(guān)注,網(wǎng)絡(luò)所固有的開放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重威脅。所以在電子商務(wù)交易過程中,保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵。

目前電子商務(wù)中存在的主要安全問題

對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,從而獲得非法利益。

對信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上,通過物理或邏輯的手段,對數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號(hào),還能以欺騙的手法進(jìn)行產(chǎn)品交易,甚至能洗黑錢。

對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容,如修改消息次序、時(shí)間,注入偽造消息等,從而使信息失去真實(shí)性和完整性。

拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。

對發(fā)出的信息予以否認(rèn)。某些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。

信用威脅。交易者否認(rèn)參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失。

電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計(jì)的計(jì)算機(jī)以沉重打擊。

2電子商務(wù)中的主要安全技術(shù)

電子商務(wù)的安全技術(shù)

互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會(huì)的各個(gè)方面中,網(wǎng)絡(luò)防護(hù)與網(wǎng)絡(luò)攻擊之間的斗爭也將更加激烈,這就對安全技術(shù)提出了更高的要求。安全技術(shù)是電子商務(wù)安全體系中的基本策略,是伴隨著安全問題的誕生而出現(xiàn)的,安全技術(shù)極大地從不同層次加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性。要加強(qiáng)電子商務(wù)的安全,需要企業(yè)本身采取更為嚴(yán)格的管理措施,需要國家建立健全法律制度,更需要有科學(xué)的先進(jìn)的安全技術(shù)。安全問題是電子商務(wù)發(fā)展的核心和關(guān)鍵問題,安全技術(shù)是解決安全問題保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

目前,常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有病毒防范技術(shù)、身份認(rèn)證技術(shù)、防火墻技術(shù)和虛擬專用網(wǎng)VPN技術(shù)等。

病毒是一種惡意的計(jì)算機(jī)程序,它可分為引導(dǎo)區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等,不同的病毒的危害性也不一樣。為了防范病毒,可以采用以下的措施:

①安裝防病毒軟件,加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施;

②加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施;

③對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等。

身份識(shí)別技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。它的目的是證實(shí)被認(rèn)證對象是否屬實(shí)和是否有效。其基本思想是通過驗(yàn)證被認(rèn)證對象的屬性來達(dá)到確認(rèn)被認(rèn)證對象是否真實(shí)有效的目的。被認(rèn)證對象的屬性可以是口令、問題解答或者像指紋、聲音等生理特征,常用的身份認(rèn)證技術(shù)有口令、標(biāo)記法和生物特征法。

防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法,它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間,或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。它是電子商務(wù)的最常用的設(shè)備。

虛擬專用網(wǎng)是用于Internet電子交易的一種專用網(wǎng)絡(luò),它可以在兩個(gè)系統(tǒng)之間建立安全的通道,非常適合于電子數(shù)據(jù)交換。在虛擬專用網(wǎng)中交易雙方比較熟悉,而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致,在虛擬專用網(wǎng)中就可以使用比較復(fù)雜的專用加密和認(rèn)證技術(shù),這樣就可以大大提高電子商務(wù)的安全性。VPN可以支持?jǐn)?shù)據(jù)、語音及圖像業(yè)務(wù),其優(yōu)點(diǎn)是經(jīng)濟(jì)、便于管理、方便快捷地適應(yīng)變化,但也存在安全性低,容易受到攻擊等問題。

商務(wù)交易安全技術(shù)

加密技術(shù)是電子商務(wù)安全的一項(xiàng)基本技術(shù),它是認(rèn)證技術(shù)的基礎(chǔ)。

采用加密技術(shù)對信息進(jìn)行加密,是最常見的安全手段。加密技術(shù)是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。目前,在電子商務(wù)中,獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制和非對稱密鑰加密體制。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。

安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等。

①數(shù)字摘要。

數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長度的摘要碼,并在傳輸信息時(shí)將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進(jìn)行變換運(yùn)算,若得到的結(jié)果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。

②數(shù)字信封。

數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密之后,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。

③數(shù)字簽名。

把HASH函數(shù)和公鑰算法結(jié)合起來,可以在提供數(shù)據(jù)完整性的同時(shí),也可以保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改,而真實(shí)性則保證是由確定的合法者產(chǎn)生的HASH,而不是由其他人假冒。而把這兩種機(jī)制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名。

④數(shù)字時(shí)間戳。

交易文件中,時(shí)間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的,是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中,同樣需對交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目,由專門的機(jī)構(gòu)提供。

⑤數(shù)字證書。

在交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書,就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上電子交易中,如果雙方出示了各自的數(shù)字證書,并用它來進(jìn)行交易操作,那么雙方都可不必為對方身份的真?zhèn)螕?dān)心。

3電子商務(wù)的安全性策略

電子商務(wù)安全技術(shù)保障策略

安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有:密碼技術(shù),身份驗(yàn)證技術(shù),訪問控制技術(shù),防火墻技術(shù)。

企業(yè)電子商務(wù)安全運(yùn)營管理制度保障策略

企業(yè)電子商務(wù)安全運(yùn)營管理制度是用文字的形式對各項(xiàng)安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則。這些制度主要包括人員管理制度,保密制度,跟蹤審計(jì)制度,系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度等。

電子商務(wù)立法策略

立法目的。電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性,保護(hù)合理的商業(yè)行為,保障電子交易安全;建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。

立法范圍。電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準(zhǔn)入制度、合同有效認(rèn)證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識(shí)產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等;

立法途徑。電子商務(wù)法律仍然是調(diào)整社會(huì)關(guān)系,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核,尤其是基礎(chǔ)價(jià)值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。第二是修改或重新解釋既定的法律規(guī)范。

政府監(jiān)督管理策略

電子商務(wù)本質(zhì)是一種市場運(yùn)作模式,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。政府監(jiān)督管理主要體現(xiàn)在:計(jì)算機(jī)信息系統(tǒng)安全管理,網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理,認(rèn)證機(jī)構(gòu)管理,加強(qiáng)社會(huì)信用道德建設(shè)。

4電子商務(wù)安全中還需解決的問題

沒有一種電子商務(wù)安全的完整解決方案和完整模型與體系結(jié)構(gòu)。

盡管一些系統(tǒng)正在逐漸成為標(biāo)準(zhǔn),但僅有很少幾個(gè)標(biāo)準(zhǔn)