電子商務(wù)安全問(wèn)題及技術(shù)防范措施

電子商務(wù)的安全是一個(gè)復(fù)雜系統(tǒng)工程,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)方面的立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題,從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。那么,下面是由小編為大家分享電子商務(wù)安全問(wèn)題及技術(shù)防范措施,歡迎大家閱讀瀏覽。

一、電子商務(wù)存在的安全性問(wèn)題

(一)電子商務(wù)安全的主要問(wèn)題

1.網(wǎng)絡(luò)協(xié)議安全性問(wèn)題:由于TCP/IP本身的開放性, 企業(yè) 和用戶在電子交易過(guò)程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來(lái)傳送的,惡意攻擊者很容易對(duì)某個(gè)電子商務(wù)網(wǎng)站展開數(shù)據(jù)包攔截,甚至對(duì)數(shù)據(jù)包進(jìn)行和假冒。

2.用戶信息安全性問(wèn)題:目前最主要的電子商務(wù)形式是/S(Browser/Server)結(jié)構(gòu)的電子商務(wù)網(wǎng)站,用戶使用瀏覽器登錄網(wǎng)絡(luò)進(jìn)行交易,由于用戶在登錄時(shí)使用的可能是公共 計(jì)算 機(jī),那么如果這些計(jì)算機(jī)中有惡意木馬程序或病毒,這些用戶的登錄信息如用戶名、口令可能會(huì)有丟失的危險(xiǎn)。

3.電子商務(wù)網(wǎng)站的安全性問(wèn)題:有些企業(yè)建立的電子商務(wù)網(wǎng)站本身在設(shè)計(jì)制作時(shí)就會(huì)有一些安全隱患,服務(wù)器操作系統(tǒng)本身也會(huì)有漏洞,不法攻擊者如果進(jìn)入電子商務(wù)網(wǎng)站,大量用戶信息及交易信息將被竊取。

(二)電子商務(wù)安全問(wèn)題的具體表現(xiàn)

1.信息竊取、篡改與破壞。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中,可能會(huì)被他人非法、刪除或重放,從而使信息失去了真實(shí)性和完整性。包括網(wǎng)絡(luò)硬件和軟件的問(wèn)題而導(dǎo)致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導(dǎo)致電子商務(wù)信息遭到破壞。

2.身份假冒。如果不進(jìn)行身份識(shí)別,,甚至最終導(dǎo)致業(yè)務(wù)的中斷。一些業(yè)余水平的黑客只會(huì)在網(wǎng)上尋找黑客工具,在不了解這些工具的工作方式和它們的后果的情況下使用這些工具。

7.特洛伊木馬程序。特洛伊木馬程序簡(jiǎn)稱特洛伊,是破壞性碼的傳輸工具。特洛伊表面上看起來(lái)是無(wú)害的或者有用的軟件程序,例如計(jì)算機(jī)游戲,但是它們實(shí)際上是 偽裝的敵人 。特洛伊可以刪除數(shù)據(jù),將自身的復(fù)本發(fā)送給電子郵件地址簿中的收件人,以及開啟計(jì)算機(jī)進(jìn)行其他攻擊。只有通過(guò)磁盤,從互聯(lián)網(wǎng)上下載文件,或者打開某個(gè)電子郵件附件,將特洛伊木馬程序復(fù)制到一個(gè)系統(tǒng),才可能感染特洛伊。無(wú)論是特洛伊還是病毒并不能通過(guò)電子郵件本身傳播 它們只可能通過(guò)電子郵件附件傳播。

8.惡意破壞程序。網(wǎng)站提供一些軟件應(yīng)用(例如ActiveX和JavaApplet),由于這些應(yīng)用非常便于下載和運(yùn)行,從而提供了一種造成損害的新工具。惡意破壞程序是指會(huì)導(dǎo)致不同程度的破壞的軟件應(yīng)用或者Java小程序。一個(gè)惡意破壞程序可能只會(huì)損壞一個(gè)文件,也可能損壞大部分計(jì)算機(jī)系統(tǒng)。

9.網(wǎng)絡(luò)攻擊。目前已經(jīng)出現(xiàn)的各種類型的網(wǎng)絡(luò)攻擊通常被分為三類:探測(cè)式攻擊,訪問(wèn)攻擊和拒絕服務(wù)(DoS)攻擊。探測(cè)式攻擊實(shí)際上是信息采集活動(dòng),黑客們通過(guò)這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù),用于以后進(jìn)一步攻擊網(wǎng)絡(luò)。通常,軟件工具(例如探測(cè)器和掃描器)被用于了解網(wǎng)絡(luò)資源情況,尋找目標(biāo)網(wǎng)絡(luò)、主機(jī)和應(yīng)用中的潛在漏洞。例如一種專門用于破解密碼的軟件,這種軟件是為網(wǎng)絡(luò)管理員而設(shè)計(jì)的,管理員可以利用它們來(lái)幫助那些忘記密碼的員工,或者發(fā)現(xiàn)那些沒有告訴任何人自己的密碼就離開了公司的員工的密碼。但這種軟件如果被錯(cuò)誤的人使用,就將成為一種非常危險(xiǎn)的武器。訪問(wèn)攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議(FTP)功能等網(wǎng)絡(luò)領(lǐng)域的漏洞,以訪問(wèn)電子郵件帳號(hào)、數(shù)據(jù)庫(kù)和其他保密信息。DoS攻擊可以防止用戶對(duì)于部分或者全部計(jì)算機(jī)系統(tǒng)的訪問(wèn)。它們的實(shí)現(xiàn)方法通常是:向某個(gè)連接到企業(yè)網(wǎng)絡(luò)或者互聯(lián)網(wǎng)的設(shè)備發(fā)送大量的雜亂的或者無(wú)法控制的數(shù)據(jù),從而讓正常的訪問(wèn)無(wú)法到達(dá)該主機(jī)。更惡毒的是分布式拒絕服務(wù)攻擊(DDoS),在這種攻擊中攻擊者將會(huì)危及多個(gè)設(shè)備或者主機(jī)的安全。

二、電子商務(wù)安全技術(shù)措施

電子商務(wù)的安全性策略可分為兩大部分:一部分是計(jì)算機(jī)網(wǎng)絡(luò)安全,第二部分是商務(wù)交易安全。電子商務(wù)中的安全性技術(shù)主要有以下幾種:

1.數(shù)據(jù)加密技術(shù)。對(duì)數(shù)據(jù)進(jìn)行加密是電子商務(wù)系統(tǒng)最基本的信息安全防范措施。其原理是利用加密算法將信息明文轉(zhuǎn)換成按一定加密規(guī)則生成的密文后進(jìn)行傳輸,從而保證數(shù)據(jù)的保密性。使用數(shù)據(jù)加密技術(shù)可以解決信息本身的保密性要求。數(shù)據(jù)加密技術(shù)可分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密。

對(duì)稱密鑰加密(SecretKeyEncryption)。對(duì)稱密鑰加密也叫秘密/專用密鑰加密,即發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰對(duì)明文進(jìn)行加密和解密運(yùn)算。它的優(yōu)點(diǎn)是加密、解密速度快,適合于對(duì)大量數(shù)據(jù)進(jìn)行加密,能夠保證數(shù)據(jù)的機(jī)密性和完整性;缺點(diǎn)是當(dāng)用戶數(shù)量大時(shí),分配和管理密鑰就相當(dāng)困難。目前常用的對(duì)稱加密算法有:美國(guó)國(guó)家標(biāo)準(zhǔn)局提出DES算法、由瑞士聯(lián)邦理工學(xué)院的IDEA算法等。

非對(duì)稱密鑰加密(PublicKeyEncryption)。非對(duì)稱密鑰加密也叫公開密鑰加密,它主要指每個(gè)人都有一對(duì)唯一對(duì)應(yīng)的密鑰:公開密鑰(簡(jiǎn)稱公鑰)和私人密鑰(簡(jiǎn)稱私鑰)公鑰對(duì)外公開,私鑰由個(gè)人秘密保存,用其中一把密鑰來(lái)加密,就只能用另一把密鑰來(lái)解密。非對(duì)稱密鑰加密算法的優(yōu)點(diǎn)是易于分配和管理,缺點(diǎn)是算法復(fù)雜,加密速度慢。一般用公鑰來(lái)進(jìn)行加密,用私鑰來(lái)進(jìn)行簽名;同時(shí)私鑰用來(lái)解密,公鑰用來(lái)驗(yàn)證簽名。算法的加密強(qiáng)度主要取決于選定的密鑰長(zhǎng)度。目前常用的非對(duì)稱加密算法有:麻省理工學(xué)院的RSA算法、美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)的SHA算法等。

復(fù)雜加密技術(shù)。由于上述兩種加密技術(shù)各有長(zhǎng)短,目前比較普遍的做法是將兩種技術(shù)進(jìn)行集成。 lwlmpageLWLM編輯。 向解密后得到明文。

2.數(shù)字簽名技術(shù)。數(shù)字簽名是通過(guò)特定密碼運(yùn)算生成一系列符號(hào)及碼組成 電子 密碼進(jìn)行簽名,來(lái)替書簽名或印章,對(duì)于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證,其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證所無(wú)法比擬的。數(shù)字簽名技術(shù)可以保證信息傳送的完整性和不可抵賴性。

3.認(rèn)證機(jī)構(gòu)和數(shù)字證書。所謂CA認(rèn)證機(jī)構(gòu),它是采用PKI(Public Key Infrastructure)公開密鑰基礎(chǔ)架構(gòu)技術(shù),利用數(shù)字證書、非對(duì)稱和對(duì)稱加密算法、數(shù)字簽名、數(shù)字信封等加密技術(shù),建立起安全程度極高的加解密和身份認(rèn)證系統(tǒng),確保電子交易有效、安全地進(jìn)行,從而使信息除發(fā)送方和接收方外,不被其他方知悉(保密性);保證傳輸過(guò)程中不被篡改(完整性和一致性);發(fā)送方確信接收方不是假冒的;(勞動(dòng)節(jié)的來(lái)歷:1886年5月1日,在美國(guó)芝加哥工人們每天要?jiǎng)趧?dòng)14至16個(gè)小時(shí),有的甚至長(zhǎng)達(dá)18個(gè)小時(shí),但工資卻很低。于是二十余萬(wàn)名工人為爭(zhēng)取合法權(quán)益而舉行大罷工。工人們提出的罷工口號(hào),要求實(shí)行八小時(shí)工作制。經(jīng)過(guò)艱苦的流血斗爭(zhēng),終于獲得了勝利。)發(fā)送方不能否認(rèn)自己的發(fā)送行為(不可抵賴性)。電子商務(wù)安全性的解決,大大地推動(dòng)了電子商務(wù)的 發(fā)展 。在電子交易中,無(wú)論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放,都不是靠交易雙方自己能完成的,而需要有一個(gè)具有權(quán)威性和公正性的第三方來(lái)完成。CA認(rèn)證機(jī)構(gòu)作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu),提供 網(wǎng)絡(luò) 身份認(rèn)證服務(wù),專門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的數(shù)字證書。

4.安全認(rèn)證協(xié)議。目前電子商務(wù)中經(jīng)常使用的有安全套接層SSL(Secure Sockets Layer)協(xié)議和安全電子交易SET(Secure Electronic Transaction)協(xié)議兩種安全認(rèn)證協(xié)議。

安全套接層(SSL)協(xié)議。SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。SSL協(xié)議是一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。目的是為用戶提供Internet和 企業(yè) 內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法,連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如HTTP、FTP、TELNET等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴SL協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶認(rèn)證。SSL采用了公開密鑰和專有密鑰兩種加密:在建立連接過(guò)程中采用公開密鑰;在會(huì)話過(guò)程中使用專有密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過(guò)程中判斷決定。它保證了客戶和服務(wù)器間事務(wù)的安全性。

安全電子交易(SET)協(xié)議。SET協(xié)議是針對(duì)開放網(wǎng)絡(luò)上安全、有效的銀行卡交易,由維薩(Visa)公司和萬(wàn)事達(dá)(Mastercard)公司聯(lián)合研制的,為Internet上卡支付交易提供高層的安全和反欺詐保證。由于它得到了IBM、HP、Microsoft等很多大公司的支持,已成為事實(shí)上的 工業(yè) 標(biāo)準(zhǔn),目前已獲得IETF標(biāo)準(zhǔn)的認(rèn)可。這是一個(gè)為Internet上進(jìn)行在線交易而設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子付款規(guī)范。SET在保留對(duì)客戶信用卡認(rèn)證的前提下,又增加了對(duì)商家身份的認(rèn)證,這對(duì)于需要支付貨幣的交易來(lái)講是至關(guān)重要的。SET將建立一種能在Internet上安全使用銀行卡購(gòu)物的標(biāo)準(zhǔn)。安全電子交易規(guī)范是一種為基于信用卡而進(jìn)行的電子交易提供安全措施的規(guī)則,SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和防抵賴性,且SET協(xié)議采用了雙重簽名來(lái)保證各參與方信息的相互隔離,使商家只能看到持卡人的訂購(gòu)數(shù)據(jù),而銀行只能取得持卡人的信用卡信息。所以它是一種能廣泛應(yīng)用于Internet上的安全電子付款協(xié)議,它能夠?qū)⑵毡閼?yīng)用的信用卡的使用場(chǎng)所從目前的商店擴(kuò)展到消費(fèi)者家里,擴(kuò)展到消費(fèi)者個(gè)人 計(jì)算 機(jī)中。

5.其他安全技術(shù)。電子商務(wù)安全中,常用的方法還有網(wǎng)絡(luò)中采用防火墻技術(shù)、虛擬專用網(wǎng)(VPN)技術(shù)、防病毒保護(hù)等。如果單純依靠某個(gè)單項(xiàng)電子商務(wù)安全技術(shù)是不夠的,還必須與其他安全措施綜合使用才能為用戶提供更為可靠的電子商務(wù)安全基石。

【電子商務(wù)安全問(wèn)題及技術(shù)防范措施】相關(guān)文章:

資產(chǎn)評(píng)估的風(fēng)險(xiǎn)及防范措施05-24

企業(yè)采購(gòu)風(fēng)險(xiǎn)防范措施01-20

關(guān)于電子商務(wù)中網(wǎng)絡(luò)技術(shù)的應(yīng)用03-29

意大利留學(xué)安全問(wèn)題03-29

小微金融風(fēng)險(xiǎn)防范措施08-07

貨代常見法律風(fēng)險(xiǎn)及防范措施12-11

無(wú)單放貨風(fēng)險(xiǎn)防范措施03-30

網(wǎng)絡(luò)攻擊的常見手法及其防范措施01-23

電力檢修施工安全問(wèn)題及措施01-31