時間:2023-08-28 16:54:39
導語:在電子商務安全對策的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
一、安全的重要性以及存在的安全問題及其原因
計算機網絡之所以存在著脆弱性,主要是由于技術本身存在著安全弱點、系統的安全性差、缺乏安全性實踐等。此外,信息安全處在初期發展階段,缺少網絡環境下用于產品評價的安全性準則和評價工具。系統管理人員的安全意識和安全管理培訓等也相對缺乏。在系統安全受到威脅時,缺少應有的完整的安全管理方法、步驟和安全對策,如事故通報、風險評估、改正安全缺陷、評估損失、相應的補救恢復措施等。
根據攻擊能力的組織結構程度和使用的手段,可以將威脅歸納為四種基本類型:無組織結構的內部和外部威脅與有組織結構的內部和外部威脅。一般來講,對外部威脅,安全性強調防御;對內部威脅,安全性強調威懾。
1.病毒。病毒是由一些不正直的程序員所編寫的計算機程序,它采用了獨特的設計,可以在受到某個事件觸發時,復制自身,并感染計算機。如果在病毒可以通過某個外界來源進入網絡時(大多數是通過某個受到感染的磁盤或者某個從互聯網上下載的文件),網絡才會感染病毒。當網絡上的一臺計算機被感染時,網絡上的其他計算機就非常有可能感染到這種病毒。2.特洛伊木馬程序。特洛伊木馬程序,是破壞性代碼的傳輸工具。特洛伊表面上看起來是無害的或者有用的軟件程序,例如計算機游戲,但是它們實際上是偽裝的敵人。特洛伊可以刪除數據,將自身的副本發送給電子郵件地址簿中的收件人,以及開啟計算機進行其他攻擊。只有通過磁盤,從互聯網上下載文件,或者打開某個電子郵件附件,將特洛伊木馬程序復制到一個系統,才可能感染特洛伊。無論是特洛伊還是病毒并不能通過電子郵件本身傳播――它們只可能通過電子郵件附件傳播。3.惡意破壞程序。網站會提供一些軟件應用(例如ActiveX和Java Applet)的開發而變得更加活潑。這些應用可以實現動畫和其他一些特殊效果,從而使網站更具有吸引力和互動性。但是,由于這些應用非常便于下載和運行,從而提供了一種造成損害的新工具。惡意破壞程序是指會導致不同程度破壞的軟件應用或者Java小程序。一個惡意破壞程序可能只會損壞一個文件,也可能損壞大部分計算機系統。4.攻擊。目前已經出現了各種類型的網絡攻擊,它們通常被分為三類:探測式攻擊,訪問攻擊和拒絕服務(DoS)攻擊。(1)探測式攻擊實際上是信息采集活動,黑客們通過這種攻擊搜集網絡數據,用于以后進一步攻擊網。(2)訪問攻擊用于發現身份認證服務、文件傳輸協議(FTP)功能等網絡領域的漏洞,以訪問電子郵件賬號、數據庫和其他保密信息。(3)DoS攻擊可以防止用戶對于部分或者全部計算機系統的訪問。它們的實現方法通常是:向某個連接到企業網絡或者互聯網的設備發送大量的雜亂的或者無法控制的數據,從而讓正常的訪問無法到達該主機。更惡毒的是分布式拒絕服務攻擊(DDoS),在這種攻擊中攻擊者將會危及到多個設備或者主機的安全。5.數據阻截。通過任何類型的網絡進行數據傳輸都可能會被未經授權的一方截取。犯罪分子可能會竊聽通信信息,甚至更改被傳輸的數據分組。犯罪分子可以利用不同的方法來阻截數據。6.社會活動。社會活動是一種越來越流行的通過非技術手段獲取保密的網絡安全信息的手段。7.垃圾信件。垃圾信件被廣泛用于表示那些主動發出的電子郵件或者利用電子郵件廣為發送未經申請的廣告信息的行為。垃圾信件通常是無害的,但是它可能會浪費接收者的時間和存儲空間,帶來很多麻煩。
二、技術保障策略
1.加密。加密方法多種多樣,在網絡信息中一般是利用信息變換規則把明文的信息變成密文的信息。既可對傳輸信息加密,也可對存儲信息加密,把計算機數據變成一堆亂七八糟的數據,攻擊者即使得到經過加密的信息,也不過是一串毫無意義的字符。加密可以有效地對抗截收、非法訪問等威脅。2.數字簽名。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等安全問題。數字簽名采用一種數據交換協議,使得收發數據的雙方能夠滿足兩個條件:接受方能夠鑒別發送方宣稱的身份;發送方以后不能否認他發送過數據這一事實。數據簽名一般采用不對稱加密技術,發送方對整個明文進行加密變換,得到一個值,將其作為簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方身份是真實的。3.鑒別。鑒別的目的是驗明用戶或信息的正身。對實體聲稱的身份進行惟一識別,以便驗證其訪問請求,或保證信息來源以驗證消息的完整性,有效地對抗冒充、非法訪問、重演等威脅。按照鑒別對象的不同,鑒別技術可以分為消息鑒別和通信雙方相互鑒別;按照鑒別內容不同,鑒別技術可以分為用戶身份鑒別和消息內容鑒別。鑒別的方法很多:利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪問控制機制等鑒別用戶身份,防止冒充、非法訪問;當今最佳的鑒別方法是數字簽名。4.訪問控制。訪問控制的目的是防止非法訪問。訪問控制是采取各種措施保證系統資源不被非法訪問和使用。一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網絡簽證等技術來實現。5.防火墻。防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公共網絡的互聯環境中。大型網絡系統與Internet互聯的第一道屏障就是防火墻。防火墻通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理,其基本功能為:過濾進、出網絡的數據;管理進、出網絡的訪問行為;封堵某些禁止行為;記錄通過防火墻的信息內容和活動;對網絡攻擊進行檢測和告警。
總之,隨著時間的推移,越來越多的新技術將用于進一步地提高業務和通信的效率。如果企業始終站在這種新型技術的前列,并能夠防御最新的安全威脅和攻擊,網絡所帶來的好處必然將遠遠超過它所帶來的風險。
參考文獻:
關鍵詞:電子商務;信息安全;風險評估;對策
基金項目:鄭州科技學院大學生創新創業訓練計劃項目:電子商務信息安全風險評估關鍵技術及應用(編號:DCY2019007)
1.引言
電子商務是以互聯網為基礎,以商城消費者產品物流為構成要素進行的電子商務活動。當電子商務相關部門或人員在進行項目開發時,擁有一套信息安全風險評估系統可以幫助其采用科學合理的方法對潛在威脅進行分析并保證經濟系統的安全。所以將信息安全技術與現代化新興技術結合,將為我們打造一個更加優質的網絡環境。
2.電子商務系統中存在的信息安全問題及現狀
一般來說,電子商務的信息安全是指在電子商務交易的過程中雙方使用各種技術和法律手段等確保交易不會因為意外,惡意或者披露這些不利要求而受到損害的信息安全。在21世紀初葉,我國金融系統中的計算機犯罪率一直在不斷地增加,我國金融網絡信息安全形勢非常嚴峻,需要加強改善。下面就電子商務網絡中的信息安全問題做一個簡要介紹,主要涉及以下幾個方面:
(1)由于編寫的電子商務系統軟件可以使用不同的形式,因此在實際應用過程中難以避免的會留下安全漏洞。例如,網絡操作系統本身會存在一些安全問題,例如非法訪問I/0,這些不完全的調解和混亂的訪問控制會造成數據庫安全漏洞,而這些漏洞嚴重影響了電子商務系統的信息安全性.特別是在設開始設計之前就沒有考慮TCP/IP通信協議的安全性,這一切都表明當前的電子商務系統網絡軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來也存在風險。在信息的傳遞過程中,需要不斷地對信息源進行加工和重現,截取有用信息,不可避免會出現信息轉化方面的風險。尤其是在當下“社交+商務”的模式下,一條消息可能瞬間在社交網站上轉載數萬次或者更多,一旦在信息轉載中出現誤差,影響非常大,風險應當給予重視。
(2)隨著網絡技術的廣泛應用,計算機病毒帶來的問題越來越廣泛,壓縮文件,電子郵件已經成為計算機病毒傳播的主要途徑,因為這些病毒的種類非常多樣化,破壞性極強,使得計算機病毒的傳播速度大大加快了。近年來,新病毒種類的數量迅速增加,互聯網為這些病毒的傳播提供了良好的媒介。這些病毒可以通過網絡大量傳播任何粗心大意都會造成無法彌補的經濟損失。此外還有信息傳遞過程所帶來的風險。信息是一種重要的資源,良好的流動性能實現信息價值的最大化,但是在信息的傳遞過程中需要經過許多路徑,而在這過程中往往存在一些不安全因素,給信息安全帶來一定的風險。
(3)當前的黑客攻擊,除了計算機病毒的傳播外,黑容的惡意行為也越來越猖狂。特洛伊木馬使黑容可以使用計算機病毒從而變得更加有目的性,使得計算機記錄的登錄信息被特洛伊木馬程序惡意篡改,導致很多重要信息、文件,甚至是金錢被盜。
(4)由人為因素造成的電子商務公司的安全問題,大部分保密工作是通過員工的操作來進行的,這就需要員工具有很好的保密性,責任心和責任感等道德素質。如果員工的責任心不強,態度不正確,就容易被別人利用,讓無關人員隨意進出房間或向他人泄露機密信息,可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業道德,可能會非法超出授權范圍更改或刪除他人的信息,而且還可以利用所學專業知識和工作位置來竊取用戶密碼和標識符,進行非法出售。
3.電子商務信息安全風險評估存在的問題
經過大量的數據收集與分析不難發現對信息安全風險評估是當前科研工作中噬待解決的問題。目前,國內也有一些關于信息安全風險評估的研究和應用,但是這些研究都只是簡單的分析,包括常用的具有風險的風險評估工具。評估矩陣,問卷,風險評估矩陣與問卷方法,專家系統相結合。對于更深層次的探究還需進一步努力。此外,網絡信息安全風險評估方法常用定量因子分析方法,時間序列模型,決策樹方法和回歸模型進行。風險評估方法,定性分析主要包括邏輯分析,Delphi方法,因子分析方法,歷史比較方法等。其中,定量和定性評估方法相結合,是由模糊層次分析法,基于D-S證據理論等的評估方法組成。同時網絡信息安全風險評估還存在一定問題,例如隨著網絡的發展,我國從開始的2G邁向4G現在又率先進入5G時代。其中也出現了各種問題,網民數量的增加需要迫切提高他們對信息安全的警惕意識。
3.1欠缺對電子商務信息安全風險評估的認識
當前,許多相關人員對電子商務信息系統面臨著巨大的挑戰的現狀并未有足夠的意識,缺少信息安全風險評估經驗。因此他們沒有重視信息安全風險評估的重要性,其原因如下。第一,公司或單位的風險評估尚未通過標準檢驗,培訓標準,信息安全風險評估工作的研究尚未得到系統的相關理論,方法和技術工具,這是由于一些信息安全評估工作相關領導層和工作人員對信息評估風險評估的重要性的認識不足,因此自然而然不將此類風險評估工作包括在當前的信息安全系統框架中。第二,盡管有許多部門將信息安全工作置于地位重要,但受到人力、物力,財力等方面的限制,社會制度的制約,政策法規的欠缺使得信息安全系統的信息安全風險評估工作無法得到應有的重視。
3.2缺乏信息安全風險評估方面的專業技術人才
首先,信息安全風險評估的技術內容要求非常高,它要求員工具有很高的技術水平,現在很多公司都將通用信息用作風險評估技術人員。其次,信息安全風險評估是一項集綜合性,專業性于一體的工作,不僅涉及公司的所有業務信息,也涉及人力,物力和財力的方方面面,因此需要各部門之間相互配合,現在大多數公司僅依靠信息部門,獨立的參與信息安全風險評估毫無爭議他們要想完成信息安全風險評估工作是非常艱難的。綜上所述,培養信息安全風險評估專業技術人員是今后信息技術方面發展的方向。
3.3風險評估工具相對缺乏
當前,除專家系統外,其他分析工具相對來說都比較簡易,除此之外還缺乏實用的理論基礎。此外,這種信息風險評估工具在應用中的發展呈現的現狀。表明國內和外部失衡,在中國相對落后。可見解決信息安全問題的關鍵在于有成熟的風險評估工具。
4.防范電子商務信息安全及風險的建議
4.1增強電子商務信息安全和風險評估的意識
大多數信息的傳輸和處理,與人是密不可分的。特別是掌握人員的重要信息和核心業務,人員的個人因素,管理因素和環境存在風險。主要包括人員的技術能力,監控管理,安全性。特別需要做好監督審計公司的工作,確保信息安全風險管理融入實踐,充分發揮內部監督作用,促進社會責任認可和實施信息安全風險管理工作。電子商務公司必須對工人進行必要的信息安全知識教育培訓,了解與之相關的法律法規,做好對客戶關鍵信息的隱秘保護。不隨意查看和泄露客戶購買信息。
企業應該加大力度保障網絡通信操作時信息的機密性和完整性,加強密鑰管理,提高應對網絡攻擊能力,采取措施避免越權或濫用,消除用戶在交易中的風險。在信息安全風險控制中必須由內到外地保護內部系統環境、網絡邊界、骨干網安全。為網絡信息系統建立完善的管理系統,并提供全面的安全保障。運用端到端策略。對于移動電子商務中用戶終端設備種類繁多,安全環境復雜難以控制的問題,必須做好數據傳輸中的重要環節中的身份鑒定。通過人臉識別、指紋識別等技術有效提高用戶訪問身份鑒別能力,極大地提高賬戶的安全性,確保數據傳輸的安全性,確保交易的真實有效。
4.2提供專業的技術培訓,提高專業人員的技能
認真選擇第三方合作伙伴,增強信息管理水平,加強績效監督管理。樹立合理的企業內部組織結構和有效資金保障,培養員工信息安全意識,創造良好信息安全工作氛圍,加強信息安全專業技術人員對信息安全風險評估的意識和能力,通過大量的實驗發現可以通過下列方法培訓相關人員:第一,定期開展信息安全風險評估工作,將公司員工集合共同學習相關資料以提升他們對信息安全的意識彌補存在的缺陷。第二,對信息安全部門的員工進行專門的技術培訓和指導,可通過模擬分析來提升技術;第三,公司應增加對技術資源的投入,聘請經驗豐富的專家學者組成第三方評估機構,引進風險評估設備。以備不時之需;第四,公司應對技術人員進行標準化認證培訓,執行職業資格準入制度,提高技術人員的門檻,納入信息安全風險評估,技術人員的全面質量保證評估。以上這些方法只是單純就培訓方式對于具體的實施以及可能遇到的問題依然需要研究。
4.3提升對信息安全防范技術的研究和應用
為移動數據庫存儲的數據進行加密以防止泄漏,采用不同的加密方法來保護數據安全,進行身份認證,數據恢復,數據加密存儲,物理隔離,防火墻,網絡,網絡設備,網絡入侵檢測,網絡漏洞掃描,網絡設備備份,網絡管理,專線,實現網絡管理等一系列技術手段,從而提高數據庫的安全性。同時提高認識到物理設施的重要性,定期維護物理設施。為了監測信息安全和實施評估系統,我們要保證基本硬件和芯片的獨立在建立獨立于信息安全的評估體系中,國內外統一組織重要的信息安全技術研究,建立創新的電子商務信息安全與評估體系。
【關鍵詞】電子商務;信息安全;信息技術
電子商務概念源于英文Elect ronic Commerce , 簡寫EC。美國《商業周刊》認為, Internet 已經成為" 有史以來最激動人心的生意場" 。電子商務介入世界經濟活動并成為其中主角是必然的發展趨勢。據統計1998 年全球電子商務交易額為1020 億美元,2003 年電子商務交易額達到1. 3 萬億美元,約占世界貿易總額的1/ 4 ,到2005 年將達到2~3 萬億美元。由于大量的信息在網上傳遞,大量的資金在網上劃撥流動,這就要求網上信息必須具有高度的可靠性和絕對的保密性。但是出于各種目的的網絡入侵和攻擊也越來越頻繁,脆弱的網絡和不成熟的電子商務增強了人們的防范心理。從這點上來看,信息安全問題是保障電子商務的生命線。
1 、電子商務信息的安全要素
1. 1 機密性
傳統的貿易大多是通過書信或者可靠的通信渠道來發送商業文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務是在開放的網絡環境下進行的,因此要預防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務信息的機密性就變得非常重要。
1. 2 完整性
電子商務極大地簡化了傳統貿易過程,減少了認為的干預,同時也伴隨著貿易各方商業信息的完整、同一問題。由于數據錄入時合法或非法的行為,可能導致貿易數據的差異。信息在傳輸的過程中也有可能造成信息的丟失、重復或次序的差異。因此要預防對信息的各種非法操作,保證數據在傳送的過程中完整性。
1. 3 認證性
網絡環境是一個虛擬的環境,而電子商務就是在這個虛擬平臺上進行的,貿易雙方一般都不見面,需要一些技術和策略來進行身份確認。當個人或實體聲稱身份時,電子商務服務需要提供一種方式來進行身份認證。
1. 4 有效性
在交易的過程中貿易雙方需要確定很多信息,電子商務以電子形式取代了紙張來確認這此信息,保證謝謝信息的有效性是開展電子商務的前提。因此要對網絡故障、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻和地點是有效的。
2 、電子商務安全中存在的問題
電子商務是實現整個貿易過程中各階段貿易活動的電子化。公眾是電子商務的對象,信息技術是實現電子商務的基礎,電子商務實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務活動中的信息安全問題主要體現在以下幾個方面。
2. 1 計算機網絡的安全
2. 1. 1 安全協議問題
隨著經濟和信息全球化的時代到來,但安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
2. 1. 2 信息的安全問題
非法用戶在網絡的傳輸上,通過不正當手段,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網絡數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網絡數據包再次發送,惡意攻擊對方的網絡硬件和軟件。
2. 1. 3 防病毒問題
電腦病毒問世十多年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。
2. 1. 4 服務器的安全問題。
電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數據庫里有企業的一些保密數據,如價格、成本等,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果也是非常嚴重的。目前服務器的安全問題尚無有效措施予以阻止。主要表現在:非法用戶向網絡或主機發送大量非法或無效的請求,使其消耗可用資源卻無法繼續提供正常的網絡服務,利用操作系統、軟件、網絡協議、網絡服務等的安全漏洞,通過網站發送特制的數據請求,使網絡應用服務器崩潰而停止服務。
2. 2 電子商務交易的安全
2. 2. 1 身份的不確定問題
由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段竊取合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從中獲得非法收入。主要表現有:冒充他人身份;冒充他人消費、栽贓、冒充主機欺騙合法主機及合法用戶等。
2. 2. 2 交易的抵賴問題
電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。如自己應承擔的責任如:者事后否認曾經發送過某條信息或內容;收信者事后否認曾經收到過某條信息或內容;購買者做了訂貨單不承認,商家賣出的商品質量差但不承認原有的交易。在網絡世界為交易雙方的糾紛進行公證、仲裁。
2. 2. 3 交易的修改問題
交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
2. 3 其他方面的安全
電子商務安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題:網絡交易糾紛的仲裁、網絡交易契約等問題,急需為電子商務提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅。[ ]
3 、保障電子商務信息安全措施
3. 1 數據加密策略
加密技術是電子商務的最基本措施,最初主要用與保證數據在存儲和傳輸過程中的保密性。隨著電子商務的發展,對數據完整性以及身份鑒定技術提出了新的要求,數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。加密技術是一種主動的信息安全防范策略,利用一定的加密算法. 將明文轉換成毫無意義的密文。阻止非法用戶理解原始數據,從而確保數據的保密性。
比較廣泛使用的加密技術有兩種:一是對稱密鑰加密體制,一是非對稱密鑰加密體制。它們的區別在于密鑰的類型不同。
3. 1. 1 對稱密鑰加密體制
對稱密鑰加密,又稱私鑰加密(Secret Key Encryption) ,即數據加密和解密采用的都是同一個密鑰,因而其安全性依賴于所持有密鑰的安全性,其最大的優點就是速度快,適合于對大數據量進行加密,但其最大的缺點是在大量用戶的情況下密鑰答理復雜,而且無法完成身份認證等功能,不便于應用于網絡開放的環境中。
3. 1. 2 非對稱密鑰加密體制
非對稱密鑰加密體制,又稱公鑰加密( Public Key Encryp2tion) ,數據加密和解密采用不同的密鑰,需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分解為一對。這對鑰中的在何一把都可作為公開密鑰,加密密鑰,通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數據的接受者掌握。
利用公鑰體系可以方便地實現對用戶的身份認證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進行解密,如果能夠解開,說明信息確實為該用戶所發送,這樣就方便地實現了對信息發送方身份的鑒別和認證。
通常在實際應用中將公鑰密碼體系和數字簽名算法結合使用. 在保證數據傳輸完整性的同時完成對用戶的身份認證。
3. 2 防火墻技術
現有的防火墻技術包括兩大類:數據包過濾和服務技術。其中,最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數據包的頭,以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾,所以可以有效地避兔對其進行的有意或無意的攻擊,從而保證了專用私有網的安全。將包過濾防火墻與服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于: (1) 防火墻技術只能防止經由防火墻的攻擊,不能防止網絡內部用戶對于網絡的攻擊。(2) 防火墻不能保證數據的秘密性,也不能保證網絡不受病毒的攻擊,它只能有效地保護企業內部網絡不受主動攻擊和入侵。
3. 3 身份驗證技術
3. 3. 1 認證系統
網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發機構叫做Certificate Authority ,通常簡稱為CA。要建立安全的電子商務系統,首先必須建立一個穩固、健全的CA ,否則,一切網上的交易都沒有安全保障。
[關鍵詞] 電子商務網站 源碼設計 數據庫安全
網站數據庫作為信息的聚集體,是電子商務網站運營的基礎,通常保存著重要的商業數據和客戶信息,這些信息安全性至關重要,關系到企業興衰成敗。然而,在實際應用中,一些企業網站數據庫里一些商業數據卻被攻擊者竊取后公布于眾、公司商業網站中的產品價格又被惡意修改等等類似的案例比比皆是,數據的安全性和企業的自身利益受到了嚴重的威脅。筆者就電子商務網站源碼設計中容易出現安全問題進行分析,并提出解決的對策。
一、電子商務網站源碼設計中常見的安全問題
1.代碼設計中命名設計的安全問題
對網站文檔名、網站目錄名、數據庫名及數據表文檔名、數據表中字段元素進行命名設計時,因設計人員在工作中的一些習慣,使用與中文意義相對應的英文或拼音方式直接命名,愛把數據庫放在Data或Database等目錄下,對數據庫的命名通常采用Data、Database等,對數據表的命名常以User、Admin、Product等命名,對數據表中敏感字段的命名也常采用Username、Password、Pwd、Price等方式命名。這樣的命名易猜測,從而易泄露重要數據信息,易暴露網站數據庫的存儲位置,使得網站的數據易被非法竊取。
2.數據庫連接的代碼安全問題
下面是一個ASP連接遠程SQL數據庫的簡單例子:
此例暴露了使用這種數據庫連接文件的兩大安全問題。一方面,將服務器的地址(server=202.108.32.94)、數據庫用戶的用戶名及口令(uid=sa;pwd=PASSWORD;)、數據庫文件名及文件存儲路徑(database=/data/database.mdb)直接存放在數據庫連接文件中,一旦這些連接文件中的內容外泄,網站數據庫能被攻擊者惡意下載或篡改;另一方面,在源代碼編寫時,直接使用數據庫管理系統提供的默認賬號Sa,使得攻擊者能利用這個漏洞,通過構建特殊的用戶權限,直接操縱數據庫系統管理軟件,危及網站數據庫的安全。
3.使用SQL語句導致的安全問題
SQL語句導致的注入漏洞存在于任何使用SQL語句的網站中,注入漏洞可以說是2004年以來影響最大的漏洞,它利用了程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。攻擊者可以通過在正常數據庫查詢代碼的后面添加特殊字符的方法,根據程序返回的結果,獲得數據庫中的表名、字段名,達到探測數據庫信息或提升權限等目的。一般情況下,注入點較多出現在各個網站的提供輸入注冊信息或查詢和操作數據庫的頁面。例如,一般程序設計人員通過下列select語句進行查找:(select * from users where userid=’“&userid&”’and pwd=’“&pasword&”’)。針對本語句,我們只要構造一個特殊的用戶名和密碼,如aa’or’1’=’1,這樣,select語句將變成(select * from Users where use rid=’aa’or’1’=’1’and pwd=’“&pasword&”’)。由于有or運算符和“1=1”恒成立的條件,使得數據庫的所有記錄都滿足此條件而實現登錄。同理,還可以通過update語句、insert語句等進行SQL注入攻擊。
二、解決電子商務網站源碼設計中常見安全問題的對策
1.采用非常規命名法
針對網站文檔名、網站目錄名、數據庫及數據表文檔名、數據字段名、數據庫連接文件名、后臺管理員用戶名等關系到網站數據庫安全的命名,不使用系統默認的或者有特殊含義容易被猜測到的命名,盡量使用無規則的英文字母。例如,對于網上書店的數據庫文件不要簡單地命名“bookshop.mdb”,而是要以非常規的名字命名,如用“jxgn.mdb”。這樣,對于一些通過猜測的方式得到數據庫相關信息的非法訪問起到了有效地阻止作用。
2.防止數據庫被下載
通常有3種方法。方法一,在數據庫文件名后面加上#號,例如name#.mdb,這樣IIS就以為是在請求該目錄中默認的文件名,例如index.asp,如果IIS找不到就會發出403禁止瀏覽目錄的錯誤警告;方法二,在IIS中是把數據庫所在的目錄設為不可讀,這樣就可以防止被下載;方法三,在數據庫連接文件中使用ODBC 數據源,攻擊者即使獲得了建立數據庫鏈接的源代碼,也無法從源代碼中看到數據庫的名字和存放路徑。
3.防止SQL語句導致的注入漏洞
第一,完善管理權限。不在程序中使用較高權限訪問數據庫,例如,不使用Sa身份訪問SQL數據庫,盡量使用Windows 2000身份驗證模式進行SQL Server的身份驗證。
第二,保持良好的程序開發習慣。編寫數據庫查詢程序時,利用兩個單引號來標注任何輸入的變量給SQL程序。或采用使用replace函數屏蔽單引號的方法, 針對類似于(select * from users Where userid=’“& Userid&”’ and PWd=’“&Password&”’)的select語句使用replace函數替換為:(select * from users where userid=’replace(request.form(“userid”),’,“)&’and pwd=’replace(request.form(“password”),’,”)&’。
第三,隱藏核心代碼。不使用SQL語句直接訪問數據庫,而是使用存儲過程或XML Web Service可以較好地保護核心程序代碼和數據庫結構不至外泄。
三、結束語
電子商務網站的數據庫的安全性問題是近年來倍受關注的問題,確保其安全是一個系統工程。現僅從電子商務網站源碼設計的角度,討論了存在的安全問題,通過對這些問題的分析,將有助于加強網站開發人員的安全意識,減少開發過程給網站數據庫帶來的安全隱患。
參考文獻:
關鍵詞:電子商務 網上交易 安全問題 安全技術 對策
隨著電子商務的高速發展,網上犯罪屢屢發生,網購騙局層出不窮。比如在Internet上進行惡意攻擊、竊取商業機密、冒用他人的信用卡、篡改名單等犯罪行為時有發生,人們對電子商務的安全提高了警惕,安全問題已經成為電子商務發展的關鍵問題。
一、電子商務交易中存在的安全問題
1.網絡系統存在的安全隱患。網絡系統和應用軟件中通常都會存在一些BUG,別有用心的人利用這些漏洞向買賣雙方的電腦發起進攻,導致某個程序或網絡喪失功能。如:計算機病毒的侵襲、黑客非法入侵、線路竊聽等很容易使重要數據在傳遞過程中泄露,威脅電子商務交易的安全。
2.交易信息存在的安全隱患。(1)是網絡交易中用明文傳輸的數據被非法入侵者截獲并破譯之后,進行非法篡改、刪除或插入,使信息的完整性遭受破壞;(2)是網絡非法攻擊通過假冒合法用戶或者模擬虛假信息來實施詐騙行為;(3)是交易抵賴,包括多個方面,如:購買者下了訂單不承認,商家賣出的商品因價格差異而不承認原有的交易等。
3.信用方面存在的危機。在電子商務交易中存在的信用問題主要表現在以下幾個方面: (1)是來自買方的信用問題,對于消費者來說,可能在網絡上利用信用卡進行惡意透支,或者使用偽造的信用卡來騙取賣方的貨物;(2)是來自賣方的信用問題,賣方不能按質、按量、按時寄送消費者購買的貨物,或者不能完全根據合同來履行合同內容,造成買方權益的損害。
4.支付結算方面存在的安全隱患。電子商務交易的核心內容是信息溝通和交流,交易雙方通過Internet進行洽談、支付結算。從交易的結算方式看,已經可以通過支付寶、網上銀行、QQ錢包和微信錢包等多種方式來完成結算。但存在大量的虛假網站,騙取錢財。
5.物流配送服務方面存在的安全隱患。主要表現為: (1)是當消費者在網上購買的商品在運輸過程中出現損毀時,網站、產品供應商、快遞公司之間互相推諉,推卸責任,導致消費者無法獲得賠償; (2)是快遞公司規定不按商品的價值,只按運輸費用的幾倍賠償; (3)是快遞公司自行規定消費者簽字后再驗貨,驗貨發現商品缺失或損壞,又以其已簽字為由拒不承擔賠償責任。
二、解決電子商務交易安全問題的對策
1.加強計算機網絡安全應采取的措施
(1)使用防火墻技術:防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部。防火墻可以從通信協議的各個層次以及應用中獲取、存儲并管理相關的信息,以便實施系統的訪問安全決策控制。因此,買賣雙方都應很好地使用這一技術,保障網絡的安全運行。
(2)使用反病毒技術:計算機病毒的防范是網絡安全性建設中重要的一環,在網絡環境下,病毒傳播擴散加快,僅用單機版殺毒軟件已經很難徹底清除網絡病毒,必須有適合于局域網的全方位殺毒產品。如果在網絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件。所以最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,并且定期或不定期更新病毒庫,使網絡免受病毒侵襲。
2.加強網上交易活動順利完成應采取的措施
(1)“看好自己的錢包”:涉及網絡支付結算的系統安全包含下述一些措施:一是對要安裝的軟件,如瀏覽器軟件、電子錢包軟件、支付網關軟件等,檢查和確認未知的安全漏洞;二是上網購物時盡量選擇大型、知名度比較高的網站,如天貓、京東等,不上一些小型網站,尤其是虛假網站,避免網站掛有病毒、木馬等造成中毒;三是盡量不要在公共電腦上使用自己的有關資金的賬戶和密碼。
(2)網上購物時也得“縱橫馳騁”:選好信譽度高的商家和質量好的貨,是保證買方心滿意足的前提。一是盡量與現實世界中信譽良好的公司所設電子商店,或與網絡世界中商譽良好的電子商店進行交易;二是避免與未提供足以辨識和確認身份資料的電子商店進行交易;三是不可單純從網站設計外觀來判斷其可靠性、真實性,應先確定網址是否正確,以免進錯電子商店,被“釣魚”了;四是消費時應注意查詢網站以往的消費記錄及評價。
(3)物流服務方面應該“眼觀六路,耳聽八方”:網上交易的一個重要環節是發貨和收貨,這些都得通過物流公司來實現。目前市場上物流企業眾多,買賣雙方都要選擇服務好、信譽高的物流企業。賣方發貨時盡量做到保價,避免遭受重大的損失;買方收貨時要先驗貨再簽字,防止收到“意外”之貨。
關鍵詞:電子商務;計算機網絡;網絡安全
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 06-0000-01
Computer Network Security Analysis and Countermeasures in E-commerce
Li Dong
(Hubei Vocational College of BIO-Technology,Wuhan430070,Chian)
Abstract:With the development of computer network,E-commerce faces some opportunities,but also faces some challenges,particularly in computer network security,to the development of electronic commerce posed a grave threat,which requires the enterprises measures to strengthen security technology and management.This paper analyzes the security of computer networks,electronic commerce issues,and proposed countermeasures.
Keywords:Electronic commerce;Computer network;Network security
計算機網絡的出現及快速發展,為社會帶來了巨大的貢獻。然而,當前電子商務的發展仍存在一定的問題,尤其是隨網絡而來的安全問題,對電子商務的發展造成了嚴重的影響。因此,企業應逐漸消除其安全問題,加強網絡安全管理,促進電子商務的持續發展。
一、電子商務中的計算機網絡安全分析
(一)網絡黑客的侵犯。網絡黑客指的是在網絡中利用個人所掌握的技術來非法地進入其他網站的行為人,一般說來,網絡黑客都具有高超的網絡技術,能夠破解一些電子商務網站設置的技術防護。近年來,很多網絡黑客破壞網站,篡改網站的內容信息,甚至盜取了企業、商戶的賬戶密碼及資金,嚴重影響了電子商務的正常運轉。
(二)電子商務網站的管理不力。多數電子商務企業都沒有樹立較高的警惕性,缺乏對網絡安全的有效管理。還有一些企業盲目地崇拜各種安全產品,它們認為安裝入侵監測系統或者防火墻等安全產品,就足以確保網站的安全性,所以,缺乏有效的技術防范,從而使得外來入侵者有了機會。
(三)電子商務網絡的安全問題。網絡自身帶有共享性和開放性的特點,它的設計原則為不要由于局部損壞使信息傳輸受到影響,這樣一來,就形成了網站安全隱患。特別是一些電子商務企業,其技術不達標,而且網站安全管理手段相對落后,使網絡安全增加了大量隱患。
(四)電子商務軟件的漏洞。一些軟件開發商由于缺乏成熟的技術,導致電子商務軟件技中存在一定的安全漏洞,這樣一來,就易于被外來的入侵者攻破防護,給電子商務企業帶來了巨大的經濟損失。還有一些企業購買并安裝了相關病毒防護軟件,然而,缺乏對軟件及時更新及升級的重視,從而導致防護軟件喪失了自身的防護功能。
(五)人為管理相對滯后。一些電子商務企業缺乏對企業安全管理的重視,也不注重安全技術上的投入,管理人員的管理與配備也不合理;也有一些企業的制度缺失,或者沒有真正落實這些制度,或者管理不到位;還有一些企業的管理人員為了滿足自身的利益,蓄意地利用網絡來對外泄露企業的商務秘密。
二、強化電子商務中計算機網絡安全的對策
(一)制定電子商務安全規劃。電子商務貿易方式具有諸多的優點,如效率高和成本低等等,若能夠完全排除其中的安全問題,那么,電子商務形式的發展優勢一定的巨大的。所以,電子商務企業應該提高對計算機網絡安全的重視程度,從企業發展總體戰略的高度來看待安全問題。可聘請專業人士來制定企業安全防范的合理規劃,同時,在監控機制、人員配備、技術防范、技術投入、安全管理以及人員管理等方面進行精心規劃,并選擇科學周密的安全防范方案。
(二)加大電子安全的技術投入及管理投入。企業要加大計算機網絡安全的資金投入,以購置各種必要的技術防范設備以及防護軟件,并注重這些軟件的升級與更新,同時加大技術的改造與設備的更新和投入。此外,還應大力引進安全管理的專業人才,加強崗位培訓,不斷提升這些人才的技術水平,并適度地優化其待遇,以確保網絡安全管理隊伍的穩定性。
(三)強化安全技術管理。應該重視電子商務的網站建設、軟件升級和系統維護,加強管理網站服務器,在日常工作中,做好安全備份。另外,還應制定安全防范預案,這樣一來,如果出現了安全問題,才能盡快得以解決,從而防止出現經濟損失。還應建立服務器恢復系統,從而一旦遭遇安全攻擊,引發網站篡改等危害性事件之后,以確保能夠在最短的時間使系統恢復正常狀態,也使網站恢復正常的功能。企業還需注意的是,要采用權威的、知名的病毒防護軟件,從而確保其可以正常升級、啟動,以及有效發揮其防護功能。
(四)強化電子商務企業的自身管理。安全作為企業的生命線,必須引起企業的高度重視,企業應該教育員工在工作中從安全出發,具有較強的安全意識以及敏銳性,徹底消除安全工作中的僥幸心理。安全技術作為電子商務企業一個重要的防范屏障,其有效發揮作用離不開嚴密的管理,也就是說,只有建立有效、完善的安全防范管理系統,才能夠保障企業的安全。
(五)提高對電子商務疫情信息的重視程度。各個企業應進行行業聯合,進而組成企業聯盟。特別是在電子商務的安全信息上,應做到互通有無,對于安全疫情與有關信息要及時通報。企業應注重網絡安全領域中病毒的疫情預報,從而在每個時期都能有針對性地對其進行重點防范,此外,還應時刻關注本行業協會的安全通報,對已經出現的安全事件做到引以為戒,加強重點管理,一定要避免出現相同的安全事件。此外,還需注意的是在電子商務中,信譽度是企業維護客戶市場的一個重要因素,所以,企業還要注重客源市場的穩定性,加強自身網絡的安全。
三、結束語
綜上所述,電子商務中的網絡安全問題是不容忽視的,相關企業必須提高重視程度、加強制度建設,并強化落實安全管理。有效運用計算機網絡,并消除其中存在的各種弊端,推動計算機網絡技術的進步,促進電子商務的發展。
參考文獻:
[1]孫敬武,李雅靜,劉波,張翠.身份認證方式的選擇與電子商務安全需求分析[J].河北省科學院學報,2009,3
[2]黃學翔,童軍,樂群.Internet上的數據安全傳輸和身份鑒別[J].電腦知識與技術(學術交流),2007,1
[3]萬緒江,班顯秀,劉小東,萬朔.網絡安全的防御方法和可行性研究[J].電腦編程技巧與維護,2010,8
關鍵詞:校園;電子商務;安全;解決方案
中圖分類號:G647文獻標識碼:A
引言
隨著網絡的不斷普及和電子商務的迅猛發展,電子商務這種商務活動新模式已逐漸改變了人們的經濟活動方式、工作方式和生活方式,越來越多的人們開始接受并喜愛網上購物,可是,電子商務發展的瓶頸――安全問題仍然是制約人們進行電子商務交易的最大問題,安全問題是電子商務的核心問題,是實現和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在學校環境下的具體應用與實現,其安全性也同樣是其發展所不容忽視的關鍵問題。
一、校園電子商務概述
(一)校園電子商務的概念。校園電子商務是電子商務在校園這個特定環境下的具體應用,它是指在校園范圍內利用學校的網絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校園內單位、企業和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的商務系統。
(二)校園電子商務的特點。相對于一般電子商務,校園電子商務具有客戶群穩定、網絡環境優良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優勢所在。與傳統學校商務活動相比,校園電子商務的優點有:交易不受時間空間限制、快捷方便、交易成本較低。
二、校園電子商務的安全問題
(一)校園電子商務安全的內容。校園電子商務安全內容從整體上可分為兩大部分:學校網絡安全和學校支付交易安全。學校網絡安全內容主要包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。學校支付交易安全的內容涉及傳統校園商務活動在校園網應用時所產生的各種安全問題,如網上交易信息、網上支付以及配送服務等。
(二)校園電子商務安全威脅。校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。網絡安全與交易安全并不是孤立的,而是密不可分相輔相成的,網絡安全是基礎,是交易安全的保障。校園網也是一個開放性的網絡,它也面臨許許多多的安全威脅,例如:身份竊取、非授權訪問、冒充合法用戶、數據竊取、破壞數據的完整性、拒絕服務、交易否認、數據流分析、旁路控制、干擾系統正常運行、病毒與惡意攻擊、內部人員的不規范使用和惡意破壞等。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露指非法用戶通過各種技術手段盜取或截獲交易信息致使交易信息的機密性遭到破壞;篡改信息指非法用戶對交易信息插入、刪除或修改,破壞交易信息的完整性;假冒指非法用戶冒充合法交易者以偽造交易信息;交易抵賴指交易方否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。
(三)校園電子商務基本安全需求。通過對學校電子商務安全威脅的分析,可以看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統的整體規劃可以提高其安全需求。
三、校園電子商務安全解決方案
(一)校園電子商務安全體系結構。校園電子商務安全是一個復雜的系統工程,因此要從系統的角度對其進行整體的規劃。根據校園電子商務的安全需求,通過對學校人文環境、網絡環境、應用系統及管理等各方面的統籌考慮和規劃,再結合電子商務的安全技術,總結出校園電子商務安全體系結構。
在校園電子商務安全體系結構中,人文環境層包括現有的電子商務法律法規以及學校電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環境;基礎設施層包括校園網、虛擬專網VPN和認證中心;邏輯實體層包括校園一卡通、支付網關、認證服務器和交易服務器;安全機制層包括加密技術、認證技術以及安全協議等電子商務安全機制;應用系統層即校園電子商務平臺,包括網上交易、支付和配送服務等。針對上述安全體系結構,具體的方案有:
1、營造良好的校園人文環境。加強大學生的道德教育,培養校園電子商務參與者們的信息文化知識與素養、增強高校師生的法律意識和道德觀念,共同營造良好的校園電子商務人文環境,防止人為惡意攻擊和破壞。
2、建立良好的網上支付環境。目前,我國高校大都建立了校園一卡通工程,校園電子商務系統可以采用一卡通或校園電子賬戶作為網上支付的載體,而不需要與銀行等金融系統互聯,由學校結算中心專門處理與金融機構的業務,可以大大提高校園網上支付的安全性。
3、建立統一身份認證系統。建立校園統一身份認證系統可以為校園電子商務系統提供安全認證的功能。
4、組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內部或校園附近,只需要很少的人員就可以解決物流配送問題,而不需要委托第三方物流公司,在校園內建立一個物流配送團隊就可以準確、及時地完成配送服務。
(二)校園網絡安全對策。保障校園網絡安全的主要措施有:
1、防火墻技術。利用防火墻技術來實現校園局域網的安全性,以解決訪問控制問題,使只有授權的校園合法用戶才能對校園網的資源進行訪問,防止來自外部互聯網對內部網絡的破壞。
2、病毒防治技術。在任何網絡環境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網雖然是局域網,可是也免不了計算機病毒的威脅。因此,加強病毒防治是保障校園網絡安全的重要環節。
3、VPN技術。目前,我國高校大都已經建立了校園一卡通工程,如果能利用VPN技術建立校園一卡通專網,就能大大提高校園信息安全、保證數據的安全傳輸,有效地保證網絡的安全性和穩定性,且易于維護和改進。
(三)交易信息安全對策。針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數據加密技術、認證技術和安全協議技術等。通過數據加密,可以保證信息的機密性;通過采用數字摘要、數字簽名、數字信封、數字時間戳和數字證書等安全機制來解決信息的完整性和不可否認性的問題;通過安全協議方法,建立安全信息傳輸通道來保證電子商務交易過程和數據的安全。
1、數據加密技術。加密技術是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數據的機密,主要有對稱加密和非對稱加密。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。
2、認證技術。認證技術是保證電子商務交易安全的一項重要技術,它是網上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務中,網上交易認證可以通過校園統一身份認證系統(如校園一卡通系統)來進行對交易各方的身份認證。
3、安全協議技術。目前,電子商務發展較成熟和實用的安全協議是SET和SSL協議。通過對SSL與SET兩種協議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數據,不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數據的安全。
(四)基于一卡通的校園電子商務。目前,我國高校校園網建設和校園一卡通工程建設逐步完善,使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:
1、校園網。它是一個內部網絡,它自身已經屏蔽了絕大多數來自公網的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設施,來自外部網絡人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。
2、校園一卡通。它具有統一身份認證系統,能夠對參與交易的各方進行身份認證,各方的交易活動受到統一的審計和監控,統一身份認證能夠保證網上工作環境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權,使其網上活動受到其身份的限制,有效防止一些惡意事情的發生。同時,由于校內人員身份單一,多為學生,交易中一旦發生糾紛,身份容易確認,糾紛就容易解決。
四、結束語
開展校園電子商務是推進校園信息化建設的重要內容,隨著我國校園信息化建設的不斷深入,目前已有許多高校開展了校園電子商務,它極大地方便了校園內師生員工的工作、學習、生活。可是與此同時,安全問題成為制約校園電子商務發展的障礙。因此,如何建立一個安全、便捷的校園電子商務應用環境,讓師生能夠方便可靠地進行校園在線交易和網上支付,是當前校園電子商務發展應著重研究的關鍵問題。
(作者單位:1.陜西理工學院;2.重慶大學經濟與工商管理學院)
主要參考文獻:
[1]李洪心.電子商務安全[M].大連:東北財經大學出版社,2008.
[2]楊堅爭,趙雯,楊立釩.電子商務安全與電子支付[M].北京:機械工業出版社,2008.
[3]劉克強.電子交易與支付[M].北京:人民郵電出版社,2007.
[4]Charlie Kaufman,Radia Perlman,MikeSpeciner著,許劍卓等譯.網絡安全-公眾世界中的秘密通信[M].北京:電子工業出版社,2004.
[5]張紅霞,宋德昌.校園電子商務如何建設[J].信息系統工程,2005.7.
[6]朱乾鋒.淺談“一卡通”技術[J].科技創新導報,2009.9.
[7]丁學君.電子商務中的信息安全問題及其對策[J].計算機安全,2009.2.
[8]余紹軍,彭銀香.電子商務安全與數據加密技術淺析[J].中國管理信息化(綜合版),2007.4.
[9]王俊杰.電子商務安全問題及其應對策略[J].特區經濟,2007.7.
[10]秦昌友.淺析電子商務的安全技術[J].蘇南科技開發,2007.8.
[關鍵詞] 網絡安全 事件 安全對策
隨著網絡時代的到來,越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。在國家計算機網絡應急技術處理協調中心(CNCERT/CC)2005處理的網絡安全事件報告中,網頁篡改占45.91%,網絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務的所有參與者十分關心的話題。
一、電子商務中的主要網絡安全事件分析
歸納起來,對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等,網頁篡改、網絡仿冒(Phishing),逐步成為影響電子商務應用與發展的主要威脅。
1.網頁篡改
網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.網絡仿冒(Phishing)
網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三國的郵件服務器來發送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現在網絡仿冒犯罪的主要趨勢之一。
3.網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其他系統進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
4.拒絕服務攻擊(Dos)
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
5.特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界聯接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其他系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
二、解決電子商務中網絡安全問題的對策研究
隨著網絡應用日益普及和更為復雜,網絡安全事件不斷出現,電子商務的安全問題日益突出,需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發展。
1.進一步完善法律與政策依據 充分發揮應急響應組織的作用
我國目前對于互聯網的相關法律法規還較為欠缺,尤其是互聯網這樣一個開放和復雜的領域,相對于現實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。根據互聯網的體系結構和網絡安全事件的特點,需要建立健全協調一致,快速反應的各級網絡應急體系。要制定有關管理規定,為網絡安全事件的有效處理提供法律和政策依據。
互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯網應急響應組織,目前已經建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,Forum of Incident Response and Security Teams)等國際機構的成員。應急響應組織通過發揮其技術優勢,利用其支撐單位,即國內主要網絡安全廠商的行業力量,為相關機構提供網絡安全的咨詢與技術服務,共同提高網絡安全水平,能有效減少各類的網絡事件的出現;通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。
2.從網絡安全架構整體上保障電子商務的應用發展
網絡安全事件研究中看到,電子商務的網絡安全問題不是純粹的計算機安全問題,從企業的角度出發,應該建立整體的電子商務網絡安全架構,結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。
安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護,通常是一些基本的防護,不具有實時性,如在防火墻的規則中實施一條安全策略,禁止所有外部網用戶到內部網Web服務器的連接請求,一旦這條規則生效,它就會持續有效,除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
安全監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,網絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向,以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。可以這樣說,安全保護是基本,安全監控和審計是其有效的補充,兩者的有效結合,才能較好地滿足動態安全的需要。
事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分,因為網絡構筑沒有絕對的安全,安全事件的發生是不可能完全避免的,當安全事件發生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發生。當安全事件發生后,對系統可能會造成不同程度的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制能盡快恢復系統的正常應用,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。
三、結論
Internet的快速發展,使電子商務逐漸進入人們的日常生活,而伴隨各類網絡安全事件的日益增加與發展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環境,解決好電子商務應用與發展的網絡安全問題必將對保障和促進電子商務的快速發展起到良好的推動作用。
參考文獻:
[1]CNCERT/CC.2005年上半年網絡安全工作報告
[2]李 衛:計算機網絡安全與管理.北京:清華大學出版社,2000
[3]李海泉:計算機網絡安全與加密技術.北京:科學出版社,2001
論文摘要:隨著互聯網技術的蓬勃發展,基于網絡和多媒體技術的電子商務應運而生并迅速發展。所謂電子商務通常是指是在全球各地廣泛的商業貿易活動中,在因特網開放的網絡環境下,基于瀏覽器/服務器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網土購物、商戶之間的網交易和在線電子支付以及各種商務活動和相關的綜合服務活動的一種新型的商業運營模式。信息技術和計算機網絡的迅猛發展使電子商務得到了極大的推廠,然而由于互聯網的開放性,網絡安全問題日益成為制約電子商務發展的一個關鍵性問題。
一、電子商務網絡信息安全存在的問題
電子商務的前提是信息的安全性保障,信息安全,勝的含義主要是信息的完整性、可用性、保密險和可靠性。因此電子商務活動中的信安全問題主要體現在以兩個方面:
1、網絡信息安全方面
(l)安全協議問題。目前安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。
(4)服務器的安全問題。裝有大量與電子商務有關的軟件和商戶信息的系統服務器是電子商務的核心,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果會非常嚴重。
2、電子商務交易方面
(1)身份的不確定問題。由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
二、電子商務中的網絡信息安全對策
1、電子商務網絡安全的技術對策
(1)應用數字簽名。數字簽名是用來保證信息傳輸過程中信息的完整和提供信息發送者身份的認證,應用數字簽名可在電子商務中安全,方便地實現在線支付,而數據傳輸的安全性、完整性,身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。(2)配置防火墻。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞你的重要信息。它能控制網絡內外的信息交流,提供接人控制和審查跟蹤,是一種訪問控制機制。在邏輯,防火墻是一個分離器、限制器,能有效監控內部網和工nternet之間的任何活動,保證內部網絡的安全。
(3)應用加密技術。密鑰加密技術的密碼體制分為對稱密鑰體制和公用密鑰體制兩。相應地,對數據加密的技術分為對稱加密和非討稱力日密兩類。根據電子商務系統的特點,全面加密保護應包括對遠程通信過程中和網內通信過程中傳輸的數據實施加密保護。一般來說,應根據管理級別所對應的數據保密要求進行部分加密而非全程加密。
2、電子商務網絡安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮,根據輕重程度劃分好不同的保密級別,并制定出相應的保密措施。
(2)建立系統維護制度。該制度是電子商務網絡系統能否保持長期安全、穩定運行的基本保證,應由專職網絡管理技術人員承擔,為安全起見,其他任何人不得介人,主要做好硬件系統日常借理維護和軟件系統日常管理維護兩方面的工作。
(3)建立病毒防范制度。病毒在網絡環境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時升級防病毒軟件版本、及時通報病毒人侵信息等工作。此外,還可將網絡系統中易感染病毒的文件屬性、權限加以限制,斷絕病毒人侵的渠道,從而達預防的目的。
(4)建立數據備份和恢復的保障制度。作為一個成功的電子商務系統,應針對信息安全至少提供三個層面的安全保護措施:一是數據在操作系統內部或者盤陣中實現快照、鏡像;二是對數據庫及郵件服務器等重要數據做到在電子交易中心內的自動備份;三是對重要的數據做到通過廣域網專線等途徑做好數據的克隆備份,通過以土保護措施可為系統數據安全提供雙保險。
三、電子商務的網絡安全體系結構
電子商務的網絡信息安全不僅與技術有關,更與社會因素、法制環境等多方面因素有關。故應對電子商務的網絡安全體系結構劃分如下:
1.電子商務系統硬件安全。主要是指保護電子商務系統所涉及計算機硬件的安全性,保證其可靠哇和為系統提供基礎性作用的安全機制。
2.電子商務系統軟件安全。主要是指保證交易記錄及相關數據不被篡改、破壞與非法復制,系統軟件安全的目標是使系統中信息的處理和傳輸滿足整個系統安全策略需求。
3.電子商務系統運行安全。主要指滿足系統能夠可靠、穩定、持續和正常的運行。
4.電子商務網絡安全的立法保障。結合我國實際,借鑒國外先進網絡信息安全立法、執法經驗,完善現行的網絡安全法律體系。