导航: >> 安全论文>> 电力安全论文>>正文

探讨电子商务的安全与防护措施

  
评论: 更新日期:2015年12月28日

  [摘要] 随着个人计算机、计算机网络、互联网和电子商务的蓬勃发展,如果不对它们进行妥善的保护,它们将越来越容易受到具有破坏性的攻击的危害。黑客、病毒,甚至人为故障都会给网络带来巨大的威胁。电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
       [关键词] 计算机网络 互联网 电子商务 安全 保护 一、安全的重要性以及存在的安全问题及其原因
    撰写者        
                                             2011年12月20  日
      随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务(Electronic Commerce, EC)就是借助于公共网络,如Internet或开放式计算机网络(Open Computer Network)进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看,信息安全问题是保障电子商务的生命线。
      1电子商务信息安全现存的问题
      电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在:
       1.电子商务安全问题的产生。(1)在线交易主体虚拟化带来的安全问题:在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全受到严重威胁。(2)虚假信息的发布带来的安全问题:当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。(3)过低的信用度带来的安全问题:①低信用度的买方带来的安全问题:低信用度的买方,可能存恶意透支或使用伪造的信用卡骗取卖方货物或存在拖延货款行为,卖方需要为此承担风险。②低信用度的买方带来的安全问题:卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。③低信用度的买卖双方都存在抵赖的情况。(4)网络欺诈的存在带来的安全问题:在电子交易活动中频繁欺诈用户这是网络骗子们常用的骗术,利用电子商务进行欺诈已经成为一种新型犯罪活动,目前这种网上欺诈也已经成为国际性的难题。(5)电子合同取代书面合同过程中带来的安全问题:在在线交易情形下,交易双方的所有信息都是以电子化的形式存储于计算机硬盘或其他电子介质中,这些记录不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。由此而引发诸多方面的安全问题(6)网上电子支付过程带来的安全问题:完电子商务的网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。(7)产品交付过程带来的安全问题:有形货物的在线交易中物流配送环节引发的一些特殊问题及无形的信息产品在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。(8)网络消费者维权时引发的安全问题:在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。比如质量问题,退赔、修理困难问题等。(9)网络恶意攻击者的破坏活动带来的安全问题:包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒绝服务、否认等。
      2.电子商务对安全环境的要求。(1)确保信息的安全要求包括有效性、机密性、完整性、可靠性/不可抵赖性/鉴别等;(2)确保授权合法性;(3)确保交易者身份的确定性;(4)确保内部网的严密性。
      二、电子商务的安全防范策略
      经过数十年的探索,电子商务安全防范策略从最初的商务信息保密性发展到商务信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。目前,电子商务安全领域已经形成了9大核心技术,它们是:密码技术、身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病毒技术、信息泄露防治技术、网络安全漏洞扫描技术、入侵检测技术。
         1.电子商务的主要安全技术。
              (1)加密技术。加密技术解决了传送信息的保密问题,可分对称加密和非对称加密。对称加密是一种传统的信息认证方法,通过信息交换的双方共同约定一个口令或一组密码,建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方,乙方用相同的私钥解密后获得甲方传递的信息。对称加密采用的主要加密算法有DES数据加密标准、三重DES,IDEA,和AES(高级加密算法)等。其最大优势是加/解密速度快, 适合于对大数据量进行加密,但密钥管理困难。非对称加密又称公开密钥加密,它使用一把公开发布的公开密钥和一把只能由生成密钥对的贸易方掌握的私用密钥来分别完成加密和解密操作。如贸易的甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易的方乙使用该密钥对信息进行加密后发送给甲方;甲方再用自己保存的另一把私用密钥对加密信息进行解密。公钥密码技术是密码技术核心,主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。优点是机制灵活,但加密和解密速度慢。
    电子商务安全是信息安全的上层应用,它包括的技术范围比较广,主要分为数据加密技术和身份认证技术两大类。
    2.1数据加密技术
    加密。加密方法多种多样,在网络信息中一般是利用信息变换规则把明文的信息变成密文的信息。既可对传输信息加密,也可对存储信息加密,把计算机数据变成一堆乱七八糟的数据,攻击者即使得到经过加密的信息,也不过是一串毫无意义的字符。加密可以有效地对抗截收、非法访问等威胁。
     2.1.1常规密钥密码加密。所谓常规密钥密码加密,即加密密钥与解密密钥是相同的。
      在早期的常规密钥密码体制中,典型的有代替密码,其原理可以用一个例子来说明:字母A,B,C,D,…,W,X,Y,Z的自然顺序保持不变,但使之与D,E,F,G,…,Z,A,B,C分别对应(即相差3个字符)。若明文为WELL则对应的密文为ZHOO(此时密钥为3)。
      由于英文字母中各字母出现的频度早已有人进行过统计,所以根据字母频度表可以很容易对这种代替密码进行破译。
      2.1.2对称密文加密。对称密钥加密又称为秘密密钥加密,即收发双方采用相同的密钥来进行加密和解密,如图1所示。
      对称密钥加密的最大优点是加解密速度快,适合于进行大量数据加密,但也存在密钥管理、发布困难以及无法进行身份鉴别的缺点。
      2.1.3非对称密钥加密。非对称密钥加密也称为公开密钥加密,每个用户有一对密钥:一个用于加密,一个用于解密,两把密钥实际上是两个很大的质数,加解密过程如图2所示。
      其中,加密密钥(公钥)可以在网络服务器、报刊等场合公开,而解密密钥(私钥)则属用户的私有密钥,由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。
      与对称密钥加密相比,采用非对称密钥加密方式密钥管理较方便,且保密性比较强,但加解密实现速度比较慢,不适用于通信负荷较重的应用。
    2.数字签名。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议,使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方宣称的身份;发送方以后不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术,发送方对整个明文进行加密变换,得到一个值,将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方身份是真实的。数字签名解决了而防止他人对传输的文件进行破坏,以及如何确定发信人的身份的问题。数字签名与书面文件签名有相同功效,它代表了文件的特征,文件如果发生改变,数字签字的值也将发生变化,不同的文件将得到不同的数字签字。数字签名是采用双重加密的方法,通过流程:A、被发送文件用 SHA编码加密产生128 bit的数字摘要;B、发送方用自己的私用密钥对摘要再加密,形成数字签名;C、将原文和加密的摘要同时传给对方;D、对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要;E、将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。最终实现了防伪、防抵赖。
    3.鉴别。鉴别的目的是验明用户或信息的正身。对实体声称的身份进行惟一识别,以便  验证其访问请求,或保证信息来源以验证消息的完整性,有效地对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同,鉴别技术可以分为消息鉴别和通信双方相互鉴别;按照鉴别内容不同,鉴别技术可以分为用户身份鉴别和消息内容鉴别。鉴别的方法很多:利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份,防止冒充
    、非法访问;当今最佳的鉴别方法是数字签名。
    4.访问控制。访问控制的目的是防止非法访问。访问控制是采取各种措施保证系统资源不被非法访问和使用。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。5.防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公共网络的互联环境中。大型网络系统与Internet互联的第一道屏障就是防火墙。防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,其基本功能为:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
      总之,随着时间的推移,越来越多的新技术将用于进一步地提高业务和通信的效率。如果企业始终站在这种新型技术的前列,并能够防御最新的安全威胁和攻击,网络所带来的好处必然将远远超过它所带来的风险。
      加密技术是保证电子商务中采用的主要安全措施,交易双方可根据需要在信息交换阶段使用。在一个加密过程中有两个基本元素:算法和密钥。加密过程就是根据一定的算法,将可理解的数据(明文)与一串数字(密钥)相结合,从而产生不可理解的密文的过程
      (2)数字时间戳。数字时间戳服务提供了对电子文件发表时间的安全保护,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。时间戳形成的流程为:①用户将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS;②DTS在加人了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。数字时间戳是由认证单位DTS来加的,以DTS收到文件的时间为依据。
      (3)数字证书。数字证书是由CA认证中心签发的,用电子手段来证实一个用户的身份和对网络资源的访问权限的凭证。CA认证中心是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。数字证书为电子签名相关各方提供真实、可靠验证的公众服务,解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行。在网上的电子交易中,如双方出示了各自的数字证书,就可用它来进行安全交易操作了。
      (4)防火墙技术。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,它可以阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出,是最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。防火墙有两个基本准则:一是未被允许的就是禁止的;二是未被禁止的就是允许的。基于该准则, 防火墙应转发所有信息流, 然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境, 可为用户提供更多的服务。

网友评论 more
创想安科网站简介会员服务广告服务业务合作提交需求会员中心在线投稿版权声明友情链接联系我们
Baidu
map