序言:寫作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的電子商務(wù)安全事件樣本���,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)���,請(qǐng)盡情閱讀�����。
第1篇
一、私有密鑰加密法
(一)含義
私有密鑰加密,指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對(duì)信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對(duì)收到的密文M進(jìn)行解密,得到明文信息,從而完成密文通信目的的方法��。這種信息加密傳輸方式,就稱為私有密鑰加密法�。此加密法的一個(gè)最大特點(diǎn)是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對(duì)稱性,所以私有密鑰加密又稱為對(duì)稱密鑰加密。
(二)應(yīng)用原理
具體到電子商務(wù),很多環(huán)節(jié)要用到私有密鑰加密法��。例如,在兩個(gè)商務(wù)實(shí)體或兩個(gè)銀行之間進(jìn)行資金的支付結(jié)算時(shí),涉及大量的資金流信息的傳輸與交換�����。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來(lái)描述應(yīng)用私有密鑰加密法的過(guò)程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復(fù)制一份密鑰A借助一個(gè)安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文����。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結(jié)束通信��。
(三)常用算法
世界上一些專業(yè)組織機(jī)構(gòu)研發(fā)了許多種私有密鑰加密算法,比較著名的有DES(DataEncryptionStandard,數(shù)據(jù)加密標(biāo)準(zhǔn))算法及其各種變形、國(guó)際數(shù)據(jù)加密算法IDEA等�。DES算法由美國(guó)國(guó)家標(biāo)準(zhǔn)局提出,1977年公布實(shí)施,是目前廣泛采用的私有密鑰加密算法之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬����、軍事定點(diǎn)通信等領(lǐng)域,比如電子支票的加密傳送。經(jīng)過(guò)20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計(jì)算機(jī)技術(shù)進(jìn)步,對(duì)DES的破解方法也日趨有效,所以更安全的高級(jí)加密標(biāo)準(zhǔn)AES(AdvancedEncryptionStandard��,先進(jìn)加密標(biāo)準(zhǔn))將會(huì)替代DES成為新一代加密標(biāo)準(zhǔn)。
(四)優(yōu)缺點(diǎn)
私有密鑰加密法的主要優(yōu)點(diǎn)是運(yùn)算量小,加解密速度快,由于加解密應(yīng)用同一把密鑰而應(yīng)用簡(jiǎn)單�����。在專用網(wǎng)絡(luò)中由于通信各方相對(duì)固定、所以應(yīng)用效果較好����。但是,私有密鑰加密技術(shù)也存在著以下一些問(wèn)題:一是分發(fā)不易�����。由于算法公開(kāi),其安全性完全依賴于對(duì)私有密鑰的保護(hù)�����。因此,密鑰使用一段時(shí)間后就要更換,而且必須使用與傳遞加密文件不同的途徑來(lái)傳遞密鑰,即需要一個(gè)傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對(duì)的,通過(guò)電話通知�����、郵寄軟盤��、專門派人傳送等方式均存在一些問(wèn)題��。二是管理復(fù)雜,代價(jià)高昂�����。私有密鑰密碼體制用于公眾通信網(wǎng)時(shí),每對(duì)通信對(duì)象的密鑰不同,必須由不被第三者知道的方式,事先通知對(duì)方�����。隨著通信對(duì)象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對(duì)象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問(wèn)題����。三是難以進(jìn)行用戶身份的認(rèn)定�。采用私有密鑰加密法實(shí)現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機(jī)密性問(wèn)題,并不能認(rèn)證信息發(fā)送者的身份���。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息。在電子商務(wù)中,有可能存在欺騙,別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令����。因此,必須經(jīng)常更換密鑰,以確保系統(tǒng)安全。四是采用私有密鑰加密法的系統(tǒng)比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對(duì)數(shù)據(jù)進(jìn)行加解密處理,提供數(shù)據(jù)的機(jī)密性,不能用于數(shù)字簽名�。
二���、公開(kāi)密鑰加密法
(一)定義與應(yīng)用原理
公開(kāi)密鑰加密法是針對(duì)私有密鑰加密法的缺陷而提出來(lái)的���。是電子商務(wù)應(yīng)用的核心密碼技術(shù)。所謂公開(kāi)密鑰加密,就是指在計(jì)算機(jī)網(wǎng)絡(luò)上甲�、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對(duì)信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用另一把密鑰B對(duì)收到的密文M進(jìn)行解密,得到明文信息完密文通信目的的方法����。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對(duì)網(wǎng)絡(luò)上的大眾用戶是公開(kāi)的,所以這種信息加密傳輸方式,就稱為公開(kāi)密鑰加密法��。與私有(對(duì)稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開(kāi)密鑰加密法的加密與解密所用密鑰是不同的,不對(duì)稱,所以公開(kāi)私有密鑰加密法又稱為非對(duì)稱密鑰加密法。公開(kāi)密鑰加密法的應(yīng)用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學(xué)上相關(guān),對(duì)稱作密鑰對(duì)����。用密鑰對(duì)其中任何一個(gè)密鑰加密時(shí),可以用另一個(gè)密鑰解密,而且只能用此密鑰對(duì)其中的另一個(gè)密鑰解密����。在實(shí)際應(yīng)用中,某商家可以把生成的密鑰A與密鑰B做一個(gè)約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過(guò)網(wǎng)絡(luò)公開(kāi)散發(fā)出去,誰(shuí)都可以獲取一把并能應(yīng)用,屬于公開(kāi)的共享密鑰,叫做公開(kāi)密鑰。如果一個(gè)人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來(lái)加密傳送給那個(gè)人的消息�。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對(duì)密文進(jìn)行解密,而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰�����。存在下面兩種應(yīng)用情況:一是任何一個(gè)收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發(fā)送給這個(gè)商家,那么這些加密信息就只能被這個(gè)商家的私人密鑰A解密��。實(shí)現(xiàn)保密性���。二是商家利用自己的私人密鑰A對(duì)要發(fā)送的信息進(jìn)行加密進(jìn)成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個(gè)加密信息就只能被公開(kāi)密鑰B解密。這樣,由于只能應(yīng)用公開(kāi)密鑰B解密,根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運(yùn)用了私人密鑰A進(jìn)行加密的結(jié)果,而私人密鑰A只有商家擁有,由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰A的商家發(fā)送的。
(二)應(yīng)用過(guò)程
具體到電子商務(wù),很多環(huán)節(jié)要用到公開(kāi)密鑰加密法,例如在網(wǎng)絡(luò)銀行客戶與銀行進(jìn)行資金的支付結(jié)算操作時(shí),就涉及大量的資金流信息的安全傳輸與交換��。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例,來(lái)描述應(yīng)用公開(kāi)密鑰加密法在兩種情況下的使用過(guò)程。首先,網(wǎng)絡(luò)銀行乙通過(guò)公開(kāi)密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開(kāi)密鑰B,私人密鑰A由網(wǎng)絡(luò)銀行乙自己獨(dú)自保存,而公開(kāi)密鑰B已經(jīng)通過(guò)網(wǎng)絡(luò)某種應(yīng)用形式(如數(shù)字證書(shū))分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶,當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開(kāi)密鑰B���。
1.客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙,要求
“支付通知”在傳送中是密文,并且只能由網(wǎng)絡(luò)銀行乙解密知曉,從而實(shí)現(xiàn)了定點(diǎn)保密通信����。客戶甲利用獲得的公開(kāi)密鑰B在本地對(duì)“支付通知”明文進(jìn)行加密,形成“支付通知”密文,通過(guò)網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙�����。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進(jìn)行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的。
2.網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后,必須回送客戶甲“支付確認(rèn)”,客戶甲在收到“支付確認(rèn)”后,斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來(lái)的,而不是別人假冒的,將來(lái)可作支付憑證,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認(rèn)證,網(wǎng)絡(luò)銀行不能隨意否認(rèn)或抵賴����。網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后,準(zhǔn)備一個(gè)“支付確認(rèn)”明文,在本地利用自己的私人密鑰A對(duì)“支付確認(rèn)”明文進(jìn)行加密,形成“支付確認(rèn)”密文,通過(guò)網(wǎng)絡(luò)將密文傳輸給客戶甲����。客戶甲收到“支付確認(rèn)”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開(kāi)密鑰B進(jìn)行解密,形成“支付確認(rèn)”明文,由于公開(kāi)密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網(wǎng)絡(luò)銀行乙所有,因此客戶甲斷定這個(gè)“支付確認(rèn)”只能是網(wǎng)絡(luò)銀行乙發(fā)來(lái)的,不是別人假冒的,可作支付完成的憑證�����。
(三)算法
當(dāng)前最著名����、應(yīng)用最廣泛的公開(kāi)密鑰系統(tǒng)是RSA(取自三個(gè)創(chuàng)始人的名字的第一個(gè)字母)算法�,RSA算法是第一個(gè)能同時(shí)用于加密和數(shù)字簽名的算法��,也易于理解和操作�。目前電子商務(wù)中大多數(shù)使用公開(kāi)密鑰加密法進(jìn)行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法����。RSA算法是基于大數(shù)的因子分解,而大數(shù)的因子分解是數(shù)學(xué)上的一個(gè)難題,其難度隨著模數(shù)n的位數(shù)加多而提高�,網(wǎng)絡(luò)交易安全隨之提高��。(四)優(yōu)缺點(diǎn)優(yōu)點(diǎn)是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與過(guò)程中即使被截獲,由于沒(méi)有與公鑰相匹配的私鑰,截獲公鑰也沒(méi)有意義。能夠解決信息的否認(rèn)與抵賴問(wèn)題,身份認(rèn)證較為方便�����。密鑰分配簡(jiǎn)單,公開(kāi)密鑰可以像電話號(hào)碼一樣,告訴每一個(gè)網(wǎng)絡(luò)成員,商業(yè)伙伴需要好好保管的只是一個(gè)私人密鑰���。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便�����。最大的缺陷就在于它的加解密速度慢�����。
第2篇
本文通過(guò)對(duì)不同電子商務(wù)強(qiáng)度的公司做網(wǎng)絡(luò)安全投資回報(bào)計(jì)算,進(jìn)而在經(jīng)濟(jì)性的基礎(chǔ)上��,對(duì)采用各種主要措施來(lái)加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范進(jìn)行評(píng)價(jià),從而幫助企業(yè)在投資網(wǎng)絡(luò)安全上做有效選擇,此研究無(wú)論從理論上還是實(shí)踐上都具有重要的現(xiàn)實(shí)意義��。
[關(guān)鍵詞] 投資 網(wǎng)絡(luò)安全 經(jīng)濟(jì)性
筆者所在公司的計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)常會(huì)遇到各種各樣的安全問(wèn)題��,主要包括病毒感染�����、惡意攻擊和疏忽大意����。公司內(nèi)部建立了一個(gè)局域網(wǎng),有400多臺(tái)電腦通過(guò)一個(gè)服務(wù)器與外網(wǎng)連接,同時(shí)�,公司有自己的OA系統(tǒng)和正式對(duì)外信息的網(wǎng)站,這些都對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性提出了較高要求���。
幾年來(lái)���,我在管理公司整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的過(guò)程中����,在為地稅系統(tǒng)做安全服務(wù)時(shí)�����,參照研究了國(guó)內(nèi)外一些主要從事電子商務(wù)網(wǎng)站的經(jīng)驗(yàn)(主要是阿里巴巴網(wǎng)站和CISCO公司)�,并根據(jù)本企業(yè)實(shí)際情況和經(jīng)常發(fā)生的安全問(wèn)題����,采取了一些較為適用的安全防范措施。在不斷的選用和比較中���,我對(duì)投資網(wǎng)絡(luò)安全所帶來(lái)的經(jīng)濟(jì)回報(bào)有了一定的認(rèn)識(shí)。
事實(shí)上���,許多企業(yè)都愿意采用一個(gè)相對(duì)通用的方案來(lái)評(píng)價(jià)在網(wǎng)絡(luò)安全活動(dòng)和過(guò)程中的投資行為��,一般是由一個(gè)專門的部門用多年時(shí)間來(lái)搜集數(shù)據(jù),然后幫助企業(yè)形成一個(gè)結(jié)構(gòu)良好的通用的投資回報(bào)分析報(bào)告�。處理這些通用數(shù)據(jù)需要一些步驟�,如下所示:
1.分析潛在經(jīng)濟(jì)影響
2.明確電子商務(wù)強(qiáng)度
3.檢驗(yàn)安全成本
4.計(jì)算一個(gè)通用的安全投資回報(bào)
一、分析潛在經(jīng)濟(jì)影響
對(duì)于病毒和入侵�,企業(yè)一般面臨三種類型的經(jīng)濟(jì)性影響――直接性經(jīng)濟(jì)影響�����、短期性經(jīng)濟(jì)影響和長(zhǎng)期性經(jīng)濟(jì)影響����。據(jù)國(guó)家公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示,2005年5月~2006年5月間,有54%的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件����,其中��,感染計(jì)算機(jī)病毒���、蠕蟲(chóng)和木馬程序的安全事件為84%��,遭到端口掃描或網(wǎng)絡(luò)攻擊的占36%����,垃圾郵件占35%�����。未修補(bǔ)和防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最突出原因����,占發(fā)生安全事件總數(shù)的73%�����。
對(duì)于一個(gè)以網(wǎng)絡(luò)為支撐的�����、單一業(yè)務(wù)的企業(yè),惡意攻擊給其帶來(lái)的經(jīng)濟(jì)性影響如表1所示����。
表 1
來(lái)源: 《公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局》
在提交公司的調(diào)研報(bào)告上���,我參照研究了《計(jì)算機(jī)經(jīng)濟(jì)》上的數(shù)據(jù),如表2所示��。如果針對(duì)惡意攻擊��,企業(yè)沒(méi)有采用足夠的安全防護(hù)���,那些能夠預(yù)測(cè)到發(fā)生的平均經(jīng)濟(jì)影響?���?梢钥闯觯瑢?duì)電子商務(wù)技術(shù)依賴的越多����,惡意攻擊所帶來(lái)的負(fù)面經(jīng)濟(jì)影響就越大(表中節(jié)點(diǎn)數(shù)是指連接到網(wǎng)絡(luò)上的設(shè)備)���。
表2
來(lái)源:《計(jì)算機(jī)經(jīng)濟(jì)》
表中的結(jié)果是過(guò)去五年的歷史數(shù)據(jù)所做的平均值,主要包括清除被惡意代碼感染系統(tǒng)的成本�����,黑客攻擊和入侵的恢復(fù)成本�����,收入損失和員工生產(chǎn)率降低�����。我公司屬于低強(qiáng)度電子商務(wù)公司����,有500個(gè)節(jié)點(diǎn)�����,從2005年、2006年兩年的各種安全技術(shù)��、設(shè)備的使用對(duì)比中發(fā)現(xiàn):惡意攻擊給我公司帶來(lái)的經(jīng)濟(jì)影響要相對(duì)小于表2提供的數(shù)據(jù),但如果算上短期經(jīng)濟(jì)影響����,基本符合了數(shù)值取向。阿里巴巴網(wǎng)站算是一家高強(qiáng)度電子商務(wù)公司���,由于其具備網(wǎng)上實(shí)時(shí)交易的特性�,所以它的安全等級(jí)要求極高���,而根據(jù)該公司曾提及的蠕蟲(chóng)病毒等網(wǎng)絡(luò)攻擊給其帶來(lái)的損失來(lái)看��,要遠(yuǎn)大于表2提供數(shù)據(jù)。
二�、明確電子商務(wù)的強(qiáng)度
在明確一家企業(yè)電子商務(wù)強(qiáng)度的時(shí)候�,需要考慮的�����、能支持該公司電子商務(wù)強(qiáng)度的因素如下:
1.信息系統(tǒng)員工崗位是否多樣化
2.是否有合適的電子商務(wù)軟件
3.是否有自己的網(wǎng)站�、有多條互聯(lián)網(wǎng)接入
4.是否用信息技術(shù)支持電子通信
5.是否有基于網(wǎng)絡(luò)的B2B�、B2C交易
6.是否通過(guò)網(wǎng)站進(jìn)行電子數(shù)據(jù)交換
7.是否支持通過(guò)直接撥號(hào)與供應(yīng)商���、消費(fèi)者進(jìn)行電子數(shù)據(jù)交換
三、安全成本有哪些
花費(fèi)在安全方面的IT預(yù)算很難確定標(biāo)準(zhǔn)��。近來(lái)大部分的研究表明,多數(shù)企業(yè)在安全方面花費(fèi)不足2%的IT預(yù)算���。在企業(yè)內(nèi),系統(tǒng)的可用性�����、數(shù)據(jù)的完整性和保密性都極度重要,國(guó)內(nèi)有些專家呼吁��,企業(yè)應(yīng)花費(fèi)其IT預(yù)算總額的5%用于安全。
事實(shí)上���,安全方面的預(yù)算支出常常是一個(gè)經(jīng)驗(yàn)值,通過(guò)一些基礎(chǔ)數(shù)據(jù)��,逐步摸索出一個(gè)相對(duì)經(jīng)濟(jì)的安全防范成本。安全防范的成本可以被劃分為許多子類��,而且不同的企業(yè)差異也很大���。
四�、計(jì)算一個(gè)通用的安全投資回報(bào)
當(dāng)要計(jì)算安全投資回報(bào)時(shí),一定要考慮使用一些變量��。首先應(yīng)該考慮的是耗費(fèi)在安全方面的資金量����。其次,明確當(dāng)前的威脅水平�����,或者至少是知道當(dāng)前的威脅大概什么樣��。最后,還有法律��、法規(guī)和安全的要求���,這需要不同類型的組織采取一些有效措施來(lái)保護(hù)信息免受攻擊���。為達(dá)到合法�、合規(guī)的目的�,這些組織就需要花費(fèi)成本����,也許會(huì)超過(guò)平衡點(diǎn)��,以此來(lái)幫助企業(yè)告知當(dāng)前威脅水平(這點(diǎn)���,我們企業(yè)經(jīng)常會(huì)接到哈爾濱市網(wǎng)絡(luò)安全管理局定期的網(wǎng)絡(luò)病毒報(bào)告)。
在電子商務(wù)企業(yè)中���,惡意攻擊對(duì)潛在的經(jīng)濟(jì)影響是相當(dāng)大的�,這也增加企業(yè)對(duì)安全產(chǎn)品和相關(guān)人員的需求����。
五��、總結(jié)
如果能夠相對(duì)清晰地計(jì)算你的投資回報(bào)���,這將有利于你在網(wǎng)絡(luò)安全方面做正確的決定�,將擁有一個(gè)安全的基礎(chǔ)來(lái)進(jìn)行信息共享�����,可以通過(guò)電子商務(wù)來(lái)增加你的收入,可以通過(guò)提高人員效率來(lái)增加企業(yè)利潤(rùn)�����。
參考文獻(xiàn):
[1]張寬海:《電子商務(wù)概論》,機(jī)械工業(yè)出版社,2003年
[2]丘曉理:《部屬安全的無(wú)線局域網(wǎng)絡(luò)》����,摘自《計(jì)算機(jī)世界――技術(shù)與應(yīng)用》,2006年第37期
第3篇
隨著現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展����,電子商務(wù)得到了越來(lái)越廣泛的應(yīng)用����,越來(lái)越多的企業(yè)和個(gè)人用戶依賴于電子商務(wù)的高效和快捷而進(jìn)行著各種商務(wù)活動(dòng)���。電子商務(wù)順利開(kāi)展的核心和關(guān)鍵問(wèn)題是保證交易的安全性,這是網(wǎng)上交易的基礎(chǔ)����。電子商務(wù)是以計(jì)算機(jī)和開(kāi)放的網(wǎng)絡(luò)為基礎(chǔ)載體的��,大量重要的身份信息��、金融信息、交易信息都需要在網(wǎng)上進(jìn)行電子的傳輸,電子商務(wù)安全支付問(wèn)題成為大家共同關(guān)心的問(wèn)題�。伴隨著各種移動(dòng)終端和無(wú)線網(wǎng)絡(luò)的不斷發(fā)展和完善,移動(dòng)支付在不僅是一個(gè)重要的機(jī)遇�,同時(shí)也帶來(lái)了一個(gè)重大的挑戰(zhàn)�。
2電子商務(wù)及信息安全現(xiàn)狀
近年來(lái)���,電子商務(wù)開(kāi)始了蓬勃地發(fā)展,但電子商務(wù)安全隱患嚴(yán)重地影響了電子商務(wù)的進(jìn)行����。信息安全問(wèn)題成為制約我國(guó)電子商務(wù)發(fā)展的重要因素還是�����,因此,必須從技術(shù)上為電子商務(wù)交易活動(dòng)提供機(jī)密性�����、完整性、真實(shí)性和抗抵賴性等安全保障��。我們將從電子商務(wù)和信息安全兩個(gè)方面分別進(jìn)行討論�。
2.1 電子商務(wù)發(fā)展現(xiàn)狀
依據(jù)國(guó)家互聯(lián)網(wǎng)中心(CNNIC)的最新報(bào)告��,2013年網(wǎng)絡(luò)購(gòu)物市場(chǎng)繼續(xù)快速向前發(fā)展�,交易金額達(dá)到1.85萬(wàn)億元�����,較2012年增長(zhǎng)40.9%���。2013年網(wǎng)絡(luò)零售市場(chǎng)交易總額占社會(huì)消費(fèi)品零售總額的7.9%����。
截至2013年12月,我國(guó)網(wǎng)絡(luò)購(gòu)物用戶規(guī)模達(dá)到3.02億����,較上年增加5987萬(wàn)���,增長(zhǎng)率為24.7%�,使用率從42.9%提升至48.9%���。網(wǎng)購(gòu)用戶規(guī)模的快速擴(kuò)張為網(wǎng)購(gòu)市場(chǎng)的發(fā)展奠定良好的用戶基礎(chǔ)�,釋放著巨大的市場(chǎng)潛力。
2.2 信息安全現(xiàn)狀
近年來(lái)�,雖然安全軟件逐漸普及�、防范能力不斷加強(qiáng)���,但新的病毒、詐騙手段和騷擾手段不斷涌現(xiàn)�,安全軟件防范難度加大,安全事件發(fā)生概率仍然較高�。整體上來(lái)講�,我國(guó)信息安全環(huán)境仍不容樂(lè)觀,有74.1%的網(wǎng)民在過(guò)去半年內(nèi)遇到過(guò)安全事件��,總?cè)藬?shù)達(dá)4.38億��。
電腦網(wǎng)上購(gòu)物發(fā)生安全問(wèn)題的網(wǎng)民數(shù)占整體電腦上網(wǎng)人數(shù)的4.0%�����,影響人口達(dá)2010.6萬(wàn)人。電腦網(wǎng)上購(gòu)物發(fā)生安全事故較多的是遇到欺詐信息��,在網(wǎng)購(gòu)安全事故發(fā)生人群中的發(fā)生比例達(dá)75.0%����;其次為假冒網(wǎng)站/詐騙網(wǎng)站,比例為60.7%�����;其它方面����,個(gè)人信息泄露比例達(dá)42.9%、賬號(hào)密碼被盜比例達(dá)23.8%�、中病毒和木馬的情況為22.6%�。
網(wǎng)購(gòu)時(shí)發(fā)生這些安全事件����,不僅給購(gòu)物者造成損失����,同時(shí)也影響電子商務(wù)的健康發(fā)展�。
3電子支付安全
在電子商務(wù)的交易完成后,如何保證交易的任何一方無(wú)法否認(rèn)已發(fā)生的交易���。這些安全問(wèn)題將在很大程度上限制電子商務(wù)的進(jìn)一步發(fā)展�,因此如何保證Internet 網(wǎng)上信息傳輸?shù)陌踩殉蔀榘l(fā)展電子商務(wù)的重要環(huán)節(jié)。電子支付涉及到大量資金流的轉(zhuǎn)移以及個(gè)人隱私或商業(yè)機(jī)密��,而這種支付是發(fā)生在開(kāi)放性程度非常高的互聯(lián)網(wǎng)上,必須從技術(shù)上為電子商務(wù)交易活動(dòng)提供機(jī)密性���、完整性��、真實(shí)性和抗抵賴性等安全保降��。因此,要對(duì)網(wǎng)上安全電子支付提出以下的要求:
(1)交易數(shù)據(jù)的保密性���。保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過(guò)程���,或供其利用的特性。即�����,防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w����,信息只為授權(quán)用戶使用的特性。電子支付過(guò)程主要處理與金融數(shù)據(jù)有關(guān)的信息���, 數(shù)據(jù)處理量大�,且每筆數(shù)據(jù)都會(huì)影響到一定的經(jīng)濟(jì)利益�,因此����,交易過(guò)程中產(chǎn)生的與支付有關(guān)的數(shù)據(jù)應(yīng)該被嚴(yán)格保密��, 除交易雙方以及被授權(quán)第三方外����,必須保護(hù)支付交易的私密性����,同時(shí)要防止信息被越權(quán)訪問(wèn)。
(2)交易數(shù)據(jù)的完整性�。完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。即網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地刪除、修改���、偽造、亂序��、重放����、插入等破壞和丟失的特性����。交易數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過(guò)程中的完整性和有效性�����,即發(fā)送方發(fā)出的數(shù)據(jù)與接收方收到數(shù)據(jù)應(yīng)該是相同的���、未經(jīng)更改的��。
(3)交易數(shù)據(jù)的不可抵賴性���。不可抵賴性也稱作不可否認(rèn)性����,在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過(guò)程中����,確信參與者的真實(shí)同一性�。即���,所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾��。利用信息源證據(jù)可以防止發(fā)信方不真實(shí)地否認(rèn)已發(fā)送信息����,利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息�。
電子商務(wù)交易過(guò)程是雙方或者是多方的,其中一方抵賴自己的交易都會(huì)給另一方帶來(lái)利益損失���,因此必須保證交易雙方在交易后都無(wú)法否認(rèn)和抵賴����。
4電子商務(wù)支付安全中主流技術(shù)
電子支付中交易信息的安全在很大程度上依賴于網(wǎng)絡(luò)信息安全技術(shù)的完善�����,電子商務(wù)安全是信息安全的上層應(yīng)用, 它包括的技術(shù)范圍比較廣, 主要分為數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)兩大類����。
4.1數(shù)據(jù)加密技術(shù)
加密技術(shù)是保證電子商務(wù)中采用的主要安全措施�, 交易雙方可根據(jù)需要在信息交換階段使用�。在一個(gè)加密過(guò)程中有兩個(gè)基本元素: 算法和密鑰。加密過(guò)程就是根據(jù)一定的算法, 將可理解的數(shù)據(jù)(明文) 與一串?dāng)?shù)字( 密鑰) 相結(jié)合����, 從而產(chǎn)生不可理解的密文的過(guò)程��, 主要加密技術(shù)是對(duì)稱密文加密和非對(duì)稱加密
(1)對(duì)稱密文加密。對(duì)稱密鑰加密又稱為秘密密鑰加密�����, 即收發(fā)雙方采用相同的密鑰來(lái)進(jìn)行加密和解密�, 對(duì)稱密鑰加密的最大優(yōu)點(diǎn)是加解密速度快, 適合于進(jìn)行大量數(shù)據(jù)加密�����, 但也存在密鑰管理�����、困難以及無(wú)法進(jìn)行身份鑒別的缺點(diǎn)����。
(2)非對(duì)稱密鑰加密。非對(duì)稱密鑰加密也稱為公開(kāi)密鑰加密���, 每個(gè)用戶有一對(duì)密鑰:一個(gè)用于加密, 一個(gè)用于解密�, 兩把密鑰實(shí)際上是兩個(gè)很大的質(zhì)數(shù), 加解密過(guò)程���。其中�����, 加密密鑰(公鑰) 可以在網(wǎng)絡(luò)服務(wù)器�����、報(bào)刊等場(chǎng)合公開(kāi)���, 而解密密鑰(私鑰) 則屬用戶的私有密鑰����, 由公開(kāi)的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實(shí)現(xiàn)的。與對(duì)稱密鑰加密相比����, 采用非對(duì)稱密鑰加密方式密鑰管理較方便, 且保密性比較強(qiáng)�����, 但加解密實(shí)現(xiàn)速度比較慢, 不適用于通信負(fù)荷較重的應(yīng)用���。
數(shù)據(jù)加密技術(shù)是信息安全的基礎(chǔ)����,加密的主要目的是防止信息的非授權(quán)泄露、保證交易信息的保密性�、完整性和不可抵賴性的要求��。
4.2主流身份認(rèn)證方式
身份認(rèn)證技術(shù)是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程所應(yīng)用的技術(shù)手段�。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者,也就是說(shuō)保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)��。
(1)用戶名口令。針對(duì)盜取密碼的惡意軟件越來(lái)越多
(2)動(dòng)態(tài)口令����。動(dòng)態(tài)口令也稱動(dòng)態(tài)密碼,是根據(jù)專門的算法每隔一定時(shí)間生成一個(gè)與時(shí)間相關(guān)的隨機(jī)密碼��。用戶進(jìn)行認(rèn)證時(shí)候��,除輸入賬號(hào)和靜態(tài)口令之外�,必須要求輸入動(dòng)態(tài)口令�����。通過(guò)“動(dòng)態(tài)密碼”登錄的用戶沒(méi)有電子簽名,這樣也就沒(méi)有具有法律效力的認(rèn)證材料�。因此�,“動(dòng)態(tài)密碼”它只適用于金額小的交易��,對(duì)于金額大�����、使用頻繁的用戶�,其安全性存在一定的風(fēng)險(xiǎn)��。
(3)數(shù)字證書(shū)。數(shù)字證書(shū)是由權(quán)威公正的第三方機(jī)構(gòu)(即CA中心)簽發(fā)的證書(shū)��。它的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證����,確保網(wǎng)上傳遞信息的機(jī)密性、完整性�����。為解決這些Internet 的安全問(wèn)題�,世界各國(guó)對(duì)其進(jìn)行了多年的研究�����,初步形成了一套完 整的Internet 安全解決方案,即被廣泛采用的PKI 技術(shù)(Public Key Infrastructure-公鑰基礎(chǔ)設(shè)施)��。公鑰基礎(chǔ)設(shè)施PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范�。采用基于PKI 結(jié)構(gòu)結(jié)合數(shù)字證書(shū)�����,通過(guò)把要傳輸?shù)臄?shù)字信息進(jìn)行加密�����,保證信息傳輸?shù)谋C苄浴⑼暾?����,簽名保證身份的真實(shí)性和抗抵賴���。
(4)生物特征識(shí)別����。生物識(shí)別技術(shù)主要是指通過(guò)人類生物特征進(jìn)行身份認(rèn)證的一種技術(shù)�。由于人的生物特征具有唯一性和穩(wěn)定性的特點(diǎn),并且可隨身攜帶�����、不易被盜����、不易被偽造��、不易丟失,所以生物特征識(shí)別成為目前最安全的身份認(rèn)證技術(shù)�����。但是,生物特征識(shí)別通常需要昂貴的專用設(shè)備�����、受使用環(huán)境限制等缺點(diǎn),在電子支付中較少采用��。
每一種身份認(rèn)證方式都有其優(yōu)勢(shì)也存在一定的局限性�����。動(dòng)態(tài)密碼以方便便捷且與平臺(tái)無(wú)關(guān)性,通過(guò)電腦���、手機(jī)���、IPAD都可以使用等優(yōu)點(diǎn)在網(wǎng)銀����、網(wǎng)游、電信領(lǐng)域成為電子支付重要的身份認(rèn)證方式���,主流產(chǎn)生形式有手機(jī)短信、硬件令牌�、手機(jī)令牌等?;跀?shù)字證書(shū)的身份認(rèn)證是電子支付中最安全解決方案����。但是,需要專用的硬件和客戶支持���,使用不如動(dòng)態(tài)密碼方便快捷,一般用于大額電子交易����。
5電子商務(wù)發(fā)展趨勢(shì)
依據(jù)CNNIC報(bào)告���,2014年電子商務(wù)類應(yīng)用整體行業(yè)發(fā)展態(tài)勢(shì)良好�����,手機(jī)支付是亮點(diǎn)。隨著線上與線下渠道的打通及多類移動(dòng)應(yīng)用的服務(wù)帶動(dòng)�,手機(jī)支付呈現(xiàn)爆發(fā)式增長(zhǎng)�����,手機(jī)網(wǎng)上支付�����、手機(jī)網(wǎng)絡(luò)購(gòu)物、手機(jī)網(wǎng)上銀行和手機(jī)網(wǎng)上預(yù)訂應(yīng)用網(wǎng)民規(guī)模年增長(zhǎng)速度均超過(guò)100%�����。手機(jī)網(wǎng)絡(luò)購(gòu)物在移動(dòng)端商務(wù)市場(chǎng)發(fā)展迅速,用戶規(guī)模達(dá)到1.44億�,使用率從13.2%提升到28.9%����。
截至2014年6月��,我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)5.27億����,較2013年底增加2699萬(wàn)人��,網(wǎng)民中使用手機(jī)上網(wǎng)的人群占比進(jìn)一步提升��,由2013年的81.0%提升至83.4%,手機(jī)網(wǎng)民規(guī)模首次超越傳統(tǒng)PC網(wǎng)民規(guī)模�����。
隨著移動(dòng)電子商務(wù)的普及和發(fā)展,移動(dòng)支付業(yè)務(wù)受到了越來(lái)越多的關(guān)注�����,而其安全性更是成為大眾關(guān)注的焦點(diǎn)。由于移動(dòng)終端種類繁雜�、使用環(huán)境也更為復(fù)雜����、基于數(shù)字證書(shū)的身份認(rèn)證和數(shù)字簽名技術(shù)兼容性和成熟度遠(yuǎn)不及PC平臺(tái)����,并且移動(dòng)終端本身的安全性問(wèn)題也給動(dòng)態(tài)口令等身份認(rèn)證方式帶來(lái)了新的安全問(wèn)題和挑戰(zhàn)�����。
第4篇
[關(guān)鍵詞] 電子商務(wù) 靜態(tài)密碼 網(wǎng)絡(luò)安全 客戶證書(shū) 動(dòng)態(tài)密碼
電子商務(wù)源于英文ELECTRONIC COMMERCE����,指的是利用簡(jiǎn)單���、快捷���、低成本的電子通訊方式���,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)�����。隨著電子商務(wù)的普及��,人們已經(jīng)習(xí)慣于網(wǎng)上購(gòu)物,網(wǎng)上銀行和電子支付等新興事物����,然而網(wǎng)絡(luò)安全始終是制約電子商務(wù)發(fā)展的一個(gè)主要瓶頸�。
一�����、電子商務(wù)的身份認(rèn)證
在電子商務(wù)活動(dòng)中,由于所有的個(gè)人和交易信息要在一個(gè)開(kāi)放的網(wǎng)絡(luò)(如Internet)進(jìn)行傳輸和交換�����,故我們需要身份認(rèn)證技術(shù)去驗(yàn)證客戶的身份��。身份認(rèn)證一般基于客戶擁有什么(如令牌�,智能卡或者ID卡)����,客戶知道什么(如靜態(tài)密碼)����,客戶有什么特征(如指紋��,虹膜和腦電波等)���。國(guó)內(nèi)外常見(jiàn)身份認(rèn)證技術(shù)包括:用戶名/密碼方式 ���、IC卡認(rèn)證����、USB Key認(rèn)證和生物特征認(rèn)證等�。隨著網(wǎng)絡(luò)和黑客技術(shù)的發(fā)展�,用戶名/密碼方式認(rèn)證已經(jīng)被證明是不安全的�����。由于靜態(tài)的密碼方案不能抵御重放攻擊,字典攻擊且密碼容易忘記��, 所以其安全性是很低的��,不能滿足電子商務(wù)中身份認(rèn)證的要求�。目前國(guó)內(nèi)外的一些較成熟的身份認(rèn)證技術(shù),基本上是用硬件來(lái)實(shí)現(xiàn)的(如IC卡和USB Key認(rèn)證技術(shù)等)�����。
二���、各種身份認(rèn)證技術(shù)的比較
1. 靜態(tài)的用戶名和口令方案����。在眾多的身份認(rèn)證方案中����,靜態(tài)的用戶名和口令方案至今仍是使用最廣泛的方案�,特別是針對(duì)那些安全性要求不強(qiáng)的應(yīng)用場(chǎng)合,如論壇���,BBS和電子信箱�。目前公司和個(gè)人受到網(wǎng)絡(luò)攻擊的主要原因是靜態(tài)密碼政策管理不善�。大多數(shù)用戶使用的密碼都是字典中可查到的普通單詞����、姓名或者其他簡(jiǎn)單的密碼����。有86%的用戶在所有網(wǎng)站上使用的都是同一個(gè)密碼或者有限的幾個(gè)密碼���。最近一次全國(guó)性安全事件發(fā)生在2011年12月����。當(dāng)時(shí)CSDN的安全系統(tǒng)遭到黑客攻擊��,600萬(wàn)用戶的登錄名、密碼及郵箱遭到泄漏�����。黑客在獲取了CSDN的用戶登錄名和密碼后,再用這個(gè)密碼嘗試登錄注冊(cè)郵箱�����,如果成功則利用很多網(wǎng)站常用的密碼取回功能得到了該用戶的其他關(guān)聯(lián)網(wǎng)站的賬號(hào)和密碼�����?���?偠灾?��,靜態(tài)密碼身份認(rèn)證方案的優(yōu)點(diǎn)是實(shí)施成本低���,不需要購(gòu)置特殊的設(shè)備���,用戶體驗(yàn)性好��,但其安全性較低。
2. 客戶證書(shū)USBKey(U盾)方案�����。從技術(shù)角度看�����,客戶證書(shū)USBKey是用于網(wǎng)上銀行電子簽名和數(shù)字認(rèn)證的工具,它內(nèi)置微型智能卡處理器�,采用1024位非對(duì)稱密鑰算法對(duì)網(wǎng)上數(shù)據(jù)進(jìn)行加密�����、解密和數(shù)字簽名,確保網(wǎng)上交易的保密性��、真實(shí)性、完整性和不可否認(rèn)性����。目前國(guó)內(nèi)幾大商業(yè)銀行�����,如工商銀行、農(nóng)業(yè)銀行和交通銀行等都采用了USBKey方案�。網(wǎng)絡(luò)黑客即使知道了客戶的登錄密碼和支付密碼�,但如果沒(méi)有USBKey在手,黑客還是不能夠從你的帳戶轉(zhuǎn)出一分錢��。故這種身份認(rèn)證方式可以很好地避免賬號(hào)����、密碼被盜等可能出現(xiàn)的風(fēng)險(xiǎn)���。USBKey方案的優(yōu)點(diǎn)是安全性很強(qiáng),但由于涉及到了硬件故其成本較高�,且USBKey使用前需要先安裝驅(qū)動(dòng)。對(duì)于一些常常出差或者需要在不同機(jī)器上使用USBKey的客戶來(lái)說(shuō)�,由于計(jì)算機(jī)各種操作系統(tǒng)(如Windows和Linux)和硬件(各種不同品牌機(jī)器)的差異性�,可能在安裝時(shí)會(huì)遇到一些兼容性問(wèn)題���,這大大減低了用戶的體驗(yàn)滿意度。
3.短信認(rèn)證方案����。目前一些大型電子商務(wù)網(wǎng)站往往采取“靜態(tài)密碼+短信認(rèn)證”方案����。該類系統(tǒng)使用數(shù)字物理噪聲源產(chǎn)生完全隨機(jī)變化的動(dòng)態(tài)(驗(yàn)證)密碼,并通過(guò)無(wú)線通信方式將該動(dòng)態(tài)密碼發(fā)送到用戶的無(wú)線通信終端(尋呼機(jī)或移動(dòng)電話等) 上���。譬如支付寶網(wǎng)站在用戶支付小額金額時(shí)只需輸入支付密碼,但額度如果超過(guò)一定額度(如200元)����,則支付寶網(wǎng)站向用戶手機(jī)(注冊(cè)時(shí)登記的號(hào)碼)發(fā)一條驗(yàn)證短信����,然后用戶在網(wǎng)站上輸入6位的手機(jī)驗(yàn)證碼和支付密碼后才能完成付款�����。采用這種身份認(rèn)證方式的優(yōu)點(diǎn)是既保證了小額支付的快捷性�,又保證了大額支付的安全性。但由于該認(rèn)證系統(tǒng)的實(shí)時(shí)性和穩(wěn)定性在很大的程度上依賴于無(wú)線通信網(wǎng)的狀態(tài)���,當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)將導(dǎo)致驗(yàn)證密碼傳輸會(huì)有較大的時(shí)延,甚至將使系統(tǒng)無(wú)法正常完成身份認(rèn)證過(guò)程���,而且由于短信的發(fā)送會(huì)產(chǎn)生大量的短信費(fèi)用���,對(duì)中小型電子商務(wù)網(wǎng)站來(lái)說(shuō)仍然是不小的開(kāi)銷�。
4.動(dòng)態(tài)口令認(rèn)證方案����。動(dòng)態(tài)口令又稱為一次性口令OTP(One-Time-Password)��,其特點(diǎn)是用戶根據(jù)服務(wù)商提供的動(dòng)態(tài)口令令牌的顯示數(shù)字來(lái)輸入動(dòng)態(tài)口令�����,而且每個(gè)登錄服務(wù)器的口令只使用一次���,竊聽(tīng)者無(wú)法用竊聽(tīng)到的登錄口令來(lái)做下一次登錄,同時(shí)利用單向散列函數(shù)(如 Sha-1算法等)的不可逆性����,防止竊聽(tīng)者從竊聽(tīng)到的登錄口令推出下一次登錄口令�����。中國(guó)銀行就是采用了動(dòng)態(tài)口令認(rèn)證方案����。該方案的特點(diǎn)使用簡(jiǎn)單,用戶無(wú)須安裝任何驅(qū)動(dòng)��,操作時(shí)只需輸入當(dāng)前顯示的6位動(dòng)態(tài)口令即可���。其不足之處是安全性沒(méi)有USBKey強(qiáng)���,如在2011年上半年,全國(guó)各地出現(xiàn)了多起中國(guó)銀行動(dòng)態(tài)口令泄露安全事件��。黑客們首先設(shè)計(jì)了多個(gè)釣魚(yú)網(wǎng)站�,然后引誘中銀用戶輸入登錄密碼和動(dòng)態(tài)口令。動(dòng)態(tài)口令雖然為一次性口令��,但其在60秒之內(nèi)是可反復(fù)使用的��。故黑客得到了用戶的登錄密碼和動(dòng)態(tài)口令之后����,只要在1分鐘內(nèi)登錄進(jìn)真正的中銀系統(tǒng)后就可以完成轉(zhuǎn)賬等竊取用戶資金的操作了�����。
三、結(jié)束語(yǔ)
作為一種商務(wù)活動(dòng)過(guò)程����,電子商務(wù)將帶來(lái)一場(chǎng)史無(wú)前例的革命����,而電子商務(wù)網(wǎng)站的安全性問(wèn)題也越來(lái)越受到人們的重視�����,其身份認(rèn)證也已從最初的邏輯認(rèn)證發(fā)展到物理認(rèn)證最終將達(dá)到生物認(rèn)證���,希望在不久的將來(lái)安全可靠的電子商務(wù)會(huì)將人類真正帶入信息社會(huì)。
第5篇
[關(guān)鍵詞] 電子商務(wù) 加密技術(shù) 數(shù)字簽名
一、引言
隨著Internet的發(fā)展��,電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式����。越來(lái)越多的人通過(guò)Internet進(jìn)行商務(wù)活動(dòng)。電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來(lái)傳輸和處理商業(yè)信息�����。電子商務(wù)安全問(wèn)題是電子商務(wù)發(fā)展中的一個(gè)主要障礙��。電子商務(wù)安全技術(shù)的應(yīng)用為建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對(duì)商家和客戶的信息提供足夠的保護(hù),起著關(guān)鍵性的作用�。
二�����、電子商務(wù)面臨的安全問(wèn)題
1.信息的截獲和竊取
由于未采用加密措施,信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息��。通過(guò)多次竊取和分析,可以找到信息的規(guī)律和格式,進(jìn)而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密�。
2.篡改信息
當(dāng)入侵者掌握了信息的格式和規(guī)律后����,通過(guò)各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改����,然后再發(fā)向目的地����。
3.信息假冒
由于掌握了數(shù)據(jù)的格式���,并可以篡改通過(guò)的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息��,而遠(yuǎn)端用戶通常很難分辨。
4.交易抵賴
交易抵賴包括多個(gè)方面�,如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容���;收信者事后否認(rèn)曾經(jīng)收到過(guò)某條消息或內(nèi)容�;購(gòu)買者做了訂單不承認(rèn)�;商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易等���。
5.惡意破壞
由于攻擊者可以接入網(wǎng)絡(luò)�����,則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改����,掌握網(wǎng)上的機(jī)要信息�,甚至可以潛入網(wǎng)絡(luò)內(nèi)部�,其后果是非常嚴(yán)重的。
三�����、電子商務(wù)安全技術(shù)
1.密碼技術(shù)
密碼技術(shù)是信息安全的核心技術(shù)。對(duì)信息安全的需求大部分可以通過(guò)密碼技術(shù)來(lái)實(shí)現(xiàn)�。密碼技術(shù)包括加密�����、簽名認(rèn)證和密鑰管理技術(shù)等�����。
(1)加密技術(shù)。數(shù)據(jù)加密的基本過(guò)程就是對(duì)原來(lái)為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來(lái)內(nèi)容,通過(guò)這樣的途徑來(lái)達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取����、閱讀的目的����。加密技術(shù)通常分為兩大類:“對(duì)稱式”和“非對(duì)稱式”。加密技術(shù)是保證電子商務(wù)安全的重要手段��,許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)�����。
(2)數(shù)字簽名�。在電子商務(wù)安全系統(tǒng)中,數(shù)字簽名技術(shù)占有重要的地位。在電子商務(wù)安全服務(wù)中的源鑒別����、完整�����、不可否認(rèn)服務(wù)中,都要用到數(shù)字簽名技術(shù)����。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來(lái)確定用戶是否是真實(shí)的�。目前,數(shù)字簽名一般都通過(guò)單向Hash函數(shù)來(lái)實(shí)現(xiàn),它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性���。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性。數(shù)字簽名技術(shù)將具有廣闊的應(yīng)用前景,它將直接影響電子商務(wù)的發(fā)展�����。
(3)密鑰管理技術(shù)����。密鑰管理包括密鑰的產(chǎn)生、存儲(chǔ)��、裝入�����、分配�����、保護(hù)��、丟失�、銷毀以及保密等內(nèi)容�����。其中分配和存儲(chǔ)是最棘手的問(wèn)題��。密鑰管理不僅影響系統(tǒng)的安全性���,而且涉及系統(tǒng)的可靠性����、有效性和經(jīng)濟(jì)性�����。在用密碼技術(shù)保護(hù)的現(xiàn)代信息系統(tǒng)的安全性主要取決于對(duì)密鑰的保護(hù)�����。密鑰管理技術(shù)主要包括:對(duì)稱密鑰管理;公開(kāi)密鑰管理��,第三方托管技術(shù)。
2.網(wǎng)絡(luò)安全技術(shù)
(1)防火墻技術(shù)����。防火墻可以根據(jù)網(wǎng)絡(luò)安全水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對(duì)獨(dú)立的子網(wǎng)���,兩側(cè)間的通信受到防火墻的檢查控制;可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過(guò)���,同時(shí)將安全策略不允許的用戶與數(shù)據(jù)包隔斷�,達(dá)到保護(hù)高安全等級(jí)的子網(wǎng)、防止墻外黑客的攻擊���、限制入侵蔓延等目的。防火墻具有以下五大基本功能:過(guò)濾進(jìn)�����、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)��、出網(wǎng)絡(luò)的訪問(wèn)行為��;封堵某些禁止行為����;記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)�;對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警��。目前的防火墻主要有兩種類型���。其一是包過(guò)濾型防火墻,其二是應(yīng)用級(jí)防火墻�。
(2)虛擬專用網(wǎng)VPN技術(shù)����。虛擬專用網(wǎng)VPN是一種特殊的網(wǎng)絡(luò)��,它采用一種叫做“通道”或“數(shù)據(jù)封裝”的系統(tǒng)����,用公共網(wǎng)絡(luò)及其協(xié)議向貿(mào)易伙伴����、顧客�、供應(yīng)商和雇員發(fā)送敏感的數(shù)據(jù)�����。這種通道是Internet上的一種專用通道����,可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸����。在VPN中�,只要通信的雙方默認(rèn)即可���,沒(méi)有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證。現(xiàn)有的或正在開(kāi)發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進(jìn)一步增加VPN的安全性���,因而能夠保證數(shù)據(jù)的保密性和可用性。VPN實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道技術(shù)����、加密技術(shù)和QoS(服務(wù)質(zhì)量)技術(shù)。
(3)入侵檢測(cè)技術(shù)�。入侵檢測(cè)技術(shù)是防火墻技術(shù)的合理補(bǔ)充��,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊�����,擴(kuò)展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性��。其最重要的價(jià)值之一是它能提供事后統(tǒng)計(jì)分析����,所有安全事件或?qū)徲?jì)事件的信息都將被記錄在數(shù)據(jù)庫(kù)中,通過(guò)從各個(gè)角度對(duì)這些事件進(jìn)行分析歸類�����,可以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢(shì)����,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問(wèn)題或漏洞�,并可歸納出相應(yīng)的解決方案�。入侵檢測(cè)的主要方法有:靜態(tài)配置分析,異常性檢測(cè)方法�����、基于行為的檢測(cè)方法及幾種方法的組合����。
(4)安全交易協(xié)議��。除了各種安全控制技術(shù)之外����,電子商務(wù)的運(yùn)行還需要一套完整的安全交易協(xié)議����。不同交易協(xié)議的復(fù)雜性、開(kāi)銷�、安全性各不同。同時(shí)��,不同的應(yīng)用環(huán)境對(duì)協(xié)議目標(biāo)的要求也不盡相同��。目前����,比較成熟的協(xié)議有安全套接層協(xié)議(SSL)和安全電子交易協(xié)議(SET)����。
三����、小結(jié)
用于保護(hù)電子商務(wù)的安全控制技術(shù)很多�����,并非把這些技術(shù)簡(jiǎn)單地組合就可以得到安全。但是通過(guò)合理應(yīng)用安全控制技術(shù)��,并進(jìn)行有機(jī)結(jié)合�����,就可從技術(shù)上實(shí)現(xiàn)系統(tǒng)�、有效的電子商務(wù)安全���。
參考文獻(xiàn):
[1]張立克:電子商務(wù)及其安全保障技術(shù)[J].水利電力機(jī)械,2007,29(2):69~74
[2]祝凌曦:電子商務(wù)安全[D].北京:清華大學(xué)出版社,2006
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 電子商務(wù)
隨著互聯(lián)網(wǎng)的快速發(fā)展���,電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式���。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第27次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》統(tǒng)計(jì)�����,中小企業(yè)互聯(lián)網(wǎng)接入比例達(dá)92.7%�,規(guī)模較大的企業(yè)互聯(lián)網(wǎng)接入比例更是接近100%��。43%的中國(guó)企業(yè)擁有獨(dú)立網(wǎng)站或在電子商務(wù)平臺(tái)建立網(wǎng)店�;57.2%的企業(yè)利用互聯(lián)網(wǎng)與客戶溝通��,為客戶提供咨詢服務(wù)���;中小企業(yè)電子商務(wù)/網(wǎng)絡(luò)營(yíng)銷應(yīng)用水平為42.1%����?���?梢哉f(shuō),電子商務(wù)已經(jīng)深入國(guó)民經(jīng)濟(jì)和人們?nèi)粘I畹母鱾€(gè)方面�����。但其安全問(wèn)題也越來(lái)越突出��,知名安全企業(yè)RSA執(zhí)行主席亞瑟?科維洛的一份中國(guó)報(bào)告稱�,2.17億中國(guó)用戶遭受木馬攻擊����,1.21億用戶賬戶或密碼曾被盜�����。如何建立一個(gè)安全便捷的電子商務(wù)環(huán)境�����,是擺在電子商務(wù)眾多商家和買家面前的一個(gè)難題。
一�����、網(wǎng)絡(luò)安全問(wèn)題主要有以下幾種
1��、特羅伊木馬
特羅伊木馬,簡(jiǎn)稱木馬�。在近期��,黑客開(kāi)始利用人性的弱點(diǎn)開(kāi)始發(fā)起行動(dòng)���,他們往往利用免費(fèi)破解軟件、誘惑視頻播放器����、免費(fèi)外掛軟件以及網(wǎng)絡(luò)傳送文件等捆綁木馬����。木馬在用戶安裝破解軟件��、播放器及外掛時(shí)���,在運(yùn)行安裝程序的時(shí)候隱藏在計(jì)算機(jī)系統(tǒng)����,隱蔽的與外界連接����,接受外界的指令��。被植入木馬的電腦系統(tǒng)所有文件將會(huì)被黑客獲得�����,在用戶登陸電子商務(wù)網(wǎng)站輸入用戶名密碼及行進(jìn)支付的時(shí)候的賬號(hào)及密碼會(huì)被木馬竊取發(fā)送給黑客����。而且系統(tǒng)也會(huì)被黑客所控制��,被利用作為攻擊其它系統(tǒng)的攻擊源�����。據(jù)360安全中心統(tǒng)計(jì)��,今年上半年�����,國(guó)內(nèi)新增木馬病毒樣本4.48億個(gè)(以惡意程序的文件指紋數(shù)量計(jì)算)�,平均每秒出現(xiàn)29個(gè)新木馬�,是去年同期的4.46倍,受攻擊的電腦數(shù)量日均則達(dá)到452.5萬(wàn)臺(tái)��。
2�����、釣魚(yú)網(wǎng)站
又稱網(wǎng)絡(luò)仿冒���、網(wǎng)絡(luò)欺詐等。是一種網(wǎng)絡(luò)欺詐行為���,一般通常偽裝成為銀行網(wǎng)站����,黑客等不法份子利用郵件、QQ��、群發(fā)短信等手段����,利用中獎(jiǎng)信息�、網(wǎng)站升級(jí)、客戶服務(wù)等信息��,在其中提供偽裝的鏈接使其鏈接到釣魚(yú)網(wǎng)站。一般來(lái)說(shuō)�,釣魚(yú)網(wǎng)站和真實(shí)網(wǎng)站界面完全一致����,在要求用戶登陸的過(guò)程中竊取用戶的信用卡號(hào)、賬戶名����、密碼等信息���。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)聯(lián)合國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)最新的《2009年中國(guó)網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查報(bào)告》顯示�,2009年有超過(guò)九成網(wǎng)民遇到過(guò)網(wǎng)絡(luò)釣魚(yú)�,在遭遇過(guò)網(wǎng)絡(luò)釣魚(yú)事件中的網(wǎng)民中����,4500萬(wàn)網(wǎng)民蒙受了損失,直接經(jīng)濟(jì)損失已經(jīng)達(dá)到了76億元��。
3�����、分布式拒絕服務(wù)(DDoS)
分布式拒絕服務(wù)攻擊就是黑客利用其在互聯(lián)網(wǎng)上控制的很多計(jì)算機(jī)�,同時(shí)向某一電子商務(wù)網(wǎng)站服務(wù)器發(fā)送數(shù)據(jù)包,達(dá)到妨害其網(wǎng)絡(luò)與系統(tǒng)之間的正常服務(wù)�,讓用戶不能得到正常服務(wù)���。近年�����,DDoS呈轉(zhuǎn)嫁及流量攻擊等特點(diǎn)��。2010年騰訊業(yè)務(wù)受到多次攻擊就是因?yàn)槟承┬【W(wǎng)站受到攻擊后,惡意的將網(wǎng)站域名指向騰訊所致�。另一方面���,DDoS的攻擊流量越來(lái)越大�����,針對(duì)“456 游戲”網(wǎng)站的攻擊流量峰值甚至超過(guò)100Gbps����。
4、網(wǎng)站首頁(yè)篡改
網(wǎng)站首頁(yè)篡改是指開(kāi)展電子商務(wù)企業(yè)網(wǎng)站的首頁(yè)被黑客等不法份子修改為他們提供的首頁(yè)���。在首頁(yè)被篡改后,對(duì)電子商務(wù)這樣需要與用戶通過(guò)網(wǎng)站進(jìn)行溝通的企業(yè)來(lái)說(shuō)���,就意味著電子商務(wù)將無(wú)商可務(wù)���。尤其對(duì)具有攻擊性質(zhì)的篡改,用戶賬戶信息被盜竊����,丑化企業(yè)的信息等���,都是對(duì)企業(yè)形象信譽(yù)的嚴(yán)重?fù)p害����。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡(jiǎn)稱CNCERT)監(jiān)測(cè)�����,2010 年中國(guó)大陸有近3.5萬(wàn)個(gè)網(wǎng)站被黑客篡改�。
二、網(wǎng)絡(luò)安全趨勢(shì)預(yù)測(cè)
1����、網(wǎng)絡(luò)購(gòu)物將是攻擊的首選
伴隨著電子商務(wù)市場(chǎng)的蓬勃發(fā)展�����,這個(gè)領(lǐng)域必然是黑客攻擊的重點(diǎn)�����。 在過(guò)去的一年��,針對(duì)電子商務(wù)的攻擊給眾多企業(yè)及用戶帶來(lái)嚴(yán)重?fù)p失�,電子商務(wù)平臺(tái)提供者及眾多安全軟硬件制造商在努力的幫助他們減少損失��,從目前看效果并不理想�,網(wǎng)絡(luò)騙術(shù)正在不停翻新,黑客正在編寫著新的網(wǎng)購(gòu)木馬�。
2��、針對(duì)大型虛擬社交網(wǎng)絡(luò)的攻擊不斷加強(qiáng)
以QQ社區(qū)為代表的網(wǎng)絡(luò)社區(qū),人數(shù)眾多�,普遍支持分享鏈接���。此鏈接很容易被用來(lái)傳遞不良信息,比如指向釣魚(yú)網(wǎng)站的鏈接����。而且社區(qū)人數(shù)眾多���,只要社區(qū)系統(tǒng)被黑客發(fā)現(xiàn)漏洞,那么龐大的用戶群的相關(guān)信息及權(quán)益得不到保障���。
三、對(duì)策
隨著網(wǎng)絡(luò)應(yīng)用日益普及及其開(kāi)放性的特點(diǎn)���,網(wǎng)絡(luò)安全事件又不斷出現(xiàn),電子商務(wù)的安全問(wèn)題日益突出��,怎么樣才能有效保護(hù)電子商務(wù)的正常開(kāi)展��?我國(guó)政府主管部門�����、互聯(lián)網(wǎng)企業(yè)及普通用戶都應(yīng)重視互聯(lián)網(wǎng)安全問(wèn)題,上下聯(lián)動(dòng)����,發(fā)揮各自的作用����,共同提供互聯(lián)網(wǎng)安全的水平。
1���、加強(qiáng)網(wǎng)絡(luò)安全立法工作
國(guó)家應(yīng)提高對(duì)網(wǎng)絡(luò)安全的重視,加強(qiáng)高層次立法���,加大網(wǎng)絡(luò)犯罪懲治,量刑力度����,形成有效震懾����,增加其犯罪成本����。
2�����、進(jìn)一步加大網(wǎng)絡(luò)安全行政監(jiān)管力度
抓好《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦法》等網(wǎng)絡(luò)安全相關(guān)政策文件的落實(shí)。對(duì)容易照到攻擊的金融��、證券等重要聯(lián)網(wǎng)信息系統(tǒng)主管部門應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理和保障工作����。
3����、加強(qiáng)網(wǎng)絡(luò)身份認(rèn)證服務(wù)體系
迅速蓬勃發(fā)展的電子商務(wù),和傳統(tǒng)的商務(wù)行為不同����。電子商務(wù)進(jìn)行的是無(wú)紙貿(mào)易�,交易雙方基本不見(jiàn)面,通過(guò)網(wǎng)絡(luò)虛擬平成整個(gè)交易,其信用及身份的認(rèn)證僅僅依靠提供服務(wù)平臺(tái)的密碼認(rèn)證���。由于平臺(tái)的多樣性及密碼的虛擬性����,決定信用體系存在較大的疑問(wèn)�����。國(guó)家應(yīng)牽頭依托合法電子商務(wù)認(rèn)證服務(wù)機(jī)構(gòu)���,形成覆蓋全國(guó)的網(wǎng)絡(luò)身份認(rèn)證服務(wù)體系�。
4����、加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)
對(duì)于我們普通網(wǎng)民�,我們要提高對(duì)網(wǎng)絡(luò)安全對(duì)電子商務(wù)威脅的認(rèn)識(shí)及加強(qiáng)網(wǎng)絡(luò)安全防護(hù)的意識(shí)��。做好個(gè)人計(jì)算機(jī)的安全防護(hù),養(yǎng)成良好的上網(wǎng)習(xí)慣�����,學(xué)習(xí)一些基本的網(wǎng)絡(luò)安全知識(shí)�,不訪問(wèn)一些不確定安全性的網(wǎng)站���,不下載無(wú)法確定安全性的軟件,電腦中安裝殺毒軟件和防火墻�����,經(jīng)常掃描自己的電腦。
參考文獻(xiàn):
[1]CNNIC、CNCERT.2009年中國(guó)網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查報(bào)告
第7篇
論文摘 要:隨著電子商務(wù)時(shí)代的到來(lái)����,電子商務(wù)安全問(wèn)題越來(lái)越受到關(guān)注���。特別是近年來(lái)的威脅網(wǎng)絡(luò)安全事件成出不窮,成為阻礙電子商務(wù)發(fā)展的一個(gè)大問(wèn)題�。對(duì)電子商務(wù)安全面臨的的威脅進(jìn)行研究分析,提出電子商務(wù)安全策略的總體原則及使用的主要技術(shù)�����。
電子商務(wù)安全策略是對(duì)企業(yè)的核心資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)���,不斷的更新企業(yè)系統(tǒng)的安全防護(hù)���,找出企業(yè)系統(tǒng)的潛在威脅和漏洞���,識(shí)別����,控制,消除存在安全風(fēng)險(xiǎn)的活動(dòng)�。電子商務(wù)安全是相對(duì)的���,不是絕對(duì)的,不能認(rèn)為存在永遠(yuǎn)不被攻破的系統(tǒng)�,當(dāng)然無(wú)論是何種模式的電子商務(wù)網(wǎng)站都要考慮到為了系統(tǒng)安全所要付出的代價(jià)和消耗的成本�����。作為一個(gè)安全系統(tǒng)的使用者����,必須應(yīng)該綜合考慮各方因素合理使用電子商務(wù)安全策略技術(shù)���,作為系統(tǒng)的研發(fā)設(shè)計(jì)者����,也必須在設(shè)計(jì)的同時(shí)考慮到成本與代價(jià)的因素����。在這個(gè)網(wǎng)絡(luò)攻防此消彼長(zhǎng)的時(shí)代���,更應(yīng)該根據(jù)安全問(wèn)題的不斷出現(xiàn)來(lái)檢查�����,評(píng)估和調(diào)整相應(yīng)的安全策略,采用適合當(dāng)前的技術(shù)手段��,來(lái)達(dá)到提升整體安全的目的。電子商務(wù)所帶來(lái)的巨大商機(jī)背后同樣隱藏著日益嚴(yán)重的電子商務(wù)安全問(wèn)題�����,不僅為企業(yè)機(jī)構(gòu)帶來(lái)了巨大的經(jīng)濟(jì)損失,更使社會(huì)經(jīng)濟(jì)的安全受到威脅����。
1 電子商務(wù)面臨的安全威脅
在電子商務(wù)運(yùn)作的大環(huán)境中��,時(shí)時(shí)刻刻面臨著安全威脅�����,這不僅僅設(shè)計(jì)技術(shù)問(wèn)題�����,更重要的是管理上的漏洞�����,而且與人們的行為模式有著密不可分的聯(lián)系����。電子商務(wù)面臨的安全威脅可以分為以下幾類:
1.1 信息內(nèi)容被截取竊取
這一類的威脅發(fā)生主要由于信息傳遞過(guò)程中加密措施或安全級(jí)別不夠�,或者通過(guò)對(duì)互聯(lián)網(wǎng),電話網(wǎng)中信息流量和流向等參數(shù)的分析來(lái)竊取有用信息�����。
1.2 中途篡改信息
主要破壞信息的完整性��,通過(guò)更改���、刪除、插入等手段對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途篡改����,并將篡改后的虛假信息發(fā)往接受端���。
1.3 身份假冒
建立與銷售者服務(wù)器名稱相似的假冒服務(wù)器��、冒充銷售者����、建立虛假訂單進(jìn)行交易�����。
1.4 交易抵賴
比如商家對(duì)賣出的商品因價(jià)格原因不承認(rèn)原有交易���,購(gòu)買者因簽訂了訂單卻事后否認(rèn)。
1.5同行業(yè)者惡意競(jìng)爭(zhēng)
同行業(yè)者利用購(gòu)買者名義進(jìn)行商品交易��,暗中了解買賣流程��、庫(kù)存狀況�、物流狀況����。
1.6 電子商務(wù)系統(tǒng)安全性被破壞
不法分子利用非法手段進(jìn)入系統(tǒng)��,改變用戶信息���、銷毀訂單信息���、生成虛假信息等。
2 電子商務(wù)安全策略原則
電子商務(wù)安全策略是在現(xiàn)有情況�����,實(shí)現(xiàn)投入的成本與效率之間的平衡��,減少電子商務(wù)安全所面臨的威脅。據(jù)電子商務(wù)網(wǎng)絡(luò)環(huán)境的不同�,采用不同的安全技術(shù)來(lái)制定安全策略��。在制定安全策略時(shí)應(yīng)遵循以下總體原則:
2.1 共存原則
是指影響網(wǎng)絡(luò)安全的問(wèn)題是與整個(gè)網(wǎng)絡(luò)的運(yùn)作生命周期同時(shí)存在,所以在設(shè)計(jì)安全體系結(jié)構(gòu)時(shí)應(yīng)考慮與網(wǎng)絡(luò)安全需求一致���。如果不在網(wǎng)站設(shè)計(jì)開(kāi)始階段考慮安全對(duì)策,等網(wǎng)站建設(shè)好后在修改會(huì)耗費(fèi)更大的人力物力�。
2.2 靈活性原則
安全策略要能隨著網(wǎng)絡(luò)性能及安全威脅的變化而變化,要及時(shí)的適應(yīng)系統(tǒng)和修改��。
2.3 風(fēng)險(xiǎn)與代價(jià)相互平衡的分析原則
任何一個(gè)網(wǎng)絡(luò)�����,很難達(dá)到絕對(duì)沒(méi)有安全威脅�。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析����,并且對(duì)網(wǎng)絡(luò)面臨的威脅以及可能遇到的風(fēng)險(xiǎn)要進(jìn)行定量與定性的綜合分析�,制定規(guī)范的措施��,并確定本系統(tǒng)的安全范疇��,使花費(fèi)在網(wǎng)絡(luò)安全的成本與在安全保護(hù)下的信息的價(jià)值平衡。
2.4 易使用性原則
安全策略的實(shí)施由人工完成�,如果實(shí)施過(guò)程過(guò)于復(fù)雜����,對(duì)于人的要求過(guò)高��,對(duì)本身的安全性也是一種降低��。
2.5 綜合性原則
一個(gè)好的安全策略在設(shè)計(jì)時(shí)往往采用是多種方法綜合應(yīng)用的結(jié)果���,以系統(tǒng)工程的觀點(diǎn)���,方法分析網(wǎng)絡(luò)安全問(wèn)題�����,才可能獲得有效可行的措施���。
2.6 多層保護(hù)原則
任何單一的安全保護(hù)措施都不是能獨(dú)當(dāng)一面���,絕對(duì)安全的,應(yīng)該建立一個(gè)多層的互補(bǔ)系統(tǒng)�,那么當(dāng)一層被攻破時(shí),其它保護(hù)層仍然可以安全的保護(hù)信息��。 轉(zhuǎn)貼于
3 電子商務(wù)安全策略主要技術(shù)
3.1 防火墻技術(shù)
防火墻技術(shù)是一種保護(hù)本地網(wǎng)絡(luò)�,并對(duì)外部網(wǎng)絡(luò)攻擊進(jìn)行抵制的重要網(wǎng)絡(luò)安全技術(shù)之一�����,是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施���??傮w可以分為:數(shù)據(jù)包過(guò)濾型防火墻��、應(yīng)用級(jí)網(wǎng)關(guān)型防火墻、服務(wù)型防火墻等幾類����。防火墻具有5種基本功能:
(1)抵擋外部攻擊;
(2)防止信息泄露����;
(3)控制管理網(wǎng)絡(luò)存取和訪問(wèn)�;
(4)VPN虛擬專用網(wǎng)功能�;
(5)自身抗攻擊能力��。
防火墻的安全策略有兩種情形:
(1)違背允許的訪問(wèn)服務(wù)都是被禁止的�;
(2)未被禁止的訪問(wèn)服務(wù)都是被允許的��。
多數(shù)防火墻是在兩者之間采取折中策略�����,在安全的情況之下提高訪問(wèn)效率����。
3.2 加密技術(shù)
加密技術(shù)是對(duì)傳輸?shù)男畔⒁阅撤N方法進(jìn)行偽裝并隱藏其內(nèi)容�,而達(dá)到不被第三方所獲取其真實(shí)內(nèi)容的一種方法�����。在電子商務(wù)過(guò)程中�,采用加密技術(shù)將信息隱藏起來(lái)��,再將隱藏的信息傳輸出去,這樣即使信息在傳輸?shù)倪^(guò)程中被竊取����,非法截獲者也無(wú)法了解信息內(nèi)容��,進(jìn)而保證了信息在交換過(guò)程中安全性�����、真實(shí)性����、能夠有效的為安全策略提供幫助。
3.3 數(shù)字簽名技術(shù)
是指在對(duì)文件進(jìn)行加密的基礎(chǔ)上�,為了防止有人對(duì)傳輸過(guò)程中的文件進(jìn)行更改破壞以及確定發(fā)信人的身份所采取的手段��。在電子商務(wù)安全中占有特別重要的地位,能夠解決貿(mào)易過(guò)程中的身份認(rèn)證�����、內(nèi)容完整性、不可抵賴等問(wèn)題�。數(shù)字簽名過(guò)程:發(fā)送方首先將原文通過(guò)Hash算法生成摘要����,并用發(fā)送者的私鑰進(jìn)行加密生成數(shù)字簽名發(fā)送給接受方���,接收方用發(fā)送者的公鑰進(jìn)行解密���,得到發(fā)送方的報(bào)文摘要���,最后接收方將收到的原文用Hash算法生成其摘要��,與發(fā)送方的摘要進(jìn)行比對(duì)。
3.4 數(shù)字證書(shū)技術(shù)
數(shù)字證書(shū)是網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)�����,由第三方公正機(jī)構(gòu)頒發(fā),以數(shù)字證書(shū)為依據(jù)的信息加密技術(shù)可以確保網(wǎng)上傳輸信息的的保密性�、完整性和交易的真實(shí)性�����、不可否認(rèn)性�,為電子商務(wù)的安全提供保障����。標(biāo)準(zhǔn)的數(shù)字證書(shū)包含:版本號(hào)�����,簽名算法,序列號(hào)��,頒發(fā)者姓名,有效日期�,主體公鑰信息����,頒發(fā)者唯一標(biāo)識(shí)符,主體唯一標(biāo)示符等內(nèi)容���。一個(gè)合理的安全策略離不開(kāi)數(shù)字證書(shū)的支持。
3.5 安全協(xié)議技術(shù)
安全協(xié)議能夠?yàn)榻灰走^(guò)程中的信息傳輸提供強(qiáng)而有力的保障�����。目前通用的為電子商務(wù)安全策略提供的協(xié)議主要有電子商務(wù)支付安全協(xié)議�����、通信安全協(xié)議、郵件安全協(xié)議三類�����。用于電子商務(wù)的主要安全協(xié)議包括:通訊安全的SSL協(xié)議(Secure Socket Layer),信用卡安全的SET協(xié)議(Secure Electronic Transaction)�����,商業(yè)貿(mào)易安全的超文本傳輸協(xié)議(S-HTTP)�����,InternetEDI電子數(shù)據(jù)交換協(xié)議以及電子郵件安全協(xié)議S/MIME和PEM等。
4 結(jié)論
在電子商務(wù)飛速發(fā)展的過(guò)程中����,電子商務(wù)安全所占的比重越發(fā)重要�����。研究電子商務(wù)安全策略�,意在于減少由電子商務(wù)安全威脅帶給人們電子商務(wù)交易上的疑慮�����,以推動(dòng)電子商務(wù)前進(jìn)的步伐。解除這種疑慮的方法��,依賴著安全策略原則的制定和主要技術(shù)的不斷開(kāi)發(fā)與完善�。
參考文獻(xiàn)
[1]田沛. 淺談電子商務(wù)安全發(fā)展戰(zhàn)略[J]. 知識(shí)經(jīng)濟(jì), 2010�, (2).
[2]如先姑力阿布都熱西提. 計(jì)算機(jī)網(wǎng)絡(luò)安全對(duì)策的研究[J]. 科技信息(學(xué)術(shù)研究)�����, 2008��, (10).
[3]陳偉. 電子商務(wù)安全策略初探[J].才智�, 2009�,(11).
第8篇
安全防范
“網(wǎng)絡(luò)安全問(wèn)題一直存在?!卑鹱稍冃袠I(yè)研究部部門經(jīng)理王芳對(duì)《中國(guó)聯(lián)合商報(bào)》記者表示���。
IBM最新消息稱,根據(jù)它在全球各地的3700個(gè)管理安全服務(wù)客戶提供的數(shù)據(jù)�����,在過(guò)去的四個(gè)月里,安全事件的數(shù)量從每天18億次增加到了25億次��。在過(guò)去的120天里,網(wǎng)絡(luò)中和基于網(wǎng)絡(luò)的安全攻擊事件增長(zhǎng)了30%����;訪問(wèn)IBM虛擬安全操作中心的用戶數(shù)量增長(zhǎng)了40%。
“主要因?yàn)榫W(wǎng)絡(luò)安全的考慮��,企業(yè)間進(jìn)行電子采購(gòu)顧慮很多�。不管是電子資金流���、信息流����、還是電子物流���,其中資金安全顧慮最高?����!蓖醴急硎?��。由于從事電子采購(gòu)的采購(gòu)量通常很大����,因此涉及企業(yè)的資金流一般也都比較大���,現(xiàn)在網(wǎng)絡(luò)安全問(wèn)題一直存在��,不管大企業(yè)還是中小企業(yè)對(duì)于資金安全的顧慮是最高的�����。
“因?yàn)閭鹘y(tǒng)的商務(wù)流程里,不太習(xí)慣沒(méi)有見(jiàn)到采購(gòu)方��,甚至沒(méi)有看到商品的情況下�,去完成采購(gòu)的相關(guān)交付�?��!蓖醴冀忉?��,對(duì)于電子采購(gòu)的安全擔(dān)憂還部分受到傳統(tǒng)交易方式的影響���。此外�,還有一點(diǎn)很重要――信用保障體系有待完善���。
信用保障
信用是電子商務(wù)企業(yè)發(fā)展不可或缺的主要競(jìng)爭(zhēng)力�。雖然電子采購(gòu)價(jià)格相對(duì)便宜���,大多數(shù)的企業(yè)還都是在信用的前提下去選擇價(jià)格����。
國(guó)外的電子采購(gòu)無(wú)論從交易額還是交易比例絕大部分都要比國(guó)內(nèi)高?��!昂艽蟪潭壬鲜且?yàn)閲?guó)外企業(yè)的信用體系�����,包括整個(gè)支付和物流的社會(huì)信用環(huán)境相對(duì)比較成熟��。”王芳分析����,只有通過(guò)成熟的市場(chǎng)主體為市場(chǎng)提供面向個(gè)人和企業(yè)���、覆蓋社會(huì)領(lǐng)域各個(gè)方面的信用服務(wù)��,才能真正創(chuàng)造一種適應(yīng)并規(guī)范信用交易發(fā)展的市場(chǎng)環(huán)境��,電子商務(wù)領(lǐng)域尤其如此����。而國(guó)內(nèi)來(lái)說(shuō)�����,信用保障體系不夠完善����,加上認(rèn)證費(fèi)用較高����,很多企業(yè)經(jīng)常通過(guò)自己的銷售額等一些簡(jiǎn)單數(shù)據(jù)來(lái)證明自己的信用條件���,這里就存在很大風(fēng)險(xiǎn)��,而且這種風(fēng)險(xiǎn)目前更多的由采購(gòu)方來(lái)承擔(dān)�����。
此外�����,國(guó)外企業(yè)對(duì)于信息化的接受程度,包括企業(yè)內(nèi)部的信息化建設(shè)都已經(jīng)相對(duì)完善����,這都影響到信用保障的建設(shè)問(wèn)題���。
資質(zhì)認(rèn)證
電子采購(gòu)環(huán)節(jié)上��,是信譽(yù)核心還是價(jià)格核心�?“信譽(yù)和價(jià)格必需要有一個(gè)平衡點(diǎn)���,這就需要資質(zhì)認(rèn)證”。王芳對(duì)《中國(guó)聯(lián)合商報(bào)》記者分析��。
