序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁�����,我們?yōu)槟x了8篇的電子商務(wù)安全事件樣本���,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)����,請(qǐng)盡情閱讀�����。
第1篇
一����、私有密鑰加密法
(一)含義
私有密鑰加密,指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對(duì)信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對(duì)收到的密文M進(jìn)行解密,得到明文信息,從而完成密文通信目的的方法����。這種信息加密傳輸方式,就稱為私有密鑰加密法。此加密法的一個(gè)最大特點(diǎn)是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對(duì)稱性,所以私有密鑰加密又稱為對(duì)稱密鑰加密���。
(二)應(yīng)用原理
具體到電子商務(wù),很多環(huán)節(jié)要用到私有密鑰加密法�。例如,在兩個(gè)商務(wù)實(shí)體或兩個(gè)銀行之間進(jìn)行資金的支付結(jié)算時(shí),涉及大量的資金流信息的傳輸與交換。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應(yīng)用私有密鑰加密法的過程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復(fù)制一份密鑰A借助一個(gè)安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文��。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結(jié)束通信���。
(三)常用算法
世界上一些專業(yè)組織機(jī)構(gòu)研發(fā)了許多種私有密鑰加密算法,比較著名的有DES(DataEncryptionStandard����,數(shù)據(jù)加密標(biāo)準(zhǔn))算法及其各種變形��、國際數(shù)據(jù)加密算法IDEA等���。DES算法由美國國家標(biāo)準(zhǔn)局提出,1977年公布實(shí)施,是目前廣泛采用的私有密鑰加密算法之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬�����、軍事定點(diǎn)通信等領(lǐng)域,比如電子支票的加密傳送��。經(jīng)過20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計(jì)算機(jī)技術(shù)進(jìn)步,對(duì)DES的破解方法也日趨有效,所以更安全的高級(jí)加密標(biāo)準(zhǔn)AES(AdvancedEncryptionStandard��,先進(jìn)加密標(biāo)準(zhǔn))將會(huì)替代DES成為新一代加密標(biāo)準(zhǔn)�����。
(四)優(yōu)缺點(diǎn)
私有密鑰加密法的主要優(yōu)點(diǎn)是運(yùn)算量小,加解密速度快,由于加解密應(yīng)用同一把密鑰而應(yīng)用簡單�����。在專用網(wǎng)絡(luò)中由于通信各方相對(duì)固定�、所以應(yīng)用效果較好。但是,私有密鑰加密技術(shù)也存在著以下一些問題:一是分發(fā)不易�。由于算法公開,其安全性完全依賴于對(duì)私有密鑰的保護(hù)��。因此,密鑰使用一段時(shí)間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個(gè)傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對(duì)的,通過電話通知�����、郵寄軟盤��、專門派人傳送等方式均存在一些問題����。二是管理復(fù)雜,代價(jià)高昂。私有密鑰密碼體制用于公眾通信網(wǎng)時(shí),每對(duì)通信對(duì)象的密鑰不同,必須由不被第三者知道的方式,事先通知對(duì)方���。隨著通信對(duì)象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對(duì)象的大量的密鑰�。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題���。三是難以進(jìn)行用戶身份的認(rèn)定����。采用私有密鑰加密法實(shí)現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機(jī)密性問題,并不能認(rèn)證信息發(fā)送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息��。在電子商務(wù)中,有可能存在欺騙,別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令����。因此,必須經(jīng)常更換密鑰,以確保系統(tǒng)安全。四是采用私有密鑰加密法的系統(tǒng)比較脆弱,較易遭到不同密碼分析的攻擊�。五是它僅能用于對(duì)數(shù)據(jù)進(jìn)行加解密處理,提供數(shù)據(jù)的機(jī)密性,不能用于數(shù)字簽名。
二���、公開密鑰加密法
(一)定義與應(yīng)用原理
公開密鑰加密法是針對(duì)私有密鑰加密法的缺陷而提出來的�����。是電子商務(wù)應(yīng)用的核心密碼技術(shù)��。所謂公開密鑰加密,就是指在計(jì)算機(jī)網(wǎng)絡(luò)上甲����、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對(duì)信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用另一把密鑰B對(duì)收到的密文M進(jìn)行解密,得到明文信息完密文通信目的的方法��。由于密鑰A��、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對(duì)網(wǎng)絡(luò)上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對(duì)稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對(duì)稱,所以公開私有密鑰加密法又稱為非對(duì)稱密鑰加密法����。公開密鑰加密法的應(yīng)用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學(xué)上相關(guān),對(duì)稱作密鑰對(duì)。用密鑰對(duì)其中任何一個(gè)密鑰加密時(shí),可以用另一個(gè)密鑰解密,而且只能用此密鑰對(duì)其中的另一個(gè)密鑰解密�����。在實(shí)際應(yīng)用中,某商家可以把生成的密鑰A與密鑰B做一個(gè)約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網(wǎng)絡(luò)公開散發(fā)出去,誰都可以獲取一把并能應(yīng)用,屬于公開的共享密鑰,叫做公開密鑰����。如果一個(gè)人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個(gè)人的消息�����。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對(duì)密文進(jìn)行解密,而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰�����。存在下面兩種應(yīng)用情況:一是任何一個(gè)收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發(fā)送給這個(gè)商家,那么這些加密信息就只能被這個(gè)商家的私人密鑰A解密���。實(shí)現(xiàn)保密性���。二是商家利用自己的私人密鑰A對(duì)要發(fā)送的信息進(jìn)行加密進(jìn)成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個(gè)加密信息就只能被公開密鑰B解密�。這樣,由于只能應(yīng)用公開密鑰B解密,根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運(yùn)用了私人密鑰A進(jìn)行加密的結(jié)果,而私人密鑰A只有商家擁有,由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰A的商家發(fā)送的�����。
(二)應(yīng)用過程
具體到電子商務(wù),很多環(huán)節(jié)要用到公開密鑰加密法,例如在網(wǎng)絡(luò)銀行客戶與銀行進(jìn)行資金的支付結(jié)算操作時(shí),就涉及大量的資金流信息的安全傳輸與交換���。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例,來描述應(yīng)用公開密鑰加密法在兩種情況下的使用過程�����。首先,網(wǎng)絡(luò)銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B,私人密鑰A由網(wǎng)絡(luò)銀行乙自己獨(dú)自保存,而公開密鑰B已經(jīng)通過網(wǎng)絡(luò)某種應(yīng)用形式(如數(shù)字證書)分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶,當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開密鑰B��。
1.客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙,要求
“支付通知”在傳送中是密文,并且只能由網(wǎng)絡(luò)銀行乙解密知曉,從而實(shí)現(xiàn)了定點(diǎn)保密通信����?����?蛻艏桌毛@得的公開密鑰B在本地對(duì)“支付通知”明文進(jìn)行加密,形成“支付通知”密文,通過網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙�����。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進(jìn)行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的��。
2.網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后,必須回送客戶甲“支付確認(rèn)”,客戶甲在收到“支付確認(rèn)”后,斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來的,而不是別人假冒的,將來可作支付憑證,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認(rèn)證,網(wǎng)絡(luò)銀行不能隨意否認(rèn)或抵賴。網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后,準(zhǔn)備一個(gè)“支付確認(rèn)”明文,在本地利用自己的私人密鑰A對(duì)“支付確認(rèn)”明文進(jìn)行加密,形成“支付確認(rèn)”密文,通過網(wǎng)絡(luò)將密文傳輸給客戶甲��?�?蛻艏资盏健爸Ц洞_認(rèn)”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開密鑰B進(jìn)行解密,形成“支付確認(rèn)”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網(wǎng)絡(luò)銀行乙所有,因此客戶甲斷定這個(gè)“支付確認(rèn)”只能是網(wǎng)絡(luò)銀行乙發(fā)來的,不是別人假冒的,可作支付完成的憑證��。
(三)算法
當(dāng)前最著名���、應(yīng)用最廣泛的公開密鑰系統(tǒng)是RSA(取自三個(gè)創(chuàng)始人的名字的第一個(gè)字母)算法�����,RSA算法是第一個(gè)能同時(shí)用于加密和數(shù)字簽名的算法,也易于理解和操作�����。目前電子商務(wù)中大多數(shù)使用公開密鑰加密法進(jìn)行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法�。RSA算法是基于大數(shù)的因子分解,而大數(shù)的因子分解是數(shù)學(xué)上的一個(gè)難題�,其難度隨著模數(shù)n的位數(shù)加多而提高,網(wǎng)絡(luò)交易安全隨之提高�。(四)優(yōu)缺點(diǎn)優(yōu)點(diǎn)是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。能夠解決信息的否認(rèn)與抵賴問題,身份認(rèn)證較為方便����。密鑰分配簡單,公開密鑰可以像電話號(hào)碼一樣,告訴每一個(gè)網(wǎng)絡(luò)成員,商業(yè)伙伴需要好好保管的只是一個(gè)私人密鑰�。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便�。最大的缺陷就在于它的加解密速度慢。
第2篇
本文通過對(duì)不同電子商務(wù)強(qiáng)度的公司做網(wǎng)絡(luò)安全投資回報(bào)計(jì)算,進(jìn)而在經(jīng)濟(jì)性的基礎(chǔ)上�,對(duì)采用各種主要措施來加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范進(jìn)行評(píng)價(jià),從而幫助企業(yè)在投資網(wǎng)絡(luò)安全上做有效選擇,此研究無論從理論上還是實(shí)踐上都具有重要的現(xiàn)實(shí)意義��。
[關(guān)鍵詞] 投資 網(wǎng)絡(luò)安全 經(jīng)濟(jì)性
筆者所在公司的計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)常會(huì)遇到各種各樣的安全問題��,主要包括病毒感染��、惡意攻擊和疏忽大意�����。公司內(nèi)部建立了一個(gè)局域網(wǎng)�,有400多臺(tái)電腦通過一個(gè)服務(wù)器與外網(wǎng)連接,同時(shí)�,公司有自己的OA系統(tǒng)和正式對(duì)外信息的網(wǎng)站,這些都對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性提出了較高要求���。
幾年來����,我在管理公司整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的過程中,在為地稅系統(tǒng)做安全服務(wù)時(shí)����,參照研究了國內(nèi)外一些主要從事電子商務(wù)網(wǎng)站的經(jīng)驗(yàn)(主要是阿里巴巴網(wǎng)站和CISCO公司),并根據(jù)本企業(yè)實(shí)際情況和經(jīng)常發(fā)生的安全問題���,采取了一些較為適用的安全防范措施��。在不斷的選用和比較中���,我對(duì)投資網(wǎng)絡(luò)安全所帶來的經(jīng)濟(jì)回報(bào)有了一定的認(rèn)識(shí)。
事實(shí)上����,許多企業(yè)都愿意采用一個(gè)相對(duì)通用的方案來評(píng)價(jià)在網(wǎng)絡(luò)安全活動(dòng)和過程中的投資行為,一般是由一個(gè)專門的部門用多年時(shí)間來搜集數(shù)據(jù)��,然后幫助企業(yè)形成一個(gè)結(jié)構(gòu)良好的通用的投資回報(bào)分析報(bào)告����。處理這些通用數(shù)據(jù)需要一些步驟��,如下所示:
1.分析潛在經(jīng)濟(jì)影響
2.明確電子商務(wù)強(qiáng)度
3.檢驗(yàn)安全成本
4.計(jì)算一個(gè)通用的安全投資回報(bào)
一、分析潛在經(jīng)濟(jì)影響
對(duì)于病毒和入侵���,企業(yè)一般面臨三種類型的經(jīng)濟(jì)性影響――直接性經(jīng)濟(jì)影響���、短期性經(jīng)濟(jì)影響和長期性經(jīng)濟(jì)影響。據(jù)國家公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示����,2005年5月~2006年5月間,有54%的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件���,其中���,感染計(jì)算機(jī)病毒、蠕蟲和木馬程序的安全事件為84%�����,遭到端口掃描或網(wǎng)絡(luò)攻擊的占36%�����,垃圾郵件占35%��。未修補(bǔ)和防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最突出原因,占發(fā)生安全事件總數(shù)的73%��。
對(duì)于一個(gè)以網(wǎng)絡(luò)為支撐的���、單一業(yè)務(wù)的企業(yè)�����,惡意攻擊給其帶來的經(jīng)濟(jì)性影響如表1所示���。
表 1
來源: 《公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局》
在提交公司的調(diào)研報(bào)告上,我參照研究了《計(jì)算機(jī)經(jīng)濟(jì)》上的數(shù)據(jù)�,如表2所示。如果針對(duì)惡意攻擊����,企業(yè)沒有采用足夠的安全防護(hù),那些能夠預(yù)測(cè)到發(fā)生的平均經(jīng)濟(jì)影響�。可以看出����,對(duì)電子商務(wù)技術(shù)依賴的越多�����,惡意攻擊所帶來的負(fù)面經(jīng)濟(jì)影響就越大(表中節(jié)點(diǎn)數(shù)是指連接到網(wǎng)絡(luò)上的設(shè)備)。
表2
來源:《計(jì)算機(jī)經(jīng)濟(jì)》
表中的結(jié)果是過去五年的歷史數(shù)據(jù)所做的平均值���,主要包括清除被惡意代碼感染系統(tǒng)的成本��,黑客攻擊和入侵的恢復(fù)成本��,收入損失和員工生產(chǎn)率降低�。我公司屬于低強(qiáng)度電子商務(wù)公司���,有500個(gè)節(jié)點(diǎn)�,從2005年��、2006年兩年的各種安全技術(shù)�����、設(shè)備的使用對(duì)比中發(fā)現(xiàn):惡意攻擊給我公司帶來的經(jīng)濟(jì)影響要相對(duì)小于表2提供的數(shù)據(jù)����,但如果算上短期經(jīng)濟(jì)影響,基本符合了數(shù)值取向���。阿里巴巴網(wǎng)站算是一家高強(qiáng)度電子商務(wù)公司�,由于其具備網(wǎng)上實(shí)時(shí)交易的特性,所以它的安全等級(jí)要求極高�,而根據(jù)該公司曾提及的蠕蟲病毒等網(wǎng)絡(luò)攻擊給其帶來的損失來看,要遠(yuǎn)大于表2提供數(shù)據(jù)�。
二、明確電子商務(wù)的強(qiáng)度
在明確一家企業(yè)電子商務(wù)強(qiáng)度的時(shí)候���,需要考慮的����、能支持該公司電子商務(wù)強(qiáng)度的因素如下:
1.信息系統(tǒng)員工崗位是否多樣化
2.是否有合適的電子商務(wù)軟件
3.是否有自己的網(wǎng)站���、有多條互聯(lián)網(wǎng)接入
4.是否用信息技術(shù)支持電子通信
5.是否有基于網(wǎng)絡(luò)的B2B�、B2C交易
6.是否通過網(wǎng)站進(jìn)行電子數(shù)據(jù)交換
7.是否支持通過直接撥號(hào)與供應(yīng)商��、消費(fèi)者進(jìn)行電子數(shù)據(jù)交換
三���、安全成本有哪些
花費(fèi)在安全方面的IT預(yù)算很難確定標(biāo)準(zhǔn)�����。近來大部分的研究表明���,多數(shù)企業(yè)在安全方面花費(fèi)不足2%的IT預(yù)算。在企業(yè)內(nèi)��,系統(tǒng)的可用性�、數(shù)據(jù)的完整性和保密性都極度重要,國內(nèi)有些專家呼吁����,企業(yè)應(yīng)花費(fèi)其IT預(yù)算總額的5%用于安全。
事實(shí)上��,安全方面的預(yù)算支出常常是一個(gè)經(jīng)驗(yàn)值��,通過一些基礎(chǔ)數(shù)據(jù)�,逐步摸索出一個(gè)相對(duì)經(jīng)濟(jì)的安全防范成本。安全防范的成本可以被劃分為許多子類����,而且不同的企業(yè)差異也很大。
四����、計(jì)算一個(gè)通用的安全投資回報(bào)
當(dāng)要計(jì)算安全投資回報(bào)時(shí),一定要考慮使用一些變量�。首先應(yīng)該考慮的是耗費(fèi)在安全方面的資金量���。其次,明確當(dāng)前的威脅水平����,或者至少是知道當(dāng)前的威脅大概什么樣。最后��,還有法律��、法規(guī)和安全的要求����,這需要不同類型的組織采取一些有效措施來保護(hù)信息免受攻擊。為達(dá)到合法����、合規(guī)的目的,這些組織就需要花費(fèi)成本��,也許會(huì)超過平衡點(diǎn)���,以此來幫助企業(yè)告知當(dāng)前威脅水平(這點(diǎn)��,我們企業(yè)經(jīng)常會(huì)接到哈爾濱市網(wǎng)絡(luò)安全管理局定期的網(wǎng)絡(luò)病毒報(bào)告)����。
在電子商務(wù)企業(yè)中,惡意攻擊對(duì)潛在的經(jīng)濟(jì)影響是相當(dāng)大的����,這也增加企業(yè)對(duì)安全產(chǎn)品和相關(guān)人員的需求�。
五、總結(jié)
如果能夠相對(duì)清晰地計(jì)算你的投資回報(bào)�,這將有利于你在網(wǎng)絡(luò)安全方面做正確的決定,將擁有一個(gè)安全的基礎(chǔ)來進(jìn)行信息共享�����,可以通過電子商務(wù)來增加你的收入����,可以通過提高人員效率來增加企業(yè)利潤。
參考文獻(xiàn):
[1]張寬海:《電子商務(wù)概論》,機(jī)械工業(yè)出版社,2003年
[2]丘曉理:《部屬安全的無線局域網(wǎng)絡(luò)》�,摘自《計(jì)算機(jī)世界――技術(shù)與應(yīng)用》,2006年第37期
第3篇
隨著現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展�����,電子商務(wù)得到了越來越廣泛的應(yīng)用����,越來越多的企業(yè)和個(gè)人用戶依賴于電子商務(wù)的高效和快捷而進(jìn)行著各種商務(wù)活動(dòng)��。電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性��,這是網(wǎng)上交易的基礎(chǔ)����。電子商務(wù)是以計(jì)算機(jī)和開放的網(wǎng)絡(luò)為基礎(chǔ)載體的�,大量重要的身份信息、金融信息��、交易信息都需要在網(wǎng)上進(jìn)行電子的傳輸�����,電子商務(wù)安全支付問題成為大家共同關(guān)心的問題��。伴隨著各種移動(dòng)終端和無線網(wǎng)絡(luò)的不斷發(fā)展和完善��,移動(dòng)支付在不僅是一個(gè)重要的機(jī)遇�����,同時(shí)也帶來了一個(gè)重大的挑戰(zhàn)。
2電子商務(wù)及信息安全現(xiàn)狀
近年來�,電子商務(wù)開始了蓬勃地發(fā)展,但電子商務(wù)安全隱患嚴(yán)重地影響了電子商務(wù)的進(jìn)行�����。信息安全問題成為制約我國電子商務(wù)發(fā)展的重要因素還是�����,因此�,必須從技術(shù)上為電子商務(wù)交易活動(dòng)提供機(jī)密性�����、完整性�����、真實(shí)性和抗抵賴性等安全保障��。我們將從電子商務(wù)和信息安全兩個(gè)方面分別進(jìn)行討論�����。
2.1 電子商務(wù)發(fā)展現(xiàn)狀
依據(jù)國家互聯(lián)網(wǎng)中心(CNNIC)的最新報(bào)告,2013年網(wǎng)絡(luò)購物市場(chǎng)繼續(xù)快速向前發(fā)展���,交易金額達(dá)到1.85萬億元����,較2012年增長40.9%�。2013年網(wǎng)絡(luò)零售市場(chǎng)交易總額占社會(huì)消費(fèi)品零售總額的7.9%。
截至2013年12月����,我國網(wǎng)絡(luò)購物用戶規(guī)模達(dá)到3.02億,較上年增加5987萬�,增長率為24.7%,使用率從42.9%提升至48.9%����。網(wǎng)購用戶規(guī)模的快速擴(kuò)張為網(wǎng)購市場(chǎng)的發(fā)展奠定良好的用戶基礎(chǔ),釋放著巨大的市場(chǎng)潛力���。
2.2 信息安全現(xiàn)狀
近年來��,雖然安全軟件逐漸普及���、防范能力不斷加強(qiáng)����,但新的病毒�����、詐騙手段和騷擾手段不斷涌現(xiàn)��,安全軟件防范難度加大���,安全事件發(fā)生概率仍然較高��。整體上來講�����,我國信息安全環(huán)境仍不容樂觀,有74.1%的網(wǎng)民在過去半年內(nèi)遇到過安全事件��,總?cè)藬?shù)達(dá)4.38億�����。
電腦網(wǎng)上購物發(fā)生安全問題的網(wǎng)民數(shù)占整體電腦上網(wǎng)人數(shù)的4.0%����,影響人口達(dá)2010.6萬人���。電腦網(wǎng)上購物發(fā)生安全事故較多的是遇到欺詐信息,在網(wǎng)購安全事故發(fā)生人群中的發(fā)生比例達(dá)75.0%����;其次為假冒網(wǎng)站/詐騙網(wǎng)站,比例為60.7%�����;其它方面�,個(gè)人信息泄露比例達(dá)42.9%、賬號(hào)密碼被盜比例達(dá)23.8%��、中病毒和木馬的情況為22.6%���。
網(wǎng)購時(shí)發(fā)生這些安全事件����,不僅給購物者造成損失�����,同時(shí)也影響電子商務(wù)的健康發(fā)展。
3電子支付安全
在電子商務(wù)的交易完成后�,如何保證交易的任何一方無法否認(rèn)已發(fā)生的交易。這些安全問題將在很大程度上限制電子商務(wù)的進(jìn)一步發(fā)展�,因此如何保證Internet 網(wǎng)上信息傳輸?shù)陌踩殉蔀榘l(fā)展電子商務(wù)的重要環(huán)節(jié)��。電子支付涉及到大量資金流的轉(zhuǎn)移以及個(gè)人隱私或商業(yè)機(jī)密����,而這種支付是發(fā)生在開放性程度非常高的互聯(lián)網(wǎng)上,必須從技術(shù)上為電子商務(wù)交易活動(dòng)提供機(jī)密性�、完整性、真實(shí)性和抗抵賴性等安全保降���。因此���,要對(duì)網(wǎng)上安全電子支付提出以下的要求:
(1)交易數(shù)據(jù)的保密性。保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶����、實(shí)體或過程��,或供其利用的特性�����。即,防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w����,信息只為授權(quán)用戶使用的特性。電子支付過程主要處理與金融數(shù)據(jù)有關(guān)的信息�, 數(shù)據(jù)處理量大,且每筆數(shù)據(jù)都會(huì)影響到一定的經(jīng)濟(jì)利益��,因此���,交易過程中產(chǎn)生的與支付有關(guān)的數(shù)據(jù)應(yīng)該被嚴(yán)格保密����, 除交易雙方以及被授權(quán)第三方外���,必須保護(hù)支付交易的私密性��,同時(shí)要防止信息被越權(quán)訪問�����。
(2)交易數(shù)據(jù)的完整性�����。完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性���。即網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過程中保持不被偶然或蓄意地刪除�、修改��、偽造����、亂序、重放�、插入等破壞和丟失的特性。交易數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過程中的完整性和有效性���,即發(fā)送方發(fā)出的數(shù)據(jù)與接收方收到數(shù)據(jù)應(yīng)該是相同的���、未經(jīng)更改的。
(3)交易數(shù)據(jù)的不可抵賴性���。不可抵賴性也稱作不可否認(rèn)性����,在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中���,確信參與者的真實(shí)同一性�。即����,所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實(shí)地否認(rèn)已發(fā)送信息���,利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息����。
電子商務(wù)交易過程是雙方或者是多方的�,其中一方抵賴自己的交易都會(huì)給另一方帶來利益損失,因此必須保證交易雙方在交易后都無法否認(rèn)和抵賴�����。
4電子商務(wù)支付安全中主流技術(shù)
電子支付中交易信息的安全在很大程度上依賴于網(wǎng)絡(luò)信息安全技術(shù)的完善���,電子商務(wù)安全是信息安全的上層應(yīng)用��, 它包括的技術(shù)范圍比較廣���, 主要分為數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)兩大類��。
4.1數(shù)據(jù)加密技術(shù)
加密技術(shù)是保證電子商務(wù)中采用的主要安全措施����, 交易雙方可根據(jù)需要在信息交換階段使用�。在一個(gè)加密過程中有兩個(gè)基本元素: 算法和密鑰。加密過程就是根據(jù)一定的算法����, 將可理解的數(shù)據(jù)(明文) 與一串?dāng)?shù)字( 密鑰) 相結(jié)合, 從而產(chǎn)生不可理解的密文的過程�, 主要加密技術(shù)是對(duì)稱密文加密和非對(duì)稱加密
(1)對(duì)稱密文加密。對(duì)稱密鑰加密又稱為秘密密鑰加密����, 即收發(fā)雙方采用相同的密鑰來進(jìn)行加密和解密, 對(duì)稱密鑰加密的最大優(yōu)點(diǎn)是加解密速度快���, 適合于進(jìn)行大量數(shù)據(jù)加密��, 但也存在密鑰管理�����、困難以及無法進(jìn)行身份鑒別的缺點(diǎn)���。
(2)非對(duì)稱密鑰加密。非對(duì)稱密鑰加密也稱為公開密鑰加密�����, 每個(gè)用戶有一對(duì)密鑰:一個(gè)用于加密���, 一個(gè)用于解密�, 兩把密鑰實(shí)際上是兩個(gè)很大的質(zhì)數(shù)��, 加解密過程����。其中, 加密密鑰(公鑰) 可以在網(wǎng)絡(luò)服務(wù)器��、報(bào)刊等場(chǎng)合公開���, 而解密密鑰(私鑰) 則屬用戶的私有密鑰�, 由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實(shí)現(xiàn)的。與對(duì)稱密鑰加密相比�����, 采用非對(duì)稱密鑰加密方式密鑰管理較方便���, 且保密性比較強(qiáng)�����, 但加解密實(shí)現(xiàn)速度比較慢���, 不適用于通信負(fù)荷較重的應(yīng)用。
數(shù)據(jù)加密技術(shù)是信息安全的基礎(chǔ)�,加密的主要目的是防止信息的非授權(quán)泄露、保證交易信息的保密性����、完整性和不可抵賴性的要求。
4.2主流身份認(rèn)證方式
身份認(rèn)證技術(shù)是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程所應(yīng)用的技術(shù)手段�����。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者����,也就是說保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)��。
(1)用戶名口令��。針對(duì)盜取密碼的惡意軟件越來越多
(2)動(dòng)態(tài)口令��。動(dòng)態(tài)口令也稱動(dòng)態(tài)密碼����,是根據(jù)專門的算法每隔一定時(shí)間生成一個(gè)與時(shí)間相關(guān)的隨機(jī)密碼�。用戶進(jìn)行認(rèn)證時(shí)候�,除輸入賬號(hào)和靜態(tài)口令之外,必須要求輸入動(dòng)態(tài)口令����。通過“動(dòng)態(tài)密碼”登錄的用戶沒有電子簽名,這樣也就沒有具有法律效力的認(rèn)證材料��。因此�����,“動(dòng)態(tài)密碼”它只適用于金額小的交易�����,對(duì)于金額大、使用頻繁的用戶�����,其安全性存在一定的風(fēng)險(xiǎn)�。
(3)數(shù)字證書。數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)(即CA中心)簽發(fā)的證書��。它的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密�����、數(shù)字簽名和簽名驗(yàn)證��,確保網(wǎng)上傳遞信息的機(jī)密性�����、完整性���。為解決這些Internet 的安全問題�����,世界各國對(duì)其進(jìn)行了多年的研究���,初步形成了一套完 整的Internet 安全解決方案�,即被廣泛采用的PKI 技術(shù)(Public Key Infrastructure-公鑰基礎(chǔ)設(shè)施)�。公鑰基礎(chǔ)設(shè)施PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。采用基于PKI 結(jié)構(gòu)結(jié)合數(shù)字證書�,通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密,保證信息傳輸?shù)谋C苄?��、完整性����,簽名保證身份的真實(shí)性和抗抵賴��。
(4)生物特征識(shí)別��。生物識(shí)別技術(shù)主要是指通過人類生物特征進(jìn)行身份認(rèn)證的一種技術(shù)�����。由于人的生物特征具有唯一性和穩(wěn)定性的特點(diǎn)�,并且可隨身攜帶���、不易被盜�����、不易被偽造��、不易丟失����,所以生物特征識(shí)別成為目前最安全的身份認(rèn)證技術(shù)。但是�����,生物特征識(shí)別通常需要昂貴的專用設(shè)備����、受使用環(huán)境限制等缺點(diǎn),在電子支付中較少采用��。
每一種身份認(rèn)證方式都有其優(yōu)勢(shì)也存在一定的局限性�。動(dòng)態(tài)密碼以方便便捷且與平臺(tái)無關(guān)性,通過電腦�����、手機(jī)、IPAD都可以使用等優(yōu)點(diǎn)在網(wǎng)銀�、網(wǎng)游、電信領(lǐng)域成為電子支付重要的身份認(rèn)證方式�����,主流產(chǎn)生形式有手機(jī)短信���、硬件令牌�、手機(jī)令牌等�。基于數(shù)字證書的身份認(rèn)證是電子支付中最安全解決方案����。但是,需要專用的硬件和客戶支持����,使用不如動(dòng)態(tài)密碼方便快捷���,一般用于大額電子交易���。
5電子商務(wù)發(fā)展趨勢(shì)
依據(jù)CNNIC報(bào)告����,2014年電子商務(wù)類應(yīng)用整體行業(yè)發(fā)展態(tài)勢(shì)良好����,手機(jī)支付是亮點(diǎn)。隨著線上與線下渠道的打通及多類移動(dòng)應(yīng)用的服務(wù)帶動(dòng)��,手機(jī)支付呈現(xiàn)爆發(fā)式增長����,手機(jī)網(wǎng)上支付、手機(jī)網(wǎng)絡(luò)購物�����、手機(jī)網(wǎng)上銀行和手機(jī)網(wǎng)上預(yù)訂應(yīng)用網(wǎng)民規(guī)模年增長速度均超過100%���。手機(jī)網(wǎng)絡(luò)購物在移動(dòng)端商務(wù)市場(chǎng)發(fā)展迅速�,用戶規(guī)模達(dá)到1.44億���,使用率從13.2%提升到28.9%����。
截至2014年6月,我國手機(jī)網(wǎng)民規(guī)模達(dá)5.27億����,較2013年底增加2699萬人,網(wǎng)民中使用手機(jī)上網(wǎng)的人群占比進(jìn)一步提升��,由2013年的81.0%提升至83.4%��,手機(jī)網(wǎng)民規(guī)模首次超越傳統(tǒng)PC網(wǎng)民規(guī)模����。
隨著移動(dòng)電子商務(wù)的普及和發(fā)展,移動(dòng)支付業(yè)務(wù)受到了越來越多的關(guān)注���,而其安全性更是成為大眾關(guān)注的焦點(diǎn)���。由于移動(dòng)終端種類繁雜、使用環(huán)境也更為復(fù)雜��、基于數(shù)字證書的身份認(rèn)證和數(shù)字簽名技術(shù)兼容性和成熟度遠(yuǎn)不及PC平臺(tái)����,并且移動(dòng)終端本身的安全性問題也給動(dòng)態(tài)口令等身份認(rèn)證方式帶來了新的安全問題和挑戰(zhàn)。
第4篇
[關(guān)鍵詞] 電子商務(wù) 靜態(tài)密碼 網(wǎng)絡(luò)安全 客戶證書 動(dòng)態(tài)密碼
電子商務(wù)源于英文ELECTRONIC COMMERCE��,指的是利用簡單����、快捷、低成本的電子通訊方式���,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)���。隨著電子商務(wù)的普及,人們已經(jīng)習(xí)慣于網(wǎng)上購物����,網(wǎng)上銀行和電子支付等新興事物,然而網(wǎng)絡(luò)安全始終是制約電子商務(wù)發(fā)展的一個(gè)主要瓶頸��。
一�����、電子商務(wù)的身份認(rèn)證
在電子商務(wù)活動(dòng)中���,由于所有的個(gè)人和交易信息要在一個(gè)開放的網(wǎng)絡(luò)(如Internet)進(jìn)行傳輸和交換��,故我們需要身份認(rèn)證技術(shù)去驗(yàn)證客戶的身份����。身份認(rèn)證一般基于客戶擁有什么(如令牌,智能卡或者ID卡)��,客戶知道什么(如靜態(tài)密碼)�����,客戶有什么特征(如指紋�,虹膜和腦電波等)。國內(nèi)外常見身份認(rèn)證技術(shù)包括:用戶名/密碼方式 ����、IC卡認(rèn)證、USB Key認(rèn)證和生物特征認(rèn)證等��。隨著網(wǎng)絡(luò)和黑客技術(shù)的發(fā)展����,用戶名/密碼方式認(rèn)證已經(jīng)被證明是不安全的。由于靜態(tài)的密碼方案不能抵御重放攻擊�����,字典攻擊且密碼容易忘記����, 所以其安全性是很低的,不能滿足電子商務(wù)中身份認(rèn)證的要求��。目前國內(nèi)外的一些較成熟的身份認(rèn)證技術(shù)�����,基本上是用硬件來實(shí)現(xiàn)的(如IC卡和USB Key認(rèn)證技術(shù)等)�����。
二�����、各種身份認(rèn)證技術(shù)的比較
1. 靜態(tài)的用戶名和口令方案��。在眾多的身份認(rèn)證方案中�����,靜態(tài)的用戶名和口令方案至今仍是使用最廣泛的方案�����,特別是針對(duì)那些安全性要求不強(qiáng)的應(yīng)用場(chǎng)合,如論壇�����,BBS和電子信箱����。目前公司和個(gè)人受到網(wǎng)絡(luò)攻擊的主要原因是靜態(tài)密碼政策管理不善。大多數(shù)用戶使用的密碼都是字典中可查到的普通單詞�����、姓名或者其他簡單的密碼�����。有86%的用戶在所有網(wǎng)站上使用的都是同一個(gè)密碼或者有限的幾個(gè)密碼��。最近一次全國性安全事件發(fā)生在2011年12月�。當(dāng)時(shí)CSDN的安全系統(tǒng)遭到黑客攻擊,600萬用戶的登錄名��、密碼及郵箱遭到泄漏��。黑客在獲取了CSDN的用戶登錄名和密碼后,再用這個(gè)密碼嘗試登錄注冊(cè)郵箱��,如果成功則利用很多網(wǎng)站常用的密碼取回功能得到了該用戶的其他關(guān)聯(lián)網(wǎng)站的賬號(hào)和密碼���。總而言之���,靜態(tài)密碼身份認(rèn)證方案的優(yōu)點(diǎn)是實(shí)施成本低����,不需要購置特殊的設(shè)備�����,用戶體驗(yàn)性好���,但其安全性較低��。
2. 客戶證書USBKey(U盾)方案��。從技術(shù)角度看�����,客戶證書USBKey是用于網(wǎng)上銀行電子簽名和數(shù)字認(rèn)證的工具�����,它內(nèi)置微型智能卡處理器��,采用1024位非對(duì)稱密鑰算法對(duì)網(wǎng)上數(shù)據(jù)進(jìn)行加密����、解密和數(shù)字簽名,確保網(wǎng)上交易的保密性���、真實(shí)性����、完整性和不可否認(rèn)性��。目前國內(nèi)幾大商業(yè)銀行��,如工商銀行��、農(nóng)業(yè)銀行和交通銀行等都采用了USBKey方案��。網(wǎng)絡(luò)黑客即使知道了客戶的登錄密碼和支付密碼�,但如果沒有USBKey在手�����,黑客還是不能夠從你的帳戶轉(zhuǎn)出一分錢��。故這種身份認(rèn)證方式可以很好地避免賬號(hào)���、密碼被盜等可能出現(xiàn)的風(fēng)險(xiǎn)。USBKey方案的優(yōu)點(diǎn)是安全性很強(qiáng)���,但由于涉及到了硬件故其成本較高,且USBKey使用前需要先安裝驅(qū)動(dòng)���。對(duì)于一些常常出差或者需要在不同機(jī)器上使用USBKey的客戶來說����,由于計(jì)算機(jī)各種操作系統(tǒng)(如Windows和Linux)和硬件(各種不同品牌機(jī)器)的差異性�,可能在安裝時(shí)會(huì)遇到一些兼容性問題,這大大減低了用戶的體驗(yàn)滿意度�����。
3.短信認(rèn)證方案�����。目前一些大型電子商務(wù)網(wǎng)站往往采取“靜態(tài)密碼+短信認(rèn)證”方案。該類系統(tǒng)使用數(shù)字物理噪聲源產(chǎn)生完全隨機(jī)變化的動(dòng)態(tài)(驗(yàn)證)密碼,并通過無線通信方式將該動(dòng)態(tài)密碼發(fā)送到用戶的無線通信終端(尋呼機(jī)或移動(dòng)電話等) 上��。譬如支付寶網(wǎng)站在用戶支付小額金額時(shí)只需輸入支付密碼����,但額度如果超過一定額度(如200元),則支付寶網(wǎng)站向用戶手機(jī)(注冊(cè)時(shí)登記的號(hào)碼)發(fā)一條驗(yàn)證短信�,然后用戶在網(wǎng)站上輸入6位的手機(jī)驗(yàn)證碼和支付密碼后才能完成付款。采用這種身份認(rèn)證方式的優(yōu)點(diǎn)是既保證了小額支付的快捷性����,又保證了大額支付的安全性。但由于該認(rèn)證系統(tǒng)的實(shí)時(shí)性和穩(wěn)定性在很大的程度上依賴于無線通信網(wǎng)的狀態(tài)��,當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)將導(dǎo)致驗(yàn)證密碼傳輸會(huì)有較大的時(shí)延,甚至將使系統(tǒng)無法正常完成身份認(rèn)證過程�����,而且由于短信的發(fā)送會(huì)產(chǎn)生大量的短信費(fèi)用��,對(duì)中小型電子商務(wù)網(wǎng)站來說仍然是不小的開銷�����。
4.動(dòng)態(tài)口令認(rèn)證方案。動(dòng)態(tài)口令又稱為一次性口令OTP(One-Time-Password)���,其特點(diǎn)是用戶根據(jù)服務(wù)商提供的動(dòng)態(tài)口令令牌的顯示數(shù)字來輸入動(dòng)態(tài)口令��,而且每個(gè)登錄服務(wù)器的口令只使用一次��,竊聽者無法用竊聽到的登錄口令來做下一次登錄��,同時(shí)利用單向散列函數(shù)(如 Sha-1算法等)的不可逆性����,防止竊聽者從竊聽到的登錄口令推出下一次登錄口令���。中國銀行就是采用了動(dòng)態(tài)口令認(rèn)證方案。該方案的特點(diǎn)使用簡單��,用戶無須安裝任何驅(qū)動(dòng)���,操作時(shí)只需輸入當(dāng)前顯示的6位動(dòng)態(tài)口令即可�����。其不足之處是安全性沒有USBKey強(qiáng)��,如在2011年上半年�,全國各地出現(xiàn)了多起中國銀行動(dòng)態(tài)口令泄露安全事件。黑客們首先設(shè)計(jì)了多個(gè)釣魚網(wǎng)站��,然后引誘中銀用戶輸入登錄密碼和動(dòng)態(tài)口令�����。動(dòng)態(tài)口令雖然為一次性口令����,但其在60秒之內(nèi)是可反復(fù)使用的。故黑客得到了用戶的登錄密碼和動(dòng)態(tài)口令之后�����,只要在1分鐘內(nèi)登錄進(jìn)真正的中銀系統(tǒng)后就可以完成轉(zhuǎn)賬等竊取用戶資金的操作了���。
三��、結(jié)束語
作為一種商務(wù)活動(dòng)過程���,電子商務(wù)將帶來一場(chǎng)史無前例的革命��,而電子商務(wù)網(wǎng)站的安全性問題也越來越受到人們的重視��,其身份認(rèn)證也已從最初的邏輯認(rèn)證發(fā)展到物理認(rèn)證最終將達(dá)到生物認(rèn)證�����,希望在不久的將來安全可靠的電子商務(wù)會(huì)將人類真正帶入信息社會(huì)���。
第5篇
[關(guān)鍵詞] 電子商務(wù) 加密技術(shù) 數(shù)字簽名
一、引言
隨著Internet的發(fā)展���,電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式�����。越來越多的人通過Internet進(jìn)行商務(wù)活動(dòng)�。電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息����。電子商務(wù)安全問題是電子商務(wù)發(fā)展中的一個(gè)主要障礙�����。電子商務(wù)安全技術(shù)的應(yīng)用為建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對(duì)商家和客戶的信息提供足夠的保護(hù),起著關(guān)鍵性的作用����。
二、電子商務(wù)面臨的安全問題
1.信息的截獲和竊取
由于未采用加密措施,信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息��。通過多次竊取和分析,可以找到信息的規(guī)律和格式,進(jìn)而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密�。
2.篡改信息
當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法�����,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改����,然后再發(fā)向目的地。
3.信息假冒
由于掌握了數(shù)據(jù)的格式����,并可以篡改通過的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息����,而遠(yuǎn)端用戶通常很難分辨。
4.交易抵賴
交易抵賴包括多個(gè)方面���,如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容�;收信者事后否認(rèn)曾經(jīng)收到過某條消息或內(nèi)容;購買者做了訂單不承認(rèn)���;商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易等�。
5.惡意破壞
由于攻擊者可以接入網(wǎng)絡(luò)����,則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息�����,甚至可以潛入網(wǎng)絡(luò)內(nèi)部���,其后果是非常嚴(yán)重的�����。
三�、電子商務(wù)安全技術(shù)
1.密碼技術(shù)
密碼技術(shù)是信息安全的核心技術(shù)�。對(duì)信息安全的需求大部分可以通過密碼技術(shù)來實(shí)現(xiàn)��。密碼技術(shù)包括加密、簽名認(rèn)證和密鑰管理技術(shù)等����。
(1)加密技術(shù)。數(shù)據(jù)加密的基本過程就是對(duì)原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容,通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取�����、閱讀的目的��。加密技術(shù)通常分為兩大類:“對(duì)稱式”和“非對(duì)稱式”����。加密技術(shù)是保證電子商務(wù)安全的重要手段,許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)�。
(2)數(shù)字簽名。在電子商務(wù)安全系統(tǒng)中,數(shù)字簽名技術(shù)占有重要的地位�。在電子商務(wù)安全服務(wù)中的源鑒別、完整�����、不可否認(rèn)服務(wù)中,都要用到數(shù)字簽名技術(shù)��。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實(shí)的�。目前,數(shù)字簽名一般都通過單向Hash函數(shù)來實(shí)現(xiàn),它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性�����。通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性�����。數(shù)字簽名技術(shù)將具有廣闊的應(yīng)用前景,它將直接影響電子商務(wù)的發(fā)展��。
(3)密鑰管理技術(shù)��。密鑰管理包括密鑰的產(chǎn)生���、存儲(chǔ)、裝入��、分配��、保護(hù)����、丟失、銷毀以及保密等內(nèi)容����。其中分配和存儲(chǔ)是最棘手的問題����。密鑰管理不僅影響系統(tǒng)的安全性�,而且涉及系統(tǒng)的可靠性���、有效性和經(jīng)濟(jì)性�。在用密碼技術(shù)保護(hù)的現(xiàn)代信息系統(tǒng)的安全性主要取決于對(duì)密鑰的保護(hù)��。密鑰管理技術(shù)主要包括:對(duì)稱密鑰管理;公開密鑰管理����,第三方托管技術(shù)。
2.網(wǎng)絡(luò)安全技術(shù)
(1)防火墻技術(shù)��。防火墻可以根據(jù)網(wǎng)絡(luò)安全水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對(duì)獨(dú)立的子網(wǎng)�,兩側(cè)間的通信受到防火墻的檢查控制;可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過�����,同時(shí)將安全策略不允許的用戶與數(shù)據(jù)包隔斷���,達(dá)到保護(hù)高安全等級(jí)的子網(wǎng)����、防止墻外黑客的攻擊、限制入侵蔓延等目的����。防火墻具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)��、出網(wǎng)絡(luò)的訪問行為���;封堵某些禁止行為�;記錄通過防火墻的信息內(nèi)容和活動(dòng)����;對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。目前的防火墻主要有兩種類型����。其一是包過濾型防火墻,其二是應(yīng)用級(jí)防火墻���。
(2)虛擬專用網(wǎng)VPN技術(shù)���。虛擬專用網(wǎng)VPN是一種特殊的網(wǎng)絡(luò)���,它采用一種叫做“通道”或“數(shù)據(jù)封裝”的系統(tǒng),用公共網(wǎng)絡(luò)及其協(xié)議向貿(mào)易伙伴���、顧客、供應(yīng)商和雇員發(fā)送敏感的數(shù)據(jù)�����。這種通道是Internet上的一種專用通道�,可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸。在VPN中�,只要通信的雙方默認(rèn)即可,沒有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證?���,F(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進(jìn)一步增加VPN的安全性,因而能夠保證數(shù)據(jù)的保密性和可用性����。VPN實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道技術(shù)、加密技術(shù)和QoS(服務(wù)質(zhì)量)技術(shù)�。
(3)入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是防火墻技術(shù)的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊��,擴(kuò)展了系統(tǒng)管理員的安全管理能力���,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性�。其最重要的價(jià)值之一是它能提供事后統(tǒng)計(jì)分析���,所有安全事件或?qū)徲?jì)事件的信息都將被記錄在數(shù)據(jù)庫中��,通過從各個(gè)角度對(duì)這些事件進(jìn)行分析歸類�,可以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢(shì)��,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問題或漏洞�,并可歸納出相應(yīng)的解決方案。入侵檢測(cè)的主要方法有:靜態(tài)配置分析��,異常性檢測(cè)方法�����、基于行為的檢測(cè)方法及幾種方法的組合�。
(4)安全交易協(xié)議。除了各種安全控制技術(shù)之外�,電子商務(wù)的運(yùn)行還需要一套完整的安全交易協(xié)議�。不同交易協(xié)議的復(fù)雜性����、開銷、安全性各不同�����。同時(shí)��,不同的應(yīng)用環(huán)境對(duì)協(xié)議目標(biāo)的要求也不盡相同�。目前��,比較成熟的協(xié)議有安全套接層協(xié)議(SSL)和安全電子交易協(xié)議(SET)�����。
三���、小結(jié)
用于保護(hù)電子商務(wù)的安全控制技術(shù)很多��,并非把這些技術(shù)簡單地組合就可以得到安全�。但是通過合理應(yīng)用安全控制技術(shù)����,并進(jìn)行有機(jī)結(jié)合����,就可從技術(shù)上實(shí)現(xiàn)系統(tǒng)�����、有效的電子商務(wù)安全��。
參考文獻(xiàn):
[1]張立克:電子商務(wù)及其安全保障技術(shù)[J].水利電力機(jī)械,2007,29(2):69~74
[2]祝凌曦:電子商務(wù)安全[D].北京:清華大學(xué)出版社,2006
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 電子商務(wù)
隨著互聯(lián)網(wǎng)的快速發(fā)展����,電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第27次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》統(tǒng)計(jì)����,中小企業(yè)互聯(lián)網(wǎng)接入比例達(dá)92.7%,規(guī)模較大的企業(yè)互聯(lián)網(wǎng)接入比例更是接近100%�。43%的中國企業(yè)擁有獨(dú)立網(wǎng)站或在電子商務(wù)平臺(tái)建立網(wǎng)店;57.2%的企業(yè)利用互聯(lián)網(wǎng)與客戶溝通���,為客戶提供咨詢服務(wù)���;中小企業(yè)電子商務(wù)/網(wǎng)絡(luò)營銷應(yīng)用水平為42.1%�?��?梢哉f�,電子商務(wù)已經(jīng)深入國民經(jīng)濟(jì)和人們?nèi)粘I畹母鱾€(gè)方面����。但其安全問題也越來越突出,知名安全企業(yè)RSA執(zhí)行主席亞瑟?科維洛的一份中國報(bào)告稱�,2.17億中國用戶遭受木馬攻擊,1.21億用戶賬戶或密碼曾被盜����。如何建立一個(gè)安全便捷的電子商務(wù)環(huán)境,是擺在電子商務(wù)眾多商家和買家面前的一個(gè)難題�����。
一����、網(wǎng)絡(luò)安全問題主要有以下幾種
1����、特羅伊木馬
特羅伊木馬���,簡稱木馬。在近期��,黑客開始利用人性的弱點(diǎn)開始發(fā)起行動(dòng)��,他們往往利用免費(fèi)破解軟件�����、誘惑視頻播放器�����、免費(fèi)外掛軟件以及網(wǎng)絡(luò)傳送文件等捆綁木馬����。木馬在用戶安裝破解軟件、播放器及外掛時(shí)�����,在運(yùn)行安裝程序的時(shí)候隱藏在計(jì)算機(jī)系統(tǒng)�����,隱蔽的與外界連接,接受外界的指令�。被植入木馬的電腦系統(tǒng)所有文件將會(huì)被黑客獲得,在用戶登陸電子商務(wù)網(wǎng)站輸入用戶名密碼及行進(jìn)支付的時(shí)候的賬號(hào)及密碼會(huì)被木馬竊取發(fā)送給黑客��。而且系統(tǒng)也會(huì)被黑客所控制�����,被利用作為攻擊其它系統(tǒng)的攻擊源�。據(jù)360安全中心統(tǒng)計(jì),今年上半年�����,國內(nèi)新增木馬病毒樣本4.48億個(gè)(以惡意程序的文件指紋數(shù)量計(jì)算)�����,平均每秒出現(xiàn)29個(gè)新木馬�����,是去年同期的4.46倍��,受攻擊的電腦數(shù)量日均則達(dá)到452.5萬臺(tái)�����。
2��、釣魚網(wǎng)站
又稱網(wǎng)絡(luò)仿冒���、網(wǎng)絡(luò)欺詐等�����。是一種網(wǎng)絡(luò)欺詐行為���,一般通常偽裝成為銀行網(wǎng)站,黑客等不法份子利用郵件����、QQ、群發(fā)短信等手段�����,利用中獎(jiǎng)信息�����、網(wǎng)站升級(jí)、客戶服務(wù)等信息����,在其中提供偽裝的鏈接使其鏈接到釣魚網(wǎng)站。一般來說����,釣魚網(wǎng)站和真實(shí)網(wǎng)站界面完全一致,在要求用戶登陸的過程中竊取用戶的信用卡號(hào)����、賬戶名、密碼等信息�����。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)聯(lián)合國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)最新的《2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查報(bào)告》顯示���,2009年有超過九成網(wǎng)民遇到過網(wǎng)絡(luò)釣魚��,在遭遇過網(wǎng)絡(luò)釣魚事件中的網(wǎng)民中����,4500萬網(wǎng)民蒙受了損失�,直接經(jīng)濟(jì)損失已經(jīng)達(dá)到了76億元。
3�����、分布式拒絕服務(wù)(DDoS)
分布式拒絕服務(wù)攻擊就是黑客利用其在互聯(lián)網(wǎng)上控制的很多計(jì)算機(jī)�����,同時(shí)向某一電子商務(wù)網(wǎng)站服務(wù)器發(fā)送數(shù)據(jù)包����,達(dá)到妨害其網(wǎng)絡(luò)與系統(tǒng)之間的正常服務(wù),讓用戶不能得到正常服務(wù)�。近年,DDoS呈轉(zhuǎn)嫁及流量攻擊等特點(diǎn)����。2010年騰訊業(yè)務(wù)受到多次攻擊就是因?yàn)槟承┬【W(wǎng)站受到攻擊后,惡意的將網(wǎng)站域名指向騰訊所致�����。另一方面�����,DDoS的攻擊流量越來越大,針對(duì)“456 游戲”網(wǎng)站的攻擊流量峰值甚至超過100Gbps����。
4、網(wǎng)站首頁篡改
網(wǎng)站首頁篡改是指開展電子商務(wù)企業(yè)網(wǎng)站的首頁被黑客等不法份子修改為他們提供的首頁�����。在首頁被篡改后�,對(duì)電子商務(wù)這樣需要與用戶通過網(wǎng)站進(jìn)行溝通的企業(yè)來說,就意味著電子商務(wù)將無商可務(wù)�。尤其對(duì)具有攻擊性質(zhì)的篡改,用戶賬戶信息被盜竊�,丑化企業(yè)的信息等,都是對(duì)企業(yè)形象信譽(yù)的嚴(yán)重?fù)p害���。據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT)監(jiān)測(cè)�,2010 年中國大陸有近3.5萬個(gè)網(wǎng)站被黑客篡改�。
二、網(wǎng)絡(luò)安全趨勢(shì)預(yù)測(cè)
1�、網(wǎng)絡(luò)購物將是攻擊的首選
伴隨著電子商務(wù)市場(chǎng)的蓬勃發(fā)展,這個(gè)領(lǐng)域必然是黑客攻擊的重點(diǎn)����。 在過去的一年���,針對(duì)電子商務(wù)的攻擊給眾多企業(yè)及用戶帶來嚴(yán)重?fù)p失����,電子商務(wù)平臺(tái)提供者及眾多安全軟硬件制造商在努力的幫助他們減少損失,從目前看效果并不理想��,網(wǎng)絡(luò)騙術(shù)正在不停翻新�,黑客正在編寫著新的網(wǎng)購木馬。
2����、針對(duì)大型虛擬社交網(wǎng)絡(luò)的攻擊不斷加強(qiáng)
以QQ社區(qū)為代表的網(wǎng)絡(luò)社區(qū),人數(shù)眾多�,普遍支持分享鏈接。此鏈接很容易被用來傳遞不良信息�����,比如指向釣魚網(wǎng)站的鏈接��。而且社區(qū)人數(shù)眾多����,只要社區(qū)系統(tǒng)被黑客發(fā)現(xiàn)漏洞�,那么龐大的用戶群的相關(guān)信息及權(quán)益得不到保障�。
三、對(duì)策
隨著網(wǎng)絡(luò)應(yīng)用日益普及及其開放性的特點(diǎn)�����,網(wǎng)絡(luò)安全事件又不斷出現(xiàn)��,電子商務(wù)的安全問題日益突出�,怎么樣才能有效保護(hù)電子商務(wù)的正常開展?我國政府主管部門���、互聯(lián)網(wǎng)企業(yè)及普通用戶都應(yīng)重視互聯(lián)網(wǎng)安全問題��,上下聯(lián)動(dòng)�����,發(fā)揮各自的作用��,共同提供互聯(lián)網(wǎng)安全的水平��。
1�、加強(qiáng)網(wǎng)絡(luò)安全立法工作
國家應(yīng)提高對(duì)網(wǎng)絡(luò)安全的重視,加強(qiáng)高層次立法���,加大網(wǎng)絡(luò)犯罪懲治��,量刑力度����,形成有效震懾�,增加其犯罪成本��。
2��、進(jìn)一步加大網(wǎng)絡(luò)安全行政監(jiān)管力度
抓好《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦法》等網(wǎng)絡(luò)安全相關(guān)政策文件的落實(shí)����。對(duì)容易照到攻擊的金融、證券等重要聯(lián)網(wǎng)信息系統(tǒng)主管部門應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理和保障工作�����。
3����、加強(qiáng)網(wǎng)絡(luò)身份認(rèn)證服務(wù)體系
迅速蓬勃發(fā)展的電子商務(wù)�����,和傳統(tǒng)的商務(wù)行為不同���。電子商務(wù)進(jìn)行的是無紙貿(mào)易,交易雙方基本不見面��,通過網(wǎng)絡(luò)虛擬平成整個(gè)交易���,其信用及身份的認(rèn)證僅僅依靠提供服務(wù)平臺(tái)的密碼認(rèn)證���。由于平臺(tái)的多樣性及密碼的虛擬性,決定信用體系存在較大的疑問���。國家應(yīng)牽頭依托合法電子商務(wù)認(rèn)證服務(wù)機(jī)構(gòu)��,形成覆蓋全國的網(wǎng)絡(luò)身份認(rèn)證服務(wù)體系��。
4�����、加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)
對(duì)于我們普通網(wǎng)民�����,我們要提高對(duì)網(wǎng)絡(luò)安全對(duì)電子商務(wù)威脅的認(rèn)識(shí)及加強(qiáng)網(wǎng)絡(luò)安全防護(hù)的意識(shí)�����。做好個(gè)人計(jì)算機(jī)的安全防護(hù)�,養(yǎng)成良好的上網(wǎng)習(xí)慣,學(xué)習(xí)一些基本的網(wǎng)絡(luò)安全知識(shí)��,不訪問一些不確定安全性的網(wǎng)站�����,不下載無法確定安全性的軟件���,電腦中安裝殺毒軟件和防火墻,經(jīng)常掃描自己的電腦�����。
參考文獻(xiàn):
[1]CNNIC���、CNCERT.2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查報(bào)告
第7篇
論文摘 要:隨著電子商務(wù)時(shí)代的到來����,電子商務(wù)安全問題越來越受到關(guān)注。特別是近年來的威脅網(wǎng)絡(luò)安全事件成出不窮���,成為阻礙電子商務(wù)發(fā)展的一個(gè)大問題�。對(duì)電子商務(wù)安全面臨的的威脅進(jìn)行研究分析�����,提出電子商務(wù)安全策略的總體原則及使用的主要技術(shù)�����。
電子商務(wù)安全策略是對(duì)企業(yè)的核心資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)�,不斷的更新企業(yè)系統(tǒng)的安全防護(hù),找出企業(yè)系統(tǒng)的潛在威脅和漏洞���,識(shí)別�����,控制��,消除存在安全風(fēng)險(xiǎn)的活動(dòng)����。電子商務(wù)安全是相對(duì)的,不是絕對(duì)的�����,不能認(rèn)為存在永遠(yuǎn)不被攻破的系統(tǒng)�����,當(dāng)然無論是何種模式的電子商務(wù)網(wǎng)站都要考慮到為了系統(tǒng)安全所要付出的代價(jià)和消耗的成本����。作為一個(gè)安全系統(tǒng)的使用者,必須應(yīng)該綜合考慮各方因素合理使用電子商務(wù)安全策略技術(shù)����,作為系統(tǒng)的研發(fā)設(shè)計(jì)者�,也必須在設(shè)計(jì)的同時(shí)考慮到成本與代價(jià)的因素。在這個(gè)網(wǎng)絡(luò)攻防此消彼長的時(shí)代���,更應(yīng)該根據(jù)安全問題的不斷出現(xiàn)來檢查�,評(píng)估和調(diào)整相應(yīng)的安全策略,采用適合當(dāng)前的技術(shù)手段���,來達(dá)到提升整體安全的目的��。電子商務(wù)所帶來的巨大商機(jī)背后同樣隱藏著日益嚴(yán)重的電子商務(wù)安全問題�����,不僅為企業(yè)機(jī)構(gòu)帶來了巨大的經(jīng)濟(jì)損失���,更使社會(huì)經(jīng)濟(jì)的安全受到威脅。
1 電子商務(wù)面臨的安全威脅
在電子商務(wù)運(yùn)作的大環(huán)境中���,時(shí)時(shí)刻刻面臨著安全威脅���,這不僅僅設(shè)計(jì)技術(shù)問題,更重要的是管理上的漏洞��,而且與人們的行為模式有著密不可分的聯(lián)系�����。電子商務(wù)面臨的安全威脅可以分為以下幾類:
1.1 信息內(nèi)容被截取竊取
這一類的威脅發(fā)生主要由于信息傳遞過程中加密措施或安全級(jí)別不夠�����,或者通過對(duì)互聯(lián)網(wǎng),電話網(wǎng)中信息流量和流向等參數(shù)的分析來竊取有用信息�。
1.2 中途篡改信息
主要破壞信息的完整性,通過更改��、刪除�����、插入等手段對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途篡改���,并將篡改后的虛假信息發(fā)往接受端����。
1.3 身份假冒
建立與銷售者服務(wù)器名稱相似的假冒服務(wù)器��、冒充銷售者��、建立虛假訂單進(jìn)行交易�����。
1.4 交易抵賴
比如商家對(duì)賣出的商品因價(jià)格原因不承認(rèn)原有交易����,購買者因簽訂了訂單卻事后否認(rèn)。
1.5同行業(yè)者惡意競(jìng)爭
同行業(yè)者利用購買者名義進(jìn)行商品交易�����,暗中了解買賣流程���、庫存狀況�����、物流狀況�。
1.6 電子商務(wù)系統(tǒng)安全性被破壞
不法分子利用非法手段進(jìn)入系統(tǒng)����,改變用戶信息、銷毀訂單信息�、生成虛假信息等。
2 電子商務(wù)安全策略原則
電子商務(wù)安全策略是在現(xiàn)有情況���,實(shí)現(xiàn)投入的成本與效率之間的平衡�����,減少電子商務(wù)安全所面臨的威脅���。據(jù)電子商務(wù)網(wǎng)絡(luò)環(huán)境的不同����,采用不同的安全技術(shù)來制定安全策略�����。在制定安全策略時(shí)應(yīng)遵循以下總體原則:
2.1 共存原則
是指影響網(wǎng)絡(luò)安全的問題是與整個(gè)網(wǎng)絡(luò)的運(yùn)作生命周期同時(shí)存在��,所以在設(shè)計(jì)安全體系結(jié)構(gòu)時(shí)應(yīng)考慮與網(wǎng)絡(luò)安全需求一致�����。如果不在網(wǎng)站設(shè)計(jì)開始階段考慮安全對(duì)策���,等網(wǎng)站建設(shè)好后在修改會(huì)耗費(fèi)更大的人力物力�����。
2.2 靈活性原則
安全策略要能隨著網(wǎng)絡(luò)性能及安全威脅的變化而變化����,要及時(shí)的適應(yīng)系統(tǒng)和修改�����。
2.3 風(fēng)險(xiǎn)與代價(jià)相互平衡的分析原則
任何一個(gè)網(wǎng)絡(luò)���,很難達(dá)到絕對(duì)沒有安全威脅�。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析����,并且對(duì)網(wǎng)絡(luò)面臨的威脅以及可能遇到的風(fēng)險(xiǎn)要進(jìn)行定量與定性的綜合分析,制定規(guī)范的措施�,并確定本系統(tǒng)的安全范疇,使花費(fèi)在網(wǎng)絡(luò)安全的成本與在安全保護(hù)下的信息的價(jià)值平衡���。
2.4 易使用性原則
安全策略的實(shí)施由人工完成�����,如果實(shí)施過程過于復(fù)雜�,對(duì)于人的要求過高�����,對(duì)本身的安全性也是一種降低。
2.5 綜合性原則
一個(gè)好的安全策略在設(shè)計(jì)時(shí)往往采用是多種方法綜合應(yīng)用的結(jié)果��,以系統(tǒng)工程的觀點(diǎn)�,方法分析網(wǎng)絡(luò)安全問題,才可能獲得有效可行的措施�����。
2.6 多層保護(hù)原則
任何單一的安全保護(hù)措施都不是能獨(dú)當(dāng)一面���,絕對(duì)安全的�����,應(yīng)該建立一個(gè)多層的互補(bǔ)系統(tǒng)�,那么當(dāng)一層被攻破時(shí)�,其它保護(hù)層仍然可以安全的保護(hù)信息。 轉(zhuǎn)貼于
3 電子商務(wù)安全策略主要技術(shù)
3.1 防火墻技術(shù)
防火墻技術(shù)是一種保護(hù)本地網(wǎng)絡(luò)��,并對(duì)外部網(wǎng)絡(luò)攻擊進(jìn)行抵制的重要網(wǎng)絡(luò)安全技術(shù)之一����,是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施?�?傮w可以分為:數(shù)據(jù)包過濾型防火墻�����、應(yīng)用級(jí)網(wǎng)關(guān)型防火墻�、服務(wù)型防火墻等幾類����。防火墻具有5種基本功能:
(1)抵擋外部攻擊;
(2)防止信息泄露�����;
(3)控制管理網(wǎng)絡(luò)存取和訪問����;
(4)VPN虛擬專用網(wǎng)功能;
(5)自身抗攻擊能力�。
防火墻的安全策略有兩種情形:
(1)違背允許的訪問服務(wù)都是被禁止的;
(2)未被禁止的訪問服務(wù)都是被允許的��。
多數(shù)防火墻是在兩者之間采取折中策略���,在安全的情況之下提高訪問效率����。
3.2 加密技術(shù)
加密技術(shù)是對(duì)傳輸?shù)男畔⒁阅撤N方法進(jìn)行偽裝并隱藏其內(nèi)容,而達(dá)到不被第三方所獲取其真實(shí)內(nèi)容的一種方法���。在電子商務(wù)過程中�����,采用加密技術(shù)將信息隱藏起來��,再將隱藏的信息傳輸出去���,這樣即使信息在傳輸?shù)倪^程中被竊取,非法截獲者也無法了解信息內(nèi)容�,進(jìn)而保證了信息在交換過程中安全性、真實(shí)性����、能夠有效的為安全策略提供幫助。
3.3 數(shù)字簽名技術(shù)
是指在對(duì)文件進(jìn)行加密的基礎(chǔ)上���,為了防止有人對(duì)傳輸過程中的文件進(jìn)行更改破壞以及確定發(fā)信人的身份所采取的手段�����。在電子商務(wù)安全中占有特別重要的地位���,能夠解決貿(mào)易過程中的身份認(rèn)證��、內(nèi)容完整性��、不可抵賴等問題���。數(shù)字簽名過程:發(fā)送方首先將原文通過Hash算法生成摘要���,并用發(fā)送者的私鑰進(jìn)行加密生成數(shù)字簽名發(fā)送給接受方����,接收方用發(fā)送者的公鑰進(jìn)行解密��,得到發(fā)送方的報(bào)文摘要��,最后接收方將收到的原文用Hash算法生成其摘要���,與發(fā)送方的摘要進(jìn)行比對(duì)�����。
3.4 數(shù)字證書技術(shù)
數(shù)字證書是網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)�,由第三方公正機(jī)構(gòu)頒發(fā),以數(shù)字證書為依據(jù)的信息加密技術(shù)可以確保網(wǎng)上傳輸信息的的保密性�����、完整性和交易的真實(shí)性�����、不可否認(rèn)性�����,為電子商務(wù)的安全提供保障�����。標(biāo)準(zhǔn)的數(shù)字證書包含:版本號(hào)���,簽名算法����,序列號(hào),頒發(fā)者姓名��,有效日期����,主體公鑰信息,頒發(fā)者唯一標(biāo)識(shí)符�����,主體唯一標(biāo)示符等內(nèi)容����。一個(gè)合理的安全策略離不開數(shù)字證書的支持。
3.5 安全協(xié)議技術(shù)
安全協(xié)議能夠?yàn)榻灰走^程中的信息傳輸提供強(qiáng)而有力的保障����。目前通用的為電子商務(wù)安全策略提供的協(xié)議主要有電子商務(wù)支付安全協(xié)議�����、通信安全協(xié)議����、郵件安全協(xié)議三類�����。用于電子商務(wù)的主要安全協(xié)議包括:通訊安全的SSL協(xié)議(Secure Socket Layer)���,信用卡安全的SET協(xié)議(Secure Electronic Transaction),商業(yè)貿(mào)易安全的超文本傳輸協(xié)議(S-HTTP)��,InternetEDI電子數(shù)據(jù)交換協(xié)議以及電子郵件安全協(xié)議S/MIME和PEM等���。
4 結(jié)論
在電子商務(wù)飛速發(fā)展的過程中���,電子商務(wù)安全所占的比重越發(fā)重要。研究電子商務(wù)安全策略�,意在于減少由電子商務(wù)安全威脅帶給人們電子商務(wù)交易上的疑慮,以推動(dòng)電子商務(wù)前進(jìn)的步伐����。解除這種疑慮的方法,依賴著安全策略原則的制定和主要技術(shù)的不斷開發(fā)與完善��。
參考文獻(xiàn)
[1]田沛. 淺談電子商務(wù)安全發(fā)展戰(zhàn)略[J]. 知識(shí)經(jīng)濟(jì)�����, 2010, (2).
[2]如先姑力阿布都熱西提. 計(jì)算機(jī)網(wǎng)絡(luò)安全對(duì)策的研究[J]. 科技信息(學(xué)術(shù)研究)��, 2008����, (10).
[3]陳偉. 電子商務(wù)安全策略初探[J].才智, 2009����,(11).
第8篇
安全防范
“網(wǎng)絡(luò)安全問題一直存在?��!卑鹱稍冃袠I(yè)研究部部門經(jīng)理王芳對(duì)《中國聯(lián)合商報(bào)》記者表示��。
IBM最新消息稱���,根據(jù)它在全球各地的3700個(gè)管理安全服務(wù)客戶提供的數(shù)據(jù),在過去的四個(gè)月里����,安全事件的數(shù)量從每天18億次增加到了25億次�。在過去的120天里,網(wǎng)絡(luò)中和基于網(wǎng)絡(luò)的安全攻擊事件增長了30%�����;訪問IBM虛擬安全操作中心的用戶數(shù)量增長了40%。
“主要因?yàn)榫W(wǎng)絡(luò)安全的考慮���,企業(yè)間進(jìn)行電子采購顧慮很多�。不管是電子資金流���、信息流����、還是電子物流�����,其中資金安全顧慮最高����。”王芳表示�。由于從事電子采購的采購量通常很大,因此涉及企業(yè)的資金流一般也都比較大���,現(xiàn)在網(wǎng)絡(luò)安全問題一直存在���,不管大企業(yè)還是中小企業(yè)對(duì)于資金安全的顧慮是最高的�����。
“因?yàn)閭鹘y(tǒng)的商務(wù)流程里����,不太習(xí)慣沒有見到采購方�����,甚至沒有看到商品的情況下���,去完成采購的相關(guān)交付�?�!蓖醴冀忉?����,對(duì)于電子采購的安全擔(dān)憂還部分受到傳統(tǒng)交易方式的影響�����。此外����,還有一點(diǎn)很重要――信用保障體系有待完善。
信用保障
信用是電子商務(wù)企業(yè)發(fā)展不可或缺的主要競(jìng)爭力�。雖然電子采購價(jià)格相對(duì)便宜,大多數(shù)的企業(yè)還都是在信用的前提下去選擇價(jià)格�。
國外的電子采購無論從交易額還是交易比例絕大部分都要比國內(nèi)高?����!昂艽蟪潭壬鲜且?yàn)閲馄髽I(yè)的信用體系��,包括整個(gè)支付和物流的社會(huì)信用環(huán)境相對(duì)比較成熟����。”王芳分析�,只有通過成熟的市場(chǎng)主體為市場(chǎng)提供面向個(gè)人和企業(yè)、覆蓋社會(huì)領(lǐng)域各個(gè)方面的信用服務(wù)��,才能真正創(chuàng)造一種適應(yīng)并規(guī)范信用交易發(fā)展的市場(chǎng)環(huán)境��,電子商務(wù)領(lǐng)域尤其如此。而國內(nèi)來說��,信用保障體系不夠完善���,加上認(rèn)證費(fèi)用較高����,很多企業(yè)經(jīng)常通過自己的銷售額等一些簡單數(shù)據(jù)來證明自己的信用條件���,這里就存在很大風(fēng)險(xiǎn)�,而且這種風(fēng)險(xiǎn)目前更多的由采購方來承擔(dān)����。
此外,國外企業(yè)對(duì)于信息化的接受程度���,包括企業(yè)內(nèi)部的信息化建設(shè)都已經(jīng)相對(duì)完善�����,這都影響到信用保障的建設(shè)問題���。
資質(zhì)認(rèn)證
電子采購環(huán)節(jié)上,是信譽(yù)核心還是價(jià)格核心?“信譽(yù)和價(jià)格必需要有一個(gè)平衡點(diǎn)��,這就需要資質(zhì)認(rèn)證”����。王芳對(duì)《中國聯(lián)合商報(bào)》記者分析�。
