導語：電子商務安全問題分析論文一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:隨著電子信息技術的迅速普及和廣泛應用,電子商務以其快捷、便利等優(yōu)點越來越受到社會的認可。電子商務的發(fā)展前景十分誘人,但商業(yè)信息的安全依然是電子商務的首要問題。本文從實現電子商務安全性的基本框架出發(fā),對電子商務中的各種安全技術進行了分析,以探討一種有效、安全的實現電子商務的途徑。

關鍵詞:電子商務;身份認證;防火墻

一、有關電子商務的安全性要求

1.對電子商務活動安全性的要求:

(1)服務的有效性要求。電子商務系統(tǒng)應能防止服務失敗情況的發(fā)生,預防由于網絡故障和病毒發(fā)作等因素產生的系統(tǒng)停止服務等情況,保證交易數據能準確快速的傳送。

(2)交易信息的保密性要求。電子商務系統(tǒng)應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。

(3)數據完整性要求。數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業(yè)利益。

(4)身份認證的要求。電子商務系統(tǒng)應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時提供法律依據。

2.電子商務的主要安全要素

(1)信息真實性、有效性。電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽。

(2)信息機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環(huán)境上的,商業(yè)防泄密是電子商務全面推廣應用的重要保障。

(3)信息完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統(tǒng)應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。

(4)信息可靠性、可鑒別性和不可抵賴性?？煽啃砸蠹词悄鼙ＷC合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統(tǒng)的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發(fā)生。

在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在internet上每個人都是匿名的,電子商務系統(tǒng)應充分保證原發(fā)方在發(fā)送數據后不能抵賴;接收方在接收數據后也不能抵賴。

二、電子商務采用的主要安全技術

1.網絡節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網絡的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統(tǒng)。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規(guī)定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設。

2.通訊的安全

在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發(fā)。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發(fā)機構提供的基礎公共密鑰(PKI)。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態(tài)的提示。[論/文/網LunWenNet/Com]

3.應用程序的安全性

即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現像這些問題一樣的錯誤。

4.用戶的認證管理

(1)身份認證。電子商務企業(yè)用戶身份認證可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份,IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。

(2)CA證書。要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發(fā)行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發(fā)數字證書,并能確認用戶身份的服務機構。認證中心通常是企業(yè)性的服務機構,主要任務是受理數字證書的申請、簽發(fā)及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。

(3)安全套接層SSL協(xié)議。安全套接層SSL協(xié)議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。

SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。

SSL協(xié)議在應用層收發(fā)數據前,協(xié)商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協(xié)議(如Ht2tp、Ftp、Telnet等)以保證應用層數據傳輸的安全性。SSL協(xié)議握手流程由兩個階段組成:服務器認證和用戶認證。

三、電子商務安全需要進一步完善的配套措施

電子商務要真正成為一種主導的商務模式,尤其對發(fā)展中的中國來說,發(fā)展電子商務,就必須從以下幾個方面來完善配套措施:

(1)突破關鍵技術受制于人的瓶頸。

(2)我國應盡快對電子商務的有關細則進行立法。

(3)大力開發(fā)大型商務網站,發(fā)展與之相配套的物流公司。

(4)為了確保系統(tǒng)的安全性,除了采用技術手段外,還必須建立嚴格的內部安全機制。

(5)建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。

(6)對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統(tǒng)應視其重要性提供不同級別的數據加密。

安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統(tǒng)遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統(tǒng)的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統(tǒng)相對更安全。[論\文\網LunWenNet\Com]

參考文獻:

[1]吳洋.電子商務安全方法研究[D].天津:天津大學,2006.

[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005(6).

[3]成衛(wèi)青,龔儉.網絡安全評估[J].計算機工程,2003(2).

[4]甘悅.淺議電子商務信息安全體系的構建[J].西北成人教育學報,2007(2).

[5]周明,黃元江,李建設.電子商務中的安全技術研究[J].株洲工學院學報,2005(1).

[6]張娟.電子商務網絡安全技術探究[J].甘肅科技縱橫,2005(4).

[7]趙乃真.電子商務技術與應用[M].北京:中國鐵道出版社,2003.

[8]常連定,趙剛.我國電子商務發(fā)展存在的問題及應對策略[J].科技情報開發(fā)與經濟,2005(10).

[9]劉延煥,王華慶.金融干部網上銀行知識讀本[M].北京:中國金融出版社,2005