電子商務(wù)發(fā)展中存在的安全問題

1、電子商務(wù)發(fā)展中存在的安全問題作者:日期:我所了解的電子商務(wù)發(fā)展中存在的安全冋題可以說在電子商務(wù)的系統(tǒng)里面沒有安全保證的系統(tǒng)一定是一個豆腐渣工程，沒有人敢用，安全問題非常重要。怎么看待電子商務(wù)的安全問題？安全不是一個純技術(shù)的概念，沒有絕對的安全。安全是有成本和代價的，要采取安全措施不光會帶來不方便的地方，可能會帶來成本和代價。在安全是發(fā)展的、動態(tài)的。包括病毒、攻擊措施，不可能一蹴而就。1:程序安全程序安全中的問題主要包括程序漏洞和惡意代碼，眾所周知，程序開發(fā)中的微小需錯誤都可能造成很大的安全問題，所以不安全編程引發(fā)的問題就會被一些惡意的攻擊者所利用從而改變程序的執(zhí)行流程，譬如：緩沖區(qū)溢出不完全輸

2、入驗證以及“檢查時刻到使用時刻”錯誤惡意代碼是以破壞為目的的一類程序，例如病毒蠕蟲特洛伊木馬隱蔽通道分析因此人們對如何保證軟件質(zhì)量預(yù)防程序漏洞或惡意代碼應(yīng)當(dāng)引起極大的關(guān)注。2:操作系統(tǒng)安全隨著電子商務(wù)運行環(huán)境通過網(wǎng)絡(luò)訪問共享資源的未知用戶的增加，如何提供驗證機制是一個很重要的問題3:數(shù)據(jù)庫安全當(dāng)前越來越多的應(yīng)用系統(tǒng)依靠數(shù)據(jù)庫管理系統(tǒng)來管理和保護大量的共享數(shù)據(jù)，數(shù)據(jù)庫管理系統(tǒng)也成為計算機信息系統(tǒng)的核心部件，因此他的安全問題也變得越來越重要。4:網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是信息系統(tǒng)安全的基礎(chǔ)，它可以通過采用各種技術(shù)和管理措施來防御各種網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)系統(tǒng)正常運行，并確保網(wǎng)絡(luò)數(shù)據(jù)的可用性，完整性和保密性。隨

3、著INTERNET勺發(fā)展，網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大的方便，通過INTERNETS行的各種電子商務(wù)業(yè)務(wù)也日益增多，但是由于INTERNET勺開放性，電子商務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)機密均成為攻擊者的目標(biāo)，因此網(wǎng)絡(luò)安全問題也成為各種網(wǎng)絡(luò)服務(wù)和應(yīng)用能否進一步發(fā)展的關(guān)鍵問題之一。二：電子商務(wù)過程中遇到安全問題的解決方法。1:關(guān)于程序安全。編程人員可以使用對緩沖區(qū)溢出攻擊具有抵抗力的標(biāo)準(zhǔn)庫來防御緩沖區(qū)溢出攻擊。采用數(shù)字簽名阻止漏洞被攻擊者利用，采用軟件工程控制等等方法來保護程序的安全。2:關(guān)于操作系統(tǒng)安全?？梢酝ㄟ^自主訪問控制，強制訪問控制給予角色訪問控制等辦法來控制訪問權(quán)限3:關(guān)于數(shù)據(jù)庫安全。

4、可以采用數(shù)據(jù)庫訪問控制，完整性約束，推理控制和秘密通道數(shù)據(jù)庫加密以及數(shù)據(jù)庫用戶管理來保護數(shù)據(jù)庫的安全。4:關(guān)于網(wǎng)絡(luò)安全。防火墻是一種用來保護本地系統(tǒng)的設(shè)備，以防止網(wǎng)絡(luò)攻擊破壞系統(tǒng)或網(wǎng)絡(luò)，另外虛擬私有網(wǎng)絡(luò)和入侵監(jiān)測系統(tǒng)能夠阻止部分網(wǎng)絡(luò)攻擊但是要想全面防范，則還需要在網(wǎng)絡(luò)服務(wù)或應(yīng)用程序開發(fā)階段就要開始仔細(xì)考慮安全因素這樣才能減少程序漏洞，不要隨意相信用戶輸入的任何數(shù)據(jù)對所有輸入數(shù)據(jù)進行檢查，此外最小特權(quán)原則也是有效的安全策略，系統(tǒng)管理員可以只賦予服務(wù)器上的程序所需要的最低權(quán)限，僅允許其訪問完成任務(wù)所必需的資源。三：電子商務(wù)安全對策商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，

5、在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護的資源間建立多道嚴(yán)密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。這里我們具體要了解的是商務(wù)交易安全及安全措施。商務(wù)交易安全：當(dāng)許多傳統(tǒng)的商務(wù)方式應(yīng)

6、用在Internet上時，便會帶來許多源于安全方面的問題，如傳統(tǒng)的貸款和借款卡支付/保證方案及數(shù)據(jù)保護方法、電子數(shù)據(jù)交換系統(tǒng)、對日常信息安全的管理等。電子商務(wù)的大規(guī)模使用雖然只有幾年時間，但不少公司都已經(jīng)推出了相應(yīng)的軟、硬件產(chǎn)品。由于電子商務(wù)的形式多種多樣，涉及的安全問題各不相同，但在Internet上的電子商務(wù)交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。一般來說商務(wù)安全中普遍存在著以下幾種安全隱患：1竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成

7、網(wǎng)上傳輸信息泄密。2篡改信息當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。3假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠(yuǎn)端用戶通常很難分辨。4惡意破壞由于攻擊者可以接入網(wǎng)絡(luò)，則可能對網(wǎng)絡(luò)中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。因此，電子商務(wù)的安全交易主要保證以下四個方面：5信息保密性交易中的商務(wù)信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加

8、密的要求。6交易者身份的確定性網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認(rèn)對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔(dān)心網(wǎng)上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認(rèn)對方身份是交易的前提。7不可否認(rèn)性由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。否則必然會損害一方的利益。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認(rèn)的。8不可修改性交易的文件是不可被修改的，否則也必然會損害一方的商業(yè)利益。因此電子交易文件也要能做到不可修改，以保障商務(wù)交易的嚴(yán)肅和公正。安全措施:在早期的電子交易中，曾采用過一些簡易的安全措施，包括:部分告知（PartialOrder）

9、:即在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。另行確認(rèn)（OrderConfirmation）:即當(dāng)在網(wǎng)上傳輸交易信息后，再用電子郵件對交易做確認(rèn)，才認(rèn)為有效。此外還有其它一些方法，這些方法均有一定的局限性，且操作麻煩，不能實現(xiàn)真正的安全可靠性。近年來，針對電子交易安全的要求，IT業(yè)界與金融行業(yè)一起，推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)。主要的協(xié)議標(biāo)準(zhǔn)有:安全超文本傳輸協(xié)議（SHTTP:依靠密鑰對的加密，保障Web站點間的交易信息傳輸?shù)陌踩?。安全套接層協(xié)議（SSL：由Netscape公司提出的安全交易協(xié)議，提供加密、認(rèn)證服務(wù)和報文的完整性。SSL被用于Ne

10、tscapeCommunicator和MicrosoftIE瀏覽器，以完成需要的安全交易操作。安全交易技術(shù)協(xié)議（STT,SecureTransactionTechnology）:由Microsoft公司提出，STT將認(rèn)證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術(shù)。安全電子交易協(xié)議(SETSecureElectronicTransaction)1996年6月，由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTEVeriSign、SAIC、Te

11、risa就共同制定的標(biāo)準(zhǔn)SET發(fā)布公告，并于1997年5月底發(fā)布了SETSpecificationVersion1.0，它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證、數(shù)據(jù)簽名等。SET2.0預(yù)計今年發(fā)布，它增加了一些附加的交易要求。這個版本是向后兼容的，因此符合SET1.0的軟件并不必要跟著升級，除非它需要新的交易要求。SET規(guī)范明確的主要目標(biāo)是保障付款安全，確定應(yīng)用之互通性，并使全球市場接受。所有這些安全交易標(biāo)準(zhǔn)中，SET標(biāo)準(zhǔn)以推廣利用信用卡支付網(wǎng)上交易，而廣受各界矚目，它將成為網(wǎng)上交易安全通信協(xié)議的工業(yè)標(biāo)準(zhǔn)，有望進一步推動Internet電子商務(wù)市場。主要的安全技

12、術(shù)有：虛擬專用網(wǎng)（VPN這是用于Internet交易的一種專用網(wǎng)絡(luò)，它可以在兩個系統(tǒng)之間建立安全的信道（或隧道），用于電子數(shù)據(jù)交換（EDI）。它與信用卡交易和客戶發(fā)送訂單交易不同，因為在VPN,雙方的數(shù)據(jù)通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復(fù)雜的專用加密和認(rèn)證技術(shù)，只要通信的雙方默認(rèn)即可，沒有必要為所有的VPN行統(tǒng)一的加密和認(rèn)證。現(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進一步增加VPN的安全性，因而能夠保證數(shù)據(jù)的保密性和可用性。數(shù)字認(rèn)證數(shù)字認(rèn)證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性（如一個發(fā)票未被修改過），甚至數(shù)據(jù)媒體的有效性（如錄音、照片等）。隨著商家在電子

13、商務(wù)中越來越多地使用加密技術(shù)，人們都希望有一個可信的第三方，以便對有關(guān)數(shù)據(jù)進行數(shù)字認(rèn)證。目前，數(shù)字認(rèn)證一般都通過單向Hash函數(shù)來實現(xiàn)，它可以驗證交易雙方數(shù)據(jù)的完整性，JavaJDK1.1也能夠支持幾種單向Hash算法。另外，S/MIME協(xié)議已經(jīng)有了很大的進展，可以被集成到產(chǎn)品中，以便用戶能夠?qū)νㄟ^Email發(fā)送的信息進行簽名和認(rèn)證。同時，商家也可以使用PGP（PrettyGoodPrivacy）技術(shù)，它允許利用可信的第三方對密鑰進行控制。可見，數(shù)字認(rèn)證技術(shù)將具有廣闊的應(yīng)用前景，它將直接影響電子商務(wù)的發(fā)展。加密技術(shù)保證電子商務(wù)安全的最重要的一點就是使用加密技術(shù)對敏感的信息進行加密。現(xiàn)在，一些專

14、用密鑰加密（如3DESIDEA、RC4和RC5和公鑰加密（如RSASEEKPGF和EU）可用來保證電子商務(wù)的保密性、完整性、真實性和非否認(rèn)服務(wù)。然而，這些技術(shù)的廣泛使用卻不是一件容易的事情。密碼學(xué)界有一句名言：加密技術(shù)本身都很優(yōu)秀，但是它們實現(xiàn)起來卻往往很不理想?，F(xiàn)在雖然有多種加密標(biāo)準(zhǔn)，但人們真正需要的是針對企業(yè)環(huán)境開發(fā)的標(biāo)準(zhǔn)加密系統(tǒng)。加密技術(shù)的多樣化為人們提供了更多的選擇余地，但也同時帶來了一個兼容性問題，不同的商家可能會采用不同的標(biāo)準(zhǔn)。另外，加密技術(shù)向來是由國家控制的，例如SSL的出口受到美國國家安全局（NSA的限制。目前，美國的商家一般都可以使用128位的SSL，但美國只允許加密密鑰為4

15、0位以下的算法出口。雖然40位的SSL也具有一定的加密強度，但它的安全系數(shù)顯然比128位的SSL要低得多。據(jù)報載，最近美國加州已經(jīng)有人成功地破譯了40位的SSL這已引起了人們的廣泛關(guān)注。美國以外的國家很難真正在電子商務(wù)中充分利用SSL這不能不說是一種遺憾。上海市電子商務(wù)安全證書管理中心推出128位SSL的算法，彌補國內(nèi)的空缺，并采用數(shù)字簽名等技術(shù)確保電子商務(wù)的安全。電子商務(wù)認(rèn)證中心（CACertificateAuthority）實行網(wǎng)上安全支付是順利開展電子商務(wù)的前提，建立安全的認(rèn)證中心（CA則是電子商務(wù)的中心環(huán)節(jié)。建立CA的目的是加強數(shù)字證書和密鑰的管理工作，增強網(wǎng)上交易各方的相互信任，提高

16、網(wǎng)上購物和網(wǎng)上交易的安全，控制交易的風(fēng)險，從而推動電子商務(wù)的發(fā)展。為了推動電子商務(wù)的發(fā)展，首先是要確定網(wǎng)上參與交易的各方（例如持卡消費戶、商戶、收單銀行的支付網(wǎng)關(guān)等）的身份，相應(yīng)的數(shù)字證書（DCDigitalCertificate）就是代表他們身份的，數(shù)字證書是由權(quán)威的、公正的認(rèn)證機構(gòu)管理的。各級認(rèn)證機構(gòu)按照根認(rèn)證中心（RootCA）、品牌認(rèn)證中心（BrandCA）以及持卡人、商戶或收單銀行（Acquirer）的支付網(wǎng)關(guān)認(rèn)證中心（HolderCardCAMerchantCA或PaymentGatewayCA）由上而下按層次結(jié)構(gòu)建立的。電子商務(wù)安全認(rèn)證中心.（CA）的基本功能是：生成和保管符合安

17、全認(rèn)證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名。對數(shù)字證書和數(shù)字簽名進行驗證。對數(shù)字證書進行管理，重點是證書的撤消管理，同時追求實施自動管理（非手工管理）。建立應(yīng)用接口，特別是支付接口。CA是否具有支付接口是能否支持電子商務(wù)的關(guān)鍵。第一代CA是由SETC（公司（由Visa&MasterCard組建）建立的，以SET協(xié)議為基礎(chǔ)，服務(wù)于BC電子商務(wù)模式的層次性結(jié)構(gòu)。由于BB電子商務(wù)模式的發(fā)展，要求CA的支付接口能夠兼容支持BB與BC的模式，即同時支持網(wǎng)上購物、網(wǎng)上銀行、網(wǎng)上交易與供應(yīng)鏈管理等職能，要求安全認(rèn)證協(xié)議透明、簡單、成熟（即標(biāo)準(zhǔn)化），這樣就產(chǎn)生了以公鑰基礎(chǔ)設(shè)施（PKI）為技術(shù)基礎(chǔ)的平

18、面與層次結(jié)構(gòu)混合型的第二代CA體系。近年來，PKI技術(shù)無論在理論上還是應(yīng)用上以及開發(fā)各種配套產(chǎn)品上，都已經(jīng)走向成熟，以PKI技術(shù)為基礎(chǔ)的一系列相應(yīng)的安全標(biāo)準(zhǔn)已經(jīng)由Internet特別工作組（IETF）、國際標(biāo)準(zhǔn)化組織（ISO）和國際電信聯(lián)盟（ITU）等國際權(quán)威機構(gòu)批準(zhǔn)頒發(fā)實施。建立在PKI技術(shù)基礎(chǔ)上的第二代安全認(rèn)證體系與支付應(yīng)用接口所使用的主要標(biāo)準(zhǔn)有：由Internet特別工作組頒發(fā)的標(biāo)準(zhǔn)：LDAP（輕型目錄訪問協(xié)議）、S/MIME（安全電子郵件協(xié)議）、TLC（傳輸層安全套接層傳輸協(xié)議）、CAT（通用認(rèn)證技術(shù)，CommonAuthenticationTechnology）和GSS-API（通用

19、安全服務(wù)接口）等。由國際標(biāo)準(zhǔn)化組織（ISO）或國際電信聯(lián)盟（ITU）批準(zhǔn)頒發(fā)的標(biāo)準(zhǔn)為95948/X.509（數(shù)字證書格式標(biāo)準(zhǔn)）。在計算機互聯(lián)網(wǎng)絡(luò)上實現(xiàn)的電子商務(wù)交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務(wù)系統(tǒng)在保證其計算機網(wǎng)絡(luò)硬件平臺和系統(tǒng)軟件平臺安全的基礎(chǔ)上，應(yīng)該還具備以下特點：強大的加密保證使用者和數(shù)據(jù)的識別和鑒別存儲和加密數(shù)據(jù)的保密聯(lián)網(wǎng)交易和支付的可靠方便的密鑰管理數(shù)據(jù)的完整、防止抵賴電子商務(wù)對計算機網(wǎng)絡(luò)安全與商務(wù)安全的雙重要求，使電子商務(wù)安全的復(fù)雜程度比大多數(shù)計算機網(wǎng)絡(luò)更高，因此電子商務(wù)安全應(yīng)作為安全工程，而不是解決方案來實施。四：關(guān)于中華人民

20、共和國電子簽名法該法所涉及的技術(shù)問題是電子簽名問題。電子簽名也稱作“數(shù)字簽名”，是指用符號及代碼組成電子密碼進行“簽名”來代替書寫簽名或印章，它采用規(guī)范化的程序和科學(xué)化的方法，用于鑒定簽名人的身份以及對一項數(shù)據(jù)電文內(nèi)容信息的認(rèn)可。所謂電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)，通俗地說，也就是通過密碼技術(shù)對電子文件所進行的電子形式的簽名。電子簽名運用一定的加密技術(shù)，將簽名人信息轉(zhuǎn)化為加密狀態(tài)，并在需要時進行解密還原。電子文件在經(jīng)過電子簽名后，就可以用來識別簽名人的身份以及文件內(nèi)容是否是簽名人所認(rèn)可的原本內(nèi)容。目前制約因素主要有：國內(nèi)電子簽名的軟

21、硬件普遍不過硬，國內(nèi)真正有實力的認(rèn)證企業(yè)屈指可數(shù)，其中很多沒有任何國家資質(zhì)，只是在行業(yè)和go-vern-ment內(nèi)部使用，而且國內(nèi)直接提供電子簽名技術(shù)的企業(yè)更是鳳毛麟角；其次，認(rèn)證標(biāo)準(zhǔn)有待互聯(lián)互通，在目前情況下，電子簽名認(rèn)證采用的技術(shù)標(biāo)準(zhǔn)不止一個，這也會在很大程度上影響電子簽名的普及應(yīng)用。除了法律和技術(shù)問題之外，電子簽名或許還要面對“心理”門檻。一位有多次網(wǎng)上購物經(jīng)歷的張老師，她對中國經(jīng)濟時報記者說，大宗交易我不敢信任電子簽名，而像百元左右的小宗交易，又覺得不需要電子簽名。電子商務(wù)的法律完善集中以下領(lǐng)域：數(shù)據(jù)與隱私權(quán)保護、電子合同、電子支付、電子商務(wù)的消費者保護、信息安全、電子商務(wù)稅收、知識產(chǎn)權(quán)問題、相關(guān)程序法律問題。目前的法律主要解決了信息流方面的問題，包括電子簽名、電子合同、電子記錄的法律效力，但是對于信息流的知識產(chǎn)權(quán)、信息監(jiān)管以及資金流的電子支付、電子發(fā)票、網(wǎng)上證券、網(wǎng)上銀行與物流方面的所有權(quán)憑證的轉(zhuǎn)移等沒有涉及。我國電子簽名法明確和規(guī)范了以下幾個方面的問題：明確了電子簽名的法律效力。明確了電子簽名所需要的技術(shù)和法理條件。對電子商務(wù)認(rèn)證機構(gòu)和行為做了規(guī)定。明確了電子商