電子商務安全的現狀與對策

電子商務安全的現狀與對策

電子商務是互聯網應用發(fā)展的必然趨勢，也是國際金融貿易中日益重要的一種運營模式。它以計算機技術、通信技術與網絡技術為依托,利用電子數據交換、電子郵件、電子支付等方式實現了整個商務活動的電子化、數字化和網絡化。但隨著電子商務的迅速發(fā)展,其安全性問題也愈突出,如何構建一個安全、便捷的電子商務應用環(huán)境,已經成為影響到電子商務能否健康順利發(fā)展的關鍵性課題。1盜竊、欺騙、病毒和非法入侵在電子商務中,安全性是必須考慮的核心問題。竊聽、欺騙、病毒和非法入侵都在威脅著電子商務的健康、順利發(fā)展。由此引發(fā)的一系列安全問題迫切需要有效的解決方案。1.1非法收集用戶數據電子商務中的信息泄露表現為貿易雙方的相關信息內容被攻擊者竊取,如商業(yè)機密等。攻擊者獲取信息的方式主要有兩種,一是竊聽,信息在網絡傳送過程中,攻擊者可在傳輸信道上對數據進行非法截獲、監(jiān)聽,獲取通信中的敏感信息,造成網上傳輸信息泄露。二是通過攻擊數據庫服務器,即利用WEB程序或網絡數據庫的缺陷,通過多種技術手段,繞過網站系統、WEB程序或網絡數據庫的安全限制,直接從網站中獲取機密信息。1.2修改、刪除商業(yè)信息成功竊取信息后,攻擊者通過對信息格式和規(guī)律的解讀,可采用各種手段對非法獲取的信息進行修改、刪除,從而破壞原有商業(yè)信息的真實性、完整性。1.3所在單位個人信息攻擊者通過竊聽、攻擊數據庫可以獲取商務活動者的用戶信息,這些重要的個人信息就可能被非法盜用。攻擊者利用合法用戶的身份信息與他人開展貿易,獲取非法利益,從而破壞貿易的可靠性,影響貿易者的信譽。1.4交易可靠性的確認電子商務活動不同于傳統的面對面交易,交易雙方無法通過明顯的標識來確認交易的可靠性。這種“無紙化”的交易方式會給某些不良用戶以可乘之機,他們對發(fā)出或收到的信息進行惡意否認,以逃避應承擔的責任。1.5計算機服務平臺計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。一般來說,病毒都具有隱蔽性,它們通常附在正常程序中或磁盤較隱蔽的地方,而某些病毒正是利用了這一特點,悄無聲息地竊取著電子商務活動中的信息。1.6某些外在威脅方面的威脅電子商務除了面臨竊聽、欺騙、病毒攻擊這些方面的威脅,一些偶然因素對其安全性也構成威脅,如突發(fā)自然災害造成的商務活動中斷、操作人員的不慎重所導致的信息泄露等。2b知識產權保護電子商務的貿易安全就是對貿易中涉及的各種信息的可用性、可靠性和完整性進行保護。與傳統的商務方式作對比,會發(fā)現許多源于安全方面的問題。2.1電子形式貿易信息的有效性作為貿易的一種新形式,電子商務實現了商務活動的電子化、數字化和網絡化,以電子形式取代了紙張,如何保證電子形式貿易信息的有效性是開展電子商務的前提。其信息的有效性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽。因此,要對計算機軟硬件故障、計算機病毒、非法入侵、操作失誤等一系列潛在威脅加以控制和預防,以保證電子商務貿易信息的有效性。2.2維護商業(yè)領域,維護商業(yè)領域電子商務是建立在開放、復雜的網絡環(huán)境上的,重要的商業(yè)信息直接與個人、企業(yè)和國家的切身利益相關,維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此,要預防黑客的惡意攻擊,防止信息泄露,保障信息傳輸通道和存取數據庫的安全。2.3交易方信息存在混亂電子商務便捷、快速的同時也帶來了貿易各方商業(yè)信息的完整、統一問題。商業(yè)信息在傳輸過程中出現丟失、重復、次序混亂,亦或是交易方的操作失誤、惡意欺騙,這些都會導致貿易各方信息的差異。從而給各方的交易和貿易策略帶來影響。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復,并保證信息傳送次序的統一。2.4伙伴合同、契約的預防在傳統的紙面貿易中,貿易雙方通過在交易合同、契約等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約的可靠性并預防抵賴行為的發(fā)生。但在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,在電子貿易中,需為參與交易的個人、企業(yè)或國家提供可靠的標識,以此作為雙方鑒定的依據,提高貿易的可靠性,避免惡意抵賴。3電子商務的安全技術3.1數據加密與保密數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要技術手段之一。貿易者在網絡上相互通信,主要的安全威脅來自于非法竊聽。攻擊者可以通過搭線、電磁波等多種方式竊聽傳輸的信息。而對網絡傳輸的信息進行加密,在通道上傳輸密文,則可以有效地防范攻擊者對信息內容的真實解讀。數據加密就是按照確定的密碼算法,將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據,稱為解密。密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小,加密速度快,但相對地,密鑰管理安全性的代價較高,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中,使用不同的密鑰加以控制。加密密鑰是公開的,解密密鑰是保密的,它的保密度依賴于從公開的密文與明文的對照推算解密密鑰在計算上的不可能性。推算的不可能性越高,保密的等級也就越高,攻擊者獲取真實信息內容的可能性也就越低。3.2身份識別技術身份認證是判明和確認貿易雙方真實身份的重要環(huán)節(jié),也是電子商務交易過程中最薄弱的環(huán)節(jié)。數字簽名與身份識別技術,及CA認證是主要的身份認證技術。1)數字簽名又稱電子加密,可以區(qū)分真實數據與偽造、被篡改過的數據。這對于網絡數據傳輸,特別是電子商務是極其重要的。一般采用非對稱加密技術,通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發(fā)送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。且保證了發(fā)信人無法抵賴曾發(fā)過該信息,即不可抵賴性,同時也確保信息報文在經簽名后的完整性。身份識別技術采用密碼技術(尤其是公鑰密碼技術)設計出安全性高的協議,一般是指用戶向系統出示自己身份證明的過程,主要使用約定口令、智能卡和用戶指紋、視網膜和聲音等生理特征。2)CA認證技術。CA,即電子商務認證中心,也稱為電子商務授權機構。在電子交易中,無論是數字時間戳服務還是數字證書的發(fā)放,都不是靠貿易雙方自己完成的,而需要有一個具有權威性和公正性的第三方來完成。CA就是承擔網上安全電子貿易認證服務,能簽發(fā)數字證書,并能確認用戶身份的服務機構。它為建立身份認證過程的權威性框架奠定了基礎,為貿易的參與方提供了安全保障。CA中心對含有公鑰的證書進行數字簽名,使證書無法偽造。每個用戶可以獲得CA中心的公開密鑰,驗證任何一張數字證書的數字簽名,從而確定證書是否是CA中心簽發(fā)、數字證書是否合法。3.3pki安全認證PKI(PubicKeyInfrastructure)是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規(guī)范。它由公開密鑰密碼技術、數字證書、CA和關于公開密鑰的安全策略等基本成分共同組成的。從某種意義上講,PKI包含了安全認證系統,即CA系統是PKI不可缺的組成部分。該技術采用證書管理公鑰,通過第三方的可信任機構——認證中心CA,把用戶的公鑰和用戶的其他標識信息(如名稱、E-mail、身份證號等)捆綁在一起,在網上驗證用戶的身份。目前,通用的辦法是采用基于PKI結構結合數字證書,通過把要傳輸的數字信息進行加密,保證信息傳輸的保密性、完整性,簽名保證身份的真實性和抗抵賴。3.4使用虛擬專用網的安全技術防火墻的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,并監(jiān)視網絡運行狀態(tài)。它能有效地控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。簡單防火墻技術可以在路由器上實現,而專用防火墻提供更加可靠的網絡安全控制方法。虛擬專用網(VPN)即是用于網絡交易的一種專用網絡,它通過一個公用網絡建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。VPN架構中采用了多種安全機制,如隧道技術、加解密技術、密鑰管理技術、身份認證技術等,通過上述的各項網絡安全技術,確保貿易信息在公眾網絡中傳輸時不被竊取,或是即使被竊取了,對方亦無法讀取數據包內所傳送的資料。3.5網絡信息安全系統入侵檢測系統(IDS)可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。包括來自系統外部的入侵行為和來自內部用戶的非授權行為。在發(fā)現入侵后,系統會及時作出響應,包括切斷網絡連接、記錄事件和報警等。3.6監(jiān)視和記錄技術計算機病毒的防范是網絡安全性重要的一環(huán),主要包括病毒預防技術、病毒檢測和病毒清除技術三種:1)病毒預防技術,就是通過一定的技術手段防止計算機病毒對系統的傳染與破壞。它通過自身常駐系統內存優(yōu)先獲得系統的控制權,監(jiān)視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入系統內存和對系統進行破壞。這類技術包括加密可執(zhí)行程序、讀寫控制技術、系統監(jiān)控技術等。2)病毒檢測技術,是通過一定的技術手段對計算機病毒的特征來進行判斷的技術。主要包含兩種方式,一是針對病毒的特征進行檢測,如計算機病毒的關鍵字、特征程序段內容、病毒特征及傳染方式等。另一種是根據自身已有的文件或數據的保存結果進行檢驗,若前后出現差異,也可判定病毒的存在。3)病毒清除技術,它通過對計算機病毒的分析,開發(fā)出具有刪除病毒程序并恢復原文件的軟件。目前,清除病毒大都是在病毒出現之后,對其進行分析研究才研制出相應解毒功能的軟件,帶有滯后性。3.7數據安全和個人隱私安全SSL協議是Netscape公司在網絡傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。位于TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。其提供的服務主要有:認證用戶和服務器,確保數據發(fā)送到正確的客戶機和服務器;加密數據以防止數據中途被竊取;維護數據的完整性,確保數據在傳輸過程中不被改變。但SSL協議是一個面向連接的協議,在涉及多方的電子交易中,SSL協議不能完全協調各方間的安全傳輸和信任關系。SET協議則有效地解決了該問題。SET協議是由美國Visa和MasterCard兩大信用卡組織聯合國際上多家科技機構,共同制定的應用于網絡上的以銀行卡為基礎進行在線交易的安全標準,即“安全電子交易”(SecureElectronicTransaction)。它為電子商務活動提供了一個開放的標準,為網上支付貿易提供高層的安全和反欺詐保證,保證了電子貿易的機密性、數據完整性、身份的合法性和抗否認性。SET是專門為電子商務而設計的協議