首頁

資訊中心

企業(yè)動(dòng)態(tài)

行業(yè)動(dòng)態(tài)

安全動(dòng)態(tài)

行業(yè)資訊

設(shè)備資訊

工具資訊

材料資訊

招商代理

您當(dāng)前位置:首頁 > 新聞?lì)l道 > 技術(shù)動(dòng)態(tài) > 正文

電子商務(wù)安全概述

2016-04-27 18:05:04 安裝信息網(wǎng)

摘要：隨著互聯(lián)網(wǎng)的全面普及，基于Internet 開展的電子商務(wù)已逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式,越來越多的企業(yè)和個(gè)人通過Internet 進(jìn)行商務(wù)活動(dòng)，電子商務(wù)的發(fā)展前景十分誘人，而商業(yè)信息的安全是電子商務(wù)的首要問題。本文從實(shí)現(xiàn)電子商務(wù)安全性的基本框架出發(fā)，對(duì)電子商務(wù)中的各種安全技術(shù)進(jìn)行了分析，以探討一種有效、安全的實(shí)現(xiàn)電子商務(wù)的途徑。

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢(shì)，使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時(shí)空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對(duì)面的，因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面：

2.1 信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2 信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過程，減少了人為的干預(yù)，同時(shí)也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet 上每個(gè)人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺(tái)要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯(cuò)誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證，往往會(huì)造成巨大的經(jīng)濟(jì)損失。

所以就整個(gè)電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個(gè)層次，

1) 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認(rèn)證管理

其中2、3、4 是通過操作系統(tǒng)和Web 服務(wù)器軟件實(shí)現(xiàn)，而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet 和Intranet 保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個(gè)安全、高效的Intranet 系統(tǒng)。應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB 服務(wù)器之間采用SSL 協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40 位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128 位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL 首先要求服務(wù)器向?yàn)g覽器出示它的證書，證書包括一個(gè)公鑰，由一家可信證書授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL 鏈接不需要一定有個(gè)人證書，實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL 鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時(shí)）。驗(yàn)證此證書是合法的服務(wù)器證書通過后利用該證書對(duì)稱加密算法（RSA）與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰，然后用此對(duì)稱算法加密傳輸?shù)拿魑�。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。[論文網(wǎng)LunWenData.Com]

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時(shí)；程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn)行，其他的部分只有縮小的許可；程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源，如一個(gè)文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個(gè)過長(zhǎng)的字符串來實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙�。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測(cè)到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯(cuò)誤。

3.4 用戶的認(rèn)證管理

   1) 身份認(rèn)證

   電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA 證書與IC 卡相結(jié)合實(shí)現(xiàn)的。CA 證書用來認(rèn)證服務(wù)器的身份，IC 卡用來認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒有提供交易功能，所以只采用ID 號(hào)和密碼口令的身份確認(rèn)機(jī)制。

2) CA 證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書進(jìn)行驗(yàn)證，這份數(shù)字證書就是CA 證書，它由認(rèn)證授權(quán)中心（CA 中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。CA 中心一般是社會(huì)公認(rèn)的可靠組織，它對(duì)個(gè)人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個(gè)人證書。建立SSL 安全鏈接不需要一定有個(gè)人證書，實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL 鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時(shí)進(jìn)行）。

3) 安全套接層SSL 協(xié)議

安全套接層SSL 協(xié)議是Netscape 公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA 和保密密鑰的用于瀏覽器與Web 服務(wù)器之間的安全連接技術(shù)。

SSL 通過數(shù)字簽名和數(shù)字證書來實(shí)行身份驗(yàn)證，數(shù)字證書是從認(rèn)證機(jī)構(gòu)（CA，Certificate Authority）獲得的，通常包含有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL 協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如Http、Ftp、Telnet 等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL 協(xié)議握手流程由兩個(gè)階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。

①服務(wù)器認(rèn)證

客戶端向服務(wù)器發(fā)送一個(gè)“Hello”信息，以便開始一個(gè)新的會(huì)話連接；服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。這樣通過主密鑰引出的密鑰對(duì)一系列數(shù)據(jù)進(jìn)行加密來認(rèn)證服務(wù)器，從而建立安全的通信通道。

②用戶認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問給客戶，客戶則返回?cái)?shù)字簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。SSL 協(xié)議支持各種加密算法，實(shí)現(xiàn)簡(jiǎn)單，獨(dú)立于應(yīng)用層協(xié)議，且被大部分瀏覽器和Web 服務(wù)器內(nèi)置，便于在電子交易中應(yīng)用。但SSL 是一個(gè)面向連接的協(xié)議，起初并不是為了支持電子商務(wù)而設(shè)計(jì)的，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL 協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此，開發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專為電子商務(wù)而設(shè)計(jì)的SET 協(xié)議。

4 安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對(duì)于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。按照分級(jí)管理原則，嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號(hào)和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時(shí)便于跟蹤查詢。定期檢查日志，以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份，且對(duì)數(shù)據(jù)庫中存放的數(shù)據(jù)，數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

5 結(jié)束語

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證1OO％的安全。但是，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手，僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的，而不是絕對(duì)的。因此，為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展，必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問題，使電子商務(wù)系統(tǒng)相對(duì)更安全。

參考文獻(xiàn):

[1] 吳洋.電子商務(wù)安全方法研究[D].天津大學(xué), 2006.

[2] 李艷.電子商務(wù)信息安全策略研究[J].甘肅科技, 2005,(06)

[3] 成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評(píng)估[J].計(jì)算機(jī)工程, 2003,(02).

[4] 甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建.西北成人教育學(xué)報(bào); 2007(02).[論-文-網(wǎng)LunWenData-Com]

關(guān)鍵字：通訊,天津

上一篇:簡(jiǎn)析渦旋混凝低脈動(dòng)沉淀給水處理技術(shù)

下一篇:我國(guó)跨境電子商務(wù)的發(fā)展現(xiàn)狀探討