《2022年电子商务的信息安全 .pdf》由会员分享,可在线阅读,更多相关《2022年电子商务的信息安全 .pdf(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、随着互联网技术的蓬勃发展, 基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务( Electronic Commerce,EC) 就是借助于公共网络 , 如Internet 或开放式计算机网络 (Open Computer Network) 进行网上交易 , 快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。电子商务具有高效率、低成本的特性, 为中小型公司提供各种各样的商机而迅速普及。这种商务过程包括商品和服务交易的各个环节, 如广告、商品购买、 产品推销、 信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。对于商家,可以自己搭建一个电子商务网站平台, 轻松实现在线
2、商品销售。 个人通过电子商务可以轻松购买想要的产品,方便、快捷。电子商务所具有的广阔发展前景,越来越为世人所瞩目。据统计 , 1998 年全球电子商务交易额为1020 亿美元 , 2003 年电子商务交易额达到 1.3 万亿美元 , 约占世界贸易总额的 1/4, 到2010 年达到 4 万亿美元。但是Internet是一个开放的、全球性的、无控制机构的网络,由于网络本身存在安全漏洞 , 电子商务的开展必定有大量的信息在网络上传递, , 出于各种目的的网络入侵和攻击也越来越频繁, 脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看, 信息安全问题是保障电子商务的生命线。一、电子商务信
3、息安全需求1、信息的保密性电子商务是建立在一个开放性很强的网络环境中,维护商业机密是电子商务全面推广应用的重要保障。 因此,要预防非法的信息存取和信息在传输过程中被非法窃取,保密性一般通过密码技术对传输的信息进行加密处理来实现。2、信息的不可抵赖性对进行电子商务交易的贸易双方来说,一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、 企业或国家提供可靠的标识,使原发方对已发送的数据、 接收方对已接收的数据都不能否认。 通常可通过对发送的消息进行数字签名来实现信息
4、的不可抵赖性。3、信息的真实性由于在电子商务过程中,买卖双方的所有交易活动都通过网络联系,交易双方可能素昧平生,相隔万里。要使交易成功,首先要确认对方的身份。对于商家而言,要考虑客户端不能是骗子, 而客户端也会担心网上商店是否是一个玩弄欺诈的黑店,因此,电子商务的开展要求能够对交易主体的真实身份进行鉴别。4、信息的完整性电子商务简化了贸易过程, 减少了人为的干预, 同时也带来维护贸易各方商业信息的完整、 统一的问题。 数据输入时的意外差错或欺诈行为,可能会导致贸易各方信息的差异。 另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,贸易各方信息的完整性
5、将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要的方式来保持信息的完整性。5、信息的有效性电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉,那么保证信息的有效性就成为开展电子商务的前提。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 6 页 - - - - - - - - - 因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预
6、防,以保证贸易数据在确定的时刻、 确定的地点是有效的。二、电子商务信息安全现存的问题电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象 , 信息技术是实现电子商务的基础, 电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在: 1 计算机网络的安全1.1 安全协议问题。目前安全协议还没有全球性的标准和规范, 相对制约了国际性的商务活动。此外, 在安全管理方面还存在很大隐患, 普遍难以抵御黑客的攻击。1.2 信息的安全问题。非法用户在网络的传输上 , 通过不正当手段 , 非法拦截会话数据获
7、得合法用户的有效信息, 最终导致合法用户的一些核心业务数据泄密; 或者是非法用户对截获的网络数据进行一些恶意篡改, 如增加、减少和删除等操作, 从而使信息失去真实性和完整性, 导致合法用户无法正常交易; 还有一些非法用户利用截获的网络数据包再次发送, 恶意攻击对方的网络硬件和软件。 黑客通过软件程序跟踪检测软件, 可检测到用户的登录名、 密码, 在获得用户账户的读写权之后 , 可以对其内容胡乱加以修改, 毁坏数据 , 甚至输入病毒 , 使整个数据库陷于瘫痪。黑客还通过搭线窃听 , 截收线路上传输的信息 , 或者彩电磁窃听, 截收无线电传输的信息 , 以进行敲诈等非法活动。1.3 防病毒问题。电
8、脑病毒问世十几年来 , 各种新型病毒及其变种迅速增加, 互联网的出现又为病毒的传播提供了最好的媒介, 不少新病毒直接以网络作为自己的传播途径 , 还有众多病毒借助于网络传播得更快, 动辄造成数百亿美元的经济损失。1.4 服务器的安全问题。 电子商务服务器是电子商务的核心, 安装了大量的与电子商务有关的软件和商家信息, 并且服务器上的数据库里有企业的一些敏感数据, 如价格、成本等 , 所以服务器特别容易受到安全的威胁, 并且一旦出现安全问题, 造成的后果也是非常严重的。 目前为止服务器的安全问题尚无有效措施予以阻止。主要表现在 : 非法用户向网络或主机发送大量非法或无效的请求, 使其消耗可用资源
9、却无法继续提供正常的网络服务; 利用操作系统、软件、 网络协议、网络服务等的安全漏洞 , 通过网站发送特制的数据请求, 使网络应用服务器崩溃而停止服务。利用 IP 欺骗进行攻击黑客伪造 LAN 主机的 IP 地址, 并根据这个伪造的地址进行不正当的存取。他先使被信任的主机丧失工作能力, 同时采用目标主机发出的 TCP 序列号 , 猜测出它的数据序列号 , 然后伪装成被信任的主机 , 同时建立起与目标主机基于地址经验的应用连接。如果成功 , 黑客可以进行非授权操作 , 偷盗、篡改信息。2 电子商务交易的安全2.1 身份的不确定问题。 由于电子商务的实现需要借助于虚拟的网络平台, 在这个平台上交易
10、双方是不需要见面的, 因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息, 仿冒合法用户的身份与他人进行交易 , 从而获得非法收入。2.2 交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 6 页 - - - - - - - - - 有些用户可能对自己发出的信息进行恶意的否认, 以推卸自己应承担的责任, 这种抵赖往往都是恶意的。2.3 交易的修改问题。交易文件是不可修改的 , 否
11、则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改, 以保证商务交易的严肃和公正。2.4 网上诈骗。网上诈骗是世界上第二种最为常见的投资诈骗形式, 它有以下几种方式 : ( 1) 亲合团体诈骗。利用团体内部成员对宗教、种族及专业性团体进行诈骗。 ( 2) 不正当销售行为诈骗。向不适宜的投资者推销、欺骗性报价及市场操纵。 ( 3) 电话推销行为诈骗。利用电话交易所 , 强行兜售非法或欺骗性的投资产品。 ( 4) 高技术产品服务诈骗。利用不合法的优惠条件来误导高技术投资者 , 许诺高额利润 , 对高技术产品的风险轻描淡写。( 5) 提供投资拍电影或其他娱乐产品行骗, 欺骗投资者 ,
12、 对投资者隐瞒风险。3 其它方面的安全电子商务安全威胁种类繁多、 来自各种可能的潜在方面 , 有蓄意而为的 , 也有无意造成的 , 例如电子交易衍生了一系列法律问题: 网络交易纠纷的仲裁、 网络交易契约等问题 , 急需为电子商务提供法律保障。 还有诸如非法使用、 操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。三、 网络安全性问题的解决方法1目前 , 有以下几种保证网络安全的方案。1. 1 采用包过滤路由器使用包过滤路由器( Router) 除了可以完成不同网段间的寻址外 , 还可以滤除不受欢迎的一些主机的地址和服务。因为Internet/ Intranet 的基础协
13、议是 TCP/ IP 协议。网络中的每台机器都有一个唯一的IP 地址, 通过该地址可以访问网络中的任何一台机器。除此之外 , 通信双方必须有一致的协议 (如FTP 、 HTTP 、 Gopher、 Telnet 等) 才能彼此理解所传送的数据包, 这些协议是用机器的端口来标识的, 而相应的服务也用端口来表示( 如Gopher 的端口为 70, WWW 的端口为 80,FTP 的端口为 20 或21) , 这样, 包过滤路由器就通过IP地址和端口地址以及允许、 禁止两种状态来控制网络对某个特定主机或服务的访问。该技术的优点是不要求对主机和客户机的程序进行修改就能控制网络流量, 它们在 IP 层和
14、TCP 层进行操作 , 但它没有对许多安全需求作出说明, 因此,安全功能是很有限的 , 所以, 这种方法现在很少单纯使用。1. 2 采用防火墙体系该技术运行于 OSI 的应用层 , 因此具有应用层的全部信息。 由于防火墙的地位十分重要 , 所以一般采用两级的安全机制, 即第一级由包过滤路由器承担, 第二级由防火墙承担。带有两级防线的防火墙主要有以下几种形式: ( 1) 单堡垒主机、单路由器、一层网络的隔离形式。这种配置的特点是堡垒主机配两个网络接口 , 外部网络接口接受来自包过滤路由器的数据, 数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机, 由于堡垒主机与包过滤路由器之间还有一个网络
15、, 外界对堡垒主机的非法侵入将更加困难。( 2) 分级管理的双堡垒主机形式。所谓分级管理, 是指在第一个堡垒主机与包过滤路由器之间的网络中接入一部分机器, 将常用的不需保密的或低保密级的数据放在此层 , 而把保密级较高的数据放在第二级堡垒主机之后, 这种配置除具有原单层主机的包过滤机制和堡垒主机的优势外, 当包过滤机制和第一级堡垒主机均被攻破时 , 由于第二层堡垒主机采用不同的安全策略, 不会造成对堡垒主机的连续突破 , 从而保证了内部网络的安全。 目前, 这种方案是较高级别的安名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名
16、师精心整理 - - - - - - - 第 3 页,共 6 页 - - - - - - - - - 全方案。1. 3 采用虚拟专用网 (VPN) 技术VPN 是用于 Internet 交易的一种专用网络 , 它可以在两个系统之间建立安全的隧道。在 VPN 中, 双方的数据通信量要大得多, 而且通信的双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术, 只要通信的双方默认即可。拔号VPN 使用隧道技术使远程访问服务器把用户数据打包到IP 信息包中 , 这些信息通过电信服务商的网络进行传递, 在Internet 中要穿过不同的网络 , 最后到达隧道终点。然后拆数据包 , 转换成最初的形式。 隧
17、道技术使用点对点通信协议代替了交换连接 , 通过路由网络来连接路由地址, 这代替了电话交换网络使用的电话号码连接 , 允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。这种方式在保证网络的安全性方面是非常有用的。2网上交易中安全问题的解决方法由于网上存在的种种欺诈, 所以用户在可能的情况下 , 最好对网上兜售商品的网址进行核查 , 以摸清商贩们提供的地址和电话是否属实, 用这种方式可以防止各种欺诈。而对于冒名顶替和抵赖, 目前主要有以下几种方式来解决。2 1 数字认证数字认证是一种新兴的安全性解决方法。随着现代网络技术的发展, 基础设施的改善, 多媒体技术运用的进一步普及, 数字认
18、证方法正被越来越多地用于网络信息的安全传输中。在发送文件时, 或在交易信息处理的过程中, 通过把影像、声音等各种证明发送者身份的数据传送给接收端, 可大大加强信息的可靠性, 这包括电子数字签名、 电子信封、电子证书、以数字方式签署和电子付款表格等, 这种接收方能确认发送者的真实身份和确保交易信息不被篡改。2. 2 数据加密数据加密技术是保证电子商务安全动作的一种重要方法。可把某些重要信息从一个可理解的明文形式变换成一种错乱的、不可理解的密文形式( 加密) , 经过线路传送 , 到达目的端后用户再将密文还原成明文( 解密) 。 由于信息是以密文方式进行传送的 , 不知道解密方法的人将无法得到信息
19、的真实内容, 从而保证了数据传送过程中的安全性。对网络中传送的数据要求包括: ( 1) 保密性 : 要求对敏感文件进行加密 , 即便文件被截获 , 截获者也无法得到文件的内容; ( 2)完整性: 要求保证数据的完整性 , 防止截获者在文件中加入其它信息; ( 3) 不可抵赖性: 对数据和信息的来源进行保证, 以确保发件人的身份和发件人所进行过的操作。常用的加密方法有传统密钥密码方法和公开密钥密码方法两类。前者以数据加密标准 ( DES) 算法为典型代表 , 后者以 RSA 算法为代表。传统密钥密码具有对称性 , 即加密密钥和解密密钥相同或相近, 知道其中一种即可推导出另一种; 而公开密钥密码方
20、法的加密、 解密密钥不同 , 加密密钥 ( 公钥) 可以公开 , 而解密密钥 ( 私钥) 需要保密。目前 , IT 业界普遍采用公开密钥加密系统( Public Key Encryption) 和秘密密钥加密系统 ( Secret Key Encryption, 加密文件需要发送方的秘密密钥解密, 发送方的秘密密钥也需到接收方的手中) 相结合的方式来满足网络传输过程中数据的保密性。2. 3 安全电子交易 SET 1997 年5 月, 由Visa 、MasterCard 等联合推出的安全电子交易( SET) 规范为在Internet 上进行安全的电子商务提供了一个开放的标准, SET 规范的出现
21、为电子商务提供了很强的安全保护, 它实现了信息的集成、全部金融数据的证实、敏感数据的加密等工作。它要达到的主要目标如下: ( 1) 信息在 Internet 上安名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 6 页 - - - - - - - - - 全传输 , 保证网上传输的数据不被黑客窃取; ( 2) 定单信息和个人帐号信息的隔离, 在将包括持卡人帐号信息的定单送到商家时, 商家只能看到定货信息 , 而看不到持卡人的帐户信息; ( 3) 持卡人和商家相互认证 , 以
22、确定通信双方的身份。一般由第三方机构负责为在线双方提供信用担保; ( 4) 要求软件遵循相同的协议和消息格式 , 使不同厂家开发的软件具有兼容和互操作功能, 并且可以运行在不同的硬件和操作系统平台上。SET 通过密钥加密系统和公钥加密系统对数据进行加密 , 以确保通信中的安全性。 在处理事务的过程中 , 通信协议、请求信息的格式、数据类型的定义等都有明确的规定。对于每一步操作, 持卡人、商家、网关都通过 CA( 认证中心 ) 来验证通信主机的身份 , 以确保通信的对方不是冒名顶替和对方操作的不可抵赖性, 目前, SET 规范是电子商务中最重要的协议。2.4 SSL 协议。 SSL 协议( Se
23、cure Socket Layer, 安全套接层 ) 是由网景(Netscape) 公司推出的一种安全通信协议, 该协议主要目的是解决 TCP/IP 协议不能确认用户身份的问题, 在Socket 上使用非对称的加密技术, 以保证网络通信服务的安全性。 SSL 协议包括两个子协议 : SSL 记录协议和 SSL 握手协议。SSL 记录协议是建立在可靠的传输协议( 例如: TCP) 上, 用来封装高层的协议。 SSL 握手协议准许服务器端与客户端在开始传输数据前, 能够通过特定的加密算法相互鉴别。 SSL 协议易于实现。 它独立于应用层协议 , 可以完成所需的安全交易操作 , 主要是使用公开密钥体
24、制和X.509 数字证书保护信息的机密性和完整性 , 但它不能保证信息的不可抵赖性。中国目前多家银行均采用SSL 协议, 从实际使用的情况来看 ,SSL 协议还是最值得信赖的协议。但是由于SSL 协议当初并不是为支持电子商务而设计的, 所以在电子商务系统的应用中还存在很多弊端, 在涉及多方的电子交易中, 只能提供交易中客户与服务器间的双方认证, 而电子商务往往是用户、网站、银行三家协作完成, SSL 协议并不能协调各方间的安全传输和信任关系。3 保障电子商务信息安全的环境性措施目前, 基于Internet 的电子商务应用才初见端倪, 许多内外部环境还不够完善, 相应的法律、 法规, 相关的标准
25、还都没有建立 , 跨部门、跨地区的协调存在较大问题。基于上述分析就中国电子商务的发展提几点建设性意见。3.1 构造中国电子商务体系积极参与国际合作, 融合国际电子商务框架 , 构造适合中国国情的电子商务体系。 作为一个主权国家 , 为了维护国家的利益和经济安全, 在电子商务相关技术方面一定要注重自主知识产权技术的开发, 不能全部依赖进口。因此 , 必须大力支持对电子商务技术的研究开发工作。3.2 加强法律法规建设政府部门应尽快组织力量, 结合电子商务的客观需要, 对现有的与电子商务相关的法律法规, 如: 刑法、 合同法 、 著作权法等进行修改。在这些法律中 , 可以适当增加对网络犯罪处罚的条款
26、, 增加对网络作品著作权保护的条款 ; 对电子商务发展中亟需解决的有关问题, 如: 在电子支付、税收管理、安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章, 必要时 , 由国务院发布行政法规 , 待条件成熟时 , 再按程序上升为法律。3.3 加快网络基础设施建设 , 推动企业信息化进程信息基础设施是电子商务发展的物质基础和载体。 发展信息基础设施需要政府和业界的共同努力, 尤其是政府的大力投资和宏观调控。3.4 普及计算机网络知识和电子商务常识, 提高全民族电子商务意识普及信息名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -
27、 - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 6 页 - - - - - - - - - 技术的教育 , 培养信息技术人才。增强企业和公众对电子商务的信心。3.5 加快银行、税务以及邮政等物流环节的信息化建设建立企业到企业( B to B) 、企业到客户 ( B to C) 的商务沟通 , 实现网上资金流动 , 解决目前有形商品交易环节中的流通困难。四、 电子商务信息安全有待完善和提高1 提高网络信息安全意识。 以有效方式、 途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉性, 学会维护网络安全的基本技能。 并在思想上要把信息资源共享与信
28、息安全防护有机统一起来,树立维护信息安全就是保生存、 促发展的观念。2 加强网络安全管理。 建立信息安全领导机构, 有效统一、协调和研究未来趋势,制定宏观政策, 实施重大决定。 严格执行中华人民共和国计算机信息系统安全保护条例与计算机信息网络安全保护管理办法,明确责任、规范岗位职责、制定有效防范措施,并且严把用户入网关、合理设置访问权限等。3 加快网络安全专业人才的培养。 加大对有良好基础的科研教育基地的支持和投入,加强与国外的经验技术交流, 及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动,加强对内部人员的网络安全培训,防止堡垒从内部攻破。使高素质的人才在高水平的教研环
29、境中迅速成长和提高。4 开展网络安全立法和执法。 吸取和借鉴国外网络信息安全立法的先进经验,结合我国国情对现行法律体系进行修改与补充,使法律体系更加科学和完善; 并建立有利于信息安全案件诉讼与公、检、法机关办案制度,提高执法效率和质量。对违犯国家法律法规, 对计算机信息存储系统、 应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。5 强化网络技术创新。组织现有信息安全研究、应用的人才,创造优良环境,创新思想、超越约束,利用国内外资源,建立具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。结束语:电子商务模式相对传统商务模式, 具有便捷、 高效的特点。
30、但现今全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的小部分。因此,电子商务信息安全问题有赖于对公钥基础设施 PKI、开发与应用,支付协议、物流配送协议、XML 和标准化等方面深入研究和完善才能良好的促进电子商务技术的应用和推广。五、结语信息安全是电子商务发展的基础, 随着电子商务的发展 , 各种网络的交易手段更加多样化 , 安全问题变得更加突出。 为了解决好这个问题 , 必须有安全技术作保障。 目前, 防火墙技术、 VPN 技术、数据加密技术和安全认证技术发挥着重要的作用 , 此外, 还需要完善法律制度、 管理制度和诚信制度 , 保证电子商务信息安全 , 加快电子商务的发展。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 6 页 - - - - - - - - -