浅析电子商务的网络安全问题.doc

提纲一、电子商务安全问题的成因（一） 网络“黑客”侵犯电子商务网站（二） 电子商务软件有漏洞（三） 电子商务网络本身存在安全问题（四） 网站的安全管理不严谨二、消除电子商务安全隐患的应对措施（五） 加强电子商务的商务安全（六） 确保可靠的在线支付协议（七） 运用文件加密技术（八） 运用数字签名技术（九） 建立电子商务认证中心（CA）（十） 重视人员和资金的投入（十一）加强企事自身的管理 总结 浅析电子商务的网络安全问题 随着互联网的快速发展，人们的生活方式菜了非常大的改变，对应的经济社会也受到了巨大的影响。在商业贸易领域，因为网络的快速发展，产生了电子商务这样一种贸易方式。但是电子商务也是经历了一番坎坷的，因为网络的特殊性，在电子商务发展中产生了交易安全的问题，对电子商务的稳定发展带来了一定的冲击。Internet网是一个互连通的自由空间，一些人常常会因为某些目的攻击电子商务网站，比如盗窃资金、商业打击、恶作剧等，导致有些企业的电子商务网站贸易交流受损、服务暂停，甚至出现资金被盗的现象。据有关数据的统计，美国每年因为网络安全问题在经济上造成的损失就达到近百亿美元，而国内的情况也不容乐观。因此，当我们在享受互联网给生活带来了极大的阻碍。所以，计算机网络安全是电子商务发展过程中所面临的重大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发，做好安全防范和自身安全管理工作，才能得到持续快速的发展。 一、电子商务安全问题 当前，电子商务安全问题受到多方面的影响，主关上存在着技术管理的原因，客观上也存在着网络缺陷的原因，具体地说，有以下几点： （一)网络“黑客”侵犯电子商务网站网络黑客是专门在网络中利用本身掌握的技术非法强行进入他人网站后台的人，这也是最主要的危及到网络安全的网络技术，能够不受电子商务网站技术防护的限制。许多“黑客”篡改内容信息、破坏网站；盗取商户或企业的账户资金，极大地影响了电子商务的正常进行。而入境黑客可以说当前是一个进行攻击的黄金时期，很多的系统都很脆弱并且很容易受到攻击，使得系统因遭受某种程度的破坏而不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃。通常我们常见的电子商务受到的攻击主要分为两种。第一种是使一个系统或网络瘫痪。如果攻击者发送一些非法的数据或数据包，就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击，因为没有人能够使用资源。以攻击者的角度来看，攻击的刺激之处在于可以只发送少量的数据包就使一个系统无法访问。在大多数情况下，系统重新上线需要管理员的干预，重新启动或关闭系统。所以这种攻击是最具破坏力的，因为做一点点就可以破坏，而修复却需要人的干预。第二种攻击是向系统或网络发送大量信息，使系统或网络不能响应。例如,如果一个系统无法在一分钟之内处理100个数据包，攻击者却每分钟向他发送1000个数据包，这时，当合法用户要连接系统时，用户将得不到访问权，因为系统资源已经不足。进行这种攻击时，攻击者必须连续地向系统发送数据包。当攻击者不向系统发送数据包时，攻击停止，系统也就恢复正常了。此攻击方法攻击者木耗费很多精力，因为他必须不断地发送数据。有时，这种攻击会使系统瘫痪，然而大多多数情况下，恢复系统只需要少量人为干预。 （二）电子商务软件有漏洞目前，全球范围内的电子商务交易额大幅上涨，同时各种针对电子商务系统及其支付系统的攻击也日益增多，特别是针对购物车和在线支付系统的攻击对消费者造成很大危害。许多软件研发单位研发的技术不成熟的电子商务软件，存在许多安全漏洞，防护极易被外来入侵者得用漏洞攻破，导致电子商务企业受到很大的经济损失；有的企业即使安装了防护软件，但由于软件没有得到及时升级，致使软件丧失了应有防护功能。（3） 电子商务网络本身存在安全问题电子商务服务器是电子商务的核心，安装了大量的与电子商务有关的软件和商家信息，并且服务器上的数据库里有电子商务活动过程中的一些保密数据。因此服务器特别容易受到安全的威胁，并且一旦出现安全问题，造成的后果也是非常严重。网络具有共享性、开放性等特点，它的设计原则是确保信息传输会受到局部损坏的影响。所以，对网站安全带来了极大的隐患。特别是对电子商务企业情况更加严峻。（4） 网站的安全管理不够严谨由于大多数公司对网上安全不够重视，导致黑客与电脑病毒横行，电子商务安全面临严峻考验。而且电子商务企业缺乏警惕性，不重视网络安全的管理，通常只有在受到攻击以后才会去加强网站安全：部分企业则以为只要安装了入侵监测系统、杀毒软件、防火墙等安全产品，就能保障网站的安全，所以没有根据企业实际情况制定相应的管理制度，也没有加强技术防范，给入侵者提供了机会。二、消除电子商务安全隐患的应对措施电子商务安全问题是在网络化、电子化技术发展的前提下出现的，所以很多传统的解决办法不能简单地应用过来。电子商务企业想要取得效益，就要从企业的健康发展出发，改善企业的安全管理，提高技术投入。具体的防范措施有：（1） 加强电子商务安全电子商务的商务安全则主要指商务交易在网络这种媒介中出现的安全问题，包括防止商务信息被窃取，篡改，伪造以及交易行为被抵赖，也就是要实现电子商务的保密性、完整性、真实性和不可抵赖性。保证电子商务的商务安全的主要技术有：在线支付协议（安全套接层SSL协议和安全电子交易SET协议）、文件加密技术、数字签名技术以及电子商务认证中心（CA）。(2） 确保可靠的在线支付协议电子商务的核心问题是交易的安全性问题，这是网上交易的基础，也是电子商务中迫切要解决的问题。近年来，针对电子商务交易安全的要求，IT业界与金融行业一起推出了不少有效的安全交易标准和技术。目前电子商务主要采用的协议是安全套接层SSL（Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议两种。（3） 运用文件加密技术保障电子商务安全最重要的一点就是使用加密技术对敏感的信息进行加密，使用专用密钥加密（3DES、IDEA、RC4和RC5等）和公用密钥（RSA、SEEK、PGP和EU等）用来确保电子商务的保密性、完整性、真实性和不可抵赖性。（4） 运用数字签名技术 数字签名是身份的电子证明，它证实发出者的身份，并证明信息在传送期间没有被修改。通过应用电子签名，可以对网上交易者进行身份确认，改变了以往电子商务交易无法确认交易主体的困境，使得交易的安全性大大增强，也使大量关于电子商务的规定得以落实到具体的法律主体。电子签名本身是一种安全技术措施，它可以有效地保证信息的完整、准确和保密性，抵御各种非法侵入和篡改的行为。2004年8月28日，十届全国人大常委会第十一次会议表决通过中华人民共和国电子签名法，首次赋予可靠的电子签名与手写签名或盖章具有同等的法律效力，并明确了电子认证服务的市场准入制度。该法共五章三十六条，它是我国第一部真正意义的电子商务法，是我国电子商务发展的里程碑，它的颁布和实施必将极大地改善我国电子商务的法制环境，促进安全可信的电子交易环境的建立，从而大力推动我国电子商务的发展。（5） 建立电子商务认证中心（CA）实行网上安全支付是顺利开展电子商务的前提，而建立安全的认证中心（CA）则是电子商务的中心环节。建立CA可以加强数字证书和密钥的管理工作，增强网上交易双方的相互信任，提高网上购物和交易的安全，降低交易的风险，进一步推动电子商务的发展。如：2002年9月，由中国人民银行牵头，工行、农行、中行、建行、交通银行等十四家全国银行联合共建的中国金融认证中心（CFCA）通过测评，被中国国家信息安全测评认证中心正式授予“国家信息安全认证系统安全证书”，在网上交易和支付安全方面有了重要突破。（6） 重视人员和资金的投入雇佣必要的专业人员，很多企业认为一次性花费（购买技术)能够解决问题，但是实际上，集成、部署、培训和维护都是非常昂贵的。如果不具备内部专业人员来支持你所购买的软件，那么就考虑雇佣具备专业技术的外部公司来维护系统软件。同时加大安全方面的资金投入，购买技术防护设备，加大对技术改造与设备更新的投入。引进安全管理的相关技术，招聘相应的管理人才，并进行适当的待遇倾斜，确保安全管理团队的稳定。（7） 加强企业自身的管理对于电子商务的安全性来讲，有些安全防范单纯依赖技术是很难解决的。从某种意义上讲，依靠管理加强内部人员的防范意识等比安全技术更为重要。譬如说恶意代码对网络的威胁并不是能安全依靠技术上防范就能解决，只有提高了使用者的防范意识才能防范于未然，解决一些安全隐患。所以企业必须建立严格的内部安全机制：对于所有接触系统的人员，按其职责设定其访问系统的最小权限：按照分级管理原则，严格管理内部用户账号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码：建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询，定期检查日志，以便及时发现潜在的安全威胁：对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密，保证明确职责：要有奖惩制度，责任事故的时候，能够做到及时追究，提高技术管理人员的责任意识。只有建立完善的安全防范管理系统，才能保证企业的安全。总结电子商务作为全球商务发展的趋势，给全球的经济、政治和法律带来深刻的影响，安全问题将会变得更加重要和突出。任何成功的电子商务必须能提供足够的安全性、可靠性和可用性，才能赢得客户的信赖和欢迎。深入加强网络安全技术开发工作，发展自己的电子商务技术，尽快完善电子商务制度，建立良好的电子商务发展环境：使得