浅析电子商务安全现状与技术解决.doc

浅析电子商务安全现状与技术解决尹佳妮1 孙喆2 任智军3（1，2 上海商学院管理学院电子商务051，上海，200235）（3 上海商学院管理学院，上海，200235）摘 要 互联网的快速发展，伴之而来的电子商务安全问题的如何解决，已经成为目前社会急待攻破的首要网络发展目标。本文从电子商务安全体系的两个重要组成部分即计算机网络安全与商务交易安全分析了电子商务安全存在的几种现状、安全隐患、不安全事件。并在此基础上提出了一些常规的技术解决方案。解决计算机网络与交易安全的关键在于完善电子商务安全体系环境与法律法规，使得老百姓能真正做到买的放心、称心。这样也让社会的电子商务活动被越来越多的称道，达到网上商务开展便利、高效的意义。关键词 计算机网络安全 商务交易安全 安全法规Security of E-Commerce Technology and SolutionsYIN Jiani1 SUN Zhe2 REN Zhijun3（1，2 Management College EB051，Shanghai Business School，Shanghai，200235）（3 Management College，Shanghai Business School，Shanghai，200235）Abstract The rapid development of Internet，e-commerce comes with the problem of how to solve security，has become an urgent goals. The aim of this paper is to prove computer network security and the business transactions security. A number of conventional technology solutions are on this basis，Solve the security of computer networks and transactions is the key to improving the security environment and e-commerce laws and regulations，and can truly make people have a nice habit. This would also allow the community of e-commerce activities to be a commendable method，to facilitate the conduct business online，efficient significance.Key words computer network security business transaction security safety regulations1 前言随着社会的不断进步，全球互联网技术正以质的飞跃在发展着。互联网已经融入了这个世界，与人们的日常生活息息相关。特别是中国，根据中国互联网络信息中心（CNNIC）在京发布第21次中国互联网络发展状况统计报告。数据显示，截至2007年12月31日，我国网民总人数达到2.1亿人，仅次于美国。但是我国的电子商务安全在享受快速、便利的互联网给我们带来更多的乐趣的同时，一些关于内在的例如资金结算、信息安全方面的问题也渐渐浮出水面。电子商务的安全方面的知识以及基于这方面的需求也成了我们关注的对象。然而针对电子商务安全出现的一系列问题所采取的措施并非人人都知道的。我们在电子商务网络交易或者浏览信息时都有可能出现安全问题。例如：存在网络上发布虚假的供求信息或以过期的信息冒充现在的信息，以骗取对方的钱款或货物的可能性；计算机病毒侵袭的黑客、非法入侵、线路窃听、等很容使重要数据传递在过程中泄露，造成损失；用户个人账户安全也是一大难题。如何达到能在网络的世界里既能高效地完成交易又能高枕无忧是建立在电子商务交易安全以及网络安全之上的。2 存在的问题电子商务安全体系主要包括计算机网络安全与商务交易安全。21 计算机网络安全计算机与网络安全主要受到蠕虫、木马、网页篡改、BotNet、Phishing的攻击。有一种病毒病毒通过电子邮件进行传播，邮件带有两个附件，当附件被打开后，会在受感染的系统中生成一份自身拷贝，病毒还可以利用网络共享进行传播。当病毒发出邮件被阅读或者共享驱动器中的文件被激活的时候，病毒就会开始运行。国家计算机病毒应急处理中心日说，通过对互联网的监测发现，近期出现“木马下载器”的新变种（_）。据全球著名反病毒软件商赛门铁克公司日前发布的第10期互联网安全威胁报告显示，根据今年上半年监测的数据，中国拥有的“僵尸网络”电脑数目最多，全世界共有470万台，而中国就占到了近20%。曾经肆虐一时的蠕虫病毒典型的是2006年的“尼姆亚（）”。“熊猫烧香”病毒是一个能在系统上运行的蠕虫病毒。这一病毒采用“熊猫烧香”头像作为图标，诱使计算机用户运行。它的变种会感染计算机上的可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。2003年8月11日，一种名为“冲击波”（WORM_MSBlast.A）的电脑蠕虫病毒从境外传入国内，短短几天内影响到全国绝大部分地区的用户。该病毒刷新了病毒历史纪录，成为病毒史上影响最广泛的病毒之一。国家有关部门采取有效措施控制了病毒的传播，新闻媒体对此作了相关报道。图1 20072008年中国被篡改网页数量统计根据国家计算机网络应急技术处理协调中心2007年1月至2008年1月对于被黑网页攻击的数据表明，这一年以来中国受到网络恶意篡改的攻击各地方是不同的。其中中国大陆在2008年1月网页遭到篡改明显高于其他月份，达到13628个，占总数的18.21%。这预示着中国大陆可能在2008年会遭遇更多的篡改网页事件。（如图1）中国香港则在2007年的5月份受干扰最严重，其他都处于平缓状态。从收集的资料我们发现中国台湾地区2008年1月份的网页被破坏83个较之于07年12月份的131个时间少了48个，而且在07年的后半年里一直都比较稳定的。图2 近期中国香港地区被篡改网页分析图22 商务交易安全电子商务，顾名思义就是人们通过互联网技术，实现网上消费、购物、买卖商品、交换信息的一切商务活动。在交易的过程中首先碰到并且是相当棘手的问题就是资金流的问题，电子货币取代正渐渐取代了现金交易。这里出现的问题会涉及很多，如账号、密码被盗、导致个人信息泄露；因为现在网络公司一般都提供了电子信用支付方式，使得一些网络犯罪分子钻其中的空洞，实施其不法行为。图3 20012007年银行网上支付比例图有一部分人或企业因担心安全问题而不愿使用电子商务，安全成为电子商务发展中最大的障碍。目前这些人的问题就是担心网上支付可能遭到黑客的侵袭而导致信用卡信息丢失，所以很多社会人都还是比较喜欢现金交易。有些人担心商品质量问题和售后服务，质疑其安全性，程序繁琐麻烦，担心付款和配送等。当然这和我国电子商务发展不够成熟、信用制度不健全以及人们的生活习惯有关。根据中国互联网络信息中心（CNNIC）发布的“中国互联网络发展状况统计报告”，在电子商务方面，52.26%的用户最关心的是交易的安全可靠性。由此可见，电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。根据电子商务银行网上支付比例显示图的数据，表示近年来银行网上支付是呈上升趋势。中国网民的不断增加，网络支付安全的维护使得越来越的网民选择网上交易。以后的趋势将会是绝大部分的网民会选择在线支付，而这个比例会达到总数的50%。3 相应的技术解决31 计算机网络安全技术介绍311 防火墙的介绍解决电子商务网络安全有效办法就是在内部网与外部网设置一个安全网关，阻止内部网被非法用户干扰。防火强是目前用来实现网络安全的一种主要手段，主要是通过监测、限制外部非授权用户访问内部网络的目的。目前在世面上有各式各样的防火墙应对顾客不同需求相应地它的功能也是不同的。大多公司都有自己的防火墙产品，如联想网御防火墙、瑞防火墙、神州数码防火墙、卓尔防火墙下面介绍一种Kaspersky（卡巴斯基）防火墙（Kaspersky Anti-Hacker）1）设置简单，和Kaspersky（卡巴斯基）杀毒软件一起使用没有冲突，与ZoneAlarm Pro version：5.5.094.000运行也可以，没见死机。2）内存占用小，刚启动时6M左右，最小时1M不到。3）可以查看正在打开的端口，正在连接网络的应用程序及连接地址、端口。4）可以为每个程序定义规则（阻止、允许）及安全类型（浏览、文件传送、信息发送等）。发现有程序连接时会提示，并允许选择自定义。5）可以定义包过滤规则。默认已经定义一些。不过自定义的包过滤规则有点简单。在一条规则定义几个端口时不太方便（只能选单个或区间）。6）本地连接的时候没有提示。比如通过代理软件上网，浏览器再通过代理软件连接的时候不会对浏览器连接网络进行提示。312 杀毒软件除了防火墙之外，计算机网络的正常运作也离不开杀毒软件的配备。网络是个虚拟的信息化平台，而且又是病毒广泛传播的地方。一旦发现病毒，我们的电脑计算机运行会出现很多麻烦，例如病毒入侵使得电脑瘫痪、影响应用程序的运行、用户无法管理好系统现在介绍一种瑞星2008。它能及时升级，提高发现查处新病毒的频率，通过结合“病毒DNA识别”、“主动防御”、“恶意行为检测”等大量核心技术，瑞星2008版可以有效地查杀目前各种加壳木马病毒、混合型木马病毒和家族式木马病毒共约70万种。对系统进行全面检查，帮助用户直观的发现系统中存在的漏洞，从根本上对系统进行加固、弥补漏洞，提高系统的健壮性和稳定性。针对黑客肆虐、木马横行的现况，瑞星个人防火墙2008版集成未知木马识别等全新功能模块，可以有效识别未知木马进程，并阻断其与黑客的通信，从而避免用户的私人信息被窃。现在的我们借助着前人不断研发的科技成果就可以享受不出门就把病毒OK搞定的便利。虽然有时候病毒的传播往往快于制品的研发，反病毒软件的开发进度呈滞后状态，使得用户有些措手不及，但一般情况下，杀毒软件的研发都是在病毒出现之后开始的。32 商务交易安全技术介绍321 信息加密信息加密技术就是利用密码对传输中的信息进行加密，避免被别人通过一定的途径截取信息。这里介绍良种信息密钥加密技术。密钥加密技术：密码加密技术有对称密钥加密技术和非对称密钥加密技术。 （1）对称密钥加密技术：对称密钥加密技术使用DES（Data En-cryption Standard）算法，要求加密解密双方拥有相同的密钥，密钥的长度一般为64位或56位。这种加密方法可以解决信息的保密问题，但又带来了一些新的问题：一是在首次通信前，双方必须通过网络以外的途径传递统一的密钥：二是当通信对象增多时，需要相应数量的密钥，这就使密钥管理和使用的难度增大；三是对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄露都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。 （2）非对称密钥加密技术：为了克服对称密钥加密技术存在的密钥管理和分发上的问题，1976年Diffie和Hellman以及Merkle分别提出了公开密钥密码体制的思想：要求密钥成对出现，一个为加密密钥，另一个为解密密钥，且不可能从其中一个推导出另一个。根据这种思想自1976年以来已经提出了多种公钥加密算法。公钥加密算法也称为非对称密钥算法，加密和解密的时候使用两把密钥，一把为公钥，另一把为私钥。私钥只有自己知道，严密保管，公钥和加密算法则可以通过网络等渠道发布出去。公钥加密算法主要有：RSA、Fertezza、ElGama等。非对称加密技术采用的是RSA算法，是由Rivest、Shanir和Adle-man三人发明的。算法如下：公钥n=pq（p，q分别为两个互异的大素数，必须要保密，n的长度大于512bit），选一个数e与（p1）（q1）互质，私钥d=e1（mod（p1）（q1），加密：c=me（mod n）（其中m为明文，c为密文），解密：m=cd（mod n）。通信时，发送方用接收者的公钥对明文加密后发送，接收方用自己的私钥进行解密，这样既解决了信息保密问题，又克服了对称加密中密钥管理与分发传递的问题。322 数字签名数字签名：数字签名（Digital Signature）是密钥加密和信息摘要相结合的技术，可以保证信息的完整性和不可否认性。数字签名的过程如下：（1）发送方用自己的私钥对信息摘要加密；（2）发送方将加密后的信息摘要与原文一起发送；（3）接收方用发送方的公钥对收到的加密摘要进行解密；（4）接收方对收到的原文用Hash算法得到接收方的信息摘要；（5）将解密后的摘要与接收方的信息摘要对比，相同说明信息完整且发送方身份是真实的，否则说明信息被修改或不是该发送者发送，由于私钥是自己保管的他人无法仿冒，同时发送方也不能否认用自己的私钥加密发送的信息，所以数字签名解决了信息的完整性和不可否认性问题。数字签名加密和密钥加密技术不同，密钥加密是发送方用接收方的公钥加密，接收方在用自己的私钥解密，是多对一的关系；而数字签名中的加密是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明公司的任何一个贸易伙伴都可以验证数字签名的真伪性。323 CA安全认证系统国际通行的做法是采用CA安全认证系统。CA是Certificate Authority的缩写，是证书授权的意思。在电子商务系统中，所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门：一是审核授权部门，它负责对证书申请者进行资格审查，决定是否同意给该申请者发放证书，并承担因审核错误引起的一切后果，因此它应由能够承担这些责任的机构担任；另一个是证书操作部门，负责为已授权的申请者制作、发放和管理证书，并承担因操作运营所产生的一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可委托给第三方担任。 Management College体系主要解决几大问题：（1）解决网络身份证的认证以保证交易各方身份是真实的；（2）解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改；（3）解决交易的不可抵赖性以保证对方在网上说的话是真实的。需要注意的是，CA认证中心并不是安全机构，而是一个发放“身份证”的机构