电子商务安全风险及对策浅析

精品文档 1欢迎下载 电子商务安全风险及对策浅析 学生 余静娴 指导教师 阳国华 摘 要 随着近年来 网络 通信和信息技术快速发展和日益融合 网络在全球迅速普及 促进电子商务的蓬勃发展 本文认为电子商务发展中存在支付交易 信息及数据泄露 篡 改 伪造和诈骗等安全问题 阐述了电子商务安全体系及安全技术和对策浅析 关键词 电子商务 安全技术 运用 安全体系 防火墙 前言前言 所谓电子商务是指商务活动的电子化实现 即通过电子化手段来实现传统 的商务活动 其优点 电子商务可以降低商家的运营成本 提高其利润率 可 以扩大商品销路 建立企业和企业之间的联系渠道 为客户提供不间断的产品 信息查询和订单处理等服务 但是作为电子商务重要组成部分的支付问题就显 得越来越突出 安全的电子支付是实现电子商务的关键环节 而不安全的电子 支付不能真正实现电子商务 一 一 电子商务网络及本身存在的安全隐患问题电子商务网络及本身存在的安全隐患问题 目前 我国的电子商务存在普遍的窃取信息现象 不利于电子商务数据信 息的安全管理 我们从两个典型案例说起 案例一 淘宝案例一 淘宝 错价门错价门 互联网上从来不乏标价 1 元的商品 近日 淘 宝网上大量商品标价 1 元 引发网民争先恐后哄抢 但是之后许多订单被淘宝 网取消 随后 淘宝网发布公告称 此次事件为第三方软件 团购宝 交易异 常所致 部分网民和商户询问 团购宝 客服得到自动回复称 服务器可能 被攻击 已联系技术紧急处理 案例一简析 案例一简析 目前 我国电子商务领域安全问题日益凸显 比如 支付宝 或者网银被盗现象频频发生 给用户造成越来越多的损失 这些现象对网络交 易和电子商务提出了警示 然而 监管不力导致消费者权益难以保护 公安机 关和电信管理机关 电子商务管理机关应当高度重视电子商务暴露的安全问题 严格执法 积极介入 彻查一些严重影响互联网电子商务安全的恶性事件 切 实保护消费者权益 维护我国电子商务健康有序的发展 案例二 黑客攻击电子商务网站 案例二 黑客攻击电子商务网站 国外几年前就曾经发生过电子商务网站 精品文档 2欢迎下载 被黑客入侵的案例 国内的电子商务网站近两年也发生过类似事件 浙江义乌 一些大型批发网站曾经遭到黑客近一个月的轮番攻击 网站图片几乎都不能显 示 每天流失订单金额达上百万元 阿里巴巴网站也曾确认受到不明身份的网 络黑客攻击 这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务 器 企图破坏阿里巴巴全球速卖通台的正常运营 随着国内移动互联网的发展 移动电子商务也将迅速发展并给人们带来更大便利 但是由此也将带来更多的 安全隐患 黑客针对无线网络的窃听能获取用户的通信内容 侵犯用户的隐私 权 案例二简析 案例二简析 黑客攻击可以是多层次 多方面 多种形式的 攻击电子商 务平台 黑客可以轻松赚取巨大的 实实在在的经济利益 比如 窃取某个电 子商务企业的用户资料 贩卖用户的个人信息 破解用户个人账号密码 可以 冒充他人购物 并把商品货物发给自己 黑客有可能受经济利益驱使 也有可 能是同业者暗箱操作打击竞争对手 攻击电子商务企业后台系统的往往是专业 的黑客团队 要想防范其入侵 难度颇大 尤其是对于一些中小型电子商务网 站而言 比如数量庞大的团购网站 对抗黑客入侵更是有些力不从心 如果大 量电子商务企业后台系统的安全得不到保障 我国整个电子商务的发展也将面 临极大威胁 从上述两个案例可以看出 网络安全入侵者可以利用电子商务路由器或者 网关截获数据信息 并且他们经过多次反复的窃取信息 便可以有效的找出电 子商务贸易的一般规律或者贸易格式 从而造成电子商务网上交易的不安全 甚至造成网络相关数据信息的丢失和泄露 引发一系列的 不可估量的严重后 果 当网络入侵者截获他们需要的有用信息 掌握了电子商务规律 他们通过 破译方法或手段 将电子商务信息进行随意的篡改 将改过的信息交给交易方 这样会影响电子商务交易秩序的混乱 导致部分企业破产崩溃 伪造身份冒充 合法的交易者参与交易 对电子商务协议进行攻击 恶意破坏删节通信信息中 的数据 取消用户订单 生成虚假信息 协议参与方对交易进行抵赖 否认交 易结果以及交易方在多次交易的表现不诚实 服务低劣等各种问问题 总之 电子商务网路有待提高 二二 电子商务安全体系组成电子商务安全体系组成 一 一 物理安全物理安全 精品文档 3欢迎下载 电子商务物理安全主要是指为了保护电子商务系统安全可靠的运行 确保 在交易 处理 传输过程中不受人为或自然灾害危害 而对计算机 网络设备 设施 环镜采取的安全的措施 主要包括 物理位置的选择 防盗窃防破坏 防雷击 静电等 目的主要使存放计算机 网络设备的机房 电子商务系统的的设备和存储 设备的介质等免受物理环境 自然灾害及人为操作等各种威胁所产生的攻击 物理安全是防护电子商务系统安全的最底层 缺乏物理安全 其他任何措施都 是无意义的 二 网络安全 二 网络安全 网络安全为电子商务在网络环境下的安全运行提供支持 一方面 确保网 络设备的安全运行 提供有效的网络服务 另一方面 确保在网上传输数据的 保密性 完整性和可用性等 包括 网络结构 访问控制 入侵防范 恶意代 码防范等 重要信息系统的网络安全要求对网络边界的访问控制做出更为严格的要求 禁止远程拨号访问 不允许数据带通用协议通用 网络安全审计应着眼于系统 全局 做出集中审计分析 以便得到更多的综合信息 主要网络设备应对同一 用户选择两种或两种以上组合的鉴别信息至少应有一种是不可伪造的 以加强 对网络设备的防护 三 主机安全 三 主机安全 主机系统安全是包括服务器 终端 工作站等在内的计算机设备在操作系 统及数据库系统层面的安全 保障主机系统安全的措施包括 身份鉴别 安全 标记 访问控制 恶意代码防范 剩余信息和资源控制等 终端 工作站是带外设的台式机与笔记本计算机 服务器则包括应用程序 网络 WEB 文件与通信等服务器 主机系统是构成电子商务系统的主要部 分 其上承载着各种应用 因此 主机系统安全是保护电子商务系统安全的中 坚力量 四 应用安全 四 应用安全 通过网络 主机系统的安全防范 应用安全成为电子商务系统整体防御的 最后一道防线 在应用层面运行着电子商务系统基于网络的运用以及特定业务 的应用 基于网络的运用是形成其他应用的基础 包括信息发送 Web 浏览器 精品文档 4欢迎下载 等可以说是基本的应用 应用安全系统主要涉及的技术包括身份鉴别 安全标 记 访问控制 资源控制 保密性 抗抵性 软件容错等 五 数据安全及备份恢复 五 数据安全及备份恢复 电子商务系统处理的各种数据在维持系统正常运行着起着至关重要的作用 一旦数据遭到破坏 都会在一定程度上造成影响 从而危害到系统的正常运行 三 电子商务安全技术三 电子商务安全技术 为了保障电子商务系统的的基本安全 下面一系列安全技术用于保障电子 商务活动的安全 可信 一 数据加密技术 一 数据加密技术 加密技术是解决网络信息安全问题的技术核心 通过数据加密技术 可以 很大程度上提高数据传输的安全性 保证传输数据的完整性 数据加密技术主要分为对称密码加密和公钥密码加密 数据加密按不同应 用分为数据传输加密和数据存储加密 常用的数据加密算法有很多种 古典密 码算法有替代加密 置换加密 常用的对称加密算法包括 DES 和 AES 常用的 非对称加密算法包括 RSA ECC 等 目前在数据通信中使用最普遍的算法有 AES 算法 RSA 算法和 ECC 等 公钥密码加密技术可用于对消息进行数字签名 二 二 数据完整性技术数据完整性技术 数据的完整性就是防止非法篡改信息 如修改 复制 插入 删除等 在 交易过程中 要确保通信双方接收到的数据和从数据源发出的数据完全一致 数据在传输和存储的过程中不能被篡改 保障数据完整性最常用的技术是通过散列函数和数字签名技术实现数据完 整性保护 任何原始数据的改变都会在相同的计算条件下产生不同的 MAC 这 样 在传输和存储数据时 附带上该消息的 MAC 通过验证该消息的 MAC 是否改 变 来高效的 准确地判断原始数据是否改变 从而保证数据的完整性 目前 国际采用的算法有 SHA 1 MD 5 3 认证技术认证技术 常见的认证包括 2 类 对实体身份的认证和对数据来源的真实性的认证 进行验证的方法主要有 2 类 基于口令的身份验证 基于公钥密码学技术的身 份验证 而对数据来源的真实性的认证主要采用基于公钥密码学技术的身份认 证 信息系统中应确保口令信息在通信通道传输中和在存储期间的安全 避免 精品文档 5欢迎下载 被入侵者从磁盘数据文件中窃取或从通信通道截获 最常用的办法就是加 盐 的单向散列函数对口令进行处理 基于公钥密码学技术的数字证书认证体系又 称为 PKI PKI 系统中有一个或多个权威的 CA 机构进行数字证书签发和管理 由于数据证书带有 CA 机构的签名 其真实性易于验证 此外 签名也可作为 发送者发送信息和接收者接受信息的不可否认证据 防止实体对信息的抵赖 CA 认证机构既能实现单向验证 既能用于实体身份的信任 又能用于通信数据 的信任 四 防抵赖技术 四 防抵赖技术 不可否认性是电子商务 电子政务等系统中必须要解决的问题之一 不可 抵赖服务就是防止通信中的任何一方试图对已发生的特定事件或行为的欺诈性 抵赖 为此 不可抵赖服务提供不可抵赖证据的产生 收集和维护机制 用于 对日后可能产生的法律纠纷进行仲裁 基本的不可抵赖服务包括 1 发送方不可否认 Non Repudiation of Origin NRO 为消息接收提 供发送信息的证据 防止发送信息方试图否认曾经发送过消息 证据的提供者 就是信息发送者 2 接收方不可否认 Non Repudiation of Receipt NRR 为发送信息 方提供消息已接受的证据 防止接收方试图否认曾经受到的信息 证据的提供 者是信息接受方 五 访问控制技术 五 访问控制技术 访问控制是指用户身份及其归属的的某组来限制用户对信息项的访问 或 限制对某些控制功能的使用 访问控制通常用于系统管理员控制用户对服务器 的 目录 文件等网络资源的访问 访问控制的功能主要有 防止非法的主体进入受保护的系统的资源 允许 合法用户访问受保护的系统资源 防止合法的用户对受保护的系统资源进行非 授权的访问 目前主要应用的的访问控制类型有自主访问控制和强制访问控制 两大类 自主访问控制是指用户有权对自身所创建的访问对象 文件 数据表 等 进行访问 并可将对这些对象的访问权限 强制访问控制是指由系统 通 过专门设置的系统安全员 对用户所创建的对象进行系统的强制性控制 按照 规定的规则决定哪些用户可以对哪些对象进行什么操作系统类型的访问 即使 是创建者用户 在创建一个对象后 也可能无权访问该对象 精品文档 6欢迎下载 六 其他信息安全技术 六 其他信息安全技术 除了以上几类最基本的信息安全技术以外 常用的安全技术还包括 安全 审计与取证技术 安全扫描技术 反病毒反木马技术 入侵检测技术 防火墙 技术 容错和数据备份技术 容灾技术 信息隐藏技术 量子密码技术 DNA 安全技术 电磁泄露防范技术 四 对策浅析四 对策浅析 第一 防火墙技术 防火墙技术包括网络级防火墙 应用级网关 电路级 网和规则检查防火墙 防火墙使用得当可以很大程度的提高网络安全性 企业 从而不但可以大大降低由于网络攻击而造成的损失 而且还可以提高自己的信 誉 但防火墙技术作为一种被动的防卫技术 在其保护网络安全方面有其局限 性防火墙不能防范不经由防火墙的攻击 不能防范人为因素的攻击 不能防止 由于口令泄露或用户错误操作而造成的威胁 同时防火墙也不能防止带有病毒 的软件或文件的传输 第二 加密技术 加密技术作为一种主动的防卫手段 目的是防止信息的 非授权泄密 贸易各方可以根据需要在信息交换的各阶段使用 加密技术在网 络应用中一般采用两种加密形式 对称密钥和公开密钥 贸易各方可以结合具 体应用环境和系统选择使用 第三 认证和识别 要确保电子商务的交易安全 仅仅有加密技术是不够 的 全面的保护还要认证和识别的 确保参与加密对话的人确实是其本人 认 证系统使发送的消息具有被验证的能力 使接收者或第三者能够识别和确认消 息的真伪 第四 网络病毒防治 由于网络的迅速发展 网上病毒也越来越多 它给 计算机系统造成了不可弥补的损失和巨大的破坏力 因此防范网络病毒也是网 络安全的一个重要环节 用户应该在网络和终端机上安装防病毒软件 以防止 病毒从软盘或其它地方进入 参考文献参考文献 1 台飞 电子商务的计算机安